ISO/IEC 11577:1995

NORME
ISO/CEI
INTERNATIONALE
Première édition
1995-05-I 5
Technologies de l’information -
Interconnexion de systèmes ouverts
- Protocole de sécurité de la couche
(OW
réseau
Information technology - Open Systems Interconnection - Network
layer security protocol
ISOKEI 11577:1995(F)
Sommaire
Page
....................................................................................................................................
Domaine d’application
2 Références normatives .
2.1 Recommandations I Normes internationales identiques .
....... 2
Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
. 2.2
................................................................................................................... 3
2.3 Références additionnelles
3 Définitions .
.................................................................................................... 3
3.1 Définitions du modèle de référence
3.2 Définitions de l’architecture de sécurité .
Définitions des conventions de service .
3.3
.........................................................................................................
3.4 Définitions du service de réseau
................................................................... 4
3.5 Définitions de l’organisation interne de la couche réseau
............................................................. 4
3.6 Définitions du protocole de réseau en mode sans connexion
.................................................................... 4
3.7 Définitions du modèle de sécurité de couche supérieure
.....................................................................................................
3.8 Définitions des tests de conformité
................................................................................................................... 5
3.9 Définitions additionnelles
4 Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1 Unités de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 Champs d’unité de données de protocole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3 Paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4 Divers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vue d’ensemble du protocole .
5.1 Introduction .
5.2 Vue d’ensemble des services assurés .
Vue d’ensemble des services implicites .
5.3
.....................................................................................
5.4 Associations de sécurité et règles de sécurité
...................................................................... 9
5.5 Vue d’ensemble du protocole - Fonctions de protocole
.......................................................................................... 11
5.6 Vue d’ensemble du protocole - NLSP-CL
5.7 Vue d’ensemble du protocole - NLSP-CO .
0 ISO/CEI 1995
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication
ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé,
électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de
l’éditeur.
ISOKEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
ii
ISOKEI 11577: 1995(F)
0 ISOKEI
6 Fonctions de protocole communes aux protocoles NLSP-CL et NLSP-CO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
6.1
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
62 . Attributs SA communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
6.3 Fonctions communes lors d’une demande d’instance de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
64 . Fonctions de protocole de transfert de données sûres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
65 . Utilisation d’un protocole d’association de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
7 Fonctions de protocole pour le protocole NLSP-CL . 17
7.1 Services assurés par le protocole NLSP-CL .
7.2 Services implicites . 17
7.3 Attributs d’association de sécurité . 17
7.4 18
Vérifications .
7.5 Etablissement d’association SA dans la bande . 18
7.6 Traitement d’une demande NLSP-UNITDATA . 18
7.7 Traitement de l’indication UN-UNITDATA . 19
8 Fonctions de protocole pour le protocole NLSP-CO . 20
8.1 Services assures par le protocole NLSP-CO . 20
..............................................................................................................................
8.2 Services implicites 21
8.3 Attributs d’association de sécurité . 22
8.4 Vérifications et autres fonctions communes . 22
8.5 Fonctions NLSP-CONNECT . 23
......................................................................................................................
8.6 Fonctions NLSP-DATA 35
8.7 Fonctions NLSP-EXPEDITED-DATA (données exprès NLSP) . 36
8.8 Fonctions RESET (réinitialisation) . 37
89 . Fonctions NLSP-DATA-ACKNOWLEDGE . 38
8.10 Primitive NLSP-DISCONNECT . 39
8.11 Autres fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
8.12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentification de l’entité homologue 43
Vue d’ensemble des mécanismes utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*. 44
91 . Services et mécanismes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
9.2 Fonctions mises en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
10 Commande de sécurité de connexion (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
10.1 Vue d’ensemble . . . . . . . .*. 45
10.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
10.4 Champs de CSC PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11 Fonction d’encapsulation fondée sur la SDT PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
. . . . . . . . . . . . . . . . . . . .*. 50
11.3 Procédures
11.4 Champs de PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
12 Fonction d’encapsulation fondée sur l’attribut No-Header (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
12.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
12.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13 Structure et codage des PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.2 Format du champ de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
13.3 Données protégées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
13.4 PDU d’association de sécurité
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
13.5 PDU de commande de sécurité de connexion
. . .
ISOKEI 11577:1995(F)
@ ISOKEI
14 Conformité .
14.1 Conditions de conformité statique .
14.2 Conditions requises pour la conformité dynamique
............................................................................ 65
14.3 Déclaration de conformité d’une instance de protocole
......................................................................
Annexe A - Mise en correspondance des primitives UN avec la Rec. X.21 3 du CCITT 1 ISO 8348. .
Annexe B - Mise en correspondance des primitives UN avec la Rec. X.25 du CCITT I ISO 8208 .
Annexe C - Protocole d’association de sécurité utilisant l’échange de jetons de clé et des signatures
numériques .
Annexe D - Formulaire PICS NLSP .
Annexe E - Exposé de certains principes de base du NLSP .
Annexe F - Exemple d’ensemble agréé de règles de sécurité .
Annexe G - Associations et attributs de sécurité .
Annexe H - Exemple d’échange de jetons de clé - Algorithme EKE
..................................................................... 113

@ ISOKEI ISOKEI 11577: 1995(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes inter-
nationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de PIS0 et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouverne-
mentales ou non gouvernementales, en liaison avec 1’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 11577 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de Z’information, sous-comité SC 6,
Téléinformatique, en collaboration avec l’IUT-T. Le texte identique est publié en
tant que Recommandation IUT-T X.273.
NOTE - Les dates de publication de l’ISO/CEI 7498- 1, l’ISO/CEI 9646- 1,
1’ISOKEI 9646-2,l’ISOKEI 1073 1, l’ISO!CEI 10745 et 1’ISOKEI TR 13594, auxquelles
il est fait référence dans la présente Norme internationale, diffèrent de celles auxquelles il
est fait référence dans la Recommandation IUT-T X.273, du fait de la publication de
nouvelles éditions pendant la préparation finale de la présente Norme internationale.
Les annexes A à D font partie intégrante de la présente Norme internationale. Les
annexes E à H sont données uniquement à titre d’information.

ISOKEI 11577: 1995(F) 0 ISOKEI
Introduction
Le protocole défini par la présente Recommandation de I’UIT-T I Norme internationale est utilisé pour assurer des
services de sécurité servant de support a une instance de communication entre des entités de couche inférieure. Ce
protocole se caractérise, relativement aux autres normes, par la structure en couches définie dans la Rec. X.200 du
CCITT I ISO 7498 ainsi que par l’organisation de la couche réseau définie dans ISO 8648 et étendue par la Rec. X.802
de l’UIT-T I TR 13595 (modèle de sécurité de couche inférieure). Il permet la mise en œuvre de services de sécurité
servant de support à des services de réseau en mode connexion et sans connexion. Sa particularité est d’être situé dans la
couche réseau et d’avoir des interfaces fonctionnelles ainsi que des interfaces de service nettement définies à ses limites
supérieure et inférieure.
Pour évaluer la conformité d’une application particulière, il est nécessaire d’avoir une déclaration précisant quelles
capacités et options ont été mises en œuvre pour un protocole OS1 donné. Une telle déclaration est appelée déclaration
de conformité d’une instance de protocole (PICS).
vi
ISOKEI 11577 : 1995 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION - INTERCONNEXION DE SYSTÈMES
- PROTOCOLE DE SÉCURITÉ DE LA COUCHE RÉSEAU
OUVERTS (OSI)
Domaine d’application
La présente Recommandation de I’UIT-T I Norme internationale spécifie un protocole qui doit être utilisé par les
systèmes d’extrémité et les systèmes intermédiaires pour assurer des services de sécurité dans la couche réseau définie
par la Rec. X.213 du CCITT I ISO 8348 ainsi que par ISO 8348 AD2 et ISO 8648. Le protocole défini dans la présente
Recommandation de I’UIT-T I Norme internationale est appelé protocole de sécurité de couche réseau (NLSP).
La présente Recommandation de I’UIT-T I Norme internationale spécifie:
1) La mise en œuvre des services de sécurité suivants définis dans la Rec. X.800 du CCITT I ISO 7498-2:
authentification de l’entité homologue;
a>
authentification de l’origine des données;
W
contrôle d’accès;
confidentialité des données en mode connexion;
(0
confidentialité des données en mode sans connexion;
e)
confidentialité du flux de trafic;
f-l
intégrité en mode connexion sans reprise (y compris intégrité d .es unités de données, dans laquelle
Ii9
l’intégrité de chaque SDU est protégée au cours d’une connexion)
h) intégrité en mode sans connexion.
2) Les caractéristiques fonctionnelles requises pour les applications déclarées conformes à la présente
Recommandation de I’UIT-T I Norme internationale.
Les procédures du présent protocole sont définies en termes de:
conditions requises pour les techniques cryptographiques qui peuvent être utilisées dans une instance de
a>
ce protocole;
b) conditions requises pour les informations acheminées dans l’association de sécurité utilisée dans une
instance de communication.
Bien que le degré de protection offert par certains mécanismes de sécurité dépende de l’utilisation de certaines
techniques cryptographiques, la mise en œuvre correcte du présent protocole ne dépend pas du choix d’un algorithme de
codage ou de décodage particulier. Ce choix doit faire l’objet d’une décision locale au niveau des systèmes de
communication.
En outre, ni le choix ni l’application d’une politique de sécurité particulière n’entrent dans le cadre de la présente
Recommandation de I’UIT-T I Norme internationale. Il incombe aux autorités locales de choisir une politique de sécurité
particulière, donc le degré de protection qui sera assuré, parmi les systèmes qui utilisent une seule instance de
communication sûre. La présente Recommandation de KJIT-T I Norme internationale n’implique nullement que de
multiples instances de communication sûres faisant intervenir un seul système ouvert doivent utiliser le même protocole
de sécurité.
L’Annexe D décrit le formulaire PICS pour le protocole de sécurité de couche réseau conformément aux directives
pertinentes données dans ISOKEI 9646-2.
2 Références normatives
Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la référence qui
y est faite, constituent des dispositions valables pour la présente Recommandation de I’UIT-T I Norme internationale. Au
moment de la publication, les éditions indiquées étaient en vigueur. Toutes les Recommandations et Normes sont sujettes
à révision et les parties prenantes aux accords fondes sur la présente Recommandation de I’UIT-T I Norme internationale
Rec. UIT-T X.273 (1994 F)
ISOKEI 11577 : 1995 (F)
sont invitées à rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes
indiquées ci-apres. Les membres de la CE1 et de 1’ISO possèdent le registre des Normes internationales en vigueur. Le
Bureau de normalisation des télécommunications de 1’UIT tient à jour une liste des Recommandations de l’UIT-T
actuellement en vigueur.
21 . Recommandations I Normes internationales identiques
-
Recommandation X.21 3 du CCITT (1992) I ISO 8348: 1993, Technologie de I?nformation - Définition du
service de réseau pour I?nterconnexion de systèmes ouverts.
-
Recommandation UIT-T X.233 (1993) I ISO/CEI 8473:1994, Technologie de Z’information - Protocole
assurant le service réseau en mode sans connexion de I?nterconnexion de systèmes ouverts: Spécification
du protocole.
-
Technologie de Z’information -
Recommandation UIT-T X.802 (1994) I ISOKEI TR 13594: -l),
Interconnexion de systèmes ouverts - Modèle de sécurité des couches inférieures.
”
-
---Il, Technologie de I?nformation -
Recommandation UIT-T X.803 (1994) I ISOKEI TR 10745:
- Modèle de sécurité des couches supérieures.
Interconnexion de systèmes ouverts
22 . Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
-
Recommandation X.200 du CCITT (1988), Technologie de Z’information - Interconnexion de systèmes
ouverts - Mode de référence: Modèle de référence de base.
ISOKEI 7498- 1: 1994, Technologie de I?nformation - Interconnexion de systèmes ouverts - Modèle de
référence de base: Le modèle de base.
-
Recommandation X.209 du CCITT (1988), Spéci’cation des règles de codage de base pour la notation
de syntaxe abstraite numéro un (ASN. I).
ISOKEI 8825: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - Spécification
de règles de base pour coder la notation de svntaxe abstraite numéro un (ASN. I).
w
-
Recommandation X.210 du CCITT (1993), Technologie de Z’information - Interconnexion de systèmes
ouverts - Conventions pour la définition de services OSI.
- Interconnexion de systèmes ouverts - ModèZe de
ISOKEI 1073 1: 1994, Technologie de I’information
Référence de Base - Conventions pour la définition des services OSI.
-
Recommandation X.223 du CCITT (1988), Utilisation du protocole X.25 pour mettre en œuvre le service
de réseau en mode connexion de Z’OSI.
ISOKEI 8878:1992, Technologie de Z’information - Communication de données - Utilisation du
protocole X.25 pourfournir le service de réseau OSI en mode connexion.
-
Recommandation X.290 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI
pour les Recommandations sur les protocoles pour les applications du CCIU- Concepts généraux.
ISOKEI 9646- 1: 1994, Technologie de Z’information - Interconnexion de systèmes ouverts - Essais de
conformité - Méthodologie générale et procédures - Partie I: Concepts généraux.
-
Recommandation X.291 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI
pour les Recommandations sur les protocoZes pour les applications du CCITT - Spécification des suites
de tests abstraites.
ISO/CEI 9646-2: 1994, Technologie de Z ‘information - Interconnexion de systèmes ouverts - Essais de
conformité - Méthodologie générale et procédures - Partie 2: Spécification des suites de tests abstraites.
L .
-
- Interconnexion de systèmes
Recommandation X.509 du CCITT (1988), Technologie de Z’information
ouverts - L’annuaire: Cadre d’authentification.
ISOKEI 9594-8: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - L’annuaire -
Partie 8: Cadre général d’authentifîcation.
-
Recommandation X.800 du CCITT (1991), Architecture de sécurité pour Z’interconnexion en systèmes
ouverts d’applications du CCITT.
- Interconnexion de systèmes ouverts - Modèle
ISO 7498-2: 1989, Systèmes de traitement de Z’information
de référence de base - Partie 2: Architecture de sécurité.
1) À publier.
Rec. UIT-T X.273 (1994 F)
ISOKEI 11577 : 1995 (F)
23 . Références additionnelles
a-
ISOKEI 8208:1990, Technologie de l’information - Communication de données - Protocole X 2.5 de
.
couche paquets pour terminal de données.
-
ISO 8648: 1988, Systèmes de traitement de l’information - Communication de données - Organisation
interne de la couche réseau.
-
ISOKEI 9834- 1: 1993, Technologie de l’information - Interconnexion de systèmes ouverts - Procédures
Partie 1: Procédures générales.
pour des organismes d’enregistrement particuliers -
-
Interconnexion de systèmes ouverts - Procédures
ISOKEI 9834-3: 1990, Technologie de l’information -
pour des organismes d’enregistrement particuliers - Partie 3: Enregistrement des identificateurs d’objets
pour utilisation conjointement par I’ISO et le CCITT.
-
ISOKEI 9979: 199 1, Technologie de 1 ‘information - Techniques cryptographiques - Procédures pour
l’enregistrement des algorithmes cryptographiques.
-
Recommandation X.25 du CCITT (1993), Inteqace entre équipement terminal de données et équipement
de terminaison du circuit de données pour terminaux fonctionnant en mode paquet et raccordés par
circuit spécialisé à des réseaux publics pour données.
3 Définitions
31 .
Définitions du modèle de référence
La orésente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.200 du CCITT I
ISÔ 7498:
système d’extrémité;
a>
entité de réseau;
W
couche réseau;
C>
protocole de réseau;
unité de données de protocole de réseau;
e>
relais de réseau;
f-3
service de réseau;
s)
point d’accès au service de réseau;
W
adresse de point d’accès au service de réseau;
.
unité de données de service de réseau;
J)
unité de données de protocole;
k)
routage;
1)
service;
m>
unité de données de service.
n>
32 . Définitions de l’architecture de sécurité
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.800 du CCITT I
ISO 7498-2:
contrôle d’accès;
a>
b) confidentialité;
intégrité en mode connexion sans reprise;
C>
d) confidentialité des données en mode sans connexion;
intégrité en mode sans connexion;
e>
authentification de l’origine des données;
f)
g) décodage;
Rec. UIT-T X.273 (1994 F) 3
ISOKEI 11577 : 1995 (F)
h) signature numérique;
codage;
.
authentification de l’entité homologue;
J)
k) étiquette de sécurité;
1) service de sécurité;
confidentialité du flux de données.
m)
33 . Définitions des conventions de service
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.210 du CCITT I
ISO TR 8509:
a) fournisseur de service;
b) utilisateur de service.
34 . Définitions du service de réseau
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.213 du CCITT I
ISO 8348:
-
au
point de rattachement sous-réseau.
35 . Définitions de l’organisation interne de la couche réseau
La présente Recommandation I Norme internationale utilise les termes suivants définis dans ISO 8648:
système intermédiaire;
a)
b) système relais;
sous-réseau;
C>
d) protocole d’accès au sous-réseau;
e) protocole de convergence dépendant du sous-réseau;
f) protocole de convergence indépendant du sous-réseau.
36 . Définitions du protocole de réseau en mode sans connexion
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. UIT-T X.233 I
ISO 8473:
a) PDU initiale;
b) décision locale;
réassemblage;
C>
d) segment.
37 . Définitions du modèle de sécurité de couche supérieure
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. UIT-T X.803 I
ISO/CEI 10745:
a) politique d’interaction sûre;
b) relation de sécurité.
38 . Définitions des tests de conformité
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.290 du CCITT I
ISOKEI 9646- 1:
a) formulaire PICS;
déclaration de conformité d’une instance de protocole;
b)
revue de conformite statique.
C>
Rec. UIT-T X.273 (1994 F)
ISOKEI 11577 : 1995 (F)
39 . Définitions additionnelles
Les définitions suivantes s’appliquent pour les besoins de la présente Recommandation I Norme internationale:
.
3.9.1 SA-ID bloqué: SA-ID non disponible pour assignation à une association de sécurité en raison de la nécessité
d’empêcher sa réutilisation.
3.9.2 paire de clés: Paire de valeurs de clé liées (clé publique) ou identiques (clé secrète) pour utilisation entre deux
correspondants particuliers.
information de commande de sécurité: Information de commande de protocole (PCI) échangée par un
3.9.3
protocole de sécurité afin d’établir ou de maintenir une association de sécurité.
3.9.4 attributs SA: Ensemble d’informations requises pour commander la sécurité des communications entre une
entité’ et son ou ses homologue(s) distante(s).
association de sécurité: Relation de sécurité entre des entités de couche inférieure communicantes et pour
3.9.5
laquelle il existe des attributs SA correspondants.
intégrité d’unité de données: Forme d’intégrité de connexion dans laquelle l’intégrité de chaque SDU est
3.9.6
protégée mais où les erreurs dans la séquence des SDU ne sont pas detectées.
3.9.7 dans la bande: Transmission effectuée par des mécanismes de protocole utilisant la SA PDU définie dans la
présente Recommandation de I’UIT-T I Norme internationale.
hors bande: Transmission effectuée par des moyens autres que l’utilisation de la SA PDU.
3.9.8
3.9.9 règles de sécurité: Informations locales qui, compte tenu des services de sécurité sélectionnés, spécifient les
mécanismes de sécurité à utiliser, y compris tous les paramètres nécessaires pour le fonctionnement des mécanismes.
NOTE - Ces informations peuvent faire partie des règles d’interaction de sécurité définies dans la Rec. X.803 du CCITT 1
ISO 10745.
3.9.10 étiquette: Voir «étiquette de sécurité» (Rec. X.800 du CCITT I ISO 7498-2).
4 Abréviations
41 . Unités de données
NPDU Unité de données de protocole de réseau (network protocol data unit)
NSDU Unité de données de service de réseau (network service data unit)
PDU Unité de données de protocole (protocol data unit)
SDU Unité de données de service (service data unit)
42 . Champs d’unité de données de protocole
LI Indicateur de longueur (length indicator)
43 . Paramètres
Qualité de service (quality of service)
QOS
44 . Divers
ASSR Ensemble mutuellement convenu de règles de sécurité (agreed set of security rules)
CL Mode sans connexion (connectionless mode)
Protocole de réseau en mode sans connexion (connectionless mode network protocol)
CLNP
Service de réseau en mode sans connexion (connectionless mode network service)
CLNS
CO Mode connexion (connection mode)
CSC PDU PDU de commande de sécurité de connexion (connection security control PDU)
Rec. UIT-T X.273 (1994 F)
ISOKEI 11577 : 1995 (F)
Unité de données (data unit)
DU
Echange de clés exponentielles (exponential key exchange) (voir 1’Annexe H)
EKE
ES Système d’extrémité (end system)
ICV Valeur de contrôle d’intégrité (integrity check value)
IS Système intermédiaire (intermediate system)
ISN Numéro de séquence d’intégrité (integrity sequence number)
KEK Clé de codage de clés (key enciphering key)
NLSP Protocole de sécurité de couche réseau (network layer security protocol)
, NLSP-CO NLSP en mode connexion (NLSP for connection mode)
NLSP en mode sans connexion (NLSP for connectionless mode)
NLSP-CL
NLSPE Entité de NLSP (NLSP entity)
NS Service de réseau (network service)
Point d’accès au service de réseau (network service access point)
NSAP
PC1 Information de commande de protocole (protocol control information)
Unité de données de protocole (protocol data unit)
PDU
SA Association de sécurité (security association)
Identificateur d’association de sécurité (security association identifier)
SA-ID
SA-P Protocole d’association de sécurité (security association protocol)
SA PDU PDU d’association de sécurité (security association PDU)
SC1 Information de commande de sécurité (security control information)
SDT-PDU PDU de transfert de données sûres (secure data transfer PDU)
SN Sous-réseau (subnetwork)
SNAcP Protocole d’accès au sous-réseau (subnetwork access protocol)
SNICP Protocole de convergence indépendant du sous-réseau (subnetwork independent convergence
protocol)
SNPA Point de rattachement au sous-réseau (subnetwork point of attachment)
UN Réseau de base (underlying network)
Vue d’ensemble du protocole
51 . Introduction
Il existe deux modes de mise en œuvre du protocole NLSP qui sont:
a) le NLSP-CL - Utilisé pour assurer un service de réseau sûr en mode sans connexion;
b) le NI-SP-CO - Utilisé pour assurer un service de réseau sûr en mode connexion.
Les deux modes de protocole NLSP fonctionnent comme une sous-couche de la couche réseau. Le service fourni à
l’entité située au-dessus est appelé service de NLSP et le service censé être fourni au protocole NLSP est appelé service
de réseau de base (UN). Les préfixes UN et NLSP sont ajoutés aux primitives et aux paramètres pour distinguer
clairement le service désigné. Les services UN et NLSP sont des «interfaces notionnelles», c’est-a-dire qu’ils sont décrits
comme s’il s’agissait de services de couche mais résidaient potentiellement en totalité dans la couche réseau, selon
l’emplacement occupé par la sous-couche de protocole NLSP (voir YAnnexe E).
Les deux modes de protocole NLSP peuvent être mis en œuvre dans des systèmes d’extrémité et dans des systèmes
intermédiaires. Ils permettent tous deux de protéger, à titre facultatif, l’adresse NLSP d’origine et de destination ainsi que
d’autres paramètres NLSP-CONNECT (connexion de NLSP). Le protocole NLSP-CO peut être mis en œuvre à un
emplacement quelconque de la couche réseau. Le protocole NLSP-CL peut être mis en œuvre a un emplacement
quelconque de la couche réseau au-dessus du protocole de convergence dépendant du sous-réseau (voir ISO 8648).
Rec. UIT-T X.273 (1994 F)
ISOKEI 11577 : 1995 (F)
Le protocole est conçu de telle sorte qu’il puisse être optimisé pour répondre à un ensemble de conditions lorsque la
préoccupation principale est d’assurer une haute sécurité dans des environnements où il s’agit d’obtenir le meilleur
rendement possible des communications. Une option «no-header» (absence d’en-tête) dans laquelle l’incidence sur le
rendement des communications est minimale bien que, éventuellement, avec une sécurité réduite, est notamment offerte
dans le protocole NLSP-CO.
Le protocole NLSP est fondé sur le concept d’association de sécurité (SA) qui peut exister en dehors d’une primitive
UNITDATA (unité de données) en mode sans connexion ou d’une connexion. Un ensemble d’attributs définissant des
paramètres pour la sécurité (par exemple, algorithme, clés, etc.) est spécifié pour l’association SA.
Le protocole assure le même mode de service (CO ou CL) à ses limites supérieure et inférieure.
Le protocole permet d’utiliser un large éventail de mécanismes de sécurité particuliers (normalisés et non normalisés).
Les utilisateurs et les réalisateurs doivent choisir, pour utilisation avec ce protocole, les mécanismes de sécurité
appropriés pour assurer leur service de sécurité et le niveau de protection nécessaire. Les articles 9 à 12 et 1’Annexe C
définissent le mode de mise en œuvre d’un ensemble de mécanismes particuliers pour tous les services de sécurité
nécessaires au protocole NLSP.
La protection en matière de sécurité que le NLSP tente d’assurer découle des conditions de service de sécurité établies
par l’autorité responsable du domaine de sécurité.
NOTE - L’utilisation du paramètre QOS de protection du service NLSP est un problème d’ordre local qui sort du cadre de
la présente Recommandation de WIT-T I Norme internationale.
52 . Vue d’ensemble des services assurés
Le protocole NLSP assure les services de sécurité définis dans la Rec. X.800 du CCITT I ISO 7498-2 comme étant
appropriés à la couche réseau ainsi que les services de couche de réseau OS1 définis dans la Rec. X.213 du CCITT I
ISO 8348 et ISO 8348/ADl.
Le protocole NLSP-CL permet d’assurer les services de sécurité suivants s’ils sont sélectionnés:
authentification de l’origine des données;
a>
contrôle d’accès;
W
confidentialité des données
en mode sans CO nnexion. Cette protection inclut, à titre facultatif, tous les
C>
paramètres de service NLSP selon les services de sécurité sélectionnés;
d) confidentialité du flux de trafic;
intégrité en mode sans connexion. Cette protection inclut, à titre facultatif, tous les paramètres de service
e)
NLSP selon les services de sécurité sélectionnés.
Le protocole NLSP-CO permet d’assurer les services de sécurité suivants s’ils sont sélectionnés:
authentification de l’entité homologue;
a>
b) contrôle d’accès;
confidentialité des données en mode connexion. Cette protection incl ut, à titre facultatif, tous les
C>
paramètres de connexion NLSP selon les services de sécuri .té sélectionnés;
d) confidentialité du flux de trafic;
intégrité en mode connexion sans reprise. Cette protection inclut, a titre facultatif, tous les paramètres de
e>
connexion NLSP selon les services de sécurité sélectionnés. Elle inclut également, à titre facultatif,
l’intégrité d’une séquence d’unités SDU.
53 . Vue d’ensemble des services implicites
Les services implicites situés au-dessous du protocole NLSP sont appelés services de réseau de base (UN). Les services
de base assurés implicitement par le protocole NLSP-CL utilisent les mêmes primitives que celles définies dans le
service de réseau en mode sans connexion (Rec. X.213 du CCITT I ISO 8348/ADl).
Pour le protocole NLSP-CO, l’interface UN est modélisée en deux parties:
un service utilisant les mêmes primitives que celles de la Rec. X.213 du CCITT I ISO 8348 avec, en outre,
a>
un paramètre appelé paramètre d’authentification UN;
b) la mise en correspondance de ce service avec le service de réseau normalisé ou directement avec la
Rec. X.25 du CCITT I ISO 8208.
Rec. UIT-T X.273 (1994 F) 7
ISOKEI 11577 : 1995 (F)
L’adresse de réseau acheminée dans les primitives NLSP est appelée adresse NLSP. Ce paramètre de service identifie
l’entité d’utilisateur NLSP qui peut être ou non une entité de transport selon que d’autres protocoles de couche réseau sont
utilisés au-dessus du protocole NLSP ou que l’entité NLSP (NLSPE) est située dans un système d’extrémité (ES) ou un
système intermédiaire (1s). L’adresse de réseau transmise au réseau de base est appelée adresse UN. Ce paramètre UN
équivaut a l’adresse SNPA si, et seulement si, aucun protocole n’est mis en œuvre entre l’entité NLSP et l’entité d’accès
au sous-réseau.
54 .
Associations de sécurité et règles de sécurité
5.4.1
Associations de sécurité
La mise en œuvre du protocole NLSP est commandée par un ensemble d’informations de gestion de sécurité (par
exemple, informations de sélection de services de sécurité, identificateur d’algorithme de sécurité, clés cryptographiques)
appelées attributs d’association de sécurité (attributs SA). L’ensemble d’attributs d’association de sécurité nécessaires
pour gérer la fourniture de services de sécurité entre les entités communicantes est appelé association de sécurité.
Les associations de sécurité sont décrites d’une manière plus détaillée dans la Rec. UIT-T X.802 I ISOKEI TR 13594
(modèle de sécurité des couches inférieures).
Les attributs SA nécessaires pour les deux protocoles NLSP-CL et NLSP-CO sont définis au 6.2. Les attributs SA
nécessaires pour le protocole NLSP-CL sont définis au 7.4. Les attributs SA nécessaires pour le protocole NLSP-CO
sont définis au 8.4. D’autres attributs spécifiques des mécanismes sont définis aux 10.2, 11.2 et 12.2.
Pour protéger une instance de communication (une SDU en mode sans connexion ou une connexion), on utilise une
association SA appropri
...

NORME
ISO/CEI
INTERNATIONALE
Première édition
1995-05-I 5
Technologies de l’information -
Interconnexion de systèmes ouverts
- Protocole de sécurité de la couche
(OW
réseau
Information technology - Open Systems Interconnection - Network
layer security protocol
ISOKEI 11577:1995(F)
Sommaire
Page
....................................................................................................................................
Domaine d’application
2 Références normatives .
2.1 Recommandations I Normes internationales identiques .
....... 2
Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
. 2.2
................................................................................................................... 3
2.3 Références additionnelles
3 Définitions .
.................................................................................................... 3
3.1 Définitions du modèle de référence
3.2 Définitions de l’architecture de sécurité .
Définitions des conventions de service .
3.3
.........................................................................................................
3.4 Définitions du service de réseau
................................................................... 4
3.5 Définitions de l’organisation interne de la couche réseau
............................................................. 4
3.6 Définitions du protocole de réseau en mode sans connexion
.................................................................... 4
3.7 Définitions du modèle de sécurité de couche supérieure
.....................................................................................................
3.8 Définitions des tests de conformité
................................................................................................................... 5
3.9 Définitions additionnelles
4 Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1 Unités de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 Champs d’unité de données de protocole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3 Paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4 Divers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vue d’ensemble du protocole .
5.1 Introduction .
5.2 Vue d’ensemble des services assurés .
Vue d’ensemble des services implicites .
5.3
.....................................................................................
5.4 Associations de sécurité et règles de sécurité
...................................................................... 9
5.5 Vue d’ensemble du protocole - Fonctions de protocole
.......................................................................................... 11
5.6 Vue d’ensemble du protocole - NLSP-CL
5.7 Vue d’ensemble du protocole - NLSP-CO .
0 ISO/CEI 1995
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication
ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé,
électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de
l’éditeur.
ISOKEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
ii
ISOKEI 11577: 1995(F)
0 ISOKEI
6 Fonctions de protocole communes aux protocoles NLSP-CL et NLSP-CO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
6.1
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
62 . Attributs SA communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
6.3 Fonctions communes lors d’une demande d’instance de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
64 . Fonctions de protocole de transfert de données sûres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
65 . Utilisation d’un protocole d’association de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
7 Fonctions de protocole pour le protocole NLSP-CL . 17
7.1 Services assurés par le protocole NLSP-CL .
7.2 Services implicites . 17
7.3 Attributs d’association de sécurité . 17
7.4 18
Vérifications .
7.5 Etablissement d’association SA dans la bande . 18
7.6 Traitement d’une demande NLSP-UNITDATA . 18
7.7 Traitement de l’indication UN-UNITDATA . 19
8 Fonctions de protocole pour le protocole NLSP-CO . 20
8.1 Services assures par le protocole NLSP-CO . 20
..............................................................................................................................
8.2 Services implicites 21
8.3 Attributs d’association de sécurité . 22
8.4 Vérifications et autres fonctions communes . 22
8.5 Fonctions NLSP-CONNECT . 23
......................................................................................................................
8.6 Fonctions NLSP-DATA 35
8.7 Fonctions NLSP-EXPEDITED-DATA (données exprès NLSP) . 36
8.8 Fonctions RESET (réinitialisation) . 37
89 . Fonctions NLSP-DATA-ACKNOWLEDGE . 38
8.10 Primitive NLSP-DISCONNECT . 39
8.11 Autres fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
8.12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentification de l’entité homologue 43
Vue d’ensemble des mécanismes utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*. 44
91 . Services et mécanismes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
9.2 Fonctions mises en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
10 Commande de sécurité de connexion (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
10.1 Vue d’ensemble . . . . . . . .*. 45
10.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
10.4 Champs de CSC PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11 Fonction d’encapsulation fondée sur la SDT PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
. . . . . . . . . . . . . . . . . . . .*. 50
11.3 Procédures
11.4 Champs de PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
12 Fonction d’encapsulation fondée sur l’attribut No-Header (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
12.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
12.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13 Structure et codage des PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.2 Format du champ de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
13.3 Données protégées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
13.4 PDU d’association de sécurité
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
13.5 PDU de commande de sécurité de connexion
. . .
ISOKEI 11577:1995(F)
@ ISOKEI
14 Conformité .
14.1 Conditions de conformité statique .
14.2 Conditions requises pour la conformité dynamique
............................................................................ 65
14.3 Déclaration de conformité d’une instance de protocole
......................................................................
Annexe A - Mise en correspondance des primitives UN avec la Rec. X.21 3 du CCITT 1 ISO 8348. .
Annexe B - Mise en correspondance des primitives UN avec la Rec. X.25 du CCITT I ISO 8208 .
Annexe C - Protocole d’association de sécurité utilisant l’échange de jetons de clé et des signatures
numériques .
Annexe D - Formulaire PICS NLSP .
Annexe E - Exposé de certains principes de base du NLSP .
Annexe F - Exemple d’ensemble agréé de règles de sécurité .
Annexe G - Associations et attributs de sécurité .
Annexe H - Exemple d’échange de jetons de clé - Algorithme EKE
..................................................................... 113

@ ISOKEI ISOKEI 11577: 1995(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes inter-
nationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de PIS0 et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouverne-
mentales ou non gouvernementales, en liaison avec 1’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 11577 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de Z’information, sous-comité SC 6,
Téléinformatique, en collaboration avec l’IUT-T. Le texte identique est publié en
tant que Recommandation IUT-T X.273.
NOTE - Les dates de publication de l’ISO/CEI 7498- 1, l’ISO/CEI 9646- 1,
1’ISOKEI 9646-2,l’ISOKEI 1073 1, l’ISO!CEI 10745 et 1’ISOKEI TR 13594, auxquelles
il est fait référence dans la présente Norme internationale, diffèrent de celles auxquelles il
est fait référence dans la Recommandation IUT-T X.273, du fait de la publication de
nouvelles éditions pendant la préparation finale de la présente Norme internationale.
Les annexes A à D font partie intégrante de la présente Norme internationale. Les
annexes E à H sont données uniquement à titre d’information.

ISOKEI 11577: 1995(F) 0 ISOKEI
Introduction
Le protocole défini par la présente Recommandation de I’UIT-T I Norme internationale est utilisé pour assurer des
services de sécurité servant de support a une instance de communication entre des entités de couche inférieure. Ce
protocole se caractérise, relativement aux autres normes, par la structure en couches définie dans la Rec. X.200 du
CCITT I ISO 7498 ainsi que par l’organisation de la couche réseau définie dans ISO 8648 et étendue par la Rec. X.802
de l’UIT-T I TR 13595 (modèle de sécurité de couche inférieure). Il permet la mise en œuvre de services de sécurité
servant de support à des services de réseau en mode connexion et sans connexion. Sa particularité est d’être situé dans la
couche réseau et d’avoir des interfaces fonctionnelles ainsi que des interfaces de service nettement définies à ses limites
supérieure et inférieure.
Pour évaluer la conformité d’une application particulière, il est nécessaire d’avoir une déclaration précisant quelles
capacités et options ont été mises en œuvre pour un protocole OS1 donné. Une telle déclaration est appelée déclaration
de conformité d’une instance de protocole (PICS).
vi
ISOKEI 11577 : 1995 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION - INTERCONNEXION DE SYSTÈMES
- PROTOCOLE DE SÉCURITÉ DE LA COUCHE RÉSEAU
OUVERTS (OSI)
Domaine d’application
La présente Recommandation de I’UIT-T I Norme internationale spécifie un protocole qui doit être utilisé par les
systèmes d’extrémité et les systèmes intermédiaires pour assurer des services de sécurité dans la couche réseau définie
par la Rec. X.213 du CCITT I ISO 8348 ainsi que par ISO 8348 AD2 et ISO 8648. Le protocole défini dans la présente
Recommandation de I’UIT-T I Norme internationale est appelé protocole de sécurité de couche réseau (NLSP).
La présente Recommandation de I’UIT-T I Norme internationale spécifie:
1) La mise en œuvre des services de sécurité suivants définis dans la Rec. X.800 du CCITT I ISO 7498-2:
authentification de l’entité homologue;
a>
authentification de l’origine des données;
W
contrôle d’accès;
confidentialité des données en mode connexion;
(0
confidentialité des données en mode sans connexion;
e)
confidentialité du flux de trafic;
f-l
intégrité en mode connexion sans reprise (y compris intégrité d .es unités de données, dans laquelle
Ii9
l’intégrité de chaque SDU est protégée au cours d’une connexion)
h) intégrité en mode sans connexion.
2) Les caractéristiques fonctionnelles requises pour les applications déclarées conformes à la présente
Recommandation de I’UIT-T I Norme internationale.
Les procédures du présent protocole sont définies en termes de:
conditions requises pour les techniques cryptographiques qui peuvent être utilisées dans une instance de
a>
ce protocole;
b) conditions requises pour les informations acheminées dans l’association de sécurité utilisée dans une
instance de communication.
Bien que le degré de protection offert par certains mécanismes de sécurité dépende de l’utilisation de certaines
techniques cryptographiques, la mise en œuvre correcte du présent protocole ne dépend pas du choix d’un algorithme de
codage ou de décodage particulier. Ce choix doit faire l’objet d’une décision locale au niveau des systèmes de
communication.
En outre, ni le choix ni l’application d’une politique de sécurité particulière n’entrent dans le cadre de la présente
Recommandation de I’UIT-T I Norme internationale. Il incombe aux autorités locales de choisir une politique de sécurité
particulière, donc le degré de protection qui sera assuré, parmi les systèmes qui utilisent une seule instance de
communication sûre. La présente Recommandation de KJIT-T I Norme internationale n’implique nullement que de
multiples instances de communication sûres faisant intervenir un seul système ouvert doivent utiliser le même protocole
de sécurité.
L’Annexe D décrit le formulaire PICS pour le protocole de sécurité de couche réseau conformément aux directives
pertinentes données dans ISOKEI 9646-2.
2 Références normatives
Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la référence qui
y est faite, constituent des dispositions valables pour la présente Recommandation de I’UIT-T I Norme internationale. Au
moment de la publication, les éditions indiquées étaient en vigueur. Toutes les Recommandations et Normes sont sujettes
à révision et les parties prenantes aux accords fondes sur la présente Recommandation de I’UIT-T I Norme internationale
Rec. UIT-T X.273 (1994 F)
ISOKEI 11577 : 1995 (F)
sont invitées à rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes
indiquées ci-apres. Les membres de la CE1 et de 1’ISO possèdent le registre des Normes internationales en vigueur. Le
Bureau de normalisation des télécommunications de 1’UIT tient à jour une liste des Recommandations de l’UIT-T
actuellement en vigueur.
21 . Recommandations I Normes internationales identiques
-
Recommandation X.21 3 du CCITT (1992) I ISO 8348: 1993, Technologie de I?nformation - Définition du
service de réseau pour I?nterconnexion de systèmes ouverts.
-
Recommandation UIT-T X.233 (1993) I ISO/CEI 8473:1994, Technologie de Z’information - Protocole
assurant le service réseau en mode sans connexion de I?nterconnexion de systèmes ouverts: Spécification
du protocole.
-
Technologie de Z’information -
Recommandation UIT-T X.802 (1994) I ISOKEI TR 13594: -l),
Interconnexion de systèmes ouverts - Modèle de sécurité des couches inférieures.
”
-
---Il, Technologie de I?nformation -
Recommandation UIT-T X.803 (1994) I ISOKEI TR 10745:
- Modèle de sécurité des couches supérieures.
Interconnexion de systèmes ouverts
22 . Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
-
Recommandation X.200 du CCITT (1988), Technologie de Z’information - Interconnexion de systèmes
ouverts - Mode de référence: Modèle de référence de base.
ISOKEI 7498- 1: 1994, Technologie de I?nformation - Interconnexion de systèmes ouverts - Modèle de
référence de base: Le modèle de base.
-
Recommandation X.209 du CCITT (1988), Spéci’cation des règles de codage de base pour la notation
de syntaxe abstraite numéro un (ASN. I).
ISOKEI 8825: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - Spécification
de règles de base pour coder la notation de svntaxe abstraite numéro un (ASN. I).
w
-
Recommandation X.210 du CCITT (1993), Technologie de Z’information - Interconnexion de systèmes
ouverts - Conventions pour la définition de services OSI.
- Interconnexion de systèmes ouverts - ModèZe de
ISOKEI 1073 1: 1994, Technologie de I’information
Référence de Base - Conventions pour la définition des services OSI.
-
Recommandation X.223 du CCITT (1988), Utilisation du protocole X.25 pour mettre en œuvre le service
de réseau en mode connexion de Z’OSI.
ISOKEI 8878:1992, Technologie de Z’information - Communication de données - Utilisation du
protocole X.25 pourfournir le service de réseau OSI en mode connexion.
-
Recommandation X.290 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI
pour les Recommandations sur les protocoles pour les applications du CCIU- Concepts généraux.
ISOKEI 9646- 1: 1994, Technologie de Z’information - Interconnexion de systèmes ouverts - Essais de
conformité - Méthodologie générale et procédures - Partie I: Concepts généraux.
-
Recommandation X.291 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI
pour les Recommandations sur les protocoZes pour les applications du CCITT - Spécification des suites
de tests abstraites.
ISO/CEI 9646-2: 1994, Technologie de Z ‘information - Interconnexion de systèmes ouverts - Essais de
conformité - Méthodologie générale et procédures - Partie 2: Spécification des suites de tests abstraites.
L .
-
- Interconnexion de systèmes
Recommandation X.509 du CCITT (1988), Technologie de Z’information
ouverts - L’annuaire: Cadre d’authentification.
ISOKEI 9594-8: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - L’annuaire -
Partie 8: Cadre général d’authentifîcation.
-
Recommandation X.800 du CCITT (1991), Architecture de sécurité pour Z’interconnexion en systèmes
ouverts d’applications du CCITT.
- Interconnexion de systèmes ouverts - Modèle
ISO 7498-2: 1989, Systèmes de traitement de Z’information
de référence de base - Partie 2: Architecture de sécurité.
1) À publier.
Rec. UIT-T X.273 (1994 F)
ISOKEI 11577 : 1995 (F)
23 . Références additionnelles
a-
ISOKEI 8208:1990, Technologie de l’information - Communication de données - Protocole X 2.5 de
.
couche paquets pour terminal de données.
-
ISO 8648: 1988, Systèmes de traitement de l’information - Communication de données - Organisation
interne de la couche réseau.
-
ISOKEI 9834- 1: 1993, Technologie de l’information - Interconnexion de systèmes ouverts - Procédures
Partie 1: Procédures générales.
pour des organismes d’enregistrement particuliers -
-
Interconnexion de systèmes ouverts - Procédures
ISOKEI 9834-3: 1990, Technologie de l’information -
pour des organismes d’enregistrement particuliers - Partie 3: Enregistrement des identificateurs d’objets
pour utilisation conjointement par I’ISO et le CCITT.
-
ISOKEI 9979: 199 1, Technologie de 1 ‘information - Techniques cryptographiques - Procédures pour
l’enregistrement des algorithmes cryptographiques.
-
Recommandation X.25 du CCITT (1993), Inteqace entre équipement terminal de données et équipement
de terminaison du circuit de données pour terminaux fonctionnant en mode paquet et raccordés par
circuit spécialisé à des réseaux publics pour données.
3 Définitions
31 .
Définitions du modèle de référence
La orésente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.200 du CCITT I
ISÔ 7498:
système d’extrémité;
a>
entité de réseau;
W
couche réseau;
C>
protocole de réseau;
unité de données de protocole de réseau;
e>
relais de réseau;
f-3
service de réseau;
s)
point d’accès au service de réseau;
W
adresse de point d’accès au service de réseau;
.
unité de données de service de réseau;
J)
unité de données de protocole;
k)
routage;
1)
service;
m>
unité de données de service.
n>
32 . Définitions de l’architecture de sécurité
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.800 du CCITT I
ISO 7498-2:
contrôle d’accès;
a>
b) confidentialité;
intégrité en mode connexion sans reprise;
C>
d) confidentialité des données en mode sans connexion;
intégrité en mode sans connexion;
e>
authentification de l’origine des données;
f)
g) décodage;
Rec. UIT-T X.273 (1994 F) 3
ISOKEI 11577 : 1995 (F)
h) signature numérique;
codage;
.
authentification de l’entité homologue;
J)
k) étiquette de sécurité;
1) service de sécurité;
confidentialité du flux de données.
m)
33 . Définitions des conventions de service
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.210 du CCITT I
ISO TR 8509:
a) fournisseur de service;
b) utilisateur de service.
34 . Définitions du service de réseau
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.213 du CCITT I
ISO 8348:
-
au
point de rattachement sous-réseau.
35 . Définitions de l’organisation interne de la couche réseau
La présente Recommandation I Norme internationale utilise les termes suivants définis dans ISO 8648:
système intermédiaire;
a)
b) système relais;
sous-réseau;
C>
d) protocole d’accès au sous-réseau;
e) protocole de convergence dépendant du sous-réseau;
f) protocole de convergence indépendant du sous-réseau.
36 . Définitions du protocole de réseau en mode sans connexion
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. UIT-T X.233 I
ISO 8473:
a) PDU initiale;
b) décision locale;
réassemblage;
C>
d) segment.
37 . Définitions du modèle de sécurité de couche supérieure
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. UIT-T X.803 I
ISO/CEI 10745:
a) politique d’interaction sûre;
b) relation de sécurité.
38 . Définitions des tests de conformité
La présente Recommandation I Norme internationale utilise les termes suivants définis dans la Rec. X.290 du CCITT I
ISOKEI 9646- 1:
a) formulaire PICS;
déclaration de conformité d’une instance de protocole;
b)
revue de conformite statique.
C>
Rec. UIT-T X.273 (1994 F)
ISOKEI 11577 : 1995 (F)
39 . Définitions additionnelles
Les définitions suivantes s’appliquent pour les besoins de la présente Recommandation I Norme internationale:
.
3.9.1 SA-ID bloqué: SA-ID non disponible pour assignation à une association de sécurité en raison de la nécessité
d’empêcher sa réutilisation.
3.9.2 paire de clés: Paire de valeurs de clé liées (clé publique) ou identiques (clé secrète) pour utilisation entre deux
correspondants particuliers.
information de commande de sécurité: Information de commande de protocole (PCI) échangée par un
3.9.3
protocole de sécurité afin d’établir ou de maintenir une association de sécurité.
3.9.4 attributs SA: Ensemble d’informations requises pour commander la sécurité des communications entre une
entité’ et son ou ses homologue(s) distante(s).
association de sécurité: Relation de sécurité entre des entités de couche inférieure communicantes et pour
3.9.5
laquelle il existe des attributs SA correspondants.
intégrité d’unité de données: Forme d’intégrité de connexion dans laquelle l’intégrité de chaque SDU est
3.9.6
protégée mais où les erreurs dans la séquence des SDU ne sont pas detectées.
3.9.7 dans la bande: Transmission effectuée par des mécanismes de protocole utilisant la SA PDU définie dans la
présente Recommandation de I’UIT-T I Norme internationale.
hors bande: Transmission effectuée par des moyens autres que l’utilisation de la SA PDU.
3.9.8
3.9.9 règles de sécurité: Informations locales qui, compte tenu des services de sécurité sélectionnés, spécifient les
mécanismes de sécurité à utiliser, y compris tous les paramètres nécessaires pour le fonctionnement des mécanismes.
NOTE - Ces informations peuvent faire partie des règles d’interaction de sécurité définies dans la Rec. X.803 du CCITT 1
ISO 10745.
3.9.10 étiquette: Voir «étiquette de sécurité» (Rec. X.800 du CCITT I ISO 7498-2).
4 Abréviations
41 . Unités de données
NPDU Unité de données de protocole de réseau (network protocol data unit)
NSDU Unité de données de service de réseau (network service data unit)
PDU Unité de données de protocole (protocol data unit)
SDU Unité de données de service (service data unit)
42 . Champs d’unité de données de protocole
LI Indicateur de longueur (length indicator)
43 . Paramètres
Qualité de service (quality of service)
QOS
44 . Divers
ASSR Ensemble mutuellement convenu de règles de sécurité (agreed set of security rules)
CL Mode sans connexion (connectionless mode)
Protocole de réseau en mode sans connexion (connectionless mode network protocol)
CLNP
Service de réseau en mode sans connexion (connectionless mode network service)
CLNS
CO Mode connexion (connection mode)
CSC PDU PDU de commande de sécurité de connexion (connection security control PDU)
Rec. UIT-T X.273 (1994 F)
ISOKEI 11577 : 1995 (F)
Unité de données (data unit)
DU
Echange de clés exponentielles (exponential key exchange) (voir 1’Annexe H)
EKE
ES Système d’extrémité (end system)
ICV Valeur de contrôle d’intégrité (integrity check value)
IS Système intermédiaire (intermediate system)
ISN Numéro de séquence d’intégrité (integrity sequence number)
KEK Clé de codage de clés (key enciphering key)
NLSP Protocole de sécurité de couche réseau (network layer security protocol)
, NLSP-CO NLSP en mode connexion (NLSP for connection mode)
NLSP en mode sans connexion (NLSP for connectionless mode)
NLSP-CL
NLSPE Entité de NLSP (NLSP entity)
NS Service de réseau (network service)
Point d’accès au service de réseau (network service access point)
NSAP
PC1 Information de commande de protocole (protocol control information)
Unité de données de protocole (protocol data unit)
PDU
SA Association de sécurité (security association)
Identificateur d’association de sécurité (security association identifier)
SA-ID
SA-P Protocole d’association de sécurité (security association protocol)
SA PDU PDU d’association de sécurité (security association PDU)
SC1 Information de commande de sécurité (security control information)
SDT-PDU PDU de transfert de données sûres (secure data transfer PDU)
SN Sous-réseau (subnetwork)
SNAcP Protocole d’accès au sous-réseau (subnetwork access protocol)
SNICP Protocole de convergence indépendant du sous-réseau (subnetwork independent convergence
protocol)
SNPA Point de rattachement au sous-réseau (subnetwork point of attachment)
UN Réseau de base (underlying network)
Vue d’ensemble du protocole
51 . Introduction
Il existe deux modes de mise en œuvre du protocole NLSP qui sont:
a) le NLSP-CL - Utilisé pour assurer un service de réseau sûr en mode sans connexion;
b) le NI-SP-CO - Utilisé pour assurer un service de réseau sûr en mode connexion.
Les deux modes de protocole NLSP fonctionnent comme une sous-couche de la couche réseau. Le service fourni à
l’entité située au-dessus est appelé service de NLSP et le service censé être fourni au protocole NLSP est appelé service
de réseau de base (UN). Les préfixes UN et NLSP sont ajoutés aux primitives et aux paramètres pour distinguer
clairement le service désigné. Les services UN et NLSP sont des «interfaces notionnelles», c’est-a-dire qu’ils sont décrits
comme s’il s’agissait de services de couche mais résidaient potentiellement en totalité dans la couche réseau, selon
l’emplacement occupé par la sous-couche de protocole NLSP (voir YAnnexe E).
Les deux modes de protocole NLSP peuvent être mis en œuvre dans des systèmes d’extrémité et dans des systèmes
intermédiaires. Ils permettent tous deux de protéger, à titre facultatif, l’adresse NLSP d’origine et de destination ainsi que
d’autres paramètres NLSP-CONNECT (connexion de NLSP). Le protocole NLSP-CO peut être mis en œuvre à un
emplacement quelconque de la couche réseau. Le protocole NLSP-CL peut être mis en œuvre a un emplacement
quelconque de la couche réseau au-dessus du protocole de convergence dépendant du sous-réseau (voir ISO 8648).
Rec. UIT-T X.273 (1994 F)
ISOKEI 11577 : 1995 (F)
Le protocole est conçu de telle sorte qu’il puisse être optimisé pour répondre à un ensemble de conditions lorsque la
préoccupation principale est d’assurer une haute sécurité dans des environnements où il s’agit d’obtenir le meilleur
rendement possible des communications. Une option «no-header» (absence d’en-tête) dans laquelle l’incidence sur le
rendement des communications est minimale bien que, éventuellement, avec une sécurité réduite, est notamment offerte
dans le protocole NLSP-CO.
Le protocole NLSP est fondé sur le concept d’association de sécurité (SA) qui peut exister en dehors d’une primitive
UNITDATA (unité de données) en mode sans connexion ou d’une connexion. Un ensemble d’attributs définissant des
paramètres pour la sécurité (par exemple, algorithme, clés, etc.) est spécifié pour l’association SA.
Le protocole assure le même mode de service (CO ou CL) à ses limites supérieure et inférieure.
Le protocole permet d’utiliser un large éventail de mécanismes de sécurité particuliers (normalisés et non normalisés).
Les utilisateurs et les réalisateurs doivent choisir, pour utilisation avec ce protocole, les mécanismes de sécurité
appropriés pour assurer leur service de sécurité et le niveau de protection nécessaire. Les articles 9 à 12 et 1’Annexe C
définissent le mode de mise en œuvre d’un ensemble de mécanismes particuliers pour tous les services de sécurité
nécessaires au protocole NLSP.
La protection en matière de sécurité que le NLSP tente d’assurer découle des conditions de service de sécurité établies
par l’autorité responsable du domaine de sécurité.
NOTE - L’utilisation du paramètre QOS de protection du service NLSP est un problème d’ordre local qui sort du cadre de
la présente Recommandation de WIT-T I Norme internationale.
52 . Vue d’ensemble des services assurés
Le protocole NLSP assure les services de sécurité définis dans la Rec. X.800 du CCITT I ISO 7498-2 comme étant
appropriés à la couche réseau ainsi que les services de couche de réseau OS1 définis dans la Rec. X.213 du CCITT I
ISO 8348 et ISO 8348/ADl.
Le protocole NLSP-CL permet d’assurer les services de sécurité suivants s’ils sont sélectionnés:
authentification de l’origine des données;
a>
contrôle d’accès;
W
confidentialité des données
en mode sans CO nnexion. Cette protection inclut, à titre facultatif, tous les
C>
paramètres de service NLSP selon les services de sécurité sélectionnés;
d) confidentialité du flux de trafic;
intégrité en mode sans connexion. Cette protection inclut, à titre facultatif, tous les paramètres de service
e)
NLSP selon les services de sécurité sélectionnés.
Le protocole NLSP-CO permet d’assurer les services de sécurité suivants s’ils sont sélectionnés:
authentification de l’entité homologue;
a>
b) contrôle d’accès;
confidentialité des données en mode connexion. Cette protection incl ut, à titre facultatif, tous les
C>
paramètres de connexion NLSP selon les services de sécuri .té sélectionnés;
d) confidentialité du flux de trafic;
intégrité en mode connexion sans reprise. Cette protection inclut, a titre facultatif, tous les paramètres de
e>
connexion NLSP selon les services de sécurité sélectionnés. Elle inclut également, à titre facultatif,
l’intégrité d’une séquence d’unités SDU.
53 . Vue d’ensemble des services implicites
Les services implicites situés au-dessous du protocole NLSP sont appelés services de réseau de base (UN). Les services
de base assurés implicitement par le protocole NLSP-CL utilisent les mêmes primitives que celles définies dans le
service de réseau en mode sans connexion (Rec. X.213 du CCITT I ISO 8348/ADl).
Pour le protocole NLSP-CO, l’interface UN est modélisée en deux parties:
un service utilisant les mêmes primitives que celles de la Rec. X.213 du CCITT I ISO 8348 avec, en outre,
a>
un paramètre appelé paramètre d’authentification UN;
b) la mise en correspondance de ce service avec le service de réseau normalisé ou directement avec la
Rec. X.25 du CCITT I ISO 8208.
Rec. UIT-T X.273 (1994 F) 7
ISOKEI 11577 : 1995 (F)
L’adresse de réseau acheminée dans les primitives NLSP est appelée adresse NLSP. Ce paramètre de service identifie
l’entité d’utilisateur NLSP qui peut être ou non une entité de transport selon que d’autres protocoles de couche réseau sont
utilisés au-dessus du protocole NLSP ou que l’entité NLSP (NLSPE) est située dans un système d’extrémité (ES) ou un
système intermédiaire (1s). L’adresse de réseau transmise au réseau de base est appelée adresse UN. Ce paramètre UN
équivaut a l’adresse SNPA si, et seulement si, aucun protocole n’est mis en œuvre entre l’entité NLSP et l’entité d’accès
au sous-réseau.
54 .
Associations de sécurité et règles de sécurité
5.4.1
Associations de sécurité
La mise en œuvre du protocole NLSP est commandée par un ensemble d’informations de gestion de sécurité (par
exemple, informations de sélection de services de sécurité, identificateur d’algorithme de sécurité, clés cryptographiques)
appelées attributs d’association de sécurité (attributs SA). L’ensemble d’attributs d’association de sécurité nécessaires
pour gérer la fourniture de services de sécurité entre les entités communicantes est appelé association de sécurité.
Les associations de sécurité sont décrites d’une manière plus détaillée dans la Rec. UIT-T X.802 I ISOKEI TR 13594
(modèle de sécurité des couches inférieures).
Les attributs SA nécessaires pour les deux protocoles NLSP-CL et NLSP-CO sont définis au 6.2. Les attributs SA
nécessaires pour le protocole NLSP-CL sont définis au 7.4. Les attributs SA nécessaires pour le protocole NLSP-CO
sont définis au 8.4. D’autres attributs spécifiques des mécanismes sont définis aux 10.2, 11.2 et 12.2.
Pour protéger une instance de communication (une SDU en mode sans connexion ou une connexion), on utilise une
association SA appropri
...