Seguridad Derecho informático Derecho nuevas tecnologías


Derecho informático Derecho nuevas tecnologías
Seguridad Derecho informático Derecho nuevas tecnologías
 Noticias
  • Seguridad en integración de procesos B2B [09-06-03]  

    El intercambio de información en el ámbito empresarial ha estado tradicionalmente ligado a una variedad de sintaxis basadas generalmente en el estándar EDI (Electronic Data Interchange) surgido de los mainframe y los procesos batch, que incluso definieron asociaciones a protocolos de comunicaciones específicos. A pesar de que estas técnicas EDI funcionan correctamente son caras y difíciles de implementar. Además el uso de estos sistemas se encuentra normalmente limitado a grandes empresas que poseen una alta capacidad en TIC.

    A raíz de esto surgen arquitecturas que requieren, por un lado una estandarización en el metamodelo de información intercambiada (XML) y por otro una portabilidad que le convierta en un estándar capaz de funcionar sobre cualquier protocolo de comunicaciones disponible (tales como HTTP, SMTP..). Con estas arquitecturas es entonces posible no solo un intercambio de datos sino una integración de procesos que va mucho más allá del B2B tradicional que suponen los marketplaces. Esta integración lleva aparejada una automatización completa de los procesos empresariales, describiendo y publicando qué clase de servicios solicita para procesos internos o externos y no sólo los que oferta como resultado de su actividad empresarial, punto en el cual se limitan los Web Services.

    Asegurar, por tanto, una integración entre procesos empresariales supone un reto complejo a la par que extremadamente necesario para convencer a una industria reacia al aperturismo y descentralización de sus sistemas corporativos, máxime cuando ésta supone interoperabilidad por medio de redes. Esta integración supone aunar tecnologías de seguridad y estándares existentes con tecnologías emergentes.

    La tecnología

    Hablamos en definitiva de intercambio de mensajes XML sobre HTTP mediante extensiones del protocolo SOAP y SOAP Attach. Por tanto la seguridad va encaminada a, por un lado proteger el contenido de los mensajes e integrarlo en un entorno seguro tanto a nivel de canal (SSL, S-HTTP o ambos) como de servidores de confianza.

    Las extensiones al protocolo SOAP van encaminadas a la encriptación del mensaje XML y a la firma digital. Empleando la tecnología XML Encryption y XML Signature somos capaces de que un documento XML sea encriptado como cualquier otro pero añadiendo la funcionalidad de permitir diferente tratamiento para diferentes partes del mensaje. Los resúmenes del mensaje garantizan la integridad del texto, la firma digital soporta la autenticación del que lo envía y además se añaden mecanismos para evitar el repudio. Es preferible a la encriptación general puesto que permite ser firmado por diferentes personas y además soporta encriptación selectiva.

    En esta dirección la tecnología XKMS describe dos servicios: X-KISS y XKRS que permiten a una aplicación cliente delegar una parte o todas las tareas necesarias para firmar un documento XML localizando las claves públicas requeridas a la par que describen un protocolo para el registro de información de clave pública.

    En lo que a intercambio de información entre servidores seguros respecta, se define un marco basado en XML donde entra la tecnología SAML. Contiene una estructura XML anidada con información sobre autenticación, autorización y recursos sobre los que está autorizado. Puede a su vez contener instancias de autenticación previa, lo que nos lleva a uno de sus mayores ventajas de diseño: SSO o Single Sign On, que capacita a un usuario para autenticarse en un dominio y utilizar recursos en otros dominios de confianza sin necesidad de autenticarse de nuevo en ellos.

    Como vemos, son multitud las tecnologías y estándares necesarios para remendar limitaciones de especificación en temas de seguridad en protocolos tales como SOAP, lo que provoca una sensación de meros parches en lugar de una arquitectura global que garantice la interoperabilidad de manera fructífera. En este sentido se está trabajando en WS-Security que pretende aunar desde la flexibilidad todas las tecnologías descritas anteriormente, permitiendo la compatibilidad con PKI, SSL.. sin ser un bloque global, sino que permite la conjunción a todas las especificaciones.

    Estas son las líneas maestras del marco de intercambio de información, sin embargo, la definición de diferentes tipos de colaboración potenciales entre empresas hará necesario adoptar otras medidas coadyuvantes. En el caso de que la relación se base en
    empresas que no se conocen se hace necesario la creación de un registro o repositorio donde publicar las capacidades de negocio, algo similar al UDDI definido en Web Services que constituirá otro elemento a proteger.

    La implantación

    En la actualidad son fundamentalmente dos los estándares que se están definiendo para la interoperabilidad B2B: ebXML del consorcio Oasis y RosettaNet, éste último se puede considerar un estándar de facto y está participado por cientos de empresas de diferentes sectores de las Tecnologías de la Información y Comunicaciones. Ambos estándares incorporan varias de las tecnologías citadas anteriormente y aunque los pasos dados hasta ahora por ambas sugieren una posible convergencia en el futuro, no se puede hablar de una solución de seguridad estandarizada.

    También se cuenta con el hándicap añadido de dar soporte a las soluciones tecnológicas ya en uso que no cuentan con los últimos avances en seguridad. Esto nos lleva a la incógnita de saber hasta qué punto ésta compatibilidad invita a que las soluciones emergentes se incorporen más adelante y si los desarrolladores de estos estándares las preferirán antes que a soluciones ya probadas y en las que existe experiencia.

    Direcciones de referencia:

    Estándar ebXML: http://www.oasis-open.org
    Estándar RosettaNet: http://www.rosettanet.org
    XML Encryption: http://www.w3.org/Encryption/2001/
    XML Signature: http://www.w3.org/Signature/
    Enlaces XML: http://it.uc3m.es/~xml/enlaces.html

    Artículo proporcionado por Luis S. Cisneros Navarro (lcisneros@telefonica.net), miembro de una empresa española líder en el ámbito de I+D en el sector de las telecomunicaciones.



  • Noticias actuales...
    Archivo de noticias...
  •  
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo: