La plataforma de Safelayer puede verse como un conjunto de componentes de servicio, accesibles como servicio web, que implementan las funciones de certificación y firma electrónica, cifrado de datos, y todos los protocolos auxiliares para el despliegue de aplicaciones que precisen los servicios de una Infraestructura de Clave Pública (PKI). Toda esta funcionalidad puede agruparse en diferentes clases de servicios:

  1. Gestión de claves. Servicios de registro, revocación, consulta y verificación.
  2. Gestión de objetos y entidades. Servicios de registro, consulta, y modificación de información sobre objetos y entidades, en particular, información de identificación.
  3. Servicios de autenticación, autorización y control de acceso de las entidades registradas.
  4. Firma digital. Servicios de generación y verificación de firmas digitales.
  5. Cifrado digital. Servicios de cifrado, descifrado, ensobrado y des-ensobrado de datos.
  6. No-repudio digital. Servicios de generación y validación de evidencias digitales, generalmente acompañadas de firma electrónica.

En general, estos grupos cubren los servicios básicos de seguridad: Identificación (1, 2, 3 y 4), Integridad (4), Confidencialidad (5) y No-Repudio (4 y 6). Y otros servicios como: Autorización y Control de Acceso (3), sobre los cuales se puede construir control de acceso único (SSO).

La implantación de los servicios se realiza según las especificaciones de los trabajos estándares, o bien ya consolidados o en vías de consolidación. De esta forma se garantiza la continuidad a futuro (protegiendo la inversión) y la interoperabilidad con sistemas externos. En concreto para los grupos de servicios antes mencionados se ha optado por los siguientes protocolos de acceso:

  • Gestión de claves: XKMS (XML Key Management Service).
  • Gestión de objetos y entidades: XML/XPath, patrones de entidades basados en Liberty Alliance ID-SIS—Identity Service Interface Specification—.
  • Servicios de autenticación, autorización y control de acceso. ITU-T X.509 y SAML (Security Assertion Markup Language) como Servicios de Token Seguro (STS - Security Token Service) tal y como se definen en OASIS WS-Security y compatible con WS-Trust y WS-Federation. El control de acceso se basará en OASIS XACML.
  • Firma digital: OASIS Digital Signature Standard (DSS).
  • Cifrado digital: No existe ningún trabajo por lo tanto es propietario.
  • No-repudio digital: OASIS Digital Signature Standard (DSS) y XAdES.

A este conjunto básico de servicios se podrán añadir otros que cumplan las mismas normas de integración de servicios web. Así como se podrá prescindir de algunos servicios no necesarios en ciertos entornos de aplicación.

Arquitectura de TrustedX

La plataforma TrustedX está formada por un conjunto de componentes de servicio que cubren toda la funcionalidad descrita en el apartado anterior. A continuación se describen los distintos componentes de TrustedX:

  • TrustedX Authentication & Authorization (TWS-AA). Servicio de Autenticación y Autorización con mecanismos de autenticación mediante login/password y certificado (TLS/SSL), ambos de forma directa estándar, además de mecanismos adicionales basados en firmas con certificados X.509.
  • TrustedX Entity Profiler (TWS-EP). Servicio de gestión de información que uniformiza perfiles de objetos y/o entidades: usuarios, aplicaciones, servicios web, políticas, certificados, logs/auditoría, etc.
  • TrustedX Digital Signature (TWS-DS). Servicio de firma electrónica de documentos que permite generar firmas básicas en los diferentes formatos reconocidos (PKCS#7/CMS, PDFDsig, CAdES, XML-Dsig/XAdES y S/MIME).
  • TrustedX Digital non-Repudiaton (TWS-DR). Servicio de firma electrónica avanzada que amplía con información de tiempo y revocación fiables documentos ya firmados, como base de firmas longevas.
  • TrustedX Digital Signature Verification (TWS-DSV). Servicio de verificación de firmas electrónicas (incluidas firmas avanzadas o longevas) independiente del prestador, del mecanismo de verificación de certificados y del formato de firma.
  • TrustedX Data Signature Custody (TWS-DSC). Servicio de custodia de firmas electrónicas de documentos que permite mantener su validez a lo largo del tiempo, implementando así firmas electrónicas longevas.
  • TrustedX Digital Encryption (TWS-DE). Servicio de cifrado y descifrado de documentos en formatos PKCS#7/CMS y XML-Enc.

En futuras versiones de TrustedX se prevé incorporar los siguientes componentes opcionales que suministrarán funcionalidad avanzada de gestión de datos:

  • TrustedX Data Encryption Custody (TWS-DEC). Servicio de custodia de claves de cifrado de documentos garantizando su acceso a lo largo del tiempo.
  • TrustedX Key Management (TWS-KM). Servicio de gestión de claves para la generación, registro, consulta, verificación, etc.

La plataforma ofrece un sistema común de gestión que incluye la configuración, monitorización y control de acceso de cada uno de los componentes de servicio. Dicho sistema presenta las siguientes características:

  • Para conservar al máximo los aspectos de arquitectura abierta y personalizable los datos de configuración, personalización, monitorización, auditoría y control se exponen en XML. Esto afecta a cualquier tipo de dato almacenado o intercambiado en puertos de control de los servicios en línea. El componente de servicio dedicado a esta función es el TWS-EP.
  • El acceso a los servicios se realiza mediante SOAP según la especificación WSDL de cada servicio en concreto. El acceso es controlado mediante Token de autenticación el cual previamente se ha solicitado al servicio TWS-AA. La interacción cliente-servidor se realiza sobre transporte HTTP o HTTPS de forma que se puede securizar el canal con SSL/TLS con o sin autenticación mutua. Por ejemplo, si se solicita autenticación login / password, se recomienda utilizar SSL/TLS.

Cada componente de servicio de TrustedX puede interactuar con otros elementos de infraestructura, ya sean corporativos o externos. En concreto:

  • Terceras partes de confianza, a las que TrustedX se conecta para validar los certificados digitales (Autoridades de Certificación o Autoridades de Validación) y para obtener sellos de tiempo (Autoridades de Sellado de Tiempo). Por ejemplo, se pueden implantar terceras partes de confianza con los productos de la familia KeyOne de Safelayer, KeyOne CA, KeyOne VA o KeyOne TSA.
  • TrustedX puede operar con un dispositivo criptográfico (HSM) externo (no mostrado en la figura).
  • Base de datos, donde TrustedX se almacena la información de log sobre la actividad de los componentes de servicio de la plataforma TrustedX para su auditoría posterior.
  • Gestor documental (DMS/ECM), donde el componente de servicio de custodia de firmas puede depositar y gestionar los documentos que contengan firmas y el componente de cifrado documentos que estén cifrados.
  • Directorio, donde el componente de servicio TWS-EP puede leer y escribir información sobre las entidades (personas, aplicaciones o servicios web) reconocidas por la plataforma.

En futuras versiones de TrustedX, se prevé incorporar la capacidad de interacción con los siguientes componentes:

  • Punto de decisión de políticas (PDP), como servicio externo opcional en el que TrustedX podrá delegar para suministrar las políticas de decisión, determinando a qué recurso puede acceder una entidad.

En la siguiente figura se detallan las interacciones de los citados elementos de infraestructura con TrustedX y con las aplicaciones corporativas que usarán los servicios de TrustedX. De forma opcional, especialmente cuando mayor sea el número de aplicaciones y/o se requieran diferentes mecanismos de autenticación, será habitual disponer de una agente de autenticación/autorización que centralice una parte o la totalidad de las funciones de autenticación y autorización requeridas por las aplicaciones.

TrustedX
Figura. Interacción de la plataforma TrustedX con componentes externos.


 

 
©2010 www.safelayer.com