1、UNIN INTERNACIONAL DE TELECOMUNICACIONESUIT-T X.274SECTOR DE NORMALIZACIN (07/94)DE LAS TELECOMUNICACIONESDE LA UITREDES DE DATOS Y COMUNICACINENTRE SISTEMAS ABIERTOSINTERCONEXIN DE SISTEMAS ABIERTOS PROTOCOLOS DE SEGURIDADTECNOLOGA DE LA INFORMACIN INTERCAMBIO DE TELECOMUNICACIONESE INFORMACIN ENTR
2、E SISTEMAS PROTOCOLO DE SEGURIDADDE LA CAPA DE TRANSPORTERecomendacin UIT-T X.274(Anteriormente Recomendacin del CCITT)PREFACIOLa UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campode las telecomunicaciones. El UIT-T (Sector de Normalizacin
3、 de las Telecomunicaciones de la UIT) es un rganopermanente de la UIT. En el UIT-T, que es la entidad que establece normas mundiales (Recomendaciones) sobre lastelecomunicaciones, participan unos 179 pases miembros, 84 empresas de explotacin de telecomunicaciones, 145 orga-nizaciones cientficas e in
4、dustriales y 38 organizaciones internacionales.Las Recomendaciones las aprueban los Miembros del UIT-T de acuerdo con el procedimiento establecido en laResolucin N. 1 de la CMNT (Helsinki, 1993). Adicionalmente, la Conferencia Mundial de Normalizacin de lasTelecomunicaciones (CMNT), que se celebra c
5、ada cuatro aos, aprueba las Recomendaciones que para ello se lesometan y establece el programa de estudios para el periodo siguiente.En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, sepreparan las normas necesarias en colaboracin con la ISO
6、y la CEI. El texto de la Recomendacin UIT-T X.274se aprob el 1 de julio de 1994. Su texto se publica tambin, en forma idntica, como Norma InternacionalISO/CEI 10736-4._NOTAEn esta Recomendacin, la expresin Administracin se utiliza para designar, en forma abreviada, tanto unaadministracin de telecomu
7、nicaciones como una empresa de explotacin reconocida de telecomunicaciones. UIT 1995Es propiedad. Ninguna parte de esta publicacin puede reproducirse o utilizarse, de ninguna forma o por ningn medio,sea ste electrnico o mecnico, de fotocopia o de microfilm, sin previa autorizacin escrita por parte d
8、e la UIT.RECOMENDACIONES DE LA SERIE UIT-T XREDES DE DATOSY COMUNICACIN DE SISTEMAS ABIERTOSRecomendacin X.160 (07/94)(Febrero 1994)ORGANIZACIN DE LAS RECOMENDACIONES DE LA SERIE XDominio RecomendacionesREDES PBLICAS DE DATOSServicios y facilidades X.1-X.19Interfaces X.20-X.49Transmisin, sealizacin
9、y conmutacin X.50-X.89Aspectos de redes X.90-X.149Mantenimiento X.150-X.179Disposiciones administrativas X.180-X.199INTERCONEXIN DE SISTEMAS ABIERTOSModelo y notacin X.200-X.209Definiciones de los servicios X.210-X.219Especificaciones de los protocolos en modo conexin X.220-X.229Especificacin de los
10、 protocolos en modo sin conexin X.230-X.239Formularios para enunciados de conformidad de implementacin de protocolo X.240-X.259Identificacin de protocolos X.260-X.269Protocolos de seguridad X.270-X.279Objetos gestionados de capa X.280-X.289Pruebas de conformidad X.290-X.299INTERFUNCIONAMIENTO ENTRE
11、REDESGeneralidades X.300-X.349Sistemas mviles de transmisin de datos X.350-X.369Gestin X.370-X.399SISTEMAS DE TRATAMIENTO DE MENSAJES X.400-X.499DIRECTORIO X.500-X.599GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOSY ASPECTOS DE SISTEMASGestin de redes X.600-X.649Denominacin, direccionamiento y
12、registro X.650-X.679Notacin de sintaxis abstracta uno X.680-X.699GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS X.700-X.799SEGURIDAD X.800-X.849APLICACIONES DE INTERCONEXIN DE SISTEMAS ABIERTOSCometimiento, concurrencia y recuperacin X.850-X.859Procesamiento de transaccin X.860-X.879Operaciones a dista
13、ncia X.880-X.899TRATAMIENTO ABIERTO DISTRIBUIDO X.900-X.999NDICEPginaSumario . ivIntroduccin. v1 Alcance. 12 Referencias normativas 22.1 Recomendaciones | Normas Internacionales idnticas . 22.2 Pares de Recomendaciones | Normas Internacionales de contenido tcnico equivalente. 22.3 Referencias adicio
14、nales. 23 Definiciones . 33.1 Definiciones del modelo de referencia de seguridad 33.2 Definiciones adicionales. 34 Abreviaturas . 45 Visin general del protocolo 55.1 Introduccin 55.2 Asociaciones y atributos de seguridad 65.2.1 Servicios de seguridad para el protocolo de transporte en modo con conex
15、in . 95.2.2 Servicio de seguridad para el protocolo de transporte en modo sin conexin 105.3 Servicios supuestos de la capa de red . 105.4 Requisitos de gestin de seguridad. 105.5 Caractersticas mnimas de los algoritmos 105.6 Funcin de encapsulacin de seguridad 105.6.1 Funcin de cifrado de datos 115.
16、6.2 Funcin de integridad . 115.6.3 Funcin de etiqueta de seguridad 115.6.4 Funcin de relleno de seguridad . 115.6.5 Funcin de autenticacin de entidad par. 115.6.6 Funcin SA que utiliza el protocolo SA-P dentro de banda . 126 Elementos de procedimiento 126.1 Concatenacin y separacin 136.2 Confidencia
17、lidad. 136.2.1 Finalidad . 136.2.2 TPDU y parmetros utilizados 136.2.3 Procedimiento . 136.3 Procesamiento de la integridad . 146.3.1 Procesamiento del valor de comprobacin de integridad (ICV) . 146.3.1.1 Finalidad . 146.3.1.2 TPDU y parmetros utilizados 146.3.1.3 Procedimiento . 146.3.2 Procesamien
18、to del indicador de sentido 166.3.2.1 Finalidad . 166.3.2.2 TPDU y parmetros utilizados 166.3.2.3 Procedimiento . 166.3.3 Procesamiento del nmero de secuencia de integridad de conexin. 176.3.3.1 Nmeros de secuencia exclusivos. 176.3.3.2 Finalidad . 176.3.3.3 Procedimiento . 176.4 Procesamiento de la
19、 comprobacin de la direccin par 176.4.1 Finalidad . 176.4.2 Procedimiento . 17Rec. UIT-T X.274 (1994 S) i Pgina6.5 Etiquetas de seguridad para asociaciones de seguridad 186.5.1 Finalidad . 186.5.2 TPDU y parmetros utilizados 186.5.3 Procedimiento . 186.6 Liberacin de conexin. 186.7 Sustitucin de cla
20、ves. 186.8 TPDU no protegidas . 196.9 Identificacin de protocolo . 196.10 Protocolo de asociacin de seguridad. 197 Utilizacin de elementos de procedimiento . 208 Estructura y codificacin de las TPDU 208.1 Estructura de la TPDU 208.2 TPDU de encapsulacin de seguridad 208.2.1 Encabezamiento en claro 2
21、18.2.1.1 Longitud del encabezamiento en claro de la PDU 218.2.1.2 Tipo de PDU . 218.2.1.3 SA-ID . 218.2.2 Sincronizacin criptogrfica . 218.2.3 Contenido protegido 218.2.3.1 Estructura del campo de contenido protegido. 228.2.3.2 Longitud del contenido . 228.2.3.3 Banderas . 228.2.3.4 Etiqueta . 238.2
22、.3.5 Datos protegidos . 238.2.3.6 Relleno de integridad 238.2.4 ICV 248.2.5 Relleno de cifrado . 248.3 PDU de asociacin de seguridad 248.3.1 LI (indicador de longitud).248.3.2 Tipo de PDU . 248.3.3 SA-ID (identificador de asociacin de seguridad) 248.3.4 Tipo de SA-P 248.3.5 Contenido de la PDU de SA
23、 . 259 Conformidad 259.1 Generalidades . 259.2 Requisitos de conformidad esttica comunes .259.3 TLSP con requisitos de conformidad esttica de la Rec. UIT-T X.234 | ISO 8602 . 259.4 TLSP con requisitos de conformidad esttica de la Rec. UIT-T X.224 | ISO/CEI 8073 259.5 Requisitos de conformidad dinmic
24、a comunes. 259.6 TLSP con requisitos de conformidad dinmica de la Rec. UIT-T X.234 | ISO 8602. 259.7 TLSP con requisitos de conformidad dinmica de la Rec. UIT-T X.224 | ISO/CEI 8073 . 2610 Enunciado de conformidad de realizacin de protocolo (PICS) 26Anexo A Formulario de PICS . 27A.1 Introduction 27
25、A.1.1 Background. 27A.1.2 Approach. 27A.2 Implementation identification. 28A.3 General statement of conformance . 28A.4 Protocol implementation. 28A.5 Security services supported 28A.6 Supported functions 30A.7 Supported Protocol Data Units (PDUs) 33ii Rec. UIT-T X.274 (1994 S) PginaA.7.1 Supported
26、Transport PDUs (TPDUs) . 33A.7.2 Supported parameters of issued TPDUs . 33A.7.3 Supported parameters of received TPDUs 33A.7.4 Allowed values of issued TPDU parameters 34A.8 Service, function, and protocol relationships 35A.8.1 Relationship between services and functions 35A.8.2 Relationship between
27、 services and protocol . 35A.9 Supported algorithms 36A.10 Error handling. 36A.10.1 Security errors. 36A.10.2 Protocol errors. 36A.11 Security Association . 36A.11.1 SA Generic Fields . 36A.11.2 Content Fields Specific to Key Exchange SA-P . 38Anexo B Protocolo de asociacin de seguridad que emplea i
28、ntercambio de testigos de clave y firmasdigitales 39B.1 Visin de conjunto 39B.2 Intercambio de testigos de clave (KTE) 40B.3 Autenticacin de protocolo SA. 40B.4 Negociacin de atributo SA 41B.4.1 Seleccin de servicio de seguridad . 41B.4.2 Negociacin del conjunto de etiquetas 41B.4.3 Seleccin de clav
29、e y de ISN 41B.4.4 Negociacin de diversos atributos SA 42B.4.5 Visin de conjunto de la reaplicacin de la clave . 42B.4.6 Visin de conjunto del aborto/liberacin de la SA . 42B.5 Correspondencia de funciones de protocolo SA con intercambios de protocolo . 43B.5.1 (Primer) intercambio KTE 43B.5.1.1 Pet
30、icin de inicio de protocolo SA . 43B.5.1.2 Recepcin de la primera PDU de SA por la entidad receptora . 43B.5.2 (Segundo) intercambio para la negociacin de autenticacin y seguridad . 44B.5.2.1 Recepcin de la primera PDU de SA por la entidad iniciadora 44B.5.2.2 Recepcin de la PDU del segundo intercam
31、bio por la entidad receptora . 44B.5.3 Procedimiento de reaplicacin de clave 45B.5.4 Intercambio de liberacin/aborto 46B.5.4.1 Peticin de inicio de la liberacin/aborto de una SA 46B.5.4.2 Recepcin de una peticin de aborto/liberacin de la SA. 46B.6 Campo contenido de la SA, de la PDU de SA 47B.6.1 Id
32、entificador de intercambio . 47B.6.2 Longitud de contenido 47B.6.3 Campos de contenido47B.6.3.1 My SA-ID (mi identificador de SA) . 48B.6.3.2 Old Your SA-ID (antiguo Tu ID de SA) 48B.6.3.3 Key Token 1 (testigo de clave 1), Key Token 2 (testigo de clave 2), KeyToken 3 (testigo de clave 3) y Key Token
33、 4 (testigo de clave 4) 48B.6.3.4 Certificado de autenticacin, firma digital de autenticacin. 48B.6.3.5 Seleccin de servicios . 48B.6.3.6 Motivo del rechazo de la SA. 48B.6.3.7 Motivo del aborto/liberacin de la SA 49B.6.3.8 Etiqueta . 49B.6.3.9 Seleccin de clave. 49B.6.3.10 Banderas de la SA. 50B.6.
34、3.11 ASSR 50Anexo C Ejemplo de un conjunto convenido de reglas de seguridad (ASSR) 51Anexo D Visin de conjunto del algoritmo EKE 52Rec. UIT-T X.274 (1994 S) iii SumarioEsta Recomendacin | Norma Internacional especifica el protocolo que soporta todos los servicios de integridad,confidencialidad, aute
35、nticacin y control de acceso que, segn se identifica en el modelo de seguridad OSI, sonaplicables a la capa de transporte. El protocolo soporta estos servicios mediante el empleo de mecanismos criptogrficos,etiquetas de seguridad y atributos de seguridad asignados, tales como claves criptogrficas.iv
36、 Rec. UIT-T X.274 (1994 S) IntroduccinEl protocolo especificado en la Rec. UIT X.224 | ISO/CEI 8073 proporciona el servicio de transporte en modo conexindescrito en la Rec. UIT-T X.214 | ISO/CEI 8072. El protocolo de transporte especificado en la Rec. UIT-T X.234 |ISO 8602 proporciona el servicio de
37、 transporte en modo sin conexin descrito en ISO 8072/AD1. La presenteRecomendacin | Norma Internacional especifica funciones facultativas adicionales a las especificadas en laRec. UIT-T X.224 | ISO/CEI 8073 y a la Rec. UIT-T X.234 | ISO 8602 que permiten la utilizacin de tcnicascriptogrficas para da
38、r proteccin de datos a las conexiones de transporte o a las transmisiones de TPDU en modo sinconexin.Los Anexos A y B forman parte integrante de esta Recomendacin | Norma Internacional. Los Anexos C y D tienencarcter informativo solamente.Rec. UIT-T X.274 (1994 S) v ISO/CEI 10736-4 : 1995 (S)NORMA I
39、NTERNACIONALISO/CEI 10736-4 : 1995 (S)Rec. UIT-T X.274 (1994 S)RECOMENDACIN UIT-TTECNOLOGA DE LA INFORMACIN INTERCAMBIODE TELECOMUNICACIONES E INFORMACIN ENTRE SISTEMAS PROTOCOLO DE SEGURIDAD DE LA CAPA DE TRANSPORTE1 AlcanceLos procedimientos especificados en la presente Recomendacin | Norma Intern
40、acional constituyen ampliaciones de losdefinidos por la Rec. UIT-T X.224 | ISO/CEI 8073 y por la Rec. UIT-T X.234 | ISO 8602 y no excluyen lacomunicacin no protegida entre entidades de transporte que aplican la Rec. UIT-T X.224 | ISO/CEI 8073 o laRec. UIT-T X.234 | ISO 8602.La proteccin conseguida m
41、ediante el protocolo de seguridad definido en esta Recomendacin | Norma Internacionaldepende del funcionamiento adecuado de la gestin de seguridad, incluida la gestin de claves. Sin embargo, estaRecomendacin | Norma Internacional no especifica las funciones y protocolos de gestin necesarios para sop
42、ortar elreferido protocolo de seguridad.Este protocolo puede soportar todos los servicios de integridad, confidencialidad, autenticacin y control de accesoidentificados en la Rec. X.800 del CCITT | ISO 7498-2 como pertinentes a la capa de transporte. El protocolo soportaestos servicios utilizando me
43、canismos criptogrficos, etiquetado y atributos de seguridad, tales como claves eidentidades autenticadas, preestablecidos por la gestin de seguridad, o establecidos mediante el empleo del protocolo deasociacin de seguridad (SA-P).La proteccin slo puede proporcionarse dentro del contexto de una polti
44、ca de seguridad.Este protocolo soporta la autenticacin de entidades pares en el momento del establecimiento de la conexin. Adems, sesoporta la reaplicacin de clave dentro del protocolo, mediante el uso del SA-P o por medios externos al protocolo.Las asociaciones de seguridad slo pueden establecerse
45、en el contexto de una poltica de seguridad. Incumbe a cadausuario establecer su propia poltica de seguridad, la cual puede tener que ajustarse a los procedimientos especificadosen esta Recomendacin | Norma Internacional.Los siguientes puntos pudieran incluirse en una poltica de seguridad:a) el mtodo
46、 de establecimiento/liberacin de la SA, la duracin de SA;b) los mecanismos de autenticacin/control de acceso;c) el mecanismo de etiquetas;d) el procedimiento que se sigue cuando se recibe una TPDU no vlida durante el procedimiento delestablecimiento de la SA o la transmisin de una PDU protegida;e) l
47、a duracin de la clave;f) el intervalo del procedimiento de reaplicacin de clave para actualizar la clave, y el procedimiento deintercambio de informacin de control de seguridad (SCI);g) la temporizacin del intercambio de SCI y del procedimiento de reaplicacin de clave;h) el nmero de nuevos intentos de intercambio de SCI y de procedimiento de reaplicacin de clave.Esta Recomendacin | Norma Internacional define un protocolo que puede utilizarse para el establecimiento de laasociacin de seguridad. Las entidades que deseen establecer una SA deben emplear
