BRPI0511213B1 - Safety module component - Google Patents
Safety module component Download PDFInfo
- Publication number
- BRPI0511213B1 BRPI0511213B1 BRPI0511213-3A BRPI0511213A BRPI0511213B1 BR PI0511213 B1 BRPI0511213 B1 BR PI0511213B1 BR PI0511213 A BRPI0511213 A BR PI0511213A BR PI0511213 B1 BRPI0511213 B1 BR PI0511213B1
- Authority
- BR
- Brazil
- Prior art keywords
- processor
- cpu
- memory
- erasable
- programmable
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0806—Details of the card
- G07F7/0813—Specific details related to card security
- G07F7/082—Features insuring the integrity of the data on or in the card
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
Landscapes
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Accounting & Taxation (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Business, Economics & Management (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Burglar Alarm Systems (AREA)
Abstract
o objetivo desta invenção é aprimorar de modo otimizado a segurança de cartões inteligentes para evitar o controle fraudulento de um processador(es) criptográfico(s) através de sinais externos que interferem no desenvolvimento normal das tarefas de um processador(es). o objetivo é alcançado por meio de um componente ic de um módulo de segurança contendo pelo menos dois processadores cpu a, cpu b, cada um dos quais conectado a memórias de programa rom a, rom b, a memórias apagáveis, programáveis e não-voláteis (eeprom) eeprom a, eeprom b, contendo os dados, e a memórias de acesso aleatório (ram) ram a, ram b, que servem como armazenamento de dados temporários durante o processamento, o primeiro processador cpu a tendo um barramento de interface com a área externa ao componente ic, caracterizado pelo fato de que o segundo processador cpu b fica conectado ao primeiro processador cpu a através de uma memória de troca dpr, a memória apagável, programável e não-volátil eeprom a do primeiro processador cpu a tendo acesso somente de leitura r em relação ao mencionado primeiro processador cpu a, o segundo processador cpu tendo acesso de leitura e gravação r/w à referida memória apagável, programável e não-volátil eeprom a do primeiro processador cpu a.
Description
‘'COMPONENTE DE MÓDULO DE SEGURANÇA” Antecedentes da invenção [001 ]A presente invenção refere-se ao domínio dos módulos de segurança contendo pelo menos um processador e memórias geralmente na forma de cartões inteligentes. Estes são disponíveis nas formas com ou sem contato, e são usados em diferentes aplicações que requerem transações de segurança tais como» por exemplo, pagamento, troca de dados confidenciais ou controle de acesso.
Estado da Técnica [002]Gomo é bem conhecido para os conhecedores do estado da técnica, o módulo de segurança pode, essencialmente» ser produzido de acordo com três diferentes formas. Uma destas é a de um cartão microprocessador, um cartão inteligente, ou, de modo mais genérico, um módulo eletrônico {assumindo a forma de uma chave, um distintivo). Este tipo de módulo é geral mente removível e conectável em um deco-dificador de televisão paga digital. A forma com contatos elétricos é o tipo mais frequentemente utilizado. Entretanto, não se exclui uma conexão sem contato, por exemplo, a do tipo ISO 14443.
[0Q3]A segunda forma conhecida é aquela de um circuito integrado, geralmente instalado de modo definitivo e inamovível no decodificador. Uma das alternativas é feita de um circuito que é soldado ou montado em uma base ou mesmo em um conector tais como um módulo conector SIM* [004]Em uma terceira forma, o módulo de segurança é incorporado em um circuito integrado que também tem uma outra função, por exemplo, em um módulo ordenador do decodificador ou do microprocessador do decodificador.
[OOSJMais particularmente, no campo de televisão paga digital, estes módulos de segurança assumem a forma de cartões. Eles servem como meio para a personalização e proteção do acesso a programas criptografados recebidos pelos decodifica-dores instalados no recinto do assinante.
[006] Com a finalidade de aumentar a segurança do acesso a dados de acesso condicional e para evitar diferentes ataques fraudulentos, várias soluções têm sido adotadas, tais como: uma encapsulação material do módulo de segurança, algoritmos criptografados sofisticados, códigos secretos de criptografia/descriptografia com um elevado tamanho binário, uma multiplicidade de cartões ou processadores tal como descrito nos documentos de patente US 5666412 ou US 5774546.
[007] Nestes últimos dois exemplos, um decodificador de TV paga é equipado com um leitor de cartão com duas aberturas, em cada uma delas sendo inserido um cartão inteligente. O primeiro cartão contém um elemento de identificação incluindo os dados oficiais e pessoais parcialmente criptografados. O segundo cartão contém um elemento aplicativo contendo os códigos secretos de acesso e algoritmos que permitem o acesso aos dados contidos no elemento de identificação do primeiro cartão. Este tipo de configuração está, em particular, presente em um dispositivo de controle parental que requer um segundo nível de controle de acesso mediante o uso de um código secreto particular.
[008] De acordo com uma das alternativas ao documento mencionado, os chips ou circuitos integrados de cada um dos dois cartões são agrupados juntos em somente um suporte, constituindo deste modo um só cartão cujos circuitos integrados ficam acessíveis separadamente pelo leitor de cartão. Este cartão inclui os dados necessários que definem vários níveis de criptografia, permitindo acesso aos dados contidos em cada um dos circuitos integrados.
[009] Os meios existentes no estado da técnica que são empregados para aumentar a segurança dos cartões de acesso a programas criptografados mostram-se algumas vezes vulneráveis a certos ataques, em particular a ataques por meio de interferências ou “ataques disfuncionais". Este se refere a um método para violação da segurança de um processador criptográfico que se dá pela interrupção da execução de uma ou de várias instruções. O agressor analisa os sinais gerados por uma sequência específica de instruções emitidas pelo processador e, no momento preciso da execução de uma comparação ou de uma operação de salto, impõe os sinais de interferência no barramento ligado ao processador, através do leitor de cartão, por exemplo. Estes sinais, na forma de uma série de breves pulsos, bloqueiam a execução de instruções ou criam um curto circuito em programas de autenticação cruciais, permitindo assim o livre acesso a dados protegidos.
Objetivos da invenção [010]O objetivo desta invenção é aprimorar de modo otimizado a segurança de cartões inteligentes para evitar o controle fraudulento de um processador(es) crip-tográfico(s) através de sinais externos que interferem no desenvolvimento normal das tarefas do(s) processador(es).
[01 IjResumo da invenção [012] O objetivo desta invenção é alcançado por meio de um componente de módulo de segurança contendo pelo menos dois processadores, cada um conectado a memórias de programa, a memórias programáveis, apagáveis e não-voláteis (EEPROM) contendo os dados, e a memórias de acesso aleatório (RAM) que servem como armazenamento de dados temporários durante o processamento, o primeiro processador tendo um barramento de interface com a área externa ao componente, caracterizado pelo fato de que o segundo processador fica conectado ao primeiro processador por meio de uma memória de troca (DPR), a memória apagável, programá-vel e não-volátil do primeiro processador tendo acesso somente de leitura através do referido primeiro processador, o segundo processador tendo acesso de leitura e gravação à referida memória apagável, programável e não-volátil do primeiro processador.
[013] 0 componente é entendido como uma unidade incluindo todos os elementos necessários para as operações de criptografia e trazidos todos juntos em um único suporte, de modo a garantir sua segurança. Estes componentes são geralmente feitos de um único chip eletrônico, um chip que dispõe de uma proteção anti-invasão eletrônica ou mecânica. Outras estruturas compostas, por exemplo, de dois chips eletrônicos são também incluídas na denominação “componente” uma vez que elas são conectadas proximamente e fornecidas por distribuidores como um único elemento somente.
[014] Este componente preferencialmente fabricado em um único chip de silício é geralmente implantado em um suporte portátil, normalmente um cartão inteligente removível. O último é equipado com acessos conectados ao primeiro processador, que é feito seja através de uma montagem de contato disposta em uma das faces do cartão, de acordo com os regulamentos do ISO 7816, seja através de uma antena que permite a troca de dados de uma forma eletromagnética, sem contatos galvânicos (de acordo com o ISO 14443), com um dispositivo adequado de leitura-gravação.
[015] De acordo com uma outra forma de execução do componente, o mesmo é parte de um módulo eletrônico maior, possuindo a capacidade de processar dados criptografados.
[016] Uma parte deste módulo processa, por exemplo, os dados criptografados DBV, e o componente é somente uma peça de silício encarregada do aspecto de segurança desta descriptografia. Deve ser observado que o módulo eletrônico pode ser tanto montado dentro da unidade de recepção como conectado de modo removível na referida unidade de recepção.
[017] A configuração do componente de acordo com esta invenção permite o completo isolamento do segundo processador em questão, com respeito a acessos externos. De fato, não há conexão direta entre os dois processadores que permitiria acesso ao segundo processador, com o auxílio de instruções adequadas transmitidas ao primeiro processador, através de acesso externo. As memórias que conectam os dois processadores agem como uma barreira que, por um lado, serve para bloquear comandos não-desejáveis originados de acessos externos e, por outro lado, serve para evitar a análise, através dos mesmos acessos, dos sinais que transitam entre os dois processadores.
[018] O primeiro processador não pode ele mesmo modificar seu programa. Cada modificação de seu programa deve ser verificada pelo segundo processador.
[019] O segundo processador pode, deste modo, executar as operações de criptografia independentemente das operações executadas pelo primeiro processador. Além disso, o último não pode executar certas tarefas cruciais relativas à segurança sem a autorização do segundo processador.
[020] A invenção será melhor entendida graças à seguinte descrição detalhada que se refere à única figura anexada, mostrada como um exemplo não-limitador.
Breve descrição do desenho [021 ]A figura 1 mostra um esquema de bloqueamento de um componente de módulo de segurança contendo dois processadores, cada um dos quais conectado a um conjunto de memória, e conectados um ao outro por meio de uma memória de troca.
Descrição detalhada da invenção e exemplos de funcionamento [022] O componente IC na figura 1 é geralmente produzido em um único chip que é montado em um suporte portátil constituído, de acordo com uma forma de execução preferida, de um cartão equipado com acesso ACC, na forma de contatos ou de uma antena.
[023] O componente IC contém dois processadores CPU A, CPU B, ligados por meio de uma memória de troca de acesso aleatório DPR e por uma memória apa-gável, programável e não-volátil EEPROM A. O primeiro processador CPU A fica conectado, por um lado, ao acesso ACC e, por outro lado, a uma memória de acesso aleatório RAM A e a uma memória somente de leitura ROM A. O segundo processador CPU B também fica conectado a uma memória de acesso aleatório RAM B e a uma memória somente de leitura ROM B assim como à memória apagável, programável e não-volátil EEPROM B.
[024] De acordo com uma das alternativas, uma memória apagável, programá-vel e não-volátil suplementar STAT pode ser conectada, em um modo de leitura/gra-vação R/W, ao primeiro processador CPU A. Isto serve, por exemplo, para armazenar os dados referentes ao histórico de operações do componente que seria acessível na leitura a partir do exterior, por meio do acesso ACC.
[025] Uma das particularidades essenciais de acordo com a invenção consiste em que a conexão do primeiro processador CPU A com a memória apagável, progra-mável e não- volátil EEPROM A é configurada somente para leitura R, enquanto que a conexão com o segundo processador CPU B é configurada tanto para leitura como para gravação R/W. Um outro aspecto desta invenção é a presença de uma memória de troca de acesso aleatório DPR cujas conexões a cada um dos processadores CPU A e CPU B são configuradas para leitura e gravação R/W.
[026] O primeiro processador CPU A deste componente, acessível a partir do exterior, inclui meios de execução para executar tarefas conhecidas dos módulos de segurança, ou seja, o gerenciamento de senhas de controle CW e das mensagens de controle ECM assim como a verificação das permissões do cartão. Pode-se deduzir que operações de segurança, tais como a autenticação, a descriptografia da mensagem de gerenciamento EMM ou o gerenciamento de códigos secretos e de algoritmos de descriptografia, ficam previstas para o segundo processador CPU B.
[027] Este segundo processador CPU B inclui meio de gerenciamento e execução para gerenciar e executar operações de segurança (tais como a autenticação, a descriptografia ou o gerenciamento de códigos secretos e de algoritmos de descriptografia) que requerem criptografia/códigos secretos armazenados de descriptografia, por exemplo, na memória somente de leitura ROM B. À memória apagável, progra-mável e não-volátil EEPROM B contém os programas assim como os algoritmos necessários para a descriptografia de acordo com as instruções emitidas pelo primeiro processador CPU A através da memória de troca de acesso aleatório DPR.
[028] Graças à configuração em modo somente de leitura do processador CPU A, os conteúdos da memória apagável, programável e não-volátil EEPROM A não podem ser modificados a partir do exterior. Cada instrução do processador emitida através de comandos recebidos através do acesso ACC fica temporariamente armazenada na memória de troca de acesso aleatório DPR, e sua execução é verificada pelo segundo processador CPU B antes de os dados resultantes serem armazenados pelo referido segundo processador CPU B na memória apagável, programável e não-volátil EEPROM A através da porta R/W.
[029] De acordo com outra alternativa, o processador CPU B pode controlar diretamente o processador CPU A através de uma conexão C sem passar pela memória de troca DPR. Este tipo de controle permite, por exemplo, a ativação ou o blo-queamento rápido do processador CPU A de acordo com o resultado de uma verificação realizada pelo processador CPU B.
[030] Um cartão que inclui um componente tal como descrito anteriormente pode ser usado em decodificador de televisão paga digital, onde um patamar elevado de segurança é exigido, por um lado, no nível das permissões de acesso a dados criptografados de um fluxo audiovisual transmitido por cabo ou satélite e, por outro lado, no nível do software operacional do cartão.
[031] Uma função do cartão consiste em controlar o acesso aos dados criptografados de um fluxo audiovisual recebido pelo decodificador, mediante a verificação das mensagens de controle ECM que acompanham os referidos dados criptografados. Quando esta verificação é finalizada, a descriptografia dos dados do fluxo é autorizada de acordo com as permissões de acesso ao audiovisual incluídas na mensagem ECM.
[032] Com o intuito de definir as permissões de um usuário, o centro de gerenciamento envia mensagens de gerenciamento EMM que geralmente são individualizadas, ou seja, criptografadas por um único código secreto para este usuário. De acordo com um exemplo de aplicação da invenção, este tipo de mensagem não pode ser descriptografado pelo processador CPU A porque o último não dispõe do código secreto pessoal único do usuário. Este código secreto pode ser simétrico ou assimétrico (código secreto particular ou código secreto público).
[033] A memória que conterá esta permissão é a memória apagável, progra-mável e não-volátil EEPROM A no nosso exemplo. Uma vez que a memória fica acessível somente para gravação, e apenas através do processador CPU B, o processador CPU A transmitirá a mensagem de gerenciamento EMM ao processador CPU B através da memória de troca DPR. O processador CPU B iniciará seu ciclo de descripto-grafia da mensagem e, após a verificação, atualizará a memória apagável, programá-vel e não- volátil EEPROM A com as novas permissões.
[034] Também é possível alocar essas permissões na memória STAT de acordo com uma outra alternativa. Neste caso, o resultado da descriptografia da mensagem EMM será transmitido ao processador CPU A através da memória de troca DPR, de modo a ser armazenado na memória STAT.
[035] O download do software do cartão armazenado na memória apagável, programável e não-volátil EEPROM A ou a atualização deste software é gerenciada com uma maior segurança em um cartão equipado com um componente de acordo com a invenção. De fato, não será possível armazenar o software no referido cartão através dos acessos ACC e do processador CPU A sem realizar verificações por meio do processador CPU B.
[036] O software, ou uma atualização, é recebido através do decodificador na forma de blocos criptografados que serão, então, transportados um a um ao primeiro processador CPU A, através dos acessos ACC do cartão. O processador CPU A não pode decifrá-los porque não dispõe do código secreto correspondente. Estes blocos são transmitidos à CPU B através da memória de troca DPR. A CPU B iniciará um processo de descriptografia em um modo seguro e, assim, não passível de interrupção. O resultado desta operação é armazenado em uma memória específica da CPU B, ou seja, na memória apagável, programável e não-volátil EEPROM B.
[037] E previsto que o valor de verificação ou a assinatura estarão contidos em uma mensagem de gerenciamento EMM. A CPU B recebe esta mensagem através da memória de troca DPR e pode calcular a assinatura do bloco de dados previamente decifrado, e compará-la com a assinatura recebida na mensagem.
[038] Com uma única vez em que a verificação tenha sido realizada, a CPU B iniciará um ciclo de gravação da memória da CPU A, a saber, memória apagável, programável e não-volátil EEPROM A.
[039] No caso em que o resultado desta comparação for negativo, o processo de download ou de atualização do software é interrompido e o processador CPU A transmite seja uma mensagem de erro ao decodificador seja um comando de reinici-ação de download.
[040] Quando todos os blocos são verificados e armazenados na memória apagável, programável e não-volátil EEPROM B com êxito, o processador CPU B transfere os referidos blocos à memória apagável, programável e não-volátil EEPROM A. O processador CPU A fica então responsável pela instalação e ativação do novo software.
[041 ]De acordo com outra alternativa, antes de transferir um bloco em direção à memória apagável, programável e não-volátil EEPROM A, a organização de blocos armazenados na memória apagável, programável e não-volátil EEPROM B pode ser verificada novamente pelo processador CPU B mediante o cálculo de uma assinatura sobre a totalidade dos blocos. A comparação é então conduzida com a assinatura global do software também obtida por meio de uma mensagem EMM.
[042]De acordo com uma outra alternativa funcional, as mensagens de gerenciamento EMM são processadas pela CPU A. Deve ser observado que, no momento de cada sessão de descriptografia destas mensagens EMM, o processador CPU A requer o código secreto necessário ao processador B para a execução direta da descriptografia. Uma vez que a descriptografia é completada, o código secreto é apagado e somente armazenado na memória de acesso aleatório RAM A da CPU A. Não há assim nenhum armazenamento intermediário do código secreto em uma memória apagável, programável e não-volátil EEPROM A que, desta maneira, seria consequentemente acessível na leitura através dos acessos ACC. Somente os resultados do cálculo intermediário são armazenados na memória de acesso aleatório RAM A e o processador CPU A transfere os dados finais (permissões, por exemplo) na memória STAT.
[043] Se o número de tarefas de segurança aumenta e excede a capacidade de somente um processador, é possível multiplicar o número de processadores de acordo com a complexidade das operações a serem executadas. O esquema de blocos deste tipo de configuração seria uma extensão daquele da Figura 1, onde cada processador suplementar seria conectado a uma memória de troca de acesso aleatório DPR com duas portas, uma das quais seria ligada ao primeiro processador que possui os acessos dirigidos ao exterior.
[044] De acordo com uma outra alternativa, a memória de troca de acesso aleatório DPR de separação pode ter quantas portas suplementares forem necessárias para a conexão de processadores adicionais.
[045] De acordo com uma outra alternativa, o componente pode ter pelo menos um processador suplementar conectado para leitura/gravação a uma primeira porta de uma memória suplementar apagável, programável e não-volátil, sendo a segunda porta da referida memória conectada somente para leitura ao primeiro processador. Em outra alternativa, o componente pode ter pelo menos um processador suplementar conectado para leitura/gravação a uma porta suplementar da memória apagável, programável e não-volátil, sendo a referida memória conectada somente para leitura ao primeiro processador.
REIVINDICAÇÕES
Claims (10)
1. Componente (IC) de um módulo de segurança contendo pelo menos dois processadores (CPU A, CPU B), cada um dos quais conectado a memórias de programas {ROM A, ROM B), a memórias apagáveis, programáveis e não-voláteis (EEPROM A, EEPROM B) contendo os dados e memórias de acesso aleatório (RAM) RAM A, RAM B servindo como armazenamento de dados temporário durante o processamento, o primeiro processador (CPU A) tendo um barramento de interface com a área externa ao componente (IC), CARACTERIZADO pelo fato de que o segundo processador (CPU B) fica conectado ao primeiro processador (CPU A) por meio de uma memória de troca (DPR) e por meio de uma memória apagável, programável e não-volâtil (EEPROM A) do primeiro processador (CPU A), onde o primeiro processador CPU A fica conectado, por um lado, a um acesso (ACC) e, por outro lado, a uma memória de acesso aleatório (RAM A) e a uma memória somente de leitura (ROM A); onde o segundo processador (CPU B) também fica conectado a uma memória de acesso aleatório (RAM B) e a uma memória somente de leitura (ROM B) assim como à memória apagável, programável e não-volátil (EEPROM B), onde a memória apagável, programável e não-volátil (EEPROM A) do primeiro processador (CPU A) tem acesso somente de leitura (R) em relação ao mencionado primeiro processador (CPU A), o segundo processador (CPU B) tendo acesso de leitura e gravação (R/W) à mencionada memória apagável, programável e não-volátil (EEPROM A) do primeiro processador (CPU A).
2. Componente, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a memória de troca (DPR) consiste em uma memória de acesso aleatório direcionada para armazenamento de dados temporários, sendo a referida memória de troca (DPR) equipada com duas portas, cada uma configurada para leitura e gravação (R/W), uma das quais fica conectada ao primeiro processador (CPU A) e a outra, ao segundo processador (CPU B).
3. Componente, de acordo com as reivindicações 1 ou 2, CARACTERIZADO pelo fato de que fica montado em um suporte portátil incluindo os acessos (ACC) direcionados para a troca de dados com uma unidade de processamento externa, sendo os referidos acessos (ACC) conectados ao primeiro processador (CPU A) através do barramento de interface.
4. Componente, de acordo com as reivindicações 1 a 3, CARACTERIZADO pelo fato de que o primeiro processador (CPU A) inclui meios de execução para tarefas conhecidas dos módulos de segurança e de que o segundo processador (CPU B) contém meios de gerenciamento e execução de operações de segurança tais como a autenticação, a descriptografia ou o gerenciamento de códigos secretos e de algoritmos de descriptografia.
5. Componente, de acordo com as reivindicações 1 a 4, CARACTERIZADO pelo fato de que a memória de programa (ROM B) e a memória apagável, programável e não-volátil (EEPROM B) contêm os programas assim como os algoritmos necessários para a descriptografia de acordo com as instruções transmitidas pelo primeiro processador (CPU A) através da memória de troca de acesso aleatório (DPR)
6. Componente, de acordo com a reivindicação 4, CARACTERIZADO pelo fato de que o segundo processador (CPU B) contém meios de verificação para os dados recebidos através dos acessos (ACC) e para a memória de troca de acesso aleatório (DPR), sendo os referidos dados temporariamente armazenados na memória apagável, programável e não-volátil (EEPROM B) no momento da verificação.
7. Componente, de acordo com as reivindicações 1 a 6, CARACTERIZADO pelo fato de que o segundo processador (CPU B) contém meios de armazenamento, através da porta (R/W), dos dados verificados na memória apagável, programável e não-volátil (EEPROM A).
8. Componente, de acordo com a reivindicação 2, CARACTERIZADO pelo fato de que fica montado em um cartão munido de contatos galvânicos, do formato ISO 7816, formando os acessos (ACC), funcionando o referido cartão como um módulo de segurança removível em decodificadores de TV paga.
9. Componente, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que contém pelo menos um processador suplementar conectado para lei-tura/gravação a uma primeira porta de uma memória suplementar apagável, progra-mável e não-volátil, sendo a segunda porta da referida memória conectada para somente leitura ao primeiro processador.
10. Componente, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que contém pelo menos um processador suplementar conectado para lei-tura/gravação a uma porta suplementar da memória apagável, programável e não-volátil, sendo a referida memória conectada para somente leitura ao primeiro processador.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP04102505A EP1603088A1 (fr) | 2004-06-03 | 2004-06-03 | Composant pour module de sécurité |
| EP041025057 | 2004-06-03 | ||
| PCT/EP2005/052519 WO2005119583A2 (fr) | 2004-06-03 | 2005-06-02 | Composant pour module de sécurité |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| BRPI0511213A BRPI0511213A (pt) | 2007-11-27 |
| BRPI0511213B1 true BRPI0511213B1 (pt) | 2017-12-12 |
Family
ID=34929167
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BRPI0511213-3A BRPI0511213B1 (pt) | 2004-06-03 | 2005-06-02 | Safety module component |
Country Status (26)
| Country | Link |
|---|---|
| US (1) | US7313665B2 (pt) |
| EP (2) | EP1603088A1 (pt) |
| JP (1) | JP2008502039A (pt) |
| KR (1) | KR101136163B1 (pt) |
| CN (1) | CN100562903C (pt) |
| AR (1) | AR049348A1 (pt) |
| AT (1) | ATE405903T1 (pt) |
| AU (1) | AU2005251025B2 (pt) |
| BR (1) | BRPI0511213B1 (pt) |
| CA (1) | CA2568831C (pt) |
| DE (1) | DE602005009192D1 (pt) |
| DK (1) | DK1766588T3 (pt) |
| ES (1) | ES2311991T3 (pt) |
| HK (1) | HK1098564A1 (pt) |
| IL (1) | IL179720A (pt) |
| MX (1) | MXPA06014008A (pt) |
| MY (1) | MY142952A (pt) |
| NO (1) | NO337437B1 (pt) |
| NZ (1) | NZ551633A (pt) |
| PL (1) | PL1766588T3 (pt) |
| PT (1) | PT1766588E (pt) |
| RU (1) | RU2377655C2 (pt) |
| SI (1) | SI1766588T1 (pt) |
| TW (1) | TWI351607B (pt) |
| WO (1) | WO2005119583A2 (pt) |
| ZA (1) | ZA200700029B (pt) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060083370A1 (en) * | 2004-07-02 | 2006-04-20 | Jing-Jang Hwang | RSA with personalized secret |
| EP1798659A1 (en) * | 2005-12-19 | 2007-06-20 | Axalto SA | Personal token with parental control |
| US20080019517A1 (en) * | 2006-04-06 | 2008-01-24 | Peter Munguia | Control work key store for multiple data streams |
| EP2035948B1 (en) | 2006-06-27 | 2016-04-13 | Waterfall Security Solutions Ltd. | Unidirectional secure links from and to a security engine |
| IL180748A (en) * | 2007-01-16 | 2013-03-24 | Waterfall Security Solutions Ltd | Secure archive |
| FR2914459B1 (fr) | 2007-03-30 | 2009-07-03 | Oberthur Card Syst Sa | Carte a microprocesseurs |
| KR101058140B1 (ko) * | 2007-05-11 | 2011-08-24 | 나그라스타 엘.엘.씨. | 보안 환경에서 프로세서 실행을 제어하기 위한 장치 |
| FR2923633B1 (fr) * | 2007-11-13 | 2010-06-18 | Oberthur Card Syst Sa | Carte a microprocesseur, telephone comprenant une telle carte et procede d'execution d'une commande dans une telle carte. |
| FR2923634B1 (fr) | 2007-11-13 | 2010-06-18 | Oberthur Card Syst Sa | Carte a microprocesseur, telephone comprenant une telle carte et procede d'execution d'une commande dans une telle carte. |
| FR2923632B1 (fr) * | 2007-11-13 | 2010-01-08 | Oberthur Card Syst Sa | Carte a microprocesseur, telephone comprenant une telle carte et procede de traitement dans une telle carte. |
| EP2063638A1 (fr) | 2007-11-26 | 2009-05-27 | Nagravision S.A. | Méthode d'évaluation de droits d'utilisateurs stockés dans un module de sécurité |
| EP2129115B1 (fr) * | 2008-05-29 | 2019-05-01 | Nagravision S.A. | Méthode de mise à jour de données de sécurité dans un module de sécurité et module de sécurité pour la mise en oeuvre de cette méthode |
| FR2960322B1 (fr) * | 2010-05-20 | 2012-07-27 | P1G | Equipement portable de communication, systeme et procede de communication entre un terminal local et une pluralite d'equipements portables |
| US8839001B2 (en) * | 2011-07-06 | 2014-09-16 | The Boeing Company | Infinite key memory transaction unit |
| US9635037B2 (en) | 2012-09-06 | 2017-04-25 | Waterfall Security Solutions Ltd. | Remote control of secure installations |
| US9419975B2 (en) | 2013-04-22 | 2016-08-16 | Waterfall Security Solutions Ltd. | Bi-directional communication over a one-way link |
| CN103391190A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
| CN104678757A (zh) * | 2013-12-02 | 2015-06-03 | 景德镇昌航航空高新技术有限责任公司 | 一种直升机发动机双余度燃油调节控制器 |
| CN103888446A (zh) * | 2014-02-28 | 2014-06-25 | 西南交通大学 | 面向铁路信号控制网络的协议安全隔离*** |
| FR3024927B1 (fr) * | 2014-08-14 | 2016-08-26 | Zodiac Aero Electric | Systeme de distribution electrique pour un aeronef |
| IL235175A (en) | 2014-10-19 | 2017-08-31 | Frenkel Lior | Secure desktop remote control |
| IL250010B (en) | 2016-02-14 | 2020-04-30 | Waterfall Security Solutions Ltd | Secure connection with protected facilities |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL111151A (en) | 1994-10-03 | 1998-09-24 | News Datacom Ltd | Secure access systems |
| US5839849A (en) * | 1997-02-21 | 1998-11-24 | Pacholok; David R. | Mechanical tire deflating device |
| DE19811646C2 (de) * | 1998-03-18 | 2002-11-14 | Kathrin Schier | Multifunktions-Chipkarte |
| FR2787900B1 (fr) | 1998-12-28 | 2001-02-09 | Bull Cp8 | Circuit integre intelligent |
| US6829711B1 (en) * | 1999-01-26 | 2004-12-07 | International Business Machines Corporation | Personal website for electronic commerce on a smart java card with multiple security check points |
| FR2795838B1 (fr) * | 1999-06-30 | 2001-08-31 | Bull Cp8 | Procede de securisation du traitement d'une information sensible dans un module de securite monolithique, et module de securite associe |
| JP2001216284A (ja) * | 1999-11-25 | 2001-08-10 | Denso Corp | 電子制御装置 |
| AU1586500A (en) * | 1999-12-06 | 2001-06-12 | Sun Microsystems, Inc. | Computer arrangement using non-refreshed dram |
| DE10107373A1 (de) * | 2001-02-16 | 2002-08-29 | Infineon Technologies Ag | Sicherheitsmodul mit flüchtigem Speicher zur Speicherung eines Algorithmuscodes |
| US7502817B2 (en) * | 2001-10-26 | 2009-03-10 | Qualcomm Incorporated | Method and apparatus for partitioning memory in a telecommunication device |
| FR2834154B1 (fr) * | 2001-12-21 | 2005-03-11 | Oberthur Card Syst Sa | Unite electronique incluant des moyens de cryptographie capables de traiter des informations a haut debit |
| FR2843154B1 (fr) | 2002-08-01 | 2005-08-19 | Fors Ind | Dispositif et procede antivol pour articles comportant au moins une extremite ou une section de forme sensiblement cylindrique |
| GB0324364D0 (en) * | 2003-10-17 | 2003-11-19 | Nokia Corp | Authentication of messages in a communication system |
-
2004
- 2004-06-03 EP EP04102505A patent/EP1603088A1/fr not_active Withdrawn
-
2005
- 2005-05-26 TW TW094117299A patent/TWI351607B/zh not_active IP Right Cessation
- 2005-06-01 MY MYPI20052504A patent/MY142952A/en unknown
- 2005-06-02 ES ES05752825T patent/ES2311991T3/es active Active
- 2005-06-02 AT AT05752825T patent/ATE405903T1/de active
- 2005-06-02 KR KR1020067025380A patent/KR101136163B1/ko not_active IP Right Cessation
- 2005-06-02 DK DK05752825T patent/DK1766588T3/da active
- 2005-06-02 RU RU2006141602/09A patent/RU2377655C2/ru not_active IP Right Cessation
- 2005-06-02 BR BRPI0511213-3A patent/BRPI0511213B1/pt active IP Right Grant
- 2005-06-02 JP JP2007513964A patent/JP2008502039A/ja not_active Withdrawn
- 2005-06-02 EP EP05752825A patent/EP1766588B1/fr active Active
- 2005-06-02 DE DE602005009192T patent/DE602005009192D1/de active Active
- 2005-06-02 PT PT05752825T patent/PT1766588E/pt unknown
- 2005-06-02 US US11/142,309 patent/US7313665B2/en active Active
- 2005-06-02 NZ NZ551633A patent/NZ551633A/en not_active IP Right Cessation
- 2005-06-02 CN CNB2005800210920A patent/CN100562903C/zh active Active
- 2005-06-02 ZA ZA200700029A patent/ZA200700029B/en unknown
- 2005-06-02 PL PL05752825T patent/PL1766588T3/pl unknown
- 2005-06-02 SI SI200530437T patent/SI1766588T1/sl unknown
- 2005-06-02 MX MXPA06014008A patent/MXPA06014008A/es active IP Right Grant
- 2005-06-02 CA CA2568831A patent/CA2568831C/en active Active
- 2005-06-02 AU AU2005251025A patent/AU2005251025B2/en not_active Ceased
- 2005-06-02 WO PCT/EP2005/052519 patent/WO2005119583A2/fr active IP Right Grant
- 2005-06-03 AR ARP050102275A patent/AR049348A1/es not_active Application Discontinuation
-
2006
- 2006-11-30 IL IL179720A patent/IL179720A/en not_active IP Right Cessation
- 2006-12-15 NO NO20065821A patent/NO337437B1/no not_active IP Right Cessation
-
2007
- 2007-04-20 HK HK07104158A patent/HK1098564A1/xx not_active IP Right Cessation
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| BRPI0511213B1 (pt) | Safety module component | |
| ES2202344T3 (es) | Procedimiento de carga de una zona de memoria protegida de un dispositivo de tratamiento de la informacion y dispositivo asociado. | |
| CN107004083B (zh) | 设备密钥保护 | |
| US7178039B2 (en) | Method and arrangement for the verification of NV fuses as well as a corresponding computer program product and a corresponding computer-readable storage medium | |
| EP1461681B1 (en) | Protecting a device against unintended use in a secure environment | |
| ES2701030T3 (es) | Método de carga de un código de al menos un módulo informático | |
| TW200832427A (en) | Virtual secure on-chip one time programming | |
| EP1914990A1 (en) | Electronic module for digital television receiver | |
| US20100077472A1 (en) | Secure Communication Interface for Secure Multi-Processor System | |
| ES2531910T3 (es) | Módulo de seguridad actualizable | |
| US20170364711A1 (en) | Secure element | |
| CN111245620B (zh) | 一种在终端中的移动安全应用架构及其构建方法 | |
| ES2528717T3 (es) | Método de verificación de derechos contenidos en un módulo de seguridad | |
| BRPI0212257B1 (pt) | Método para leitura dos dados de inicialização em um cartão de microplaqueta, cartão de microplaqueta, método para geração de um registro, portador de dados legível e método para inicialização de um cartão de microplaqueta. | |
| US20060075254A1 (en) | Smart card functionality from a security co-processor and symmetric key in ROM | |
| US20030154384A1 (en) | Method and arrangement for the manufacture of mask-programmed ROMs while utilizing a mask comprising a plurality of systems, as well as a corresponding computer program product and a corresponding computer-readable storage medium | |
| JPH11126020A (ja) | 集積回路およびこの集積回路による安全なデータ処理のための方法 | |
| BRPI0409234B1 (pt) | entidade eletrônica tornada segura que compreende meios para memorizar um número máximo permitido de utilizações de um dado secreto e processo de modificação de um número máximo permitido de utilizações de um dado secreto memorizado por uma entidade eletrônica tornada segura | |
| ES2380494T3 (es) | Puesta a disposición de una función de una ficha de seguridad | |
| BR112017011624B1 (pt) | Método para proteger uma chave de dispositivo em um dispositivo, e dispositivo |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B25A | Requested transfer of rights approved |
Owner name: NAGRAVISION S.A. (CH) Free format text: TRANSFERIDO POR INCORPORACAO DE: NAGRACARD SA |
|
| B08F | Application dismissed because of non-payment of annual fees [chapter 8.6 patent gazette] |
Free format text: REFERENTE AS 3A, 4A, 5A, 6A E 7A ANUIDADES. |
|
| B08G | Application fees: restoration [chapter 8.7 patent gazette] | ||
| B06A | Patent application procedure suspended [chapter 6.1 patent gazette] | ||
| B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
| B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 12/12/2017, OBSERVADAS AS CONDICOES LEGAIS. |