MXPA01007936A

MXPA01007936A - Sistema de acceso biometrico a cajero automatico sin identificacion.

Info

Publication number: MXPA01007936A
Application number: MXPA01007936A
Authority: MX
Inventors: Ned Hoffman
Original assignee: Veristar Corp
Priority date: 1999-02-05
Filing date: 2000-01-31
Publication date: 2002-04-24
Also published as: CA2361405A1; EP1210678A4; EP1210678A1; AU3476700A; HK1046975A1; BR0008047A; WO2000046710A1; US6154879A; JP2002541533A

Abstract

La presente invencion provee un metodo para acceso biometrico sin identificacion a cuentas financieras en una institucion utilizando un cajero automatico; este metodo comprende un paso de registro de usuario, en el cual un usuario registra con un identificador electronico, una o mas muestras biometricas de registro y una o mas cuentas financieras (19); durante el paso de inicio, el usuario inicia un acceso a cuenta en un cajero automatico ingresando por lo menos una muestra biometrica solicitada directamente de la persona del usuario, en donde el usuario no utiliza dispositivos de memoria fabricados portatiles como tarjetas inteligentes o con banda magnetica; en por lo menos un paso de transmision, se envio un mensaje de peticion de acceso a cuenta que comprende el biometrico solicitado del usuario del cajero automatico al identificador electronico; durante un paso de identificacion del usuario, el identificador electronico compara la muestra biometrica solicitada en el mensaje de peticion de acceso a cuenta con una muestra biometrica registrada, para producir una identificacion exitosa o no lograda del usuario, despues de la identificacion exitosa del usuario, se recupera por lo menos una cuenta financiera del usuario, en un paso de acceso, despues de la identificacion exitosa del usuario y la recuperacion exitosa de la cuenta financiera, el usuario tiene acceso a su cuenta financiera de usuario.

Description

SISTEMA DE ACCESO BIOMETRICO A CAJERO AUTOMÁTICO SIN IDENTIFICACIÓN INTERREFERENCIA Esta solicitud es una continuación de la solicitud con número de serie 07/705,399, presentada el 29 de agosto de 1996, ahora la patente de E.U.A. No. 5,870,723, la cual es una continuación en parte de la solicitud de E.U.A. No. 08/422,895, presentada el 17 de mayo de 1995, ahora la patente de E.U.A. No. 5,613,012 la cual es una continuación en parte de la solicitud de E.U.A. serie No. 08/345,523, presentada el 28 de noviembre de 1994, ahora la patente de E.U.A. No. 5,615,277.

ANTECEDENTES El uso de una identificación, un objeto inanimado que confiere una capacidad al usuario que la presenta, es penetrante en el mundo financiero actual. En el corazón de cada transacción está una transferencia de dinero permitida por una identificación, tal como una tarjeta de plástico de barrido de débito o de crédito, la cual actúa para identificar al usuario así como la cuenta financiera a la cual está dando acceso. A partir de su concepción a finales de los 70s, los sistemas a bases de identificación para tener acceso a servicios financieros han crecido de manera cada vez más prevalente en la industria de bancos. Sin embargo, conforme los sistemas de acceso a base de identificación se han vuelto más populares con los usuarios, también se han vuelto más populares con intentos criminales para perpetrar fraudes. Actualmente, las pérdidas por fraudes en la industria financiera surgen de muchas áreas diferentes, pero son debido principalmente a tarjetas robadas o falsificadas. Generalmente, las tarjetas de crédito se utilizan en conjunto con un número de identificación personal (PIN). El PIN ayuda a evitar que las tarjetas perdidas o robadas se utilicen por delincuentes, pero con el tiempo han sido utilizadas varias estrategias para obtener PINs de tarjeta-habientes descuidados. Algunas estrategias ¡ncluyen máquinas de cajeros automáticos (ATMs) de caballo de troya en centros comerciales que suministran efectivo pero que registran el PIN, a dispositivos de débito fraudulentos que también registran el PIN, a criminales con binoculares que observan a los tarjetahabientes meter sus PINs en ATMs. Las tarjetas de débito falsificadas que se fabrican de manera subsecuente se utilizan entonces en varias máquinas de ATM para retirar fondos de manera fraudulenta hasta que la cuenta se vacía. El fraude de tarjetas de débito por el usuario también está en surgimiento. Los usuarios que intentan este tipo de fraude reclamarán que han perdido su tarjeta, dirán que su PIN está escrito sobre la tarjeta, y entonces retiran dinero de su cuenta utilizando la tarjeta, y después rehusan ser responsables por la pérdida.

La industria financiera está tomando constantemente pasos para mejorar la seguridad de las identificaciones, tales como tarjetas de débito y nuevas tarjetas inteligentes. Sin embargo, la relación entre el usuario y su identificación permanece tenue, y está es la razón fundamental detrás del • 5 fraude por tarjetas que se incrementa. Una solución que reduciría el fraude por tarjeta falsificada implica utilizar una tarjeta inteligente que incluye una señal biométrica. En este método, se registran las señales biométricas autentificadas de un usuario de identidad conocida y se almacenan para referencia futura como una 10 identificación. En cada acceso a la cuenta subsecuente, se requiere que el • usuario meta físicamente la señal biométrica requerida, la cual se compara entonces con la señal biométrica autentificada sobre la señal para determinar si las dos coinciden con el fin de verificar la identidad del usuario. Han sido sugeridas varias señales biométricas para utilizarse con 15 tarjetas inteligentes, tales como huellas digitales, impresiones de manos, impresiones de voz, imágenes de retina, muestra de escritura y similares. Sin embargo, las señales biométricas se almacenan generalmente en la identificación en una forma electrónica, y por lo tanto las señales biométricas se pueden copiar de manera fraudulenta y reproducirse. Debido a que el 20 procedimiento de comparación y verificación no está aislado del hardware y el software que se utiliza directamente por el usuario que intenta el acceso, aún existe un riesgo de fraude significante.

Un ejemplo de otro sistema de tarjeta inteligente de señales biométricas basadas en identificación se puede encontrar en la patente de E.U.A. 5,280,527 a Gullman et al. En el sistema de Gullman el usuario debe llevar y presentar una identificación del tamaño de una tarjeta de crédito (referida como un aparato de seguridad biométrico) que contiene una microficha en la cual están registradas características de la voz del usuario autorizado. Con el fin de iniciar el procedimiento de acceso, el usuario debe insertar la identificación en un ATM tal como un ATM, y entonces hablar en el ATM para proveer una muestra biométrica para comparación con una muestra autentificada almacenada en la microficha de la identificación presentada. Si se encuentra que coinciden, el ATM remoto envía la señal a la computadora hospedero que se debe permitir el acceso a la cuenta, o puede solicitar al usuario un código adicional, tal como un PIN el cual también está almacenado en la identificación, antes de autorizar el acceso a la cuenta. Aunque la confianza de Gullman al comparar las señales bíométricas reduce el riesgo de acceso no autorizado en comparación a los códigos PIN, el uso de Gullman de la identificación como el depósito para los datos de autentificación combinados con la falla de Gullman para aislar el procedimiento de verificación de identidad de la posibilidad de intromisión disminuye enormemente cualquier mejora a resistencia a fraude que resulta del reemplazo de un PIN con una señal biométrica. Adicionalmente, el sistema permanece inconveniente al usuario debido a que requiere la presentación de una identificación con el fin de autorizar un acceso a la cuenta.

De manera uniforme, las patentes anteriores que describen sistemas de autorización financiera alejan sus enseñanzas de reconocimiento de señales biométricas sin el uso de identificaciones. Las razones citadas para dichas enseñanzas están en la escala desde requerimientos de almacenamiento para sistema de reconocimiento de señales biométricas a lapsos de tiempo significantes en la identificación de un gran número de individuos, incluso para las computadoras más poderosas. Adicionalmente, cualquier sistema a base de tarjetas inteligentes costará significativamente más que los sistemas de tarjeta de banda magnética actuales que se utilizan actualmente. Una tarjeta inteligente de PIN cuesta quizá $3, y una tarjeta inteligente biométrica costará $5. Además, cada estación que acepta actualmente las tarjetas de débito existentes necesitaría un lector de tarjeta inteligente, y si se requieren señales biométricas, un examinador biométrico también deberá estar adherido al lector. Esta etiqueta de precio costosa ha forzado a la industria a buscar aplicaciones adicionales a la tarjeta inteligente más allá de simples necesidades y de débito. Está contemplado que además de almacenar números de cuenta de crédito y de débito e información biométrica o de autentificación de PIN, las tarjetas inteligentes también pueden almacenar números de teléfono, kilómetros de viajero frecuente, cupones obtenidos de las tiendas, e historia de transacciones, efectivo utilizable en casetas de cuotas y en sistemas de tránsito públicos, así como el nombre del usuario, las estadísticas vitales, e incluso registros médicos.

El resultado neto de esta "dotación de inteligencia" de la identificación es una centralización incrementada de funciones y una dependencia incrementada de la identificación en sí, resultando en una vulnerabilidad incrementada para el usuario. Dado el número de funciones • 5 que la tarjeta inteligente realizará, la pérdida o daño de esta tarjeta importante para todo será inconveniente de manera crucial para el tarjeta-habiente. Estar sin dicha tarjeta incapacitará financieramente al tarjetahabiente hasta que se reemplaza. Adicionalmente, perder una tarjeta llena de dinero electrónico puede resultar también en una auténtica pérdida financiera. 10 Por consiguiente, después de gastar grandes cantidades de • dinero, el sistema resultante será de alguna manera más seguro, pero impondrá penalidades más fuertes en el usuario por destrucción o pérdida de la tarjeta. Hasta la fecha, la industria de bancos ha tenido una ecuación 15 sencilla para equilibrar: con el fin de reducir el fraude, el costo de la tarjeta se debe incrementar. Este costo se pasa a los usuarios. Como resultado, ha existido una gran necesidad para un sistema de acceso a ATM que es altamente resistente a fraudes, práctico, conveniente para el usuario, y sin embargo efectivo en costo para instalarse. 20 Existe también una necesidad para un sistema de acceso a ATM que identifica al usuario, en oposición a simplemente verificar la posesión de un usuario de cualesquier objetos físicos que se pueden transferir libremente.

Esto resultará en una disminución dramática en fraudes, ya que solamente el usuario auténtico puede tener acceso a su cuenta. Una necesidad adicional en un sistema de acceso a cuentas es asegurar la conveniencia del usuario al proveer acceso sin forzar a que el usuario tenga, lleve, y presente uno o más dispositivos de memoria hechos por el hombre con el fin de autorizar el acceso a la cuenta. Los intentos de todas las partes al luchar contra el fraude reconocen que cualquier sistema que resuelve el problema del fraude debe tener en cuenta el asunto de la conveniencia, sin embargo la verdad fundamental pero no reconocida de la situación es que la tarjeta en sí es extremadamente inconveniente para el usuario. Esto puede no ser inicialmente evidente, pero cualquiera que ha perdido una tarjeta, ha dejado una tarjeta en casa, o ha tenido una tarjeta robada sabe bien la inconveniencia profunda y que se siente inmediatamente durante la ausencia de la tarjeta. Aun otra necesidad en la industria es para un sistema que reduce enormemente o elimina la necesidad de memorizar códigos molestos con el fin de tener acceso a las cuentas financieras. Sin embargo otra necesidad en la industria es para un sistema que elimina la necesidad de memorizar códigos de PIN. Existe una necesidad adicional para un sistema que proporciona a un usuario la capacidad de avisar a las autoridades que una tercera parte está forzando el acceso a la cuenta sin que la tercera parte esté consciente de que se ha generado una alarma. Existe también una necesidad para un sistema que es capaz de efectuar, sin que la tercera parte forzadora lo sepa, restricciones temporales sobre los tipos y cantidades de acceso a las cuentas que se pueden llevar a cabo. Por último, dicho sistema debe ser suficientemente accesible y • flexible para ser compatible de manera operativa con redes existentes que tienen una variedad de dispositivos de acceso electrónicos y configuraciones de sistemas.

BREVE DESCRIPCIÓN DE LA INVENCIÓN 10 • La presente invención satisface estas necesidades al proveer un método para acceso biométrico sin identificación a cuentas financieras en una institución que utiliza un cajero automático. Este método comprende un paso de registro del usuario, en el cual un usuario registra con un identificador 15 electrónico una o más muestras biométricas de registro y una o más cuentas financieras del usuario. Durante un paso de inicio, el usuario inicia un acceso a la cuenta en un cajero automático mostrando al menos una muestra • biométrica de prueba directamente de la persona del usuario, en la cual ningún dispositivo portátil de memoria hecho por el hombre tales como tarjetas 20 inteligentes o tarjetas de barrido se utilizan por el usuario. En al menos un paso de transmisión, se dirige un mensaje de solicitud de acceso a la cuenta que comprende la prueba biométrica del usuario desde el cajero automático al identificador electrónico. Durante un paso de identificación del usuario, el identificador electrónico compara la muestra biométrica de prueba en el mensaje de solicitud de acceso a la cuenta con una muestra biométrica de registro, para producir una identificación exitosa o fallida del usuario. Con la identificación exitosa del usuario, se restablece al menos una cuenta • 5 financiera del usuario, y en un paso de acceso, después de la identificación exitosa del usuario y el restablecimiento exitoso de la cuenta financiera, se permite que el usuario tenga acceso a la cuenta financiera del usuario. Este método incluye preferiblemente un método en el cual el usuario registra un número de identificación personal con el identificador 10 electrónico, el cual se utiliza por el identificador electrónico para identificar al * usuario. Por consiguiente, se realiza cualquier operación tal como retiro de efectivo, depósito de fondos, transferencia de fondos entre cuentas, obtener estados de cuentas, adquisición de productos, y pago de cuentas. 15 El dispositivo de acceso biométrico sin identificación utiliza un cajero automático, tal como aquellos de los bancos y otras instituciones financieras. Un identificador electrónico compara, opcionalmente de manera remota del identificador electrónico, la prueba y las muestras biométricas de registro de un usuario para producir una identificación exitosa o fallida del 20 usuario. El usuario entrega una muestra biométrica al identificador electrónico a través de un aparato de entrada biométrica. El usuario que se registra debe tener al menos una cuenta financiera, en donde un módulo de recuperación de cuenta se utiliza para recuperar las cuentas financieras registradas de un usuario con la identificación exitosa de ese usuario. Un módulo de ejecución opcionalmente adeuda o acredita la cuenta financiera del usuario. Se entiende que el dispositivo no requiere que se presenten identificaciones hechas por el hombre tales como tarjetas o tarjetas inteligentes para presentar una muestra 5 biométrica de prueba al identificador electrónico.

BREVE DESCRIPCIÓN DE LOS DIBUJOS La figura 1 es un diagrama general de la modalidad preferida del 10 sistema de la presente invención. • La figura 2 es un diagrama de la modalidad preferida del centro de procesamiento de datos y sus bases de datos internas y módulos de ejecución. La figura 3 es un diagrama de la terminal de ATM, un aparato de 15 entrada biométrica y componentes, y las interconexiones entre ellos. La figura 4 es una gráfica de flujo que ilustra la generación de un mensaje de solicitud de acceso a la cuenta.

• La figura 5 es una representación visual del mensaje de solicitud de acceso a la cuenta. 20 La figura 6 es una representación visual del mensaje de respuesta de acceso a la cuenta. La figura 7 es una gráfica de flujo que ilustra la codificación de datos y el procedimiento de sellado en el aparato de entrada biométrica.

La figura 8 es una gráfica de flujo que ilustra la decodificación del mensaje y el procedimiento de validación en el DPC. La figura 9 es una gráfica de flujo que ilustra la codificación de datos y el sello del mensaje de respuesta de acceso a la cuenta en el DPC. La figura 10 es una vista general de la gráfica de flujo del procedimiento de registro de usuario. La figura 11 es una gráfica de flujo general del procedimiento de acceso a la cuenta del usuario. La figura 12 es una gráfica de flujo que ilustra un paso de identificación de usuario utilizando la modalidad preferida de biométrica y PIN a partir del mensaje de solicitud de acceso a cuenta en el DPC. La figura 13 es una gráfica de flujo que ilustra el procedimiento de alarma silenciosa que utiliza el mensaje de respuesta de acceso a la cuenta en el DPC. La figura 14 es una gráfica de flujo que ilustra la generación de un mensaje de solicitud de acceso a la cuenta en el DPC. La figura 15 es una gráfica de flujo que ilustra el paso de verificación de nuevo registro en el DPC; y La figura 16 es una gráfica de flujo que ilustra la decodificación y validación de un mensaje de respuesta de acceso a la cuente en el BIA.

DESCRIPCIÓN DETALLADA DE LA INVENCIÓN La invención provee un método sin identificación para identificar usuarios para propósitos de autorizar acceso a ATM para consumidores. La esencia de esta invención es que los consumidores conducen estas transacciones sin el uso de un número de identificación personal ("PIN") o cualesquier identificaciones, tales como tarjetas de débito. Volviendo a las figuras, la configuración total de la invención y sus componentes se muestran en la figura 1. Esencialmente un centro de procesamiento de datos identificador electrónico (DPC) 1 está conectado a al menos un ATM 2 a través de varios tipos de medios de comunicación 3. El DPC también está conectado y comunica con redes de computadoras independientes. El DPC contiene varias bases de datos y módulos de ejecución de software como se muestra en la figura 2. En una modalidad preferida de la invención, las bases de datos están respaldadas o "reflejadas" en ubicaciones físicas distintas por razones de seguridad. La máquina de pared de fuego 5 es responsable de evitar la intromisión electrónica del sistema mientras que la máquina de compuerta 6 es responsable de enrutar todas las solicitudes del usuario, incluyendo añadir, eliminar y de alguna otra manera modificar todas las bases de datos. En una modalidad preferida, algo de la comunicación entre el ATM y el DPC está codificada para mejorar la seguridad. La máquina de compuerta también es responsable de la decodificación y desempaque de datos codificados que han llegado desde los ATMs utilizando el módulo de MACM 7, módulo MDM 8, y el módulo de SNM 9. El módulo de BGL 10, y el módulo de IML (no se muestran) se utilizan para localizar el número biométrico. La figura 3 ilustra un ejemplo de un ATM 2 y el dispositivo de entrada de identificación biométrica 12, el cual tiene un • 5 escudriñador biométrico 13, medios de entrada de datos tales como una teclado 14, y un panel de despliegue 15. El escudriñador biométrico puede ser cualquiera de un escudriñador de huellas digitales, dispositivo de entrada de voz (micrófono), dispositivo de impresión de mano, escudriñador de retina o similar, aunque el escudriñador de impresión de mano se utilizará como un 10 ejemplo. El dispositivo de entrada biométrica está equipado además con • módulos de computación 16, impulsores de dispositivo, y módulos de memoria borrables y no borrables. El dispositivo de entrada biométrica comunica con el ATM a través de preferiblemente un puerto serial 17. El ATM 2 comunica a través de un módem 18 con el DPC 1 a través de los mensajes 19 y 15 respuestas 20 utilizando uno de los medios de interconexión en la figura 1 tales como una red de televisión por cable, red de teléfono celular, red de teléfono, la Internet, o una red de X.25. La figura 4 es una gráfica de flujo que ilustra la generación de un mensaje de solicitud de acceso a la cuenta. La figura 5 y la figura 6 muestran 20 un diagrama representativo de los mensajes de solicitud y respuesta de acceso a la cuenta. Adicionalmente, se muestra cuáles partes del mensaje están codificados y cuales están sellados. La figura 7 es un diagrama de bloque del procedimiento total para la codificación y sello de datos que muestran el uso de datos de clave DUKPT 20 para codificación de datos antes de añadir datos adicionales antes de sellar el mensaje con un código de autentificación de mensaje (MAC) 21. La figura 8 y figura 9 muestran los procedimientos de codificación y decodificación en el DPC. La figura 10 muestra los pasos que se toman durante el procedimiento de codificación/sellado en el BIA hasta que el registro del usuario está completo. La figura 11 describe los pasos implicados en el procesamiento de una solicitud de acceso a la cuenta de un usuario, partiendo desde la entrada de información de autentificación personal biométrica en el BIA, todo el procesamiento mediante el DPC y finalmente la representación de resultados mediante el BIA. La figura 12 describe el procedimiento de ID del usuario en el DPC. La figura 13 muestra el procedimiento de alarma silenciosa. La figura 14 muestra el procedimiento para la construcción del mensaje de respuesta de acceso a la cuenta. La figura 15 muestra el paso de verificación de nuevo registro para determinación de nuevo registro fraudulento sin el uso de un PIN. La figura 16 muestra la decodificación y validación de un mensaje de respuesta de acceso a cuenta en el BIA. La descripción de los dibujos, diagramas, gráficas de flujo y la descripción de la invención, incluyendo componentes de hardware, componentes de software, módulos de ejecución, bases de datos, medios de conexión, los datos transferidos entre ellos, y el método de la invención se describen en una modalidad preferida enseguida.

Aparato de entrada biométrica (BIA) El BIA es una combinación de hardware y software cuyo trabajo es reunir, codificar, y codificar entrada biométrica para utilizarse en transacciones financieras electrónicas y para proveer acceso a servicios • 5 financieros. Las acciones del BIA están dirigidas por un ATM el cual emite ordenes y recibe resultados sobre la línea en serie del BIA. En la modalidad preferida, el BIA es un componente añadido para dispositivos de ATM existentes. Sin embargo, en otra modalidad, los componentes de BIA son construidos en los ATM al momento de la fabricación. 10 Cada BIA tiene sus códigos de codificación únicos que son • conocidos solamente para el DPC y cada BIA se permite realizar solamente operaciones limitadas a su función designada. Cada BIA tiene un código de identificación de hardware registrado anteriormente con el DPC lo cual hace al BIA identificable de manera única al DPC en cada transmisión subsecuente 15 desde ese dispositivo de entrada biométrica.

ATMs • Los BIAs están preferiblemente completamente integrados con el ATM. Se prefiere que el BIA nunca divulgue ningún código de codificación 20 secreto a ninguna fuente externa. El hardware de BIA es un módulo de chips múltiples combinados de manera preferible con un escudriñador de una sola impresión, una pantalla de despliegue, un puerto en serie y un teclado. Los siguientes componentes están preferiblemente amalgamados en un módulo de chips múltiples, llamado el módulo de chips múltiples BIA (un procedimiento para encapsular varios procesadores en una cubierta física bien conocido en la industria), construido para proteger las trayectorias de comunicación entre los dispositivos para • 5 evitar la grabación fácil por medio de cinta; procesador en serie, procesador de teclado, procesador de pantalla de LCD, CCD, Scanner, procesador A/D, procesador de alta velocidad DSP que contiene luz instantánea y cubierta ROM, microprocesador de propósitos generales, RAM estándar y EEPROM. Los siguientes paquetes de software y datos están 10 preferiblemente almacenados en ROM; MAC de cubierta; librería de cálculo • de DUKPT, librería de manejo de claves, codificación de DES (con CBC), librería de conversión de base de 64 (8 bits a ASCII), sistema operativo empotrado, impulsor de dispositivo de línea en serie, impulsor de dispositivo de LCD, impulsor de dispositivo de teclado, impulsor de dispositivo de 15 escudriñador, código de identificación único de hardware, y perfiles de lenguajes múltiples. Los siguientes paquetes de datos y software estándar están • almacenados preferiblemente en ROM instantánea. La ROM instantánea es más costosa, pero es mucho más difícil de manipular de manera inversa, y de 20 manera más importante, es borrable electrónicamente. Toda la información más crítica está almacenada aquí. La ROM instantánea se utiliza en un intento para incrementar la dificultad de duplicar un BIA.

Los paquetes de datos y software estándar ¡ncluyen: el cuadro de cable futura única DUKPT, la clave única de 112-bit MAC, el algoritmo de determinación de calidad biométrica de DSP, el algoritmo generador de número aleatorio, y el cuadro de función de órdenes. • 5 El número de secuencia de mensaje, incrementado cada vez que se envía un mensaje desde el BIA, se almacena en el EEPROM. El EEPROM se puede borrar muchas veces, pero también es no volátil, sus contenidos permanecen validos a través de interrupciones de energía. Los siguientes datos se almacenan en RAM. La RAM es de 10 naturaleza temporal, y sus contenidos se pierden siempre que se pierde la • energía; registro biométricb codificado, registro de código de índice de cuenta, registro de cuenta, clave de mensaje, clave de respuesta, 8 registros generales, y espacio de pila y de uso general. Capa módulo de chips múltiples contiene una ubicación de 15 memoria de "escritura de una vez" que se establece de manera irreversible siguiendo la inicialización de la ROM instantánea. Siempre que se hace un intento para descargar software a la ROM instantánea, esta ubicación de memoria se verifica preferiblemente; si ya ha sido establecida, entonces el BIA rechaza la carga. El software crítico y las claves de datos solamente se 20 pueden descargar una vez en el dispositivo, en el momento de fabricación. Todos los registros y claves están de manera explícita puestos a cero cuando se cancela un acceso a cuenta. Una vez que un acceso a cuenta se completa, los registros se borran también. Una vez que se ejecuta una orden de "formar mensajes", los registros de código de índice de cuenta y biométrico también se borran, junto con cualquier clave de codificación que no se requiere para uso subsecuente. Es importante que el software no guarde copias de registros o claves en variables de pila. • 5 Los siguientes componentes de hardware asociados comprenden el módulo de hardware BIA estándar; el módulo de chips múltiples BIA, el escudriñador de una sola impresión de CCD, el teclado iluminado con botones auxiliares, pantalla de LCD de dos líneas, de 40 columnas, cubierta de RF, cubierta resistente a intromisión, conexión en serie 10 (de hasta 57.6 kb), hardware de detección de intromisión. • Todo el hardware y software interno y de almacenamiento temporal utilizados para calcular estos valores están asegurados, lo cual quiere decir que resisten cualquier intento para determinar sus valores actuales, o sus medios de funcionamiento. 15 Software de BIA Preferiblemente, la interfaz externa al BIA es muy similar a un • módem estándar; las órdenes se envían a él desde un ATM de control utilizando la línea en serie externa. Cuando se completa una orden, se envía 20 un código de respuesta desde el BIA al ATM. Todos los campos de datos de BIA están preferiblemente en ASCII imprimible, con campos separados por caracteres de control separador de campo, y registros separados por líneas nuevas. Los campos codificados se convierten de manera binaria a ASCII de 64 bits utilizando la librería de conversión de base 64 (todas conocidas en la industria). Si, en lugar de una señal de pantalla de cuenta financiera se utiliza un código de índice de cuenta, este código puede ser uno o más caracteres alfa numéricos, los cuales incluyen números, letras, y otros caracteres. Para lenguajes extranjeros, estos incluye combinaciones de caracteres múltiples los cuales se utilizan para representar palabras o conceptos específicos en ese lenguaje, tales como caracteres Kanji. Cuando se le instruye, el BIA captura un biométrico de la siguiente manera. Una imagen de huella digital se captura y se le da un análisis preliminar mediante el algoritmo de calidad de impresión. Si la imagen no es leíble claramente mediante el software de algoritmo biométrico, el BIA sigue tomando nuevos escudriñamientos hasta que un número predeterminado de segundos pasa. Conforme pasa el tiempo y las imágenes son tomadas y analizadas, los mensajes se envían a la pantalla de LCD y se envían al ATM basado en los problemas detectados por el algoritmo de calidad de imagen. Si no se envía una imagen de calidad adecuada, el BIA regresa un código de error de tiempo transcurrido, desplegando un mensaje para ese efecto sobre el LCD. El software de BIA está soportado por varias librerías de software diferentes. Algunas de ellas son librerías estándar, disponibles en general, pero algunas tienen requerimientos especiales en el contexto del biométrico particular utilizado para identificación del usuario.

Debido a que el BIA está seleccionando constantemente claves de DES aleatorias para utilizarse en la codificación del cuerpo del mensaje y el mensaje de respuesta, es importante que las claves seleccionadas sean claves impredecibles. Si el generador de número aleatorio se basa en la hora 5 del día, o algún otro mecanismo predecible de manera externa, entonces las claves de codificación serán adivinadas mucho más fácilmente por un adversario que resulta que conoce el algoritmo. La seguridad de las técnicas de codificación que se utilizan en el BIA supone que el algoritmo generador de número aleatorio así como los algoritmos de codificación son públicamente 10 conocidos. Uno de dichos algoritmos de número aleatorio para generar claves • de DES se define en ANSÍ X9J 7 apéndice C. El algoritmo de codificación biométrico es un algoritmo para localizar identificación o localizar la característica física de un usuario del sistema por ejemplo las minucias que se forman mediante terminales de 15 crestas y bifurcaciones sobre huellas digitales de ser humano. Una lista completa de minucias se almacena en el DPC como referencia, mientras que solamente se requiere una lista parcial por el algoritmo cuando se realiza una • comparación entre un candidato a identificación y un usuario registrado. Durante el registro así como la identificación, el algoritmo de 20 codificación debe encontrar preferiblemente un número razonable de puntos de minucias. De otra manera, el BIA pedirá que se vuelva a introducir la biométrica.

El BIA está en un entorno de computo de tiempo real, y como tal requiere un sistema operativo empotrado de tiempo real para operarlo. El sistema operativo es responsable de tomar interrupciones de dispositivos y programación de tareas. • 5 Cada impulsor de dispositivo es responsable de la interfaz entre el sistema operativo y el hardware específico, tal como el impulsor de dispositivo de teclado o el impulsor de dispositivo de escudriñador de CCD. El hardware es la fuente para eventos tales como el "tecla de teclado presionada" o "escudriñamiento de escudriñador de CCD completo". El 10 impulsor de dispositivo maneja dichas interrupciones, interpreta los eventos, y • toma acción en los eventos. Existe cualquier número de implementaciones de DES disponibles al público. Las implementaciones de DES proveen una codificación basada en una clave secreta a partir de un texto normal o un texto 15 cifrado, y la decodificación del texto cifrado a texto normal, utilizando claves secretas de 112 bits. Las librerías de soporte de codificación de clave pública están disponibles de socios de claves públicas, propietarios de la patente de clave pública de RSA (conocidas en la industria). Los sistemas de criptografía de 20 claves públicas son sistemas de codificación simétrica que permiten que la comunicación tenga lugar sin requerir un intercambio costoso de claves secretas. Para utilizar un sistema de codificación de clave pública, se utiliza una clave pública para codificar una clave de DES y entonces la clave de DES se utiliza para codificar un mensaje. El BIA utiliza sistemas de codificación de clave pública para proveer el intercambio seguro de claves secretas. La librería de manejo de clave derivada de clave única por transacción (DUKPT) se utiliza para crear claves DES futuras dada una clave • 5 inicial y un número de secuencia de mensaje. Las claves futuras se almacenan en un cuadro de claves futuras. Una vez utilizada, una clave dada se borra del cuadro. Las claves iniciales se utilizan solamente para generar el cuadro de claves futuras iniciales. Por lo tanto la clave inicial no se almacena por el BIA. 10 El uso de DUKPT está diseñado para crear un mecanismo de # manejo de claves que provee una clave DES diferente para cada transacción, sin dejar rastros de la clave inicial. Las implicaciones de esto son que incluso la captura y disección exitosa de un cuadro de clave futura dado no revela mensajes que se enviaron anteriormente, un objetivo muy importante cuando 15 el tiempo de vida efectivo de la información transmitida es de décadas. DUKPT está completamente especificado en ANSÍ X9.24.

• ATMs El ATM es el dispositivo que controla el BIA y conecta al DPC 20 por medio de módem, red de paquete de X.25, red telefónica o una intranet privada. Ya sea que un ATM provea información al sistema, el sistema siempre la valida de alguna manera, ya sea a través de presentación al usuario para confirmación, o mediante verificación cruzada a través de otra información registrada anteriormente. Aunque los ATMs son capaces de leer algunas partes de los mensajes de BIA con el fin de validar que los datos se procesaron • 5 adecuadamente por el BIA, los ATMs no puede leer y ver información de identificación biométrica incluyendo la biométrica, claves de codificación, o cualquier código de índice de cuenta. Las BIAs exportan alguna funcionalidad de seguridad al ATM, tal como despliegue de código privado. El propósito del ATM equipado con BIA 10 es proveer acceso al usuario a efectivo y otras funciones de ATM sin tener • que usar una tarjeta de débito. Lo hace enviando una biométrica, presentado una lista de cuentas, y permitiendo que el usuario seleccione una cuenta particular en la cual realizar operaciones. Para usuarios del sistema, esto reemplaza el mecanismo de tarjeta de tarjeta ATM + PIN como un método 15 para identificar la cuenta financiera y autorizar al usuario. Se supone que todos los ATMs aún siguen aceptando tarjetas de ATM. El ATM equipado con BIA consiste de: • un ATM estándar • un BIA integrado 20 • una conexión al DPC El ATM biométrico utiliza un BIA integrado para identificar usuarios y permitirles acceso a cuentas financieras utilizando una biométrica y un código de índice de cuenta. Un BIA está instalado en el ATM, haciendo uso del teclado actual de los ATM, y la entrada de código de índice de cuenta. El ATM está conectado al sistema utilizando su conexión de red de débito estándar. El BIA está estructurado de tal manera como para hacer la integración con una red de ATM existente tan sencilla como sea posible. Tres entidades necesitan ser identificadas por el DPC para responder de manera adecuada a una solicitud de cuenta del BIA: el usuario, el banco, y el BIA. El banco se identifica mediante verificación cruzada de los códigos de banco almacenados de ATM con el código de banco de BIA's. El BIA se identifica ubicando de manera exitosa el BIA en el VAD, y el usuario se identifica a través de señales biométricas estándar. Para tener acceso a un ATM, un usuario entra su identificación biométrica. El BIA forma un mensaje de solicitud de acceso a cuenta, el cual se envía entonces al DPC por medio del ATM. El DPC valida la identificación biométrica, y entonces envía la lista de cuenta financiera resultante junto con el código privado de regreso al ATM. El ATM pide al BIA que decodifique la respuesta, y entonces despliega el código privado sobre la pantalla de despliegue del ATM. Además, el ATM también examina la respuesta para ver si es que o no el usuario ha provocado que funcione una alarma silenciosa durante el acceso a la cuenta. Una vez que la lista de cuentas ha sido recibida por el ATM, el usuario selecciona una cuenta, y realiza operaciones financieras utilizándola y cuentas financieras relacionadas con el ATM, solicitando efectivo, depósito de fondos, transferencia de fondos, pregunta a cerca de estados de cuenta, etc. Los mensajes entre el ATM y el DPC están asegurados preferiblemente mediante codificación y cálculo de MAC desde el BIA. El MAC • 5 quiere decir que el ATM no puede cambiar el contenido del mensaje sin ser detectado, y la codificación evita que la parte codificada del mensaje se divulgue. Debido a que el BIA no tiene LCD o ningún teclado adherido, requiere que el ATM provea todas las presentaciones de texto y reúna toda la 10 información del usuario. ft Centro de procesamiento de datos El centro de procesamiento de datos (DPC) maneja el registro del usuario y la identificación del usuario, como sus responsabilidades 15 principales. Preferiblemente, cada sitio de DPC está formado de un número de computadoras y bases de datos conectadas juntas sobre una LAN como se ilustra en la vista general de DPC de la figura 2. Los sitios de DPC idénticos múltiples aseguran un servicio confiable de frente al desastre o falla seria de 20 hardware en cualquier sitio de DPC único. Adicionalmente, cada sitio de DPC tiene respaldo de energía eléctrica y redundancia múltiple en todos sus sistemas de hardware y bases de datos críticos.

Los componentes de DPC caen en tres categorías: hardware, software, y bases de datos. Enseguida está una descripción breve, por categoría, de cada componente.

Hardware Máquina de pared de fuego: el punto de entrada al sitio de DPC. FW. Máquina de compuerta: el coordinador de sistema y procesador de mensaje. GM. DPC red de área local: conecta los sitios de DPC. DPCLAN.

Bases de datos Bases de datos biométricas individuales: identifica usuarios ya sea a partir de sus biométricas o una biométrica y PIN. IBD Bases de datos de aparatos validos: almacena información requerida para validar y decodificar mensajes de BIA. VAD. Base de datos de propietario de aparato: almacena información acerca de los propietarios de los dispositivos de BIA. AOD.

Software Módulo de procesamiento de mensaje: maneja el procedimiento de cada mensaje coordinando con los otros módulos de software y base de datos que se requieren para realizar la tarea del mensaje. MPM.

Módulo de número de secuencia: maneja el procesamiento del número de secuencia de DUKPT. SNM Módulo de código de autentificación de mensaje: maneja la validación y generación de MAC. MACM. • 5 Módulo de decodificación de mensaje: maneja la codificación y decodificación de solicitudes y de respuestas de BIA. MDM. Lista de máquina de IBD: maneja la búsqueda de las máquinas de bases de datos principales y de respaldo dedicadas a contener los registros de IBD para un grupo biométrico dado. IML. 10 Cuando se define el esquema de base de datos, se utiliza la ft siguiente terminología para describir los tipos archivados: int<X> un tipo integral que utiliza <X> bites de almacenamiento char <X> una disposición de caracteres de <X> bites texto una disposición de caracteres de longitud variable 15 <tipo>[X] una disposición de longitud <X> del tipo especificado tiempo un tipo utilizado para almacenar hora y fecha biométrico un tipo de dato binario que se utiliza para almacenar la biométrica. Cuando se describen requerimientos de almacenamiento de 20 bases de datos, el término "esperado" quiere decir la condición que se espera de un sistema completamente cargado.

Los ATMs logran sus tareas enviando mensajes a un sitio DPC. El sitio DPC envía de regreso un paquete de respuesta que contiene el estado sobre el éxito o la falla de la operación. La comunicación es por medio de un mecanismo de envío de • 5 mensaje orientado mediante conexión lógica o física tal como conexiones de X.25, conexiones de TCP/IP, o una llamada telefónica a un banco de módem. Cada sección contiene la conexión al ATM abierta hasta que el DPC envía su respuesta de regreso al ATM. El mensaje contiene una parte de mensaje de BIA y una parte de 10 mensaje de ATM: ft La parte del mensaje de BIA consiste de: Número de versión de protocolo. Tipo de mensaje. Identificación de BIA de 4-bites (ID de hardware) 15 Número de secuencia de 4-bites <datos específicos del mensaje> Código de autentificación de mensaje (MAC) f| Parte de mensaje de ATM: <Datos específicos de ATM> 20 La parte del mensaje de BIA está construida mediante un dispositivo de BIA, incluye una o dos biométricas, cantidades de autorización, y el contenido de los registros generales que se envían por el ATM. Nota: el MAC en la parte de mensaje de BIA solamente aplica a la parte de BIA y no a la parte de ATM. Un ATM puede colocar datos adicionales para el mensaje en la parte del mensaje de ATM. El BIA provee una clave de mensaje para permitir • 5 que el ATM asegure los datos de parte de ATM. El BIA incluye automáticamente la clave del mensaje en el bloque biométrico codificado del paquete cuando es necesario. Sin embargo, el ATM realiza la codificación de la clave del mensaje en sí. El paquete de respuesta contiene un encabezado estándar y dos 10 partes de mensaje de forma libre opcionales: una con un MAC y una sin: ft Encabezado estándar Número de versión de protocolo Tipo de mensaje 15 ID de hardware de 4-bites Número de secuencia de 4-bites <datos específicos de mensaje> f MAC Parte de mensaje de forma libre opcional sin MAC 20 <datos específicos de mensajes adicionales> La parte de mensaje con un MAC se envía al BIA de manera que pueda validar que esta parte de la respuesta no ha sufrido intromisión y para desplegar el código privado del usuario. La parte del mensaje sin un MAC se utiliza para transmitir grandes cantidades de datos que no se envían al BIA para validación del MAC ya que el BIA a una conexión de ATM puede ser de una amplitud de banda limitada. En una modalidad de la invención con múltiples sitios de DPC, un ATM necesita enviar solamente su mensaje a uno de los sitios de DPC, típicamente el más cercano, debido a que ese sitio maneja automáticamente la actualización de los otros operando transacciones distribuidas como sea necesario. Cuando una de las máquinas de pared de fuego de DPC recibe un paquete, lo envía a una de las máquinas de GM para el procesamiento actual. Cada GM tiene un módulo de procesamiento de mensaje que maneja la coordinación entre los componentes de DPC que se requieren para procesar el mensaje y envía la respuesta de regreso al enviador. Todos los paquetes que recibe el DPC, con la excepción de aquellos que no están construidos mediante un BIA, contienen un código de identificación del hardware de BIA (la identificación de BIA del paquete), un número de secuencia, y un código de autentificación de mensaje (MAC). El GM pide al módulo de MAC validar el MAC del paquete y entonces verifica el número de secuencia con el módulo del número de secuencia. Si ambos coinciden, el GM pasa el paquete al módulo de decodificación de mensaje para decodificación. Si cualquiera de las verificaciones falla, el GM emite una advertencia, termina el procesamiento del paquete y regresa un mensaje de error al dispositivo de BIA.

Cada paquete que recibe el DPC puede contener una clave de respuesta opcional almacenada en el bloque biométrico codificado del paquete. Antes de que el DPC responda a un mensaje que incluye una clave de respuesta, codifica el paquete de respuesta con la clave de respuesta. • 5 También genera un código de autentificación de mensaje y lo anexa al paquete. La única excepción para codificar paquetes de respuesta se aplica a mensajes de error. Los errores nunca se codifican y nunca incluyen información confidencial. Sin embargo, la mayoría de los paquetes de 10 respuesta incluyen un código de estado o de respuesta que puede indicar si ft es que la petición tuvo éxito o no.

Procedimientos de DPC El DPC tiene tres procedimientos que se utilizan comúnmente 15 mientras se procesan mensajes. Para mensajes que requieren que el DPC identifique a un usuario, el DPC ejecuta el siguiente procedimiento. Utilizando la prueba biométrica, el DPC busca la lista de máquina de IBD para las máquinas de IBD principales y de respaldo responsables de manejar identificaciones para 20 la biométrica dada. Enseguida, el DPC envía el mensaje de identificación a cualquiera de las máquinas principales o de respaldo dependiendo de cuál es la menos cargada. La máquina de IBD responde con el registro de IBD para el usuario o un error de "usuario no encontrado".

La máquina de IBD restaura todos los registros de IBD para la biométrica dada. La máquina de IBD compara cada muestra bíométrica registrada primaria del registro con la muestra biométrica de prueba del usuario llegando a una evaluación de comparación que indica la similaridad de 5 las dos biométricas. Si ninguna biométrica tiene una evaluación de comparación suficientemente cercana, las comparaciones se repiten utilizando las muestras biométricas secundarias registradas. Si ninguna de las biométricas secundarias tiene una evaluación de comparación suficientemente cercana, entonces la máquina de IBD regresa un error de "usuario no 10 encontrado". De otra manera, la máquina de IBD regresa todo el registro de ft IBD del usuario, desde el cual campos tales como el código privado, los números de cuenta financiera y etc., se pueden obtener. En una modalidad, otra información está presente que ayuda a la máquina de IBD en la búsqueda de la base de datos. Para imágenes de 15 (huellas de) dedos, esto incluye información tal como la clasificación de la imagen ("remolinos, arcos, etc."), y otra información acerca de la estructura de la cresta de dedo que es útil para seleccionar biométricas que no es probable • que coincidan (o información de biométricas que es probable que coincidan). Otros métodos para obtener agrupación o búsqueda de información de 20 información de patrón biométrico son bien conocidos en la industria. Cada entrada en el VAD preferiblemente tiene información sobre el número de mensajes recientes enviados, el número de mensajes recientes que han fracasado, la evaluación de seguridad del dispositivo, ya sea o no que el dispositivo esté atendido junto con la habilidad de detección de fraude del dependiente, y por último los problemas de seguridad asociados con la ubicación física del dispositivo en sí. Siempre que una identificación de usuario fracasa, el registro de • 5 VAD para el dispositivo se actualiza de manera adecuada. Demasiadas fallas en el módulo de factor de seguridad pondrán al dispositivo fuera de servicio, rechazando cualquier transacción adicional de ese dispositivo hasta que un representante de servicio lo coloca nuevamente en servicio. 10 Mensajes de protocolo • Las siguientes secciones describen cada mensaje/respuesta de protocolo y las acciones que el DPC toma para llevarlas a cabo. La lista de paquetes de protocolo son: • Registro de usuario 15 • Identificación de usuario • Transacción financiera electrónica • Acceso a ATM • Acceso a cuenta 20 Registro de usuario Solicitud de registro Parte de BIA: Tipo de mensaje de versión de protocolo ID de hardware de 4-bytes Número de secuencia de 4-bytes Biométrica codificada (clave DUKPT): Biométrica de registro primaria de 1000-bytes Biométrica de registro secundaria de 1000-bytes Clave de respuesta de 112-bits Clave de mensaje de 112-bits MAC Parte de ATM: Codificado (clavé de mensaje): Nombre Dirección Código postal Código privado Lista de cuenta financiera (código de índice de cuenta, símbolo de número de cuenta financiera). Código de índice de cuenta Respuesta de registro Versión de protocolo Tipo de mensaje ID de hardware de 4-bytes Número de secuencia de 4-bytes Codificado (clave de respuesta): Texto de código privado Código de identificación biométrica Lista de biométricas seleccionadas de DPC Código de estado (OK, falla, etc.) MAC Los usuarios se registran con el DPC por medio de registro de usuario ATM (URT). El URT envía al DPC un paquete de registro que contiene biométricas primaria y secundaria, junto con datos auxiliares tales como el nombre del usuario, dirección, una lista de cuentas financieras, el código privado, y el código de índice de cuenta de emergencia. Opcionalmente, el usuario puede incluir un número de seguro social (o "SSN"). En un paso de modificación cualquier dato metido anteriormente se puede modificar o eliminar. Preferiblemente, solamente un sitio de DPC actúa como el sitio de registro, para sencillez de ¡mplementación. Los paquetes de solicitud de registro recibidos por sitios de DPC no de registro son enviados al sito de registro actual. El sitio de registro de DPC realiza toda la verificación de registro, la asignación de registros de IBD a las máquinas de IBD, y la transacción distribuida requerida para actualizar todos los otros sitios de DPC. El sitio de registro de DPC selecciona la biométrica para la biométrica de registro, almacena el registro de IBD en las máquinas de IBD principales y de respaldo (como se especifica en la lista de biométrica), y verifica la capacidad de adecuación de biométrica del paquete de registro antes de operar la transacción distribuida para actualizar los otros sitios de DPC. • 5 El DPC opera un paso de verificación de duplicación de muestra biométrica en el cual la biométrica del paso de registro se verifica contra todas las biométricas registradas anteriormente actualmente asociadas con la biométrica idéntica. El DPC puede rechazar el registro por las siguientes razones: las biométricas son similares de manera confusa a otra biométrica. 10 De manera alternativa, las biométricas pueden ser demasiado similares a ^r otras biométricas almacenadas, resultando en una proporción de aceptación falsa inaceptable o proporción de rechazo falso.

Identificación de usuario 15 Mensaje de identificación de usuario Parte de BIA: Identificación de BIA de 4-bytes Número de secuencia de 4-bytes 20 Bloque biométrico codificado (clave DUKPT): Biométrica de autorización de 300-bytes Clave de respuesta de 112-bits MAC Parte de ATM: (no se utiliza) Respuesta de identificación de usuario Codificada (clave de respuesta): • 5 Texto de código privado Nombre de usuario Código de estado (OK, fracasó, etc.) MAC El mensaje de identificación de usuario incluye un bloque 10 biométrico el cual el DPC utiliza con el procedimiento de identificación de ft usuario para identificar al usuario. Si el usuario se identifica, entonces el DPC responde con el nombre del usuario, la identificación biométrica, y el código privado. De otra manera, el DPC responde con un error de "usuario desconocido". 15 Acceso a cuenta f Mensaje de solicitud de acceso a cuenta Parte de BIA: 20 Identificación de BIA de 4-bytes Número de secuencia de 4-bytes Bloque biométrico codificado (clave DURP): Autorización biométrica de 300-bytes Clave de respuesta de 112-bits MAC Parte de ATM: (no se utiliza) • 5 Respuesta de acceso a cuenta Codificada (clave de respuesta): Texto de código privado Lista de (nombre de cuenta, números de cuenta) Código de estado (OK, fracasó, etc.) 10 MAC ft El mensaje de acceso a cuenta permite que usuarios restauren la lista de cuentas financieras enlazadas a las biométricas del usuario. El ATM utiliza esta lista para determinar en cuales cuentas el usuario tiene permiso para realizar operaciones. 15 El GM identifica el usuario mediante la biométrica del paquete y restaura la información adecuada a partir del registro del usuario.

• Mensajes de soporte al usuario y administración de sistema El DPC maneja tipos de mensajes adicionales clasificados como 20 mensajes internos. El DPC generalmente no acepta estos mensajes desde sistemas no de DPC. Los mensajes son específicos de proveedor de base de datos. Sin embargo, la red interna utiliza paquetes codificados de DES para proveer seguridad adicional.

Las tareas del servicio a usuario y administración del sistema están implementadas utilizando el lenguaje de búsqueda de proveedor de base de datos y herramientas de desarrollo de aplicación.

Tareas de servicio de usuario • IBD: encuentra, activa, desactiva, elimina, corrige registros, cambia biométricas. • AlD: añade o elimina individuos autorizados. • AOD: encuentra, añade, elimina, corrige registros. 10 • VAD: encuentra, activa, desactiva, elimina, corrige • registros. PFD: añade, elimina, corrige registros.

Tareas de administración de sistema 15 Ejecuta verificación de fraudes anteriores. Modifica la lista de sitio válido Resume información logarítmica (advertencias, errores, etc.).

• Realiza supervisión. Ejecuta respaldos. 20 Procedimientos de recuperación de impacto. Sincronización de tiempo para los sitios de DPC. Cambio del sitio de registro primario. Cambio del código de codificación secreto de DES.

• Genera una lista de código de identificación de hardware de BIA, clave de codificación de MAC, y triples claves de base de DUKPT. Almacena en un disco blando codificado el dispositivo de carga de clave. ft 5 DCP LAN La red de área local de DPC (LAN) enlaza las máquinas a los sitios de DPC juntos preferiblemente utilizando un anillo de identificación de fibra óptica. El anillo de identificación de fibra óptica provee alta amplitud de 10 banda y buena seguridad física. La interfaz de red utilizada por las máquinas en el DPC LAN incluye hardware de codificación para hacer grabación o paquetes de intercepción inútiles sin el código de codificación. El código de codificación es el mismo para todas las máquinas en el LAN y está almacenado en el 15 hardware de codificación. Un dispositivo de seguimiento de red configurado de manera adecuada actúa como un detector de intruso y como respaldo para el FW. Si se detecta un mensaje anormal, los mensajes de intrusión se registran en su totalidad, se alerta a un operador, y el FW se apaga físicamente por el 20 dispositivo de seguimiento.

Módulo de procesamiento de mensaje El módulo de procesamiento de mensaje (MPM) maneja el procesamiento para un mensaje. Comunica con otros componentes del DPC como sea necesario para realizar sus tareas. La presencia de un MPM en una ft 5 máquina se marca como un GM. El MPM mantiene un contexto de mensaje para cada mensaje que está procesando actualmente. El contexto de mensaje incluye la información necesaria para mantener la conexión de red al ATM que hace el mensaje, la información de dispositivo de BIA, la clave de respuesta, y el 10 paquete de respuesta. ft Módulo de código de autentificación de mensaje Las tareas del módulo de código de autentificación de mensaje (MACM) son validar el código de autentificación de mensaje en paquetes 15 entrantes y añadir un código de autentificación de mensaje en paquetes de salida. El MACM mantiene un cuadro suelto en memoria de claves de • codificación de MAC de 112 bits codificados mediante código de identificación de hardware de BIA. 20 Cuando el MACM recibe una petición desde el GM para validar un MAC del paquete, primero busca el código de identificación de hardware del paquete en el cuadro de datos sueltos. Si no existe entrada, entonces el MACM responde al GM con un error de "código de identificación de hardware inválido". De otra manera, el MACM realiza una verificación de MAC sobre la parte del mensaje de BIA del paquete utilizando la clave de codificación de • 5 MAC de 112 bits. Si la verificación de MAC fracasa, entonces el MACM responde al GM con un error de "MAC inválido". De otra manera, el MACM responde con un mensaje de "MAC válido". Si el paquete contiene un código de identificación de proveedor, el MACM también verifica el código de identificación de proveedor contra el 10 código de identificación de propietario en el cuadro de datos sueltos. Si los ft códigos no coinciden, entonces el MACM responde con un error de "propietario inválido". Cuando el MACM recibe una petición del GM para generar un MAC para un paquete, busca la clave de codificación de MAC utilizando el 15 código de identificación de hardware del paquete. Con el código de codificación del MAC, el MACM genera un MAC y lo añade al paquete. Si el MACM no puede encontrar el código de identificación de hardware en su cuadro de datos sueltos, responde en cambio con un error de código de identificación de hardware no válido. 20 Esquema de base de datos La entrada de cuadro de datos sueltos de MACM contiene: Entrada de MACM: Id de hardware = int4 Id de propietario = int4 Clave de codificación de mac = int16 El cuadro es desmenuzado mediante código de identificación de hardware. El MACM contiene solamente registros que hacen referencia a códigos de identificación de hardware de BIA activos y propietarios de aparatos activos. Siempre que un aparato o propietario de aparato está suspendido o eliminado del sistema, el MACM elimina cualquier entrada que hace referencia al código de identificación. Cuando un aparato se activa, el MACM añade entonces una entrada para éste. El MACM también captura la clave de codificación de MAC de la base de datos de aparatos válidos. Debido a que el sistema no permite que la clave de codificación de un BIA se cambie, el MACM no necesita preocuparse acerca de recibir actualizaciones de claves de codificación.

Módulo para descifrar el mensaje La tarea del módulo para descifrar el mensaje (MDM) es reconstruir la clave de transacción de DUKPT y con ello descifrar el bloque biométrico del paquete. Mantiene una lista de claves base DUKPT que se requieren para generar la clave de transacción. El MDM construye la clave de transacción DUKPT utilizando el número de secuencia del paquete como el contador de transacción DUKPT, los 22 bits superiores del código de identificación de hardware del BIA como la identificación del módulo de seguridad contra violación de DUKPT (o TRSM"), y los 10 bits inferiores del código de identificación de hardware del BIA como la identificación del grupo de claves de DUKPT. • 5 El DUKPT estándar especifica cómo se genera la clave de transacción. La identificación del grupo de claves se utiliza para buscar una clave base a partir de la lista de la clave base. La clave base se utiliza para transformar la identificación del TRSM en la clave inicial por medio de un ciclo para codificar/decodificar/codificar DES. El contador de transacción 10 posteriormente se aplica a la clave inicial como una serie de ciclos para codificar/decodificar/codificar DES para generar la clave de transacción. Para seguridad adicional, se mantienen dos listas de clave base, una para los dispositivos BIA de baja seguridad y una para dispositivos de alta seguridad. El MDM elige qué lista de clave base utilizar dependiendo del nivel 15 de seguridad del dispositivo.

Esquema de base de datos • La entrada de la lista de clave base del MDM contiene: la entrada a MDM: 20 la clave base = int16 La lista de clave base se pone en un índice mediante la identificación del grupo clave.

El MDM mantiene una lista en memoria de las claves base de DUKPT. Cada clave requiere 112-bits. El MDM mantienen dos grupos de 1024 claves que requieren 32 KB en total. 5 Lista del grupo biométrico (BGL) La lista del grupo biométrico (BGL), junto con la lista de la máquina de base de datos biométrica individual, define la configuración de las máquinas IBD. Una BGL existe en cada máquina GM (GM). La BGL mantiene la lista de grupos en orden y utiliza una 10 búsqueda binaria para encontrar rápidamente el grupo correcto. ft La configuración inicial para la BGL es un grupo biométrico gigante que contiene todos los biométricos posibles. Después de que se asigna un número de umbral de biométricos, el grupo biométrico gigante se divide en dos. De ahí en adelante, este procedimiento se aplica a todos los 15 grupos biométricos subsecuentes. Cuando un grupo biométrico se divide, la BGL asigna una nueva máquina principal y una máquina IBD de respaldo basándose en el • almacenamiento disponible en una base de primero en entrar, primero en salir. La BGL se coordina con las máquinas IBD para copiar primero los 20 registros afectados de las máquinas de respaldo y principales antiguas a las nuevas, actualizando el registro de IML, y al último remueve las copias de respaldo y principales anteriores. El dividir un grupo biométrico es una tarea implicada. La división en grupos de BGL solicita volverse a activar cuando el DPC está cargado ligeramente, por ejemplo, en la noche. El administrador del sistema también puede cambiar las máquinas IBD de respaldo y principales para un grupo biométrico dado si el almacenamiento libre de las máquinas queda por debajo de un nivel requerido para manejar la cantidad esperada de nuevos registros.

Esquema de base de datos El esquema para los registros del grupo biométrico son: Bgv bajo = intß Bgv alto = intd usado = int4 Cada grupo biométrico se identifica por un identificador único. Por conveniencia, el código de identificación del grupo biométrico es el código Bgv bajo para el grupo, sin embargo, el sistema no depende de otra manera de este hecho. La BGL tiene una clave otorgada por el campo Bgv bajo. Se espera que la BGL contenga aproximadamente 3,000 (cada grupo biométrico contiene aproximadamente 1 ,000 valores biométricos activos, pero puede abarcar millones de valores biométricos reales). La BGL total requiere aproximadamente 72 KB de almacenamiento y se oculta por completo en la memoria.

Cuando se agregan fusionan, o dividen los grupos biométricos, la BGL es responsable de informar a la lista de la máquina IBD de los cambios y de dirigir el movimiento de los registros de IBD desde una máquina IBD a otra. 5 Lista de la máquina de base de datos biométricos individuales La lista de la máquina IBD (IML), junto con la lista del grupo biométrico, codifica la configuración de las máquinas IBD. La IML mapea un valor biométrico a las máquinas de IBD principales y de respaldo que almacenan los registros de IBD para el biométrico. La IML tiene una clave 10 otorgada realmente por el grupo biométrico (un grupo de valores biométricos ft consecutivos). Una IML existe en cada máquina GM (GM). Cuando una GM procesa un mensaje que requiere una identificación biométrica, la GM encuentra el registro de IML que tiene una clave otorgada por el grupo biométrico. La GM entonces sabe que las 15 máquinas IBD de respaldo y principales se utilizan para la identificación biométrica. La mayoría de los registros de IBD serán usuarios, que querrán fP utilizar el sistema para comprar productos de vendedores en puntos de venta. El resto de los registros se relacionará generalmente con personas que 20 realizan funciones administrativas tales como registro, o apoyo para el usuario.

Esquema de base de datos El esquema para las entradas de la lista de IML son: Par de la máquina: Grupo biométrico = intd • 5 principal = int2, respaldo = int2 La IML tiene una clave otorgada por el grupo bvg. Se espera que la IML contenga aproximadamente 3,000 entradas (el número de grupos de valor biométrico). Cada registro del par de 10 máquina son 12 bytes que requieren aproximadamente 36 KB de alrhacenamiento y es ocultado por completo en la memoria. Cualquier cambio en la configuración de las máquinas IBD se refleja en la IML. Además, la IML utiliza grupos biométricos para sus claves de manera que cuando se modifica la lista del grupo biométrico, también se 15 actualiza la IML.

Módulo del número de secuencia • La función primaria del módulo del número de secuencia (SNM) sirve para evitar ataques de repetición al validar los números de secuencia del 20 paquete. Su tarea secundaria es reducir al mínimo los efectos de un ataque de resumisión al informar a otros SNM en sitios DPC remotos de las actualizaciones del número de secuencia y para actualizar periódicamente los números de secuencia en la base de datos del aparato validas.

El SNM mantiene una tabla de direcciones calculadas en memoria del número de secuencias que tienen una clave otorgada por un código de identificación de hardware BIA que codifica para permitir la validación rápida de los números de secuencia de paquete. • 5 Cuando el SNM recibe una petición de validación desde GM para un código de identificación hardware dado y número de secuencia, busca el código de identificación de hardware en la tabla de direcciones calculadas. Si no existe una entrada, entonces el SNM le contesta a la GM con un error de "código de identificación de hardware inválido". 10 De otra manera, el SNM verifica el número de secuencia dado ft contra el número de secuencia almacenado en la entrada de la tabla de direcciones calculadas. Si el número de secuencia es menor que o igual al número de secuencia almacenado, el SNM contesta con un error de "número de secuencia inválido". De otra manera, el SNM establece el número de 15 secuencia en la entrada de la tabla de direcciones calculadas para el número de secuencia dado y contesta con un mensaje de "número de secuencia válido".

• De vez en cuando, el SNM puede observar una separación de número de secuencia. Una separación del número de secuencia ocurre 20 cuando el SNM recibe un número de secuencia que es mayor que uno que el número de secuencia almacenado en la entrada de la tabla de direcciones calculadas. En otras palabras, un número de secuencia avanzó. Cuando el SNM descubre una separación de número de secuencia, contesta con un mensaje de "separación de número de secuencias" a la GM en lugar de un mensaje de "número de secuencia válido". La GM trata el paquete como válido, pero también registra una advertencia de "separación de número de secuencias". Las separaciones de número de secuencias generalmente ocurren cuando la conectividad de la red está perdida: los paquetes se caen o no se pueden enviar hasta que la red se restaura para un orden de trabajo. Sin embargo, las separaciones de número de secuencia ocurren por razones fraudulentas como también: partes maliciosas pueden interceptar los paquetes evitando que lleguen al DPC o pueden aún intentar falsificar los paquetes (con un número de secuencia grande de manera que no se rechace de manera inmediata). La función secundaria del SNM es informar a otros DPC de los números de secuencia actualizados. Al actualizar rápidamente los números de secuencia en todos los sitios DPC se obstruyen los ataques de resumisión en donde una entidad maliciosa monitorea los paquetes destinados para un sitio DPC y envía de inmediato una copia a un sitio DPC diferente con la esperanza de aprovecharse de la demora de transmisión de las actualizaciones del número de secuencia de un sitio de DPC a otro dando como resultado que en ambos sitios aceptan el paquete como válido, cuando únicamente el primer sitio debería aceptar el paquete. Los SNM envían mensajes actualizados a cada uno en donde quiera que reciban un número de secuencia válido. Si un SNM recibe un mensaje de actualización para un número de secuencia que es menor que o igual al número de secuencia almacenado en la actualidad en su tabla de direcciones calculadas, el SNM registra una advertencia de resumisión de número de secuencia. Todos los ataques de resumísión se detectan de esta • 5 forma. Una manera más simple de obstruir los ataques de resumisíón por completo, es tener únicamente un paquete de validación de SNM. Bajo este esquema, no existe una ventana de retraso de transmisión de actualización para aprovecharse de un ataque de resumisión. De manera 10 alternativa, múltiples SNM pueden activarse al mismo tiempo sin permitirles ft que manejen la validación del número secuencia para el mismo dispositivo equipado de BIA.

Mantenimiento del número de secuencia 15 Cuando el SNM inicia, carga la tabla de direcciones calculadas del número de secuencia desde los números de secuencia para activar el BIA almacenado en VAD. VAD es responsable de enviar una entrada adicional y remover los mensajes de entrada al SNM para cualesquiera dispositivos equipados de 20 BIA que se activan o desactivan para mantener la tabla de direcciones calculadas de SNM actualizadas.

Esguema de base de datos La entrada de la tabla de direcciones calculadas de SNM contiene: entrada al SNM: hardwareld=int4: número de secuencia =int4 La tabla de direcciones calculadas tiene una clave otorgada por hardwareld. Dando por sentado que aproximadamente 5 millones de dispositivos equipados con BIA en servicio requieren la tabla de direcciones calculadas de aproximadamente 40 MB. El SNM depende de la base de datos del aparato válida. Cuando un aparato se suspende o remueve de la base de datos, el SNM remueve la entrada correspondiente. Cuando se activa un aparato, el SNM crea una entrada para el mismo. Los SNM requieren un ancho de banda de aproximadamente 8 KB por segundo para manejar 1000 mensajes de número de secuencia actualizados por segundo. Los mensajes de número de secuencia actualizados se guardan en el bufer y envían una vez por segundo para reducir al mínimo el número de mensajes reales enviados.

Base de datos del propietario del aparato La base de datos del propietario del aparato (AOD) almacena información en usuarios u organizaciones que tienen uno más dispositivos equipados con BIA. Esta información se utiliza para verificar de manera doble • que los dispositivos BIA son utilizados únicamente por sus propietarios de manera correcta, para proveer una información de cuentas financieras, y para permitir la identificación de todos los BIA poseídos por un usuario específico u organización específica. 10 Esguema de base se datos El esquema para el registro del propietario del aparato es: propietario del aparato: iddelpropietario =int4 nombre=char50 15 dirección=char50 código postal=char9 estado=int1 • El campo de estado es uno de: 0: suspendido 20 1 : Activo La base de datos del propietario del aparato tiene una clave otorgada por la Id del propietario.

La AOD se almacena como un fichero hash que tiene una clave otorgada por el código de identificación del propietario. Una copia de la AOD se almacena en cada GM. Cuando las entradas se remueven o suspenden de la AOD, • 5 cualquier registro de base de datos del aparato válido que mencionen aquellos propietarios del aparato se marcan a medida que se suspenden. Además, el módulo MAC y el módulo del número de secuencia remueven sus entradas para los aparatos suspendidos. 10 Base de datos del aparato válido ft La base de datos del aparato válido (VAD) es una recopilación de registros que representan todas los BIA que se han fabricado hasta la fecha. El registro de VAD contiene la clave de codificación del código de autenticación del mensaje para cada BIA, como también una indicación de si 15 un BIA está activo, esperando el envío, o marcado como destruido. Para que se codifique un mensaje de un BIA, el BIA debe existir y tener un registro activo en la VAD. • Cuando se fabrica, cada BIA tiene un código de identificación público único. Además, cada BIA se inyecta con una clave de codificación 20 MAC única, y una clave DUKPT inicial, las cuales se introducen en el registro de VAD antes del despliegue de BIA. Cuando se construye por primera vez un BIA, se le da un código de identificación de hardware único. Cuando un BIA se coloca en servicio, su código de identificación de hardware se registra con el sistema. En primer lugar, el propietario o parte responsable del BIA se registra en la base de datos del propietario del aparato (AOD). Posteriormente, el registro de VAD se señala al registro de AOD, y posteriormente se activa el BIA. Los mensajes 5 del BIA se aceptan mediante DPC. Cuando un BIA entra al servicio, el agente de instalación realiza un avalúo de seguridad del asistente, determinando la atención relativa que paga la organización hacia la lucha contra el fraude y similares. De igual manera, la geografía del área circundante se examina; los vecindarios con alto 10 índice de criminalidad merecen un valor de seguridad inferior, por ejemplo. ft Estos valores se colocan en el registro de VAD para el dispositivo. Esto puede cambiar con el tiempo. Cuando se remueve un BIA del servicio, se marca como inactivo, y el enlace al registro de AOD se rompe. No se acepta ninguna comunicación 15 desde BIA. Cada tipo y modelo de BIA tiene un avalúo de seguridad del dispositivo realizado en él durante su diseño y construcción. Esto representa • la capacidad básica del dispositivo de resistir intentos por monitorear el funcionamiento interno de BIA, la capacidad de BIA para mantener las claves 20 de codificación actuales y del pasado almacenadas en el BIA secreto, y la capacidad de BIA para soportar la reprogramación de los criminales. El número de mensajes desaprobados, mensajes recientes, y el número promedio de mensajes realizados por un aparato dado se registra en el registro de VAD, para ayudar al módulo de factores de seguridad para detectar los mensajes fraudulentos. Periódicamente, se han aclarado los campos de solicitudes recientes y solicitudes desaprobadas. • 5 Esguema de base de datos El esquema para el registro del aparato válido es: Aparato válido: Iddehardware = int 4 Clavedecodificaciónmac=intl 6 10 Iddelpropietario = intd ft Fechademfg = tiempo Endatosdeservicios = tiempo Seguridaddeldispositivo = int2 Seguridaddelaubicación = int2 15 Expertosenatención = int2 Peticióndesaprobada = int2 Petición reciente = int2 Peticiónpromedio = int2 Estado = intl 20 Valores posibles para el campo de estados son: 0: suspendido 1 : activo 2: destruido La base de datos del aparato válido tiene una clave otorgada por el código de identificación de hardware. La VAD se almacena como un% fichero de hash que tiene una clave otorgada por el código de identificación de hardware. Una copia de la 5 VAD se almacena en cada GM. Cuando un registro de VAD cambia su estado, los módulos de MAC y módulos de número de secuencia se informan de su cambio en estado. Por ejemplo, cuando un aparato se activa, MACP y SNM agregan una entrada para el aparato activado de nueva cuenta. Cuando un aparato se 10 inactiva, MACP y SNM remueven su entrada para el aparato. ft Base de datos biométricos individuales Los registros de la base de datos biométricos individuales (IBD) almacenan información personal en usuarios tanto para la identificación como 15 la autenticación. Esta información puede incluir sus biométricos primarios y secundarios, uno o más valores biométricos, una lista de cuentas financieras, a lo mejor un código de índice de cuenta, nombres de índice de cuenta, • código privado, uno o más códigos del índice de cuenta de emergencia, dirección, y número telefónico. El usuario puede incluir opcionalmente su 20 SSN. Esta información es necesaria para identificar un usuario ya sea mediante información bíométrica o personal, para accesar información relacionada, o para proveer una dirección o número telefónico para vendedores remotos o bancos para verificación adicional.

Los usuarios se agregan al sistema durante el procedimiento de inscripción del usuario en el registro del usuario registrado del ATM localizado en los establecimientos de bancos de venta al menudeo mundiales, o en oficinas del sistema local. Durante la inscripción, los usuarios agregan cuentas financieras y opcionalmente cualquier número de identificación personal, a sus biométricos. IBD existe en máquinas múltiples, cada una de las cuales es responsable de un subconjunto de registros de IBD con una copia de cada registro almacenado en dos máquinas diferentes, ambas para redundancia y para repartición carga. La lista de la máquina IBD, almacenada en GM, mantiene qué máquinas mantienen qué valores bíométricos.

Esguema de base de datos El esquema para el registro biométrico del usuario es: biométrico del usuario: biométricoprimario = biométrico biométricosecundario = biométrico Iddelbiométrico = int4 númerotelefónico = char12 nombredepila = char24 apellido = char24 inicialmedia = char2 SSN = char9 códigoprivado = char40 dirección = chardO códigopostal = char9 clavepública = char64 controltotal = int4[10] códigodelíndicedecuenta = char30[10] nombresdelíndicedecuenta = char30[10] códigodelíndicedeemergencia = charl enlacedeemergencia = charl privs = charlO empadronador = intd cuentadealarmasilenciosa = int4 comportamientodelaalarmasilenciosa = int2 estado = intl El campo del estado es uno de: 0: suspendido 1 : activo 2: fraudeanterior IBD tiene una clave otorgada por el valor biométrico. Cada máquina IBD, preferiblemente, tiene un índice adicional en el número de seguro social del usuario, apellido, nombre de pila, y número telefónico para facilitar acceso a la base de datos de IBD.

Cada máquina IBD tiene 40 GB de almacenamiento secundario provisto por uno o más dispositivos RAID. Cada registro IBD es de 2658 bytes (suponiendo que los biométricos son 1K cada uno) permitiendo hasta 15 millones de registros por máquina. Los registros de IBD se almacenan • 5 utilizando un índice secundario (algunas veces agrupados) en el valor biométrico. El índice se almacena en la memoria y no requiere más de 64 MB (un índice de 64 MB maneja aproximadamente 16 millones de entradas). Para almacenar registros para 300 millones de usuarios, la DPC necesita al menos 40 máquinas IBD: 20 máquinas IBD para almacenamiento principal y otras 20 10 para respaldo. El número de máquinas IBD aumenta o reduce • progresivamente dependiendo del número de usuarios registrados. Las máquinas IBD, lista de grupo biométrico, y la lista de la máquina IBD permanece actualizada en términos de cuáles valores biométricos se encuentran en qué máquina. Cuando un grupo biométrico se 15 configura o las máquinas principales y de respaldo para grupos biométricos se cambian, las máquinas IBD actualizan su base de datos e índices de manera apropiada.

Base de datos individual autorizada 20 Para cada dispositivo equipado de BIA del usuario o personal, la base de datos individual autorizada (AlD) mantiene una lista de usuarios que están autorizados por el propietario del dispositivo, a utilizarlo. La AlD existe ya que provee acceso restringido a ATM.

Esquema de base de datos El esquema para el registro individual autorizado es: Individuoautorizado: 5 Iddehardware = int4 Iddelbiométrico = int4 La Id del hardware se refiere a un registro en la base de datos del aparato válido y la Id del biométrico se refiere a un registro en la base de datos del biométrico individual. En cualquier momento que DPC necesite 10 verificar si un individuo está autorizado a utilizar un dispositivo BIA personal o ft emisor, DPC verifica la existencia de un registro individual autorizado con la Id del hardware e Id del biométrico correcta. Los dispositivos de BIA personales se identifican por un campo de uso ajustado a 1 (personal) en la base de datos del aparato válido. Los 15 dispositivos de BIA del emisor se identifican por un campo de uso ajustado a 2 (emisor) en la base de datos del aparato válido.

• Ejecución del sistema 20 En GM: 1.- MACM verifica MAC (local) 2.- SNM verifica el número de secuencia (mensaje de la red) 3.- MDM codifica el bloque biométrico (local) 4.- Encuentra la máquina IBD (local) 5.- Envía mensaje de identificación a la máquina de IBD (mensaje de red) 5 En la máquina IBP: 6.- Recupera todos los registros de IBD para el valor biométrico (x buscar y x leer, en donde x es el número de páginas requeridas para almacenar los registros biométricos). 7.- Para cada registro, comparar contra su biométrico primario 10 (y/2 ms en donde y es el número de registros recuperados). ft 8.- Si ninguna razón coincide, repetir el paso 9 pero comparar contra el biométrico secundario (z * y/2 ms, en donde y es el número de registros recuperados y z es la probabilidad de no encontrar coincidencia). 9.- Actualizar la línea de espera del control total del registro del 15 IBD que coincide mejor y verificar los ataques de repetición posibles (1 buscar, 1 leer, y 1 escribir). 10.- Regresar el mejor registro de IBD que mejor coincide o un ft error si la coincidencia no está lo suficientemente cercana (mensaje de red). 20 En GM: 11.- Autorizar el mensaje con un procesador externo (mensaje de red) 12.- GM codifica y MAC la respuesta (local). 13.- Enviar paquete de respuesta de regreso (mensaje de red).

Procedimientos de DPC sensibles al uso En otra modalidad, el sistema tiene capacidades de • 5 procesamiento de datos sensibles al uso, en donde los usuarios frecuentes del sistema se encuentra en una memoria caché local. Este sistema comprende un DPC principal que tiene un motor de comparación de DPC principal, también mencionado como un comparador. El comparador DPC principal además tiene una base de datos biométrica del usuario principal que 10 contiene o almacena las muestras biométricas de todos los usuarios ft registrados con el sistema de computadora de identificación. La DPC principal además comprende una base de datos del grupo biométrico del usuario que contiene los biométricos de dichos usuarios. Los biométricos de usuarios pueden no necesariamente ser únicos para los usuarios individuales, de este 15 modo, más de un usuario puede tener el mismo biométrico. El sistema además comprende al menos dos DPC locales que se encuentran separados físicamente entre sí. Cada DPC local además comprende un comparador y ft una base de datos biométrico del usuario local que contiene un subconjunto de muestras biométricas contenidas en la base de datos biométricas 20 principales. Las líneas de comunicaciones de datos permiten que fluyan los mensajes entre cada DPC local y el DPC principal. Para realizar una identificación, BIA envía el mensaje apropiado al DPC local, en donde el comparador compara la muestra biométrica solicitada contra el subconjunto de las muestras biométricas registradas contenidas en la base de datos de DPC local para producir ya sea un primer resultado de identificación exitoso o fallido. Si el DPC local regresa un resultado de identificación fallido, la muestra biométrica solicitada se transmite • 5 al DPC principal para comparación de la muestra biométrica solicitada entrante a las muestras biométricas almacenadas en DPC principal para producir ya sea un segundo resultado de identificación exitoso o fallido. Si ambas identificaciones fracasan, la persona no se identifica. De otra forma, el resultado del primer y segundo resultado de identificación se extemaliza a 10 partir del sistema por computadora de identificación al usuario mediante BIA y/o ATM. Si el DPC local no puede identificar al individuo, pero el DPC principal sí, el DPC principal transmite el registro de base de datos del usuario identificado al DPC local. Por lo tanto, en muestras biométricas solicitadas 15 futuras presentadas por el mismo individuo, el DPC local será capaz de identificar al usuario sin implicar al DPC principal. En otra modalidad de la invención, el sistema por computadora • de identificación además comprende un motor para purgar para borrar los registros de la base de datos desde la base de datos de DPC local. Para 20 almacenar únicamente registros para aquellos individuos que utilizan el sistema con frecuencia y evitar la sobrecarga de bases de datos con registros de individuos que no utilizan el sistema con frecuencia o utilizan el DPC local de manera limitada, el registro de un usuario se borra de la base de datos biométrica de DPC local si no ha habido intento de identificar a un individuo al momento de la expiración de un limite de tiempo predeterminado. Para realizar comunicaciones entre el DPC principal y el DPC local de manera más segura, el sistema además comprende medios de • 5 codificación y decodificación, en donde las comunicaciones entre el DPC principal y el DPC local se codifican. El DPC principal es responsable de almacenar el grupo total de muestras biométricas registradas con el sistema de computadora. Cada DPC principal preferiblemente está compuesto de un número de computadoras y 10 bases de datos conectados entre sí en una LAN (conocida en la industria) ft como se ilustró en la vista general del DPC principal de la figura 2. Múltiples sitios de DPC principales idénticos aseguran un servicio confiable en la cara del desastre o falla seria de hardware en cualquier sitio de DPC principal individual. Además, cada sitio DPC local, intermediario, principal tiene 15 redundancia múltiple y respaldo de energía eléctrica en todos sus sistemas de hardware y base de datos críticos. Se prefiere que el DPC intermediario y principal tenga una • máquina cortafuego que sea el punto de entrada de datos y mensajes en estas computadoras, y una máquina de vía de acceso que sea un coordinador 20 de sistema y procesador de mensaje.

Máquina con protección pared de fuego (FW) Las máquinas FW proveen una primera línea de defensa contra los virus de red y hackers de computadora. Todos los enlaces de comunicación en o fuera del sitio de DPC primero pasan a través de una ft 5 máquina FW segura. La máquina FW, un sistema de canalización de red local- Internet, únicamente maneja mensajes destinados para las máquinas GM. ATM equipada con BIA envía paquetes a un solo sitio de DPC por medio del moden, X.25, u otro medio de comunicación. El DPC se encuentra en una 10 tercera parte para proporcionar el modem que los bancos requieren para ft' manejar el volumen de llamadas y alimentar los datos en el respaldo de DPC. Para la comunicación de DPC a DPC principalmente para transacciones distribuidas y actualizaciones de número de secuencia, las máquinas FW mandan paquetes codificados DES de doble longitud. El 15 componente DPC LAN maneja la codificación y la descodificación: la FW no tiene la capacidad de codificar los paquetes. El dispositivo de seguimiento de red configurado de manera apropiada actúa como un detector de intrusos como respaldo para la FW. Si se detecta un mensaje fuera de lo normal, los mensajes del intruso se 20 registran en su totalidad, un operador se alerta, y la FW se cierra físicamente por el dispositivo de seguimiento. La FW no permite ninguna transmisión desde la red interna al resto de la Internet.

Un mensaje de transacción financiera electrónico requiere aproximadamente 400 bytes y los paquetes de registro requieren aproximadamente 2 KB. Para manejar 1000 transacciones financieras electrónicas por segundo y un registro de paquete por segundo, las máquinas • 5 FW son capaces de procesar aproximadamente 400 KB por segundo. Cada sitio de DPC requiere un ancho de banda agregado de aproximadamente tres conexiones T1 al banco del modem de la tercera parte y los otros sitios DPC.

Máquina vía de acceso (GM) 10 La máquina GM, a través de las máquinas FW, unen el mundo • exterior (ATM equipado con BIA y otros DPC) a los componentes internos de DPC. El DPC tiene múltiples GM, típicamente dos. La GM supervisa el procesamiento de cada mensaje BIA, se comunica con varios componentes DPC según sea necesario, y envía los 15 resultados codificados del mensaje de regreso al que envía. El software que realiza esta tarea se llama módulo de procesamiento de mensaje. La GM registra todos los mensajes que recibe y cualquier • advertencia de los componentes que los comunica. Por ejemplo, la GM registra cualquier alarma silenciosa, brechas de números de secuencia, y 20 paquetes inválidos. El procesamiento de un mensaje puede requerir que la GM informe a las GM en todas los DPC de un cambio en la base de datos de DPC. Cuando esto pasa, la GM activa una transacción distribuida para actualizar las bases de datos remotas. Las transacciones distribuidas entran en dos categorías: sincrónica y asincrónicas. Las transacciones distribuidas sincrónicamente • 5 requieren que la GM espere la transacción distribuida para registrarse antes de continuar procesando el paquete. Las transacciones distribuidas asincrónicamente no requieren que la GM espere para registrarse, y permiten que termine el procesamiento del mensaje a pesar de que la transacción distribuida se registre o no. Las transacciones distribuidas asincrónicamente 10 únicamente se utilizan para actualizar los datos para los cuales la consistencia de base de datos no es un requerimiento absoluto: los números de secuencia y registros de control total biométricos pueden realizarse asincrónicamente, en donde se crean, o no, registros de bases de datos, tales como registros biométricos del usuario. 15 Cuando se realiza una transacción distribuida sincrónica, la GM solicitada únicamente considera la transacción total útil si todos los sitios pueden registrar de manera exitosa la transacción de manera local. De otra • manera, la GM aleja los cambios localmente y rechaza la solicitud debido a un error de transacción. 20 La lista de sitios DPC válidos es normalmente todos los sitos. En caso de un error de sitio extremo, sin embargo, un administrador de sistema puede remover manualmente el sitio de la lista de sitio válida. La causa más probable de errores de transacción distribuidas, sin embargo, son fallas de red temporales que no están relacionadas con ningún equipo de DPC. Los mensajes que requieren una transacción distribuida sincrónica no pueden realizarse hasta que la conectividad de la red se restaura o el sitio se remueve de la lista del sitio válida. Antes de que un sitio pueda agregarse de regreso a • 5 la lista de sitio válido, el administrador de sistemas detiene la base de datos del sitio hasta la fecha con aquellas del sitio activado actualmente.

Componentes del software Cada GM activa los siguientes componentes del software 10 localmente por razones de funcionamiento: • Módulo de procesamiento de mensaje Módulo de código de autenticación de mensaje Módulo para descifrar el mensaje Lista de máquina de base de datos biométrico individual 15 La banda ancha del mensaje requerida por la GM es similar a la que se requiere por las máquinas FW. Una ¡nterfaz de red FDDI provee 100 MBits por segundo y cubre fácilmente cualquier requerimiento de banda • ancha. De lo anterior, se apreciará cómo se cumplen los objetivos y 20 características de la invención. En primer lugar, la invención provee un sistema de identificación por computadora que elimina la necesidad para un usuario de poseer y presentar un objeto físico, tal como un testigo, para autorizar una transacción. 0 En segundo lugar, la invención provee un sistema de identificación por computadora que es capaz de verificar la identidad del usuario, a diferencia de verificar la posesión de objetos e información patentada. En tercer lugar, la invención verifica la identidad del usuario en base a una o más características únicas que sean físicamente personales al usuario. En cuarto lugar, la invención provee un sistema de identificación que es práctico, conveniente, y fácil de utilizar. En quinto lugar, la invención provee un sistema de acceso seguro a un sistema por computadora que es muy resistente a intentos de autorización de transacciones fraudulentas por usuarios no autorizados. En sexto lugar, la invención provee un sistema de identificación por computadora que permite a un usuario notificar a las autoridades que se realiza una solicitud de acceso particular mediante una tercera parte sin dar aviso de la notificación a la tercera parte. Aunque la invención se ha descrito con relación a un sistema de identificación de testigos particulares y método para su uso, se apreciará que varias modificaciones del aparato y método sean posibles sin apartarse de la invención, que se define mediante las reivindicaciones que se establecen a continuación.

Claims

NOVEDAD DE LA INVENCIÓN REIVINDICACIONES 1.- Un método para acceso biométrico sin identificación a cuentas financieras en una institución utilizando un cajero automático, el método comprende los pasos de: a. un paso de registro del usuario, en donde un usuario registra con un identificador electrónico una o más muestras biométricas de registro y una o más cuentas financieras del usuario; b. un paso de inicio, en donde el usuario comienza un acceso de cuenta en un cajero automático ingresando al menos una muestra biométrica solicitada directamente de la persona, en donde ningún dispositivo de memoria hecho por el hombre portátil tal como tarjetas inteligentes o con banda magnética se utilizan por el usuario; c. al menos un paso de transmisión, en donde un mensaje de petición de acceso a cuenta comprende que el biométrico solicitado del usuario se transmite desde el cajero automático al identificador electrónico; d. un paso de identificación del usuario, en donde el identificador electrónico compara la muestra biométrica solicitada en el mensaje de petición de acceso a cuenta con una muestra biométrica registrada, para producir ya sea una identificación exitosa o fallida del usuario; e. un paso de recuperación de cuenta, en donde al momento de la identificación exitosa del usuario, al menos una cuenta financiera del usuario se recupera; y f. un paso de acceso, en donde después de la identificación exitosa del usuario y recuperación de cuenta financiera exitosa, se le permite al usuario accesar a la cuenta financiera. 2.- El método de conformidad con la reivindicación 1 , caracterizado además porque el paso de registro del usuario además comprende registrar un número de identificación personal con el identificador electrónico, utilizado mediante el identificador electrónico para identificar al usuario. 3.- El método de conformidad con la reivindicación 1 , caracterizado además porque comprende un paso de operación financiera, en donde el usuario realiza al menos una acción seleccionada del grupo que comprende: retiro de efectivo, depósito de fondos, transferencia de fondos entre cuentas, obtención de balances de cuenta, compra de productos, pago de cuentas y obtención de efectivo de manera electrónica 4.- El método de conformidad con la reivindicación 1 , caracterizado además porque comprende un paso de autenticación del identificador electrónico en donde un código privado, diferente a un PIN y no utilizado para ganar acceso al identificador electrónico, lo adquiere el usuario durante el paso de registro del usuario y se presenta únicamente al usuario durante un paso de presentación, con lo cual el usuario se asegura que el identificador electrónico auténtico se utilizó para procesar el acceso de cuenta ya que un identificador electrónico falso no pude ser capaz de presentar el código privado del usuario. 5.- El método de conformidad con la reivindicación 1 , caracterizado además porque comprende un paso de recuperación de cuenta del usuario, en donde: a. el paso de registro del usuario además comprende asignar un código de índice de cuenta a una cuenta financiera del usuario; b. • 5 un paso de especificación de cuenta, en donde el usuario entra a un código de índice de cuenta; c. el paso de transmisión además comprende incluir el código de índice de cuenta en el mensaje de petición de acceso a cuenta; y d. un paso de recuperación de cuenta además comprende el identificador electrónico que recupera el número de cuenta financiera del usuario utilizando 10 el código de índice de cuenta a partir del mensaje de petición de acceso a •• cuenta. 6.- El método de conformidad con la reivindicación 5, caracterizado además porque el código de índice de cuenta comprende un código alfanumérico. 15 7.- El método de conformidad con la reivindicación 5, caracterizado además porque comprende un paso de despliegue de nombre de cuenta, caracterizado además porque una lista de cuentas con sus códigos • de índice de cuentas se recuperan y despliegan al usuario después de una identificación exitosa. 20 8.- El método de conformidad con la reivindicación 5, caracterizado además porque durante el paso de registro del usuario, el usuario registra un código de índice de cuenta de emergencia, que si es introducido por el usuario durante el paso de inicio en lugar del código de índice de cuenta, activa una alarma silenciosa, con lo cual las autoridades se notifican de un acceso a cuenta forzado. 9.- El método de conformidad con la reivindicación 8, caracterizado además porque durante el paso de registro, el usuario • 5 especifica cualquier combinación de acciones tomadas al activar la alarma de silencio, que comprende límites de recursos financieros artificiales, presentación de un código privado falso, rechazo de acceso a la cuenta, administración de cuentas marcadas, notificación de autoridades, o envío de alarma silenciosa a la institución. 10 10.- El método de conformidad con la reivindicación 1 , ft caracterizado además porque el usuario registra un índice de emergencia durante el paso de registro que, si se introduce por el usuario durante el paso de inicio, activa una alarma de silencio. 11.- El método de conformidad con la reivindicación 1 , 15 caracterizado además porque el cajero automático está alejado de la institución y se comunica con la institución usando una red por computadora. 12.- El método de conformidad con la reivindicación 11 , ft caracterizado además porque la red por computadora es uno o más de los grupos que comprenden una red de cajero automático, la Internet, una intranet 20 privada, una red telefónica o una red de televisión por cable. 13.- El método de conformidad con la reivindicación 1 , caracterizado además porque el paso de registro del usuario además comprende comparar las muestras biométricas del registro del usuario con muestras biométricas previamente designadas de ciertos usuarios en donde si ocurre una coincidencia, el usuario se determina para volverse a registrar, con lo cual los usuarios que han realizado un fraude en el sistema puedan ser identificados automáticamente solamente a partir de sus biométricos cuando • 5 se registran. 14.- El método de conformidad con la reivindicación 13, caracterizado además porque el paso de registro además comprende recolectar las muestras biométricas de un dedo específico, con lo cual el sistema puede detectar los registros dobles de muestras biométricas 10 designadas previamente de ciertos usuarios. • 15.- El método de conformidad con la reivindicación 1 , caracterizado además porque la muestra biométrica se selecciona a partir de cualquier grupo de: una huella digital, una imagen de retina, una imagen de iris, un escudriñamiento facial y una impresión de voz. 15 16.- El método de conformidad con la reivindicación 1 , caracterizado además porque comprende un paso de resolución de robo de biométrico, en donde un número de selección biométrica del usuario se • cambia para evitar el acceso no autorizado a individuos que han obtenido la información de autenticación personal del usuario. 20 17.- El método de conformidad con la reivindicación 1 , caracterizado además porque el cajero automático comprende una aplicación que se realiza en una computadora personal. 18.- Un método para acceso biométrico sin identificación para cuentas financieras en instituciones utilizando un cajero automático, y seleccionar entre diferentes cuentas financieras, el método que comprende los pasos de: a. un paso de registro del usuario, en donde un usuario registra con un identificador electrónico una o más muestras biométricas de registro, una o más cuentas financieras del usuario, y asigna un código de índice de cuenta a una cuenta financiera del usuario; b. un paso de inicio, en donde el usuario comienza un acceso de cuenta en un cajero automático al introducir al menos una muestra biométrica solicitada directamente desde la persona del usuario, en donde ningún dispositivo de memoria hecho por el hombre portátil tal como tarjetas inteligentes o con banda magnética pueden utilizarse por el usuario; c. un paso de especificación de cuenta, en donde el usuario introduce un código de índice de cuenta; d. al menos un paso de transmisión, en donde un mensaje de petición de acceso a cuenta que comprende los datos biométricos solicitados y el código de índice de cuenta es transmitido desde el cajero automático al identificador electrónico; e. un paso de identificación del usuario, en donde el identificador electrónico compara los datos biométricos solicitados en el mensaje de petición de acceso a cuenta con las muestras biométricas de registro para producir ya sea identificación exitosa o fallida del usuario; f. un paso de recuperación de cuenta, en donde al momento de la identificación exitosa del usuario, un número de cuenta financiera del usuario se recupera utilizando el código de índice de cuenta del mensaje de petición de acceso a cuenta; y g. un paso de acceso, en donde después de la identificación exitosa del usuario y la recuperación del número de cuenta financiera exitosa, se le permite al usuario accesar a la cuenta financiera. 19.- El método de conformidad con la reivindicación 18, caracterizado además porque el paso de registro del usuario además comprende registrar un número de identificación personal del usuario con el identificador electrónico, utilizado pro el identificador electrónico para identificar al usuario. 20.- El método de conformidad con la reivindicación 18, caracterizado además porque comprende un paso de autenticación del identificador electrónico en donde un código privado, diferente a un PIN y no utilizado para ganar acceso al identificador electrónico, es adquirido por el usuario durante el paso de registro del usuario y presentado únicamente al usuario durante un paso de presentación, con lo cual el usuario se asegura que el identificador electrónico auténtico se utilizó para procesar el acceso de cuenta ya que un identificador electrónico falso no puede ser capaz de presentar el código privado del usuario. 21.- El método de conformidad con la reivindicación 18, caracterizado además porque el código de índice de cuenta comprende un código alfanumérico. 22.- Un dispositivo para acceso biométrico sin identificación a cuentas financieras en una institución utilizando un cajero automático, el dispositivo comprende: a. un identificador electrónico para comparar la muestra solicitada y las muestras biométricas de registro de un usuario, en donde el identificador electrónico compara la muestra biométrica solicitada en un mensaje de petición de acceso a cuenta con una muestra biométrica registrada, para producir ya sea una identificación exitosa o fallida del usuario; b. un aparato de entrada biométrico para ingresar las muestras biométricas 5 del usuario al identificador electrónico; c. al menos una cuenta financiera; d. un módulo de recuperación de cuenta, en donde al momento de la identificación exitosa del usuario, al menos una cuenta financiera del usuario se recupera; y e. un módulo de realización para someter a débito y acreditar las cuentas financieras del usuario; f. en donde después de una identificación 10 exitosa del usuario y una recuperación de la cuenta financiera exitosa, se le • permite al usuario accesar a la cuenta financiera; g. en donde ninguna señal hecha por el hombre tal como tarjetas o tarjetas inteligentes se presenta para entregar una muestra biométrica solicitada. 23.- El dispositivo de conformidad con la reivindicación 22, 15 caracterizado además porque el usuario registra un número de identificación personal con el identificador electrónico, que se utiliza por el identificador electrónico para identificar al usuario. • 24.- El dispositivo de conformidad con la reivindicación 22, caracterizado además porque un módulo de autenticación del identificador 20 electrónico en donde un código privado, diferente a un número de identificación personal y no utilizado para ganar acceso al identificador electrónico, es adquirido por el usuario durante el paso de registro del usuario y presentado únicamente al usuario durante un paso de presentación, con lo cual se asegura al usuario que el identificador electrónico auténtico se utilizó para procesar el acceso de cuenta. 25.- El dispositivo de conformidad con la reivindicación 22, caracterizado además porque comprende un módulo de recuperación de cuenta del usuario, en donde el usuario asigna un código de índice de cuenta a una cuenta financiera del usuario durante el registro. 26.- El dispositivo de conformidad con la reivindicación 25, caracterizado además porque comprende un módulo de recuperación de cuenta del usuario, en donde el identificador electrónico recupera el número de cuenta financiera del usuario utilizando un código de índice de cuenta contenido en el mensaje de petición de acceso a cuenta. 27.- El dispositivo de conformidad con la reivindicación 22, caracterizado además porque las muestras biométricas de registro del usuario se comparan para designar previamente muestras biométricas de ciertos usuarios, en donde si ocurre una coincidencia, el usuario está determinado a tener un registro doble.