WO2013150333A1 - Sistema y metodo para firmar y autentificar transacciones seguras a traves de una red de comunicaciones - Google Patents

Sistema y metodo para firmar y autentificar transacciones seguras a traves de una red de comunicaciones Download PDF

Info

Publication number
WO2013150333A1
WO2013150333A1 PCT/IB2012/051625 IB2012051625W WO2013150333A1 WO 2013150333 A1 WO2013150333 A1 WO 2013150333A1 IB 2012051625 W IB2012051625 W IB 2012051625W WO 2013150333 A1 WO2013150333 A1 WO 2013150333A1
Authority
WO
WIPO (PCT)
Prior art keywords
user
key
userid
mac
code
Prior art date
Application number
PCT/IB2012/051625
Other languages
English (en)
French (fr)
Inventor
Mauricio Eduardo PALMA LIZANA
Mauricio Alejandro GAUECA FIGUEROA
Original Assignee
Orand S.A.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orand S.A. filed Critical Orand S.A.
Priority to PCT/IB2012/051625 priority Critical patent/WO2013150333A1/es
Priority to US14/390,497 priority patent/US10147092B2/en
Publication of WO2013150333A1 publication Critical patent/WO2013150333A1/es

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3276Short range or proximity payments by means of M-devices using a pictured code, e.g. barcode or QR-code, being read by the M-device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Definitions

  • the present invention relates to the security industry in electronic transactions, in particular with a system and method for signing and authenticating secure transactions on the Internet.
  • US Patent Application No. Q US2006 / 0053281 describes an existing communication device, such as a mobile phone with WAP capability, or another device, can be used as an authentication token.
  • This document describes the use of a mobile device as an authentication device based on its public key cryptographic infrastructure (WPKI) already present on the device, and then the device can generate separate session keys used to encode messages to be transmitted and i Decode received messages. However, the mobile device can be tricked into generating separate session keys, through a false authentication request.
  • WPKI public key cryptographic infrastructure
  • Another solution is illustrated in US patent application, n Q US 2008/0307515 which describes a method to authenticate a user. The method comprises the step of sending an authentication request to a remote authentication device and generating a first piece of authentication information.
  • a mobile device receives the first piece of authentication information from both an access terminal or a remote authentication device.
  • the user's mobile device generates a second piece of authentication information which is at least partially based on the first piece of authentication information.
  • the second piece of authentication information is sent to the remote authentication device and the second piece of authentication information is validated.
  • the method comprises sending a first piece of authentication information to a mobile device, such as a visual code, however it is not identified or detailed how this first piece of authentication information can be considered genuine, by what a vulnerability is observed in the described method.
  • a mobile device such as a visual code
  • greater security can be implemented between the remote authentication device and the mobile device through the Asymmetric cryptography where a cryptographic public key would be stored in the remote authentication device and a private key would be stored in the mobile device. It is not indicated how such asymmetric encryption would be carried out, and how securely a private key could be transmitted to be stored on a mobile device and thus ensure the authenticity of the first piece of information sent.
  • HSM Hardware Security Module
  • the present invention allows to keep the signed information in all the information transmissions. Additionally, the signature, security or authentication keys are stored and encrypted using the user's own parameters in order to prevent phishing and ensure the authenticity of the user when making transactions.
  • the present invention comprises methods for activating a user with the secure implementation of their private, public, security and authentication keys.
  • the system of the present invention stores, in the mobile communication device, information such as encryption of a public key configured by means of the activation process for a particular user that allows using this information to subsequently safely reactivate an account that has been locked from said mobile communication device.
  • Figure 1 schematically illustrates the system components of the present invention.
  • Figure 2 schematically illustrates the system and steps of the method of the present invention.
  • FIG. 3 schematically illustrates the system and additional steps of the method of the present invention.
  • FIG. 4 schematically illustrates the system and additional steps of the method of the present invention.
  • Figure 5 schematically illustrates the system and steps for user activation in the method of the present invention.
  • Figure 6 schematically illustrates the system and additional steps for user activation in the method of the present invention.
  • the present invention consists of a system for signing and authenticating secure transactions through a communications network (Internet) comprising:
  • a mobile communication device (300) of a user (100) comprising a security code also known as pin (301); an application (310), a transport key K tr ansporte (401) to decode activation information; an encrypted public key K " pubi US eriD (320) and a second security key K" mac ⁇ user iD (330) to generate the authentication key K mac ⁇ user iD (520);
  • a remote hardware security module (500) also known as HSM, for its acronym in English: "Hardware Security Module”.
  • the present invention additionally provides a method for signing and authenticating secure transactions through a communications network (Internet), wherein a user (100) and his mobile communication device (300) have been previously activated.
  • Internet communications network
  • the method for signing and authenticating secure transactions through a communications network such as the Internet
  • a user (100) and his mobile communication device (300) have been previously activated ; which comprises the following stages:
  • g Generate on the remote server (400) a confirmation code CoduseriD.Ds (430) by means of a message authentication code (known as MAC by its acronym for "Message authentication Code") and from the authentication key K mac ⁇ user iD (520), of the signed data set D s (420), the identifier of the mobile device ld ' ce i, useriD (414).
  • MAC message authentication code
  • n) Derive a temporary key K te m P , P m (340) created based on the security code or pin (301) entered by the user (100) and according to a key derivation algorithm such as the PKCS5 protocol or PBKDF2; o) Decrypt by means of the application (310) of the mobile communication device (300), the encrypted public key K " pU b, useriD (310) with the temporary key K te mp, pin (340) and the second security key K " maCi US eriD (320) to obtain the public key K pub ⁇ user iD (321) and the authentication key K maCi US eriD (520);
  • said private key K priVi useriD (510) and said public key K pubiUS eriD (321) are corresponding asymmetric keys and deliver a true validation; and where the authentication key K mac ⁇ user iD (520) is a symmetric key.
  • said two-dimensional bar code (421) is a two-dimensional code is generated by one of the following codes: Quick Response Code (QR) for pdf, "Quick Response Code”, pdf417 , data matrix “Datamatrix”, “MaxiCode” and circular barcode "shotcode”.
  • QR Quick Response Code
  • said user (100) is authorized corresponds to the user (100) being in an active account and not being blacklisted.
  • steps d), e), f) and g) are carried out in the remote hardware security module (500) with its processor and internal memory, that is to say the encrypted private key K ' pr i V , useriD (41 1) and the first security key K ' mac , U seriD (412) of said user (100) are stored in said remote hardware security module (500).
  • step x) is also performed by the remote hardware security module (500) with its processor and internal memory, that is, comparing said encrypted mobile confirmation code Cod ' US eriD, Ds , móvii (540) with the encrypted confirmation code Cod ' US eriD, Ds (530) is performed by said remote hardware security module (500) with its processor and internal memory.
  • the encrypted public key K pub, userlD (320) is generated by the application (310) by encrypting a public key K pub ⁇ user iD (321) and a temporary key K t emp, pin (340), created temporarily based on the security code or pin (301) entered by the user (100) and according to a key derivation algorithm, such as the PKCS5 or PBKDF2 protocol and said public key K pubiUS eriD (321) corresponds to a private key K priVi useriD (510).
  • a key derivation algorithm such as the PKCS5 or PBKDF2 protocol
  • said public key K pubiUS eriD (321) corresponds to a private key K priVi useriD (510).
  • the second security key K 'mac, userID (330) is generated by the application (310) by encryption of the authentication key K mac , U seriD (520) and said temporary key K temp , P in (340).
  • the encrypted private key K ' prN seriD (41 1) is generated by the remote hardware security module (500) by encrypting said private key
  • the first security key K ' mac , U seriD (412) is generated by the remote hardware security module (500) by encryption of said authentication key K mac , userlD (520 ).
  • the identifier of the mobile device ld ' ce i, useriD (414) is generated by the application (310) in said mobile communication device (300) with at least the serial number of the device of mobile communication (300) and the authentication key K mac ⁇ user iD (520) and a MAC message authentication code.
  • said message authentication code is a Hash code (HMAC).
  • HMAC Hash code
  • the UserID user data (220) comprises one or more of the following data: user name, user address, email, identity card number, social security number of the user, user internet password for the institution, at least four of the digits of an institution user card, a dynamic password, a predefined password.
  • step a) the activation of the user's mobile communication device (300) (100) is carried out by the following steps:
  • a) access the institution's site through a terminal (250) through a communications network and enter its UserID user data (220);
  • e) generate in the remote server (400) the public key K pub ⁇ user iD (321), the private key p personallyv jUser D (510) and authentication key KmacuseriD (520) exclusive for said user data UserID (220 ) in a temporary memory of said remote server (400); f) Send from the remote server (400), the private key K priVi useriD (510) and authentication key K mac ⁇ user iD (520) of said user (100) to a remote hardware security module (500) and remove from the temporary memory of the remote server (400) the private key pattyv, user / D (510);
  • n Encrypt the public key K pU b, useriD (321) and authentication key K mac , U seriD (520) by applying (310) the mobile communication device (300) from the temporary key K temp, pm (340) to generate and store in the memory of the mobile communication device (300) the encrypted public key K " pub ⁇ user iD (320) and the second security key

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Finance (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Sistema para firmar y autentificar transacciones seguras con una institución a través de una red de comunicaciones, que comprende un terminal con conexión a una red de comunicaciones; un servidor remoto con una base de datos que almacena para cada usuario los datos de usuarios userID, una llave privada encriptada K'priv,userID, una primera llave de seguridad K'mac,userID para generar una llave de autentificación Kmac,userID y un identificador del dispositivo móvil Id'cel,userID ;un dispositivo de comunicación móvil de un usuario que comprende un código de seguridad pin; una aplicación, una llave de transporte Ktransporte;una llave pública encriptada K"pub,userID y una segunda llave de seguridad K"mac,userID para generar dicha llave de autentificación Kmac,userID; y un módulo de seguridad hardware remoto. Método para firmar y autentificar transacciones seguras con una institución a través de una red de comunicaciones con dicho sistema.

Description

SISTEMA Y MÉTODO PARA FIRMAR Y AUTENTIFICAR
TRANSACCIONES SEGURAS A TRAVÉS DE UNA RED DE COMUNICACIONES CAMPO DE APLICACIÓN
La presente invención se relaciona con la industria de seguridad en las transacciones electrónicas, en particular con un sistema y método para firmar y autentificar transacciones seguras en Internet. ANTECEDENTES
En la actualidad se conocen diferentes soluciones para asegurar la identidad de personas al efectuar transacciones electrónicas como por ejemplo al ingresar al consultar o gestionara la cuenta de un banco a través de la red.
Por ejemplo, la solicitud de patente estadounidense, nQ US2006/0053281 describe un dispositivo de comunicación existente, tal como un teléfono móvil con capacidad WAP, u otro dispositivo, puede ser utilizado como ficha (token) de autentificación. Este documento describe el uso de un dispositivo móvil como dispositivo de autentificación en base a su infraestructura criptográfica de llave pública (WPKI) ya presente en el dispositivo, y luego el dispositivo puede generar llaves de sesión independientes utilizadas para codificar mensajes a ser transmitidos y i decodificar mensajes recibidos. No obstante el dispositivo móvil puede ser engañado para generar llaves de sesión independientes, mediante una solicitud de autentificación falsa. Otra solución es ilustrada en la solicitud de patente estadounidense, nQ US 2008/0307515 que describe un método para autentificar un usuario. El método comprende el paso de enviar una solicitud de autentificación a un dispositivo de autentificación remota y generar una primera pieza de información de autentificación. Un dispositivo móvil recibe la primera pieza de información de autentificación desde tanto un terminal de acceso o un dispositivo de autentificación remota. El dispositivo móvil del usuario genera una segunda pieza de información de autentificación la cual es al menos parcialmente basada en la primera pieza de información de autentificación. La segunda pieza de información de autentificación es enviada al dispositivo de autentificación remota y la segunda pieza de información de autentificación es validada. Se observa que el método comprende el envío de una primera pieza de información de autentificación a un dispositivo móvil, como por ejemplo un código visual, no obstante no se identifica ni se detalla cómo esta primera pieza de información de autentificación puede ser considerada genuina, por lo que se observa una vulnerabilidad en el método descrito. Aunque se menciona que se puede implementar mayor seguridad entre el dispositivo de autentificación remota y el dispositivo móvil mediante la criptografía asimétrica en donde una llave pública criptográfica sería almacenada en el dispositivo de autentificación remota y una llave privada sería almacenada en el dispositivo móvil. No se indica cómo se efectuaría dicha encriptación asimétrica, y de qué manera segura podría transmitirse una llave privada para que sea almacenada en un dispositivo móvil y de esta forma asegurar la autenticidad de la primera pieza de información enviada.
PROBLEMA TÉCNICO
Se observa que existe una vulnerabilidad en los métodos del arte previo para asegurar que la información transmitida entre un dispositivo móvil y un servidor sea genuina al validar una conexión de terminal. SOLUCIÓN TÉCNICA
Se presenta un sistema y método para firmar y autentificar transacciones en donde la información transmitida es firmada en todas las transmisiones a través de redes de comunicaciones tanto entre dispositivo móvil y servidores como entre terminales y servidores. Toda la información que se transmite entre los dispositivos a través de redes de comunicaciones está firmada mediante llaves temporales, llaves simétricas o llaves asimétricas, y mediante un dispositivo de seguridad, también conocido como Módulo de Seguridad Hardware (HSM). Se mantienen las llaves de pública, privadas y de autentificación de los usuarios de manera encriptada con dicho HSM.
VENTAJAS TÉCNICAS
La presente invención permite mantener la información firmada en todas las transmisiones de información. Adicionalmente, las llaves de firma, de seguridad o de autentificación están almacenadas y encriptadas mediante parámetros propios del usuario de manera de impedir la suplantación de identidad y asegurar la autenticidad del usuario al realizar las transacciones.
Adicionalmente, la presente invención comprende métodos para la activación de un usuario con la implementación segura de sus llaves privadas, públicas, de seguridad y de autentificación. El sistema de la presente invención almacena en el dispositivo de comunicación móvil, información como la encriptación de una llave pública configurada mediante el proceso de activación para un usuario particular que permite utilizar esta información para posteriormente reactivar de manera segura una cuenta que ha sido bloqueada desde dicho dispositivo de comunicación móvil.
BREVE DESCRIPCIÓN DE LAS FIGURAS
La figura 1 ilustra esquemáticamente los componentes del sistema de la presente invención. La figura 2 ilustra esquemáticamente el sistema y etapas del método de la presente invención.
La figura 3 ilustra esquemáticamente el sistema y etapas adicionales del método de la presente invención.
La figura 4 ilustra esquemáticamente el sistema y etapas adicionales del método de la presente invención.
La figura 5 ilustra esquemáticamente el sistema y etapas para la activación de usuario en el método de la presente invención.
La figura 6 ilustra esquemáticamente el sistema y etapas adicionales para la activación de usuario en el método de la presente invención.
DESCRIPCIÓN DETALLADA DE LA INVENCIÓN
Como se ilustra en la figura 1 , la presente invención consiste en un sistema para firmar y autentificar transacciones seguras a través de una red de comunicaciones (Internet) que comprende:
Un terminal (200) con conexión a una red de comunicaciones;
Un servidor remoto (400) con una base de datos (410) que almacena para cada usuario (100) los datos de usuarios userID (210), una llave privada encriptada K'priV,useriD (41 1 ), una primera llave de seguridad K mac, userID (412) para generar una llave de autentificación Kmac,useriD (520) y un identificador del dispositivo móvil ld'cei,useriD (414); Un dispositivo de comunicación móvil (300) de un usuario (100) que comprende un código de seguridad también conocido como pin (301 ); una aplicación (310), una llave de transporte Ktransporte (401 ) para decodificar información de activación; una llave pública encriptada K"pubi USeriD (320) y una segunda llave de seguridad K"mac¡useriD (330) para generar la llave de autentificación Kmac¡ useriD (520); y
Un módulo de seguridad hardware remoto (500) también conocido como HSM, por sus siglas en inglés: "Hardware Security Module". La presente invención provee adicionalmente un método para firmar y autentificar transacciones seguras a través de una red de comunicaciones (Internet), en donde un usuario (100) y su dispositivo de comunicación móvil (300) han sido previamente activados. Como se ilustra en la figura 2, el método para firmar y autentificar transacciones seguras a través de una red de comunicaciones (como por ejemplo Internet), en donde un usuario (100) y su dispositivo de comunicación móvil (300) han sido previamente activados; que comprende las siguientes etapas:
a) Ingresar por un usuario (100) sus datos de usuarios (220) en un sitio de una institución desde un terminal (200) con conexión a una red de comunicaciones, b) Enviar desde el terminal (200), mediante dicha red de comunicaciones, datos del usuario UserID (220), una petición (210) y una solicitud de firma de la petición (210) a un servidor remoto (400), en donde dicho servidor remoto (400) comprende: una base de datos (410) que almacena para cada usuario (100) sus datos de usuario userID (210), una llave privada encriptada
K priv,userlD (41 1 ), una primera llave de seguridad K'mac¡ useriD (412) para generar una llave de autentificación Kmac¡useriD (520) y un identificador del dispositivo móvil ld'cei,useriD (414);
c) Verificar en la base de datos (410) del servidor remoto (400) que para los datos del usuario userID (220), dicho usuario (100) esté autorizado, en caso de que el usuario no está autorizado entonces la petición (210) es rechazada, en caso de estar autorizado se procede a la siguiente etapa;
d) Enviar desde el servidor remoto (400), la llave privada encriptada
Figure imgf000008_0001
(41 1 ) y la primera llave de seguridad KmacuseriD (412) de dicho usuario (100) a un módulo de seguridad hardware remoto (500) para ser desencriptadas; e) Retornar desde el módulo de seguridad hardware remoto (500) al servidor remoto (400) la llave privada KpriV,useriD (510) y la llave de autentificación Kmac,UseriD (520) de dicho usuario;
f) Generar en el servidor remoto (400) un conjunto de datos firmados Ds (420) mediante la llave privada del usuario KpriV,useriD (510), en donde dicho conjunto de datos firmados Ds (420) comprende al menos los datos de usuario userID (220), fecha y hora de la petición (210), firma de la Llave privada KpriV,useriD (510), y los datos de la petición (210);
g) Generar en el servidor remoto (400) un código de confirmación CoduseriD.Ds (430) mediante un código de autentificación de mensaje (conocido como MAC por sus siglas en inglés de "Message autentification Code") y a partir de la llave de autentificación Kmac¡ useriD (520), del conjunto de datos firmados Ds (420), el identificador del dispositivo móvil ld'cei,useriD (414).
A continuación se describen las siguientes etapas del método de la presente invención en referencia a la figura 3:
h) Enviar el código de confirmación CoduseriD,Ds (430) desde el servidor remoto (400) al módulo de seguridad hardware remoto
(500);
i) Encriptar dicho código de confirmación CoduseriD,Ds (430) mediante el módulo de seguridad hardware remoto (500) como un código de confirmación encriptado Cod'useriD,Ds (530), retornar código de confirmación encriptado Cod'USeriD,Ds (530) al servidor remoto (400) y almacenarlo en la base de datos (410) junto con su fecha y hora de creación, y generar un número de intentos de validación en cero; j) Generar en el servidor remoto (400) un código de barra bidimensional QR (421 ) a partir del conjunto de datos firmados Ds (420);
k) Enviar al Terminal (200) el código de barra bidimensional (421 ) y mostrar el código de barra bidimensional (421 ) en el sitio de la institución;
I) Iniciar por parte dicho usuario (100) una aplicación (310) en un dispositivo de comunicación móvil (300), en donde dicho dispositivo de comunicación móvil (300) comprende dicha aplicación (310), un código de seguridad también conocido como pin (301 ), una llave de transporte Ktransporte (401 ) para decodificar información de activación, una llave pública encriptada K' pub, userID (320), y una segunda llave de seguridad K"mac,useriD (330) para generar la llave de autentificación
Kmac, userID (520);
m) Ingresar por parte del usuario (100) el código de seguridad o pin (301 ) en dicha aplicación (310) del dispositivo de comunicación móvil (300);
n) Derivar una llave temporal KtemP,Pm (340) creada en base al código de seguridad o pin (301 ) ingresado por el usuario (100) y según un algoritmo de derivación de llaves como por ejemplo el protocolo PKCS5 ó PBKDF2; o) Desencriptar mediante la aplicación (310) del dispositivo de comunicación móvil (300), la llave pública encriptada K"pUb,useriD (310) con la llave temporal Ktemp,pin (340) y la segunda llave de seguridad K"maCi USeriD (320) para obtener la llave pública Kpub¡ useriD (321 ) y la llave de autentificación KmaCi USeriD (520);
p) Captar y decodificar el código de barra bidimensional (421 ) del sitio web de la institución mediante la aplicación (310) del dispositivo de comunicación móvil (300);
q) Validar la firma de llave privada p„jUser D (510) de los conjunto de datos firmados Ds (420) con llave pública KpUb,useriD (321 ) si la validación es falsa entonces la petición (210) es rechazada, en caso de que la validación es verdadera se procede con método de la presente invención.
A continuación se describen las siguientes etapas del método de la presente invención en referencia a la figura 4:
r) Generar mediante la aplicación (310) del dispositivo de comunicación móvil (300), el identificador del dispositivo móvil Id 'cei, useriD (414) con al menos el número de serie del dispositivo móvil y la llave de autentificación Kmac¡ useriD (520) y el código de autentificación de mensaje MAC;
s) Generar el código de confirmación móvil CodUSeriD,Ds,móvii (350) mediante dicho código de autentificación de mensaje MAC y a partir de la llave de autentificación Kmac,UseriD (520), del conjunto de datos firmados Ds (420), el identificador del dispositivo móvil ld'cel,userlD (414);
t) Visualizar el código de confirmación móvil CodUSeriD,Ds,móvii (350) en la aplicación (310) del dispositivo de comunicación móvil (300) junto con los datos de la petición (210); si los datos de la petición (210) son incorrectos, el usuario puede cancelar la operación, en caso de ser correcto prosigue a la siguiente etapa;
u) Ingresar el código de confirmación móvil CodUSeriD, Ds, móvil (350) en el sitio web de la institución del terminal (200);
v) Enviar desde el terminal (200) al servidor remoto (400) dicho código de confirmación móvil CodUSeriD, Ds, móvil (350);
w) Encriptar dicho código de confirmación móvil CodUSeriD,Ds,móvii (350) mediante el módulo de seguridad hardware remoto (500) como un código de confirmación móvil encriptado
Cod userlD,Ds, móvil (540);
x) Comparar dicho código de confirmación móvil encriptado Cod'useriD,Ds,móvii (540) con el código de confirmación encriptado Cod'useriD.Ds (530) recibido en la etapa i); si ambos códigos no coincide, rechazar la petición (210);
y) En caso de coincidir ambos códigos de confirmación y de que el número de intentos de validaciones no exceda un máximo predefinido dentro de un periodo de tiempo predefinido, enviar un código de éxito (600) al terminal (200) autorizando la petición (210).
En particular, dicha llave privada KpriViuseriD (510) y dicha llave pública KpubiUSeriD (321 ) son llaves asimétricas correspondiente y entregan una validación verdadera; y en donde la llave de autentificación Kmac¡ useriD (520) es una llave simétrica.
De acuerdo a un aspecto preferido de la invención, dicho código de barra bidimensional (421 ) es un código bidimensional es generado mediante uno de los siguientes códigos: Código de Rápida Respuesta (QR por sus siglas en inglés "Quick Response Code"), pdf417, matriz de datos "Datamatrix", "MaxiCode" y código de barras circulares "shotcode".
De acuerdo a un aspecto preferido de la invención, dicho usuario (100) esté autorizado corresponde a que el usuario (100) esté en una cuenta activa y no esté en una lista negra.
De acuerdo a un aspecto preferido de la invención, las etapas d), e), f) y g) son realizadas en el módulo de seguridad hardware remoto (500) con su procesador y memoria interna, es decir la llave privada encriptada K'priV,useriD (41 1 ) y la primera llave de seguridad K'mac,UseriD (412) de dicho usuario (100) quedan almacenadas en dicho módulo de seguridad hardware remoto (500).
De acuerdo a un aspecto preferido de la invención, la etapa x) es también realizada por el módulo de seguridad hardware remoto (500) con su procesador y memoria interna, es decir el comparar dicho código de confirmación móvil encriptado Cod'USeriD,Ds,móvii (540) con el código de confirmación encriptado Cod'USeriD,Ds (530) es realizado por dicho módulo de seguridad hardware remoto (500) con su procesador y memoria interna.
De acuerdo a un aspecto preferido de la invención, la llave pública encriptada K pub,userlD (320) es generada por la aplicación (310) mediante la encriptación de una llave pública Kpub¡useriD (321 ) y una llave temporal Ktemp,pin (340), creada temporalmente en base al código de seguridad o pin (301 ) ingresado por el usuario (100) y según un algoritmo de derivación de llaves, como por ejemplo el protocolo PKCS5 ó PBKDF2 y dicha llave pública KpubiUSeriD (321 ) es correspondiente a una llave privada KpriViuseriD (510).
De acuerdo a un aspecto preferido de la invención, la segunda llave de seguridad K' mac, userID (330) es generada por la aplicación (310) mediante la encriptación de la llave de autentificación Kmac,UseriD (520) y dicha llave temporal Ktemp,Pin (340).
De acuerdo a un aspecto preferido de la invención, la llave privada encriptada K'prN seriD (41 1 ), es generada por el módulo de seguridad hardware remoto (500) mediante la encriptación de dicha llave privada
Kpriv, userlD (510).
De acuerdo a un aspecto preferido de la invención, la primera llave de seguridad K'mac,UseriD (412) es generada por el módulo de seguridad hardware remoto (500) mediante la encriptación de dicha llave de autentificación Kmac, userlD (520).
De acuerdo a un aspecto preferido de la invención, el identificador del dispositivo móvil ld'cei,useriD (414) es generado por la aplicación (310) en dicho dispositivo de comunicación móvil (300) con al menos el número de serie del dispositivo de comunicación móvil (300) y la llave de autentificación Kmac¡ useriD (520) y un código de autentificación de mensaje MAC.
De acuerdo a un aspecto preferido de la invención, dicho código de autentificación de mensaje es un código tipo Hash (HMAC). De acuerdo a un aspecto preferido de la invención, los datos de usuario UserID (220) comprenden uno o varios de los siguientes datos: nombre del usuario, dirección de usuario, correo electrónico, número de la cédula de identidad, número de seguridad social del usuario, clave de internet del usuario para la institución, al menos cuatro de los dígitos de una tarjeta del usuario de la institución, una clave dinámica, una clave predefinida.
De acuerdo a otro aspecto de la presente invención y como se ilustra en la figura 5, previo a la etapa a) se realiza la activación del dispositivo de comunicación móvil (300) del usuario (100) mediante las siguientes etapas:
a) acceder al sitio de la institución mediante un terminal (250) a través de una red de comunicaciones e ingresar sus datos de usuario UserID (220);
b) descargar desde el servidor remoto (400) en su dispositivo de comunicación móvil (310), la aplicación (310) y la llave de transporte / fransporte (401 );
c) enviar desde el terminal (250) al servidor remoto (400) los datos de usuario UserID (220) y una petición de activación (260) d) verificar en la base de datos (410) del servidor remoto (400) que para los datos de usuario UserID (220), dicho usuario (100) esté autorizado, en caso de que el usuario no está autorizado entonces la petición de activación (260) es rechazada, en caso de estar autorizado se procede con la siguiente etapa;
e) generar en el servidor remoto (400) la llave pública Kpub¡ useriD (321 ), la llave privada p„vjUser D (510) y llave de autentificación KmacuseriD (520) exclusivas para dichos datos de usuario UserID (220) en una memoria temporal de dicho servidor remoto (400); f) Enviar desde el servidor remoto (400), la llave privada KpriViuseriD (510) y llave de autentificación Kmac¡useriD (520) de dicho usuario (100) a un módulo de seguridad hardware remoto (500) y eliminar de la memoria temporal del servidor remoto (400) la llave privada p„v,user/D (510);
g) Encriptar en el módulo de seguridad hardware remoto (500), la llave privada pn jUser D (510) y la llave de encriptación Kmac¡ useríD (520) como una llave privada encriptada K'priVi UseriD (41 1 ) y una primera llave de seguridad K'mac¡ useriD (412) para el usuario (100);
h) Retornar desde el módulo de seguridad hardware remoto (500) al servidor remoto (400) y almacenar en la base de datos (410), la llave privada encriptada K'priV,useriD (41 1 ) y la primera llave de seguridad K'mac,UseriD (412) de dicho usuario (100). A continuación se describen las siguientes etapas de la activación del dispositivo de comunicación móvil (300) del usuario (100) en el método de la presente invención en referencia a la figura 6:
i) Encriptar en el servidor remoto (400) la llave pública Kpub¡ useriD (321 ) y llave de autentificación Kmac¡ useriD (520) mediante la llave de transporte Ktransporte (401 ) y a partir de ellas generar un código de barra bidimensional de activación (450);
j) Captar y decodificar el código de barra bidimensional de activación (450) del sitio web de la institución mediante la aplicación (310) del dispositivo de comunicación móvil (300); k) Ingresar el código de seguridad pin (301 ) por el usuario (100) en la aplicación (310) del dispositivo de comunicación móvil (300);
I) Desencriptar la información del código de barra bidimensional de activación (450) mediante la llave de transporte / fransporte (401 ) y la aplicación (310) del dispositivo de comunicación móvil (300) para obtener la llave pública Kpub¡useriD (321 ) y llave de autentificación KmaC:UseriD (520);
m) Derivar con la aplicación (310) del dispositivo de comunicación móvil (300) una llave temporal KtemP,Pm (340), creada temporalmente en base al código de seguridad o pin (301 ) ingresado por el usuario (100) y según un algoritmo de derivación de llaves, como por ejemplo el protocolo PKCS5 ó PBKDF2; n) Encriptar la llave pública KpUb,useriD (321 ) y llave de autentificación Kmac,UseriD (520) mediante la aplicación (310) del dispositivo de comunicación móvil (300) a partir de la llave temporal Ktemp,pm (340) para generar y almacenar en la memoria del dispositivo de comunicación móvil (300) la llave pública encriptada K"pub¡ useriD (320) y la segunda llave de seguridad
K"mac,userlD (330);
o) Generar el identificador del dispositivo móvil ld'cei,useriD (414) mediante la aplicación (310) del dispositivo de comunicación móvil (300) con al menos el número de serie del dispositivo de comunicación móvil (300) y la llave de autentificación Kmac,UseriD (520) y un código de autentificación de mensaje MAC;
p) Generar un código de activación (350) concadenando una porción de la llave pública Kpub¡ useriD (321 ) y el identificador del dispositivo móvil ld'cei,useriD (414), visualizar este código de activación (350) en el dispositivo de comunicación móvil (300); q) Ingresar en el terminal (250) el código de activación (350) por el usuario (100);
r) Enviar el código de activación (350) desde el terminal (250) al servidor remoto (400), identificar la porción de la porción de la llave pública KpUb,useriD (321 ) de dicho código de activación (350) y extraer y almacenar en la base de datos (410) el identificador del dispositivo móvil Id'cei.useriD (414); y eliminar la información relacionada con llave temporal Ktemp,pm (340) y del código de seguridad o pin (301 ) del dispositivo de comunicación móvil (300) y eliminar de la memoria temporal del servidor remoto (400) la llave pública Kpub¡ useriD (321 ) y llave de autentificación Kmac¡ useriD (520) y establecer al usuario (100) como autorizado y activado para los datos de usuario (210) en la base de datos (410) del servidor remoto (400).

Claims

REIVINDICACIONES
1 . - Sistema para firmar y autentificar transacciones seguras con una institución a través de una red de comunicaciones, CARACTERIZADO porque comprende:
un terminal (200) con conexión a una red de comunicaciones;
un servidor remoto (400) con una base de datos (410) que almacena para cada usuario (100) los datos de usuarios userID (210), una llave privada encriptada K'priViuseriD (41 1 ), una primera llave de seguridad K'macuseriD (412) para generar una llave de autentificación Kmac,UseriD (520) y un identificador del dispositivo móvil ld'cei,useriD (414);
un dispositivo de comunicación móvil (300) de un usuario (100) que comprende un código de seguridad pin (301 ); una aplicación (310), una llave de transporte / fransporte (401 ); una llave pública encriptada K"pub¡ useriD (320) y una segunda llave de seguridad K"mac¡ useriD (330) para generar dicha llave de autentificación Kmac¡useriD (520); y
un módulo de seguridad hardware remoto (500).
2. - El sistema para firmar y autentificar transacciones de la reivindicación 1 , CARACTERIZADO porque los datos de usuario UserID
(210) comprenden uno o varios de los siguientes datos del usuario: nombre, dirección postal, correo electrónico, número de la cédula de identidad, número de seguridad social, clave de internet para la institución, al menos cuatro de los dígitos de una tarjeta del usuario de la institución, una clave dinámica coordinada con la institución, una clave predefinida por la institución.
3.- El sistema para firmar y autentificar transacciones seguras de la reivindicación 1 , CARACTERIZADO porque la llave privada encriptada K'priv,useriD (41 1 ), es generada por el módulo de seguridad hardware remoto (500) mediante la encriptación de dicha llave privada p„v,user D (510), la llave pública encriptada K"pub¡ useriD (320) es generada por la aplicación (310) mediante la encriptación de una llave pública KpUb,useriD {32 ) y una llave temporal Ktemp,pin (340), creada temporalmente en base al código de seguridad o pin (301 ) ingresado por el usuario (100) y según un algoritmo de derivación de llaves; en donde dicha llave privada Kpriv,useriD (510) y dicha llave pública Kpub¡ useriD (321 ) son llaves asimétricas correspondientes y entregan una validación verdadera; y la llave de autentificación Kmac¡ useriD (520) es una llave simétrica.
4.- El sistema para firmar y autentificar transacciones seguras de la reivindicación 3, CARACTERIZADO porque la segunda llave de seguridad K mac, userID (330) es generada por la aplicación (310) mediante la encriptación de la llave de autentificación Kmac,UseriD (520) y la llave temporal Ktemp,pm (340).
5.- El sistema para firmar y autentificar transacciones seguras de la reivindicación 1 , CARACTERIZADO porque la primera llave de seguridad K mac,userlD (412) es generada por el módulo de seguridad hardware remoto (500) mediante la encriptación de la llave de autentificación Kmac¡ useriD (520).
6.- El sistema para firmar y autentificar transacciones seguras de la reivindicación 4, CARACTERIZADO porque el identificador del dispositivo móvil Id'cei.useriD (414) es generado por la aplicación (310) en dicho dispositivo de comunicación móvil (300) con al menos el número de serie del dispositivo de comunicación móvil (300) y la llave de autentificación Kmac, userID (520) y un código de autentificación de mensaje MAC.
7.- Un método para firmar y autentificar transacciones seguras con una institución a través de una red de comunicaciones en donde un usuario (100) y su dispositivo de comunicación móvil (300) han sido previamente activados; CARACTERIZADO porque comprende las siguientes etapas:
a) ingresar por un usuario (100) sus datos de usuarios (220) en un sitio de la institución desde un terminal (200) con conexión a una red de comunicaciones;
b) enviar desde el terminal (200), mediante dicha red de comunicaciones, datos del usuario UserID (220), una petición (210) y una solicitud de firma de la petición (210) a un servidor remoto (400), en donde dicho servidor remoto (400) comprende: una base de datos (410) que almacena para cada usuario (100) sus datos de usuario userID (210), una llave privada encriptada
K priv,userlD (41 1 ), una primera llave de seguridad K'mac¡ useriD (412) para generar una llave de autentificación Kmac¡useriD (520) y un identificador del dispositivo móvil ld'cei,useriD (414);
) verificar en la base de datos (410) del servidor remoto (400) que para los datos del usuario userID (220), dicho usuario (100) esté autorizado, en caso de que el usuario no está autorizado entonces la petición (210) es rechazada, en caso de estar autorizado se procede a la siguiente etapa;
d) enviar desde el servidor remoto (400), la llave privada encriptada
Figure imgf000024_0001
(41 1 ) y la primera llave de seguridad KmacuseriD (412) de dicho usuario (100) a un módulo de seguridad hardware remoto (500) para ser desencriptadas; ) retornar desde el módulo de seguridad hardware remoto (500) al servidor remoto (400) la llave privada Kprív,useriD (510) y la llave de autentificación Kmac,useriD (520) de dicho usuario;
generar en el servidor remoto (400) un conjunto de datos firmados Ds (420) mediante la llave privada del usuario KpriV,useriD (510), en donde dicho conjunto de datos firmados Ds (420) comprende al menos los datos de usuario userID (220), fecha y hora de la petición (210), firma de la Llave privada KpriV,useriD (510), y los datos de la petición (210);
g) generar en el servidor remoto (400) un código de confirmación CoduseriD.Ds (430) mediante un código de autentificación de mensaje MAC y a partir de la llave de autentificación Kmac¡ useriD (520), del conjunto de datos firmados Ds (420), el identificador del dispositivo móvil Id'cei.useriD (414);
h) enviar el código de confirmación CoduseriD,Ds (430) desde el servidor remoto (400) al módulo de seguridad hardware remoto (500);
i) encriptar dicho código de confirmación CodUSeriD,Ds (430) mediante el módulo de seguridad hardware remoto (500) como un código de confirmación encriptado Cod'USeriD,Ds (530), retornar código de confirmación encriptado Cod'useriD,Ds (530) al servidor remoto (400) y almacenarlo en la base de datos (410) junto con su fecha y hora de creación, y generar un número de intentos de validación en cero;
j) generar en el servidor remoto (400) un código de barra bidimensional (421 ) a partir del conjunto de datos firmados Ds (420);
k) enviar al terminal (200) el código de barra bidimensional (421 ) y mostrar el código de barra bidimensional (421 ) en el sitio de la institución; I) iniciar por parte dicho usuario (1 00) una aplicación (310) en un dispositivo de comunicación móvil (300), en donde dicho dispositivo de comunicación móvil (300) comprende dicha aplicación (310), un código de seguridad también conocido como pin (301 ), una llave de transporte / fransporte (401 ) para decodificar información de activación, una llave pública encriptada K"pub¡ useriD (320), y una segunda llave de seguridad K"mac,useriD (330) para generar la llave de autentificación
Kmac, userID (520);
m) ingresar por parte del usuario (1 00) el código de seguridad o pin (301 ) en dicha aplicación (31 0) del dispositivo de comunicación móvil (300),
n) derivar una llave temporal Ktemp,pin (340) creada en base al código de seguridad o pin (301 ) ingresado por el usuario (100) y según un algoritmo de derivación de llaves;
o) desencriptar mediante la aplicación (310) del dispositivo de comunicación móvil (300), la llave pública encriptada K"pub¡ useriD (310) con la llave temporal KtemP,Pm (340) y la segunda llave de seguridad ""maCjUser D (320) para obtener la llave pública Kpub¡ useriD (321 ) y la llave de autentificación Kmac, userID (520);
p) captar y decodificar el código de barra bidimensional (421 ) del sitio web de la institución mediante la aplicación (31 0) del dispositivo de comunicación móvil (300); q) validar la firma de llave privada KpriV,useriD (510) de los conjunto de datos firmados Ds (420) con llave pública KpUb,useriD (321 ) si la validación es falsa entonces la petición (210) es rechazada, en caso de que la validación es verdadera se procede con método de la presente invención;
r) generar mediante la aplicación (310) del dispositivo de comunicación móvil (300), el identificador del dispositivo móvil Id cei, useriD (414) con al menos el número de serie del dispositivo móvil y la llave de autentificación Kmac,UseriD (520) y el código de autentificación de mensaje MAC;
s) generar el código de confirmación móvil CodUSeriD, Ds, móvil (350) mediante dicho código de autentificación de mensaje MAC y a partir de la llave de autentificación Kmac,UseriD (520), del conjunto de datos firmados Ds (420), el identificador del dispositivo móvil ld'cel,userlD (414);
t) visualizar el código de confirmación móvil CodUseriD,Ds,móvn (350) en la aplicación (310) del dispositivo de comunicación móvil (300) junto con los datos de la petición (210); si los datos de la petición (210) son incorrectos, el usuario puede cancelar la operación, en caso de ser correcto prosigue a la siguiente etapa;
u) ingresar el código de confirmación móvil CodUSeriD, Ds, móvil (350) en el sitio web de la institución del terminal (200); v) enviar desde el terminal (200) al servidor remoto (400) dicho código de confirmación móvil CodUSeriD, Ds, móvil (350);
w) encriptar dicho código de confirmación móvil CodUSeriD, Ds, móvil (350) mediante el módulo de seguridad hardware remoto (500) como un código de confirmación móvil encriptado
Cod userlD,Ds, móvil (540);
x) comparar dicho código de confirmación móvil encriptado Cod'useriD,Ds,móvii (540) con el código de confirmación encriptado Cod'useriD.Ds (530) recibido en la etapa i); si ambos códigos no coincide, rechazar la petición (210);
y) en caso de coincidir ambos códigos de confirmación y de que el número de intentos de validaciones no exceda un máximo predefinido, enviar un código de éxito (600) al terminal (200) autorizando la petición (210).
8.- Un método para firmar y autentificar transacciones seguras de acuerdo la reivindicación 7, CARACTERIZADO porque dicho código de barra bidimensional (421 ) es un código bidimensional generado mediante uno de los siguientes códigos: Código de Rápida Respuesta QR, pdf417, matriz de datos "Datamatrix", "MaxiCode" y código de barras circulares "shotcode".
9. - Un método para firmar y autentificar transacciones de acuerdo la reivindicación 7, CARACTERIZADO porque las etapas d), e), f) y g) son realizadas en el módulo de seguridad hardware remoto (500) con su procesador y memoria interna, en donde la llave privada encriptada K'PV:useriD (41 1 ) y la primera llave de seguridad K'mac¡ USeriD (412) de dicho usuario (100) quedan almacenadas en dicho módulo de seguridad hardware remoto (500).
10. - Un método para firmar y autentificar transacciones de acuerdo la reivindicación 9, CARACTERIZADO porque la etapa x) es también realizada por el módulo de seguridad hardware remoto (500) con su procesador y memoria interna, es decir el comparar dicho código de confirmación móvil encriptado Cod'USeriD,Ds,móvii (540) con el código de confirmación encriptado Cod'USeriD,Ds (530) es realizado por dicho módulo de seguridad hardware remoto (500) con su procesador y memoria interna.
1 1 . - Un método para firmar y autentificar transacciones seguras de acuerdo la reivindicación 7, CARACTERIZADO porque previo a la etapa a) se realiza la activación del dispositivo de comunicación móvil (300) del usuario (100) mediante las siguientes etapas: a) acceder al sitio de la institución mediante un terminal (250) a través de una red de comunicaciones e ingresar sus datos de usuario UserID (220);
b) descargar desde el servidor remoto (400) en su dispositivo de comunicación móvil (310), la aplicación (310) y la llave de transporte / fransporte (401 );
c) enviar desde el terminal (250) al servidor remoto (400) los datos de usuario UserID (220) y una petición de activación (260) d) verificar en la base de datos (410) del servidor remoto (400) que para los datos de usuario UserID (220), dicho usuario (100) esté autorizado, en caso de que el usuario no está autorizado entonces la petición de activación (260) es rechazada, en caso de estar autorizado se procede con la siguiente etapa;
e) generar en el servidor remoto (400) la llave pública Kpub¡ useriD (321 ), la llave privada p„vjUser D (510) y llave de autentificación
KmacuseriD (520) exclusivas para dichos datos de usuario UserID (220) en una memoria temporal de dicho servidor remoto (400); f) enviar desde el servidor remoto (400), la llave privada KpriViuseriD (510) y llave de autentificación Kmac¡useriD (520) de dicho usuario (100) a un módulo de seguridad hardware remoto (500) y eliminar de la memoria temporal del servidor remoto (400) la llave privada p„v,user/D (510); g) encriptar en el módulo de seguridad hardware remoto (500), la llave privada Kpr¡v,useriD (510) y la llave de autentificación Kmac, userID (520) como una llave privada encriptada K'pr¡v, userID (41 1 ) y una primera llave de seguridad K'mac¡useriD (412) para el usuario (100); y
h) retornar desde el módulo de seguridad hardware remoto (500) al servidor remoto (400) y almacenar en la base de datos (410), la llave privada encriptada K'priVi USeriD (41 1 ) y la primera llave de seguridad K'mac¡ useriD (412) de dicho usuario (100);
i) encriptar en el servidor remoto (400) la llave pública KpUb,useriD
(321 ) y llave de autentificación Kmac,UseriD (520) mediante la llave de transporte Ktransporte (401 ) y a partir de ellas generar un código de barra bidimensional de activación (450);
j) captar y decodificar el código de barra bidimensional de activación (450) del sitio web de la institución mediante la aplicación (310) del dispositivo de comunicación móvil (300); k) ingresar el código de seguridad pin (301 ) por el usuario (100) en la aplicación (310) del dispositivo de comunicación móvil (300); I) desencriptar la información del código de barra bidimensional de activación (450) mediante la llave de transporte Ktransporte
(401 ) y la aplicación (310) del dispositivo de comunicación móvil (300) para obtener la llave pública KpUb,useriD (321 ) y llave de autentificación Kmac ,userlD (520); m) derivar con la aplicación (310) del dispositivo de comunicación móvil (300) una llave temporal Ktemp,pin (340), creada temporalmente en base al código de seguridad o pin (301 ) ingresado por el usuario (100) y según un algoritmo de derivación de llaves;
n) encriptar la llave pública Kpub¡ useriD (321 ) y llave de autentificación Kmac¡ useriD (520) mediante la aplicación (310) del dispositivo de comunicación móvil (300) a partir de la llave temporal KtemP,Pm (340) para generar y almacenar en la memoria del dispositivo de comunicación móvil (300) la llave pública encriptada K' pub, userlD (320) y la segunda llave de seguridad K' mac, userlD (330);
o) generar el identificador del dispositivo móvil ld'cei,useriD (414) mediante la aplicación (310) del dispositivo de comunicación móvil (300) con al menos el número de serie del dispositivo de comunicación móvil (300) y la llave de autentificación Kmac¡ useriD (520) y un código de autentificación de mensaje MAC;
p) generar un código de activación (350) concadenando una porción de la llave pública Kpub¡ useriD (321 ) y el identificador del dispositivo móvil ld'cei,useriD (414), visualizar este código de activación (350) en el dispositivo de comunicación móvil (300); q) ingresar en el terminal (250) el código de activación (350) por el usuario (100); enviar el código de activación (350) desde el terminal (250) al servidor remoto (400), identificar la porción de la porción de la llave pública KpUb,useriD (321 ) de dicho código de activación (350) y extraer y almacenar en la base de datos (410) el identificador del dispositivo móvil Id'cei.useriD (414); y
eliminar la información relacionada con llave temporal KtemP,Pm (340) y del código de seguridad o pin (301 ) del dispositivo de comunicación móvil (300) y eliminar de la memoria temporal del servidor remoto (400) la llave pública Kpub¡ useriD (321 ) y llave de autentificación Kmac,UseriD (520) y establecer al usuario (100) como autorizado y activado para los datos de usuario (210) en la base de datos (410) del servidor remoto (400).
PCT/IB2012/051625 2012-04-03 2012-04-03 Sistema y metodo para firmar y autentificar transacciones seguras a traves de una red de comunicaciones WO2013150333A1 (es)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/IB2012/051625 WO2013150333A1 (es) 2012-04-03 2012-04-03 Sistema y metodo para firmar y autentificar transacciones seguras a traves de una red de comunicaciones
US14/390,497 US10147092B2 (en) 2012-04-03 2012-04-03 System and method for signing and authenticating secure transactions through a communications network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/IB2012/051625 WO2013150333A1 (es) 2012-04-03 2012-04-03 Sistema y metodo para firmar y autentificar transacciones seguras a traves de una red de comunicaciones

Publications (1)

Publication Number Publication Date
WO2013150333A1 true WO2013150333A1 (es) 2013-10-10

Family

ID=49300052

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/IB2012/051625 WO2013150333A1 (es) 2012-04-03 2012-04-03 Sistema y metodo para firmar y autentificar transacciones seguras a traves de una red de comunicaciones

Country Status (2)

Country Link
US (1) US10147092B2 (es)
WO (1) WO2013150333A1 (es)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105099694A (zh) * 2014-05-06 2015-11-25 苹果公司 凭证服务提供商数据在安全元件的安全域中的存储方法和系统
CN108718233A (zh) * 2018-03-27 2018-10-30 北京安御道合科技有限公司 一种加密方法、计算机设备及存储介质

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9727862B2 (en) * 2012-05-08 2017-08-08 Visa International Service Association System and method for authentication using payment protocol
US10218510B2 (en) * 2015-06-01 2019-02-26 Branch Banking And Trust Company Network-based device authentication system
US10482543B2 (en) * 2016-05-12 2019-11-19 Kurt B. Schuh Apparatus and method for validating transactional data
WO2018004679A1 (en) * 2016-07-01 2018-01-04 American Express Travel Related Services Company, Inc. Systems and methods for validating transmissions over communication channels
US11134058B1 (en) * 2017-10-06 2021-09-28 Barracuda Networks, Inc. Network traffic inspection
US10574676B2 (en) 2017-10-06 2020-02-25 Fyde, Inc. Network traffic inspection
US10958662B1 (en) 2019-01-24 2021-03-23 Fyde, Inc. Access proxy platform
US11457040B1 (en) 2019-02-12 2022-09-27 Barracuda Networks, Inc. Reverse TCP/IP stack
SG10201906806XA (en) * 2019-07-23 2021-02-25 Mastercard International Inc Methods and computing devices for auto-submission of user authentication credential
US11025598B1 (en) * 2020-02-08 2021-06-01 Mockingbird Ventures, LLC Method and apparatus for managing encryption keys and encrypted electronic information on a network server

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060206709A1 (en) * 2002-08-08 2006-09-14 Fujitsu Limited Authentication services using mobile device
US20110270751A1 (en) * 2009-12-14 2011-11-03 Andrew Csinger Electronic commerce system and system and method for establishing a trusted session

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0119629D0 (en) * 2001-08-10 2001-10-03 Cryptomathic As Data certification method and apparatus
ATE524897T1 (de) * 2008-09-17 2011-09-15 Gmv Soluciones Globales Internet S A Verfahren und system zur authentifizierung eines benutzers mit hilfe eines mobilfunkgeräts

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060206709A1 (en) * 2002-08-08 2006-09-14 Fujitsu Limited Authentication services using mobile device
US20110270751A1 (en) * 2009-12-14 2011-11-03 Andrew Csinger Electronic commerce system and system and method for establishing a trusted session

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
VAPEN, A. ET AL.: "2-clickAuth Optical Challenge-Response Authentication", AVAILABILITY, RELIABILITY, AND SECURITY, 2010. ARES '10 INTERNATIONAL CONFERENCE ON, 15 February 2010 (2010-02-15), pages 79 - 86, XP031652960, Retrieved from the Internet <URL:http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=5438109&isnumber=5437988> *
YOUNG SIL LEE ET AL.: "Online banking authentication system using mobile-OTP with QR-code", COMPUTER SCIENCES AND CONVERGENCE INFORMATION TECHNOLOGY (ICCIT), 2010 5TH INTERNATIONAL CONFERENCE ON, 30 November 2010 (2010-11-30), pages 644 - 648, XP031978906, Retrieved from the Internet <URL:http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=5711134&isnumber=5711015> doi:10.1109/ICCIT.2010.5711134 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105099694A (zh) * 2014-05-06 2015-11-25 苹果公司 凭证服务提供商数据在安全元件的安全域中的存储方法和系统
CN105099694B (zh) * 2014-05-06 2019-05-14 苹果公司 凭证服务提供商数据在安全元件的安全域中的存储方法和系统
US10929843B2 (en) 2014-05-06 2021-02-23 Apple Inc. Storage of credential service provider data in a security domain of a secure element
CN108718233A (zh) * 2018-03-27 2018-10-30 北京安御道合科技有限公司 一种加密方法、计算机设备及存储介质
CN108718233B (zh) * 2018-03-27 2021-04-13 北京安御道合科技有限公司 一种加密方法、计算机设备及存储介质

Also Published As

Publication number Publication date
US20150170144A1 (en) 2015-06-18
US10147092B2 (en) 2018-12-04

Similar Documents

Publication Publication Date Title
WO2013150333A1 (es) Sistema y metodo para firmar y autentificar transacciones seguras a traves de una red de comunicaciones
AU2019240671B2 (en) Methods for secure cryptogram generation
ES2962122T3 (es) Procedimiento electrónico para la transferencia criptográficamente segura de un importe de una criptomoneda
ES2626064T3 (es) Procedimiento y sistema para autenticar a un usuario que utiliza un dispositivo móvil y por medio de certificados
CN104811450B (zh) 云计算中一种基于身份的数据存储方法及完整性验证方法
ES2680152T3 (es) Método y aparato de autenticación conveniente para el usuario usando una aplicación de autenticación móvil
ES2816324T3 (es) Método que usa un único dispositivo de autenticación para autenticar a un usuario a un proveedor de servicios entre una pluralidad de proveedores de servicios y dispositivo para realizar dicho método
CN101170407B (zh) 一种安全地生成密钥对和传送公钥或证书申请文件的方法
ES2713390T3 (es) Procedimiento de verificación de identidad de un usuario de un terminal comunicante y sistema asociado
US10397000B2 (en) Multi-level authentication for secure supply chain asset management
WO2016110601A1 (es) Procedimiento de generación de una identidad digital de un usuario de un dispositivo móvil, identidad digital de usuario, y procedimiento de autenticación usando dicha identidad digital de usuario
JP2009510644A (ja) 安全な認証のための方法及び構成
CN103684766A (zh) 一种终端用户的私钥保护方法和系统
CN102782694A (zh) 用于数据安全设备的事务审计
CN107920052A (zh) 一种加密方法及智能装置
US20220005039A1 (en) Delegation method and delegation request managing method
CN102655454A (zh) 动态令牌交易确认方法及装置
KR20130085492A (ko) 일회용 id를 이용한 인증 시스템 및 방법
CN103235910A (zh) iOS操作系统中基于智能卡实现网络账户保护控制的方法
ES2425618A1 (es) Método para realizar transacciones con billetes digitales
Oliveira Dynamic QR codes for Ticketing Systems
CN115664742A (zh) 一种基于区块链的数字身份验证方法及系统
CN102404333A (zh) 网络用户认证系统或方法
EA041505B1 (ru) Способ подтверждения подлинности данных пользователя и система, его реализующая
JP2009272669A (ja) 秘匿通信システム及び秘匿認証システム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12873558

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2014002682

Country of ref document: CL

Ref document number: 14390497

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12873558

Country of ref document: EP

Kind code of ref document: A1