ES2303375T3 - Sistema de tarjeta de autenticacion con autoridad de certificacion en posicion alejada. - Google Patents

Sistema de tarjeta de autenticacion con autoridad de certificacion en posicion alejada. Download PDF

Info

Publication number
ES2303375T3
ES2303375T3 ES99921166T ES99921166T ES2303375T3 ES 2303375 T3 ES2303375 T3 ES 2303375T3 ES 99921166 T ES99921166 T ES 99921166T ES 99921166 T ES99921166 T ES 99921166T ES 2303375 T3 ES2303375 T3 ES 2303375T3
Authority
ES
Spain
Prior art keywords
authentication
user
card
data
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES99921166T
Other languages
English (en)
Inventor
Yutaka Yasukura
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Application granted granted Critical
Publication of ES2303375T3 publication Critical patent/ES2303375T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/24Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a handwritten signature
    • G07C9/247Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a handwritten signature electronically, e.g. by comparing signal of hand-writing with a reference signal from the pass
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/257Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00563Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys using personal physical data of the operator, e.g. finger prints, retinal images, voicepatterns
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Collating Specific Patterns (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)

Abstract

Sistema de autenticación de usuario que comprende una estación de registro (5) dotada de un dispositivo de adquisición de información (51) para obtener unos primeros datos de la individualidad biológica para distinguir la individualidad de un usuario (8), una estación de emisión de tarjetas de autenticación (6) que emite al usuario (8) una tarjeta de autenticación de usuario (7) registrada con una parte dividida de los primeros datos de la individualidad biológica, un terminal de acceso a la autenticación (4) dotado de un lector de tarjetas de autenticación (41) para leer la información de la tarjeta de autenticación de usuario (7) y un dispositivo de adquisición de identidad (42, 403) para introducir unos segundos datos de la individualidad biológica del usuario (8) que deben ser comparados con los primeros datos de la individualidad biológica a efectos de autenticación y al menos una autoridad de certificación (2, 3) que está conectada al terminal de acceso a la autenticación (4) a través de un canal de comunicación de información, en el que la autoridad de certificación (2, 3) conserva el registro de la parte restante de los primeros datos de la individualidad biológica que se han obtenido en la estación de registro (5) pero que no se han registrado en la tarjeta de autenticación de usuario (7), los contenidos registrados en la tarjeta de autenticación de usuario (7) leídos por el lector de tarjetas de autenticación (41) son comparados con los segundos datos de la individualidad biológica del usuario (8) obtenidos in situ a través del dispositivo de adquisición de identidad (42, 403) para autenticar la identificación del usuario (8) en el terminal de acceso a la autenticación (4) y, si se requiere un mayor nivel de autenticación, la autoridad de certificación (2, 3) compara los segundos datos de individualidad biológica del usuario (8) obtenidos en el terminal de acceso a la autenticación (4) con la parte de los primeros datos de individualidad biológica que faltan en la tarjeta de autenticación de usuario (7) en respuesta a la consulta del terminal de acceso a la autenticación (4) y envía el resultado de la comparación al terminal de acceso a la autenticación (4) para una autenticación adicional.

Description

Sistema de tarjeta de autenticación con autoridad de certificación en posición alejada.
Campo técnico
La presente invención se refiere a un sistema de autenticación de usuario para llevar a cabo la autenticación individual en intercambios de información electrónica, transacciones comerciales electrónicas y otros, y a un dispositivo de autenticación de usuario para utilizar en este sistema de autenticación de usuario.
Antecedentes de la invención
Los tipos de información accesible a través de las redes de comunicación se han vuelto sumamente diversos en los últimos años, variando desde el comercio electrónico tal como la comercialización de productos o de crédito, diagnósticos médicos o informes médicos individuales en línea y hasta la revisión de artículos registrados o la emisión de certificados por parte de oficinas públicas. La aplicación y utilización de dicha información ha aumentado a lo largo de los años.
Dicha información personal tiene que ver con la privacidad del individuo y a menudo se prohíbe dar dicha información a otros si existe el riesgo de que se filtre la información al público. Para establecer una sociedad basada en la información más adecuada, asociada con los avances en las redes de comunicación de información electrónica, ha habido una demanda de un sistema de autenticación de usuario altamente fiable capaz de hacer una clara distinción entre individuos.
Dicho mecanismo para autenticar la identidad personal también puede ser utilizado en un dispositivo de cierre para prohibir la entrada de personas no autorizadas a un laboratorio, una oficina de negocios o una casa, y para conseguir una mejora de seguridad en el dinero electrónico.
La contraseña ha sido la utilizada más comúnmente en la autenticación de la identidad de un usuario. La contraseña es fácil de utilizar, pero es difícil evitar los ladrones que roban las contraseñas de los usuarios. Para evitar los robos de contraseñas, el usuario tiene cuidado de proteger la seguridad de su contraseña tal como utilizar una contraseña larga, seleccionar una contraseña difícil de adivinar o cambiar la contraseña de vez en cuando. La criptografía también se ha utilizado ampliamente para la seguridad de las comunicaciones, cifrando los contenidos de la comunicación para evitar que otros reconozcan los contenidos fácilmente incluso cuando tiene lugar una pérdida de datos.
Sin embargo, dichas medidas de seguridad pueden no ser perfectas y la contraseña puede ser robada por otros mediante la interceptación de la comunicación, mediante el descifrado del código encriptado o viendo la contraseña de manera subrepticia. Además, cuanto más complicada sea la contraseña más difícil de recordar será para el usuario. También es esencial que cualquier contraseña complicada pueda ser duplicada por cualquier medio tan pronto como la contraseña se almacene como datos digitales.
Para evitar que otros finjan ser el usuario y para autenticar la identidad del usuario de manera segura, se ha considerado otro método de autenticación de la identidad del usuario basado en la información indicativa de la llamada individualidad biológica del usuario, tal como huellas dactilares o impresiones vocales. No obstante, los datos de la individualidad biológica tienen generalmente una gran cantidad de información y esto requiere flujos de tráfico extremadamente densos entre un terminal de acceso a la autenticación y una autoridad de certificación en la que se almacena la información biológica del usuario. Dichos flujos de tráfico densos pueden provocar un atasco en un canal de comunicación y aumentar el tiempo de comunicación y es difícil aplicar este método al uso práctico excepto en entornos
especiales. En el método también subsisten otros problemas con el lugar de gestión de datos y el método de gestión.
En los últimos años, se ha utilizado ampliamente un sistema de control de cierre para la seguridad de centros de investigación, oficinas de negocios, laboratorios, salas de memoria de documentos y casas o edificios de apartamentos. En el sistema de control de cierre son limitadas las personas a las que se las permite acceder a un lugar específico y el cierre se abre únicamente cuando una tarjeta emitida a las personas autorizadas ha superado la autenticación.
También es esencial autenticar de manera precisa la identidad personal en el caso en el que únicamente la persona implicada puede recibir servicios tales como transacciones comerciales electrónicas como la comercialización de productos o la acreditación a diagnósticos médicos en línea, la lectura de registros médicos del individuo o artículos registrados de oficinas públicas o la emisión de certificados. Se está haciendo más común que dichas transacciones se lleven
a cabo accediendo a la información a través de una red de comunicación en lugar de una comunicación cara a cara.
Al llevar a cabo dichas transacciones es necesario determinar si la persona implicada es el auténtico usuario o no. La valoración se debe realizar con precisión sin contacto directo. En estos casos, se puede utilizar una tarjeta para autenticar la identidad personal y esto hace posible mejorar la fiabilidad.
Dado que el nivel de seguridad varía según el tipo de transacción, la profundidad de la autenticación personal varía. Por ejemplo, en el caso de una venta de productos baratos, puede que no se requiera nada más que la aprobación de la autenticidad de la tarjeta. Por el contrario, en el caso de la emisión de informes médicos, puede ser deseable utilizar la autenticación de la tarjeta conjuntamente con la información biológica capaz de autenticar la identidad personal de manera segura tal como una fotografía de la cara, una huella dactilar o una impresión vocal.
Generalmente se emite una tarjeta de acceso para utilizar en el sistema de control de cierre o sistema de control de entrada para cada cierre y la tarjeta de acceso la debe llevar o encargarse las respectivas personas autorizadas. Si se deben someter muchas salas a un control de entrada, una persona altamente autorizada debe llevar muchas tarjetas de acceso, y esto hace la carga de las tarjetas complicada. Por otra parte, diversas personas autorizadas pueden compartir a menudo una tarjeta de acceso entre ellas. En este caso, las personas no autorizadas pueden fácilmente robar o hacer un uso indebido de la contraseña o de la tarjeta de acceso a menos que se tenga un estricto cuidado, y será más difícil mantener la seguridad.
También se emite una tarjeta de negocios para cada transacción de negocios mediante el consentimiento de todas las partes y, por tanto, las tarjetas de transacción que lleva una persona determinada tienden a multiplicarse antes de que sea consciente de ello.
El uso de una tarjeta como llave se aplica a otros casos, por ejemplo, taquillas para alquilar. En este caso, la llave es preparada para cada taquilla y se presta al usuario. Dado que también una persona que no sea el auténtico usuario puede abrir la taquilla con la llave prestada, los artículos almacenados pueden ser robados por otros, por lo que la seguridad es insuficiente.
En el caso de cajas de seguridad con alta seguridad, una caja de seguridad no se abre mediante la llave entregada al usuario en el momento del préstamo de la caja de seguridad a menos que se utilice conjuntamente con otra llave que guarda el director. El problema con este sistema es que el director debe asistir a la apertura de cada caja de seguridad. Además, se puede utilizar una llave robada o duplicada para abrir la caja de seguridad correspondiente y la seguridad todavía es insuficiente.
Algunos sistemas de cajas de seguridad proporcionan a cada caja de seguridad un dial o un teclado para introducir un código en la cerradura. En este caso, el usuario introduce un código en el momento de cerrar la caja de seguridad para impedir que la caja de seguridad sea abierta sin la introducción del mismo código. Esto posibilita al usuario eliminar la necesidad de llevar una llave. Dado que el usuario abre la caja de seguridad basándose en un código fijado para cada uso de la caja de seguridad por el usuario, la seguridad es alta a pesar de la facilidad de su uso. Sin embargo, es posible que otros puedan ver el código subrepticiamente o lo descifren mediante conjetura o mediante prueba para abrir la caja de seguridad.
Además, existe otro tipo de sistema de control de cierre en el que la entrada de personas a un laboratorio, una sala de archivo de documentos o una sala de archivo de medicamentos está limitada únicamente a las personas autorizadas por seguridad. En este caso, el cierre no se abre a menos que cualquier persona autorizada haya superado la autenticación de la identidad personal con una tarjeta emitida para esa persona. No obstante, si la tarjeta la guarda o se encarga de manera imprudente una persona seleccionada en la empresa, posiblemente personas no autorizadas puedan entrar al lugar utilizando libremente la tarjeta.
Dado que el nivel de seguridad varía dependiendo de la cerradura a la que accede el usuario, una instalación que requiera un bajo nivel de seguridad debe evitar un sistema de seguridad excesivamente elevada como requerir al usuario llevar a cabo etapas extremadamente complicadas. Por ejemplo, asegurar la autenticación incluso acompañada de etapas complicadas es necesario para abrir un armario que guarda venenos mortales, mientras que una autenticación fácil es suficiente para medicamentos normales siempre que se tenga control de la cantidad que se extrae.
Incluso en el caso de las cajas de seguridad, el nivel de seguridad varía según la importancia de los artículos almacenados. Por ejemplo, propiedades u objetos de valor caros para los que no hay sustitutos difieren en el nivel de seguridad frente a bienes reemplazables.
En cuanto al tipo de tarjeta, una tarjeta con una unidad central de proceso (CPU) y una memoria incorporada en la misma, tal como una tarjeta con circuito integrado (IC), ha sido utilizada en los últimos años como una tarjeta de crédito o una tarjeta de dinero electrónico.
La tarjeta IC tiene características para llevar a cabo cálculos complicados necesarios para un nivel de autenticación elevado y para reescribir o renovar fácilmente los contenidos registrados. Dichas características son adecuadas para una tarjeta para registrar detalles sobre transacciones secuenciales una a una, o para utilizar como dinero electrónico.
Además, la capacidad de memoria incorporada en la tarjeta IC está aumentando y esto hace posible que los usuarios lleven diversa información personal llevando la tarjeta. Dicha información personal que es conveniente llevar incluye el número de identificación del documento de seguro, el número de usuario de la tarjeta de crédito, el número de tarjeta personal o un historial individual en la empresa, el saldo de la cuenta de dinero electrónico, los detalles de un registro de familia, un historial médico, una agenda de direcciones y así sucesivamente. Dicha información personal tiene que ver con la privacidad del individuo y a menudo puede requerir su confidencialidad.
Dado que dicha tarjeta IC de autenticación autentica la identidad personal basándose en la información registrada en la misma, la seguridad de la tarjeta es importante.
Por lo tanto, es un objetivo de la invención dar a conocer un sistema de autenticación de usuario que pueda obtener una respuesta rápida mientras mantiene un elevado nivel de seguridad en la autenticación de la identidad personal para el intercambio de información electrónica o para una transacción de negocios electrónica y un dispositivo de autenticación de usuario para utilizar en el sistema de autenticación de usuario.
El documento US 5.513.272 da a conocer un método y un aparato para verificar el usuario autorizado de una tarjeta de crédito o de identificación. El método comprende las etapas de escaneo de la tarjeta con un aparato que tiene diversos dispositivos de escaneo para escanear un código de barras, escanear la tarjeta para buscar indicios o alteraciones, escanear al menos una huella dactilar que se encuentre sobre la tarjeta y cualquier otra información detectable y comparar la información escaneada de la tarjeta con información del propietario almacenada al menos en una base de datos accesible en comunicación con el aparato.
El documento US 5.457.747 da a conocer un sistema para dificultar el uso fraudulento de tarjetas de tamaño bolsillo en terminales locales de administración de prestaciones que tiene un medio de almacenamiento de datos permanente y un medio de almacenamiento de datos temporal dispuesto en cada tarjeta. Un primer dispositivo de escritura de la tarjeta tiene medios para adquirir información biométrica de una persona y para escribir una plantilla de esa información sobre el medio de almacenamiento permanente. Un terminal de verificación tiene medios similares para adquirir información biométrica desde un procesador de la tarjeta y también tiene medios para leer la información biométrica del medio de almacenamiento permanente de la tarjeta.
\vskip1.000000\baselineskip
Descripción de la invención
Un sistema de autenticación de usuario según la reivindicación 1 consigue el objetivo anteriormente mencionado de la invención.
En esta descripción, los datos de la individualidad biológica indican caracteres únicos de un individuo capaces de distinguirse entre los de otros individuos debido a que su naturaleza hace que no puedan ser controlados por voluntad humana. Los datos de la individualidad biológica no sólo incluyen características naturales tales como una huella dactilar o una huella palmar, un patrón del iris o de la retina e información de ADN, sino también características adquiridas por el hábito tales como la escritura manual o una impresión vocal. Puede haber la posibilidad de encontrar otros datos de la individualidad biológica reconocibles más fácilmente y de manera más segura.
En un segundo aspecto de la invención, un sistema de autenticación de usuario incluye una estación de registro, una estación de emisión de tarjetas de autenticación y un terminal de acceso a la autenticación en el que la tarjeta de autenticación de usuario tiene una función de cálculo. Cuando se obtienen los datos de la individualidad biológica en el terminal de acceso a la autenticación y se introducen en la tarjeta de autenticación de usuario, la función de cálculo de la tarjeta de autenticación de usuario compara los datos de la individualidad biológica registrados en la tarjeta de autenticación de usuario con los datos de la individualidad biológica obtenidos in situ a través del dispositivo de adquisición de identidad y, si se requiere, lo integra además con el resultado de la autenticación proporcionado por una autoridad de certificación, autenticando de esta manera al usuario como el auténtico propietario de la tarjeta de autenticación de usuario.
El sistema de autenticación de usuario del segundo aspecto de la invención incluye preferentemente al menos una autoridad de certificación conectada al terminal de acceso a la autenticación a través de un canal de comunicación de la información. La mayoría de los datos de la individualidad biológica obtenidos en la estación de registro se registran en la tarjeta de autenticación de usuario, mientras que la parte restante que no se ha registrado en la tarjeta de autenticación de usuario se comparte para ser registrada en cada autoridad de certificación. Es preferible que la autoridad de certificación compare los datos de la individualidad biológica del usuario obtenidos en el terminal de acceso a la autenticación con la parte de los datos de la individualidad biológica que faltan en la tarjeta de autenticación de usuario en respuesta a una consulta del terminal de acceso a la autenticación para una autenticación adicional.
En el sistema de autenticación de usuario, la autoridad de certificación puede estar dotada de un dispositivo de memoria para registrar los datos de la individualidad biológica obtenidos en la estación de registro.
En el sistema de autenticación de usuario de la invención la tarjeta de autenticación de usuario registrada en la misma al menos una parte de los datos de la individualidad biológica que distingue la individualidad de un usuario frente a otros y cuando el usuario necesita ser autenticado, los datos de la individualidad biológica de la tarjeta de autenticación de usuario se comparan con los datos de la individualidad biológica introducidos por el usuario in situ, de manera que únicamente el auténtico usuario puede superar la prueba de autenticación, evitando de esta manera que otros finjan ser el usuario.
No sólo es demasiado difícil reproducir las formas originales de la individualidad biológica a partir de sus datos digitalizados, sino que otros no pueden duplicar la individualidad biológica incluso aunque puedan reproducir los datos digitalizados. Esto hace posible ofrecer un nivel superior de fiabilidad en la autenticación del usuario.
En particular, dado que los datos de la individualidad biológica para referencia están registrados en la tarjeta de autenticación de usuario, el usuario a autenticar puede ser confirmado directamente con su identidad en el terminal de acceso a la autenticación sin consultar la identificación de la autoridad de certificación remota del terminal de acceso a la autenticación. Esto hace posible reducir una gran cantidad de tiempo y coste empleados en la comunicación con la autoridad de certificación.
Si la tarjeta de autenticación de usuario está dotada de una función de cálculo, tal como una unidad central de proceso (UCP) y una memoria RAM mediante las que se introducen y se comparan los datos de la individualidad biológica obtenidos de un usuario que hace uso de la tarjeta de autenticación de usuario con los datos almacenados en la tarjeta de autenticación de usuario, la carga en el terminal de acceso a la autenticación y el coste del dispositivo se reducen, ofreciendo de esta manera un sistema de fácil uso. Además, el procesamiento de la información se puede completar en el interior de la tarjeta de autenticación de usuario para evitar la fuga de los datos de autenticación al exterior, mejorando de esta manera la seguridad.
Además, si los datos de la individualidad biológica se reparten entre la tarjeta de autenticación de usuario y la autoridad de certificación, se divide la información necesaria y esto hace difícil que otros penetren en la totalidad del sistema de autenticación incluso si, por ejemplo, la parte de los datos de la individualidad biológica registrados en la tarjeta de autenticación se pueden reproducir desde la tarjeta. Asimismo, dado que los datos a utilizar en la autenticación de la identificación personal no pueden ser duplicados únicamente a partir de la tarjeta de autenticación de usuario, se puede mantener un nivel de seguridad más alto. Además, incluso si los contenidos del registro en la tarjeta de autenticación de usuario son falsificados, dado que se mantiene la información en la autoridad de certificación, otros no pueden fingir ser el auténtico usuario.
El proceso de dividir datos según la invención es diferente del proceso convencional en el que, en lugar de evaluar los datos reintegrados reunidos en un mismo lugar, el terminal de acceso a la autenticación y la autoridad de certificación autentican independientemente la identificación personal basándose en los datos de la individualidad biológica disponibles, de manera que ambos resultados se pueden reflejar en la autenticación. Dado que nunca se reproducen la totalidad de los datos originales, se puede mantener la capacidad de ocultación de los datos con un nivel de seguridad más alto.
Incluso cuando alguien consigue atacar la autoridad de certificación no puede falsificar la información de la tarjeta de autenticación de usuario que lleva el usuario, conservando de esta manera la seguridad.
Además, en caso de uso de diversas autoridades de certificación, cada autoridad de certificación puede autenticar la identificación personal de manera independiente en respuesta a la consulta del terminal de acceso a la autenticación o de cualquier otra autoridad de certificación, además de la autenticación de usuario basada en la información de la tarjeta de autenticación de usuario. En tal caso, si las autoridades de certificación dispuestas jerárquicamente en el sistema obtienen resultados de autenticación gradualmente, la fiabilidad de la autenticación de usuario se puede mejorar adicionalmente.
En el sistema de autenticación de usuario de la invención, la determinación superado/no superado se puede llevar a cabo selectivamente únicamente mediante el resultado de la autenticación obtenido por el terminal de acceso a la autenticación basándose en la información registrada en la tarjeta de autenticación de usuario, o para una determinación más segura añadiendo los resultados de la autenticación de la autoridad o autoridades de certificación basándose en la información que se guarda en la autoridad o autoridades pero que no está registrada en la tarjeta de autenticación de usuario, según la fiabilidad requerida para la autenticación.
El nivel de autenticación puede ser predeterminado para cada terminal de acceso a la autenticación o para cada transacción, o puede ser fijado para cada transacción por el terminal de acceso a la autenticación. De manera alternativa, puede ser seleccionado automáticamente según el precio de venta u otras pautas adecuadas.
Además, en este proceso de dividir la información, incluso cuando todos los datos de la individualidad biológica son utilizados para la autenticación del usuario, si la autenticación se ejecuta en el terminal de acceso a la autenticación obteniendo la mayoría de los datos de la tarjeta de autenticación de usuario, se puede reducir la cantidad de información intercambiada a través de la línea de comunicación y, por tanto, se pueden reducir los flujos de tráfico de la línea de comunicación y el tiempo empleado en la consulta. La división de la información también tiene efectos sobre el control del rendimiento del procesamiento y sobre la capacidad de memoria de la autoridad de certificación que se requiere para almacenar la información de un gran número de usuarios y para disponer muchas consultas.
Además, el sistema de autenticación de usuario puede incluir una autoridad de registro dotada con un dispositivo de memoria para almacenar los datos de la individualidad biológica del usuario obtenidos en la estación de registro. La autoridad de registro guarda todos los registros de los datos de la individualidad biológica del usuario obtenidos en la estación de registro para utilizar en la determinación del lugar en el que ha tenido lugar un uso no autorizado de datos o una situación anormal, volviendo a emitir una tarjeta de autenticación dañada o reparando los datos de las autoridades de certificación inferiores. La autoridad de registro puede autenticar al usuario aunque dicho usuario no lleve la tarjeta de autenticación, basándose en los registros guardados en la autoridad de registro con un cierto grado de fiabilidad. Por ejemplo, si al usuario le han sustraído su tarjeta de autenticación, el usuario autenticado basándose en los datos de la autoridad de registro puede llamar para suspender la tarjeta sustraída o para volver a emitir la
tarjeta.
En la autoridad de registro, los medios de memoria que registran los datos de la individualidad biológica pueden ser retirados del canal de comunicación de la información del sistema de autenticación de usuario de manera que se pueden conectar únicamente cuando sea necesario. Esto hace posible evitar ataques de piratas informáticos y, por tanto, la pérdida y falsificación de información personal. Por seguridad, es extremadamente efectivo que sólo una parte de los datos de la individualidad biológica del usuario estén registrados en la tarjeta de autenticación de usuario y en las autoridades de certificación inferiores, respectivamente, de manera que no se permite que la totalidad de los datos permanezca en un único lugar.
Los datos de la individualidad biológica utilizados en el sistema de autenticación de usuario de la invención pueden incluir la escritura manual además del proceso de entrada. La escritura manual representa bien una individualidad biológica de cada persona y es efectiva para evitar que otros imiten la del individuo y, además, el dispositivo de entrada o analizador es relativamente fácil de encontrar. El usuario puede escribir arbitrariamente letras o figuras como su identificación, pero es más deseable que el usuario utilice su firma debido a su mejor reproducibilidad. Otros pueden imitar la escritura, pero su proceso de entrada, tal como el orden de los trazos y la presión de los mismos, tiene que ver con la individualidad biológica de la persona y esto hace difícil que otros lo imiten. Por tanto, el uso de un dispositivo de entrada en línea para añadir información al proceso de entrada a la escritura manual permite una autenticación altamente fiable.
Los datos de la individualidad biológica también pueden incluir una huella dactilar, una impresión vocal, una representación del iris o de la retina e información del ADN. Además, es probable encontrar otras individualidades biológicas reconocibles más fácilmente y con más seguridad en el futuro.
Los datos de la individualidad biológica pueden estar divididos físicamente, tal como registrados en la tarjeta de autenticación de usuario y en la autoridad de certificación. Por ejemplo, la primera mitad y la segunda mitad de los datos de la individualidad biológica pueden estar registrados en la tarjeta de autenticación y en la autoridad de certificación, respectivamente, y ser comprobados de manera separada. De manera alternativa, la información puede ser dividida jerárquicamente de manera que la información en forma de escritura manual se registra en la tarjeta de autenticación de usuario y la información sobre la presión de los trazos y sobre el orden de los mismos se registra en la autoridad de certificación.
Además, se pueden registrar diversos tipos de datos de individualidad biológica, tales como una firma y una impresión vocal, de manera separada para determinar la identificación personal basándose en diferentes tipos de información a efectos de mejorar la fiabilidad.
Además, se pueden registrar diferentes tipos de datos de individualidad biológica y realizar diferentes transacciones llevadas a cabo en respuesta al tipo de datos introducidos.
Además de los datos de la individualidad biológica normales, se puede utilizar conjuntamente otra información única que es efectiva únicamente en un caso especial. Por ejemplo, en el caso en el que el usuario se ve obligado a firmar bajo amenaza o coacción de otra persona, el usuario puede añadir secretamente un símbolo o señal ocultos en su firma para notificar a una empresa de seguridad de la situación de emergencia mientras hace creer a la persona que le está amenazando que obedientemente firma de la manera habitual.
Como una opción de este esquema, puede mostrar transacciones normales tales como abrir una puerta o extraer dinero a efectos de asegurar la seguridad personal en dicho caso de emergencia. Dichos datos de la individualidad biológica en lo que se refiere a utilizarlos para el propósito emergente pueden ser del mismo tipo que los datos normales, o pueden ser datos combinados de diferentes tipos tales como añadir datos de voz a una firma. De manera inversa, los datos combinados con datos de código especial añadidos a datos falsos se pueden utilizar como datos de autenticación correcta.
Una tarjeta de autenticación de usuario utilizada en el sistema de autenticación de usuario es un medio de memoria dotado con un área de memoria legible que almacena una señal para identificar la tarjeta de autenticación y al menos parte de los datos de la individualidad biológica para distinguir la individualidad de un usuario frente a otros.
El medio de memoria puede ser un medio de memoria de sólo lectura tal como una memoria ROM o un CD-ROM, pero posiblemente se puede adoptar un medio de memoria de escritura/lectura que pueda añadir registros de detalles de transacciones o nueva información debido a que existe menos peligro de falsificar los contenidos del registro indicativo de los datos de la individualidad biológica del usuario en el mismo.
Es deseable utilizar una tarjeta de identificación (IC) de alta seguridad que tenga una función a prueba de falsificaciones y un gran espacio para datos, con una función inteligente y un sistema de cifrado en la misma.
Si se utiliza una tarjeta IC con una unidad central de proceso (CPU) y una memoria RAM incorporadas en la misma, la tarjeta IC puede recoger los datos de la individualidad biológica del usuario en la tarjeta y compararlos comprobando los datos almacenados en su interior para autenticar la identificación del usuario. En este caso, se puede reducir la carga del terminal de acceso a la autenticación y el coste del dispositivo del terminal. Además, se puede hacer que los datos de autenticación de la tarjeta de autenticación de usuario no sean legibles desde el exterior para mejorar la seguridad.
El uso de una tarjeta IC permite proporcionar una tarjeta de múltiples propósitos para conseguir un elevado nivel de autenticación personal con múltiples funciones incorporadas en la misma. La tarjeta IC utilizada en este documento puede ser de tipo compuesto dotada con un tipo de contacto que lee y escribe datos a través de un terminal externo y un tipo sin contacto que lee y escribe datos sin contacto con el terminal exterior.
En particular, si la información se registra de manera dividida, dado que es inútil falsificar los contenidos de la grabación en la tarjeta de autenticación de usuario, se puede utilizar un medio económico y fácil de utilizar tal como un disquete como tarjeta de autenticación. También se pueden utilizar otros medios de escritura tales como un CD-ROM, un DVD, una cinta de grabación o un minidisc.
Un dispositivo de autenticación de usuario del sistema de autenticación de usuario de la invención, para autenticar la identificación personal mediante una tarjeta de autenticación de usuario, incluye un lector de tarjetas de autenticación para leer la información registrada en la tarjeta de autenticación de usuario, una unidad de adquisición de identidad para obtener los datos de la individualidad biológica de un usuario, una unidad de valoración para verificar los datos de la individualidad biológica de la tarjeta IC de autenticación leídos mediante el lector de la tarjeta de autenticación con los datos de la individualidad biológica obtenidos in situ a través de la unidad de adquisición de identidad y determinar su aceptación, y una unidad de visualización para mostrar el resultado de la valoración.
Según el dispositivo de autenticación de usuario de la invención, el usuario al que se le pide autenticar la identificación personal pone la tarjeta de autenticación de usuario en el lector de tarjetas de autenticación e introduce, a través de la unidad de adquisición de identidad, sus datos de la individualidad biológica del mismo tipo que los que están registrados en la tarjeta de autenticación de usuario. Como consecuencia, la unidad de valoración comprueba los datos de la individualidad biológica registrados en la tarjeta de autenticación de usuario con los que se han obtenido mediante la unidad de adquisición de identidad y valora si el resultado de la comprobación es aceptable, mientras que la unidad de visualización indica el resultado de la valoración. De esta manera, la persona que lleva la tarjeta de autenticación de usuario puede ser valorada inmediatamente como el auténtico propietario de la tarjeta o no, sin ninguna comunicación externa.
El dispositivo de autenticación de usuario debe estar equipado con la unidad de adquisición de identidad del mismo tipo que el dispositivo de entrada de la individualidad biológica utilizado en la estación de registro de usuario. Un dispositivo que tiene una función para captar figuras manuscritas puede ser utilizado como unidad de adquisición de identidad. La unidad de adquisición de figuras manuscritas puede introducir la figura manuscrita predeterminada, tal como una firma, como datos digitales y comparar fácilmente la figura introducida con los datos de la individualidad biológica de la tarjeta de autenticación de usuario.
El dispositivo de autenticación de usuario de la invención incluye preferentemente una unidad de comunicación para comunicarse con una autoridad de certificación exterior, en la que al menos parte de los datos de la individualidad biológica del usuario introducidos a través de la unidad de adquisición de identidad son enviados a la autoridad de certificación exterior de manera que el dispositivo de autenticación de usuario puede recibir el resultado de la valoración superado/no superado de la autoridad de certificación y mostrar el resultado a través de la unidad de visualización.
Si el dispositivo de autenticación de usuario está conectado a la autoridad de certificación externa para el procesamiento jerárquico de los datos de autenticación, se puede evitar el acceso perjudicial de los invasores o la falsificación y esto hace posible ofrecer un rendimiento de autenticación con un elevado nivel de seguridad.
El sistema de autenticación de usuario de la invención puede ser aplicado a un sistema de control de cierre.
Breve descripción de los dibujos
La figura 1 es un diagrama de bloques que ilustra un sistema de autenticación de usuario tal como se pone en práctica en una realización de la invención; la figura 2 es una vista en perspectiva que ilustra un ejemplo de un dispositivo de autenticación de usuario utilizado en la realización; la figura 3 es un diagrama de circuito del dispositivo de autenticación de usuario de la realización; la figura 4 es un diagrama de bloques que ilustra el primer y el segundo ejemplos de las configuraciones de una tarjeta de autenticación de usuario utilizada en la realización; la figura 5 es un diagrama de flujo que ilustra el proceso de emisión de la tarjeta de autenticación de usuario en la realización; la figura 6 es un diagrama de flujo que ilustra el proceso de autenticación en un terminal de acceso de la realización.
Mejor modo para llevar a cabo la invención
Las realizaciones de la invención se describirán con referencia a los dibujos adjuntos.
Tal como se muestra en la figura 1, el sistema de autenticación de usuario de la invención tiene estructura jerárquica, en la que una autoridad de registro autorizada, unas autoridades de certificación y unos terminales de acceso a la autenticación están dispuestos jerárquicamente.
La autoridad de registro autorizada o la autoridad de registro de políticas (PRA) (1) supervisan toda la red de autenticación y emiten los certificados de delegación de autoridad parcial a diversas autoridades de certificación intermedias o autoridades de certificación de políticas (PCA) (2) como concesionarias. Las autoridades de certificación de políticas a las que se les ha dado la autoridad emiten entonces los certificados de delegación de autoridad parcial a diversas autoridades de certificación finales (CA) (3) como subconcesionarias.
Las autoridades de certificación finales (CA) (3) actúan como intermediarias en la conexión con los terminales de acceso a la autenticación (TM) (4) como clientes que hacen uso de la autenticación de usuario, y los usuarios (8) que disfrutan los servicios ofrecidos por los clientes. En la siguiente descripción, el acceso a diversos servicios se puede denominar "transacción".
La autoridad de registro de políticas (PRA) (1) o autorizada está dotada de una memoria (11) desmontable del equipo principal, mientras que las autoridades de certificación de políticas (PCA) (2) y las autoridades de certificación finales (CA) (3) están dotadas de memorias (21), (31) conectadas a los respectivos equipos en todo momento.
Estas instalaciones están conectadas entre sí a través de líneas específicas o líneas públicas, de manera que la información se puede intercambiar en cualquier momento. Las conexiones se pueden realizar a través de la intranet o de internet. Al intercambiar la información a través de las líneas de comunicación, es preferible asegurar la seguridad mediante un sistema de cifrado utilizando claves públicas o claves comunes o simétricas.
Las autoridades de certificación de políticas (PCA) pueden ser eliminadas del sistema de autenticación de usuario. De manera inversa, las autoridades de certificación de políticas (PCA) se pueden disponer en diversos niveles para aumentar los niveles de la jerarquía a más de tres.
La autoridad de registro de políticas (PRA), la autoridad de certificación de políticas (PCA) y la autoridad de certificación final (CA) también pueden ser sustituidas por una institución que integre todas las funciones.
Las autoridades de certificación finales (CA) (3) generalmente están autorizadas por la autoridad de registro de políticas (PRA) o una autoridad de certificación (PCA) superior para llevar a cabo la autenticación en una región limitada tal como una agencia administrativa pública, una institución médica, una empresa concreta, un edificio de apartamentos, un centro comercial y similares.
La autoridad de certificación final (CA) está conectada a los terminales de acceso a la autenticación (TM) que pertenecen a la región limitada y utilizan la autenticación.
Los terminales de acceso a la autenticación (TM) pueden representar una ventanilla de una oficina del gobierno, una recepción de un departamento o una recepción de farmacia en un hospital, una puerta en un laboratorio u oficina, una herramienta de información que accede a una base de datos a proteger, una entrada de un apartamento o una puerta de un apartamento, un dispositivo de control remoto para instalaciones de interior, unas instalaciones de un club sólo para miembros, un mostrador de caja en cada tienda de un centro comercial o en una gran comercio de ventas al por menor tal como unos grandes almacenes, una ventanilla en una instalación monetaria tal como un banco, un cajero automático y así sucesivamente.
En particular, se considera que la autenticación de usuario será más importante en el campo de la comercialización directa en lo sucesivo. En este caso, el terminal de acceso a la autenticación (4) se puede situar en casa de cada usuario (8).
La autoridad de certificación final (CA) (3) autoriza a una estación de registro de usuario (RG) (5) a recibir una solicitud de registro de un usuario (8) que desea ser consumidor de un terminal de acceso a la autenticación (TM) (4) y autoriza a una estación de emisión de tarjetas de autenticación (IS) (6) a emitir tarjetas de autenticación de usuario (7).
La estación de registro de usuario (RG) (5) está equipada con un dispositivo de entrada (51) para obtener los datos de la individualidad biológica. Esta realización utiliza un dispositivo de entrada de figuras manuscritas en línea con una tableta y un bolígrafo. El dispositivo de entrada de figuras manuscritas en línea introduce la escritura manual de un usuario con el proceso de escritura para reconocimiento gráfico, de manera que cuando se introducen las letras, se pueden obtener fácilmente la información sobre la dirección y el orden de cada trazo de las letras.
Cuando se utiliza una impresión vocal como medio para capturar la individualidad biológica, un micrófono (52) está equipado para introducir la voz del usuario. También se puede disponer cualquier otro dispositivo, tal como un dispositivo de entrada de huella dactilar o de huella palmar o un dispositivo para observar una pupila para captar una representación del iris o de la retina.
El uso de una diversidad de medios de identificación personal hace que la autenticación sea más segura.
La estación de emisión de tarjetas de autenticación (IS) (6) está equipada con un dispositivo de emisión de tarjetas de autenticación (61). El dispositivo de emisión de tarjetas de autenticación (61) escribe la información a utilizar para la identificación del usuario en una tarjeta de autenticación de usuario (7) y emite la tarjeta de autenticación al usuario (8). En esta realización, el sistema de autenticación de usuario utiliza una tarjeta IC como tarjeta de autenticación de usuario. No obstante, se puede utilizar cualquier otro medio de grabación siempre que esté disponible para las operaciones de escritura y lectura, es decir, se puede utilizar cualquier otro medio de grabación electrónica, tal como un medio de grabación magnético incluyendo un CD-ROM, un disquete y una tarjeta magnética o un medio de grabación magnetoóptico.
El terminal de acceso a la autenticación (TM) (4) está equipado con un dispositivo de autenticación de usuario (41) que examina la autenticidad de la tarjeta de autenticación de usuario (7) que lleva el usuario (8) y autentica al usuario (8).
Las figuras 2 y 3 muestran un ejemplo de una configuración del dispositivo de autenticación de usuario (41).
Dispuesto sobre el panel frontal del dispositivo de autenticación de usuario (41) se encuentran una unidad de entrada/salida (401) con una ranura para insertar una tarjeta de autenticación (7) que intercambia la información con un área de memoria de la tarjeta de autenticación (7) insertada; una unidad de especificación del nivel de autenticación (402) que especifica el nivel de autenticación requerido para la transacción actual; una unidad de entrada de la identidad personal (403) que capta los datos de la individualidad biológica del usuario; y una pantalla de autenticación (404) que muestra el resultado de la autenticación.
La unidad de entrada de identidad personal (403) es la misma que el dispositivo de entrada de la individualidad biológica (51) utilizado en la estación de registro de usuario (RG) (5). Si la impresión vocal se utiliza conjuntamente en la autenticación de usuario, se necesita disponer, por supuesto, de un micrófono (42) en el dispositivo de autenticación de usuario (41) del terminal de acceso a la autenticación (TM) (4). La unidad de entrada de la identidad personal (403) está equipada de esta manera con medios de entrada respectivos correspondientes a los tipos de individualidades biológicas a utilizar.
El sistema de circuitos electrónicos (410) está incorporado en el interior del dispositivo de autenticación de usuario (41); actúa para combinar orgánicamente las funciones de estas unidades para la autenticación de usuario.
El sistema de circuitos electrónicos (410) comprende una parte de control (411) de lectura/escritura de la tarjeta de autenticación, una parte de conversión (412) de la información de identidad, una parte de valoración (413) y una parte de comunicación (414).
La parte de control (411) de la lectura/escritura de la tarjeta de autenticación tiene las funciones de leer los contenidos de la información registrada en la tarjeta de autenticación a través de la unidad de entrada/salida (401), para decodificar los datos digitales cifrados y también para registrar los resultados de la transacción en la tarjeta de autenticación.
La parte de conversión (412) de la información de identidad convierte los datos de la individualidad biológica captados por la unidad de entrada de identidad personal (403) a datos digitales.
La parte de valoración (413) capta la información de salida de la parte de control (411) de lectura/escritura de la tarjeta de autenticación, la parte de conversión (412) de la información de identidad y la unidad de especificación del nivel de autenticación (402), autentica la identificación del usuario según el nivel de autenticación requerido basándose en esa información de salida añadida a la información intercambiada con las autoridades de certificación a través de la parte de comunicación (414) e indica el resultado de la autenticación a través de la pantalla de autenticación (404).
Cuando el usuario es autenticado y se establece una transacción, entonces el resultado de la transacción se introduce desde una unidad de entrada de detalles de la transacción (420) y los detalles de la transacción se muestran sobre una pantalla de transacción (421), de manera que el usuario (8) puede confirmar los detalles de la transacción. Los detalles de la transacción también se registran en una memoria (422).
La parte de valoración (413) puede ser diseñada para enviar automáticamente el resultado de la autenticación de usuario a la unidad de entrada de detalles de la transacción (420) de manera que la transacción se puede determinar como aceptada o rechazada.
Además, los detalles de la transacción o el historial de transacciones se pueden registrar en la tarjeta de autenticación de usuario (7) introduciendo la información de la transacción a través de la unidad de entrada de detalles de la transacción (420).
Como ejemplo, cuando la tarjeta de autenticación de usuario (7) se utiliza para propósitos de pago, se pueden registrar la fecha de compra, los nombres de los productos adquiridos y sus precios, y esto hace más fácil para el usuario confirmar la transacción en el pago. Cuando la tarjeta se utiliza para servicios administrativos, se puede recibir la información relacionada con diversos certificados o documentos de identificación tales como la tarjeta del seguro de salud, el permiso de conducir, informes médicos y el certificado de residencia, y almacenar en la tarjeta de autenticación de usuario (7).
La privacidad del usuario se puede proteger requiriendo al usuario la autenticación en cualquier momento en el que una persona lea los contenidos registrados en la tarjeta de autenticación de usuario (7) de manera que se impedirá cualquier acceso que no sea del usuario implicado.
Además de los datos de la individualidad biológica utilizados para una autenticación normal, se puede utilizar conjuntamente otra información única que es efectiva únicamente en casos especiales. Por ejemplo, en el caso en el que un usuario se vea obligado a firmar bajo la amenaza de un ladrón o de alguien que le coacciona, el usuario puede añadir secretamente un símbolo o señal oculta en su firma auténtica para notificar a una firma de seguridad de la situación de emergencia mientras que tienen lugar las transacciones normales tal como abrir una puerta o extraer dinero, de manera que los agentes de seguridad pueden emprender las acciones adecuadas tales como arrestar al criminal tan pronto como se asegure la seguridad del usuario.
Dichos datos de la individualidad biológica en lo que se refiere a utilizarlos en propósitos especiales pueden ser datos combinados de diversos tipos diferentes tales como toser dos veces en el momento de la firma.
La figura 4 es un diagrama de bloques que ilustra las disposiciones internas de la tarjeta de autenticación de usuario (7) hecha con una tarjeta IC.
La tarjeta de autenticación de usuario (7), tal como se pone en práctica en la realización, es una tarjeta IC de tipo compuesto dotada de un conector de tipo contacto que transmite señales eléctricas a través de un terminal (71) y un conector de tipo sin contacto que establece comunicación por medio del acoplamiento electrostático o inducción electromagnética sin entrar en contacto entre un electrodo (73) de la tarjeta y un electrodo del interior de la unidad de control de lectura/escritura de la tarjeta de autenticación. La tarjeta de autenticación de usuario (7) está diseñada en consideración al caso en el que diversos emisores de tarjetas disponen un terminal de uso común, respectivamente, para una única tarjeta común para ser utilizada públicamente por su portador para los respectivos emisores. No obstante, la tarjeta IC puede estar dotada de cualquiera de los conectores.
El terminal (71) está conectado a un circuito de conexión (72); el electrodo de tipo sin contacto (73) está conectado a un circuito de control de comunicaciones (74). Ambos están acoplados con memorias integradas.
La tarjeta de autenticación de usuario (7) también incluye una unidad central de proceso (CPU) (75) y memorias que comprenden una memoria RAM de acceso aleatorio (76), una memoria ROM de sólo lectura (77), una memoria PROM programable de sólo lectura, grabable eléctricamente (78) y una memoria EEPROM programable de sólo lectura y capaz de ser borrada eléctricamente (79). Éstas están conectadas entre sí mediante un bus de datos.
El circuito de conexión (72), el circuito de control de comunicaciones (74), la unidad central de proceso (CPU) (75) y las memorias se pueden montar sobre un único chip IC.
Al insertar la tarjeta de autenticación de usuario (7), la unidad de control (411) de lectura/escritura de la tarjeta de autenticación accede a las memorias de la tarjeta de autenticación de usuario (7) bien desde el terminal (71) a través del circuito de conexión (72) como desde el electrodo sin contacto (73) a través del circuito de control de comunicaciones (74).
La memoria PROM (78) almacena los datos de autenticación de la tarjeta para examinar la autenticidad de la tarjeta de autenticación implicada y una identificación del emisor que ha emitido la tarjeta de autenticación de usuario tras la aprobación y similares. Los datos, una vez escritos en la memoria PROM (78) no se pueden renovar.
La memoria EEPROM (79) almacena los datos de la individualidad biológica a utilizar en la autenticación de la identificación de usuario y el registro de las transacciones ejecutadas utilizando la tarjeta de autenticación. La memoria ROM (77) almacena los programas para el control de la unidad central de proceso (75) para ejecutar el cifrado y descifrado, el control de la entrada/salida de datos, el examen de la autenticidad del dispositivo de autenticación de usuario (41) y así sucesivamente. La memoria RAM (76) almacena temporalmente los datos captados desde el exterior y los datos necesarios en el proceso de cálculo y así sucesivamente.
Las tarjetas de autenticación de usuario (7) no utilizadas se distribuyen a cada estación de emisión de tarjetas de autenticación (6) con la condición de que la información de certificado de tarjeta correcta se haya escrito en la memoria PROM (78) en la autoridad de registro de políticas o autorizada (1) para probar que las tarjetas de autenticación son tarjetas auténticas disponibles en el sistema de autenticación. Por tanto, todo lo que la estación de emisión de tarjetas de autenticación (6) tiene que hacer es escribir parte de los datos de la individualidad biológica del usuario en la memoria EEPROM (79) según las instrucciones de la autoridad de registro autorizada (1). A este respecto, la función de escritura de la memoria PROM (78) se puede omitir del dispositivo de emisión de tarjetas de autenticación para evitar que se falsifique la tarjeta.
La tarjeta de autenticación no está limitada a la disposición o asignación de las memorias tal como se pone en práctica en esta realización. Por ejemplo, los datos de la individualidad biológica a utilizar en la autenticación de la identificación personal se puede almacenar en la memoria PROM (78) o en la memoria RAM (76).
La siguiente sección describe, conjuntamente con la figura 5, un ejemplo del proceso de emisión de una tarjeta de autenticación de usuario.
La estación de registro de usuario (5) acepta una solicitud de registro de un usuario (8) que desea recibir servicios en los terminales de acceso a la autenticación dentro del territorio de la estación de registro de usuario (5) (S11). La estación de registro de usuario (5) reúne la información indicativa de las individualidades biológicas del usuario y, si es necesario, la información a utilizar en la preautorización del usuario (8) (S12). Los datos de la individualidad biológica utilizados en este caso son caracteres únicos del cuerpo viviente del usuario; se deberían seleccionar características a través de la cuales el usuario se puede distinguir frente a otros que se disfracen o imiten al usuario.
En la realización, se utiliza la escritura manual para identificar el usuario. Aunque es posible cualquier cifra, si el usuario (8) introduce diferentes cifras cada vez sería inconveniente para autenticar la identificación personal. Por tanto, es deseable que el usuario introduzca su propia firma a efectos de asegurar la reproducibilidad. Además de la escritura manual, el uso de diversos datos de la individualidad biológica pueden mejorar la seguridad de la autenticación y, en consecuencia, el micrófono (42) auxiliar está dispuesto en este caso para adquirir impresiones vocales.
La información de calificación y los datos de la individualidad biológica del solicitante, ambos recogidos en la estación de registro de usuario (5) son transmitidos posteriormente a la autoridad de registro autorizada (1) (S13).
La autoridad de registro autorizada (1) precalifica al solicitante basándose en la información de la estación de registro de usuario (5) y permite la emisión de una tarjeta de autenticación al solicitante que ha superado la precalificación (S14). Las condiciones de calificación dependen de los servicios objetivo para los que el usuario requiere autenticación. A este respecto, la autoridad de certificación final (3) que en realidad acepta al usuario puede examinar la calificación del usuario.
La autoridad de registro autorizada (1) divide jerárquicamente los datos de la individualidad biológica del usuario (8) registrado en partes de datos según unas proporciones determinadas, decide las partes a asignar a la tarjeta de autenticación de usuario (7) y las autoridades de certificación (2), (3), respectivamente, y las distribuye a cada sitio (S15).
Se debe acceder a los datos de la individualidad biológica distribuidos desde la autoridad de registro autorizada (1) a cada sitio, basándose en la precisión de la autenticación requerida por el terminal de acceso a la autenticación (4). Si el terminal de acceso a la autenticación (4) requiere el menor nivel de autenticidad, la autenticación sólo necesita el resultado de la comprobación del dispositivo de autenticación (41) del terminal de acceso a la autenticación (4). Si se requiere un nivel medio de autenticidad, el usuario se autenticará basándose en el resultado de la comprobación del dispositivo de autenticación (41) más la información almacenada en la autoridad de certificación final (3). Si se requiere el mayor nivel de autenticidad, se deberían integrar todos los datos de la individualidad biológica distribuidos en todos los sitios diferentes para realizar la valoración.
El sistema de autenticación de usuario de la invención está constituido de tal manera que se puede requerir la autenticación adicional de las autoridades superiores basándose en los datos de la individualidad biológica únicamente cuando se ha examinado y se ha superado la autenticidad en el terminal de acceso a la autenticación. Las autoridades superiores ejecutan la autenticación basándose en la información excepto la incluida en el interior de la tarjeta de autenticación de usuario.
Por tanto, la tarjeta de autenticación de usuario (7) necesita ser distribuida con suficiente información para la certificación con un grado de precisión comparando con los datos de la individualidad biológica introducidos por el usuario in situ de manera que el usuario puede ser valorado como auténtico.
En esta realización el 60% de la información está asignada a la tarjeta de autenticación de usuario (7), el 30% a la autoridad de certificación final (3) y el restante 10% a la autoridad intermedia (2). Dicha disminución gradual de la cantidad de información no sólo puede ahorrar capacidad de la memoria en las autoridades superiores, sino que también reduce el tiempo de carga para cada autenticación, mejorando de esta manera el rendimiento de protección de la información en todo el sistema.
Se debe observar que es deseable que la tarjeta de autenticación de usuario (7) mantenga un porcentaje relativamente alto de los datos de la individualidad biológica a efectos de evitar que se transmita una excesiva cantidad de información a las autoridades superiores tras la petición de ejecutar una autenticación de nivel elevado.
Por el contrario, un porcentaje excesivo de información a asignar a la tarjeta de autenticación de usuario (7) puede disminuir la fiabilidad de la autenticación de usuario.
Por tanto, es esencial distribuir los datos de la individualidad biológica dividiendo proporciones adaptadas a cada condición práctica en consideración con el número de accesos de usuario, el nivel requerido de seguridad de la autenticación y así sucesivamente.
La información puede ser dividida de manera que todos los datos digitalizados son divididos físicamente en proporciones predeterminadas, o son divididos gradualmente. Por ejemplo, la información de la escritura manual se puede dividir en información relacionada con una figura o escritura manual final, la información relacionada con los trazos de la manera de escribir y la información sobre el orden de los trazos. Cualquier dato de la individualidad biológica puede ser dividido para utilizar en cada punto relacionado, por ejemplo, una impresión vocal puede ser dividida en banda de frecuencias o una huella dactilar puede ser dividida por dedo.
En el caso en que se extraigan diversos tipos de datos de la individualidad biológica tal como escritura manual y una impresión vocal, los datos de la individualidad biológica se pueden distribuir por tipos.
La autoridad de registro autorizada (1) almacena la información relacionada con la tarjeta de autenticación y el usuario en unos medios de memoria de gran capacidad (11) desmontables del dispositivo principal, tales como una cinta magnética, un CD-ROM, un disco magnetoóptico, un DVD o un disco duro extraíble (S16), y al recibir una petición de una autoridad inferior, una persona al cargo inserta los medios de memoria en un controlador a efectos de comprobar la información registrada.
En la autoridad de registro autorizada (1), el medio de grabación (11) extraíble se almacena de manera separada de una red de comunicación externa cuando no está en uso a efectos de evitar violencia o falsificación de los registros.
Las autoridades de certificación (2), (3) almacenan la parte distribuida de los datos de la individualidad biológica de los individuos en las memorias (21), (31), respectivamente, y los leen a petición.
La estación de emisión de tarjetas de autenticación (6) registra la parte de los datos de la individualidad biológica del solicitante registrado distribuida por la autoridad de registro autorizada (1) en una tarjeta de autenticación de usuario (7) que registra su propio código de autenticación de tarjeta y emite la tarjeta (7) al usuario (8) (S17).
Diversas estaciones de registro de usuario (RG) (5) y las estaciones de emisión de tarjetas de autenticación (IS) (6) pueden pertenecer a una única autoridad de certificación final (CA) (3).
Además, dado que se requiere que el usuario (8) vaya a la estación de registro de usuario (5) e introduzca sus datos de individualidad biológica, es conveniente para los usuarios que la estación de emisión de tarjetas de autenticación (6) para emitir la tarjeta al usuario (8) esté situada en el mismo sitio que la estación de registro de usuario (5).
También puede ser útil tener un testigo fiable que identifique al usuario (8). Pero es difícil excluir mediante cualquier mecanismo, desde el principio, a una persona que pretenda ser otra persona.
Además, la tarjeta de autenticación no se emite necesariamente inmediatamente después de los procedimientos de registro, y puede ser enviada por correo posteriormente a la dirección del usuario a efectos de confirmar los datos que ha declarado el usuario.
Además, la estación de registro de usuario (RG) (5) y la estación de emisión de tarjetas de autenticación (IS) (6) pueden pertenecer a la autoridad de registro autorizada (PRA) (1).
Además, un emisor puede llevar a cabo los procedimientos de registro/emisión en cualquier lugar si el emisor lleva un terminal portátil que tenga las mismas funciones que las dispuestas en la estación de registro de usuario (RG) (5) y la estación de emisión de tarjetas de autenticación (IS) (6). El uso de dicho terminal portátil debería estar limitado únicamente a los emisores que han sido auténticamente autorizados por la autoridad de registro autorizada (PRA). Incluso en ese caso, nunca le está permitido al emisor utilizar el terminal portátil sin pasar un estricto examen y recibir un certificado de emisor.
La siguiente sección describe, conjuntamente con la figura 6, un ejemplo del proceso de autenticación de la identificación del usuario utilizando una tarjeta de autenticación de usuario (7) en un terminal de acceso a la autenticación (4).
Cuando un usuario (8) presenta su tarjeta de autenticación (7) y solicita una transacción en un terminal de acceso a la autenticación (4), se inserta la tarjeta de autenticación de usuario (7) en la ranura de tarjeta (unidad de entrada/salida) (401) del dispositivo de autenticación (41) del terminal de acceso a la autenticación (4) para leer la información de autenticación de la tarjeta de autenticación de usuario (7). La información de autenticación comprende la información para confirmar la autenticidad de la tarjeta y los datos de la individualidad biológica a utilizar en la autenticación de la identificación del usuario.
En el terminal de acceso de autenticación (4), se autentica primero la tarjeta (S21). La autenticación de la tarjeta confirma que la tarjeta de autenticación de usuario (7) es auténtica, es decir, que la tarjeta está adaptada al sistema de autenticación de usuario para su uso en el terminal de acceso a la autenticación (4) y que la persona es el auténtico propietario de la tarjeta. Si la tarjeta de autenticación de usuario (7) no está adaptada al sistema de autenticación, no se aceptará ninguna transacción en el terminal de acceso a la autenticación (4) desde el principio.
Se debe observar que, a efectos de confirmar que no se accede a la tarjeta de autenticación de usuario (7) mediante un dispositivo no autorizado se puede disponer de un mecanismo en el que un programa en la tarjeta de autenticación de usuario (7) verifica si el dispositivo de autenticación (41) está cualificado para la propia tarjeta de autenticación, y si el dispositivo no es adecuado, la tarjeta de autenticación rechaza la divulgación de los contenidos almacenados.
Cuando la tarjeta de autenticación de usuario (7) ha superado la autenticación, se requiere posteriormente que el usuario (8) muestre la misma individualidad biológica que el usuario depositó cuando obtuvo la tarjeta de autenticación de usuario (7), por ejemplo, firmar en la casilla (unidad de entrada de identidad personal) (403) (S22).
Los datos de la individualidad biológica introducidos desde la tableta (403) se comprueban con los datos de la individualidad biológica registrados en la tarjeta de autenticación de usuario (7), que es, por ejemplo, un 60% de los datos de la individualidad biológica del usuario, y se valora si el usuario (8) de la ventanilla es al auténtico propietario de la tarjeta de autenticación de usuario (7) o no (S23). El resultado de la autenticación de usuario se muestra en la pantalla (404) (S24).
Los posteriores procedimientos en el terminal de acceso a la autenticación (4) varían según si el usuario se ha autenticado o no (S25). Si la autenticación del usuario es negativa, el terminal de acceso a la autenticación (4) rechazará cualquier transacción (S33). Si la autenticación del usuario es afirmativa, se comprueba si se requerirá una autenticación adicional en línea o no desde las instituciones de autenticación superiores (S26). Si no se necesita ninguna autenticación en línea, el terminal de acceso a la autenticación (4) puede aceptar la transacción solicitada por el usuario (8) enseguida (S32).
La presencia o ausencia de petición y la profundidad de la petición para la autenticación en línea puede ser introducida por un operador o por el usuario (8) con la unidad de especificación del nivel de autenticación (402) en cada transacción, o puede ser fijado automáticamente basándose en la naturaleza de la transacción o del dinero de la transacción.
Si se necesita la autenticación en línea, se envía una petición para un cierto nivel de autenticación a la autoridad de certificación final (3), conjuntamente con la información de la tarjeta de autenticación de usuario (7) y la información de la identidad personal obtenida en la unidad de entrada de identidad personal (403) (S27). La información de la identidad personal a enviar puede ser una parte, por ejemplo el 40%, de la información de la identidad personal, excluyendo la parte utilizada en el terminal de acceso a la autenticación (4), de manera que se puede reducir la cantidad de información intercambiada entre el terminal de acceso a la autenticación (4) y la autoridad de certificación final (3).
La necesidad de la autenticación en línea se debe determinar según el nivel de seguridad requerido basándose en la naturaleza de la transacción. Específicamente, las transacciones comerciales sobre bienes altamente realizables o bienes caros, la divulgación de información personal y similares requieren la autenticación segura; dichas transacciones deben requerir la autenticación de usuario de las autoridades superiores.
El nivel de la autenticación en línea también puede ser especificado por la naturaleza del terminal de acceso a la autenticación (4). Por ejemplo, en la recepción de un hospital, a menudo se puede requerir un alto nivel de autenticación de la identificación personal para proteger la privacidad de una persona y asegurar un tratamiento médico preciso. Especialmente, en el caso de tratamientos médicos a distancia, es preferente requerir la autenticación de usuario por parte de las autoridades superiores.
La información enviada a la autoridad de certificación final (3) se comprueba con la información de la identidad característica del usuario (8), la información de la identidad almacenada en la memoria (31) (S28), y los resultados de la autenticación se envían al terminal de acceso a la autenticación (4) (S29).
Dado que la autoridad de certificación final (3) sólo tiene el registro del 30% de la información de identidad del usuario, si la autenticación de usuario en la autoridad de certificación final (3) es insuficiente, se requerirá la autenticación de usuario adicional de la autoridad de certificación de políticas (2). Dado que la autoridad de certificación de políticas (2) sólo tiene el registro del 10% de la información de identidad de cada usuario, la autoridad de certificación de políticas (3) utiliza el 10% de la información de la identidad obtenida en el terminal de acceso a la autenticación (4), de manera que la información a enviar desde la autoridad de certificación final (3) a la autoridad de certificación de políticas (2) puede verse vastamente reducida.
Los resultados de la autenticación de usuario de la autoridad de certificación de políticas (2) se envían de nuevo al terminal de acceso a la autenticación (4) a través de la autoridad de certificación final (3).
Los resultados de la autenticación de usuario de todas las instalaciones de autenticación se integran en una salida total resultante y se muestran en la pantalla de autenticación (404). Si el resultado total satisface la autenticación de usuario, se acepta la transacción (S32) y, si no la satisface, se rechaza la transacción (S33).
Cuando se deniega la autenticación de usuario, existe la posibilidad de algún fraude, tal como la falsificación de registros o el enmascaramiento del usuario. En este caso, es preferible enviar la información a la autoridad de registro autorizada (1) y analizar las dificultades y sus causas.
Dado que la autoridad de registro autorizada (1) almacena los registros protegidos que son difíciles de violar o falsificar desde el exterior, los registros de la autoridad de registro autorizada pueden ser comparados con la entrada de datos en el terminal de acceso a la autenticación (4) para dejar claro dónde tuvieron lugar las condiciones anormales entre la tarjeta de autenticación de usuario (7), la autoridad de certificación final (3) y la autoridad de certificación de políticas (2).
Si los contenidos de la tarjeta de autenticación de usuario (7) no coinciden con la información introducida por el usuario (8), se debe considerar que la tarjeta de autenticación de usuario (7) fue a parar a manos inadecuadas, tales como en el caso en el que otra persona que no es el auténtico usuario cogió o robó la tarjeta de autenticación de usuario (7) o en el que los datos de la tarjeta de autenticación de usuario fueron reescritos debido a un acceso no autorizado.
La siguiente sección describe una segunda realización de un sistema de autenticación de usuario según la invención.
El sistema de autenticación de usuario tal como se pone en práctica en la segunda realización difiere del de la primera realización únicamente en que la tarjeta de autenticación de usuario tiene una función de operación para comprobar los datos de la individualidad biológica del usuario con la información de identidad registrada en la misma, en lugar de utilizar la unidad aritmética lógica dispuesta en el terminal de acceso a la autenticación para comprobar los datos de la individualidad biológica introducidos desde la entrada de identidad personal con los datos de la individualidad biológica registrados en la tarjeta de autenticación de usuario. Haciendo referencia ahora a los mismos dibujos que se han utilizado para describir la primera realización, únicamente se describen las partes diferentes a la primera realización.
En una tarjeta IC utilizada aquí como la tarjeta de autenticación de usuario (7), se pueden montar ciertos elementos tales como la unidad central de proceso (75) y la memoria RAM (76) para tener una cierta función de operación.
En el sistema de la realización, un usuario (8) que desea recibir servicios en un terminal de acceso a la autenticación (4) introduce sus propios datos de la individualidad biológica a través del dispositivo de autenticación de usuario (41). Los datos de la individualidad biológica se procesan posteriormente en consecuencia, convertidos en una forma digitalizada y se envían a la tarjeta de autenticación de usuario (7).
La tarjeta de autenticación de usuario (7) almacena los datos de la información introducidos en la memoria RAM (76) temporalmente. La unidad central de proceso (75) lee entonces los datos de la información biológica del usuario autorizado desde la memoria EEPROM (79) y compara los datos de información almacenados temporalmente en la memoria RAM (76) con los datos de información leídos desde la memoria EEPROM (79). Si la comparación muestra que todos los puntos de similitud entre cualquiera de los datos de información se encuentran dentro de un rango aceptable, la persona que está solicitando los servicios en el terminal de acceso a la autenticación (4) se autentica como el verdadero propietario de la tarjeta de autenticación de usuario (7), y se notifica al terminal de acceso a la autenticación (4) de su aceptación. Si la persona no ha superado la autenticación, se le notifica al terminal de acceso a la autenticación (4) de su rechazo.
Tras la aceptación del resultado de la autenticación de la tarjeta de autenticación de usuario (7), el terminal de acceso a la autenticación (4) ofrece los servicios deseados al usuario (8). Si se necesita una autenticación más concienzuda, el terminal de acceso a la autenticación (4) pide a la autoridad de certificación final (3) o a la autoridad de certificación de políticas (2) que autentique adicionalmente a la persona según los resultados de la autenticación de las autoridades superiores. Se debe observar que el terminal de acceso a la autenticación (4) puede estar combinado con la autoridad de certificación final (3).
Aunque las proporciones de la distribución de los datos de información biológica entre los puntos relacionados se pueden determinar de manera arbitraria, es ventajoso asignar un mayor porcentaje de datos de la información biológica para una autenticación de menor nivel tal como se muestra en la primera realización. Esto hace posible reducir la carga de comunicación de la totalidad del sistema y, por tanto, mejorar la operabilidad del sistema. Por tanto, es preferible asignar a la tarjeta de autenticación de usuario (7) más del 60% de los datos de la información biológica.
En la realización, el sistema hace uso de una tarjeta IC inteligente como tarjeta de autenticación de usuario (7) no sólo para reducir la carga de cálculo del dispositivo de autenticación de usuario (41), sino también disminuir el coste del dispositivo. Por tanto, un menor coste para preparar las instalaciones en el terminal de acceso a la autenticación (4) disminuye las barreras para que los clientes se asocien al sistema, mejorando de esta manera la disponibilidad.
Además, dado que todo el procesamiento de la información se completa en el interior de la tarjeta de autenticación de usuario, se puede disponer la tarjeta de autenticación con un área de lectura prohibida para registrar información importante tal como datos de autenticación que prohíbe el acceso de partes externas. Esto hace posible evitar que se pierda información secreta y, por tanto, mejora la seguridad.
Aplicabilidad industrial
Tal como se ha descrito anteriormente, el sistema de autenticación de usuario según la invención comprueba la información de identidad directamente introducida por el usuario en el terminal de acceso a la autenticación con los datos de la individualidad biológica almacenados en la tarjeta de autenticación. Posteriormente, cuando se requiere un mayor nivel de autenticación, parte de la información de identidad se envía a la autoridad de certificación superior para autenticar la identificación personal. Así pues, la mayoría de las etapas de procesamiento de la información se llevan a cabo en la terminal de acceso a la autenticación sin pesadas cargas en los canales de comunicación, de manera que se puede obtener la autenticación del usuario según el nivel de seguridad requerido. Además, se puede dividir la información de identidad y esto hace posible establecer un sistema de autenticación de usuario altamente resistente a ataques.

Claims (7)

1. Sistema de autenticación de usuario que comprende una estación de registro (5) dotada de un dispositivo de adquisición de información (51) para obtener unos primeros datos de la individualidad biológica para distinguir la individualidad de un usuario (8), una estación de emisión de tarjetas de autenticación (6) que emite al usuario (8) una tarjeta de autenticación de usuario (7) registrada con una parte dividida de los primeros datos de la individualidad biológica, un terminal de acceso a la autenticación (4) dotado de un lector de tarjetas de autenticación (41) para leer la información de la tarjeta de autenticación de usuario (7) y un dispositivo de adquisición de identidad (42, 403) para introducir unos segundos datos de la individualidad biológica del usuario (8) que deben ser comparados con los primeros datos de la individualidad biológica a efectos de autenticación y al menos una autoridad de certificación (2, 3) que está conectada al terminal de acceso a la autenticación (4) a través de un canal de comunicación de información, en el que la autoridad de certificación (2, 3) conserva el registro de la parte restante de los primeros datos de la individualidad biológica que se han obtenido en la estación de registro (5) pero que no se han registrado en la tarjeta de autenticación de usuario (7), los contenidos registrados en la tarjeta de autenticación de usuario (7) leídos por el lector de tarjetas de autenticación (41) son comparados con los segundos datos de la individualidad biológica del usuario (8) obtenidos in situ a través del dispositivo de adquisición de identidad (42, 403) para autenticar la identificación del usuario (8) en el terminal de acceso a la autenticación (4) y, si se requiere un mayor nivel de autenticación, la autoridad de certificación (2, 3) compara los segundos datos de individualidad biológica del usuario (8) obtenidos en el terminal de acceso a la autenticación (4) con la parte de los primeros datos de individualidad biológica que faltan en la tarjeta de autenticación de usuario (7) en respuesta a la consulta del terminal de acceso a la autenticación (4) y envía el resultado de la comparación al terminal de acceso a la autenticación (4) para una autenticación adicional.
2. Sistema de autenticación de usuario, según la reivindicación 1, en el que la tarjeta de autenticación de usuario (7) tiene una función de cálculo y la función de cálculo ejecuta el cálculo de autenticar la identificación personal en el terminal de acceso a la autenticación (4).
3. Sistema de autenticación de usuario, según la reivindicación 2, en el que se efectúa el cifrado de la información intercambiada a través del canal de comunicación de la información.
4. Sistema de autenticación de usuario, según cualquiera de las reivindicaciones 1 a 3, en el que dos o más autoridades de certificación (2, 3) registran de manera dividida parte de los datos de individualidad biológica obtenidos en la estación de registro (5) pero que no están registrados en la tarjeta de autenticación de usuario (7) y una autoridad de certificación (3) compara los datos de individualidad biológica del usuario introducidos en el terminal de acceso a la autenticación (4) con la parte de los datos de individualidad biológica almacenados en la autoridad de certificación (3) en respuesta a la consulta del terminal de acceso a la autenticación (4) u otra autoridad de certificación para una autenticación adicional.
5. Sistema de autenticación de usuario, según cualquiera de las reivindicaciones 1 a 4, en el que la autoridad de certificación está dispuesta con un dispositivo de memoria (21, 31) para registrar los datos de la individualidad biológica obtenidos en la estación de registro (5).
6. Sistema de autenticación de usuario, según cualquiera de las reivindicaciones 1 a 5, en el que se registran diversos tipos de datos de la individualidad biológica de manera que se pueden llevar a cabo diferentes transacciones en respuesta al tipo de datos introducidos.
7. Sistema de autenticación de usuario, según la reivindicación 1, en el que el sistema tiene un dispositivo que comprende un lector de tarjetas de autenticación (41) para leer la información registrada en una tarjeta IC de autenticación (7), un dispositivo de adquisición de identidad (42, 403) para introducir los datos de individualidad biológica de un usuario (8), un dispositivo de valoración (413) para comprobar los datos de individualidad biológica de la tarjeta IC de autenticación leídos por el lector (41) de tarjetas de autenticación frente a los datos de individualidad biológica introducidos in situ a través del dispositivo de adquisición de identidad (42, 403) y para valorar la aceptación del usuario (8), una unidad de comunicación (414) para transmitir al menos una parte de los datos de individualidad biológica del usuario introducidos a través de la unidad de adquisición de identidad a una autoridad de certificación (2, 3) externa y recibir un resultado de autenticación de la autoridad de certificación (2, 3) y un dispositivo de visualización (404) para mostrar un resultado de la valoración.
ES99921166T 1998-05-21 1999-05-19 Sistema de tarjeta de autenticacion con autoridad de certificacion en posicion alejada. Expired - Lifetime ES2303375T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP10-139563 1998-05-21
JP10139563A JP3112076B2 (ja) 1998-05-21 1998-05-21 ユーザ認証システム

Publications (1)

Publication Number Publication Date
ES2303375T3 true ES2303375T3 (es) 2008-08-01

Family

ID=15248188

Family Applications (1)

Application Number Title Priority Date Filing Date
ES99921166T Expired - Lifetime ES2303375T3 (es) 1998-05-21 1999-05-19 Sistema de tarjeta de autenticacion con autoridad de certificacion en posicion alejada.

Country Status (8)

Country Link
US (1) US6990588B1 (es)
EP (1) EP1085424B1 (es)
JP (1) JP3112076B2 (es)
CN (1) CN1322446C (es)
DE (1) DE69938500T2 (es)
EA (1) EA002175B1 (es)
ES (1) ES2303375T3 (es)
IL (1) IL134102A0 (es)

Families Citing this family (261)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU777437B2 (en) * 1999-12-07 2004-10-14 Sun Microsystems, Inc. Secure photo carrying identification device, as well as means and method for authenticating such an identification device
US6453301B1 (en) 2000-02-23 2002-09-17 Sony Corporation Method of using personal device with internal biometric in conducting transactions over a network
US8271321B1 (en) * 2000-06-05 2012-09-18 Buildinglink.com, LLC Apparatus and method for providing building management information
JP2001245342A (ja) 2000-02-28 2001-09-07 Nec Corp 移動通信システム及び移動通信システム動作方法。
US7284125B2 (en) 2000-03-23 2007-10-16 Tietech Co. Ltd. Method and apparatus for personal identification
JP2001313636A (ja) * 2000-04-28 2001-11-09 Sony Corp 認証システム、認証方法、認証装置及びその方法
AU2001272784A1 (en) * 2000-07-25 2002-02-05 Asahi Business Assist Limited Secret information recorded medium, secret information protection method, secretinformation protective storing method, and system for reporting emergency such as theft or confinement when secret information is accessed
US7137008B1 (en) * 2000-07-25 2006-11-14 Laurence Hamid Flexible method of user authentication
US9098685B2 (en) 2000-07-25 2015-08-04 Activcard Ireland Limited Flexible method of user authentication
US7552333B2 (en) 2000-08-04 2009-06-23 First Data Corporation Trusted authentication digital signature (tads) system
WO2002013444A2 (en) * 2000-08-04 2002-02-14 First Data Corporation Trusted authentication digital signature (tads) system
JP2002140530A (ja) * 2000-08-25 2002-05-17 Aioi Insurance Co Ltd 保険認証システム及び保険認証方法
JP3706801B2 (ja) * 2000-09-01 2005-10-19 キヤノン株式会社 認証票発行システムと方法及び認証票発行装置
DE10052201B8 (de) 2000-10-20 2005-06-30 Carl Zeiss Meditec Ag Verfahren und Vorrichtung zur Identifizierung eines Patienten und eines Operationsgebietes
US6950939B2 (en) 2000-12-08 2005-09-27 Sony Corporation Personal transaction device with secure storage on a removable memory device
JP2002175379A (ja) * 2000-12-08 2002-06-21 Dainippon Printing Co Ltd 手続システム
US7251633B2 (en) 2000-12-11 2007-07-31 Sony Corporation Method or system for executing deferred transactions
US7765163B2 (en) 2000-12-12 2010-07-27 Sony Corporation System and method for conducting secure transactions over a network
US7328276B2 (en) * 2000-12-18 2008-02-05 Coranet Solutions, Llc Computer oriented record administration system
US20020095588A1 (en) * 2001-01-12 2002-07-18 Satoshi Shigematsu Authentication token and authentication system
US20020124190A1 (en) 2001-03-01 2002-09-05 Brian Siegel Method and system for restricted biometric access to content of packaged media
JP2002258745A (ja) * 2001-03-06 2002-09-11 Sony Corp 電子署名装置
JP2003173430A (ja) * 2001-09-28 2003-06-20 Sharp Corp Icカード、スクランブル解除装置、サーバ装置、身体的特徴読取装置、許可者判定方法、許可者登録方法、度数管理方法、許可者判定プログラム、許可者登録プログラム、度数管理プログラム、およびそのプログラムを記録したコンピュータ読取可能な記録媒体
JP3668175B2 (ja) * 2001-10-24 2005-07-06 株式会社東芝 個人認証方法、個人認証装置および個人認証システム
US20030156740A1 (en) * 2001-10-31 2003-08-21 Cross Match Technologies, Inc. Personal identification device using bi-directional authorization for access control
JP2003223414A (ja) * 2001-11-21 2003-08-08 Matsushita Electric Ind Co Ltd 属性情報保護システムと装置とコンピュータプログラム
FR2834366B1 (fr) * 2001-12-28 2004-08-20 Ct D Echanges De Donnees Et D Carte a puce autoverrouillable, dispositif de securisation d'une telle carte et procedes associes
US7204425B2 (en) * 2002-03-18 2007-04-17 Precision Dynamics Corporation Enhanced identification appliance
FR2841070B1 (fr) * 2002-06-17 2005-02-04 Cryptolog Procede et dispositif d'interface pour echanger de maniere protegee des donnees de contenu en ligne
US7334130B2 (en) * 2002-07-19 2008-02-19 Bowers Charles R Method and apparatus for managing confidential information
CN1592811A (zh) * 2002-07-31 2005-03-09 索尼株式会社 集体住宅的公用入口设备、集体住宅的居住单元门电话设备、居住单元存储箱管理设备、和通信系统
US7212114B2 (en) * 2002-07-31 2007-05-01 Sony Corporation Communication apparatus
JP4143905B2 (ja) * 2002-08-28 2008-09-03 富士ゼロックス株式会社 画像形成システムおよびその方法
CZ2005209A3 (cs) * 2002-09-10 2005-12-14 Ivi Smart Technologies, Inc. Bezpečné biometrické ověření identity
US7219837B2 (en) * 2002-09-12 2007-05-22 Integrated Engineering B.V. Identification system
DE10249801B3 (de) * 2002-10-24 2004-05-06 Giesecke & Devrient Gmbh Verfahren zum Ausführen einer gesicherten elektronischen Transaktion unter Verwendung eines tragbaren Datenträgers
US7941849B2 (en) * 2003-03-21 2011-05-10 Imprivata, Inc. System and method for audit tracking
US20050223003A1 (en) * 2003-03-31 2005-10-06 Fujitsu Limited Collator and register
JPWO2004088591A1 (ja) * 2003-03-31 2006-07-06 富士通株式会社 照合装置及び登録装置
US6983882B2 (en) 2003-03-31 2006-01-10 Kepler, Ltd. Personal biometric authentication and authorization device
US7161465B2 (en) * 2003-04-08 2007-01-09 Richard Glee Wood Enhancing security for facilities and authorizing providers
US20080037842A1 (en) * 2003-05-08 2008-02-14 Srinivas Gutta Smart Card That Stores Invisible Signatures
KR20060018839A (ko) * 2003-05-08 2006-03-02 코닌클리즈케 필립스 일렉트로닉스 엔.브이. 인증 카드, 인증 시스템 및 거래 수행 방법
JP2005025337A (ja) * 2003-06-30 2005-01-27 Sony Corp 機器登録システム、機器登録サーバ、機器登録方法、機器登録プログラム、記憶媒体、及び端末機器
US20050039027A1 (en) * 2003-07-25 2005-02-17 Shapiro Michael F. Universal, biometric, self-authenticating identity computer having multiple communication ports
US20080148059A1 (en) * 2003-07-25 2008-06-19 Shapiro Michael F Universal, Biometric, Self-Authenticating Identity Computer Having Multiple Communication Ports
JP2005107668A (ja) * 2003-09-29 2005-04-21 Animo:Kk 生体認証方法及びプログラム並びに装置
JP4783150B2 (ja) * 2003-12-09 2011-09-28 パナソニック株式会社 認証システム、認証装置及び記録媒体
WO2005064547A1 (en) * 2003-12-24 2005-07-14 Telecom Italia S.P.A. User authentication method based on the utilization of biometric identification techniques and related architecture
CN1272519C (zh) * 2004-09-22 2006-08-30 王锐勋 随钥密码用后即清的电子锁装置和实现方法
WO2006035421A2 (en) * 2004-09-28 2006-04-06 Fibiotech-Advanced Technologies Ltd. Enhanced electronic financial system
JP4664644B2 (ja) * 2004-10-08 2011-04-06 富士通株式会社 生体認証装置及び端末
JP4672357B2 (ja) * 2004-12-20 2011-04-20 富士フイルム株式会社 認証システム
US8606590B2 (en) 2004-12-22 2013-12-10 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for providing personalized, just-in-time information services
KR100738297B1 (ko) * 2005-03-04 2007-07-12 후지쯔 가부시끼가이샤 대조 장치 및 등록 장치
JP2006268086A (ja) * 2005-03-22 2006-10-05 Fujitsu Ltd 生体認証取引装置、生体認証取引制御方法
JP4744180B2 (ja) * 2005-04-11 2011-08-10 グローリー株式会社 個人認証システム、制御サーバ及び個人認証方法
CN1322703C (zh) * 2005-05-16 2007-06-20 刘小鹏 多层密码生物自主认证卡及其系统、方法和认证电话机
JP2005322258A (ja) * 2005-05-25 2005-11-17 Canon Inc 認証票発行システム
WO2007010597A1 (ja) * 2005-07-19 2007-01-25 Fujitsu Limited 携帯端末装置、顔画像情報更新方法、顔画像情報更新プログラム、顔画像情報管理装置
JP4500760B2 (ja) * 2005-10-19 2010-07-14 日立オムロンターミナルソリューションズ株式会社 Icカード内認証システム
CN1988552B (zh) * 2005-12-20 2010-11-10 中国电信股份有限公司 一种自动识别与配置终端的方法
JP2007183767A (ja) * 2006-01-05 2007-07-19 Fujitsu Ltd 生体情報削除方法及びそのシステム
JP4983071B2 (ja) * 2006-03-31 2012-07-25 沖電気工業株式会社 自動取引システム
US8344851B2 (en) * 2006-05-31 2013-01-01 Samsung Electronics Co., Ltd. Method for providing remote mobile device access and control
JP4240502B2 (ja) 2006-06-27 2009-03-18 インターナショナル・ビジネス・マシーンズ・コーポレーション 対象から抽出した特徴に基づきその対象を認証する技術
US8161290B2 (en) * 2006-07-18 2012-04-17 At&T Intellectual Property I, L.P. Security for a personal communication device
US20080121682A1 (en) * 2006-11-29 2008-05-29 International Business Machines Corporation System and method to enhance security surrounding package delivery
JP2008158778A (ja) * 2006-12-22 2008-07-10 Fujitsu Ltd 個人認証プログラム、個人認証方法および個人認証システム
US7953895B1 (en) 2007-03-07 2011-05-31 Juniper Networks, Inc. Application identification
JP4746004B2 (ja) * 2007-05-14 2011-08-10 富士通株式会社 登録装置
JP2009053808A (ja) * 2007-08-24 2009-03-12 Fuji Xerox Co Ltd 画像形成装置と認証情報管理方法およびプログラム
JP5167791B2 (ja) * 2007-12-05 2013-03-21 日本電気株式会社 監視装置、監視方法、及び、監視プログラム
US20100070307A1 (en) * 2008-03-14 2010-03-18 Priyamvada Sinvhal-Sharma Insurance Verification, Eligibility, Referral and Precertification System and Method
TWI409710B (zh) * 2008-05-07 2013-09-21 President Chain Store Corp Storage method and system with secure identification certificate
CN101420436B (zh) * 2008-12-03 2011-10-05 腾讯科技(深圳)有限公司 网络服务系统的注册方法和注册系统
US20100235900A1 (en) * 2009-03-13 2010-09-16 Assa Abloy Ab Efficient two-factor authentication
EP2228746A1 (en) * 2009-03-13 2010-09-15 Assa Abloy Ab Realization of access control conditions as boolean expressions in credential authentications
EP2406749B1 (en) * 2009-03-13 2018-06-13 Assa Abloy Ab Transfer device for sensitive material such as a cryptographic key
US9032058B2 (en) * 2009-03-13 2015-05-12 Assa Abloy Ab Use of SNMP for management of small footprint devices
MX2009009050A (es) * 2009-08-24 2009-12-07 Pedro Pablo Garcia Perez Método para realizar una firma electrobiométrica complementada para identificación e interacción jurídica de personas.
JP5476086B2 (ja) 2009-10-16 2014-04-23 フェリカネットワークス株式会社 Icチップ、情報処理装置およびプログラム
CN101949240A (zh) * 2010-08-19 2011-01-19 潘明 智能锁控制管理方法
JP5923727B2 (ja) * 2010-10-12 2016-05-25 パナソニックIpマネジメント株式会社 情報処理システム
US9734645B2 (en) 2010-10-15 2017-08-15 The Chamberlain Group, Inc. Method and apparatus pertaining to message-based functionality
US8776171B2 (en) * 2011-03-07 2014-07-08 Ricoh Co., Ltd. Generating log with location and accelerometer history
US20120313754A1 (en) * 2011-06-13 2012-12-13 X-Card Holdings, Llc Biometric smart card reader
CN102271039A (zh) * 2011-06-20 2011-12-07 软库创投(北京)科技有限公司 支付处理系统和方法及装置
TW201317827A (zh) * 2011-10-27 2013-05-01 Hon Hai Prec Ind Co Ltd 門禁管理系統及方法
US8819802B2 (en) * 2012-04-10 2014-08-26 The Boeing Company User authentication
US9727862B2 (en) * 2012-05-08 2017-08-08 Visa International Service Association System and method for authentication using payment protocol
CN102708331A (zh) * 2012-05-17 2012-10-03 江苏中科梦兰电子科技有限公司 一种bios级别的安全认证装置和安全认证方法
CN102801529B (zh) * 2012-08-27 2015-11-04 飞天诚信科技股份有限公司 一种卡片安全通讯的方法
CN103297238B (zh) * 2013-05-14 2015-10-28 成都天钥科技有限公司 身份认证系统
US20160132890A1 (en) * 2013-05-31 2016-05-12 ID Mission Point of transaction device with multi-factor authentication
US9934373B1 (en) * 2014-01-24 2018-04-03 Microstrategy Incorporated User enrollment and authentication
CN104090365A (zh) 2014-06-18 2014-10-08 京东方科技集团股份有限公司 快门眼镜、显示装置、显示系统及显示方法
US9424406B2 (en) * 2014-09-09 2016-08-23 International Business Machines Corporation Asset protection based on redundantly associated trusted entitlement verification
EP3284182B1 (en) 2015-04-14 2020-11-04 Capital One Services, LLC Automated bluetooth pairing
US9324205B1 (en) * 2015-04-20 2016-04-26 Rockwell Collins, Inc. Managing personnel access employing a distributed access control system with security enhancements for improved user awareness to aid in decision making
CN108027951A (zh) * 2015-09-03 2018-05-11 武礼伟仁株式会社 一种多功能卡及卡结算终端及卡结算系统
TW201712641A (zh) * 2015-09-25 2017-04-01 Fortune Electric Co Ltd 管控設備登錄使用者卡片號碼之方法
CN105629154B (zh) * 2015-12-25 2019-01-25 大唐微电子技术有限公司 一种实现芯片顶层金属覆盖电路测试的方法及装置
US10817593B1 (en) * 2015-12-29 2020-10-27 Wells Fargo Bank, N.A. User information gathering and distribution system
CN106384411B (zh) * 2016-09-30 2020-06-12 国网浙江省电力公司宁波供电公司 一种无线锁具系统与开锁方法
US10515361B2 (en) 2016-12-28 2019-12-24 Capital One Services, Llc Smart card secure online checkout
US11315114B2 (en) 2016-12-28 2022-04-26 Capital One Services, Llc Dynamic transaction card protected by multi-factor authentication
CN107395365B (zh) * 2017-08-04 2020-07-31 中国信息安全测评中心 一种卡片片上系统及安全认证方法
US11783647B2 (en) 2017-12-21 2023-10-10 Skeleton Key Systems, LLC System and method for securing, releasing, and managing inventory
US11373176B2 (en) 2018-02-22 2022-06-28 Wells Fargo Bank, N.A. Systems and methods for federated identity management
CN108600213B (zh) * 2018-04-19 2020-02-11 孔德键 复合型身份认证方法及应用该方法的复合型身份认证系统
WO2019224935A1 (ja) * 2018-05-23 2019-11-28 三菱電機株式会社 入退場管理装置
US10546444B2 (en) 2018-06-21 2020-01-28 Capital One Services, Llc Systems and methods for secure read-only authentication
GB2575087A (en) * 2018-06-28 2020-01-01 Zwipe As Biometric Enrolment
CN108961503A (zh) * 2018-06-29 2018-12-07 郑州中博奥信息技术有限公司 档案库房查询导引方法
CN109118671A (zh) * 2018-08-22 2019-01-01 海发(宁波)办公设备有限公司 一种全自动保管箱租赁管理方法和系统
US11216806B2 (en) 2018-09-19 2022-01-04 Capital One Services, Llc Systems and methods for providing card interactions
US10592710B1 (en) 2018-10-02 2020-03-17 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10554411B1 (en) 2018-10-02 2020-02-04 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10686603B2 (en) 2018-10-02 2020-06-16 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
JP2022502901A (ja) 2018-10-02 2022-01-11 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニーCapital One Services, LLC 非接触カードの暗号化認証のためのシステムおよび方法
US11210664B2 (en) 2018-10-02 2021-12-28 Capital One Services, Llc Systems and methods for amplifying the strength of cryptographic algorithms
US10542036B1 (en) 2018-10-02 2020-01-21 Capital One Services, Llc Systems and methods for signaling an attack on contactless cards
US10565587B1 (en) 2018-10-02 2020-02-18 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10909527B2 (en) 2018-10-02 2021-02-02 Capital One Services, Llc Systems and methods for performing a reissue of a contactless card
CA3115084A1 (en) 2018-10-02 2020-04-09 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10579998B1 (en) 2018-10-02 2020-03-03 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
SG11202101221WA (en) 2018-10-02 2021-03-30 Capital One Services Llc Systems and methods for cryptographic authentication of contactless cards
US10582386B1 (en) 2018-10-02 2020-03-03 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
KR20210066798A (ko) 2018-10-02 2021-06-07 캐피탈 원 서비시즈, 엘엘씨 비접촉식 카드의 암호화 인증을 위한 시스템 및 방법
US10607214B1 (en) 2018-10-02 2020-03-31 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10771254B2 (en) 2018-10-02 2020-09-08 Capital One Services, Llc Systems and methods for email-based card activation
WO2020072529A1 (en) 2018-10-02 2020-04-09 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10783519B2 (en) 2018-10-02 2020-09-22 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10505738B1 (en) 2018-10-02 2019-12-10 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
CA3115142A1 (en) 2018-10-02 2020-04-09 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
CA3115064A1 (en) 2018-10-02 2020-04-09 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10511443B1 (en) 2018-10-02 2019-12-17 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10771253B2 (en) 2018-10-02 2020-09-08 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10581611B1 (en) 2018-10-02 2020-03-03 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10489781B1 (en) 2018-10-02 2019-11-26 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US10733645B2 (en) 2018-10-02 2020-08-04 Capital One Services, Llc Systems and methods for establishing identity for order pick up
US10949520B2 (en) 2018-10-02 2021-03-16 Capital One Services, Llc Systems and methods for cross coupling risk analytics and one-time-passcodes
US10841091B2 (en) 2018-10-02 2020-11-17 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
CA3115252A1 (en) 2018-10-02 2020-04-09 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
JP7682093B2 (ja) 2018-10-02 2025-05-23 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー 非接触カードの暗号化認証のためのシステムおよび方法
CA3114753A1 (en) 2018-10-02 2020-04-09 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
US11195355B1 (en) * 2018-10-31 2021-12-07 Wells Fargo Bank, N.A. Secure container mutual authentication
US10354058B1 (en) 2018-11-21 2019-07-16 Capital One Services, Llc Systems and methods for safely storing an object
US10664830B1 (en) 2018-12-18 2020-05-26 Capital One Services, Llc Devices and methods for selective contactless communication
US20200226581A1 (en) 2019-01-11 2020-07-16 Capital One Services, Llc Systems and methods for touch screen interface interaction using a card overlay
US11037136B2 (en) 2019-01-24 2021-06-15 Capital One Services, Llc Tap to autofill card data
WO2020152840A1 (ja) * 2019-01-25 2020-07-30 光伸 廣瀬 証明書認定システム、証明書認定方法及びプログラム
US10467622B1 (en) 2019-02-01 2019-11-05 Capital One Services, Llc Using on-demand applications to generate virtual numbers for a contactless card to securely autofill forms
US11120453B2 (en) 2019-02-01 2021-09-14 Capital One Services, Llc Tap card to securely generate card data to copy to clipboard
US10510074B1 (en) 2019-02-01 2019-12-17 Capital One Services, Llc One-tap payment using a contactless card
US10425129B1 (en) 2019-02-27 2019-09-24 Capital One Services, Llc Techniques to reduce power consumption in near field communication systems
US10523708B1 (en) 2019-03-18 2019-12-31 Capital One Services, Llc System and method for second factor authentication of customer support calls
US10643420B1 (en) 2019-03-20 2020-05-05 Capital One Services, Llc Contextual tapping engine
US10984416B2 (en) 2019-03-20 2021-04-20 Capital One Services, Llc NFC mobile currency transfer
US10535062B1 (en) 2019-03-20 2020-01-14 Capital One Services, Llc Using a contactless card to securely share personal data stored in a blockchain
US10438437B1 (en) 2019-03-20 2019-10-08 Capital One Services, Llc Tap to copy data to clipboard via NFC
US10970712B2 (en) 2019-03-21 2021-04-06 Capital One Services, Llc Delegated administration of permissions using a contactless card
US10467445B1 (en) 2019-03-28 2019-11-05 Capital One Services, Llc Devices and methods for contactless card alignment with a foldable mobile device
US11521262B2 (en) 2019-05-28 2022-12-06 Capital One Services, Llc NFC enhanced augmented reality information overlays
US10516447B1 (en) 2019-06-17 2019-12-24 Capital One Services, Llc Dynamic power levels in NFC card communications
US11392933B2 (en) 2019-07-03 2022-07-19 Capital One Services, Llc Systems and methods for providing online and hybridcard interactions
US11694187B2 (en) 2019-07-03 2023-07-04 Capital One Services, Llc Constraining transactional capabilities for contactless cards
US10871958B1 (en) 2019-07-03 2020-12-22 Capital One Services, Llc Techniques to perform applet programming
US12086852B2 (en) 2019-07-08 2024-09-10 Capital One Services, Llc Authenticating voice transactions with payment card
US10713649B1 (en) 2019-07-09 2020-07-14 Capital One Services, Llc System and method enabling mobile near-field communication to update display on a payment card
US10885514B1 (en) 2019-07-15 2021-01-05 Capital One Services, Llc System and method for using image data to trigger contactless card transactions
US10498401B1 (en) 2019-07-15 2019-12-03 Capital One Services, Llc System and method for guiding card positioning using phone sensors
US10832271B1 (en) 2019-07-17 2020-11-10 Capital One Services, Llc Verified reviews using a contactless card
US10733601B1 (en) 2019-07-17 2020-08-04 Capital One Services, Llc Body area network facilitated authentication or payment authorization
US11182771B2 (en) 2019-07-17 2021-11-23 Capital One Services, Llc System for value loading onto in-vehicle device
US11521213B2 (en) 2019-07-18 2022-12-06 Capital One Services, Llc Continuous authentication for digital services based on contactless card positioning
US10506426B1 (en) 2019-07-19 2019-12-10 Capital One Services, Llc Techniques for call authentication
US10541995B1 (en) 2019-07-23 2020-01-21 Capital One Services, Llc First factor contactless card authentication system and method
WO2021066823A1 (en) 2019-10-02 2021-04-08 Capital One Services, Llc Client device authentication using contactless legacy magnetic stripe data
US11432149B1 (en) 2019-10-10 2022-08-30 Wells Fargo Bank, N.A. Self-sovereign identification via digital credentials for selected identity attributes
US10885410B1 (en) 2019-12-23 2021-01-05 Capital One Services, Llc Generating barcodes utilizing cryptographic techniques
US11651361B2 (en) 2019-12-23 2023-05-16 Capital One Services, Llc Secure authentication based on passport data stored in a contactless card
US10733283B1 (en) 2019-12-23 2020-08-04 Capital One Services, Llc Secure password generation and management using NFC and contactless smart cards
US10862540B1 (en) 2019-12-23 2020-12-08 Capital One Services, Llc Method for mapping NFC field strength and location on mobile devices
US11113685B2 (en) 2019-12-23 2021-09-07 Capital One Services, Llc Card issuing with restricted virtual numbers
US11615395B2 (en) 2019-12-23 2023-03-28 Capital One Services, Llc Authentication for third party digital wallet provisioning
US10657754B1 (en) 2019-12-23 2020-05-19 Capital One Services, Llc Contactless card and personal identification system
US11200563B2 (en) 2019-12-24 2021-12-14 Capital One Services, Llc Account registration using a contactless card
US10664941B1 (en) 2019-12-24 2020-05-26 Capital One Services, Llc Steganographic image encoding of biometric template information on a card
US10853795B1 (en) 2019-12-24 2020-12-01 Capital One Services, Llc Secure authentication based on identity data stored in a contactless card
US10757574B1 (en) 2019-12-26 2020-08-25 Capital One Services, Llc Multi-factor authentication providing a credential via a contactless card for secure messaging
US10909544B1 (en) 2019-12-26 2021-02-02 Capital One Services, Llc Accessing and utilizing multiple loyalty point accounts
US11038688B1 (en) 2019-12-30 2021-06-15 Capital One Services, Llc Techniques to control applets for contactless cards
US10860914B1 (en) 2019-12-31 2020-12-08 Capital One Services, Llc Contactless card and method of assembly
US11455620B2 (en) 2019-12-31 2022-09-27 Capital One Services, Llc Tapping a contactless card to a computing device to provision a virtual number
US11210656B2 (en) 2020-04-13 2021-12-28 Capital One Services, Llc Determining specific terms for contactless card activation
US10915888B1 (en) 2020-04-30 2021-02-09 Capital One Services, Llc Contactless card with multiple rotating security keys
US11222342B2 (en) 2020-04-30 2022-01-11 Capital One Services, Llc Accurate images in graphical user interfaces to enable data transfer
US10861006B1 (en) 2020-04-30 2020-12-08 Capital One Services, Llc Systems and methods for data access control using a short-range transceiver
US11823175B2 (en) 2020-04-30 2023-11-21 Capital One Services, Llc Intelligent card unlock
US11030339B1 (en) 2020-04-30 2021-06-08 Capital One Services, Llc Systems and methods for data access control of personal user data using a short-range transceiver
US11615392B2 (en) 2020-05-01 2023-03-28 Capital One Services, Llc Systems and methods for using information from wearable devices
US10963865B1 (en) 2020-05-12 2021-03-30 Capital One Services, Llc Augmented reality card activation experience
US11100511B1 (en) 2020-05-18 2021-08-24 Capital One Services, Llc Application-based point of sale system in mobile operating systems
US11063979B1 (en) 2020-05-18 2021-07-13 Capital One Services, Llc Enabling communications between applications in a mobile operating system
US11062098B1 (en) 2020-08-11 2021-07-13 Capital One Services, Llc Augmented reality information display and interaction via NFC based authentication
US12165149B2 (en) 2020-08-12 2024-12-10 Capital One Services, Llc Systems and methods for user verification via short-range transceiver
US11165586B1 (en) 2020-10-30 2021-11-02 Capital One Services, Llc Call center web-based authentication using a contactless card
US11482312B2 (en) 2020-10-30 2022-10-25 Capital One Services, Llc Secure verification of medical status using a contactless card
US11373169B2 (en) 2020-11-03 2022-06-28 Capital One Services, Llc Web-based activation of contactless cards
CN114648828B (zh) * 2020-12-21 2023-11-21 京东方科技集团股份有限公司 一种门禁管理方法、系统、电子设备及非瞬态可存储介质
US11216799B1 (en) 2021-01-04 2022-01-04 Capital One Services, Llc Secure generation of one-time passcodes using a contactless card
WO2022163525A1 (ja) * 2021-01-26 2022-08-04 富士フイルム株式会社 認証システム、認証システムの作動方法、認証システムの作動プログラム
US11682012B2 (en) 2021-01-27 2023-06-20 Capital One Services, Llc Contactless delivery systems and methods
US11562358B2 (en) 2021-01-28 2023-01-24 Capital One Services, Llc Systems and methods for near field contactless card communication and cryptographic authentication
US11792001B2 (en) 2021-01-28 2023-10-17 Capital One Services, Llc Systems and methods for secure reprovisioning
US11687930B2 (en) 2021-01-28 2023-06-27 Capital One Services, Llc Systems and methods for authentication of access tokens
US11438329B2 (en) 2021-01-29 2022-09-06 Capital One Services, Llc Systems and methods for authenticated peer-to-peer data transfer using resource locators
US11777933B2 (en) 2021-02-03 2023-10-03 Capital One Services, Llc URL-based authentication for payment cards
US11637826B2 (en) * 2021-02-24 2023-04-25 Capital One Services, Llc Establishing authentication persistence
US12143515B2 (en) 2021-03-26 2024-11-12 Capital One Services, Llc Systems and methods for transaction card-based authentication
US11245438B1 (en) 2021-03-26 2022-02-08 Capital One Services, Llc Network-enabled smart apparatus and systems and methods for activating and provisioning same
US12160419B2 (en) 2021-04-15 2024-12-03 Capital One Services, Llc Authenticated messaging session with contactless card authentication
US11935035B2 (en) 2021-04-20 2024-03-19 Capital One Services, Llc Techniques to utilize resource locators by a contactless card to perform a sequence of operations
US11961089B2 (en) 2021-04-20 2024-04-16 Capital One Services, Llc On-demand applications to extend web services
US11902442B2 (en) 2021-04-22 2024-02-13 Capital One Services, Llc Secure management of accounts on display devices using a contactless card
US11354555B1 (en) 2021-05-04 2022-06-07 Capital One Services, Llc Methods, mediums, and systems for applying a display to a transaction card
US12301735B2 (en) 2021-06-18 2025-05-13 Capital One Services, Llc Systems and methods for contactless card communication and multi-device key pair cryptographic authentication
US12335412B2 (en) 2021-06-21 2025-06-17 Capital One Services, Llc Systems and methods for scalable cryptographic authentication of contactless cards
US12041172B2 (en) 2021-06-25 2024-07-16 Capital One Services, Llc Cryptographic authentication to control access to storage devices
US12061682B2 (en) 2021-07-19 2024-08-13 Capital One Services, Llc System and method to perform digital authentication using multiple channels of communication
US12495042B2 (en) 2021-08-16 2025-12-09 Capital One Services, Llc Systems and methods for resetting an authentication counter
US12062258B2 (en) 2021-09-16 2024-08-13 Capital One Services, Llc Use of a payment card to unlock a lock
US12069173B2 (en) 2021-12-15 2024-08-20 Capital One Services, Llc Key recovery based on contactless card authentication
US12166750B2 (en) 2022-02-08 2024-12-10 Capital One Services, Llc Systems and methods for secure access of storage
US12354077B2 (en) 2022-06-23 2025-07-08 Capital One Services, Llc Mobile web browser authentication and checkout using a contactless card
US12596780B2 (en) 2022-06-27 2026-04-07 Capital One Services, LLC. Techniques to perform dynamic call center authentication utilizing a contactless card
CN115394001B (zh) * 2022-07-29 2024-04-26 北京旷视科技有限公司 身份认证系统、方法、电子设备和计算机可读介质
US12511654B2 (en) 2022-08-08 2025-12-30 Capital One Services, Llc Systems and methods for bypassing contactless payment transaction limit
US12354104B2 (en) 2022-08-09 2025-07-08 Capital One Services, Llc Methods and arrangements for proof of purchase
US12505450B2 (en) 2022-08-17 2025-12-23 Capital One Services, Llc Systems and methods for dynamic data generation and cryptographic card authentication
US12289396B2 (en) 2022-08-18 2025-04-29 Capital One Services, Llc Parallel secret salt generation and authentication for encrypted communication
US12592828B2 (en) 2023-01-06 2026-03-31 Capital One Services, Llc System and method for parallel manufacture and verification of one-time-password authentication cards
US12147983B2 (en) 2023-01-13 2024-11-19 Capital One Services, Llc Systems and methods for multi-factor authentication using device tracking and identity verification
US12519652B2 (en) 2023-02-24 2026-01-06 Capital One Services, Llc System and method for dynamic integration of user-provided data with one-time-password authentication cryptogram
US12592819B2 (en) 2023-02-28 2026-03-31 Capital One Services, Llc Membership account management using a contactless card
US12248832B2 (en) 2023-03-07 2025-03-11 Capital One Services, Llc Systems and methods for steganographic image encoding and identity verification using same
US12335256B2 (en) 2023-03-08 2025-06-17 Capital One Services, Llc Systems and methods for device binding authentication
US12591875B2 (en) 2023-03-10 2026-03-31 Capital One Services, Llc Systems and methods of contactless card as one authentication factor for multiple factor authentication
US12248928B2 (en) 2023-03-13 2025-03-11 Capital One Services, Llc Systems and methods of secure merchant payment over messaging platform using a contactless card
US12511640B2 (en) 2023-03-13 2025-12-30 Capital One Services, Llc Systems and methods of managing password using contactless card
US12124903B2 (en) 2023-03-16 2024-10-22 Capital One Services, Llc Card with a time-sensitive element and systems and methods for implementing the same
US12299672B2 (en) 2023-03-30 2025-05-13 Capital One Services, Llc System and method for authentication with transaction cards
US12499432B2 (en) 2023-04-06 2025-12-16 Capital One Services, Llc Techniques to perform operations with a contactless card when in the presence of a trusted device
US12591876B2 (en) 2023-04-07 2026-03-31 Capital One Services, Llc Systems and methods for launching a mobile application or a browser extension responsive to satisfying predetermined conditions
US12200135B2 (en) 2023-06-13 2025-01-14 Capital One Services, Llc Contactless card-based authentication via web-browser
US12505448B2 (en) 2023-08-09 2025-12-23 Capital One Services, Llc Systems and methods for fraud prevention in mobile application verification device enrollment process
US12511638B2 (en) 2023-09-07 2025-12-30 Capital One Services, Llc Assignment of near-field communications applets
US12580767B2 (en) 2023-10-31 2026-03-17 Capital One Services, LLC. Transmission of secure and authenticated data over a network
US12580752B2 (en) 2024-01-03 2026-03-17 Capital One Services, Llc Systems and methods for generating shared secret key for transaction cards

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5755468A (en) 1980-09-19 1982-04-02 Hitachi Ltd Individual discrimination system
KR900000116B1 (ko) * 1985-03-01 1990-01-20 미쓰비시 뎅기 가부시끼가이샤 개인 식별 시스템(system)
JPH01224888A (ja) 1988-03-04 1989-09-07 Nec Corp サイン確認ターミナル
JPH04160674A (ja) 1990-10-25 1992-06-03 Nec Corp Icカード印鑑照合方式
CA2068814A1 (en) 1991-07-19 1993-01-20 Winston Lowell Nelson Method for controlling a system, using signature verification
JPH06259451A (ja) 1993-01-11 1994-09-16 Kyocera Corp 署名照合装置および方法
JPH0728755A (ja) * 1993-07-08 1995-01-31 Toshiba Corp 個人認証装置
US5457747A (en) 1994-01-14 1995-10-10 Drexler Technology Corporation Anti-fraud verification system using a data card
US5513272A (en) 1994-12-05 1996-04-30 Wizards, Llc System for verifying use of a credit/identification card including recording of physical attributes of unauthorized users
US6424249B1 (en) * 1995-05-08 2002-07-23 Image Data, Llc Positive identity verification system and method including biometric user authentication
US5815252A (en) * 1995-09-05 1998-09-29 Canon Kabushiki Kaisha Biometric identification process and system utilizing multiple parameters scans for reduction of false negatives
BR9808737A (pt) * 1997-05-09 2001-01-16 Gte Cyber Trust Solutions Inc Certificados biométricos
US6484260B1 (en) * 1998-04-24 2002-11-19 Identix, Inc. Personal identification system
US6167518A (en) * 1998-07-28 2000-12-26 Commercial Electronics, Llc Digital signature providing non-repudiation based on biological indicia

Also Published As

Publication number Publication date
EP1085424B1 (en) 2008-04-09
HK1031936A1 (en) 2001-06-29
EP1085424A1 (en) 2001-03-21
EA002175B1 (ru) 2002-02-28
CN1322446C (zh) 2007-06-20
JP3112076B2 (ja) 2000-11-27
CN1272188A (zh) 2000-11-01
DE69938500D1 (de) 2008-05-21
EA200000145A1 (ru) 2000-10-30
EP1085424A4 (en) 2005-01-19
DE69938500T2 (de) 2008-09-18
US6990588B1 (en) 2006-01-24
IL134102A0 (en) 2001-04-30
JPH11338826A (ja) 1999-12-10

Similar Documents

Publication Publication Date Title
ES2303375T3 (es) Sistema de tarjeta de autenticacion con autoridad de certificacion en posicion alejada.
US7278026B2 (en) Method and system for the generation, management, and use of a unique personal identification token for in person and electronic identification and authentication
ES2213774T3 (es) Sistema de identificacion sin indicacion.
US6985887B1 (en) Apparatus and method for authenticated multi-user personal information database
US8461961B2 (en) Tamper-proof secure card with stored biometric data and method for using the secure card
US5457747A (en) Anti-fraud verification system using a data card
US5412727A (en) Anti-fraud voter registration and voting system using a data card
US20050225430A1 (en) System and method for biometric-based fraud protection
US20020095588A1 (en) Authentication token and authentication system
EP0960395B1 (en) Identity card, information carrier and housing designed for its application
CA2781425C (en) Identification card
JP2000132658A (ja) 認証icカード
ZA200207218B (en) Anti-fraud charge/data card.
JP4890774B2 (ja) 金融取引システム
US20090278660A1 (en) Credit card protection system
CN102265311B (zh) 识别标记
ES2631002B1 (es) Dispositivo para facilitar transacciones financieras, procedimiento e instalación correspondientes
WO1999060485A1 (en) Authentication card system
JP3090265B2 (ja) 認証icカード
KR980004164A (ko) 지문 인식 기술을 응용한 신용카드 등의 사용 보안 시스템
JPS63136296A (ja) 個人認証用カ−ド
JPH09106456A (ja) カード利用における本人確認方法及びicカードを用いた本人確認システム並びに当該システムに用いるicカード
JP2002041813A (ja) 個人認証システム
Alliance Smart Cards and Biometrics in Privacy-Sensitiv Secure Personal Identification System
Awodele et al. Combating automated teller machine frauds through biometrics