• Autenticación de entidad par. Este servicio corrobora la fuente de una unidad de datos. La autenticación puede ser sólo de la entidad origen o de la entidad destino, o ambas entidades se pueden autenticar la una o la otra.
• Control de acceso. Este servicio se utiliza para evitar el uso no autorizado de recursos.
• Confidencialidad de datos. Este servicio proporciona protección contra la revelación deliberada o accidental de los datos en una comunicación.
• Integridad de datos. Este servicio garantiza que los datos recibidos por el receptor de una comunicación coinciden con los enviados por el emisor.
• No repudio. Este servicio proporciona la prueba ante una tercera parte de que cada una de las entidades comunicantes han participado en una comunicación. Puede ser de dos tipos:
• Con prueba de origen. Cuando el destinatario tiene prueba del origen de los datos.
• Con prueba de entrega. Cuando el origen tiene prueba de la entrega íntegra de los datos al destinatario deseado.

• Cifrado. El cifrado puede hacerse utilizando sistemas criptográficos simétricos o asimétricos y se puede aplicar extremo a extremo o individualmente a cada enlace del sistema de comunicaciones.

El mecanismo de cifrado soporta el servicio de confidencialidad de datos al tiempo que actúa como complemen to de otros mecanismos de seguridad.

• Firma digital. Se puede definir la firma digital como el conjunto de datos que se añaden a una unidad de datos para protegerlos contra la falsificación, permitiendo al receptor probar la fuente y la integridad de los mismos. La firma digital supone el cifrado, con una componente secreta del firmante, de la unidad de datos y la elaboración de un valor de control criptográfico.

 La firma digital descrita por ITU y OSI en el Entorno de Autenticación del Directorio utiliza un esquema criptográfico asimétrico. La firma consiste en una cadena que contiene el resultado de cifrar con RSA aplicando la clave privada del firmante, una versión comprimida, mediante una función hash unidireccional y libre de colisiones, del texto a firmar.

 Para verificar la firma, el receptor descifra la firma con la clave pública del emisor, comprime con la función hash al texto original recibido y compara el resultado de la parte descifrada con la parte comprimida, si ambas coinciden el emisor tiene garantía de que el texto no ha sido modificado. Como el emisor utiliza su clave secreta para cifrar la parte comprimida del mensaje, puede probarse ante una tercera parte, que la firma sólo ha podido ser generada por el usuario que guarda la componente secreta.
 

El mecanismo de firma digital soporta los servicios de integridad de datos, autenticación de origen y no repudio con prueba de origen. Para proporcionar el servicio de no repudio con prueba de entrega es necesario forzar al receptor a enviar al emisor un recibo firmado digitalmente.

• Control de acceso. Este mecanismo se utiliza para autenticar las capacidades de una entidad, con el fin de asegurar los derechos de accesoa recursos que posee. El control de acceso se puede realizar en el origen o en un punto intermedio, y se encarga de asegurar si el enviante está autorizado a comunicar con el receptor y/o a usar los recursos de comunicación requeridos. Si una entidad intenta acceder a un recurso no autorizado, o intenta el acceso de forma impropia a un recurso autorizado, entonces la función de control de acceso rechazará el intento, al tiempo que puede informar del incidente, con el propósito de generar una alarma y/o registrarlo.

 El mecanismo de control de acceso soporta el servicio de control de acceso.

• Integridad de datos. Es necesario diferenciar entre la integridad de una unidad de datos y la integridad de una secuencia de unidades de datos ya que se utilizan distintos modelos de mecanismos de seguridad para proporcionar ambos servicios de integridad.

 Para proporcionar la integridad de una unidad de datos la entidad emisora añade a la unidad de datos una cantidad que se calcula en función de los datos. Esta cantidad, probablemente encriptada con técnicas simétricas o asimétricas, puede ser una infomración suplementaria compuesta por un código de control de bloque, o un valor de control criptográfico. La entidad receptora genera la misma cantidad a partir del texto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión.

 Para proporcionar integridad a una secuencia de unidades de datos se requiere, adicionalmente, alguna forma de ordenación explícita, tal como la numeración de secuencia, un sello de tiempo o un encadenamiento criptográfico.

 El mecanismo de integridad de datos soporta el servicio de integridad de datos.

• Intercambio de autentificación. Existen dos grados en el mecanismo de autenticación:

 

• Autentificación simple. El emisor envía su nombre distintivo y una contraseña al receptor, el cual los comprueba.
• Autentificación fuerte. Utiliza las propiedades de los criptosistemas de clave pública. Cada usuario se identifica por un nombre distintivo y por su clave secreta. Cuando un segundo usuario desea comprobar la autenticidad de su interlocutor deberá comprobar que éste está en posesión de su clave secreta, para lo cual deberá obtener su clave pública.

 Un certificado es un documento firmado por una Autoridad de Certificación, válido dunte el período de tiempo indicado, que asocia una clave pública a un usuario.
 

El mecanismo de intercambio de autenticación se utiliza para soportar el servicio de autenticación de entidad par.