METODO Y DISPOSITIVO DE REMISION DE INFORMACION PARA LA REALIZACION DE TRANSACCIONES ELECTRONICAS SEGURAS.

Método y dispositivo de remisión de información para realización de transacciones electrónicas seguras desde un ordenador (6) conectado con un servidor (7) y a un dispositivo verificador (1) de datos independiente compuesto por una pantalla (2),

un teclado (3), un zócalo (4) para tarjeta y un modulo de comunicaciones bidireccional que conecta con el ordenador (6) en el que se:- Remite la información desde el ordenador (6) al dispositivo (1),- Verifica los datos en la pantalla (2) y autoriza la operación mediante el PIN de la tarjeta,- Autoriza la transacción con la realización de la firma en la tarjeta- Remite del dispositivo (1) el resultado de la firma al ordenador (6).- Remite del ordenador (6) la transacción y la firma al servidor (7),- Verifica el prestador de servicios (7) la validez de la firma con clave pública de certificado de cliente

Tipo: Patente de Invención. Resumen de patente/invención. Número de Solicitud: P200602172.

Solicitante: PONS BORDES, JUAN JOSE
PONS BORDES, PABLO.

Nacionalidad solicitante: España.

Provincia: LAS PALMAS.

Inventor/es: PONS BORDES,PABLO, PONS BORDES,JUAN JOSE.

Fecha de Solicitud: 9 de Agosto de 2006.

Fecha de Publicación: 17 de Enero de 2011.

Fecha de Concesión: 4 de Enero de 2011.

Clasificación Internacional de Patentes:

H04L9/32S

Clasificación PCT:

H04L9/32 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 9/00 Disposiciones para las comunicaciones secretas o protegidas. › comprendiendo medios para verificar la identidad o la autorización de un utilizador del sistema.

Fragmento de la descripción:

Método y dispositivo de remisión de información para la realización de transacciones electrónicas seguras.

Sector de la técnica

La presente invención se encuadra dentro del sector de la técnica relativo a dispositivos de control informáticos para la remisión de información.

Estado de la técnica

Hasta hace unas décadas, los mecanismos de funcionamiento de las entidades bancarias y comercios no habían sufrido grandes cambios desde el punto de vista de los clientes. Todas las operaciones se realizaban de forma personalizada. Los clientes debían desplazarse hasta la entidad bancaria para realizar las transacciones del tipo que deseasen.

Sin embargo, con la introducción de los sistemas informáticos, los bancos han sufrido una rápida evolución, con la introducción de nuevos servicios y mejoras a los ya existentes. La tendencia de los bancos y comercios ha sido la de acercar las sucursales y puntos de venta a los clientes.

Esta tendencia comenzó con la introducción de los cajeros automáticos, lo que permitió aumentar el número de puntos de acceso para los clientes a un coste relativamente bajo.

Los siguientes pasos dados llevaron finalmente al modelo actual de banca electrónica y comercio electrónico, en el que el usuario accede al banco o comercio de forma remota sin desplazarse de su casa u oficina. Un primer avance en esta dirección lo constituyen los actuales servicios de banca telefónica y servicio de tele-tienda donde se permite realizar todo tipo de operaciones bancarias y compras a través del teléfono. Por otro lado, siguiendo en esta línea y coincidiendo con el auge de Internet en los hogares, llegan los servicios de banca electrónica y comercio electrónico a través de la red sobre los que nos centraremos.

En los sistemas de banca electrónica y cualquier otro servicio on-line, se pueden distinguir tres elementos clave para su análisis desde el punto de vista de la seguridad: el servidor, el canal de comunicaciones y el cliente.

En los servidores de banca electrónica, y prestadores de servicios a través de la red en general, se emplean avanzados sistemas de seguridad tanto pasivos como activos, por lo que se puede considerar que este elemento esta "controlado".

Con respecto al canal de comunicaciones, todas las comunicaciones entre el banco y el usuario van cifradas normalmente usando "Secure Socket Layer" (SSL) por lo que un ataque al canal de comunicaciones sería demasiado costoso en términos de tiempo y dinero.

Por último nos quedan los ordenadores de los clientes, que es el eslabón más débil de esta cadena. Esto está motivado en parte porque los sistemas operativos empleados por los usuarios en la actualidad se desarrollaron pensando más en facilitar su uso que en garantizar la seguridad. Además, los usuarios normalmente poseen conocimientos reducidos de seguridad.

La autenticación es el proceso por el cual se verifica de forma fiable la identidad de una entidad o individuo. Los métodos básicos de autenticación que se son conocidos en el estado de la técnica se basan en:

• Algo que sabemos: una palabra secreta memorizada, una frase, un número, un código, o un hecho que sólo uno conozca.

• Algo que poseemos: Un "token" difícil de falsificar como una llave, una tarjeta de crédito, un distintivo, etc.

• Algo que uno es: una característica personal mesurable tal como una huella dactilar, el patrón de la retina, las características de la voz, etc.

En la mayoría de los casos es recomendable el uso combinado de al menos dos métodos distintos, si bien la técnica de autentificación más usada consiste en el uso de passwords o contraseñas, usando únicamente algo que sabemos. Sin embargo, existen otros sistemas como los basados en el uso de claves dinámicas, es decir, que cambian de una operación a otra (One-Time-Password), y sistemas de firma electrónica con mecanismos de autenticación mediante desafío y respuesta. Gran parte de estos sistemas tienen su base en la criptografía, por lo que cabría pensar que son mucho más seguros. Sin embargo, esto no es así, ya que incluso estos sistemas son vulnerables frente a ataques llevados a cabo en el propio ordenador del cliente, tales como robo de sesión, modificación del contenido de la transacción, etc.

Cada uno de estos sistemas de autenticación usados en la actualidad tiene al menos alguno de los inconvenientes que a continuación se describirán y que los hacen inseguros para su uso.

El primer problema es la dificultad de almacenar las claves privadas que el cliente debe conocer para poder identificarse frente a la entidad prestadora de servicio. Esto no debería ser un problema si el usuario tan sólo tuviese que recordar una clave que no fuera excesivamente larga. El problema surge cuando queremos incrementar la seguridad aumentado la complejidad de la clave o introduciendo algoritmos criptográficos, los cuales necesitan unas claves difíciles de recordar para una persona (debido a su longitud y dificultad de aplicar una regla nemotécnica para memorizar). Esto lleva a que el usuario necesita tener almacenadas las claves de alguna forma, este almacenamiento puede ser aprovechado por algún atacante para obtener las claves.

Para solucionar este problema existen diversas soluciones, como por ejemplo las tarjetas inteligentes, que permiten controlar el acceso a la información que está almacenada en su interior. Entre este tipo de soluciones cabe destacar la tarjeta CERES de la "Fábrica Nacional de Moneda y Timbre" (FNMT).

Otro de los problemas que nos encontramos en los sistemas de seguridad empleados en la actualidad se basa en que el usuario no tiene ningún sistema seguro que le permita validar la operación que va a autorizar, por tanto un atacante podría aprovechar esta vulnerabilidad para engañar al cliente y hacer creer a este que está autorizando una transferencia determinada y lo que realmente esté autorizando sea otra totalmente distinta (distinto beneficiario, diferente cuantía, etc.). Por otra parte todo estos sistemas suelen requerir que el usuario introduzca una clave mediante el teclado del ordenador para autorizar las transacciones, esta acción podría ser usada por un atacante para robar la clave y poderla utilizar posteriormente para realizar operaciones en su nombre.

Explicación de la invención

La presente invención pretende proporcionar una solución a las deficiencias encontradas en los sistemas de autenticación usados en la actualidad para las transacciones a través de la red y ofrece un medio seguro para el uso de tarjetas inteligentes, para que el usuario pueda autorizar las operaciones de una forma segura y fiable. El objeto de la presente invención consiste en un sistema de transmisión de información que incluye dispositivo para autentificar la información el cual está constituido por cuatro partes fundamentales:

• Una pantalla, cuyo propósito principal es que el usuario pueda verificar el contenido del mensaje de texto de la orden que va a autorizar.

• Un teclado mediante el cual el usuario podrá introducir el número de identificación personal (PIN) para la autorización de la operación. Además el teclado permite que el usuario pueda desplazarse por el mensaje para leerlo en su totalidad así como poder rechazar la autorización de la operación.

• Un zócalo que permite la introducción de una tarjeta inteligente. La tarjeta inteligente se usa para autorizar transacciones mediante la firma de la misma con la clave privada almacenada en su interior. Esto permite que este dispositivo pueda ser usado por múltiples usuarios, ya que las firmas se realizan a través de las tarjetas inteligentes.

• Un módulo de Comunicaciones bidireccional que permite comunicarse con el dispositivo conectado ala red. Mediante este módulo el dispositivo objeto de la invención recibe el mensaje de texto que representa la transacción y que se muestra al usuario, posteriormente será este sobre el que ser realice la firma si el usuario lo autoriza. Tras la cual el dispositivo devuelve el resultado de la operación al ordenador mediante este mismo módulo. En principio este módulo se implementara mediante la interfaz USB por facilidades técnicas y...

Reivindicaciones:

1. Dispositivo verificador de datos (1) de seguridad independiente compuesto por una pantalla (2), un teclado (3), un zócalo (4) para la inserción de tarjeta inteligente o equivalente con capacidad criptográfica y de almacenamiento de claves y un modulo de comunicaciones caracterizado porque el módulo de comunicaciones (5) del dispositivo es de tipo bidireccional.

2. Método para la realización de operaciones electrónicas seguras desde un ordenador (6) o equivalente conectado en red con un servidor (7) prestador de servicios y a un dispositivo verificador (1) de datos independiente el cual se conecta al ordenador (6) a través de un módulo de comunicaciones (5) que comprende las siguientes etapas una vez conectado el ordenador (6) al servidor (7):

• remisión de la información desde el ordenador (6) al dispositivo verificador de datos (1),

• verificación de datos en el dispositivo (1) por parte del usuario.

• remisión del ordenador (6) de la transacción junto a la firma, al servidor (7) prestador de servicios,

• verificación del prestador de servicios (7) de la validez de la firma con clave pública de certificado de cliente mediante la infraestructura de clave pública (PKI).

caracterizado porque la etapa de verificación de datos en el dispositivo (1) comprende las siguientes etapas:

• verificación de los datos de la transacción en la pantalla (2) del dispositivo (1) y autorización de la operación mediante la introducción del PIN de la tarjeta a través del teclado (3) del dispositivo (1),

• autorización de la transacción con la realización de la firma en la tarjeta inteligente introducida en el zócalo (4), y porque la tarjeta utiliza un algoritmo de clave pública estándar, como por ejemplo RSA,

• remisión del dispositivo (1) del resultado de la firma al ordenador (6).

Patentes similares o relacionadas:

PROCEDIMIENTO Y SISTEMA DE IMPLEMENTACIÓN DE UNA FIRMA DIGITAL, del 2 de Diciembre de 2011, de TELIASONERA FINLAND OYJ: Un procedimiento para firmar digitalmente un formulario electrónico por medio de una estación móvil, comprendiendo dicho procedimiento las etapas de transferir el material […]

SISTEMA DE DETECCIÓN DE CONTENIDO NO AUTORIZADO, del 8 de Agosto de 2011, de PANASONIC CORPORATION: Un dispositivo de procesamiento de datos para la utilización de una obra digital registrada sobre un medio de registro (1500; […]

SISTEMA DE JUEGO ELECTRÓNICO DE CASINO CON MAYOR CAPACIDAD DE JUEGO, DE AUTENTICACIÓN Y DE SEGURIDAD, del 26 de Abril de 2011, de IGT: LA INVENCION SE REFIERE A UN SISTEMA DE JUEGO ELECTRONICO DE UN CASINO CONSISTENTE EN VARIOS COMPONENTES DEL SISTEMA, INCLUYENDO UN MICROPROCESADOR , UNA UNIDAD DE MEMORIA […]

MICROCOMPUTADOR BIOMETRICO, del 4 de Marzo de 2011, de INTELLIGENT DATA, S.L.: Especialmente concebido para alojar las aplicaciones y funcionalidades típicas de un computador personal en un dispositivo sumamente compacto y portátil, […]

MÉTODO ELECTRÓNICO PARA ALMACENAR Y RECUPERAR DOCUMENTOS ORIGINALES AUTENTIFICADOS, del 22 de Febrero de 2011, de EORIGINAL INC.: Un método para manejar objetos originales electrónicos almacenados que han sido creados firmando objetos de información por los respectivos agentes de transferencia, someter […]

EQUIPO DESTINADO A LA PRACTICA DE VOTACIONES Y SU PROCEDIMIENTO DE FUNCIONAMIENTO, del 22 de Febrero de 2011, de MORERA UROZ, PERE: Equipo destinado a la práctica de votaciones y su procedimiento de funcionamiento.El proceso de votaciones actual comprende las operaciones de identificación […]

PROCEDIMIENTO Y DISPOSITIVO PARA PROTEGER UN DOCUMENTO CON UNA IMAGEN DE FIRMA AÑADIDA Y DATOS BIOMETRICOS EN UN SISTEMA DE ORDENADOR, del 20 de Agosto de 2010, de STEPOVER GMBH: Procedimiento para la protección de un documento con imagen de firma digital añadida en un sistema de ordenador , que comprende los pasos […]

Método y dispositivo para la comparación de versiones de datos entre estaciones a través de zonas horarias, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método para la comparación de versiones de datos entre sitios a través de zonas horarias, el método que comprende: cuando los sitios […]