ES2625254T3 - Tarjeta con chip de telecomunicaciones - Google Patents

Abstract

Una tarjeta con chip de telecomunicaciones (100) para permitir el registro de un dispositivo de telefonía móvil (104) en una red de telecomunicaciones móviles celular digital (107) que comprende: - una interfaz de lector de tarjeta con chip (102) adaptada para permitir comunicaciones entre la tarjeta con chip de telecomunicaciones y el dispositivo de telefonía móvil; - un medio de procesador de tarjeta con chip (300); - un medio de memoria segura (302) para almacenar programas para ejecución por el medio de procesador de tarjeta con chip; y - un programa (304) almacenado en el medio de memoria segura que comprende instrucciones legibles por máquina ejecutables por el medio de procesador de tarjeta con chip; en donde la ejecución del programa hace al medio de procesador de tarjeta con chip realizar los pasos de: - realizar (200) una primera autenticación mutua criptográfica entre la tarjeta con chip de telecomunicaciones y un dispositivo terminal (502) a través de la interfaz de lector de tarjeta con chip, en donde el dispositivo terminal tiene un lector de tarjeta con chip (507) operable para conectarse a la interfaz de lector de tarjeta con chip; - recibir (214) un mensaje de configuración (400, 402, 404, 406, 408, 410, 524) a través de la interfaz de lector de tarjeta con chip; - almacenar (216) el mensaje de configuración en el medio de memoria segura; - borrar (218) el programa del medio de memoria segura, de manera que la tarjeta con chip de telecomunicaciones (100) se puede modificar solamente una vez.

Description

5

10

15

20

25

30

35

40

45

50

55

DESCRIPCION

Tarjeta con chip de telecomunicaciones Campo de la invencion

Los dispositivos de telefoma movil son ubicuos en la sociedad de hoy en dfa. Muchos individuos llevan al menos un dispositivo de telefoma movil, tfpicamente un telefono celular. Tambien se llevan y usan comunmente muchos otros dispositivos de telefoma movil tales como miniordenadores portatiles o tabletas. Mientras el usuario puede comunicar usando un telefono movil usando una variedad de diferentes modalidades. Por ejemplo, un usuario puede enviar un SMS, descargar una pagina web, enviar o recibir un correo electronico, y/o hacer una llamada de telefoma de voz.

Tfpicamente los dispositivos de telefoma movil estan adaptados para recibir una tarjeta con chip de telecomunicaciones que proporciona los datos y la autorizacion necesaria para registrarse en una red de telecomunicaciones moviles celular. La tarjeta con chip de telecomunicaciones se puede mover de un dispositivo de telefoma movil a otro.

En algunos mercados los individuos pueden usar la misma tarjeta con chip de telecomunicaciones durante anos. Otros mercados, tales como en el mundo en desarrollo, las tarjetas con chip de telecomunicaciones se usan durante un periodo de tiempo corto y se desechan. Debido a esto el operador de la red de telecomunicaciones moviles celular puede configurar y permitir constantemente grandes numeros de tarjetas con chip de telecomunicaciones para sustituir las que se desechan. El operador de red de telecomunicaciones moviles celular tambien puede cambiar a menudo las opciones de configuracion y los datos incluidos en las tarjetas con chip de telecomunicaciones.

Antecedentes y tecnica relacionada

El documento EP 2 448 216 A1 se refiere a metodos y a un aparato que permite la programacion de informacion de identificacion electronica de un aparato inalambrico. En una realizacion, un aparato inalambrico comprado o desplegado previamente se activa por una red celular. El aparato inalambrico se conecta a la red celular usando un modulo de acceso para descargar componentes del sistema operativo y/o componentes del cliente de control de acceso. Los metodos y el aparato descritos permiten actualizaciones, adiciones y sustitucion de diversos componentes incluyendo datos de Modulo de Identidad de Abonado Electronico (eSlM), componentes OS. Una implementacion ejemplar de la invencion utiliza un intercambio de claves de confianza entre el dispositivo y la red celular para mantener la seguridad.

El documento EP 2 337 307 A2 describe un metodo, aparato, sistema y producto de programa de ordenador para un servicio de modulo de identidad de abonado seguro. Una comunicacion a traves de una red movil se activa en respuesta a recibir una solicitud para activar un servicio de comunicacion para el sistema mediante una particion segura del sistema. En respuesta a recibir la solicitud, se recupera una clave para un servicio de permiso desde un almacenamiento accesible solamente por la particion segura. La clave se incluye en un permiso que solicita activar el servicio de comunicacion, y el permiso se envfa a un proveedor de servicios para el servicio de comunicacion. El proveedor de servicios comunica con el servicio de permiso para obtener una firma digital para el permiso. La particion segura recibe un permiso firmado desde el proveedor de servicios, confirma que el permiso firmado contiene la firma digital por el servicio de permiso, y activa el servicio de comunicacion para el sistema en respuesta a confirmar que el permiso firmado contiene la firma digital.

Segun el documento WO 03/077585 A1 un modulo de identidad se activa de la siguiente manera. Un centro de personalizacion almacena un codigo de identidad inicial en el modulo de identidad y comunica el codigo de identidad inicial a un sistema de gestion de red. Un distribuidor asigna una direccion de comunicacion al modulo de identidad y comunica la direccion de comunicacion junto con el codigo de identidad inicial al sistema de gestion de red. El modulo de identidad contacta con el sistema de gestion de red a traves de un dispositivo de comunicacion (telefono movil), por el cual el sistema de gestion de red recibe el codigo de identidad inicial junto con la direccion de comunicacion. El sistema de gestion de red reconoce el codigo de identidad inicial junto con la direccion de comunicacion y, en respuesta, asigna un codigo de identidad eficaz al modulo de identidad. Posteriormente, el sistema de gestion de red envfa un mensaje al dispositivo de comunicacion (telefono movil). Este mensaje (un SMS especial) comprende el codigo de identidad eficaz. El modulo de identidad recibe el mensaje a traves del dispositivo de comunicacion, extrae el codigo de identidad eficaz del mensaje y almacena el codigo de identidad eficaz para uso futuro.

Compendio

La invencion proporciona una tarjeta con chip de telecomunicaciones, un sistema de actualizacion, y un metodo de configuracion de una tarjeta con chip de telecomunicaciones en las reivindicaciones independientes. Las realizaciones se dan en las reivindicaciones dependientes.

5

10

15

20

25

30

35

40

45

50

55

60

Como se apreciara por un experto en la tecnica, los aspectos de la presente invencion se pueden encarnar como un aparato, metodo o producto de programa de ordenador. Por consiguiente, los aspectos de la presente invencion pueden tomar la forma de una realizacion enteramente hardware, una realizacion enteramente software (incluyendo microprograma, software residente, microcodigo, etc.) o una realizacion que combina aspectos software y hardware que todos se pueden conocer de manera general en la presente memoria como un “circuito”, “modulo” o “sistema”. Ademas, los aspectos de la presente invencion pueden tomar la forma de un producto de programa de ordenador encarnado en uno o mas medios legibles por ordenador que tienen codigo ejecutable por ordenador encarnado en los mismos.

Se puede utilizar cualquier combinacion de uno o mas medios legibles por ordenador. El medio legible por ordenador puede ser un medio de serial legible por ordenador o un medio de almacenamiento legible por ordenador. Un 'medio de almacenamiento legible por ordenador' como se usa en la presente memoria abarca cualquier medio de almacenamiento tangible que pueda almacenar instrucciones que son ejecutables por un procesador de un dispositivo informatico. El medio de almacenamiento legible por ordenador se puede conocer como un medio de almacenamiento no transitorio legible por ordenador. El medio de almacenamiento legible por ordenador tambien se puede conocer como un medio legible por ordenador tangible. En algunas realizaciones, un medio de almacenamiento legible por ordenador tambien puede ser capaz de almacenar datos que son capaces de ser accedidos por el procesador del dispositivo informatico. Ejemplos de medios de almacenamiento legibles por ordenador incluyen, pero no se limitan a: un disco flexible, una unidad de disco duro magnetico, un disco duro de estado solido, una memoria rapida, una memoria USB, Memoria de Acceso Aleatorio (RAM), Memoria de Solo Lectura (ROM), un disco optico, un disco magneto-optico y el fichero de registro del procesador. Ejemplos de discos opticos incluyen Discos Compactos (CD) y Discos Versatiles Digitales (DVD), por ejemplo, discos CD-ROM, CD-RW, CD-R, DVD-ROM, DVD-RW o DVD-R. El termino medio de almacenamiento legible por ordenador tambien se refiere a diversos tipos de medios de grabacion capaces de ser accedidos por el dispositivo informatico a traves de una red o un enlace de comunicacion. Por ejemplo, un dato se puede recuperar sobre un modem, sobre Internet, o sobre una red de area local. Se puede transmitir codigo ejecutable por ordenador encarnado en un medio legible por ordenador usando cualquier medio adecuado, incluyendo, pero no limitado a inalambrico, cableado, cable de fibra optica, RF, etc., o cualquier combinacion adecuada de los precedentes.

Un medio de serial legible por ordenador puede incluir una serial de datos propagada con codigo ejecutable por ordenador encarnado en el mismo, por ejemplo, en banda base o como parte de una onda portadora. Tal serial propagada puede tomar cualquiera de una variedad de formas, incluyendo, pero no limitada a, electromagnetica, optica, o cualquier combinacion adecuada de las mismas. Un medio de serial legible por ordenador puede ser cualquier medio legible por ordenador que no sea un medio de almacenamiento legible por ordenador y que puede comunicar, propagar, o transportar un programa para uso por o en conexion con un sistema, aparato o dispositivo de ejecucion de instrucciones.

'Memoria de ordenador', 'memoria', o 'medio de memoria' es un ejemplo de un medio de almacenamiento legible por ordenador. Memoria de ordenador es cualquier memoria que sea directamente accesible por un procesador. 'Almacenamiento de ordenador' o 'almacenamiento' es un ejemplo adicional de un medio de almacenamiento legible por ordenador. Almacenamiento de ordenador es cualquier medio de almacenamiento legible por ordenador no volatil. En algunas realizaciones almacenamiento de ordenador tambien puede ser memoria de ordenador o viceversa.

Un 'procesador' o 'medio de procesador' como se usa en la presente memoria abarca un componente electronico que es capaz de ejecutar un programa o instruccion ejecutable por maquina o codigo ejecutable por ordenador. Las referencias al dispositivo informatico que comprenden “un procesador” se debenan interpretar como que contienen posiblemente mas de un procesador o nucleo de procesador. El procesador puede ser por ejemplo un procesador de multiples nucleos. Un procesador tambien puede referirse a una coleccion de procesadores dentro de un unico sistema informatico o distribuido entre multiples sistemas informaticos. El termino dispositivo informatico tambien se debena interpretar para referirse posiblemente a una coleccion o red de dispositivos informaticos cada uno que comprende un procesador o procesadores. El codigo o programa ejecutable por ordenador se puede ejecutar por multiples procesadores que pueden estar dentro del mismo dispositivo informatico o que se pueden distribuir incluso a traves de multiples dispositivos informaticos.

Un codigo ejecutable por ordenador puede comprender instrucciones ejecutables por maquina o un programa que hace a un procesador realizar un aspecto de la presente invencion. Un codigo ejecutable por ordenador para llevar a cabo operaciones para aspectos de la presente invencion se puede escribir en cualquier combinacion de uno o mas lenguajes de programacion, incluyendo un lenguaje de programacion orientado a objetos tal como Java, Smalltalk, C++ o similares y lenguajes de programacion de procedimiento convencional, tales como el lenguaje de programacion “C” o lenguajes de programacion similares y compilados en instrucciones ejecutables por maquina. En algunos casos el codigo ejecutable por ordenador puede ser en forma de un lenguaje de alto nivel o en una forma precompilada y puede ser usado en conjunto con un interprete que genera las instrucciones ejecutables por maquina sobre la marcha.

El codigo ejecutable por ordenador puede ejecutarse totalmente en el ordenador del usuario, parcialmente en el ordenador del usuario, como un paquete software autonomo, parcialmente en el ordenador del usuario y

5

10

15

20

25

30

35

40

45

50

55

60

parcialmente en un ordenador remoto o totalmente en el ordenador o servidor remoto. En este ultimo escenario, el ordenador remoto se puede conectar al ordenador del usuario a traves de cualquier tipo de red, incluyendo una red de area local (LAN) o una red de area amplia (WAN), o la conexion se puede hacer a un ordenador externo (por ejemplo, a traves de Internet usando un Proveedor de Servicios de Internet).

Los aspectos de la presente invencion se describen con referencia a ilustraciones del diagrama de flujo y/o diagramas de bloques de metodos, aparato (sistemas) y productos de programa de ordenador segun realizaciones de la invencion. Se entendera que cada bloque o una parte de los bloques del diagrama de flujo, las ilustraciones, y/o los diagramas de bloques, se pueden implementar mediante instrucciones de programa de ordenador en forma de codigo ejecutable por ordenador cuando sea aplicable. Se entiende ademas que, cuando no son mutuamente exclusivas, se pueden combinar combinaciones de bloques en diferentes diagramas de flujo, ilustraciones, y/o diagramas de bloques. Estas instrucciones de programa de ordenador se pueden proporcionar a un procesador de un ordenador de proposito general, ordenador de proposito especial, u otro aparato de procesamiento de datos programable para producir una maquina, de manera que las instrucciones, que se ejecutan a traves del procesador del ordenador u otro aparato de procesamiento de datos programable, creen medios para implementar las funciones/acciones especificadas en el bloque o bloques del diagrama de flujo y/o diagrama de bloques.

Estas instrucciones de programa de ordenador tambien se pueden almacenar en un medio legible por ordenador que puede dirigir un ordenador, otro aparato de procesamiento de datos programable, u otros dispositivos a funcionar de una manera particular, de manera que las instrucciones almacenadas en el medio legible por ordenador producen un artfculo de fabricacion que incluye instrucciones que implementan la funcion/accion especificada en el bloque o bloques del diagrama de flujo y/o diagrama de bloques.

Las instrucciones de programa de ordenador tambien se pueden cargar sobre un ordenador, otro aparato de procesamiento de datos programable, u otros dispositivos para hacer que una serie de pasos de operacion sean realizados en el ordenador, otro aparato programable u otros dispositivos produzcan un proceso implementado por ordenador de manera que las instrucciones que se ejecutan en el ordenador u otro aparato programable proporcionen procesos para implementar las funciones/acciones especificadas en el bloque o bloques del diagrama de flujo y/o diagrama de bloques.

Una 'interfaz de usuario' como se usa en la presente memoria es una interfaz que permite a un usuario u operador interaccionar con un ordenador o sistema informatico. Una 'interfaz de usuario' tambien se puede conocer como un 'dispositivo de interfaz humana'. Una interfaz de usuario puede proporcionar informacion o datos al operador y/o recibir informacion o datos desde el operador. Una interfaz de usuario puede permitir que la entrada de un operador sea recibida por el ordenador y puede proporcionar salida al usuario desde el ordenador. En otras palabras, la interfaz de usuario puede permitir a un operador controlar o manipular un ordenador y la interfaz puede permitir al ordenador indicar los efectos del control o manipulacion del operador. El visualizador de datos o informacion en un visualizador o una interfaz grafica de usuario es un ejemplo de suministro de informacion a un operador. La recepcion de datos a traves de un teclado, raton, bola de apuntamiento, almohadilla tactil, dispositivo de puntero, tableta de graficos, palanca de mando, almohadilla de juegos, camara web, auriculares, palancas de cambios, volante, pedales, guante cableado, alfombrilla de baile, mando a distancia, y acelerometro todos son ejemplos de componentes de interfaz de usuario que permiten la recepcion de informacion o datos desde un operador.

Una 'tarjeta con chip de telecomunicaciones' como se usa en la presente memoria es una tarjeta con chip que permite el registro de un dispositivo de telefoma movil en una red de telecomunicaciones moviles celular digital. Por ejemplo, una tarjeta con chip de telecomunicaciones puede ser un modulo de identidad de abonado (SIM) que almacena de manera segura una clave de abonado al servicio que se usa para identificar al abonado en la red de telecomunicaciones moviles celular digital.

Un 'dispositivo de telefoma movil' como se usa en la presente memoria es un dispositivo de comunicacion movil adaptado para conectarse a y proporcionar acceso a una red de telecomunicaciones moviles celular digital. Ejemplos de un dispositivo de telefoma movil incluye, pero no se limitan a: un telefono movil, un asistente personal digital, un buscapersonas, un modem celular para un ordenador, un miniordenador portatil, un ordenador portatil, una tableta, y un libro electronico o lector de documentos.

En un aspecto la invencion proporciona una tarjeta con chip de telecomunicaciones para permitir el registro de un dispositivo de telefoma movil en una red de telecomunicaciones moviles celular digital. La tarjeta con chip de telecomunicaciones comprende una interfaz de lector de tarjeta con chip adaptada para permitir una comunicacion entre la tarjeta con chip de telecomunicaciones y el dispositivo de telefoma movil. La interfaz de lector de tarjeta con chip se puede usar alternativamente o tambien para permitir una comunicacion entre la tarjeta con chip de telecomunicaciones y un dispositivo terminal para programar o actualizar la tarjeta con chip de telecomunicaciones. La tarjeta con chip de telecomunicaciones ademas comprende un medio de procesador de tarjeta con chip. El procesador de tarjeta con chip tambien puede ser simplemente un procesador o un procesador de tarjeta con chip en algunas realizaciones. La tarjeta con chip de telecomunicaciones ademas comprende un medio de memoria segura o una memoria segura para almacenar programas para ejecucion por el medio de procesador de tarjeta con chip. El medio de memoria segura es un medio de memoria o memoria que no es accesible directamente a traves de la interfaz de lector de tarjeta con chip.

5

10

15

20

25

30

35

40

45

50

55

60

El medio de procesador de tarjeta con chip es capaz de comunicar a traves de la interfaz de lector de tarjeta con chip y el propio medio de procesador de tarjeta con chip puede anadir o borrar los contenidos del medio de memoria segura. La tarjeta con chip de telecomunicaciones ademas comprende un programa almacenado en el medio de memoria segura. El programa comprende instrucciones legibles por maquina ejecutables por el medio de procesador de tarjeta con chip. La ejecucion del programa hace al medio de procesador de tarjeta con chip realizar una primera autenticacion mutua criptografica entre la tarjeta con chip de telecomunicaciones y un dispositivo terminal a traves de la interfaz de lector de tarjeta con chip. El dispositivo terminal tiene un lector de tarjeta con chip operable para conectar a la interfaz de lector de tarjeta con chip. Una autenticacion mutua criptografica como se usa en la presente memoria abarca un algoritmo donde los metodos criptograficos se usan para dos dispositivos para autenticar la identidad o validez uno de otro. Una autenticacion mutua criptografica puede implicar tambien un intercambio de clave o una validacion de claves criptograficas.

La ejecucion del programa ademas hace al medio de procesador de tarjeta con chip recibir un mensaje de configuracion a traves de la interfaz de lector de tarjeta con chip. La ejecucion del programa ademas hace al medio de procesador de tarjeta con chip almacenar el mensaje de configuracion en el medio de memoria segura. La ejecucion del programa ademas hace al medio de procesador de tarjeta con chip borrar el programa del medio de memoria. Por ejemplo, el programa se podna cargar en una memoria dentro del medio de procesador de tarjeta con chip y despues de la ejecucion del programa se borra a sf mismo. Alternativamente el programa podna tener un subprograma pequeno o porcion de instrucciones ejecutables que se pueden cargar en el medio de procesador de tarjeta con chip y hace al programa ser borrado del medio de memoria. Esta realizacion puede ser beneficiosa debido a que proporciona un medio de personalizacion de la tarjeta con chip de telecomunicaciones antes de la instalacion en el dispositivo de telefoma movil. Borrar el programa del medio de memoria puede ser beneficioso debido a que elimina la amenaza de que un pirata informatico u otro individuo que usa el programa clone la tarjeta con chip de telecomunicaciones o modifique su contenido. La tarjeta con chip de telecomunicaciones se puede modificar solamente una vez usando esta tecnica. Esto proporciona un alto nivel de seguridad al tiempo que permite una personalizacion completa de la tarjeta con chip de telecomunicaciones.

En otra realizacion la ejecucion de las instrucciones hace ademas al medio de procesador de tarjeta con chip realizar cualquiera de las siguientes: realizar una autenticacion MAC del mensaje de configuracion, verificar la firma digital del mensaje de configuracion, descifrar el mensaje de configuracion, y combinaciones de las mismas. Por ejemplo, el programa puede contener claves criptograficas que permitan el descifrado de un mensaje de configuracion cifrado. Esto proporciona una capa de seguridad adicional. Por ejemplo, si el mensaje de configuracion esta cifrado y se descifra por el programa entonces esto asegura al fabricante de la tarjeta con chip de telecomunicaciones que el mensaje de configuracion se puede colocar en la tarjeta con chip en una memoria segura de manera segura. Por ejemplo, las tarjetas con chip de telecomunicaciones se pueden distribuir y proporcionar a un punto de reventa. Por ejemplo, la tarjeta con chip de telecomunicaciones se puede distribuir a un punto de reventa y el punto de reventa se puede dotar con un dispositivo terminal para interconectar con la interfaz de lector de tarjeta con chip. El punto de reventa no necesita tener ninguna de las claves necesarias para cifrar o descifrar el mensaje de configuracion. El mensaje de configuracion se puede generar por un servidor central y entonces enviar a traves del dispositivo terminal a la tarjeta con chip de telecomunicaciones que entonces descifra el mensaje. Siempre que el servidor central no llegue a estar comprometido el descifrado del mensaje de configuracion puede asegurar que el mensaje de configuracion es autentico y esta inalterado.

En otra realizacion el mensaje de configuracion es cualquiera de los siguientes: un conjunto de numeros de telefono, informacion de abonado, un sistema operativo, datos de anuncio, una aplicacion, y combinaciones de los mismos. En otras palabras, los contenidos del medio de memoria segura se pueden personalizar completamente. El mensaje de configuracion puede ser datos o informacion que se puede escribir directamente en el medio de memoria segura por el procesador. La informacion de abonado como se usa en la presente memoria abarca datos o claves o informacion que se usa por un dispositivo de telefoma movil para registrarse en la red de telecomunicaciones moviles.

En otra realizacion la ejecucion de las instrucciones hace al medio de procesador de tarjeta con chip borrar el medio de memoria segura antes de almacenar el mensaje de configuracion en el medio de memoria segura. Esta realizacion proporciona un nivel de seguridad incluso mas alto debido a que se han borrado todos los contenidos del medio de memoria segura. Esto reduce la posibilidad de que el codigo que permanece en el medio de procesador de tarjeta con chip se puede explotar para identificar o tomar el control de la tarjeta con chip de telecomunicaciones. Esto reduce la posibilidad de que se pueda piratear la tarjeta con chip de telecomunicaciones.

En otra realizacion, la tarjeta con chip de telecomunicaciones comprende una memoria interna dentro del medio de procesador de tarjeta con chip. Dentro de la memoria interna se puede cargar una porcion o el programa entero en la tarjeta con chip y usar. Esta memoria interna es una memoria volatil de modo que cualquier cosa almacenada en ella no se almacena permanentemente.

En otra realizacion, el medio de memoria segura es un medio de memoria no volatil. En otras palabras, los datos y la informacion almacenados en el medio de memoria segura son persistentes y permanecen incluso si se quita la alimentacion de la tarjeta con chip de telecomunicaciones.

5

10

15

20

25

30

35

40

45

50

55

En otro aspecto, la invencion proporciona un sistema de actualizacion para modificar la tarjeta con chip de telecomunicaciones. La tarjeta con chip de telecomunicaciones es segun una realizacion de la invencion. El sistema de actualizacion comprende un dispositivo terminal. El dispositivo terminal comprende un lector de tarjeta con chip operable para recibir la tarjeta con chip de telecomunicaciones y para intercambiar datos con la interfaz de lector de tarjeta con chip. Esencialmente, la tarjeta con chip de telecomunicaciones es capaz de ser insertada en el lector de tarjeta con chip de manera que el sistema de actualizacion pueda intercambiar datos con ella. El dispositivo terminal comprende ademas un medio de procesador de dispositivo terminal. El medio de procesador de dispositivo terminal puede ser tambien un procesador de dispositivo terminal o simplemente un procesador como se definio anteriormente.

El dispositivo terminal comprende ademas un medio de memoria de terminal o memoria de terminal para almacenar un programa de medio de terminal. El medio de memoria de terminal puede ser una memoria de ordenador como se define en la presente memoria. La ejecucion del programa de medio de terminal hace al medio de procesador de terminal realizar una primera autenticacion mutua criptografica entre el dispositivo terminal y la tarjeta con chip de telecomunicaciones a traves de la interfaz de lector de tarjeta con chip. La ejecucion del programa de medio de terminal hace al medio de procesador de terminal realizar una segunda autenticacion mutua criptografica entre el dispositivo terminal y un servidor. Por ejemplo, el dispositivo terminal se puede conectar a un servidor a traves de cualquier numero de redes de telecomunicaciones o modos de comunicacion, dado que el dispositivo terminal se puede conectar a traves de una red de telecomunicaciones moviles celular digital o a traves de Internet. El servidor puede ser un servidor central que se usa para generar el metodo de configuracion.

La ejecucion del programa de medio de terminal hace al medio de procesador de terminal enviar un testigo de seguridad criptografico al servidor. En algunas realizaciones, el testigo de seguridad criptografico es un identificador que identifica a un abonado. La ejecucion de las instrucciones hace ademas al procesador solicitar un mensaje de servidor criptografico desde el servidor. En algunas realizaciones, el servidor puede seleccionar el mensaje de servidor criptografico usando el testigo de seguridad criptografico. El mensaje de servidor criptografico tambien se puede personalizar en algunas realizaciones dependiendo del testigo de seguridad criptografico. Por ejemplo, si el testigo de seguridad criptografico identifica un abonado, los datos de abonado que enlazan el registro del dispositivo de telefoma movil con una cuenta del abonado se pueden incluir en el mensaje de servidor criptografico.

La ejecucion del programa de medio de terminal hace ademas al medio de procesador de terminal recibir un mensaje de servidor criptografico desde el servidor. La ejecucion del programa de medio de terminal hace ademas al medio de procesador de terminal descifrar el mensaje de servidor criptografico usando una clave criptografica. En diversas realizaciones esto se puede realizar de diferentes formas. En algunas realizaciones, el descifrado se puede realizar sobre la marcha y el mensaje descifrado se puede escribir directamente en el medio de memoria de seguridad. En otras realizaciones se recibe el mensaje de servidor criptografico entero y luego se descifra mas tarde.

La ejecucion del programa de medio de terminal hace ademas al medio de procesador de terminal construir un mensaje de configuracion usando el mensaje de servidor criptografico descifrado. En algunas realizaciones, el mensaje de configuracion es un mensaje no cifrado que se almacena directamente en el medio de memoria segura. En otras realizaciones, se puede cifrar el mensaje de configuracion. Por ejemplo, el mensaje de servidor criptografico se puede cifrar dos veces. El servidor envfa el mensaje de servidor criptografico al dispositivo terminal que entonces lo descifra. Esto asegura que solamente el dispositivo terminal espedfico puede recibir y usar el mensaje de servidor criptografico. A continuacion, el mensaje de servidor criptografico descifrado es de hecho un mensaje de configuracion cifrado. Este mensaje de configuracion cifrado se transfiere entonces desde el dispositivo terminal a la tarjeta con chip de telecomunicaciones donde se descifra finalmente y se coloca en la memoria segura. La ejecucion del programa de medio de terminal hace ademas al medio de procesador de terminal enviar el mensaje de configuracion a la tarjeta con chip de telecomunicaciones a traves de la interfaz de lector de tarjeta con chip.

En otra realizacion, el dispositivo terminal comprende un lector de huella dactilar para escanear una huella dactilar de un operador.

En otra realizacion, el dispositivo terminal comprende un medio de medicion biometrica para medir un parametro biometrico de un abonado.

En otra realizacion, el dispositivo terminal comprende ademas un registro de huella dactilar almacenado en el medio de memoria de dispositivo terminal. La ejecucion del programa de medio de terminal hace ademas al procesador de terminal verificar la huella dactilar comparando la huella dactilar con el registro de huella dactilar. La ejecucion del programa de medio de terminal hace ademas al medio de procesador de terminal abortar la solicitud del mensaje de servidor criptografico a menos que se verifique la huella dactilar. Esta realizacion se puede usar para asegurar que solamente el operador previsto del dispositivo terminal es capaz de cargar el mensaje de configuracion sobre la tarjeta con chip de telecomunicaciones. El registro de huella dactilar podna ser una huella dactilar de una persona que opera el dispositivo terminal en un punto de reventa. En otras realizaciones, el registro de huella dactilar se podna transferir, por ejemplo, a traves de cifrado desde el servidor al dispositivo terminal. Un abonado entonces escaneana su huella dactilar en el lector de huella dactilar y esta se comparana. Esto asegurana que el abonado este presente realmente cuando se realiza la actualizacion de la tarjeta con chip de telecomunicaciones.

5

10

15

20

25

30

35

40

45

50

55

En otra realizacion, el testigo de seguridad comprende la huella dactilar.

En otra realizacion, el testigo de seguridad comprende el parametro biometrico medido por el dispositivo de medicion biometrica.

En otra realizacion, el sistema de actualizacion comprende ademas un lector de tarjeta inteligente operable para interconectar con una tarjeta inteligente. La ejecucion del programa de medio de terminal hace ademas al medio de memoria de terminal realizar una validacion criptografica de la tarjeta inteligente. La ejecucion del programa de medio de terminal hace ademas al medio de procesador de terminal abortar la solicitud del mensaje de servidor criptografico a menos que se valide la tarjeta inteligente.

En otra realizacion, la tarjeta inteligente comprende o contiene una memoria de tarjeta inteligente que contiene un testigo de identidad. El testigo de identidad comprende cualquiera de los siguientes: datos de huella dactilar almacenados, datos biometricos, datos de escaneado de iris, autenticacion criptografica, claves o pares de claves criptograficas, y combinaciones de los mismos. La ejecucion del programa de medio de terminal hace ademas al medio de procesador de terminal recuperar un testigo de identidad de la memoria de tarjeta inteligente a traves del lector de tarjeta inteligente. El testigo de seguridad comprende el testigo de identidad.

En otra realizacion, el dispositivo terminal comprende ademas una interfaz de usuario. La ejecucion de las instrucciones hace ademas al procesador de terminal recibir datos de usuario desde la interfaz de usuario. El testigo de seguridad comprende los datos de usuario. Por ejemplo, los datos de usuario podnan ser un numero de identificacion personal o tambien podnan ser algun tipo de otra identificacion o contrasena de usuario. Esto puede ser beneficioso para enlazar el mensaje de configuracion con una cuenta de un abonado.

En otra realizacion, el sistema de actualizacion comprende el servidor.

En otro aspecto, la invencion proporciona un metodo de configuracion de una tarjeta con chip de telecomunicaciones usando un sistema de actualizacion. La tarjeta con chip de telecomunicaciones comprende una interfaz de lector de tarjeta con chip adaptada para permitir una comunicacion entre la tarjeta con chip de telecomunicaciones y el dispositivo de telefoma movil. La tarjeta con chip de telecomunicaciones comprende ademas un medio de procesador de tarjeta con chip. La tarjeta con chip de telecomunicaciones comprende ademas un medio de memoria segura para almacenar programas para su ejecucion por el medio de procesador de tarjeta con chip. La tarjeta con chip de telecomunicacion comprende ademas un programa almacenado en el medio seguro que comprende instrucciones legibles por maquina ejecutables por el medio de procesador de tarjeta con chip. El sistema de actualizacion comprende un dispositivo terminal. El dispositivo terminal comprende un lector de tarjeta con chip operable para recibir la tarjeta con chip de telecomunicaciones y para intercambiar datos con la interfaz de lector de tarjeta con chip. El dispositivo terminal comprende un medio de procesador de dispositivo terminal. El metodo comprende el paso de realizar una primera autenticacion mutua criptografica entre el dispositivo terminal y la tarjeta con chip de telecomunicaciones usando la interfaz de lector de tarjeta con chip.

El medio de procesador de dispositivo terminal y el medio de procesador de tarjeta con chip realizan esto. El metodo comprende ademas el paso de realizar una segunda autenticacion mutua criptografica entre el dispositivo terminal y un servidor. El metodo comprende ademas el paso de enviar el testigo de seguridad criptografico desde el dispositivo terminal al servidor. El metodo comprende ademas el paso de enviar una solicitud de mensaje de servidor criptografico desde el dispositivo terminal al servidor. El metodo comprende ademas el paso de enviar el mensaje de servidor criptografico desde el servidor al dispositivo terminal. El metodo comprende ademas el paso de descifrar el mensaje de servidor criptografico usando la clave criptografica. El metodo comprende ademas el paso de construir un mensaje de configuracion usando el mensaje de servidor criptografico descifrado. El metodo comprende ademas el paso de enviar el mensaje de configuracion desde el dispositivo terminal a la tarjeta con chip de telecomunicaciones. El metodo comprende ademas el paso de almacenar el mensaje de configuracion en el medio de memoria segura. El metodo comprende ademas el paso de borrar el programa del medio de memoria.

En otra realizacion, el metodo comprende ademas identificar el abonado usando el testigo de seguridad criptografico. Esto se puede realizar por el servidor. En otra realizacion, el testigo de seguridad comprende un identificador biometrico tal como una huella dactilar o un escaneado de iris. El abonado se identifica comparando el identificador biometrico con una base de datos biometrica.

Se entiende que una o mas de las realizaciones antes mencionadas de la invencion se pueden combinar siempre que las realizaciones combinadas no sean mutuamente exclusivas.

Breve descripcion de los dibujos

En lo siguiente se explican con mayor detalle realizaciones de la invencion, a modo de ejemplo solamente, haciendo referencia a los dibujos en los que:

la Fig. 1 ilustra el uso de una tarjeta con chip de telecomunicaciones;

la Fig. 2 ilustra un metodo segun una realizacion de la invencion;

10

15

20

25

30

35

40

45

la Fig. 3 ilustra una tarjeta con chip de telecomunicaciones 100 antes de la modificacion por un sistema de actualizacion;

la Fig. 4 muestra la misma tarjeta con chip de telecomunicaciones que se mostro en la Fig. 3 despues de una modificacion por un sistema de actualizacion;

la Fig. 5 muestra un sistema de actualizacion segun una realizacion de la invencion;

la Fig. 6 muestra un ejemplo adicional de un sistema de actualizacion;

la Fig. 7 muestra un ejemplo adicional de un sistema de actualizacion;

la Fig. 8 muestra una ilustracion funcional de un sistema de actualizacion;

la Fig. 9 muestra un ejemplo de la posible conectividad entre el proveedor de tarjeta con chip de telecomunicaciones y diversos proveedores de servicios de telecomunicaciones;

la Fig. 10 Ilustra una arquitectura TMS para actualizar el software en el dispositivo terminal.

la Fig. 11 ilustra un metodo de un protocolo de comunicacion entre un dispositivo terminal y un servidor;

la Fig.12 ilustra un mecanismo de una miniaplicacion que procesa los comandos de actualizacion que se reciben por el terminal en forma cifrada y entonces se pasan a la miniaplicacion para descifrado y procesamiento adicional por el Sistema Operativo de tarjeta.

la Fig. 13 ilustra un protocolo de comunicacion entre un dispositivo terminal y una tarjeta inteligente;

la Fig. 14 muestra un diagrama de bloques que ilustra un metodo de generacion de una Clave Individual de Tarjeta; y

la Fig. 15 ilustra un metodo de un inicio de dialogo SSL entre un cliente SSL y un servidor SSL.

Descripcion detallada

Los elementos numerados iguales en estas figuras son o bien elementos equivalentes o bien realizan la misma funcion. Los elementos que han sido discutidos previamente no seran necesariamente discutidos en figuras posteriores si la funcion es equivalente.

La Fig. 1 ilustra el uso de una tarjeta con chip de telecomunicaciones 100. La tarjeta con chip de telecomunicaciones 100 se muestra como que tiene una interfaz de lector de tarjeta con chip 102. La tarjeta con chip de telecomunicaciones 100 se ha insertado en un dispositivo de telefoma movil 104. El dispositivo de telefoma movil 104 comprende un lector de tarjeta con chip 106 que se conecta con la interfaz de lector de tarjeta con chip. La tarjeta con chip de telecomunicaciones 100 permite que el dispositivo de telefoma movil 104 se registre en y se comunique con una red de telecomunicaciones moviles celular digital 107. El dispositivo de telefoma movil 104 tiene un enlace radio 108 a la red de telecomunicaciones moviles celular digital 107. Por ejemplo, la red de telecomunicaciones moviles celular digital 107 puede comprender una estacion base 110. La estacion base es operable para conectarse al dispositivo de telefoma movil 104 a traves del enlace radio 108. La estacion base 110 se conecta a un controlador de red radio 112. El controlador de red radio 112 esta conectado entonces a una red de telecomunicaciones 114. La red de telecomunicaciones moviles celular digital 107 puede proporcionar por lo tanto acceso a otras redes de telecomunicaciones, tales como Internet, la red de voz de telefoma global, u otras redes de comunicaciones 114.

La Fig. 2 ilustra un metodo segun una realizacion de la invencion. En primer lugar, en el paso 200 se realiza una primera autenticacion mutua criptografica entre un dispositivo terminal y una tarjeta con chip de telecomunicaciones usando una interfaz de lector de tarjeta con chip. A continuacion, en el paso 202, se realiza una segunda autenticacion mutua criptografica entre el dispositivo terminal y un servidor. Los pasos 202 y 200 se pueden realizar en cualquier orden. A continuacion, en el paso 204, se envfa un testigo de seguridad criptografico desde el dispositivo terminal al servidor. A continuacion, en el paso 206, se envfa una solicitud de mensaje de servidor criptografico desde el dispositivo terminal al servidor. A continuacion, en el paso 208 se envfa un mensaje de servidor criptografico desde el servidor al dispositivo terminal. A continuacion, en el paso 210 el mensaje de servidor criptografico se descifra usando una clave criptografica. En el paso 212 se construye un mensaje de configuracion usando el mensaje de servidor criptografico descifrado. En algunas realizaciones la construccion del mensaje de configuracion puede ser simplemente proporcionando el mensaje de servidor criptografico descifrado. A continuacion, en el paso 214 el mensaje de configuracion se envfa desde el dispositivo terminal a la tarjeta con chip de telecomunicaciones. A continuacion, en el paso 216 el mensaje de configuracion se almacena en el medio de memoria segura. En algunas realizaciones hay un paso adicional de descifrado del mensaje de configuracion. A continuacion, en el paso 218, se borra un programa que estaba operando en la tarjeta con chip de telecomunicaciones. El programa era operable para almacenar el mensaje de configuracion en el medio de memoria segura.

5

10

15

20

25

30

35

40

45

50

55

60

La Fig. 3 ilustra una tarjeta con chip de telecomunicaciones 100. La tarjeta con chip de telecomunicaciones 100 mostrada en la Fig. 3 es antes de que se haya modificado por un sistema de actualizacion. La tarjeta con chip de telecomunicaciones 100 muestra la interfaz de lector de tarjeta con chip 102 conectada a un medio de procesador de tarjeta con chip 300. El medio de procesador de tarjeta con chip 300 tienen acceso a un medio de memoria segura 302. El medio de memoria segura 302 contienen un programa 304 segun una realizacion. Este programa 304 es operable para realizar la primera autenticacion mutua criptografica entre la tarjeta con chip de telecomunicaciones y el dispositivo terminal a traves de la interfaz de lector de tarjeta con chip. El programa 304 es operable ademas para recibir un mensaje de configuracion a traves de la interfaz de lector de tarjeta con chip. El programa 304 es operable ademas para almacenar el mensaje de configuracion en el medio de memoria segura 302 y el programa es operable para borrarse a sf mismo 304 del medio de memoria segura 302. El programa 304 tambien puede tener modulos criptograficos y/o pares de claves para descifrar el metodo de configuracion en algunas realizaciones.

La Fig. 4 muestra la misma tarjeta con chip de telecomunicaciones 100 que se mostro en la Fig. 3. No obstante, en este ejemplo, el mensaje de configuracion 400, 402, 404, 406, 408, 410 se ha escrito en el medio de memoria

segura 302 y el programa 304 de la Fig. 3 ha sido eliminado. Se puede ver que en este ejemplo el medio de

memoria segura 302 contiene informacion de abonado 400. La informacion de abonado como se usa en la presente memoria es informacion de datos que permite que el dispositivo de telefoma movil se registre en la red de telecomunicaciones moviles celular digital. El medio de memoria segura 302 se muestra como conteniendo ademas numeros de telefono 402. Los numeros de telefono pueden ser, por ejemplo, numeros de abonado u otros numeros a los que el proveedor de la red de telecomunicaciones moviles digital deseana que el operador del dispositivo de telefoma movil tuviera acceso cuando la tarjeta con chip de telecomunicaciones 100 se inserta en un dispositivo de telefoma movil.

El medio de memoria segura 302 se muestra como que contiene ademas un sistema operativo 404. El medio de

memoria segura 302 se muestra como que contiene ademas un anuncio 406 o datos de anuncio. El medio de

memoria segura 302 se muestra ademas como que contiene una primera aplicacion 408 y una segunda aplicacion 410. Estas son aplicaciones que se pueden ejecutar por el medio de procesador de tarjeta con chip 300 y realizan una funcion util. Por ejemplo, la primera y segunda aplicaciones 408, 410 pueden usar tales cosas como los datos de anuncio 406 para mostrar o presentar anuncios a un operador del dispositivo de telefoma movil. Los contenidos del medio de memoria segura 302 pueden variar. No todos los contenidos del medio de memoria segura 302 necesitan estar presentes.

La Fig. 5 muestra un sistema de actualizacion 500 segun una realizacion de la invencion. El sistema de actualizacion 500 comprende un dispositivo terminal 502 conectado opcionalmente a un servidor 504. El dispositivo terminal 502 comprende un medio de procesador de dispositivo terminal 506. El medio de procesador de dispositivo terminal esta conectado a un lector de tarjeta con chip 507. El lector de tarjeta con chip 507 es operable para interconectar con una interfaz de lector de tarjeta con chip 102 de la tarjeta con chip de telecomunicaciones 100. El medio de procesador de dispositivo terminal 506 esta conectado ademas a un medio de almacenamiento de ordenador 508 y a un medio de memoria de ordenador 510. El medio de procesador de dispositivo terminal 506 esta conectado ademas a un medio de modulo criptografico 512. El medio de modulo criptografico 512 se pueden implementar como un modulo de software o un modulo de hardware y proporciona datos criptograficos para autenticar el dispositivo terminal y/o para proporcionar pares de claves para descifrado y cifrado de mensajes. Como se menciono antes, el medio de modulo criptografico 512 pueden ser un modulo de software almacenado en el almacenamiento de ordenador 508 o la memoria 510 o puede ser un testigo de seguridad individual tal como un modulo de plataforma informatica de confianza o un dispositivo de hardware que almacena de manera segura datos biometricos y/o claves o pares de claves criptograficas.

El medio de procesador de dispositivo terminal 506 esta conectado ademas a un medio de comunicacion de red 514. El medio de comunicacion de red 514 permite la formacion de una conexion de red 516 al servidor 504. La conexion de red 516 es representativa y esta destinada a representar una variedad de conexiones de red diferentes tales como Internet, Ethernet, o conexion de red de telecomunicaciones moviles digital. Por ejemplo, en algunos casos el dispositivo terminal 502 puede ser un telefono inteligente o un telefono inteligente especializado en lugar de ser simplemente un ordenador. El dispositivo terminal 502 puede ser en algunos casos un dispositivo informatico movil.

El medio de almacenamiento de ordenador 508 se muestra como que contiene un testigo de seguridad 518. El medio de almacenamiento de ordenador 508 se muestra ademas como que contiene una solicitud de mensaje de servidor criptografico 520. El medio de almacenamiento de ordenador 508 se muestra ademas como que contiene un mensaje de servidor criptografico 522. El medio de almacenamiento de ordenador 508 se muestra ademas como que contiene un mensaje de configuracion 524 que se transferira a traves del lector de tarjeta con chip 507 a la tarjeta con chip de telecomunicaciones 100.

El medio de memoria de ordenador 510 se muestra como que contiene un modulo de control 526. El modulo de control 526 contiene un codigo ejecutable por procesador que permite al medio de procesador 506 comunicar con el servidor 504 y la tarjeta con chip de telecomunicaciones 100. El medio de memoria de ordenador 510 se muestra ademas como que contiene un modulo criptografico 530. El modulo de autenticacion mutua criptografica 528 y el modulo criptografico 530 contienen un codigo que permite que el medio de procesador 506 realice la autenticacion y

5

10

15

20

25

30

35

40

45

50

55

cifrado y descifrado necesarios para transferir el mensaje de servidor criptografico 522 y transformarlo en el mensaje de configuracion 524 que se transmite entonces a la tarjeta con chip de telecomunicaciones 100.

El servidor 504 se muestra como que contiene un medio de procesador de servidor 540. El medio de procesador de servidor 540 esta conectado a una interfaz de red 542 que permite la formacion de la conexion de red 516 con el medio de comunicacion de red 514. El medio de procesador 540 se muestra como que esta conectado al medio de almacenamiento de ordenador 544 y al medio de memoria de ordenador 546. En este ejemplo, el medio de almacenamiento de ordenador 544 se muestra como que contiene el testigo de seguridad 518, la solicitud de mensaje de servidor criptografico 520 y el mensaje de servidor criptografico 522.

El medio de memoria de ordenador 546 se muestra como que contiene un modulo de control 548. El modulo de control contiene codigo que permite al medio de procesador 548 interactuar con el medio de terminal 502 para enviarle el mensaje de servidor criptografico 522. El medio de memoria de ordenador 546 se muestra ademas como que contiene un modulo criptografico 550 y un modulo de generacion de mensaje de servidor criptografico 522. Estos dos modulos permiten al procesador 540 responder al testigo de seguridad 518 y a la solicitud de mensaje de servidor criptografico 520 generar el mensaje de servidor criptografico 522.

La Fig. 6 muestra un ejemplo adicional de un sistema de actualizacion 600. El sistema de actualizacion en la Fig. 6 es similar al de la Fig. 5 y tiene muchos componentes equivalentes. Ademas, el dispositivo terminal 502 comprende una interfaz de usuario 602 y un sistema de medicion biometrica 604. El sistema de medicion biometrica 604 puede ser, por ejemplo, un lector de huella dactilar y/o un escaner de iris. La interfaz de usuario 602 y el sistema de medicion biometrica 604 son capaces de comunicar con el medio de procesador 506.

El medio de almacenamiento de ordenador 508 se muestra como que contiene una medicion biometrica 606 y una medicion biometrica almacenada 608. La medicion biometrica almacenada es opcional. En algunas realizaciones la medicion biometrica almacenada 608 se puede comparar con la medicion biometrica 606. Si la medicion biometrica almacenada 608 no coincide con la medicion biometrica 606 entonces el proceso de transferencia del mensaje de configuracion 524 a la tarjeta con chip de telecomunicaciones 100 puede ser abortado o detenido. La medicion biometrica almacenada 608 se puede almacenar de forma permanente o semipermanente en el almacenamiento 508 y/o se puede haber transferido desde el servidor 504 sobre la marcha.

El medio de memoria de ordenador 510 se muestra como que contiene un modulo de construccion de testigo criptografico 610. Este modulo 610 no esta presente en todas las realizaciones. El modulo de construccion de testigo criptografico 610 construye el testigo de seguridad 518 usando al menos parcialmente la medicion biometrica 606.

El sistema de servidor 504 tambien se modifica en este ejemplo. El medio de almacenamiento de ordenador 544 se muestra como que contiene una implementacion de una base de datos biometrica 620 y una base de datos de abonados 630. Cuando un testigo de seguridad 518 comprende una medicion biometrica, entonces la base de datos biometrica 620 se puede usar para identificar que persona se identifica mediante la medicion biometrica. El modulo de generacion de mensaje de servidor criptografico 552 puede usar la base de datos biometrica 620 y la base de datos de abonados 630 para construir el mensaje de servidor criptografico 522.

En no todas las realizaciones estara presente el sistema de medicion biometrica 604 y las mediciones biometricas asociadas y el testigo de seguridad. La interfaz de usuario 602 tambien se puede usar para introducir datos de usuario. Los datos de usuario 612 tambien se pueden usar por el modulo de construccion de testigo criptografico 610 para construir el testigo de seguridad 518. Los datos de usuario 612 se muestran como que estan almacenados en el almacenamiento de ordenador 508.

La Fig. 7 muestra un ejemplo adicional de un sistema de actualizacion 700. La realizacion mostrada en la Fig. 7 es similar a la mostrada en las Fig. 5 y 6. En este ejemplo hay un lector de tarjeta inteligente 702 que es operable para interconectar con una tarjeta inteligente 704. El lector de tarjeta inteligente 702 permite la recepcion de un testigo de identidad 706 desde la tarjeta inteligente 704. El testigo de identidad 706 se muestra como que esta almacenado en el medio de almacenamiento de ordenador 508. El modulo de construccion de testigo criptografico 610 en este ejemplo usa el testigo de identidad 706 para construir al menos parcialmente el testigo de seguridad 518.

Los ejemplos mostrados en 5, 6 y 7 no son mutuamente exclusivos. Se entiende que las caractensticas de los ejemplos 5, 6 y 7 se pueden combinar entre sf

Como se usa en la presente memoria, un CAD es un Dispositivo de Aceptacion de Tarjeta. Como se usa en la presente memoria, GPRS es un Servicio General de Radio por Paquetes. Como se usa en la presente memoria, GSM es un Sistema Global para Comunicaciones Moviles. Como se usa en la presente memoria, HTTPS es un Protocolo de Transferencia de Hipertexto Seguro. Como se usa en la presente memoria, ICCID es un ID de Tarjeta de Circuito Integrado. Como se usa en la presente memoria, IP es un Protocolo de Internet. Como se usa en la presente memoria, PIN es un Numero de Identificacion Personal. Como se usa en la presente memoria, POS es un Punto de Venta. Como se usa en la presente memoria, PPP es un Protocolo Punto a Punto. Como se usa en la presente memoria, PSTN es una Red Telefonica Publica Conmutada. Como se usa en la presente memoria, SIM es un Modulo de Identidad de Abonado. Como se usa en la presente memoria, SRPS es un Sistema de Personalizacion Remota Segura. Como se usa en la presente memoria, SSL es una Capa de Conexiones Seguras.

5

10

15

20

25

30

35

40

45

Como se usa en la presente memoria, TLS es una Seguridad de Capa de Transporte. Como se usa en la presente memoria, TMS es un Sistema de Gestion de Terminal.

En la carrera de captura del mercado de Telecomunicaciones y competencia de vanguardia, existe una necesidad de aumentar el numero de redes activas por los operadores, aumentar los perfiles soportados por los operadores y un sistema de gestion de la cadena de suministro mejorado para hacer llegar la SIM a los clientes a tiempo o estar disponible en todo momento.

Para estar en la carrera de esta competencia de vanguardia, los suministradores de SIM tienen que configurar el centro de personalizacion cerca del mercado de consumo para una gestion de la cadena de suministro mejorada. Esto anade una sobrecarga en el coste en el establecimiento de un centro de personalizacion, asf como su gestion. Para superar este problema, existe la necesidad de una solucion de bajo coste, segura y orientada al cliente.

Las realizaciones de la invencion pueden proporcionar un sistema de actualizacion o un Sistema de Personalizacion Remota Segura (SRPS). El SRPS tambien se puede conocer como un sistema de actualizacion. El SRPS puede proporcionar los siguientes beneficios:

• Personalizacion e infraestructura de bajo coste.

• Responsabilidad de los ICCID perdidos, por lo tanto, reutilizacion de los ICCID perdidos.

• Soporte de multiples operadores de datos e identificacion tambien.

• Personalizacion remota usando comunicacion basad en IP segura a traves de GSM, GPRS, y PSTN.

• Comunicacion segura entre la Tarjeta SIM y el Terminal (Punto de Personalizacion)

1. Arquitectura SRPS:

La arquitectura se puede disenar teniendo en cuenta que los datos de personalizacion se pueden proporcionar por un proveedor de servicios de manera segura y los datos de personalizacion podran residir en un servidor de base de datos.

La Fig. 8 muestra una ilustracion funcional de un sistema de actualizacion 800. Se muestran multiples ordenadores como que componen un servidor 504. Se muestran diversos medios de comunicaciones entre el servidor 504 y el dispositivo terminal 502. La comunicacion entre el dispositivo terminal 502 se puede realizar usando una conexion segura SSL 802 a traves de PSTN 802, GPRS 804 o GsM 806. Para las variantes GPRS 804 y GSM 806, se asigna 808 al dispositivo terminal una direccion IP dinamicamente.

SRPS puede construirse de diversas formas:

- Si el Proveedor de Servicios no quiere compartir sus datos con una empresa que personaliza las tarjetas SIM, una aplicacion Web puede encaminar la solicitud desde el terminal al Servidor de Base de Datos del Proveedor de Servicios y los datos de respuesta se enviaran al terminal.

- La aplicacion Web tambien puede residir en el Servidor del Proveedor de Servicios y el terminal puede solicitar directamente al Servidor del Proveedor de Servicios.

El dispositivo terminal y el servidor pueden comunicarse en una variedad de formas. Por ejemplo, usando: o GPRS 804 pueden comunicarse en los siguientes pasos:

- El terminal enviara una solicitud PPP al proveedor de servicios de red,

- El proveedor de servicios de red asignara una IP Dinamica al terminal,

- Ahora el terminal puede comunicar con seguridad (por ejemplo, a traves de SSL como se describe a continuacion) a traves de Internet con el servidor.

o GSM 806 o PSTN 802 pueden comunicarse en los siguientes pasos:

- El terminal enviara una solicitud PPP al servidor,

- El servidor asignara una IP Dinamica al terminal,

- Ahora el servidor Web y el terminal pueden comunicar con seguridad (por ejemplo, a traves de SSL como se describe a continuacion).

El software o la aplicacion que ejecuta el dispositivo terminal se puede actualizar usando TMS.

5

10

15

20

25

30

35

40

45

1.1 Arquitectura de Componentes de Sistema:

1.1.1 Arquitectura de Comunicacion:

Es posible que el operador de la red de telecomunicaciones digital y el proveedor del mensaje de configuracion sean empresas diferentes. Para configurar correctamente la tarjeta con chip de telecomunicaciones puede ser beneficioso compartir datos entre las dos empresas.

Las caractensticas de tal sistema de comparticion de datos pueden tener una o mas de las siguientes caractensticas:

• El servidor y el servidor del proveedor de servicios pueden comunicarse sobre una red asegurada SSL.

• El servidor puede importar los datos de personalizacion desde el Servidor del Proveedor de Servicios.

• El Proveedor de Servicios puede acceder al informe de personalizacion a traves de Registro y Contrasena desde el servidor directamente.

La Fig. 9 muestra un ejemplo de la conectividad posible entre el proveedor de tarjetas con chip de telecomunicaciones y diversos proveedores de servicios de telecomunicaciones. 504 representa el sistema de servidor de un proveedor de tarjetas con chip de telecomunicaciones. El sistema de servidor 504 proporciona el mensaje de servidor criptografico usado por el dispositivo terminal para proporcionar el mensaje de configuracion.

El servidor 900 representa los datos de una primera red de telecomunicaciones digital que proporciona una empresa. El servidor 902 representa los datos de una segunda red de telecomunicaciones digital que proporciona una empresa. El servidor 904 representa los datos de una tercera red de telecomunicaciones digital que proporciona una empresa. Los servidores 900, 902, 904 representan tres conjuntos diferentes de datos que se proporcionan al servidor 504 para personalizar las tarjetas con chip de telecomunicaciones.

El bloque 906 representa una primera red de telecomunicaciones digital que proporciona una empresa que se conecta al servidor 504 para acceder a datos. Esto, por ejemplo, puede ser para solicitar la personalizacion de una tarjeta con chip de telecomunicaciones. El bloque 908 representa una segunda red de telecomunicaciones digital que proporciona una empresa que se conecta al servidor 504 para acceder a datos. El bloque 910 representa una primera red de telecomunicaciones digital que proporciona una empresa que se conecta al servidor 504 para acceder a datos.

1.1.2 Arquitectura TMS

La Fig. 10 Ilustra una arquitectura TMS 1000 para actualizar software en el dispositivo terminal. Comprende componentes de servidor 504, componentes de red 516, y el dispositivo terminal. Se ilustran variantes de GPRS 1002, GSM 1004 y PSTN 1006.

El sistema TMS 1000 es un sistema basado en web disponible para actualizar la aplicacion del terminal en la propia ubicacion remota. La nueva version de la aplicacion de terminal publicada se puede actualizar por el servidor tMs en el terminal usando cualquier medio disponible, es decir, GSM 1002, GPrS 1004 y PSTN 1006. El TMS puede estar basado en una arquitectura cliente-servidor.

2. Componentes del sistema de actualizacion

2.1 El servidor o servidor web puede comprender:

• Un unico punto de comunicacion y

• Un mecanismo de solicitud y respuesta segura usando el protocolo HTTPS.

o Recibir un N° de Serie Unico de Tarjeta desde el Terminal (es decir, Punto de Personalizacion). o Analizar sintacticamente un N° de Serie Unico.

o Identificacion del operador de telecomunicaciones usando el N° de Serie Unico.

o Buscar y recuperar los elementos de datos en base a un N° de Serie Unico y un operador de

telecomunicaciones identificado.

o Enviar elementos de datos como respuesta al Terminal (es decir, Punto de personalizacion). o Actualizar detalles contra un N° de Serie Unico en la base de datos.

• Encaminamiento de la solicitud al servidor de base de datos espedfico del Operador de telecomunicaciones en caso de servidor de base de datos propiedad de los Operadores de telecomunicaciones.

5

10

15

20

25

30

35

40

45

• Emision de Terminal y su autenticacion.

2.2 Servidor de base de datos

• Almacenamiento seguro.

• Accesibilidad segura.

• Almacenar elementos de datos de personalizacion y perfil de operador de telecomunicaciones unico o multiple.

• Interfaz abstracta para diferentes operadores de telecomunicaciones.

2.3 Terminal

2.3.1 Hay varios metodos diferentes en los cuales un dispositivo terminal puede verificar al usuario:

• Huella dactilar en el Terminal: Almacenar la huella dactilar del usuario en el terminal y siempre que se inicie el terminal, pedira la verificacion de la huella dactilar del usuario.

• Huella dactilar en la Tarjeta Inteligente: una Tarjeta Inteligente se puede emitir a un usuario con la huella dactilar en la tarjeta y el terminal le pedira la tarjeta siempre que se inicie el terminal.

• Autenticacion en el servidor: La huella dactilar del usuario se almacenara en el servidor y en el Terminal/Tarjeta inteligente. Siempre que un usuario intente registrarse en la aplicacion de terminal, la primera verificacion se hara en el terminal y entonces el terminal enviara detalles de la huella dactilar al servidor y se autenticara en el servidor tambien.

• Verificacion del PIN: El PIN se puede almacenar en el terminal/Tarjeta Inteligente y siempre que se inicie el terminal, pedira la verificacion del PIN.

2.3.2 Protocolo de comunicacion:

En algunas realizaciones, se puede usar un protocolo de comunicacion como se muestra en la Fig. 11. La Fig. 11 ilustra un metodo de un protocolo de comunicacion 1100 entre un dispositivo terminal 502 y un servidor 504. En el ejemplo mostrado en la Fig. 11 el dispositivo terminal 502 y el servidor 504 pueden intercambiar datos 1102 usando GSM, GPRS o PSTN. En el paso 1104, el dispositivo terminal 502 inicia 1104 la comunicacion con el servidor 504. A continuacion, en el paso 1106, el servidor 504 envfa 1106 al terminal 502 un mensaje de acuse de recibo OK. En el paso 1108, el dispositivo terminal 502 solicita 1108 datos de personalizacion y un numero de serie para la tarjeta con chip de telecomunicaciones desde el servidor 504. En el paso 1110, el servidor 504 envfa al dispositivo terminal 502 detalles de personalizacion para la tarjeta con chip de telecomunicaciones. Los detalles de personalizacion son un ejemplo de un mensaje de servidor criptografico. El dispositivo terminal 502 usa los detalles de personalizacion para enviar el mensaje de configuracion a la tarjeta con chip de telecomunicaciones. Despues de completar esto, el dispositivo terminal 502 envfa 1112 un mensaje de acuse de recibo al servidor 504.

2.3.3 Modo de Personalizacion:

2.3.3.1 En una realizacion se pueden formar los siguientes pasos para personalizacion en lmea: Insertar la tarjeta SIM en el terminal, conectar con el servidor usando cualquier medio de comunicacion disponible (GSM/GPRS/PSTN), descargar elementos de datos de personalizacion espedficos del operador de telecomunicaciones segun el perfil soportado por la tarjeta SIM, realizar la personalizacion de la tarjeta SIM, y enviar acuse de recibo al servidor.

3. Atomicidad de Transaccion

Las realizaciones pueden tener una o mas de las siguientes caractensticas para asegurar que solamente se realizan actualizaciones completas de una tarjeta con chip de telecomunicaciones:

• Si se envio una solicitud por un dispositivo terminal y no se recibio ninguna respuesta de un Servidor, se mostrara en el terminal un mensaje de “TIEMPO DE ESPERA”.

• Si se envio una solicitud por el terminal con un “numero de serie” pero no se encuentra ningun registro correspondiente por el servidor, se mostrara en el terminal un mensaje “NUMERO DE SERIE INVALIDO” o un mensaje equivalente.

• El dispositivo terminal puede comprobar la integridad de los datos recibidos desde el servidor.

5

10

15

20

25

30

35

40

45

50

• Si el dispositivo terminal no es capaz de actualizar un archivo particular en la tarjeta SIM, el dispositivo terminal puede mostrar el error de fallo de personalizacion y enviara un codigo de error (devuelto por la tarjeta en el momento de la personalizacion) al Servidor.

• Si la tarjeta con chip de telecomunicaciones se actualiza o no con exito, pero el terminal no pudo enviar los detalles al servidor debido a un fallo de conexion, el terminal almacenara los detalles localmente y siempre que se conecte al servidor, los datos no enviados se registraran y el dispositivo terminal enviara los registros al servidor.

4. Seguridad

4.1 Seguridad de Comunicacion

4.1.1 Terminal y Tarjeta

Un aspecto importante de cualquier sistema de personalizacion o sistema de actualizacion remoto es como asegurar la comunicacion entre el CAD (Dispositivo de Aceptacion de Tarjeta) y la Tarjeta Inteligente/SIM. Esta seccion explica algunas debilidades de la comunicacion SIM y CAD y posibles contramedidas.

4.1.1.1 Violaciones de seguridad en Tarjetas Inteligentes

Una Tarjeta Inteligente y un Dispositivo de Aceptacion de Tarjeta (CAD) pueden comunicarse a traves de medios de paquetes de datos pequenos llamados APDU (Unidades de Datos de Protocolo de Aplicaciones). Las siguientes caractensticas de esta interaccion hacen mas diffcil a terceros atacar el sistema con exito:

• Velocidad de bit pequena (9600 bits por segundo) usando una lmea de transmision bidireccional en serie (estandar ISO 7816/3),

• modo semiduplex para enviar la informacion (los datos solamente viajan en una direccion a la vez)

• La comunicacion sigue un protocolo sofisticado, descrito a continuacion.

• No obstante, cada dispositivo externo que comunica con la tarjeta la hacen mas vulnerable de atacar a traves del enlace de comunicacion.

Tambien hay problemas de seguridad relacionados con el riesgo de que la comunicacion entre estos componentes de sistema, se pueda monitorizar o escanear por piratas informaticos. Sena beneficioso desarrollar metodos que mejoren la seguridad de los componentes individuales y el sistema de actualizacion completo.

El uso de una tarjeta inteligente para asegurar datos seguros personales se podra beneficiar por algoritmos criptograficos y protocolos de seguridad realzados o mejorados que pueden ser mas rapidos de ejecutar y mas pequenos en tamano mirando la limitacion de espacio en la tarjeta inteligente.

4.1.1.2 Mecanismo de Seguridad

La Tarjeta Inteligente y el CAD usan un protocolo de autenticacion activa mutua para identificarse entre sf. La tarjeta genera un numero aleatorio y lo envfa al CAD, que cifra el numero con una clave de cifrado compartida antes de devolverlo a la tarjeta. La tarjeta entonces compara el resultado devuelto con su propio cifrado. La pareja puede entonces realizar la operacion a la inversa.

Una vez que se establece la comunicacion, cada mensaje entre la pareja se verifica a traves de un codigo de autenticacion de mensaje. Este es un numero que se calcula en base a los propios datos, una clave de cifrado y un numero aleatorio. Si los datos se han alterado (por cualquier razon, incluyendo errores de transmision) se debe retransmitir el mensaje. Alternativamente, si el chip tiene suficiente memoria y potencia de procesamiento, los datos se pueden verificar a traves de una firma digital.

La miniaplicacion seleccionada o la activa y el programa de aplicacion de cliente (programa en el terminal, que invoca la aplicacion de miniaplicacion de tarjeta) a traves del cual esta comunicando la miniaplicacion, se debenan ocupar de estos intercambios de datos.

La Fig. 12 muestra un diagrama de flujo que ilustra los componentes usados para realizar un metodo de una miniaplicacion que procesa los comandos de actualizacion que se reciben por un terminal de forma cifrada y luego se pasan a la miniaplicacion para descifrado y procesados adicional por un Sistema Operativo de tarjeta. Primero en el bloque 1202 los comandos recibidos desde el servidor por el terminal como un archivo o una secuencia de comandos. A continuacion, en el bloque 1204 una aplicacion en el terminal prepara el comando especial espedfico de la tarjeta con chip para ser enviado a un CAD (Dispositivo de aceptacion de tarjeta).

El bloque 1206 procesa los comandos preparados en el bloque 1204. El Dispositivo de aceptacion de tarjetas (CAD) es basicamente un dispositivo de interfaz de tarjeta que realiza la lectura y/o escritura en la tarjeta sobre la base de

5

10

15

20

25

30

35

40

45

las solicitudes recibidas desde el terminal. A continuacion, en el bloque 1208 un conjunto de comandos especiales espedficos de tarjeta que se destinan solamente para ese tipo de tarjeta espedfica.

El bloque 1210 representa una miniaplicacion pequena de autodestruccion que esta descifrando los comandos cifrados antes de pasar estos comandos al sistema operativo. La miniaplicacion se destruira, o borrara, a s^ misma al final de este proceso. El bloque 1212 representa el Sistema Operativo de Tarjeta que paso los comandos por la miniaplicacion de autodestruccion del bloque 1210.

La Fig. 13 ilustra un protocolo de comunicacion 1300 entre un dispositivo terminal 1302 y una tarjeta inteligente 1304. La tarjeta inteligente 1304 puede ser una tarjeta con chip de telecomunicaciones. El dispositivo terminal 1302 tiene una aplicacion que envfa mensajes APDU a traves de un lector de tarjeta con chip 507 a la interfaz de lector de tarjeta con chip 102. El medio de procesador 300 funciona como un procesador APDU para codificar y decodificar mensajes APDU.

4.1.1.3 Breve descripcion de la Aplicacion

La aplicacion soportara la actualizacion del archivo de registro y binario con datos cifrados en un entorno seguro en la tarjeta. La aplicacion tomara la Clave Maestra como entrada en el momento de la instalacion, luego genera la clave individual de Tarjeta que se usa para descifrar el valor cifrado en los comandos APDU de miniaplicacion.

Esta aplicacion describe el formato APDU para actualizar el archivo de registro y el archivo transparente. Tambien define el algoritmo de generacion de claves unicas que se usa por la aplicacion para descifrar el valor cifrado. El mismo algoritmo se debe usar por la aplicacion fuera de la tarjeta para cifrar los datos para el comando APDU.

La aplicacion de Miniaplicacion de Personalizacion Cifrada se puede dividir en los siguientes modulos:

1) Generacion de Clave de Cifrado

2) Comandos APDU para Actualizacion Binaria y Actualizacion de Registro

3) Comando APDU para desactivar la miniaplicacion.

4) Procesamiento de comando APDU.

4.1.1.4 Generacion de Clave

Para la Miniaplicacion de Personalizacion Cifrada, el valor de actualizacion viene en formato cifrado. El cifrado se puede hacer usando un formato unico. La miniaplicacion puede generar una clave unica para cada tarjeta para descifrar el valor cifrado o el mensaje de configuracion.

La Fig. 14 muestra un diagrama de bloques 1400 que ilustra un metodo de generacion de una Clave Individual de Tarjeta (CIK). La CIK es la clave utilizada por la tarjeta con chip de telecomunicaciones para descifrar el mensaje de configuracion. En el paso 1402, la miniaplicacion recibe como entrada una Clave Maestra durante la instalacion. En el paso 1404 se utiliza un algoritmo de generacion de clave para producir la CIK 1406.

4.1.1.5 Procesamiento de Comando APDU

Cuando la Miniaplicacion recibe el comando APDU, comprueba la integridad del comando. Si es valido entonces procesa los datos. La miniaplicacion puede ser operable para realizar las siguientes acciones:

• Primero descifra la parte de datos cifrados.

• Segundo, selecciona los archivos en el mismo orden en que los recibe.

• Para actualizacion de comando binario toma el desplazamiento a partir del parametro P1 P2 en el comando APDU y ejecuta el comando binario de actualizacion.

• Para actualizacion del comando de registro toma el numero de registro a partir del parametro P1 en el comando APDU y ejecuta el comando de registro de actualizacion.

4.1.2 Dispositivo Terminal y Servidor

El dispositivo terminal puede usar una Capa de Conexiones Seguras (SSL) para comunicarse con el servidor. SSL protege los datos transferidos sobre el protocolo de transferencia de hipertexto (http) usando el cifrado habilitado por el Certificado SSL de un servidor.

4.1.2.1 El uso del protocolo SSL/TLS puede ser ventajoso debido a que:

• El uso de otros protocolos de seguridad en lugar de TLS/SSL esta prohibido en el ambito del acuerdo de Programa de Seguridad de Terminal POS (PTS), debido a la especificidad de la plataforma, el penmetro de

5

10

15

20

25

30

35

40

45

la certificacion PTS se limita al uso del protocolo de seguridad: SSL v3 o TLS 1.0 suministrado por SAGEM Monetel.

• Si los desarrolladores de terceros quieren anadir un nuevo protocolo de seguridad, tendran que solicitar una certificacion PTS adicional. Esta aprobacion adicional se debe tener en cuenta por los desarrolladores de terceros.

4.1.3 Servidor y Servidor de Proveedor de Servicios

Para poder comunicar un servidor que proporciona el mensaje de configuracion y un servidor que pertenece a la red de telecomunicaciones moviles digital, un protocolo de comunicacion SSL se puede usar para asegurar el enlace de comunicacion entre el Servidor y Servidor de Proveedor de Servicios.

4.2 Seguridad de Datos

4.2.1 La Seguridad de Datos en el Servidor se puede proporcionar de las siguientes formas:

• Se puede usar un Cortafuegos entre el Servidor y la red que filtrara la informacion entrante o saliente.

• El Usuario Autenticado puede obtener acceso a la base de datos o a los objetos del esquema de base de

datos y realizara solamente acciones autorizadas.

4.2.2 La Seguridad de Datos en el Terminal se puede proporcionar de las siguientes formas:

• Idealmente, el terminal se puede conectar durante el proceso de personalizacion. Pero si ocurre un fallo de

comunicacion entonces el estado de personalizacion de la tarjeta se almacenara en el terminal localmente

durante un penodo de tiempo temporal.

• Los datos almacenados en el terminal estan asegurados debido a que los datos permaneceran invisibles al mundo exterior.

4.2.3 La Seguridad de Datos en la Tarjeta se puede proporcionar de las siguientes formas:

• Una vez que la tarjeta esta personalizada, el acceso a la tarjeta con chip de telecomunicaciones se bloquea de forma que no se permitira ningun otro comando distinto del comando espedfico GSM.

• Los datos como las claves de autenticacion y el PIN se almacenan en el area segura de la tarjeta SIM, los cuales son accesibles por las APDU.

4.3 Seguridad ffsica de terminal y de tarjeta:

• Puede ser responsabilidad del usuario del terminal mantener el terminal y la tarjeta ffsicamente asegurados.

• La aplicacion se puede asegurar con el metodo de seguridad proporcionado (huella dactilar o contrasena). Asf que solamente el usuario autenticado del terminal podna acceder a la aplicacion y personalizar la tarjeta.

5. Gestion de Recuperacion de Desastres

5.1 Servidor de base de datos:

La recuperacion de desastres es el proceso, las polfticas y los procedimientos relacionados con la preparacion para la recuperacion o la continuacion de la infraestructura tecnologica cntica para una organizacion despues de un desastre natural o inducido por el hombre. Para minimizar el riesgo de desastres, se pueden tomar las siguientes medidas:

• Las copias de seguridad se debenan realizar usando otro disco ffsico segun la polttica de copias de seguridad decidida.

• Replicar la fecha del servidor en otro servidor de base de datos, que supera la necesidad de restaurar los datos.

• Fuente de alimentacion ininterrumpida (UPS) y/o generador de reserva para mantener los sistemas en marcha en caso de un fallo de energfa.

• Desplegar dispositivos de prevencion de incendios tales como alarmas y extintores de incendios.

• Usar software antivirus y otras medidas de seguridad en dispositivos informaticos u ordenadores.

5.2 Terminal

5

10

15

20

25

30

35

40

45

Si el dispositivo terminal llega a ser no funcional debido a cualquier razon, entonces el terminal se puede sustituir con un nuevo terminal y el terminal existente se puede enviar para su mantenimiento.

6. Apendice I

6.1 Capa de Conexiones Seguras (SSL): Como funciona

La tecnologfa de Capa de Conexiones Seguras (SSL) protege el sitio Web y facilita a los visitantes del sitio Web confiar de tres formas esenciales:

• Un certificado SSL permite el cifrado de informacion sensible durante las transacciones en lmea.

• Cada certificado SSL contiene informacion unica, autenticada acerca del propietario del certificado.

• Una Autoridad de Certificacion verifica la identidad del propietario del certificado cuando se emite.

6.1.1 Como funciona el cifrado:

• Un Certificado SSL establece un canal de comunicacion privado que permite el cifrado de los datos durante

la transmision. El cifrado aleatoriza los datos, esencialmente creando un sobre para la privacidad del

mensaje.

• Cada Certificado SSL consta de una clave publica y una clave privada. La clave publica se usa para cifrar informacion y la clave privada se usa para descifrarla.

• Cuando un navegador Web apunta a un dominio seguro, un inicio de dialogo de la Capa de Conexiones

Seguras autentica el servidor (sitio Web) y el cliente (explorador Web). Se establece un metodo de cifrado

con una clave de sesion unica y se puede comenzar una transmision segura.

6.1.2 Certificados:

Un certificado es una declaracion firmada digitalmente desde una entidad que certifica que informacion acerca de otra entidad es verdadera. Un certificado es un conjunto de informacion, firmado por una entidad emisora.

Los algoritmos de firma se pueden basar en criptograffa de clave asimetrica (generalmente RSA). La entidad emisora firma cifrando el conjunto de informacion con su clave privada (conocida solamente por sf misma). Las otras entidades pueden verificar la firma descifrando el conjunto de informacion con la clave publica del emisor.

SSL usa el principio de certificado para operar la autenticacion de las entidades (cliente y servidor). Estos certificados se codifican segun el estandar X509. Este estandar define que informacion puede contener un certificado, y describe al formato de datos como anotarlo. Todos los certificados X.509 contienen los siguientes datos, ademas de la firma: Version, Numero de Serie, Identificador de Algoritmo de Firma, Nombre de Emisor, Penodo de Validez, Nombre del Sujeto, e Informacion de Clave Publica del Sujeto.

6.1.3 Inicio de dialogo SSL.

La Fig. 15 ilustra un metodo 1500 de un inicio de dialogo SSL entre un cliente SSL 1502 y un servidor SSL 1504:

• El cliente SSL 1502 envfa 1506 un mensaje “hola de cliente” que enumera informacion criptografica tal como la version SSL y, en el orden de preferencia del cliente, los Conjuntos de Cifrado soportados por el cliente. El mensaje tambien contiene una cadena de bytes aleatoria que se usa en calculos posteriores. El protocolo SSL permite que el “hola de cliente” incluya los metodos de compresion de datos soportados por el cliente, pero las implementaciones SSL actuales normalmente no incluyen esta disposicion.

• El servidor SSL 1504 responde 1508 con un mensaje de “hola de servidor” que contiene el Conjunto de Cifrado elegido por el servidor a partir de la lista proporcionada por el cliente SSL 1502, el ID de sesion y otra cadena de bytes aleatoria. El servidor SSL 1504 tambien envfa su certificado digital. Si el servidor requiere un certificado digital para la autenticacion del cliente, el servidor envfa una “solicitud de certificado de cliente” que incluye una lista de los tipos de certificados soportados y los Nombres Distinguidos de Autoridades de Certificacion (CA) aceptables.

• El cliente SSL 1502 verifica 1510 la firma digital en el certificado digital del servidor SSL y comprueba que el Conjunto de Cifrado elegido por el servidor 1504 es aceptable.

• El cliente SSL 1502 envfa 1512 la cadena de bytes aleatoria que permite que tanto el cliente 1502 como el servidor 1504 calculen la clave secreta a ser usada para cifrar los datos de mensaje posteriores. La propia cadena de bytes aleatoria se cifra con la clave publica del servidor.

5

10

15

20

25

30

35

40

• Si el servidor SSL 1504 env^a una “solicitud de certificado de cliente”, el cliente SSL 1502 envfa 1514 una cadena de bytes aleatoria cifrada con la clave privada de cliente, junto con el certificado digital de cliente, o una “alerta de sin certificado digital”. Esta alerta es solamente una advertencia, pero con algunas implementaciones el inicio de dialogo falla si la autenticacion del cliente es obligatoria.

• El servidor SSL 1504 verifica 1516 la firma en el certificado de cliente.

• El cliente SSL 1502 envfa 1518 al servidor SSL 1504 un mensaje “finalizado”, que se cifra con la clave secreta, indicando que la parte de cliente del inicio de dialogo esta completa.

• El servidor SSL 1504 envfa 1520 al cliente SSL 1502 un mensaje “finalizado”, que se cifra con la clave secreta, indicando que la parte de servidor del inicio de dialogo esta completa.

• Durante la duracion de la sesion SSL, el servidor SSL 1504 y el cliente SSL 1502 ahora pueden intercambiar 1522 mensajes que estan cifrados simetricamente con la clave secreta compartida.

6.1.4 Requisitos de base para SSL:

Para el terminal, la estructura PKI impone algunos requisitos para la definicion del perfil SSL, principalmente para que se cumpla el acuerdo de Programa PTS:

• Solamente los algoritmos: 3DES y AES se deben usar para el cifrado de la sesion SSL/TLS

• La longitud minima de las claves 3DES o AES debe ser de al menos 128 bits.

• El metodo de autenticacion debe usar algoritmos RSA o DSS. La longitud de las claves publicas debe ser al menos 1024.

• Solamente se debe usar el algoritmo de comprobacion aleatoria SHA-1. El uso de MD5 esta prohibido.

Se recomienda autenticacion mutua pero no es obligatoria.

Lista de numeros de referencia 100 tarjeta con chip de telecomunicaciones 102 interfaz de lector de tarjeta con chip 104 dispositivo de telefoma movil

106 lector de tarjeta con chip

107 red de telecomunicaciones moviles celular digital

108 enlace radio

110 estacion base

112 controlador de red radio

114 red de telecomunicaciones

300 medio de procesador de tarjeta con chip

302 medio de memoria segura

304 programa

400 informacion de abonado

402 numeros de telefono

404 sistema operativo

406 anuncio

408 primera aplicacion

410 segunda aplicacion

500 sistema de actualizacion

502

504

506

507

508

510

512

514

516

518

520

522

524

526

528

530

540

542

544

546

548

550

552

600

602

604

606

608

610

612

620

630

700

702

704

706

800

dispositivo terminal servidor

medio de procesador de dispositivo terminal

lector de tarjeta con chip

medio de almacenamiento de ordenador

medio de memoria de ordenador

medio de modulo criptografico

medio de comunicaciones de red

conexion de red

testigo de seguridad

solicitud de mensaje de servidor criptografico mensaje de servidor criptografico mensaje de configuracion modulo de control

modulo de autenticacion mutua criptografica

modulo criptografico

medio de procesador de servidor

medio de comunicaciones de red

medio de almacenamiento de ordenador

medio de memoria de ordenador

modulo de control

modulo criptografico

modulo de generacion de mensaje de servidor criptografico

sistema de actualizacion

interfaz de usuario

sistema de medicion biometrica

medicion biometrica

medicion biometrica almacenada

modulo de construccion de testigo criptografico

datos de usuario

base de datos biometrica

base de datos de abonado

sistema de actualizacion

lector de tarjeta inteligente

tarjeta inteligente

testigo de identidad

sistema de actualizacion

5

10

15

20

25

802 PSTN

804 GPRS

806 GSM

808 asignacion IP dinamica

900 servidor

902 servidor

904 servidor

906 acceso a servidor

908 acceso a servidor

910 acceso a servidor

1000 sistema de gestion de telecomunicaciones

1002 GPRS

1004 GSM

1006 PSTN

1100 protocolo de comunicacion 1200 sistema de actualizacion

1202 secuencia de comandos

1204 aplicacion de terminal

1206 CAD

1208 CMD

1210 aplicacion de interprete

1212 sistema operativo de tarjeta 1300 protocolo de comunicacion 1400 metodo de generacion de claves 1500 metodo de inicio de dialogo SSL 1502 cliente SSL

1504 servidor SSL

Claims (15)

1. 5

   10

   15

   20

   25

   30

   35

   40

   45

   REIVINDICACIONES

   1. Una tarjeta con chip de telecomunicaciones (100) para permitir el registro de un dispositivo de telefoma movil (104) en una red de telecomunicaciones moviles celular digital (107) que comprende:

   - una interfaz de lector de tarjeta con chip (102) adaptada para permitir comunicaciones entre la tarjeta con chip de telecomunicaciones y el dispositivo de telefoma movil;

   - un medio de procesador de tarjeta con chip (300);

   - un medio de memoria segura (302) para almacenar programas para ejecucion por el medio de procesador de tarjeta con chip; y

   - un programa (304) almacenado en el medio de memoria segura que comprende instrucciones legibles por maquina ejecutables por el medio de procesador de tarjeta con chip; en donde la ejecucion del programa hace al medio de procesador de tarjeta con chip realizar los pasos de:

   - realizar (200) una primera autenticacion mutua criptografica entre la tarjeta con chip de telecomunicaciones y un dispositivo terminal (502) a traves de la interfaz de lector de tarjeta con chip, en donde el dispositivo terminal tiene un lector de tarjeta con chip (507) operable para conectarse a la interfaz de lector de tarjeta con chip;

   - recibir (214) un mensaje de configuracion (400, 402, 404, 406, 408, 410, 524) a traves de la interfaz de lector de tarjeta con chip;

   - almacenar (216) el mensaje de configuracion en el medio de memoria segura;

   - borrar (218) el programa del medio de memoria segura, de manera que la tarjeta con chip de telecomunicaciones (100) se puede modificar solamente una vez.
2. 2. La tarjeta con chip de telecomunicaciones de la reivindicacion 1, en donde la ejecucion de las instrucciones hace ademas al medio de procesador de tarjeta con chip realizar cualquiera de los siguientes:

   realizar una autenticacion MAC del mensaje de configuracion, verificar una firma digital del mensaje de configuracion, descifrar el mensaje de configuracion, y combinaciones de los mismos.
3. 3. La tarjeta con chip de telecomunicaciones de la reivindicacion 2 o 3, en donde el mensaje de configuracion es cualquiera de los siguientes: un conjunto de numeros de telefono (402), informacion de abonado (400), un sistema operativo (404), datos de anuncio (406), una aplicacion (408, 410), y combinaciones de los mismos.
4. 4. La tarjeta con chip de telecomunicaciones de la reivindicacion 1, 2 o 3, en donde la ejecucion de las instrucciones hace al medio de procesador de tarjeta con chip borrar el medio de memoria segura antes de almacenar el mensaje de configuracion en el medio de memoria segura.
5. 5. Un sistema de actualizacion (500, 600, 700, 800) con una tarjeta con chip de telecomunicaciones (100) segun cualquiera de las reivindicaciones precedentes para modificar la tarjeta con chip de telecomunicaciones (100), en donde el sistema de actualizacion comprende un dispositivo terminal (502), en donde el dispositivo terminal comprende:

   - un lector de tarjeta con chip (507) operable para recibir la tarjeta con chip de telecomunicaciones y para intercambio de datos con la interfaz de lector de tarjeta con chip (102);

   - un medio de procesador de dispositivo terminal (506);

   - un medio de memoria terminal (510) para almacenar un programa de medio de terminal, en donde la ejecucion del programa de medio de terminal hace al medio de procesador terminal:

   - realizar (200) una primera autenticacion mutua criptografica entre el dispositivo terminal y la tarjeta con chip de telecomunicaciones a traves de la interfaz de lector de tarjeta con chip;

   - realizar (202) una segunda autenticacion mutua criptografica entre el dispositivo terminal y un servidor (504);

   - enviar (204) un testigo de seguridad criptografico (518) a un servidor;

   - solicitar (206) un mensaje de servidor criptografico (522) desde el servidor;

   - recibir (208) el mensaje de servidor criptografico desde el servidor;

   - descifrar (210) el mensaje de servidor criptografico usando una clave criptografica (530);

   5

   10

   15

   20

   25

   30

   35

   40

   45

   50

   - construir (212) un mensaje de configuracion (524) usando el mensaje de servidor criptografico descifrado;

   - enviar (214) el mensaje de configuracion a la tarjeta con chip de telecomunicaciones a traves de la interfaz de lector de tarjeta con chip.
6. 6. El sistema de actualizacion de la reivindicacion 5, en donde el dispositivo terminal comprende un lector de huella dactilar (604) para escanear una huella dactilar (606) de un operador.
7. 7. El sistema de actualizacion de la reivindicacion 6, en donde el dispositivo terminal comprende ademas un registro de huella dactilar (608) almacenado en el medio de memoria de dispositivo terminal, en donde la ejecucion del programa de medio de terminal hace ademas al procesador del terminal verificar la huella dactilar comparando la huella dactilar con el registro de huella dactilar, y en donde la ejecucion del programa de medio de terminal hace al medio de procesador de terminal abortar la solicitud del mensaje de servidor criptografico a menos que se verifique la huella dactilar.
8. 8. El sistema de actualizacion de la reivindicacion 6 o 7, en donde el testigo de seguridad comprende la huella dactilar.
9. 9. El sistema de actualizacion de cualquiera de las reivindicaciones 5 a 8, en donde el sistema de actualizacion comprende ademas un lector de tarjeta inteligente (702) operable para interconectar con una tarjeta inteligente (704), en donde la ejecucion del programa de medio de terminal hace ademas al medio de procesador de terminal:

   - realizar una validacion criptografica de la tarjeta inteligente, y

   - abortar la solicitud del mensaje de servidor criptografico a menos que se verifique la huella dactilar.
10. 10. El sistema de actualizacion de la reivindicacion 9, en donde la tarjeta inteligente comprende una memoria de tarjeta inteligente que contiene un testigo de identidad (706); en donde el testigo de identidad comprende cualquiera de los siguientes: datos de huella dactilar almacenados, datos biometricos, datos de escaneado de iris, datos de autenticacion criptografica, y combinaciones de los mismos; en donde la ejecucion del programa de medio de terminal hace al procesador de medio de terminal recuperar el testigo de identidad de la memoria de tarjeta inteligente a traves del lector de tarjeta inteligente, en donde el testigo de seguridad comprende el testigo de identidad.
11. 11. El sistema de actualizacion de cualquiera de las reivindicaciones 5 a 10, en donde el dispositivo terminal comprende ademas una interfaz de usuario (602), en donde la ejecucion de las instrucciones hace ademas al procesador de terminal recibir datos de usuario (612) desde la interfaz de usuario, en donde el testigo de seguridad comprende los datos de usuario.
12. 12. El sistema de actualizacion de cualquiera de las reivindicaciones 5 a 11, en donde el sistema de actualizacion comprende el servidor.
13. 13. Un metodo de configuracion de una tarjeta con chip de telecomunicaciones (100) usando un sistema de actualizacion (500, 600, 700, 800), en donde la tarjeta con chip de telecomunicaciones comprende una interfaz de lector de tarjeta con chip (102) adaptada para permitir comunicaciones entre la tarjeta con chip de telecomunicaciones y un dispositivo de telefoma movil, en donde la tarjeta con chip de telecomunicaciones comprende ademas un medio de procesador de tarjeta con chip (300), en donde la tarjeta con chip de telecomunicaciones comprende ademas un medio de memoria segura (302) para almacenar programas para ejecucion por el medio de procesador de tarjeta con chip, en donde la tarjeta con chip de telecomunicaciones ademas comprende un programa (304) almacenado en el medio seguro que comprende instrucciones legibles por maquina ejecutables por el medio de procesador de tarjeta con chip, en donde el sistema de actualizacion comprende un dispositivo terminal (502), en donde el dispositivo terminal comprende un lector de tarjeta con chip (507) operable para recibir la tarjeta con chip de telecomunicaciones y para intercambiar datos con la interfaz de lector de tarjeta con chip, en donde el metodo comprende los pasos de:

    - realizar (200) una primera autenticacion mutua criptografica entre el dispositivo terminal y la tarjeta con chip de telecomunicaciones usando la interfaz de lector de tarjeta con chip;

    - realizar (202) una segunda autenticacion mutua criptografica entre el dispositivo terminal y un servidor;

    - enviar (204) un testigo de seguridad criptografico (518) desde el dispositivo terminal al servidor;

    - enviar (206) una solicitud de mensaje de servidor criptografico (520) desde el dispositivo terminal al servidor;

    - enviar (208) un mensaje de servidor criptografico (522) desde el servidor al dispositivo terminal;

    - descifrar (210) el mensaje de servidor criptografico usando una clave criptografica (530);

    - construir (212) un mensaje de configuracion (524) usando el mensaje de servidor criptografico descifrado;

    - enviar (214) el mensaje de configuracion desde el dispositivo terminal a la tarjeta con chip de telecomunicaciones;

    - almacenar (216) el mensaje de configuracion en el medio de memoria segura; y

    - borrar (218) el programa del medio de memoria, de manera que la tarjeta con chip de telecomunicaciones (100)

    5 se pueda modificar solamente una vez.
14. 14. El metodo de la reivindicacion 13, en donde el metodo comprende ademas identificar un abonado usando el testigo de seguridad criptografico.
15. 15. El metodo de la reivindicacion 14, en donde el testigo de seguridad comprende un identificador biometrico, y en donde el abonado se identifica comparando el identificador biometrico con una base de datos biometrica.

    10