1、UNIN INTERNACIONAL DE TELECOMUNICACIONESUIT-T X.812SECTOR DE NORMALIZACINDE LAS TELECOMUNICACIONESDE LA UIT(11/95)REDES DE DATOS Y COMUNICACINENTRE SISTEMAS ABIERTOSSEGURIDADTECNOLOGA DE LA INFORMACIN INTERCONEXIN DE SISTEMAS ABIERTOS MARCOS DE SEGURIDAD PARA SISTEMASABIERTOS: MARCO DE CONTROL DEACC
2、ESORecomendacin UIT-T X.812(Anteriormente Recomendacin del CCITT)PREFACIOLa UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campode las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rganoperma
3、nente de la UIT. En el UIT-T, que es la entidad que establece normas mundiales (Recomendaciones) sobre lastelecomunicaciones, participan unos 179 pases miembros, 84 empresas de explotacin de telecomunicaciones,145 organizaciones cientficas e industriales y 38 organizaciones internacionales.Las Recom
4、endaciones las aprueban los Miembros del UIT-T de acuerdo con el procedimiento establecido en laResolucin N. 1 de la CMNT (Helsinki, 1993). Adicionalmente, la Conferencia Mundial de Normalizacin de lasTelecomunicaciones (CMNT), que se celebra cada cuatro aos, aprueba las Recomendaciones que para ell
5、o se lesometan y establece el programa de estudios para el periodo siguiente.En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, sepreparan las normas necesarias en colaboracin con la ISO y la CEI. El texto de la Recomendacin UIT-T X.812 seapro
6、b el 21 de noviembre de 1995. Su texto se publica tambin, en forma idntica, como Norma Interna-cional ISO/CEI 10181-3._NOTAEn esta Recomendacin, la expresin Administracin se utiliza para designar, en forma abreviada, tanto unaadministracin de telecomunicaciones como una empresa de explotacin reconoc
7、ida de telecomunicaciones. UIT 1997Es propiedad. Ninguna parte de esta publicacin puede reproducirse o utilizarse, de ninguna forma o por ningn medio,sea ste electrnico o mecnico, de fotocopia o de microfilm, sin previa autorizacin escrita por parte de la UIT.RECOMENDACIONES UIT-T DE LA SERIE XREDES
8、 DE DATOS Y COMUNICACIN ENTRE SISTEMAS ABIERTOS(Febrero de 1994)ORGANIZACIN DE LAS RECOMENDACIONES DE LA SERIE XDominio RecomendacionesREDES PBLICAS DE DATOSServicios y facilidades X.1-X.19Interfaces X.20-X.49Transmisin, sealizacin y conmutacin X.50-X.89Aspectos de redes X.90-X.149Mantenimiento X.15
9、0-X.179Disposiciones administrativas X.180-X.199INTERCONEXIN DE SISTEMAS ABIERTOSModelo y notacin X.200-X.209Definiciones de los servicios X.210-X.219Especificaciones de los protocolos en modo conexin X.220-X.229Especificaciones de los protocolos en modo sin conexin X.230-X.239Formularios para enunc
10、iados de conformidad de implementacin de protocolo X.240-X.259Identificacin de protocolos X.260-X.269Protocolos de seguridad X.270-X.279Objetos gestionados de capa X.280-X.289Pruebas de conformidad X.290-X.299INTERFUNCIONAMIENTO ENTRE REDESGeneralidades X.300-X.349Sistemas mviles de transmisin de da
11、tos X.350-X.369Gestin X.370-X.399SISTEMAS DE TRATAMIENTO DE MENSAJES X.400-X.499DIRECTORIO X.500-X.599GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOSY ASPECTOS DE SISTEMASGestin de redes X.600-X.649Denominacin, direccionamiento y registro X.650-X.679Notacin de sintaxis abstracta uno X.680-X.699
12、GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS X.700-X.799SEGURIDAD X.800-X.849APLICACIONES DE INTERCONEXIN DE SISTEMAS ABIERTOSCometimiento, concurrencia y recuperacin X.850-X.859Tratamiento de transacciones X.860-X.879Operaciones a distancia X.880-X.899TRATAMIENTO ABIERTO DISTRIBUIDO X.900-X.999Rec.
13、UIT-T X.812 (1995 S) iNDICEPgina1 Alcance. 12 Referencias normativas 22.1 Recomendaciones | Normas Internacionales idnticas 22.2 Pares de Recomendaciones | Normas Internacionales de contenido tcnico equivalente . 23 Definiciones . 24 Abreviaturas . 45 Discusin general sobre el control de acceso. 45.
14、1 Objetivo del control de acceso 45.2 Aspectos bsicos del control de acceso. 55.2.1 Realizacin de funciones de control de acceso . 55.2.2 Otras actividades de control de acceso 75.2.3 Envo de la ACI 95.3 Distribucin de los componentes de control de acceso. 105.3.1 Control de acceso de entrada 105.3.
15、2 Control de acceso de salida. 105.3.3 Control de acceso interpuesto . 115.4 Distribucin de los componentes de control de acceso a travs de mltiples dominios de seguridad 115.5 Amenazas al control de acceso . 116 Polticas de control de acceso. 126.1 Expresin de la poltica de control de acceso . 126.
16、1.1 Categoras de las polticas de control de acceso . 126.1.2 Grupos y roles. 126.1.3 Etiquetas de seguridad 126.1.4 Polticas de control de acceso de mltiples iniciadores 136.2 Gestin de la poltica. 136.2.1 Polticas fijas. 136.2.2 Polticas impuestas administrativamente. 136.2.3 Polticas seleccionable
17、s por el usuario 136.3 Granularidad y contenido 136.4 Reglas de herencia 136.5 Precedencia entre las reglas de la poltica de control de acceso . 146.6 Reglas de polticas de control de acceso por defecto 146.7 Correspondencia de polticas entre dominios de seguridad cooperativos. 147 Informacin y faci
18、lidades de control de acceso . 157.1 ACI 157.1.1 ACI del iniciador. 157.1.2 ACI del objetivo 157.1.3 ACI de la peticin de acceso. 157.1.4 ACI del operando 157.1.5 Informacin contextual .167.1.6 ACI vinculada con el iniciador . 167.1.7 ACI vinculada con el objetivo 167.1.8 ACI vinculada con una petic
19、in de acceso . 167.2 Proteccin de la ACI. 167.2.1 Certificados de control de acceso 167.2.2 Testigos de control de acceso 177.3 Facilidades de control de acceso. 177.3.1 Facilidades relacionadas con la gestin 187.3.2 Facilidades relacionadas con la operacin 18ii Rec. UIT-T X.812 (1995 S)Pgina8 Clasi
20、ficacin de los mecanismos de control de acceso 208.1 Introduccin 208.2 Esquema de la ACL 218.2.1 Caractersticas bsicas. 218.2.2 ACI 228.2.3 Mecanismos de apoyo. 228.2.4 Variaciones de este esquema. 228.3 Esquema de la capacidad 238.3.1 Caractersticas bsicas. 238.3.2 ACI 248.3.3 Mecanismos de apoyo.
21、248.3.4 Variaciones de este esquema - Capacidades sin operaciones especficas . 248.4 Esquema basado en la etiqueta 258.4.1 Caractersticas bsicas. 258.4.2 ACI 258.4.3 Mecanismos de apoyo. 258.4.4 Los canales con etiqueta como objetivos 268.5 Esquema basado en el contexto 268.5.1 Caractersticas bsicas
22、. 268.5.2 ACI 278.5.3 Mecanismos de apoyo. 278.5.4 Variaciones de este esquema. 279 Interaccin con otros servicios y mecanismos de seguridad 279.1 Autenticacin 279.2 Integridad de los datos 279.3 Confidencialidad de los datos . 289.4 Auditora . 289.5 Otros servicios relacionados con el acceso . 28An
23、exo A Intercambio de certificados de control de acceso entre componentes. 29A.1 Introduccin 29A.2 Transferencia de certificados de control de acceso. 29A.3 Transferencia de mltiples certificados de control de acceso . 29A.3.1 Ejemplo. 29A.3.2 Generalizacin 30A.3.3 Simplificaciones 30Anexo B Control
24、de acceso en el modelo de referencia OSI 31B.1 General 31B.2 Utilizacin del control de acceso en las capas OSI. 31B.2.1 Utilizacin del control de acceso en la capa de red. 31B.2.2 Utilizacin del control de acceso en la capa de transporte 31B.2.3 Utilizacin de control de acceso en la capa de aplicaci
25、n 31Anexo C No unicidad de las identidades de control de acceso 32Anexo D Distribucin de las componentes de control de acceso . 33D.1 Aspectos considerados 33D.2 Ubicaciones de los AEC y los ADC . 33D.3 Interacciones entre componentes de control de acceso. 34Anexo E Polticas basadas en las reglas fr
26、ente a polticas basadas en la identidad 36Anexo F Mecanismo para permitir el envo de ACI mediante un iniciador. 37Anexo G Descripcin esquemtica del servicio de seguridad de control de acceso 38Rec. UIT-T X.812 (1995 S) iiiResumenLa presente Recomendacin | Norma Internacional define un marco general
27、para la provisin de control de acceso. Elobjetivo primario del control de acceso es contrarrestar la amenaza de operaciones no autorizadas con un computador osistemas de comunicaciones; estas amenazas se subdividen frecuentemente en clases conocidas como uso no autorizado,divulgacin, modificacin, de
28、struccin y denegacin de servicio.ISO/CEI 10181-3 : 1996 (S)Rec. UIT-T X.812 (1995 S) 1NORMA INTERNACIONALISO/CEI 10181-3 : 1996 (S)Rec. UIT-T X.812 (1995 S)RECOMENDACIN UIT-TTECNOLOGA DE LA INFORMACIN INTERCONEXINDE SISTEMAS ABIERTOS MARCOS DE SEGURIDADPARA SISTEMAS ABIERTOS: MARCO DE CONTROL DE ACC
29、ESO1 AlcanceLos marcos de seguridad estn orientados a la aplicacin de servicios de seguridad a entornos de sistemas abiertos,donde el trmino sistemas abiertos incluye reas tales como bases de datos, aplicaciones distribuidas, ODP y OSI. Losmarcos de seguridad pretenden definir los medios mediante lo
30、s cuales se protegen sistemas y objetos dentro de lossistemas, as como la interaccin entre sistemas. Los marcos de seguridad no se ocupan de la metodologa para laconstruccin de sistemas o de mecanismos.Los marcos de seguridad se ocupan de elementos de datos o de secuencias de operaciones (pero no de
31、 elementos deprotocolo) que se utilizan para disponer de servicios especficos de seguridad. Dichos servicios de seguridad se puedenaplicar a la comunicacin entre entidades de sistemas as como al intercambio de datos entre sistemas y a la gestin dedatos por parte de los sistemas.En el caso del contro
32、l de acceso, los accesos pueden ser a un sistema (es decir, a una entidad que es la parte que secomunica de un sistema) o dentro del sistema. Los elementos de informacin que es necesario presentar para obtener elacceso, as como la secuencia de las operaciones necesarias para solicitar el acceso y pa
33、ra la notificacin de losresultados del acceso, se consideran que estn en el mbito de los marcos de seguridad. Sin embargo, cualquier elementode informacin u operaciones que dependen de una nica aplicacin y que slo estn relacionadas con el acceso localdentro de un sistema se consideran fuera del mbit
34、o de los marcos de seguridad.Muchas aplicaciones tienen requisitos de seguridad para la proteccin contra las amenazas a los recursos, incluida lainformacin, que se derivan de la interconexin de sistemas abiertos. La Rec. X.800 del CCITT | ISO 7498-2 describealgunas amenazas habituales, as como los m
35、ecanismos de seguridad y los servicios que pueden utilizarse paraprotegerse contra ellos en un entorno OSI.El proceso para determinar cul es la utilizacin permitida de los recursos de un entorno de sistemas abiertos, as comopara la prevencin de accesos no autorizados, se denomina control de acceso.
36、Esta Recomendacin | NormaInternacional define un marco general para la provisin de los servicios de control de acceso.Este marco de seguridad:a) define los conceptos bsicos para el control de acceso;b) demuestra cmo se pueden especializar los conceptos bsicos de control de acceso para permitir algun
37、osservicios y mecanismos de control de acceso habituales;c) define dichos servicios y los correspondientes mecanismos de control de acceso;d) identifica los requisitos funcionales para los protocolos que soportan dichos servicios y mecanismos decontrol de acceso;e) identifica los requisitos de gesti
38、n habituales para soportar dichos servicios y mecanismos de control deacceso;f) se ocupa de la interaccin de los servicios y mecanismos de control de acceso con otros servicios ymecanismos de seguridad.Al igual que ocurre con otros servicios de seguridad, el control de acceso slo puede proporcionars
39、e en el contexto deuna poltica de seguridad definida para una aplicacin en particular. Aunque la definicin de las polticas de control deacceso queda fuera del alcance de esta Recomendacin | Norma Internacional, se describen algunas polticas de controlde acceso.Esta Recomendacin | Norma Internacional
40、 no pretende especificar en detalle los protocolos de intercambio que puedennecesitarse a fin de proporcionar servicios de control de acceso.ISO/CEI 10181-3 : 1996 (S)2 Rec. UIT-T X.812 (1995 S)Esta Recomendacin | Norma Internacional no especifica mecanismos particulares para soportar dichos servici
41、os decontrol de acceso ni informacin sobre los protocolos y servicios de gestin de seguridad.En este contexto pueden utilizarse varios tipos de normas, incluyendo:a) normas que incluyen el concepto de control de acceso;b) normas que especifican servicios abstractos que incluyen el control de acceso;
42、c) normas que especifican la utilizacin de un servicio de control de acceso;d) normas que proporcionan el significado de proporcionar el control de acceso en un entorno de sistemasabiertos; ye) normas que especifican mecanismos de control de acceso.Dichas normas pueden utilizar este contexto como si
43、gue: los tipos de normas a, b, c, d y e pueden utilizar la terminologa de este marco; los tipos de normas b, c, d y e pueden utilizar las facilidades definidas en la clusula 7 de este marco; y las normas de tipo e pueden basarse en las clases de mecanismos definidos en la clusula 8.2 Referencias nor
44、mativasLas siguientes Recomendaciones y Normas Internacionales contienen disposiciones que, mediante su referencia en estetexto, constituyen disposiciones de la presente Recomendacin | Norma Internacional. Al efectuar esta publicacinestaban en vigor las ediciones indicadas. Todas las Recomendaciones
45、 y Normas son objeto de revisiones, por lo que sepreconiza que los participantes en acuerdos basados en la presente Recomendacin | Norma Internacional investiguen laposibilidad de aplicar las ediciones ms recientes de las Recomendaciones y las Normas citadas a continuacin. Losmiembros de la CEI y de
46、 la ISO mantienen registros de las Normas Internacionales actualmente vigentes. La Oficina deNormalizacin de las Telecomunicaciones de la UIT mantiene una lista de las Recomendaciones UIT-T actualmentevigentes.2.1 Recomendaciones | Normas Internacionales idnticas Recomendacin UIT-T X.200 (1994) | IS
47、O/CEI 7498-1:1994, Tecnologa de la informacin Interconexin de sistemas abiertos Modelo de referencia bsico: El modelo bsico. Recomendacin UIT-T X.810 (1995) | ISO/CEI 10181-1:1996, Tecnologa de la informacin Interconexin de sistemas abiertos Marcos de seguridad para sistemas abiertos: Visin general.
48、 Recomendacin UIT-T X.811 (1995) | ISO/CEI 10181-2:1996, Tecnologa de la informacin Interconexin de sistemas abiertos Marcos de seguridad para sistemas abiertos: Marco deautenticacin. Recomendacin UIT-T X.880 (1994) | ISO/CEI 13712-1:1995, Tecnologa de la informacin Operaciones a distancia: Concepto
49、s, modelo y notacin.2.2 Pares de Recomendaciones | Normas Internacionales de contenido tcnico equivalente Recomendacin X.800 del CCITT (1991), Arquitectura de seguridad de interconexin de sistemasabiertos para aplicaciones del CCITT.ISO 7498-2:1989, Information processing systems Open Systems Interconnection Basic R
