ES2906181T3 - Procedimiento de establecimiento de comunicación segura entre un terminal de pago y un dispositivo de cobro - Google Patents

Procedimiento de establecimiento de comunicación segura entre un terminal de pago y un dispositivo de cobro Download PDF

Info

Publication number
ES2906181T3
ES2906181T3 ES17701547T ES17701547T ES2906181T3 ES 2906181 T3 ES2906181 T3 ES 2906181T3 ES 17701547 T ES17701547 T ES 17701547T ES 17701547 T ES17701547 T ES 17701547T ES 2906181 T3 ES2906181 T3 ES 2906181T3
Authority
ES
Spain
Prior art keywords
data
payment terminal
cash register
component
secure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17701547T
Other languages
English (en)
Inventor
Pierre Quentin
Jérôme Marcon
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Banks and Acquirers International Holding SAS
Original Assignee
Banks and Acquirers International Holding SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Banks and Acquirers International Holding SAS filed Critical Banks and Acquirers International Holding SAS
Application granted granted Critical
Publication of ES2906181T3 publication Critical patent/ES2906181T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • G06Q20/202Interconnection or interaction of plural electronic cash registers [ECR] or to host computer, e.g. network details, transfer of information from host to ECR or from ECR to ECR
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • G06Q20/204Point-of-sale [POS] network systems comprising interface for record bearing medium or carrier for electronic funds transfer or payment credit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)
  • Computer And Data Communications (AREA)
  • Cash Registers Or Receiving Machines (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Procedimiento de transmisión de datos, implementado en el seno de un entorno de ejecución seguro de un dispositivo electrónico, denominado componente de confianza (TC), estando acoplado dicho componente de confianza a una caja registradora (CRA, DEC), comprendiendo dicho procedimiento de transmisión de datos las siguientes etapas: - una etapa (301) de recepción, procedente de la caja registradora (DEC, CRA), de una primera solicitud (RSC 1) de establecimiento de un primer canal (SC 1) de comunicaciones seguro con dicho componente de confianza (TC); - una etapa (302) de establecimiento de dicho primer canal (SC 1) de comunicaciones seguro entre el componente de confianza (TC) y la caja registradora (CRA), con ayuda de al menos un identificador de dicha caja registradora contenido en dicha primera solicitud (RSC 1), después de una primera etapa de búsqueda positiva, dentro de una estructura de datos de autorización aprovisionada previamente en el componente de confianza, de un dato correspondiente a dicho identificador de dicha caja registradora; - una etapa (304) de recepción, procedente de un terminal de pago (PERIPH, TERMP), de una segunda solicitud (RSC 2) de establecimiento de un segundo canal (SC 2) de comunicaciones seguro con dicho componente de confianza (TC); - una etapa (305) de establecimiento de dicho segundo canal (SC 2) de comunicaciones seguro, entre el componente de confianza (TC) y el terminal de pago (PERIPH, TERMP) con ayuda de al menos un identificador del terminal de pago, contenido en dicha segunda solicitud, después de una segunda etapa de búsqueda positiva, dentro de la estructura de datos de autorización, de un dato correspondiente a dicho identificador del terminal de pago; - una etapa de transmisión, por el terminal de pago, de un dato destinado a dicha caja registradora que comprende el descifrado por el componente de confianza del dato procedente del segundo canal seguro, el cifrado de nuevo y el envío del dato sobre el primer canal seguro.

Description

DESCRIPCIÓN
Procedimiento de establecimiento de comunicación segura entre un terminal de pago y un dispositivo de cobro
1. Campo
La invención se refiere al campo de la transmisión de datos, de manera segura, entre dos dispositivos. Más particularmente, la presente técnica se relaciona con el campo de la transmisión de datos, de manera segura, entre un dispositivo maestro y un dispositivo esclavo, durante un proceso de emparejamiento del dispositivo maestro con un dispositivo esclavo. Según un aspecto particular, la presente técnica se aplica al emparejamiento de un periférico, tal como un terminal de pago (como dispositivo esclavo, también llamado periférico) con un dispositivo de caja registradora, tal como una caja registradora (como dispositivo maestro).
2. Técnica anterior
El dispositivo de cobro (como por ejemplo la caja registradora) y el terminal de pago son dos herramientas esenciales para el comerciante, cualquiera que sea su actividad. Se trata de dos dispositivos que, por regla general, están conectados entre sí para formar un conjunto que permite al comerciante aceptar muchos medios de pago. Las ventajas del terminal de pago son numerosas: es un dispositivo a menudo seguro, que acepta muchos medios de pago (tarjetas con chip, tarjetas de banda magnética, tarjetas sin contacto, tarjetas de prepago, billeteras instaladas en terminales móviles tales como teléfonos inteligentes) y que son bien conocidos por los clientes.
El dispositivo de cobro, por su parte, permite al comerciante anotar en un registro su actividad y centralizar las ventas, independientemente del medio de pago utilizado (tarjeta, cheque, efectivo). El dispositivo de cobro dispone por otra parte frecuentemente de un lector de código de barras que permite escanear los productos, reconocerlos, visualizar el precio y establecer el tique de caja. La caja registradora también ha obtenido beneficio de la digitalización de la economía y puede ser vinculada a un servidor, a través de una red de comunicación, con el fin de transmitir y recibir informaciones procedentes de softwares de gestión de inventario, softwares de contabilidad, etc.
En muchos comercios, el dispositivo de cobro es una caja registradora. En muchos comercios igualmente, el dispositivo de cobro y el terminal de pago están conectados entre sí. Esta conexión contribuye a la eficacia del proceso de venta. Por ejemplo, al terminar de establecer la lista de artículos a comprar, el comerciante valida el montante de la transacción. Este montante se transmite automáticamente al terminal de pago (dispositivo esclavo), que a continuación, efectúa la operación de pago de manera independiente (es decir, que la operación de pago, como tal, no está bajo el control de la caja registradora). Así, el usuario presenta su medio de pago al terminal de pago, lo que posiblemente requiera la introducción de datos adicionales (como un código PIN, por ejemplo). Cuando se valida la transacción, el terminal de pago transmite, a la caja registradora, un dato relativo al final de la transacción. Por tanto, existe un vínculo relativamente importante desde un punto de vista de la seguridad, que se establece entre la caja registradora y el terminal de pago. En efecto, se entiende que, si el terminal de pago es sustituido o modificado, sin que el comerciante se aperciba de ello, es posible modificar o falsificar el contenido de los datos que transitan entre el terminal de pago y la caja registradora en detrimento del comerciante, por ejemplo, acreditando otra cuenta que no sea la del comerciante u obteniendo de ello datos confidenciales sobre las tarjetas de pago utilizadas en el terminal de pago.
Es por esta razón por la que existe un proceso de establecimiento de vinculo seguro entre el terminal de pago y la caja registradora. Se trata de un emparejamiento que permite a la caja registradora asegurarse, teóricamente, de que el terminal de pago con el que comunica no es un terminal fraudulento. El establecimiento de un vínculo seguro entre el periférico (por ejemplo, el terminal de pago) y la caja registradora incluye la creación de un solo y único canal de comunicación seguro entre el periférico y un componente de seguridad específico, que transita a través del dispositivo de cobro (es decir, a través del sistema operativo no asegurado). El establecimiento de un vínculo seguro entre el periférico (por ejemplo, el terminal de pago) y la caja registradora también incluye la transmisión, a la caja registradora, por parte del periférico, de un mensaje de acuse de recibo. Este mensaje es transmitido por iniciativa del periférico, al final del establecimiento del vínculo seguro.
El problema reside, por una parte, en el hecho de que este proceso se implementa a través del sistema operativo no seguro de la caja registradora y por otra parte que la finalización del emparejamiento se realiza por iniciativa del terminal (del periférico).
En consecuencia, un defraudador que ha tenido éxito en espiar los intercambios de datos entre un periférico y el dispositivo de cobro puede reemplazar este periférico con un periférico fraudulento configurado para reproducir estos mismos intercambios de datos, y así obtener datos confidenciales y/o ejecutar acciones no autorizadas. El documento US 2007/116292 A1 (KURITA TARO [JP] ET AL) del 24 de mayo de 2007 (2007-05-24) describe un controlador NFC (o bluetooth), utilizado como un elemento de retransmisión (que descifra y vuelve a cifrar datos) entre el teléfono en el que se encuentra y un teléfono remoto para efectuar pagos.
El documento P Fivel: "IPP3xx Security Target Lite" de 26 de noviembre de 2010 (2010-11-26), extraído del Organismo de certificación de BSI describe un objetivo de seguridad, que se utiliza para las certificaciones de criterios comunes de seguridad que describe un sistema de pago (Punto de Interacción), así como las exigencias de seguridad que debe respetar: la protección de las interfaces con los componentes externos, tales como las cajas registradoras y su autenticación, por ejemplo mediante un identificador único.
El documento WO 2008/131133 A2 (HYPERCOM CORP [US]; WALTERS PAUL [US]; ANDERSSON ULF [SE]) de 30 de octubre de 2008 (2008-10-30) describe el cifrado utilizado entre los diferentes componentes de un terminal de pago, en particular, la pantalla, el teclado u otros periféricos y la unidad central de punto de pago en exteriores, por ejemplo, de un surtidor de combustible. La autenticación de estos periféricos se basa en la verificación de certificados criptográficos y el envío de claves de cifrado, a su vez protegidas mediante algoritmos asimétricos.
3. Resumen
La técnica propuesta no presenta al menos algunos de los inconvenientes mencionados anteriormente. La presente técnica permite en efecto implementar un emparejamiento entre periférico y dispositivo de cobro realmente seguro. Más particularmente, la presente técnica se refiere a un Procedimiento de transmisión de datos, procedimiento implementado en el seno de un entorno de ejecución seguro de un dispositivo electrónico, llamado componente de confianza, estando acoplado dicho componente de confianza a dispositivo de cobro, comprendiendo dicho procedimiento de transmisión de datos las etapas descritas en la reivindicación independiente 1.
Así, el componente de confianza puede por sí mismo verificar la validez de la solicitud que se le transmite: puede, si es necesario, detectar un intento de conexión fraudulenta por parte del dispositivo de cobro.
Dicha etapa de establecimiento de dicho segundo canal de comunicación seguro comprende:
- una etapa de obtención de un identificador de dicho periférico;
- una etapa de búsqueda, en el seno de una estructura de datos de autorización, de un dato correspondiente a dicho identificador de dicho periférico;
y cuando dicha búsqueda arroja un resultado positivo:
- una etapa de emparejamiento de dicho periférico con dicho componente de confianza, implementando un protocolo de emparejamiento predeterminado.
Así, el componente de confianza puede verificar por sí mismo la validez de la solicitud que se le transmite: puede, si es necesario, detectar un intento de conexión fraudulenta por parte del periférico.
Según un modo de realización particular, tras la etapa de establecimiento de dicho segundo canal de comunicación seguro, dicho procedimiento comprende:
- una etapa de recepción, procedente de dicho periférico, de un mensaje de confirmación de emparejamiento, comprendiendo dicho mensaje al menos un primer dato cifrado;
- una etapa de descifrado de dicho mensaje de emparejamiento, entregando al menos un dato de confirmación de emparejamiento;
- una etapa de cifrado de dicho al menos un dato de emparejamiento, entregando al menos un segundo dato cifrado; - una etapa de transmisión de dicho al menos un segundo dato cifrado con destino a dicho dispositivo de cobro. Según una característica particular, dicha etapa de recepción, procedente de dicho periférico, de un mensaje de confirmación de emparejamiento comprende una etapa de recepción de dicho al menos un primer dato cifrado procedente de dicho dispositivo de cobro, que desempeña la misión de elemento de retransmisión entre dicho periférico y dicho componente de confianza.
Según otro aspecto, la invención se refiere a un dispositivo electrónico de transmisión de datos, que dispone de un entorno de ejecución seguro, llamado componente de confianza, estando acoplado dicho componente de confianza a un dispositivo de cobro, comprendiendo dicho componente de confianza los medios descritos en la reivindicación independiente 6.
Según otro aspecto, la presente invención también se relaciona con un sistema de pago tal como se describe en la reivindicación independiente 7.
Según una implementación preferida, las diferentes etapas de los procedimientos según la invención son implementadas por uno o más softwares o programas informáticos, que comprenden instrucciones de software destinadas a ser ejecutadas por un procesador de datos de un dispositivo según la invención y estando diseñado para controlar la ejecución de las diferentes etapas de los procedimientos.
En consecuencia, la invención también se refiere a un programa, susceptible de ser ejecutado por un ordenador o por un procesador de datos, incluyendo este programa instrucciones para controlar la ejecución de las etapas de un procedimiento como el mencionado anteriormente.
Este programa puede utilizar cualquier lenguaje de programación, y estar en la forma de código fuente, código objeto, o código intermedio entre código fuente y código objeto, tal como en forma parcialmente compilada, o en cualquier otra forma deseable.
La invención también se refiere a un soporte de informaciones legible por un procesador de datos y que incluye instrucciones de un programa tal como se mencionó anteriormente.
El soporte de informaciones puede ser cualquier entidad o dispositivo capaz de almacenar el programa. Por ejemplo, el soporte puede incluir un medio de almacenamiento, tal como una ROM, por ejemplo, un CD ROM o una ROM de circuito microelectrónico, o incluso un medio de registro magnético, por ejemplo, un disquete (disco flexible) o un disco duro.
Por otra parte, el soporte de informaciones puede ser un soporte transmisible tal como una señal eléctrica u óptica, que puede encaminarse a través de un cable eléctrico u óptico, por radio o por otros medios. En particular, el programa según la invención puede descargarse de una red de tipo Internet.
Alternativamente, el soporte de informaciones puede ser un circuito integrado en el que se incorpora el programa, estando adaptado el circuito para ejecutar o para ser utilizado en la ejecución del procedimiento en cuestión.
Según un modo de realización, la invención se implementa por medio de componentes de software y/o hardware. Desde esta óptica, el término "módulo" puede corresponder en este documento, tanto a un componente de software, como a un componente de hardware, o a un conjunto de componentes de hardware y software.
Un componente de software corresponde a uno o más programas informáticos, uno o más subprogramas de un programa, o de manera más general a cualquier elemento de un programa o de un software capaz de implementar una función o un conjunto de funciones, como se describe a continuación para el módulo en cuestión. Tal componente de software es ejecutado por un procesador de datos de una entidad física (terminal, servidor, pasarela, rúter, etc.) y es susceptible de acceder a los recursos de hardware de esta entidad física (memorias, soportes de grabación, bus de comunicación, tarjetas electrónicas de entradas/salidas, interfaces de usuario, etc.).
Del mismo modo, un componente de hardware corresponde a cualquier elemento de un conjunto de hardware (o hardware) capaz de implementar una función o un conjunto de funciones, según lo que se describe a continuación para el módulo en cuestión. Puede tratarse de un componente de hardware programable o con un procesador integrado para la ejecución de software, por ejemplo, un circuito integrado, una tarjeta con chip, una tarjeta de memoria, una tarjeta electrónica para la ejecución de firmware (firmware), etc.
Cada componente del sistema descrito anteriormente implementa, bien entendido, sus propios módulos de software. Los diferentes modos de realización mencionados anteriormente pueden combinarse entre sí para la implementación de la invención.
4. Dibujos
Otras características y ventajas de la invención aparecerán más claramente con la lectura de la siguiente descripción de un modo de realización preferente, dado a modo de ejemplo sencillo, ilustrativo y no limitativo, y de los dibujos adjuntos, entre los cuales:
La figura 1 presenta la manera en la que se realiza el intercambio de datos, entre un terminal de pago y una caja registradora con la técnica anterior;
La figura 2 es una breve ilustración de la técnica propuesta;
La figura 3 describe un modo de realización de una técnica de transmisión de datos, en un sistema de pago;
La figura 4 describe brevemente la arquitectura de un componente de confianza;
La figura 5 describe brevemente la arquitectura de un periférico, tal como un terminal de pago;
La figura 6 describe brevemente la arquitectura de un dispositivo de cobro, tal como una caja registradora.
5. Descripción
5.1. Recordatorio del principio
Como se ha expuesto anteriormente, el principio general de la técnica propuesta consiste en implementar un elemento de retransmisión seguro entre el periférico y el dispositivo de cobro.
Para lo que antecede y lo que sigue, se considera que:
- el dispositivo de cobro es un dispositivo que comprende medios para la ejecución de un sistema operativo (por ejemplo, Linux™, Windows™), y que una aplicación de cobro es ejecutada por este sistema operativo para efectuar las tareas de toma de pedidos y de cobro;
- el componente de confianza es un dispositivo de seguridad; puede estar, o bien integrado directamente en una placa base del dispositivo de cobro (y en este caso formar parte de este dispositivo), o bien estar vinculado al dispositivo de cobro (por ejemplo, conectado en un puerto USB o en otra interfaz del dispositivo de cobro); el componente de confianza implementa una aplicación de confianza, adoptando esta aplicación la forma de un proceso ejecutado por el componente de confianza;
- el periférico es un dispositivo que participa en el funcionamiento de la aplicación de cobro (ratón, teclado, escáner de código de barras, terminal de pago) y que está conectado (o que puede ser conectado) al dispositivo de cobro a través de la aplicación de cobro;
En la técnica anterior, la caja registradora (o la aplicación de cobro) actúa como un elemento de retransmisión (proxy) entre el terminal de pago y el componente (o aplicación) de confianza. El procedimiento de transmisión de datos de la técnica anterior simplemente realiza una transmisión de datos segura entre el componente de confianza y el terminal de pago. La figura 1 explica claramente el funcionamiento del procedimiento de transmisión de datos de la técnica anterior. El sistema de pago comprende una caja registradora (CRA), un componente de confianza (TC) y un terminal de pago (TERM). Cuando desea utilizar el terminal de pago (TERMP), la caja registradora (CRA) transmite (1) una solicitud en este sentido al terminal de pago (TERMP). El componente de confianza (TC) establece (2) un canal de comunicación seguro entre él mismo y el terminal de pago (TERMP). Al final de este establecimiento, el propio terminal de pago (TERMP) (3) confirma a la caja registradora el establecimiento del canal de comunicación seguro.
Posteriormente, cuando el periférico desea transmitir un dato al dispositivo de cobro, efectúa una transmisión de este dato al componente de confianza. El componente de confianza recibe este dato, lo cifra y lo retransmite al periférico. Luego, el periférico transmite este dato cifrado (recibido del componente de confianza) al dispositivo de cobro. Estos intercambios entre el componente de confianza y el periférico transitan por mediación del dispositivo de cobro, ya que se encuentra en el seno del entorno de ejecución no seguro (en el que funciona la aplicación de cobro) donde las interfaces de comunicación (por ejemplo, red, USB, Wifi, Bluetooth) están disponibles y utilizables. El componente de confianza no tiene acceso directo a estas interfaces de comunicación y, por lo tanto, no puede interactuar directamente con el periférico. Así, de manera relativamente contraproducente, el dispositivo de cobro “retransmite”, pero de manera imperfecta, los datos transmitidos entre el periférico y el componente de confianza.
Así, en la técnica anterior, si el dispositivo es fraudulento, no se establecerá el canal seguro entre el componente de confianza y el periférico, pero el dispositivo de cobro (y la aplicación de cobro) no tiene posibilidad de saberlo, ya que es el periférico el que, en última instancia le indica a la aplicación de cobro que está correctamente conectada. Por tanto, basta que el atacante “reproduzca” datos “captados” previamente para crear una ilusión y hacer creer a la aplicación de cobro que todo ha sucedido correctamente.
El principio del elemento de retransmisión propuesto en la presente técnica es diferente de la técnica anterior: consiste en establecer un primer canal de comunicación seguro entre el componente de confianza y el dispositivo de cobro y luego en establecer un segundo canal seguro entre el componente de confianza y el periférico (por ejemplo, el periférico).
Este principio se describe con relación a la figura 2. En primer lugar, el dispositivo de cobro (DEC) se empareja con el componente de confianza (TC) para crear un primer canal (1) de comunicación seguro. En segundo lugar, tras la creación del primer canal (1) de comunicación seguro, el dispositivo de cobro transmite una solicitud (2) de emparejamiento al periférico (PERIPH). Esta solicitud (2), como se explica a continuación, contiene un dato (DS) conocido del dispositivo de cobro. Al utilizar este dato en particular, el periférico se empareja con el componente de confianza (TC) para crear un segundo canal (3) de comunicación seguro. La confirmación del establecimiento del canal seguro ya no se transmite directamente por el periférico al dispositivo de cobro. En su lugar, esta confirmación se transmite al componente de confianza, que retransmite esta confirmación al dispositivo de cobro.
Posteriormente, cualquier dato (d) procedente del periférico (PERIPH) y destinado al dispositivo de cobro (DEC) es transmitido (4) al componente de confianza (TC) en este segundo canal (3) de comunicación seguro. El componente de confianza extrae el dato recibido y lo retransmite (5) utilizando el primer canal (1) de comunicación seguro al dispositivo de cobro (DEC).
De esta manera, resulta difícil operar directamente una transmisión de datos entre el periférico y el dispositivo de cobro. La transmisión de un dato se encamina necesariamente al componente de confianza.
El enlace se puede calificar de “doble etapa”, en cierto sentido, porque:
- la creación del primer canal de comunicación seguro entre el dispositivo de cobro y el componente de confianza permite intercambiar datos directamente: la aplicación de cobro que se ejecuta en el sistema operativo del dispositivo de cobro puede entonces intercambiar datos, de una manera segura, directamente con el proceso que es ejecutado por el componente de confianza;
- la creación del segundo canal de comunicación seguro entre el periférico y el componente de confianza permite que el componente de confianza reciba los datos que provienen del periférico; sin embargo, evita que la aplicación de confianza retransmita estos datos al periférico (como en la técnica anterior) ya que el primer canal seguro de comunicación puede utilizarse directamente para esta función de transmisión con destino al dispositivo de cobro.
Así, se entiende que el componente de confianza desempeña la misión de elemento de retransmisión seguro entre el periférico y el dispositivo de cobro; se trata en cierto modo de la primera etapa del elemento de retransmisión. La segunda etapa consiste en la función de encaminamiento implementada en el dispositivo de cobro: en efecto, el componente de confianza no puede recibir directamente los datos que provienen del periférico, ya que no tiene sus propias interfaces de comunicación con el exterior. En consecuencia, los datos que provienen del periférico y que le están destinados son encaminados por el dispositivo de cobro.
La seguridad se incrementa porque el periférico ya no es capaz de transmitir directamente datos al dispositivo de cobro: para ello debe pasar necesariamente por el componente de confianza y por lo tanto no puede reutilizar datos previamente intercambiados con el dispositivo de cobro.
5.2. Descripción de un modo de realización
En este modo de realización se describe una implementación de la presente técnica aplicada a un sistema de pago. Este modo de realización se describe en relación con la figura 3. Un sistema de pago (SYSP) según la presente invención comprende una caja registradora (CRA) como dispositivo de cobro, un terminal de pago (TERMP) y al menos un componente que pone a disposición un entorno de ejecución seguro (componente de confianza). En esta implementación, el terminal de pago (TERMP) se considera como un periférico, la caja registradora (CRA) implementa una aplicación de cobro. La caja registradora (CRA), en este modo de realización, es un dispositivo electrónico, construido sustancialmente idéntico a un ordenador. Comprende un procesador, una memoria de acceso aleatorio, una memoria intermedia, un conjunto de interfaces de comunicación (USB, Bluetooth, Wifi, Ethernet) y una memoria masiva. El conjunto de estos componentes está montado en una placa base. La caja registradora (CRA) también comprende una pantalla y al menos un dispositivo de entrada (pantalla táctil, teclado). La caja registradora (CRA) también incluye, opcionalmente, un lector de código de barras (unidimensional o bidimensional, por ejemplo). El conjunto de los dispositivos conectados a la caja registradora (CRA) (dispositivo de entrada, interfaz, etc.) pueden, dependiendo de los modos de realización, ser considerados como periféricos. Sin embargo, en el presente caso, solo se describe el caso de un terminal de pago (TERMP) como dispositivo periférico.
La caja registradora (CRA) también incorpora al menos un componente que pone a disposición un entorno de ejecución seguro. En el modo de realización aquí presentado, este componente está directamente integrado en la placa base de la caja registradora (CRA) y se denomina componente de confianza (TC). En otros modos de realización, una mochila o una memoria USB también podrían considerarse como un entorno de ejecución seguro y ser conectado a la caja registradora (CRA) (conectado por ejemplo dentro de un conector interno, en la placa base, en un conector dedicado). Desde el punto de vista de seguridad física, es preferible que el entorno de ejecución seguro no sea accesible desde el exterior para evitar fraudes que consistirían en sustituirlo.
En este modo de realización, el terminal de pago (TERMP) se conecta a la caja registradora (CRA) por medio de la interfaz bluetooth de ésta. Esta interfaz tiene la ventaja, por una parte, de ser inalámbrica y, por otra parte, de ser de corto alcance, lo que garantiza que unos terceros mecanismos de seguridad pueden ser implementados en caso de alejamiento prolongado desde el terminal de pago (TERMP). El canal de comunicación seguro entre el terminal de pago (TERMP) y el componente de confianza (TC) se establece por tanto a través de la interfaz bluetooth.
El procedimiento de transmisión de datos implementado es el mismo que el descrito anteriormente.
En particular, cuando se inicia la caja registradora (CRA), ésta transmite (301), al componente de confianza (TC), una solicitud (RSC#1) de establecimiento del primer canal de comunicación seguro (SC#1). El componente de confianza (TC), sobre la base de la solicitud recibida (RSC#1) establece (302) el canal de transmisión seguro. Para ello, el componente de confianza (TC) extrae un identificador, de la solicitud recibida (RSC#1), y busca en una lista, denominada lista blanca, la presencia de dicho identificador. Si logra identificar el identificador en la lista blanca, se establece el canal de comunicación seguro.
En una variante de este modo de realización, el identificador de la caja registradora (CRA) está contenido en un dato cifrado con una clave privada de la caja registradora (CRA). Este dato cifrado es descifrado (con ayuda de la clave pública de la caja registradora (CRA)) por el componente de confianza (TC) y entrega un dato sin cifrar (identificándolo como tal). El componente de confianza (TC) luego efectúa la búsqueda de este dato sin cifrar en la lista blanca.
En otra variante de este modo de realización, el identificador de la caja registradora (CRA) está contenido en un dato cifrado con una clave pública del componente de confianza (TC). Este dato cifrado es descifrado (utilizando la clave privada del componente de confianza (TC)) por el componente de confianza (TC) y entrega un dato sin cifrar. El componente de confianza (TC) efectúa entonces la búsqueda de este dato sin cifrar en la lista blanca.
En otra variante de este modo de realización, el identificador de la caja registradora (CRA) está contenido en un dato cifrado con una clave de sesión, compartida entre el componente de confianza (TC) y la caja registradora (CRA). Este dato cifrado es descifrado (con ayuda de la clave de sesión privada) por el componente de confianza (TC) y entrega un dato sin cifrar. El componente de confianza (TC) efectúa entonces la búsqueda de este dato sin cifrar en la lista blanca. La clave de sesión se renueva periódicamente, por ejemplo, cada vez que se pone en marcha la caja registradora (CRA) o a intervalos regulares.
Una vez que se estableció el primer canal seguro, puede establecerse una comunicación de datos (por ejemplo, paquetes de datos salidos de un protocolo de comunicación predeterminado) desde el componente de confianza (TC) hacia la caja registradora (CRA) (y viceversa).
De ello se sigue una segunda etapa, que comprende la creación del segundo canal seguro, entre el terminal de pago (TERMP) y el componente de confianza (TC). Esta segunda etapa se inicia por la transmisión (303), por la caja registradora (CRA), al terminal de pago (TERMP), de una instrucción de emparejamiento (IApp). Esta instrucción de emparejamiento, según la presente técnica, va acompañada de un dato de inicialización de sesión (DS) (por ejemplo, un valor de contador), determinado por la caja registradora (CRA). Este dato de inicialización de sesión (DS) solo lo conoce la caja registradora (CRA). Al recibir esta instrucción de emparejamiento, el terminal de pago (TERMP) inicia el proceso de emparejamiento y establece, con el componente de confianza (TC), el segundo canal de comunicación seguro. El terminal de pago (TERMP) transmite (304) al componente de confianza (TC) una solicitud (RSC#2) de establecimiento del segundo canal (SC#2) de comunicación seguro.
El componente de confianza (TC), en base a la solicitud recibida (RSC#2) por el terminal de pago (TERMP), establece el canal de transmisión seguro: el componente de confianza (TC) extrae, a partir de la solicitud recibida (RSC#2), un identificador y busca en una lista, llamada lista blanca, la presencia de este identificador. Si logra identificar el identificador en la lista blanca, se establece el canal (305) de comunicación seguro. Las variantes de transmisión de los identificadores para el establecimiento de este segundo canal de comunicación son las mismas que las presentadas anteriormente para el primer canal de comunicación.
Una vez que se realiza el emparejamiento (y, por tanto, una vez establecida la comunicación segura con el componente de confianza (TC)), el terminal de pago (TERMP) permanece en un llamado estado de bloqueo (es decir, que es incapaz de realizar una transacción de pago). Durante este mantenimiento en estado de bloqueo, el terminal de pago (TERMP) construye un mensaje (MSG) destinado a la caja registradora (CRA). Este mensaje comprende el dato (DS) de inicialización de sesión (por ejemplo, un contador de inicialización de sesión o un contador secuencial de mensajes) recibido previamente de la caja registradora (CRA), así como un número aleatorio. Se especifica que el dato de inicialización de sesión (por ejemplo, el contador) debe ser modificado (incrementado) en cada nuevo mensaje generado por el periférico hacia la caja, para evitar un ataque por repetición durante la sesión.
El terminal de pago (TERMP) transmite (306) este mensaje al componente de confianza (TC); el mensaje (MSG) comprende una instrucción de redireccionamiento (IRd) a la caja registradora (CRA); luego, el terminal de pago (TERMP) pasa al llamado estado de “transaction-ready” (cuya traducción del inglés es “listo para la transacción”).
Al recibir este mensaje (MSG), el componente de confianza (TC) efectúa el tratamiento de éste y luego lo retransmite (307) en el primer canal de transmisión seguro (SC#1). La caja registradora (CRA) recibe (y/o intercepta) este mensaje y lo descifra.
La caja registradora (CRA) tiene por tanto la información según la cual el terminal de pago está correctamente conectado (e identificado) dentro del sistema de pago (SYSP). De manera complementaria y opcional, el procedimiento comprende una etapa (308) de transmisión, por parte de la caja registradora (CRA) al terminal de pago (TERMP) de un mensaje de aceptación (Accp). Este mensaje puede incluir ventajosamente el “nonce” (número aleatorio), previamente transmitido por el terminal de pago al inicializar la conexión.
En un modo de realización particular de la presente técnica, la etapa (306) de transmisión del mensaje (MSG) con destino al componente de confianza (TC) comprende:
- una etapa de creación de un primer mensaje (MSG1) de confirmación de emparejamiento destinado al dispositivo de cobro:
o este primer mensaje (MSG1) comprende: un identificador (MsgID) de mensaje y de los datos cifrados (PayIENc);
o los datos cifrados (PayENC) son el resultado del cifrado, por el terminal de pago, de los datos que en última instancia están destinados al dispositivo de cobro, y que son datos de confirmación de emparejamiento;
o así, los datos que se cifran son: un identificador (MsgID2) de mensaje, un contador, el dato (DS) de inicialización de sesión y otros datos de protocolo; el segundo identificador (MsgID2) de mensaje puede ser idéntico al primer identificador (MsgID) de mensaje: por lo tanto, se vinculan de manera fuerte el comando del periférico y la respuesta del dispositivo de cobro;
- una etapa de transmisión del primer mensaje (MSG1) destinado al dispositivo de cobro, siendo transmitido este primer mensaje al dispositivo de cobro mediante el uso del medio de comunicación que permite la transmisión de datos entre el terminal y el dispositivo de cobro (es decir, en nuestro caso, el bluetooth);
- tras la recepción de este primer mensaje por el dispositivo de cobro, una etapa de extracción de los datos cifrados (PayENc);
- una etapa de transmisión de estos datos cifrados, en forma de un segundo mensaje (MSG2) al componente de confianza; se observa que como los datos se cifran por el terminal de pago para ser transmitidos al componente de confianza, el dispositivo de cobro sólo desempeña, en esta etapa, un papel de enlace: el dispositivo de cobro no puede tomar conocimiento de datos cifrados ya que se trata de datos cifrados por el terminal de pago y destinados al componente de confianza;
- a la recepción de este segundo mensaje (MSG2), el componente de confianza descifra los datos cifrados (PayENC) y obtiene transitoriamente datos sin cifrar, que vuelve a cifrar (PayENC2) utilizando los materiales criptográficos necesarios;
A continuación, se implementa la etapa 307 de transmisión para retransmitir los datos cifrados al dispositivo de cobro. El establecimiento de un canal de comunicación seguro se realiza de la siguiente manera (el ejemplo tomado es entre un periférico y los componentes de confianza). Antes del establecimiento, el componente de confianza se aprovisiona con una lista blanca que contiene una tupla {PeripheralIdentifier, PeripheralPublicKey} para cada periférico autorizado “PeripheralIdentifier” es el identificador del periférico y “PeripheralPublicKey” es la clave pública del dispositivo. Luego, el establecimiento del canal como tal comprende las siguientes etapas:
- el periférico genera un nonce (número aleatorio) y transmite una solicitud de emparejamiento pairing request = { PeripheralIdentifier, PeripheralNonce};
- el componente de confianza busca en la lista blanca la "PeripheralPublicKey" vinculada al "PeripheralIdentifier" recibido
- el applet genera un nonce (número aleatorio) y transmite una respuesta de emparejamiento pairing response= PeripheralPublicKey. ENC(PeripheralNonce//AppletlNonce);
- el periférico descifra esta "respuesta de emparejamiento" (“pairing response”) con su clave privada “PeripheralPrivateKey”
- El periférico y el applet generan cada uno por su lado la clave del Canal Seguro mediante la fórmula SHA-256(SHA-256(PeripheralNonce | | AppletlNonce))
5.3. Otras características y ventajas
Se describe, en relación con la figura 4, un periférico implementado para transmitir datos en un canal de comunicación seguro, según el procedimiento descrito anteriormente.
Por ejemplo, el periférico comprende una memoria 41 constituida de una memoria intermedia, una unidad 42 de tratamiento, equipada por ejemplo con un microprocesador, y controlada por el programa informático 43, implementando un procedimiento de transmisión de datos en un canal de comunicación seguro. En la inicialización, las instrucciones de código del programa informático 43 se cargan, por ejemplo, en una memoria antes de ser ejecutadas por el procesador de la unidad 42 de tratamiento. La unidad 42 de tratamiento recibe como entrada una instrucción de emparejamiento de parte de un dispositivo de cobro. El microprocesador de la unidad 42 de tratamiento implementa las etapas del procedimiento de transmisión, según las instrucciones del programa informático 43 para establecer un canal de comunicación seguro con un componente de confianza (que está acoplado con el dispositivo de cobro), siendo establecido el canal a través del dispositivo de cobro (que desempeña el papel de elemento de retransmisión - de proxy -); una vez establecido este canal de comunicación seguro, el periférico construye un mensaje (cuyo contenido está cifrado) destinado al dispositivo de cobro, siendo retransmitido dicho mensaje por el componente de confianza.
Para ello, el periférico comprende, además de la memoria intermedia 41, medios de comunicación, tales como módulos de comunicación de red, medios de transmisión de datos y eventualmente un procesador de cifrado dedicado.
El conjunto de estos medios puede presentarse en forma de un procesador particular implementado dentro del periférico, siendo dicho procesador un procesador seguro. Según un modo de realización particular, este periférico implementa una aplicación particular que se encarga de llevar a cabo el cifrado y la transmisión de datos, siendo esta aplicación por ejemplo proporcionada por el fabricante del procesador en cuestión para permitir el uso de dicho procesador. Para ello, el procesador comprende medios de identificación únicos. Estos medios únicos de identificación permiten asegurar la autenticidad del procesador.
Por otra parte, el periférico comprende además un identificador, siendo utilizado dicho identificador por el componente de confianza durante la creación del canal de comunicación seguro para autorizar o no la conexión del periférico al dispositivo de cobro.
Se describe, en relación con la figura 5, un componente de confianza implementado para recibir datos cifrados procedentes de un dispositivo emisor, según el procedimiento descrito anteriormente.
Por ejemplo, el componente de confianza comprende una memoria 51 que comprende una memoria intermedia, una unidad 52 de tratamiento, equipada por ejemplo con un microprocesador, y controlada por el programa informático 53, implementando un procedimiento de recepción de datos cifrados,
A la inicialización, las instrucciones de código del programa informático 53 se cargan, por ejemplo, en una memoria antes de ser ejecutadas por el procesador de la unidad 52 de tratamiento. La unidad 52 de tratamiento recibe como entrada solicitudes de establecimiento de canales seguros (procedentes de un periférico y/o de un dispositivo de cobro) y posteriormente recibe como entrada datos cifrados que proceden de estos equipos. El microprocesador de la unidad 52 de tratamiento implementa las etapas del procedimiento de transmisión de datos, según las instrucciones del programa informático 53 para comprobar la validez de las solicitudes de establecimiento de canales seguros (en función de los identificadores proporcionados en estas solicitudes).
Para ello, el dispositivo comprende, además de la memoria intermedia 51, medios de comunicación, medios de transmisión de datos y eventualmente un procesador de cifrado independiente.
El conjunto de estos medios puede presentarse en forma de un procesador particular que constituye el componente de confianza, siendo dicho procesador un procesador seguro y/o haciendo uso de una memoria segura (Msec). Según un modo de realización particular, este componente de confianza implementa una aplicación particular que se encarga de realizar la recepción y el control de los datos recibidos, siendo esta aplicación por ejemplo proporcionada por el fabricante del procesador en cuestión para permitir el uso de dicho procesador. Para ello, el procesador comprende medios de identificación únicos. Estos medios únicos de identificación permiten asegurar la autenticidad del procesador.
Por otra parte, el componente de confianza comprende además medios para obtener la clave de cifrado, por ejemplo, las llamadas claves de cifrado de “sesión” que se derivan, por ejemplo, de claves maestras, registradas dentro del propio componente.
En función de los modos de realización, el componente de confianza también comprende medios para gestionar una lista de dispositivos autorizados a establecer canales de transmisión seguros, denominada lista blanca. Más particularmente, el componente de confianza puede comprender una primera memoria física, de un tamaño predeterminado, en la que se inserta una lista. El componente de confianza también puede comprender una segunda memoria física, de un tamaño predeterminado, en la que se insertan bloques de datos cifrados (o descifrados) después del tratamiento de recepción de estos datos. Estos datos también pueden ser insertados y gestionados en la memoria segura (Msec) del componente de confianza cuando éste esté provisto de ella. Esto permite hacer aún más compleja la tarea de intercepción de datos y la de comprensión del funcionamiento del componente de confianza.
Un servidor de transmisión distante también puede transmitir la lista blanca (a través de un proxy/componente ejecutado en Rich OS) en la memoria segura del componente de confianza. Esta comunicación puede entonces ser protegida por un canal seguro de naturaleza diferente de los canales seguros utilizados para el emparejamiento.
Se describe, en relación con la figura 6, un dispositivo de cobro configurado para recibir datos cifrados procedentes de un componente de confianza, según el procedimiento descrito anteriormente.
Por ejemplo, el dispositivo de cobro comprende una memoria 61 que comprende una memoria intermedia, una unidad 62 de tratamiento, equipada por ejemplo con un microprocesador, y controlada por el programa informático 63, implementando un procedimiento de recepción de datos cifrados,
En la inicialización, las instrucciones de código del programa informático 63 se cargan, por ejemplo, en una memoria antes de ser ejecutadas por el procesador de la unidad 62 de tratamiento. La unidad 62 de tratamiento recibe como entrada, en particular, datos cifrados procedentes de un componente de confianza, datos recibidos después de la inicialización del dispositivo de cobro y de la transmisión, por este dispositivo, de una solicitud de establecimiento de un canal de comunicación seguro con el componente de confianza. El microprocesador de la unidad 62 de tratamiento implementa las etapas del procedimiento de transmisión de datos, según las instrucciones del programa informático 63 para recibir los datos procedentes del componente de confianza y para encaminar los datos procedentes del periférico hacia el componente de confianza.
Para ello, el dispositivo comprende, además de la memoria intermedia 61, medios de comunicación (tales como medios de comunicación en red), medios de transmisión de datos y eventualmente un procesador de cifrado independiente.
El conjunto de estos medios puede adoptar la forma de un procesador particular implementado dentro del dispositivo de cobro, siendo dicho procesador un procesador seguro y/o haciendo uso de una memoria segura (Msec). Según un modo de realización particular, este dispositivo de cobro implementa una aplicación particular que se encarga, en particular, de la recepción y del control de los datos recibidos, siendo esta aplicación por ejemplo proporcionada por el fabricante del procesador en cuestión para permitir el uso de dicho procesador. Para ello, el procesador comprende medios de identificación únicos. Estos medios únicos de identificación permiten asegurar la autenticidad del procesador.
Por otra parte, el dispositivo de cobro comprende además medios para la obtención de clave de cifrado, por ejemplo, claves de cifrado denominadas de “sesión” que se derivan por ejemplo de claves maestras, grabadas dentro del propio dispositivo de cobro.
En función de los modos de realización, el dispositivo de cobro también comprende medios de gestión de datos seguros. Más particularmente, el dispositivo de cobro puede comprender una primera memoria física, de un tamaño predeterminado, en la que se registran los datos procedentes de los periféricos antes de ser encaminados. El dispositivo de cobro también puede comprender una segunda memoria física, de un tamaño predeterminado, en la que se insertan bloques de datos cifrados (o descifrados) después del tratamiento de recepción de estos datos procedentes del componente de confianza. Estos datos también pueden ser introducidos y gestionados en la memoria segura (Msec) del dispositivo de cobro cuando éste dispone de ella. Esto permite hacer aún más compleja la tarea de intercepción de los datos y la de comprensión del funcionamiento del dispositivo de cobro.

Claims (8)

REIVINDICACIONES
1. Procedimiento de transmisión de datos, implementado en el seno de un entorno de ejecución seguro de un dispositivo electrónico, denominado componente de confianza (TC), estando acoplado dicho componente de confianza a una caja registradora (CRA, DEC), comprendiendo dicho procedimiento de transmisión de datos las siguientes etapas:
- una etapa (301) de recepción, procedente de la caja registradora (DEC, CRA), de una primera solicitud (RSC#1) de establecimiento de un primer canal (SC#1) de comunicaciones seguro con dicho componente de confianza (TC);
- una etapa (302) de establecimiento de dicho primer canal (SC#1) de comunicaciones seguro entre el componente de confianza (TC) y la caja registradora (CRA), con ayuda de al menos un identificador de dicha caja registradora contenido en dicha primera solicitud (RSC#1), después de una primera etapa de búsqueda positiva, dentro de una estructura de datos de autorización aprovisionada previamente en el componente de confianza, de un dato correspondiente a dicho identificador de dicha caja registradora;
- una etapa (304) de recepción, procedente de un terminal de pago (PERIPH, TERMP), de una segunda solicitud (RSC#2) de establecimiento de un segundo canal (SC#2) de comunicaciones seguro con dicho componente de confianza (TC);
- una etapa (305) de establecimiento de dicho segundo canal (SC#2) de comunicaciones seguro, entre el componente de confianza (TC) y el terminal de pago (PERIPH, TERMP) con ayuda de al menos un identificador del terminal de pago, contenido en dicha segunda solicitud, después de una segunda etapa de búsqueda positiva, dentro de la estructura de datos de autorización, de un dato correspondiente a dicho identificador del terminal de pago;
- una etapa de transmisión, por el terminal de pago, de un dato destinado a dicha caja registradora que comprende el descifrado por el componente de confianza del dato procedente del segundo canal seguro, el cifrado de nuevo y el envío del dato sobre el primer canal seguro.
2. Procedimiento de transmisión de datos según la reivindicación 1, caracterizado por que dicha etapa de establecimiento de dicho primer canal de comunicaciones seguro comprende, cuando dicha primera búsqueda arroja un resultado positivo:
- una etapa de emparejamiento de dicha caja registradora con dicho componente de confianza, implementando un protocolo de emparejamiento predeterminado.
3. Procedimiento de transmisión de datos según la reivindicación 1, caracterizado por que dicha etapa de establecimiento de dicho segundo canal de comunicaciones seguro comprende, cuando dicha segunda búsqueda arroja un resultado positivo:
- una etapa de emparejamiento de dicho terminal de pago con dicho componente de confianza, implementando un protocolo de emparejamiento predeterminado.
4. Procedimiento de transmisión de datos según la reivindicación 1 caracterizado por que, posteriormente a la etapa de establecimiento de dicho segundo canal de comunicaciones seguro, dicho método comprende:
- una etapa de recepción de un mensaje de confirmación de emparejamiento procedente de dicho terminal de pago, comprendiendo dicho mensaje al menos un primer dato cifrado;
- una etapa de descifrado de dicho mensaje de emparejamiento que entrega al menos un dato de confirmación de emparejamiento;
- una etapa de cifrado de dicho al menos un dato de emparejamiento, entregando al menos un segundo dato cifrado; - una etapa de transmisión de dicho al menos un segundo dato cifrado con destino a dicha caja registradora.
5. Procedimiento según la reivindicación 4, caracterizado por que dicha etapa de recepción de un mensaje de confirmación de emparejamiento procedente de dicho terminal de pago comprende una etapa de recepción de dicho al menos un primer dato cifrado procedente de dicha caja registradora, que desempeña el papel de elemento de retransmisión entre dicho terminal de pago y dicho componente de confianza.
6. Dispositivo electrónico de transmisión de datos, que dispone de un entorno de ejecución seguro, denominado componente de confianza, estando acoplado dicho componente de confianza (TC) con una caja registradora (CRA, DEC), comprendiendo dicho componente de confianza medios de transmisión de datos destinados a dicha caja registradora y de al menos un terminal de pago (PERIPH, TERMP), estando el componente de confianza caracterizado por que comprende:
- medios de recepción, procedente de la caja registradora, de una primera solicitud de establecimiento de un primer canal seguro de comunicaciones (SC#1) con dicho componente de confianza;
- medios de establecimiento, entre el componente de confianza (TC) y la caja registradora (CRA), de dicho primer canal de comunicaciones seguro mediante un identificador de dicha caja registradora contenido en dicha primera solicitud, tras la implementación de medios de búsqueda, en el seno de una estructura de datos de autorización prevista previamente en el componente de confianza, de un dato correspondiente a dicho identificador de dicho terminal de pago, entregando la implementación un resultado positivo;
- medios de recepción, procedente de dicho terminal de pago, de una segunda solicitud de establecimiento de un segundo canal seguro de comunicaciones con dicho componente de confianza;
- medios de establecimiento de dicho segundo canal de comunicaciones seguro, entre el componente de confianza (TC) y el terminal de pago, con ayuda de al menos un identificador del terminal de pago, contenido en dicha segunda solicitud, interviniendo dichos medios después de la implementación de medio de búsqueda, en el seno de la estructura de datos de autorización, de un dato correspondiente a dicho identificador del terminal de pago, entregando la implementación un resultado positivo,
- medios de transmisión de datos que comprenden medios de recepción y de descifrado de datos del segundo canal de comunicaciones seguro, y de cifrado y de envío de datos en el primer canal seguro.
7. Sistema de pago del tipo que comprende una caja registradora y un terminal de pago, estando configurado dicho terminal de pago para realizar operaciones de pago por cuenta de dicha caja registradora, sistema caracterizado por que comprende un dispositivo electrónico de transmisión de datos, denominado componente de confianza según la reivindicación 6.
8. Producto de programa informático descargable desde una red de comunicaciones y/o almacenado en un medio legible por ordenador y/o ejecutable por un microprocesador, caracterizado por que comprende instrucciones de código de programa para la ejecución de un procedimiento de transmisión de datos según las reivindicaciones 1 a 5, cuando es ejecutado por un procesador.
ES17701547T 2016-02-02 2017-01-27 Procedimiento de establecimiento de comunicación segura entre un terminal de pago y un dispositivo de cobro Active ES2906181T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1650827A FR3047376B1 (fr) 2016-02-02 2016-02-02 Procede de transmission de donnees, dispositif, systeme et programme d'ordinateur correspondant
PCT/EP2017/051864 WO2017133988A1 (fr) 2016-02-02 2017-01-27 Procede d'etablissement de communication securise entre un terminal de paiement et un dispositif d'encaissement

Publications (1)

Publication Number Publication Date
ES2906181T3 true ES2906181T3 (es) 2022-04-13

Family

ID=55451486

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17701547T Active ES2906181T3 (es) 2016-02-02 2017-01-27 Procedimiento de establecimiento de comunicación segura entre un terminal de pago y un dispositivo de cobro

Country Status (6)

Country Link
US (1) US11868992B2 (es)
EP (1) EP3411823B1 (es)
CA (1) CA3013474A1 (es)
ES (1) ES2906181T3 (es)
FR (1) FR3047376B1 (es)
WO (1) WO2017133988A1 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110232568B (zh) * 2018-03-06 2023-09-05 ***通信集团四川有限公司 移动支付方法、装置、计算机设备及可读存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4435076B2 (ja) * 2005-11-18 2010-03-17 フェリカネットワークス株式会社 携帯端末,データ通信方法,およびコンピュータプログラム
EP2147565A4 (en) * 2007-04-17 2011-10-19 Hypercom Corp METHODS AND SYSTEMS FOR SECURE AUTHENTICATION AND KEY EXCHANGE
US20140279479A1 (en) * 2011-10-12 2014-09-18 C-Sam, Inc. Nfc paired bluetooth e-commerce

Also Published As

Publication number Publication date
EP3411823B1 (fr) 2021-12-15
FR3047376B1 (fr) 2018-11-09
WO2017133988A1 (fr) 2017-08-10
CA3013474A1 (fr) 2017-08-10
US20190043044A1 (en) 2019-02-07
US11868992B2 (en) 2024-01-09
FR3047376A1 (fr) 2017-08-04
EP3411823A1 (fr) 2018-12-12

Similar Documents

Publication Publication Date Title
KR102519990B1 (ko) 인증 장치 및 방법
US8209753B2 (en) Universal secure messaging for remote security tokens
ES2881873T3 (es) Procedimiento de protección de una ficha de pago
ES2970201T3 (es) Sistema de identificación personal con tarjeta sin contacto
EP3050247B1 (en) Method for securing over-the-air communication between a mobile application and a gateway
RU2665869C2 (ru) Системы и способы привязки устройств к счетам пользователя
ES2739896T5 (es) Acceso seguro a datos de un dispositivo
KR100951142B1 (ko) 무선 네트워크를 이용해 신용 카드 개인화를 가능하게 하는방법, 시스템 및 모바일 장치
ES2699925T3 (es) Procedimiento de autenticación de un usuario, servidor, terminal de comunicaciones y programas correspondientes
EP3234893B1 (en) Securing contactless payment performed by a mobile device
KR20160119803A (ko) 인증 시스템 및 방법
NZ556670A (en) Loging into a wireless network from external device using public/private keys exchanged over a short distance
GB2512595A (en) Integrated contactless mpos implementation
KR20080007564A (ko) 이동 단말에 장착된 sim 카드에 액세스하기 위한 방법및 장치
JP2002344438A (ja) 鍵共有システム及び装置並びにプログラム
GB2522445A (en) Secure mobile wireless communications platform
CN110932951B (zh) 一种智能家居控制方法和装置
US10334431B2 (en) Near field communications (NFC)-based offload of NFC operation
ES2906181T3 (es) Procedimiento de establecimiento de comunicación segura entre un terminal de pago y un dispositivo de cobro
KR101295038B1 (ko) 보안 리더기를 이용한 공인 인증서 사용방법
ES2884032T3 (es) Procedimiento de procesamiento de datos de transacción, terminal de comunicación, lector de tarjetas y programa correspondiente
JP2017073609A (ja) 周辺機器、無線通信チップ、アプリケーションプログラム、情報処理システム、および情報処理方法
US20170026366A1 (en) Providing a virtual connection for transmitting application data units
KR101844993B1 (ko) 전자카드 결제 방법 및 시스템
Kasper et al. Rights management with NFC smartphones and electronic ID cards: A proof of concept for modern car sharing