ES2202344T3 - Procedimiento de carga de una zona de memoria protegida de un dispositivo de tratamiento de la informacion y dispositivo asociado. - Google Patents
Procedimiento de carga de una zona de memoria protegida de un dispositivo de tratamiento de la informacion y dispositivo asociado.Info
- Publication number
- ES2202344T3 ES2202344T3 ES95402124T ES95402124T ES2202344T3 ES 2202344 T3 ES2202344 T3 ES 2202344T3 ES 95402124 T ES95402124 T ES 95402124T ES 95402124 T ES95402124 T ES 95402124T ES 2202344 T3 ES2202344 T3 ES 2202344T3
- Authority
- ES
- Spain
- Prior art keywords
- portable object
- module
- programs
- memory
- portable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/16—Protection against loss of memory contents
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/22—Payment schemes or models
- G06Q20/229—Hierarchy of users of accounts
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3552—Downloading or loading of personalisation data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3674—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0806—Details of the card
- G07F7/0813—Specific details related to card security
- G07F7/0826—Embedded security module
Abstract
LA INVENCION SE REFIERE A UNA PROCESO PARA CARGAR UNA ZONA DE MEMORIA PROTEGIDA DE UNA DISPOSITIVO DE TRATAMIENTO DE LA INFORMACION, Y AL DISPOSITIVO ASOCIADO. ESTA ZONA PROTEGIDA (11) PERTENECE A UN MODULO (8) DEL DISPOSITIVO DE TRATAMIENTO Y ES ACCESIBLE EN LECTURA Y ESCRITURA A MEDIOS DE TRATAMIENTO (9) INTERNO DEL MODULO. SEGUN LA INVENCION SE EFECTUA UNA TRANSFERENCIA DE INFORMACION CONFIDENCIAL HACIA ESTA ZONA PROTEGIDA (11), A PARTIR DE UNA ZONA PROTEGIDA ANALOGA (27) DE UN OBJETO PORTATIL (21) DE ESTRUCTURA SIMILAR A LA DEL MODULO, SIENDO ESTE OBJETO RECIBIDO EN UN LECTOR DE OBJETO PORTATIL (6) PREVISTO EN EL DISPOSITIVO. APLICACION EN LA CARGA DE DATOS Y/O PROGRAMAS CONFIDENCIALES EN TODO DISPOSITIVO DE TRATAMIENTO DE LA INFORMACION.
Description
Procedimiento de carga de una zona de memoria
protegida de un dispositivo de tratamiento de la información y
dispositivo asociado.
La invención concierne un procedimiento de carga
de un dispositivo de procesamiento de la información que comprende
medios de procesamiento de la información, una memoria, medios de
cooperación con un primer objeto portátil y un módulo que comprende
medios de procesamiento de la información y una memoria no volátil
que incluye una zona protegida accesible en lectura y en escritura
para los medios de procesamiento pero inaccesible al menos en
escritura desde el exterior del módulo, donde el primer objeto
portátil comprende medios de procesamiento de la información y una
memoria no volátil que incluye una zona protegida accesible en
lectura y escritura para los medios de procesamiento pero
inaccesible al menos en escritura desde el exterior del objeto
portátil, donde la zona protegida del primer objeto portátil
contiene datos y/o programas.
En el procedimiento de carga de tal dispositivo
de procesamiento de la información, es particularmente interesante
la carga del módulo ya que éste, debido a su estructura, está
perfectamente diseñado para contener datos o programas
confidenciales en la zona protegida de su memoria.
Se conoce un dispositivo de este tipo, en el cual
el módulo mismo es un objeto portátil que coopera con el
dispositivo a través de un lector de objeto portátil. En ese caso,
la carga del módulo se realiza independientemente del dispositivo,
durante una fase inicial de personalización del módulo efectuada
por un organismo habilitado. En el entorno protegido de tal
organismo, la carga del módulo no plantea problemas
particulares.
En cambio, la carga de la zona protegida del
módulo cuando éste está ya instalado en el dispositivo de
procesamiento es más delicada, en concreto cuando este dispositivo
ya ha sido instalado a su vez en el exterior de las instalaciones
del organismo habilitado, en un entorno no protegido.
Un primer problema que pretende resolver la
invención es la propuesta de un procedimiento para cargar de forma
segura la zona protegida del módulo, sea cual sea el carácter móvil
o no de éste último, y sea cual sea la naturaleza segura o no del
entorno en el que se efectúa esta carga durante la vida del
dispositivo de procesamiento.
El documento
EP-A-O 440 800 muestra una
comunicación entre una tarjeta maestra y una tarjeta de usuario, a
través de un terminal. La tarjeta maestra, que contiene una clave
madre, genera una clave hija a partir de la clave madre y de un
identificante de la tarjeta de usuario, y transmite después esta
clave hija a la tarjeta de usuario a través del terminal. Ambas
tarjetas pueden efectuar así un procedimiento criptográfico común,
basado en ambas claves. Se constata que, en esta operación de
transmisión de clave, el terminal no se carga realmente con una
clave, con vistas a un uso posterior. Por otro lado, el terminal no
contiene un módulo de seguridad para albergar esta clave de forma
protegida.
El documento EP-A- 0 193 920
muestra la carga en memoria RAM de un terminal su programa de
funcionamiento mediante una tarjeta de inicio. Posteriormente el
terminal funciona cooperando con una tarjeta de cliente. Ambas
tarjetas no poseen un procesador seguro con una memoria de acceso
protegido: el programa se almacena pues en una memoria no protegida
de la tarjeta de inicio. Tampoco se prevé en el terminal un
procesador seguro que incorpore una memoria de acceso protegido
para albergar este programa: tan sólo se ha previsto un único
procesador. Esta carga no es pues de naturaleza segura.
La invención concierne a este fin un
procedimiento acorde a la reivindicación 1.
De este modo, según la invención, la carga segura
del módulo se obtiene estableciendo un diálogo entre este módulo y
un objeto portátil exterior, que posee la misma estructura de
protección que éste, y efectuando una transmisión de informaciones
confidenciales entre sus respectivas zonas protegidas.
Un segundo aspecto de la invención concierne un
procedimiento para proporcionar una prestación de servicio
determinada que requiere la intervención del primer objeto portátil
y de un segundo objeto portátil que comprende medios de
procesamiento de la información y una memoria no volátil que
incluye una zona protegida accesible en lectura y en escritura para
los medios de procesamiento pero inaccesible al menos en escritura
desde el exterior del objeto portátil, donde la zona protegida
contiene datos y/o programas y estos datos y/o programas contenidos
en la zona protegida del primer y del segundo objetos portátiles
definen sus derechos y obligaciones respectivos con respecto a la
mencionada prestación de servicio.
Por ejemplo, las funciones de autentificación de
los objetos portátiles, de encifrado de datos, o también de
certificación o de firma de las informaciones, en los objetos
portátiles, requieren el uso de objetos portátiles secundarios que
contienen secretos correlativos a los secretos de los objetos
portátiles principales.
Este es en concreto el caso de las aplicaciones
de pago en las que es posible enviar un número aleatorio a las dos
objetos y comparar el resultado de un cálculo realizado en cada
objeto sobre la base de una clave protegida y de un algoritmo
criptográfico apropiado. Cuando ambos resultados son idénticos se
puede deducir que el objeto portátil secundario a autentificado el
objeto portátil principal. El procedimiento puede realizarse en
ambos sentidos para efectuar una autentificación mutua.
En tal caso, es pues necesario poseer dos objetos
portátiles electrónicos y por consiguiente máquinas o aparatos
capaces de realizar la interfaz entre ambos objetos. Estos aparatos
deben pues incluir dos canales de comunicación con ambos objetos y
en concreto dos sistemas de conexión que aumentan los costes y el
espacio necesarios, y reducen la fiabilidad de los equipos.
Un segundo problema que pretende resolver la
invención es pues evitar la presencia simultánea de dos
dispositivos de lectura de los objetos portátiles en los
aparatos.
Según la invención, este problema queda resuelto
por un segundo procedimiento definido por las características de la
reivindicación 2.
La invención concierne asimismo dos dispositivos
de procesamiento de la información concebidos para aplicar
respectivamente los dos procedimientos anteriormente mencionados, y
definidos por las reivindicaciones 7 y 8.
Otros detalles y ventajas de la invención
aparecerán a lo largo de la siguiente descripción de una forma de
realización preferida aunque no limitativa a la vista de los
dibujos anexos, en los que:
- la figura 1 representa el esquema de un
dispositivo de procesamiento de la información según la invención y
dos objetos portátiles destinados a cooperar sucesivamente con
éste; y
- la figura 2 define el conjunto de operaciones
relativas a una aplicación particular de la invención.
El dispositivo de procesamiento de la información
1 representado en la figura 1 comprende de forma conocida un
microprocesador 2 al que están unidas una memoria ROM 3, una
memoria RAM 4, una interfaz de transmisión 5 que permite al
dispositivo comunicarse con otro dispositivo semejante, ya sea
directamente o a través de una red de comunicaciones. Comprende
también un lector de objeto portátil 6 preparado para recibir un
objeto portátil del tipo de una tarjeta de microcircuitos, por
ejemplo tal y como se describe en las patentes francesas 2.461.301
y 2.401.459 al nombre de la Demandante. Este lector está unido al
microprocesador por una línea de transmisión 7.
El dispositivo 1 puede además estar equipado con
medios de almacenamiento tales como disquetes o discos móviles o
fijos, con medios de adquisición de datos (como un teclado y/o un
dispositivo de punteo como por ejemplo un ratón) y con medios de
visualización, medios todos que no están representados en la figura
1.
Por otra parte, el dispositivo 1 comprende un
módulo eléctrico 8, denominado posteriormente módulo de
transmisión, que incluye medios de procesamiento de la información
9 y una memoria no volátil asociada 10. Este módulo está preparado
para definir, en la memoria 10, una zona secreta 11 en la que las
informaciones, una vez grabadas, son inaccesibles desde el exterior
del módulo pero accesibles únicamente para los medios de
procesamiento 9, y una zona libre 12 que es accesible desde el
exterior del módulo para la lectura y/ o escritura de
informaciones. Cada zona de memoria puede comprender una parte
imborrable ROM y una parte borrable EPROM, EEPROM o constituida por
memoria RAM de tipo "flash", es decir, con las características
de una memoria EEPROM y además con tiempos de acceso idénticos a
los de una memoria RAM clásica. Una memoria volátil RAM no
representada está también prevista.
Como módulo 8 se podrá utilizar por ejemplo un
microprocesador de memoria no volátil autoprogramable, tal y como
se describe en la patente francesa n° 2.461.301 al nombre de la
Demandante. Tal y como se indica en la página 1, líneas 5 a 17 de
esta patente, el carácter autoprogramable de la memoria corresponde
a la posibilidad para un programa f1 situado en esta memoria de
modificar otro programa fj situado también en esta memoria en un
programa gj. Aunque los medios aplicables para realizar esta
autoprogramación pueden variar en función de la técnica utilizada
para concebir los medios de procesamiento de la información 9, debe
recordarse que cuando esos medios de procesamiento están formados
por un microprocesador asociado a una memoria no volátil y según la
patente anteriormente mencionada, estos medios pueden incluir:
- memorias tampón de datos y direcciones,
asociadas a la memoria,
- un programa de escritura en la memoria, cargado
dentro de ésta y que comprende entre otros elementos las
instrucciones que permiten el mantenimiento, por una parte, de la
tensión de programación en la memoria, y por otra parte de los
datos a escribir y de sus direcciones, durante un tiempo
suficiente, pudiendo sin embargo remplazarse este programa de
escritura por un autómata de escritura de circuitos lógicos.
En una variante, el microprocesador del módulo 8
se sustituye por circuitos lógicos implantados en un chip de
semiconductores. En efecto, este tipo de circuitos son aptos para
efectuar cálculos, entre otros de autentificación y de firma,
gracias a la electrónica cableada, y no microprogramada. Como
ejemplo se puede citar el componente de la sociedad SIEMENS
comercializado con la referencia SLE 4436 y el de la sociedad SGS-
THOMSON comercializado con la referencia ST 1335.
El módulo se concebirá preferentemente con forma
monolítica sobre un único chip. Está unido al microprocesador 2 por
una línea de transmisión 13 que se une directamente con éste, o por
una línea de transmisión 13' que se une con la línea de transmisión
7 del lector de objeto portátil 6, tal y como se representa con
lineas de puntos en la figura 1.
En el aspecto material, el módulo 8 podrá
asociarse de varias maneras diferentes al dispositivo de
procesamiento de la información 1. Podrá primero concebirse de
forma completamente integrada en el dispositivo, por ejemplo
dispuesto sobre una pletina interna de éste que soporte un conjunto
de componentes electrónicos, e incluso sobre un mismo chip. También
podrá concebirse como un elemento añadido y móvil. Por ejemplo
estará soportado, de manera móvil o fija, por una tarjeta de
memoria de masa equipada con un conector acorde a la norma PCMCIA
(Personal Computer Memory Card International Association) enfichada
en un conector correspondiente del dispositivo de procesamiento de
la información 1, conector que estará situado por ejemplo entre el
microprocesador 2 y el punto de unión entre las líneas de
transmisión 7, 13' (líneas de puntos con la referencia 14).
El dispositivo de procesamiento 1 está destinado
a cooperar con dos objetos portátiles 21, 22 tales como los
definidos anteriormente en relación con el lector de objeto
portátil 6. Cada uno está equipado con un módulo electrónico con la
misma estructura que el módulo 8 asociado al dispositivo de
procesamiento 1 y posee pues medios de procesamiento de la
información 23, 24, una memoria no volátil 25, 26 que comprende una
zona protegida 27, 28 y una zona libre 29, 30, y medios de
autoprogramación.
En una variante, la zona secreta del módulo de
transmisión 8 y/ o de los dos objetos portátiles está completada o
sustituida por una zona cuyo nivel de seguridad es inferior al de
la zona secreta. Concretamente, esta zona es accesible no sólo a
los medios de procesamiento del módulo de transmisión o de los
objetos portátiles para una lectura y/o escritura de informaciones,
sino que también es accesible en lectura (mas no en escritura) desde
el exterior del módulo o de los objetos. En esta exposición, se
designa como "zona protegida" una zona secreta inaccesible
desde el exterior, o una zona accesible únicamente en lectura desde
el exterior. En una zona accesible en lectura desde el exterior
pueden almacenarse por ejemplo una clave pública de un algoritmo de
clave pública, o datos de programas diversos. En una zona secreta
se almacenan entre otros elementos claves secretas.
El procedimiento siguiente supone ante todo una
fase de personalización del módulo de transmisión 8 del dispositivo
de procesamiento 1, y de los dos objetos portátiles 21, 22
efectuada por un organismo habilitado. A modo de ejemplo, puede
aplicarse el procedimiento siguiente. En la zona protegida
respectiva 11, 27 del módulo de transmisión 8 y del primer objeto
portátil 21, se dispone una misma clave protegida S que permitirá
por ejemplo al objeto portátil autentificar el módulo de
transmisión. Por otra parte, se dispone en la zona protegida 27 del
primer objeto portátil una clave protegida madre K y en la zona
protegida 28 del segundo objeto portátil una clave protegida Kd
diversificada a partir de la clave K, donde ambas claves permiten
entre otras cosas al primer objeto portátil autentificar el segundo.
Por ejemplo, la clave diversificada Kd se obtiene realizando un
cálculo mediante un algoritmo criptográfico determinado, que tiene
en cuenta la clave madre K y un parámetro de diversificación
característico del segundo objeto portátil.
En función de las necesidades, la clave protegida
S previamente mencionada puede también ser objeto de un
procedimiento de diversificación.
En las zonas protegidas 27, 28 de los dos objetos
portátiles se encuentran también respectivamente dos programas P1 y
P2 ligados a la aplicación considerada y que definen entre otras
cosas las reglas de atribución de tal o cual prestación de
servicio.
La invención tiene su aplicación en la
realización de un procedimiento ligado al servicio considerado, que
exige la presencia simultánea de los dos objetos portátiles 21, 22.
Con este fin,, al menos algunos derechos inscritos en el objeto
portátil 21 se copiaran en. el módulo de transmisión 8.
En una primera etapa, el objeto portátil 21 se
inserta en el lector de objeto portátil 6, y realiza con el módulo
de transmisión 8 un procedimiento mutuo de autentificación para
comprobar que éstos están efectivamente habilitados para intervenir
en la prestación del servicio contemplado. Por ejemplo, el objeto
portátil genera un número aleatorio E y lo envía al módulo de
transmisión, que efectúa un cálculo basado en su clave protegida S y
este número aleatorio E, y envía un :resultado del cálculo R al
objeto portátil 21. Este efectúa el mismo cálculo por su parte,
basado en su clave protegida S y el mismo número aleatorio E para
producir un resultado R', y compara ambos resultados R,R' : en caso
,de identidad, el objeto portátil considera que el módulo de
transmisión es auténtico. Un procedimiento de este tipo se describe
en la patente francesa 2.60 1.795 al nombre de la Demandante.
El procedimiento descrito anteriormente concierne
la autentificación del módulo de transmisión 8 por el objeto
portátil 21. En sentido contrario, el módulo de transmisión 8 podrá
autentificar el objeto portátil 21 según un procedimiento análogo,
comparándose esta vez los resultados R,R' en el módulo de
transmisión.
Una vez confirmada la autentificación mutua, el
módulo de transmisión 8 y el objeto portátil 21 pueden intercambiar
informaciones, ya sea en abierto, o de manera codificada usando una
clave de encifrado Sc: en este segundo caso, la clave de encifrado
puede calcularse mediante el módulo de transmisión y el objeto
portátil, de forma conocida, a partir de un algoritmo F contenido
en la zona de memoria protegida 11, 27 de éstos, de la clave
protegida común S y de un número aleatorio Ec generado por el módulo
o el objeto y transmitido al otro de estos dos dispositivos. El
encifrado de la información por uno de los dispositivos utiliza la
clave de encifrado Sc y un algoritmo de encifrado G, descifrando la
información recibida el otro dispositivo mediante idénticos
parámetros o una clave y un algoritmo de encifrado correlacionados
con éstos.
De forma conocida, el procedimiento puede
requerir que el portador del objeto portátil 21 se identifique
presentando a este objeto un código confidencial a través de un
teclado del dispositivo de procesamiento 1, código que se compara
con un código de referencia contenido en la zona de memoria
protegida 27 del objeto.
Una segunda etapa del procedimiento acorde a la
invención consiste en transmitir desde el objeto portátil 21 al
módulo de transmisión 8, todos los parámetros necesarios a la
prestación del servicio contemplado. En concreto, la clave
protegida K y el programa P1 se transmiten a la zona de memoria
protegida 11 del módulo de transmisión 8 y permitirán a éste
realizar, con el segundo objeto portátil 22, cualquier operación
que requiera el uso de esta clave y de este programa.
Puede que sea necesario limitar el periodo
durante el cual el módulo de transmisión 8 ejercerá los derechos
que le hayan sido transmitidos por el primer objeto portátil 21. Con
este fin, el módulo de transmisión 8 incorporará, en su zona
protegida 11, un programa preparado para bloquear su funcionamiento
cuando un límite predeterminado, transmitido por el primer objeto
portátil 21, haya sido alcanzado. Puede tratarse entre otros casos
de un tiempo de funcionamiento transcurrido a partir del momento en
el que ha intervenido la transmisión de los derechos, o de un número
de transacciones, estando predeterminada la definición de una
transacción por el sistema y pudiendo corresponder a una unidad de
prestación de servicio determinada o a una sesión, periodo que
transcurre entre el momento en el que el segundo objeto portátil 22
se introduce en el dispositivo de procesamiento 1 y el momento en
que se retira de éste. Al final del periodo de utilización
autorizado, el módulo de transmisión se bloqueará y no podrá volver
a estar operativo hasta la introducción en el lector 6 de un objeto
portátil apto a desbloquearlo, como el primer objeto portátil
21.
La figura 2 ilustra una posible aplicación de la
invención en la que un mensaje M, elaborado sobre los medios de
adquisición de datos del dispositivo de procesamiento 1, debe ser
firmado por el primer objeto portátil 21, debiendo introducirse el
mensaje M y su firma SG en el segundo objeto portátil 22.
En una primera etapa 31, el primer objeto
portátil 21 se introduce en el lector del objeto portátil 6 del
dispositivo de procesamiento 1. En la etapa siguiente 32, el primer
objeto portátil 21 autentica el módulo de transmisión 8 de la
manera descrita previamente. En caso de autentificación confirmada,
el primer objeto portátil 21 carga su clave protegida K y su
programa P1 en la zona protegida 11 del módulo de transmisión 8
(etapa 33). A continuación, el primer objeto portátil 21 se retira
del dispositivo de procesamiento 1 (etapa 34) y el segundo objeto
portátil 22 se introduce en su lugar (etapa 35).
La autentificación del segundo objeto portátil 22
por el módulo de transmisión introduce la clave K recibida por este
último y la clave Kd del objeto portátil. Esta se realiza de la
manera indicada previamente. Con este fin, el módulo de transmisión
deberá, tras la recepción de un parámetro de diversificación
procedente del objeto portátil, volver a calcular la clave
diversificada Kd de este último a partir de su clave madre K.
Entonces, a menos que el mensaje M esté ya presente en la memoria
del dispositivo de procesamiento 1 o en la memoria del primer
objeto portátil 21, este mensaje se introduce en el dispositivo de
procesamiento por parte del portador del primer objeto portátil 21,
por ejemplo mediante los medios de adquisición de datos de este
dispositivo (etapa 37). La presentación del mensaje M puede
requerir la intervención de los programas P1 y P2.
En la etapa siguiente 38, el módulo de
transmisión 8 calcula la firma SG del mensaje M, firma que une de
forma indisociable el contenido del mensaje con la identidad del
emisor de éste, es decir en este caso concreto la clave protegida K
del primer objeto portátil 21. En la práctica, el módulo de
transmisión incorpora en su zona de memoria protegida 11 un
algoritmo de cálculo de firma H que se encuentra en ésta de forma
permanente o que ha sido transmitido por el primer objeto portátil
21. El algoritmo H, tomando en cuenta el mensaje M (preferentemente
una forma abreviada de éste) y la clave protegida K del primer
objeto portátil 21, produce un resultado de cálculo que constituye
la mencionada firma SG.
En la etapa 39, el mensaje M y su firma SG son
transmitidos en la memoria 26 del segundo objeto portátil 22. Este
último se retira posteriormente del dispositivo de procesamiento 1
(etapa 40).
Para concluir, se puede observar pues que el
procedimiento descrito a permitido hacer cooperar los dos objetos
portátiles 21, 22 con el dispositivo de procesamiento 1 en un
procedimiento común, y esto utilizando únicamente la línea de
transmisión 7 que une el lector de objeto portátil 6 al
microprocesador 2 del dispositivo de procesamiento.
Se observará que los algoritmos previamente
mencionados de elaboración de una clave diversificada Kd o de una
clave de encifrado Sc, de encifrado de una información, y de
cálculo de firma podrán estar constituidos por el mismo
algoritmo.
Aunque se han presentado algoritmos simétricos de
clave protegida anteriormente, se podrán utilizar naturalmente de
manera ventajosa algoritmos asimétricos de clave pública, de manera
que al menos uno de los objetos portátiles o el módulo de
transmisión incorporen, en lugar de una clave secreta, una clave
pública. Por ejemplo, el organismo dispone inicialmente en el
segundo objeto portátil 22 una firma elaborada gracias al
algoritmo, en función de un dato de identificación de este objeto y
de una clave secreta, haciendo intervenir para la autentificación
de este objeto por parte del módulo de transmisión 8 una clave
pública correspondiente para comprobar esta firma, estando esta
clave pública inicialmente en la memoria del primer objeto portátil
21.
Se puede citar, entre distintas aplicaciones de
la invención, la del campo de la salud, en la cual la clave
protegida K define los derechos de un médico y la clave protegida
Kd los de un paciente, permitiendo el procedimiento descrito
anteriormente que el médico introduzca en el objeto portátil 22 del
paciente un mensaje constituido por una prescripción facultativa a
la cual se asocia la firma del médico, firma que puede comprobar
cualquier organismo que posea las claves públicas relacionadas con
las claves secretas K, Kd.
En el caso de que el diálogo con el segundo
objeto portátil 22 necesitase la intervención simultánea de los
derechos de varios primeros objetos portátiles 21, se cargarían
sucesivamente, en el módulo de transmisión 8, los derechos
necesarios de estos diferentes primeros objetos 21, introduciendo
uno tras otro estos objetos portátiles en el lector 6. A
continuación, se establecería el diálogo entre el módulo de
transmisión 8 y el segundo objeto portátil 22.
La invención se aplicará también en el caso de
que el primer objeto portátil 21 se comunique con el dispositivo de
procesamiento 1, no ya localmente a través del lector de objeto
portátil 6, sino a distancia a través de una línea teleinformática
o telefónica unida a la interfaz de transmisión. El procedimiento
acorde a la invención permite liberar esta linea una vez realizada
la transmisión de informaciones entre el primer objeto portátil y el
dispositivo de procesamiento, para destinarla a otras tareas
mientras los dos objetos portátiles 21, 22 dialogan entre sí.
Por otra parte, la invención se aplica no sólo en
caso de un diálogo entre los objetos portátiles mientras el
dispositivo de procesamiento 1 está desconectado, sino también en
el caso de que este último esté en linea para realizar un diálogo
con un dispositivo alejado que proporciona la prestación de
servicio requerida o interviene en ésta.
Claims (10)
1. Procedimiento de carga de un dispositivo de
procesamiento de la información (1) que comprende medios de
procesamiento de la información (2), una memoria (3,4), y medios de
cooperación (6) con un primer objeto portátil (21), primer objeto
portátil que comprende medios de procesamiento de la información
(23) y una memoria no volátil (25) que contiene datos (S, K) y/o
programas (P1), procedimiento que comprende las etapas que consisten
en:
- hacer cooperar el dispositivo de procesamiento
(1) con el primer objeto portátil (21);
- transmitir a la memoria (3,4) del dispositivo
de procesamiento los datos mencionados (K) y/o programas (P 1)
procedentes de la memoria del primer objeto portátil; y
- bloquear el funcionamiento del dispositivo de
procesamiento tras un suceso determinado,
caracterizado porque el dispositivo de
procesamiento incluye un módulo (8) que comprende medios (9) de
procesamiento de la información y una memoria no volátil (10) que
incluye una zona protegida (11) accesible en lectura y en escritura
a los medios de procesamiento pero inaccesible al menos en
escritura desde el exterior del módulo, porque la memoria no
volátil (25) del primer objeto portátil (21) incluye una zona
protegida (27) accesible en lectura y escritura a los medios de
procesamiento pero inaccesible al menos en escritura desde el
exterior del objeto portátil, que contiene los datos mencionados
(K) y/o programas (P1), porque se transmiten los datos mencionados
(K) y/o programas (P1) a la zona protegida (11) del módulo, y
porque el mencionado suceso determinado que provoca el bloqueo es
un periodo predeterminado o un número predeterminado de
transacciones, conteniendo la zona protegida (11) del módulo (8) a
estos efectos las informaciones de bloqueo correspondientes, aptas
para activar el mencionado bloqueo.
2. Procedimiento de carga de un dispositivo de
procesamiento de la información (1) para realizar una prestación de
servicio determinada que necesita la intervención de un primer
objeto portátil (21) y de un segundo objeto portátil (22),
comprendiendo el dispositivo de procesamiento de la información (1)
medios de procesamiento de la información (2), una memoria (3,4) y
medios de cooperación (6) con un objeto portátil (21), comprendiendo
cada objeto portátil medios de procesamiento de la información
(23,24) y una memoria no volátil (25,26) que contiene datos (S, K)
y/o programas (P1), procedimiento que comprende las etapas que
consisten en:
- hacer cooperar el dispositivo de procesamiento
(1) con el primer objeto portátil (21);
- transmitir a la memoria (3,4) del dispositivo
de procesamiento los datos mencionados (K) y/o programas (Pl)
procedentes de la memoria del primer objeto portátil;
- hacer cooperar el dispositivo de procesamiento
con el segundo objeto portátil (22); y
- proceder a la realización del servicio
mencionado usando los datos citados (K) y/o programas (Pl)
transmitidos al módulo (8) y otros (Kd, P2) contenidos en el
segundo objeto portátil (22),
caracterizado porque el dispositivo de
procesamiento incluye un módulo (8) que comprende medios (9) de
procesamiento de la información y una memoria no volátil (10) que
incluye una zona protegida (11) accesible en lectura y escritura a
los medios de procesamiento pero inaccesible al menos en escritura
desde el exterior del módulo, porque la memoria no volátil (25) de
cada objeto portátil (21) incluye una zona protegida (27) accesible
en lectura y escritura a los medios de procesamiento pero
inaccesible al menos en escritura desde el exterior del objeto
portátil, que contiene los datos mencionados (K) y/o programas
(P1), definiendo estos datos y/o programas los derechos y
obligaciones respectivos de estos objetos portátiles respecto a la
mencionada prestación de servicio, y porque se transmiten dichos
datos (K) y/o programas (P1) desde la memoria del primer objeto
portátil a la zona protegida (11) del módulo.
3. Procedimiento según la reivindicación 2, para
establecer un diálogo entre el primer y el segundo objetos
portátiles, que requiere el uso de los datos mencionados (K, Kd)
y/o programas (P1, P2) procedentes de las zonas protegidas de esos
objetos portátiles, procedimiento en el cual, una vez el segundo
objeto portátil coopere con el dispositivo de procesamiento, se
comunican el módulo (8) y el segundo objeto portátil (22) usando los
mencionados datos y/o programas.
4. Procedimiento según la reivindicación 3, en el
que los datos mencionados transmitidos desde el primer objeto
portátil (21) hacia el módulo (8) comprenden una clave protegida
(K) relacionada con otra clave (Kd) situada en la zona protegida
(28) de la memoria del segundo objeto portátil (22) de modo que el
módulo y el segundo objeto portátil pueden efectuar un
procedimiento criptográfico mutuo, basado en ambas claves.
5. Procedimiento según una cualquiera de las
reivindicaciones previas, en el cual el primer objeto portátil (21)
contiene, en la zona protegida, (27) de su memoria, una clave (S)
relacionada con otra clave (S) situada en la zona protegida (11) de
la memoria del módulo (8) y, antes de transmitir los datos o
programas hacia este último, se realiza un procedimiento
criptográfico mutuo entre el primer objeto portátil y el módulo que
se basa en ambas claves (S).
6. Procedimiento según una cualquiera de las
reivindicaciones previas, en el cual el primer objeto portátil (21)
contiene una clave y un algoritmo de encifrado mientras que el
módulo (8) contiene una clave y un algoritmo de descifrado
correlacionados respectivamente con la clave y el algoritmo del
primer objeto portátil, procedimiento que consiste además en
encifrar los mencionados datos (K) y/o programas (P1) en el primer
objeto portátil antes de transmitirlos al módulo, mediante la clave
y el algoritmo de encifrado, y en descifrar estos datos y/o
programas en el módulo después de su transmisión, mediante la clave
y el algoritmo de descifrado.
7. Dispositivo de procesamiento de la información
(1) que comprende medios de procesamiento de la información (2),
una memoria (3,4), y medios de cooperación (6) con un primer objeto
portátil (21), primer objeto portátil que comprende medios de
procesamiento de la información (23) y una memoria no volátil (25)
que contiene datos (S, K) y/o programas (P1), comprendiendo el
dispositivo de procesamiento medios preparados para activar y
controlar un procedimiento de diálogo entre el dispositivo de
procesamiento (1) y el primer objeto portátil (21), a saber:
- medios para hacer cooperar el dispositivo de
procesamiento (1) con el primer objeto portátil (21);
- medios para transmitir a la memoria (3,4) del
dispositivo de procesamiento los datos mencionados (K) y/o
programas (P1) procedentes de la memoria del primer objeto
portátil; y
- medios para bloquear el funcionamiento del
dispositivo de procesamiento tras un determinado
\hbox{suceso}, caracterizado porque el dispositivo de
procesamiento incluye un módulo (8) que comprende medios (9) de
procesamiento de la información y una memoria no volátil (10) que
incluye una zona protegida (11) accesible en lectura y escritura a
los medios de procesamiento pero inaccesible al menos en escritura
desde el exterior del módulo, porque la memoria no volátil (25) del
primer objeto portátil (21) incluye una zona protegida (27)
accesible en lectura y en escritura a los medios de procesamiento
pero inaccesible al menos en escritura desde el exterior del objeto
portátil, que contiene los datos mencionados (K) y/o programas
(P1), porque la transmisión de dichos datos (K) y/o programas (P1)
se efectúa en la zona protegida (11) del módulo, porque el
mencionado suceso determinado que provoca el bloqueo es un periodo
predeterminado o un número predeterminado de transacciones,
conteniendo a estos efectos la. zona protegida (11) del módulo (8)
las informaciones de bloqueo correspondientes, aptas para activar
dicho bloqueo.
8. Dispositivo de procesamiento de la información
(1) para proporcionar una prestación de servicio determinada que
requiere la intervención de un primer objeto portátil (21) y de un
segundo objeto portátil (22), comprendiendo el dispositivo de
procesamiento de la información (1) medios de procesamiento de la
información (2), una memoria (3,4) y medios de cooperación (6) con
un objeto portátil (21), comprendiendo cada objeto portátil medios
de procesamiento de la información (23,24) y una memoria no volátil
(25,26) que contiene datos (S, K) y/o programas (P1), comprendiendo
el dispositivo de procesamiento medios preparados para activar y
controlar un procedimiento de diálogo entre el dispositivo de
procesamiento (1) y el primer objeto portátil (21), a saber:
- medios para hacer cooperar el dispositivo de
procesamiento (1) con el primer objeto portátil (21);
- medios para transmitir a la memoria (3,4) del
dispositivo de procesamiento los datos mencionados (K) y/o
programas (P1) procedentes de la memoria del primer objeto
portátil;
- medios para hacer cooperar el dispositivo de
procesamiento con el segundo objeto portátil (22), y
- medios para proceder a la prestación del
mencionado servicio utilizando los datos mencionados (K) y/o
programas (P1) transmitidos al módulo (8) y otros (Kd, P2)
contenidos en el segundo objeto portátil (22),
caracterizado porque el dispositivo de
procesamiento incluye un módulo (8) que comprende medios (9) de
procesamiento de la información y una memoria no volátil (10) que
incluye una zona protegida (11) accesible en lectura y escritura a
los medios de procesamiento pero inaccesible al menos en escritura
desde el exterior del módulo, porque la memoria no volátil (25) de
cada objeto portátil (21) incluye una zona protegida (27) accesible
en lectura y escritura a los medios de procesamiento pero
inaccesible al menos en escritura desde el exterior del objeto
portátil, que contiene los datos mencionados (K) y/o programas
(P1), definiendo estos datos y/o programas los derechos y
obligaciones respectivos de estos objetos portátiles respecto a la
mencionada prestación de servicio, y porque se transmiten dichos
datos (K) y/o programas (P1) desde la memoria del primer objeto
portátil a la zona protegida (11) del módulo.
9. Dispositivo según la reivindicación 7 o la
reivindicación 8, en el cual los mencionados medios especialmente
preparados para activar y controlar el procedimiento de diálogo
entre el módulo (8) y el o cada objeto portátil (21,22) comprenden
un programa contenido en la memoria (3,4) del dispositivo de
procesamiento (1).
10. Dispositivo según la reivindicación 8, que
comprende medios para bloquear el funcionamiento del módulo más
allá de un período predeterminado o de un número predeterminado de
transacciones, conteniendo a estos efectos la zona protegida (11)
del módulo (8) las informaciones de bloqueo correspondientes, aptas
para activar dicho bloqueo.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9412100 | 1994-10-11 | ||
| FR9412100A FR2725537B1 (fr) | 1994-10-11 | 1994-10-11 | Procede de chargement d'une zone memoire protegee d'un dispositif de traitement de l'information et dispositif associe |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2202344T3 true ES2202344T3 (es) | 2004-04-01 |
Family
ID=9467737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES95402124T Expired - Lifetime ES2202344T3 (es) | 1994-10-11 | 1995-09-21 | Procedimiento de carga de una zona de memoria protegida de un dispositivo de tratamiento de la informacion y dispositivo asociado. |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US5825875A (es) |
| EP (1) | EP0707290B1 (es) |
| JP (1) | JP3633686B2 (es) |
| KR (1) | KR100214817B1 (es) |
| CN (1) | CN1143223C (es) |
| AT (1) | ATE245293T1 (es) |
| AU (1) | AU690324B2 (es) |
| BR (1) | BR9504355A (es) |
| CA (1) | CA2160223C (es) |
| DE (1) | DE69531278T2 (es) |
| ES (1) | ES2202344T3 (es) |
| FR (1) | FR2725537B1 (es) |
| NO (1) | NO954028L (es) |
| TW (1) | TW279213B (es) |
Families Citing this family (121)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6010074A (en) * | 1996-04-01 | 2000-01-04 | Cubic Corporation | Contactless proximity automated data collection system and method with collision resolution |
| EP0910841B1 (de) * | 1996-06-19 | 2000-03-15 | Tresor TV Produktions GmbH | Informationsübermittlungssystem |
| DE19629856A1 (de) * | 1996-07-24 | 1998-01-29 | Ibm | Verfahren und System zum sicheren Übertragen und Speichern von schützbaren Informationen |
| DE19632197A1 (de) * | 1996-08-09 | 1998-02-12 | Bosch Gmbh Robert | Verfahren zur Programmierung eines elektrischen Gerätes, Chipkarte und Gerät |
| FR2753556B1 (fr) * | 1996-09-13 | 1998-11-13 | Schlumberger Ind Sa | Methode d'authentification de cartes |
| DE19650549A1 (de) * | 1996-12-05 | 1998-06-10 | Ods Gmbh & Co Kg | Verfahren zum gesicherten nachträglichen Programmieren einer Mikroprozessorkarte für eine zusätzliche Anwendung |
| US6317832B1 (en) | 1997-02-21 | 2001-11-13 | Mondex International Limited | Secure multiple application card system and process |
| US6575372B1 (en) | 1997-02-21 | 2003-06-10 | Mondex International Limited | Secure multi-application IC card system having selective loading and deleting capability |
| US6220510B1 (en) | 1997-05-15 | 2001-04-24 | Mondex International Limited | Multi-application IC card with delegation feature |
| US6101605A (en) * | 1997-05-15 | 2000-08-08 | Vlsi Technology, Inc. | Method and apparatus for performing a secure operation |
| US6230267B1 (en) * | 1997-05-15 | 2001-05-08 | Mondex International Limited | IC card transportation key set |
| US6385723B1 (en) * | 1997-05-15 | 2002-05-07 | Mondex International Limited | Key transformation unit for an IC card |
| US6328217B1 (en) | 1997-05-15 | 2001-12-11 | Mondex International Limited | Integrated circuit card with application history list |
| US6488211B1 (en) | 1997-05-15 | 2002-12-03 | Mondex International Limited | System and method for flexibly loading in IC card |
| US6164549A (en) | 1997-05-15 | 2000-12-26 | Mondex International Limited | IC card with shell feature |
| EP0983541B1 (en) * | 1997-05-29 | 2003-08-06 | Sun Microsystems, Inc. | Method and apparatus for signing and sealing objects |
| FR2765709B1 (fr) * | 1997-07-04 | 2001-10-12 | Schlumberger Ind Sa | Methode de chargement de donnees dans une carte a microprocesseur |
| FR2766942B1 (fr) | 1997-07-31 | 1999-10-01 | Gemplus Card Int | Lecteur de carte a puce avec microcontroleur et composant de securite |
| CA2295887A1 (en) * | 1997-09-09 | 1999-03-18 | Koninklijke Kpn N.V. | Method of loading commands in the security module of a terminal |
| JP3748155B2 (ja) * | 1997-11-14 | 2006-02-22 | 富士通株式会社 | 改ざん防止/検出機能を有するファイル管理システム |
| US6357665B1 (en) | 1998-01-22 | 2002-03-19 | Mondex International Limited | Configuration of IC card |
| US6736325B1 (en) | 1998-01-22 | 2004-05-18 | Mondex International Limited | Codelets |
| US6742120B1 (en) | 1998-02-03 | 2004-05-25 | Mondex International Limited | System and method for controlling access to computer code in an IC card |
| FR2777371B1 (fr) * | 1998-04-09 | 2001-10-26 | Innovatron Electronique | Procede pour modifier de maniere indivisible une pluralite d'emplacements de la memoire non volatile d'une carte a microcircuit |
| GB9816504D0 (en) * | 1998-07-30 | 1998-09-23 | Ncr Int Inc | Data processing and method |
| TW527604B (en) | 1998-10-05 | 2003-04-11 | Toshiba Corp | A memory systems |
| DE19850308B4 (de) * | 1998-10-30 | 2006-07-13 | T-Mobile Deutschland Gmbh | Verfahren zum Schutz von Chipkarten vor missbräuchlicher Verwendung in Fremdgeräten |
| KR100327234B1 (ko) * | 1998-11-18 | 2002-04-17 | 윤종용 | 휴대용 단말기의 데이터 저장 장치 및 방법 |
| JP3389186B2 (ja) * | 1999-04-27 | 2003-03-24 | 松下電器産業株式会社 | 半導体メモリカード及び読み出し装置 |
| JP4011792B2 (ja) * | 1999-06-16 | 2007-11-21 | 株式会社東芝 | 記録方法、再生方法、記録装置、再生装置及び記録媒体 |
| FR2795905B1 (fr) * | 1999-06-30 | 2001-08-24 | Sagem | Telephone mobile avec une architecture a plusieurs supports a puce |
| US7131139B1 (en) * | 1999-09-28 | 2006-10-31 | Swatch Ag | Method for authorizing access to computer applications |
| GB9925227D0 (en) | 1999-10-25 | 1999-12-22 | Internet Limited | Data storage retrieval and access system |
| US6934817B2 (en) | 2000-03-31 | 2005-08-23 | Intel Corporation | Controlling access to multiple memory zones in an isolated execution environment |
| US7089418B1 (en) | 2000-03-31 | 2006-08-08 | Intel Corporation | Managing accesses in a processor for isolated execution |
| US6754815B1 (en) | 2000-03-31 | 2004-06-22 | Intel Corporation | Method and system for scrubbing an isolated area of memory after reset of a processor operating in isolated execution mode if a cleanup flag is set |
| US7194634B2 (en) * | 2000-03-31 | 2007-03-20 | Intel Corporation | Attestation key memory device and bus |
| US7013481B1 (en) | 2000-03-31 | 2006-03-14 | Intel Corporation | Attestation key memory device and bus |
| US6760441B1 (en) | 2000-03-31 | 2004-07-06 | Intel Corporation | Generating a key hieararchy for use in an isolated execution environment |
| US7013484B1 (en) | 2000-03-31 | 2006-03-14 | Intel Corporation | Managing a secure environment using a chipset in isolated execution mode |
| US6769058B1 (en) | 2000-03-31 | 2004-07-27 | Intel Corporation | Resetting a processor in an isolated execution environment |
| GB0010265D0 (en) * | 2000-04-28 | 2000-06-14 | Ncr Int Inc | Encrypting keypad module |
| JP4730927B2 (ja) * | 2000-05-16 | 2011-07-20 | 株式会社エスグランツ | 情報処理装置、及びコントロールモジュール |
| FR2809852B1 (fr) * | 2000-05-30 | 2002-11-29 | Dassault Automatismes | Terminal de paiement comprenant une carte memoire non volatile extractible |
| FR2810139B1 (fr) * | 2000-06-08 | 2002-08-23 | Bull Cp8 | Procede de securisation de la phase de pre-initialisation d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede |
| US6976162B1 (en) | 2000-06-28 | 2005-12-13 | Intel Corporation | Platform and method for establishing provable identities while maintaining privacy |
| EP1218862A1 (de) | 2000-07-11 | 2002-07-03 | Kaba Schliesssysteme AG | Verfahren zur initialisierung von mobilen datenträgern |
| US7793111B1 (en) | 2000-09-28 | 2010-09-07 | Intel Corporation | Mechanism to handle events in a machine with isolated execution |
| US7389427B1 (en) | 2000-09-28 | 2008-06-17 | Intel Corporation | Mechanism to secure computer output from software attack using isolated execution |
| JP4310570B2 (ja) * | 2000-12-22 | 2009-08-12 | ナグラヴィジオン エスアー | マッチング制御方法 |
| US7215781B2 (en) * | 2000-12-22 | 2007-05-08 | Intel Corporation | Creation and distribution of a secret value between two devices |
| US7818808B1 (en) | 2000-12-27 | 2010-10-19 | Intel Corporation | Processor mode for limiting the operation of guest software running on a virtual machine supported by a virtual machine monitor |
| US6907600B2 (en) | 2000-12-27 | 2005-06-14 | Intel Corporation | Virtual translation lookaside buffer |
| US7035963B2 (en) | 2000-12-27 | 2006-04-25 | Intel Corporation | Method for resolving address space conflicts between a virtual machine monitor and a guest operating system |
| US7225441B2 (en) * | 2000-12-27 | 2007-05-29 | Intel Corporation | Mechanism for providing power management through virtualization |
| EP1233383A1 (fr) * | 2001-02-14 | 2002-08-21 | Banksys S.A. | Procédé et dispositif de gestion d'applications de cartes à puce |
| US7272831B2 (en) | 2001-03-30 | 2007-09-18 | Intel Corporation | Method and apparatus for constructing host processor soft devices independent of the host processor operating system |
| US7191440B2 (en) | 2001-08-15 | 2007-03-13 | Intel Corporation | Tracking operating system process and thread execution and virtual machine execution in hardware or in a virtual machine monitor |
| US7024555B2 (en) * | 2001-11-01 | 2006-04-04 | Intel Corporation | Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment |
| US7103771B2 (en) * | 2001-12-17 | 2006-09-05 | Intel Corporation | Connecting a virtual token to a physical token |
| US7308576B2 (en) | 2001-12-31 | 2007-12-11 | Intel Corporation | Authenticated code module |
| US7480806B2 (en) | 2002-02-22 | 2009-01-20 | Intel Corporation | Multi-token seal and unseal |
| US7124273B2 (en) * | 2002-02-25 | 2006-10-17 | Intel Corporation | Method and apparatus for translating guest physical addresses in a virtual machine environment |
| US7631196B2 (en) | 2002-02-25 | 2009-12-08 | Intel Corporation | Method and apparatus for loading a trustable operating system |
| US7028149B2 (en) | 2002-03-29 | 2006-04-11 | Intel Corporation | System and method for resetting a platform configuration register |
| US7069442B2 (en) | 2002-03-29 | 2006-06-27 | Intel Corporation | System and method for execution of a secured environment initialization instruction |
| US20030196100A1 (en) * | 2002-04-15 | 2003-10-16 | Grawrock David W. | Protection against memory attacks following reset |
| US7127548B2 (en) | 2002-04-16 | 2006-10-24 | Intel Corporation | Control register access virtualization performance improvement in the virtual-machine architecture |
| US7059533B2 (en) * | 2002-05-08 | 2006-06-13 | Koninklijke Philips Electronics N.V. | Authentication using a read-once memory |
| US7142674B2 (en) | 2002-06-18 | 2006-11-28 | Intel Corporation | Method of confirming a secure key exchange |
| US7124327B2 (en) | 2002-06-29 | 2006-10-17 | Intel Corporation | Control over faults occurring during the operation of guest software in the virtual-machine architecture |
| US6996748B2 (en) | 2002-06-29 | 2006-02-07 | Intel Corporation | Handling faults associated with operation of guest software in the virtual-machine architecture |
| US7296267B2 (en) | 2002-07-12 | 2007-11-13 | Intel Corporation | System and method for binding virtual machines to hardware contexts |
| US7770212B2 (en) * | 2002-08-15 | 2010-08-03 | Activcard | System and method for privilege delegation and control |
| US7165181B2 (en) | 2002-11-27 | 2007-01-16 | Intel Corporation | System and method for establishing trust without revealing identity |
| US7073042B2 (en) | 2002-12-12 | 2006-07-04 | Intel Corporation | Reclaiming existing fields in address translation data structures to extend control over memory accesses |
| US7900017B2 (en) * | 2002-12-27 | 2011-03-01 | Intel Corporation | Mechanism for remapping post virtual machine memory pages |
| US20040128465A1 (en) * | 2002-12-30 | 2004-07-01 | Lee Micheil J. | Configurable memory bus width |
| JP4559359B2 (ja) * | 2003-02-20 | 2010-10-06 | パナソニック株式会社 | 情報記録媒体及びその領域管理方法 |
| JP4300832B2 (ja) * | 2003-03-14 | 2009-07-22 | ソニー株式会社 | データ処理装置、その方法およびそのプログラム |
| US7296127B2 (en) * | 2003-03-31 | 2007-11-13 | Intel Corporation | NoDMA cache |
| US7415708B2 (en) | 2003-06-26 | 2008-08-19 | Intel Corporation | Virtual machine management using processor state information |
| BRPI0413866A (pt) * | 2003-09-02 | 2006-10-24 | Sony Ericsson Mobile Comm Ab | método de transferência de dados de uma memória não-volátil para uma memória de trabalho, dispositivo para bloquear de tentativas de escrita para dados de segurança, e, dispositivo para processamento de dados eletrÈnicos |
| DE60312159T2 (de) * | 2003-09-02 | 2007-10-31 | Sony Ericsson Mobile Communications Ab | Übertragung von sicherheitsrelevanten Daten zwischen zwei Speichern |
| US7424709B2 (en) | 2003-09-15 | 2008-09-09 | Intel Corporation | Use of multiple virtual machine monitors to handle privileged events |
| US7287197B2 (en) * | 2003-09-15 | 2007-10-23 | Intel Corporation | Vectoring an interrupt or exception upon resuming operation of a virtual machine |
| US7739521B2 (en) | 2003-09-18 | 2010-06-15 | Intel Corporation | Method of obscuring cryptographic computations |
| US7610611B2 (en) | 2003-09-19 | 2009-10-27 | Moran Douglas R | Prioritized address decoder |
| US7366305B2 (en) | 2003-09-30 | 2008-04-29 | Intel Corporation | Platform and method for establishing trust without revealing identity |
| US20050080934A1 (en) | 2003-09-30 | 2005-04-14 | Cota-Robles Erik C. | Invalidating translation lookaside buffer entries in a virtual machine (VM) system |
| US7177967B2 (en) | 2003-09-30 | 2007-02-13 | Intel Corporation | Chipset support for managing hardware interrupts in a virtual machine system |
| US7237051B2 (en) | 2003-09-30 | 2007-06-26 | Intel Corporation | Mechanism to control hardware interrupt acknowledgement in a virtual machine system |
| US7636844B2 (en) | 2003-11-17 | 2009-12-22 | Intel Corporation | Method and system to provide a trusted channel within a computer system for a SIM device |
| US8156343B2 (en) | 2003-11-26 | 2012-04-10 | Intel Corporation | Accessing private data about the state of a data processing machine from storage that is publicly accessible |
| US8037314B2 (en) | 2003-12-22 | 2011-10-11 | Intel Corporation | Replacing blinded authentication authority |
| US7802085B2 (en) | 2004-02-18 | 2010-09-21 | Intel Corporation | Apparatus and method for distributing private keys to an entity with minimal secret, unique information |
| KR101043336B1 (ko) * | 2004-03-29 | 2011-06-22 | 삼성전자주식회사 | 디바이스와 휴대형 저장장치간의 디지털 권리객체에 관한정보의 획득 및 제거를 위한 방법 및 장치 |
| US7356735B2 (en) | 2004-03-30 | 2008-04-08 | Intel Corporation | Providing support for single stepping a virtual machine in a virtual machine environment |
| US7620949B2 (en) | 2004-03-31 | 2009-11-17 | Intel Corporation | Method and apparatus for facilitating recognition of an open event window during operation of guest software in a virtual machine environment |
| US7490070B2 (en) | 2004-06-10 | 2009-02-10 | Intel Corporation | Apparatus and method for proving the denial of a direct proof signature |
| US7305592B2 (en) | 2004-06-30 | 2007-12-04 | Intel Corporation | Support for nested fault in a virtual machine environment |
| US7840962B2 (en) | 2004-09-30 | 2010-11-23 | Intel Corporation | System and method for controlling switching between VMM and VM using enabling value of VMM timer indicator and VMM timer value having a specified time |
| US8146078B2 (en) | 2004-10-29 | 2012-03-27 | Intel Corporation | Timer offsetting mechanism in a virtual machine environment |
| US8924728B2 (en) | 2004-11-30 | 2014-12-30 | Intel Corporation | Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information |
| US8533777B2 (en) | 2004-12-29 | 2013-09-10 | Intel Corporation | Mechanism to determine trust of out-of-band management agents |
| US7395405B2 (en) | 2005-01-28 | 2008-07-01 | Intel Corporation | Method and apparatus for supporting address translation in a virtual machine environment |
| US8014530B2 (en) | 2006-03-22 | 2011-09-06 | Intel Corporation | Method and apparatus for authenticated, recoverable key distribution with no database secrets |
| DE102006037879A1 (de) | 2006-08-11 | 2008-02-14 | Bundesdruckerei Gmbh | Lesegerät für ein Dokument, Verfahren zum Lesen eines Datenobjekts und Computerprogrammprodukt |
| CN101165698B (zh) * | 2006-10-17 | 2011-07-27 | 华为技术有限公司 | 一种导出许可的方法及系统 |
| DE102008000067C5 (de) * | 2008-01-16 | 2012-10-25 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| DE102008040416A1 (de) * | 2008-07-15 | 2010-01-21 | Bundesdruckerei Gmbh | Verfahren zum Lesen von Attributen aus einem ID-Token |
| WO2010031698A2 (de) * | 2008-09-22 | 2010-03-25 | Bundesdruckerei Gmbh | Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem |
| DE102009027682A1 (de) * | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Soft-Tokens |
| DE102009027681A1 (de) | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren und Lesen von Attributen aus einem ID-Token |
| BR112013012356B1 (pt) | 2010-11-19 | 2021-03-09 | Nagravision S.A. | método para detectar um software clonado |
| US8898769B2 (en) | 2012-11-16 | 2014-11-25 | At&T Intellectual Property I, Lp | Methods for provisioning universal integrated circuit cards |
| US9036820B2 (en) | 2013-09-11 | 2015-05-19 | At&T Intellectual Property I, Lp | System and methods for UICC-based secure communication |
| US9240994B2 (en) * | 2013-10-28 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for securely managing the accessibility to content and applications |
| WO2017059396A1 (en) * | 2015-09-30 | 2017-04-06 | Clark Jonathan A | Computer and method for transmitting confidential information in a network |
| US10594478B2 (en) | 2016-11-18 | 2020-03-17 | International Business Machines Corporation | Authenticated copying of encryption keys between secure zones |
| FR3068168A1 (fr) * | 2017-06-22 | 2018-12-28 | Benito Pennella | Memoire permanente comportant un dispositif de securite |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2394131A1 (fr) * | 1977-06-07 | 1979-01-05 | Cii Honeywell Bull | Systeme de traitement d'informations protegeant le secret d'informations confidentielles |
| FR2401459A1 (fr) | 1977-08-26 | 1979-03-23 | Cii Honeywell Bull | Support d'information portatif muni d'un microprocesseur et d'une memoire morte programmable |
| FR2461301A1 (fr) | 1978-04-25 | 1981-01-30 | Cii Honeywell Bull | Microprocesseur autoprogrammable |
| US4558175A (en) * | 1982-08-02 | 1985-12-10 | Leonard J. Genest | Security system and method for securely communicating therein |
| US4731841A (en) * | 1986-06-16 | 1988-03-15 | Applied Information Technologies Research Center | Field initialized authentication system for protective security of electronic information networks |
| FR2601795B1 (fr) | 1986-07-17 | 1988-10-07 | Bull Cp8 | Procede pour diversifier une cle de base et pour authentifier une cle ainsi diversifiee comme ayant ete elaboree a partir d'une cle de base predeterminee, et systeme pour la mise en oeuvre |
| ATE116778T1 (de) * | 1986-09-02 | 1995-01-15 | Pitney Bowes Inc | Automatisches überweisungssystem mit mikroprozessorkarten. |
| US4802218A (en) * | 1986-11-26 | 1989-01-31 | Wright Technologies, L.P. | Automated transaction system |
| JP2731945B2 (ja) * | 1989-06-05 | 1998-03-25 | エヌ・ティ・ティ・データ通信株式会社 | 個別鍵による認証が可能なicカード |
| DK279089D0 (da) * | 1989-06-07 | 1989-06-07 | Kommunedata I S | Fremgangsmaade til overfoersel af data, et elektronisk dokument eller lignende, system til udoevelse af fremgangsmaaden samt et kort til brug ved udoevelse af fremgangsmaaden |
| US4926280A (en) * | 1989-11-06 | 1990-05-15 | Ncr Corporation | Capacitor protection circuit for protecting storage capacitors in an electronic power supply |
| US5623547A (en) * | 1990-04-12 | 1997-04-22 | Jonhig Limited | Value transfer system |
| US5036461A (en) * | 1990-05-16 | 1991-07-30 | Elliott John C | Two-way authentication system between user's smart card and issuer-specific plug-in application modules in multi-issued transaction device |
| JPH04143881A (ja) * | 1990-10-05 | 1992-05-18 | Toshiba Corp | 相互認証方式 |
| JP2901767B2 (ja) * | 1991-02-08 | 1999-06-07 | 株式会社東芝 | 暗号通信システム及び携帯可能電子装置 |
| FR2702066B1 (fr) * | 1993-02-25 | 1995-10-27 | Campana Mireille | Procede de gestion de cles secretes entre deux cartes a memoire. |
| US5461217A (en) * | 1994-02-08 | 1995-10-24 | At&T Ipm Corp. | Secure money transfer techniques using smart cards |
| US5577121A (en) * | 1994-06-09 | 1996-11-19 | Electronic Payment Services, Inc. | Transaction system for integrated circuit cards |
-
1994
- 1994-10-11 FR FR9412100A patent/FR2725537B1/fr not_active Expired - Fee Related
-
1995
- 1995-09-21 AT AT95402124T patent/ATE245293T1/de not_active IP Right Cessation
- 1995-09-21 EP EP95402124A patent/EP0707290B1/fr not_active Expired - Lifetime
- 1995-09-21 DE DE69531278T patent/DE69531278T2/de not_active Expired - Lifetime
- 1995-09-21 ES ES95402124T patent/ES2202344T3/es not_active Expired - Lifetime
- 1995-10-09 JP JP26152295A patent/JP3633686B2/ja not_active Expired - Fee Related
- 1995-10-10 BR BR9504355A patent/BR9504355A/pt active Search and Examination
- 1995-10-10 CN CNB951199196A patent/CN1143223C/zh not_active Expired - Fee Related
- 1995-10-10 CA CA002160223A patent/CA2160223C/fr not_active Expired - Fee Related
- 1995-10-10 NO NO954028A patent/NO954028L/no not_active Application Discontinuation
- 1995-10-11 AU AU33187/95A patent/AU690324B2/en not_active Ceased
- 1995-10-11 KR KR1019950035505A patent/KR100214817B1/ko not_active IP Right Cessation
- 1995-10-11 TW TW084110644A patent/TW279213B/zh not_active IP Right Cessation
- 1995-10-11 US US08/540,787 patent/US5825875A/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| AU690324B2 (en) | 1998-04-23 |
| EP0707290A1 (fr) | 1996-04-17 |
| JPH08212066A (ja) | 1996-08-20 |
| DE69531278D1 (de) | 2003-08-21 |
| CA2160223A1 (fr) | 1996-04-12 |
| KR100214817B1 (ko) | 1999-08-02 |
| TW279213B (es) | 1996-06-21 |
| JP3633686B2 (ja) | 2005-03-30 |
| BR9504355A (pt) | 1996-10-08 |
| KR960015239A (ko) | 1996-05-22 |
| US5825875A (en) | 1998-10-20 |
| CN1153949A (zh) | 1997-07-09 |
| NO954028L (no) | 1996-04-12 |
| CN1143223C (zh) | 2004-03-24 |
| ATE245293T1 (de) | 2003-08-15 |
| DE69531278T2 (de) | 2004-03-25 |
| AU3318795A (en) | 1996-05-16 |
| FR2725537B1 (fr) | 1996-11-22 |
| FR2725537A1 (fr) | 1996-04-12 |
| NO954028D0 (no) | 1995-10-10 |
| EP0707290B1 (fr) | 2003-07-16 |
| CA2160223C (fr) | 1999-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2202344T3 (es) | Procedimiento de carga de una zona de memoria protegida de un dispositivo de tratamiento de la informacion y dispositivo asociado. | |
| CN1758594B (zh) | 生物测量认证装置和终端 | |
| US9674705B2 (en) | Method and system for secure peer-to-peer mobile communications | |
| CA2650063C (en) | Security token and method for authentication of a user with the security token | |
| ES2881873T3 (es) | Procedimiento de protección de una ficha de pago | |
| ES2632795T3 (es) | Sistema de pago | |
| ES2241166T3 (es) | Sistema de autenticacion con tarjeta de microcircuito. | |
| ES2142337T5 (es) | Tarjeta de memoria de masa para microordenador. | |
| KR101136163B1 (ko) | 보안 모듈 컴포넌트 | |
| US6084968A (en) | Security token and method for wireless applications | |
| ES2275075T3 (es) | Proteccion de un dispositivo contra un uso involuntario en un entorno protegido. | |
| CN1344396A (zh) | 便携式电子的付费与授权装置及其方法 | |
| ES2272728T3 (es) | Terminal electronico de pago, tarjeta inteligente adaptada a dicho terminal y procedimiento para cargar una clave secreta en dicho terminal. | |
| JP2004519050A (ja) | アルゴリズムコードを記憶するための揮発性メモリを備える機密保護モジュール | |
| KR101038133B1 (ko) | 데이터 처리 방법, 그 프로그램을 기록한 기록 매체 및 그 장치 | |
| JP3913363B2 (ja) | 記録媒体の受け渡し方法、発行システム及びその構成部品 | |
| ES2240766T3 (es) | Procedimiento criptografico para la proteccion de un chip electronico contra el fraude. | |
| KR100642940B1 (ko) | 스마트카드의 인증 데이터 전송 시스템 및 방법 | |
| Mohammed et al. | Smart card technology: Past, present, and future | |
| JP2006293875A (ja) | 生体認証連携決済システム及びそれに用いるicカード用決済端末とicカード | |
| WO2001082167A1 (en) | Method and device for secure transactions | |
| JP4113112B2 (ja) | 生体データによるユーザ確認システム及びicカード | |
| US20030154384A1 (en) | Method and arrangement for the manufacture of mask-programmed ROMs while utilizing a mask comprising a plurality of systems, as well as a corresponding computer program product and a corresponding computer-readable storage medium | |
| JPH10149103A (ja) | 認証方法及び認証システム | |
| JPH07200756A (ja) | 可搬型データ担体処理システム |