ES2303422B1 - Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales. - Google Patents
Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales. Download PDFInfo
- Publication number
- ES2303422B1 ES2303422B1 ES200503214A ES200503214A ES2303422B1 ES 2303422 B1 ES2303422 B1 ES 2303422B1 ES 200503214 A ES200503214 A ES 200503214A ES 200503214 A ES200503214 A ES 200503214A ES 2303422 B1 ES2303422 B1 ES 2303422B1
- Authority
- ES
- Spain
- Prior art keywords
- certification
- user
- registration
- server
- electronic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 238000004891 communication Methods 0.000 title claims abstract description 10
- 230000000694 effects Effects 0.000 title claims abstract description 10
- 230000009471 action Effects 0.000 claims description 11
- 238000012790 confirmation Methods 0.000 claims description 3
- 238000009434 installation Methods 0.000 claims description 2
- 230000000737 periodic effect Effects 0.000 claims 3
- 101100113065 Mus musculus Cfi gene Proteins 0.000 claims 1
- 230000008447 perception Effects 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 206010039203 Road traffic accident Diseases 0.000 description 1
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
- G06Q20/38215—Use of certificates or encrypted proofs of transaction rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/12—Accounting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Marketing (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Sistema y Procedimiento de registro y
certificación de la actividad y/o comunicación entre terminales; del
tipo donde un Prestador de Servicios de Registro y Certificación
registra el contenido telemático intercambiado entre un usuario y un
proveedor de servicios durante una transacción mediante un Servidor
de Registro y Certificación, y emite una certificación electrónica
al finalizar el servicio; donde el Servidor de Registro y
Certificación está conectado con un servidor oficial de tiempos para
obtener sellos de tiempo fidedignos, y también con un Módulo Captura
Cliente instalado en el terminal de usuario para registrar capturas
periódicas de la interfaz del terminal de usuario y datos de las
conexiones establecidas por éste e incluirlos en el documento de
certificación electrónica con los sellos fidedignos de tiempo; el
documento de certificación electrónica se autentifica mediante firma
electrónica avanzada del Prestador de Servicios de Registro y
Certificación.
Description
Sistema y Procedimiento de registro y
certificación de la actividad y/o comunicación entre terminales.
La presente invención se refiere a un Sistema y
Procedimiento de registro y certificación de la actividad y/o
comunicación entre terminales, cuya finalidad es proporcionar al
usuario que utiliza un terminal un certificado electrónico o ACTA
que registre de forma fehaciente, y con el contenido exacto, las
operaciones realizadas con el mismo.
La invención es utilizable, por ejemplo, en
transacciones telemáticas de cualquier tipo y mediante diversos
terminales, como ordenadores personales, teléfonos móviles,
televisión interactiva, etc. Es aplicable a los negocios por
Internet (e-commerce), a la interacción con
organismos públicos (e-governement) y, de forma
general, a cualquier aplicación, aunque sea la simple búsqueda de
información en Internet.
Actualmente la única prueba que un usuario
obtiene de una determinada transacción efectuada a través de un
terminal propio, así como de su contenido, se la da el Proveedor de
Servicios de la Sociedad de la Información de forma que luego, en
la mayoría de las ocasiones, el usuario tiene dificultades e
incluso le es totalmente imposible documentar la transacción para
poder reclamar sus derechos como consumidor cuando se siente
defraudado por el servicio recibido.
Al respecto se conocen diversas patentes:
KR2001095907-A, KR2001079176,
JP2005070979-A, JP2004334353-A,
KR2002039543-A, KR2002096331-A,
KR2204065413-A, KR2004025180-A,
US2004268152-A1, GB2358115-A,
JP2002163394, US2004039672-A1,
US2002038291-A1, US2002038291,
KR2002026505-A, WO200103077,
US2005050362 JP2004201057, JP2005051636, GB2378865, US6381696, WO2005038634, y WO0154085-A3 sobre diferentes soluciones técnicas para asegurar la veracidad e integridad de las transacciones realizadas por medios telemáticos. Resultan especialmente significativas las patentes KR2002096331-A y JP2004201057 por tratarse de las patentes más cercanas a la solución técnica que aquí se presenta y las patentes WO0154085-A3 y GB2378865 por tratarse, respectivamente, de una patente con prioridad de otra patente (FR2803961) de un país europeo (Francia) y de una patente en el Reino Unido.
US2005050362 JP2004201057, JP2005051636, GB2378865, US6381696, WO2005038634, y WO0154085-A3 sobre diferentes soluciones técnicas para asegurar la veracidad e integridad de las transacciones realizadas por medios telemáticos. Resultan especialmente significativas las patentes KR2002096331-A y JP2004201057 por tratarse de las patentes más cercanas a la solución técnica que aquí se presenta y las patentes WO0154085-A3 y GB2378865 por tratarse, respectivamente, de una patente con prioridad de otra patente (FR2803961) de un país europeo (Francia) y de una patente en el Reino Unido.
Las patentes KR2002096331-A y
JP2004201057 describen sistemas cuya finalidad es certificar los
contenidos intercambiados a través de las redes telemáticas. Así,
por ejemplo, la primera describe un sistema para transmitir
contenidos entre dos usuarios de Internet certificando el contenido
y la identidad del emisor mediante identificadores, claves, huellas
dactilares y un servidor de autentificaciones. Ambas patentes se
ubican dentro de los sistemas denominados de "notarización
electrónica" (en terminología inglesa Trusted Thrid
Parties, TTPs) y se limitan al registro de documentos y
contenidos intercambiados entre dos o más usuarios a través de
medios telemáticos, como por ejemplo EDI. La diferencia básica con
la presente solicitud es que ésta no tiene como objetivo registrar
simplemente el contenido telemático intercambiado entre dos partes,
sino registrar fielmente y certificar la información percibida por
el usuario en su terminal así como las acciones realizadas por el
mismo, ya sea al operar con el terminal sin conexión o durante la
realización de una transacción telemática, interconectado pues con
otro u otros terminales.
Por su parte, la patente
WO0154085-A3 o su patente de prioridad francesa,
describe un sistema patentado en Europa para realizar transacciones
seguras en Internet a través de un ordenador personal, terminal
móvil o teléfono. Dicha patente se limita al pago de servicios y
propone un sistema de pago sin la necesidad de enviar datos
bancarios del usuario a través de la Red, mediante la intervención
de un tercero confiable para ambas partes (habitualmente una
entidad bancaria), en forma similar a la propuesta por protocolos
como SET (Secure Electronic Transaction protocol).
Por tanto la presente solicitud de patente
difiere de las anteriores ya que propone un Sistema y un
Procedimiento que proporcionan al usuario de servicios telemáticos
un certificado o ACTA con el contenido integro y exacto de la
información intercambiada en sus compras on-line,
reclamaciones, cumplimentación de formularios, etc., de forma que
se reflejan exactamente las percepciones del usuario. Ello permite
que la persona o personas encargadas de resolver una posible
reclamación puedan acceder exactamente a la misma información que
el usuario percibió durante la transacción y presentada del mismo
modo, aspecto que es de vital importancia para poder valorar
adecuadamente la reclamación y para el que no se ha propuesto
todavía una solución ad hoc, como es la de esta patente.
El Sistema y Procedimiento de Registro y
Certificación de la presente invención permite que el usuario
solicite la presencia de un testigo telemático, esto es, un
proveedor de un Servicio de Registro y Certificación que mediante
un Servidor de Registro y Certificación (SRC en adelante), se
encarga de registrar lo que acontece en el terminal(TU) que
el usuario está utilizando y de emitir un certificado que documenta
como una película las acciones realizadas, y que puede ser de
interés por ejemplo para acreditar una transacción o justificar la
realización de una labor. Este certificado, o ACTA, será emitido
por el SRC tras la petición por parte del usuario de la
finalización del registro, e incluirá toda la información que el
usuario recibe durante la transacción, acciones realizadas y,
especialmente, las conformidades dadas por él. Este ACTA, además,
incorpora firma electrónica avanzada por lo que tiene plena validez
jurídica y puede ser utilizada por el usuario como prueba para
reclamar sus derechos caso de que tales sean conculcados. De esta
forma se aumenta considerablemente la seguridad sentida por el
usuario en sus transacciones telemáticas. El ACTA presenta dichas
informaciones tal y como el usuario las observó en su terminal
(pantalla de ordenador, terminal móvil o terminal de TV interactiva,
por ejemplo), así como sus acciones y los consentimientos otorgados
de forma que un juez, arbitro, notario o cualquier persona
interesada pueda valorar las percepciones exactas (visuales y
sonoras) que tuvo el usuario durante la transacción y las acciones
ejecutadas.
Por tanto, el Sistema y Procedimiento que se
describe en esta solicitud de patente contiene las soluciones
técnicas suficientes para asegurar que el ACTA abarque la totalidad
de la información intercambiada, cumpla con los requisitos legales
pertinentes y garantice tanto su autenticidad como la veracidad de
su contenido.
El Procedimiento de Registro y Certificación se
inicia a petición del usuario y únicamente debe finalizar a
petición del mismo. El registro y la generación del certificado o
ACTA es realizada por una entidad que denominaremos "Prestador de
Servicios de Registro y Certificación", que utiliza para ello un
ordenador al que denominaremos "Servidor de Registro y
Certificación" (SRC). En su utilización típica o normal, dicha
máquina está conectada a Internet y realiza sus funciones a través
de esta red.
El usuario contacta con el SRC, por ejemplo a
través de la página Web del Prestador de Servicios de Registro y
Certificación en que se ofrece este servicio, y se establece entre
el terminal del usuario (TU) y el SRC una conexión segura a través
de Internet mediante protocolo SSL (Secure Socket Layer) o
similar. Preferentemente se usará SSL porque sus servicios de
seguridad son transparentes al usuario y a la aplicación. El
algoritmo de intercambio de claves es RSA y se utiliza un
certificado X-509 para que el ordenador del usuario
(cliente) pueda autentificar al Servidor de Registro y
Certificación (servidor). Opcionalmente el servidor podrá solicitar
también al cliente un certificado X.509 para autentificar su
identidad.
Una vez establecida la conexión segura entre el
cliente (TU) y el Servidor (SRC), este último enviará al usuario un
programa específico (Módulo de Captura Cliente), adaptado a las
características del terminal utilizado por el usuario, que quedará
instalado en dicho terminal (TU).
Cuando el usuario desee registrar una
transacción telemática realizada con dicho terminal, realizará la
petición del servicio al Servidor de Registro y Certificación (SRC)
mediante la activación del Módulo de Captura Cliente previamente
instalado. La activación del Módulo, así como su estado de
actividad, será preferentemente accesible y visible mediante un
indicador en la pantalla del terminal (TU) para comodidad y
tranquilidad del usuario.
La comunicación entre el
Módulo-Cliente y el Servidor de Registro y
Certificación (SRC) se lleva a cabo mediante un canal seguro, igual
al que se utilizó para la descarga e instalación en el terminal del
usuario (TU). Antes del iniciar el servicio, el Servidor de
Registro y Certificación (SRC) comprueba la integridad del Módulo
Captura Cliente del que recibe la petición del servicio mediante la
verificación de su "hash", asegurándose así de que el
Módulo-Cliente es el original y no ha sido
manipulado.
Opcionalmente, el Servidor de Registro y
Certificación (SRC) puede solicitar a través del Módulo Captura
Cliente del terminal de usuario la identificación del usuario
mediante contraseña, certificado u otro sistema de
autentificación.
Cuando el Servidor de Registro y Certificación
(SRC) reciba la solicitud, se establecerá la conexión segura y una
vez que se esté en disposición de realizar el servicio se enviará
un reconocimiento (ACK) para avisar al usuario de que se inicia el
proceso de registro y certificación.
A partir de ese momento el Servidor de Registro
y Certificación (SRC) actúa como testigo de las acciones o
transacciones telemáticas que el usuario realice desde su terminal.
Durante el tiempo en el que el servicio de Registro y Certificación
permanece activo, el contenido de la pantalla del terminal del
usuario (TU) es capturado como mapa de bits o formato similar que
registre, no los objetos que son intercambiados entre cliente y
servidor, sino el resultado de los mismos tal y como los vería
cualquier observador que tuviese acceso a la pantalla del Terminal
(TU). La captura de la pantalla se realiza de forma completa,
registrando todo su contenido e incluyendo tanto la ventana
principal en la que el usuario realiza la transacción como
cualquier otra información aparecida en la pantalla y en otros
periféricos de salida que pudiera modificar la percepción,
comprensión o actitud del usuario. El
Módulo-Cliente registra asimismo las accio-
nes del usuario, como movimientos del ratón, pulsaciones de los botones del mismo, entradas por teclado, etc.
nes del usuario, como movimientos del ratón, pulsaciones de los botones del mismo, entradas por teclado, etc.
Toda esta información es enviada secuencialmente
por el Módulo Captura Cliente al Servidor de Registro y
Certificación (SRC) a través de la conexión segura, de forma que el
ACTA que se va generando con la información recibida del Módulo
Captura Cliente puede ser visualizada posteriormente como una
película.
Cuando la información de la pantalla del
terminal (TU) tenga como origen una conexión del equipo del
usuario con uno o más servidores (PS), se registrarán las
direcciones IP de los mismos y, en el caso de conexiones SSL, los
datos del certificado X-509 utilizado por cada uno
ellos. Opcionalmente, el Servidor de Registro y Certificación (SRC)
podrá verificar la identidad de los servidores comprobando la
validez de los certificados mediante consulta a las CRLs
(Certification Revocation List) o directorios OCSP (On
Line Certificate Status Protocol) de las Autoridades de
Certificación (CA) o Prestadores de Servicios de Certificación
según la Ley de Firma Electrónica, que emitieron los mismos.
En el caso de que en la pantalla del terminal
del usuario (TU) aparezcan varias ventanas o de que el usuario
establezca transacción telemática con varios Proveedores de
Servicios (PS) a la vez, además de registrar las direcciones IP de
cada uno de los servidores y, en su caso, de verificar sus
identidades, se registrará la correlación entre cada servidor y la
zona de la pantalla o ventana en la que se presenta la información
que envía enviado. Toda esta información es transmitida por el
Módulo Captura Cliente del terminal del usuario (TU) al Servidor de
Registro y Certificación (SRC) junto a los mapas de bits
mencionados anteriormente.
El Servidor de Registro y Certificación (SRC)
comprueba periódicamente que el Módulo Captura Cliente no ha sido
alterado, verificando su "hash" y que su ejecución se realiza
correctamente y en ausencia de manipulaciones.
Además, el Servidor de Registro y Certificación
(SRC) realiza consultas frecuentes a un Servidor Oficial de Tiempo
(ST) de forma que queda registrada también la hora exacta en la que
la información es recibida del terminal del usuario (TU). Para ello
se utiliza el protocolo Network Time Protocol (NTP) y un
servidor oficial de tiempo como, por ejemplo en España, el del
Instituto y Real Observatorio de la Marina de San Fernando en Cádiz
(según el Real Decreto 2781/1976, de 30 octubre, que establece como
base nacional de la escala de "tiempo universal coordinado" la
que mantiene el Instituto y Observatorio de Marina).
El proceso que incluye la captura por parte del
Módulo-Cliente de las pantallas como un mapa de bits
y de las actuaciones del usuario en su terminal (TU), su envío al
Servidor de Registro y Certificación (SRC), la grabación de la
información anterior por parte de este, junto al resultado de la
consulta del tiempo oficial y la comprobación de la integridad del
Módulo Captura Cliente, se ejecuta de forma periódica hasta que el
usuario da por finalizada la sesión.
Para finalizar la sesión el usuario debe
realizar la acción correspondiente sobre el menú del Módulo Captura
Cliente, que pedirá confirmación antes de enviar al Servidor (SRC)
la orden de finalización del registro. Previsiblemente el usuario
realiza esta acción ordenando el cese de servicio una vez que ha
terminado las transacciones telemáticas que deseaba registrar.
Después de finalizar la sesión, el usuario
recibe en su Terminal (TU) una copia del ACTA generada por el
Servidor de Registro y Certificación (SRC), que será un documento
electrónico firmado con la firma electrónica avanzada del Prestador
de Servicios de Registro y Certificación y que podrá ser
visualizado como una película tanto por el usuario como por
cualquiera que tenga un interés legítimo, por ejemplo una autoridad
arbitral o judicial. Para acceder al documento (ACTA) bastará con
tener conocimientos informáticos básicos.
Salvo que el usuario indique lo contrario, el
Servidor de Registro y Certificación (SRC) conservará el ACTA de
forma segura y confidencial y facilitará una copia al usuario
cuando este así lo solicite.
El contenido del ACTA será el siguiente:
- Sellos de tiempo correspondientes a las horas
oficiales de inicio y finalización del registro, y otros que se
incorporarán periódicamente a lo largo del registro.
- Datos de identificación del usuario
(optativo)
- Capturas de pantalla en forma de mapas de
bits
- Capturas de las pulsaciones de los botones del
ratón con sus coordenadas y de las entradas por teclado.
- Cualquier tipo de información multimedia, como
mensajes sonoros, recibida por el usuario o enviada por éste al
servidor.
- Datos de las conexiones establecidas por el
Terminal del Usuario (TU): direcciones IP de los servidores y, si
las conexiones utilizan el protocolo SSL o similar, los datos del
certificado.
- Información sobre la correspondencia entre
cada conexión y las áreas de pantalla en que se visualizan la
ventana o ventanas de su sesión.
El Sistema y Procedimiento propuesto se aplica a
cualquier tipo de transacción telemática realiza por el usuario
desde su terminal (TU), incluyendo aquellos en los que la
comunicación con el usuario se realiza únicamente por medio del
sonido y a través de un teléfono móvil, como es el caso de las
compras a través de teléfono, reclamaciones a teléfonos de atención
al cliente, operaciones bancarias por teléfono, etc. En ese caso,
el ACTA se mostrará como una película con el sonido registrado y
visualizando en pantalla la demás información.
Otro ejemplo de relevancia es el registro
temporal de un contenido multimedia registrado por un Terminal
(TU). Gracias a las cámaras digitales incluidas en muchos
terminales móviles, es posible documentar mediante una fotografía o
una grabación de vídeo, con o sin sonido, un evento acaecido, como
por ejemplo un accidente de tráfico. En este caso, la certificación
y registro tanto de la información adquirida por el Terminal Móvil
(TU) como del momento en que esta se adquiere, permite que dicha
información pueda ser utilizada como prueba ante cualquier
instancia.
Finalmente, otro supuesto de relevancia es aquel
en el que el usuario desea registrar no una transacción
telemática, sino su propia actividad en su terminal (TU). Un
ejemplo de ello sería el trabajador que desea documentar que en una
fecha y hora determinadas cumplió con su responsabilidad o cometido,
pongamos por caso enviando o contestando un correo electrónico. En
tal caso el Servicio de Registro y Certificación (SRC) documenta
la identidad del usuario, que en este caso resulta de especial
relevancia, las acciones de éste en su terminal (TU) y los momentos
en que se produjeron.
Para salvaguardar la privacidad de las claves y
contraseñas del usuario, el Servidor de Registro y Certificación
(SRC) no mostrará en el ACTA las claves y contraseñas introducidas
por el usuario en las ventanas en que le sean requeridas, si bien
podrán ser registradas como información adicional a petición suya y
de forma que se observen las máximas medidas de seguridad.
La figura 1 muestra un esquema que representa
los distintos actores que intervienen en la invención.
El presente ejemplo descriptivo consiste en un
caso particular donde se certifica una transacción entre el
usuario y un proveedor o prestador de servicios bancarios.
En este ejemplo, tal y como se ve en la figura
1, el terminal (1) del usuario consiste en un ordenador personal,
que se interconecta a un servidor (2) del prestador del servicio
bancario por una conexión (3) por Internet.
Antes de que pueda registrarse la transacción
entre los agentes (1) y (2) el terminal de usuario (1) debe ponerse
en contacto con el Servidor (4) de Registro y Certificación,
también a través de Internet, mediante una transmisión segura (5).
Mediante esta transmisión segura, el Servidor de Registro y
Certificación (4) envía un Módulo Captura Cliente al Terminal del
usuario (1), donde se instala.
Una vez instalado este Módulo Captura Cliente en
(1) durante esa comunicación segura u otra posterior, el terminal
de usuario (1) solicita al Servidor (4) el servicio de Registro y
Certificación mediante la activación del Módulo Captura Cliente que
se comunica con un Módulo-Servidor residente en
(4). Una vez establecida esa comunicación, el servidor (4) consulta
la hora al Servidor de Tiempos (7), abre el fichero de registro o
ACTA y envía un reconocimiento (ACK) al terminal del usuario (1),
tras lo cual se inicia el ciclo de registro en (4) de la actividad
que se lleva a cabo en el Terminal del usuario (1).
Típicamente, a partir de ese momento el usuario
iniciará una transacción telemática con el servidor (2) del
prestador de servicios bancarios. En ese caso, el Servidor de
Registro y Certificación (4) incorpora al ACTA la dirección IP del
Prestador (2). Si la transacción se realiza mediante una conexión
segura (SSL), el Servidor (4) comprueba la autenticidad y vigencia
del certificado de servidor del Prestador de Servicios (2),
verificando las CRLs (Certificate Revocation List) o el
directorio OCSP (Online Certificate Status Protocol) en la
Autoridad de Certificación o Prestador de Servicios de
Certificación (8), según la terminología de la Ley 59/2003 de 19 de
diciembre, de firma electrónica. El Servidor (4) incorpora al ACTA
los datos del certificado de servidor y el resultado de la
validación realizada. El acceso de (4) a los servidores (7) y (8)
se realiza mediante conexiones (6), igualmente a través de
Internet.
Si el terminal del usuario (1) establece nuevas
conexiones con otros prestadores de servicios, no representados,
mientras se está ejecutando el registro, el Sistema de Registro y
Certificación repetirá estas operaciones para cada nueva conexión.
También quedará registrado el momento en el que se interrumpa cada
una de las conexiones.
Durante todo el tiempo de prestación del
servicio de registro se ejecuta un ciclo en el que:
1) el servidor (4) comprueba la integridad del
Módulo Captura Cliente instalado en el Terminal del usuario
(1).
2) el Modulo Captura Cliente captura toda la
información que el usuario percibe y ejecuta a través del interfaz
(pantalla, teclado, ratón, etc) de su terminal. Por tanto captura
todas las pantallas, inputs de ratón y teclado y contenidos
multimedia intercambiados por (1).
3) el Modulo Captura Cliente envía al servidor
(4) la información capturada.
4) el servidor (4) consulta el tiempo oficial en
un Servidor de Tiempos (7).
5) el servidor (4) registra en el ACTA la
información recibida junto a los sellos de tiempo.
Cuando el usuario (1) da la orden de
finalización se interrumpe el ciclo de registro, se comprueba la
hora y se cierra el ACTA. A continuación, el Servidor (4) firma el
ACTA con la firma electrónica avanzada del Prestador de Servicios de
Registro y Certificación, lo que permite garantizar el origen del
documento y la integridad del mismo. En concreto se sigue el
estándar X-509 v.3 para los certificados utilizados
y los formatos PKCS (Public Key Cryptographic Standards), en
su última versión, para los formatos de claves y datos firmados,
sin que la elección de un estándar concreto o su implementación
limite la validez de la invención descrita. Posteriormente (4)
almacena el ACTA de forma segura y confidencial, envía una copia al
usuario (1) y espera a recibir la confirmación de recepción de este
(ACK) antes de dar por finalizada la sesión.
Descrita suficientemente la naturaleza de la
invención, así como la manera de realizarse en la práctica, debe
hacerse constar que las disposiciones anteriormente indicadas y
representadas en los dibujos adjuntos son susceptibles de
modificaciones de detalle en cuanto no alteren el principio
fundamental.
Claims (7)
1. Sistema de registro y certificación de la
actividad y/o comunicación entre terminales; de los que por ejemplo
registran el contenido telemático intercambiado entre un usuario y
un proveedor de servicios durante una transacción, efectuándose el
registro y certificación por un Prestador de Servicios de Registro
y Certificación, que comprende un Servidor de Registro y
Certificación que recoge este intercambio de datos y emite un acta
o documento de certificación electrónica al finalizar el servicio;
caracterizado porque el Servidor de Registro y Certificación
(4) está conectado a través de red (6) con un servidor oficial de
tiempos (7) para obtener sellos de tiempo fidedignos, y también
mediante un módulo servidor y a través de una conexión segura (5),
con un Módulo Captura Cliente instalado en el terminal de usuario
(1), en orden a registrar en el Servidor de Registro y
Certificación (4) capturas periódicas de la interfaz del terminal
de usuario (1), así como datos de las conexiones establecidas por
éste, incluyendo en el documento de certificación electrónica
fielmente estos datos de conexión así como las capturas realizadas
de la interfaz de usuario con los sellos fidedignos de tiempo que
certifican el instante exacto de cada operación; el documento de
certificación electrónica emitido por el Servidor de Registro y
Certificación (4) se autentifica mediante firma electrónica
avanzada del Prestador de Servicios de Registro y Certificación
(8).
2. Sistema según reivindicación 1
caracterizado porque el documento de certificación
electrónica está estructurado como una película que muestra
secuencialmente las capturas realizadas y sus sellos de tiempo.
3. Procedimiento de registro y certificación de
la actividad y/o comunicación entre terminales caracterizado
porque comprende las etapas de: instalación de un Módulo Captura
Cliente en el terminal de usuario (1) a través de conexión segura
(5); solicitud del servicio por parte del terminal de usuario (1),
con establecimiento de conexión segura si no existe; consulta de la
hora por parte de un servidor de registro y certificación (4) a un
servidor de tiempos (7); apertura de fichero de registro
electrónico y envío de reconocimiento al terminal usuario (1);
ciclo de registro en el cual, tras obtener la IP de los proveedores
a los que se conecta el usuario, se efectúa una captura periódica
del interfaz de usuario, se realizan comprobaciones periódicas de
seguridad del Módulo Captura Cliente y se envía la información
capturada al servidor de registro y certificación (4), el cual
periódicamente a su vez efectúa consultas de la hora al servidor de
tiempos (7) para insertar en el documento de certificación
electrónica junto con los datos capturados al objeto de establecer
el momento en que fueron realizados; solicitud de fin del servicio
por parte del usuario; firma del documento de certificación
electrónica mediante firma electrónica avanzada del Prestador de
Servicios de Registro y Certificación; emisión y almacenamiento del
documento de certificación electrónica; recepción de confirmación
de recepción por el usuario del documento de certificación
electrónica; y cierre de la conexión con el usuario.
4. Procedimiento según reivindicación 3
caracterizado porque cuando los proveedores de servicios a
que se conecta el usuario utilicen protocolos seguros, el servidor
de registro y certificación (4) se interconecta con una autoridad
de certificación y/o prestador de servicios de certificación (8)
para verificar la identidad del proveedor de servicios, al objeto
de incluir esta autentificación en el documento de certificación
electrónica.
5. Procedimiento según reivindicación 3
caracterizado porque el Servidor de Registro y Certificación
(4) verifica la autenticidad del usuario mediante contraseña,
certificado o cualquier otro sistema.
6. Procedimiento según reivindicación 3
caracterizado porque las capturas de la interfaz de usuario
consisten en, al menos, la captura en formato gráfico de las
imágenes representadas en su pantalla o monitor; la captura de las
actuaciones efectuadas sobre el ratón si lo hubiere con sus
coordenadas; la captura de las pulsaciones efectuadas sobre el
teclado; la captura de cualquier tipo de información multimedia,
tal como mensajes sonoros, recibida o enviada por el usuario; y la
captura de cualquier información sobre la correspondencia entre
cada conexión diferente efectuada por el terminal de usuario (1) y
las áreas de su pantalla las que se visualicen la ventana o
ventanas de su sesión.
7. Procedimiento según reivindicación 3
caracterizado porque en una variante de la invención también
se contempla que el terminal de usuario (1) trabaje sin conexión con
ningún prestador de servicios, recogiendo y certificando el
documento de certificación electrónica únicamente la actividad del
usuario en su terminal.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ES200503214A ES2303422B1 (es) | 2005-12-19 | 2005-12-19 | Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales. |
CA002640690A CA2640690A1 (en) | 2005-12-19 | 2006-12-18 | System and method for registering and certifying activity and/or communication between terminals |
EP06841743A EP1970849A4 (en) | 2005-12-19 | 2006-12-18 | SYSTEM AND METHOD FOR REGISTERING AND CERTIFYING ACTIVITY AND / OR COMMUNICATION BETWEEN TERMINALS |
PCT/ES2006/000691 WO2007071803A1 (es) | 2005-12-19 | 2006-12-18 | Sistema y procedimiento de registro y certificación de la actividad y/o comunicación entre terminales |
US12/278,232 US20090119192A1 (en) | 2005-12-19 | 2006-12-18 | System and method for registering and certifying activity and/or communication between terminals |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ES200503214A ES2303422B1 (es) | 2005-12-19 | 2005-12-19 | Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales. |
Publications (2)
Publication Number | Publication Date |
---|---|
ES2303422A1 ES2303422A1 (es) | 2008-08-01 |
ES2303422B1 true ES2303422B1 (es) | 2009-06-23 |
Family
ID=38188298
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES200503214A Active ES2303422B1 (es) | 2005-12-19 | 2005-12-19 | Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales. |
Country Status (5)
Country | Link |
---|---|
US (1) | US20090119192A1 (es) |
EP (1) | EP1970849A4 (es) |
CA (1) | CA2640690A1 (es) |
ES (1) | ES2303422B1 (es) |
WO (1) | WO2007071803A1 (es) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5105291B2 (ja) * | 2009-11-13 | 2012-12-26 | セイコーインスツル株式会社 | 長期署名用サーバ、長期署名用端末、長期署名用端末プログラム |
EP2795563A4 (en) * | 2011-12-20 | 2015-06-24 | Intel Corp | NEGOTIATING TRANSACTION FEES FOR CURRENCY REMISSION |
Family Cites Families (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS5212830B2 (es) * | 1972-11-25 | 1977-04-09 | ||
US3942884A (en) * | 1973-12-05 | 1976-03-09 | Victor Richards | Interactive audio-visual apparatus |
US4585992A (en) * | 1984-02-03 | 1986-04-29 | Philips Medical Systems, Inc. | NMR imaging methods |
US5521984A (en) * | 1993-06-10 | 1996-05-28 | Verification Technologies, Inc. | System for registration, identification and verification of items utilizing unique intrinsic features |
US6353699B1 (en) * | 1994-03-03 | 2002-03-05 | Barry H. Schwab | Method and apparatus for compiling audio/video information from remote sites into a final video program |
US5509071A (en) * | 1994-04-01 | 1996-04-16 | Microelectronics And Computer Technology Corporation | Electronic proof of receipt |
US5780155A (en) * | 1994-08-11 | 1998-07-14 | Chisso Corporation | Melt-adhesive composite fibers, process for producing the same, and fused fabric or surface material obtained therefrom |
US6658568B1 (en) * | 1995-02-13 | 2003-12-02 | Intertrust Technologies Corporation | Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management |
CN1912885B (zh) * | 1995-02-13 | 2010-12-22 | 英特特拉斯特技术公司 | 用于安全交易管理和电子权利保护的***和方法 |
US6134326A (en) * | 1996-11-18 | 2000-10-17 | Bankers Trust Corporation | Simultaneous electronic transactions |
US6035402A (en) * | 1996-12-20 | 2000-03-07 | Gte Cybertrust Solutions Incorporated | Virtual certificate authority |
TW432305B (en) * | 1997-03-31 | 2001-05-01 | Hitachi Ltd | Electronic commerce transaction system |
KR100241350B1 (ko) * | 1997-10-27 | 2000-02-01 | 정선종 | 전자 거래에서 안전한 전자 공증문서 생성방법 |
US6314517B1 (en) * | 1998-04-02 | 2001-11-06 | Entrust Technologies Limited | Method and system for notarizing digital signature data in a system employing cryptography based security |
WO2000011619A1 (en) * | 1998-08-21 | 2000-03-02 | Peha John M | Methods for generating a verifiable audit record and performing an audit |
US7232064B1 (en) * | 1999-01-29 | 2007-06-19 | Transcore, Inc. | Digital video audit system |
WO2001003077A1 (en) | 1999-07-05 | 2001-01-11 | Dexrad (Proprietary) Limited | Document verification system |
GB2358115A (en) | 1999-09-17 | 2001-07-11 | Ibm | Method and system for remote printing of duplication resistent documents |
FR2803961B1 (fr) | 2000-01-19 | 2002-03-15 | Ghislain Moret | Systeme de securisation des transactions lors d'achats par correspondance |
CN1317900A (zh) * | 2000-01-27 | 2001-10-17 | 英毕特公司 | 在联网交易中用于跟踪网屏活动的方法和*** |
US6662226B1 (en) * | 2000-01-27 | 2003-12-09 | Inbit, Inc. | Method and system for activating and capturing screen displays associated with predetermined user interface events |
US6601047B2 (en) * | 2000-03-08 | 2003-07-29 | Inbit Inc. | Image-based digital evidence system and associated method |
KR20010095907A (ko) | 2000-04-12 | 2001-11-07 | 오재혁 | 새로운 보안 기술을 이용한 컨텐츠 제공 시스템 및 그제공 방법 |
US20020038291A1 (en) * | 2000-07-10 | 2002-03-28 | Petersen Diane E. | Certificate evaluation and enhancement process |
EP1314143B1 (fr) * | 2000-08-30 | 2005-05-11 | CORNUEJOLS, Georges | Dispositif et procede de sauvegarde d'information de transaction en ligne |
IL138273A0 (en) * | 2000-09-05 | 2001-10-31 | Koren Lea | System and method for secure e-commerce |
JP3755394B2 (ja) * | 2000-09-29 | 2006-03-15 | 日本電気株式会社 | 電子商取引監査システム、電子商取引監査方法及び電子商取引監査プログラムを記録した記録媒体 |
US20020065695A1 (en) * | 2000-10-10 | 2002-05-30 | Francoeur Jacques R. | Digital chain of trust method for electronic commerce |
KR100441598B1 (ko) | 2000-11-22 | 2004-07-23 | 주식회사 넷웍스 | 내용증명 작성 및 발송 서비스 시스템과 그 방법 |
JP2002163394A (ja) | 2000-11-22 | 2002-06-07 | Ntt Communications Kk | コンテンツ認定サーバ |
US6804705B2 (en) * | 2001-01-30 | 2004-10-12 | Paul V. Greco | Systems and methods for providing electronic document services |
GB2376319A (en) * | 2001-06-05 | 2002-12-11 | Security & Standards Ltd | Validation System |
KR20020096331A (ko) | 2001-06-19 | 2002-12-31 | 주재영 | 인터넷을 이용한 내용증명시스템 |
CA2351046A1 (en) | 2001-06-19 | 2002-12-19 | Predrag Zivic | Trust model router |
KR100452581B1 (ko) | 2001-06-20 | 2004-10-14 | (주)잉카엔트웍스 | 인터넷 사이트의 컨텐츠 자료를 개인용 정보 처리기로 오토 싱크하는 싱크 프로그램을 기록한 기록매체 및 자료 동기화 방법 |
US6985837B2 (en) * | 2001-11-01 | 2006-01-10 | Moon Dennis A | System presenting meteorological information using a browser interface |
US7436887B2 (en) * | 2002-02-06 | 2008-10-14 | Playtex Products, Inc. | Method and apparatus for video frame sequence-based object tracking |
US6874089B2 (en) * | 2002-02-25 | 2005-03-29 | Network Resonance, Inc. | System, method and computer program product for guaranteeing electronic transactions |
KR20020026505A (ko) | 2002-03-04 | 2002-04-10 | 이성훈 | 휴대형 보안장치를 이용한 전자상거래 인증 및isp 결제서비스 방법 |
US20030187956A1 (en) * | 2002-04-01 | 2003-10-02 | Stephen Belt | Method and apparatus for providing access control and content management services |
US20030204736A1 (en) * | 2002-04-25 | 2003-10-30 | International Business Machines Corporation | Apparatus for authenticated recording and method therefor |
WO2004015552A2 (en) * | 2002-08-12 | 2004-02-19 | Domain Dynamics Limited | Method of authentication |
KR20040025180A (ko) | 2002-09-18 | 2004-03-24 | 최운철 | 피투피를 이용한 무제한 메일관리, 보안관리 및 웹과탐색기 상태에서 자료복사 처리시스템 및 처리방법 |
KR100508010B1 (ko) | 2003-01-14 | 2005-08-17 | 주식회사 인츠커뮤니티 | 인증을 통해 온라인으로 디지털 콘텐츠를 제공하는 방법및 시스템 |
JP2004334353A (ja) | 2003-05-01 | 2004-11-25 | Nippon Telegr & Teleph Corp <Ntt> | 情報取得装置及びその方法と、情報提供装置及びその方法と、情報取得プログラム及びそのプログラムを記録した記録媒体と、情報提供プログラム及びそのプログラムを記録した記録媒体 |
US8214884B2 (en) * | 2003-06-27 | 2012-07-03 | Attachmate Corporation | Computer-based dynamic secure non-cached delivery of security credentials such as digitally signed certificates or keys |
US7769994B2 (en) | 2003-08-13 | 2010-08-03 | Radware Ltd. | Content inspection in secure networks |
JP4336547B2 (ja) | 2003-08-21 | 2009-09-30 | 株式会社リコー | 情報処理装置、認証方法、認証プログラム及び記録媒体 |
US7392534B2 (en) * | 2003-09-29 | 2008-06-24 | Gemalto, Inc | System and method for preventing identity theft using a secure computing device |
US20060184410A1 (en) * | 2003-12-30 | 2006-08-17 | Shankar Ramamurthy | System and method for capture of user actions and use of capture data in business processes |
US7725508B2 (en) * | 2004-03-31 | 2010-05-25 | Google Inc. | Methods and systems for information capture and retrieval |
JP2005316534A (ja) * | 2004-04-27 | 2005-11-10 | A Line Kk | 電子商取引システム |
WO2006007405A2 (en) * | 2004-06-16 | 2006-01-19 | Brownewell Michael L | Video documentation for loss control |
US20080184272A1 (en) * | 2004-06-16 | 2008-07-31 | Brownewell Michael L | Documentation system for loss control |
KR20060032888A (ko) * | 2004-10-13 | 2006-04-18 | 한국전자통신연구원 | 인터넷 통한 신원정보 관리 장치 및 이를 이용한 서비스제공방법 |
-
2005
- 2005-12-19 ES ES200503214A patent/ES2303422B1/es active Active
-
2006
- 2006-12-18 CA CA002640690A patent/CA2640690A1/en not_active Abandoned
- 2006-12-18 US US12/278,232 patent/US20090119192A1/en not_active Abandoned
- 2006-12-18 EP EP06841743A patent/EP1970849A4/en not_active Withdrawn
- 2006-12-18 WO PCT/ES2006/000691 patent/WO2007071803A1/es active Application Filing
Non-Patent Citations (1)
Title |
---|
Base de datos WPI en Derwent Publications Ltd., (Londres, GB), semana 200579, AN 2005-775261, clase P85, T01, JP 2005316534 A (A LINE KK), resumen. * |
Also Published As
Publication number | Publication date |
---|---|
CA2640690A1 (en) | 2007-06-28 |
EP1970849A1 (en) | 2008-09-17 |
US20090119192A1 (en) | 2009-05-07 |
WO2007071803A1 (es) | 2007-06-28 |
EP1970849A4 (en) | 2009-11-04 |
ES2303422A1 (es) | 2008-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI697842B (zh) | 二維條碼的處理方法、裝置及系統 | |
US11722301B2 (en) | Blockchain ID connect | |
EP3721578B1 (en) | Methods and systems for recovering data using dynamic passwords | |
US10127378B2 (en) | Systems and methods for registering and acquiring E-credentials using proof-of-existence and digital seals | |
RU2638741C2 (ru) | Способ и система аутентификации пользователя посредством мобильного устройства с применением сертификатов | |
US7457950B1 (en) | Managed authentication service | |
US7689832B2 (en) | Biometric-based system and method for enabling authentication of electronic messages sent over a network | |
US9325701B2 (en) | Method and apparatus for the secure authentication of a web-site | |
JP5133248B2 (ja) | クライアント/サーバー認証システムにおけるオフライン認証方法 | |
US9596089B2 (en) | Method for generating a certificate | |
CN108092779A (zh) | 一种实现电子签约的方法及装置 | |
CN109509518A (zh) | 电子病历的管理方法、服务器及计算机存储介质 | |
US8732793B2 (en) | Method and system for improving security of the key device | |
ES2200598T3 (es) | Procedimiento y sistema para encargar y suministrar certificados digitales. | |
KR20020081269A (ko) | 전자 신원의 발행 방법 | |
JP4690779B2 (ja) | 属性証明書検証方法及び装置 | |
CN108881253A (zh) | 区块链实名参与方法和*** | |
JP2015154491A (ja) | リモートアクセス、リモートデジタル署名のためのシステムおよび方法 | |
KR101858653B1 (ko) | 블록체인 데이터베이스 및 이와 연동하는 머클 트리 구조를 통해 모바일 아이디를 이용하여 사용자를 인증하는 방법, 단말 및 이를 이용한 서버 | |
US20220005039A1 (en) | Delegation method and delegation request managing method | |
WO2008132248A1 (es) | Método y sistema de notarización de transacciones electrónicas | |
US10686777B2 (en) | Method for establishing protected electronic communication, secure transfer and processing of information among three or more subjects | |
US20230394179A1 (en) | Information processing apparatus, information processing method, and non-transitory computer-readable storage medium | |
ES2303422B1 (es) | Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales. | |
JPH1165443A (ja) | 個人認証情報の管理方式 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
EC2A | Search report published |
Date of ref document: 20080801 Kind code of ref document: A1 |
|
GD2A | Contractual licences |
Effective date: 20100518 |