ES2960397T3 - Procedimiento para verificar una autenticación biométrica - Google Patents

Procedimiento para verificar una autenticación biométrica Download PDF

Info

Publication number
ES2960397T3
ES2960397T3 ES19165675T ES19165675T ES2960397T3 ES 2960397 T3 ES2960397 T3 ES 2960397T3 ES 19165675 T ES19165675 T ES 19165675T ES 19165675 T ES19165675 T ES 19165675T ES 2960397 T3 ES2960397 T3 ES 2960397T3
Authority
ES
Spain
Prior art keywords
server
biometric data
terminal
data
processing means
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES19165675T
Other languages
English (en)
Inventor
Cyril Porteret
Christophe Soumah
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia Identity and Security France SAS
Original Assignee
Idemia Identity and Security France SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Idemia Identity and Security France SAS filed Critical Idemia Identity and Security France SAS
Application granted granted Critical
Publication of ES2960397T3 publication Critical patent/ES2960397T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/25Means to switch the anti-theft system on or off using biometry
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00563Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys using personal physical data of the operator, e.g. finger prints, retinal images, voicepatterns
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/94Hardware or software architectures specially adapted for image or video understanding
    • G06V10/95Hardware or software architectures specially adapted for image or video understanding structured as a network, e.g. client-server architectures
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00388Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks code verification carried out according to the challenge/response method
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00412Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal being encrypted
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/08With time considerations, e.g. temporary activation, valid time window or time limitations

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Multimedia (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Lock And Its Accessories (AREA)
  • Telephonic Communication Services (AREA)

Abstract

La invención propone un método para controlar remotamente un equipo de cierre (2) de un vehículo (20) a través de un terminal móvil (1) que comprende medios de procesamiento de datos (11) configurados para implementar una función de datos criptográficos y medios de adquisición biométrica (14), el móvil estando conectado el terminal (1) al equipo de cierre (2) así como a un servidor (3) a través de una red (10), caracterizándose el método porque comprende la implementación de las etapas de: (a) Transmisión desde el terminal (1) al servidor (3) de una solicitud de autenticación al equipo de cierre (2); (b) Adquisición de datos biométricos candidatos por los medios de adquisición (14); (c) Verificación por los medios de procesamiento de datos (31) del servidor (3) o los medios de procesamiento de datos (11) del terminal (1) de que los datos biométricos candidatos coinciden con los datos biométricos de referencia; (d) Transmisión al terminal móvil (1) desde el servidor (3) de una clave virtual cifrada del equipo de cierre (2); (e) Autenticación del terminal móvil (1) al equipo de cierre (2) utilizando dicha función criptográfica y dicha clave virtual cifrada del equipo de bloqueo (2). (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Procedimiento para verificar una autenticación biométrica
Campo de la invención
La invención se refiere a un procedimiento para controlar de manera remota un equipo de bloqueo de un vehículo vía un terminal móvil, que comprende la comparación entre un dato biométrico candidato y al menos un dato biométrico de referencia.
Técnica anterior
Alquilar un vehículo hoy en día lleva algo de tiempo. Después de una reserva por teléfono u online, es generalmente necesario que el arrendador y el usuario se reúnan en el lugar de encuentro el día del alquiler para proceder a trámites administrativos y entregar las llaves.
Por ejemplo, el usuario se acerca al mostrador y proporciona una identificación y un permiso de conducir de manera a validar la reserva. Si todo está bien, se le entregan las llaves y se le indica la ubicación del vehículo después de hacerle firmar un inventario.
Ahora bien, es frecuente que los usuarios lleguen en grupos a las agencias tras el aterrizaje de un avión o la llegada de un tren, lo que genera una larga espera que no agrada a los usuarios.
De manera a ahorrar tiempo, se han propuesto mecanismos de desbloqueo remoto del vehículo tal y como se describe en el documento WO2016/102888.
Más precisamente, un terminal móvil del usuario carga una llave virtual del vehículo y requiere desbloquear el vehículo vía este terminal móvil. En respuesta, una caja de control colocada en el vehículo verifica la llave virtual cargada (vía un mecanismo de autenticación de desafío-respuesta) y, si es necesario, concede la solicitud.
Este mecanismo aporta satisfacción y evita que el arrendador tenga que acercarse físicamente hasta el vehículo y entregar las llaves, pero no permite evitar por completo los trámites administrativos. En efecto, el documento WO2016/102888 explica claramente que es el propietario (es decir, el arrendador) quien autoriza al usuario emitiendo una solicitud de certificación asociando un identificador del terminal móvil del usuario y la matrícula del vehículo, en respuesta a la cual se le proporciona la llave virtual.
En la práctica, esta solución permite anticipar la fase administrativa. Por ejemplo, el usuario puede acudir a la agencia varios días antes del inicio del alquiler para aportar el documento de identidad y el permiso de conducir, y el personal de la agencia puede iniciar directamente el trámite para la entrega de la llave virtual. En efecto, basta con asegurarse de que la llave virtual sólo sea válida desde la hora de inicio del alquiler (así, el usuario no podrá utilizarla para desbloquear el vehículo antes). Además, esta llave virtual no es un elemento físico, por lo tanto no supone ningún problema que pueda ser proporcionada a varios usuarios.
El usuario que sale de su tren o avión podrá así dirigirse directamente al vehículo sin hacer cola en la agencia. Sin embargo, sería deseable simplificar aún más el procedimiento a fin de evitar la necesidad de autorización manual del usuario, mejorando al mismo tiempo su seguridad. Los documentos US 2017/174180 y FR 3050853 se consideran como documentos relevantes en el ámbito del control de acceso basado en la autenticación biométrica.
Presentación de la invención
La invención se define en las reivindicaciones independientes 1,9, 10 y 11.
Según un primer aspecto, la invención se refiere a un procedimiento para controlar de manera remota un equipo de bloqueo de un vehículo vía un terminal móvil que comprende medios de procesamiento de datos configurados para implementar una función criptográfica dada y medios para la adquisición biométrica, estando el terminal móvil conectado al equipo de bloqueo, así como a un servidor vía una red, caracterizándose el procedimiento por que comprende la implementación de las etapas de:
(a) Transmitir desde el terminal al servidor una solicitud de autenticación al equipo de bloqueo;
(b) Adquirir un dato biométrico candidato por los medios de adquisición;
(c) Verificar mediante medios de procesamiento de datos del servidor o medios de procesamiento de datos del terminal que el dato biométrico candidato coincide con un dato biométrico de referencia;
(d) Transmitir al terminal móvil desde el servidor un encriptado de la llave virtual del equipo de bloqueo;
(e) autenticaricar el terminal móvil en el equipo de bloqueo gracias a dicha función criptográfica y dicho encriptado de la llave virtual del equipo de bloqueo.
Según otras características ventajosas y no limitativas:
• el terminal móvil comprende medios de almacenamiento de datos que almacenan una implementación de caja blanca de dicha función criptográfica;
• la etapa (d) comprende el cifrado de la llave virtual del equipo de bloqueo en función de una clave secreta del servidor, siendo dicha función criptográfica dada en función de dicha clave secreta del servidor;
• la etapa (a) comprende la generación previa de dicha implementación de caja blanca de la función criptográfica por los medios de procesamiento de datos del servidor en función de dicha clave secreta del servidor, y la carga de dicha implementación de caja blanca de dicha función criptográfica;
• el procedimiento comprende una etapa (a0) previa de carga de al menos un documento oficial;
• dicha implementación de caja blanca se genera tras la verificación por los medios de procesamiento de datos del servidor de dicho documento oficial;
• la etapa (a0) comprende la generación por los medios de procesamiento de datos del servidor o los medios de procesamiento de datos del terminal del dato biométrico de referencia a partir de un rasgo biométrico de referencia asociado con dicho documento oficial;
• la etapa (a0) comprende además cargar al menos dos documentos oficiales de los cuales un permiso de conducir y un documento de identidad;
• la etapa (b) comprende además la transmisión de dicho dato candidato al servidor, teniendo el servidor dicho dato biométrico de referencia, y siendo la etapa (c) implementada por los medios de procesamiento de datos del servidor;
• el terminal dispone de dicho dato de biométrico de referencia, siendo la etapa (c) implementada por los medios de procesamiento de datos del terminal, y comprendiendo además:
- la generación por los medios de procesamiento de datos del terminal de una prueba de divulgación nula de conocimiento de que el dato biométrico candidato y el dato biométrico de referencia coinciden; y
- la transmisión de dicha prueba de divulgación nula de conocimiento al servidor, para su verificación por los medios de procesamiento de datos del servidor;
• el servidor dispone de una huella criptográfica del dato biométrico de referencia, comprendiendo además la etapa (c) la transmisión al servidor de dicha huella criptográfica del dato biométrico de referencia, para su comparación mediante los medios de procesamiento de datos del servidor;
• la etapa (e) comprende desactivar el equipo de bloqueo para permitir el uso del vehículo;
• la etapa (e) comprende emitir un desafío desde el equipo de bloqueo, determinar una respuesta a dicho desafío por parte de los medios de procesamiento de datos del terminal mediante la aplicación de dicha función criptográfica a la llave virtual cifrada y al desafío;
• el terminal móvil y el vehículo comprenden cada uno medios de geolocalización, comprendiendo además la etapa (e) verificar que el terminal móvil y el vehículo tienen posiciones cercanas;
• el vehículo comprende además medios de adquisición biométrica, comprendiendo además el procedimiento una etapa (f) de:
- Adquirir un dato biométrico de confirmación por los medios de adquisición, y transmitir al servidor o al terminal; y
- Verificar por los medios de procesamiento de datos del servidor o los medios de procesamiento de datos del terminal de que el dato biométrico de referencia coincide con el dato biométrico candidato y/o el dato biométrico de referencia;
• El procedimiento comprende repetir la etapa (f);
• los medios de adquisición biométrica consisten en medios de adquisición óptica, siendo dichos datos biométricos una fotografía del usuario;
• la llave virtual está asociada a un intervalo de tiempo de validez, la etapa (e) sólo puede implementarse durante dicho intervalo de tiempo de validez.
Según un segundo aspecto, se propone un conjunto de un terminal móvil y de un servidor para el control remoto de un equipo de bloqueo de un vehículo, estando conectado así como el equipo de bloqueo vía una red, comprendiendo el terminal medios de procesamiento de datos configurados para implementar una función criptográfica dada y medios de adquisición biométrica, comprendiendo el servidor medios de procesamiento de datos,
caracterizado por que los medios de procesamiento de datos del terminal y/o los medios de procesamiento de datos del servidor están configurados para:
• Transmitir desde el terminal al servidor una solicitud de autenticación al equipo de bloqueo;
• Adquirir un dato biométrico candidato mediante los medios de adquisición;
• Verificar que el dato biométrico candidato coincide con el dato biométrico de referencia;
• Transmitir al terminal móvil desde el servidor un cifrado de llave virtual del equipo de bloqueo;
• autenticar el terminal móvil con el equipo de bloqueo gracias a dicha función criptográfica y dicho cifrado de llave virtual del equipo de bloqueo.
Según otras características ventajosas y no limitativas, el conjunto comprende además el equipo de bloqueo.
Según un tercer y un cuarto aspecto, la invención propone un producto de programa informático que comprende instrucciones de código para ejecutar un procedimiento según el primer aspecto de control remoto del equipo de bloqueo de un vehículo; y un medio de almacenamiento legible por un equipo informático en el que un producto de programa informático comprende instrucciones de código para ejecutar un procedimiento según el primer aspecto del control remoto del equipo de bloqueo de un vehículo.
Descripción de las figuras
Otras características, objetivos y ventajas de la presente invención aparecerán con la lectura de la descripción detallada que sigue, con referencia a las figuras adjuntas, dadas a título de ejemplos no limitativos y en las que:
• La Figura 1 representa esquemáticamente un sistema para implementar el procedimiento según la invención.
Descripción detallada de al menos una realización de la invención
Arquitectura
En referencia a la Figura 1, se ha representado esquemáticamente un sistema para el control remoto del equipo de bloqueo 2 de un vehículo 20. Por "bloqueo" se entiende aquí un bloqueo funcional, es decir cualquier forma de impedir el uso del vehículo 20. En particular, el bloqueo puede ser un bloqueo físico (de las puertas, pero también del volante, de la palanca de cambios, etc.), o de software (bloqueo de arranque, por ejemplo). Cabe señalar que puede tratarse de una combinación de una u otra de estos bloqueos.
De manera general, se entenderá que el presente procedimiento tiene como objetivo "desactivar" el equipo de bloqueo 2 para permitir el uso del vehículo 20.
Este sistema comprende al menos tres equipos 1, 2, 3. El primer equipo 1 es un equipo personal para un individuo, como por ejemplo su teléfono móvil, como se explica a continuación. El segundo equipo 2 es el equipo de bloqueo ya descrito. Se coloca en el vehículo 20. Se trata típicamente de una caja electrónica conectada a una Unidad de Control Electrónico del vehículo 20 que gestiona el funcionamiento del vehículo (controles de arranque, apertura centralizada de las puertas, del motor, etc.) y/o al menos un accionador específico (por ejemplo, una mordaza que bloquea la palanca de cambios), capaz de emitir una orden para bloquear/desbloquear el vehículo. El tercer equipo 3 es un servidor que pertenece y está controlado por una denominada entidad de confianza (por ejemplo, una empresa de alquiler de vehículos o un proveedor externo de solución de seguridad). Cabe señalar que el servidor 3 podría colocarse en el vehículo 20 y, como tal, puede conectarse por cable al equipo de bloqueo 2, o incluso confundirse con él.
El terminal 1 comprende medios de procesamiento de datos 11, es decir, un calculador tal como, por ejemplo, un procesador, un microprocesador, un controlador, un microcontrolador, una FPGA, etc. Este calculador está adaptado para ejecutar instrucciones de código para implementar el procedimiento siguiente.
El terminal 1 comprende ventajosamente una interfaz de comunicación que le permite comunicarse a distancia con el equipo 2 y el servidor 3.
El terminal 1 también puede comprender medios de almacenamiento de datos 12 (una memoria, por ejemplo flash), una interfaz de usuario 13 (típicamente una pantalla táctil) y medios de adquisición biométrica 14 (véase más abajo).
Esta interfaz de comunicación es preferentemente la combinación de una interfaz de comunicación inalámbrica, por ejemplo del tipo Wifi o Bluetooth o de una red de telefonía móvil (GPRS, 3G, 4G u otra) y cualquier otra red de comunicación aguas abajo.
Los medios de datos 11 del terminal 1 están configurados para implementar una función criptográfica dada. Esta función, de la cual se verá más adelante que puede ser proporcionada por el servidor 3, en particular en forma de una implementación de caja blanca (también denominada implementación de caja blanca) cargada en la memoria 12, utiliza una clave secreta (también denominada clave privada) y tiene como objetivo permitir la gestión segura de una llave virtual del equipo 2. Más precisamente, por analogía con la llave física de un vehículo que permite abrir las puertas y arrancar el motor, la llave virtual permite desactivar el bloqueo debido al equipo 2. Más precisamente, el control del equipo 2 por el terminal 1 requiere que este último acredite el reconocimiento de su llave virtual, como se verá más adelante. El experto en la técnica puede basar esto en cualquier función de clave secreta tales como AES o Triple DES.
El servidor 3 puede almacenar en su memoria 32 una base de datos de llaves virtuales, cada una asociada a un equipo 2. Cabe señalar que una pluralidad de llaves virtuales puede estar disponible para cada uno de los equipos 2 de manera a poder planificar varios alquileres con el mismo vehículo. Los diferentes usuarios que alquilen el vehículo 20 en varios momentos se les asignarán varias llaves, de manera preferida cada una asociada a un intervalo de tiempo de validez (de modo que un usuario no pueda utilizar la llave fuera del periodo de alquiler previsto).
Los otros equipos 2, 3 también comprenden medios de procesamiento de datos 21, 31, es decir, un calculador tal como, por ejemplo, un procesador, un microprocesador, un controlador, un microcontrolador, una FPGA, etc. Este calculador es adecuado para ejecutar instrucciones de código para implementar el procedimiento siguiente.
Los otros equipos 2, 3 comprenden ventajosamente también interfaces de comunicación que les permiten comunicarse a distancia entre sí y con el terminal 1.
De manera preferida, el terminal 1 y/o el servidor 3 son capaces de generar un dato biométrico a partir de un rasgo biométrico de un individuo. El rasgo biométrico puede ser, por ejemplo, la forma de la cara o uno o más iris del individuo. La extracción del dato biométrico se implementa mediante el procesamiento de la imagen del rasgo biométrico que depende de la naturaleza del rasgo biométrico. Procesamientos de imágenes diversos para extraer datos biométricos son conocidos por el experto en la técnica. A modo de ejemplo no limitativo, la extracción del dato biométrico puede comprender una extracción de puntos particulares o de una forma del rostro en el caso en el que la imagen es una imagen del rostro del individuo.
El terminal 1 comprende para ello medios de adquisición biométrica 14, típicamente un sensor de imagen, por ejemplo una cámara digital o una videocámara digital, adaptado para adquirir al menos una imagen de un rasgo biométrico de un individuo.
De manera muy ventajosa, el terminal 1 descrito anteriormente es un dispositivo electrónico personal del individuo, por ejemplo un teléfono móvil o "smartphone", una tableta electrónica o incluso un ordenador personal.
Cabe señalar que en una realización preferida que se describirá más adelante, el vehículo 20 también puede estar equipado 1 con medios de adquisición biométrica 24 del mismo tipo que los del terminal 1, en particular conectados directamente al equipo 2. Así, estos medios 24 pueden tomar la forma de una pequeña cámara colocada en el habitáculo para observar la cara del conductor (por ejemplo en el salpicadero). Cabe señalar que los vehículos 20 equipados con una cámara de este tipo ya son conocidos por adquirir imágenes de la cara del conductor, en particular para detectar indicios de sueño (parpadeo de los párpados, caída hacia delante de la cabeza, etc.).
Como se verá más adelante, el terminal 1 o el servidor 3 implementa una autenticación del individuo, es decir compara un dato biométrico denominado candidato, recién adquirido sobre el individuo, con un único biométrico denominado de referencia, que se supone proviene del mismo individuo, con el fin de verificar que el individuo a partir del cual se obtuvieron los dos datos es efectivamente el mismo.
En este caso, el dato biométrico de referencia utilizado para la autenticación es ventajosamente un dato registrado en un documento de identidad del individuo. Por ejemplo, el dato biométrico puede ser una imagen del rostro que aparece en un documento de identidad, o incluso una imagen del rostro o al menos un iris del individuo registrado en un chip de radiofrecuencia contenido en el documento.
En una primera realización, el servidor 3 dispone del dato biométrico de referencia y el terminal 1 le transfiere el dato biométrico candidato para que pueda realizar la autenticación.
En una segunda realización, el servidor 3 no dispone de datos biométricos, de manera a garantizar la privacidad de los usuarios. Así, como se verá más adelante, es el terminal 1 el que realiza por sí mismo la autenticación.
En los dos casos, el uso del terminal 1 para proporcionar un dato biométrico candidato y la implementación de una comparación con un dato biométrico de referencia permite a un individuo llevar a cabo el mismo la autenticación antes de presentar el resultado al segundo equipo 2. Así, la etapa administrativa que requiere mucho tiempo de presentación a un mostrador ya no es necesaria.
Inscripción
En una realización preferida, el procedimiento comprende una etapa previa de (a0) "inscripción" que permite poner a disposición el dato biométrico de referencia sobre el terminal 1 o en el servidor 3 (según cuál realizará la comparación). Esta etapa se puede implementar mucho antes que el resto del procedimiento, y no necesita ser reiterada cada vez que ocurre el procedimiento (por ejemplo, se puede prever una vez al año). También se puede llevar a cabo de forma concomitante con la primera etapa (a) del propio procedimiento de autenticación que se describirá más adelante.
Típicamente, esta etapa comprende:
° cargar un documento de referencia, ya sea simplemente en el terminal 1 o bien en el servidor 3 después de la retransmisión por el terminal 1;
° generar mediante los medios de procesamiento de datos 11 del terminal 1 (o los medios de procesamiento de datos 31 del servidor 3) el dato biométrico de referencia a partir de un rasgo de referencia biométrico asociado a un documento oficial.
En la medida en que se tiene como objetivo alquilar un vehículo 20, preferentemente se cargan al menos dos documentos oficiales, entre ellos el permiso de conducción y un documento de identidad tal como un pasaporte o un documento de identidad.
En el caso en el que es el terminal 1 el que almacene el dato biométrico de referencia, la etapa (a0) también puede comprender la generación de una huella criptográfica del dato biométrico de referencia, y eventualmente la obtención de una firma del dato biométrico de referencia, para su transmisión al servidor 3. El objetivo es poder, si es el terminal 1 el que lleva a cabo la autenticación, garantizar que el terminal dispone de un dato biométrico de referencia fiable y no falsificado.
Por “huella criptográfica” de un dato biométrico (también denominado “condensado” o “hash” del dato, del inglés “hash”), obtenida aplicando una función de hash criptográfica al dato (típicamente familias SHA-1 o SHA-2, en particular SHA-256). La huella tiene un tamaño fijo y no revela nada sobre el dato de donde procede: no se puede encontrar el dato biométrico a partir de esta huella, en cualquier caso siempre que la función de hash utilizada se considere como segura. Sin embargo, se puede recalcular la huella a partir del dato para comprobar que es correcta. La huella del dato biométrico puede así transmitirse a cualquier equipo sin revelar información sobre el propio dato y, por lo tanto, sobre la vida privada del usuario.
La primera parte se puede llevar a cabo de muchas formas. Por ejemplo, el usuario puede recuperar directamente en su terminal 1 el rasgo biométrico registrado en un chip de radiofrecuencia contenido en el documento (si el terminal 1 dispone de un lector de radiofrecuencia de tipo NFC), tomar una fotografía de este documento con sus medios 14, o también una fotografía de sí mismo, en su caso, en presencia de un representante de la autoridad (por ejemplo, en un mostrador de un ayuntamiento).
La obtención de la firma requiere ventajosamente que los datos biométricos generados como datos de referencia sean validados por una autoridad de control.
Así, de manera conocida, la obtención de la firma del dato biométrico de referencia en la etapa (a0) comprende preferentemente la transmisión (por el terminal 1 o el servidor 3) a una entidad de autoridad del documento oficial (o como mínimo de una fotografía), del dato biométrico de referencia, y de la huella criptográfica del dato biométrico de referencia, y la recepción a cambio de la firma del dato biométrico de referencia, después de la verificación.
Esta verificación se puede llevar a cabo de muchas maneras, y consiste simplemente en verificar que el documento oficial es auténtico, que el dato biométrico de referencia presentado para su verificación es coherente con el documento oficial y que la huella dactilar es efectivamente la de los datos presentados. Si hay varios documentos oficiales, se asegura de que cada uno de ellos sea válido, pero sólo es necesario obtener el dato biométrico de referencia de uno de ellos.
La firma electrónica del dato permite garantizar su integridad de forma definitiva (sin repudiación), por analogía con la firma manuscrita de un documento de papel, y es bien conocida por el experto en la técnica. Es generada por la entidad de autoridad a partir de la huella criptográfica del dato biométrico de referencia, y consiste generalmente en un cifrado de la huella criptográfica del dato biométrico de referencia. Para ello, de manera conocida, los medios de procesamiento de datos de la entidad de autoridad aplican, por ejemplo, una función de cifrado asimétrico a la huella y la retransmite así cifrada como firma.
En una realización, el servidor 3 puede actuar como una autoridad confiable.
De manera general, se entenderá que la etapa (a0) se puede implementar de cualquier manera que permite proporcionar de forma segura al terminal 1 el dato biométrico de referencia ventajosamente firmado por una autoridad, por ejemplo gubernamental.
En el caso en el que la función criptográfica se implementa de manera de caja blanca, preferiblemente dicha implementación de caja blanca se genera después de la verificación por los medios de procesamiento de datos 31 del servidor 3 de dicho documento oficial, y se transmite al terminal 1 para su almacenamiento en la memoria 12.
Se vuelve a repetir que por “implementación de caja blanca” se entiende una implementación de la función criptográfica que hace imposible la extracción de secretos o claves, incluso en caso de ataque que permite al atacante un acceso completo a la implementación software del algoritmo. Más precisamente, una función se considera como “caja blanca” cuando sus mecanismos son visibles y permiten comprender su funcionamiento. En otras palabras, se asume directamente que el atacante tiene acceso a todo lo que desea (el binario es completamente visible y modificable por el atacante y éste tiene control total de la plataforma de ejecución). Por lo tanto, la implementación en sí es la única línea de defensa.
En el presente caso, dicha función criptográfica tiene una clave secreta, y por lo tanto por implementación de caja blanca se entiende una representación de la función que no permite volver a los estados internos o a los parámetros cuando se ejecuta la operación (por aplicación de la implementación de caja blanca a los datos de entrada), en otras palabras evita tener dicha clave secreta en texto claro, por ejemplo representando el cálculo mediante una tabla. En otras palabras, la clave secreta se "oculta" en la implementación de caja blanca de la función criptográfica.
Así, de manera particularmente preferida, los medios de procesamiento de datos 31 del servidor generan una clave secreta asociada de manera única con el terminal 1, generan la implementación de caja blanca de la función criptográfica para esta clave secreta, y la almacenan en vista a su uso posterior para cifrar una llave virtual del equipo 2 (véase más abajo).
Cabe señalar que el concepto de “verificación del documento oficial” por parte del servidor 3 debe tomarse en sentido amplio. Si el servidor 3 no realiza la generación del dato biométrico de referencia (y por lo tanto no tiene acceso al documento oficial), puede tratarse de la verificación de la firma del dato biométrico de referencia (transmitida por el terminal 1), en particular con una llave de autoridad proporcionada a servidor 3.
Más precisamente, los medios de procesamiento de datos 31 del servidor 31 descifrarán la firma con esta clave, y verificarán que el resultado es efectivamente la huella criptográfica también transmitida.
De manera general, esta etapa (a0) se puede implementar vía una aplicación instalada en el terminal 1. En el primer inicio, la aplicación requiere la carga del o de los documentos oficiales, gestiona su verificación y la obtención del dato biométrico de referencia, y finaliza con la solicitud al servidor 3 de la implementación de caja blanca. Si todo está en orden, éste se recibe y se carga como respuesta, de manera que la aplicación esté totalmente operativa para implementar el resto del procedimiento.
Cabe señalar que puede estar previsto repetirla, por ejemplo una vez al año, para garantizar la validez de los documentos oficiales y renovar la clave secreta.
Selección y obtención del dato biométrico candidato.
El procedimiento comienza con una etapa (a) de transmisión desde el terminal 1 al servidor 3 de una solicitud de autenticación al equipo de bloqueo 2.
Debe entenderse que esta etapa (a) puede ser muy anterior al alquiler en sí, pero mucho después de la inscripción (a0).
Esta etapa puede verse como una selección del vehículo 20. En efecto, el usuario elige en la práctica un vehículo 20, no un equipo 2. En la práctica, esta etapa se traduce como una solicitud de acceso a un vehículo 20 elegido, que se traduce por la transmisión de una solicitud de autenticación al equipo de bloqueo 2 de este vehículo.
Según una realización, el usuario elige directamente entre varios vehículos propuestos vía la aplicación el que desea alquilar. Según otra realización, el usuario simplemente introduce la categoría, modelo, etc. del vehículo que desea alquilar, el lugar del alquiler y las fechas asociadas, y es en la práctica el servidor 3 (u otro servidor) el que le ofrecerá un vehículo 20 que corresponda a los criterios. Si el usuario está satisfecho, emite formalmente una solicitud de acceso a este vehículo.
En la etapa (b), se obtendrá un dato biométrico candidato "reciente". La etapa (b) comprende la adquisición de un dato biométrico candidato mediante los medios de adquisición 14. En el caso de un sensor de imagen, se trata típicamente de un "selfie".
La etapa (b) puede comprender la generación del dato biométrico candidato a partir de un rasgo biométrico proporcionado por los medios de adquisición biométrica 14, y eventualmente se genera después la generación de una huella criptográfica del dato biométrico candidato obtenido.
El terminal 1 puede transmitir el dato biométrico candidato al servidor 3, pero si la comparación se lleva a cabo en el terminal 1 es preferible transmitir la huella del dato biométrico candidato (en lugar de nada) al servidor 3 para su posterior verificación.
Preferiblemente, los medios de adquisición biométrica 14 son capaces de detectar organismos vivos, de manera a garantizar que el dato biométrico candidato provienen de un rasgo "real".
Primera realización del procedimiento de autenticación.
El procedimiento comprende después una etapa (c) para verificar mediante los medios de procesamiento de datos 31 del servidor 3 o los medios de procesamiento de datos 11 del terminal 1 de que el dato biométrico candidato coincide con el dato biométrico de referencia.
Según la primera realización, en la que el servidor 3 tiene, aguas arriba, el dato biométrico de referencia y la etapa (b) comprende la transmisión del dato biométrico candidato, son los medios de procesamiento de datos 31 del servidor 3 los que implementan esta etapa (c).
Esta verificación comprende, de manera conocida, la comparación del dato biométrico candidato y el dato biométrico de referencia.
En efecto, de manera conocida, el dato biométrico candidato y el dato biométrico de referencia coinciden si su distancia según una función de comparación dada es inferior a un umbral predeterminado.
Así, la realización de la comparación comprende el cálculo de una distancia entre los datos, cuya definición varía en función de la naturaleza de los datos biométricos considerados. El cálculo de la distancia comprende el cálculo de un polinomio entre los componentes de los datos biométricos, y ventajosamente el cálculo de un producto escalar.
Por ejemplo, en el caso en el que los datos biométricos se obtuvieron a partir de imágenes del iris, una distancia utilizada convencionalmente para comparar dos datos es la distancia de Hamming. En el caso en el que los datos biométricos se obtuvieron a partir de imágenes del rostro del individuo, es habitual utilizar la distancia euclidiana.
Este tipo de comparación es conocido por el experto en la técnica y no se describirá con más detalles.
El individuo es autenticado si la comparación revela un índice de similitud entre el dato candidato y el dato de referencia que excede un determinado umbral, cuya definición depende de la distancia calculada.
En consecuencia, si la verificación es concluyente (es decir, si el dato biométrico candidato coincide con el dato biométrico de referencia), en una etapa (d) el servidor 3 transmite al terminal móvil 1 un cifrado de llave virtual del equipo de bloqueo 2, para uso por la función criptográfica. Naturalmente, si el dato biométrico candidato y el dato biométrico de referencia no coinciden, el cifrado de la llave virtual no se transmite, de manera que el vehículo no se puede desbloquear. Cabe señalar que la llave virtual no está en texto claro, lo que impide que un usuario mal intencionado pueda extraerla.
El cifrado de la llave virtual se realiza sobre la marcha por los medios de procesamiento de datos 31 del servidor 3, en función de la clave secreta asociada al terminal 1 (es decir, utilizada, y en su caso ocultada, por dicha función criptográfica implementada por los medios de procesamiento de datos 11).
Segunda realización del procedimiento de autenticación.
En la segunda realización (en la que los datos biométricos de referencia y candidatos son procesados únicamente por el terminal 1), la verificación de que coinciden es no interactiva, es decir, sólo requiere una “ida” de información desde el terminal 1 al servidor 3, y ninguna “vuelta”. Y sobre todo, como se ha explicado, el servidor 3 no recibirá ni el dato biométrico candidato ni el dato biométrico de referencia (ni ningún dato que permita remontar a estos últimos), aunque es posible sin embargo para la entidad de validación saber con certeza si los datos biométricos candidato y de referencia coinciden.
Para ello, se usa un protocolo criptográfico que genera una “prueba” de que el dato biométrico candidato y el dato biométrico de referencia coinciden, y esta prueba no revela nada más que el hecho de que estos datos biométricos efectivamente están en posesión del productor de la prueba.
El protocolo de Pinocchio presentado en la publicación «Bryan Parno, Craig Gentry, Jon Howell, and Mariana Raykova, Pinocchio: Nearly Practical Vérifiable Computation, in Proceedings ofthe IEEE Symposium on Security and Privacy, IEEE, de 21 de mayo de 2013» fue uno de los primeros protocolos de cálculo verificable que permitía al ejecutor calcular de manera verificable la aplicación de cualquier función y al iniciador verificar la prueba asociada en un tiempo de cálculo inferior al necesario para realizar el cálculo en sí.
Así, la etapa (c) comprende preferentemente la generación por los medios de procesamiento de datos 11 del terminal I de una prueba con divulgación nula de conocimiento del hecho de que el dato biométrico candidato y el dato biométrico de referencia coinciden.
Más precisamente, dicha prueba con divulgación nula de conocimientos garantiza la siguiente afirmación: “dadas dos huellas criptográficas, existe un dato biométrico candidato y un dato biométrico de referencia que tienen como huellas criptográficas respectivas las huellas criptográficas dadas, y coincidentes”.
Así, se pueden relacionar las dos huellas criptográficas a los datos biométricos candidato y de referencia, pero no se pueden obtener informaciones sobre el contenido de estos datos biométricos. El protocolo criptográfico proporciona una prueba que es rápida de verificar (menos de medio segundo) y no puede ser falsificada: es casi imposible (probabilidad inferior a 1/280, incluso inferior a 1/2128 según los parámetros elegidos para realizar la prueba, siendo ésta entonces más lenta de realizar) que se acepte una prueba de la afirmación anterior si el proceso no se ha desarrollado de acuerdo con lo especificado.
En la realización de la prueba, el terminal 1 utiliza la posibilidad de realizar pruebas de divulgación nula de conocimiento para ocultar los datos biométricos. Así, la prueba no proporciona ninguna información sobre los datos biométricos en sí.
Naturalmente, la etapa (c) comprende ventajosamente la verificación previa por los medios de procesamiento de datos I I del terminal 1 de que el dato biométrico candidato y el dato biométrico de referencia coinciden, comparando el dato biométrico candidato y el dato biométrico de referencia de una de las formas descritas anteriormente.
Por ejemplo, la prueba puede ser más precisamente una prueba con divulgación nula de conocimiento debido al hecho de que dadas dos huellas criptográficas, existe un dato biométrico candidato y un dato biométrico de referencia que tiene como huellas criptográficas respectivas las huellas criptográficas dadas, tales como sus distancias según la función de comparación dada es menor que el umbral predeterminado.
De manera preferida, dicha prueba con divulgación nula de conocimiento es un objeto criptográfico de tipo zkSNARK (“zero-knowledge Succinct Non Interactive ARgument of Knowledge”, es decir, argumento de conocimiento no interactivo con divulgación nula de conocimientos). El experto en la técnica podrá consultar la solicitud FR1653890 para saber más sobre las pruebas de divulgación nula de conocimientos adaptadas para la comparación de datos biométricos.
En particular, el protocolo de Pinocchio permite a la persona que realiza la prueba ocultar algunas de las entradas del cálculo del que está realizado la prueba. En el presente caso, se trata de realizar el siguiente cálculo:
Entrada: las huellas criptográficas del dato biométrico candidatohfresh=H(tfresh)y referenciahref=H(te ),el resultado de la comparación de datos biométricos candidatotfreshy de referenciate(es decir, el booleano según que si coinciden o no), y un vector de inicialización IV
Entrada privada: los datos biométricos candidatotfreshy de referenciate .
Salida: la prueba n de que el probador conoce bien los datos biométricostfreshyteque se divide enhfreshyhrefy cuyo resultado de comparación es el esperado.
La etapa (c) comprende entonces la transmisión al servidor 3 de dicha prueba de divulgación nula de conocimiento, de la huella criptográfica del dato biométrico candidato, y de la huella criptográfica del dato biométrico de referencia (si esto no se ha hecho ya). Eventualmente, la firma del dato biométrico de referencia se transmite nuevamente para compararla con la disponible para el servidor 1, pero no se transmite ningún otro dato (es decir, solo se transmite la huella criptográfica del dato biométrico candidato, la huella criptografía del dato biométrico de referencia, y la firma del dato biométrico de referencia). Se vuelve a repetir que los datos biométricos no se transmiten en esta realización.
Los medios de procesamiento de datos 31 del servidor 3 pueden entonces verificar que la prueba de divulgación nula de conocimiento es válida. La firma también se puede verificar nuevamente.
Si es el caso, se autentica al usuario y se implementa la etapa (d).
La verificación de la prueba no es interactiva (el servidor 3 no necesita ponerse en contacto con el probador, es decir, el terminal 1) y simplemente se realiza en tiempo constante verificando que la prueba es válida, lo que demuestra (dentro de una pequeña probabilidad) al servidor 3 que la propiedad reivindicada sea verdadera, es decir, que el usuario dispone de un dato biométrico candidato y de un dato biométrico de referencia que coinciden. De este modo, se convence de que la identidad del usuario está confirmada (y de que nadie ha usurpado su documento de identidad) a pesar de la ausencia de datos biométricos.
Gracias a la prueba, la confidencialidad puede ser total (ya que la generación de la prueba no requiere comunicación) sin que el servidor 3 corra ningún riesgo ya que la prueba garantiza que la entidad de prueba dispone bien de los datos biométricos.
La prueba es corta (o incluso muy corta, del orden de unos pocos cientos de bytes), transmitirla con las huellas criptográficas del documento no plantea ningún problema de ancho de banda. Además, la verificación de esta prueba es rápida (en tiempo constante, algunas decenas de milésimas de segundo), lo que no aumenta la carga de cálculo a nivel de los medios de procesamiento de datos 31 del servidor 3, que debe gestionar cientos de autenticaciones simultáneas. La generación de la prueba es más pesada en términos de tiempo de cálculo, pero como la etapa (c) se implementa en el lado del terminal 1 que es personal (y sólo participa en la autenticación de su único propietario), este tiempo de cálculo adicional no es problemático, e incluso bien recibido por los usuarios que no tienen problema en dedicar unas decenas de segundos del tiempo de funcionamiento de su terminal personal si se trata de evitar colas en los mostradores.
Así, el presente procedimiento es óptimo tanto para el usuario como para el proveedor del servicio (arrendador).
Desbloqueo
En una etapa (e), el terminal móvil 1 se autentica en el equipo de bloqueo 2 gracias a dicha función criptográfica y a dicho cifrado de llave virtual del equipo de bloqueo 2.
Más precisamente, la función criptográfica permite indirectamente "descifrar" la llave virtual con respecto al equipo 2. De manera preferida, la llave virtual nunca aparece no obstante en texto claro por motivos de seguridad.
Si se obtiene la autenticación, la etapa (e) comprende, como se explica, la desactivación subsiguiente del equipo de bloqueo 2 para permitir el uso del vehículo 20.
Según una realización preferida, para implementar la autenticación, la etapa (e) comprende la emisión de un desafío desde el equipo de bloqueo 2, y la determinación de una respuesta a dicho desafío por los medios de procesamiento de datos 11 del terminal 1 mediante la aplicación de dicha función criptográfica a la llave virtual cifrada y al desafío.
El desafío puede generarse de forma aleatoria o pseudoaleatoria por los medios de procesamiento 21 del terminal 1.
Después, en la etapa (e), la función criptográfica toma como entrada la llave virtual y el desafío, y deduce una respuesta al desafío. El mismo cálculo se realiza en el lado del equipo 2 de manera a calcular la respuesta esperada. Cabe señalar que éste puede tener una pluralidad de llaves virtuales, todas válidas, y por lo tanto calcular una pluralidad de respuestas esperadas (utilizando una función criptográfica del mismo tipo que la implementada por los medios de procesamiento de datos 11 del terminal 1).
Los medios de procesamiento de datos 21 del equipo 2 verifican entonces que la respuesta recibida del terminal 1 es efectivamente una de las esperadas, lo que prueba el conocimiento de la llave virtual por parte del terminal 1 sin que sea necesario transmitirla.
Cabe señalar que se podrían prever otros mecanismos, por ejemplo la emisión por el equipo 2 de una llave pública para el cifrado por parte del terminal de la llave virtual (descifrado y después nuevo cifrado sobre la marcha mediante la función criptográfica implementada), la transmisión de la llave virtual llave cifrada por la llave del equipo 2, y su descifrado (utilizando una clave secreta del equipo 2) y su comparación con las llaves virtuales disponibles para el equipo 2.
Por otro lado, la etapa (e) puede comprender comprobaciones adicionales para autorizar la autenticación, es decir, el conocimiento de la llave virtual no es necesariamente suficiente para obtener la posterior desactivación del equipo de bloqueo 2.
En primer lugar, como se ha explicado, la llave virtual se puede asociar a un intervalo de tiempo de validez (la duración del alquiler), pudiendo la etapa (e) sólo implementarse durante dicho intervalo de tiempo de validez. En otras palabras, la etapa (e) comprende la verificación por los medios de procesamiento de datos 21 del equipo 2 de que el momento presente se encuentra dentro de dicho período de validez, es decir, que no se intenta acceder al vehículo 20 antes del inicio previsto del alquiler.
Después, el terminal móvil 1 y el vehículo 20 pueden comprender cada uno medios de geolocalización (por ejemplo, un GPS, o por triangulación), comprendiendo entonces la etapa (e) además la verificación de que el terminal móvil 1 y el vehículo 20 presentan posiciones cercanas. Por cercana se entiende al lado del vehículo 20, es decir que el usuario debe tener el vehículo 20 a la vista inmediata. En la práctica, se puede definir cercana como una distancia menor que un umbral determinado (representativo del hecho de estar a su lado), típicamente de unos pocos metros. La idea es verificar que el usuario esté físicamente presente en las cercanías del vehículo 20 cuando requiere el desbloqueo, para evitar fraudes remotos.
Además o alternativamente, si el vehículo 20 comprende además medios de adquisición biométrica 24 (conectados al equipo 2), el procedimiento comprende preferiblemente además una etapa (f) (que puede estar incluida en la etapa (e) antes de la desactivación subsiguiente del equipo de bloqueo 2) de:
• Adquirir un dato biométrico de confirmación (que en la práctica es comparable con el dato biométrico candidato, sólo que más reciente) por los medios de adquisición 24, y transmitir al servidor 3 o al terminal 1 (el que dispone del dato biométrico de referencia); y
• Verificar por los medios de procesamiento de datos 31 del servidor 3 o los medios de procesamiento de datos 11 del terminal 1 de que el dato biométrico de confirmación coincide con el dato biométrico candidato y/o el dato biométrico de referencia (de la misma manera que para la etapa (c)).
En efecto, se puede considerar un caso en el que el usuario que realizó el alquiler implementaría el proceso, pero dejaría conducir en su lugar a un tercero, lo que no está autorizado. El objetivo de la etapa (f) es comprobar que efectivamente el conductor es el usuario que se ha autenticado, el cual es el único que realmente tiene derecho a conducir. Además,
De manera preferida, la etapa (f) se repite a intervalos regulares, por ejemplo cada hora, o en cada arranque, para garantizar que una vez desbloqueado el vehículo 20 no haya intercambio de conductores.
Cabe señalar que algunos contratos de alquiler autorizan a varios conductores. La idea es implementar una “inscripción” específica para cada uno de los conductores adicionales (por ejemplo después de la etapa (a), pudiendo esta inscripción adicional repetir todo o parte de la etapa (a0) pero sin provocar ninguna modificación en la implementación de la función criptográfica, la cual está vinculada al terminal 1), en el que se proporcionarán los documentos de identidad necesarios (de manera a tener datos biométrico de referencia para conductores adicionales). Las etapas (b) y (c) se implementan, llegado el caso, para estos otros conductores.
Cabe señalar que no es obligatoriamente necesario dato biométrico de referencia para otros conductores, y que eventualmente se puede simplemente implementar la etapa (b) para adquirir un dato candidato.
La etapa (f) verifica entonces que el dato biométrico de confirmación coincide con uno de los datos biométricos candidatos y/o uno de los datos biométricos de referencia.
Conjunto de equipos
Según un segundo aspecto, se propone un conjunto de procesamiento de datos biométricos para implementar el procedimiento según el primer aspecto, es decir, para el control remoto de un equipo de bloqueo 2 de un vehículo 20.
El conjunto comprende un terminal 1 y un servidor 3 conectados, así como al equipo de bloqueo 2. El conjunto puede comprender el equipo 2.
Como se ha explicado antes, el terminal 1 comprende medios de procesamiento de datos 11 configurados para implementar una función criptográfica determinada y medios de adquisición biométrica 14; y el servidor 3 comprende medios de procesamiento de datos 31.
Los medios de procesamiento de datos 11 del terminal 1 y/o los medios de procesamiento de datos 31 del servidor 3 están configurados para:
• La transmisión desde el terminal 1 al servidor 3 de una solicitud de autenticación al equipo de bloqueo 2;
• La adquisición de un dato biométrico candidato por los medios de adquisición 14;
• La verificación de que el dato biométrico candidato coincide con el dato biométrico de referencia;
• Si el dato biométrico candidato coinciden con el dato biométrico de referencia, la transmisión al terminal móvil 1 desde el servidor 3 de un cifrado de llave virtual del equipo de bloqueo 2;
• La autenticación del terminal móvil 1 al equipo de bloqueo 2 gracias a dicha función criptográfica y dicho cifrado de llave virtual del equipo de bloqueo 2.
En la realización en la que es el terminal 1 el que dispone del dato biométrico de referencia, este último puede implementar la mayor parte del procedimiento según el primer aspecto.
La invención se refiere así también a un terminal móvil 1 para el control remoto de un equipo de bloqueo 2 de un vehículo 20, que comprende medios de procesamiento de datos 11 configurados para implementar una función criptográfica determinada y medios de adquisición biométrica 14, estando conectado el terminal móvil 1 al equipo de bloqueo 2 así como a un servidor 3 vía una red 10, caracterizándose el terminal móvil 1 por que los medios de procesamiento de datos 11 están configurados para:
• La transmisión desde el terminal 1 al servidor 3 de una solicitud de autenticación al equipo de bloqueo 2;
• La adquisición de un dato biométrico candidato por los medios de adquisición 14;
• La verificación de que el dato biométrico candidato coincide con el dato biométrico de referencia;
• Si el dato biométrico candidato coincide con el dato biométrico de referencia, la recepción desde el servidor 3 de un cifrado de llave virtual desde el equipo de bloqueo 2;
• La autenticación del terminal móvil 1 con el equipo de bloqueo 2 utilizando dicha función criptográfica y dicho cifrado de llave virtual del equipo de bloqueo 2.
Producto de programa informático
Según un tercer y un cuarto aspecto, la invención se refiere a un producto de programa informático que comprende instrucciones de código para la ejecución (en particular en los medios de procesamiento de datos 11, 21, 31, del terminal 1, del equipo de bloqueo 2 y/o el servidor 3) de un procedimiento según el primer aspecto de la invención para el control remoto del equipo de bloqueo 2 de un vehículo 20, así como medios de almacenamiento legibles por el equipo informático (una memoria de los equipos 1, 2, 3) en el que se encuentra este producto de programa informático.

Claims (11)

REIVINDICACIONES
1. Procedimiento para controlar de manera remota un equipo de bloqueo (20) de un vehículo (2) vía un terminal móvil (1) que comprende medios de procesamiento de datos (11) configurados para implementar una función criptográfica dada y medios para la adquisición biométrica (14), estando el terminal móvil (1) conectado al equipo de bloqueo (2), así como a un servidor (3) vía una red (10), comprendiendo el procedimiento la implementación de las etapas de (a) transmitir, desde el terminal (1) al servidor (3), una solicitud de autenticación al elemento de equipo de bloqueo (2); (b) Adquirir un dato biométrico candidato por los medios de adquisición (14) ;
(c) verificar mediante los medios de procesamiento de datos (11) del terminal (1) que el dato biométrico candidato coincide con un dato biométrico de referencia que el terminal (1) tiene a su disposición;
(e) autenticar el terminal móvil (1) con el equipo de bloqueo (2) gracias a dicha función criptográfica, y de un cifrado de llave virtual del equipo de bloqueo (2);
caracterizándose el procedimiento por que la etapa (c) comprende la generación por los medios de procesamiento de datos (11) del terminal (1) una prueba a divulgación nula de conocimiento de que, dada una huella criptográfica del dato biométrico candidato y una huella criptográfica del dato biométrico de referencia, el dato biométrico candidato y el dato biométrico de referencia tienen como huellas criptográficas respectivas las dos huellas, y que los dos datos biométricos coinciden; y transmitir al servidor (3) dicha prueba de divulgación nula de conocimiento, de la huella criptográfica del dato biométrico candidato y de la huella criptográfica del dato biométrico de referencia, para su verificación por los medios de procesamiento de datos (31) del servidor (3);
y por que comprende además una etapa (d) de verificación, mediante los medios de procesamiento (31) del servidor (3) de la validez de la prueba de divulgación nula de conocimiento y, si la prueba de divulgación nula de conocimiento es válida, cifrar la llave virtual del equipo de bloqueo (2) en función de una clave secreta del servidor (3), dependiendo dicha función criptográfica dada de dicha clave secreta del servidor (3), y de transmisión al terminal móvil (1) desde el servidor (3), de la llave virtual cifrada del elemento de bloqueo (2),
comprendiendo la etapa (e) desactivar el equipo de bloqueo (2) de manera a permitir el uso del vehículo (20).
2. Procedimiento según la reivindicación 1, en el que el terminal móvil (1) comprende medios de almacenamiento de datos (12) que almacenan una implementación de caja blanca de dicha función criptográfica, siendo dicha implementación de caja blanca una representación de la función criptográfica que no permite remontar a los estados internos o a los parámetros cuando se ejecuta la operación.
3. Procedimiento según la reivindicación 2, en el que la etapa (a) comprende la generación previa de dicha implementación de caja blanca de la función criptográfica por los medios de procesamiento de datos (31) del servidor (3) en función de dicha clave secreta del servidor (3), y la carga de dicha implementación de caja blanca de dicha función criptográfica.
4. Procedimiento según una de las reivindicaciones 1 a 3, que comprende una etapa previa (a0) de carga de al menos un documento oficial, en particular al menos dos documentos oficiales, de los cuales un permiso de conducción y un documento de identidad.
5. Procedimiento según las reivindicaciones 3 y 4 en combinación, en el que dicha implementación de caja blanca se genera después de la verificación por los medios de procesamiento de datos (31) del servidor (3) de dicho documento oficial.
6. Procedimiento según una de las reivindicaciones 4 y 5, en el que la etapa (a0) comprende la generación por los medios de procesamiento de datos (31) del servidor (3) o los medios de procesamiento de datos (11) del terminal (1) del dato biométrico de referencia a partir de un rasgo biométrico de referencia asociado con dicho documento.
7. Procedimiento según una de las reivindicaciones 1 a 6, en el que la etapa (e) comprende la emisión de un desafío desde el equipo de bloqueo (2), y la determinación de una respuesta a dicho desafío por los medios de procesamiento de datos (11) del terminal (1) mediante la aplicación de dicha función criptográfica a la llave virtual cifrada y al desafío.
8. Procedimiento según una de las reivindicaciones 1 a 7, en el que el vehículo (20) comprende además medios de adquisición biométrica (24), comprendiendo además el procedimiento una etapa (f) de:
- adquirir un dato biométrico de confirmación mediante los medios de adquisición biométrica (24) del vehículo, y transferir al terminal (1); y
- verificar mediante los medios de procesamiento de datos (11) del terminal (1) que el dato biométrico de confirmación coincide con el dato biométrico candidato y/o el dato biométrico de referencia.
9. Conjunto de un terminal móvil (1) y de un servidor (3) para el control remoto de un equipo de bloqueo (2) de un vehículo (20), estando conectado así como el equipo de bloqueo (2) vía una red (10), comprendiendo el terminal (1) medios de procesamiento de datos (11) configurados para implementar una función criptográfica dada y medios de adquisición biométrica (14), comprendiendo el servidor (3) medios de procesamiento de datos (31),
en el que los medios de procesamiento de datos (11) del terminal (1) están configurados para:
- la transmisión desde el terminal (1) al servidor (3) de una solicitud de autenticación al equipo de bloqueo (2);
- la adquisición de un dato biométrico candidato por los medios de adquisición (14);
- la verificación de que el dato biométrico candidato coincide con el dato biométrico de referencia del que dispone el terminal (1);
- la autenticación del terminal móvil (1) con el equipo de bloqueo (2) gracias a dicha función criptográfica, y de un cifrado de llave virtual del equipo de bloqueo (2);
caracterizado por que los medios de procesamiento de datos (11) del terminal (1) están configurados además para: - generar una prueba de divulgación nula de conocimiento debido a que, dada una huella criptográfica del dato biométrico candidato y una huella criptográfica del dato biométrico de referencia, el dato biométrico candidato y el dato biométrico de referencia tienen por huellas criptográficas respectivas las dos huellas, y que los dos datos biométricos coinciden;
- transmitir al servidor (3) dicha prueba de divulgación nula de conocimiento, la marca criptográfica del dato biométrico candidato y la marca criptográfica del dato biométrico de referencia;
- desactivar el equipo de bloqueo (2) de manera a permitir el uso del vehículo (20);
y los medios de procesamiento de datos (31) del terminal (3) están configurados para:
- verificar la validez de la prueba de divulgación nula de conocimiento;
- si la prueba de divulgación nula de conocimiento es válida, cifrar la llave virtual del elemento de bloqueo (2) en función de una clave secreta del servidor (3), dependiendo dicha función criptográfica dada de dicha clave secreta del servidor (3), y transmitir al terminal móvil (1) desde el servidor (3) la llave virtual cifrada del equipo de bloqueo (2).
10. Producto de programa informático que comprende instrucciones de código para ejecutar un procedimiento según una de las reivindicaciones 1 a 8 para controlar en remoto un equipo de bloqueo (2) de un vehículo (20), cuando se ejecutan las etapas de una de las reivindicaciones 1 a 8 respectivamente por un terminal móvil, por un servidor y por un equipo de bloqueo de un vehículo.
11. Medio de almacenamiento que puede ser leído por un equipo informático que comprende el producto de programa informático de la reivindicación 10.
ES19165675T 2018-03-29 2019-03-28 Procedimiento para verificar una autenticación biométrica Active ES2960397T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1852739A FR3079653B1 (fr) 2018-03-29 2018-03-29 Procede de verification d'une authentification biometrique

Publications (1)

Publication Number Publication Date
ES2960397T3 true ES2960397T3 (es) 2024-03-04

Family

ID=63294307

Family Applications (1)

Application Number Title Priority Date Filing Date
ES19165675T Active ES2960397T3 (es) 2018-03-29 2019-03-28 Procedimiento para verificar una autenticación biométrica

Country Status (4)

Country Link
US (1) US10793111B2 (es)
EP (1) EP3547270B1 (es)
ES (1) ES2960397T3 (es)
FR (1) FR3079653B1 (es)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10984614B2 (en) * 2011-12-30 2021-04-20 Consumer 2.0, Inc. Automated entry
WO2019087349A1 (ja) * 2017-11-02 2019-05-09 株式会社Leis 金融取引制御システム、そのアプリケーション、それを用いた金融取引方法、および金融取引制御方法
CN108846924A (zh) * 2018-05-31 2018-11-20 上海商汤智能科技有限公司 车辆及车门解锁控制方法、装置和车门解锁系统
FR3091941B1 (fr) * 2019-01-22 2023-01-13 Idemia Identity & Security France Procédé de vérification d’une authentification biométrique
WO2020174544A1 (ja) * 2019-02-25 2020-09-03 本田技研工業株式会社 車両、車載装置、及び管理方法
US10787152B1 (en) * 2019-08-13 2020-09-29 Honda Motor Co., Ltd. Systems and methods for rental vehicle driver verification
FR3103591A1 (fr) * 2019-11-22 2021-05-28 Orange Procédé sécurisé d’échange de données entre un terminal et un serveur
CN110930558B (zh) * 2019-12-12 2021-05-07 创斯达科技集团(中国)有限责任公司 锁控系统模块间的动态加密解密方法、多重认证锁控系统、锁控方法及保险柜
FR3107384A1 (fr) * 2020-02-17 2021-08-20 Imprimerie Nationale Procédé et système d’authentification sans contact
US11623612B2 (en) * 2020-06-29 2023-04-11 Allink Co., Ltd. Method for unlocking vehicle door using mobile terminal
DE102020118162B3 (de) * 2020-07-09 2021-06-24 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Kraftfahrzeug
KR102522893B1 (ko) * 2021-04-12 2023-04-17 주식회사 현대케피코 차량 인증 시스템 및 이를 이용한 차량 잠금 해제 방법
FR3123130B1 (fr) * 2021-05-20 2025-06-20 Idemia Identity & Security France Procede et systeme de traitement de donnees biometriques
CN113360884A (zh) * 2021-06-11 2021-09-07 潍柴动力股份有限公司 一种设备鉴权方法、车载终端、服务器及系统
CN119734660B (zh) * 2025-03-05 2025-05-16 杭州乾丰电子有限公司 基于人脸识别的车辆启动方法及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19936271C2 (de) * 1999-07-31 2001-08-23 Bosch Gmbh Robert Vorrichtung zur benutzerspezifischen Fahrzeugfreigabe
US8770350B2 (en) * 2008-12-18 2014-07-08 Otis Elevator Company Access control system and access control method for a people conveyor control system
US8527777B2 (en) * 2010-07-30 2013-09-03 International Business Machines Corporation Cryptographic proofs in data processing systems
US9002536B2 (en) * 2013-03-14 2015-04-07 Ford Global Technologies, Llc Key fob security copy to a mobile phone
US9672342B2 (en) * 2014-05-05 2017-06-06 Analog Devices, Inc. System and device binding metadata with hardware intrinsic properties
CN106575454A (zh) * 2014-06-11 2017-04-19 威尔蒂姆Ip公司 基于生物特征信息帮助用户访问车辆的系统和方法
FR3030818B1 (fr) * 2014-12-23 2016-12-23 Valeo Comfort & Driving Assistance Procede de transmission securisee d'une cle virtuelle et methode d'authentification d'un terminal mobile
FR3050853B1 (fr) 2016-04-29 2018-04-20 Morpho Procede de verification d'une authentification ou d'une identification biometrique

Also Published As

Publication number Publication date
EP3547270B1 (fr) 2023-07-26
US10793111B2 (en) 2020-10-06
FR3079653A1 (fr) 2019-10-04
FR3079653B1 (fr) 2022-12-30
EP3547270A1 (fr) 2019-10-02
US20190299932A1 (en) 2019-10-03

Similar Documents

Publication Publication Date Title
ES2960397T3 (es) Procedimiento para verificar una autenticación biométrica
US11588804B2 (en) Providing verified claims of user identity
US9270464B2 (en) Methods for secure enrollment and backup of personal identity credentials into electronic devices
CN105765595B (zh) 用于验证标识令牌的系统和方法
JP2010250837A5 (es)
WO2014008228A1 (en) Credential quality assessment engine systems and methods
US20200084039A1 (en) Method and system for electronic voting with biometric identification
CN109076090A (zh) 更新生物特征数据模板
AU2008274951A1 (en) Identity authentication and secured access systems, components, and methods
CN109325392A (zh) 生物特征认证技术
CN110322600B (zh) 电子锁的控制方法和电子锁
WO2016070295A1 (es) Método de autenticación de dos factores para aumentar la seguridad de las transacciones entre un usuario y un punto o sistema de transacción
JP2005346388A (ja) 利用者の認証方法、セキュリティシステム、携帯型記憶媒体、及び認証装置
CN103814381A (zh) 用于允许访问web应用的被保护部分的方法和系统
WO2014146684A1 (en) An authentication system and method
JP2006293473A (ja) 認証システム及び認証方法、端末装置及び認証装置