e-administración en la Universidad de Murcia, Infraestructuras y Servicios.

Transcripción

1 e-administración en la Universidad de Murcia, Infraestructuras y Servicios. Daniel Sánchez Martínez Universidad de Murcia, España dsm@dif.um.es Inmaculada Marín López Universidad de Murcia, España inma@dif.um.es Tomás Jiménez García Universidad de Murcia, España tomasji@um.es Abstract En este artículo se describe el caso práctico en Administración electrónica de la Universidad de Murcia. En él se desglosan las diferentes infraestructuras de servicios Web y las principales tecnologías de integración del carné inteligente universitario en dispositivos cliente diseñadas e implantadas en el marco del proyecto e-administración. También se analizan la puesta en marcha de los primeros servicios finales para la comunidad universitaria (flujos de trabajo, registro telemático, facturación electrónica...), así cómo las siguientes vías de trabajo tras la experiencia adquirida. Keywords e-administración, PKI, firma electrónica, sellado de tiempos, servicio Web, tarjeta inteligente, dispositivos móviles. INTRODUCCIÓN Cada vez una mayor cantidad de organizaciones y entidades públicas muestran un impulso decidido por lograr una Administración electrónica [20]. Este concepto engloba, de forma general, el uso de las tecnologías de la información en la Administraciones, buscando así conseguir la mejora de los servicios públicos. Las líneas de actuación fundamentales de cualquier proyecto de Administración electrónica se apoyan en tres elementos esenciales: El acceso público de los usuarios a los servicios. La reorganización interna de la propia Administración. El intercambio de información entre Administraciones. Las Administraciones llevan muchos años ofreciendo servicios telemáticos a través del Web, sin embargo o se trataba de servicios incompletos, en los cuáles en algún momento del mismo se requería una presencia física del usuario en la Administración; o se trataba de servicios sin validez jurídica. La Administración electrónica va más allá de un simple servicio telemático, y se sustenta en dos pilares fundamentales; la seguridad, proporcionada por las infraestructuras técnicas, y la validez jurídica, impulsada por un desarrollo normativo paralelo. Sus principales beneficios son los siguientes: Recorte de gastos. Con el ahorro de papel derivado de envíos y almacenamientos se reducen drásticamente los costes del proceso. Agilidad en la tramitación. Los diferentes pasos de un trámite se pueden realizar en pocos minutos y cómodamente, sin necesidad de desplazamiento alguno. Ahorro de espacio. Los documentos generados pueden ser almacenados fácilmente en medios de almacenamiento magnético u óptico. Procedimiento seguro. Mediante el empleo de certificados y firmas digitales se garantiza en todo momento la autenticidad, la integridad y el no repudio de los documentos. En este nuevo escenario las universidades representan una excelente oportunidad de implantación de este tipo de servicios por la capacidad de innovación tecnológica que las caracteriza. En este artículo se describirán las iniciativas que la Universidad de Murcia ha emprendido durante este último año con el objetivo de conseguir una Administración electrónica operativa tanto para la propia comunidad universitaria, como para terceros que tengan que relacionarse con ella. El artículo se centrará inicialmente en el contexto tecnológico que ha impulsado a la Universidad de Murcia a abordar este desafío, y en los objetivos fundamentales que se plantean dentro del proyecto e-administración. A continuación se analizarán las infraestructuras de servicios Web desarrolladas para la parte servidora, y las tecnologías de integración de la tarjeta inteligente de la Universidad de Murcia con ordenadores personales y dispositivos móviles. Ambos elementos conforman la arquitectura fundamental de la plataforma de e-administración. Posteriormente, se describirán los primeros servicios desarrollados y los beneficios que la comunidad universitaria obtiene. Para finalizar se obtendrán algunas conclusiones del trabajo realizado durante este primer año y se analizarán ciertos caminos aún por explorar.

2 CONTEXTO TECNOLÓGICO La Universidad de Murcia ha demostrado durante la última década una gran preocupación por el desarrollo tecnológico y por los servicios telemáticos seguros impulsados, de forma fundamental, por el desarrollo del carné universitario y de una infraestructura de clave pública (PKI) propia. El carné universitario, basado en tecnología chip, supuso una nueva concepción en la oferta de servicios destinados a los usuarios de la comunidad universitaria. Se trata de una tarjeta inteligente multi-aplicación subvencionada por dos entidades financieras regionales, y con capacidad suficiente para integrar una aplicación universitaria y una aplicación bancaria. Esta tarjeta inteligente se ha convertido en el medio de identificación fundamental dentro de la Universidad, tanto en los entornos físicos como en los telemáticos. A día de hoy existe una amplia oferta de servicios basados en su uso (control de accesos, servicio de bibliotecas, reserva de instalaciones deportivas, consulta de expedientes, enseñanza virtual, micro-pagos ). Paralelamente al carné universitario, la Universidad de Murcia desarrolló una PKI para uso interno que ha permitido la emisión de certificados digitales para usuarios, servidores Web y firma de software durante siete años. En este periodo se emitieron más de 400 certificados de usuario y se registraron cientos de miles de correos electrónicos firmados. El carné universitario se ha convertido en este tiempo, por sus características seguras y su portabilidad, en el soporte ideal de las claves privadas de aquellos miembros del personal de administración y servicios (PAS) o del personal docente e investigador (PDI), que han dispuesto de un certificado digital de usuario. La existencia de nuestra PKI y el alojamiento de las claves privadas de los usuarios en los carnés universitarios han permitido realizar experiencias piloto de firma electrónica, fundamentales para la adquisición de experiencia y para afrontar los objetivos del proyecto e-administración que en el siguiente apartado se describe. Tras la publicación de la nueva ley de firma electrónica hace algo más de dos años, la Universidad de Murcia analizó las garantías jurídicas y económicas que la citada ley exige a los prestadores de servicios de certificación (PSC) que quieran ser reconocidos jurídicamente. Ante las fuertes responsabilidades que del cumplimiento de la ley se derivan, la Universidad decidió descartar la posibilidad de transformación de nuestra PKI a un PSC reconocido, y limitar su uso a investigación interna. Así resolvió firmar un convenio con un tercero de confianza, que permitiese distribuir certificados con validez jurídica entre los miembros de la comunidad universitaria. El convenio se firmó hace un año con la Fábrica Nacional de Moneda y Timbre (FNMT) [16], PSC reconocido, convirtiéndose la Universidad de Murcia en autoridad de registro (RA) de la misma. Este acuerdo posibilita además el desarrollo de servicios de Administración electrónica basados en el uso de firma electrónica reconocida, y con plena validez jurídica (equiparable a la firma manuscrita). Estas experiencias junto a otras como la implantación de aulas de libre acceso (ALAs), secretarías virtuales y redes inalámbricas dentro de la Universidad, o la participación en diferentes proyectos con la Comunidad Autónoma de la Región de Murcia y la Asamblea Regional de Murcia, propiciaron la designación de la Universidad como coordinadora del Grupo de Trabajo sobre Administración electrónica constituido en el seno de la Conferencia de Rectores de las Universidades Españolas (CRUE) del pasado año, y la han situado en posición de afrontar nuevos retos tecnológicos. EL PROYECTO E-ADMINISTRACIÓN En mayo de 2005 la Universidad de Murcia aprobó el plan estratégico Hacia la Administración Electrónica, el cual supone tanto una clara declaración de intenciones en busca de la modernización en los procedimientos y comunicaciones administrativas dentro de la propia Universidad y en sus relaciones con terceros, como una apuesta decidida por el uso de las tecnologías de la información para conseguir ese fin. Este plan supone la culminación del proceso comenzado hace una década con las experiencias e iniciativas descritas en el apartado anterior. Objetivos Como objetivos fundamentales del plan se han establecido los siguientes: Racionalizar los sistemas de acceso a la información y su utilización por parte de los órganos y unidades administrativas, facilitando su almacenamiento y consulta en condiciones óptimas de seguridad. Prestar un mejor servicio a los miembros de la comunidad universitaria y, en general, a la sociedad, permitiendo una comunicación más fluida a través de medios técnicos seguros y con la adecuada validez jurídica. Conseguir una importante reducción del coste económico y ambiental que conlleva una actividad administrativa basada en el papel, de manera que los actos y trámites se generen en soporte digital y se comuniquen por medios telemáticos. Simplificar las relaciones con el resto de las instituciones públicas, especialmente por lo que se refiere al in-

3 tercambio de información y, en general, para permitir una mayor eficacia en la recíproca cooperación y asistencia necesaria para el ejercicio de las respectivas competencias. Líneas de actuación Para la consecución de dichos objetivos se han establecido varias líneas de trabajo: Puesta en marcha de las oficinas de registro, y distribución de la firma electrónica entre los usuarios de la comunidad universitaria, siendo el carné universitario el soporte de la misma. Desarrollo de infraestructuras que permitan hacer seguras las transacciones y los documentos intercambiados, dotándolos de autenticidad, integridad y confidencialidad en aquellos casos en los que se requiera. Desarrollo de infraestructuras que permitan gestionar los documentos electrónicos, en cuanto a su archivo digital, accesibilidad y conservación en el tiempo. Desarrollo de la tecnología necesaria para la realización de procesos de firma electrónica desde el tipo de dispositivo donde se encuentre el usuario final (PC o móvil) mediante el uso del carné universitario. Digitalización de los flujos y expedientes internos de la Universidad, apoyándolos en el uso de la firma electrónica. Algunos ejemplos inmediatos serían los flujos de validaciones de facturas, la firma de actas por parte del profesorado, los expedientes de contratación Puesta en marcha de servicios destinados a los miembros de la comunidad universitaria y a terceros que se relacionen con la Universidad. Algunos ejemplos: Registro Telemático, Notificación Electrónica, Facturación Electrónica, Contratación Pública Electrónica En los siguientes apartados se describen las principales tareas que se están acometiendo en las líneas descritas. INFRAESTRUCTURAS SOA La primera línea de actuación fundamental en las iniciativas de e-administración dentro de la Universidad de Murcia, ha sido el diseño y desarrollo de las infraestructuras adecuadas que permitiesen conformar una plataforma de trabajo ágil y segura. Se analizaron los requerimientos que debía de cumplir la nueva plataforma de Administración electrónica, dividiéndolos en dos grupos fundamentales; requisitos en cuanto a la seguridad de las transacciones y requisitos en cuanto a la gestión de los documentos. El diseño de la plataforma se ha realizado sobre servicios Web y una arquitectura orientada a servicios (SOA) [22]. Este modelado ofrece una gran cantidad de beneficios: Los servicios Web hacen uso de XML [2] para la descripción de los interfaces y el paso de mensajes, y utilizan protocolos estándar como SOAP [23] y HTTP para el transporte de la información. Los servicios Web ofrecen una gran simplicidad en el desarrollo de aplicaciones, por el alto grado de compatibilidad de las mismas, y por la gran variedad de implementaciones y software de desarrollo existentes. Los servicios Web pueden ser registrados a través de UDDI [24], de forma que los clientes potenciales puedan localizarlos. La arquitectura SOA permite que los servicios Web que la conforman puedan interoperar de forma simple y con bajo acoplamiento, favoreciendo la extensibilidad de los mismos y su integración en otras aplicaciones distribuidas ya existentes. Estos beneficios son esenciales para un entorno tan heterogéneo como la Universidad de Murcia, y en general para cualquier Administración, en donde existen multitud de sistemas operativos, servidores y software de diferentes características. Los servicios Web y la arquitectura SOA hacen posible que todos esos elementos puedan interactuar a través de la plataforma común de Administración electrónica. En la figura 1 se puede observar el conjunto inicial de servicios diseñados dentro de la plataforma, y dividido en servicios de seguridad y servicios de gestión documental. Además también descargan a los clientes de la complejidad de tener que implementar por sí mismos ciertas funcionalidades, dejando esta responsabilidad final al servicio. Este hecho es fundamental para el caso de los dispositivos móviles, que disponen de capacidades de procesamiento reducidas. Por último, es necesario destacar que este tipo de modelo centraliza la seguridad y la gestión documental de la plataforma de Administración electrónica en los propios servicios Web, permitiendo que cualquier cambio de políticas, aceptación de nuevos formatos y estándares, o ampliación a nuevas funcionalidades, permanezca transparente a los clientes finales. A continuación se describe la funcionalidad de cada uno de esos grupos de servicios. Servicios de seguridad En el primer grupo de servicios se encuentran aquellos que son responsables de garantizar la autenticidad, la integridad y el no repudio de las transacciones y documentos electrónicos involucrados en cualquier procedimiento de Administración electrónica.

4 Inicialmente se han considerado tres servicios básicos. Un servicio de firma que permita verificar las firmas de los documentos enviados por los clientes, y firmar ciertas transacciones de forma automatizada. Un servicio de sellado de tiempos que permita vincular un documento a un momento preciso del tiempo. Y un servicio de validación que permita comprobar la vigencia de los certificados electrónicos. Tal y como se describe en la figura 1, el servicio de sellado y el de validación pueden ser utilizados directamente por un cliente, o por el propio servicio de firma, que en un momento determinado puede necesitar ligar una firma a un instante temporal, o comprobar la validez del certificado incluido en una firma electrónica. Posibilidad de generar firmas electrónicas de servidor a partir de diferentes claves privadas, en función del escenario de aplicación. Capacidad de manejo de información de autorización para, en base a ella, permitir o denegar el acceso al servicio. Posibilidad de selección de ciertos parámetros de seguridad en la generación de las firmas, como el tipo de algoritmo o el tamaño de la clave. Posibilidad de adición de atributos e información adicional a las firmas para posibles utilidades futuras. Posibilidad de interactuar con otros servicios (validación y sellado) en función de la información que se necesite adjuntar a una firma (sellos de tiempo, evidencias de validación). Con estos requisitos se ha implementado un servicio Web de firma y verificación de firma de documentos basándose en el protocolo de firma DSS (Digital Signature Service) [9] [10] definido por OASIS en el comité técnico de Servicios de Firma Digital. Mediante este servicio Web se consiguen importantes beneficios. En primer lugar permite asegurar la autenticidad e integridad de los documentos electrónicos intercambiados, gracias a las propiedades inherentes a la firma digital. Figura 1. Plataforma SOA de Web services Se está estudiando la posibilidad de ampliar la arquitectura en el futuro con un nuevo servicio de cifrado, que complete la funcionalidad descrita. A continuación se analizan cada uno de los servicios desarrollados. Servicio de firma y verificación de firma Este es el elemento central de la arquitectura de servicios seguros. Su diseño se ha fundamentado en los siguientes requisitos: Soporte de los estándares de firma XMLDSIG [15] y CMS [5], que son los más extendidos en la actualidad, posibilitando también la incorporación de otros estándares que puedan aparecer en el futuro. Soporte de distintas relaciones entre la firma y los datos que se firman, en función del estándar de firma utilizado. Distinguimos entre firma separada (detached), firma que envuelve el documento (enveloping) y firma envuelta por el documento (enveloped). Soporte de múltiples firmantes. Por otro lado, se facilita que operaciones de firma se puedan realizar desde entornos corporativos diferentes, incluso móviles, pudiendo las claves utilizadas estar compartidas por distintos usuarios o aplicaciones dentro de la organización. Además, el protocolo DSS está abierto a permitir seleccionar la política de funcionamiento del servicio, lo cuál favorece la implementación de comportamientos diferentes en función de distintos parámetros, y sobre todo lo dota de extensibilidad. Este protocolo, y por tanto el servicio implementado, también posibilita la identificación del cliente que lo utiliza en base a credenciales, lo cual permite elevar la autorización de su uso a los condicionantes que se requieran. Servicio de sellado de tiempo Asegurar el no-repudio de las transacciones y ligarlas a un instante temporal preciso, es un factor fundamental en muchos procesos de Administración electrónica, que necesitan demostrar la existencia de unos datos concretos en una fecha y hora determinadas. Esta evidencia se proporciona en forma de sello de tiempo, también conocido como token de tiempo, y es generado por

5 una autoridad de sellado de tiempos (TSA), que lo suministra a través de un servicio de sellado de tiempos. Este servicio será, por tanto, también fundamental en la arquitectura de servicios seguros planteada. Para su diseño se han tenido en cuenta los siguientes requisitos: Soporte de los distintos estándares de sellado de tiempo existentes a día de hoy, como la estructura TimeStampToken definida en el RFC 3161 [1], y el elemento TstInfo definido por OASIS en el DSS, y posibilidad de incorporar otros nuevos que aparezcan en el futuro. Posibilidad de verificar un sello de tiempo previamente emitido por el servicio de sellado de tiempo. Posibilidad de obtener la información contenida en un sello de tiempo previamente emitido. Adición opcional de atributos al sello de tiempo, extendiendo así la información temporal contenida en el mismo. Capacidad de manejo de información de autorización para, en base a ella, permitir o denegar el acceso al servicio. Se observó, además, que el protocolo de firma DSS de OASIS permite la definición de perfiles sobre el propio protocolo, de tal forma que extiendan la funcionalidad del mismo a un escenario concreto. Existe un borrador de OASIS para un perfil de TimeStamp (OASIS-TS) [11], que sin embargo no cubre algunos de los requisitos aquí planteados. Así que se diseñó un nuevo perfil a partir del borrador de OASIS, que diera soporte a todos los requisitos planteados, al que se denominó UMU- TS. La implementación de este perfil posibilita una gran flexibilidad tanto a la hora de solicitar y verificar sellos de tiempo, como en la adición y obtención de información relativa a los mismos. Además, al igual que el servicio de firma y verificación, posibilita la definición de diferentes políticas de funcionamiento, y el acceso autorizado en base a la presentación de credenciales. Servicio de validación de certificados La validación de los certificados digitales utilizados en cualquier transacción de la plataforma (identificación de un usuario, verificación de firma ) se convierte en crítica para asegurar la veracidad de los documentos intercambiados. En función del PSC que haya emitido los certificados y la implementación de la PKI que subyace, existen distintos mecanismos y protocolos que permiten comprobar la validez de un certificado, lo cual convierte la validación de un certificado en una tarea de cierta complejidad. Para el diseño de este servicio se han tenido en cuenta los siguientes requisitos: Soporte de certificados de diferentes PSC. Soporte de distintos mecanismos y protocolos de validación de certificados (CRLs [6], OCSP [8], SCVP [7], DPV [13] ). Posibilidad de especificar el tipo de validación mínima que se quiere realizar, en base a uno o diferentes protocolos. Posibilidad de retornar la información de validación obtenida a partir del protocolo seleccionado. Soporte de solicitudes y respuestas firmadas digitalmente, de forma que se pueda asegurar la autenticidad de ambas. Atendiendo a estos requisitos, se ha diseñado un servicio de validación de certificados configurable, en cuanto a los métodos de validación soportados, y extensible, en cuanto al tipo de certificados soportados. Inicialmente se ha implementado soporte para CRLs, validación OCSP y SCVP. El PSC soportado es la FNMT, y actualmente se está trabajando en incorporar también soporte para el nuevo DNI electrónico [21]. El servicio se ha implementado utilizando elementos y mensajes similares a los que usa OASIS en el DSS y el perfil de TimeStamp, buscando así aprovechar los beneficios de los otros servicios implementados (políticas de funcionamiento, acceso autorizado ). Servicios de gestión documental Junto al bloque de servicios de seguridad, se ha diseñado otro conjunto de servicios básicos relativos a la gestión documental de los procesos de Administración electrónica. Inicialmente se han desarrollado tres servicios básicos, necesarios para poder trabajar con documentos electrónicos. Un primer servicio de archivado de documentos electrónicos en la base de datos documental de la Universidad de Murcia. Un segundo servicio de consulta de documentos electrónicos, que permite recuperar un documento electrónico de forma transparente al cliente final. Y por último un servicio de generación automática de documentos electrónicos, especialmente interesante para la producción de recibos y justificantes. Adicionalmente, se está analizando la posibilidad de incorporar nuevos elementos a la infraestructura, como un servicio de perfiles de autorización, que permita definir condi-

6 ciones de acceso a ciertos documentos electrónicos; un servicio de gestión de expedientes electrónicos, que permita vincular varios documentos electrónicos entre sí; y un servicio de gestión de flujos, que permita definir las distintas etapas del ciclo de vida de un expediente o documento electrónico. En la figura 1 puede observarse cómo interactúa este conjunto de servicios. A continuación se describen las características de cada uno de ellos. Servicio de archivado El requerimiento fundamental de este servicio es el de guardar un documento electrónico en la base de datos documental y asignarle un identificador único, por el que posteriormente el documento pueda ser recuperado. Este identificador único es devuelto al cliente del servicio. Junto al documento, el servicio de archivado guarda la información relativa al formato de documento almacenado (XML, DOC, PDF ) y el tipo de firma soportada (CMS, XMLDSIG) en el caso de que se encuentre firmado. El acceso al servicio es configurable en base a credenciales, de forma que se protege el acceso a la base de datos de documentos electrónicos. Servicio de consulta El servicio de consulta de documentos electrónicos localiza y recupera un documento electrónico en base a su identificador único. Junto al documento en sí mismo se adjunta la información del formato de archivo contenido y del tipo de firma que soporta. Como en el caso del servicio de archivado, el acceso al mismo es configurable en base a credenciales. Servicio de generación Este servicio permite generar de forma automática ciertos documentos electrónicos presentes en algunos procesos de Administración electrónica. Como ejemplos de este tipo de documentos observamos justificantes, acuses de recibo, notificaciones En general se trata de documentos electrónicos que la propia plataforma es capaz de generar por sí misma, y que suelen incluir una firma de servidor o un sello de tiempo. La generación automática de este tipo de documentos proporciona un valor añadido al cliente final, que de forma ágil y flexible obtiene un documento con la semántica que necesita. Los documentos se generan en base a unas plantillas previamente definidas y que pueden ser seleccionadas por el cliente que invoca el servicio. El acceso a este servicio también es configurable en base a credenciales. ARQUITECTURAS CLIENTE Paralelamente al desarrollo de las infraestructuras de servicios que soporten todos los procesos propios de una plataforma de Administración electrónica, es fundamental diseñar e implementar la tecnología necesaria que haga posible la generación de firmas electrónicas en los clientes, de tal forma que un usuario pueda firmar un documento o una transacción en un momento determinado. Para llevar a cabo este propósito, es necesario tener en cuenta que las claves del usuario se encuentran contenidas en su carné universitario, y que por tanto deberán ser habilitados los mecanismos necesarios para que el proceso de generación de firma digital se realice en la propia tarjeta inteligente. Este requisito de diseño implica la integración de las capacidades criptográficas del carné universitario en la arquitectura del sistema operativo de los clientes. En el diseño de esta solución de integración se han tenido en cuenta diversos factores que se describen a continuación: Debe integrar el carné universitario en clientes de la familia de sistemas operativos Windows (con gran penetración en la mayoría de los entornos administrativos), y también en clientes de la familia Linux (cada vez más presentes dentro de la Universidad de Murcia). Debe posibilitar el uso de la tarjeta inteligente de la Universidad de Murcia tanto en clientes fijos de escritorio (tipo PC) como en dispositivos móviles (PDAs o smartphones). Debe permitir el uso del certificado electrónico, de forma transparente al usuario, en los principales navegadores Web y clientes de correo utilizados a día de hoy dentro de la Universidad (Internet Explorer, Netscape, Mozilla y Firefox), tanto para procesos de autenticación de cliente en sesiones SSL, como para firma de correo S/MIME. Debe ofrecer funcionalidad de alto nivel a los desarrolladores que necesiten incluir procesos de firma electrónica en aplicaciones o servicios finales, y soportando los principales estándares de firma actuales (CMS y XMLDSIG). Atendiendo a estas necesidades, se han diseñado dos arquitecturas, una de ellas responde a las necesidades de los clientes de escritorio tradicionales, y la otra a las de los clientes móviles.

7 Cliente PC La arquitectura diseñada para este tipo de cliente se refleja en la figura 2 y está compuesta por tres elementos fundamentales: CSP [26], PKCS#11 [25] y Crypto-Applet. UMU Crypto-Applet Este applet de tecnología Java se convierte en un componente esencial para el desarrollo de aplicaciones web que necesiten utilizar los recursos criptográficos de nuestra tarjeta inteligente. Este desarrollo se sustenta en el JCP (Java Cryptographic Provider) y en el uso interno del UMU-PKCS#11 como interfaz criptográfico de comunicación con la tarjeta. Proporciona a los navegadores con soporte Java una serie de métodos criptográficos de alto nivel que pueden ser invocados desde código script. Además de estos componentes esenciales, se han desarrollado dos aplicaciones destinadas al usuario final que hacen uso de parte de la tecnología de integración descrita y le ofrecen un valor añadido en su trabajo diario. Figura 2. Arquitectura de componentes en cliente PC UMU CSP Este desarrollo es un proveedor de servicios de criptografía compatible con Microsoft Windows CryptoAPI, y que es capaz de interactuar con el certificado almacenado en la tarjeta inteligente de la Universidad de Murcia. Se integra con aplicaciones Microsoft de más alto nivel como Outlook (posibilitando la firma de correo), Internet Explorer (autenticación de cliente en conexiones seguras) o con cualquier otro desarrollo cliente a través de Windows CryptoAPI y, opcionalmente, del componente CAPICOM ActiveX [27]. UMU PKCS#11 Este PKCS#11 representa un interfaz común entre ciertas aplicaciones cliente no Microsoft y el certificado de la tarjeta inteligente de la Universidad de Murcia. Entre los navegadores que lo soportan se encuentran Mozilla, Netscape, Thunderbird y Firefox, permitiendo la autenticación de cliente basada en certificado y la firma electrónica de correos en aquellos casos en los que se incluye un gestor de correo. El UMU PKCS#11 permite, además, que otros productos de gran calado en el trabajo diario del PAS, como Novell, también se integren con la tarjeta inteligente de la Universidad de Murcia, posibilitando el arranque de sesión seguro en Novell a través del certificado de la tarjeta, y la utilización de la misma como único medio de autenticación en todos los servicios y aplicaciones que el usuario maneje. UMU Identidades Digitales Esta aplicación facilita la movilidad de certificados y claves entre distintos dispositivos, posibilitando la importación/exportación de los mismos desde el PC hasta la tarjeta inteligente o viceversa. Además, ofrece una gestión integral de los certificados del usuario: organización en almacenes, copias de seguridad, visualización de campos, borrado UMU Firma Documentos Esta sencilla aplicación de escritorio incorpora a un PC la capacidad de firmar todo tipo de ficheros a través del certificado de la tarjeta, además de verificar ficheros ya firmados. Este desarrollo trabaja con distintos tipos de formatos y soporta la posibilidad de múltiples firmas. Cliente móvil Para conseguir la integración de un dispositivo móvil dentro de los procesos de Administración electrónica, la Universidad de Murcia ha basado el diseño de la tecnología de integración y su posterior implementación en el trabajo realizado dentro del proyecto FACTO [17] en colaboración con Telefónica Móviles España [28]. La arquitectura de integración del carné universitario en el dispositivo móvil se puede observar en la figura 3. A continuación se describen sus principales componentes. UMU PocketPC CSP Este desarrollo es equivalente a UMU CSP en cuanto a funcionalidad, y está implementado especialmente para el sistema operativo Windows Mobile.

8 UMU FactoLib ActiveX Este objeto COM desarrollado por la Universidad de Murcia ofrece métodos criptográficos de alto nivel, que interactúan con la tarjeta inteligente, a las aplicaciones finales que se ejecutan sobre el dispositivo móvil. UMU Crypto-Midlet Este midlet desarrollado sobre tecnología J2ME [29] implementa operaciones de firma y verificación de firma que pueden ser utilizadas desde otros midlets en ejecución. Dichas operaciones criptográficas se realizan sobre un certificado instalado en el entorno J2ME, posibilitando el midlet la importación del mismo. PRIMEROS SERVICIOS Una vez desarrolladas las infraestructuras necesarias para dar soporte a los procesos de Administración electrónica, tanto en la parte servidor como en la parte cliente, la Universidad de Murcia ha puesto en marcha un catálogo inicial de servicios piloto, destinados tanto a los miembros de la comunidad universitaria, como a terceros con los que la propia Universidad se relaciona. Validación de flujos En primer lugar, la Universidad de Murcia ha iniciado la digitalización de sus flujos de gestión internos. Algunos de ellos ya disponían de una operativa telemática, pero carecían del soporte jurídico que proporciona la firma electrónica, y se fundamentaban en una identificación débil del usuario basada en contraseña. El uso de este tipo de servicios telemáticos se restringía a una validez exclusivamente interna, y que en la mayoría de los casos implicaba una firma manual posterior sobre una documentación generada de forma automática e impresa. Se ha trabajado hasta el momento en tres campos fundamentales dentro de la Universidad: recursos humanos, gestión económica y gestión académica. Figura 3. Arquitectura de componentes en cliente móvil Para el entorno móvil también se han desarrollado dos aplicaciones de valor añadido para el usuario final. Recursos humanos Dentro de los flujos de recursos humanos, se ha añadido el soporte de la firma electrónica a los procesos de gestión de ausencias, controlados por la aplicación de recursos humanos de la Universidad de Murcia KRON [30]. UMU CertManager Este desarrollo es equivalente a UMU Identidades Digitales en cuanto a funcionalidad, y está implementado especialmente para el sistema operativo Windows Mobile, permitiendo la gestión integral de certificados de usuario. UMU FileSign Aplicación que permite la firma y cifrado de ficheros dentro del dispositivo móvil. A través de la arquitectura cliente descrita, se ofrece al usuario final la posibilidad de acceder a los servicios de Administración electrónica de la Universidad de Murcia tanto desde un PC tradicional como desde un dispositivo móvil, manteniendo siempre las mismas características de seguridad en las transacciones. Figura 4. Flujo de solicitud de ausencia Un usuario del PAS puede solicitar una ausencia laboral de forma telemática, firmando la solicitud con su carné universitario. Posteriormente su superior o superiores podrán validar o desestimar la misma, firmando la solicitud del

9 trabajador o generando un documento de desestimación alternativo. Se puede observar en la figura 4. Esta vista de la aplicación KRON está disponible tanto desde clientes PC como desde clientes móviles (Pocket- KRON [18]). Gestión económica De forma similar en cuanto al soporte de seguridad se refiere, se ha añadido firma electrónica a los flujos de validaciones y desestimaciones de facturas de la aplicación JUSTO [31] de gestión económica. Este flujo permite elevar la validación de las facturas que llegan a la Universidad de Murcia desde sus distintos proveedores hacia el responsable de la misma y los responsables de gestión económica de la propia Universidad. Soporta la validación de facturas en formato papel (se digitalizan mediante escaneo) y en formato electrónico (tal y como se describirá en el apartado siguiente). La vista de la aplicación se encuentra disponible en entorno PC y en entorno móvil (Pocket-JUSTO). Gestión académica En este ámbito se ha procedido a digitalizar un flujo de especial trascendencia para el PDI de la comunidad universitaria. Se trata del flujo de firma de actas, que está formado por un único paso, pero que tiene una gran importancia dentro de la gestión de la propia Universidad. Facturación electrónica Se trata del primer servicio de Administración electrónica que la Universidad de Murcia ofrece a sus proveedores en busca de ahorrar gastos en la generación y envío de facturas, y gestionar de forma eficiente la información contable de las mismas. El único requisito previo que debe cumplir la empresa que quiera utilizar este servicio de facturación con la Universidad de Murcia es el de disponer de un certificado de persona jurídica reconocido por la Administración Tributaria. Este servicio, denominado JUSTO-FE persigue los siguientes objetivos básicos: Ofertar una plataforma Web de facturación ágil y segura a los proveedores de la Universidad de Murcia. Integrar la generación, envío y recepción de la factura electrónica en los flujos internos de gestión económica de la Universidad de Murcia de forma transparente. Revestir al servicio de los mecanismos de seguridad necesarios haciendo uso de procesos de firma electrónica reconocida. En la figura 5 se puede observar el funcionamiento de la plataforma Web. El proveedor, a través de su certificado reconocido y de un componente software que descarga, puede generar facturas, firmarlas y almacenarlas en su equipo para su posterior tratamiento. Un importante número de profesores de la Universidad tienen una relación laboral a tiempo parcial con la misma, y en muchos casos su actividad docente se realiza alejada de las Secretarías de los propios centros. Facilitar la posibilidad de generar y enviar las actas firmadas de forma telemática a este sector del profesorado, representa un valor añadido tanto para ellos como para la agilización de todo el proceso de calificaciones dentro de la Universidad. Además, este flujo tiene plena trascendencia externa, pues las actas son documentos que otros organismos pueden solicitar a la propia Universidad. El servicio de firma de actas se integra dentro del portal SUMA (campus virtual de la Universidad de Murcia) [32] que ya utiliza todo el PDI. Figura 5. Facturación electrónica Las facturas firmadas pueden ser enviadas al servidor de la Universidad de Murcia, que verifica la autenticidad e integridad de las mismas, y las procesa de forma automática hasta almacenarlas en el servidor de bases de datos. Otras aplicaciones de intranet de la Universidad de Murcia podrán acceder posteriormente a la información almacenada en función de los flujos internos de gestión económica. El formato de facturación elegido inicialmente fue el esquema XML UBL ANF Invoice [34], y en breve se sopor-

10 tará también el nuevo formato efactura [33] de la Agencia Tributaria. El esquema XML UBL ANF Invoice adopta, como lenguaje de definición de documentos, la nueva especificación UBL (Universal Bussiness Language), avalada por Naciones Unidas y OASIS entre otras entidades. La plataforma Web ofrece hasta el momento los siguientes servicios seguros: Creación y almacenamiento de una factura electrónica mediante formulario. Validación a través del esquema XML UBL ANF Invoice de una factura previamente creada. Visualización de una factura electrónica a través de una hoja de estilos. Firma digital de una factura electrónica mediante un certificado digital. Almacenamiento del documento firmado. Envío de una factura firmada al servidor de la Universidad de Murcia, para la verificación de su firma, la validación del contenido de la factura y el tratamiento de la misma. Los beneficios de este servicio no sólo se limitan a la comunidad universitaria, sino que terceros que se relacionan con la Universidad de Murcia pueden hacerlo de una forma más eficaz, sencilla y transparente. Registro telemático La aplicación de Registro Telemático es otra de las iniciativas de la Universidad de Murcia para su catálogo de servicios de Administración electrónica. Este servicio se plantea varios objetivos fundamentales: Ofrecer al usuario de la comunidad universitaria la posibilidad de presentar instancias de distinta naturaleza de forma telemática. Establecer las medidas de seguridad necesarias para garantizar la autenticidad e integridad de las instancias presentadas, así como el no repudio y la veracidad temporal de las mismas. Posibilitar que el usuario pueda comprobar el estado de tramitación de sus instancias registradas, también de forma telemática. Integrar estas instancias telemáticas dentro de los flujos de validaciones y desestimaciones existentes dentro de la gestión académica de la Universidad de Murcia. Hasta el momento han sido desarrollados dos servicios fundamentales, la presentación de una instancia básica (sin documentación adjunta) y la comprobación de una instancia presentada, ambos en entorno Web. En el proceso de presentación de una instancia básica el usuario rellena y firma digitalmente un formulario con la información de la instancia, generándose un documento criptográfico contenedor de la instancia, su firma y el certificado utilizado para realizar la misma. Ese documento se envía al servidor, que verifica la firma de la instancia, su integridad y autenticidad. Una vez realizadas todas estas comprobaciones, añade un sello de tiempo al documento en el que se incluyen la fecha y hora de presentación de la instancia y el número de asiento en el registro, procediendo a continuación al almacenamiento del documento en base de datos. Este proceso se observa en la figura 6. Figura 6. Registro telemático Además, este documento firmado inicialmente por el usuario y sellado posteriormente por la Universidad de Murcia, es devuelto al usuario, posibilitando que lo descargue en su ordenador a modo de justificante electrónico para posteriores comprobaciones. El segundo servicio que ofrece la aplicación Web es la comprobación de justificantes electrónicos. El usuario puede utilizar este servicio para comprobar que el justificante electrónico correspondiente a una instancia que presentó, y que tiene en su poder, es válido. El proceso de comprobación realiza una verificación de la firma y el sello de tiempo del justificante, muestra la información relativa al firmante y al asiento en el registro, y permite visualizar de nuevo la instancia básica presentada. Ambos servicios se encuentran plenamente integrados con las aplicaciones de gestión interna de la Universidad, lo cual proporciona un gran beneficio en la agilización de los trámites tanto al usuario que presenta la instancia, como a los miembros del PAS que tengan que intervenir en el flujo de la misma.

11 CONCLUSIONES Y VÍAS FUTURAS A lo largo de este artículo se han puesto de manifiesto las iniciativas técnicas en cuanto a infraestructuras y servicios finales que la Universidad de Murcia ha puesto en marcha en este último año con la ambición de caminar hacia una Administración electrónica plena. Desde noviembre de 2005 se han registrado en torno a 150 usuarios en las distintas oficinas de registro de la propia Universidad, que han obtenido su certificado digital para participar en los distintos pilotos puestos en marcha sobre los servicios finales desarrollados, los cuales entrarán en fase de explotación a partir de junio de Se espera que a finales de 2006 más de 2000 miembros del PAS y PDI dispongan de su certificado digital y hagan uso de los servicios de Administración electrónica. En este momento la Universidad dispone de los medios humanos y técnicos necesarios para seguir ampliando su catálogo de servicios, y flexibilizar así la forma de trabajar de los miembros de la comunidad universitaria. Sin embargo, se trata tan sólo de un primer paso en el camino y todavía quedan una serie de desafíos técnicos y logísticos que afrontar en los próximos meses. Entre otros se destacan los siguientes: La aparición del nuevo DNI electrónico emitido por el Ministerio del Interior a todos los ciudadanos españoles, y que permitirá identificarse y realizar procesos de firma electrónica en transacciones telemáticas. La Universidad de Murcia está trabajando en soportar este nuevo medio de identificación electrónico dentro de su plataforma de Administración electrónica. La interoperabilidad entre distintas plataformas de Administración electrónica de diversas organizaciones y naciones, es una de las grandes preocupaciones mundiales en torno al concepto de e-government. El lograr los mecanismos de gestión necesarios para poder compartir información entre la distintas Administraciones de forma ágil, controlada, segura y mediante métodos telemáticos es otro de los retos que la Universidad debe afrontar. Otro tema fundamental es la mejora en la accesibilidad del usuario final a los servicios. En muchas ocasiones se desarrollan aplicaciones seguras y eficientes desde el punto de vista técnico, pero que son difíciles de usar y comprender por el usuario final, que habitualmente carece del conocimiento técnico necesario para comprender lo que está sucediendo. Es necesario desarrollar las técnicas necesarias para que el uso de las herramientas de Administración electrónica se ofrezca de forma clara y transparente a estos usuarios. Desde el punto de vista de la seguridad, también será fundamental afrontar en el futuro el problema de cómo asegurar que los elementos de seguridad de los documentos electrónicos mantengan su vigencia con el paso de largos periodos de tiempo. El compromiso de las claves y algoritmos utilizados o la simple desaparición del prestador de servicios de certificación, podrían provocar la invalidación de ciertos documentos firmados con el paso de los años. La Universidad de Murcia ya está trabajando en iniciativas que intentan solucionar este problema (XADES [4] [12] y CADES [3]), y que buscan la forma de almacenar las evidencias de validación de firmas y certificados junto a los propios documentos electrónicos firmados. En cuanto a la gestión documental se refiere, la Universidad de Murcia debe analizar nuevos estándares como OAIS [35] y PDF/A [36] relativos a archivos digitales y documentos electrónicos y estudiar la viabilidad de adaptación a los mismos. Son todos ellos elementos que será necesario resolver próximamente, de forma que iniciativas como la de la Universidad de Murcia no queden como elementos aislados, sino como una pieza más del puzzle de una Administración electrónica global. REFERENCIAS [1] C. Adams, P. Cain, D. Pinkas, R. Zuccherato. Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP). IETF RFC 3161, August [2] T. Bray, J. Paoli, C. M. Sperberg-McQueen, and E. Maler. Extensible Markup Language (XML) 1.0 (Second Edition). W3C Recommendation, October [3] ETSI, Advanced Electronic Signatures. ETSI TS [4] ETSI, XML Advanced Electronic Signatures (XAdES). ETSI TS [5] R. Housley, Request for Comments Cryptographic Message Syntax (CMS) [6] R. Housley, T. Polk, W. Ford and D. Solo. Internet Public Key Infrastructure, Part I: X.509 Certificate and CRL Profile, April Request for Comments (RFC) [7] A. Malpani, R. Housley, and T. Freeman. Simple Certifcate Validation Protocol (SCVP) Febrero [8] M. Myers, RFC X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP [9] OASIS, Digital Signature Services (DSS) Technical Committee. [10] OASIS, Digital Signature Service Core Protocols, Elements and Bindings. OASIS. 29 de Noviembre de [11] OASIS, Time-stamping Profile of the OASIS Digital Signature Service. OASIS. 28 de Junio de 2004.

12 [12] OASIS, XAdES Profiles of the OASIS Digital Signature Service. OASIS. 24 de Diciembre de [13] D. Pinkas, R. Housley. RFC Delegated Path Validation and Delegated Path Discovery Protocol Requirements. [14] W3C. XML-Encryption Syntax and Processing. W3C Recommendation 10 de Diciembre de [15] W3C. XML-Signature Syntax and Processing. W3C Recommendation 12 de Febrero de [16] FNMT, Fábrica Nacional de Moneda y Timbre. [17] M. Barnés, D. Gómez, A.F. Gómez-Skarmeta, M. Martínez, A. Ruiz and D. Sánchez. An electronic signature infraestructure for mobile devices. ISSE Book July [18] D. Sánchez, J.A. Cascales, R. Ferrando, F.J. Pérez. E- Administración En La Universidad De Murcia, en Comunicaciones TECNIMAP 2004, Septiembre de [19] ATICA, Universidad de Murcia. [20] Administración.es el portal del ciudadano. [21] Ministerio del Interior, Documento nacional de identidad electrónico. [22] OASIS, SOA Reference Model Technical Committee. [23] W3C. SOAP Version 1.2 Part 0:Primer. W3C Recommendation 24 de Junio de [24] OASIS UDDI. [25] RSA Laboratories. PKCS #11 v2.20: Cryptographic Token Interface Standard. 28 de Junio de [26] Microsoft MSDN. Cryptographic Service Providers. December security/cryptographic_service_providers.asp [27] Microsoft MSDN. Introducing CAPICOM. enus/dnsecure/html/intcapicom.asp [28] Telefónica Móviles España. [29] Java 2 Platform Micro Edition (J2ME). [30] KRON. Seguimiento de horario y control de acceso. [31] JUSTO. Aplicativo informático para la gestión económica. [32] SUMA. Campus virtual de la Universidad de Murcia. [33] AEAT. La e-factura en la Agencia Tributaria. [34] OASIS. Universal Bussiness Language de Septiembre de [35] OAIS Reference Model. [36] PDF/A, PDF for Long-term Preservation shtml