ITU-T X 802 SPANISH-1995 INFORMATION TECHNOLOGY - LOWER LAYERS SECURITY MODEL《信息技术 下层安全模型 数据网络和开放系统通信 安全 22pp》.pdf

1、UNIN INTERNACIONAL DE TELECOMUNICACIONESUIT-T X.802SECTOR DE NORMALIZACIN (04/95)DE LAS TELECOMUNICACIONESDE LA UITREDES DE DATOS Y COMUNICACINENTRE SISTEMAS ABIERTOSSEGURIDADTECNOLOGA DE LA INFORMACIN MODELO DE SEGURIDADDE CAPAS INFERIORESRecomendacin UIT-T X.802(Anteriormente Recomendacin del CCIT

2、T)PREFACIOLa UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campode las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rganopermanente de la UIT. En el UIT-T, que es la entidad que establece n

3、ormas mundiales (Recomendaciones) sobre lastelecomunicaciones, participan unos 179 pases miembros, 84 empresas de explotacin de telecomunicaciones, 145 orga-nizaciones cientficas e industriales y 38 organizaciones internacionales.Las Recomendaciones las aprueban los Miembros del UIT-T de acuerdo con

4、 el procedimiento establecido en laResolucin N. 1 de la CMNT (Helsinki, 1993). Adicionalmente, la Conferencia Mundial de Normalizacin de lasTelecomunicaciones (CMNT), que se celebra cada cuatro aos, aprueba las Recomendaciones que para ello se lesometan y establece el programa de estudios para el pe

5、riodo siguiente.En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, sepreparan las normas necesarias en colaboracin con la ISO y la CEI. El texto de la Recomendacin UIT-T X.802se aprob el 10 de abril de 1995. Su texto se publica tambin, en form

6、a idntica, como Norma Interna-cional ISO/CEI 13594._NOTAEn esta Recomendacin, la expresin Administracin se utiliza para designar, en forma abreviada, tanto unaadministracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. UIT 1996Es propiedad. Ninguna parte de e

7、sta publicacin puede reproducirse o utilizarse, de ninguna forma o por ningn medio,sea ste electrnico o mecnico, de fotocopia o de microfilm, sin previa autorizacin escrita por parte de la UIT.RECOMENDACIONES UIT-T DE LA SERIE XREDES DE DATOS Y COMUNICACIN ENTRE SISTEMAS ABIERTOS(Febrero de 1994)ORG

8、ANIZACIN DE LAS RECOMENDACIONES DE LA SERIE XDominio RecomendacionesREDES PBLICAS DE DATOSServicios y facilidades X.1-X.19Interfaces X.20-X.49Transmisin, sealizacin y conmutacin X.50-X.89Aspectos de redes X.90-X.149Mantenimiento X.150-X.179Disposiciones administrativas X.180-X.199INTERCONEXIN DE SIS

9、TEMAS ABIERTOSModelo y notacin X.200-X.209Definiciones de los servicios X.210-X.219Especificaciones de los protocolos en modo conexin X.220-X.229Especificaciones de los protocolos en modo sin conexin X.230-X.239Formularios para enunciados de conformidad de implementacin de protocolo X.240-X.259Ident

10、ificacin de protocolos X.260-X.269Protocolos de seguridad X.270-X.279Objetos gestionados de capa X.280-X.289Pruebas de conformidad X.290-X.299INTERFUNCIONAMIENTO ENTRE REDESGeneralidades X.300-X.349Sistemas mviles de transmisin de datos X.350-X.369Gestin X.370-X.399SISTEMAS DE TRATAMIENTO DE MENSAJE

11、S X.400-X.499DIRECTORIO X.500-X.599GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOSY ASPECTOS DE SISTEMASGestin de redes X.600-X.649Denominacin, direccionamiento y registro X.650-X.679Notacin de sintaxis abstracta uno X.680-X.699GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS X.700-X.799SEGURIDAD X.

12、800-X.849APLICACIONES DE INTERCONEXIN DE SISTEMAS ABIERTOSCometimiento, concurrencia y recuperacin X.850-X.859Tratamiento de transacciones X.860-X.879Operaciones a distancia X.880-X.899TRATAMIENTO ABIERTO DISTRIBUIDO X.900-X.999Rec. UIT-T X.802 (1995 S) iNDICEPgina1 Alcance. 12 Referencias normativa

13、s 12.1 Recomendaciones | Normas internacionales idnticas 12.2 Pares de Recomendaciones | Normas Internacionales de contenido tcnico equivalente . 22.3 Referencias adicionales. 23 Definiciones . 33.1 Definiciones del modelo de referencia de OSI . 33.2 Definiciones de marcos de seguridad de sistemas a

14、biertos. 33.3 Organizacin interna de las definiciones de la capa de red. 33.4 Definiciones adicionales . 34 Abreviaturas . 35 Asociaciones de seguridad . 45.1 Visin general . 45.2 Establecimiento de asociaciones de seguridad para las capas inferiores 55.3 Cierre de la asociacin de seguridad. 65.4 Mo

15、dificacin de atributos en una conexin 66 Repercusin en los protocolos existentes. 76.1 Principio general . 76.2 Tamao de SDU sin conexin 76.3 Concatenacin de las PDU 76.4 Independencia con respecto al algoritmo y a los mecanismos 77 Estructura de PDU de seguridad comn 78 Determinacin de los servicio

16、s y mecanismos de seguridad 89 QOS de proteccin . 810 Reglas de seguridad 811 Colocacin de seguridad en las capas inferiores 812 Utilizacin de capa(s) (N-1) para mejorar la seguridad de capa (N) 1413 Etiquetado de seguridad . 1514 Dominios de seguridad. 1515 Seguridad de encaminamiento 1516 Gestin d

17、e seguridad 1616.1 Poltica de seguridad . 1616.2 Gestin de asociaciones de seguridad. 1616.3 Gestin de claves 1616.4 Auditora de seguridad 1617 Confidencialidad del flujo de trfico 1618 Directrices para la definicin de atributos de SA. 1619 Tratamiento de errores . 17Anexo A Ejemplo ilustrativo de u

18、n conjunto convenido de reglas de seguridad.18ii Rec. UIT-T X.802 (1995 S)ResumenLa presente Recomendacin | Informe tcnico describe los aspectos de la prestacin de servicios de seguridad en lascapas ms bajas del modelo de referencia de OSI (capas de transporte, red, enlace de datos, fsica) y describ

19、e losconceptos arquitecturales comunes a estas capas, la base para las interacciones en relacin con la seguridad entre capas yla ubicacin de protocolos de seguridad en las capas ms bajas.ISO/CEI TR 13594 : 1995 (S)Rec. UIT-T X.802 (1995 S) 1INFORME TCNICOISO/CEI TR 13594 : 1995 (S)Rec. UIT-T X.802 (

20、1995 S)RECOMENDACIN UIT-TTECNOLOGA DE LA INFORMACIN MODELO DE SEGURIDADDE CAPAS INFERIORES1 AlcanceLa presente Recomendacin | Informe tcnico describe los aspectos de la prestacin de servicios de seguridad en lascapas ms bajas del modelo de referencia de OSI (capas de transporte, de red, de enlace de

21、 datos y fsica).La presente Recomendacin | Informe tcnico describe:a) los conceptos arquitecturales comunes a las capas ms bajas basados en los definidos en la Rec. X.800 delCCITT | ISO 7498-2;b) la base para las interacciones relacionadas con la seguridad entre protocolos en las capas inferiores;c)

22、 la base para cualquier interaccin relacionada con la seguridad entre las capas ms bajas y las capas msaltas de OSI;d) la ubicacin de los protocolos de seguridad en relacin con otros protocolos de seguridad de capas msbajas y el cometido relativo de tales ubicaciones.No debe haber conflicto entre lo

23、s protocolos de seguridad para las capas ms bajas y el modelo descrito en estaRecomendacin | Informe tcnico.La Rec. X.500 del CCITT | ISO/CEI 9594-1 identifica los servicios de seguridad pertinentes a cada una de las capas msbajas del modelo de referencia de OSI.2 Referencias normativasLas siguiente

24、s Recomendaciones y Normas Internacionales contienen disposiciones que, mediante su referencia en estetexto, constituyen disposiciones de la presente Recomendacin | Informe tcnico. Al efectuar esta publicacin, estabanen vigor las ediciones indicadas. Todas las Recomendaciones y Normas son objeto de

25、revisiones, por lo que se preconizaque los participantes en acuerdos basados en la presente Recomendacin | Informe tcnico investiguen la posibilidad deaplicar las ediciones ms recientes de las Recomendaciones y las Normas citadas a continuacin. Los miembros de laCEI y de la ISO mantienen registros d

26、e las Normas Internacionales actualmente vigentes. La Oficina de Normalizacinde las Telecomunicaciones de la UIT mantiene una lista de las Recomendaciones del UIT-T actualmente vigentes.2.1 Recomendaciones | Normas internacionales idnticas Recomendacin UIT-T X.200 (1994) | ISO 7498-1:1994, Tecnologa

27、 de la informacin Interconexinde sistemas abiertos Modelo de referencia bsico: El modelo bsico. Recomendacin UIT-T X.233 (1993) | ISO/CEI 8473-1:1994, Tecnologa de la informacin Protocolopara proporcionar el servicio de red sin conexin de interconexin de sistemas abiertos: Especificacindel protocolo

28、. Recomendacin UIT-T X.234 (1994) | ISO/CEI 8602:1995, Tecnologa de la informacin Protocolopara proporcionar el servicio de transporte en modo sin conexin de interconexin de sistemas abiertos. Recomendacin UIT-T X.273 (1994) | ISO/CEI 11577:1995, Tecnologa de la informacin Interconexin de sistemas a

29、biertos Protocolo de seguridad de la capa de red. Recomendacin UIT-T X.274 (1994) | ISO/CEI 10736:1995, Tecnologa de la informacin Intercambiode telecomunicaciones e informacin entre sistemas Protocolo de seguridad de la capa de transporte.ISO/CEI TR 13594 : 1995 (S)2 Rec. UIT-T X.802 (1995 S) Recom

30、endacin UIT-T X.803 (1994) | ISO/CEI 10745:1995, Tecnologa de la informacin Interconexin de sistemas abiertos Modelo de seguridad de capas superiores. Recomendacin UIT-T X.81011)| ISO/CEI 10181-1.1), Tecnologa de la informacin Interconexin desistemas abiertos Marcos de seguridad en sistemas abiertos

31、: visin de marcos de seguridad. Recomendacin UIT-T X.8121)| ISO/CEI 10181-3.1), Tecnologa de la informacin Interconexin desistemas abiertos Marcos de seguridad en sistemas abiertos: marco de control de acceso.2.2 Pares de Recomendaciones | Normas Internacionales de contenido tcnico equivalente Recom

32、endacin X.800 del CCITT (1991), Arquitectura de seguridad de interconexin de sistemasabiertos para aplicaciones del CCITT.ISO 7498-2:1989, Information processing systems Open Systems Interconnection Basic ReferenceModel Part 2: Security Architecture. Recomendacin UIT-T X.224 (1993), Protocolo para p

33、roporcionar el servicio de transporte en modoconexin para la interconexin de sistemas abiertos.ISO/CEI 8073:1992, Information technology Telecommunications and information exchange betweensystems Open Systems Interconnection Protocol for providing the connection-mode transport service. Recomendacin

34、X.208 del CCITT (1988), Especificacin de la notacin de sintaxis abstracta uno(NSA.1).ISO/CEI 8824:1990, Information technology Open Systems Interconnection Specification of AbstractSyntax Notation One (ASN.1). Recomendacin X.209 del CCITT (1988), Especificacin de las reglas bsicas de codificacin de

35、lanotacin de sintaxis abstracta uno (NSA.1).Norma ISO/CEI 8825:1990, Information technology Open Systems Interconnection Specification ofBasic Encoding Rules for Abstract Syntax Notation One (ASN.1).2.3 Referencias adicionales ISO/CEI 8208:1995, Information technology Data Communications X.25 Packet

36、 Layer Protocol ForData Terminal Equipment. Recomendacin UIT-T X.25 (1993), Interfaz entre el equipo terminal de datos y el equipo de terminacindel circuito de datos para equipos terminales que funcionan en el modo paquete y estan conectados aredes pblicas de datos por circuitos dedicados. ISO 8648:

37、1988, Information processing systems Open Systems Interconnection Internal organisationof the Network Layer. ISO 9542:19882), Information processing systems Telecommunications and information exchangebetween systems End system to intermediate system routing exchange protocol for use in conjunctionwi

38、th the Protocol for providing the connectionless-mode Network Service (ISO 8473). ISO/CEI 10589:1992, Information technology Telecommunications and information exchange betweensystems Intermediate system to intermediate system intra-domain routing exchange protocol for use inconjunction with the pro

39、tocol providing the connectionless-mode Network Service (ISO 8473). ISO/CEI 10747:1994, Information technology Telecommunications and information exchange betweensystems Protocol for exchange of inter-domain routing information among intermediate systems tosupport forwarding of ISO 8473 PDUs._1)Actu

40、almente en estado de proyecto.2)Actualmente en revisin.ISO/CEI TR 13594 : 1995 (S)Rec. UIT-T X.802 (1995 S) 33 Definiciones3.1 Definiciones del modelo de referencia de OSIEn la presente Recomendacin | Informe tcnico se utiliza el siguiente trmino definido en la Rec. UIT-T X.200 |ISO/CEI 7498-1: cali

41、dad de servicio3.2 Definiciones de marcos de seguridad de sistemas abiertosEn la presente Recomendacin | Informe tcnico se utiliza el siguiente trmino definido en la Rec. UIT-T X.810 |ISO/CEI 10181-1: dominio de seguridad3.3 Organizacin interna de las definiciones de la capa de redEn la presente Rec

42、omendacin | Informe tcnico se utilizan los siguientes trminos definidos en ISO 8648.a) protocolo de acceso de subred;b) sistema de extremo;c) sistema intermedio.3.4 Definiciones adicionalesA los efectos de la presente Recomendacin | Informe tcnico se aplican las siguientes definiciones:3.4.1 protecc

43、in de reflexin: Mecanismo de proteccin para detectar cundo una unidad de datos de protocolo hasido devuelta al originador.3.4.2 atributos de asociacin de seguridad: Conjunto de informaciones requeridas para controlar la seguridad delas comunicaciones entre una entidad y su par o pares distantes.3.4.

44、3 asociacin de seguridad: Relacin entre las entidades comunicantes de capas inferiores para las cuales existenatributos de asociacin de seguridad correspondientes.3.4.4 reglas de seguridad: Informacin local que, dados los servicios de seguridad seleccionados, especifica losmecanismos de seguridad su

45、byacentes que se han de emplear, incluidos todos los parmetros necesarios para elfuncionamiento del mecanismo.NOTA Las reglas de seguridad constituyen una forma de reglas de interaccin seguras como se define en el modelo deseguridad de capas superiores (Rec. UIT-T X.803 | ISO/CEI 10745).4 Abreviatur

46、asISN Nmero secuencial para la integridad (integrity sequence number)SSAA Conjunto de atributos de SA (set of SA attributes)NLSP Protocolo de seguridad de capa de red (network layer security protocol)NLSP-CO NLSP para el modo con conexin (NLSP connection mode)NLSP-CL NLSP para el modo sin conexin (N

47、LSP connectionless mode)QOS Calidad de servicio (quality of service) (definido en la Rec. X.200 del CCITT | ISO 7498-1)SA Asociacin de seguridad (security association)SA-ID Identificador de asociacin de seguridad (security association identifier)SNAcP Protocolo de acceso de subred (subnetwork access

48、 protocol) (definido en ISO 8648)SNISP Protocolo de seguridad independiente de subred (subnetwork independent security protocol)TLSP Protocolo de seguridad de capa de transporte (transport layer security protocol)ISO/CEI TR 13594 : 1995 (S)4 Rec. UIT-T X.802 (1995 S)5 Asociaciones de seguridad5.1 Visin general5.1.1 Todo protocolo de seguridad utiliza varios mecanismos de seguridad para suministrar servicios de seguridad ala capa inmediata superior. Los servicios de seguridad requeridos por la capa superior pueden ser indicados a las capasinferiores util