Además de los objetivos específicos del proyecto, se pretende que el empleo de la TIPI dentro del entorno de las OTRIs sea el primer paso para la progresiva introducción de un modelo de tarjeta inteligente universitaria, que tenga en cuenta el marco de competencias y obligaciones incluidas en la LRU.
Entre las Entidades Promotoras Observadoras (EPOs) de este proyecto se cuenta con la OTT de la UPM. Su participación es esencial, ya que actúan como asesores para la definición del modelo realista de telegestión de cuentas de investigación. En el desarrollo del modelo, entre otros aspectos, se tendrá en cuenta el correspondiente marco legislativo, con el objeto de seleccionar, entre los actuales, aquellos procedimientos administrativos que sean susceptibles de realizarse de forma automática (en modo local o remoto) y, al menos, con las mismas garantías. Es decir, para la definición de los servicios telemáticos, se tendrá en cuenta si se necesita o no la firma del investigador y/o de la OTT, para que tenga valor el procedimiento administrativo equivalente.
Además, a lo largo de todo el proyecto, el personal de la OTT evaluará los resultados, tanto desde el doble punto de vista de la entidad que presta los servicios como de uno de los usuarios del sistema (servicios telemáticos).
Dentro de los servicios que con carácter inmediato podrían ofrecerse a los investigadores a través de la infraestructura de RedIRIS existente, este proyecto contempla los siguientes:
El modelo de la TIPI es un caso particular de un modelo de tarjeta inteligente universitaria, algunos de cuyos elementos han sido previamente desarrollados por los investigadores de este proyecto. Tal como hemos indicado, en nuestro modelo se han tenido en cuenta diversos aspectos de la LRU, que delimitan aspectos funcionales y tecnológicos de la tarjeta. Por ejemplo, hemos considerado que:
Este modelo contempla la posibilidad de que cada tarjeta almacene distintos juegos de claves de emisor y usuario, como elementos de soporte de los mecanismos de seguridad implementados en el proyecto. Además, está previsto utilizar las posibilidades de gestión de claves de la propia tarjeta y sus capacidades de encriptación -bien directamente o mediante módulos SAM (Módulos de Seguridad) instalados en el propio terminal- para permitir que un mismo terminal pueda ser utilizado por varios portadores de tarjetas.
Desde el punto de vista tecnológico, el desarrollo de este proyecto se puede estructurar en tres grandes bloques:
En este entorno se distinguen las siguientes entidades:
Para soportar esta funcionalidad de la tarjeta este proyecto propone adaptar e integrar paulatinamente distintos tipos de ULEs (Unidad de Lectura Escritura), desarrolladas previamente por el Grupo Universitario de Tarjeta Inteligente (GUTI). En una primera fase se le adaptará e integrará una ULE a un terminal, a través de un puerto serie. De esta forma la tarjeta podrá servir como llave de acceso al mismo, medio de identificación del usuario y certificación de transacciones.
En una segunda fase, se contempla la posibilidad de emplear una segunda tarjeta. Esta segunda tarjeta puede ser la del profesional de la OTT o una portadora de claves (un módulo SAM). Para ello se integrarán en el terminal varias posibles soluciones: a) incorporar dos ULEs, gestionadas a través de un único puerto serie, b) incorporar una ULE con dos bocas de inserción de tarjetas y c) simular el comportamiento del módulo SAM en el terminal y utilizar una única ULE.
Para el desarrollo de los apartados b) y c) se partirá de otro prototipo de ULE que el grupo tiene desarrollado. Se harán las adaptaciones necesarias, en función del modelo de tarjeta utilizada, para que gestione simultáneamente la tarjeta del investigador y la del gestor del servidor. Además, se la preparará para que pueda gestionar una emulación de módulo SAM, sobre tarjeta inteligente, fundamentalmente en terminal de emisión y mantenimiento de tarjetas.
Además de los diversos terminales basados en ordenadores, en el proyecto se pretende utilizar otros tipos de terminales. Para ello se cuenta con la participación como EPO de Philips Communications & Processing Services, que proporciona un terminal telefónico, el P100, específicamente desarrollado para funcionar en aplicaciones similares a las de este proyecto (puede gestionar tarjetas inteligentes, comunicación mediante modem, etc.).
Esta entidad es la encargada de:
Para este entorno se definirá una tarjeta específica, la Tarjeta del Profesional de la OTRI (POTRI). Esta tiene análogas funciones que la TIPI, entre ellas destacamos su uso como sistema de control de acceso al Servidor.
Esta entidad es la encargada de gestionar las distintas aplicaciones que se pongan a disposición del investigador para facilitarle el intercambio de información con la OTT. Este Servidor, físicamente situado en las dependencias de la OTT, estaría controlado por el gestor autorizado del SAI a través de una tarjeta inteligente. Deberá realizar las siguientes funciones:
En este proyecto se proporcionarán estos servicios de seguridad mediante el empleo de algoritmos asimétricos de clave pública. Estos se basan en la existencia, para cada usuario, de dos claves, una pública (y, por tanto, disponible para el resto de los usuarios) y otra privada. En este caso se hace necesario que alguien de confianza ratifique que la clave pública empleada por un usuario para la obtención de un determinado servicio es la clave vigente. Esta entidad recibe el nombre de Autoridad de Certificación (CA).
La Autoridad de Certificación es la entidad encargada de garantizar, en todo momento, la validez de las claves públicas manejadas, emitiendo y verificando las credenciales necesarias para la utilización del Servidor de Atención al Investigador.
DIATEL dispone de un desarrollo previo de un Servidor de Seguridad (SecServer), con funcionalidad de Autoridad de Certificación, realizado como parte de las tareas encomendadas a DIATEL dentro del proyecto EDISE (acción PASO 1993-1995), que serviría como punto de partida para la instalación de la CA.
Actualmente, este SecServer recibe las peticiones de servicio a través de correo seguro (PEM), codificadas en el cuerpo del mensaje según un formato preestablecido. Asimismo, una vez ejecutada la petición, el SecServer devuelve la respuesta mediante mensajes PEM. Proporciona las siguientes facilidades a sus usuarios: registro automático de los usuarios que desean usar los servicios del SecServer, certificación de la clave pública de usuario, información de claves públicas de usuarios y CA, baja de usuarios, información de la Lista de Certificados Revocados.
En este proyecto se propone flexibilizar el acceso a este SecServer tanto desde el punto de vista de la aplicación cliente, como de la aplicación servidora del investigador (SAI), de manera que la obtención de un determinado servicio del SecServer no esté supeditada a los retardos que sufren los mensajes de correo electrónico en su tránsito por los distintos MTAs.
El desarrollo de esta tarea consistiría, por tanto, en implementar un nuevo protocolo seguro de acceso al Servidor de Seguridad, basado en una estructura cliente/servidor, así como adaptar la funcionalidad del mismo a las particularidades del usuario final.
Como EPOs se cuenta con:
Proyecto financiado por el Plan Nacional de I+D. Comisión Interministerial de Ciencia y Tecnología (CICYT). Referencia TEL96-1322