Information technology — Open Systems Interconnection — Network layer security protocol

Specifies a protocol to be used by End Systems and Intermediate Systems in order to provide security services in the Network layer, which is defined by CCITT Rec. X.213, ISO/IEC 8348 and ISO 8648. The protocol defined herein is called the Network Layer Security Protocol (NLSP).

Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — Protocole de sécurité de la couche réseau

La présente Recommandation de l'UIT-T | Norme internationale spécifie un protocole qui doit être utilisé par les systèmes d'extrémité et les systèmes intermédiaires pour assurer des services de sécurité dans la couche réseau définie par la Rec. X.213 du CCITT | ISO 8348 ainsi que par ISO 8348 AD2 et ISO 8648. Le protocole défini dans la présente Recommandation de l'UIT-T | Norme internationale est appelé protocole de sécurité de couche réseau (NLSP). La présente Recommandation de l'UIT-T | Norme internationale spécifie: 1) La mise en oeuvre des services de sécurité suivants définis dans la Rec. X.800 du CCITT | ISO 7498-2: a) authentification de l'entité homologue; b) authentification de l'origine des données; c) contrôle d'accès; d) confidentialité des données en mode connexion; e) confidentialité des données en mode sans connexion; f) confidentialité du flux de trafic; g) intégrité en mode connexion sans reprise (y compris intégrité des unités de données, dans laquelle l'intégrité de chaque SDU est protégée au cours d'une connexion); h) intégrité en mode sans connexion. 2) Les caractéristiques fonctionnelles requises pour les applications déclarées conformes à la présente Recommandation de l'UIT-T | Norme internationale. Les procédures du présent protocole sont définies en termes de: a) conditions requises pour les techniques cryptographiques qui peuvent être utilisées dans une instance de ce protocole; b) conditions requises pour les informations acheminées dans l'association de sécurité utilisée dans une instance de communication. Bien que le degré de protection offert par certains mécanismes de sécurité dépende de l'utilisation de certaines techniques cryptographiques, la mise en oeuvre correcte du présent protocole ne dépend pas du choix d'un algorithme de codage ou de décodage particulier. Ce choix doit faire l’objet d’une décision locale au niveau des systèmes de communication. En outre, ni le choix ni l’application d’une politique de sécurité particulière n’entrent dans le cadre de la présente Recommandation de I’UIT-T | Norme internationale. Il incombe aux autorités locales de choisir une politique de sécurité particulière, donc le degré de protection qui sera assuré, parmi les systèmes qui utilisent une seule instance de communication sûre. La présente Recommandation de l'UIT-T | Norme internationale n’implique nullement que demultiples instances de communication sûres faisant intervenir un seul système ouvert doivent utiliser le même protocole de sécurité. L’Annexe D décrit le formulaire PICS pour le protocole de sécurité de couche réseau conformément aux directives pertinentes données dans ISO/CEI 9646-2.

General Information

Status
Published
Publication Date
10-May-1995
Current Stage
9093 - International Standard confirmed
Completion Date
28-Jun-2001
Ref Project

Buy Standard

Standard
ISO/IEC 11577:1995 - Information technology -- Open Systems Interconnection -- Network layer security protocol
English language
108 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO/IEC 11577:1995 - Technologies de l'information -- Interconnexion de systemes ouverts (OSI) -- Protocole de sécurité de la couche réseau
French language
108 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO/IEC 11577:1995 - Technologies de l'information -- Interconnexion de systemes ouverts (OSI) -- Protocole de sécurité de la couche réseau
French language
108 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

ISO/IEC
INTERNATIONAL
11577
STANDARD
First edition
1995-05-15
Information technology - Open Systems
- Network layer security
Interconnection
protocol
- Interconnexion de systemes ouverts
Technologies de I ’information
- Protocole de s&urit6 de Ia couche de r&eau
(OW
Reference tumber
ISO/IEC 11577:1995(E)
---------------------- Page: 1 ----------------------
ISO/IEC 11577:1995(E)
CONTENTS
Page

1 Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...................................... 1

Normative references .....................................................................................................................................

........................................................................ 2
2.1 Identical Recommendations I International Standards
2.2 .......................... 2
Paired Recommendations I International Standards equivalent in technical content

2.3 Additional References ......................................................................................................................... 3

Definitions ......................................................................................................................................................

3.1 ............................................................................................................... 3

Reference Model definitions

3.2 Security Architecture definitions ........................................................................................................

3.3 Service Convention definitions ...........................................................................................................

3.4 Network Service definitions ................................................................................................................

.....................................................................
3.5 Internal Organisation of the Network Layer definitions

3.6 Connectionless Network Protocol definitions .....................................................................................

3.7 Upper Layer Security Model definitions ............................................................................................

........................................................................................................ 4

3.8 Conformance Testing definitions

3.9 Additional definitions .........................................................................................................................

4 Abbreviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .........................

4.1 Data Uni ts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...................

. . . . . . . . . . . ..~......................................................................................................

4.2 Protocol Data Unit Fields

4.3 Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...................

4.4 Miscellaneous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .............

5 Overview of the Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .......

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*.....................................

5.1 Introduction

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5.2 Overview of Services Provided
- . . . . . . . . 7

5.3 Overview of Services Assumed . . . . . . . . . . . . . . . . . . . . . . . . ..*..................*.................................................*.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5.4 Security Associations and Security Rules

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5.5 Overview of Protocol - Protection Functions

. . . . . . . ..*............................................................................................

5.6 Overview of Protocol - NLSP-CL

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5.7 Overview of Protocol - NLSP-CO
............................................................................
6 Protocol Functions Common to NLSP-CL and NLSP-CO

6.1 Introduction .........................................................................................................................................

.......................................................................................................................

6.2 Common SA Attributes
................................................
Common Functions on a Request for an Instance of Communication
6.3

...........................................................................................

Secure Data Transfer Protocol Functions

...............................................................................................

6:5 Use of a Security Association Protocol
0 ISO/IEC 1995

All rights reserved. Unless otherwise specified, no part of this publication may be

reproduced or utilized in any form or by any means, electronie or mechanical,
including photocopying and microfilm, without Permission in writing from the
publisher.
ISO/IEC Copyright Office l Case postale 56 l CH-121 1 Geneve 20 l Switzerland
Printed in S wi tzerland
---------------------- Page: 2 ----------------------
o ISO/IEC ISO/IEC 11577:1995(E)

7 Protocol Functions FOR NLSP-CL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.1 Services Provided by NLSP-CL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Services Assumed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .......

7.2 17

7.3 Security Association Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.4 Checks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .........................

7.5 In-Band SA Establishment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

7.6 Processing NLSP-UNITDATA Request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7.7 Processing UN-UNITDATA Indication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*......

8 Protocol Functions for NLSP-CO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*..................................................

8.1 Services Provided by NLSP-CO .........................................................................................................

8.2 Services Assumed ............................................................................................................................... 20

8.3 Security Association Attributes ..........................................................................................................

8.4 Checks and other Common Functions ................................................................................................ 21

8.5 NLSP-Connect Functions ...................................................................................................................

8.6 NLSP-DATA Functions ...................................................................................................................... 33

8.7 NLSP-EXPEDITED-DATA Functions ..............................................................................................

8.8 RESET Functions ................................................................................................................................ 35

8.9 NLSP-DATA ACKNOWLEDGE ......................................................................................................

8.10 NLSP-DISCONNECT ........................................................................................................................ 36

8.11 Other Functions ...................................................................................................................................

8.12 Peer Entity Authentication .................................................................................................................. 40

Overview of Mechanisms used . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9 41

9.1 Security Services and Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

9.2 Functions Supported . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...

10 Connection security control (NLSP-CO only) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

10.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .....................

10.2 SA-Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .............. 43

10.3 Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*................................................................................................ 44

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*...........................................................................

10.4 CSC-PDU Fields used 45

11 SDT PDU Based encapsulation Function . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

11.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..................... 45

11.2 SA Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..............

11.3 Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................... 47

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*................................*........ 49

11.4 PDU Fields used

12 No-Header Encapsulation Function (NLSP-CO only) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. “................................. 49

12.1 Overview

12.2 SA Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .............. 49

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................... 50

12.3 Procedures

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*................................................................... 50

13 Structure and Encoding of PDUS

13.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................. 50

13.2 Content Field Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*.........................................................*................

. . .
111
---------------------- Page: 3 ----------------------
ISO/IEC 11577:1995(E)
o ISO/IEC

13.3 Protected Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*..........................

13.4 Security Association PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13.5 Connection Security Control PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

14 Conformance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..........................

14.1 Static Conformance Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

14.2 Dynamit Conformance Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

’ 14.3 Protocol Implementation Conformance Statement

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Annex A - Mapping UN primitives to CCITT Rec. X.213 I ISO 8348 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Annex B - Mapping UN Primitives to CCITT Rec. X.25 I ISO 8208 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Annex C - Security Association Protocol Using Key Token Exchange and Digital Signatures

s............................ 64

c.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .....................

C.2 Key Token Exchange (KTE)

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

C.3 SA-Protocol Authentication . . . . . . . . . . . . . . . . . . . . . . . ..*......................................................................................

C.4 SA Attribute Negotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

C.5 SA AbortfRelease . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*..................................................

C.6 Mapping of SA-Protocol Functions to Protocol Exchanges

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

C.7 SA PDU - SA Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Annex D - NLSP PICS Proforma

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..~...................

D. 1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .................

D.2 Abbreviations and Special Symbols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

D.3 Instructions for Completing the PICS Proforma

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

D.4 Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...............

D.5 Features Common to NLSP-CO and NLSP-CL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

D.6 Features Specific to NLSP-CL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

D.7 Features Specific to NLSP-CO

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Annex E - Tutorial on some Basic Concepts of NLSP ............................................................................................

E.l Basis of Protection ..............................................................................................................................

E.2 Underlying VS NLSP Service .............................................................................................................. 88

E.3 NLSP Addressing ................................................................................................................................

E.4 Connection Mode NLSP .....................................................................................................................

E.5 Connectionless Mode NLSP ...............................................................................................................

E.6 Security Attributes and Associations .................................................................................................. 99

E.7 Dynamit Functional Relationship between NLSP and CLNP ............................................................

E.8 Dynamit Functionality Related to Layered Model ............................................................................. 101

Annex F - Example of an Agreed Set of Security Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

103

Annex G - Security Associations and Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

105

Annex H - Example Key Token Exchange - EKE Algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

---------------------- Page: 4 ----------------------
o ISO/IEC ISO/IEC 11577:1995(3)
Foreword
ISO (the International Organization for Standardization) and IEC (the Inter-
national Electrotechnical Commission) form the specialized System for
worldwide standardization. National bodies that are members of ISO or IEC
participate in the development of International Standards through technical
committees established by the respective organization to deal with particular
fields of technical activity. ISO and IEC technical committees collaborate in
fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the
work.
In the field of information technology, ISO and IEC have established a joint
technical committee, ISO/IEC JTC 1. Draft International Standards adopted
by the joint technical committee are circulated to national bodies for voting.
Publication as an International Standard requires approval by at least 75 %
of the national bodies casting a vote.
International Standard ISO/IEC 11577 was prepared by Joint Technical
Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 6,
Telecommunications and information exchange between Systems in
collaboration with ITU-T. The identical text is published as IT&-T
Recommendation X.273.
dates of ISO/IEC 7498-1, ISO/IEC 9646-1,
NOTE - The publication
ISO/IEC 9646-2, ISO/IEC 1073 1, ISO/IEC 10745 and ISO/IEC TR 13594,

referenced in this International Standard, differ from those referenced in the identical

ITU Recommendation X.273 due to the publication of new editions during final
preparation of this International Standard.
Annexes A to D form an integral part of this International Standard.
Annexes E to H are for information only.
---------------------- Page: 5 ----------------------
o ISO/IEC
ISO/IEC 11577:1995(E)
Introduction

The protocol defined by this ITU-T Recommendation I International Standard is used to provide security Services in

support of an instance of communication between lower layer entities. This protocol is positioned with respect to other

Standards by the layered structure defined in CCITT Rec. X.200 I ISO/IEC 7498-1 and by the Network layer

organization as defined in ISO 8648 and extended by ITU-T Rec. X.802 I ISO/IEC TR 13594 (Lower Layer Security

Model). It provides security Services in support of both connection-mode and connectionless-mode Network Services. In

particular, this protocol is located in the Network layer, and it has functional interfaces and clearly defined Service

interfaces at its upper and lower boundaries.

To evaluate conformance of a particular implementation, it is necessary to have a Statement of which capabilities and

Options have been implemented for a given OSI protocol. Such a Statement is called a Protocol Implementation

Conformance Statement (PICS).
---------------------- Page: 6 ----------------------
ISO/IEC 11577 : 1995 (E)
INTERNATIONAL STANDARD
ITU-T RECOMMENDATION
INFORMATION TECHNOLOGY - OPEN SYSTEMS INTERCONNECTION -
NETWORK LAYER SECURITY PROTOCOL
1 Scope

This ITU-T Recommendation I International Standard specifies a protocol to be used by End Systems and Intermediate

Systems in Order to provide security Services in the Network layer, which is defined by CCITT Rec. X.213 I

ISO/IEC 8348, and ISO 8648. The protocol defined in this ITU-T Recommendation I International Standard is called the

Network Layer Security Protocol (NLSP).
This ITU-T Recommendation I International Standard specifies:

1) Support for the following security Services defined in CCITT Rec. X.800 I ISO 7498-2:

peer entity authentication;
data origin authentication;
access control;
connection confidentiality;
connectionless confidentiality;
traffit flow confidentiality;

connection integrity without recovery (including Data Unit Integrity, in which individual SDUs on a

connection are integrity protected);
connectionless integrity.

2) The functional requirements for implernentations that Claim conformance to this ITU-T Recommen-

dation I International Standard.
The procedures of this protocol are defined in terms of:

requirements on the cryptographic techniques that tan be used in an instance of this protocol;

b) requirements on the information carried in the security association used in an instance of communication.

Although the degree of protection afforded by some security mechanisms depends on the use of some specific

cryptographic techniques, correct Operation of this protocol is not dependent on the choice of any particular

encipherment or decipherment algorithm. This is a local matter for the communicating Systems.

Furthermore, neither the choice nor the implementation of a specific security policy are within the scope of this ITU-T

Recommendation I International Standard. The choice of a specific security policy, and hence the degree of protection

that will be achieved, is left as a local matter among the Systems that are using a Single instance of secure

communications. This ITU-T Recommendation I International Standard does not require that multiple instances of secure

communications involving a Single open System must use the Same security protocol.

Annex D provides the PICS proforma for the Network Layer Security Protocol in compliance with the relevant guidance

given in ISO/IEC 9646-2.
2 Normative references

The following Recommendations and International Standards contain provisions which, though reference in this text,

constitute provisions of this ITU-T Recommendation I International Standard. At time of publication, the editions

indicated were valid. All Recommenda
...

NORME
ISO/CEI
INTERNATIONALE
11577
Première édition
1995-05-I 5
Technologies de l’information -
Interconnexion de systèmes ouverts
- Protocole de sécurité de la couche
(OW
réseau
Information technology - Open Systems Interconnection - Network
layer security protocol
---------------------- Page: 1 ----------------------
ISOKEI 11577:1995(F)
Sommaire
Page

....................................................................................................................................

Domaine d’application

2 Références normatives ...................................................................................................................................

2.1 Recommandations I Normes internationales identiques ......................................................................

....... 2

Paires de Recommandations I Normes internationales équivalentes par leur contenu technique

. 2.2

................................................................................................................... 3

2.3 Références additionnelles

3 Définitions ......................................................................................................................................................

.................................................................................................... 3

3.1 Définitions du modèle de référence

3.2 Définitions de l’architecture de sécurité ..............................................................................................

Définitions des conventions de service ...............................................................................................

3.3

.........................................................................................................

3.4 Définitions du service de réseau
................................................................... 4
3.5 Définitions de l’organisation interne de la couche réseau
............................................................. 4
3.6 Définitions du protocole de réseau en mode sans connexion
.................................................................... 4
3.7 Définitions du modèle de sécurité de couche supérieure

.....................................................................................................

3.8 Définitions des tests de conformité

................................................................................................................... 5

3.9 Définitions additionnelles

4 Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...........................

4.1 Unités de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .......

4.2 Champs d’unité de données de protocole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.3 Paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...................

4.4 Divers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..........................

Vue d’ensemble du protocole .........................................................................................................................

5.1 Introduction .........................................................................................................................................

5.2 Vue d’ensemble des services assurés ..................................................................................................

Vue d’ensemble des services implicites ..............................................................................................

5.3

.....................................................................................

5.4 Associations de sécurité et règles de sécurité
...................................................................... 9
5.5 Vue d’ensemble du protocole - Fonctions de protocole

.......................................................................................... 11

5.6 Vue d’ensemble du protocole - NLSP-CL

5.7 Vue d’ensemble du protocole - NLSP-CO .........................................................................................

0 ISO/CEI 1995

Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication

ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé,

électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de

l’éditeur.
ISOKEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
---------------------- Page: 2 ----------------------
ISOKEI 11577: 1995(F)
0 ISOKEI

6 Fonctions de protocole communes aux protocoles NLSP-CL et NLSP-CO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

6.1

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................. 13

62 . Attributs SA communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

6.3 Fonctions communes lors d’une demande d’instance de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

64 . Fonctions de protocole de transfert de données sûres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

65 . Utilisation d’un protocole d’association de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

7 Fonctions de protocole pour le protocole NLSP-CL ...................................................................................... 17

7.1 Services assurés par le protocole NLSP-CL .......................................................................................

7.2 Services implicites .............................................................................................................................. 17

7.3 Attributs d’association de sécurité ....................................................................................................... 17

7.4 18

Vérifications ........................................................................................................................................

7.5 Etablissement d’association SA dans la bande .................................................................................... 18

7.6 Traitement d’une demande NLSP-UNITDATA .................................................................................. 18

7.7 Traitement de l’indication UN-UNITDATA ....................................................................................... 19

8 Fonctions de protocole pour le protocole NLSP-CO ..................................................................................... 20

8.1 Services assures par le protocole NLSP-CO ....................................................................................... 20

..............................................................................................................................

8.2 Services implicites 21

8.3 Attributs d’association de sécurité ....................................................................................................... 22

8.4 Vérifications et autres fonctions communes ....................................................................................... 22

8.5 Fonctions NLSP-CONNECT .............................................................................................................. 23

......................................................................................................................

8.6 Fonctions NLSP-DATA 35

8.7 Fonctions NLSP-EXPEDITED-DATA (données exprès NLSP) ....................................................... 36

8.8 Fonctions RESET (réinitialisation) ..................................................................................................... 37

89 . Fonctions NLSP-DATA-ACKNOWLEDGE ..................................................................................... 38

8.10 Primitive NLSP-DISCONNECT ........................................................................................................ 39

8.11 Autres fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .......... 41

8.12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Authentification de l’entité homologue 43

Vue d’ensemble des mécanismes utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*.............. 44

91 . Services et mécanismes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

9.2 Fonctions mises en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

10 Commande de sécurité de connexion (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

10.1 Vue d’ensemble . . . . . . . ..*......................................................................................................................... 45

10.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................

10.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................... 47

10.4 Champs de CSC PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

11 Fonction d’encapsulation fondée sur la SDT PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

11.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ........... 48

11.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................ 49

. . . . . . . . . . . . . . . . . . . ..*..................................................................................................................... 50

11.3 Procédures

11.4 Champs de PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*..................................................................

12 Fonction d’encapsulation fondée sur l’attribut No-Header (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

12.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ........... 53

12.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................ 53

12.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...................

13 Structure et codage des PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..

13.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .................

13.2 Format du champ de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

13.3 Données protégées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...... 55

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

13.4 PDU d’association de sécurité

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

13.5 PDU de commande de sécurité de connexion
. . .
111
---------------------- Page: 3 ----------------------
ISOKEI 11577:1995(F)
@ ISOKEI

14 Conformité .....................................................................................................................................................

14.1 Conditions de conformité statique ......................................................................................................

14.2 Conditions requises pour la conformité dynamique
............................................................................ 65
14.3 Déclaration de conformité d’une instance de protocole
......................................................................

Annexe A - Mise en correspondance des primitives UN avec la Rec. X.21 3 du CCITT 1 ISO 8348.. ...................

Annexe B - Mise en correspondance des primitives UN avec la Rec. X.25 du CCITT I ISO 8208 .......................

Annexe C - Protocole d’association de sécurité utilisant l’échange de jetons de clé et des signatures

numériques ..........................................................................................................................................

Annexe D - Formulaire PICS NLSP .......................................................................................................................

Annexe E - Exposé de certains principes de base du NLSP ...................................................................................

Annexe F - Exemple d’ensemble agréé de règles de sécurité .................................................................................

109

Annexe G - Associations et attributs de sécurité ....................................................................................................

111
Annexe H - Exemple d’échange de jetons de clé - Algorithme EKE
..................................................................... 113
---------------------- Page: 4 ----------------------
@ ISOKEI ISOKEI 11577: 1995(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes inter-
nationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de PIS0 et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouverne-
mentales ou non gouvernementales, en liaison avec 1’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 11577 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de Z’information, sous-comité SC 6,

Téléinformatique, en collaboration avec l’IUT-T. Le texte identique est publié en

tant que Recommandation IUT-T X.273.
NOTE - Les dates de publication de l’ISO/CEI 7498- 1, l’ISO/CEI 9646- 1,

1’ISOKEI 9646-2,l’ISOKEI 1073 1, l’ISO!CEI 10745 et 1’ISOKEI TR 13594, auxquelles

il est fait référence dans la présente Norme internationale, diffèrent de celles auxquelles il

est fait référence dans la Recommandation IUT-T X.273, du fait de la publication de

nouvelles éditions pendant la préparation finale de la présente Norme internationale.

Les annexes A à D font partie intégrante de la présente Norme internationale. Les

annexes E à H sont données uniquement à titre d’information.
---------------------- Page: 5 ----------------------
ISOKEI 11577: 1995(F) 0 ISOKEI
Introduction

Le protocole défini par la présente Recommandation de I’UIT-T I Norme internationale est utilisé pour assurer des

services de sécurité servant de support a une instance de communication entre des entités de couche inférieure. Ce

protocole se caractérise, relativement aux autres normes, par la structure en couches définie dans la Rec. X.200 du

CCITT I ISO 7498 ainsi que par l’organisation de la couche réseau définie dans ISO 8648 et étendue par la Rec. X.802

de l’UIT-T I TR 13595 (modèle de sécurité de couche inférieure). Il permet la mise en œuvre de services de sécurité

servant de support à des services de réseau en mode connexion et sans connexion. Sa particularité est d’être situé dans la

couche réseau et d’avoir des interfaces fonctionnelles ainsi que des interfaces de service nettement définies à ses limites

supérieure et inférieure.

Pour évaluer la conformité d’une application particulière, il est nécessaire d’avoir une déclaration précisant quelles

capacités et options ont été mises en œuvre pour un protocole OS1 donné. Une telle déclaration est appelée déclaration

de conformité d’une instance de protocole (PICS).
---------------------- Page: 6 ----------------------
ISOKEI 11577 : 1995 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION - INTERCONNEXION DE SYSTÈMES
- PROTOCOLE DE SÉCURITÉ DE LA COUCHE RÉSEAU
OUVERTS (OSI)
Domaine d’application

La présente Recommandation de I’UIT-T I Norme internationale spécifie un protocole qui doit être utilisé par les

systèmes d’extrémité et les systèmes intermédiaires pour assurer des services de sécurité dans la couche réseau définie

par la Rec. X.213 du CCITT I ISO 8348 ainsi que par ISO 8348 AD2 et ISO 8648. Le protocole défini dans la présente

Recommandation de I’UIT-T I Norme internationale est appelé protocole de sécurité de couche réseau (NLSP).

La présente Recommandation de I’UIT-T I Norme internationale spécifie:

1) La mise en œuvre des services de sécurité suivants définis dans la Rec. X.800 du CCITT I ISO 7498-2:

authentification de l’entité homologue;
authentification de l’origine des données;
contrôle d’accès;
confidentialité des données en mode connexion;
confidentialité des données en mode sans connexion;
confidentialité du flux de trafic;
f-l

intégrité en mode connexion sans reprise (y compris intégrité d .es unités de données, dans laquelle

Ii9
l’intégrité de chaque SDU est protégée au cours d’une connexion)
h) intégrité en mode sans connexion.

2) Les caractéristiques fonctionnelles requises pour les applications déclarées conformes à la présente

Recommandation de I’UIT-T I Norme internationale.
Les procédures du présent protocole sont définies en termes de:

conditions requises pour les techniques cryptographiques qui peuvent être utilisées dans une instance de

ce protocole;

b) conditions requises pour les informations acheminées dans l’association de sécurité utilisée dans une

instance de communication.

Bien que le degré de protection offert par certains mécanismes de sécurité dépende de l’utilisation de certaines

techniques cryptographiques, la mise en œuvre correcte du présent protocole ne dépend pas du choix d’un algorithme de

codage ou de décodage particulier. Ce choix doit faire l’objet d’une décision locale au niveau des systèmes de

communication.

En outre, ni le choix ni l’application d’une politique de sécurité particulière n’entrent dans le cadre de la présente

Recommandation de I’UIT-T I Norme internationale. Il incombe aux autorités locales de choisir une politique de sécurité

particulière, donc le degré de protection qui sera assuré, parmi les systèmes qui utilisent une seule instance de

communication sûre. La présente Recommandation de KJIT-T I Norme internationale n’implique nullement que de

multiples instances de communication sûres faisant intervenir un seul système ouvert doivent utiliser le même protocole

de sécurité.

L’Annexe D décrit le formulaire PICS pour le protocole de sécurité de couche réseau conformément aux directives

pertinentes données dans ISOKEI 9646-2.
2 Références normatives

Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la référence qui

y est faite, constituent des dispositions valables pour la présente Recommandation de I’UIT-T I Norme internationale. Au

moment de la publication, les éditions indiquées étaient en vigueur. Toutes les Recommandations et Normes sont sujettes

à révision et les parties prenantes aux accords fondes sur la présente Recommandation de I’UIT-T I Norme internationale

Rec. UIT-T X.273 (1994 F)
---------------------- Page: 7 ----------------------
ISOKEI 11577 : 1995 (F)

sont invitées à rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes

indiquées ci-apres. Les membres de la CE1 et de 1’ISO possèdent le registre des Normes internationales en vigueur. Le

Bureau de normalisation des télécommunications de 1’UIT tient à jour une liste des Recommandations de l’UIT-T

actuellement en vigueur.
21 . Recommandations I Normes internationales identiques

Recommandation X.21 3 du CCITT (1992) I ISO 8348: 1993, Technologie de I?nformation - Définition du

service de réseau pour I?nterconnexion de systèmes ouverts.

Recommandation UIT-T X.233 (1993) I ISO/CEI 8473:1994, Technologie de Z’information - Protocole

assurant le service réseau en mode sans connexion de I?nterconnexion de systèmes ouverts: Spécification

du protocole.
Technologie de Z’information -
Recommandation UIT-T X.802 (1994) I ISOKEI TR 13594: -l),
Interconnexion de systèmes ouverts - Modèle de sécurité des couches inférieures.
---Il, Technologie de I?nformation -
Recommandation UIT-T X.803 (1994) I ISOKEI TR 10745:
- Modèle de sécurité des couches supérieures.
Interconnexion de systèmes ouverts

22 . Paires de Recommandations I Normes internationales équivalentes par leur contenu technique

Recommandation X.200 du CCITT (1988), Technologie de Z’information - Interconnexion de systèmes

ouverts - Mode de référence: Modèle de référence de base.

ISOKEI 7498- 1: 1994, Technologie de I?nformation - Interconnexion de systèmes ouverts - Modèle de

référence de base: Le modèle de base.

Recommandation X.209 du CCITT (1988), Spéci’cation des règles de codage de base pour la notation

de syntaxe abstraite numéro un (ASN. I).

ISOKEI 8825: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - Spécification

de règles de base pour coder la notation de svntaxe abstraite numéro un (ASN. I).

Recommandation X.210 du CCITT (1993), Technologie de Z’information - Interconnexion de systèmes

ouverts - Conventions pour la définition de services OSI.
- Interconnexion de systèmes ouverts - ModèZe de
ISOKEI 1073 1: 1994, Technologie de I’information
Référence de Base - Conventions pour la définition des services OSI.

Recommandation X.223 du CCITT (1988), Utilisation du protocole X.25 pour mettre en œuvre le service

de réseau en mode connexion de Z’OSI.

ISOKEI 8878:1992, Technologie de Z’information - Communication de données - Utilisation du

protocole X.25 pourfournir le service de réseau OSI en mode connexion.

Recommandation X.290 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI

pour les Recommandations sur les protocoles pour les applications du CCIU- Concepts généraux.

ISOKEI 9646- 1: 1994, Technologie de Z’information - Interconnexion de systèmes ouverts - Essais de

conformité - Méthodologie générale et procédures - Partie I: Concepts généraux.

Recommandation X.291 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI

pour les Recommandations sur les protocoZes pour les applications du CCITT - Spécification des suites

de tests abstraites.

ISO/CEI 9646-2: 1994, Technologie de Z ‘information - Interconnexion de systèmes ouverts - Essais de

conformité - Méthodologie générale et procédures - Partie 2: Spécification des suites de tests abstraites.

L .
- Interconnexion de systèmes
Recommandation X.509 du CCITT (1988), Technologie de Z’information
ouverts - L’annuaire: Cadre d’authentification.

ISOKEI 9594-8: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - L’annuaire -

Partie 8: Cadre général d’authentifîcation.

Recommandation X.800 du CCITT (1991), Architecture de sécurité pour Z’interconnexion en systèmes

ouverts d’applications du CCITT.
- Interconnexion de systèmes ouverts - Modèle
ISO 7498-2: 1989, Systèmes de traitement de Z’information
de référence de base - Partie 2: Architecture de sécurité.
1) À publier.
Rec. UIT-T X.273 (1994 F)
---------------------- Page: 8 ----------------------
ISOKEI 11577 : 1995 (F)
23 . Références additionnelles

ISOKEI 8208:1990, Technologie de l’information - Communication de données - Protocole X 2.5 de

couche paquets pour terminal de données.

ISO 8648: 1988, Systèmes de traitement de l’information - Communication de données - Organisation

interne de la couche réseau.

ISOKEI 9834- 1: 1993, Technologie de l’information - Interconnexion de systèmes ouverts - Procédures

Partie 1: Procédures générales.
pour des organismes d’enregistrement particuliers -
Interconnexion de systèmes ouverts - Procédures
ISOKEI 9834-3: 1990, Technologie de l’information -

pour des organismes d’enregistrement particuliers - Partie 3: Enregistrement des identificateurs d’objets

pour utilisation conjointement par I’ISO et le CCITT.

ISOKEI 9979: 199 1, Technologie de 1 ‘information - Techniques cryptographiques - Procédures pour

l’enregistrement des algorithmes cryptographiques.

Recommandation X.25 du CCITT (1993), Inteqace entre équipement terminal de données et équipement

de terminaison du circuit de données pour terminaux fonctionnant en mode paquet et raccordés par

circuit spécialisé à des réseaux publics pour données.
3 Définitions
31 .
Définitions du modèle de référence
La orésente Recommandation I Norme internationale utilise
...

NORME
ISO/CEI
INTERNATIONALE
11577
Première édition
1995-05-I 5
Technologies de l’information -
Interconnexion de systèmes ouverts
- Protocole de sécurité de la couche
(OW
réseau
Information technology - Open Systems Interconnection - Network
layer security protocol
---------------------- Page: 1 ----------------------
ISOKEI 11577:1995(F)
Sommaire
Page

....................................................................................................................................

Domaine d’application

2 Références normatives ...................................................................................................................................

2.1 Recommandations I Normes internationales identiques ......................................................................

....... 2

Paires de Recommandations I Normes internationales équivalentes par leur contenu technique

. 2.2

................................................................................................................... 3

2.3 Références additionnelles

3 Définitions ......................................................................................................................................................

.................................................................................................... 3

3.1 Définitions du modèle de référence

3.2 Définitions de l’architecture de sécurité ..............................................................................................

Définitions des conventions de service ...............................................................................................

3.3

.........................................................................................................

3.4 Définitions du service de réseau
................................................................... 4
3.5 Définitions de l’organisation interne de la couche réseau
............................................................. 4
3.6 Définitions du protocole de réseau en mode sans connexion
.................................................................... 4
3.7 Définitions du modèle de sécurité de couche supérieure

.....................................................................................................

3.8 Définitions des tests de conformité

................................................................................................................... 5

3.9 Définitions additionnelles

4 Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...........................

4.1 Unités de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .......

4.2 Champs d’unité de données de protocole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.3 Paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...................

4.4 Divers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..........................

Vue d’ensemble du protocole .........................................................................................................................

5.1 Introduction .........................................................................................................................................

5.2 Vue d’ensemble des services assurés ..................................................................................................

Vue d’ensemble des services implicites ..............................................................................................

5.3

.....................................................................................

5.4 Associations de sécurité et règles de sécurité
...................................................................... 9
5.5 Vue d’ensemble du protocole - Fonctions de protocole

.......................................................................................... 11

5.6 Vue d’ensemble du protocole - NLSP-CL

5.7 Vue d’ensemble du protocole - NLSP-CO .........................................................................................

0 ISO/CEI 1995

Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication

ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé,

électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de

l’éditeur.
ISOKEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
---------------------- Page: 2 ----------------------
ISOKEI 11577: 1995(F)
0 ISOKEI

6 Fonctions de protocole communes aux protocoles NLSP-CL et NLSP-CO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

6.1

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................. 13

62 . Attributs SA communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

6.3 Fonctions communes lors d’une demande d’instance de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

64 . Fonctions de protocole de transfert de données sûres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

65 . Utilisation d’un protocole d’association de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

7 Fonctions de protocole pour le protocole NLSP-CL ...................................................................................... 17

7.1 Services assurés par le protocole NLSP-CL .......................................................................................

7.2 Services implicites .............................................................................................................................. 17

7.3 Attributs d’association de sécurité ....................................................................................................... 17

7.4 18

Vérifications ........................................................................................................................................

7.5 Etablissement d’association SA dans la bande .................................................................................... 18

7.6 Traitement d’une demande NLSP-UNITDATA .................................................................................. 18

7.7 Traitement de l’indication UN-UNITDATA ....................................................................................... 19

8 Fonctions de protocole pour le protocole NLSP-CO ..................................................................................... 20

8.1 Services assures par le protocole NLSP-CO ....................................................................................... 20

..............................................................................................................................

8.2 Services implicites 21

8.3 Attributs d’association de sécurité ....................................................................................................... 22

8.4 Vérifications et autres fonctions communes ....................................................................................... 22

8.5 Fonctions NLSP-CONNECT .............................................................................................................. 23

......................................................................................................................

8.6 Fonctions NLSP-DATA 35

8.7 Fonctions NLSP-EXPEDITED-DATA (données exprès NLSP) ....................................................... 36

8.8 Fonctions RESET (réinitialisation) ..................................................................................................... 37

89 . Fonctions NLSP-DATA-ACKNOWLEDGE ..................................................................................... 38

8.10 Primitive NLSP-DISCONNECT ........................................................................................................ 39

8.11 Autres fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .......... 41

8.12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Authentification de l’entité homologue 43

Vue d’ensemble des mécanismes utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*.............. 44

91 . Services et mécanismes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

9.2 Fonctions mises en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

10 Commande de sécurité de connexion (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

10.1 Vue d’ensemble . . . . . . . ..*......................................................................................................................... 45

10.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................

10.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................... 47

10.4 Champs de CSC PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

11 Fonction d’encapsulation fondée sur la SDT PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

11.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ........... 48

11.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................ 49

. . . . . . . . . . . . . . . . . . . ..*..................................................................................................................... 50

11.3 Procédures

11.4 Champs de PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..*..................................................................

12 Fonction d’encapsulation fondée sur l’attribut No-Header (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

12.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ........... 53

12.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ................ 53

12.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...................

13 Structure et codage des PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..

13.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .................

13.2 Format du champ de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

13.3 Données protégées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...... 55

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

13.4 PDU d’association de sécurité

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

13.5 PDU de commande de sécurité de connexion
. . .
111
---------------------- Page: 3 ----------------------
ISOKEI 11577:1995(F)
@ ISOKEI

14 Conformité .....................................................................................................................................................

14.1 Conditions de conformité statique ......................................................................................................

14.2 Conditions requises pour la conformité dynamique
............................................................................ 65
14.3 Déclaration de conformité d’une instance de protocole
......................................................................

Annexe A - Mise en correspondance des primitives UN avec la Rec. X.21 3 du CCITT 1 ISO 8348.. ...................

Annexe B - Mise en correspondance des primitives UN avec la Rec. X.25 du CCITT I ISO 8208 .......................

Annexe C - Protocole d’association de sécurité utilisant l’échange de jetons de clé et des signatures

numériques ..........................................................................................................................................

Annexe D - Formulaire PICS NLSP .......................................................................................................................

Annexe E - Exposé de certains principes de base du NLSP ...................................................................................

Annexe F - Exemple d’ensemble agréé de règles de sécurité .................................................................................

109

Annexe G - Associations et attributs de sécurité ....................................................................................................

111
Annexe H - Exemple d’échange de jetons de clé - Algorithme EKE
..................................................................... 113
---------------------- Page: 4 ----------------------
@ ISOKEI ISOKEI 11577: 1995(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes inter-
nationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de PIS0 et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouverne-
mentales ou non gouvernementales, en liaison avec 1’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 11577 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de Z’information, sous-comité SC 6,

Téléinformatique, en collaboration avec l’IUT-T. Le texte identique est publié en

tant que Recommandation IUT-T X.273.
NOTE - Les dates de publication de l’ISO/CEI 7498- 1, l’ISO/CEI 9646- 1,

1’ISOKEI 9646-2,l’ISOKEI 1073 1, l’ISO!CEI 10745 et 1’ISOKEI TR 13594, auxquelles

il est fait référence dans la présente Norme internationale, diffèrent de celles auxquelles il

est fait référence dans la Recommandation IUT-T X.273, du fait de la publication de

nouvelles éditions pendant la préparation finale de la présente Norme internationale.

Les annexes A à D font partie intégrante de la présente Norme internationale. Les

annexes E à H sont données uniquement à titre d’information.
---------------------- Page: 5 ----------------------
ISOKEI 11577: 1995(F) 0 ISOKEI
Introduction

Le protocole défini par la présente Recommandation de I’UIT-T I Norme internationale est utilisé pour assurer des

services de sécurité servant de support a une instance de communication entre des entités de couche inférieure. Ce

protocole se caractérise, relativement aux autres normes, par la structure en couches définie dans la Rec. X.200 du

CCITT I ISO 7498 ainsi que par l’organisation de la couche réseau définie dans ISO 8648 et étendue par la Rec. X.802

de l’UIT-T I TR 13595 (modèle de sécurité de couche inférieure). Il permet la mise en œuvre de services de sécurité

servant de support à des services de réseau en mode connexion et sans connexion. Sa particularité est d’être situé dans la

couche réseau et d’avoir des interfaces fonctionnelles ainsi que des interfaces de service nettement définies à ses limites

supérieure et inférieure.

Pour évaluer la conformité d’une application particulière, il est nécessaire d’avoir une déclaration précisant quelles

capacités et options ont été mises en œuvre pour un protocole OS1 donné. Une telle déclaration est appelée déclaration

de conformité d’une instance de protocole (PICS).
---------------------- Page: 6 ----------------------
ISOKEI 11577 : 1995 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION - INTERCONNEXION DE SYSTÈMES
- PROTOCOLE DE SÉCURITÉ DE LA COUCHE RÉSEAU
OUVERTS (OSI)
Domaine d’application

La présente Recommandation de I’UIT-T I Norme internationale spécifie un protocole qui doit être utilisé par les

systèmes d’extrémité et les systèmes intermédiaires pour assurer des services de sécurité dans la couche réseau définie

par la Rec. X.213 du CCITT I ISO 8348 ainsi que par ISO 8348 AD2 et ISO 8648. Le protocole défini dans la présente

Recommandation de I’UIT-T I Norme internationale est appelé protocole de sécurité de couche réseau (NLSP).

La présente Recommandation de I’UIT-T I Norme internationale spécifie:

1) La mise en œuvre des services de sécurité suivants définis dans la Rec. X.800 du CCITT I ISO 7498-2:

authentification de l’entité homologue;
authentification de l’origine des données;
contrôle d’accès;
confidentialité des données en mode connexion;
confidentialité des données en mode sans connexion;
confidentialité du flux de trafic;
f-l

intégrité en mode connexion sans reprise (y compris intégrité d .es unités de données, dans laquelle

Ii9
l’intégrité de chaque SDU est protégée au cours d’une connexion)
h) intégrité en mode sans connexion.

2) Les caractéristiques fonctionnelles requises pour les applications déclarées conformes à la présente

Recommandation de I’UIT-T I Norme internationale.
Les procédures du présent protocole sont définies en termes de:

conditions requises pour les techniques cryptographiques qui peuvent être utilisées dans une instance de

ce protocole;

b) conditions requises pour les informations acheminées dans l’association de sécurité utilisée dans une

instance de communication.

Bien que le degré de protection offert par certains mécanismes de sécurité dépende de l’utilisation de certaines

techniques cryptographiques, la mise en œuvre correcte du présent protocole ne dépend pas du choix d’un algorithme de

codage ou de décodage particulier. Ce choix doit faire l’objet d’une décision locale au niveau des systèmes de

communication.

En outre, ni le choix ni l’application d’une politique de sécurité particulière n’entrent dans le cadre de la présente

Recommandation de I’UIT-T I Norme internationale. Il incombe aux autorités locales de choisir une politique de sécurité

particulière, donc le degré de protection qui sera assuré, parmi les systèmes qui utilisent une seule instance de

communication sûre. La présente Recommandation de KJIT-T I Norme internationale n’implique nullement que de

multiples instances de communication sûres faisant intervenir un seul système ouvert doivent utiliser le même protocole

de sécurité.

L’Annexe D décrit le formulaire PICS pour le protocole de sécurité de couche réseau conformément aux directives

pertinentes données dans ISOKEI 9646-2.
2 Références normatives

Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la référence qui

y est faite, constituent des dispositions valables pour la présente Recommandation de I’UIT-T I Norme internationale. Au

moment de la publication, les éditions indiquées étaient en vigueur. Toutes les Recommandations et Normes sont sujettes

à révision et les parties prenantes aux accords fondes sur la présente Recommandation de I’UIT-T I Norme internationale

Rec. UIT-T X.273 (1994 F)
---------------------- Page: 7 ----------------------
ISOKEI 11577 : 1995 (F)

sont invitées à rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes

indiquées ci-apres. Les membres de la CE1 et de 1’ISO possèdent le registre des Normes internationales en vigueur. Le

Bureau de normalisation des télécommunications de 1’UIT tient à jour une liste des Recommandations de l’UIT-T

actuellement en vigueur.
21 . Recommandations I Normes internationales identiques

Recommandation X.21 3 du CCITT (1992) I ISO 8348: 1993, Technologie de I?nformation - Définition du

service de réseau pour I?nterconnexion de systèmes ouverts.

Recommandation UIT-T X.233 (1993) I ISO/CEI 8473:1994, Technologie de Z’information - Protocole

assurant le service réseau en mode sans connexion de I?nterconnexion de systèmes ouverts: Spécification

du protocole.
Technologie de Z’information -
Recommandation UIT-T X.802 (1994) I ISOKEI TR 13594: -l),
Interconnexion de systèmes ouverts - Modèle de sécurité des couches inférieures.
---Il, Technologie de I?nformation -
Recommandation UIT-T X.803 (1994) I ISOKEI TR 10745:
- Modèle de sécurité des couches supérieures.
Interconnexion de systèmes ouverts

22 . Paires de Recommandations I Normes internationales équivalentes par leur contenu technique

Recommandation X.200 du CCITT (1988), Technologie de Z’information - Interconnexion de systèmes

ouverts - Mode de référence: Modèle de référence de base.

ISOKEI 7498- 1: 1994, Technologie de I?nformation - Interconnexion de systèmes ouverts - Modèle de

référence de base: Le modèle de base.

Recommandation X.209 du CCITT (1988), Spéci’cation des règles de codage de base pour la notation

de syntaxe abstraite numéro un (ASN. I).

ISOKEI 8825: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - Spécification

de règles de base pour coder la notation de svntaxe abstraite numéro un (ASN. I).

Recommandation X.210 du CCITT (1993), Technologie de Z’information - Interconnexion de systèmes

ouverts - Conventions pour la définition de services OSI.
- Interconnexion de systèmes ouverts - ModèZe de
ISOKEI 1073 1: 1994, Technologie de I’information
Référence de Base - Conventions pour la définition des services OSI.

Recommandation X.223 du CCITT (1988), Utilisation du protocole X.25 pour mettre en œuvre le service

de réseau en mode connexion de Z’OSI.

ISOKEI 8878:1992, Technologie de Z’information - Communication de données - Utilisation du

protocole X.25 pourfournir le service de réseau OSI en mode connexion.

Recommandation X.290 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI

pour les Recommandations sur les protocoles pour les applications du CCIU- Concepts généraux.

ISOKEI 9646- 1: 1994, Technologie de Z’information - Interconnexion de systèmes ouverts - Essais de

conformité - Méthodologie générale et procédures - Partie I: Concepts généraux.

Recommandation X.291 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI

pour les Recommandations sur les protocoZes pour les applications du CCITT - Spécification des suites

de tests abstraites.

ISO/CEI 9646-2: 1994, Technologie de Z ‘information - Interconnexion de systèmes ouverts - Essais de

conformité - Méthodologie générale et procédures - Partie 2: Spécification des suites de tests abstraites.

L .
- Interconnexion de systèmes
Recommandation X.509 du CCITT (1988), Technologie de Z’information
ouverts - L’annuaire: Cadre d’authentification.

ISOKEI 9594-8: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - L’annuaire -

Partie 8: Cadre général d’authentifîcation.

Recommandation X.800 du CCITT (1991), Architecture de sécurité pour Z’interconnexion en systèmes

ouverts d’applications du CCITT.
- Interconnexion de systèmes ouverts - Modèle
ISO 7498-2: 1989, Systèmes de traitement de Z’information
de référence de base - Partie 2: Architecture de sécurité.
1) À publier.
Rec. UIT-T X.273 (1994 F)
---------------------- Page: 8 ----------------------
ISOKEI 11577 : 1995 (F)
23 . Références additionnelles

ISOKEI 8208:1990, Technologie de l’information - Communication de données - Protocole X 2.5 de

couche paquets pour terminal de données.

ISO 8648: 1988, Systèmes de traitement de l’information - Communication de données - Organisation

interne de la couche réseau.

ISOKEI 9834- 1: 1993, Technologie de l’information - Interconnexion de systèmes ouverts - Procédures

Partie 1: Procédures générales.
pour des organismes d’enregistrement particuliers -
Interconnexion de systèmes ouverts - Procédures
ISOKEI 9834-3: 1990, Technologie de l’information -

pour des organismes d’enregistrement particuliers - Partie 3: Enregistrement des identificateurs d’objets

pour utilisation conjointement par I’ISO et le CCITT.

ISOKEI 9979: 199 1, Technologie de 1 ‘information - Techniques cryptographiques - Procédures pour

l’enregistrement des algorithmes cryptographiques.

Recommandation X.25 du CCITT (1993), Inteqace entre équipement terminal de données et équipement

de terminaison du circuit de données pour terminaux fonctionnant en mode paquet et raccordés par

circuit spécialisé à des réseaux publics pour données.
3 Définitions
31 .
Définitions du modèle de référence
La orésente Recommandation I Norme internationale utilise
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.