ISO 7498-2:1989

NORME
ISO
INTERNATIONALE
7498-2
Premikre édition
1989-02-l 5
Systèmes de traitement de l’information -
Interconnexion de systèmes ouverts -
Modèle de référence de base
Partie 2 :
Architecture de sécurité
Information processing systems - Open Systems lnterconnection -
Part 2 : Sec
Basic Reference Mode1 Nurit y Architecture
Numéro r6férence
ISO 7498-2 : 1989 (F)
ISO 7498-Z : 1989 (F)
Avant-propos
LIS0 (Organisation internationale de normalisation) est une fédération mondiale
d’organismes nationaux de normalisation (comités membres de I’ISO). L’élabora-
tion des Normes internationales est en général confiée aux comités techniques de
I’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouverne-
mentales et non gouvernementales, en liaison avec I’ISO participent également
aux travaux. L’ISO collabore étroitement avec la Commission électrotechnique
internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les projets de Normes internationales adoptés par les comités techniques sont
soumis aux comités membres pour approbation, avant leur acceptation comme
Normes internationales par le Conseil de I’ISO. Les Normes internationales sont
approuvées conformément aux procédures de I’ISO qui requièrent l’approbation de
75 % au moins des comités membres votants.
La Norme internationale ISO 7498-2 a été élaborée par le comité technique
ISO/TC 97, Systèmes de traitement de l’information.
L’attention des utilisateurs est attirée sur le fait que toutes les Normes internationales
sont de temps en temps soumises à révision et que toute référence faite à une autre
norme internationale dans le présent document implique qu’il s’agit, sauf indication
contraire, de la dernière édition.
0 ISO 1989
Droits de reproduction réservés. Aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.
Organisation internationale de normalisation
Case postale 56 l CH-121 1 Genéve 20 l Suisse
Version francaise tirée en 1990
Imprimé en Suisse
ii
ISO 7498-2 : 1989 (F)
Sommaire
Page
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
0 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1 Objet et domaine d’application . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ,.*. 1
2 Réferences . . . .
..‘.......................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
3 Définitions et abréviations . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4 Notation . . . . . . .
................................................ 4
5 Description générale des services et des mécanismes de sécurité
............................................................................................. 4
5.1 Aperçu général
........................................................................................ 4
5.2 Services de securité
........................................................................ 5
5.3 Mécanismes de sécurité spécifiques
......................................................................... 7
5.4 Mécanismes de securité communs
........................................ 8
5.5 Illustration de la relation entre services et mécanismes de securité
................................................................. 8
6 Relations entre services, mécanismes et couche
6.1 Principes de la répartition des services et mécanismes de sécurité dans les couches . 8
..................................
6.2 Mod&e d’invocation, de gestion et d’utilisation des services (N) protégés 9
................... ........................................... 12
7 Placement des services et mecanismes de sécurité
........................................................................................... 12
7.1 Couche Physique
7.2 Couche Liaison de Données . 12
............................................................................................. 12
7.3 Couche Reseau
........................................................................................... 14
7.4 Couche Transport
............................................................................................. 14
7.5 Couche Session
7.6 Couche Présentation . 14
......................................................................................... 15
7.7 Couche Application
..................................... 16
7.8 Illustration de la relation entre les services de sécurite et les couches
............................................................................................... 17
8 Gestion de sécurité
............................................................ ..................................... 17
8.1 Généralités
...................................................................... 17
8.2 Catégories de gestion de sécurité OSI
8.3 Activités spécifiques de gestion de sécurite-système . 18
................................................ ........... 18
8.4 Fonctions de gestion de mécanismes de sécurité
Annexes
................................................................... 21
A Informations de base sur la sécurité dans I’OSI
B Justifications du placement des services et mécanismes de securite spécifié à l’article 7 . 29
C Choix du placement du mecanisme de chiffrement pour les applications. . . 32
. . .
III
Page blanche
NORME INTERNATIONALE 60 7498-2 : 1989 (F)
Systèmes de traitement de l’information -
Interconnexion de systèmes ouverts -
Modèle de référence de base -
Partie 2 :
Architecture de sécurité
b) définit où, dans l’architecture OSI, les services et
0 Introduction
mécanismes peuvent être fournis.
L’ISO 7498 décrit le Modèle de référence de base pour I’in-
La présente partie de I’ISO 7498 élargit le champ d’applica-
terconnexion de systémes ouverts (OSI). L’ISO 7498 établit
tion de I’ISO 7498 afin de couvrir les communications sûres
un cadre permettant de coordonner le développement des
entre systèmes ouverts.
normes existantes et à venir pour l’interconnexion des
systèmes.
L’objectif de I’OSI est de permettre l’interconnexion de sys-
Des services et des mécanismes de sécurité de base et leur
tèmes hétérogènes d’ordinateurs de façon à réaliser des
placement approprié ont été identifiés pour toutes les
communications utiles entre des processus d’application. À
couches du Modèle de référence de base. En outre, les rela-
différents moments, des contrôles de sécurité doivent être
tions architecturales entre les services et mécanismes de
établis pour protéger les informations échangées entre les
sécurité et le Modèle de référence de base ont été identi-
processus d’application. Ces contrôles devraient rendre le
fiées. Des mesures supplementaires de sécurité peuvent
coût d’obtention ou de modification des données plus impor-
être nécessaires dans des systèmes extrémité, installations
tant que la valeur potentielle de cette action ou allonger
et organisations. Ces mesures s’appliquent dans différents
tellement la durée requise pour obtenir les données que la
contextes d’application. La définition des services de sécu-
valeur des données serait perdue.
rité nécessaires à la prise en charge de ces mesures supplé-
mentaires de sécurité est en dehors du champ d’application
La présente partie de I’ISO 7498 définit les éléments géné-
de la présente Norme internationale.
raux d’architecture ayant trait à la sécurité, que l’on peut
appliquer de façon appropriée dans les cas où une protection
de la communication entre systèmes ouverts est requise.
Les fonctions de sécurité OSI ne concernent que les aspects
Dans le cadre du modèle de référence, elle établit des prin-
visibles d’une voie de communication permettant aux sys-
cipes directeurs et des contraintes permettant d’améliorer
tèmes extrémité de réaliser entre eux un transfert sûr d’in-
les normes existantes ou d’élaborer de nouvelles normes
formations. La sécurité OSI ne concerne pas des mesures de
dans le contexte de I’OSI pour permettre des communica-
sécurité nécessaires dans les systèmes extrémité, installa-
tions sûres et donner ainsi une approche cohérente de la
tions et organisations, sauf lorsque ces mesures ont des
sécurité dans I’OSI.
effets sur le choix et le placement de services de sécurité
visibles dans I’OSI. Ces derniers aspects de la sécurité peu-
Des connaissances de base en matiére de sécurité aideront à
’ comprendre la présente Norme internationale. II est conseillé vent être normalises, mais pas le cadre des normes OSI.
au lecteur n’ayant pas ces connaissances de lire en premier
l’annexe A.
La présente partie de I’ISO 7498 complète les concepts et
La présente partie de I’ISO 7498 est une extension du
principes définis dans I’ISO 7498 ; elle ne les modifie pas.
Modèle de référence de base destinée à couvrir les aspects
Elle ne constitue ni une spécification de réalisation de sys-
de sécurité qui sont des éléments généraux d’architecture
tèmes, ni une base d’évaluation de la conformité de réalisa-
des protocoles de communication, mais qui ne sont pas
tions de systèmes.
traités dans le Modèle de référence de base.
1 Objet et domaine d’application
2 R6fhences
La présente partie de I’ISO 7498 :
ISO 7498, Systèmes de traitement de l’information
a) donne une description générale des services de sécu-
rité et des mécanismes associés qui peuvent être fournis - Interconnexion de systèmes ouverts
par le Modèle de référence ; et - Modèle de référence de base.

ISO 7498-2 : 1989 (F)
3.3.1 contrôle d’accès : Précaution prise contre l’utilisa-
ISO 7498-4, Systèmes de traitement de l’information
tion non autorisée d’une ressource ; ceci comprend les pré-
- Interconnexion de systèmes ouverts
cautions prises contre l’utilisation d’une ressource de façon
- Modèle de référence de base.
non autorisée.
- Partie 4 : Cadre général de gestion.
ISO 7498/Add.I, Systèmes de traitement de l’information
- Interconnexion de systèmes ouverts 3.3.2 liste de contrôle d’accès : Liste des entités autori-
- Modèle de référence de base. sées à accéder à une ressource ; cette liste inclut les droits
- Additif 1 : Transmission en mode sans d’accès liés aux entités.
connexion.
Systèmes de traitement de l’information
/SO 8648, 3.3.3 imputabilité : Propriété qui garantit que les actions
- Interconnexion de systèmes ouverts
d’une entité ne peuvent être imputées qu’à cette entité.
- Organisation interne de la Couche
Réseau.
3.3.4 menace active : Menace de modifification non auto-
risée et délibérée de l’état du système.
NOTE - La modification et le fait de rejouer des messages, I’inser-
3 Définitions et abréviations
tion de faux messages, le déguisement d’une entité autorisée et le
3.1 La présente partie de I’ISO 7498 se fonde sur les déni de service sont des exemples de menaces actives.
concepts élaborés dans I’ISO 7498 et utilise les termes sui-
vants qui y sont définis :
3.3.5 audit : voir «audit de sécurité» (3.3.47).
a) connexion (N) ;
b) transmission de données (N) ;
3.3.6 enregistrement d’audit : voir < c) entité (N) ;
sécurité» (3.3.48).
d) facilité (N) ;
e) couche (N) ;
3.3.7 authentification : voir < f) système ouvert ;
gine l’origine des données>> et < g) entités homologues ;
homologue>> (3.3.22 et 3.3.40).
h) protocole (N) ;
j) unité de données de protocole (N
NOTE - Dans la présente partie de I’ISO 7498, le termectauthentifi-
k) relais (N) ;
catiotw n’est pas associé à l’intégrité des données ; le terme Anté-
1) routage ;
grité des données>> est utilisé à la place.
m) maintien en séquence ;
n) service (N) ;
p) unité de données de service (N) ; 3.3.8 information d’authentification : Information utili-
q) données utilisateur (N) ; sée pour établir la validité d’une identité déclarée.
r) sous-réseau ;
s) ressource OSI ; et
3.3.9 échange d’authentification : Mécanisme destiné à
t) syntaxe de transfert.
garantir l’identité d’une entité par échange d’informations.
3.3.10 autorisation : Attribution de droits, comprenant la
3.2 La présente partie de I’ISO 7498 utilise les termes
permission d’accès sur la base de droits d’accès.
suivants définis dans les Normes internationales citées en
référence.
3.3.11 disponibilité : Propriété d’être accessible et utili-
sable sur demande par une entité autorisée.
Transmission en mode
sans connexion (ISO 7498/Add. 1)
3.3.12 capacité : Jeton utilisé comme identificateur d’une
(ISO 7498)
Système extrémité
ressource de telle sorte que la possession du jeton confère
Fonction de relais et de routage (ISO 8648)
les droits d’accès à cette ressource.
UNITDATA (ISO 7498)
Base d’informations
(ISO 7498-4)
de gestion (MIB)
3.3.13 voie : Chemin de transfert de l’information.
En outre, les abréviations suivantes sont utilisées :
3.3.14 cryptogramme :
Données obtenues par I’utilisa-
interconnexion de systèmes ouverts ;
OSI tion du chiffrement. Le contenu sémantique des données
(Open Systems Interconnection)
résultantes n’est pas compréhensible.
SDU unité de données de service ;
- Le cryptogramme peut lui-même être réinjecté dans un
(Service Data Unit) NOTE
nouveau chiffrement pour produire un cryptogramme sur-chiffré.
SMIB base d’informations de gestion de sécurité ; et
(Security Management Information Base)
MIB base d’informations de gestion.
3.3.15 texte en clair : Données intelligibles dont la
(Management Information Base)
sémantique est compréhensible.
3.3.16 confidentialité : Propriété d’une information qui
n’est ni disponible, ni divulguée aux personnes, entités ou
3.3 Pour les besoins de la présente partie de
processus non autorisés.
I’ISO 7498,1es définitions suivantes sont applicables :
ISO 7498-2 : 1989 (F)
3.3.17 justificatif d’identité : Données transférées pour 3.3.30 politique de sécurité fondée sur l’identité : Politi-
que de sécurité fondée sur les identités et/ou les attributs
établir l’identité déclarée d’une entité.
des utilisateurs, d’un groupe d’utilisateurs ou d’entités agis-
sant au nom d’utilisateurs et sur les identités et/ou attributs
3.3.18 analyse cryptographique : Analyse d’un système
des ressources/objets auxquels on doit accéder.
cryptographique, et/ou de ses entrées et sorties, pour en
déduire des variables confidentielles et/ou des données
3.3.31 intégrité : voir <> (3.3.21).
sensibles, (y compris un texte en clair.
3.3.19 valeur de contrôle cryptographique : Information
3.3.32 clé : Série de sy mboles comma ndant les opéra-
obtenue en réalisant une transformation cryptographique
tions de chiffrement et de déchiff ‘rement.
(voir cryptographie) sur une unité de données.
Note - La valeur de contrôle peut être obtenue en une ou plusieurs
3.3.33 gestion de clés : Production, stockage, distribu-
étapes et résulte d’une fonction mathématique utilisant la clé et une
tion, suppression, archivage et application de clés confor-
unité de données. Elle permet de vérifier l’intégrité d’une unité de
mément à la politique de sécurité.
données.
3.3.34 chiffrement de liaison (liaison par liaison) : Appli-
Discipline incluant les principes,
3.3.20 cryptographie :
cation particulière du chiffrement à chaque liaison du sys-
moyens et méthodes de transformation des données, dans le
tème. [Voir aussi {chiffrement de bout en bout», (3.3.29)].
but de cacher leur contenu, d’empêcher que leur modifica-
tion passe inaperçue et/ou d’empêcher leur utilisation non
NOTE - Le chiffrement liaison p ar liaison impl ique que les données
autorisée.
soient du texte en clair dans les entités relais.
NOTE - La cryptographie détermine les méthodes de chiffrement et
3.3.35 détection de modification : Mécanisme utilisé
de déchiffrement. Une attaque portant sur les principes, moyens et
pour détecter les modifications, accidentelles ou intention-
méthodes de cryptographie est appelée une analyse cryptographi-
nelles, d’une unité de données.
que.
3.3.36 dég uisem ent : Prétention qu’a une entité d’en être
3.3.21 intégrité des données : Propriété assurant que des
une autre.
données n’ont pas été modifiées ou détruites de façon non
autorisée.
3.3.37 notarisation : Enregistrement de données chez un
3.3.22 authentification de l’origine des données :
tiers de confiance permettant de s’assurer ultérieurement
Confirmation que la source des données reçues est telle que
de leur exactitude (contenu, origine, date, remise).
déclarée.
3.3.38 menace passive : Menace d’une divulgation non
Opération inverse d’un chiffre-
3.3.23 déchiffrement :
autorisée des informations, sans que l’état du système ne
ment réversible.
soit modifié.
3.3.39 mot de passe :
3.3.24 décryptage : voir déchiffrement. Information d’authentification
confidentielle, habituellement composée d’une chaîne de
caractères.
Impossibilité d’accès à des res-
3.3.25 déni de service :
sources pour des utilisateurs autorisés ou introduction d’un
3.3.40 authentification de l’entité homologue : Confir-
retard pour le traitement d’opérations critiques.
mation qu’une entité homologue d’une association est bien
l’entité déclarée.
3.3.26 signature numérique : Données ajoutées à une
unité de données, ou transformation cryptographique (voir
3.3.41 sécurité physique : Mesures prises pour assurer la
cryptographie) d’une unité de données, permettant à un
protection des ressources contre des menaces délibérées ou
destinataire de prouver la source et l’intégrité de l’unité de
données et protégeant contre la contrefaçon (par le destina- accidentelles.
taire, par exemple).
3.3.42 politique : voir < chiffrement: Transformation cr yptographique(voir
3.3.27
laphie) de don nées produisant u n cryptogramme.
cryptogr
3.3.43 respect de la vie privée : Droit des individus de
contrôler ou d’agir sur des informations les concernant, qui
Le chiffrement ut être irréversible. Dan s ce cas, le déchif-
NOTE -
Pe
peuvent être collectées et stockées, et sur les personnes par
ne
frement correspondant peut pas être effectué.
lesquelles et auxquelles ces informations peuvent être
divulguées.
3.3.28 cryptage : voir chiffrement.
NOTE - Ce terme étant lié au droit privé, il ne peut pas être très
précis et son utilisation devrait être évitée sauf pour des besoins de
3.3.29 chiffrement de bout en bout : Chiffrement de
sécurité.
données à l’intérieur ou au niveau du système extrémité
source, le déchiffrement correspondant ne se produisant
3.3.44 répudiation : Le fait, pour une des entités impli-
qu’à l’intérieur, ou au niveau du système extrémité de desti-
quées dans la communication, de nier avoir participé aux
nation. [Voir aussi chiffrement de liaison (liaison par liai-
échanges, totalement ou en partie.
son) (3.3.34)].
ISO 7498-2 : 1989 (F)
4 Notation
La notation utlisée pour désigner les couches est la‘ même
que celle définie dans I’ISO 7498.
3.3.46 politique de sécurité fondée sur des règles : Poli-
tique de sécurité fondée sur des règles globales imposées à
Le terme > est utilisé p our se référer à un service de
tous les utilisateurs. Ces règles s’appuient généralement sur
sécurité, sauf autre précision.
une comparaison de la sensibilité des ressources auxquelles
on doit accéder avec les attributs correspondants d’ utilisa-
teurs, d’un groupe d’utilisateurs ou d’entités agissant au
5 Description générale des services et des
méca-
nom d’utilisateurs.
nismes de sécurité
3.3.47 audit de sécurité : Revue indépendante et examen
5.1 Aperçu général
des enregistrements et de l’activité du système afin de véri-
fier l’exactitude des contrôles du système pour s’assurer de
Les services de sécurité qui sont inclus dans l’architecture
leur concordance avec la politique de sécurité établie et les
de sécurité OSI et les mécanismes mettant en œuvre ces
procédures d’exploitation, pour détecter les infractions à la
services sont présentés dans le présent article. Les services
sécurité et pour recommander les modifications appropriées
de sécurité décrits ci-dessous sont des services de sécurité
des contrôles, de la politiques et des procédures.
de base. Dans la pratique, ils seront utilisésdans les couches
appropriées et selon des combinaisons appropriées, généra-
3.3.48 journal d’audit de sécurité : Données collectées et
lement avec des services et des mécanismes non-OSI, afin
pouvant éventuellement être utilisées pour permettre un
de satisfaire à la politique de sécurité et/ou aux exigences de
audit de sécurité.
l’utilisateur. On peut utiliser des mécanismes de sécurité
particuliers pour mettre en œuvre des combinaisons de ser-
3.3.49 étiquette de sécurité : Marque liée à une res-
vices de sécurité de base. Des réalisations pratiques de sys-
source dénommant ou désignant les attributs de sécurité de
tèmes peuvent mettre en œuvre des combinaisons particu-
cette ressource (cette ressource peut être une unité de
lières de services de sécurité de base pouvant être appelés
données).
directement.
I’associatio la marque à la ressource
NOTE - La marque et/ou n de
peuvent être implicites ou explicites.
5.2 Services de sécurité
3.3.50 politique de sécurité : Ensemble des critères per-
Les services suivants sont considérés comme étant des ser-
mettant de fournir des services de sécurité. [Voir aussi «poli-
vices de sécurité qui peuvent être fournis en option dans le
tique de sécurité fondée sur l’identité» (3.3.30) et «politi-
cadre du Modèle de référence OSI. Les services d’authentifi-
que de sécurité fondée sur des règles>> (3.3.46)].
cation nécessitent une information d’authentification com-
sécurité complète traite nécessa irement
NOTE - Une politique de
prenant des informations stockées localement et des don-
de sujets qui sont hors du champ d’application de I’OSI.
nées qui sont tranférées (preuves d’identité) pour faciliter
l’authentification.
3.3.51 service de sécurité : Service, fourni par une
couche de systèmes ouverts, garantissant une sécurité des
systèmes et du transfert de données.
5.2.1 Authentification
rotection de
3.3.5 2 protection sélectiv e des champs : P
Ces services assurent l’authentification d’une entité homo-
certai ns champs spécifiques dans un message à transmet-
logue communicante et l’authentification de la source des
tre.
données, comme décrit ci-dessous.
3.3.53 sensibilité : Caractéristique d’une ressource rela-
tive à sa valeur ou à son importance et, éventuellement, à sa
5.2.1.1 Authentification de l’entité homologue
vulnérabilité.
Lorsque ce service est fourni par la couche (N), il confirme à
3.3.54 signature : voir «signature numérique» (3.3.26)
l’entité (N+ 1) que l’entité homologue est bien l’entité (N+l )
déclarée.
3.3.55 menace : Violation potentielle de la sécurité.
Ce service est prévu pour être utilisé lors de l’établissement
3.3.56 analyse du trafic : Déduction d’informations à par-
de la phase de transfert de données d’une connexion, ou
tir de l’observation des flux de données (présence, absence,
parfois pendant cette phase, pour confirmer les identités
quantité, direction, fréquence).
d’une ou plusieurs entités connectées à une ou plusieurs
autres entités. Ce service garantit - uniquement lors de son
3.3.57 confidentialité du flux de données : Service de
utilisation -qu’une entité n’essaie pas de se déguiser ou de
confidentialité fournissant une protection contre l’analyse
rejouer une ancienne connexion de façon non autorisée. Des
du trafic.
schémas d’authentification unilatérale ou mutuelle d’entité
homologue, avec ou sans contrôle réitéré, sont possibles et
3.3.58 bourrage : Production d’instances de communica-
peuvent donner divers degrés de protection.
tion parasites, d’unités de données parasites et/ou de don-
nées parasites dans des unités de données.
5.2.1.2 Authentification de l’origine des données
3.3.59 fonctionnalité de confiance : Fonctionnalité per-
Lorsque ce service est fourni par la couche (N), il confirme à
çue comme correcte en ce qui concerne certains critères,
une entité (N+l ) que la source des données est bien l’entité
tels que ceux définis par une politique de sécurité, par
homologue (N-t- 1) déclarée.
exemple.
ISO 7498-2 : 1989 (F)
5.2.4.2 Intégrité en mode connexion sans reprise
Le service d’authentification de l’origine des données
confirme la source d’une unité de données. Le service n’as-
Comme pour 5.2.4.1, mais sans tentative de reprise.
sure pas de protection contre la duplication ou la modifica-
tion des unités de données.
5.2.4.3 Intégrité en mode connexion sélective par
champ
5.2.2 Contrôle d’actes
Ce service assure l’intégrité de champs sélectionnés dans
Ce service assure une protection contre toute utilisation non
les données de l’utilisateur (N) d’une unité de données de
autorisée des ressources accessibles via I’OSI. Celles-ci
service (N) au cours d’une connexion et prend la forme d’une
peuvent être des ressources OSI ou non OSI auxquelles on
indication permettant de savoir si les champs sélectionnés
accède via des protocoles OSI. Ce service de protection peut
ont été modifiés, insérés, supprimés ou rejoués.
être appliqué pour différents types d’accès à une ressource
(par exemple, l’utilisation d’une ressource de communica-
5.2.4.4 Intégrite en mode sans connexion
tion ; la lecture, l’écriture ou la suppression d’une ressource
d’information ; l’exécution d’une ressource de traitement) ou
Lorsque ce service est fourni par la couche (N), il donne
pour tous les accès à une ressource.
l’assurance de l’intégrité à l’entité (N+ 1) en demande.
Le contrôle d’accès se fera conformé ment aux différentes
Ce service assure l’intégrité d’une unité unique de données
litiques de sécurité (voir 6 .2.1 .l).
Po
de service en mode sans connexion et peut prendre la forme
d’une indication permettant de savoir si une unité de don-
5.2.3 Confidentialité des données
nées de service reçue a été modifiée. En outre, une forme
Ces services assurent la protection des données contre toute limitée de détection de donnée rejouée peut être fournie.
divulgation non autorisée, comme décrit ci-dessous.
5.2.4.5 Intégrité en mode sans con nexion sélective par
champ
5.2.3.1 Confidentialité des données en mode connexion
Ce service assure la confidentialité de toutes les données de
Ce service assure l’intégrité de champs sélectionnés dans
l’utilisateur (N) au cours d’une connexion (N).
une unité de données de service en mode sans connexion et
prend la forme d’une indication permettant de savoir si les
NOTE - Selon l’utilisation et la couche, il peut s’avérer approprié de
champs sélectionnés ont été modifiés.
protéger toutes les données, par exemple, les données exprès ou les
données d’une demande de connexion.
5.2.5 Non-répudiation
5.2.3.2 Confidentialité des données en mode sans peut prendre l’une des deux formes suivantes ou
Ce service
connexion les deux.
Ce service assure la confidentialité de toutes les données de
l’utilisateur (N) dans une unité de données de service(N) en 5.2.5.1 Non-répudiation avec preuve de l’origine
mode sans connexion.
Le destinataire des données reçoit la preuve de l’origine des
données. Cela le protégera de toute tentative de l’expéditeur
5.2.3.3 Confidentialité sélective par champ
de nier le fait qu’il a envoyé les données ou leur contenu.
Ce service assure la confidentialité de champs sélectionnés
dans les données de l’utilisateur (N) au cours d’une
5.2.5.2 Non-répudiation avec preuve de la remise
connexion (N) ou dans une unité de données de service(N
L’expéditeur des données reçoit la preuve de la remise des
mode sans connexion.
données. Cela le protègera contre toute tentative ultérieure
du destinataire de nier le fait d’avoir reçu les données ou leur
5.2.3.4 Confidentialité du flux de données
contenu.
Ce service assure la protection des informations qui pour-
raient être dérivées de l’observation des flux de données.
5.3
Mécanismes de sécurité spécifiques
5.2.4 Intégrité des données
Les mécanismes suivants peuvent être incorporés dans la
Ces services contrecarrent les menaces actives et peuvent couche (N) appropriée pour fournir certa
ins services décr its
mm
prendre l’une des formes décrites ci-dessous. en 5.2.
NOTE - L’utilisation du service d’authentification de l’entité homo-
5.3.1 Chiffrement
logue au début de la connexion et du service d’intégrité des données
au coursde la connexion peuvent confirmer conjointement la source 5.3.1 .l Le chiffrement peut assurer la confidentialité soit
de toutes les unités de données transférées au cours de la connexion,
des données, soit du flux de données et peut jouer un rôle
l’intégrité de ces unités de données, et peuvent, en outre, assurer la
dans un certain nombre d’autres mécanismes de sécurité ou
détection de la duplication des unités de données, par l’utilisation de les compléter comme le décrivent les paragraphes suivants.
numéros de séquence, par exemple.
5.2.4.1 Intégrité en mode connexion avec reprise
Ce service assure l’intégrité de toutes les données de I’utili-
sateur (N) au cours d’une connexion (N) et détecte toute a) chiffrement symétrique (c’est-a-dire à clé secrète), dans
donnée modifiée, insérée, supprimée ou rejouée dans une lequel la connaissance de la clé de chiffrement implique
une connaissance de la clé de déchiffrement et vice-versa
séquence entière d’unité de données de service (avec tenta-
tive de reprise). et ;
SO 7498-2 : 1989 (F)
5.3.3.2 Les mécanismes de contrôle d’accès peuvent, par
b) chiffrement asymétrique (par exemple, à clé publique)
exemple, être basés sur l’utilisation d’un ou plusieurs des
dans lequel la connaissance de la clé de chiffrement n’im-
éléments suivants :
plique pas la connaissance de la clé de déchiffrement, ou
vice-versa. Les deux clés de ce système sont parfois appe-
a) bases d’informations de contrôle d’accès où sont gardés
lées «clé publique» et «clé privée>>.
les droits d’accès des entités homologues. Ces informa-
tions peuvent être conservées par des centres d’autorisa-
Les algorithmes de chiffrement irréversibles peuvent ou
tion ou par l’entité à laquelle on a accès et peuvent avoir la
non utiliser une clé. Lorsqu’ils utilisent une clé, celle-ci
forme d’une liste de contrôle d’accès ou d’une matrice de
peut-être publique ou secrète.
structure hiérarchique ou répartie. Cela présuppose que
l’authentification de l’entité homologue ait été assurée ;
b) informations d’authentification telles que mots de
5.3.1.3 L’existence d’un mécanisme de chiffrement
passe, dont la possession et la présentation ultérieure sont
implique l’utilisation d’un mécanisme de gestion de clés
la preuve que de l’entité qui effectue l’accès y est autorisée;
sauf dans le cas de certains algorithmes de chiffrement
c) capacités, dont la possession et la présentation ulté-
irréversibles. Le paragraphe 8.4 donne certaines principes
rieure sont la preuve du droit à l’accès à l’entité ou à la
directeurs sur la méthodologie de gestion de clés.
ressource définie par la capacité ;
NOTE - U ne ca pacité devrait
être infalsifiable et devrait être
5.3.2 Mkanismes de signature numérique acheminée d’une manié re sûre.
d) étiquettes de sécurité qui, lorsqu’elles sont associées à
Ces mécanismes définissent deux procédures :
une entité, peuvent être utilisées pour accorder ou refuser
l’accès, généralement conformément à une politique de
signature d’une u nité de données ; et
a)
sécurité ;
vérification d’une unité de données signée.
b)
e) heure de la tentative d’accès ;
Le premier processus utilise une information qui est privée
(c’est-à-dire unique et confidentielle) pour le signataire. Le
f) route de la tentative d’accès ; et
second processus utilise des procédures et une information
qui sont disponibles dans le public, mais desquelles on ne g) durée de l’accès.
peut pas déduire l’information privée du signataire.
5.3.3.3 Des mécanismes de contrôle d’accès peuvent être
appliqués à l’une ou l’autre extrémité d’une association de
5.3.2.1 Le processus de signature implique soit un chif-
communication et/ou en tout point intermédiaire.
frement de l’unité de données, soit la production d’une
valeur de contrôle cryptographique de l’unité de données, en
Les contrôles d’accès effectués à l’origine ou en tout point
utilisant l’information privée du signataire comme une clé
intermédiaire sont utilisés pour déterminer si l’expéditeur
privée.
est autorisé à communiquer avec le destinataire et/ou à
utiliser les ressources de communications requises.
5.3.2.2 Le processus de vérification implique l’utilisation
de procédures et d’informations publiques pour déterminer
Pour une transmission de données en mode sans
si la signature a été produite avec l’information privée du
connexion, les besoins en mécanismes de contrôle d’accès
signataire.
de l’entité destinataire, doivent être connues à priori du côté
de l’entité source. Ces besoins doivent être enregistrés dans
5.3.2.3 La caractéristique essentielle du mécanisme de
la base d’informations de gestion de sécurité (voir 6.2 et 8.1).
signature est que la signature ne peut être produite qu’en
utilisant l’information privée du signataire. Donc, lorsqu’on
vérifie la signature, on peut prouver, par la suite, à une tierce
partie (par exemple, un juge ou un arbitre), à tout moment,
5.3.4 Mécanismes d’intégrité des données
que seul le détenteur unique de l’information privée peut
5.3.4.1 II y a deux aspects de l’intégrité des données :
avoir produit la signature.
l’intégrité d’une seule unité de données ou d’un seul champ
d’unité de données et l’intégrité d’un flot d’unités de don-
nées ou d’un flot de champs d’unité de données. En général,
5.3.3 Mkanismes de contrôle d’accb
différents mécanismes sont utilisés pour fournir ces deux
types de service d’intégrité, bien que la fourniture du second
Ces mécanismes peuvent utiliser l’identité authentifiée
sans le premier ne soit pas possible.
d’une entité ou des informations relatives à l’entité (telle que
l’appartenance à un ensemble connu d’entités) ou des capa-
cités de l’entité pour déte’rminer et appliquer les droits d’ac-
5.3.4.2 La détermination de l’intégrité d’une unité de
cès de l’entité. Si l’entité essaie d’utiliser une ressource non
données unique implique deux processus, l’un au niveau de
autorisée, ou une ressource utilisée avec un type d’accès
l’entité émettrice et l’autre au niveau de l’entité destinataire.
incorrect, la fonction de contrôle d’accès rejettera cette ten-
L’entité émettrice ajoute à une unité de données une quan-
tative et pourra en outre consigner l’incident afin de générer
tité qui est une fonction de la donnée. Cette quantité peut
une alarme et/ou de l’enregistrer dans le journal d’audit de
être une information supplémentaire, tel qu’un code de
sécurité. Toute notification à l’expéditeur d’un refus d’accès
contrôle par bloc ou une valeur de contrôle cryptographique,
pour une transmission de données en mode sans connexion
et peut elle-même être chiffrée. L’entité destinataire génère
ne peut être fournie qu’a la suite de contrôles d’accès impo-
une quantité correspondante et la compare à la quantité
sés à l’origine.
ISO 7498-2 : 1989 (F)
5.3.7 Mécanisme de contrôle de routage
reçue pour déterminer si les données ont été modifiées
pendant le transit. Ce mécanisme seul ne protègera pas
5.3.7.1 Les routes peuvent être choisies soit de façon
contre le fait de rejouer une unité de données unique. Dans
dynamique, soit par arrangement préalable de façon à n’uti-
des couches appropriées de l’architecture, la détection d’une
liser que des sous-réseaux, relais ou liaisons physiquement
manipulation peut conduire à une action de reprise (par
sûrs.
exemple via une retransmission ou une correction d’erreur)
5.3.7.2 Les systèmes extémité peuvent, lors de la détec-
au niveau de cette couche ou au niveau d’une couche
tion d’attaques persistantes par manipulation, souhaiter
supérieure.
demander au fournisseur du service de réseau d’établir une
connexion via une route différente.
5.3.4.3 Pour le transfert de données en mode connexion,
5.3.7.3 La politique de sécurité peut interdire le passage
la protection de l’intégrité d’une séquence d’unités de don-
de données portant certaines étiquettes de sécurité à travers
nées (c’est-à-dire, la protection contre les erreurs de
certains sous-réseaux, relais ou liaisons. L’initiateur d’une
séquencement, la perte, le fait de rejouer, l’insertion ou la
connexion (ou l’expéditeur d’une unité de données en mode
modification de données) nécessite en outre une certaine
sans connexion) peut aussi spécifier des interdictions de
forme de séquencement explicite telle que la numérotation
routage prescrivant d’éviter des sous-réseaux, liaisons ou
de séquence, I’horodatage ou le chaînage cryptographique.
relais spécifiques.
5.3.8 Mécanismes de notarisation
5.3.4.4 Pour la transmission de données en mode sans
Des propriétés relatives à des données communiquées entre
connexion, I’horodatage peut être utilisé pour assurer une
deux ou plusieurs entités, telles que leur intégrité, leur ori-
forme de protection limitée contre le fait de rejouer des
gine, leur date et leur destination, peuvent être garanties par
unités de données individuelles.
la fourniture d’un mécanisme de notarisation. La garantie
est fournie par un notaire (tierce partie) en qui les entités
communicantes ont confiance et qui détient les informations
5.3.5 Mécanisme d’échange d’authentification
nécessaires pour fournir la garantie requise de manière véri-
fiable. Chaque instance de communication peut utiliser la
1 Certa ines des techniques qu i peu vent être appli-
5.3.5.
signature numérique, le chiffrement et les mécanismes d’in-
au x écha nges d’authentification sont
quées
tégrité, de façon appropriée, pour le service que doit fournir
le notaire. Lorsqu’on fait appel à ce mécanisme de notarisa-
a) utilisation d’information d’authentification, telle que
tion, les données sont communiquées entre les entités
mots de passe - fournis par une entité émettrice et contrô-
communicantes via les instances de communication proté-
lés par l’entité destinataire ;
gées et le notaire.
b) techniques cryptographiques ; et
c) utilisation de caractéristiques et/ou de ce qui est propre
5.4 Mécanismes de sécurité communs
à l’entité.
Le présent paragraphe décrit un certain nombre de méca-
nismes qui ne sont pas spécifiques à un service particulier.
Ainsi, à l’article 7, ils ne sont pas décrits explicitement
5.3.5.2 Les mécanismes peuvent être incorporés dans la
comme faisant partie d’une couche particulière. Certains de
couche(N) afin d’assurer l’authentification de l’entité homo-
ces mécanismes de sécurité communs peuvent être consi-
logue. Si le mécanisme ne réussit pas à authentifier l’entité,
dérés comme des aspects de gestion de sécurité (voir égale-
cela provoquera le rejet ou la terminaison de la connexion et
ment l’article 8). L’importance de ces mécanismes est, en
cela peut également provoquer une entrée dans le journal
général, directement liée au niveau de sécurité requis.
d’audit de sécurité et/ou un rapport au centre de gestion de
la sécurité.
5.4.1 Fonctionnalités de confiance
5.4.1.1 Des fonctionnalités de confiance doivent être uti-
5.3.5.3 Lorsque des techniques cryptographiques sont
lisées pour étendre le domaine d’application ou pour établir
utilisées, elles peuvent être combinées à des protocoles
l’efficacité d’autres mécanismes de sécurité. Toute fonc-
«d’échanges interactifs» pour se protéger contre le fait de
tionnalité qui fournit directement des mécanismes de sécu-
rejouer (c’est-à-dire, pour s’assurer d’une présence effec-
rité, ou permet l’accès à ces mécanismes, devrait être digne
tive).
de confiance.
5.3.5.4 Le choix des techniques d’échange d’authentifica-
5.4.1.2 Les procédures utilisées pour assurer que l’on
tion dépendra des circonstances dans lesquelles elles seront
peut faire confiance à un matériel et un logiciel n’entrent pas
utilisées. Très souvent, il sera nécessaire de les utiliser avec :
dans le cadre de la présente norme et, en tout cas, varient
a) horodatage et horloges synchronisées ;
selon le niveau de menace perçu et la valeur des informa-
tions à protéger.
b) deux et trois échanges (respec tivement pour I’authenti-
f ication unilaré rale et mutuelle) ; et
5.4.1.3 Ces procédures sont en général coûteuses et diffi-
n réalisés ciles à mettre en œuvre. On peut réduire au minimum les
des S ervice S de n on -répudiatio
Cl Par
de notarisati on. problèmes en choisissant une architecture qui permette la
sig natu re numér ue et/ ou mécanismes
“Cl
mise en œuvre de fonctions de sécurité en modules qui
peuvent être séparés des fonctions non liées à la sécurité ou
5.3.6 Mécanismes de bourrage fournis par elles.
Les mécanismes de bourrage peuvent être utilisés pour 5.4.1.4 Toute protection d’associations au-dessus de la
assurer différents niveaux de protection contre l’analyse du couche sur laquelle porte la protection doit être fournie par
d’autres moyens, par exemple par une fonctionnalité de
trafic. Ce mécanisme ne peut être efficace que si le bourrage
confiance appropriée.
est protégé par un service de confidentialité.
ISO 7498-2 : 1989 (F)
5.4.2 Étiquettes de sécurité 5.4.4.2 La collecte d’informations pour le journal d’audit
de sécurité peut être adaptée à divers besoins en spécifiant
Les ressources comprenant des éléments de données peu-
le(s) type(s) d’événements relatifs à la sécurité à enregistrer
vent avoir des étiquettes de sécurité qui leur sont associées,
(par exemple, violations apparentes de la sécurité ou exécu-
par exemple, pour indiquer un niveau de sensibilité. II est
tion d’opérations réussies).
souvent nécessaire d’acheminer l’étiquette de sécurité
appropriée avec des données en transit. Une étiquette de
L’existence connue d’un journal d’audit de sécurité peut
sécurité peut être une donnée supplémentaire associée aux
servir d’élément dissuasif pour certaines sources poten-
données transférées ou peut être implicite ; elle peut, par
tielles d’attaques de sécurité.
exemple, être la conséquence de l’utilisation d’une clé spéci-
fique pour chiffrer les données ou résulter du contexte des
données tel que la source ou la route. Les étiquettes de
5.4.4.3 Les considérations liées à un journal d’audit de
sécurité explicites doivent être clairement identifiables afin
sécurité OSI tiendront compte du type d’information qui
de pouvoir être vérifiées de façon appropriée. En outre, elles
pourra, en option, être enregistrée, des conditions sous les-
doivent être liées d’une manière sûre aux données aux-
quelles cette information devra être enregistrée et de la
quelles elles sont associées.
définition syntaxique et sémantique à utiliser pour échanger
des informations de journal d’audit de sécurité.
5.4.3 Détection d’événements
5.4.5 Reprise de sécurité
5.4.3.1 La détection d’événements liés à la sécurité com-
pre
...

NORME
ISO
INTERNATIONALE
7498-2
Premikre édition
1989-02-l 5
Systèmes de traitement de l’information -
Interconnexion de systèmes ouverts -
Modèle de référence de base
Partie 2 :
Architecture de sécurité
Information processing systems - Open Systems lnterconnection -
Part 2 : Sec
Basic Reference Mode1 Nurit y Architecture
Numéro r6férence
ISO 7498-2 : 1989 (F)
ISO 7498-Z : 1989 (F)
Avant-propos
LIS0 (Organisation internationale de normalisation) est une fédération mondiale
d’organismes nationaux de normalisation (comités membres de I’ISO). L’élabora-
tion des Normes internationales est en général confiée aux comités techniques de
I’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouverne-
mentales et non gouvernementales, en liaison avec I’ISO participent également
aux travaux. L’ISO collabore étroitement avec la Commission électrotechnique
internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les projets de Normes internationales adoptés par les comités techniques sont
soumis aux comités membres pour approbation, avant leur acceptation comme
Normes internationales par le Conseil de I’ISO. Les Normes internationales sont
approuvées conformément aux procédures de I’ISO qui requièrent l’approbation de
75 % au moins des comités membres votants.
La Norme internationale ISO 7498-2 a été élaborée par le comité technique
ISO/TC 97, Systèmes de traitement de l’information.
L’attention des utilisateurs est attirée sur le fait que toutes les Normes internationales
sont de temps en temps soumises à révision et que toute référence faite à une autre
norme internationale dans le présent document implique qu’il s’agit, sauf indication
contraire, de la dernière édition.
0 ISO 1989
Droits de reproduction réservés. Aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.
Organisation internationale de normalisation
Case postale 56 l CH-121 1 Genéve 20 l Suisse
Version francaise tirée en 1990
Imprimé en Suisse
ii
ISO 7498-2 : 1989 (F)
Sommaire
Page
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
0 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1 Objet et domaine d’application . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ,.*. 1
2 Réferences . . . .
..‘.......................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
3 Définitions et abréviations . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4 Notation . . . . . . .
................................................ 4
5 Description générale des services et des mécanismes de sécurité
............................................................................................. 4
5.1 Aperçu général
........................................................................................ 4
5.2 Services de securité
........................................................................ 5
5.3 Mécanismes de sécurité spécifiques
......................................................................... 7
5.4 Mécanismes de securité communs
........................................ 8
5.5 Illustration de la relation entre services et mécanismes de securité
................................................................. 8
6 Relations entre services, mécanismes et couche
6.1 Principes de la répartition des services et mécanismes de sécurité dans les couches . 8
..................................
6.2 Mod&e d’invocation, de gestion et d’utilisation des services (N) protégés 9
................... ........................................... 12
7 Placement des services et mecanismes de sécurité
........................................................................................... 12
7.1 Couche Physique
7.2 Couche Liaison de Données . 12
............................................................................................. 12
7.3 Couche Reseau
........................................................................................... 14
7.4 Couche Transport
............................................................................................. 14
7.5 Couche Session
7.6 Couche Présentation . 14
......................................................................................... 15
7.7 Couche Application
..................................... 16
7.8 Illustration de la relation entre les services de sécurite et les couches
............................................................................................... 17
8 Gestion de sécurité
............................................................ ..................................... 17
8.1 Généralités
...................................................................... 17
8.2 Catégories de gestion de sécurité OSI
8.3 Activités spécifiques de gestion de sécurite-système . 18
................................................ ........... 18
8.4 Fonctions de gestion de mécanismes de sécurité
Annexes
................................................................... 21
A Informations de base sur la sécurité dans I’OSI
B Justifications du placement des services et mécanismes de securite spécifié à l’article 7 . 29
C Choix du placement du mecanisme de chiffrement pour les applications. . . 32
. . .
III
Page blanche
NORME INTERNATIONALE 60 7498-2 : 1989 (F)
Systèmes de traitement de l’information -
Interconnexion de systèmes ouverts -
Modèle de référence de base -
Partie 2 :
Architecture de sécurité
b) définit où, dans l’architecture OSI, les services et
0 Introduction
mécanismes peuvent être fournis.
L’ISO 7498 décrit le Modèle de référence de base pour I’in-
La présente partie de I’ISO 7498 élargit le champ d’applica-
terconnexion de systémes ouverts (OSI). L’ISO 7498 établit
tion de I’ISO 7498 afin de couvrir les communications sûres
un cadre permettant de coordonner le développement des
entre systèmes ouverts.
normes existantes et à venir pour l’interconnexion des
systèmes.
L’objectif de I’OSI est de permettre l’interconnexion de sys-
Des services et des mécanismes de sécurité de base et leur
tèmes hétérogènes d’ordinateurs de façon à réaliser des
placement approprié ont été identifiés pour toutes les
communications utiles entre des processus d’application. À
couches du Modèle de référence de base. En outre, les rela-
différents moments, des contrôles de sécurité doivent être
tions architecturales entre les services et mécanismes de
établis pour protéger les informations échangées entre les
sécurité et le Modèle de référence de base ont été identi-
processus d’application. Ces contrôles devraient rendre le
fiées. Des mesures supplementaires de sécurité peuvent
coût d’obtention ou de modification des données plus impor-
être nécessaires dans des systèmes extrémité, installations
tant que la valeur potentielle de cette action ou allonger
et organisations. Ces mesures s’appliquent dans différents
tellement la durée requise pour obtenir les données que la
contextes d’application. La définition des services de sécu-
valeur des données serait perdue.
rité nécessaires à la prise en charge de ces mesures supplé-
mentaires de sécurité est en dehors du champ d’application
La présente partie de I’ISO 7498 définit les éléments géné-
de la présente Norme internationale.
raux d’architecture ayant trait à la sécurité, que l’on peut
appliquer de façon appropriée dans les cas où une protection
de la communication entre systèmes ouverts est requise.
Les fonctions de sécurité OSI ne concernent que les aspects
Dans le cadre du modèle de référence, elle établit des prin-
visibles d’une voie de communication permettant aux sys-
cipes directeurs et des contraintes permettant d’améliorer
tèmes extrémité de réaliser entre eux un transfert sûr d’in-
les normes existantes ou d’élaborer de nouvelles normes
formations. La sécurité OSI ne concerne pas des mesures de
dans le contexte de I’OSI pour permettre des communica-
sécurité nécessaires dans les systèmes extrémité, installa-
tions sûres et donner ainsi une approche cohérente de la
tions et organisations, sauf lorsque ces mesures ont des
sécurité dans I’OSI.
effets sur le choix et le placement de services de sécurité
visibles dans I’OSI. Ces derniers aspects de la sécurité peu-
Des connaissances de base en matiére de sécurité aideront à
’ comprendre la présente Norme internationale. II est conseillé vent être normalises, mais pas le cadre des normes OSI.
au lecteur n’ayant pas ces connaissances de lire en premier
l’annexe A.
La présente partie de I’ISO 7498 complète les concepts et
La présente partie de I’ISO 7498 est une extension du
principes définis dans I’ISO 7498 ; elle ne les modifie pas.
Modèle de référence de base destinée à couvrir les aspects
Elle ne constitue ni une spécification de réalisation de sys-
de sécurité qui sont des éléments généraux d’architecture
tèmes, ni une base d’évaluation de la conformité de réalisa-
des protocoles de communication, mais qui ne sont pas
tions de systèmes.
traités dans le Modèle de référence de base.
1 Objet et domaine d’application
2 R6fhences
La présente partie de I’ISO 7498 :
ISO 7498, Systèmes de traitement de l’information
a) donne une description générale des services de sécu-
rité et des mécanismes associés qui peuvent être fournis - Interconnexion de systèmes ouverts
par le Modèle de référence ; et - Modèle de référence de base.

ISO 7498-2 : 1989 (F)
3.3.1 contrôle d’accès : Précaution prise contre l’utilisa-
ISO 7498-4, Systèmes de traitement de l’information
tion non autorisée d’une ressource ; ceci comprend les pré-
- Interconnexion de systèmes ouverts
cautions prises contre l’utilisation d’une ressource de façon
- Modèle de référence de base.
non autorisée.
- Partie 4 : Cadre général de gestion.
ISO 7498/Add.I, Systèmes de traitement de l’information
- Interconnexion de systèmes ouverts 3.3.2 liste de contrôle d’accès : Liste des entités autori-
- Modèle de référence de base. sées à accéder à une ressource ; cette liste inclut les droits
- Additif 1 : Transmission en mode sans d’accès liés aux entités.
connexion.
Systèmes de traitement de l’information
/SO 8648, 3.3.3 imputabilité : Propriété qui garantit que les actions
- Interconnexion de systèmes ouverts
d’une entité ne peuvent être imputées qu’à cette entité.
- Organisation interne de la Couche
Réseau.
3.3.4 menace active : Menace de modifification non auto-
risée et délibérée de l’état du système.
NOTE - La modification et le fait de rejouer des messages, I’inser-
3 Définitions et abréviations
tion de faux messages, le déguisement d’une entité autorisée et le
3.1 La présente partie de I’ISO 7498 se fonde sur les déni de service sont des exemples de menaces actives.
concepts élaborés dans I’ISO 7498 et utilise les termes sui-
vants qui y sont définis :
3.3.5 audit : voir «audit de sécurité» (3.3.47).
a) connexion (N) ;
b) transmission de données (N) ;
3.3.6 enregistrement d’audit : voir < c) entité (N) ;
sécurité» (3.3.48).
d) facilité (N) ;
e) couche (N) ;
3.3.7 authentification : voir < f) système ouvert ;
gine l’origine des données>> et < g) entités homologues ;
homologue>> (3.3.22 et 3.3.40).
h) protocole (N) ;
j) unité de données de protocole (N
NOTE - Dans la présente partie de I’ISO 7498, le termectauthentifi-
k) relais (N) ;
catiotw n’est pas associé à l’intégrité des données ; le terme Anté-
1) routage ;
grité des données>> est utilisé à la place.
m) maintien en séquence ;
n) service (N) ;
p) unité de données de service (N) ; 3.3.8 information d’authentification : Information utili-
q) données utilisateur (N) ; sée pour établir la validité d’une identité déclarée.
r) sous-réseau ;
s) ressource OSI ; et
3.3.9 échange d’authentification : Mécanisme destiné à
t) syntaxe de transfert.
garantir l’identité d’une entité par échange d’informations.
3.3.10 autorisation : Attribution de droits, comprenant la
3.2 La présente partie de I’ISO 7498 utilise les termes
permission d’accès sur la base de droits d’accès.
suivants définis dans les Normes internationales citées en
référence.
3.3.11 disponibilité : Propriété d’être accessible et utili-
sable sur demande par une entité autorisée.
Transmission en mode
sans connexion (ISO 7498/Add. 1)
3.3.12 capacité : Jeton utilisé comme identificateur d’une
(ISO 7498)
Système extrémité
ressource de telle sorte que la possession du jeton confère
Fonction de relais et de routage (ISO 8648)
les droits d’accès à cette ressource.
UNITDATA (ISO 7498)
Base d’informations
(ISO 7498-4)
de gestion (MIB)
3.3.13 voie : Chemin de transfert de l’information.
En outre, les abréviations suivantes sont utilisées :
3.3.14 cryptogramme :
Données obtenues par I’utilisa-
interconnexion de systèmes ouverts ;
OSI tion du chiffrement. Le contenu sémantique des données
(Open Systems Interconnection)
résultantes n’est pas compréhensible.
SDU unité de données de service ;
- Le cryptogramme peut lui-même être réinjecté dans un
(Service Data Unit) NOTE
nouveau chiffrement pour produire un cryptogramme sur-chiffré.
SMIB base d’informations de gestion de sécurité ; et
(Security Management Information Base)
MIB base d’informations de gestion.
3.3.15 texte en clair : Données intelligibles dont la
(Management Information Base)
sémantique est compréhensible.
3.3.16 confidentialité : Propriété d’une information qui
n’est ni disponible, ni divulguée aux personnes, entités ou
3.3 Pour les besoins de la présente partie de
processus non autorisés.
I’ISO 7498,1es définitions suivantes sont applicables :
ISO 7498-2 : 1989 (F)
3.3.17 justificatif d’identité : Données transférées pour 3.3.30 politique de sécurité fondée sur l’identité : Politi-
que de sécurité fondée sur les identités et/ou les attributs
établir l’identité déclarée d’une entité.
des utilisateurs, d’un groupe d’utilisateurs ou d’entités agis-
sant au nom d’utilisateurs et sur les identités et/ou attributs
3.3.18 analyse cryptographique : Analyse d’un système
des ressources/objets auxquels on doit accéder.
cryptographique, et/ou de ses entrées et sorties, pour en
déduire des variables confidentielles et/ou des données
3.3.31 intégrité : voir <> (3.3.21).
sensibles, (y compris un texte en clair.
3.3.19 valeur de contrôle cryptographique : Information
3.3.32 clé : Série de sy mboles comma ndant les opéra-
obtenue en réalisant une transformation cryptographique
tions de chiffrement et de déchiff ‘rement.
(voir cryptographie) sur une unité de données.
Note - La valeur de contrôle peut être obtenue en une ou plusieurs
3.3.33 gestion de clés : Production, stockage, distribu-
étapes et résulte d’une fonction mathématique utilisant la clé et une
tion, suppression, archivage et application de clés confor-
unité de données. Elle permet de vérifier l’intégrité d’une unité de
mément à la politique de sécurité.
données.
3.3.34 chiffrement de liaison (liaison par liaison) : Appli-
Discipline incluant les principes,
3.3.20 cryptographie :
cation particulière du chiffrement à chaque liaison du sys-
moyens et méthodes de transformation des données, dans le
tème. [Voir aussi {chiffrement de bout en bout», (3.3.29)].
but de cacher leur contenu, d’empêcher que leur modifica-
tion passe inaperçue et/ou d’empêcher leur utilisation non
NOTE - Le chiffrement liaison p ar liaison impl ique que les données
autorisée.
soient du texte en clair dans les entités relais.
NOTE - La cryptographie détermine les méthodes de chiffrement et
3.3.35 détection de modification : Mécanisme utilisé
de déchiffrement. Une attaque portant sur les principes, moyens et
pour détecter les modifications, accidentelles ou intention-
méthodes de cryptographie est appelée une analyse cryptographi-
nelles, d’une unité de données.
que.
3.3.36 dég uisem ent : Prétention qu’a une entité d’en être
3.3.21 intégrité des données : Propriété assurant que des
une autre.
données n’ont pas été modifiées ou détruites de façon non
autorisée.
3.3.37 notarisation : Enregistrement de données chez un
3.3.22 authentification de l’origine des données :
tiers de confiance permettant de s’assurer ultérieurement
Confirmation que la source des données reçues est telle que
de leur exactitude (contenu, origine, date, remise).
déclarée.
3.3.38 menace passive : Menace d’une divulgation non
Opération inverse d’un chiffre-
3.3.23 déchiffrement :
autorisée des informations, sans que l’état du système ne
ment réversible.
soit modifié.
3.3.39 mot de passe :
3.3.24 décryptage : voir déchiffrement. Information d’authentification
confidentielle, habituellement composée d’une chaîne de
caractères.
Impossibilité d’accès à des res-
3.3.25 déni de service :
sources pour des utilisateurs autorisés ou introduction d’un
3.3.40 authentification de l’entité homologue : Confir-
retard pour le traitement d’opérations critiques.
mation qu’une entité homologue d’une association est bien
l’entité déclarée.
3.3.26 signature numérique : Données ajoutées à une
unité de données, ou transformation cryptographique (voir
3.3.41 sécurité physique : Mesures prises pour assurer la
cryptographie) d’une unité de données, permettant à un
protection des ressources contre des menaces délibérées ou
destinataire de prouver la source et l’intégrité de l’unité de
données et protégeant contre la contrefaçon (par le destina- accidentelles.
taire, par exemple).
3.3.42 politique : voir < chiffrement: Transformation cr yptographique(voir
3.3.27
laphie) de don nées produisant u n cryptogramme.
cryptogr
3.3.43 respect de la vie privée : Droit des individus de
contrôler ou d’agir sur des informations les concernant, qui
Le chiffrement ut être irréversible. Dan s ce cas, le déchif-
NOTE -
Pe
peuvent être collectées et stockées, et sur les personnes par
ne
frement correspondant peut pas être effectué.
lesquelles et auxquelles ces informations peuvent être
divulguées.
3.3.28 cryptage : voir chiffrement.
NOTE - Ce terme étant lié au droit privé, il ne peut pas être très
précis et son utilisation devrait être évitée sauf pour des besoins de
3.3.29 chiffrement de bout en bout : Chiffrement de
sécurité.
données à l’intérieur ou au niveau du système extrémité
source, le déchiffrement correspondant ne se produisant
3.3.44 répudiation : Le fait, pour une des entités impli-
qu’à l’intérieur, ou au niveau du système extrémité de desti-
quées dans la communication, de nier avoir participé aux
nation. [Voir aussi chiffrement de liaison (liaison par liai-
échanges, totalement ou en partie.
son) (3.3.34)].
ISO 7498-2 : 1989 (F)
4 Notation
La notation utlisée pour désigner les couches est la‘ même
que celle définie dans I’ISO 7498.
3.3.46 politique de sécurité fondée sur des règles : Poli-
tique de sécurité fondée sur des règles globales imposées à
Le terme > est utilisé p our se référer à un service de
tous les utilisateurs. Ces règles s’appuient généralement sur
sécurité, sauf autre précision.
une comparaison de la sensibilité des ressources auxquelles
on doit accéder avec les attributs correspondants d’ utilisa-
teurs, d’un groupe d’utilisateurs ou d’entités agissant au
5 Description générale des services et des
méca-
nom d’utilisateurs.
nismes de sécurité
3.3.47 audit de sécurité : Revue indépendante et examen
5.1 Aperçu général
des enregistrements et de l’activité du système afin de véri-
fier l’exactitude des contrôles du système pour s’assurer de
Les services de sécurité qui sont inclus dans l’architecture
leur concordance avec la politique de sécurité établie et les
de sécurité OSI et les mécanismes mettant en œuvre ces
procédures d’exploitation, pour détecter les infractions à la
services sont présentés dans le présent article. Les services
sécurité et pour recommander les modifications appropriées
de sécurité décrits ci-dessous sont des services de sécurité
des contrôles, de la politiques et des procédures.
de base. Dans la pratique, ils seront utilisésdans les couches
appropriées et selon des combinaisons appropriées, généra-
3.3.48 journal d’audit de sécurité : Données collectées et
lement avec des services et des mécanismes non-OSI, afin
pouvant éventuellement être utilisées pour permettre un
de satisfaire à la politique de sécurité et/ou aux exigences de
audit de sécurité.
l’utilisateur. On peut utiliser des mécanismes de sécurité
particuliers pour mettre en œuvre des combinaisons de ser-
3.3.49 étiquette de sécurité : Marque liée à une res-
vices de sécurité de base. Des réalisations pratiques de sys-
source dénommant ou désignant les attributs de sécurité de
tèmes peuvent mettre en œuvre des combinaisons particu-
cette ressource (cette ressource peut être une unité de
lières de services de sécurité de base pouvant être appelés
données).
directement.
I’associatio la marque à la ressource
NOTE - La marque et/ou n de
peuvent être implicites ou explicites.
5.2 Services de sécurité
3.3.50 politique de sécurité : Ensemble des critères per-
Les services suivants sont considérés comme étant des ser-
mettant de fournir des services de sécurité. [Voir aussi «poli-
vices de sécurité qui peuvent être fournis en option dans le
tique de sécurité fondée sur l’identité» (3.3.30) et «politi-
cadre du Modèle de référence OSI. Les services d’authentifi-
que de sécurité fondée sur des règles>> (3.3.46)].
cation nécessitent une information d’authentification com-
sécurité complète traite nécessa irement
NOTE - Une politique de
prenant des informations stockées localement et des don-
de sujets qui sont hors du champ d’application de I’OSI.
nées qui sont tranférées (preuves d’identité) pour faciliter
l’authentification.
3.3.51 service de sécurité : Service, fourni par une
couche de systèmes ouverts, garantissant une sécurité des
systèmes et du transfert de données.
5.2.1 Authentification
rotection de
3.3.5 2 protection sélectiv e des champs : P
Ces services assurent l’authentification d’une entité homo-
certai ns champs spécifiques dans un message à transmet-
logue communicante et l’authentification de la source des
tre.
données, comme décrit ci-dessous.
3.3.53 sensibilité : Caractéristique d’une ressource rela-
tive à sa valeur ou à son importance et, éventuellement, à sa
5.2.1.1 Authentification de l’entité homologue
vulnérabilité.
Lorsque ce service est fourni par la couche (N), il confirme à
3.3.54 signature : voir «signature numérique» (3.3.26)
l’entité (N+ 1) que l’entité homologue est bien l’entité (N+l )
déclarée.
3.3.55 menace : Violation potentielle de la sécurité.
Ce service est prévu pour être utilisé lors de l’établissement
3.3.56 analyse du trafic : Déduction d’informations à par-
de la phase de transfert de données d’une connexion, ou
tir de l’observation des flux de données (présence, absence,
parfois pendant cette phase, pour confirmer les identités
quantité, direction, fréquence).
d’une ou plusieurs entités connectées à une ou plusieurs
autres entités. Ce service garantit - uniquement lors de son
3.3.57 confidentialité du flux de données : Service de
utilisation -qu’une entité n’essaie pas de se déguiser ou de
confidentialité fournissant une protection contre l’analyse
rejouer une ancienne connexion de façon non autorisée. Des
du trafic.
schémas d’authentification unilatérale ou mutuelle d’entité
homologue, avec ou sans contrôle réitéré, sont possibles et
3.3.58 bourrage : Production d’instances de communica-
peuvent donner divers degrés de protection.
tion parasites, d’unités de données parasites et/ou de don-
nées parasites dans des unités de données.
5.2.1.2 Authentification de l’origine des données
3.3.59 fonctionnalité de confiance : Fonctionnalité per-
Lorsque ce service est fourni par la couche (N), il confirme à
çue comme correcte en ce qui concerne certains critères,
une entité (N+l ) que la source des données est bien l’entité
tels que ceux définis par une politique de sécurité, par
homologue (N-t- 1) déclarée.
exemple.
ISO 7498-2 : 1989 (F)
5.2.4.2 Intégrité en mode connexion sans reprise
Le service d’authentification de l’origine des données
confirme la source d’une unité de données. Le service n’as-
Comme pour 5.2.4.1, mais sans tentative de reprise.
sure pas de protection contre la duplication ou la modifica-
tion des unités de données.
5.2.4.3 Intégrité en mode connexion sélective par
champ
5.2.2 Contrôle d’actes
Ce service assure l’intégrité de champs sélectionnés dans
Ce service assure une protection contre toute utilisation non
les données de l’utilisateur (N) d’une unité de données de
autorisée des ressources accessibles via I’OSI. Celles-ci
service (N) au cours d’une connexion et prend la forme d’une
peuvent être des ressources OSI ou non OSI auxquelles on
indication permettant de savoir si les champs sélectionnés
accède via des protocoles OSI. Ce service de protection peut
ont été modifiés, insérés, supprimés ou rejoués.
être appliqué pour différents types d’accès à une ressource
(par exemple, l’utilisation d’une ressource de communica-
5.2.4.4 Intégrite en mode sans connexion
tion ; la lecture, l’écriture ou la suppression d’une ressource
d’information ; l’exécution d’une ressource de traitement) ou
Lorsque ce service est fourni par la couche (N), il donne
pour tous les accès à une ressource.
l’assurance de l’intégrité à l’entité (N+ 1) en demande.
Le contrôle d’accès se fera conformé ment aux différentes
Ce service assure l’intégrité d’une unité unique de données
litiques de sécurité (voir 6 .2.1 .l).
Po
de service en mode sans connexion et peut prendre la forme
d’une indication permettant de savoir si une unité de don-
5.2.3 Confidentialité des données
nées de service reçue a été modifiée. En outre, une forme
Ces services assurent la protection des données contre toute limitée de détection de donnée rejouée peut être fournie.
divulgation non autorisée, comme décrit ci-dessous.
5.2.4.5 Intégrité en mode sans con nexion sélective par
champ
5.2.3.1 Confidentialité des données en mode connexion
Ce service assure la confidentialité de toutes les données de
Ce service assure l’intégrité de champs sélectionnés dans
l’utilisateur (N) au cours d’une connexion (N).
une unité de données de service en mode sans connexion et
prend la forme d’une indication permettant de savoir si les
NOTE - Selon l’utilisation et la couche, il peut s’avérer approprié de
champs sélectionnés ont été modifiés.
protéger toutes les données, par exemple, les données exprès ou les
données d’une demande de connexion.
5.2.5 Non-répudiation
5.2.3.2 Confidentialité des données en mode sans peut prendre l’une des deux formes suivantes ou
Ce service
connexion les deux.
Ce service assure la confidentialité de toutes les données de
l’utilisateur (N) dans une unité de données de service(N) en 5.2.5.1 Non-répudiation avec preuve de l’origine
mode sans connexion.
Le destinataire des données reçoit la preuve de l’origine des
données. Cela le protégera de toute tentative de l’expéditeur
5.2.3.3 Confidentialité sélective par champ
de nier le fait qu’il a envoyé les données ou leur contenu.
Ce service assure la confidentialité de champs sélectionnés
dans les données de l’utilisateur (N) au cours d’une
5.2.5.2 Non-répudiation avec preuve de la remise
connexion (N) ou dans une unité de données de service(N
L’expéditeur des données reçoit la preuve de la remise des
mode sans connexion.
données. Cela le protègera contre toute tentative ultérieure
du destinataire de nier le fait d’avoir reçu les données ou leur
5.2.3.4 Confidentialité du flux de données
contenu.
Ce service assure la protection des informations qui pour-
raient être dérivées de l’observation des flux de données.
5.3
Mécanismes de sécurité spécifiques
5.2.4 Intégrité des données
Les mécanismes suivants peuvent être incorporés dans la
Ces services contrecarrent les menaces actives et peuvent couche (N) appropriée pour fournir certa
ins services décr its
mm
prendre l’une des formes décrites ci-dessous. en 5.2.
NOTE - L’utilisation du service d’authentification de l’entité homo-
5.3.1 Chiffrement
logue au début de la connexion et du service d’intégrité des données
au coursde la connexion peuvent confirmer conjointement la source 5.3.1 .l Le chiffrement peut assurer la confidentialité soit
de toutes les unités de données transférées au cours de la connexion,
des données, soit du flux de données et peut jouer un rôle
l’intégrité de ces unités de données, et peuvent, en outre, assurer la
dans un certain nombre d’autres mécanismes de sécurité ou
détection de la duplication des unités de données, par l’utilisation de les compléter comme le décrivent les paragraphes suivants.
numéros de séquence, par exemple.
5.2.4.1 Intégrité en mode connexion avec reprise
Ce service assure l’intégrité de toutes les données de I’utili-
sateur (N) au cours d’une connexion (N) et détecte toute a) chiffrement symétrique (c’est-a-dire à clé secrète), dans
donnée modifiée, insérée, supprimée ou rejouée dans une lequel la connaissance de la clé de chiffrement implique
une connaissance de la clé de déchiffrement et vice-versa
séquence entière d’unité de données de service (avec tenta-
tive de reprise). et ;
SO 7498-2 : 1989 (F)
5.3.3.2 Les mécanismes de contrôle d’accès peuvent, par
b) chiffrement asymétrique (par exemple, à clé publique)
exemple, être basés sur l’utilisation d’un ou plusieurs des
dans lequel la connaissance de la clé de chiffrement n’im-
éléments suivants :
plique pas la connaissance de la clé de déchiffrement, ou
vice-versa. Les deux clés de ce système sont parfois appe-
a) bases d’informations de contrôle d’accès où sont gardés
lées «clé publique» et «clé privée>>.
les droits d’accès des entités homologues. Ces informa-
tions peuvent être conservées par des centres d’autorisa-
Les algorithmes de chiffrement irréversibles peuvent ou
tion ou par l’entité à laquelle on a accès et peuvent avoir la
non utiliser une clé. Lorsqu’ils utilisent une clé, celle-ci
forme d’une liste de contrôle d’accès ou d’une matrice de
peut-être publique ou secrète.
structure hiérarchique ou répartie. Cela présuppose que
l’authentification de l’entité homologue ait été assurée ;
b) informations d’authentification telles que mots de
5.3.1.3 L’existence d’un mécanisme de chiffrement
passe, dont la possession et la présentation ultérieure sont
implique l’utilisation d’un mécanisme de gestion de clés
la preuve que de l’entité qui effectue l’accès y est autorisée;
sauf dans le cas de certains algorithmes de chiffrement
c) capacités, dont la possession et la présentation ulté-
irréversibles. Le paragraphe 8.4 donne certaines principes
rieure sont la preuve du droit à l’accès à l’entité ou à la
directeurs sur la méthodologie de gestion de clés.
ressource définie par la capacité ;
NOTE - U ne ca pacité devrait
être infalsifiable et devrait être
5.3.2 Mkanismes de signature numérique acheminée d’une manié re sûre.
d) étiquettes de sécurité qui, lorsqu’elles sont associées à
Ces mécanismes définissent deux procédures :
une entité, peuvent être utilisées pour accorder ou refuser
l’accès, généralement conformément à une politique de
signature d’une u nité de données ; et
a)
sécurité ;
vérification d’une unité de données signée.
b)
e) heure de la tentative d’accès ;
Le premier processus utilise une information qui est privée
(c’est-à-dire unique et confidentielle) pour le signataire. Le
f) route de la tentative d’accès ; et
second processus utilise des procédures et une information
qui sont disponibles dans le public, mais desquelles on ne g) durée de l’accès.
peut pas déduire l’information privée du signataire.
5.3.3.3 Des mécanismes de contrôle d’accès peuvent être
appliqués à l’une ou l’autre extrémité d’une association de
5.3.2.1 Le processus de signature implique soit un chif-
communication et/ou en tout point intermédiaire.
frement de l’unité de données, soit la production d’une
valeur de contrôle cryptographique de l’unité de données, en
Les contrôles d’accès effectués à l’origine ou en tout point
utilisant l’information privée du signataire comme une clé
intermédiaire sont utilisés pour déterminer si l’expéditeur
privée.
est autorisé à communiquer avec le destinataire et/ou à
utiliser les ressources de communications requises.
5.3.2.2 Le processus de vérification implique l’utilisation
de procédures et d’informations publiques pour déterminer
Pour une transmission de données en mode sans
si la signature a été produite avec l’information privée du
connexion, les besoins en mécanismes de contrôle d’accès
signataire.
de l’entité destinataire, doivent être connues à priori du côté
de l’entité source. Ces besoins doivent être enregistrés dans
5.3.2.3 La caractéristique essentielle du mécanisme de
la base d’informations de gestion de sécurité (voir 6.2 et 8.1).
signature est que la signature ne peut être produite qu’en
utilisant l’information privée du signataire. Donc, lorsqu’on
vérifie la signature, on peut prouver, par la suite, à une tierce
partie (par exemple, un juge ou un arbitre), à tout moment,
5.3.4 Mécanismes d’intégrité des données
que seul le détenteur unique de l’information privée peut
5.3.4.1 II y a deux aspects de l’intégrité des données :
avoir produit la signature.
l’intégrité d’une seule unité de données ou d’un seul champ
d’unité de données et l’intégrité d’un flot d’unités de don-
nées ou d’un flot de champs d’unité de données. En général,
5.3.3 Mkanismes de contrôle d’accb
différents mécanismes sont utilisés pour fournir ces deux
types de service d’intégrité, bien que la fourniture du second
Ces mécanismes peuvent utiliser l’identité authentifiée
sans le premier ne soit pas possible.
d’une entité ou des informations relatives à l’entité (telle que
l’appartenance à un ensemble connu d’entités) ou des capa-
cités de l’entité pour déte’rminer et appliquer les droits d’ac-
5.3.4.2 La détermination de l’intégrité d’une unité de
cès de l’entité. Si l’entité essaie d’utiliser une ressource non
données unique implique deux processus, l’un au niveau de
autorisée, ou une ressource utilisée avec un type d’accès
l’entité émettrice et l’autre au niveau de l’entité destinataire.
incorrect, la fonction de contrôle d’accès rejettera cette ten-
L’entité émettrice ajoute à une unité de données une quan-
tative et pourra en outre consigner l’incident afin de générer
tité qui est une fonction de la donnée. Cette quantité peut
une alarme et/ou de l’enregistrer dans le journal d’audit de
être une information supplémentaire, tel qu’un code de
sécurité. Toute notification à l’expéditeur d’un refus d’accès
contrôle par bloc ou une valeur de contrôle cryptographique,
pour une transmission de données en mode sans connexion
et peut elle-même être chiffrée. L’entité destinataire génère
ne peut être fournie qu’a la suite de contrôles d’accès impo-
une quantité correspondante et la compare à la quantité
sés à l’origine.
ISO 7498-2 : 1989 (F)
5.3.7 Mécanisme de contrôle de routage
reçue pour déterminer si les données ont été modifiées
pendant le transit. Ce mécanisme seul ne protègera pas
5.3.7.1 Les routes peuvent être choisies soit de façon
contre le fait de rejouer une unité de données unique. Dans
dynamique, soit par arrangement préalable de façon à n’uti-
des couches appropriées de l’architecture, la détection d’une
liser que des sous-réseaux, relais ou liaisons physiquement
manipulation peut conduire à une action de reprise (par
sûrs.
exemple via une retransmission ou une correction d’erreur)
5.3.7.2 Les systèmes extémité peuvent, lors de la détec-
au niveau de cette couche ou au niveau d’une couche
tion d’attaques persistantes par manipulation, souhaiter
supérieure.
demander au fournisseur du service de réseau d’établir une
connexion via une route différente.
5.3.4.3 Pour le transfert de données en mode connexion,
5.3.7.3 La politique de sécurité peut interdire le passage
la protection de l’intégrité d’une séquence d’unités de don-
de données portant certaines étiquettes de sécurité à travers
nées (c’est-à-dire, la protection contre les erreurs de
certains sous-réseaux, relais ou liaisons. L’initiateur d’une
séquencement, la perte, le fait de rejouer, l’insertion ou la
connexion (ou l’expéditeur d’une unité de données en mode
modification de données) nécessite en outre une certaine
sans connexion) peut aussi spécifier des interdictions de
forme de séquencement explicite telle que la numérotation
routage prescrivant d’éviter des sous-réseaux, liaisons ou
de séquence, I’horodatage ou le chaînage cryptographique.
relais spécifiques.
5.3.8 Mécanismes de notarisation
5.3.4.4 Pour la transmission de données en mode sans
Des propriétés relatives à des données communiquées entre
connexion, I’horodatage peut être utilisé pour assurer une
deux ou plusieurs entités, telles que leur intégrité, leur ori-
forme de protection limitée contre le fait de rejouer des
gine, leur date et leur destination, peuvent être garanties par
unités de données individuelles.
la fourniture d’un mécanisme de notarisation. La garantie
est fournie par un notaire (tierce partie) en qui les entités
communicantes ont confiance et qui détient les informations
5.3.5 Mécanisme d’échange d’authentification
nécessaires pour fournir la garantie requise de manière véri-
fiable. Chaque instance de communication peut utiliser la
1 Certa ines des techniques qu i peu vent être appli-
5.3.5.
signature numérique, le chiffrement et les mécanismes d’in-
au x écha nges d’authentification sont
quées
tégrité, de façon appropriée, pour le service que doit fournir
le notaire. Lorsqu’on fait appel à ce mécanisme de notarisa-
a) utilisation d’information d’authentification, telle que
tion, les données sont communiquées entre les entités
mots de passe - fournis par une entité émettrice et contrô-
communicantes via les instances de communication proté-
lés par l’entité destinataire ;
gées et le notaire.
b) techniques cryptographiques ; et
c) utilisation de caractéristiques et/ou de ce qui est propre
5.4 Mécanismes de sécurité communs
à l’entité.
Le présent paragraphe décrit un certain nombre de méca-
nismes qui ne sont pas spécifiques à un service particulier.
Ainsi, à l’article 7, ils ne sont pas décrits explicitement
5.3.5.2 Les mécanismes peuvent être incorporés dans la
comme faisant partie d’une couche particulière. Certains de
couche(N) afin d’assurer l’authentification de l’entité homo-
ces mécanismes de sécurité communs peuvent être consi-
logue. Si le mécanisme ne réussit pas à authentifier l’entité,
dérés comme des aspects de gestion de sécurité (voir égale-
cela provoquera le rejet ou la terminaison de la connexion et
ment l’article 8). L’importance de ces mécanismes est, en
cela peut également provoquer une entrée dans le journal
général, directement liée au niveau de sécurité requis.
d’audit de sécurité et/ou un rapport au centre de gestion de
la sécurité.
5.4.1 Fonctionnalités de confiance
5.4.1.1 Des fonctionnalités de confiance doivent être uti-
5.3.5.3 Lorsque des techniques cryptographiques sont
lisées pour étendre le domaine d’application ou pour établir
utilisées, elles peuvent être combinées à des protocoles
l’efficacité d’autres mécanismes de sécurité. Toute fonc-
«d’échanges interactifs» pour se protéger contre le fait de
tionnalité qui fournit directement des mécanismes de sécu-
rejouer (c’est-à-dire, pour s’assurer d’une présence effec-
rité, ou permet l’accès à ces mécanismes, devrait être digne
tive).
de confiance.
5.3.5.4 Le choix des techniques d’échange d’authentifica-
5.4.1.2 Les procédures utilisées pour assurer que l’on
tion dépendra des circonstances dans lesquelles elles seront
peut faire confiance à un matériel et un logiciel n’entrent pas
utilisées. Très souvent, il sera nécessaire de les utiliser avec :
dans le cadre de la présente norme et, en tout cas, varient
a) horodatage et horloges synchronisées ;
selon le niveau de menace perçu et la valeur des informa-
tions à protéger.
b) deux et trois échanges (respec tivement pour I’authenti-
f ication unilaré rale et mutuelle) ; et
5.4.1.3 Ces procédures sont en général coûteuses et diffi-
n réalisés ciles à mettre en œuvre. On peut réduire au minimum les
des S ervice S de n on -répudiatio
Cl Par
de notarisati on. problèmes en choisissant une architecture qui permette la
sig natu re numér ue et/ ou mécanismes
“Cl
mise en œuvre de fonctions de sécurité en modules qui
peuvent être séparés des fonctions non liées à la sécurité ou
5.3.6 Mécanismes de bourrage fournis par elles.
Les mécanismes de bourrage peuvent être utilisés pour 5.4.1.4 Toute protection d’associations au-dessus de la
assurer différents niveaux de protection contre l’analyse du couche sur laquelle porte la protection doit être fournie par
d’autres moyens, par exemple par une fonctionnalité de
trafic. Ce mécanisme ne peut être efficace que si le bourrage
confiance appropriée.
est protégé par un service de confidentialité.
ISO 7498-2 : 1989 (F)
5.4.2 Étiquettes de sécurité 5.4.4.2 La collecte d’informations pour le journal d’audit
de sécurité peut être adaptée à divers besoins en spécifiant
Les ressources comprenant des éléments de données peu-
le(s) type(s) d’événements relatifs à la sécurité à enregistrer
vent avoir des étiquettes de sécurité qui leur sont associées,
(par exemple, violations apparentes de la sécurité ou exécu-
par exemple, pour indiquer un niveau de sensibilité. II est
tion d’opérations réussies).
souvent nécessaire d’acheminer l’étiquette de sécurité
appropriée avec des données en transit. Une étiquette de
L’existence connue d’un journal d’audit de sécurité peut
sécurité peut être une donnée supplémentaire associée aux
servir d’élément dissuasif pour certaines sources poten-
données transférées ou peut être implicite ; elle peut, par
tielles d’attaques de sécurité.
exemple, être la conséquence de l’utilisation d’une clé spéci-
fique pour chiffrer les données ou résulter du contexte des
données tel que la source ou la route. Les étiquettes de
5.4.4.3 Les considérations liées à un journal d’audit de
sécurité explicites doivent être clairement identifiables afin
sécurité OSI tiendront compte du type d’information qui
de pouvoir être vérifiées de façon appropriée. En outre, elles
pourra, en option, être enregistrée, des conditions sous les-
doivent être liées d’une manière sûre aux données aux-
quelles cette information devra être enregistrée et de la
quelles elles sont associées.
définition syntaxique et sémantique à utiliser pour échanger
des informations de journal d’audit de sécurité.
5.4.3 Détection d’événements
5.4.5 Reprise de sécurité
5.4.3.1 La détection d’événements liés à la sécurité com-
pre
...