1、 UNIN INTERNACIONAL DE TELECOMUNICACIONES UIT-T X.1121SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (04/2004) SERIE X: REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD Seguridad de las telecomunicaciones Marco general de tecnologas de seguridad para las comunicaciones mvi
2、les de datos de extremo a extremo Recomendacin UIT-T X.1121 RECOMENDACIONES UIT-T DE LA SERIE X REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD REDES PBLICAS DE DATOS Servicios y facilidades X.1X.19 Interfaces X.20X.49 Transmisin, sealizacin y conmutacin X.50X.89 Aspectos de redes X.
3、90X.149 Mantenimiento X.150X.179 Disposiciones administrativas X.180X.199 INTERCONEXIN DE SISTEMAS ABIERTOS Modelo y notacin X.200X.209 Definiciones de los servicios X.210X.219 Especificaciones de los protocolos en modo conexin X.220X.229 Especificaciones de los protocolos en modo sin conexin X.230X
4、.239 Formularios para declaraciones de conformidad de implementacin de protocolo X.240X.259 Identificacin de protocolos X.260X.269 Protocolos de seguridad X.270X.279 Objetos gestionados de capa X.280X.289 Pruebas de conformidad X.290X.299 INTERFUNCIONAMIENTO ENTRE REDES Generalidades X.300X.349 Sist
5、emas de transmisin de datos por satlite X.350X.369 Redes basadas en el protocolo Internet X.370X.379 SISTEMAS DE TRATAMIENTO DE MENSAJES X.400X.499 DIRECTORIO X.500X.599 GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOS Y ASPECTOS DE SISTEMAS Gestin de redes X.600X.629 Eficacia X.630X.639 Calidad
6、 de servicio X.640X.649 Denominacin, direccionamiento y registro X.650X.679 Notacin de sintaxis abstracta uno X.680X.699 GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS Marco y arquitectura de la gestin de sistemas X.700X.709 Servicio y protocolo de comunicacin de gestin X.710X.719 Estructura de la info
7、rmacin de gestin X.720X.729 Funciones de gestin y funciones de arquitectura de gestin distribuida abierta X.730X.799 SEGURIDAD X.800X.849 APLICACIONES DE INTERCONEXIN DE SISTEMAS ABIERTOS Compromiso, concurrencia y recuperacin X.850X.859 Procesamiento de transacciones X.860X.879 Operaciones a distan
8、cia X.880X.899 PROCESAMIENTO DISTRIBUIDO ABIERTO X.900X.999 SEGURIDAD DE LAS TELECOMUNICACIONES X.1000 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T X.1121 (04/2004) i Recomendacin UIT-T X.1121 Marco general de tecnologas de seguridad para las comunicaciones mviles de da
9、tos de extremo a extremo Resumen Esta Recomendacin describe las amenazas contra la seguridad en las comunicaciones mviles de datos de extremo a extremo y los requisitos de seguridad con relacin al usuario mvil y al proveedor de servicio de aplicacin (ASP, application service provider). Asimismo, est
10、a Recomendacin indica cundo aplicar tecnologas de seguridad que realizan funciones de seguridad en los modelos de comunicaciones mviles de datos de extremo a extremo. Orgenes La Recomendacin UIT-T X.1121 fue aprobada el 29 de abril de 2004 por la Comisin de Estudio 17 (2001-2004) del UIT-T por el pr
11、ocedimiento de la Recomendacin UIT-T A.8. ii Rec. UIT-T X.1121 (04/2004) PREFACIO La UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un
12、rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra
13、 cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sect
14、ores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomun
15、icaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia
16、 se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o
17、negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual r
18、eivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recom
19、endacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta enca
20、recidamente a consultar la base de datos sobre patentes de la TSB. UIT 2005 Reservados todos los derechos. Ninguna parte de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T X.1121 (04/2004) iii NDICE Pgina 1 Alcance . 1 2 Refer
21、encias . 1 3 Definiciones 1 3.1 Definiciones de arquitectura de seguridad del modelo de referencia OSI . 1 3.2 Definiciones adicionales. 2 4 Abreviaturas, siglas acrnimos. 3 5 Visin de conjunto 3 6 Modelos de comunicacin mvil de datos de extremo a extremo 3 6.1 Modelo general de comunicacin mvil de
22、datos de extremo a extremo entre el usuario mvil y el ASP 4 6.2 Modelo de pasarela de comunicacin mvil de datos de extremo a extremo entre un usuario mvil y el ASP. 4 7 Caractersticas de la comunicacin mvil de datos de extremo a extremo 4 8 Amenazas contra la seguridad en el entorno mvil 5 8.1 Amena
23、zas generales contra la seguridad 5 8.2 Amenazas contra la seguridad en servicios mviles 6 8.3 Relacin entre amenazas contra la seguridad y modelos de comunicacin de extremo a extremo . 7 9 Requisitos de seguridad para comunicaciones mviles de datos de extremo a extremo . 8 9.1 Requisitos de segurid
24、ad desde el punto de vista del usuario mvil . 8 9.2 Requisitos de seguridad desde el punto de vista del ASP 12 9.3 Relacin entre los requisitos de seguridad y las amenazas contra la seguridad. 15 10 Funciones de seguridad para satisfacer los requisitos de seguridad en sistemas mviles 16 11 Tecnologa
25、s de seguridad para comunicaciones mviles de datos de extremo a extremo . 20 Rec. UIT-T X.1121 (04/2004) 1 Recomendacin UIT-T X.1121 Marco general de tecnologas de seguridad para las comunicaciones mviles de datos de extremo a extremo 1 Alcance Esta Recomendacin proporciona requisitos de seguridad p
26、ara el usuario mvil y para el proveedor de servicio de aplicacin en la capa superior del modelo de referencia OSI para las comunicaciones mviles de datos de extremo a extremo entre un terminal mvil en una red mvil y un servidor de aplicacin en una red abierta. La presente Recomendacin proporciona un
27、 marco de tecnologas de seguridad para las comunicaciones mviles de datos de extremo a extremo. Esta Recomendacin no proporciona los detalles de componentes de red mvil salvo para el acceso de red inalmbrica a un terminal mvil cuando se conecta a una red abierta. 2 Referencias Las siguientes Recomen
28、daciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposiciones de la presente Recomendacin. Al efectuar esta publicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y otras referencias son objeto de revision
29、es por lo que se preconiza que los usuarios de esta Recomendacin investiguen la posibilidad de aplicar las ediciones ms recientes de las Recomendaciones y otras referencias citadas a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualmente vigentes. En esta Recomendac
30、in, la referencia a un documento, en tanto que autnomo, no le otorga el rango de una Recomendacin. Recomendacin UIT-T Q.1701 (1999), Marco para las redes de las telecomunicaciones mviles internacionales-2000 (IMT-2000). Recomendacin UIT-T Q.1711 (1999), Modelo funcional de red para las telecomunicac
31、iones mviles internacionales-2000 (IMT-2000). Recomendacin UIT-T Q.1761 (2004), Principios y requisitos para la convergencia de sistemas fijos e IMT-2000 existentes. Recomendacin UIT-T X.800 (1991), Arquitectura de seguridad de la interconexin de sistemas abiertos para aplicaciones del CCITT. Recome
32、ndacin UIT-T X.803 (1994) | ISO/CEI 10745:1995, Tecnologa de la informacin Interconexin de sistemas abiertos Modelo de seguridad de capas superiores. Recomendacin UIT-T X.810 (1995) | ISO/CEI 10181-1:1996, Tecnologa de la informacin Interconexin de sistemas abiertos Marcos de seguridad para sistemas
33、 abiertos: Visin general. 3 Definiciones 3.1 Definiciones de arquitectura de seguridad del modelo de referencia OSI Los siguientes trminos se definen en la Rec. UIT-T X.800: a) control de acceso; b) autenticacin; c) informacin de autenticacin; d) intercambio de autenticacin; 2 Rec. UIT-T X.1121 (04/
34、2004) e) autorizacin; f) disponibilidad; g) confidencialidad; h) criptografa; i) integridad de los datos; j) autenticacin del origen de los datos; k) cifrado; l) integridad; m) clave; n) intercambio de claves; o) gestin de claves; p) no repudio; q) notarizacin; r) contrasea; s) privacidad 3.2 Defini
35、ciones adicionales En esta Recomendacin se definen los siguientes trminos: 3.2.1 anonimato: Posibilidad que permite el acceso annimo a servicios con el objeto de no descubrir la informacin personal y comportamiento del usuario, tales como su localizacin, frecuencia de utilizacin de un servicio, etc.
36、 3.2.2 apropiacin furtiva de datos: Amenaza contra la seguridad por la cual una persona recoge informacin en lugares pblicos mediante la observacin furtiva del teclado, lectura de la pantalla o escucha de un terminal mvil. 3.2.3 terminal mvil: Entidad que tiene una funcin de acceso de red inalmbrica
37、 y conecta una red mvil para comunicacin de datos con servidores de aplicacin u otros terminales mviles. 3.2.4 red mvil: Red que proporciona puntos de acceso de red inalmbrica a terminales mviles. 3.2.5 usuario mvil: Entidad (o persona) que utiliza y opera el terminal mvil para la recepcin de divers
38、os servicios procedentes de proveedores de servicios de aplicacin. 3.2.6 servicio de aplicacin: Servicios tales como banca mvil, comercio mvil, etc. 3.2.7 servidor de aplicacin: Entidad que se conecta a una red abierta para comunicaciones de datos con terminales mviles. 3.2.8 proveedor de servicio d
39、e aplicacin (ASP): Entidad (persona o grupo) que suministra servicios de aplicacin a usuarios mviles a travs de un servidor de aplicacin. 3.2.9 pasarela de seguridad mvil: Entidad que encamina comunicaciones de datos entre un terminal mvil y un servidor de aplicacin, modifica los parmetros de seguri
40、dad o del protocolo de comunicacin de una red mvil a una red abierta, o viceversa, y que puede realizar funciones de gestin de normativa de seguridad para comunicaciones mviles de datos de extremo a extremo. 3.2.10 gestin de normativas de seguridad: Funcin para gestionar o negociar un conjunto de no
41、rmas destinadas a proporcionar servicios de seguridad clasificados que se pueden aplicar en la pasarela de seguridad mvil u otro servidor. Rec. UIT-T X.1121 (04/2004) 3 4 Abreviaturas, siglas o acrnimos En esta Recomendacin se utilizan las siguientes abreviaturas, siglas o acrnimos. ASP Proveedor de
42、 servicio de aplicacin (application service provider) DoS Denegacin de servicio (denial of service) IMT-2000 Telecomunicaciones mviles internacionales-2000 (international mobile telecommunications-2000) LAN Red de rea local (local area network) OSI Interconexin de sistemas abiertos (open systems int
43、erconnection) PC Computador personal (personal computer) PDA Asistente personal de datos (personal data assistant) PIN Nmero de identificacin personal (personal identification number) 5 Visin de conjunto Los terminales mviles con capacidad de comunicacin de datos (como telfonos mviles IMT-2000, comp
44、utador porttil o agenda personal de datos con tarjeta de radiocomunicacin) se han difundido ampliamente y diversos servicios de aplicacin (por ejemplo, comercio electrnico mvil) se suministran a travs de la red mvil. En aplicaciones de comercio electrnico, la seguridad es necesaria e indispensable.
45、Hay muchos temas en estudio relacionados con el operador mvil (por ejemplo, arquitectura de seguridad en la red telefnica mvil IMT-2000). Sin embargo, es tambin importante investigar desde la ptica del usuario mvil y del ASP. Cuando se estudia la seguridad de una comunicacin mvil desde el punto de v
46、ista del usuario mvil o del ASP, la seguridad de una comunicacin mvil de datos de extremo a extremo entre un terminal mvil y un servidor de aplicacin es uno de los aspectos ms importantes. Adems, para el sistema mvil que conecta una red mvil a una red abierta, es necesario estudiar la seguridad en l
47、as capas superiores (capas de aplicacin, presentacin y sesin) del modelo de referencia OSI pues hay diversas aplicaciones de red mvil (por ejemplo, red telefnica mvil IMT-2000, LAN inalmbrica, tecnologa Bluetooth) o red abierta. Esta Recomendacin describe las amenazas contra la seguridad que pueden
48、afectar a las comunicaciones mviles de datos de extremo a extremo y los requisitos de seguridad desde el punto de vista del usuario mvil y del ASP. Asimismo, esta Recomendacin indica cundo se presentan las tecnologas de seguridad que efectan algunas funciones de seguridad en los modelos de comunicacin mvil de datos de extremo a extremo. 6 Modelos de comunicacin mvil de datos de extremo a extremo Antes de describir las tecnologas de seguridad en comunicaciones mviles, se deben definir los modelos de comunicacin mvil de datos de extremo a extremo. Los model