Página principal

Comercio electrónico

Criptología y seguridad

Cuestiones legales

Intimidad y privacidad

Virus

Artículos invitados

Control de acceso mediante tarjeta inteligente

Por Tomás Jiménez García y Javier García Ros

Los sistemas de control de acceso a recursos informáticos son de enorme interés sobre todo cuando dichos recursos generalmente están limitados o nos encontramos en un entorno con grandes comunidades de usuarios.

Las soluciones actuales ofrecidas por sistemas operativos como Unix o Windows, y que están basadas en la validación de un par login/pasword, son insuficientes debido a que plantean diversas deficiencias; se suele trabajar con perfiles por puesto, y no por persona. En las ALAs se venía utilizando un esquema basado en un login genérico por puesto debido a la dificultad de tener una cuenta para cada uno de los decenas de miles de usuarios. Esta razón imposibilita tener un control sobre la identidad y sesión, ya que en el momento en el que el usuario entra en el sistema, no existen un mecanismo sencillo para poder controlar, de forma automática y dinámica, cuestiones como el tiempo que tiene disponible el usuario.

Tampoco nos permite una gestión centralizada de los recursos que dé pie a racionalizar su utilización por parte de una comunidad de usuarios, a través de, por ejemplo, una política de control de accesos y un sistema de reservas previas.

La Universidad de Murcia gestiona en la actualidad, a través de su Servicio de Informática, un total de 21 ALAS. Dichas aulas está equipadas con ordenadores PC con sistema operativo Microsoft Windows NT conectados todos ellos a la Intranet de la Universidad de Murcia y con acceso a Internet. Dentro de sus características hardware cabe destacar la utilización lectores de tarjetas inteligentes.

Actualmente las reservas de puestos en ALAS se hacen a través de las secretarías virtuales (Puestos de acceso público, de pantalla táctil) de la Universidad de Murcia, donde el usuario puede seleccionar el día, hora y lugar de un puesto de trabajo.

OBJETIVOS

Los objetivos que nos planteamos a la hora de desarrollar UMGina fueron los siguientes:

  • Evitar el uso indebido de puestos amparándose en el anonimato.
  • Realizar un control de reservas sin necesidad de personal dedicado.
  • Bloqueo sistemático de puestos no reservados y usados.
  • Cumplimiento de los tiempos de reserva.
  • Cumplimiento de la política de control de acceso.
  • Control estadístico del uso de puestos.

Como cualquier sistema de control de acceso, el sistema debe ser difícil de quebrantar y aún en ese caso, que su detección sea posible.

El medio de autenticación será la tarjeta inteligente de la Universidad de Murcia que poseen todos sus usuarios (estudiantes, personal de administración y servicios y personal docente e investigador).

SOLUCION

UMGina es la solución software que se encuentra en los ordenadores clientes capaz de gestionar todos los eventos relacionados con la sesión de un usuario. Para conseguir este objetivo hemos modificado el sistema de control de accesos de Microsoft Windows NT por un módulo propio conocido como UMGina (University of Murcia Graphical Identification aNd Authentication); en dicha implementación, se enlaza la gestión de la acción a realizar por parte del propio sistema operativo (abrir, bloquear o cerrar una sesión de usuario) con las operaciones propias sobre la tarjeta inteligente (inserción, extracción, validación del PIN, lectura de datos administrativos, etc.) y el sistema gestor de acceso y reservas. Tras su instalación, procede a tomar el control del módulo de accesos de Windows NT, reemplazando el esquema tradicional de login/password, por otro basado en la utilización de la tarjeta inteligente de la Universidad de Murcia.

Este módulo junto al subsistema de gestión de reservas y la política de acceso forman la base del sistema de Control de Acceso en Aulas de la Universidad de Murcia.

MODO DE OPERACION

Cuando un usuario desea reservar un ordenador, accede haciendo uso de su tarjeta inteligente, al sistema de reservas instaladas en las secretaría virtuales, que le informan de la disponibilidad de equipos en las distintas ALAs, a partir de los datos reflejados en la BD de reservas. Una vez hecha la selección deseada (de aula, día y hora), el sistema notifica el ordenador sobre el cual tenemos la posibilidad de trabajar.

Llegado el momento, y con la finalidad de hacer uso de la reserva, el usuario debe de introducir su tarjeta inteligente en el lector que se encontrará en el equipo del cual quiere hacer uso. Este evento de inserción es detectado por el módulo UMGina que procede a autenticar al portador de la tarjeta, pidiéndole su PIN. Si la validación es correcta, y la tarjeta no está caducada y pertenece a la Universidad de Murcia, dicho módulo lee los datos de identificación de la persona, y del equipo al cual se pretende acceder, y establece una comunicación segura con el sistema de reservas; este sistema informa sobre la existencia (o no) de una reserva que cumpla los parámetros indicados, y en función de la respuesta y de lo indicado en la política de control de accesos de la Universidad, UMGina procede a abrir (o no) la sesión de trabajo. En caso afirmativo, en la base de datos de reservas queda constancia del acceso realizado. El sistema también puede indicarnos si el usuario ha sido sancionado por alguna razón y no puede hacer uso de la reserva, o si en ese momento el puesto está reservado por otra persona, ya que el sistema le da un margen de tiempo para poder hacer uso de esta; pasado ese tiempo, otra persona puede solicitar entrar en el puesto, dejando constancia en la base de datos.

El usuario podrá hacer uso del sistema durante el periodo de tiempo que se le haya indicado en el inicio de sesión. Según se vaya acercando esta cota temporal, UMGina irá realizando sucesivas notificaciones por consola, indicando la conveniencia de almacenar el trabajo realizado e ir finalizando la sesión. Una vez cumplido el tiempo de sesión el sistema preguntará si se desea ampliar el tiempo de reserva. Si no hay una reserva posterior sobre ese ordenador, el sistema ampliará nuestro tiempo de sesión; si, por el contrario, la reserva posterior existe, procede a cerrar la sesión permitiendo que la siguiente persona pueda hacer uso de su reserva.

Según se ha definido en la política de control de accesos, se obliga a que el usuario tenga introducida su tarjeta durante el tiempo que se encuentra en el ordenador. Si el usuario decide extraer su tarjeta del lector, su sesión quedará bloqueada automáticamente hasta que la vuelva a introducir, en cuyo caso su sesión seguirá en el mismo estado en el que la dejó. Si el tiempo de sesión termina y el puesto sigue bloqueado, se procederá a la finalización de la sesión, perdiendo en su caso, el trabajo no almacenado. Un administrador también podría forzar la finalización de la sesión con las mismas consecuencias que el caso anterior.

Publicado en el Boletín del Criptonomicón #74.

Tomás Jiménez García y Javier García Ros pertenecen al Servicio de Informática de la Universidad de Murcia.

Información adicional
  •  
Artículos publicados

Puedes consultarlos por temas, o también por orden de aparición en el boletín.

Enviar a un amigo

Si consideras que este artículo puede interesarle a alguien que conozcas, puedes enviárselo por correo electrónico. No tienes más que indicar la dirección del destinatario, el asunto y tu nombre.

E-mail destino:
Asunto:
Tu nombre:

 

Copyright © 1997-2000 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.

Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.