CZ: Servicios de seguridad

Servicios de seguridad

Dentro del modelo de referencia OSI, se define una arquitectura de seguridad ("Information Processing Systems. OSI Reference Model - Part 2: Security Arquitecture", ISO/IEC IS 7498-2). De acuerdo con esta arquitectura, para proteger las comunicaciones de los usuarios a través de una red, es necesario dotar a las mismas con una serie de servicios, que se conocen como servicios de seguridad:

autenticación de la entidad par: este servicio verifica la fuente de los datos. La autenticación puede ser sólo de la entidad origen, de la entidad destino o de ambas a la vez.
Control de acceso: este servicio verifica que los recursos son utilizados por quien tiene derecho a hacerlo.
Confidencialidad de los datos: este servicio evita que se revelen, deliberada o accidentalmente, los datos de una comunicación.
Integridad de los datos: este servicio verifica que los datos de una comunicación no se alteren, esto es, que los datos recibidos por el receptor coincidan por los enviados por el emisor.
No repudio (irrenunciabilidad): este servicio proporciona la prueba, ante una tercera parte, de que cada una de las entidades han participado, efectivamente, en la comunicación. Puede ser de dos tipos:
- con prueba de origen o emisor: el destinatario tiene garantía de quien es el emisor concreto de los datos.
- con prueba de entrega o receptor: el emisor tiene prueba de que los datos de la comunicación han llegado íntegramente al destinatario correcto en un instante dado.

Mecanismos de seguridad

Para proporcionar los servicios de seguridad citados, es necesario incorporar en los niveles adecuados del modelo de referencia OSI los siguientes mecanismos de seguridad:

cifrado: el cifrado puede hacerse mediante el uso de criptosistemas simétricos o asimétricos y puede aplicarse extremo a extremo o a cada enlace del sistema de comunicaciones.
El mecanismo de cifrado soporta el servicio de confidencialidad de los datos y puede complementar a otros mecanismos para conseguir diversos servicios de seguridad.
firmado digital: la firma digital se puede definir como un conjunto de datos que se añaden a una unidad de datos de modo que protejan a ésta contra cualquier falsificación, permitiendo al receptor comprobar el origen y la integridad de los datos. Para ello, se cifra la unidad de datos junto con alguna componente secreta del firmante, y se obtiene un valor de control ligado al resultado cifrado.
El mecanismo de cifrado digital soporta los servicios de integridad de los datos, autenticación del emisor y no repudio con prueba de origen. Para que se pueda proporcionar el servicio de no repudio con prueba de entrega, hay que forzar al receptor para que envíe un acuse de recibo firmado digitalmente.
control de acceso: se una para autentificar las capacidades de una entidad para acceder a un recurso dado. El control de acceso se puede llevar a cabo en el origen o en un punto intermedio, y se encarga de asegurar que el emisor está autorizado a comunicarse con el receptor o a usar los recursos de comunicación.
El mecanismo de control de acceso soporta el servicio de control de acceso.
integridad de datos: hay que distinguir entre la integridad de una unidad de datos individual y la integridad de una secuencia de unidades de datos. Para lograr integridad de una unidad de datos, el emisor añade datos suplementarios a la unidad de datos. Estos datos suplementarios se obtienen en función de la unidad de datos y, generalmente, se cifran. El receptor genera los mismos datos suplementarios a partir de la unidad original y los compara con los recibidos.
Para proporcionar integridad a una secuencia de unidades de datos se requiere, adicionalmente, algún mecanismo de ordenación, tal como el uso de números de secuencia, un sello temporal o un encadenamiento criptográfico entre las unidades.
El mecanimos de integridad de datos soporta el servicio de integridad de datos.
intercambio de autenticación, que tiene dos grados:
- autenticación simple: el emisor envía su identificador y una contraseña al receptor, el cual los comprueba.
- autenticación fuerte: utiliza propiedades de los criptosistemas de clave pública. Un usuario se autentifica mediante su identificador y su clave privada. Su interlocutor debe verificar que aquel, efectivamente, posee la clave privada, para lo cual debe obtener, de algun modo, la clave pública del primero. Para ello deberá obtener su certificado. Un certificado es un documento firmado por una Autoridad de Certificación (una tercera parte de confianza) y válido durante el periodo de tiempo determinado, que asocia una clave pública a un usuario.
El mecanismo de intercambio de autenticación soporta el servicio de autenticación de entidad par.

Referencias en línea y enlaces

Modificado por última vez el 24 de octubre de 1998.