El nuevo modelo de los dispositivos UPnP

Después de que el proceso de autenticación de usuario está terminado, los dispositivos UPnPdeben interactuar entre sí de acuerdo con la extensión UPnP-UP. Para lograr este proceso, el Control Point debe enviar el identificador de usuario en todos los mensajes

transmitidosy los terminales UPnP deben utilizar este identificador para ajustar sus respuestas al perfil del usuario. También de acuerdo con la Figura 2.9, el mecanismo puede almacenar en caché elperfil de usuario la primera vez que el MediaServer lo accede. Por lo tanto, de la segunda vez en adelante el servidor recupera el perfil de usuario de la caché, evitando transferencia en la red de datos innecesarios. Además del almacenamiento en caché del perfil del usuario, el Control Point deberá registrar el evento onChangeProfile para ser notificado si el usuario cambia su perfil (Thiago Sales 2010). Este dispositivo debe utilizar además una extensión SOAP Security para el transporte de usuario UUID en el encabezado SOAP. Es tambiénmuy aconsejable emplear una firma digital y / o cifrada de los datos proporcionados por la Recomendación de Encriptación del W3C XMLpara transportar la información confidencial del usuario,como: contraseñas y UUID. Con la adopción de esta estrategia,la extensión UPnP-UP espera proporcionar un mecanismo que evite los ataques de red tales como: modificación de datos durante el transporte, engañando UUID, y "hombre-en-el-medio" (Snyder 2007)

Teniendo en cuenta el principio de ofrecer compatibilidad con versiones anteriores como los dispositivos que no tienen UPnP-UP habilitado, añadir un nuevotipo de dispositivo UPnP no tiene impacto en la actual especificación UPnP.El único punto de la especificación UPnP quese debe cambiar es el contenido original del mensaje NOTIFY mediante la adición de un nuevo campo llamado UP, que como se expuso anteriormente se utiliza por los puntos de control y demás mecanismos UPnP para determinar si un dispositivo dado soporta la extensiónUPnP-UP.

Control de acceso para servicios UPnP

El mecanismo de autorización UPnP-UP está basado en XACML. Esta especificación es un estándar para soportar mecanismos de autorización basados en XML (eXtensibleMarkupLanguage). XACML proporciona un modelo para describir políticas a un recurso designado. Es además un protocolo para solicitudes y respuestas durante un proceso de autorización. (Thiago Sales 2010)

Las políticas de seguridad de acceso y sus respectivas reglas pueden ser almacenadas por el administrador de la red UPnP local, adquiriendo servicios disponibles de otros dispositivos y asignándole la regla deseada, por ejemplo: “solo los estudiantes de Tele y los profesores

en el dominio uclv.edu.cu están autorizados a utilizar la impresora UPnP disponible en la red”.

Figura 2.10. Interacción entre módulos para la autenticación UPnP-UP.

Como se ilustra en la Figura 2.10, el subsistema de autorización UPnP-UP tiene tres módulos. Cuando una nueva solicitud es recibida, el módulo PEP (Punto de Ejecución de Política)crea una solicitud XACML (paso 1), descrito en el Anexo 2. La solicitud XACML es llevada hacia el módulo PDP (Punto de Decisión de Política) (paso 2). PDP adquiere la política de autorización del módulo PAP (Punto de Administración de Política) (en los pasos 3 y 4) y decide permitir o denegar el acceso al recurso específico. Entonces, el módulo PDP regresa una respuesta XACML al módulo PEP (paso 5), como se describe en el Anexo 3. El identificador del recurso y el resultado del proceso de autorización son definidos en las líneas 2 y 3 de dicho Anexo respectivamente. El módulo PEP retorna el resultado final del proceso de autorización, permitiendo o no el acceso al recurso designado. (Thiago Sales 2010)

Perfil de usuario para dispositivos UPnP-UP habilitados

El perfil de usuario utiliza un formato XML y se divide en dos tipos de descripciones de perfiles:

 UPnP-UP Personal User Profile. Tiene como objetivo mantener la información relacionada con el usuario como: identidad, nombre de usuario y dirección de correo electrónico.

 UPnP-UP User Profile by Specification. Para cada especificación UPnP, como UPnP A/V y Light UPnP, los usuarios tienen sus preferencias asociadas divididas en

contenedores. Esta división se hace para facilitar el proceso de recuperar la información del usuario, optimizar el acceso al perfil del mismo y la transmitir la información útil del perfil a los terminales UPnP. En este caso, los dispositivos UPnP acceden al contenedor de preferencia que se necesita recuperar.

Es importante tener en cuenta que un usuario dado puede realizar diferentes funciones dependiendo del entorno en que se está desempeñando. Por ejemplo, si un usuario está en su casa, tiene todos los privilegios de acceso para el control de periféricos electrónicos convencionales, como: la puerta de entrada a la casa, impresoras y televisores. Por otra parte, cuando se traslada a otros lugares como el trabajo o la universidad, este juega un papel diferente y debe tener otros privilegios de acceso. Debido a este requisito, el perfil de usuario de la extensión UPnP-UP tiene el concepto de "perfiles externos", que asocia el perfil del usuario a otros perfiles remotos del mismo. Cada UPServer local almacena este perfil y lo recupera cuando el usuario se autentifica, de acuerdo a la identificación UPnP- UP.

2.10 Conclusiones del Capitulo

Es importante saber con precisión todas las prestaciones y facilidades que nos brinda el uso de la familia de protocolos UPnP. Esta tecnología, aprovechando la red DOCSIS, nos permite acceder a cualquier servidor que esté compartiendo archivos multimedia, dado que no posee mecanismos de seguridad. La extensión UPnP-UP puede proporcionar este mecanismo, pero resulta difícil de implementar y requiere cambios en la arquitectura inicial, aunque mantiene compatibilidad con la tecnología anterior.