Tweet

Catálogo de ontologías de seguridad y confianza

Safelayer apuesta por las tecnologías semánticas para mejorar los procesos de obtención de seguridad y confianza. Gracias a estándares semánticos como RDF y OWL somos capaces de estructurar la información de una forma más inteligente, pero para ello es necesario determinar las ontologías que usaremos en nuestras aplicaciones para modelar los conceptos.

Por este motivo, Safelayer ha catalogado las ontologías ya existentes alrededor de los conceptos de seguridad y confianza. Una vez conocidas las ontologías se han asumido o ampliado las ya existentes, y también se han creado nuevas ontologías que nos permiten expresar todos los conceptos y relaciones que deseamos tratar en nuestras aplicaciones. Como resultado se ha creado el catálogo de Safelayer sobre Ontologías de Seguridad y Confianza que constituye el principio de nuestra base de conocimiento semántica.

El conjunto de conceptos y relaciones que tratan las aplicaciones de Safelayer se resumen en la siguiente figura:

Los conceptos de confianza se obtienen aplicando una capa de inferencia a otros conceptos básicos. La sintaxis utilizada es la propuesta por el W3C, concretamente mediante los estándares RDF y OWL, este último en su variante DL, que ofrece un alto grado de expresividad y además es decidible.

Los conceptos de interés son:

• Contexto. Es el entorno en el que se desarrollan las acciones de las cuales se quiere evaluar confianza, y se define semánticamente con la ontología de contexto de Safelayer.
• Seguridad & confianza. Engloba conceptos básicos de seguridad, como por ejemplo, protocolos, mecanismos y políticas de seguridad. Además, incluye todos aquellos elementos relativos al ámbitos de la PKI, donde hasta el momento prácticamente no existen ontologías definidas. Para suplir esta carencia se ha desarrollado un conjunto de ontologías destinado a cubrir los siguientes conceptos:
  • Entidades PKI. Entidades que intervienen en el domino PKI, desde las autoridades hasta las entidades finales (usuarios).
  • Certificados X.509. Considerados el núcleo de la PKI, tal y como se encuentran especificados en la RFC 5280.
  • Declaración de Prácticas de Certificación. Procedimientos que rigen las entidades implicadas en la PKI, tal y como define la RFC 3647.
  • Listas de confianza. El concepto Trust-Service Status List, definido en el estándar ETSI TS 102 231, describe el formato de las listas donde una cierta entidad puede indicar el conjunto de servicios en los que confía.
  • Valoraciones. Para poder modelar un concepto muy propio de la Web 2.0, como son las valoraciones de los usuarios.
• Vulnerabilidades & Riesgo. En el ámbito de la seguridad es esencial tener en cuenta los conceptos relativos al análisis de riesgos. A tal efecto, la ontología SECOnt de A. Herzog recoge una especificación de amenazas, salvaguardas y vulnerabilidades.
• Identidad. La definición de identidad se basa en la ontología FOAF. El alto nivel de esta ontología permite incluir fácilmente información de otras ontologías para hacer más rica la definición de la identidad.
• Recurso. El lenguaje RDF permite referenciar cualquier recurso gracias a las URI.

Por encima de los conceptos se presentan las capas de inferencia y los conceptos de confianza:

• Inferencia. Una de las grandes ventajas de las tecnologías semánticas es que permiten el uso de técnicas de inferencia o razonamiento. Lenguajes como SPARQL o SWRL permiten crear aplicaciones "inteligentes" que a partir, por ejemplo, de la descripción de reglas semánticas, inferirán nuevo conocimiento.
• Confianza. El objetivo final de Safelayer es conseguir evaluar y especificar el grado de confianza, que se obtendrá de la aplicación de la capa de inferencia anterior o directamente de los conceptos.

Esta recopilación de ontologías y conceptos es la base de las nuevas aplicaciones de Safelayer, en las que el objetivo es facilitar a los usuarios la percepción de la confianza.

Este trabajo contiene colaboraciones parcialmente subvencionadas por el Centro para el Desarrollo Tecnológico Industrial (CDTI) en el marco del proyecto SEGUR@, referencia CENIT-2007 2004 del programa CENIT (dentro de la iniciativa INGENIO 2010), y por el Ministerio de Industria, Turismo y Comercio en el marco del proyecto SAT2, referencias TSI-020100-2008-365 y TSI-020100-2009-374 del subprograma AVANZA I+D.