Semantic Web Trust Portal: una plataforma inteligente de seguridad y confianza

Semantic Web Trust Portal es la primera entrega de la iniciativa Sandbox de Safelayer. Se trata de una plataforma de unión entre los trabajos de I+D de Safelayer, y no consiste simplemente en un portal web, sino de una verdadera infraestructura semántica que aglutina varios elementos alrededor de la seguridad y la confianza: soluciones de autenticación, aplicaciones, servicios web, repositorios de datos, bases de conocimiento semánticas, etc., todo ello orquestado por un bus de integración que gestiona el flujo de mensajes entre elementos.

La plataforma de confianza semántica que implementa Semantic Web Trust Portal valida una infraestructura en la que todos los componentes aprovechan las funcionalidades clásicas de seguridad y confianza, y se combinan con nuevas funcionalidades semánticas y de contexto con el fin de facilitar y mejorar la percepción de confianza de servicios, aplicaciones y usuarios.

El núcleo de Semantic Web Trust Portal es un Enterprise Service Bus (ESB), un componente software destinado a la integración de aplicaciones. Su cometido es facilitar la provisión y el consumo de servicios, gracias a la creación y la gestión de distintos flujos de datos, de manera totalmente transparente para los arquitectos, diseñadores y desarrolladores de aplicaciones. La filosofía SOA y el uso de servicios web contribuye a que la incorporación de nuevas aplicaciones mediante el ESB sea sencilla y ágil.

Desde el punto de vista de infraestructura, además del ESB, los actores y componentes de la plataforma son los siguientes:

Los usuarios

Tradicionalmente, los administradores de red y aplicaciones han sido los únicos encargados de gestionar los servicios de seguridad y confianza. Sin embargo, para los usuarios comunes no resulta fácil tomar decisiones relativas a la seguridad. Por este motivo, es importante conseguir que la información de seguridad y confianza se incorpore a las aplicaciones de forma amigable, para que sea fácilmente visualizable e interpretable.

En Semantic Web Trust Portal, la seguridad y el control de acceso se gestionan de forma centralizada, y el usuario percibe un único punto de entrada.

Las aplicaciones de terceros (Relying Parties)

La configuración de Semantic Web Trust Portal permite cierta comunicación con aplicaciones de terceros. Por un lado, se publican algunos servicios web que permiten aprovechar parte de la información contenida en la base de conocimiento semántica, principalmente la relacionada con autoridades de certificación. En este caso, el ESB se encarga de gestionar el control acceso.

Además, la comunicación con aplicaciones de terceros es bidireccional, ya que los servicios de Semantic Web Trust Portal también hacen uso de servicios externos como redes sociales o repositorios de ontologías.

Los agentes y sensores de contexto

Una de las características innovadoras de Semantic Web Trust Portal es la incorporación y el tratamiento de la información de contexto para mejorar los servicios de confianza. Para ello, es necesario que sensores y agentes recopilen la información adecuada, de forma que los usuarios, asistidos por las aplicaciones, puedan tomar decisiones de confianza basadas en el contexto. Otra de las utilidades es la generación de sellos de contexto análogos a los sellos de tiempo.

El contexto incluye, por ejemplo, información de tiempo, de ubicación, de las características y el estado del dispositivo, o del perfil del usuario. Además, el tratamiento de esta información de contexto siempre se lleva a cabo respetando la privacidad de los usuarios, y que incluso se pueden activar los mecanismos de protección de la privacidad más adecuados en función del contexto.

El servicio de registro único

Para usar las aplicaciones y servicios de Semantic Web Trust Portal, es necesario registrarse mediante el portal de registro único.

Además de resultar más cómodo para el usuario, que evita tener que registrarse múltiples veces en distintas aplicaciones, de esta forma se centralizan los procesos de gestión de la identidad, desde el alta de usuarios hasta su baja.

El proceso de registro se completa con la generación automática de una clave pública y una clave privada, que permitirán al usuario utilizar las funcionalidades de las aplicaciones directamente relacionadas con la PKI, es decir, la firma y el cifrado digital de documentos.

Además, las claves generadas también podrán usarse como mecanismo de autenticación en Semantic Web Trust Portal. Para ello, el usuario deberá instalar estas claves, que también podrá descargar en un fichero (en formato PKCS#12), interpretable por todos los sistemas operativos y navegadores. Las claves estarán protegidas por la contraseña que haya elegido el usuario en el momento del registro.

Mecanismos de autenticación

Para acceder a Semantic Web Trust Portal se pueden usar distintos mecanismos de autenticación:

• Password. La contraseña es un mecanismo de autenticación muy popular pero altamente vulnerable a ataques de diccionario y de fuerza bruta, y da lugar a sencillas técnicas de phishing e ingeniería social. Por ello no es recomendable usarla en entornos críticos si no es en combinación con algún otro mecanismo de autenticación.
• Context-based Password. La autenticación con contraseña tradicional se complementa con el análisis del contexto y del patrón de autenticación habitual del usuario para mejorar su robustez.
• Graphical Password. Una contraseña gráfica formada por varios iconos, más segura y fácil de recordar, sustituye la contraseña alfanumérica tradicional.
• gOTP. La aplicación para iPhone, que se activa con una contraseña gráfica, genera contraseñas de un solo uso.
• QR-Scan OTP. La autenticación se activa al fotografiar el código QR que aparece en pantalla. Si el dispositivo Android tiene activada una conexión de datos, la autenticació será inmediata; sino, la aplicación generará una contraseña de un solo uso que deberá introducirse en Semantic Web Trust Portal.
• Digital certificate. El certificado digital es un mecanismo de autenticación muy fiable si se custodia de manera segura y si la autoridad de certificación que lo ha emitido ha seguido los procedimientos adecuados. Semantic Web Trust Portal admite el certificado digital emitido durante el proceso de registro por nuestra CA de demostración.
• Information card. Las tarjetas de información gestionadas invocan al proveedor de identidad en el proceso de autenticación para que emita la información que necesita el proveedor de servicio. El interlocutor con ambos proveedores es el selector de tarjetas del usuario.

Gracias a la intervención de un dispositivo móvil y de claves criptográficas tanto simétricas como basadas en PKI, con gOTP y QR-Scan OTP se consigue una autenticación multifactor.

Los servicios de confianza

Para la identificación y el control de acceso se utiliza la plataforma TrustedX en combinación con el framework Spring Security. De esta forma, todas las transacciones de Semantic Web Trust Portal están autenticadas y autorizadas por TrustedX.

Además del control de acceso, TrustedX también se encarga de otros servicios de confianza relacionados con la PKI que utilizan el resto de componentes de Semantic Web Trust Portal, como la generación y verificación de firmas, la gestión y validación de certificados, el cifrado y descifrado de documentos, la emisión de sellos de tiempo, y la gestión de las claves (privadas y públicas) que se utilizan en las operaciones anteriores.

Uno de los objetivos de nuestra investigación es que los servicios de confianza de TrustedX se complementen con los otros componentes que pueden ser fuentes de información de reputación. Es decir, el perfil del usuario no es una lista de atributos estáticos a lo largo del tiempo, y por lo tanto la autorización no debe depender sólo del mecanismo de autenticación y el perfil del usuario, sino que debe complementarse con información de contexto y otra información de reputación procedente de fuentes diversas.

La Autoridad de Certificación

Las claves y certificados digitales emitidos a los usuarios en el proceso de registro son generados por una Autoridad de Certificación propia de Semantic Web Trust Portal, implementada por la plataforma KeyOne.

Clica aquí para descargar el certificado de la Autoridad de Certificación de Semantic Web Trust Portal.

La base de conocimiento semántico

La mayor parte de la información generada por nuestras aplicaciones de demostración de Semantic Web Trust Portal se almacena en la base de conocimiento semántico, que se basa en los estándares semánticos del W3C. Estructurando la información mediante ontologías, nos es posible realizar procesos de inferencia sobre información de identidad, contexto y entidades relacionadas con la PKI, por ejemplo, para obtener nueva información que podemos incorporar a los procesos de decisión de confianza (autenticación, autorización y control de acceso, principalmente).

La comunicación con esta base de conocimiento se lleva a cabo a través de una interfaz de servicios web diseñada e implementada expresamente, y que permite que el resto de módulos de Semantic Web Trust Portal realicen consultas, actualizaciones, peticiones de inferencia, etc.

Las bases de datos de aplicaciones

Las aplicaciones de demostración hacen uso de bases de datos propias para almacenar información de estado. El acceso a ellas se hace a través del ESB.

Las aplicaciones de demostración

La parte más visible de Semantic Web Trust Portal son las aplicaciones y servicios de demostración. Cada una de ellas hace hincapié en alguna línea de investigación de Safelayer: los servicios de confianza para cloud computing, la valoración de autoridades de certificación, la gestión de perfiles personales mediante la especificación FOAF o la generación de tarjetas de información. Pero lo realmente innovador e interesante es que estas aplicaciones, por dispares que puedan parecer, comparten el conocimiento relativo al usuario y al contexto para potenciar sus funcionalidades y, principalmente, aportar más confianza al usuario.

Por ejemplo, Interidy IdP es capaz de generar una tarjeta de información a partir de un FOAF publicado en FOAF Manager. Y PKI Webtop, tanto en su versión web como para Android, sólo es capaz de trabajar con certificados emitidos por autoridades de certificación que estén catalogadas en PKI Trust Center. Interidy IdP, PKI Webtop, Graphical Password Manager y Password in Context Manager se utilizan para configurar algunos de los mecanismos de autenticación del portal.

Por lo tanto, gracias a esta infraestructura común, las aplicaciones de demostración comparten elementos como el servicio de registro, los servicios de autenticación, los componentes de seguridad y las bases de conocimiento, ganando en eficiencia y aportando más valor añadido.

Este trabajo ha sido parcialmente subvencionado por el Ministerio de Industria, Turismo y Comercio en el marco del proyecto SAT2, referencias TSI-020100-2008-365 y TSI-020100-2009-374 del subprograma AVANZA I+D.

Acceder a Semantic Web Trust Portal en Safelayer Sandbox.

Semantic Web Trust Portal es el punto de entrada a las aplicaciones de demostración de Safelayer Sandbox, que responden tanto a las nuevas tendencias en gestión de la identidad y de la confianza, como a nuevos modelos de gestión de la información.

Si aún no estás registrado, puedes crear una cuenta en todas las aplicaciones con un único y sencillo proceso de registro.

Si ya estás registrado, elige uno de los mecanismos de autenticación disponibles para entrar en el portal.

Interidy IdP	FOAF Manager
PKI Trust Center	PKI Webtop