Método y aparato para proteger la información de "SIMlock" en un dispositivo electrónico.
Un dispositivo electrónico que comprende:
una memoria no segura (12) para guardar datos de restricción de utilización (14) almacenados y un código (16) de validación de mensaje para la validación de los datos de restricción de utilización almacenados;
un circuito seguro (22) que guarda una clave (24) permanenteº
un circuito criptografico (18) conectado al circuito seguro mediante una conexión segura (20) operable, cuando no se ha accedido de manera segura a traves de una interfaz de bus (34), para validar los datos de restricción de utilización almacenados utilizando el código de validación de mensaje almacenado y la clave permanente del dispositivo pero no operable para emitir un nuevo código de validación de mensaje para los datos de restricción de utilización almacenados, y operable cuando se ha accedido de manera segura a traves de la interfaz de bus, para generar un nuevo código de validación de mensaje utilizando la clave permanente y los nuevos datos de restricción de utilización cambiados que han sido generados mediante la modificación autorizada de los datos de restricción de utilización almacenados, y para emitir el nuevo código de validación de mensaje para su almacenamiento en la memoria no segura junto con los datos de restricción de utilización cambiados;
un procesador de sistema (32) configurado para operar de manera selectiva en modos seguro y no seguro, y operable para un acceso no seguro al circuito criptografico a traves de la interfaz de bus para validar los datos de restricción de utilización almacenados;
y operable en el modo seguro para generar los datos de restricción de utilización cambiados en respuesta a ejecutar instrucciones de programa seguras y acceder de manera segura al circuito criptografico mediante la interfaz de bus para obtener el nuevo código de validación de mensaje para los datos de restricción de utilización cambiados;
y una memoria segura (32) para almacenar las instrucciones de programa seguras que soportan el cambio de los datos de restricción de utilización seguros, siendo la citada memoria segura accesible por el procesador del sistema en el modo seguro, caracterizada porque el circuito seguro incluye un elemento programable una sola vez (26) que indica si el dispositivo electrónico ha sido inicializado, y porque los datos de restricción de utilización almacenados comprenden una parte estatica (44) y una parte dinamica (48) y los datos de restricción de utilización almacenado comprenden un primer código de validación de mensaje (46) almacenado para validar la parte estatica y un segundo código de validación de mensaje (50) almacenado para validar la parte dinamica, y donde el circuito criptografico es operable, cuando se ha accedido a el de manera segura, para generar y emitir un nuevo código de validación de mensaje para la parte estatica de los datos de restricción de utilización almacenados para su almacenamiento en la memoria no segura como el primer código de validación de mensaje sólo si el elemento programable una sola vez indica que el dispositivo electrónico no ha sido inicializado.
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/EP2008/054138.
Solicitante: TELEFONAKTIEBOLAGET LM ERICSSON (PUBL).
Nacionalidad solicitante: Suecia.
Dirección: 164 83 STOCKHOLM SUECIA.
Inventor/es: GEHRMANN,CHRISTIAN.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- G06F21/00 FISICA. › G06 CALCULO; CONTEO. › G06F PROCESAMIENTO ELECTRICO DE DATOS DIGITALES (sistemas de computadores basados en modelos de cálculo específicos G06N). › Disposiciones de seguridad para la protección de computadores, sus componentes, programas o datos contra actividades no autorizadas.
PDF original: ES-2378252_T3.pdf
Fragmento de la descripción:
Metodo y aparato para proteger la información de "SIMlock" en un dispositivo electrónico ANTECEDENTESº
Campo Tecnico La presente invención se refiere generalmente a la seguridad de los dispositivos electrónicos, y particularmente a la información u otros de protección del Subscriber Identity Module Lock ("SIMlock" - "Bloqueo del M6dulo de Identidad del Abonado") que habilita datos en un dispositivo electrónico.
Antecedentes Los dispositivos electrónicos, particularmente los dispositivos de comunicación de telefonfa móvil tales como radiotelefonos móviles, se venden a menudo sujetos a una o mas restricciones de uso. Por ejemplo, un dispositivo puede estar restringido para trabajar sólo en ciertos pafses, sólo con ciertas redes de comunicación y/o proveedores de servicio. Los Subscriber Identity Modules (SIMs - M6dulos de Identidad del Abonado) pueden realizar una función clave en hacer que se respeten tales restricciones, ya sea implementadas como hardware en formato de tarjeta, o implementadas en software.
En particular, un dispositivo puede incluir elementos de seguridad que lleven a cabo un "Bloqueo de SIM" ("SIM Lock") , abreviado en esta memoria como "SIMLock" que restringe los SIMs que pueden ser utilizados con el dispositivo. Por ejemplo, el SIMLock de un dispositivo dado puede ser configurado para bloquear el dispositivo para que acepte SIMs sólo de un operador de red específico, o sólo para un pafs específico. Como otro ejemplo mas, algunos dispositivos incluyen SIMLocks que bloquean los dispositivos para SIMs específicos, impidiendo con ello el intercambio de la información de SIM de un dispositivo a otro. Un operador podría, por ejemplo, equipar dispositivos "Premium" o de alta capacidad con ese tipo de SIMLock, para asegurar que cualquier subvención de compra proporcionada por el operador sea recuperada mediante acuerdos de suscripción a largo plazo.
La eliminación, inhabilitación, o cualquier otro modo de saltarse el SIMLock, lo que recibe en general el nombre de fraude de SIMLock, representa un coste significativo para los operadores de red, porque parcial o totalmente les impide la recepción de los ingresos del frente ato de suscripción esperados. Por ello, existe un significativo interes en desarrollar mecanismos de SIMLock que sean diffciles de vencer o de ser saltados de cualquier otro modo, pero que sean practicos desde la perspectiva económica y de implementación del circuito.
Por ejemplo, Advanced Risc Machines® proporciona una arquitectura de procesamiento seguro comercializada bajo la marca TrustZone®. TrustZone® integra seguridad de hardware y de software, en parte proporcionando entornos 30 de tratamiento dual, que incluyen un entorno de tratamiento seguro, que pueden ser utilizados para verificación de SIM y para el correspondiente tratamiento, y un entorno no seguro, que puede ser utilizado para el procesamiento general del dispositivo. Otros ejemplos de provisiones de entorno de tratamiento seguro con aplicabilidad para tratamiento relacionado con el SIM engloban a Trusted Computing GroupT, que es una asociación de varias empresas, que incluyen AMD®, Intel®, HP® y otras. El documento US 2004/0129848 describe un metodo para asegurar la personalización del SIM y de otros datos en un primer procesador y asegurar la comunicación de los datos del SIM a un segundo procesador.
COMPENDIOº
Las ensefanzas de esta memoria presentan un metodo y aparato para proteger los datos de restricción de utilización que gobiernan el uso de un dispositivo electrónico. Un circuito criptografico soporta accesos seguros y no 40 seguros. Cuando se accede de manera no segura, se puede operar sólo para verificar los datos de restricción de utilización almacenados y, cuando se accede de manera segura, se puede operar para generar un nuevo código de validación de mensaje para datos de restricción de utilización cambiados, para la subsiguiente validación de esos datos. Los datos de restricción de utilización pueden estar almacenados en una memoria no segura y pueden incluir partes estaticas y dinamicas. Una o mas realizaciones incluyen un circuito seguro que indica si el dispositivo ha sido 45 inicializado. El circuito criptografico emite un código de validación de mensaje para la parte estatica que utiliza una clave permanente de dispositivo del circuito seguro sólo si el dispositivo no ha sido inicializado, y emite un código de validación de mensaje para la parte dinamica segun sea necesario para soportar cambios autorizados para la parte dinamica.
Ventajosamente, en una o mas realizaciones, el circuito criptografico y el circuito seguro estan implementados juntos 50 como partes de un Application Specific Integrated Circuit (ASIC - Circuito Integrado Específico para una Aplicación)
o de un System-on-a-Chip (SoC - Sistema-en-un-Microprocesador) . Tanto si se implementa de esa manera como si no, el circuito seguro comprende, por ejemplo, una pluralidad de elementos programables una sola vez, tales como fusibles o anti-fusibles. En al menos una realización, la clave permanente del dispositivo es registrada como una clave secreta por medio de un subconjunto de elementos programables una sola vez, y es accesible sólo para el 55 circuito criptografico. De manera similar, uno o mas de los elementos programables una sola vez pueden ser
utilizados como un indicador permanente de si el dispositivo ha sido inicializado, por ejemplo, es un "consumido" durante la inicialización del dispositivo.
Asf, en una o mas realizaciones, un dispositivo electrónico comprende una primera memoria para guardar datos de restricción de utilización almacenados y un código de validación de mensaje almacenado para la validación de los datos de restricción de utilización, guardando un circuito seguro una clave permanente del dispositivo, y un circuito criptografico conectado al circuito seguro. El circuito criptografico es operable cuando no se accede de manera segura, para validar los datos de restricción de utilización almacenados utilizando el código de validación de mensaje y la clave permanente del dispositivo pero no es operable para emitir un nuevo código de validación de mensaje para los datos de restricción de utilización almacenados. Ademas, el circuito criptografico es operable, cuando se accede de manera segura, para generar un nuevo código de validación de mensaje utilizando la clave permanente y los datos de restricción de utilización cambiados que han sido generados mediante la modificación autorizada de los datos de restricción de utilización almacenados, y para emitir el nuevo código de validación de mensaje para su almacenamiento en la primera memoria junto con los datos de restricción de utilización cambiados. En al menos una realización tal, la primera memoria ventajosamente comprende una memoria no segura.
Ademas, en al menos una realización tal, el dispositivo electrónico comprende tambien un procesador de sistema configurado para operar selectivamente en modos seguro y no seguro. El procesador del sistema es operable para un acceso no seguro al circuito criptografico para validar los datos de restricción de utilización almacenados, y para un acceso seguro al circuito criptografico con el fin de obtener el nuevo código de validación del mensaje para los datos de restricción de utilización cambiados. El procesador del sistema en una o mas realizaciones tambien es operable en el modo seguro para generar los datos de restricción de utilización cambiados almacenados en respuesta a ejecutar instrucciones de programa seguras, que pueden estar protegidas en una memoria segura. Como ejemplo no limitativo, el procesador del sistema puede estar configurado al menos en parte de acuerdo con las especificaciones de ARM® TrustZone® o Trusted Computing GroupT. De manera mas general, el procesador del sistema proporciona dominios de procesamiento seguros y no seguros y es operable para cambiarlos.
Por ejemplo, en al menos una realización, el dispositivo electrónico incluye un temporizador de vigilante de seguridad que reinicia el procesador del sistema a menos que sea oportunamente servido en modo seguro por el procesador del sistema. Complementando tal disposición, el procesador del sistema esta configurado para llevar a cabo un reinicio en modo seguro, de manera que el temporizador del vigilante de seguridad fuerce al procesador del sistema a entrar en el modo seguro si no es servido oportunamente por el procesador del sistema.
En una o mas realizaciones diferentes, un metodo de proteger los datos de restricción de utilización que gobiernan... [Seguir leyendo]
Reivindicaciones:
1. Un dispositivo electrónico que comprende:
una memoria no segura (12) para guardar datos de restricción de utilización (14) almacenados y un código (16) de validación de mensaje para la validación de los datos de restricción de utilización almacenadosº
un circuito seguro (22) que guarda una clave (24) permanenteº
un circuito criptografico (18) conectado al circuito seguro mediante una conexión segura (20) operable, cuando no se ha accedido de manera segura a traves de una interfaz de bus (34) , para validar los datos de restricción de utilización almacenados utilizando el código de validación de mensaje almacenado y la clave permanente del dispositivo pero no operable para emitir un nuevo código de validación de mensaje para los datos de restricción 10 de utilización almacenados, y operable cuando se ha accedido de manera segura a traves de la interfaz de bus, para generar un nuevo código de validación de mensaje utilizando la clave permanente y los nuevos datos de restricción de utilización cambiados que han sido generados mediante la modificación autorizada de los datos de restricción de utilización almacenados, y para emitir el nuevo código de validación de mensaje para su almacenamiento en la memoria no segura junto con los datos de restricción de utilización cambiadosº un 15 procesador de sistema (32) configurado para operar de manera selectiva en modos seguro y no seguro, y operable para un acceso no seguro al circuito criptografico a traves de la interfaz de bus para validar los datos de restricción de utilización almacenadosº y operable en el modo seguro para generar los datos de restricción de utilización cambiados en respuesta a ejecutar instrucciones de programa seguras y acceder de manera segura al circuito criptografico mediante la interfaz de bus para obtener el nuevo código de validación de mensaje para los datos de restricción de utilización cambiadosº y una memoria segura (32) para almacenar las instrucciones de programa seguras que soportan el cambio de los datos de restricción de utilización seguros, siendo la citada memoria segura accesible por el procesador del sistema en el modo seguro, caracterizada porque el circuito seguro incluye un elemento programable una sola vez (26) que indica si el dispositivo electrónico ha sido inicializado, y porque los datos de restricción de 25 utilización almacenados comprenden una parte estatica (44) y una parte dinamica (48) y los datos de restricción de utilización almacenado comprenden un primer código de validación de mensaje (46) almacenado para validar la parte estatica y un segundo código de validación de mensaje (50) almacenado para validar la parte dinamica, y donde el circuito criptografico es operable, cuando se ha accedido a el de manera segura, para generar y emitir un nuevo código de validación de mensaje para la parte estatica de los datos de restricción de utilización almacenados para su almacenamiento en la memoria no segura como el primer código de validación de mensaje sólo si el elemento programable una sola vez indica que el dispositivo electrónico no ha sido inicializado.
2. El dispositivo electrónico de la reivindicación 1, en el que el procesador del sistema esta configurado para iniciarse en el modo seguro en respuesta a un reinicio y a proporcionar servicio oportunamente a un temporizador de vigilante de seguridad (60) al menos en parte validando los datos de restricción de utilización almacenados y comprobandolos frente a los ajustes de Subscriber Identity Module (SIM -M6dulo de Identidad de Abonado) para el dispositivo electrónico, estando el citado temporizador del vigilante de seguridad configurado para llevar a cabo un reinicio del procesador del sistema a menos que periódicamente sea servido por el procesador del sistema que opera en el modo seguro.
3. El dispositivo electrónico de la reivindicación 1, en el que el elemento programable una sola vez comprende un fusible o anti-fusible que es permanentemente alterado en respuesta a la aplicación de una sefal de programa.
4. El dispositivo electrónico de la reivindicación 1, en el que el circuito seguro incluye una pluralidad de elementos programables una sola vez (28) y en el que un subconjunto de la pluralidad de elementos programables una vez estan configurados para registrar la clave permanente del dispositivo como una clave (24) secreta accesible 45 para el circuito criptografico.
5. El dispositivo electrónico de la reivindicación 1, en el que el circuito criptografico es operable, cuando se accede a el de manera segura, para generar el que se muestre un nuevo código de validación de mensaje para la parte dinamica de los datos de restricción de utilización almacenados para su almacenamiento en la memoria no segura como el segundo código de validación de mensaje almacenado en respuesta a órdenes seguras que le han 50 sido proporcionadas mediante un acceso seguro por el procesador del sistema, permitiendo por ello una posterior validación de cambios autorizados llevada a cabo a la parte dinamica de los datos de restricción de utilización almacenados.
6. El dispositivo electrónico de la reivindicación 1, en el que los datos de restricción de utilización almacenados comprenden una parte estatica y una parte dinamica de la información del Bloqueo del M6dulo de Identidad del 55 Abonado, y donde el circuito criptografico esta configurado para generar y emitir un primer código de validación de mensaje sólo para la parte estatica como parte de la inicialización segura del dispositivo electrónico, de manera que ningun cambio a la parte estatica sera validado por el circuito criptografico, y en el que el circuito criptografico esta configurado, como parte del cambio de la parte dinamica autorizado, para generar y emitir un nuevo código de validación de mensaje para la parte dinamica, con el fin de permitir la subsiguiente validación de cambios a la parte dinamica autorizados.
7. Un metodo de proteger los datos de restricción de utilización que gobierna la utilización de un dispositivo electrónico, que comprende:
almacenar una clave (24) permanente del dispositivo en un circuito seguro (22)
acoplar el circuito seguro a un circuito criptografico (18) por medio de una conexión segura (20) y acoplar el circuito criptografico a un procesador del sistema (32) por medio de una interfaz de bus (34) , almacenar los datos de restricción de utilización (14) como datos de restricción de utilización almacenados en una memoria (12) no segura del dispositivo electrónico, junto con un código de validación de mensaje (36) almacenado para validar los datos de restricción de utilización almacenadosº
configurar el circuito criptografico para validar (102) los datos de restricción de utilización almacenados utilizando el código de validación de mensaje almacenado y la clave permanente del dispositivo pero no generar ningun código de validación de mensaje nuevo para los datos de restricción de utilización almacenados, si se ha accedido mediante el procesador del sistema en un modo no seguro de operaciónº
configurar el circuito criptografico para generar de manera selectiva (104, 158) un nuevo código de validación de mensaje utilizando la clave permanente y los datos de restricción de utilización cambiados que han sido generados mediante la modificación autorizada de los datos de restricción de utilización almacenados, y emitir (158) el nuevo código de validación de mensaje para su almacenamiento en la memoria no segura junto con los datos de restricción de utilización cambiados, si se ha accedido mediante el procesador del sistema en un modo de operación seguroº
operar en el modo seguro y en el modo no seguro basandose en que el procesador del sistema del dispositivo electrónico cambia dinamicamente entre los modos de operación seguro y no seguro, y llevando a cabo la modificación autorizada de los datos de restricción de utilización almacenados mediante la ejecución por el procesador del sistema de las instrucciones de programa segurasº y almacenar las instrucciones de programa seguras en una memoria segura, siendo la citada memoria segura accesible por el procesador del sistema que opera en el modo seguro, caracterizado porque el metodo comprende tambien indicar si el dispositivo electrónico ha sido inicializado mediante un elemento programable una vez incluido dentro del circuito seguroº
almacenar la clave permanente del dispositivo dentro del circuito seguro mediante una pluralidad de elementos programables una vez adicionalesº y en el que los datos de restricción de utilización almacenados comprenden una parte estatica (44) y una parte dinamica (48) y el código de validación de mensaje almacenado comprende un primer código de validación de mensaje almacenado (46) para validar la parte estatica y un segundo código de validación de mensaje (50) almacenado para validar la parte dinamica, y en el que la citada validación de los datos de restricción de utilización almacenados en un modo de operación no seguro comprende utilizar la clave permanente del dispositivo y los códigos de validación de mensaje almacenados primero y segundo obtenidos de la memoria no segura para validar, respectivamente, las partes estatica y dinamica de la información de restricción de utilización almacenada como obtenida de la memoria no segura.
8. El metodo de la reivindicación 7, en el que el procesador del sistema esta configurado para iniciarse en el modo seguro en respuesta a un reinicio y para servir periódicamente a un temporizador de vigilante de seguridad (60) al menos en parte validando los datos de restricción de utilización almacenados y comprobandolos frente a los 45 ajustes del Subscriber Identity Module (SIM -M6dulo de Identidad del Abonado) para el dispositivo electrónico, y comprendiendo tambien configurar un temporizador de vigilante de seguridad para llevar a cabo un reinicio el procesador del sistema a menos que sea oportunamente servido por el procesador del sistema que opera en el modo seguro.
9. El metodo de la reivindicación 7, en el que la citada generación del nuevo código de validación de mensaje 50 en el modo de operación almacenado comprende utilizar la clave permanente del dispositivo y los datos de restricción de utilización cambiados para generar un nuevo segundo código de validación de mensaje, y emitir el nuevo segundo código de validación de mensaje para su almacenamiento como el segundo código de validación de mensaje almacenado en la memoria no segura, junto con el almacenamiento de los datos de restricción de utilización cambiados como la parte dinamica de los datos de restricción de utilización almacenados en la memoria no segura.
Patentes similares o relacionadas:
Funcionamiento de red de frecuencia única (SFN) para mejoras de cobertura de comunicaciones de tipo máquina (MTC), del 17 de Junio de 2020, de QUALCOMM INCORPORATED: Un procedimiento para comunicaciones de tipo máquina, MTC, inalámbricas realizado por un dispositivo remoto caracterizado por: detectar […]
Método y aparato de procesamiento de servicio, del 3 de Junio de 2020, de Advanced New Technologies Co., Ltd: Un método para el procesamiento de servicios, el método que comprende: después de recibir una solicitud de procesamiento de servicios de un usuario, […]
Dispositivo de a bordo para un vehículo, del 20 de Mayo de 2020, de AUTOSTRADE TECH S.p.A: Dispositivo de a bordo (100, 100', 100") para un vehículo, siendo adecuado dicho dispositivo de a bordo (100, 100', 100") para su uso en un sistema […]
Método para detectar software clonado, del 29 de Abril de 2020, de NAGRAVISION S.A.: Método para detectar un software clonado para ser usado en una unidad de usuario cliente que se comunica con un servidor para solicitar un servicio enviando una solicitud […]
Dispositivo multimedia y procedimiento de transmisión de datos por un dispositivo multimedia, del 18 de Marzo de 2020, de FM Marketing GmbH: Un dispositivo multimedia con un control remoto , que comprende: - un primer microprocesador , - un primer dispositivo de hardware para identificar el control […]
Proceso para asegurar la comunicación de un archivo digital a través de una red de comunicación, del 26 de Febrero de 2020, de AMADEUS S.A.S.: Proceso para comunicar un archivo digital (D1) desde un servidor a un Sistema de Manejo de Información (IHS), comprendiendo el IHS un conjunto […]
Método y aparato para proporcionar entorno virtual personalizado, del 15 de Enero de 2020, de Beijing Xiaomi Mobile Software Co., Ltd: Un método realizado por una plataforma de servicios para proporcionar acceso a una comunidad de servicios que comprende: comparar la información de identificación […]
Procedimiento y dispositivo para controlar la pantalla de seguridad en un dispositivo electrónico, del 28 de Agosto de 2019, de SAMSUNG ELECTRONICS CO., LTD.: Un dispositivo electrónico que comprende: un módulo de representación; una primera memoria que tiene datos de representación almacenados en […]