1、UNIN INTERNACIONAL DE TELECOMUNICACIONESUIT-T X.273SECTOR DE NORMALIZACIN (07/94)DE LAS TELECOMUNICACIONESDE LA UITREDES DE DATOS Y COMUNICACIN ENTRESISTEMAS ABIERTOSINTERCONEXIN DE SISTEMAS ABIERTOS PROTOCOLOS DE SEGURIDADTECNOLOGA DE LA INFORMACIN INTERCONEXIN DE SISTEMAS ABIERTOS PROTOCOLO DE SEG
2、URIDADDE LA CAPA DE REDRecomendacin UIT-T X.273(Anteriormente Recomendacin del CCITT)PREFACIOLa UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campode las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la U
3、IT) es un rganopermanente de la UIT. En el UIT-T, que es la entidad que establece normas mundiales (Recomendaciones) sobre lastelecomunicaciones, participan unos 179 pases miembros, 84 empresas de explotacin de telecomunicaciones,145 organizaciones cientficas e industriales y 38 organizaciones inter
4、nacionales.Las Recomendaciones las aprueban los Miembros del UIT-T de acuerdo con el procedimiento establecido en laResolucin n. 1 de la CMNT (Helsinki, 1993). Adicionalmente, la Conferencia Mundial de Normalizacin de lasTelecomunicaciones (CMNT), que se celebra cada cuatro aos, aprueba las Recomend
5、aciones que para ello se lesometan y establece el programa de estudios para el periodo siguiente.En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, sepreparan las normas necesarias en colaboracin con la ISO y la CEI. El texto de la Recomendaci
6、n UIT-T X.273 seaprob el 1 de julio de 1994. Su texto se publica tambin, en forma idntica, como Norma Internacional ISO/CEI 11577._NOTAEn esta Recomendacin, la expresin Administracin se utiliza para designar, en forma abreviada, tanto unaadministracin de telecomunicaciones como una empresa de explot
7、acin reconocida de telecomunicaciones. UIT 1995Es propiedad. Ninguna parte de esta publicacin puede reproducirse o utilizarse, de ninguna forma o por ningn medio,sea ste electrnico o mecnico, de fotocopia o de microfilm, sin previa autorizacin escrita por parte de la UIT.RECOMENDACIONES DE LA SERIE
8、UIT-T XREDES DE DATOSY COMUNICACIN DE SISTEMAS ABIERTOS(Febrero 1994)ORGANIZACIN DE LAS RECOMENDACIONES DE LA SERIE XDominio RecomendacionesREDES PBLICAS DE COMUNICACIN DE DATOSServicios y facilidades X.1-X.19Interfaces X.20-X.49Transmisin, sealizacin y conmutacin X.50-X.89Aspectos de redes X.90-X.1
9、49Mantenimiento X.150-X.179Disposiciones administrativas X.180-X.199INTERCONEXIN DE SISTEMAS ABIERTOSModelo y notacin X.200-X.209Definiciones de los servicios X.210-X.219Especificaciones de los protocolos en modo con conexin X.220-X.229Especificacin de los protocolos en modo sin conexin X.230-X.239F
10、ormularios PICS X.240-X.259Identificacin de protocolos X.260-X.269Protocolos de seguridad X.270-X.279Objetos gestionados de red X.280-X.289Pruebas de conformidad X.290-X.299INTERFUNCIONAMIENTO ENTRE REDESConsideraciones generales X.300-X.349Sistemas mviles de transmisin de datos X.350-X.369Gestin X.
11、370-X.399SISTEMAS DE TRATAMIENTO DE MENSAJES X.400-X.499DIRECTORIO X.500-X.599GESTIN DE REDES OSI Y ASPECTOS DE SISTEMASGestin de redes X.600-X.649Denominacin, direccionamiento y registro X.650-X.679Notacin de sintaxis abstracta N. 1 (ASN.1) X.680-X.699GESTIN OSI X.700-X.799SEGURIDAD X.800-X.849APLI
12、CACIONES OSICometimiento, concurrencia y recuperacin X.850-X.859Procesamiento de transaccin X.860-X.879Operaciones a distancia X.880-X.899TRATAMIENTO ABIERTO DISTRIBUIDO X.900-X.999NDICERec. UIT-T X.273 (1994 S)Pgina1 Alcance y campo de aplicacin 12 Referencias normativas 12.1 Recomendaciones | Norm
13、as Internacionales idnticas 22.2 Pares de Recomendaciones | Normas Internacionales de contenido tcnico equivalente . 22.3 Referencias adicionales. 33 Definiciones . 33.1 Definiciones del modelo de referencia 33.2 Definiciones de la arquitectura de seguridad 33.3 Definiciones de convenios de servicio
14、 43.4 Definiciones del servicio de red 43.5 Definiciones de la organizacin interna de la capa de red 43.6 Definiciones de protocolo de red en modo sin conexin 43.7 Definiciones del modelo de seguridad de capa superior . 43.8 Definiciones de las pruebas de conformidad 43.9 Definiciones adicionales .
15、54 Abreviaturas . 54.1 Unidades de datos . 54.2 Campos de la unidad de datos de protocolo 54.3 Parmetros. 54.4 Diversos 55 Visin de conjunto del protocolo . 65.1 Introduccin 65.2 Visin de conjunto de los servicios proporcionados.75.3 Visin de conjunto de los servicios asumidos. 75.4 Asociaciones de
16、seguridad y reglas de seguridad . 85.5 Visin de conjunto del protocolo Funciones de proteccin . 95.6 Visin de conjunto del protocolo NLSP-CL 115.7 Visin de conjunto del protocolo NLSP-CO .116 Funciones de protocolo comunes al NLSP-CL y al NLSP-CO 136.1 Introduccin 136.2 Atributos SA comunes 136.3 Fu
17、nciones comunes ejecutadas al recibirse una peticin para una instancia de comunicacin 146.4 Funciones de protocolo de transferencia de datos segura . 156.5 Utilizacin de un protocolo de asociacin de seguridad . 177 Funciones de protocolo para el NLSP-CL . 177.1 Servicios proporcionados por el NLSP-C
18、L 177.2 Servicios asumidos 177.3 Atributos de la asociacin de seguridad 177.4 Comprobaciones . 187.5 Establecimiento de la SA dentro de banda 187.6 Procesamiento de la peticin NLSP-DATO UNIDAD. 187.7 Procesamiento de la indicacin UN-DATO UNIDAD . 19Rec. UIT-T X.273 (1994 S) i Pgina8 Funciones de pro
19、tocolo para el NLSP-CO . 208.1 Servicios proporcionados por el NLSP-CO 208.2 Servicios asumidos 218.3 Atributos de la asociacin de seguridad 228.4 Comprobaciones y otras funciones comunes 228.5 Funciones de NLSP-CONEXIN 238.6 Funciones de NLSP-DATOS 358.7 Funciones de NLSP-DATOS-ACELERADOS 368.8 Fun
20、ciones de REINICIACIN . 378.9 NLSP-ACUSE-DE-DATOS . 388.10 NLSP-DESCONEXIN . 398.11 Otras funciones . 418.12 Autenticacin de la entidad par. 439 Visin de conjunto del mecanismo utilizado 449.1 Servicios y mecanismos de seguridad. 449.2 Funciones soportadas 4510 Control de la seguridad de la conexin
21、(NLSP-CO solamente). 4510.1 Visin de conjunto 4510.2 Atributos SA . 4610.3 Procedimientos 4710.4 Campos de PDU de CSC utilizados 4811 Funcin de encapsulacin basada en la PDU de SDT 4811.1 Visin de conjunto 4811.2 Atributos de la SA. 4911.3 Procedimientos 5011.4 Campos de PDU utilizados . 5212 Funcin
22、 de encapsulacin sin encabezamiento (NLSP-CO solamente). 5312.1 Visin de conjunto 5312.2 Atributos SA . 5312.3 Procedimientos 5313 Estructura y codificacin de las PDU. 5413.1 Introduccin 5413.2 Formato del campo de contenido 5413.3 Datos protegidos . 5513.4 PDU de asociacin de seguridad. 6113.5 PDU
23、de control de la seguridad de la conexin 6114 Conformidad 6314.1 Requisitos de conformidad esttica. 6314.2 Requisitos de conformidad dinmica 6514.3 Enunciado de conformidad de implementacin de protocolo. 66Anexo A Correspondencia de las primitivas UN con las de la Rec. X.213 del CCITT | ISO 8348 67A
24、nexo B Correspondencia de las primitivas UN con las de la Rec. X.25 del CCITT | ISO 8208 68ii Rec. UIT-T X.273 (1994 S) PginaAnexo C Protocolo de asociacin de seguridad que emplea intercambio de testigos de clave y firmasdigitales 69C.1 Visin de conjunto 69C.2 Intercambio de testigos de clave (KTE)
25、70C.3 Autenticacin de protocolo SA . 70C.4 Negociacin de atributo SA 71C.5 Aborto/liberacin de la SA . 72C.6 Correspondencia de funciones de protocolo SA con intercambios de protocolo 72C.7 Campo contenido de la SA, de la PDU de SA 75Anexo D Formulario PICS NLSP 80D.1 Introduction. 80D.2 Abbreviatio
26、ns and Special Symbols 80D.3 Instructions for Completing the PICS Proforma. 80D.4 Identification. 82D.5 Features Common to NLSP-CO and NLSP-CL 83D.6 Features Specific to NLSP-CL 87D.7 Features Specific to NLSP-CO . 89Anexo E Explicacin de algunos conceptos bsicos del protocolo de seguridad de la cap
27、a de red 93E.1 Base para la proteccin . 93E.2 Servicio de red subyacente por oposicin a servicio NLSP 94E.3 Direccionamiento del NLSP . 94E.4 NLSP en modo conexin 98E.5 NLSP en modo sin conexin. 101E.6 Atributos y asociaciones de seguridad 105E.7 Relacin funcional dinmica entre el NLSP y el CLNP . 1
28、05E.8 Funcionalidad dinmica relacionada con el modelo estratificado. 107Anexo F Ejemplo de un conjunto convenido de reglas de seguridad 109Anexo G Asociaciones y atributos de seguridad 111Anexo H Ejemplo de intercambio de testigos de clave Algoritmo EKE. 113Rec. UIT-T X.273 (1994 S) iii SumarioEsta
29、Recomendacin | Norma Internacional especifica el protocolo que sustenta todos los servicios de integridad,confidencialidad, autenticacin y control de acceso que, segn el modelo de seguridad OSI, son aplicables a losprotocolos de capa de red en los modos con conexin y sin conexin. El protocolo susten
30、ta estos servicios mediante elempleo de mecanismos criptogrficos, etiquetas de seguridad y atributos de seguridad asignados, tales como clavescriptogrficas.iv Rec. UIT-T X.273 (1994 S) IntroduccinEl protocolo definido por esta Recomendacin UIT-T | Norma Internacional se utiliza para proporcionar ser
31、vicios deseguridad como soporte de una instancia de comunicacin entre entidades de capas ms bajas. Este protocolo estubicado con respecto a otras normas por la estructura estratificada definida en la Rec. X.200 del CCITT | ISO 7498 y porla organizacin de la capa de red definida en ISO 8648 y ampliad
32、o por la Rec. UIT-T X.802 | TR 13595 (Modelo deseguridad de capa inferior). Se proporcionan servicios de seguridad para el soporte de servicios de red en modoconexin y en modo sin conexin. En particular, este protocolo est situado en la capa de red y tiene interfacesfuncionales e interfaces de servi
33、cio claramente definidos en sus fronteras superior e inferior.Para evaluar la conformidad de una implementacin particular es necesario disponer de un enunciado en el que seindiquen las capacidades y opciones que han sido implementadas para un determinado protocolo OSI. Este enunciado sedenomina Enun
34、ciado de conformidad de implementacin de protocolo (PICS, protocol implementation conformancestatement).Rec. UIT-T X.273 (1994 S) v ISO/CEI 11577 : 1995 (S)NORMA INTERNACIONALISO/CEI 11577 : 1995 (S)Rec. UIT-T X.273 (1994 S)RECOMENDACIN UIT-TTECNOLOGA DE LA INFORMACIN INTERCONEXIN DESISTEMAS ABIERTO
35、S PROTOCOLO DE SEGURIDADDE LA CAPA DE RED1 Alcance y campo de aplicacinEsta Recomendacin UIT-T | Norma Internacional especifica un protocolo que ser utilizado por sistemas de extremo ysistemas intermedios para proporcionar servicios de seguridad en la capa de red, que se define en la Rec. X.213 delC
36、CITT | ISO 8348 AD2 e ISO 8648. El protocolo definido en esta Recomendacin UIT-T | Norma Internacional sedenomina protocolo de seguridad de la capa de red (NLSP, network layer security protocol).Esta Recomendacin UIT-T | Norma Internacional especifica:1) El soporte para los siguientes servicios de s
37、eguridad definidos en la Rec. X.800 del CCITT | ISO 7498-2:a) autenticacin de la entidad par;b) autenticacin del origen de datos;c) control de acceso;d) confidencialidad en modo conexin;e) confidencialidad en modo sin conexin;f) confidencialidad del flujo de trfico;g) integridad de la conexin sin re
38、cuperacin (incluida la integridad de las unidades de datos, con locual quedan protegidas las unidades de servicio de datos (SDU) individuales en una conexin);h) integridad en el modo sin conexin.2) Los requisitos funcionales que deben cumplir las implementaciones que pretenden ser conformes con esta
39、Recomendacin UIT-T | Norma Internacional.Los procedimientos de este protocolo se definen en trminos de:a) requisitos que deben cumplir las tcnicas criptogrficas que pueden utilizarse en una instancia de esteprotocolo;b) los requisitos que debe cumplir la informacin transportada en la asociacin de se
40、guridad utilizadaen una instancia de comunicacin.Aunque el grado de proteccin proporcionado por algunos organismos de seguridad depende del uso de algunas tcnicascriptogrficas especficas, el funcionamiento correcto de este protocolo no depende de la eleccin de un algoritmoparticular de cifrado o des
41、cifrado: esta cuestin debern resolverla los sistemas comunicantes como un asunto local.Por otra parte, ni la eleccin ni la implementacin de una poltica de seguridad concreta estn comprendidas en el mbitode esta Recomendacin UIT-T | Norma Internacional. La eleccin de una poltica de seguridad concreta
42、, y enconsecuencia el grado de proteccin que se alcanzar, es un asunto local que habrn de resolver los sistemas que estnutilizando una determinada instancia de comunicaciones seguras. Esta Recomendacin UIT-T | Norma Internacional norequiere que las mltiples instancias de comunicaciones seguras en qu
43、e interviene un sistema abierto dado tengan queutilizar el mismo protocolo de seguridad.El Anexo D proporciona la proforma (o formulario) PICS para el protocolo de seguridad de la capa de red de acuerdocon las orientaciones pertinentes impartidas en ISO/CEI 9646-2.2 Referencias normativasLas siguien
44、tes Recomendaciones y Normas Internacionales contienen disposiciones que, mediante su referencia en estetexto, constituyen disposiciones de la presente Recomendacin UIT-T | Norma Internacional. Al efectuar estapublicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y Normas s
45、on objeto de revisiones,con lo que se preconiza que los participantes en acuerdos basados en esta Recomendacin UIT-T | Norma InternacionalRec. UIT-T X.273 (1994 S) 1 ISO/CEI 11577 : 1995 (S)investiguen la posibilidad de aplicar las ediciones ms recientes de las Recomendaciones y Normas citadas acont
46、inuacin. Miembros de la CEI y la ISO llevan un registro de las Normas Internacionales actualmente vigentes. LaOficina de Normalizacin de las Telecomunicaciones de la UIT mantiene una lista de las Recomendaciones UIT-Tactualmente vigentes.2.1 Recomendaciones | Normas Internacionales idnticas Recomend
47、acin X.213 del CCITT (1992) | ISO 8348:1993, Tecnologa de la informacin Interconexinde sistemas abiertos Definicin del servicio de red. Recomendacin UIT-T X.233 (1993) | ISO/CEI 8473:1994, Tecnologa de la informacin Protocolopara proporcionar el servicio de red sin conexin OSI: Especificacin del protocolo. Recomendacin UIT-T X.802 (1994) | ISO/CEI TR 13594:1994, Tecnologa de la informacin Interconexin de sistemas abiertos Modelo de seguridad de la
