Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework

Addresses the application of security services in an Open Systems environment, where the term Open Systems is taken to include areas such as Database, Distributed Applications, Open Distributed Processing and OSI.

Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — Cadres de sécurité pour les systèmes ouverts: Cadre d'authentification

General Information

Status

Published

Publication Date

08-May-1996

ICS

35.100.01 - Open systems interconnection in general

Technical Committee

ISO/IEC JTC 1 - Information technology

Drafting Committee

ISO/IEC JTC 1 - Information technology

Current Stage

9093 - International Standard confirmed

Completion Date

20-Sep-2006

Ref Project

Buy Standard

ISO/IEC 10181-2:1996 - Information technology -- Open Systems Interconnection -- Security frameworks for open systems: Authentication framework

Standard

ISO/IEC 10181-2:1996 - Information technology -- Open Systems Interconnection -- Security frameworks for open systems: Authentication framework

English language

46 pages

sale 15% off

Preview

sale 15% off

Preview

ISO/IEC 10181-2:1996 - Technologies de l'information -- Interconnexion de systemes ouverts (OSI) -- Cadres de sécurité pour les systemes ouverts: Cadre d'authentification

Standard

ISO/IEC 10181-2:1996 - Technologies de l'information -- Interconnexion de systemes ouverts (OSI) -- Cadres de sécurité pour les systemes ouverts: Cadre d'authentification

French language

49 pages

sale 15% off

Preview

sale 15% off

Preview

Standard

ISO/IEC 10181-2:1996 - Technologies de l'information -- Interconnexion de systemes ouverts (OSI) -- Cadres de sécurité pour les systemes ouverts: Cadre d'authentification

French language

49 pages

sale 15% off

Preview

sale 15% off

Preview

Standards Content (Sample)

ISO/IEC
INTERNATIONAL
STANDARD 10181-2
First edition
1996-05-I 5
Information technology - Open Systems
Interconnection - Security frameworks for
open systems: Authentication framework
Technologies de I’informa tion - In terconnexion de s ystZrmes ouverts:
Cadre g&-&al d’authentification

---------------------- Page: 1 ----------------------
ISO/IEC 10181-2:1996(E)
CONTENTS
Page
1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.*. 1
Scope
2 Normative references . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
2.1 Identical Recommendations I International Standards
. . . . . . . . . . . . . . . . . . . .s.o
2.2 Paired Recommendations I International Standards equivalent in technical content
2.3 Additional references . . . . . . . . . . . . . . . . . . . . .*.
3 Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
4
4 Abbreviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
4
5 General discussion of authentication .
4
5.1 Basic concepts of authentication .
6
5.2 Aspects of authentication service .
5.3 Principles used in authentication . 8
...................................................................................................................... 8
5.4 Phases of authentication
9
5.5 Trusted Third Party Involvement .
12
5.6 Types of principal .
13
5.7 Human user authentication .
13
5.8 Types of attack on authentication .
15
6 Authentication information and facilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
6.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentication information
18
6.2 Facilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
................................................................................................ 22
7 Characteristics of authentication mechanisms
22
7.1 Symmetry/Asymmetry .
23
7.2 Use of cryptographic/Non-cryptographic techniques .
23
.......................................................................................................................
7.3 Types of authentication
23
8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentication mechanisms
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
8.1 Classification by vulnerabilities
29
8.2 Initiation of transfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
8.3 Use of authentication certificates . . . . .D.0.~.~.~.~.~“.~.~.~.~.“.
29
8.4 Mutual authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.~.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~ 30
8.5 Summary of class characteristics
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~ 30
8.6 Classification by configuration
................................................................................... 33
9 Interactions with other security services/mechanisms
33
9.1 Access control .
33
9.2 .
Data integrity
34
9.3 Data confidentiality .
34
..................................................................................................................................
9.4 Non-repudiation
34
95 . Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
0 ISO/IEC 1996
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or
utilized in any form or by any means, electronic or mechanical, including photocopying and
microfilm, without permission in writing from the publisher.
ISO/IEC Copyright Office l Case postale 56 l CH- 12 11 Geneve 20 l Switzerland
Printed in Switzerland

---------------------- Page: 2 ----------------------
ISO/IEC 10181-2: 1996(E)
0 ISO/IEC
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~. 35
Annex A - Human user authentication
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.*. 37
Annex B - Authentication in the OS1 Model
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Annex C - Countering replay using unique numbers or challenges
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Annex D - Protection against some forms of attack on authentication
Annex E - Bibliography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~. 42
Annex F - Some specific examples of authentication mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~. 43
Annex G - Authentication facilities outline . . . . . . . . . . . . . . . . . . . . .=.*. 46
. . .
111

---------------------- Page: 3 ----------------------
0 ISOLIEC
ISO/IEC 10181-2: 1996(E)
Foreword
for Standardization) and IEC (the
IS0 (the International Organization
International Electrotechnical Commission) form the specialized system for
worldwide standardization. National bodies that are members of IS0 or IEC
participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields
of technical activity. IS0 and IEC technical committees collaborate in fields of
mutual interest. Other international organizations, governmental and non-
governmental, in liaison with IS0 and IEC, also take part in the work.
In the field of information technology, IS0 and IEC have established a joint
technical committee, ISO/IEC JTC 1. Draft International Standards adopted by the
joint technical committee are circulated to national bodies for voting. Publication
as an International Standard requires approval by at least 75 % of the national
bodies casting a vote.
International Standard ISO/IEC 1018 l-2 was prepared by Joint Technical
Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 21, Open
systems interconnection, data management and open distributed processing, in
collaboration with ITU-T. The identical text is published as ITU-T
Recommendation X.8 11.
ISO/IEC consists of the following parts, under the general title Information
technology - Open Systems Interconnection - Security frameworks for open
systems:
- Part LOverview
- Part 2: Authentication framework
Part 3: Access control framework
- Part 4: Non-repudiation
- Part 5: Con.dentiality
- Part 6: Integrity
Part 7: Security audit framework
Annexes A to G of this part of ISO/IEC 1018 1 are for information only.
iV

---------------------- Page: 4 ----------------------
0 ISO/IEC ISO/IEC 10181-2: 1996(E)
Introduction
Many appl ications have requirements for security to protect against threats to the communication of information.
Some
commonly known threats, together wi .th the security services and mechanisms that can be used to protect against
them,
are described in ITU Rec. X.800 I IS0 7498-2.
Many Open Systems applications have security requirements which depend upon correctly identifying the principals
involved. Such requirements may include the protection of assets and resources against unauthorized access, for which
an identity based access control mechanism might be used, and/or the enforcement of accountability by the maintenance
of audit logs of relevant events, as well as for accounting and charging purposes.
The process of corroborating an identity is called authentication. This Recommendation I International Standard defines
a general framework for the provision of authentication services.

---------------------- Page: 5 ----------------------
This page intentionally left blank

---------------------- Page: 6 ----------------------
ISO/IEC 10181-2 : 1996 (E)
INTERNATIONAL STANDARD
ITU-T RECOMMENDATION
INFORMATION TECHNOLOGY - OPEN SYSTEMS INTERCONNECTION -
SECURITY FRAMEWORKS FOR OPEN SYSTEMS:
AUTHENTICATION FRAMEWORK
1 Scope
The series of Recommendations I International Standards on Security Frameworks for Open Systems addresses the
“Open Systems” is taken to include
application of security services in an Open Systems environment, where the term
areas such as Database, Distributed Applications, Open Distributed Processing and OSI. The Security Frameworks are
concerned with defining the means of providing protection for systems and objects within systems, and with the
interactions between systems. The Security Frameworks are not concerned with the methodology for constructing
systems or mechanisms.
The Security Frameworks address both data elements and sequences of operations (but not protocol elements) which are
used to obtain specific security services. These security services may apply to the communicating entities of systems as
well as to data exchanged between systems, and to data managed by systems.
This Recommendation I International Standard:
-
defines the basic concepts for authentication;
-
identifies the possible classes of authentication mechanisms;
-
defines the services for these classes of authentication mechanism;
-
identifies functional requirements for protocols to support these classes of authentication mechanism; and
-
identifies general management requirements for authentication.
A number of different types of standards can use this framework including:
standards that incorporate the concept of authentication;
1)
standards that provide an authentication service;
2)
3) standards that use an authentication service;
standards that specify the means to provide authentication within an open system architecture; and
4)
standards that specify authentication mechanisms.
[Note that the service in 2), 3) and 4) might include authentication but may have a different primary purpose.]
These standards can use this framework as follows:
*
standard types l), 2), 3), 4) and 5) can use the terminology of this framework;
*
standard types 2), 3), 4) and 5) can use the services defined in clause 7 of this framework; and
*
standard types 5) can be based on the mechanisms defined in clause 8 of this framework.
As with other security services, authentication can only be provided within the context of a defined security policy for a
particular application. The definitions of security policies are outside the scope of this ITU Recommendation I
International Standard.
The scope of this Recommendation I International Standard does not include specification of details of the protocol
exchanges which need to be performed in order to achieve authentication.
This Recommendation I International Standard does not specify particular mechanisms to support these authentication
services. Other standards (such as ISO/IEC 9798) develop specific authentication methods in greater detail. Furthermore,
examples of such methods are incorporated into other standards (such as ITU Rec. X.509 I ISO/IEC 9594-8) in order to
address specific authentication requirements.
ITU-T Rec. X.811 (1995 E) 1

---------------------- Page: 7 ----------------------
ISO/IEC 10181-2 : 1996 (E)
Some of the procedures described in this framework achieve security by the application of cryptographic techniques.
This framework is not dependent on the use of a particular cryptographic or other algorithm, although certain classes of
authentication mechanisms may depend on particular algorithm properties, e.g. asymmetric properties.
NOTE - Although IS0 does not standardize cryptographic algorithms, it does standardize the procedures used to register
them in ISO/IEC 9979.
2 Normative references
The following Recommendations and International Standards contain provisions which, through reference in this text,
constitute provisions of this Recommendation I International Standard. At the time of publication, the editions indicated
were valid. All Recommendations and Standards are subject to revision, and parties to agreements based on this
Recommendation I International Standard are encouraged to investigate the possibility of applying the most recent
edition of the Recommendations and Standards listed below. Members of IEC and IS0 maintain registers of currently
valid International Standards. The Telecommunication Standardization Bureau of the ITU maintains a list of currently
valid Recommendations.
21 .
Identical Recommendations I International Standards
-
ITU-T Recommendation X.810’) I ISO/IEC 10181-l:.*), Information technozogy - Security frameworks
for open systems: Overview.
22 . Paired Recommendations I International Standards equivalent in technical content
-
CCITT Recommendation X.800: 199 1, Security Architecture for Open Systems Interconnection for CCITT
applications.
IS0 7498-2: 1989, Information processing systems - Open Systems Interconnection - Basic Reference
Model - Part 2: Security Architecture.
23 . Additional references
-
ISOLIEC 9979: 199 1, Data cryptographic techniques - Procedures for the registration of cryptographic
algorithms.
-
ISO/IEC 10116: 199 1, Information technology - Modes of operation for an n-bit block cipher algorithm.
3 Definitions
This Recommendation I International Standard makes use of the following general security-related terms defined in
Rec. X.800 I IS0 7498-2:
-
audit;
-
audit trail;
-
authentication information;
confidentiality;
-
cryptography;
-
cryptographic checkvalue;
-
data origin authentication;
-
data integrity;
-
decipherment;
-
digital signature;
-
encipherment;
-
key;
l) Presently at the stage of draft.
2 IT&T Rec. X.811 (1995 E)

---------------------- Page: 8 ----------------------
ISO/IEC 10181-2 : 1996 (E)
-
key management;
masquerade;
password;
-
peer-entity authen tication;
security policy.
This Recommendation I International Standard makes use of the following term defined in ISO/IEC 10116:
-
block chaining
This Recommendation I International Standard makes use of the following terms defined in ITU-T Rec. X.8 10 I
ISO/IEC 10181-l:
-
digital fingerprint;
-
hash function;
one-way function;
private key;
-
public key;
-
seal ;
-
secret key;
-
security authority;
-
security certificate;
-
security domain;
-
security token;
-
trust;
trusted third party.
For the purposes of this Recommendation I International Standard, the following definitions apply:
. asymmetric authentication method: A method of authentication, in which not all authentication information
31
is shared by both entities.
. authenticated identity: A distinguishing identifier of a principal that has been assured through authentication.
32
authentication: The provision of assurance of the claimed identity of an entity.
33 .
34 authentication certificate: A security certificate that is guaranteed by an authentication authority and that may
be used to assure the identity of an entity.
35 authentication exchange: A sequence of one or more transfers of exchange authentication information (AI)
for the purposes of performing an authentication.
.
36 authentication information: Information used for authentication purposes.
37 .
authentication initiator: The entity that starts an authentication exchange.
38 . challenge: A time variant parameter generated by a verifier.
claim authentication information (claim AI): Information used by a claimant to generate exchange AI
39
needed to authenticate a principal.
claimant: An entity which is or represents a principal for the purposes of authentication. A claimant includes
3.10
the functions necessary for engaging in authentication exchanges on behalf of a principal.
distinguishing identifier: Data that unambiguously distinguishes an entity in the authentication process. This
3.11
Recommendation I International Standard requires that such an identifier be unambiguous at least within a security
domain.
exchanged between a claimant and a
3.12 exchange authentication information (exchange AI): Information
verifier during the process of authenticating a principal.
ITU-T Rec. X.811 (1995 E) 3

---------------------- Page: 9 ----------------------
ISOAEC 10181-2 : 1996 (E)
off-line authentication certificate: An authentication certificate binding a distinguishing identifier to
3.13
verification AI, which may be available to all entities.
3.14 on-line authentication certificate for use in an authentication exchange,
authentication certificate: An
obtained directly by the claimant from the authority who guarantees it.
3.15 principal: An entity whose identity can be authenticated.
symmetric authentication method: A method of authentication in which both entities share common
3.16
authen tication information.
3.17 time variant parameter: A data item used by an entity to verify that a message is not a replay.
3.18 unique number: A time variant parameter generated by a claimant.
3.19 verification authentication information (verification AI): Information used by a verifier to verify an identity
claimed through exchange AI.
requiring an authenticated identity. A verifier includes the
3.20 verifier: An entity which is or represents the entity
functions necessary for engaging in au thentication exchanges.
4 Abbreviations
For the purposes of this Recommendation I International Standard, the following abbreviations apply:
AI Authentication Information
OS1 Open Systems Interconnection
5 General discussion of authentication
51 . Basic concepts of authentication
Authentication provides assurance of the claimed identity of an entity. Authentication is meaningful only in the context
of a relationship between a principal and a verifier. Two important cases are:
-
the principal is represented by a claimant which has a specific communications relationship with the
verifier (entity authentication); and
-
the principal is the source of a data item available to the verifier (data origin authentication).
This Recommendation I International Standard distinguishes between these two forms of authentication.
Entity authentication provides corroboration of the identity of a principal, within the context of a communication
relationship. The principal’s authenticated identity is assured only when this service is invoked. Assurance of continuity
of authentication can be obtained as described in 5.2.7. An example of this is OS1 peer-entity authentication as defined in
CCITT Rec. X.800 I IS0 7498-2.
Data origin authentication provides corroboration of the identity of the principal that is responsible for a specific data
unit.
NOTES
1 When using data origin authentication, it is also necessary to have adequate assurance that the data has not been
modified. This may be accomplished by using an integrity service. For example:
by using environments in which data cannot be altered;
a)
b) by verifying that the data received matches a digital fingerprint of the data sent;
by using a digital signature mechanism; and
C>
d) by using a symmetric cryptographic algorithm.
2
The term communications relationship used in defining entity authentication may be interpreted in a broad way and
could refer, for example, to an OS1 connection, inter-process communication, or interaction between a user and a terminal.
51.1 Identification and authentication
A principal is an entity whose identity can be authenticated. A principal has one or more distinguishing identifiers
associated with it. Authentication services can be used by entities to verify purported identities of principals.
A principal’s identity which has been so verified is called an authenticated identity.
4 ITU-T Rec. X.811 (1995 E)

---------------------- Page: 10 ----------------------
ISO/IEC 10181-2 : 1996 (E)
Examples of principals that can be identified and hence authenticated are:
-
human users;
-
processes;
-
real open systems;
-
OS1 layer entities; and
-
enterprises.
Distinguishing identifiers are required to be unambiguous within a given security domai n. Distinguishing identifiers
distinguish a principal from others in the same domain, in one of two ways:
-
at a coarse level of granularity, by virtue of membership in a group of entities considered equivalent for
purposes of authentication (in this case the entire group is considered to be one principal and has one
distinguishing identifier); or
-
at the finest degree of granularity, identifying one and only one entity.
When authentication takes place between different security domains, a distinguishing identifier may not be sufficient to
identify unambiguously an entity, as different security domain authorities may use the same distinguishing identifiers. In
this case, distinguishing identifiers have to be used in conjunction with an identifier of the security domain in order to
provide an unambiguous identifier for the entity.
Examples of typical distinguishing identifiers are:
-
directory names (ITU-T Rec. X.509 I ISOLIEC 9594-8);
-
network addresses (ITU-T Rec. X.213 1 ISOLIEC 8348);
-
AP-titles and AE-titles (ITU-T Rec. X.207 I ISO/IEC 9545);
-
object identifiers (ITU Rec. X.208 1 ISO/IEC 8824);
-
names of persons (unambiguous within the context of the domain);
-
passport or social security numbers.
5.1.2 Authentication entities
The term claimant is used to describe the entity which is or represents a principal for the purposes of authentication.
authentication exchanges on behalf of a principal.
A cl aimant includes the functions necessary for engaging in
entity which is or represents the entity requiring an au thenticated identity.
The term verifier is used to describe the
for engaging in authentication exchanges.
A verifier includes the functions necessary
An entity involved in mutual authentication (see 5.2.4) will assume both claimant and verifier roles.
The term trusted third party is used to describe a security authority or its agent, trusted by other entities with respect to
security-related activities. In the context of this Recommendation I International Standard, a trusted third party is trusted
by a claimant and/or a verifier for the purposes of authentication.
NOTE - The claimant or verifier may be refined into multiple functional components, possibly residing in different open
systems.
51.3 Authentication information
Types of authentication information are:
-
exchange authentication information (exchange AI);
-
claim authentication information (claim AI);
-
verification authentication information (verification AI).
The term authentication exchange is used to describe a sequence of one or more transfers of exchange AI for the
purposes of performing an authentication.
Figure 1 illustrates
the relati .onship between claimant, verifier, trusted third party, and the three of authentication
types
information.
ITU-T Rec. X.811 (1995 E)
5

---------------------- Page: 11 ----------------------
ISO/IEC 10181-2 : 1996 (E)
Exchange
VERIFIER
CLAIMANT
I rt I
1 Verification Al 1
TiSO5480-95/d01
NOTES
1 In some scenarios no trusted third parties may be involved.
2 The verification Al may be that of the principal or that of the trusted third
party (see 5.5 for further explanation).
Figure 1 - Illustration of relationship between claimant, verifier trusted
third party, and types of authentication information
In some cases, in order to generate exchange AI, a claimant may need to interact with a trusted third party. Similarly, in
order to verify exchange AI, a verifier may need to interact with a trusted third party. In these cases the trusted third
party may hold verification AI related to a principal.
It is also possible that a trusted third party is used in the transfer of exchange AI.
The entities may also need to hold authentication information to be used in authenticating the trusted third party.
Examples of the three types of authentication information are given in 6.1.
NOTE - Because the term credentials is not always used in a consistent way in other Recommendations I International
Standards, this Security Framework does not use this term. The term credentials as defined in ITU Rec. X.800 I IS0 7498-2 could be
an example of exchange AI.
52 . Aspects of authentication service
5.2.1 Threats to authentication
The goal of authentication is to provide assurance of an identity of a principal. Mechanisms to provide authentication
normally must eliminate the threats of masquerade and replay.
Masquerade refers to the pretence by an entity to be a different entity. That is, the entity pretends to be another entity
that is related to the verifier in a specific way (e.g. through the origin of data, or through a communications relationship).
These types include replay, relay and compromise of claim AI.
A masquerade threat occurs in the context of an activity (e.g. origin of data, a communication relationship) initiated
either by the claimant or the verifier. Protection against a masquerade threat to an activity requires the use of an integrity
service to bind these data items to an authentication exchange. To counter masquerade-related threats, authentication
must be used in conjunction with some form of integrity service, which binds the authenticated identity to the activity.
6 IT&T Rec. X.811 (1995 E)

---------------------- Page: 12 ----------------------
ISO/IEC 10181-2 : 1996 (E)
Replay refers to the repetition of exchange AI, to produce an unauthorized effect. Replay is usua
...

NORME
ISO/CEI
INTERNATIONALE
10181-2
Première édition
1996-05-I 5
Technologies de l’information -
Interconnexion de systèmes
ouverts (OSI) - Cadres de sécurité pour les
systèmes ouverts: Cadre d’authentification
Information technology - Open Systems In terconnection - Security
frameworks for open sys tems: Authen tica tion framework
Numéro de référence
ISO/CEI 1 OI 81-2:1996(F)

---------------------- Page: 1 ----------------------
ISOICEI 10181-2 : 1996 (F)
Sommaire
Page
1 Domaine d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
2 Références normatives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1 Recommandations I Normes internationales identiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Paires de Recommandations 1 Normes internationales équivalentes par leur contenu technique . . . . . . .
Autres references
2.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
4 Abreviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
5 Présentation générale de l’authentification .
4
5.1 Concepts de base relatifs à l’authentification .
4
5.2 Aspects des services d’authentification
............................................................................................... 7
5.3 Principes d’authentification .
9
5.4 Phases d’authentification
.....................................................................................................................
9
Participation de tiers caution
5.5 .
10
5.6 Types d’entités principales .
13
5.7 Authentification d’usagers .
14
5.8 Types d’attaque visant l’authentification .
14
6 Informations et services d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
6.1 Informations d’authentification
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
62 . Fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
7 Caractéristiques des mécanismes d’authentification
....................................................................................... 23
7.1 Symétrie/Asymetrie .
23
Utilisation de techniques cryptographiques et non cryptographiques
7.2 .
24
7.3 Types d’authentification .
24
8 Mécanismes d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
81 Classification par vulnérabilite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
*:2 Lancement du transfert
. . . . . . . . .*. 31
Utilisation de certificats d’authentification
8.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Authentification mutuelle
8.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
8.5 Résumé des classes de caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
8.6 Classification par configuration
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*. 32
0 ISOKEI 1996
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication
ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé,
électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de
l’éditeur .
ISOKEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1997
Imprimé en Suisse
ii

---------------------- Page: 2 ----------------------
0 ISOKEI
ISOKEI 10181-2 : 1996 (F)
9 Interactions avec d’autres services et mécanismes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
9.1 Contrôle d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
. Intégrité des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92 35
Confidentialité des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93 35
Non-répudiation
9:4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
9.5 Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
Annexe A - Authentification d’usagers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
Annexe B - Authentification dans le modèle OS1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
38
Annexe C - Utilisation de numéros uniques ou d’épreuves pour lutter contre la réexécution
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Annexe D - Protection contre certaines formes de piratage sur l’authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
Annexe E - Bibliographie .
45
Annexe F - Exemples particuliers de mécanismes d’authentification
....................................................................... 46
Annexe G - Synoptique des fonctions d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
. . .
111

---------------------- Page: 3 ----------------------
ISOKEI 10181-2 : 1996 (F)
@ ISOKEI
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CEI (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement des Normes
internationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de I’ISO et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouveme-
mentales et non gouvernementales, en liaison avec 1’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, 1’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requiérent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISO/CEI 10 18 l-2 a été élaborée par le comité technique
mixte ISO/CEI JTC 1, Technologies de l’information, sous-comité SC 21,
Interconnexion des systèmes ouverts, gestion des données et traitement distribué
ouvert, en collaboration avec FUIT-T. Le texte identique est publié en tant que
Recommandation UIT-T X.8 11.
ISOKEI 1018 1 comprend les parties suivantes, présentées sous le titre général
Technologies de l’information -
Interconnexion de systèmes ouverts (OSr) -
Cadres de sécurité pour les systèmes ouverts:
- Partie 1: Aperçu
- Partie 2: Cadre d’authentljkation
- Partie 3: Cadre de contrôle d’accès
Partie 4: Cadre de non-répudiation
- Partie 5: Cadre de confidentialité
- Partie 6: Cadre d’intégrité
Partie 7: Cadre pour l’audit de sécurité et les alarmes
Les annexes A à G de la présente partie de l’ISO/CEI 1018 1 sont données
uniquement à titre d’information.

---------------------- Page: 4 ----------------------
@ ISOKEI
ISOKEI 10181-2 : 1996 (F)
Introduction
Un grand nombre d’applications ont besoin de se sécuriser contre les menaces pesant sur la communication des
informations. La Rec. X.800 du CCITT I ISO 7498-2 décrit les risques les plus courants ainsi que les services et les
mécanismes qui peuvent être utilises pour assurer une protection contre ces risques.
Les besoins en sécurité de nombreuses applications des systèmes ouverts sont liés à une identification correcte des
entités principales impliquées. Ces besoins peuvent inclure la protection des biens et des ressources contre un actes non
autorisé; dans ce cas, un mécanisme de contrôle d’accès fondé sur l’identité pourrait être utilisé. Il peut s’agir aussi de la
mise en vigueur de responsabilités par la tenue de journaux d’audit où sont consignés des événements appropries aussi
bien que des informations comptables ou de taxation.
Le processus de confirmation d’identité est appelé authentification (ou légitimation). La présente Recommandation I
Norme internationale définit un cadre général pour la fourniture de services d’authentification.

---------------------- Page: 5 ----------------------
Page blanche

---------------------- Page: 6 ----------------------
ISOKEI 10181-2 : 1996 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMXIION- INTERCONNEXION DE
SYSTÈMES OUVERTS (OSI) - CADRES DE SÉCURITÉ POUR LES SYSTÈMES
OUVERTS= CADRE D’AUTHENTIFICATION
Domaine d’application
1
La série de Recommandations I Normes internationales sur les cadres de sécurité pour systèmes ouverts concerne
l’application de services de sécurité dans un environnement de systèmes ouverts. Dans ce contexte, le terme «systèmes
ouverts» recouvre les domaines tels que bases de données, applications réparties, traitement réparti ouvert et OSI. Les
cadres de sécurité pour systèmes ouverts définissent les moyens de protection applicables aux systèmes et aux objets
qu’ils contiennent. Ils traitent également des interactions entre les systèmes. Ils ne traitent pas de la méthode relative à la
création de systèmes ou de mécanismes.
Les cadres de sécurité traitent à la fois des éléments de données et des séquences d’opérations (a l’exception deséléments
de protocoles) utilisés pour obtenir des services de sécurité spécifiques. Ces services de sécurité peuvent s’appliquer aux
entités de communication des systèmes et aux données échangées entre les systèmes ou gérées par eux.
La présente Recommandation I Norme internationale:
- définit les concepts de base relatifs a l’authentification;
-
identifie les différentes classes de mécanismes d’authentification;
-
définit les services correspondant à ces classes;
- identifie les spécifications fonctionnelles des protocoles supportant ces mécanismes;
-
précise les spécifications générales de gestion pour les services d’authentification.
Différents types de normes peuvent utiliser ce cadre, par exemple:
les normes reprenant le concept d’authentification;
1)
les normes relatives à la fourniture d’un service d’authentification;
2)
les normes relatives à l’invocation d’un service d’authentification;
3)
4) les normes spécifiant le moyen d’assurer l’authentification dans le cadre d’une architecture de système
ouvert; et
les normes spécifiant des mécanismes d’authentification.
5)
[A noter que les services mentionnés aux points 2), 3) et 4) peuvent comporter une authentification mais avoir un autre
objet principal.]
Ces normes peuvent utiliser le présent Cadre comme suit:
0
les normes des types l), 2), 3), 4) et 5) peuvent utiliser la terminologie du présent Cadre;
0
les normes des types 2), 3), 4) et 5) peuvent utiliser les services définis à l’article 7 du présent Cadre;
0
les normes du type 5) peuvent être fondées sur les mécanismes définis à l’article 8 du présent Cadre.
A l’instar d’autres services de sécurité, l’authentification ne peut être assurée que dans le contexte d’une politique de
sécurité définie pour une application donnée. La définition des politiques de sécurité ne relève pas du domaine
d’application de la présente Recommandation I Norme internationale.
spécification détaillée des échanges protocolaires à l’authentification ne fait pas
De même, la nécessaires partie du
domaine de la présente Recommandation Norme in .ternationale.
Rec. UIT-T X.811 (1995 F) 1

---------------------- Page: 7 ----------------------
ISOKEI 10181-2 : 1996 (F)
La présente Recommandation I Norme internationale ne spécifie pas de mécanismes particuliers pour assurer des
services d’authentification. D’autres normes (telle que I’ISOKEI 9798) traitent plus en détail de méthodes
d’authentification spécifiques et certaines d’entre elles (telle que la Rec. UIT-T X.509 1 ISOKEI 9594-8) exposent des
exemples de méthodes se rapportant à des besoins d’authentification particuliers.
Certaines des procédures décrites ci-après réalisent la sécurité en appliquant des techniques cryptographiques. Toutefois,
le présent Cadre ne repose pas sur l’utilisation d’un algorithme cryptographique donné ou d’une autre nature, bien que
certaines classes de mécanismes d’authentification puissent dépendre de proprietés algorithmiques particulières, par
exemple des propriétés asymétriques.
NOTE - L’ISO, bien que ne normalisant pas les algorithmes cryptographiques, normalise en fait les procédures utilisées
pour les faire enregistrer dans I’ISOKEI 9979.
2 Références normatives
Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la référence qui
y est faite, constituent des dispositions valables pour la présente Recommandation I Norme internationale. Au moment de
la publication, les éditions indiquées étaient en vigueur. Toute Recommandation et Norme sont sujettes a révision et les
parties prenantes aux accords fondés sur la présente Recommandation I Norme internationale sont invitées à rechercher
la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes indiquées ci-après. Les membres
de la CE1 et de I’ISO possèdent le registre des Normes internationales en vigueur. Le Bureau de la normalisation des
télécommunications de I’UIT tient à jour une liste des Recommandations de I’UIT-T en vigueur.
21 Recommandations 1 Normes internationales identiques
.
- Recommandation X.8101) I ISOKEI 10181-l . . .l). Technologies de 1 ‘information - Cadres de sécurité
pour les systèmes ouverts - Aperçu général.
22 Paires de Recommandations 1 Normes internationales équivalentes par leur contenu technique
.
- Recommandation X.800 du CCITT: (1991), Architecture de sécurité pour l’interconnexion en systèmes
ouverts d’applications du CCITT.
ISO 7498-2: 1989, Systèmes de traitement de l’information - Interconnexion des systèmes ouverts -
Modèle de référence de base - Partie 2: Architecture de sécurité.
23 . Autres références
-
ISOKEI 9979: 199 1, Techniques cryptographiques - Procédures pour l’enregistrement des algorithmes
cryptographiques.
-
ISO/CEI 10116: 199 1, Technologies de 1 ‘information - Modes opératoires d’un algorithme de chiffrement
par blocs de n-bits.
3 Définitions
La présente Recommandation I Norme internationale utilise les termes généraux suivants relatifs à la sécurité définis
dans la Rec. X.800 du CCITT I ISO 7498-2:
-
audit;
-
enregistrement d’audit;
-
informations d’authentification;
-
confidentialité;
-
cryptographie;
-
valeur de contrôle cryptographique;
-
authentification de l’origine des données;
l) Actuellement à l’état de projet.
2 Rec. UIT-T X.811 (1995 F)

---------------------- Page: 8 ----------------------
ISOKEI 10181-2 : 1996 (F)
- intégrité des données;
-
déchiffrement;
- signature numérique;
- chiffrement;
- clé;
-
gestion de clés;
- usurpation d’identité;
-
mot de passe;
- authentification de l’entité homologue;
-
politique de sécurité.
La présente Recommandation I Norme internationale utilise le terme suivant, défini dans l’ISO/CEI 10116:
-
chaînage de blocs.
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. UIT-T X.810 I
ISOKEI 10181-l:
-
empreinte numérique;
- fonction de hachage;
- fonction unidirectionnelle;
-
clé privée;
-
clé publique;
-
scellf?;
-
clé secrète;
-
autorité de sécurité;
-
certificat de sécurité;
domaine de sécurité;
jeton de sécurité;
-
confiance;
-
tierce partie de confiance.
Pour les besoins de la présente Recommandation I Norme internationale, les définitions suivantes s’appliquent:
méthode d’authentification asymétrique: méthode d’authentification dans laquelle toutes les informations
31
d’authentification ne sont pas partagées par les deux entités.
32 . identité authentifiée: identificateur distinctif d’entité principale qui a été attesté par une authentification.
33 . authentification: attestation de l’identité revendi .quée par une entité.
34 certificat d’authentification: certificat de sécurité qui est garanti par une autorité d’authentification et qui peut
êke utilisé pour attester l’identité d’une entité.
échange pour authentification: séquence d’un ou de plusieurs transferts d’informations d’authentification
35
pour échange, en v ue de réaliser une authentification
36 informations d’authentification (authentication information): renseignements utilisés aux fins de
l’authentification.
37 . initiateur d’authentification: entité qui commence l’échange pour authentification.
épreuve: paramètre variable dans le temps produit par un vérificateur.
38 .
informations d’authentification pour déclaration (informations AI pour déclaration): informations
39
uiilisées par un déclarant pour produire les informations AI pour échange nécessaires à l’authentification d’une entité
pri .ncipale.
Rec. UIT-T X.811 (1995 F) 3

---------------------- Page: 9 ----------------------
ISOKEI 10181-2 : 1996 (F)
3.10 déclarant: entité qui est ou représente une entité principale a des fins d’authentification. Un déclarant
comporte les fonctions necessaires pour engager des échanges pour authentification au nom d’une entité principale.
3.11 identificateur distinctif: information qui differencie sans ambiguïté une entité dans le processus
d’authentification. La présente Recommandation I Norme internationale requiert qu’un identificateur de ce type soit non
ambigu au moins dans un domaine de sécurité donné.
d’authentification pour échange (informations AI pour échange): informations échangées
3.12 informations
entre un déclarant et un vérificateur au cours du processus d’authentification . d’u ne entité principale.
3.13 certificat d’authentification hors ligne: certificat d’authentification mis a la disposition de toutes les entités,
qui associe un identificateur distinctif à des informations AI de vérification.
3.14 certificat d’authentification en ligne: certificat d’authentification utilisable dans un échange pour
authentification, qui est obtenu directement par le déclarant auprès de l’autorité qui le garantit.
entité principale: entité dont l’identité peut être authentifiée.
3.15
3.16 méthode d’authentification symétrique: méthode dans laquelle les deux entités partagent des informations
d’authentification communes.
3.17 paramètre variable dans le temps: élément de données utilisé par une entité pour vérifier qu’un message n’est
pas une réexécution.
numéro unique: paramètre variable dans le temps, qui est produit par un déclarant.
3.18
informations d’authentification pour vérification (informations AI pour vérification): informations
3.19
utilisées par le vérificateur pour vérifier une identité déclarée au moyen d’informations AI pour échange.
3.20 vérificateur: entité qui est ou qui représente l’entité revendiquan t une identite authentifiée. Un vérificateur
nécessaires pour engager des échanges pour authentifi .cation.
comporte les fonctions
4 Abréviations
Pour les besoins de la présente Recommandation 1 Norme internationale, les abréviations suivantes sont utilisées.
AI Informations d’authentification (authentification information)
os1 Interconnexion des systèmes ouverts (open systems interconnection)
5 Présentation générale de l’authentification
51 . Concepts de base relatifs à l’authentification
L’authentification donne l’assurance de l’identite revendiquée par une entité. Elle n’a de sens que dans un certain
contexte. Deux cas importants se présentent:
-
le contexte d’une relation de communication entre une entité principale et un vérificateur (authentification
d’entité);
-
le contexte d’une entité principale déclarant être a l’origine d’un élément de données mis à la disposition
d’une autre entité (authentification d’origine des données).
La présente Recommandation I Norme internationale distingue deux formes particulières d’authentification.
L’authentification d’entité assure la corroboration de l’identité d’une entité principale, dans le contexte d’une relation de
communication. L’identité authentifiée de cette entité principale n’est garantie que lorsque ce service est invoqué. On
peut obtenir la garantie de la continuite d’authentification en suivant la description du 5.2.7. L’authentification d’une
entité homologue OS1 selon la Rec. X.800 du CCITT I ISO 7498-2 en est un exemple.
L’authentification d’origine de données assure la corroboration de l’identité de l’entité principale qui est responsable d’une
unité de données spécifique.
4 Rec. UIT-T X.811 (1995 F)

---------------------- Page: 10 ----------------------
ISOKEI 1018212 : 1996 (F)
NOTES
1 Lorsque l’on utilise le mode d’authentification d’origine de données, il faut également avoir une assurance suffisante
du fait que les données n’ont pas été. modifiées. Cela peut être accompli par un des moyens suivants:
par l’utilisation d’environnements dans lesquels les donnees ne puissent pas être altérées;
a>
b) par la vérification du fait que les données reçues correspondent à une empreinte numérique des données envoyées;
par la fourniture de l’authentification d’origine des données au moyen d’un mécanisme de signature numérique;
C>
d) par l’utilisation d’un algorithme cryptographique symétrique.
2 Le terme relation de communication, utilisé pour définir l’authentification d’entité, peut être interprété dans le sens
large et désigner, par exemple, une connexion OSI, une communication entre processus ou une interaction entre un utilisateur et un
terminal.
S.l.1 Identification et authentification
Une entité principale est une entité dont l’identité peut être authentifiée. Un ou plusieurs identificateurs distinctifs sont
associés à une entité principale. Des services d’authentification peuvent être utilisés par des entités pour vérifier les
entités déclarées par des entités principales. Une identité vérifiée de cette manière est appelée identité authentifiée.
Exemples d’entités principales pouvant être identifiées et, par conséquent, authentifiées:
-
usagers;
-
processus;
-
systèmes ouverts réels;
-
entités de couche OSI;
-
entreprises.
Les identi .ficateurs distincti .fs doivent être non ambigus dan .s un domaine de sécurité don né. Ils différencient l’entité
principale des autres entités de ce dom au moyen de 1’ des deux méthodes suivantes:
-
à un degré de granularité peu discriminateur, par le fait que l’entité appartient à un groupe d’entités
considérées comme équivalentes à des fins d’authentification (dans ce cas, les membres du groupe
partagent le même identificateur distinctif); ou
-
au degré de granularité le plus fin, en identifiant une seule et même entité.
Lorsque l’authentification s’effectue entre différents domaines de sécurité, il est possible qu’un identificateur distinctif ne
suffise pas pour identifier sans ambiguïté une entité, car les autorités des différents domaines peuvent utiliser les mêmes
identificateurs distinctifs. Dans ce cas, pour ne plus être ambigus, les identificateurs distinctifs doivent être associés à un
identificateur de domaine de sécurité.
Parmi les identificateurs distinctifs les plus usités, figurent:
-
les noms d’annuaires (Rec. UIT-T X.509 I ISOKEI 9594-8);
-
les adresses de couche réseau (Rec. UIT-T X.213 I ISOKEI 8348);
-
les titres de processus et d’entité d’application (Rec. UIT-T X.207 I ISOKEI 9545);
-
les identificateurs d’objets (Rec. UIT-T X.208 I ISOKEI 8824);
-
les noms de personnes (non ambigus dans le contexte du domaine);
les numéros de passeport ou de sécurité sociale.
5.1.2 Entités d’authentification
Le terme déclarant désigne l’entité qui est ou qui représente une entité principale à des fins d’authentification. Un
déclarant comporte des fonctions nécessaires pour engager des échanges pour authentification au nom d’une entité
principale.
Le terme v &ificateur désigne l’entité qui est ou qui représente l’entité revendiquant une i ,dentité authentifiée. Un
véri ficateur comporte les foncti !ons nécessaires pour engager des échanges pour authentification.
Une entité engagée dans une authentification mutuelle (voir 5.2.4) prendra à la fois le rôle de déclarant et celui de
vérificateur.
Le terme tiers caution désigne une autorité de sécurité, ou son agent, à laquelle d’autres entités accordent leur confiance
en matière d’activités relatives à la sécurité. Dans le contexte de la présente Recommandation I Norme internationale, un
tiers caution a la confiance d’un déclarant et/ou d’un vérificateur, à des fins d’authentification.
NOTE - Le déclarant ou le vérificateur peuvent être séparés en diverses composantes fonctionnelles, résidant
éventuellement sur des systè
...

ISO/IEC 10181-2:1996

Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework

Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework

Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — Cadres de sécurité pour les systèmes ouverts: Cadre d'authentification

General Information

Buy Standard

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework

Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — Cadres de sécurité pour les systèmes ouverts: Cadre d'authentification

General Information

Buy Standard

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You