1、 Unin Internacional de TelecomunicacionesUIT-T H.235.4SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (09/2005) SERIE H: SISTEMAS AUDIOVISUALES Y MULTIMEDIOS Infraestructura de los servicios audiovisuales Aspectos de los sistemas Marco de seguridad H.323: Seguridad de llamada con encamina
2、miento directo y selectivoRecomendacin UIT-T H.235.4 RECOMENDACIONES UIT-T DE LA SERIE H SISTEMAS AUDIOVISUALES Y MULTIMEDIOS CARACTERSTICAS DE LOS SISTEMAS VIDEOTELEFNICOS H.100H.199 INFRAESTRUCTURA DE LOS SERVICIOS AUDIOVISUALES Generalidades H.200H.219 Multiplexacin y sincronizacin en transmisin
3、H.220H.229 Aspectos de los sistemas H.230H.239 Procedimientos de comunicacin H.240H.259 Codificacin de imgenes vdeo en movimiento H.260H.279 Aspectos relacionados con los sistemas H.280H.299 Sistemas y equipos terminales para los servicios audiovisuales H.300H.349 Arquitectura de servicios de direct
4、orio para servicios audiovisuales y multimedios H.350H.359 Arquitectura de la calidad de servicio para servicios audiovisuales y multimedios H.360H.369 Servicios suplementarios para multimedios H.450H.499 PROCEDIMIENTOS DE MOVILIDAD Y DE COLABORACIN Visin de conjunto de la movilidad y de la colabora
5、cin, definiciones, protocolos y procedimientos H.500H.509 Movilidad para los sistemas y servicios multimedios de la serie H H.510H.519 Aplicaciones y servicios de colaboracin en mviles multimedios H.520H.529 Seguridad para los sistemas y servicios mviles multimedios H.530H.539 Seguridad para las apl
6、icaciones y los servicios de colaboracin en mviles multimedios H.540H.549 Procedimientos de interfuncionamiento de la movilidad H.550H.559 Procedimientos de interfuncionamiento de colaboracin en mviles multimedios H.560H.569 SERVICIOS DE BANDA ANCHA Y DE TRADA MULTIMEDIOS Servicios multimedios de ba
7、nda ancha sobre VDSL H.610H.619 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T H.235.4 (09/2005) i Recomendacin UIT-T H.235.4 Marco de seguridad H.323: Seguridad de llamada con encaminamiento directo y selectivo Resumen El objetivo de esta Recomendacin es recomendar los p
8、rocedimientos de seguridad necesarios para utilizar la sealizacin de llamada con encaminamiento directo con los perfiles de seguridad H.235.1 y H.235.3. Es un perfil de seguridad facultativo que puede ser complementario de los perfiles de esas dos Recomendaciones. Asimismo, se suministran detalles r
9、elativos a la implementacin de la clusula 8.4/H.235.0 mediante tcnicas de gestin de claves simtricas. En versiones anteriores de la subserie H.235, este perfil se inclua en el anexo I/H.235. En los apndices IV, V y VI de H.235.0 se indica la correspondencia entre las clusulas, las figuras y los cuad
10、ros de las versiones 3 y 4 de H.235. Orgenes La Recomendacin UIT-T H.235.4 fue aprobada el 13 de septiembre de 2005 por la Comisin de Estudio 16 (2005-2008) del UIT-T por el procedimiento de la Recomendacin UIT-T A.8. Palabras clave Autenticacin, criptacin, gestin de claves, integridad, perfil de se
11、guridad, seguridad de multimedia, seguridad de llamada con encaminamiento directo, seguridad de llamada con encaminamiento selectivo. ii Rec. UIT-T H.235.4 (09/2005) PREFACIO La UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campo de las tel
12、ecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano
13、mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del U
14、IT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Admi
15、nistracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (pa
16、ra asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que
17、 + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o apl
18、icacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajen
19、os al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que est
20、a informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB. UIT 2006 Reservados todos los derechos. Ninguna parte de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin e
21、scrita por parte de la UIT. Rec. UIT-T H.235.4 (09/2005) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 2.1 Referencias normativas 1 2.2 Referencias informativas 2 3 Trminos y definiciones . 2 4 Smbolos y abreviaturas 2 5 Convenios . 2 6 Introduccin 3 7 Consideraciones generales 3 8 Limitaciones .
22、4 9 Procedimiento DRC1 (red de empresa) 4 9.1 Fase GRQ/RRQ 5 9.2 Fase ARQ . 5 9.3 Fase LRQ 5 9.4 Fase LCF 5 9.5 Fase ACF 6 9.6 Fase de establecimiento (SETUP) 7 10 Procedimiento DRC2 (entre dominios diferentes) . 9 10.1 Fase GRQ/RRQ 10 10.2 Fase ARQ . 10 10.3 Fase LRQ 10 10.4 Fase LCF 10 10.5 Fase A
23、CF 11 10.6 Fase de establecimiento (SETUP) 13 11 Procedimiento DRC3 (entre dominios diferentes) . 15 11.1 Fase GRQ/RRQ 16 11.2 Fase ARQ . 16 11.3 Fase LRQ 16 11.4 Fase LCF 16 11.5 Fase ACF 17 11.6 Fase de establecimiento (SETUP) 18 12 Procedimiento de clculo de clave basado en PRF 19 13 Procedimient
24、o de clculo de clave basado en FIPS-140 20 14 Lista de identificadores de objeto. 20 Rec. UIT-T H.235.4 (09/2005) 1 Recomendacin UIT-T H.235.4 Marco de seguridad H.323: Seguridad de llamada con encaminamiento directo y selectivo 1 Alcance El objetivo de esta Recomendacin es recomendar los procedimie
25、ntos de seguridad necesarios para utilizar la sealizacin de llamada con encaminamiento directo con los perfiles de seguridad H.235.1 y H.235.3. Es un perfil de seguridad facultativo que puede ser complementario de los perfiles de esas dos Recomendaciones. Asimismo, se suministran detalles relativos
26、a la implementacin de la clusula 8.4/H.235.0 mediante tcnicas de gestin de claves simtricas. 2 Referencias 2.1 Referencias normativas Las siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposiciones de la presen
27、te Recomendacin. Al efectuar esta publicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y otras referencias son objeto de revisiones por lo que se preconiza que los usuarios de esta Recomendacin investiguen la posibilidad de aplicar las ediciones ms recientes de las Recomen
28、daciones y otras referencias citadas a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualmente vigentes. En esta Recomendacin, la referencia a un documento, en tanto que autnomo, no le otorga el rango de una Recomendacin. Recomendacin UIT-T H.225.0 (2003), Protocolos
29、 de sealizacin de llamadas y paquetizacin de trenes de medios para sistemas de comunicaciones multimedios por paquetes. Recomendacin UIT-T H.235 (2003), Seguridad y criptado para terminales multimedios de la serie H (basados en las Recomendaciones UIT-T H.323 y H.245), corrigendum 1 (2005), ms errat
30、um 1 (2005). Recomendacin UIT-T H.235.0 (2005), Marco de seguridad H.323: Marco de seguridad para sistemas multimedia de la serie H (H.323 y otros basados en H.245). Recomendacin UIT-T H.235.1 (2005), Marco de seguridad H.323: Perfil de seguridad bsico. Recomendacin UIT-T H.235.3 (2005), Marco de se
31、guridad H.323: Perfil de seguridad hbrido. Recomendacin UIT-T H.235.6 (2005), Marco de seguridad H.323: Perfil de criptacin vocal con gestin de claves H.235/H.245 nativa. Recomendacin UIT-T H.323 (2003), Sistemas de comunicacin multimedios basados en paquetes. Recomendacin UIT-T X.800 (1991), Arquit
32、ectura de seguridad de la interconexin de sistemas abiertos para aplicaciones del CCITT. ISO/CEI 7498-2:1989, Information processing systems Open Systems Interconnection Basic Reference model Part 2: Security Architecture. 2 Rec. UIT-T H.235.4 (09/2005) ISO/CEI 10118-3:2004, Information technology S
33、ecurity techniques Hash functions Part 3: Dedicated hash-functions. 2.2 Referencias informativas Recomendacin UIT-T H.235.2 (2005), Marco de seguridad H.323: Perfil de seguridad de firma. IETF RFC 4120 (2005), The Kerberos Network Authentication Service (V5). 3 Trminos y definiciones A los efectos d
34、e esta Recomendacin, se aplican las definiciones de esta clusula junto con las de la clusula 3 de las Recs. UIT-T H.323, H.225.0, H.235.0 y X.800 | ISO/CEI 7498-2. 4 Smbolos y abreviaturas En esta Recomendacin se utilizan las siguientes abreviaturas y smbolos. CT ClearToken DH Diffie-Hellman DRC Lla
35、mada de encaminamiento directo (direct-routed call) EKAGClave de criptacin compartida entre el EP A y el GK G EKBHClave de criptacin compartida entre el EP B y el GK H EKGHClave de criptacin compartida entre el GK G y el GK H ENCK; S, IV(M) Criptacin EOFB de M en la que se utiliza la clave secreta K
36、, la clave adicional secreta S y el vector inicial IV EPID Identificador de punto extremo (endpoint identifier) GK Controlador de acceso (gatekeeper) GKID Identificador de controlador de acceso (gatekeeper Identifier) gx, gySemiclave Diffie-Hellman de GK G, GK H KABClave de criptacin compartida entr
37、e el EP A y el EP B KAGSecreto compartido (H.235.1, H.235.3) entre el EP A y el GK G KBHSecreto compartido (H.235.1, H.235.3) entre el EP B y el GK H KGHSecreto compartido (H.235.1, H.235.3) entre el GK G y el GK H KSAGClave adicional, compartida y secreta entre el EP A y el GK G KSBHClave adicional
38、, compartida y secreta entre el EP B y el GK H KSGHClave adicional, compartida y secreta entre el GK G y el GK H PRF Funcin seudoaleatoria (pseudo-random function) 5 Convenios En esta Recomendacin se utilizan los siguientes convenios en lo relativo al nivel de obligacin: La obligacin firme se expres
39、a con el futuro simple del verbo (futuro de mandato) o expresiones con significado de obligacin. La conveniencia, es decir una accin aconsejada pero no obligatoria, se expresa con el condicional del verbo modal “deber“ o expresiones que indican conveniencia. Rec. UIT-T H.235.4 (09/2005) 3 La opcin s
40、e expresa mediante el presente de indicativo del verbo “poder“ o expresiones de posibilidad. Mientras que en el texto se hace referencia a los identificadores de objeto mediante un smbolo (por ejemplo, “I11“), en la clusula 14 figuran sus valores numricos reales, vase tambin la clusula 5/H.235.0. 6
41、Introduccin La Recomendacin H.323 se suele implementar utilizando el modelo de encaminamiento por controlador de acceso (pudindose soportar as, por ejemplo, una mejor funcionalidad de facturacin). Asimismo, el uso difundido del modelo de llamada encaminada por controlador de acceso es el motivo por
42、el cual en la Rec. UIT-T H.235.0 se definen diversos perfiles de seguridad (tales como los de H.235.1, H.235.2, H.235.3) basados precisamente en este modelo de llamada. No obstante, debido a que se necesita soportar cada vez ms canales paralelos, el modelo de encaminamiento directo con un controlado
43、r de acceso puede ofrecer ventajas de calidad de funcionamiento y capacidad evolutiva. La ventaja de este modelo es que se utiliza el controlador de acceso para el registro, admisin, resolucin de direcciones y control de ancho de banda, mientras que el establecimiento de comunicacin se hace directam
44、ente entre los puntos extremos como es habitual. En esta Recomendacin se describen las mejoras a los perfiles de seguridad bsico H.235.1 e hbrido H.235.3 necesarias para poder soportar llamadas con encaminamiento directo a travs de uno o varios controladores de acceso (GK). 7 Consideraciones general
45、es Tanto el perfil de seguridad bsico H.235.1 como el hbrido H.235.3 se sirven de un secreto compartido (tras la primera toma de contacto) para garantizar la autenticacin de mensaje y/o la integridad en un modo de funcionamiento salto por salto, utilizando el controlador de acceso como intermediario
46、 fiable. En el modelo de llamada con encaminamiento directo no se puede suponer la existencia de un secreto compartido entre dos puntos extremos, ni es prctico utilizar un secreto compartido preestablecido para asegurar la comunicacin, puesto que, en tal caso, todos los puntos extremos tendran que s
47、aber por adelantado cul otro punto extremo ser llamado. En la presente Recomendacin se trata el caso mostrado en la figura 1, donde se conectan los puntos extremos a un solo controlador de acceso y se utiliza la sealizacin de llamada con encaminamiento directo. Se supone que existe una red IP no ase
48、gurada en la regin del controlador de acceso. Se supone tambin que cada punto extremo tiene una relacin de comunicacin y una asociacin de seguridad con su controlador de acceso y que se ha registrado seguramente con l utilizando bien el perfil de seguridad bsico o bien el hbrido. Por tanto, el contr
49、olador de acceso del EP de inicio (DRC1) o el del EP de terminacin (DRC2) pueden proporcionar un secreto compartido para los puntos extremos que se comunican directamente utilizando un modelo del tipo Kerberos (vase RFC 4120). 4 Rec. UIT-T H.235.4 (09/2005) GKGEPAEPBRAS H.225.0 RAS H.225.0 Sealizacin de llamadaH.225.0/Q.931 Medios con el