ES2710117T3 - Procedimiento para la programación de un chip de terminal móvil - Google Patents
Procedimiento para la programación de un chip de terminal móvil Download PDFInfo
- Publication number
- ES2710117T3 ES2710117T3 ES12702770T ES12702770T ES2710117T3 ES 2710117 T3 ES2710117 T3 ES 2710117T3 ES 12702770 T ES12702770 T ES 12702770T ES 12702770 T ES12702770 T ES 12702770T ES 2710117 T3 ES2710117 T3 ES 2710117T3
- Authority
- ES
- Spain
- Prior art keywords
- serial number
- chip
- senr
- programming
- soc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000012795 verification Methods 0.000 claims description 42
- 230000001419 dependent effect Effects 0.000 claims description 6
- 230000004913 activation Effects 0.000 claims 1
- 101710205907 Urotensin-2 receptor Proteins 0.000 description 24
- 238000004364 calculation method Methods 0.000 description 5
- 230000015654 memory Effects 0.000 description 5
- 230000003213 activating effect Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000006872 improvement Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
Procedimiento para la programación de un chip (SoC) para un terminal móvil, - programándose en una etapa preparatoria un número de serie (SENR) en el chip (SoC) y - verificándose a continuación en una etapa de programación el número de serie (SENR) y realizándose una programación de al menos un dato adicional (Kauth) en el chip (SoC) solo en el caso de que el número de serie (SENR) se haya verificado satisfactoriamente, verificándose el número de serie (SENR) por medio de un módulo de seguridad (HSM), usando una información secreta (F, K) almacenada en el módulo de seguridad (HSM), que es diferente del número de serie (SENR), y como dato adicional estando prevista una clave criptográfica (Kauth) necesaria para una funcionalidad de un sistema operativo de seguridad implementado o que debe implementarse todavía en el chip (SoC).
Description
DESCRIPCION
Procedimiento para la programacion de un chip de terminal movil
La invencion se refiere a un procedimiento para la programacion de un chip de terminal movil, a un procedimiento para la activacion de un sistema operativo de seguridad utilizando el procedimiento para la programacion y un procedimiento para la configuracion asegurada de un terminal movil que contiene un chip utilizando el procedimiento para la programacion.
Los terminales moviles, tal como, por ejemplo, telefonos moviles, telefonos inteligentes y similares contienen un chip (chip de microprocesador) con un circuito integrado (IC = Integrated Circuit), tambien denominado SoC (System on Chip), mediante el que se controla el terminal movil incluyendo sus componentes, tal como, por ejemplo, la pantalla, el teclado, el lector de tarjetas para tarjetas SIM y/u otras tarjetas.
El chip se fabrica por parte de un fabricante de chips (tambien denominado SoC Provider, SoCP), se proporciona a un fabricante de terminales diferente del fabricante de chips (tambien denominado Original Equipment Manufacturer OEM), y se programa por parte del fabricante de terminales con un sistema operativo (es decir, se programa un sistema operativo en el chip) y se incorpora a un terminal movil. El sistema operativo para el chip se genera por regla general no por parte del fabricante de terminales, sino por parte del fabricante de chips o un creador de sistemas operativos asociado con el fabricante de chips. Sin embargo, dado que en el sistema operativo deben tenerse en cuenta particularidades del terminal movil, para el que esta previsto el chip, el sistema operativo no se programa al momento por parte del fabricante de chips, sino por parte del fabricante de terminales en el chip. Entre la fabricacion del chip y el suministro del chip al fabricante de terminales se llevan a cabo por regla general, por parte del fabricante de chips y/o por empresas asociadas con el fabricante de chips, etapas de programacion, que sin embargo no forman parte del objeto de la presente solicitud de patente.
Mediante la programacion del chip fuera del campo de accion del fabricante de chips existe un riesgo de que se proporcionen chips falsificados, denominados a menudo chips “grises”, al fabricante de terminales, que no proceden del fabricante de chips y que posiblemente tienen propiedades distintas a las de los chips originales del fabricante de chips. Sin embargo, el fabricante de terminales esta interesado en implementar chips originales del fabricante de chips con propiedades garantizadas en sus terminales moviles. El fabricante de chips esta a su vez interesado en que el sistema operativo previsto para sus chips se programe solo en sus chips, pero no en chips de otra procedencia.
Segun el estado actual, para defenderse contra chips grises se programan en el fabricante de chips numeros de serie en los chips. Antes de que en el fabricante de terminales se programen en un chip datos adicionales, tales como, por ejemplo, el sistema operativo, se comprueba el numero de serie del chip. Por medio de listas de numeros de serie, en las que estan apuntados todos los numeros de serie validos, el fabricante de terminales puede reconocer si el chip tiene un numero de serie valido. Los chips sin numeros de serie validos no se programan. El documento WO03073688 da a conocer un procedimiento en el que se programa un numero de serie en el chip.
Las listas de numeros de serie pueden ser muy extensas, lo que hace que su manipulacion sea laboriosa y complicada. Ademas, la transmision segura de las listas de numeros de serie entre el fabricante de chips y el fabricante de terminales y eventualmente partes adicionales significa un gran esfuerzo.
Por parte del solicitante de la presente solicitud de patente se fabrica y se comercializa bajo la marca MOBICORE un sistema operativo de seguridad para chips que deben implementarse en terminales (de telefonia) moviles (por ejemplo, telefonos moviles, telefonos inteligentes). Las aplicaciones criticas en cuanto a la seguridad y algunas funciones del sistema (por ejemplo, controlador de teclado) se controlan de manera segura mediante el sistema operativo de seguridad MOBICORE. Aplicaciones adicionales y otras funciones del sistema (por ejemplo, actualmente el controlador de pantalla) se controlan mediante un sistema operativo normal que existe ademas del sistema operativo de seguridad. El sistema operativo de seguridad comprende una clave criptografica, la clave de autenticacion Kauth, por medio de la que puede identificarse el sistema operativo de seguridad con respecto a un sistema de fondo. Opcionalmente, la clave de autenticacion Kauth esta prevista ademas para hacer funcionar un canal de comunicacion seguro entre el chip o el terminal movil y el sistema de fondo. El sistema de fondo es, por ejemplo, un sistema de fondo en si conocido de una red de telefonia movil.
La invencion se basa en el objetivo de crear un procedimiento eficaz y seguro para la programacion de un chip de terminal movil, en el que la programacion se permita solo como mucho para chips de origen predeterminado. En particular, pretende crearse un procedimiento de este tipo, que funcione sin listas de numeros de serie. Ademas, segun perfeccionamientos de la invencion pretende indicarse un procedimiento para la activacion de un sistema operativo de seguridad y un procedimiento para la configuracion asegurada de un terminal movil que contiene un chip, en cada caso utilizando el procedimiento para la programacion.
El objetivo se alcanza mediante un procedimiento segun la reivindicacion 1. Configuraciones ventajosas de la invencion se indican en las reivindicaciones dependientes.
El procedimiento segun la reivindicacion 1 esta configurado para la programacion de un chip para un terminal movil. A este respecto, en una etapa preparatoria se programa un numero de serie en el chip. A continuacion, se verifica en una etapa de programacion el numero de serie y, solo en el caso de que se haya verificado satisfactoriamente el numero de serie, se realiza una programacion de al menos un dato adicional en el chip. El procedimiento se caracteriza porque el numero de serie puede verificarse por medio de un modulo de seguridad, usando una informacion secreta almacenada en el modulo de seguridad, que es diferente del numero de serie. A este respecto, por el “dato adicional” se entiende cualquier tipo de datos, por ejemplo, codigo de programa (por ejemplo, un sistema operativo, vease mas adelante) o datos individuales (por ejemplo, una clave (de autenticacion) criptografica), que estan previstos para ejecutarse conjuntamente con el codigo de programa.
Dado que el numero de serie puede verificarse usando la informacion secreta almacenada en el modulo de seguridad, para la verificacion del numero de serie se requiere unicamente el modulo de seguridad pero ninguna lista de numeros de serie. Por consiguiente, el procedimiento es al menos igual de seguro que un procedimiento con una comprobacion de numeros de serie por medio de listas de numeros de serie, pero esencialmente mas eficaz, dado que no tiene que manipularse ninguna lista de numeros de serie.
La invencion se da a conocer en las reivindicaciones adjuntas. Por tanto, segun la reivindicacion 1 se crea un procedimiento eficaz y seguro para la programacion de un chip de terminal movil con comprobacion de origen para el chip.
Opcionalmente, en respuesta a la verificacion satisfactoria del numero de serie se programa en el chip el dato adicional por medio del modulo de seguridad directamente y sin posibilidad de intervencion desde fuera del modulo de seguridad. De este modo se consigue que tras la verificacion satisfactoria del numero de serie se asigne el dato adicional exclusivamente al chip, cuyo numero de serie acaba de verificarse, y pueda programarse en el mismo. Por el contrario, un cambio del chip por otro chip tras la verificacion del numero de serie y antes de la programacion del dato adicional en el chip no es posible. Por consiguiente, se garantiza que solo se programe el dato adicional en chips de origen correcto.
Opcionalmente, el numero de serie se verifica reproduciendo, es decir, generando de nuevo, el numero de serie o una informacion dependiente del numero de serie usando la informacion secreta. En el segundo caso se programa en el chip la informacion dependiente del numero de serie en la etapa preparatoria, preferiblemente de manera adicional.
Segun una primera forma de realizacion, el numero de serie se forma mediante una regla de asignacion y la regla de asignacion esta almacenada como informacion secreta en el modulo de seguridad. En este caso, para la verificacion del numero de serie, se lee del chip el numero de serie por medio del modulo de seguridad, se genera de nuevo el numero de serie por medio de la regla de asignacion almacenada en el modulo de seguridad, se compara el numero de serie leido y el generado de nuevo (preferiblemente tambien en el modulo de seguridad) y, en el caso de coincidencia, se considera el numero de serie como verificado. La regla de asignacion procesa datos de entrada, que, por ejemplo, pueden comprender un numero aleatorio y datos adicionales, y genera a partir de esto el numero de serie.
Segun una segunda forma de realizacion, ademas del numero de serie se almacena en el chip una firma digital formada usando el numero de serie y una clave secreta y la clave secreta se almacena como informacion secreta en el modulo de seguridad. En este caso, para la verificacion del numero de serie se leen del chip el numero de serie y la firma digital por medio del modulo de seguridad, la firma se genera de nuevo en el modulo de seguridad por medio del numero de serie leido y de la clave secreta almacenada en el modulo de seguridad, se comparan la firma leida y la generada de nuevo (preferiblemente tambien en el modulo de seguridad) y, en el caso de coincidencia de las firmas, se considera el numero de serie como verificado.
Opcionalmente, la informacion secreta esta almacenada en el modulo de seguridad de manera protegida frente a la lectura. Por ejemplo, una lectura directa de la informacion secreta no es posible o solo como mucho tras una autenticacion satisfactoria con respecto al modulo de seguridad. La informacion secreta se usa dentro del modulo de seguridad para la verificacion del numero de serie del chip, sin salir del modulo de seguridad.
Opcionalmente, como dato adicional esta previsto un sistema operativo de seguridad o al menos una parte de un sistema operativo de seguridad. Por ejemplo, en la etapa de programacion, el sistema operativo de seguridad solo se programa en el chip en el caso en el que el numero de serie se haya verificado satisfactoriamente.
Opcionalmente, como dato adicional esta prevista una clave criptografica necesaria para una funcionalidad de un sistema operativo de seguridad implementado o que debe implementarse todavia en el chip, por ejemplo, una clave de autenticacion. El propio sistema operativo de seguridad se programa en el chip opcionalmente antes o despues de la verificacion del numero de serie, o alternativamente en parte antes y en parte despues. Opcionalmente, como dato adicional esta prevista la clave de autenticacion Kauth del sistema operativo de seguridad MOBICORE descrito al principio.
Opcionalmente, la clave criptografica, por ejemplo, clave de autenticacion, se genera en el modulo de seguridad, opcionalmente de manera directa en respuesta a la verificacion satisfactoria del numero de serie. La clave generada se programa a continuacion en el chip, opcionalmente sin posibilidad de intervencion desde fuera del modulo de seguridad.
Opcionalmente, la clave criptografica se genera usando el numero de serie. De este modo, la clave criptografica depende del numero de serie, y con ello la clave criptografica es unica, igual que el numero de serie, para el chip. Un procedimiento para la activacion de un sistema operativo de seguridad se realiza mediante un procedimiento para la programacion de un chip en el que, tal como se describio anteriormente, en la etapa preparatoria se programa el numero de serie en el chip. Como dato adicional esta prevista una clave criptografica necesaria para una funcionalidad de un sistema operativo de seguridad, en particular una clave de autenticacion. En el procedimiento para la activacion del sistema operativo de seguridad se programa adicionalmente en el chip el sistema operativo de seguridad con la excepcion de la clave criptografica y de este modo se implementa en el chip. En la etapa de programacion, la programacion de la clave criptografica en el chip se realiza solo en el caso de que el numero de serie se haya verificado satisfactoriamente. Al programar la clave en el chip, se activa el sistema operativo de seguridad y por consiguiente es funcional a partir de esta operacion de programacion.
El procedimiento puede utilizarse de manera especialmente ventajosa en el caso de una programacion de division de trabajo de un chip para un terminal movil, estando dividida la programacion del chip, por ejemplo, entre un fabricante de chips y un fabricante de terminales (por ejemplo, fabricante de terminales de telefonia movil).
Opcionalmente, la etapa preparatoria se realiza por parte de un primer programador (por ejemplo, fabricante de chips) y la etapa de programacion se realiza por parte de un segundo programador separado de manera logica y/o espacial del primer programador (por ejemplo, fabricante de terminales). Dado que la verificacion de los numeros de serie se produce sin listas de numeros de serie y unicamente requiere el modulo de seguridad, se suprime el intercambio, necesario hasta la fecha, de listas de numeros de serie entre el primer y el segundo programador, es decir, por ejemplo, entre el fabricante de chips y el fabricante de terminales.
Opcionalmente, la informacion secreta se programa por parte del primer programador (por ejemplo, fabricante de chips) en el modulo de seguridad y el modulo de seguridad la proporciona para la realizacion de la etapa de programacion al segundo programador (por ejemplo, fabricante de terminales).
El modulo de seguridad esta disenado opcionalmente como sistema completo con un criptoprocesador, una memoria para informacion secreta y una unidad de control para la programacion del chip. Opcionalmente, la memoria puede leerse exclusivamente mediante el criptoprocesador. El criptoprocesador esta configurado para, usando informacion secreta almacenada en la memoria, realizar calculos, por ejemplo, calculos de firma, calculos de numero de serie segun algoritmos, operaciones de comparacion, generacion de claves, en particular generacion de una clave de autenticacion Kauth para un sistema operativo de seguridad Mobicore. La unidad de control para la programacion del chip esta configurada para programar chips. Preferiblemente, el criptoprocesador y la unidad de control para la programacion del chip estan acoplados entre si de tal manera que la programacion de chip puede controlarse directamente mediante resultados de calculo del criptoprocesador.
Segun un primer perfeccionamiento de la invencion, en la etapa de programacion en el modulo de seguridad se genera un conjunto de datos de verificacion que comprende al menos la informacion secreta, por medio del que puede verificarse el numero de serie. El conjunto de datos de verificacion se envia a un sistema de fondo. En una etapa de verificacion que se encuentra, temporalmente, despues de la etapa de programacion se verifica de nuevo por medio del conjunto de datos de verificacion el numero de serie en el sistema de fondo, aceptandose el chip en el caso de que el numero de serie se haya verificado satisfactoriamente en la etapa de verificacion y rechazandose el chip en el caso de que el numero de serie no se haya verificado satisfactoriamente en la etapa de verificacion. La etapa de verificacion se realiza, por ejemplo, con motivo del registro de un terminal movil que contiene el chip en el sistema de fondo.
Opcionalmente, en el primer perfeccionamiento de la invencion en la etapa de programacion, como al menos una parte del conjunto de datos de verificacion, se genera un dato de clave-numero de serie dependiente de la clave y del numero de serie, por ejemplo, al procesarse la clave y el numero de serie por medio de un algoritmo G para dar el dato de clave-numero de serie, y enviarse al sistema de fondo. En la etapa de verificacion se verifica por medio del conjunto de datos de verificacion, ademas del numero de serie o en lugar del numero de serie, el dato de clavenumero de serie, por ejemplo, calculando una vez mas el dato de clave-numero de serie. Si es necesario, el conjunto de datos de verificacion comprende el algoritmo G.
En un procedimiento segun la invencion para la configuracion asegurada de un terminal movil que contiene un chip para un sistema de telefonia movil, segun un segundo perfeccionamiento de la invencion, en el chip se realiza una etapa preparatoria (que comprende en particular la programacion del numero de serie y dado el caso de la firma) y una etapa de programacion (que comprende en particular la verificacion del numero de serie y dado el caso la
programacion del dato adicional, por ejemplo la clave (de autenticacion)), tal como se describio anteriormente. A continuacion, se lleva el chip con un sistema de fondo del sistema de telefoma movil a una conexion de intercambio de datos, para registrar el terminal movil en el sistema de fondo, con el proposito de que el terminal movil pueda utilizarse a continuacion en el sistema de telefoma movil, por ejemplo, para hablar por telefono, intercambiar datos y otras aplicaciones habituales para terminales moviles. A continuacion, por ejemplo, a traves de la conexion de intercambio de datos, se realiza una segunda etapa de verificacion segun el perfeccionamiento de la invencion. Solo en el caso de que en la segunda etapa de verificacion se haya verificado satisfactoriamente el numero de serie y/o el dato de clave-numero de serie, el aparato de telefoma movil se registra en el sistema de fondo. De este modo, en el ciclo de vida del terminal movil esta incorporada una proteccion adicional, mediante la que se garantiza que solo terminales moviles con un chip original (y dado el caso un sistema operativo de seguridad original) puedan participar en el sistema de telefoma movil.
A continuacion, se explicara mas detalladamente la invencion por medio de ejemplos de realizacion y haciendo referencia a los dibujos, en los que muestran:
la figura 1 un sistema para la ilustracion de una primera forma de realizacion de la invencion, que comprende un primer perfeccionamiento;
la figura 2 un sistema para la ilustracion de una segunda forma de realizacion de la invencion, que comprende el primer perfeccionamiento;
la figura 3 un sistema para la ilustracion de un segundo perfeccionamiento de la invencion.
La figura 1 muestra un sistema para la ilustracion de una primera forma de realizacion de la invencion, en la que la programacion de un chip SoC para un terminal de telefoma movil esta protegida por medio de un numero de serie SENR, que esta formado segun una regla de asignacion secreta F. El proposito de la programacion es, en un chip SoC (System on chip) fabricado por un fabricante de chips SOCP (SOC Provider), permitir programar un sistema operativo de seguridad por parte de un fabricante de terminales de telefoma movil OEM (Original Equipment Manufacturer). A este respecto, debe garantizarse que solo chips originales del fabricante de chips SOCP se dotan de un sistema operativo de seguridad funcional. El sistema operativo de seguridad comprende una clave de autenticacion Kauth, sin la que el sistema operativo de seguridad no es funcional. El fabricante de chips SOCP programa en el chip SoC el numero de serie SENR formado segun la regla de asignacion secreta F y en un modulo de seguridad HSM (High Security Module) la regla de asignacion secreta F. El fabricante de chips SOCP suministra el chip SoC y el modulo de seguridad HSM al fabricante de terminales OEM. Por regla general, el fabricante de chips SOCP suministra un gran numero de chips SoC preparados de esta manera al fabricante de terminales OEM. El fabricante de terminales OEM integra el modulo de seguridad HSM de la manera prevista en su cadena de produccion para la programacion del chip. De este modo, cada operacion de programacion para la programacion del chip SoC esta controlada por el modulo de seguridad HSM, posibilitando asf que se haga exclusivamente bajo el control del modulo de seguridad HSM. En primer lugar, el fabricante de terminales OEM programa el sistema operativo de seguridad con la excepcion de la clave de autenticacion Kauth en el chip SoC. La clave de autenticacion Kauth todavfa no existe en este momento. En cuanto en el fabricante de terminales OEM se confiere una orden de programacion para programar la clave de autenticacion Kauth en el chip SoC, el modulo de seguridad HSM lee el numero de serie SENR del chip SoC, forma de nuevo el numero de serie SENR por medio del numero de serie lefdo SENR y la regla de asignacion secreta F almacenada en el modulo de seguridad HSM y compara el numero de serie lefdo y el formado de nuevo SENR. Solo en el caso de que el SENR lefdo y el formado de nuevo coincidan, se considera el numero de serie como verificado en el modulo de seguridad HSM y, directamente en respuesta a la verificacion, se genera en el modulo de seguridad HSM la clave de autenticacion Kauth. La clave de autenticacion Kauth se genera mediante un calculo criptografico a partir del numero de serie SENR y datos de entrada adicionales, de modo que por tanto la clave de autenticacion Kauth es unica y especffica para el chip SoC, al igual que el numero de serie SENR. La clave de autenticacion generada Kauth se programa en el chip SoC, sin posibilidad de intervencion desde fuera del modulo de seguridad HSM. De este modo se activa el sistema operativo de seguridad. Por el contrario, en el caso de que los numeros de serie sean diferentes, se emite un aviso de error y/o se interrumpe la programacion de chip, opcionalmente tambien se toma una medida de gestion de errores, tal como, por ejemplo, el borrado de memorias del chip SoC. Es decir, en este caso no se activa el sistema operativo de seguridad.
La figura 2 muestra un sistema para la ilustracion de una segunda forma de realizacion de la invencion, en la que la programacion de un chip SoC para un terminal de telefoma movil esta protegida por medio de un numero de serie SENR y una forma SIG a traves del numero de serie SENR. Las condiciones de contorno de la programacion de chip son tal como se describen en la figura 1. A diferencia de la forma de realizacion de la figura 1, el fabricante de chips SoCP programa en el chip SoC, en la forma de realizacion de la figura 2, el numero de serie SENR y una firma SlG generada mediante la encriptacion del numero de serie SENR con una clave criptografica secreta K. Ademas, el fabricante de chips SOCP programa la clave criptografica secreta K en el modulo de seguridad HSM. En cuanto se confiere una orden de programacion para programar la clave de autenticacion Kauth en el chip SoC, el modulo de seguridad HSM lee del chip SoC la firma SIG y el numero de serie SENR, forma de nuevo la firma SIG por medio del numero de serie lefdo SENR y de la clave secreta K almacenada en el modulo de seguridad HSM y compara la
forma leida y la formada de nuevo SIG. En el caso de que las firmas sean diferentes se emite un aviso de error y/o se interrumpe la programacion de chip, opcionalmente tambien se toma una medida de gestion de errores, tal como, por ejemplo, el borrado de memorias del chip SoC. En el caso de que la firma almacenada y la formada de nuevo SIG coincidan, se considera el numero de serie SENR como verificado. En respuesta a la verificacion, tal como se describe en la figura 1, se forma (calcula) la clave de autenticacion Kauth y se programa en el chip SoC, y por consiguiente se activa el sistema operativo de seguridad.
La figura 3 muestra un sistema para la representacion de perfeccionamientos de la invencion, con la etapa adicional del registro de un terminal movil que contiene el chip SoC en un sistema de fondo BS de un sistema de telefonia movil. Hasta la verificacion del numero de serie SENR en el modulo de seguridad HSM y dado el caso la generacion de la clave de autenticacion Kauth y el almacenamiento de la misma en el modulo de seguridad HSM, el desarrollo del procedimiento es el mismo que el descrito por medio de la figura 1 o la figura 2. Adicionalmente, despues de que en el modulo de seguridad HSM se haya generado la clave de autenticacion Kauth y se haya programado en el chip SoC, se genera un dato de clave-numero de serie SSD = G(F, Kauth, SENR) o SSD = G(K, Kauth, SENR) por medio de un algoritmo G y usando la informacion secreta (algoritmo F o clave K) y el numero de serie SENR. El dato de clave-numero de serie SSD, el numero de serie SENR y la informacion secreta, F o K, representan un conjunto de datos de verificacion para una verificacion posterior del numero de serie del chip SoC. El conjunto de datos de verificacion se envia a traves de una conexion de datos protegida, en la que no puede influir el fabricante de terminales OEM, a un sistema de fondo BS de un sistema de telefonia movil. Posteriormente, despues de que el terminal movil, en el que esta contenido el chip SoC, se haya vendido a un cliente final, el terminal movil, para ser funcional en el sistema de telefonia movil, tiene que registrarse en primer lugar en el sistema de fondo BS. Con motivo del intento de registrar el terminal movil en el sistema de fondo BS, por medio del dato de clave-numero de serie SSD se verifica una vez mas el numero de serie SENR del chip SoC. Solo en el caso de que el numero de serie SENR se verifique satisfactoriamente, el terminal movil se registra en el sistema de fondo BS y de este modo se posibilita la participacion en el sistema de telefonia movil con el terminal movil.
Claims (14)
1. Procedimiento para la programacion de un chip (SoC) para un terminal movil,
- programandose en una etapa preparatoria un numero de serie (SENR) en el chip (SoC) y
- verificandose a continuacion en una etapa de programacion el numero de serie (SENR) y realizandose una programacion de al menos un dato adicional (Kauth) en el chip (SoC) solo en el caso de que el numero de serie (SENR) se haya verificado satisfactoriamente,
verificandose el numero de serie (SENR) por medio de un modulo de seguridad (HSM), usando una informacion secreta (F, K) almacenada en el modulo de seguridad (HSM), que es diferente del numero de serie (SENR), y como dato adicional estando prevista una clave criptografica (Kauth) necesaria para una funcionalidad de un sistema operativo de seguridad implementado o que debe implementarse todavia en el chip (SoC).
2. Procedimiento, segun la reivindicacion 1, verificandose el numero de serie (SENR), al reproducir, usando la informacion secreta (F, K), el numero de serie (SENR) o una informacion (SIG) dependiente del numero de serie (SENR).
3. Procedimiento, segun la reivindicacion 1 o 2, formandose el numero de serie (SENR) mediante una regla de asignacion secreta (F), estando almacenada la regla de asignacion (F) como informacion secreta en el modulo de seguridad (HSM).
4. Procedimiento, segun la reivindicacion 1 o 2, almacenandose en el chip (SoC), ademas del numero de serie (SENR), una firma digital (SIG) formada usando el numero de serie (SENR) y una clave secreta (K), estando almacenada la clave secreta (K) como informacion secreta en el modulo de seguridad (HSM).
5. Procedimiento, segun una de las reivindicaciones 1 a 4, estando almacenada en el modulo de seguridad (HSM) la informacion secreta (F, K) protegida frente a la lectura.
6. Procedimiento, segun una de las reivindicaciones 1 a 5, estando previsto como dato adicional un sistema operativo de seguridad o al menos una parte de un sistema operativo de seguridad.
7. Procedimiento, segun la reivindicacion 6, generandose la clave criptografica (Kauth) en el modulo de seguridad (HSM).
8. Procedimiento, segun la reivindicacion 6 o 7, generandose la clave criptografica (Kauth) usando el numero de serie (SENR).
9. Procedimiento para la activacion de un sistema operativo de seguridad mediante un procedimiento para la programacion segun una de las reivindicaciones 6 a 8,
- programandose adicionalmente el sistema operativo de seguridad con la excepcion de la clave criptografica (Kauth) en el chip (SoC) e implementandose de este modo y
- realizandose en la etapa de programacion la programacion de la clave criptografica (Kauth) en el chip (SoC) solo en el caso de que el numero de serie (SENR) se haya verificado satisfactoriamente.
10. Procedimiento, segun una de las reivindicaciones 1 a 9, realizandose la etapa preparatoria por parte de un primer programador (SoCP) y realizandose la etapa de programacion por parte de un segundo programador (OEM) separado logica y/o espacialmente del primer programador (SoCP).
11. Procedimiento, segun la reivindicacion 10, programandose la informacion secreta (F, K) por parte del primer programador (SoCP) en el modulo de seguridad (HSM), y proporcionandose el modulo de seguridad (HSM) al segundo programador (OEM) para la etapa de programacion.
12. Procedimiento, segun una de las reivindicaciones 1 a 11,
- generandose en la etapa de programacion en el modulo de seguridad (HSM) un conjunto de datos de verificacion que comprende al menos la informacion secreta (F, K), por medio del que puede verificarse el numero de serie (SENR), y enviandose el conjunto de datos de verificacion a un sistema de fondo (BS), y
- verificandose una vez mas en una etapa de verificacion que se encuentra, temporalmente, despues de la etapa de programacion por medio del conjunto de datos de verificacion el numero de serie (SENR) en el sistema de fondo (BS), aceptandose el chip (SoC) en el caso de que el numero de serie (SENR) se haya verificado satisfactoriamente en la etapa de verificacion y rechazandose el chip (SoC) en el caso de que el numero de serie (SENR) no se haya
verificado satisfactoriamente en la etapa de verificacion.
13. Procedimiento, segun la reivindicacion 12,
- generandose en la etapa de programacion, como al menos una parte del conjunto de datos de verificacion, un dato de clave-numero de serie dependiente de la clave (Kauth) y del numero de serie (SENR) y enviandose al sistema de fondo (BS), y
- verificandose en la etapa de verificacion por medio del conjunto de datos de verificacion, ademas del numero de serie (SENR) o en lugar del numero de serie (SENR), el dato de clave-numero de serie.
14. Procedimiento para la configuracion asegurada de un terminal movil que contiene un chip (SoC) para un sistema de telefonia movil,
- realizandose en el chip (SoC) una etapa preparatoria y una etapa de programacion segun una de las reivindicaciones 1 a 13,
- llevandose el chip (SoC) con un sistema de fondo (BS) del sistema de telefonia movil a una conexion de intercambio de datos, para registrar el terminal movil en el sistema de fondo,
- realizandose una etapa de verificacion segun la reivindicacion 12 o 13, y
- solo en el caso de que en la etapa de verificacion se haya verificado satisfactoriamente el numero de serie (SENR) y/o el dato de clave-numero de serie, registrandose el aparato de telefonia movil en el sistema de fondo (BS).
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102011010627A DE102011010627A1 (de) | 2011-02-08 | 2011-02-08 | Verfahren zur Programmierung eines Mobilendgeräte-Chips |
PCT/EP2012/000534 WO2012107200A1 (de) | 2011-02-08 | 2012-02-06 | Verfahren zur programmierung eines mobilendgeräte-chips |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2710117T3 true ES2710117T3 (es) | 2019-04-23 |
Family
ID=45566975
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES12702770T Active ES2710117T3 (es) | 2011-02-08 | 2012-02-06 | Procedimiento para la programación de un chip de terminal móvil |
Country Status (7)
Country | Link |
---|---|
US (1) | US9298949B2 (es) |
EP (1) | EP2673731B1 (es) |
KR (1) | KR101751098B1 (es) |
CN (1) | CN103370713B (es) |
DE (1) | DE102011010627A1 (es) |
ES (1) | ES2710117T3 (es) |
WO (1) | WO2012107200A1 (es) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012021719A1 (de) | 2012-11-05 | 2014-05-08 | Giesecke & Devrient Gmbh | Übermittlung von Datenelementen von einem entfernten Server an einen Endgeräte Chip |
DE102014007022A1 (de) | 2014-05-13 | 2015-11-19 | Giesecke & Devrient Gmbh | Implementierung einer sicheren Laufzeitumgebung eines mobilen Endgeräts |
DE102014018867A1 (de) * | 2014-12-16 | 2016-06-16 | Giesecke & Devrient Gmbh | Einbringen einer Identität in ein Secure Element |
CN104486087B (zh) * | 2014-12-23 | 2017-12-29 | 中山大学 | 一种基于远程硬件安全模块的数字签名方法 |
US9870487B2 (en) * | 2014-12-30 | 2018-01-16 | Data I/O Corporation | Automated manufacturing system with adapter security mechanism and method of manufacture thereof |
CN109409076B (zh) * | 2017-08-17 | 2020-09-11 | 珠海艾派克微电子有限公司 | 打印耗材盒的验证方法、装置及耗材芯片 |
Family Cites Families (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5734819A (en) | 1994-10-12 | 1998-03-31 | International Business Machines Corporation | Method and apparatus for validating system operation |
US5603084C1 (en) * | 1995-03-02 | 2001-06-05 | Ericsson Inc | Method and apparatus for remotely programming a cellular radiotelephone |
US7908216B1 (en) * | 1999-07-22 | 2011-03-15 | Visa International Service Association | Internet payment, authentication and loading system using virtual smart card |
TW469404B (en) * | 2000-05-05 | 2001-12-21 | Umax Data Systems Inc | Method for generating serial numbers by random numbers |
US7024555B2 (en) * | 2001-11-01 | 2006-04-04 | Intel Corporation | Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment |
US7203835B2 (en) | 2001-11-13 | 2007-04-10 | Microsoft Corporation | Architecture for manufacturing authenticatable gaming systems |
WO2003073688A1 (en) * | 2002-02-22 | 2003-09-04 | Emc Corporation | Authenticating hardware devices incorporating digital certificates |
US20030216927A1 (en) * | 2002-05-17 | 2003-11-20 | V. Sridhar | System and method for automated safe reprogramming of software radios |
FR2842680A1 (fr) * | 2002-07-19 | 2004-01-23 | France Telecom | Procede de signature de liste et application au vote electronique |
CA2422086C (en) * | 2003-03-13 | 2010-05-25 | 777388 Ontario Limited | Networked sound masking system with centralized sound masking generation |
US20070162615A1 (en) * | 2003-03-13 | 2007-07-12 | Mircea Rusu | Auto-addressing mechanism for a networked system |
US20050166051A1 (en) * | 2004-01-26 | 2005-07-28 | Mark Buer | System and method for certification of a secure platform |
JP2005227995A (ja) * | 2004-02-12 | 2005-08-25 | Sony Corp | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム |
JP4265479B2 (ja) * | 2004-05-26 | 2009-05-20 | ソニー株式会社 | 通信システム |
US20060075254A1 (en) * | 2004-09-27 | 2006-04-06 | Cisco Technology, Inc. (A California Corporation) | Smart card functionality from a security co-processor and symmetric key in ROM |
US7877543B2 (en) * | 2004-12-03 | 2011-01-25 | Hewlett-Packard Development Company, L.P. | System and method for writing data and a time value to an addressable unit of a removable storage medium |
US7984849B2 (en) * | 2005-08-16 | 2011-07-26 | University of Nevada, Las Vegas | Portable magnetic stripe reader for criminality security applications |
US20070094507A1 (en) * | 2005-10-21 | 2007-04-26 | Rush Frederick A | Method and system for securing a wireless communication apparatus |
US7699233B2 (en) * | 2005-11-02 | 2010-04-20 | Nokia Corporation | Method for issuer and chip specific diversification |
US7845016B2 (en) * | 2005-11-28 | 2010-11-30 | Cisco Technology, Inc. | Methods and apparatus for verifying modules from approved vendors |
US20070170252A1 (en) * | 2006-01-24 | 2007-07-26 | Orton Kevin R | Voting Machine with Secure Memory Processing |
US9002018B2 (en) * | 2006-05-09 | 2015-04-07 | Sync Up Technologies Corporation | Encryption key exchange system and method |
TW200807425A (en) * | 2006-06-05 | 2008-02-01 | Renesas Tech Corp | Semiconductor device, unique ID of semiconductor device and method for verifying unique ID |
WO2008049235A1 (en) * | 2006-10-27 | 2008-05-02 | Storage Appliance Corporation | Systems and methods for controlling production quantities |
US8171275B2 (en) * | 2007-01-16 | 2012-05-01 | Bally Gaming, Inc. | ROM BIOS based trusted encrypted operating system |
US8001383B2 (en) * | 2007-02-01 | 2011-08-16 | Microsoft Corporation | Secure serial number |
GB2454640A (en) * | 2007-07-05 | 2009-05-20 | Vodafone Plc | Received message verification |
TW200945921A (en) * | 2008-04-24 | 2009-11-01 | Powerflash Technology Corp | Mobile phone accessing system and related storage device |
DE102008027043B4 (de) * | 2008-06-06 | 2012-03-08 | Giesecke & Devrient Gmbh | Verfahren zum Personalisieren eines Sicherheitselements eines mobilen Endgeräts |
US20100045427A1 (en) * | 2008-08-22 | 2010-02-25 | Emed, Inc. | Microdermabrasion System with Security Mechanism |
US8789746B2 (en) * | 2009-01-31 | 2014-07-29 | Solexir Technology Inc. | Product authentication using integrated circuits |
US8843732B2 (en) * | 2009-12-21 | 2014-09-23 | Intel Corporation | Mechanism for detecting a no-processor swap condition and modification of high speed bus calibration during boot |
US9081937B2 (en) * | 2010-08-26 | 2015-07-14 | Adobe Systems Incorporated | Systems and methods for managing subscription-based licensing of software products |
-
2011
- 2011-02-08 DE DE102011010627A patent/DE102011010627A1/de not_active Withdrawn
-
2012
- 2012-02-06 CN CN201280008094.6A patent/CN103370713B/zh active Active
- 2012-02-06 US US13/983,813 patent/US9298949B2/en active Active
- 2012-02-06 WO PCT/EP2012/000534 patent/WO2012107200A1/de active Application Filing
- 2012-02-06 KR KR1020137023464A patent/KR101751098B1/ko active IP Right Grant
- 2012-02-06 EP EP12702770.4A patent/EP2673731B1/de active Active
- 2012-02-06 ES ES12702770T patent/ES2710117T3/es active Active
Also Published As
Publication number | Publication date |
---|---|
KR101751098B1 (ko) | 2017-07-11 |
EP2673731A1 (de) | 2013-12-18 |
WO2012107200A1 (de) | 2012-08-16 |
KR20140048094A (ko) | 2014-04-23 |
DE102011010627A1 (de) | 2012-08-09 |
US9298949B2 (en) | 2016-03-29 |
US20130318638A1 (en) | 2013-11-28 |
CN103370713A (zh) | 2013-10-23 |
CN103370713B (zh) | 2016-12-14 |
EP2673731B1 (de) | 2018-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2971859T3 (es) | Método y aparato para asegurar una aplicación móvil | |
ES2710117T3 (es) | Procedimiento para la programación de un chip de terminal móvil | |
CN107077670B (zh) | 传输和处理交易消息的方法和装置、计算机可读存储介质 | |
ES2712150T3 (es) | Sistemas y métodos para comunicación segura | |
ES2881873T3 (es) | Procedimiento de protección de una ficha de pago | |
ES2599985T3 (es) | Validación en cualquier momento para los tokens de verificación | |
ES2680152T3 (es) | Método y aparato de autenticación conveniente para el usuario usando una aplicación de autenticación móvil | |
CN111723383B (zh) | 数据存储、验证方法及装置 | |
EP3457310B1 (en) | Method for protecting the confidentiality and integrity of firmware for an internet of things device | |
ES2619635T3 (es) | Método y sistema para personalización de chip de tarjeta inteligente | |
US20080205651A1 (en) | Secure processor system without need for manufacturer and user to know encryption information of each other | |
US20150019442A1 (en) | Pre-generation of session keys for electronic transactions and devices that pre-generate session keys for electronic transactions | |
US20080082828A1 (en) | Circuit arrangement and method for starting up a circuit arrangement | |
JP2009517939A (ja) | 安全で再生保護された記憶装置 | |
CN102737180A (zh) | 用于数字权利管理的集成电路 | |
CN103198247B (zh) | 一种计算机安全保护方法和系统 | |
US20230125083A1 (en) | Blockchain data access authorization method, apparatus, and device | |
CN103778374A (zh) | 可信终端、双信道卡、抗克隆芯片、芯片指纹和抗信道攻击的方法 | |
CN113570377B (zh) | 一种校验方法、装置以及设备 | |
CN103684786A (zh) | 数字证书的存储与硬件载体绑定的方法及系统 | |
EP2503482A1 (en) | Electronic device with flash memory component | |
CN104200177A (zh) | 一种移动医疗敏感数据加密方法 | |
CN104166823A (zh) | 一种智慧医疗数据安全保障系统 | |
CN111160879A (zh) | 一种硬件钱包及其安全性提升方法和装置 | |
CN106067205A (zh) | 一种门禁鉴权方法和装置 |