ES2403039T3

ES2403039T3 - Sistema y método de identificación de código

Info

Publication number: ES2403039T3
Application number: ES01967471T
Authority: ES
Inventors: Winston Donald Keech
Original assignee: Swivel Secure Ltd
Current assignee: Swivel Secure Ltd
Priority date: 2000-09-07
Filing date: 2001-09-07
Publication date: 2013-05-13
Anticipated expiration: 2021-09-07
Also published as: CY1113961T1; KR20030036766A; CN1279498C; WO2002021463A2; NO20030982L; AU2005100466B4; US20020029342A1; MXPA03002050A; NO20030982D0; AU2005100466A4; US7392388B2; DK1316076T3; BR0113887A; NZ524391A; CN1561508A; EA200300263A1; EA004422B1; EP1316076B1; CA2421495A1; EP1316076A2

Abstract

Un sistema de identificación codificada, comprendiUn sistema de identificación codificada, comprendiendo el sistema un ordenador electrónico (1), un dendo el sistema un ordenador electrónico (1), un dispositivo decomunicaciones electrónico específicoispositivo decomunicaciones electrónico específico (3) que puede funcionar para estar en comunicació (3) que puede funcionar para estar en comunicación con el ordenadorelectrónico (1), y al menos un dn con el ordenadorelectrónico (1), y al menos un dispositivo de comunicaciones electrónico (4) que pispositivo de comunicaciones electrónico (4) que puede funcionar para estar encomunicación con el oruede funcionar para estar encomunicación con el ordenador electrónico (1), donde el ordenador electrdenador electrónico (1), donde el ordenador electrónico (1) incluye datos relativos aldispositivo deónico (1) incluye datos relativos aldispositivo de comunicaciones electrónico específico (3), incluy comunicaciones electrónico específico (3), incluyendo un código de identificación permanente, uncódendo un código de identificación permanente, uncódigo de máscara (1202) y un código de identificacióigo de máscara (1202) y un código de identificación que permite la comunicación electrónica entre eln que permite la comunicación electrónica entre el ordenadorelectrónico (1) y el dispositivo de comu ordenadorelectrónico (1) y el dispositivo de comunicaciones electrónico específico (3), y donde el nicaciones electrónico específico (3), y donde el código de identificaciónpermanente se introduce encódigo de identificaciónpermanente se introduce en al menos un dispositivo de comunicaciones electró al menos un dispositivo de comunicaciones electrónico (4) y se transmite al ordenadorelectrónico (1nico (4) y se transmite al ordenadorelectrónico (1), el ordenador electrónico (1) genera una cadena ), el ordenador electrónico (1) genera una cadena pseudo-aleatoria (1203) y la transmite al dispositpseudo-aleatoria (1203) y la transmite al dispositivode comunicaciones electrónico específico (3), eivode comunicaciones electrónico específico (3), el código de máscara (1202) se aplica a la cadena pl código de máscara (1202) se aplica a la cadena pseudo-aleatoria(1203) con el fin de generar un códseudo-aleatoria(1203) con el fin de generar un código de identificación volátil (1204) de acuerdo coigo de identificación volátil (1204) de acuerdo con reglas predeterminadas, elcódigo de identificacin reglas predeterminadas, elcódigo de identificación volátil (1204) se transmite de nuevo al ordenadón volátil (1204) se transmite de nuevo al ordenador electrónico (1) por el dispositivo decomunicacior electrónico (1) por el dispositivo decomunicaciones electrónico específico (3) o por el al menos ones electrónico específico (3) o por el al menos un dispositivo de comunicaciones electrónico (4), un dispositivo de comunicaciones electrónico (4), elordenador electrónico (1) comprueba el código deelordenador electrónico (1) comprueba el código de identificación volátil (1204) transmitido al mism identificación volátil (1204) transmitido al mismo contra un códigode identificación volátil (1204)o contra un códigode identificación volátil (1204)obtenido aplicando el código de máscara (1202) a lobtenido aplicando el código de máscara (1202) a la cadena pseudo-aleatoria (1203)de acuerdo con rega cadena pseudo-aleatoria (1203)de acuerdo con reglas predeterminadas, y en el que se hace una identlas predeterminadas, y en el que se hace una identificación positiva cuando se comprueba quelos códiificación positiva cuando se comprueba quelos códigos de identificación volátiles (1204) coinciden mgos de identificación volátiles (1204) coinciden mediante el ordenador electrónico (1); donde: i) laediante el ordenador electrónico (1); donde: i) la cadena pseudo-aleatoria (1203) comprende una prim cadena pseudo-aleatoria (1203) comprende una primera serie lineal de caracteres, teniendo cada caráera serie lineal de caracteres, teniendo cada carácteruna posición numérica determinada en la primercteruna posición numérica determinada en la primera serie (primero, segundo, tercero, etc.); ii) el a serie (primero, segundo, tercero, etc.); ii) el código de máscara (1202) comprende una segunda sercódigo de máscara (1202) comprende una segunda serie lineal de números, teniendo cada número unaposiie lineal de números, teniendo cada número unaposición numérica determinada en la segunda serie (prición numérica determinada en la segunda serie (primero, segundo, tercero, etc.); y iii) las reglas pmero, segundo, tercero, etc.); y iii) las reglas predeterminadas para aplicar el código de máscara (redeterminadas para aplicar el código de máscara (1202) a la cadena pseudo-aleatoria (1203)con el fi1202) a la cadena pseudo-aleatoria (1203)con el fin de generar el código de identificación volátil (n de generar el código de identificación volátil (1204) son para seleccionar secuencialmente lasposi1204) son para seleccionar secuencialmente lasposiciones numéricas de la primera serie correspondienciones numéricas de la primera serie correspondientes a los números de la segunda serie, tomadas en tes a los números de la segunda serie, tomadas en unorden posicional, y de este modo devolver los caunorden posicional, y de este modo devolver los caracteres seleccionados a partir de la primera seriracteres seleccionados a partir de la primera serie ensecuencia con el fin de formar una tercera sere ensecuencia con el fin de formar una tercera serie lineal, formando esta tercera serie lineal el cie lineal, formando esta tercera serie lineal el código deidentificación volátil (1204). ódigo deidentificación volátil (1204).

Description

Sistema y método de identificación de código

La presente invención se refiere a un sistema y método para identificar un usuario o dispositivo y, opcionalmente, para realizar transacciones entre el usuario o dispositivo y un tercero, por ejemplo, por medio de una conexión telefónica o un sistema de ordenador electrónico, tal como Internet.

Se conocen diversos sistemas para realizar transacciones electrónicas de una manera más o menos segura sobre un enlace de telecomunicaciones o similar. Se conoce un sistema bien conocido tal como la transferencia de fondos electrónica en el punto de venta (EFTPOS), en el que a un usuario se le entrega una tarjeta de crédito o de débito que tiene un número de identificación único, normalmente grabado en la tarjeta en formato legible por una persona y también codificado en una banda magnética legible por máquina en el reverso de la tarjeta. Para fines de identificación adicionales, la tarjeta incluye normalmente espacio para que un usuario incluya su firma permanentemente. En uso, cuando un usuario desea hacer una compra, por ejemplo, en una tienda al por menor, presenta la tarjeta de débito o crédito a un empleado de la tienda. A continuación, la tarjeta se pasa a través de un lector de tarjetas y se transmite la información relacionada con la identidad de la tarjeta, la identidad de la tienda al por menor y el valor de las mercancías o servicios que se están comprando por medio de una conexión telefónica a un servidor remoto operado por el emisor de la tarjeta (normalmente un banco o similar). El servidor remoto comprueba que la cuenta de usuario de la tarjeta contiene suficientes fondos o crédito para cubrir la transacción propuesta, comprueba que la cuenta de usuario de la tarjeta está actualmente operativa (por ejemplo, para comprobar que la tarjeta no se ha notificado como robada) y, a continuación, emite una señal de confirmación de nuevo al lector de tarjetas para indicar que puede autorizarse la transacción. A continuación, el empleado de la tienda debe obtener una muestra de la firma del usuario y compararla con la firma del reverso de la tarjeta con el fin de comprobar la identidad del usuario. Si las firmas parecen coincidir, el empleado de la tienda opera el lector de tarjetas para completar la transacción, y a continuación se transfieren los fondos requeridos para cubrir la transacción electrónicamente desde la cuenta de la tarjeta del usuario a la tienda al por menor. Si las firmas no parecen coincidir, entonces el empleado de la tienda puede solicitar una prueba adicional de identificación antes de autorizar la transacción, o puede simplemente rechazar la transacción y retener la tarjeta del usuario, que puede haber sido robada, evitando de este modo cualquier transferencia no autorizada de fondos. Este sistema está abierto a un abuso fraudulento, ya que es posible que se robe una tarjeta y que un ladrón falsifique la firma de un usuario autorizado.

En un desarrollo de este sistema, a un usuario de la tarjeta se le puede entregar un número de identificación personal (PIN), que normalmente es un código de cuatro dígitos, y teóricamente solo lo conocen el usuario y el emisor de la tarjeta. En lugar de, o además de, proporcionar una muestra de su firma en el punto de venta, se necesita al usuario de la tarjeta para introducir su PIN en el lector de tarjetas, y esta información se transmite al servidor remoto junto con la tarjeta y los datos de identificación de la tienda al por menor y los datos respecto al valor de la transacción. Proporcionando una comprobación de identificación adicional por medio del PIN, este sistema ayuda a evitar el fraude por falsificación de firmas, pero sigue sin ser completamente seguro porque el PIN no cambia entre las transacciones, por lo que puede interceptarse junto con los datos de identificación de la tarjeta cuando se transmiten entre el lector de tarjetas y el servidor remoto. Adicionalmente, es posible que un ladrón observe a un usuario mientras introduce su PIN en un lector de tarjetas y memorice el PIN. Si el ladrón también es capaz de obtener detalles de identificación de la tarjeta, por ejemplo, de un recibo de caja desechado o a través de una conspiración con el empleado de la tienda, es sencillo producir una tarjeta falsa que incluya toda la información de identificación apropiada para un uso fraudulento posterior, o incluso robarle su tarjeta al usuario de tarjeta autorizado.

El documento US 5.971.272 divulga un sistema de acceso seguro en base a un principio de desafío-respuesta, con lo que un usuario recibe una cadena de seguridad pseudo-aleatoria (desafío), la manipula con un código de usuario personal de acuerdo con reglas predefinidas, y a continuación transmite el resultado (respuesta) al sistema seguro para su comprobación. El documento US 5.971.272 emplea un complejo algoritmo para manipular la cadena de seguridad con el código de usuario, no siendo este algoritmo fácilmente ejecutable por un usuario humano sin medios informáticos electrónicos.

De acuerdo con un primer aspecto de la presente invención, se proporciona un sistema de identificación codificada, comprendiendo el sistema un ordenador electrónico, un dispositivo de comunicaciones electrónico específico que puede funcionar para estar en comunicación con el ordenador electrónico, y al menos un dispositivo de comunicaciones electrónico que puede funcionar para estar en comunicación con el ordenador electrónico, donde el ordenador electrónico incluye datos relativos al dispositivo de comunicaciones electrónico específico, incluyendo un código de identificación permanente, un código de máscara y un código de identificación que permite la comunicación electrónica entre el ordenador electrónico y el dispositivo de comunicaciones electrónico específico, y donde el código de identificación permanente se introduce en al menos un dispositivo de comunicaciones electrónico y se transmite al ordenador electrónico, el ordenador electrónico genera una cadena pseudo-aleatoria y la transmite al dispositivo de comunicaciones electrónico específico, el código de máscara se aplica a la cadena pseudo-aleatoria con el fin de generar un código de identificación volátil de acuerdo con reglas predeterminadas, el código de

identificación volátil se transmite de nuevo al ordenador electrónico mediante el dispositivo de comunicaciones electrónico específico o el al menos un dispositivo de comunicaciones electrónico, el ordenador electrónico comprueba el código de identificación volátil transmitido al mismo contra un código de identificación volátil obtenido aplicando el código de máscara a la cadena pseudo-aleatoria de acuerdo con las reglas predeterminadas, y en el que se hace una identificación positiva cuando se comprueba que los códigos de identificación volátiles coinciden mediante el ordenador electrónico; donde:

i) la cadena pseudo-aleatoria comprende una primera serie lineal de caracteres, teniendo cada carácter una posición numérica determinada en la primera serie (primero, segundo, tercero, etc.);

ii) el código de máscara comprende una segunda serie lineal de números, teniendo cada número una posición numérica determinada en la segunda serie (primero, segundo, tercero, etc.); y

iii) las reglas predeterminadas para aplicar el código de máscara a la cadena pseudo-aleatoria con el fin de generar el código de identificación volátil son para seleccionar secuencialmente las posiciones numéricas en la primera serie correspondientes a los números en la segunda serie, tomadas en un orden posicional, y de este modo devolver los caracteres seleccionados a partir de la primera serie en secuencia con el fin de formar una tercera serie lineal, formando esta tercera serie lineal el código de identificación volátil.

De acuerdo con un segundo aspecto de la presente invención, se proporciona un método para identificar un dispositivo de comunicaciones electrónico específico o un usuario del mismo para un ordenador electrónico que tiene almacenado en su interior los datos relativos al dispositivo de comunicaciones electrónico específico o del usuario del mismo, incluyendo un código de identificación permanente, un código de máscara y un código de identificación que permite la comunicación entre el ordenador electrónico y el dispositivo de comunicaciones electrónico específico, donde el código de identificación permanente se introduce en al menos un dispositivo de comunicaciones electrónico y se transmite de este modo al ordenador electrónico, el ordenador electrónico asocia el código de identificación permanente con el código de identificación que permite la comunicación entre ellos y el dispositivo de comunicaciones electrónico específico y genera una cadena pseudo-aleatoria antes de transmitirlo al dispositivo de comunicaciones electrónico específico, el código de máscara se aplica a la cadena pseudo-aleatoria de acuerdo con reglas predeterminadas con el fin de generar un código de identificación volátil, el código de identificación volátil se introduce en el dispositivo de comunicaciones electrónico específico o en el al menos un dispositivo de comunicaciones electrónico y se transmite al ordenador electrónico donde se compara con un código de identificación volátil generado en su interior aplicando el código de máscara a la cadena pseudo-aleatoria, y se hace una identificación positiva cuando coinciden los códigos de identificación volátil, donde:

El dispositivo de comunicaciones electrónico específico puede ser un dispositivo independiente del al menos un dispositivo de comunicaciones electrónico, o puede ser el mismo dispositivo. Por ejemplo, el dispositivo de comunicaciones electrónico específico puede ser un teléfono móvil, un buscapersonas, un teléfono de línea fija, un asistente digital personal o un ordenador que puede ser de su propiedad u operarse específicamente por una persona determinada. El al menos un dispositivo de comunicaciones electrónico puede ser una transferencia de fondos electrónica (EFT) o una transferencia de fondos electrónica en el terminal de punto de venta (EFTPOS), o puede ser el propio teléfono móvil, buscapersonas, teléfono de línea fija, asistente digital personal u ordenador que puede ser de su propiedad u operarse específicamente por la persona como se ha descrito anteriormente en el presente documento.

El código de identificación permanente puede suministrarse a un usuario en forma de una tarjeta que tiene marcas legibles por máquina y/o por las personas.

El código de identificación que permite la comunicación electrónica entre el ordenador electrónico y el dispositivo de comunicaciones electrónico específico puede ser un número de teléfono móvil o de buscapersonas en el que el dispositivo de comunicaciones electrónico específico es un teléfono móvil, un buscapersonas o un asistente digital personal, o puede ser una dirección de correo electrónico o cualquier código similar que permita una comunicación específica con un dispositivo de comunicaciones electrónico específico determinado.

Cuando el dispositivo de comunicaciones electrónico específico es un teléfono móvil o similar, la cadena pseudoaleatoria puede transmitirse en forma de un mensaje de texto conforme al protocolo del servicio de mensajes cortos (SMS). Pueden emplearse otros protocolos de comunicaciones bien conocidos cuando sea apropiado, dependiendo de la naturaleza del dispositivo de comunicaciones electrónico específico.

Las realizaciones de la presente invención proporcionan seguridad adicional de identificación de numerosas maneras. En primer lugar, además de requerir que la persona tenga acceso al código de identificación permanente, el sistema requiere que la persona esté en posesión de un dispositivo de comunicaciones electrónico específico adecuado. En segundo lugar, debido a que el sistema requiere que el usuario produzca su código de máscara para operar en la cadena pseudo-aleatoria con el fin de generar un código de identificación volátil de acuerdo con las normas preestablecidas, sin el código de máscara transmitiéndose electrónicamente junto con la código de identificación permanente, es difícil que una persona no autorizada intercepte las comunicaciones entre el ordenador electrónico, el dispositivo de comunicaciones electrónico específico y/o el al menos un dispositivo de comunicaciones electrónico con el fin de determinar el código de máscara y el código de identificación permanente.

Se apreciará que la presente invención se extiende a situaciones en las que se requiere establecer una identificación segura de un dispositivo de comunicaciones electrónico específico más que de una persona como tal. Por ejemplo, la presente invención puede usarse como parte de un protocolo “hand-shaking” ("apretón de manos") seguro entre ordenadores remotos, sirviendo positivamente y con seguridad para que el ordenador electrónico identifique al dispositivo de comunicaciones electrónico específico, que también puede ser un ordenador electrónico. Ambos, el ordenador electrónico y el dispositivo de comunicaciones electrónico específico, tendrán el código de máscara almacenado en sus memorias, pero no se comunicarán el código de máscara entre sí, excepto por medio de una conexión segura, de forma ideal completamente separada de sus medios normales de comunicación.

El código de máscara puede adoptar diversas formas. En una realización actualmente preferida, a una persona se le entrega, o ella misma selecciona, una cadena numérica de cuatro dígitos, por ejemplo 3928, análoga a los códigos PIN bien conocidos usados actualmente cuando se operan cajeros automáticos (ATM). Sin embargo, pueden usarse diferentes longitudes de código de máscara según sea apropiado. La cadena pseudo-aleatoria (que puede ser numérica, alfanumérica o cualquier otra combinación de caracteres) transmitida al dispositivo de comunicaciones electrónico específico en respuesta a una señal enviada por el al menos un dispositivo de comunicaciones electrónico se puede mostrar en el mismo de una forma predeterminada, con los caracteres que determinan la cadena pseudo-aleatoria que se muestran preferentemente como una serie lineal. A continuación, la persona que opera el dispositivo de comunicaciones electrónico específico toma el primer dígito de su código de máscara, en este ejemplo el 3, y anota el carácter en la tercera posición (dicho de izquierda a derecha) a lo largo de la cadena pseudo-aleatoria. A continuación, la persona toma el segundo dígito de su código de máscara, en este ejemplo el 9, y anota el carácter en la novena posición a lo largo de la cadena pseudo-aleatoria, y así sucesivamente para los dígitos 2 y 8 del código de máscara. Los caracteres seleccionados a partir de la cadena pseudo-aleatoria forman el código de identificación volátil que después se introduce en el al menos un dispositivo de comunicaciones electrónico y se transmite al ordenador electrónico para su verificación. Como alternativa, el código de identificación volátil puede transmitirse al ordenador electrónico por medio del dispositivo de comunicaciones electrónico específico. Si el código de identificación volátil recibido por el ordenador electrónico corresponde a un código de identificación volátil esperado calculado por el ordenador electrónico aplicando el código de máscara a la cadena pseudo-aleatoria, se entenderá que se ha realizado una identificación positiva. La característica de seguridad principal es que el código de máscara no se transmite nunca entre el ordenador electrónico, el dispositivo de comunicaciones electrónico específico o el al menos un dispositivo de comunicaciones electrónico y, por lo tanto, está a salvo de la intercepción por terceros no autorizados. La característica de seguridad secundaria es que una persona debe estar en posesión de su propio dispositivo de comunicaciones electrónico específico, ya que el ordenador electrónico transmitirá la cadena pseudo-aleatoria solo al mismo.

Para mayor seguridad, después de que se haya transmitido el código de identificación volátil al ordenador electrónico para su verificación y se compruebe que coincide con el código de identificación volátil generado por el ordenador electrónico, el ordenador electrónico puede transmitir un mensaje al dispositivo de comunicaciones electrónico específico solicitando que la persona confirme que la identificación es correcta. Solo cuando la persona responde afirmativamente al mensaje transmitiendo un mensaje de confirmación desde el dispositivo de comunicaciones electrónico específico al ordenador electrónico se completa finalmente el proceso de identificación.

En algunas realizaciones de la presente invención, no es necesario que una persona que opere el dispositivo de comunicaciones electrónico específico vea la cadena pseudo-aleatoria y aplique manualmente el código de máscara al mismo. En su lugar, puede proporcionarse un programa de ordenador en una memoria del dispositivo de comunicaciones electrónico específico que permita a la persona introducir su código de máscara cuando se le solicite, y que a continuación aplique el código de máscara automáticamente a la cadena pseudo-aleatoria, devolviendo el código de identificación volátil adecuado correspondiente para introducirla en el dispositivo de comunicaciones electrónico específico o el al menos un dispositivo de comunicaciones electrónico.

En un desarrollo adicional, puede elegirse al menos una posición en la cadena pseudo-aleatoria para que contenga un carácter representativo de un parámetro o condición predeterminada. Ventajosamente, la posición del carácter y

su significado representacional se conocen únicamente por el ordenador electrónico y la persona que opera el dispositivo de comunicaciones electrónico específico. Por ejemplo, cuando el ordenador electrónico se opera por un banco y el código de identificación permanente es el número de cuenta bancaria de la persona, entonces puede elegirse una de las posiciones en la cadena pseudo-aleatoria, digamos la séptima, para que sea representativa de un saldo de la cuenta bancaria de la persona, con, por ejemplo, 0 indicando cero fondos y 9 indicando un saldo de más de 1.000£, siendo los números 1 a 8 representativos de saldos entre ellos en una escala lineal. Como alternativa, para mayor seguridad, puede elegirse al menos una posición en la cadena pseudo-aleatoria para que contenga un carácter indicador, indicando uno cualquiera de los dígitos 1 a 5 un saldo por debajo de 500£ y uno cualquiera de los dígitos 6 a 9 un saldo superior a 500£. Será evidente que podrán aplicarse otros muchos esquemas de representación con el fin de transmitir información en la cadena pseudo-aleatoria. Debido a que la posición y el significado del al menos un carácter representativo en la cadena pseudo-aleatoria se puede seleccionar preferentemente por la persona en lugar de siguiendo un formato establecido que pueda llegar a ser conocido por terceros no autorizados, sigue siendo difícil extraer información significativa en el caso de que se intercepte la cadena pseudo-aleatoria durante la transmisión. Adicionalmente, puede ser necesario que la persona identifique la posición y/o el significado del al menos un carácter representativo después de recibir la cadena pseudo-aleatoria, proporcionando de ese modo una capa adicional de seguridad en el proceso de identificación.

Será evidente que en la realización descrita anteriormente en el presente documento, la cadena pseudo-aleatoria debe tener al menos diez caracteres de longitud, ya que un código de máscara determinado por los números del 0 al 9 requiere al menos diez posiciones a lo largo de la cadena pseudo-aleatoria para que sea funcional. Sin embargo, un experto en la materia apreciará que se pueden usar diferentes códigos de máscara y longitudes de cadena según se requiera seleccionando esquemas de codificación adecuados. Debe destacarse que la cadena pseudo-aleatoria emitida por el ordenador electrónico en respuesta a una solicitud de identificación desde el al menos un dispositivo de comunicaciones electrónico será diferente para cada solicitud y que, por lo tanto, será extremadamente difícil determinar un código de máscara determinado dada una serie de cadenas pseudo-aleatorias y códigos de identificación volátiles potencialmente inaceptables. De hecho, en realizaciones en las que el dispositivo de comunicaciones electrónico específico es un dispositivo independiente del al menos un dispositivo de comunicaciones electrónico, por ejemplo, un teléfono móvil y un terminal EFTPOS, respectivamente, entonces la cadena pseudo-aleatoria y el código de identificación volátil nunca se transmiten por la misma ruta, por ejemplo, una conexión telefónica temporal determinada. En realizaciones en las que el dispositivo de comunicaciones electrónico específico es el mismo dispositivo que el al menos un dispositivo de comunicaciones electrónico, por ejemplo, un terminal de ordenador remoto adaptado para la conexión segura al ordenador electrónico, entonces puede transmitirse la cadena pseudo-aleatoria por la misma ruta, pero no juntos en el mismo momento. En la última realización, solo puede considerarse una solicitud inicial para conectarse al ordenador electrónico si procede de un enlace de módem directo desde un número de teléfono predeterminado asociado con la persona, la cadena pseudoaleatoria se transmite a continuación de nuevo a lo largo del enlace de módem al terminal remoto y el código de identificación volátil se transmite al ordenador electrónico por medio de la misma conexión de módem directa.

En una realización particularmente preferida, el ordenador electrónico se opera mediante un emisor de tarjeta de débito o de crédito, el dispositivo de comunicaciones electrónico específico es un teléfono móvil, el al menos un dispositivo de comunicaciones electrónico es un terminal EFTPOS operado por un comerciante, el código de identificación permanente es el número de cuenta de una tarjeta de débito o de crédito de una persona, el código de máscara es un número de cuatro dígitos como se ha descrito anteriormente y el código de identificación que permite la comunicación electrónica entre el ordenador electrónico y el dispositivo de comunicaciones electrónico específico es un número de teléfono del teléfono móvil. Se ha de entender que el emisor de la tarjeta de débito o de crédito puede ser un banco que emite tarjetas de débito convencionales que permiten que se puedan hacer compras con cargo a los fondos de la cuenta corriente de la persona o tarjetas de crédito convencionales que permiten realizar compras contra una cuenta de crédito, o, como alternativa, puede ser un proveedor de servicios especializado que emite tarjetas de débito dedicadas a abonados, donde los abonados deben realizar las acciones necesarias para transferir fondos al proveedor del servicio según se requiera con el fin de mantener al menos un saldo positivo mínimo asociado con sus cuentas de tarjetas de débito dedicadas.

Cuando una persona primero solicita una cuenta del emisor de la tarjeta, se le entrega un número de cuenta y una tarjeta que lleva el número de cuenta y el nombre del titular de la cuenta de la manera habitual, por ejemplo, mediante grabado de la tarjeta con marcas legibles por la persona y mediante la inclusión de datos legibles por máquina en una banda magnética en la parte posterior de la tarjeta. La persona debe proporcionar los detalles habituales, tales como nombre y domicilio, al emisor de la tarjeta, junto con su número de teléfono móvil. También es necesario que se emita el código de máscara por el emisor de la tarjeta o que se acuerde entre el emisor de la tarjeta y la persona. El código de máscara se emite, preferentemente, por separado de la tarjeta, por ejemplo, por medio de envíos postales separados, y nunca se transmite junto con el número de cuenta y/o el número de teléfono. Cuando la persona desea hacer una compra usando la tarjeta de débito o de crédito, presenta la tarjeta a un comerciante. El comerciante pasa la tarjeta a través del terminal EFTPOS que, a continuación, contacta con un ordenador principal operado por el emisor de la tarjeta. El número de tarjeta/cuenta se transmite al ordenador principal por medio de un enlace de módem, junto con los detalles de la transacción, que incluyen el precio de la compra que se realiza. A continuación, el ordenador principal correlaciona el número de tarjeta/cuenta con el número de teléfono móvil de la persona y, si hay fondos suficientes en la cuenta para cubrir la compra que se pretende

realizar, genera una cadena pseudo-aleatoria que se transmite al teléfono móvil por medio, por ejemplo, de un mensaje SMS a través de un enlace de telecomunicaciones móviles. La persona aplica el código de máscara a la cadena pseudo-aleatoria como se ha descrito anteriormente en el presente documento, y a continuación da el código de identificación volátil generado de este modo al comerciante. El comerciante, a su vez, introduce el código de identificación volátil en el terminal EFTPOS que, a continuación, transmite estos datos de nuevo al ordenador principal, en el que se correlacionan con los detalles de la cuenta de la persona, y se compara con un código de identificación volátil almacenado temporalmente en el ordenador principal y generado en el mismo aplicando el código de máscara a la cadena pseudo-aleatoria independientemente de la persona. Si los códigos de identificación volátiles coinciden, el ordenador principal transmite un mensaje de confirmación al terminal EFTPOS autorizando la transacción, y a continuación los fondos necesarios para cubrir la compra se transfieren automáticamente al comerciante y se retiran de la cuenta de la tarjeta de la persona.

En el caso de que no haya suficientes fondos en la cuenta de la persona para cubrir el coste de la compra, el ordenador principal puede emitir una señal al terminal EFT de que la transacción no está autorizada, y puede emitir una mensaje al teléfono móvil aconsejando a la persona que ingrese fondos en la cuenta. En caso de que los códigos de identificación volátiles no coincidan, entonces el ordenador principal puede emitir una señal al terminal EFTPOS con el fin de informar al comerciante, que a continuación podrá pedir a la persona que compruebe que se ha generado el código de identificación volátil correcto y proporcione el código correcto para la transmisión al ordenador principal. Si la persona da un código volátil incorrecto más de un número predeterminado de veces, por ejemplo tres veces, entonces el ordenador principal puede suspender temporalmente la cuenta de la persona por razones de sospecha de uso fraudulento. A continuación, el titular de la tarjeta auténtica debe ponerse en contacto con el emisor de la tarjeta, junto con la verificación adecuada de su identidad, antes de que la cuenta se reactive y/o se emita una nueva cuenta y tarjeta.

En algunas realizaciones, la persona puede comunicarse directamente con el ordenador central por medio de su teléfono móvil. Esto es posible gracias a que las transmisiones desde un teléfono móvil incluyen detalles del número del teléfono móvil, y porque el ordenador principal es capaz de correlacionar los números de teléfonos móviles con las cuentas de tarjeta. Una característica útil que puede proporcionarse es un bloqueo de cuenta de emergencia que puede activarse en el caso de que la tarjeta de crédito o de débito o incluso el teléfono móvil hayan sido robados. Dicho bloqueo puede activarse transmitiendo un código de bloqueo predeterminado, por ejemplo 9999, al ordenador principal. Como alternativa o además, puede emitirse un código de bloqueo en formato código de máscara, que es útil en caso de que se robe y se amenace a una persona con violencia con el fin de que entregue su tarjeta y el teléfono móvil, junto con su código de máscara.

Además, puede proporcionarse otra característica de seguridad útil donde, después de que se haya transmitido el código de identificación volátil al ordenador electrónico para su verificación y se haya comprobado que coincide con un código de identificación volátil generado por el ordenador electrónico, el ordenador electrónico puede transmitir un mensaje al teléfono móvil solicitando que la persona confirme que se autoriza la transacción. El mensaje puede enviarse por SMS o en formato de correo de voz, y puede incluir detalles de la transacción. Solo se autoriza finalmente la transacción cuando la persona responde afirmativamente al mensaje transmitiendo un mensaje de confirmación desde el teléfono móvil al ordenador electrónico.

La tarjeta de crédito o débito de esta realización de la presente invención también puede utilizarse para hacer compras seguras a través de Internet. En este escenario, al menos un dispositivo de comunicaciones electrónico puede ser un servidor operado por un comerciante en Internet. Cuando una persona desea hacer una compra segura, envía el número de cuenta al servidor, por medio del correo electrónico o a través del sitio web del comerciante, y el servidor transmite, a continuación, los detalles de la cuenta y los detalles de la compra al ordenador principal operado por el emisor de la tarjeta como antes. A continuación, se transmite al teléfono móvil de la persona un mensaje SMS que contiene la cadena pseudo-aleatoria, después la persona hace que se genere el código de identificación volátil y, a continuación, se envíe al servidor del comerciante, desde donde se transmite al ordenador principal para su verificación antes de que se autorice la transacción y se liberen los fondos.

Una persona puede tener más de una cuenta con el emisor de la tarjeta y, por consiguiente, puede seleccionar, o se le puede asignar, más de un código de máscara, uno para cada cuenta. Como alternativa o además, puede asignarse más de un código de máscara a cada cuenta, y el ordenador principal puede indicar, por medio de uno o más caracteres en la cadena pseudo-aleatoria, que está esperando a que la persona aplique un código de máscara particular, seleccionado de entre una pluralidad de códigos de máscara preestablecidos, a la cadena pseudoaleatoria, proporcionando de este modo un nivel adicional de seguridad.

Debe apreciarse que la presente invención no se limita a las transacciones de tarjetas de crédito o de débito, pero proporciona un sistema y método de identificación seguros en una gran variedad de situaciones. Por ejemplo, puede controlarse el acceso a un edificio o a un vehículo proporcionando detalles que retenga un ordenador central de todas las personas autorizadas a entrar en el edificio o en el vehículo, y puede entregarse una tarjeta magnética que lleve un número de identificación único o un código en formato codificado magnéticamente a cada persona autorizada a entrar en el edificio o en el vehículo. En las entradas al edificio o al vehículo, se pueden proporcionar bloqueos electrónicos enlazados a los escáneres de tarjetas y a los teclados electrónicos, permitiendo los escáneres

de tarjetas y los teclados electrónicos la comunicación con el ordenador central. Cuando una persona autorizada desea entrar en el edificio o en el vehículo, pasa la tarjeta magnética a través del escáner de tarjetas, que a continuación transmite el número o código de identificación único al ordenador central. El ordenador central correlaciona el número o código de identificación único con los detalles personales de la persona, incluyendo un código de máscara predeterminado, y a continuación transmite una cadena pseudo-aleatoria al teclado para mostrarla en una pantalla proporcionada en el mismo. La persona debe aplicar su código de máscara a la cadena pseudo-aleatoria e introducir el código de identificación volátil generado de este modo en el teclado, que a continuación transmite el código de identificación volátil al ordenador central para su comparación con un código de identificación volátil generado en el ordenador central como se ha descrito anteriormente en el presente documento. Si los códigos de identificación volátiles coinciden, entonces el ordenador central emite una señal para desbloquear el bloqueo electrónico. Dicho sistema proporciona una ventaja significativa sobre los bloqueos electrónicos existentes operados tecleando un código predeterminado, debido a que cada vez que una persona entra en el edificio o en el vehículo, tendrá que introducir un código de identificación volátil diferente. Esto significa que un ladrón potencial o similar no podrá tener acceso al edificio o al vehículo simplemente observando a una persona autorizada que introduce un código de entrada y, posteriormente, introduciendo el mismo código de entrada. Además, no es necesario proporcionar una tarjeta magnética a cada persona autorizada a entrar en el edificio o en el vehículo. En su lugar, se entrega a cada persona un número o código de identificación permanente único y memorizable, que puede introducirse por medio del teclado electrónico cuando se necesite acceder al edificio o al vehículo. A continuación, se correlaciona el número o código de identificación permanente único en el ordenador central con el código de máscara adecuado y se transmite una cadena pseudo-aleatoria al teclado electrónico para mostrarla en una pantalla en el mismo como antes.

Se apreciará que en las realizaciones anteriores, el teclado electrónico y el lector de tarjetas opcional forman el al menos un dispositivo de comunicaciones electrónico así como el dispositivo de comunicaciones electrónico específico. Para mayor seguridad, aunque implicando un inconveniente adicional, las personas autorizadas a entrar en el edificio o en el vehículo pueden proveerse de teléfonos móviles como dispositivos de comunicaciones electrónicos específicos, transmitiéndose la cadena pseudo-aleatoria al teléfono móvil en lugar de a una pantalla en el teclado electrónico.

Los usos alternativos del sistema y método de la presente invención incluyen cualquier situación en la que se necesite la identificación segura de una persona en un entorno de comunicaciones electrónicas. Por ejemplo, el sistema y método puede emplearse para un acceso remoto seguro a un ordenador y a las telecomunicaciones seguras en general (por ejemplo, transacciones de comercio electrónico negocio-a-negocio, comunicaciones de control del tráfico aéreo, etc.). El sistema y método también pueden implementarse en el contexto de una alarma y/o inmovilizador de un vehículo, por el que se solicita a un usuario autorizado del vehículo que aplique un código de máscara a una cadena pseudo-aleatoria con el fin de desactivar el inmovilizador o la alarma.

Un uso adicional de la presente invención es como sistema seguro de venta de entradas. Un proveedor de billetes de viaje, billetes de conciertos, entradas de cine y de teatro y entradas para eventos deportivos, entre otros, puede emitir un billete "virtual" en forma de un código de identificación de cliente permanente y una cadena pseudoaleatoria transmitidos desde un ordenador principal a un dispositivo de comunicaciones electrónico específico. Tras llegar a un lugar o a petición de un revisor de billetes, puede requerirse que una persona, a quien se ha emitido el billete "virtual", aplique su código de máscara a la cadena pseudo-aleatoria y proporcione el código de identificación virtual generado de este modo, junto con el código de identificación de cliente permanente, al revisor. Se puede proveer al revisor de billetes de un dispositivo de comunicaciones electrónico por medio del cual esta información puede transmitirse de nuevo al ordenador central para su verificación, y para que pueda enviarse una señal de verificación por el ordenador principal en caso de que se identifique positivamente a la persona como titular autorizado de la entrada.

Aún otro uso de la presente invención es en un depósito de paquetería o de correos, tal como una oficina de correos, o una tienda por catálogo o un almacén o similares, que la gente visita para recoger paquetes, correos u otros artículos y es positivamente necesario identificar a una persona antes de entregar los paquetes, correos u otros artículos. Una persona recoge un artículo que se habrá emitido con una cadena pseudo-aleatoria y, tras la recogida, se pide que proporcione un código de identificación volátil generado por la aplicación de su código de máscara a la cadena pseudo-aleatoria.

Como una característica de seguridad adicional, el sistema de la presente invención puede comprender además:

i) una interfaz de entrada del código de usuario segura para la introducción de un código de usuario en un dispositivo electrónico donde dicho dispositivo electrónico tiene una pantalla; donde dicha interfaz de entrada del código de usuario segura contiene al menos una pantalla activa para la introducción de al menos un dígito de dicho código de usuario por un usuario; donde dicha pantalla activa ilumina o destaca al menos un dígito de muestra en dicha pantalla activa y dicho usuario introduce dicho al menos un dígito de dicho código de usuario mediante una respuesta a través de un dispositivo de entrada en un tiempo de respuesta cuando dicho al menos un dígito de muestra que corresponde con dicho al menos un dígito de dicho código de usuario se ilumina o se destaca en dicha pantalla activa, y donde

ii) se añade una ejecución aleatoria en el tiempo a dicho tiempo de respuesta para prolongar dicha al menos una pantalla activa.

La interfaz de entrada del código de usuario se almacena y se ejecuta en un dispositivo electrónico en el que el dispositivo electrónico tiene una pantalla. Se puede ver en la pantalla la interfaz de entrada del código de usuario segura que contiene al menos una pantalla activa para la introducción, por el usuario, de un dígito del código de usuario por ciclo de la interfaz. La pantalla activa de la interfaz ilumina o destaca al menos un dígito de muestra en la interfaz y el usuario teclea cualquier tecla de un teclado o ratón o toca cualquier área de una pantalla táctil cuando el dígito iluminado o destacado coincide con el dígito que debe introducirse en su código de usuario. Se añade un tiempo de ejecución aleatorio al tiempo cuando el usuario introduce la pulsación de una tecla de manera que la pantalla activa permanece activa y, por lo tanto, no puede determinarse la información relacionada con el número introducido. La interfaz de usuario segura contiene un ciclo para cada dígito de un código de usuario.

Por otra parte, el sistema puede incluir además:

i) un ordenador principal para almacenar un código de usuario asociado con un usuario;

ii) un dispositivo electrónico en comunicación electrónica con dicho ordenador principal, donde dicho dispositivo electrónico tiene una pantalla y un dispositivo de entrada de usuario; adicionalmente, puede estar provisto de:

iii) una interfaz de entrada del código de usuario segura visible en dicha pantalla de dicho al menos un dispositivo electrónico para la introducción de dicho código de usuario, donde dicha interfaz de entrada del código de usuario segura contiene al menos un ciclo con una pantalla activa para la introducción de dicho código de usuario, donde dicho usuario introduce al menos un digito de código de usuario de dicho código de usuario por una respuesta a través de dicho dispositivo de entrada de usuario en un tiempo de respuesta cuando un dígito de muestra que se corresponde con dicho al menos un digito de código de usuario de dicho código de usuario se ilumina o se destaca en dicha pantalla activa;

iv) donde dicho dígito de dicho al menos un dígito de código de usuario si se introduce en cada ciclo de dicho al menos un ciclo y se añade un tiempo de ejecución aleatorio a dicho tiempo de respuesta para prolongar cada ciclo de dicho al menos un ciclo; y

v) donde dicho código de usuario introducido se transmite a dicho ordenador principal para su verificación con dicho código de usuario almacenado.

El ordenador principal almacena información sobre el usuario que incluye la información de la cuenta y el código de usuario. Al menos un dispositivo electrónico está en comunicación electrónica con el ordenador principal y muestra la interfaz de entrada de usuario segura para la introducción del código de usuario. Al menos un dispositivo electrónico tiene al menos una pantalla y un dispositivo de entrada de usuario. La interfaz de entrada de usuario segura contiene al menos un ciclo para cada dígito del código de usuario y contiene una pantalla activa para la introducción del código de usuario. El usuario introduce cada dígito del código de usuario mediante una respuesta a través de un dispositivo de entrada de usuario en un tiempo de respuesta cuando un dígito de muestra que se corresponde con el dígito adecuado del código de usuario se ilumina o se destaca en la pantalla activa de la interfaz. Después de la introducción de cada dígito en un ciclo se introduce un tiempo de ejecución aleatorio que se añade al tiempo cuando el usuario ha respondido con el fin de prolongar cada ciclo de la pantalla activa de manera que nadie podría determinar qué dígito se seleccionó mostrando la interfaz de usuario. Después de la introducción completa del código de usuario, el código introducido se transmite al ordenador principal para su verificación con el código de usuario almacenado en el ordenador principal. El usuario puede introducir su respuesta tecleando cualquier tecla en un teclado o en el ratón o tocando cualquier área de una pantalla táctil.

Para una mejor comprensión de la presente invención y para mostrar cómo puede llevarse a efecto, se hará ahora referencia, por medio de un ejemplo, a los dibujos adjuntos en los que:

La figura 1 es un diagrama esquemático que muestra una realización preferida de la presente invención;

La figura 2 es un diagrama esquemático que muestra una realización preferida del esquema de doble canal;

La figura 3 es un diagrama de flujo de proceso que muestra las etapas que un usuario debería realizar mientras interactúa con el sistema de la presente invención;

La figura 4 es un diagrama esquemático que muestra una realización preferida del esquema de un solo canal de la presente invención;

La figura 5 es un diagrama esquemático que muestra una realización adicional del esquema de un solo canal de la presente invención;

La figura 6 es un diagrama esquemático de una realización adicional del esquema de un solo canal de la

presente invención; La figura 7 es un diagrama esquemático de una realización adicional del esquema de un solo canal de la presente invención;

La figura 8 es un diagrama esquemático que muestra una realización adicional que incorpora diversos aspectos

y características de la presente invención; La figura 9 es un diagrama esquemático que muestra un sistema de acceso a base de datos seguro de la presente invención;

La figura 10 es un diagrama esquemático de un sistema seguro para recuperar la información de una cuenta bancaria;

La figura 11 es una representación de la cadena pseudo-aleatoria; La figura 12 es un diagrama esquemático que muestra el proceso de modificación e integración del usuario temporal o transaccional;

La figura 13a es una representación gráfica de la interfaz de usuario de la presente invención;

La figura 13b es una representación gráfica de la interfaz de usuario de la presente invención;

La figura 13c es una representación gráfica de la interfaz de usuario de la presente invención;

La figura 13d es una representación gráfica de la interfaz de usuario de la presente invención;

La figura 13e es una representación gráfica de la interfaz de usuario de la presente invención;

La figura 13f es una representación gráfica de la interfaz de usuario de la presente invención;

La figura 13g es una representación gráfica de la interfaz de usuario de la presente invención;

La figura 13h es una representación gráfica de la interfaz de usuario de la presente invención;

La figura 14 es una representación gráfica de la pantalla inicial de la interfaz de PIN seguro de la presente

invención; La figura 15a es una representación gráfica del primer ciclo de la interfaz de usuario de PIN seguro; La figura 15b es una representación gráfica del segundo ciclo de la interfaz de usuario de PIN seguro; La figura 15c es una representación gráfica del tercer ciclo de la interfaz de usuario de PIN seguro; La figura 15d es una representación gráfica del cuarto ciclo de la interfaz de usuario de PIN seguro; La figura 15e es una representación gráfica de la interfaz de usuario de PIN seguro que usa símbolos o

caracteres en lugar de números;

La figura 16 es un diagrama esquemático que muestra las características de la presente invención utilizadas en un sistema de acceso a base de datos a través de Internet; La figura 17 es un diagrama esquemático que contiene características de la presente invención utilizadas en el

acceso de múltiples bases de datos a través de Internet;

La figura 18 es un diagrama esquemático que ilustra diversas características y componentes de la presente invención que se comunican a través de Internet; La figura 19 es un diagrama esquemático que ilustra diversas características y componentes de la presente

invención que se comunican a través de Internet;

La figura 20 es un diagrama esquemático de las diversas características y componentes de la presente invención que se comunican a través de Internet; La figura 21 es un diagrama esquemático que ilustra el acceso y los canales de datos de una realización

adicional de la presente invención;

La figura 22 representa un diagrama esquemático que muestra un esquema de pasarela servidor genérica que incorpora diversos aspectos de la presente invención; y

La figura 23 muestra un diagrama esquemático que ilustra una plataforma de integración genérica de la presente invención.

La figura 1 muestra un ordenador principal 1 operado por un emisor de tarjeta de crédito/debito, un usuario 2 que tiene un teléfono móvil 3, y un terminal 4 EFTPOS. Al usuario 2 se le entrega una tarjeta (no mostrada) que tiene un número de cuenta de 16 dígitos único grabado y codificado magnéticamente en la misma, estando este número de cuenta de 16 dígitos que correlacionado en el ordenador principal 1 con detalles de cuenta relacionados con el usuario así como con un código de máscara de 4 dígitos seleccionado por, o asignado al, usuario 2 tras el registro inicial con el emisor de la tarjeta de crédito/débito y un número de teléfono único del teléfono móvil 3. El número de cuenta de 16 dígitos se elige para que sea compatible con los protocolos de tarjetas de crédito/débito actuales, y el código de máscara de 4 dígitos para que sea compatible con los protocolos PIN existentes. Cuando el usuario 2 desea hacer una compra a partir de un comerciante (no mostrado) que opera el terminal 4 EFTPOS, presenta la tarjeta, que se escanea a continuación mediante el terminal 4 EFTPOS. También se introducen los detalles relativos a la compra en el terminal 4 EFTPOS por el comerciante, y éstos se transmiten, junto con el número de cuenta, al ordenador principal 1 por medio de un enlace 5 de módem. A continuación, el ordenador principal 1 correlaciona el número de cuenta con los detalles del usuario 2, incluyendo el número de teléfono del teléfono móvil 3, y genera una cadena pseudo-aleatoria de 13 dígitos que se transmite al teléfono móvil 3 por medio de un SMS o un protocolo 6 de correo de voz. Los primeros tres dígitos de la cadena pseudo-aleatoria no son aleatorios y se reservan para indicar al usuario que un mensaje SMS recibido procede del ordenador principal. Por ejemplo, los tres primeros dígitos pueden ser "T1:" o "T2:" o similares, con el fin de indicar que el ordenador principal 1 está esperando que el usuario 2 aplique un primer o un segundo código de máscara a la cadena pseudo-aleatoria. Los siguientes 10 dígitos de la cadena pseudo-aleatoria proporcionan redundancia suficiente para cualquier código de máscara de 4 dígitos para operar, por consiguiente, de la manera descrita anteriormente en el presente documento. Eligiendo una longitud de cadena de 13 dígitos para la cadena pseudo-aleatoria, se asegura la compatibilidad con las pantallas de los teléfonos móviles actuales y los protocolos de código de barras EAN13 (Número de Artículo Europeo).

Tras la recepción de la cadena pseudo-aleatoria por el teléfono móvil 3, el usuario 2 debe aplicar el código de máscara de la misma como se ha descrito anteriormente en el presente documento con el fin de generar un código de identificación volátil, que a continuación, se pasa 8 al comerciante y lo introduce en el terminal 4 EFTPOS para la transmisión al ordenador principal 1. Como alternativa, el código de identificación volátil puede devolverse por el usuario 2 al ordenador principal 1 por medio del teléfono móvil 3.

Cuando el ordenador principal 1 recibe el código de identificación volátil, lo compara con un código de identificación volátil generado en el ordenador principal 1 aplicando el código de máscara a la cadena pseudo-aleatoria y, si se comprueba que los códigos de identificación volátiles coinciden, emite una señal al terminal 4 EFTPOS con el fin de autorizar la compra y la transferencia de fondos necesarios al comerciante. Opcionalmente, antes de autorizar la transferencia de fondos, el ordenador principal 1 puede enviar un mensaje al teléfono móvil 3, por ejemplo, en un formato 6 de SMS o de correo de voz, incluyendo preferentemente detalles de la transacción, y solicitando que el usuario 2 devuelva una señal 7 de manera que, finalmente, confirme la transacción. Esto puede proporcionar mayor tranquilidad para las transacciones inusualmente grandes y puede alertar al usuario 2 en el caso de que se esté haciendo un uso fraudulento de su tarjeta.

La presente invención puede implementarse tanto en un esquema de un solo canal como de doble canal, que se describen y se discuten en relación a las figuras 2-10.

El protocolo de doble canal es adecuado para todos los usuarios que poseen un teléfono móvil G2. Los tipos de transacción pueden incluir: (1) transferencia electrónica de fondos en el punto de venta (EFT/POS) y (2) órdenes por teléfono. EFT/POS son transacciones en las que el usuario haría una compra en un comerciante de la forma habitual y, cuando se pasa la tarjeta de crédito/débito a través del lector de tarjetas, se le pedirá al comerciante que solicite al cliente el código de confirmación de transacción (TAC) o código de máscara. El usuario recuerda su número PIN de cuatro dígitos que se usa para determinar el TAC de la cadena pseudo-aleatoria, que se da en el punto de venta. Si el usuario tiene la intención de hacer múltiples compras en un corto espacio de tiempo o en un área en la que la recepción del teléfono móvil es deficiente, el usuario puede elegir por adelantado usar el mismo TAC para un solo día. Una transacción de orden telefónica debería usar, esencialmente, el mismo método que antes con la excepción de que el comerciante introduce físicamente los detalles de la tarjeta de la forma habitual antes de que se solicite el TAC.

Las características adicionales del esquema de canal dual son que el cliente pueda elegir métodos accesibles alternativos de identificación del TAC a partir de la cadena de seguridad pseudo-aleatoria, tal como una interfaz Enigma o un sistema de reconocimiento de voz. Una interfaz Enigma incluiría modificaciones menores a una tarjeta SIM en un teléfono o buscapersonas durante la fabricación, pero los clientes podrían evitar cualquier cálculo de los

TAC por ellos mismos. Los usuarios tendrán que ser capaces de teclear su PIN, y pulsando una tecla adicional de su elección, el teléfono o el buscapersonas calculará automáticamente el TAC resultante, sin que el cliente vea la cadena de seguridad. Este cálculo sería totalmente interno, asegurando que se muestra solo el TAC, y el PIN no se retiene en el teléfono móvil o en el buscapersonas. Podría implementarse una interfaz de reconocimiento de voz en teléfonos activados por voz y ser capaz de calcular el TAC adecuado con la sencilla orden "¡TAC!" desde una voz autorizada.

Los clientes pueden tener también la opción de elegir, al solicitar una tarjeta habilitada, una forma geométrica, como se discutirá en más detalle más adelante, en la que siempre se entregará la cadena de seguridad. El cliente simplemente registraría su forma geométrica elegida que se mostrará en la pantalla y a continuación aplica visualmente su patrón de PIN para determinar el TAC resultante correspondiente. Esta pantalla puede interconectarse mediante un teléfono móvil WAP, un teléfono móvil G3, un indicador de pantalla del sitio de Internet

o un terminal dedicado secundario situado en el punto de venta.

El protocolo de la presente invención puede “atornillarse” a un servidor de base de datos existente y puede al menos ejecutarse sin modificarse en un hardware EFT/POS, tal como: (1) AMEX; (2) EPOS de marcación por división, y (3) AVS3 VISA. Además, el protocolo de canal dual puede usarse para actualizar la seguridad de los sistemas Mondex (estos ya usan dígitos de 4 PIN en el POT).

El esquema de demanda dual puede usar un teléfono móvil G2 convencional, G3, y un dispositivo WAP para recibir la cadena segura. Si estos dispositivos incluyen una interfaz de tarjeta SIM modificada para esta cadena de seguridad, el dispositivo puede incluir también una GUI o una interfaz Enigma para simplificar la deducción del TAC.

La figura 2 representa un diagrama que muestra el protocolo para la presente invención aplicado a un entorno de un punto de venta. La figura 2 muestra los componentes principales y etapas para esta transacción y muestra dos opciones diferentes. La primera opción utiliza una máquina de punto de venta de transferencia de fondos electrónica de marcación por división (EFT/POS), en la que los detalles de la transacción se envían directamente a través del servidor 207 de autorización. La segunda opción utiliza la red del adquiriente comerciante.

En el escenario de marcación directa, el usuario 201 recibe una cadena 210 de seguridad del servidor 207 de autorización que reside en el dispositivo 202. La cadena 210 de seguridad reside en el dispositivo 202, tal como un teléfono móvil, hasta que el usuario está listo para hacer una compra. Cuando el usuario 201 está listo para hacer una compra, entrega, en la etapa 220, su tarjeta 204 de crédito habilitada a un comerciante 205 para realizar la transferencia de fondos electrónica o el punto de venta (EFT/POS). La tarjeta 204 se pasa como siempre por el terminal EFT/POS del comerciante 205. El usuario 201 revisa la cadena 210 de seguridad que reside en su dispositivo 202 y determina su TAC para esa venta en particular. Se proporciona el TAC 230 de cuatro dígitos al comerciante 205 por el usuario 201. El usuario 201 puede proporcionar el TAC verbalmente, introduciéndolo en el terminal punto de venta o mediante la introducción del número en el dispositivo móvil 202. A continuación se envían la tarjeta 204 de crédito, el TAC 230 y el importe de la transacción, a través de la red 240 de marcación directa, al servidor 207 de autorización. El servidor 207 de autorización confirma con el emisor 209 de la tarjeta que la cuenta tiene fondos suficientes en la cuenta y que el TAC co-relaciona con el número PIN del usuario y la cadena 210 de seguridad. En el caso de que se verifiquen el número de cuenta, el importe de la transacción y el TAC, el servidor 207 de autorización permite que se realice la transacción.

En el segundo escenario, denominado escenario de la red del adquiriente comerciante, se aplican las mismas etapas iniciales. El usuario 201 recibe una cadena 210 de seguridad que reside en el dispositivo 202, tal como un teléfono móvil, y que cuando el usuario 201 está listo para comprar un artículo del comerciante 205 él o ella, en la etapa 220, presenta al comerciante 205 la tarjeta 204 de crédito o débito registrada. Se pasa la tarjeta 204 por el terminal EFT/POS y otra vez el usuario 201 determina su TAC 230 de cuatro dígitos, a través de la cadena 210 de seguridad que reside en su teléfono móvil o dispositivo 202. En este escenario, la información de la transacción, que incluye el número de cuenta de la tarjeta 200 y el importe de la compra, se enruta a través de la ruta 250 al esquema

252. Los detalles de la transacción de la tarjeta de crédito convencional y el PIN pre-autorizado se envían al servidor 209 principal que emite la tarjeta. El esquema 252 envía la información de la tarjeta 204 y el PIN pre-autorizado al servidor 209 principal del emisor de la tarjeta a través de la ruta 256 de comunicaciones. Al mismo tiempo, el esquema 252 comunica con el servidor 207 de autorización y verifica que el PIN pre-autorizado se correlaciona con el PIN del usuario. El emisor 209 de la tarjeta procede con la transacción y tras la verificación permite que se realice la transacción. Además del esquema de canal dual descrito anteriormente, la presente invención permite también un esquema de un solo canal mediante el cual un usuario sería capaz de usar la presente invención para transacciones tales como la compra en línea a través de sitios web de Internet. El esquema y el protocolo de un solo canal se realiza tanto a través de un ordenador como de un dispositivo WAP, una tarjeta inteligente, un sistema propietario o un teléfono móvil G3, en los que se recibe la cadena de seguridad y se transmite el TAC en el mismo dispositivo. Este protocolo no requiere un canal secundario para realizar una transacción segura.

El protocolo de canal único se ejecuta a través de un “applet” (subprograma) descargado por el usuario en su ordenador, dispositivo WAP o teléfono móvil G3. La cadena de seguridad y el TAC solo pueden recibirse mediante un servidor habilitado y transmitirse a través de un enlace SSL. La presente invención es resistente a sitios

"fantasma", en los que el usuario no es consciente de que el sitio con el que está tratando no está certificado, debido a que el comerciante (certificado o no) solo estaría en posesión del “nombre de usuario o del ID de la tarjeta” del usuario y no del TAC pertinente.

La solución de un solo canal resuelve el problema encontrado transmitiendo el TAC pertinente y la cadena de seguridad a través de Internet instruyendo a los usuarios ISP (navegador web) para transmitir solo el nombre de usuario al comerciante y el TAC pertinente al servidor/base de datos habilitado.

La figura 3 muestra cada etapa a lo largo del proceso que le tomaría a un usuario para registrarse y utilizar el esquema de un solo canal. El proceso se inicia en la etapa 300, y en la etapa 310 el usuario contacta con el servidor principal de la presente invención a través de un dispositivo de un solo canal tal como un ordenador personal, un dispositivo portátil conectado a Internet, un teléfono móvil o un teléfono inalámbrico, o cualquier dispositivo que pueda soportar un navegador web a través de un solo canal de comunicación. Tras contactar con el servidor o el servidor principal de la presente invención se envía una página web de inicio que contiene el applet interfaz al dispositivo del usuario. En la segunda etapa 320 se pide al usuario que introduzca su ID de usuario y el número de la tarjeta de crédito o la tarjeta de débito pre-autorizada a través de un método de introducción adecuado. La interfaz de usuario puede incluir en la pantalla menús desplegables u otras diversas aplicaciones fáciles de usar para mejorar el proceso de introducción del ID de usuario y el número de la tarjeta de crédito o la tarjeta de débito. El ID de usuario se envía al servidor de verificación. Si el servidor verifica la identidad del usuario se envía una cadena de seguridad a la página web cliente usando el protocolo de baja sobrecarga de procesamiento (protocolo LPO) con una indicación para iniciar el applet. El applet se utiliza para abstraer y volver a empaquetar el código TAC de acuerdo con el protocolo LPO e iniciar la interfaz de PIN seguro.

En la etapa 330, la interfaz de PIN seguro se inicia permitiendo la introducción segura de un PIN de usuario o TAC. La extracción del protocolo LPO se lleva a cabo usando un dígito de identificación de sistema (SID) automático y la generación de un dígito saliente de sistema (SOD). Como se describirá en más detalle a continuación, el código TAC se extrae de la cadena de seguridad y se vuelve a empaquetar de acuerdo con el protocolo LPO y se envía al servidor principal para su verificación. En la etapa 340 el applet se detiene y se destruye, se ponen todos los valores a cero y se borra la cadena de seguridad que reside en el dispositivo. El usuario ve una interfaz que identifica que el dispositivo está esperando una respuesta desde el servidor. En la etapa 350 se verifica o se rechaza el inicio en el servidor de acuerdo con la respuesta al ID de usuario y al código TAC. Si se verifica, la confirmación se envía al navegador cliente seguido por el acceso al servicio solicitado o la transacción. En la etapa 360 se finaliza la sesión o la transacción permitiendo al usuario cerrar la sesión o el proceso o puede activarse que la sesión se cierre automáticamente tras cierto periodo de tiempo de inactividad. La información del usuario con el esquema de un solo canal se termina en la etapa 370.

La figura 4 muestra los componentes principales de un realización preferida del esquema de un solo canal de la presente invención. El usuario 401 podría visitar el servidor 407 de la presente invención y el servidor 407 proporcionaría applets 470 para descargarse al dispositivo 403 del usuario. El usuario 401 descarga un applet 470 a través de la ruta 421 que se almacena a continuación en el dispositivo 403 como el applet 422 del cliente. El sitio 405 del comerciante visitaría también el servidor 407 de autorización a través de la ruta 450 y descarga un applet 470 a través de la ruta 451 que se almacena en el sitio 405 del comerciante como un applet 452 del comerciante. El usuario 401, usando el dispositivo 403, visita el sitio 405 del comerciante a través de la ruta 430 y elige los artículos que desea comprar colocándolos en la cesta 406 y seleccionando la tarjeta de crédito o de débito correspondiente para su uso 407. A continuación, el sitio 405 del comerciante acumula los artículos en la cesta 406, la información sobre la tarjeta 407, y utilizando el applet 452 del comerciante enruta la información a lo largo de la ruta 431 al servidor 407 de autorización.

El servidor 407 de autorización inicia el proceso de verificación y, usando la ruta 432 de comunicaciones, enruta de nuevo la información adecuada a través del applet 452 del comerciante al applet 422 del cliente residente en el dispositivo 403 del usuario. Se pide al usuario 401 que introduzca el TAC. Una vez que el usuario ha introducido el TAC, el TAC se envía a lo largo de la ruta 433, de nuevo a través del comerciante, al servidor 407 de autorización para validar la respuesta. Además, el servidor 407 de autorización, en la etapa 434, valida que hay fondos suficientes en la cuenta y en la etapa 435 verifica que se haya verificado la información acerca de la tarjeta 407, el TAC y la disponibilidad de fondos de la cuenta. El servidor 407 de autorización envía una notificación de "aceptar" a lo largo de la ruta 436 al sitio 405 del comerciante, que a continuación se retransmite, a través de la ruta 437, al dispositivo 403 del usuario.

Las figuras 5-7 se refieren también a los esquemas de un solo canal que usan diferentes aspectos y protocolos de seguridad. En la figura 5, el usuario 501 visita un sitio 505 de Internet del comerciante y podría seleccionar diversos artículos para comprar. Tras la comprobación de salida, se exige el pago a través de la ruta 510 desde el sitio 505 del comerciante al usuario 501. El ordenador personal o dispositivo 503 contiene un applet 522 que comunica con el sitio 505 e incluye el software adecuado o el applet 522 para notificar, a lo largo de la ruta 520, al servidor 507 de autorización que se necesita una autorización de la transacción. Se transfieren el nombre de dominio del comerciante, el importe de la transacción, el ID de usuario y el código de autorización de transacción (TAC) desde el dispositivo 503 del usuario, a lo largo de la ruta 530, al servidor 507 de autorización. Ya está presente en el

ordenador personal o en el dispositivo 503 del usuario la cadena de seguridad para que el usuario determine su código TAC.

El servidor 507 de autorización comunica con el sitio 505 de Internet del comerciante, a través de la ruta 540, para certificar la tarjeta y la información del importe de la transacción. El servidor 507 de autorización también envía un ID de la transacción a través de la ruta 541 al usuario 501 a través del ordenador 503 personal del usuario. El ID de la transacción se envía al sitio de Internet del comerciante, a lo largo de ruta 542, desde el ordenador 503 personal del usuario. El servidor 507 de autorización certifica que el importe de la compra, la información de la tarjeta y el TAC son adecuados y envía los detalles de la tarjeta y el importe a lo largo de la ruta 550 al sitio 505 de Internet del comerciante. Los detalles de la transacción se envían desde el sitio 505 de Internet del comerciante al emisor 509 de la tarjeta, a través de la ruta 560, y por último, el emisor 509 de la tarjeta envía el pago a través de la ruta 570 al sitio 505 de Internet del comerciante.

El esquema de un solo canal que se muestra en la figura 6 es similar al esquema de un solo canal que se muestra en la figura 5, excepto que se incluye un dispositivo 604 inalámbrico para eliminar la cadena de seguridad del ordenador 603 personal del usuario. En el esquema ilustrado en la figura 6, se omite la cadena de seguridad y se transmiten únicamente los cuatro dígitos TAC 620 para la transacción desde el servidor 607 de autorización al dispositivo 604 inalámbrico del usuario.

La figura 7 es un esquema de un solo canal similar a los esquemas de un solo canal descritos en las figuras 5 y 6 excepto que en lugar del TAC de cuatro dígitos que se transmite desde el servidor 707 de autorización al dispositivo 704 inalámbrico, como se ha descrito anteriormente en relación a la figura 6, se envía una cadena 720 de seguridad de trece dígitos al dispositivo 704 inalámbrico. El esquema descrito en la figura 7 describe que como el usuario 701 selecciona los artículos para comprar del sitio 705 de Internet del comerciante, se envía la exigencia del pago a lo largo de la ruta 710 al usuario a través del ordenador 703 personal del usuario. A continuación, el applet 722 indica al usuario que introduzca el código TAC, que el usuario determina a partir de la cadena 720 de seguridad enviada desde el servidor 707 de autorización al dispositivo 704 inalámbrico. El applet 722 remite el nombre de dominio del comerciante, el importe de la transacción, el ID de usuario y el TAC al servidor 707 de autorización a lo largo de la ruta 730. El servidor 707 de autorización certifica la transacción, a lo largo de la ruta 740, y remite el número de cuenta de usuario y el importe a lo largo de ruta 750 al sitio 705 de Internet del comerciante. Los detalles de la transacción se envían desde el sitio 705 de Internet del comerciante al emisor 709 de la tarjeta, a lo largo de la ruta 760, y a continuación el pago se envía desde el emisor 709 de la tarjeta al sitio 705 de Internet del comerciante a lo largo de la ruta 770.

En los diversos escenarios comerciales en línea que emplean el esquema de canal único o dual, como se ve en las figuras 2-7, puede haber casos en los que el comerciante no tiene un artículo específico disponible y por lo tanto no puede procesar o completar toda la transacción inmediatamente. En estos casos, normalmente, el comerciante no completa la transacción hasta que se envía la mercancía. Sin embargo, el usuario puede haber introducido ya su TAC y el sistema querría enviar al usuario una nueva cadena de seguridad pseudo-aleatoria.

La presente invención supera este obstáculo habiendo recibido el servidor de autorización la solicitud de autorización de pago y el TAC activo. El servidor del comerciante transmitirá, normalmente, la solicitud de pedido al servidor de autorización dentro de un tiempo de espera de 1 minuto nominal. Sin embargo, si el comerciante ha recibido una petición de compra de mercancías que no están disponibles, esa solicitud de pedido se retrasará. El retraso en la solicitud de pedido no se enviará al servidor de autorización hasta que las mercancías se hayan recibido y estén listas para enviarse al cliente. Tras la recepción del TAC del usuario y los detalles de la transacción y la ausencia de la transmisión del comerciante del pedido en el transcurso de 1 minuto, el servidor de autorización ejecutará por defecto un programa de pago diferido.

El programa de pago diferido mantendrá el TAC activo en el servidor de autorización y es una prueba de que la usuario ha pedido la mercancía. A continuación, puede emitirse una nueva cadena de seguridad al usuario para su uso durante la siguiente transacción. El programa del servidor de autorización enviará inmediatamente un email al usuario exponiendo los detalles de las mercancías que ha solicitado al comerciante. Cada semana, o algún otro intervalo de tiempo predeterminado, el servidor de autorización recordará al usuario su solicitud de pedido. Por lo tanto, se informa al usuario de cualquier transacción pendiente que será aclarada, finalmente, a través de su cuenta.

Cuando las mercancías llegan al almacén del comerciante y están listas para su envío, entonces se transmiten los detalles del comerciante al servidor de autorización y se completa la transacción. Si en este momento el usuario no tiene suficientes fondos para cubrir el importe de la transacción, la transacción se rechazaría, como es típico en una transacción de tarjeta de crédito convencional.

La figura 8 representa un esquema adicional que utiliza características de la presente invención en el que un usuario tiene una cuenta 804 pre-autorizada o de débito. El usuario vería un dispositivo 805 activo, tal como una máquina expendedora, y seleccionaría artículos a través de la ruta 810 activando de esta manera el dispositivo 805 activo para exigir el pago. La exigencia del pago se enrutaría a través de la cuenta 804 líquida pre-autorizada que se hace pasando la cuenta 804 pre-autorizada, tal como una tarjeta de crédito o de débito, en la etapa 840 a través de un

dispositivo 806 de tarjeta magnética. Además, la exigencia del micro pago se notificaría también al dispositivo 806 de tarjeta magnética que debería solicitar un TAC. El usuario puede tener un dispositivo 803 personal, tal como un teléfono inalámbrico, que contendría o un TAC o una cadena de seguridad con lo que el usuario determinaría el TAC e introduciría el TAC 830 en el dispositivo 806 de tarjeta magnética. Como alternativa, el usuario introduciría el TAC 830 en el dispositivo 803 inalámbrico que transmitiría de forma inalámbrica el TAC 830 al dispositivo 806 de tarjeta magnética o al servidor 807 de autorización. Los detalles de la transacción se envían a lo largo de ruta 850 desde el dispositivo 806 de tarjeta magnética al servidor 807 de autorización. El servidor 807 de autorización contiene la información sobre la cuenta líquida y, si se verifica lo notificaría a un servidor 808 principal de micro pago a lo largo de la ruta 860 para autorizar el pago. A continuación, el servidor 808 principal de micro pago transfiere el pago a lo largo de la ruta 870 al dispositivo 805 activo.

La figura 9 representa un esquema de control de datos mediante el que se pueden usar los elementos de la presente invención para añadir un revestimiento de seguridad y una pre-autorización en una base de datos para controlar el acceso a una base de datos. En la figura 9, el usuario 901 a través de su ordenador o portátil 903 quiere acceder a una base de datos 909. Se solicita el acceso a lo largo de la ruta 910 desde el servidor 907 de autorización. Se envía una cadena de seguridad desde el servidor 907 de autorización al ordenador 903, a través de ruta 920, por la que el usuario determina su TAC. El usuario introduce el TAC que se transmite al servidor 907 de autorización a lo largo de la ruta 930. Siempre que el TAC coincida con el PIN correspondiente verificado para el usuario 901 por el servidor 907 de autorización permite acceder a la base de datos 909 a lo largo de la ruta 940. Además, el sistema puede transmitir simplemente el TAC, en lugar de la cadena de seguridad. A continuación, se transmiten los datos de acceso al ordenador 903 del usuario a través del servidor 907 de autorización a través de la ruta 950. Además, puede enviarse la cadena de seguridad al usuario 901 a través de una ruta 921 alternativa tal como, a través del uso de un dispositivo 904 inalámbrico.

La figura 10 representa un esquema de consulta de saldo bancario remoto por el que un usuario puede comprobar el saldo de una cuenta. En el esquema presentado en la figura 10, el usuario 1001 mediante el uso de un teléfono móvil, un buscapersonas o de un dispositivo 1004 inalámbrico puede solicitar el saldo de una cuenta localizada en un banco 1008. Se proporciona al usuario una cadena de seguridad o TAC, a través de la ruta 1010, que está residente en el dispositivo 1004 inalámbrico. El usuario determina su código TAC y, o bien presenta su código TAC a través de un cajero de banco (no mostrado) o lo introduce en el dispositivo 1004 inalámbrico. El código TAC se envía al servidor 1007 de autorización que verifica que el código TAC es adecuado para la cadena de seguridad y se corresponde con el PIN del usuario. A continuación, el servidor 1007 de autorización se comunica con el banco 1008 a lo largo de la ruta 1020 para recuperar la información de la cuenta proporcionando de esta manera la información solicitada al usuario.

Dos aspectos importantes de la presente invención que se utilizan en los esquemas de un solo canal y dual descritos en relación con las figuras 2-10 son el protocolo de baja sobrecarga de procesamiento y el funcionamiento de la cadena de seguridad. Determinados dispositivos inalámbricos, tales como los dispositivos web, no pueden ejecutar programas de cifrado de alto nivel debido a su baja sobrecarga de procesamiento. La presente invención incorpora un protocolo de baja sobrecarga de procesamiento, que permite a tales dispositivos ejecutar transacciones de alta seguridad o descargas sin que use un gran consumo de memoria. Un beneficio adicional del protocolo de baja sobrecarga de procesamiento es que los datos de transacción existentes que emiten los servidores podrían procesar también la información más rápido que los sistemas cifrados tradicionalmente. El protocolo de baja sobrecarga de procesamiento evita la posibilidad de una correlación entre el TAC y la cadena de seguridad usando simultáneamente múltiples cadenas de seguridad. Solo una de las múltiples cadenas de seguridad es en realidad pertinente y las cadenas restantes se usan para ocultar la cadena pertinente. Las cadenas de seguridad contienen dígitos idénticos pero están dispuestos en distintos órdenes aleatorios. El applet del usuario recibe las múltiples cadenas de seguridad y distingue qué cadena es pertinente usando un sistema de identificación de dígito (SID). El sistema de identificación de dígito sabe cuál de las cadenas de seguridad es auténtica y al instante tira las cadenas no pertinentes y procesa solo la cadena correcta y pertinente. Como ejemplo, si el valor del dígito identificado era 4, la presente invención debería identificar que la cuarta cadena de seguridad fue la cadena de seguridad pertinente.

Durante una transacción, tal como se describirá junto con las figuras 11 y 12, el usuario introduce su PIN y el TAC se calcula internamente en el applet del dispositivo inalámbrico, un ordenador personal EFT/POS, o como se ve en la figura 11, se envía una cadena 1100 de seguridad de trece dígitos desde el servidor de autorización al dispositivo del usuario que identifica una cadena de dígitos aleatorios, en este caso trece (13). La cadena 1100 de seguridad puede venir con un prefijo 1101 de identificación de dos letras que identifica el servidor que ha emitido la cadena 1100 de seguridad. Por ejemplo en la figura 11, si el PIN del usuario era 2468 y el usuario aplica ese número PIN a las localizaciones de dígito en la cadena 1100 de seguridad. El usuario observa el número en el segundo lugar, cuarto lugar, sexto lugar y octavo lugar para determinar su código de confirmación de transacción o TAC para esa transacción específica. En este ejemplo, el PIN del usuario de 2468 produciría un TAC de 7693. Por lo tanto, el usuario introduciría 7693 como el TAC para notificar al servidor de autorización que continúe con el proceso de verificación.

Una explicación adicional de la manera en que el TAC se asegura en la cadenas de seguridad de transmisión segura se explica en relación con la figura 12. Como se ve en la figura 12, el usuario, o cliente 1201 tiene un PIN

1202 conocido (es decir 1234). Almacenada en el dispositivo del usuario y descargada desde el servidor 1207 está la cadena 1203 pseudo-aleatoria de trece dígitos. En este ejemplo, el valor de 1234 del PIN del cliente como se refiere a la cadena 1203 pseudo-aleatoria indica un código 1204 TAC de “6891”. Cuando se pide al usuario que verifique o introduzca el TAC 1204 para autorizar al servidor 1207 que verifique que el cliente 1201 es de hecho el cliente autorizado y registrado el TAC 1204 puede manipularse y revertirse de un gran número de formas para proteger el código durante la transferencia a lo largo de la ruta de comunicaciones al servidor 1207. Un método para proporcionar un revestimiento de seguridad para el PIN 1202 del cliente y para el código 1204 TAC es, incorporar el código TAC en una cadena de trece dígitos de una multitud de cadenas como se describió anteriormente.

Para identificar la cadena pertinente el applet que se ejecuta en el dispositivo del cliente identificaría la cadena pertinente a través de sistema de identificación de dígito 1205. El SID 1205 se usa para identificar cuál de las cadenas de seguridad es pertinente. El SID 1205 puede determinarse de un gran número de formas, incluyendo el uso de determinados números o combinaciones de números del PIN 1202 del usuario, teniendo el usuario que establecer el SID 1205, y teniendo el servidor del sistema que establecer el SID 1205. En el ejemplo mostrado en la figura 12, el sistema establece el valor del SID igual a 3. Por lo tanto, la tercera cadena de nueve cadenas es la cadena pertinente. Las nueve (9) cadenas de trece (13) dígitos se envían a través de una conexión de datos, tal como un flujo 1230 de datos, al dispositivo 1201 de usuario o cliente. El applet en el dispositivo conoce el valor SID 1205 y extrae la cadena 1203 pertinente.

El cliente revisa la cadena 1203 pertinente residente en su dispositivo y determina su TAC 1204. A continuación, el TAC 1204 se entrelaza en una cadena pertinente saliente que se agrupa con ocho (8) cadenas no pertinentes. El flujo 1240 de datos saliente contiene nueve cadenas salientes de trece dígitos. La localización de la cadena saliente relativa se identifica mediante un sistema de dígitos salientes (SOD) 1209 que también puede determinarse de un gran número de formas, tales como usando o añadiendo determinados números de PIN 1202 del cliente o teniendo el cliente o el servidor del sistema que seleccionar el SOD 1209.

En este ejemplo, el sistema establece el valor del sistema de dígitos salientes (SOD) 1209 en 2. Por lo tanto, el TAC 1204 se integrará en la segunda de nueve cadenas en el flujo 1240 de datos de las cadenas. También, el código TAC 1204 puede invertirse, manipularse, para añadirle un número automático (es decir, cada número se incrementa en uno), o cualquier otra forma en la que el número PIN puede modificarse antes de la transmisión. En el ejemplo mostrado en la figura 12, el código TAC 1204, se invierte para determinar la localización de los números TAC dentro de la cadena saliente pertinente. Por ejemplo, ya que el TAC 1204 en este ejemplo tuvo un valor de “6891” el valor inverso de “1986” dictaría que en el primer lugar está el primer dígito del código TAC, en el noveno lugar está el segundo dígito del TAC y así sucesivamente hasta que el TAC se integra en la cadena de seguridad pertinente.

El flujo 1240 de datos de las cadenas de seguridad salientes que contienen las nueve cadenas de trece dígitos se envía al servidor 1207 que tiene un applet para su verificación. El servidor 1207 tiene un applet que conoce el valor SOD 1209 y puede identificar la cadena de seguridad saliente pertinente para la verificación del PIN del usuario. Por lo tanto, el applet del servidor 1207 conoce que el PIN 1202 del cliente es “1234” y que en base al protocolo establecido puede determinar que el valor SOD 1209 fue 2 y, por lo tanto la cadena pertinente, es la segunda cadena. El servidor 1207 analizará la segunda cadena en relación con el PIN almacenado del usuario y la respuesta esperada para verificar que la respuesta coincide con el código TAC 1204 de la cadena 1230 inicial.

Tras la recepción de las nueve cadenas portadoras, el servidor 1207 conoce la posición del dígito saliente de la cadena portadora del TAC pertinente e instantáneamente tira las cadenas no pertinentes y procesa la cadena portadora del TAC correcto seleccionada. A continuación, el proceso de verificación en el servidor 1207 verifica el TAC correcto con la cadena de seguridad emitida y el número PIN del usuario. Si los tres se correlacionan, la autorización se completa y se transmite una nueva cadena de seguridad al applet del usuario.

Aunque en este ejemplo el número ha sido limitado a nueve líneas de trece dígitos más tres (3) dígitos de sistema por línea (totalizando 144 dígitos). Esto no significa que se limite el número de líneas o números que pueden usarse. Las nueve líneas de trece dígitos que totalizan 144 dígitos son, intencionadamente, menos que el paquete convencional general total para muchos dispositivos de 160 caracteres. Por lo tanto, manteniendo el tamaño de los dígitos por debajo de 160 mantiene la sobrecarga de procesamiento en un mínimo permitiendo una capacidad de procesamiento baja en aplicaciones WAP y dispositivos inalámbricos. Además, esta baja sobrecarga de procesamiento da como resultado tiempos de verificación extremadamente rápidos. El proceso de verificación también emplea una etapa de filtración seguida por un proceso matriz de una sola dimensión que no es un sistema de cálculo aritmético intensivo que necesitaría más tiempo de procesamiento.

Además, para los diversos esquemas de un solo canal y duales, el protocolo de baja sobrecarga de procesamiento, y el uso del múltiple revestimiento de seguridad de la cadena de seguridad de la presente invención también puede proporcionar un revestimiento de seguridad dentro de la interfaz de usuario. Las figuras 13a-13h representan diversos ejemplos de interfaz de usuario de las que un usuario puede proveerse para introducir un TAC del usuario. En los ejemplos proporcionados en 13a-13h el usuario recordaría su PIN personal como un patrón en lugar de una secuencia numérica. Como un ejemplo, si el usuario hubiera elegido usar la forma 1301 y se muestra la pantalla en la figura 13e, solo tendría que recordar que creó un PIN que crea una caja 1303 pequeña dentro de la forma 1301

descrita en la figura 13c. Cuando la pantalla está poblada con números aleatorios, entonces el usuario aplica su diseño elegido (es decir, la caja 1303 pequeña). En este ejemplo, el PIN del usuario de la caja 1303 sería “2389”. Por lo tanto, conociendo el PIN de “2389” y viendo los números generados aleatoriamente dentro de la pantalla 1302 aleatoria, el usuario vería que los números “7538” se corresponden con su localización de número PIN. Por lo tanto, el TAC del usuario para completar tal transacción o introducción en la base de datos, sería “7538”. Las interfaces de usuario descritas en las figuras 13a-13h son, simplemente, pantallas ejemplares y, así como numerosos colores y símbolos gráficos podrían incorporarse en la interfaz de usuario. Por lo tanto, el usuario podría crear una representación gráfica de su PIN sin la necesidad de recordar el número PIN de cuatro dígitos.

Otra característica de la presente invención que trata de la interfaz de usuario del sistema implica el uso de una interfaz de disuasión de PIN seguro. Cualquier dispositivo con un teclado o una interfaz sensible al tacto que pueda conectarse a una red o que es capaz de otro modo de descargar datos o código máquina puede tener la integridad de un sistema integrado de seguridad por contraseña o clave de entrada. Una forma en que puede integrarse el sistema es a través del uso de un programa troyano. Un programa troyano es un pequeño programa que recopila información del teclado para un uso posterior. También, un programa adicional puede recopilar la información de la contraseña o de la clave de entrada, pero finge un intento de inicio de sesión sin éxito en el último dígito de la entrada de inicio de sesión e ignora los intentos de seguir el inicio de sesión con el usuario real, adivinando el último dígito (esto se conoce como un programa "Sniffer"). Ambas técnicas requieren datos reales de un dispositivo de teclado o teclado numérico u otros dispositivos de entrada. Mientras que los datos pueden, mediante cifrado u otros medios, entregarse y reenviarse con seguridad hasta y desde el proceso real que ocurre en la unidad de procesamiento de los dispositivos, si el sistema de seguridad requiere la introducción de datos de usuario significativos para acceder u operar el sistema de seguridad, esos datos pueden interceptarse y retransmitirse reduciendo en gran medida la seguridad del sistema.

Aunque el teclado o pequeñas cantidades de otros datos de entrada pueden redirigirse o almacenarse con poca o sin ninguna indicación del usuario o impacto del rendimiento del sistema no puede decirse lo mismo para la pantalla gráfica del dispositivo, en la que la salida es de alto rendimiento y específica del dispositivo. La grabación de pantalla

o la captura de pantalla, es posible, pero hace un uso intensivo de recursos del sistema y por lo tanto es muy probable que se descubra por un usuario, especialmente, en un dispositivo de comparativamente bajo poder de procesamiento. Por lo tanto, podría ofrecerse un buen nivel de resistencia mediante una interfaz que proporcionase información a un sistema de seguridad que solo es significativo para ese sistema dentro del alcance de sus propios parámetros de interfaz de tiempo y en el que cualquier información de teclado capturada no tiene ningún significado externo. De manera similar, cualquier pantalla que se pueda grabar o la información de la pantalla capturada no debería afectar a la seguridad del sistema de inicio de sesión.

La introducción de un nombre de usuario, contraseña o número PIN en un ordenador, PDA, dispositivo móvil 2,5G o 3G tiene puntos débiles actualmente por las siguientes razones: (1) el usuario puede ser visto por espectadores introduciendo su número PIN en el dispositivo (llamado “shoulder surfing” ("navegar el hombro”)); (2) el teclado podría contener un “troyano” programa que registra el nombre de usuario, la contraseña o el número PIN introducidos (los troyanos se descargan sin el conocimiento del usuario en un ordenador y puede residir allí indefinidamente); (3) Los certificados PKI autentican que se realizó la transacción en un ordenador certificado, pero no autentican de manera eficaz al usuario detrás del ordenador; y (4) los ordenadores que ejecutan Microsoft Windows tienen un problema ya que Windows recuerda el nombre de usuario, la contraseña o el número PIN lo que crea una situación en la que el dispositivo almacena el I/D del usuario en el ordenador.

La disuasión de "radar" o la interfaz de usuario de PIN seguro de la presente invención logra un I/D de usuario positivo porque el usuario tiene que estar presente durante cada transacción. La interfaz de usuario de PIN seguro es resistente al troyano porque puede usarse cualquier tecla para introducir un PIN o TAC lo que hace inútil reproducir cualquier información clave interceptada por el troyano, como hace la información que aparece en pantalla.

Además, la interfaz de usuario es resistente a la navegación de hombro debido a que no hay nada que pueda deducirse mirando, ya sea en la pantalla o en la entrada de teclado, haciendo de la navegación de hombro un ejercicio inútil. Además, el sistema es resistente a la interceptación del PIN usando el protocolo (applet) de un solo canal y dual. El protocolo de la presente invención es único porque se transmite un TAC volátil cada vez que se realiza una transacción. El intento exitoso de interceptar/descifrar esta información no podría resultar en que el PIN real del usuario se vea comprometido.

Otra característica de la presente invención es que es un sistema multi-plataforma. La interfaz de usuario de PIN seguro funciona en una amplia variedad de ordenadores y aplicaciones debido a su bajo consumo de memoria y a una interfaz de usuario genérica simple. El protocolo y el sistema en su conjunto no son específicos del dispositivo y pueden ejecutarse en cualquier dispositivo, tal como un ordenador de uso público. El sistema no tiene que ejecutarse en un sistema informático de confianza, en el que se conozca la historia del programa. Sin un certificado digital necesario para el ordenador el usuario podría realizar una transacción en cualquier ordenador en todo el mundo.

Además, la interfaz de usuario es fácil de usar debido a que el usuario no necesita saber nada sobre el protocolo, los TAC y las cadenas de seguridad. El usuario del PIN seguro introduciría simplemente su PIN invariable a través de la interfaz de usuario de PIN seguro. Además, la interfaz de usuario de PIN seguro es una prueba de "tempestad" porque la interfaz no muestra el PIN o TAC del usuario (Pseudo PIN) en la pantalla, y por lo tanto, no está sujeto a las emisiones electromagnéticas desde la VDU que podría ser objeto de vigilancia a través de tecnologías de tempestad. La fuerte protección obtenida usando la interfaz de usuario de PIN seguro de la presente invención permite el uso de un PIN único seguro en una diversidad de cuentas con arquitecturas de seguridad diferentes que pueden alcanzarse usando un servidor de autorización de PIN central. Incluso si la cadena de seguridad reside en el dispositivo no es un problema ya que la presente invención no requiere un certificado digital y por lo tanto, no hay nada en la memoria del ordenador que comprometa el I/D del usuario si cae en las manos equivocadas.

La interfaz de usuario de PIN seguro implica un único método de introducir un número PIN en un ordenador, ATM, PDA, dispositivos móviles 2,5G o 3G. Las figuras 14 y 15a-15e son ejemplos representativos de las pantallas de la interfaz de usuario de PIN seguro. Cuando un usuario desea realizar una transacción en línea, el applet de PIN seguro se activará el cual proporcionará el "Inicio" de la interfaz de usuario mostrado en la figura 14. Al pulsar cualquier tecla en la pantalla TAC o PIN del ordenador del usuario se activa, a continuación, la pantalla de la interfaz de entrada. La interfaz puede activarse usando el teclado, el ratón o una pantalla táctil.

Como se ve en las figuras 15a -15e, la interfaz de PIN seguro comenzará ahora a mostrar (en este ejemplo en el sentido horario) 12 dígitos en secuencia (empezando con el 1 y terminando en el 12). Durante el ciclo de muestra, el usuario registra simplemente su PIN o TAC pulsando cualquier tecla en su teclado, ratón o cualquier lugar en la pantalla táctil cuando se ilumina el dígito que desean registrar. La pantalla de PIN seguro girará 4 veces, una vez para cada dígito de un número PIN de 4.

En la posición 12 hay un tiempo de permanencia para permitir al cliente responder al inicio del siguiente ciclo con precisión. Cuando el primer ciclo para el primer número PIN ha terminado, la pantalla comenzará de nuevo con otro ciclo. Los ciclos también pueden identificarse cambiando el color de la iluminación. Este proceso se repite 4 veces hasta que los 4 dígitos se introducen para determinar el PIN de 4 dígitos del usuario.

Por ejemplo, como se ve en las figuras 15a-15d, si el PIN del usuario era “2468”', entonces en el primer ciclo debería pulsarse el teclado cuando se iluminó el 2º dígito, véase la figura 15a. En el segundo ciclo el teclado debería pulsarse cuando se iluminó el 4º dígito (véase la figura 15b), en el tercer ciclo el teclado debería pulsarse cuando se iluminó el 6º dígito (véase la figura 15c) y en el cuarto ciclo el teclado debería pulsarse cuando se iluminó el 8º dígito (véase la figura 15d). Solo se ve una exposición en un momento determinado en la pantalla evitando que un espectador determine qué PIN se está introduciendo. Además, los colores cambiantes del fondo de pantalla y los dígitos mostrados pueden ser pseudo-aleatorios.

Después de que el usuario presione el teclado para registrar el primer dígito PIN TAC se activa un período de tiempo de ejecución aleatoria. La ejecución del proceso impide a los navegantes de hombro ver exactamente qué dígito se registró. Por ejemplo, como se ve junto con la figura 15a, cuando el usuario desea registrar el primer dígito, como el número 2, presionaría cualquier tecla en el teclado cuando se destaque el número 2 o el segundo dígito, sin embargo la pantalla continua iluminando los números o dígitos después del 2 todo el ciclo. El sistema también puede iluminar solo una parte de los números después del número seleccionado, tal como entre 0 a 4 dígitos después del número seleccionado, antes de la aceleración de la iluminación de todos los números hasta la finalización del ciclo. Un navegante de hombro vería el ciclo acelerar después de que se iluminasen los números 2, 3, 4, 5 o 6 y no sería capaz de determinar qué dígito se había registrado. Después de la ejecución del período, el sistema puede aumentar la velocidad del ciclo para completar el ciclo de manera que el usuario no tiene que actuar a través del tiempo de ciclo completo para ayudar a la rápida introducción del PIN. La ejecución del periodo es normalmente menor que el punto en el tiempo transcurrido desde la pulsación de la tecla al momento cuando el usuario empezaría a cuestionarse si se había hecho una selección positiva. A corto plazo, la memoria visual de un ser humano, es de un máximo de alrededor de tres segundos.

La ejecución del período y la velocidad del ciclo aumentada pueden aplicarse en los 4 ciclos o pantallas. El tiempo de permanencia entre los dígitos que se iluminan y el cambio de ciclos es pseudo-aleatorio para evitar programas troyanos de determinación de qué dígito se introdujo correlacionando la pantalla con el teclado y la velocidad de reloj del ordenador del usuario.

Como se ve en la figura 15e, la interfaz de usuario de PIN seguro puede utilizar también caracteres, letras o símbolos en lugar de números en la pantalla que permitiría al código o PIN del usuario ser cualquier grupo de símbolos o letras que deletrea una palabra. Además, como ha tratado anteriormente, en relación a la figura 9, la presente invención puede usarse para el acceso remoto de datos usando o el esquema de canal único o dual o el protocolo y la interfaz de PIN seguro.

Habilitar una base de datos existente con la interfaz de PIN seguro de la presente invención puede hacerse proporcionando un servidor de autenticación que registre el número PIN del usuario, las cadenas de seguridad emitidas y almacenadas y que correlacione el TAC recibido para autenticar la identificación del usuario.

Además, la interfaz de PIN seguro o interfaz de radar puede funcionar dentro de un procesador propietario de un ordenador, dentro de una configuración LAN y a través de Internet. Funcionando dentro de un procesador propietario de un ordenador, la interfaz de PIN seguro podría actuar como un protector de pantalla a prueba de pirateo, lo que significa que cuando un usuario inicia por primera vez su ordenador, se le presentará la interfaz. En consecuencia, el usuario debe introducir su PIN y si el usuario decide dejar el ordenador por un corto espacio de tiempo, en el que existe la oportunidad de un uso criminal de su ordenador, el usuario podría pulsar una tecla de función que activaría la interfaz de PIN seguro. Al regresar a su ordenador, él o ella simplemente haría clic en su ratón o cualquier tecla e introduciría su PIN a través de la interfaz de PIN seguro.

Además, si un usuario no logra introducir su dígito PIN durante cualquiera de los 4 ciclos de barrido, la presente invención permitirá la introducción del PIN de cuatro dígitos durante cualquier barrido (siempre que estén en la secuencia correcta). Esto significa que no se requiere pulsar un botón de "reinicio" a menos que el usuario haya cometido un error conscientemente.

Se discuten esquemas adicionales para emplear las características de seguridad, medidas, protocolos, interfaces y capas de la presente invención en relación con las figuras 16 a 23.

Como se ve en la figura 16, el servidor 1607 de autorización está conectado directamente a un servidor 1609 de pasarela principal del cliente. El servidor 1609 de pasarela principal es la conexión de la base de datos 1611 a Internet 1613 y se coloca fuera del cortafuegos 1615 que rodea a la base de datos de 1611 principal (esto es para asegurar que no puede ocurrir cualquier actividad de piratería dentro de la base de datos 1611). La configuración del acceso a datos remotos también puede emplear la interfaz 1623 de PIN seguro junto con el usuario 1601 y el dispositivo 1604 del usuario. El sistema puede emplear también un servidor o base de datos 1630 de respaldo.

El servidor 1607 de autorización puede configurarse para actuar como sistema de un solo canal o dual. Su arquitectura permite que el servidor 1609 de pasarela principal permita el acceso a la base de datos 1611 o a través de la presente invención o a través de su procedimiento de acceso existente. Esto significa que después de la instalación, las pruebas de acceso permitido pueden realizarse sin afectar a la configuración original.

La figura 17 muestra cómo puede accederse a múltiples clientes 1740, 1750 desde un usuario 1701, usando un número PIN. Esto se consigue instalando un servidor 1707 de autorización de PIN central que consolida las TAC recibidas con las cadenas de seguridad emitidas por cualquier cliente 1740, 1750 permitido.

La interfaz de PIN seguro puede aplicarse de diversas maneras, incluyendo el canal dual y un único canal: realizaciones de cliente ligero y Applet de un solo canal. En la aplicación de canal dual como se ve en la figura 18, el TAC del usuario se introduce a través de la interfaz 1823 de PIN seguro y se envía directamente a un servidor 1807 de autorización a través de Internet 1813. Con la aplicación de canal dual no se envía la cadena de seguridad al ordenador 1822 del usuario y en su lugar se envía al dispositivo 1804 móvil a través de SMS.

Como se ve en la figura 18, la cadena de seguridad se envía desde el servidor 1807 de autorización al dispositivo 1804 móvil del usuario. El usuario introduce el TAC a través de la interfaz 1823 de PIN seguro y el servidor 1807 de autorización recibe el TAC a través de Internet 1813.

En la aplicación de cliente ligero de un único canal, como se ve en la figura 19, el applet 1923 de la interfaz de PIN seguro reside en el servidor 1907 de autorización. El Usuario 1901 accede a este applet 1923 de forma remota desde cualquier ordenador 1922 y no necesita “preparar” el ordenador 1922 pre-descargando cualquier tipo de programa de antemano. Como se ve en la figura 19, el usuario accede al servidor 1907 de autorización y al applet 1923 a través de Internet 1913. El usuario 1901 introduce su PIN, que se correlaciona en la fuente o en el servidor 1907 de autorización.

En la aplicación applet de un solo canal, como se ve en la figura 20, el applet 2023 de la interfaz de PIN seguro reside en el ordenador 2022 del usuario. Solo es necesario descargar el applet 2023 una vez y se enviará automáticamente al ordenador 2022 del usuario durante el proceso de registro. La interfaz de PIN seguro se ha diseñado específicamente con un bajo consumo de memoria haciendo muy rápido el proceso de descarga y su uso.

Como se ve en la figura 20, el usuario accede al servidor 2007 de autorización a través de Internet 2013. El usuario 2001 introduce su PIN, que el applet 2023 convierte en un TAC (lo hace de forma automática usando la cadena de seguridad volátil residente en el applet 2023) y a continuación lo envía, a través de Internet 2013, para su correlación en el servidor 2007 de autorización.

La figura 21, muestra una aplicación de acceso a datos típica en la que un servidor 2107 de autorización se ha montado en un servidor 2109 de pasarela para acceder a una base de datos 2111. La figura 21 supone que el usuario 2101 se ha registrado en el sistema y tiene el applet 2123 de interfaz de PIN seguro en su ordenador. Para acceder a la información de la base de datos 2111 el servidor 2107 de autorización envía una nueva cadena de seguridad al ordenador del usuario o teléfono móvil G2 2104 a través de Internet 2113 o a través de una conexión 2151 inalámbrica. La cadena 2151 de seguridad reside en el dispositivo 2104 hasta que el usuario 2101 desea

acceder a la base de datos 2111.

El usuario 2101 envía su TAC volátil al servidor 2107 de autorización para confirmar su identidad. En el escenario de canal dual, el usuario obtiene su TAC del dispositivo 2104 móvil G2 a través de o la extracción visual (usando su PIN como un secuenciador) o un PIN inteligente o la extracción SIMM, en el que el usuario 2101 introduce su PIN en el dispositivo 2104 y los dígitos del TAC pertinente se muestran en la pantalla del dispositivo 2104. A continuación, se introduce el TAC en el ordenador del usuario (no mostrado). En el escenario de un solo canal el usuario introduce simplemente su PIN en la interfaz 2123 de PIN seguro. A continuación, se convierte el PIN en un TAC en el applet 2123 y se transmite a través de la ruta 2120 al servidor 2107 de autorización.

Solo cuando la identificación del usuario se confirma positivamente, correlacionando el TAC recibido con el PIN del usuario y con la cadena de seguridad emitida previamente, la solicitud 2130 de datos, a través del servidor 2109 de pasarela, se inicializa a través de la ruta 2130. Ahora, pueden enrutarse los datos solicitados a través de la ruta 2140 al ordenador del usuario.

La interfaz de PIN seguro no es necesaria si la cadena de seguridad entregada y la extracción del TAC se realizan en un segundo dispositivo tal como a través del protocolo de canal dual. Usando un teléfono móvil G2, un usuario puede recibir una cadena de seguridad y extraer el TAC independientemente del ordenador de acceso a datos. Esto significa que el TAC puede introducirse en el ordenador de acceso a datos sin el requisito de la interfaz de PIN seguro debido a que un TAC es inherentemente seguro contra la navegación del hombro, los troyanos, las tecnologías de tempestad y el robo en línea de la identificación del usuario.

La figura 22 muestra un esquema de servidor genérico/pasarela incorporando diversos aspectos de la presente invención. El esquema de servidor genérico seguro también puede incorporar una UPS (fuente de alimentación ininterrumpida), redundancia dual, disco espejo, un servidor 2245 Linux de Web y un cortafuegos 2215, el applet 2223 de seguridad de PIN, una base de datos 2207 de usuario y una función 2211 de informes de cualquier mantenimiento interno.

La figura 23 muestra la plataforma de integración genérica que muestra al servidor 2307 de autorización dentro un cortafuegos 2315. El servidor 2307 de autorización está conectado a un servidor 2317 de red y a una base 2311 de datos principal. La base 2311 de datos principal también puede estar dentro de su propio cortafuegos 2316.

Además, el proceso de autorización identifica al usuario a través de una respuesta en lugar de por la cuenta de identificación y sus parámetros que niega el llamado "Friendly Fraud" ("fraude amable") del mal uso de las garantías del fraude en línea. Un beneficio añadido es que también hay un registro de auditoría para el acceso a los archivos de la base de datos.

Cualquier referencia en el presente documento a un ordenador significa cualquier ordenador personal, ATM, PDA, dispositivo móvil G2.5, dispositivo móvil G3 o cualquier dispositivo con una CPU. Cualquier referencia en el presente documento a una transacción significa cualquier transacción financiera, procedimiento de acceso a datos remoto o cualquier transacción interfaz entre un usuario y un sistema. Los números en las diversas interfaces de usuario y pantallas son simplemente ejemplares y el uso de caracteres, letras, colores y semejantes pueden usarse individualmente o en combinación y todavía caen dentro del alcance previsto de la presente invención.

Claims

REIVINDICACIONES

1.

Un sistema de identificación codificada, comprendiendo el sistema un ordenador electrónico (1), un dispositivo de comunicaciones electrónico específico (3) que puede funcionar para estar en comunicación con el ordenador electrónico (1), y al menos un dispositivo de comunicaciones electrónico (4) que puede funcionar para estar en comunicación con el ordenador electrónico (1), donde el ordenador electrónico (1) incluye datos relativos al dispositivo de comunicaciones electrónico específico (3), incluyendo un código de identificación permanente, un código de máscara (1202) y un código de identificación que permite la comunicación electrónica entre el ordenador electrónico (1) y el dispositivo de comunicaciones electrónico específico (3), y donde el código de identificación permanente se introduce en al menos un dispositivo de comunicaciones electrónico (4) y se transmite al ordenador electrónico (1), el ordenador electrónico (1) genera una cadena pseudo-aleatoria (1203) y la transmite al dispositivo de comunicaciones electrónico específico (3), el código de máscara (1202) se aplica a la cadena pseudo-aleatoria (1203) con el fin de generar un código de identificación volátil (1204) de acuerdo con reglas predeterminadas, el código de identificación volátil (1204) se transmite de nuevo al ordenador electrónico (1) por el dispositivo de comunicaciones electrónico específico (3) o por el al menos un dispositivo de comunicaciones electrónico (4), el ordenador electrónico (1) comprueba el código de identificación volátil (1204) transmitido al mismo contra un código de identificación volátil (1204)obtenido aplicando el código de máscara (1202) a la cadena pseudo-aleatoria (1203) de acuerdo con reglas predeterminadas, y en el que se hace una identificación positiva cuando se comprueba que los códigos de identificación volátiles (1204) coinciden mediante el ordenador electrónico (1); donde:

i) la cadena pseudo-aleatoria (1203) comprende una primera serie lineal de caracteres, teniendo cada carácter una posición numérica determinada en la primera serie (primero, segundo, tercero, etc.); ii) el código de máscara (1202) comprende una segunda serie lineal de números, teniendo cada número una posición numérica determinada en la segunda serie (primero, segundo, tercero, etc.); y iii) las reglas predeterminadas para aplicar el código de máscara (1202) a la cadena pseudo-aleatoria (1203) con el fin de generar el código de identificación volátil (1204) son para seleccionar secuencialmente las posiciones numéricas de la primera serie correspondientes a los números de la segunda serie, tomadas en un orden posicional, y de este modo devolver los caracteres seleccionados a partir de la primera serie en secuencia con el fin de formar una tercera serie lineal, formando esta tercera serie lineal el código de identificación volátil (1204).
2.

Un sistema de acuerdo con la reivindicación 1, donde el dispositivo de comunicaciones electrónico específico (3) y el al menos un dispositivo de comunicaciones electrónico (4) son el mismo dispositivo.
3.

Un sistema de acuerdo con la reivindicación 1, donde el dispositivo de comunicaciones electrónico específico (3) y el al menos un dispositivo de comunicaciones electrónico (4) son dispositivos independientes.
4.

Un sistema de acuerdo con cualquier reivindicación anterior, donde el dispositivo de comunicaciones específico

(3) es un teléfono móvil, un buscapersonas o un asistente digital personal.
5.

Un sistema de acuerdo con la reivindicación 3 o la reivindicación 4 dependiente de la reivindicación 3, donde el al menos un dispositivo de comunicaciones electrónico (4) es un terminal EFTPOS o similar.
6.

Un sistema de acuerdo con cualquier reivindicación anterior, donde el código de identificación permanente se suministra en forma de una tarjeta que tiene marcas legibles por máquina y/o por personas.
7.

Un método para identificar un dispositivo de comunicaciones electrónico específico (3) o un usuario del mismo para un ordenador electrónico (1) que tiene almacenado en su interior los datos relativos al dispositivo de comunicaciones electrónico específico (3) o del usuario del mismo, incluyendo un código de identificación permanente, un código de máscara (1202) y un código de identificación que permite la comunicación entre el ordenador electrónico (1) y el dispositivo de comunicaciones electrónico específico (3), donde el código de identificación permanente se introduce en al menos un dispositivo de comunicaciones electrónico (4) y se transmite de este modo al ordenador electrónico (1), el ordenador electrónico (1) asocia el código de identificación permanente con el código de identificación que permite la comunicación entre ellos y el dispositivo de comunicaciones electrónico específico (3) y genera una cadena pseudo-aleatoria (1203) antes de transmitirlo al dispositivo de comunicaciones electrónico específico (3), el código de máscara (1202) se aplica a la cadena pseudo-aleatoria (1203) de acuerdo con reglas predeterminadas con el fin de generar un código de identificación volátil (1204), el código de identificación volátil (1204) se introduce en el dispositivo de comunicaciones electrónico específico (3) o en el al menos un dispositivo de comunicaciones electrónico (4) y se transmite al ordenador electrónico (1) donde se compara con un código de identificación volátil (1204) generado en su interior aplicando el código de máscara (1202) a la cadena pseudo-aleatoria (1203), y se hace una identificación positiva cuando coinciden los códigos de identificación volátil (1204), donde:

i) la cadena pseudo-aleatoria (1203) comprende una primera serie lineal de caracteres, teniendo cada carácter una posición numérica determinada en la primera serie (primero, segundo, tercero, etc.); ii) el código de máscara (1202) comprende una segunda serie lineal de números, teniendo cada número una posición numérica determinada en la segunda serie (primero, segundo, tercero, etc.); y iii) las reglas predeterminadas para aplicar el código de máscara (1202) a la cadena pseudo-aleatoria (1203) con el fin de generar el código de identificación volátil (1204) son para seleccionar secuencialmente las posiciones numéricas en la primera serie correspondientes a los números en la segunda serie, tomadas en un

5 orden posicional, y de este modo devolver los caracteres seleccionados a partir de la primera serie en secuencia con el fin de formar una tercera serie lineal, formando esta tercera serie lineal el código de identificación volátil (1204).
8. Un método de acuerdo con la reivindicación 7, donde la cadena pseudo-aleatoria (1203) contiene al menos un 10 carácter que es representativo de alguna condición de los datos relacionados con la persona.
9. Un método de acuerdo con la reivindicación 7 u 8, donde el dispositivo de comunicaciones electrónico específico

(3) y el al menos un dispositivo de comunicaciones electrónico (4) son el mismo dispositivo.

15 10. Un método de acuerdo con la reivindicación 7 u 8, donde el dispositivo de comunicaciones electrónico específico

(3) y el al menos un dispositivo de comunicaciones electrónico (4) son dispositivos independientes.
11. Un método de acuerdo con la reivindicación 9 o 10, donde el dispositivo (3) de comunicaciones específico es un

teléfono móvil, un buscapersonas o un asistente digital personal. 20
12. Un método de acuerdo con la reivindicación 10 o la reivindicación 11 dependiente de la reivindicación 10, donde el al menos un dispositivo de comunicaciones electrónico (4) es un terminal EFTPOS o similar.