1、 Unin Internacional de TelecomunicacionesUIT-T Y.2703SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (01/2009) SERIE Y: INFRAESTRUCTURA MUNDIAL DE LA INFORMACIN, ASPECTOS DEL PROTOCOLO INTERNET Y REDES DE LA PRXIMA GENERACIN Redes de la prxima generacin Seguridad Aplicacin del servicio au
2、tentificacin, autorizacin y contabilidad (AAA) en las NGN Recomendacin UIT-T Y.2703 RECOMENDACIONES UIT-T DE LA SERIE Y INFRAESTRUCTURA MUNDIAL DE LA INFORMACIN, ASPECTOS DEL PROTOCOLO INTERNET Y REDES DE LA PRXIMA GENERACIN INFRAESTRUCTURA MUNDIAL DE LA INFORMACIN Generalidades Y.100Y.199 Servicios
3、, aplicaciones y programas intermedios Y.200Y.299 Aspectos de red Y.300Y.399 Interfaces y protocolos Y.400Y.499 Numeracin, direccionamiento y denominacin Y.500Y.599 Operaciones, administracin y mantenimiento Y.600Y.699 Seguridad Y.700Y.799 Caractersticas Y.800Y.899 ASPECTOS DEL PROTOCOLO INTERNET Ge
4、neralidades Y.1000Y.1099 Servicios y aplicaciones Y.1100Y.1199 Arquitectura, acceso, capacidades de red y gestin de recursos Y.1200Y.1299 Transporte Y.1300Y.1399 Interfuncionamiento Y.1400Y.1499Calidad de servicio y caractersticas de red Y.1500Y.1599 Sealizacin Y.1600Y.1699 Operaciones, administraci
5、n y mantenimiento Y.1700Y.1799 Tasacin Y.1800Y.1899 Televisin IP sobre redes de prxima generacin Y.1900Y.1999 REDES DE LA PRXIMA GENERACIN Marcos y modelos arquitecturales funcionales Y.2000Y.2099 Calidad de servicio y calidad de funcionamiento Y.2100Y.2199 Aspectos relativos a los servicios: capaci
6、dades y arquitectura de servicios Y.2200Y.2249 Aspectos relativos a los servicios: interoperabilidad de servicios y redes en las redes de la prxima generacin Y.2250Y.2299 Numeracin, denominacin y direccionamiento Y.2300Y.2399 Gestin de red Y.2400Y.2499 Arquitecturas y protocolos de control de red Y.
7、2500Y.2599 Redes futuras Y.2600Y.2699 Seguridad Y.2700Y.2799Movilidad generalizada Y.2800Y.2899 Entorno abierto con calidad de operador Y.2900Y.2999 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T Y.2703 (01/2009) i Recomendacin UIT-T Y.2703 Aplicacin del servicio autentif
8、icacin, autorizacin y contabilidad (AAA) en las NGN Resumen En esta Recomendacin se presenta una aplicacin del servicio autentificacin, autorizacin y contabilidad (AAA) para las NGN versin 1. Historia Edicin Recomendacin Aprobacin Comisin de estudios 1.0 ITU-T Y.2703 2009-01-23 13 ii Rec. UIT-T Y.27
9、03 (01/2009) PREFACIO La Unin Internacional de Telecomunicaciones (UIT) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones y de las tecnologas de la informacin y la comunicacin. El Sector de Normalizacin de las Telecomunicaciones de la UIT (UIT-T) es un rgano
10、permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunicaciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada c
11、uatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de
12、 la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicacion
13、es como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se con
14、sigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativ
15、o. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindi
16、cado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin
17、, la UIT ha recibido/no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta
18、 encarecidamente a consultar la base de datos sobre patentes de la TSB en la direccin http:/www.itu.int/ITU-T/ipr/. UIT 2010 Reservados todos los derechos. Ninguna parte de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T Y.270
19、3 (01/2009) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 3 Definiciones 1 3.1 Trminos definidos en otras Recomendaciones . 1 3.2 Trminos definidos en esta Recomendacin 1 4 Abreviaturas y acrnimos . 2 5 Convenios . 2 6 Conceptos generales del servicio AAA 2 6.1 Generalidades . 2 6.2 El proceso AAA
20、 . 2 6.3 Procedimiento AAA . 3 7 Modelo de aplicacin de autentificacin y autorizacin en las NGN 3 8 Arquitectura AAA en las NGN. 5 8.1 Acceso del usuario a la red . 5 8.2 Acceso del usuario al servicio de red . 6 8.3 Autentificacin y autorizacin para el acceso del usuario a servicios de terceros . 6
21、 9 Ingreso 6 10 Autentificacin . 7 10.1 Entidades de autentificacin . 7 10.2 Procedimiento de autentificacin . 7 11 Autorizacin . 9 11.1 Autorizacin en las NGN . 9 11.2 Entidades de autorizacin . 9 11.3 Procedimiento de autorizacin . 9 12 Contabilidad 10 12.1 Contabilidad de seguridad 10 12.2 Funcio
22、nes de contabilidad de seguridad . 10 Apndice I Protocolo de autentificacin para AAA en las NGN . 12 I.1 Protocolo EAP para el servicio AAA en las NGN . 12 I.2 Protocolos AAA . 13 Apndice II Certificados digitales X.509 como credenciales . 14 Apndice III Casos de uso de la autentificacin y la autori
23、zacin . 15 III.1 Autentificacin y autorizacin del usuario para su acceso a la red 15 III.2 Autentificacin y autorizacin de usuarios por el proveedor de servicio NGN para darles acceso a servicios/aplicaciones 17 iv Rec. UIT-T Y.2703 (01/2009) Pgina III.3 Autentificacin y autorizacin de proveedores N
24、GN por el usuario . 19 III.4 Autentificacin y autorizacin por el proveedor NGN de otros proveedores de servicios/aplicaciones 20 III.5 Utilizacin del servicio de autentificacin y autorizacin de un tercero 21 Bibliografa 23 Rec. UIT-T Y.2703 (01/2009) 1 Recomendacin UIT-T Y.2703 Aplicacin del servici
25、o autentificacin, autorizacin y contabilidad (AAA) en las NGN 1 Alcance En esta Recomendacin se describe una aplicacin del servicio autentificacin, autorizacin y contabilidad (AAA) para las redes de la prxima generacin (NGN) basada en b-UIT-T Y.2201: Requisitos de las redes de prxima generacin, vers
26、in 1; b-UIT-T Y.2012: Requisitos funcionales y arquitectura de la red de prxima generacin; b-UIT-T Y.2701: Requisitos de seguridad de la versin 1 de la red de prxima generacin; y b-UIT-T Y.2702: Requisitos de autentificacin y autorizacin en las redes de la prxima generacin, versin 1. Esta Recomendac
27、in se aplica al proceso de autentificacin, autorizacin y contabilidad en el acceso a las NGN empleando el cliente AAA y el servidor AAA. En concreto, esta Recomendacin trata de la funcin de contabilidad slo desde el punto de vista de su contribucin a la contabilidad de seguridad. El alcance de esta
28、Recomendacin comprende: 1) El proceso de ingreso. 2) Las funciones y procedimientos de autentificacin. 3) Las funciones y procedimientos de autorizacin. 4) Las funciones y procedimientos de contabilidad de seguridad. 2 Referencias Ninguna. 3 Definiciones 3.1 Trminos definidos en otras Recomendacione
29、s En la presente Recomendacin se utilizan los siguientes trminos, definidos en otras Recomendaciones: 3.1.1 autentificacin b-UIT-T X.811: Confirmacin de la identidad declarada de una entidad. 3.1.2 certificado de autentificacin b-UIT-T X.811: Certificado de seguridad garantizado por una autoridad de
30、 autenticacin, y que puede utilizarse para confirmar la identidad de una entidad. 3.1.3 informacin de autentificacin b-UIT-T X.811: Informacin utilizada con fines de autenticacin. 3.1.4 autorizacin b-UIT-T X.800: Atribucin de derechos, que incluye la concesin de acceso basada en derechos de acceso.
31、3.1.5 declarante b-UIT-T X.811: Entidad que es o representa a un principal para fines de autenticacin. Un declarante incluye las funciones necesarias para intervenir en intercambios de autenticacin en nombre de un principal. 3.1.6 registro de auditora de seguridad b-UIT-T X.800: Datos recogidos que
32、pueden usarse para efectuar una auditora de seguridad. 3.2 Trminos definidos en esta Recomendacin En esta Recomendacin se definen los siguientes trminos: 2 Rec. UIT-T Y.2703 (01/2009) 3.2.1 contabilidad de seguridad: Funcin que efecta un seguimiento de las acciones o eventos relacionados con la segu
33、ridad que pueden utilizarse como fuentes en la funcin de auditora de seguridad. 4 Abreviaturas y acrnimos En la presente Recomendacin se emplean las siguientes abreviaturas. AAA Autentificacin, autorizacin, contabilidad (authentication, authorization, accounting) AM-FE Entidad funcional de gestin de
34、 acceso (access management functional entity) ANI Interfaz aplicacin-red (application to network interface) EAP Protocolo de autentificacin extensible (extensible authentication protocol) ID Identidad definida por la red, el servicio o la entidad a que se accede (identity as defined by the network,
35、service, or entity being accessed) NAS Servidor de acceso a red (network access server) NGN Red de la prxima generacin (next generation network) NNI Interfaz red-red (network to network interface) NP Proveedor de red (network provider) OAMP Operaciones, administracin, mantenimiento y configuracin (o
36、perations administration maintenance and provision) RACF Funcin de control de acceso a recursos (resource access control function) SCTP Protocolo de transporte de control de tren (stream control transport protocol) SR Recurso de servicio (service resource) TAA-FE Entidad funcional de autentificacin
37、y autorizacin de transporte (transport authentication and authorization functional entity) TE Equipo terminal (terminal equipment) TUP-FE Entidad funcional de perfil de usuario de transporte (transport user profile funcional entity) UNI Interfaz usuario-red (user to network interface) 5 Convenios Ni
38、nguno. 6 Conceptos generales del servicio AAA En esta clusula se presentan los conceptos bsicos del servicio de autentificacin, autorizacin y contabilidad. 6.1 Generalidades El servicio autentificacin, autorizacin y contabilidad contiene las funciones con que se verifica la identidad de un usuario (
39、autentificacin), se da acceso a los servicios (autorizacin) y se mide el consumo de recursos (contabilidad). 6.2 El proceso AAA Dentro del AAA se realizan los siguientes procesos: La autentificacin valida la identidad del usuario extremo antes de permitir su acceso a la red. El usuario extremo prese
40、nta una serie de credenciales, como una combinacin nombre de Rec. UIT-T Y.2703 (01/2009) 3 usuario/contrasea, una clave de seguridad, un certificado o datos biomtricos (por ejemplo, huellas digitales). Por norma general, estas credenciales se validan durante el proceso de ingreso. La verificacin de
41、las credenciales da paso al proceso de autorizacin. La autorizacin define los privilegios y servicios que corresponden al usuario extremo una vez que se le concede el acceso a la red. Esto puede comprender la concesin de una direccin IP o la invocacin de un filtro para determinar qu aplicaciones o p
42、rotocolos se soportan. En un entorno gestionado por AAA, la autentificacin y la autorizacin se realizan al mismo tiempo. La contabilidad contiene el mtodo de recopilacin de informacin sobre el consumo de recursos por parte del usuario extremo, que a continuacin puede procesarse para la facturacin, l
43、a auditora y la planificacin. Algunos datos de contabilidad se emplean para efectuar un rastreo de auditora de seguridad. Estos tres procesos se centralizan en una serie de funciones que, en conjunto, ejercen el control de acceso. 6.3 Procedimiento AAA El sistema de servicio AAA est compuesto por un
44、 servidor AAA y un cliente AAA. El servidor AAA tiene acceso a una base de datos de perfiles de usuario y datos de configuracin, y se comunica con los clientes AAA residentes en los componentes de red, como el servidor de acceso a red (NAS, network access server) y los encaminadores, para prestar se
45、rvicios AAA distribuidos. El servicio AAA puede resumirse en los siguientes pasos: El usuario extremo se conecta al dispositivo punto de entrada y solicita acceso a la red. El cliente AAA remite la identidad/credenciales de autentificacin del usuario extremo al servidor AAA. El servidor AAA autentif
46、ica al usuario a partir de las credenciales. Si la autentificacin se completa con xito, el servidor determina el/los servicio(s) autorizados y devuelve una respuesta de aceptacin rechazo, adems de otros datos pertinentes, al cliente AAA. El cliente AAA notifica al usuario extremo que se le concede o
47、 deniega el acceso a los recursos especificados. El cliente AAA enva un mensaje de contabilidad al servidor AAA durante el establecimiento y la terminacin de la conexin para su registro y almacenamiento. 7 Modelo de aplicacin de autentificacin y autorizacin en las NGN La presente Recomendacin se bas
48、a en los requisitos de seguridad de las NGN definidos en b-UIT-T Y.2701 y en el modelo de referencia de autentificacin en las NGN de b-UIT-T Y.2702. El modelo de referencia de autentificacin en las NGN (figura 7-1) muestra ocho puntos de referencia de autentificacin, tres de los cuales se tienen en cuenta en esta Recomendacin. Estos puntos son: 1) acceso del usuario a la red; 2) acceso del usuario al servicio proporcionado por la red; 4) acceso del proveedor de servicio al usuario receptor. Los puntos de referencia 1) y 4) se refieren al transporte de
