José Luis Zoreda y Justo Carracedo
IntroducciónEl proyecto tiene como objetivo inmediato la
definición y desarrollo de un servicio telemático, mediante el cual los
investigadores puedan gestionar de forma segura sus cuentas de proyectos
de Investigación y Desarrollo en el entorno de la OTT (Oficina de
Transferencia Tecnológica) , dentro de la UPM, o de
cualquier OTRI (Oficina de Transferencia de los
Resultados de Investigación) de cualquier universidad, a
través de redes abiertas, tipo Internet. Para ello, se dotará a cada
investigador de una tarjeta inteligente, mediante la cual podrá acceder,
de forma segura y personal, a los servicios telemáticos de telegestión de
cuentas, que proporcione la OTT. Para ello, se determinará un nuevo modelo
de gestión, en el que estarán incorporados aquellos procedimientos
susceptibles de ser automatizados, tanto de forma local como remota,
mediante el uso de la tarjeta inteligente. Para la materialización del
modelo y, por tanto, de los servicios telemáticos se abordará, en
objetivos específicos del proyecto, el desarrollo de los correspondientes
elementos tecnológicos. Estos desarrollos se obtendrán en base a la
integración de productos comerciales o desarrollos previos propios y/o
mediante desarrollo nuevos.
Además de los objetivos específicos del proyecto, se pretende que el
empleo de la TIPI dentro del entorno de las OTRIs sea el primer paso para
la progresiva introducción de un modelo de tarjeta inteligente
universitaria, que tenga en cuenta el marco de competencias y obligaciones
incluidas en la LRU.
Servicios de Telegestión de Cuentas
Entre las Entidades Promotoras Observadoras (EPOs)
de este proyecto se cuenta con la OTT de la UPM. Su participación es
esencial, ya que actúan como asesores para la definición del modelo
realista de telegestión de cuentas de investigación. En el desarrollo del
modelo, entre otros aspectos, se tendrá en cuenta el correspondiente marco
legislativo, con el objeto de seleccionar, entre los actuales, aquellos
procedimientos administrativos que sean susceptibles de realizarse de
forma automática (en modo local o remoto) y, al menos, con las mismas
garantías. Es decir, para la definición de los servicios telemáticos, se
tendrá en cuenta si se necesita o no la firma del investigador y/o de la
OTT, para que tenga valor el procedimiento administrativo equivalente.
Además, a lo largo de todo el proyecto, el personal de la OTT evaluará
los resultados, tanto desde el doble punto de vista de la entidad que
presta los servicios como de uno de los usuarios del sistema (servicios
telemáticos).
Dentro de los servicios que con carácter inmediato podrían ofrecerse a
los investigadores a través de la infraestructura de RedIRIS existente,
este proyecto contempla los siguientes:
- La consulta del estado de cuentas de los proyectos gestionados por
el investigador.
- La transferencia de fondos entre cuentas del investigador o
investigadores, previamente autorizadas por la OTT.
- Ordenes de pago a suministradores, peticiones de cantidades a
justificar (p.e. viajes), etc.
- Otros procedimientos administrativos, en los que se necesita la
orden y/o autorización del investigador.
Modelo de la Tarjeta Inteligente del Personal Investigador (TIPI)
El modelo de la TIPI es un caso particular de un modelo de tarjeta
inteligente universitaria, algunos de cuyos elementos han sido previamente
desarrollados por los investigadores de este proyecto. Tal como hemos
indicado, en nuestro modelo se han tenido en cuenta diversos aspectos de
la LRU, que delimitan aspectos funcionales y tecnológicos de la tarjeta.
Por ejemplo, hemos considerado que:
- Las Universidades son organizaciones jerarquizadas, con una clara
delimitación del marco de responsabilidades y competencias.
- Para cumplir sus objetivos de formación e investigación, las
Universidades deben prestar múltiples tipos de servicios.
- Existe una diversidad de miembros de la comunidad universitaria
(docentes, investigadores, PAS, becarios, alumnos, ...).
- El carné universitario es un documento oficial, que identifica a
cada miembro de la comunidad universitaria.
En base a estas y otras consideraciones, en nuestro
modelo de tarjeta inteligente universitaria hemos considerado que:
- La tarjeta inteligente universitaria debe ser un documento oficial
de identificación y llave de acceso a los distintos servicios, que
presta la propia Universidad.
- Existen distintos tipos de tarjetas en función del tipo de usuario.
- La Universidad debe ser el emisor principal de la tarjeta,
permitiendo que existan múltiples emisores secundarios (Escuelas o
Facultades, Departamentos, OTRIs, etc.).
- Las tarjetas deben tener capacidad de proporcionar multiplicidad de
aplicaciones (tarjetas multiaplicación), o diversos tipos de tarjetas en
función del uso (aplicación).
La Tarjeta Inteligente del Personal
Investigador (TIPI), en nuestro modelo, servirá como llave de
acceso, soporte de identificación y/o elemento de certificación de todos
aquellos procesos que realiza el investigador con su OTRI y son
susceptibles de ser realizados a través de las redes de comunicación.
Este modelo contempla la posibilidad de que cada tarjeta almacene
distintos juegos de claves de emisor y usuario, como elementos de soporte
de los mecanismos de seguridad implementados en el proyecto. Además, está
previsto utilizar las posibilidades de gestión de claves de la propia
tarjeta y sus capacidades de encriptación -bien directamente o mediante
módulos SAM (Módulos de Seguridad) instalados en el propio terminal- para
permitir que un mismo terminal pueda ser utilizado por varios portadores
de tarjetas.
Objetivos Tecnológicos
Desde el punto de vista tecnológico, el desarrollo de este proyecto se
puede estructurar en tres grandes bloques:
- Entorno Seguro del Investigador
- Entorno Seguro del Gestor de la Aplicación Servidora
- Autoridad de Certificación
Para llevar a cabo la comunicación en el sistema
propuesto será necesario definir e implementar protocolos seguros entre
las siguientes entidades:
- Aplicación de tarjeta - Tarjeta - Aplicación cliente
- Aplicación cliente - Aplicación servidora
- Aplicación cliente - Autoridad de Certificación y
Aplicación
servidora - Autoridad de certificación
Para el transporte de la información se utilizarán los
servicios ofrecidos por RedIRIS, a los que se tiene acceso tanto desde las
dependencias de la OTT como desde los centros proponentes.
Entorno Seguro del Investigador
En este entorno se distinguen las siguientes entidades:
- Tarjeta Inteligente del Personal Investigador (TIPI)
- Unidad de Lectura Escritura (ULE) de tarjetas.
Para materializar la TIPI se utilizarán tarjetas
inteligentes con criptoprocesador de clave pública. Estas tarjetas, de
última generación, permiten que funcionalmente la TIPI sea un elemento
activo de los mecanismos de seguridad, simplificando enormemente los otros
elementos tecnológicos (tanto hardware como software) que se deban
incorporar al terminal. Además, la tarjeta servirá como soporte físico de
identificación.
Para soportar esta funcionalidad de la tarjeta este proyecto propone
adaptar e integrar paulatinamente distintos tipos de ULEs (Unidad
de Lectura Escritura), desarrolladas previamente por el
Grupo Universitario de Tarjeta Inteligente
(GUTI). En una primera fase se le adaptará e integrará una ULE a un
terminal, a través de un puerto serie. De esta forma la tarjeta podrá
servir como llave de acceso al mismo, medio de identificación del usuario
y certificación de transacciones.
En una segunda fase, se contempla la posibilidad de emplear una segunda
tarjeta. Esta segunda tarjeta puede ser la del profesional de la OTT o una
portadora de claves (un módulo SAM). Para ello se integrarán en el
terminal varias posibles soluciones: a) incorporar dos ULEs, gestionadas a
través de un único puerto serie, b) incorporar una ULE con dos bocas de
inserción de tarjetas y c) simular el comportamiento del módulo SAM en el
terminal y utilizar una única ULE.
Para el desarrollo de los apartados b) y c) se partirá de otro
prototipo de ULE que el grupo tiene desarrollado. Se harán las
adaptaciones necesarias, en función del modelo de tarjeta utilizada, para
que gestione simultáneamente la tarjeta del investigador y la del gestor
del servidor. Además, se la preparará para que pueda gestionar una
emulación de módulo SAM, sobre tarjeta inteligente, fundamentalmente en
terminal de emisión y mantenimiento de tarjetas.
Además de los diversos terminales basados en ordenadores, en el
proyecto se pretende utilizar otros tipos de terminales. Para ello se
cuenta con la participación como EPO de Philips Communications &
Processing Services, que proporciona un terminal telefónico, el P100,
específicamente desarrollado para funcionar en aplicaciones similares a
las de este proyecto (puede gestionar tarjetas inteligentes, comunicación
mediante modem, etc.).
Aplicación Cliente
Esta entidad es la encargada de:
- Representar al usuario dentro del Sistema.
- Ofrecer un interfaz cómodo al usuario para la operación remota sobre
su cuenta.
- Dialogar con la tarjeta inteligente, para verificar que el poseedor
es su propietario legítimo y en base a esta identificación permitir el
acceso a sus datos internos, tanto para almacenar como para leer,
credenciales de usuario.
- Dialogar con la Aplicación Servidora para que en función de una
correcta identificación permita la manipulación de la cuenta del
investigador.
En el proyecto se pretende llegar a un compromiso entre
la cantidad de software a instalar en el terminal con la velocidad de
realización de las transacciones. Además, se pretende que los desarrollos
puedan utilizarse en un amplio tipo de terminales. Por estas razones se
analizará la posibilidad de usar el lenguaje "Java" como soporte de la
aplicación cliente. Esta posibilidad reduciría la necesidad de instalación
de software y evitaría el desarrollo de distintas versiones de la misma
aplicación, en función del tipo de terminal
Entorno seguro del Gestor de la Aplicación Servidora
Para este entorno se definirá una tarjeta específica, la Tarjeta
del Profesional de la OTRI (POTRI). Esta tiene análogas
funciones que la TIPI, entre ellas destacamos su uso como sistema de
control de acceso al Servidor.
Servidor de Atención al Investigador (SAI)
Esta entidad es la encargada de gestionar las distintas aplicaciones
que se pongan a disposición del investigador para facilitarle el
intercambio de información con la OTT. Este Servidor, físicamente situado
en las dependencias de la OTT, estaría controlado por el gestor autorizado
del SAI a través de una tarjeta inteligente. Deberá realizar las
siguientes funciones:
- Dialogar con la tarjeta inteligente, para verificar que el poseedor
es su propietario legítimo y en base a esta identificación permitir el
acceso a la operación del SAI:
- Dialogar con la Autoridad de Certificación para verificar las
credenciales presentadas por el usuario para la obtención de un
servicio.
- Dialogar con la Aplicación Cliente para que en función de una
correcta identificación permita la realización de la operación
solicitada.
Con el objeto de simplificar la aplicación cliente se
analizará el desarrollo de un Web para la aplicación servidora, basada en
el lenguaje "Java".
Servidor de Seguridad
En este proyecto se proporcionarán estos servicios de seguridad
mediante el empleo de algoritmos asimétricos de clave pública. Estos se
basan en la existencia, para cada usuario, de dos claves, una pública (y,
por tanto, disponible para el resto de los usuarios) y otra privada. En
este caso se hace necesario que alguien de confianza ratifique que la
clave pública empleada por un usuario para la obtención de un determinado
servicio es la clave vigente. Esta entidad recibe el nombre de Autoridad
de Certificación (CA).
La Autoridad de Certificación es la entidad encargada de garantizar, en
todo momento, la validez de las claves públicas manejadas, emitiendo y
verificando las credenciales necesarias para la utilización del Servidor
de Atención al Investigador.
DIATEL dispone de un desarrollo previo de un Servidor de Seguridad
(SecServer), con funcionalidad de Autoridad de Certificación, realizado
como parte de las tareas encomendadas a DIATEL dentro del proyecto EDISE
(acción PASO 1993-1995), que serviría como punto de partida para la
instalación de la CA.
Actualmente, este SecServer recibe las peticiones de servicio a través
de correo seguro (PEM), codificadas en el cuerpo del mensaje según un
formato preestablecido. Asimismo, una vez ejecutada la petición, el
SecServer devuelve la respuesta mediante mensajes PEM. Proporciona las
siguientes facilidades a sus usuarios: registro automático de los usuarios
que desean usar los servicios del SecServer, certificación de la clave
pública de usuario, información de claves públicas de usuarios y CA, baja
de usuarios, información de la Lista de Certificados Revocados.
En este proyecto se propone flexibilizar el acceso a este SecServer
tanto desde el punto de vista de la aplicación cliente, como de la
aplicación servidora del investigador (SAI), de manera que la obtención de
un determinado servicio del SecServer no esté supeditada a los retardos
que sufren los mensajes de correo electrónico en su tránsito por los
distintos MTAs.
El desarrollo de esta tarea consistiría, por tanto, en implementar un
nuevo protocolo seguro de acceso al Servidor de Seguridad, basado en una
estructura cliente/servidor, así como adaptar la funcionalidad del mismo a
las particularidades del usuario final.
Entidades Promotoras Observadoras (EPOs)
Como EPOs se cuenta con:
- Oficina de Transferencia Tecnológica de la UPM: participan en
la definición del modelo de la TIPI, evaluación de los resultados y
seguimiento.
- Philips Communications & Processing Services: participan
aportando todo lo relacionado para usar los terminales P100 en el
proyecto (aparatos, formación, herramientas de desarrollo, soporte
técnico, etc.). También realizan el seguimiento del proyecto.
- Schlumberger Electronic Transaction: proporciona tarjetas
inteligentes de diversos tipos, sistemas asociados y el correspondiente
soporte técnico
- SAETIC: su participación está ligada con la personalización
de las tarjetas.
Justo Carracedo
EUIT de
Telecomunicación-UPM
DIATEL
mailto:carracedo@diatel.upm.es
José Luis Zoreda Bartolomé
ETSI de
Telecomunicación-UPM
Dpto. de Tecnología
Fotónica
Grupo Univ. de Tarjeta Inteligente (GUTI)
mailto:zoreda@tfo.upm.es
Agradecimientos
Proyecto financiado por el Plan Nacional de I+D. Comisión
Interministerial de Ciencia y Tecnología (CICYT). Referencia TEL96-1322