ISO/IEC 11577:1995
(Main)Information technology — Open Systems Interconnection — Network layer security protocol
Information technology — Open Systems Interconnection — Network layer security protocol
Specifies a protocol to be used by End Systems and Intermediate Systems in order to provide security services in the Network layer, which is defined by CCITT Rec. X.213, ISO/IEC 8348 and ISO 8648. The protocol defined herein is called the Network Layer Security Protocol (NLSP).
Technologies de l'information — Interconnexion de systèmes ouverts (OSI) — Protocole de sécurité de la couche réseau
La présente Recommandation de l'UIT-T | Norme internationale spécifie un protocole qui doit être utilisé par les systèmes d'extrémité et les systèmes intermédiaires pour assurer des services de sécurité dans la couche réseau définie par la Rec. X.213 du CCITT | ISO 8348 ainsi que par ISO 8348 AD2 et ISO 8648. Le protocole défini dans la présente Recommandation de l'UIT-T | Norme internationale est appelé protocole de sécurité de couche réseau (NLSP). La présente Recommandation de l'UIT-T | Norme internationale spécifie: 1) La mise en oeuvre des services de sécurité suivants définis dans la Rec. X.800 du CCITT | ISO 7498-2: a) authentification de l'entité homologue; b) authentification de l'origine des données; c) contrôle d'accès; d) confidentialité des données en mode connexion; e) confidentialité des données en mode sans connexion; f) confidentialité du flux de trafic; g) intégrité en mode connexion sans reprise (y compris intégrité des unités de données, dans laquelle l'intégrité de chaque SDU est protégée au cours d'une connexion); h) intégrité en mode sans connexion. 2) Les caractéristiques fonctionnelles requises pour les applications déclarées conformes à la présente Recommandation de l'UIT-T | Norme internationale. Les procédures du présent protocole sont définies en termes de: a) conditions requises pour les techniques cryptographiques qui peuvent être utilisées dans une instance de ce protocole; b) conditions requises pour les informations acheminées dans l'association de sécurité utilisée dans une instance de communication. Bien que le degré de protection offert par certains mécanismes de sécurité dépende de l'utilisation de certaines techniques cryptographiques, la mise en oeuvre correcte du présent protocole ne dépend pas du choix d'un algorithme de codage ou de décodage particulier. Ce choix doit faire l’objet d’une décision locale au niveau des systèmes de communication. En outre, ni le choix ni l’application d’une politique de sécurité particulière n’entrent dans le cadre de la présente Recommandation de I’UIT-T | Norme internationale. Il incombe aux autorités locales de choisir une politique de sécurité particulière, donc le degré de protection qui sera assuré, parmi les systèmes qui utilisent une seule instance de communication sûre. La présente Recommandation de l'UIT-T | Norme internationale n’implique nullement que demultiples instances de communication sûres faisant intervenir un seul système ouvert doivent utiliser le même protocole de sécurité. L’Annexe D décrit le formulaire PICS pour le protocole de sécurité de couche réseau conformément aux directives pertinentes données dans ISO/CEI 9646-2.
General Information
Buy Standard
Standards Content (Sample)
ISO/IEC
INTERNATIONAL
11577
STANDARD
First edition
1995-05-15
Information technology - Open Systems
- Network layer security
Interconnection
protocol
- Interconnexion de systemes ouverts
Technologies de I ’information
- Protocole de s&urit6 de Ia couche de r&eau
(OW
Reference tumber
ISO/IEC 11577:1995(E)
---------------------- Page: 1 ----------------------
ISO/IEC 11577:1995(E)
CONTENTS
Page
1 Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2
Normative references .
........................................................................ 2
2.1 Identical Recommendations I International Standards
2.2 . 2
Paired Recommendations I International Standards equivalent in technical content
2.3 Additional References . 3
3
Definitions .
3.1 . 3
Reference Model definitions
3
3.2 Security Architecture definitions .
4
3.3 Service Convention definitions .
4
3.4 Network Service definitions .
4
.....................................................................
3.5 Internal Organisation of the Network Layer definitions
4
3.6 Connectionless Network Protocol definitions .
4
3.7 Upper Layer Security Model definitions .
........................................................................................................ 4
3.8 Conformance Testing definitions
5
3.9 Additional definitions .
5
4 Abbreviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
4.1 Data Uni ts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
. . . . . . . . . . . .~.
4.2 Protocol Data Unit Fields
5
4.3 Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
4.4 Miscellaneous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
5 Overview of the Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
5.1 Introduction
7
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2 Overview of Services Provided
- . . . . . . . . 7
5.3 Overview of Services Assumed . . . . . . . . . . . . . . . . . . . . . . . . .*.*.*.
8
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4 Security Associations and Security Rules
8
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.5 Overview of Protocol - Protection Functions
10
. . . . . . . .*.
5.6 Overview of Protocol - NLSP-CL
11
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.7 Overview of Protocol - NLSP-CO
13
............................................................................
6 Protocol Functions Common to NLSP-CL and NLSP-CO
13
6.1 Introduction .
13
.......................................................................................................................
6.2 Common SA Attributes
14
................................................
Common Functions on a Request for an Instance of Communication
6.3
14
...........................................................................................
Secure Data Transfer Protocol Functions
64
16
...............................................................................................
6:5 Use of a Security Association Protocol
0 ISO/IEC 1995
All rights reserved. Unless otherwise specified, no part of this publication may be
reproduced or utilized in any form or by any means, electronie or mechanical,
including photocopying and microfilm, without Permission in writing from the
publisher.
ISO/IEC Copyright Office l Case postale 56 l CH-121 1 Geneve 20 l Switzerland
Printed in S wi tzerland
ii
---------------------- Page: 2 ----------------------
o ISO/IEC ISO/IEC 11577:1995(E)
7 Protocol Functions FOR NLSP-CL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
7.1 Services Provided by NLSP-CL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Services Assumed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.2 17
7.3 Security Association Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
7.4 Checks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
7.5 In-Band SA Establishment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
7.6 Processing NLSP-UNITDATA Request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
7.7 Processing UN-UNITDATA Indication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
18
8 Protocol Functions for NLSP-CO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
19
8.1 Services Provided by NLSP-CO .
19
8.2 Services Assumed . 20
8.3 Security Association Attributes .
21
8.4 Checks and other Common Functions . 21
8.5 NLSP-Connect Functions .
22
8.6 NLSP-DATA Functions . 33
8.7 NLSP-EXPEDITED-DATA Functions .
34
8.8 RESET Functions . 35
8.9 NLSP-DATA ACKNOWLEDGE .
36
8.10 NLSP-DISCONNECT . 36
8.11 Other Functions .
39
8.12 Peer Entity Authentication . 40
Overview of Mechanisms used . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9 41
9.1 Security Services and Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
9.2 Functions Supported . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
10 Connection security control (NLSP-CO only) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
10.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
10.2 SA-Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
10.3 Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*. 44
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
10.4 CSC-PDU Fields used 45
11 SDT PDU Based encapsulation Function . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
11.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
46
11.2 SA Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11.3 Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.*. 49
11.4 PDU Fields used
12 No-Header Encapsulation Function (NLSP-CO only) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “. 49
12.1 Overview
12.2 SA Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
12.3 Procedures
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*. 50
13 Structure and Encoding of PDUS
13.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
51
13.2 Content Field Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.*.
. . .
111
---------------------- Page: 3 ----------------------
ISO/IEC 11577:1995(E)
o ISO/IEC
13.3 Protected Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
51
13.4 Security Association PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
13.5 Connection Security Control PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
14 Conformance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
14.1 Static Conformance Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
14.2 Dynamit Conformance Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
’ 14.3 Protocol Implementation Conformance Statement
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Annex A - Mapping UN primitives to CCITT Rec. X.213 I ISO 8348 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Annex B - Mapping UN Primitives to CCITT Rec. X.25 I ISO 8208 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
Annex C - Security Association Protocol Using Key Token Exchange and Digital Signatures
s. 64
c.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
C.2 Key Token Exchange (KTE)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
C.3 SA-Protocol Authentication . . . . . . . . . . . . . . . . . . . . . . . .*.
65
C.4 SA Attribute Negotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
C.5 SA AbortfRelease . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
67
C.6 Mapping of SA-Protocol Functions to Protocol Exchanges
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
C.7 SA PDU - SA Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
Annex D - NLSP PICS Proforma
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
74
D. 1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
D.2 Abbreviations and Special Symbols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
D.3 Instructions for Completing the PICS Proforma
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
D.4 Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
D.5 Features Common to NLSP-CO and NLSP-CL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
D.6 Features Specific to NLSP-CL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
D.7 Features Specific to NLSP-CO
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Annex E - Tutorial on some Basic Concepts of NLSP .
87
E.l Basis of Protection .
87
E.2 Underlying VS NLSP Service . 88
E.3 NLSP Addressing .
88
E.4 Connection Mode NLSP .
92
E.5 Connectionless Mode NLSP .
94
E.6 Security Attributes and Associations . 99
E.7 Dynamit Functional Relationship between NLSP and CLNP .
99
E.8 Dynamit Functionality Related to Layered Model . 101
Annex F - Example of an Agreed Set of Security Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
103
Annex G - Security Associations and Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
105
Annex H - Example Key Token Exchange - EKE Algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
iv
---------------------- Page: 4 ----------------------
o ISO/IEC ISO/IEC 11577:1995(3)
Foreword
ISO (the International Organization for Standardization) and IEC (the Inter-
national Electrotechnical Commission) form the specialized System for
worldwide standardization. National bodies that are members of ISO or IEC
participate in the development of International Standards through technical
committees established by the respective organization to deal with particular
fields of technical activity. ISO and IEC technical committees collaborate in
fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the
work.
In the field of information technology, ISO and IEC have established a joint
technical committee, ISO/IEC JTC 1. Draft International Standards adopted
by the joint technical committee are circulated to national bodies for voting.
Publication as an International Standard requires approval by at least 75 %
of the national bodies casting a vote.
International Standard ISO/IEC 11577 was prepared by Joint Technical
Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 6,
Telecommunications and information exchange between Systems in
collaboration with ITU-T. The identical text is published as IT&-T
Recommendation X.273.
dates of ISO/IEC 7498-1, ISO/IEC 9646-1,
NOTE - The publication
ISO/IEC 9646-2, ISO/IEC 1073 1, ISO/IEC 10745 and ISO/IEC TR 13594,
referenced in this International Standard, differ from those referenced in the identical
ITU Recommendation X.273 due to the publication of new editions during final
preparation of this International Standard.
Annexes A to D form an integral part of this International Standard.
Annexes E to H are for information only.
---------------------- Page: 5 ----------------------
o ISO/IEC
ISO/IEC 11577:1995(E)
Introduction
The protocol defined by this ITU-T Recommendation I International Standard is used to provide security Services in
support of an instance of communication between lower layer entities. This protocol is positioned with respect to other
Standards by the layered structure defined in CCITT Rec. X.200 I ISO/IEC 7498-1 and by the Network layer
organization as defined in ISO 8648 and extended by ITU-T Rec. X.802 I ISO/IEC TR 13594 (Lower Layer Security
Model). It provides security Services in support of both connection-mode and connectionless-mode Network Services. In
particular, this protocol is located in the Network layer, and it has functional interfaces and clearly defined Service
interfaces at its upper and lower boundaries.
To evaluate conformance of a particular implementation, it is necessary to have a Statement of which capabilities and
Options have been implemented for a given OSI protocol. Such a Statement is called a Protocol Implementation
Conformance Statement (PICS).
---------------------- Page: 6 ----------------------
ISO/IEC 11577 : 1995 (E)
INTERNATIONAL STANDARD
ITU-T RECOMMENDATION
INFORMATION TECHNOLOGY - OPEN SYSTEMS INTERCONNECTION -
NETWORK LAYER SECURITY PROTOCOL
1 Scope
This ITU-T Recommendation I International Standard specifies a protocol to be used by End Systems and Intermediate
Systems in Order to provide security Services in the Network layer, which is defined by CCITT Rec. X.213 I
ISO/IEC 8348, and ISO 8648. The protocol defined in this ITU-T Recommendation I International Standard is called the
Network Layer Security Protocol (NLSP).
This ITU-T Recommendation I International Standard specifies:
1) Support for the following security Services defined in CCITT Rec. X.800 I ISO 7498-2:
peer entity authentication;
a>
data origin authentication;
b)
access control;
C>
connection confidentiality;
d)
connectionless confidentiality;
e>
traffit flow confidentiality;
fl
connection integrity without recovery (including Data Unit Integrity, in which individual SDUs on a
s)
connection are integrity protected);
connectionless integrity.
h)
2) The functional requirements for implernentations that Claim conformance to this ITU-T Recommen-
dation I International Standard.
The procedures of this protocol are defined in terms of:
requirements on the cryptographic techniques that tan be used in an instance of this protocol;
a>
b) requirements on the information carried in the security association used in an instance of communication.
Although the degree of protection afforded by some security mechanisms depends on the use of some specific
cryptographic techniques, correct Operation of this protocol is not dependent on the choice of any particular
encipherment or decipherment algorithm. This is a local matter for the communicating Systems.
Furthermore, neither the choice nor the implementation of a specific security policy are within the scope of this ITU-T
Recommendation I International Standard. The choice of a specific security policy, and hence the degree of protection
that will be achieved, is left as a local matter among the Systems that are using a Single instance of secure
communications. This ITU-T Recommendation I International Standard does not require that multiple instances of secure
communications involving a Single open System must use the Same security protocol.
Annex D provides the PICS proforma for the Network Layer Security Protocol in compliance with the relevant guidance
given in ISO/IEC 9646-2.
2 Normative references
The following Recommendations and International Standards contain provisions which, though reference in this text,
constitute provisions of this ITU-T Recommendation I International Standard. At time of publication, the editions
indicated were valid. All Recommenda
...
NORME
ISO/CEI
INTERNATIONALE
11577
Première édition
1995-05-I 5
Technologies de l’information -
Interconnexion de systèmes ouverts
- Protocole de sécurité de la couche
(OW
réseau
Information technology - Open Systems Interconnection - Network
layer security protocol
---------------------- Page: 1 ----------------------
ISOKEI 11577:1995(F)
Sommaire
Page
1
....................................................................................................................................
Domaine d’application
1
1
2 Références normatives .
2
2.1 Recommandations I Normes internationales identiques .
....... 2
Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
. 2.2
................................................................................................................... 3
2.3 Références additionnelles
3
3 Définitions .
.................................................................................................... 3
3.1 Définitions du modèle de référence
3
3.2 Définitions de l’architecture de sécurité .
4
Définitions des conventions de service .
3.3
4
.........................................................................................................
3.4 Définitions du service de réseau
................................................................... 4
3.5 Définitions de l’organisation interne de la couche réseau
............................................................. 4
3.6 Définitions du protocole de réseau en mode sans connexion
.................................................................... 4
3.7 Définitions du modèle de sécurité de couche supérieure
4
.....................................................................................................
3.8 Définitions des tests de conformité
................................................................................................................... 5
3.9 Définitions additionnelles
4 Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1 Unités de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 Champs d’unité de données de protocole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3 Paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4 Divers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
Vue d’ensemble du protocole .
5
6
5.1 Introduction .
7
5.2 Vue d’ensemble des services assurés .
7
Vue d’ensemble des services implicites .
5.3
8
.....................................................................................
5.4 Associations de sécurité et règles de sécurité
...................................................................... 9
5.5 Vue d’ensemble du protocole - Fonctions de protocole
.......................................................................................... 11
5.6 Vue d’ensemble du protocole - NLSP-CL
11
5.7 Vue d’ensemble du protocole - NLSP-CO .
0 ISO/CEI 1995
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication
ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé,
électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de
l’éditeur.
ISOKEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
ii
---------------------- Page: 2 ----------------------
ISOKEI 11577: 1995(F)
0 ISOKEI
6 Fonctions de protocole communes aux protocoles NLSP-CL et NLSP-CO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
6.1
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
62 . Attributs SA communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
6.3 Fonctions communes lors d’une demande d’instance de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
64 . Fonctions de protocole de transfert de données sûres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
65 . Utilisation d’un protocole d’association de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
7 Fonctions de protocole pour le protocole NLSP-CL . 17
17
7.1 Services assurés par le protocole NLSP-CL .
7.2 Services implicites . 17
7.3 Attributs d’association de sécurité . 17
7.4 18
Vérifications .
7.5 Etablissement d’association SA dans la bande . 18
7.6 Traitement d’une demande NLSP-UNITDATA . 18
7.7 Traitement de l’indication UN-UNITDATA . 19
8 Fonctions de protocole pour le protocole NLSP-CO . 20
8.1 Services assures par le protocole NLSP-CO . 20
..............................................................................................................................
8.2 Services implicites 21
8.3 Attributs d’association de sécurité . 22
8.4 Vérifications et autres fonctions communes . 22
8.5 Fonctions NLSP-CONNECT . 23
......................................................................................................................
8.6 Fonctions NLSP-DATA 35
8.7 Fonctions NLSP-EXPEDITED-DATA (données exprès NLSP) . 36
8.8 Fonctions RESET (réinitialisation) . 37
89 . Fonctions NLSP-DATA-ACKNOWLEDGE . 38
8.10 Primitive NLSP-DISCONNECT . 39
8.11 Autres fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
8.12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentification de l’entité homologue 43
Vue d’ensemble des mécanismes utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*. 44
9
91 . Services et mécanismes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
9.2 Fonctions mises en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
10 Commande de sécurité de connexion (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
10.1 Vue d’ensemble . . . . . . . .*. 45
46
10.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
10.4 Champs de CSC PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11 Fonction d’encapsulation fondée sur la SDT PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
. . . . . . . . . . . . . . . . . . . .*. 50
11.3 Procédures
52
11.4 Champs de PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
53
12 Fonction d’encapsulation fondée sur l’attribut No-Header (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
12.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
53
12.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
13 Structure et codage des PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
13.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.2 Format du champ de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
13.3 Données protégées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
13.4 PDU d’association de sécurité
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
13.5 PDU de commande de sécurité de connexion
. . .
111
---------------------- Page: 3 ----------------------
ISOKEI 11577:1995(F)
@ ISOKEI
14 Conformité .
63
14.1 Conditions de conformité statique .
63
14.2 Conditions requises pour la conformité dynamique
............................................................................ 65
14.3 Déclaration de conformité d’une instance de protocole
......................................................................
66
Annexe A - Mise en correspondance des primitives UN avec la Rec. X.21 3 du CCITT 1 ISO 8348. .
67
Annexe B - Mise en correspondance des primitives UN avec la Rec. X.25 du CCITT I ISO 8208 .
68
Annexe C - Protocole d’association de sécurité utilisant l’échange de jetons de clé et des signatures
numériques .
69
Annexe D - Formulaire PICS NLSP .
80
Annexe E - Exposé de certains principes de base du NLSP .
93
Annexe F - Exemple d’ensemble agréé de règles de sécurité .
109
Annexe G - Associations et attributs de sécurité .
111
Annexe H - Exemple d’échange de jetons de clé - Algorithme EKE
..................................................................... 113
---------------------- Page: 4 ----------------------
@ ISOKEI ISOKEI 11577: 1995(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes inter-
nationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de PIS0 et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouverne-
mentales ou non gouvernementales, en liaison avec 1’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 11577 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de Z’information, sous-comité SC 6,
Téléinformatique, en collaboration avec l’IUT-T. Le texte identique est publié en
tant que Recommandation IUT-T X.273.
NOTE - Les dates de publication de l’ISO/CEI 7498- 1, l’ISO/CEI 9646- 1,
1’ISOKEI 9646-2,l’ISOKEI 1073 1, l’ISO!CEI 10745 et 1’ISOKEI TR 13594, auxquelles
il est fait référence dans la présente Norme internationale, diffèrent de celles auxquelles il
est fait référence dans la Recommandation IUT-T X.273, du fait de la publication de
nouvelles éditions pendant la préparation finale de la présente Norme internationale.
Les annexes A à D font partie intégrante de la présente Norme internationale. Les
annexes E à H sont données uniquement à titre d’information.
---------------------- Page: 5 ----------------------
ISOKEI 11577: 1995(F) 0 ISOKEI
Introduction
Le protocole défini par la présente Recommandation de I’UIT-T I Norme internationale est utilisé pour assurer des
services de sécurité servant de support a une instance de communication entre des entités de couche inférieure. Ce
protocole se caractérise, relativement aux autres normes, par la structure en couches définie dans la Rec. X.200 du
CCITT I ISO 7498 ainsi que par l’organisation de la couche réseau définie dans ISO 8648 et étendue par la Rec. X.802
de l’UIT-T I TR 13595 (modèle de sécurité de couche inférieure). Il permet la mise en œuvre de services de sécurité
servant de support à des services de réseau en mode connexion et sans connexion. Sa particularité est d’être situé dans la
couche réseau et d’avoir des interfaces fonctionnelles ainsi que des interfaces de service nettement définies à ses limites
supérieure et inférieure.
Pour évaluer la conformité d’une application particulière, il est nécessaire d’avoir une déclaration précisant quelles
capacités et options ont été mises en œuvre pour un protocole OS1 donné. Une telle déclaration est appelée déclaration
de conformité d’une instance de protocole (PICS).
vi
---------------------- Page: 6 ----------------------
ISOKEI 11577 : 1995 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION - INTERCONNEXION DE SYSTÈMES
- PROTOCOLE DE SÉCURITÉ DE LA COUCHE RÉSEAU
OUVERTS (OSI)
1
Domaine d’application
La présente Recommandation de I’UIT-T I Norme internationale spécifie un protocole qui doit être utilisé par les
systèmes d’extrémité et les systèmes intermédiaires pour assurer des services de sécurité dans la couche réseau définie
par la Rec. X.213 du CCITT I ISO 8348 ainsi que par ISO 8348 AD2 et ISO 8648. Le protocole défini dans la présente
Recommandation de I’UIT-T I Norme internationale est appelé protocole de sécurité de couche réseau (NLSP).
La présente Recommandation de I’UIT-T I Norme internationale spécifie:
1) La mise en œuvre des services de sécurité suivants définis dans la Rec. X.800 du CCITT I ISO 7498-2:
authentification de l’entité homologue;
a>
authentification de l’origine des données;
W
contrôle d’accès;
confidentialité des données en mode connexion;
(0
confidentialité des données en mode sans connexion;
e)
confidentialité du flux de trafic;
f-l
intégrité en mode connexion sans reprise (y compris intégrité d .es unités de données, dans laquelle
Ii9
l’intégrité de chaque SDU est protégée au cours d’une connexion)
h) intégrité en mode sans connexion.
2) Les caractéristiques fonctionnelles requises pour les applications déclarées conformes à la présente
Recommandation de I’UIT-T I Norme internationale.
Les procédures du présent protocole sont définies en termes de:
conditions requises pour les techniques cryptographiques qui peuvent être utilisées dans une instance de
a>
ce protocole;
b) conditions requises pour les informations acheminées dans l’association de sécurité utilisée dans une
instance de communication.
Bien que le degré de protection offert par certains mécanismes de sécurité dépende de l’utilisation de certaines
techniques cryptographiques, la mise en œuvre correcte du présent protocole ne dépend pas du choix d’un algorithme de
codage ou de décodage particulier. Ce choix doit faire l’objet d’une décision locale au niveau des systèmes de
communication.
En outre, ni le choix ni l’application d’une politique de sécurité particulière n’entrent dans le cadre de la présente
Recommandation de I’UIT-T I Norme internationale. Il incombe aux autorités locales de choisir une politique de sécurité
particulière, donc le degré de protection qui sera assuré, parmi les systèmes qui utilisent une seule instance de
communication sûre. La présente Recommandation de KJIT-T I Norme internationale n’implique nullement que de
multiples instances de communication sûres faisant intervenir un seul système ouvert doivent utiliser le même protocole
de sécurité.
L’Annexe D décrit le formulaire PICS pour le protocole de sécurité de couche réseau conformément aux directives
pertinentes données dans ISOKEI 9646-2.
2 Références normatives
Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la référence qui
y est faite, constituent des dispositions valables pour la présente Recommandation de I’UIT-T I Norme internationale. Au
moment de la publication, les éditions indiquées étaient en vigueur. Toutes les Recommandations et Normes sont sujettes
à révision et les parties prenantes aux accords fondes sur la présente Recommandation de I’UIT-T I Norme internationale
1
Rec. UIT-T X.273 (1994 F)
---------------------- Page: 7 ----------------------
ISOKEI 11577 : 1995 (F)
sont invitées à rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes
indiquées ci-apres. Les membres de la CE1 et de 1’ISO possèdent le registre des Normes internationales en vigueur. Le
Bureau de normalisation des télécommunications de 1’UIT tient à jour une liste des Recommandations de l’UIT-T
actuellement en vigueur.
21 . Recommandations I Normes internationales identiques
-
Recommandation X.21 3 du CCITT (1992) I ISO 8348: 1993, Technologie de I?nformation - Définition du
service de réseau pour I?nterconnexion de systèmes ouverts.
-
Recommandation UIT-T X.233 (1993) I ISO/CEI 8473:1994, Technologie de Z’information - Protocole
assurant le service réseau en mode sans connexion de I?nterconnexion de systèmes ouverts: Spécification
du protocole.
-
Technologie de Z’information -
Recommandation UIT-T X.802 (1994) I ISOKEI TR 13594: -l),
Interconnexion de systèmes ouverts - Modèle de sécurité des couches inférieures.
”
-
---Il, Technologie de I?nformation -
Recommandation UIT-T X.803 (1994) I ISOKEI TR 10745:
- Modèle de sécurité des couches supérieures.
Interconnexion de systèmes ouverts
22 . Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
-
Recommandation X.200 du CCITT (1988), Technologie de Z’information - Interconnexion de systèmes
ouverts - Mode de référence: Modèle de référence de base.
ISOKEI 7498- 1: 1994, Technologie de I?nformation - Interconnexion de systèmes ouverts - Modèle de
référence de base: Le modèle de base.
-
Recommandation X.209 du CCITT (1988), Spéci’cation des règles de codage de base pour la notation
de syntaxe abstraite numéro un (ASN. I).
ISOKEI 8825: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - Spécification
de règles de base pour coder la notation de svntaxe abstraite numéro un (ASN. I).
w
-
Recommandation X.210 du CCITT (1993), Technologie de Z’information - Interconnexion de systèmes
ouverts - Conventions pour la définition de services OSI.
- Interconnexion de systèmes ouverts - ModèZe de
ISOKEI 1073 1: 1994, Technologie de I’information
Référence de Base - Conventions pour la définition des services OSI.
-
Recommandation X.223 du CCITT (1988), Utilisation du protocole X.25 pour mettre en œuvre le service
de réseau en mode connexion de Z’OSI.
ISOKEI 8878:1992, Technologie de Z’information - Communication de données - Utilisation du
protocole X.25 pourfournir le service de réseau OSI en mode connexion.
-
Recommandation X.290 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI
pour les Recommandations sur les protocoles pour les applications du CCIU- Concepts généraux.
ISOKEI 9646- 1: 1994, Technologie de Z’information - Interconnexion de systèmes ouverts - Essais de
conformité - Méthodologie générale et procédures - Partie I: Concepts généraux.
-
Recommandation X.291 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI
pour les Recommandations sur les protocoZes pour les applications du CCITT - Spécification des suites
de tests abstraites.
ISO/CEI 9646-2: 1994, Technologie de Z ‘information - Interconnexion de systèmes ouverts - Essais de
conformité - Méthodologie générale et procédures - Partie 2: Spécification des suites de tests abstraites.
L .
-
- Interconnexion de systèmes
Recommandation X.509 du CCITT (1988), Technologie de Z’information
ouverts - L’annuaire: Cadre d’authentification.
ISOKEI 9594-8: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - L’annuaire -
Partie 8: Cadre général d’authentifîcation.
-
Recommandation X.800 du CCITT (1991), Architecture de sécurité pour Z’interconnexion en systèmes
ouverts d’applications du CCITT.
- Interconnexion de systèmes ouverts - Modèle
ISO 7498-2: 1989, Systèmes de traitement de Z’information
de référence de base - Partie 2: Architecture de sécurité.
1) À publier.
Rec. UIT-T X.273 (1994 F)
2
---------------------- Page: 8 ----------------------
ISOKEI 11577 : 1995 (F)
23 . Références additionnelles
a-
ISOKEI 8208:1990, Technologie de l’information - Communication de données - Protocole X 2.5 de
.
couche paquets pour terminal de données.
-
ISO 8648: 1988, Systèmes de traitement de l’information - Communication de données - Organisation
interne de la couche réseau.
-
ISOKEI 9834- 1: 1993, Technologie de l’information - Interconnexion de systèmes ouverts - Procédures
Partie 1: Procédures générales.
pour des organismes d’enregistrement particuliers -
-
Interconnexion de systèmes ouverts - Procédures
ISOKEI 9834-3: 1990, Technologie de l’information -
pour des organismes d’enregistrement particuliers - Partie 3: Enregistrement des identificateurs d’objets
pour utilisation conjointement par I’ISO et le CCITT.
-
ISOKEI 9979: 199 1, Technologie de 1 ‘information - Techniques cryptographiques - Procédures pour
l’enregistrement des algorithmes cryptographiques.
-
Recommandation X.25 du CCITT (1993), Inteqace entre équipement terminal de données et équipement
de terminaison du circuit de données pour terminaux fonctionnant en mode paquet et raccordés par
circuit spécialisé à des réseaux publics pour données.
3 Définitions
31 .
Définitions du modèle de référence
La orésente Recommandation I Norme internationale utilise
...
NORME
ISO/CEI
INTERNATIONALE
11577
Première édition
1995-05-I 5
Technologies de l’information -
Interconnexion de systèmes ouverts
- Protocole de sécurité de la couche
(OW
réseau
Information technology - Open Systems Interconnection - Network
layer security protocol
---------------------- Page: 1 ----------------------
ISOKEI 11577:1995(F)
Sommaire
Page
1
....................................................................................................................................
Domaine d’application
1
1
2 Références normatives .
2
2.1 Recommandations I Normes internationales identiques .
....... 2
Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
. 2.2
................................................................................................................... 3
2.3 Références additionnelles
3
3 Définitions .
.................................................................................................... 3
3.1 Définitions du modèle de référence
3
3.2 Définitions de l’architecture de sécurité .
4
Définitions des conventions de service .
3.3
4
.........................................................................................................
3.4 Définitions du service de réseau
................................................................... 4
3.5 Définitions de l’organisation interne de la couche réseau
............................................................. 4
3.6 Définitions du protocole de réseau en mode sans connexion
.................................................................... 4
3.7 Définitions du modèle de sécurité de couche supérieure
4
.....................................................................................................
3.8 Définitions des tests de conformité
................................................................................................................... 5
3.9 Définitions additionnelles
4 Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1 Unités de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 Champs d’unité de données de protocole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3 Paramètres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4 Divers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
Vue d’ensemble du protocole .
5
6
5.1 Introduction .
7
5.2 Vue d’ensemble des services assurés .
7
Vue d’ensemble des services implicites .
5.3
8
.....................................................................................
5.4 Associations de sécurité et règles de sécurité
...................................................................... 9
5.5 Vue d’ensemble du protocole - Fonctions de protocole
.......................................................................................... 11
5.6 Vue d’ensemble du protocole - NLSP-CL
11
5.7 Vue d’ensemble du protocole - NLSP-CO .
0 ISO/CEI 1995
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication
ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé,
électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de
l’éditeur.
ISOKEI Copyright Office l Case postale 56 l CH-121 1 Genève 20 l Suisse
Version française tirée en 1996
Imprimé en Suisse
ii
---------------------- Page: 2 ----------------------
ISOKEI 11577: 1995(F)
0 ISOKEI
6 Fonctions de protocole communes aux protocoles NLSP-CL et NLSP-CO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
6.1
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
62 . Attributs SA communs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
6.3 Fonctions communes lors d’une demande d’instance de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
64 . Fonctions de protocole de transfert de données sûres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
65 . Utilisation d’un protocole d’association de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
7 Fonctions de protocole pour le protocole NLSP-CL . 17
17
7.1 Services assurés par le protocole NLSP-CL .
7.2 Services implicites . 17
7.3 Attributs d’association de sécurité . 17
7.4 18
Vérifications .
7.5 Etablissement d’association SA dans la bande . 18
7.6 Traitement d’une demande NLSP-UNITDATA . 18
7.7 Traitement de l’indication UN-UNITDATA . 19
8 Fonctions de protocole pour le protocole NLSP-CO . 20
8.1 Services assures par le protocole NLSP-CO . 20
..............................................................................................................................
8.2 Services implicites 21
8.3 Attributs d’association de sécurité . 22
8.4 Vérifications et autres fonctions communes . 22
8.5 Fonctions NLSP-CONNECT . 23
......................................................................................................................
8.6 Fonctions NLSP-DATA 35
8.7 Fonctions NLSP-EXPEDITED-DATA (données exprès NLSP) . 36
8.8 Fonctions RESET (réinitialisation) . 37
89 . Fonctions NLSP-DATA-ACKNOWLEDGE . 38
8.10 Primitive NLSP-DISCONNECT . 39
8.11 Autres fonctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
8.12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentification de l’entité homologue 43
Vue d’ensemble des mécanismes utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*. 44
9
91 . Services et mécanismes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
9.2 Fonctions mises en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
10 Commande de sécurité de connexion (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
10.1 Vue d’ensemble . . . . . . . .*. 45
46
10.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
10.4 Champs de CSC PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11 Fonction d’encapsulation fondée sur la SDT PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
. . . . . . . . . . . . . . . . . . . .*. 50
11.3 Procédures
52
11.4 Champs de PDU utilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
53
12 Fonction d’encapsulation fondée sur l’attribut No-Header (NLSP-CO seulement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12.1 Vue d’ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
12.2 Attributs SA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
53
12.3 Procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
13 Structure et codage des PDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
13.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.2 Format du champ de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
13.3 Données protégées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
13.4 PDU d’association de sécurité
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
13.5 PDU de commande de sécurité de connexion
. . .
111
---------------------- Page: 3 ----------------------
ISOKEI 11577:1995(F)
@ ISOKEI
14 Conformité .
63
14.1 Conditions de conformité statique .
63
14.2 Conditions requises pour la conformité dynamique
............................................................................ 65
14.3 Déclaration de conformité d’une instance de protocole
......................................................................
66
Annexe A - Mise en correspondance des primitives UN avec la Rec. X.21 3 du CCITT 1 ISO 8348. .
67
Annexe B - Mise en correspondance des primitives UN avec la Rec. X.25 du CCITT I ISO 8208 .
68
Annexe C - Protocole d’association de sécurité utilisant l’échange de jetons de clé et des signatures
numériques .
69
Annexe D - Formulaire PICS NLSP .
80
Annexe E - Exposé de certains principes de base du NLSP .
93
Annexe F - Exemple d’ensemble agréé de règles de sécurité .
109
Annexe G - Associations et attributs de sécurité .
111
Annexe H - Exemple d’échange de jetons de clé - Algorithme EKE
..................................................................... 113
---------------------- Page: 4 ----------------------
@ ISOKEI ISOKEI 11577: 1995(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et la CE1 (Commission
électrotechnique internationale) forment ensemble un système consacré à la
normalisation internationale considérée comme un tout. Les organismes nationaux
membres de I’ISO ou de la CE1 participent au développement de Normes inter-
nationales par l’intermédiaire des comités techniques créés par l’organisation
concernée afin de s’occuper des différents domaines particuliers de l’activité
technique. Les comités techniques de PIS0 et de la CE1 collaborent dans des
domaines d’intérêt commun. D’autres organisations internationales, gouverne-
mentales ou non gouvernementales, en liaison avec 1’ISO et la CE1 participent
également aux travaux.
Dans le domaine des technologies de l’information, I’ISO et la CE1 ont créé un
comité technique mixte, l’ISO/CEI JTC 1. Les projets de Normes internationales
adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
approbation, avant leur acceptation comme Normes internationales. Les Normes
internationales sont approuvées conformément aux procédures qui requièrent
l’approbation de 75 % au moins des organismes nationaux votants.
La Norme internationale ISOKEI 11577 a été élaborée par le comité technique
mixte ISOKEI JTC 1, Technologies de Z’information, sous-comité SC 6,
Téléinformatique, en collaboration avec l’IUT-T. Le texte identique est publié en
tant que Recommandation IUT-T X.273.
NOTE - Les dates de publication de l’ISO/CEI 7498- 1, l’ISO/CEI 9646- 1,
1’ISOKEI 9646-2,l’ISOKEI 1073 1, l’ISO!CEI 10745 et 1’ISOKEI TR 13594, auxquelles
il est fait référence dans la présente Norme internationale, diffèrent de celles auxquelles il
est fait référence dans la Recommandation IUT-T X.273, du fait de la publication de
nouvelles éditions pendant la préparation finale de la présente Norme internationale.
Les annexes A à D font partie intégrante de la présente Norme internationale. Les
annexes E à H sont données uniquement à titre d’information.
---------------------- Page: 5 ----------------------
ISOKEI 11577: 1995(F) 0 ISOKEI
Introduction
Le protocole défini par la présente Recommandation de I’UIT-T I Norme internationale est utilisé pour assurer des
services de sécurité servant de support a une instance de communication entre des entités de couche inférieure. Ce
protocole se caractérise, relativement aux autres normes, par la structure en couches définie dans la Rec. X.200 du
CCITT I ISO 7498 ainsi que par l’organisation de la couche réseau définie dans ISO 8648 et étendue par la Rec. X.802
de l’UIT-T I TR 13595 (modèle de sécurité de couche inférieure). Il permet la mise en œuvre de services de sécurité
servant de support à des services de réseau en mode connexion et sans connexion. Sa particularité est d’être situé dans la
couche réseau et d’avoir des interfaces fonctionnelles ainsi que des interfaces de service nettement définies à ses limites
supérieure et inférieure.
Pour évaluer la conformité d’une application particulière, il est nécessaire d’avoir une déclaration précisant quelles
capacités et options ont été mises en œuvre pour un protocole OS1 donné. Une telle déclaration est appelée déclaration
de conformité d’une instance de protocole (PICS).
vi
---------------------- Page: 6 ----------------------
ISOKEI 11577 : 1995 (F)
NORME INTERNATIONALE
RECOMMANDATION UIT-T
TECHNOLOGIES DE L’INFORMATION - INTERCONNEXION DE SYSTÈMES
- PROTOCOLE DE SÉCURITÉ DE LA COUCHE RÉSEAU
OUVERTS (OSI)
1
Domaine d’application
La présente Recommandation de I’UIT-T I Norme internationale spécifie un protocole qui doit être utilisé par les
systèmes d’extrémité et les systèmes intermédiaires pour assurer des services de sécurité dans la couche réseau définie
par la Rec. X.213 du CCITT I ISO 8348 ainsi que par ISO 8348 AD2 et ISO 8648. Le protocole défini dans la présente
Recommandation de I’UIT-T I Norme internationale est appelé protocole de sécurité de couche réseau (NLSP).
La présente Recommandation de I’UIT-T I Norme internationale spécifie:
1) La mise en œuvre des services de sécurité suivants définis dans la Rec. X.800 du CCITT I ISO 7498-2:
authentification de l’entité homologue;
a>
authentification de l’origine des données;
W
contrôle d’accès;
confidentialité des données en mode connexion;
(0
confidentialité des données en mode sans connexion;
e)
confidentialité du flux de trafic;
f-l
intégrité en mode connexion sans reprise (y compris intégrité d .es unités de données, dans laquelle
Ii9
l’intégrité de chaque SDU est protégée au cours d’une connexion)
h) intégrité en mode sans connexion.
2) Les caractéristiques fonctionnelles requises pour les applications déclarées conformes à la présente
Recommandation de I’UIT-T I Norme internationale.
Les procédures du présent protocole sont définies en termes de:
conditions requises pour les techniques cryptographiques qui peuvent être utilisées dans une instance de
a>
ce protocole;
b) conditions requises pour les informations acheminées dans l’association de sécurité utilisée dans une
instance de communication.
Bien que le degré de protection offert par certains mécanismes de sécurité dépende de l’utilisation de certaines
techniques cryptographiques, la mise en œuvre correcte du présent protocole ne dépend pas du choix d’un algorithme de
codage ou de décodage particulier. Ce choix doit faire l’objet d’une décision locale au niveau des systèmes de
communication.
En outre, ni le choix ni l’application d’une politique de sécurité particulière n’entrent dans le cadre de la présente
Recommandation de I’UIT-T I Norme internationale. Il incombe aux autorités locales de choisir une politique de sécurité
particulière, donc le degré de protection qui sera assuré, parmi les systèmes qui utilisent une seule instance de
communication sûre. La présente Recommandation de KJIT-T I Norme internationale n’implique nullement que de
multiples instances de communication sûres faisant intervenir un seul système ouvert doivent utiliser le même protocole
de sécurité.
L’Annexe D décrit le formulaire PICS pour le protocole de sécurité de couche réseau conformément aux directives
pertinentes données dans ISOKEI 9646-2.
2 Références normatives
Les Recommandations et Normes internationales suivantes contiennent des dispositions qui, par suite de la référence qui
y est faite, constituent des dispositions valables pour la présente Recommandation de I’UIT-T I Norme internationale. Au
moment de la publication, les éditions indiquées étaient en vigueur. Toutes les Recommandations et Normes sont sujettes
à révision et les parties prenantes aux accords fondes sur la présente Recommandation de I’UIT-T I Norme internationale
1
Rec. UIT-T X.273 (1994 F)
---------------------- Page: 7 ----------------------
ISOKEI 11577 : 1995 (F)
sont invitées à rechercher la possibilité d’appliquer les éditions les plus récentes des Recommandations et Normes
indiquées ci-apres. Les membres de la CE1 et de 1’ISO possèdent le registre des Normes internationales en vigueur. Le
Bureau de normalisation des télécommunications de 1’UIT tient à jour une liste des Recommandations de l’UIT-T
actuellement en vigueur.
21 . Recommandations I Normes internationales identiques
-
Recommandation X.21 3 du CCITT (1992) I ISO 8348: 1993, Technologie de I?nformation - Définition du
service de réseau pour I?nterconnexion de systèmes ouverts.
-
Recommandation UIT-T X.233 (1993) I ISO/CEI 8473:1994, Technologie de Z’information - Protocole
assurant le service réseau en mode sans connexion de I?nterconnexion de systèmes ouverts: Spécification
du protocole.
-
Technologie de Z’information -
Recommandation UIT-T X.802 (1994) I ISOKEI TR 13594: -l),
Interconnexion de systèmes ouverts - Modèle de sécurité des couches inférieures.
”
-
---Il, Technologie de I?nformation -
Recommandation UIT-T X.803 (1994) I ISOKEI TR 10745:
- Modèle de sécurité des couches supérieures.
Interconnexion de systèmes ouverts
22 . Paires de Recommandations I Normes internationales équivalentes par leur contenu technique
-
Recommandation X.200 du CCITT (1988), Technologie de Z’information - Interconnexion de systèmes
ouverts - Mode de référence: Modèle de référence de base.
ISOKEI 7498- 1: 1994, Technologie de I?nformation - Interconnexion de systèmes ouverts - Modèle de
référence de base: Le modèle de base.
-
Recommandation X.209 du CCITT (1988), Spéci’cation des règles de codage de base pour la notation
de syntaxe abstraite numéro un (ASN. I).
ISOKEI 8825: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - Spécification
de règles de base pour coder la notation de svntaxe abstraite numéro un (ASN. I).
w
-
Recommandation X.210 du CCITT (1993), Technologie de Z’information - Interconnexion de systèmes
ouverts - Conventions pour la définition de services OSI.
- Interconnexion de systèmes ouverts - ModèZe de
ISOKEI 1073 1: 1994, Technologie de I’information
Référence de Base - Conventions pour la définition des services OSI.
-
Recommandation X.223 du CCITT (1988), Utilisation du protocole X.25 pour mettre en œuvre le service
de réseau en mode connexion de Z’OSI.
ISOKEI 8878:1992, Technologie de Z’information - Communication de données - Utilisation du
protocole X.25 pourfournir le service de réseau OSI en mode connexion.
-
Recommandation X.290 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI
pour les Recommandations sur les protocoles pour les applications du CCIU- Concepts généraux.
ISOKEI 9646- 1: 1994, Technologie de Z’information - Interconnexion de systèmes ouverts - Essais de
conformité - Méthodologie générale et procédures - Partie I: Concepts généraux.
-
Recommandation X.291 du CCITT (1992), Cadre général et méthodologie des tests de conformité OSI
pour les Recommandations sur les protocoZes pour les applications du CCITT - Spécification des suites
de tests abstraites.
ISO/CEI 9646-2: 1994, Technologie de Z ‘information - Interconnexion de systèmes ouverts - Essais de
conformité - Méthodologie générale et procédures - Partie 2: Spécification des suites de tests abstraites.
L .
-
- Interconnexion de systèmes
Recommandation X.509 du CCITT (1988), Technologie de Z’information
ouverts - L’annuaire: Cadre d’authentification.
ISOKEI 9594-8: 1990, Technologie de Z’information - Interconnexion de systèmes ouverts - L’annuaire -
Partie 8: Cadre général d’authentifîcation.
-
Recommandation X.800 du CCITT (1991), Architecture de sécurité pour Z’interconnexion en systèmes
ouverts d’applications du CCITT.
- Interconnexion de systèmes ouverts - Modèle
ISO 7498-2: 1989, Systèmes de traitement de Z’information
de référence de base - Partie 2: Architecture de sécurité.
1) À publier.
Rec. UIT-T X.273 (1994 F)
2
---------------------- Page: 8 ----------------------
ISOKEI 11577 : 1995 (F)
23 . Références additionnelles
a-
ISOKEI 8208:1990, Technologie de l’information - Communication de données - Protocole X 2.5 de
.
couche paquets pour terminal de données.
-
ISO 8648: 1988, Systèmes de traitement de l’information - Communication de données - Organisation
interne de la couche réseau.
-
ISOKEI 9834- 1: 1993, Technologie de l’information - Interconnexion de systèmes ouverts - Procédures
Partie 1: Procédures générales.
pour des organismes d’enregistrement particuliers -
-
Interconnexion de systèmes ouverts - Procédures
ISOKEI 9834-3: 1990, Technologie de l’information -
pour des organismes d’enregistrement particuliers - Partie 3: Enregistrement des identificateurs d’objets
pour utilisation conjointement par I’ISO et le CCITT.
-
ISOKEI 9979: 199 1, Technologie de 1 ‘information - Techniques cryptographiques - Procédures pour
l’enregistrement des algorithmes cryptographiques.
-
Recommandation X.25 du CCITT (1993), Inteqace entre équipement terminal de données et équipement
de terminaison du circuit de données pour terminaux fonctionnant en mode paquet et raccordés par
circuit spécialisé à des réseaux publics pour données.
3 Définitions
31 .
Définitions du modèle de référence
La orésente Recommandation I Norme internationale utilise
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.