Arquitectura SOA_Introducción.pdf

Arquitectura Orientada

al Servicio - Curso internacional -

Escuela Nacional de Administración Pública

Perú

Fundamentos de SOA y

de computación orientada a servicios

En un organismo, los procesos no están

organizados alrededor de la energía en el

sentido físico del término. Ellos están

organizados alrededor de la información.

Concepto

Identificar las metas estratégicas de la

computación orientada al servicio, así como las

características de la arquitectura orientada al

servicio, sus ámbitos de aplicación y los

requerimientos e impacto de su adopción.

Logro de Aprendizaje

• 1.1 Metas estratégicas de la Computación Orientada a

Servicios.

• 1.2 Términos fundamentales de la Computación

Orientada a Servicios.

• 1.3 Conceptos relacionados a Servicios, Arquitectura

Orientada a Servicios y Composición de Servicios.

• 1.4 Introducción al Paradigma de Diseño de

Orientación a Servicios.

Tabla de Contenidos

Marco Gubernamental SOA: Gobierno Electrónico

Definición

• Uso de la Tecnología de La información y Comunicaciones en las entidades estatales para mejorar y transformar las relaciones con la Ciudadanía, el empresariado y otras Organizaciones del Estado.

Empleadas para

• La mejora en los servicios del Estado a la Ciudadanía

• La mejora en la interacción con las empresas y la industria

• El potenciamiento de la Ciudadanía a través del acceso a la información

• La administración más eficiente del Gobierno

Obteniendo los Beneficios

• Mayor transparencia

• Mayor coherencia (Uso racional)

• Menor corrupción

• Mayores Ingresos

• Menor Gasto Fiscal World Bank

Entendiendo el Gobierno Electrónico

Otra definición

• Otra definición hace hincapié en que el gobierno electrónico

constituye una nueva manera de organizar la gestión pública para

aumentar la eficiencia, transparencia, accesibilidad y capacidad de

respuesta a los ciudadanos a través de un uso intensivo y estratégico

de las tecnologías de la información y comunicaciones, tanto en la

gestión interna del sector público como en sus relaciones diarias con

ciudadanos y usuarios de los servicios públicos

Fuente: Claudio Orrego citado por Ester Kaufman 2003 El foro transversal de responsables informáticos: crisis, burocracia, redes y gobierno electrónico en la Argentina

Entendiendo el Gobierno Electrónico

Fuente: Eugenio Rivera Urrutia – Concepto y Problemas de la Construcción del Gobierno Electrónico

Alcance del Gobierno Electrónico

Entrega de Servicios Electrónicos (G2C) – Entregando información y servicios electrónicamente a Ciudadanos y

Empresas

Transacciones de Gobierno a Empresas (G2B) – Entregando información y transacciones electrónicas con empresas.

Compras electrónicas del Estado y proyectos de infraestructura.

Administración Interna del Gobierno (G2G, G2E) – Mejorando la eficiencia, efectividad y transparencia de las interacciones

dentro y entre entidades estatales, y entre los empleados públicos.

Comercio Internacional (G2X) – Aumentando las exportaciones, el turismo y captando Inversiones.

Impacto en los involucrados

Entrega de Servicios Electrónicos (1/2)

• Los Portales son el medio clave para ofrecer estos servicios a las empresas y a los ciudadanos. Permiten al gobierno concentrar los servicios y ordenarlos en forma conveniente y lógica para los usuarios. De esta forma las empresas y los ciudadanos no tienen que entender como esta organizado el estado o que entidad estatal es la responsable por el servicio que requiere. Los portales pueden simplificar la interacción de las empresas y los ciudadanos con el Gobierno.

Entrega de Servicios Electrónicos (2/2)

Government-to-Citizen (G2C) y Government–to-Business (G2B)

• Los ciudadanos pueden obtener su licencia de conducir,

pasaporte, formularios de impuestos, registro de propiedades, partidas de nacimiento y defunción, etc.

• Empresas obteniendo su licencia de funcionamiento, pago de impuestos, participación en licitaciones, llenando información regulatoria.

G2C: Carta d'Identitá Elettronica CIE)

Carta d'Identitá Elettronica en Números (1/4)

• El gobierno Italiano es uno de los pioneros en el uso de

sistemas de PKI integrados en la Cédula de Identidad

Nacional con el nombre de Carta d'Identitá Elettronica (CIE).

• Dos objetivos: Identificar físicamente al ciudadano y actuar

como un mecanismo de autenticación electrónica.

• Incorporada el año 2000, Las alcaldías son encargadas de

emitir las Cédulas de Identidad Electrónicas actualmente

en 80 ciudades y planeando abarcar 83 ciudades

adicionales.


• El Sistema estará difundido a 55 millones de habitantes el 2008.

• Las alcaldías asocian esta cédula con servicios electrónicos gubernamentales, especialmente los de Seguridad Social y los registros de Salud.


• El diseño de la información del Certificado Digital es especial

para no revelar información privada de acuerdo a las leyes

sobre privacidad de la información Incorpora una memoria

donde se alberga un certificado digital y una banda láser

que contiene información personal, holograma, firma y otra

información indeleble del ciudadano.


G2B: Transacciones de Gobierno a Empresas (1/2)

• El Irish Revenue Comissioners es la entidad Irlandesa para la

cobranza de impuestos y además tiene a su cargo la

cobranza de los derechos de aduanas.

• Al año recauda un poco más de 50 Billones de Euros y

procesa 3 millones de declaraciones tributarias.

• El año 2000 lanzaron la iniciativa para realizar estos pagos

en forma electrónica en línea.

• Este sistema basado en PKI se denomina Revenue On-Line

Services (ROS).

G2B: Transacciones de Gobierno a Empresas (2/2)

G2B: eTAX Revenue On-Line Services (ROS)

ROS en Números

• 214,000 Declaraciones Tributarias procesadas.

• 440,000 Consultas Tributarias atendidas.

• 6.5 Billones de Euros recaudados con éste sistema.

• 545 millones de Euros en devoluciones tributarias.

• Antes 1,000 personas para procesar con un 20% de errores y empleando 20 millones de hojas impresas.

* Información del año 2002

• Se espera llegar al 50% de cobertura el año 2005.

G2B: Compras Electrónicas

G2B: Sistema de compras electrónicas de Chile

Contexto • Política de compras no coherente entre las diferentes entidades estatales. • Las empresas tenían que tratar con reglas diferentes para cada entidad

estatal. Nuevo enfoque • http://www.comprachile.cl • Sistema electrónico que permite guardar, distribuir y analizar información de

compras así como generación de licitaciones. • Un único registro como proveedor para todas las entidades estatales. • Transparencia en los pasos de los procesos de licitación. Beneficios • Ahorros por mejor eficiencia de $200 millones al año las compras del Estado • Mayor transparencia, eficiencia, e igualdad de oportunidades. C

G2G:Administración interna del Gobierno

• Desarrollo de una sólida y robusta infraestructura de

información interna para facilitar la comunicación

electrónica, compartición de información y colaboración

entre las diferentes entidades estatales.

• Creación de una plataforma y arquitectura común así

como estándares comunes a lo largo de toda la

infraestructura de TI del Estado.

G2G:Administración interna del Gobierno (1/2)

• Creación de guías de implantación y administración de sistemas de TI, con una visión para facilitar la compatibilidad e interoperabilidad.

• Creación de un formato común de meta-datos para compartir e intercambiar datos entre las entidades estatales y el sector privado.

• Añadiendo información de los Ciudadanos y Empresas en repositorios comunes

• Estableciendo alianzas con otros gobiernos regionales para compras, almacenamiento, compartición de información

• Facilitando el aprendizaje y la colaboración entre empleados estatales.

G2G:Administración interna del Gobierno (2/2)

Porque PKI para eAuthentication

• El grueso de las aplicaciones iniciales de e-Gov son aplicaciones

web..

• En el año 2003 una encuesta mundial de OASIS identifico los

formularios firmados electrónicamente como el uso prioritario para

el PKI (1)

• ¿Alguno de ustedes quiere estimar cuantos formularios se usan

actualmente por el Gobierno?

• (1) OASIS Public Key Infrastructure Technical Committee, “Analysis of June 2003 Survey on Obstacles to PKI Deployment and Usage”, 8

de Agosto del 2003 http://www.oasis-open.org/committees/pki/pkiobstaclesjune2003surveyreport.pdf

Encuesta de OASIS sobre la problemática del PKI

(1) OASIS Public Key Infrastructure Technical Committee, “Analysis of June 2003 Survey on Obstacles to PKI Deployment and Usage”, August 8, 2003 http://www.oasis-open.org/committees/pki/pkiobstaclesjune2003surveyreport.pdf

¿Cuál es el rol del PKI en la arquitectura del e-Autenticación en USA? (1/2)

• Satisface eficientemente los niveles de acreditación de

identidad 3 y 4 (OMB M-04-04).

• Satisface eficientemente los niveles de riesgo 3 & 4 (FIPS 199,

SP 800-63).

• In Hoc Signo Vinces – PKI con interoperatibilidad en

“puente” es un gran ejempo de una administración de

identidades federada.

• PKI se integra bién con tecnologías emergentes que

conectan autenticacion y autorizacion, ejemplo: SAML.

¿Cuál es el rol del PKI en la arquitectura del e-Autenticación en USA? (2/2)

G2G: Enfoque del Gobierno USA

G2G: Educause

A Simplified View of E-Auth Federation Architecture

Levels 1 &

2 CSPs

Levels 3 &

4 CSPs

-Banks

-Universities

-Agency Apps

-Etc.

Federal Agency PKIs

Other Gov PKIs

Commercial PKIs

Bridges

SAML Assertions

Digital Certificates

Levels 1 &

2 Online

Apps &

Services Levels 3 &

4 Online

Apps &

Services

SDT

Privacidad de la Información

• Origen en revista Digital Nation.

• La tecnología de Firma Digital

contribuye a manejar la privacidad

mediante atributos

• Esta tecnología se ha estandarizado

como SAML y utilizado en

aplicaciones de alcance nacional

Second Access - Authenticated

Target Web

Server

Origin Site Target Site

Browser

First Access - Unauthenticated

Web Login Server

Redirect User to Local Web Login

Ask to Obtain Entitlements

Pass entitlements for authz decision

Pass content if user is allowed Authentication

Attribute Server

Entitlements

Auth OK

Req Ent

Ent Prompt

Authentication

Phase

Authorization

Phase

Success!

Arquitectura de Shibboleth detalle conceptual – Ahora SAML V2

G2X: Comercio Internacional (1/2)

Interacciones de Gobierno a Gobierno

• Cooperación en proyectos de infraestructura de TI con otros

estados y el Gobierno Central

• Co-inversión con otros gobiernos (organismos de colaboración)

Desarrollo del turismo

• Portal de promoción al turismo

• Reservas de hoteles en línea, alquiler de auto, etc.

Expatriaciones

• Repatriación de utilidades

• Inmigración y solicitudes de permisos de trabajo

Inversión Extranjera

• Información tributaria y económica

• Creación de empresas, licencias de funcionamiento, permisos.

G2X: Comercio Internacional (2/2)

G2X: Procesos de integración, Tramites consulares, Integraciones G2G (1/2)

• Integraciones entre gobierno a gobierno – Ejemplo Aduanas

USA – Aduanas China – Aduanas Francia.

• Seguro Social USA – Noruega.

• Doble pago de Impuestos USA – PERU.

• ePassport.

• Tramites consulares como Firma Legalizada de

documentos, Visado de documentos, Certificaciones,

Declaraciones, etc.

G2X: Procesos de integración, Tramites consulares, Integraciones G2G (2/2)

G2X: eCustoms: Tradelink (1/3)

• Tradelink Electronic Commerce Ltd. es un Joint Venture entre

el gobierno de Hong Kong y productores locales.

• Tradelink es el gateway entre los productores y el gobierno de

Hong Kong para manejar en forma electrónica el comercio y la

documentación aduanera de la comunidad de importaciones

/ exportaciones.

• Sus servicios incluyen, verificación y validación de

mensajes, cobranzas y pagos electrónicos, autenticación y

seguridad de mensajes, almacenamiento y auditorías de

mensajes


• Su objetivo es eliminar las declaraciones en papel, reducir

los tiempos de procesamiento documentaria, disminuir

costos de operación y aumentar la eficiencia del puerto de

Hong Kong.


G2X: Producto: Tradelink

G2X: TradeLink

G2X: Tradelink en Números (1/2)

• Comercio anual superior a los US$ 350 billones.

• 53,000 empresas registradas.

• 152,000 certificados digitales personales emitidos.

• 60,000 transacciones al día, 20 millones al año.

• 100% de las declaraciones en forma electrónica.

G2X: Tradelink en Números (2/2)

• 98% de los exportadores clasificados como empresas

pequeñas y medianas. El 87% con menos de 10

empleados.

• Costos por transacción bajos. Registro, cliente de

software, emisión de Certificado Digital gratuitos.

Interoperabilidad Nuevas Aplicaciones

ASEAL Alianza Pan-Asiatica para el comercio sin papel:

* China : CIECC

* Japan : TEDI

* Korea : KTNET

* Hong Kong : Tradelink

* Macau : TEDMEV

* Malaysia : Dagang Net

* Singapore : Crimson Logic

* Taiwan : Trade-Van

* Thailand : CTA

USA

Francia

Otros Ejemplos G2X

1

3

4

5 Permit Un trámite en los 60’

2

Information desk

1

Necesidad de

modernización

1

3

4

5 Permit Un trámite en los 90’

2

Information desk

Modernización

orientada a TIC

pero …

Limitada

modernización

del servicio

1

2 Permit

Un trámite “Después del 2005”

Service shop

Usuario en el centro.

TIC como habilitador de la

modernización del servicio

y reorganización

Foco en impacto, calidad,

eficiencia, temas sociales …

Automatización

Problemas para el desarrollo del Gobierno Electrónico (1/2)

• Un punto que concuerdan los implementadores en la región es

la lucha contra los dueños de los procesos y dueños de la

información, la resistencia al cambio en la forma de trabajo y en

la forma como se relacionan adentro del mismo gobierno, el

temor a perder la cuota de poder y las trabas legales, la

resistencia al cambio de paradigma y al cambio de visión de

conjunto.

• Otro punto importante es la falta de coordinación e

integración para servicios inter-entidades estatales, la

organización de silos y estructuras rígidas y verticales

• Existen muchas barreras y controles para facilitar la

implementación de nuevas soluciones con un predominio

del aspecto legal y económico en vez del técnico.

Problemas para el desarrollo del Gobierno Electrónico (2/2)

De un modelo de estructuras verticales

Hacia un modelo orientado al servicio

... y al cliente

Retos para el desarrollo del Gobierno Electrónico (1/2)

• Visión Diferente al de la empresa privada.

- Debe tomar en cuenta y equilibrar derechos y contrapesos

sin excesos.

- Debe cubrir temas no «rentables» por solidaridad e inclusión

sin ser asistencialistas.

- Debe ser facilitador y promotor (improve others).

- Debe mantener un nivel de control

- Debe mantener una mayor gobernabilidad

- A veces es necesario romper con paradigmas y vacas

sagradas, a veces se debe destruir para construir desde

cero.

Retos para el desarrollo del Gobierno Electrónico (2/2)

Otros Conceptos (1/2)

• Toll Bridge (peaje)

Concepto de negocios en el

que se busca construir un

obstáculo para obligar a los

demás a pagar por su uso

exclusivo sin mayor esfuerzo

o inversión.

• Toll Bridge (peaje)

En español es algo parecido al

peaje solamente, que el pago

se ha construido sobre una

infraestructura que no era

necesaria.

Otros Conceptos (2/2)

Railroading

• O Trencito

Concepto de negocios en el que se

busca cambiar de forma

obligatoria la ruta de un proceso o

trámite, de tal forma de

implementar un proceso mas largo

y costoso que reditúa mas ingresos

a la entidad dominante.

Sheriff of Nottinghan

Enfocar el aumento de la

eficiencia del estado en el

aumento de la presión tributaria,

no es una buena idea en

términos políticos.

Eficiencia

La facilidad y agilidad de los ciudadanos,

empresas y el propio gobierno en realizar

sus actividades sin que los tramites o

regulaciones impacten en las mismas,

obteniendo servicios de valor del estado.

De esta forma se obtiene la facilidad de

ser competitivos en tiempos, costos y

recursos.

La Meta

A principios de los año 90,la

medición de la eficiencia de las

partes, y no del todo llevo a muchas

industrias a la quiebra, de ahí surgió

la administración holística, que

evalúa la eficiencia por el resultado

final (la meta) y eliminar la

restricción.

Fuente: Eliyahu Goldratt – La Meta

Interoperabilidad (1/4)

• Detrás del concepto interoperabilidad, se esconden

aspectos tan importantes para los habitantes de la región

como la capacidad de proveer servicios de salud

adecuados, de mitigar el impacto de los desastres

naturales, de vigilar la seguridad de nuestros países o

facilitar el negocio exterior de nuestras empresas.


• La interoperabilidad permite que los gobiernos controlen

que no se paguen pensiones de jubilación a personas

fallecidas o que se utilicen fraudulentamente sus números

de identidad para hacerlos aparecer como votantes en las

elecciones generales.


• La interoperabilidad permite a las agencias que recaudan

los impuestos impedir por ejemplo, que algunas personas

que declaran ingresos correspondientes a estratos

socioeconómicos bajos, poseen casas de lujo en la playa

sin declarar, o a los que contando con antecedentes

penales sean contratados como maestros en las escuelas a

las que asisten nuestros hijos.

• La interoperabilidad, por tanto, no solo ahorra recursos financieros

a la administración pública, ahorra también vidas humanas a

nuestras sociedades. Numerosos líderes políticos de América

Latina y el Caribe ya han descubierto que sus naciones no van a

progresar sin un esfuerzo serio de gobierno electrónico. Es preciso

que entiendan ahora que no existe gobierno electrónico sin

interoperabilidad y que no existe interoperabilidad sin voluntad

política.

Fuente: CEPAL,Euroaid - Libro blanco de interoperabilidad de gobierno electrónico para América Latina y el Caribe Ver. 3 2007


Mejores Prácticas de Gobierno Electrónico

Mejores Prácticas de eGovernment (1/3)

• Visión y Voluntad Política

Previsión y Compromiso

Integración

Competencias de la Sociedad de la Información

OECD Organización para la Cooperación Económica y el Desarrollo http://europa.eu.int/idabc/en/document/1738/327

• Plataforma común y colaboración

Harmonización

Evitar barreras externas

Fomentar la colaboración



• Enfoque centrado en el usuario

Tomar en cuenta la demanda de los usuarios

Responsabilidad

• Cooperación Internacional

Estándares

Fortaleciendo la seguridad y la privacidad



Factores críticos para el éxito (1/3)

Para lograr la visión es necesario:

• Ser confiable para los usuarios.

• Ser valorado por los usuarios.

• Ser fácil de utilizar.

• Fomentar la interacción con el gateway.

• Construir la reputación del Gobierno.

• Crear una vista unificada de los servicios estatales.


• Ofrecer cada vez servicios mas amplios.

• Estar diseñados alrededor del ciudadano.

• Ser innovadores y evolucionar con el tiempo.

• Integrar servicios a lo largo de todo el gobierno.


• Permitir entregar servicios de eDemocracy.

• Ser el custodio (habilitador) de la visión del eGovernment.

• Crear liderazgo en línea dentro del Gobierno.

• Proveer eficiencias financieras.

Estrategia eGovernment de Australia (1/2)

• Strategy 1: Delivering the vision of eGovernment

• Strategy 2: Moving Centrelink to integrated, e-enabled service

delivery

• Strategy 3: Advancing self service

• Strategy 4: Connecting with the community

• Strategy 5: Making it easier for business to do business with

Centrelink

http://www.centrelink.gov.au/internet/internet.nsf/about_us/strategies.htm

Estrategia eGovernment de Australia (2/2)

• Strategy 6: Creating quality eBusiness services through

Centrelink people, processes and technology

• Strategy 7: Protecting government outlays

• Strategy 8: Protecting the individual's privacy and security

and maintaining Centrelink's trusted provider status

http://www.centrelink.gov.au/internet/internet.nsf/about_us/strategies.htm

• Historia – División Computadora Científica – Computadora de Negocios

• El Unix y el Software de Dominio Publico

• Movimiento de Colaboración

• Creación de internet

• Creacion de la licencia GNU

• Creación de Linux

• Fundacion de Red Hat Linux

• Creación del Software Libre de tipo empresarial

Software Libre (1/3)

Definición

Es el software que provee las siguientes libertades:

• La libertad de usar el programa, con cualquier propósito

• La libertad de estudiar cómo funciona el programa y

modificarlo, adaptándolo a tus necesidades.


Definición

• La libertad de distribuir copias del programa, con lo cual

puedes ayudar a tu prójimo.

• La libertad de mejorar el programa y hacer públicas esas

mejoras a los demás, de modo que toda la comunidad se

beneficie.


El tsunami del Software Libre

Lectura recomendada

La Catedral y el Bazar

Ensayo de Eric S. Raymond

Enlace: http://www.openbiz.com.ar/La%20Catedral%20y%20El%20Bazar.pdf

Certificados Digitales

Entorno actual (1/2)

• El desarrollo e integración de aplicaciones más ambiciosas

ha generado un crecimiento en las actividades de los

crackers.

Entorno actual (2/2)

• Cracker es la persona u organización que se encarga de

romper los esquemas de seguridad para sabotear, robar o

destruir información, con el fin de obtener un beneficio

personal o perjudicar a las organizaciones.

Actualmente un Cracker no es necesariamente un experto

Adivinar

password

Codigo

de reproducción

Forzar

password

Explotar

conocidas

vulnerabilidades

Inhabilitando

Auditorias

back

doors

Secuestrando

sesiones

Diagnosticos

secretos

Paquetes de estimulación/

engaño

Herramientas

de

Cracking

Habilidades

del Intruso

1980 1985 1990 1995 1998

Re

qu

eri

mie

nto

s d

e

ha

bilid

ad

es

pa

ra c

rac

ke

ar

Anti-

detección

Respuesta a esta situación

• La evolución de los ataques a las redes ha producido el desarrollo

de diversas herramientas de seguridad, penalización de estas

actividades ilícitas y organizaciones encargadas para desarrollar

estándares y procedimientos de seguridad como:

• Internet Security Task Force ISTF

• eBusiness Sucurity Task Force eSTF

• British Standards Committee 7799

• ISO 27000 – Sabarnes Oxley – HIPAA – ITIL

Problemática de la seguridad

• La seguridad de la información se define como la preservación de:

– Confidencialidad: Aseguramiento de que la información es

accesible sólo para aquellos autorizados a tener acceso.

– Integridad: Garantía de la exactitud y completitud de la

información y de los métodos de su procesamiento.

– Disponibilidad: Aseguramiento de que los usuarios autorizados

tienen acceso cuando lo requieran a la información y sus activos

asociados.

La firma Digital (1/2)

• Las Firmas y los Certificados Digitales, son componentes

habilitadores dentro de la Seguridad Informática muy

importantes.

La firma Digital (2/2)

• Los estándares vigentes aparecen el año 2000 y se

estabilizan el año 2003 hasta la fecha, es una tecnología

muy dinámica y tiene muchos campos de aplicación

como lo veremos a continuación.

Definiciones: Encriptación Asimétrica

Llave Privada Desencripta Sólo su dueño la puede acceder Usada para desencriptar datos.

Llave Publica Encripta Cualquiera la puede acceder. Usada para encriptar datos.

Firma Digital

Data normal

Función Hash aplicada a la Data normal Código Hash

1. El remitente inicia el proceso haciendo una suma matemática de la Data (llamada Hash)

2. El remitente encripta el código Hash con su llave privada

Código Hash Código Hash Firmado

Código Hash Firmado

Código Hash

3. Al recibir la data y el Código Hash encriptado. El receptor puede verificar el código Hash desencriptándolo con la llave pública del remitente.

4. El receptor utiliza la data para calcular un nuevo código Hash)

Data recibida

Función Hash aplicada a la Data recibida

Código Hash

Firma Digital

Se comparan el Código Hash Recibido y el

Código Hash calculado

Códigos Hash concuerdan

5. El Código Hash recibido es comparado con el Código Hash calculado.

Si concuerdan el receptor a verificado que la data no ha sido alterada

(Integridad)

Nota. Una firma digital, protege la data contra modificaciones, pero no

previene que sea vista por terceros, para ello se requiere encriptar su

data.

Firma Digital

Firma Digital con Encriptación

Llave Pública

Usado para encriptar mensajes, verificación

de Firmas

Llave Privada

Usado para firmar digitalmente, decodificación de mensajes

1. Bob escribe una carta a Alice la firma con su Llave Privada

3. Alice recibe la carta encriptada. Y la decodifica con su Llave Privada

2. El la encripta con la Llave Pública de Alice

4.Ella verifica la firma de Bob con la Llave Pública de Bob

A

A

B

B

Problema de Seguridad

Llave Pública

Usado para encriptar mensajes, verificación

de Firmas

Llave Privada

Usado para firmar digitalmente, decodificación de mensajes

1. Bob escribe una carta a Alice la firma con su Llave Privada

3. Alice recibe la carta encriptada. Y la decodifica con su Llave Privada

2. El la encripta con la Llave Pública de Alice

4.Ella verifica la firma de Bob con la Llave Pública de Bob

A

C

B

B

Llave Pública

Charlie suplanta la llave pública de Alice

B

C

Autoridad Certificadora

• Una Autoridad Certificadora (CA) es una entidad de confianza cuya principal función es la de certificar la autenticidad de los usuarios.

• Los Certificados Digitales son emitidos y firmados por la Autoridad Certificadora y actúan como prueba de que la llave pública correcta este asociada a un usuario.

• De esta forma a través de la confianza de una tercera parte, el que confía en la Autoridad Certificadora, confía también en la llave del usuario.

Certificado Digital

Un Certificado es un objeto que contiene (entre otras cosas): Información, en formato estándard de la industria, detallando la identidad de la persona.

Una llave pública asociada exclusivamente a esta persona.

Certificado

Certificado Raíz

• El Certificado Raíz (root certificate) es el certificado digital que

utiliza una CA para firmar los certificados digitales que emite.

• ¿Quién firma el Certificado Raíz? Otra entidad de certificación de

mayor jerarquía y confianza o es autofirmado.

• El Certificado Raíz de la CA es público para que pueda ser

instalado en los clientes como certificado aceptado y se publica en

un repositorio LDAP.

Componentes del PKI

RA Autoridad de Registro

Es la encargada de

verificar la información e

identidad del usuario

CA Autoridad Certificadora

Es la encargada de emitir

y firmar los Certificados

Digitales, Tambien los

publica y los revoca

LDAP Repositorio LDAP

Es la repositorio donde se

almacenan y publican los


CRL / OCSP Lista de Revocación de


Donde se encuentran los

Certificados revocados con

facilidades para su consulta.

Aplicación Web

Aplicación para la

interacción con los

usuarios, para los

servicios de:

Emisión

Revocación

Renovación

y Verificación de

Certificados

Digitales

Funcionalidad de un PKI

CA

LDAP

CRL / OCSP

Aplicación Web

CA / RA

La firma Digital – Historia (1/5)

El estándar X.509 comenzó el 3 de Julio de 1988 y comenzó

asociado al estándard X.500.

Asume un sistema vertical de Autoridades Certificadoras

(CAs) para emitir certificados.

Esto contrasta con los modelos web of trust, como PGP,

donde cualquiera (no solo especiales CAs) pueden firmar y

afirmar la validez de otras llaves de certificados.


La Version 3 del X.509 incluye la flexibilidad de soportar otras

topologías como puentes y malla.

Puede ser empleado en un esquema peer-to-peer, como el

modelo web of trust como OpenPGP, pero raramente ha sido

utilizado de este modo desde 2004.

La firma Digital – Historia (3/3) La firma Digital – Historia (3/5)

El equipo de trabajo encargado del estandard X.509 es el

Internet Engineering Task Force (IETF) y también se le conoce

como PKIX, este equipo de trabajo ha adaptado el estandard

para la organización mas flexible de la internet.


De hecho el término certificado X.509 usualmente se refiere al

certificado del IETF PKIX y el CRL Profile de la Version 3 del

estandard, como está especificado en RFC 5280, comunmente

referido como PKIX Infraestructura de Llave Pública (X.509) y es

publicado como una recomendación ITU-T X.509 (oficialmente

CCITT X.509) y ISO/IEC/ITU 9594-8 que definen el formato de

los certificados de llave pública y su validación.


Usos de los Certificados Digitales

• Autenticación de usuarios, programas, procesos de sistemas,

servicios, equipos.

• Firma de Documentos.

• Encriptación de documentos, canales/servicios de

comunicaciones.

Diferencia Autorización/Autenticación/Identificación (1/3)

Autenticación

• Es inherente a la acción que se desea realizar (para

acceder a una área restringida, por ejemplo).

• Lo provee un tercero neutral (un tercero da fe de una

credencial, en Certificados Digitales lo da la CA con el

empleo de la infraestructura PKI, por ejemplo).

Autenticación

• Es para un uso especifico (La autenticación y autorización para acceder a un

club es diferente que para acceder al datacenter de la empresa, por

ejemplo).

• Se pueden tener varios (En el caso de Certificados Digitales, se puede tener

uno para firmar, otro para encriptar y otro para autorizar).

• No solo se autentica personas (Los Certificados Digitales también

autentican servidores, programas, procesos incluso servicios de

comunicaciones).


Identificación

• Es inherente a la persona humana.

• Es para un uso General (multiuso).

• Solo se tiene uno.

• No requiere de un tercero que de fe.


Estándar RFC 5280

Infraestructura de Firma Digital (PKI) (1/2)

Conjunto de:

• Entidades Certificadoras

• Entidades de Registro / repositorios

• Personas y Servicios con políticas y cumplimiento de

Estándares

Para manejar el ciclo de vida del certificado.

Crear / Revocar / Informar su Estado

Infraestructura activa de:

• Entidades Certificadoras autorizadas

• Entidades de Registro / repositorios autorizados

(Manejadas por Personas y Servicios con políticas y

cumplimiento de Estándares auditados) Para dar fe de la

validez de un certificado y administrar su ciclo de vida Crear /

Revocar / Informar su Estado)

Infraestructura de Firma Digital (PKI) (2/2)

Efecto Legal y Efecto Económico (1/2)

El requerimiento legal vigente y empleado también en la Unión

Europea, Estados Unidos y el modelo legal de certificados

digitales de Naciones Unidas, indica que para la generación de

un certificado digital, la Entidad de Registro debe verificar la

identidad de una persona face-to-face y dejar una huella

auditable que indique que esta verificación se ha realizado.

Una vez que el usuario firma un documento legal, este ya

tiene valor legal.

Las verificaciones del estado del certificado se hacen

consultando a las entidades certificadoras en línea via OCSP

indicando tres estados, (Válido, Revocado, Desconocido).

En caso de ausencia del OCSP se usa las listas de revocación

de certificados CRLs que cada Entidad Certificadora publica

periodicamente en su site web.

Efecto Legal y Efecto Económico (2/2)

Autoridad Administrativa Competente de Firma Digital

Es la autoridad que adopta los estándares técnicos del país en

concordancia con los estándares internacionales, regula,

controla y administra a las entidades certificadoras (CA) y las

entidades de Registro (RA) que participan en el ciclo de vida

del Certificado Digital.

En el Perú la AAC es Indecopi.

Modelos de Interoperabilidad PKI

Modelo Jerárquico


Modelo Certificación Cruzada


Modelo de Puente


Modelo de Reconocimiento cruzado


Modelo de CTL


Modelo de Europa

Análisis de Interoperabilidad

• Europa:

Según la Ley 59/2003, de firma electrónica,

en España, la firma electrónica es el conjunto

de datos en forma electrónica, consignados

junto a otros o asociados con ellos, que

pueden ser utilizados como medio de

identificación del firmante.

Fuente: Artículo 3. Firma electrónica, y documentos firmados electrónicamente,Ley 59/2003, de 19 de diciembre, de firma electrónica, España

Aspecto legal (1/6)

Aspecto legal (2/6)

• Europa:

Según la Directiva 1999/93/CE del Parlamento

Europeo y del Consejo, de 13 de diciembre de

1999, por la que se establece un marco

comunitario para la firma electrónica, la firma

electrónica son los datos en forma electrónica

anexos a otros datos electrónicos o asociados de

manera lógica con ellos, utilizados como medio de

autenticación.

Fuente: Artículo 3. Firma electrónica, y documentos firmados electrónicamente,Ley 59/2003, de 19 de diciembre, de firma electrónica, España

• Europa:

La Ley 59/2003, de 19 de diciembre, de firma electrónica establece los

siguientes conceptos:

• Firma electrónica: es el conjunto de datos en forma electrónica,

consignados junto a otros o asociados con ellos, que pueden ser

utilizados como medio de identificación del firmante.

• Firma electrónica avanzada: es la firma electrónica que permite

identificar al firmante y detectar cualquier cambio ulterior de los

datos firmados, que está vinculada al firmante de manera única y a

los datos a que se refiere y que ha sido creada por medios que el

firmante puede mantener bajo su exclusivo control.

Fuente: https://www.sede.fnmt.gob.es/normativa/firma-electronica

Aspecto legal (3/6)

• Europa:

• Firma electrónica reconocida: es la firma electrónica

avanzada basada en un certificado reconocido y

generada mediante un dispositivo seguro de creación

de firma.

La firma electrónica reconocida tendrá respecto de los

datos consignados en forma electrónica el mismo valor que

la firma manuscrita en relación con los consignados en

papel.

Fuente: https://www.sede.fnmt.gob.es/normativa/firma-electronica

Aspecto legal (4/6)

• Europa:

•Firma Electrónica Longeva (o de larga duración):

•Consiste en una firma electrónica dotada de validez a lo

largo del tiempo.

•Esto se consigue incluyendo en la firma todos los

certificados de la cadena de confianza y el resultado de la

comprobación de validez de los mismos en el momento en

el que se realizo la firma, así como por ejemplo al ir

refirmando y actualizando los sellos de tiempo de forma

regular.

Fuente: «BOE» núm. 182, de 30 de julio de 2011, páginas 87121 a 87133 (13 págs.) BOE-A-2011-13171 / artículo 18 del citado Real Decreto 4/2010, de 8 de enero

Aspecto legal (5/6)

• Europa:

• Este proceso de refirmado se utiliza para

garantizar que unos datos que fueron firmados

con un algoritmo que era válido en su día, pero

inseguros actualmente debido a la evolución

tecnológica, no pierdan valor ya que se han ido

refirmando siempre con algoritmos

criptográficos seguros en cada momento.

Fuente: «BOE» núm. 182, de 30 de julio de 2011, páginas 87121 a 87133 (13 págs.) BOE-A-2011-13171 / artículo 18 del citado Real Decreto 4/2010, de 8 de enero

Aspecto legal (6/6)

Introducción a SOA

Arquitectura SOA

La arquitectura SOA se encuadra en

resolver problemas complejos con

una gran cantidad de recursos

duplicados y desordenados, lo que

hacen difícil su gobierno y operación

Arquitectura

+ Software Architecture in Practice -

Kazman

“La estructura de estructuras de un

sistema, la cual abarca

componentes de software,

propiedades externas visibles de

estos componentes y sus

relaciones”.

Orientación a Procesos

Data Warehouse del Cliente

Unidades de Negocios

Sistema de Ventas y Compras

Servicios

de

Negocios

Sistemas

Existentes

Empresa de Servicios Financieros

Ensamblar y Orquestar Servicios (Proceso de Orquestación)

Configurar Cuenta Corriente

Chequear crédito del Cliente

Verificar Dirección del Cliente

Contratar Producto

Realizar Chequeo contra fraude

Socios de Negocios

Sistema de Marketing

Sistemas de riesgo

Sistemas corporativos

Crédito Instanténeo

Solicitar una Tarjeta de Crédito nueva

Proceso de Préstamo hipotecario

Solicitar Crédito hipotecario

Soluciones

Arquitectura SOA (1/2)

Integración de Sistemas Interoperabilidad tecnológica

Estandarización de Arquitectura e Infraestructura

Arquitectura Orientada a Servicios Estandarización de servicios

Reducción de implementación de código

Ingenieros de

Software

Arquitectos de Sistemas

Diseñadores

de Procesos

Analistas de Negocio

Ejecutivos

Actividad del Negocio Monitorización de los procesos de negocio

Seguimiento y control del negocio

Estrategia de Negocio Generar nuevas aplicaciones

Mejorar la eficiencia Aumentar el valor de negocio

Es

trate

gia

de

N

eg

oc

io

Ap

rove

ch

ar

sis

tem

as

ex

iste

nte

s

Negocio Gestión de Procesos de Negocio Desarrollo rápido de nuevos servicios

Automatización de procesos de negocio

Linux J2E

E Unix

OS/360

.NET D

B2

MQ

Finance

SAP People soft

Siebel

Dir

Outlook

Sales Cust

omer

Product

Employe

e

Un enfoque de orientación a servicios permite aislar las tareas y roles para el desarrollo de nuevas aplicaciones

• Estilo de arquitectura que permite construir sistemas basados en la

interacción de componentes autónomos de granularidad gruesa

llamados servicios.

• Cada servicio expone procesos y comportamiento a través de

contratos.

Arquitectura SOA (2/2)

Servicio (1/3)

“ Una facilidad para suministrar alguna demanda pública”

Merriam Webster

“ Un mecanismo para acceder a una o mas capacidades,

donde el acceso es provisto por medio de una interface

prescripta y se ejerce de conformidad con restricciones y

políticas tal cual se especifica en la descripción del servicio”

OASIS

• Es una unidad bien definida de funcionalidad que es

accesible vía un protocolo estándar y puede ser

invocada por medio de una interface bien definida.

Dentro de una arquitectura SOA el servicio sigue un

conjunto de principios y puede estar monitoreado y

manejado.

Servicio (2/3)

• Cada recurso de IT, ya sea una aplicación, sistema, partner,

puede ser accedido por medio de un servicio.

• Mediante la composición de servicios se logran crear

nuevos servicios que implementan nueva lógica de

negocios.

•Rápida respuesta a los cambios del negocio.

•Reducción de costos.

•Reduce la complejidad.

Servicio (3/3)

Contrato y endpoint

• El contrato es la colección de todos los mensajes que puede soportar el

servicio.

• El contrato es unilateral.

• El contrato puede ser considerado como la interface del servicio.

• El endpoint es la dirección (URI) donde el servicio puede ser encontrado y

consumido.

• Un contrato especifico puede ser expuesto en un endpoint especifico.

Mito y Realidad

Web Service (1/3)

• Un servicio web (en inglés, Web Service o Web services)

es una tecnología que utiliza un conjunto de protocolos

y estándares que sirven para intercambiar datos entre

aplicaciones vía web.

Web Service (2/3)

• Las organizaciones OASIS y W3C son los comités

responsables de la arquitectura y reglamentación de los

servicios Web

UDDI

Registry WSDL

Web

Service SOAP

Service

Consumer

Points to description

Describes

Service Finds

Service

Communicates with

XML Messages

Web Service (3/3)

Arquitectura SOA_Introducción.pdf

Documents

Transcript of Arquitectura SOA_Introducción.pdf