Hacia una PKI mejorada para Comercio Electrónico Móvil *

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Hacia una PKI mejorada para Comercio Electrónico Móvil *"

Transcripción

1 Hacia una PKI mejorada para Comercio Electrónico Móvil * Xisca Hinarejos 1, Jordi Forné 1, Florina Almenarez 2, Andrés Marín 2, Mildrey Carbonell 3, José A. Montenegro 3 1 Dpt. Ingeniería Telemática, Universitat Politècnica de Catalunya 2 Dpt. Ingeniería Telemática, Universidad Carlos III de Madrid 3 Dpt. Lenguajes y Ciencias Computación, Universidad de Málaga Resumen La proliferación de dispositivos móviles extiende las posibilidades de nuevos modelos de negocio. Este artículo trata los aspectos de seguridad relacionados con dichos modelos, identificando los retos más importantes que surgen a partir de la heterogeneidad de las redes involucradas (Wifi, UMTS, Bluetooth, etc.), y de la presencia de usuarios nómadas y dispositivos limitados, que fomentan entornos muy dinámicos. PKI, como solución de seguridad, presenta algunas desventajas en cuanto a: escalabilidad, modelo estático de confianza, costos administrativos altos, y la necesidad de acuerdos globales. Además, PKI no es adecuado para proporcionar servicios de autorización y carece de capacidades de delegación. Por lo tanto, este artículo presenta el diseño de una PKI mejorada tanto para autenticación como para autorización, que supera las desventajas de PKI; centrándose en entornos desconectados, ya que imponen los requisitos de seguridad más rigurosos. 1. Introducción La popularidad de los dispositivos móviles incrementa cada día, permitiendo nuevos modelos de negocio, como el comercio electrónico móvil. De este modo, las transacciones comerciales se extienden a un mayor número de mercados y explotan distintas formas de interacción entre proveedores y clientes. Dichos modelos involucran múltiples tecnologías de red (Wifi, UMTS, Bluetooth, etc.), lo cual impone diversos retos para las soluciones de seguridad, ya que además de las típicas transacciones hechas por los clientes desde localizaciones fijas al proveedor, se añaden transacciones más dinámicas, hechas por o entre clientes * Este trabajo ha sido parcialmente financiado por la Comisión Europea ubicado dentro del 6 o Programa Marco, con cargo al proyecto UBISEC (IST-STREP ). [1]

2 móviles independientemente de la localización, el tiempo, el dispositivo y la red subyacente. Esto forma parte de los entornos de computación ubicua. Infraestructuras de clave pública (PKIs, Public Key Infrastructures) y certificados X.509 [2] [3] son los estándares utilizados hoy día para proporcionar seguridad en comercio electrónico. Dichos estándares son apoyados por un número creciente de herramientas de gestión y de usuario final, siendo la razón de su éxito sobre otras iniciativas como SPKI, etc. No obstante, PKI tiene problemas de escalabilidad, autorización y un modelo de confianza estático y restringido. Problemas de escalabilidad tanto con el número de usuarios como con el número de certificados emitidos. Además de autenticación, PKI fue originalmente propuesta para permitir autorización, usando extensiones en los certificados para expresar privilegios. La naturaleza dinámica de los privilegios demanda, con cierta frecuencia, la concesión y denegación de permisos, de modo que los problemas de escalabilidad se acentúan cuando un número creciente de certificados tienen que ser emitidos y luego revocados cuando los permisos dejan de ser necesarios o concedidos. El modelo de confianza es estático y restringido, ya que la confianza se basa en terceras partes fiables (TTPs, Trusted Third Parties), llamadas autoridades de certificación (CAs, Certificate Authorities), que forman una estricta jerarquía donde la confianza fluye desde la raíz hasta las hojas. Los certificados denotan relaciones de confianza directas para los propósitos expresados en las políticas de los certificados y de la CA emisora. Pero, este modelo deja de ser adecuado en redes P2P (peer-to-peer), ad hoc, y situaciones donde no hay un administrador disponible ni una CA alcanzable. Es así como, distintos modelos de confianza son propuestos, por ejemplo, distribuidos (como PGP [4]) para tratar el problema de escalabilidad. Infraestructuras de gestión de privilegios (PMIs, Privilege Managament Infrastructures) y certificados de atributo (ACs, Attribute Certificates) [3] surgen como la alternativa más prometedora para solucionar los problemas de escalabilidad para autorización en PKI. PMI ofrece, además, delegación de derechos, lo cual está claramente fuera del alcance de PKI. Sin embargo, no existe un modelo de confianza estándar que sea dinámico, distribuido y que automatice, tanto como sea posible, las relaciones entre CAs. En este artículo, se presenta una infraestructura de clave pública que proporciona servicios de autenticación y autorización en entornos de comercio electrónico móvil, es decir, transacciones comerciales que involucran dispositivos móviles. Teniendo en cuenta que las redes involucradas pueden ser redes con infraestructura o sin ella, se establece la diferencia entre dos modos de ejecución: modo conectado y modo desconectado. En el modo conectado los servidores TTP en línea están disponibles, por lo tanto, para validar las credenciales de los usuarios se realizan los procesos habituales. Por el contrario, en modo desconectado, la información necesaria para la validación de credenciales no está disponible. Por tal motivo, se utiliza la interacción entre distintas soluciones: un verificador de privilegios adaptado para servicios de autorización, un cliente PMI para dispositivos limitados, un nuevo modelo de confianza dinámico y distribui-

3 do para servicios de autenticación y un mecanismo ligero y distribuido para obtener información sobre la revocación de certificados. La sección 2 referencia los trabajos relacionados de seguridad en comercio electrónico móvil y redes ad hoc. Luego, la sección 3 identifica los requisitos de la PKI mejorada (epki, enhanced PKI ). El diseño de dicha PKI es explicado en la sección 4 y los módulos necesarios incluida su interrelación son descritos en la sección 5. Finalmente, la sección 6 contiene las conclusiones. 2. Trabajos Relacionados Los trabajos relacionados han sido clasificados en dos vertientes: por un lado, las especificaciones realizadas por las empresas para comercio electrónico móvil, y por otro lado, las propuestas de investigación enfocadas en proporcionar servicios de autenticación y autorización en redes ad hoc. Diversos consorcios han surgido con el fin de estandarizar soluciones de seguridad para comercio electrónico móvil, asumiendo escenarios donde los dispositivos móviles actúan únicamente como clientes y siempre tienen conectividad global [5]. El resumen de las especificaciones es mostrado en el cuadro 1. Solución Entidades Propósito SIM Application SAT es un estándar del ETSI Toolkit (SAT) (European Telecommunications Forum (1996) Standard Institute): GSM transacciones. Radicchio (1999) EDS, Ericsson, Gemplus, MTN, Giesecke & Devrient, Smarttrust, Vodafone Desarrollar servicios de valor añadido y de comercio móvil usando teléfonos GSM para hacer las Definir una plataforma de seguridad estándar usando WPKI (Wireless PKI ): Java y WIMs (Wireless Identity Modules). Mobile Electronic Ericsson, Motorola Nokia, Desarrollar un marco común para comercio electrónico Transactions (MET) Siemens, Panasonic móvil. (2000) Mobey Forum Instituciones financieras y fabricantes Desarrollar servicios financieros inalámbricos en (2000) de dispositivos móviles. línea. Mobile 3D Secure(2001) Visa International Asegurar los pagos hechos con teléfonos móviles usando una tarjeta Visa. Open Mobile Alliance Más de 300 compañías: oper- Tratar aspectos de gestión de derechos digitales (OMA) adores móviles, suministradores (DRM) y otros aspectos de comercio móvil, con (2002) de dispositivos, compañías de TI, el fin de facilitar la adopción global de servicios y proveedores de contenido. de datos móviles. Mobile Electronic 25 compañías: HP, Siemens, Desarrollar una infraestructura de aplicaciones Signature (MEST) Mannesman, Cable & Wireless universal y segura capaz de utilizar firmas digitales HKT, Mitsubishi, etc. móviles. Simpay (2004) Orange, Telefónica Móviles, T- Ofrecer el servicio de pagos seguros a través de Mobile, Vodafone teléfonos móviles de bajo costo. Mobile Content Intel, Nokia, Panasonic, mm02, Permitir la entrega de contenido digital de alta Rights Management RealNetworks, Samsung, Warner calidad a dispositivos móviles: Content Management (2004) Bros Studios License Administrator (CMLA) Frame- work. Trusted Mobile Platform (2004) NTT DoCoMo, Intel Corporation, IBM Permitir servicios más seguros de comercio móvil como tickets y billeteras (e-wallets) electrónicas. Proteger a los dispositivos contra virus u otro software maligno. Cuadro 1. Soluciones de Seguridad para Comercio Móvil

4 La segunda parte de los trabajos relacionados, como se mencionó previamente, incluye propuestas de investigación para proporcionar servicios de autenticación y autorización en redes ad hoc. Dichas propuestas pueden ser agrupadas en dos categorías para autenticación: 1) [6] [7] proponen compartir la clave privada del servicio entre todos o un subconjunto de los nodos que forman la red. Este tipo de solución está basado en Criptografía Umbral (del inglés, Threshold Cryptography [8]); y 2) [9] [10] proponen hacer una red fiable entre diferentes nodos similar a PGP, donde los certificados son emitidos, almacenados y distribuidos por los mismos usuarios, de modo que éstos construyen los caminos de confianza. Para autorización, no hay una propuesta específica, pero existen algunas propuestas para redes ad hoc y dispositivos móviles que incluyen este servicio, como son: 1) [11] especifica un grupo de políticas de autorización de acuerdo con los roles de los usuarios (por ejemplo, premio, normal, etc.); y 2) En [12] se propone mantener un certificado de políticas válido y un módulo de control que asegure el cumplimiento de las políticas sobre cada usuario del dispositivo. Como podemos notar, los trabajos que se acaban de mencionar no garantizan ambos servicios, autenticación y autorización para aplicaciones P2P. Además, estas soluciones no integran entornos en modo conectado y desconectado, considerando la movilidad del usuario. 3. Requisitos El principal objetivo de la PKI mejorada (epki) es proporcionar una infraestructura de autenticación y autorización para comercio móvil (sistemas ubicuos). La idea es concentrar todos los esfuerzos en adaptar los servicios tradicionales de la PKI para ser utilizados en los escenarios de computación ubicua y únicamente desarrollar nuevos servicios de PKI cuando sea necesario. Las características más importantes de los sistemas ubicuos que afectan al diseño de la PKI son: 1. Heterogeneidad. El acceso ubicuo permite a los usuarios establecer comunicaciones en cualquier momento y en cualquier lugar. Se pueden utilizar diferentes tipos de redes, topologías y tecnologías: Wifi, UMTS, Bluetooth, etc. Esta heterogeneidad implica la existencia de dominios de confianza que puedan encontrarse desconectados, cada uno aplicando sus propios mecanismos y políticas para llevar a cabo la autenticación y/o autorización de entidades. 2. Movilidad. La ITU-T define movilidad nómada como la habilidad de un usuario/terminal para cambiar de punto de acceso a la red a medida que se mueve mientras la sesión del servicio finaliza y se inicia de nuevo. La epki tiene que proporcionar servicios para facilitar la movilidad nómada de los usuarios. 3. Desconexión temporal de los servicios. Cuando los usuarios se mueven a través de diferentes redes, la conectividad global se puede perder y algunos servicios pueden estar no disponibles temporalmente. Esta situación tiene

5 un fuerte efecto en algunos de los servicios de la PKI, tales como la verificación del estado de revocación de los certificados y el procedimiento de descubrimiento de cadenas de certificados. La adaptación de las características arriba mencionadas, trata directamente con los requisitos siguientes para la epki: 1. La autenticación y la autorización se deben basar en certificados digitales. Mecanismos basados en PKI son adecuados para autenticación en dominios de confianza heterogéneos, al mismo tiempo que facilita la movilidad y la desconexión temporal de servicios en el sentido de que los usuarios transportan sus propias credenciales para poder autenticarse con independencia del momento y de su localización. Del mismo modo, se requieren mecanismos de autorización basados en credenciales, como pueda ser la utilización de una PMI que permita el uso de políticas de autorización descentralizadas más escalables (ver sección 4). 2. Diseño de un modelo de confianza adecuado para poblaciones dinámicas en modo desconectado. El procesamiento de caminos de certificación no se puede garantizar cuando se trabaja en modo desconectado, de hecho, usuarios desconocidos, probablemente certificados por diferentes CAs que pueden no ser reconocidas directamente por los usuarios, podrían querer interactuar. Por lo tanto, es necesario un nuevo modelo de confianza donde se contemple el caso en el que un certificado no pueda ser verificado o no se puedan establecer nuevas relaciones de confianza, por medio de mecanismos PKI tradicionales. Para estas situaciones, se crea un modelo de confianza ubicuo (ver sección 5.2.1). 3. Diseño de un mecanismo de verificación del estado de los certificados adecuado para modo desconectado. Protocolos tradicionales para la verificación del estado de los certificados no son adecuados para modo desconectado o para dispositivos limitados de usuario. Sistemas de revocación de certificados basados en árboles de Merkle (MHT, Merkle Hash Trees) pueden ser una solución aceptable para estos escenarios, como se expone en la sección Diseño de la epki En esta sección se presenta la infraestructura para la epki, un sistema para autenticación y autorización en redes ubicuas que cumple con los requisitos de seguridad descritos en la sección 3. La infraestructura representada en la figura 1 se puede dividir en dos partes: 1) la infraestructura ofreciendo los servicios de seguridad (bloques PKI y PMI) y 2) los clientes de la epki (bloques Usuario y Gestor de Recursos). A continuación se describen brevemente los componentes de la epki mencionados centrándonos en el funcionamiento en modo conectado. En el aparatado 5 se describirá con mayor detalle su funcinamiento en modo desconectado, siendo éste nuestra mayor aportación.

6 4.1. Infraestructura de la PKI Para la autenticación de las entidades en modo conectado se utiliza una PKI. Como es una infraestructura bastante extendida y uno de nuestros objetivos es centrarnos en el diseño de nuevas funcionalidades, se ha elegido la utilización de un software de código abierto para proporcionar las funcionalidades básicas de la PKI. OpenCA [13] permite proporcionar, principalmente, los servicios de: expedición, revocación y publicación tanto de certificados de clave pública como de información de revocación de los mismos. La solución para llevar acabo los servicios de autenticación en modo desconectado se explican en la sección 5. Figura 1. Infraestructura de la epki 4.2. Infraestructura de la PMI Para el servicio de autorización se utiliza una PMI basada en certificados de atributo X.509. La ITU-T define PMI como la infraestructura capaz de soportar la gestión de privilegios como soporte de un servicio de autorización y en relación con una Infraestructura de Clave Pública [3]. En la PMI se define un nuevo tipo de certificados, los certificados de atributo (AC-Attribute Certificate), que a diferencia de los certificados de clave pública, los cuales enlazan una clave pública a una identidad, los AC enlazan atributos (privilegios, rol, etc) a entidades. La infraestructura de la PMI se divide en cuatro componentes principales: Los usuarios, los cuales solicitan servicios al resto de componentes. Principalmente solicitan la expedición y revocación de certificados de atributo. La Autoridad de Atributos (AA-Attribute Authority /SoA-Source of Authority) es la entidad encargada de delegar/conceder privilegios a usuarios, o a otras AA, mediante la expedición de certificados de atributo.

7 El Gestor de Recursos es responsable de la validación de los atributos de un usuario (privilegios, rol, etc.), los cuales son transportados en certificados de atributo. Este componente consta principalmente de un elemento, el Verificador de Privilegios (PV) el cual gestiona el proceso completo de validación de los certificados de atributo de los usuarios. Los repositorios almacenan información, como: certificados de atributo expedidos, información de revocación, políticas, etc. Los servicios básicos de la PMI para modo conectado se proporcionan fácilmente, ya que tanto los usuarios como el Gestor de Recursos pueden conectarse a la AA y a los repositorios para acceder a los servicios ofrecidos. Sin embargo, el Gestor de Recursos debe ser adaptado para trabajar en modo desconectado, ya que el acceso a información, como pueda ser la revocación de un AC puede no estar disponible Clientes de la epki Definimos como cliente de la epki a cualquier entidad que requiere acceder a los servicios tanto de autenticación como de autorización. En nuestra infraestructura diferenciamos dos tipos de clientes: 1) aquellos incorporados en los dispositivos de los usuarios, que realizan, principalmente, peticiones de expedición y revocación de certificados a la epki; y 2) El Gestor de Recursos que se encarga de controlar el acceso de los usuarios a los recursos de la red, en base a los atributos contenidos en el AC del usuario. En modo desconectado esta diferenciación podría no existir, ya que algunos usuarios podrían actuar tanto como entidades solicitando servicios como servidores proporcionando los servicios. Esta situación implica que un usuario en determinados momentos podría ofrecer determinados servicios, lo que conllevaría la validación de las credenciales (PKC y/o AC) de otro usuario, realizando funciones de Gestor de Recursos, como se explica en la sección Soporte para autenticación y autorización en dispositivos de usuario para modo desconectado Tal como refleja la sección 3, ciertos servicios de la epki pueden estar temporalmente no disponibles por falta de conexión. La colaboración entre PTM y el PV permite que la PMI pueda trabajar, en determinados casos, en modo desconectado. En estas situaciones, PTM proporciona el servicio de verificación de la identidad del usuario utilizando certificados de clave pública (PKCs), mientras PV proporciona el servicio de verificación de privilegios del usuario contenidos en certificados de atributo Hipótesis de partida Para el diseño en modo desconectado se realizan las siguientes hipótesis:

8 Los certificados de clave pública del usuario se han expedido con anterioridad a la entrada del usuario en modo desconectado; es decir, los certificados de clave pública no se expiden sin la intervención de la CA en línea. Por otra parte, los certificados de atributo pueden ser expedidos por otros usuarios, de esta forma una entidad puede delegar todos o parte de sus privilegios a otra entidad sin la intervención de una AA centralizada. El usuario es responsable de presentar sus certificados de clave pública. El usuario es responsable de presentar los certificados de atributo que forman la cadena de delegación. Si no existe delegación, la cadena está formada por dos ACs, el AC del usuario y el AC de la SoA. En este caso, el PV debe confiar en la SoA. Las dos últimas hipótesis evitan tener que llevar a cabo el procedimiento del descubrimiento de cadenas de certificados. Aunque existen soluciones para llevar acabo este proceso en escenarios desconectados, este punto está fuera del alcance de este artículo Arquitectura Figura 2. Arquitectura de autenticación y autorización para dispositivos de usuario La figura 2 representa los módulos que componen la arquitectura de autenticación y autorización para dispositivos de usuario. Se pueden diferenciar cinco componentes principales: el componente PTM, el Verificador Privilegios, el Motor Control de Acceso, el Cliente PMI y el Cliente para la Verificación del Estado de Revocación. En el resto de esta sección se describen cada uno de los componentes que forman la arquitectura PTM, un modelo de confianza ubicuo. PTM define un modelo de confianza distribuido similar a PGP, donde los usuarios pueden ser sus propias

9 CAs, formando dominios de confianza con sus dispositivos. Las relaciones de confianza entre usuarios se establecen de igual-a-igual. Los dispositivos actúan en representación de los usuarios (entidades físicas) y cada uno posee su propia pareja de claves, una lista protegida de entidades fiables y no fiables, su grado de confianza, su comportamiento, y sus PKCs. Además, si un usuario posee certificados emitidos por CAs previamente configuradas por el fabricante, dicha relación sería utilizada para autenticar al usuario. Para validar el certificado se utiliza el protocolo AD MHT (sección 5.2.5). No obstante, PTM no depende de la existencia de relaciones previamente establecidas, ya que un dispositivo podría establecer sus propias relaciones de confianza de manera ad hoc. La relación de confianza es expresada como una función continua entre 0 y 1, siendo los valores extremos de total desconfianza y total confianza, respectivamente; además, se incluyen estados intermedios. La lógica difusa nos permite mayor granularidad que la lógica boleana utilizada por PKI. Dichas relaciones pueden ser establecidas de manera directa o indirecta. En el primer caso, un usuario confía en otro sin intervención de TTPs; para ello, utiliza una máquina de inferencia que le permita interpretar las reglas establecidas en función del contexto de seguridad, el nivel de seguridad (Context Provider) y la sensibilidad de los recursos en riesgo. En el segundo caso, se requiere de la intervención de TTPs para emitir recomendaciones. Las recomendaciones pueden ser dadas en línea usando un protocolo de recomendación ubicuo (PRP, Pervasive Recommendation Protocol) entre entidades cercanas o usando directamente PKCs [14]. El valor de confianza se obtiene haciendo un promedio de todas las recomendaciones pesado con el valor de confianza del recomendador [14][15]. Este valor final de confianza representa nuestra opinión acerca de otro usuario, similar al modelo de Josang, el cual define dos espacios: creencia y evidencia. La evidencia sirve como retroalimentación para las creencias (opiniones) [16]. Sin embargo, nuestra opinión no es estática, ya que ésta podría cambiar a lo largo del tiempo de acuerdo con el comportamiento, proporcionándonos una retroalimentación sobre el desempeño del usuario durante la interacción. Cada interacción es considerada una evidencia, la cual es medida por las acciones ejecutadas (Action Monitoring). Así, cuando una nueva acción es ejecutada, el valor de confianza es recalculado, se toma como base el valor de confianza actual y se incrementa o decrementa de acuerdo con el valor de la acción. El valor de acción, a su vez, es multiplicado por un factor de severidad. La información de confianza y el almacen de certificados permite al Authentication Service (AS) autenticar usuarios tanto poseedores de privilegios como emisores de ACs. El AS se basa en el Trust Manager para extender sus funcionalidades y poder obtener certificados e información de confianza de forma automática. El almacen de certificados y claves puede ser el sistema de ficheros del propio dispositivo o una tarjeta inteligente, para ello utilizamos Java Card Certificate Management (JCCM) [17]. JCCM emplea tarjetas java cards como un token de seguridad para almacenar objetos PKCS#11.

10 Un verificador de privilegios adaptado. El verificador de privilegios (PV, Privilege Verifier) es el componente que se encarga de la verificación de los certificados de atributo, los cuales son presentados por los usuarios cuando solicitan acceso a los recursos. En modo conectado el PV ofrece los servicios de: a) validación de certificados de clave pública, o su delegación a un servidor de validación de cadenas de certificación, b) validación de privilegios de usuario, y c) toma de decisión de acceso a los recursos basada en ACs, políticas y variables de entorno. En modo desconectado el verificador de privilegios modifica su funcionamiento, ya que no se puede acceder a los servidores en línea de las autoridades de certificación. Los tres procesos críticos son: 1) el descubrimiento de caminos de delegación, es decir, obtener todos los certificados de atributo desde el AC del usuario al AC de la fuente de Autoridad (SoA); 2) la validación de la autenticación de entidades, como se ha explicado en la sección 3; y 3) la validación del estado de revocación tanto de PKCs como de ACs. Por lo tanto, para la validación de atributos o privilegios se realizan los siguientes pasos: El usuario proporciona los ACs necesarios para construir el camino de delegación, como se especifica en las hipótesis de partida (ver sección 5.1). La validación de certificados de clave pública se delega al componente PTM. Si existen PKCs válidos, el resultado de la autenticación es un valor booleano (0 - autenticación negativa del usuario, o 1 -autenticación positiva del usuario). En otro caso, el resultado es un nivel de confianza (grado de confianza asignado a la entidad) calculada por PTM (ver sección 5.2.1). Para validar los privilegios del usuario (módulo Credential Validation) en base a las políticas (módulo Policies Validation) y variables de entorno, el componente PV utiliza la información proporcionada por: a) el usuario; b) el módulo Localizer, el cual se encarga de obtener y gestionar la información local necesaria para el funcionamiento del PV; c) PTM, como se ha explicado en el punto anterior; y d) el RSCC (Cliente para Verificación del Estado de Revocación). Existen dos modelos diferentes para la validación del estado de revocación para ACs: 1) la validación utilizando la información de revocación proporcionada por el RSCC; o 2) no-validación, en el caso de que el periodo de validación se considere suficientemente corto para que la revocación se considere innecesaria. Finalmente, la decisión de acceso la toma un módulo común en la arquitectura, el ACE (Motor Control Acceso). Para ello, el ACE invoca al PV para obtener los privilegios certificados contenidos en el AC del usuario Motor de Control de Acceso (ACE). El ACE es el responsable de la toma de decisiones de control de acceso a los recursos, y cuya arquitectura está basada en XACML [18]. ACE invoca a la PTM para autentificar a los usuarios que solicitan el acceso, e invoca a PV para obtener los privilegios contenidos en el AC. Con esta información, ACE leerá previamente las políticas de control de acceso y establecerá las decisiones de acceso.

11 Cliente PMI. La sección 4.2 describe la AA como una de las entidades integrantes en la PMI. Esta entidad es la encargada de las tareas de administración de certificados de atributo. La principal tarea del cliente de PMI es proporcionar los certificados de atributo, por tanto el cliente tiene que realizar conexiones con la AA para la solicitud de ACs. Estas conexiones son realizadas cuando el sistema se encuentra en modo conectado. Acto seguido, el PTM y el PV podrán usar estos certificados para realizar las correspondientes tareas de autorización. Nuestro prototipo de PMI incluye un servidor AA que espera conexiones seguras mediante SSL y Cliente Visual AA en las funcionalidades para la petición/revocación de los certificados de atributos y la configuración de la AA. La versión inicial del prototipo exigió nuevas soluciones para establecer conexiones con la AA, que tuviera en cuenta las pesquisas de las redes ubicuas. La solución propuesta es una librería implementada en JAVA que puede incluirse fácilmente y de manera natural a los restantes elementos del sistema. La figura 3 muestra la arquitectura de la PMI, y como posibilita que los dispositivos con recursos limitados puedan acceder a la funcionalidad de la PMI. Figura 3. Flujo de Interacción de los componentes de la PMI El cliente PMI La librería cliente tiene como funciones principales: Establecer una conexión con la AA utilizando un puerto determinado P y una conexión SSL. Solicitud de Certificados de Atributo para obtener información del certificado. Obtener información de configuración sobre los atributos y extensiones disponibles. Obtener Certificados de Atributo de LDAP. El interfaz debido a su facilidad de uso, se convierte en un elemento que permite a los dispositivos con recursos limitados ser clientes de la PMI. Por ejemplo, cualquier dispositivo puede conectarse a un servidor LDAP para obtener los certificados de atributo utilizando la librería como elemento intermediario.

12 Cliente para la Verificación del Estado de Revocación. Se puede definir revocación de certificados como los mecanismos bajo los cuales una autoridad puede invalidar el enlace entre una identidad y una clave pública antes de la expiración del certificado que mantiene dicha relación. De este modo, la PKI necesita proporcionar a sus usuarios finales la capacidad de chequear si un certificado es todavía válido (no revocado), en el instante de utilización del mismo. Esta característica es comúnmente conocida en la PKI como status checking. Entre los mecanismos de revocación estandarizados se encuentran la CRL [2] y OCSP [13]. Una CRL es una lista digitalmente firmada que contiene una lista de los certificados revocados. La CRL puede ser publicada en un directorio de acceso público, de manera que sea accesible a los usuarios, los cuales deben bajar la lista completa y verificar la firma de manera local. Debido a que el tamaño de la CRL puede ser bastante elevado, el almacenamiento y el procesado de la CRL puede ser problemático para dispositivos limitados. Por otra parte, el protocolo OCSP se basa en una evidencia criptográfica representando el estado de los datos. Esta evidencia es generada en línea por el OCSP responder, el cual debe ser una TTP. En modo desconectado, no se puede garantizar que la TTP se encuentre accesible en línea y, por lo tanto, ni OCSP ni CRL son soluciones adecuadas para la verificación del estado de los certificados. Los sistemas de revocación de certificados basados en árboles de Merkle son una solución equilibrada para evitar la necesidad de la existencia de terceras partes de confianza en línea, y reducir el volumen de información a ser gestionada por los dispositivos del usuario. El protocolo AD MHT [19] ha sido seleccionado como protocolo para la verificación del estado de los certificados en modo desconectado, tanto para la PKI como para la PMI. 6. Conclusiones En este artículo se ha presentado la infraestructura de una PKI mejorada (epki) para entornos de computación ubicua móvil. Esta infraestructura permite la validación de credenciales de usuario en redes heterogéneas donde se puede perder la conectividad global, por lo que algunos de los servicios pueden ser no accesibles temporalmente. Además, la infraestructura permite movilidad nómada. La epki proporciona una infraestructura de autenticación y autorización para los usuarios móviles interviniendo en transacciones comerciales y otras aplicaciones. Para llevarlo a cabo, se utiliza la combinación de los servicios ofrecidos por la PKI tradicional y los nuevos servicios de la PMI. La naturaleza de los certificados de atributo junto con el modelo PTM permite la validación de credenciales de usuario en modo desconectado. Por lo tanto, se consigue llevar a cabo servicios tanto de autenticación como de autorización en algunos escenarios en los que antes no era posible.

13 Referencias 1. UBISEC: Ubiquitous networks with a secure provision of services, access, and content delivery (2004) 2. PKIX: Public-key infrastructure (X.509) (1999) 3. ITU-T Recommendation X.509: Information technology - open systems interconnection - the directory: Public key and attribute certificate frameworks (2000) 4. Zimmermann, P.: The Official PGP User s Guide. MIT Press, Cambridge, MA, USA (95) 5. Cellular Online: Mobile commerce (m-commerce) (2005) 6. Kong, J., Zerfos, P., Luo, H., Lu, S., Zhang, L.: Providing robust and ubiquitous security support for MANET. In: 9th IEEE International Conference on Network Protocols (ICNP). (2001) 7. Zhou, L., Haas, Z.: Securing ad hoc networks. IEEE Network Magazine 13 (1999) Desmedt, Y., Frankel, Y.: Threshold cryptosystems - advances in cryptology (Crypto 89). In G. Brassard, Ed., S.V., ed.: 9th Annual International Cryptology Conference. Volume 435. (1989) Capkun, S., Buttyan, L., Hubaux, J.P.: Self-organized public-key management for mobile ad hoc networks. IEEE Transactions on Mobile Computing 2 (2003) 10. Hubaux, J., Buttyan, L., Capkun, S.: The quest for security in mobile ad-hoc networks. In: ACM Symposium on Mobile Ad Hoc Networking and Computing (MobiHOC 2001). (2001) 11. Loong, S., Lupu, E., Sloman, M.: PEACE: A policy-based establishment of ad-hoc communities. In: Computer Security Applications Conference. (2004) 12. Jansen, W., Karygiannis, T., Gravila, S., Korolev, V.: Assigning and enforcing security policies on handheld devices. In: Canadian Information Technology Security Symposium. (2002) 13. OpenCA Labs: OpenCA: Research & development labs (1998) 14. Almenárez, F., Marín, A., Campo, C., Rubio, C.G.: Ptm: A pervasive trust management model for dynamic open environments. In: First Workshop on Pervasive Security, Privacy and Trust (PSPT 04) in conjunction with Mobiquitous (2004) 15. Josang, A., Daniel, M., Vannoorenberghe, P.: Strategies for combining conflicting dogmatic beliefs. In: International Conference on Information Fusion. (2003) 16. Josang, A.: An algebra for assessing trust in certification chains. In: Network and Distributed Systems Security (NDSS 99). (1999) 17. Campo, C., Marín, A., García, A., Díaz, I., Breuer, P., Delgado, C., García, C.: JCCM: Flexible certificates for smartcard with JavaCard. In: International Conference on Research in Smart Cards - E-Smart. (2001) 18. OASIS: extensible Access Control Markup Language (XACML) (2003) 19. J.L.Muñoz, J.Forné, O.Esparza, M.Soriano: Certificate revocation system implementation based on the merkle hash tree. International Journal of Information Security (IJIS) (2004)

Infraestructura para la Criptografía de Clave Pública

Infraestructura para la Criptografía de Clave Pública Infraestructura para la Criptografía de Clave Pública Juan Talavera jtalavera@cnc.una.py Criptografía de Clave Simétrica Criptografía de Clave Pública Algunos algoritmos criptográficos Clave simétrica

Más detalles

EDItran/CA z/os. Autoridad de Certificación para EDItran/CD Servicios UNIX z/os. UNIX z/os. Manual de Usuario

EDItran/CA z/os. Autoridad de Certificación para EDItran/CD Servicios UNIX z/os. UNIX z/os. Manual de Usuario EDItran/CA z/os Autoridad de Certificación para EDItran/CD Servicios UNIX z/os UNIX z/os Manual de Usuario Indra. Junio de 2009 EDItranCA_zOS_USS.doc. Indra. La información aquí contenida puede ser objeto

Más detalles

Política de confianza

Política de confianza Política de confianza Preparado para: Comité CONFIA Versión: 3 01 dic 2009 Número de referencia: P 174 INF 09 09 64 Rioja 5 1ª planta 41001 Sevilla Spain admon@yaco.es www.yaco.es T 954 500 057 F 954 500

Más detalles

REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico DGCE-EPKI-SP-001-2009

REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico DGCE-EPKI-SP-001-2009 REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico DGCE-EPKI-SP-001-2009 Por medio de la cual se establece la Guía de estándares técnicos y la información

Más detalles

ESTÁNDARES APLICABLES EN CERTIFICACIÓN ELECTRÓNICA

ESTÁNDARES APLICABLES EN CERTIFICACIÓN ELECTRÓNICA ESTÁNDARES APLICABLES EN CERTIFICACIÓN ELECTRÓNICA Las prácticas y políticas de certificación establecen un marco de estandarización de las actividades que permite la operación efectiva de la firma electrónica

Más detalles

regula el uso de las firmas electrónicas, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación.

regula el uso de las firmas electrónicas, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación. Identificación y análisis en torno a PKI: Infraestructura de clave publica y su relacion con los certificados digitales y la firma electrónica avanzada Por Javier Areitio Bertolín y Gloria Areitio Bertolín

Más detalles

Política de certificación Certification policy Certificados de sello de Administración, Órgano o Entidad de Derecho Público

Política de certificación Certification policy Certificados de sello de Administración, Órgano o Entidad de Derecho Público Signe Autoridad de Certificación Política de certificación Certification policy Certificados de sello de Administración, Órgano o Entidad de Derecho Público Versión 1.0 Fecha: 2/11/2010 Seguridad documental

Más detalles

Security mechanisms for Ad Hoc networks in urban environments

Security mechanisms for Ad Hoc networks in urban environments Security mechanisms for Ad Hoc networks in urban environments Enrique de la Hoz, Iván Marsá, Bernardo Alarcos 1 Universidad de Alcalá, Departamento de Automática 28871 Alcalá de Henares, Spain enrique@aut.uah.es,

Más detalles

Ac A t c itve v e D i D re r c e t c o t r o y r

Ac A t c itve v e D i D re r c e t c o t r o y r Active Directory Active Directory Descripción n General del servicio de directorio AD Introducción n a AD DS DNS Usuarios, equipos, grupos y unidades organizativas Administrar el acceso a recursos Políticas

Más detalles

GUÍA PARA DESARROLLADORES CON EL DNI ELECTRÓNICO

GUÍA PARA DESARROLLADORES CON EL DNI ELECTRÓNICO GUÍA PARA DESARROLLADORES CON EL DNI ELECTRÓNICO CENTRO DE RESPUESTA A INCIDENTES DE SEGURIDAD (INTECO-CERT) OCTUBRE 2007 ÍNDICE 1. INTRODUCCIÓN 3 2. DESCRIPCIÓN DEL USO DEL DNI ELECTRÓNICO 5 2.1. Establecimiento

Más detalles

Formato de Referenciamiento de Páginas Amarillas / Yellow Pages http://www.unipamplona.edu.co/kmgestiondelconocimiento/

Formato de Referenciamiento de Páginas Amarillas / Yellow Pages http://www.unipamplona.edu.co/kmgestiondelconocimiento/ Formato de Referenciamiento de Páginas Amarillas / Yellow Pages http://www.unipamplona.edu.co/kmgestiondelconocimiento/ Nombres y Apellidos Contacto (E-mail) Cargo Información General Isabel Cristina Satizábal

Más detalles

Diseño de arquitectura segura para redes inalámbricas

Diseño de arquitectura segura para redes inalámbricas Diseño de arquitectura segura para redes inalámbricas Alfredo Reino [areino@forbes-sinclair.com] La tecnología de redes inalámbricas basada en el estándar IEEE 802.11 tiene unos beneficios incuestionables

Más detalles

POLÍTICA DE CERTIFICADOS DE LA AUTORIDAD CERTIFICADORA RAÍZ DE LA SECRETARÍA DE ECONOMÍA Noviembre 2005

POLÍTICA DE CERTIFICADOS DE LA AUTORIDAD CERTIFICADORA RAÍZ DE LA SECRETARÍA DE ECONOMÍA Noviembre 2005 POLÍTICA DE CERTIFICADOS DE LA AUTORIDAD CERTIFICADORA RAÍZ DE LA SECRETARÍA DE ECONOMÍA Noviembre 2005 1. INTRODUCCIÓN La Política de Certificados, es un conjunto de reglas que indican la aplicabilidad

Más detalles

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (DPC) SELLADO DE TIEMPO DPC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A.

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (DPC) SELLADO DE TIEMPO DPC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A. DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (DPC) SELLADO DE TIEMPO DPC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A. Sellado INDICE INDICE... 1 1. MARCO LEGAL... 1.1. Base Legal... 1..

Más detalles

Autenticación mediante DNI electrónico. Alberto Sierra Fernández Natalia Miguel Álvarez

Autenticación mediante DNI electrónico. Alberto Sierra Fernández Natalia Miguel Álvarez Autenticación mediante DNI electrónico Alberto Sierra Fernández Natalia Miguel Álvarez Índice 1. Definición 2. Funcionamiento 3. Certificado de autenticación del DNIe 4. Validación del certificado: OCSP

Más detalles

Contribución para un entorno seguro de m-commerce.

Contribución para un entorno seguro de m-commerce. Contribución para un entorno seguro de m-commerce. Autor: Diego Ponce Vásquez Director: Miguel Soriano Ibáñez Departamento Ingeniería Telemática. UPC 1 Indice de la presentación Introducción y objetivos.

Más detalles

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0 Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES

Más detalles

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management INTRODUCCIÓN Oracle Identity Management, la mejor suite de soluciones para

Más detalles

Introducción a los Servicios Web. Ing. José Luis Bugarin ILUMINATIC SAC jbugarin@consultorjava.com

Introducción a los Servicios Web. Ing. José Luis Bugarin ILUMINATIC SAC jbugarin@consultorjava.com Introducción a los Servicios Web Ing. José Luis Bugarin ILUMINATIC SAC jbugarin@consultorjava.com Servicios Web y Soa En un contexto SOA y los servicios web son una oportunidad de negocios en la actualidad.

Más detalles

Autenticación Centralizada

Autenticación Centralizada Autenticación Centralizada Ing. Carlos Rojas Castro Herramientas de Gestión de Redes Introducción En el mundo actual, pero en especial las organizaciones actuales, los usuarios deben dar pruebas de quiénes

Más detalles

Int. Cl.: 74 Agente: Justo Vázquez, Jorge Miguel de

Int. Cl.: 74 Agente: Justo Vázquez, Jorge Miguel de 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 Número de publicación: 2 29 796 1 Int. Cl.: H04L 29/06 (06.01) 12 TRADUCCIÓN DE PATENTE EUROPEA T3 86 Número de solicitud europea: 04290996.0 86 Fecha

Más detalles

Universidad de las Illes Balears Guía docente

Universidad de las Illes Balears Guía docente 4, 1S, GTTT Identificación de la asignatura Créditos Período de impartición de impartición 2,4 presenciales (60 horas) 3,6 no presenciales (90 horas) 6 totales (150 horas). 4, 1S, GTTT (Campus Extens)

Más detalles

GLOSARIO 1.2G: 2-2.5G 3G: Bluetooth: Bps: Bits por Segundo CEPT (European Postal Telephone and Telegraph):

GLOSARIO 1.2G: 2-2.5G 3G: Bluetooth: Bps: Bits por Segundo CEPT (European Postal Telephone and Telegraph): GLOSARIO 1.2G: Segunda generación de la telefonía móvil. Nace en el momento en el que se empieza a utilizar la tecnología digital para las comunicaciones móviles, a través de una red GSM, en 1991. 2-2.5G:

Más detalles

Política de Validación de Certificados

Política de Validación de Certificados de Esta especificación ha sido preparada por ANF AC para liberar a terceras partes. NIVEL DE SEGURIDAD DOCUMENTO PÚBLICO Este documento es propiedad de ANF Autoridad de Certificación. Está prohibida su

Más detalles

Política de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente

Política de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente Documentos Electrónicos Firmados Digitalmente Dirección de Certificadores de Firma Digital Ministerio de Ciencia y Tecnología OID 2.16.188.1.1.1.2.1 Versión: Consulta pública 26 de Julio, 2012 Control

Más detalles

ASIR. Virtual Private Network

ASIR. Virtual Private Network ASIR Virtual Private Network Introducción: Descripción del problema La red de ASIR se trata de una red local que ofrece unos servicios determinados a los distintos usuarios, alumnos y profesores. Al tratarse

Más detalles

Sistema de Autorización Única para Plataformas Federadas de Provisión de Contenido 1

Sistema de Autorización Única para Plataformas Federadas de Provisión de Contenido 1 Sistema de Autorización Única para Plataformas Federadas de Provisión de Contenido 1 Hristo Koshutanski, Rajesh Harjani, Antonio Maña *, Ernesto J. Pérez, Marioli Montenegro Resumen {hristo,rajesh,amg,ernestopg,marioli@lcc.uma.es}

Más detalles

Propuesta de un Esquema de Gestión de Calidad de Servicios en Entornos Vehicular Cloud

Propuesta de un Esquema de Gestión de Calidad de Servicios en Entornos Vehicular Cloud Propuesta de un Esquema de Gestión de Calidad de Servicios en Entornos Vehicular Cloud Monserrat Urzúa, Juan A. Guerrero Universidad de Colima, Facultad de Telemática {sarai_urzua, antonio_guerrero}@ucol.mx

Más detalles

56. Firma digital. Certificación digital. Entidades de Certificación

56. Firma digital. Certificación digital. Entidades de Certificación 56. Firma digital. Certificación digital. Entidades de Certificación Antonio Villalón Huerta Colegiado número 00033 Resumen: En este capítulo vamos a tratar los conceptos más básicos de la firma digital

Más detalles

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Preparado por ORACLE Argentina Autores: Luis Carlos Montoya Fecha: Agosto de 2001 Luis Carlos Montoya Personal Fecha y Lugar de Nacimiento: 26 de Diciembre de 1960. Lomas de

Más detalles

Diseño e Implementación del Marco de Trabajo de Certificados de Atributos X509 como plataforma para la Delegación de Privilegios *

Diseño e Implementación del Marco de Trabajo de Certificados de Atributos X509 como plataforma para la Delegación de Privilegios * Diseño e Implementación del Marco de Trabajo de Certificados de Atributos X509 como plataforma para la Delegación de Privilegios * Javier López, José A. Montenegro, Fernando Moya Departamento de Lenguajes

Más detalles

Sistema Web con Acceso a Bases de Datos Multiplataforma a Través de Teléfonos Celulares

Sistema Web con Acceso a Bases de Datos Multiplataforma a Través de Teléfonos Celulares TELEPROCESO Y SISTEMAS DISTRIBUIDOS Sistema Web con Acceso a Bases de Datos Multiplataforma a Través de Teléfonos Celulares L I C. S E R G I O A N D R É S S O T O Guía de la Presentación Marco Conceptual

Más detalles

CLASIFICACIÓN DE LAS REDES. Por su alcance

CLASIFICACIÓN DE LAS REDES. Por su alcance Una red de ordenadores o red informática, es un conjunto de equipos informáticos conectados entre sí por medio de dispositivos físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas

Más detalles

Perfil del Certificado de Sede Electrónica del Prestador de Servicios de Certificación del Ministerio de Empleo y Seguridad Social

Perfil del Certificado de Sede Electrónica del Prestador de Servicios de Certificación del Ministerio de Empleo y Seguridad Social DE EMPLEO Y SUBSECRETARÍA S.G. TEGNOLOGÍAS DE LA INFORMACION Y COMUNICACIONES Perfil del Certificado de Sede Electrónica del Prestador de Servicios de Certificación del Ministerio de Empleo y Seguridad

Más detalles

White paper. Simplifique la gestión de los certificados SSL en toda la empresa

White paper. Simplifique la gestión de los certificados SSL en toda la empresa WHITE PAPER: SIMPLIFIQUE LA GESTIÓN DE LOS CERTIFICADOS SSL EN TODA LA EMPRESA White paper Simplifique la gestión de los certificados SSL en toda la empresa Simplifique la gestión de los certificados SSL

Más detalles

Ing. Víctor Cuchillac

Ing. Víctor Cuchillac Nota sobre la creación de este material Implementación LDAP en Windows El material ha sido tomado de archivos elaborados por Andres Holguin Coral, Mª Pilar González Férez, Información en TechNET. Yo he

Más detalles

Prestador de servicios de certificación digital Empresas Organismos Administración Pública Gobiernos

Prestador de servicios de certificación digital Empresas Organismos Administración Pública Gobiernos Camerfirma Prestador de servicios de certificación digital Empresas Organismos Administración Pública Gobiernos AC Camerfirma Camerfirma nace como proyecto del Consejo Superior de Cámaras de Comercio en

Más detalles

SERVICIOS MÓDULOS FUNCIONALIDADES DESCRIPCIÓN

SERVICIOS MÓDULOS FUNCIONALIDADES DESCRIPCIÓN MANUAL Solicitud desde el Cliente de su propio Certificado de propósito Multiple (Correo, Firma Documentos, Usuario, Sellado de Fecha, etc...) El cliente dispondrá de un interfaz completamente personalizado

Más detalles

Política de Firma Digital de CONICET

Política de Firma Digital de CONICET Política de Firma Digital de CONICET Versión 1.0 1. Introducción 1.1. Alcance Este documento establece las normas utilizadas para determinar bajo qué condiciones los métodos de creación y verificación

Más detalles

4.1. Introducción. 4.2.1. Servicios de Dominio del Directorio Activo

4.1. Introducción. 4.2.1. Servicios de Dominio del Directorio Activo 4.1. Introducción 4.1. Introducción Este capítulo introduce los conceptos fundamentales sobre dominios Windows Server 2008, que permiten unificar y centralizar la administración de conjuntos de sistemas

Más detalles

Catedrática: Ana Lissette Girón. Materia: Sistemas Operativos. Sección: 2-1. Tema: Roles de Windows Server 2008

Catedrática: Ana Lissette Girón. Materia: Sistemas Operativos. Sección: 2-1. Tema: Roles de Windows Server 2008 Catedrática: Ana Lissette Girón Materia: Sistemas Operativos Sección: 2-1 Tema: Roles de Windows Server 2008 Alumno: Jonathan Alexis Escobar Campos Fecha de entrega: 02 de Abril del 2012 Servicios de Directorio

Más detalles

Curso de SOA. Nivel Avanzado

Curso de SOA. Nivel Avanzado Región de Murcia Consejería de Hacienda y Administración Pública Curso de SOA. Nivel Avanzado Módulo 3 Seguridad en SOA Escuela de Administración Pública de la Región de Murcia Contenidos del MODULO 3

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

CERTIFICACIÓN ELECTRÓNICA. De Uso Público

CERTIFICACIÓN ELECTRÓNICA. De Uso Público CERTIFICACIÓN ELECTRÓNICA 2014 Certificado Electrónico (CE) Es un documento electrónico emitido por un Proveedor de Servicios de Certificación (PSC), que vincula a un usuario (signatario) con su clave

Más detalles

Integración de la autorización basada en certificados de atributos para SSH

Integración de la autorización basada en certificados de atributos para SSH Integración de la autorización basada en certificados de atributos para SSH Integration of attribute certificate-based authorisation for SSH Víctor Manuel Fernández Albor Resumen Existen una serie de necesidades

Más detalles

Certificados Digitales y su utilización en Entornos Clínicos

Certificados Digitales y su utilización en Entornos Clínicos La Informática de la Salud: Punto de Encuentro de las Disciplinas Sanitarias Certificados Digitales y su utilización en Entornos Clínicos Reche Martínez, D.; García Linares, A.J.; Richarte Reina, J.M.

Más detalles

Kit Bit4id cryptokey y minilector EVO. Instalación y manual de usuario para Linux

Kit Bit4id cryptokey y minilector EVO. Instalación y manual de usuario para Linux Sumario Revisiones... 3 Introducción... 4 A quién va dirigido este documento... 4 Antes de comenzar... 4 Instalación... 5 Instalación controladores cryptokey o minilector EVO... 5 Instalación manual de

Más detalles

Windows 2000 Server Active Directory

Windows 2000 Server Active Directory Microsoft Windows 2000 Server Active Directory Mª José Serrano Responsable Tecnológico División de Grandes Organizaciones Microsoft Corporation Agenda Qué es el Directorio Activo? Qué relación mantiene

Más detalles

Certificación Electrónica y Facilitadores Tecnológicos que Incorporan Seguridad en la Gestión Pública

Certificación Electrónica y Facilitadores Tecnológicos que Incorporan Seguridad en la Gestión Pública Certificación Electrónica y Facilitadores Tecnológicos que Incorporan Seguridad en la Gestión Pública 23/10/2008 Lic. Zorelly González Jefe de Unidad Tecnológica de Informática Centro de Ingeniería Eléctrica

Más detalles

Componentes de Integración entre Plataformas Información Detallada

Componentes de Integración entre Plataformas Información Detallada Componentes de Integración entre Plataformas Información Detallada Active Directory Integration Integración con el Directorio Activo Active Directory es el servicio de directorio para Windows 2000 Server.

Más detalles

CAPÍTULO 4 ANÁLISIS Y DISEÑO: e-commerce CONSTRUCTOR

CAPÍTULO 4 ANÁLISIS Y DISEÑO: e-commerce CONSTRUCTOR CAPÍTULO 4 ANÁLISIS Y DISEÑO: e-commerce CONSTRUCTOR En este capítulo se describe el análisis y diseño de un sistema, denominado e-commerce Constructor, el cual cumple con los siguientes objetivos: Fungir

Más detalles

UNIVERSIDAD POLITÉCNICA DE MADRID

UNIVERSIDAD POLITÉCNICA DE MADRID UNIVERSIDAD POLITÉCNICA DE MADRID FACULTAD DE INFORMÁTICA TRABAJO FIN DE CARRERA Soluciones PKI basadas en Cryptlib AUTOR: Daniel Plaza Espí TUTOR: Jorge Dávila Muro Esta obra está bajo una licencia Reconocimiento-No

Más detalles

POLÍTICAS DE CERTIFICADO (PC) Certificado de. Servidor Seguro (SSL) PC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A.

POLÍTICAS DE CERTIFICADO (PC) Certificado de. Servidor Seguro (SSL) PC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A. POLÍTICAS DE CERTIFICADO (PC) PC DE LA ECI SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL, S.A. INDICE INDICE.... MARCO LEGAL... 3.. Base Legal... 3.. Vigencia... 3.3. Soporte Legal... 3. INTRODUCCIÓN...

Más detalles

Lic. Sofia J. Vallejos

Lic. Sofia J. Vallejos Lic. Sofia J. Vallejos Marco Conceptual Comercio Electrónico y Comercio Electrónico Móvil. Qué es la Computación Ubicua o Pervasiva? Evolución de la Telefonía Móvil. Herramienta Utilizadas J2ME (Java para

Más detalles

DIA 22, Taller: Desarrollo de Aplicaciones con DNIe - Validación certificados

DIA 22, Taller: Desarrollo de Aplicaciones con DNIe - Validación certificados DIA 22, Taller: Desarrollo de Aplicaciones con DNIe - Validación certificados SAMUEL ADAME LORITE CONSULTOR - SAFELAYER SECURE COMMUNICATIONS S.A. 22 de Noviembre de 2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA

Más detalles

seguridad en redes inalámbricas

seguridad en redes inalámbricas Ç soluciones de seguridad en redes inalámbricas ` María Victoria Figueroa Domínguez Subdirectora General Adjunta del Ministerio de la Presidencia Daniel Merino Mateo Tecnocom En este artículo se pretende

Más detalles

Tendencias Internacionales en Firma Electrónica

Tendencias Internacionales en Firma Electrónica Tendencias Internacionales en Firma Electrónica 16.05.13 raul.rubio@bakermckenzie.com Baker & McKenzie Madrid, S.L.P. forma parte de Baker & McKenzie International, una Verein de nacionalidad suiza a la

Más detalles

ADVERTIMENT ADVERTENCIA WARNING

ADVERTIMENT ADVERTENCIA WARNING ADVERTIMENT. La consulta d aquesta tesi queda condicionada a l acceptació de les següents condicions d'ús: La difusió d aquesta tesi per mitjà del servei TDX (www.tesisenxarxa.net) ha estat autoritzada

Más detalles

Especificación de la secuencia de mensajes que se han de intercambiar. Especificación del formato de los datos en los mensajes.

Especificación de la secuencia de mensajes que se han de intercambiar. Especificación del formato de los datos en los mensajes. SISTEMAS DISTRIBUIDOS DE REDES 2.- MODELOS ORIENTADOS A OBJETOS DISTRIBUIDOS 2.1. Tecnologías de sistemas distribuidos Para la implementación de sistemas distribuidos se requiere de tener bien identificados

Más detalles

SDK (SOFTWARE DEVELOPMENT KIT) DE FIRMA ELECTRÓNICA

SDK (SOFTWARE DEVELOPMENT KIT) DE FIRMA ELECTRÓNICA SDK (SOFTWARE DEVELOPMENT KIT) DE FIRMA ELECTRÓNICA Oscar García Reyes Business Sales Consultant. Área de Seguridad Grupo SIA Carlos Guerra Belver Consultor Técnico. Área de Infraestructuras de Seguridad

Más detalles

Cómo protejo de forma eficaz el acceso a Microsoft SharePoint?

Cómo protejo de forma eficaz el acceso a Microsoft SharePoint? RESUMEN DE LA SOLUCIÓN SharePoint Security Solution de CA Technologies Cómo protejo de forma eficaz el acceso a Microsoft SharePoint? agility made possible La solución de seguridad para SharePoint que

Más detalles

iphone en la empresa Administración de dispositivos móviles

iphone en la empresa Administración de dispositivos móviles iphone en la empresa Administración de dispositivos móviles iphone es compatible con la administración de dispositivos móviles, brindando a las empresas la capacidad de administrar implementaciones a escala

Más detalles

Single-Sign-On Índice de contenido

Single-Sign-On Índice de contenido Single-Sign-On Índice de contenido Introducción...2 Que es Single Sign-On...2 Descripción del esquema y componentes...2 Kerberos...3 LDAP...5 Consideraciones de Seguridad...6 Alcances de la solución implementada...7

Más detalles

Autenticación Adaptativa de Safelayer: seguridad aumentada mediante información contextual

Autenticación Adaptativa de Safelayer: seguridad aumentada mediante información contextual 1 Adaptativa de Safelayer: seguridad aumentada mediante información contextual En la actualidad, la credencial más usada sigue siendo la contraseña de usuario, aunque cada vez está más aceptado que proporciona

Más detalles

Kit Izenpe. Instalación y manual de Usuario para Windows

Kit Izenpe. Instalación y manual de Usuario para Windows Sumario Introducción... 3 A quién va dirigido este documento... 3 Antes de comenzar... 3 Instalación... 4 Instalación desatendida (para usuarios avanzados)... 7 Problemas durante la instalación... 8 Fin

Más detalles

Symantec Mobile Management for Configuration Manager 7.2

Symantec Mobile Management for Configuration Manager 7.2 Symantec Mobile Management for Configuration Manager 7.2 Gestión de dispositivos integrada, segura y escalable Hoja de datos: Gestión y movilidad de puntos finales Descripción general La rápida proliferación

Más detalles

WEBBER: USO DE COMPONENTES PARA LA ARMONIZACIÓN DE CONTENIDOS Y METADATOS

WEBBER: USO DE COMPONENTES PARA LA ARMONIZACIÓN DE CONTENIDOS Y METADATOS WEBBER: USO DE COMPONENTES PARA LA ARMONIZACIÓN DE CONTENIDOS Y METADATOS Autores: Introducción Diego R. López RedIRIS diego.lopez@rediris.es El trabajo necesario para mantener un servidor de información

Más detalles

Aplicaciones de la Criptografía

Aplicaciones de la Criptografía Aplicaciones de la Criptografía José M. Sempere Departamento de Sistemas Informáticos y Computación Universidad Politécnica de Valencia Aplicaciones de la Criptografía Certificados digitales Introducción

Más detalles

Extensión de una plataforma DRM basada en OMA con servicios de No Repudio

Extensión de una plataforma DRM basada en OMA con servicios de No Repudio Extensión de una plataforma DRM basada en OMA con servicios de No Repudio Jose A. Onieva 1, Javier Lopez 1, Rodrigo Román 1, and Jianying Zhou 2 1 Departamento de Lenguajes y Ciencias de la Computación,

Más detalles

5. MODELOS DE CLIENTE Y SERVIDOR ORIENTADOS A AGENTES MÓVILES

5. MODELOS DE CLIENTE Y SERVIDOR ORIENTADOS A AGENTES MÓVILES SISTEMAS DISTRIBUIDOS DE REDES 5. MODELOS DE CLIENTE Y SERVIDOR ORIENTADOS A AGENTES MÓVILES Programación remota: Introducción y generalidades INTRODUCCIÓN Debido a la dificultad de la arquitectura actual

Más detalles

Uso de firmas digitales en MEA de EVA R-GRID?

Uso de firmas digitales en MEA de EVA R-GRID? Uso de firmas digitales en MEA de EVA R-GRID? Daniel Burbano Gustavo Andrés Jiménez Lesmes Resumen El presente artículo establece la necesidad de integrar firmas digitales en el funcionamiento e interacción

Más detalles

Estándares del DMTF. Dra. Ing. Caridad Anías Calderón Departamento de Telemática Cujae cacha@tesla.cujae.edu.cu

Estándares del DMTF. Dra. Ing. Caridad Anías Calderón Departamento de Telemática Cujae cacha@tesla.cujae.edu.cu Estándares del DMTF Dra. Ing. Caridad Anías Calderón Departamento de Telemática Cujae cacha@tesla.cujae.edu.cu http://www.dmtf.org D M T F Distributed Management Task Force Aspectos a tratar Premisas.

Más detalles

ESCUELA POLITECNICA DEL EJERCITO

ESCUELA POLITECNICA DEL EJERCITO ESCUELA POLITECNICA DEL EJERCITO Carrera de Ingeniería a de Sistemas e Informática Desarrollo de una aplicación Sign On en Smart Cards Vinicio Ramirez M. SEGURIDAD INFORMÁTICA La Seguridad Informática

Más detalles

Redes inalámbricas ad hoc

Redes inalámbricas ad hoc Qué es una red ad hoc? También conocidas como MANET Mobile ad hoc networks. AD HOC viene del latín y se refiere a algo improvisado, mientras que en comunicaciones el propósito de ad hoc es proporcionar

Más detalles

Acuerdo de Nivel de Servicio de la Plataforma de validación y firma electrónica @firma del MINHAP para Organismos Usuarios

Acuerdo de Nivel de Servicio de la Plataforma de validación y firma electrónica @firma del MINHAP para Organismos Usuarios Acuerdo de Nivel de Servicio de la Plataforma de validación y firma electrónica @firma del MINHAP para Organismos Autor: Tipo de Documento: Grupo de Trabajo: Versión: 2.8 Fecha: 14/04/2015 Fichero: Ministerio

Más detalles

Oracle Application Server 10g

Oracle Application Server 10g Oracle Application Server Oracle Application Server 10g La plataforma de aplicaciones más completa e integrada del mercado Puntos a comparar Lo más importante antes de realizar un análisis comparativo

Más detalles

PROYECTO FINAL DE CARRERA

PROYECTO FINAL DE CARRERA PROYECTO FINAL DE CARRERA DESARROLLO EN PYTHON DE UNA PLATAFORMA PARA LA REVOCACIÓN DE CERTIFICADOS DIGITALES EN VANETS Estudios : Ingeniería de Telecomuniación Autor : Francisco Ronaldo Medina Huerta

Más detalles

HERRAMIENTAS DE VALIDACIÓN DE CERTIFICADOS EN PKI CON TARJETA INTELIGENTE

HERRAMIENTAS DE VALIDACIÓN DE CERTIFICADOS EN PKI CON TARJETA INTELIGENTE Universidad Carlos III de Madrid Escuela Politécnica Superior Departamento de Tecnología Electrónica Proyecto de Fin de Carrera HERRAMIENTAS DE VALIDACIÓN DE CERTIFICADOS EN PKI CON TARJETA INTELIGENTE

Más detalles

Creación de una entidad emisora de certificados raíz de empresa en pequeñas y medianas empresas

Creación de una entidad emisora de certificados raíz de empresa en pequeñas y medianas empresas Creación de una entidad emisora de certificados raíz de empresa en pequeñas y medianas empresas La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca

Más detalles

Gran número de usuarios accediendo a un único servicio y con un único protocolo. Servidores y clientes con distintos protocolos.

Gran número de usuarios accediendo a un único servicio y con un único protocolo. Servidores y clientes con distintos protocolos. 1RWD7pFQLFD,(OSURWRFRORGHFRQH[LyQ1HW La función principal del protocolo Net 8 es establecer sesiones de red y transferir datos entre una máquina cliente y un servidor o entre dos servidores. Net8 debe

Más detalles

Banco de la República Bogotá D. C., Colombia

Banco de la República Bogotá D. C., Colombia Banco de la República Bogotá D. C., Colombia Dirección General de Tecnología Departamento de Gestión Informática DOCUMENTO TÉCNICO DE SERVICIOS NO INTERACTIVOS DEL BANCO DE LA Agosto de 2014 Versión 1.0

Más detalles

ES 2 449 190 A2 ESPAÑA 11. Número de publicación: 2 449 190. Número de solicitud: 201200837 H04L 9/32 (2006.01) G06Q 20/32 (2012.01) 21.08.

ES 2 449 190 A2 ESPAÑA 11. Número de publicación: 2 449 190. Número de solicitud: 201200837 H04L 9/32 (2006.01) G06Q 20/32 (2012.01) 21.08. 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 21 Número de publicación: 2 449 190 Número de solicitud: 201200837 51 Int. CI.: H04L 9/32 (2006.01) G06Q 20/32 (2012.01) 12 SOLICITUD DE PATENTE A2 22

Más detalles

LA IDENTIDAD DIGITAL COMO HERRAMIENTA DENTRO DE LA ADMINISTRACIÓN ELECTRÓNICA. FUNDAMENTOS CLAVE

LA IDENTIDAD DIGITAL COMO HERRAMIENTA DENTRO DE LA ADMINISTRACIÓN ELECTRÓNICA. FUNDAMENTOS CLAVE LA IDENTIDAD DIGITAL COMO HERRAMIENTA DENTRO DE LA ADMINISTRACIÓN ELECTRÓNICA. FUNDAMENTOS CLAVE Eduardo López Director de Tecnología Grupo SIA Oscar García Business Sales Consultant. Área de Seguridad

Más detalles

Estos servicios han de ser prestados satisfaciendo las siguientes propiedades:

Estos servicios han de ser prestados satisfaciendo las siguientes propiedades: 1. 1. Introducción. En los últimos tiempos el fenómeno Internet está provocando cambios tanto tecnológicos como culturales que están afectando a todos lo ámbitos de la sociedad, con una fuerte repercusión

Más detalles

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN AUTORIDAD CERTIFICADORA ANDES SCD Versión 1.4 NOVIEMBRE 2011 Índice de contenido Introducción... 8 1. Presentación del documento... 8 1.1. Nombre del documento

Más detalles

Gestión de Certificados con OpenSSL

Gestión de Certificados con OpenSSL Taller de Criptografía Aplicada Gestión de Certificados con OpenSSL Andrés J. Díaz Índice Qué vamos a ver? Teoría sobre certificados, CA y RA Creando una CA con OpenSSL Qué es un certificado

Más detalles

2.3.5 Capa de sesión. Protocolos

2.3.5 Capa de sesión. Protocolos 2.3.5 Capa de sesión Protocolos RPC El RPC (del inglés Remote Procedure Call, Llamada a Procedimiento Remoto) es un protocolo que permite a un programa de computadora ejecutar código en otra máquina remota

Más detalles

Sistemas Ubicuos 4. Descubrimiento de servicios

Sistemas Ubicuos 4. Descubrimiento de servicios Sistemas Ubicuos 4. Descubrimiento de servicios Departamento de Arquitectura y Tecnología de Computadores 1 Descubrimiento de servicios 1. Introducción 2. Protocolos de descubrimiento de servicios 3. Estructura

Más detalles

Soluciones de RSA para la firma y factura electrónica

Soluciones de RSA para la firma y factura electrónica Soluciones de RSA para la firma y factura electrónica SOCINFO - Firma y Factura Electrónica II Javier Jarava, Sr. System Engineer RSA Madrid, 18 Sep. 2007 RSA, La División de Seguridad de EMC EMC Una de

Más detalles

ESTADO DE LA ESTANDARIZACIÓN EN LA GESTIÓN DE LAS REDES DE PRÓXIMA GENERACIÓN

ESTADO DE LA ESTANDARIZACIÓN EN LA GESTIÓN DE LAS REDES DE PRÓXIMA GENERACIÓN ESTADO DE LA ESTANDARIZACIÓN EN LA GESTIÓN DE LAS REDES DE PRÓXIMA GENERACIÓN Servicios Avanzados de Apoyo a Aplicaciones Telemáticas Máster Universitario de Investigación en TIC Universidad de Valladolid

Más detalles

Estructuras de Datos Autenticadas para gestionar Datos de Revocación en VANETs

Estructuras de Datos Autenticadas para gestionar Datos de Revocación en VANETs Estructuras de Datos Autenticadas para gestionar Datos de Revocación en VANETs Carlos Gañán, Juan Caubet, Oscar Esparza y Jorge Mata-Díaz Universitat Politècnica de Catalunya (UPC) {carlos.ganan, juan.caubet,

Más detalles

I. Organización y gestión de los sistemas de información I. Organización y gestión de los sistemas de información

I. Organización y gestión de los sistemas de información I. Organización y gestión de los sistemas de información 2006 2007 I. Organización y gestión de los sistemas de información I. Organización y gestión de los sistemas de información 21. Definición y estructura de los Sistemas de Información. 21. Definición y

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

GLOSARIO. Arquitectura: Funcionamiento, estructura y diseño de una plataforma de desarrollo.

GLOSARIO. Arquitectura: Funcionamiento, estructura y diseño de una plataforma de desarrollo. GLOSARIO Actor: Un actor es un usuario del sistema. Esto incluye usuarios humanos y otros sistemas computacionales. Un actor usa un Caso de Uso para ejecutar una porción de trabajo de valor para el negocio.

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA...7 Tarea DSI 1.1: Definición de Niveles de Arquitectura...9 Tarea DSI 1.2:

Más detalles

LA COLABORACIÓN, UNA REALIDAD GRACIAS A LA ARQUITECTURA TECNOLÓGICA HP EGOVERNMENT FRAMEWORK

LA COLABORACIÓN, UNA REALIDAD GRACIAS A LA ARQUITECTURA TECNOLÓGICA HP EGOVERNMENT FRAMEWORK 1 LA COLABORACIÓN, UNA REALIDAD GRACIAS A LA ARQUITECTURA TECNOLÓGICA HP EGOVERNMENT FRAMEWORK Miguel Angel Abellán Juliá Gerente de Soluciones para Administraciones Públicas. Hewlett-Packard Española,

Más detalles

Un modelo de gestión automatizada de dispositivos IP mediante Software Libre

Un modelo de gestión automatizada de dispositivos IP mediante Software Libre Un modelo de gestión automatizada de dispositivos IP mediante Software Libre PONENCIAS A Model for Automated Management of IP Devices Using Open Source Components J. Guijarro, M. Jiménez y M. Griera Resumen

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Departamento de Computación Facultad de Ciencias Exactas y Naturales Universidad de Buenos Aires Trabajo Final Trabajo Práctico: Interoperabilidad en PKI Integrante LU Correo electrónico

Más detalles

INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2

INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2 Programa de Capacitación y Certificación. INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2 Contenido PERFIL DE UN ESPECIALISTA EN BASES DE DATOS.... 3 6231. MANTENIENDO UNA BASE DE DATOS DE SQL SERVER 2008

Más detalles