Proceso y esquema para autenticar a un usuario de unas instalaciones, un servicio, una base de datos o una red de datos.

Proceso para autenticar a un usuario, para controlar su acceso remoto a un servicio,

base de datos o red dedatos, en donde, en una etapa de inscripción, se analiza una muestra de voz inicial proporcionada por el usuariopara obtener un perfil de voz inicial específico del usuario y, en una etapa de verificación posterior, se analiza unamuestra de voz actual proporcionada por el usuario para obtener un perfil de voz actual que se compara con el perfilde voz inicial para generar una señal de control de acceso en respuesta al resultado de la etapa de comparación,en donde los medios de autenticación adicional especializados en el usuario se generan en un periodo de preinscripción,usándose los medios de autenticación adicional para autenticar al usuario en la etapa de inscripción y/oen una etapa de control de acceso antes de, e independiente de la etapa de inscripción, en un procedimiento deautenticación provisional o complementario,

en donde los medios de autenticación adicional comprenden un PIN o un código similar y una tarjeta de ID deusuario, en donde la tarjeta de ID de usuario se transmite al usuario a través de una red de datos a petición y enrespuesta a una identificación preliminar mediante el PIN o el código en donde la tarjeta de ID de usuario es unatarjeta de ID específica del sistema que visualiza un PIN único específico de sistema o un código similar, en donde elPIN o el código se vincula internamente en el sistema con un usuario específico y con los datos correspondientes deeste usuario, incluyendo opcionalmente un ID de usuario y/o un conjunto de elementos de información específico delusuario y enviándose la tarjeta de ID específica del sistema como un tarjeta en blanco y activándose a petición delusuario y en respuesta a una entrada del PIN específico del sistema o el código similar en un terminal de datos o detelecomunicaciones del usuario.

Proceso y esquema para autenticar a un usuario de unas instalaciones, un servicio, una base de datos o una red de datos.

Esta invención se refiere a un proceso y un esquema para autenticar a un usuario de unas instalaciones, un servicio, una base de datos o una red de datos.

En los sistemas convencionales de control de acceso, aplicados a las redes de datos, los medios de identificación o de autenticación, respectivamente, del tipo basado en el conocimiento se están usando para cumplir con los requisitos de seguridad. Particularmente, durante décadas los esquemas de identificación/autenticación basados en contraseña o basados en el PIN se conocen y se usan generalmente. Más específicamente, en aplicaciones sensibles a espías o al fraude, tales como las aplicaciones de banco en casa, las medidas de seguridad adicionales, como la provisión y el uso obligatorio de los códigos de transacción individuales o TAN, respectivamente, se conocen y se usan ampliamente. Incluso tales esquemas complementarios de refuerzo de la seguridad se basan en el conocimiento y presentan, por lo tanto, las desventajas típicas de todos los esquemas basados en el conocimiento, es decir, por un lado los problemas relacionados con la pérdida de la información relevante por parte del usuario autorizado, y por otro lado los riesgos derivados del acceso a dicha información por parte de un usuario no autorizado.

Por lo tanto, en años recientes se han realizado esfuerzos considerables para incluir otros tipos de esquemas de identificación/autenticación en los mecanismos de seguridad de las redes de datos. Particularmente, se han intentado enfoques para adicionar esquemas "basados en la posesión" (tokens) y/o "basados en la persona" (basados en la biometría) a los bien conocidos esquemas basados en el conocimiento, o incluso para sustituir los últimos esquemas con dichos nuevos esquemas. Por ejemplo, en los cajeros automáticos se han propuesto esquemas biométricos de autenticación basados en el reconocimiento de huellas digitales o de retina, respectivamente, para controlar el acceso a las cuentas bancarias. Además, por su parte los bien establecidos medios de control de acceso basados en la huella digital de los ordenadores portátiles y otras computadoras personales se deben mencionar como un tipo de medio para controlar el acceso a las redes de datos.

Más recientemente, las soluciones de autenticación basadas en la voz, como un tipo específico de identificaciones/autenticaciones basadas en la biometría, se han introducido ampliamente por las empresas para complementar sus esquemas internos de control de acceso basados en el conocimiento.

En los servicios y actividades basados en Internet y en los móviles, particularmente en los sitios de mercado de Internet como eBay o los sistemas de transacciones financieras de Internet como PayPal, con la base de usuarios en rápido crecimiento en todo el mundo, el número de ataques fraudulentos aumenta significativamente. La probabilidad de un ataque exitoso en las cuentas de un servicio basado en Internet en todo el mundo con millones de usuarios es mucho mayor que con los ataques de phishing en los bancos locales.

Así, la autenticación basada en la voz también se está discutiendo como un esquema de seguridad para los servicios basados en Internet y en la red de móviles y los sistemas de acceso a datos.

Frente a este tipo de aplicación sofisticada a gran escala, las soluciones biométricas de voz tienen que hacer frente a varios desafíos tecnológicos y tienen que alcanzar un alto nivel de aceptación de los usuarios. Los desafíos específicos están relacionados con el proceso de inscripción, problemas del multi-canal, requisitos de seguridad, demandas de flexibilidad y escalabilidad.

Para el proceso de inscripción, se requiere el ID único de usuario para identificar al usuario. Sin embargo, no existe una forma universal de ID de usuario para identificar a los usuarios de los sistemas biométricos de voz. El formato varía de empresa a empresa. En el mercado de las empresas, el número personal de los empleados se usa frecuentemente para la identificación, mientras que en el mercado de los consumidores el nombre de una persona o cualquier otro sustituto para el nombre (nombre de usuario, dirección de correo electrónico, número del teléfono móvil) se usan o se pueden usar para identificar al usuario, al menos con un cierto grado de fiabilidad.

Actualmente, para esta etapa, se usa el reconocimiento automático del habla (ASR) . Sin embargo, básicamente la integración del ASR en una solución de verificación de la voz está limitando su escalabilidad. Las soluciones de ASR no están disponibles en todos los idiomas o presentan varios problemas en una serie de idiomas. Esto significa que: Aunque una solución de verificación de la voz podría, en principio, ofrecerse a los clientes en estos países específicos, la solución como se ofrece actualmente (incluyendo un reconocimiento del habla y una parte de verificación de la voz) no se puede proporcionar a los clientes en estos países debido al componente de ASR faltante o sub-óptimo.

La eliminación del componente de ASR haría al sistema más fácil de usar y más fácil de escalar, pero hasta el momento no existe ninguna solución para evitar la integración del componente de reconocimiento del habla en un sistema de autenticación basado en un perfil de voz.

Además, la seguridad es un gran problema para los clientes. Hasta el momento, la mayoría de las soluciones de seguridad biométrica de voz dependen exclusivamente de la autenticación de la voz como la única capa de seguridad real además del ID de usuario (comprobados con el reconocimiento de la voz) . Sin embargo, esto significa que el umbral de la capa de seguridad de autenticación de la voz tiene que establecerse alto para asegurar un nivel de seguridad resultante alto. Esto puede resultar en limitaciones durante el uso del sistema.

El uso de diferentes tipos de teléfonos (de línea fija (cableado) , de línea fija (DECT) , teléfono móvil, VoIP) da lugar a problemas en el uso de las soluciones biométricas de voz. Debido a que el ancho de banda de los diferentes canales de telefonía está en el intervalo de 8 kbit/s (VoIP) a 64 kbit/s (RDSI) e incluso mucho más, la calidad de la muestra de voz es diferente. Un usuario inscrito con un teléfono VoIP puede tener problemas para verificar con un teléfono de línea fija cableado, ya que la muestra de voz proporcionada con el teléfono de línea fija se diferencia de la muestra de voz proporcionada durante la inscripción con el teléfono VoIP. Una solución para este problema sería disminuir el umbral que determina la sensibilidad del sistema.

Combinado con los requisitos de seguridad, los problemas del multi-canal pueden dar lugar a un factor de incomodidad en el uso de los productos de autenticación de la voz, relacionado con mayores tasas de falso rechazo (FRR) y problemas durante la inscripción y el uso de la solución.

Como ya se ha mencionado anteriormente, para usar un sistema biométrico de voz cada usuario tiene que registrarse en el sistema, almacenando su impresión de voz en la base de datos. Sólo después de que el usuario se ha inscrito en el sistema él/ella puede usar el sistema. Un problema relacionado con el proceso de inscripción es que la mayoría de los sistemas biométricos de voz tratan de alcanzar un nivel de inscripción de un 100% de los usuarios en el período inicial de la implementación del sistema. Esto resulta en una alta carga en los canales de voz en las primeras semanas/meses después de la instalación. Se necesita un mayor número de canales de voz para manejar el gran número de usuarios a inscribir. Si un sistema sólo se usa con el número de puertos de voz que se necesitan para garantizar un uso diario conveniente después de la fase de inscripción, algunos de los usuarios, que desean inscribirse, pueden no atenderse debido a que los puertos de voz están bloqueados.

La US-A-2007/061590 o la US-A-2002/239512 o la US-A-2005/165700 o la US-A-2003/163739 cada una describe esquemas de autenticación de usuario, basados en datos biométricos. Más específicamente, al menos la US-A2007/061590 describe un proceso para autenticar a un usuario, para controlar su acceso remoto a un servicio, base de datos o red de datos, en donde:

. en una etapa de inscripción se analiza una muestra de voz inicial proporcionada por el usuario para obtener un perfil de voz inicial específico del usuario . en una etapa de verificación posterior, se analiza una muestra de voz actual proporcionada por el usuario para obtener un perfil de voz actual que se compara con el perfil de voz inicial para generar una señal de control de acceso en... [Seguir leyendo]

1. Proceso para autenticar a un usuario, para controlar su acceso remoto a un servicio, base de datos o red de datos, en donde, en una etapa de inscripción, se analiza una muestra de voz inicial proporcionada por el usuario para obtener un perfil de voz inicial específico del usuario y, en una etapa de verificación posterior, se analiza una muestra de voz actual proporcionada por el usuario para obtener un perfil de voz actual que se compara con el perfil de voz inicial para generar una señal de control de acceso en respuesta al resultado de la etapa de comparación, en donde los medios de autenticación adicional especializados en el usuario se generan en un periodo de preinscripción, usándose los medios de autenticación adicional para autenticar al usuario en la etapa de inscripción y/o en una etapa de control de acceso antes de, e independiente de la etapa de inscripción, en un procedimiento de autenticación provisional o complementario,

en donde los medios de autenticación adicional comprenden un PIN o un código similar y una tarjeta de ID de usuario, en donde la tarjeta de ID de usuario se transmite al usuario a través de una red de datos a petición y en respuesta a una identificación preliminar mediante el PIN o el código en donde la tarjeta de ID de usuario es una tarjeta de ID específica del sistema que visualiza un PIN único específico de sistema o un código similar, en donde el PIN o el código se vincula internamente en el sistema con un usuario específico y con los datos correspondientes de este usuario, incluyendo opcionalmente un ID de usuario y/o un conjunto de elementos de información específico del usuario y enviándose la tarjeta de ID específica del sistema como un tarjeta en blanco y activándose a petición del usuario y en respuesta a una entrada del PIN específico del sistema o el código similar en un terminal de datos o de telecomunicaciones del usuario.

2. Proceso de acuerdo con la reivindicación 1 en donde en la etapa de inscripción, así como en la etapa de verificación, se solicitan al menos unos elementos de datos de los medios de autenticación adicional como una muestra de voz y lo hablado por el usuario que serán objeto del análisis de su muestra de voz inicial, sin implicar una etapa de reconocimiento del habla.

3. Procedimiento de acuerdo con una de las reivindicaciones precedentes, en donde en la etapa de inscripción y/o en una etapa de control de acceso antes de la etapa de inscripción, al usuario se le solicita que ingrese el PIN o un código similar, opcionalmente junto con un elemento de información adicional específico del usuario, hablándolo o por medio de un teclado del terminal de datos o de telecomunicaciones, para identificar y autenticar provisionalmente al usuario para obtener el acceso a la etapa respectiva.

4. Proceso de acuerdo con una de las reivindicaciones precedentes, en donde el período de pre-inscripción y la etapa de inscripción son adyacentes en el tiempo entre sí y, particularmente, los medios de autenticación adicional se generan inmediatamente antes de la etapa de inscripción.

5. Procedimiento de acuerdo con una de las reivindicaciones precedentes, en donde el procedimiento de autenticación complementario se conecta a la etapa de inscripción o la etapa de verificación, respectivamente, de manera que se crea un procedimiento de autenticación combinado con una validez mejorada.

6. Procedimiento de acuerdo con una de las reivindicaciones precedentes, en donde las muestras de voz y datos entrados por el usuario se transmiten a un servidor de autenticación a través de un red de telecomunicaciones, particularmente basada en la telecomunicación móvil o el protocolo VoIP.

7. Esquema para autenticar a un usuario y controlar su acceso remoto a un servicio, base de datos o red de datos, comprendiendo el esquema un terminal de datos y de telecomunicaciones del usuario que comprende los medios de entrada de datos, tal como un teclado o pantalla táctil, y los medios de entrada de voz para introducir la muestra de voz del usuario, un servidor de autenticación para el procesamiento de los datos y las muestras de voz entrados por el usuario y una conexión de red al menos temporal del terminal de usuario al servidor de autenticación, en donde el servidor de autenticación comprende los medios de cálculo del perfil de la voz para analizar las muestras de voz del usuario para obtener un perfil de voz respectivo específico del usuario, los medios de almacenamiento de los perfiles de voz para almacenar las muestras de voz del usuario procesadas y medios de comparación de los perfiles de voz para comparar un perfil de voz actual evaluado a partir de la muestra de voz actual del usuario con un perfil de voz inicial almacenado en los medios de almacenamiento de los perfiles de voz, y para obtener una primera salida de autenticación basada en la muestra de voz entrada por el usuario; y los medios de procesamiento de los datos de usuario, los medios de almacenamiento de los datos de usuario y los medios de comparación de los datos de usuario para obtener una segunda salida de autenticación a partir de los datos entrados por el usuario; y los medios de generación de la tarjeta de ID para generar una tarjeta de ID física específica del sistema que comprende un ID específico del sistema o un código similar que se asigna inequívocamente a un conjunto de elementos de información específicos del usuario, incluyendo opcionalmente el conjunto un ID de usuario, y los medios de almacenamiento de ID para almacenar el ID específico del sistema o un código similar en una asignación inequívoca al conjunto de elementos de información específico del usuario, en donde los medios de

almacenamiento de ID actúan como los medios de almacenamiento de los datos de usuario y se conectan a una entrada de los medios de comparación de los datos de usuario.

8. Esquema de acuerdo con la reivindicación 7, que comprende además:

los medios de instrucción de la entrada de la muestra de voz para indicarle al usuario que entre un PIN o un código similar o unos elementos de información predeterminados como una muestra de voz mediante los medios de entrada de voz, y los medios de almacenamiento de muestras de texto para almacenar muestras de texto que están sujetas a la muestra de voz entrada por el usuario, en respuesta a la instrucción obtenida del servidor de autenticación, en donde los medios de almacenamiento de las muestras de texto se conectan a los medios de procesamiento de la voz para habilitar el procesamiento de la muestra de voz del usuario sin una etapa de reconocimiento automático del habla,

en donde, particularmente, los medios de instrucción de la entrada de la muestra de voz se adaptan para emitir las instrucciones al usuario en función de una tarjeta de ID de usuario o una tarjeta de ID específica del sistema que comprende las muestras de texto almacenadas en la memoria de muestras de texto o identificadores únicos de las muestras de texto.

9. Esquema de acuerdo con la reivindicación 8, en donde los medios de instrucción de la entrada de la muestra de voz se adaptan para emitir las instrucciones al usuario en el contexto de un diálogo sistema-usuario través de una red de telecomunicaciones o de datos.

10. Esquema de acuerdo con una de las reivindicaciones 7 a 9, que comprende los medios de activación de la tarjeta de ID del usuario para activar una tarjeta de ID específica del sistema generada y distribuida previamente en respuesta a la entrada del ID específico del sistema o un código similar a través un terminal de datos o de telecomunicaciones.