ES2568661T3 - Sistemas y métodos para distribuir y garantizar datos - Google Patents

Abstract

Un método para garantizar datos generando una recopilación de fragmentos de los datos, comprendiendo el método: aplicar un mecanismo de compartición de un esquema de compartición de secretos de cálculo a los datos para producir una recopilación de comparticiones; generar un valor aleatorio o pseudo-aleatorio; calcular un conjunto de valores de vinculación y un conjunto de valores de no vinculación a partir del valor aleatorio o pseudo-aleatorio y la recopilación de las comparticiones; producir cada fragmento en la recopilación de fragmentos combinando una compartición, un valor de no vinculación, y al menos un valor de vinculación del conjunto de valores de vinculación; y almacenar cada fragmento en al menos un depósito de datos.

Description

5

10

15

20

25

30

35

40

45

50

55

60

65

DESCRIPCION

Sistemas y metodos para distribuir y garantizar datos Referenda cruzada a las solicitudes relacionadas

Esta solicitud reivindica el beneficio de la solicitud provisional de Estados Unidos N.° 60/857.345, presentada el 7 de noviembre de 2006.

Campo de la invencion

La presente invencion se refiere, en general, a un sistema para garantizar los datos contra el acceso o el uso no autorizado. La presente invencion tambien se refiere, en general, a tecnicas de cifrado para la construccion de esquemas de comparticion de secretos, y mas especlficamente a sistemas y metodos para soportar un esquema de comparticion de secretos que puede tolerar el dano a una o mas comparticiones.

Antecedentes de la invencion

En la sociedad actual, los individuos y las empresas realizan una cantidad cada vez mayor de actividades en y sobre los sistemas informaticos. Estos sistemas informaticos, que incluyen las redes informaticas propietarias y no propietarias, a menudo almacenan, archivan y transmiten todo tipo de information sensible. Por lo tanto, existe una necesidad cada vez mayor de garantizar que los datos almacenados y transmitidos a traves de estos sistemas no pueden leerse o comprometerse de algun otro modo.

Una solution comun para garantizar los sistemas informaticos es proporcionar de manera funcional un nombre de usuario y contrasena. Sin embargo, la gestion de contrasenas ha demostrado ser bastante costosa con un gran porcentaje de las llamadas al servicio de ayuda relacionadas con los problemas de contrasenas. Por otra parte, las contrasenas proporcionan poca seguridad en cuanto a que, en general, se almacenan en un archivo susceptible a un acceso inadecuado, a traves de, por ejemplo, los ataques de fuerza bruta.

Otra solucion para garantizar los sistemas informaticos es proporcionar unas infraestructuras de cifrado. La criptografla, en general, se refiere a la protection de datos mediante la transformation o el cifrado de los mismos a un formato ilegible. Solo aquellos que poseen la clave(s) del cifrado pueden descifrar los datos en un formato utilizable. La criptografla se usa para identificar usuarios, por ejemplo, la autenticacion, para permitir privilegios de acceso, por ejemplo, la autorizacion, para crear certificados y firmas digitales, y similares. Un sistema de criptografla popular es un sistema de clave publica que usa dos claves, una clave publica conocida por todos y una clave privada que solo conoce el propietario individual o negocio de la misma. En general, los datos cifrados con una clave se descifran con la otra y la clave no puede recrearse a partir de la otra.

Desafortunadamente, incluso los sistemas criptograficos de clave publica tlpicos anteriores son aun muy dependientes del usuario para la seguridad. Por ejemplo, los sistemas criptograficos entregan la clave privada al usuario, por ejemplo, a traves del navegador del usuario. A continuation, los usuarios no sofisticados, en general, almacenan la clave privada en un disco duro accesible a los demas a traves de un sistema informatico abierto, como, por ejemplo, Internet. Por otro lado, los usuarios pueden escoger nombres pobres para los archivos que contienen su clave privada, como, por ejemplo “clave”. El resultado de lo anterior y otros actos es permitir que la clave o las claves sean susceptibles de comprometerse.

Ademas de los compromisos anteriores, un usuario puede guardar su clave privada en un sistema informatico configurado con un sistema de copia de seguridad o archivado, dando como resultado potencialmente en copias de la clave privada que viaja a traves de multiples dispositivos de almacenamiento informaticos u otros sistemas. Esta brecha de seguridad se denomina a menudo como “migration de clave”. Al igual que en la migration de clave, muchas aplicaciones proporcionan acceso a la clave privada de un usuario a traves de, a lo sumo, un simple acceso de nombre de usuario y contrasena. Como se ha mencionado anteriormente, el acceso de nombre de usuario y contrasena a menudo no proporciona una seguridad adecuada.

Una solucion para aumentar la seguridad de los sistemas criptograficos anteriores es incluir la biometrla como parte de la autenticacion o autorizacion. La biometrla, en general, incluye unas caracterlsticas flsicas medibles, tales como, por ejemplo, las huellas dactilares o la voz que pueden comprobarse mediante un sistema automatizado, como, por ejemplo, la coincidencia de patrones o el reconocimiento de patrones de huellas digitales o patrones de voz. En tales sistemas, los datos biometricos y/o las claves de un usuario pueden almacenarse en los dispositivos informaticos moviles, tales como, por ejemplo, una tarjeta inteligente, un ordenador portatil, un asistente digital personal o un telefono movil, permitiendo de este modo que los datos biometricos o las claves puedan usarse en un ambiente movil.

El sistema criptografico biometrico movil anterior sufre todavla de una variedad de inconvenientes. Por ejemplo, el usuario movil puede perder o romper la tarjeta inteligente o el dispositivo informatico portatil, teniendo de este modo

5

10

15

20

25

30

35

40

45

50

55

60

65

cortado enteramente su acceso a los datos potencialmente importantes. Como alternativa, una persona con malas intenciones puede robar la tarjeta inteligente movil o el dispositivo informatico portatil del usuario y usarlo para robar efectivamente las credenciales digitales del usuario movil. Por otra parte, el dispositivo informatico portatil puede estar conectado a un sistema abierto, tal como Internet, y, como con las contrasenas, el archivo en el que se almacenan los datos biometrics puede ser susceptible de comprometerse a traves de la falta de atencion del usuario para la seguridad o los intrusos maliciosos.

Una forma de proteger los datos contra el acceso no autorizado o el uso no autorizado es usar un esquema de comparticion de secretos. Un esquema de comparticion de secretos es un metodo para dividir una pieza sensible de los datos (por ejemplo, los archivos confidenciales, una clave de cifrado, o cualquier tipo de comunicacion), a veces llamado el secreto, en una recopilacion de piezas, llamadas comparticiones, de tal manera que la posesion de un numero suficiente de comparticiones permite la recuperacion del secreto, pero la posesion de un numero insuficiente de comparticiones proporciona poca o ninguna informacion sobre el secreto que se ha compartido. Estos esquemas son herramientas importantes en la criptografla y la seguridad de la informacion.

Formalmente, un esquema de comparticion de secretos consiste en un par de algoritmos, el algoritmo de comparticion Compartir y el algoritmo de recuperacion Recuperar. El algoritmo de comparticion es normalmente probabilistic (lo que significa que hace elecciones aleatorias), y el algoritmo de recuperacion es normalmente deterministic. El algoritmo de comparticion puede usarse para desmontar o dividir, el secreto en una recopilacion de comparticiones, y el algoritmo de recuperacion puede usarse para volver a montar dichas comparticiones. A la hora del montaje, cada comparticion puede estar presente, en cuyo caso puede proporcionarse una cadena al algoritmo de recuperacion, o es posible que falte una comparticion, en cuyo caso puede suministrarse un valor designado (denominado como, (“◊”) en el presente documento) al algoritmo de recuperacion. Un conjunto de actores que esta autorizado a recuperar el secreto se llama conjunto autorizado, y el conjunto de todos estos actores a veces se llama estructura de acceso.

Los esquemas de comparticion de secretos se han disenado para trabajar en diversas estructuras de acceso, pero la estructura de acceso mas comun es una estructura de acceso umbral, en la que cualquier subconjunto de m o mas actores, de un total de n actores en total, se dice que estan autorizados. Un esquema de comparticion de secretos de una estructura de acceso umbral a veces se llama esquema umbral. Hay dos propiedades de seguridad para cualquier esquema de comparticion de secretos: una propiedad de privacidad y una propiedad de recuperabilidad. La propiedad de privacidad garantiza que las coaliciones no autorizadas de actores no aprenden nada util sobre el secreto. La propiedad de recuperabilidad garantiza que las coaliciones autorizadas de actores en ultima instancia, pueden recuperar el secreto subyacente.

El esquema de comparticion de secretos de Shamir se dice que es un esquema de comparticion de secretos perfecto (PSS). El termino “perfecto” se refiere a que la garantla de privacidad es una informacion teorica y sin ningun error; por lo tanto, las coaliciones no autorizadas de actores no pueden aprender nada util sobre el secreto subyacente en los esquemas de PSS.

Una limitacion con los esquemas de PSS es que el tamano de cada comparticion debe ser al menos tan largo como el tamano del secreto que se comparte. Sin embargo, cuando el secreto incluye un archivo grande o una cadena larga de caracteres, esta limitacion puede llegar a ser diflcil de manejar, aumentando la complejidad global del sistema. En respuesta a esta limitacion, se han desarrollado los esquemas para la comparticion de secretos de calculo (CSS).

Por ejemplo, el esquema CSS de Krawczyk permite que las comparticiones sean mas cortas que el secreto. Por ejemplo, en un esquema umbral de 2 de 3 (lo que significa que dos de tres comparticiones son adecuadas para recuperar el secreto), el secreto S puede dividirse en comparticiones de un tamano aproximadamente de |S|/2 bits, en la que |S| indica la longitud de S. Estas comparticiones cortas no son posibles en la configuracion de pSs. Sin embargo, en los esquemas de CSS la propiedad de privacidad ya no puede ser una informacion absoluta y teorica; mas bien, una coalicion no autorizada de actores puede obtener una pequena cantidad de informacion sobre el secreto compartido a partir de sus comparticiones. Pero, bajo un supuesto de complejidad de calculo, la cantidad de informacion sera insignificante y por lo tanto, en la practica, no es una gran preocupacion.

Una segunda limitacion de los esquemas de PSS se refiere a la falta de robustez encomendada. La robustez significa que un participante defectuoso o contradictorio es incapaz de obligar a la recuperacion de un secreto incorrecto. El modelo para PSS supone que cada comparticion es o “correcto” o “perdido”, pero nunca puede ser incorrecto (por ejemplo, danado o intencionadamente alterado). En la practica, esta suposicion es muy irrazonable porque las comparticiones pueden ser erroneas debido a una serie de factores, entre ellos, por ejemplo, los errores en el almacenamiento, el ruido en un canal de comunicaciones, o debido a las actividades genuinamente contradictorias. Ademas, la falta de robustez no es solo una posibilidad teorica, sino un problema genuino para los esquemas de PSS normales, incluyendo el esquema de comparticion de secretos de Shamir. Con el esquema de Shamir, un adversario puede forzar de hecho la recuperacion de cualquier secreto deseado cambiando de manera apropiada solo una comparticion. Las aplicaciones practicas de los esquemas de comparticion de secretos normalmente necesitan robustez.

5

10

15

20

25

30

35

40

45

50

55

60

65

Sumario de la invencion

Basandose en lo anterior, se necesitan unos sistemas de comparticion de secretos de calculos robustos que sean a la vez eficientes y tengan unas fuertes propiedades de seguridad demostrables bajo unos supuestos criptograficos debiles.

En consecuencia, un aspecto de la presente invencion es proporcionar un metodo para garantizar de manera virtual cualquier tipo de datos de un acceso o uso no autorizado. El metodo comprende una o mas etapas de analizar, dividir y/o separar los datos a garantizarse en dos o mas partes o porciones. El metodo tambien comprende encriptar los datos a garantizarse. El cifrado de los datos puede realizarse antes o despues del primer analisis, division y/o separacion de los datos. Ademas, la etapa de cifrado puede repetirse para una o mas porciones de los datos. Del mismo modo, las etapas de analisis, division y/o separacion pueden repetirse para una o mas porciones de los datos. El metodo tambien comprende de manera opcional almacenar los datos analizados, divididos y/o separados que se han cifrado en una localizacion o en multiples localizaciones. Este metodo tambien comprende de manera opcional reconstituir o volver a montar los datos protegidos en su forma original para el acceso o uso autorizado. Este metodo puede incorporarse en las operaciones de cualquier ordenador, servidor, motor o similares, que sea capaz de ejecutar las etapas deseadas del metodo.

Otro aspecto de la presente invencion proporciona un sistema para garantizar de manera virtual cualquier tipo de datos de un acceso o uso no autorizado. Este sistema comprende un modulo de division de datos, un modulo de manipulacion criptografica, y, de manera opcional, un modulo de ensamble de datos. El sistema puede, en una realizacion, comprender ademas, una o mas instalaciones de almacenamiento de datos en las que pueden almacenarse datos seguros.

Otro aspecto de la invencion incluye usar cualquier algoritmo de analisis y de division adecuado para generar comparticiones de datos. Cualquier combination aleatoria, pseudo-aleatoria, determinista, de los mismos puede emplearse para analizar y dividir los datos.

En otras realizaciones mas, se proporciona un esquema de comparticion de secretos de n partes con un espacio de mensajes S. Puede definirse una familia de adversarios, A. El esquema de comparticion de secretos de n partes puede incluir una o mas de las siguientes cinco primitivas: (1) un algoritmo de cifrado simetrico con claves de k bits y un espacio de mensaje S; (2) un algoritmo de pSs de n partes sobre unos adversarios A con un espacio de mensaje {0,1}k; (3) un algoritmo de dispersion de information de n partes (IDA); (4) un codigo de correction de errores de n partes (ECC) sobre unos adversarios A con un espacio de mensaje {0,1}h; y (5) un esquema de vinculacion aleatorio (o probabillstico). Los datos pueden garantizarse aplicando primero un algoritmo de comparticion de secretos de calculo para los datos a garantizarse. A continuation, puede generarse un valor aleatorio o pseudo-aleatorio. A parti r de la salida del algoritmo de comparticion de secretos y el valor aleatorio o pseudo-aleatorio, puede calcularse un conjunto de valores de vinculacion y de valores de no vinculacion. A continuacion, puede formarse una pluralidad de comparticiones combinando una salida de comparticion del algoritmo de comparticion de secretos, un valor de no vinculacion, y uno o mas valores de vinculacion. A continuacion, las comparticiones pueden almacenarse en una o mas localizaciones flsicas (por ejemplo, en una unidad de disco duro magnetico), o en una o mas localizaciones geograficas (por ejemplo, diferentes depositos de datos o servidores).

En algunas realizaciones, puede usarse un esquema de vinculacion probabillstica para calcular el conjunto de valores de vinculacion y un conjunto de valores de no vinculacion. Cada comparticion puede definirse por una salida de comparticion de un algoritmo de comparticion de secretos de calculo, un valor de no vinculacion, y uno o mas valores de vinculacion del conjunto de valores de vinculacion.

En algunas realizaciones, puede generarse y usarse una clave de cifrado para cifrar los datos de usuario para crear una portion de texto cifrado. Un conjunto de n comparticiones de clave puede crearse aplicando un algoritmo de comparticion de secretos a la clave de cifrado. A continuacion, un conjunto de n fragmentos de texto cifrado puede crearse aplicando un algoritmo de dispersion de informacion (IDA) para el texto cifrado. Un conjunto de n valores de vinculacion y de n valores de no vinculacion puede calcularse aplicando un esquema de vinculacion probabillstica para cada una de las n comparticiones de clave y los fragmentos de texto cifrado. Pueden formarse N fragmentos de datos, en el que cada fragmento de datos puede ser una funcion de una comparticion de clave, un texto cifrado, un valor de no vinculacion, y uno o mas valores de vinculacion. Finalmente, los fragmentos de datos pueden almacenarse en uno o mas dispositivos de almacenamiento logicos (por ejemplo, n dispositivos de almacenamiento logicos). Uno o mas de estos dispositivos de almacenamiento logicos pueden estar localizados en diferentes localizaciones geograficas o flsicas. A continuacion, los datos de usuario pueden reconstituirse combinando al menos un numero predefinido de fragmentos de datos. En algunas realizaciones, pueden usarse diversos codigos de correccion de errores para proporcionar una recopilacion adecuada de los valores de vinculacion a cada actor.

Breve description de los dibujos

La presente invencion se describe con mas detalle a continuacion en conexion con los dibujos adjuntos, que estan destinados a ilustrar y no a limitar la invencion, y en los que:

5

10

15

20

25

30

35

40

45

50

55

60

65

La figura 1 ilustra un diagrama de bloques de un sistema criptografico, de acuerdo con los aspectos de una realizacion de la invention;

La figura 2 ilustra un diagrama de bloques del motor de confianza de la figura 1, de acuerdo con los aspectos de una realizacion de la invencion;

La figura 3 ilustra un diagrama de bloques del motor de transaction de la figura 2, de acuerdo con los aspectos de una realizacion de la invencion;

La figura 4 ilustra un diagrama de bloques del depositario de la figura 2, de acuerdo con los aspectos de una realizacion de la invencion;

La figura 5 ilustra un diagrama de bloques del motor de autenticacion de la figura 2, de acuerdo con los aspectos de una realizacion de la invencion;

La figura 6 ilustra un diagrama de bloques del motor de cifrado de la figura 2, de acuerdo con los aspectos de una realizacion de la invencion;

La figura 7 es un diagrama de bloques ilustrativo que representa la estructura global de un esquema de comparticion de secretos de calculo robusto (RCSS), de acuerdo con una realizacion de la invencion;

La figura 8 ilustra el proceso de comparticion de secretos, de acuerdo con una realizacion de la invencion;

La figura 9 ilustra con mayor detalle las etapas de vinculacion mostradas en la figura 8, de acuerdo con una realizacion de la invencion;

La figura 10 ilustra el proceso de comparticion basado en una abstraction diferente de la construction de un esquema de RCSS a partir de un esquema de CSS y de un esquema de vinculacion; y

La figura 11 ilustra con mas detalle las etapas de verification en el esquema de vinculacion probabillstica mostrado en la figura 10.

Description detallada de la invencion

Un aspecto de la presente invencion es proporcionar un sistema criptografico en el que uno o mas servidores seguros, o un motor de confianza, almacenan las claves de cifrado y los datos de autenticacion de usuario. Los usuarios acceden a la funcionalidad de los sistemas criptograficos convencionales a traves del acceso de red al motor de confianza, sin embargo, el motor de la confianza no divulga las claves reales y otros datos de autenticacion y, por lo tanto, las claves y los datos permanecen seguros. Este almacenamiento centrado en el servidor de claves y de datos de autenticacion mantiene la seguridad independiente del usuario, la portabilidad, la disponibilidad y la sencillez.

Debido a que los usuarios pueden confiar en el sistema criptografico para realizar la autenticacion de usuario y documentos y otras funciones de cifrado, puede incorporarse una amplia variedad de funcionalidades en el sistema. Por ejemplo, el proveedor del motor de confianza puede garantizar contra el acuerdo de repudio, por ejemplo, autenticando a los participantes del acuerdo, firmando de manera digital el acuerdo en nombre de o para los participantes, y almacenar un registro del acuerdo firmado de manera digital por cada participante. Ademas, el sistema criptografico puede monitorizar los acuerdos y determinar la aplicacion de diferentes grados de autenticacion, a partir de, por ejemplo, el precio, el usuario, el proveedor, la localization geografica, el lugar de uso, o similares.

Para facilitar una comprension completa de la invencion, el resto de la descripcion detallada describe la invencion con referencia a las figuras, en las que los elementos similares estan referenciados con numeros similares completamente.

La figura 1 ilustra un diagrama de bloques de un sistema criptografico 100, de acuerdo con los aspectos de una realizacion de la invencion. Como se muestra en la figura 1, el sistema criptografico 100 incluye un sistema de usuario 105, un motor de confianza 110, una autoridad de certification 115, y un sistema de proveedor 120, que se comunica a traves de un enlace de comunicaciones 125.

De acuerdo con una realizacion de la invencion, el sistema de usuario 105 comprende un ordenador de fin general convencional que tiene uno o mas microprocesadores, tales como, por ejemplo, un procesador basado en Intel. Ademas, el sistema de usuario 105 incluye un sistema operativo apropiado, tal como, por ejemplo, un sistema operativo capaz de incluir graficos o ventanas, tales como Windows, Unix, Linux, o similares. Como se muestra en la figura 1, el sistema de usuario 105 puede incluir un dispositivo biometrico 107. El dispositivo biometrico 107 puede capturar de manera ventajosa unos datos biometricos del usuario y transferir los datos biometricos capturados al motor de confianza 110. De acuerdo con una realizacion de la invencion, el dispositivo biometrico puede comprender de manera ventajosa un dispositivo que tenga atributos y caracterlsticas similares a los divulgados en la solicitud de patente de Estados Unidos N.° 08/926.277, presentada el 5 de septiembre de 1997, titulada “ “RELIEF OBJECT IMAGE GENERATOR”, en la solicitud de patente de Estados Unidos N.° 09/558.634, presentada el 26 de abril de 2000, titulada “IMAGING DEVICE FOR A RELIEF OBJECT AND SYSTEM AND METHOD OF USING THE IMAGE DEVICE”, en la solicitud de Patente de Estados Unidos N.° 09/435.011, presentada el 5 de noviembre de 1999, titulada “RELIEF OBJECT SENSOR ADAPTOR”, y en la solicitud de patente de Estados Unidos N.° 09/477.943, presentada el 5 de enero del ano 2000, titulada “PLANAR OPTICAL IMAGE SENSOR AND SYSTEM FOR GENERATING AN ELECTRONIC IMAGE OF A RELIEF OBJECT FOR FINGER-PRINT READING”, todas las cuales son propiedad de la cesionaria presente.

5

10

15

20

25

30

35

40

45

50

55

60

65

Ademas, el sistema de usuario 105 puede conectarse al enlace de comunicaciones 125 a traves de un proveedor de servicios convencional, tal como, por ejemplo, una conexion telefonica, una llnea de abonado digital (DSL), un modem por cable, una conexion de fibra, o similares. De acuerdo con otra realization, el sistema de usuario 105 se conecta al enlace de comunicaciones 125 a traves de una conectividad de red, tal como, por ejemplo, una red de area local o amplia. De acuerdo con una realizacion, el sistema operativo incluye una pila TCP/IP que maneja todo el trafico de mensajes entrantes y salientes que pasa a traves del enlace de comunicaciones 125.

Aunque el sistema de usuario 105 se divulga con referencia a las realizaciones anteriores, la invention no esta destinada a limitarse por las mismas. Mas bien, un experto en la materia reconocera a partir de la divulgation en el presente documento, un gran numero de realizaciones alternativas del sistema de usuario 105, incluyendo casi cualquier dispositivo informatico capaz de enviar o recibir information desde otro sistema informatico. Por ejemplo, el sistema de usuario 105 puede incluir, pero no se limitan a, una estacion de trabajo informatica, una television interactiva, un kiosco interactivo, un dispositivo de informatization movil personal, como por ejemplo, un asistente digital, un telefono movil, un ordenador portatil, o similares, un dispositivo de comunicaciones inalambricas, una tarjeta inteligente, un dispositivo informatico integrado, o similares, que pueden interactuar con el enlace de comunicaciones 125. En estos sistemas alternativos, los sistemas operativos son probablemente diferentes y se adaptan al dispositivo especlfico. Sin embargo, de acuerdo con una realizacion, los sistemas operativos siguen proporcionando de manera ventajosa los protocolos de comunicaciones apropiados necesarios para establecer la comunicacion con el enlace de comunicaciones 125.

La figura 1 ilustra el motor de confianza 110. De acuerdo con una realizacion, el motor de confianza 110 comprende uno o mas servidores seguros para acceder y almacenar la informacion sensible, que puede ser cualquier tipo o forma de datos, tales como, pero no limitado a texto, audio, video, datos de autenticacion de usuario y claves de cifrado publicas y privadas. De acuerdo con una realizacion, los datos de autenticacion incluyen datos disenados para identificar de manera unica a un usuario del sistema criptografico 100. Por ejemplo, los datos de autenticacion pueden incluir un numero de identification de usuario, uno o mas datos biometricos, y una serie de preguntas y respuestas generadas por el motor de confianza 110 o el usuario, pero respondidas inicialmente por el usuario en el registro. Las preguntas anteriores pueden incluir datos demograficos, tales como el lugar de nacimiento, la direction, el aniversario, o similares, datos personales, tales como el nombre de soltera de la madre, el helado favorito, o similares, u otros datos disenados para identificar de manera unlvoca al usuario. El motor de confianza 110 compara los datos de autenticacion del usuario asociados con una transaction en curso, con los datos de autenticacion proporcionados en un momento anterior tales como, por ejemplo, durante el registro. El motor de confianza 110 puede necesitar de manera ventajosa que el usuario produzca los datos de autenticacion en el momento de cada transaccion, o, el motor de confianza 110 puede permitir de manera ventajosa que el usuario produzca de manera periodica los datos de autenticacion, tal como en el principio de una cadena de transacciones o al iniciar sesion en un sitio web de proveedor especlfico.

De acuerdo con la realizacion en la que el usuario produce unos datos biometricos, el usuario proporciona una caracterlstica flsica; tal como, pero no limitado a, una exploration facial, una exploration de mano, una exploration de oldo, una exploracion del iris, una exploracion de retina, el patron vascular, el ADN, una huella digital, la escritura o el habla, al dispositivo biometrico 107. El dispositivo biometrico produce de manera ventajosa un patron electronico, o biometrico, de la caracterlstica flsica. El patron electronico se transfiere a traves del sistema de usuario 105 al motor de confianza 110, o para fines de autenticacion o de registro.

Una vez que el usuario produce los datos de autenticacion adecuados y que el motor de confianza 110 determina una coincidencia positiva entre esos datos de autenticacion (los datos de autenticacion actuales) y los datos de autenticacion proporcionados en el momento del registro (los datos de autenticacion de registro), el motor de confianza 110 proporciona al usuario la funcionalidad de cifrado completa. Por ejemplo, el usuario autenticado de manera correcta puede emplear de manera ventajosa el motor de confianza 110 para realizar un calculo de clave, una firma digital, un cifrado y un descifrado (a menudo denominado en conjunto solo como el cifrado), la creation o la distribution de certificados digitales, y similares. Sin embargo, las claves de cifrado privadas usadas en las funciones de cifrado no estaran disponibles fuera del motor de confianza 110, garantizando de este modo la integridad de las claves de cifrado.

De acuerdo con una realizacion, el motor de confianza 110 genera y almacena las claves de cifrado. De acuerdo con otra realizacion, al menos una clave de cifrado esta asociada con cada usuario. Por otra parte, cuando las claves de cifrado incluyen la tecnologla de clave publica, cada clave privada asociada con un usuario se genera dentro de, y no se libera de, el motor de confianza 110. Por lo tanto, siempre que el usuario tiene acceso al motor de confianza 110, el usuario puede realizar las funciones de cifrado usando su clave privada o publica. Este acceso remoto permite de manera ventajosa que los usuarios permanezcan completamente moviles y accedan a la funcionalidad de cifrado a traves de practicamente cualquier conexion a Internet, tales como los telefonos moviles y satelitales, los kioscos, los ordenadores portatiles, las habitaciones de hotel y similares.

De acuerdo con otra realizacion, el motor de confianza 110 realiza la funcionalidad de cifrado usando un par de claves generadas por el motor de confianza 110. De acuerdo con esta realizacion, el motor de confianza 110 primero autentica al usuario, y despues de que el usuario haya producido de manera correcta que los datos de autenticacion

5

10

15

20

25

30

35

40

45

50

55

60

65

coincidan con los datos de autenticacion registrados, el motor de confianza 110 usa su propio par de claves de cifrado para realizar las funciones de cifrado en nombre del usuario autenticado.

Un experto en la materia reconocera a partir de la divulgacion en el presente documento que las claves de cifrado pueden incluir de manera ventajosa algunas o todas las claves simetricas, las claves publicas y las claves privadas. Ademas, un experto en la materia reconocera a partir de la divulgacion en el presente documento que las claves anteriores pueden implementarse con un amplio numero de algoritmos disponibles a partir de tecnologlas comerciales, tales como, por ejemplo, RSA, ELGAMAL, o similares.

La figura 1 ilustra tambien la autoridad de certificacion 115. De acuerdo con una realizacion, la autoridad de certificacion 115 puede comprender de manera ventajosa una organizacion o empresa de terceros de confianza que emite los certificados digitales, tales como, por ejemplo, VeriSign, Baltimore, Entrust, o similares. El motor de confianza 110 puede transmitir de manera ventajosa las solicitudes de certificados digitales, a traves de uno o mas protocolos de certificados digitales convencionales, tales como, por ejemplo, PKCS10, a la autoridad de certificacion 115. En respuesta, la autoridad de certificacion 115 emitira un certificado digital en uno o mas de un numero de diferentes protocolos, tales como, por ejemplo, PKCS7. De acuerdo con una realizacion de la invencion, el motor de confianza 110 solicita los certificados digitales de varias o todas las autoridades de certificacion prominentes 115 de tal manera que el motor de confianza 110 tiene acceso a un certificado digital correspondiente a la norma de certificacion de cualquier parte solicitante.

De acuerdo con otra realizacion, el motor de confianza 110 realiza internamente emisiones de certificados. En esta realizacion, el motor de confianza 110 puede acceder a un sistema de certificados para generar los certificados y/o puede generar internamente los certificados cuando se solicitan, tal como, por ejemplo, en el momento de la generacion de las claves o en el certificado convencional solicitado en el momento de la solicitud. El motor de confianza 110 se divulgara en mayor detalle a continuacion.

La figura 1 tambien ilustra el sistema de proveedor 120. De acuerdo con una realizacion, el sistema de proveedor 120 comprende de manera ventajosa un servidor web. Los servidores de web normales, en general, sirven contenido a traves de Internet usando uno de diversos lenguajes de marcado de Internet o las normas de formato de documento, tales como el lenguaje de marcado de hipertexto (HTML) o el lenguaje de marcado extensible (XML). El servidor web acepta las solicitudes de los navegadores como Netscape e Internet Explorer y, a continuacion, devuelve los documentos electronicos adecuados. Una serie de tecnologlas del lado del servidor o del cliente pueden usarse para aumentar la potencia del servidor web mas alla de su capacidad de entregar los documentos electronicos convencionales. Por ejemplo, estas tecnologlas incluyen las secuencias de comandos de interfaz de pasarela comun (CGI), la capa de conexion segura (SSL) y las paginas de servidor activas (ASP). El sistema del proveedor 120 puede proporcionar de manera ventajosa contenidos electronicos relativos a las transacciones comerciales, personales, educativas o de otro tipo.

Aunque el sistema del proveedor 120 se divulga con referencia a las realizaciones anteriores, la invencion no esta destinada a limitarse por las mismas. Mas bien, un experto en la materia reconocera a partir de la divulgacion en el presente documento que el sistema de proveedor 120 puede comprender de manera ventajosa cualquiera de los dispositivos descritos con referencia al sistema de usuario 105 o a una combinacion de los mismos.

La figura 1 tambien ilustra el enlace de comunicaciones 125 que conecta el sistema de usuario 105, el motor de confianza 110, la autoridad de certificacion 115, y el sistema de proveedor 120. De acuerdo con una realizacion, el enlace de comunicaciones 125 comprende preferentemente la Internet. La Internet, tal como se usa en esta divulgacion es una red mundial de ordenadores. La estructura de la Internet, que es bien conocida por los expertos en la materia, incluye una estructura principal de red con unas redes que se ramifican desde la estructura principal. Estas ramificaciones, a su vez, tienen ramificaciones de redes a partir de las mismas, y as! sucesivamente. Los routers mueven los paquetes de informacion entre los niveles de la red, y a continuacion de una red a otra red, hasta que el paquete llega a la vecindad de su destino. Desde el destino, el host de la red de destino dirige el paquete de informacion al terminal apropiado, o nodo. En una realizacion ventajosa, los hubs de enrutamiento de Internet comprenden los servidores del sistema de nombres de dominio (DNS) que usan el protocolo de control de transmision/protocolo de internet (TCP/IP) como es bien conocido en la tecnica. Los hubs de enrutamiento se conectan a uno o mas hubs de enrutamiento a traves de los enlaces de comunicaciones de alta velocidad.

Una parte popular de la Internet es la World Wide Web. La World Wide Web contiene diferentes ordenadores, que almacenan los documentos capaces de visualizar informacion grafica y textual. Los ordenadores que proporcionan informacion sobre la World Wide Web normalmente se denominan “sitios web”. Un sitio web esta definido por una direccion de Internet que tiene una pagina electronica asociada. La pagina electronica puede identificarse por un localizador de recursos uniforme (URL). En general, una pagina electronica es un documento que organiza la presentacion del texto, de las imagenes graficas, el audio, el video, y asi sucesivamente.

Aunque el enlace de comunicaciones 125 se divulga en terminos de su realizacion preferida, un experto en la materia reconocera a partir de la divulgacion en el presente documento que el enlace de comunicaciones 125 puede incluir una amplia gama de enlaces de comunicaciones interactivos. Por ejemplo, el enlace de comunicaciones 125

5

10

15

20

25

30

35

40

45

50

55

60

65

puede incluir redes de television interactivas, redes telefonicas, sistemas de transmision inalambrica de datos, sistemas de cable de dos vias, redes informaticas privadas o publicas personalizadas, redes de kioscos interactivos, redes de cajeros automaticos, enlaces directos, redes por satelite o moviles, y similares.

La figura 2 ilustra un diagrama de bloques del motor de confianza 110 de la figura 1, de acuerdo con los aspectos de una realizacion de la invencion. Como se muestra en la figura 2, el motor de confianza 110 incluye un motor de transaccion 205, un depositario 210, un motor de autenticacion 215, y un motor de cifrado 220. De acuerdo con una realizacion de la invencion, el motor de confianza 110 incluye tambien un almacenamiento masivo 225. Como se muestra ademas en la figura 2, el motor de transaccion 205 se comunica con el depositario 210, el motor de autenticacion 215, y el motor de cifrado 220, junto con el almacenamiento masivo 225. Ademas, el depositario 210 se comunica con el motor de autenticacion 215, el motor de cifrado 220, y el almacenamiento masivo 225. Por otra parte, el motor de autenticacion 215 se comunica con el motor de cifrado 220. De acuerdo con una realizacion de la invencion, algunas o todas de las comunicaciones anteriores pueden comprender de manera ventajosa la transmision de documentos XML a direcciones IP que corresponden al dispositivo de recepcion. Como se ha mencionado anteriormente, los documentos XML permiten de manera ventajosa a los disenadores crear sus propias etiquetas de documentos personalizadas, lo que permite la definicion, la transmision, la validacion y la interpretacion de los datos entre las aplicaciones y entre las organizaciones. Ademas, algunas o todas de las comunicaciones anteriores pueden incluir las tecnologias SSL convencionales.

De acuerdo con una realizacion, el motor de transaccion 205 comprende un dispositivo de enrutamiento de datos, tal como un servidor web convencional disponible de Netscape, Microsoft, Apache, o similares. Por ejemplo, el servidor web puede recibir de manera ventajosa unos datos de entrada desde el enlace de comunicaciones 125. De acuerdo con una realizacion de la invencion, los datos de entrada se dirigen a un sistema de seguridad de front-end para el motor de confianza 110. Por ejemplo, el sistema de seguridad de front-end puede incluir de manera ventajosa un cortafuegos, un sistema de deteccion de intrusiones que busca los perfiles de ataque conocidos, y/o un escaner de virus. Despues de limpiar el sistema de seguridad de front-end, los datos se reciben por el motor de transaccion 205 y se enrutan a uno de entre el depositario 210, el motor de autenticacion 215, el motor de cifrado 220, y el almacenamiento masivo 225. Ademas, el motor de transaccion 205 monitoriza los datos de entrada del motor de autenticacion 215 y del motor de cifrado 220, y enruta los datos hacia los sistemas especificos a traves del enlace de comunicaciones 125. Por ejemplo, el motor de transaccion 205 puede enrutar de manera ventajosa los datos hacia el sistema de usuario 105, la autoridad de certificacion 115, o el sistema de proveedor 120.

De acuerdo con una realizacion, los datos se enrutan usando tecnicas de enrutamiento HTTP convencionales, tales como, por ejemplo, las que emplean las URL o los indicadores de recursos uniforme (URI). Los URI son similares a las URL, sin embargo, los URI indican normalmente la fuente de los archivos o las acciones, tal como, por ejemplo, ejecutables, secuencias de comandos, y similares. Por lo tanto, de acuerdo con la una realizacion, el sistema de usuario 105, la autoridad de certificacion 115, el sistema de proveedor 120, y los componentes del motor de confianza 210, incluyen de manera ventajosa datos suficientes dentro de las URL o los URI de comunicacion al motor de transaccion 205 para enrutar adecuadamente los datos en todo el sistema criptografico.

Aunque el enrutamiento de datos se divulga con referencia a su realizacion preferida, un experto en la materia reconocera un gran numero de posibles soluciones o estrategias de enrutamiento de datos. Por ejemplo, XML u otros paquetes de datos pueden desempaquetarse y reconocerse de manera ventajosa por su formato, su contenido, o similares, de tal manera que el motor de transaccion 205 puede enrutar datos adecuadamente a traves del motor de confianza 110. Por otra parte, un experto en la materia reconocera que el enrutamiento de datos puede adaptarse de manera ventajosa a los protocolos de transferencia de datos que se ajustan a los sistemas de red especificos, tales como, por ejemplo, cuando el enlace de comunicaciones 125 comprende una red local.

De acuerdo con otra realizacion mas de la invencion, el motor de transaccion 205 incluye las tecnologias de cifrado SSL convencionales, de tal manera que los sistemas anteriores pueden autenticarse a si mismos, y viceversa, con el motor de transaccion 205, durante las comunicaciones especificas. Tal como se usa en esta divulgacion, el termino “SSL /” se refiere a las comunicaciones en las que se autentica con SSL un servidor pero no necesariamente el cliente, y el termino “SSL COMPLETA” se refiere a las comunicaciones en las que el cliente y el servidor se autentican con SSL. Cuando la presente divulgacion usa el termino “SSL”, la comunicacion puede comprender una SSL / o COMPLETA.

A medida que el motor de transaccion 205 enruta los datos a los diversos componentes del sistema criptografico 100, el motor de transaccion 205 pueden crear de manera ventajosa una pista de auditoria. De acuerdo con una realizacion, la pista de auditoria incluye un registro de al menos el tipo y el formato de los datos enrutados por el motor de transaccion 205 en todo el sistema criptografico 100. Estos datos de auditoria pueden almacenarse de manera ventajosa en el almacenamiento masivo 225.

La figura 2 ilustra tambien el depositario 210. De acuerdo con una realizacion, el depositario 210 comprende una o mas instalaciones de almacenamiento de datos, tales como, por ejemplo, un servidor de directorio, un servidor de base de datos, o similares. Como se muestra en la figura 2, el depositario 210 almacena claves de cifrado y datos de autenticacion de registro. Las claves de cifrado pueden corresponder de manera ventajosa al motor de confianza

5

10

15

20

25

30

35

40

45

50

55

60

65

110 o a los usuarios del sistema criptografico 100, tal como el usuario o el proveedor. Los datos de autenticacion de registro pueden incluir de manera ventajosa unos datos disenados para identificar de manera unica a un usuario, tal como por ejemplo, el ID de usuario, contrasenas, respuestas a preguntas, datos biometricos, o similares. Estos datos de autenticacion de registro pueden adquirirse de manera ventajosa en el registro de un usuario o en otro momento posterior alternativo. Por ejemplo, el motor de confianza 110 puede incluir la renovacion o la reedicion de los datos de autenticacion de registro.

De acuerdo con una realizacion, la comunicacion del motor de transaccion 205 hacia y desde el motor de autenticacion 215 y el motor de cifrado 220 comprende una comunicacion segura, tal como, por ejemplo la tecnologla SSL convencional. Ademas, como se ha mencionado anteriormente, los datos de las comunicaciones hacia y desde el depositario 210 pueden transferirse usando las URL, los URI, HTTP o documentos XML, con cualquiera de los anteriores, teniendo de manera ventajosa unas solicitudes de datos y formatos integrados en los mismos.

Como se ha mencionado anteriormente, el depositario 210 puede comprender de manera ventajosa una pluralidad de instalaciones de almacenamiento de datos seguros. En tal realizacion, las instalaciones de almacenamiento de datos seguros pueden configurarse de tal manera que un compromiso de la seguridad en una instalacion de almacenamiento de datos individual no comprometera las claves de cifrado o los datos de autenticacion almacenados en las mismas. Por ejemplo, de acuerdo con esta realizacion, las claves de cifrado y los datos de autenticacion se operan de manera matematica con el fin de aleatorizar estadlstica y sustancialmente los datos almacenados en cada instalacion de almacenamiento de datos. De acuerdo con una realizacion, la aleatorizacion de los datos de una instalacion de almacenamiento de datos individual convierte a estos datos en indescifrables. Por lo tanto, el compromiso de una instalacion de almacenamiento de datos individual produce solo un numero aleatorio indescifrable y no compromete la seguridad de ninguna de las claves de cifrado o los datos de autenticacion en su conjunto.

La figura 2 ilustra tambien el motor de confianza 110 que incluye el motor de autenticacion 215. De acuerdo con una realizacion, el motor de autenticacion 215 comprende un comparador de datos configurado para comparar los datos del motor de transaccion 205 con los datos del depositario 210. Por ejemplo, durante la autenticacion, un usuario suministra unos datos de autenticacion actuales al motor de confianza 110 de tal manera que el motor de transaccion 205 recibe los datos de autenticacion actuales. Como se ha mencionado anteriormente, el motor de transaccion 205 reconoce las solicitudes de datos, preferentemente en la URL o el URI, y enruta los datos de autenticacion al motor de autenticacion 215. Por otra parte, tras la solicitud, el depositario los 210 reenvla los datos de autenticacion de registro que corresponden al usuario al motor de autenticacion 215. De este modo, el motor de autenticacion 215 tiene tanto los datos de autenticacion actuales como los datos de autenticacion de registro para su comparacion.

De acuerdo con una realizacion, las comunicaciones hacia el motor de autenticacion comprenden unas comunicaciones seguras, tales como, por ejemplo, la tecnologla SSL. Ademas, la seguridad puede proporcionarse dentro de los componentes del motor de confianza 110, tales como, por ejemplo, el super cifrado que usa tecnologlas de clave publica. Por ejemplo, de acuerdo con una realizacion, el usuario cifra los datos de autenticacion actuales con la clave publica del motor de autenticacion 215. Ademas, el depositario 210 tambien cifra los datos de autenticacion de registro con la clave publica del motor de autenticacion 215. De esta manera, solamente la clave privada del motor de autenticacion puede usarse para descifrar las transmisiones.

Como se muestra en la figura 2, el motor de confianza 110 incluye tambien el motor de cifrado 220. De acuerdo con una realizacion, el motor de cifrado comprende un modulo de manipulacion criptografica, configurado para proporcionar de manera ventajosa unas funciones de cifrado convencionales, tales como, por ejemplo, una funcionalidad de infraestructura de clave publica (PKI). Por ejemplo, el motor de cifrado 220 puede emitir de manera ventajosa las claves publicas y privadas para los usuarios del sistema criptografico 100. De esta manera, las claves de cifrado se generan en el motor de cifrado 220 y se reenviaran al depositario 210 de tal manera que al menos las claves de cifrado privadas no estan disponibles fuera del motor de confianza 110. De acuerdo con otra realizacion, el motor de cifrado de 220 aleatoriza y divide al menos los datos de clave de cifrado privadas, almacenando de este modo solamente los datos divididos aleatoriamente. De igual manera que la division de los datos de autenticacion de registro, el proceso de division garantiza que las claves almacenadas no estan disponibles fuera el motor de cifrado 220. De acuerdo con otra realizacion, las funciones del motor de cifrado pueden combinarse con y realizarse por el motor de autenticacion 215.

De acuerdo con una realizacion, las comunicaciones hacia y desde el motor de cifrado incluyen unas comunicaciones seguras, tal como la tecnologla SSL. Ademas, los documentos XML pueden emplearse de manera ventajosa para transferir datos y/o hacer solicitudes de funcion de cifrado.

La figura 2 ilustra tambien el motor de confianza 110 que tiene el almacenamiento masivo 225. Como se ha mencionado anteriormente, el motor de transaccion 205 mantiene los datos que corresponden a una pista de auditorla y almacena estos datos en el almacenamiento masivo 225. Del mismo modo, de acuerdo con una realizacion de la invencion, el depositario 210 mantiene los datos que corresponden a una pista de auditorla y

5

10

15

20

25

30

35

40

45

50

55

60

65

almacena estos datos en el dispositivo de almacenamiento masivo 225. Los datos de pista de auditorla de depositario son similares a los del motor de transaction 205 en que los datos de pista de auditorla comprenden un registro de las solicitudes recibidas por el depositario 210 y la respuesta a las mismas. Ademas, el almacenamiento masivo 225 puede usarse para almacenar certificados digitales que tienen la clave publica de un usuario contenida en los mismos.

Aunque el motor de confianza 110 se divulga con referencia a sus realizaciones preferidas y alternativas, la invention no esta destinada a limitarse por las mismas. Mas bien, un experto en la materia reconocera en la divulgation en el presente documento, un gran numero de alternativas para el motor de confianza 110. Por ejemplo, el motor de confianza 110, puede realizar de manera ventajosa solo la autenticacion, o como alternativa, solo algunas o la totalidad de las funciones de cifrado, tales como el cifrado y el descifrado de los datos. De acuerdo con estas realizaciones, uno de los motores de autenticacion 215 y el motor de cifrado 220 pueden eliminarse de manera ventajosa, creando de este modo un diseno mas sencillo del motor de confianza 110. Ademas, el motor de cifrado 220 tambien puede comunicarse con una autoridad de certification de tal manera que la autoridad de certification esta incorporada en el motor de confianza 110. De acuerdo con otra realization mas, el motor de confianza 110 puede realizar de manera ventajosa la autenticacion y una o mas funciones de cifrado, tales como, por ejemplo, la firma digital.

La figura 3 ilustra un diagrama de bloques del motor de transaccion 205 de la figura 2, de acuerdo con los aspectos de una realizacion de la invencion. De acuerdo con esta realizacion, el motor de transaccion 205 comprende un sistema operativo 305 que tiene un subproceso de manipulation y un subproceso de escucha. El sistema operativo 305 puede ser de manera ventajosa similar a los encontrados en los servidores convencionales de gran volumen, tales como, por ejemplo, servidores web disponibles de Apache. El subproceso de escucha monitoriza la comunicacion entrante de uno de entre el enlace de comunicaciones 125, el motor de autenticacion 215, y el motor de cifrado 220 para el flujo de datos entrante. El subproceso de manipulacion reconoce las estructuras de datos especlficas del flujo de datos entrante, tal como, por ejemplo, las estructuras de datos precedentes, enrutando de este modo los datos de entrada a uno de entre el enlace de comunicaciones 125, el depositario 210, el motor de autenticacion 215, el motor de cifrado 220, o el almacenamiento masivo 225. Como se muestra en la figura 3, los datos entrantes y salientes pueden garantizarse de manera ventajosa a traves de, por ejemplo, la tecnologla SSL.

La figura 4 ilustra un diagrama de bloques del depositario 210 de la figura 2 de acuerdo con los aspectos de una realizacion de la invencion. De acuerdo con esta realizacion, el depositario 210 comprende uno o mas servidores de protocolo ligero de acceso a directorios (LDAP). Los servidores de directorio LDAP estan disponibles en una amplia variedad de fabricantes tales como Netscape, ISO, y otros. La figura 4 muestra tambien que el servidor de directorio almacena preferentemente los datos 405 correspondientes a las claves de cifrado y los datos 410 correspondientes a los datos de autenticacion de registro. De acuerdo con una realizacion, el depositario 210 comprende una unica estructura de memoria logica que indexa los datos de autenticacion y los datos de clave de cifrado para un unico ID de usuario. La unica estructura de memoria logica incluye preferentemente unos mecanismos para garantizar un alto grado de confianza o seguridad, en los datos almacenados en la misma. Por ejemplo, la localization flsica del depositario 210 puede incluir de manera ventajosa un amplio numero de medidas de seguridad convencionales, tales como el acceso limitado de empleados, los sistemas de vigilancia modernos, y similares. Ademas de, o en lugar de, las garantlas flsicas, el sistema o servidor informatico puede incluir de manera ventajosa unas soluciones de software para proteger los datos almacenados. Por ejemplo, el depositario 210 puede crear y almacenar los datos 415 de manera ventajosa que corresponden a una pista de auditorla de las acciones tomadas. Ademas, las comunicaciones entrantes y salientes pueden cifrarse de manera ventajosa con el cifrado de clave publica junto con las tecnologlas SSL convencionales.

De acuerdo con otra realizacion, el depositario 210 puede comprender unas instalaciones de almacenamiento de datos distintas y flsicamente separadas, como se divulga adicionalmente con referencia a la figura 7.

La figura 5 ilustra un diagrama de bloques del motor de autenticacion 215 de la figura 2, de acuerdo con los aspectos de una realizacion de la invencion. Al igual que en el motor de transaccion 205 de la figura 3, el motor de autenticacion 215 comprende un sistema operativo 505 que tiene al menos un subproceso de escucha y un subproceso de manipulacion de una version modificada de un servidor web convencional, tal como, por ejemplo, los servidores web disponibles de Apache. Como se muestra en la figura 5, el motor de autenticacion 215 incluye el acceso a al menos una clave privada 510. La clave privada 510 puede usarse de manera ventajosa, por ejemplo, para descifrar los datos del motor de transaccion 205 o del depositario 210, que se han cifrado con una clave publica correspondiente del motor de autenticacion 215.

La figura 5 ilustra tambien el motor de autenticacion 215 que comprende un comparador 515, un modulo de division de datos 520, y un modulo de ensamblaje de datos 525. De acuerdo con la realizacion preferida de la invencion, el comparador 515 incluye una tecnologla capaz de comparar los patrones potencialmente complejos relacionados con los datos de autenticacion biometricos anteriores. La tecnologla puede incluir hardware, software, o soluciones combinadas para las comparaciones de patrones, tales como, por ejemplo, los que representan los patrones de huellas digitales o los patrones de voz. Ademas, de acuerdo con una realizacion, el comparador 515 del motor de autenticacion 215 puede comparar de manera ventajosa calculos de clave convencionales de documentos con el fin

5

10

15

20

25

30

35

40

45

50

55

60

65

de hacer un resultado de comparacion. De acuerdo con una realizacion de la invencion, el comparador 515 incluye la aplicacion de la heurlstica 530 para la comparacion. La heurlstica 530 puede abordar de manera ventajosa las circunstancias que rodean un intento de autenticacion, tales como, por ejemplo, la hora del dla, la direccion IP o la mascara de subred, el perfil de compra, la direccion de correo electronico, el numero de serie o el ID del procesador, o similares.

Por otra parte, la naturaleza de las comparaciones de datos biometricos puede resultar en un grado de variacion de la confianza que se produce a partir de la coincidencia de los datos de autenticacion biometricos actuales con los datos de registro. Por ejemplo, a diferencia de una contrasena tradicional, que solo puede devolver una coincidencia positiva o negativa, una huella digital puede determinarse para que sea una coincidencia parcial, por ejemplo, una coincidencia del 90 %, una coincidencia del 75 %, o una coincidencia del 10 %, en lugar de simplemente que sea correcta o incorrecta. Otros identificadores biometricos tales como el analisis de impresion de voz o el reconocimiento de rostros pueden compartir esta caracterlstica de autenticacion probabillstica, en lugar de una autenticacion absoluta.

Cuando se trabaja con esta autenticacion probabillstica o en otros casos en los que una autenticacion se considera menos que absolutamente fiable, es deseable aplicar la heurlstica 530 para determinar si el nivel de confianza proporcionado en la autenticacion es suficientemente alto como para autentificar la transaccion que se esta realizando.

A veces sera el caso de que la transaccion en cuestion es una transaccion de valor relativamente bajo, en la que es aceptable para autenticarse un menor nivel de confianza. Esto podrla incluir una transaccion que tiene un bajo valor en dolares asociado con la misma (por ejemplo, una compra de 10 $) o una transaccion con bajo riesgo (por ejemplo, la admision en un sitio web solo para miembros).

Por el contrario, para autenticar otras transacciones, puede ser deseable necesitar un alto grado de confianza en la autenticacion antes de permitir que se produzca la transaccion. Estas operaciones pueden incluir transacciones de un gran valor en dolares (por ejemplo, firmar un contrato de suministro de multiples millones de dolares) o una transaccion con un alto riesgo si se produce una autenticacion irregular (por ejemplo, de manera remota iniciar sesion en un ordenador del gobierno).

El uso de la heurlstica 530 en combinacion con los niveles de confianza y los valores de transacciones pueden usarse como se describira a continuacion para permitir que el comparador proporcione un sistema de autenticacion dinamico sensible al contexto.

De acuerdo con otra realizacion de la invencion, el comparador 515 puede realizar un seguimiento de los intentos de autenticacion de manera ventajosa para una transaccion especlfica. Por ejemplo, cuando una transaccion falla, el motor de confianza 110 puede solicitar al usuario que vuelva a introducir sus datos de autenticacion actuales. El comparador 515 del motor de autenticacion 215 puede emplear de manera ventajosa un limitador de intentos 535 para limitar el numero de intentos de autenticacion, prohibiendo de este modo los intentos de fuerza bruta para suplantar a los datos de autenticacion de un usuario. De acuerdo con una realizacion, el limitador de intentos 535 comprende un modulo de software que monitoriza las transacciones para repetir los intentos de autenticacion y, por ejemplo, limitar los intentos de autenticacion a tres para una transaccion dada. De este modo, el limitador de intentos 535 limitara un intento automatizado para suplantar a los datos de autenticacion de un usuario para, por ejemplo, simplemente a tres “conjeturas”. Tras tres fallos, el limitador de intentos 535 puede denegar de manera ventajosa los intentos de autenticacion adicionales. Esta negacion puede implementarse de manera ventajosa a traves de, por ejemplo, el comparador 515 que devuelve un resultado negativo, independientemente de los datos de autenticacion actuales que se transmiten. Por otra parte, el motor de transaccion 205 puede bloquear de manera ventajosa cualquier intento de autenticacion adicional relativo a una transaccion en la que tres intentos han fallado anteriormente.

El motor de autenticacion 215 incluye tambien el modulo de division de datos 520 y el modulo de ensamblaje de datos 525. El modulo de division de datos 520 comprende de manera ventajosa un software, un hardware, o un modulo de combinacion que tiene la capacidad de operar de manera matematica con diversos datos con el fin de aleatorizar y dividir sustancialmente los datos en porciones. De acuerdo con una realizacion, los datos originales no pueden recrearse a partir de una porcion individual. El modulo de ensamblaje de datos 525 comprende de manera ventajosa un software, un hardware, o un modulo de combinacion configurado para operar de manera matematica en las porciones sustancialmente aleatorias anteriores, de tal manera que la combinacion de las mismas proporciona los datos descifrados originales. De acuerdo con una realizacion, el motor de autenticacion 215 emplea el modulo de division de datos 520 para aleatorizar y dividir los datos de autenticacion de registro de division en porciones, y emplea el modulo de ensamblaje de datos 525 para reensamblar las porciones en los datos de autenticacion de registro utilizables.

La figura 6 ilustra un diagrama de bloques del motor de cifrado 220 del motor de confianza 200 de la figura 2 de acuerdo con los aspectos de una realizacion de la invencion. Al igual que en el motor de transaccion 205 de la figura 3, el motor de cifrado 220 comprende un sistema operativo 605 que tiene al menos un subproceso de escucha y un

5

10

15

20

25

30

35

40

45

50

55

60

65

subproceso de manipulacion de una version modificada de un servidor web convencional, tal como, por ejemplo, los servidores web disponibles de Apache. Como se muestra en la figura 6, el motor de cifrado 220 comprende un modulo de division de datos 610 y un modulo de ensamblaje de datos 620 con una funcion similar a los de la figura 5. Sin embargo, de acuerdo con una realizacion, el modulo de division de datos 610 y el modulo de ensamblaje de datos 620 procesan los datos de clave de cifrado, en oposicion a los datos de autenticacion de registro anteriores. Aunque, un experto en la materia reconocera a partir de la divulgacion en el presente documento que el modulo de division de datos 910 y el modulo de division de datos 620 pueden combinarse con los del motor de autenticacion 215.

El motor de cifrado 220 comprende tambien un modulo de manipulacion criptografica 625 configurado para realizar una, algunas o la totalidad de un gran numero de funciones de cifrado. De acuerdo con una realizacion, el modulo de manipulacion criptografica 625 puede comprender unos modulos o programas de software, hardware, o ambos. De acuerdo con otra realizacion, el modulo de manipulacion criptografica 625 puede realizar comparaciones de datos, analisis de datos, division de datos, separacion de datos, calculos de clave de datos, cifrado o descifrado de datos, verificacion o creacion de firmas digitales, generation de certificados digitales, almacenamiento o solicitudes, generation de claves de cifrado, o similares. Por otra parte, un experto en la materia reconocera a partir de la divulgacion en el presente documento que el modulo de manipulacion criptografica 825 puede comprender de manera ventajosa una infraestructura de clave publica, tal como la Pretty Good Privacy (privacidad bastante buena) (PGP), un sistema de clave publica basado en RSA, o un gran numero de sistemas de gestion de claves alternativas. Ademas, el modulo de manipulacion criptografica 625 puede realizar un cifrado de clave publica, un cifrado de clave simetrica, o ambos. Ademas de lo anterior, el modulo de manipulacion criptografica 625 puede incluir uno o mas programas o modulos informaticos, hardware, o ambos, para implementar unas funciones de interoperabilidad sin fisuras y transparentes.

Un experto en la materia reconocera tambien a partir de la divulgacion en el presente documento que la funcionalidad de cifrado puede incluir un gran numero o variedad de funciones, en general, relacionadas con los sistemas de gestion de claves de cifrado.

Un esquema de comparticion de secretos de calculo robusto (RCSS) se ilustra en la figura 7. Un parte denominada como el distribuidor 700 tiene un secreto 701 que el distribuidor desea distribuir. Con este fin, el distribuidor 700 puede aplicar el mecanismo de comparticion de un esquema de RCSS 702. El mecanismo de comparticion 702 puede dar como resultado algun numero, n, de las comparticiones que se generan, como se indica por las comparticiones 704, 705, y 706. 703. La recopilacion de todas las comparticiones puede ser un vector S derivado de manera probabillstica del secreto 701. A continuation, la recopilacion 703 de las comparticiones puede enviarse a traves de una red o distribuirse fuera de banda, de tal manera que cada comparticion se almacena en su propio deposito de datos (o en diferentes localizaciones flsicas o geograficas en uno o mas depositos de datos). El almacenamiento de las comparticiones en un deposito de datos logico 720 puede tener el beneficio de una mayor seguridad, por que puede ser mas diflcil para un adversario obtener un acceso a todas las comparticiones que pueden estar almacenados en los servidores de datos 721, 722, y 723, que a un subconjunto propio de estas comparticiones. Uno o mas de los servidores 721, 722 y 723 pueden estar localizados en lugares flsicamente diferentes, operados bajo un control administrativo diferente, o protegidos por unos controles de acceso de hardware y software heterogeneos. El deposito de datos logico 720 puede incluir tambien un sistema de archivos distribuido o en red.

Cuando una parte quiere recuperar el secreto que se ha distribuido en el deposito de datos logico 720, la entidad 740 puede intentar recopilar las comparticiones. La primera comparticion recopilada S*[1] 744 puede ser la misma que la comparticion 704, pero tambien podrla diferir debido a la modification no intencionada en la transmision o el almacenamiento (por ejemplo, una corruption de datos), o una modificacion intencionada debido a las actividades de un agente adversario. Del mismo modo, una segunda comparticion recopilada S*[2] 745 puede ser la misma que la comparticion 705, y una ultima comparticion recopilada S*[n] 746 puede ser la misma que la comparticion 706, pero estas comparticiones podrlan diferir tambien por razones similares. Ademas de la posibilidad de ser una comparticion “erronea”, una o mas comparticiones en la recopilacion 743 podrlan ser tambien el valor distinguido “desaparecido”, representado por el slmbolo, (“◊”). Este slmbolo puede indicar que el sistema (por ejemplo, la entidad 740) no es capaz de encontrar o recopilar esta comparticion especlfica. A continuacion, puede proporcionarse el vector de comparticiones pretendidas S* al algoritmo de recuperation 742 del esquema de RCSS, que puede devolver o el secreto recuperado S* 741 o el valor designado como invalido 747. El secreto compartido 701 deberla ser igual al secreto recuperado 741, a menos que el grado de actividad del adversario en las comparticiones corruptas exceda del que se ha disenado que puede soportar el esquema.

El objetivo de RCSS es util a traves de dos dominios principales: garantizar los datos en reposo y garantizar los datos en movimiento. En el primer escenario, un servidor de archivos, por ejemplo, mantiene sus datos en una variedad de servidores remotos. Incluso si algun subconjunto de esos servidores esta danado (por ejemplo, por unos administradores deshonestos) o no esta disponible (por ejemplo, debido a una calda de la red), los datos aun pueden estar disponibles y ser privados. En el escenario de datos en movimiento, el remitente de un mensaje secreto y el receptor del mensaje pueden estar conectados por una multiplicidad de rutas, solo algunas de las cuales pueden observarse por el adversario. Enviando las comparticiones a traves de estas rutas diferentes, el remitente

5

10

15

20

25

30

35

40

45

50

55

60

65

puede transmitir de manera segura el secreto S a pesar de la posibilidad de que algunas rutas esten temporalmente no disponibles o controladas por el adversario. Por ejemplo, en algunas realizaciones, cada comparticion puede transmitirse a traves de un canal logico de comunicaciones diferente. Los sistemas y metodos para garantizar los datos, y en particular los sistemas y metodos para garantizar los datos en movimiento especlficos, se describen en mas detalle en la solicitud de patente de Estados Unidos N.° 10/458.928, presentada el 11 de junio 2003, en la solicitud de patente de Estados Unidos N.° 11/258.839, presentada el 25 de octubre de 2005, y en la solicitud de patente de Estados Unidos N.° 11/602.667, presentada el 20 de noviembre de 2006.

A pesar de que al menos se ha propuesto por Krawczyk un esquema de RCSS con tamanos de comparticiones cortos, el estudio cientlfico de este esquema revela que no es un esquema de RCSS valido bajo supuestos debiles en el esquema de cifrado, y no se sabe que sea una esquema valido para todas las estructuras de acceso (por ejemplo, unas estructuras de acceso distintas de los esquemas de umbral). Por al menos estas razones, las figuras 8-11 describen otros enfoques para la comparticion de secretos. Estos otros enfoques a veces se denominan en el presente documento como ESX o HK2.

El mecanismo del enfoque ESX o HK2 puede incluir un esquema de comparticion de secretos de calculo robusto que puede construirse a partir de las siguientes cinco primitivas: (1) un generador de numeros aleatorios o pseudo- aleatorios, (2) un esquema de cifrado; (3) un esquema de comparticion de secretos perfecto (PSS); (4) un algoritmo de dispersion de informacion (IDA); y (5) un esquema de vinculacion probabillstica. Estas cinco primitivas se describen con mas detalle a continuation.

(1) Un generador de numeros aleatorios o pseudo-aleatorios, Rand. Un generador de numeros de este tipo puede tomar un numero k como entrada y devolver k bits aleatorios o pseudo-aleatorios. En las figuras 8-11, se evita la entrada k para facilitar la ilustracion.

(2) Un esquema de cifrado, que puede incluir un par de algoritmos, uno llamado Cifrar y el otro llamado Descifrar. El algoritmo de cifrado Cifrar puede tomar una clave K de una longitud dada k y un mensaje de entrada M que se denomina como el texto sin cifrar. El algoritmo Cifrar puede devolver una cadena C que se conoce como el texto cifrado. El algoritmo Cifrar puede emplear de manera opcional bits aleatorios, pero estos bits aleatorios no se muestran de manera expllcita en los dibujos. El algoritmo de descifrado Descifrar puede tomar una clave K de una longitud dada k y un mensaje de entrada C que se denomina como el texto cifrado. El algoritmo Descifrar puede devolver una cadena M que se denomina como el texto sin cifrar. En algunos casos, el algoritmo de descifrado puede devolver un valor de fallo designado, que puede indicar que el texto cifrado C no se corresponde con el cifrado de cualquier posible texto sin cifrar.

(3) Un esquema de comparticion de secretos perfecto (PSS), que puede incluir un par de algoritmos CompartirPSS y RecuperarPSS. El primero de estos algoritmos, conocido como el algoritmo de comparticion de la PSS, puede ser un mapa probabilistic que toma como entrada una cadena K, llamada el secreto, y devuelve una secuencia de n cadenas, K[1],..., K[n], denominada como comparticiones. Cada K[i] puede incluir una comparticion o las n comparticiones que se han tratado, o distribuido, por el distribuidor (la entidad que realiza el proceso de comparticion). El numero n puede ser un parametro programable por el usuario del sistema de comparticion de secretos, y puede incluir cualquier numero positivo adecuado. En algunas realizaciones, el algoritmo de comparticion es probabilistic por que emplea bits aleatorios o pseudo-aleatorios. Una dependencia de este tipo puede realizarse proporcionando los bits aleatorios o pseudo-aleatorios del algoritmo de comparticion, como proporcionados por el algoritmo Rand. El segundo algoritmo, conocido como el algoritmo de recuperacion de la PSS, puede tomar como entrada un vector de n cadenas denominadas como las comparticiones pretendidas. Cada comparticion pretendida es o una cadena o un slmbolo distinguido (“◊”) que se lee como desaparecido. Este slmbolo puede usarse para indicar que alguna comparticion especlfica no esta disponible. El algoritmo de recuperacion para el esquema de comparticion de secretos perfecto puede devolver una cadena S, o el secreto recuperado. Pueden suponerse dos propiedades del esquema de PSS. La primera propiedad, la propiedad de privacidad, garantiza que ningun conjunto no autorizado de usuarios obtenga cualquier informacion util sobre el secreto que se ha compartido a partir de sus comparticiones. La segunda propiedad, la propiedad de recuperacion, garantiza que un conjunto autorizado de partes siempre puede recuperar el secreto, suponiendo que las partes autorizadas contribuyen con las comparticiones correctas al algoritmo de recuperacion y que cualquier parte adicional contribuye o con una comparticion correcta o con el valor desaparecido distinguido (“◊”). Este esquema de PSS puede incluir el esquema de Shamir, denominado comunmente como “comparticion de secretos de Shamir” o el esquema de comparticion de secretos Blakley.

(4) Un algoritmo de dispersion de informacion (IDA), que puede incluir un par de algoritmos CompartirIDA y Recuperar™ El primero de estos algoritmos, conocido como el algoritmo de comparticion del IDA, puede incluir un mecanismo que toma como entrada una cadena C, el mensaje a dispersarse, y devuelve una secuencia de n cadenas, C[1],..., C[n], que se denominan como los fragmentos de los datos que han resultado de la dispersion. El valor de n puede ser un parametro programable por el usuario del IDA, y puede ser cualquier numero positivo adecuado. El algoritmo de comparticion del IDA puede ser probabilistic o determinista. En las figuras 8-11, no se muestra de manera expllcita la posibilidad de usar bits aleatorios en el IDA; sin embargo, deberla entenderse que los bits aleatorios pueden usarse en el IDA en otras realizaciones.

El segundo algoritmo, conocido como el algoritmo de recuperacion del IDA, podra tomar como entrada un vector de n cadenas, los fragmentos suministrados. Cada fragmento suministrado puede ser una cadena o el slmbolo distinguido (“◊”) que se lee como desaparecido y se usa para indicar que algun fragmento de datos especlfico no

5

10

15

20

25

30

35

40

45

50

55

60

65

esta disponible. El algoritmo de recuperacion para el IDA puede devolver una cadena S, el secreto de recuperation. El IDA puede suponer que tiene una propiedad de recuperabilidad; por lo tanto, un conjunto autorizado de partes siempre puede recuperar los datos a partir de los fragmentos suministrados, suponiendo que las partes autorizadas contribuyen con los fragmentos correctos al algoritmo de recuperacion del IDA y que cualquier parte adicional que participa en la reconstruccion contribuye o con un fragmento correcto o si no con el valor desaparecido distinguido ("◊"). A diferencia del caso de un esquema de PSS, puede no haber una propiedad de privacidad asociada con el IDA y, de hecho, un IDA simple y practico es replicar la entrada C durante n veces, y tener el algoritmo de recuperacion que usar el valor que se produce mas a menudo como los datos recuperados. Se conocen unos IDA mas eficientes (por ejemplo, el IDA de Rabin).

(5) Un esquema de vinculacion probabillstica, que puede incluir un par de algoritmos, Ct y Vf, llamados el algoritmo de vinculacion y el algoritmo de verification. El algoritmo de vinculacion Ct puede ser un algoritmo probabilistic que toma una cadena M para vincular y devuelve un valor de vinculacion, H (la cadena que un actor puede usar para vincular M) y tambien un valor de no vinculacion, R (la cadena que un actor puede usar para no vincular el H de vinculacion de M). El algoritmo de vinculacion puede ser probabilistic y, como tal, puede tomar un argumento final, R*, que se denomina como las monedas del algoritmo. Estas monedas pueden generarse anteriormente por una llamada a un generador de numeros aleatorios o pseudo-aleatorios, Rand. La notacion “Ct(M; R*)” se usa a veces en el presente documento para indicar de manera expllcita el valor de retorno del algoritmo de vinculacion Ct en la entrada M con las monedas aleatorias R*. El algoritmo de verification, Vf, puede ser un algoritmo determinista que tiene tres cadenas de entrada: un valor de vinculacion H, una cadena M, y un valor de no vinculacion R. Este algoritmo puede devolver un bit 0 o 1, con 0 indicando que la no vinculacion es invalida (no convincente) y 1 indicando que la no vinculacion es valida (convincente).

En general, un esquema de vinculacion puede satisfacer dos propiedades: una propiedad de ocultacion y una propiedad de union. La propiedad de ocultacion implica que, dada una vinculacion determinada de manera aleatoria H para un mensaje elegido de manera adversa Mo o M1, el adversario no puede determinar que mensaje H corresponde a la vinculacion. La propiedad de union implica que un adversario, que ha vinculado un mensaje Mo por medio de una vinculacion Ho y la no vinculacion correspondiente Ro, es incapaz de encontrar algun mensaje M1 distinto de M0 y cualquier no vinculacion R1 de tal manera que Vf(H0, M1, R1) = 1. En la mayorla de los casos, el valor de no vinculacion R producido por un esquema de vinculacion Ct (M; R*) es, precisamente, las monedas aleatorias R* proporcionadas al algoritmo (es decir, R = R*). Sin embargo, esta propiedad no se necesita en todos los casos. Los esquemas de vinculacion probabillsticas mas naturales pueden obtenerse por medio de las funciones hash de cifrado adecuadas, tales como SHA-1. Hay una variedad de tecnicas naturales para procesar el valor que se ha vinculado para, M, y las monedas, R*, antes de aplicar las funciones hash de cifrado. Cualquier esquema de vinculacion que contiene un mecanismo de vinculacion Ct y un algoritmo de verificacion Vf puede producir un mecanismo de vinculacion Vincular y un mecanismo de verificacion Verificar que se aplica a los vectores de las cadenas en lugar de a las cadenas individuales. El algoritmo de vinculacion Vincular puede aplicar el algoritmo Ct por componentes, y el algoritmo de verificacion Verificar puede aplicar el algoritmo Vf por componentes. Para Ct, pueden usarse las monedas aleatorias independientes para cada cadena de componente en algunas realizaciones.

La figura 8 muestra un diagrama de bloques simplificado del mecanismo de comparticion del esquema de RCSS de acuerdo con una realization de la invention. El secreto, S, 800 puede incluir el secreto que el distribuidor desea distribuir o compartir. El secreto 800 puede ser un archivo en un sistema de archivos, un mensaje procedente de un protocolo de comunicaciones, o cualquier otra pieza de datos sensible. El secreto 800 puede representarse como cualquier cadena codificada adecuada (por ejemplo, una cadena ASCII o codificada en binario). Sin embargo, en implementaciones reales las cadenas binarias pueden usarse como el secreto 800 para facilidad de la implementation. Primero, el secreto S puede cifrarse usando el algoritmo de cifrado 803 de un esquema de cifrado de clave compartida para obtener un texto cifrado C 804. La clave K 802 para realizar este cifrado puede obtenerse usando la salida del generador de numeros aleatorios o pseudo-aleatorios 801 con el fin de producir el numero apropiado de bits aleatorios o pseudo-aleatorios para la clave 802.

La clave 802 puede usarse para solo una comparticion, y por lo tanto puede denominarse como una clave de una vez. Ademas de usarse para cifrar el secreto 80o, la clave 802 puede compartirse o distribuirse tambien usando un esquema de comparticion de secretos perfecto (PSS) 806. El esquema de PSS 806 puede incluir cualquier esquema de comparticion de secretos perfecto, incluyendo los esquemas de comparticion de secretos de Shamir o Blakley. El esquema de comparticion de secretos perfecto 806 puede ser aleatorio, lo que requiere su propia fuente de bits aleatorios (o pseudo-aleatorios). Los bits aleatorios o pseudo-aleatorios pueden proporcionarse por un generador de numeros aleatorios o pseudo-aleatorio independiente, tal como generador de numeros 805. El esquema de PSS 806 puede emitir un vector de comparticiones de clave K = K[1 ],..., K[n] 808, que, conceptualmente, puede enviarse a los diferentes “actores”, una comparticion por cada actor. En primer lugar, sin embargo, las comparticiones de clave pueden combinarse con information adicional en algunas realizaciones. El texto cifrado C 804 puede dividirse en fragmentos 809 usando un algoritmo de dispersion de informacion (IDA) 807, tal como el mecanismo de IDA de Rabin. El IDA 807 puede emitir un vector de fragmentos de texto cifrado C[1],..., C[n] 809. A continuation, puede emplearse el mecanismo de vinculacion 812 de un esquema de vinculacion probabillstica. Un numero suficiente de bits aleatorios se generan durante el proceso de vinculacion usando el generador de numeros aleatorios o pseudo- aleatorio 810, y la cadena aleatoria resultante 811 se usa para todas las vinculaciones en el mecanismo de vinculacion 812. El mecanismo de vinculacion 812 puede determinar un valor de vinculacion H[i] y un valor de no

5

10

15

20

25

30

35

40

45

50

vinculacion R[/], mostrados de manera conjunta en el vector 813, para cada mensaje M[i] = K[i] C[/] (extendido a traves de 808 y 809). La /-esima comparticion (que no se representa de manera expllcita en la figura 8) puede codificar K[i] 808, C[i] 809, R[/j, y H[1],..., H[n] 813. Cada parte i puede recibir en su comparticion la vinculacion H[j] para cada Kj], C[j] (para j en 1... n) y no simplemente la vinculacion de su propia comparticion.

La figura 9 muestra, con mayor detalle, el proceso de vinculacion ilustrativo del mecanismo de vinculacion 812 (figura 8). El proceso de vinculacion implica n diferentes llamadas al mecanismo de Ct de nivel inferior del esquema de vinculacion. La aleatoriedad se genera por el generador de numeros aleatorios o pseudo-aleatorios 900 y la cadena aleatoria o pseudo-aleatoria resultante R* se particiona en n segmentos, R*[1] R*[2],..., R*[n] 901. La /-esima porcion de la aleatoriedad (una de las porciones 921, 922, o 923 cuando i es 1, 2 o n) se usa para vincular el /-esimo mensaje que se esta procesando, M[/] = K[/] C[/] (mostrado como los mensajes 910, 911, 912) usando los algoritmos de vinculacion Ct 931, 932, y 933 de un esquema de vinculacion. Los pares de vinculacion y de no vinculacion 941, 942, y 943, pueden emitirse por el algoritmo Ct. Es probable que cada R[/] sea simplemente R*[/], pero esto no es estrictamente necesario o supuesto.

El algoritmo etiquetado “Compartir” en la Tabla 1, a continuacion, explica adicionalmente el sistema de comparticion representado en las figuras 8 y 9. Este algoritmo toma como entrada una cadena S, el secreto que se va a compartir. En la llnea 10, se generan un numero suficiente de lanzamientos de moneda aleatorios para proporcionar una clave de cifrado K para un esquema de cifrado simetrico que consiste en los algoritmos de Cifrar y Descifrar. En la llnea 11, la cadena sensible S que se va a compartir se cifra usando la clave K con el fin de crear un texto cifrado C. El cifrado puede ser aleatorio, pero no es necesario para que el mecanismo funcione de manera correcta. A continuacion, en la llnea 12, puede recurrirse el algoritmo de comparticion de un esquema de comparticion de secretos perfecto (tal como el esquema de Shamir). El algoritmo de comparticion es probabillstico, aunque esto no se indica de manera expllcita en el codigo. La comparticion da como resultado un vector de comparticiones de clave, K = K[1 ]... K[n]. En la llnea 13, el texto cifrado C puede dividirse en una recopilacion de fragmentos a partir de la que una subrecopilacion autorizado de fragmentos se adecuara para recuperar el secreto. Esto puede realizarse usando el algoritmo de comparticion de un IDA (por ejemplo, el IDA 807 de la figura 8). Cualquier IDA valido puede usarse, tal como el mecanismo de Rabin, una replication, o cualquier esquema ad hoc con el IDA descrito anteriormente de manera adecuada. Las llneas 15 y 16 comprenden una vinculacion probabillstica del mensaje KC[/] = K[i] C[/], con las monedas necesarias que se generan en la llnea 15 y la vinculacion H[f] y la no vinculacion R[/] que se calculan usando estas monedas. La llnea 17 calcula la comparticion resultante (algunas veces denominada como “fragmento” en el presente documento) S[/] a partir de los valores ya calculados. La comparticion en el esquema RCSS objeto es S[/] = R[/] K[/] C[] H[1]... H[n]. A continuacion, las comparticiones pueden devolverse al llamante, para almacenarse en diferentes localizaciones o transmitirse a traves de una variedad de canales, de acuerdo con la intention del llamante.

El algoritmo de recuperation del esquema de RCSS se muestra tambien, a continuacion, en la Tabla 1. Esta vez, el llamante proporciona un vector de la totalidad de las comparticiones pretendidas, S = S[l]... S[n]. Cada comparticion pretendida S[/] puede ser una cadena o el slmbolo distinguido "◊", que a su vez representa una comparticion desaparecida. Tambien puede suponerse, en algunas realizaciones, que el llamante proporciona la identidad de una comparticion j, en la que j esta entre 1 y n inclusive, que se sabe que es valido. En las llneas 20-21, cada S[/] puede analizarse en sus cadenas de componentes R[/] K[/], C[/], y H[1]... H[n]. Se entiende que el slmbolo desaparecido "◊", puede analizarse en los componentes todos los cuales son a su vez el slmbolo desaparecido 0. En la llnea 23, puede ejecutarse el algoritmo de verification del esquema de vinculacion para determinar si el mensaje KC[f] = K[/] C[/] parece ser valido. A continuacion, puede usarse la comparticion “valida conocida” j como el “valor de referenda” para cada vinculacion H[f], Siempre que un valor K[/] C[/] parece ser invalido, puede reemplazarse por el slmbolo desaparecido. El vector de los valores K[/] que se han revisado en ese sentido puede ahora suministrarse al algoritmo de recuperacion del esquema de comparticion de secretos en la llnea 25, mientras que el vector de los valores revisados C[/] puede suministrarse con el algoritmo de recuperacion del IDA en llnea 26. En este punto, uno solo tiene que descifrar el texto cifrado C recuperado a partir de la IDA en la clave K recuperada a partir del esquema de PSS para obtener el valor S que se recupera por el propio esquema de RCSS.

Tabla 1: Mecanismos de comparticion y recuperacion del esquema de RCSS.

Algoritmo Compartir (S)

10

K — Rand (k)

11

C — CifrarK(S)

12

K — Comparti rPSS(K)

13

C — Comparti rIDA(C)

14

for /—1 to n do

15

R*[ /] — Rand (k)

16

(H[ /], R[/]) - Ct(K[/] C[ /]; R*M)

17

S[t] - R[/] K[/] CM H[1] ...H[n]

5

10

15

20

25

30

35

40

45

Algoritmo Compartir (S) 18 return S

Algoritmo Recuperar (S, j)

20

for i^1 to n do

21

R[i] K[i] C[i] H,[1] ... H[n] ^ S[i]

22

for i^1 to n do

23

if S[i] t ◊ and Vf (H[i\, K[i] C[i], R[i])

24

then K[i] ^ ◊, C[/] ^ ◊

25

K ^ RecuperarPSS (K)

26

C ^ RecuperarIDA(C)

27

S ^ DescifrarK(C)

28

return S

Como se ha indicado anteriormente, el algoritmo Recuperar de la Tabla 1 supone que el usuario suministra la localization de una comparticion conocida valida. En la ausencia de esta, pueden emplearse otros medios para determinar un valor de consenso para H[i]. La posibilidad mas natural usada en algunas realizaciones es el voto de la mayorla. Por ejemplo, en lugar de Hj[i] en la llnea 23, puede usarse un valor de H[i] que se produce con mayor frecuencia entre los valores recuperados H[i], para j variando de 1 a n.

Volviendo brevemente a la figura 8, la portion de la figura que esta etiquetada de 801 a 807 puede implementarse o considerarse como un unico proceso que incluye una comparticion de secretos de calculo (CSS) de S para obtener el vector de las comparticiones KC = (KC[1],..., KC[n]), en la que KC[i] = K[i] C^], con una vinculacion probabillstica aplicada al vector resultante de las comparticiones. La figura 10 muestra un esquema descrito a partir de esta realization alternativa. En esta realization, se emplean las tres primitivas siguientes, en lugar de las anteriores cinco primitivas definidas en relation con las figuras 8 y 9: (1) un generador de numeros aleatorios o pseudo-aleatorios, Rand; (2) un esquema de comparticion de secretos de calculo (CSS); y (3) un esquema de vinculacion probabillstica.

El generador de numeros aleatorios o pseudo-aleatorios, Rand, puede definirse como anteriormente. El esquema de

1 1 CSS CSS 1

comparticion de secretos de calculo puede incluir un par de algoritmos Compartir y Recuperar . El primero de estos algoritmos, conocido como el algoritmo de comparticion de la CSS, puede ser un mapa probabilistic que toma como entrada una cadena K, llamada el secreto, y devuelve una secuencia de n cadenas, K[1],..., K[n], denominadas como las comparticiones. Cada K[i] puede incluir una comparticion o las n comparticiones que se han tratado, o distribuido, por el distribuidor (la entidad que realiza el proceso de comparticion). El numero n puede ser un parametro del esquema de comparticion de secretos, y puede ser un numero positivo arbitrario. El algoritmo de comparticion puede ser probabilistic por que puede emplear unos bits aleatorios o pseudo-aleatorios. Una dependencia de este tipo puede realizarse proporcionando los bits aleatorios o pseudo-aleatorios del algoritmo de comparticion, como proporcionados por el generador de numeros aleatorios o pseudo-aleatorios, Rand.

El segundo algoritmo, que se conoce como el algoritmo de recuperacion de la CSS, toma como entrada un vector de n cadenas, denominado como las comparticiones pretendidas. Cada comparticion pretendida es o una cadena o un slmbolo distinguido "◊", que se lee como desaparecido y se usa para indicar que algunas comparticiones especlficas no estan disponibles o se desconocen. El algoritmo de recuperacion para el esquema de comparticion de secretos de calculo puede devolver una cadena S, el secreto recuperado. Ya que el par de algoritmos conforman un esquema de comparticion de secretos de calculo, pueden suponerse dos propiedades. La primera propiedad, la propiedad de privacidad, puede garantizar que ningun conjunto de usuarios no autorizado obtiene alguna information significativa (que puede extraerse mediante calculos) sobre el secreto que se ha compartido a partir de sus comparticiones. La segunda propiedad, la propiedad de recuperacion, garantiza que un conjunto autorizado de partes siempre puede recuperar el secreto, suponiendo que las partes autorizadas contribuyen con las comparticiones correctas al algoritmo de recuperacion y que cualquier parte adicional contribuye o con la comparticion correcta o si no con el valor desaparecido distinguido ("◊").

La tercera primitiva en esta realizacion es un esquema de vinculacion probabillstica, que puede implementarse como se ha descrito anteriormente en relacion con las figuras 8 y 9.

Haciendo referencia a la figura 10, la cadena secreta S 1000 puede compartirse, o distribuirse, usando el algoritmo Compartir 1001 de un esquema de comparticion de secretos de calculo (probabilistic). Esto puede dar como resultado n comparticiones, KC[1],..., KC[n] 1002. A continuation, puede emplearse un esquema de vinculacion probabillstica 1005 para obtener el vector 1006 de vinculacion y de no vinculacion. La vinculacion probabillstica puede emplear lanzamientos de monedas 1004 generados por algun generador de numeros aleatorios o pseudo-

5

10

15

20

25

30

35

40

45

50

aleatorios 1003. Compartir 1 del esquema de RCSS, S[1], puede incluir la comparticion KC[1] a partir del esquema de CSS 1002 junto con la no vinculacion R[1] a partir del esquema de vinculacion 1006 junto con el vector de vinculacion H[1]... H[n] a partir del esquema de vinculacion 1006. Compartir 2 del esquema de RCSS, S[2], pueden incluir la comparticion KC[2] a partir del esquema de CSS 1002 junto con la no vinculacion R[2] a partir del esquema de vinculacion 1006 junto con el vector de vinculacion H[1]... H[n] a partir del esquema de vinculacion 1006. Este proceso puede continuar, con una comparticion n del esquema de RCSS, S[n], que incluye la comparticion KC[n] a partir del esquema de CSS 1002 junto con la no vinculacion R[n] a partir del esquema de vinculacion 1006 junto con el vector de vinculacion H[1]... H[n] a partir del esquema de vinculacion 1006.

La figura 11 ilustra el proceso de recuperacion del esquema de RCSS que se acaba de describir. El algoritmo Recuperar 1130 esta provisto de un vector de comparticiones pretendidas, que algunas veces se llaman fragmentos en el presente documento, para distinguir estas comparticiones de las comparticiones del esquema de CSS. El i- esimo fragmento recibido por el algoritmo Recuperar 1130 se analiza para formar una cadena KC[i], un valor de no vinculacion R[i], y un vector de vinculacion Hi = Hi[1]... Hi[n]. A partir de la recopilacion de los vectores de vinculacion H1[i]... Hn[i], el algoritmo Recuperar 1130 debe determinar una vinculacion de consenso H[i]. Para el escenario en el que el algoritmo Recuperar 1130 esta provisto de un Indice j para un actor cuya comparticion se sabe que es valida, el valor de consenso H[i] puede seleccionarse para que sea HjJ], Para el caso en que no se sabe que tal comparticion es autentica, el valor de consenso puede seleccionarse como un valor de cadena que se produce con mayor frecuencia entre H1 [i],..., Hn[i]. La figura 11 representa las comparticiones KC[1] 1100, KC[2] 1110, y KC[n] 1120 analizadas fuera de los fragmentos primero, segundo, y n-esimo proporcionados al algoritmo Recuperar de RCSS, respectivamente. El ejemplo mostrado en la figura 11 representa igualmente los valores de no vinculacion R[1] 1102, R[2] 1112, y R[n] 1122 analizados fuera de los fragmentos primero, segundo, y n-esimo proporcionados al algoritmo Recuperar de RCSS, respectivamente. La figura 11 representa tambien los valores de vinculacion de consenso H[1] 1101, H[2] 1111, y H[n] 1121, determinados de la manera descrita anteriormente. Centrandose en el procesamiento del primer fragmento, el algoritmo de verificacion Vf 1104 del esquema de vinculacion probabillstica se llama en la vinculacion H[1], el mensaje KC[1], y la no vinculacion R[1]. El algoritmo puede devolver un bit, con, por ejemplo, 0 indicando que el mensaje KC[1] no deberla aceptarse como teniendo que no vincularse, y 1 indicando que deberla. En consecuencia, se alimenta un demultiplexor 1106 con el bit de decision del algoritmo de verificacion, con, por ejemplo, un 0 indicando que el valor recuperado deberla considerarse como desaparecido ("◊") 1105 y un 1 indicando que el valor recuperado deberla considerarse como el propio KC[1] 1100. La salida A es la primera entrada suministrada al algoritmo Recuperar 1130 de un esquema de CSS. Continuando de esta manera, se procesa el fragmento 2 (mostrado en 1110-1116 en el ejemplo de la figura 11) y cada fragmento adicional se procesa, hasta que se procesa el n-esimo (mostrado en 1120-1126 en el ejemplo de la figura 11). A continuacion, se proporciona la recopilacion de comparticiones al algoritmo Recuperar 1130 del esquema de CSS con el fin de recuperar el secreto. Este valor recuperado puede ser el valor emitido por el propio esquema de RCSS.

Los expertos en la materia se daran cuenta de que son posibles un gran numero de variantes. Por ejemplo, puede usarse un codigo de correccion de errores en algunas realizaciones para proporcionar una recopilacion adecuada de vinculaciones H[1]... H[n] para cada actor, sustituyendo de manera eficaz el simple pero algo ineficaz codigo de replicacion de la realizacion anterior.

A pesar de que algunas aplicaciones comunes se describen anteriormente, deberla entenderse claramente que la presente invencion puede integrarse con cualquier aplicacion de red con el fin de aumentar la seguridad, la tolerancia a fallos, el anonimato, o cualquier combinacion adecuada de los anteriores.

Ademas, otras combinaciones, adiciones, sustituciones y modificaciones seran evidentes para los expertos en la materia en vista de la divulgacion en el presente documento. En consecuencia, la presente invencion no pretende estar limitada por la respuesta de las realizaciones preferidas, pero ha de definirse por referencia a las reivindicaciones adjuntas.

Claims (11)

1. 5

   10

   15

   20

   25

   30

   35

   40

   45

   50

   REIVINDICACIONES

   1. Un metodo para garantizar datos generando una recopilacion de fragmentos de los datos, comprendiendo el metodo:

   aplicar un mecanismo de comparticion de un esquema de comparticion de secretos de calculo a los datos para producir una recopilacion de comparticiones; generar un valor aleatorio o pseudo-aleatorio;

   calcular un conjunto de valores de vinculacion y un conjunto de valores de no vinculacion a partir del valor aleatorio o pseudo-aleatorio y la recopilacion de las comparticiones;

   producir cada fragmento en la recopilacion de fragmentos combinando una comparticion, un valor de no vinculacion, y al menos un valor de vinculacion del conjunto de valores de vinculacion; y almacenar cada fragmento en al menos un deposito de datos.
2. 2. El metodo de la reivindicacion 1, en el que producir cada fragmento en la recopilacion de fragmentos comprende combinar una comparticion, un valor de no vinculacion, y todo el conjunto de valores de vinculacion.
3. 3. El metodo de la reivindicacion 1, en el que calcular un conjunto de valores de vinculacion y un conjunto de valores de no vinculacion comprende emplear un esquema de vinculacion probabillstica.
4. 4. Un metodo para garantizar los datos, comprendiendo el metodo:

   aplicar un mecanismo de comparticion de un esquema de comparticion de secretos de calculo a los datos para producir una recopilacion de comparticiones;

   usar un esquema de vinculacion probabillstica para calcular un conjunto de valores de vinculacion y un conjunto de valores de no vinculacion a partir de la recopilacion de las comparticiones;

   producir una pluralidad de fragmentos, en el que cada fragmento comprende una comparticion de la recopilacion de comparticiones, un valor de no vinculacion del conjunto de valores de no vinculacion, y el conjunto de valores de vinculacion; y

   almacenar cada fragmento en al menos un deposito de datos.
5. 5. El metodo de la reivindicacion 1 o 4, en el que almacenar cada fragmento en al menos un deposito de datos comprende almacenar cada fragmento en diferentes localizaciones geograficas.
6. 6. El metodo de la reivindicacion 1 o 4, en el que almacenar cada fragmento en al menos un deposito de datos comprende almacenar cada fragmento en diferentes localizaciones flsicas en el al menos un deposito de datos.
7. 7. El metodo de la reivindicacion 1 o 4, en el que el al menos un deposito de datos comprende un sistema de archivos distribuido.
8. 8. El metodo de la reivindicacion 1 o 4, en el que el esquema de comparticion de secretos de calculo se selecciona del grupo que consiste en los esquemas de comparticion de secretos Shamir, Blakley, y Krawczyk.
9. 9. El metodo de la reivindicacion 1 o 4, que comprende ademas transmitir los fragmentos producidos a traves de una pluralidad de canales de comunicacion.
10. 10. El metodo de la reivindicacion 9, en el que transmitir los fragmentos producidos a traves de una pluralidad de canales de comunicacion comprende transmitir cada fragmento producido a traves de un canal de comunicacion diferente.
11. 11. Un sistema que comprende al menos un procesador de ordenador configurado para realizar el metodo de acuerdo con una cualquiera de las reivindicaciones 1-10.