ITU-T H 235 3 SPANISH-2005 H 323 security Hybrid security profile《H 323安全框架 混合式安全概要 16号研究组》.pdf

1、 Unin Internacional de TelecomunicacionesUIT-T H.235.3SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (09/2005) SERIE H: SISTEMAS AUDIOVISUALES Y MULTIMEDIOS Infraestructura de los servicios audiovisuales Aspectos de los sistemas Marco de seguridad H.323: Perfil de seguridad hbrido Recome

2、ndacin UIT-T H.235.3 RECOMENDACIONES UIT-T DE LA SERIE H SISTEMAS AUDIOVISUALES Y MULTIMEDIOS CARACTERSTICAS DE LOS SISTEMAS VIDEOTELEFNICOS H.100H.199 INFRAESTRUCTURA DE LOS SERVICIOS AUDIOVISUALES Generalidades H.200H.219 Multiplexacin y sincronizacin en transmisin H.220H.229 Aspectos de los siste

3、mas H.230H.239 Procedimientos de comunicacin H.240H.259 Codificacin de imgenes vdeo en movimiento H.260H.279 Aspectos relacionados con los sistemas H.280H.299 Sistemas y equipos terminales para los servicios audiovisuales H.300H.349 Arquitectura de servicios de directorio para servicios audiovisuale

4、s y multimedios H.350H.359 Arquitectura de la calidad de servicio para servicios audiovisuales y multimedios H.360H.369 Servicios suplementarios para multimedios H.450H.499 PROCEDIMIENTOS DE MOVILIDAD Y DE COLABORACIN Visin de conjunto de la movilidad y de la colaboracin, definiciones, protocolos y

5、procedimientos H.500H.509 Movilidad para los sistemas y servicios multimedios de la serie H H.510H.519 Aplicaciones y servicios de colaboracin en mviles multimedios H.520H.529 Seguridad para los sistemas y servicios mviles multimedios H.530H.539 Seguridad para las aplicaciones y los servicios de col

6、aboracin en mviles multimedios H.540H.549 Procedimientos de interfuncionamiento de la movilidad H.550H.559 Procedimientos de interfuncionamiento de colaboracin en mviles multimedios H.560H.569 SERVICIOS DE BANDA ANCHA Y DE TRADA MULTIMEDIOS Servicios multimedios de banda ancha sobre VDSL H.610H.619

7、Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T H.235.3 (09/2005) i Recomendacin UIT-T H.235.3 Marco de seguridad H.323: Perfil de seguridad hbrido Resumen El objetivo de esta Recomendacin es describir un perfil de seguridad hbrido eficaz y adaptable para la versin 2 y ver

8、siones posteriores de la Rec. UIT-T H.235.0, basado en la infraestructura de clave pblica (PKI). En l se aprovechan los perfiles de seguridad de las Recs. UIT-T H.235.1 y H.235.2, gracias a la utilizacin de las firmas digitales de la Rec. UIT-T H.235.2 y del perfil de seguridad bsico de la Rec. UIT-

9、T H.235.1. En versiones anteriores de las subseries H.235, este perfil se inclua en el anexo F/H.235. En los apndices IV, V y VI de H.235.0 se indica la correspondencia entre las clusulas, las figuras y los cuadros de las versiones 3 y 4 de H.235. Orgenes La Recomendacin UIT-T H.235.3 fue aprobada e

10、l 13 de septiembre de 2005 por la Comisin de Estudio 16 (2005-2008) del UIT-T por el procedimiento de la Recomendacin UIT-T A.8. Palabras clave Autenticacin, certificado, criptacin, firma digital, gestin de claves, integridad, perfil de seguridad, seguridad de multimedia. ii Rec. UIT-T H.235.3 (09/2

11、005) PREFACIO La UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos,

12、 de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisi

13、ones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera d

14、e competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicac

15、iones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las dispo

16、siciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que l

17、a observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostr

18、acin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT ha recibido notificacin de propiedad intelectual, pr

19、otegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB. UIT

20、2006 Reservados todos los derechos. Ninguna parte de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T H.235.3 (09/2005) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 2.1 Referencias normativas 1 2.2 Referencias informativas 2

21、 3 Trminos y definiciones . 2 4 Abreviaturas, siglas o acrnimos 2 5 Convenios . 3 6 Consideraciones generales 4 6.1 Requisitos relativos a H.323. 7 6.2 Autenticacin e integridad 7 7 Procedimiento IV 8 8 Asociacin de seguridad para llamadas concurrentes 9 9 Actualizacin de clave 10 10 Utilizacin de t

22、cnicas basadas en curves elpticas 11 11 Ejemplos ilustrativos 11 12 Comportamiento multidifusin. 14 13 Lista de mensajes de sealizacin seguros . 14 13.1 RAS H.225.0 14 13.2 Sealizacin de llamada H.225.0 (un solo dominio administrativo) 14 13.3 Sealizacin de llamada H.225.0 (varios dominios administr

23、ativos) 15 14 Lista de identificadores de objeto. 15 Apndice I Procesador de seguridad de controlador de acceso conforme a H.235.3 . 16 I.1 Descubrimiento de un procesador de seguridad de controlador de acceso 18 I.2 Funcionamiento de un procesador de seguridad de controlador de acceso 19 I.3 Testig

24、o de procesador. 20 I.4 Ejemplo de uso de GKSP . 23 I.5 Lista de identificadores de objeto. 28 Rec. UIT-T H.235.3 (09/2005) 1 Recomendacin UIT-T H.235.3 Marco de seguridad H.323: Perfil de seguridad hbrido 1 Alcance El objetivo de esta Recomendacin es describir un perfil de seguridad hbrido eficaz y

25、 adaptable para la versin 2 y versiones posteriores de la Rec. UIT-T H.235.0, basado en la infraestructura de claves pblicas (PKI, public key infrastructure). En l se aprovechan los perfiles de seguridad de las Recs. UIT-T H.235.1 y H.235.2, gracias a la utilizacin de las firmas digitales de la Rec.

26、 UIT-T H.235.2 y del perfil de seguridad bsico de la Rec. UIT-T H.235.1. 2 Referencias 2.1 Referencias normativas Las siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposiciones de la presente Recomendacin. Al

27、efectuar esta publicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y otras referencias son objeto de revisiones por lo que se preconiza que los usuarios de esta Recomendacin investiguen la posibilidad de aplicar las ediciones ms recientes de las Recomendaciones y otras ref

28、erencias citadas a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualmente vigentes. En esta Recomendacin, la referencia a un documento, en tanto que autnomo, no le otorga el rango de una Recomendacin. Recomendacin UIT-T H.225.0 (2003), Protocolos de sealizacin de ll

29、amada y paquetizacin de trenes de medios para sistemas de comunicaciones multimedios por paquetes. Recomendacin UIT-T H.235, versin 1 (1998), Seguridad y criptado para terminales multimedios de la serie H (basados en las Recomendaciones H.323 y H.245). Recomendacin UIT-T H.235, versin 2 (2000), Segu

30、ridad y criptado para terminales multimedios de la serie H (basados en las Recomendaciones H.323 y H.245). Recomendacin UIT-T H.235.0 (2005), Marco de seguridad H.323: Marco de seguridad para sistemas multimedia de la serie H (H.323 y otros basados en H.245). Recomendacin UIT-T H.235.1 (2005), Marco

31、 de seguridad H.323: Perfil de seguridad bsico. Recomendacin UIT-T H.235.2 (2005), Marco de seguridad H.323: Perfil de seguridad de firma. Recomendacin UIT-T H.235.6 (2005), Marco de seguridad H.323: Perfil de criptacin vocal con gestin de claves H.323 y H.245 nativa. Recomendacin UIT-T H.245 (2005)

32、, Protocolo de control para comunicacin multimedia. Recomendacin UIT-T H.323 (2003), Sistemas de comunicacin multimedios basados en paquetes. Recomendacin UIT-T Q.931 (1998), Especificacin de la capa 3 de la interfaz usuario-red de la red digital de servicios integrados para el control de la llamada

33、 bsica. 2 Rec. UIT-T H.235.3 (09/2005) Recomendacin UIT-T X.509 (2005) | ISO/CEI 9594-8:2005, Tecnologa de la informacin Interconexin de sistemas abiertos El directorio: Marcos para certificados de claves pblicas y de atributos. Recomendacin UIT-T X.800 (1991), Arquitectura de seguridad de la interc

34、onexin de sistemas abiertos para aplicaciones del CCITT. ISO 7498-2:1989, Information processing systems Open Systems Interconnection Basic Reference Model Part 2: Security Architecture. Recomendacin UIT-T X.803 (1994) | ISO/CEI 10745:1995, Tecnologa de la informacin Interconexin de sistemas abierto

35、s Modelo de seguridad de capas superiores. Recomendacin UIT-T X.810 (1995) | ISO/CEI 10181-1:1996, Tecnologa de la informacin Interconexin de sistemas abiertos Marcos de seguridad para sistemas abiertos: Visin general. Recomendacin UIT-T X.811 (1995) | ISO/CEI 10181-2:1996, Tecnologa de la informaci

36、n Interconexin de sistemas abiertos Marcos de seguridad para sistemas abiertos: Marco de autenticacin. IETF RFC 3280 (2002), Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. 2.2 Referencias informativas ISO|CEI 14888-3 ISO/CEI 14888-3:1998, Informat

37、ion technology Security techniques Digital signatures with appendix; Part 3: Certificate-based mechanisms. PKCS PKCS #1 v2.0: RSA Cryptography Standard; RSA Laboratories; October 1, 1998; http:/ PKCS PKCS #7: Cryptographic Message Syntax Standard, An RSA Laboratories Technical Note, version 1.5, Rev

38、ised November 1, 1993; http:/ RFC1321 IETF RFC 1321 (1992), The MD5 Message-Digest Algorithm. 3 Trminos y definiciones A los efectos de esta Recomendacin, se aplican las definiciones de esta clusula junto con las de las clusulas 3/H.323, 3/H.225.0 y 3/H.245. Algunos de los siguientes trminos tienen

39、el sentido de las definiciones de las Recs. UIT-T X.800 | ISO 7498-2, X.803 | ISO/CEI 10745, X.810 | ISO/CEI 10181-1, X.811 | ISO/CEI 10181-2 y H.235.0. 4 Abreviaturas, siglas o acrnimos En esta Recomendacin se utilizan las siguientes abreviaturas, siglas o acrnimos. ALG Pasarela de nivel de aplicac

40、in (application level gateway) ASN.1 Notacin de sintaxis abstracta uno (abstract syntax notation one) BRJ Rechazo de anchura de banda (bandwidth reject) BRQ Peticin de anchura de banda (bandwidth request) CA Autoridad de certificacin (certification authority) CRL Lista de revocacin de certificados (

41、certificate revocation list) DB Base de datos (database) Rec. UIT-T H.235.3 (09/2005) 3 DH Diffie-Hellman DN Nombre distinguido (distinguished name) EP Punto extremo (endpoint) GCF Confirmacin de controlador de acceso (gatekeeper confirm) GK Controlador de acceso (gatekeeper) GKID Identificador de c

42、ontrolador de acceso (gatekeeper identifier) GKSP Procesador de seguridad de controlador de acceso (gatekeeper security processor) GRJ Rechazo de controlador de acceso (gatekeeper reject) GRQ Peticin de controlador de acceso (gatekeeper request) HMAC Cdigo de autenticacin de mensaje troceado (hashed

43、 message authentication code) ICV Valor de comprobacin de integridad (integrity check value) ID Identificador (identifier) IP Protocolo Internet (Internet protocol) LDAP Protocolo ligero de acceso al directorio (lightweight directory access protocol) LRQ Peticin de localizacin (location request) MCU

44、 Unidad de control multipunto (multipoint control unit) MD5 Message digest 5 NAT Traduccin de direccin de red (network address translation) OID Identificador de objeto (object identifier) PDU Unidad de datos de protocolo (protocol data unit) PKI Infraestructura de claves pblicas (public key infrastr

45、ucture) RAS Registro, admisin y estado (registration, admission and status) RCF Confirmacin de registro (registration confirm) RRJ Rechazo de registro (registration reject) RRQ Peticin de registro (registration request) RSA Algoritmo de criptacin de Rivest, Shamir y Adleman RTP Protocolo de transpor

46、te en tiempo real (real-time transport protocol) SHA Algoritmo troceado asegurado (secure hash algorithm) UDP Protocolo de datagrama de usuario (user datagram protocol) URQ Peticin de desregistro (unregistration request) VoIP Voz sobre el protocolo Internet (voice-over-IP) 5 Convenios En esta Recome

47、ndacin se utilizan los siguientes convenios en lo relativo al nivel de obligacin: La obligacin firme se expresa con el futuro simple del verbo (futuro de mandato) o expresiones con significado de obligacin. La conveniencia, es decir una accin aconsejada pero no obligatoria, se expresa con el condici

48、onal del verbo modal “deber“ o expresiones que indican conveniencia. 4 Rec. UIT-T H.235.3 (09/2005) La opcin se expresa mediante el presente de indicativo del verbo “poder“ o expresiones de posibilidad. En el perfil de seguridad hbrido se utilizan trminos y definiciones provenientes de las Recs. UIT-T H.235.1 y H.235.2. Si bien el servicio de integridad de mensaje siempre proporciona autenticacin de mensaje, lo contrario no siempre es cierto. En el modo slo autenticacin, no puede garantizarse ms que la i