Tabla de contenido
cabecera. El CMP activa las funciones de gestión del PS y entre ellas la gestión de los servicios de
seguridad.
En las cláusulas 12 y 13, y en la cláusula 10 relativa a QoS, se exponen en más detalles estos
elementos y sus funciones.
11.3
Requisitos
Todas las referencias relativas a la seguridad IPCablecom pueden consultarse en la
Rec. UIT-T J.170.
11.3.1 Autenticación de elementos
A efectos de seguridad, es importante conocer al interlocutor de una comunicación antes de
intercambiar información de importancia. La autenticación constituye un medio de identificar con
seguridad a los desconocidos que deseen establecer comunicación. La autenticación tiene tres
partes, la credencial de identidad, la comprobación de la credencial de identidad a fin de validarse y
los medios comunes de comunicar la información de identidad. La presente Recomendación
especifica una credencial de identificación que es normal en la industria, y que consiste en la
utilización de certificados X.509 junto con RFC 3280. El certificado del elemento PS proporciona la
identidad del elemento PS asociado vinculando criptográficamente la dirección MAC WAN-Man
del elemento PS a un certificado de clave pública. Además, los certificados de clave pública
constituyen un modo seguro de comunicar la información de identidad.
Cuando un KDC que soporte esta Recomendación esté disponible en la cabecera, se soportará la
autenticación. Si hay un KDC disponible, se recomienda que el operador de cable proporcione el
elemento PS en el modo de configuración SNMP (descrito en 5.5) para aprovechar el protocolo de
autenticación recíproco especificado utilizando Kerberos con la extensión PKINIT. Kerberos
proporciona un protocolo de seguridad de la autenticación recíproca a fin de proporcionar material
de clave y establecer la comunicación únicamente entre partes autenticadas de la red
IPCable2Home. Como este modelo de autenticación ya ha sido especificado en otro proyecto de
la UIT, es decir, IPCablecom, la presente Recomendación se referirá al modelo IPCablecom cuando
proceda.
11.3.1.1 Kerberos/PKINIT
Cuando el elemento PS se proporciona en el modo de configuración SNMP, la presente
Recomendación especifica la utilización de Kerberos con la extensión de clave pública PKINIT
para autenticar elementos y para soportar los requisitos de la gestión de claves. Los elementos
(clientes) se autentican a sí mismos ante el KDC con el protocolo PKINIT. Una vez autenticados
ante el KDC, los clientes pueden recibir un tique Kerberos para autenticarse por sí mismos ante un
servidor específico.
Durante el modo de configuración SNMP, el elemento PS, el NMS (es decir, el gestor SNMP) y el
KDC DEBEN seguir la especificación de Kerberos/PKINIT que se describe en 6.4 y 6.5 de la
Rec. UIT-T J.170, a menos que se señale lo contrario en la presente Recomendación. El KDC de
IPCable2Home es equivalente al KDC de MSO de IPCablecom (IPCablecom especifica la
utilización de varios KDC), o puede ser idéntico. La especificación de IPCable2Home utiliza el
término sistemas de gestión de red (NMS network management systems) para proporcionar la
funcionalidad SNMP. Al hacer referencia al conjunto de especificaciones de IPCablecom, debe
observarse que IPCablecom utiliza el término servidor de configuración para indicar la
funcionalidad SNMP. El lector debería tener en cuenta que en general esta funcionalidad tendrá que
ser compatible con ambas especificaciones, no obstante, no son idénticas como se determina en la
información específica de IPCablecom e IPCable2Home. El elemento PS DEBE desempeñar el
papel de cliente ante el KDC. En la especificación de seguridad de IPCablecom el MTA es el
cliente y se prevé que las aplicaciones de IPCable2Home utilizarán para el elemento PS la
funcionalidad de cliente especificada para el MTA. El elemento PS emplea Kerberos para SNMP.
Rec. UIT-T J.191 (03/2004)
121
Tabla de contenido
