ES2274067T3 - Aparato y metodo para controlar la propagacion de claves de descifrado. - Google Patents
Aparato y metodo para controlar la propagacion de claves de descifrado. Download PDFInfo
- Publication number
- ES2274067T3 ES2274067T3 ES02751448T ES02751448T ES2274067T3 ES 2274067 T3 ES2274067 T3 ES 2274067T3 ES 02751448 T ES02751448 T ES 02751448T ES 02751448 T ES02751448 T ES 02751448T ES 2274067 T3 ES2274067 T3 ES 2274067T3
- Authority
- ES
- Spain
- Prior art keywords
- key
- data
- unit
- security system
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 12
- 230000000644 propagated effect Effects 0.000 claims abstract description 8
- 238000004891 communication Methods 0.000 claims description 10
- 230000007423 decrease Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000012360 testing method Methods 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000033228 biological regulation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002401 inhibitory effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/109—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by using specially-adapted hardware at the client
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
- Input Circuits Of Receivers And Coupling Of Receivers And Audio Equipment (AREA)
- Communication Control (AREA)
- Radio Relay Systems (AREA)
- Electrophonic Musical Instruments (AREA)
Abstract
Sistema de seguridad para controlar el acceso a información cifrada por parte de una pluralidad de usuarios, que comprende un dispositivo de hardware (32) para almacenar por lo menos una unidad de datos que comprende una clave de descifrado (54) y un código de seguridad asociado (52), en el cual la clave de descifrado (54) se usa en el descifrado de un elemento de información cifrado y el código de seguridad (52) controla el número de veces que se puede propagar la clave de descifrado, y el dispositivo de hardware examina el código de seguridad, incluyendo dicho código un código de grupo como indicación de un conjunto aceptable de destinatarios para determinar si está autorizado a enviar copias cifradas de la clave de descifrado a dichos destinatarios.
Description
Aparato y método para controlar la propagación
de claves de descifrado.
La presente invención se refiere a un aparato y
a un método para controlar la propagación de claves de descifrado o
el acceso a información cifrada.
Con frecuencia existe la necesidad de controlar
el acceso a datos. En algunos entornos informáticos, este objetivo
se ha alcanzado gracias a la imposición de límites sobre el acceso
físico a una máquina, a un soporte de datos, o a partes de una red
de área local. No obstante, dichos sistemas pueden resultar
innecesariamente rígidos y complicados, especialmente cuando se
define de forma deficiente la clasificación de las personas a las
que se les puede permitir o denegar el acceso a un elemento de datos
específico.
Otro de los planteamientos en cuanto a la
seguridad es el uso del cifrado. En un sistema seguro, es necesario
definir en el momento del cifrado las identidades de la persona o de
cada una de las personas que deberían tener acceso a un documento o
a otro elemento de datos cifrados. Nuevamente esta opción puede
resultar complicada cuando la clasificación de las personas que
deberían recibir los datos está definida de forma deficiente.
En el documento: "Metering: A
Pre-pay Technique", publicado en el Vol. 3022 de
las actas de The International Society for Optical Engineering
(SPIE), páginas 527 a 521, Housley Roussell y Jan Dolphin describen
un sistema (Sistema de Regulación SPYRUS) en el cual un código de
seguridad controla el número de veces que se puede usar una clave
de descifrado. La patente US 5822771 A, (AKIYAMA
RYOTA ET AL), publicada el 13 de octubre de 1998, da a conocer un dispositivo de hardware que examina un código para comprobar si puede enviar una copia de información a otros, según un límite de propagaciones.
RYOTA ET AL), publicada el 13 de octubre de 1998, da a conocer un dispositivo de hardware que examina un código para comprobar si puede enviar una copia de información a otros, según un límite de propagaciones.
Ninguno de estos enfoques funciona
particularmente bien en un entorno "en general fiable" en el
que no es necesaria una seguridad absoluta. Un ejemplo de un
entorno en general fiable es una empresa en la que un jefe de
departamento puede estar tratando con un documento delicado desde el
punto de vista comercial, y puede que desee compartir este
documento con otros jefes de departamento y a su vez reconoce que
estos últimos puede que requieran compartir el documento con otros
individuos cuando lo consideren necesario o deseable. De este modo
el documento no puede ser "abierto" de tal manera que pueda ser
visto por todo el mundo, ya que puede ser sensible desde el punto
de vista comercial, pero tampoco se puede definir de forma precisa
la lista de destinatarios justo desde el principio.
Según un primer aspecto de la presente
invención, se proporciona un sistema de seguridad para controlar el
acceso a información cifrada por parte de una pluralidad de
usuarios, que comprende un dispositivo de hardware para almacenar
por lo menos una unidad de datos que comprende una clave de
descifrado y un código de seguridad asociado, en el cual la clave
de descifrado se usa en el descifrado de un elemento de información
cifrado y el código de seguridad controla el número de veces que se
puede propagar la clave de descifrado, y el dispositivo de hardware
examina el código de seguridad, incluyendo dicho código un código de
grupo como indicación de un conjunto aceptable de destinatarios,
para determinar si está autorizado a enviar copias cifradas de la
clave de descifrado a dichos destinatarios.
De este modo es posible proporcionar, al
originador de un elemento de información, control sobre el número
de veces que dicho elemento de información se puede pasar de una
persona a otra o cuántas veces se puede pasar de una persona a otra
la clave de descifrado, en unas condiciones en las que el elemento
de información se encuentra en un formato cifrado.
Preferentemente, la clave de descifrado está
relacionada con un proyecto o tarea específicos. De este modo, el
controlador u originador de una tarea puede generar una clave la
cual se puede usar para el cifrado y el descifrado de documentos
dentro de dicho proyecto o tarea.
La unidad de datos puede ser una asociación
lógica entre la clave de descifrado y el código de seguridad.
De forma ventajosa, la clave de descifrado o la
unidad de datos también pueden incluir un identificador adicional
el cual es exclusivo para una entidad, tal como una empresa, de
manera que solamente las personas que dispongan de una parte de
código correspondiente en su dispositivo de seguridad puedan
descifrar la clave para los documentos.
Preferentemente, cuando otra persona desee
recibir una copia de la información cifrada, la clave de descifrado
correspondiente a la información cifrada se envía a ese otro usuario
en un formato cifrado. De forma ventajosa, la propia clave de
descifrado se cifra con la clave de cifrado pública del
destinatario. La transferencia de la clave de descifrado se puede
conseguir transfiriendo la unidad de datos.
De forma ventajosa, el dispositivo de hardware
modifica adicionalmente el código de seguridad cada vez que envía
la clave de descifrado a otro usuario. De este modo, es posible
mantener un seguimiento sobre el número de veces que se propaga la
clave de descifrado de una persona a otra. Este código de seguridad
puede ser, por ejemplo, un "límite de generaciones" fijado por
el originador del documento, y cada vez que se propaga la clave de
descifrado, el límite de generaciones se decrementa. Una vez que el
límite de generaciones alcanza el valor cero, el dispositivo de
hardware inhibe cualquier propagación adicional de la clave de
descifrado.
De forma ventajosa, la clave de descifrado está
asociada adicionalmente a una identidad del dispositivo de
seguridad y/o un número de identidad de usuario el cual es
exclusivo. Cada vez que la clave de descifrado se propaga, la
identidad del usuario o el dispositivo de seguridad que autorizó la
propagación de la clave de descifrado se puede añadir a la clave de
descifrado o se puede incluir en la unidad de datos que contiene la
clave de descifrado. De este modo es posible identificar un registro
de auditoria que muestre el camino a través del cual ha pasado una
clave de descifrado. La identidad puede sobrescribir una identidad
anterior o se puede añadir a una lista de identidades. La lista se
puede almacenar en el dispositivo de seguridad o en algún otro
lugar, tal como un fichero registro en el ordenador de un
usuario.
De forma ventajosa, cuando una clave de
descifrado (por ejemplo, como parte de una unidad de datos) se
propaga hacia otro usuario, la persona que autoriza la propagación
puede tener la capacidad de modificar el límite de generaciones,
para decrementarlo. Una persona que autorice la propagación de la
clave, o el originador, también puede fijar una o más palabras de
control o banderas de control de tal manera que al dispositivo de
seguridad se le ordene el envío de un mensaje a dicha persona cuando
se inicie un intento de propagar adicionalmente la clave. De hecho,
la propagación adicional de la clave de descifrado se puede inhibir
hasta el momento en el que dicha persona envíe un mensaje de
respuesta al dispositivo de seguridad autorizando la propagación
adicional de la clave. De este modo es posible configurar el sistema
de seguridad de tal manera que genere automáticamente un registro
de auditoría y/o de tal manera que busque una autorización adicional
de un jefe de departamento cuando se envíen copias adicionales de
la clave de descifrado, representando todavía dichas copias
"generaciones" de la clave que se encuentran dentro del límite
autorizado por el "límite de generaciones".
La autorización de enviar la clave la puede
generar automáticamente un agente en un servidor que mantenga un
fichero registro de control de las propagaciones.
El dispositivo de seguridad se puede comunicar
mediante interfaz con otro dispositivo incorporado permanentemente
en el ordenador, o un software cargado o incorporado en el ordenador
de tal manera que los intentos de acceder a un documento seguro sin
la clave de descifrado adecuada den como resultado el envío de un
mensaje de vuelta hacia un administrador del sistema, o hacia el
autor del documento, o alguna otra persona definida por un campo de
seguridad adecuado incluido dentro del documento o incluido dentro
de un fichero de seguridad asociado al documento. El propio fichero
asociado al documento puede estar cifrado.
De forma ventajosa, el dispositivo de seguridad
se presenta en forma de una unidad pequeña que el usuario puede
llevar consigo y la cual es acoplable y
desacoplable a un procesador de datos, por ejemplo, un PC convencional, un dispositivo informático portátil y otros elementos que presenten un zócalo adecuado. De este modo, el dispositivo de seguridad funciona de forma eficaz como una llave de protección, aunque no debe confundirse con las llaves de protección de la antigua usanza que eran dispositivos de hardware conectados permanentemente al puerto de un ordenador correspondiente a la impresora. También es posible una comunicación inalámbrica.
desacoplable a un procesador de datos, por ejemplo, un PC convencional, un dispositivo informático portátil y otros elementos que presenten un zócalo adecuado. De este modo, el dispositivo de seguridad funciona de forma eficaz como una llave de protección, aunque no debe confundirse con las llaves de protección de la antigua usanza que eran dispositivos de hardware conectados permanentemente al puerto de un ordenador correspondiente a la impresora. También es posible una comunicación inalámbrica.
El dispositivo de seguridad se puede proteger
con una contraseña. De forma ventajosa, se puede configurar para
deshabilitarse después de un número de entradas incorrectas de la
contraseña.
De acuerdo con un segundo aspecto de la presente
invención, se proporciona un método para controlar la propagación
de claves de descifrado hacia una pluralidad de usuarios para
permitir el acceso a datos cifrados, que comprende las etapas en
las que se almacena por lo menos una unidad de datos en un
dispositivo de hardware, comprendiendo la por lo menos una unidad
de datos una clave de descifrado, se incluye una palabra de control
de propagación con la clave de descifrado en la unidad de datos, y
en respuesta a una instrucción de enviar la unidad de datos a un
destinatario especificado, se comprueba el estado de la palabra de
control para determinar si se permite la propagación, incluyendo la
propagación de que el destinatario especificado está dentro de un
conjunto aceptable de destinatarios indicado como código de grupo
en la palabra de control, y si es así, se modifica la palabra de
control y se cifra la unidad de datos que comprende la palabra de
control y la clave de descifrado con una clave pública del
destinatario y se envía la unidad de datos.
De forma ventajosa, la palabra de control la
fija un originador de los datos cifrados y la palabra de control se
decrementa en cada propagación, inhibiéndose una propagación
adicional de la clave de descifrado una vez que la palabra de
control alcanza un valor predeterminado. El valor predeterminado
puede ser, por ejemplo cero.
Preferentemente, cada destinatario de la clave
tiene la capacidad de modificar la palabra de control de tal manera
que el número de propagaciones adicionales se puede reducir, aunque
no incrementar.
Las claves de cifrado y de descifrado pueden
pertenecer a individuos, o pueden pertenecer a grupos de personas
de tal manera que se pueden compartir datos entre aquellas personas
que trabajan, por ejemplo, en un proyecto específico.
El componente de hardware del sistema incluye
preferentemente un procesador de datos de tal manera que el cifrado
y el descifrado de la clave de descifrado se realizan únicamente en
la unidad de hardware. Adicionalmente, la unidad de hardware puede
comprender además una memoria no volátil de tal manera que la
asociación entre un documento cifrado u otra entidad o servicio y
la clave de descifrado adecuada se mantiene únicamente en la unidad
de hardware.
De este modo es posible proporcionar un sistema
de seguridad que permite una propagación limitada de un documento
cifrado o del acceso al mismo, incluso en un entorno en el que el
grupo de destinatarios que requieren acceso a dicho documento no
está bien definido.
La presente invención se describirá
adicionalmente, a título de ejemplo, haciendo referencia a los
dibujos adjuntos, en los cuales:
la Figura 1 ilustra esquemáticamente un posible
camino de propagación para un documento delicado en un entorno
multiusuario;
la Figura 2 ilustra esquemáticamente un
dispositivo informático de usuario modificado para funcionar en un
sistema de seguridad, que constituye una realización de la presente
invención;
la Figura 3 ilustra esquemáticamente la
estructura de un dispositivo de seguridad de hardware que constituye
una realización de la presente invención;
la Figura 4 ilustra esquemáticamente la
estructura de una clave de descifrado asociada a un documento en un
sistema de seguridad que constituye una realización de la presente
invención; y
las Figuras 5a y 5b representan un diagrama de
flujo que ilustra el funcionamiento de un sistema de seguridad que
constituye una realización de la presente invención.
La Figura 1 ilustra la disposición en la que un
originador 2 de un documento desea o necesita compartir este
documento con sus compañeros de trabajo 4 y 6. No obstante, por
alguna razón, puede que el originador 2 desee que el documento no
llegue hasta su colega 8. No obstante, como los empleados 4 y 6 han
tenido acceso al documento, a continuación ellos pueden tratar con
dicho documento cuando lo estimen pertinente, y por ejemplo el
empleado 6 puede reenviar el documento a otro colega 10 el cual a
continuación, desconociendo la voluntad del originador 2, puede
reenviar el documento al empleado 8. El empleado 6 también puede
enviar el documento por correo electrónico a otra persona 12 a
través de una red de telecomunicaciones externa 14. De este modo, en
este momento el contenido del documento ha escapado del control del
originador y dicho documento puede circular entre otras personas
fuera de la empresa.
Una forma tradicional de hacer frente a este
problema sería cifrar el documento en el momento de su transmisión
a los empleados 4 y 6. Dependiendo de las características de
seguridad del sistema de cifrado usado, puede que el originador 2
disponga de la posibilidad de inhibir copias o impresiones
adicionales del documento por parte de los empleados 4 y 6. No
obstante, si el empleado 6 tiene la necesidad legítima de reenviar
dicho documento a un colega 10, en ese caso dicha posibilidad
resulta claramente inadecuada. No obstante, si el documento está
cifrado aunque se permiten copias adicionales, en ese caso no hay
nada que le prohíba al empleado 6 reenviar el documento a su colega
10, el cual a continuación puede reenviar evidentemente el documento
al empleado 8.
El inventor ha observado que cada vez que el
documento cifrado se transmite a un destinatario nuevo, o se le
proporciona a una persona acceso al documento, la carpeta o un
elemento similar, se produce una oportunidad de cifrar la clave de
descifrado usando la clave pública del destinatario. Esta situación
proporciona una oportunidad de que el sistema de seguridad controle
el número de veces que se ha propagado la clave de descifrado y que
por lo tanto controle el nivel de propagación de dicha clave de
descifrado, y consecuentemente la capacidad de descifrar el
documento cifrado. De este modo, en términos generales, el
originador de un documento 2 puede enviar el documento o
proporcionar acceso a los destinatarios 4 y 6 y también puede fijar
un valor de control de propagación a, por ejemplo, 1 indicando de
este modo que la clave de descifrado se puede propagar una vez más.
Así, el usuario 6 dispone de la opción de volver a cifrar la clave
de descifrado usando la clave pública de los destinatarios deseados
para realizar una copia de generación más de la clave de descifrado.
De este modo, cuando la clave de descifrado se cifra con la clave
pública del usuario 10, la palabra de control de generación (es
decir, de copia) incorporada en la clave de descifrado enviada al
usuario 10 se decrementa, de tal manera que la clave de control de
generación recibida por el usuario 10 tiene un valor de cero. De
este modo, aunque el usuario 10 todavía podría enviar el documento
cifrado al empleado 8, no podrá enviar la clave de descifrado al
empleado 8 y por lo tanto dicho empleado 8 no puede ver el
documento. De forma similar, el usuario 6 sigue teniendo la
capacidad de enviar la clave al usuario 12 ya que la misma todavía
representa solamente un grado más de generación (copia) con
respecto al usuario 6. No obstante, también puede que el originador
2 tenga la posibilidad de fijar un límite de copias variable el cual
limite el número de veces que el usuario 6 puede enviar la clave de
descifrado a un usuario de la siguiente generación. De este modo,
si por ejemplo la palabra de control de copia se fijó a uno, y la
palabra de control de generación recibida por el usuario 6 se fijó
a uno, en ese caso el usuario 6 podría enviar una copia adicional de
la clave de descifrado al destinatario 10, aunque al hacerlo la
palabra de control de copia almacenada en el sistema de seguridad
perteneciente al usuario 6 se decrementaría de tal manera que se
inhibiría la capacidad del usuario 6 de enviar una copia adicional
al usuario 12, incluso aunque la misma todavía representaría
solamente una generación más de copia, ya que el usuario 6 habría
agotado su cuota de copias.
De este modo, el originador de una clave tiene
la capacidad de controlar tanto el número de "generaciones" en
las que se puede copiar la clave de descifrado como, de forma
independiente, el número de veces que se puede copiar cualquier
clave en una única generación, es decir el número de veces que el
usuario puede enviar una clave a otros.
La Figura 2 ilustra esquemáticamente un terminal
de ordenador en un sistema de seguridad, que constituye una
realización de la presente invención. El terminal de ordenador,
indicado en general con la referencia 20, es en muchos aspectos un
terminal convencional, tal como un PC estándar, con una unidad
principal 22 que aloja un procesador de datos, memoria de
semiconductores y memoria de almacenamiento masivo, junto con varias
tarjetas de interfaz que permiten que el ordenador se comunique con
otros procesadores de datos a través de una red 23 de
comunicaciones adecuada la cual puede ser una LAN, una WAN, una
conexión de marcación o cualquier otro esquema de comunicación
adecuado. El procesador de datos incluye también un dispositivo de
visualización 24 y un dispositivo de entrada 26, por ejemplo, un
teclado. Un procesador de datos incluye además un zócalo 30 para
aceptar de forma extraíble un dispositivo de seguridad de usuario 32
de tal manera que el dispositivo 32 pueda establecer una
comunicación de datos con el procesador de datos 20.
En la Figura 3 se muestra más detalladamente el
dispositivo de seguridad de usuario 32. En términos generales, el
dispositivo comprende un procesador de datos 34 incorporado,
conectado a través de un bus interno 35 a una memoria de solo
lectura 36 que contiene el código ejecutable para conseguir que el
microprocesador 34 realice operaciones de cifrado y de descifrado y
compruebe las palabras de generación y de control de copia. El
dispositivo 32 incluye además una memoria no volátil 38 la cual
contiene claves de descifrado e identificadores y valores de
configuración asociados. Debería observarse que el bus interno 35 no
es directamente accesible desde fuera del dispositivo 32 sino que
toda la comunicación se gestiona de hecho a través del procesador
de datos 34. Esto evita que la memoria 38 sea interrogada por otro
elemento que no sea el procesador de datos 34. La comunicación
entre el dispositivo 32 y el procesador de datos 30 se puede
realizar mediante un canal especial o a través de un puerto de
comunicaciones convencional. De este modo, para ordenadores
producidos aproximadamente en los años 2000 y 2001, es probable que
la comunicación se produzca a través de una interfaz USB.
Evidentemente, la interfaz puede variar dependiendo de la tecnología
dominante en las interfaces.
La Figura 4 muestra más detalladamente la
configuración de datos dentro de la memoria 38. La memoria 38 está
divida en una serie de unidades de datos. En la Figura 4 se
representa una única unidad de datos 40 y la misma comprende una
pluralidad de elementos. Un primer elemento 50 es un número de serie
que representa una identidad exclusiva de la clave. Una segunda
parte 52 incluye las órdenes de control de copias que indican bien
el número de generaciones de copias que se pueden realizar de la
clave de descifrado (es decir, el número de etapas a través de las
cuales se puede copiar de un usuario a otro), o bien incluso el
número de copias que se pueden realizar en una única generación o
más, o puede indicar ambos números a la vez. La zona 54 contiene la
propia clave de descifrado y la zona 56 contiene otros datos, tales
como el registro de auditoría y cualquier bandera u otras
instrucciones que puedan referirse, por ejemplo, a la necesidad de
comunicarse con personas en niveles superiores en el camino de un
flujo de datos para autorizar copias adicionales de la clave de
descifrado o para informarse de que se ha realizado la copia de la
clave de descifrado.
Las Figuras 5a y 5b ilustran esquemáticamente el
funcionamiento de una realización de la presente invención.
Inicialmente, el control comienza en la etapa 70 en la que se
considera que un usuario ya tiene la clave de cifrado, por ejemplo
la clave pública, de un destinatario al cual desea enviar una clave
de descifrado. Desde la etapa 70, el control pasa a la etapa 72 en
la que se realiza una prueba para comprobar si el número de
generaciones es mayor que cero. Si el número de generaciones no es
mayor que cero, en ese caso el control pasa a la etapa 74 en la que
se sale del procedimiento. No obstante, si el número de generaciones
es mayor que cero en ese caso el control pasa a la etapa 76 en la
que se realiza una prueba para comprobar si se ha activado una
"bandera de código de grupo". El código de grupo forma parte de
la clave pública del destinatario la cual indica a qué organización
pertenece. De este modo, el código de grupo se puede examinar y
comparar con una lista de códigos permitidos o denegados para
determinar si el destinatario está autorizado a recibir la clave de
descifrado. Si la bandera del código de grupo está activada, el
control pasa a la etapa 78, mientras que si la bandera no está
activada el control pasa a la etapa 82.
La etapa 78 compara el código de grupo
incorporado en la clave que desea enviar el usuario con el código de
grupo del destinatario. Si los códigos coinciden, o quedan situados
dentro de un conjunto aceptable de códigos, en ese caso el control
pasa a la etapa 82, en caso contrario el control pasa a la etapa 80
en la que finaliza el procedimiento. En la etapa 82 se realiza una
copia interna de la clave que desea enviar el usuario y a
continuación el control pasa a la etapa 84 en la que se realiza una
prueba para comprobar si está activado un contador de control de
copias. Si el contador de control de copias está activado, en ese
caso el control pasa a la etapa 86 mientras que, en caso contrario,
el control pasa a la etapa 94 tal como se muestra en la Figura
5b.
En la etapa 86 se realiza una prueba para
comprobar si el número de copias es mayor que cero. Si no lo es, en
ese caso el control pasa a la etapa 88 en la que se sale del
procedimiento. No obstante, si el número del control de copias es
mayor que cero en ese caso el control pasa a la etapa 90 en la que
se decrementa el número de control de copias, y a continuación a la
etapa 92 en la que se vuelve a escribir de nuevo en la llave de
protección la copia modificada de la clave que incluye el número
controlado de copias decrementado. A continuación el control
prosigue hacia la etapa 94 en la que se decrementa el número de
generaciones, y seguidamente el número de generaciones modificado
se funde con la clave en la etapa 96. Desde la etapa 96, el control
pasa a la etapa 98 en la que la clave y los números de generaciones
y/o copias modificados se cifran con la clave pública de los
destinatarios. A continuación el control pasa a la etapa 100 en la
que la clave se envía al destinatario. El procedimiento finaliza en
la etapa 102.
El sistema anterior se ha descrito en términos
de permitir el acceso a documentos, aunque se podría aplicar
igualmente al acceso a servicios, carpetas, ficheros ejecutables,
páginas web y así sucesivamente. De este modo, uno o más
documentos, algunos de los cuales puede que todavía no hayan sido
generados, se pueden cifrar usando la clave y los mismos se pueden
compartir entre los usuarios.
También sería posible usar el sistema para
controlar el acceso a actualizaciones a un servicio de registro
periódico u otro similar durante un periodo de
tiempo.
tiempo.
Además, aunque la invención se ha descrito en el
contexto del control de la propagación de claves de descifrado, se
puede aplicar igualmente al control de la propagación de otras
medidas de seguridad tales como claves de cifrado, claves para
cifrado y descifrado, contraseñas, mensajes y otros "objetos"
electrónicos en los que es necesario limitar la capacidad de
propagación de dicho "objeto".
De este modo es posible proporcionar un sistema
de seguridad para controlar el alcance de la propagación de las
claves.
Claims (17)
1. Sistema de seguridad para controlar el acceso
a información cifrada por parte de una pluralidad de usuarios, que
comprende un dispositivo de hardware (32) para almacenar por lo
menos una unidad de datos que comprende una clave de descifrado
(54) y un código de seguridad asociado (52), en el cual la clave de
descifrado (54) se usa en el descifrado de un elemento de
información cifrado y el código de seguridad (52) controla el
número de veces que se puede propagar la clave de descifrado, y el
dispositivo de hardware examina el código de seguridad, incluyendo
dicho código un código de grupo como indicación de un conjunto
aceptable de destinatarios para determinar si está autorizado a
enviar copias cifradas de la clave de descifrado a dichos
destinatarios.
2. Sistema de seguridad según la reivindicación
1, en el cual, si el dispositivo de hardware (32) está autorizado a
enviar una copia cifrada de la unidad de datos a una primera
entidad, cifra la unidad de datos usando una clave de cifrado
asociada a la primera entidad.
3. Sistema de seguridad según la reivindicación
2, en el cual la unidad de datos se cifra con la clave pública de
la primera entidad.
4. Sistema de seguridad según una cualquiera de
las reivindicaciones anteriores, en el cual el dispositivo de
hardware (32) envía la clave de descifrado dentro de una unidad de
datos (40) y cada vez que el dispositivo de hardware envía una
unidad de datos (40) a otra entidad, modifica el código de seguridad
y envía el código de seguridad modificado como parte de la unidad
de datos cifrada.
5. Sistema de seguridad según la reivindicación
4, en el cual el código de seguridad es un valor numérico (52) que
indica el número de veces que se puede propagar la unidad de datos,
y el código de seguridad se decrementa cada vez que la unidad de
datos se propaga a otra entidad.
6. Sistema de seguridad según una cualquiera de
las reivindicaciones anteriores, en el cual la clave de descifrado
se almacena en el dispositivo de hardware.
7. Sistema de seguridad según una cualquiera de
las reivindicaciones anteriores, en el cual el dispositivo de
hardware es extraíble de un procesador de
datos.
datos.
8. Sistema de seguridad según una cualquiera de
las reivindicaciones anteriores, en el cual el dispositivo de
hardware (32) se presenta en forma de una unidad de usuario, de la
cual, mientras está en uso, un usuario consigue que la misma se
comunique mediante interfaz con un procesador de datos (20) para
establecer una comunicación con este último cuando el usuario desea
usar el procesador de datos para acceder a información cifrada e
interrumpe la comunicación entre la unidad de usuario y el
procesador de datos cuando el usuario ha finalizado.
9. Sistema de seguridad según una cualquiera de
las reivindicaciones anteriores, en el cual cada vez que el
dispositivo de hardware (32) propaga una de las unidades de datos
que comprenden una clave de descifrado, incluye como parte de la
unidad de datos un identificador que indica la identidad de la clave
del emisor.
10. Sistema de seguridad según la reivindicación
9, en el cual la unidad de datos incluye una lista de individuos que
han autorizado la propagación de la clave.
11. Sistema de seguridad según la reivindicación
9 y 10, en el cual un usuario puede añadir una palabra de control
(56) al identificador indicando su identidad en la unidad de datos
para ordenar al dispositivo de hardware (32) que inicie un mensaje
hacia él o a un agente que le informe sobre la propagación de la
unidad de datos y que le proporcione información referente a dicha
propagación.
12. Sistema de seguridad que comprende una
pluralidad de dispositivos de hardware según una cualquiera de las
reivindicaciones anteriores, y en el cual la unidad de datos se pasa
de un dispositivo de hardware a otro.
13. Sistema de seguridad según una cualquiera de
las reivindicaciones anteriores, en el cual una clave privada del
usuario se almacena en su propio dispositivo de hardware, de tal
manera que la unidad de datos cifrada únicamente se puede descifrar
cuando el dispositivo de hardware está en funcionamiento.
14. Sistema de seguridad según cualquiera de las
reivindicaciones anteriores, en el que el dispositivo de hardware
incluye un procesador de datos tal que todo el cifrado y descifrado
de las unidades de datos se realizan en el dispositivo de
hardware.
15. Método para controlar la propagación de
claves de descifrado hacia una pluralidad de usuarios para permitir
el acceso a datos cifrados, que comprende las etapas en las que se
almacena por lo menos una unidad de datos en un dispositivo de
hardware, comprendiendo la por lo menos una unidad de datos una
clave de descifrado, se incluye una palabra de control de
propagación con la clave de descifrado en la unidad de datos, y en
respuesta a una instrucción de enviar la unidad de datos a un
destinatario especificado, se comprueba el estado de la palabra de
control para determinar si se permite la propagación, incluyendo la
comprobación de que el destinatario especificado está dentro de un
conjunto aceptable de destinatarios indicado como código de grupo
en la palabra de control, y si es así, se modifica la palabra de
control y se cifra la unidad de datos que comprende la palabra de
control y la clave de descifrado con una clave pública del
destinatario y se envía la unidad de datos.
16. Método según la reivindicación 15, en el
cual la palabra de control es un valor numérico el cual se
decrementa en cada propagación, y en el cual la propagación se
inhibe una vez que el valor numérico alcanza un valor
predeterminado.
17. Método según las reivindicaciones 15 ó 16,
en el cual el originador de una clave fija el número de veces que
se puede enviar la clave, y cada vez que se envía una clave, se
modifica una variable que contiene un número de generaciones de la
clave de tal manera que cuando el número de generaciones alcanza el
número máximo de veces que se puede enviar la clave, se inhibe el
envío adicional de la clave.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0121502 | 2001-09-05 | ||
| GB0121502A GB2378539B (en) | 2001-09-05 | 2001-09-05 | Apparatus for and method of controlling propagation of decryption keys |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2274067T3 true ES2274067T3 (es) | 2007-05-16 |
Family
ID=9921569
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES02751448T Expired - Lifetime ES2274067T3 (es) | 2001-09-05 | 2002-08-22 | Aparato y metodo para controlar la propagacion de claves de descifrado. |
Country Status (11)
| Country | Link |
|---|---|
| US (2) | US7099478B2 (es) |
| EP (1) | EP1423765B1 (es) |
| JP (1) | JP2005502240A (es) |
| CN (1) | CN100555158C (es) |
| AT (1) | ATE341786T1 (es) |
| DE (1) | DE60215196T2 (es) |
| ES (1) | ES2274067T3 (es) |
| GB (1) | GB2378539B (es) |
| IL (2) | IL160709A0 (es) |
| RU (1) | RU2273959C2 (es) |
| WO (1) | WO2003021400A2 (es) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2574029A1 (es) * | 2015-07-03 | 2016-06-14 | Francisco ANDRÉS MARTÍNEZ | Sistema y método para la recuperación de objetos perdidos |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7174568B2 (en) * | 2001-01-31 | 2007-02-06 | Sony Computer Entertainment America Inc. | Method and system for securely distributing computer software products |
| US7162644B1 (en) | 2002-03-29 | 2007-01-09 | Xilinx, Inc. | Methods and circuits for protecting proprietary configuration data for programmable logic devices |
| DE10254320A1 (de) * | 2002-11-21 | 2004-06-03 | Philips Intellectual Property & Standards Gmbh | Schaltungsanordnung mit nicht-flüchtigem Speichermodul und Verfahren zum Ver-/Entschlüsseln von Daten des nicht-flüchtigen Speichermoduls |
| WO2004102353A2 (en) * | 2003-05-12 | 2004-11-25 | Gtech Rhode Island Corporation | Method and system for authentication |
| US8010789B2 (en) * | 2003-11-13 | 2011-08-30 | Lantronix, Inc. | Secure data transfer using an embedded system |
| US20060245593A1 (en) * | 2003-12-15 | 2006-11-02 | Ikue Nakano | Secret information setting device and secret information setting method |
| KR101058002B1 (ko) * | 2004-02-02 | 2011-08-19 | 삼성전자주식회사 | 도메인 관리 시스템하에서의 데이터 기록 및 재생 방법 |
| EP1920358A2 (fr) * | 2005-04-12 | 2008-05-14 | Enrico Maim | Procedes pour permettre l'acces a des ressources modifiables par des utilisateurs dans un environnement informatique, et ressources structurees a cet effet |
| US9191198B2 (en) | 2005-06-16 | 2015-11-17 | Hewlett-Packard Development Company, L.P. | Method and device using one-time pad data |
| US20070177424A1 (en) * | 2005-09-29 | 2007-08-02 | Martin Sadler | Device with n-time pad and a method of managing such a pad |
| US8842839B2 (en) * | 2005-09-29 | 2014-09-23 | Hewlett-Packard Development Company, L.P. | Device with multiple one-time pads and method of managing such a device |
| WO2007102093A2 (en) * | 2006-03-08 | 2007-09-13 | Koninklijke Philips Electronics N.V. | Method and system for distributed copy administration |
| US7810139B2 (en) * | 2006-03-29 | 2010-10-05 | Novell, Inc | Remote authorization for operations |
| FR2907930B1 (fr) * | 2006-10-27 | 2009-02-13 | Viaccess Sa | Procede de detection d'une utilisation anormale d'un processeur de securite. |
| CN101272237B (zh) * | 2008-04-22 | 2010-10-06 | 北京飞天诚信科技有限公司 | 一种用于自动生成和填写登录信息的方法和系统 |
| US8516602B2 (en) * | 2008-04-25 | 2013-08-20 | Nokia Corporation | Methods, apparatuses, and computer program products for providing distributed access rights management using access rights filters |
| DE102010046229A1 (de) * | 2010-09-23 | 2012-03-29 | Oliver Kömmerling | Verfahren zum verschlüsselten Übertragen von Daten aus einem mobilen Datenträger auf eine stationäre Einrichtung sowie Datenverschlüsselungsadapter |
| IL216162A0 (en) * | 2011-11-06 | 2012-02-29 | Nds Ltd | Electronic content distribution based on secret sharing |
| CN105530236B (zh) * | 2014-10-20 | 2020-11-03 | 帝斯贝思数字信号处理和控制工程有限公司 | 用于加密的方法、加密装置、解密装置及开发系统 |
| US10645066B2 (en) | 2016-11-19 | 2020-05-05 | Alan Earl Swahn | Rights controlled communication |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU1306360C (ru) | 1985-09-30 | 1995-12-20 | Ю.Н. Манякин | Устройство для ввода информации с ограниченным доступом |
| EP0268139A3 (en) * | 1986-11-05 | 1991-04-10 | International Business Machines Corporation | Manipulating rights-to-execute in connection with a software copy protection mechanism |
| US5534857A (en) * | 1991-11-12 | 1996-07-09 | Security Domain Pty. Ltd. | Method and system for secure, decentralized personalization of smart cards |
| RU2040117C1 (ru) | 1992-12-07 | 1995-07-20 | Центральный Научно-Исследовательский Институт Связи | Способ передачи и приема с обеспечением подлинности и конфиденциальности сообщения |
| JP3243331B2 (ja) * | 1993-05-14 | 2002-01-07 | 富士通株式会社 | ソフトウェア管理用階層媒体の作成方法,ソフトウェア管理用階層媒体の作成装置およびソフトウェア管理用階層媒体 |
| US5671280A (en) | 1995-08-30 | 1997-09-23 | Citibank, N.A. | System and method for commercial payments using trusted agents |
| US5825876A (en) * | 1995-12-04 | 1998-10-20 | Northern Telecom | Time based availability to content of a storage medium |
| US6246771B1 (en) * | 1997-11-26 | 2001-06-12 | V-One Corporation | Session key recovery system and method |
| US6912656B1 (en) * | 1999-11-30 | 2005-06-28 | Sun Microsystems, Inc. | Method and apparatus for sending encrypted electronic mail through a distribution list exploder |
| DE10001126A1 (de) * | 2000-01-13 | 2001-07-19 | Infineon Technologies Ag | Chipkarte als Dongle |
| US6847719B1 (en) * | 2000-08-11 | 2005-01-25 | Eacceleration Corp. | Limiting receiver access to secure read-only communications over a network by preventing access to source-formatted plaintext |
-
2001
- 2001-09-05 GB GB0121502A patent/GB2378539B/en not_active Expired - Lifetime
-
2002
- 2002-02-27 US US10/085,163 patent/US7099478B2/en not_active Expired - Lifetime
- 2002-08-22 DE DE60215196T patent/DE60215196T2/de not_active Expired - Lifetime
- 2002-08-22 EP EP02751448A patent/EP1423765B1/en not_active Expired - Lifetime
- 2002-08-22 WO PCT/GB2002/003877 patent/WO2003021400A2/en active IP Right Grant
- 2002-08-22 CN CN02820752.1A patent/CN100555158C/zh not_active Expired - Lifetime
- 2002-08-22 ES ES02751448T patent/ES2274067T3/es not_active Expired - Lifetime
- 2002-08-22 RU RU2004107577/09A patent/RU2273959C2/ru active
- 2002-08-22 JP JP2003525423A patent/JP2005502240A/ja active Pending
- 2002-08-22 IL IL16070902A patent/IL160709A0/xx unknown
- 2002-08-22 AT AT02751448T patent/ATE341786T1/de not_active IP Right Cessation
-
2004
- 2004-03-03 IL IL160709A patent/IL160709A/en unknown
-
2006
- 2006-07-20 US US11/458,853 patent/US7471796B2/en not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2574029A1 (es) * | 2015-07-03 | 2016-06-14 | Francisco ANDRÉS MARTÍNEZ | Sistema y método para la recuperación de objetos perdidos |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2273959C2 (ru) | 2006-04-10 |
| GB0121502D0 (en) | 2001-10-24 |
| EP1423765B1 (en) | 2006-10-04 |
| US7471796B2 (en) | 2008-12-30 |
| ATE341786T1 (de) | 2006-10-15 |
| CN1571949A (zh) | 2005-01-26 |
| EP1423765A2 (en) | 2004-06-02 |
| WO2003021400A3 (en) | 2003-11-27 |
| IL160709A (en) | 2009-08-03 |
| GB2378539B (en) | 2003-07-02 |
| US7099478B2 (en) | 2006-08-29 |
| US20030044018A1 (en) | 2003-03-06 |
| IL160709A0 (en) | 2004-08-31 |
| WO2003021400A2 (en) | 2003-03-13 |
| CN100555158C (zh) | 2009-10-28 |
| GB2378539A (en) | 2003-02-12 |
| JP2005502240A (ja) | 2005-01-20 |
| US20070038869A1 (en) | 2007-02-15 |
| DE60215196D1 (de) | 2006-11-16 |
| RU2004107577A (ru) | 2005-09-27 |
| DE60215196T2 (de) | 2007-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2274067T3 (es) | Aparato y metodo para controlar la propagacion de claves de descifrado. | |
| US8107621B2 (en) | Encrypted file system mechanisms | |
| CN1307819C (zh) | 安全分配公开/秘密密钥对的方法和装置 | |
| US6449651B1 (en) | System and method for providing temporary remote access to a computer | |
| ES2634024B1 (es) | Método seguro para compartir datos y controlar el acceso a los mismos en la nube | |
| US7269844B2 (en) | Secure IR communication between a keypad and a token | |
| US6314190B1 (en) | Cryptographic system with methods for user-controlled message recovery | |
| ES2315230T3 (es) | Procedimiento, sistema , servidor y dispositivo para dar seguridad a una red de comunicaciones. | |
| JP2022137171A (ja) | 通信システム、それに用いる通信装置、管理装置及び情報端末 | |
| JP2008123490A (ja) | データストレージデバイス | |
| ES2753359T3 (es) | Sistema de mensajes no retenidos | |
| ES2973932T3 (es) | Sistema y procedimiento para registrar un usuario | |
| JP2011027917A (ja) | デジタル貸金庫システム及びサーバ | |
| ES2923116T3 (es) | Solución de gestión de identidades descentralizada | |
| JP2005165900A (ja) | 情報漏洩防止装置 | |
| JP2005018487A (ja) | 会議参加権配布方法及び会議システム | |
| ES2853574T3 (es) | Almacenamiento de memoria seguro | |
| JP2003091240A (ja) | 暗号化された情報の管理方法 | |
| Hughes | IEEE standards for encrypted storage | |
| JP2007306261A (ja) | データ送信システム | |
| JP6932157B2 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
| Usman et al. | Securing Data on Transmission from Man-In-The-Middle Attacks Using Diffie Hell-Man Key Exchange Encryption Mechanism | |
| Jain et al. | Innovative Security Technology for Kyc Documents Record Maintenance | |
| Yates | Security in Computer Controlled Information Systems | |
| JP2002123427A (ja) | コンピュータのアクセス制御システム |