Validación De La Cadena Del Fabricante Y De La Verificación Raíz; Revocación De Certificados; Mensajería De Gestión Segura; Algoritmos De Seguridad Para Snmp En El Modo De Configuración Dhcp - ITU UIT-T J Serie Manual Del Usuario
Redes de cable y transmisión de programas radiofónicos y televisivos, y de otras señales multimedios
Tabla de contenido
Publicidad
11.3.2.3.1 Validación de la cadena del fabricante y de la verificación raíz
El KDC DEBE validar la cadena vinculada de certificados del fabricante. El primer certificado de la
cadena no suele incluirse explícitamente en la cadena de certificados que se envía por el cable. En
los casos en que el certificado CA raíz del fabricante se incluye explícitamente en el cable ya DEBE
ser conocido por la parte verificante antes del momento de verificación de este certificado. El
certificado CA raíz del fabricante enviado por el cable NO DEBE contener modificaciones al
certificado con la posible excepción del número de serie del certificado, el periodo de validez y el
valor de la firma. Si hay modificaciones, distintas del número de serie del certificado, su periodo de
validez o el valor de la firma, en el certificado CA raíz del fabricante que se recibió por el cable en
comparación con el certificado CA raíz del fabricante conocido, el KDC que establece la
comparación DEBE dar por fallida la verificación del certificado.
11.3.2.3.2 Validación de la cadena de verificación de código y de la verificación raíz
Un servidor interno puede comprobar la validez de la cadena de verificación de códigos antes de
comenzar el proceso de descarga del soporte lógico. Los detalles se pueden consultar en 11.3.7.
11.3.2.3.3 Validación de la cadena del proveedor de servicios y de la verificación raíz
El elemento PS DEBE validar la cadena vinculada de certificados del proveedor de servicios. El
primer certificado de la cadena no suele incluirse explícitamente en la cadena de certificados que se
envía por el cable. En los casos en que el certificado CA raíz del proveedor de servicios se incluye
explícitamente por el cable, DEBE ser conocido a la parte verificante antes de la verificación de
este certificado. El certificado CA raíz del proveedor de servicios NO DEBE contener
modificaciones del certificado con la posible excepción del número de serie del certificado, su
periodo de validez y el valor de la firma. Si hay modificaciones distintas del número de serie del
certificado, del periodo de validez y del valor de la firma, en el certificado CA raíz del proveedor de
servicios transmitido por el cable con respecto al certificado CA raíz del proveedor de servicios
conocido, el elemento PS que hace la comparación DEBE dar por fallida la verificación del
certificado.
11.3.2.4 Revocación de certificados
La revocación de certificados queda en estudio.
11.3.3 Mensajería de gestión segura
El algoritmo de seguridad utilizado para inicializar la mensajería de gestión SNMP depende del
modo de configuración del elemento PS (véase 5.5). Hay dos tipos de modo de configuración: el
modo de configuración DHCP y el modo de configuración SNMP. El modo de configuración
DHCP tiene submodos adicionales que identifican si está configurado para el modo NmAccess o
para el modo de coexistencia. El modo de configuración SNMP requiere SNMPv3 para la
mensajería de gestión.
Las subcláusulas siguientes describen los algoritmos de seguridad y requisitos necesarios para
inicializar la mensajería de gestión SNMP en base al modo de configuración del elemento PS. El
elemento PS DEBE soportar los algoritmos de seguridad SNMPv3 especificados en 11.3.3.1.2
y 11.3.3.2.
11.3.3.1 Algoritmos de seguridad para SNMP en el modo de configuración DHCP
El modo de configuración DHCP, el elemento PS puede configurarse para el modo NmAccess o
para el modo de coexistencia. En el modo de coexistencia el elemento PS puede configurarse para
la mensajería de gestión SNMPv1, SNMPv2 y/o SNMPv3.
134
Rec. UIT-T J.191 (03/2004)
Publicidad
Tabla de contenido
