Habilitación de un servicio en un equipo electrónico.

Procedimiento para habilitar un servicio puesto a disposición por un equipo electrónico

(100), que comprende las etapas:

- generación (S3) de una petición de registro (114) por parte del equipo (100) y envío (S7) de la petición de registro(114) a un servidor de registro (300);

- generación (S8) de una confirmación de registro (305) por parte del servidor de registro (300) y envío (S9) de la confirmación de registro (305) al equipo (100); y

- recepción de la confirmación de registro (305) por parte del equipo (100) y habilitación del servicio mediante almacenamiento (S10) de la confirmación de registro (305);

caracterizado porque

una instancia fiable (200) se autentifica (S4) ante el servidor de registro (300) y a continuación establece (S5, S12) un intervalo de tiempo en el servidor de registro (300), y la instancia fiable (200) establece (S5, S12) el intervalo de tiempo de tal manera que el servidor de registro (300) envía (S9) una confirmación de registro (305) sólo para una petición de registro (114) recibida dentro del intervalo de tiempo establecido, y porque el equipo (100) envía (S7) la petición de registro (114) al servidor de registro (300) dentro del intervalo de tiempo.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/EP2009/004482.

Solicitante: GIESECKE & DEVRIENT GMBH.

Nacionalidad solicitante: Alemania.

Dirección: PRINZREGENTENSTRASSE 159 81677 MUNCHEN ALEMANIA.

Inventor/es: Spitz,Stephan Dr, SCHERZER,HELMUT, URHAHN,THORSTEN, BORGS,HANS.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones de seguridad para la protección de... > G06F21/57 (Certificados o mantenimiento de plataformas informáticas de confianza, p. ej.: recuperación de seguridad o power-downs, controles, control de versión del software del sistema, actualizaciones de seguridad o valoración de vulnerabilidades)

PDF original: ES-2452699_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Habilitación de un servicio en un equipo electrónico La presente invención se refiere a un procedimiento para habilitar un servicio puesto a disposición por un equipo electrónico, a un equipo electrónico de este tipo y a un sistema que comprende un equipo electrónico de este tipo.

Para los soportes de datos portátiles y los equipos electrónicos móviles se conocen ya múltiples mecanismos de seguridad destinados a proteger la integridad del equipo y de los datos almacenados en el mismo, o la identificación unívoca del soporte de datos o su propietario.

La base técnica de tales mecanismos que protegen la integridad o hacen posible una identificación es con frecuencia un área de memoria especialmente protegida, para guardar en la misma a prueba de manipulación, por ejemplo datos de identificación. Existen por ejemplo mecanismos de aislamiento especiales que permiten configurar áreas de hardware y/o accesos a componentes de software de un equipo terminal para datos y procesos de nivel crítico de seguridad y separarlos eficazmente de las áreas correspondientemente desprotegidas, por ejemplo mediante soluciones de software, tales como procesadores virtuales seguros, o soluciones de hardware, tales como núcleos de seguridad dedicados. Dentro de un área protegida de este tipo pueden realizarse especialmente procesos de nivel crítico de seguridad, por ejemplo en un entorno de tiempo de ejecución seguro mediante un intérprete adecuado.

En la mayoría de los casos, por motivos de seguridad y puesta en práctica, los datos que conciernen a una individualización o identificación de soportes de datos portátiles se almacenan en el soporte de datos, por ejemplo en un área protegida de una tarjeta chip, una tarjeta inteligente o similar, durante el proceso de fabricación o al menos antes de la entrega del soporte de datos en cuestión a un usuario. Sin embargo, una individualización correspondiente de cualesquiera equipos terminales móviles en el marco de un proceso de fabricación lleva asociado un coste considerable debido a la infraestructura necesaria para ello y al menor rendimiento resultante.

Para la individualización de equipos terminales móviles se dispone en principio de procedimientos criptográficos, por ejemplo basados en una clave doble simétrica presente en el equipo terminal a individualizar, cuya clave pública es dotada de un certificado electrónico por una instancia de certificación fiable. Mediante una certificación, los compañeros de comunicación del equipo en cuestión que utilicen la clave pública del mismo para codificar o para comprobar una signatura del equipo se aseguran de que la clave pública procede realmente del equipo en cuestión y no ha sido sustituida por otra con fines de estafa.

En este contexto, el documento WO 2008/049959 A2 propone un procedimiento de certificación según la especificación PKCS ("Public Key Cr y ptography Standard [Norma de criptografía de clave pública]") en un entorno de radiotelefonía móvil con una tasa de transferencia y una seguridad de red posiblemente limitadas. El documento US 2005/0010757 da a conocer un procedimiento de certificación en una red distribuida, en el que, por motivos de seguridad, una petición de certificación de un nodo de red ante un servidor de certificación es posible sólo dentro de un intervalo de tiempo predefinido a partir de la inicialización del nodo de red correspondiente, lo que en relación con los equipos terminales móviles requeriría de nuevo una en sí impracticable individualización próxima a su inicialización usual en el marco de la fabricación. La entrada de una petición de certificado de un nodo de red dentro del intervalo de tiempo admisible se vigila por medio del instante de inicialización del nodo de red que el servidor de certificación tiene a la vista y la duración del intervalo de tiempo.

El documento WO 01/42889 A2 (D1) da a conocer el preámbulo de la reivindicación 1 y propone la utilización de certificados de arranque y certificados de software en un ordenador, para proteger el proceso de arranque en el ordenador. Los certificados de software utilizados son válidos sólo durante un espacio de tiempo limitado. Por lo tanto, el ordenador pide a un servidor un nuevo certificado cuando ha caducado el antiguo certificado de software.

El objetivo de la presente invención es poner a disposición una posibilidad segura, practicable y económica para la individualización de equipos terminales móviles electrónicos.

Este objetivo se logra según la invención mediante un procedimiento, un equipo electrónico y un sistema con las características de las reivindicaciones independientes. Las reivindicaciones dependientes de éstas describen configuraciones ventajosas y perfeccionamientos de la invención.

En un equipo electrónico, un servicio puesto a disposición pero aún no habilitado para su utilización – por ejemplo la ejecución por parte de un usuario del equipo – es habilitado mediante un proceso de registro ante un servidor de registro. Tal servicio a habilitar puede ser en principio cualquier ampliación de funciones o de recursos del equipo electrónico, en particular la habilitación de un funcionamiento individualizado en un equipo que antes no estuviera individualizado o de un área aislada protegida para la puesta a disposición de otras funcionalidades de seguridad del equipo terminal.

En lo que sigue se entiende por "registro" la comunicación de datos entre el equipo electrónico y el servidor de registro, mientras que, como resultado del registro, se denomina "habilitación" a la puesta a disposición propiamente dicha del servicio en cuestión en el equipo para la utilización por parte del usuario. En este contexto, el equipo electrónico genera en el marco de un proceso de registro una petición de registro y envía ésta al servidor de registro, que en respuesta a la petición de registro recibida, genera una confirmación de registro y la envía de vuelta al equipo. Por último se habilita el servicio en cuestión en el equipo almacenando de una manera ya prevista la confirmación de registro recibida en el equipo.

Según la invención, una tercera instancia fiable establece un intervalo de tiempo para el proceso de registro anteriormente esbozado, de tal manera que sólo una petición de registro recibida dentro de dicho intervalo de tiempo es procesada por el servidor de registro y puede llevar a un registro del servicio en cuestión ante el servidor de registro. Así pues, el servicio en cuestión sólo puede habilitarse si la petición de registro se envía al servidor de registro dentro del intervalo de tiempo establecido; una petición de registro que llegue al servidor de registro fuera de este intervalo de tiempo (o incluso antes de que se establezca el intervalo de tiempo) al menos no recibe una confirmación de registro del servidor de registro. La instancia fiable puede en principio establecer el intervalo de tiempo con un instante de inicio y un instante de terminación cualesquiera, y por ejemplo también repetirlo periódicamente o algo similar.

Hasta aquí, el registro y la habilitación de un servicio dentro de un intervalo de tiempo establecido casi a voluntad pueden ser realizados por el equipo mismo con suficiente seguridad. Esto resulta ventajoso especialmente en el caso de los servicios cuyo habilitación en el marco del proceso de producción suponga un considerable gasto de recursos, por ejemplo en el marco de un proceso de inicialización de determinados servicios con un gran coste de tiempo, o que requieran una individualización del equipo electrónico en un entorno que en principio sea menos seguro que el ampliamente protegido entorno de producción. Además, la configuración del registro y la habilitación puede ser flexible,... [Seguir leyendo]

 


Reivindicaciones:

1. Procedimiento para habilitar un servicio puesto a disposición por un equipo electrónico (100) , que comprende las etapas:

- generación (S3) de una petición de registro (114) por parte del equipo (100) y envío (S7) de la petición de registro (114) a un servidor de registro (300) ;

- generación (S8) de una confirmación de registro (305) por parte del servidor de registro (300) y envío (S9) de la confirmación de registro (305) al equipo (100) ; y

- recepción de la confirmación de registro (305) por parte del equipo (100) y habilitación del servicio mediante almacenamiento (S10) de la confirmación de registro (305) ; caracterizado porque una instancia fiable (200) se autentifica (S4) ante el servidor de registro (300) y a continuación establece (S5, S12) un intervalo de tiempo en el servidor de registro (300) , y la instancia fiable (200) establece (S5, S12) el intervalo de tiempo de tal manera que el servidor de registro (300) envía (S9) una confirmación de registro (305) sólo para una petición de registro (114) recibida dentro del intervalo de tiempo establecido, y porque el equipo (100) envía (S7) la petición de registro (114) al servidor de registro (300) dentro del intervalo de tiempo.

2. Procedimiento según la reivindicación 1, caracterizado porque, para establecer (S5, S12) el intervalo de tiempo, la instancia fiable (200) envía al servidor de registro (300) señales horarias (201, 202) que determinan un instante de inicio (S6) y un instante de terminación (S13) del intervalo de tiempo.

3. Procedimiento según una de las reivindicaciones 1 a 2, caracterizado porque la instancia fiable (200) puede establecer (S5) el intervalo de tiempo en cualquier instante de inicio (S6) tras la entrega del equipo (100) a un usuario.

4. Procedimiento según una de las reivindicaciones 1 a 3, caracterizado porque el equipo (100) genera (S3) una petición de registro (114) que comprende una identificación unívoca del servicio a habilitar, y el servidor de registro

(300) protocoliza la habilitación del servicio por medio de la identificación unívoca.

5. Procedimiento según una de las reivindicaciones 1 a 4, caracterizado porque, como servicio a poner a disposición por el equipo (100) , se habilita un área protegida (112) del equipo (100) o un funcionamiento individualizado del equipo (100) .

6. Procedimiento según la reivindicación 5, caracterizado porque, para habilitar el funcionamiento individualizado, se genera (S3) como petición de registro una petición de certificado (114) , que comprende al menos una clave pública de una clave doble asimétrica presente en el equipo (100) o generada por el equipo, y se genera (S8) como confirmación de registro un certificado (305) para la clave pública.

7. Procedimiento según la reivindicación 6, caracterizado porque el equipo (100) genera (S3) una petición de certificado (114) que comprende una identificación de equipo unívoca, y el servidor de registro (300) reconoce y bloquea (S11) una nueva petición de certificado del equipo (100) por medio de la identificación de equipo unívoca.

8. Procedimiento según la reivindicación 6 o 7, caracterizado porque en el equipo (100) está configurada un área protegida (112) con un entorno de tiempo de ejecución seguro (113) y en el área protegida (112) se almacenan (S2, S10) al menos una clave privada (109) de la clave doble asimétrica y el certificado (305) .

9. Procedimiento según una de las reivindicaciones 5 a 8, caracterizado porque la habilitación del funcionamiento individualizado del equipo (100) es realizado por un cargador de arranque (108) del equipo (100) , que se ejecuta en el marco de un proceso de arranque de etapas múltiples del equipo (100) .

10. Procedimiento según una de las reivindicaciones 5 a 9, caracterizado porque el intervalo de tiempo se establece (S5, S12) de tal manera que la habilitación del funcionamiento individualizado del equipo (100) se realiza durante un primer proceso de arranque del equipo (100) .

11. Equipo electrónico (100) , que comprende un procesador (104) y una memoria (101, 102) , para la puesta a disposición de un servicio, una interfaz de comunicación (105) , para la comunicación de datos con al menos un servidor de registro (300) , y un dispositivo de registro (108) que está configurado para provocar una habilitación del servicio generando una petición de registro (114) , enviando la petición de registro (114) al servidor de registro (300) y almacenando una confirmación de registro (305) recibida del servidor de registro (300) , caracterizado porque el dispositivo de registro (108) está configurado para enviar la petición de registro (114) al servidor de registro (300) dentro de un intervalo de tiempo establecido por una instancia fiable (200) en el servidor de registro (300) , estando el equipo (100) configurado para ser informado por la instancia fiable (200) , con o sin participación del servidor de registro (300) , sobre el inicio del intervalo de tiempo.

12. Equipo (100) según la reivindicación 11, caracterizado porque el dispositivo de registro (108) está configurado para provocar una habilitación de un funcionamiento individualizado del equipo (100) generando una petición de certificado (114) que comprende al menos una clave pública de una clave doble asimétrica presente en el equipo

(100) y almacenando un certificado (305) recibido del servidor de registro (300) . 5

13. Equipo (100) según la reivindicación 12, caracterizado porque el equipo (100) es un equipo terminal móvil, un sistema embebido o un sistema en un chip, en el que está configurada un área protegida (112) con un entorno de tiempo de ejecución seguro (113) , y el dispositivo de registro está realizado como un cargador de arranque (108) que está configurado para, en el marco de un primer proceso de arranque del equipo (100) y/o del área protegida (112) , provocar la habilitación de un funcionamiento individualizado del equipo (100) , almacenándose en el área protegida (112) la clave privada (109) de la clave doble asimétrica y el certificado (305) de la clave pública.

14. Sistema que comprende un equipo electrónico (100) según una de las reivindicaciones 11 a 13, un servidor de registro (300) y una instancia fiable (200) , estando configurados y cooperando estos componentes del sistema de tal

manera que un servicio puesto a disposición por el equipo electrónico (100) puede habilitarse de acuerdo con un procedimiento según una de las reivindicaciones 1 a 10.

REFERENCIAS CITADAS EN LA DESCRIPCIÓN

La lista de referencias citada por el solicitante lo es solamente para utilidad del lector, no formando parte de los documentos de patente europeos. Aún cuando las referencias han sido cuidadosamente recopiladas, no pueden 5 excluirse errores u omisiones y la OEP rechaza toda responsabilidad a este respecto.

Documentos de patente citados en la descripción • WO 2008049959 A2 [0006] • WO 0142889 A2 [0007]

• US 20050010757 A [0006] 10