ES2314564T3 - Sistema y metodo para borrar informacion confidencial. - Google Patents

Sistema y metodo para borrar informacion confidencial. Download PDF

Info

Publication number
ES2314564T3
ES2314564T3 ES05102622T ES05102622T ES2314564T3 ES 2314564 T3 ES2314564 T3 ES 2314564T3 ES 05102622 T ES05102622 T ES 05102622T ES 05102622 T ES05102622 T ES 05102622T ES 2314564 T3 ES2314564 T3 ES 2314564T3
Authority
ES
Spain
Prior art keywords
communication link
communication
information
time
smart card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES05102622T
Other languages
English (en)
Inventor
Neil Adams
Michael S Brown
Michael K Brown
Herb Little
Scott Totzke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BlackBerry Ltd
Original Assignee
Research in Motion Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Research in Motion Ltd filed Critical Research in Motion Ltd
Application granted granted Critical
Publication of ES2314564T3 publication Critical patent/ES2314564T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Sistema (100) que comprende: un primer dispositivo (102) habilitado para la comunicación inalámbrica dispuesto para almacenar información confidencial en claro, en el que dicho primer dispositivo (102) es capaz de acceder a información sensible almacenada en un dispositivo de seguridad (103); y un segundo dispositivo (104, 106) habilitado para la comunicación inalámbrica dispuesto para almacenar dicha información confidencial con protección del contenido, en el que dicho sistema (100) está dispuesto para usar dicha información confidencial para asegurar un enlace de comunicación inalámbrico (108, 110) entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106), proporcionando dicho enlace a dicho segundo dispositivo (104, 106) el acceso a dicha información sensible, y en el que uno o los dos de entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106) están dispuestos para borrar dicha información confidencial una vez que se cumplan una o más condiciones relacionadas con dicho enlace de comunicación (108, 110), y en el que dichas una o más condiciones comprenden el que una señal inalámbrica recibida por dicho primer dispositivo (102) o dicho segundo dispositivo (104, 106) tenga una intensidad por debajo de un nivel predeterminado o por debajo de dicho nivel predeterminado durante al menos un primer periodo de tiempo predefinido, habiéndose originado dicha señal en el otro de entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106).

Description

Sistema y método para borrar información confidencial.
En algunos dispositivos, la información confidencial es almacenada usando protección del contenido, por ejemplo, encriptada con una contraseña que el usuario del dispositivo introduce mediante un interfaz de entrada de usuario. Sin embargo, en otros dispositivos, por ejemplo los que carecen de un interfaz de entrada de usuario adecuado, la información confidencial puede ser almacenada sin ninguna protección, es decir, de manera transparente o "en claro". Si este dispositivo es robado, la información confidencial puede ser revelada mediante la exploración de la memoria en la que se almacena la información confidencial.
En general, la comunicación inalámbrica es insegura y susceptible a ataques. Pueden emplearse técnicas criptográficas para asegurar un enlace de comunicación inalámbrico. En los sistemas con clave simétrica (conocidos también como "sistemas de clave secreta"), una única clave criptográfica común es almacenada por dos dispositivos de comunicación. En los sistemas de clave pública (conocidos también como "sistemas de pares público-privado"), cada dispositivo de comunicación almacena su propia clave privada y distribuye libremente su propia clave pública. Si la clave simétrica o una o ambas claves privadas no se mantienen en secreto, la seguridad de la comunicación entre ambos dispositivos se ve comprometida. Una tercera parte hostil con conocimiento del secreto puede suplantar a uno o a ambos dispositivos.
EP1398934 describe un sistema en el que una lista de control de accesos es almacenada en un dispositivo de comunicaciones servidor y se proporciona un mecanismo para almacenar las listas de control de acceso individuales de una manera segura. Una base de datos protegida puede ser implementada, por ejemplo, almacenando datos en un circuito especial, proporcionando protección basada en software, tal como encriptación, autentificación, etcétera o una combinación de los mismos. Por lo tanto, el dispositivo de comunicaciones servidor es capaz de implementar la protección del contenido.
US2003/0174839 describe un sistema en el que cada aplicación asignada en una región de memoria de una tarjeta de circuito integrado (IC) es registrada en un directorio y la región de memoria es gestionada en unidades de directorio. Un código de identificación personal es fijado para cada aplicación y directorio, y el derecho de acceso es controlado en unidades de aplicación o unidades de directorio. Si se extravía un terminal móvil, el derecho a acceder a cada aplicación en la tarjeta IC desaparece automáticamente. Por lo tanto, el derecho a acceder a cada aplicación asignada a la región de memoria en la tarjeta IC es controlado eficazmente.
US6594759 describe un ordenador configurado para autentificar un usuario a un sistema de transacción electrónica. El ordenador incluye una unidad de procesamiento central y el firmware de autorización electrónica dispuesto en el interior del ordenador y en comunicación electrónica con la unidad de procesamiento central. El firmware de autorización electrónica incluye un circuito de memoria no volátil configurado para almacenar al menos uno de entre una clave privada del usuario y los datos de identificación del usuario y los datos de identificación del firmware. El firmware de autorización electrónica incluye además un circuito lógico de desencriptación dispuesto entre el circuito de memoria no volátil y el sistema de transacción electrónica. El circuito lógico de desencriptación está configurado para prevenir el acceso no autorizado a al menos uno de entre la clave privada del usuario y los datos de identificación del usuario en el circuito de memoria no volátil.
En un aspecto principal, la presente invención proporciona un sistema que comprende: un primer dispositivo habilitado para la comunicación inalámbrica dispuesto para almacenar información confidencial en claro, en el que dicho primer dispositivo es capaz de acceder a la información sensible almacenada en un dispositivo de seguridad; y un segundo dispositivo habilitado para la comunicación inalámbrica dispuesto para almacenar dicha información confidencial con protección del contenido, en el que dicho sistema está dispuesto para usar dicha información confidencial para asegurar un enlace de comunicación inalámbrica entre dicho primer dispositivo y dicho segundo dispositivo, proporcionando dicho enlace a dicho segundo dispositivo el acceso a dicha información sensible; y en el que uno o los dos de entre dicho primer dispositivo y dicho segundo dispositivo están dispuesto para borrar dicha información confidencial cuando se cumplan una o más condiciones relacionadas con dicho enlace de comunicación; y en el que dichas una o más condiciones comprenden que una señal inalámbrica recibida por dicho primer dispositivo o dicho segundo dispositivo tenga una intensidad inferior a un nivel predeterminado o que permanezca por debajo de dicho nivel predeterminado durante al menos un periodo de tiempo predeterminado, habiéndose originado dicha señal en el otro dispositivo de entre dicho primer dispositivo y dicho segundo dispositivo. En otros aspectos, la presente invención proporciona un procedimiento para ser implementado por el sistema de la invención, un dispositivo que comprende una parte del sistema y un medio legible por máquina que comprende medios de codificación para hacer que dicho dispositivo implemente el procedimiento de la invención.
Breve descripción de los dibujos
Realizaciones de la invención se ilustran a modo de ejemplo y de manera no limitativa en las figuras de los dibujos adjuntos, en los que los números de referencia similares indican elementos correspondientes, análogos o similares y en los que:
La Figura 1 es un diagrama esquemático de un sistema ejemplar según algunas realizaciones de la invención; y
La Figura 2 es un diagrama de bloques de un dispositivo ejemplar en el sistema de la Figura 1 según algunas realizaciones de la invención.
Se apreciará que en aras de la simplicidad y claridad de la ilustración, los elementos mostrados en las figuras no se han dibujado necesariamente a escala. Por ejemplo, las dimensiones de algunos de los elementos pueden estar exageradas en relación a otros elementos por claridad.
Descripción de realizaciones preferentes
En la descripción detallada siguiente, se exponen numerosos detalles específicos con el fin de proporcionar una comprensión plena de las realizaciones de la invención. Sin embargo, las personas con conocimientos medios en la materia entenderán que las realizaciones de la invención pueden realizarse sin estos detalles específicos. En otros ejemplos, no se han descrito en detalle métodos, procedimientos, componentes y circuitos bien conocidos con el fin de no complicar las realizaciones de la invención.
La Figura 1 es un diagrama esquemático de un sistema ejemplar, según algunas realizaciones de la invención. Un sistema 100 incluye un lector de tarjetas inteligentes 102 habilitado para la comunicación inalámbrica, un dispositivo móvil 104 habilitado para la comunicación inalámbrica y un ordenador personal 106 habilitado para la comunicación inalámbrica. Se muestra una tarjeta inteligente 103 insertada en el lector de tarjetas inteligentes 102.
El lector de tarjetas inteligentes 102 y el dispositivo móvil 104 puede comunicarse mediante un enlace de comunicación inalámbrico 108, y el lector de tarjetas inteligentes 102 y el ordenador personal 106 pueden comunicarse mediante un enlace de comunicación inalámbrico 110. En esta descripción y en las reivindicaciones, un enlace de comunicación inalámbrico puede incluir una o más partes cableadas y/o una o más partes ópticas. Tal como se muestra en la Figura 1, los enlaces de comunicación 108 y 110 son enlaces de comunicación inalámbricos, por ejemplo enlaces de comunicación Bluetooth®.
Además, el enlace de comunicación 108 puede ser un enlace de comunicación directo entre el lector de tarjetas inteligentes 102 y el dispositivo móvil 104 o puede incluir cualquier combinación de dispositivos de comunicación adicionales (no mostrados) tales como puertas de enlace, enrutadores, conmutadores y similares. Similarmente, el enlace de comunicación 110 puede ser un enlace de comunicación directo entre el lector de tarjetas inteligentes 102 y el ordenador personal 106 o puede incluir cualquier combinación de dispositivos de comunicación adicionales (no mostrados) tales como puertas de enlace, enrutadores, conmutadores y similares. Los enlaces de comunicación 108 y 110 pueden ser accesibles para otros dispositivos y pueden ser susceptibles a intrusiones y ataques no deseados.
Las tarjetas inteligentes son dispositivos de seguridad personalizados, definidos por el estándar ISO7816 y sus derivados, publicados por la Organización Internacional para la Estandarización. Una tarjeta inteligente puede tener el factor de forma de una tarjeta de crédito y puede incluir un dispositivo semiconductor. El dispositivo semiconductor puede incluir una memoria que puede ser programada con una clave secreta y con un certificado de autentificación y puede incluir un motor de desencriptación, por ejemplo, un procesador y/o lógica de desencriptación dedicada. Una tarjeta inteligente puede incluir un conector para alimentar el dispositivo semiconductor y realizar una comunicación serie con un dispositivo externo. Alternativamente, la funcionalidad de la tarjeta inteligente puede ser incluida en un dispositivo que tiene un factor de forma diferente y un protocolo de comunicación diferente, por ejemplo un dispositivo Bus Serie Universal (USB).
La persona cuya información de seguridad está almacenada en la tarjeta inteligente 103 puede usar un lector de tarjetas inteligentes 102 para la identificación y para firmar digitalmente y/o desencriptar los mensajes enviados por el dispositivo móvil 104.
Por ejemplo, el dispositivo móvil 104 puede ser capaz de enviar y recibir mensajes de correo electrónico mediante un servidor de correo electrónico (no representado). Si, por ejemplo, se usa el protocolo Extensiones Seguras Multipropósito al Correo de Internet (S/MIME), los mensajes de correo electrónico recibidos en el dispositivo móvil 104 son encriptados usando un algoritmo simétrico con un clave de sesión aleatoria generada por el emisor del mensaje de correo electrónico. El mensaje de correo electrónico incluye también la clave de sesión, encriptada usando la clave pública del destinatario. Tras la recepción de un mensaje de correo electrónico encriptado, el dispositivo móvil 104 puede extraer la clave de la sesión encriptada y enviarla al lector de tarjetas inteligentes 102 mediante el enlace de comunicación 108. El lector de tarjetas inteligentes 102 puede enviar la clave de sesión encriptada a la tarjeta inteligente 103, y el motor de desencriptación de la tarjeta inteligente 103 puede desencriptar la clave de sesión encriptada usando la clave de desencriptación privada del destinatario, que está almacenada en la tarjeta inteligente 103. El lector de tarjetas inteligentes 102 puede recuperar la clave de sesión desencriptada de la tarjeta inteligente 103 y reenviarla al dispositivo móvil 104 mediante el enlace de comunicación 108 de manera que el dispositivo móvil 104 puede desencriptar el mensaje de correo electrónico recibido. La tarjeta inteligente 103 puede prevenir el uso no autorizado de la clave de desencriptación privada del destinatario mediante el requerimiento de que se suministre una contraseña o número de identificación personal (PIN) antes de permitir que se proceda a la operación de desencriptación.
Similarmente, para añadir una firma digital a un mensaje de correo electrónico que es enviado por el dispositivo móvil 104, el dispositivo móvil 104 puede enviar un hash de los contenidos del mensaje de correo electrónico al lector de tarjetas inteligentes 102 sobre el enlace de comunicación 108. El lector de tarjetas inteligentes 102 puede pasar el hash a la tarjeta inteligente 103, que puede producir una firma digital a partir del hash y la clave de firma privada del remitente, que está almacenada en la tarjeta inteligente 103. A continuación, la tarjeta inteligente 103 puede pasar la firma digital al lector de tarjetas inteligentes 102, que puede reenviarla al dispositivo móvil 104 mediante el enlace de comunicación 108 de manera que el dispositivo móvil 104 puede transmitirla junto con el mensaje de correo electrónico al servidor de correo electrónico. De nuevo, la tarjeta inteligente 103 puede prevenir el uso no autorizado de la clave de firma privada del destinatario requiriendo que se suministre una contraseña o PIN antes de permitir que se proceda a la operación de firmado.
La clave de sesión no encriptada debería enviarse de manera segura sobre el enlace de comunicación 108 desde el lector de tarjetas inteligentes 102 al dispositivo móvil 104 para prevenir que una tercera parte recupere la clave de sesión del enlace de comunicación 108. Similarmente, el hash a firmar debería ser enviado autentificado sobre el enlace de comunicación 108 desde el lector de tarjetas inteligentes 102 al dispositivo móvil 104 para prevenir que una tercera parte modifique el hash y haga de esta manera que la tarjeta inteligente 103 produzca una firma usando un hash diferente del hash del mensaje deseado.
El lector de tarjetas inteligentes 102 y el dispositivo móvil 104 pueden almacenar cada uno una clave simétrica común y usar un algoritmo simétrico para asegurar las comunicaciones sobre el enlace de comunicación 108. Alternativamente, el lector de tarjetas inteligentes 102 y el dispositivo móvil 104 pueden almacenar sus propias claves privadas y cada uno las claves públicas del otro y usar un algoritmo simétrico para asegurar las comunicaciones sobre el enlace de comunicación 108. Si el lector de tarjetas inteligentes 102 carece de medios para implementar la protección del contenido, entonces un secreto (la clave simétrica compartida por el dispositivo móvil 104 y el lector de tarjetas inteligentes 102 o la clave privada del lector de tarjetas inteligentes 102) puede almacenarse en claro en el lector de tarjetas inteligentes 102.
La persona cuya información de seguridad es almacenada en la tarjeta inteligente 103 puede desear firmar digitalmente un correo electrónico saliente enviado desde el ordenador personal 106 o desencriptar un correo electrónico encriptado entrante recibido en el ordenador personal 106. Esto requerirá que el ordenador personal 106 se comunique con el lector de tarjetas inteligentes 102 de manera muy similar a como el dispositivo móvil 104 se comunica con el lector de tarjetas inteligentes 102 tal como se ha descrito anteriormente. Para este propósito, o para otras medidas relacionadas con la seguridad (por ejemplo, para permitir que la persona use el ordenador personal 106), deberá asegurarse el enlace de comunicación 110 entre el ordenador personal 106 y el lector de tarjetas inteligentes
102.
El lector de tarjetas inteligentes 102 y el ordenador personal 106 pueden almacenar cada uno de ellos una clave simétrica común y usar un algoritmo simétrico para asegurar las comunicaciones sobre el enlace de comunicación 110. Alternativamente, el lector de tarjetas inteligentes 102 y el ordenador personal 106 pueden almacenar sus propias claves privadas y cada uno las claves públicas del otro y usar un algoritmo asimétrico para asegurar las comunicaciones sobre el enlace de comunicación 110. Si el lector de tarjetas inteligentes 102 carece de medios para implementar la protección del contenido, entonces un secreto (la clave simétrica compartida por el ordenador personal 106 y el lector de tarjetas inteligentes 102 o la clave privada del lector de tarjetas inteligentes 102) puede almacenarse en claro en el lector de tarjetas inteligentes 102.
Cualquier secreto almacenado en claro en el lector de tarjetas inteligentes 102 es vulnerable al descubrimiento si el lector de tarjetas inteligentes 102 es robado y su memoria es explorada. Según algunas realizaciones de la invención, un secreto usado para asegurar las comunicaciones inalámbricas entre dos dispositivos, al menos uno de los cuales almacena en claro el secreto (por ejemplo, el lector de tarjetas inteligentes 102), es borrado cada cierto tiempo. Es suficiente borrar el secreto de uno de los dos dispositivos para deshabilitar las comunicaciones seguras entre los dos dispositivos. Con el fin de reanudar las comunicaciones seguras, deberá establecerse un nuevo secreto y en el caso de una clave simétrica, éste deberá ser compartido de manera segura entre los dos dispositivos.
Si el secreto es borrado demasiado frecuentemente, esto genera una molestia para el usuario legítimo de los dos dispositivos para establecer y compartir un nuevo secreto. Pero si el secreto es borrado demasiado infrecuentemente, la seguridad puede verse considerablemente comprometida si el dispositivo que almacena el secreto en claro es robado, el secreto es expuesto y el tráfico sobre el enlace de comunicaciones es interceptado o falsificado.
La siguiente es una lista no exhaustiva de ejemplos de normas relacionadas con el momento en el que el secreto es borrado. Para que el secreto sea borrado, debería cumplirse la condición incluida en la norma. Si una combinación de dos o más normas está en vigor, entonces es generalmente suficiente que una de las condiciones se cumpla para que el secreto sea borrado.
(1) Tiempo límite general. El secreto puede ser borrado una vez que ha transcurrido un periodo de tiempo predefinido, por ejemplo, 24 horas desde que el secreto fue generado.
(2) Inactividad del dispositivo. El secreto puede ser borrado una vez que ha transcurrido un periodo de tiempo predefinido desde la última comunicación entre el dispositivo móvil y el dispositivo que almacena el secreto en claro (por ejemplo, el lector de tarjetas inteligentes 102) y el otro dispositivo (por ejemplo, el dispositivo móvil 104 o el ordenador personal 106), incluso cuando el enlace de comunicación (por ejemplo, el enlace de comunicación 108 o 110) entre el dispositivo que almacena el secreto en claro y el otro dispositivo permanece habilitado. Los valores ejemplares para este periodo de tiempo predefinido son 8 horas para el dispositivo móvil 104 y 24 horas para el ordenador personal 106.
En estos dos casos anteriores, si el dispositivo que almacena el secreto en claro es robado, el ladrón tiene un tiempo inferior al periodo de tiempo predefinido para realizar el ataque antes de que el secreto sea borrado.
(3) Pérdida de conexión sobre el enlace de comunicación. El secreto puede ser borrado una vez que ha transcurrido un periodo de tiempo predefinido desde la pérdida de conectividad sobre el enlace de comunicación (por ejemplo, el enlace de comunicación 108 o 110) entre el dispositivo que almacena el secreto en claro (por ejemplo, el lector de tarjetas inteligentes 102) y el otro dispositivo (por ejemplo, el dispositivo móvil 104 o el ordenador personal 106). Los valores ejemplares para este periodo de tiempo predefinido son 5 minutos para el dispositivo móvil 104 y 24 horas para el ordenador personal 106.
En este caso anterior, si el dispositivo que almacena el secreto en claro es robado, el ladrón tiene un tiempo inferior al periodo de tiempo predefinido para realizar un ataque antes de que el secreto sea borrado y el ataque debe tener lugar con el dispositivo que almacena el secreto en claro dentro del alcance del otro dispositivo.
Alternativamente, el secreto puede ser borrado cuando hay una pérdida de conectividad sobre el enlace de comunicación entre el dispositivo que almacena el secreto en claro y el otro dispositivo.
(4) Disminución de la intensidad de la señal. El secreto puede ser borrado una vez que la intensidad de una señal inalámbrica recibida por el dispositivo que almacena el secreto en claro (por ejemplo el lector de tarjetas inteligentes 102) cae por debajo de un nivel predeterminado, donde la señal se origina en el otro dispositivo (por ejemplo, el dispositivo móvil 104 o el ordenador personal 106). Alternativamente, el secreto puede ser borrado una vez que la intensidad recibida de una señal inalámbrica con origen en el dispositivo que almacena el secreto en claro (por ejemplo, el lector de tarjetas inteligentes 102) y recibida en el otro dispositivo (por ejemplo, el dispositivo móvil 104 u ordenador personal 106) cae por debajo de un nivel predeterminado. Alternativamente, el secreto puede ser borrado una vez que la intensidad de la señal inalámbrica recibida permanece por debajo del nivel predeterminado durante un periodo de tiempo predefinido.
(5) Número de transacciones. El secreto puede ser borrado una vez que han ocurrido un número predefinido de transacciones, por ejemplo 100, entre el dispositivo que almacena el secreto en claro (por ejemplo, el lector de tarjetas inteligentes 102) y el otro dispositivo. Una lista no exhaustiva de ejemplos de transacciones incluye la desencriptación de un correo electrónico, firma de un mensaje y desbloqueo de otro dispositivo. Por ejemplo, un valor 0 implicaría sin límite. En este caso, si el dispositivo que almacena el secreto en claro es robado, el ladrón tiene acceso sólo a una cantidad limitada de datos encriptados con el secreto.
En cada una de estas normas anteriores, el secreto puede ser borrado en cualquiera de los dos dispositivos o en ambos. Además, las normas podrían aplicarse separadamente y con diferentes caracteres restrictivos en las condiciones a dos o más secretos de diferente confidencialidad que están almacenados en los dispositivos. Por ejemplo, el periodo de tiempo predefinido podría ser más corto para una clave de mayor confidencialidad que para una clave con menor confidencialidad. En otro ejemplo, el nivel predefinido para la intensidad de la señal podría ser mayor para una clave de mayor confidencialidad que para una clave de menor confidencialidad. En un ejemplo adicional, el número de transacciones podría ser inferior para una clave de encriptación que para la información del propietario.
(6) Tiempo límite de retirada de la tarjeta inteligente. El secreto puede ser borrado una vez transcurrido un periodo de tiempo predefinido, por ejemplo, 5 minutos, desde la retirada de la tarjeta inteligente 103 del lector de tarjetas inteligentes 102. En este caso, si el usuario legítimo retira la tarjeta inteligente 103 del lector de tarjetas inteligentes 102 para usar la tarjeta inteligente 103 en otro sitio, un ladrón que roba el lector de tarjetas inteligentes 102 "vacío" tiene un tiempo inferior al periodo de tiempo predefinido para realizar un ataque antes de que el secreto sea borrado. El periodo de tiempo predefinido puede ser cero. El secreto puede ser borrado en el lector de tarjetas inteligentes 102 y también en el otro dispositivo una vez que el lector de tarjetas inteligentes 102 informa al otro dispositivo de la retirada de la tarjeta inteligente 103, si se desea.
En cada una de las normas anteriores que tienen un periodo de tiempo predefinido, el periodo de tiempo predefinido puede ser configurado por el usuario en el dispositivo móvil o en el dispositivo estacionario y puede ser transferido al dispositivo que almacena el secreto en claro, o el periodo de tiempo predefinido puede ser fijado como una política de Tecnología de la Información (IT) en una organización. Similarmente, el número predefinido de transacciones puede ser configurado por el usuario en el dispositivo móvil o en el dispositivo estacionario y puede ser transferido al dispositivo que almacena el secreto en claro, o el número predefinido de transacciones puede ser fijado como una política IT en una organización.
La Figura 2 es un diagrama de bloques de un dispositivo ejemplar 200 según algunas realizaciones de la invención. Una lista no exhaustiva de ejemplos para el dispositivo 200 incluye un teléfono celular, un asistente personal digital (PDA), un cliente de correo electrónico (Email), un dispositivo de juegos, un ordenador portátil, un ordenador agenda, un ordenador de sobremesa, un ordenador servidor y cualquier otro aparato adecuado. El dispositivo 200 puede ser un dispositivo móvil tal como un dispositivo móvil 104 o un ordenador personal tal como un ordenador personal 106 o puede incluir la funcionalidad del lector de tarjetas inteligentes, tal como la del lector de tarjetas inteligentes 102.
El dispositivo 200 incluye una antena 202. Una lista no exhaustiva de ejemplos para la antena 200 incluye una antena dipolo, una antena monopolo, un antena cerámica multicapa, una antena plana F invertida, una antena de bucle, una antena de tipo "shot", una antena dual, una antena omnidireccional y cualquier otra antena adecuada.
El dispositivo 200 incluye un interfaz de comunicación 204 que incluye una radio 203 acoplada a la antena 202. Una lista no exhaustiva de ejemplos de los estándares de comunicación inalámbrica con los que el interfaz de comunicación 204 es compatible incluye las especificaciones Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) para LAN MAC inalámbricas y Nivel Físico (PHY) 802.11 a, b, g y n o los estándares futuros relacionados, el estándar Bluetooth®, el estándar Zigbee^{TM} y similares.
El dispositivo 200 incluye también un procesador 206 acoplado al interfaz de comunicación 204. El dispositivo 200 incluye también una memoria 208, que puede estar fijada al dispositivo 200 o puede ser extraíble. La memoria 208 puede estar acoplada al procesador 206 o estar incluida parcialmente en el procesador 206. El interfaz de comunicación 204 y el procesador 206 pueden ser parte del mismo circuito integrado o pueden estar en circuitos integrados separados. Similarmente, el procesador 206 y la memoria 208 pueden ser parte del mismo circuito integrado o pueden estar en circuitos integrados separados.
Una lista no exhaustiva de ejemplos para el procesador 206 incluye una unidad de procesamiento central (CPU), un procesador de señal digital (DSP), un ordenador de conjunto de instrucciones reducido (RISC), un ordenador de conjunto de instrucciones complejo (CISC) y similares. Además, el procesador 206 puede ser parte de un circuito integrado de aplicación específica (ASIC) o puede ser parte de un producto estándar de aplicación específica (ASSP).
Una lista no exhaustiva de ejemplos para la memoria 208 incluye cualquier combinación de los siguientes:
a)
dispositivos semiconductores tales como registros, latches, memorias de sólo lectura (ROM), máscara ROM, dispositivos de memoria de sólo lectura programables y borrables eléctricamente (EEPROM), dispositivos de memoria flash, dispositivos de memoria de acceso aleatorio no volátiles (NVRAM), dispositivos de memoria de acceso aleatorio dinámica síncrona (SDRAM), dispositivos de memoria de acceso aleatorio dinámica RAMBUS (RDRAM), dispositivos de memoria de doble velocidad de datos (DDR), memoria de acceso aleatorio estática (SRAM), memoria extraíble de bus serie universal (USB) y similares;
b)
dispositivos ópticos, tales como un disco compacto con memoria de sólo lectura (CD ROM) y similares; y
c)
dispositivos magnéticos, tales como un disco duro, un disco flexible, una cinta magnética y similares.
La memoria 208 puede almacenar información confidencial que es usada para asegurar un enlace de comunicación mediante un interfaz de comunicación 204 a otro dispositivo que almacena también la información confidencial. Al menos uno de entre el dispositivo 204 y el otro dispositivo almacena la información confidencial en claro.
La memoria 208 puede almacenar un código ejecutable 210 que, cuando es ejecutado por el procesador 206, determina la información confidencial del dispositivo 200 una vez que se cumplen una o más condiciones relacionadas con el enlace de comunicación a asegurar mediante el uso de la información confidencial. Una lista no exhaustiva de ejemplos de las normas relacionadas con el momento en el que la información confidencial es borrada se ha indicado anteriormente.
Aunque en esta memoria se han descrito e ilustrado ciertas características de la invención, a las personas con conocimientos medios en la materia se les ocurrirán ahora muchas modificaciones, sustituciones, cambios y equivalentes. Por lo tanto, debe entenderse que las reivindicaciones adjuntas pretenden abarcar la totalidad de aquellas modificaciones y cambios que caigan dentro del espíritu de la invención.

Claims (14)

1. Sistema (100) que comprende:
un primer dispositivo (102) habilitado para la comunicación inalámbrica dispuesto para almacenar información confidencial en claro, en el que dicho primer dispositivo (102) es capaz de acceder a información sensible almacenada en un dispositivo de seguridad (103); y
un segundo dispositivo (104, 106) habilitado para la comunicación inalámbrica dispuesto para almacenar dicha información confidencial con protección del contenido,
en el que dicho sistema (100) está dispuesto para usar dicha información confidencial para asegurar un enlace de comunicación inalámbrico (108, 110) entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106), proporcionando dicho enlace a dicho segundo dispositivo (104, 106) el acceso a dicha información sensible, y en el que uno o los dos de entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106) están dispuestos para borrar dicha información confidencial una vez que se cumplan una o más condiciones relacionadas con dicho enlace de comunicación (108, 110), y
en el que dichas una o más condiciones comprenden el que una señal inalámbrica recibida por dicho primer dispositivo (102) o dicho segundo dispositivo (104, 106) tenga una intensidad por debajo de un nivel predeterminado o por debajo de dicho nivel predeterminado durante al menos un primer periodo de tiempo predefinido, habiéndose originado dicha señal en el otro de entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106).
2. Sistema (100) según la reivindicación 1 en el que dichas una o más condiciones comprenden:
una falta de comunicación entre dicho primer dispositivo (102) y dicho segundo dispositivo (104) sobre dicho enlace de comunicación (108, 110) durante al menos un segundo periodo de tiempo predefinido y/o
una pérdida de conectividad sobre dicho enlace de comunicación (108, 110) y/o
una pérdida de conectividad sobre dicho enlace de comunicación (108, 110) durante al menos un tercer periodo de tiempo predefinido, y/o
que un número de transacciones sobre dicho enlace de comunicación (108, 110) ha excedido un número predefinido.
3. Sistema (100) según la reivindicación 1 o la reivindicación 2 en el que dicho dispositivo de seguridad (103) es una tarjeta inteligente (103) y dicho primer dispositivo (102) comprende la funcionalidad de un lector de tarjetas inteligentes.
4. Sistema (100) según la reivindicación 3 en el que dichas una o más condiciones comprenden
la retirada de dicha tarjeta inteligente (103) de dicho primer dispositivo (102), o
la retirada de dicha tarjeta inteligente (103) de dicho primer dispositivo (102) durante al menos un cuarto periodo de tiempo predefinido.
5. Sistema (100) según cualquiera de las reivindicaciones 1 a 4 en el que dicho enlace de comunicación (108, 110) es un enlace Bluetooth®.
6. Primer dispositivo (200) capaz de acceder a información sensible almacenada en un dispositivo de seguridad (103), comprendiendo el primer dispositivo (200):
un interfaz de comunicación (204) compatible con un estándar de comunicación inalámbrica;
un procesador (206), y
una memoria (208) capaz de almacenar información confidencial que ha de ser usada para asegurar un enlace de comunicación inalámbrico desde dicho primer dispositivo (200) a un segundo dispositivo que almacena dicha información confidencial, en el que dicho enlace es usado por dicho segundo dispositivo para ganar acceso a dicha información sensible mediante dicho primer dispositivo,
en el que dicha memoria (208) está dispuesta para almacenar dicha información confidencial en claro,
\newpage
en el que dicha memoria (208) está dispuesta para almacenar medios de código ejecutable (210) que, cuando son ejecutados por dicho procesador (206), borran dicha información confidencial de dicho primer dispositivo (200) una vez que se cumplan una o más condiciones relacionadas con dicho enlace de comunicación, y
en el que dichas una o más condiciones comprenden que una señal inalámbrica recibida por dicho primer dispositivo (102) o dicho segundo dispositivo (104, 106) tenga una intensidad por debajo de un nivel predeterminado o por debajo de dicho nivel predeterminado durante al menos un primer periodo de tiempo predefinido, habiéndose originado dicha señal en el otro de entre dicho primer dispositivo (102) o dicho segundo dispositivo (104, 106).
7. Primer dispositivo (200) según la reivindicación 6 en el que dichas una o más condiciones comprenden:
una falta de comunicación entre dicho primer dispositivo (200) y dicho segundo dispositivo sobre dicho enlace de comunicación durante al menos un segundo periodo de tiempo predefinido, y/o
una pérdida de conectividad sobre dicho enlace de comunicación y/o una pérdida de conectividad sobre dicho enlace de comunicación durante al menos un tercer periodo de tiempo predefinido y/o
que un número de transacciones sobre dicho enlace de comunicación ha excedido un número predefinido.
8. Primer dispositivo (200) según la reivindicación 6 o la reivindicación 7 en el que dicho primer dispositivo (200) comprende la funcionalidad de un lector de tarjetas inteligentes.
9. Primer dispositivo (200) según cualquiera de las reivindicaciones 6 a 8 en el que dichas una o más condiciones comprenden
desacoplar dicho dispositivo de seguridad (103) de dicho primer dispositivo (200) o
desacoplar dicho dispositivo de seguridad (103) de dicho primer dispositivo (200) durante al menos un cuarto periodo de tiempo predefinido.
10. Primer dispositivo (200) según cualquiera de las reivindicaciones 6 a 9 en el que dicho estándar de comunicación es el estándar Bluetooth®.
11. Procedimiento que comprende:
borrar información confidencial de uno o de ambos de entre un primer dispositivo (102) habilitado para la comunicación inalámbrica y un segundo dispositivo (104, 106) habilitado para la comunicación inalámbrica una vez que se cumplan una o más condiciones relacionadas con un enlace de comunicación inalámbrico (108, 110) entre dicho primer dispositivo (102) y dicho segundo dispositivo (105, 106) para asegurar el cual se usa dicha información confidencial,
en el que dichas una o más condiciones comprenden que una señal inalámbrica recibida por dicho primer dispositivo (102) o dicho segundo dispositivo (104, 106) tenga una intensidad por debajo de un nivel predeterminado o por debajo de dicho nivel predeterminado durante al menos un primer periodo de tiempo predefinido, habiéndose originado dicha señal en el otro de entre dicho primer dispositivo (102) y dicho segundo dispositivo (104, 106),
en el que dicho primer dispositivo (102) almacena dicha información confidencial en claro y dicho primer dispositivo (102) es capaz de acceder a información sensible almacenada en un dispositivo de seguridad (103) y
en el que dicho segundo dispositivo (104, 106) usa dicho enlace (108, 110) cuando está asegurado mediante dicha información confidencial para acceder a dicha información sensible.
12. Procedimiento según la reivindicación 11 en el que dichas una o más condiciones comprenden:
una falta de comunicación entre dicho primer dispositivo (102) y dicho segundo dispositivo (104) sobre dicho enlace de comunicación (108, 110) durante al menos un segundo periodo de tiempo predefinido y/o
una pérdida de conectividad sobre dicho enlace de comunicación (108, 110) y/o
una pérdida de conectividad sobre dicho enlace de comunicación (108, 110) durante al menos un tercer periodo de tiempo predefinido y/o
que un número de transacciones sobre dicho enlace de comunicación (108, 110) ha excedido un número predefinido.
13. Procedimiento según la reivindicación 11 o la reivindicación 12 en el que dicho primer dispositivo (102) comprende la funcionalidad de un lector de tarjetas inteligentes y dicho dispositivo de seguridad (103) es una tarjeta inteligente (103), y dichas una o más condiciones comprenden
la retirada de dicha tarjeta inteligente (103) de dicho primer dispositivo (102) o
la retirada de dicha tarjeta inteligente (103) de dicho primer dispositivo (102) durante al menos un cuarto periodo de tiempo predefinido.
14. Medio legible por máquina (208) que comprende medios de código ejecutable (210) que, cuando son ejecutados por un procesador (206) del dispositivo (200) según cualquiera de las reivindicaciones 6 a 10, hacen que dicho dispositivo (200) implemente el procedimiento según cualquiera de las reivindicaciones 11 a 13.
ES05102622T 2005-04-04 2005-04-04 Sistema y metodo para borrar informacion confidencial. Active ES2314564T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP05102622A EP1710970B1 (en) 2005-04-04 2005-04-04 System and Method for Deleting Confidential Information

Publications (1)

Publication Number Publication Date
ES2314564T3 true ES2314564T3 (es) 2009-03-16

Family

ID=34939116

Family Applications (1)

Application Number Title Priority Date Filing Date
ES05102622T Active ES2314564T3 (es) 2005-04-04 2005-04-04 Sistema y metodo para borrar informacion confidencial.

Country Status (6)

Country Link
EP (1) EP1710970B1 (es)
AT (1) ATE410872T1 (es)
CA (1) CA2539405C (es)
DE (1) DE602005010209D1 (es)
ES (1) ES2314564T3 (es)
HK (1) HK1089895A1 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2982724B1 (fr) * 2011-11-15 2013-12-20 Oberthur Technologies Communication securisee

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE221677T1 (de) * 1996-02-09 2002-08-15 Digital Privacy Inc Zugriffssteuerungs/verschlüsselungssystem
US5917913A (en) * 1996-12-04 1999-06-29 Wang; Ynjiun Paul Portable electronic authorization devices and methods therefor
DE19947574A1 (de) * 1999-10-01 2001-04-12 Giesecke & Devrient Gmbh Verfahren zur Sicherung eines Datenspeichers
DE60226978D1 (de) * 2001-06-27 2008-07-17 Sony Corp Integrierte schaltungseinrichtung, informationsverarbeitungseinrichtung, informationsaufzeichnungseinrichtungsspeicher-verwaltungsverfahren, mobilendgeräteeinrichtung, integrierte halbleiterschaltungseinrichtung und kommunikationsverfahren mit tragbarem endgerät
DE60238288D1 (de) * 2002-09-16 2010-12-23 Ericsson Telefon Ab L M Sicherer Zugang auf ein Teilnehmermodul

Also Published As

Publication number Publication date
ATE410872T1 (de) 2008-10-15
CA2539405A1 (en) 2006-10-04
EP1710970B1 (en) 2008-10-08
DE602005010209D1 (de) 2008-11-20
CA2539405C (en) 2011-07-19
HK1089895A1 (en) 2006-12-08
EP1710970A1 (en) 2006-10-11

Similar Documents

Publication Publication Date Title
US8328093B2 (en) Controlling connectivity of a wireless smart card reader
US8024809B2 (en) System and method for deleting confidential information
US7792290B2 (en) Gathering randomness in a wireless smart card reader
ES2904501T3 (es) Implementación de un almacenamiento seguro con protección de integridad
ES2254706T3 (es) Metodo y sistema para procesar informacion en un dispositivo electronico.
US20060225126A1 (en) Securely using a display to exchange information
US20060218397A1 (en) Apparatus and methods for sharing cryptography information
US9143323B2 (en) Securing a link between two devices
CA2539660C (en) Securely using a display to exchange information
ES2880693T3 (es) Métodos y sistemas para transferir datos de forma segura
EP1713205B1 (en) Controlling connectivity of a wireless smart card reader
ES2400165T3 (es) Procedimiento para proporcionar un acceso controlado a una tarjeta de memoria y tarjeta de memoria
JP5260908B2 (ja) 制御装置、通信装置、制御システム、制御方法及び制御プログラム
ES2401358T3 (es) Procedimiento y terminal para proporcionar acceso controlado a una tarjeta de memoria
CA2539658C (en) Securing a link between devices
ES2314564T3 (es) Sistema y metodo para borrar informacion confidencial.
CN101094073B (zh) 双因素内容保护
CA2541277C (en) Gathering randomness in a wireless smart card reader
EP1705854A1 (en) Method and apparatus for sharing cryptographic information in a mobile communication system