ES2597808A1 - Método y sistema de autentificación de elementos de identificación por radiofrecuencia, y programa de ordenador - Google Patents

Método y sistema de autentificación de elementos de identificación por radiofrecuencia, y programa de ordenador Download PDF

Info

Publication number
ES2597808A1
ES2597808A1 ES201531078A ES201531078A ES2597808A1 ES 2597808 A1 ES2597808 A1 ES 2597808A1 ES 201531078 A ES201531078 A ES 201531078A ES 201531078 A ES201531078 A ES 201531078A ES 2597808 A1 ES2597808 A1 ES 2597808A1
Authority
ES
Spain
Prior art keywords
key
application
database server
app
dbt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
ES201531078A
Other languages
English (en)
Other versions
ES2597808B1 (es
Inventor
José Carlos SANCHO PITARCH
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to ES201531078A priority Critical patent/ES2597808B1/es
Publication of ES2597808A1 publication Critical patent/ES2597808A1/es
Application granted granted Critical
Publication of ES2597808B1 publication Critical patent/ES2597808B1/es
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Finance (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Método y sistema de autentificación de elementos de identificación por radiofrecuencia, y programa de ordenador. El método comprende: - aplicar una operación o un esquema matemático, por parte de un elemento de identificación por radiofrecuencia utilizando una clave privada de elemento (PriTAG), y enviar el resultado obtenido a un dispositivo lector (M); y - verificar dicho resultado recibido, por parte del dispositivo lector (M), utilizando información de verificación asociada a dicha clave privada de elemento (PriTAG). El método comprende obtener dicha información de verificación de un servidor de base de datos (DBT), y autentificar al servidor (DBT) y a una aplicación software (APP) del dispositivo lector (M) encargada de llevar a cabo la verificación del resultado recibido. Un segundo y un tercer aspectos de la invención conciernen, respectivamente, a un sistema y a un programa de ordenador adaptados para implementar el método del primer aspecto.

Description

5
10
15
20
25
30
DESCRIPCION
METODO Y SISTEMA DE AUTENTIFICACION DE ELEMENTOS DE IDENTIFICACION POR RADIOFRECUENCIA, Y PROGRAMA DE ORDENADOR
Sector de la tecnica
La presente invention concierne, en un primer aspecto, a un metodo de autentificacion de elementos de identification por radiofrecuencia, basado en la verification del resultado de la aplicacion de una operation o un esquema matematico por parte del elemento a autentificar, y mas particularmente a un metodo que comprende implicar en la autentificacion del elemento de identificacion por radiofrecuencia, y tambien autentificar, a unas entidades computacionales.
Un segundo aspecto de la invencion concierne a un sistema adaptado para implementar el metodo del primer aspecto.
Un tercer aspecto de la invencion concierne a un programa de ordenador adaptado para implementar el metodo del primer aspecto.
Estado de la tecnica anterior
En el estado de la tecnica son conocidas diferentes propuestas que describen metodos y sistemas de autentificacion de elementos de identificacion por radiofrecuencia, tal como etiquetas NFC (acronimo de los terminos en ingles "Near Field Communication”: Comunicacion de campo cercano). A continuation se citan una serie de referencias representativas del estado de la tecnica en cuanto a tales propuestas.
En primer lugar existen los denominados metodos flsicos, basados por ejemplo en el uso de marcas invisibles al ojo humano, pero visibles por un aparato lector. En esta llnea se encuentra la tecnologla AuthentiGuard® que imprime con tinta unas marcas de varios de micrometros (
http://www.authentiguard.com/products.html#tab_authentiguard).
Otra tecnologla en esta llnea se encuentra el uso de tintas invisibles para el ojo humano, pero que se pueden ver facilmente si una determinada luz se proyecta en ellas (
http://www.wsj.com/video/smart-invisible-ink-could-foil-counterfeiters/EF371C30-02B6-4569- 873A-6DA282A34284.html).
Los metodos flsicos no son faciles de utilizar ya que requieren de lectores o luces especiales. Esto limita el alcance de uso de estos sistemas, no es un sistema adecuado para la mayorla de las personas que no poseen estos dispositivos especiales. Ademas, estos metodos flsicos podrlan ser copiados y reproducidos con relativamente facilidad.
5
10
15
20
25
30
Por otra parte, existen los metodos basados en sistemas electronicos, la mayorla de los cuales aportan una mayor facilidad al comprobar la autenticidad. Algunos de estos metodos se describen a continuation.
Uno de tales metodos basados en sistemas electronicos se describe en la propuesta hecha en la Solicitud Internacional WO2013121356, que propone grabar un codigo en la etiqueta NFC, el cual se lee con una aplicacion movil para compararlo con un codigo que se guarda en una base de datos. Si los codigos coinciden entonces el producto asociado a la etiqueta NFC se considera autentico.
La solicitud Internacional WO2014076720 describe un metodo y un sistema en donde se utiliza una etiqueta NFC, certificados digitales, criptografla asimetrica, y un lector de NFC. El metodo comprende grabar en la etiqueta la firma de la funcion hash del documento de autenticidad emitido por el centro de certificados digitales. Se comprueba la autenticidad comprobando que tiene un certificado valido usando las claves de criptografla asimetrica.
En la solicitud de patente CN103413155A se propone utilizar una etiqueta NFC con un area de memoria protegida por contrasena, criptografla y un dispositivo lector NFC. El metodo funciona escribiendo de forma cifrada la autenticidad de la etiqueta NFC en el area de memoria protegida por contrasena. El lector utiliza la contrasena para poder leer esa memoria protegida y descifra su contenido para corroborar su autenticidad.
Por otra parte, existe un metodo (descrito en
https://blackseal.trustpoint.ca/features#how-it- works y propuesto por TrustPoint Innovation Ltd. ©) que utiliza criptografla, una etiqueta NFC y un lector NFC y que esta basado en el ultimo standard de la tecnologla NFC que puede cifrar los mensajes NFC grabados en la etiqueta NFC. De esta manera se puede comprobar que la etiqueta es autentica descifrando los mensajes grabados mediante un lector de NFC.
La solicitud de patente CN103745256A propone utilizar una etiqueta NFC, una imagen impresa en la etiqueta, un algoritmo de encriptado y un ordenador. La etiqueta NFC almacena un codigo encriptado obtenido a partir de la imagen impresa y de un codigo unico de la etiqueta. Este codigo encriptado se almacena tambien en una base de datos. El ordenador lee el codigo encriptado de la etiqueta y lo envla al servidor de base de datos para comprobar si coinciden para determinar si el producto asociado a la etiqueta NFC es autentico. Este metodo no aporta tanta facilidad al comprobar la autenticidad de la etiqueta NFC como los anteriores, ya que requiere de la toma de una imagen, por lo que es un procedimiento mas laborioso.
La mayorla de estos metodos electronicos siguen sin evitar el copiado de las etiquetas. Aunque se utilice criptografla para ver si realmente estos codigos grabados en la etiqueta han
5
10
15
20
25
30
sido escritos por una entidad autentificada, los mismos codigos se pueden leer y grabar facilmente en otra etiqueta.
Solamente el metodo descrito en la solicitud de patente CN103413155A protege el copiado de la memoria de las etiquetas mediante el uso de una contrasena. Para poder leer de la etiqueta se necesita la contrasena que hay que enviar a la etiqueta. Este uso de contrasenas es un sistema debil de seguridad porque esta contrasena se transmite entre la aplicacion del lector y la etiqueta NFC, por lo que un pirata informatico podrla facilmente obtenerla.
Por otra parte existen documentos de patente que proponen verificar la autenticidad de la etiqueta NFC verificando la autenticidad de una firma digital generada por la misma. Tal es el caso de los documentos WO2014140807 y US8941469B1. En ambos casos existen problemas de vulnerabilidad en cuanto a la seguridad de las claves utilizadas para las firmas. Asimismo, en ambos casos la autentificacion de las firmas no se lleva cabo por el lector NFC sino por parte de un servidor, con el consiguiente aumento de la carga de trabajo del mismo y de la existencia de mensajes intercambiados con el mismo a traves de la red de comunicaciones (los cuales podrlan ser interceptados)
No obstante, si que existe una propuesta donde la autentificacion de la firma digital generada por la etiqueta NFC si que es verificada por el propio lector. Tal es el caso de la descrita en la solicitud Internacional WO2015001376, que propone un metodo que reune las caracterlsticas del preambulo de la reivindicacion 1 de la presente invention.
Incluso en el metodo propuesto en WO2015001376 existen problemas de vulnerabilidad que no permiten garantizar que la verification de la firma digital generada por la etiqueta NFC sea fiable, ya que los actores que intervienen en el proceso de verificacion podrlan haber sido suplantados o manipulados por un pirata informatico.
Es, por lo tanto, necesario ofrecer una alternativa al estado de la tecnica que cubra las lagunas halladas en el mismo, proporcionando un metodo y un sistema de autentificacion de elementos de identification por radiofrecuencia mas robusto y sin los problemas de vulnerabilidad de los que adolecen los conocidos en el estado de la tecnica.
Explication de la invencion
Con tal fin, la presente invencion concierne, en un primer aspecto, a un metodo de autentificacion de elementos de identificacion por radiofrecuencia, que comprende, de manera en si conocida:
- aplicar un metodo de protection matematico, que incluye una o varias operaciones matematicas o un esquema matematico, por parte de un elemento de identificacion por
5
10
15
20
25
30
radiofrecuencia con capacidad de procesamiento, sobre al menos un dato, utilizando al menos una clave privada de elemento almacenada en dicho elemento de identification por radiofrecuencia, obteniendo un resultado de elemento;
- enviar dicho resultado de elemento, utilizando una tecnologla de comunicacion inalambrica, por parte de dicho elemento de identificacion por radiofrecuencia, a un dispositivo de computation lector (en general, tambien con capacidad para escribir) de elementos de identificacion por radiofrecuencia; y
- verificar dicho resultado de elemento, por parte de dicho dispositivo de computacion lector de elementos de identificacion por radiofrecuencia, utilizando information de verification asociada a dicha clave privada de elemento.
A diferencia de los metodos conocidos en el estado de la tecnica, el propuesto por el primer aspecto de la presente invention comprende, de manera caracterlstica, obtener dicha informacion de verificacion asociada a dicha clave privada de elemento de un servidor de base de datos, por parte del dispositivo de computacion lector de elementos de identificacion por radiofrecuencia, y autentificar tambien a dicho servidor de base de datos y a una aplicacion software instalada en una memoria del dispositivo de computacion lector de elementos de identificacion por radiofrecuencia encargada de llevar a cabo dicha verificacion del resultado de elemento.
Para un ejemplo de realization, dicha informacion de verificacion incluye informacion identificativa sobre el metodo de protection matematico empleado para obtener dicho resultado de elemento.
De acuerdo con un ejemplo de realizacion, el metodo del primer aspecto de la invencion comprende aplicar dicha o dichas operaciones matematicas (suma, resta, multiplication, division, etc.) por parte de dicho elemento de identificacion por radiofrecuencia con capacidad de procesamiento, incluyendo dicha informacion de verificacion el resultado de una funcion matematica aplicada sobre la clave privada de elemento, y realizando la aplicacion software los siguientes pasos, de manera secuencial y sucesiva:
i) la aplicacion de la operacion u operaciones inversas a dicha o dichas operaciones matematicas, sobre el resultado de elemento;
ii) la aplicacion de dicha funcion matematica sobre el resultado obtenido en i); y
iii) la comparacion del resultado obtenido en ii) con el resultado que constituye dicha informacion de verificacion.
5
10
15
20
25
30
Para una variante de dicho ejemplo de realization, el metodo comprende, de manera previa a dicha etapa i) y con el fin de conocer que operation u operaciones matematicas ha aplicado el elemento de identification por radiofrecuencia con capacidad de procesamiento, identificar, por parte de la aplicacion software, el metodo de protection matematico aplicado a traves de la citada information identificativa incluida en la information de verification.
Para una variante preferida de dicho ejemplo de realization, dicha funcion matematica es una funcion Hash.
Para otro ejemplo de realization, el metodo del primer aspecto de la invention comprende aplicar, por parte de dicho elemento de identification por radiofrecuencia con capacidad de procesamiento, dicho esquema matematico, el cual es una firma digital, siendo dicho resultado de elemento una firma digital de elemento e incluyendo dicha information de verification una clave publica de elemento asociada a dicha clave privada de elemento. Para una variante de dicho ejemplo de realization, el metodo comprende, con el fin de conocer que el elemento de identification por radiofrecuencia ha aplicado dicho esquema matematico, identificar, por parte de la aplicacion software, el metodo de protection matematico aplicado a traves de la citada information identificativa incluida en la information de verification.
De acuerdo a un ejemplo de realization preferido, el metodo del primer aspecto de la invention permite determinar quee tipo de operaciones matematicas son necesarias para verificar el resultado de elemento pudiendo ser el caso de que estas cambien de un elemento a otro.
El metodo de protection matematico para cada elemento se determina en el servidor de base de datos y por lo tanto se desconoce a priori por el dispositivo de computacion lector de elementos de identificacion por radiofrecuencia.
La presente invention, a diferencia del estado de la tecnica, permite emplear distintos metodos de protection matematicos con diferente complejidad computacional asociada a la vez, siendo por lo tanto una tecnica mas flexible, y por lo tanto, permite adaptarse mejor a las necesidades de coste de los distintos productos a proteger.
Ademas, a diferencia de los metodos conocidos en el estado de la tecnica, el metodo de protection matematico, descrito en cada una de las realizaciones anteriores, empleado para cada uno de los elementos de identification por radiofrecuencia se determina a traves de un servidor de base de datos, siendo posible que el dispositivo de computacion lector de elementos de identification por radiofrecuencia sea lo suficientemente versatil para ejecutar cualquiera de los metodos de protection matematicos.
5
10
15
20
25
30
De acuerdo a un ejemplo de realization preferido, el metodo del primer aspecto de la invention comprende llevar a cabo la autentificacion de dicho servidor de base de datos por parte de dicho dispositivo de computation lector de elementos de identification por radiofrecuencia, utilizando dicha u otra aplicacion software.
Preferentemente, el metodo del primer aspecto de la invention comprende llevar a cabo la autentificacion de la aplicacion software por parte de dicho servidor de base de datos.
Segun un ejemplo de realization, el metodo del primer aspecto de la invention comprende llevar a cabo la autentificacion del servidor de base de datos y la autentificacion de la aplicacion software, mediante la utilization de una clave asimetrica de base de datos que incluye una clave privada de base de datos y una clave publica de base de datos, y de una clave asimetrica de aplicacion que incluye una clave privada de aplicacion y una clave publica de aplicacion, comprendiendo el metodo:
- firmar digitalmente, por parte de la aplicacion software, la information que le transmite al servidor de base de datos utilizando la clave privada de aplicacion y verificar, por parte del servidor de base de datos, la autenticidad de la firma digital recibida de la aplicacion software utilizando la clave publica de aplicacion, y
- firmar digitalmente, por parte del servidor de base de datos, la information que le transmite a la aplicacion software utilizando la clave privada de base de datos y verificar, por parte de la aplicacion software, la autenticidad de la firma digital recibida del servidor de base de datos utilizando la clave publica de base de datos.
Opcionalmente, el metodo del primer aspecto de la invention comprende ademas:
- encriptar, por parte de la aplicacion software, la information que le transmite al servidor de base de datos, utilizando la clave publica de base de datos, y desencriptarla, por parte del servidor de base de datos, utilizando la clave privada de base de datos; y
- encriptar, por parte del servidor de base de datos, la information que le transmite a la aplicacion software, utilizando la clave publica de aplicacion, y desencriptarla, por parte de la aplicacion software, utilizando la clave privada de aplicacion.
En general, el metodo del primer aspecto de la invention comprende enviar junto con el resultado de elemento (firma digital o resultado de operation matematica), por parte del elemento de identificacion por radiofrecuencia al dispositivo de computacion lector de elementos de identification por radiofrecuencia, un numero identificativo unico asociado al mismo.
5
10
15
20
25
30
Ventajosamente, el servidor de base de datos tiene almacenada information referente a una pluralidad de elementos de identification por radiofrecuencia, o de productos asociados a los mismos, que incluye, para cada elemento, un numero identificativo unico, information de caducidad e information de verification asociada a cada clave privada de elemento (clave publica de elemento o resultado de funcion matematica, p. ej. Hash, y, si es el caso, information del esquema matematico u operaciones matematicas utilizadas), comprendiendo el metodo:
- solicitar, por parte de la aplicacion software al servidor de base de datos, la informacion de verificacion asociada a la clave privada de elemento y la informacion de caducidad asociada al numero identificativo recibido junto con el resultado de elemento, mediante el envlo de una solicitud que incluye o constituye dicha information al menos firmada digitalmente utilizando la clave privada de aplicacion;
- verificar, por parte del servidor de base de datos, la autenticidad de la firma digital recibida de la aplicacion software utilizando la clave publica de aplicacion y en caso afirmativo enviar, por parte del servidor de base de datos a la aplicacion software, la information de verification asociada a la clave privada de elemento y la information de caducidad solicitadas, las cuales constituyen dicha information al menos firmada digitalmente utilizando la clave privada de base de datos; y
- verificar, por parte de la aplicacion software la autenticidad de la firma digital recibida del servidor de base de datos utilizando la clave publica de base de datos y en caso afirmativo verificar la autenticidad del resultado de elemento y tambien la caducidad asociada a su numero identificativo.
Por lo que se refiere al servidor de base de datos, este puede implementar cualquier tipo de base de datos conocida, desde las mas convencionales (que registran la information e tablas u otra forma de estructura de datos) a las de mas reciente aparicion conocidas como bases de datos de bloques de cadena, o "blockchain”, siendo esta ultima preferida al ser descentralizada y por tanto aportar una mayor seguridad y ser resistente a catastrofes. En cualquier caso, la invention no esta limitada a ninguna clase de base de datos en concreto, ni a ningun tipo de servidor de base de datos particular.
Para un ejemplo de realization, el metodo del primer aspecto comprende realizar una autentificacion adicional de la aplicacion software por parte de una aplicacion autentificadora de aplicaciones y una entidad computacional de base de datos de aplicaciones, en la cual la aplicacion software ha sido previamente registrada, con el fin de notificar al usuario del dispositivo de computation lector de elementos de identification por radiofrecuencia si la
5
10
15
20
25
30
aplicacion software es autentica y puede/debe utilizarla para leer/autentificar al elemento de identification por radiofrecuencia, o incluso impedir el acceso de la aplicacion software al servidor de base de datos.
Segun una variante de dicho ejemplo de realization, el metodo comprende obtener la clave publica de base datos por parte de la aplicacion software desde dicha entidad computacional de base de datos de aplicaciones a traves de la aplicacion autentificadora de aplicaciones, y condicionado a que el resultado de la autentificacion adicional sea positivo. Esta variante es una manera de llevar a cabo el arriba mencionado impedimento del acceso de la aplicacion software al servidor de base de datos.
La mencionada aplicacion autentificadora de aplicaciones puede estar instalada en cualquier clase de dispositivo computacional capaz de comunicarse bidireccionalmente con la aplicacion software y con la entidad computacional de base de datos de aplicaciones, o incluso puede estar instalada en la propia entidad computacional de base de datos de aplicaciones, en funcion del ejemplo de realizacion.
De acuerdo a un ejemplo de realizacion, el metodo del primer aspecto de la invention esta aplicado a un escenario que incluye una pluralidad de servidores de bases de datos, al menos uno por fabricante, donde el citado numero identificativo incluye information identificativa de fabricante, comprendiendo el metodo determinar, por parte de la aplicacion software, cual es el servidor de base de datos asociado al fabricante indicado por dicha informacion identificativa de fabricante a la que enviarle la citada solicitud y la obtencion, por parte del servidor de base de datos, si no dispone del mismo, de un certificado digital de la aplicacion software que incluye a la clave publica de aplicacion.
Para otro ejemplo de realizacion, alternativo al descrito arriba para el que la clave publica de base datos se obtiene a traves de la aplicacion autentificadora de aplicaciones, el metodo del primer aspecto de la invencion comprende la obtencion, por parte de la aplicacion software, si no dispone del mismo, de un certificado digital de base de datos que incluye a la clave publica de base de datos.
Generalmente, los mencionados certificados digitales son obtenidos a traves de una agencia de certificados digitales que los expide convenientemente.
En general, el elemento de identificacion por radiofrecuencia esta asociado, preferentemente fijado o integrado, a un producto cuya autenticidad se desea comprobar, implicando la verification de la autenticidad del elemento de identificacion por radiofrecuencia la autentificacion del producto asociado al mismo, e implicando la verificacion de la caducidad
5
10
15
20
25
30
asociada al numero identificativo del elemento la verification de la caducidad del producto, siendo el anteriormente mencionado fabricante el fabricante del producto.
De acuerdo con un ejemplo de realization, el elemento de identification por radiofrecuencia es una etiqueta RFID, ventajosamente NFC, fijada al producto.
De acuerdo con un ejemplo de realization, el metodo propuesto por el primer aspecto de la invention esta aplicado a un escenario que incluye una pluralidad de aplicaciones software aptas para llevar a cabo dicha verification del resultado de elemento, instaladas en unas respectivas memorias de unos dispositivos de computation lectores de elementos de identification por radiofrecuencia, teniendo asociado cada una de dichas aplicaciones software un correspondiente numero de identification, donde el metodo comprende incluir dicho numero de identification en la information enviada desde la aplicacion software al servidor de base de datos, y realizar, por parte del servidor de base de datos, la identification de la aplicacion software por el numero de identification recibido.
Para una variante de dicho ejemplo de realization, cada una de dichas aplicaciones software tiene asociado un certificado digital unico con sus respectivas claves privada y publica de aplicacion y dicho correspondiente numero de identification, donde el metodo comprende realizar, por parte del servidor de base de datos, el acceso al certificado digital de la aplicacion software identificada por su numero de identification para obtener la correspondiente clave publica de aplicacion.
Para otra variante, parte o todas dichas aplicaciones software comparten un certificado digital comun asociado a los numeros de identification de dichas aplicaciones software que lo comparten, donde el metodo comprende realizar, por parte del servidor de base de datos, el acceso a dicho certificado digital comun asociado a la aplicacion software identificada por su numero de identificacion para obtener la correspondiente clave publica de aplicacion.
Ventajosamente, el servidor de base de datos almacena dicho numero de identification para registrar que aplicacion esta verificando cada elemento de identification por radiofrecuencia, y por tanto cada producto, con el fin, por ejemplo, de proporcionar al fabricante information sobre que cliente esta usando cada producto.
En general, parte o todos los certificados digitales arriba mencionados tienen asociadas unas respectivas fechas de caducidad, por lo que cuando son utilizados para verificar la autenticidad de las firmas digitales generadas con las claves privadas de los mismos, tal verification tambien incluye una comprobacion de caducidad que concluye en la determination de que la entidad que genera dicha firma digital (Aplicacion software o servidor de base de datos) no es autentica si su certificado digital ha caducado.
5
10
15
20
25
30
El fabricante del producto tiene tres mecanismos que funcionan en tiempo real para garantizar la seguridad del metodo de autentificacion propuesto por la presente invention:
1- Cambiando la caducidad de las claves criptograficas del producto, si detectase que estas claves han sido comprometidas. El producto no serla valido en este caso.
2- Cambiando la caducidad del certificado digital de la aplicacion software, si detectase que las claves de esta han sido comprometidas. En este caso el cliente deberla instalarse de nuevo la aplicacion software, la cual contendrla nuevas claves.
3- Cambiando la caducidad del certificado digital de base de datos, si detectase que sus claves han sido comprometidas.
De acuerdo a un ejemplo de realization, el metodo del primer aspecto de la invencion comprende generar dicho dato, que es al menos uno, por parte del dispositivo de computation lector de elementos de identification por radiofrecuencia, preferentemente de manera aleatoria, y enviarlo al elemento de identificacion por radiofrecuencia utilizando dicha tecnologla de comunicacion inalambrica.
Por lo que se refiere a la clave privada de elemento, de manera preferida esta se encuentra contenida en codigo de programa no lelble desde el exterior que esta grabado en el elemento de identificacion por radiofrecuencia, siendo dicho codigo de programa el encargado de leer dicho dato, firmarlo digitalmente y enviarselo, junto con un numero identificativo unico, al dispositivo de computacion lector de elementos de identificacion por radiofrecuencia.
Aunque la invencion no esta limitada a una tecnologla de comunicacion inalambrica particular, de manera muy preferida esta es una tecnologla de comunicacion de campo cercano, es decir una tecnologla NFC.
El elemento de identificacion por radiofrecuencia en general es de tipo pasivo, es decir que se alimenta a partir de la energla contenida en la senal proporcionada por el dispositivo de computacion lector de elementos de identificacion por radiofrecuencia que incluye dicho dato (y/u otra information), aunque la presente invencion tambien es aplicable a elementos de identificacion por radiofrecuencia activos.
Un segundo aspecto de la invencion concierne a un sistema de autentificacion de elementos de identificacion por radiofrecuencia, que comprende:
- un dispositivo de computacion lector de elementos de identificacion por radiofrecuencia, con capacidad de comunicacion segun una tecnologla de comunicacion inalambrica; y
5
10
15
20
25
30
- al menos un elemento de identification por radiofrecuencia que comprende unos medios de procesamiento, unos medios de almacenamiento y unos medios de comunicacion que operan segun una tecnologla de comunicacion inalambrica, estando dicho elemento de identification por radiofrecuencia configurado y adaptado para, mediante dichos medios de procesamiento, aplicar un metodo de protection matematico, que incluye una o varias operaciones o un esquema matematico, sobre al menos un dato, utilizando una clave privada de elemento almacenada en dichos medios de almacenamiento, obteniendo un resultado de elemento, y enviar, utilizando dichos medios de comunicacion, dicho resultado de elemento a dicho dispositivo de computation lector de elementos de identification por radiofrecuencia.
estando dicho dispositivo de computation lector de elementos de radiofrecuencia configurado y adaptado para verificar el resultado de elemento recibido utilizando information de verification asociada a dicha clave privada de elemento.
A diferencia de los sistemas conocidos en el estado de la tecnica, el propuesto por el segundo aspecto de la presente invention comprende, de manera caracterlstica:
- un servidor de base de datos que tiene registrada dicha information de verification asociada a dicha clave privada de elemento y que es accesible, a traves de una via de comunicacion, por parte del dispositivo de computation lector de elementos de identification por radiofrecuencia, el cual esta configurado y adaptado para obtener dicha information de verification asociada a dicha clave privada de elemento accediendo a dicho servidor de base de datos;
- una aplicacion software instalada en una memoria del dispositivo de computation lector de elementos de identification por radiofrecuencia (M) y encargada de llevar a cabo dicha verification del resultado de elemento;
- unos primeros medios de autentificacion encargados de autentificar a dicho servidor de base de datos; y
- unos segundos medios de autentificacion encargados de autentificar a dicha aplicacion software.
De acuerdo con un ejemplo de realization preferido, los primeros medios de autentificacion se encuentran implementados en el dispositivo de computacion lector de elementos de identification por radiofrecuencia, mediante la citada u otra aplicacion software y/o los citados segundos medios de autentificacion se encuentran implementados en como mlnimo el mencionado servidor de base de datos.
5
10
15
20
25
30
De acuerdo con un ejemplo de realization, los segundos medios de autentificacion se encuentran implementados tambien en una aplicacion autentificadora de aplicaciones y una entidad computacional de base de datos de aplicaciones que operan segun los correspondientes ejemplos de realization del metodo del primer aspecto de la invention descritos arriba.
En general, el dispositivo de computation lector de elementos de radiofrecuencia es portable, tal como un telefono movil inteligente (Smartphone) o una tableta digital (Tablet), aunque la invention no esta limitada a ello, pudiendo utilizarse tambien dispositivos de computation no portables.
El sistema del segundo aspecto de la invencion esta adaptado para implementar el metodo del primer aspecto. Sirva, por tanto, la description anterior de las etapas del metodo del primer aspecto de la invention segun diferentes ejemplos de realization valida para describir las funciones llevadas a cabo por los distintos actores del sistema del segundo aspecto de la invention para unos correspondientes y equivalentes ejemplos de realization.
De acuerdo a un ejemplo de realization del sistema del segundo aspecto de la invention para el cual este esta adaptado para implementar los ejemplos de realization del metodo del primer aspecto anteriormente descritos que implican la utilization de unos certificados digitales, del servidor de base de datos y de la(s) aplicacion(es) software, el sistema comprende una agencia de certification de certificados digitales encargada de expedir los anteriormente mencionados certificados digitales, siendo dicha agencia de certification accesible tanto por lo(s) servidor(es) de bases de datos como por la(s) aplicacion(es) software, a traves de unas correspondientes vlas de comunicacion, para obtener dichos certificados digitales.
Un tercer aspecto de la invention concierne a un programa de ordenador que incluye instrucciones de codigo de programa que, cuando se ejecutan en unas entidades computacionales, especlficamente parte en un elemento de identification por radiofrecuencia con capacidad de procesamiento, parte en un dispositivo de computacion lector de elementos de identificacion por radiofrecuencia y parte en al menos un servidor de base de datos (y cuando es el caso tambien en una aplicacion autentificadora de aplicaciones y una entidad computacional de base de datos de aplicaciones), implementan las etapas del metodo del primer aspecto de la invencion.
Aunque la invention no esta limitada a su aplicacion a ningun producto en concreto, es de particular interes un caso practico consistente en la autentificacion de medicamentos en la industria farmaceutica. Existen muchos medicamentos que han sido falsificados y se venden por internet. Estos medicamentos falsos no poseen de los compuestos activos necesarios y
5
10
15
20
25
30
por lo tanto no producen ningun efecto al ser humano. Al no ser efectivos pueden producir complicaciones e incluso la muerte a los pacientes. Se estima que unas 70,000 personas mueren al ano debido a la falsification de medicamentos. Mediante la presente invention se puede verificar 100% si el medicamento es autentico y ademas se comprueba la caducidad del mismo, siendo 100% seguro de tomar.
Breve description de los dibujos
Las anteriores y otras ventajas y caracterlsticas se comprenderan mas plenamente a partir de la siguiente descripcion detallada de unos ejemplos de realization con referencia a los dibujos adjuntos, que deben tomarse a tltulo ilustrativo y no limitativo, en los que:
La Figura 1 muestra un diagrama de bloques con los distintos componentes del sistema propuesto por el segundo aspecto de la invencion, para un ejemplo de realizacion, utilizados para implementar el metodo del primer aspecto.
La Figura 2 muestra, de manera esquematica, el proceso de firma digital de elemento que forma parte del metodo propuesto por el primer aspecto de la invencion, para un ejemplo de realizacion, llevado a cabo entre el elemento de identification por radiofrecuencia, tal como una etiqueta NFC, y el dispositivo de computation lector de elementos de identificacion por radiofrecuencia, tal como un lector NFC.
La Figura 3 ilustra, de manera esquematica, el proceso de verification de la firma digital de elemento que forma parte del metodo propuesto por el primer aspecto de la invencion, de acuerdo con un ejemplo de realizacion.
La Figura 4 ilustra, de manera esquematica, el proceso de autentificacion adicional de la aplicacion software que forma parte del metodo propuesto por el primer aspecto de la invencion, para un ejemplo de realizacion.
Descripcion detallada de unos ejemplos de realizacion
En el presente apartado se describen ejemplos de realizacion para los que el elemento de identificacion por radiofrecuencia genera una firma digital que le envla al dispositivo de computacion lector de elementos de identificacion por radiofrecuencia, el cual determina el metodo de protection matematico (en este caso una firma digital) aplicado por el elemento a traves de la information identificativa obtenida del servidor de base de datos y verifica la firma digital de elemento mediante una clave publica de elemento incluida tambien en la informacion de verificacion obtenida del servidor de base de datos. Sirvan los ejemplos de realizacion aqul descritos tambien como validos, ligeramente modificados, para el caso descrito en un apartado anterior para el que, en lugar de una firma digital, el elemento de identificacion por
5
10
15
20
25
30
radiofrecuencia realiza una operation matematica mas sencilla, y la information de verification almacenada en el servidor de base de datos y obtenida y utilizada por parte del dispositivo de computation lector de elementos de identification por radiofrecuencia no incluye una clave publica de elemento sino el resultado de la aplicacion de una funcion matematica (p. ej. Hash) a la clave privada de elemento asl como information identificativa sobre las operaciones matematicas aplicadas por el elemento y por tanto necesarias para la verification del resultado.
Para el ejemplo de realization de la Figura 1, el sistema propuesto por el segundo aspecto de la invention comprende los siguientes componentes, utilizados para implementar el metodo del primer aspecto de la invention:
1. Una etiqueta NFC, indicada con la referencia T, por cada producto. P
2. A cada producto P o etiqueta T se le asocia lo siguiente: una clave asimetrica unica: clave privada PriTAG y su correspondiente clave publica; un numero identificativo unico (IDTAG); y una fecha de caducidad. El IDTAG contiene en los primeros dlgitos el codigo del fabricante (F) y en el resto el numero de serie del producto (P). Todos los productos tienen un numero de serie unico.
3. Un servidor de base de datos DBT accesible, por ejemplo por Internet. El servidor de base de datos DBT, en general publica, contiene cada uno de los numeros identificativos de los productos (IDTAG), information identificativa sobre sus correspondientes metodos de protection matematicos (MET), sus correspondientes claves publicas (PubTAG) y la caducidad (CAD) de cada clave. Ademas, contiene la clave privada (PriDBT) del servidor de base de datos DBT.
4. Una agencia de certification de certificados digitales AC. La empresa creadora del producto (fabricante) tendra dos certificados unicos expedidos por esta agencia de certificados digitales AC. El primero, indicado como CerAPP, sera para autentificar la aplicacion APP que se ejecuta en el lector NFC, indicado como M, y el segundo, indicado como CerDBT, para autentificar el servidor de base de datos DBT. Estos certificados digitales contienen cada uno una de las dos claves publicas del fabricante.
5. La mencionada aplicacion software A en el citado lector NFC M (portable o de otro tipo) que usara la persona que quiera autentificar el producto P. La aplicacion software A contiene la clave privada de la aplicacion PriAPP.
En cada etiqueta NFC T se graba de forma permanente el IDTAG y un programa. El contenido de la etiqueta NFC T es permanente, no puede ser regrabado o borrado. El programa que se
5
10
15
20
25
30
graba en la etiqueta NFC T contiene, entre otras cosas, de forma secreta, la clave privada PriTAG. El programa grabado es el que se ejecuta en la etiqueta NFC cuando un lector M se acerca lo suficiente a la misma. Este programa tiene la funcionalidad de leer del lector M un dato, firmarlo y devolver la firma y su IDTAG al lector. El programa en si no se puede leer desde el lector M porque el mismo programa no implementa esta funcionalidad. De esta forma la clave privada PriTAG queda totalmente protegida. La etiqueta NFC firma el dato recibido del lector M mediante la clave privada PriTAG que se encuentra escondida en el programa.
Los siguientes cuatro procesos se llevan a cabo para autentificar la etiqueta T, y por tanto autentificar que el producto P es original del fabricante, segun el metodo del primer aspecto de la invention:
A) Verification de la autenticidad de la aplicacion A.
B) Verificacion de la autenticidad del servidor de base de datos DBT.
C) Obtencion de la firma digital del producto P o etiqueta T.
D) Verificacion de la firma digital de elemento.
Estos cuatro procesos son necesarios para garantizar la legitimidad de todos los componentes que se utilizan para autentificar una etiqueta NFC T, que son la aplicacion APP y el servidor de base de datos DBT. La legitimidad de que provienen del fabricante garantiza que todo el proceso de autenticidad de la etiqueta NFC T es valido y no ha sido corrompido por hackers.
Para comprobar la autenticidad de la aplicacion en el proceso A por parte del servidor de base de datos DBT se procede siguiendo los siguientes pasos:
A1) Toda informacion que transmite la aplicacion APP se encripta usando la clave publica del servidor de base de datos DBT, que se encuentra en el certificado digital de base de datos CerDBT, generando asl un mensaje encriptado de aplicacion, el cual se firma digitalmente, por parte de la aplicacion A, usando su propia clave privada PriAPP.
A2) El servidor de base de datos DBT comprueba la autenticidad de la aplicacion APP comprobando que la firma digital que recibe de la aplicacion APP es correcta usando la clave publica contenida en el certificado digital de la aplicacion CerAPP.
Del mismo modo se procede a comprobar la autenticad del servidor de base de datos DBT en el paso B siguiendo los siguientes pasos:
B1) Toda information que transmite el servidor de base de datos DBT a la aplicacion APP se encripta usando la clave publica de la aplicacion, que se encuentra en el certificado
5
10
15
20
25
30
digital de la aplicacion CerAPP, generando asl un mensaje encriptado de base de datos, el cual es firmado digitalmente, por parte del servidor de base de datos DBT, usando su propia clave privada PriDBT.
B2) La aplicacion APP comprueba la autenticidad del servidor de base de datos DBT comprobando que la firma digital que recibe del servidor de base de datos DBT es correcta usando la clave publica PubDBT, obtenida mediante el certificado digital de la base de datos CerDBT o, de manera alternativa, por otra via, tal como la que se explicara mas abajo en relacion a la Figura 4.
Para la obtencion de la firma digital de la etiqueta NFC T en el proceso C se realizan los siguientes cuatro pasos que se detallan a continuation en orden cronologico y se ilustran tambien en la Figura 2:
C1) El lector NFC M genera un dato aleatorio.
C2) El dato aleatorio se envla a la etiqueta NFC T.
C3) La etiqueta NFC T recibe el dato del lector NFC M y lo firma digitalmente usando su clave privada PriTAG, es decir genera la anteriormente denominada firma digital de elemento
C4) La firma digital de elemento y el IDTAG de la etiqueta T se envlan a la aplicacion APP del lector M.
En general, las etapas C1) y C2) se llevan a cabo por parte de la propia aplicacion A, aunque, de manera alternativa y menos preferida, estas se llevan a cabo por parte de otra aplicacion o algoritmo.
Para la verification de la firma digital de elemento, es decir la generada por la etiqueta NFC T, en el proceso D se realizan los siguientes cuatro pasos que se detallan a continuacion en orden cronologico y que se ilustran tambien en la Figura 3:
D1) La aplicacion APP determina el fabricante (F) viendo los primeros dlgitos del IDTAG que recibe de la etiqueta NFC T.
D2) La aplicacion APP obtiene el certificado digital de base de datos correspondiente a F, es decir CerDBT, de la agencia de certificados digitales AC, si aun no lo tiene.
D3) La aplicacion APP pregunta al servidor de base de datos DBT por el metodo de protection matematico MET y por la clave publica PubTAG del producto P asociado a la etiqueta T y de la caducidad del producto CAD, segun el paso A1) del proceso A) explicado
5
10
15
20
25
30
arriba, donde dicha pregunta, o solicitud, incluye o constituye la information que transmite la aplicacion APP al servidor de base de datos DBT, encriptada y firmada.
D4) El servidor de base de datos DBT obtiene el certificado digital de la aplicacion correspondiente a F, es decir CerAPP, de la agencia de certificados digitales AC, si aun no lo tiene
D5) El servidor de base de datos DBT verifica la autenticidad de la aplicacion APP segun el paso A2) del proceso A) explicado anteriormente.
D6) El servidor de base de datos DBT envla los datos pedidos usando el procedimiento descrito en el paso B1) del proceso B), donde dichos datos constituyen o incluyen la information que transmite el servidor de base de datos DBT a la aplicacion A, encriptada y firmada.
D7) La aplicacion APP verifica la autenticidad del servidor de base de datos DBT segun el paso B2) del proceso B).
D8) Si la autenticidad del servidor de base de datos DBT ha sido verificada en D7), la aplicacion APP verifica la autenticidad del producto y que este no ha caducado (si el producto ha caducado la autenticidad podrla no ser valida) mediante la verification de la firma digital de elemento con la clave publica PubTAG recibida y de su caducidad comprobando la fecha indicada en CAD.
En la Figura 4 se ilustra el anteriormente descrito proceso de autentificacion adicional de la aplicacion software (proceso E)) a traves del cual la aplicacion software APP obtiene la clave publica PubDBT de manera alternativa a la descrita en B2), es decir sin la utilization de un certificado digital. En este proceso la clave publica PubDBT es obtenida por la APP de la entidad computacional de base de datos de aplicaciones DBA (que en este caso es de tipo "blockchain” pero podrla ser de cualquier otro tipo) a traves de la aplicacion autentificadora de aplicaciones, segun los pasos que se explicaran a continuation, asumiendo que la APP ha sido previamente registrada en la DBA por parte de AAA:
E1) La AAA puede iniciar la autentificacion de la APP o la misma APP la puede iniciar tambien. Caso de iniciar la AAA, esta pregunta por el identificador de aplicacion IDAPP a APP sin encriptar el mensaje. En el caso en que la APP la inicia, se continua con el paso E2).
E2) APP pide el certificado digital de AAA, es decir CerAAA, a la agencia de certification ACD.
5
10
15
20
25
E3) ACD envla CerAAA a APP, de manera que esta obtiene la clave publica de AAA, es decir PubAAA.
E4) APP envla IDAPP a AAA con una comunicacion segura, es decir encriptando con la PubAAA y firmando digitalmente con su clave privada PriAPP.
E5) AAA una vez recibido el APPID, lo envla a la DBA mediante una comunicacion segura, es decir encriptando con la PubDBA y firmando digitalmente con su clave privada PriAAA.
E6) DBA responde a AAA con la PubAPP mediante una comunicacion segura, es decir encriptando con la PubAAA y firmando digitalmente con su clave privada PriDBA.
E7) AAA asocia con IDAPP la correspondiente PubAPP recibida.
E8) AAA envla un dato aleatorio (RND) a APP mediante una comunicacion segura, es decir encriptando con la PubAPP y firmando digitalmente con su clave privada PriAAA.
E9) APP confirma que AAA es autentica (comprobando la firma digital recibida de esta) y devuelve el RND a AAA mediante una comunicacion segura, es decir encriptando con la PubAAA y firmando digitalmente con su clave privada PriAPP.
E10) AAA confirma la autenticidad de APP mediante la comprobacion de que el RND recibido coincide con el previamente enviado y comprobando su firma.
E11) AAA envla la PubDBT a APP.
La presente invencion aporta numerosas ventajas tecnicas con respecto a los metodos/sistemas del estado de la tecnica, incluyendo las siguientes:
• Mayor seguridad
La presente invencion proporciona una mayor seguridad que los metodos conocidos, evitando as! el copiado o “hackeo” de las etiquetas NFC ya producidas. Esto se consigue mediante los mecanismos descritos anteriormente:
o El copiado esta protegido mediante la proteccion de una clave privada secreta de criptografla la cual esta algorltmicamente protegida de cualquier lectura externa a la etiqueta.
o Ademas, se evita el copiado del resultado utilizado en el procedimiento de autentificacion ya que el computo del resultado se realiza sobre un dato que se desconoce a priori y por lo tanto no puede ser predecible.
5
10
15
20
25
30
35
o Se garantiza que todos los componentes de comprobacion de la autenticidad (aplicacion y base de datos) tambien son autenticos reduciendo notablemente el posible ataque de hackers por suplantacion de la identidad de los componentes. o Las claves generadas por cada producto son temporales y pueden ser revocadas en cualquier momento con lo que aumenta aun mas el nivel de seguridad del mecanismo propuesto, ya que, por ejemplo, evita que las claves se reutilicen una vez desechados los productos.
o Ninguna clave privada se transmite entre los distintos componentes por lo que quedan secretas a cualquier hacker. o Se utilizan claves independientes por cada elemento a autentificar. o Las comunicaciones entre los distintos componentes se encriptan para garantizar que solamente el receptor de los mensajes pueda leer su contenido y su vez se firman para determinar el emisor de los mensajes y comprobar que su contenido no ha sido modificado.
o El metodo de proteccion matematico empleado en cada elemento no esta divulgado publicamente, quedando por el contrario protegido en la base de datos. Para conocerlo se requiere previa autentificacion en el servidor de la base de datos para obtener la informacion de verificacion del elemento.
• Mayor control
o Los productos pueden ser facilmente quitados del consumo, solamente cambiando la fecha de caducidad de las claves asociadas en el servidor de base de datos. Los otros metodos necesitan tener flsicamente el producto para destruir su mecanismo de autenticidad o reprogramar de nuevo la etiqueta NFC. o Las aplicaciones de autentificacion pueden registrar datos de consumo de los usuarios.
o La complejidad computacional del metodo de autentificacion puede ser controlada independientemente por cada elemento. La complejidad puede ser mayor usando firmas digitales o menor usando operaciones matematicas.
• Mayor fiabilidad
La fiabilidad del mecanismo esta respaldada por la agencia de certificados digitales en donde previamente ha tenido que autentificar legalmente los distintos certificados digitales usados en la presente invention. Ademas, permite reducir al mlnimo el numero de certificados digitales requeridos, pudiendo ser necesario solo un certificado.
• Menor costo de los elementos
El costo de los elementos esta directamente relacionado con la complejidad computacional requerida del metodo de autentificacion. Con la presente invencion se puede emplear una complejidad minima y por lo tanto minimizar asi el costo de los 5 elementos para productos que son mas sensibles al precio.
Un experto en la materia podria introducir cambios y modificaciones en los ejemplos de realization descritos sin salirse del alcance de la invencion segun esta definido en las reivindicaciones adjuntas.
10

Claims (26)

  1. 5
    10
    15
    20
    25
    30
    REIVINDICACIONES
    1.- Metodo de autentificacion de elementos de identification por radiofrecuencia, que comprende:
    - aplicar una o varias operaciones aritmeticas o una firma digital, por parte de un elemento de identification por radiofrecuencia (T) con capacidad de procesamiento, sobre al menos un dato, utilizando al menos una clave privada de elemento (PriTAG) almacenada en dicho elemento de identificacion por radiofrecuencia (T), obteniendo un resultado de elemento;
    - enviar dicho resultado de elemento, utilizando una tecnologla de comunicacion inalambrica, por parte de dicho elemento de identificacion por radiofrecuencia, a un dispositivo de computation lector de elementos de identificacion por radiofrecuencia (M); y
    - verificar dicho resultado de elemento, por parte de dicho dispositivo de computation lector de elementos de identificacion por radiofrecuencia (M), utilizando informacion de verificacion asociada a dicha clave privada de elemento (PriTAG);
    estando el metodo caracterizado porque comprende obtener dicha information de verification asociada a dicha clave privada de elemento (PriTAG) de un servidor de base de datos (DBT), por parte de dicho dispositivo de computation lector de elementos de identificacion por radiofrecuencia (M), y porque el metodo comprende autentificar tambien a dicho servidor de base de datos (DBT) y a una aplicacion software (APP) instalada en una memoria del dispositivo de computacion lector de elementos de identificacion por radiofrecuencia (M) encargada de llevar a cabo dicha verification del resultado de elemento.
  2. 2. - Metodo segun la revindication 1, caracterizado porque dicha information de verification incluye information identificativa sobre la operation u operaciones aritmeticas empleadas o sobre la firma digital empleada para obtener dicho resultado de elemento.
  3. 3. - Metodo segun la revindication 1 o 2, caracterizado porque comprende aplicar dicha o dichas operaciones aritmeticas por parte de dicho elemento de identificacion por radiofrecuencia (T) con capacidad de procesamiento, incluyendo dicha informacion de verification el resultado de una funcion Hash aplicada sobre la clave privada de elemento (PriTAG), y realizando la aplicacion software (APP) los siguientes pasos, de manera secuencial y sucesiva:
    5
    10
    15
    20
    25
    30
    i) la aplicacion de la operation u operaciones inversas a dicha o dichas operaciones aritmeticas, sobre el resultado de elemento;
    ii) la aplicacion de dicha funcion Hash sobre el resultado obtenido en i); y
    iii) la comparacion del resultado obtenido en ii) con el resultado que constituye dicha information de verification.
  4. 4. - Metodo segun la reivindicacion 3 cuando depende de la 2, caracterizado porque comprende, de manera previa a dicha etapa i) y con el fin de conocer que operacion u operaciones aritmeticas ha aplicado el elemento de identification por radiofrecuencia (T) con capacidad de procesamiento, identificar, por parte de la aplicacion software (APP), la operacion u operaciones aritmeticas aplicadas, a traves de dicha informacion identificativa incluida en la informacion de verificacion.
  5. 5. - Metodo segun la reivindicacion 1 o 2, caracterizado porque comprende, por parte de dicho elemento de identificacion por radiofrecuencia (T) con capacidad de procesamiento, aplicar dicha firma digital, siendo dicho resultado de elemento una firma digital de elemento e incluyendo dicha informacion de verificacion una clave publica de elemento (PubTAG) asociada a dicha clave privada de elemento (PriTAG).
  6. 6. - Metodo segun una cualquiera de las reivindicaciones, caracterizado porque comprende llevar a cabo dicha autentificacion de dicho servidor de base de datos (DBT) por parte de dicho dispositivo de computation lector de elementos de identificacion por radiofrecuencia (M), utilizando dicha (APP) u otra aplicacion software.
  7. 7. - Metodo segun una cualquiera de las reivindicaciones, caracterizado porque comprende llevar a cabo dicha autentificacion de dicha aplicacion software (APP) por parte de dicho servidor de base de datos (DBT).
  8. 8. - Metodo segun la reivindicacion 7 cuando depende de la 6, caracterizado porque comprende llevar a cabo dicha autentificacion del servidor de base de datos (DBT) y dicha autentificacion de la aplicacion software (APP), mediante la utilizacion de una clave asimetrica de servidor de base de datos que incluye una clave privada de servidor de base de datos (PriDBT) y una clave publica de servidor de base de datos (PubDBT), y de una clave asimetrica de aplicacion que incluye una clave privada de aplicacion (PriAPP) y una clave publica de aplicacion (PubAPP), comprendiendo el metodo:
    - firmar digitalmente, por parte de la aplicacion software (APP), la informacion que le transmite al servidor de base de datos (DBT) utilizando la clave privada de aplicacion (PriAPP) y verificar, por parte del servidor de base de datos (DBT), la
    5
    10
    15
    20
    25
    30
    autenticidad de la firma digital recibida de la aplicacion software (APP) utilizando la clave publica de aplicacion (PubAPP), y
    - firmar digitalmente, por parte del servidor de base de datos (DBT), la information que le transmite a la aplicacion software (APP) utilizando la clave privada de DBT (PriDBT) y verificar, por parte de la aplicacion software (APP), la autenticidad de la firma digital recibida del servidor de base de datos (DBT) utilizando la clave publica de base de datos (PubDBT).
  9. 9. - Metodo segun la reivindicacion 8, caracterizado porque comprende ademas:
    - encriptar, por parte de la aplicacion software (APP), la informacion que le transmite al servidor de base de datos (DBT), utilizando la clave publica de base de datos (PubDBT), y desencriptarla, por parte del servidor de base de datos (DBT), utilizando la clave privada de del servidor de base de datos (PriDBT); y
    - encriptar, por parte del servidor de base de datos (DBT), la informacion que le transmite a la aplicacion software (APP), utilizando la clave publica de aplicacion (PubAPP), y desencriptarla, por parte de la aplicacion software (APP), utilizando la clave privada de aplicacion (PriAPP).
  10. 10. - Metodo segun una cualquiera de las reivindicaciones, caracterizado porque comprende enviar junto con dicho resultado de elemento, por parte del elemento de identification por radiofrecuencia (T) al dispositivo de computation lector de elementos de identificacion por radiofrecuencia (M), un numero identificativo unico (IDTAG) asociado al mismo.
  11. 11. - Metodo segun la reivindicacion 10, caracterizado porque dicho servidor de base de datos (DBT) tiene almacenada informacion referente a una pluralidad de elementos de identificacion por radiofrecuencia (T), o de productos (P) asociados a los mismos, que incluye, para cada elemento, un numero identificativo unico (IDTAG), informacion de caducidad (CAD), e informacion de verification asociada a cada clave privada de elemento (PriTAG), comprendiendo el metodo:
    - solicitar, por parte de la aplicacion software (APP) al servidor de base de datos, la informacion de verificacion asociada a la clave privada de elemento (PriTAG) y la informacion de caducidad (CAD) asociada al numero identificativo (IDTAG) recibido junto con el resultado de elemento, mediante el envlo de una solicitud que incluye o constituye dicha informacion al menos firmada digitalmente utilizando la clave privada de aplicacion (PriAPP);
    5
    10
    15
    20
    25
    30
    - verificar, por parte del servidor de base de datos (DBT), la autenticidad de la firma digital recibida de la aplicacion software (APP) utilizando la clave publica de aplicacion y en caso afirmativo enviar, por parte del servidor de base de datos (DBT) a la aplicacion software (APP), la information de verification asociada a la clave privada de elemento (PriTAG) y la informacion de caducidad (CAD) solicitadas, las cuales constituyen dicha informacion al menos firmada digitalmente utilizando la clave privada de base de datos (PriDBT); y
    - verificar, por parte de la aplicacion software (APP) la autenticidad de la firma digital recibida del servidor de base de datos (DBT) utilizando la clave publica de base de datos (PubDBT) y en caso afirmativo verificar la autenticidad del resultado de elemento y tambien la caducidad (CAD) asociada a su numero identificativo (IDTAG).
  12. 12. - Metodo segun una cualquiera de las reivindicaciones, caracterizado porque comprende realizar una autentificacion adicional de la aplicacion software (APP) por parte de una aplicacion autentificadora de aplicaciones (AAA) y una entidad computacional de base de datos de aplicaciones (DBA).
  13. 13. - Metodo segun la reivindicacion 12 cuando depende de la 11, caracterizado porque comprende obtener dicha clave publica de base datos (PubDBT) por parte de la aplicacion software (APP) desde dicha entidad computacional de base de datos de aplicaciones (DBA) a traves de dicha aplicacion autentificadora de aplicaciones (AAA), y condicionado a que el resultado de dicha autentificacion adicional sea positivo.
  14. 14. - Metodo segun la reivindicacion 11 cuando depende de la 8 o la 9, caracterizado porque esta aplicado a un escenario que incluye una pluralidad de servidores de bases de datos, al menos uno por fabricante, donde dicho numero identificativo (IDTAG) incluye informacion identificativa de fabricante, comprendiendo el metodo determinar, por parte de la aplicacion software (APP), cual es el servidor de base de datos (DBT) asociado al fabricante indicado por dicha informacion identificativa de fabricante a la que enviarle dicha solicitud y la obtencion, por parte del servidor de base de datos (DBT), si no dispone del mismo, de un certificado digital de la aplicacion software (CerAPP) que incluye la clave publica de aplicacion (PubAPP).
  15. 15. - Metodo segun la reivindicacion 14, caracterizado porque comprende la obtencion, por parte de la aplicacion software (APP), si no dispone del mismo, de un certificado digital de base de datos (CerDBT) que incluye a la clave publica de base de datos (PubDBT).
    5
    10
    15
    20
    25
    30
  16. 16. - Metodo segun la reivindicacion 14 o 15, caracterizado porque esta aplicado a un escenario que incluye una pluralidad de aplicaciones software aptas para llevar a cabo dicha verification del resultado de elemento, instaladas en unas respectivas memorias de unos dispositivos de computation lectores de elementos de identification por radiofrecuencia (M), teniendo asociado cada una de dichas aplicaciones software un correspondiente numero de identificacion (IDAPP), donde el metodo comprende incluir dicho numero de identificacion en la information enviada desde la aplicacion software (APP) al servidor de base de datos (DBT), y realizar, por parte del servidor de base de datos (DBT), la identificacion de la aplicacion software (APP) por el numero de identificacion (IDAPP) recibido.
  17. 17. - Metodo segun la reivindicacion 16, caracterizado porque cada una de dichas aplicaciones software tiene asociado un certificado digital unico con sus respectivas claves privada y publica de aplicacion y dicho correspondiente numero de identificacion (IDAPP), donde el metodo comprende realizar, por parte del servidor de base de datos (DBT), el acceso al certificado digital de la aplicacion software (APP) identificada por su numero de identificacion (IDAPP) para obtener la correspondiente clave publica de aplicacion (PubAPP).
  18. 18. - Metodo segun la reivindicacion 16, caracterizado porque varias o todas dichas aplicaciones software comparten un certificado digital comun asociado a todos los numeros de identificacion de las aplicaciones software que lo comparten, donde el metodo comprende realizar, por parte del servidor de base de datos, (DBT) el acceso a dicho certificado digital comun asociado a la aplicacion software (APP) identificada por su numero de identificacion (IDAPP) para obtener la correspondiente clave publica de aplicacion (PubAPP).
  19. 19. - Metodo segun una cualquiera de las reivindicaciones, caracterizado porque comprende generar dicho dato, que es al menos uno, de manera aleatoria por parte de dicho dispositivo de computacion lector de elementos de identificacion por radiofrecuencia (M) y enviarlo a dicho elemento de identificacion por radiofrecuencia (T) utilizando dicha tecnologla de comunicacion inalambrica.
  20. 20. - Metodo segun la reivindicacion 19, caracterizado porque dicha clave privada de elemento (PriTAG) se encuentra contenida en codigo de programa no lelble desde el exterior que esta grabado en el elemento de identificacion por radiofrecuencia (T), siendo dicho codigo de programa encargado de leer dicho dato, firmarlo digitalmente y
    5
    10
    15
    20
    25
    30
    enviarselo, junto con un numero identificativo unico (IDTAG), al dispositivo de computation lector de elementos de identification por radiofrecuencia (M).
  21. 21. - Metodo segun una cualquiera de las reivindicaciones anteriores, caracterizado porque dicha tecnologla de comunicacion inalambrica es una tecnologla de comunicacion de campo cercano.
  22. 22. - Sistema de autentificacion de elementos de identificacion por radiofrecuencia, caracterizado porque esta adaptado para implementar el metodo segun una cualquiera de las reivindicaciones 1 a 21, y comprende:
    - un dispositivo de computacion lector de elementos de identificacion por radiofrecuencia (M), con capacidad de comunicacion segun una tecnologla de comunicacion inalambrica; y
    - al menos un elemento de identificacion por radiofrecuencia (T) que comprende unos medios de procesamiento, unos medios de almacenamiento y unos medios de comunicacion que operan segun una tecnologla de comunicacion inalambrica, estando dicho elemento de identificacion por radiofrecuencia (T) configurado y adaptado para, mediante dichos medios de procesamiento, aplicar una o varias operaciones aritmeticas o una firma digital, sobre al menos un dato, utilizando una clave privada de elemento (PriTAG) almacenada en dichos medios de almacenamiento, obteniendo un resultado de elemento, y enviar, utilizando dichos medios de comunicacion, dicho resultado de elemento a dicho dispositivo de computacion lector de elementos de identificacion por radiofrecuencia (M);
    estando dicho dispositivo de computacion lector de elementos de radiofrecuencia (M) configurado y adaptado para verificar el resultado de elemento recibido utilizando information de verification asociada a dicha clave privada de elemento (PriTAG);
    estando el sistema caracterizado porque comprende:
    - un servidor de base de datos (DBT) que tiene registrada dicha informacion de verificacion asociada a dicha clave privada de elemento (PriTAG) y que es accesible, a traves de una via de comunicacion, por parte del dispositivo de computacion lector de elementos de identificacion por radiofrecuencia (M), el cual esta configurado y adaptado para obtener dicha informacion de verificacion asociada a dicha clave privada de elemento (PriTAG) accediendo a dicho servidor de base de datos (DBT);
    5
    10
    15
    20
    25
    - una aplicacion software (APP) instalada en una memoria del dispositivo de computation lector de elementos de identification por radiofrecuencia (M) y encargada de llevar a cabo dicha verification del resultado de elemento;
    - unos primeros medios de autentificacion encargados de autentificar a dicho servidor de base de datos (DBT); y
    - unos segundos medios de autentificacion encargados de autentificar a dicha aplicacion software (APP).
  23. 23. - Sistema segun la reivindicacion 22, caracterizado porque dichos primeros medios de autentificacion se encuentran implementados en el dispositivo de computacion lector de elementos de identificacion por radiofrecuencia (M), mediante dicha (APP) u otra aplicacion software y/o dichos segundos medios de autentificacion se encuentran implementados en al menos dicho servidor de base de datos (DBT).
  24. 24. - Sistema segun la reivindicacion 23, caracterizado porque los segundos medios de autentificacion se encuentran implementados tambien en una aplicacion autentificadora de aplicaciones (AAA) y una entidad computacional de base de datos de aplicaciones (DBA) que operan segun el metodo de la reivindicacion 12 o 13.
  25. 25. - Sistema segun la reivindicacion 24, caracterizado porque comprende una agencia de certification (AC) de certificados digitales encargada de expedir dichos certificados digitales, siendo dicha agencia de certificacion (AC) accesible tanto por lo(s) servidor(es) de bases de datos (DBT) como por la(s) aplicacion(es) software (APP), a traves de unas correspondientes vlas de comunicacion, para obtener dichos certificados digitales con el fin de implementar el metodo segun la reivindicacion 14, 15, 16 o 17.
  26. 26. - Programa de ordenador, que incluye instrucciones de codigo de programa que, cuando se ejecutan en unas entidades computacionales, especlficamente parte en un elemento de identificacion por radiofrecuencia con capacidad de procesamiento, parte en un dispositivo de computacion lector de elementos de identificacion por radiofrecuencia y parte en al menos un servidor de base de datos, implementan las etapas del metodo segun una cualquiera de las reivindicaciones 1 a 21.
ES201531078A 2015-07-22 2015-07-22 Método y sistema de autentificación de elementos de identificación por radiofrecuencia, y programa de ordenador Expired - Fee Related ES2597808B1 (es)

Priority Applications (1)

Application Number Priority Date Filing Date Title
ES201531078A ES2597808B1 (es) 2015-07-22 2015-07-22 Método y sistema de autentificación de elementos de identificación por radiofrecuencia, y programa de ordenador

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ES201531078A ES2597808B1 (es) 2015-07-22 2015-07-22 Método y sistema de autentificación de elementos de identificación por radiofrecuencia, y programa de ordenador

Publications (2)

Publication Number Publication Date
ES2597808A1 true ES2597808A1 (es) 2017-01-23
ES2597808B1 ES2597808B1 (es) 2017-11-07

Family

ID=57797749

Family Applications (1)

Application Number Title Priority Date Filing Date
ES201531078A Expired - Fee Related ES2597808B1 (es) 2015-07-22 2015-07-22 Método y sistema de autentificación de elementos de identificación por radiofrecuencia, y programa de ordenador

Country Status (1)

Country Link
ES (1) ES2597808B1 (es)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1209576A1 (en) * 1999-12-14 2002-05-29 Sony Corporation Registering device and method, information processing device and method, providing device and method, and program storage medium
US20050033689A1 (en) * 2001-07-10 2005-02-10 American Express Travel Related Services Company, Inc. A system and method for dynamic fob synchronization and personalization
US20070052525A1 (en) * 2005-03-11 2007-03-08 Chenghao Quan RFID system and method for protecting information
US20100001840A1 (en) * 2008-07-07 2010-01-07 You Sung Kang Method and system for authenticating rfid tag
CN101662366A (zh) * 2009-05-27 2010-03-03 西安西电捷通无线网络通信有限公司 基于哈希函数的双向认证方法及系统
KR20120010604A (ko) * 2010-07-20 2012-02-06 충남대학교산학협력단 서버와 리더의 위장공격 탐지가 가능한 랜덤 아이디 기반 rfid 상호 인증 방법
CN102737260A (zh) * 2011-04-15 2012-10-17 深联致远(北京)科技有限公司 Rfid隐私保护识别验证方法及其装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1209576A1 (en) * 1999-12-14 2002-05-29 Sony Corporation Registering device and method, information processing device and method, providing device and method, and program storage medium
US20050033689A1 (en) * 2001-07-10 2005-02-10 American Express Travel Related Services Company, Inc. A system and method for dynamic fob synchronization and personalization
US20070052525A1 (en) * 2005-03-11 2007-03-08 Chenghao Quan RFID system and method for protecting information
US20100001840A1 (en) * 2008-07-07 2010-01-07 You Sung Kang Method and system for authenticating rfid tag
CN101662366A (zh) * 2009-05-27 2010-03-03 西安西电捷通无线网络通信有限公司 基于哈希函数的双向认证方法及系统
KR20120010604A (ko) * 2010-07-20 2012-02-06 충남대학교산학협력단 서버와 리더의 위장공격 탐지가 가능한 랜덤 아이디 기반 rfid 상호 인증 방법
CN102737260A (zh) * 2011-04-15 2012-10-17 深联致远(北京)科技有限公司 Rfid隐私保护识别验证方法及其装置

Also Published As

Publication number Publication date
ES2597808B1 (es) 2017-11-07

Similar Documents

Publication Publication Date Title
US11664997B2 (en) Authentication in ubiquitous environment
ES2941787T3 (es) Métodos y sistemas para preparar y realizar una autenticación de objeto
ES2881289T3 (es) Método para gestionar una identidad de confianza
EP3288214B1 (en) Authentication in ubiquitous environment
US9369287B1 (en) System and method for applying a digital signature and authenticating physical documents
ES2816324T3 (es) Método que usa un único dispositivo de autenticación para autenticar a un usuario a un proveedor de servicios entre una pluralidad de proveedores de servicios y dispositivo para realizar dicho método
US8863308B2 (en) System and methods for providing identity attribute validation in accordance with an attribute disclosure profile
WO2017016318A1 (zh) 基于非对称加密算法的可信标签的生成与验证方法及系统
ES2599985T3 (es) Validación en cualquier momento para los tokens de verificación
CN105262595B (zh) 用于设备和数据认证的系统和方法
ES2733362T3 (es) Sistema y método de cifrado
CN105474573A (zh) 用于同步并恢复参考模板的技术
JP6074035B2 (ja) 真贋判定システム、真贋判定方法、およびicチップ装着部材
BR102018014023A2 (pt) Sistema e método de comunicação segura
KR102178179B1 (ko) 모바일 신분증 관리 장치 및 사용자 단말기
JP6691582B2 (ja) ユーザー認証方法及び認証管理方法
CN112487839B (zh) 一种防复制rfid安全系统
WO2022096717A1 (en) Digital signing of a data structure
US20190034925A1 (en) System and method for payment transaction authentication based on a cryptographic challenge
TWI596547B (zh) Card application service anti-counterfeiting writing system and method based on multi-card combination
ES2597808B1 (es) Método y sistema de autentificación de elementos de identificación por radiofrecuencia, y programa de ordenador
JP5489913B2 (ja) 携帯型情報装置及び暗号化通信プログラム
BR102016017113A2 (pt) Sistema e método de provisionamento e personalização digital de documentos de identificação eletrônicos (eid) e método de verificação da autenticidade de documento identificação eletrônicos (eid)
KR100742778B1 (ko) 무선 식별 전자서명을 이용한 사용자 인증 방법, 그 기록매체 및 무선 식별 전자서명을 이용한 사용자 인증 장치
RU2816848C2 (ru) Способы и системы для подготовки и осуществления проверки аутентичности объекта

Legal Events

Date Code Title Description
FG2A Definitive protection

Ref document number: 2597808

Country of ref document: ES

Kind code of ref document: B1

Effective date: 20171107

FD2A Announcement of lapse in spain

Effective date: 20220826