e-Administración en la Universidad de Murcia, Infraestructuras y Servicios.

Daniel Sánchez Martínez Universidad de Murcia, España

email dsm@dif.um.es

Inmaculada Marín López Universidad de Murcia, España

email inma@dif.um.es

Tomás Jiménez García Universidad de Murcia, España

email tomasji@um.es

Abstract En este artículo se describe el caso práctico en Adminis-tración electrónica de la Universidad de Murcia. En él se desglosan las diferentes infraestructuras de servicios Web y las principales tecnologías de integración del carné inte-ligente universitario en dispositivos cliente diseñadas e implantadas en el marco del proyecto e-Administración. También se analizan la puesta en marcha de los primeros servicios finales para la comunidad universitaria (flujos de trabajo, registro telemático, facturación electrónica...), así cómo las siguientes vías de trabajo tras la experiencia ad-quirida.

Keywords e-Administración, PKI, firma electrónica, sellado de tiem-pos, servicio Web, tarjeta inteligente, dispositivos móviles.

INTRODUCCIÓN Cada vez una mayor cantidad de organizaciones y entida-des públicas muestran un impulso decidido por lograr una “Administración electrónica” [20]. Este concepto engloba, de forma general, el uso de las tecnologías de la informa-ción en la Administraciones, buscando así conseguir la mejora de los servicios públicos. Las líneas de actuación fundamentales de cualquier proyec-to de Administración electrónica se apoyan en tres elemen-tos esenciales: • El acceso público de los usuarios a los servicios. • La reorganización interna de la propia Administración. • El intercambio de información entre Administraciones. Las Administraciones llevan muchos años ofreciendo ser-vicios telemáticos a través del Web, sin embargo o se trata-ba de servicios incompletos, en los cuáles en algún momen-to del mismo se requería una presencia física del usuario en la Administración; o se trataba de servicios sin validez ju-rídica. La Administración electrónica va más allá de un simple servicio telemático, y se sustenta en dos pilares fundamen-tales; la seguridad, proporcionada por las infraestructuras técnicas, y la validez jurídica, impulsada por un desarrollo normativo paralelo.

Sus principales beneficios son los siguientes: • Recorte de gastos. Con el ahorro de papel derivado de

envíos y almacenamientos se reducen drásticamente los costes del proceso.

• Agilidad en la tramitación. Los diferentes pasos de un trámite se pueden realizar en pocos minutos y cómo-damente, sin necesidad de desplazamiento alguno.

• Ahorro de espacio. Los documentos generados pueden ser almacenados fácilmente en medios de almacena-miento magnético u óptico.

• Procedimiento seguro. Mediante el empleo de certifi-cados y firmas digitales se garantiza en todo momento la autenticidad, la integridad y el no repudio de los do-cumentos.

En este nuevo escenario las universidades representan una excelente oportunidad de implantación de este tipo de ser-vicios por la capacidad de innovación tecnológica que las caracteriza. En este artículo se describirán las iniciativas que la Univer-sidad de Murcia ha emprendido durante este último año con el objetivo de conseguir una Administración electróni-ca operativa tanto para la propia comunidad universitaria, como para terceros que tengan que relacionarse con ella. El artículo se centrará inicialmente en el contexto tecnoló-gico que ha impulsado a la Universidad de Murcia a abor-dar este desafío, y en los objetivos fundamentales que se plantean dentro del proyecto e-Administración. A continuación se analizarán las infraestructuras de servi-cios Web desarrolladas para la parte servidora, y las tecno-logías de integración de la tarjeta inteligente de la Univer-sidad de Murcia con ordenadores personales y dispositivos móviles. Ambos elementos conforman la arquitectura fun-damental de la plataforma de e-Administración. Posteriormente, se describirán los primeros servicios desarrollados y los beneficios que la comunidad universita-ria obtiene. Para finalizar se obtendrán algunas conclusio-nes del trabajo realizado durante este primer año y se anali-zarán ciertos caminos aún por explorar.

CONTEXTO TECNOLÓGICO La Universidad de Murcia ha demostrado durante la última década una gran preocupación por el desarrollo tecnológico y por los servicios telemáticos seguros impulsados, de for-ma fundamental, por el desarrollo del carné universitario y de una infraestructura de clave pública (PKI) propia. El carné universitario, basado en tecnología chip, supuso una nueva concepción en la oferta de servicios destinados a los usuarios de la comunidad universitaria. Se trata de una tarjeta inteligente multi-aplicación subvencionada por dos entidades financieras regionales, y con capacidad suficiente para integrar una aplicación universitaria y una aplicación bancaria. Esta tarjeta inteligente se ha convertido en el medio de identificación fundamental dentro de la Universidad, tanto en los entornos físicos como en los telemáticos. A día de hoy existe una amplia oferta de servicios basados en su uso (control de accesos, servicio de bibliotecas, reserva de ins-talaciones deportivas, consulta de expedientes, enseñanza virtual, micro-pagos…). Paralelamente al carné universitario, la Universidad de Murcia desarrolló una PKI para uso interno que ha permiti-do la emisión de certificados digitales para usuarios, servi-dores Web y firma de software durante siete años. En este periodo se emitieron más de 400 certificados de usuario y se registraron cientos de miles de correos electrónicos fir-mados. El carné universitario se ha convertido en este tiempo, por sus características seguras y su portabilidad, en el soporte ideal de las claves privadas de aquellos miembros del per-sonal de administración y servicios (PAS) o del personal docente e investigador (PDI), que han dispuesto de un cer-tificado digital de usuario. La existencia de nuestra PKI y el alojamiento de las claves privadas de los usuarios en los carnés universitarios han permitido realizar experiencias piloto de firma electrónica, fundamentales para la adquisición de experiencia y para afrontar los objetivos del proyecto e-Administración que en el siguiente apartado se describe. Tras la publicación de la nueva ley de firma electrónica hace algo más de dos años, la Universidad de Murcia anali-zó las garantías jurídicas y económicas que la citada ley exige a los prestadores de servicios de certificación (PSC) que quieran ser reconocidos jurídicamente. Ante las fuertes responsabilidades que del cumplimiento de la ley se derivan, la Universidad decidió descartar la posibi-lidad de transformación de nuestra PKI a un PSC reconoci-do, y limitar su uso a investigación interna. Así resolvió firmar un convenio con un tercero de confianza, que permi-

tiese distribuir certificados con validez jurídica entre los miembros de la comunidad universitaria. El convenio se firmó hace un año con la Fábrica Nacional de Moneda y Timbre (FNMT) [16], PSC reconocido, con-virtiéndose la Universidad de Murcia en autoridad de regis-tro (RA) de la misma. Este acuerdo posibilita además el desarrollo de servicios de Administración electrónica basa-dos en el uso de firma electrónica reconocida, y con plena validez jurídica (equiparable a la firma manuscrita). Estas experiencias junto a otras como la implantación de aulas de libre acceso (ALAs), secretarías virtuales y redes inalámbricas dentro de la Universidad, o la participación en diferentes proyectos con la Comunidad Autónoma de la Región de Murcia y la Asamblea Regional de Murcia, pro-piciaron la designación de la Universidad como coordina-dora del Grupo de Trabajo sobre Administración electróni-ca constituido en el seno de la Conferencia de Rectores de las Universidades Españolas (CRUE) del pasado año, y la han situado en posición de afrontar nuevos retos tecnológi-cos.

EL PROYECTO E-ADMINISTRACIÓN En mayo de 2005 la Universidad de Murcia aprobó el plan estratégico “Hacia la Administración Electrónica”, el cual supone tanto una clara declaración de intenciones en busca de la modernización en los procedimientos y comunicacio-nes administrativas dentro de la propia Universidad y en sus relaciones con terceros, como una apuesta decidida por el uso de las tecnologías de la información para conseguir ese fin. Este plan supone la culminación del proceso comenzado hace una década con las experiencias e iniciativas descritas en el apartado anterior.

Objetivos Como objetivos fundamentales del plan se han establecido los siguientes: • Racionalizar los sistemas de acceso a la información y

su utilización por parte de los órganos y unidades ad-ministrativas, facilitando su almacenamiento y consul-ta en condiciones óptimas de seguridad.

• Prestar un mejor servicio a los miembros de la comu-nidad universitaria y, en general, a la sociedad, permi-tiendo una comunicación más fluida a través de medios técnicos seguros y con la adecuada validez jurídica.

• Conseguir una importante reducción del coste econó-mico y ambiental que conlleva una actividad adminis-trativa basada en el papel, de manera que los actos y trámites se generen en soporte digital y se comuniquen por medios telemáticos.

• Simplificar las relaciones con el resto de las institucio-nes públicas, especialmente por lo que se refiere al in-

tercambio de información y, en general, para permitir una mayor eficacia en la recíproca cooperación y asis-tencia necesaria para el ejercicio de las respectivas competencias.

Líneas de actuación Para la consecución de dichos objetivos se han establecido varias líneas de trabajo: • Puesta en marcha de las oficinas de registro, y distri-

bución de la firma electrónica entre los usuarios de la comunidad universitaria, siendo el carné universitario el soporte de la misma.

• Desarrollo de infraestructuras que permitan hacer se-guras las transacciones y los documentos intercambia-dos, dotándolos de autenticidad, integridad y confiden-cialidad en aquellos casos en los que se requiera.

• Desarrollo de infraestructuras que permitan gestionar los documentos electrónicos, en cuanto a su archivo digital, accesibilidad y conservación en el tiempo.

• Desarrollo de la tecnología necesaria para la realiza-ción de procesos de firma electrónica desde el tipo de dispositivo donde se encuentre el usuario final (PC o móvil) mediante el uso del carné universitario.

• Digitalización de los flujos y expedientes internos de la Universidad, apoyándolos en el uso de la firma elec-trónica. Algunos ejemplos inmediatos serían los flujos de validaciones de facturas, la firma de actas por parte del profesorado, los expedientes de contratación…

• Puesta en marcha de servicios destinados a los miem-bros de la comunidad universitaria y a terceros que se relacionen con la Universidad. Algunos ejemplos: Re-gistro Telemático, Notificación Electrónica, Factura-ción Electrónica, Contratación Pública Electrónica…

En los siguientes apartados se describen las principales tareas que se están acometiendo en las líneas descritas.

INFRAESTRUCTURAS SOA La primera línea de actuación fundamental en las iniciati-vas de e-Administración dentro de la Universidad de Mur-cia, ha sido el diseño y desarrollo de las infraestructuras adecuadas que permitiesen conformar una plataforma de trabajo ágil y segura. Se analizaron los requerimientos que debía de cumplir la nueva plataforma de Administración electrónica, dividién-dolos en dos grupos fundamentales; requisitos en cuanto a la seguridad de las transacciones y requisitos en cuanto a la gestión de los documentos. El diseño de la plataforma se ha realizado sobre servicios Web y una arquitectura orientada a servicios (SOA) [22]. Este modelado ofrece una gran cantidad de beneficios:

• Los servicios Web hacen uso de XML [2] para la des-cripción de los interfaces y el paso de mensajes, y uti-lizan protocolos estándar como SOAP [23] y HTTP para el transporte de la información.

• Los servicios Web ofrecen una gran simplicidad en el desarrollo de aplicaciones, por el alto grado de compa-tibilidad de las mismas, y por la gran variedad de im-plementaciones y software de desarrollo existentes.

• Los servicios Web pueden ser registrados a través de UDDI [24], de forma que los clientes potenciales pue-dan localizarlos.

• La arquitectura SOA permite que los servicios Web que la conforman puedan interoperar de forma simple y con bajo acoplamiento, favoreciendo la extensibili-dad de los mismos y su integración en otras aplicacio-nes distribuidas ya existentes.

Estos beneficios son esenciales para un entorno tan hetero-géneo como la Universidad de Murcia, y en general para cualquier Administración, en donde existen multitud de sistemas operativos, servidores y software de diferentes características. Los servicios Web y la arquitectura SOA hacen posible que todos esos elementos puedan interactuar a través de la pla-taforma común de Administración electrónica. En la figura 1 se puede observar el conjunto inicial de servicios diseña-dos dentro de la plataforma, y dividido en servicios de se-guridad y servicios de gestión documental. Además también descargan a los clientes de la complejidad de tener que implementar por sí mismos ciertas funcionali-dades, dejando esta responsabilidad final al servicio. Este hecho es fundamental para el caso de los dispositivos mó-viles, que disponen de capacidades de procesamiento redu-cidas. Por último, es necesario destacar que este tipo de modelo centraliza la seguridad y la gestión documental de la plata-forma de Administración electrónica en los propios servi-cios Web, permitiendo que cualquier cambio de políticas, aceptación de nuevos formatos y estándares, o ampliación a nuevas funcionalidades, permanezca transparente a los clientes finales. A continuación se describe la funcionalidad de cada uno de esos grupos de servicios.

Servicios de seguridad En el primer grupo de servicios se encuentran aquellos que son responsables de garantizar la autenticidad, la integridad y el no repudio de las transacciones y documentos electró-nicos involucrados en cualquier procedimiento de Adminis-tración electrónica.

Inicialmente se han considerado tres servicios básicos. Un servicio de firma que permita verificar las firmas de los documentos enviados por los clientes, y firmar ciertas tran-sacciones de forma automatizada. Un servicio de sellado de tiempos que permita vincular un documento a un momento preciso del tiempo. Y un servicio de validación que permita comprobar la vigencia de los certificados electrónicos. Tal y como se describe en la figura 1, el servicio de sellado y el de validación pueden ser utilizados directamente por un cliente, o por el propio servicio de firma, que en un momento determinado puede necesitar ligar una firma a un instante temporal, o comprobar la validez del certificado incluido en una firma electrónica.

Figura 1. Plataforma SOA de Web services

Se está estudiando la posibilidad de ampliar la arquitectura en el futuro con un nuevo servicio de cifrado, que complete la funcionalidad descrita. A continuación se analizan cada uno de los servicios desarrollados.

Servicio de firma y verificación de firma Este es el elemento central de la arquitectura de servicios seguros. Su diseño se ha fundamentado en los siguientes requisitos: • Soporte de los estándares de firma XMLDSIG [15] y

CMS [5], que son los más extendidos en la actualidad, posibilitando también la incorporación de otros están-dares que puedan aparecer en el futuro.

• Soporte de distintas relaciones entre la firma y los da-tos que se firman, en función del estándar de firma uti-lizado. Distinguimos entre firma separada (detached), firma que envuelve el documento (enveloping) y firma envuelta por el documento (enveloped).

• Soporte de múltiples firmantes.

• Posibilidad de generar firmas electrónicas de servidor a partir de diferentes claves privadas, en función del escenario de aplicación.

• Capacidad de manejo de información de autorización para, en base a ella, permitir o denegar el acceso al ser-vicio.

• Posibilidad de selección de ciertos parámetros de segu-ridad en la generación de las firmas, como el tipo de algoritmo o el tamaño de la clave.

• Posibilidad de adición de atributos e información adi-cional a las firmas para posibles utilidades futuras.

• Posibilidad de interactuar con otros servicios (valida-ción y sellado) en función de la información que se ne-cesite adjuntar a una firma (sellos de tiempo, eviden-cias de validación).

Con estos requisitos se ha implementado un servicio Web de firma y verificación de firma de documentos basándose en el protocolo de firma DSS (Digital Signature Service) [9] [10] definido por OASIS en el comité técnico de Servi-cios de Firma Digital. Mediante este servicio Web se consiguen importantes be-neficios. En primer lugar permite asegurar la autenticidad e integridad de los documentos electrónicos intercambiados, gracias a las propiedades inherentes a la firma digital. Por otro lado, se facilita que operaciones de firma se pue-dan realizar desde entornos corporativos diferentes, incluso móviles, pudiendo las claves utilizadas estar compartidas por distintos usuarios o aplicaciones dentro de la organiza-ción. Además, el protocolo DSS está abierto a permitir seleccio-nar la política de funcionamiento del servicio, lo cuál favo-rece la implementación de comportamientos diferentes en función de distintos parámetros, y sobre todo lo dota de extensibilidad. Este protocolo, y por tanto el servicio implementado, tam-bién posibilita la identificación del cliente que lo utiliza en base a credenciales, lo cual permite elevar la autorización de su uso a los condicionantes que se requieran.

Servicio de sellado de tiempo Asegurar el no-repudio de las transacciones y ligarlas a un instante temporal preciso, es un factor fundamental en mu-chos procesos de Administración electrónica, que necesitan demostrar la existencia de unos datos concretos en una fe-cha y hora determinadas. Esta evidencia se proporciona en forma de sello de tiempo, también conocido como token de tiempo, y es generado por

una autoridad de sellado de tiempos (TSA), que lo suminis-tra a través de un servicio de sellado de tiempos. Este servicio será, por tanto, también fundamental en la arquitectura de servicios seguros planteada. Para su diseño se han tenido en cuenta los siguientes requisitos: • Soporte de los distintos estándares de sellado de tiem-

po existentes a día de hoy, como la estructura TimeStampToken definida en el RFC 3161 [1], y el elemento TstInfo definido por OASIS en el DSS, y po-sibilidad de incorporar otros nuevos que aparezcan en el futuro.

• Soporte de distintos mecanismos y protocolos de vali-dación de certificados (CRLs [6], OCSP [8], SCVP [7], DPV [13]…).

• Posibilidad de verificar un sello de tiempo previamente emitido por el servicio de sellado de tiempo.

• Posibilidad de obtener la información contenida en un sello de tiempo previamente emitido.

• Adición opcional de atributos al sello de tiempo, ex-tendiendo así la información temporal contenida en el mismo.

• Capacidad de manejo de información de autorización para, en base a ella, permitir o denegar el acceso al ser-vicio.

Se observó, además, que el protocolo de firma DSS de OASIS permite la definición de perfiles sobre el propio protocolo, de tal forma que extiendan la funcionalidad del mismo a un escenario concreto. Existe un borrador de OASIS para un perfil de TimeStamp (OASIS-TS) [11], que sin embargo no cubre algunos de los requisitos aquí planteados. Así que se diseñó un nuevo per-fil a partir del borrador de OASIS, que diera soporte a to-dos los requisitos planteados, al que se denominó UMU-TS. La implementación de este perfil posibilita una gran flexi-bilidad tanto a la hora de solicitar y verificar sellos de tiempo, como en la adición y obtención de información relativa a los mismos. Además, al igual que el servicio de firma y verificación, posibilita la definición de diferentes políticas de funciona-miento, y el acceso autorizado en base a la presentación de credenciales.

Servicio de validación de certificados La validación de los certificados digitales utilizados en cualquier transacción de la plataforma (identificación de un usuario, verificación de firma…) se convierte en crítica para asegurar la veracidad de los documentos intercambia-dos. En función del PSC que haya emitido los certificados y la implementación de la PKI que subyace, existen distintos

mecanismos y protocolos que permiten comprobar la vali-dez de un certificado, lo cual convierte la validación de un certificado en una tarea de cierta complejidad. Para el diseño de este servicio se han tenido en cuenta los siguientes requisitos: • Soporte de certificados de diferentes PSC.

• Posibilidad de especificar el tipo de validación mínima que se quiere realizar, en base a uno o diferentes pro-tocolos.

• Posibilidad de retornar la información de validación obtenida a partir del protocolo seleccionado.

• Soporte de solicitudes y respuestas firmadas digital-mente, de forma que se pueda asegurar la autenticidad de ambas.

Atendiendo a estos requisitos, se ha diseñado un servicio de validación de certificados configurable, en cuanto a los métodos de validación soportados, y extensible, en cuanto al tipo de certificados soportados. Inicialmente se ha implementado soporte para CRLs, vali-dación OCSP y SCVP. El PSC soportado es la FNMT, y actualmente se está trabajando en incorporar también so-porte para el nuevo DNI electrónico [21]. El servicio se ha implementado utilizando elementos y mensajes similares a los que usa OASIS en el DSS y el perfil de TimeStamp, buscando así aprovechar los benefi-cios de los otros servicios implementados (políticas de fun-cionamiento, acceso autorizado…).

Servicios de gestión documental Junto al bloque de servicios de seguridad, se ha diseñado otro conjunto de servicios básicos relativos a la gestión documental de los procesos de Administración electrónica. Inicialmente se han desarrollado tres servicios básicos, necesarios para poder trabajar con documentos electróni-cos. Un primer servicio de archivado de documentos elec-trónicos en la base de datos documental de la Universidad de Murcia. Un segundo servicio de consulta de documentos electrónicos, que permite recuperar un documento electró-nico de forma transparente al cliente final. Y por último un servicio de generación automática de documentos electró-nicos, especialmente interesante para la producción de re-cibos y justificantes. Adicionalmente, se está analizando la posibilidad de incor-porar nuevos elementos a la infraestructura, como un servi-cio de perfiles de autorización, que permita definir condi-

ciones de acceso a ciertos documentos electrónicos; un servicio de gestión de expedientes electrónicos, que permi-ta vincular varios documentos electrónicos entre sí; y un servicio de gestión de flujos, que permita definir las distin-tas etapas del ciclo de vida de un expediente o documento electrónico. En la figura 1 puede observarse cómo interactúa este con-junto de servicios. A continuación se describen las caracte-rísticas de cada uno de ellos.

Servicio de archivado El requerimiento fundamental de este servicio es el de guardar un documento electrónico en la base de datos do-cumental y asignarle un identificador único, por el que pos-teriormente el documento pueda ser recuperado. Este iden-tificador único es devuelto al cliente del servicio. Junto al documento, el servicio de archivado guarda la in-formación relativa al formato de documento almacenado (XML, DOC, PDF…) y el tipo de firma soportada (CMS, XMLDSIG) en el caso de que se encuentre firmado. El acceso al servicio es configurable en base a credenciales, de forma que se protege el acceso a la base de datos de documentos electrónicos.

Servicio de consulta El servicio de consulta de documentos electrónicos localiza y recupera un documento electrónico en base a su identifi-cador único. Junto al documento en sí mismo se adjunta la información del formato de archivo contenido y del tipo de firma que soporta. Como en el caso del servicio de archivado, el ac-ceso al mismo es configurable en base a credenciales.

Servicio de generación Este servicio permite generar de forma automática ciertos documentos electrónicos presentes en algunos procesos de Administración electrónica. Como ejemplos de este tipo de documentos observamos justificantes, acuses de recibo, notificaciones… En general se trata de documentos electrónicos que la pro-pia plataforma es capaz de generar por sí misma, y que suelen incluir una firma de servidor o un sello de tiempo. La generación automática de este tipo de documentos pro-porciona un valor añadido al cliente final, que de forma ágil y flexible obtiene un documento con la semántica que necesita. Los documentos se generan en base a unas plantillas pre-viamente definidas y que pueden ser seleccionadas por el

cliente que invoca el servicio. El acceso a este servicio también es configurable en base a credenciales.

ARQUITECTURAS CLIENTE Paralelamente al desarrollo de las infraestructuras de servi-cios que soporten todos los procesos propios de una plata-forma de Administración electrónica, es fundamental dise-ñar e implementar la tecnología necesaria que haga posible la generación de firmas electrónicas en los clientes, de tal forma que un usuario pueda firmar un documento o una transacción en un momento determinado. Para llevar a cabo este propósito, es necesario tener en cuenta que las claves del usuario se encuentran contenidas en su carné universitario, y que por tanto deberán ser habi-litados los mecanismos necesarios para que el proceso de generación de firma digital se realice en la propia tarjeta inteligente. Este requisito de diseño implica la integración de las capa-cidades criptográficas del carné universitario en la arquitec-tura del sistema operativo de los clientes. En el diseño de esta solución de integración se han tenido en cuenta diversos factores que se describen a continua-ción: • Debe integrar el carné universitario en clientes de la

familia de sistemas operativos Windows (con gran pe-netración en la mayoría de los entornos administrati-vos), y también en clientes de la familia Linux (cada vez más presentes dentro de la Universidad de Mur-cia).

• Debe posibilitar el uso de la tarjeta inteligente de la Universidad de Murcia tanto en clientes fijos de escri-torio (tipo PC) como en dispositivos móviles (PDAs o smartphones).

• Debe permitir el uso del certificado electrónico, de forma transparente al usuario, en los principales nave-gadores Web y clientes de correo utilizados a día de hoy dentro de la Universidad (Internet Explorer, Nets-cape, Mozilla y Firefox), tanto para procesos de auten-ticación de cliente en sesiones SSL, como para firma de correo S/MIME.

• Debe ofrecer funcionalidad de alto nivel a los desarro-lladores que necesiten incluir procesos de firma elec-trónica en aplicaciones o servicios finales, y soportan-do los principales estándares de firma actuales (CMS y XMLDSIG).

Atendiendo a estas necesidades, se han diseñado dos arqui-tecturas, una de ellas responde a las necesidades de los clientes de escritorio tradicionales, y la otra a las de los clientes móviles.

Cliente PC La arquitectura diseñada para este tipo de cliente se refleja en la figura 2 y está compuesta por tres elementos funda-mentales: CSP [26], PKCS#11 [25] y Crypto-Applet.

Figura 2. Arquitectura de componentes en cliente PC

UMU CSP Este desarrollo es un proveedor de servicios de criptografía compatible con Microsoft Windows CryptoAPI, y que es capaz de interactuar con el certificado almacenado en la tarjeta inteligente de la Universidad de Murcia. Se integra con aplicaciones Microsoft de más alto nivel como Outlook (posibilitando la firma de correo), Internet Explorer (autenticación de cliente en conexiones seguras) o con cualquier otro desarrollo cliente a través de Windows CryptoAPI y, opcionalmente, del componente CAPICOM ActiveX [27].

UMU PKCS#11 Este PKCS#11 representa un interfaz común entre ciertas aplicaciones cliente no Microsoft y el certificado de la tar-jeta inteligente de la Universidad de Murcia. Entre los navegadores que lo soportan se encuentran Mozi-lla, Netscape, Thunderbird y Firefox, permitiendo la auten-ticación de cliente basada en certificado y la firma electró-nica de correos en aquellos casos en los que se incluye un gestor de correo. El UMU PKCS#11 permite, además, que otros productos de gran calado en el trabajo diario del PAS, como Novell, también se integren con la tarjeta inteligente de la Univer-sidad de Murcia, posibilitando el arranque de sesión seguro en Novell a través del certificado de la tarjeta, y la utiliza-ción de la misma como único medio de autenticación en todos los servicios y aplicaciones que el usuario maneje.

UMU Crypto-Applet Este applet de tecnología Java se convierte en un compo-nente esencial para el desarrollo de aplicaciones web que necesiten utilizar los recursos criptográficos de nuestra tarjeta inteligente. Este desarrollo se sustenta en el JCP (Java Cryptographic Provider) y en el uso interno del UMU-PKCS#11 como interfaz criptográfico de comunicación con la tarjeta. Pro-porciona a los navegadores con soporte Java una serie de métodos criptográficos de alto nivel que pueden ser invo-cados desde código script.

Además de estos componentes esenciales, se han desarro-llado dos aplicaciones destinadas al usuario final que hacen uso de parte de la tecnología de integración descrita y le ofrecen un valor añadido en su trabajo diario.

UMU Identidades Digitales Esta aplicación facilita la movilidad de certificados y cla-ves entre distintos dispositivos, posibilitando la importa-ción/exportación de los mismos desde el PC hasta la tarjeta inteligente o viceversa. Además, ofrece una gestión integral de los certificados del usuario: organización en almacenes, copias de seguridad, visualización de campos, borrado…

UMU Firma Documentos Esta sencilla aplicación de escritorio incorpora a un PC la capacidad de firmar todo tipo de ficheros a través del certi-ficado de la tarjeta, además de verificar ficheros ya firma-dos. Este desarrollo trabaja con distintos tipos de formatos y soporta la posibilidad de múltiples firmas.

Cliente móvil Para conseguir la integración de un dispositivo móvil de-ntro de los procesos de Administración electrónica, la Uni-versidad de Murcia ha basado el diseño de la tecnología de integración y su posterior implementación en el trabajo realizado dentro del proyecto FACTO [17] en colaboración con Telefónica Móviles España [28]. La arquitectura de integración del carné universitario en el dispositivo móvil se puede observar en la figura 3. A conti-nuación se describen sus principales componentes.

UMU PocketPC CSP Este desarrollo es equivalente a UMU CSP en cuanto a funcionalidad, y está implementado especialmente para el sistema operativo Windows Mobile.

UMU FactoLib ActiveX Este objeto COM desarrollado por la Universidad de Mur-cia ofrece métodos criptográficos de alto nivel, que interac-túan con la tarjeta inteligente, a las aplicaciones finales que se ejecutan sobre el dispositivo móvil.

UMU Crypto-Midlet Este midlet desarrollado sobre tecnología J2ME [29] im-plementa operaciones de firma y verificación de firma que pueden ser utilizadas desde otros midlets en ejecución. Dichas operaciones criptográficas se realizan sobre un cer-tificado instalado en el entorno J2ME, posibilitando el mid-let la importación del mismo.

Figura 3. Arquitectura de componentes en cliente móvil

Para el entorno móvil también se han desarrollado dos apli-caciones de valor añadido para el usuario final.

UMU CertManager Este desarrollo es equivalente a UMU Identidades Digitales en cuanto a funcionalidad, y está implementado especial-mente para el sistema operativo Windows Mobile, permi-tiendo la gestión integral de certificados de usuario.

UMU FileSign Aplicación que permite la firma y cifrado de ficheros de-ntro del dispositivo móvil. A través de la arquitectura cliente descrita, se ofrece al usuario final la posibilidad de acceder a los servicios de Administración electrónica de la Universidad de Murcia tanto desde un PC tradicional como desde un dispositivo móvil, manteniendo siempre las mismas características de seguridad en las transacciones.

PRIMEROS SERVICIOS Una vez desarrolladas las infraestructuras necesarias para dar soporte a los procesos de Administración electrónica, tanto en la parte servidor como en la parte cliente, la Uni-versidad de Murcia ha puesto en marcha un catálogo inicial de servicios piloto, destinados tanto a los miembros de la comunidad universitaria, como a terceros con los que la propia Universidad se relaciona.

Validación de flujos En primer lugar, la Universidad de Murcia ha iniciado la digitalización de sus flujos de gestión internos. Algunos de ellos ya disponían de una operativa telemática, pero carecí-an del soporte jurídico que proporciona la firma electróni-ca, y se fundamentaban en una identificación débil del usuario basada en contraseña. El uso de este tipo de servicios telemáticos se restringía a una validez exclusivamente interna, y que en la mayoría de los casos implicaba una firma manual posterior sobre una documentación generada de forma automática e impresa. Se ha trabajado hasta el momento en tres campos funda-mentales dentro de la Universidad: recursos humanos, ges-tión económica y gestión académica.

Recursos humanos Dentro de los flujos de recursos humanos, se ha añadido el soporte de la firma electrónica a los procesos de gestión de ausencias, controlados por la aplicación de recursos huma-nos de la Universidad de Murcia KRON [30].

Figura 4. Flujo de solicitud de ausencia

Un usuario del PAS puede solicitar una ausencia laboral de forma telemática, firmando la solicitud con su carné uni-versitario. Posteriormente su superior o superiores podrán validar o desestimar la misma, firmando la solicitud del

trabajador o generando un documento de desestimación alternativo. Se puede observar en la figura 4. Esta vista de la aplicación KRON está disponible tanto desde clientes PC como desde clientes móviles (Pocket-KRON [18]).

Gestión económica De forma similar en cuanto al soporte de seguridad se refie-re, se ha añadido firma electrónica a los flujos de valida-ciones y desestimaciones de facturas de la aplicación JUSTO [31] de gestión económica. Este flujo permite elevar la validación de las facturas que llegan a la Universidad de Murcia desde sus distintos pro-veedores hacia el responsable de la misma y los responsa-bles de gestión económica de la propia Universidad. Soporta la validación de facturas en formato papel (se digi-talizan mediante escaneo) y en formato electrónico (tal y como se describirá en el apartado siguiente). La vista de la aplicación se encuentra disponible en entorno PC y en en-torno móvil (Pocket-JUSTO).

Gestión académica En este ámbito se ha procedido a digitalizar un flujo de especial trascendencia para el PDI de la comunidad univer-sitaria. Se trata del flujo de firma de actas, que está forma-do por un único paso, pero que tiene una gran importancia dentro de la gestión de la propia Universidad. Un importante número de profesores de la Universidad tienen una relación laboral a tiempo parcial con la misma, y en muchos casos su actividad docente se realiza alejada de las Secretarías de los propios centros. Facilitar la posibilidad de generar y enviar las actas firma-das de forma telemática a este sector del profesorado, re-presenta un valor añadido tanto para ellos como para la agilización de todo el proceso de calificaciones dentro de la Universidad. Además, este flujo tiene plena trascendencia externa, pues las actas son documentos que otros organismos pueden solicitar a la propia Universidad. El servicio de firma de actas se integra dentro del portal SUMA (campus virtual de la Universidad de Murcia) [32] que ya utiliza todo el PDI.

Facturación electrónica Se trata del primer servicio de Administración electrónica que la Universidad de Murcia ofrece a sus proveedores en busca de ahorrar gastos en la generación y envío de factu-

ras, y gestionar de forma eficiente la información contable de las mismas. El único requisito previo que debe cumplir la empresa que quiera utilizar este servicio de facturación con la Universi-dad de Murcia es el de disponer de un certificado de perso-na jurídica reconocido por la Administración Tributaria. Este servicio, denominado JUSTO-FE persigue los siguien-tes objetivos básicos: • Ofertar una plataforma Web de facturación ágil y se-

gura a los proveedores de la Universidad de Murcia. • Integrar la generación, envío y recepción de la factura

electrónica en los flujos internos de gestión económica de la Universidad de Murcia de forma transparente.

• Revestir al servicio de los mecanismos de seguridad necesarios haciendo uso de procesos de firma electró-nica reconocida.

En la figura 5 se puede observar el funcionamiento de la plataforma Web. El proveedor, a través de su certificado reconocido y de un componente software que descarga, puede generar facturas, firmarlas y almacenarlas en su equipo para su posterior tratamiento.

Figura 5. Facturación electrónica

Las facturas firmadas pueden ser enviadas al servidor de la Universidad de Murcia, que verifica la autenticidad e inte-gridad de las mismas, y las procesa de forma automática hasta almacenarlas en el servidor de bases de datos. Otras aplicaciones de intranet de la Universidad de Murcia podrán acceder posteriormente a la información almacena-da en función de los flujos internos de gestión económica. El formato de facturación elegido inicialmente fue el es-quema XML UBL ANF Invoice [34], y en breve se sopor-

tará también el nuevo formato eFactura [33] de la Agencia Tributaria. El esquema XML UBL ANF Invoice adopta, como lengua-je de definición de documentos, la nueva especificación UBL (Universal Bussiness Language), avalada por Nacio-nes Unidas y OASIS entre otras entidades. La plataforma Web ofrece hasta el momento los siguientes servicios seguros: • Creación y almacenamiento de una factura electrónica

mediante formulario. • Validación a través del esquema XML UBL ANF

Invoice de una factura previamente creada. • Visualización de una factura electrónica a través de

una hoja de estilos. • Firma digital de una factura electrónica mediante un

certificado digital. Almacenamiento del documento firmado.

• Envío de una factura firmada al servidor de la Univer-sidad de Murcia, para la verificación de su firma, la validación del contenido de la factura y el tratamiento de la misma.

Los beneficios de este servicio no sólo se limitan a la co-munidad universitaria, sino que terceros que se relacionan con la Universidad de Murcia pueden hacerlo de una forma más eficaz, sencilla y transparente.

Registro telemático La aplicación de Registro Telemático es otra de las iniciati-vas de la Universidad de Murcia para su catálogo de servi-cios de Administración electrónica. Este servicio se plantea varios objetivos fundamentales: • Ofrecer al usuario de la comunidad universitaria la

posibilidad de presentar instancias de distinta naturale-za de forma telemática.

• Establecer las medidas de seguridad necesarias para garantizar la autenticidad e integridad de las instancias presentadas, así como el no repudio y la veracidad temporal de las mismas.

• Posibilitar que el usuario pueda comprobar el estado de tramitación de sus instancias registradas, también de forma telemática.

• Integrar estas instancias telemáticas dentro de los flu-jos de validaciones y desestimaciones existentes dentro de la gestión académica de la Universidad de Murcia.

Hasta el momento han sido desarrollados dos servicios fundamentales, la presentación de una instancia básica (sin documentación adjunta) y la comprobación de una instan-cia presentada, ambos en entorno Web.

En el proceso de presentación de una instancia básica el usuario rellena y firma digitalmente un formulario con la información de la instancia, generándose un documento criptográfico contenedor de la instancia, su firma y el certi-ficado utilizado para realizar la misma. Ese documento se envía al servidor, que verifica la firma de la instancia, su integridad y autenticidad. Una vez reali-zadas todas estas comprobaciones, añade un sello de tiem-po al documento en el que se incluyen la fecha y hora de presentación de la instancia y el número de asiento en el registro, procediendo a continuación al almacenamiento del documento en base de datos. Este proceso se observa en la figura 6.

Figura 6. Registro telemático

Además, este documento firmado inicialmente por el usua-rio y sellado posteriormente por la Universidad de Murcia, es devuelto al usuario, posibilitando que lo descargue en su ordenador a modo de justificante electrónico para posterio-res comprobaciones. El segundo servicio que ofrece la aplicación Web es la comprobación de justificantes electrónicos. El usuario pue-de utilizar este servicio para comprobar que el justificante electrónico correspondiente a una instancia que presentó, y que tiene en su poder, es válido. El proceso de comproba-ción realiza una verificación de la firma y el sello de tiem-po del justificante, muestra la información relativa al fir-mante y al asiento en el registro, y permite visualizar de nuevo la instancia básica presentada. Ambos servicios se encuentran plenamente integrados con las aplicaciones de gestión interna de la Universidad, lo cual proporciona un gran beneficio en la agilización de los trámites tanto al usuario que presenta la instancia, como a los miembros del PAS que tengan que intervenir en el flujo de la misma.

CONCLUSIONES Y VÍAS FUTURAS A lo largo de este artículo se han puesto de manifiesto las iniciativas técnicas en cuanto a infraestructuras y servicios finales que la Universidad de Murcia ha puesto en marcha en este último año con la ambición de caminar hacia una Administración electrónica plena. Desde noviembre de 2005 se han registrado en torno a 150 usuarios en las distintas oficinas de registro de la propia Universidad, que han obtenido su certificado digital para participar en los distintos pilotos puestos en marcha sobre los servicios finales desarrollados, los cuales entrarán en fase de explotación a partir de junio de 2006. Se espera que a finales de 2006 más de 2000 miembros del PAS y PDI dispongan de su certificado digital y hagan uso de los ser-vicios de Administración electrónica. En este momento la Universidad dispone de los medios humanos y técnicos necesarios para seguir ampliando su catálogo de servicios, y flexibilizar así la forma de trabajar de los miembros de la comunidad universitaria. Sin embargo, se trata tan sólo de un primer paso en el ca-mino y todavía quedan una serie de desafíos técnicos y logísticos que afrontar en los próximos meses. Entre otros se destacan los siguientes: • La aparición del nuevo DNI electrónico emitido por el

Ministerio del Interior a todos los ciudadanos españo-les, y que permitirá identificarse y realizar procesos de firma electrónica en transacciones telemáticas. La Uni-versidad de Murcia está trabajando en soportar este nuevo medio de identificación electrónico dentro de su plataforma de Administración electrónica.

• La interoperabilidad entre distintas plataformas de Administración electrónica de diversas organizaciones y naciones, es una de las grandes preocupaciones mun-diales en torno al concepto de e-government. El lograr los mecanismos de gestión necesarios para poder com-partir información entre la distintas Administraciones de forma ágil, controlada, segura y mediante métodos telemáticos es otro de los retos que la Universidad de-be afrontar.

• Otro tema fundamental es la mejora en la accesibilidad del usuario final a los servicios. En muchas ocasiones se desarrollan aplicaciones seguras y eficientes desde el punto de vista técnico, pero que son difíciles de usar y comprender por el usuario final, que habitualmente carece del conocimiento técnico necesario para com-prender lo que está sucediendo. Es necesario desarro-llar las técnicas necesarias para que el uso de las herra-mientas de Administración electrónica se ofrezca de forma clara y transparente a estos usuarios.

• Desde el punto de vista de la seguridad, también será fundamental afrontar en el futuro el problema de cómo asegurar que los elementos de seguridad de los docu-

mentos electrónicos mantengan su vigencia con el paso de largos periodos de tiempo. El compromiso de las claves y algoritmos utilizados o la simple desaparición del prestador de servicios de certificación, podrían provocar la invalidación de ciertos documentos firma-dos con el paso de los años. La Universidad de Murcia ya está trabajando en iniciativas que intentan solucio-nar este problema (XADES [4] [12] y CADES [3]), y que buscan la forma de almacenar las evidencias de validación de firmas y certificados junto a los propios documentos electrónicos firmados.

• En cuanto a la gestión documental se refiere, la Uni-versidad de Murcia debe analizar nuevos estándares como OAIS [35] y PDF/A [36] relativos a archivos di-gitales y documentos electrónicos y estudiar la viabili-dad de adaptación a los mismos.

Son todos ellos elementos que será necesario resolver próximamente, de forma que iniciativas como la de la Uni-versidad de Murcia no queden como elementos aislados, sino como una pieza más del puzzle de una Administración electrónica global.

REFERENCIAS [1] C. Adams, P. Cain, D. Pinkas, R. Zuccherato. Internet

X.509 Public Key Infrastructure Time-Stamp Protocol (TSP). IETF RFC 3161, August 2001.

[2] T. Bray, J. Paoli, C. M. Sperberg-McQueen, and E. Maler. Extensible Markup Language (XML) 1.0 (Sec-ond Edition). W3C Recommendation, October 2000.

[3] ETSI, Advanced Electronic Signatures. ETSI TS 101 733.

[4] ETSI, XML Advanced Electronic Signatures (XAdES). ETSI TS 101 933.

[5] R. Housley, Request for Comments 3852 - Crypto-graphic Message Syntax (CMS)

[6] R. Housley, T. Polk, W. Ford and D. Solo. Internet Public Key Infrastructure, Part I: X.509 Certificate and CRL Profile, April 2002. Request for Comments (RFC) 3280.

[7] A. Malpani, R. Housley, and T. Freeman. Simple Cer-tifcate Validation Protocol (SCVP) Febrero 2005.

[8] M. Myers, RFC 2560 - X.509 Internet Public Key In-frastructure Online Certificate Status Protocol - OCSP

[9] OASIS, Digital Signature Services (DSS) Technical Committee. http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=dss

[10] OASIS, Digital Signature Service Core Protocols, Elements and Bindings. OASIS. 29 de Noviembre de 2005.

[11] OASIS, Time-stamping Profile of the OASIS Digital Signature Service. OASIS. 28 de Junio de 2004.

[12] OASIS, XAdES Profiles of the OASIS Digital Signa-ture Service. OASIS. 24 de Diciembre de 2004.

[13] D. Pinkas, R. Housley. RFC 3379 - Delegated Path Validation and Delegated Path Discovery Protocol Requirements.

[14] W3C. XML-Encryption Syntax and Processing. W3C Recommendation 10 de Diciembre de 2002.

[15] W3C. XML-Signature Syntax and Processing. W3C Recommendation 12 de Febrero de 2002.

[16] FNMT, Fábrica Nacional de Moneda y Timbre. http://www.fnmt.es.

[17] M. Barnés, D. Gómez, A.F. Gómez-Skarmeta, M. Martínez, A. Ruiz and D. Sánchez. “An electronic sig-nature infraestructure for mobile devices”. ISSE Book 2005. July 2005.

[18] D. Sánchez, J.A. Cascales, R. Ferrando, F.J. Pérez. “E-Administración En La Universidad De Murcia”, en Comunicaciones TECNIMAP 2004, Septiembre de 2004.

[19] ATICA, Universidad de Murcia. http://www.um.es/atica.

[20] Administración.es – el portal del ciudadano. http://www.administracion.es.

[21] Ministerio del Interior, Documento nacional de identi-dad electrónico. http://www.mir.es/sites/mir/dni/dni_electronico.html.

[22] OASIS, SOA Reference Model Technical Committee. http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=soa-rm

[23] W3C. SOAP Version 1.2 Part 0:Primer. W3C Re-commendation 24 de Junio de 2003.

[24] OASIS UDDI. http://uddi.org/ [25] RSA Laboratories. PKCS #11 v2.20: Cryptographic

Token Interface Standard. 28 de Junio de 2004. [26] Microsoft MSDN. Cryptographic Service Providers.

December 2005. http://msdn.microsoft.com/library/en-us/seccrypto/ security/cryptographic_service_providers.asp

[27] Microsoft MSDN. Introducing CAPICOM. http://msdn.microsoft.com/library/ en-us/dnsecure/html/intcapicom.asp

[28] Telefónica Móviles España. http://www.telefonicamoviles.com/esp/

[29] Java 2 Platform Micro Edition (J2ME). http://java.sun.com/j2me/

[30] KRON. Seguimiento de horario y control de acceso. http://www.um.es/atica/kron---seguimiento-de-horario-y-de-control-de-acceso

[31] JUSTO. Aplicativo informático para la gestión económica. http://www.um.es/atica/justo/

[32] SUMA. Campus virtual de la Universidad de Murcia. http://www.um.es/atica/suma/

[33] AEAT. La e-Factura en la Agencia Tributaria. http://www.aeat.es/normlegi/ecomercio/e-factura.htm

[34] OASIS. Universal Bussiness Language 1.0. 15 de Sep-tiembre de 2004. http://docs.oasis-open.org/ubl/cd-UBL-1.0/

[35] OAIS Reference Model. http://ssdoo.gsfc.nasa.gov/nost/isoas/

[36] PDF/A, PDF for Long-term Preservation. http://www.digitalpreservation.gov/formats/fdd/fdd000125.shtml