Método para asegurar una transacción en línea.

Procedimiento para asegurar una transacción realizada en linea por un cliente mediante una tarjeta de chip(CP),

siendo capaz dicho cliente de utilizar un puesto de tratamiento (PT) adaptado para comunicarse en linea conuna autoridad de autenticación ( AA) y equipado con una interfaz hombre/máquina tal como una pantalla (CE), y unlector de tarjeta inteligente (LC), caracterizado porque comprende una prueba de proximidad adaptado paracomunicar para verificar la presencia fisica del cliente cerca del puesto de tratamiento (PT) adaptado para comunicaren linea con la autoridad de autenticación (AA), una prueba de autenticación del titular de la tarjeta inteligente (CP) yuna prueba de no-repudio de la transacción. La prueba de proximidad comprende la introducción de una informaciónpor el cliente coincidente con una información emitida por la tarjeta inteligente directamente o via el lector de latarjeta.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/FR2003/001460.

Solicitante: GEMALTO SA.

Inventor/es: SAUVEBOIS, JEAN-PAUL.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • G06Q20/00 FISICA.G06 CALCULO; CONTEO.G06Q METODOS O SISTEMAS DE PROCESAMIENTO DE DATOS ESPECIALMENTE ADAPTADOS PARA FINES ADMINISTRATIVOS, COMERCIALES, FINANCIEROS, DE GESTION, DE SUPERVISION O DE PRONOSTICO; METODOS O SISTEMAS ESPECIALMENTE ADAPTADOS PARA FINES ADMINISTRATIVOS, COMERCIALES, FINANCIEROS, DE GESTION, DE SUPERVISION O DE PRONOSTICO, NO PREVISTOS EN OTRO LUGAR.Arquitectura, protocolos o esquemas de pago (aparatos para realizar o contabilizar transacciones de pagos G07F 7/08, G07F 19/00; cajas registradoras electrónicas G07G 1/12).
  • G07F19/00 G […] › G07 DISPOSITIVOS DE CONTROL.G07F APARATOS ACCIONADOS POR MONEDAS O APARATOS SIMILARES (selección de monedas G07D 3/00; verificación de monedas G07D 5/00). › Sistemas bancarios completos; Disposiciones con activación por tarjeta codificada adaptados para suministrar o recibir dinero en metálico o similares y dirigir tales transacciones a cuentas existentes, p. ej. cajeros automáticos (equipo de tratamiento de datos para el cálculo bancario G06Q 40/02).
  • G07F7/10 G07F […] › G07F 7/00 Mecanismos accionados por objetos diferentes de las monedas para accionar o activar aparatos de venta, de alquiler, de distribución de monedas o de papel moneda, o de devolución. › utilizada simultáneamente con una señal codificada.

PDF original: ES-2445326_T3.pdf

 

Método para asegurar una transacción en línea.

Fragmento de la descripción:

Metodo para asegurar una transaccion en linea.

La presente invencion se refiere a la seguridad de una transacciOn comercial en linea pagado por un cliente con una tarjeta inteligente.

Cuenta con una aplicaciOn general en los intercambios de datos seguros y en particular en el comercio electrOnico cuando el cliente usa una computadora personal la comunicacion en linea a traves de Internet con un sitio comercial.

El desarrollo del comercio electronic° requiere de un alto nivel de seguridad de los pagos electronicos. Es especialmente necesario para proporcionar:

- un proceso de autenticación para garantizar la identidad de los dos actores;

-la integridad de la informaciOn transmitida en conexión con la transacción y el pago

-la confidencialidad de la informaciOn intercambiada

- el no-repudio para impedir cualquier desafio a la transacciOn o pago.

Soluciones se han disefiado para garantizar los pagos electronicos, tales como sistema de C-SET propuesto por los grandes agentes de tarjetas como Visa, Mastercard, American Express, JCB combinando el protocolo SET y la tarjeta inteligente (vease por ejemplo el documento tarjeta de circuito integrado Especificacion para EMV2000 Sistema de Pagos version 4.0, anexo D de procesamiento de transacciones para el chip de Comercio Electronico) . Otras soluciones son descritas por ejemplo en los documentos EP 0427465, GB 2 261 538 o tambien en EP 1026

644.

En general, la seguridad de las transacciones utilizando una tarjeta inteligente basada en la verificaciOn de la autenticidad del titular tarjeta a traves de la firma electrOnica esta entrando en una contraselia, tambien llamado cOdigo de acceso o código PIN (PIN es el acrOnimo de Numero de IdentificaciOn Personal) y solo lo conoce el cliente y la autoridad la autenticacion.

La introducciOn del cOdigo PIN en el teclado de una estación de procesamiento, tales como un ordenador personal conectado a un chip lector de tarjetas es arriesgado.

De hecho, teclear el codigo expone el PIN a una captura visual. Ademas, el tratamiento del PIN por la computadora lo expone a un espionaje local o remoto, cuando los estafadores tienen acceso via internet a la computadora.

Por ejemplo, los programas espias, residentes en el ordenador, graban las paginas web y la entrada de claves durante cada sesion. Esta informacion se reenvia discretamente como un archivo adjunto a los infractores electrOnicos. El analisis de estos documentos, permite al hacker encontrar el PIN y otra información financiera del usuario, nombre, direcciOn, numero de tarjeta, etc.

Agentes locales tambien pueden sustituir al titular para realizar una transaccion sin su conocimiento y a su costa desde la computadora.

Otro fraude consiste en tomar el control remoto del ordenador por un hacker. Esto se ve en la pantalla y el teclado. El teleinfractor no solo puede reemplazar al agente local, sino tambien superar las pruebas de reconocimiento de patrones. Puede actuar en una transacciOn de bienes y modificar los terminos para dejar que el usuario legitimo firme en su lugar, etc.

Del mismo modo, el trayecto del PIN en el cable que conecta el ordenador a la unidad y su paso por el ultimo tambien presenta riesgos de captura, permitiendo despues que un estafador pueda hacer transacciones en lugar del usuario imprudente que dej6 su tarjeta en el lector, o incluso interferir en una transacción legitima y modificar los terminos tales como la cantidad o el beneficiario.

Son conocidos los lectores asegurados con teclado integrado que permiten la entrada segura del PIN en particular evitando que dicho PIN no transite por el terminal.

Sin embargo, estas unidades aseguradas presentan el inconveniente de que resultan caras.

La presente invenciOn supera este inconveniente proporcionando una soluciOn cuya aplicacion se Ileva a cabo en un entorno no seguro del tipo de ordenador personal, y cuya implementacion es facil y economica al tiempo que proporciona un grado de seguridad.

Es un metodo para asegurar una transaccion realizada en linea por un cliente con una tarjeta inteligente, definido en los terminos de la reivindicaciOn 1.

De acuerdo con una definicion general de la invencion, el metodo comprende los siguientes pasos:

a) la carga en la tarjeta inteligente, de un archivo de imagen que tiene una pluralidad de elementos capaces de formar un teclado grafico en la pantalla de la estación de procesamiento para la introducción de un código de acceso, cada elemento del teclado grafico se identifica por las coordenadas correspondientes;

b) de la tarjeta inteligente, cargar el archivo de imagen en la estacion de procesamiento para visualizar dicho teclado grafico en dicha pantalla

c) hacer seleccionar al cliente al menos un elemento de dicho teclado grafico para introducir dicho cOdigo de autenticaciOn

d) transmitir a la tarjeta inteligente las coordenadas correspondientes del elemento del teclado grafico seleccionado por el cliente

e) en la tarjeta inteligente, comparar las coordenadas del codigo de autenticaciOn derivada de las coordenadas del elemento del teclado grafico y los transmitidos desde el cOdigo de autenticaciOn de la parte del cliente de la tarjeta inteligente;

f) en caso de una comparación positiva en el nivel de la tarjeta, cifrar un certificado que comprenda una palabra relacionada con el resultado de la comparaciOn, un identificador, y un desafio vinculando el resultado de la transacciOn en curso, y enviar dicho certificado asi cifrado a la autoridad de autenticaciOn, y

g) la autoridad de autenticación, descifra el certificado enviado para verificar la autenticidad de la titular de la tarjeta, y caso de verificacion positiva, permitir la transacciOn.

Por lo tanto, la autenticidad de la titular de la tarjeta inteligente se verifica mediante la introduccion de la contrasefia en un teclado grafico generado a traves de un proceso que se establece entre la autoridad y la autenticaciOn de la tarjeta inteligente. Este metodo tiene la ventaja de la reutilizaciOn sin requerir la adición de otra pantalla y trabajar en un entomb inseguro (ordenador personal) que sin embargo asegura la confidencialidad de los titulares de tarjetas vis-a-vis de los ataques locales y remotos antes mencionados.

De acuerdo con otro aspecto de la invenciOn, el metodo comprende ademas una prueba de proximidad para verificar la presencia fisica del cliente cerca de la estación de procesamiento durante la transacciOn en linea. De este modo, tambien asegura que el cliente envia la transacción que es una persona que esta fisicamente cerca de la pantalla y fisicamente en posesión de la tarjeta de chip.

Esta prueba es otra medida eficaz contra el espionaje de una operaciOn a distancia.

La prueba de la proximidad esencialmente implica en hacer entrar a los clientes información que le habia facilitado la tarjeta directamente o traves del lector de tarjetas.

Preferiblemente, el ensayo de proximidad comprende las siguientes etapas:

i) equipar al lector de tarjetas inteligentes de medios de difusión de información visual y/o sonora bajo el control de la de la tarjeta de chip;

ii) hacer controlar por la tarjeta inteligente la transmision de un conjunto seleccionado de informaciones visuales y/o sonoras;

iii) en respuesta a la transmisiOn del conjunto de la informacion, hacer accionar al cliente selectivamente la interfaz hombre/maquina del puesto de tratamiento para transmitir a destino de la tarjeta inteligente un juego de informacion en respuesta al juego de información transmitido por la tarjeta;

iv) en la tarjeta, se recibe el conjunto de informacion generada por el cliente y se compara con el juego de informaciOn juego generado por la tarjeta inteligente, y

v) en el caso de una comparación positiva, autorizar la transaccion.

En la practica, esta prueba de proximidad puede ser implementada en cualquier momento de la transacción, es decir, antes, durante y/o despues.

De acuerdo con otro aspecto de la invencion, debe asegurarse de que el cliente paga la cantidad correcta al comerciante legitimo y que el cliente no puede rechazar ulteriormente la transacción propiamente dicha. Tambien se debe evitar la sustituciOn de los elementos de la transacción por un hacker (pirata informatico) a favor de otra transaccion de dicho pirata.

Para esto, la invencion tambien proporciona un procedimiento para el no rechazo de la transacciOn.

En la practica, el procedimiento de no-repudio incluye los siguientes pasos:

I) a nivel de la autoridad de autenticación, almacenamiento en un fichero de imagen la... [Seguir leyendo]

 


Reivindicaciones:

1. Procedimiento para asegurar una transacción realizada en linea por un cliente mediante una tarjeta de chip (CP) , siendo capaz dicho cliente de utilizar un puesto de tratamiento (PT) adaptado para comunicarse en linea con una autoridad de autenticación ( AA) y equipado con una interfaz hombre/maquina tal como una pantalla (CE) , y un lector de tarjeta inteligente (LC) , caracterizado porque comprende una prueba de proximidad adaptado para comunicar para verificar la presencia fisica del cliente cerca del puesto de tratamiento (PT) adaptado para comunicar en linea con la autoridad de autenticacion (AA) , una prueba de autenticaciOn del titular de la tarjeta inteligente (CP) y una prueba de no-repudio de la transaccion. La prueba de proximidad comprende la introduccion de una informaciOn por el cliente coincidente con una información emitida por la tarjeta inteligente directamente o via el lector de la tarjeta.

2. Procedimiento para asegurar una transaccion de acuerdo con la reivindicacion 1, caracterizado porque la prueba de autenticacion comprende la introducciOn de un cOdigo secreto de identificacion por el cliente y el control de dicho cOdigo por dicha tarjeta inteligente.

3. Procedimiento para asegurar una transaccion de acuerdo con la reivindicaciOn 1, caracterizado porque la prueba de autenticacion comprende las siguientes etapas:

a) la carga en la tarjeta inteligente, de un archivo de imagen que tiene una pluralidad de elementos capaces de formar un teclado grafico en la pantalla de la estación de procesamiento para la introducciOn de un codigo de acceso, cada elemento del teclado grafico se identifica por las coordenadas correspondientes;

b) de la tarjeta inteligente, cargar el archivo de imagen en la estación de procesamiento para visualizar dicho teclado grafico en dicha pantalla

c) hacer seleccionar al cliente al menos un elemento de dicho teclado grafico para introducir dicho codigo de autenticaciOn

d) transmitir a la tarjeta inteligente las coordenadas correspondientes del elemento del teclado grafico seleccionado por el cliente

e) en la tarjeta inteligente, comparar las coordenadas del cOdigo de autenticacion derivada de las coordenadas del elemento del teclado grafico y los transmitidos desde el codigo de autenticaciOn de la parte del cliente de la tarjeta inteligente;

f) en caso de una comparación positiva en el nivel de la tarjeta, cifrar un certificado que comprenda una palabra relacionada con el resultado de la comparacion, un identificador, y un desafio vinculando el resultado de la transacción en curso, y enviar dicho certificado asi cifrado a la autoridad de autenticacion, y

g) la autoridad de autenticación, descifra el certificado enviado para verificar la autenticidad de la titular de la tarjeta, y caso de verificacion positiva, permitir la transacción.

4. Procedimiento de acuerdo con la reivindicaciOn 1, caracterizado porque la prueba de proximidad comprende las siguientes etapas:

i) equipar al lector de tarjetas inteligentes de medios de difusiOn de informacion visual y/o sonora bajo el control de la de la tarjeta de chip;

ii) hacer controlar por la tarjeta inteligente la transmision de un conjunto seleccionado de informaciones visuales y/o sonoras;

iii) en respuesta a la transmision del conjunto de la informacion, hacer accionar al cliente selectivamente la inteifaz hombre/maquina del puesto de tratamiento para transmitir a destino de la tarjeta inteligente un juego de información en respuesta al juego de información transmitido por la tarjeta;

iv) en la tarjeta, se recibe el conjunto de informaciOn generada por el cliente y se compara con el juego de informacion juego generado por la tarjeta inteligente, y

v) en el caso de una comparacion positiva, autorizar la transaccion.

5. 4. Procedimiento de acuerdo con la reivindicaciOn 1, caracterizado porque la prueba de no-repudio comprende las siguientes etapas:

I) a nivel de la autoridad de autenticación, almacenamiento en un fichero de imagen la informaciOn financiera relativa a la transacción;

II) la transmision de dicho archivo de imagen asociado a la transaccion con destino a la tarjeta inteligente a traves del procesamiento posterior y el chip lector de tarjetas;

III) proviniendo de la tarjeta, cargarlo en dicha estación de procesamiento dicha imagen para mostrar en la pantalla;

IV) seleccionar por parte del cliente al menos una informaciOn financiera de dicho archivo de imagen asi mostrado;

V) transmitir a la tarjeta inteligente las coordenadas correspondientes de dicha informacion financiera asi seleccionada por el cliente;

VI) a nivel de la tarjeta inteligente, cifrar un mensaje que comprende al menos dicha información financiera de la transacciOn financiera asi deducida; y enviar dicho mensaje asi cifrado con destino a la autoridad de autenticacion; y

VII) a nivel de la autoridad de autenticacion, descifrar el mensaje asi enviado, verificar la informaciOn financiera asociada y validar la transacciOn en caso de verificacion positiva.

6. Sistema que comprende un puesto de tratamiento (PT) adaptado pata comunicar en linea con autoridad de autenticacion (AA) y equipado con un interfaz hombre/maquina tal como una pantalla (EC) , un lector de tarjetas inteligentes (CP) , asi como una tarjeta inteligente (CP) , estando dicho sistema caracterizado porque esta organizado para asegurar una transaccion realizada en linea por un cliente poseedor de dicha tarjeta inteligente (CP) implementando un procedimiento segun una de cualquiera de las reivindicaciones 1 a 4.

7. Programa de ordenador adaptado para su ejecución en un ordenador por etapas para realizar las etapas del procedimiento segOn una de las reivindicaciones 1 a 5.

erg

PT LC

0X13


 

Patentes similares o relacionadas:

Terminal de pago que integra medios de comunicación inalámbrica, del 29 de Abril de 2020, de Ingenico Group: Terminal de pago que comprende un lector de tarjetas chip y una antena radioeléctrica , caracterizado por que dicha antena radioeléctrica está posicionada […]

Registro biométrico, del 25 de Marzo de 2020, de Zwipe AS: Un método de registro biométrico de un dispositivo autorizable por biometría , en donde el dispositivo autorizable por biometría comprende un sensor […]

Sistema y método para autenticar a un usuario en un dispositivo, del 12 de Febrero de 2020, de Mobeewave Inc: Un método para accionar un dispositivo , comprendiendo el dispositivo un procesador , comprendiendo el procesador un área segura […]

Procedimiento y sistema para registrar un terminal de tarjeta inteligente con un servidor de difusión, del 25 de Septiembre de 2019, de SAMSUNG ELECTRONICS CO., LTD.: Un procedimiento para registrar un terminal de tarjeta inteligente mediante un servidor IMS de Subsistema Multimedia basado en Protocolo de Internet en un sistema de comunicación […]

Dispositivo portátil con antena y apoyo de soporte de impresión, del 7 de Agosto de 2019, de Ingenico Group: Dispositivo portátil que comprende un compartimento de recepción de un soporte de impresión y al menos una antena de superficie de […]

Procedimiento de autenticación y dispositivo de autenticación para un enrutador inalámbrico, del 10 de Junio de 2019, de Huizhou Tcl Mobile Communication Co., Ltd: Un procedimiento de autenticación para un enrutador inalámbrico que comprende las siguientes etapas: B0. Detectar, mediante un terminal móvil, si su función WI-FI […]

Método y dispositivo de terminal móvil que incluye módulo de tarjeta inteligente y medios de comunicaciones de campo cercano, del 27 de Mayo de 2019, de Nokia Technologies OY: Método para controlar un dispositivo de terminal móvil, comprendiendo dicho dispositivo un módulo de tarjeta inteligente y un módulo de comunicación […]

Terminal de pago que comprende un dispositivo de pago y una interfaz modular en forma de cubierta o estuche para emparejar un terminal de comunicación, del 3 de Mayo de 2019, de Ingenico Group: Terminal de pago , que posee una primera configuración en la que comprende un dispositivo de pago emparejado con un terminal de comunicación mediante una primera […]

Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .