Con la intención de entender de forma clara lo que normalmente se denomina proceso de autenticación, a continuación se presenta el modelo de referencia del mismo, especificando cuáles son las entidades participantes y las distintas interacciones que tienen lugar. Existen distintos enfoques del modelo de referencia del proceso de autenticación, no obstante, el que se presenta a continuación se ha considerado adecuado para este trabajo por ser el utilizado por el IDABC (Interoperable Delivery of European eGovernment Services to Public Administrations, Businesses and Citizens) en sus documentos sobre interoperabilidad en materia de identidad electrónica en los servicios públicos europeos, tal como se puede ver en (45).
Conceptualmente la autenticación de una entidad requiere de dos fases fundamentales, la fase de registro y la fase de autenticación propiamente dicha.
La fase de registro corresponde al proceso mediante el cual el usuario obtiene una credencial o token que utilizará posteriormente para probar su identidad. La credencial puede ser de distintos tipos, desde un simple nombre de usuario a los más complejos certificados X.509(46). La fase de registro consta de tres pasos:
1. La prueba de identidad: en este paso se verifica la identidad “real” de la entidad. 2. La generación de credencial: se lleva a cabo el registro detallado de la entidad y se le
30
3. La entrega de credencial: se le entrega a la entidad la credencial electrónica generada. La fase de autenticación es la fase en la que se autentica a la entidad. A menudo esta fase recibe también el nombre de Prueba de Posesión o PoP (Proof of Possession). Básicamente consiste en la verificación de la identidad electrónica de la entidad a través de su credencial. Ambas fases quedan reflejadas en la Figura 2, donde se representa el modelo de referencia del proceso de autenticación. Partiendo de dicha figura se presentan a continuación las descripciones de los actores y procesos que intervienen en lo que sería el proceso de autenticación genérico.
Figura 2 – Modelo genérico del proceso de autenticación
3.3.1.1 Actores
3.3.1.1.1 Solicitante o suscriptor
Se entiende por solicitante a aquella entidad que solicita una credencial y la generación de una identidad digital. Antes de que una entidad pueda solicitar una credencial y una identidad digital debe ser capaz de demostrar que dicha identidad se corresponde con una identidad real y que tiene derecho a utilizarla. El solicitante actúa como consumidor de un nuevo servicio, el
31
Servicio Proveedor de Credenciales, y tiene la tarea de mantener el control exclusivo sobre las credenciales que le son proporcionadas.
3.3.1.1.2 Autoridad de Registro
La Autoridad de Registro es la responsable de verificar la identidad de un solicitante, normalmente a través de la presentación de credenciales físicas, como tarjetas de identificación, y de responder por la identidad de dicho solicitante de cara al Servicio Proveedor de Credenciales.
3.3.1.1.3 Servicio Proveedor de Credenciales
El Servicio Proveedor de Credenciales registra o entrega al solicitante un token para ser empleado en el proceso de autenticación, junto con las credenciales necesarias para establecer los vínculos entre el token y la identidad o entre la identidad y algún otro atributo útil. Al solicitante le pueden ser entregadas credenciales electrónicas para acompañar al token en el momento del registro o pueden ser generadas más tarde, cuando se necesiten.
Siempre existe una relación entre la Autoridad de Registro y el Servicio Proveedor de Credenciales. En el caso más simple y quizás más común, ambos constituyen funciones diferentes dentro de una misma entidad. Sin embargo, la Autoridad de Registro puede ser parte de una compañía u organización que registra a solicitantes con un Servicio Proveedor de Credenciales independiente, o con varios Servicios Proveedores de Credenciales. Por lo tanto, un Servicio Proveedor de Credenciales puede estar integrado con una Autoridad de Registro o puede tener relación con múltiples Autoridades de Registro independientes. De la misma forma, una Autoridad de Registro puede tener relación con múltiples Servicios Proveedores de Credenciales.
3.3.1.1.4 Verificador
En una transacción online autenticada, el Verificador es el encargado de comprobar que el solicitante tiene el control y está en posesión del token y/o las credenciales que verifican su identidad. Un solicitante autentica su identidad frente a un Verificador mediante el uso de un token y/o credencial y un protocolo de autenticación. Este proceso recibe el nombre de Prueba de Posesión o PoP (Proof of Possession).
El Verificador y el Servicio Proveedor de Credenciales pueden ser la misma entidad, el Verificador y la Parte de Confianza pueden ser la misma entidad o las tres pueden ser entidades distintas. En el caso en que el Verificador y la Parte de Confianza sean entidades separadas, el Verificador debe hacer llegar a la Parte de Confianza el resultado del protocolo de autenticación. La pieza de información electrónica creada por el Verificador para hacer llegar este resultado recibe el nombre de aserto.
3.3.1.1.5 Parte de Confianza
Una Parte de Confianza confía en el resultado de una autenticación online para establecer la identidad o los atributos de un solicitante de cara a realizar una transacción. En el caso de que el Verificador y la Parte de Confianza sean entidades separadas, la Parte de Confianza recibe un aserto del Verificador con indicaciones del resultado del proceso de autenticación.
32
3.3.1.2 Procesos
3.3.1.2.1 Prueba de identidad
La prueba de identidad es el proceso de asegurar que una identidad corresponde realmente a una entidad real, con sus atributos asociados correctamente. Si se quieren mayores niveles de garantía se requerirán mayores esfuerzos a la hora de establecer la identidad de los solicitantes. La entidad encargada de llevar a cabo la prueba de identidad es la Autoridad de Registro.
3.3.1.2.2 Entrega de token y credenciales
El Servicio Proveedor de Credenciales registra o entrega al suscriptor un token para ser utilizado en el protocolo de autenticación. Además de entregarle el token, le proporciona las credenciales necesarias para enlazar dicho token con la identidad o para enlazar la identidad con algún otro atributo útil.
3.3.1.2.3 Prueba de Posesión
Cuando un solicitante, haciendo uso de un protocolo de autenticación, demuestra con éxito a un Verificador la posesión y el control de un token y/o una credencial en una transacción online, el Verificador es capaz de establecer la identidad del solicitante. A partir de entonces el Verificador está en condiciones de proporcionar un atributo o hacer llegar un aserto sobre la identidad del solicitante a una Parte de Confianza y ésta puede utilizar la identidad autenticada y otros factores determinantes para tomar decisiones relativas a aspectos como el control de acceso o la autorización.
3.3.1.2.4 Entrega de aserto
En el caso de ser entidades separadas, como hemos visto, la Parte de Confianza recibe un aserto desde el Verificador. La Parte de Confianza es la entidad responsable de validar que el aserto recibido proviene de un Verificador de confianza. Cuando los asertos recibidos incluyen la hora de creación o atributos asociados con el solicitante también es responsabilidad de la Parte de Confianza el verificar dicha información.
3.3.1.3 Proceso genérico de autenticación
Una vez presentados los actores y procesos que intervienen en el modelo genérico de autenticación se hace necesario determinar el orden en el que tienen lugar los procesos y las interacciones entre las distintas entidades para dar lugar a la autenticación. Este orden ya se ha anticipado en la Figura 2, no obstante, a continuación se presenta de forma detallada. Si consideramos el procedimiento genérico de acceso a un servicio, el usuario, previamente a que se le provea el servicio demandado debe haber sido autenticado, es decir, debe ser capaz de demostrar que es quién dice ser. Este proceso de autenticación se divide en dos fases: la fase de registro y la fase de autenticación.
3.3.1.3.1 Fase de registro
En la fase de registro intervienen el usuario o suscriptor, la Autoridad de Registro y el Servicio Proveedor de Credenciales. En esta fase el usuario se registra en el sistema de autenticación y
33
obtiene una o varias piezas de información (o referencias a las mismas en algunos casos) que le permitirán, a posteriori, demostrar que es quién dice ser.
Figura 3 – Modelo genérico del proceso de autenticación: Fase de Registro
La forma y el orden en que se relacionan el usuario o suscriptor, la Autoridad de Registro y el Servicio Proveedor de Credenciales para dar lugar al registro del usuario frente al sistema es la siguiente:
1. El usuario o suscriptor presenta ante la Autoridad de Registro aquella información requerida por la misma para probar su identidad real.
2. La Autoridad de Registro verifica a continuación que la información es correcta y, si es así, solicita al Servicio Proveedor de Credenciales que genere las credenciales adecuadas para el usuario o suscriptor. El formato de dichas credenciales dependerá de los mecanismos de autenticación que se empleen.
3. Una vez generadas las credenciales, el Servicio Proveedor de Credenciales devuelve al usuario un elemento que podrá utilizar para probar su identidad. Este elemento recibe el nombre de token o credencial electrónica.
4. El usuario o suscriptor, tras recibir su credencial, ha finalizado la fase de registro y está en condiciones de pasar a la fase a autenticación.
3.3.1.3.2 Fase de autenticación
En la fase de autenticación intervienen el usuario o suscriptor, el Verificador y la Parte de Confianza. En esta fase el usuario emplea el token o la credencial obtenida en la fase previa de registro para autenticarse, es decir, para demostrar que es quien dice ser.
34
Figura 4 – Modelo genérico del proceso de autenticación: Fase de autenticación
La forma y el orden en que se relacionan el usuario o suscriptor, el Verificador y la Parte de Confianza para dar lugar a la autenticación propiamente dicha del usuario frente al sistema es la siguiente:
1. El usuario, con la intención de autenticarse, hace llegar al Verificador su token, es decir, sus credenciales electrónicas.
2. El Verificador, como su propio nombre indica, comprueba la validez de dichas credenciales y, en el caso de ser posible, que están siendo utilizadas por su legítimo poseedor.
3. A continuación el Verificador hace llegar a la Parte de Confianza un aserto que indica el resultado de proceso de verificación.
4. Si el resultado es positivo, es decir, la autenticación ha sido correcta, el usuario o suscriptor ha sido autenticado y, por lo tanto, da comienzo el proceso de autorización.