ES2219357T3 - Procedimiento para la transmision segura de datos protegidos. - Google Patents
Procedimiento para la transmision segura de datos protegidos.Info
- Publication number
- ES2219357T3 ES2219357T3 ES00943717T ES00943717T ES2219357T3 ES 2219357 T3 ES2219357 T3 ES 2219357T3 ES 00943717 T ES00943717 T ES 00943717T ES 00943717 T ES00943717 T ES 00943717T ES 2219357 T3 ES2219357 T3 ES 2219357T3
- Authority
- ES
- Spain
- Prior art keywords
- security
- data
- features
- terminal equipment
- transformer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
- Dc Digital Transmission (AREA)
- Reverberation, Karaoke And Other Acoustics (AREA)
- Selective Calling Equipment (AREA)
- Radar Systems Or Details Thereof (AREA)
Abstract
Procedimiento para la transmisión segura de datos protegidos desde un primer equipo (1) terminal perteneciente a un primer ámbito (6) de seguridad a un segundo equipo (2) terminal perteneciente a un segundo ámbito (10) de seguridad distinto del primer ámbito de seguridad, en el que los dos ámbitos de seguridad utilizan características de seguridad distintas, que comprende los siguientes pasos: - preparación (31) de los datos útiles en el primer equipo terminal; - generación (33) de los datos (34) protegidos en el primer equipo terminal por adición a los datos útiles de primeras características (8a) de seguridad representativas del primer ámbito de seguridad, conteniendo estas primeras características (8a) de seguridad al menos una característica de autorización, que defina la autorización de acceso al segundo ámbito (10) de seguridad; - transmisión (35) de los datos protegidos con las primeras características de seguridad dentro del primer ámbito de seguridad a través de una primera conexión (4) de comunicaciones a un transformador (9) de ámbitos integrado tanto en el primer, como también en el segundo ámbito de seguridad; - control por medio del transformador de ámbitos de las primeras características de seguridad contenidas en los datos recibidos; - decisión del transformador de ámbitos de si se realiza o no una transformación de las primeras características de seguridad en segundas características de seguridad, cuando las primeras características de seguridad contengan al menos una característica de autorización; - transformación (37) por medio del transformador de ámbitos de las primeras características de seguridad en segundas características (11a) de seguridad representativas del segundo ámbito de seguridad, al tiempo que las segundas características de seguridad no sólo se diferencian de las primeras características de seguridad por el formato, y que el transformador de ámbitos genera segundas características de seguridad adicionales, que no tienen una correspondenciadirecta con las primeras características de seguridad, cuando se necesitan aquéllas en el segundo ámbito de seguridad; - transmisión (39) de los datos protegidos con las segundas características de seguridad dentro del segundo ámbito de seguridad a través de una segunda conexión (7) de comunicaciones segura al segundo equipo terminal, en el que los datos protegidos se reconvierten nuevamente en los datos útiles.
Description
Procedimiento para la transmisión segura de datos
protegidos.
El presente invento se refiere a un procedimiento
para la transmisión segura de datos protegidos desde un primer
equipo terminal perteneciente a un primer ámbito de seguridad y un
segundo equipo terminal perteneciente a un segundo ámbito de
seguridad distinta de la primera zona de seguridad.
En el ámbito del procesamiento y de la
transmisión de datos aumenta la necesidad de asegurar,
respectivamente proteger permanentemente los datos más variados,
dado que cada vez hay mas personas, que disponen de un acceso a
datos electrónicos, surge una necesidad creciente de proteger los
datos sensibles contra el acceso no autorizado y de mantenerlos en
secreto dentro de márgenes de seguridad definidos o de garantizar su
autenticidad. En el estado de la técnica existe una gran cantidad de
sistemas de seguridad, que no están estandarizados o que se basan en
estándares, modelos de seguridad o tecnologías distintas.
La totalidad de estos modelos o tecnologías de
seguridad se pueden interpretar de una forma general como
características de seguridad, representando las diferentes
características el sistema, respectivamente el modelo utilizado en
cada caso. Estas características de seguridad pueden ser por ejemplo
sistemas y formatos de datos criptográficos de seguridad, como la
firma digital, contraseñas (password) o una combinación de los PIN
(número de identificación personal) y TAN (número de
transacción).
Los problemas con los sistemas de seguridad
conocidos para la transmisión de datos surgen siempre que se deban
acoplar entre sí diferentes ámbitos de seguridad para hacer posible
el intercambio de datos entre estos ámbitos. Debido a las distintas
características de seguridad utilizadas en los diferentes ámbitos de
seguridad, no es en general posible el acoplamiento directo de los
distintos ámbitos de seguridad. Hasta ahora no es posible transferir
entre sí las distintas características de seguridad. Si se utiliza,
por ejemplo para la protección de los datos, la firma digital, ya
regulada por ley en Alemania, los datos protegidos contienen un
código generado con la ayuda de un procedimiento criptográfico
asimétrico, que recurre a una clave personal sólo conocida por el
remitente de estos datos. Dentro de uno y el mismo ámbito de
seguridad, el destinatario de los datos protegidos puede verificar
sin más por medio de una clave pública del remitente la integridad
de los datos y la identidad del remitente. La obtención de la clave
personal es imposible en este caso. Si los datos se transmiten a
otro ámbito de seguridad y si para ello es necesaria, por ejemplo,
una modificación del formato, la firma original carece de valor.
Tampoco puede ser generada nuevamente por el destinatario, ya que no
posee la clave personal del remitente inicial necesaria para
ello.
Otras dificultades resultan de la necesidad de
ampliar los ámbitos de seguridad existentes con terminales nuevos,
que no poseen las funciones especiales necesarias o que, debido a
los medios y a los aparatos de transmisión utilizados no pueden
ejecutar determinadas funciones complejas de seguridad. Estos
problemas surgen por ejemplo, cuando equipos terminales móviles,
como los teléfonos GSM (radioteléfonos utilizables en un sistema
global de comunicaciones móviles) deban ser utilizados en un ámbito
de seguridad correspondiente.
A través de la solicitud internacional de patente
con el número de publicación WO 99/01848 se sabe que en un
radioteléfono utilizado en una red GSM está integrada una tarjeta
SIM (SIM = Subscriber Identity Module = módulo de identificación del
abonado). En una tarjeta SIM de esta clase se puede implementar un
sistema para generar una firma digital, de manera que resulte
posible establecer una conexión segura entre el radioteléfono como
primer equipo terminal y un segundo equipo terminal perteneciente a
la red GSM. Un radioteléfono de esta clase está limitado, debido a
la capacidad dada de los equipos terminales y a la limitada
capacidad de integración de sistemas en la tarjeta SIM, a las
características de seguridad especiales disponibles dentro de este
ámbito de seguridad. Así por ejemplo, no es posible integrar
adicionalmente la función necesaria que haga posible la
participación de un radioteléfono en un ámbito de seguridad, que
cumpla los requerimientos del estándar HBCI (HBCI = Home Banking
Computer Interface = estándar para el acceso a servicios de la banca
por usuarios privados).
En la solicitud internacional de patente con el
número de publicación WO 99/01990 se describe un procedimiento para
el establecimiento de una conexión de servicio segura en un sistema
de transmisión de mensajes. Este sistema también comprende un
radioteléfono móvil conectado a través de una red GSM con un
servidor de transmisión de mensajes. Este servidor tiene la misión
de descodificar los datos codificados enviados por el radioteléfono
y de transmitirlos a través de otra conexión de mensajes, por
ejemplo Internet, a un segundo equipo terminal, por ejemplo una
computadora personal. De acuerdo con este estado de la técnica sólo
se puede utilizar como característica de seguridad la identificación
codificada del equipo terminal. Este estado de la técnica no brinda
posibilidad alguna de acoplar entre sí dos ámbitos de seguridad. En
especial, es necesaria la cooperación de dos redes de
telecomunicación distintas con inclusión de un servidor de
transmisión de mensajes separado para definir un ámbito de
seguridad individual. Frente a ello sería deseable el acoplamiento
de dos ámbitos de seguridad para lo que se necesita en cada uno de
los ámbitos de seguridad una seguridad extremo a extremo.
El documento US 5 471 532 describe un
procedimiento para la recodificación de unidades de comunicación. En
él se establece un código de comunicación entre la "rearming
unit" y la "first/second key unit" con la ayuda de una
instancia central, la "home key unit".
El documento JP 10-13 945 se
refiere a un "rearming system" en el que se debe asegurar en
especial el intercambio de una clave criptográfica entre una red y
un equipo terminal. No puede tener lugar una conversión de las
características de seguridad. Un usuario de una red local trabaja
con una red ajena, hallándose, sin embargo, físicamente en esta red
ajena.
El documento DE 106 30 920 C1 describe un
procedimiento y un sistema para la autentificación de abonados. Un
dispositivo de autentificación transforma en este caso los
parámetros de autentificación específicos del sistema GSM en
parámetros de seguridad. Sin embargo, el dispositivo de
autentificación no está integrado en los dos ámbitos de seguridad,
sino que sólo es parte de la red de radiotelefonía móvil. El
protocolo de interfaces utilizado no permite la transformación de
las características de seguridad. No son posibles el control y la
transformación, respectivamente la regeneración de características
de seguridad.
El documento EP 0 786 915 A2 describe un
dispositivo de identificación para un equipo terminal móvil. Este
dispositivo comprende dispositivos de conexión correspondientes
adaptados al funcionamiento en distintas redes de radiotelefonía
móvil. El aparato y el procedimiento no permiten la transmisión de
datos entre ámbitos de seguridad totalmente distintos entre sí desde
el punto de vista de su esencia. Las distintas redes de
radiotelefonía móvil representan por el contrario ámbitos de
seguridad de la misma clase hallando las diferentes características
de seguridad una correspondencia en la otra red de radiotelefonía
móvil.
El documento WO 99/05814 describe un dispositivo
de protección para la transmisión de "e-mails",
que, por medio de claves almacenadas, puede realizar una
codificación/descodificación. Con ello se separan entre sí los
ámbitos de seguridad de la misma clase para incrementar la seguridad
de la comunicación con "e-mails". Sin embargo,
el dispositivo de protección no se presta para el acoplamiento de
ámbitos de seguridad de clases distintas.
Un objeto del presente invento reside con ello en
el hecho de hacer posible una comunicación entre equipos terminales
de ámbitos de seguridad de distintas clases. Los ámbitos de
seguridad no sólo se deben poder diferenciar desde el punto del
formato de los datos que se quieran transmitir, sino también,
además, por la clase, la cantidad, el funcionamiento y propiedades
análogas de las características de seguridad utilizadas. Un objeto
especial, desde el punto de vista de una forma de ejecución
conveniente, del presente invento reside en integrar los equipos
terminales móviles, que trabajan en redes de radiotelefonía móvil
convencionales, en sistemas de seguridad más complejos (por ejemplo
las aplicaciones HBCI). Para poder seguir utilizando los equipos
terminales ya existentes se debe renunciar aquí a la implementación
de las características de seguridad necesarias en los ámbitos de
seguridad más complejos en el propio equipo terminal móvil. La
renuncia según el invento a la implementación adicional de ámbitos
de seguridad ampliados permite por primera vez combinar entre sí
ámbitos de seguridad de distintas clases, ya que los ámbitos de
seguridad sencillos no son en parte capaces, debido a su
equipamiento técnico o a sus limitadas capacidades de transmisión,
de generar y procesar las características de seguridad necesarias
para ámbitos de seguridad más complejos.
Éste y otros problemas se solucionan con un
procedimiento según la reivindicación 1.
El procedimiento según el invento brinda la
ventaja de que se pueden acoplar entre sí ámbitos de seguridad
cualesquiera. Con la utilización del transformador de ámbitos no es
necesario que los equipos terminales tengan que realizar funciones
adicionales en los distintos ámbitos de seguridad. Los diferentes
equipos terminales siguen trabajando sin modificaciones en su ámbito
de seguridad actual y no es necesario que tengan conocimiento de la
existencia del transformador de ámbitos, ni de la existencia de las
características de seguridad especiales de otro ámbito de seguridad.
Siempre que el transformador de ámbitos esté protegido como tal, se
puede obtener una seguridad indirecta de extremo a extremo entre dos
equipos terminales pertenecientes a distintos ámbitos de seguridad,
al tiempo que físicamente se establecen dos conexiones, cada una con
seguridad de extremo a extremo. El transformador de ámbitos puede
(pero no tiene necesariamente) asumir la función de representante de
los abonados de uno de los ámbitos de seguridad en el otro ámbito de
seguridad. El otro ámbito de seguridad utiliza características de
seguridad (y gestiona por ejemplo informaciones secretas necesarias
para esta aplicación) asignadas a un equipo terminal autorizado del
ámbito de seguridad correspondiente. Además, las primeras
características de seguridad contienen al menos una característica
de autorización en la que está almacenada la información de la
autorización de acceso del primer equipo terminal a otros ámbitos de
seguridad. El transformador de ámbitos puede decidir, por medio de
esta característica de autorización, si las características de
seguridad del primer equipo terminal pueden ser transformadas para
establecer una conexión de datos en el segundo ámbito de seguridad.
Con ello es posible, por ejemplo, que el segundo ámbito de seguridad
sólo sea accesible a equipos terminales, respectivamente a sus
usuarios seleccionados del primer ámbito de seguridad. Además, el
transformador de ámbitos genera en el transcurso de la
transformación características de seguridad adicionales, que se
agregan a las segundas características de seguridad. Esto es, por
ejemplo, ventajoso, cuando en el segundo ámbito de seguridad se
necesitan determinadas características de seguridad, que no hallan
una correspondencia directa en el primer ámbito de seguridad, pero
que deben ser asignadas a priori a todos los abonados del primer
ámbito de seguridad.
Para la comprobación de la transformación
correcta de los datos protegidos y para el cumplimiento de un mayor
requerimiento de seguridad puede ser conveniente que el
transformador de ámbitos elabore un protocolo de la realización de
los diferentes pasos de funcionamiento. En este protocolo se pueden
registrar en especial la recepción de los datos protegidos del
primer ámbito de seguridad, la transformación de los datos
protegidos y la transmisión de los datos protegidos al segundo
ámbito de seguridad. Igualmente se puede documentar en el protocolo
el control y/o la aplicación de características de seguridad. Con
preferencia se puede realizar un protocolado paralelo en un
protocolo de entrada y en un protocolo de salida, al tiempo que se
generan y almacenan informaciones transversales unívocas entre los
registros del protocolo de entrada y los del protocolo de salida.
Además, a cada registro del protocolo se pueden agregar
características de protocolo especiales, como por ejemplo una marca
de tiempo.
Una forma de ejecución especialmente preferida
del procedimiento está adaptada a la utilización de un equipo de
transmisión de datos móvil, en especial un radioteléfono como primer
equipo terminal. En este caso es conveniente que las primeras
características de seguridad comprendan también una firma digital,
que se agrega en este radioteléfono a los datos útiles. Esto tiene
lugar con preferencia utilizando una tarjeta SIM, que contenga el
sistema necesario para generar de forma segura la firma digital.
Otra posibilidad es la generación de la firma digital mediante un
WIM, que pueda ser utilizado en los radioteléfonos futuros en el
marco del estándar WAP (WAP = Wireless Action Protocol). A través
del WAP debe ser posible el acceso a la red Internet por medio de un
"minibrowser" integrado por ejemplo en un radioteléfono. En
otras formas de ejecución modificadas también se puede establecer la
conexión de comunicación, por ejemplo, por medio de la transmisión
de ondas infrarrojas, en especial cuando sólo sea necesario puentear
distancias pequeñas con una conexión inalámbrica.
Si en una forma de ejecución adecuada se adaptan
las segundas características de seguridad al estándar HBCI, de
manera que el segundo ámbito de seguridad represente un sistema
HBCI, se puede utilizar, recurriendo al procedimiento según el
invento, un radioteléfono, por ejemplo, para realizar transacciones
bancarias, al tiempo que se cumplen los estrictos requerimientos de
seguridad del estándar HBCI y se pueden aprovechar las demás
ventajas de este estándar.
Otras ventajas, detalles y perfeccionamientos del
presente invento se desprenden de la descripción que sigue de formas
de ejecución preferidas y haciendo referencia al dibujo. En él
muestran:
La figura 1, el esquema de bloques de una
conexión de transmisión de datos entre un primer equipo terminal y
un segundo equipo terminal según el estado de la técnica.
La figura 2, un esquema de bloques de una
conexión de transmisión de datos entre un primer equipo terminal de
un primer ámbito de seguridad y un segundo equipo terminal de un
segundo ámbito de seguridad utilizando el procedimiento según el
presente invento.
La figura 3, un diagrama de flujo en el que se
representan los pasos esenciales del procedimiento según el
invento.
La figura 4, un diagrama de flujo de un
procedimiento modificado en el que se crea un protocolo.
La figura 5, un diagrama de flujo de otro
procedimiento modificado en el que se utilizan características de
seguridad, que satisfacen el estándar HBCI.
En la figura 1 se representa en un esquema de
bloques la estructura fundamental de una conexión de transmisión de
datos, como la que se conoce a través del estado de la técnica, en
la que los datos útiles son generados en un primer equipo 1
terminal. El primer equipo 1 terminal representado en el ejemplo es
un radioteléfono. Los datos útiles deben ser transmitidos a un
segundo equipo 2 terminal. En el caso de que el usuario del primer
equipo 1 terminal quiera realizar, por ejemplo, una transferencia
bancaria utilizando de forma directa un radioteléfono, es preciso,
que se generen en el radioteléfono los datos útiles
correspondientes, por medio de, por ejemplo, una entrada por
teclado, y que estos se transmitan a un ordenador apropiado
(Host/Backend), que representa el segundo equipo 2 terminal de la
institución bancaria elegida. En el ejemplo representado se proveen
los datos útiles en el primer equipo 1 terminal de características
de seguridad, por ejemplo por medio de la incorporación de una firma
digital generada en una tarjeta 3 SIM. Los datos protegidos con ello
son transmitidos a través de una primera conexión 4 de
comunicaciones, por ejemplo una red GSM, a una estación 5 de
recepción. La estación 5 de recepción, por ejemplo un servidor de
telecomunicaciones, es capaz de controlar las características de
seguridad, en este caso la firma digital, de los datos protegidos.
Con ello se crea un primer ámbito 6 de seguridad, que comprende el
primer equipo 1 terminal, el servidor 5 de telecomunicaciones y la
primera conexión 4 de comunicaciones situada entre ellos. Si se
utilizaron características de seguridad adecuadas, como la firma
digital en este ejemplo, se obtiene una seguridad extremo a extremo
dentro del primer ámbito 6 de seguridad. La transmisión ulterior de
los datos útiles no protegidos al segundo equipo 2 terminal (por
ejemplo un sistema Host/Backend) no es crítica, cuando ésta tiene
lugar dentro de un red de datos no pública (por ejemplo dentro de
una institución bancaria) a través de una segunda conexión 7 de
comunicaciones. Por razones de seguridad no puede tener lugar la
transmisión ulterior de los datos de forma no asegurada a través de
un red pública de telecomunicaciones.
Otro inconveniente del estado de la técnica
representado reside en el hecho de que la unidad 2 de procesamiento
de datos subordinada debe facilitar para el acoplamiento del
servidor 5 de telecomunicaciones una interfaz independiente,
mientras que dispone de una serie de interfaces protegidas, que en
el entorno correspondiente representan un casi estándar, pero que no
pueden ser utilizadas por el servidor de telecomunicaciones. Por
ello, las instituciones bancarias ofrecen generalmente diferentes
accesos, antepuestos a su sistema de procesamiento de datos, para
equipos terminales (como por ejemplo una interfaz HBCI), que poseen
diferentes características de seguridad.
La figura 2 muestra un esquema de bloques de una
conexión de transmisión de datos en la que se utiliza el
procedimiento según el presente invento. Los datos útiles se generan
nuevamente en el primer equipo 1 terminal. En el ejemplo
representado se concatenan los datos útiles en el radioteléfono por
medio de la tarjeta 3 SIM con características de seguridad. Para
ello se utiliza aquí una primera clave 8a privada contenida en la
tarjeta 3 SIM. Los datos protegidos son transmitidos de forma
convencional a través de la primera conexión 4 de comunicaciones.
Al primer ámbito 6 de seguridad pertenece, además, un transformador
9 de ámbitos, que recibe los datos protegidos del primer equipo 1
terminal. El transformador 9 de ámbitos forma al mismo tiempo parte
de un segundo ámbito 10 se seguridad en el que se utilizan segundas
características de seguridad, que se diferencian de las primeras
características de seguridad del primer ámbito 6 de seguridad. El
segundo ámbito 10 de seguridad equivale en el ejemplo representado a
un sistema HBCI, al tiempo que el transformador 9 de ámbitos asume
la función del cliente HBCI. El transformador 9 de ámbitos realiza
la transformación de las primeras características de seguridad en
las segundas características de seguridad, utilizando para ello en
una forma de ejecución preferida una primera clave 8b pública
asignada a la primera clave 8a privada y una segunda clave 11a
privada, cuya segunda clave 11b pública asignada a ella se utiliza
en el segundo equipo 2 terminal para la descodificación de los datos
protegidos. El segundo equipo 2 terminal forma parte del segundo
ámbito 10 de seguridad y está formado en el ejemplo representado por
un servidor HBCI. En el segundo equipo 2 terminal se transforman
nuevamente en datos útiles los datos protegidos con las segundas
características de seguridad. Con ello se obtiene una seguridad
extremo a extremo indirecta entre el primer equipo 1 terminal y el
segundo equipo 2 terminal. La transmisión ulterior de los útiles no
protegidos del segundo equipo 2 terminal a una unidad 12 de
procesamiento de datos subordinada (por ejemplo un sistema
Host/Backend) no es crítica, ya que no se realiza a través de una
red de datos pública, sino, por ejemplo, dentro de una institución
bancaria.
El transformador de ámbitos puede estar formado
por un tabla de bloques de datos almacenada en un medio de
almacenamiento adecuado y en la que a cada característica de
seguridad del primer ámbito de seguridad se asigna una
características de seguridad del segundo ámbito de seguridad. Sin
embargo, la función del transformador de ámbitos también se puede
realizar como estructura Software adecuada procesada con un
procesador.
La figura 3 representa un diagrama de flujo del
procedimiento según el invento. El procedimiento para la transmisión
protegida de datos protegidos arranca en el paso 30. En el paso 31
se preparan en el primer equipo terminal los datos deseados. Esto
sucede por ejemplo introduciendo los datos por medio de un teclado
en el primer equipo terminal. Por lo tanto, en el paso 32 se dispone
de los datos útiles deseados para la transmisión. Para cumplir los
correspondientes requerimientos de seguridad se agregan a los datos
útiles primeras características de seguridad en el paso 33. Estas
primeras características de seguridad son específicas para el primer
ámbito de seguridad. Como consecuencia de ello, en el paso 34 se
dispone de datos protegidos. Se puede tratar por ejemplo de datos
totalmente codificados o los datos están provistos de una firma
digital para verificar su autenticidad y excluir modificaciones que
pasen desapercibidas. Por medio de una primera conexión de
comunicación tiene lugar en el paso 35 la transmisión de los datos
protegidos. Como conexión de comunicación puede servir una red
radio, una red de transmisión de mensajes vía cable o análogo. Los
datos protegidos son recibidos en el paso 36 por el transformador de
ámbitos. El transformador de ámbitos realiza en el paso 37 la
transformación de al menos algunas primeras características de
seguridad en segundas características de seguridad. Las segundas
características de seguridad se definen de acuerdo con los
requerimientos del segundo ámbito de seguridad. Con ello, en el paso
38 se dispone nuevamente de datos protegidos, al tiempo que la
protección de los datos se produce ahora por medio de las segundas
características de seguridad. Los datos protegidos son transmitidos
nuevamente en el paso 39 a través de una segunda conexión de
comunicación, de manera, que en el paso 40 pueden ser recibidos en
el segundo equipo terminal y ser descodificados en él. Por lo tanto,
en el paso 41 se dispone nuevamente de los datos útiles. El
procedimiento finaliza en el paso 42. En la figura 3 se simboliza
por medio de la pinza 43 el primer ámbito de seguridad, mientras que
la pinza 44 simboliza el segundo ámbito de seguridad. También en
este caso se aprecia que durante la totalidad de la transmisión de
datos se trata de una seguridad extremo a extremo, ya que los dos
ámbitos de seguridad son directamente adyacentes. Con la integración
del transformador de ámbitos es posible que los equipos terminales,
respectivamente los abonados del primer ámbito de seguridad también
puedan actuar en el segundo ámbito de seguridad.
Es evidente y no requiere explicación adicional
alguna, que el procedimiento representado también se puede realizar
de manera bidireccional, de manera que sea posible una transmisión
bidireccional de los datos entre el primer equipo terminal y el
segundo equipo terminal. Para ello sólo es necesario, que el
transformador de ámbitos también pueda transformar las segundas
características de seguridad en primeras características de
seguridad.
La figura 4 muestra un diagrama de flujo de una
forma de ejecución modificada del procedimiento, que sólo afecta a
los pasos que deba realizar el transformador de ámbitos, mientras
que los restantes pasos del procedimiento, descritos en relación con
la figura 3, permanecen sin variación. El objeto de la modificación,
respectivamente de la ampliación con pasos intermedios es protocolar
la actividad relevante para la seguridad del transformador de
ámbitos, para poder demostrar a los usuarios de los ámbitos de
seguridad que el funcionamiento fue correcto. Este protocolado puede
tener lugar de diferentes maneras, mostrando la figura 4 únicamente
un ejemplo posible.
El correspondiente tramo del procedimiento
arranca en el paso 45. Como ya se expuso en relación con la figura
3, el transformador de ámbitos recibe datos protegidos en el paso
36. El transformador de ámbitos genera en el paso 46 una anotación
en un protocolo de entrada con la que se protocola la recepción de
los datos. A continuación, se determinan en el paso 47 las primeras
características de seguridad de los datos protegidos recibidos. En
caso necesario también puede tener lugar en el paso 48 una anotación
adicional en el protocolo de entrada, que contenga las
características de seguridad utilizadas o al menos parte de ellas.
En el caso de una revisión se puede demostrar entonces al usuario de
este ámbito de seguridad el estado en el que los datos protegidos
llegaron al transformador de ámbitos. A continuación se halla el
paso 37 ya mencionado en el que las primeras características de
seguridad son transformadas en segundas características de
seguridad. Para documentar la transformación correcta y la
transmisión ulterior al destinatario se registran en el paso 49 las
segundas características de seguridad utilizadas en el protocolo de
salida. Se puede crear una relación unívoca entre el protocolo de
entrada y el protocolo de salida por medio de la anotación
adicional, que remita a la anotación, correspondiente en cada caso,
del protocolo de salida en el protocolo de entrada, lo que tiene
lugar en el paso 50. En una ejecución modificada también es posible
anotar la información transversal en el protocolo de salida. A
continuación se halla el paso 39 ya mencionado en el que los datos
protegidos son transmitidos por el transformador de ámbitos al
segundo equipo terminal. Este tramo del procedimiento finaliza en el
paso 51.
Si no se desea la información correspondiente, se
puede prescindir del protocolado descrito. Esto es posible, por
ejemplo, cuando el fabricante y el usuario del transformador de
ámbitos es considerado suficientemente fiable (Trusted Third Party)
por todos los usuarios afectados. También es posible asignar el
transformador de ámbitos físicamente a un ámbito de seguridad,
cuando éste se quiere proteger unilateralmente frente a los abonados
del otro ámbito de seguridad. La utilización del transformador de
ámbitos brinda entonces adicionalmente la ventaja de que sirve como
punto de control del acceso al correspondiente ámbito de seguridad.
Si sólo a determinados abonados de uno de los ámbitos de seguridad
se asignan características, que hagan posible el acceso a través
del transformador de ámbitos al otro ámbito de seguridad, se pueden
seleccionar de esta manera los abonados del primer ámbito de
seguridad, que pueden actuar en el segundo ámbito de seguridad.
También son posibles casos de aplicación en los
que determinadas características de seguridad del primer ámbito de
seguridad no tengan correspondencia en el segundo ámbito de
seguridad. Entonces, el transformador de ámbitos puede realizar un
protocolado de las características de seguridad utilizadas, para
justificar la presencia de determinadas características de seguridad
al menos en el primer tramo de la transmisión de datos. Por otro
lado, el transformador de ámbitos puede generar para un determinado
grupo de abonados de un primer ámbito de seguridad características
de seguridad adicionales necesarias en el segundo ámbito de
seguridad, pero no disponibles en el primer ámbito de seguridad.
Siempre que se desee un protocolado, puede tener
lugar éste en protocolos de entrada y de salida separados, como se
describió en relación con la figura 4. Los dos protocolos pueden ser
almacenados físicamente en un protocolo conjunto. Con requerimientos
de seguridad menores es eventualmente suficiente que se registre
sólo un protocolo único. Con requerimientos de seguridad muy altos
se pueden proveer las anotaciones en los protocolos de
características adicionales, que eviten el falseamiento del
protocolo. A las anotaciones en el protocolo se pueden asignar
marcas de tiempo unívocas. Igualmente es posible almacenar el
protocolo en un medio no reescribible para evitar modificaciones
posteriores. Por ejemplo, las anotaciones en el protocolo pueden ser
compulsadas por un órgano de certificación y/o pueden ser
codificados adicionalmente. El protocolado también puede ser
realizado en su totalidad por un tercero digno de confianza aceptado
por todos los abonados (en la función de un "notario").
La figura 5 representa en un diagrama de flujo
los diferentes pasos de procedimiento de una forma de ejecución
especial. Como ejemplo se supone, que el primer ámbito de seguridad
comprende una gran cantidad de radioteléfonos, que, por medio de una
tarjeta SIM, pueden aprovechar un sistema de seguridad con firmas
digitales. Se supone, que el segundo ámbito de seguridad es el
sistema HBCI de un banco en el que los clientes autorizados del
banco con equipos capaces de trabajar en el sistema HBCI (por
ejemplo una computadora personal con el Software correspondiente)
pueden solicitar servicios bancarios electrónicos, como por ejemplo
transferencias o consultas del saldo. Para la protección de los
datos utiliza el sistema HBCI, entre otras, las características de
seguridad firma digital y control de solicitud doble. Los sistemas
de firma utilizados en los dos ámbitos de seguridad y los formatos
de los datos son incompatibles entre sí, pero, brindan la misma
calidad de seguridad.
El tramo del procedimiento representado en la
figura 5 arranca en el paso 52. Como ya se explicó, el transformador
de ámbitos recibe en el paso 36 los datos protegidos. Si, por
ejemplo, el abonado quiere solicitar el estado actual de su cuenta,
los datos protegidos contienen como datos útiles una identificación,
que simboliza la consulta del estado de la cuenta deseada así como
al menos el número de la cuenta. Estos datos son autorizados con la
firma original, aplicando para ello el formato de datos válido en el
primer ámbito de seguridad. En el paso 53 se complementan los datos
con un número de protocolo y/o con una marca de tiempo. A
continuación se halla el paso 46 en el que se realizan las
correspondientes anotaciones en el protocolo de entrada. En el paso
47 tiene lugar nuevamente el control de las primeras características
de seguridad para el que se utiliza una primera clave pública
preparada en el paso 54. La primera clave pública se corresponde con
la primera clave privada utilizada en el primer equipo terminal para
proveer los datos útiles de la firma digital. Las características de
seguridad utilizadas, respectivamente los resultados del control de
la validez de estas características de seguridad se anotan en el
paso 48 en el protocolo de entrada. Para realizar la consulta del
estado de la cuenta deseada es necesario, que el transformador de
ámbitos analice en este caso los datos útiles en el paso 55 para que
pueda ser realizado el servicio deseado. Siempre que para fines de
documentación se desee, que se protocolen el contenido de las
actividades realizadas por el transformador de ámbitos, se anota en
el paso 56 en el protocolo de entrada los servicios solicitados. La
transformación propiamente dicha de las características de seguridad
tiene lugar nuevamente en el paso 37. En el presente caso se utiliza
una segunda clave privada para proveer los datos útiles de una firma
digital. El formato equivale aquí al formato HBCI estandarizado. La
segunda clave privada es generada en el paso 57, estando asignada
esta clave privada al primer equipo terminal especial y es
administrada por el transformador de ámbitos. En una forma de
ejecución modificada, la segunda clave privada puede ser la misma
para un grupo de equipos terminales o para todos los equipos
terminales del primer ámbito de seguridad y actuar a modo de clave
general válida en el segundo ámbito de seguridad. La asignación a un
primer equipo terminal especial tiene lugar entonces en el segundo
equipo terminal sobre la base de otras características contenidas en
los datos. En caso necesario también se adaptan en el paso 37 los
datos útiles al formato necesario en el segundo ámbito de seguridad.
En el paso 58 se proveen los datos transformados de un número de
protocolo y/o de una marca de tiempo, de manera, que en el paso 48
se puedan realizar nuevamente las anotaciones correspondientes en el
protocolo de salida. En este caso también es posible anotar en el
paso 50 en el protocolo de entrada una remisión transversal para
obtener un acoplamiento unívoco entre el protocolo de entrada y el
de salida. El procedimiento finaliza en el paso 59.
El invento descrito no está limitado a los
ejemplos de ejecución especiales representados. En los sistemas de
control de acceso también cabe imaginar otros campos de aplicación,
si, para fines de autorización, deban ser admitidos aparatos ajenos
al sistema.
De una forma general, con el procedimiento según
el invento es posible facilitar a los abonados de un primer ámbito
de seguridad, que pueden utilizar primeras características de
seguridad, el acceso a otros ámbitos de seguridad en los que se
utilicen características de seguridad distintas. Las ampliaciones
del acceso se pueden diseñar sin más de forma bidireccional.
Claims (11)
1. Procedimiento para la transmisión segura de
datos protegidos desde un primer equipo (1) terminal perteneciente a
un primer ámbito (6) de seguridad a un segundo equipo (2) terminal
perteneciente a un segundo ámbito (10) de seguridad distinto del
primer ámbito de seguridad, en el que los dos ámbitos de seguridad
utilizan características de seguridad distintas, que comprende los
siguientes pasos:
- preparación (31) de los datos útiles en el
primer equipo terminal;
- generación (33) de los datos (34) protegidos en
el primer equipo terminal por adición a los datos útiles de primeras
características (8a) de seguridad representativas del primer ámbito
de seguridad, conteniendo estas primeras características (8a) de
seguridad al menos una característica de autorización, que defina la
autorización de acceso al segundo ámbito (10) de seguridad;
- transmisión (35) de los datos protegidos con
las primeras características de seguridad dentro del primer ámbito
de seguridad a través de una primera conexión (4) de comunicaciones
a un transformador (9) de ámbitos integrado tanto en el primer, como
también en el segundo ámbito de seguridad;
- control por medio del transformador de ámbitos
de las primeras características de seguridad contenidas en los datos
recibidos;
- decisión del transformador de ámbitos de si se
realiza o no una transformación de las primeras características de
seguridad en segundas características de seguridad, cuando las
primeras características de seguridad contengan al menos una
característica de autorización;
- transformación (37) por medio del transformador
de ámbitos de las primeras características de seguridad en segundas
características (11a) de seguridad representativas del segundo
ámbito de seguridad, al tiempo que las segundas características de
seguridad no sólo se diferencian de las primeras características de
seguridad por el formato, y que el transformador de ámbitos genera
segundas características de seguridad adicionales, que no tienen una
correspondencia directa con las primeras características de
seguridad, cuando se necesitan aquéllas en el segundo ámbito de
seguridad;
- transmisión (39) de los datos protegidos con
las segundas características de seguridad dentro del segundo ámbito
de seguridad a través de una segunda conexión (7) de comunicaciones
segura al segundo equipo terminal, en el que los datos protegidos se
reconvierten nuevamente en los datos útiles.
2. Procedimiento según la reivindicación 1,
caracterizado porque el paso de la transformación de las
características de seguridad en el transformador de ámbitos
comprende los siguientes pasos parciales:
- análisis (56) de los datos útiles para la
identificación de un servicio solicitado;
- eventualmente, adaptación del formato de los
datos útiles al segundo ámbito de seguridad.
3. Procedimiento según la reivindicación 1 ó 2,
caracterizado porque el transformador de ámbitos crea un
protocolo de la realización de uno o de varios de los pasos
siguientes:
- recepción (36) de datos protegidos del primer
ámbito de seguridad;
- transformación (37) de datos protegidos;
- transmisión (39) de datos protegidos al segundo
ámbito de seguridad.
4. Procedimiento según la reivindicación 3,
caracterizado porque en la creación del protocolo se agrega a
cada anotación en el protocolo al menos una característica de
protocolo, por ejemplo una marca de tiempo, que caracterice de forma
unívoca esta anotación en el protocolo.
5. Procedimiento según una de las
reivindicaciones 1 a 4, caracterizado porque la adición de
las primeras características de seguridad en el primer equipo
terminal es la adición de una firma (8a) digital a los datos
útiles.
6. Procedimiento según la reivindicación 5,
caracterizado porque la firma digital es extraída de una
tarjeta SIM (SIM = Subscriber Identity Module), alojada en el primer
equipo terminal, y se agrega a los datos útiles.
7. Procedimiento según la reivindicación 5,
caracterizado porque la firma digital se genera con un módulo
WAP de identificación (WAP = Wireless Access Protocol).
8. Procedimiento según una de las
reivindicaciones 1 a 7, caracterizado porque el primer equipo
terminal es un equipo (1) de transmisión de datos móvil y porque la
primera conexión de comunicaciones es un radioenlace (4).
9. Procedimiento según la reivindicación 8,
caracterizado porque el primer equipo terminal es un
radioteléfono y porque la primera conexión de comunicaciones se
establece a través de una red GSM (GSM = Global System for Mobile
Communications).
10. Procedimiento según una de las
reivindicaciones 1 a 9, caracterizado porque las segundas
características de seguridad están adaptadas al estándar HBCI (HBCI
= Home Banking Computer Interface) y porque el segundo ámbito de
seguridad es un sistema HBCI.
11. Procedimiento según una de las
reivindicaciones 1 a 10, caracterizado porque tiene lugar una
transformación adicional de segundas características de seguridad en
primeras características de seguridad, cuando se transmiten datos
del segundo equipo terminal al primer equipo terminal.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19923174 | 1999-05-20 | ||
DE19923174A DE19923174C1 (de) | 1999-05-20 | 1999-05-20 | Verfahren zur gesicherten Übermittlung von geschützten Daten |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2219357T3 true ES2219357T3 (es) | 2004-12-01 |
Family
ID=7908641
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES00943717T Expired - Lifetime ES2219357T3 (es) | 1999-05-20 | 2000-05-15 | Procedimiento para la transmision segura de datos protegidos. |
Country Status (9)
Country | Link |
---|---|
EP (1) | EP1183847B1 (es) |
CN (1) | CN1182691C (es) |
AT (1) | ATE264585T1 (es) |
AU (1) | AU5808300A (es) |
DE (2) | DE19923174C1 (es) |
DK (1) | DK1183847T3 (es) |
ES (1) | ES2219357T3 (es) |
PT (1) | PT1183847E (es) |
WO (1) | WO2000072544A2 (es) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020131599A1 (en) * | 2001-03-15 | 2002-09-19 | International Business Machines Corporation | System for encryption of wireless transmissions from personal palm computers to world wide Web terminals |
DE102006037879A1 (de) * | 2006-08-11 | 2008-02-14 | Bundesdruckerei Gmbh | Lesegerät für ein Dokument, Verfahren zum Lesen eines Datenobjekts und Computerprogrammprodukt |
CN103685284A (zh) * | 2013-12-18 | 2014-03-26 | 上海普华诚信软件技术有限公司 | 数据截取和转换的方法及系统 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6413945A (en) * | 1987-07-07 | 1989-01-18 | Giichi Otsuka | Production of pickle |
US5471532A (en) * | 1994-02-15 | 1995-11-28 | Motorola, Inc. | Method of rekeying roaming communication units |
DE69732054T2 (de) * | 1996-01-23 | 2005-06-02 | Kokusai Denshin Denwa Co., Ltd. | Teilnehmer-/Mobilgerät-Identifizierungseinrichtung |
DE19630920C1 (de) * | 1996-07-31 | 1997-10-16 | Siemens Ag | Verfahren und System zur Teilnehmerauthentifikation und/oder Verschlüsselung von Informationen |
DE19645006B4 (de) * | 1996-10-31 | 2004-04-08 | HiSolutions Engineering & Consulting Langhoff, Heinrich, Kob & Partner | Verfahren zur Kommunikation zwischen Prozessen |
US20010039615A1 (en) * | 1997-04-15 | 2001-11-08 | At &T Corp. | Methods and apparatus for providing a broker application server |
FI117366B (fi) * | 1997-06-30 | 2006-09-15 | Sonera Smarttrust Oy | Menetelmä tietoturvallisen palveluyhteyden muodostamiseksi tietoliikennejärjestelmässä |
FI105637B (fi) * | 1997-07-02 | 2000-09-15 | Sonera Oyj | Menetelmä tilaajaidentiteettimoduulille tallennettujen sovellusten hallintaan |
EP1010283B1 (en) * | 1997-07-24 | 2006-11-29 | Tumbleweed Communications Corp. | E-mail firewall with stored key encryption/decryption |
DE19911782A1 (de) * | 1999-03-17 | 2000-09-28 | Deutsche Telekom Mobil | Verfahren zur Nutzung von standardisierten Bankdienstleistungen über Mobilfunk |
-
1999
- 1999-05-20 DE DE19923174A patent/DE19923174C1/de not_active Expired - Fee Related
-
2000
- 2000-05-15 EP EP00943717A patent/EP1183847B1/de not_active Expired - Lifetime
- 2000-05-15 ES ES00943717T patent/ES2219357T3/es not_active Expired - Lifetime
- 2000-05-15 AT AT00943717T patent/ATE264585T1/de active
- 2000-05-15 CN CNB008078084A patent/CN1182691C/zh not_active Expired - Lifetime
- 2000-05-15 PT PT00943717T patent/PT1183847E/pt unknown
- 2000-05-15 DE DE50006081T patent/DE50006081D1/de not_active Expired - Lifetime
- 2000-05-15 AU AU58083/00A patent/AU5808300A/en not_active Abandoned
- 2000-05-15 WO PCT/EP2000/004351 patent/WO2000072544A2/de active IP Right Grant
- 2000-05-15 DK DK00943717T patent/DK1183847T3/da active
Also Published As
Publication number | Publication date |
---|---|
ATE264585T1 (de) | 2004-04-15 |
AU5808300A (en) | 2000-12-12 |
DE50006081D1 (de) | 2004-05-19 |
WO2000072544A2 (de) | 2000-11-30 |
EP1183847A2 (de) | 2002-03-06 |
EP1183847B1 (de) | 2004-04-14 |
DK1183847T3 (da) | 2004-08-09 |
CN1359580A (zh) | 2002-07-17 |
WO2000072544A3 (de) | 2001-09-07 |
DE19923174C1 (de) | 2000-11-23 |
CN1182691C (zh) | 2004-12-29 |
PT1183847E (pt) | 2004-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2415470C2 (ru) | Способ создания безопасного кода, способы его использования и программируемое устройство для осуществления способа | |
US7293176B2 (en) | Strong mutual authentication of devices | |
EP0687087B1 (en) | Secure data transmission method | |
US6912659B2 (en) | Methods and device for digitally signing data | |
CN100539747C (zh) | 认证及检验sms通信的方法 | |
ES2219032T3 (es) | Establecimiento de una conexion de sesion asegurada por medio del protocolo de aplicacion inalambrico (wap). | |
EP1371255B1 (en) | Method for enabling pki functions in a smart card | |
US8145907B2 (en) | Secure data transfer | |
ES2456815T3 (es) | Procedimientos de autenticación de los usuarios en sistemas de procesamiento de datos | |
US8621216B2 (en) | Method, system and device for synchronizing between server and mobile device | |
US8302175B2 (en) | Method and system for electronic reauthentication of a communication party | |
RU2323530C2 (ru) | Способ регистрации и активации функций pki | |
ES2786261T3 (es) | Método para una instalación mejorada de una aplicación de servicio relacionada con un elemento seguro en un elemento seguro que se encuentra en un dispositivo de comunicación, sistema y red de telecomunicaciones para una instalación mejorada de una aplicación de servicio relacionada con un elemento seguro en un elemento seguro que se encuentra en un dispositivo de comunicación, programa que incluye un código de programa legible por ordenador y producto de programa informático | |
JP2006221566A (ja) | ネットワークを利用した介護サービス支援システム | |
ES2219357T3 (es) | Procedimiento para la transmision segura de datos protegidos. | |
US7269846B2 (en) | Mobile terminal having virus resistant security module architecture | |
CN106686196A (zh) | 一种个人手机安全管理方法 | |
KR20020010165A (ko) | 일회용 패스워드를 이용한 컴퓨터 시스템 액세스 제어방법 및 인증서 활용방법 | |
JP5405057B2 (ja) | 情報通信装置および公開鍵認証方法 | |
CN111914308A (zh) | 一种利用智能卡内ca证书进行移动数据签名的方法 | |
JP2001298779A (ja) | 携帯情報端末およびこれを用いたサービスシステム | |
KR100808654B1 (ko) | 안전한 데이터 전송 | |
Me | Security overview for m-payed virtual ticketing | |
KR100702514B1 (ko) | 이동통신단말기에 있어서 개인 비밀 메시지 보호방법 | |
ES2290228T3 (es) | Procedimiento para generar un certificado electronico autentico. |