ES2314564T3 - Sistema y metodo para borrar informacion confidencial. - Google Patents
Sistema y metodo para borrar informacion confidencial. Download PDFInfo
- Publication number
- ES2314564T3 ES2314564T3 ES05102622T ES05102622T ES2314564T3 ES 2314564 T3 ES2314564 T3 ES 2314564T3 ES 05102622 T ES05102622 T ES 05102622T ES 05102622 T ES05102622 T ES 05102622T ES 2314564 T3 ES2314564 T3 ES 2314564T3
- Authority
- ES
- Spain
- Prior art keywords
- communication link
- communication
- information
- time
- smart card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
Sistema (100) que comprende: un primer dispositivo (102) habilitado para la comunicación inalámbrica dispuesto para almacenar información confidencial en claro, en el que dicho primer dispositivo (102) es capaz de acceder a información sensible almacenada en un dispositivo de seguridad (103); y un segundo dispositivo (104, 106) habilitado para la comunicación inalámbrica dispuesto para almacenar dicha información confidencial con protección del contenido, en el que dicho sistema (100) está dispuesto para usar dicha información confidencial para asegurar un enlace de comunicación inalámbrico (108, 110) entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106), proporcionando dicho enlace a dicho segundo dispositivo (104, 106) el acceso a dicha información sensible, y en el que uno o los dos de entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106) están dispuestos para borrar dicha información confidencial una vez que se cumplan una o más condiciones relacionadas con dicho enlace de comunicación (108, 110), y en el que dichas una o más condiciones comprenden el que una señal inalámbrica recibida por dicho primer dispositivo (102) o dicho segundo dispositivo (104, 106) tenga una intensidad por debajo de un nivel predeterminado o por debajo de dicho nivel predeterminado durante al menos un primer periodo de tiempo predefinido, habiéndose originado dicha señal en el otro de entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106).
Description
Sistema y método para borrar información
confidencial.
En algunos dispositivos, la información
confidencial es almacenada usando protección del contenido, por
ejemplo, encriptada con una contraseña que el usuario del
dispositivo introduce mediante un interfaz de entrada de usuario.
Sin embargo, en otros dispositivos, por ejemplo los que carecen de
un interfaz de entrada de usuario adecuado, la información
confidencial puede ser almacenada sin ninguna protección, es decir,
de manera transparente o "en claro". Si este dispositivo es
robado, la información confidencial puede ser revelada mediante la
exploración de la memoria en la que se almacena la información
confidencial.
En general, la comunicación inalámbrica es
insegura y susceptible a ataques. Pueden emplearse técnicas
criptográficas para asegurar un enlace de comunicación inalámbrico.
En los sistemas con clave simétrica (conocidos también como
"sistemas de clave secreta"), una única clave criptográfica
común es almacenada por dos dispositivos de comunicación. En los
sistemas de clave pública (conocidos también como "sistemas de
pares público-privado"), cada dispositivo de
comunicación almacena su propia clave privada y distribuye
libremente su propia clave pública. Si la clave simétrica o una o
ambas claves privadas no se mantienen en secreto, la seguridad de la
comunicación entre ambos dispositivos se ve comprometida. Una
tercera parte hostil con conocimiento del secreto puede suplantar a
uno o a ambos dispositivos.
EP1398934 describe un sistema en el que una
lista de control de accesos es almacenada en un dispositivo de
comunicaciones servidor y se proporciona un mecanismo para almacenar
las listas de control de acceso individuales de una manera segura.
Una base de datos protegida puede ser implementada, por ejemplo,
almacenando datos en un circuito especial, proporcionando
protección basada en software, tal como encriptación,
autentificación, etcétera o una combinación de los mismos. Por lo
tanto, el dispositivo de comunicaciones servidor es capaz de
implementar la protección del contenido.
US2003/0174839 describe un sistema en el que
cada aplicación asignada en una región de memoria de una tarjeta de
circuito integrado (IC) es registrada en un directorio y la región
de memoria es gestionada en unidades de directorio. Un código de
identificación personal es fijado para cada aplicación y directorio,
y el derecho de acceso es controlado en unidades de aplicación o
unidades de directorio. Si se extravía un terminal móvil, el
derecho a acceder a cada aplicación en la tarjeta IC desaparece
automáticamente. Por lo tanto, el derecho a acceder a cada
aplicación asignada a la región de memoria en la tarjeta IC es
controlado eficazmente.
US6594759 describe un ordenador configurado para
autentificar un usuario a un sistema de transacción electrónica. El
ordenador incluye una unidad de procesamiento central y el firmware
de autorización electrónica dispuesto en el interior del ordenador
y en comunicación electrónica con la unidad de procesamiento
central. El firmware de autorización electrónica incluye un
circuito de memoria no volátil configurado para almacenar al menos
uno de entre una clave privada del usuario y los datos de
identificación del usuario y los datos de identificación del
firmware. El firmware de autorización electrónica incluye además un
circuito lógico de desencriptación dispuesto entre el circuito de
memoria no volátil y el sistema de transacción electrónica. El
circuito lógico de desencriptación está configurado para prevenir
el acceso no autorizado a al menos uno de entre la clave privada
del usuario y los datos de identificación del usuario en el circuito
de memoria no volátil.
En un aspecto principal, la presente invención
proporciona un sistema que comprende: un primer dispositivo
habilitado para la comunicación inalámbrica dispuesto para almacenar
información confidencial en claro, en el que dicho primer
dispositivo es capaz de acceder a la información sensible almacenada
en un dispositivo de seguridad; y un segundo dispositivo habilitado
para la comunicación inalámbrica dispuesto para almacenar dicha
información confidencial con protección del contenido, en el que
dicho sistema está dispuesto para usar dicha información
confidencial para asegurar un enlace de comunicación inalámbrica
entre dicho primer dispositivo y dicho segundo dispositivo,
proporcionando dicho enlace a dicho segundo dispositivo el acceso a
dicha información sensible; y en el que uno o los dos de entre
dicho primer dispositivo y dicho segundo dispositivo están dispuesto
para borrar dicha información confidencial cuando se cumplan una o
más condiciones relacionadas con dicho enlace de comunicación; y en
el que dichas una o más condiciones comprenden que una señal
inalámbrica recibida por dicho primer dispositivo o dicho segundo
dispositivo tenga una intensidad inferior a un nivel predeterminado
o que permanezca por debajo de dicho nivel predeterminado durante al
menos un periodo de tiempo predeterminado, habiéndose originado
dicha señal en el otro dispositivo de entre dicho primer dispositivo
y dicho segundo dispositivo. En otros aspectos, la presente
invención proporciona un procedimiento para ser implementado por el
sistema de la invención, un dispositivo que comprende una parte del
sistema y un medio legible por máquina que comprende medios de
codificación para hacer que dicho dispositivo implemente el
procedimiento de la invención.
Realizaciones de la invención se ilustran a modo
de ejemplo y de manera no limitativa en las figuras de los dibujos
adjuntos, en los que los números de referencia similares indican
elementos correspondientes, análogos o similares y en los que:
La Figura 1 es un diagrama esquemático de un
sistema ejemplar según algunas realizaciones de la invención; y
La Figura 2 es un diagrama de bloques de un
dispositivo ejemplar en el sistema de la Figura 1 según algunas
realizaciones de la invención.
Se apreciará que en aras de la simplicidad y
claridad de la ilustración, los elementos mostrados en las figuras
no se han dibujado necesariamente a escala. Por ejemplo, las
dimensiones de algunos de los elementos pueden estar exageradas en
relación a otros elementos por claridad.
En la descripción detallada siguiente, se
exponen numerosos detalles específicos con el fin de proporcionar
una comprensión plena de las realizaciones de la invención. Sin
embargo, las personas con conocimientos medios en la materia
entenderán que las realizaciones de la invención pueden realizarse
sin estos detalles específicos. En otros ejemplos, no se han
descrito en detalle métodos, procedimientos, componentes y circuitos
bien conocidos con el fin de no complicar las realizaciones de la
invención.
La Figura 1 es un diagrama esquemático de un
sistema ejemplar, según algunas realizaciones de la invención. Un
sistema 100 incluye un lector de tarjetas inteligentes 102
habilitado para la comunicación inalámbrica, un dispositivo móvil
104 habilitado para la comunicación inalámbrica y un ordenador
personal 106 habilitado para la comunicación inalámbrica. Se
muestra una tarjeta inteligente 103 insertada en el lector de
tarjetas inteligentes 102.
El lector de tarjetas inteligentes 102 y el
dispositivo móvil 104 puede comunicarse mediante un enlace de
comunicación inalámbrico 108, y el lector de tarjetas inteligentes
102 y el ordenador personal 106 pueden comunicarse mediante un
enlace de comunicación inalámbrico 110. En esta descripción y en las
reivindicaciones, un enlace de comunicación inalámbrico puede
incluir una o más partes cableadas y/o una o más partes ópticas.
Tal como se muestra en la Figura 1, los enlaces de comunicación 108
y 110 son enlaces de comunicación inalámbricos, por ejemplo enlaces
de comunicación Bluetooth®.
Además, el enlace de comunicación 108 puede ser
un enlace de comunicación directo entre el lector de tarjetas
inteligentes 102 y el dispositivo móvil 104 o puede incluir
cualquier combinación de dispositivos de comunicación adicionales
(no mostrados) tales como puertas de enlace, enrutadores,
conmutadores y similares. Similarmente, el enlace de comunicación
110 puede ser un enlace de comunicación directo entre el lector de
tarjetas inteligentes 102 y el ordenador personal 106 o puede
incluir cualquier combinación de dispositivos de comunicación
adicionales (no mostrados) tales como puertas de enlace,
enrutadores, conmutadores y similares. Los enlaces de comunicación
108 y 110 pueden ser accesibles para otros dispositivos y pueden ser
susceptibles a intrusiones y ataques no deseados.
Las tarjetas inteligentes son dispositivos de
seguridad personalizados, definidos por el estándar ISO7816 y sus
derivados, publicados por la Organización Internacional para la
Estandarización. Una tarjeta inteligente puede tener el factor de
forma de una tarjeta de crédito y puede incluir un dispositivo
semiconductor. El dispositivo semiconductor puede incluir una
memoria que puede ser programada con una clave secreta y con un
certificado de autentificación y puede incluir un motor de
desencriptación, por ejemplo, un procesador y/o lógica de
desencriptación dedicada. Una tarjeta inteligente puede incluir un
conector para alimentar el dispositivo semiconductor y realizar una
comunicación serie con un dispositivo externo. Alternativamente, la
funcionalidad de la tarjeta inteligente puede ser incluida en un
dispositivo que tiene un factor de forma diferente y un protocolo
de comunicación diferente, por ejemplo un dispositivo Bus Serie
Universal (USB).
La persona cuya información de seguridad está
almacenada en la tarjeta inteligente 103 puede usar un lector de
tarjetas inteligentes 102 para la identificación y para firmar
digitalmente y/o desencriptar los mensajes enviados por el
dispositivo móvil 104.
Por ejemplo, el dispositivo móvil 104 puede ser
capaz de enviar y recibir mensajes de correo electrónico mediante
un servidor de correo electrónico (no representado). Si, por
ejemplo, se usa el protocolo Extensiones Seguras Multipropósito al
Correo de Internet (S/MIME), los mensajes de correo electrónico
recibidos en el dispositivo móvil 104 son encriptados usando un
algoritmo simétrico con un clave de sesión aleatoria generada por el
emisor del mensaje de correo electrónico. El mensaje de correo
electrónico incluye también la clave de sesión, encriptada usando
la clave pública del destinatario. Tras la recepción de un mensaje
de correo electrónico encriptado, el dispositivo móvil 104 puede
extraer la clave de la sesión encriptada y enviarla al lector de
tarjetas inteligentes 102 mediante el enlace de comunicación 108.
El lector de tarjetas inteligentes 102 puede enviar la clave de
sesión encriptada a la tarjeta inteligente 103, y el motor de
desencriptación de la tarjeta inteligente 103 puede desencriptar la
clave de sesión encriptada usando la clave de desencriptación
privada del destinatario, que está almacenada en la tarjeta
inteligente 103. El lector de tarjetas inteligentes 102 puede
recuperar la clave de sesión desencriptada de la tarjeta
inteligente 103 y reenviarla al dispositivo móvil 104 mediante el
enlace de comunicación 108 de manera que el dispositivo móvil 104
puede desencriptar el mensaje de correo electrónico recibido. La
tarjeta inteligente 103 puede prevenir el uso no autorizado de la
clave de desencriptación privada del destinatario mediante el
requerimiento de que se suministre una contraseña o número de
identificación personal (PIN) antes de permitir que se proceda a la
operación de desencriptación.
Similarmente, para añadir una firma digital a un
mensaje de correo electrónico que es enviado por el dispositivo
móvil 104, el dispositivo móvil 104 puede enviar un hash de los
contenidos del mensaje de correo electrónico al lector de tarjetas
inteligentes 102 sobre el enlace de comunicación 108. El lector de
tarjetas inteligentes 102 puede pasar el hash a la tarjeta
inteligente 103, que puede producir una firma digital a partir del
hash y la clave de firma privada del remitente, que está almacenada
en la tarjeta inteligente 103. A continuación, la tarjeta
inteligente 103 puede pasar la firma digital al lector de tarjetas
inteligentes 102, que puede reenviarla al dispositivo móvil 104
mediante el enlace de comunicación 108 de manera que el dispositivo
móvil 104 puede transmitirla junto con el mensaje de correo
electrónico al servidor de correo electrónico. De nuevo, la tarjeta
inteligente 103 puede prevenir el uso no autorizado de la clave de
firma privada del destinatario requiriendo que se suministre una
contraseña o PIN antes de permitir que se proceda a la operación de
firmado.
La clave de sesión no encriptada debería
enviarse de manera segura sobre el enlace de comunicación 108 desde
el lector de tarjetas inteligentes 102 al dispositivo móvil 104 para
prevenir que una tercera parte recupere la clave de sesión del
enlace de comunicación 108. Similarmente, el hash a firmar debería
ser enviado autentificado sobre el enlace de comunicación 108 desde
el lector de tarjetas inteligentes 102 al dispositivo móvil 104
para prevenir que una tercera parte modifique el hash y haga de esta
manera que la tarjeta inteligente 103 produzca una firma usando un
hash diferente del hash del mensaje deseado.
El lector de tarjetas inteligentes 102 y el
dispositivo móvil 104 pueden almacenar cada uno una clave simétrica
común y usar un algoritmo simétrico para asegurar las comunicaciones
sobre el enlace de comunicación 108. Alternativamente, el lector de
tarjetas inteligentes 102 y el dispositivo móvil 104 pueden
almacenar sus propias claves privadas y cada uno las claves
públicas del otro y usar un algoritmo simétrico para asegurar las
comunicaciones sobre el enlace de comunicación 108. Si el lector de
tarjetas inteligentes 102 carece de medios para implementar la
protección del contenido, entonces un secreto (la clave simétrica
compartida por el dispositivo móvil 104 y el lector de tarjetas
inteligentes 102 o la clave privada del lector de tarjetas
inteligentes 102) puede almacenarse en claro en el lector de
tarjetas inteligentes 102.
La persona cuya información de seguridad es
almacenada en la tarjeta inteligente 103 puede desear firmar
digitalmente un correo electrónico saliente enviado desde el
ordenador personal 106 o desencriptar un correo electrónico
encriptado entrante recibido en el ordenador personal 106. Esto
requerirá que el ordenador personal 106 se comunique con el lector
de tarjetas inteligentes 102 de manera muy similar a como el
dispositivo móvil 104 se comunica con el lector de tarjetas
inteligentes 102 tal como se ha descrito anteriormente. Para este
propósito, o para otras medidas relacionadas con la seguridad (por
ejemplo, para permitir que la persona use el ordenador personal
106), deberá asegurarse el enlace de comunicación 110 entre el
ordenador personal 106 y el lector de tarjetas inteligentes
102.
102.
El lector de tarjetas inteligentes 102 y el
ordenador personal 106 pueden almacenar cada uno de ellos una clave
simétrica común y usar un algoritmo simétrico para asegurar las
comunicaciones sobre el enlace de comunicación 110.
Alternativamente, el lector de tarjetas inteligentes 102 y el
ordenador personal 106 pueden almacenar sus propias claves privadas
y cada uno las claves públicas del otro y usar un algoritmo
asimétrico para asegurar las comunicaciones sobre el enlace de
comunicación 110. Si el lector de tarjetas inteligentes 102 carece
de medios para implementar la protección del contenido, entonces un
secreto (la clave simétrica compartida por el ordenador personal
106 y el lector de tarjetas inteligentes 102 o la clave privada del
lector de tarjetas inteligentes 102) puede almacenarse en claro en
el lector de tarjetas inteligentes 102.
Cualquier secreto almacenado en claro en el
lector de tarjetas inteligentes 102 es vulnerable al descubrimiento
si el lector de tarjetas inteligentes 102 es robado y su memoria es
explorada. Según algunas realizaciones de la invención, un secreto
usado para asegurar las comunicaciones inalámbricas entre dos
dispositivos, al menos uno de los cuales almacena en claro el
secreto (por ejemplo, el lector de tarjetas inteligentes 102), es
borrado cada cierto tiempo. Es suficiente borrar el secreto de uno
de los dos dispositivos para deshabilitar las comunicaciones
seguras entre los dos dispositivos. Con el fin de reanudar las
comunicaciones seguras, deberá establecerse un nuevo secreto y en
el caso de una clave simétrica, éste deberá ser compartido de manera
segura entre los dos dispositivos.
Si el secreto es borrado demasiado
frecuentemente, esto genera una molestia para el usuario legítimo de
los dos dispositivos para establecer y compartir un nuevo secreto.
Pero si el secreto es borrado demasiado infrecuentemente, la
seguridad puede verse considerablemente comprometida si el
dispositivo que almacena el secreto en claro es robado, el secreto
es expuesto y el tráfico sobre el enlace de comunicaciones es
interceptado o falsificado.
La siguiente es una lista no exhaustiva de
ejemplos de normas relacionadas con el momento en el que el secreto
es borrado. Para que el secreto sea borrado, debería cumplirse la
condición incluida en la norma. Si una combinación de dos o más
normas está en vigor, entonces es generalmente suficiente que una de
las condiciones se cumpla para que el secreto sea borrado.
(1) Tiempo límite general. El secreto puede ser
borrado una vez que ha transcurrido un periodo de tiempo
predefinido, por ejemplo, 24 horas desde que el secreto fue
generado.
(2) Inactividad del dispositivo. El secreto
puede ser borrado una vez que ha transcurrido un periodo de tiempo
predefinido desde la última comunicación entre el dispositivo móvil
y el dispositivo que almacena el secreto en claro (por ejemplo, el
lector de tarjetas inteligentes 102) y el otro dispositivo (por
ejemplo, el dispositivo móvil 104 o el ordenador personal 106),
incluso cuando el enlace de comunicación (por ejemplo, el enlace de
comunicación 108 o 110) entre el dispositivo que almacena el secreto
en claro y el otro dispositivo permanece habilitado. Los valores
ejemplares para este periodo de tiempo predefinido son 8 horas para
el dispositivo móvil 104 y 24 horas para el ordenador personal
106.
En estos dos casos anteriores, si el dispositivo
que almacena el secreto en claro es robado, el ladrón tiene un
tiempo inferior al periodo de tiempo predefinido para realizar el
ataque antes de que el secreto sea borrado.
(3) Pérdida de conexión sobre el enlace de
comunicación. El secreto puede ser borrado una vez que ha
transcurrido un periodo de tiempo predefinido desde la pérdida de
conectividad sobre el enlace de comunicación (por ejemplo, el
enlace de comunicación 108 o 110) entre el dispositivo que almacena
el secreto en claro (por ejemplo, el lector de tarjetas
inteligentes 102) y el otro dispositivo (por ejemplo, el dispositivo
móvil 104 o el ordenador personal 106). Los valores ejemplares para
este periodo de tiempo predefinido son 5 minutos para el dispositivo
móvil 104 y 24 horas para el ordenador personal 106.
En este caso anterior, si el dispositivo que
almacena el secreto en claro es robado, el ladrón tiene un tiempo
inferior al periodo de tiempo predefinido para realizar un ataque
antes de que el secreto sea borrado y el ataque debe tener lugar
con el dispositivo que almacena el secreto en claro dentro del
alcance del otro dispositivo.
Alternativamente, el secreto puede ser borrado
cuando hay una pérdida de conectividad sobre el enlace de
comunicación entre el dispositivo que almacena el secreto en claro
y el otro dispositivo.
(4) Disminución de la intensidad de la señal. El
secreto puede ser borrado una vez que la intensidad de una señal
inalámbrica recibida por el dispositivo que almacena el secreto en
claro (por ejemplo el lector de tarjetas inteligentes 102) cae por
debajo de un nivel predeterminado, donde la señal se origina en el
otro dispositivo (por ejemplo, el dispositivo móvil 104 o el
ordenador personal 106). Alternativamente, el secreto puede ser
borrado una vez que la intensidad recibida de una señal inalámbrica
con origen en el dispositivo que almacena el secreto en claro (por
ejemplo, el lector de tarjetas inteligentes 102) y recibida en el
otro dispositivo (por ejemplo, el dispositivo móvil 104 u ordenador
personal 106) cae por debajo de un nivel predeterminado.
Alternativamente, el secreto puede ser borrado una vez que la
intensidad de la señal inalámbrica recibida permanece por debajo
del nivel predeterminado durante un periodo de tiempo
predefinido.
(5) Número de transacciones. El secreto puede
ser borrado una vez que han ocurrido un número predefinido de
transacciones, por ejemplo 100, entre el dispositivo que almacena el
secreto en claro (por ejemplo, el lector de tarjetas inteligentes
102) y el otro dispositivo. Una lista no exhaustiva de ejemplos de
transacciones incluye la desencriptación de un correo electrónico,
firma de un mensaje y desbloqueo de otro dispositivo. Por ejemplo,
un valor 0 implicaría sin límite. En este caso, si el dispositivo
que almacena el secreto en claro es robado, el ladrón tiene acceso
sólo a una cantidad limitada de datos encriptados con el
secreto.
En cada una de estas normas anteriores, el
secreto puede ser borrado en cualquiera de los dos dispositivos o
en ambos. Además, las normas podrían aplicarse separadamente y con
diferentes caracteres restrictivos en las condiciones a dos o más
secretos de diferente confidencialidad que están almacenados en los
dispositivos. Por ejemplo, el periodo de tiempo predefinido podría
ser más corto para una clave de mayor confidencialidad que para una
clave con menor confidencialidad. En otro ejemplo, el nivel
predefinido para la intensidad de la señal podría ser mayor para
una clave de mayor confidencialidad que para una clave de menor
confidencialidad. En un ejemplo adicional, el número de
transacciones podría ser inferior para una clave de encriptación que
para la información del propietario.
(6) Tiempo límite de retirada de la tarjeta
inteligente. El secreto puede ser borrado una vez transcurrido un
periodo de tiempo predefinido, por ejemplo, 5 minutos, desde la
retirada de la tarjeta inteligente 103 del lector de tarjetas
inteligentes 102. En este caso, si el usuario legítimo retira la
tarjeta inteligente 103 del lector de tarjetas inteligentes 102
para usar la tarjeta inteligente 103 en otro sitio, un ladrón que
roba el lector de tarjetas inteligentes 102 "vacío" tiene un
tiempo inferior al periodo de tiempo predefinido para realizar un
ataque antes de que el secreto sea borrado. El periodo de tiempo
predefinido puede ser cero. El secreto puede ser borrado en el
lector de tarjetas inteligentes 102 y también en el otro dispositivo
una vez que el lector de tarjetas inteligentes 102 informa al otro
dispositivo de la retirada de la tarjeta inteligente 103, si se
desea.
En cada una de las normas anteriores que tienen
un periodo de tiempo predefinido, el periodo de tiempo predefinido
puede ser configurado por el usuario en el dispositivo móvil o en el
dispositivo estacionario y puede ser transferido al dispositivo que
almacena el secreto en claro, o el periodo de tiempo predefinido
puede ser fijado como una política de Tecnología de la Información
(IT) en una organización. Similarmente, el número predefinido de
transacciones puede ser configurado por el usuario en el dispositivo
móvil o en el dispositivo estacionario y puede ser transferido al
dispositivo que almacena el secreto en claro, o el número
predefinido de transacciones puede ser fijado como una política IT
en una organización.
La Figura 2 es un diagrama de bloques de un
dispositivo ejemplar 200 según algunas realizaciones de la
invención. Una lista no exhaustiva de ejemplos para el dispositivo
200 incluye un teléfono celular, un asistente personal digital
(PDA), un cliente de correo electrónico (Email), un dispositivo de
juegos, un ordenador portátil, un ordenador agenda, un ordenador de
sobremesa, un ordenador servidor y cualquier otro aparato adecuado.
El dispositivo 200 puede ser un dispositivo móvil tal como un
dispositivo móvil 104 o un ordenador personal tal como un ordenador
personal 106 o puede incluir la funcionalidad del lector de tarjetas
inteligentes, tal como la del lector de tarjetas inteligentes
102.
El dispositivo 200 incluye una antena 202. Una
lista no exhaustiva de ejemplos para la antena 200 incluye una
antena dipolo, una antena monopolo, un antena cerámica multicapa,
una antena plana F invertida, una antena de bucle, una antena de
tipo "shot", una antena dual, una antena omnidireccional y
cualquier otra antena adecuada.
El dispositivo 200 incluye un interfaz de
comunicación 204 que incluye una radio 203 acoplada a la antena
202. Una lista no exhaustiva de ejemplos de los estándares de
comunicación inalámbrica con los que el interfaz de comunicación
204 es compatible incluye las especificaciones Instituto de
Ingenieros Eléctricos y Electrónicos (IEEE) para LAN MAC
inalámbricas y Nivel Físico (PHY) 802.11 a, b, g y n o los
estándares futuros relacionados, el estándar Bluetooth®, el
estándar Zigbee^{TM} y similares.
El dispositivo 200 incluye también un procesador
206 acoplado al interfaz de comunicación 204. El dispositivo 200
incluye también una memoria 208, que puede estar fijada al
dispositivo 200 o puede ser extraíble. La memoria 208 puede estar
acoplada al procesador 206 o estar incluida parcialmente en el
procesador 206. El interfaz de comunicación 204 y el procesador 206
pueden ser parte del mismo circuito integrado o pueden estar en
circuitos integrados separados. Similarmente, el procesador 206 y
la memoria 208 pueden ser parte del mismo circuito integrado o
pueden estar en circuitos integrados separados.
Una lista no exhaustiva de ejemplos para el
procesador 206 incluye una unidad de procesamiento central (CPU),
un procesador de señal digital (DSP), un ordenador de conjunto de
instrucciones reducido (RISC), un ordenador de conjunto de
instrucciones complejo (CISC) y similares. Además, el procesador 206
puede ser parte de un circuito integrado de aplicación específica
(ASIC) o puede ser parte de un producto estándar de aplicación
específica (ASSP).
Una lista no exhaustiva de ejemplos para la
memoria 208 incluye cualquier combinación de los siguientes:
- a)
- dispositivos semiconductores tales como registros, latches, memorias de sólo lectura (ROM), máscara ROM, dispositivos de memoria de sólo lectura programables y borrables eléctricamente (EEPROM), dispositivos de memoria flash, dispositivos de memoria de acceso aleatorio no volátiles (NVRAM), dispositivos de memoria de acceso aleatorio dinámica síncrona (SDRAM), dispositivos de memoria de acceso aleatorio dinámica RAMBUS (RDRAM), dispositivos de memoria de doble velocidad de datos (DDR), memoria de acceso aleatorio estática (SRAM), memoria extraíble de bus serie universal (USB) y similares;
- b)
- dispositivos ópticos, tales como un disco compacto con memoria de sólo lectura (CD ROM) y similares; y
- c)
- dispositivos magnéticos, tales como un disco duro, un disco flexible, una cinta magnética y similares.
La memoria 208 puede almacenar información
confidencial que es usada para asegurar un enlace de comunicación
mediante un interfaz de comunicación 204 a otro dispositivo que
almacena también la información confidencial. Al menos uno de entre
el dispositivo 204 y el otro dispositivo almacena la información
confidencial en claro.
La memoria 208 puede almacenar un código
ejecutable 210 que, cuando es ejecutado por el procesador 206,
determina la información confidencial del dispositivo 200 una vez
que se cumplen una o más condiciones relacionadas con el enlace de
comunicación a asegurar mediante el uso de la información
confidencial. Una lista no exhaustiva de ejemplos de las normas
relacionadas con el momento en el que la información confidencial es
borrada se ha indicado anteriormente.
Aunque en esta memoria se han descrito e
ilustrado ciertas características de la invención, a las personas
con conocimientos medios en la materia se les ocurrirán ahora muchas
modificaciones, sustituciones, cambios y equivalentes. Por lo
tanto, debe entenderse que las reivindicaciones adjuntas pretenden
abarcar la totalidad de aquellas modificaciones y cambios que
caigan dentro del espíritu de la invención.
Claims (14)
1. Sistema (100) que comprende:
- un primer dispositivo (102) habilitado para la comunicación inalámbrica dispuesto para almacenar información confidencial en claro, en el que dicho primer dispositivo (102) es capaz de acceder a información sensible almacenada en un dispositivo de seguridad (103); y
- un segundo dispositivo (104, 106) habilitado para la comunicación inalámbrica dispuesto para almacenar dicha información confidencial con protección del contenido,
- en el que dicho sistema (100) está dispuesto para usar dicha información confidencial para asegurar un enlace de comunicación inalámbrico (108, 110) entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106), proporcionando dicho enlace a dicho segundo dispositivo (104, 106) el acceso a dicha información sensible, y en el que uno o los dos de entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106) están dispuestos para borrar dicha información confidencial una vez que se cumplan una o más condiciones relacionadas con dicho enlace de comunicación (108, 110), y
- en el que dichas una o más condiciones comprenden el que una señal inalámbrica recibida por dicho primer dispositivo (102) o dicho segundo dispositivo (104, 106) tenga una intensidad por debajo de un nivel predeterminado o por debajo de dicho nivel predeterminado durante al menos un primer periodo de tiempo predefinido, habiéndose originado dicha señal en el otro de entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106).
2. Sistema (100) según la reivindicación 1 en el
que dichas una o más condiciones comprenden:
- una falta de comunicación entre dicho primer dispositivo (102) y dicho segundo dispositivo (104) sobre dicho enlace de comunicación (108, 110) durante al menos un segundo periodo de tiempo predefinido y/o
- una pérdida de conectividad sobre dicho enlace de comunicación (108, 110) y/o
- una pérdida de conectividad sobre dicho enlace de comunicación (108, 110) durante al menos un tercer periodo de tiempo predefinido, y/o
- que un número de transacciones sobre dicho enlace de comunicación (108, 110) ha excedido un número predefinido.
3. Sistema (100) según la reivindicación 1 o la
reivindicación 2 en el que dicho dispositivo de seguridad (103) es
una tarjeta inteligente (103) y dicho primer dispositivo (102)
comprende la funcionalidad de un lector de tarjetas
inteligentes.
4. Sistema (100) según la reivindicación 3 en el
que dichas una o más condiciones comprenden
- la retirada de dicha tarjeta inteligente (103) de dicho primer dispositivo (102), o
- la retirada de dicha tarjeta inteligente (103) de dicho primer dispositivo (102) durante al menos un cuarto periodo de tiempo predefinido.
5. Sistema (100) según cualquiera de las
reivindicaciones 1 a 4 en el que dicho enlace de comunicación (108,
110) es un enlace Bluetooth®.
6. Primer dispositivo (200) capaz de acceder a
información sensible almacenada en un dispositivo de seguridad
(103), comprendiendo el primer dispositivo (200):
- un interfaz de comunicación (204) compatible con un estándar de comunicación inalámbrica;
- un procesador (206), y
- una memoria (208) capaz de almacenar información confidencial que ha de ser usada para asegurar un enlace de comunicación inalámbrico desde dicho primer dispositivo (200) a un segundo dispositivo que almacena dicha información confidencial, en el que dicho enlace es usado por dicho segundo dispositivo para ganar acceso a dicha información sensible mediante dicho primer dispositivo,
- en el que dicha memoria (208) está dispuesta para almacenar dicha información confidencial en claro,
\newpage
- en el que dicha memoria (208) está dispuesta para almacenar medios de código ejecutable (210) que, cuando son ejecutados por dicho procesador (206), borran dicha información confidencial de dicho primer dispositivo (200) una vez que se cumplan una o más condiciones relacionadas con dicho enlace de comunicación, y
- en el que dichas una o más condiciones comprenden que una señal inalámbrica recibida por dicho primer dispositivo (102) o dicho segundo dispositivo (104, 106) tenga una intensidad por debajo de un nivel predeterminado o por debajo de dicho nivel predeterminado durante al menos un primer periodo de tiempo predefinido, habiéndose originado dicha señal en el otro de entre dicho primer dispositivo (102) o dicho segundo dispositivo (104, 106).
7. Primer dispositivo (200) según la
reivindicación 6 en el que dichas una o más condiciones
comprenden:
- una falta de comunicación entre dicho primer dispositivo (200) y dicho segundo dispositivo sobre dicho enlace de comunicación durante al menos un segundo periodo de tiempo predefinido, y/o
- una pérdida de conectividad sobre dicho enlace de comunicación y/o una pérdida de conectividad sobre dicho enlace de comunicación durante al menos un tercer periodo de tiempo predefinido y/o
- que un número de transacciones sobre dicho enlace de comunicación ha excedido un número predefinido.
8. Primer dispositivo (200) según la
reivindicación 6 o la reivindicación 7 en el que dicho primer
dispositivo (200) comprende la funcionalidad de un lector de
tarjetas inteligentes.
9. Primer dispositivo (200) según cualquiera de
las reivindicaciones 6 a 8 en el que dichas una o más condiciones
comprenden
- desacoplar dicho dispositivo de seguridad (103) de dicho primer dispositivo (200) o
- desacoplar dicho dispositivo de seguridad (103) de dicho primer dispositivo (200) durante al menos un cuarto periodo de tiempo predefinido.
10. Primer dispositivo (200) según cualquiera de
las reivindicaciones 6 a 9 en el que dicho estándar de comunicación
es el estándar Bluetooth®.
11. Procedimiento que comprende:
- borrar información confidencial de uno o de ambos de entre un primer dispositivo (102) habilitado para la comunicación inalámbrica y un segundo dispositivo (104, 106) habilitado para la comunicación inalámbrica una vez que se cumplan una o más condiciones relacionadas con un enlace de comunicación inalámbrico (108, 110) entre dicho primer dispositivo (102) y dicho segundo dispositivo (105, 106) para asegurar el cual se usa dicha información confidencial,
- en el que dichas una o más condiciones comprenden que una señal inalámbrica recibida por dicho primer dispositivo (102) o dicho segundo dispositivo (104, 106) tenga una intensidad por debajo de un nivel predeterminado o por debajo de dicho nivel predeterminado durante al menos un primer periodo de tiempo predefinido, habiéndose originado dicha señal en el otro de entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106),
- en el que dicho primer dispositivo (102) almacena dicha información confidencial en claro y dicho primer dispositivo (102) es capaz de acceder a información sensible almacenada en un dispositivo de seguridad (103) y
- en el que dicho segundo dispositivo (104, 106) usa dicho enlace (108, 110) cuando está asegurado mediante dicha información confidencial para acceder a dicha información sensible.
12. Procedimiento según la reivindicación 11 en
el que dichas una o más condiciones comprenden:
- una falta de comunicación entre dicho primer dispositivo (102) y dicho segundo dispositivo (104) sobre dicho enlace de comunicación (108, 110) durante al menos un segundo periodo de tiempo predefinido y/o
- una pérdida de conectividad sobre dicho enlace de comunicación (108, 110) y/o
- una pérdida de conectividad sobre dicho enlace de comunicación (108, 110) durante al menos un tercer periodo de tiempo predefinido y/o
- que un número de transacciones sobre dicho enlace de comunicación (108, 110) ha excedido un número predefinido.
13. Procedimiento según la reivindicación 11 o
la reivindicación 12 en el que dicho primer dispositivo (102)
comprende la funcionalidad de un lector de tarjetas inteligentes y
dicho dispositivo de seguridad (103) es una tarjeta inteligente
(103), y dichas una o más condiciones comprenden
- la retirada de dicha tarjeta inteligente (103) de dicho primer dispositivo (102) o
- la retirada de dicha tarjeta inteligente (103) de dicho primer dispositivo (102) durante al menos un cuarto periodo de tiempo predefinido.
14. Medio legible por máquina (208) que
comprende medios de código ejecutable (210) que, cuando son
ejecutados por un procesador (206) del dispositivo (200) según
cualquiera de las reivindicaciones 6 a 10, hacen que dicho
dispositivo (200) implemente el procedimiento según cualquiera de
las reivindicaciones 11 a 13.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP05102622A EP1710970B1 (en) | 2005-04-04 | 2005-04-04 | System and Method for Deleting Confidential Information |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2314564T3 true ES2314564T3 (es) | 2009-03-16 |
Family
ID=34939116
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES05102622T Active ES2314564T3 (es) | 2005-04-04 | 2005-04-04 | Sistema y metodo para borrar informacion confidencial. |
Country Status (6)
Country | Link |
---|---|
EP (1) | EP1710970B1 (es) |
AT (1) | ATE410872T1 (es) |
CA (1) | CA2539405C (es) |
DE (1) | DE602005010209D1 (es) |
ES (1) | ES2314564T3 (es) |
HK (1) | HK1089895A1 (es) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2982724B1 (fr) * | 2011-11-15 | 2013-12-20 | Oberthur Technologies | Communication securisee |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ATE221677T1 (de) * | 1996-02-09 | 2002-08-15 | Digital Privacy Inc | Zugriffssteuerungs/verschlüsselungssystem |
US5917913A (en) * | 1996-12-04 | 1999-06-29 | Wang; Ynjiun Paul | Portable electronic authorization devices and methods therefor |
DE19947574A1 (de) * | 1999-10-01 | 2001-04-12 | Giesecke & Devrient Gmbh | Verfahren zur Sicherung eines Datenspeichers |
DE60226978D1 (de) * | 2001-06-27 | 2008-07-17 | Sony Corp | Integrierte schaltungseinrichtung, informationsverarbeitungseinrichtung, informationsaufzeichnungseinrichtungsspeicher-verwaltungsverfahren, mobilendgeräteeinrichtung, integrierte halbleiterschaltungseinrichtung und kommunikationsverfahren mit tragbarem endgerät |
DE60238288D1 (de) * | 2002-09-16 | 2010-12-23 | Ericsson Telefon Ab L M | Sicherer Zugang auf ein Teilnehmermodul |
-
2005
- 2005-04-04 AT AT05102622T patent/ATE410872T1/de not_active IP Right Cessation
- 2005-04-04 EP EP05102622A patent/EP1710970B1/en active Active
- 2005-04-04 ES ES05102622T patent/ES2314564T3/es active Active
- 2005-04-04 DE DE602005010209T patent/DE602005010209D1/de active Active
-
2006
- 2006-03-13 CA CA2539405A patent/CA2539405C/en active Active
- 2006-10-24 HK HK06111713A patent/HK1089895A1/xx unknown
Also Published As
Publication number | Publication date |
---|---|
ATE410872T1 (de) | 2008-10-15 |
CA2539405A1 (en) | 2006-10-04 |
EP1710970B1 (en) | 2008-10-08 |
DE602005010209D1 (de) | 2008-11-20 |
CA2539405C (en) | 2011-07-19 |
HK1089895A1 (en) | 2006-12-08 |
EP1710970A1 (en) | 2006-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8328093B2 (en) | Controlling connectivity of a wireless smart card reader | |
US8024809B2 (en) | System and method for deleting confidential information | |
US7792290B2 (en) | Gathering randomness in a wireless smart card reader | |
ES2904501T3 (es) | Implementación de un almacenamiento seguro con protección de integridad | |
ES2254706T3 (es) | Metodo y sistema para procesar informacion en un dispositivo electronico. | |
US20060225126A1 (en) | Securely using a display to exchange information | |
US20060218397A1 (en) | Apparatus and methods for sharing cryptography information | |
US9143323B2 (en) | Securing a link between two devices | |
CA2539660C (en) | Securely using a display to exchange information | |
ES2880693T3 (es) | Métodos y sistemas para transferir datos de forma segura | |
EP1713205B1 (en) | Controlling connectivity of a wireless smart card reader | |
ES2400165T3 (es) | Procedimiento para proporcionar un acceso controlado a una tarjeta de memoria y tarjeta de memoria | |
JP5260908B2 (ja) | 制御装置、通信装置、制御システム、制御方法及び制御プログラム | |
ES2401358T3 (es) | Procedimiento y terminal para proporcionar acceso controlado a una tarjeta de memoria | |
CA2539658C (en) | Securing a link between devices | |
ES2314564T3 (es) | Sistema y metodo para borrar informacion confidencial. | |
CN101094073B (zh) | 双因素内容保护 | |
CA2541277C (en) | Gathering randomness in a wireless smart card reader | |
EP1705854A1 (en) | Method and apparatus for sharing cryptographic information in a mobile communication system |