1 / 43

La gestión de identidad electrónica en las redes sociales: una necesidad reguladora

La gestión de identidad electrónica en las redes sociales: una necesidad reguladora . Redes sociales. ¿Autocontrol o descontrol de la privacidad en Internet? Nacho Alamillo Julio de 2009 . Índice. Introducción y tendencias Las 7 leyes de la identidad

valentina
Download Presentation

La gestión de identidad electrónica en las redes sociales: una necesidad reguladora

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. La gestión de identidad electrónica en las redes sociales: una necesidad reguladora Redes sociales. ¿Autocontrol o descontrol de la privacidad en Internet? Nacho Alamillo Julio de 2009

  2. Índice • Introducción y tendencias • Las 7 leyes de la identidad • La gestión de la capa de identidad de Internet • OASIS SAML 2.0 y Liberty Alliance • CardSpace y el metasistema de identidad de Microsoft • ¿Identidad y redes sociales en la Administración Electrónica? • Algunas conclusiones

  3. Introducción y tendencias - 1 • En general, la sociedad de la información precisa, para existir, un nivel mínimo de “seguridad” y de “confianza”. • La administración electrónica precisa anclas con el mundo real, de les que son esenciales: • La “Identidad electrónica”, • La “Capacidad de actuación electrónica”, • La “Firma electrónica”. • Las “Evidencias electrónicas” de los actos.

  4. Introducción y tendencias - 2 • ¿Qué es la “identidad electrónica”? • Datos (atributos) que nos diferencian suficientemente del resto de personas o entidades, en un ámbito concreto. • Ej: Nombre y apellidos, nombre del padre y de la madre, códigos de identificación... • La identidad es asignada de acuerdo con las Leyes, y puede ser acreditada mediante diversos documentos. • Identidad personal: Partida de nacimiento, DNI... • Identidad corporativa: Tarjeta de trabajador o funcionario, de profesional colegiado, de apoderado de empresa … • Identidad de cliente, financiera, sanitaria ... • Todos tenemos muchas identidades parciales, adecuadas a los diferentes roles y actividades que realizamos durante nuestra vida.

  5. Introducción y tendencias - 3 • Tendencia: Incremento de la complejidad de la identidad digital • Contraseñas, estáticas, dinámicas, de un sólo uso, basadas en dispositivo portátil (como token USB). • Certificados digitales X.509 de identidad, emitidos por diversos prestadores, a trabajadores públicos y a ciudadanos, en especial en entornos de movilidad y de tramitación a distancia. • Identificaciones electrónicas nacionales (DNI electrónico). • Tiques de autenticación remota/delegada, basados en SAML, Liberty, Shibboleth, WS-S/WS-I en entornos de trabajo distribuidos o colaboradores. • Federaciones de identidades y modelos de gestión de la confianza.

  6. Introducción y tendencias - 4 • ¿Son iguales todas las “identidades electrónicas”? • No, las identidades que se nos asignan tienen calidades diferentes y límites de uso, especialmente respecto a los métodos de autenticación: • Identidad obtenida de una página web desconocida: No aporta ninguna garantía, y no se puede emplear a ningún efecto legal (pero puede resultar conveniente). • Identidad de la banca electrónica o análoga: Es razonablemente segura, pero sólo se puede emplear con quien la emite. Tiene potentes limitaciones de uso, ligadas a las finalidades bancarias. • IdCAT o DNI electrónico: Son identidades muy robustas y fiables, emitidas con las máximas garantías legales. Se pueden emplear para todos los usos, y permiten “firmar electrónicamente”.

  7. Introducción y tendencias - 5 • ¿Qué es la “gestión de identidades”? • Aprovisionamiento de mecanismos de identificación y autenticación de usuarios de sistemas de información, mediante automatismos, de acuerdo con políticas bien definidas y aplicadas. • Implantación de sistemas de identificación y autenticación única corporativa (SSO - single sign on y WSSO - web single sign on). • Gestión centralizada de las atribuciones de los usuarios, frecuentemente basada en directorios. • Modelo de autorizaciones, que concentra en un único punto las autorizaciones de acceso.

  8. Introducción y tendencias - 6 • ¿Qué es la “federación de identidades”? • Entorno tecnológico, organizativo y jurídico que permite compartir la identidad y autenticación de los usuarios entre diversos sistemas, basado en normas de confianza mutua. • Se trata de redes sociales de máquinas hablando sobre personas… • Permite la interoperabilidad de las identidades empleadas en diversos sistemas de las Administraciones Públicas, incluso de las identidades suministradas por las entidades privadas. • Esquemas técnicos: Liberty Alliance, OASIS SAML V2.0, WS-*, Shibboleth… • Ejemplos: GUIDE project, EEUU eAuthentication, Internet2…

  9. Introducción y tendencias - 7 • ¿Por qué una “federación de identidades”? • El problema no es la existencia de múltiples identidades, sino la ausencia de conexión entre ellas (archipiélago de identidad) • Este problema afecta a las aplicaciones de Internet (portales, operadoras, intranets…) • Se precisa conexión entre las islas de identidad.

  10. Proveedor Proveedor central Proveedor Proveedor Proveedor Proveedor Proveedor Introducción y tendencias - 8 • Comparativa entre modelos Modelo centralizado • Identidad de red e información de usuario en un depósito único • Control centralizado • Punto único de fallo • Enlaza sistemas similares Modelo federado abierto • Identidad de red e información de usuario en diversas localizaciones • Control distribuido • No hay punto único de fallo • Enlaza sistemas heterogéneos

  11. Las 7 leyes de la identidad - 1 • Propuestas por Kim Cameron (Microsoft), tratan de establecer las bases teóricas de un metasistema de identidad que unifique las técnicas existentes en un marco de trabajo común. • Superan el concepto de federación de identidad, con una orientación a la “capa de identidad de Internet”. • Ley 1: Control y consentimiento del usuario • Los sistemas de identidad técnica sólo deberían revelar información identificativa de un usuario con su consentimiento. • Ley 2: Divulgación mínima para uso restringido • La mejor solución a largo plazo es la que divulga la menor cantidad de información de identidad posible y la que mejor limita su uso.

  12. Las 7 leyes de la identidad - 2 • Ley 3: Justificación de los terceros • Los sistemas de identidad digital deben ser diseñados de forma que la divulgación de información identificativa se encuentre limitada a terceros con una posición justificada y fiable en una relación de identidad dada. • Ley 4: Identidad dirigida • Un sistema de identidad universal debe soportar tanto identificadores “omni-direccionales” para uso de entidades públicas, como identificadores “unidireccionales” para su uso por entidades privadas, facilitando el descubrimiento a la vez que previniendo divulgación innecesaria de correlaciones de identidad.

  13. Las 7 leyes de la identidad - 3 • Ley 5: Pluralismo de tecnologías y operadores • Un sistema universal de identidad debe canalizar y habilitar el funcionamiento conjunto de servicios de diversos operadores basados en múltiples tecnologías de identidad. • Ley 6: Integración humana • El metasistema universal de identidad debe definir al usuario humano como un componente del sistema distribuido, integrado en el mismo mediante mecanismos de comunicación hombre-máquina con protección frente a ataques de identidad. • Ley 7: Experiencia consistente en todos los contextos • El sistema debe garantizar a los usuarios una experiencia simple y consistente, aun permitiendo la separación de contextos de múltiples operadores y tecnologías.

  14. Índice • Introducción y tendencias • Las 7 leyes de la identidad • La gestión de la capa de identidad de Internet • Conceptos • OASIS SAML 2.0 y Liberty Alliance • CardSpace y el metasistema de identidad de Microsoft • ¿Identidad y redes sociales en la Administración Electrónica? • Algunas conclusiones

  15. Conceptos - 1 • Principal o sujeto • Persona o usuario, entidad cuya identidad puede autenticarse. • IdP – Proveedor de Identidad • Un servicio que autentica y aserta la identidad de un principal. • SP – Proveedor de Servicio • Federation • La acción de establecer una relación entre dos entidades, una asociación que puede comprender cualquier número de IdPs y SPs. • Single Sign-On (SSO) • La capacidad del principal de autenticarse en una entidad del sistema (IdP) y que dicha autenticación sea aceptada por otras entidades (SPs).

  16. Conceptos - 2 • Círculo de Confianza • Un grupo de SPs e IdPs que mantienen relaciones de negocio basadas en una arquitectura de federación (como Liberty), y con los cuales los usuarios pueden transaccionar y realizar operaciones de negocio de forma segura y aparentemente transparente. • Seudónimos • Nombres arbitrarios asignados por el IdP o el SP a un principal para su identificación frente a un tercero que confía, de forma que dicho nombre sólo tiene sentido en el contexto de la relación entre las partes que confían. • Anonimato • Permite a un servicio solicitar determinados atributos sin tener que conocer la identidad del usuario. Por ejemplo, para ofrecer servicios personalizados de meteorología a un usuario, un SP puede emplear el código postal empleando una solicitud anónima, y no llegara a conocer la identidad de dicho usuario.

  17. OASIS SAML 2.0 - 1 • Introducción • Desarrollado durante los pasados tres años en el Comité Técnico de Servicios de Seguridad de OASIS (SSTC). • Define aserciones que transportan manifestaciones. • Ofrece un protocolo para distribuir aserciones entre autoridades (emisores) y terceros que confían en las mismas. • Dispone de un conjunto de perfiles para ofrecer simplified sign-on en aplicaciones basadas en web. • SAML 2.0 fue ratificado como estándar OASIS en marzo de 2005. • Se encuentra en el corazón de la arquitectura Liberty Alliance.

  18. OASIS SAML 2.0 - 2 • Principales beneficios • Neutralidad de plataforma y producto. • Soporte para nuevos dispositivos. • Experiencia en línea de usuario consistente. • Aproximación unificada a la federación de identidad. • Control mejorado sobre los datos de identidad, que ayuda al cumplimiento regulatorio. • Protección de la privacidad y mecanismos de consentimiento de usuario. • Costes de despliegue y mantenimiento reducidos.

  19. OASIS SAML 2.0 - 3 • Federación de identidad • Acuerdo entre un proveedor de identidad (IdP) y uno o más proveedores de servicio (SP) en relación con los datos que describen a los usuarios. Ejemplos: • Dirección de correo electrónico. • Número de oficina y de empleado. • Rol o pertenencia a determinados grupos. • Identificador único conocidos sólo por proveedor de identidad y de servicio (preservando la privacidad entre diversos prestadores de servicio diferentes). • La creación de acuerdo puede realizarse mediante diversos métodos. Ejemplos: • Contratos entre ambos proveedores • Puede requerir la actualización o sincronización del directorio de usuarios en ambos extremos.

  20. OASIS SAML 2.0 - 4 • Caso 1: Nombres bien conocidos o atributos • Nombres bien conocidos: • Dirección de correo electrónico. • Nombre diferenciado X.509. • Windows Domain Qualified Name • Kerberos Principal Name • Atributo (ejemplo, numero de empleado) • La entrada de usuario en el IdP y los SP se obtiene del nombre o de los atributos • Se emplea en escenarios en que no se requiere privacidad. • Los nombres se pueden cifrar para protegerlos en caso de empleo de intermediarios. • Es un caso de uso común en muchos despliegues de SAML 1.X

  21. OASIS SAML 2.0 - 5 • Caso 2: Usuario anónimo con atributos o roles • El usuario nunca es identificado de forma explícita mediante un identificador persistente • Se emplea un identificador transitorio como “nombre” del usuario. • El usuario es descrito mediante uno o más roles: • Cargo: Director. • DerechosAcceso: Platino. • El acceso al proveedor de servicios se concede contra los roles o los atributos. • No se necesita mantener entradas de usuario en el SP • Protege la privacidad dado que la identidad de usuario en el IdP es desconocida para el SP. • Es el caso de uso principal en Shibboleth y en algunos despliegues de SAML 1.X.

  22. OASIS SAML 2.0 - 6 • Caso 3: Usuario identificado con seudónimo • El usuario es identificado mediante un identificador persistente (una cadena de texto aleatoria) privado para cada IdP y SP. • Se trata de un identificador diferente para cada SP. • Protege la privacidad dado que no se encuentra disponible ninguna información sobre el usuario en el SP. • Complica la colusión de SP para averiguar identidades. • Requiere que el IdP y el SP sincronicen porciones de sus directorios de usuario. • Afiliaciones: importante subcaso donde un identificador persistente único es compartido por un conjunto de SP. • Es el caso de uso principal en los despliegues de Liberty Alliance ID-FF 1.X

  23. Canales directos e indirectos Proveedor de identidad Autoridad de sesiónProveedor de atributos Proveedor de servicioParticipante en sesión Consumidor de atributos Gestión sesión Federación SSO Gestión ID Intercambio atributos Metadatos Relación de confianza Actores Actores OASIS SAML 2.0 - 7 • Actores y mecanismos

  24. OASIS SAML 2.0 - 8 • Componentes de SAML • Aserciones, que contienen las manifestaciones de autenticación, atributos o autorización. • Protocolos, de solicitud y respuesta de aserciones. • Enlaces, con protocolos inferiores como SOAP o HTTP. • Perfiles de uso, pensados para casos de uso concretos, como Web SSO.

  25. Liberty Identity WSF - 1 • Introducción • Un marco de trabajo para localizar e invocar servicios web basados en identidad, para ofrecer una experiencia de usuario en línea, simplificada y personalizada. • Los servicios web basados en identidad: • Se encuentran asociados con la identidad de un principal (por ejemplo, un servicio de calendario). • Pueden ser invocados una identidad del principal. • Intercambio de atributos basado en permisos • La invocación de los servicios se encuentra bajo control del usuario. • El solicitante del servicio lo hace en nombre del usuario, directa o indirectamente.

  26. Liberty Identity WSF - 2 • Nuevos conceptos • Web Services Client (WSC): típicamente, el que invoca o consume un servicio basado en identidad. • Web Services Provider (WSP): típicamente, el proveedor de un servicio basado en identidad. • Data Services Template (DST): ofrece un marco de trabajo extensible para producir nuevos servicios basados en identidad encima de la pila protocolaria, permitiendo interoperabilidad, como por ejemplo los perfiles ID-Personal o ID-Employee Profile. • Discovery Service (DS): Facilita el registro y descubrimiento subsiguiente de servicios basados en identidad.

  27. Liberty Identity WSF - 3 • Nuevos conceptos • Interaction Service (IS): permite a un WSP a obtener autorizaciones e información directamente de los usuarios. • Authentication Service (AS): autentica a principales y ofrece credenciales apropiadas para acceder a sistemas WSF. • Componentes • Servicio de descubrimiento. • Invocación de servicio. • Servicio de interacción. • Plantilla de servicios de datos.

  28. ID-FF ID-WSF ID-FF: The SP uses ID-FF to obtain the identity credential for Jane. SP/WSC WSP WSP ID-WSF: The SP (acting as a WSC) uses IF-WSF to invoke services at the WSPs on Jane’s behalf.. IdP DS Liberty Identity WSF - 4 • Relación con SAML 2.0/Liberty ID-FF

  29. Liberty Identity WSF - 5 • Servicio de descubrimiento • Registro de servicios asociados con una identidad. • Los WSPs registran los servicios basados en identidad que ofrecen en el DS, de forma que los WSCs pueden subsiguientemente descubrirlos. • Traduce y protege identificadores y tokens según resulte necesario para permitir a una entidad comunicarse de forma segura con otra entidad. • Permite a múltiples proveedores emplear el mismo servicio. • Descubrimiento de datos específicos. Ejemplos: • Recupera el servicio de cartera que tiene determina tarjeta. • Recupera el perfil de servicio que tiene determinada edad.

  30. Liberty Identity WSF - 6 • Servicio de interacción • Habilita la interacción entre un WSP con un usuario • Típicamente el WSP no tiene acceso directo al usuario. • Colección de tiempo real de consentimiento, datos o decisiones del usuario. • Múltiples métodos • Permite a una tercera parte fiable (SP) interactuar. • Solicitud al SP para que redirija el navegador del usuario al WSP • Interacción directa sin SP.

  31. Hmm… Jane’s rules say that if the charge is over $300 to confirm with her… Charge $5,235.03 Buy some electronics CoolToys.com Transaction Approved Jane using a browser Hey, CoolToys.com wants to…. Is this OK? Wallet Ask Jane if …. Is OK? Yes, that’s fine. Jane says it’s OK. Interaction Svc Liberty Identity WSF - 7 • Servicio de interacción

  32. Cardspace - 1 • Metasistema de identidad • Sistema que permite la gestión interoperable, bajo control del usuario, de identidades suministradas por el propio usuario o por proveedores de identidad. • Construido siguiendo las 7 leyes de identidad. • Aporta una interfaz y experiencia común de usuario, e intermedia con diferentes tecnologías de aserciones de identidad, como Kerberos o SAML • Las identidades de presentan en forma de “tarjetas de información”. • No persigue sustituir ni competir con sistemas como Liberty, sino complementarlos.

  33. Cardspace - 2 • Metasistema de identidad • Componentes • Forma de representación de identidades mediante “alegaciones”. • Mecanismo de negociación entre usuario, proveedor de identidad y proveedor de servicios. • Protocolo de encapsulamiento para solicitar y obtener alegaciones. • Transformación de alegaciones entre diversas organizaciones y tecnologías. • Interfaz de usuario consistente. • Construido sobre la familia de estándares WS-* • WS-Trust • WS-SecurityPolicy • WS-MetadadaExchange

  34. Cardspace - 3 • Arquitectura

  35. Índice • Introducción y tendencias • Las 7 leyes de la identidad • La gestión de la capa de identidad de Internet • OASIS SAML 2.0 y Liberty Alliance • CardSpace y el metasistema de identidad de Microsoft • ¿Identidad y redes sociales en la Administración Electrónica? • Algunas conclusiones

  36. La necesidad de gestionar la identidad - 1 • Cuestión estratégica a nivel europeo • COM(2006) 173 – Plan de acción sobre administración electrónica i2010: Acelerar la administración electrónica en Europa en beneficio de todos • Un de los cinco (5) puntos del plan de acción comunitario: “acceso autenticado cómodo, seguro e interoperable a los servicios públicos”. • La gestión interoperable de la identidad se califica como “herramienta clave y crítica de la administración electrónica”, juntamente con la interoperabilidad de la firma electrónica, la autenticación de los documentos y el archivo electrónico.

  37. La necesidad de gestionar la identidad - 2 • Percepción que la gestión federada puede ayudar de forma importante a la prestación de servicios públicos, especialmente en el entorno comunitario. • Iniciativas de alcance europeo como GUIDE, FIDIS y MODINIS consideran la gestión de la identidad y las atribuciones como la solución a la integración de trámites a escala europea, de forma interoperable, especialmente a tenor de las identificaciones nacionales y regionales electrónicas (DNIs, tarjetas sanitarias i/o de ciudadano, y otras). • Aparición de protocolos de negocio orientados a gestionar de forma altamente distribuida el control de acceso: permitirán que diferentes soluciones de gestión de la identidad colaboren, con base en servicios web (XACML).

  38. La necesidad de gestionar la identidad - 3 • Entorno público heterogéneo y complejo • Muchas identidades (aunque de más calidad). • Muchos proveedores en red sobre atribuciones y capacidades de personas. Tendència a l’alta especialització i consum en línia, mitjançant serveis web. • Estrategia en el sector público • 1. Validar diversas identidades, generar evidencia y custodiarla. • 2. Facilitar el acceso autenticado seguro e interoperable. • 3. Gestionar personas, en lugar de identidades separadas. • 4. Gestionar capacidades, bajo control del usuario. • 5. Integrar la firma electrónica en los servicio web de identidad.

  39. Un ejemplo práctico de autogestión de identidad - 1 • CATCert desarrolla un sistema de gestión de identidades y capacidades: Proyecto PASSI. • Objetivos principales • Despliegue de una federación de identidades y capacidades en el sector público. • Creación de un depósito conteniento las fuentes de datos de identidad y atributos bajo control del usuario (concepto amplio de metadirectorio virtual). • Definición de un modelo semántico, y de conectores con proveedores de identidad y atributos. • Ofrecer a las AA.PP servicios de WSSO y de simplificación administrativa, que permitan reducir la carga de aportación de documentación sobre poderes y autorizaciones.

  40. Fuentes de datos Otros proveedores de identidad Otras ECs ECs CATCert Identidades CATCert Otras identidades Capacidades Citizens Ciudadanos AAPP Information providers Registros PCI EPI (IdP) AVS (PSIS) AAI (PSIS) Gestión de representación Conectores(SAML, otros…) <Certs X.509 v3, Certs de atributos> Certs X.509 v3 Atributos Atributos <UserID, IdP> <UserID,password> Gestión de mis identidades Modelo semántico PASSI Gestor de política de uso Motor de procesos basado en taxonomía Liberty SAML Liberty SAML SAML XACML Web SSO Capabilities report Capabilities resolution Un ejemplo práctico de autogestión de identidad - 2

  41. Índice • Introducción y tendencias • Las 7 leyes de la identidad • La gestión de la capa de identidad de Internet • OASIS SAML 2.0 y Liberty Alliance • CardSpace y el metasistema de identidad de Microsoft • ¿Identidad y redes sociales en la Administración Electrónica? • Algunas conclusiones

  42. Algunas conclusiones • Movimiento hacia las redes de máquinas hablando sobre personas, sin su actuación. • Necesidad de diseñar el sistema de acuerdo con la legislación sobre autodeterminación informativa. • Recuperar el control de los datos para el usuario (leyes de la identidad de Cameron). • Aprovechar la enorme potencia de un sistema usuario-céntrico para establecer redes sociales con las Administraciones Públicas, transformando el sistema para construir un modelo de relación más participativo con el ciudadano.

  43. ¡Muchas gracias! ¿Dudas? Más información: Ignacio Alamillo E-mail: nad@astrea.es

More Related