ES2924068T3

ES2924068T3 - Terminal móvil para la adquisición de datos biométricos

Info

Publication number: ES2924068T3
Application number: ES18210476T
Authority: ES
Inventors: Dr Andreas Wolf; Dr Joachim Küter
Original assignee: Bundesdruckerei GmbH
Current assignee: Bundesdruckerei GmbH
Priority date: 2014-07-10
Filing date: 2015-07-08
Publication date: 2022-10-04
Anticipated expiration: 2035-07-08
Also published as: EP2977925B1; EP2977925A1; EP3486821A1; DE102014109682B4; EP3486822A1; EP3486821B1; PT3486821T; US20160012217A1; US10572638B2; DE102014109682A1; CN105260634A; CN105260634B; EP3486822B1

Abstract

La invención se refiere a un terminal móvil (104) para la captura de datos biométricos (BD) de un usuario (112). El terminal comprende: - una memoria de datos (216) con una prueba de autorización (BN) y una especificación de área; - un módulo de autenticación (304); - un sensor (208, 210) para detectar datos biométricos del usuario; - una unidad de localización (230) para detectar una posición actual del terminal móvil; - una unidad de control (316), que está configurada para detectar automática o semiautomáticamente los datos biométricos (BD) del usuario por medio del sensor solo si la autenticación mutua exitosa del usuario y el terminal móvil; - Una unidad de control (308) para comprobar automáticamente la autenticidad de los datos biométricos registrados. La unidad de control está configurada para almacenar los datos biométricos capturados en el almacenamiento de datos (216) en forma protegida solo si los datos biométricos capturados se verifican como genuinos y la posición actual capturada del terminal está dentro de la especificación del área geográfica. El módulo de autenticación (304) está configurado para autenticar un operador (106) en el terminal móvil utilizando datos de autenticación adicionales (AD3) asignados al operador. La unidad de control está configurada para permitir la lectura de los datos biométricos almacenados de forma protegida sólo en caso de autenticación exitosa del operador, para transmitir los datos biométricos leídos a un documento de seguridad (116). (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN

Terminal móvil para la adquisición de datos biométricos

La invención se refiere a un terminal móvil para adquirir datos biométricos de un usuario y a un procedimiento correspondiente.

A partir de la técnica anterior, se conocen distintos procedimientos para adquirir datos biométricos de un usuario, por ejemplo, con el fin de emitir un pasaporte electrónico o una tarjeta de identificación de empresa que deban contener los datos biométricos. A tal efecto, la autoridad o el organismo que expide el documento de identidad pone a disposición en los locales de la autoridad o del organismo expedidor el equipo correspondiente, que es operado por personal especializado.

La solicitud de patente de EE.UU. US20110311111 A1 describe un sistema para la autoadquisición de datos biométricos. El sistema incluye un procesador, un escáner, una impresora y una base de datos segura. El procesador activa el escáner para hacer que éste capture una imagen digital biométrica. Además, se calcula y se visualiza un valor de puntuación que refleja la calidad de zonas de la imagen.

La solicitud de patente EP EP2381427 A1 describe un procedimiento para la renovación automática de un documento de identidad. En primer lugar, se registra un documento de identidad actual con datos identificativos actuales. Además, se registran datos relativos a una nueva identificación de una persona. Al menos un parámetro de la nueva identificación se compara con al menos un parámetro del documento de identificación actual, para determinar así si los dos datos de identificación pertenecen a la misma persona. Si éste es el caso, la nueva identificación se transmite a un centro para la emisión de un nuevo documento de identidad.

El documento de patente de EE.UU. US8036431 B1 describe un aparato portátil para adquirir de forma dinámica huellas dactilares, imágenes faciales e imágenes de la escena de un crimen, que se transmiten a un sistema anfitrión centralizado para la verificación de identidad. La solicitud de patente de EE.UU. US20130208103 A1 describe una pantalla electrónica para facilitar la autenticación. La pantalla electrónica incluye una cámara, un micrófono, un sensor de huellas dactilares, un lector de tarjetas, una pantalla táctil y una interfaz de comunicación para adquirir automáticamente datos biométricos y otros datos de identificación. La adquisición se realiza para autenticar a un usuario que solicita acceso al aparato de visualización.

Mobile Terminale (Speed Capture G3), (PRIME MOBILE ENROLLMENT KITS) y el documento de patente de EE.UU. (US 8 296 573 B2) divulgan todos ellos un terminal móvil que posibilita extraer datos biométricos. Sin embargo, la diferencia con la invención es que todavía requiere un asistente y no se puede enviar de forma independiente al usuario final para posibilitar la adquisición de datos biométricos sin asistencia.

La invención se expone en las reivindicaciones independientes, otros aspectos de la invención se describen en las reivindicaciones dependientes.

En cambio, el objetivo de la invención es poner a disposición un procedimiento mejorado y un terminal mejorado para la adquisición de datos biométricos.

Los objetivos en los que se basa la invención se logran cada uno con las características de las reivindicaciones independientes. En las reivindicaciones dependientes se indican formas de realización de la invención. Las formas de realización mencionadas a continuación se pueden combinar libremente entre sí, siempre que no sean mutuamente excluyentes.

Un "documento de seguridad" es un documento que comprende una o varias características de seguridad destinadas a dificultar o imposibilitar la duplicación y/o falsificación del documento de seguridad y que están almacenadas o estampadas en el documento de seguridad o unidas físicamente de otro modo al mismo. La información almacenada en el documento de seguridad puede incluir, por ejemplo, los siguientes datos: un nombre, una fecha de nacimiento, un lugar de nacimiento, un lugar de residencia, una nacionalidad, una estatura, una designación de sexo y datos biométricos de la persona a la que está asignado el documento de seguridad. Los datos biométricos pueden incluir, por ejemplo, una foto de pasaporte, datos de huellas dactilares, información del iris, información del rostro, etc. Además de estos datos personales, un documento de seguridad también puede comprender información que identifique el documento de seguridad mismo, por ejemplo, un número de identificación y elementos de seguridad característicos. Un documento de seguridad puede ser, por ejemplo, un medio de pago, por ejemplo, una tarjeta de crédito, o un documento de identidad. El documento de identidad puede ser, por ejemplo, un pasaporte, un documento nacional de identidad, una tarjeta de identidad, un permiso de conducir, una tarjeta de identificación de empresa, etc.

Un "terminal" es un equipo terminal de usuario para recibir y visualizar datos. Un terminal puede contener una interfaz sin contacto o basada en contacto para el intercambio de datos con un documento de seguridad.

Por "autenticación de una primera entidad ante una segunda entidad" se entiende la provisión de una prueba de una propiedad afirmada de la primera entidad a la segunda entidad. La primera y/o la segunda identidades pueden ser, por ejemplo, una persona, un aparato, un documento o un objeto de datos. El término "autenticación" pretende comprender aquí tanto la provisión de la prueba por parte de la primera entidad como la verificación de esta prueba por parte de la segunda entidad, de acuerdo con la práctica en el mundo de habla inglesa. Los valores de datos que sirven de tal prueba en el curso de la autenticación se denominan en lo que sigue "datos de autenticación".

Los "datos biométricos'' son datos que pueden utilizarse para identificar personas mediante procedimientos de reconocimiento automático. Los datos biométricos pueden incluir, por ejemplo, los siguientes datos de una persona: estatura, color de ojos, imagen de las líneas del dedo, geometría facial, patrón del iris o la retina, estructura de las líneas de la mano, patrón de las venas de la mano, patrón del lecho ungueal, huella dental, perfil de voz, firma y ADN (huella genética).

Una "credencial" identifica a una entidad como autorizada para realizar una función determinada. Una credencial es, por ejemplo, un conjunto de uno o más valores de datos, que especifica qué datos personales, por ejemplo, datos biométricos, pueden ser adquiridos por un terminal móvil de un usuario. Además, una credencial también puede especificar qué datos se pueden leer de un documento de seguridad, por ejemplo, un documento de identidad electrónico, por ejemplo, para que el titular del documento de identidad pueda autenticarse ante un servicio o terminal mediante la función eID (identificación electrónica) del documento de identidad. Por lo tanto, una credencial puede posibilitar una autenticación mutua de usuario y proveedor de servicios o usuario y terminal.

Una credencial puede estar configurada como un "certificado de autorización" o incluirlo. Un certificado de autorización es una certificación electrónica, por ejemplo, en forma de archivo, que se verifica mediante el chip del documento de seguridad (por ejemplo, documento de identidad) antes de cada proceso de lectura. Puede determinar qué datos personales y relacionados con el documento de identidad puede leer del documento de identidad del usuario el proveedor de un servicio o un terminal de este proveedor. Para poder adquirir un certificado de autorización, por ejemplo, en Alemania, un proveedor de servicios, por ejemplo, un emisor de un documento de seguridad personalizado, puede necesitar una autorización de la entidad adjudicadora estatal de certificados de autorización (VfB) en la Oficina Federal de Administración. Los proveedores de servicios que deseen utilizar la función de identificación en línea (función eID) del nuevo documento de identidad pueden identificarse ante el usuario con un certificado de autorización.

En un aspecto, la invención se refiere a un terminal móvil para adquirir datos biométricos de un usuario. El terminal comprende una memoria de datos, un módulo de autenticación y un sensor para la adquisición de datos biométricos del usuario. La memoria de datos contiene una credencial que está asignada específicamente al usuario. La credencial identifica al terminal móvil como autorizado para adquirir y almacenar los datos biométricos del usuario.

El módulo de autenticación está configurado para autenticar al usuario ante el terminal móvil mediante datos de autenticación asignados al usuario. Además, el módulo de autenticación está configurado para autenticar el terminal móvil ante el usuario mediante la credencial almacenada. El módulo de autenticación está configurado además para autenticar a un operador ante el terminal móvil mediante datos de autenticación adicionales asignados al operador.

Además, el terminal incluye una unidad de control y una unidad de verificación. La unidad de control está configurada para adquirir de forma automática o semiautomática los datos biométricos del usuario por medio del sensor sólo si el usuario y el terminal móvil se autentican mutuamente con éxito.

La unidad de verificación está configurada para verificar automáticamente la autenticidad de los datos biométricos adquiridos.

La unidad de control está configurada de manera que almacena los datos biométricos adquiridos en la memoria de datos de forma protegida sólo si los datos biométricos adquiridos son auténticos según la verificación realizada por la unidad de verificación. La unidad de control está configurada además para, sólo en caso de una autenticación exitosa del operador ante el terminal, posibilitar una lectura de los datos biométricos almacenados protegidos para transmitir los datos biométricos leídos a un documento de seguridad.

El uso de un terminal móvil de este tipo puede ser ventajoso, ya que la confiabilidad de los datos biométricos así obtenidos puede ser muy alta, y esto sin tener que poner a disposición una infraestructura de inscripción que es costosa para ambas partes: no es necesario que las autoridades instalen terminales de inscripción correspondientes en sus instalaciones y formen a personal propio en el manejo a menudo complejo de los aparatos costosos y difíciles de manejar, ni el usuario cuyos datos biométricos han de adquirirse tiene que aceptar hacer un viaje especialmente para visitar estas instalaciones de la autoridad. Por lo tanto, ninguna de ambas partes pierde tiempo para acordar una cita y para el trayecto. Esto puede ser muy ventajoso para el usuario, especialmente en áreas rurales o países con una infraestructura poco desarrollada y/o largas distancias hasta el centro más cercano de la autoridad, y también puede ser ventajoso, especialmente para oficinas más pequeñas de autoridades, no tener que mantener la infraestructura técnica necesaria para la adquisición de datos biométricos mediante terminales o los conocimientos técnicos necesarios. El uso del terminal móvil descrito puede ser particularmente ventajoso en situaciones en las que el usuario esté inmóvil, por ejemplo, por razones de salud, por razones de edad o porque está en prisión. Si el usuario ejerce una actividad en el extranjero, un viaje a su país sólo con el fin de una adquisición segura y -desde el punto de vista de la autoridad- confiable de los datos biométricos puede significar un esfuerzo desproporcionadamente alto.

Según algunas formas de realización, el terminal móvil está configurado de forma que evalúa la credencial y sólo activa y utiliza los sensores destinados a la adquisición de datos biométricos que el terminal también está autorizado a recoger según la especificación de la credencial.

Según algunas formas de realización, la autenticación del terminal ante el usuario se realiza almacenando un certificado de autorización en la memoria del terminal móvil en el curso de la personalización del terminal. El certificado de autorización puede especificar que un terminal con este certificado de autorización está autorizado para leer datos descriptivos del usuario de otros documentos de identidad aún vigentes del usuario y/o también está autorizado para leer o adquirir de nuevo y almacenar datos biométricos de cierto tipo. Una personalización del terminal se entiende aquí como la preparación del terminal para el envío a este usuario en particular para la adquisición selectiva de datos biométricos sólo de este usuario. El certificado de autorización puede verificarse mediante un servidor eID por medio de un chip del documento de identidad o pasaporte aún vigente del usuario. El terminal móvil puede estar configurado de forma que el procedimiento para la adquisición de los datos biométricos se continúe, y los sensores del terminal que sirven para la adquisición de los datos biométricos especificados en el certificado se activen, sólo si el terminal se ha podido identificar como autorizado (“autenticar”) ante el usuario.

De acuerdo con algunas formas de realización, una autenticación del usuario ante el terminal se realiza por medio de otro documento de seguridad aún vigente, por ejemplo, mediante un documento de identidad aún vigente. Esto puede hacerse, por ejemplo, por el método de que un operador o emisor de documentos almacene datos personales del usuario como valores de referencia en el terminal durante la personalización del terminal móvil. Los valores de referencia pueden incluir, por ejemplo, el nombre y la dirección del usuario que solicitó el envío del terminal móvil con el fin de la (nueva) emisión de un documento de seguridad del emisor de documentos. Después de que el terminal haya sido autenticado ante el documento de seguridad aún vigente del usuario, el terminal puede leer de este documento de seguridad datos personales del usuario y compararlos con los valores de referencia almacenados. Si los datos comparados (por ejemplo, la dirección y el nombre del usuario) coinciden, el usuario se ha autenticado con éxito ante el terminal y ha demostrado que la persona que recibió el terminal personalizado es también la persona para la que se personalizó el terminal. También es posible que en el curso de la personalización se almacene en el terminal móvil un valor de referencia cualquiera, por ejemplo, un número aleatorio. Este valor de referencia aleatorio se transmite al usuario por separado, por ejemplo, por carta, SMS, correo cifrado o similar. Al poner en servicio el terminal móvil, el usuario puede introducir este valor de referencia, por ejemplo, a través de un teclado de terminal, para autenticarse ante el terminal.

El hecho de que el terminal móvil pueda comprender dicho módulo de autenticación puede ser ventajoso, ya que de este modo se podría evitar que un tercero “le cuele” al usuario un terminal manipulado para espiar los datos biométricos del usuario. El terminal móvil puede adquirir y almacenar los datos biométricos y, después de su devolución a la autoridad, ponerlos a disposición de la autoridad sólo si el usuario y el terminal se han autenticado con éxito entre sí. El almacenamiento protegido, por ejemplo, cifrado, de los datos biométricos en el terminal podría aumentar aún más la seguridad de los datos, por ejemplo, para proteger los datos contra un acceso por parte de terceros si el terminal móvil se perdiese en la oficina de correos durante la devolución. Con estas medidas, el usuario puede, por tanto, confiar en la protección de sus datos biométricos, aunque el terminal se transporte por correo ordinario, y confiar en que el terminal procede realmente del emisor de documentos digno de confianza y que sólo éste podrá leer los datos biométricos. Por otro lado, sin embargo, también se puede garantizar que la autoridad pueda fiarse de la correcta asignación y la autenticidad de los datos biométricos adquiridos. Esto puede garantizarse por el hecho de que el usuario también debe autenticarse ante el terminal antes de que se adquieran los datos y mediante la unidad de verificación que, según el tipo de datos biométricos registrados (huella digital, imagen facial, vena de la mano, etc.), también implementa un procedimiento de verificación adecuado para la protección contra “ataques de presentación”. Por ejemplo, el procedimiento de verificación podría incluir la verificación de que la imagen facial adquirida no proviene de una fotografía colocada frente al sensor o que los datos de la huella digital no provienen de una imitación de huella digital de alginato. De esta forma, la autoridad que pone a disposición el terminal móvil también podría asegurarse de que los datos biométricos adquiridos provienen de la persona que solicitó el terminal, sin necesidad de que, cuando se adquieren los datos, tenga que estar presente personal formado especialmente para este fin (protección contra "ataques de presentación").

Según algunas formas de realización, el sensor consiste en un sistema de cámara para adquirir datos de imagen como datos biométricos. Por ejemplo, los datos de imagen pueden ser datos de imagen del rostro del usuario y/o datos de imagen de un iris del usuario. El sistema de cámara puede constar de una sola cámara o de varias cámaras, por ejemplo, de una cámara para imágenes de luz blanca, por ejemplo, para imágenes de rostros, y de una cámara para imágenes tomadas en el infrarrojo cercano (NIR), por ejemplo, imágenes de iris. Adicionalmente o como alternativa, el sensor puede consistir en o comprender un sensor de huellas dactilares. El sensor de huellas dactilares sirve para adquirir datos de huellas dactilares del usuario como datos biométricos. Adicionalmente o como alternativa, el sensor puede consistir en o comprender un sensor para un patrón de venas de la mano y/o un patrón de retina y/o un patrón de lecho ungueal y/o una tableta de firmas y/o un micrófono para detectar un perfil de voz y/u otros tipos de sensores biométricos. También son posibles combinaciones de uno o varios de los sensores aquí mencionados. Por ejemplo, un sensor para patrones de venas de la mano puede ser una cámara de infrarrojos. En las siguientes solicitudes de patentes coreanas, por ejemplo, se describen procedimientos correspondientes para la adquisición de datos: KR102003020152A: "SYSTEM AND METHOD FOR RECOGNIZING BLOOD VESSEL PATTERN ON BACK OF HAND FOR IDENTIFYING PERSON", KR102003002954A: "DEVICE AND METHOD FOR RECOGNIZING BLOOD VESSEL PATTERN ON BACK OF HAND FOR PERSONAL IDENTIFICATION" y KR102002092522A: "METHOD AND APPARATUS FOR IDENTIFYING PERSON BY USING FINGERPRINT OF FINGER JOINT".

Esto puede ser ventajoso, ya que cada una de estas características biométricas y en particular una combinación de varias de las características biométricas mencionadas permite una identificación muy segura y fiable de la persona de la que proceden dichas características biométricas.

Según algunas formas de realización, el terminal móvil comprende además un módulo de verificación de calidad para verificar automáticamente la calidad de los datos biométricos adquiridos. Los datos biométricos adquiridos sólo se almacenan en el terminal móvil si los datos biométricos adquiridos cumplen además requisitos mínimos de calidad predefinidos. Esto puede ser ventajoso porque de este modo se puede evitar que, por ejemplo, debido a un error de manejo se adquieran y se envíen de vuelta a la autoridad junto con el terminal móvil datos biométricos cuya calidad no sea suficiente para, por ejemplo, dotar de los mismos un documento de identificación. De esta manera, podrían evitarse una nueva petición, un nuevo envío y una nueva devolución del terminal móvil, lo que sería costoso y requeriría mucho tiempo. Dado que la unidad de verificación realiza la verificación y emite preferiblemente un mensaje de aviso que posibilita al usuario corregir un error de manejo, se puede suprimir el requisito anterior de que durante el proceso de inscripción esté presente personal técnicamente formado.

La verificación de calidad puede incluir, por ejemplo, una verificación de datos de imagen para determinar si el fondo es monótono, si el rostro está suficiente y uniformemente iluminado, si el rostro aparece en la imagen con un tamaño y una resolución suficientes, si las líneas de los dedos presentan suficiente contraste, etc. La verificación de calidad también puede incluir que el terminal seleccione una o varias tomas entre una pluralidad de tomas de datos biométricos hechas, por ejemplo, entre una pluralidad de imágenes faciales o escaneos de huellas dactilares, y almacene selectivamente sólo las tomas seleccionadas que presenten la mayor calidad y satisfagan los requisitos mínimos de calidad. La evaluación de la calidad de los datos biométricos del usuario se puede realizar, por ejemplo, según uno de los procedimientos divulgados en la solicitud de patente alemana DE 102006005617 ("Verfahren zur Bewertung der Qualitat eines Bildes [...]"). En este contexto se pueden evaluar, entre otros, los siguientes parámetros: tamaño de archivo, espacio de color, intensidad de color, brillo, contraste, dinámica, nitidez, altura de la imagen, ancho de la imagen, relación de aspecto, ruido, número de objetos que se muestran en la imagen, número de ojos, distancia entre los ojos, posición de la cabeza, relación entre el ancho de la cabeza y el ancho de la imagen o la altura de la imagen, etc.

Según algunas formas de realización, el módulo de calidad puede interoperar con un dispositivo de iluminación. Si el módulo de verificación de calidad determina que la calidad de las tomas es mala debido a reflejos de luz en cristales de gafas, el módulo de verificación de calidad puede cambiar automáticamente la intensidad y/o la posición y/o la orientación del dispositivo de iluminación de tal manera que los reflejos se reduzcan o se eviten por completo en futuras tomas.

Según algunas formas de realización, el terminal móvil tiene forma de maleta y presenta al menos un asa de transporte, una parte de base y una parte de tapa.

Por maleta se entiende aquí en términos generales un recipiente que se puede abrir y cuyas dimensiones y peso están configurados de manera que pueda ser transportado por un adulto, o sea, que presente preferiblemente unas dimensiones máximas de 60 cm x 60 cm x 120 cm y un peso máximo de 31,5 kg. Según algunas formas de realización, el terminal móvil tiene unas dimensiones máximas de 56 cm x 45 cm x 25 cm y un peso máximo de 31,5 kg.

Según algunas formas de realización, el sensor comprende un sistema de cámara que puede estar instalado en el lado interior de la parte de tapa. Adicionalmente o como alternativa, el sensor comprende un sensor de huellas dactilares, que puede estar instalado en el lado interior de la parte de base. Adicionalmente o como alternativa, la parte de tapa comprende un dispositivo de visualización en su lado interior. Éste sirve para mostrar indicaciones de manejo al usuario durante la adquisición de los datos biométricos. Dichas características pueden ser ventajosas, ya que las dimensiones y la forma de una maleta pueden posibilitar un transporte cómodo. Mediante la instalación del sistema de cámara en la parte de tapa, la cámara puede, en caso dado, estar posicionada ya por la apertura de la tapa de modo que el rostro de una persona sentada en una silla frente a una mesa se capte de manera aproximada cuando la maleta está abierta sobre la mesa.

Según algunas formas de realización, el terminal en forma de maleta tiene un lado estrecho y un lado largo, siendo el lado largo más largo que el lado estrecho. Preferiblemente, la parte de tapa y la parte de base están unidas entre sí de manera pivotante en el lado estrecho. Esto puede hacer posible que, cuando se abre la tapa de un terminal colocado sobre una mesa, también puedan captarse con la cámara personas altas sentadas en una silla frente a esta mesa.

Según algunas formas de realización, la parte de tapa comprende un espejo semitransparente además del sistema de cámara. El espejo semitransparente puede orientarse automática y/o manualmente de tal manera que el espejo semitransparente esté colocado entre el usuario y el sistema de cámara. El espejo semitransparente está orientado de tal manera que, en el lado del espejo semitransparente que mira hacia el usuario, la trayectoria de los rayos de luz que inciden en el espejo semitransparente es paralela a la trayectoria de los rayos de la parte de esta luz reflejada de vuelta por el espejo semitransparente. Esto puede ser ventajoso, ya que la luz reflejada por el espejo semitransparente va así en dirección al rostro del usuario siempre que los rayos de luz que inciden en el espejo partan del rostro del usuario. Los rayos reflejados pueden proporcionar información al usuario sobre si está colocado a la distancia correcta de la abertura de incidencia de luz de la cámara y/o si su rostro está colocado a la altura correcta. El usuario puede, por ejemplo, reconocer el posicionamiento correcto de la entrada de luz mirando directamente "a los ojos" de su imagen especular creada por el espejo semitransparente.

En este contexto, el espejo semitransparente cubre preferiblemente el sistema de cámara y tiene un tamaño suficiente, por ejemplo, al menos 5 cm x 5 cm, para que su reflejo de luz proporcione al usuario una señal de respuesta sobre la imagen de cámara que se puede esperar. El espejo semitransparente también puede contener una marca de posición, por ejemplo, un marco rectangular, cuyo tamaño y posición estén adaptados a la óptica del sistema de cámara de tal manera que los rayos de luz que atraviesen el espejo semitransparente por dentro de esta marca de posición sean captados por el sistema de cámara. Estos rayos de luz captados también pueden contener los datos biométricos, por ejemplo, una imagen facial del usuario. Sin embargo, el sistema de cámara no capta los rayos de luz que atraviesen el espejo semitransparente por fuera de esta marca de posición. En consecuencia, la posición relativa de los rayos reflejados dentro y fuera de la marca de posición también puede proporcionar al usuario información sobre qué partes de su rostro se capturarían precisamente como datos biométricos si el usuario, por ejemplo, activara un botón de disparo del sistema de cámara.

Según algunas formas de realización, el terminal móvil comprende además una primera y una segunda disposiciones de espejo, que están dispuestas en el lado del espejo semitransparente opuesto a la persona de tal manera que la parte de la luz que se transmite a través del espejo semitransparente e incide en la segunda disposición de espejo se dirige mediante la segunda disposición de espejo a la primera disposición de espejo, estando dispuesta la primera disposición de espejo de tal manera que esta parte transmitida de la luz dirigida a la primera disposición de espejo se refleja en el sistema de cámara, estando acoplada la posición de una entrada de luz para el sistema de cámara a la posición del espejo semitransparente. El uso de una primera y una segunda disposiciones de espejo de este tipo puede ser ventajoso, ya que la trayectoria de los rayos se puede alargar dentro del terminal. La desviación de la trayectoria de los rayos puede posibilitar una colocación del sistema de cámara en la parte inferior de la parte de tapa abierta, lo que a su vez puede posibilitar una construcción más estrecha de la parte de tapa y, por lo tanto, una construcción más compacta del terminal en conjunto. Una trayectoria de los rayos más larga también puede ser ventajosa, ya que de este modo se puede aumentar el intervalo de profundidad de campo, lo que puede mejorar la calidad de la imagen. Además, al alargar la trayectoria de los rayos entre la lente de la cámara y el rostro del usuario, se pueden impedir o al menos reducir los efectos de distorsión. Los efectos de distorsión en la imagen facial ("efecto de nariz bulbosa" en imágenes de máquinas automáticas) pueden reducir la calidad de las tomas y afectar negativamente el rendimiento de los procedimientos biométricos.

El uso de disposiciones de espejo puede tener además la ventaja de que la cámara puede estar montada en cualquier orientación en relación con el usuario, por ejemplo, también apuntando hacia abajo, de modo que se puede evitar un ensuciamiento de la cámara.

Según algunas formas de realización, la primera disposición de espejo y/o la segunda disposición de espejo se pueden desplazar paralelamente a la trayectoria de los rayos de la parte de la luz transmitida por el espejo semitransparente entre la primera disposición de espejo y la segunda disposición de espejo. Esto puede ser ventajoso, ya que, por ejemplo, la segunda disposición de espejo puede estar acoplada a la entrada de luz de la cámara y al espejo semitransparente delante de la entrada de luz y, por lo tanto, se puede mover, por ejemplo, verticalmente junto con esta entrada de luz y el espejo semitransparente, por ejemplo, para adaptar la posición de la entrada de luz a la estatura de un usuario.

Por "acoplamiento" se entiende aquí cualquier tipo de influencia automática mutua que asegure que, cuando se desplaza la segunda disposición de espejo, también se desplace correspondientemente la primera disposición de espejo. El acoplamiento puede realizarse de forma puramente mecánica o a través de electromotores o actuadores que provoquen el desplazamiento de la primera disposición de espejo con ayuda de otras fuentes de energía. En este contexto, también pueden controlar el desplazamiento un software, un firmware o un módulo de hardware del terminal.

Según algunas formas de realización, la primera disposición de espejo y la segunda disposición de espejo presentan un primer acoplamiento. Durante el desplazamiento de la segunda disposición de espejo, el primer acoplamiento desplaza automáticamente la primera disposición de espejo de tal manera que la distancia óptica entre la segunda disposición de espejo y una entrada de luz del sistema de cámara permanece constante. Esto puede ser ventajoso, ya que de este modo se posibilita, por ejemplo, desplazar verticalmente la entrada de luz y el espejo transparente, que pueden estar acoplados a la segunda disposición de espejo, y adaptar así la posición de la entrada de luz a la estatura de la persona, permaneciendo constante durante la adaptación la distancia óptica entre la entrada de luz y el sistema de cámara. La constancia puede hacer que no se cambie el tamaño del rostro a causa del desplazamiento, o sea, que el usuario no tenga que moverse hacia delante ni hacia atrás para compensar un cambio del tamaño de imagen provocado por el desplazamiento de la óptica.

Según algunas formas de realización, la primera disposición de espejo se puede desplazar automáticamente mientras la posición de la segunda disposición de espejo permanece constante de manera que la distancia óptica entre el rostro del usuario y la entrada de luz del sistema de cámara corresponda a un valor predeterminado. Adicionalmente o como alternativa a esto, la primera disposición de espejo se puede desplazar automáticamente mientras la posición de la segunda disposición de espejo permanece constante de manera que el tamaño de la imagen facial y/o la imagen del iris del usuario captada por el sistema de cámara para adquirir los datos biométricos correspondan a un valor predeterminado. El valor predeterminado puede, por ejemplo, ser predeterminado por el terminal y contener, por ejemplo, cuántos píxeles de anchura y altura debería tener un rostro, por ejemplo, una imagen tomada mediante análisis de imagen en una primera "toma de prueba". Mediante un desplazamiento automático del primer sistema de espejos hasta que los tamaños de imagen medidos y, por lo tanto, los tamaños de rostro o iris correspondan al valor de referencia deseado, se pueden tomar imágenes de tamaño y calidad suficientes de forma totalmente automática o con sólo una intervención mínima del usuario.

Según algunas formas de realización, el terminal móvil incluye además un dispositivo de iluminación para iluminar al usuario, por ejemplo, luz blanca y/o LED NIR. El dispositivo de iluminación y la primera disposición de espejo presentan un segundo acoplamiento. El segundo acoplamiento controla automáticamente el comportamiento de iluminación del dispositivo de iluminación cuando se desplaza la primera disposición de espejo. Esto puede ser ventajoso, ya que cuando se desplaza la primera disposición de espejo, por ejemplo, para adaptar la altura de la cámara, la iluminación se mueve conjuntamente de forma automática, de modo que el usuario no tiene que ajustar adicionalmente también la iluminación. De este modo, podría ponerse a disposición un uso del terminal particularmente sencillo e intuitivo, que también es adecuado para usuarios sin experiencia.

Según algunas formas de realización, el terminal móvil contiene además un sistema de cámara adicional, en particular un sistema de cámara gran angular, para el posicionamiento automático de la cámara y, en caso dado, también para el posicionamiento automático de la primera y la segunda disposiciones de espejo. Este sistema de cámara adicional podría, por ejemplo, hacer primero una toma de gran angular para reconocer en la misma la posición aproximada de un usuario o su rostro o su iris en el espacio mediante análisis de imagen. Por medio de esta posición aproximada, el sistema de cámara realmente destinado a registrar los datos biométricos puede moverse hacia arriba y hacia abajo en la vertical de la parte de tapa abierta y, en caso dado, también se puede cambiar su zoom para que puedan registrarse el rostro o el iris del usuario a la altura y con el tamaño correctos.

Según algunas formas de realización, el sistema de cámara y el dispositivo de iluminación forman parte de la parte de tapa.

Según algunas formas de realización, el terminal móvil comprende un sensor para medir la luminosidad ambiental y una unidad de calibración. La unidad de calibración sirve para ajustar automáticamente la intensidad de iluminación del dispositivo de iluminación y/o para ajustar automáticamente la sensibilidad a la luz del sistema de cámara en función de la luminosidad ambiental medida. Esto puede ser ventajoso, ya que simplifica aún más el uso del terminal móvil como un sistema de "inscripción en el hogar": la unidad de calibración puede garantizar que sea posible adquirir datos de imagen biométricos de manera fiable incluso en diferentes condiciones de luminosidad.

Según algunas formas de realización, el terminal móvil comprende una batería y/o una fuente de alimentación, estando instaladas la batería y/o la fuente de alimentación y la memoria de datos preferiblemente en la parte de base. Esto puede ser ventajoso, ya que el peso de una batería y/o una fuente de alimentación en la parte de base puede estabilizar la maleta cuando está abierta. De esta manera, en caso dado podría conseguirse que la maleta estuviese estable en el estado abierto sin medios de fijación adicionales y que no volcase incluso si la parte de tapa se inclinase ligeramente hacia atrás hasta 8°.

Según algunas formas de realización, el terminal móvil comprende una interfaz para recibir los datos de autenticación de un documento adicional de seguridad asignado al usuario. Por ejemplo, se pueden leer de un documento de identidad o pasaporte que todavía esté vigente, pero que eventualmente caduque en breve, el nombre y la dirección de un usuario y/o datos biométricos del usuario ya adquiridos en un momento anterior. La MRZ (por sus siglas en inglés; zona de lectura mecanizada) y/o un código impreso en el documento de seguridad, por ejemplo, una identificación de tarjeta o una identificación de usuario, también pueden ser adquiridos y recibidos automáticamente por el terminal móvil. Estos datos pueden ser comparados, por ejemplo, por el terminal móvil con datos de nombre, dirección, ID u otros datos almacenados en la memoria de datos del terminal móvil como datos de referencia durante la preparación del terminal para el envío a este usuario en particular. La transmisión de los datos de autenticación desde el documento de seguridad al terminal móvil puede ser sin contacto, por ejemplo, mediante una interfaz RFID, o basada en contacto.

Según algunas formas de realización, la parte de tapa está unida de forma pivotante a la parte de base a través de un eje. La parte de tapa permanece en una posición pivotada una vez que la ha ocupado, siendo imposible o mecánicamente difícil pivotarla en relación con una línea ortogonal a la superficie de la parte base más allá de un ángulo de 8° y/o provocando esto que se emita un mensaje de advertencia al usuario. Esto puede ser ventajoso, ya que el sensor, por ejemplo, el sistema de cámara se puede adaptar fácilmente a la estatura del usuario mediante un giro dentro de un intervalo angular pequeño de tal manera que el rostro sea captado por la cámara. Sin embargo, un giro aún mayor podría reducir demasiado la calidad de los datos de imagen biométricos. Sin embargo, esto puede dejarse claro o, en caso dado, también impedirse completamente mediante un mensaje de advertencia correspondiente al usuario o una resistencia mecánica elevada en caso de giro superior a 8° (en cada caso en dirección al usuario o en dirección opuesta al usuario).

Según algunas formas de realización, el terminal móvil comprende una unidad de localización que capta una posición actual del terminal móvil durante la adquisición de los datos biométricos. La memoria de datos contiene una indicación de zona geográfica, por ejemplo, un zona definida por coordenadas GPS de un edificio o de un barrio. Los datos biométricos adquiridos se almacenan en el terminal móvil sólo si la posición actual registrada durante la adquisición de los datos biométricos está dentro de la zona geográfica indicada. Esto puede ser ventajoso, porque de este modo se puede hacer aún más segura la adquisición de los datos biométricos: si una autoridad prepara el terminal móvil para su envío en respuesta a una petición del usuario, la dirección del usuario al que se ha de entregar el terminal es conocida. Por ejemplo, programando en el terminal móvil las coordenadas GPS aproximadas de esta dirección para que éste sólo adquiera y almacene datos biométricos cuando se encuentre dentro de una distancia máxima de esta dirección, o sea, por ejemplo, dentro de un radio de 50 m alrededor de dicha dirección, puede ofrecerse protección adicional contra terceros que intercepten el terminal en su camino de regreso al emisor del documento y lo equipen con datos biométricos falsificados. Esto no es posible sólo con que estos terceros no se hallen dentro de la zona geográfica predefinida.

Según algunas formas de realización, el terminal móvil comprende un reloj que registra una hora actual durante la adquisición de los datos biométricos. La memoria de datos contiene una indicación de un espacio de tiempo admisible, por ejemplo, unos días o unas semanas después del envío del terminal al usuario. Los datos biométricos adquiridos se almacenan en el terminal móvil sólo si la hora actual registrada en el momento de adquirirse los datos biométricos está dentro del espacio de tiempo admisible. Análogamente a la restricción espacial de la funcionalidad del terminal móvil mencionada anteriormente, una restricción temporal alternativa o adicional de la posibilidad de adquirir datos biométricos puede aumentar la seguridad del proceso de "inscripción en el hogar".

Según algunas formas de realización, análogamente a la restricción espacial y temporal de la adquisición de los datos biométricos aquí descrita, también se implementa en el terminal móvil una restricción espacial y/o temporal del acceso del operador para leer los datos biométricos del terminal. Así, el terminal móvil podría, por ejemplo, tener almacenadas coordenadas GPS del o de los centro(s) de la autoridad que estén autorizados para leer los datos biométricos adquiridos y/o tener almacenado un espacio de tiempo predefinido dentro del cual se puedan leer los datos almacenados en el terminal móvil. La autenticación del operador ante el terminal móvil también podría comprender una verificación de si el terminal móvil se encuentra dentro de una distancia máxima predefinida a las coordenadas GPS almacenadas (u otros indicadores técnicamente detectables de la posición espacial del terminal) de dicha autoridad o emisor de la tarjeta, y posibilitar una autenticación sólo cuando éste sea el caso. Una autenticación también podría ser rechazada por la unidad de autenticación una vez transcurrido un período de validez máximo predefinido, que puede comenzar, por ejemplo, en el momento de enviarse el terminal móvil al usuario, lo que aumenta la seguridad de los datos biométricos adquiridos contra la lectura por parte de terceros no autorizados.

En otro aspecto, la invención se refiere a un procedimiento para introducir datos biométricos de un usuario en un documento de seguridad. El procedimiento comprende:

- autenticación del usuario ante un servidor con unos primeros datos de autenticación;

- tras una autenticación exitosa ante el servidor, utilización por parte del servidor de los primeros datos de autenticación para generar o identificar una credencial asignada específicamente al usuario, identificando la credencial a su poseedor como autorizado para adquirir y almacenar los datos biométricos del usuario; por tanto, la credencial no autoriza al terminal a adquirir y almacenar los datos biométricos de otras personas. Por lo tanto, la credencial puede originar una personalización del terminal móvil específicamente para el usuario que se ha autenticado ante el servidor.

- almacenamiento de la credencial en un terminal móvil, comprendiendo el terminal móvil al menos un sensor; el terminal móvil puede entonces enviarse al usuario, por ejemplo, por correo o servicio de mensajería;

- autenticación del usuario ante el terminal móvil mediante los primeros datos de autenticación o mediante unos segundos datos de autenticación del usuario;

- autenticación del terminal móvil ante el usuario mediante la credencial almacenada;

- sólo en caso de una autenticación mutua exitosa: adquisición automática o semiautomática de los datos biométricos del usuario por el sensor del terminal móvil;

- verificación automática por el terminal móvil de la autenticidad de los datos biométricos adquiridos;

- sólo en caso de una autenticidad comprobada de los datos biométricos adquiridos, almacenamiento de los datos biométricos adquiridos en el terminal móvil de forma protegida; el terminal móvil puede luego, por ejemplo, ser enviado por el usuario al operador del servidor y/o al emisor del documento de seguridad, por ejemplo, por correo;

- autenticación de un operador ante el terminal móvil mediante unos terceros datos de autenticación, asignados al operador;

- sólo en caso de una autenticación exitosa del operador, posibilitación de la lectura de los datos biométricos almacenados en el terminal móvil para la transmisión de los datos biométricos leídos al documento de seguridad; e - introducción de los datos biométricos transmitidos en el documento de seguridad. Este procedimiento puede ser ventajoso, porque puede posibilitar una adquisición segura de datos biométricos de un usuario para la emisión de un documento de seguridad personalizado, sin que el emisor del documento tenga que mantener una infraestructura técnica aparatosa y costosa para este fin.

Según formas de realización adicionales, el procedimiento comprende además una verificación automática de la calidad por el terminal móvil de los datos biométricos adquiridos, almacenándose los datos biométricos adquiridos en el terminal móvil sólo si los datos biométricos adquiridos cumplen además requisitos mínimos de calidad predefinidos.

Por ejemplo, el usuario puede autenticarse ante el servidor a través de una red, por ejemplo, Internet. El servidor pertenece preferiblemente a una organización, por ejemplo, una autoridad o una empresa, que emite el documento de seguridad para el cual se adquieren los datos biométricos.

Según algunas formas de realización, además de la credencial, se almacenan en el terminal móvil una indicación de zona geográfica y/o un espacio de tiempo admisible. En este contexto, la indicación de zona geográfica y/o el espacio de tiempo admisible se determinan nuevamente para cada proceso de provisión del terminal móvil al usuario.

Según algunas formas de realización, la autenticación del usuario ante el servidor con los primeros datos de autenticación comprende:

- introducción de un documento de seguridad adicional, asignado al usuario, en un dispositivo lector de un ordenador del usuario, teniendo el documento adicional de seguridad almacenados de manera protegida los primeros datos de autenticación; el documento adicional de seguridad puede ser, por ejemplo, un documento de identidad electrónico o un pasaporte aún en vigor, pero que caducará en breve.

- envío de una solicitud para la puesta a disposición del terminal móvil a través de una red desde el ordenador del usuario al servidor, incluyendo la solicitud un identificador del usuario;

- envío de una solicitud de autenticación que incluya el identificador desde el servidor a un servidor eID;

- establecimiento de un canal seguro de transmisión de datos entre el servidor eID y el documento de seguridad adicional;

- verificación de la autenticidad e integridad del documento adicional de seguridad por el servidor eID;

- envío de una confirmación de la autenticidad e integridad desde el servidor eID al sistema informático del usuario;

- lectura de los primeros datos de autenticación por el servidor eID; los primeros datos de autenticación pueden leerse, por ejemplo, después de que se haya presentado a un sistema informático del usuario un certificado de autorización para un servicio puesto a disposición en el servidor. El sistema informático del usuario puede contener, por ejemplo, un navegador con el que el usuario haya abierto en Internet un formulario de pedido para pedir el terminal móvil. Para autenticarse ante el servidor, el usuario puede, por ejemplo, introduciendo un PIN de un documento de seguridad actualmente vigente, permitir al servidor leer datos personales del documento de seguridad actualmente vigente y utilizarlos como los primeros datos de autenticación; y

- transmisión de los primeros datos de autenticación leídos desde el servidor eID al servidor para autenticar al usuario ante el servidor, poniéndose el terminal móvil a disposición del usuario sólo si el usuario ha sido autenticado con éxito ante el servidor.

Según algunas formas de realización, además de la credencial, también se almacena un valor de referencia en el terminal móvil. El valor de referencia es específico del documento adicional de seguridad. La autenticación del usuario ante el terminal móvil con los segundos datos de autenticación comprende: introducción de un documento adicional de seguridad, que está asignado al usuario y que tiene almacenado un identificador de documento de seguridad, en una interfaz de lectura del terminal móvil; autenticación del usuario ante el documento adicional de seguridad introduciendo un PIN a través de una interfaz de entrada de datos del terminal móvil; después de la autenticación satisfactoria ante el documento adicional de seguridad, transmisión del identificador del documento de seguridad al terminal móvil, actuando el identificador del documento de seguridad de segundos datos de autenticación; por ejemplo, el identificador del documento de seguridad puede consistir en una MRZ del documento adicional de seguridad; y comparación del identificador del documento de seguridad transmitido con el valor de referencia almacenado por el terminal móvil para autenticar al usuario ante el terminal móvil.

Según algunas formas de realización, la autenticación del usuario ante el terminal móvil incluye la realización de un protocolo BAC y/o un protocolo EAC y/o un protocolo PACE y/o un protocolo SAC entre el terminal móvil y el documento adicional de seguridad. Esto puede aumentar aún más la seguridad del procedimiento. Adicionalmente o como alternativa a esto, el usuario puede autenticarse ante el terminal por el método de que el terminal móvil reciba un valor de datos introducido por el usuario en el terminal móvil y/o que el terminal móvil lea el valor de datos de un documento adicional (114) de seguridad del usuario. A continuación, el terminal móvil compara el valor de datos recibido o leído con un valor de referencia almacenado en el terminal móvil. El valor de referencia puede, por ejemplo, ser almacenado en la memoria de datos del terminal por un empleado o representante del emisor del documento, denominado en la presente memoria "operador", en el curso de la personalización del terminal.

Según algunas formas de realización, la credencial comprende un certificado de autorización. La autenticación del terminal móvil ante el usuario comprende: transmisión del certificado de autorización desde el terminal móvil al documento adicional de seguridad; y verificación del certificado de autorización por un procesador del documento adicional de seguridad.

Según algunas formas de realización, el documento adicional de seguridad tiene almacenados datos biométricos de referencia del usuario. La verificación automática por el terminal móvil de la autenticidad de los datos biométricos adquiridos comprende una lectura de los datos biométricos de referencia del documento adicional de seguridad por el terminal móvil y una comparación de los datos biométricos de referencia leídos con los datos biométricos adquiridos del usuario. Si los datos biométricos adquiridos difieren de los datos biométricos de referencia en una medida mayor que un valor máximo predefinido, se devuelve un resultado que indica que los datos biométricos determinados no son auténticos. El nivel de diferencia se puede determinar en este contexto mediante procedimientos que difieren según el tipo de datos biométricos comparados, ya que una determinación de una similitud de rostros puede estar implementada de manera diferente a una determinación de la similitud de datos de huellas dactilares. El procedimiento comprende además una autenticación del usuario ante el documento adicional de seguridad mediante la introducción de un PIN a través de una interfaz de entrada de datos del terminal móvil. Después de una autenticación satisfactoria ante el documento adicional de seguridad, se transmite el identificador del documento de seguridad al terminal móvil, actuando el identificador del documento de seguridad de segundos datos de autenticación o de un componente de los mismos. El terminal móvil también compara el identificador del documento de seguridad transmitido con el valor de referencia almacenado, para autenticar al usuario ante el terminal móvil. El uso de los datos biométricos del antiguo documento para la verificación de autenticidad puede ser ventajoso, ya que puede ofrecer seguridad adicional de que los datos biométricos adquiridos del usuario pueden asignarse realmente a la persona a quien se envió el terminal (y que también había de corresponder a los datos del antiguo documento de seguridad).

Según algunas formas de realización, los segundos datos de autenticación se transmiten desde el documento adicional de seguridad al terminal móvil junto con metadatos del usuario. En el terminal móvil se visualizan los metadatos transmitidos a través de un dispositivo de visualización del terminal móvil. El terminal móvil recibe del usuario datos de entrada a través de una interfaz de entrada del terminal móvil y modifica los metadatos visualizados mediante los datos de entrada recibidos. El almacenamiento de los datos biométricos adquiridos comprende un almacenamiento de los metadatos modificados. Los datos biométricos almacenados en el terminal móvil se leen junto con los metadatos modificados, por ejemplo, mediante un dispositivo lector especial que el operador del servidor o el personal del emisor del documento tienen a su disposición, y se transmiten al documento de seguridad. Los metadatos pueden ser, por ejemplo, datos descriptivos del usuario, por ejemplo, su dirección, fecha de nacimiento, lugar de nacimiento, sexo, nombres distintivos o similares. Leer datos descriptivos "antiguos" de documentos de seguridad aún vigentes y almacenar los datos descriptivos leídos y, en caso dado, modificados en el nuevo documento de seguridad puede ser ventajoso, porque puede reducir el trabajo manual de escribir los datos descriptivos del usuario, como, por ejemplo, datos de dirección, etc.

A continuación, se explican con más detalle formas de realización de la invención con referencia a los dibujos. Muestran:

Figura 1 un diagrama de bloques del desarrollo de la "inscripción en el hogar",

Figura 2 un terminal móvil en forma de maleta abierto, desde delante,

Figura 3 un diagrama de bloques de la memoria de datos del terminal,

Figura 4 un terminal móvil abierto, desde un lado,

Figura 5 otro terminal móvil abierto, desde un lado,

Figura 6 otro terminal móvil abierto, desde un lado, y

Figura 7 un diagrama de flujo para un procedimiento según una forma de realización.

Los elementos de las formas de realización siguientes que se corresponden entre sí se identifican con los mismos símbolos de referencia.

La Figura 1 muestra un diagrama de bloques del desarrollo de la "inscripción en el hogar" según una forma de realización. Un usuario 112, por ejemplo, un ciudadano de un Estado, está en posesión de un documento 114 de seguridad, por ejemplo, un documento de identidad electrónico, en el que están almacenados datos descriptivos personales ("metadatos") y datos biométricos y que está a punto de expirar.

Para obtener un nuevo documento de seguridad con datos biométricos actuales, el usuario, que puede estar en su vivienda 118, por ejemplo, no tiene que acudir al local 102 de una autoridad que cuente con la infraestructura correspondiente para la adquisición de datos biométricos segura contra la falsificación. En cambio, basta con que el usuario abra un formulario de solicitud, por ejemplo, mediante un navegador instalado en su ordenador 110. El formulario de solicitud puede ser puesto a disposición a través de Internet 112, por ejemplo, como un formulario HTML por un servidor 108 de la autoridad que emite el documento de seguridad. El usuario 112 puede ahora especificar sus datos personales, en particular su nombre, su dirección y el tipo de documento de seguridad que se ha de emitir. Sin embargo, para que el servidor siga procesando la solicitud, es necesario que el usuario se autentique ante el servidor mediante unos primeros datos AD1 de autenticación. Esto se puede hacer, por ejemplo, mediante una contraseña o por medio del documento 114 de seguridad aún vigente.

La autenticación mediante el documento 114 de seguridad aún vigente puede desarrollarse, por ejemplo, de la siguiente manera: la llamada del formulario de solicitud provoca la ejecución de una aplicación en el servidor 108, que aquí se denomina servicio de pedidos. El servicio de pedidos requiere una autenticación en línea por parte del usuario. Para ello, el usuario coloca el documento 114 de seguridad en un dispositivo lector que está conectado al ordenador 110 del usuario. El servicio de pedidos envía una solicitud de autenticación a un servidor eID (aquí no representado). Se establece un canal seguro entre el servidor eID y un software de cliente (por ejemplo, AusweisApp) instalado en el ordenador 110 del usuario, el dispositivo lector y un chip del documento 114 de seguridad y se verifica la autenticidad del operador del servicio de pedidos, así como la autenticidad e integridad (protección contra falsificación) del documento 114. El software de cliente muestra al usuario 112 un certificado de autorización transmitido a través del canal seguro de transmisión de datos del operador del servicio de pedidos y los datos de identificación o las categorías de datos solicitados. El usuario decide qué datos de identificación desea transmitir. Mediante la introducción del PIN, el usuario confirma que los datos AD1, que se denominan aquí "primeros datos de autenticación", se han leído y se han transmitido desde el documento 114 al servidor eID. El servidor eID envía una respuesta de autenticación y los datos de identificación al servicio de pedidos. Se leen la respuesta de autenticación y los datos de identificación. El servicio verifica los resultados de la autenticación y decide si la autenticación se puede considerar exitosa. Finalmente, se responde al usuario en cuanto al resultado.

Si el usuario 112 se ha autenticado con éxito ante el servicio de pedidos y, por lo tanto, también ante el servidor 108 mediante los primeros datos AD1 de autenticación, se emite una credencial BN específicamente para el usuario 112. La credencial BN puede, por ejemplo, ser generada automáticamente por el servidor 108, o en otro ordenador operado por el emisor del nuevo documento de seguridad solicitado. La credencial puede generarse de forma totalmente automática o semiautomática con la participación y el control de un operador 106 que trabaje para el emisor del nuevo documento. La credencial puede, por ejemplo, emitirse en forma de un certificado de autorización o incluirlo. La credencial se almacena en una memoria de datos de un terminal móvil 104. Además, se pueden almacenar en el terminal móvil uno o varios valores de referencia específicos del usuario, por ejemplo, su nombre y dirección, o un código secreto que se comunica al usuario de forma segura. De este modo, se personaliza el terminal para el solicitante 112. En caso dado, se pueden almacenar certificados de autorización y valores de referencia adicionales, por ejemplo, para miembros de la familia que estén inscritos en la misma dirección.

El terminal móvil personalizado se puede enviar ahora a la dirección anotada en el formulario de pedido y/o en el documento 114 de identidad, por ejemplo, de forma económica por correo.

Después de recibir el terminal móvil, el usuario 112 puede arrancarlo, por ejemplo, colocando el terminal en forma de maleta sobre una mesa, abriendo la tapa y pulsando un botón de arranque. En términos de guía de usuario, el terminal móvil está configurado de tal manera que en todo momento se dan instrucciones claras, incluso para un profano no versado técnicamente, sobre qué operación se ha de realizar a continuación para adquirir datos biométricos con suficiente calidad.

Sin embargo, primero es necesario que el usuario se autentique ante el terminal móvil. Esto se puede hacer, por ejemplo, por el método de que el usuario introduzca en el terminal un código secreto transmitido por la entidad que emite el documento, o que el terminal lea datos personales de un documento de seguridad aún vigente y se comparen los datos introducidos o leídos con los valores de referencia. Además, el terminal debe autenticarse ante el usuario 112 mediante la credencial BN para demostrar que el terminal está autorizado para adquirir datos biométricos del usuario.

Después de una autenticación mutua exitosa del usuario 112 y el terminal 104, el terminal adquiere datos biométricos BD del usuario y los almacena en una memoria de datos interna.

Los datos biométricos pueden almacenarse, por ejemplo, de tal forma que una clave pública 312 almacenada en el terminal móvil cifre los datos biométricos BD y una clave privada 314 de firma también almacenada en el terminal firme los datos. La clave privada 314 de firma constituye en este contexto con una clave pública 126 de verificación de firma del emisor del documento un par de claves criptográficas asimétricas. La clave pública 312 de cifrado constituye en este contexto con una clave privada 124 de descifrado del emisor del documento un par de claves criptográficas asimétricas. Por lo tanto, tanto la clave pública 126 de verificación de firma como la clave privada 124 de descifrado son gestionadas por el emisor del documento de seguridad 116, por ejemplo, una autoridad.

Una vez que los datos biométricos se han adquirido con éxito, el terminal 104 en forma de maleta se puede plegar de nuevo y enviar por correo a la autoridad que expide el nuevo documento de identidad. Una vez allí, un operador 106, por ejemplo, un empleado de la autoridad se autentica ante el terminal mediante unos terceros datos de autenticación, por ejemplo, mediante una contraseña, mediante un token de seguridad basado en software o hardware especial o similares. Sólo en el caso de una autenticación exitosa, el operador puede acceder a los datos almacenados en el terminal, lo que también puede incluir, por ejemplo, una operación de descifrado de los datos biométricos del usuario mediante la clave privada 124 de descifrado. Además del descifrado, también se puede realizar una verificación de firma de los datos biométricos BD firmados mediante la clave pública 126 de verificación de firma, para garantizar que los datos biométricos adquiridos no hayan sido manipulados por terceros.

Según algunas formas de realización, además de los sensores para los datos biométricos y las interfaces de usuario ya mencionadas, como un teclado, una tableta de firmas, una interfaz NFC, etc., el terminal móvil no tiene interfaces de intercambio de datos por contacto, o sea, por ejemplo, no tiene interfaz USB o unidad de CD. El terminal sólo tiene una interfaz de intercambio de datos sin contacto, por ejemplo, un adaptador WLAN para la introducción de la credencial y los valores de referencia y para la lectura de los datos biométricos adquiridos por el operador. Esta interfaz sin contacto sólo se puede activar si el operador conecta un token de hardware al terminal, que sirve para autenticar de forma segura al operador ante el terminal. También es posible que el adaptador WLAN esté preconfigurado para los datos de acceso de la red WLAN de la autoridad emisora y pueda intercambiar datos selectivamente sólo con esta WLAN después de la autenticación del operador. Esto aumenta la protección de los datos biométricos contra la lectura por parte de terceros no autorizados.

Los datos biométricos BD descifrados y verificados por firma del terminal pueden transmitirse entonces de forma automática o manual a un nuevo documento 116 de seguridad, que debe emitirse para el usuario 112 a petición suya. El documento terminado se puede ahora entregar al usuario 112, por ejemplo, por correo. El documento de seguridad emitido específicamente para el usuario 112 contiene por tanto datos biométricos confiables y de alta calidad (imagen facial, imagen del iris, datos de huellas dactilares, etc.) sin que el usuario haya tenido que acudir a los locales 102 de la autoridad para ello.

La Figura 2 muestra un terminal móvil 104 en forma de maleta abierto, desde delante. El terminal móvil consta de una parte 202 de tapa y una parte 204 de base. La parte de tapa y la parte de base pueden girar una en relación con otra mediante un eje 228. La parte de tapa contiene un sistema 208 de cámara y una entrada 209 de luz, que está cubierta por un espejo semitransparente 206. Además, la parte de tapa contiene una pantalla que guía al usuario 112 a través de todo el proceso de adquisición de datos, muestra información sobre el manejo correcto y/o incorrecto y/o la calidad de los datos biométricos adquiridos y muestra cómo el usuario o la usuaria ha de manejar el aparato en la operación siguiente. Además de la pantalla 226, también pueden estar instalados otros elementos en la parte de tapa o la parte de base, que pueden señalar al usuario visual o acústicamente lo que debe hacer o cuál ha sido el resultado de la última acción realizada por el usuario. Éstos puede incluir, por ejemplo, elementos LED, altavoces o similares.

Los componentes pesados, como, por ejemplo, una batería 212 y/o una fuente 214 de alimentación para conectar el terminal a un suministro de corriente externo, se hallan preferiblemente en la parte de base. Además, el terminal puede contener una memoria 216 de datos para almacenar la credencial y los datos biométricos del usuario, una interfaz 207 para recibir datos de autenticación de un documento 114 de seguridad del usuario, un sensor 210 para adquirir datos de huellas dactilares como datos biométricos, y uno o varios procesadores 218, que controlan la interacción de dichos elementos. El sensor de huellas dactilares puede estar configurado, por ejemplo, como "escáner de un dedo", como "escáner de dos dedos" o como "escáner de cuatro dedos". El uso de escáneres de 2 y más dedos puede ser ventajoso, ya que garantiza que los dedos izquierdos se registren como dedos izquierdos y los dedos derechos como dedos derechos. El uso de escáneres de cuatro dedos podría ser ventajoso, ya que con éstos es posible distinguir fácilmente entre izquierda y derecha y, además, si la calidad de las huellas de los índices es insuficiente, se pueden registrar otros dedos sin una complicada guía del usuario de acuerdo con las especificaciones de la OACI.

Es posible que también haya una cámara de iris con su propia entrada de luz en la parte de tapa. Esta entrada de luz también puede estar cubierta por un espejo semitransparente, cuyos componentes de luz reflejados proporcionen información de retroalimentación sobre el posicionamiento correcto del iris.

Además, el terminal puede contener un sensor GPS 230 para detectar la posición actual del terminal y/o un reloj 232 para registrar la hora actual. Además, el terminal móvil 104 puede contener una interfaz de usuario, por ejemplo, un teclado 220, que permita al usuario introducir manualmente, por ejemplo, sus datos descriptivos (nombre, dirección, etc.) y/o un PIN para la autenticación ante su documento 114 de seguridad actualmente aún vigente. El teclado también puede ser una pantalla táctil y por lo tanto parte de la pantalla 226. Además, el terminal puede disponer de una tableta de firmas que pueda adquirir la firma del usuario como sus datos biométricos.

En algunas formas de realización, también puede estar integrado en la parte de tapa un dispositivo 222 de iluminación. El dispositivo de iluminación es preferiblemente lo suficientemente fuerte como para posibilitar suficiente luminosidad para tomas de calidad suficientemente alta, incluso si es la única fuente de luz en la habitación. Esto puede ser ventajoso, ya que el usuario puede apagar otras fuentes de luz que interfieran y que, por ejemplo, provoquen reflejos no deseados.

La Figura 3 muestra un diagrama de bloques que representa en detalle el contenido de la memoria 216 de datos del terminal según una forma de realización. La memoria puede contener distintos módulos 302-310, 316, que pueden representar partes de un programa de software o respectivamente programas de software independientes, o también pueden estar implementados como funcionalidad de hardware.

Un módulo criptográfico 302 sirve para cifrar los datos biométricos BD recibidos, para almacenar estos datos en forma cifrada y por lo tanto protegida en la memoria 216 de datos. El módulo 304 de autenticación realiza las operaciones necesarias para que el terminal móvil 104 pueda autenticarse ante el usuario 112 y/o ante su documento 114 hasta el momento aún vigente. Además, verifica los segundos datos AD2 de autenticación, que son recibidos por el terminal en el curso de un intento del usuario 112 de autenticarse ante el terminal. En este contexto, puede tratarse de los mismos datos AD1, AD2 que el usuario ya usó para la autenticación ante el servidor 108. El módulo 306 de verificación de calidad controla la calidad de los datos biométricos adquiridos. Si el resultado de la verificación es que los datos biométricos no corresponden a un nivel de calidad mínimo, el módulo 306 provoca la salida de una advertencia correspondiente en cooperación con el módulo 310 generador de GUI a través del dispositivo 226 de visualización. La advertencia puede contener una indicación de qué circunstancia es probable que haya llevado a la mala calidad de los datos biométricos y qué medidas debe tomar el usuario para aumentar su calidad cuando sus datos biométricos se adquieran nuevamente.

El módulo 308 de verificación de autenticidad verifica si los datos biométricos BD adquiridos del usuario también son auténticos. En este contexto, los procedimientos de verificación utilizados están adaptados al tipo de sensor 208, 210 utilizado. Por lo tanto, el módulo de verificación de autenticidad tiene como objetivo reconocer y prevenir posibles ataques con características biométricas artificiales o falsificadas. Los procedimientos técnicos para esto difieren dependiendo de la biometría. Preferiblemente, el módulo de verificación de autenticidad puede implementar uno o varios procedimientos de detección de vida, es decir, el módulo verifica si la característica biométrica ofrecida pertenece a una persona viva. Los procedimientos implementados por el módulo de verificación de autenticidad pueden incluir, por ejemplo, los siguientes procedimientos de verificación, que se mencionan aquí sólo como ejemplos:

- procedimiento de reconocimiento facial 3D para prevenir intentos de fraude con una foto;

- procedimiento de reconocimiento facial 2D basado en movimientos oculares individuales. A través del dispositivo 226 de visualización se solicita a la persona que se ha de reconocer que siga un punto en la pantalla 226. El movimiento de los ojos se sigue y se analiza con la cámara y un software de evaluación correspondiente. Así se pueden impedir intentos de fraude a través de una imagen;

- análisis de los puntos de iluminación visibles en una foto de un iris en su delimitación. Esto es significativamente diferente en una superficie curva húmeda de un ojo vivo a la superficie de una fotografía en 2-D; así pues, con el reconocimiento de iris (firma ocular) se puede detectar un intento de fraude por medio de una foto;

- para el sensor de huellas dactilares: detección de características adicionales como resistencia de la piel y temperatura para la detección de vida; mediciones de pulso mediante sensores infrarrojos o combinaciones de procedimientos ópticos, que examinan al trasluz el dedo en el rango visible o infrarrojo de la luz y analizan la luz reflejada o transmitida.

Una unidad 316 de control coordina la interacción de los distintos módulos 302-308, 310 y los componentes 208, 222, 230, 232, 207 de hardware correspondientes. El módulo 310 generador de GUI controla el contenido de la pantalla 226 dependiendo de las instrucciones de la unidad 316 de control. El módulo criptográfico 302 cifra los datos biométricos BD con la clave pública 312 de cifrado y los firma con la clave privada 314 de firma, que están almacenadas en la memoria 216 de datos del terminal.

La Figura 4 muestra un terminal móvil abierto, desde un lado. La parte 202 de tapa puede pivotar a través de un eje 228 en relación con la parte 204 de base hasta 8° en relación con una normal a la superficie de la parte de base. La parte de tapa permanece preferiblemente en una posición ajustada o girada manualmente por el usuario. Esto se puede impedir, por ejemplo, evitando un movimiento relativo de los componentes ‘parte de base’ y ‘parte de tapa’ que pueden girar uno en relación con otro, mediante una fricción mecánica suficientemente alta. Sólo si el usuario aplica una fuerza manual adicional se provoca un movimiento relativo de estos componentes. El giro más allá de los 8° indicados en la Figura 4 es preferiblemente imposible o al menos mecánicamente más difícil, por lo que el usuario tendría que aplicar una fuerza significativamente mayor para girar la parte de tapa más de 8°. Esto puede evitar que, debido a un giro excesivo de la parte de tapa con la cámara 208, el usuario haga tomas faciales con perspectiva distorsionada, que normalmente no presentan la calidad mínima requerida, por ejemplo, para fotos de pasaporte.

El terminal puede contener medios mecánicos 424 de posicionamiento que estén acoplados al sistema 208 de cámara, al espejo semitransparente 206 y a la entrada 209 de luz y que posibiliten al usuario, mediante un desplazamiento de los medios 424 de posicionamiento, regular la altura del sistema de cámara, de la entrada de luz correspondiente y del espejo semitransparente y adaptarla a su estatura. Esto se indica mediante la copia en trazos del sistema 208' de cámara y la entrada 209' de luz. Es cierto que el usuario 112 se sienta preferiblemente en una silla que está frente a un tablero de mesa, en el que a su vez se ha colocado el terminal abierto. Por lo tanto, las diferencias de altura entre las personas no son tan importantes como cuando se toman imágenes de personas de pie. No obstante, la capacidad de desplazamiento mecánico del sistema 208 de cámara y de la correspondiente entrada 209 de luz pueden ayudar a adaptar la posición de la cámara a los diferentes tamaños de la parte superior del cuerpo de las personas. Según algunas formas de realización, el terminal móvil también puede contener una cámara gran angular 450. Ésta realiza primero tomas de gran angular, que son sometidas a un análisis de imagen por el terminal 104 para determinar la posición aproximada del rostro de la persona, por ejemplo, mediante reconocimiento facial y determinación del tamaño del rostro dentro de la imagen total de las tomas de gran angular. Por medio de la posición del rostro así determinada, el sistema 208 de cámara y la entrada 209 de luz acoplada al sistema de cámara se pueden desplazar ahora automáticamente en dirección vertical de tal manera que la entrada 209 de luz esté dentro de lo posible a la misma altura que el rostro del usuario. Además, se puede activar un mecanismo de zoom óptico o mecánico del sistema 208 de cámara, que hace que el rostro se capture con el tamaño y la resolución requeridos.

La Figura 5 muestra otro terminal móvil abierto, desde un lado. El sistema 208 de cámara está colocado aquí en la parte inferior de la parte de tapa abierta. La luz 420 transmitida a través de la entrada 209 de luz y el espejo semitransparente 206, que incide de manera esencialmente paralela a la superficie de la base del terminal en la entrada 209 de luz, es desviada por una disposición 406 de espejo de tal manera que es captada por el sistema 208 de cámara. Esta disposición puede ser ventajosa, porque permite una construcción más plana de la parte de tapa y, por lo tanto, una construcción en conjunto más compacta del terminal móvil 104.

Según algunas formas de realización, la disposición 406 de espejo, la entrada 209 de luz y el espejo semitransparente están acoplados mecánicamente entre sí y pueden desplazarse verticalmente como un todo y, por lo tanto, pueden adaptarse a diferentes tamaños (de la parte superior del cuerpo). Para el posicionamiento automático de la disposición de espejo, de la entrada 209 de luz y del espejo semitransparente se puede utilizar una cámara gran angular 450 (no representada), de manera análoga a la forma de realización descrita en la Figura 4.

La Figura 6 muestra una sección transversal de un terminal móvil abierto de otra forma de realización, desde un lado. Esta forma de realización también puede posibilitar una construcción plana de la parte de tapa y, por lo tanto, una construcción compacta del terminal.

La Figura 6a muestra una parte de tapa que contiene una primera disposición 404 de espejo y una segunda disposición 406 de espejo antes de un desplazamiento de la primera y la segunda disposiciones de espejo. La Figura 6b muestra dicha parte de tapa después del desplazamiento.

La situación representada en la Figura 6a podría corresponder a la situación inicial, o sea, la situación cuando el usuario abre el terminal y lo enciende. En esta posición de las dos disposiciones 404, 406 de espejo, de la entrada 209 de luz y del espejo semitransparente 206, puede hacerse una toma de personas cuya punta de la nariz esté aproximadamente a 60 cm por encima de la mesa sobre la que se encuentra el terminal abierto, de tal manera que los rayos de luz recibidos del rostro atraviesen la entrada de luz de forma aproximadamente paralela al tablero de la mesa.

Por ejemplo, la distancia del rostro de la persona a la segunda disposición 406 de espejo puede ser una longitud I4 constante. El camino óptico entre la primera disposición 404 de espejo y el sistema 208 de cámara puede tener una longitud I1. El camino óptico entre las dos mitades de la primera disposición de espejo se indica como I2, y el camino óptico entre la primera y la segunda disposiciones de espejo como I3.

El camino óptico I1+I2+I3+I4 entre la cámara y el rostro de la persona podría ser, por ejemplo, de 70 cm-250 cm, preferiblemente de 100 cm - 120 cm y permanecer constante cuando se desplacen las dos disposiciones de espejo. El camino óptico representado en la Figura 6b entre la cámara y el rostro de la persona sería por lo tanto de 70 cm-250 cm, preferiblemente de 100 cm - 120 cm.

Las dimensiones representadas en la Figura 6a, que suman 120 cm, por ejemplo, pueden ser aproximadamente: I1 = 50 cm; I2= 10 cm; I3= 20 cm; I4= 40 cm. En esta configuración, la entrada 209 de luz y el espejo semitransparente acoplado a la entrada de luz o la segunda disposición de espejo podrían estar a cierta altura (posición vertical) en relación con la parte de tapa abierta. Esta posición puede ser, por ejemplo, demasiado baja para capturar correctamente el rostro de una persona alta. Mediante un desplazamiento relativo de la primera y la segunda disposiciones de espejo, así como de la entrada de luz y del espejo semitransparente, la configuración general de la trayectoria de los rayos puede aparecer como está representado en la Figura 6b. Aquí se puede capturar ahora también el rostro de una persona grande. El desplazamiento vertical puede efectuarse mediante un accionamiento de los medios 424 de posicionamiento, por ejemplo, un botón de desplazamiento mecánico, o automáticamente.

Las dimensiones representadas en la Figura 6b, que también suman una longitud total de la trayectoria de los rayos de 120 cm, pueden ser aproximadamente: I1= 40 cm; I2= 10 cm; I3= 30 cm; I4= 40 cm. Dado que las trayectorias totales de los rayos en las Figuras 6a y 6b tienen la misma longitud, el rostro del usuario también se captura en 6a y 6b con la misma resolución o tamaño.

La Figura 7 muestra un diagrama de flujo para un procedimiento según una forma de realización. En una primera etapa 702, el usuario 112 se autentica ante un servidor 109 con unos primeros datos AD1 de autenticación, por ejemplo, en el curso del completamiento de un formulario electrónico de solicitud para el envío de un terminal móvil. Los datos de autenticación pueden, por ejemplo, leerse de otro documento 114 de identidad aún vigente. Después de una autenticación exitosa ante el servidor, en la etapa 704 el servidor usa los primeros datos de autenticación para generar o identificar una credencial BN asignada específicamente al usuario. En la etapa 706, la credencial se almacena en un terminal móvil 104. En la etapa 708, el usuario se autentica ante el terminal móvil mediante los primeros datos de autenticación o mediante otros ("segundos") datos de autenticación. En la etapa 710, el terminal móvil se autentica ante el usuario mediante la credencial almacenada y así demuestra que proviene de un emisor de documentos confiable y está autorizado para adquirir los datos biométricos.

Si en la etapa 712 el terminal determina que el terminal y el usuario se han autenticado mutuamente con éxito, en la etapa 714 el terminal adquiere automática o semiautomáticamente uno o varios juegos de datos biométricos BD del usuario. Los datos biométricos pueden provenir de un solo sensor, por ejemplo, una cámara para capturar una imagen facial, o de varios sensores, por ejemplo, la cámara y un sensor de huellas dactilares. En la etapa 716, el terminal móvil verifica si los datos biométricos adquiridos son auténticos. En la etapa 720, el terminal almacena los datos biométricos adquiridos en forma protegida si en la etapa 718 se determinó la autenticidad de los datos. En la etapa 720, los datos biométricos adquiridos se almacenan en el terminal. Una vez que un operador se ha autenticado en la etapa 722 ante el terminal, éste posibilita en la etapa 724 leer los datos biométricos BD del usuario almacenados de forma protegida, para transmitir los datos biométricos leídos en la etapa 724 a un nuevo documento de seguridad e introducirlos en el mismo. De este modo, el nuevo documento de seguridad puede dotarse de datos biométricos confiables del usuario y por tanto personalizarse.

Lista de símbolos referencia

102 locales del emisor del documento

104 terminal móvil

108 operador

109 servidor

110 sistema informático del usuario

112 usuario

114 documento adicional de seguridad

116 documento de seguridad que se ha de emitir

118 usuario de vivienda

122 red

124 clave privada para el descifrado

126 clave pública de verificación de firma

BN credenciales

BD datos biométricos

AD1 primeros datos de autenticación

AD2 segundos datos de autenticación

AD3 terceros datos de autenticación

202 parte de tapa

204 parte de base

206 espejo semitransparente

207 interfaz NFC

208 sistema de cámara

209 entrada de luz

210 sensor de huellas dactilares

212 batería

214 fuente de alimentación

216 memoria de datos

218 procesador

220 interfaz de teclado/entrada de datos

222 dispositivo de iluminación

226 elemento de visualización

230 módulo GPS

232 reloj

302 módulo criptográfico

304 unidad de autenticación

306 módulo de verificación de calidad

308 módulo de verificación de autenticidad

310 generador de GUI

312 clave pública de cifrado

314 clave privada de firma

316 unidad de control

404 primera disposición de espejo

406 segunda disposición de espejo

414 luz incidente (en la entrada de luz)

416 trayectoria de los rayos de la parte de la luz reflejada por el espejo semitransparente

418 lados del espejo opuestos al usuario

420 trayectoria de los rayos de la luz transmitida a través del espejo semitransparente 209

424 elemento de control para el desplazamiento vertical de la entrada 209 de luz y el sistema 208 de cámara 450 sistema de cámara gran angular

I1-I4 trayectorias de rayos

702-726 etapas

Claims

REIVINDICACIONES

1. Terminal móvil (104) para la adquisición de datos biométricos (BD) de un usuario (112), que comprende:

- una memoria (216) de datos que contiene una credencial (BN) asignada específicamente al usuario, identificando la credencial el terminal móvil como autorizado para adquirir y almacenar los datos biométricos del usuario, conteniendo la memoria de datos una indicación de zona geográfica;

- un módulo (304) de autenticación para autenticar al usuario ante el terminal móvil por medio de datos (AD2) de autenticación asignados al usuario y para autenticar el terminal móvil ante el usuario por medio de la credencial (BN) almacenada;

- un sensor (208, 210) para adquirir datos biométricos del usuario;

- una unidad (230) de localización, que está configurada para captar una posición actual del terminal móvil durante la adquisición de los datos biométricos;

- una unidad (316) de control, que está configurada para adquirir los datos biométricos (BD) del usuario de forma automática o semiautomática por medio del sensor sólo en caso de una autenticación mutua exitosa del usuario y el terminal móvil;

- una unidad (308) de verificación para verificar automáticamente la autenticidad de los datos biométricos adquiridos;

- en donde la unidad de control está configurada para almacenar los datos biométricos adquiridos en la memoria (216) de datos en forma protegida sólo cuando los datos biométricos adquiridos son auténticos según la verificación, en donde los datos biométricos adquiridos se almacenan en el terminal móvil sólo cuando la posición actual captada durante la adquisición de los datos biométricos se encuentra dentro de la indicación de zona geográfica;

- en donde el módulo (304) de autenticación está configurado para autenticar a un operador (106) ante el terminal móvil por medio de datos de autenticación adicionales (AD3) asignados al operador;

- en donde la unidad de control está configurada para posibilitar una lectura de los datos biométricos almacenados de forma protegida sólo en caso de una autenticación exitosa del operador, para la transmisión de los datos biométricos leídos a un documento (116) de seguridad.

2. Terminal móvil (104) según la reivindicación 1, en donde el sensor (208, 210) consta de:

- un sistema de cámara para adquirir datos de imagen de un rostro y/o un iris del usuario (112) como datos biométricos; o

- un sensor de huellas dactilares para adquirir datos de huellas dactilares del usuario como datos biométricos; o - un sensor para patrones de venas de la mano; o

- un sensor para patrones de retina; o

- un sensor para patrones de lecho ungueal; o

- una tableta de firmas; o

- un micrófono para capturar un perfil de voz; o

- una combinación de dos o más de dichos sensores.

3. Terminal móvil (104) según una de las reivindicaciones precedentes, con:

- un módulo (306) de verificación de calidad para verificar automáticamente la calidad de los datos biométricos adquiridos, almacenándose en el terminal móvil los datos biométricos adquiridos sólo cuando los datos biométricos adquiridos cumplen además requisitos de calidad mínimos predefinidos.

4. Terminal móvil (104) según una de las reivindicaciones precedentes,

- presentando el terminal móvil la forma de una maleta con al menos un asa de transporte, una parte (204) de base y una parte (202) de tapa,

- comprendiendo el sensor un sistema (208) de cámara que está instalado en el lado interior de la parte de tapa; y/o

- comprendiendo el sensor un sensor (210) de huellas dactilares, que está instalado en el lado interior de la parte de base; y/o

- presentando la parte de tapa en su lado interior un dispositivo (226) de visualización para mostrar indicaciones de manejo al usuario durante la adquisición de los datos biométricos.

5. Terminal móvil (104) según la reivindicación 4,

- en donde la parte de tapa comprende un espejo semitransparente (206) adicionalmente al sistema (208) de cámara, en donde el espejo semitransparente puede orientarse automática y/o manualmente de tal manera que el espejo semitransparente esté posicionado entre el usuario y el sistema de cámara, en donde el espejo semitransparente está orientado de tal manera que, en el lado del espejo semitransparente que mira hacia el usuario, la trayectoria (414) de los rayos de luz que incide en el espejo semitransparente es paralela a la trayectoria (416) de los rayos de la parte de esta luz reflejada por el espejo semitransparente.

6. Terminal móvil (104) según la reivindicación 5, además con una primera (404) y una segunda (406) disposiciones de espejo, que están dispuestas en el lado (418) del espejo semitransparente (206) opuesto a la persona, de tal manera que la parte (420) de la luz que se transmite a través del espejo semitransparente (206) e incide en la segunda disposición (406) de espejo es dirigida hacia la primera disposición (404) de espejo por la segunda disposición de espejo, estando dispuesta la primera disposición (404) de espejo de tal manera que esta parte transmitida de la luz dirigida hacia la primera disposición (404) de espejo se refleja en el sistema (208) de cámara, estando la posición de una entrada (209) de luz para el sistema (208) de cámara acoplada a la posición del espejo semitransparente.

7. Terminal móvil (104) según la reivindicación 6, en donde la primera disposición (404) de espejo y/o la segunda disposición (406) de espejo se pueden desplazar paralelamente a la trayectoria (I3) de los rayos de la parte de la luz transmitida por el espejo semitransparente (206) entre la primera disposición de espejo y la segunda disposición de espejo.

8. Terminal móvil (104) según la reivindicación 6 o 7, en donde la primera disposición (404) de espejo y la segunda disposición (406) de espejo presentan un primer acoplamiento, estando el primer acoplamiento hecho de forma que, en caso de un desplazamiento de la segunda disposición (406) de espejo, desplaza automáticamente la primera disposición (404) de espejo de tal manera que la distancia óptica entre la segunda disposición (406) de espejo y una entrada (209) de luz del sistema (208) de cámara permanece constante.

9. Terminal móvil (104) según una de las reivindicaciones 6-8, en donde la primera disposición (404) de espejo, permaneciendo constante la posición de la segunda disposición (406) de espejo, se puede desplazar automáticamente de tal manera que

- la distancia óptica entre el rostro del usuario (112) y la entrada (209) de luz del sistema (208) de cámara corresponda a un valor predefinido y/o

- el tamaño de la imagen facial y/o del iris del usuario captada por el sistema (208) de cámara para adquirir los datos biométricos (BD) corresponda a un valor predefinido.

10. Terminal móvil (104) según una de las reivindicaciones 6-9, además con un dispositivo (222) de iluminación para iluminar al usuario (112), en donde el dispositivo (222) de iluminación y la primera disposición (404) de espejo presentan un segundo acoplamiento, estando el segundo acoplamiento hecho de forma que, cuando se desplaza la primera disposición (404) de espejo, controla automáticamente el comportamiento de iluminación del dispositivo (222) de iluminación, siendo el sistema de cámara y el dispositivo (222) de iluminación preferiblemente parte de la parte (202) de tapa.

11. Terminal móvil (104) según una de las reivindicaciones 2-10 precedentes, además con:

- un sensor para medir la luminosidad ambiental; y

- una unidad de calibración para ajustar automáticamente la intensidad de iluminación del dispositivo de iluminación y/o para ajustar automáticamente la sensibilidad a la luz del sistema de cámara dependiendo de la luminosidad ambiental medida.

12. Terminal móvil (104) según una de las reivindicaciones precedentes, además con:

- un reloj (232), que registra una hora actual durante la adquisición de los datos biométricos;

- en donde la memoria de datos contiene una indicación de un espacio de tiempo admisible;

- en donde los datos biométricos adquiridos se almacenan en el terminal móvil sólo si la hora actual registrada durante la adquisición de los datos biométricos está dentro del espacio de tiempo admisible.

13. Procedimiento para introducir datos biométricos (BD) de un usuario (112) en un documento (116) de seguridad, que comprende:

- autenticación (702) del usuario ante un servidor (109) con unos primeros datos (AD1) de autenticación; - tras una autenticación exitosa ante el servidor, utilización por parte del servidor de los primeros datos de autenticación para generar o identificar una credencial (BN) asignada específicamente al usuario, identificando la credencial a su poseedor como autorizado para adquirir y almacenar los datos biométricos del usuario; - almacenamiento de la credencial en una memoria (216) de datos de un terminal móvil (104), comprendiendo el terminal móvil al menos un sensor (208, 210), conteniendo la memoria de datos una indicación de zona geográfica;

- autenticación del usuario ante el terminal móvil mediante los primeros datos de autenticación o mediante unos segundos datos (AD2) de autenticación del usuario;

- sólo en caso de una autenticación mutua exitosa: adquisición automática o semiautomática de los datos biométricos (BD) del usuario por el sensor del terminal móvil;

- captación de una posición actual del terminal móvil durante la adquisición de los datos biométricos mediante una unidad (230) de localización del terminal móvil;

- sólo en caso de una autenticidad comprobada de los datos biométricos adquiridos y sólo si la posición actual captada durante la adquisición de los datos biométricos está dentro de la indicación de zona geográfica, almacenamiento de los datos biométricos adquiridos en el terminal móvil de forma protegida;

- autenticación de un operador (106) ante el terminal móvil mediante unos terceros datos (AD3) de autenticación, asignados al operador;

- sólo en caso de una autenticación exitosa del operador, posibilitación de la lectura de los datos biométricos almacenados en el terminal móvil para la transmisión de los datos biométricos leídos al documento de seguridad; e

- introducción de los datos biométricos transmitidos en el documento de seguridad.

14. Procedimiento según la reivindicación 13, en donde la autenticación del usuario ante el terminal móvil comprende:

- realización de un protocolo BAC y/o un protocolo EAC y/o un protocolo PACE y/o un protocolo SAC entre el terminal móvil y el documento adicional (114) de seguridad y/o

- comparación de un valor de datos introducido por el usuario en el terminal móvil y/o leído por el terminal móvil de un documento adicional (114) de seguridad del usuario con un valor de referencia almacenado en el terminal móvil.

15. Procedimiento según una de las reivindicaciones 13-14, en donde el documento adicional (114) de seguridad tiene almacenados datos biométricos (112) de referencia del usuario, en donde la verificación automática de la autenticidad de los datos biométricos adquiridos por el terminal móvil comprende:

- lectura de los datos biométricos de referencia del documento adicional de seguridad por parte del terminal móvil;

- comparación de los datos biométricos de referencia leídos con los datos biométricos del usuario (112) adquiridos;

- si los datos biométricos adquiridos difieren de los datos biométricos de referencia en una medida mayor que un valor máximo predefinido, devolución de un resultado que indica que los datos biométricos determinados no son auténticos;

- autenticación del usuario (112) ante el documento adicional (104) de seguridad introduciendo un PIN a través de una interfaz (220) de entrada de datos del terminal móvil;

- tras una autenticación exitosa ante el documento adicional de seguridad, transmisión del identificador del documento de seguridad al terminal móvil, actuando el identificador del documento de seguridad de segundos datos de autenticación;

- comparación por parte del terminal móvil del identificador del documento de seguridad transmitido con el valor de referencia almacenado, para autenticar al usuario ante el terminal móvil.