Esta parte de ISO/IEC 9594: ? especifica la forma de información de autenticación mantenida por el Directorio; ? describe cómo se puede obtener información de autenticación del Directorio; ? establece las suposiciones hechas sobre cómo se forma y coloca la información de autenticación en el Directorio; ? define tres formas en que las aplicaciones pueden usar esta información de autenticación para realizar la autenticación y describe cómo otros servicios de seguridad pueden ser respaldados por la autenticación. 2 Esta parte de ISO/IEC 9594 describe dos niveles de autenticación: autenticación simple, utilizando una contraseña como verificación de la identidad declarada; y autenticación sólida, que implica credenciales formadas mediante técnicas criptográficas. Si bien la autenticación simple ofrece cierta protección limitada contra el acceso no autorizado, sólo se debe utilizar una autenticación sólida como base para brindar servicios seguros. No se pretende establecer esto como un marco general para la autenticación, pero puede ser de uso general para aplicaciones que consideren adecuadas estas técnicas. 3 La autenticación (y otros servicios de seguridad) sólo se pueden proporcionar dentro del contexto de una política de seguridad definida. Corresponde a los usuarios de una aplicación definir su propia política de seguridad, que puede verse limitada por los servicios proporcionados por un estándar. 4 Corresponde a las normas que definen aplicaciones que utilizan el marco de autenticación para especificar los intercambios de protocolos que deben realizarse para lograr la autenticación basada en la información de autenticación obtenida del Directorio. El protocolo utilizado por las aplicaciones para obtener credenciales del Directorio es el Protocolo de acceso al directorio (DAP), especificado en ISO/IEC 9594-5. 5 El método de autenticación fuerte especificado en esta parte de ISO/IEC 9594 se basa en criptosistemas de clave pública. Una ventaja importante de tales sistemas es que los certificados de usuario pueden mantenerse dentro del Directorio como atributos, y pueden comunicarse libremente dentro del Sistema de Directorio y ser obtenidos por los usuarios del Directorio de la misma manera que otra información del Directorio. Se supone que los certificados de usuario se forman por medios "fuera de línea" y su creador los coloca en el Directorio. La generación de certificados de usuario la realiza alguna autoridad de certificación fuera de línea que está completamente separada de los DSA del directorio. En particular, no se imponen requisitos especiales a los proveedores de directorios para almacenar o comunicar certificados de usuario de forma segura. En el anexo B se incluye una breve introducción a la criptografía de clave pública. 6 En general, el marco de autenticación no depende del uso de un algoritmo criptográfico particular, siempre que tenga las propiedades descritas en 6.1. Potencialmente se pueden utilizar varios algoritmos diferentes. Sin embargo, dos usuarios que deseen autenticarse deberán soportar el mismo algoritmo criptográfico para que la autenticación se realice correctamente. Así, en el contexto de un conjunto de aplicaciones relacionadas, la elección de un único algoritmo servirá para maximizar la comunidad de usuarios capaces de autenticarse y comunicarse de forma segura. En el Anexo C se puede encontrar un ejemplo de un algoritmo criptográfico de clave pública. 7 De manera similar, dos usuarios que deseen autenticarse deberán soportar la misma función hash (ver 3.3f) (utilizada para formar credenciales y tokens de autenticación). Una vez más, en principio, se podrían utilizar varias funciones hash alternativas, a costa de reducir las comunidades de usuarios capaces de autenticarse. En el anexo D se puede encontrar una breve introducción a las funciones hash junto con un ejemplo de función hash.
SIS SS-ISO 9594-8:1991 Historia
1991SIS SS-ISO 9594-8:1991 Tecnología de la información — Interconexión de sistemas abiertos — El Directorio — Parte 8: Marco de autenticación