ES2213774T3 - Sistema de identificacion sin indicacion. - Google Patents

Abstract

UN SISTEMA Y UN PROCEDIMIENTO DE IDENTIFICACION SIN TESTIGOS BASADOS PRINCIPALMENTE EN UNA COMPARACION CORRELATIVA DE MUESTRAS BIOMETRICAS UNICAS, TALES COMO LAS HUELLAS DIGITALES O EL REGISTRO DE LA VOZ, AGRUPADAS DIRECTAMENTE DE LA PERSONA DE UN USUARIO DESCONOCIDO, CON UNA MUESTRA BIOMETRICA AUTENTIFICADA DEL MISMO TIPO PREVIAMENTE TOMADA Y ALMACENADA (1). SE PUEDE CONECTAR EN RED PARA QUE ACTUE COMO INTERMEDIARIO TOTAL O PARCIAL ENTRE OTROS SISTEMAS INFORMATICOS INDEPENDIENTES (3), O PUEDE SER EL UNICO SISTEMA INFORMATICO QUE LLEVA A CABO TODAS LAS EJECUCIONES NECESARIAS.

Description

Sistema de identificación sin indicación.

Antecedentes

El uso de testigos y tarjetas de crédito en el mundo financiero actual se está ampliando. Las testigos quieren ser objetos inanimados que confieren la capacidad al usuario de presentar el objeto. El acceso remoto a muchas cuentas financieras se realiza a través de testigos o tarjetas de plástico. Hoy por hoy, se compra comida con tarjetas de débito o bienes de consumo con tarjetas de crédito, el eje principal de dicha transacción es posibilidad de realizar una transferencia monetaria gracias a los testigos, que actúan como identificadores del usuario y dan acceso a sus cuentas financieras.

La razón de la migración de las monedas de metal a las tarjetas de plástico es simple y sencilla: poder acceder al dinero con este sistema de transferencia de dinero es enormemente seguro y más conveniente tanto para los comercios como para los consumidores ya que se ahorran gestionar gran cantidad de monedas y notas.

Desafortunadamente, la tecnología actual en combinación con este sistema de transferencia de dinero basado en testigos resulta un sistema propenso al robo y al fraude.

La verificación de la identidad del usuario se basa únicamente en colocar datos suyos en los testigos, que pueden ser fácilmente reproducidos y transferidos entre usuarios, y por tanto, la seguridad se basa en la diligencia y la suerte del usuario autorizado y en mantener esta información como propietario del comercio. Por su naturaleza, los testigos no tienen una conexión muy fuerte con el usuario. Identificar el correcto propietario del testigo a través del propio testigo está poco fundado. Esto es fácilmente demostrable por el hecho de que tanto los usuarios en general como los correctos propietarios de los testigos pueden usar estos testigos para defraudar a los comercios y otros suministradores de bienes de consumo.

La gigantesca expansión de la industria del crédito al consumidor en los años 80 aportó grandes beneficios a este tema, y fue un nuevo descubrimiento para la comodidad de los consumidores. Además, como el crédito al consumidor resulta fácil de obtener para los consumidores, también resulta un objetivo para los criminales.

Inicialmente, la industria bancaria aceptaba una cierta cantidad de pérdida debido al fraude, pasando el coste al consumidor. Como los criminales están cada vez más organizados, más preparados técnicamente, y como las estaciones de venta al por menor de crédito están gestionadas por gente con conocimientos pobres en lo que refiere a seguridad de tarjetas de crédito, el margen de incremento del fraude se dispara. Las estadísticas en fraude y coste de acciones preventivos, han forzado en particular a las compañías de tarjetas de crédito, a buscar soluciones al problema.

Las pérdidas debidas al fraude en la industria de la tarjeta de crédito desde diferentes áreas son debidas a la alta vulnerabilidad de la naturaleza del sistema, pero también son debidas principalmente a tarjetas pérdidas, robadas o falsificadas. Las tarjetas de crédito operan sin el uso de un testigo de identificación personal (PIC), además las tarjetas de crédito perdidas pueden volverse en dinero en efectivo si caen en manos de equivocadas. Mientras que el robo del testigo constituye la mayor parte del fraude en el sistema, el uso de tarjetas de crédito falsificadas está en crecimiento. Las tarjetas de crédito falsificadas las fabrican criminales que utilizan una tecnología altamente sofisticada que adquieren el número de cuenta válido del propietario de la tarjeta y entonces la tarjeta falsificada utiliza dicho número válido. Los falsificadores codifican la banda magnética, y marcan con relieve en la tarjeta de plástico falsificado el número de cuenta. La tarjeta se presenta a los comercios y se carga en la cuenta correcta del propietario de la tarjeta. Otra forma de pérdida es a través de los comercios criminales que obtienen de manera no ética el número de cuenta correcto del propietario. Oro tipo de fraude se comete mediante la autorización del propietario de la tarjeta, cuando el testigo se utiliza para realizar compras y después de esto, se realiza una reclamación indicando que ha perdido el testigo o que ha sido robado. Se estima que las pérdidas debidas a estos tipos de fraudes exceden los 950 millones de dólares al año.

Generalmente, las tarjetas de crédito se utilizan conjuntamente con un código de identificación personal (PIC). Falsificar una tarjeta de débito es más difícil ya que el criminal debe adquirir no sólo el número de cuenta, sino también el PIC, y entonces fabricar la tarjeta como si fuera una muestra de la tarjeta de crédito. Además, se han utilizado diversas estrategias para obtener el PIC desde aprovechar que el propietario no es cauteloso hasta máquinas distribuidoras de dinero (cajeros automáticos) Trojan, o ATMs, en centros comerciales que tienen dispensadores de dinero que graban el PIC, o comercios en los que el dispositivo de punto de ventas graba también el PIC, o usuarios con binoculares que miran como los propietarios introducen los PICs en los ATMs. La subsecuente fabricación de tarjetas de débito falsificadas se utilizan actualmente en diversas máquinas ATM hasta la desgarciada cuenta está vacía.

La industria financiera ha perdido mucho en los gastos consecuencia del fraude, y constantemente toma acciones para mejorar la seguridad de la tarjeta. El fraude y la falsificación tienen un impacto indirecto en el coste del
sistema.

Las tarjetas en blanco se fabrican bajo muy estrechos controles de seguridad. Las hay individualizadas con el número de cuenta, fecha de caducidad, y los datos del propietario. El coste de fabricación y distribución de la tarjeta para la industria es aproximadamente de un billón de dólares al año. El coste para la industria financiera de la tarjeta estándar es de 2\textdollar por unidad, pero sólo 0,30\textdollar de estos 2\textdollar están asociados con el coste actual de fabricación.

Durante los últimos diez años, la industria ha modificado los códigos debido al fraude por falsificación, sin ningún cambio fundamental en el uso del sistema de transacción de crédito. La solución ha sido introducir en general cambios administrativos como tener centros de atención de usuario para facilitar al usuario la activación de su tarjeta. Otros cambios incluyen la adición de un holograma, una foto tipo carnet de identidad, o una zona ampliada de firma. Estos tipos de cambios particulares, son indicativos de que el sistema es susceptible al fraude, debido a la falta de identificadores verdaderos del usuario. Se estima que el coste de fabricación debe doblar los dos billones de dólares al año.

En un futuro cercano, la industria bancaria espera pasar a utilizar a una tarjeta de crédito más cara, llamada "tarjeta inteligente". Las tarjetas inteligentes contienen como muchos potentes ordenadores, algunos de los primeros ordenadores personales. La proyección de los costes actuales para la primera generación de tarjetas inteligentes se estiman en aproximadamente 3,50\textdollar, sin incluir los costes de distribución, que son significativamente superiores a los 0,30\textdollar de la tarjeta de plástico vacía.

El significante incremento en los costes ha forzado a la industria a buscar nuevos caminos para usar la potente tarjeta inteligente, además de la simple autorización de la transacción. Se está estudiando dar capacidad de almacenamiento a los números de cuenta del crédito y débito, la tarjeta inteligente podrá almacenar también algunos números de teléfono, las millas de vuelo obtenidas por usuarios frecuentes, cupones obtenidos en los almacenes, historia de las transacciones, caja electrónica válida para todos los sistemas de tránsito públicos, así como el nombre de usuario, estadísticas vitales y quizás incluso archivos médicos. Claramente, la industria financiera tiene tendencia a establecer el uso de los códigos.

El efecto colateral del incremento de las capacidades de la tarjeta inteligente es la centralización de las funciones. El incremento de la funcionalidad es también el incremento de la vulnerabilidad. Dado el número de funciones que la tarjeta inteligente puede admitir, la pérdida o el daño de esta tarjeta monstruo será un atroz inconveniente para el propietario de la tarjeta. Estar sin la tarjeta incapacita financieramente al propietario hasta que le sea reemplazada. Adicionalmente, perder completamente una tarjeta de dinero puede resultar ser una también una gran pérdida financiera real. Además no es posible realizar por los falsificadores una copia en un día de la tarjeta inteligente.

Desafortunadamente, debido a la concentración proyectada de funciones de la tarjeta inteligente, el propietario de la tarjeta queda más vulnerable a la pérdida o destrucción de la tarjeta por uno mismo. Después de gastar una importante de cantidad de dinero, el sistema resultante será mucho más seguro, pero amenaza de imponer fuertes impuestos y mayores penalizaciones si el propio usuario destruye o pierde su tarjeta.

La industria financiera reconoce que la seguridad de emisión asociada a la tarjeta inteligente, los constantes esfuerzos para que cada tarjeta de plástico se vuelva cada vez más segura, hacen que sean más difíciles de falsificar. A día de hoy, la industria de transacción financiera del consumidor utiliza una simple ecuación de balance: para reducir el fraude, el coste de la tarjeta debe ser incrementado.

En adición y asociado con las transacciones financieras electrónicas, existe actualmente una gran variedad de uso de faxes electrónicos, mensajes de correo electrónicos y comunicaciones electrónicas similares. Similar al problema de la falta de identificadores correctos de usuarios para las transacciones electrónicas, es el problema de la falta de identificadores correctos de usuarios para las transmisiones electrónicas. La facilidad y la velocidad de la comunicación electrónica, y su coste comparado con el correo convencional, hacen que exista un método para escoger la comunicación entre usuarios y negocios como uno desee. este tipo de comunicación ha crecido enormemente y se espera que continúe creciendo. Además, millones de mensajes electrónicos como los mensajes de faxes y de correo electrónico (o "E-mail" o "email") se mandan sin conocer cuando llegan a su correcto destinatario o que mensajes electrónicos están recibiendo o enviando ciertos usuarios. Además, no hay posibilidad de verificar la identidad del usuario que envía o recibe un mensaje electrónico.

Recientemente, varios atentados han hecho volver a pensar en los problemas inherentes en el sistema de códigos y de códigos de seguridad. Un mayor enfoque se ha realizado para encriptar, variar o modificar el PIC para hacer más difícil a un usuario no autorizado el que pueda realizar más de una transacción, en gran parte enfocado a la manipulación del PIC para hacer el código más resistente al fraude. Se han propuesto una gran variedad de acercamientos, como la introducción de un algoritmo que varía el PIC en un camino predecible conocido únicamente por el usuario, requiriendo un código PIC diferente para cada subsecuente acceso a una cuenta. Por ejemplo, el código PIC puede ser variado y hecho específicamente en función del día del calendario, o fecha del intento de acceso. Existen otros acercamientos, como introducir un elemento variable en el tiempo para generar un código de identificación personal no predecible que es revelado sólo al usuario autorizado en el momento de acceder. Para tener más resistencia al fraude, estos sistemas incorporan códigos no variables, como un acercamiento a la no virtual resistencia al fraude, porque continúa relacionado con los datos que no son únicos e irreproduciblemente personales del usuario autorizado. Además, cada sistema presenta el inconveniente al consumidor que debe estar recordando códigos constantemente, además de algunos que son variables. Ejemplos de estos acercamientos se indican en las patentes de Estados Unidos 4,837,422 de Dethloff et al.; 4,998,279 de Weiss; 5,168,520 de Weiss; 5,251,259 de Mosley; 5,239,538 de Parrillo; 5,276,314 de Martino et al.; y 5,343,529 de Goldfine et al.

Más recientemente, algunos han fijado su atención desde el uso de los códigos de identificación personal al uso de biométricas únicas basadas en la verificación de identidad, y últimamente en el acceso al ordenador. En este acercamiento, las biométricas autentificadas se graban desde la identidad de conocida del usuario y se almacenan para futuras referencias al testigo. En cada subsecuente intento de acceso, se requiere que el usuario introduzca físicamente las biométricas requeridas, que son comparadas con las biométricas autentificadas del testigo para determinar en dos etapas la verificación de la identidad del usuario. Por el hecho de que las biométricas son únicamente personales al usuario y porque el acto de introducir físicamente las biométricas es virtualmente irreproducible, una igualación putativa de la identidad actual, por lo que decrece el riesgo de fraude. Se han propuesto una variedad de biométricas, como las huellas dactilares, las huellas de la mano, las muestras vocales, las fotografías de la retina, muestras de escritura manual y otras. Por el hecho de que las biométricas se guardan generalmente en formatos electrónicos (y por tanto reproducibles) de los códigos y porque el proceso de comparación y verificación no es aislado de la maquinaria y ni del programa usado directamente por el intento de acceso del usuario, continúa existiendo un significante riesgo de acceso fraudulento. Ejemplos de estos acercamientos al sistema de seguridad se describen en las patentes de estados unidos 4,821,118 de Lafreniere; 4,993,068 de Piosenka et al.; 4,995,086 de Lilley et al.; 5,054,089 de Uchida et al.; 5,095,194 de Barbanell; 5,109,427 de Yang; 5,109,428 de Igaki et al.; 5,144,680 de Kobayashi et al.; 5,146,102 de Higuchi et al.; 5,180,901 de Hiramatsu; 5,210,588 de Lee; 5,210,797 de Usui et al.; 5,222,152 de Fishbine et al.; 5,230,025 de Fishbine et al.; 5,241,606 de Horie; 5,265,162 de Bush et al.; 5,321,242 de Heath, Jr.; 5,325,442 de Knapp; 5,351,303 de Willmore.

Tal como se puede apreciar en la discusión presentada, una dinámica pero inevitable tensión surge para intentar diseñar un sistema de seguridad que sea altamente resistente al fraude, pero por el contrario de fácil y conveniente uso para el usuario. Desafortunadamente, ninguna de las mejoras propuestas en la exposición anterior referentes al testigo y dirección adecuada del sistema de código adecuado, atenta mucho más al balance, esta tensión. Cada sistema generalmente almacena las biométricas autentificadas en formato electrónico directamente en el testigo y por tanto puede ser presumiblemente copiado. Además, cada sistema no está adecuadamente aislado del proceso de verificación de identidad desde el intento de estropearlo por alguien para conseguir un acceso no autorizado.

Un ejemplo de testigo basado en sistema de seguridad que relaciona biométricas de usuario se puede encontrar en la patente de Estados Unidos 5,280,527 de Gullman et al. En el sistema Gullman, el usuario debe llevar consigo y presentar la tarjeta de crédito tamaño testigo (referido a los aparatos de seguridad biométrica) contienen un microchip en el cual se graban las características de la voz del usuario autorizado. Para iniciar el procedimiento de acceso, el usuario debe insertar la testigo en el terminal como es el ATM, y después hablar dentro del terminal para suministrar la entrada de biométricas para comparar con la entrada autentificada almacenada en el microchip del testigo presentado. El proceso de verificación de identidad no se realiza generalmente aislado de los destrozos potenciales por un intento de acceso no autorizado. Si se realiza el acceso, el terminal remoto debe entonces señalar el ordenador central al que se le permite su acceso, o debe indicar al usuario un código adicional, como el PIN (almacenado en el testigo) antes de enviar la señal de verificación necesaria al ordenador central.

Además, la confianza de Gullman en la comparación de lo almacenado y la entrada biométricas reduce el riesgo del acceso no autorizado en comparación con los códigos numéricos, Gullman utiliza el testigo como repositorio de los datos autentificados combinado con el fallo de Gullman para aislar el proceso de verificación de identidad de la posibilidad de mayor destrozo, disminuye cualquier mejora para la resistencia al fraude resultante desde la sustitución de un código numérico con los biométricas. El sistema permanece algo sosegado y el inconveniente de usarlo requiere la presentación del testigo para poder inicializar un acceso cuando se requiere.

Casi uniformemente, patentes que muestran sistemas basados en testigos enseñan el reconocimiento biométrico sin el uso de testigos. Las razones citadas para cada margen de enseñanza, van desde requisitos de almacenamiento para sistemas de reconocimiento de biométricas para significar un lapso de tiempo en identificación de un gran número de usuarios, hasta incluso para los más potentes ordenadores.

La patente SU 5 335 288 muestra el sistema de reconocimiento biométrico sin utilizar testigo que almacena una imagen de la silueta de la mano de los usuarios. esta imagen se compara con una imagen obtenida en el subsecuente muestra de operación para intentar conjuntamente verificar o averiguar la identidad del usuario. En el sistema de verificación, cada imagen se asocia con el código PIN y, durante el subsecuente muestra de operación, el código de entrada de usuarios presenta su mano como imagen y realiza un chequeo de la imagen de la mano y del código PIN que ha sido almacenado. En el sistema de identificación, el usuario presenta sólo su mano para obtener una imagen y se realiza una búsqueda de las imágenes almacenadas para identificar el usuario. Las imágenes almacenadas deben ser agrupadas en un subconjunto basado en alguna característica de la mano.

En vista a lo expuesto, desde hace tiempo existe una gran necesidad para el sistema de acceso al ordenador que sea altamente resistente al fraude, práctico y eficiente para el usuario para operar y llevar a cabo transacciones electrónicas y transmisiones expeditivas.

Es también necesario por el sistema ordenador que sea completamente sin testigo y que sea capaz de verificar la identidad personal de un usuario, basado en el código de identificación personal y en biométricas ya que es la única persona física que autoriza al usuario, como oposición para verificar la posesión del individual de cualquier objeto físico que pueda ser transferido gratuitamente entre diferentes usuarios. Las biométricas deben ser fáciles de obtener y no intrusamente: deben ser fáciles de almacenar y con un coste efectivo y para analizar; y no deben indebidamente invadir los derechos de privacidad de los usuarios.

Una nueva necesidad en el diseño del sistema de acceso del ordenador es la conveniencia del usuario. Es altamente deseable para un consumidor poder acceder al sistema espontáneamente, en particular cuando se presente una necesidad inesperada, con un esfuerzo mínimo. En particular, hay la necesidad para el sistema que se reduzca enormemente o se elimine la necesidad de memorizar numerosos o algunos códigos, y que se elimine la necesidad de poseer, cargar y presentar un objeto propietario para inicializar un acceso requerido.

Los sistemas deben ser simples de utilizar, cuidadosos y fiables. Hay también la necesidad de que el sistema de acceso al ordenador permita al usuario acceder a múltiples cuentas y procurar todos los servicios autorizados al usuario, y realizar las transacciones en y entre todas las cuentas financieras, anotando los pagos de las compras realizadas, recibos de los diversos servicios, etc.

Existe también la gran necesidad de que el sistema de acceso del ordenador afronte un usuario no autorizado la habilidad de alertar a las autoridades que una tercera parte está coaccionando el usuario que requiere el acceso sin que la tercera parte sea consciente de que se ha generado una alerta. Existe también la necesidad en el sistema de sin embargo habilitar el efecto desconocido de la coacción de la tercera parte, restricciones temporales en los tipos y en las cantidades de transacciones que puedan ser comprometidas una vez se ha establecido el acceso.

Además, el sistema ordenador debe ser lo suficiente proporcionado y flexible para ser operativamente compatible con las redes existentes teniendo una variedad de transacciones electrónicas y configuraciones del sistema.

Finalmente, existe la necesidad de tener envío seguro y recepción de los mensajes de correo electrónico y faxes electrónicos, donde el contenido del mensaje electrónico esté protegido por la exposición de usuarios no autorizados, y la identidad del que envía o destinatario puede ser obtenido un alto grado de certeza.

Descripción de la invención

La presente invención satisface estas necesidades proporcionando un sistema de identificación mejorado que permite determinar la identidad de un usuario a partir de una comparación de una muestra biométrica del usuario y de un código de identificación personal recogidos durante la etapa de muestra con muestras biométricas, y códigos de identificación personal de dicho usuario durante la etapa de registro y almacenado en un sitio remoto donde está el centro procesador de datos. La invención comprende un sistema central de red de ordenadores con medios de comparación de las muestras biométricas introducidas y el código de identificación personal, y está equipado con una pluralidad de bases de datos y módulos de memoria. Además, la invención comprende aparatos de entrada biométricos y de entrada de códigos de identificación personal y terminales de introducción de los datos que proporcionan la información necesaria para la ejecución de las transacciones y transmisiones requeridas por el sistema central una vez se ha determinado la identidad del usuario. La invención comprende también medios de conexión del sistema central con el terminal y los aparatos de entradas biométricas.

El ordenador comprende también medios para ejecutar una variedad de transacciones y transmisiones adicionales al sistema tradicional de almacenamiento y modificación de datos. Adicionalmente, el ordenador puede evaluar la comparación entre biométricos - PIC (código de identificación personal), y puede determinar una evaluación de identificación, o estado de cualquier ejecución de transacciones o transmisiones. Además, el sistema de ordenador notifica y autentifica a los usuarios que están siendo identificados por el sistema de ordenador al que están accediendo, retornando al usuario un código privado que ha sido previamente seleccionado por el usuario durante la etapa de registro.

Preferentemente, el sistema de ordenador está protegido contra escuchas electrónicas, intrusiones electrónicas y virus. Además, los dispositivos utilizados por el ordenador para recoger las muestras biométricas y los códigos de identificación personal comprenden: a) al menos un dispositivo de entrada biométrica para recoger las muestras biométricas, el cual dispone de componentes de maquinaria y de programa; b) al menos un dispositivo terminal que está funcional, parcial o completamente integrado con los medios de entrada biométrica para introducir la información auxiliar añadida; c) al menos un dispositivo de entrada de datos para introducir un código de identificación personal donde dicho dispositivo de entrada de datos está integrado tanto con el dispositivo de entrada biométrica como con el dispositivo terminal; y d) medios para interconectar el dispositivo de entrada biométrica, el dispositivo de entrada de datos y el terminal. El dispositivo terminal tiene al menos un dispositivo visualizador que permite visualizar los datos y la información. Para una mayor seguridad el sistema de ordenador identifica únicamente los aparatos de entrada biométrica, y el contador parcial o del comercio gracias a un contador parcial o código de identificación del comercio relacionado con el terminal que está conectado al dispositivo de entrada biométrica. Preferentemente el aparato de entrada biométrica está protegido contra daños físicos y electrónicos, y en caso de rotura física del dispositivo, los medios se emplean para destruir física y/o electrónicamente componentes dentro del aparato y/o borrar datos críticos de los módulos de memoria del dispositivo.

Adicionalmente, el aparato de entrada biométrica puede tener una componente de maquinaria que comprende; a) por lo menos un módulo de computación para el procesado de datos; b) módulos de memoria borrable y no borrable para el almacenamiento de datos y programas; c) dispositivo de exploración biométrica para la introducción de datos biométricos; d) dispositivo de entrada de datos para la introducción de datos; e) un puerto de comunicación digital; f) un dispositivo para prevenir las escuchas electrónicas.

Para proteger la integridad y confidencialidad de los datos electrónicos enviados entre el aparato de entrada biométrica, el terminal y la red de ordenadores, es preferible que los datos estén encriptados y sellados.

El ordenador central de la red también está conectado y es posible comunicarlo con otros sistemas de ordenadores independientes, bases de datos, máquinas de faxes, y otras redes de ordenadores a través de medios convencionales.

El método descrito en la presente invención incluye la identificación voluntaria de un usuario sin hacer uso de ningún testigo, a través de los medios de examen de al menos una muestra biométrica proporcionada por el usuario y el código de identificación personal, proporcionado también por el propio usuario. Durante la etapa de registro, el usuario se registra en el sistema a través de una muestra biométrica autentificada, un código de identificación personal y un código privado. Después, durante la etapa de entrada, las muestras biométricas y el código de identificación personal del usuario se recogen y comparan con unos registros registrados durante la etapa de registro. La coincidencia de códigos de identificación personal y muestras biométricas permitirá tener la identificación positiva del usuario. Para autentificar la identidad del usuario que accede realmente en el sistema de ordenador, el código privado del usuario, el cual ha sido recogido durante la etapa de registro, y devuelto al usuario.

Es preferible que el método de la invención incluya un método para examinar las muestras biométricas durante el registro y la comparación de biométricos con una colección de muestras biométricas de usuarios que han sido elegidos por haber intentado previamente perpetrar o estar perpetrando actualmente, un fraude en el sistema.

Preferentemente, la invención incluye un método para notificar a las autoridades de la existencia de circunstancias que así lo exijan o que el usuario autorizado está bajo coacción.

Es preferible que el método de encriptación y sellado de datos se utilice para proteger los datos, incluyendo la digitalización de muestras biométricas, a que accidentalmente se revelen o se muestren a elementos criminales durante la transmisión.

Preferiblemente, el método incluye etapas para que el usuario pueda escoger diversas cuentas financieras, y escoger varios modos de transmisiones electrónicas.

Preferiblemente, el método incluye un método para archivar los datos y las transmisiones electrónicas, y recuperar los datos archivados utilizando un código de rastreo.

Es preferible que cualquier documento, como puede ser un fax o un mensaje de correo electrónico, se verifique únicamente utilizando un algoritmo para un futura identificación del documento.

Sin embargo, otro método para la invención es posibilitar la identificación rápida de un usuario a través de un examen de sus muestras biométricas y código de identificación personal mediante el almacenamiento de varias muestras biométricas no similares de diferentes usuarios en una cesta electrónica que es identificada a través de un código de identificación personal.

En una realización preferida de la invención, el sistema de ordenador puede permitir a los usuarios seleccionar su propio código de identificación personal (o "PIC") a partir de un grupo de PICs seleccionados a través del centro procesador de datos remoto. Esta característica está incluida en el método, en donde se recoge cada biométrico individual y el centro procesador de datos selecciona varios PICs aleatoriamente que son memorizados. El centro procesador de datos realiza una comparación de las biométricas recogidas con las de las cestas de PIC o de los grupos. En el caso de que la nueva biométrica a registrar sea muy parecida a cualquier otra biométrica registrada previamente que ha sido asignada a cualquiera de los grupos PIC seleccionados aleatoriamente, entonces dicho PIC es rechazado por la base de datos para el uso del nuevo usuario y se selecciona un PIC alternativo para realizar otra comparación biométrica. Una vez el centro procesador de datos ha generado varias opciones de PIC sin que exista una confusión biométrica similar, dichos PICs se presentan al nuevo usuario que se quiere registrar para que el usuario seleccione uno de estos PIC.

En una realización preferida de la invención, existe un método de búsqueda rápida de al menos una primera muestra biométrica almacenada previamente por el primer usuario, utilizando una cesta de códigos de identificación personal, que es capaz de contener al menos un único algoritmo seguido de una muestra biométrica que viene de al menos un segundo usuario, el cual es identificado por dicha cesta de códigos de identificación personal, que comprende, primeramente, una etapa de almacenamiento que además comprende: a) opcionalmente la selección de un código privado para el primer usuario; b) la selección de un código de identificación personal para dicho primer usuario; c) la introducción de una muestra biométrica de dicho primer usuario; d) la localización de la cesta de códigos de identificación personal identificada por el código de identificación personal seleccionado por dicho primer usuario; e) la comparación de una muestra biométrica tomada de dicho primer usuario con algunas muestra biométricas almacenadas previamente en dicha cesta de códigos de identificación personal seleccionados, para asegurar que la muestra biométrica introducida por dicho primer usuario es algorítmicamente única respecto de las almacenadas previamente de al menos una muestra biométrica proporcionada por al menos un segundo usuario, y; f) el almacenamiento de la muestra biométrica introducida por dicho primer usuario en la selección de la cesta de códigos de identificación personal, si dicha muestra es algorítmicamente única en al menos una muestra biométrica almacenada previamente de dicho al menos un segundo usuario. Existe además la etapa de entrada que comprende: a) la introducción de dicho código de identificación personal seleccionado por parte de dicho primer usuario, y b) la introducción de una muestra biométrica por parte de dicho primer usuario. Existe además la etapa de comparación que comprende: a) la búsqueda de la cesta de códigos de identificación personal que es identificada por dicho código de identificación personal introducido por dicho primer usuario, y; b) la comparación de la muestra biométrica introducida de dicho primer usuario de al menos una muestra biométrica almacenada de dicho al menos un segundo usuario en dicha cesta de códigos de identificación personal introducidos para obtener un resultado de identificación exitoso o fallido. También puede ser: a) una etapa de ejecución donde se procesa y ejecuta un comando para producir una determinación; b) una etapa de salida donde dicho resultado de identificación o dicha determinación se externaliza y visualiza, y; c) una etapa de presentación en la cual si la identificación de dicho primer usuario es exitosa, dicho código privado se presenta a dicho primer usuario.

De acuerdo con una realización de la invención, el sistema central se posiciona en serie entre el usuario a identificar y otras redes de ordenadores a las que se deben acceder, actuando como un interface. Se aprecia que en esta realización, el usuario proporciona una solicitud de acceso directamente al sistema de ordenador central de la invención, el cual es operacionalmente interactivo con otros sistemas de ordenadores seguros independientes como es el VISANET. El sistema de ordenadores debe mantener además las muestras de datos biométricos autentificados para todos los usuarios autorizados de cada sistema de ordenadores seguros que están operativos. Estos datos deben tener referencias cruzadas con cada usuario autorizado. Además, después de que la verificación de identidad se haya completado, el sistema de seguridad proporciona al usuario una lista de sistemas a los que está autorizado para poder acceder, e indica al usuario que seleccione la red deseada. Después de esto, la etapa de ejecución solicitada y la transacción de información, se reenvía a la red de ordenadores independientes seleccionados similar al tipo de comunicaciones enviadas en el día de hoy entre los comercios y las compañías de tarjetas de crédito.

En una segunda realización preferida, el sistema central puede realizar las funciones de otro sistema de ordenadores independientes, como puede ser la cuenta financiera de crédito o débito. En este sistema, el sistema de ordenador de la invención realiza las funciones requeridas por el usuario sin el uso de redes de ordenadores independientes y externas.

De acuerdo con la realización preferida de la invención, existen además medios para alertar a las autoridades predesignadas durante un intento de acceso en el cual el usuario, coaccionado por un contrario, solicita el acceso al sistema de ordenador central. En esta realización, muchos de los códigos de un usuario no autorizado, pueden ser reconocidos por el sistema de ordenador como códigos de acceso estándar, y otros son reconocidos como códigos de emergencia. Los medios de comparación del sistema de ordenador de la invención se configurarán para aceptar y reconocer al menos un código por usuario autorizado, y para activar los medios de alerta de emergencia cuando el código introducido por el usuario coincide con un código de emergencia. En el mismo momento, la determinación de una identidad autorizada por el usuario puede resultar que se le permita el acceso al sistema de ordenador seguro solicitado, tal vez en un nivel de acceso que ha sido predeterminado como restringido o tal vez resultando en enseñar datos que inducen a error (p.e. "pantallas falsas"), de este modo se evita la coacción de la parte tercera por el conocimiento de que el usuario ha introducido una notificación de emergencia. El código de emergencia puede ser introducido como parte o simultáneamente con el código de identificación personal o seleccionando un índice de la cuenta de emergencia durante el acceso al sistema de ordenador. En cualquier caso, el buen hacer del usuario solicitando acceso puede ser comprometido si la parte coaccionadora descubre que el usuario está intentando notificarlo a las autoridades. Por ello, es crítico que el procedimiento de acceso continúe ininterrumpidamente y que dicho acceso sea concedido a un usuario autorizado, ya que la parte que coacciona puede creer todo está funcionando normalmente. Por otra parte, estas características se pueden incorporar en la red del ordenador central de la invención, lo que hace posible que una red de ordenadores independientes pueda tener las mismas versiones o versiones modificadas de las características mencionadas arriba.

La presente invención es claramente ventajosa respecto a los documentos que constituyen el estado de la técnica por el número de vías que presenta. Primero, es extremadamente fácil y eficiente para el usuario, particularmente cuando el usuario está accediendo a cuentas financieras, ya que se elimina la necesidad de disponer y presentar cualquier testigo para poder acceder a las cuentas propias. La presente invención elimina todos los inconvenientes asociados al hecho de tener que poseer, guardar en un lugar seguro, y localizar cualquier testigo deseado. Además, ya que todos los testigos son frecuentemente específicos a cada sistema de ordenador particular, es necesario recordar el código secreto de acceso asignado al testigo en particular; en esta invención se elimina todo tipo de testigos y se reduce significativamente tener memorizar y trabajar, ya que incrementa los requisitos del usuario proporcionándoles acceso a todas las ventajas que presenta el hecho de utilizar sólo un código de identificación personal. Además, en la transacción sin testigo, el consumidor puede realizar virtualmente de manera eficiente y segura cualquier intercambio comercial o mensaje electrónico, desde disponer de dinero de la cuenta bancaria, hasta la autorización de su acuerdo con los términos del contrato, para realizar una compra directamente desde la televisión, pagando las tasas de propiedad local. El consumidor únicamente está autorizado, a través de los medios de esta invención, a canalizar convenientemente sus transmisiones electrónicas profesionales y/o personales en cualquier momento sin depender de testigos que pueden ser robados, perderse o dañarse.

La invención es claramente ventajosa desde el punto de vista de los distribuidores y las instituciones financieras ya que se pueden realizar compras y otras actividades financieras de manera menos molesta y más espontáneas. El papel de trabajo de las transacciones financieras se reduce significativamente en comparación con los sistemas actuales, como en el caso de las compras con tarjetas de crédito, en las que se generan recibos separados al usarlas, para la compañía de la tarjeta de crédito, para el comercio y para el cliente. Las transacciones electrónicas también ahorran considerablemente tiempo y gastos a los comercios y a los bancos, reduciendo enormemente los costes operacionales. Ya que el sistema de la invención está pensado para proporcionar al consumidor acceso directo simultáneo a todas sus cuentas financieras, la necesidad de realizar transacciones con dinero, cheques, papel comercial y similar se reduce enormemente, reduciendo el coste del equipamiento y accesorios necesarios para recoger y contabilizar las transacciones. Además, los costes de fabricación y distribución de emisión y remisión de tarjetas de crédito, tarjetas ATM, tarjetas de llamadas y similares se eliminan, proporcionando más ahorros económicos a los comercios, los bancos y finalmente a los consumidores. De hecho, el sistema de la invención, incita a realizar grandes economías, ya todos los recursos financieros electrónicos estarán disponibles a los consumidores, sin más que introducir su imprenta dactilar u otras biométricas.

La invención es claramente ventajosa y superior a los sistemas ya existentes desde el punto de vista de la alta resistencia al fraude. Tal como se ha expuesto anteriormente, los sistemas de ordenador actuales son inherentemente poco fiables ya que están basados en la determinación de la identidad física de los usuarios presentando un único objeto manufacturado con, en algunos casos, información que los usuarios conocen. Desafortunadamente, tanto los testigos como la información pueden ser transferidos por otras terceras personas, como consecuencia de la pérdida, el robo o una acción voluntaria del usuario autorizado. Por consiguiente, al menos que la pérdida o la transferencia indeseada de estos elementos se realice y se reporte por el usuario autorizado, cualquiera que posea dichos elementos será reconocido por los sistemas de seguridad existentes como el usuario autorizado a quien se le asigna el testigo y la información.

Por el contrario, la presente invención elimina virtualmente el riesgo de donar acceso a usuarios no autorizados ya que la determinación de la identidad del usuario se realiza a través de un análisis de las características biométricas de uno o más usuarios únicos. Incluso, en la muy rara circunstancia de la coacción, en la que un usuario autorizado es coaccionado por una tercera parte contraria para acceder a sus cuentas, el sistema anticipa un índice de cuenta de emergencia, en el que el usuario autorizado puede alertar a las autoridades de la transgresión sin el conocimiento de la parte coaccionante.

La invención incrementa además la resistencia al fraude a través del mantenimiento de los datos de autentificación e incorpora en el sistema las operaciones de verificación de identidad que están operacionalmente aisladas del acceso requerido por el usuario, para evitar que el usuario pueda obtener copias de los datos de autentificación o falsificar el proceso de verificación. El sistema es claramente superior a los sistemas ya existentes basados en testigos, ya que la obtención de la información de autentificación, se realiza a través de códigos personales, que se almacenan y pueden ser recuperados a través del testigo, donde la determinación de la identidad actual está potencialmente en contacto operacional con el usuario durante el proceso de acceso.

Es objeto de la presente invención, es proporcionar un sistema de identificación de acceso al ordenador que elimine la necesidad de que el usuario deba tener un objeto físico, como un testigo, para iniciar la solicitud de acceso al sistema.

Es otro objeto de la presente invención, proporcionar un sistema de identificación de acceso al ordenador que sea capaz de verificar la identidad del usuario, como oposición a la verificación de la posesión de información y objetos del propietario.

Es también otro objeto de la presente invención, verificar la identidad del usuario en base a una o más características personal físicas del usuario.

Es también otro objeto de la presente invención, proporcionar un sistema de acceso seguro práctico, conveniente y fácil de usar.

Otro objeto de la presente invención, es proporcionar un sistema de acceso seguro a un sistema de ordenador que es altamente resistente a los intentos de acceso fraudulento por parte de usuarios no autorizados.

Otro objeto de la presente invención, es proporcionar un sistema de identificación de acceso al ordenador que permita al usuario notificar a las autoridades que se requiere un acceso particular por coacción de una tercera parte sin notificar a dicha tercera parte dicha notificación.

Es también necesario que el sistema de identificación delimite automáticamente en el sistema de ordenador las capacidades transaccionales del usuario de acuerdo con la configuración de la configuración deseada provista por el usuario.

Estas y otras ventajas de la invención pueden ser completamente manifiestas cuando se lea la descripción de la invención conjuntamente con los dibujos que se acompañan.

Breve descripción de los dibujos

La Fig. 1 muestra un diagrama del sistema de la presente invención;

La Fig. 2 muestra un diagrama del Centro Procesador de Datos (DPC) y sus bases de datos internas y módulos de ejecución;

La Fig. 3 muestra un diagrama del terminal de venta del punto de venta, el aparato de entradas biométricas y sus componentes, y la interconexión existente entre ellos;

La Fig. 4 muestra un diagrama de flujo del funcionamiento del aparato de entradas biométricas y del terminal que genera el paquete solicitado;

La Fig. 5 muestra un diagrama representaciones del paquete requerido y de los datos opcionales y obligatorios que contiene.

La Fig. 6 muestra un diagrama representaciones del paquete respuesta y de los datos opcionales y obligatorios que contiene.

La Fig. 7 muestra un diagrama de flujo que representa el proceso de sellado y encriptación de los datos del dispositivo de entradas biométricas;

La Fig. 8 muestra un diagrama de flujo que representa el proceso de identificación de la parte de contador y desencriptación de los datos en el DPC;

La Fig. 9 muestra un diagrama de flujo que representa el proceso de sellado y encriptación de los datos en el DPC;

La Fig. 10 muestra un diagrama de flujo que representa el registro de un usuario durante el proceso de registro;

La Fig. 11 muestra un diagrama de flujo que representa el proceso de identificación del usuario y retorna un código privado al usuario;

La Fig. 12 muestra un diagrama de flujo del esquema del proceso realizado en el DPC y una etapa de ejecución;

La Fig. 13 muestra un diagrama de flujo de la solicitud de emergencia y proceso de respuesta en el DPC;

La Fig. 14 muestra un diagrama de flujo del proceso general de la ejecución de autorización de transacción en el DPC;

La Fig. 15 muestra un diagrama de flujo del proceso general de la etapa de ejecución de autorización de transacción en el DPC;

la Fig. 16 muestra un diagrama de flujo del proceso general de la ejecución de acceso a la cuenta del ATM en el DPC;

la Fig. 17 muestra un diagrama de flujo del proceso general de la ejecución de modificación del lote emisor en el DPC;

la Fig. 18 muestra un diagrama de flujo del proceso general de la ejecución del envío del documento electrónico y del envío del fax seguro en el DPC;

La Fig. 19 muestra un diagrama de flujo del proceso general de la ejecución de los datos del documento electrónico y los datos de fax seguro en el DPC;

La Fig. 20A es un diagrama representativo del paquete solicitante de firma electrónica;

La Fig. 20B es un diagrama representativo del paquete respuesta de firma electrónica;

La Fig. 20C es un diagrama representativo del paquete solicitante de verificación de firma electrónica;

La Fig. 20D es un diagrama representativo del paquete solicitante de verificación de firma electrónica;

La Fig. 21 muestra un diagrama de flujo del proceso global de la ejecución de firma electrónica en el DPC; y

La Fig. 22 muestra un diagrama de flujo del proceso global la de ejecución de verificación de firma electrónica en el DPC.

Descripción detallada de los dibujos

Tal como se indica, el objetivo principal de esta invención es proporcionar un aparato y un método sin testigo, seguro, fiable, de confianza y consistente, para identificar usuarios con el propósito de realizar transacciones tanto financieras como no financieras, y que admita una gran variedad de usuarios. Esta la esencia de la invención, que los usuarios tengan la posibilidad de realizar estas transacciones sin necesidad de utilizar un testigo, tarjetas de crédito, divisas o tarjetas de identificación incluyendo las licencias de uso. Para ser funcional, es importante que el sistema funcione a las velocidades requeridas por las transacciones financieras completas como los servicios de compras con tarjeta de crédito y ATM, desde múltiples bancos y cuentas de crédito. El sistema debe ser seguro, como los registros de usuarios y su información biométrica debe permanecer confidencial y segura, dentro del sistema de ordenador que identifica al usuario y autoriza las transacciones, o durante la transferencia de datos, entre el sistema de ordenador y los elementos remotos, con los que el sistema de ordenador se comunica. Además, el sistema debe ser seguro en lo que refiere a impedir los errores en la identificación y la autorización, y debe ser fácil de manejar. Desde el momento en que sólo se contempla el uso de biométricas para identificar a los usuarios, el sistema debe tener medidas de seguridad para reducir el acceso de cualquiera, incluso del usuario autorizado, o poder notificar a las autoridades en casos de emergencia. Se aprecia que el sistema debe poder gestionar un gran número de usuarios, y almacenar y transferir gran cantidad de datos, como es la información de bio-características, proporcionalmente a las velocidades a las que actualmente están operando las transacciones financieras.

Volviendo de nuevo a las figuras, la configuración global de la invención y sus componentes se muestra en la Fig. 1. Esencialmente, el Centro Procesador de Datos (DPC) 1 se conecta a varios terminales 2 a través de diversos medios de comunicación que pueden ser uno de varios tipos. El DPC está conectado y comunica con redes de ordenadores independientes 4. El DPC contiene varias bases de datos y módulos de ejecución de programas tal como se indica en la Fig. 2. En una realización preferida de la invención, las bases de datos están copiadas o "reflejadas" por motivos de seguridad. La máquina "corta fuegos" 5 es la responsable de prevenir la intrusión electrónica del sistema mientras que la máquina "pasarela" 6 es la responsable de realizar todas las peticiones del usuario, incluyendo la incorporación, eliminación o cualquier otro tipo de modificación de todas las bases de datos. La máquina "pasarela" es también responsable de desencriptar y desempaquetar los datos que han llegado desde los terminales a través del módulo MACM 7, módulo MDM 8 y módulo SNM 9. El módulo PGL 10, y el módulo IML 11 se utilizan para localizar el código de identificación más cercano y la cesta de muestras biométricas. La Fig. 3 describe un ejemplo de un terminal y de un dispositivo de entradas biométricas 12, que tiene una exploración biométrica 13, medios de entrada de datos como un teclado o un PIN 14, y un panel visualizador 15. La exploración biométrica puede cualquier escáner de la huella digital, reconocimiento de voz, escáner de la palma de la mano, escáner de retina o cualquier otro, aunque el escáner de la huella digital es que se usará como ejemplo. El dispositivo de entradas biométricas está equipado con módulos de cálculo 16, dispositivo driver, módulos de memoria borrables y no borrables. El dispositivo de entradas biométricas comunica con el terminal a través preferiblemente de un puerto serie 17. El terminal 2 comunica a través de un módem convencional 18 con el DPC 1 a través de los paquetes solicitados 19 y de los paquetes respuesta 20 usando uno de los diversos medios de interconexión de la Fig. 1 como una red de cable, redes de telefonía celular, redes telefónicas, Internet, red ATM, o X.25. La Fig. 4 muestra una representación de un diagrama del paquete solicitado 19 y su método de generación a través del programa dispositivo de entradas biométricas. La Fig. 5 y Fig. 6 muestran una representación de un diagrama del paquete requerido y del paquete respuesta con segmentos de datos opcionales y obligatorios. Además, muestra que partes de los paquetes están encriptados y que partes están selladas. La Fig. 7 muestra un diagrama de bloques del proceso global de encriptación y sellado de los datos, indicando el uso de datos clave DUKPT 20 para encriptar los datos antes de añadir los datos adicionales y antes de sellar el paquete solicitado con un Código de Autentificación de Mensaje (MAC) 21. Las Fig. 8 y Fig. 9 muestran el proceso de desencriptación y encriptación en el DPC. La Fig. 12 a través de la 19 y 21 y a través de la 22 muestran diagramas de bloques de ejemplos seleccionados de etapas de ejecución realizadas en el DPC.

La descripción de los dibujos, diagramas, diagramas de flujos y la descripción de la invención, incluyendo componentes de maquinaria, componentes de programa, módulos de ejecución, bases de datos, medios de conexión, transferencia de datos entre ellos, y el método de la invención se describen más detalladamente a continuación.

1.1 Aparato de entradas biométricas (BIA) 1.1.1. Introducción

El BIA es una combinación de maquinaria y programa cuyo trabajo consiste en recoger, codificar y encriptar las entradas biométricas para realizar la identificación de usuario. Todas las acciones de la BIA son llamadas directamente por una entidad de control externa, la cual distribuye comandos y recibe resultados de la línea serie de las BIA's.

La maquinaria BIA existe en cuatro versiones básicas: estándar, sin cables, teléfono integrado/televisión por cable (o "CATV")/fax, y ATM. Cada variante de maquinaria BIA se dirige a una necesidad particular en el mercado, y por el hecho de que se construyen con, cada variante tiene un diferente nivel de seguridad.

El programa BIA existe en siete versiones básicas: ordenador personal (PC), venta al por menor, ATM, registro, interno, salida e integrado remotamente. Cada programa cargado proporciona diferentes comandos específicos de uso. El programa registrado no acepta solicitudes de mensajes de transacciones de venta al por menor. El comando del programa al por menor no puede enviar mensajes de registro de usuarios. Para obtener otro nivel de seguridad, el DPC conoce que paquete de programa está cargado en cada BIA; cualquier intento de mandar un mensaje a través del BIA que normalmente no es capaz de mandar se rechaza, y se trata como una violación de seguridad de grado mayor.

La habilidad de la invención para detectar y combatir fraudes relacionados con mercancías se basa en el hecho de que el interface externo del BIA es estrictamente limitado, que la construcción del BIA hace extremadamente difícil que se puedan deteriorar los contenidos, que cada BIA tiene sus únicos códigos de encriptación que son conocidos sólo por el DPC, y que cada BIA puede sólo realizar operaciones limitadas a sus funciones designadas. Cada uno de los medios de entradas biométricas tiene un código de identificación maquinaria previamente registrado en el DPC, que hace que los medios de entrada biométricas únicamente identificables por el DPC en cada transmisión del dispositivo de entrada biométrica.

El BIA se construye con la suposición de que el terminal de control es una fuente de fraude y engaño. Los terminales abarcan aplicaciones de programa que funcionan en ordenadores personales hasta sistemas dedicados de maquinaria/programa desarrollado para un uso concreto como la venta al menor del punto de venta. Independientemente del modelo particular, ningún BIA revela información biométrica no encriptada. Los modelos BIA sin medios de visualización (como pantallas LCD, LED, o pantallas de cuarzo) deben revelar la información seleccionada (como son los códigos privados individuales) al terminal visualizador, y como resultado estas combinaciones BIA - terminales particulares son consideradas como menos seguras.

Dependiendo de la tarea en curso, los modelos BIA están parcial o totalmente integrados con el terminal. Los dispositivos integrados parcialmente están separados físicamente del terminal, e incluyen BIAs del punto de venta sin cables y estándar. Los dispositivos integrados totalmente están dentro del equipo físico del propio terminal; por ejemplo, un ATM, o un teléfono.

Ningún BIA nunca presenta ningún código de encriptación secreto a ninguna fuente externa.

1.1.2. Modelos BIA

Los modelos de máquina BIA particulares tienen diferentes configuraciones. A continuación se introducen brevemente:

BIA

El modelo estándar tiene un módulo de cálculo (p.e. módulos multichip), escáner biométrico (p.e. escáner de huella digital), medios de visualización (p.e. pantalla LCD), puerto de comunicaciones (p.e. puerto serie), medios de entrada de datos (p.e. un teclado de introducción de datos manual o PIC) alojados en una caja resistente a los golpes, y medios de detección electrónicos (p.e. escudo RF).

BIA sin cables

Modelo estándar, pero la línea serie es sustituida por un módulo de comunicaciones sin cable de ancho de banda, utilizando una antena externa. Utilizado en puntos de venta de restaurantes.

BIA/ATM

Presenta un escáner de mucha importancia y un puerto serie, junto con el módulo multichip. El hecho de que la pantalla LCD forme parte del terminal y no de los medios BIA disminuye la seguridad ya que debe revelar el código privado al terminal. Utilizado en ATMs.

BIA/Catv

Presenta un escáner de menor importancia, por lo demás es como el ATM. Utilizado en teléfonos, CATV remotos, y aparatos de fax. Seguridad débil, ya que el LCD y PIC forman parte del terminal y no del BIA, y por el natural bajo coste del mercado.

1.1.3. Mensajes de ajustes de comandos BIA

Cada comando de programa BIA proporciona un conjunto diferente de operaciones. A continuación se introducen brevemente cada una de ellas:

BIA/ATM

Acceso a cuentas

BIA/Catv

Autorización de transacción remota

BIA/Fax

Envío de fax seguro

Datos de fax seguro

Rastreo de fax seguro

Recuperar fax seguro

Rechazo de Fax Seguro

Archivo de Fax Seguro

Aceptación de Contrato de Fax Seguro

Rechazo de Contrato de Fax Seguro

Rechazo de Archivo de Documento Electrónico

BIA/Interno

Identificación de usuario

BIA/Emisor

Lote emisor

BIA/PC

Envío de Documento Electrónico

Datos de Documento Electrónico

Muestreo de Documento Electrónico

Recuperación de Documento Electrónico

Rechazo de Documento Electrónico

Archivo de Documento Electrónico

Recuperación de Archivos de Documento Electrónico

Sumisión de Firma Electrónica

Chequeo de Firma Electrónica

Autorización de Transacción Remota

Credencial de Red

Conexión Segura

BIA/Registro

Identificación de usuario

Registro Biométrico

BIA/Detalle

Autorización de Transacción

1.1.4. Maquinaria BIA: Modelo estándar

El maquinaria BIA Estándar es un módulo multichip combinado con un escáner de impresión única, una pantalla LCD, un puerto serie, y un PIC encajado en una carcasa resistente a los golpes que hace que los intentos de penetración sean resaltados mientras proporciona un escudo RF de los contenidos.

Los siguientes componentes están incorporados en el módulo multichip, llamado Módulo Multichip BIA (un proceso que permite encapsular diferentes procesadores en un físico, bien conocido por la industria), construido para proteger los caminos de las comunicaciones entre los dispositivos que pueden ser fácilmente cortocircuitados.

\bullet Procesador Serie

\bullet Procesador PIC

\bullet Procesador pantalla LCD

\bullet Procesador A/D escáner CCD

\bullet Procesador DSP de alta velocidad que contiene destello y máscara ROM

\bullet Microprocesador de objetivo general

\bullet RAM estándar

\bullet EEPROM

Los siguientes paquetes de programa y datos se almacenan en una máscara ROM (Memoria de sólo lectura). La máscara ROM es más barata que otro tipo de memoria de sólo lectura, pero son fácilmente reconfigurables, y no es borrable electrónicamente. Por consiguiente sólo ponemos aquí el código disponible más común y no crítico. (La máscara ROM es bien conocida por la industria).

\bullet Librería de cálculos MAC

\bullet Librería de gestión clave DUKPT

\bullet Librería de encriptación DES (con CBC)

\bullet Librería de conversión Base-64 (8-bit para impresión ASCII)

\bullet Librería de encriptación clave pública

\bullet Sistema operativo incorporado

\bullet Driver dispositivo en línea serie

\bullet Driver dispositivo LCD

\bullet Driver dispositivo PIC

\bullet Driver dispositivo de escáner

\bullet Código de identificación de máquina única

\bullet Perfiles multi-lenguajes

Los siguientes paquetes de datos estándar y de programa se almacenan en memoria Flash ROM. La memoria flash ROM es más cara, pero es mucho más difícil de reconfigurar, y mucho más importante, es borrable electrónicamente. Toda la información más crítica se almacena aquí. La memoria flash ROM se utiliza para incrementar la dificultad de duplicar un BIA. (Memoria flash ROM es bien conocida por la industria).

\bullet Tabla de claves futuras única DUKPT

\bullet Clave de MAC única 112-bit

\bullet Algoritmo de determinación de calidad biométrica DSP

\bullet Algoritmo de codificación biométrica DSP

\bullet Algoritmo de generación de números aleatorios

\bullet Tabla de funciones comando

El número de secuencia del mensaje, se incrementa cada vez que el mensaje se envía desde la BIA, se almacena en la EEPROM. La EEPROM puede borrarse varías veces, pero no es volátil, los contenidos se mantienen válidos aún con interrupciones de alimentación. (EEPROM es bien conocida por la industria).

Los siguientes datos se almacenan en la RAM. La RAM está temporalmente virgen, y se pierde cuando desaparece la alimentación.

\bullet Registro biométrico codificado

\bullet Registro PIC

\bullet Registro de código índice de cuenta

\bullet Registro de código índice de título

\bullet Registro de cantidad

\bullet Registro del nombre del documento

\bullet Clave de bloque PIC

\bullet Clave de mensaje

\bullet Clave de respuesta

\bullet Clave de sesión compartida

\bullet Clave de sesión privada

\bullet 8 Registros generales

\bullet Espacio de pila

Cada módulo multichip contiene una memoria "escribir una vez" que es irreversiblemente seleccionada durante la inicialización de la flash ROM. Cuando se realizan intentos para descargar programas de la Flash ROM, se verifica esta parte de la memoria; si ha sido bien seleccionada, entonces el BIA rechaza la carga. De esta manera, el programa crítico y las claves de datos pueden descargarse sólo en el dispositivo y durante el proceso de fabricación.

Todos los registros y claves se ponen explícitamente a cero cuando se cancela la transacción. Una vez se ha completado la transmisión, los registros se borran inmediatamente. Una vez se ejecuta el comando "mensaje forma", se borran también los registros biométricos, PIC y de códigos de índice de cuenta, con unas teclas de encriptación que no son necesarias para su siguiente uso.

Es importante que el programa no realice copias de registros o claves en pilas variables (conocidas en la industria).

Los siguientes componentes máquina asociados comprenden el módulo máquina BIA estándar.

\bullet Módulo multichip BIA

\bullet Escáner de impresión simple CCD

\bullet Base detector de capacidad (conocido por la industria)

\bullet Teclado PIC ligero

\bullet Pantalla LCD 2 líneas - 40 columnas

\bullet Blindaje RF

\bullet Carcasa resistente a los golpes

\bullet Conexión serie (más de 57.6kb)

\bullet Maquinaria de detección de recámara

\bullet Carga térmica opcional incorporada al módulo multichip (conocido por la industria)

Todos los medios de almacenamiento temporal, máquina interna y programa utilizados para calcular estos valores son seguros, dichos medios resisten cualquier intento para determinar sus valores actuales, o sus medios de funcionamiento. Esta característica es esencial para la seguridad de la invención, hasta el punto de que es crítico que el "cortocircuito" de un BIA y específicamente la acumulación de bloques PIC-biométricos para medios fraudulentos se realiza con la máxima dificultad posible.

El módulo multichip y los componentes están práctica y físicamente conectados a otro módulo sin necesidad de que exista cableado.

La protección expuesta de los componentes electrónicos del BIA se realiza durante la fabricación; no puede abrirse bajo ninguna circunstancia sin dañar significativamente la carcasa. Si se detecta cualquier apertura (o daño) en la protección , el BIA genera un cero electrónico de emergencia de una y todas las claves que residen en la flash ROM, seguido de todas las librerías de programas. Los métodos de detección internos específicos son confidenciales para el propietario.

Adicionalmente a la protección de los contenidos, la carcasa protege las operaciones internas de los detectores de señal RF.

Existen versiones superseguras de BIA en las que los métodos de detección internos están conectados a un mecanismo que físicamente destruye el módulo multichip de los métodos de detección.

1.1.5. Máquina BIA: Modelo sin cables

La versión sin cables de máquina BIA es idéntica al modelo estándar en construcción, excepto que exporta un módulo de comunicaciones sin cables de amplio espectro, usando una antena externa en lugar de un puerto serie externo.

Esta versión está diseñada para utilizar en restaurantes, donde las transacciones se autorizan mediante el acuerdo del cliente.

En las siguientes descripciones, los elementos añadidos a los elementos estándar se indican mediante el carácter +, mientras que los elementos eliminados de los elementos estándar se indican mediante el carácter -.

Módulo Multichip

- Registro de nombre de documento

- Clave de sesión compartida

- Clave de sesión privada

- Clave de mensaje

Componentes

- Puerto serie

+ Antena externa

+ Módulo serie sin cables de amplio espectro (conocido en la industria)

1.1.6. Máquina BIA: Modelo ATM

La versión ATM de la máquina BIA es un módulo multichip combinado con un escáner de impresión única de gran importancia y un puerto serie. Los componentes están colocados en una carcasa resistente a los golpes de intentos de penetrar mientras proporciona un escudo RF para los contenidos.

Esta versión está diseñada para ser devuelto en los puntos ATM. De la misma manera el escáner es un sensor de gran importancia y la construcción completa utiliza pantallas existentes y teclados propios del mismo ATM.

En las siguientes descripciones, los elementos añadidos a los elementos estándar se indican mediante el carácter +, mientras que los elementos eliminados de los elementos estándar se indican mediante el carácter -.

Módulo Multichip

- Registro Multichip

- Registro de nombre de documento

- Clave de sesión compartida

- Clave de sesión privada

- Clave de mensaje

Componentes

- Teclado PIC ligero

- Pantalla LCD 2 líneas - 40 columnas

Note que desde el ATM no tiene pantalla LCD o teclado PIC, realmente no tiene necesidad de dichos drivers de dispositivo en la máscara ROM.

1.1.7. Máquina BIA: Modelo teléfono/CATV

La versión teléfono/CATV de la máquina BIA es un módulo multichip combinado con un escáner de impresión único y un puerto serie. El módulo está físicamente incorporado al escáner, y está protegido por completo con plástico para hacerlo más resistente a los golpes. Algunos escudos RF se proporcionan para los componentes.

Esta versión está diseñada para integrarse a los teléfonos, controles remotos de televisores y aparatos de fax. Como resultado, hace uso de los teclados existentes y de las pantallas de televisión o LCD para introducir o visualizar valores. Utiliza las facilidades de comunicación del terminal central. Por ejemplo, el aparato de fax utiliza el módem incorporado en el fax y la televisión remota utiliza la red de cables del CATV.

Este modelo de máquina es, en comparación con otros modelos, relativamente insegura, pero se intenta este dispositivo tenga el coste menor posible, sea ligero de peso, y que se integre fácilmente con los dispositivos de coste bajo ya existentes.

Las versiones de alta seguridad con más prestaciones completas son posibles y alentadoras.

En las siguientes descripciones, los elementos añadidos a los elementos estándar se indican mediante el carácter +, mientras que los elementos eliminados de los elementos estándar se indican mediante el carácter -.

Módulo Multichip

- Registro de nombre de documento

- Clave de sesión compartida

- Clave de sesión privada

- Clave de mensaje

Componentes

- Teclado PIC ligero

- Pantalla LCD 2 líneas - 40 columnas

1.2. Programa BIA 1.2.1. Interface de comandos programa

El interface externo del BIA es parecido a un módem estándar; los comandos se envían desde un terminal controlador a través de una línea serie externa. Cuando un comando completa, un código de respuesta se envía desde el BIA al terminal.

Cada programa BIA carga soportes a diferentes conjuntos de operaciones. Por ejemplo, una carga al por menor soporta sólo autorizaciones de transacciones, mientras la carga de registro soporta identificaciones de usuarios y registros biométricos.

Todos los campos de datos BIA se imprimen en ASCII, con campos separados por el campo separador (o "fs") carácter control, y graba separadamente por nuevas líneas. Los campos encriptados son binarios de acuerdo a 64 bits ASCII usando la librería de conversión base-64 (todo conocido por la industria).

Algunos comandos no están disponibles en algunas configuraciones. Por ejemplo, el BIA ATM no puede "Obtención PIC", si no está adjunto al PIC. El BIA ATM soporta un comando de "Selección PIC".

Códigos de respuesta Fuera de tiempo

El tiempo asignado por el comando ha caducado. Se visualiza un mensaje a tal efecto en la pantalla LCD, si está disponible. Cuando el tiempo se agota para el comando dado, el BIA actúa si se ha pulsado el botón de cancelación.

Cancelación

El botón de cancelación ha sido pulsado, y la operación completa ha sido cancelada. Esto tiene el efecto de borrar toda la información que ha sido almacenada. Sevisualiza un mensaje a tal efecto en la pantalla LCD, si está disponible.

Ok

El comando ha sido exitoso.

Otros

Cada comando puede tener códigos de respuesta específica que son válidos sólo para ellos. Estos códigos de respuesta tienen generalmente texto acompañando al código, que se visualizará en la pantalla LCD si está disponible.

Mensaje

Indica que el comando está en funcionamiento, pero que el BIA quiere mandar un mensaje al terminal con un mensaje resultante interino. El resultado se visualiza en la pantalla LCD, si está disponible. Esta facilidad se utiliza para mostrar mensajes de estado.

Comandos

En la lista de argumentos de los comandos siguientes, los caracteres <> argumentos de usuarios, los caracteres [] argumentos opcionales y el carácter I indica que el argumento dado puede estar comprendido por uno de los escogidos presentados.

Selección de lenguaje <lenguaje-nombre>

Este comando selecciona desde uno de los diferentes lenguajes codificados en el BIA para mostrar la entrada de usuario.

Obtención de biométrico <tiempo> [primario/secundario]

Este comando es requerido por el BIA para activar su escáner para seleccionar la entrada biométrica del usuario, almacenándolo en el Registro Biométrico Codificado.

Primero, se visualiza en el panel LCD el mensaje "Por favor, coloque su dedo en el panel iluminado" y retorna al terminal. El escáner se ilumina, induce al usuario a introducir su biométrica.

El valor <tiempo> igual a cero indica que no hay límite de tiempo para la entrada de escáner biométrico.

Cuando se está en modo escáner, se realiza el escáner de la huella digital y se da un análisis preliminar a través del algoritmo de calidad de impresión. Si el escáner no es suficientemente bueno, el BIA continua tomando nuevos escáners hasta que el <tiempo> en segundos se acaba. Tal como va pasando el tiempo, se toman y se analizan las impresiones instantáneas de la impresora, los mensajes se marcan en la pantalla del ordenador y se envían al terminal en base a los problemas detectados por el programa de calidad de impresión. Si lo siguiente no se imprime con la calidad apropiada, el BIA devuelve un código de error de tiempo excedido, visualiza un mensaje a tal efecto en la pantalla LCD.

Una vez el algoritmo de calidad de impresión afirma la calidad en el escáner de la impresora, el detalle de impresión se extrae a través del algoritmo codificador de impresión. Sólo se selecciona un subconjunto de detalles al azar, teniendo en cuenta de retener suficiente para la identificación. Estos detalles se ordenan aleatoriamente, y son colocados en el Registro Biométrico Codificado.

Entonces el BIA responde con el código resultante exitoso

Si se especifica el primario/secundario (sólo disponible en el elemento comando de registro biométrico), entonces se selecciona el elemento detalle entero, no sólo el subconjunto pequeño. Por otra parte, la selección biométrica primario/secundario coloca la biométrica codificada en el registro adecuado.

Cuando sucede o no la operación, tan pronto como el escáner ha terminado, la luz que indica que el proceso de escáner se está realizando se apaga.

Es muy importante que la misma entrada biométrica produzca diferentes códigos, para complicar la tarea de que nadie intente descubrir los códigos de encriptación del BIA capturado. Esto se realiza a través de la selección de un subconjunto aleatorio y orden aleatorio de la biométrica codificada.

Obtención del PIC <tiempo>

Este comando requiere el BIA para completar el Registro PIC leyendo a través del teclado.

Primero, se visualiza en el visualizador LCD el mensaje "Por favor, introduzca su PIC, y a continuación pulse <entrar>" y se envía al terminal, las luces del teclado adecuado se encienden y entonces empiezan los escáners del teclado.

El escáner finaliza cuando se ha excedido el valor del número de segundos <tiempo>, o cuando el usuario introduce la clave "entrar".

Los dígitos del usuario del PIC no se visualizan en el panel LCD, pero por cada dígito que teclea el usuario, aparece una estrella "*" para realimentar al usuario. Cuando se pulsa la tecla "corrección", entonces el último dígito introducido se borra, permitiendo al usuario marcar los errores introducidos.

Cuando se acaba de introducir el PIC, la luz del teclado se apaga.

Si el proceso es exitoso, el comando vuelve al estado correcto.

Código índice de cuenta obtenida <tiempo>

Primero, se visualiza el mensaje "Ahora introduzca su código de índice de cuenta, y a continuación pulse <entrar>" en el LCD y se envía al terminal. Esto induce al usuario a introducir su código índice de cuenta. Cuando se pulsa cada tecla, aparece su valor en el panel LCD. El botón corrección se puede pulsar para borrar uno de los valores. Cuando se pulsa el valor "entrar", se selecciona el registro del código índice de cuenta.

Durante la introducción, la luz del teclado se mantiene encendida, y cuando se finaliza la introducción, la luz del teclado se apaga.

Si el proceso es exitoso, el comando vuelve al estado correcto.

Código índice de título seleccionado <tiempo>

Primero, se visualiza el mensaje "Por favor introduzca su código índice de título, y a continuaciónpulse <entrar>" en el LCD y se envía al terminal. Esto induce al usuario a introducir su código índice de título. Cuando se pulsa cada tecla, aparece su valor en el panel LCD. El botón corrección se puede pulsar para borrar uno de los valores. Cuando se pulsa el valor "entrar", se selecciona el registro del código índice de cuenta.

Durante la introducción, la luz del teclado se mantiene encendida, y cuando se finaliza la introducción, la luz del teclado se apaga.

Si el proceso es exitoso, el comando vuelve al estado correcto.

Cantidad validada <cantidad><tiempo>

El comando Cantidad Validada envía el mensaje "Cantidad <cantidad> Correcto?" al terminal, y lo visualiza en la pantalla LCD. Si el usuario confirma la cantidad pulsando el botón "sí" (o entrar), se selecciona el registro de cantidad a <cantidad>. El valor <cantidad> debe ser un valor numérico válido, sin caracteres de control o espacios, etc. Durante la indicación los botones sí, no o cancelar están encendidos. Una vez la indicación se ha completado, todas las luces se apagan.

Si el usuario introduce "no", entonces la transacción se cancela.

Cantidad Introducida <tiempo>

El comando Cantidad Introducida envía el mensaje "Introduzca la cantidad" al terminal, y lo visualiza también en la pantalla LCD. El usuario debe entonces introducir el mismo la cantidad en dólares. Cada carácter introducido se visualiza en la pantalla LCD. Todos los botones adecuados están encendidos. Si el botón pulsado está activo, el Registro de Cantidad se selecciona para ser el valor introducido en el teclado. Una vez la introducción se ha completado, todas las luces se apagan.

Documento Validado <nombre><tiempo>

El comando Documento Validado envía el mensaje ``Documento <nombre> correcto? al terminal, y lo visualiza en la pantalla LCD. Si el usuario confirma el documento pulsando el botón "sí" (o entrar), se selecciona el registro de nombre de documento a <nombre>. El <nombre> debe poderse imprimir en ASCII, sin caracteres de control, y sin dejar espacios. Durante la indicación, los botones sí, no o cancelar están encendidos. Una vez la indicación se ha completado, todas las luces se apagan.

Si el usuario introduce "no", entonces la transacción se cancela.

Registro asignado <registro><texto>

El comando de registro asignado selecciona el <registro> general designado al valor <texto>. Se utiliza para seleccionar información como es el código de comercio, la información de producto, y otros.

Obtención de la clave de mensaje

El comando Clave de mensaje hace que el BIA genere códigos aleatorios de 56 bit para ser usados por el control de máquina aleatoriamente para encriptar cualquier cuerpo del mensaje que el dispositivo controlador desee añadir al mensaje. Esta clave generada se devuelve a través del BIA en formato hexadecimal (conocido por la industria). La clave se añade al bloque PIC-biométrico.

Mensaje de forma <tipo=Identificación de Cuenta de acceso de transacción...>

El comando mensaje de forma da instrucciones al BIA para enviar un mensaje que contiene todos las informaciones que se han ido añadiendo. También se asegura que se han seleccionado todos los registros adecuados al mensaje específico <tipo>. Si no se han seleccionado todos los registros, el BIA retorna un error. El comando específico selecciona el programa que determinará que mensajes pueden estar formados por el modelo BIA; todos los demás serán rechazados.

Cada mensaje incluye un código de transmisión consistente en un único código de identificación máquina único de BIA y un número secuencial de incremento. El código de transmisión permite al DPC identificar el BIA enviado y detectar ataques.

El BIA utiliza el sistema de gestión clave DUKPT para seleccionar el bloque PIC-biométrico encriptado con clave DES de 56-bit desde la tabla de códigos futuros. Este código se utiliza entonces para encriptar el bloque PIC-Biométrico usando un bloque cifra (CBC). Además, se genera aleatoriamente una respuesta de la clave DES, y es utilizada por el DPC para encriptar las partes de la respuesta que necesitan ser encriptadas.

Nota: la segregación de la clave de respuesta del bloque PIC-biométrico es muy importante, porque cada clave encriptada se debe usar sólo en el contexto de sus responsabilidades. Si alguien intenta romper la codificación de claves de códigos privados, no resultará en la divulgación del PIC-biométrico.

El cloque PIC-Biométrico está formado por los siguientes campos:

Autorización Biométrica de 300 bytes

PIC de entre 4 y 12 dígitos

Clave de respuesta de 56 bits

Clave de mensaje de 56 bits opcional

El mensaje clave está sólo presente si el terminal de control solicita una clave de mensaje para este mensaje. El terminal de control encripta cualquier cuerpo del mensaje a la solicitud de autorización de transacción usando el mensaje clave.

Una vez se haya completado toda la encriptación, las salidas del BIA del cuerpo del mensaje solicitado apropiado (como es el mensaje de solicitud de autorización de transacción), terminado y protegido a través del Código de Autenticación de Mensaje.

El campo MAC se calcula usando el código secreto del BIA MAC DES de 112 bit y cubre todos los campos de los mensajes desde el primero al último. El MAC asegura al DPC que nada del mensaje ha cambiado efectivamente al sellar el mensaje, mientras continúan la totalidad de los campos a ser inspeccionados por el terminal de control.

Cuando el comando mensaje de forma se activa, el BIA manda el mensaje "Estoy hablando con la central del DPC" al terminal, y se visualiza en la pantalla LCD, indicando que el trabajo se está realizando tras la solicitud.

El comando devuelve correcto además de retornar el mensaje formado completo sobre el comando completo.

Presentación de respuesta <respuesta encriptada><tiempo>

El comando Presentación de respuesta da órdenes al BIA para que use el código de respuesta actual para desencriptar el código privado del sistema.

\newpage

Después de la desencriptación, se visualizan el código privado y los sonidos de campanas en la pantalla LCD durante <tiempo> segundos. Este comando transmite el código privado desencriptado al terminal de control.

Validación privada <validación encriptada><tiempo>

Este comando es utilizado por el terminal durante la sesión de comunicaciones de red seguras para preguntar al usuario como validar un mensaje desde una fuente externa. El mensaje se encripta en dos partes: la pregunta y la respuesta.

Después de recibir el comando privado validado, el BIA visualiza el texto del mensaje de la pregunta como "correcto <pregunta>?" en la pantalla LCD, pero lo no manda al terminal. Cuando el usuario valida la pregunta, la respuesta es encriptada por el BIA mediante la clave de sesión privada, y después es reenviada al terminal con el código de respuesta "correcto". Si el usuario no valida la pregunta, entonces el BIA devuelve el código de respuesta "fallido", junto con el texto "transacción cancelada, según su solicitud", que se visualiza también en la pantalla
LCD.

El terminal nunca permite visualizar el texto completo de cada una de las preguntas o respuestas.

Reinicialización

El comando reinicialización da órdenes al BIA de borrar todos los registros temporales, la pantalla LCD, todos los registros de claves temporales, y apaga todas las luces que están encendidas.

Selección del PIC <valor>

Este comando asigna el registro PIC del BIA al <valor>.

Permitir que un dispositivo no seguro suministre el PIC genera un problema potencial de seguridad, porque los dispositivos no seguros son mucho más vulnerables al cortocircuito o la sustitución.

Selección del código índice de cuenta <valor>

Este comando asigna el registro de código de índice del BIA al <valor>.

Permitir que un dispositivo no seguro suministre el PIC genera un problema potencial de seguridad, porque los dispositivos no seguros son mucho más vulnerables al cortocircuito o la sustitución.

Selección del código índice de título <valor>

Este comando asigna el registro de código de título del BIA al <valor>.

Permitir que un dispositivo no seguro suministre el PIC genera un problema potencial de seguridad, porque los dispositivos no seguros son mucho más vulnerables a la cortocircuito o la sustitución.

Selección de la cantidad <valor>

Este comando asigna el registro de la cantidad del BIA al <valor>.

Respuesta desencriptada <mensaje de respuesta encriptada>

El comando respuesta desencriptada da órdenes al BIA para usar su clave de respuesta actual para desencriptar la parte encriptada del mensaje de respuesta. Una vez desencriptado, la respuesta de devuelve al dispositivo de control, para ser visualizada en la pantalla LED del terminal ATM.

Facilitar esta desencriptación es un problema de seguridad, como también lo es el dejar el texto completo del BIA, el terminal tiene la habilidad de hacer con el lo que quiera.

1.2.2. Programa del BIA: Librerías de soporte

El programa del BIA está soportado por diferentes librerías de programas. Algunas de ellas son estándar, generalmente librerías disponibles, pero algunas otras presentan requisitos especiales en el contexto del BIA.

1.2.2.1. Generación de números aleatorios

El BIA está constantemente seleccionando claves DES aleatorias para utilizar en el cuerpo del mensaje y en la encriptación del mensaje respuesta, es importante que estas claves seleccionadas sean claves impredecibles. Si el generador de números aleatorios está basado en la hora del día, o en algún otro mecanismo predecibles externamente, entonces las claves de encriptación serán mucho más fácilmente predecible por un adversario que intenta conocer el algoritmo. Para asegurar la seguridad de las técnicas de encriptación usadas en el BIA, se considera que tanto el algoritmo generador de números aleatorios como los algoritmos de encriptación son públicamente conocidos.

En ANSI X9.17, apéndice C (conocido por la industria) se define un algoritmo de números aleatorios estándar para generar claves DES.

1.2.2.2. Algoritmos de codificación biométricos DSP

El algoritmo de codificación biométrico es un algoritmo propietario para localizar los detalles que han sido formados a través de los extremos de la cadena y las bifurcaciones en las huellas dactilares humanas. Se almacena una lista completa de detalles almacenados como referencia en el DPC, mientras el algoritmo solicita sólo una lista parcial para realizar una comparación entre una identificación del candidato y un usuario registrado.

Durante la identificación de ambos registros biométricos, el algoritmo de codificación asegura que se localicen los detalles necesarios antes de la finalización de la etapa de entrada biométrica.

1.2.2.3. Drivers de dispositivo y sistema operativo

El BIA es un entorno de computación en tiempo real, y como tal requiere tener incorporado un sistema operativo en tiempo real. El sistema operativo es el responsable de realizar interrupciones en los dispositivos y tareas programadas.

Cada driver de dispositivo es responsable del interface entre el sistema operativo y la maquinaria específica, como es el driver dispositivo PIC, o el driverdispositivo de escáner CCD. La maquinaria es la fuente para las instrucciones como son "pulsar la tecla PIC" o "escaneo del escáner CCD completo". El driver dispositivo actúa en la interrupción, interpreta los instrucciones, y toma acciones en las instrucciones.

1.2.2.4. Librería de encriptación DES

Existen una pluralidad de implementaciones DES disponibles. Las implementaciones DES proporcionan una clave secreta - basada en la encriptación desde texto completo hasta texto cifrado, y desencriptación desde texto cifrado hasta texto completo, a través de claves secretas de 56 bits.

1.2.2.5. Librería de encriptación de clave pública

Las librerías de soporte de encriptación de claves públicas están disponibles en socios de claves públicas, soportes de patentes de claves públicas RSA (conocido por la industria). Los sistemas encriptados de claves públicas son sistemas de encriptación asimétrica que permiten la comunicación sin requisitos de coste de cambio de claves secretas. Para usar el sistema de encriptación de claves públicas, la clave pública se utiliza para encriptar la clave DES, y entonces la clave DES es utilizada para encriptar el mensaje. El BIA utiliza sistemas de encriptación de claves públicas para proporcionar un cambio seguro de las claves secretas.

Desafortunadamente, los sistemas de claves públicas son significativamente mucho menos probados que los sistemas de claves secretas, y por consiguiente existe un nivel menor de confidencialidad en estos algoritmos. Como resultado, la invención utiliza criptografía de códigos públicos para las comunicaciones seguras e intercambio de credenciales cortas en directo, y el no almacenamiento durante mucho tiempo de secretos. Tanto el usuario final como el banco son identificados por el DPC para crear la red de credenciales. La red de credenciales incluye tanto la identificación del usuario final como el contexto de la conexión. (p.e. la fuente TCP/IP y la destinación de los puertos).

1.2.2.6. Librería de gestión de claves DUKPT

La única clave derivada para la librería de gestión de claves de transacción DUKPT se utiliza para crear futuras claves DES dando una clave inicial y un número de secuencia de mensaje. Las claves futuras se almacenan en la Tabla de claves futuras. Una vez usada, la clave dada se borra de la tabla. Las claves iniciales se utilizan sólo para generar la tabla de claves futuras iniciales. Además, la clave inicial no es almacenada por el BIA.

El DUKPT se utiliza para crear el mecanismo de gestión que proporciona diferentes claves DES para cada transacción, sin dejar rastro de la clave inicial. Las implicaciones de esto es que inclusive cuando ha habido una captura con éxito y el análisis detallado de la tabla de códigos futuros dada no revela mensajes que han sido enviados previamente, que es un objetivo muy importante cuando el tiempo de vida efectivo de la información transmitida es de una década. El DUKPT se especifica completamente en el ANSI X.924 (conocido por la industria).

El DUKPT fue desarrollado originalmente para dar soporte a los mecanismos de encriptación de transacciones de tarjetas de débito. En este entorno, era crítico proteger todas las transacciones. Se supuso que los registros criminales de transacciones encriptadas durante un período de seis meses, y después capturadas y extraídas con éxito el código de encriptación desde el PIC. El criminal puede crear una nueva tarjeta de débito falsificada para cada mensaje que haya sido transmitido durante un período de tiempo superior a los seis meses. Con el DUKPT, el criminal no puede desencriptar mensaje previos (los nuevos mensajes podrán ser desencriptados si el criminal intenta remplazar el PIC subsecuente a la disección).

En la situación del PIC biométrico, el criminal ha tenido tiempo suficiente, incluso si los mensajes están desencriptados, pasando a un PIC biométrico digital en la huella digital física es mucho mas duro que pasar a un PIC número de cuenta en la tarjeta de plástico, el cual es uno de los beneficios más significativos del sistema sin testigo.

Además, si el criminal puede desencriptar, encriptar con medios que le permiten enviar electrónicamente un PIC biométrico al sistema para autorizar una transacción fraudulenta. Mientras esto sea realmente difícil, es mejor restringir las opciones disponibles a los criminales lo máximo posible, mediante el uso del DUKPT.

1.3. Selección de comandos de programa BIA 1.3.1. Programa BIA: Selección de comandos al detalle

El interface de programa detalle/BIA exporta un interface que permite a los terminales de puntos de venta específicos interactuar con el sistema.

El interface de programa detalle/BIA está diseñado para permitir al terminal efectuar la siguiente operación:

Autorización de transacción

Para implementar estas operaciones, el detalle/BIA proporciona el conjunto de comandos siguientes:

Selección de lenguaje <lenguaje-nombre>

Obtención de biométrico <tiempo>

Obtención de PIC <tiempo>

Asignación de registro <registro><valor>

Obtención de código de índice de cuenta <tiempo>

Cantidad validada <cantidad><tiempo>

Cantidad introducida <tiempo>

Formación de mensaje <tipo>

Presentación de respuesta <respuesta encriptada><tiempo>

Reinicialización

1.3.2. Programa BIA: Selección de comandos CATV (Integrado Remoto)

El interface de programa BIA/CATV exporta un comando seleccionado que permite integrar los terminales con los BIAs teléfono/CATV para interactuar con el sistema. Se realiza la siguiente operación:

Autorización de transacción remota

Para implementar esta operación, el BIA/CATV proporciona el conjunto de comandos siguientes:

Obtención de biométrica <tiempo>

Selección de PIC <texto>

Registro asignado <registro><texto>

Código de índice de cuenta seleccionado <texto>

Formación de mensaje <tipo>

Respuesta desencriptada <mensaje de respuesta encriptado>

Reinicialización

1.3.3. Programa BIA: Selección de comandos FAX integrados

El interface de programa BIA/Fax exporta un comando seleccionado que permite integrar los terminales con el BIA fax para interactuar con el sistema. Se realizan las siguientes operaciones:

Envío de fax seguro

Datos de fax seguro

Rastreo de fax seguro

Recuperación de fax seguro

Rechazo de Fax Seguro

Archivo de Fax Seguro

Aceptación de Contrato de Fax Seguro

Rechazo de Contrato de Fax Seguro

Rechazo de Archivo de Documento Electrónico

Para implementar estas operaciones, el BIA/Fax proporciona el siguiente conjunto de comandos:

Obtención de biométrico <tiempo>

Ajuste de PIC <texto>

Código índice de título seleccionado <texto>

Registro asignado <registro><valor>

Obtención de clave de mensaje

Formación de mensaje <tipo>

Respuesta desencriptada <mensaje de respuesta encriptada>

Reinicialización

1.3.4. Programa BIA: Conjunto de comandos de registro

El interface de programa BIA/Reg exporta un interface que permite que ordenadores que operan en general interactúen con el sistema que identifica y registro a los usuarios. Se realizan las siguientes operaciones:

Identificación de usuario

Registro biométrico

Para soportar estas operaciones, el BIA/Reg realiza las siguientes operaciones:

Selección de biométrico <tiempo>

Obtención de biométrico <tiempo> primario/secundario

Obtención de PIC <tiempo>

Asignación de registro<registro><texto>

Obtención de clave de mensaje

Formación de mensaje <tipo>

Presentación de respuesta <respuesta encriptada><tiempo>

Reinicialización

1.3.5. Programa BIA: Ajuste de comandos PC

El interface de programa BIA/PC exporta un conjunto de comandos que permiten que ordenadores en general puedan enviar, recibir y firmar documentos electrónicos, conducir transacciones a través de la red, y proporciona credenciales biométricas derivadas a los diferentes elementos de la red. Se realizan las siguientes operaciones:

Envío de documento electrónico

Datos de documento electrónico

Rastreo de documento electrónico

Recuperación de documento electrónico

Rechazo de documento electrónico

Archivo de documento electrónico

Recuperación de archivo de documento electrónico

Envío de firma electrónica

Verificación de firma electrónica

Autorización de transacción remota

Credencial de red

Conexión segura

Para dar soporte a estas operaciones, el BIA/PC proporciona el conjunto de comandos siguientes:

Selección de lenguaje <lenguaje-nombre>

Obtención de biométrico <tiempo>

Obtención de PIC <tiempo>

Obtención de código de índice de cuenta <tiempo>

Validación de cantidad <cantidad><tiempo>

Introducción de cantidad <tiempo>

Validación de documento <nombre><tiempo>

Asignación de registro <registro><texto>

Obtención de clave de mensaje

Formación de mensaje <tipo>

Mostrar respuesta <respuesta encriptada><tiempo>

Validación privada <validación encriptación><tiempo>

Reinicialización

1.3.6. Programa BIA: Selección de comando emisor

El interface de programa BIA/Iss exporta un interface que permite que ordenadores en general puedan interactuar con el sistema para autentificar y enviar los lotes de cambio solicitados. Se realizan las siguientes operaciones:

Lote emisor

Para implementar esta operación, el BIA/Iss proporciona el siguiente conjunto de comandos:

Selección de lenguaje <lenguaje-nombre>

Obtención de biométrico <tiempo> primario/secundario

Obtención de PIC <tiempo>

Asignación de registro <registro><valor>

Obtención de clave de mensaje

Formación de mensaje <tipo>

Mostrar respuesta <respuesta encriptada><tiempo>

Reinicialización

1.3.7. Programa BIA: Conjunto de comandos internos

El interface de programa BIA/Int exporta un conjunto de comandos que permiten que ordenadores que operan en general puedan interactuar con el sistema para identificar a los usuarios. Se realizan las siguientes operaciones:

Identificación individual

Para implementar esta operación, el BIA/Int proporciona el siguiente conjunto de comandos:

Selección de lenguaje <lenguaje-nombre>

Obtención de biométrico <tiempo>

Obtención de PIC <tiempo>

Asignación de registro <registro><valor>

Obtención de clave de mensaje

Formación de mensaje <tipo>

Mostrar respuesta <respuesta encriptada><tiempo>

Reinicialización

1.3.8. Programa BIA: Conjunto de comandos ATM

El interface de programa BIA/ATM exporta un conjunto de comandos que permiten que los ATMs puedan identificar a los usuarios. Se realizan las siguientes operaciones:

Cuenta de acceso

Para implementar esta operación, el BIA/ATM proporciona el siguiente conjunto de comandos:

Obtención de biométrico <tiempo>

Selección de PIC <texto>

Selección de código de índice de cuenta <registro><valor>

Asignación de registro <registro><valor>

Formación de mensaje <tipo>

Desencriptación de respuesta <mensaje de respuesta encriptada>

Reinicialización

1.4. Terminales 1.4.1. Introducción

El terminal es el dispositivo que controla el BIA y conecta al DPC vía módem, conexión X.25 o conexión Internet-métodos todos bien conocidos por la industria. Los terminales son de diferentes formas y tamaños, y requieren diferentes versiones de BIA para poder realizar sus tareas. Cualquier dispositivo electrónico, que utiliza comandos emisores para recibir resultados desde el dispositivo de entrada biométrica, puede ser un terminal.

Algunos terminales tienen programas de aplicación que funcionan en microordenadores que operan en general, mientras que otros terminales son combinaciones de configuraciones de programa y maquinaria especiales.

Mientras el terminal es crítico para el funcionamiento del sistema, el propio sistema no da ninguna garantía al terminal. Siempre que un terminal proporciona información al sistema, el sistema lo valida siempre de alguna manera, a través de la presentación del usuario para confirmar, o para chequear de manera cruzada con la información registrada previamente.

Mientras los terminales están preparados para leer algunas partes de los mensajes del BIA para validar que el data haya sido procesado correctamente por el BIA, los terminales no pueden leer información de identificación biométrica que incluye la biométrica, el PIC, encriptación de claves, o códigos de índices de cuentas.

BIAs específicos exportan algunas funcionalidades de seguridad al terminal, como la entrada del PIC, y la visualización del código privado. Como resultado, dichos dispositivos son considerados de alguna manera menos seguros que sus contrapartidas totalmente autocontenidas y por consiguiente, tienen calificaciones de seguridad inferiores.

Existen diferentes tipos de terminales; cada uno está conectado a un modelo específico de BIA. Cada tipo de terminal se describe brevemente a continuación:

ATM (Mecanismo de Cajero Automático)

La integración de BIA/ATM con la carga de programa ATM proporciona el PIC-biométrico de acceso al cajero dispensador ATM.

BRT (Terminal de registro biométrico)

El BIA estándar con el programa de registro cargado al microordenador proporciona a los bancos la habilidad para registrar nuevos usuarios al sistema con sus cuentas de valores financieras y otra información personal.

CET (Terminal de correo electrónico certificado)

El BIA estándar con el programa de PC cargado al microordenador permite que los usuarios con capacidad para enviar, recibir, archivar, rechazar y rastrear mensajes de correo electrónico certificado.

CPT (Terminal de venta del punto de venta Cable-TV)

El BIA estándar con la carga del programa CATV incorporado al CATV de banda ancha permite que los usuarios con televisión (o TV) - biométrica remotos con capacidad para autorizar compras realizadas a través de la televisión.

CST (Terminal de servicio de usuario)

El BIA estándar con el programa interno cargado a un sistema microordenador autoriza a los empleados a construir la base de datos necesaria con el propósito de atención al cliente.

EST (Terminal de firma electrónica)

El BIA estándar con el programa del ordenador personal cargado a un microordenador autoriza a los usuarios con capacidad de construir y verificar firmas electrónicas en documentos.

IPT (Terminal de venta de punto de venta Internet)

El BIA estándar con el programa del ordenador personal cargado a un microordenador autoriza a los usuarios con conexión a Internet la capacidad de comprar productos desde un comercio que está conectado a Internet.

IT (Terminal Emisor)

El BIA estándar con el programa emisor cargado a un microordenador autoriza a los bancos con la capacidad de enviar paquetes de cambio de las cuentas de valores al DPC.

m (Terminal de cajero Internet)

El BIA estándar con el programa de ordenador personal cargado a un microordenador con una conexión a Internet proporciona usuarios con la capacidad de realizar transacciones con su banco en Internet favorito.

PPT (Terminal de venta de punto de venta teléfono)

El BIA/CATV con el programa CATV integrado al teléfono proporciona usuarios con la capacidad de autorizar transacciones a través del teléfono.

RPT (Terminal de venta de punto de venta al detalle)

El BIA estándar con el programa detalle cargado a una red X.25 o usando un módem permite a los usuarios comprar productos a través de autorizaciones de transacciones almacenadas.

SFT (Terminal fax seguro)

El BIA/CATV con el programa Fax integrado con el aparato de fax proporciona usuarios con la capacidad de mandar, recibir, rechazar archivos, y rastrear mensajes de fax seguros.

1.4.2. Terminal: Terminal de venta de punto de venta al detalle 1.4.2.1. Objetivo

El objetivo del RPT es permitir a los usuarios comprar productos almacenados sin tener que usar efectivo, cheques o tarjetas de crédito o débito.

El RPT utiliza un BIA/detalle para autorizar transacciones financieras tanto de un usuario como de un comercio. Además se utiliza para aceptar autorizaciones PIC-biométricos, el RPT proporciona también las funciones de escáner estándar de tarjetas de crédito y débito.

Sólo las transacciones biométricas relatadas se describen a continuación en detalle. Se asume que el RPT puede estar formado por lectores de tarjetas estándar de banda magnética de débito y crédito, como también lectores de tarjetas inteligentes opcionales.

1.4.2.2. Construcción

Cada RPT está conectado al DPC a través de un módem, una conexión a la red X.25, una conexión RDSI (Red Digital de Servicios Integrados), o mecanismos similares. El RPT puede conectarse también a otros dispositivos, como un caja registradora electrónica, desde el cual se obtiene la cantidad de la transacción y el código del comercio.

El RPT consiste en:

\bullet un BIA/Detalle

\bullet un microprocesador no caro

\bullet maquinaria interface módem a 9.6 Kb/red X.25

\bullet número del código de identificación del comercio en memoria RAM no volátil.

\bullet un puerto serie DTC para conectar al BIA

\bullet lector de tarjetas de banda magnética (conocido por la industria)

\bullet puerto de conexión ECR (caja registradora electrónica)

\bullet lector de tarjeta inteligente opcional (conocido por la industria)

1.4.2.3. Identificación

Dos entidades necesitan ser identificadas por el DPC para responder positivamente a una solicitud de autorización de transacción del BIA: el usuario y el comercio.

El usuario es identificado por el PIC-biométrico y el comercio es identificado por el DPC, el cual verifica cruzando el código del comercio contenido en el registro VAD del BIAs con el código del comercio añadido a la solicitud de transacción del RPT.

1.4.2.4. Operación

Primero, el comercio introduce el valor de la transacción en su caja registradora electrónica. Entonces, el usuario introduce su PIC-biométrico, su código de índice de cuenta, y a continuación valida la cantidad. El RPT añade entonces la información del producto y el código del comercio al BIA, da órdenes al BIA de realizar la transacción, y entonces envía la transacción al DPC a través de su conexión de red (módem, X.25, etc.).

Cuando el DPC recibe este mensaje, valida el PIC-biométrico, obtiene el número de cuenta utilizando el código de índice y hace una verificación cruzada del código del comercio del mensaje con el propietario registrado en el BIA. El DPC realiza y envía una transacción crédito/débito para ejecutar el intercambio. La respuesta desde la red de crédito/débito, se añade al código privado para obtener el mensaje respuesta de transacción, con el que el DPC envía entonces el retorno al RPT. El RPT examina la respuesta para ver donde o no se ha realizado la autorización, y entonces reenvía la respuesta al BIA, el cual visualiza entonces el código privado del usuario, finalizando la transacción.

1.4.2.5. Seguridad

Los mensajes entre el RPT y el DPC son seguros a través de la encriptación y los cálculos MAC desde el BIA. El MAC permite al RPT revisar las partes no encriptadas del mensaje, pero el RPT no puede cambiarlo. La encriptación previene que la parte encriptada del mensaje se muestre al RPT.

Cada BIA detalle debe ser registrado por el comercio. esto ayuda a evitar los robos de BIA. Además, por el hecho de que el RPT añade el código del comercio en cada mensaje, en la verificación cruzada que realiza el DPC se puede detectar si el BIA del comercio ha sido sustituido por un BIA diferente.

1.4.3. Terminal: Terminal punto de venta Internet 1.4.3.1. Objetivo

El objetivo de un terminal punto de venta Internet (IPT) es autorizar las transacciones financieras de crédito y débito que realiza un usuario con un ordenador contra un comercio, estando los dos o uno de ellos conectados a Internet.

Internet simplemente representa una red objetivo general donde el comercio, el DPC, y el IPT donde pueden conectarse todos entre sí en tiempo real. Como resultado, este mecanismo puede trabajar exactamente con la misma red objetivo general o cualquier otra.

1.4.3.2. Construcción

El IPT está formado por:

\bullet un BIA/PC

\bullet un microordenador

\bullet una programa de aplicación de compra en Internet

\bullet una conexión a Internet (u otra red)

1.4.3.3. Identificación

Además de identificar al usuario, el IPT debe identificar también el comercio remoto que es la contrapartida de la transacción. El comercio debe identificarse tanto en el DPC como en el IPT.

El programa de compra en Internet almacena el nombre del servidor (u otra forma de nombre de red) del comercio desde el que se realiza la compra, para verificar la identidad del comercio. Cuando el comercio registra todos sus servidores legítimos en Internet al DPC, permite que el DPC pueda realizar verificaciones cruzadas del código del comercio con el código del comercio almacenado después del nombre del servidor para poder verificar la identidad del usuario.

1.4.3.4. Operación

Primero, el IPT conecta al comercio a través de Internet. Cuando la conexión se ha establecido, el IPT la asegura generando y enviando la clave de sesión al comercio. Para asegurar que la clave de sesión está protegida contra la divulgación, se encripta con la clave pública del comercio usando la encriptación de claves públicas. Cuando el comercio recibe esta clave de sesión encriptada, la desencripta usando su clave privada. Este proceso se denomina asegurar una conexión a través de un intercambio de clave secreta con encriptación de claves públicas.

Una vez conectado, el IPT descarga el código del comercio, así como el precio y la información del producto del comercio. Cuando el usuario está preparado para realizar la compra, selecciona la mercancía que desea comprar. Entonces, el usuario introduce el PIC-biométrico usando el BIA/PC, el IPT envía el código del comercio, la información de identificación del producto, y la cantidad al BIA, así como las instrucciones necesarias para realizar una solicitud de autorización de transacción remota. Entonces el IPT manda la solicitud al comercio vía el canal
seguro.

El comercio está conectado al DPC a través del mismo tipo de conexión segura que el IPT tiene con el comercio, a saber, usando la encriptación de claves públicas para enviar una clave de sesión segura. La conexión IPT-Comercio, claves de sesión comercio-DPC son buenas durante todo el día, y no sólo para una conexión.

El comercio conecta con el DPC, asegurando la conexión mediante la clave de sesión, enviando la transacción al DPC para su validación. El DPC valida el PIC-biométrico, realiza una verificación cruzada del código del comercio enviado en la solicitud, con el código del comercio almacenado en el servidor, y después envía una transacción a la red de crédito/débito. Cuando la red de crédito/débito responde, el DPC construye un mensaje de respuesta que incluye la autorización del crédito/débito, un código privado encriptado, y la dirección del usuario, y envía el mensaje que vuelve al comercio.

Cuando el comercio recibe la respuesta, copia la dirección de correo del usuario de la respuesta, toma nota del código de autorización, y reenvía el mensaje de respuesta al IPT.

El IPT toma la respuesta del BIA, el cual desencripta el código privado y lo visualiza en la pantalla LCD, indicando que el DPC reconoce al usuario. El IPT también muestra el resultado de la transacción tanto si ha sido un éxito como si no lo ha sido.

1.4.3.5. Seguridad

Puesto que el sistema en general considera que un elemento adverso dentro de la red puede piratear las conexiones de la red en cualquier momento, todas las partes deben tener comunicaciones seguras durante sus interacciones en tiempo real. Lo principal es no mostrar la información, a través de insertar o redireccionar los mensajes.

El sistema entero de encriptación de claves públicas está relacionado con una fuente de confianza para claves públicas. Estas fuentes de confianza se denominan Autoridades de Certificación, y asumen que cada fuente debe estar disponible en Internet en un futuro próximo.

1.4.4. Terminal: Terminal Cajero Internet 1.4.4.1. Objetivo

El terminal cajero Internet (ITT) se utiliza para identificar usuarios desde sesiones bancarias en Internet. El DPC, el sistema de ordenador bancario, y el usuario están todos conectados a Internet.

Existen dos tareas principales. La primera es proporcionar canales de comunicaciones seguras desde el ITT a los bancos en Internet. La segunda es proporcionar credenciales de identidad no procesables por el banco en Internet. Ambas tareas se pueden lograr, el ITT puede proporcionar una seguridad adicional a todas las transacciones irregulares y/o de valor elevado.

1.4.4.2 Construcción

El ITT está formado por:

\bullet un BIA (modo PC estándar)

\bullet un microprocesador

\bullet una programa de aplicación cajero en Internet

\bullet una conexión a Internet

El ITT acepta identificaciones biométricas a través de un BIA/PC conectado al microordenador utilizado como terminal Internet del usuario.

1.4.4.3. Identificación

Tanto el usuario como el banco son identificados por el DPC para crear la red de credenciales. La red de credenciales incluye tanto la identificación del usuario como el contexto de la conexión (p.e. la fuente TCP/IP y los puertos destino).

El DPC identifica el banco a través de la verificación cruzada del código que el banco envía al ITT y el servidor del banco que el ITT manda al DPC.

1.4.4.4. Operación

Primero, el ITT conecta con el banco en Internet, se asegura que el banco tienes los recursos de ordenadores necesarios para hacerse cargo de una nueva sesión del usuario. Si el banco tiene suficientes recursos, envía el código de identificación del banco al ITT.

Una vez conectado, el ITT da instrucciones al BIA para obtener el PIC-biométrico y el código índice de cuenta del usuario. Entonces el ITT añade el servidor del banco y el código del banco. Usando toda la información, el BIA es preguntado entonces para formar un mensaje solicitado por la red de credenciales, el cual es mandado por el ITT al DPC vía Internet.

Cuando el DPC recibe este mensaje, valida el PIC-biométrico, obtiene el número de cuenta a través del código de índice de cuenta, y se asegura que el código del banco del mensaje es igual al código del banco almacenado en la base de datos del comercio remoto del servidor del banco. El DPC puede también verificar para asegurar que el número de cuenta retornado al banco por el código índice es correcto. Si todos los chequeos son correctos, entonces el DPC crea una red de credenciales usando la identificación de cuenta del usuario, la hora del día, y el código del banco. El DPC firma esta credencial usando la encriptación de claves públicas y las claves privadas de los DPCs. El DPC devuelve la clave pública al banco, y el código privado de usuario, y con las credenciales forma el mensaje respuesta de la red de credenciales. Este mensaje de respuesta se encripta a través de la clave de respuesta del BIA, y se envía de nuevo

\hbox{al
ITT.}

Cuando el ITT recibe la respuesta, toma el mensaje de respuesta del BIA. El BIA desencripta y entonces se visualiza el código privado del usuario en la pantalla LCD. La clave pública del banco se almacena en el registro de claves públicas. El BIA genera dos claves de sesiones aleatorias. La primera clave, llamada Clave de Sesión compartida, se muestra en texto completo al ITT. El ITT utiliza esta clave de sesión compartida para asegurar la conexión con el banco.

La otra sesión clave, llamada Clave de Sesión Privada, no se notifica al ITT. La utiliza el mecanismo de respuesta-intercambio del BIA, un mecanismo que permite que el banco obtenga una validación específica para transacciones no rutinarias del usuario, sin que intervenga el ITT.

Después de recibir la clave de sesión compartida, el ITT pregunta al BIA como formar un mensaje de solicitud de conexión seguro, que incluya ambas claves de sesiones y la red de credenciales, y que esté todo encriptado con las claves públicas de los bancos. El ITT envía entonces el mensaje de solicitud de conexión segura al banco.

Cuando el banco recibe el mensaje solicitado, desencripta el mensaje usando su propia clave privada. Entonces, desencripta la red de credenciales actual usando las claves públicas de los DPCs. Si la red de credenciales es válida y no ha caducado (el tiempo de credenciales caduca después de un cierto número de minutos), el usuario está autorizado, y la conversación continúa, con la clave de sesión utilizada para asegurar la seguridad.

Siempre que el usuario realice cualquier transacción no rutinaria o de valor elevado, el banco debe avisar al usuario para que valide estas transacciones para tener una mayor seguridad. El banco, envía un mensaje encriptado de respuesta-intercambio con la clave de sesión privada al ITT, el cual reenvía el mensaje de respuesta-intercambio al BIA. El BIA desencripta el mensaje, visualiza el intercambio (usualmente bajo la forma ``Transferencia de \textdollar2031.23 a Rick Adams OK?), y cuando el usuario valida pulsando el botón OK, el BIA encripta la respuesta con la clave de sesión privada y envía el mensaje al ITT, quien lo reenvía al banco, validando así la transacción.

1.4.4.5. Seguridad

El sistema utiliza la criptografía de claves públicas para proporcionar credenciales y asegurar las comunicaciones entre el ITT y el banco.

Para que este mecanismo funcione correctamente, el banco debe conocer las claves públicas de los DPCs, y el DPC debe conocer la clave pública del banco. Es crítico para la seguridad del sistema que ambas partes mantengan las respectivas claves públicas seguras para una modificación no autorizada. Las claves públicas pueden ser leídas por cualquiera, por tanto, no pueden ser modificadas por cualquiera. Cualquier sesión de claves secretas debe mantenerse segura a la observación , y estas claves secretas deben destruirse después de haber finalizado la sesión.

La etapa de validación extra para transacciones no rutinarias es necesaria ya que las aplicaciones de ordenadores seguras en Internet conllevan una relativa dificultad en referencia a la seguridad debido a los virus, piratas informáticos y la propia ignorancia del usuario. Los bancos deben restringir probablemente las transferencias de dinero rutinarias disponibles en el ITT para incluir sólo transferencias de dinero a instituciones conocidas, como son las compañías de servicios públicos, vendedores de tarjetas de crédito a mayor, y parecidos.

1.4.5. Terminal: Firma Electrónica 1.4.5.1. Objetivo

El terminal de firma electrónica (EST) es utilizado por usuarios para generar firmas electrónicas que no pueden avanzarse en los documentos electrónicos. El EST permite a los usuarios firmar documentos electrónicos, o verificar firmas electrónicas que ya están en los documentos.

1.4.5.2. Construcción

El EST está constituido por:

\bullet un BIA/PC

\bullet un microprocesador

\bullet un mensaje de algoritmo codificador resumido

\bullet un módem, una conexión X.25, o una conexión a Internet

\bullet una programa de aplicación de firma electrónica

El EST utiliza un BIA/PC incorporado al microordenador, con eventos controlados por una aplicación de programa de firma electrónica.

1.4.5.3. Identificación

Para crear una firma digital sin utilizar ningún tipo de testigo de clave pública/privada, es necesario que se den tres situaciones. Primero, el documento a firmar necesita ser identificado de manera única, la hora del día se debe grabar y el usuario que realiza la firma necesita ser identificado. Esto enlaza el documento, el usuario, y la hora, creando una única firma electrónica estampada a una hora.

1.4.5.4. Operación

Primero el documento a firmar es procesado por el algoritmo codificador de resumen de mensaje que genera un código resumen de mensaje. Uno de los algoritmos es el algoritmo MD5 de RSA, bien conocido por la industria. Por su naturaleza, los algoritmos resumen de mensajes están específicamente diseñados para que sea casi imposible acercarse con otro documento que genere el mismo código resumen de mensaje.

Entonces, el usuario introduce su PIC-biométrico usando el BIA, el código resumen de mensaje es utilizado por el BIA, se añade el nombre del documento, y el mensaje solicitado de firma digital resultante se envía al DPC para su autorización y almacenamiento.

Cuando el DPC recibe la solicitud, genera una prueba de identificación biométrica, y cuando el usuario ha sido verificado, recoge el mensaje resumen codificado, el número de cuenta biométrica del usuario, la fecha del día actual, el nombre del documento y la identificación del BIA que ha añadido la firma y los ha almacenado todos en la base de datos de firmas electrónicas (ESD). El DPC entonces construye una cadena de textos de códigos de firmas que consiste en los números de archivo de los ESD, la fecha, la hora, y el nombre del que firma, y envía este código de firma con el código devuelto privado del usuario al EST.

Para chequear una firma electrónica, el documento se envía mediante el algoritmo MD5 (conocido por la industria) y el valor resultante junto con los códigos de firmas electrónicas se entregan al BIA junto con el PIC-biométrico del usuario solicitado, y el mensaje se envía al DPC. El DPC verifica cada firma para validarla, y responde de manera adecuada.

1.4.5.5. Seguridad

El BIA no encripta ninguno de los datos relativos a las firmas electrónicas, por lo que los títulos de los documentos con valores específicos MD5 se envían en texto completo. Se soporta la misma situación para validaciones de firmas.

Mientras que las firmas no pueden adelantarse, algunos de los detalles (incluyendo los nombres de los documentos) son vulnerables a ser interceptados.

1.4.6. Terminal: Terminal de correo electrónico certificado

El objetivo del terminal de correo electrónico certificado (CET) es proporcionar a los usuarios un camino de entrega de mensajes electrónicos a otros usuarios en el sistema mientras proporciona la identificación del remitente, verificación del receptor y del recipiente, y asegurando la confidencialidad del mensaje entregado.

El CET utiliza un BIA/PC para identificar tanto el remitente como el recipiente. Se establece seguridad encriptando el mensaje, y entonces a través de la encriptación de el mensaje clave usando el BIA remitente durante la carga y la desencriptación de la clave del mensaje usando un BIA recipiente durante la descarga.

1.4.6.2. Construcción

Tanto el transmisor como el receptor del CET están formados por:

\bullet un BIA

\bullet un microprocesador

\bullet un módem, una conexión X.25, o una conexión a Internet

\bullet la capacidad para recibir correo electrónico

\bullet una aplicación de correo electrónico certificado

Un CET es actualmente un microordenador con una aplicación de correo electrónico y una conexión a la red que llama al BIA para generar autorizaciones de PIC-biométrico para enviar y recibir correos electrónicos certificados.

1.4.6.3. Identificación

Para garantizar la entrega del mensaje, tanto el remitente como los recipientes deben ser identificados.

El remitente se identifica a si mismo usando su PIC-biométrico cuando carga el mensaje en el DPC. Cada recipiente del remitente quiere enviar el documento a quien está identificado a través de su número de identificación de cuenta biométrica, o a través del número de fax, y extensión. Para que el remitente pueda descargar el mensaje, se identifica a sí mismo a través de su PIC-biométrico. Este procedimiento es similar a una llamada telefónica de persona a persona.

1.4.6.4. Operación

El mensaje entregado empieza con una usuario que carga un documento o un mensaje, y se identifica a sí mismo usando su PIC-biométrico. El usuario verifica entonces el nombre del documento, y el mensaje de correo electrónico se encripta y se carga.

Cuando el mensaje se ha cargado, el remitente recibe un código de identificación de mensaje que puede ser usado para solicitar el estado actual de entrega del documento de cada uno de los recipientes.

El DPC envía un mensaje de correo electrónico a cada recipiente, notificándoles cuando han recibido el mensaje certificado.

Cuando el recipiente recibe la notificación, el recipiente puede escoger aceptar o rechazar mensaje o grupo de mensajes enviando su PIC-biométrico y teniéndolo validado por el DPC.

Cuando se transmite con éxito a todos los recipientes, se borra un documento pasado un período predeterminado de tiempo, generalmente 24 horas. Los usuarios que deseen archivar el documento, a través de una indicación de todos los usuarios que quieren que la solicitud de mensaje archivado se envíe anteriormente para el borrado del mensaje.

1.4.6.5. Seguridad

Para resaltar el aspecto de seguridad de la transmisión, el documento está protegido contra exposición durante el camino. El CET lo cumple usando el mensaje clave de 56 bits generada por el BIA. Desde que el BIA toma la responsabilidad para encriptar el mensaje clave como parte del PIC-biométrico, la clave de encriptación se envía de manera segura al DPC.

Cuando un usuario descarga el mensaje, el mensaje clave se envía encriptada junto con el código privado, para permitir al recipiente desencriptar el mensaje. Es bueno que todos los recipientes tengan este mensaje clave, ya que reciben todos el mismo mensaje.

Como el ITT, los usuarios deben tener cuidado con la seguridad de su programa de aplicación CET respecto a las modificaciones, como el CET modificado puede enviar cualquier documento que desee a cada uno de los usuarios que validan el nombre del documento.

1.4.7. Terminal: Terminal Fax Seguro 1.4.7.1. Objetivo

El objetivo del terminal fax seguro (SFT) es proporcionar a los usuarios una vía de entrega de mensajes de fax a otros usuarios del sistema proporciona la identificación del remitente, la verificación del receptor y del recipiente y asegurando la confidencialidad del mensaje entregado.

Cada SFT utiliza un BIA/CATV integrado para identificar el remitente y el recipiente. Las comunicaciones son seguras a través de la encriptación.

1.4.7.2. Construcción

Tanto el transmisor como el recipiente contienen:

\bullet un BIA/CATV

\bullet un aparato de fax

\bullet un módem RDSI opcional

Un SFT es un aparato de fax conectado al DPC a través de un módem. El sistema trata los faxes como cualquier otro tipo de correo electrónico certificado.

1.4.7.3. Identificación

Existen diferentes niveles de seguridad de faxes seguros, pero en la mayoría de versiones seguras, se verifica la identidad del remitente y de todos los recipientes.

El remitente se identifica usando el PIC-biométrico y el código de índice d título cuando manda su mensaje al DPC. Para recoger el fax, cada recipiente lista sus identidades, usando de nuevo el PIC-biométrico y el código índice de título.

Además, el centro receptor se identifica a través del número de teléfono. Este número de teléfono se registra con el DPC. Para faxes confidenciales seguros, cada recipiente se identifica con el número de teléfono y la extensión.

1.4.7.4. Operación

Existen cinco tipos de faxes básicos que un SFT puede enviar.

I. Faxes no seguros

Los faxes no seguros son equivalentes a los faxes estándar. El remitente introduce el número de teléfono del recipiente, y envía el fax. En este caso, el remitente permanece no identificado, y el fax se envía al número deteléfono dado con la esperanza de que sea entregado al recipiente correcto. Un SFT marca la línea superior de todos los faxes no seguros con el texto "NO SEGURO". Todos los faxes recibidos de aparatos de fax no SFT están siempre marcados como no seguros.

II. Faxes remitente-seguro

En un fax remitente-seguro, el remitente selecciona el modo "remitente-seguro" en el aparato de fax, introduce su PIC-biométrico seguido de su código índice de título. El aparato de fax se conecta al DPC, y envía la información del PIC-biométrico. Cuando el DPC verifica la identidad del usuario, el usuario envía entonces el fax introduciendo el documento en el escáner del fax, el fax lo envía al DPC, el cual almacena el fax digitalmente. Cuando el fax llega por completo al DPC, el DPC empieza a mandar el fax a cada destino, etiquetando cada página con el nombre, título y empresa del remitente, junto con el indicativo de "REMITENTE-SEGURO" en la parte superior de cada página.

III. Fax seguro

En un fax seguro, el remitente selecciona el modo "seguro" en el aparato de fax, introduce su PIC-biométrico seguido de su código índice de título, y entonces introduce los números de teléfono de los recipientes. Cuando el sistema verifica la identidad del remitente y de cada uno de los números de teléfono de los recipientes, el usuario envía el fax introduciendo el documento en el escáner del fax. El fax se envía al DPC, que almacena el fax digitalmente. Cuando el fax completo llega al DPC, el DPC envía una pequeña página de cubierta al destinatario indicando el fax seguro pendiente, el título e identidad del remitente, así como el número de páginas pendientes, junto con el código de rastreo. Este código de rastreo se introduce automáticamente en la memoria de los recipientes de los aparatos de fax.

Para recuperar el fax, cualquier empleado de la empresa remitente puede seleccionar el botón "recuperación de fax" en su aparato de fax, selecciona que fax pendiente se quiere recuperar usando el código de rastreo, y entonces introduciendo el PIC-biométrico. Si el fax no es el buscado, el usuario puede pulsar el botón "fax rechazado", sin embargo se tiene que identificar al sistema para poder hacerlo. Una vez está validado como miembro de la compañía, el fax se descarga entonces al recipiente del aparato de fax. Cada página muestra el texto "SEGURO" en la parte superior de cada página, junto con la identidad del remitente y el título informativo.

IV. Fax seguro confidencial

En un fax seguro confidencial, el remitente selecciona el modo "seguro-confidencial" en el aparato de fax, introduce su PIC-biométrico seguido de su título y código índice, y a continuación introduce el número de teléfono y la extensión del sistema de cada recipiente. Una vez el DPC verifica la identidad del remitente y de cada uno de los números de teléfono y extensiones de los recipientes, el usuario envía entonces el fax insertando el documento en el escáner del fax. El fax se envía al DPC, el cual almacena el fax digitalmente. Una vez ha llegado el fax completo al DPC, el DPC envía un pequeña página de cubierta a cada destinatario indicando el fax seguro confidencial pendiente, el título e identidad del remitente, el título e identidad del recipiente, así como el número de páginas pendientes, junto con el código de rastreo. Este código de rastreo se introduce automáticamente en la memoria de los recipientes de fax. Por otra parte, el único usuario que puede recuperar el fax es el usuario cuyo código de extensión es el indicado.

Este usuario selecciona el botón de "recuperación fax", selecciona el fax pendiente de recuperar, y entonces introduce su PIC-biométrico. Una vez ha sido validado en el recipiente, el fax se descarga entonces del recipiente del aparato de fax. Cada página tiene marcado en la parte superior de cada página el texto "SEGURO-CONFIDENCIAL", junto con el título del remitente y la información de la identidad.

V. Fax contrato seguro confidencial

Este fax se procesa de manera idéntica al fax seguro-confidencial en términos de la entrega del fax a los recipientes, excepto por el hecho de que el fax incorpora el texto "contrato" además de seguro-confidencial. Además, el DPC archiva automáticamente contrato de faxes. Ningún recipiente debe aceptar o rechazar el contrato o través del SFT para recibir el contrato de fax. El DPC toma el rol de un notario electrónico.

Cualquier fax enviado al sistema y después reenviado al recipiente debe mandarse a una pluralidad de recipientes sin teclear el aparato de fax remitente. Adicionalmente, l número de rastreo de cualquier fax enviado se introduce en la memoria del aparato de fax; se puede generar un informe de estado de cualquier fax de salida en el aparato del remitente seleccionando el botón "estado" y después seleccionando el código de rastreo del fax particular pendiente.

Para cualquier fax seguro o seguro-confidencial, existe una opción para cada uno de enviar a uno de los recipientes para archivar el fax (junto con los específicos que se han enviado y recibido en el aparato de fax) para referencias futuras. Con este fin, cualquier fax seguro se guarda durante algún período de tiempo (p.e. 24 horas) después de que se haya entregado satisfactoriamente. Se devuelve un código de rastreo archivado al usuario siempre que se solicita un archivo. Este código de archivo se utiliza para recuperar faxes e informes de estados de fax archivados en el
sistema.

Los faxes archivados se colocan en una unidad de almacenamiento secundaria de sólo lectura después de algún período de tiempo (p.e. 24 horas). Para recuperar un fax archivado es necesaria la intervención humana, y necesita 24 horas para realizarlo.

1.4.7.5. Seguridad

El sistema SFT trabaja duro para asegurar el recipiente de la identidad de los remitentes, y trabaja también duro para asegurar al remitente que el recipiente reconocido recibe actualmente el documento.

Para proteger contra la intercepción de las comunicaciones entre el remitente y el recipiente, el terminal de fax encripta la solución usando la facilidad del mensaje clave proporcionada por el BIA. Desde que el BIA toma la responsabilidad para encriptar el mensaje clave como parte del PIC-biométrico, la clave de encriptación se envía de manera segura al DPC.

Cuando un usuario recibe una solución segura de cualquier tipo, el mensaje clave se envía encriptado junto con el código privado, para permitir al recipiente desencriptar el mensaje. Esto es correcto para tener todos los recipientes con este mensaje clave, puesto que todos reciben el mismo mensaje.

1.4.7.6. Notas

Enviar faxes seguros es muy similar a enviar correos electrónicos, y utiliza en gran parte el mismo programa.

Es posible construir terminales de fax que no tengan integrados dispositivos BIA/fax pero que tengan un puerto que permita conectar un BIA/PC externo y un programa adecuado para utilizar el BIA.

1.4.8. Terminal: Terminal de registro biométrico 1.4.8.1. Objetivo

El objetivo del Terminal de Registro Biométrico (BRT) es registrar nuevos usuarios incluyendo su PIC-Biométrico, dirección de correo, código privado, direcciones de correo electrónico, una lista título y de códigos índice de títulos usados para enviar y recibir mensajes electrónicos y faxes, y una lista de cuentas de valores financieros y códigos de índice de cuentas a los que pueden acceder, usando todos su PIC-biométrico.

El objetivo del proceso de registro es obtener información personal de un usuario a la localización de una institución respuesta donde dicha información pueda ser validada. Esto incluye, pero no está limitado a oficinas bancarias, y departamentos personales corporativos. Cada institución responsable participante tiene un BRT que es utilizado por un grupo de empleados que han sido autorizados para realizar registros. Cada empleado es contabilizado para cada registro de usuario.

1.4.8.2. Construcción

\bullet un microordenador y pantalla, teclado y ratón

\bullet un BIA/Reg

\bullet un módem 9.6 Kb, una conexión a la red X.25 (conocido en la industria)

\bullet un programa de aplicación de registro biométrico

El BRT utiliza un BIA/Reg adjunto para entrada biométrica, y se conecta al sistema a través del módem 9.6 Kb o una conexión a la red X.25 (conocido por la industria). Los terminales de registro biométrico están colocados en sitios que son físicamente seguros tales como las oficinas bancarias.

1.4.8.3. Identificación

Se necesitan tres entradas para ser identificadopor el DPC para responder positivamente a una solicitud de registro BIA/reg: el empleado de registro, la institución, y el BIA/Reg. El empleado debe estar autorizado para registrar usuarios para esta institución.

La institución y el BIA se identificación mediante la verificación cruzada del propietario del BIA con el código de la institución seleccionado por el BRT. El empleado se identifica a si mismo en el sistema introduciendo su PIC-biométrico para iniciar la aplicación de registro.

La institución utiliza su procedimiento de identificación estándar del cliente (tarjetas firmadas, archivos de empleados, información personal, etc.) antes de registrar el usuario en el sistema. Es importante para la institución verificar la identidad del usuario tan asiduamente como sea posible, después el registro de usuario se utilizará para transferir dinero desde sus cuentas a donde desee, y/o enviar mensajes electrónicos usando el nombre de la compañía.

1.4.8.4. Operación

Durante el registro, el usuario introduce tanto el primero y segundo biométrico. El usuario debe usar ambos dedos índices; si el usuario no tiene sus dedos índices, debe usar el dedo más cercano. Se deben usar los dedos específicos solicitados para permitir priorizar la verificación del fraude para trabajar.

Se anima al usuario a seleccionar un dedo primario y segundo, el dedo primero tiene preferencia durante la verificación de identidad del DPC, por lo que el usuario debe presentar como dedo primario el que más utiliza. Por supuesto, el DPC puede escoger alterar la designación de biométricos primero y segundo en base a operaciones si se considera importante realizar el cambio.

Como una parte del proceso de codificación biométrico, el BIA/R determina si el usuario ha introducido "una buena huella". Existen algunos usuarios por cuyos trabajos pierden accidentalmente sus imprentas digitales, como pueden ser usuarios que trabajan con abrasivos o ácidos. Desafortunadamente, estos usuarios no pueden usar este sistema. Se ha detectado en esta etapa del proceso y se ha informado de que no pueden participar.

El usuario selecciona un PIC de entre cuatro y doce dígitos para series de opciones de PIC proporcionadas por la base central del sistema. Sin embargo, el PIC debe ser validado por el sistema. Esto implica realizar dos verificaciones: una, que el número de otros usuarios usando el mismo PIC no sea muy elevado (aunque el PIC se utiliza para reducir el número usuarios verificados por el algoritmo de comparación biométrica), y que el usuario empiece a registrarse no estando demasiado "cerca", biométricamente hablando, con otros usuarios del mismo grupo de PIC. Si ocurre cualquier cosa, el proceso se detiene, y se devuelve al BRT un mensaje de error, y se indica al usuario que seleccione un PIC diferente. El sistema puede retornar opcionalmente una condición de error "que coincida totalmente", la cual indica que el usuario ya ha sido registrado en el sistema con este PIC.

Un PIC igual a 0 permite al sistema asignar un PIC al usuario.

El usuario crea un código privado confidencial consistente en una palabra o frase. Si el usuario no desea crear uno, el terminal creará aleatoriamente un código privado.

El usuario puede también arreglar su lista de códigos de valores financieros. Esta lista describe el código índice de cuenta que apunta a la cuenta (p.e. 1 para débito, 2 para crédito, 3 para débito de emergencia, etc.). Esto sólo puede ocurrir si la institución que registra es un banco, y sólo si las cuentas son propiedad de una institución bancaria particular.

Incluso después del registro, un usuario no está todavía habilitado para poder realizar operaciones usando el sistema hasta que se complete anteriormente la verificación del fraude. Este proceso se realiza en pocos minutos, pero durante momentos de mucha carga, puede tardar varias horas. Sólo si el sistema no encuentra ninguna prueba de fraude posterior, la cuenta del usuario se activa.

1.4.8.5. Seguridad

Si se detecta que un usuario ha defraudado el sistema, el DPC genera una amplia base de datos biométricos involuntarios para buscar el criminal. Muchas de estas bases de datos se generan cada noche, por lo que los usuarios que están particularmente buscados por el sistema se eliminan de la base de datos a través de un proceso que consume tiempo, cuando existen condiciones de actividad baja.

Los empleados realizan el proceso de registro para identificarse a si mismos usando el PIC-biométrico sólo cuando inicialmente se activa el sistema de registro. Esto es necesario para el empleado, pero un posible problema de seguridad para el sistema, como un inesperado "borrado temporalmente" los BRTs pueden ser fuente de fraude. Como resultado, la aplicación de registro se realiza después de un período predeterminado de no actividad.

1.4.9. Terminal: Atención al cliente 1.4.9.1. Objetivo

El objetivo del terminal de atención al cliente (CST) es proporcionar soporte interno al DPC de los usuarios que acceden a las bases de datos del sistema por diversos motivos. Da soporte a personas que necesitan tener respuestas a preguntas hechas tanto por usuarios, como emisores, instituciones, y comercios referentes a problemas con el sistema.

1.4.9.2. Construcción

El CST está formado por:

\bullet un microordenador

\bullet un BIA/Int

\bullet interface de red ethernet/token ring/FDDI

\bullet un examen de la base de datos y una modificación de la aplicación

Cada CST se conecta al sistema a través de una conexión de red de área local de alta velocidad, como puede ser token ring, ethernet, fibra (FDDI), etc. Cada CST tiene la capacidad de preguntar a cada base de datos, y visualizar los resultados de estas consultas. El CST visualiza sólo los campos y registros basados en el privilegio del usuario terminal individual. Además, un servicio de atención al cliente empleado no está capacitado para ver el código de encriptación para los registros VDB del BIA, a través de los cuales se puede que comercio o usuario están actualmente validados en el BIA.

1.4.9.3. Identificación

Para que el CST permita acceder a la base de datos, el usuario y el BIA deben ser identificados por el sistema. Además, se debe determinar el nivel de privilegio del usuario, por lo que la base de datos puede restringir el acceso adecuadamente.

1.4.9.4. Operación

Un usuario que utiliza un CST empieza una sesión proporcionando su identificación para introducir su PIC-biométrico. El BIA define una identificación. El mensaje solicitado, se envía al DPC para su verificación. Cuando el sistema verifica el usuario, la aplicación CST puede operar normalmente, a través de la limitación del nivel de privilegio del DPC asignado previamente al usuario.

1.4.9.5. Seguridad

Con el objetivo de la seguridad, el DPC finalizará la conexión a la aplicación del CST después de un período de tiempo predeterminado.

Es importante que la aplicación de la base de datos no se pueda modificar de ninguna manera, ya sea deliberadamente, o a través de la introducción de un virus no intencionadamente. Al final, el usuario de CST no tiene ningún driver flexible u otro medio amovible. Además, leer la aplicación ejecutable de acceso a la base de datos está limitado sólo a los que tienen la necesidad de conocerla.

Para proteger las comunicaciones entre el CST y la base de datos de modificaciones no controladas o divulgaciones, el CST encripta todo el tráfico entre el CST y la base de datos. Para ello, el CST genera una clave de sesión que se envía al servidor durante la sesión de identificación con el sistema. Este clave de sesión se utiliza para encriptar y desencriptar todas las comunicaciones con el DPC que suceden durante todo el período.

Incluso asumiendo comunicaciones seguras y aplicaciones de la base de datos no modificadas, el DPC realiza ciertos campos de datos del DPC que no son accesibles al usuario que está operando el CST no se envían a la aplicación de base de datos del CST. De la misma manera, en ningún momento ningún personal CST tiene acceso o la autorización para modificar información biométrica de los usuarios.

El DPC y el centro de soporte pueden situarse ambos en el mismo sitio, o debido al entorno de seguridad bastante severo del CST, el centro de soporte puede ser segregado.

1.4.10. Terminal: Terminal emisor 1.4.10.1. Objetivo

El objetivo del terminal emisor es permitir a los empleados que utilizan los bancos, realizar operaciones de cuentas de valores en el DPC de una forma segura e identificable.

1.4.10.2. Construcción

El terminal TI está formado por:

\bullet un microordenador

\bullet un módem, red X.25, o conexión a Internet del sistema

\bullet una conexión de red a la red interna del banco

El Terminal emisor utiliza un emisor BIA para autorizar adiciones y eliminaciones de información de valores financieros.

1.4.10.3. Identificación

En este operación, el banco debe ser identificado, un empleado del banco correctamente autorizado debe ser también identificado, y todos los usuarios deben que quieren añadir o eliminar cuentas de valores deben ser también identificados.

El banco es responsable de identificar a los usuarios que desean añadir a sus cuentas de uno de los bancos de su lista de cuentas financieras. Como en un registro biométrico, se da por el banco usando la firma de las tarjetas e información personal. El DPC identifica el banco mediante la verificación cruzada del código emisor enviado por el IT con el código emisor registrado en el registro VAD del BIA/Iss. Se utiliza un PIC-biométrico para identificar el empleado del banco que está realizando actualmente la operación.

1.4.10.4. Operación

Para añadir cuentas de valores financieros, un usuario da su número de identificación biométrica al banco (el número de identificación se da al individuo durante la etapa inicial del registro biométrico) junto con las cuentas que se quieren añadir. Después de que el usuario ha sido identificado correctamente, este código de identificación y lista de cuentas se reenvían al IT para su consiguiente submisión consolidada al sistema.

Siempre que se considere apropiado por el banco, un usuario autorizado del banco da instrucciones al IT de cargar el proceso de adición/eliminación de cuentas al DPC. Para ello, el usuario autorizado introduce su PIC-biométrico, el IT añade una clave de sesión, añade el código emisor del banco, y desde el BIA/Iss construye un mensaje de solicitud de operación del emisor que el IT reenvía entonces al DPC. El IT encripta el proceso usando el código de mensaje, y después lo envía.

Cuando el sistema recibe la solicitud de Proceso del usuario, valida que BIA es un BIA/Iss, que BIA/Iss está registrado en el banco reivindicado por el código emisor, y que usuario identificado en el PIC-biométrico, está habilitado para enviar la solicitud de proceso al DPC para este banco. El DPC procesa todas las solicitudes, toma nota del rastreo de los errores tal como se requiere. El DPC devuelve el código privado del usuario, junto con un proceso encriptado que contiene cualquiera de los errores que han ocurrido durante el proceso.

1.4.10.5 Seguridad

Asegurar esta transacción es crítico para la seguridad del sistema. Un criminal que intente realizar un fraude necesita sólo encontrar un camino para añadir otras cuentas de personas con su código de identificación biométrica y puede entonces cometer el fraude. Eventualmente este criminal es cogido, y eliminado de la base de datos, pero sólo después las cuentas de las otras personas son violadas por el criminal.

La encriptación garantiza que la transmisión entre el banco y el DPC no puede ser interceptada, y por tanto los números de cuenta están protegidos durante el tránsito.

La verificación cruzada del banco con el BIA/Iss significa que tanto el IT como el BIA debe estar comprometidos para enviar mensajes falsos de añadir/eliminar en el DPC. El banco debe asegurar que el IT es físicamente seguro, y que sólo los usuarios autorizados están habilitados para acceder a el.

Exigir al usuario que envíe el grupo permite a unindividuo responsable de estar al corriente y cuyo trabajo es de asegurarse que las medidas de seguridad del propio banco se han seguido en la construcción y presentación del grupo de datos.

1.4.11. Terminal: Dispositivo de cajero automático 1.4.11.1. Objetivo

El objetivo del ATM biométrico es proporcionar al usuario acceso al dinero en efectivo y otras funciones del ATM sin tener que usar una tarjeta interbancaria. Se realiza mediante la introducción del PIC-biométrico y un código índice de cuenta e indicando el número de cuenta bancaria. Para usuarios del sistema, reemplaza la tarjeta Interbancaria (conocida por la industria) + el mecanismo PIC como método para identificar la cuenta y la autorización del usuario. Se asume que todos los ATM continúan aceptando tarjetas Interbancarias.

1.4.11.2. Construcción

\bullet un ATM estándar

\bullet un BIA/ATM integrado (sólo escáner)

\bullet una conexión al DPC

El ATM biométrico utiliza un BIA/ATM integrado para identificar a los usuarios y les permite acceder a los valores financieros a través del PIC-biométrico y de un índice de cuenta. Se instala un BIA/ATM en el interior del ATM, que hace uso de PIC de los ATMs actuales para PIC e introduce el código índice de cuenta. El ATM se conecta al sistema a través de una conexión X.25 o un módem.

El BIA/ATM se puede integrar a una red ATM ya existente de una manera tan simple como posible. Esto es el resultado de un compromiso entre la seguridad y facilidad de integración.

1.4.11.3. Identificación

Se necesitan tres entidades para ser identificado por el DPC para responder correctamente a una solicitud de cuenta BIA/ATM: el usuario, el banco y el BIA/ATM.

El banco se identifica mediante la verificación cruzada del código del banco almacenado en el ATM y el código bancario del BIA/ATM. El BIA/ATM es identificado a través de exitosas localizaciones del BIA/ATM en el VAD, y el usuario se identifica mediante el PIC-biométrico estándar.

1.4.11.4. Operación

Para acceder al ATM, un usuario introduce su PIC-biométrico en el BIA junto con el código de índice de cuenta. El BIA crea un mensaje de solicitud de acceso de cuenta, que se envía al DPC a través del ATM. El DPC valida el PIC-biométrico así como el código de índice de cuenta de emergencia, y a continuación envía el número de cuentas de valores resultantes junto con el retorno del código privado al ATM.

El ATM pregunta al BIA como desencriptar la respuesta, y entonces visualiza el código privado en la pantalla de visualización del ATM. El ATM también examina la respuesta a visualizar mientras que el usuario espera o no un acceso a cuenta estándar, o un acceso a cuenta coaccionado. Si se indica el código de cuenta coaccionado, el ATM puede proporcionar una información falsa o variada como la disponibilidad de las cuentas del usuario; los específicos pueden variar de ATM a ATM. Por tanto, ningún ATM puede proporcionar ninguna indicación al usuario que la transacción coaccionada está en progreso.

1.4.11.5. Seguridad

Los mensajes entre el ATM y el DPC son seguros gracias a la encriptación y los cálculos MAC del BIA. El MAC significa que el ATM no puede cambiar el contenido del mensaje sin que sea detectado, y la encriptación evita la encriptación en parte del mensaje que va a ser mostrado.

Por el hecho de que el BIA/ATM no tiene adjunto LCD o PIC, se necesita que el ATM proporcione todos los avisos de textos y reunir todas las entradas del usuario. Esto es menos seguro que si el BIA realiza la operación, pero como el ATM es robusto físicamente, puede probablemente ser llamado al fracaso.

1.4.11.6. Notas

Entre el banco y el usuario se especifica la conducta de un ATM cuando el usuario indica que está realizando una transacción bajo coacción. Un banco en particular puede escoger limitar el acceso, o alterar el balance de la información, se visualiza una pantalla falsa. La pantalla falsa visualiza los datos que han sido intencionadamente o predeterminadamente no fiables, datos obtenidos ilegalmente con parte coaccionada sobre los valores financieros del usuario. Es necesario que la invención especifique el comportamiento preciso de un ATM bajo estas circunstancias.

1.4.12. Terminal: Terminal de venta de punto de venta teléfono 1.4.12.1. Objetivo

El objetivo del terminal de venta de punta de venta teléfono (PPT) es autorizar las transacciones financieras de crédito o débito de un usuario que utiliza un teléfono equipado específicamente para realizar compras en un comercio.

1.4.12.2. Construcción

El PPT está formado por:

\bullet un BIA/CATV

\bullet una módem digital de conexión rápida (ver la patente Visor de Voz (conocido en la industria)

\bullet un teléfono (teclado, auricular, micrófono)

\bullet un microprocesador

\bullet un DSP (Procesador de señal digital)

\bullet una línea de teléfono estándar

El PPT acepta identificación biométrica usando un BIA/CATV conectado a un terminal sin cables integrado, un celular, o un teléfono estándar.

1.4.12.3. Identificación

Para que el DPC autorice una transacción, tanto el usuario como el comercio deben ser identificados.

Para identificar a un usuario, se debe utilizar la identificación PIC-biométrico.

Para identificar el comercio que da la orden vía teléfono, el comercio y todos sus números de teléfonos deben ser registrados con el DPC. Cuando un usuario envía unaautorización, debe enviar también el número de teléfono al que llama, ya que se realiza una verificación cruzada con la lista de los números de teléfono del comercio.

1.4.12.4. Operación

Los usuarios llaman al comercio que venden sus mercancías a través de catálogos, periódicos, revistas u otros mecanismos de impresión básicos. El PPT utiliza un módem especial que reparte la línea telefónica para intercambiar información digital con el comercio.

Cada vez que el usuario realiza una llamada, el PPT mantiene el rastreo del número de teléfono que ha sido marcado por el usuario, en caso que el usuario decida realizar una compra. Se utiliza un DSP para detectar línea de tono, llamada, conexión y, para llamar al número de teléfono introducido, distingue las extensiones, o la navegación del sistema de mensaje de teléfono.

Cuando la llamada llega al comercio, el vendedor del comercio descarga digitalmente toda la información relevante del PPT incluido el producto, el precio y el código del comercio. Cuando se está operando, el módem desconecta el altavoz.

Cuando la información del producto se ha descargado, el PPT indica al usuario del PIC-biométrico, el código de índice de cuenta, y entonces pregunta al usuario la validación de la cantidad. Entonces el número de teléfono y el código del comercio se añaden, y el mensaje se encripta. El módem de conexión rápida está de nuevo preparado para enviar la información de la autorización al comercio.

Cuando el comercio recibe la información de la autorización, el comercio verifica que el precio y la información del producto sean correctas, y entonces reenvía la transacción al DPC utilizando un canal de comunicaciones seguro, como es Internet o cualquier otra red en general. La conexión al DPC es seguro ya que se utiliza la Encriptación Clave Pública y un intercambio de clave secreta.

Después de recibir y desencriptar una autorización telefónica, el DPC chequea de nuevo el número de teléfono y el código del comercio, valida el PIC-biométrico, y entonces envía la transacción a la red de rédito/débito para su autorización. Si la autorización es exitosa, el DPC añade la dirección del comprador al mensaje de respuesta y envía la respuesta al comercio.

El comercio recibe la respuesta del DPC, copia la dirección de correo, y reenvía el mensaje al usuario de nuevo a través de una breve sesión con el módem de conexión rápida. Cuando la transmisión al IPT se ha completado, se escucha un sonido de campanas, el módem desconecta, y el código privado del usuario (desencriptado por el BIA) se visualiza en la pantalla LCD. El vendedor del comercio recibe confirmación de que la dirección de correo del usuario es válida; si es así, la llamada finaliza y la transacción se completa.

1.4.12.5. Seguridad

Uno de los puntos de seguridad hace referencia a si las transacciones telefónicas son seguras por el mismo sistema telefónico. Aparte de la identificación biométrica, el problema central es asegurar que el número del usuario llamado alcanza actualmente el comercio en cuestión.

El enlace de las comunicaciones entre el PPT y el comercio no son seguras, por lo que se puede interceptar una autorización de compra entre el usuario y el comercio. Por lo que no resultan beneficios económicos de ello, por lo que tampoco es considerado como importante.

La seguridad del PPT es relativamente baja por la necesidad del precio, peso, y porque los problemas inherentes separación de responsabilidad del PIC introducido y desencriptación de código privado y presentación.

1.4.13. Terminal: Cable-TV punto de venta 1.4.13.1. Objetivo

El objetivo del punto de venta CATV (CPT) es autorizar transacciones financieras de crédito o débito de un usuario que está frente a su televisor (o "TV") seleccionando al comercio donde están presentes los objetos a vender a través por televisión.

1.4.13.2. Construcción

El CPT está formado por:

\bullet un BIA/CATV

\bullet un control remoto de televisión con registro BIA/CATV

\bullet un decodificador de señal digital Cable-TV

\bullet un lector de control remoto Cable-TV

\bullet un mecanismo de visualización en pantalla

\bullet acceso a las bandas de Cable-TV con dos canales de comunicaciones

El CPT acepta la identificación biométrica usando un BIA/CATV que se integra con el dispositivo de control remoto del televisor. El control remoto comunica con una caja superior de la televisión que comunica con la red de televisión por cable. El terminal está formado por la lógica remota de televisión que comunica con el BIA, así como la caja superior de la televisión que comunica con la el ancho de banda de la red.

1.4.13.3. Identificación

En esta transacción, el comercio y el usuario deben ser identificados para ejecutar la transacción.

El usuario es identificado por el PIC-biométrico.

El comercio es identificado como un comercio credencial, creado por el CATV divulgado en el momento en que el producto se muestra en televisión. Cada producto divulgado tiene un credencial de comercio-producto que consiste en un código de producto, una hora, una duración, y un precio que está firmado por la Encriptación de Clave Pública y la clave privada de red CATV divulgada. Este credencial de producto-comercio puede ser generado sólo a través de la red divulgada.

1.4.13.4. Operación

Como en un anuncio de televisión, en una información comercial, o en un canal de compra en casa visualizan un producto, la red de televisión por cable divulga información digital simultáneamente que describe una breve descripción, precio, y el credencial producto-comercio. Esta información digital es procesada y almacenada temporalmente en el CPT, preparada para ser accesible por el usuario cuando decide realizar una compra.

Para comprar alguna cosa que se está visualizando actualmente, el usuario selecciona la función de visualización en pantalla del control remoto de la televisión especial, el cual da órdenes al CPT de visualizar la información del texto en la pantalla que muestra actualmente la imagen del producto.

El usuario primero indica el número de objetos que desea comprar a través del visualizador de pantalla. Entonces se le indica que introduzca su PIC-biométrico, y su código de índice de cuenta. Una vez ha verificado que el precio final de la compra es el correcto, el producto, el precio, el código de la mercancía, el credencial producto-mercancía y el número de canales junto con el PIC-biométrico se utilizan para construir el mensaje de solicitud de Autorización de Transacción Remota. La solicitud se envía al comercio para la autorización a través de las bandas de Cable-Televisión con dos canales de comunicaciones.

Cada comercio que desee vender productos de esta forma debe tener la capacidad de recibir información de órdenes de compra a través de la red de bandas de televisión por cable.

Una vez se ha recibido la autorización de la solicitud, el comercio la envía al DPC usando una conexión a Internet segura o una conexión X.25.

Si el DPC autoriza la transacción, construye una respuesta de autorización que incluye la dirección de correo actual del usuario además del código de autorización, y el código privado encriptado. Una vez el comercio recibe la autorización, copia la autorización y la dirección de correo, y reenvía la autorización de vuelta al DPC, el cual visualiza entonces el código privado del usuario, finalizando así la transacción.

1.4.13.5. Seguridad

Esta arquitectura no permite a los criminales reenviar mensajes interceptados desde las bandas de Cable-TV, pero pueden leer partes de ellos. Si esto no se desea que ocurra, entonces los mensajes deben ser encriptados usando una clave pública Central CATV opcional, u otro "nivel" de encriptación entre el CATV caja superior (conocido en la industria) y la oficina local del CATV.

Para asegurar una conexión entre un comercio y el DPC, la conexión utiliza una clave de sesión que cambia diariamente que previamente ha sido intercambiada usando un sistema de intercambio de claves de claves de encriptación de claves públicas.

1.5. Descripción del Sistema: Centro procesador de datos 1.5.1. Introducción

El Centro Procesador de Datos (DPC) soporta autorizaciones de transacciones financieras y registro de usuarios como su principales responsabilidades. Además, almacena y recupera faxes seguros, documentos electrónicos y firmas electrónicas.

Cada sitio DPC está formado por un número de ordenadores y bases de datos conectados entre sí a través de una LAN (conocido en la industria) tal como se muestra en la Figura General del DPC (número **). Múltiples sitios DPC aseguran un servicio fiable respecto a fallos de maquinaria serios o desastres respecto a un único sitio DPC. Además, cada sitio DPC tiene un sistema de redundante de potencia eléctrica y múltiple redundancia en todos los sistemas de base de datos y maquinaria críticos.

Los componentes del DPC pueden fallar en tres categorías: maquinaria, programa y bases de datos. A continuación se indica una breve descripción, por categoría de cada componente. Las descripciones más detalladas aparecen en las siguientes secciones.

1.5.1.1. Maquinaria

FW	Dispositivo Corta Fuegos: El punto de entrada del sitio DPC.
GM	Dispositivo Pasarela: El sistema coordinador y procesador de mensajes.
DPCLAN	DPC Red de Área Local: conecta los sitios DPC.

1.5.1.2. Bases de datos

IBD	Base de Datos Biométrica del usuario: identifica usuarios a través de su código PIC y biométrico.
PFD	\begin{minipage}[t]{140mm} Base de Datos Contra Fraude: lista los usuarios que han defraudado el sistema y pueden chequear si un biométrico es igual al de cualquier otro usuario.\end{minipage}
VAD	\begin{minipage}[t]{140mm} Base de Datos de Aparatos Válidos: almacena información solicitada para validar y desencriptar mensajes BIA.\end{minipage}
AOD	\begin{minipage}[t]{140mm} Base de Datos del propietario del Aparato: almacena información acerca del propietario de los dispositivos BIA.\end{minipage}
ID	Base de Datos Emisor: identifica los bancos emisores que forman parte del sistema.
AID	\begin{minipage}[t]{140mm} Base de Datos de Usuario Autorizado: almacena la lista de usuarios con permiso para uso individual o dispositivos emisores BIA.\end{minipage}
RMD	\begin{minipage}[t]{140mm} Base de Datos de Comercios Remotos: almacena la información necesaria para procesar las transacciones de las compras a través del teléfono y de la televisión por cable.\end{minipage}
EDD	\begin{minipage}[t]{140mm} Base de Datos de Documentos Electrónicos: almacena documentos electrónicos, como son los faxes y correos electrónicos, para reenviarlos a los usuarios autorizados.\end{minipage}
ESD	\begin{minipage}[t]{140mm} Base de Datos de firmas electrónicas: almacena firmas de documentos electrónicos para ser verificados por una tercera parte.\end{minipage}

1.5.1.3. Programa

MPM	\begin{minipage}[t]{140mm} Módulo Procesador de Mensaje: procesa cada mensaje de acuerdo con los otros módulos de programa y bases de datos solicitado para realizar la tarea de mensaje.\end{minipage}
SNM	Módulo de Número de Secuencia: procesa el número de secuencia DUKPT.
MACM	Módulo de Código de Autentificación de Mensaje: valida y genera el MAC
MDM	Módulo de Desencriptación de Mensaje: encripta y desencripta el BIA solicitado y responde.
PGL	\begin{minipage}[t]{140mm} Lista de Grupo de PIC: revisa cada PIC de los grupos de PIC y configura los elementos de la base de datos que dependen en la lista de los grupos PIC.\end{minipage}
IML	\begin{minipage}[t]{140mm} Lista de Máquina IBD: revisa las bases de datos principales y de seguridad dedicadas a soportar los registros IBD para cinco PIC del grupo.\end{minipage}

1.5.1.4. Terminología

Cuando se define el esquema de la base de datos, se utiliza la siguiente terminología para describir los diferentes tipos de campos:

int<X>	Una integral tipo usando <X> bytes del almacenamiento
char<X>	un carácter matriz de <X> bytes
texto	Una matriz de caracteres de longitud variable
<tipo>[X]	Una matriz de longitud <X> de un tipo específico
tiempo	un tipo usado para almacenar tiempo y fecha
biométrico	un tipo de dato binario utilizado para almacenar el biométrico
fax	un tipo de dato binario utilizado para almacenar imágenes de fax

Cuando se describen los requisitos de almacenamiento de la base de datos, el término "expectante" significa la condición expectante de un sistema completamente cargado.

1.5.2. Descripción del protocolo

Los terminales realizan sus tareas mandando los paquetes solicitados al sitio DPC. El sitio DPC devuelve un paquete de respuesta que contiene el estado de la solicitud exitosa o fallida.

La comunicación se realiza vía conexión lógica o física - orientada al mecanismo de entrega del mensaje como son las conexiones X.25, las conexiones TCP/IP, o una llamada telefónica a un banco de módems. Cada sesión mantiene la conexión con el terminal abierto hasta que el DPC reenvía su respuesta al terminal.

El paquete de solicitud contiene parte de un mensaje BIA y parte de un mensaje terminal:

\newpage

Parte mensaje BIA

\hskip0.7cm

Número de versión de protocolo

\hskip0.7cm

Tipo de mensaje

\hskip1.5cm

4-bytes de identificación BIA

\hskip1.5cm

4-bytes de número de secuencia

\hskip1.5cm

<datos específicos del mensaje>

\hskip1.5cm

Código de Autentificación del Mensaje (MAC)

\hskip0.7cm

Parte mensaje terminal

\hskip1.5cm

<datos específicos del terminal>

La parte del mensaje BIA se construye a través del dispositivo BIA. Incluye uno o dos biométricos, un PIC, autorización de cantidades, y el contenido de registros generales que se mandan a través del terminal. Nota: en la parte de mensaje BIA, el MAC sólo actúa en la parte BIA y no en la parte terminal.

Un terminal puede introducir datos adicionales para la solicitud de mensaje en la parte de mensaje terminal. El BIA proporciona una clave de mensaje que para permitir al terminal asegurar los datos de la parte terminal. El BIA incluye automáticamente la clave de mensaje en los bloques PIC de paquetes encriptados cuando es necesario. El terminal realiza además el mismo la encriptación de la clave de mensaje.

El paquete respuesta contiene un cabezal estándar y dos cuerpos de mensaje de libre forma opcionales: uno con un MAC y otro sin:

Cabezal Estándar

\hskip0.7cm

Número de versión de protocolo

\hskip0.7cm

Tipo de mensaje

Parte de mensaje forma libre opcional con MAC

\hskip0.7cm

<datos específicos de mensaje>

\hskip0.7cm

MAC

Parte de mensaje forma libre opcional sin MAC

\hskip0.7cm

<datos específicos de mensaje adicional>

El cuerpo del mensaje con un MAC se envía al BIA, quien debe validar cual es la parte de la respuesta que no ha sido descompuesta y visualizar el código privado del usuario. La parte del mensaje sin un MAC se utiliza para transmitir gran cantidad de datos, como son los imágenes de fax, que no son enviados al BIA para la validación MAC ya que la conexión del BIA al terminal se debe realizar con un ancho de banda determinado.

1.5.3. Paquetes procesados

En una realización preferida de la invención con múltiples sitios DPC, un terminal necesita sólo enviar su solicitud a uno de los sitios DPC, típicamente el más cercano, porque este sitio realiza automáticamente la actualización de los otros mediante las transacciones distribuidas cuando sea necesario.

Cuando uno de los sitios Dispositivos Corta Fuegos DPC recibe un paquete, lo reenvía a una de los dispositivos GM para el proceso actual. Cada GM tiene un Módulo Procesador de Mensaje que realiza la coordinación entre los componentes DPC requeridos para procesar la solicitud y enviar de nuevo la respuesta al remitente.

1.5.4. Paquetes de validación y desencriptación

Todos los paquetes del Dispositivo Corta-Fuegos DPC, con la excepción de los no construidos por un BIA, contienen un código de identificación de maquinaria BIA (la identificación del BIA del paquete), una secuencia numérica, y un código de autentificación de mensaje (MAC). El GM pregunta al Módulo MAC para validar el paquete MAC y después chequear la secuencia numérica con el módulo de número de secuencia. Si ambos confirman la salida, el GM pasa el paquete al Módulo Desencriptador de Mensaje para desencriptarlo. Si alguna de las verificaciones falla, el GM muestra una señal de aviso, termina el proceso para el paquete, y devuelve un mensaje de error al dispositivo BIA.

Actualmente, los únicos tipos de mensajes que no están construidos por el BIA son la solicitud de Datos de Fax Seguros y la solicitud de Datos de Documentos Electrónicos.

1.5.5. Paquetes respuesta

Cada paquete que recibe el DPC puede contener una clave de respuesta opcional almacenada en el bloque PIC-biométrico encriptado del paquete. Antes de que el DPC responda a la solicitud que incluye una clave de respuesta, encripta el paquete de respuesta junto con la clave de respuesta. Se genera también un Código de Autentificación de Mensaje que se adjunta al paquete.

La única excepción para encriptar paquetes de respuesta se aplica a los mensajes de error. Los errores nunca deben ser encriptados y nunca deben incluir información confidencial. Por otra parte, muchos paquetes de respuesta incluyen un estado o código de respuesta que puede indicar cuando ha sucedido o no la solicitud. Por ejemplo, cuando el DPC declina una autorización de crédito, no deben retornar un paquete de error, retorna un paquete de respuesta de transacción normal con un código indicativo de "fallido".

1.5.6. Procedimientos DPC

El DPC tiene dos procedimientos utilizados comúnmente con solicitudes de procedimientos.

1.5.6.1. Procedimiento de identificación de usuario

Para solicitudes que requieran el DPC para identificar a un usuario, el DPC ejecuta el siguiente procedimiento: utilizando el código CIP, el DPC busca la Lista de Máquinas IBD para el principal y redunda las máquinas IBD responsables de realizar identificaciones para el código PIC dado. Después, el DPC manda la solicitud de identificación tanto a la máquina principal como a las redundantes dependiendo en cual sea la menos cargada. La máquina IBD responde con el registro IBD para el usuario o un error de "usuario no encontrado".

La máquina IBD recupera todos los registros del PIC dado. Usando un dispositivo de maquinaria biométrica propietaria, la máquina IBD compara cada registro biométrico primario con los biométricos de usuarios que llegan en el marcador de comparación que indica la similitud entre dos biométricos. Si el biométrico no tiene en el marcador de comparación ninguno suficientemente cerca, las comparaciones se repiten usando los biométricos secundarios. Si ninguno de los biométricos secundarios tiene un marcador de comparación suficientemente cerca, entonces la máquina IBD devuelve un error de "usuario no encontrado". Por otra parte, la máquina IBD retorna el registro IBD completo del usuario, con los campos de código privado, números de cuenta, títulos y como se deben obtener.

1.5.6.2. Procedimiento de respuesta de emergencia

Para solicitudes que incluyen un índice de cuenta, el DPC gestiona el caso donde el individuo escoge su índice de cuenta de emergencia. El GM procesa la solicitud e inmediatamente notifica al personal de atención al cliente del DPC, indicadores de aviso, y su paquete de respuesta a ver para un código de respuesta de "emergencia" y proporciona asistencia como es el mecanismo de pantalla falsa descrito en la sección del terminal ATM. El DPC incrementa también el contador de uso de emergencia del registro IBD del usuario siempre que el índice de cuenta de emergencia sea accesible.

1.5.7. Requisitos de protocolo

Las siguientes secciones describen cada protocolo solicitud/respuesta y las acciones que realiza el DPC para caracterizarlas.

La lista de paquetes de protocolo son:

\bullet Identificación de usuario

\bullet Autorización de Transacción

\bullet Registro

\bullet Acceso a cuenta

\bullet Lote emisor

\bullet Envío de fax seguro

\bullet Datos de fax seguro

\bullet Rastreo de fax seguro

\bullet Recuperación de fax seguro

\bullet Rechazo de Fax Seguro

\bullet Archivo de Fax Seguro

\bullet Aceptación de Contrato de Fax Seguro

\bullet Rechazo de Contrato de Fax Seguro

\bullet Cambio de Organización de Fax Seguro

\bullet Envío de Documento Electrónico

\bullet Datos de Documento Electrónico

\bullet Rastreo de Documento Electrónico

\bullet Rechazo de Documento Electrónico

\bullet Archivo de Documento Electrónico

\bullet Recuperación de Archivo de Documento Electrónico

\bullet Firma Electrónica

\bullet Verificación de Firma Electrónica

\bullet Credencial de red

1.5.7.1. Identificación de usuario

Solicitud de Identificación de Usuario

Parte BIA:

4-bytes de identificación BIA

4-bytes de secuencia de números

bloque PIC-Biométrico encriptado (clave DUKPT)

\hskip0.7cm

300-bytes autorización biométrica

\hskip0.7cm

56-bit clave de respuesta

\hskip0.7cm

MAC

Parte terminal: (no utilizada)

Respuesta de Identificación de Usuario

encriptado(clave de respuesta):

\hskip0.7cm

texto de código privado

nombre de usuario

código de identificación biométrico

MAC

La identificación de usuario solicitada incluye un bloque PIC-biométrico que utiliza el DPC con el procedimiento de identificación de usuario para identificar el usuario. Si el usuario es identificado, entonces el DPC responde con el nombre del usuario, la identificación biométrica y un código privado. Por otra parte, el DPC responde con un mensaje de error "usuario desconocido".

1.5.7.2. Autorización de Transacción

Solicitud de Autorización de Transacción

Parte BIA:

4-bytes de identificación BIA

4-bytes de secuencia de números

bloque PIC-Biométrico encriptado (clave DUKPT)

\hskip0.7cm

300-bytes autorización biométrica

\hskip0.7cm

56-bit clave de respuesta

\hskip0.7cm

[clave de mensaje opcional 56-bits]

índice de cuenta

precio

identificación de comercio

[información de producto formato libre opcional]

[código de comercio opcional (teléfono#, canal# + tiempo, nombre del servidor)]

[solicitud de dirección enviada opcional]

MAC

Parte Terminal: (no usada)

Respuesta de Autorización de Transacción

encriptado (clave de respuesta):

\hskip0.7cm

texto de código privado

respuesta de autorización

detalle de autorización (código auto, identificación de transacción, etc.)

[información de dirección de usuario opcional]

código de respuesta (fallo, correcto, alarma)

MAC

Existen dos subtipos de autorizaciones de transacciones básicas: al detalle y remotas.

Para autorizaciones al detalle, el DPC identifica la compra del usuario a través del bloque PIC-biométrico de la solicitud. Si el usuario no puede ser identificado, el DPC contesta con un mensaje de error "usuario desconocido".

Después, el DPC envía una solicitud de autorización externa (creando la cuenta de valores del dispositivo BIA propietario y cargando la cuenta de valores del usuario) a uno de los servicios de autorización financieros existentes en función de tipo de cuentas de valores involucradas (como es Visa™ o American Express™). Si el servicio de autorización financiera externo aprueba la transacción, el DPC devuelve los códigos de autorización externas y responde con un código "ok" dispositivo BIA. Por otra parte, el DPC retorna la razón por la cual se ha denegado la autorización y selecciona el código respuesta a "fallo". En este caso, el DPC incluye el código privado de usuario en la respuesta.

Cuando el DPC revisa las cuentas de valores del usuario a través del índice de cuenta de la solicitud, la cuenta escogida debe ser una cuenta de "emergencia". Si esto ocurre, el DPC continúa con el procedimiento de respuesta de emergencia. Sin embargo, la autorización externa ocurre de todas maneras.

La autorización remota se genera por teléfono, orden de correo, o comercios de televisión por cable. El DPC realiza autorizaciones remotas de la misma manera que la autorización al detalle pero con las siguientes excepciones:

i)

las autorizaciones remotas incluyen un código de comercio electrónico con el que el DPC chequea de nuevo la Base de Datos de Comercios Remotos para validar el paquete de identificación de comercio con uno de los almacenados en la base de datos. Además, la cuenta de valores creditada es la cuenta del comercio remoto, no la cuenta del propietario del dispositivo BIA.

ii)

Adicionalmente, el dispositivo BIA que genera las autorizaciones remotas tiende a ser el dispositivo BIA. El DPC verifica la identificación biométrica del usuario identificado en la lista de la Base de Datos de Usuarios Autorizados de usuarios validados para usar el dispositivo BIA. Si el usuario no está autorizado para usar el dispositivo, entonces el DCP deniega la solicitud de autorización.

iii)

Finalmente, el paquete de autorización debe contener un indicador de "direcciones enviadas". Este indicador informa al DPC a incluir las direcciones de usuarios en el paquete de respuesta y es utilizado usualmente sólo para las órdenes de compra por correo.

1.5.7.3. Registro

Solicitud de Registro

Parte BIA:

4-bytes de identificación BIA

4-bytes de secuencia de números

bloque PIC-Biométrico encriptado (clave DUKPT)

\hskip0.7cm

1000-bytes biométrico primario

\hskip0.7cm

1000-bytes biométrico secundario

\hskip0.7cm

4-12 dígitos PIC

56-bit clave de respuesta

56-bit clave de mensaje

MAC

Parte Terminal:

encriptado (clave de mensaje):

nombre

dirección

código zip

código privado

lista de cuentas de valores (código de índice de cuenta, cuenta#)

cuenta de emergencia (código de índice de cuenta, cuenta#)

lista de título (código de índice título, nombre de título)

Registro de Respuesta

código de estado

encriptado (clave de respuesta):

\hskip0.7cm

texto de código privado

\hskip0.7cm

PIC

\hskip0.7cm

código de identificación biométrica

\hskip0.7cm

lista de DPC escogiendo PICs (si la elección original se ha rechazado)

\hskip0.7cm

código de estado (correcto, rechazo)

\hskip0.7cm

MAC

Usuarios registrados con el DPC vía Terminal de Registro Biométrico (BRT). El BRT envía al DPC un paquete de registro que contiene biométricos primarios y secundarios y código de identificación personal, junto con datos auxiliares como son el nombre de usuario, dirección, una lista de cuentas de valores financieros, el código privado y la cuenta de emergencia. Opcionalmente, el usuario debe incluir una dirección de correo electrónico, y una lista de títulos incluyendo títulos y el código de índice de título, como el número de la Seguridad Social (o "SSN"). El usuario debe escoger su propio código PIC o dejar que el sistema le escoja uno. En la etapa de modificación ningún dato previamente introducido puede ser modificado o borrado.

En cualquier momento, sólo un sitio DPC actúa como sitio de registro, para implementar simplicidad. Los paquetes de solicitud registrados recibidos por los sitios DPC de no registro se reenvían al sitio de registro actual. El registro del sitio DPC caracteriza el chequeo de registro completo, asignando registros IBD a máquinas IBD, y la transacción distribuida requiere actualizar todos los sitios DPC.

El sitio DPC de registro selecciona el código PIC para la solicitud de registro que no especifica una, almacena el registro IBD en las máquinas IBD principal y de seguridad (tal como se especifica en la Lista de grupo PIC), y chequea la conveniencia del PIC y biométrica del paquete de registro antes de lanzar la transacción distribuida para actualizar los otros sitios DPC.

El DPC sigue un código de identificación personal y una duplicidad de muestra biométrica en la etapa de chequeo donde los biométricos y el código de identificación personal se añaden durante la etapa de registro y se chequea contra todos los registros biométricos previos actualmente asociados con el código de identificación personal idéntico. El DPC debe rechazar el registro debido a las siguientes razones: el código PIC es demasiado popular, o los biométricos son demasiado similares a otros biométricos almacenados bajo el PIC seleccionado. Para ayudar al usuario a escoger un PIC aceptable, el DPC genera una corta lista de códigos PIC para los que el registro estará garantizado ya que se reservan durante un período de tiempo. El BRT indica entonces al usuario un nuevo PIC que se debe escoger de la lista de PICs buenos.

1.5.7.4. Acceso a Cuenta

Solicitud de Acceso a Cuenta

Parte BIA:

4-bytes de identificación BIA

4-bytes de secuencia de números

bloque PIC-Biométrico encriptado (clave DUKPT)

\hskip0.7cm

300-bytes biométrico de autorización

\hskip0.7cm

4-12 dígitos PIC

\hskip0.7cm

56-bit de clave de respuesta

\hskip0.7cm

[clave de mensaje de 56-bit opcional]

\hskip0.7cm

índice de cuenta

\hskip0.7cm

MAC

Parte terminal: (no usada)

Respuesta de Acceso a Cuenta

encriptado (clave de respuesta):

\hskip0.7cm

código de texto privado

\hskip0.7cm

[CIP opcional]

número de cuenta de valor

código de respuesta (fallo, correcto, alarma)

MAC

La solicitud de acceso a cuenta permite a las máquinas cajero automático equipadas con BIA proporcionar una forma más segura y conveniente para identificarse los propios usuarios en la ATM.

El dispositivo de pasarela identifica al usuario por medio del PIC biométrico del paquete y utiliza el índice de cuenta especificado para escoger el número de cuenta de valor que va a entregar.

Cuando el dispositivo de pasarela busca la cuenta de valor del usuario utilizando el índice de cuenta de la solicitud, la cuenta escogida puede ser la cuenta de "alarma". Si esto ocurre, el dispositivo de pasarela sigue el procedimiento de respuesta a alarma.

1.5.7.5. Lote de emisor

Solicitud de lote de emisor

Parte del BIA:

4 bytes de identificación de BIA

4 bytes de número de secuencia

bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

\hskip1.7cm

clave de mensaje de 56 bits

código de emisor

MAC

Parte del terminal:

lista de lote encriptada (clave de mensaje):

añadir <identificación biométrica> <índice de

\hskip0.7cm

cuenta> <cuenta de valor> [bandera de alarma]

\hskip0.7cm

quitar <identificación biométrica> <índice de

\hskip0.7cm

cuenta> <cuenta de valor>

Respuesta de lote del emisor

encriptado (clave de respuesta):

\hskip0.7cm

texto de código privado

código de respuesta (fallo, correcto, alarma)

MAC

lista de fallo encriptada (clave de mensaje):

\hskip0.7cm

fallo <comando> <código>

\hskip0.7cm

...

La solicitud de lote de emisor permite que un banco emisor u otra autoridad pueda realizar un mantenimiento rutinario sobre la base de datos biométrica individual. El DPC registra una advertencia de violación de seguridad si recibe cualquier solicitud de lote de emisor procedente de cualquier dispositivo BIA no emisor, y también rechaza procesar la solicitud.

El DPC identifica al usuario que realiza la solicitud de lote siguiendo el proceso de identificación del usuario. El DPC a continuación comprueba que el usuario se encuentra registrado en la base de datos de usuarios autorizados para utilizar el dispositivo BIA implantado en el terminal emisor de envío.

El DPC también utiliza el código de emisor de la solicitud para buscar la identificación de propietario del dispositivo en la base de datos del emisor y compararlo con la identificación de propietario del dispositivo almacenada en la base de datos de dispositivos válidos para asegurarse de que el código de emisor no es falsificado.

El DPC a continuación ejecuta los comandos añadir y quitar en la lista de lote de la clave de mensaje. La lista de lote es una lista de comandos separados por salto de línea. Los comandos válidos son:

añadir <identificación biométrica> <índice de cuenta> <cuenta de valor> [<bandera de alarma>]

quitar <identificación biométrica> <índice de cuenta> <cuenta de valor>

El comando añadir añade la cuenta de valor a la lista de cuenta en el índice de cuenta especificado. La bandera de alarma opcional indica si el índice de cuenta concreto es tratado como la cuenta de alarma del usuario. Si la cuenta de valor almacenada actualmente en la lista de cuenta no pertenece al emisor, el comando falla. Esta característica que un banco pueda añadir o quitar cuentas de valor de los clientes de otro banco sin el conocimiento o la autorización del usuario.

El comando quitar separa la cuenta de valor de usuario almacenada en el índice de cuenta especificado de la lista de cuentas. Si la cuenta de valor almacenada actualmente en la lista de cuentas no se corresponde con la cuenta que el usuario quiere eliminar, el comando falla.

Para cada comando del lote que no se ejecutó correctamente, el dispositivo de pasarela registra una advertencia de violación de seguridad y añade una entrada a la lista de fallos de la respuesta. La entrada de fallo comprende el texto de la orden y el código de error.

1.5.7.6. Envío de fax seguro

Solicitud de envío de fax seguro

Parte del BIA:

4 bytes de identificación de BIA

4 bytes de número de secuencia

bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

PIC de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

\hskip1.7cm

clave de mensaje de 56 bits

modo de seguridad (sin seguridad, con seguridad de emisor, con seguridad, confidencial con seguridad)

\hskip0.7cm

código de índice de título de emisor

\hskip0.7cm

número de fax de emisor

\hskip0.7cm

extensión de fax de emisor

\hskip0.7cm

lista de receptores

\hskip0.7cm

[indicador de fax de archivo opcional]

\hskip0.7cm

[indicador opcional de contrato/acuerdo]

Parte de terminal: (no se utiliza)

Respuesta a solicitud de envío de fax seguro

encriptado (clave de respuesta):

\hskip0.7cm

texto de código privado

número de rastreo de fax

MAC

Cuando el DPC recibe una solicitud de envío de fax seguro, identifica al individuo a partir del PIC biométrico de la solicitud por medio de seguir el proceso individual de identificación. Esta identificación, junto con el título individual descrito por medio del código de índice de título, se presenta a los receptores de forma que el emisor del fax sea siempre identificado de forma fiable.

El DPC genera un número de rastreo para propósitos de rastreo almacena éste, la identificación biométrica del emisor, el modo de seguridad y la clave de mensaje en un documento de registro del EDD creado nuevo. Para cada receptor de la lista de receptores, el DPC crea también un registro de receptores. El DPC a continuación espera que el dispositivo de envío de fax transmita los datos de fax codificados con la clave de mensaje.

Si la petición comprende un indicador de "archivo de fax" o "contrato/acuerdo", el EDD coloca una copia de los registros de documento y de receptores en la base de datos de archivo. También se realiza sobre las versiones archivadas cualquier actualización subsiguiente de estos registros.

Los datos de fax se envían en una etapa separada de forma que si el emisor se equivoca al entrar su biométrico y CIP, el sistema se lo notifica antes de que pierda el tiempo proporcionando el documento a la máquina de fax.

1.5.7.7. Datos de fax seguro

Solicitud de datos de fax seguro

Parte del BIA: (no se utiliza)

Parte del terminal:

número de rastreo de fax

\hskip0.5cm

encriptado (clave de mensaje):

\hskip0.8cm

datos de imagen de fax

estado (incompleto, correcto)

La solicitud de datos de fax seguro permite a una máquina de fax seguro enviar la imagen de fax al DPC para su entrega a el/los receptores previamente especificados. Esta petición no implica ninguna identificación biométrica y en su lugar confía en la clave de mensaje secreta para transmitir la imagen de forma segura.

Los datos de imagen de fax se codifican por medio de la clave de mensaje registrada por la solicitud de envío de fax seguro. Una vez que el DPC ha recibido el fax entero, envía un mensaje de notificación de recepción de fax seguro a cada uno de los números de fax de los receptores. El DPC obtiene la lista de receptores por medio de interrogar al EDD sobre todos los registros de receptores que contienen el número de rastreo de fax. El registro de receptores contiene el número de fax de destino y una extensión opcional. Después de enviar la notificación de llamada, el DPC actualiza el campo de estado de envío del registro de receptores a "notificado". Nota: si el número de fax de destino se encuentra ocupado, el DPC marca el campo de estado de envío del registro de receptores como "notificado" y vuelve a intentar enviar la notificación periódicamente (esto es, cada 10 minutos) hasta que tiene éxito y en ese momento, actualiza el campo de estado a "notificado".

La notificación de llegada es de la forma siguiente:

Notificación de llegada de fax seguro (mensaje de fax)

\hskip0.7cm

nombre del emisor, compañía, título

\hskip1.7cm

y número de fax

\hskip1.7cm

número de rastreo de fax

\hskip1.7cm

instrucciones sobre cómo descargar el fax

El DPC solamente envía al emisor una notificación de estado a través de fax cuando o bien todos los receptores han obtenido o rechazado el fax. El emisor puede interrogar al DPC utilizando la solicitud de seguimiento de fax seguro (ver a continuación) para obtener el estado actual de todos los receptores.

La notificación de estado es de la forma siguiente:

Notificación de estado de fax seguro (mensaje de fax)

\hskip0.7cm

nombre del emisor, compañía, título

\hskip1.7cm

y número de fax

\hskip1.7cm

número de rastreo de fax

\hskip1.7cm

lista de receptores que muestra:

\hskip2.2cm

nombre, compañía, título y número

\hskip3cm

de fax

\hskip3cm

fecha de entrega y estado

\hskip3cm

estado de contrato/acuerdo

El DPC encuentra la información de la compañía y título de cada usuario en la tabla de organización de EDD.

El DPC no envía una notificación de recepción de fax seguro a los usuarios que no se encuentran registrados en el sistema y por tanto no pueden recibir faxes seguros o en los modos sin seguridad de receptor. En su lugar, el DPC les envía directamente el fax. Si la línea de fax se encuentra ocupada, el DPC lo vuelve a intentar cada 10 minutos hasta que tiene éxito en la entrega del fax.

1.5.7.8. Rastreo de fax seguro

Solicitud de rastreo de fax seguro

Parte del BIA:

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque biométrico encriptado (clave DUKPT)

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

\hskip1.7cm

clave de mensaje de 56 bits

número de rastreo de fax

MAC

Parte del terminal: (no se utiliza)

Respuesta de rastreo de fax seguro

encriptado (clave de respuesta).

\hskip0.7cm

código de texto privado

\hskip0.5cm

compendio de mensajes para rastreo de imagen de fax de respuesta

\hskip0.5cm

código de estado (correcto, fallo)

\hskip0.5cm

MAC

\hskip0.5cm

imagen de fax para lista de estado de receptores

El DPC trata la solicitud de rastreo de fax seguro por medio de obtener todos los registros del EDD para el fax y generar un mensaje de fax para presentar los registros. Si el usuario que realiza la solicitud de rastreo no es el emisor del documento de fax, entonces el DPC establece el código de estado a fallo y pone un fax vacío como respuesta.

El fax de respuesta de rastreo contiene información que describe el estado de la entrega del fax a cada receptor. Este fax contiene información de estado como línea ocupada, aviso de llegada de fax enviado, fax enviado, fax rechazado, contrato aceptado, etcétera.

El aviso de rastreo es de la forma siguiente:

Aviso de seguimiento de fax seguro (mensaje de fax)

nombre del emisor, compañía, título, y

número de fax

número de seguimiento de fax

lista de receptores mostrando:

\hskip1cm

nombre, compañía, título, y número

\hskip1cm

de fax

\hskip1cm

fecha de entrega y estado

\hskip1cm

estado de contrato 1.5.7.9. Entrega de fax seguro

Solicitud de entrega de fax seguro

Parte del BIA:

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

número de rastreo de fax

MAC

Parte del terminal: (no se utiliza)

Respuesta de entrega de fax seguro

encriptado (clave de respuesta):

\hskip0.7cm

código privado

\hskip1.5cm

clave de mensaje de 56 bits

estado (incompleto, correcto, receptor inválido)

compendio de mensajes para imagen de fax

MAC

encriptado (clave de mensaje):

\hskip0.7cm

imagen de fax

El DPC utiliza el PIC biométrico para identificar al usuario que realiza la solicitud de obtención siguiendo el procedimiento de identificación de usuario. Si no existe ningún registro de receptor de EDD para el usuario y para el fax especificado, entonces el DPC responde con un estado "receptor inválido".

El DPC obtiene la imagen encriptada desde el registro de documento de EDD con el número de rastreo de fax correcto y la identificación biométrica que devuelve al solicitante.

La imagen de fax comprende una página de cubierta que indica si el fax es un contrato/acuerdo y el nombre, compañía, título, número de fax y extensión del emisor.

Cuando el último receptor ha recibido o rechazado el fax, el DPC envía un aviso de estado a través de fax (ver datos de fax seguro, arriba) al emisor del fax y a continuación planifica eliminar los registros de documento y receptor del EDD dentro de un periodo de tiempo configurable. El periodo de tiempo es para permitir a los receptores un tiempo suficiente para decidir si archivar o no el fax.

1.5.7.10. Rechazo de fax seguro

Parte del BIA:

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

número de rastreo de fax

MAC

Parte del terminal: (no se utiliza)

Respuesta de rechazo de fax seguro

encriptado (clave de respuesta):

\hskip0.7cm

código privado

\hskip1.5cm

código de estado (correcto, receptor inválido)

\hskip1.5cm

MAC

El DPC utiliza el PIC biométrico para identificar al usuario que realiza la solicitud de rechazo de fax seguro. El DPC encuentra el registro de receptor del EDD con la clave del número de rastreo de fax de la solicitud y la identificación biométrica del usuario. Si no se puede encontrar el registro entonces la solicitud falla con un estado de "receptor inválido".

Cuando el último receptor ha recibido o rechazado el fax, el DPC envía un aviso de estado a través de fax (ver datos de fax seguro, arriba) al emisor del fax y a continuación planifica eliminar los registros de fax y seguimiento del EDD dentro de un periodo de tiempo configurable. El periodo de tiempo es para permitir a los receptores un tiempo suficiente para decidir si archivar o no el fax.

1.5.7.11. Archivo de fax seguro

Solicitud de archivo de fax seguro

Parte del BIA:

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

número de rastreo de fax

MAC

Parte del terminal: (no se utiliza)

Respuesta de archivo de fax seguro

encriptado (clave de respuesta):

\hskip0.7cm

código privado

\hskip0.5cm

código de estado (correcto, usuario inválido)

\hskip0.5cm

MAC

El DPC utiliza el PIC biométrico para identificar al usuario que realiza la solicitud de archivo de fax seguro. El DPC encuentra el registro de receptor del EDD con la clave del número de rastreo de fax de la solicitud y la identificación biométrica del usuario. Si no se puede encontrar el registro y el usuario no es el emisor o uno de los receptores, entonces la solicitud falla con un estado de "usuario inválido". En otro caso, el DPC copia los registros de documento y receptor en la base de datos de archivo del EDD. Cualquier cambio posterior de estos registros si copia también en las versiones archivadas.

1.5.7.12. Aceptación de contrato de fax seguro

Solicitud de aceptación de contrato de fax seguro

Parte del BIA:

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

número de rastreo de fax

MAC

Parte del terminal: (no se utiliza)

Respuesta de aceptación de contrato de fax seguro

encriptado (clave de respuesta):

\hskip0.7cm

código privado

\hskip0.5cm

código de estado (correcto, usuario inválido)

\hskip0.5cm

MAC

\newpage

El DPC utiliza el PIC biométrico para identificar al usuario que realiza la solicitud de aceptación de contrato de fax seguro. El DPC encuentra el registro de receptor del EDD con la clave del número de rastreo de fax de la solicitud y la identificación biométrica del usuario. Si no se puede encontrar el registro y el usuario no es el emisor o uno de los receptores, entonces la solicitud falla con un estado de "receptor inválido". En otro caso, el DPC actualiza el campo de estado de contrato del registro de receptor como "aceptado" y genera un aviso de estado para el emisor del fax (ver datos de fax seguro, arriba).

1.5.7.13. Rechazo de contrato de fax seguro

Solicitud de rechazo de contrato de fax seguro

Parte del BIA:

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

número de rastreo de fax

MAC

Parte del terminal: (no se utiliza)

Respuesta de rechazo de contrato de fax seguro

encriptado (clave de respuesta):

\hskip0.7cm

código privado

\hskip0.5cm

código de estado (correcto, usuario inválido)

\hskip0.5cm

MAC

El DPC utiliza el PIC biométrico para identificar al usuario que realiza la solicitud de rechazo de contrato de fax seguro. El DPC encuentra el registro de receptor del EDD con la clave del número de rastreo de fax de la solicitud y la identificación biométrica del usuario. Si no se puede encontrar el registro y el usuario no es el emisor o uno de los receptores, entonces la solicitud falla con un estado de "receptor inválido". En otro caso, el DPC actualiza el campo de estado de contrato del registro de receptor como "rechazado" y genera un aviso de estado para el emisor del fax (ver datos de fax seguro, arriba).

1.5.7.14. Cambio de organización de fax seguro

Cambio de organización de fax seguro (mensaje de fax seguro)

nombre de emisor, compañía, título, y número de fax

lista de cambios de organización

Los cambio de organización se entregan al DPC a través de un mensaje de fax seguro. Un ingeniero de atención al cliente introduce los cambios solicitados en el mensaje de fax, verificando que el usuario que entrega la solicitud está autorizado para registrar usuarios para esa compañía concreta. Puesto que el fax es un fax seguro, la identidad del emisor ya se ha verificado, así como su título.

1.5.7.15. Entrega de documento electrónico

Solicitud de entrega de documento electrónico

Parte del BIA:

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

\hskip1.7cm

clave de mensaje de 56 bits

lista de receptores

MAC

Parte del terminal: (no se utiliza)

Respuesta de entrega de documento electrónico

encriptado (clave de respuesta):

\hskip0.7cm

texto de código privado

\hskip0.5cm

número de rastreo

\hskip0.5cm

código de estado (correcto, receptor inválido)

\hskip0.5cm

MAC

Cuando el DPC recibe una solicitud de entrega de documento electrónico, identifica al usuario siguiendo el procedimiento de identificación de usuario.

A continuación el DPC crea un registro de documento del EDD y le asigna un número de rastreo único. El DPC inicializa el código de identificación de emisor del registro para que sea el código biométrico de identificación del usuario identificado y la clave de mensaje para que sea la clave de mensaje de la solicitud.

A continuación, el DPC busca en la base de datos biométricos de usuario cada receptor y crea un registro de receptor de EDD para cada uno. Cada registro se inicializa con el número de rastreo, el código de identificación biométrica del receptor, y un estado de entrega de "incompleta". Si no se puede encontrar alguno de los receptores, el DPC responde con un estado de "receptor inválido".

1.5.7.16. Datos de documento electrónico

Solicitud de datos de documento electrónico

Parte del BIA: (no se utiliza)

Parte del terminal:

número de rastreo

comando (abortar o datos)

[desplazamiento de mensaje opcional]

indicación de completado

encriptado (clave de mensaje):

\hskip0.7cm

cuerpo del mensaje

Respuesta de datos de documento electrónico

\hskip0.7cm

estado (incompleto, correcto)

La solicitud de datos de documento electrónico permite a un usuario enviar el texto del documento (en una o más partes) el EDD para su entrega al(los) receptor(es). Esta solicitud no conlleva ninguna identificación biométrica, en su lugar, confía en la clave secreta de mensaje para transmitir de forma segura el texto del documento.

Se supone que el texto de la solicitud se encuentra codificado por medio de la clave de mensaje almacenada en el registro de documento del EDD y se añade al texto de documento ya almacenado en el registro.

Cuando el EDD recibe un paquete con el indicador de "documento completo", sabe que el emisor ha terminado de transmitir el documento. El EDD envía ahora un aviso de llegada a todos los receptores del documento a través de correo electrónico por Internet informándoles de que tienen un documento esperando.

El aviso de llegada es de la forma siguiente:

Aviso de llegada de documento electrónico (mensaje de correo electrónico por Internet)

\hskip1cm

nombre del emisor, compañía, título,

\hskip1cm

y dirección de correo electrónico

\hskip1cm

número de rastreo

\hskip1cm

instrucciones sobre cómo recibir el documento electrónico.

El EDD también actualiza el estado del registro de receptor del EDD a "notificado". Cuando todos los receptores han recibido o rechazado el documento electrónico, el DPC envía un aviso de estado a través de correo electrónico por Internet al remitente del documento.

El aviso de estado es de la forma siguiente:

Aviso de estado de documento electrónico (mensaje de correo electrónico por Internet)

\hskip1cm

nombre del emisor, compañía, título,

\hskip1cm

y dirección de correo electrónico

\hskip1cm

número de rastreo

\hskip1cm

lista de receptores mostrando para cada uno

\hskip1.7cm

nombre, compañía, título, dirección de correo electrónico

\hskip1.7cm

fecha de entrega y estado

El DPC encuentra la información de la compañía y el título de cada usuario en la tabla de organización del EDD.

1.5.7.17. Entrega de documento electrónico

Solicitud de entrega de documento electrónico

Parte del BIA:

\hskip0.7cm

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

\hskip1.7cm

clave de respuesta de 56 bits

número de rastreo

MAC

Parte del terminal: (no se utiliza)

Respuesta de entrega de documento electrónico

encriptado (clave de respuesta):

\hskip0.7cm

código privado

\hskip0.7cm

clave de mensaje de 56 bits

\hskip0.5cm

estado (incompleto, correcto, receptor inválido)

\hskip0.5cm

MAC

encriptado (clave de mensaje):

\hskip0.7cm

texto de documento

El DPC utiliza el PIC biométrico para identificar al usuario que realiza la solicitud de entrega de documento electrónico siguiendo el procedimiento de identificación de usuario.

El DPC a continuación encuentra el registro de receptor del EDD codificado por medio del número rastreo y la identificación biométrica del usuario.

Si no se puede encontrar el registro, entonces la solicitud falla con un estado de "receptor inválido". En otro caso, el DPC envía al solicitante la clave de mensaje del documento y el documento (todavía codificado mediante la clave de mensaje).

El EDD a continuación actualiza el estado del registro de receptor del EDD a "entregado". Cuando todos los receptores han aceptado o rechazado el documento, el DPC envía un aviso de estado a través de correo electrónico por Internet al origen del documento (ver datos de documento electrónico, arriba) y a continuación planifica eliminar los registros de documento o receptor (ver entrega de fax seguro, arriba).

1.5.7.18. Rechazo de documento electrónico

Solicitud de rechazo de documento electrónico

Parte del BIA:

\hskip0.7cm

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

número de rastreo de mensaje

MAC

Parte del terminal: (no se utiliza)

Respuesta de rechazo de documento electrónico

encriptado (clave de respuesta):

\hskip0.7cm

código privado

\hskip0.5cm

código de estado (correcto, receptor inválido)

\hskip0.5cm

MAC

El DPC utiliza el PIC biométrico para identificar al usuario que realiza la solicitud de rechazo de documento electrónico. EL DPC a continuación encuentra el registro de receptor del EDD codificado por medio del número de rastreo y la información biométrica del usuario. Si no se puede encontrar el registro, entonces la solicitud falla con un estado de "receptor inválido".

El EDD actualiza el estado del registro de receptor del EDD a "rechazado". El DPC a continuación sigue el mismo procedimiento de notificación y borrado que el que se describe el la entrega de documento electrónico, arriba.

1.5.7.19. Archivo de documento electrónico

Solicitud de archivo de documento electrónico

Parte del BIA:

\hskip0.7cm

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

número de rastreo

MAC

Parte del terminal: (no se utiliza)

Respuesta de archivo de documento electrónico

encriptado (clave de respuesta):

\hskip0.7cm

código privado

\hskip0.5cm

código de estado (correcto, receptor inválido)

\hskip0.5cm

MAC

El DPC utiliza el PIC biométrico para identificar al usuario que realiza la solicitud de archivo de documento electrónico. EL DPC encuentra el registro de receptor del EDD codificado por medio del número de rastreo de la solicitud y la identificación biométrica del usuario. Si no se puede encontrar el registro y el usuario no es el emisor o uno de los receptores, entonces la solicitud falla con un estado de "usuario inválido". En otro caso, el DPC copia los registros de documento y receptor en la base de datos de archivo del EDD. Cualquier cambio subsiguiente de estos registros también se copia en las versiones archivadas.

1.5.7.20. Entrega de archivo de documento electrónico

Solicitud de entrega de archivo de documento electrónico

Parte del BIA:

\hskip0.7cm

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

\hskip0.7cm

código de índice de título opcional, número de fax

\hskip0.7cm

de envío, y número de rastreo de extensión.

MAC

Parte del terminal: (no se utiliza)

Respuesta de entrega de archivo de documento electrónico

encriptado (clave de respuesta):

\hskip0.7cm

código privado

\hskip0.5cm

código de estado (correcto, usuario inválido)

\hskip0.5cm

MAC

El DPC puede recibir una solicitud de archivo de documento electrónico desde un terminal de fax seguro o un terminal de correo electrónico certificado. El DPC utiliza el procedimiento de identificación de usuario para determinar el usuario que envía la solicitud de entrega de archivo. El usuario debe ser el emisor o uno de los receptores o en otro caso el DPC rechaza la solicitud estableciendo el código de estado como "usuario inválido". Sin embargo, si el documento archivado era un fax enviado utilizando un título corporativo, el DPC permite que usuarios adicionales cuyos títulos son superiores en la jerarquía corporativa obtengan también el documento archivado.

El EDD mantiene una base de datos de archivo, indexada por medio del número de rastreo del documento original, almacenado en un medio fuera de línea como CD-ROM y cinta donde puede tomar un tiempo considerable en buscar el documento archivado. Como resultado, el DPC no devuelve el documento archivado inmediatamente, sino que en su lugar informa al usuario de la solicitud de que el DPC ha iniciado la búsqueda. En otra fecha posterior cuando el DPC finaliza la búsqueda, notifica al solicitante que el documento archivado está preparado para ser entregado a través de los mecanismos estándar de notificación de llegada de documento -- por medio de fax o por correo electrónico, dependiendo del formato del documento original.

El DPC crea un registro de EDD de solicitud de archivo para almacenar la información referente al solicitante de forma que cuando se completa la búsqueda, el DPC recuerda a quién enviar el documento.

1.5.7.21. Firma electrónica

Solicitud de firma electrónica

Parte del BIA:

\hskip0.7cm

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

nombre de documento

cálculo de MD5 del documento

MAC

Parte del terminal: (no se utiliza)

Respuesta de firma electrónica

encriptado (clave de respuesta):

\hskip0.7cm

texto de código privado

\hskip0.5cm

cadena de firma

\hskip0.5cm

MAC

Para procesar la solicitud de firma electrónica, el DPC realiza en primer lugar una identificación biométrica utilizando el PIC biométrico. A continuación, el DPC crea un registro de ESD, le asigna un código de identificación de firma único, y establece el campo de firma del registro a la firma electrónica de la solicitud. El DPC a continuación devuelve una cadena de firma que se puede enviar para una verificación posterior:

"<Dr. Bunsen Honeydew> <Explosiones en el laboratorio> 17/5/95 13:00 PST 950517000102"

1.5.7.22. Verificación de firma electrónica

Solicitud de verificación de firma electrónica

Parte del BIA:

\hskip0.7cm

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

cadena de firma

MAC

Parte del terminal: (no se utiliza)

Respuesta de verificación de firma electrónica

encriptado (clave de respuesta):

\hskip0.7cm

texto de código privado

\hskip0.5cm

cadena de firma

\hskip0.5cm

estado (verificado, fallo)

\hskip0.5cm

MAC

El DPC realiza una identificación biométrica, extrae el código de identificación de rastreo de firma de la cadena de firma, entrega el registro de EDD indicado, y verifica que se corresponde con la cadena de firma. El DPC devuelve el código privado y el resultado de la comparación de firma.

1.5.7.23 Credencial de red

Solicitud de credencial de red

Parte del BIA:

\hskip0.7cm

Identificación de BIA de 4 bytes

Número de secuencia de 4 bytes

Bloque de PIC biométrico encriptado (clave DUKPT):

\hskip1.7cm

biométrico de autorización de 300 bytes

\hskip1.7cm

CIP de 4-12 dígitos

\hskip1.7cm

clave de respuesta de 56 bits

índice de cuenta

código de banco

nombre del servidor del banco

\hskip0.7cm

puerto de terminal y puerto de banco (direcciones TCP/IP)

MAC

Respuesta de credencial de red

encriptado (clave de respuesta):

\hskip0.7cm

código privado

firmado (clave privada del DPC)

\hskip1.7cm

credencial (hora, cuenta, puerto de terminal, puerto de banco)

\hskip0.5cm

clave pública del banco

\hskip0.5cm

código de estado (correcto, fallo)

\hskip0.5cm

MAC

El DPC identifica al usuario utilizando el PIC biométrico de la solicitud y entrega el número de cuenta de valor del usuario almacenado en el índice especificado. Si el índice de cuenta es la cuenta de alarma, entonces el código de estado de la respuesta de credencial de red se establece como "fallo" y no se genera ninguna credencial.

El DPC construye la credencial utilizando la hora actual, la cuenta de valor obtenida, y las direcciones TCP/IP del terminal y del banco. A continuación el DPC utiliza codificado por clave pública para firmar la credencial con su clave privada.

La respuesta comprende también la clave pública del banco, que el DPC obtiene de la base de datos de comerciantes remota.

1.5.8. Soporte al cliente y mensajes de administración de sistema

El DPC trata tipos de mensajes adicionales clasificados como mensajes internos. El DPC generalmente no acepta estos mensajes para sistemas no DPC. Los mensajes son específicos de proveedor de base de datos. Sin embargo, la red interna utiliza paquetes codificados por DES para proporcionar seguridad adicional.

Las tareas de servicio al cliente y de administración de sistema se implementan utilizando el lenguaje de petición del proveedor de base de datos y herramientas de desarrollo de aplicación.

1.5.8.1. Tareas de servicio al cliente

\bullet IBD: encontrar, activar, desactivar, eliminar, registros correctos.

\bullet AID: añadir o eliminar usuarios autorizados.

\bullet AOD: encontrar, añadir, eliminar registros correctos.

\bullet VAD: encontrar, activar, desactivar, eliminar, registros correctos.

\bullet RMD: encontrar, añadir, eliminar, registros correctos.

\bullet PFD: añadir, eliminar, registros correctos.

1.5.8.2. Tareas de administración de sistema:

\bullet Ejecutar comprobaciones de fraude previo.

\bullet Modificar la lista de sitios válidos.

\bullet Resumir información de registro (alarmas, errores, etc.).

\bullet Modificar la lista de grupo de CIP.

\bullet Monitorización de rendimiento.

\bullet Realizar copias de seguridad.

\bullet Procedimientos de recuperación de fallo.

\bullet Sincronización de tiempo para los sitios de DPC.

\bullet Cambiar el sitio primario de registro.

\bullet Cambiar la clave secreta DES de encriptado.

\bullet Limpiar números de rastreo de documento antiguos.

\bullet Generar una lista de códigos de identificación de maquinaria BIA, clave de encriptado MAC, y claves de base DUKPT triples. Almacenar sobre un disquete encriptado para el dispositivo de carga de clave.

1.5.9. Dispositivo cortafuegos 1.5.9.1. Propósito

Los dispositivos cortafuegos proporcionan una primera línea de defensa contra virus de red e intrusos informáticos. Todos los enlaces de comunicación desde o hacia el sitio del DPC pasan primero a través de un dispositivo cortafuegos seguro.

1.5.9.2. Utilización

El dispositivo cortafuegos, un encaminador de internet con red local, solamente trata los mensajes destinados a los dispositivos de pasarela.

Los terminales equipados con BIA envían paquetes a un único sitio DPC a través de módem, X.25, u otro medio de comunicación. El DPC confía en un tercero para proporcionar los bancos de módem que se requieren para tratar el volumen de llamadas y suministrar los datos a la infraestructura de comunicación del DPC.

Para la comunicación de DPC a DPC, principalmente para transacciones distribuidas y actualizaciones de secuencia de número, los dispositivos cortafuegos envían paquetes codificados por DES de longitud doble. El componente de red de área local del DPC trata el encriptado y el desencriptado: los dispositivos cortafuegos no tienen la capacidad de desencriptar los paquetes.

1.5.9.3. Seguridad

Un monitor de red configurado adecuadamente actúa como un detector de intrusión como respaldo del dispositivo cortafuegos. Si se detecta un mensaje anómalo, se registran los mensajes intrusos en su totalidad, se alerta a un operador, y el cortafuegos cerrado físicamente por parte del monitor de red.

El dispositivo cortafuegos prohibe cualquier transmisión desde la red interna al resto de internet.

1.5.9.4. Ancho de banda de mensaje

Una solicitud de autorización de transacción requiere aproximadamente 400 bytes y los paquetes de registro requieren aproximadamente 2 KB. Para tratar 1000 autorizaciones de transacción por segundo y un paquete de registro por segundo, el dispositivo cortafuegos son capaces de procesar aproximadamente 400 KB por segundo (todos conocidos en la industria).

Cada sitio DPC requiere un ancho de banda agregado de casi tres conexiones TI para el banco de módem de terceros y otros sitios DPC.

1.5.10. Dispositivo de pasarela 1.5.10.1. Propósito

El dispositivo de pasarela, a través de los dispositivos cortafuegos, enlaza el mundo exterior (terminales equipados con BIA y otros DPC) con los componentes internos del DPC. El DPC tiene muchos dispositivos de pasarela, típicamente dos.

1.5.10.2. Utilización

El dispositivo de pasarela supervisa el procesado de cada solicitud de BIA, se comunica con los diferentes componentes del DPC cuando es necesario, y envía los resultados encriptados de la solicitud de vuelta al emisor. El programa que realiza esta tarea se llama módulo de procesado de mensaje.

El dispositivo de pasarela registra todas las solicitudes que recibe y todas las alarmas procedentes de los componentes con los que se comunica. Por ejemplo, el dispositivo de pasarela registra cualquier acceso a cuenta de alarma, lagunas en los números de secuencia, y paquetes inválidos.

Procesar cualquier solicitud puede necesitar que el dispositivo de pasarela informe a todos los demás DPC de un cambio en las bases de datos de DPC. Cuando esto ocurre, el dispositivo de pasarela ejecuta una transacción distribuida para actualizar las bases de datos remotas.

Las transacciones distribuidas caen dentro de dos categorías: síncronas y asíncronas. Las transacciones distribuidas síncronas requieren que el dispositivo de pasarela espere a que tenga lugar la transacción distribuida antes de continuar procesando el paquete. Las transacciones distribuidas asíncronas no requieren que el dispositivo de pasarela espere a la realización, y permiten finalizar el procesado de la solicitud independientemente de si la transacción distribuida se realiza o no. Las transacciones distribuidas asíncronas se utilizan solamente para actualizar datos para los cuales la consistencia de la base de datos no es un requerimiento absoluto: la creación de números de secuencia y los registros de suma de control de datos biométricos se pueden realizar de forma asíncrona, mientras que la creación de registros de base de datos, como los registros biométricos individuales, puede que no se puedan realizar de forma asíncrona.

Cuando se ejecuta una transacción asíncrona distribuida, el dispositivo de pasarela solicitante considera la transacción completa se realiza con éxito si todos los sitios pueden realizar localmente con éxito la transacción. En otro caso, los dispositivos registran los cambios localmente y rechazan la solicitud por causa de un error de transacción.

La lista de sitios DPC válidos consiste normalmente en todos los sitios. En el caso de fallo extremo de un DPC, sin embargo, un administrador de sistema puede eliminar manualmente ese sitio de la lista de sitios válidos. La causa más probable de los fallos de transacción distribuida, sin embargo, son fallos temporales de red que no se encuentran relacionados con ningún equipo DPC. Las solicitudes que requieren una transacción distribuida síncrona no se pueden realizar hasta que se restaura la conectividad de red o se elimina el sitio de la lista de sitios válidos. Antes de que un sitio se pueda volver a añadir a la lista de sitios válidos, el administrador de sistema actualiza las bases de datos del sitio con las de un sitio actualmente activo.

1.5.10.3. Componentes de programación

Cada dispositivo de pasarela ejecuta los siguientes componentes de programa localmente por razones de rendimiento:

Módulo de procesado de mensaje

Módulo de código de autenticación de mensaje

Módulo de desencriptado de mensaje

Lista de dispositivos de base de datos biométricos de usuario.

1.5.10.4. Ancho de manda de mensaje

El ancho de banda de mensaje requerido por los dispositivos de pasarela es similar al que requieren los dispositivos cortafuegos. Una interficie proporciona 100 MBits por segundo y cubre fácilmente cualquier requerimiento de ancho de banda.

1.5.11. Red de área local de DPC 1.5.11.1. Propósito

La red de área local (LAN) del DPC conecta losdispositivos de los sitios DPC utilizando una red de fibra óptica de anillo con paso de testigo. La red de anillo con paso de testigo proporciona alto ancho de banda y buena seguridad física.

1.5.11.2. Seguridad

Las interficies de red utilizadas por los dispositivos de la red de área local del DPC comprenden maquinaria de encriptado para hacer inútil la escucha o interceptación de paquetes sin disponer de la clave de encriptado. La clave de encriptado es la misma para todas las máquinas de la red de área local y se almacena dentro de la maquinaria de encriptado.

Un monitor de red configurado adecuadamente actúa como detector de intrusos como soporte del dispositivo cortafuegos. Si se detecta un mensaje anómalo, se registran los mensajes intrusos totalmente, se avisa a un operador, y el monitor desconecta físicamente el dispositivo cortafuegos.

1.5.12. Módulo de procesado de mensaje 1.5.12.1. Propósito

El módulo de procesado de mensaje (MPM) realiza el procesado de un paquete solicitado. Si es necesario se comunica con otros componentes del DPC para realizar sus tareas. La presencia de un MPM en una máquina la caracteriza como dispositivo de pasarela.

1.5.12.2. Utilización

El MPM mantiene un contexto de solicitud para cada solicitud que procesa actualmente. El contexto de solicitud comprende la información necesaria para mantener la conexión de red para el terminal que realiza la solicitud, la información de dispositivo BIA, la clave de respuesta y el paquete de respuesta.

1.5.13. Módulo de código de autenticación de mensaje

Las tareas del módulo de código de autenticación de mensaje (MACM) son validar el código de autenticación de mensaje de los paquetes de entrada y añadir un código de autenticación de mensaje a los paquetes de salida.

1.5.13.2. Utilización

El MACM mantiene en memoria una tabla de acceso arbitrario de claves de encriptado MAC de 112 bits codificada por medio del código de identificación de dispositivo BIA.

Cuando el MACM recibe una solicitud por parte del dispositivo de pasarela para validar un MAC de paquete, en primer lugar consulta el código de identificación de dispositivo del paquete de la tabla de acceso arbitrario. Si no existe ninguna entrada, entonces el MACM responde al dispositivo de pasarela con un error de "código de identificación de dispositivo inválido".

En otro caso, el MACM realiza una comprobación de MAC sobre la parte de BIA del paquete del mensaje utilizando la clave de encriptado MAC de 112 bits. Si la comprobación de MAC falla, entonces el MACM responde al dispositivo de pasarela con un error de "MAC inválido". En otro caso, el MACM responde con un mensaje de "MAC válido".

Si el paquete contiene un código de comerciante, el MACM comprueba también el código de comerciante respecto con el código de identificador de propietario de la tabla de acceso arbitrario. Si los códigos no se corresponden, entonces el MACM responde con un error de "propietario inválido".

Cuando el MACM recibe una solicitud procedente del dispositivo de pasarela para generar un MAC para un paquete, busca la clave de encriptado MAC utilizando el código de identificación de dispositivo del paquete. Con la clave de encriptado MAC, el MACM genera un MAC y lo añade al paquete. Si el MACM no puede encontrar el código de identificación de dispositivo en su tabla de acceso arbitrario, responde por el contrario con un error de código de identificación de dispositivo.

1.5.13.3. Esquema de base de datos

Las entradas de la tabla de acceso aleatorio del MACM contienen:

Entrada de MACM:

\hskip0.7cm

identificación de dispositivo = int4

\hskip0.7cm

identificación de propietario = int4

\hskip0.7cm

clave de encriptado MAC = int16

La tabla está separada por número de identificación de dispositivo.

1.5.13.4. Tamaño de base de datos

Suponiendo 5 millones de dispositivos equipados con BIA en servicio, las tabla de acceso aleatorio requiere aproximadamente 120 MB de capacidad de almacenamiento. Por razones de rendimiento, esta tabla de acceso aleatorio se encuentra totalmente cargada en memoria.

1.5.13.5. Dependencias

El MACM contiene solamente registros que hacen referencia a códigos de identificación de dispositivos BIA activos y propietarios de dispositivos activos. Cuando se suspende o retira del sistema un dispositivo o propietario de dispositivo, el MACM elimina todas las entradas que hacen referencia al código de identificación. Cuando se activa un dispositivo, a continuación el MACM añade una entrada para el mismo.

El MACM también carga la clave de encriptado MAC desde la base de datos de dispositivos válidos. Puesto que el sistema no permite cambiar la clave de encriptado de un BIA, el MACM no tiene necesidad de estar pendiente de recibir actualizaciones de clave de encriptado.

1.5.14. Módulo de desencriptado de mensaje 1.5.14.1. Propósito

La tarea del módulo de desencriptado de mensaje (MDM) es reconstruir la clave de transacción DUKPT y desencriptar con ella el bloque de PIC biométrico del paquete. Mantiene una lista de las claves de base DUKPT que se requieren para generar la clave de transacción.

1.5.14.2. Utilización

El MDM construye la clave de transacción DUKPT utilizando el número de secuencia del paquete como contador de transacción DUKPT, los 22 bits altos del código de identificación de dispositivo BIA como identificación de módulo de seguridad DUKPT resistente a ataques (o "TRSM"), y los 10 bits bajos del código de identificación de dispositivo BIA como identificación de grupo de clave DUKPT.

El estándar DUKPT especifica el modo en el que se genera la clave de transacción. La identificación de grupo de clave se utiliza para buscar una clave base de la lista de claves base. La clave base se utiliza para transformar la identificación de TRSM en la clave inicial por medio de un ciclo DES de encriptado/desencriptado/encriptado. El contador de transacción se aplica a continuación a la clave inicial como una serie de ciclos DES de encriptado/desencriptado/encriptado para generar la clave de transacción.

Para seguridad adicional, se mantienen dos listas de clave base, una para dispositivos BIA de baja seguridad y una para dispositivos de alta seguridad. El MDM escoge la clave base a utilizar dependiendo del nivel de seguridad del dispositivo.

1.5.14.3. Esquema de base de datos

Cada entrada de clave base de MDM contiene:

Entrada MDM:

\hskip0.7cm

clave de base = int16

La lista de clave de base se encuentra indexada por medio de la identificación de grupo de clave.

1.5.14.4. Tamaño de base de datos

El MDM mantiene una lista en memoria de las clavesbase DUKPT. Cada clave requiere 112 bits. El MDM mantiene dos grupos de 1024 claves que requieren en total 32 KB.

1.5.14.5. Dependencias

El MDM no tiene dependencias directas sobre cualquier otro componente del DPC.

1.5.15. Lista de grupo de CIP 1.5.15.1. Propósito

La lista de grupo de PIC (PGL), junto con la lista de dispositivo de base de datos biométrica de usuario, define la configuración de los dispositivos IBD. El PGL almacena una lista de los grupos de PIC del sistema que se utiliza para simplificar el manejo de los CIP. Un grupo de PIC se establece como un conjunto de códigos PIC individuales. En cada dispositivo de pasarela existe una PGL.

1.5.15.2. Utilización

La PGL, cuando dado un código CIP, busca a través de su lista de grupos de PIC para el grupo que contiene el código CIP. La PGL mantiene la lista de grupos en orden y utiliza una búsqueda binaria para encontrar rápidamente el grupo correcto.

La configuración inicial de la PGL es un grupo de PIC gigante que contiene todos los PIC posibles. Después de asignar un número umbral de CIP, el grupo de PIC gigante se divide en dos. A continuación, este proceso se aplica a todos los grupos de PIC sucesivos.

Cuando un grupo PIC se divide, la PGL asigna un nuevo dispositivo IBD principal y de soporte basándose en el espacio de almacenamiento disponible sobre una base de primero en llegar primero en servir. La PGL se coordina con los dispositivos IBD para en primer lugar copiar los registros afectados desde los dispositivos antiguos principal y de respaldo a los nuevos, actualizar el registro IML, y finalmente eliminar las copias principales y de respaldo antiguas. Dividir un grupo de PIC es una tarea compleja. La PGL planifica las solicitudes de división para ejecutarse cuando el DPC tiene poca carga, por ejemplo por la noche.

El administrador de sistema puede también cambiar los dispositivos IBD principal y de respaldo para un grupo de PIC dado si el espacio libre de almacenamiento de los dispositivos cae por debajo de un nivel requerido para tratar la cantidad esperada de registros nuevos.

1.5.15.3. Esquema de base de datos

El esquema de los registros de grupo de PIC es:

Grupo de CIP:

\hskip0.7cm

pin bajo = int8

\hskip0.7cm

pin alto = int8

\hskip0.7cm

utilizado = int4

Cada grupo de PIC se identifica por medio de un identificador único. Por conveniencia el código de identificación de grupo de PIC es el código pin bajo del grupo, sin embargo el sistema no depende de este hecho.

La PGL se codifica con la clave del campo de pin bajo.

1.5.15.4. Tamaño de base de datos

Se espera que la PGL contenga aproximadamente 3000 grupos (cada grupo de PIC contiene aproximadamente 1000 PIC activos, pero puede comprender millones de CIP). La PGL requiere aproximadamente 72 KB de espacio de almacenamiento y se encuentra totalmente volcada en memoria.

1.5.15.5. Dependencias

Cuando se añaden, anexan o dividen grupos CIP, la PGL es responsable de informar a la lista de dispositivo IBD de los cambios y para dirigir el movimiento de los registros IBD desde un dispositivo IBD hasta otro.

1.5.16. Lista de dispositivos de base de datos biométricos de usuario 1.5.16.1. Propósito

La lista de dispositivo IBD (IML), junto con la lista de grupo CIP, codifica la configuración de los dispositivos IBD. La IML registra un código PIC sobre los dispositivos IBD principal y de respaldo que almacenan registros IBD del CIP. La IML se encuentra normalmente codificada con la clave del grupo de PIC (un conjunto de códigos PIC consecutivos) mejor que por medio de PIC debido a que esto reduce la memoria requerida para almacenar la lista. La IML existe en cada dispositivo de pasarela.

1.5.16.2. Utilización

Cuando un dispositivo de pasarela procesa una solicitud que requiere una identificación biométrica, el dispositivo de pasarela encuentra el registro de la IML codificado con la clave del grupo de PIC biométrico. El dispositivo de pasarela sabe qué dispositivos IBD principal y de respaldo utilizar para la identificación biométrica.

1.5.16.3. Esquema de base de datos

El esquema para las entradas de lista IML es:

Par de dispositivos:

\hskip0.7cm

grupo de pin = int8

\hskip0.7cm

principal = int2

\hskip0.7cm

respaldo = int2

La IML se encuentra codificada por medio de la clave grupo de pin.

1.5.16.4. Tamaño de base de datos

Se espera que la IML contenga aproximadamente 3000 entradas (el número de grupos de CIP). Cada registro de par de dispositivos tiene 12 bytes requiriéndose aproximadamente 36 KB de espacio de almacenamiento y se encuentra volcado completamente en memoria.

1.5.16.5. Dependencias

Cualquier cambio en la configuración de los dispositivos IML se debe reflejar en la IML. Además, el IML utiliza grupos de PIC para sus claves de forma que cuando se modifica la lista de grupos de CIP, las IML también se actualizan.

1.5.17. Módulo de número de secuencia

La función primaria del módulo de número de secuencia (SNM) es evitar ataques de reenvío por medio de validar números de secuencia de paquete. Su tarea secundaria es minimizar los efectos de un ataque de reenvío por medio de informar a otros SNM en sitios DPC remotos de actualizaciones de número de secuencia y actualizar periódicamente los números de secuencia en la base de datos de dispositivos válidos.

El SNM mantiene en memoria una tabla de acceso aleatorio de números de secuencia codificada por medio de códigos de identificación de dispositivo BIA para permitir la validación rápida de números de secuencia de paquete.

1.5.17.2. Utilización

Cuando el SNM recibe una solicitud validada procedente del dispositivo de pasarela para un código de identificación de dispositivo y un número de secuencia, busca el código de identificación de dispositivo en la tabla de acceso aleatorio. Si no existe ninguna entrada, entonces el SNM responde al dispositivo de pasarela con un error de "código de identificación de dispositivo inválido".

En otro caso, el SNM comprueba el número de secuencia dado con el número de secuencia almacenado en la entrada de la tabla de acceso aleatorio. Si el número de secuencia es menor o igual al número de secuencia almacenado, el SNM responde con un error de "número de secuencia inválido". En otro caso, el SNM establece el número de secuencia de la entrada de tabla de acceso aleatorio al número de secuencia dado y responde con un mensaje de "número de secuencia válido".

Alguna vez, el SNM puede observar un salto de número de secuencia. Un salto de número de secuencia ocurre cuando el SNM recibe un número de secuencia que es mayor en más de una unidad que el número de secuencia almacenado en la entrada de tabla de acceso aleatorio. En otras palabras, se ha saltado un número de secuencia. Cuando el SNM descubre un salto de número de secuencia, responde con un mensaje de "salto de número de secuencia" al dispositivo de pasarela en lugar de un mensaje de "número de secuencia válido". El dispositivo trata este paquete como válido, pero registra también un aviso de "salto de número de secuencia".

Los saltos de número de secuencia tienen lugar normalmente cuando se pierde la conectividad de red: los paquetes se abandonan y no se pueden enviar hasta que se restablece la red a la condición de funcionamiento. Sin embargo, los saltos de número de secuencia ocurren también por razones fraudulentas: partes mal intencionadas podrían interceptar paquetes evitando que lleguen al DPC o podría incluso intentar sustituir paquetes (con un número de secuencia largo de forma que no se rechazan inmediatamente).

La función secundaria del SNM es informar a otros DPC de los números de secuencia actualizados. Actualizar rápidamente los números de secuencia de todos los sitios DPC para combatir los ataques de reenvío en los que la entidad mal intencionada monitoriza los paquetes cuyo destino es un sitio DPC y envía inmediatamente una copia a un DPC diferente esperando explotar el retardo de transmisión de las actualizaciones de número de secuencia de un DPC a otro dando como resultado que ambos sitios aceptan el paquete como válido, cuando solamente el primer sitio debería aceptar el paquete.

Los SNM se envían mensajes de actualización mutuamente cuando reciben un número de secuencia válido. Si un SNM recibe un mensaje de actualización para un número de secuencia que es menor o igual que el número de secuencia almacenado actualmente en su tabla de acceso aleatorio, ese SNM registra un aviso de reenvío de número de secuencia. De esta forma se detectan todos los ataques de reenvío.

Una forma más sencilla de combatir completamente los ataques de reenvío, es disponer solamente de un SNM para validar paquetes. Bajo este esquema, no existe ninguna ventana de retardo de transmisión de actualización susceptible de ser explotada por un ataque de reenvío. Alternativamente, pueden encontrarse activos varios SNM al mismo tiempo mientras ninguno de ellos trate la validación de número de secuencia para el mismo dispositivo equipado con BIA.

1.5.17.3. Mantenimiento de número de secuencia

Cuando el SNM arranca, carga la tabla de acceso aleatorio de números de secuencia a partir de los números de secuencia de BIA activos almacenados en la VAD.

Una vez al día, el SNM descarga los números de secuencia actuales a la base de datos de dispositivos válidos (VAD) local.

La VAD es responsable de enviar mensajes de añadir entrada y quitar entrada a los SNM para cualquier dispositivo equipado con BIA que se activan o desactivan para mantener actualizada la tabla de acceso aleatorio de SNM.

1.5.17.4. Esquema de base de datos La entrada de tabla de acceso aleatorio de SNM contiene:

Entrada de SNM:

\hskip0.7cm

identificación de dispositivo = int4

\hskip0.7cm

número de secuencia = int4

La tabla de acceso aleatorio se encuentra codificada por medio de la clave identificación de dispositivo.

1.5.17.5. Tamaño de base de datos

Suponiendo alrededor de 5 millones de dispositivos equipados con BIA en funcionamiento se requiere que la tabla de acceso aleatorio sea de aproximadamente 40 MB.

1.5.17.6. Dependencias

El SNM depende de la base de datos de dispositivos válidos. Cuando un dispositivo se suspende o retira de la base de datos, el SNM elimina la entrada correspondiente. Cuando se activa un dispositivo, el SNM crea una entrada para el mismo.

1.5.17.7. Ancho de banda de mensaje

El SNM requiere un ancho de banda de transmisión de aproximadamente 8 KB por segundo para tratar 1000 mensajes de actualización de número de secuencia por segundo. Los mensajes de actualización de número de secuencia se acumulan temporalmente y se envían una vez por segundo para minimizar el número de mensajes que se envían.

1.5.18. Base de datos de propietario de dispositivo 1.5.18.1. Propósito

La base de datos de propietario de dispositivo (AOD) almacena información sobre individuos u organizaciones que poseen uno o más dispositivos equipados con BIA. Esta información se utiliza para comprobar de forma doble que los dispositivos BIA se utilizan solamente por parte de sus propietarios de derecho, para proporcionar información de cuenta de valor para transacciones de crédito y débito financiero, y para permitir la identificación de todos los BIA poseídos por un usuario u organización específico.

1.5.18.3. Utilización

Cada registro de AOD comprende una cuenta de valor para el crédito o débito del propietario cuando el DPC procesa una transacción financiera presentada por uno de los dispositivos equipados con BIA del propietario. Por ejemplo, las transacciones enviadas desde un terminal de punto de venta equipado unido a un BIA comprenden créditos para una cuenta de valor, mientras que las transmisiones de correo electrónico certificado tienen como resultado débitos de la cuenta de valor.

1.5.18.3. Esquema de base de datos

El esquema del registro de propietario de dispositivo es de la forma siguiente:

Propietario de dispositivo:

\hskip0.7cm

identificación de propietario = int4

\hskip0.7cm

nombre = char50

\hskip0.7cm

dirección = char50

\hskip0.7cm

código postal = char9

\hskip0.7cm

cuenta de valor = char16

\hskip0.7cm

estado = int1

El campo de estado es uno entre:

\hskip0.7cm

0: suspendido

\hskip0.7cm

1: activo

La base de datos de propietario de dispositivo se encuentra codificada por medio de la clave identificación de propietario.

1.5.18.4. Tamaño de base de datos

Se espera que la AOD almacene aproximadamente 2 millones de registros de propietario de dispositivo. Cada entrada es de 130 bytes requiriéndose aproximadamente 260 MB de almacenamiento. La AOD se almacena como un fichero de acceso aleatorio codificado por medio del código de identificación de propietario. En cada dispositivo de pasarela se almacena una copia de la AOD.

1.5.18.5. Dependencias

Cuando se eliminan o suspenden entradas de la AOD, todos los registros de la base de datos de dispositivos válidos que hacen referencia a esos propietarios de dispositivo se marcan como suspendidos. Además, el módulo de MAC y el módulo de número de secuencia eliminan las entradas de los dispositivos suspendidos.

1.5.19.1. Propósito

La base de datos de dispositivos válidos (VAD) es una colección de registros que representan a todos los BIA que se han fabricado hasta la actualidad. El registro de VAD contiene la clave de encriptado del código de autenticación de mensaje de cada BIA, así como un indicador de si el BIA se encuentra activo, esperando remesa, o marcado como destruido. Para desencriptar un mensaje procedente de un BIA, el BIA debe existir y disponer de un registro activo en la VAD.

1.5.19.2. Utilización

Cuando se fabrica, cada BIA dispone de un código de identificación pública único y una clave de encriptado MAC única, entrándose ambos en el registro VAD de forma previa a la instalación del BIA.

Cuando se construye el BIA, se le proporciona un código de identificación de dispositivo único. Cuando se pone en servicio un BIA, su código de identificación de dispositivo se registra con el sistema. En primer lugar, el propietario o parte responsable del BIA se introduce en la base de datos de propietario de dispositivo (AOD). A continuación, el registro de VAD se hace apuntar al registro de AOD, y a continuación se establece el BIA como activo. Las solicitudes procedentes de ese BIA son aceptadas por parte del DPC.

Cuando se retira de servicio un BIA, se marca como inactivo, y se rompe el enlace al registro de AOD. No se acepta ninguna comunicación procedente de ese BIA.

Cada tipo y modelo de BIA tiene un nivel de seguridad asignado al mismo que indica su nivel de seguridad física. Cuando el DPC procesa solicitudes procedentes de ese BIA, utiliza el nivel de seguridad del BIA para calibrar los tipos de acciones que se permiten. El DPC proporciona también el nivel de seguridad para servicios externos de autorización de transacción financiera.

Por ejemplo, un servicio de autorización de transacción financiera puede decidir negar cualquier solicitud superior a 300 dólares procedente de un BIA de baja seguridad, requiriéndose que los usuarios utilicen un BIA de seguridad más elevada para que se acepten dichas sumas. El servicio de autorización puede utilizar también el nivel de seguridad como una guía sobre cuánto cobrar por la transacción, basándose en el riesgo.

Los niveles de seguridad y las acciones que permiten se determinan de forma operacional. Básicamente, el coste de defraudar al sistema deben ser superiores que la ganancia potencial, por tanto el nivel de seguridad se relaciona con el coste de burlar el dispositivo.

1.5.19.3. Esquema de base de datos

El esquema del registro de dispositivo válido es:

Dispositivos válidos:

\hskip0.7cm

identificación de dispositivo = int4

\hskip0.7cm

clave de encriptado mac = int16

\hskip0.7cm

identificación de usuario = int8

\hskip0.7cm

fecha de mensaje = tiempo

\hskip0.7cm

fecha de entrada en servicio = tiempo

\hskip0.7cm

nivel de seguridad = int2

\hskip0.7cm

estado = int1

\hskip0.7cm

tipo = int1

\hskip0.7cm

utilización = int1

Los valores posibles del campo de estado son:

\hskip0.7cm

0: suspendido

\hskip0.7cm

1: activo

\hskip0.7cm

2: destruido

Los valores posibles del campo de tipo son (uno para cada tipo de terminal):

\hskip0.7cm

0: ATM

\hskip0.7cm

1: BRT

\hskip0.7cm

2: CET

\hskip0.7cm

3: CPT

\hskip0.7cm

4: CST

\hskip0.7cm

5: EST

\hskip0.7cm

6: IPT

\hskip0.7cm

7: IT

\hskip0.7cm

8: ITT

\hskip0.7cm

9: PPT

\hskip0.7cm

10: RPT

\hskip0.7cm

11: SFT

Los valores posibles del campo de utilización son:

\hskip0.7cm

0: venta

\hskip0.7cm

1: personal

\hskip0.7cm

2: emisor

\hskip0.7cm

3: remoto

La base de datos de dispositivos válidos se codifica por medio del código de identificación de dispositivo.

1.5.19.4. Tamaño de base de datos

La VAD trata aproximadamente 5 millones de entradas de dispositivo válido de venta, emisor y remoto. Cada entrada son 51 bytes requiriéndose aproximadamente 255 MB en total. La VAD se almacena como un fichero de acceso aleatorio codificado por medio del código de identificación de dispositivo. En cada dispositivo de pasarela se almacena una copia de la VAD.

El número de entradas personales de dispositivos válidos se encuentra en el campo de los 30 millones requiriéndose otros 1,5 GB de almacenamiento.

1.5.19.5. Dependencias

Cuando un registro de VAD cambia de estado, los módulos MAC y los módulos de número de secuencia son informados de su cambio de estado. Por ejemplo, cuando un dispositivo se convierte en activo, el MACP y SNM añaden una entrada para el nuevo dispositivo activo. Cuando un dispositivo se convierte en inactivo, el MACP y SNM eliminan la entrada del dispositivo.

1.5.20. Base de datos de biométrico de usuario 1.5.20.1. Propósito

Los registros de base de datos biométricos de usuario (IBD) almacenan información sobre usuarios, comprendiendo sus biométricos primario y secundario, código CIP, lista de cuentas de valor financieras, código privado, cuenta de alarma, dirección, y número de teléfono. Los usuarios pueden incluir opcionalmente su SNN y dirección de correo electrónico. Esta información es necesaria para identificar a un usuario por información biométrica o personal, para acceder a información de cuenta, o para proporcionar una dirección o número de teléfono a vendedores remotos para verificación adicional.

1.5.20.2. Utilización

Los usuarios se añaden al sistema durante el procedimiento de inscripción de usuario en terminales de registro biométrico registradas situadas en sucursales bancarias de todo el mundo, o en oficinas locales de sistema. Durante la inscripción, los individuos seleccionan sus números de identificación personal, y añaden cuentas de valor financieras a su combinación de biométrico y CIP.

Los individuos se pueden eliminar de la base de datos debido a una actividad fraudulenta comunicada por un miembro emisor. Si ocurre esto, la información de la cuenta de usuario se traslada desde la IBD a la base de datos de fraude previo (PFD) por parte de un representante autorizado de los sistemas internos. Las identificaciones biométricas de los registros de la PFD no se pueden utilizar para registros de la IBD.

La IBD existe en múltiples dispositivos, cada uno de los cuales es responsable de un subconjunto de los registros de la IBD con una copia de cada registro almacenada en dos dispositivos diferentes, por redundancia y por reparto de carga. La lista de dispositivos IBD, almacenada en el dispositivo de pasarela, contiene el dispositivo que soporta a cada CIP.

1.5.20.3. Esquema de base de datos

El esquema del registro biométrico de usuario es:

biométrico de usuario:

\hskip0.7cm

biométrico primario = biométrico

\hskip0.7cm

biométrico secundario = biométrico

\hskip0.7cm

identificación de biométrico = int4

\hskip0.7cm

CIP = char10

\hskip0.7cm

número de teléfono = char12

\hskip0.7cm

apellido = char24

\hskip0.7cm

nombre = char24

\hskip0.7cm

inicial = char2

\hskip0.7cm

SSN = char9

\hskip0.7cm

código privado = char40

\hskip0.7cm

dirección = char50

\hskip0.7cm

código postal = char9

\hskip0.7cm

clave pública = char64

\hskip0.7cm

sumas de control = int4[10]

\hskip0.7cm

enlaces de cuenta = char30[10]

\hskip0.7cm

índice de alarma = char1

\hskip0.7cm

enlace de alarma = char1

\hskip0.7cm

privilegios = char10

\hskip0.7cm

alistador = int8

\hskip0.7cm

cuenta de utilización de alarma = int4

\hskip0.7cm

estado = int1

El campo de estado es uno de:

\hskip0.7cm

0: suspendido

\hskip0.7cm

1: activo

\hskip0.7cm

2: fraude previo

La IBD se encuentra codificada por medio del PIC.

1.5.20.4. Índices de base de datos

Cada dispositivo IBD tiene índices adicionales sobre el número de seguridad social del usuario, código de identificación biométrica, apellidos, nombre, y número de teléfono para facilitar el acceso a la base de datos IBD.

1.5.20.5. Tamaño de base de datos

Cada dispositivo IBD tiene 40 GB de almacenamiento secundario proporcionado por uno o más dispositivos RAID. Cada registro de IBD es de 2658 bytes (suponiendo que cada biométrico es de 1 KB) permitiendo hasta 15 millones de registros por dispositivo. Los registros de IBD se almacenan utilizando un índice secundario en el PIC (quizás sectorizado). El índice se almacena en memoria y no requiere más de 64 MB (un índice de 64 MB trata aproximadamente 16 millones de entradas). Para almacenar registros para 300 millones de usuarios, el DPC necesita por lo menos 40 dispositivos IBD: 20 dispositivos IBD para almacenamiento principal y otros 20 para copia de seguridad. El número de dispositivos IBD se escala fácilmente a mayor o menor dependiendo del número de usuarios registra-
dos.

1.5.20.6. Dependencias

Los dispositivos IBD, lista de grupo de CIP, y la lista de dispositivos IBD permanecen actualizados respecto a qué PIC se encuentra en cada dispositivo. Cuando un grupo de PIC se reconfigura o se cambian los dispositivos principal o de copia de seguridad de los grupos de CIP, los dispositivos IBD actualizan sus bases de datos e índices de forma adecuada.

1.5.21. Base de datos de usuario autorizado 1.5.21.1. Propósito

Para cada emisor o dispositivo personal equipado con BIA, la base de datos de usuario autorizado (AID) mantieneuna lista de usuarios que se encuentran autorizados, por parte del propietario del dispositivo, para utilizar-
lo.

La AID existe por dos razones. La primera es que proporciona acceso restringido a un terminal. Por ejemplo, el terminal de emisor se puede utilizar solamente por un representante autorizado del banco. La segunda razón de la AID es evitar que los criminales sustituyan el BIA de un punto de venta con el de un BIA personal procedente de un terminal telefónico y de esta forma encaminar todas las compras a una cuenta de vendedor remota establecida por los criminales.

1.5.21.2. Esquema de base de datos

El esquema del registro de usuario autorizado es:

Usuario autorizado:

\hskip0.7cm

identificación de dispositivo = int4

\hskip0.7cm

identificación biométrica = int4

La identificación de dispositivo se refiere a un registro de la base de datos de dispositivo válido y la identificación de biométrico se refiere a un registro de la base de datos de biométrico de usuario. Cuando el DPC necesita comprobar si un usuario se encuentra autorizado para utilizar un dispositivo BIA personal o de un emisor, el DPC comprueba la existencia de un registro de autorización de usuario con la identificación de dispositivo e identificación biométrica correctas.

Los dispositivos de BIA personales se identifican por medio de un campo de utilización establecido en 1 (personal) en la base de datos de dispositivos válidos. Los dispositivos BIA de emisor se identifican por medio de un campo de utilización establecido en 2 (emisor) en la base de datos de dispositivos válidos.

1.5.21.3. Tamaño de base de datos

Suponiendo que cada terminal de emisor tiene 10 usuarios autorizados para utilizarlo y que cada dispositivo personal tiene 2 usuarios adicionales autorizados con 1.000.000 de dispositivos personales en el servidor, la AID almacena aproximadamente:

10 * 100.000 + 2 * 1.000.000 = 3.000.000 de entradas

La base de datos entera requiere aproximadamente 24 MB de almacenamiento.

1.5.21.4. Dependencias

Cuando se eliminan los registros de base de datos de propietario autorizado o de base de datos de dispositivos válidos, se eliminan todos los registros de usuarios autorizados que hacen referencia a los mismos.

1.5.22. Base de datos de fraude previo 1.5.22.1. Propósito

La base de datos de fraude (PFD) previo es una colección de registros que representan usuarios que han defraudado a emisores miembros en algún momento del pasado. La PFD también ejecuta transacciones en segundo plano durante periodos de baja actividad de sistema para eliminar los usuarios de la IBD que tienen registros que se corresponden con los registros de la PFD.

El sistema no coloca automáticamente a los usuarios en la PFD, a menos que detecte que intentan registrarse de nuevo. Poner un usuario en la PFD es un asunto de política sensible que se encuentra fuera del ámbito de este documento.

1.5.22.2. utilización

Antes de que un nuevo registro de IBD se marque como activo, se comprueban los biométricos primario y secundario del usuario respecto con cada uno de los biométricos de la PFD utilizando las mismas técnicas de comparación de biométricos que las que se utilizan en el procedimiento de identificación de usuario. Si se encuentra una correspondencia para el nuevo registro IBD, el estado del registro de la IBD se establece como aviso de "fraude previo".

Se supone que la PFD se mantendrá relativamente pequeña. El coste de ejecutar la PFD es alto, puesto que es una búsqueda involuntaria de biométrico, por tanto es importante añadir a la PFD solamente aquellos usuarios que han significado un coste significativo para el sistema.

1.5.22.3. Esquema de base de datos

El esquema del registro de fraude previo es:

Fraude previo:

\hskip0.7cm

biométrico primario = biométrico

\hskip0.7cm

biométrico secundario = biométrico

\hskip0.7cm

identificación de biométrico = int4

\hskip0.7cm

CIP = char10

\hskip0.7cm

número de teléfono = char12

\hskip0.7cm

apellido = char24

\hskip0.7cm

nombre = char24

\hskip0.7cm

inicial = char2

\hskip0.7cm

SSN = char9

\hskip0.7cm

señal privada = char40

\hskip0.7cm

dirección = char50

\hskip0.7cm

código postal = char9

\hskip0.7cm

clave pública = char64

\hskip0.7cm

sumas de control = int4[10]

\hskip0.7cm

enlaces de cuenta = char30[10]

\hskip0.7cm

índice de alarma = char1

\hskip0.7cm

enlace de alarma = char1

\hskip0.7cm

privilegios = char10

\hskip0.7cm

alistador = int8

\hskip0.7cm

cuenta de utilización de alarma = int4

\hskip0.7cm

estado = int1

El campo de estado es uno entre:

\hskip0.7cm

0: suspendido

\hskip0.7cm

1: activo

\hskip0.7cm

2: fraude previo

La PFD se encuentra codificada por medio del código de identificación biométrica.

1.5.22.4. Tamaño de base de datos

El registro de PFD es el mismo que el registro de IBD. Afortunadamente, el DPC necesita almacenar muchos menos de ellos de forma que se requieren solamente dos dispositivos de base de datos para almacenar la base de datos completa, de los cuales uno es de copia de seguridad.

1.5.22.5. Dependencias

La PFD no tiene dependencias directas con cualquier otro componente de DPC.

1.5.23. Base de datos de emisor 1.5.23.1. Propósito

La base de datos de emisor (ID) almacena información sobre bancos y otras instituciones financieras que permiten acceder a sus cuentas de valor a través del sistema. Las instituciones emisoras son las únicas entidades que pueden añadir o quitar sus números de cuenta de valor a un registro de IBD de un usuario dado.

1.5.23.2. Utilización

El DPC utiliza la ID para validar las solicitudes procedentes de los terminales de emisor buscando en la ID un registro que contiene el código de emisor del terminal de emisor. La identificación de propietario almacenada en el registro debe corresponderse con el propietario almacenado en la base de datos de dispositivos válidos para el BIA almacenado en el terminal de usuario.

El esquema del registro de emisor es:

Registro de emisor:

\hskip0.7cm

código de emisor = int6

\hskip0.7cm

dentificación de propietario = int4

\hskip0.7cm

nombre = char50

\hskip0.7cm

número de teléfono = char12

\hskip0.7cm

dirección = char50

\hskip0.7cm

código postal = char9

La base de datos de emisor se encuentra codificada por medio del código de emisor.

1.5.23.3. Tamaño de base de datos

La base de datos de emisor trata aproximadamente 100.000 entradas. Cada entrada es de 127 bytes requiriéndose menos de 2 MB. En cada dispositivo de pasarela se almacena una copia de la ID.

1.5.23.4. Dependencias

La base de datos de emisor no tiene ninguna dependencia con cualquier otro componente del DPC.

1.5.24. Base de datos de documento electrónico 1.5.24.1. Propósito

La base de datos de documento electrónico (EDD) almacena y hace seguimiento de documentos electrónicos como imágenes de fax y mensajes de documento electrónico destinados a usuarios especificados. También mantiene cuadros de organización de corporación para proporcionar los títulos oficiales tanto del emisor como del receptor. La EDD también archiva los documentos a petición del emisor o el receptor y proporciona una verificación neutral, de tercer partido, de acuerdos de contrato realizados a través del sistema.

1.5.24.2. Utilización

Cuando el DPC recibe un fax u otro documento electrónico procedente de un usuario, crea un registro de documento de EDD para almacenar el documento hasta que es descargado por los receptores autorizados.

Para documentos de fax, los receptores se especifican por el número de fax y la extensión. Para otros documentos electrónicos, los receptores se especifican por la dirección de correo electrónico. El DPC consulta un registro de organización para cada receptor por el número de fax y la extensión o por la dirección de correo electrónico. Si no se puede encontrar el registro, entonces el DPC mira en la base de datos de biométrico de usuario pero solamente si el receptor está especificado por dirección de correo electrónico. Para cada receptor, el DPC crea un registro de receptor que hace referencia tanto al documento como a la identificación biométrica de receptor especificada por la organización o por el registro de IBD si se encuentra. El DPC permite a los receptores que no se encuentran registrados en el sistema, pero en este caso no puede asegurar la entrega o confidencialidad para esos receptores.

La EDD es suficientemente flexible como para permitir enviar documentos de fax a la dirección de correo electrónico de un usuario y mensajes de correo electrónico a un dispositivo de fax.

Mientras que el sistema no dispone ninguna firma electrónica sobre el documento, el sistema garantiza por medio de encriptación que el usuario envió el mensaje igual como fue recibido (y desencriptado) por parte del terminal de correo electrónico seguro o fax seguro.

Oficiales de la organización autorizados pueden enviar faxes o documentos electrónicos seguros al DPC para asignar títulos y extensiones de fax a miembros nuevos, para actualizar un título o extensión de fax de miembro, o para eliminar miembros retirados.

Cuando se elimina un usuario del árbol de laorganización, el DPC retira el número de la extensión por un periodo de un año. Este periodo de retirada permite un tiempo suficiente al usuario para informar a los confidentes que ya no pueden recibir faxes confidenciales en esa extensión y por tanto que la organización no pueda activar por equivocación a alguien más en la extensión que podría recibir en otro caso faxes no destinados al mismo.

La EDD mantiene una base de datos de archivo que contiene copias de los registros de documento y receptorescuando el emisor o uno de los receptores del documento lo solicitan. La base de datos de archivo se traslada periódicamente a CD-ROM.

1.5.24.3. Esquema de base de datos La EDD tiene tres tipos de registro:

Registro de documento:

\hskip0.7cm

número de documento = int8

\hskip0.7cm

identificación de emisor = int4

\hskip0.7cm

documento de fax = fax

\hskip0.7cm

documento de texto = texto

\hskip0.7cm

clave de mensaje = int8

\hskip0.7cm

estado = int1

Registro de receptor:

\hskip0.7cm

número de documento = int8

\hskip0.7cm

identificación de receptor = int4

\hskip0.7cm

número de fax de receptor = char12

\hskip0.7cm

extensión de fax de receptor = char8

\hskip0.7cm

dirección de correo electrónico de receptor = texto

\hskip0.7cm

recibido por = int4

\hskip0.7cm

última modificación = tiempo

\hskip0.7cm

estado de entrega = int1

\hskip0.7cm

estado de contrato = int1

Registro de solicitud de archivo:

\hskip0.7cm

identificación biométrica = int4

\hskip0.7cm

número de documento = int8

\hskip0.7cm

número de fax de solicitante = char12

\hskip0.7cm

extensión de fax de solicitante = char8

\hskip0.7cm

dirección de correo electrónico de solicitante = texto

Registro de organización:

\hskip0.7cm

identificación biométrica = int4

\hskip0.7cm

registrado por = int4

\hskip0.7cm

compañía = texto

\hskip0.7cm

título = texto

\hskip0.7cm

número de fax = char12

\hskip0.7cm

extensión de fax = char8

\hskip0.7cm

dirección de correo electrónico = texto

\hskip0.7cm

fecha de activación = tiempo

\hskip0.7cm

privilegios = int2

\hskip0.7cm

estado = int1

El campo de estado de registro de documento es uno entre:

\hskip0.7cm

0: incompleto

\hskip0.7cm

1: correcto

El campo de estado de entrega de registro de receptor es uno entre:

\hskip0.7cm

0: incompleto

\hskip0.7cm

1: notificado

\hskip0.7cm

2: rechazado

\hskip0.7cm

3: entregado

\hskip0.7cm

4: entregado sin seguridad

\hskip0.7cm

5: ocupado

El campo de estado de contrato de registro de receptor es uno entre:

\hskip0.7cm

0: ninguno

\hskip0.7cm

1: aceptado

\hskip0.7cm

2: rechazado

El campo de estado de registro de organización es uno entre:

\hskip0.7cm

0: activa

\hskip0.7cm

1: suspendida

El campo de privilegios del registro de organización se utiliza para indicar los privilegios que el DPC permite al usuario:

\hskip0.7cm

0: registro

Los registros de documento, receptor, y entrega de archivo se codifican por medio de la identificación biométrica. La EDD mantiene índices secundarios en el campo de identificación de emisor del documento, el campo de identificación de receptor del receptor, y los campos de organización nombre de compañía y título.

1.5.24.4. Tamaño de base de datos

Los requerimientos de almacenamiento de la EDD dependen en primer lugar del número de páginas de fax que deberá almacenar puesto que los mensajes de correo electrónico son relativamente pequeños en comparación con las páginas de fax. Cada página de fax requiere aproximadamente 110 KB de almacenamiento. Suponiendo 4 páginas por fax, 2 faxes por persona y día, y 30 millones de dispositivos de fax, la EDD requiere 24 GB de almacenamiento para contener los faxes de un día.

1.5.24.5. Seguridad

Los documentos se envían desde y hacia el sistema encriptados utilizando el mecanismo de encriptado de BIA. Sin embargo, la clave de encriptado se almacena en la misma base de datos que el documento. El documento se deja en forma encriptada para evitar su exposición accidental, pero los usuarios preocupados por la seguridad de los documentos almacenados en el sistema deberían realizar alguna disposición para un encriptado adicional por su parte.

1.5.24.6. Ancho de banda de mensaje

Cada página de fax requiere aproximadamente 110 KB lo cual significa que una conexión T1, con un rendimiento de 1,54 Mbits/segundo, puede tratar aproximadamente 1,75 páginas de fax por segundo.

1.5.25. Base de datos de firma electrónica

La base de datos de firma electrónica (ESD) autentifica y rastrea todas las firmas electrónicas creadas por el sistema.

1.5.25.2. Utilización

Los usuarios que son miembros del sistema envían un "compendio de mensaje" de 16 bytes para el documento junto con los PIC biométricos y obtienen una "firma digital" que permanece en fichero con el sistema a perpetuidad. Esta firma digital codifica el nombre del usuario, el código de identificación biométrica, el número de registro de firma autorizada, el título del documento, junto con la marca del momento en el que se firmó el documento.

Para verificar una firma, en primer lugar se calcula un compendio para el documento (utilizando MD5 de RSA por ejemplo) y se envía junto con las etiquetas de firma del documento. La ESD mira las etiquetas de firma y valida el compendio de mensaje recibido calculado justo recientemente respecto al compendio de mensaje almacenado en la base de datos.

1.5.25.3. Esquema de base de datos

El esquema del registro de firma electrónica es:

Firma electrónica:

\hskip0.7cm

número de firma = int8

\hskip0.7cm

firmante = int4

\hskip0.7cm

nombre de documento = texto

\hskip0.7cm

suma de control = int16

\hskip0.7cm

fecha = tiempo

El firmante es el código de identificación biométrica del usuario que firma el documento. El registro de firma electrónica se encuentra indexado por el número de firma.

1.5.25.4. Tamaño de base de datos

Para cada 1 GB de almacenamiento secundario, la base de datos de firma electrónica almacena 27 millones de registros (cada registro es de aproximadamente 32 bytes).

1.5.25.5. Dependencias

La ESD tiene dependencias en la identificación biométrica del firmante. Puesto que estas firmas permanecen válidas esencialmente para siempre, los registros de ESD no se eliminan cuando el sistema borra el registro de base de datos biométricos de usuario del firmante. Nótese que esto requiere que la IBD nunca reutilice una identificación biométrica.

1.5.26. Base de datos de vendedor remoto 1.5.26.1. Propósito

La base de datos de vendedor remoto (RMD) almacena información de vendedores que proporcionan bienes o servicios a través de teléfonos, redes de televisión por cable, o internet. Cada pedido enviado por un usuario utilizando un terminal equipado adecuadamente se encamina a través del terminal de pedido del vendedor al sistema.

1.5.26.2. Utilización

Una vez que se recibe la autorización de transacción remota del usuario y se valida el MAC por parte del DPC, el código de vendedor se compara con el código de vendedor de la RMD. El código de vendedor, sea un número de teléfono, credencial de vendedor-producto, o dirección de internet, existe en el registro de RMD bajo el código correcto de identificación de vendedor o el DPC termina la solicitud y devuelve un error de código de vendedor inválido al dispositivo de terminal BIA emisor.

1.5.26.3. Esquema de base de datos

El esquema del registro de vendedor remoto es:

Vendedor remoto:

\hskip0.7cm

identificación de vendedor = int4

\hskip0.7cm

código de vendedor = char16

\hskip0.7cm

tipo de vendedor = int1

\hskip0.7cm

clave pública = int16

El tipo de vendedor del vendedor remoto es uno entre:

\hskip0.7cm

0: teléfono

\hskip0.7cm

1: televisión por cable

\hskip0.7cm

2: internet

La identificación de vendedor y el código de vendedor son ambos claves primarias. No existen dos registros de RMD que tengan la misma combinación de identificación de vendedor y código de vendedor.

1.5.26.4. Tamaño de base de datos

Suponiendo aproximadamente 100.000 vendedores remotos, la RMD requiere aproximadamente 24 bytes por registro para un requerimiento total de almacenamiento de aproximadamente 2,4 MB.

1.5.26.5. Dependencias

La RMD no presenta ninguna dependencia directa con cualquier otro de los componentes del DPC.

1.5.27. Rendimiento del sistema

El valor de rendimiento clave es cuantas transacciones de autorización financiera trata el DPC por segundo.

En el dispositivo de pasarela:

1. MACM comprueba el MAC (local)

2. SNM comprueba el número de secuencia (mensaje de red)

3. MDM desencripta el bloque de PIC biométrico (local)

4. Encontrar el dispositivo de IBD (local)

5. Enviar la solicitud de identificación al dispositivo de IBD (mensaje de red)

En el dispositivo de IBD:

6. Obtener todos los registros de IBD del PIC (x búsquedas e y lecturas, donde x es el número de páginas que se requieren para almacenar los registros biométricos).

7. Para cada registro, comparar respecto a su biométrico primario (y/2 ms donde y es el número registros obtenidos).

8. Si no existe una correspondencia razonable, repetir el paso 9 pero comparar con el biométrico secundario (z * y/2 ms, donde y es el número de registros obtenidos y z es la probabilidad de no encontrar ninguna correspondencia).

9. Actualizar la cola de suma de control del registro de IBD que mejor se corresponde y comprobar posible ataques de reenvío (una búsqueda, una lectura y una escritura).

10. Devolver el registro de IBD que mejor se corresponde o un error si la correspondencia no es suficientemente próxima (mensaje de red).

En el dispositivo de pasarela:

11. Autorizar solicitud con un procesador externo (mensaje de red)

12. El dispositivo de pasarela encripta y establece MAC a la respuesta (local).

13. Devuelve paquete de respuesta (mensaje de red).

Costes totales de disco:

x * (s + r) + y / 2 * (1 + z) + s + r + w + 5 * n = (x + 1) * (s + r) + y / 2 * (1 + z) + w + 5 * n

[suponer que x es 20, y es 30, z es 5%; s = 10 ms, r = 0 ms, w = 0 ms, n = 0 ms]

= 21 * 10 ms + 15 * 1,05 ms

= 226 ms

= 4,4 TPS

[suponer que x es 10, y es 15, z es 5%; s = 10 ms, r = 0 ms, w = 0 ms, n = 0 ms]

= 11 * 10 ms + 7,5 * 1,05 ms

= 118 ms

= 8,4 TPS

[suponer que x es 1, y es 1, z es 5%; s = 10 ms, r = 0 ms, w = 0 ms, n = 0 ms]

= 2 * 10 ms + 1/2 * 1,05 ms

= 21 ms

= 47 TPS

El dispositivo de copia de seguridad de IBD también procesa solicitudes doblando el TPS efectivo.

Peor caso (con dos dispositivos en uso):

Usuarios por CIP	TPS
30	8
15	16
1	94

Caso normal (con 20 dispositivos en uso):

Usuarios por CIP	TPS
30	88
15	168
1	940

Mejor caso (con 40 dispositivos en uso):

Usuarios por CIP	TPS
30	176
15	336
1	1880

Lo anterior es solamente un ejemplo de una configuración del sistema tal como se podría implementar de una forma viable comercialmente. Sin embargo, se anticipa que la presente invención se puede configurar de muchas otras formas que podrían incorporar la utilización de ordenadores más rápidos, más ordenadores y otros cambios de este tipo.

1.6. Diagrama de flujos de protocolo de terminal

El siguiente conjunto de flujos de protocolo describe las interacciones entre terminales específicos, el DPC, la BIA adjunta, y otras partes como el procesador de crédito/débito, etcétera.

1.6.1. Terminal de punto de venta

En este caso un terminal de punto de venta RPT se comunica con un BIA de minorista y el DPC para autorizar una transacción. El importe de la transacción es 452,33, la cuenta del usuario es 4024-2256-5521-1212, el código de vendedor es 123456, y el código privado del usuario es "estoy totalmente convencido de ello".

RPT ? BIA Establecer idioma <inglés>

BIA ? RPT Ok

RPT ? BIA Obtener biométrico <20>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? RPT Ok

RPT ? BIA Obtener PIN <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el CIP, y a continuación <entrar>

BIA ? RPT Ok

RPT ? BIA Obtener número de cuenta <40>

\hskip1.3cm

BIA/LCD: <Ahora introduzca su código de índice de cuenta, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el código, y a continuación <entrar>

BIA ? RPT Ok

RPT ? BIA Confirmar importe <452,33> <40>

\hskip1.3cm

BIA/LCD: <Importe 452,33 ¿ Correcto ?>

\hskip1cm

El usuario introduce Ok

BIA ? RPT Ok

RPT ? BIA Asignar registro <1> <123456>

BIA ? RPT Ok

RPT ? Formar mensaje <transacción>

BIA ? RPT Asignar registro <Mensaje de solicitud de transacción>

BIA ? RPT Ok

\hskip1.3cm

BIA/LCD: <Comunicando con la central de DPC>

RPT ? DPC <Mensaje de solicitud de transacción>

\hskip1.3cm

DPC: validar biométrico, obtener número de cuenta ? 4024-2256-5521-1212

DPC ? VISA <Autorizar 4024-2256-5521-1212 452,33 123456>

VISA ? DPC <Ok 4024-2256-5521-1212 452,33 123456 código de autorización>

\hskip1.3cm

DPC: obtener código privado

DPC ? RPT <Mensaje de respuesta de transacción>

RPT ? BIA Mostrar respuesta <Mensaje de respuesta de transacción> <8>

\hskip1.3cm

BIA/LCD: <Transacción correcta: estoy totalmente convencido de ello>

BIA ? RPT <Ok <código de autorización>>

\hskip1.3cm

RPT: imprime recibo con código de autorización en él. 1.6.2. Terminal de punto de venta por internet

En este caso, un terminal de punto de venta por internet IPT se comunica con un BIA estándar y el DPC para autorizar una transacción. El importe de la transacción es 45,33, la cuenta del usuario es 4024-2256-5521-1212, el vendedor por internet se encuentra en vendedor.com, su código de vendedor es 123456, y el código privado del usuario es "estoy totalmente convencido de ello".

IPT ? vendedor.com <enviar código de vendedor su existen recursos disponibles>

vendedor.com ? IPT <Ok 123456 clave pública de vendedor.com>

\hskip1.3cm

El IPT genera la clave de sesión, encriptada mediante la clave pública de vendedor.com

IPT ? vendedor.com <clave de sesión>

Todas las comunicaciones subsiguientes con el vendedor se encriptan con la clave de sesión

vendedor.com ? IPT <información de producto y precio>

\hskip1.3cm

IPT/Pantalla: muestra precio e información de producto

\hskip1.3cm

Usuario: selecciona artículo "pastel de fruta, precio 45,33"

IPT ? BIA Establecer idioma <inglés>

BIA ? IPT Ok

\hskip1.3cm

IPT ? BIA Obtener biométrico <20>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? IPT Ok

IPT ? BIA Obtener PIN <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el CIP, y a continuación <entrar>

BIA ? IPT Ok

IPT ? BIA Obtener número de cuenta <40>

\hskip1.3cm

BIA/LCD: <Ahora introduzca su código de índice de cuenta, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el código, y a continuación <entrar>

BIA ? IPT Ok

IPT ? BIA Confirmar importe <45,33> <40>

\hskip1.3cm

BIA/LCD: <Importe 45,33 ¿ Correcto ?>

\hskip1cm

El usuario introduce Ok

BIA ? IPT Ok

IPT ? BIA Asignar registro <1> <123456>

BIA ? IPT Ok

IPT ? BIA Asignar registro <2> <vendedor.com>

BIA ? IPT Ok

IPT ? BIA Asignar registro <3> <pastel de fruta>

BIA ? IPT Ok

IPT ? Formar mensaje <transacción remota>

BIA ? IPT <Mensaje de solicitud de transacción remota>

BIA ? IPT Ok

\hskip1.3cm

BIA/LCD: <Comunicando con la central de DPC>

IPT ? vendedor.com <Mensaje de solicitud de transacción remota>

vendedor.com ? conexión segura con el DPC utilizando la clave pública del DPC

vendedor.com ? DPC <Mensaje de solicitud de transacción remota>

\hskip1.3cm

DPC: validar biométrico, obtener número de cuenta ? 4024-2256-5521-1212

\hskip1.3cm

DPC: validar vendedor.com de internet con código 123456

DPC ? VISA <Autorizar 4024-2256-5521-1212 45,33 123456>

VISA ? DPC <Ok 4024-2256-5521-1212 45,33 123456 código de autorización>

\hskip1.3cm

DPC: obtener código privado

DPC ? vendedor.com <Mensaje de respuesta de transacción>

\hskip1.3cm

vendedor.com almacena el código de autorización

vendedor.com ? IPT <Mensaje de respuesta de transacción>

IPT ? BIA Mostrar respuesta <Mensaje de respuesta de transacción> <8>

\hskip1.3cm

BIA/LCD: <Transacción correcta: estoy totalmente convencido de ello>

BIA ? IPT <Transacción correcta>

1.6.3. Terminal de cajero por internet

En este caso, un terminal de cajero por internet ITT se comunica con un BIA estándar, el DPC, y un servidor de interacción de banco para realizar operaciones domésticas rutinarias y no rutinarias del banco. Nótese que el DPC no está relacionado con la validación de cualquier transacción, sino que es solamente responsable de crear un conjunto válido de credenciales de red y asegurar la línea de comunicaciones para el banco.

ITT ? banco.com <enviar código de banco su existen recursos disponibles>

banco.com ? ITT <Ok 1200>

ITT ? BIA Establecer idioma <inglés>

BIA ? ITT Ok

ITT ? BIA Obtener biométrico <20>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? ITT Ok

ITT ? BIA Obtener PIN <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el CIP, y a continuación <entrar>

BIA ? ITT Ok

RPT ? BIA Obtener número de cuenta <40>

\hskip1.3cm

BIA/LCD: <Ahora introduzca su código de índice de cuenta, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el código, y a continuación <entrar>

BIA ? ITT Ok

ITT ? BIA Asignar registro <1> <1200> (código de banco)

BIA ? ITT Ok

ITT ? BIA Asignar registro <2> <banco.com>

BIA ? ITT Ok

ITT ? BIA Asignar registro <3> <puerto de ITT, puerto de banco.com> (direcciones TCP/IP)

BIA ? ITT Ok

RPT ? Formar mensaje <credencial de red>

BIA ? ITT <Solicitud de credencial de red>

BIA ? ITT Ok

\hskip1.3cm

BIA/LCD: <Comunicando con la central de DPC>

ITT ? DPC <Solicitud de transacción>

\hskip1.3cm

DPC: validar biométrico, crear credencial (hora, cuenta, banco)

\hskip1.3cm

DPC: obtener código privado

DPC ? ITT <respuesta de credencial de red>

ITT ? BIA Mostrar respuesta <respuesta de credencial de red>

\hskip1cm

BIA desencriptar respuesta, comprobar respuesta

\hskip1.3cm

BIA/LCD: <Credencial correcta: estoy totalmente convencido de ello>

\hskip1.3cm

BIA encriptar credencial, clave de sesión, clave de reto con clave pública de banco

BIA ? ITT <mensaje de solicitud de conexión segura>

BIA ? ITT <clave de sesión>

BIA ? ITT Ok

\hskip1.3cm

BIA/LCD: <conexión segura con banco.com en progreso>

ITT ? banco.com <mensaje de solicitud de conexión segura>

banco.com desencripta con clave privada, credencial de validación, clave de uso compartida

banco.com ? ITT Ok

Otras transacciones a través de conexiones ITT ? banco.com se encriptan todas por parte del ITT utilizando la clave de sesión ITT/banco.

Cualquier transacción que el banco determina como no rutinaria debe ser validada por el usuario que utiliza el mecanismo de reto - respuesta del BIA.

El mecanismo de reto - respuesta se encuentra disponible solamente mientras el BIA permanece en el estado de "comunicación segura".

banco.com ? ITT <validar <solicitud de validación>>

ITT ? BIA validar privado <solicitud de validación encriptada>

\hskip1cm

El BIA desencripta la sección reto, y la muestra

\hskip1.3cm

BIA/LCD: <Por favor pulse OK: transferir 12.420.000 a 1023-3302-2121-1100>

\hskip1.3cm

El usuario pulsa Ok

\hskip1.3cm

El BIA vuelve a encriptar la respuesta utilizando la clave de reto

\hskip1.3cm

BIA/LCD: <Conexión segura a banco.com en progreso>

BIA ? ITT <Ok <respuesta de validación encriptada>>

ITT ? banco.com <respuesta de validación encriptada>

1.6.4. Terminal de firma electrónica

En este caso, un terminal de firma electrónica EST se comunica con un BIA estándar y el DPC para construir firmas digitales. El código privado de usuario es "estoy totalmente convencido de ello" y el documento a firmar se llama "la letra de marca".

CET ? BIA Establecer idioma <inglés>

BIA ? CET Ok

CET ? BIA Obtener biométrico <20>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? CET Ok

CET ? BIA Obtener PIN <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el CIP, y a continuación <entrar>

BIA ? CET Ok

CET ? BIA Validar documento <letra de marca> <40>

\hskip1.3cm

BIA/LCD: <Documento "letra de marca" ¿ Ok? >

\hskip1.3cm

El usuario pulsa Ok

BIA ? CET Ok

CET ? BIA Asignar registro <1> <1200> <valor MD5 de documento>

BIA ? CET Ok

CET ? Formar mensaje <entrega de firma>

BIA ? CET <Solicitud de firma electrónica>

BIA ? CET Ok

\hskip1.3cm

BIA/LCD: <Comunicando con la central de DPC>

CET ? DPC <Solicitud de firma electrónica>

\hskip1.3cm

DPC: validar biométrico, crear firma, devolver código de texto de firma

\hskip1.3cm

DPC: obtener código privado

DPC ? CET <respuesta de credencial de red>

CET ? BIA Mostrar respuesta <respuesta de firma electrónica> <8>

\hskip1.3cm

BIA/LCD: <Documento correcto: estoy totalmente convencido de ello>

BIA ? CET <Ok <código de texto de firma>>

1.6.5. Terminal de correo electrónico certificado

En este caso un terminal de correo electrónico certificado CET se comunica con un BIA estándar y el DPC para transmitir correo electrónico certificado. El código privado de usuario es "estoy totalmente convencido de ello", y el nombre del documento es "Capitán de correo".

CET ? BIA Establecer idioma <inglés>

BIA ? CET Ok

CET ? BIA Obtener biométrico <20>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? CET Ok

CET ? BIA Obtener PIN <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el CIP, y a continuación <entrar>

BIA ? CET Ok

CET ? BIA Validar documento <capitán de correo> <40>

\hskip1.3cm

BIA/LCD: <Documento "capitán de correo" ¿ Ok? >

\hskip1.3cm

El usuario pulsa Ok

\hskip1.3cm

CET/pantalla: <¿ lista de receptores ?>

\hskip1.3cm

El usuario introduce <fred@telerate.com joe@reuters.com>

CET ? BIA Asignar registro <1> <fred@telerate.com joe@reuters.com>

BIA ? CET Ok

CET ? Formar mensaje <entrega de documento>

BIA ? CET <solicitud de entrega de documento electrónico>

BIA ? CET Ok

\hskip1.3cm

BIA/LCD: <Comunicando con la central de DPC>

CET ? DPC <solicitud de entrega de documento electrónico>

\hskip1.3cm

DPC: validar biométrico, crear mensaje, suma de mensaje #001234

\hskip1.3cm

DPC: obtener código privado

DPC ? CET <respuesta de entrega de documento electrónico>

CET ? BIA Mostrar respuesta <respuesta de entrega de documento electrónico> <8>

\hskip1.3cm

BIA/LCD: <Documento correcto: estoy totalmente convencido de ello>

BIA ? CET <documento ok <1234>>

CET ? DPC <solicitud de datos de documento electrónico, 1234, sección 1, incompleto>

DPC ? CET <respuesta de datos de documento electrónico, incompleto>

CET ? DPC <solicitud de datos de documento electrónico, 1234, sección 2, incompleto>

DPC ? CET <respuesta de datos de documento electrónico, incompleto>

CET ? DPC <solicitud de datos de documento electrónico, 1234, sección 3, incompleto>

DPC ? CET <respuesta de datos de documento electrónico, incompleto>

CET ? DPC <solicitud de datos de documento electrónico, 1234, sección 4, hecho>

DPC ? CET <respuesta de datos de documento electrónico, número de rastreo 1234.1 1234.2>

DPC ? fred@telerate.com <mensaje de correo electrónico 1234.1 llegado>

DPC ? joe@reuters.com <mensaje de correo electrónico 1234.2 llegado>

mailer@telerate.com ? DPC <recibido notificación de correo electrónico para 1234.1>

DPC ? emisor@compañía.com <notificado receptor de correo electrónico 1234.1>

mailer@reuters.com ? DPC <recibido notificación de correo electrónico para 1234.2>

DPC ? emisor@compañía.com <notificado receptor de correo electrónico 1234.2>

[En el CET de Fred: Fred ve el mensaje de correo electrónico "mensaje llegado", y decide recoger el mensaje]

CET ? BIA Establecer idioma <inglés>

BIA ? CET Ok

CET ? BIA Obtener biométrico <20>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? CET Ok

CET ? BIA Obtener PIN <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el CIP, y a continuación <entrar>

BIA ? CET Ok

CET ? BIA Asignar registro <1> <1234.1>

BIA ? CET Ok

CET ? Formar mensaje <entrega de documento>

BIA ? CET <solicitud de entrega de documento electrónico>

BIA ? CET Ok

\hskip1.3cm

BIA/LCD: <Comunicando con la central de DPC>

CET ? DPC <solicitud de entrega de documento electrónico>

\hskip1.3cm

DPC: validar biométrico, buscar 1234.1

\hskip1.3cm

DPC: obtener código privado

DPC ? CET <respuesta de entrega de documento electrónico>

CET ? BIA Mostrar respuesta <respuesta de entrega de documento electrónico> <8>

\hskip1.3cm

BIA/LCD: <Documento correcto: estoy totalmente convencido de ello>

BIA ? CET <documento ok <clave de mensaje>>

\hskip1.3cm

CET/pantalla: desencriptar, a continuación mostrar documento 1.6.6. Terminal de fax seguro

En este caso, un terminal de fax seguro SFT se comunica con un BIA/catv y el DPC para transmitir faxes seguros.

SFT ? BIA Obtener biométrico <20>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? SFT Ok

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el CIP, y a continuación <entrar>

SFT ? BIA establecer pin <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su índice de título, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el índice de título, y a continuación <entrar>

SFT ? BIA establecer código de índice de título <40>

BIA ? SFT Ok

\hskip1.3cm

SFT/pantalla: <¿ receptor ? (añadir * para texto, # al final)>

\hskip1.3cm

El usuario introduce <1 510 944-6300*525#>

\hskip1.3cm

SFT/pantalla: <¿ receptor ? (añadir * para texto, # al final)>

\hskip1.3cm

El usuario introduce <1 415-877-7770#>

\hskip1.3cm

SFT/pantalla: <¿ receptor ? (añadir * para texto, # al final)>

\hskip1.3cm

El usuario introduce <#>

SFT ? BIA asignar registro <1> <15109446300*525 14158777770>

BIA ? SFT Ok

SFT ? formar mensaje <entrega de documento>

BIA ? SFT <solicitud de entrega de fax seguro>

BIA ? SFT Ok

\hskip1.3cm

BIA/LCD: <Comunicando con la central de DPC>

SFT ? DPC <solicitud de entrega de fax seguro>

\hskip1.3cm

DPC: validar biométrico, crear mensaje, devolver mensaje #001234

\hskip1.3cm

DPC: obtener código privado

DPC ? SFT <respuesta de entrega de fax seguro>

SFT ? BIA Mostrar respuesta <respuesta de entrega de fax seguro> <10>

\hskip1.3cm

BIA/LCD: <Documento correcto: estoy totalmente convencido de ello>

BIA ? SFT <documento ok <001234>>

SFT ? DPC <solicitud de datos de fax seguro, 1234, sección 1, incompleto>

DPC ? SFT <respuesta de datos de fax seguro, incompleto>

SFT ? DPC <solicitud de datos de fax seguro, 1234, sección 2, incompleto>

DPC ? SFT <respuesta de datos de fax seguro, incompleto>

SFT ? DPC <solicitud de datos de fax seguro, 1234, sección 3, incompleto>

DPC ? SFT <respuesta de datos de fax seguro, incompleto>

SFT ? DPC <solicitud de datos de fax seguro, 1234, sección 4, hecho>

DPC ? SFT <respuesta de datos de fax seguro>

DPC ? conectar fax 15109446300

DPC ? CFT6300 <cubierta de fax "Sam Spade" de "Fred Jones" 1234.1 espera de 4 páginas

DPC ? desconectar

DPC ? conectar fax 14158777770

DPC ? CFT7770 <cubierta de fax "John Jett" de "Fred Jones" 1234.2 espera de 4 páginas>

DPC ? desconectar

[En el SFT de Sam: Sam ve la cubierta de documento de fax que llega desde Fred, inicia la recuperación del documento desde el DPC utilizando el código de rastreo 1234.1]

SFT ? BIA Obtener biométrico <20>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? SFT Ok

SFT ? BIA Obtener pin <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario (Sam) introduce el CIP, y a continuación <entrar>

BIA ? SFT Ok

SFT ? BIA asignar registro <1> <1234.1>

BIA ? SFT Ok

SFT ? formar mensaje <entrega de documento>

BIA ? SFT <solicitud de entrega de fax seguro>

BIA ? SFT Ok

\hskip1.3cm

BIA/LCD: <Comunicando con la central de DPC>

SFT ? DPC <solicitud de entrega de fax seguro>

\hskip1.3cm

DPC: validar biométrico, buscar 1234.1, verificar PIC biométrico = Sam Spade

\hskip1.3cm

DPC: buscar código privado en base de datos

DPC ? SFT <respuesta de entrega de fax seguro>

SFT ? BIA Mostrar respuesta <respuesta de entrega de fax seguro> <8>

BIA ? SFT: <Documento correcto: estoy totalmente convencido de ello clave de mensaje>>

\hskip1.3cm

SFT/pantalla: <Documento correcto: estoy totalmente convencido de ello>

\hskip1.3cm

SFT/pantalla: imprimir fax 1.6.7. Terminal de registro biométrico

En este caso un terminal de registro biométrico BRT se comunica con un BIA de registro y el DPC para registrar a un usuario con el sistema.

BRT ? BIA Establecer idioma <inglés>

BIA ? BRT Ok

BRT ? BIA Obtener biométrico <20> <primario>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo PRIMARIO sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo primario sobre el explorador

BIA ? CET Ok

BRT ? BIA Obtener biométrico <20> <secundario>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo SECUNDARIO sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo secundario sobre el explorador

BIA ? BRT Ok

BRT ? BIA Obtener PIN <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce 123456, y a continuación <entrar>

BIA ? BRT Ok

\hskip1.3cm

BRT ? BIA Obtener clave de mensaje

\hskip1.3cm

BIA ? BRT <Ok <clave de mensaje>>

BIA ? <mensaje de solicitud de registro>

\hskip1.3cm

BRT/pantalla: <Nombre:>

\hskip1.3cm

El representante introduce <Fred G. Shultz>

\hskip1.3cm

BRT/pantalla: <Dirección:>

\hskip1.3cm

El representante introduce <Main North 1234>

\hskip1.3cm

BRT/pantalla: <Código postal:>

\hskip1.3cm

El representante introduce <94942>

\hskip1.3cm

BRT/pantalla: <Código privado:>

\hskip1.7cm

El representante pregunta al usuario, a continuación introduce <estoy totalmente convencido de ello>

\hskip1.3cm

BRT/pantalla: <Lista de cuenta de valor:>

\hskip1.7cm

El representante introduce <2, 1001-2001-1020-2011> (tarjeta de crédito)

\hskip1.7cm

El representante introduce <3, 1001-1002-0039-2212> (comprobación de cuenta)

\hskip1.3cm

BRT/pantalla: <Cuenta de alarma:>

El representante introduce <1, 1001-1002-0039-2212> (alarma, comprobación de cuenta)

BRT ? Formar mensaje <registro>

\hskip1.3cm

BIA ? BRT <mensaje de solicitud de registro>

BIA ? BRT Ok

\hskip1.3cm

BIA/LCD: <comunicando con la central de DPC>

\hskip1.7cm

El BRT adjunta información personal encriptada por medio de clave de mensaje a la solicitud

BRT ? DPC <Mensaje de solicitud de registro> <información personal encriptada>

\hskip1.3cm

DPC: verificar PIC 123456

DPC ? BRT <Mensaje de respuesta de registro> <8>

\hskip1.3cm

BIA/LCD: <Registro Ok: estoy totalmente convencido de ello, 123456>

BIA ? BRT Ok

1.6.8. Terminal de servicio de cliente

En este caso, un terminal de servicio de cliente CST se comunica con un BIA estándar y el DPC para verificar la identidad y las credenciales de un usuario.

CST ? BIA Establecer idioma <inglés>

\hskip1.3cm

BIA ? CST Ok

CST ? BIA Obtener biométrico <20>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? CST Ok

CST ? BIA Obtener pin <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el CIP, y a continuación <entrar>

BIA ? CST Ok

\hskip1.3cm

CST ? BIA Obtener clave de mensaje

BIA ? CST <Ok <clave de mensaje>>

CST ? formar mensaje <solicitud de identificación de usuario>

\hskip1.3cm

BIA ? CST <solicitud de identificación de usuario>

BIA ? CST Ok

\hskip1.3cm

BIA/LCD: <Comunicando con la central de DPC>

CST ? DPC <solicitud de identificación de usuario>

\hskip1.3cm

DPC: obtener código privado, privilegios de usuario

DPC ? CST <respuesta de identificación de usuario>

CST ? BIA Mostrar respuesta <respuesta de identificación de usuario> <8>

\hskip1.3cm

BIA/LCD: <Identificación correcta: estoy totalmente convencido de ello>

BIA ? CST <Ok <privilegios de nombre de usuario>>

\hskip1.3cm

CST: comprobar privilegios para ver si son suficientes para utilizar el CST 1.6.9. Terminal de emisor

En este caso, un terminal de emisor IT se comunica con un BIA estándar y el DPC para autorizar y enviar un lote de solicitudes de adición y eliminación de cuenta al DPC. El código privado de usuario es " estoy totalmente convencido de ello", y el código de banco es 1200.

IT ? BIA Establecer idioma <inglés>

BIA ? IT Ok

IT ? BIA Obtener biométrico <20>

\hskip1.3cm

BIA/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? IT Ok

IT ? BIA Obtener pin <40>

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce el CIP, y a continuación <entrar>

BIA ? IT Ok

IT ? BIA Asignar registro <1> <1200>

BIA ? IT Ok

IT ? BIA Obtener clave de mensaje

BIA ? IT <clave de mensaje>

BIA ? IT Ok

IT ? BIA formar mensaje <solicitud de emisor>

BIA ? IT <solicitud de lote de emisor>

BIA ? IT Ok

\hskip1.3cm

BIA/LCD: <Comunicando con la central de DPC>

IT ? DPC <solicitud de lote de emisor> <lote de emisor encriptado por clave de mensaje>

\hskip1.3cm

DPC: validar biométrico, validar código de banco 1200 respecto identificación BIA

\hskip1.3cm

DPC: obtener código privado

\hskip1.3cm

DPC: desencriptar mensaje utilizando clave de mensaje, ejecutar lote de emisor

DPC ? IT <respuesta de lote de emisor>

IT ? BIA Mostrar respuesta <respuesta de lote de emisor> <8>

\hskip1.3cm

BIA/LCD: <Lote correcto: estoy totalmente convencido de ello>

BIA ? IT <Ok>

1.6.10. Dispositivos de cajero automático

En este caso, un dispositivo de cajero automático ATM se comunica con un BIA estándar y el DPC para identificar a un usuario y obtener su número de cuenta bancaria. La cuenta del usuario es 2100-0245-3778-1201, el código de banco es 2100, y el código privado de usuario es "estoy totalmente convencido de ello".

ATM ? BIA Obtener biométrico <20>

\hskip1.3cm

ATM/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? IT Ok

\hskip1.3cm

BIA/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce 123456, y a continuación <entrar>

ATM ? BIA establecer Pin <123456>

BIA ? ATM Ok

\hskip1.3cm

ATM/LCD: <Ahora introduzca su código de índice de cuenta, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce 2, y a continuación <entrar>

ATM ? BIA establecer código de índice de cuenta <2>

BIA ? ATM Ok

ATM ? BIA Asignar registro <1> <2100>

BIA ? ATM Ok

ATM ? BIA formar mensaje <acceso a cuenta>

BIA ? ATM <mensaje de solicitud de acceso a cuenta>

BIA ? ATM Ok

\hskip1.3cm

ATM/LED: <Comunicando con la central de DPC>

ATM ? DPC <mensaje de solicitud de acceso a cuenta>

\hskip1.3cm

DPC: validar biométrico, obtener número de cuenta ? 2100-0245-3778-1201

\hskip1.3cm

DPC: obtener código privado

\hskip1.3cm

DPC ? ATM <mensaje de respuesta de acceso a cuenta>

BIA ? ATM <2100-0245-3778-1201> <ninguna alarma> <estoy totalmente convencido de ello>

\hskip1cm

ATM/LCD: <estoy totalmente convencido de ello>

En este punto, el ATM tiene el número de cuenta que necesita para continuar, por tanto a continuación obtiene la información asociada con el número de cuenta, y comienza a interactuar con el usuario.

1.6.11. Punto telefónico de terminal de venta

En este caso, un punto telefónico de terminal de venta PPT se comunica con un BIA integrado en teléfono y el vendedor por teléfono para descargar información y adquirir artículos de forma segura utilizando el teléfono. El PIC del usuario es 1234, el código de índice de cuenta es 1, el número de teléfono del vendedor es 1 800 542-2231, el código de vendedor es 123456, y el número de cuenta es 4024-2256-5521-1212.

Nótese que el teléfono separa el código de área (1-800) del número de teléfono antes de entregarlo al sistema.

El usuario marca el teléfono 18005422231

PPT ? conectar con el vendedor 18005422231

PPT ? BIA asignar registro 1 <5422231>

El representante de venta contesta, el usuario selecciona el artículo "tarta de fruta". El representante de venta descarga la información de vendedor ? PPT <123456 tarta de fruta 43,54>

PPT ? BIA Obtener biométrico <20>

\hskip1.3cm

Teléfono/LCD: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ?PPT Ok

\hskip1.3cm

Teléfono/LCD: <Por favor introduzca su código de identificación personal, a continuación pulse #>

\hskip1.3cm

El usuario introduce 1234, y a continuación # o * (entrar)

\hskip1.3cm

PPT ? BIA establecer Pin <1234>

BIA ? PPT Ok

\hskip1.3cm

Teléfono/LCD: <Ahora introduzca su código de índice de cuenta>

\hskip1.3cm

El usuario introduce 1, y a continuación <entrar>

PPT ? BIA establecer código de índice de cuenta <1>

BIA ? PTT Ok

RPT ? BIA Asignar registro <2> <123456>

BIA ? PPT Ok

\hskip1.3cm

Teléfono/LCD: <Pulse # si importe 45,54 es correcto>

\hskip1.3cm

El usuario introduce # (sí)

PPT ? BIA establecer importe <43,54>

BIA ? PTT Ok

PPT ? Firmar mensaje <transacción remota>

BIA ? PTT <Solicitud de transacción remota>

BIA ? PTT Ok

\hskip1.3cm

Teléfono/LCD: <Comunicando con la central de DPC>

PPT ? vendedor <solicitud de transacción por teléfono>

vendedor ? DPC conexión segura a DPC utilizando clave pública de DPC

vendedor ? DPC <solicitud de transacción por teléfono>

\hskip1.3cm

DPC: validar biométrico, obtener número de cuenta ? 4024-2256-5521-1212

\hskip1.3cm

DPC: validar que vendedor 5422231 tiene código 123456

DPC ? VISA <autorizar 4024-2256-5521-1212 43,54 123456>

VISA ? DPC <ok 4024-2256-5521-1212 43,54 123456 código de autorización>

\hskip1.3cm

DPC: obtener código privado

DPC ? vendedor <mensaje de respuesta de transacción>

\hskip1.3cm

el vendedor examina el código de respuesta

vendedor ? DPC <mensaje de respuesta de transacción>

PPT ? BIA desencriptar mensaje <mensaje de respuesta de transacción>

BIA ? PPT <ok <estoy totalmente convencido de ello> <código de autorización>>

\hskip1.3cm

Teléfono/LCD: <sonido> Transacción correcta: estoy totalmente convencido de ello 1.6.12. Terminal de punto de venta por televisión por cable

En este caso, un terminal de punto de venta portelevisión por cable CPT se comunica con un BIA de televisión por cable integrado y el vendedor de televisión por cable para descargar información y adquirir artículos de forma segura utilizando la red de banda ancha de la televisión por cable. El PIC del usuario es 1234, el código de índice de cuenta es 1, el canal es 5, el código de vendedor 123456, y el número de cuenta es 4024-2256-5521-1212.

El usuario sintoniza el televisor al canal 5.

vendedor ? CPT <tarta de fruta 43,54 123456> (difusión)

\hskip1.3cm

El usuario pulsa "comprar" en el mando a distancia del televisor

\hskip1.3cm

CPT/TV: <Comprando tarta de fruta por 43,54\textdollar>

CPT ? BIA Obtener biométrico <20>

\hskip1.3cm

CPT/TV: <Por favor apoye el dedo sobre el panel iluminado>

\hskip1.3cm

El usuario apoya el dedo sobre el explorador

BIA ? CPT Ok

\hskip1.3cm

CPT/TV: <Por favor introduzca su código de identificación personal, a continuación pulse <entrar>>

\hskip1.3cm

El usuario introduce 1234 en el teclado, y a continuación "comprar"

CPT ? BIA establecer Pin <1234>

BIA ? CPT Ok

\hskip1.3cm

CPT/TV: <Ahora introduzca su código de índice de cuenta>

\hskip1.3cm

El usuario introduce 1, y a continuación <entrar>

CPT ? BIA establecer código de índice de cuenta <1>

BIA ? CPT Ok

RPT ? BIA Asignar registro <1> <canal 5, 15:30:20 PST>

BIA ? RPT Ok

CPT ? BIA Asignar registro <2> <123456>

BIA ? CPT Ok

\hskip1.3cm

CPT/TV: <Pulse "comprar" si importe 45,54 es correcto>

\hskip1.3cm

El usuario introduce "comprar"

CPT ? BIA establecer importe <43,54>

BIA ? CPT Ok

CPT ? Formar mensaje <transacción por televisión por cable>

BIA ? CPT <Solicitud de transacción por televisión por cable>

BIA ? CPT Ok

\hskip1.3cm

CPT/TV: <Comunicando con la central de DPC>

CPT ? Centro de CTV <Solicitud de transacción por televisión por cable>

Centro de CTV ? vendedor < Solicitud de transacción por televisión por cable>

vendedor ? DPC conexión segura a DPC utilizando clave pública de DPC

vendedor ? DPC <solicitud de transacción por televisión por cable>

\hskip1.3cm

DPC: validar biométrico, obtener número de cuenta ? 4024-2256-5521-1212

\hskip1.3cm

DPC: validar que el programa actual del canal 5 de vendedor tiene código 123456

DPC ? VISA <autorizar 4024-2256-5521-1212 43,54 123456>

VISA ? DPC <ok 4024-2256-5521-1212 43,54 123456 código de autorización>

\hskip1.3cm

DPC: obtener código privado, dirección de correo

DPC ? vendedor <mensaje de respuesta de transacción>

\hskip1.3cm

el vendedor examina el código de respuesta, registra la dirección de correo

vendedor ? centro de CTV <mensaje de respuesta de transacción>

centro de CTV ? CPT <mensaje de respuesta de transacción>

CPT ? BIA desencriptar mensaje <mensaje de respuesta de transacción>

BIA ? PPT <ok <estoy totalmente convencido de ello> <código de autorización>>

\hskip1.3cm

CPT/TV: <sonido> Transacción correcta: estoy totalmente convencido de ello

A partir de lo anterior, se apreciará la forma en la que se logran los objetos y características de la presente invención.

En primer lugar, la presente invención proporciona un sistema de identificación por ordenador que elimina la necesidad de que un usuario posea y presente un objeto físico, como una tarjeta o testigo, para iniciar una solicitud de acceso al sistema.

En segundo lugar, la presente invención proporciona un sistema de identificación por ordenador que es capaz de verificar la identidad de un usuario, al contrario de verificar la posesión de objetos e información.

En tercer lugar, la presente invención verifica la identidad del usuario basándose en una o más características únicas físicamente personales del usuario.

En cuarto lugar, la presente invención proporciona un sistema de identificación que es práctico, conveniente, y fácil de utilizar.

En quinto lugar, la presente invención proporciona un sistema de acceso seguro a un sistema de ordenador que es altamente resistente a los intentos de acceso fraudulento por parte de usuarios no autorizados.

En sexto lugar, la presente invención proporciona un sistema de identificación por ordenador que permite a un usuario notificar a las autoridades que una solicitud de acceso concreta está siendo forzada por una tercera parte sin dar noticia de la notificación a la tercera parte.

En séptimo lugar, la presente invención proporciona un sistema de identificación que permite la identificación del emisor y el receptor de un mensaje y/o facsímil electrónico.

Aunque la presente invención se ha descrito respecto a un sistema y procedimiento concreto de identificación sin testigo para su utilización, se apreciará que son posibles varias modificaciones de los dispositivos y procedimientos sin salir del ámbito de la invención, que se encuentra definido por las reivindicaciones que se presentan más adelante.

5. Glosario Código de índice de cuenta

Un dígito o secuencia alfanumérica que corresponde a una cuenta financiera de valor concreta.

AID

Base de datos de usuarios autorizados: contiene la lista de usuarios autorizados para utilizar dispositivos BIA personales y de emisor.

AOD

Base de datos de propietarios de dispositivos: lugar de depósito central que contiene la información geográfica y de contacto del propietario de cada BIA.

ASCII

Código estándar americano para el intercambio de información.

ATM

Dispositivo de cajero automático; utiliza información biométrica de identidad codificada para obtener acceso a un sistema de gestión de valor financiero, comprendiendo dispensado de dinero en metálico y gestión de cuentas.

BIA

Dispositivo de entrada biométrica: recoge información biométrica de identificación, la codifica y la encripta, y la hace disponible para las autorizaciones. Se presenta en diferentes modelos de dispositivos y versiones de programas.

Biométrico

Una medida tomada por el sistema de algún aspecto del cuerpo físico de un usuario.

Identificación biométrica

Identificador utilizado por el sistema para identificar de forma única un registro biométrico de usuario (IRID - identificación de registro individual).

Grupo BIO-CIP

Un conjunto de muestras biométricas diferentes en algoritmo enlazadas con el mismo código de identificación personal.

BRT

Terminal de registro biométrico; situado en terminales de sucursales bancarias, los BRT combinan información de registro biométrico con un número de identificación personal seleccionado por el usuario e información personal seleccionada para registrar a usuarios con el sistema.

CBC

Encadenamiento de bloque de cifrado: un modo de encriptado para el DES.

CCD

Dispositivo de carga acoplada.

CET

Terminal de correo electrónico certificado; utiliza BIA para identificar al emisor, encripta el documento, lo envía al sistema. El sistema lo retiene y notifica al receptor de la recepción de mensaje. El receptor se identifica a si mismo, y a continuación el documento se transmite al receptor. Notifica al emisor una vez se ha enviado el mensaje. El documento se envía verificado, asegurado por medio de encriptado por BIA. El transmisor puede consultar el estado de entrega. Ambos participantes deben ser miembros del sistema.

Comandos

Un programa o rutina que reside en el DPC que realiza una tarea específica, activado por medio de un mensaje de solicitud enviado desde un terminal equipado con BIA.

Aceptar/Rechazar contrato

Procedimiento por medio del cual un usuario introduce sus BIO-CIP y da instrucciones al DPC para registrar la aceptación o rechazo de contrato de dicho usuario de los términos contenidos en un documento que se ha enviado por medio de facsímil electrónico a dicho usuario.

CPT

Terminal de punto de venta por televisión por cable: combina señal digital de transmisión simultánea presentada en pantalla que informa al dispositivo de sobremesa de recepción por cable sobre información de producto con vídeo del producto, y un controlador de BIA remoto que realiza la validación de biométrico con número de identificación personal utilizando la red de comunicaciones de televisión por cable. Pedido/autorización/dirección de correo/identificación de artículo se envían al vendedor. Los resultados de la autorización se muestran en el televisor.

CST

Terminales de servicio de cliente: proporcionan al personal de servicio de clientes del sistema con varios grados de acceso (dependiendo del privilegio de acceso) la capacidad de obtener y modificar información sobre usuarios para asistir a las personas con problemas de cuenta.

Etapa de sellado de datos

La conversión de texto leíble en texto cifrado (conocida como "encriptado") en combinación con la suma de control encriptada de un mensaje que permite que la información se mantenga en texto leíble mientras que al mismo tiempo proporciona un medio para detectar cualquier modificación subsiguiente del mensaje.

DES

Estándar de encriptado digital: un estándar para la protección criptográfica de datos digitales. Ver el estándar ANSI X3.92-1981.

Determinación

Estado del comando ejecutado durante la etapa de ejecución.

DPC

Centro de procesado de datos, en concreto, el sitio y la entidad donde se encuentran la maquinaria, programas, y personal con el objetivo de mantener una base de datos biométricos de varios gigabytes. Un DPC procesa mensajes electrónicos, la mayoría de los cuales conllevan comprobaciones de identidad biométrica como precursoras de la realización de alguna acción, como transferencia financiera, o enviar un fax, o enviar un correo electrónico, etc.

DSP

Procesador digital de señal: una clase de circuito integrado especializado en las operaciones matemáticas requeridas por las aplicaciones de procesado de señal.

DUKPT

Clave única entregada por transacción: ver estándar ANSI/ABA X9.24-1992

EDD

Base de datos de documento electrónico: lugar de depósito central que contiene todos los faxes y mensajes electrónicos pendientes que esperan ser recogidos por los usuarios.

Índice de cuenta de alarma

Dígito o secuencia alfanumérica seleccionado por un usuario que, cuando se accede, dará como resultado que la transacción se etiquetará por parte del sistema como una transacción de alarma, causando potencialmente mostrar pantallas falsas y/o la notificación a las autoridades de que dicho usuario ha sido forzado al realizar una transmisión o transacción.

ESD

Base de datos de firma electrónica: lugar de depósito central que contiene todos los MD5 y firmas electrónicas de todos los documentos firmados por cualquiera, referidos por el número de autorización.

EST

Terminal de firma electrónica; utiliza BIA para identificar a un usuario, calcula la suma de control por ordenador del documento, envía la suma de control al sistema, valida por sistema, sella con la hora, guarda la suma de control, y devuelve un código de firma. Utiliza internet como transporte. El EST también verifica firmas dado un código de firma y un cálculo de MD5.

FAR (Tasa de aceptación falsa)

Posibilidad estadística de que el biométrico de un usuario sea identificado de forma incorrecta como el biométrico de otro usuario.

Pantallas falsas

Presentaciones de información que se han predeterminado intencionadamente para ser sutilmente inexactas de forma que una parte intrusa no obtenga ilegalmente datos exactos sobre los valores financieros de los usuarios, manteniéndose inconsciente de la alteración de la información.

FDDI

Interfaz de dispositivo digital por fibra: un dispositivo de red que utiliza un anillo con paso de testigo por fibra óptica.

FS

Separador de campo.

FW

Dispositivo cortafuegos: el encaminador de internet a red local que regula el tráfico hacia dentro y hacia fuera del DPC.

GM

Dispositivo de pasarela: los ordenadores principales de procesado del DPC; ejecuta la mayoría de los programas.

IBD

Base de datos de biométrico individual: lugar de depósito central de información biométrica, valor financiero, y otra información personal. Las consultas a la base de datos biométricos se utilizan para verificar la identidad en autorizaciones de transacciones y transmisiones.

ID

Base de datos de emisores: lugar de depósito central que contiene las instituciones a as que se permite añadir y eliminar números de cuenta financiera de valor en el sistema.

IML

Lista de dispositivos IBD: módulo de programa del DPC que determina qué dispositivos IBD son responsables de cada código PIN.

Vendedor de Internet

Cuenta de venta de servicios o bienes a los consumidores por medio de la red electrónica de internet.

IPT

Terminal de punto de venta por internet: los códigos de artículos y vendedores por internet, pin biométrico de BIA para validación, son enviados al sistema utilizando internet. La autorización/pedido/número de oficina de correos se envían al vendedor. El sistema responde utilizando también internet, mostrándose los resultados en la pantalla.

Emisor

Un emisor de cuenta financiera para valores financieros a registrar en el DPC.

Lote de emisor

Una colección de instrucciones de "añadir" y "borrar" completas con identificaciones biométricas, cuentas de valor financieras, y códigos de índice de cuenta verificados y enviados por un emisor al DPC.

IT

Terminales de emisor: proporcionan una conexión por lotes con el sistema para que los emisores añadan o eliminen (sus propios) números de cuenta de valor a partir de registros IBD de usuarios específicos.

ITT

Terminal cajero por internet: autoriza la sesión de terminal de red utilizando la credencial encriptada obtenida del DPC utilizando la identificación biométrica.

LCD

Pantalla de cristal líquido: tecnología utilizada para mostrar texto.

MAC

Código de autenticación de mensaje: algoritmo de suma de control encriptada, el MAC proporciona seguridad de que los contenidos de un mensaje no se han alterado posteriormente al cálculo del MAC. Ver el estándar ANSI X9.9-1986.

MACM

Módulo de código de autenticación de mensaje: módulo de programa del DPC que trata la validación y generación MAC para paquetes de entrada o salida.

MDM

Módulo de desencriptado de mensaje: módulo de programa del DPC que encripta y desencripta paquetes procedentes o destinados a un dispositivo BIA.

MPM

Módulo de procesado de mensaje: módulo de programa del DPC que realiza el procesado de los paquetes de solicitud.

Credencial de red

El DPC identifica tanto al usuario como al banco se para crear la credencial de red. La credencial comprende la identificación del usuario y el contexto de la conexión (es decir, los puertos TCP/IP del origen y del destino). El DPC crea una credencial de red utilizando la identificación de cuenta de usuario, la hora del día, y el código de banco. El DPC firma esta credencial utilizando encriptado de clave pública y la clave privada del DPC.

PFD

Base de datos de fraude anterior: lugar de depósito central de registros de IBD que han tenido un fraude anterior asociado a los mismos. Cada biométrico de un nuevo cliente se comprueba respecto a todos los registros de la PFD con la intención de reducir la reincidencia.

PGL

Lista de grupo de número de identificación personal:módulo de programa del DPC responsable de mantener la configuración de los dispositivos IBD.

PIN

Número de identificación personal: procedimiento de proteger el acceso a una cuenta de usuario por medio de conocimiento secreto, formado por un número por lo menos.

PIC

Código de identificación personal: PIN formado de números, símbolos, o caracteres alfabéticos.

POS

Punto de venta: lugar donde se venden bienes.

PPT

Terminal de punto de venta por teléfono: combina el número de teléfono con el precio del vendedor y la información de producto para autorizar una transacción sobre un teléfono equipado con BIA. Se envían pedido/autorización/
dirección de correo/PO al vendedor. La autorización resultante se muestra sobre la LCD del teléfono, o "se habla", junto con el código privado del usuario.

RAM

Memoria de acceso aleatorio.

RF

Radio frecuencia: se refiere de forma general a energía de radio frecuencia que se emite durante el funcionamiento normal de dispositivos eléctricos.

Registros

Memoria reservada para un propósito específico, datos reservados sobre chips y operandos a instrucciones.

Solicitudes

Instrucciones electrónicas desde el BIA al DPC para identificar al usuario y de esta forma procesar el comando del usuario en caso de que la identificación sea correcta.

RMD

Base de datos de vendedor remoto: contiene todos los códigos de identificación de vendedor para establecimientos de pedido de teléfono y televisión por cable: indexada por la identificación de vendedor. Contiene también códigos de encriptado de sistema por vendedor.

RPT

Terminal de punto de venta al detalle: combina la información de identidad biométrica codificada con la información de transacción al detalle (posiblemente desde una caja registradora electrónica) y formula solicitudes de autorización del sistema utilizando redes X.25, módems, etc.

Transmisión segura

Mensaje o facsímil electrónico en el que por lo menos una parte ha sido identificada por el DPC.

SFT

Terminal de fax seguro: utiliza el BIA para identificar al emisor, envía fax no asegurados, o asegurados por emisor, asegurados, o asegurados confidenciales. Los dos últimos tipos requieren que los receptores se identifiquen a si mismos utilizando PIN biométrico. Utiliza "títulos" (especificados utilizando un dígito de índice de título) para etiquetar faxes de salida. El emisor puede consultar el estado de entrega. Los dos participantes deben ser miembros del sistema. Tanto el emisor como el receptor pueden solicitar que el fax sea archivado.

SNM

Módulo de número de secuencia: módulo de programa del DPC que trata procesado del número de secuencia DUPKT para los mensajes de solicitud de salida. El procesado de números de secuencia protege contra los ataques de reenvío.

Terminal

Dispositivo que utiliza el BIA para recoger muestras biométricas y formar mensajes de solicitud que se envían subsiguientemente al DPC para su autorización y ejecución. Los terminales casi siempre añaden información auxiliar para solicitar mensajes, identificar partes contrarias y similares.

Código de índice de titulo

Secuencia alfanumérica que identifica de forma única un papel autorizado de usuario o capacidad dentro del contexto de su tarea.

Testigo

Objeto inanimado que confiere una capacidad.

Código de rastreo

Secuencia alfanumérica asignada a datos almacenados por el DPC, de forma que dicha secuencia se puede utilizar para recobrar los datos u obtener un informe del estado de la transmisión de los datos.

Transacción

Intercambio financiero electrónico.

Transmisión

Mensaje electrónico diferente de un intercambio financiero electrónico.

VAD

Base de datos de dispositivos válidos: lugar de depósito central en el que cada BIA (con códigos de encriptado asociados únicos) se identifica, junto con el propietario del BIA.

Claims (19)

1. Sistema de ordenador de identificación voluntaria sin testigo para determinar la identidad de un usuario a partir de un examen de por lo menos una muestra biométrica ofrecida y un código de identificación personal ofrecido recogidos durante una etapa de entrada, y la comparación con muestras biométricas y códigos personales de identificación registradas con anterioridad recogidos durante una etapa de registro, comprendiendo dicho sistema:

a.

por lo menos un ordenador;

b.

medios de recogida primeros para la introducción voluntaria de por lo menos una muestra biométrica de registro y un código de identificación personal de un usuario durante la etapa de registro;

c.

medios de recogida segundos para la introducción voluntaria de por lo menos una muestra biométrica voluntaria y un código de identificación personal, de un usuario durante la etapa de entrada;

d.

medios primeros de interconexión para conectar dichos medios de recogida primero y segundo con dicho ordenador para transmitir a dicho ordenador las muestras biométricas y códigos de identificación personal recogidos desde dichos medios de recogida primero y segundo;

e.

medios para almacenar una pluralidad de muestras biométricas de registro;

f.

medios para asociar un subconjunto de las muestras biométricas de registro almacenadas con un código de identificación personal de registro;

g.

medio para comparar una muestra biométrica ofrecida con las muestras biométricas de registro asociadas con el código de identificación personal de registro que se corresponde con el código de identificación personal ofrecido, para producir una evaluación;

h.

medios de ejecución en dicho ordenador para el almacenamiento de datos y el procesado y ejecución de comandos para producir una determinación; y

i.

medios para comunicar dicha evaluación, o determinación, desde dicho ordenador.

2. Dispositivo según la reivindicación 1, comprendiendo el medio primero y segundo de recogida y visualización además:

a.

por lo menos un medio de entrada biométrica para la recogida de muestras biométricas que comprende además un componente de maquinaria y de programa;

b.

por lo menos un medio de terminal integrado parcial o totalmente de forma funcional con el medio de entrada biométrica para la introducción y anexión de datos adicionales;

c.

por lo menos un medio de entrada de datos para la entrada de un código de identificación personal en el que dicho medio se encuentra integrado con el medio de entrada biométrico o con el medio de terminal; y

d.

un segundo medio de interconexión para interconectar dicho medio de entrada biométrica, dicho medio de entrada de datos y dicho terminal.

3. Dispositivo según la reivindicación 2 en el que el medio de entrada biométrica tiene un código de identificación de dispositivo registrado en el ordenador, que hace que el medio de entrada biométrica sea identificable de forma única por el ordenador.

4. Dispositivo según la reivindicación 2 en el que el componente de dispositivo comprende además:

a.

por lo menos un módulo de computación para el procesado de datos;

b.

módulos de memoria borrable y no borrable para el almacenamiento de datos y programas;

c.

dispositivo de exploración biométrica para la introducción de datos biométricos;

d.

un medio de entrada de datos para introducir datos;

e.

un puerto de comunicación digital; y

f.

un medio para evitar escuchas electrónicas.

\newpage

5. Dispositivo según la reivindicación 2 en el que el componente de dispositivo comprende además un medio de comunicación inalámbrico.

6. Dispositivo según la reivindicación 2 en el que el componente de programa reside en un módulo de computación y comprende además:

a.

módulo de memoria borrable electrónicamente en el que se almacenan por lo menos un módulo de interficie de comando, un primer conjunto de programas y los datos asociados, configurados para el uso que se pretende del dispositivo de entrada biométrica y de los datos; y

b.

módulo de memoria no borrable en el que se almacena un segundo conjunto de programas y datos asociados.

7. Dispositivo según cualquiera de las reivindicaciones 2 a 6 en el que el componente de programa comprende además medios para el encriptado de datos de texto leíble a texto cifrado.

8. Dispositivo según la reivindicación 2 en el que dicho terminal se selecciona del grupo que comprende dispositivos de facsímil, teléfonos, mando a distancia de televisor, ordenadores personales, procesadores de tarjeta de crédito/débito, cajas registradoras, dispositivos de cajero automático, ordenadores personales inalámbricos.

9. Dispositivo según la reivindicación 1 en el que el medio de comparación comprende medios para identificar el dispositivo de entrada biométrica.

10. Dispositivo según la reivindicación 1 en el que los sistemas de ordenador comprenden además:

a.

por lo menos un sistema de ordenador de parte contraria; y

b.

medios de interconexión terceros para interconectar dichos sistemas de ordenador con dicho sistema de ordenador de parte contraria.

11. Dispositivo según la reivindicación 1 en el que la base de datos comprende además una base de datos de datos biométricos individuales.

12. Dispositivo según la reivindicación 1 que comprende:

medios para la comparación de la muestra biométrica tomada de un primer usuario, con cualquier muestra biométrica almacenada con anterioridad del subconjunto asociado con un único código de identificación individual, para asegurar que la muestra biométrica introducida por dicho usuario es algorítmicamente única respecto a cualquier muestra biométrica del mismo subconjunto almacenada con anterioridad proporcionada por lo menos por un segundo usuario; y

medios para el almacenamiento de la muestra biométrica introducida por dicho primer usuario en la cesta de código de identificación personal seleccionado si dicha muestra es algorítmicamente única respecto a cualquier muestra biométrica de dicho por lo menos único segundo usuario almacenada con anterioridad.

13. Procedimiento para la búsqueda rápida de por lo menos una primera muestra biométrica almacenada con anterioridad de un primer usuario, utilizando una cesta de código de identificación personal que puede contener por lo menos una segunda muestra biométrica algorítmicamente única de por lo menos un segundo usuario, y que se identifica por medio de dicho código de identificación personal, que comprende:

a. etapa de almacenamiento que comprende además:

i.

selección de un código de identificación personal por parte de un primer usuario;

ii.

introducir una primera muestra biométrica de dicho primer usuario;

iii.

localizar la cesta de código de identificación personal identificada por el código de identificación personal seleccionado por dicho primer usuario;

iv.

comparación de la muestra biométrica tomada de dicho primer usuario, con muestras biométricas almacenadas con anterioridad en dicha cesta de código de identificación personal seleccionada, para asegurar que la muestra biométrica introducida por dicho primer usuario es algorítmicamente única respecto a la por lo menos única muestra biométrica almacenada con anterioridad proporcionada por dicho por lo menos único segundo usuario; y

v.

almacenamiento de la muestra biométrica introducida de dicho primer usuario en la cesta de código de identificación personal seleccionada si dicha muestra es algorítmicamente única respecto a la por lo menos única muestra biométrica almacenada con anterioridad proporcionada por dicho por lo menos único segundo usuario; y

b. etapa de introducción que comprende además:

i.

introducción por parte de dicho primer usuario de dicho código de identificación personal seleccionado; y

ii.

introducción por parte de dicho primer usuario de dicha muestra biométrica; y

c. etapa de comparación que comprende además:

i.

encontrar la cesta de código de identificación personal que se identifica por medio de dicho código de identificación personal introducido por dicho primer usuario; y

ii.

comparar la muestra biométrica introducida por dicho primer usuario con dicha por lo menos única muestra biométrica de dicho por lo menos único segundo usuario almacenada en dicha cesta de código de identificación personal introducida para producir un resultado de identificación correcto o falso.

14. Procedimiento según la reivindicación 13 en el que dicha etapa de almacenamiento comprende además la selección de un código privado por parte de dicho primer usuario.

15. Procedimiento según la reivindicación 14 en el que dicho procedimiento comprende además una etapa de ejecución en la que se procesa y ejecuta un comando para producir una determinación.

16. Procedimiento según la reivindicación 14 o la reivindicación 15 en el que dicho procedimiento comprende además una etapa de salida en la que dicho resultado de identificación o dicha determinación se exterioriza y se muestra.

17. Procedimiento según cualquiera de las reivindicaciones 14 a 16 en el que dicho procedimiento comprende además una etapa de presentación en la que después de una identificación con éxito de dicho primer usuario, se presenta dicho código privado a dicho primer usuario.

18. Procedimiento según la reivindicación 13 en el que tanto la etapa de registro como la de introducción comprenden además una etapa de sellado de datos para proporcionar la capacidad de detectar una alteración de los datos que comprende además:

a.

una clave secreta; y

b.

una transformación de los datos irreversible en un sentido que no se puede reproducir sin la clave secreta.

19. Procedimiento según la reivindicación 15 en el que la etapa de ejecución de dicho procedimiento comprende la ejecución de una transacción financiera electrónica.