Procedimiento de acceso y de transferencia de datos relacionados con una aplicación instalada en un módulo de seguridad asociado a un terminal móvil, módulo de seguridad, servidor de gestión y sistema asociados.

Procedimiento de gestión de datos (DAP1) relacionados con una aplicación (AP1, AP2) instalada en un módulo de seguridad

(20, 120, 320) asociado a un terminal móvil (10, 100, 300), estando almacenados los datos en una primera área de memoria segura (C, ZDA1) del módulo de seguridad, caracterizado porque comprende:

- una etapa de recepción (E2, E12) de un mensaje que contiene una petición de acceso a dichos datos de dicha aplicación, cifrándose al menos parte de dicho mensaje con una primera clave de gestión (KS1, Kc1, Kc3),

- una etapa de obtención (E3, E13) de dicha petición mediante descifrado del mensaje por medio de una segunda clave de gestión (KP1, Kc1) asociada a la primera clave de gestión,

- una etapa de lectura (E5, E15) de dichos datos de la aplicación,

- una etapa de cifrado (E6, E16) de los datos leídos con la segunda clave de gestión,

- una etapa de transferencia, a una segunda área de memoria segura, de los datos cifrados.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/FR2009/050522.

Solicitante: Orange.

Nacionalidad solicitante: Francia.

Dirección: 78, rue Olivier de Serres 75015 Paris FRANCIA.

Inventor/es: RAFFARD,RÉMI, ASSADI,HOUSSEM.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones para el control por programa, p. ej.... > G06F9/445 (Carga o lanzamiento de programa)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Redes de datos de conmutación (interconexión o... > H04L12/22 (Disposiciones para impedir la toma de datos sin autorización en un canal de transmisión de datos (medios para verificar la identidad o la autorización de un usuario en un sistema de comunicaciones secretas o protegidas H04L 9/32))
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > G06F21/00 (Disposiciones de seguridad para la protección de computadores sus componentes, programas o datos contra actividades no autorizadas)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones para las comunicaciones secretas o... > H04L9/28 (utilizando un algoritmo de cifrado especial)

PDF original: ES-2525469_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Procedimiento de acceso y de transferencia de datos relacionados con una aplicación instalada en un módulo de seguridad asociado a un terminal móvil, módulo de seguridad, servidor de gestión y sistema asociados La presente invención se refiere al campo de las telecomunicaciones y, más en particular, al de la seguridad de las aplicaciones alojadas en un elemento seguro de un terminal móvil.

La mayoría de los terminales móviles existentes permiten no sólo establecer comunicaciones telefónicas, sino también ejecutar un cierto número de aplicaciones descargadas a un módulo de seguridad relacionado con el terminal. Este módulo de seguridad puede ser un módulo de memoria del terminal o un soporte removible (por ejemplo, una tarjeta chip de abonado) insertado en el terminal.

La descarga de estas aplicaciones se realiza mediante una conexión convencional del terminal móvil con un servidor de gestión.

Tal aplicación comprende, por una parte, una parte de programa que se ejecuta en la recepción de una orden de selección de la aplicación proveniente de un equipo externo, por ejemplo una terminal sin contacto, y, por otra, un área de datos de aplicación.

Estos datos de aplicación son generados por un proveedor de servicios, por ejemplo un banco para una aplicación de pago, y transmitidos a un servidor de gestión a través de un canal seguro. A continuación de la recepción de esos datos, el servidor de gestión ordena la descarga de esos datos al módulo de seguridad, utilizando un juego de claves compartidas entre él y este módulo.

A lo largo del tiempo de vida de la aplicación, una parte de esos datos puede ser actualizada por la propia aplicación.

Para un equipo tal como un servidor de gestión, no hay medio alguno para recuperar esos datos modificados con el propósito de transferirlos hacia otro módulo de seguridad o de realizar una copia de seguridad de los mismos durante una actualización de la aplicación.

Así, en un cambio de módulo de seguridad, por ejemplo un cambio de tarjeta SIM a raíz de un cambio de operador, el usuario tiene que dirigirse al servidor de gestión que gestiona la aplicación, el cual nuevamente se dirige al proveedor de servicios de la aplicación para obtener los datos de aplicación.

Con el incremento del número de terminales móviles, son más numerosos los cambios de módulos de seguridad, y este proceso se hace difícil de gestionar.

Además, los datos de aplicación descargados son los datos iniciales y no los datos actualizados a lo largo del tiempo de vida de la aplicación. La solicitud de patente internacional WO 01/0811 A1 describe un sistema que comprende una tarjeta para el almacenamiento seguro de las aplicaciones y sus datos. La tarjeta comprende diferentes áreas de memoria para el acceso seguro.

La compañía SICAP (marca registrada) propone un producto que permite actualizar la configuración de una tarjeta SIM (por "Subscriber Identity Module") . Esta actualización consiste, para un servidor remoto, en leer los datos de configuración de una tarjeta SIM inserta en un terminal móvil y en reinscribirlos después en otra tarjeta SIM. Los datos transferidos de este modo son datos no sensibles, es decir, no confidenciales y, por consiguiente, no protegidos contra lectura. Para leer tales datos, el servidor transmite una orden de lectura de acuerdo con la norma ISO 7816-4. Este producto no permite leer información confidencial y, por tanto, no permite copiar los datos de aplicación confidenciales de una aplicación instalada en una tarjeta SIM.

Por otro lado, en una actualización de la aplicación, por ejemplo un cambio de versión del programa de la aplicación, el área de datos de aplicación se reinicializa con los datos nuevamente transmitidos por el proveedor de servicios relacionado con la aplicación.

Hay, pues, una necesidad de poder recuperar de manera segura el área de datos de aplicación y confidenciales de una aplicación, con el propósito de transferirlos hacia otro módulo de seguridad o de reinstalarla con motivo de una actualización de la aplicación, sin recurrir a un proveedor de servicios.

A tal efecto, la presente invención propone un procedimiento de gestión de datos según la reivindicación 1.

Así, los datos de aplicación de una aplicación instalada en un módulo de seguridad se pueden recuperar mediante un servidor de gestión, previa autenticación del mismo por el módulo de seguridad. A continuación, los datos recuperados por el servidor pueden ser transferidos hacia otro módulo de seguridad, sin precisar acceso al proveedor de servicios de la aplicación.

Los datos de aplicación de la aplicación también se pueden almacenar temporalmente en un área de memoria de módulo de seguridad para permitir una actualización de la aplicación. Así, se podrán reinstalar a continuación de esta actualización. Así, la actualización de una aplicación ya no precisa acceder al servidor del proveedor de servicios.

Según una característica particular del procedimiento de la invención, la petición de acceso comprende una orden de acción y el procedimiento comprende una etapa de ejecución de dicha acción tras la etapa de transmisión o de almacenamiento.

Así, la orden de acción permite precisar la petición de acceso indicando las acciones complementarias que el módulo de seguridad habrá de realizar en una petición de acceso.

Según con un modo de realización particular de la invención, la acción es un bloqueo de dicha aplicación y/o un borrado de datos de dicha aplicación. El bloqueo o el borrado de datos de la aplicación evitan que una misma instancia de la aplicación sea duplicada en varios módulos de seguridad y, así, permite aumentar la seguridad.

Según otro modo de realización, la acción es una petición de transferencia de dichos datos de la aplicación a una segunda área de memoria del módulo de seguridad. Los datos de los que se crea así copia de seguridad pueden así ser reutilizados por el módulo de seguridad, por ejemplo ser reinstalados con motivo de la actualización de la aplicación. La no comunicación de datos a un equipo exterior al módulo de seguridad permite una vez más aumentar la seguridad.

Según un modo de realización particular, el procedimiento comprende además una etapa de recepción de una orden de actualización de la aplicación en una tercera área de memoria segura y una etapa de recepción de una orden de transferencia de dichos datos de la segunda área de memoria hacia la tercera área de memoria segura.

Así, la actualización de una aplicación, por ejemplo la implantación de una nueva versión del programa de la aplicación, ya no precisa un acceso a un proveedor de servicios para la instalación de los datos de aplicación. Además, los datos de aplicación reinstalados son los datos de aplicación de los que disponía el inventor antes de la actualización y no los datos de aplicación iniciales. Así, la actualización de una aplicación se efectúa de manera transparente para el usuario y no precisa de la reconfiguración de esos datos.

De acuerdo con un modo de realización particular, el procedimiento comprende el acceso a datos relacionados con una aplicación instalada en un módulo de seguridad asociado a un terminal móvil, caracterizado por comprender:

- una etapa de transmisión de un mensaje que contiene una petición de acceso a datos seguros del módulo de seguridad, cifrándose al menos parte de dicho mensaje con una primera clave de gestión, -una etapa de recepción de dichos datos cifrados con una segunda clave de gestión asociada a la primera clave, -una etapa de obtención de dichos datos por descifrado por medio de la primera clave.

Así,... [Seguir leyendo]

 


Reivindicaciones:

1. Procedimiento de gestión de datos (DAP1) relacionados con una aplicación (AP1, AP2) instalada en un módulo de seguridad (20, 120, 320) asociado a un terminal móvil (10, 100, 300) , estando almacenados los datos en una primera área de memoria segura (C, ZDA1) del módulo de seguridad, caracterizado porque comprende: -una etapa de recepción (E2, E12) de un mensaje que contiene una petición de acceso a dichos datos de dicha aplicación, cifrándose al menos parte de dicho mensaje con una primera clave de gestión (KS1, Kc1, Kc3) , -una etapa de obtención (E3, E13) de dicha petición mediante descifrado del mensaje por medio de una segunda clave de gestión (KP1, Kc1) asociada a la primera clave de gestión, -una etapa de lectura (E5, E15) de dichos datos de la aplicación.

15. una etapa de cifrado (E6, E16) de los datos leídos con la segunda clave de gestión, -una etapa de transferencia, a una segunda área de memoria segura, de los datos cifrados.

2. Procedimiento de gestión según la reivindicación 1, caracterizado porque la segunda área de memoria está 20 situada en dicho módulo de seguridad (320) .

3. Procedimiento de gestión según la reivindicación 1, caracterizado porque la segunda área de memoria está situada en otro módulo de seguridad (200) .

4. Procedimiento de gestión según la reivindicación 2 ó 3, caracterizado porque la petición de acceso comprende una orden de acción y porque el procedimiento comprende una etapa de ejecución (E20) de dicha acción tras la etapa de transmisión o de almacenamiento.

5. Procedimiento de gestión según la reivindicación 4, caracterizado porque la acción es un bloqueo de dicha 30 aplicación y/o un borrado de datos de dicha aplicación.

6. Procedimiento de gestión según la reivindicación 5, caracterizado porque además comprende una etapa de recepción de una orden de actualización de la aplicación en una tercera área de memoria segura y una etapa de recepción de una orden de transferencia de dichos datos de la segunda área de memoria hacia la tercera área segura.

7. Módulo de seguridad (10, 120, 320) asociado a un terminal móvil, caracterizado porque comprende:

- medios de recepción de un mensaje que contiene una petición de acceso a datos relacionados con una aplicación 40 instalada en el módulo de seguridad, estando almacenados los datos en una primera área de memoria segura del módulo de seguridad, estando cifrado dicho mensaje con una primera clave de gestión, -medios de obtención de dicha petición mediante descifrado del mensaje por medio de una segunda clave de gestión asociada a la primera clave de gestión.

45. medios de lectura de dichos datos, -medios de cifrado de los datos leídos con la segunda clave de gestión, 50 -medios de transmisión de los datos cifrados a una segunda área de memoria apta para almacenar los datos cifrados.

8. Terminal caracterizado porque comprende un módulo tal como se define en la reivindicación 7.

9. Producto de programa de ordenador que comprende instrucciones para llevar a la práctica las etapas del procedimiento de gestión según una de las reivindicaciones 1 a 6, cuando es cargado y ejecutado por un procesador.