MX2015000757A - Metodo y sistema de autenticacion. - Google Patents

Abstract

La invención proporciona un método de autenticación implementado por computadora que comprende el paso de habilitar a un usuario para que introduzca un identificador (p.ej., PIN) en un dispositivo electrónico que tiene una pantalla y un teclado operable dentro de una zona del teclado de la pantalla; al operar al menos una tecla del teclado por medio de una imagen de al menos parte de un teclado revuelto que se muestra al menos parcialmente dentro de la zona del teclado. La operación del usuario de la tecla del teclado por medio de la imagen genera una versión codificada de la entrada pretendida del usuario. En un sentido, la invención se puede percibir como superponiendo una imagen no funcional de un teclado revuelto sobre un teclado subyacente, funcional. La imagen puede ser cualquier tipo de imagen electrónica, y puede incluir una imagen de video. La invención es particularmente adecuada para su uso con, pero no se limita a, teléfonos móviles, computadoras tablet, PCs, etc. Se puede implementar en cualquier sistema en donde se deba verificar la identidad de un usuario antes que se otorgue el acceso a un recurso controlado.

Description

MÉTODO Y SISTEMA.DE AUTENTICACIÓN CAMPO DE LA INVENCIÓN Esta invención se refiere generalmente al campo de autenticación de usuarios, y más particularmente al campo de verificación basada en PIN. La invención es adecuada para su uso en situaciones donde se requiere que un usuario introduzca un código, tal como un número de identificación personal (PIN, Personal Identification Number), el cual es validado antes de completar una operación. La operación puede ser cualquier tipo de operación.

ANTECEDENTES DE LA INVENCION La autenticación es una téenica que se utiliza en una variedad de situaciones donde se necesita verificar una identidad individual y/o autorización antes de permitirse que se lleve a cabo una acción o se obtenga acceso a algún recurso controlado o administrado tal como un dispositivo, edificio, sistema de computadora, cuenta financiera, un servicio, etc.

Un enfoque común de autenticación es registrar algún identificador preseleccionado (tal como un código o ión de símbolos) que después se mantiene en secreto en una ubicación segura y es disponible solamente para las partes autorizadas. El identificador se almacena en asociación con un usuario particular o grupo de usuarios, y en ocasiones se puede almacenar y/o utilizar en conjunción con otro identificador predeterminado tal como un nombre de usuario, por ejemplo. El identificador a menudo es seleccionado por el mismo usuario aunque en ocasiones puede ser el administrador de recursos o el propietario quien lo determina. El usuario puede ser capaz, en muchos casos, de cambiar su identificador seleccionado previamente. A menudo, el identificador se escoge cuando el usuario se une inicialmente a una organización; por ejemplo, cuando inicia su empleo en una cierta compañía, o se registra con un proveedor de un cierto servicio. Después de que el identificador ha sido seleccionado y asignado a un individuo autorizado, se requiere que ese usuario suministre el identificador predeterminado cada vez que solicita permiso para llevar a cabo la acción controlada u obtener acceso al recurso o servicio. El identificador introducido por el usuario se compara con la versión almacenada. Si el usuario es capaz de suministrar el identificador correcto, entonces se considera que su identidad ha sido verificada y se otorga el acceso. Si, por otra parte, no se suministra el identificador correcto, entonces se niega el acceso.

En este documento, tal identificador se puede denominar como un código de identificación personal (PIC, Personal Identification Code).

Un ejemplo común de un PIC es un código numérico de 4 dígitos que se denomina generalmente como un número de identificación personal (PIN). El término "PIC" se pretende para incluir el término "PIN" (número de identificación personal). Sin embargo, se pueden utilizar otros códigos de diferentes longitudes y que contienen diferentes tipos de caracteres o símbolos. No se pretende que la presente invención se limite con respecto a la longitud del identificador utilizado, o el tipo de caracteres que éste contiene. Por ejemplo, puede contener dígitos numéricos, caracteres alfabéticos, imágenes, puntuación o cualquier otro tipo de símbolo, o una mezcla de los mismos. El término "PIN" o "PIC" se puede utilizar en lo sucesivo para hacer referencia al identificador del usuario por el bien de conveniencia, pero no se debe interpretar como limitativo de ninguna forma en cuanto a la longitud, tipo o formato del identificador.

Los sistemas de verificación basados en PIN por lo general comprenden un teclado (numérico) que habilita al usuario para que introduzca su PIN preseleccionado. Un diseño de teclado típico conocido en la materia se muestra en la Figura 14A. Un teclado es un conjunto de botones o "teclas" dispuestas en un bloque o "panel". Las teclas se exponen en una retícula adyacentes una con otra para formar el panel. Las teclas tienen indicios (identificadores) impresos, grabados, en relieve o mostrados de otra forma en las mismas. Los indicios en una tecla consisten generalmente de un símbolo p.ej., "6" pero podrían comprender más de un símbolo p.ej., "AB". Los indicios en las teclas por lo general se acomodan en una manera ordenada, tal como una serie secuencial. Por ejemplo, los dígitos numéricos estarían ordenados generalmente en orden ascendente. En este documento, el término "teclado" se puede utilizar intercambiable mente con el término "panel de PIN" ( pínpad ) .

Los teclados a menudo se encuentran en esclavos alfanuméricos conectados a dispositivos de computación. Se conoce que otros dispositivos tales como calculadoras, teléfonos de botones pulsadores, cerraduras de combinación, y cerraduras digitales también comprenden un teclado. La llegada de los dispositivos portátiles de telecomunicaciones y computación también ha visto que se introducen teclados en los dispositivos móviles tales como teléfonos móviles (celulares), computadoras tablet, PDAs entre otros.

Muchos dispositivos electrónicos incluyen ahora capacidades de procesamiento de computadora y una interfaz de pantalla táctil capaz de mostrar un teclado. Estos se pueden utilizar para una variedad de propósitos, incluyendo permitir que un usuario autorizado "desbloquee" el dispositivo al introducir un código de acceso que comprende una combinación de símbolos preseleccionados, o introducir un número de teléfono para hacer una llamada. Las terminales de lectura de tarjetas en transacciones financieras también tienen teclados para permitir al usuario introducir su PIN por medio del teclado.

Cada tipo de teléfono inteligente (p.ej., marca y/o modelo) puede tener un estilo particular de teclado asociado con el mismo como su teclado "por defecto". Por ejemplo, las teclas pueden estar acomodadas en formato o diseño particular, o se puede utilizar una fuente particular para los indicios. Por lo tanto, el usuario de un dispositivo electrónico se puede familiarizar con una cierta "apariencia y sensación" con respecto al teclado en ese dispositivo. Un ejemplo de un teclado típico generado y mostrado en un teléfono inteligente ampliamente conocido se muestra en la Figura 14B. El teclado por defecto se genera por la ejecución de una llamada a procedimiento dentro del teléfono.

En contraste a los teclados convencionales, los cuales tienen teclas que se pueden presionar (móviles físicamente), se puede utilizar una pantalla táctil para mostrar una imagen de un teclado que tiene zonas activas "hot spots" numeradas o indicadas de otra forma que corresponden a las teclas físicas de su contraparte convencional. El usuario toca las zonas activas que corresponden a las teclas de su elección en lugar de presionar una tecla movible. Los sensores colocados por debajo de la superficie de la pantalla detectan qué área(s) ha(n) sido seleccionada(s) por el usuario, "lcyendo" de esta manera la entrada del usuario.

Quizás el uso más común de teclados y teenología basada en PIN es en relación con las transacciones financieras p.ej., cajeros automáticos (conocidos como "ATM, Automatic Teller Machine" o "máquinas de cajero automático") y dispositivos de punto de venta para tarjetas bancarias (esto es, tarjetas de débito y tarjetas de crédito).

Antes de la introducción de la autenticación basada en PIN, si un cliente deseaba hacer una compra de mercancías o servicios, se le requeriría proporcionar una firma que sería comparada con la firma en la parte posterior de la tarjeta. Sin embargo, las firmas pueden ser falsificadas con relativa facilidad.

Con el fin de tratar este problema, la tecnología de tarjeta inteligente se ha introducido en muchos países para tarjetas de crédito, débito y ATM. Este sistema de pago (en ocasiones conocido como el sistema " chip and pin" ) se basa en un estándar global conocido como el estándar EMV. Utilizando este enfoque, las tarjetas de crédito y débito están provistas con un microchip incrustado. Cuando un cliente desea pagar mercancías utilizando este sistema, la tarjeta se coloca en una terminal de "punto de venta" o un lector modificado de deslizamiento de tarjeta, se accede al chip en la tarjeta. Una vez que la tarjeta ha sido verificada como auténtica, el cliente introduce un PIN de 4 dígitos, que se presenta al chip en la tarjeta inteligente; si los dos coinciden, el chip le dice a la terminal que el PIN fue correcto, de otra manera informa que el PIN fue incorrecto. El PIN introducido coincide con el PIN almacenado si cada símbolo en la entrada también se encuentra en la versión almacenada, y en el mismo orden y número.

En ciertas situaciones, las transacciones financieras se pueden llevar a cabo por medio del deslizamiento de la banda magnética en la tarjeta para leer los datos de la tarjeta, o por la entrada manual de los detalles de la tarjeta, en lugar de insertar la tarjeta en el dispositivo lector de tarjeta dedicado.

Se debe observar que conforme el PIN es enviado de vuelta al ordenador central para su verificación, las consideraciones de seguridad se vuelven relevantes debido a que el PIN puede ser interceptado durante el proceso de transmisión.

Desde la introducción de la verificación basada en PIN, se ha reducido drásticamente el fraude que surge de las transacciones cara-a-cara (donde la tarjeta y el cliente están físicamente presentes en el sitio de venta donde se presenta la transacción) debido a que es significativamente más difícil obtener fraudulentamente o adivinar un PIN de lo que es falsificar una firma.

Por otra parte, antes del surgimiento de la autenticación basada en PIN, si la firma del cliente era falsificada, el proveedor de la tarjeta era por lo general responsable legalmente de cualquier fraude consiguiente y era obligado a reembolsar al cliente. Con la introducción de la teenología de tarjeta inteligente, sin embargo, el deber ha pasado por lo general al cliente para comprobar que ha actuado "con cuidado razonable" para proteger su PIN, en lugar de requerir al proveedor de la tarjeta que compruebe que la firma proporcionada durante la transacción coincidió con la de la tarjeta. Esta transferencia de responsabilidad proporciona beneficios financieros muy significativos para los proveedores de tarjetas.

Otro inconveniente de la verificación basada en firma es que no se presta a transacciones donde la tarjeta (y el cliente) no está presente en el lugar de venta cuando se lleva a cabo la transacción - por ejemplo, las transacciones hechas a través del teléfono o Internet. Tales transacciones se conocen por lo general, transacciones de "tarjeta no presente" (CNP, Card Not Present).

Las transacciones de CNP son ahora triviales en el entorno de venta al por menor de bien día, con muchos clientes eligiendo conducir las operaciones financieras sin estar en la ubicación de venta al por menor. Sin embargo, mientras la teenología basada en PIN proporciona una solución de autenticación relativamente segura para las transacciones cara-a-cara de "tarjeta presente", el fraude que surge de las transacciones de CNP está en aumento.

Además, la tecnología de teléfono móvil (celular) ha abierto nuevas oportunidades para los minoristas y consumidores del mismo modo. Los llamados teléfonos "inteligentes" comprenden capacidades sofisticadas de computación y se han vuelto extremadamente populares, ofreciendo al usuario facilidades tales como la capacidad de navegar en la web y ver sitios web de los minoristas. Los clientes y minoristas del mismo modo a menudo no están atados a una ubicación geográfica física sino que están "en movimiento". Por ejemplo, los clientes pueden desear hacer una compra por medio de un sitio web que está siendo visto en un teléfono móvil mientras espera una parada del camión; o un asistente de estacionamiento puede desear aceptar el pago de un conductor en un estacionamiento. En tales casos, las terminales de punto de venta dedicadas no están disponibles para su uso.

Sin embargo, a pesar de la enorme popularidad de la teenología de computación móvil, en teléfonos particulares, su uso con respecto a las transacciones de CNP se ha limitado debido a cuestiones de seguridad ya que los datos (ales como el PIN del usuario) pueden ser interceptados durante la transmisión desde el dispositivo hacia/desde el servidor del proveedor de la tarjeta, o mientras recibe en la memoria interna del teléfono.

Alguna tecnología relacionada con PIN ha sido diseñada con la movilidad en mente y se conocen el arte actual.

Por ejemplo, CardEase Mobile® es una aplicación de pago móvil que, en conjunción con un lector de tarjeta móvil, habilita a un minorista aceptar pagos de tarjeta móvil de chip y PIN de un cliente. El minorista introduce la cantidad de la compra en una aplicación descargada e instalada en su teléfono móvil (o dispositivo tablet). El minorista después da el dispositivo lector de tarjeta al cliente quien deslizado inserta su tarjeta de crédito/débito en el lector, e introduce su PIN por medio del teclado en el dispositivo lector. El lector después se conecta por medio de Bluetooth a la aplicación del dispositivo móvil del minorista, que después se conecta al proveedor de servicio por medio de la conexión a Internet del teléfono para la autorización del pago. Una vez que el pago ha sido aprobado, el cliente remueve su tarjeta del lector y el minorista manda por correo electrónico o textos un recibo al cliente.

Sin embargo, esta disposición conocida requiere el uso del lector de tarjeta. En efecto, utiliza el teléfono móvil para que juegue el rol de la terminal de punto de venta que por lo general estaría ubicada dentro de la tienda. El comerciante que toma el pago todavía necesita estar en la misma ubicación que el cliente que hace el pago debido a que debe tener a la mano el lector de tarjeta para que lo utilice el cliente con su tarjeta de crédito o débito. El sistema no elimina la necesidad de un dispositivo de lectura de tarjeta dedicado (esto es, construido para tal propósito).

Otro ejemplo del arte actual se divulga en el documento WO/2012/004395 Al iZettle . La disposición iZettle comprende un dispositivo lector de tarjetas portátil para leer una tarjeta inteligente, un dispositivo lector portátil y un servidor de pago. El objetivo del método que se divulga es eliminar el teclado inseguro en un teléfono móvil que se utiliza para introducir un PIN, y en su lugar utilizar un dispositivo de entrada de PIN separado que cumple la especificación a nivel de EMV. En esencia, el enfoque que se divulga utilizar un panel de PIN externo que se proporciona con todos los chips y componentes seguros requeridos y que simplemente se comunica con el teléfono móvil por medio de una conexión Bluetooth. Por lo tanto, como en la anterior, la divulgación de iZettle no resuelve el problema de utilizar dispositivos móviles inseguros para la entrada del PIN, simplemente lo elude utilizando un dispositivo de entrada de PIN separado.

De hecho, el documento de iZettle establece (lineas 6 a 19) que: "Una solución más práctica seria si un pago de tarjeta de crédito se pudiera conducir utilizando un dispositivo bien conocido, no voluminoso y comúnmente utilizado tal como un teléfono móvil. Sin embargo, un teléfono móvil ordinario no tiene un lector de tarjeta incorporado donde usted pueda deslizar su tarjeta de crédito, e incluso si ese problema particular se pudiera superar, todavía hay un problema con respecto al nivel de seguridad que proporciona un teléfono móvil. Es bien conocido que por ejemplo un programa espía se podría infiltrar en el teléfono móvil y secuestrar la información de la tarjeta de crédito y la información de identificación, tal como el código de PIN introducido en el teléfono móvil por medio del teclado del teléfono cuando se conduce un pago de tarjeta de crédito, sin que el usuario siquiera lo sepa. A la luz de lo anterior, un teléfono móvil estándar generalmente no se considera como un dispositivo seguro, y por lo tanto no es adecuado para hacer pagos de tarjeta de crédito. Por lo tanto, encontrar una forma de hacer pagos con tarjeta de crédito seguros con un teléfono móvil es muy buscado".

Otra disposición conocida (también del solicitante del documento WO/2012/004395 Al) comprende un dispositivo ( dongle ) y software asociado que se ajusta en el puerto de carga de un teléfono inteligente. Cuando se van a hacer una transacción, la tarjeta del cliente se inserta en el dongle. Después se le pide al cliente que firme la pantalla táctil del teléfono con su dedo con el fin de autorizar la transacción. Utilizando este enfoque, el usuario no necesita introducir un PIN. Por lo tanto, se evita el problema de entrada de PIN en un dispositivo portátil inseguro en lugar de resolverlo.

Todavía otro enfoque conocido se divulga en el documento WO 2011/093998 Al. Nuevamente, el enfoque que se divulga utiliza un lector de tarjeta basado en dongle que se enchufa en el dispositivo. Éste no proporciona una téenica segura para habilitar la autorización basada en PIN.

El documento GB 2416058 A divulga un enfoque para verificar una solicitud de acceso a un servidor. En respuesta a una solicitud de acceso, se genera una cadena aleatoria de caracteres por medio de un "generador de combinación" en un servidor de seguridad. Después utiliza esta cadena aleatoria para generar "datos de imagen" los cuales son enviados desde el servidor a la computadora del usuario. El teclado en la computadora del usuario se modifica entonces de acuerdo con los datos de imagen. Después el usuario introduce este PIN utilizando el teclado modificado mostrado en la computadora. Los datos posicionales relacionados con la selección del usuario dentro de la retícula de teclas (p.ej., primera-fila-primera-columna) se almacenan como un registro del PIN del usuario. Los datos posicionales después se convierten por la máquina del usuario en datos de caracteres tales como una cadena de dígitos para formar un PIN codificado que después se envía al servidor para su verificación. Sin embargo, el PIN tiene codificado puede ser "decodificado al saber los datos de imagen" - líneas 22, 23 de la página 10. Por lo tanto, ya que los datos de imagen son almacenados en la computadora del usuario, si se ve comprometida la seguridad de la máquina del usuario (p.ej., hackeada, o infectada con malware) se puede obtener acceso a los datos de imagen, habilitando de esta manera que un tercero de codifique el PIN del usuario.

Por lo tanto, es deseable proporcionar un método de autenticación que no haga vulnerable el PIN al acceso no autorizado durante la transmisión entre dispositivos, o cuando se almacena temporalmente en un dispositivo electrónico durante el proceso de verificación.

BREVE DESCRIPCIÓN DE LA INVENCIÓN De manera ideal, una solución de autenticación basada en PIN habilitaría a un usuario completar una transacción de CNP utilizando un PIN para autenticar en una manera segura. De manera ideal, tal solución: • se podría implementar en un dispositivo electrónico portátil tal como un teléfono móvil, dispositivo de computación tablet, laptop, PDA, etc., o en una computadora de escritorio o dispositivo fijo; • habilitaría la autenticación basada en PIN a llevarse a cabo en cualquier dispositivo dispuesto de manera adecuada que tenga algunas capacidades de computación; • requeriría que el usuario introdujera su PIN utilizando los mismos dígitos que su PIN almacenado y en el mismo orden (en lugar de requerir que el usuario introduzca una versión "codificada" o disfrazada/traducida de alguna forma de su PIN); • sería fácil e intuitiva de utilizar; • no requeriría que la máquina del usuario tenga acceso al PIN "real" del usuario, o cualquier conocimiento de cómo calcularlo; • no necesitaría ejecutar ningún algoritmo de conversión o codificación (que lleva consigo requerimientos adicionales de tiempo y procesamiento, y que puede ser utilizado para discernir el PIN del usuario).

Tal solución mejorada se ideado ahora, la cual proporciona al menos estas ventajas.

Por lo tanto, de acuerdo con la presente invención se proporciona un método y sistema como se reivindica en sus diferentes modalidades en este documento.

De acuerdo con un primer aspecto de la invención, se puede proporcionar un método de verificación implementado por computadora que comprende el paso de: habilitar a un usuario que introduzca un identificador en un dispositivo electrónico que tiene: i) una pantalla; y ii) un teclado operable dentro de una zona del teclado de la pantalla; al operar al menos una tecla del teclado por medio de una imagen de al menos parte de un teclado revuelto que se muestra al menos parcialmente dentro de la zona del teclado.

La imagen se puede denominar como una "imagen de teclado revuelto" para facilidad de referencia.

El teclado es operable en que llene la funcionalidad que se espera de un teclado por una persona experimentada en la materia. La persona experimentada entendería el término "teclado" como una retícula electrónica o mecánica de teclas, cada una con al menos un indicio asociado con la misma, que, cuando se selecciona por un usuario, provoca que se introduzca el indicio asociado en un dispositivo o sistema para su almacenamiento y/o procesamiento. En el contexto de la presente invención, el teclado es una versión electrónica de un teclado. Se puede pensar como un teclado "virtual" en que es una emulación de software de un teclado mecánico. Proporciona toda la funcionalidad de un teclado mecánico, que comprende teclas etiquetadas que el usuario puede seleccionar para proporcionar entrada a un sistema basado en computadora.

El teclado puede ser generado en o por el dispositivo electrónico. Este puede ser generado por una llamada a procedimiento. El procedimiento puede ser proporcionado dentro de una librería suministrada por el fabricante del dispositivo.

En contraste, la imagen de teclado revuelto es una representación de un teclado. La representación puede comprender una representación de todo un teclado o al menos parte de un teclado. Esta puede representar (o ilustrar) una o más "teclas". La imagen se puede formar electrónicamente. Puede ser una imagen gráfica, una imagen óptica, un video o alguna otra forma de representación visual. Se puede formar o almacenar en formato digital en un archivo electrónico.

Esto proporciona la ventaja de que el diseño de las "teclas" en la representación puede no ser leído fácilmente por una parte no autorizada quién podría interceptar la representación durante la transmisión o mientras esta se muestra en el dispositivo electrónico.

La imagen de teclado revuelto no es un teclado en sí debido a que está desprovisto de cualquier funcionalidad. Es solamente una representación de una retícula de teclas. Realizar un toque, clic o seleccionar de otra forma cualquier "tecla" que se represente en la imagen no produce, en y de sí misma, ningún efecto ni genera una entrada.

Sin embargo, se debe observar que la imagen de teclado revuelto puede denominarse en ocasiones como un "teclado", "teclado revuelto" o un "teclado suprayacente" puramente por facilidad de referencia debido a que en uso éste parece funcionar como un teclado. Las áreas de la imagen se pueden denominar como "teclas", nuevamente sólo por facilidad de referencia debido a que esto es lo que parece que el usuario ve y utiliza. Sin embargo, se debe recordar que esto no es realmente el caso, y que la imagen no es un teclado en realidad.

La invención puede habilitar al usuario para que introduzca su identificador por medio del mismo componente de dispositivo que se utiliza para mostrar la imagen de teclado revuelto (la pantalla). Dicho de otra forma, la pantalla puede servir tanto como el dispositivo de salida (visualización) para la imagen de lado revuelto como el dispositivo de entrada por medio del cual se puede introducir el identificador del usuario. Esto contrasta con cualquier divulgación del arte actual en que el teclado se muestra en un componente de dispositivo (p.ej., pantalla) y la entrada del usuario se recibe por medio de otro componente de dispositivo (p.ej., teclado).

Una ventaja de esta característica es que puede habilitar que la entrada del usuario a partir de la imagen semana con el teclado electrónico el cual puede estar oculto al menos parcialmente de la vista del usuario de tal forma que la entrada del usuario se codifica automáticamente con la entrada por el usuario. La entrada se codifica automáticamente en el sentido que el dispositivo electrónico puede no requerir convertir, codificar o procesar de ninguna forma la entrada del usuario. El teclado se puede generar por medio de una llamada a procedimiento ejecutada en el dispositivo electrónico. El teclado operable, electrónico se puede denominar como un teclado de "referencia" o "subyacente" para facilidad de referencia.

Preferiblemente, la operación del usuario de la tecla del teclado por medio de la imagen genera una versión codificada de la entrada pretendida del usuario. Preferiblemente, la imagen se muestra dentro de la zona del teclado de tal forma que conforme el usuario toca, hace clic o identifica de otra forma una ubicación dentro de la imagen, se activa una tecla de teclado operable en esa ubicación para proporcionar una versión codificada de la entrada del usuario.

Por lo tanto, el identificador del usuario se introduce por medio de la imagen. El usuario puede seleccionar una porción de la imagen con el fin de introducir el identificador. La porción de la imagen puede asemejarse o representar una tecla del teclado. Por lo tanto, el usuario puede operar el teclado a través de la imagen.

Preferiblemente, la imagen funciona como una máscara o cubierta superpuesta sobre el teclado de tal forma que cuando el usuario toca, hace clic o identifica de otra forma una ubicación dentro de la imagen, esto opera o activa la tecla del teclado posicionada en esa ubicación dentro de la zona del teclado.

Preferiblemente, la zona del teclado y/o la imagen permanece en una posición fija en la pantalla durante la entrada del identificador del usuario. Esto diferencia la invención de aquellos sistemas en donde las teclas o todo el teclado se mueven en la pantalla durante el proceso de verificación. Ya que la imagen de la presente invención permanece en una ubicación fija, esto proporciona una solución que es más fácil de utilizar y requiere menos procesamiento por el dispositivo electrónico.

Por lo tanto, en un sentido la invención se puede ver como habilitando una imagen de teclado revuelto para ser "superpuesta" sobre un teclado "subyacente" de tal forma que cuando el usuario lleva a cabo su entrada por medio de la imagen de teclado revuelto suprayacente ésta se codifica de acuerdo con el diseño del teclado subyacente (preferiblemente oculto).

El teclado "subyacente" se puede ver como un objeto generado y que reside en la memoria volátil del dispositivo en tiempo de ejecución para proporcionar un modelo de un teclado mecánico convencional.

Por lo tanto, la invención proporciona la ventaja de que el identificador "real" del usuario nunca se almacena en el dispositivo y no se transmite para su verificación. Por lo tanto, el identificador del usuario no puede ser derivado por ningún interceptor potencial sin el conocimiento del mapeo entre la imagen suprayacente y el teclado subyacente, funcional.

Preferiblemente, el mapeo entre la imagen suprayacente y el teclado subyacente no se almacena en el dispositivo electrónico, o se deriva por el dispositivo electrónico. El mapeo (o correlación) entre las posiciones de los dos conjuntos de "teclas" se puede almacenar en un servidor remoto del dispositivo electrónico.

Preferiblemente, la imagen de teclado revuelto puede ser enviada desde un recurso basado en computadora ubicado remotamente al dispositivo electrónico. El recurso puede ser un servidor. Por lo tanto, la imagen de teclado revuelto puede no ser generada en el dispositivo electrónico. Una versión de la imagen de teclado revuelto puede ser almacenada en el servidor. La versión puede ser un registro del orden de los símbolos (teclas) en la imagen de teclado revuelto.

La zona del teclado puede ser un área definida o porción de la pantalla. Por lo tanto, la zona del teclado puede ocupar toda el área de pantalla o una porción de la pantalla. La imagen de teclado revuelto se puede mostrar de tal forma que cubra la zona del teclado completamente, exactamente o parcialmente. Preferiblemente, el teclado subyacente está oculto al menos parcialmente de la vista de tal forma que el usuario no es capaz de ver al menos algunas de las teclas del teclado.

El identificador puede ser un código de identificación personal. Puede ser un PIN (número de identificación personal). Puede comprender cualquier número, tipo o combinación de símbolos o indicios (como se explicó anteriormente). El identificador puede haber sido preseleccionado por el usuario antes de ejecutar el método presentemente reivindicado. El identificador se puede almacenar remotamente del dispositivo electrónico p.ej., en un servidor. La imagen de teclado revuelto y/o teclado puede comprender dígitos numéricos, caracteres alfabéticos, puntuación, símbolos o cualquier otro indicio, o una combinación de los mismos. Se pueden asociar uno o más símbolos con cada tecla.

Preferiblemente, el usuario puede ser capaz de seleccionar una pluralidad de "teclas" en la imagen de teclado revuelto para introducir un identificador que comprende más de un símbolo.

La imagen de teclado revuelto puede estar revuelto con respecto a un teclado de referencia. La imagen de teclado puede representar un bloque o retícula que comprende una pluralidad de teclas adyacentes. Puede estar "revuelto" en el sentido que los símbolos en las "teclas" no están en orden secuencial y/o no en el orden que uno esperaría, tal vez con referencia al teclado de referencia. La revoltura puede ser de acuerdo con un proceso de generación aleatorio, o un proceso que se aproxima a un proceso aleatorio. El teclado de referencia puede ser el teclado operable dentro de la zona del teclado, o un teclado por defecto asociado como estándar con una marca, modelo, tipo del dispositivo electrónico.

Por lo tanto, los mismos indicios pueden estar presentes tanto en el teclado subyacente como en la imagen de teclado revuelto pero se proporcionan en diferentes posiciones. Puesto de otra forma, el orden de las teclas en el teclado de referencia es diferente al de la imagen revuelta. La imagen de teclado revuelto puede proporcionar la misma "apariencia y sensación" que el teclado por defecto asociado con el dispositivo electrónico, pero las "teclas" en diferentes posiciones relativas.

Las posiciones respectivas de una, algunas o todas las "teclas" en la imagen de teclado revuelto pueden ser diferentes de la posición de la(s) misma(s) tecla(s) en el teclado subyacente.

El usuario puede operar las teclas del teclado subyacente por medio de la imagen de teclado revuelto al interactuar con las "teclas" mostradas en la pantalla. Por ejemplo, la entrada del usuario puede ser introducida por el usuario al tocar la pantalla (con un dedo u otro dispositivo) o al seleccionar la(s) "tecla(s)" deseada(s) utilizando un dispositivo apuntador tal como un ratón o bola de desplazamiento. Se pueden utilizar otros métodos de selección para efecto similar, cayendo por lo tanto dentro del alcance de la invención.

La posición y/o dimensiones de la zona del teclado se pueden especificar por medio de una llamada a procedimiento o método.

Preferiblemente, la zona del teclado comprende una pluralidad de subzonas o "zonas activas" ( hot spots ) . La posición de al menos una "tecla" en la imagen de teclado revuelto y/o el teclado puede corresponder a la posición de una subzona de tal forma que puede haber un mapeo entre las "teclas" del teclado revuelto y las teclas del teclado y/o la pluralidad de subzonas. Es deseable que el mapeo no se derive de o por el dispositivo electrónico. Las zonas activas pueden ser subyacentes a las teclas de la imagen de teclado revuelto.

El teclado (subyacente) se puede revolver después de cada una de las selecciones de tecla del usuario. Por lo tanto, se puede utilizar un teclado subyacente revuelto diferente para cada toque de tecla de la entrada del usuario.

Preferiblemente, la imagen de teclado revuelto se recibe por el dispositivo electrónico desde un recurso basado en computadora (p.ej., un servidor) ubicado remotamente del dispositivo electrónico. Esta puede ser enviada al dispositivo electrónico desde el servidor con respecto a una solicitud de una imagen, la solicitud es enviada desde el dispositivo al servidor. La imagen de teclado revuelto puede ser generada por el usuario.

Preferiblemente, la imagen de teclado revuelto es pre generada. En una modalidad esto puede significar que se genera antes de, no en respuesta a, la solicitud del dispositivo electrónico. La imagen puede ser generada antes de la ejecución del método de verificación.

La versión codificada de la entrada del usuario (identificador) puede ser enviada desde el dispositivo electrónico a un recurso basado en computadora remoto. Este recurso puede ser un servidor. Preferiblemente, el servidor reside la versión codificada de la entrada del usuario y la procesa. El procesamiento puede proporcionar una versión de codificada del identificador introducido del usuario.

Por lo tanto, el identificador "real" del usuario puede no ser transmitido. Solamente la versión codificada puede ser transmitida, lo cual puede no tener sentido para una parte no autorizada que no sabe el mapeo entre las "teclas" en la imagen de teclado revuelto y las teclas en el teclado subyacente.

La decodificación puede llevarse a cabo utilizando una versión o forma almacenada de la imagen de teclado revuelto. La versión o forma almacenada de la configuración de las teclas puede ser un nombre de archivo. El paso de decodificación puede proporcionar una versión decodificada de la entrada del usuario. Por lo tanto, el identificador "real" del usuario puede ser generado al traducir cada símbolo en la versión codificada en su contraparte correspondiente en la imagen de teclado revuelto.

La entrada de codificada del usuario puede ser comparada con una versión almacenada del identificador. La entrada del usuario puede ser considerada como correcta si la entrada coincide con el identificador almacenado.

Preferiblemente, el método además comprende los pasos: generar una pluralidad de imágenes de teclado revuelto; seleccionar una imagen de teclado revuelto de la pluralidad; y enviar una copia de la imagen de teclado revuelto seleccionada al dispositivo electrónico.

El método puede además comprender el paso de: remover al menos una imagen de teclado revuelto de la pluralidad antes de llevar a cabo la selección.

El método puede además comprender el paso de: remover la imagen de teclado revuelto de la pluralidad después de enviar la copia al dispositivo electrónico.

El método puede además comprender el paso de: remover de la pluralidad cualquier imagen de teclado revuelto que tenga al menos una tecla en la misma posición que la misma tecla en un teclado de referencia.

Preferiblemente, las posiciones de las teclas en la imagen de teclado revuelto permanecen sin cambios con relación una con otra durante la entrada del identificador del usuario. Esto es en contraste a las disposiciones del arte actual en las cuales la posición y/u orden de las teclas mostradas al usuario se puede revolver o reacomodar como vez en la pantalla después de cada una de las selecciones de tecla del usuario y/o después de cada sesión de verificación.

Preferiblemente, el símbolo de al menos una tecla en la imagen de teclado revuelto se obscurece u ofusca al menos parcialmente pero permanece legible para el usuario. Esto puede tener beneficios al hacer difícil de leer la representación utilizando software de reconocimiento óptico de caracteres (OCR, Optical character recognition). Esto mejora la seguridad del sistema y método.

El dispositivo electrónico puede ser un teléfono móvil, una PC, una computadora tablet, una laptop, un PDA, una terminal de lectura de tarjetas u otro dispositivo electrónico que tenga una pantalla. El dispositivo electrónico puede ser capaz de soportar un protocolo de comunicaciones tal como TCP/IP, ya sea a través de una linea inalámbrica o fija, aunque se pueden soportar otros protocolos, tal como Bluetooth, RS232, etc.

La comunicación entre el dispositivo (p.ej., teléfono móvil) y el recurso basado en computadora (p.ej., servidor) puede ser por medio de una linea de telecomunicaciones fija o por medio de una conexión de telecomunicaciones móvil/Wi-Fi, etc. - esencialmente se puede utilizar cualquier dispositivo basado en IP.

La imagen de teclado revuelto se puede mostrar por medio de un navegador web, o una aplicación incrustada en un navegador, o una aplicación de software independiente, y/o una aplicación que proporciona una interfaz gráfica de usuario para permitir al usuario interactuar con la imagen de teclado revuelto.

Se prefiere que la correlación de mapeo entre el posicionamiento de los indicios de la imagen de teclado revuelto y el teclado subyacente se almacene de manera remota del dispositivo, por lo general en el recurso basado en computadora remoto del dispositivo.

Con el fin de mejorar la seguridad, la imagen de teclado revuelto se puede re nombrar y/o cifrar antes de ser enviada al dispositivo electrónico. Esto proporciona el beneficio de que se previene o al menos se impide que terceros (tal como malware) intercepten y decodifiquen el identificador.

El método puede además comprender el paso de entregar un indicador al usuario para confirmar que la imagen de teclado revuelto ha sido proporcionada por una fuente legitima. El indicador puede ser una "marca de agua". El indicador puede ser un mensaje textual, imagen, video, sonido, vibración u otra indicación táctil. El indicador puede haber sido elegido por el usuario.

Preferiblemente, la imagen de teclado revuelto se borra del dispositivo electrónico después de la entrada del usuario, o después de un periodo de tiempo especifico.

Una nueva (esto es, diferente) imagen de teclado revuelto puede ser enviada al dispositivo si el usuario comete un error cuando introduce el identificador.

También de acuerdo con la invención, se puede proporcionar un método implementado por computadora para verificar un código de identificación personal (PIC) pre almacenado, el método comprende los pasos: generar una representación de un teclado, en donde la posición de al menos un indicio en la representación es diferente de la posición del indicio respectivo en el teclado; enviar la representación a un dispositivo remoto para su presentación a un usuario para habilitar que el usuario introduzca un PIC utilizando la representación; recibir una versión codificada del PIC introducido desde el dispositivo remoto; decodificar la versión codificada para proporcionar una versión decodificada del PIC introducido; comparar la versión decodificada del PIC introducido con el PIC pre-almacenado.

De acuerdo con un segundo aspecto, se proporciona un método implementado por computadora para verificar un código de identificación personal (PIC) pre-almacenado, el método comprende los pasos: recibir una representación de un teclado desde un recurso basado en computadora ubicado remotamente, en donde la posición de al menos un indicio en la representación es diferente de la posición del indicio respectivo en el teclado; presentar la representación a un usuario para habilitar que el usuario introduzca un PIC utilizando la representación; generar una versión codificada del PIC introducido; enviar la versión codificada del PIC introducido al recurso basado en computadora para decodificaria de tal forma que la versión decodificada del PIC introducido se pueda comparar con el PIC pre-almacenado.

De acuerdo con un aspecto adicional, se proporciona un método implementado por computadora para verificar un código de identificación personal (PIC) pre-almacenado, el método comprende los pasos: utilizar un recurso basado en computadora para generar una representación de un teclado, en donde la posición de al menos un indicio en la representación es diferente de la posición del indicio respectivo en el teclado; enviar la representación a un dispositivo remoto; presentar la representación a un usuario por medio del dispositivo remoto para habilitar que el usuario introduzca un PIC utilizando la representación; enviar una versión codificada del PIC introducido desde el dispositivo remoto al recurso basado en computadora; utilizar el recurso basado en computadora para decodificar la versión codificada para proporcionar una versión decodificada del PIC introducido y compararlo con el PIC pre-almacenado.

De acuerdo con otro aspecto de la invención, se proporciona un método de verificación implementado por computadora que comprende el paso de: habilitar a un usuario para que introduzca un identificador al seleccionar al menos una tecla por medio de un teclado revuelto presentado al usuario dentro de una zona del teclado de una pantalla asociada con el dispositivo electrónico.

De acuerdo con otro aspecto de la invención, se proporciona un sistema implementado por computadora dispuesto y configurado para llevar a cabo cualquier modalidad del método descrito anteriormente.

Los beneficios de la invención incluyen: una reducción de la probabilidad de fraude que surge de las transacciones de CNP; una reducción significativa en el costo asociado con tal fraude; un cambio en la responsabilidad del emisor de la tarjeta al usuario con respecto al uso fraudulento de la tarjeta; - la conveniencia para el usuario de transacciones de CNP seguras.

Estos y otros aspectos de la presente invención serán aparentes a partir de y se aclararán con referencia a la modalidad ilustrativa descrita en este documento.

BREVE DESCRIPCIÓN DE LOS DIBUJOS Ahora se describirá una modalidad de la presente invención, a manera de ejemplo solamente, y con referencia a los dibujos de acompañamiento, en los cuales: Las Figuras 1 a 4 ilustran algunos ejemplos de los diferentes tipos de teclados que se pueden generar de acuerdo con la invención.

La Figura 5 ilustra la producción de una representación de teclado revuelto de acuerdo con una modalidad ejemplar de la invención.

La Figura 6 ilustra el proceso de Registro de acuerdo con la invención.

La Figura 7 ilustra una base de datos personalizada de teclados ejemplar creada para el dispositivo registrado.

La Figura 8 muestra un proceso de transacción ilustrativo de acuerdo con la invención.

Las Figuras 9 y 10 ilustran una vista general de un proceso de aplicación de transacción segura ejemplar de acuerdo con una modalidad de la invención.

La Figura 11 muestra un teclado "estándar" ilustrativo de acuerdo con una modalidad de la invención.

Las Figuras 12A, 12B y 12C muestran ejemplos de imágenes de teclado revuelto que son adecuadas para ser superpuestas sobre el teclado estándar de la Figura 11.

La Figura 13 muestra una imagen de teclado revuelto siendo superpuesta en la parte superior del teclado estándar (de referencia) de un dispositivo.

La Figura 14A muestra un teclado numérico estándar como se conoce en el arte actual.

La Figura 14B muestra un teclado numérico en un teléfono móvil como se conoce en el arte actual.

La Figura 15A muestra una imagen de teclado pre-generada antes de la aplicación de una marca de agua.

La Figura 15B muestra la imagen de teclado de la Figura 15A con la marca de agua proporcionada en la esquina inferior derecha de la zona del teclado.

La Figura 15C muestra la imagen de teclado de la Figura 15b pero con la marca de agua en una posición diferente (inferior izquierda).

La Figura 15D muestra la imagen de teclado de la Figura 15A con una imagen fotográfica utilizada como una marca de agua en el fondo.

Las Figuras 16A a 16E muestran diferentes imágenes de teclado revuelto generadas a partir de 4 secuencias numéricas diferentes.

La Figura 17 muestra la imagen de teclado revuelto que tiene una combinación de teclas alfabética si numéricas.

La Figura 18 muestra tres imágenes parciales que, cuando se muestran repetidamente en sucesión rápida, forman una imagen aparentemente estática, reconocible.

La Figura 19 muestra un ejemplo de cómo se puede implementar la invención dentro de un sistema de procesamiento de transacción financiera.

DESCRIPCIÓN DETALLADA DE LA INVENCIÓN Pasando a las figuras, ahora se describe una modalidad ejemplar en relación con el uso con un teléfono móvil. Sin embargo, la invención se puede utilizar para llevar a cabo verificación de PIN en una variedad de diferentes tipos de dispositivo, suponiendo que el dispositivo tiene algunas capacidades de procesamiento y una pantalla para la visualización de un teclado.

La modalidad ejemplar también se refiere al uso con respecto a transacciones financieras. Una aplicación para lo cual la invención es adecuada es aquella de la banca en linea. Sin embargo, experimentado en la materia fácilmente entenderá que la invención se puede emplear en otros escenarios y para propósitos no financieros. No se limita a aplicaciones de negocios o comerciales.

De manera importante, la invención puede ser utilizada en cualquier situación donde se requiere la verificación de la identidad de un individuo antes de permitir que el individuo tenga acceso a algún recurso controlado. El recurso controlado puede ser cualquier tipo de recurso. Éste puede ser los fondos en una cuenta financiera. Igualmente, podría ser un edificio, un sistema de computadora, los registros médicos de un paciente, un servicio entre otros. Por ejemplo, se puede utilizar para la verificación de un código de acceso en una cerradura de puerta para establecer la autenticación antes de permitir la entrada a un edificio.

Es importante observar que la aplicación orientada financieramente descrita más adelante es solamente un propósito para el cual se puede dirigir esta invención. Se ha seleccionado para propósitos ejemplares debido a que la verificación de chip y PIN es tal vez el uso más ampliamente conocido de la verificación basada en código y por lo tanto más fácilmente reconocido por los lectores de este documento. Sin embargo, los experimentados en la materia entenderán que la invención no se limita con respecto al entorno o contexto en el cual la invención se puede poner en uso finalmente.

Es también importante observar que la invención no constituye un medio para llevar a cabo una transacción en sí. Es una herramienta de verificación útil para autenticar la identidad de un individuo quien ha solicitado acceso a un recurso controlado. Esto no dicta cómo se lleva a cabo el acceso después de que se establece la autorización, ni dicta cómo se conduce otra operación o posible transacción después de la verificación exitosa.

La modalidad ejemplar descrita más adelante opera esencialmente al crear una imagen de una versión revuelta de un teclado (que se puede llamar alternativamente un "panel de PIN"). La imagen de teclado revuelto se envía para su presentación o visualización en el dispositivo electrónico objetivo 1 para ser vista por el usuario. En este ejemplo, el dispositivo objetivo es un teléfono móvil 1, como se muestra en la Figura 6.

La imagen de teclado revuelto se reacomoda para parecerse al teclado estándar, por defecto para el dispositivo. Cada marca y/o modelo de dispositivo por lo general tiene su propio estilo o teclado por defecto el cual puede ser diferente en su diseño, símbolos, tamaño, color, etc. de los teclados por defecto asociados con otros dispositivos. El teclado por defecto por lo general se genera y muestra en el teléfono móvil por medio de una llamada a procedimiento, que especifica el formato del teclado para ese dispositivo y dónde se va a mostrar en la pantalla. El teclado por defecto es una retícula que ocupa un área específica en la pantalla, esto es, se muestra en una ubicación específica. Es un área o porción predefinida (denominada en este documento como una "zona del teclado") dentro de la pantalla del teléfono. La zona del teclado se divide en subzonas en donde cada subzona representa una tecla en el tablero de teclado por defecto. Otra forma de decir esto es decir que cada subzona está asociada con un símbolo particular. El símbolo para cada tecla se muestra para que el usuario lo vea en la pantalla dentro de la ubicación de su subzona respectiva. Por lo tanto, si el usuario selecciona (p.ej., toca o hace clic en) un área designada a una subzona particular, se registra el símbolo para esa tecla asociada. De esta forma, el teclado sirve como una versión virtual de un teclado mecánico, generado electrónicamente por medio de software, que detecta la ubicación de la entrada del usuario dentro del área de pantalla definida y utilizar eso para generar los datos de entrada en lugar de utilizar teclas para presionar físicamente.

En tales teclados virtuales, cada subzona es esencialmente una "zona activa" en la pantalla, y una pluralidad de zonas activas se combinan adyacentes una con otra para formar un teclado. En el presente ejemplo, el teclado por defecto 2 del teléfono está acomodado como una retícula de teclas de 3 c 4, cada tecla 4 tiene un símbolo asociado con la misma. En este caso, los símbolos incluyen dígitos numericos. Cada tecla 4 es un área de "zona activa" de la pantalla, cada zona activa está asociada con un símbolo en el teclado virtual.

Un ejemplo de un estilo bien conocido del teclado por defecto 2 que se utiliza con teléfonos inteligentes se muestra en la Figura 11. El teclado por defecto 2 se genera en el mismo dispositivo objetivo 1 - no se envía al dispositivo 1 desde el servidor ubicado remotamente.

Este teclado estándar 2 después se "superpone" con la imagen de teclado revuelto 3 que es enviada al teléfono y se muestra en la pantalla en la zona del teclado. Esta superposición se logra al mostrar la imagen del teclado revuelto dentro de la zona de visualización de teclado de tal forma que las posiciones de las "teclas" revueltas corresponden a las posiciones de las zonas activas en el teclado por defecto. El alineamiento de los dos lados es tal que solamente se ve por el usuario la imagen de teclado revuelto y se oculta el teclado subyacente, operable, al menos parcialmente pero preferiblemente por completo, por la imagen. Por lo tanto, por lo que al usuario se refiere, solamente hay un teclado, que se ve exactamente igual al teclado que el usuario espera, excepto con las teclas en diferentes posiciones una con relación a la otra.

Mientras el teclado por defecto para el teléfono móvil es la "norma" contra el cual se hace referencia con el teclado revuelto, éste se puede denominar como un "teclado de referencia".

Las Figuras 12A, 12B y 12C muestran ejemplos de imágenes de teclado 3 que son adecuadas para superponer encima del teclado estándar 2 de la Figura 11.

El teclado revuelto se envía al teléfono como una imagen. Alternativamente, se puede enviar como un archivo de video, a ser discutido a mayor detalle más adelante. Esta imagen o video 3 se puede denominar como una "representación" debido a que en un sentido representa un teclado físico (que se puede presionar).

La imagen de teclado revuelto 3 se ha pre-generado (esto es, antes de la inicialización del proceso de verificación). Se selecciona aleatoriamente de un conjunto de representaciones de teclado revuelto pre-generadas y después se envía a través de una red de telecomunicaciones al auricular (esto es, teléfono móvil) 1. La imagen de teclado revuelto de la Figura 3 es una representación del diseño de teclado por defecto 2. La diferencia entre el teclado por defecto 2 y la imagen de teclado revuelto 3 es que las teclas 4 respectivas están ordenadas de manera diferente. En otras palabras, los mismos dígitos están presentes en cada teclado pero al menos dos están en diferentes posiciones dentro de la retícula del teclado.

Esta representación de teclado 3 ha sido generada para tener exactamente las mismas dimensiones que el teclado por defecto de tal forma que se puede superponer perfectamente. Por lo tanto, el usuario (cliente) del teléfono móvil de solamente un teclado sin problemas. El usuario no está al tanto de que hay un teclado subyacente 2 que ha sido generado en el fondo, detrás de uno que el rcy utiliza para introducir su entrada. La imagen es enviada al dispositivo del usuario junto con una o más instrucciones para invocar o llamar el procedimiento necesario para generar el teclado subyacente.

La imagen de teclado revuelto 3, seleccionada aleatoriamente, se superpone de manera efectiva sobre el teclado por defecto 2 del teléfono de tal forma que cuando el usuario introduce su PIN, se genera un resultado diferente dentro del dispositivo además del que el usuario pretende introducir, o al menos piensa que está introduciendo. Esto se logra como un resultado de la relación (mapeo) entre las teclas 4 posicionadas de manera diferente en los dos teclados 2, 3. El usuario toca la pantalla en una ubicación particular para introducir un dígito mostrado en la imagen de teclado revuelto 3 superpuesta, pero esto se interpreta como siendo el dígito en el teclado subyacente 2 en esa subzona. Conforme el usuario hace una entrada subsecuente, su símbolo correspondiente, subyacente se concatena con la entrada previa para construir un PIN completo.

De esta forma, se produce una versión codificada del PIN del usuario con base en la posición de las teclas 4 ocultas que el usuario selecciona por medio de la representación de teclado revuelto 3. Si el usuario comete un error, se envía una nueva (diferentes) representación de teclado 3 al dispositivo 1.

Por lo tanto, el PIN que el usuario cree que está introduciendo no es el PIN registrado por el software que reside en el teléfono del usuario. El PIN "real" del usuario nunca se almacena en el teléfono 1 inseguro, y no se transmite a través de ninguna red (insegura). Solamente se almacena la versión codificada, transmitida. La versión codificada del PIN se puede cifrar antes de la transmisión para mejorar adicionalmente la seguridad. Por lo tanto, cualquier interceptor sería incapaz de decodificar, adivinar o traducir el PIN real sin saber cómo mapear las teclas una con otra en cada teclado.

En la presente modalidad, el proceso de decodificación es manejado por un componente de la invención que "conoce" el diseño de las teclas en ambos teclados y es capaz, por lo tanto, de mapear los dígitos codificados nuevamente a sus contrapartes originales, volviendo a la entrada pretendida por el usuario. Este PIN descifrado se puede comparar entonces contra el PIN almacenado previamente del usuario para propósitos de verificación.

En la modalidad ejemplar, la imagen de teclado revuelto 3 se cifra antes de ser enviada al teléfono 1. Con su llegada al teléfono 1, ésta se carga en una porción de memoria segura o protegida en el dispositivo 1 (o al menos tan protegida como pueda ser). En otras palabras, se utilizan todas las características de seguridad usuales por la invención como si el PIN real del cliente hubiera sido introducido (en lugar de una versión traducida). Esto proporciona otra capa de seguridad y protección.

Estos aspectos de la invención ahora se discuten a mayor detalle en relación con una forma en la cual se puede poner en uso la invención.

Producción del Panel de PIN El Programa de Producción de Panel de PIN" 6 es responsable de generar todas las imágenes de teclado revuelto 3 que se utilizan en el sistema. Una vista general de este aspecto de la invención se muestra en la Figura 5.

Si simplemente se utilizan teclados revueltos aleatoriamente, hay un riesgo de que una o más teclas puedan no estar revueltas posicionalmente. Esto podría resultar en que una o más teclas del PIN de entrada del usuario corresponden posicionalmente en el estándar y PIN revuelto. Esto no es ideal.

En consecuencia, durante la generación de un panel de PIN (imagen), se descartan las imágenes de teclado revuelto que pudieran tener una o más teclas posicionalmente correspondientes con el teclado estándar. La producción del panel de PIN no es preferiblemente puramente aleatoria, sino que se somete a un proceso de selección para seleccionar/descartar de acuerdo con un criterio específico.

La generación de panel de PIN (imagen) ocurre en un entorno seguro, por lo general de acuerdo con el estándar de seguridad de datos industriales de tarjeta de pago.

La resolución de salida y tipo de archivo se debe establecer inicialmente antes del uso en un dispositivo objetivo 1 particular (en este caso el tipo de teléfono móvil). Esto asegura que las imágenes producidas se generen en la resolución óptima para ese dispositivo, p.ej., 256 c 184.

Después se selecciona una "imagen de fondo" 7 maestra que coincide con la resolución como se mencionó anteriormente, y se selecciona un "archivo de permutaciones" 5 que contiene todas las permutaciones requeridas de dígitos (teclas) para las imágenes de teclado finales En una implementación, este archivo 5 debe ser un archivo de texto separado por comas con cada permutación en una nueva línea. Sin embargo, se puede prever una variedad de imple entaciones para el mismo efecto. Por ejemplo, cada permutación podría estar separada por un # o *.

El "archivo de permutaciones" 5 se fusiona con la "imagen de fondo" 7 utilizando la selección del usuario de tipo de fuente, tamaño y color para producir la imagen de teclado 3 completa. La imagen de teclado 3 completa después se optimiza y reduce en tamaño para ser lo más pequeña posible para su velocidad de transmisión óptima.

Además de los teclados monocromático se estándar como se muestra en las Figuras 1, 5, 9, 11, 12A-12C y 13, la imagen de fondo 7 puede ser manipulada. Por ejemplo, se puede alterar el color del fondo y/o el tipo, tamaño y color de fuente por defecto de tal forma que se puede generar una base de datos ilimitada de aislados para cada tipo de pantalla y dispositivo.

En algunas modalidades, se pueden incorporar anuncios, mensajes educacionales u otro contenido en las imágenes presentadas.

Estas imágenes de teclado pueden emplear fuentes o colores especiales para habilitar cualquier carácter regional específico, p.ej., Árabe, a ser utilizado, y también para asegurar que las imágenes no puedan ser leídas por programas de Reconocimiento de Caracteres Ópticos no autorizados (mejorando así la seguridad).

A cada imagen de teclado que se produce también se le proporciona un nombre de archivo único y se crea un índice maestro para todas las imágenes de teclado que han sido generadas. Cuando una imagen de teclado revuelto es enviada al dispositivo, se almacena temporalmente una copia del nombre de archivo de esa imagen. Éste nombre de archivo contiene el orden de las teclas dentro de la imagen de teclado. Esto habilita que se registre el mapeo entre la imagen de teclado revuelto y el teclado de referencia.

Para propósitos de seguridad, la imagen de teclado revuelto 3 se re nombra antes de ser cifrada y enviada al dispositivo remoto 1; esto previene que el malware u otras partes no autorizadas posiblemente intercepten y decodifiquen el PIN.

Las Figuras 1 a 4 ilustran algunos ejemplos de las diferentes apariencias que pueden proporcionar las imágenes de teclado revuelto 3 de acuerdo con la invención.

A manera de ejemplo, la Figura 2 muestra una imagen de teclado revuelto 3 que tiene un fondo de hojas de otoño. Esto se puede utilizar por el minorista para variaciones de temporada o se puede utilizar para propósitos de publicidad.

La Figura 3 muestra una imagen de blanco y negro solamente distorsionada de tal forma que no puede ser leída por software OCR. Los experimentados en la materia estarán al tanto de que tales imágenes requieren pantallas de alta resolución para ser mostradas correctamente.

La Figura 4 muestra una imagen de teclado monocromático que ha sido modificada para el alfabeto Árabe. Aquellos experimentados en la materia apreciarán que esta diferencia regional en los caracteres también se puede combinar con otros métodos de téenicas de generación de imágenes que se ilustran en las Figuras 2 y 3.

En los dispositivos potentes adecuados, se puede utilizar una superposición de video en lugar de una imagen estática para disminuir adicionalmente el potencial de que se pudiera utilizar software de OCR para leer el teclado. Esta característica también se podría utilizar para propósitos de publicidad.

Es importante que, con el fin de proporcionar un nivel de seguridad necesario, el malware y las partes no autorizadas no son capaces de leer los datos contenidos en la imagen de teclado revuelto que se muestra al usuario. Como se describió anteriormente, esto se logra por la invención al proporcionar el teclado revuelto en un formato de una sola imagen o foto. Mientras son posibles imágenes de OCR en una microcomputadora, los teléfonos móviles no tienen las capacidades de hacer esto, y seria casi imposible ocultar al malware para plantear el nivel requerido de sofisticación sin atraer la detección.

Este problema puede ser tratado, al menos en parte, al utilizar fondos y fuentes aleatorios que no pueden ser entendidos por las teenologías OCR. El problema también podría ser tratado al entregar la imagen de teclado como un archivo de video. Mientras los archivos de video no se prestan a ser leídos por tecnologías OCR, es técnicamente posible que un tercero "to e" una sola captura de un archivo de video y la lea.

Una solución que se puede incorporar en las diferentes modalidades de la invención sería combinar los dos sistemas antes mencionados en uno. Por lo tanto, la imagen de teclado revuelto se presenta al usuario en un formato simple (esto es, no se utilizan fuentes especiales y el fondo es "normal") pero el archivo en sí es un pequeño archivo de video que, cuando es reproducido, engañar al ojo al pensar que la imagen es sólida y estática. En realidad, ninguna sola trama contiene suficiente información para que se aplique ingeniería inversa para contenido entendióle, utilizable.

El sistema se puede lograr en tan poco como 3 tramas, cada una reproducida rápidamente y en su sesión para que parezca estática. En la Figura 18 se proporciona un ejemplo. Cuando se combina en un archivo de video, se muestra la palabra estática "Licentia" pero las imágenes individuales no pueden ser leídas por un paquete OCR.

Proceso de Registro Este aspecto de la invención se ilustra en la Figura 6.

En ciertas modalidades, un dispositivo 1 debe ser registrado antes que pueda ser utilizado con el sistema de la presente invención y se debe descargar una aplicación 8 pequeña en el dispositivo 1 objetivo. El dispositivo que se utiliza es un teléfono móvil 1, después puede ocurrir automáticamente el proceso de actualización "a través del aire"; si el dispositivo es una terminal fija, entonces el software 8 se puede descargar a través de una línea fija, aunque puede estar incorporado alternativamente en el dispositivo al momento de su fabricación y simplemente ser actualizado si se requiere.

Para- registrar un teléfono móvil 1 con el sistema, el usuario necesitaría emprender un proceso de registro que comprende los siguientes pasos: 1. Ingresar en el servicio de registro 9 por medio de una interfaz basada en web (p.ej., sitio web) 10. 2. Introducir sus detalles personales, esto es, Nombre, Dirección, Código Postal (C.P.), Marca y Modelo del Teléfono, Dirección de Correo Electrónico, Número de Teléfono Móvil. La naturaleza y tipo de datos requeridos se pueden estipular por el operador del sistema y variar de país a país dependiendo de la aplicación con la cual se esté utilizando el sistema. Además, los datos de registro pueden ya estar en el poder del operador ya que el cliente puede ser un cliente existente y por lo tanto la aplicación puede requerir ser introducida al dispositivo. 3. Después se envía un enlace al teléfono móvil 1 para que siga el usuario o la aplicación 8 simplemente se "introduce" en el teléfono. Cuando se ejecuta por primera vez, la aplicación 8 configura el dispositivo 1 y descarga cualquier dato adicional que pueda ser requerido, tal como claves de cifrado, etc. También se crea una base de datos personalizada de imágenes de teclado en el servidor para el dispositivo registrado (no se muestra en la Figura 7).

Para registrarse en el sistema con un dispositivo fijo, el usuario completarla un proceso similar como sigue: 1. Ingresar en el servicio de registro 9 por medio de una interfaz 10 basada en web. 2. Introducir sus detalles personales, esto es, Nombre, Dirección, Código Postal (C.P.), Marca y Modelo del Teléfono, Dirección de Correo Electrónico. Como en la anterior para el teléfono móvil, los datos requeridos podrían ser dictados por el operador del sistema. 3. El dispositivo después se conecta al servidor por medio de cualquiera de una línea fija o inalámbrica y si se requiere actualizar la aplicación interna. Se descarga cualquier dato adicional que se requiera, tal como claves de cifrado, etc. También se crea una base de datos personalizada de imágenes de teclado en el servidor para el dispositivo registrado (ver la Figura 7).

Considerar la Figura 7. Para ambos escenarios delineados anteriormente, para cada dispositivo que se registra en el sistema, se crea una base de datos personalizada (o índice) 13 de imágenes de teclado a partir de la base de datos maestra 11. La base de datos maestra consiste de imágenes de teclado que han sido generadas específicamente para el modelo registrado del dispositivo de usuario para asegurar su visualización óptima. Esta base de datos (o índice) 11 después se aleatoriza 12 para asegurar que ningún par de dispositivos tengan el mismo orden de imágenes de teclado revuelto, esto es la referencia de teclado "AXF015689.gif" puede estar en la ubicación 65894 para un dispositivo, pero en la posición 125948 en otro. Nuevamente, esta mejora la seguridad.

Se debe observar que en ciertas modalidades, el registro de usuario puede no ser un requerimiento. Este puede ser el caso donde el software se integra en una aplicación de un tercero. En tales modalidades, el método de registro requerido puede haber sido puesto en marcha por el tercero.

Proceso de Transacción Este aspecto de la invención se ilustra en la Figura 8.

Con el registro exitoso del usuario y dispositivo, se pueden llevar a cabo las transacciones. Se puede iniciar una autenticación (solicitud de PIN) por varios métodos dependiendo de la manera en que el sistema se ha integrado con las aplicaciones del tercero.

Por lo general la integración ocurre con terceros quienes: a. Fabrican dispositivos de deslizamiento de tarjeta o lectura de chip que están unidos al dispositivo móvil, o b. Introducen la información financiera y solicitud de pago subsecuente en el teléfono, esto es, aplicaciones de carretera de peaje; o c. Proporcionan sitios web que requieren entrada segura de PIN para obtener acceso a la información cuando se utiliza en aplicaciones tales como acceso a banca en linea.

Sin embargo, la invención no se pretende que esté limitada en este respecto y la naturaleza del servicio o recursos proporcionados por el tercero no es una característica limitativa de la invención.

En todos los casos descritos anteriormente hay un activador común para que la aplicación de PIN se cargue y lleve a cabo el proceso de entrada de PIN subsecuente.

Una vez que se ha recibido una solicitud de una imagen por el servidor (que puede ser denominado como el "recurso basado en computadora"), se identifica y auténtica el dispositivo 1 entrante y, si tiene éxito, la siguiente imagen de teclado del "índice" 13 del dispositivo se cifra y transmite al dispositivo 1. Las imágenes de teclado son enviadas secuencialmente según el "índice 2" del dispositivo como se muestra en el número de referencia 13 de la Figura 7 (en orden desde la parte superior a la inferior) y no se reutilizan.

Una vez que se recibe la imagen de teclado cifrado 3 por el dispositivo 1 ésta se cifra y se pasa a la "aplicación de terminal segura".

Aplicación de Terminal Segura Este aspecto de la invención se ilustra en la Figura 9 y la Figura 10.

La ''aplicación de terminal segura" es el programa que reside en el dispositivo/teléfono objetivo 1 o la terminal fija y es responsable de la entrada y transmisión seguras del PIN introducido del usuario de vuelta al servidor.

Como se describió anteriormente, se crea un teclado 2 en el dispositivo en una retícula de 3 c 4. A cada zona activa selectiva un carácter numérico. La aplicación después "superpone" este teclado de referencia 2 con la representación de teclado aleatorizado 3 que ha sido pre generado y enviado al teléfono 1. Esta representación de teclado aleatorizado 3 ha sido generada para que tenga exactamente las mismas dimensiones que el teclado 2 por debajo y se superponga perfectamente sobre el mismo, como se describió anteriormente.

Por lo tanto, cuando el usuario introduce su número de PIN 14 utilizando la representación revuelta 3, se genera una salida diferente, codificada. En el ejemplo siguiente, si el PIN del usuario era "6725" entonces la salida del teclado sería "0476". Es la salida de teclado de "0476" la que se cifra y se envía de vuelta al "motor de descifrado" del servidor.

Una vez que el teclado se ha presionado cuatro veces, la utilizando un algoritmo de imagen de teclado revuelto 3 se limpia de manera segura borrado seguro de la memoria protegida donde reside.

El Motor de Descifrado Una vez que el .servidor central (recurso basado en computadora) reside el PIN codificado y cifrado entrante del teléfono 1, éste se debe convertir nuevamente al PIN de usuario original.

Esto se hace por medio del "motor de descifrado" que se mantiene en un servidor seguro separado únicamente para este propósito. Como se describió anteriormente, cuando el dispositivo 1 se identifica a si mismo con el servidor y solicita una imagen de teclado 3, el nombre de archivo único para la imagen de teclado que fue enviado al dispositivo 1 se almacena temporalmente. Éste nombre de archivo contiene el orden de las teclas dentro del teclado, esto es, para la imagen de teclado que se muestra en la Figura 9 el nombre de archivo seria "0347152986". Esto habilita que se registre el mapeo entre la imagen de teclado revuelto y el teclado de referencia. Para propósitos de seguridad, la imagen de teclado revuelto 3 se re nombra antes de ser cifrada y enviada al dispositivo remoto 1.

Cuando llega el PIN cifrado, primeramente se descifra el mensaje utilizando la clave compartida que se utiliza para el teléfono/dispositivo (esta puede ser Triple DES o Clave Privada Pública, o lo que se considere apropiado durante el desarrollo de acuerdo con el teléfono).

Una vez que el mensaje ha sido descifrado, el PIN codificado que fue generado por la entrada del usuario debe ser descifrado. Para hacer esto, el nombre de archivo de la imagen de teclado que fue enviada se copia en un arreglo temporal y después para cada número que fue generado por la entrada del usuario, se sustituye el número en la posición del arreglo correspondiente, revelando de esta manera el número de PIN real.

De esta manera, para el ejemplo anterior, cuando el PIN del usuario era 6725, el teléfono género y transmitió un PIN cifrado de 0476.

Ahora, cuando el nombre de archivo de la imagen de teclado que fue enviada se copia en el arreglo "0347152986" obtenemos lo siguiente: Posición de Arreglo 1 2 3 4 5 6 7 8 9 0 Carácter de Nombre de Archivo 0347152986 Para cada número en el PIN generado, la "posición de arreglo" se ubica y se sustituye el "carácter de nombre de archivo" correspondiente.

El primer dígito del PIN = 0 (GOTO posición de arreglo 0); primer dígito del número de PIN del usuario = 6 Posición de Arreglo 1 2 3 4 5 6 7 8 Carácter de Nombre de Archivo 0 3 4 7 1 5 2 9 El segundo dígito del PIN = 4 (GOTO posición de arreglo 4); segundo dígito del número de PIN del usuario = 7 Posición de Arreglo 12 3 4 5 6 7 8 9 0 Carácter de Nombre de Archivo 0 3 4 7 1 5 2 9 8 6 El tercer dígito del PIN 7 (GOTO posición de arreglo 7); tercera dígito del número de PIN del usuario = 2 Posición de Arreglo 1 2 3 4 5 6 8 9 0 Carácter de Nombre de Archivo 0 3 4 7 1 5 9 8 6 El cuarto dígito del PIN 6 (GOTO posición de arreglo 6); cuarto dígito del número de PIN del usuario = 5 Posición de Arreglo 1 2 3 4 8 9 0 Carácter de Nombre de Archivo 0 3 4 7 9 8 6 Después de haber completado el proceso de descifrado, se revela la entrada "real" del usuario de 6725. Este número de PIN 6725 después se cifra utilizando el cifrado de la banca estándar y se pasa al adquirente o socio de la banca para su procesamiento. Se debe observar que esto solamente se cifra adicionalmente y se pasa al adquiriente en modalidades relacionadas con una transacción financiera.

Los datos pueden o no ser cifrados adicionalmente dependiendo de la naturaleza y requisitos de la aplicación especifica.

El arreglo después se borra de manera segura para asegurar la seguridad, junto con cualquier otro dato temporal.

Se debe observar que en ciertas modalidades alternativas, se pueden proporcionar 12 imágenes clave más pequeñas (una por cada número o zona activa). El teléfono u otro dispositivo puede estar dispuesto para seleccionar un número aleatorio y reacomodar las imágenes individuales en un arreglo de 3 c 4 (y por lo tanto hacer un teclado virtual sobre demanda). Sin embargo, tales modalidades presentan fisuras de seguridad potenciales y pueden proporcionar varios puntos de acceso para que el malware obtenga el PIN del usuario (ya que el teléfono/dispositivo tendría que transmitir el número aleatorio y por lo tanto el orden del panel de PIN de vuelta al servidor). Por lo tanto, tal modalidad es adecuada para aplicaciones donde los niveles de seguridad requeridos son en cierta medida menos estrictos.

También se debe observar que aunque la invención se ha descrito anteriormente con respecto a un teléfono móvil que tiene una pantalla táctil, otras modalidades pueden comprender un tipo diferente de dispositivo. Por ejemplo, en otra modalidad, el dispositivo podría ser una computadora personal, o una laptop, o una computadora tablet. La modalidad funcionaría esencialmente como se describió anteriormente, excepto que como dispositivos de computación de propósito general, tales como PCs, no comprenden por lo general una llamada a procedimiento estándar para generar un teclado como lo hacen los teléfonos móviles, la zona del teclado y zonas activas se especifican por medio de un componente de software construido para tal propósito que se ejecuta en el dispositivo. El software especifica la porción de la pantalla que conforma la zona del teclado, y las ubicaciones de las subzonas (teclas) y sus símbolos asociados dentro de la zona del teclado. La imagen de teclado revuelto se muestra en esa ubicación para proporcionar la téenica de superposición descrita anteriormente. El teclado subyacente se genera utilizando la misma (o sustancialmente la misma) llamada a procedimiento que se utiliza por la implementación de teléfono inteligente.

En otra modalidad, se podría proporcionar una terminal que se parece a las terminales de lectura de tarjetas que se utilizan en entornos de venta al por menor. La terminal podría comprender una pantalla táctil y comprender componentes internos que replican aquellos del teléfono móvil. Por lo tanto, la terminal puede recibir y enviar datos como lo puede hacer un teléfono, y la terminal puede funcionar de acuerdo con la invención como se describió anteriormente con referencia al dispositivo objetivo siendo un teléfono móvil.

Por lo tanto, la invención se puede configurar para su uso con una variedad de dispositivos relacionados con la computación para igual efecto.

Además, la invención se puede configurar para que incluya diferentes características que mejoran adicionalmente la seguridad de los datos del usuario.

Marca de Agua Por ejemplo, los llamados "ataques de hombre en el medio" son un problema conocido. Esto se puede tratar en la presente invención utilizando una característica de "marca de agua" para demostrar al usuario (esto es, un minorista o posiblemente el cliente final) que el dispositivo de entrada se está comunicando con una parte legítima (p.ej., el banco apropiado) y por lo tanto que la imagen de teclado revuelto ha sido enviada por la parte legítima y no un impostor.

Tal característica se puede implementar en una variedad de formas. Por ejemplo, cuando un minorista se registra para utilizar el sistema, escoge y almacena un indicador secreto (palabra, frase, número, nombre, imagen, etc.) que solamente él y la parte de confianza conocen. Después, cuando se requiere una transacción, se lleva a cabo el siguiente proceso: 1. Se lee la tarjeta del cliente. 2. Se introduce la cantidad de la transacción. 3. Se muestra la pantalla de entrada de PIN en la terminal.

Cuando se muestra la pantalla de entrada de PIN, el comerciante debe verificar físicamente que la palabra secreta seleccionada, etc. que registro se muestra en la pantalla antes de pasar la terminal al cliente para su entrada de PIN. Éste es esencialmente el mismo principio que se emplea en la teenología ssl, en donde uno busca un candado amarillo pequeño como una confirmación de la legitimidad del sitio.

Al hacer esto, la responsabilidad cae en el comerciante para asegurar que el dispositivo está comunicándose de manera segura con una parte legítima. Si se muestra un indicador (marca de agua) diferente del que el comerciante -espera, o no se muestra ningún indicador, se puede asumir que el proceso se ha visto comprometido.

Esta marca de agua puede permanecer en la pantalla por la duración de la entrada del PIN por el consumidor. Sin embargo, es preferible que solamente se muestre por un corto periodo de tiempo (p.ej., la región de pocos segundos) y después desaparece antes que pueda ser visto por otra persona, tal como el cliente. Si la marca de agua es vista por otra persona, esto le permitiría llevar a cabo un ataque de hombre en el medio. La Figura 15A muestra una imagen de panel de PIN pre-generado que está en blanco. El sistema crea una nueva imagen de panel de PIN para incluir la palabra secreta del usuario "jellybean" que después se cifra y envía al dispositivo. Esto se muestra en la Figura 15B.

Con el registro, el usuario puede también escoger donde mostrar la marca de agua, p.ej., a la derecha, a la izquierda, al centro, en la parte superior, etc. La imagen del teclado que tiene la marca de agua en la esquina inferior izquierda se muestra en la Figura 15C. En versiones alternativas, también se puede escoger un color de texto o estilo, o tamaño de fuente.

Por otra parte, la marca de agua no tiene que estar en forma textual. En algunas modalidades, el usuario puede subir una fotografía u otro archivo (p.ej., cuna foto familiar o una foto de la tienda, etc.) de tal forma que esta imagen se muestre en el fondo. Esto se ilustra en la Figura 15D.

Esta característica de marca de agua es adecuada para su empleo con todas las modalidades de la invención, independientemente del contexto en el cual se utilice la invención o la naturaleza del dispositivo para mostrar el teclado (p.ej., en línea mediante un navegador, por medio de una terminal dispuesta para su uso con la invención, o un teléfono móvil, etc.).

Cifrado Adicional del Panel de PIN Con el fin de mejorar adicionalmente la seguridad del sistema, la invención puede emplear una o más téenicas para hacer más difícil que una parte no autorizada descubra, discierna o calcule el mapeo entre la imagen de teclado mostrada (esto es, la que el usuario utiliza para introducir su PIN) y el teclado subyacente.

Por ejemplo, si el usuario ha seleccionado un PIN que contiene el mismo dígito más de una vez (p.ej., 1223) esto puede hacer más fácil calcular la correlación entre la entrada y el teclado "subyacente".

Un enfoque posible para superar esto podría ser crear más de un teclado subyacente. Por ejemplo, se podría generar un teclado virtual para cada presión de tecla. A continuación se proporciona un ejemplo.

La Figura 16A muestra una imagen de teclado revuelto, y la Figura 16B muestra un teclado "subyacente". Si el PIN del usuario es lili, entonces el PIN codificado que se envía de vuelta al servidor sería 9999. Esto proporciona a un hacker potencial un punto de inicio para un intento de calcular o adivinar el PIN del usuario.

Sin embargo, si se utilizan 4 teclados "subyacentes" diferentes en lugar de uno, se supera este problema. Por lo tanto, se puede enviar una secuencia de dígitos al dispositivo objetivo (p.ej., terminal, teléfono, PC) y la secuencia se utiliza por el dispositivo objetivo para formar el teclado. Para el teclado en la Figura 16B, la secuencia sería 3156790482. Utilizando este enfoque, es posible generar un nuevo teclado para cada presión de tecla requerida.

Por lo tanto, el panel de PIN superior según la Figura 16A se envía al dispositivo objetivo como una imagen, de acuerdo con la descripción establecida anteriormente. Después, se envían 4 secuencias numéricas para la creación del teclado subyacente, p.ej., 3156790482, 0746189352, 0347156289, 2581673904. Esto produce los teclados que se muestran en las Figuras 16B a 16E.

Suponer ahora que la entrada del usuario es lili. En lugar de que se produzca 9999, se produce el código 9857 y se envía de vuelta al servidor para su descifrado. Como el servidor "conoce" qué imagen de teclado revuelto fue enviada, y qué secuencias de dígitos, el PIN cifrado resultante parece ser mucho más aleatorio y es por lo tanto mucho más difícil de descifrar por un interceptor. El proceso de descifrado en el extremo del servidor sigue siendo como se mencionó anteriormente.

Además, con el fin de mejorar la seguridad, adicionalmente es posible utilizar combinaciones de otros caracteres en la generación de los paneles de teclados, no solamente caracteres. Por ejemplo, se podría enviar la secuencia Jg6KrBjoJ6. Esto generaría el teclado subyacente que se muestra en la Figura 17.

En tal modalidad, el uso de cadenas de caracteres generadas aleatoriamente en el lado inferior reduce la necesidad de "filtrar" los teclados subyacentes (como se describió anteriormente) para remover los teclados potencialmente inadecuados que podrían proporcionar a un atacante un punto de inicio posible para un ataque.

Sin embargo, en una modalidad preferida, solamente se utilizan 1.6m imágenes de teclado revuelto (superiores) en lugar de las posibles 3.6 y todavía se lleva a cabo una comprobación para asegurar que ningún mapeo es el mismo, esto es, 1= 1 entre los teclados superpuestos y el subyacente.

Arquitectura a Nivel del Sistema La Figura 19 ilustra una manera en la cual se puede implementar la invención en un sistema de transacción.

La Figura 19 incluye los siguientes componentes, o módulos de sistema.

Aplicación del dispositivo: una aplicación que se ejecuta en una terminal o teléfono móvil para administrar la interacción del usuario y el flujo de proceso téenico que incluye iniciar una transacción de pago, interactuar con el lector de tarjeta, solicitar un panel de oPin (oPinPad, esto es, imagen de teclado revuelto), cifrar el oPin introducido y enviar la transacción en linea para su autorización.

Módulo de administración de oPinPad: un módulo de aplicación independiente que se ejecuta en un centro de datos seguros central en un servidor dedicado. Contiene una base de datos de todas las imágenes TIF de oPinPad y administra la distribución de los TIFs de oPinPad sobre demanda.

Cliente de autenticación: un módulo de aplicación independiente que se ejecuta en un centro de datos seguros central, posiblemente en el mismo servidor que el módulo de administración de oPinPad (o, en algunas modalidades en su propio servidor dedicado) . Recibe el mensaje desde el dispositivo y lo prepara para ser enviado al conmutador de pagos para su autorización.

Aparato HPSAM: un módulo de aplicación independiente que se ejecuta en un centro de datos seguros central en un servidor dedicado. En algunas modalidades, el servidor puede tener seguridad más estricta.

En la Figura 19, se utiliza la siguiente terminología: • Dispositivo: terminal de pago o teléfono móvil donde se está llevando a cabo la transacción del pago. • oPin: "PIN ofuscado" - el PIN codificado que se genera por medio de las teclas del teclado subyacente del dispositivo; este no es el PIN real del titular de la tarjeta.

• PIN real: el PIN real asociado con la tarjeta del cliente que sería "cambiado" por el oPin antes de ser verificado por el emisor de la tarjeta. • oPinPad: panel de PIN ofuscado (esto es, la imagen de teclado revuelto) - la imagen TIF que es presentada al titular de la tarjeta para que introduzca su PIN y que tiene "teclas" en posiciones revueltas con relación al teclado subyacente del dispositivo.

• Arreglo de oPinPad: el arreglo que se va a utilizar para mapear el oPin con el PIN real, como se describió anteriormente.

• HPSAM: módulo de acceso de seguridad de pago del ordenador central (Hosted Payment Security Access Module).

• HSM: módulo de seguridad del hardware (Hardware Security Module).

• Lector de tarjetas: la terminal/dispositivo móvil que contiene o está conectado a un lector de tarjetas que recupera detalles de la tarjeta de pago del consumidor.

• Identificador ( Tag) : número de identificación único asignado al oPinPad para ayudar con el procesamiento posterior.

• ZMK: clave maestra de zona (Zone Master Key).

Haciendo referencia a los números de referencia en la Figura 19, el flujo de proceso del sistema ilustrativo es como sigue: 0. El dispositivo inicia una transacción de pago y captura la cantidad (desde la interfaz de usuario) y detalles de tarjeta (desde el lector de tarjetas). Los datos sensibles del lector de tarjetas se cifran antes de llegar a la aplicación. La aplicación entra en linea y solicita un oPinPad del servidor. Si es posible, oPinPad el se solicitaría al mismo tiempo que se recuperan los detalles de la tarjeta del lector de tarjetas. 1. El módulo de administración de oPinPad recupera un oPinPad (esto es, imagen de teclado revuelto) desde una base de datos y le asigna un identificador ( Tag) . El TIF de oPinPad y el Tag (ID único) se envían de vuelta al dispositivo. 2. El arreglo de oPinPad se envía al HPSAM junto con el Tag (ID único). Se borran todos los rastros de la combinación de Tag/arreglo del módulo de administración de oPin (en particular de la memoria). 3. La aplicación del dispositivo muestra la imagen de TIF de oPinPad (teclado revuelto) en el dispositivo y recoge el oPin como se describió anteriormente; el oPin se cifra inmediatamente utilizando un método de cifrado de campo (tal como DUKPT). Después se envía todo el mensaje de autorización al cliente de autenticación para autorización de pagos (este mensaje incluye la cantidad, los detalles cifrados de la tarjeta y el oPin cifrado). 4. El cliente de autenticación recoge los detalles de transacción y los pasa al conmutador de pagos. 5. El conmutador de pagos intercepta la transacción durante el procesamiento de enrutamiento estándar de tal forma que el oPin se puede reemplazar con el PIN real. Esto se hace al enviar el oPin con el Tag al HPSAM. 6. Utilizando el Tag, el HPSAM recupera el arreglo de oPinPad y lo utiliza para mapear el oPin con el PIN real. El PIN real se cifra inmediatamente utilizando 3DES y una ZMK que se alinea con el conmutador de pagos. 7. El PIN real se envía de vuelta al conmutador de pagos como un bloque de PIN y se agrega a la transacción para hacer mensaje de autorización de pagos de PIN en línea estándar de la industria (tal como, por ejemplo, un mensaje de ATM). 8. El bloque de PIN real se traduce utilizando un HSM estándar de la industria de tal forma que el PIN cifrado pueda ser manejado por la institución receptora (adquiriente, procesador, emisor).

Se debe observar que las modalidades mencionadas anteriormente ilustran más que limitar la invención, y que aquellos experimentados en la materia serán capaces de diseñar muchas modalidades alternativas sin apartarse del alcance de la invención como se define por las reivindicaciones adjuntas. En las reivindicaciones, cualquier signo de referencia colocado en paréntesis no se deberá interpretar como limitando las reivindicaciones. La expresión "que comprende" y "comprende", y similares, no excluye la presencia de elementos o pasos además de aquellos enlistados en cualquier reivindicación o la especificación como un todo.

En la presente especificación, "comprende" significa "incluye o consiste de" y "que comprende" significa "que incluye o consiste de". La referencia singular de un elemento no excluye la referencia plural de tales elementos y viceversa. El simple hecho de que se reciten ciertas medidas en diferentes reivindicaciones mutuamente dependientes no indica que no se pueda utilizar una combinación de estas medidas para sacar ventaja.

Claims (49)

NOVEDAD DE LA INVENCIÓN Habiendo descrito la presente invención como antecede, se considera como una novedad y, por lo tanto, se reclama como propiedad lo contenido en las siguientes: REIVINDICACIONES

1. Un método de verificación implementado por computadora, que comprende el paso de: habilitar a un usuario que introduzca un identificador en un dispositivo electrónico que tiene: i) una pantalla; y ii) un teclado operable dentro de una zona del teclado de la pantalla; al operar al menos una tecla del teclado por medio de una imaqen de al menos parte de un teclado revuelto que se muestra al menos parcialmente dentro de la zona del teclado.

2. El método de acuerdo con la reivindicación 1, caracterizado porque la operación del usuario de la tecla del teclado por medio de la imagen genera una versión codificada de la entrada pretendida por el usuario.

3. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen se forma electrónicamente, incluyendo una imagen gráfica, una imagen óptica, un video o alguna otra forma de representación visual.

4. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la zona del teclado es un área o porción definida de la pantalla que cubre toda la pantalla o una porción de la misma.

5. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen se muestra dentro de la zona del teclado de tal forma que el usuario toca, hace clic o identifica de otra forma una ubicación dentro de la imagen, una tecla del teclado en esa ubicación que se activa para proporcionar una versión codificada de la entrada del usuario.

6. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen se muestra de tal forma que ocupa la zona del teclado exactamente, completamente o parcialmente.

7. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen se muestra de tal forma que parece al usuario que la imagen es un teclado operable con teclas en un orden o configuración revuelta con respecto al teclado del dispositivo electrónico.

8. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen funciona como una máscara o cubierta superpuesta sobre el teclado de tal forma que cuando el usuario toca, hace clic o identifica de otra forma una ubicación dentro de la imagen, opera la tecla del teclado posicionada en esa ubicación dentro de la zona del teclado.

9. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la zona del teclado es una porción de la pantalla que está designada, antes que el usuario introduzca el identificador, como un área de visualización de teclado.

10. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la zona del teclado y/o la imagen permanece en una posición fija en la pantalla durante la entrada del identificador del usuario.

11. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque el identificador es un código de identificación personal o número de identificación personal.

12. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen representa un teclado revuelto que tiene al menos una tecla que está posicionalmente reordenada o reconfigurada con relación al diseño de las teclas en el teclado.

13. Un método de acuerdo con la reivindicación 12, caracterizado porque todas las teclas que se representan en la imagen están reposicionadas o reordenadas con relación a las teclas en el teclado.

14. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque se habilita que el usuario introduzca el identificador por medio de la interacción con la pantalla, tal como tocando una porción de la pantalla y/o seleccionando un área de la pantalla utilizando un dispositivo apuntador tal como un ratón o bola de desplazamiento.

15. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, además comprende el paso de: enviar la imagen al dispositivo electrónico desde un recurso basado en computadora ubicado remotamente.

16. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la zona del teclado comprende una pluralidad de subzonas o "zonas activas", cada subzonas correspondiente a una tecla del teclado.

17. Un método de acuerdo con la reivindicación 16, caracterizado porque la imagen el teclado revuelto se presenta al usuario de tal forma que la posición de al menos una tecla representada en la imagen corresponde a la posición de una subzona, proporcionando de esta manera un mapeo entre las teclas del teclado revuelto que se representa en la imagen y la pluralidad de subzonas.

18. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la configuración u orden de las teclas en el teclado se altera después de que se haya introducido al menos parte del identificador del usuario.

19. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque se construye una versión codificada del identificador del usuario dentro del dispositivo electrónico a partir de una pluralidad de activaciones de tecla en el teclado en respuesta a un clic, toque u otra indicación hecha por el usuario con respecto a la imagen en la pantalla.

20. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque el identificador introducido al dispositivo es enviado desde el dispositivo electrónico a un recurso basado en computadora remoto.

21. Un método de acuerdo con la reivindicación 20, caracterizado porque el recurso basado en computadora remoto recibe el identificador del usuario y lo procesa.

22. Un método de acuerdo con la reivindicación 21, caracterizado porque el identificador se procesa utilizando una forma o versión almacenada de la configuración de las teclas que se representan en la imagen del teclado revuelto.

23. Un método de acuerdo con la reivindicación 22, caracterizado porque la forma o versión almacenada de la configuración de las teclas es un nombre de archivo.

24.. Un método de acuerdo con la reivindicación 23, caracterizado porque el procesamiento involucra utilizar la forma o versión almacenada de la configuración de las teclas para proporcionar una versión de codificada del identificador introducido del usuario.

25. Un método de acuerdo con las reivindicaciones 22 a 24, caracterizado porque el identificador procesado se compara con una versión almacenada del identificador del usuario, y la entrada del usuario se considera como verificada si el identificador procesado coincide con la versión almacenada del identificador.

26. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen mostrada en el dispositivo se selecciona de una pluralidad de imágenes de teclados revueltos, preferiblemente en donde la pluralidad se filtra, selecciona o criba en alguna manera antes de seleccionar la imagen, tal como al filtrar la pluralidad para asegurar que ninguna imagen en la pluralidad represente ninguna tecla que esté en la misma posición que la tecla correspondiente en el teclado.

27. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, además comprende los pasos de: generar una pluralidad de imágenes de teclados revueltos; seleccionar una imagen de la pluralidad; y enviar una copia de la imagen seleccionada al dispositivo electrónico.

28. Un método de acuerdo con la reivindicación 27, además comprende el paso de: remover al menos una imagen de la pluralidad antes de llevar a cabo la selección.

29. Un método de acuerdo con las reivindicaciones 22 ó 24, además comprende el paso de: remover la imagen seleccionada de la pluralidad después de enviar la copia al dispositivo electrónico.

30. Un método de acuerdo con las reivindicaciones 27 a 29, además comprende el paso de: remover de la pluralidad cualquier imagen que represente un teclado revuelto que tenga al menos una tecla en la misma posición que la tecla respectiva en el teclado.

31. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque las posiciones de todas las teclas que se representan en la imagen permanecen sin cambios una con relación a otra durante la entrada del identificador del usuario.

32. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen del teclado revuelto se recibe por medio del dispositivo electrónico desde un recurso basado en computadora que se ubica remotamente del dispositivo electrónico.

33. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque el símbolo de al menos una tecla en la imagen del teclado revuelto está obscurecido u ofuscado al menos parcialmente, pero sigue siendo legible para el usuario.

34. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque el dispositivo electrónico es un teléfono móvil, una PC, una computadora tablet, una laptop, un PDA, una terminal de lectura de tarjetas, o un teléfono móvil dentro de un alojamiento de tal forma que se asemeje a un dispositivo de lectura de tarjetas o ePOS, o algún otro dispositivo electrónico que tenga capacidades de comunicación.

35. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen se muestra por medio de un navegador web, o una aplicación incrustada en el navegador, o una aplicación de software independiente, y/o una aplicación que proporciona una interfaz gráfica de usuario para permitir que el usuario interactúe con la pantalla.

36. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, además comprende el paso de: entregar un indicador al usuario para confirmar que la imagen del teclado revuelto ha sido proporcionada por una fuente legitima.

37. Un método de acuerdo con la reivindicación 36, caracterizado porque el indicador es una indicación audible, una indicación visual, un mensaje textual, imagen, video, sonido, marca de agua, vibración u otra indicación táctil.

38. Un método de acuerdo con la reivindicación 36 ó 37, caracterizado porque el indicador ha sido elegido por el usuario.

39. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la posición de la zona del teclado en la pantalla, y/o sus dimensiones, se especifican por medio de una llamada a procedimiento o método.

40. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen y/o el teclado comprende dígitos numéricos, caracteres alfabéticos, símbolos o cualquier otro indicio, o una combinación de los mismos.

41. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la imagen se borra del dispositivo electrónico después de la entrada del usuario o después de un periodo de tiempo específico.

42. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque el identificador introducido por el usuario se verifica para controlar el acceso a un recurso tal como un recurso financiero, un dispositivo, un edificio, un recurso electrónico, un recurso médico, un recurso de información o datos, o un recurso basado en computadora.

43. Un método de acuerdo con cualquiera de las reivindicaciones anteriores, además comprende los pasos de: enviar la imagen al dispositivo electrónico desde un recurso basado en computadora ubicado remotamente; y enviar al menos una instrucción al dispositivo electrónico, dicha al menos una instrucción configurada para generar el teclado operable con su ejecución por el dispositivo.

44. Un método de verificación implementado por computadora, que comprende los pasos de: generar una pluralidad de imágenes de teclados revueltos; filtrar, seleccionar o cribar la pluralidad de imágenes en alguna manera de acuerdo con al menos un criterio, tal como filtrar la pluralidad para asegurar que ninguna imagen en la pluralidad represente ninguna tecla que esté en la misma posición que la tecla correspondiente en el teclado; seleccionar una imagen de la pluralidad.

45. Un método implementado por computadora para verificar un código de identificación personal (PIC) pre almacenado, el método comprende los pasos de: generar una representación de un teclado, en donde la posición de al menos un indicio en la representación es diferente de la posición del indicio respectivo en el teclado; enviar la representación a un dispositivo remoto para su presentación a un usuario para habilitar que el usuario introduzca un PIC utilizando la representación; recibir una versión codificada del PIC introducido desde el dispositivo remoto; decodificar la versión codificada para proporcionar una versión de codificada del PIC introducido; comparar la versión de codificada del PIC introducido con el PIC pre-almacenado.

46. Un método implementado por computadora para verificar un código de identificación personal (PIC) pre almacenado, el método comprende los pasos de: recibir una representación de un teclado desde un recurso basado en computadora ubicado remotamente, en donde la posición de al menos un indicio en la representación es diferente de la posición del indicio respectivo en el teclado; presentar la representación a un usuario para habilitar que el usuario introduzca un PIC utilizando la representación; generar una versión codificada del PIC introducido; enviar la versión codificada del PIC introducido al recurso basado en computadora para su decodificación de tal forma que la versión de codificada del PIC introducido se pueda comparar con el PIC pre-almacenado.

47. Un método implementado por computadora para verificar un código de identificación personal (PIC) pre almacenado, el método comprende los pasos de: utilizar un recurso basado en computadora para generar una representación de un teclado, en donde la posición de al menos un indicio en la representación es diferente de la posición del indicio respectivo en el teclado; enviar la representación a un dispositivo remoto; presentar la representación a un usuario por medio del dispositivo remoto para habilitar que el usuario introduzca un PIC utilizando la representación; enviar una versión codificada del PIC introducido desde el dispositivo remoto al recurso basado en computadora; utilizar el recurso basado en computadora para decodificar la versión codificada para proporcionar una versión decodificada del PIC introducido y compararla con el PIC pre-almacenado.

48. Un método de verificación implementado por computadora que comprende el paso de: habilitar a un usuario para que introduzca un identificador al seleccionar al menos una tecla por medio de un teclado revuelto presentado al usuario dentro de una zona del teclado de una pantalla asociada con un dispositivo electrónico.

49. Un sistema implementado por computadora dispuesto y configurado para llevar a cabo el método de acuerdo con cualquiera de las reivindicaciones anteriores.