ES2303422B1 - Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales. - Google Patents

Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales. Download PDF

Info

Publication number
ES2303422B1
ES2303422B1 ES200503214A ES200503214A ES2303422B1 ES 2303422 B1 ES2303422 B1 ES 2303422B1 ES 200503214 A ES200503214 A ES 200503214A ES 200503214 A ES200503214 A ES 200503214A ES 2303422 B1 ES2303422 B1 ES 2303422B1
Authority
ES
Spain
Prior art keywords
certification
user
registration
server
electronic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES200503214A
Other languages
English (en)
Other versions
ES2303422A1 (es
Inventor
Jose Felix Muñoz Soro
Jose Antonio Lazaro Villa
Juan Ignacio Garces Gregorio
Pedro Bueso Guillen
Carlos Serrano Cinca
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Universidad de Zaragoza
Original Assignee
Universidad de Zaragoza
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Universidad de Zaragoza filed Critical Universidad de Zaragoza
Priority to ES200503214A priority Critical patent/ES2303422B1/es
Priority to CA002640690A priority patent/CA2640690A1/en
Priority to EP06841743A priority patent/EP1970849A4/en
Priority to US12/278,232 priority patent/US20090119192A1/en
Priority to PCT/ES2006/000691 priority patent/WO2007071803A1/es
Publication of ES2303422A1 publication Critical patent/ES2303422A1/es
Application granted granted Critical
Publication of ES2303422B1 publication Critical patent/ES2303422B1/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/12Accounting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Abstract

Sistema y Procedimiento de registro y certificación de la actividad y/o comunicación entre terminales; del tipo donde un Prestador de Servicios de Registro y Certificación registra el contenido telemático intercambiado entre un usuario y un proveedor de servicios durante una transacción mediante un Servidor de Registro y Certificación, y emite una certificación electrónica al finalizar el servicio; donde el Servidor de Registro y Certificación está conectado con un servidor oficial de tiempos para obtener sellos de tiempo fidedignos, y también con un Módulo Captura Cliente instalado en el terminal de usuario para registrar capturas periódicas de la interfaz del terminal de usuario y datos de las conexiones establecidas por éste e incluirlos en el documento de certificación electrónica con los sellos fidedignos de tiempo; el documento de certificación electrónica se autentifica mediante firma electrónica avanzada del Prestador de Servicios de Registro y Certificación.

Description

Sistema y Procedimiento de registro y certificación de la actividad y/o comunicación entre terminales.
Objeto de la invención
La presente invención se refiere a un Sistema y Procedimiento de registro y certificación de la actividad y/o comunicación entre terminales, cuya finalidad es proporcionar al usuario que utiliza un terminal un certificado electrónico o ACTA que registre de forma fehaciente, y con el contenido exacto, las operaciones realizadas con el mismo.
La invención es utilizable, por ejemplo, en transacciones telemáticas de cualquier tipo y mediante diversos terminales, como ordenadores personales, teléfonos móviles, televisión interactiva, etc. Es aplicable a los negocios por Internet (e-commerce), a la interacción con organismos públicos (e-governement) y, de forma general, a cualquier aplicación, aunque sea la simple búsqueda de información en Internet.
Antecedentes de la invención
Actualmente la única prueba que un usuario obtiene de una determinada transacción efectuada a través de un terminal propio, así como de su contenido, se la da el Proveedor de Servicios de la Sociedad de la Información de forma que luego, en la mayoría de las ocasiones, el usuario tiene dificultades e incluso le es totalmente imposible documentar la transacción para poder reclamar sus derechos como consumidor cuando se siente defraudado por el servicio recibido.
Al respecto se conocen diversas patentes: KR2001095907-A, KR2001079176, JP2005070979-A, JP2004334353-A, KR2002039543-A, KR2002096331-A, KR2204065413-A, KR2004025180-A, US2004268152-A1, GB2358115-A, JP2002163394, US2004039672-A1, US2002038291-A1, US2002038291, KR2002026505-A, WO200103077,
US2005050362 JP2004201057, JP2005051636, GB2378865, US6381696, WO2005038634, y WO0154085-A3 sobre diferentes soluciones técnicas para asegurar la veracidad e integridad de las transacciones realizadas por medios telemáticos. Resultan especialmente significativas las patentes KR2002096331-A y JP2004201057 por tratarse de las patentes más cercanas a la solución técnica que aquí se presenta y las patentes WO0154085-A3 y GB2378865 por tratarse, respectivamente, de una patente con prioridad de otra patente (FR2803961) de un país europeo (Francia) y de una patente en el Reino Unido.
Las patentes KR2002096331-A y JP2004201057 describen sistemas cuya finalidad es certificar los contenidos intercambiados a través de las redes telemáticas. Así, por ejemplo, la primera describe un sistema para transmitir contenidos entre dos usuarios de Internet certificando el contenido y la identidad del emisor mediante identificadores, claves, huellas dactilares y un servidor de autentificaciones. Ambas patentes se ubican dentro de los sistemas denominados de "notarización electrónica" (en terminología inglesa Trusted Thrid Parties, TTPs) y se limitan al registro de documentos y contenidos intercambiados entre dos o más usuarios a través de medios telemáticos, como por ejemplo EDI. La diferencia básica con la presente solicitud es que ésta no tiene como objetivo registrar simplemente el contenido telemático intercambiado entre dos partes, sino registrar fielmente y certificar la información percibida por el usuario en su terminal así como las acciones realizadas por el mismo, ya sea al operar con el terminal sin conexión o durante la realización de una transacción telemática, interconectado pues con otro u otros terminales.
Por su parte, la patente WO0154085-A3 o su patente de prioridad francesa, describe un sistema patentado en Europa para realizar transacciones seguras en Internet a través de un ordenador personal, terminal móvil o teléfono. Dicha patente se limita al pago de servicios y propone un sistema de pago sin la necesidad de enviar datos bancarios del usuario a través de la Red, mediante la intervención de un tercero confiable para ambas partes (habitualmente una entidad bancaria), en forma similar a la propuesta por protocolos como SET (Secure Electronic Transaction protocol).
Por tanto la presente solicitud de patente difiere de las anteriores ya que propone un Sistema y un Procedimiento que proporcionan al usuario de servicios telemáticos un certificado o ACTA con el contenido integro y exacto de la información intercambiada en sus compras on-line, reclamaciones, cumplimentación de formularios, etc., de forma que se reflejan exactamente las percepciones del usuario. Ello permite que la persona o personas encargadas de resolver una posible reclamación puedan acceder exactamente a la misma información que el usuario percibió durante la transacción y presentada del mismo modo, aspecto que es de vital importancia para poder valorar adecuadamente la reclamación y para el que no se ha propuesto todavía una solución ad hoc, como es la de esta patente.
Descripción de la invención
El Sistema y Procedimiento de Registro y Certificación de la presente invención permite que el usuario solicite la presencia de un testigo telemático, esto es, un proveedor de un Servicio de Registro y Certificación que mediante un Servidor de Registro y Certificación (SRC en adelante), se encarga de registrar lo que acontece en el terminal(TU) que el usuario está utilizando y de emitir un certificado que documenta como una película las acciones realizadas, y que puede ser de interés por ejemplo para acreditar una transacción o justificar la realización de una labor. Este certificado, o ACTA, será emitido por el SRC tras la petición por parte del usuario de la finalización del registro, e incluirá toda la información que el usuario recibe durante la transacción, acciones realizadas y, especialmente, las conformidades dadas por él. Este ACTA, además, incorpora firma electrónica avanzada por lo que tiene plena validez jurídica y puede ser utilizada por el usuario como prueba para reclamar sus derechos caso de que tales sean conculcados. De esta forma se aumenta considerablemente la seguridad sentida por el usuario en sus transacciones telemáticas. El ACTA presenta dichas informaciones tal y como el usuario las observó en su terminal (pantalla de ordenador, terminal móvil o terminal de TV interactiva, por ejemplo), así como sus acciones y los consentimientos otorgados de forma que un juez, arbitro, notario o cualquier persona interesada pueda valorar las percepciones exactas (visuales y sonoras) que tuvo el usuario durante la transacción y las acciones ejecutadas.
Por tanto, el Sistema y Procedimiento que se describe en esta solicitud de patente contiene las soluciones técnicas suficientes para asegurar que el ACTA abarque la totalidad de la información intercambiada, cumpla con los requisitos legales pertinentes y garantice tanto su autenticidad como la veracidad de su contenido.
El Procedimiento de Registro y Certificación se inicia a petición del usuario y únicamente debe finalizar a petición del mismo. El registro y la generación del certificado o ACTA es realizada por una entidad que denominaremos "Prestador de Servicios de Registro y Certificación", que utiliza para ello un ordenador al que denominaremos "Servidor de Registro y Certificación" (SRC). En su utilización típica o normal, dicha máquina está conectada a Internet y realiza sus funciones a través de esta red.
El usuario contacta con el SRC, por ejemplo a través de la página Web del Prestador de Servicios de Registro y Certificación en que se ofrece este servicio, y se establece entre el terminal del usuario (TU) y el SRC una conexión segura a través de Internet mediante protocolo SSL (Secure Socket Layer) o similar. Preferentemente se usará SSL porque sus servicios de seguridad son transparentes al usuario y a la aplicación. El algoritmo de intercambio de claves es RSA y se utiliza un certificado X-509 para que el ordenador del usuario (cliente) pueda autentificar al Servidor de Registro y Certificación (servidor). Opcionalmente el servidor podrá solicitar también al cliente un certificado X.509 para autentificar su identidad.
Una vez establecida la conexión segura entre el cliente (TU) y el Servidor (SRC), este último enviará al usuario un programa específico (Módulo de Captura Cliente), adaptado a las características del terminal utilizado por el usuario, que quedará instalado en dicho terminal (TU).
Cuando el usuario desee registrar una transacción telemática realizada con dicho terminal, realizará la petición del servicio al Servidor de Registro y Certificación (SRC) mediante la activación del Módulo de Captura Cliente previamente instalado. La activación del Módulo, así como su estado de actividad, será preferentemente accesible y visible mediante un indicador en la pantalla del terminal (TU) para comodidad y tranquilidad del usuario.
La comunicación entre el Módulo-Cliente y el Servidor de Registro y Certificación (SRC) se lleva a cabo mediante un canal seguro, igual al que se utilizó para la descarga e instalación en el terminal del usuario (TU). Antes del iniciar el servicio, el Servidor de Registro y Certificación (SRC) comprueba la integridad del Módulo Captura Cliente del que recibe la petición del servicio mediante la verificación de su "hash", asegurándose así de que el Módulo-Cliente es el original y no ha sido manipulado.
Opcionalmente, el Servidor de Registro y Certificación (SRC) puede solicitar a través del Módulo Captura Cliente del terminal de usuario la identificación del usuario mediante contraseña, certificado u otro sistema de autentificación.
Cuando el Servidor de Registro y Certificación (SRC) reciba la solicitud, se establecerá la conexión segura y una vez que se esté en disposición de realizar el servicio se enviará un reconocimiento (ACK) para avisar al usuario de que se inicia el proceso de registro y certificación.
A partir de ese momento el Servidor de Registro y Certificación (SRC) actúa como testigo de las acciones o transacciones telemáticas que el usuario realice desde su terminal. Durante el tiempo en el que el servicio de Registro y Certificación permanece activo, el contenido de la pantalla del terminal del usuario (TU) es capturado como mapa de bits o formato similar que registre, no los objetos que son intercambiados entre cliente y servidor, sino el resultado de los mismos tal y como los vería cualquier observador que tuviese acceso a la pantalla del Terminal (TU). La captura de la pantalla se realiza de forma completa, registrando todo su contenido e incluyendo tanto la ventana principal en la que el usuario realiza la transacción como cualquier otra información aparecida en la pantalla y en otros periféricos de salida que pudiera modificar la percepción, comprensión o actitud del usuario. El Módulo-Cliente registra asimismo las accio-
nes del usuario, como movimientos del ratón, pulsaciones de los botones del mismo, entradas por teclado, etc.
Toda esta información es enviada secuencialmente por el Módulo Captura Cliente al Servidor de Registro y Certificación (SRC) a través de la conexión segura, de forma que el ACTA que se va generando con la información recibida del Módulo Captura Cliente puede ser visualizada posteriormente como una película.
Cuando la información de la pantalla del terminal (TU) tenga como origen una conexión del equipo del usuario con uno o más servidores (PS), se registrarán las direcciones IP de los mismos y, en el caso de conexiones SSL, los datos del certificado X-509 utilizado por cada uno ellos. Opcionalmente, el Servidor de Registro y Certificación (SRC) podrá verificar la identidad de los servidores comprobando la validez de los certificados mediante consulta a las CRLs (Certification Revocation List) o directorios OCSP (On Line Certificate Status Protocol) de las Autoridades de Certificación (CA) o Prestadores de Servicios de Certificación según la Ley de Firma Electrónica, que emitieron los mismos.
En el caso de que en la pantalla del terminal del usuario (TU) aparezcan varias ventanas o de que el usuario establezca transacción telemática con varios Proveedores de Servicios (PS) a la vez, además de registrar las direcciones IP de cada uno de los servidores y, en su caso, de verificar sus identidades, se registrará la correlación entre cada servidor y la zona de la pantalla o ventana en la que se presenta la información que envía enviado. Toda esta información es transmitida por el Módulo Captura Cliente del terminal del usuario (TU) al Servidor de Registro y Certificación (SRC) junto a los mapas de bits mencionados anteriormente.
El Servidor de Registro y Certificación (SRC) comprueba periódicamente que el Módulo Captura Cliente no ha sido alterado, verificando su "hash" y que su ejecución se realiza correctamente y en ausencia de manipulaciones.
Además, el Servidor de Registro y Certificación (SRC) realiza consultas frecuentes a un Servidor Oficial de Tiempo (ST) de forma que queda registrada también la hora exacta en la que la información es recibida del terminal del usuario (TU). Para ello se utiliza el protocolo Network Time Protocol (NTP) y un servidor oficial de tiempo como, por ejemplo en España, el del Instituto y Real Observatorio de la Marina de San Fernando en Cádiz (según el Real Decreto 2781/1976, de 30 octubre, que establece como base nacional de la escala de "tiempo universal coordinado" la que mantiene el Instituto y Observatorio de Marina).
El proceso que incluye la captura por parte del Módulo-Cliente de las pantallas como un mapa de bits y de las actuaciones del usuario en su terminal (TU), su envío al Servidor de Registro y Certificación (SRC), la grabación de la información anterior por parte de este, junto al resultado de la consulta del tiempo oficial y la comprobación de la integridad del Módulo Captura Cliente, se ejecuta de forma periódica hasta que el usuario da por finalizada la sesión.
Para finalizar la sesión el usuario debe realizar la acción correspondiente sobre el menú del Módulo Captura Cliente, que pedirá confirmación antes de enviar al Servidor (SRC) la orden de finalización del registro. Previsiblemente el usuario realiza esta acción ordenando el cese de servicio una vez que ha terminado las transacciones telemáticas que deseaba registrar.
Después de finalizar la sesión, el usuario recibe en su Terminal (TU) una copia del ACTA generada por el Servidor de Registro y Certificación (SRC), que será un documento electrónico firmado con la firma electrónica avanzada del Prestador de Servicios de Registro y Certificación y que podrá ser visualizado como una película tanto por el usuario como por cualquiera que tenga un interés legítimo, por ejemplo una autoridad arbitral o judicial. Para acceder al documento (ACTA) bastará con tener conocimientos informáticos básicos.
Salvo que el usuario indique lo contrario, el Servidor de Registro y Certificación (SRC) conservará el ACTA de forma segura y confidencial y facilitará una copia al usuario cuando este así lo solicite.
El contenido del ACTA será el siguiente:
- Sellos de tiempo correspondientes a las horas oficiales de inicio y finalización del registro, y otros que se incorporarán periódicamente a lo largo del registro.
- Datos de identificación del usuario (optativo)
- Capturas de pantalla en forma de mapas de bits
- Capturas de las pulsaciones de los botones del ratón con sus coordenadas y de las entradas por teclado.
- Cualquier tipo de información multimedia, como mensajes sonoros, recibida por el usuario o enviada por éste al servidor.
- Datos de las conexiones establecidas por el Terminal del Usuario (TU): direcciones IP de los servidores y, si las conexiones utilizan el protocolo SSL o similar, los datos del certificado.
- Información sobre la correspondencia entre cada conexión y las áreas de pantalla en que se visualizan la ventana o ventanas de su sesión.
El Sistema y Procedimiento propuesto se aplica a cualquier tipo de transacción telemática realiza por el usuario desde su terminal (TU), incluyendo aquellos en los que la comunicación con el usuario se realiza únicamente por medio del sonido y a través de un teléfono móvil, como es el caso de las compras a través de teléfono, reclamaciones a teléfonos de atención al cliente, operaciones bancarias por teléfono, etc. En ese caso, el ACTA se mostrará como una película con el sonido registrado y visualizando en pantalla la demás información.
Otro ejemplo de relevancia es el registro temporal de un contenido multimedia registrado por un Terminal (TU). Gracias a las cámaras digitales incluidas en muchos terminales móviles, es posible documentar mediante una fotografía o una grabación de vídeo, con o sin sonido, un evento acaecido, como por ejemplo un accidente de tráfico. En este caso, la certificación y registro tanto de la información adquirida por el Terminal Móvil (TU) como del momento en que esta se adquiere, permite que dicha información pueda ser utilizada como prueba ante cualquier instancia.
Finalmente, otro supuesto de relevancia es aquel en el que el usuario desea registrar no una transacción telemática, sino su propia actividad en su terminal (TU). Un ejemplo de ello sería el trabajador que desea documentar que en una fecha y hora determinadas cumplió con su responsabilidad o cometido, pongamos por caso enviando o contestando un correo electrónico. En tal caso el Servicio de Registro y Certificación (SRC) documenta la identidad del usuario, que en este caso resulta de especial relevancia, las acciones de éste en su terminal (TU) y los momentos en que se produjeron.
Para salvaguardar la privacidad de las claves y contraseñas del usuario, el Servidor de Registro y Certificación (SRC) no mostrará en el ACTA las claves y contraseñas introducidas por el usuario en las ventanas en que le sean requeridas, si bien podrán ser registradas como información adicional a petición suya y de forma que se observen las máximas medidas de seguridad.
Breve descripción de los dibujos
La figura 1 muestra un esquema que representa los distintos actores que intervienen en la invención.
Descripción de una realización práctica de la invención
El presente ejemplo descriptivo consiste en un caso particular donde se certifica una transacción entre el usuario y un proveedor o prestador de servicios bancarios.
En este ejemplo, tal y como se ve en la figura 1, el terminal (1) del usuario consiste en un ordenador personal, que se interconecta a un servidor (2) del prestador del servicio bancario por una conexión (3) por Internet.
Antes de que pueda registrarse la transacción entre los agentes (1) y (2) el terminal de usuario (1) debe ponerse en contacto con el Servidor (4) de Registro y Certificación, también a través de Internet, mediante una transmisión segura (5). Mediante esta transmisión segura, el Servidor de Registro y Certificación (4) envía un Módulo Captura Cliente al Terminal del usuario (1), donde se instala.
Una vez instalado este Módulo Captura Cliente en (1) durante esa comunicación segura u otra posterior, el terminal de usuario (1) solicita al Servidor (4) el servicio de Registro y Certificación mediante la activación del Módulo Captura Cliente que se comunica con un Módulo-Servidor residente en (4). Una vez establecida esa comunicación, el servidor (4) consulta la hora al Servidor de Tiempos (7), abre el fichero de registro o ACTA y envía un reconocimiento (ACK) al terminal del usuario (1), tras lo cual se inicia el ciclo de registro en (4) de la actividad que se lleva a cabo en el Terminal del usuario (1).
Típicamente, a partir de ese momento el usuario iniciará una transacción telemática con el servidor (2) del prestador de servicios bancarios. En ese caso, el Servidor de Registro y Certificación (4) incorpora al ACTA la dirección IP del Prestador (2). Si la transacción se realiza mediante una conexión segura (SSL), el Servidor (4) comprueba la autenticidad y vigencia del certificado de servidor del Prestador de Servicios (2), verificando las CRLs (Certificate Revocation List) o el directorio OCSP (Online Certificate Status Protocol) en la Autoridad de Certificación o Prestador de Servicios de Certificación (8), según la terminología de la Ley 59/2003 de 19 de diciembre, de firma electrónica. El Servidor (4) incorpora al ACTA los datos del certificado de servidor y el resultado de la validación realizada. El acceso de (4) a los servidores (7) y (8) se realiza mediante conexiones (6), igualmente a través de Internet.
Si el terminal del usuario (1) establece nuevas conexiones con otros prestadores de servicios, no representados, mientras se está ejecutando el registro, el Sistema de Registro y Certificación repetirá estas operaciones para cada nueva conexión. También quedará registrado el momento en el que se interrumpa cada una de las conexiones.
Durante todo el tiempo de prestación del servicio de registro se ejecuta un ciclo en el que:
1) el servidor (4) comprueba la integridad del Módulo Captura Cliente instalado en el Terminal del usuario (1).
2) el Modulo Captura Cliente captura toda la información que el usuario percibe y ejecuta a través del interfaz (pantalla, teclado, ratón, etc) de su terminal. Por tanto captura todas las pantallas, inputs de ratón y teclado y contenidos multimedia intercambiados por (1).
3) el Modulo Captura Cliente envía al servidor (4) la información capturada.
4) el servidor (4) consulta el tiempo oficial en un Servidor de Tiempos (7).
5) el servidor (4) registra en el ACTA la información recibida junto a los sellos de tiempo.
Cuando el usuario (1) da la orden de finalización se interrumpe el ciclo de registro, se comprueba la hora y se cierra el ACTA. A continuación, el Servidor (4) firma el ACTA con la firma electrónica avanzada del Prestador de Servicios de Registro y Certificación, lo que permite garantizar el origen del documento y la integridad del mismo. En concreto se sigue el estándar X-509 v.3 para los certificados utilizados y los formatos PKCS (Public Key Cryptographic Standards), en su última versión, para los formatos de claves y datos firmados, sin que la elección de un estándar concreto o su implementación limite la validez de la invención descrita. Posteriormente (4) almacena el ACTA de forma segura y confidencial, envía una copia al usuario (1) y espera a recibir la confirmación de recepción de este (ACK) antes de dar por finalizada la sesión.
Descrita suficientemente la naturaleza de la invención, así como la manera de realizarse en la práctica, debe hacerse constar que las disposiciones anteriormente indicadas y representadas en los dibujos adjuntos son susceptibles de modificaciones de detalle en cuanto no alteren el principio fundamental.

Claims (7)

1. Sistema de registro y certificación de la actividad y/o comunicación entre terminales; de los que por ejemplo registran el contenido telemático intercambiado entre un usuario y un proveedor de servicios durante una transacción, efectuándose el registro y certificación por un Prestador de Servicios de Registro y Certificación, que comprende un Servidor de Registro y Certificación que recoge este intercambio de datos y emite un acta o documento de certificación electrónica al finalizar el servicio; caracterizado porque el Servidor de Registro y Certificación (4) está conectado a través de red (6) con un servidor oficial de tiempos (7) para obtener sellos de tiempo fidedignos, y también mediante un módulo servidor y a través de una conexión segura (5), con un Módulo Captura Cliente instalado en el terminal de usuario (1), en orden a registrar en el Servidor de Registro y Certificación (4) capturas periódicas de la interfaz del terminal de usuario (1), así como datos de las conexiones establecidas por éste, incluyendo en el documento de certificación electrónica fielmente estos datos de conexión así como las capturas realizadas de la interfaz de usuario con los sellos fidedignos de tiempo que certifican el instante exacto de cada operación; el documento de certificación electrónica emitido por el Servidor de Registro y Certificación (4) se autentifica mediante firma electrónica avanzada del Prestador de Servicios de Registro y Certificación (8).
2. Sistema según reivindicación 1 caracterizado porque el documento de certificación electrónica está estructurado como una película que muestra secuencialmente las capturas realizadas y sus sellos de tiempo.
3. Procedimiento de registro y certificación de la actividad y/o comunicación entre terminales caracterizado porque comprende las etapas de: instalación de un Módulo Captura Cliente en el terminal de usuario (1) a través de conexión segura (5); solicitud del servicio por parte del terminal de usuario (1), con establecimiento de conexión segura si no existe; consulta de la hora por parte de un servidor de registro y certificación (4) a un servidor de tiempos (7); apertura de fichero de registro electrónico y envío de reconocimiento al terminal usuario (1); ciclo de registro en el cual, tras obtener la IP de los proveedores a los que se conecta el usuario, se efectúa una captura periódica del interfaz de usuario, se realizan comprobaciones periódicas de seguridad del Módulo Captura Cliente y se envía la información capturada al servidor de registro y certificación (4), el cual periódicamente a su vez efectúa consultas de la hora al servidor de tiempos (7) para insertar en el documento de certificación electrónica junto con los datos capturados al objeto de establecer el momento en que fueron realizados; solicitud de fin del servicio por parte del usuario; firma del documento de certificación electrónica mediante firma electrónica avanzada del Prestador de Servicios de Registro y Certificación; emisión y almacenamiento del documento de certificación electrónica; recepción de confirmación de recepción por el usuario del documento de certificación electrónica; y cierre de la conexión con el usuario.
4. Procedimiento según reivindicación 3 caracterizado porque cuando los proveedores de servicios a que se conecta el usuario utilicen protocolos seguros, el servidor de registro y certificación (4) se interconecta con una autoridad de certificación y/o prestador de servicios de certificación (8) para verificar la identidad del proveedor de servicios, al objeto de incluir esta autentificación en el documento de certificación electrónica.
5. Procedimiento según reivindicación 3 caracterizado porque el Servidor de Registro y Certificación (4) verifica la autenticidad del usuario mediante contraseña, certificado o cualquier otro sistema.
6. Procedimiento según reivindicación 3 caracterizado porque las capturas de la interfaz de usuario consisten en, al menos, la captura en formato gráfico de las imágenes representadas en su pantalla o monitor; la captura de las actuaciones efectuadas sobre el ratón si lo hubiere con sus coordenadas; la captura de las pulsaciones efectuadas sobre el teclado; la captura de cualquier tipo de información multimedia, tal como mensajes sonoros, recibida o enviada por el usuario; y la captura de cualquier información sobre la correspondencia entre cada conexión diferente efectuada por el terminal de usuario (1) y las áreas de su pantalla las que se visualicen la ventana o ventanas de su sesión.
7. Procedimiento según reivindicación 3 caracterizado porque en una variante de la invención también se contempla que el terminal de usuario (1) trabaje sin conexión con ningún prestador de servicios, recogiendo y certificando el documento de certificación electrónica únicamente la actividad del usuario en su terminal.
ES200503214A 2005-12-19 2005-12-19 Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales. Active ES2303422B1 (es)

Priority Applications (5)

Application Number Priority Date Filing Date Title
ES200503214A ES2303422B1 (es) 2005-12-19 2005-12-19 Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales.
CA002640690A CA2640690A1 (en) 2005-12-19 2006-12-18 System and method for registering and certifying activity and/or communication between terminals
EP06841743A EP1970849A4 (en) 2005-12-19 2006-12-18 SYSTEM AND METHOD FOR REGISTERING AND CERTIFYING ACTIVITY AND / OR COMMUNICATION BETWEEN TERMINALS
US12/278,232 US20090119192A1 (en) 2005-12-19 2006-12-18 System and method for registering and certifying activity and/or communication between terminals
PCT/ES2006/000691 WO2007071803A1 (es) 2005-12-19 2006-12-18 Sistema y procedimiento de registro y certificación de la actividad y/o comunicación entre terminales

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ES200503214A ES2303422B1 (es) 2005-12-19 2005-12-19 Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales.

Publications (2)

Publication Number Publication Date
ES2303422A1 ES2303422A1 (es) 2008-08-01
ES2303422B1 true ES2303422B1 (es) 2009-06-23

Family

ID=38188298

Family Applications (1)

Application Number Title Priority Date Filing Date
ES200503214A Active ES2303422B1 (es) 2005-12-19 2005-12-19 Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales.

Country Status (5)

Country Link
US (1) US20090119192A1 (es)
EP (1) EP1970849A4 (es)
CA (1) CA2640690A1 (es)
ES (1) ES2303422B1 (es)
WO (1) WO2007071803A1 (es)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5105291B2 (ja) * 2009-11-13 2012-12-26 セイコーインスツル株式会社 長期署名用サーバ、長期署名用端末、長期署名用端末プログラム
WO2013095360A1 (en) * 2011-12-20 2013-06-27 Intel Corporation Transaction fee negotiation for currency remittance

Family Cites Families (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5212830B2 (es) * 1972-11-25 1977-04-09
US3942884A (en) * 1973-12-05 1976-03-09 Victor Richards Interactive audio-visual apparatus
US4585992A (en) * 1984-02-03 1986-04-29 Philips Medical Systems, Inc. NMR imaging methods
US5521984A (en) * 1993-06-10 1996-05-28 Verification Technologies, Inc. System for registration, identification and verification of items utilizing unique intrinsic features
US6353699B1 (en) * 1994-03-03 2002-03-05 Barry H. Schwab Method and apparatus for compiling audio/video information from remote sites into a final video program
US5509071A (en) * 1994-04-01 1996-04-16 Microelectronics And Computer Technology Corporation Electronic proof of receipt
US5780155A (en) * 1994-08-11 1998-07-14 Chisso Corporation Melt-adhesive composite fibers, process for producing the same, and fused fabric or surface material obtained therefrom
WO1996027155A2 (en) * 1995-02-13 1996-09-06 Electronic Publishing Resources, Inc. Systems and methods for secure transaction management and electronic rights protection
US6658568B1 (en) * 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
US6134326A (en) * 1996-11-18 2000-10-17 Bankers Trust Corporation Simultaneous electronic transactions
US6035402A (en) * 1996-12-20 2000-03-07 Gte Cybertrust Solutions Incorporated Virtual certificate authority
TW432305B (en) * 1997-03-31 2001-05-01 Hitachi Ltd Electronic commerce transaction system
KR100241350B1 (ko) * 1997-10-27 2000-02-01 정선종 전자 거래에서 안전한 전자 공증문서 생성방법
US6314517B1 (en) * 1998-04-02 2001-11-06 Entrust Technologies Limited Method and system for notarizing digital signature data in a system employing cryptography based security
WO2000011619A1 (en) * 1998-08-21 2000-03-02 Peha John M Methods for generating a verifiable audit record and performing an audit
US7232064B1 (en) * 1999-01-29 2007-06-19 Transcore, Inc. Digital video audit system
BR0012163A (pt) 1999-07-05 2002-05-14 Dexrad Pty Ltd Processos para gerar um documento, e para verificar a autenticidade de um documento, e, sistema para gerar documentos
GB2358115A (en) 1999-09-17 2001-07-11 Ibm Method and system for remote printing of duplication resistent documents
FR2803961B1 (fr) 2000-01-19 2002-03-15 Ghislain Moret Systeme de securisation des transactions lors d'achats par correspondance
US6662226B1 (en) * 2000-01-27 2003-12-09 Inbit, Inc. Method and system for activating and capturing screen displays associated with predetermined user interface events
CN1317900A (zh) * 2000-01-27 2001-10-17 英毕特公司 在联网交易中用于跟踪网屏活动的方法和系统
US6601047B2 (en) * 2000-03-08 2003-07-29 Inbit Inc. Image-based digital evidence system and associated method
KR20010095907A (ko) 2000-04-12 2001-11-07 오재혁 새로운 보안 기술을 이용한 컨텐츠 제공 시스템 및 그제공 방법
US20020038291A1 (en) 2000-07-10 2002-03-28 Petersen Diane E. Certificate evaluation and enhancement process
WO2002019287A1 (fr) * 2000-08-30 2002-03-07 Georges Cornuejols Dispositif et procede de sauvegarde d'information de transaction en ligne
IL138273A0 (en) * 2000-09-05 2001-10-31 Koren Lea System and method for secure e-commerce
JP3755394B2 (ja) * 2000-09-29 2006-03-15 日本電気株式会社 電子商取引監査システム、電子商取引監査方法及び電子商取引監査プログラムを記録した記録媒体
US20020065695A1 (en) * 2000-10-10 2002-05-30 Francoeur Jacques R. Digital chain of trust method for electronic commerce
KR100441598B1 (ko) 2000-11-22 2004-07-23 주식회사 넷웍스 내용증명 작성 및 발송 서비스 시스템과 그 방법
JP2002163394A (ja) 2000-11-22 2002-06-07 Ntt Communications Kk コンテンツ認定サーバ
US6804705B2 (en) * 2001-01-30 2004-10-12 Paul V. Greco Systems and methods for providing electronic document services
GB2376319A (en) * 2001-06-05 2002-12-11 Security & Standards Ltd Validation System
CA2351046A1 (en) 2001-06-19 2002-12-19 Predrag Zivic Trust model router
KR20020096331A (ko) 2001-06-19 2002-12-31 주재영 인터넷을 이용한 내용증명시스템
KR100452581B1 (ko) 2001-06-20 2004-10-14 (주)잉카엔트웍스 인터넷 사이트의 컨텐츠 자료를 개인용 정보 처리기로 오토 싱크하는 싱크 프로그램을 기록한 기록매체 및 자료 동기화 방법
US6985837B2 (en) * 2001-11-01 2006-01-10 Moon Dennis A System presenting meteorological information using a browser interface
US7436887B2 (en) * 2002-02-06 2008-10-14 Playtex Products, Inc. Method and apparatus for video frame sequence-based object tracking
US6874089B2 (en) * 2002-02-25 2005-03-29 Network Resonance, Inc. System, method and computer program product for guaranteeing electronic transactions
KR20020026505A (ko) 2002-03-04 2002-04-10 이성훈 휴대형 보안장치를 이용한 전자상거래 인증 및isp 결제서비스 방법
US20030187956A1 (en) * 2002-04-01 2003-10-02 Stephen Belt Method and apparatus for providing access control and content management services
US20030204736A1 (en) * 2002-04-25 2003-10-30 International Business Machines Corporation Apparatus for authenticated recording and method therefor
AU2003255785A1 (en) * 2002-08-12 2004-02-25 Domain Dynamics Limited Method of authentication
KR20040025180A (ko) 2002-09-18 2004-03-24 최운철 피투피를 이용한 무제한 메일관리, 보안관리 및 웹과탐색기 상태에서 자료복사 처리시스템 및 처리방법
KR100508010B1 (ko) 2003-01-14 2005-08-17 주식회사 인츠커뮤니티 인증을 통해 온라인으로 디지털 콘텐츠를 제공하는 방법및 시스템
JP2004334353A (ja) 2003-05-01 2004-11-25 Nippon Telegr & Teleph Corp <Ntt> 情報取得装置及びその方法と、情報提供装置及びその方法と、情報取得プログラム及びそのプログラムを記録した記録媒体と、情報提供プログラム及びそのプログラムを記録した記録媒体
US8214884B2 (en) 2003-06-27 2012-07-03 Attachmate Corporation Computer-based dynamic secure non-cached delivery of security credentials such as digitally signed certificates or keys
US7769994B2 (en) * 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
JP4336547B2 (ja) 2003-08-21 2009-09-30 株式会社リコー 情報処理装置、認証方法、認証プログラム及び記録媒体
US7392534B2 (en) * 2003-09-29 2008-06-24 Gemalto, Inc System and method for preventing identity theft using a secure computing device
US20060184410A1 (en) * 2003-12-30 2006-08-17 Shankar Ramamurthy System and method for capture of user actions and use of capture data in business processes
US7725508B2 (en) * 2004-03-31 2010-05-25 Google Inc. Methods and systems for information capture and retrieval
JP2005316534A (ja) * 2004-04-27 2005-11-10 A Line Kk 電子商取引システム
US20080184272A1 (en) * 2004-06-16 2008-07-31 Brownewell Michael L Documentation system for loss control
WO2006007405A2 (en) * 2004-06-16 2006-01-19 Brownewell Michael L Video documentation for loss control
KR20060032888A (ko) * 2004-10-13 2006-04-18 한국전자통신연구원 인터넷 통한 신원정보 관리 장치 및 이를 이용한 서비스제공방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Base de datos WPI en Derwent Publications Ltd., (Londres, GB), semana 200579, AN 2005-775261, clase P85, T01, JP 2005316534 A (A LINE KK), resumen. *

Also Published As

Publication number Publication date
ES2303422A1 (es) 2008-08-01
EP1970849A1 (en) 2008-09-17
CA2640690A1 (en) 2007-06-28
EP1970849A4 (en) 2009-11-04
US20090119192A1 (en) 2009-05-07
WO2007071803A1 (es) 2007-06-28

Similar Documents

Publication Publication Date Title
TWI697842B (zh) 二維條碼的處理方法、裝置及系統
US11722301B2 (en) Blockchain ID connect
EP4120620A1 (en) Methods and systems for recovering data using dynamic passwords
US20180173871A1 (en) Systems and Methods for Registering and Acquiring E-Credentials using Proof-of-Existence and Digital Seals
US7689832B2 (en) Biometric-based system and method for enabling authentication of electronic messages sent over a network
US9325701B2 (en) Method and apparatus for the secure authentication of a web-site
JP5133248B2 (ja) クライアント/サーバー認証システムにおけるオフライン認証方法
US9596089B2 (en) Method for generating a certificate
US8732793B2 (en) Method and system for improving security of the key device
CN108092779A (zh) 一种实现电子签约的方法及装置
CN109509518A (zh) 电子病历的管理方法、服务器及计算机存储介质
ES2200598T3 (es) Procedimiento y sistema para encargar y suministrar certificados digitales.
KR20020081269A (ko) 전자 신원의 발행 방법
US20090132813A1 (en) Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones
JP4690779B2 (ja) 属性証明書検証方法及び装置
CN108881253A (zh) 区块链实名参与方法和系统
JP2015154491A (ja) リモートアクセス、リモートデジタル署名のためのシステムおよび方法
KR101858653B1 (ko) 블록체인 데이터베이스 및 이와 연동하는 머클 트리 구조를 통해 모바일 아이디를 이용하여 사용자를 인증하는 방법, 단말 및 이를 이용한 서버
US20220005039A1 (en) Delegation method and delegation request managing method
WO2008132248A1 (es) Método y sistema de notarización de transacciones electrónicas
US10686777B2 (en) Method for establishing protected electronic communication, secure transfer and processing of information among three or more subjects
ES2303422B1 (es) Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales.
JPH1165443A (ja) 個人認証情報の管理方式
US20210319116A1 (en) Systems and methods of access validation using distributed ledger identity management
US20230394179A1 (en) Information processing apparatus, information processing method, and non-transitory computer-readable storage medium

Legal Events

Date Code Title Description
EC2A Search report published

Date of ref document: 20080801

Kind code of ref document: A1

GD2A Contractual licences

Effective date: 20100518