1、 Unin Internacional de TelecomunicacionesUIT-T H.235.8SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (09/2005) SERIE H: SISTEMAS AUDIOVISUALES Y MULTIMEDIOS Infraestructura de los servicios audiovisuales Aspectos de los sistemas Marco de seguridad H.323: Intercambio de claves para el pro
2、tocolo de transporte en tiempo real seguro utilizando canales de sealizacin seguros Recomendacin UIT-T H.235.8 RECOMENDACIONES UIT-T DE LA SERIE H SISTEMAS AUDIOVISUALES Y MULTIMEDIOS CARACTERSTICAS DE LOS SISTEMAS VIDEOTELEFNICOS H.100H.199 INFRAESTRUCTURA DE LOS SERVICIOS AUDIOVISUALES Generalidad
3、es H.200H.219 Multiplexacin y sincronizacin en transmisin H.220H.229 Aspectos de los sistemas H.230H.239 Procedimientos de comunicacin H.240H.259 Codificacin de imgenes vdeo en movimiento H.260H.279 Aspectos relacionados con los sistemas H.280H.299 Sistemas y equipos terminales para los servicios au
4、diovisuales H.300H.349 Arquitectura de servicios de directorio para servicios audiovisuales y multimedios H.350H.359 Arquitectura de la calidad de servicio para servicios audiovisuales y multimedios H.360H.369 Servicios suplementarios para multimedios H.450H.499 PROCEDIMIENTOS DE MOVILIDAD Y DE COLA
5、BORACIN Visin de conjunto de la movilidad y de la colaboracin, definiciones, protocolos y procedimientos H.500H.509 Movilidad para los sistemas y servicios multimedios de la serie H H.510H.519 Aplicaciones y servicios de colaboracin en mviles multimedios H.520H.529 Seguridad para los sistemas y serv
6、icios mviles multimedios H.530H.539 Seguridad para las aplicaciones y los servicios de colaboracin en mviles multimedios H.540H.549 Procedimientos de interfuncionamiento de la movilidad H.550H.559 Procedimientos de interfuncionamiento de colaboracin en mviles multimedios H.560H.569 SERVICIOS DE BAND
7、A ANCHA Y DE TRADA MULTIMEDIOS Servicios multimedios de banda ancha sobre VDSL H.610H.619 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T H.235.8 (09/2005) i Recomendacin UIT-T H.235.8 Marco de seguridad H.323: Intercambio de claves para el protocolo de transporte en tiemp
8、o real seguro utilizando canales de sealizacin seguros Resumen La finalidad de esta Recomendacin es describir los procedimientos de seguridad durante el intercambio de claves para el protocolo de transporte en tiempo real seguro (SRTP) utilizando canales de sealizacin seguros por las redes H.323/H.2
9、35. Esta Recomendacin requiere la conformidad con las Recs. UIT-T H.323 y H.225.0 versiones 4 o posteriores. Orgenes La Recomendacin UIT-T H.235.8 fue aprobada el 13 de septiembre de 2005 por la Comisin de Estudio 16 (2005-2008) del UIT-T por el procedimiento de la Recomendacin UIT-T A.8. ii Rec. UI
10、T-T H.235.8 (09/2005) PREFACIO La UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rgano permanente de la UIT. Este rgano estudia los
11、aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de es
12、tudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que correspon
13、den a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida
14、 de telecomunicaciones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual d
15、e todas las disposiciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulaci
16、n no entraa que la observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cu
17、anto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propi
18、edad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre pate
19、ntes de la TSB. UIT 2006 Reservados todos los derechos. Ninguna parte de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T H.235.8 (09/2005) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 2 2.1 Referencias normativas 2 2.2 Refere
20、ncias informativas 2 3 Abreviaturas, siglas o acrnimos 2 4 Descripcin de parmetros . 3 4.1 Transporte de parmetros SRTP. 4 4.2 Descripcin del parmetro SrtpCryptoCapability 4 4.3 Descripcin del parmetro SrtpKeys 7 4.4 Inicializacin del contexto criptogrfico SRTP . 8 5 Procedimientos . 10 5.1 Intercam
21、bio de capacidades de seguridad 10 5.2 Negociacin inicial. 11 5.3 Modificacin de sesin. 14 5.4 Sin negociacin 15 5.5 Correccin de errores en recepcin 15 6 Criptografa de clave pblica necesaria para asegurar el intercambio de claves para SRTP. 15 6.1 Identificacin del punto extremo 16 6.2 Procedimien
22、tos de intercambio de claves SRTP 16 6.3 Utilizacin del cuerpo CMS . 17 7 Sintaxis de las descripciones de seguridad SRTP H.235 20 Rec. UIT-T H.235.8 (09/2005) 1 Recomendacin UIT-T H.235.8 Marco de seguridad H.323: Intercambio de claves para el protocolo de transporte en tiempo real seguro utilizand
23、o canales de sealizacin seguros 1 Alcance La finalidad de esta Recomendacin es proporcionar recomendaciones relativas a los procedimientos de seguridad necesarios para soportar el protocolo de transporte en tiempo real seguro (SRTP, secure real time transport protocol) del IETF entre puntos extremos
24、 H.323, en los casos en que la informacin criptogrfica del canal de medios se transporta por un canal de sealizacin seguro, por ejemplo, IPsec (RFC 2401), TLS (RFC 2246) u otros mecanismos H.235. Estos procedimientos de seguridad se ofrecen como una alternativa a otros procedimientos de seguridad H.
25、235 que soportan el protocolo SRTP. En esta Recomendacin se describen los procedimientos utilizados para soportar el protocolo de transporte en tiempo real seguro (SRTP) del IETF en la Rec. UIT-T H.323. El protocolo SRTP ofrece servicios de seguridad para los medios basados en el protocolo de transp
26、orte en tiempo real (RTP) y se combina con otros protocolos que proporcionan servicios de gestin de claves y la negociacin de los parmetros criptogrficos. Estos procedimientos no deberan utilizarse cuando el canal de sealizacin seguro termina en un sistema intermedio, en cuyo caso la informacin crip
27、togrfica SRTP debera ser transportada por un mecanismo seguro extremo a extremo. Estos procedimientos soportan la sealizacin, la negociacin y el transporte de claves criptogrficas SRTP, identificadores del algoritmo de autenticacin y criptacin, y otros parmetros de sesin entre puntos extremos H.323.
28、 Un aspecto esencial de esos procedimientos es que tanto el subordinado como el director H.245 podrn generar y distribuir claves criptogrficas. Para el intercambio de capacidades de seguridad SRTP pueden utilizarse los mecanismos de intercambio existentes, y con entradas h235SecurityCapability en el
29、 cuadro capabilityTable del mensaje TerminalCapabilitySet H.245. El campo genericH235SecurityCapability, que forma parte del campo encryptionAuthenticationAndIntegrity en la entrada h235SecurityCapability, contiene el campo SrtpCryptoCapability que especificar los conjuntos criptogrficos (crypto-sui
30、tes) SRTP. Se especifica un parmetro cripto SRTP para sealar y negociar parmetros criptogrficos SRTP. En esta Recomendacin, la definicin del parmetro criptogrfico se limita a trenes de medios unidifusin entre dos partes, cuando cada fuente dispone de una clave criptogrfica nica; el soporte de trenes
31、 de medios multidifusin o trenes unidifusin multipunto queda en estudio. El parmetro cripto SRTP permite establecer los parmetros criptogrficos SRTP en un solo mensaje o en un nico intercambio de mensajes de ida y vuelta. En el caso de un intercambio de este tipo, los parmetros criptogrficos podrn s
32、er negociados. Por ejemplo, en la conexin rpida, el punto extremo H.323 oferente enva un conjunto de parmetros criptogrficos SRTP que se ofrecen al punto extremo H.323 que responde, y cada vez lo encapsula en un mensaje OpenLogicalChannel H.245 independiente. El punto extremo H.323 que responde pued
33、e aceptar uno de los parmetros ofrecidos y emitir una respuesta que incluye el subconjunto de parmetros seleccionados encapsulado en un mensaje OpenLogicalChannel H.245. En el caso de un solo intercambio de mensajes no hay negociacin. El punto extremo H.323 oferente enva los parmetros criptogrficos
34、SRTP al punto extremo H.323 que responde, el cual acepta los parmetros ofrecidos o rechaza la llamada. Pueden aadirse procedimientos criptogrficos de claves pblicas para garantizar la confidencialidad extremo a extremo y autenticar la informacin de claves de sesin SRTP 2 Rec. UIT-T H.235.8 (09/2005)
35、 intercambiada entre puntos extremos H.323. La informacin de claves SRTP puede criptarse y firmarse cuando el protocolo de seguridad de encapsulacin (por ejemplo, IPsec, TLS) termina en un dispositivo intermedio, lo que impide garantizar la seguridad extremo a extremo. 2 Referencias 2.1 Referencias
36、normativas Las siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposiciones de la presente Recomendacin. Al efectuar esta publicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y otras r
37、eferencias son objeto de revisiones por lo que se preconiza que los usuarios de esta Recomendacin investiguen la posibilidad de aplicar las ediciones ms recientes de las Recomendaciones y otras referencias citadas a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualm
38、ente vigentes. En esta Recomendacin, la referencia a un documento, en tanto que autnomo, no le otorga el rango de una Recomendacin. Recomendacin UIT-T H.225.0 (2003), Protocolos de sealizacin de llamada y paquetizacin de trenes de medios para sistemas de comunicacin multimedios por paquetes. Recomen
39、dacin UIT-T H.235.0 (2005), Marco de seguridad H.323: Marco de seguridad para sistemas multimedia de la serie H. (H.323 y otras basadas en H.245). Recomendacin UIT-T H.323 (2003), Sistemas de comunicacin multimedios basados en paquetes. Recomendacin UIT-T H.460.11 (2004), Establecimiento diferido de
40、 la comunicacin en los sistemas H.323. IETF RFC 2246 (1999), The TLS Protocol Version 1.0. IETF RFC 2401 (1998), Security Architecture for the Internet Protocol. IETF RFC 2733 (1999), An RTP Payload Format for Generic Forward Error Correction. IETF RFC 3280 (2002), Internet X.509 Public Key Infrastr
41、ucture Certificate and Certificate Revocation List (CRL) Profile. IETF RFC 3550 (2003), RTP: A Transport Protocol for Real-Time Applications. IETF RFC 3711 (2004), The Secure Real-time Transport Protocol (SRTP). IETF RFC 3852 (2004), Cryptographic Message Syntax (CMS). 2.2 Referencias informativas I
42、ETF Draft, F. Andreasen, M. Baugher, D. Wing: Session Description Protocol Security Descriptions for Media Streams, . 3 Abreviaturas, siglas o acrnimos En esta Recomendacin se utilizan las siguientes abreviaturas, siglas o acrnimos. AES Norma de criptacin avanzada (advanced encryption algorithm) ASN
43、.1 Notacin de sintaxis abstracta uno (abstract syntax notation one) CA Autoridad de certificacin (certificate authority) CEK Clave de criptacin de contenido (content encryption key) CMS Sintaxis de mensaje criptogrfico (cryptographic message syntax) Rec. UIT-T H.235.8 (09/2005) 3 EP Punto extremo (e
44、ndpoint) FEC Correccin de errores en recepcin (forward error correction) FFS En estudio (for further study) F8 Algoritmo de criptacin UMTS (UMTS encryption algorithm) GK Controlador de acceso (gatekeeper) GW Pasarela (gateway) HMAC Cdigo de autenticacin de mensaje de troceo con aplicacin de clave (k
45、eyed-hash message authentication code) IETF Grupo de tareas especiales de ingeniera en Internet (Internet engineering task force) KDR Tasa de obtencin de claves (key derivation rate) MAC Cdigo de autenticacin de mensaje (message authentication code) MKI Identificador de clave maestra (master key ide
46、ntifier) OID Identificador de objeto (object identifier) OLC Apertura de canal lgico (open logical channel) PKI Infraestructura de claves pblicas (public key infrastructure) RAS Registro, admisin y estado (registration, admission, status) ROC Contador con retorno a cero (roll-over counter) RTCP Prot
47、ocolo de control de transporte en tiempo real (real-time transport control protocol) RTP Protocolo de transporte en tiempo real (real-time transport protocol) SHA1 Algoritmo de generacin numrica seguro N.o 1 (secure hash algorithm 1) SRTCP Protocolo de control de transporte en tiempo real seguro (se
48、cure real-time transport control protocol) SRTP Protocolo de transporte en tiempo real seguro (secure real-time transport protocol) SSRC Fuente de sincronizacin (synchronization source) TLS Seguridad de nivel de transporte (transport level security) WSH Indicio de tamao de ventana (window size hint)
49、 4 Descripcin de parmetros Para el intercambio de la capacidad criptogrfica y la informacin de claves de SRTP se utilizan dos parmetros: SrtpCryptoInfo dentro de StrpCryptoCapability contendr el conjunto criptogrfico y los parmetros de sesin. El parmetro SrtpCryptoInfo ser transportado en el parmetro genericH235SecurityCap
