Codes et normes - Achat
CAN/CSA-ISO/CEI 9594-8-F98
Technologies de l'information - Interconnexion de systèmes ouverts (OSI) - L'Annuaire: Cadre d'authentification (norme ISO/CEI 9594-8:1995)
SKU: 2411866
Publié par CSA Group
Année de publication 1998
34 pages
Withdrawn
détails du produit
1 Domaine d'application
La présente Spécification / Norme internationale:
On ne peut fournir d'authentification (et d'autres services de sécurité) que dans le contexte d'une politique de sécurité définie po ur une application particulière. Il appartient aux utilisateurs de cette application de définir leur propre politique de sécurité qui peut dépendre des services fournis par une norme.
Il appartient aux normes de définir les applications qui utilisent le cadre d'authentification pour spécifier les échanges de protocole qu'il convient d'effectuer afin de parvenir à une authentification basée sur l'information d'authentification obtenue de l'Annuaire. Le protocole utilisé par les applications pour obtenir des accréditations de l'Annuaire est le protocole d'accès à l'Annuaire (DAP) spécifié dans la Rec. UIT-T X.519 / ISO/CEI 9594-5.
La méthode d'authentification poussée spécifiée dans la présente Recommandation / Norme internationale repose sur des systèmes cryptographiques à clé (de codage) publique. C'est les principal avantage de ces systèmes que les certificats d'utilisateur puissent être conservés dans l'Annuaire et obtenus par les utilisateurs de l'Annuaire de la même manière que d'autres informations de l'Annuaire. On admet que les certificats d'utilisateur sont constitués par des moyens indépendants et sont mis en place dans l'Annuaire par leur créateur. La génération de certificats d'utilisateur est effectuée par une autorité d e certification autonome qui est complètement distincte des DSA de l'Annuaire. En particulier, aucune exigence spéciale n'est prescrite aux fournisseurs de l'Annuaire pour mémoriser ou communiquer les certificats d'utilisateur de façon sûre.
Une brève introduction à la cryptographie à clé publique est donnée dans l'Annexe C.
En général, le cadre d'authentification ne dépend pas de l' utilisation d'un algorithme particulier pour autant qu'il possède les propriétés décrites en 7.1. Il est possible dans la pratique d'utiliser un certain nombre d'algorithmes différents. Toutefois, deux utilisateurs qui désirent s'authentifier doivent utiliser le même algorithme cryptographique pour effectuer correctement l'authentification. De cette façon, dans le contexte d'un ensemble d'applications voisines, le choix d'un algorithme unique servira à élargir au maximum la communauté des utilisateurs capables de s'authentifier et de communiquer en sécurité. Un exemple d'algorithme cryptographique de clé publique est spécifié dans l'Annexe D.
De même, deux utilisateurs qui désirent s'authentifier doivent utiliser la même fonction hachage [voir 3.3 f] (utilisée pour former des accréditations et des jetons d'authentification). De nouveau, en principe, on peut utiliser un certain nombre de variantes de fonction hachage au prix d'un rétrécissement des communautés des utilisateurs capables de s'authentifier. Une brève introduction aux fonctions de hachage et un exemple de fonction de hachage sont donnés dans l'Annexe E.
La présente Spécification / Norme internationale:
- spécifie la forme sous laquelle l'information d'authentification est conservée par l'Annuaire;
- décrit la façon dont on peut obtenir de l'Annuaire cette information d'athentification;
- établit les hypothèses faites au sujet de la manière dont est constituée cette information d'authentification et de son emplacement dans l'Annuaire;
- définit trois manières dont les applications peuvent employer cette information d'authentification pour effectuer des authentifications et explique comment d'autres services de sécurité peuvent être assurés par l'authentification.
On ne peut fournir d'authentification (et d'autres services de sécurité) que dans le contexte d'une politique de sécurité définie po ur une application particulière. Il appartient aux utilisateurs de cette application de définir leur propre politique de sécurité qui peut dépendre des services fournis par une norme.
Il appartient aux normes de définir les applications qui utilisent le cadre d'authentification pour spécifier les échanges de protocole qu'il convient d'effectuer afin de parvenir à une authentification basée sur l'information d'authentification obtenue de l'Annuaire. Le protocole utilisé par les applications pour obtenir des accréditations de l'Annuaire est le protocole d'accès à l'Annuaire (DAP) spécifié dans la Rec. UIT-T X.519 / ISO/CEI 9594-5.
La méthode d'authentification poussée spécifiée dans la présente Recommandation / Norme internationale repose sur des systèmes cryptographiques à clé (de codage) publique. C'est les principal avantage de ces systèmes que les certificats d'utilisateur puissent être conservés dans l'Annuaire et obtenus par les utilisateurs de l'Annuaire de la même manière que d'autres informations de l'Annuaire. On admet que les certificats d'utilisateur sont constitués par des moyens indépendants et sont mis en place dans l'Annuaire par leur créateur. La génération de certificats d'utilisateur est effectuée par une autorité d e certification autonome qui est complètement distincte des DSA de l'Annuaire. En particulier, aucune exigence spéciale n'est prescrite aux fournisseurs de l'Annuaire pour mémoriser ou communiquer les certificats d'utilisateur de façon sûre.
Une brève introduction à la cryptographie à clé publique est donnée dans l'Annexe C.
En général, le cadre d'authentification ne dépend pas de l' utilisation d'un algorithme particulier pour autant qu'il possède les propriétés décrites en 7.1. Il est possible dans la pratique d'utiliser un certain nombre d'algorithmes différents. Toutefois, deux utilisateurs qui désirent s'authentifier doivent utiliser le même algorithme cryptographique pour effectuer correctement l'authentification. De cette façon, dans le contexte d'un ensemble d'applications voisines, le choix d'un algorithme unique servira à élargir au maximum la communauté des utilisateurs capables de s'authentifier et de communiquer en sécurité. Un exemple d'algorithme cryptographique de clé publique est spécifié dans l'Annexe D.
De même, deux utilisateurs qui désirent s'authentifier doivent utiliser la même fonction hachage [voir 3.3 f] (utilisée pour former des accréditations et des jetons d'authentification). De nouveau, en principe, on peut utiliser un certain nombre de variantes de fonction hachage au prix d'un rétrécissement des communautés des utilisateurs capables de s'authentifier. Une brève introduction aux fonctions de hachage et un exemple de fonction de hachage sont donnés dans l'Annexe E.