Arquitectura SOA_Introducción.pdf
-
Upload
miguel-angel-renteria-coronel -
Category
Documents
-
view
26 -
download
0
Transcript of Arquitectura SOA_Introducción.pdf
Arquitectura Orientada
al Servicio - Curso internacional -
Escuela Nacional de Administración Pública
Perú
Fundamentos de SOA y
de computación orientada a servicios
En un organismo, los procesos no están
organizados alrededor de la energía en el
sentido físico del término. Ellos están
organizados alrededor de la información.
Concepto
Identificar las metas estratégicas de la
computación orientada al servicio, así como las
características de la arquitectura orientada al
servicio, sus ámbitos de aplicación y los
requerimientos e impacto de su adopción.
Logro de Aprendizaje
• 1.1 Metas estratégicas de la Computación Orientada a
Servicios.
• 1.2 Términos fundamentales de la Computación
Orientada a Servicios.
• 1.3 Conceptos relacionados a Servicios, Arquitectura
Orientada a Servicios y Composición de Servicios.
• 1.4 Introducción al Paradigma de Diseño de
Orientación a Servicios.
Tabla de Contenidos
Marco Gubernamental SOA: Gobierno Electrónico
Definición
• Uso de la Tecnología de La información y Comunicaciones en las entidades estatales para mejorar y transformar las relaciones con la Ciudadanía, el empresariado y otras Organizaciones del Estado.
Empleadas para
• La mejora en los servicios del Estado a la Ciudadanía
• La mejora en la interacción con las empresas y la industria
• El potenciamiento de la Ciudadanía a través del acceso a la información
• La administración más eficiente del Gobierno
Obteniendo los Beneficios
• Mayor transparencia
• Mayor coherencia (Uso racional)
• Menor corrupción
• Mayores Ingresos
• Menor Gasto Fiscal World Bank
Entendiendo el Gobierno Electrónico
Otra definición
• Otra definición hace hincapié en que el gobierno electrónico
constituye una nueva manera de organizar la gestión pública para
aumentar la eficiencia, transparencia, accesibilidad y capacidad de
respuesta a los ciudadanos a través de un uso intensivo y estratégico
de las tecnologías de la información y comunicaciones, tanto en la
gestión interna del sector público como en sus relaciones diarias con
ciudadanos y usuarios de los servicios públicos
Fuente: Claudio Orrego citado por Ester Kaufman 2003 El foro transversal de responsables informáticos: crisis, burocracia, redes y gobierno electrónico en la Argentina
Entendiendo el Gobierno Electrónico
Fuente: Eugenio Rivera Urrutia – Concepto y Problemas de la Construcción del Gobierno Electrónico
Alcance del Gobierno Electrónico
Entrega de Servicios Electrónicos (G2C) – Entregando información y servicios electrónicamente a Ciudadanos y
Empresas
Transacciones de Gobierno a Empresas (G2B) – Entregando información y transacciones electrónicas con empresas.
Compras electrónicas del Estado y proyectos de infraestructura.
Administración Interna del Gobierno (G2G, G2E) – Mejorando la eficiencia, efectividad y transparencia de las interacciones
dentro y entre entidades estatales, y entre los empleados públicos.
Comercio Internacional (G2X) – Aumentando las exportaciones, el turismo y captando Inversiones.
Impacto en los involucrados
Entrega de Servicios Electrónicos (1/2)
• Los Portales son el medio clave para ofrecer estos servicios a las empresas y a los ciudadanos. Permiten al gobierno concentrar los servicios y ordenarlos en forma conveniente y lógica para los usuarios. De esta forma las empresas y los ciudadanos no tienen que entender como esta organizado el estado o que entidad estatal es la responsable por el servicio que requiere. Los portales pueden simplificar la interacción de las empresas y los ciudadanos con el Gobierno.
Entrega de Servicios Electrónicos (2/2)
Government-to-Citizen (G2C) y Government–to-Business (G2B)
• Los ciudadanos pueden obtener su licencia de conducir,
pasaporte, formularios de impuestos, registro de propiedades, partidas de nacimiento y defunción, etc.
• Empresas obteniendo su licencia de funcionamiento, pago de impuestos, participación en licitaciones, llenando información regulatoria.
G2C: Carta d'Identitá Elettronica CIE)
Carta d'Identitá Elettronica en Números (1/4)
• El gobierno Italiano es uno de los pioneros en el uso de
sistemas de PKI integrados en la Cédula de Identidad
Nacional con el nombre de Carta d'Identitá Elettronica (CIE).
• Dos objetivos: Identificar físicamente al ciudadano y actuar
como un mecanismo de autenticación electrónica.
• Incorporada el año 2000, Las alcaldías son encargadas de
emitir las Cédulas de Identidad Electrónicas actualmente
en 80 ciudades y planeando abarcar 83 ciudades
adicionales.
Carta d'Identitá Elettronica en Números (2/4)
• El Sistema estará difundido a 55 millones de habitantes el 2008.
• Las alcaldías asocian esta cédula con servicios electrónicos gubernamentales, especialmente los de Seguridad Social y los registros de Salud.
Carta d'Identitá Elettronica en Números (3/4)
• El diseño de la información del Certificado Digital es especial
para no revelar información privada de acuerdo a las leyes
sobre privacidad de la información Incorpora una memoria
donde se alberga un certificado digital y una banda láser
que contiene información personal, holograma, firma y otra
información indeleble del ciudadano.
Carta d'Identitá Elettronica en Números (4/4)
G2B: Transacciones de Gobierno a Empresas (1/2)
• El Irish Revenue Comissioners es la entidad Irlandesa para la
cobranza de impuestos y además tiene a su cargo la
cobranza de los derechos de aduanas.
• Al año recauda un poco más de 50 Billones de Euros y
procesa 3 millones de declaraciones tributarias.
• El año 2000 lanzaron la iniciativa para realizar estos pagos
en forma electrónica en línea.
• Este sistema basado en PKI se denomina Revenue On-Line
Services (ROS).
G2B: Transacciones de Gobierno a Empresas (2/2)
G2B: eTAX Revenue On-Line Services (ROS)
ROS en Números
• 214,000 Declaraciones Tributarias procesadas.
• 440,000 Consultas Tributarias atendidas.
• 6.5 Billones de Euros recaudados con éste sistema.
• 545 millones de Euros en devoluciones tributarias.
• Antes 1,000 personas para procesar con un 20% de errores y empleando 20 millones de hojas impresas.
* Información del año 2002
• Se espera llegar al 50% de cobertura el año 2005.
G2B: Compras Electrónicas
G2B: Sistema de compras electrónicas de Chile
Contexto • Política de compras no coherente entre las diferentes entidades estatales. • Las empresas tenían que tratar con reglas diferentes para cada entidad
estatal. Nuevo enfoque • http://www.comprachile.cl • Sistema electrónico que permite guardar, distribuir y analizar información de
compras así como generación de licitaciones. • Un único registro como proveedor para todas las entidades estatales. • Transparencia en los pasos de los procesos de licitación. Beneficios • Ahorros por mejor eficiencia de $200 millones al año las compras del Estado • Mayor transparencia, eficiencia, e igualdad de oportunidades. C
G2G:Administración interna del Gobierno
• Desarrollo de una sólida y robusta infraestructura de
información interna para facilitar la comunicación
electrónica, compartición de información y colaboración
entre las diferentes entidades estatales.
• Creación de una plataforma y arquitectura común así
como estándares comunes a lo largo de toda la
infraestructura de TI del Estado.
G2G:Administración interna del Gobierno (1/2)
• Creación de guías de implantación y administración de sistemas de TI, con una visión para facilitar la compatibilidad e interoperabilidad.
• Creación de un formato común de meta-datos para compartir e intercambiar datos entre las entidades estatales y el sector privado.
• Añadiendo información de los Ciudadanos y Empresas en repositorios comunes
• Estableciendo alianzas con otros gobiernos regionales para compras, almacenamiento, compartición de información
• Facilitando el aprendizaje y la colaboración entre empleados estatales.
G2G:Administración interna del Gobierno (2/2)
Porque PKI para eAuthentication
• El grueso de las aplicaciones iniciales de e-Gov son aplicaciones
web..
• En el año 2003 una encuesta mundial de OASIS identifico los
formularios firmados electrónicamente como el uso prioritario para
el PKI (1)
• ¿Alguno de ustedes quiere estimar cuantos formularios se usan
actualmente por el Gobierno?
• (1) OASIS Public Key Infrastructure Technical Committee, “Analysis of June 2003 Survey on Obstacles to PKI Deployment and Usage”, 8
de Agosto del 2003 http://www.oasis-open.org/committees/pki/pkiobstaclesjune2003surveyreport.pdf
Encuesta de OASIS sobre la problemática del PKI
(1) OASIS Public Key Infrastructure Technical Committee, “Analysis of June 2003 Survey on Obstacles to PKI Deployment and Usage”, August 8, 2003 http://www.oasis-open.org/committees/pki/pkiobstaclesjune2003surveyreport.pdf
¿Cuál es el rol del PKI en la arquitectura del e-Autenticación en USA? (1/2)
• Satisface eficientemente los niveles de acreditación de
identidad 3 y 4 (OMB M-04-04).
• Satisface eficientemente los niveles de riesgo 3 & 4 (FIPS 199,
SP 800-63).
• In Hoc Signo Vinces – PKI con interoperatibilidad en
“puente” es un gran ejempo de una administración de
identidades federada.
• PKI se integra bién con tecnologías emergentes que
conectan autenticacion y autorizacion, ejemplo: SAML.
¿Cuál es el rol del PKI en la arquitectura del e-Autenticación en USA? (2/2)
G2G: Enfoque del Gobierno USA
G2G: Educause
A Simplified View of E-Auth Federation Architecture
Levels 1 &
2 CSPs
Levels 3 &
4 CSPs
-Banks
-Universities
-Agency Apps
-Etc.
Federal Agency PKIs
Other Gov PKIs
Commercial PKIs
Bridges
SAML Assertions
Digital Certificates
Levels 1 &
2 Online
Apps &
Services Levels 3 &
4 Online
Apps &
Services
SDT
Privacidad de la Información
• Origen en revista Digital Nation.
• La tecnología de Firma Digital
contribuye a manejar la privacidad
mediante atributos
• Esta tecnología se ha estandarizado
como SAML y utilizado en
aplicaciones de alcance nacional
Second Access - Authenticated
Target Web
Server
Origin Site Target Site
Browser
First Access - Unauthenticated
Web Login Server
Redirect User to Local Web Login
Ask to Obtain Entitlements
Pass entitlements for authz decision
Pass content if user is allowed Authentication
Attribute Server
Entitlements
Auth OK
Req Ent
Ent Prompt
Authentication
Phase
Authorization
Phase
Success!
Arquitectura de Shibboleth detalle conceptual – Ahora SAML V2
G2X: Comercio Internacional (1/2)
Interacciones de Gobierno a Gobierno
• Cooperación en proyectos de infraestructura de TI con otros
estados y el Gobierno Central
• Co-inversión con otros gobiernos (organismos de colaboración)
Desarrollo del turismo
• Portal de promoción al turismo
• Reservas de hoteles en línea, alquiler de auto, etc.
Expatriaciones
• Repatriación de utilidades
• Inmigración y solicitudes de permisos de trabajo
Inversión Extranjera
• Información tributaria y económica
• Creación de empresas, licencias de funcionamiento, permisos.
G2X: Comercio Internacional (2/2)
G2X: Procesos de integración, Tramites consulares, Integraciones G2G (1/2)
• Integraciones entre gobierno a gobierno – Ejemplo Aduanas
USA – Aduanas China – Aduanas Francia.
• Seguro Social USA – Noruega.
• Doble pago de Impuestos USA – PERU.
• ePassport.
• Tramites consulares como Firma Legalizada de
documentos, Visado de documentos, Certificaciones,
Declaraciones, etc.
G2X: Procesos de integración, Tramites consulares, Integraciones G2G (2/2)
G2X: eCustoms: Tradelink (1/3)
• Tradelink Electronic Commerce Ltd. es un Joint Venture entre
el gobierno de Hong Kong y productores locales.
• Tradelink es el gateway entre los productores y el gobierno de
Hong Kong para manejar en forma electrónica el comercio y la
documentación aduanera de la comunidad de importaciones
/ exportaciones.
• Sus servicios incluyen, verificación y validación de
mensajes, cobranzas y pagos electrónicos, autenticación y
seguridad de mensajes, almacenamiento y auditorías de
mensajes
G2X: eCustoms: Tradelink (2/3)
• Su objetivo es eliminar las declaraciones en papel, reducir
los tiempos de procesamiento documentaria, disminuir
costos de operación y aumentar la eficiencia del puerto de
Hong Kong.
G2X: eCustoms: Tradelink (3/3)
G2X: Producto: Tradelink
G2X: TradeLink
G2X: Tradelink en Números (1/2)
• Comercio anual superior a los US$ 350 billones.
• 53,000 empresas registradas.
• 152,000 certificados digitales personales emitidos.
• 60,000 transacciones al día, 20 millones al año.
• 100% de las declaraciones en forma electrónica.
G2X: Tradelink en Números (2/2)
• 98% de los exportadores clasificados como empresas
pequeñas y medianas. El 87% con menos de 10
empleados.
• Costos por transacción bajos. Registro, cliente de
software, emisión de Certificado Digital gratuitos.
Interoperabilidad Nuevas Aplicaciones
ASEAL Alianza Pan-Asiatica para el comercio sin papel:
* China : CIECC
* Japan : TEDI
* Korea : KTNET
* Hong Kong : Tradelink
* Macau : TEDMEV
* Malaysia : Dagang Net
* Singapore : Crimson Logic
* Taiwan : Trade-Van
* Thailand : CTA
USA
Francia
Otros Ejemplos G2X
1
3
4
5 Permit Un trámite en los 60’
2
Information desk
1
Necesidad de
modernización
1
3
4
5 Permit Un trámite en los 90’
2
Information desk
Modernización
orientada a TIC
pero …
Limitada
modernización
del servicio
1
2 Permit
Un trámite “Después del 2005”
Service shop
Usuario en el centro.
TIC como habilitador de la
modernización del servicio
y reorganización
Foco en impacto, calidad,
eficiencia, temas sociales …
Automatización
Problemas para el desarrollo del Gobierno Electrónico (1/2)
• Un punto que concuerdan los implementadores en la región es
la lucha contra los dueños de los procesos y dueños de la
información, la resistencia al cambio en la forma de trabajo y en
la forma como se relacionan adentro del mismo gobierno, el
temor a perder la cuota de poder y las trabas legales, la
resistencia al cambio de paradigma y al cambio de visión de
conjunto.
• Otro punto importante es la falta de coordinación e
integración para servicios inter-entidades estatales, la
organización de silos y estructuras rígidas y verticales
• Existen muchas barreras y controles para facilitar la
implementación de nuevas soluciones con un predominio
del aspecto legal y económico en vez del técnico.
Problemas para el desarrollo del Gobierno Electrónico (2/2)
De un modelo de estructuras verticales
Hacia un modelo orientado al servicio
... y al cliente
Retos para el desarrollo del Gobierno Electrónico (1/2)
• Visión Diferente al de la empresa privada.
- Debe tomar en cuenta y equilibrar derechos y contrapesos
sin excesos.
- Debe cubrir temas no «rentables» por solidaridad e inclusión
sin ser asistencialistas.
- Debe ser facilitador y promotor (improve others).
- Debe mantener un nivel de control
- Debe mantener una mayor gobernabilidad
- A veces es necesario romper con paradigmas y vacas
sagradas, a veces se debe destruir para construir desde
cero.
Retos para el desarrollo del Gobierno Electrónico (2/2)
Otros Conceptos (1/2)
• Toll Bridge (peaje)
Concepto de negocios en el
que se busca construir un
obstáculo para obligar a los
demás a pagar por su uso
exclusivo sin mayor esfuerzo
o inversión.
• Toll Bridge (peaje)
En español es algo parecido al
peaje solamente, que el pago
se ha construido sobre una
infraestructura que no era
necesaria.
Otros Conceptos (2/2)
Railroading
• O Trencito
Concepto de negocios en el que se
busca cambiar de forma
obligatoria la ruta de un proceso o
trámite, de tal forma de
implementar un proceso mas largo
y costoso que reditúa mas ingresos
a la entidad dominante.
Sheriff of Nottinghan
Enfocar el aumento de la
eficiencia del estado en el
aumento de la presión tributaria,
no es una buena idea en
términos políticos.
Eficiencia
La facilidad y agilidad de los ciudadanos,
empresas y el propio gobierno en realizar
sus actividades sin que los tramites o
regulaciones impacten en las mismas,
obteniendo servicios de valor del estado.
De esta forma se obtiene la facilidad de
ser competitivos en tiempos, costos y
recursos.
La Meta
A principios de los año 90,la
medición de la eficiencia de las
partes, y no del todo llevo a muchas
industrias a la quiebra, de ahí surgió
la administración holística, que
evalúa la eficiencia por el resultado
final (la meta) y eliminar la
restricción.
Fuente: Eliyahu Goldratt – La Meta
Interoperabilidad (1/4)
• Detrás del concepto interoperabilidad, se esconden
aspectos tan importantes para los habitantes de la región
como la capacidad de proveer servicios de salud
adecuados, de mitigar el impacto de los desastres
naturales, de vigilar la seguridad de nuestros países o
facilitar el negocio exterior de nuestras empresas.
Interoperabilidad (2/4)
• La interoperabilidad permite que los gobiernos controlen
que no se paguen pensiones de jubilación a personas
fallecidas o que se utilicen fraudulentamente sus números
de identidad para hacerlos aparecer como votantes en las
elecciones generales.
Interoperabilidad (3/4)
• La interoperabilidad permite a las agencias que recaudan
los impuestos impedir por ejemplo, que algunas personas
que declaran ingresos correspondientes a estratos
socioeconómicos bajos, poseen casas de lujo en la playa
sin declarar, o a los que contando con antecedentes
penales sean contratados como maestros en las escuelas a
las que asisten nuestros hijos.
• La interoperabilidad, por tanto, no solo ahorra recursos financieros
a la administración pública, ahorra también vidas humanas a
nuestras sociedades. Numerosos líderes políticos de América
Latina y el Caribe ya han descubierto que sus naciones no van a
progresar sin un esfuerzo serio de gobierno electrónico. Es preciso
que entiendan ahora que no existe gobierno electrónico sin
interoperabilidad y que no existe interoperabilidad sin voluntad
política.
Fuente: CEPAL,Euroaid - Libro blanco de interoperabilidad de gobierno electrónico para América Latina y el Caribe Ver. 3 2007
Interoperabilidad (4/4)
Mejores Prácticas de Gobierno Electrónico
Mejores Prácticas de eGovernment (1/3)
• Visión y Voluntad Política
Previsión y Compromiso
Integración
Competencias de la Sociedad de la Información
OECD Organización para la Cooperación Económica y el Desarrollo http://europa.eu.int/idabc/en/document/1738/327
• Plataforma común y colaboración
Harmonización
Evitar barreras externas
Fomentar la colaboración
Mejores Prácticas de eGovernment (2/3)
OECD Organización para la Cooperación Económica y el Desarrollo http://europa.eu.int/idabc/en/document/1738/327
• Enfoque centrado en el usuario
Tomar en cuenta la demanda de los usuarios
Responsabilidad
• Cooperación Internacional
Estándares
Fortaleciendo la seguridad y la privacidad
Mejores Prácticas de eGovernment (3/3)
OECD Organización para la Cooperación Económica y el Desarrollo http://europa.eu.int/idabc/en/document/1738/327
Factores críticos para el éxito (1/3)
Para lograr la visión es necesario:
• Ser confiable para los usuarios.
• Ser valorado por los usuarios.
• Ser fácil de utilizar.
• Fomentar la interacción con el gateway.
• Construir la reputación del Gobierno.
• Crear una vista unificada de los servicios estatales.
Factores críticos para el éxito (2/3)
• Ofrecer cada vez servicios mas amplios.
• Estar diseñados alrededor del ciudadano.
• Ser innovadores y evolucionar con el tiempo.
• Integrar servicios a lo largo de todo el gobierno.
Factores críticos para el éxito (3/3)
• Permitir entregar servicios de eDemocracy.
• Ser el custodio (habilitador) de la visión del eGovernment.
• Crear liderazgo en línea dentro del Gobierno.
• Proveer eficiencias financieras.
Estrategia eGovernment de Australia (1/2)
• Strategy 1: Delivering the vision of eGovernment
• Strategy 2: Moving Centrelink to integrated, e-enabled service
delivery
• Strategy 3: Advancing self service
• Strategy 4: Connecting with the community
• Strategy 5: Making it easier for business to do business with
Centrelink
http://www.centrelink.gov.au/internet/internet.nsf/about_us/strategies.htm
Estrategia eGovernment de Australia (2/2)
• Strategy 6: Creating quality eBusiness services through
Centrelink people, processes and technology
• Strategy 7: Protecting government outlays
• Strategy 8: Protecting the individual's privacy and security
and maintaining Centrelink's trusted provider status
http://www.centrelink.gov.au/internet/internet.nsf/about_us/strategies.htm
• Historia – División Computadora Científica – Computadora de Negocios
• El Unix y el Software de Dominio Publico
• Movimiento de Colaboración
• Creación de internet
• Creacion de la licencia GNU
• Creación de Linux
• Fundacion de Red Hat Linux
• Creación del Software Libre de tipo empresarial
Software Libre (1/3)
Definición
Es el software que provee las siguientes libertades:
• La libertad de usar el programa, con cualquier propósito
• La libertad de estudiar cómo funciona el programa y
modificarlo, adaptándolo a tus necesidades.
Software Libre (2/3)
Definición
• La libertad de distribuir copias del programa, con lo cual
puedes ayudar a tu prójimo.
• La libertad de mejorar el programa y hacer públicas esas
mejoras a los demás, de modo que toda la comunidad se
beneficie.
Software Libre (3/3)
El tsunami del Software Libre
Lectura recomendada
La Catedral y el Bazar
Ensayo de Eric S. Raymond
Enlace: http://www.openbiz.com.ar/La%20Catedral%20y%20El%20Bazar.pdf
Certificados Digitales
Entorno actual (1/2)
• El desarrollo e integración de aplicaciones más ambiciosas
ha generado un crecimiento en las actividades de los
crackers.
Entorno actual (2/2)
• Cracker es la persona u organización que se encarga de
romper los esquemas de seguridad para sabotear, robar o
destruir información, con el fin de obtener un beneficio
personal o perjudicar a las organizaciones.
Actualmente un Cracker no es necesariamente un experto
Adivinar
password
Codigo
de reproducción
Forzar
password
Explotar
conocidas
vulnerabilidades
Inhabilitando
Auditorias
back
doors
Secuestrando
sesiones
Diagnosticos
secretos
Paquetes de estimulación/
engaño
Herramientas
de
Cracking
Habilidades
del Intruso
1980 1985 1990 1995 1998
Re
qu
eri
mie
nto
s d
e
ha
bilid
ad
es
pa
ra c
rac
ke
ar
Anti-
detección
Respuesta a esta situación
• La evolución de los ataques a las redes ha producido el desarrollo
de diversas herramientas de seguridad, penalización de estas
actividades ilícitas y organizaciones encargadas para desarrollar
estándares y procedimientos de seguridad como:
• Internet Security Task Force ISTF
• eBusiness Sucurity Task Force eSTF
• British Standards Committee 7799
• ISO 27000 – Sabarnes Oxley – HIPAA – ITIL
Problemática de la seguridad
• La seguridad de la información se define como la preservación de:
– Confidencialidad: Aseguramiento de que la información es
accesible sólo para aquellos autorizados a tener acceso.
– Integridad: Garantía de la exactitud y completitud de la
información y de los métodos de su procesamiento.
– Disponibilidad: Aseguramiento de que los usuarios autorizados
tienen acceso cuando lo requieran a la información y sus activos
asociados.
La firma Digital (1/2)
• Las Firmas y los Certificados Digitales, son componentes
habilitadores dentro de la Seguridad Informática muy
importantes.
La firma Digital (2/2)
• Los estándares vigentes aparecen el año 2000 y se
estabilizan el año 2003 hasta la fecha, es una tecnología
muy dinámica y tiene muchos campos de aplicación
como lo veremos a continuación.
Definiciones: Encriptación Asimétrica
Llave Privada Desencripta Sólo su dueño la puede acceder Usada para desencriptar datos.
Llave Publica Encripta Cualquiera la puede acceder. Usada para encriptar datos.
Firma Digital
Data normal
Función Hash aplicada a la Data normal Código Hash
1. El remitente inicia el proceso haciendo una suma matemática de la Data (llamada Hash)
2. El remitente encripta el código Hash con su llave privada
Código Hash Código Hash Firmado
Código Hash Firmado
Código Hash
3. Al recibir la data y el Código Hash encriptado. El receptor puede verificar el código Hash desencriptándolo con la llave pública del remitente.
4. El receptor utiliza la data para calcular un nuevo código Hash)
Data recibida
Función Hash aplicada a la Data recibida
Código Hash
Firma Digital
Se comparan el Código Hash Recibido y el
Código Hash calculado
Códigos Hash concuerdan
5. El Código Hash recibido es comparado con el Código Hash calculado.
Si concuerdan el receptor a verificado que la data no ha sido alterada
(Integridad)
Nota. Una firma digital, protege la data contra modificaciones, pero no
previene que sea vista por terceros, para ello se requiere encriptar su
data.
Firma Digital
Firma Digital con Encriptación
Llave Pública
Usado para encriptar mensajes, verificación
de Firmas
Llave Privada
Usado para firmar digitalmente, decodificación de mensajes
1. Bob escribe una carta a Alice la firma con su Llave Privada
3. Alice recibe la carta encriptada. Y la decodifica con su Llave Privada
2. El la encripta con la Llave Pública de Alice
4.Ella verifica la firma de Bob con la Llave Pública de Bob
A
A
B
B
Problema de Seguridad
Llave Pública
Usado para encriptar mensajes, verificación
de Firmas
Llave Privada
Usado para firmar digitalmente, decodificación de mensajes
1. Bob escribe una carta a Alice la firma con su Llave Privada
3. Alice recibe la carta encriptada. Y la decodifica con su Llave Privada
2. El la encripta con la Llave Pública de Alice
4.Ella verifica la firma de Bob con la Llave Pública de Bob
A
C
B
B
Llave Pública
Charlie suplanta la llave pública de Alice
B
C
Autoridad Certificadora
• Una Autoridad Certificadora (CA) es una entidad de confianza cuya principal función es la de certificar la autenticidad de los usuarios.
• Los Certificados Digitales son emitidos y firmados por la Autoridad Certificadora y actúan como prueba de que la llave pública correcta este asociada a un usuario.
• De esta forma a través de la confianza de una tercera parte, el que confía en la Autoridad Certificadora, confía también en la llave del usuario.
Certificado Digital
Un Certificado es un objeto que contiene (entre otras cosas): Información, en formato estándard de la industria, detallando la identidad de la persona.
Una llave pública asociada exclusivamente a esta persona.
Certificado
Certificado Raíz
• El Certificado Raíz (root certificate) es el certificado digital que
utiliza una CA para firmar los certificados digitales que emite.
• ¿Quién firma el Certificado Raíz? Otra entidad de certificación de
mayor jerarquía y confianza o es autofirmado.
• El Certificado Raíz de la CA es público para que pueda ser
instalado en los clientes como certificado aceptado y se publica en
un repositorio LDAP.
Componentes del PKI
RA Autoridad de Registro
Es la encargada de
verificar la información e
identidad del usuario
CA Autoridad Certificadora
Es la encargada de emitir
y firmar los Certificados
Digitales, Tambien los
publica y los revoca
LDAP Repositorio LDAP
Es la repositorio donde se
almacenan y publican los
Certificados Digitales
CRL / OCSP Lista de Revocación de
Certificados Digitales
Donde se encuentran los
Certificados revocados con
facilidades para su consulta.
Aplicación Web
Aplicación para la
interacción con los
usuarios, para los
servicios de:
Emisión
Revocación
Renovación
y Verificación de
Certificados
Digitales
Funcionalidad de un PKI
CA
LDAP
CRL / OCSP
Aplicación Web
CA / RA
La firma Digital – Historia (1/5)
El estándar X.509 comenzó el 3 de Julio de 1988 y comenzó
asociado al estándard X.500.
Asume un sistema vertical de Autoridades Certificadoras
(CAs) para emitir certificados.
Esto contrasta con los modelos web of trust, como PGP,
donde cualquiera (no solo especiales CAs) pueden firmar y
afirmar la validez de otras llaves de certificados.
La firma Digital – Historia (2/5)
La Version 3 del X.509 incluye la flexibilidad de soportar otras
topologías como puentes y malla.
Puede ser empleado en un esquema peer-to-peer, como el
modelo web of trust como OpenPGP, pero raramente ha sido
utilizado de este modo desde 2004.
La firma Digital – Historia (3/3) La firma Digital – Historia (3/5)
El equipo de trabajo encargado del estandard X.509 es el
Internet Engineering Task Force (IETF) y también se le conoce
como PKIX, este equipo de trabajo ha adaptado el estandard
para la organización mas flexible de la internet.
La firma Digital – Historia (4/5)
De hecho el término certificado X.509 usualmente se refiere al
certificado del IETF PKIX y el CRL Profile de la Version 3 del
estandard, como está especificado en RFC 5280, comunmente
referido como PKIX Infraestructura de Llave Pública (X.509) y es
publicado como una recomendación ITU-T X.509 (oficialmente
CCITT X.509) y ISO/IEC/ITU 9594-8 que definen el formato de
los certificados de llave pública y su validación.
La firma Digital – Historia (5/5)
Usos de los Certificados Digitales
• Autenticación de usuarios, programas, procesos de sistemas,
servicios, equipos.
• Firma de Documentos.
• Encriptación de documentos, canales/servicios de
comunicaciones.
Diferencia Autorización/Autenticación/Identificación (1/3)
Autenticación
• Es inherente a la acción que se desea realizar (para
acceder a una área restringida, por ejemplo).
• Lo provee un tercero neutral (un tercero da fe de una
credencial, en Certificados Digitales lo da la CA con el
empleo de la infraestructura PKI, por ejemplo).
Autenticación
• Es para un uso especifico (La autenticación y autorización para acceder a un
club es diferente que para acceder al datacenter de la empresa, por
ejemplo).
• Se pueden tener varios (En el caso de Certificados Digitales, se puede tener
uno para firmar, otro para encriptar y otro para autorizar).
• No solo se autentica personas (Los Certificados Digitales también
autentican servidores, programas, procesos incluso servicios de
comunicaciones).
Diferencia Autorización/Autenticación/Identificación (2/3)
Identificación
• Es inherente a la persona humana.
• Es para un uso General (multiuso).
• Solo se tiene uno.
• No requiere de un tercero que de fe.
Diferencia Autorización/Autenticación/Identificación (3/3)
Estándar RFC 5280
Infraestructura de Firma Digital (PKI) (1/2)
Conjunto de:
• Entidades Certificadoras
• Entidades de Registro / repositorios
• Personas y Servicios con políticas y cumplimiento de
Estándares
Para manejar el ciclo de vida del certificado.
Crear / Revocar / Informar su Estado
Infraestructura activa de:
• Entidades Certificadoras autorizadas
• Entidades de Registro / repositorios autorizados
(Manejadas por Personas y Servicios con políticas y
cumplimiento de Estándares auditados) Para dar fe de la
validez de un certificado y administrar su ciclo de vida Crear /
Revocar / Informar su Estado)
Infraestructura de Firma Digital (PKI) (2/2)
Efecto Legal y Efecto Económico (1/2)
El requerimiento legal vigente y empleado también en la Unión
Europea, Estados Unidos y el modelo legal de certificados
digitales de Naciones Unidas, indica que para la generación de
un certificado digital, la Entidad de Registro debe verificar la
identidad de una persona face-to-face y dejar una huella
auditable que indique que esta verificación se ha realizado.
Una vez que el usuario firma un documento legal, este ya
tiene valor legal.
Las verificaciones del estado del certificado se hacen
consultando a las entidades certificadoras en línea via OCSP
indicando tres estados, (Válido, Revocado, Desconocido).
En caso de ausencia del OCSP se usa las listas de revocación
de certificados CRLs que cada Entidad Certificadora publica
periodicamente en su site web.
Efecto Legal y Efecto Económico (2/2)
Autoridad Administrativa Competente de Firma Digital
Es la autoridad que adopta los estándares técnicos del país en
concordancia con los estándares internacionales, regula,
controla y administra a las entidades certificadoras (CA) y las
entidades de Registro (RA) que participan en el ciclo de vida
del Certificado Digital.
En el Perú la AAC es Indecopi.
Modelos de Interoperabilidad PKI
Modelo Jerárquico
Modelos de Interoperabilidad PKI
Modelo Certificación Cruzada
Modelos de Interoperabilidad PKI
Modelo de Puente
Modelos de Interoperabilidad PKI
Modelo de Reconocimiento cruzado
Modelos de Interoperabilidad PKI
Modelo de CTL
Modelos de Interoperabilidad PKI
Modelo de Europa
Análisis de Interoperabilidad
• Europa:
Según la Ley 59/2003, de firma electrónica,
en España, la firma electrónica es el conjunto
de datos en forma electrónica, consignados
junto a otros o asociados con ellos, que
pueden ser utilizados como medio de
identificación del firmante.
Fuente: Artículo 3. Firma electrónica, y documentos firmados electrónicamente,Ley 59/2003, de 19 de diciembre, de firma electrónica, España
Aspecto legal (1/6)
Aspecto legal (2/6)
• Europa:
Según la Directiva 1999/93/CE del Parlamento
Europeo y del Consejo, de 13 de diciembre de
1999, por la que se establece un marco
comunitario para la firma electrónica, la firma
electrónica son los datos en forma electrónica
anexos a otros datos electrónicos o asociados de
manera lógica con ellos, utilizados como medio de
autenticación.
Fuente: Artículo 3. Firma electrónica, y documentos firmados electrónicamente,Ley 59/2003, de 19 de diciembre, de firma electrónica, España
• Europa:
La Ley 59/2003, de 19 de diciembre, de firma electrónica establece los
siguientes conceptos:
• Firma electrónica: es el conjunto de datos en forma electrónica,
consignados junto a otros o asociados con ellos, que pueden ser
utilizados como medio de identificación del firmante.
• Firma electrónica avanzada: es la firma electrónica que permite
identificar al firmante y detectar cualquier cambio ulterior de los
datos firmados, que está vinculada al firmante de manera única y a
los datos a que se refiere y que ha sido creada por medios que el
firmante puede mantener bajo su exclusivo control.
Fuente: https://www.sede.fnmt.gob.es/normativa/firma-electronica
Aspecto legal (3/6)
• Europa:
• Firma electrónica reconocida: es la firma electrónica
avanzada basada en un certificado reconocido y
generada mediante un dispositivo seguro de creación
de firma.
La firma electrónica reconocida tendrá respecto de los
datos consignados en forma electrónica el mismo valor que
la firma manuscrita en relación con los consignados en
papel.
Fuente: https://www.sede.fnmt.gob.es/normativa/firma-electronica
Aspecto legal (4/6)
• Europa:
•Firma Electrónica Longeva (o de larga duración):
•Consiste en una firma electrónica dotada de validez a lo
largo del tiempo.
•Esto se consigue incluyendo en la firma todos los
certificados de la cadena de confianza y el resultado de la
comprobación de validez de los mismos en el momento en
el que se realizo la firma, así como por ejemplo al ir
refirmando y actualizando los sellos de tiempo de forma
regular.
Fuente: «BOE» núm. 182, de 30 de julio de 2011, páginas 87121 a 87133 (13 págs.) BOE-A-2011-13171 / artículo 18 del citado Real Decreto 4/2010, de 8 de enero
Aspecto legal (5/6)
• Europa:
• Este proceso de refirmado se utiliza para
garantizar que unos datos que fueron firmados
con un algoritmo que era válido en su día, pero
inseguros actualmente debido a la evolución
tecnológica, no pierdan valor ya que se han ido
refirmando siempre con algoritmos
criptográficos seguros en cada momento.
Fuente: «BOE» núm. 182, de 30 de julio de 2011, páginas 87121 a 87133 (13 págs.) BOE-A-2011-13171 / artículo 18 del citado Real Decreto 4/2010, de 8 de enero
Aspecto legal (6/6)
Introducción a SOA
Arquitectura SOA
La arquitectura SOA se encuadra en
resolver problemas complejos con
una gran cantidad de recursos
duplicados y desordenados, lo que
hacen difícil su gobierno y operación
Arquitectura
+ Software Architecture in Practice -
Kazman
“La estructura de estructuras de un
sistema, la cual abarca
componentes de software,
propiedades externas visibles de
estos componentes y sus
relaciones”.
Orientación a Procesos
Data Warehouse del Cliente
Unidades de Negocios
Sistema de Ventas y Compras
Servicios
de
Negocios
Sistemas
Existentes
Empresa de Servicios Financieros
Ensamblar y Orquestar Servicios (Proceso de Orquestación)
Configurar Cuenta Corriente
Chequear crédito del Cliente
Verificar Dirección del Cliente
Contratar Producto
Realizar Chequeo contra fraude
Socios de Negocios
Sistema de Marketing
Sistemas de riesgo
Sistemas corporativos
Crédito Instanténeo
Solicitar una Tarjeta de Crédito nueva
Proceso de Préstamo hipotecario
Solicitar Crédito hipotecario
Soluciones
Arquitectura SOA (1/2)
Integración de Sistemas Interoperabilidad tecnológica
Estandarización de Arquitectura e Infraestructura
Arquitectura Orientada a Servicios Estandarización de servicios
Reducción de implementación de código
Ingenieros de
Software
Arquitectos de Sistemas
Diseñadores
de Procesos
Analistas de Negocio
Ejecutivos
Actividad del Negocio Monitorización de los procesos de negocio
Seguimiento y control del negocio
Estrategia de Negocio Generar nuevas aplicaciones
Mejorar la eficiencia Aumentar el valor de negocio
Es
trate
gia
de
N
eg
oc
io
Ap
rove
ch
ar
sis
tem
as
ex
iste
nte
s
Negocio Gestión de Procesos de Negocio Desarrollo rápido de nuevos servicios
Automatización de procesos de negocio
Linux J2E
E Unix
OS/360
.NET D
B2
MQ
Finance
SAP People soft
Siebel
Dir
Outlook
Sales Cust
omer
Product
Employe
e
Un enfoque de orientación a servicios permite aislar las tareas y roles para el desarrollo de nuevas aplicaciones
• Estilo de arquitectura que permite construir sistemas basados en la
interacción de componentes autónomos de granularidad gruesa
llamados servicios.
• Cada servicio expone procesos y comportamiento a través de
contratos.
Arquitectura SOA (2/2)
Servicio (1/3)
“ Una facilidad para suministrar alguna demanda pública”
Merriam Webster
“ Un mecanismo para acceder a una o mas capacidades,
donde el acceso es provisto por medio de una interface
prescripta y se ejerce de conformidad con restricciones y
políticas tal cual se especifica en la descripción del servicio”
OASIS
• Es una unidad bien definida de funcionalidad que es
accesible vía un protocolo estándar y puede ser
invocada por medio de una interface bien definida.
Dentro de una arquitectura SOA el servicio sigue un
conjunto de principios y puede estar monitoreado y
manejado.
Servicio (2/3)
• Cada recurso de IT, ya sea una aplicación, sistema, partner,
puede ser accedido por medio de un servicio.
• Mediante la composición de servicios se logran crear
nuevos servicios que implementan nueva lógica de
negocios.
•Rápida respuesta a los cambios del negocio.
•Reducción de costos.
•Reduce la complejidad.
Servicio (3/3)
Contrato y endpoint
• El contrato es la colección de todos los mensajes que puede soportar el
servicio.
• El contrato es unilateral.
• El contrato puede ser considerado como la interface del servicio.
• El endpoint es la dirección (URI) donde el servicio puede ser encontrado y
consumido.
• Un contrato especifico puede ser expuesto en un endpoint especifico.
Mito y Realidad
Web Service (1/3)
• Un servicio web (en inglés, Web Service o Web services)
es una tecnología que utiliza un conjunto de protocolos
y estándares que sirven para intercambiar datos entre
aplicaciones vía web.
Web Service (2/3)
• Las organizaciones OASIS y W3C son los comités
responsables de la arquitectura y reglamentación de los
servicios Web
UDDI
Registry WSDL
Web
Service SOAP
Service
Consumer
Points to description
Describes
Service Finds
Service
Communicates with
XML Messages
Web Service (3/3)