Le présent document spécifie les fonctions permettant d'utiliser des techniques de sécurité pour protéger les données transmises par le protocole de transport OSI en mode connexion ou sans connexion. Les procédures spécifiées dans la présente Recommandation Norme internationale représentent des extensions des procédures définies par la Rec. UIT-T X.224; ISO/CEI 8073 et la Rec. UIT-T X.234; ISO 8602; elles n'interdisent en rien la communication d'informations non protégées entre des entités de transport mettant en oeuvre les dispositions de la Rec. UIT-T X.224; ISO/CEI 8073 ou de la Rec. UIT-T X.234; ISO 8602. La protection assurée par le protocole de sécurité défini dans la présente Recommandation Norme internationale dépend du bon fonctionnement de la gestion de la sécurité, y compris de la gestion des clés de chiffrement. Toutefois, la présente Recommandation Norme internationale ne spécifie pas les fonctions et protocoles de gestion nécessaires pour prendre en charge ce protocole de sécurité. Ce protocole peut prendre en charge tous les services d'intégrité, de confidentialité, d'authentification et de controle d'accès identifiés dans la Rec. X.800 du CCITT/ISO 7498-2 en ce qui concerne la couche transport. Le protocole prend en charge ces services au moyen de mécanismes cryptographiques, d'étiquettes et d'attributs de sécurité, clés de chiffrement et identités authentifiées par exemple, préétablis par la gestion de la sécurité ou établis à l'aide du protocole d'association de sécurité (SA-P). La protection ne peut être assurée que dans le cadre d'une politique de sécurité. Ce protocole prend en charge l'authentification des entités homologues au moment de l'établissement de la connexion. En outre, la modification des clés de chiffrement est assurée, dans ce protocole, par le protocole SA-P ou par d'autres moyens qui sortent du cadre de ce protocole. Les associations de sécurité ne peuvent être établies que dans le cadre d'une politique de sécurité. Il incombe aux utilisateurs d'établir leur propre politique de sécurité à laquelle certains contraintes peuvent être imposées par les procédures spécifiées dans la présente Recommandation Norme internationale. Les éléments suivants pourraient être inclus dans une politique de sécurité. a) méthode d'établissement/de libération de l'association SA, durée de l'association SA; b) mécanismes d'authentification/de controle d'accès; c) mécanismes d'étiquetage; d) procédure de réception d'une TPDU non valide au cours de la procédure d'établissement d'une association SA ou de transmission d'une PDU protégée; e) durée des clés; f) intervalle de la procédure de modification des clés pour la mise à jour de la procédure d'échange de clés et d'informations de commande de sécurité SCI); g) temporisation de la procédure d'échange d'informations SCI et de modification des clés; h) nombre de nouvelles tentatives d'échange d'informations SCI et de modification des clés. La présente Recommandation Norme internationale définit un protocole qui peut être mis en oeuvre pour l'établissement d'une association de sécurité. les entités qui désirent établir une association SA doivent utiliser des mécanismes communs d'authentification et de répartition de clés. La présente Recommandation Norme internationale spécifie un algorithme, fondé sur des systèmes cryptographiques de clés publiques, pour l'authentification et la répartition de clés. La mise en oeuvre de cet algorithme n'est pas obligatoire mais, lorsqu'un autre mécanisme est utilisé, il doit répondre aux conditions suivantes; a) tous les attributs SA définis au 5.2 sont calculés; b) les clés calculées sont authentifiées.
