CAN/CSA-ISO/IEC 10181-2-00 (C2013)

La présente Norme nationale du Canada est équivalente à la Norme internationale ISO/IEC 10181-2:1996 (premère édition, 1996-05-15). 1 Domaine d'application La série de Recommandations ¦ Normes internationales sur les cadres de sécurité pour systèmes ouverts concerne l'application de services de sécurité dans un environnement de systèmes ouverts. Dans ce contexte, le terme "systèmes ouverts" recouvre les domaines tels que bases de données, applications réparties, traitement réparti ouvert et OSI. Les cadres de sécurité pour systèmes ouverts définissent les moyens de protection applicables aux systèmes et aux objets qu'ils contiennent. Ils traitent également des interactions entre les systèmes. Ils ne traitent pas de la méthode relative à la création de systèmes ou de mécanismes. Les cadres de sécurité traitent à la fois des éléments de données et des séquences d'opérations (à l'exception deséléments de protocoles) utilisés pour obtenir des services de sécurité spécifiques. Ces services de sécurité peuvent s'appliquer aux entités de communication des systèmes et aux données échangées entre les systèmes ou gérées par eux. La présente Recommandation ¦ Norme internationale: - définit les concepts de base relatifs a l'authentification; - identifie les différentes classes de mécanismes d'authentification; - définit les services correspondant à ces classes; - identifie les spécifications fonctionnelles des protocoles supportant ces mécanismes; - précise les spécifications générales de gestion pour les services d'authentification. Différents types de normes peuvent utiliser ce cadre, par exemple: 1) les normes reprenant le concept d'authentification; 2) les normes relatives à la fourniture d'un service d'authentification; 3) les normes relatives à l'invocation d'un service d'authentification; 4) les normes spécifiant le moyen d'assurer l'authentification dans le cadre d'une architecture de système ouvert; et 5) les normes spécifiant des mécanismes d'authentification. [A noter que les services mentionnés aux points 2), 3) et 4) peuvent comporter une authentification mais avoir un autre objet principal.] Ces normes peuvent utiliser le présent Cadre comme suit: - les normes des types l), 2), 3), 4) et 5) peuvent utiliser la terminologie du présent Cadre; - les normes des types 2), 3), 4) et 5) peuvent utiliser les services définis à l'article 7 du présent Cadre; - les normes du type 5) peuvent être fondées sur les mécanismes définis à l'article 8 du présent Cadre. A l'instar d'autres services de sécurité, l'authentification ne peut être assurée que dans le contexte d'une politique de sécurité définie pour une application donnée. La définition des politiques de sécurité ne relève pas du domaine d'application de la présente Recommandation ¦ Norme internationale. De même, la spécification détaillée des échanges protocolaires nécessaires à l'authentification ne fait pas partie du domaine de la présente Recommendation ¦ Norme internationale. La présente Recommandation ¦ Norme internationale ne spécifie pas de mécanismes particuliers pour assurer des services d'authentification. D'autres normes (telle que l'ISO/CEI 9798) traitent plus en détail de méthodes d'authentification spécifiques et certaines d'entre elles (telle que la Rec. UIT-T X.509 / ISO/CEI 9594-8) exposent des exemples de méthodes se rapportant à des besoins d'authentification particuliers. Certaines des procédures décrites ci-après réalisent la sécurité en appliquant des techniques cryptographiques. Toutefois, le présent Cadre ne repose pas sur l'utilisation d'un algorithme cryptographique donné ou d'une autre nature, bien que certaines classes de mécanismes d'authentification puissent dépendre de proprietés algorithmiques particulières, par exemple des propriétés asymétriques. NOTE - L'ISO, bien que ne normalisant pas les algorithmes cryptographiques, normalise en fait les procédures utilisées pour les faire enregistrer dans l'ISO/CEI 9979.