MX2013006157A - Dispositivo y metodo de gestion de datos sensibles. - Google Patents
Dispositivo y metodo de gestion de datos sensibles.Info
- Publication number
- MX2013006157A MX2013006157A MX2013006157A MX2013006157A MX2013006157A MX 2013006157 A MX2013006157 A MX 2013006157A MX 2013006157 A MX2013006157 A MX 2013006157A MX 2013006157 A MX2013006157 A MX 2013006157A MX 2013006157 A MX2013006157 A MX 2013006157A
- Authority
- MX
- Mexico
- Prior art keywords
- integrated circuitry
- sensitive data
- key
- data
- processing unit
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
- Credit Cards Or The Like (AREA)
Abstract
La invención está relacionada con un dispositivo para la gestión de datos sensibles que comprende al menos una primera circuitería integrada para formar una primera zona de confianza y al menos una segunda circuitería integrada para formar una segunda zona de confianza, en donde la primera circuitería integrada comprende al menos una unidad de procesamiento de seguridad adaptada para procesar datos sensibles, comprendiendo la segunda circuitería integrada al menos una zona de memoria persistente dentro de su zona de confianza para memorizar los datos sensibles, en donde la segunda circuitería integrada está separada de la primera circuitería integrada, estando la unidad de procesamiento de la primera circuitería integrada adaptada para transferir los datos sensibles desde la primera zona de confianza a la segunda zona de confianza para memorizar, de forma segura, dichos datos en la zona de memoria persistente de la segunda zona de confianza, estando la segunda circuitería integrada adaptada para transferir los datos sensibles guardados en su zona de memoria persistente a la unidad de procesamiento de la primera zona de confianza, en donde las primera y segunda circuiterías integradas comprenden medios criptográficos para la transferencia segura de los datos sensibles según un método criptográfico simétrico que utiliza una clave de seguridad y en donde la segunda circuitería integrada comprende medios para iniciar una nueva generación de claves para sustituir la clave de seguridad activa.
Description
DISPOSITIVO Y MÉTODO DE GESTIÓN DE DATOS SENSIBLES
La presente invención se refiere a un dispositivo para gestionar datos sensibles y un método para transferir, de forma segura, datos sensibles entre al menos una unidad de procesamiento y un dispositivo de memorización. La invención se refiere, además, a una circuiter a integrada con una zona de memoria integrada para memorizar, de forma segura, datos sensibles. Además, la invención se refiere a una máquina de juegos de azar que procesa datos sensibles.
La seguridad de los datos es una cuestión de importancia para numerosos aspectos del sector comercial, en particular en lo que concierne a los datos confidenciales o de dominio privado memorizados. A modo de ejemplo, un código fuente de programa informático guardado en una memoria instantánea (u otra forma de memoria electrónica) puede ser información de dominio privado valiosa. Otra información de dominio privado, a modo de ejemplo, puede ser el mantenimiento de datos de registros contables de una máquina de juegos de azar.
A modo de ejemplo, un sistema de microprocesador puede ponerse en práctica como un sistema sobre circuito integrado (SOC) , que comprende un procesador que accede, a la vez, a memoria en circuitos integrados y fuera de circuitos integrados. Un cálculo seguro se puede conseguir si el programa informático es seguro y las instrucciones asociadas
y los datos permanecen completamente en circuitos integrados y no están expuestos a la vista externa. No obstante, una vez que se transfieren datos fuera del circuito integrado, se hacen vulnerables al ataque y puede verse comprometida la seguridad de un cálculo dado. A modo de ejemplo, un ataque de intruso informático podría obtener acceso a una memoria fuera de circuito integrado no protegida y examinar los datos memorizados, posiblemente detectando información secreta. Dicho intruso informático podría incluso modificar los datos memorizados y de este modo, subvertir un cálculo de cualquier otro modo seguro.
Para evitar un acceso no autorizado y/o manipulación de datos guardados en una memoria externa, los datos pueden gestionarse según un método criptográfico.
Sistemas y métodos criptográficos pueden utilizarse para proteger la información de estados operativos en un dispositivo de comunicación personal memorizando, de forma segura, la información de estado en un par de formas. Una forma puede consistir en la escritura de una instantánea en la información de estado y calcular su suma de control, p.e., utilizando una función de intrusión informática unidireccional. El resultado se guarda dentro de una posición de memoria resistente a la manipulación indebida del dispositivo. Por lo tanto, si alguien intenta cambiar la información de estado, la suma de control del resultado no
coincidirá con el valor de la suma de control memorizado dentro del dispositivo personal. Otra forma puede consistir en utilizar un contador persistente monotónico dentro del dispositivo, cada vez que exista un cambio de estado, se memoriza la información de estado junto con el valor del contador actual encriptado utilizando una clave de dispositivo. De este modo, no puede ser posible cambiar la información de estado encriptada sin la clave.
El documento US 2003/0079122 Al da a conocer la idea de utilizar un dispositivo de memorización, resistente a la manipulación indebida, externo, para guardar información de estado importante. Se introduce la idea de contadores autenticados. Dicha solicitud de patente US 2003/0079122 Al da a conocer que un contador autenticado se puede poner en práctica en una token (ficha) de seguridad, resistente a la manipulación indebida, exterior, tal como una tarjeta inteligente, que se puede utilizar por el procesador seguro para proteger la integridad de su memorización de estados. Para realizar este trabajo, el procesador seguro necesita ser capaz de realizar la autenticación de la token de seguridad exterior. Para esta finalidad, la solicitud de patente US 2003/0079122 Al da a conocer la utilización de una denominada infraestructura de clave pública (PKI) .
Sin embargo, una infraestructura de claves públicas es bastante compleja de establecer porque implica la
coordinación y acuerdos entre fabricantes de dispositivos y los fabricantes de tokens de seguridad exteriores. Además, impone una cantidad de carga de procesamiento en las memorias o tokens de seguridad exterior.
Actualmente, las máquinas de juegos de azar funcionan con dinero. Por lo tanto, es necesario un sistema de seguridad que hiciere imposible manipular los datos de registro contables para ventaja personal. El sistema de seguridad debe evitar una influencia para el proceso de juegos de azar que perjudique a los proveedores de máquinas de juegos de azar.
Los datos de mantenimiento de registros contables deben guardarse en una memoria no volátil externa o en una memoria de respaldo operativo de batería debido al hecho de que después de que se produzca una desconexión imprevista del sistema, el jugador desea mantener su dinero registrado en su cuenta de juegos de azar y no está dispuesto a perderlo. Para evitar que alguien pueda leer los datos guardados en esa memoria externa y manipular su contenido, dispositivos de métodos criptográficos, según se indicó anteriormente, se ponen en práctica en las máquinas de juegos de azar para proteger esencialmente el contenido de su memoria. Sin embargo, ninguno de los dispositivos y métodos introducidos consigue resultados satisfactorios para proteger datos sensibles en las máquinas de juegos de azar.
El documento US 6,209,098 da a conocer una circuitería realizada dentro de un módulo de múltiples circuitos integrados que comprende un primer circuito integrado y un segundo circuito integrado acoplados juntos a través de una interconexión. Ambos primero y segundo circuitos integrados incluyen un motor criptográfico acoplado a la interconexión y un elemento de memoria no volátil utilizado para contener información clave. Estos motores criptográficos se utilizan exclusivamente para la encriptación de información saliente a través de la interconexión o para desencriptar la información entrante recibida desde la interconexión. Estos medios se proporcionan con el fin de evitar un ataque físico fraudulento de información transmitida a través de la interconexión.
Existe necesidad de proporcionar una seguridad de datos mejorada de los datos memorizados resolviendo o anticipando uno o más inconvenientes o desventajas asociadas con las técnicas de seguridad convencionales o al menos, proporcionando una alternativa de utilidad a dichas técnicas de seguridad convencionales.
Es un primer objetivo de la presente invención dar a conocer un dispositivo para gestionar datos sensibles que eliminen los inconvenientes anteriormente descritos. Es un segundo objetivo de la presente invención dar a conocer un método para la transferencia segura de datos entre una unidad
de procesamiento y un dispositivo de memorización.
Un tercer objetivo de la presente invención es mejorar un dispositivo de memorización para ser capaz de transferir, de forma segura, datos a un dispositivo conectado arbitrario.
Un cuarto objetivo de la presente invención es dar a conocer una máquina de juegos de azar con normas de seguridad mejoradas para gestionar datos sensibles dentro de la máquina .
La presente invención da a conocer una circuítería integrada para un intercambio de datos seguro según se define en la reivindicación 1, un dispositivo para gestionar datos sensibles según la reivindicación 2, un método para la transferencia, de forma segura, de datos sensibles según la reivindicación 8 y una máquina de juegos de azar según se define en la reivindicación 13. Formas de realización preferidas de la invención se establecen en las reivindicaciones subordinadas .
En consecuencia, el dispositivo comprende al menos una primera circuitería integrada para formar una primera zona de confianza y una segunda circuitería integrada para formar una segunda zona de confianza en donde:
- la primera circuitería integrada comprende al menos una unidad de procesamiento de seguridad adaptada para procesar datos sensibles,
- la segunda circuitería integrada comprende al menos
una zona de memoria persistente, dentro de su zona de confianza, para memorizar los datos sensibles, en donde la segunda circuitería integrada está separada de la primera circuítería integrada,
- la unidad de procesamiento de la primera circuitería integrada está adaptada para transferir los datos sensibles desde la primera zona de confianza a la segunda zona de confianza para una memorización segura de dichos datos en la zona de memoria persistente de la segunda zona de confianza, - la segunda circuitería integrada está adaptada para transferir los datos sensibles guardados en su zona de memoria persistente a la unidad de procesamiento de la primera zona de confianza,
- en donde las primera y segunda circuiterías integradas comprenden medios criptográficos para una transferencia segura de los datos sensibles, según un método criptográfico simétrico que utiliza una clave de seguridad y
- en donde la segunda circuitería integrada comprende medios para iniciar una nueva generación de claves para sustituir la clave de seguridad activa.
Las primera y segunda circuiterías integradas forman una zona de confianza permitiendo, cada una de ellas, solamente un acceso restringido en una manera segura. Las primera y segunda circuiterías integradas están interconectadas a través de un enlace de comunicación bidireccional . Ambas
primera y segunda circuiterías integradas utilizan la misma clave de seguridad activa para desencriptar/encriptar los datos transferidos a través del enlace de comunicación. En caso de que se inicie una generación de una nueva clave por el segundo dispositivo integrado, esto es, el dispositivo que mantiene los datos secretos, la clave activa se sustituye por la nueva clave generada en ambos lados del enlace de comunicación, es decir, en las primera y segunda circuiterías. Después de un intercambio de claves satisfactorio, la clave recientemente generada se convertirá en la clave activa actual .
Puesto que la generación de claves se inicia y procesa en la segunda circuitería integrada, está garantizado disponer de un sistema absolutamente seguro. El dispositivo, según la invención, tiene que hacer frente a la situación difícil planteada por un método de intrusión informática, que efectúa el seguimiento de la comunicación entre la primera circuitería integrada y la segunda circuitería integrada después de la activación y restablece el último estado de la zona de memoria de la segunda circuitería integrada con los datos registrados después de otra puesta en servicio.
A diferencia de la técnica anterior, la zona de memoria persistente no solamente puede utilizarse para memorizar datos allí depositados en la fabricación, sino que puede adaptarse para memorizar datos recibidos desde dispositivos
conectados durante el funcionamiento del dispositivo. En particular, la memoria persistente puede guardar datos sensibles recibidos a través de los medios de transferencia de datos desde un dispositivo separado conectable. Uno y el mismo circuito integrado puede incluir una zona de memoria para guardar datos sensibles recibidos desde un dispositivo conectable exterior, medios para recibir y enviar los datos sensibles, medios criptográficos para desencriptar/encriptar datos recibidos/memorizados y medios para iniciar la generación de una nueva clave de seguridad después de la activación con el fin de sustituir la clave de seguridad activa .
En una forma de realización preferida, más de una primera circuitería integrada puede interconectarse con la segunda circuitería integrada, estando cada una de ellas idénticamente adaptada para actuar según se describió anteriormente. Todas las primeras circuiterías integradas y la segunda circuitería integrada utilizan la misma clave de seguridad para desencriptar/encriptar.
En una forma de realización preferida de la invención, los medios criptográficos están adaptados para la transferencia segura de una nueva clave generada desde la segunda circuitería integrada a la primera circuitería integrada. Es decir, una clave recientemente generada se encripta con la clave de seguridad activa antes de su
transmisión. Por lo tanto, una clave registrada es ilegible sin la clave activa actual.
Resulta ventajoso que la primera y la segunda circuiterías integradas comprenden una clave de activación secreta, programable una sola vez. La clave de activación se utiliza para una transferencia segura de una nueva clave generada por la segunda circuiter a integrada después de la activación desde la segunda circuiteria integrada a la primera circuiteria integrada. Sin dicha clave de activación, seria necesario un intercambio de claves, en texto no cifrado, después de la activación, para proporcionar una clave de seguridad inicial para arabos lados . Una transmisión de clave, en texto sin cifrar, constituye un grave problema de seguridad, puesto que la clave podría ser fácilmente objeto de seguimiento y utilización para transferencias de datos adyacentes . Dicho riesgo se evita mediante el uso preferido de una clave de activación.
Es conveniente que la clave de activación sea comparativamente grande, p.e., una clave de 128 bits de longitud. Sin embargo, la longitud de la clave puede ser todavía mayor, p.e., dos veces, tres veces o x veces de bits pueden utilizarse para la clave. La clave se memoriza, preferentemente, en las primera y segunda circuiterías integradas en una memoria no volátil mecánicamente no susceptible. Además, es preferible adaptar la clave de
activación que es programable. En consecuencia, un cambio manual de la clave de activación es posible de vez en cuando.
Es imaginable que la clave de activación, programable una sola vez, accedida por la segunda circuitería integrada, sea memorizada en su zona de memoria persistente. La zona de memoria persistente es mecánicamente no susceptible estando suficientemente protegida contra los ataques de intrusiones físicas que intenten obtener acceso a dicha zona de memoria.
En otra forma de realización preferida de la invención, los medios para iniciar una nueva generación de claves están adaptados para iniciar una nueva generación de claves después de cada transferencia de datos sensibles desde la primera circuitería integrada a la segunda circuitería integrada. En consecuencia, un paquete de datos que contenga datos sensibles, que sean objeto de escritura en la zona de memoria de la segunda circuitería integrada, parecerá diferente cuando se lea por la primera circuitería integrada desde dicha zona de memoria.
Como alternativa o de forma adicional, puede ser operativamente imaginable iniciar una nueva generación de claves después de cada transferencia de datos sensibles desde la segunda circuitería integrada a la primera circuitería integrada o después de cada transferencia de datos sensibles en ambas direcciones .
Para proporcionar una clave generada aleatoria que sea
difícil de estimar por un intruso informático, es preferible, además, que los medios para iniciar una nueva generación de claves comprendan al menos un generador de números aleatorios para generar una clave sobre la base de un número aleatorio.
En una forma de realización preferida de la invención, la zona de memoria persistente de la segunda circuitería integrada es una memoria no volátil resistente a la manipulación indebida o una memoria de respaldo operativo de batería, también resistente a la manipulación indebida. Ambas formas de realización proporcionan una posibilidad de memorizar datos que se conservarán durante un evento operativo de desac ivación. Por lo tanto, tanto los datos sensibles memorizados como la clave de activación están inmediatamente disponibles después de una reiniciación operativa del dispositivo.
El segundo objetivo de la invención se consigue mediante un método para la transferencia segura de datos entre al menos una unidad de procesamiento y un dispositivo de memorización, según la reivindicación 8. Según la invención, el método comprende la etapa de desencriptar/encriptar sobre la base de una clave de seguridad. Se utiliza un motor criptográfico simétrico, es decir, la misma clave de seguridad se utiliza en la unidad de procesamiento y en el dispositivo de memorización. Además, los datos sensibles se transfieren en forma encriptada. Los datos sensibles son
objeto de encriptacion basándose en la clave de seguridad en la unidad de procesamiento, siendo desencriptados en el dispositivo de memorización de recepción y memorizados en la zona de memoria segura. En caso de que se proporcionen instrucciones a la unidad de procesamiento para la lectura de datos sensibles desde el dispositivo de memorización, los datos son encriptados en el dispositivo de memorización sobre la base de la clave de seguridad, se transfieren a la unidad de procesamiento y se desencriptan para un procesamiento adicional con la ayuda de la clave de · seguridad.
Además, según la invención, el dispositivo de memo ización inicia y genera una nueva clave para sustituir a la clave de seguridad activa actual. La ventaja esencial del método según la idea inventiva es que la memoria siempre define la clave activa. A modo de ejemplo, un intruso informático podría intentar acceder a un dispositivo de memorización simulando una clave de seguridad manipulada y por lo tanto, sería capaz de la escritura de un contenido de datos arbitrarios en el dispositivo de memorización. Según la invención, la definición de la clave activa, por el dispositivo de memorización, protegerá al dispositivo ante dichos métodos de intrusión informática.
Es muy operativamente imaginable que el intercambio de claves de una nueva clave generada se desencripte/encripte por la clave de seguridad activa actual. Es decir, una nueva
clave generada se encripta por el dispositivo de memorización basándose en la clave activa actual y se transmite a la unidad de. procesamiento. La unidad de procesamiento desencripta la nueva clave encriptada recibida con la ayuda de la clave activa actual. Después de la transmisión de clave satisfactoria, la clave activa actual se sustituye por la nueva clave generada que se convierte ahora en la clave activa actual utilizada para transmisión de datos adyacente.
Preferentemente, una clave de activación secreta, programable una sola vez, se utiliza como una clave de seguridad inicial para encriptación/desencriptación de un primer intercambio de claves desde el dispositivo de memorización a la unidad de procesamiento después de la activación. Esto evita un intercambio de claves, en texto no cifrado, después de la activación, para asegurar claves de seguridad idénticas en ambos lados, esto es, en la unidad de procesamiento y en el dispositivo de memorización.
En una forma de realización preferida de la invención, se inicia una generación de claves y/o intercambio de claves por el dispositivo de memorización después de cada transferencia de datos de datos sensibles desde la unidad de procesamiento al dispositivo de memorización. En consecuencia, después de cada operación de escritura en el dispositivo de memorización, se inicia un intercambio de claves. Un paquete de datos, objeto de escritura en el
dispositivo de memorización, parecerá diferente cuando se transmite desde el dispositivo de memorización a la unidad de procesamiento debido a las claves activas diferentes.
El método, según la invención, se procesa ventajosamente por el dispositivo, según la idea inventiva, en conformidad con cualquiera de las reivindicaciones 1 a 7. Evidentemente, el método presenta las mismas ventajas y propiedades que se establecieron anteriormente por la parte de la descripción relativa al dispositivo según cualquiera de las reivindicaciones 1 a 7.
La invención se refiere, además, a una circuiter a según se establece en la reivindicación 13. La circuitería integrada para intercambio de datos seguro comprende una zona de memoria persistente, en particular, una memoria no volátil, para guardar datos sensibles que comprenden medios de transferencia de datos para recibir datos sensibles con miras a su memorización en la zona de memoria persistente desde al menos un dispositivo conectado y para enviar datos sensibles guardados en la zona de memoria persistente a por lo menos un dispositivo conectado, medios criptográficos para desencriptar/encriptar datos sensibles recibidos/memorizados , según un método criptográfico simétrico que utiliza una clave de seguridad y medios para iniciar una generación de una nueva clave para sustituir a una clave de seguridad activa. La circuitería está configurada para utilizar una primitiva
criptográfica única.
La lógica y/o los medios de criptografía pueden ponerse en práctica mediante equipos físicos, programas informáticos o una combinación de ambos.
Según una forma de realización preferida, la circuitería es del tipo según la segunda circuitería integrada del dispositivo, según la idea inventiva, para gestionar datos sensibles. Además, la circuitería está adaptada para realizar el método según cualquiera de las reivindicaciones 8 a 12. Las ventajas y propiedades preferidas de la circuitería son evidentemente idénticas a las anteriormente descritas. Por lo tanto no parece ser esencial una descripción repetida.
Por último, la presente invención está relacionada con una máquina de juegos de azar que comprende un dispositivo o una circuitería según una de las formas de realización anteriormente citadas. La máquina de juegos de azar trata una diversidad de datos sensibles que necesitan protegerse contra ataques de intrusos informáticos. Los datos sensibles, que merecen un mecanismo de protección, se refieren preferentemente a por lo menos uno de entre los datos de mantenimiento de registros contables, saldos de dinero, margen de beneficios, número de juegos, número de juegos ganados, número de transacciones, etc. Por lo tanto, los datos sensibles se protegen por el dispositivo según cualquiera de las reivindicaciones 1 a 7 y/o el método según
cualquiera de las reivindicaciones 7 a 12 y/o la circuitería integrada para gestionar datos sensibles según lo establecido en las reivindicaciones 13, 14.
En una forma de realización particular de la presente invención, la unidad de procesamiento de la primera circuitería integrada está adaptada para controlar la máquina de juegos de azar y los datos sensibles guardados en la zona de memoria de la segunda circuitería integrada incluyen al menos un número de transacción que se utiliza por la unidad de procesamiento para validar los datos de registros contables. Los datos de registros contables se memorizan, preferentemente, en una zona/dispositivo de memorización adicional. Como alternativa, podrían guardarse en la memoria integrada en la segunda circuitería integrada.
Es particularmente preferible que el número de transacción, que caracteriza el número de transacciones de datos de dinero/registros contables procesados dentro de la máquina de juegos de azar. El número de transacción se incrementa automáticamente después de cada transacción.
Dentro de este contexto, es operativamente imaginable que la unidad de procesamiento comprenda al menos un generador de números de transacciones para generar un número de transacción después de cada juego o un evento operativo que origine un cambio de la información relacionada con el juego. En lugar de incrementar el número de transacción, se
puede utilizar un número de transacción que se genere de forma aleatoria.
La invención se describirá con mayor detalle a continuación, a modo de ejemplo no limitativo, haciendo referencia a las formas de realización ilustradas en los dibujos adjuntos.
La Figura 1 es una representación esquemática del dispositivo, según la idea inventiva, para gestionar datos sensibles ,
La Figura 2 es una primera tabla que visualiza un posible escenario operativo de intrusión informática,
La Figura 3 es una segunda tabla que visualiza otro escenario operativo de intrusión informática,
La Figura 4 es un primer diagrama de flujo que ilustra una primera forma de realización del método según la idea inventiva,
La Figura 5 es un segundo diagrama de flujo que ilustra una segunda puestas en práctica del método según la idea inventiva,
La Figura 6 es una vista lateral en perspectiva, de una máquina de juegos de azar según la presente invención y
La Figura 7 es un diagrama del sistema según la máquina de juegos de azar ilustrada en la Figura 6.
Las máquinas de juegos de azar funcionan con dinero. Esto requiere un sistema de seguridad que hiciere imposible
manipular los datos de registros contables para ventaja personal. El sistema de seguridad debe evitar una influencia para el proceso de juegos de azar que perjudique a los proveedores de máquinas de juegos de azar. Los datos de registros contables deben memorizarse en una memoria no volátil externa o una memoria con respaldo operativo de baterías debido al hecho de que después de una desactivación imprevista del sistema, el jugador necesite mantener su dinero registrado en su cuenta de juegos de azar y no está dispuesto a perderlo.
Para evitar que cualquiera pueda efectuar la lectura de los datos memori zados en esa memoria externa y manipular su contenido, un motor de encriptacion simétrico es esencial que haga que el contenido de la memoria sea ilegible para cualquiera que desconozca el algoritmo de encriptacion y la clave de encriptacion. En consecuencia, es imposible manipular activamente los datos de registros contables sin esa información.
Los ataques de intrusión informática activos significan llenar la memoria externa con datos corruptos con errores propios. Puesto que sin conocimiento del sistema de encriptacion y de la clave de encriptacion, la unidad de procesamiento no entenderá los datos corruptos con errores . No obstante, todavía existe una laguna en la seguridad en este sistema por la manipulación pasiva de la memoria.
Como se indicó anteriormente, el sistema actual es susceptible de intrusión pasiva en los datos encriptados . Incluso sin conocimiento del significado de los datos encriptados, es posible la denominada corrupción con errores de los datos de memoria de registros contables reproduciendo un estado válido del pasado en la memoria. Estos datos, que son datos correctamente encriptados, se pueden desencriptar por la unidad de procesamiento. Esto permite el siguiente escenario operativo de manipulación. Alguien inserta dinero en una máquina de juegos de azar y efectúa un seguimiento de registro del estado de todas las memorias externas encriptadas . Esta operación puede realizarse efectuando un seguimiento de la transferencia de datos o una lectura del contenido de la memoria si fuera posible. Después de perder el dinero a través de juegos de azar, será posible reproducir el estado anterior sustituyendo los contenidos encriptados de todas las memorias externas con los datos objeto de seguimiento. Esta operación puede restablecer los créditos perdidos y la persona puede seguir jugando sin necesidad de insertar más dinero.
Para impedir dicha manipulación de los datos de juegos de azar, alguna información de validación se añade a los datos encriptados que indicará si los datos encriptados son válidos o no lo son. Por lo tanto, se puede crear un número de transacción como la información de validación, que cambie
cada juego y se incorpore y encripte junto con los datos de registros contables. Si alguien hace una instantánea del sistema es inútil porque la unidad de procesamiento conocerá que los datos son "antiguos", esto es, pertenecen' a un estado anterior, y ya no son actualmente válidos. Este sistema sería intocable, es decir, propenso a ataques, si la unidad CPU tuviera una memoria no volátil en su interior, que puede conservar el número de transacción después de una desactivación. Una memoria no volátil, en el interior de la unidad de procesamiento, sería inabordable y constituiría una defensa contra los ataques de intrusión informática.
Sin embargo, debido al hecho de que una memoria interna no volátil, esto es, en la unidad de procesamiento, es difícil de realizar en una manera rentable, se puede requerir una memoria externa para conservar el número de transacción. Esta memoria externa puede presentar un par de características de seguridad, tales que nadie pueda efectuar un seguimiento ni una corrupción con errores de estos datos . Estos requisitos pueden satisfacerse fácilmente por el dispositivo, método o circuitería integrada según la presente invención .
La Figura 1 representa una vista esquemática del dispositivo según la invención 1 para gestionar datos sensibles como el número de transacción antes citado. Una clave compartida K se utiliza para asegurar la comunicación
entre un ASIC primario 10, que comprende una unidad de procesamiento 11, y el ASIC secundario 20, que comprende una zona de memoria no volátil no susceptible 21.
El ASIC primario 10 comprende, además, un generador de números de transacciones 12 y un módulo de encriptación 13. Un nuevo número de transacción se crea por el generador de números de transacciones 12 cada vez que el programa de juegos, que se utiliza por medio del ASIC 10, cambia o se produce un evento operativo de importancia. El número de transacción se incorpora y encripta junto con los datos de registros contables 15 por el módulo de encriptación 13. El paquete de datos encriptados se memoriza en un dispositivo de memorización conectado. Para mantener el número de transacción válido actual durante una desactivación del dispositivo/máquina de juegos de azar, el número de transacción se transmite ventajosamente al segundo ASIC 20 para memorizarlo en una zona de memoria no volátil 21. Es un aspecto ventajoso de la idea inventiva que las medidas dadas a conocer, según la invención, pueden permitir que la zona de memoria no volátil 21 sea comparativamente pequeña.
Las órdenes de lectura Read 31 y de escritura Write 32 pertenecen a un protocolo 30 a utilizarse entre los ASICs 10, 20 y se utilizan para la escritura del número de transacción en la zona de memoria persistente 21 del ASIC secundario 20 y para la lectura del número de transacción desde la zona de
memoria persistente 21. Cada transmisión entre los ASICs 10, 20 está asegurada por algoritmos criptográficos de claves simétricos ejecutados por los motores de desencriptación/encriptacion 14, 22 de los respectivos ASIC 10, 20. En detalle, en el presente ejemplo, un algoritmo de DES simétrico se utiliza basándose en una clave compartida dedicada K. El ASIC primario 10 puede enviar órdenes de protocolo al ASIC secundario 20 y el ASIC secundario 20 responde al ASIC primario 10 enviando respuestas a las órdenes.
Además, el dispositivo 1, a modo de ejemplo actual, comprende y funciona con una clave K' de activación secreta, programable una sola vez, que se utiliza por ambos motores 14, 22 como una clave segura de puesta en servicio inicial. Dicha clave de activación K' se programa en la unidad de procesamiento 11 y en la zona de memoria 21 y es accesible por los respectivos motores 14, 22. Esta clave K' se utiliza como una clave activa actual para intercambiar una nueva clave generada K para la siguiente transferencia de datos después de la activación. Después de transmitir satisfactoriamente una clave recientemente generada K a ASIC 10, la clave de activación K' como la clave activa para la encriptación/desencriptación se sustituye por la nueva clave generada K que se convierte ahora en la clave activa actual K.
Esta clave ? puede cambiarse después de cada transferencia de datos. Como alternativa, la clave K puede cambiarse después de que se hayan realizado varias acciones de transferencia de datos. En consecuencia, un paquete de datos que es objeto de escritura en la memoria segura parecerá diferente cuando se lea por la unidad de procesamiento. En una forma de realización preferida, se puede utilizar una clave grande de, a modo de ejemplo, 128 bits .
Según aspecto ventajoso de la idea inventiva, el cambio de clave se inicia por el ASIC 20, esto es, la segunda zona de confianza, que está adaptada para memorizar los datos sensibles dentro de la zona de memoria persistente 21. La generación de claves, según el ejemplo actual, está basada en un generador de números aleatorios 23 integrado en ASIC 20 y conectado al motor 22 para proporcionar una nueva clave de seguridad generada K.
La importancia de un aspecto ventajoso de la presente invención, esto es, que un cambio de clave se inicie por ASIC 20, se explicará por los dos escenarios operativos siguientes representados por las tablas ilustradas en las Figuras 2 y 3.
La Figura 2 representa una forma de realización en donde la generación de una nueva clave se inicia por ASIC 10, esto es, la primera zona de confianza. En la línea 1 de la tabla ilustrada, ocurre un evento operativo de "Activación" y ambos
motores de desencriptación/encriptación 14, 22 de ASlCs 10, 20, se ponen en marcha con la clave de activación que es "abe". En la etapa siguiente, línea 2, el "Cambio de clave", ASIC 10, inicia la generación de una nueva clave "xyz" y transmite la clave "xyz" encriptada con la clave "abe" a ASIC 20, en particular, para el motor 22. La etapa "Clave cambiada" significa un intercambio de claves satisfactorio en donde la clave de activación "abe" se sustituye por la nueva clave "xyz" .
En la línea 4, la etapa "Escritura de datos", se genera un nuevo número de transacción "1" por el generador 12 de ASIC 10, cuyo número de transacción está previsto para guardarse en la zona de memoria 21 de ASIC 20. Por lo tanto, el número "1" se transmite a ASIC 20 encriptado con la clave "xyz" y se guarda en memoria (última columna de la tabla ilustrada en la Figura 2). La transmisión de datos inicia, en el ASIC 10, la generación de una nueva clave "def", cuya nueva clave "def" es intercambiada según las etapas antes citadas de "Cambio de clave" y "Clave cambiada" . Por el contrario, la etapa "Lectura de datos" no inicia un cambio de claves .
Hasta que el primer evento operativo de desactivación en la tabla, un número de transacción "10" se guarda en la zona de memoria 21. Un intruso informático puede capturar la secuencia de comunicación 200 entre ASlCs 10, 20 comenzando
en el primer evento operativo de activación.
Cuando se reinicia el dispositivo (segundo evento operativo de activación en la línea 11) , la secuencia registrada 200 podría utilizarse para restablecer la zona de memoria 21 con el respectivo número de transacción de la secuencia de comunicación anteriormente registrada. Puesto que la generación de claves fue iniciada por ASIC 10, el ASIC 20 actuará en función de la secuencia de comunicación capturada 200. ASIC 20 verá datos válidos porque el primer cambio de claves es aceptable cuando la zona de memoria 21 se pueda restablecer con el número de transacción no válido "2".
Sin embargo, puesto <jue ASIC 10 utiliza una nueva clave generada "ghi" después del segundo evento operativo de activación, cuya nueva clave generada "ghi" no coincide con la antigua clave "xyz" de la secuencia de comunicación capturada 200, el número de transacción transmitido "2" no puede ser encriptado por el motor 14 de ASIC 10. Esta circunstancia dará lugar a un estado de "datos no válidos" en la unidad de procesamiento 11. Lamentablemente, dicho estado no válido se corregirá por una tercera activación puesto que ambos motores 14, 22 se pondrán en marcha, una vez más, con la clave de activación "abe" . La zona de memoria 21 de ASIC 20 verá datos válidos, en particular, una transacción válida.
Un cambio de claves, iniciado por ASIC 20, puede evitar dicho ataque de intrusión según puede constatarse en la tabla
de la Figura 3. La primera secuencia de comunicación 300 entre ASICs 10, 20 es similar a la de la Figura 2; sin embargo, un intercambio de claves, ilustrado en las etapas "Cambio de clave" y "Clave cambiada" se inicia por ASIC 20. Según se indica por una secuencia de procesamiento 300, un número de transacción "24" se memoriza en la zona de memoria 21 de ASIC 20.
Si está previsto utilizarse una secuencia de procesamiento registrada 300 para restablecer el contenido de datos de la zona de memoria 21, dicho intento resultará fallido al acceder a la zona de memoria 21. Una nueva clave "ghi" se genera inmediatamente por ASIC 10 después del segundo evento operativo de activación. Por lo tanto, el motor 22 de ASIC 20 no puede encriptar el antiguo contenido de datos de la secuencia 300 que se lleva, en un intento de intrusión, a la línea de comunicación entre ASIC 10, 20. El contenido de la zona de memoria 21 permanecerá intacto o dará lugar a un evento operativo de "Datos no válidos".
Las Figuras 4 y 5 ilustran diferentes diagramas de flujo que indican dos posibles algoritmos de puestas en práctica del método según la invención, que pueden ejecutarse en ASIC 20 por medio de un procedimiento de máquina de estados.
Después de un evento operativo de "Activación" , etapa 400, se generará una clave aleatoria según una etapa 401. Según una etapa posterior "Primer cambio de claves" 402, la
nueva clave se memoriza en una celda de memoria 420 y se entrega a un módulo "Encriptación de claves simétricas" 403. El módulo 403 es utilizable para encriptar la nueva clave utilizando la clave activa actual que es, en ese momento, la clave de activación y transmite los datos encriptados a través de una interfaz de memoria 450.
La máquina de estados permanece ahora en una etapa de "Lectura/escritura" 404, que está a la espera de que se ejecute una orden de lectura/escritura. Si se ejecuta una orden de lectura, en tal caso, según una etapa "Lectura memoria" 405, el contenido de datos actual (número de transacción) se buscará desde una zona de memoria 460 seguido por la encriptación del contenido de datos según una etapa "Encriptación simétrica" 406 utilizando la clave memorizada en la celda "Clave activa" 420 y la transmisión del contenido encriptado a través de una interfaz 450 al ASIC primario 10.
Si se ejecuta una orden de escritura, entonces, según la etapa "Desencriptación simétrica" 407, los datos encriptados recibidos, que se recibieron a través de la interfaz de memoria 450, serán desencriptados utilizando la clave memorizada en la celda "Clave activa" 420. Los datos desencriptados (número de transacción) se memorizarán entonces, según la etapa "Memoria escritura" 408 a la zona de memoria 460.
Después de cada orden de lectura/escritura, se genera
una nueva clave según una etapa "Generador de claves aleatorias" 409. Según una etapa "Cambio de clave" 410, la clave recientemente generada se guarda en la celda de memoria 420 y la nueva clave anterior se memoriza en la celda denominada "Clave antigua" 440. Según una posterior etapa "Encriptación de claves simétricas" 411, la clave recientemente generada se encripta en función de la nueva clave anterior memorizada en la celda "Clave antigua" 440 o la clave que se memoriza en la celda "Clave OTP" 430. Los datos de claves encriptados se transmiten a través de la interfaz de memoria 450. Si la celda "Clave antigua" 440 está vacía, el sistema puede utilizar la clave de activación memorizada en la celda "Clave OTP" 430 para el procedimiento de encriptación/desencriptación. A continuación, la máquina de estados pasa a la etapa 404, a la espera de una nueva orden de lectura/escritura.
La Figura 5 ilustra otro diagrama de flujo que sugiere un algoritmo puesto en práctica, ligeramente distinto, de la presente invención. A diferencia de las etapas ilustradas en la Figura 4, el diagrama de flujo ilustrado está basado en un método recursivo que utiliza solamente una etapa "Cambio de clave" 500. Además, la lógica que supervisa si una nueva clave ha sido ya generada se pone en práctica también utilizando el módulo único "Cambio de claves" 500 al principio del diagrama de flujo. Ambas puestas en práctica
(Figuras 4, 5) realizarán funciones idénticas según el método de la invención. Sin embargo, el esfuerzo de codificación y la complejidad se pueden reducir utilizando una forma de puesta en práctica según se ilustra en la Figura 5.
La Figura 6 representa una forma de realización preferida de una máquina de juegos de azar con un dispositivo integrado según la presente invención. La Figura 6 representa un ordenador 84, que está montado en la carcasa de alojamiento y se conecta con una interfaz de presentación visual 80 que puede incluir una pantalla táctil. El ordenador incluye una placa principal 86 que tiene un controlador, una memoria conectada a la placa principal para memorizar software, software guardado en la memoria para el funcionamiento de la interfaz 80, controladores de software y un procesador principal.
La Figura 7 representa un diagrama del sistema del ordenador 84. La placa principal 86 comprende una memoria de programas 88 que es un medio legible por ordenador, una unidad de procesamiento principal 90 y una memoria RAM 92 conectada en comunicación operativa. La relación entre la unidad de procesamiento 90 y el dispositivo de memorización exterior 114 se refiere a la presente invención, en donde el dispositivo de memorización 114 y la unidad de procesamiento 90 están acoplados entre sí mediante la interfaz 450. El número de transacción antes citado se memoriza en el
dispositivo de memorización 114 . Puede indicarse que la interfaz 450 puede cablearse o ser alternativamente inalámbrica, en cuyo caso puede comprender medios para la transmisión inalámbrica.
El ordenador 84 comprende, además, un controlador I/O de entrada/salida 94 . El controlador de entrada/salida 94 se comunica con un panel de control 96 , un controlador de interfaz de presentación visual 98 , una unidad de presentación visual 100 , un aceptador de monedas 102 , un aceptador de billetes 104 , un lector de tarjetas 106 , un lector/impresora de tickets 108 y un circuito de sonido 110 . El circuito de sonido 110 está en comunicación operativa con los altavoces 112 .
El aceptador de monedas 102 y el aceptador de billetes 104 aceptan moneda y comunican la cantidad aceptada al controlador de entrada/salida 94 . El lector de tarjetas 106 efectúa la lectura de tarjetas de crédito, tarjetas de débito, tarjetas de regalos u otras tarjetas que tengan indicios electrónicos de valor monetario.
El lector de tickets 108 imprime tickets y recibos que dan a conocer las ganancias de un jugador u otro resultado financiero. El lector de tickets 108 recibe también tickets que tienen indicios de valor monetario.
El circuito de sonido 110 está configurado para proporcionar una interfaz con base acústica para el usuario.
Cada movimiento o acción por un usuario puede dar lugar a un sonido particular o una instrucción que se genera por el ordenador 84. Los altavoces 112 emiten los sonidos para el usuario.
Resulta fácilmente evidente para un experto en esta técnica que los diversos procesos aquí descritos se pueden poner en práctica por, a modo de ejemplo, ordenadores de uso general adecuadamente programados, ordenadores de uso especial y dispositivos de cálculo informáticos. En condiciones normales, un procesador, p.e., uno o más microprocesadores, uno o más micro-controladores , uno o más procesadores de señales digitales recibirán instrucciones, p.e., procedentes de una memoria o dispositivo, similar y ejecutarán dichas instrucciones, por lo que se realiza uno o más procesos definidos por dichas instrucciones.
Un "procesador" significa uno o más microprocesadores, unidades centrales de proceso CPUs, dispositivos de cálculo informático, microprocesadores, procesadores de señales digitales o dispositivos similares o cualquiera de sus combinaciones.
Se hace constar que con relación a esta fecha, el mejor método conocido por la solicitante para llevar a la práctica la citada invención, es el que resulta claro de la presente descripción de la invención.
Claims (14)
1. Una circuitería integrada para un intercambio de datos seguro, que comprende: - una zona de memoria persistente (21) para memorizar datos sensibles; - medio de transferencia de datos para recibir datos sensibles desde al menos un dispositivo conectado, en donde dicha zona de memoria persistente (21) está adaptada para memorizar los datos sensibles recibidos a través de dicho medio de transferencia de datos y en donde dicho medio de transferencia de datos está adaptado para enviar los datos sensibles guardados en la zona de memoria persistente (21) al por lo menos un dispositivo conectado, - medios criptográficos para desencriptar/encriptar datos sensibles recibidos/memorizados basados en un método criptográfico simétrico que utiliza una clave de seguridad activa y - medios para iniciar una generación de una nueva clave de seguridad después de la activación, para sustituir a la clave de seguridad activa.
2. Un dispositivo para gestionar datos sensibles que comprende al menos una primera circuitería integrada (10) para formar una primera zona de confianza y al menos una segunda circuitería integrada (20) estando dicha segunda circuitería integrada (20) en conformidad con lo establecido en la reivindicación 1 y formando una segunda zona de confianza, en donde: la primera circuitería integrada (10) comprende al menos una unidad de procesamiento de seguridad (11) adaptada para procesar datos sensibles, en donde la primera circuitería integrada (10) está separada de la segunda circuitería integrada (20) ; - la zona de memoria persistente (21) de la segunda circuitería integrada (20) está situada dentro de dicha segunda zona de confianza; la unidad de procesamiento (11) de la primera circuitería integrada (10) está adaptada para transferir los datos sensibles desde la primera zona de confianza a la segunda zona de confianza para memorizar, de forma segura, dichos datos en la zona de memoria persistente (21) de la segunda zona de confianza, - la segunda circuitería integrada (20) está adaptada para transferir los datos sensibles memorizados en la zona de memoria persistente (21) a la unidad de procesamiento (11) de la primera zona de confianza, en donde la primera circuitería integrada (10) comprende medios criptográficos para transferir, de forma segura, los datos sensibles según el método criptográfico simétrico que utiliza la clave de seguridad activa, que es sustituible por dicha nueva clave de seguridad, generada por la segunda circuítería integrada (20) después de la activación.
3. El dispositivo según la reivindicación 2, en donde se utilizan los medios criptográficos para transferir, de forma segura, una nueva clave generada desde la segunda circuítería integrada (20) a la primera circuitería integrada (10) .
4. El dispositivo según cualquiera de las reivindicaciones 2 o 3 , en donde la primera y la segunda circuíterías integradas (10, 20) comprenden una clave de activación secreta, programable de una vez, siendo utilizada dicha clave de activación para transferir, de forma segura, desde la segunda circuitería integrada a la primera circuitería integrada (10) , dicha nueva clave de seguridad generada por la segunda circuitería integrada (20) después de la activación, e1^ donde la clave de activación secreta, programable de una vez, en la segunda circuitería integrada (20) , está preferentemente memorizada en su zona de memoria persistente (21).
5. El dispositivo según cualquiera de las reivindicaciones 2 a 4, en donde los medios para iniciar una nueva generación de claves de seguridad están adaptados para iniciar una nueva generación de claves de seguridad después de cada transferencia de datos sensibles desde la primera circuitería integrada (10) a la segunda circuitería integrada (20) y/o después de cada transferencia de datos sensibles desde la segunda circuitería integrada (20) a la primera circuitería integrada (10) .
6. El dispositivo según cualquiera de las reivindicaciones 2 a 5, en donde los medios para iniciar la generación de una nueva clave de seguridad comprenden un generador de números aleatorios (23) para generar una clave de seguridad sobre la base de un número aleatorio.
7. El dispositivo según cualquiera de las reivindicaciones 2 a 6, en donde la zona de memoria persistente (21) de la segunda circuitería integrada (20) es una memoria no volátil resistente a la utilización indebida o una memoria con baterías de reserva resistente a la manipulación indebida.
8. Un método para la transferencia, de forma segura, de datos sensibles bidireccional entre al menos una unidad de procesamiento (11) y un dispositivo de memorización exterior (21) , cuyo dispositivo de memorización (21) está adaptado para memorizar los datos sensibles recibidos, en donde se utiliza una clave de seguridad activa para desencriptar/encriptar los datos sensibles recibidos o datos sensibles con miras a su envío en la unidad de procesamiento (11) y en la memoria exterior y en donde el dispositivo de memorización exterior (21) inicia y genera una nueva clave de seguridad después de la activación, con el fin de sustituir la clave de seguridad activa.
9. El método según la reivindicación 8, en donde el intercambio de claves de la nueva clave generada desde el dispositivo de memorización (21) a la unidad de procesamiento se desencripta/encripta por la clave de seguridad activa.
10. El método según cualquiera de las reivindicaciones 8 o 9, en donde se utiliza una clave de activación secreta, programable de una vez, como una clave de seguridad inicial para encriptar/desencriptar un primer intercambio de claves desde el dispositivo de memorización (21) a la unidad de procesamiento (11) después de la activación.
11. El método según cualquiera de las reivindicaciones 8 a 10, en donde una generación de claves y/o intercambio de claves se inicia por el dispositivo de memorización después de cada transferencia de datos de datos sensibles desde la unidad de procesamiento al dispositivo de memorización y/o desde el dispositivo de memorización a la unidad de procesamiento .
12. El método según cualquiera de las reivindicaciones 8 a 11, capaz de ejecutarse por el dispositivo según lo establecido en las reivindicaciones 2 a 7.
13. Una máquina de juegos de azar que comprende un dispositivo según cualquiera de las reivindicaciones 2 a 7, que es capaz de realizar el método en conformidad con cualquiera de las reivindicaciones 8 a 12.
14. La máquina de juegos de azar según la reivindicación 13, en donde la unidad de procesamiento (11) de la primera circuitería integrada (10) controla la máquina de juegos de azar y los datos sensibles guardados en la zona de memoria (21) de la segunda circuitería integrada (20) incluyen al menos un número de transacción que se utiliza por la unidad de procesamiento (11) para validar los datos de registros contables, en donde, preferentemente, la unidad de procesamiento (11) comprende un generador de números de transacciones (12) para generar un número de transacción después de cada juego o un evento operativo que origine un cambio de información relacionada con el juego. RESUMEN La invención está relacionada con un dispositivo para la gestión de datos sensibles que comprende al menos una primera circuitería integrada para formar una primera zona de confianza y al menos una segunda circuitería integrada para formar una segunda zona de confianza, en donde la primera circuitería integrada comprende al menos una unidad de procesamiento de seguridad adaptada para procesar datos sensibles, comprendiendo la segunda circuitería integrada al menos una zona de memoria persistente dentro de su zona de confianza para memorizar los datos sensibles, en donde la segunda circuitería integrada esta separada de la primera circuitería integrada, estando la unidad de procesamiento de la primera circuitería integrada adaptada para transferir los datos sensibles desde la primera zona de confianza a la segunda zona de confianza para memorizar, de forma segura, dichos datos en la zona de memoria persistente de la segunda zona de confianza, estando la segunda circuitería integrada adaptada para transferir los datos sensibles guardados en su zona de memoria persistente a la unidad de procesamiento de la primera zona de confianza, en donde las primera y segunda circuiterías integradas comprenden medios criptográficos para la transferencia segura de los datos sensibles según un método criptográfico simétrico que utiliza una clave de seguridad y en donde la segunda circuitería integrada comprende medios para iniciar una nueva generación de claves para sustituir la clave de seguridad activa.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10015270.1A EP2461265B1 (en) | 2010-12-03 | 2010-12-03 | Device for and method of handling sensitive data |
| PCT/EP2011/006059 WO2012072267A1 (en) | 2010-12-03 | 2011-12-02 | Device for and method of handling sensitive data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| MX2013006157A true MX2013006157A (es) | 2014-02-28 |
| MX351145B MX351145B (es) | 2017-10-04 |
Family
ID=43735840
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| MX2013006157A MX351145B (es) | 2010-12-03 | 2011-12-02 | Dispositivo y metodo de gestion de datos sensibles. |
Country Status (19)
| Country | Link |
|---|---|
| US (1) | US9246886B2 (es) |
| EP (1) | EP2461265B1 (es) |
| KR (1) | KR101885393B1 (es) |
| CN (1) | CN103348357B (es) |
| AU (1) | AU2011335426B2 (es) |
| CA (1) | CA2816498C (es) |
| CL (1) | CL2013001435A1 (es) |
| DK (1) | DK2461265T3 (es) |
| ES (1) | ES2737426T3 (es) |
| HR (1) | HRP20191281T1 (es) |
| LT (1) | LT2461265T (es) |
| MX (1) | MX351145B (es) |
| MY (1) | MY168225A (es) |
| PL (1) | PL2461265T3 (es) |
| RU (1) | RU2591665C2 (es) |
| SG (1) | SG190156A1 (es) |
| SI (1) | SI2461265T1 (es) |
| WO (1) | WO2012072267A1 (es) |
| ZA (1) | ZA201303369B (es) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5974907B2 (ja) * | 2013-01-17 | 2016-08-23 | 株式会社デンソー | 車両装置 |
| US9659178B1 (en) | 2013-10-22 | 2017-05-23 | Square, Inc. | Device blanking |
| CN104735020A (zh) * | 2013-12-18 | 2015-06-24 | 深圳市腾讯计算机系统有限公司 | 一种获取敏感数据的方法、设备及系统 |
| US9607178B2 (en) | 2014-03-20 | 2017-03-28 | Qualcomm Incorporated | Protection against key tampering |
| CN104239783A (zh) | 2014-09-19 | 2014-12-24 | 东软集团股份有限公司 | 一种特定信息安全输入系统及方法 |
| KR102485830B1 (ko) | 2015-02-13 | 2023-01-09 | 삼성전자주식회사 | 보안 정보의 처리 |
| US10475034B2 (en) | 2016-02-12 | 2019-11-12 | Square, Inc. | Physical and logical detections for fraud and tampering |
| CN108779876B (zh) * | 2016-03-16 | 2023-07-04 | 德莱赛公司 | 扩展过程装置的功能 |
| US11463267B2 (en) | 2016-09-08 | 2022-10-04 | Nec Corporation | Network function virtualization system and verifying method |
| DE102017102712A1 (de) * | 2017-02-10 | 2018-08-16 | Schréder S.A. | Dezentrale Datenspeicherung |
| US10255603B1 (en) * | 2017-08-31 | 2019-04-09 | Sqaure, Inc. | Processor power supply glitch mitigation |
| KR20190075363A (ko) * | 2017-12-21 | 2019-07-01 | 삼성전자주식회사 | 반도체 메모리 장치, 이를 포함하는 메모리 시스템 및 메모리 모듈 |
| US11182794B1 (en) | 2018-03-29 | 2021-11-23 | Square, Inc. | Detecting unauthorized devices using proximity sensor(s) |
| US11257072B1 (en) | 2018-03-29 | 2022-02-22 | Square, Inc. | Detecting unauthorized devices |
| US10733291B1 (en) | 2018-06-11 | 2020-08-04 | Square, Inc. | Bi-directional communication protocol based device security |
| US10892895B2 (en) * | 2018-09-10 | 2021-01-12 | Atense, Inc. | Storing and using multipurpose secret data |
| US10614232B2 (en) * | 2018-09-10 | 2020-04-07 | John Almeida | Storing and using multipurpose secret data |
| KR102621645B1 (ko) * | 2019-03-12 | 2024-01-05 | 삼성전자주식회사 | 보안 집적 회로를 포함하는 전자 장치 |
| US11470055B2 (en) * | 2020-06-26 | 2022-10-11 | Bank Of America Corporation | Data transmission with encryption of protected data |
| US11463438B2 (en) | 2020-11-11 | 2022-10-04 | Bank Of America Corporation | Network device authentication for information security |
| CN114372251B (zh) * | 2021-12-01 | 2023-07-07 | 深圳市银之杰科技股份有限公司 | 征信数据安全与隐私保护方法 |
| CN115174080B (zh) * | 2022-09-07 | 2023-03-21 | 北京安盟信息技术股份有限公司 | 一种密钥保护方法及装置 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5828753A (en) * | 1996-10-25 | 1998-10-27 | Intel Corporation | Circuit and method for ensuring interconnect security within a multi-chip integrated circuit package |
| CN100405247C (zh) * | 1999-03-03 | 2008-07-23 | 索尼公司 | 终端、数据处理设备和方法、数据处理设备的发送方法 |
| US7290072B2 (en) * | 1999-10-06 | 2007-10-30 | Igt | Protocols and standards for USB peripheral communications |
| US6735693B1 (en) * | 2000-01-28 | 2004-05-11 | Western Digital Ventures, Inc. | Disk drive comprising encryption circuitry selectively enabled by verifying a circuit that provides plaintext data |
| WO2002083255A1 (en) * | 2001-04-11 | 2002-10-24 | Walker Digital, Llc | Methods and systems for facilitating game play at a gaming device by means of third party offers |
| US7178041B2 (en) | 2001-10-18 | 2007-02-13 | Nokia Corporation | Method, system and computer program product for a trusted counter in an external security element for securing a personal communication device |
| US20040092310A1 (en) * | 2002-11-07 | 2004-05-13 | Igt | Identifying message senders |
| DE10254320A1 (de) * | 2002-11-21 | 2004-06-03 | Philips Intellectual Property & Standards Gmbh | Schaltungsanordnung mit nicht-flüchtigem Speichermodul und Verfahren zum Ver-/Entschlüsseln von Daten des nicht-flüchtigen Speichermoduls |
| US7798900B2 (en) * | 2003-04-03 | 2010-09-21 | Igt | Secure gaming system |
| BRPI0418778A (pt) * | 2004-04-26 | 2007-10-09 | Trek 2000 Int Ltd | dispositivo de armazenamento de dados portátil com sistema de criptografia |
| EP1640844A1 (en) * | 2004-09-27 | 2006-03-29 | STMicroelectronics Limited | Secure OTP using external memory |
| US7549922B2 (en) * | 2005-03-17 | 2009-06-23 | Atronic International Gmbh | Software security for gaming devices |
| US20070066398A1 (en) * | 2005-09-22 | 2007-03-22 | Earl Rowan | Cashless gaming system and method |
| WO2007062189A2 (en) * | 2005-11-23 | 2007-05-31 | Wms Gaming Inc. | Wagering game device with secure storage device |
| KR101078915B1 (ko) | 2005-12-01 | 2011-11-01 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 키 관리 |
| EP1811415A1 (en) * | 2005-12-23 | 2007-07-25 | Nagracard S.A. | Secure system-on-chip |
| US8560863B2 (en) * | 2006-06-27 | 2013-10-15 | Intel Corporation | Systems and techniques for datapath security in a system-on-a-chip device |
| US20080019506A1 (en) * | 2006-07-21 | 2008-01-24 | Yung-Huan Hsu | Encryption/Decryption Apparatus, System and Method |
| JP5269385B2 (ja) * | 2007-10-17 | 2013-08-21 | 株式会社ユニバーサルエンターテインメント | ゲームチップ監視システム |
| US8150036B2 (en) * | 2007-10-31 | 2012-04-03 | Igt | Encrypted data installation |
| US8175528B2 (en) * | 2008-03-18 | 2012-05-08 | Spansion Llc | Wireless mass storage flash memory |
| KR20100006806A (ko) * | 2008-07-10 | 2010-01-22 | 주식회사 엔씨소프트 | 온라인 게임에 있어서의 아이템 거래 상황 관리 시스템 및그 방법 |
| GB2469325B (en) * | 2009-04-09 | 2015-11-18 | Money Controls Ltd | Apparatus and method for enabling a transfer of data |
| US8826039B2 (en) * | 2010-02-02 | 2014-09-02 | Broadcom Corporation | Apparatus and method for providing hardware security |
-
2010
- 2010-12-03 LT LTEP10015270.1T patent/LT2461265T/lt unknown
- 2010-12-03 PL PL10015270T patent/PL2461265T3/pl unknown
- 2010-12-03 EP EP10015270.1A patent/EP2461265B1/en active Active
- 2010-12-03 DK DK10015270.1T patent/DK2461265T3/da active
- 2010-12-03 ES ES10015270T patent/ES2737426T3/es active Active
- 2010-12-03 SI SI201031914T patent/SI2461265T1/sl unknown
-
2011
- 2011-12-02 AU AU2011335426A patent/AU2011335426B2/en active Active
- 2011-12-02 SG SG2013034392A patent/SG190156A1/en unknown
- 2011-12-02 MX MX2013006157A patent/MX351145B/es active IP Right Grant
- 2011-12-02 WO PCT/EP2011/006059 patent/WO2012072267A1/en active Application Filing
- 2011-12-02 RU RU2013127641/08A patent/RU2591665C2/ru active
- 2011-12-02 CA CA2816498A patent/CA2816498C/en active Active
- 2011-12-02 MY MYPI2013001996A patent/MY168225A/en unknown
- 2011-12-02 KR KR1020137017014A patent/KR101885393B1/ko active IP Right Grant
- 2011-12-02 CN CN201180054879.2A patent/CN103348357B/zh active Active
-
2013
- 2013-05-09 ZA ZA2013/03369A patent/ZA201303369B/en unknown
- 2013-05-17 CL CL2013001435A patent/CL2013001435A1/es unknown
- 2013-06-03 US US13/908,890 patent/US9246886B2/en active Active
-
2019
- 2019-07-17 HR HRP20191281TT patent/HRP20191281T1/hr unknown
Also Published As
| Publication number | Publication date |
|---|---|
| HRP20191281T1 (hr) | 2019-10-18 |
| EP2461265A1 (en) | 2012-06-06 |
| LT2461265T (lt) | 2019-08-12 |
| CL2013001435A1 (es) | 2013-09-13 |
| PL2461265T3 (pl) | 2019-10-31 |
| US9246886B2 (en) | 2016-01-26 |
| KR101885393B1 (ko) | 2018-09-10 |
| SI2461265T1 (sl) | 2019-10-30 |
| CN103348357A (zh) | 2013-10-09 |
| DK2461265T3 (da) | 2019-07-29 |
| EP2461265B1 (en) | 2019-05-22 |
| RU2591665C2 (ru) | 2016-07-20 |
| KR20130132893A (ko) | 2013-12-05 |
| CN103348357B (zh) | 2016-08-10 |
| RU2013127641A (ru) | 2015-01-10 |
| MY168225A (en) | 2018-10-15 |
| WO2012072267A1 (en) | 2012-06-07 |
| ES2737426T3 (es) | 2020-01-14 |
| US20130339739A1 (en) | 2013-12-19 |
| ZA201303369B (en) | 2014-07-30 |
| CA2816498C (en) | 2019-01-08 |
| AU2011335426A1 (en) | 2013-05-30 |
| MX351145B (es) | 2017-10-04 |
| CA2816498A1 (en) | 2012-06-07 |
| AU2011335426B2 (en) | 2017-04-06 |
| SG190156A1 (en) | 2013-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9246886B2 (en) | Device for and method of handling sensitive data | |
| EP2143028B1 (en) | Secure pin management | |
| ES2599985T3 (es) | Validación en cualquier momento para los tokens de verificación | |
| AU2002247379B2 (en) | Method and apparatus for downloading peripheral code | |
| EP1253741B1 (en) | Method and system for generation and management of secret key of public key cryptosystem | |
| US7988039B1 (en) | Card activated cash dispensing automated banking machine firmware authentication system | |
| ES2359205T3 (es) | Procedimiento y aparato para el almacenamiento y uso seguros de claves criptográficas. | |
| CN105162596B (zh) | 用于生成在与服务器交互中使用的安全值并传送给用户的设备 | |
| EP1302018B1 (en) | Secure transactions with passive storage media | |
| CN1659497B (zh) | 保护内存不受复位之后的攻击 | |
| RU2310907C1 (ru) | Способ обеспечения безопасности игровых устройств и игровое устройство для его осуществления | |
| CN1791111B (zh) | 通过多接口实现安全性的方法和装置 | |
| US20060153380A1 (en) | Personal cryptoprotective complex | |
| US20060075259A1 (en) | Method and system to generate a session key for a trusted channel within a computer system | |
| AU2002247379A1 (en) | Method and apparatus for downloading peripheral code | |
| JP2007515704A (ja) | Sim装置用コンピュータシステムの中で信頼できるチャネルを与えるための装置及び方法 | |
| EP1082710A1 (en) | Preloaded ic-card and method for authenticating the same | |
| JP6137808B2 (ja) | 遊技機制御用基板、チップ、及び関連する方法 | |
| JP2001118038A (ja) | 計算装置、計算機システム及び記録媒体 | |
| JPH08255232A (ja) | 個人認証システムおよび個人認証システムにおける暗証番号の管理方法 | |
| JPH10274927A (ja) | 認証を伴う命令発行方法およびこれに用いるモジュール | |
| KR20240091564A (ko) | 금융자동화기기의 불법 출금 보안 방법 | |
| JP2006107305A (ja) | データ記憶装置 | |
| PCI | PTS POI Security Requirements | |
| JPH10190648A (ja) | Icカードによるスクランブル伝送システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FG | Grant or registration |