Patrones de seguridad software en el contexto de la Arquitectura multicapa para la plataforma J2EE

Abstract

Durante las últimas décadas la dependencia de los sistemas informáticos en todos los ámbitos de la sociedad ha crecido de forma exponencial. Hoy en día cualquier empresa depende de un sistema informático para almacenar información, gestionar su actividad comercial o tomar decisiones de negocio. Además, cualquier persona en su vida diaria realiza gestiones mediante sistemas informáticos, como la gestión de sus cuentas bancarias, el pago de los impuestos, compras en internet, etc. Debido a la rápida adopción de tecnologías en red han aparecido nuevas amenazas tales como interrupciones de servicio, accesos no autorizados, suplantación o robo de identidad, robo de datos confidenciales y muchos más riesgos de seguridad. Estas amenazas exponen la importancia de la seguridad e imponen a las empresas una responsabilidad legal y ética de almacenar de forma segura la información. Forzar los mecanismos de seguridad a todos los niveles asegura que la información es procesada, almacenada o transmitida de forma segura. En este proyecto hemos dotado de seguridad a todos los niveles a una aplicación en el contexto de la arquitectura multicapa para la plataforma J2EE. Mediante este proyecto no sólo hemos protegido a la aplicación de ataques como inyección SQL o acceso no autorizado, sino que también se han registrado todas las operaciones realizadas de forma segura, con el propósito de conocer al autor, la fecha y la operación realizada. Los mecanismos de seguridad implementados también incluyen, entre otros, la transmisión de datos de forma segura a través de la red mediante WS-Security y HTTPS, la monitorización de los servicios web y la intercepción de los mensajes enviados a través de la red para su autorización en función de distintos parámetros como la IP.During the last decades, the dependency on computer systems in all areas of society has grown exponentially. Nowadays, any business depends on a computer system to store information, manage its commercial activities or make business decisions. In addition, any person in his daily life manages arrangements using a computer system, such as managing his bank accounts, paying taxes, shopping on the internet, and so on. Due to the quick adoption of network technologies new threats have appeared such as service interruption, unauthorized access, impersonation or identity theft, confidential information theft and many more security risks. These threats expose the importance of security and impose to companies a legal and ethical responsibility to store this information securely.Enforcing the security mechanisms at all levels ensures that information is processes, stored or transmitted securely. In this project, we have provided security at all levels to an application in the multi-tier architecture context for the J2EE platform. Not only have we protected the application against attacks like SQL injection or unauthorized access, but we have also registered every operation securely, with the purpose of knowing the author, the date and the operation performed. The security mechanisms implemented also include, among others, the transmission of data securely through the network using WS-Security and HTTPS, the monitoring of web services and the intercepting of messages sent through the network for its authorization based on different parameters such as the IP of the request.