Sistema de red dual y método para autenticación o autorización en línea.

Un sistema de red dual (10’) para emitir credenciales de seguridad que comprende:

un primer sistema (44) que consiste de un sistema de comunicación de red telefónica conmutada pública (44), y un segundo sistema (26), que es una red electrónica distinta del primer sistema (44), por lo menos en parte;

un teléfono (46) acoplado al primer sistema (44);

una terminal de usuario (12, 14) acoplada al segundo sistema (26);

un sitio objetivo (30’), en comunicación con la terminal de usuario (12, 14) a través del segundo sistema (26) cuando un visitante del sitio en la terminal de usuario (12, 14) se ha conectado al sitio objetivo (30’) a través de un navegador de Internet que corre en la terminal de usuario (12, 14), el sitio objetivo que se dispone para llevar a cabo una transacción a solicitud del visitante en la terminal de usuario (12, 14); y

un servidor de autenticación/autorización (38’) dispuesto para ejecutar instrucciones para comunicarse con el visitante en la terminal de usuario (12, 14) a través del segundo sistema (26);

en donde:

el sitio objetivo (30’) se puede operar para solicitar que el visitante proporcione información de identificación, para confirmar un número telefónico con el visitante en el que se pueda ubicar al visitante, proporcionar al servidor (38’) el número telefónico confirmado, y dirigir al visitante al servidor (38’);

el servidor (38’) se puede operar para que visualice una página web y ejecute instrucciones para hacer una llamada, a través del primer sistema (44), al número telefónico proporcionado del visitante, para remitir información de confirmación a la terminal de usuario (12, 14) del visitante, a través del segundo sistema (26), y para solicitar, a través del primer sistema (44), que el visitante hable o teclee la información de confirmación, visualizada en la terminal de usuario (12, 14), para comparar la información de confirmación remitida con la información de confirmación recibida, y determinar si son las mismas, para devolver una respuesta al sitio objetivo (30’), y para volver a dirigir al visitante al sitio objetivo (30’); y

el sitio objetivo (30’) se puede operar para determinar si el visitante ha cumplido los requerimientos de la transacción, y, si es así, emitir una credencial de seguridad electrónica al visitante a través del segundo sistema (26) .

Sistema de red dual y método para autenticación o autorización en línea Campo de la Invención Esta invención se relaciona de manera general con la seguridad en Internet. Más particularmente, esta invención se relaciona con el método para tratar de verificar la identidad de un usuario de Internet.

Antecedentes de la Invención

La Internet ofrece la posibilidad de comercio mundial expandido, comercio electrónico, con potencialmente menor costo para los compradores de lo que era posible hasta ahora. Sin embargo, la falta de contacto directo de persona a persona ha creado su propia serie de problemas. El robo de identidad es un problema que amenaza el crecimiento del comercio electrónico.

El crecimiento del comercio electrónico sólo se producirá si existe una infraestructura de seguridad confiable y verdadera en el lugar. Es imperativo que se verifique la identidad de los visitantes del sitio antes de otorgarles acceso a cualquier aplicación en línea que requiere confianza y seguridad. De acuerdo con el Centro Nacional de Fraude, su estudio del robo de identidad “lo lleva a la inevitable conclusión de que la única solución de sentido amplio realista para el robo de identidad es a través de autenticación”. Identity Theft: Authentication As A Solution, página 10, nationalfraud.com.

Con el fin de “autenticar” una entidad, se debe:

1) identificar a la entidad como una entidad “conocida”,

2) verificar que la identidad que se afirma por la entidad es su verdadera identidad, y

3) proporcionar un rastro de auditoría, que conmemora las razones para confiar en la identidad de la entidad.

En el mundo físico, gran parte de la seguridad percibida de los sistemas se basa en la presencia física. Tradicionalmente, con el fin de abrir una cuenta bancaria, el solicitante debe aparecer físicamente en una sucursal bancaria, afirmar la identidad, llenar formularios, proporcionar firmas en tarjetas de firma, etc. Es habitual que el banco a petición del solicitante, proporcione una o más formas de identificación. Esta es la forma en que el banco verifica la identidad afirmada del solicitante. Si el banco, por ejemplo, acepta una licencia de conducción como una forma de identificación, entonces el banco realmente se basa en la integridad del procesamiento de los sistemas de la agencia estatal que expide la licencia de conducción de que el solicitante es quien ha afirmado ser.

El rastro de auditoría que el banco mantiene incluye todos los formularios que se pueden haber completado (que incluyen tarjetas de firmas) , copias de documentos importantes (tales como licencia de conducción) , y tal vez una foto tomada con propósitos de identificación. Este proceso destaca la confianza que se tiene en un proceso de identificación y autenticación verdadero en presencia física.

En el mundo electrónico, el escenario sería muy diferente. Un solicitante aparecería en el sitio web de registro del banco, ingresa la información afirmando una identidad y hace clic en un botón para continuar el proceso. Con este tipo de registro, el único rastro de auditoría, que el banco tendría es que una entidad de una determinada dirección IP aparece en el sitio web e ingresa determinada información. La entidad puede de hecho haber sido un dispositivo automatizado. La dirección IP que inicia la transacción es probablemente una dirección asignada dinámicamente que se emite a partir de un grupo de direcciones disponibles. En resumen, el banco realmente no tiene la garantía de identidad verdadera de la entidad que registra la cuenta.

Para resolver este problema, muchos proveedores de sitios de comercio electrónico han empezado a contar con mecanismos que no se producen como parte de la transacción electrónica real para ayudar a proporcionar garantía de que la transacción es auténtica. Estos mecanismos se denominan generalmente como mecanismos de “fuera de banda”. El mecanismo de autenticación fuera de banda utilizado con más frecuencia es enviar al usuario final un fragmento de correspondencia a través del Servicio Postal de los Estados Unidos u otros servicios de distribución similares. El fragmento de correspondencia enviado al usuario final contendrá algún fragmento de información que el sitio requiere que el usuario final posea antes de proceder con el registro.

2º

Al enviar algo (por ejemplo, un número de PIN) a través del correo, y luego solicitar que el usuario final utilice ese fragmento de información para “continuar” en el sitio web, el proveedor del sitio se basa en los efectos de disuasión de ser forzado a recibir un fragmento de correspondencia en un lugar, que incluye, pero no se limita a, las leyes federales que están destinadas a prevenir el fraude electrónico. El principal inconveniente de utilizar el correo es que es lento. Adicionalmente, no existe ningún rastro de auditoría. En esta época de la Internet, esperar “7 a 10 días” para que un paquete de correo llegue no es ideal para el consumidor o el sitio de comercio electrónico.

El documento DE19718103A1 describe un sistema que envía una contraseña a un usuario a través de una ruta de transmisión, tal como un teléfono celular, que es diferente a aquella utilizada por el dispositivo de entrada empleado para contactar el sistema, cuya contraseña luego se introduce en el dispositivo de entrada.

Un factor de autenticación es algo que se puede utilizar para verificar que alguien es quien él o ella dice ser. Los factores de autenticación generalmente se agrupan en tres categorías generales: algo que sabe, algo que tiene, y algo que es.

Un “algo que sabe” es un fragmento de información que solo, o tomado en combinación con otros fragmentos de información, debe ser conocido sólo por la entidad en cuestión o aquellos en quien la entidad en cuestión debe confiar. Los ejemplos son una contraseña, el nombre de soltera de la madre, número de cuenta, PIN, etc. Este tipo de factor de autenticación también se denomina como un “secreto compartido”.

Un secreto compartido sólo es efectivo si se mantiene en forma confidencial. Desafortunadamente, los secretos compartidos son a menudo demasiado fáciles de determinar. En primer lugar, el secreto compartido a menudo se deriva demasiado de la información que está relativamente ampliamente disponible (Número de Seguro Social, número de cuenta) . En segundo lugar, es difícil para un ser humano mantener un secreto que alguien también realmente quiere. Si alguien realmente quiere información suya, puede hacer un gran esfuerzo para conseguirla, ya sea preguntándole o preguntando a los que le rodean, directa o indirectamente, o al determinar la información de otros que puedan conocerlo.

Un “algo que tiene” es cualquier token físico que apoya la premisa de una identidad de la entidad. Ejemplos son claves, tarjetas con banda magnética y tarjetas inteligentes. Los tokens físicos de manera general, requieren algún mecanismo fuera de banda para suministrar realmente el token. Usualmente, es necesario algún tipo de presencia física (por ejemplo, un empleado que aparece en la oficina de recursos humanos para recoger y firmar por las llaves del edificio) .

Los tokens físicos proporcionan el beneficio agregado de no ser “capaces de ser diseñados por ingeniería social”, lo que significa que sin el token físico, cualquier cantidad de información conocida por una parte de mala reputación no sirve de nada sin el token. Una parte de confianza debe producir el token de una forma confiable.

Un “algo que es” es alguna característica de una persona que se puede medir y utilizar para identificar de manera única un individuo dentro de una población. Ejemplos son huellas dactilares, retina, tono de voz. Las capacidades biométricas ofrecen la mayor forma de autenticación de identidad disponible. Requieren algún tipo de presencia física y son capaces de representar características únicas de una persona que son extremadamente difíciles de falsificar.

Por ejemplo, el documento EP 0 444 351 A2 describe un sistema de seguridad controlado con contraseña de voz, en el que un ordenador instituye una llamada de voz a un teléfono asociado con un usuario. El ordenador solicita al usuario repetir una serie seleccionada de forma aleatoria de dígitos o una frase que consiste en un grupo de palabras. El ordenador luego compara la información de voz recibida en la línea de voz con la información de voz prealmacenada asociada con el supuesto usuario. El ordenador proporciona acceso a sus recursos si y sólo si se produce una coincidencia de voz.

Infortunadamente, los dispositivos... [Seguir leyendo]

1. Un sistema de red dual (10’) para emitir credenciales de seguridad que comprende:

un primer sistema (44) que consiste de un sistema de comunicación de red telefónica conmutada pública (44) , y un segundo sistema (26) , que es una red electrónica distinta del primer sistema (44) , por lo menos en parte;

un teléfono (46) acoplado al primer sistema (44) ;

una terminal de usuario (12, 14) acoplada al segundo sistema (26) ;

un sitio objetivo (30’) , en comunicación con la terminal de usuario (12, 14) a través del segundo sistema (26) cuando un visitante del sitio en la terminal de usuario (12, 14) se ha conectado al sitio objetivo (30’) a través de un navegador de Internet que corre en la terminal de usuario (12, 14) , el sitio objetivo que se dispone para llevar a cabo una transacción a solicitud del visitante en la terminal de usuario (12, 14) ; y

un servidor de autenticación/autorización (38’) dispuesto para ejecutar instrucciones para comunicarse con el visitante en la terminal de usuario (12, 14) a través del segundo sistema (26) ;

en donde:

el sitio objetivo (30’) se puede operar para solicitar que el visitante proporcione información de identificación, para confirmar un número telefónico con el visitante en el que se pueda ubicar al visitante, proporcionar al servidor (38’) el número telefónico confirmado, y dirigir al visitante al servidor (38’) ;

el servidor (38’) se puede operar para que visualice una página web y ejecute instrucciones para hacer una llamada, a través del primer sistema (44) , al número telefónico proporcionado del visitante, para remitir información de confirmación a la terminal de usuario (12, 14) del visitante, a través del segundo sistema (26) , y para solicitar, a través del primer sistema (44) , que el visitante hable o teclee la información de confirmación, visualizada en la terminal de usuario (12, 14) , para comparar la información de confirmación remitida con la información de confirmación recibida, y determinar si son las mismas, para devolver una respuesta al sitio objetivo (30’) , y para volver a dirigir al visitante al sitio objetivo (30’) ; y

el sitio objetivo (30’) se puede operar para determinar si el visitante ha cumplido los requerimientos de la transacción, y, si es así, emitir una credencial de seguridad electrónica al visitante a través del segundo sistema (26) .

2. Un sistema como en la reivindicación 1 en donde el segundo sistema (26) comprende un sistema telefónico conmutado con una porción inalámbrica.

3. Un sistema como en la reivindicación 2 en donde el enlace de comunicaciones del segundo sistema (26) se establece de forma simultánea con otro enlace de comunicaciones utilizando el primer sistema (44) .

4. Un sistema como en la reivindicación 1, 2 o 3, en donde el servidor (38’) se puede operar adicionalmente para solicitar que el visitante registre un contrato para los términos y condiciones de la transacción.

SISTEMA

PROVEEDORRED

DE SERVICIO ELECTRÓNICA VISITANTECOMPUTADOR SITIO

DEL SITIO PANTALLA OBJETIVO

REGISTROS DETELÉFONO VISITANTESAL SITIO

SERVICIO DEAUTENTICACIÓN/PSTN

AUTORIZACIÓN

RED TELEFÓNICACONMUTADA PÚBLICA

INSTRUCCIONESREGISTROS DEEJECUTABLES

TRANSACCIONES

FinancieroOctubre 8, 2000Lleva a conocimiento e inteligencia para inversiones globales INVERSIÓNFINANZAS PERSONALES SEGURO PAGAR FACTURAS

Servicio de ClienteABRIR UNA CUENTA

Acerca de XYZ Financiero

Contáctenos

BúsquedaVolver en línea a

Términos y CondicionesXYZ Financail.com

Declaración de Privacidad

Financiero

Lleva a conocimiento e inteligencia para inversiones globalesPAGAR FACTURAS

FINANZAS PERSONALES SEGURO

INVERSIÓN

Octubre 8, 2000

Acerca de XYZ Financiero

Registro

Más de XYZ Financiero CuentasdeInversión Cuentas de Retiro

Marque campos requeridos

Asesores Financieros XYZ Contáctenos

Primer Nombre Apellido

Dirección de Correo

Ciudad Estado

Código Zip País Estados Unidos Financiero

Lleva a conocimiento e inteligencia para inversiones globales

INVERSIÓNFINANZAS PERSONALES SEGURO PAGAR FACTURAS

Octubre 8, 2000

Acerca de XYZ Financiero

Número Telefónico Seleccionado

Más de XYZ Financiero

Cuentas de Inversión Para asegurar la seguridad de nuestras cuentas de clientes, elCuentas de Retirofinanciero XYZ realizará una llamada telefónica al registrante paraAsesores Financieros XYZ confirmar determinada información personal. Esta llamadatelefónica se realizará durante este proceso de registro, por lo tanto

Contáctenos se desearía conocer que número telefónico tiene disponible en lossiguientes pocos minutos para recibir una llamada automatizada. Siel único teléfono disponible es que se utiliza actualmente para suacceso a internet, por favor seleccione este número telefónico ysigua las indicaciones en la siguiente página.

Seleccione el número telefónico donde puede contactar los Servicios Financieros. Luego haga clic en Continuar:

Teléfono de trabajo:

Código de País ESTADOS UNIDOS Otro teléfono: Número telefónico: Extensión:

Financiero

Antes de llamar...

Si la siguiente declaración es correcta, haga clic en Llamarme Ahora y le llamaremos inmediatamente.Si es incorrecta haga clic en Repetir pregunta

Puede responder personalmente las llamadas telefónicas realizadas al

Al mismo tiempo mi ordenador está conectado a la internet y puedo leer la informaciónexhibida en la pantalla de mi computador mientras que utilizo el teléfono Financiero

Por favor espere nuestra llamada...

Durante la llamada se le pedirá que ingrese el siguiente númerode confirmación en su teléfonoNúmero de confirmación: 2092No utilice este navegador de web hasta que finalice la llamada Financiero

Escuche cuidadosamente su teléfonoNo utilice este navegador de web hasta que finalice lallamada Financiero

Antes de llamar...

Si la siguiente declaración es correcta, haga clic en Continuar Si es incorrecta haga clic en Repetir pregunta

Puede responder personalmente las llamadas telefónicas realizadas al Primero debo desconectar mi ordenador de la internet

Financiero

Antes de llamar...

Después de escribir su número de confirmación, haga clic en Continuar

Por favor escriba el siguiente número de confirmación ahora.Usted lo necesitarácuando le llamemos

Número de confirmación: 2825

CANCELAR

CONTINUAR

Financiero

Antes de llamar...

Después de escribir la siguiente dirección, haga clic en Continuar

Después de la llamada para completar su registro debe reconectar suordenador a la internet, dirija su navegador web a la siguiente dirección:www.finishregistration.com

Puede hacer clic aquí para agregar la dirección a su lista defavoritos del buscador

Financiero

Ya casi terminamos!

Para recibir la llamada, debe hacer clic en Llámeme en 1 minuto en el botónadelante, luego espere nuestra página de confirmación que se visualiza en su navegador

Aquí la información debe tener escrito:

su número de confirmación: 2825*

Después de la llamada dirija su navegador web a * www.finishregistration.com