ES2918011T3 - Sistema y método para la generación, almacenamiento, administración y uso de uno o más secretos digitales en asociación con un dispositivo electrónico portátil - Google Patents

Sistema y método para la generación, almacenamiento, administración y uso de uno o más secretos digitales en asociación con un dispositivo electrónico portátil Download PDF

Info

Publication number
ES2918011T3
ES2918011T3 ES17783303T ES17783303T ES2918011T3 ES 2918011 T3 ES2918011 T3 ES 2918011T3 ES 17783303 T ES17783303 T ES 17783303T ES 17783303 T ES17783303 T ES 17783303T ES 2918011 T3 ES2918011 T3 ES 2918011T3
Authority
ES
Spain
Prior art keywords
thim
electronic device
portable electronic
memory
applets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17783303T
Other languages
English (en)
Inventor
Hans Reisgies
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sequent Software Inc
Original Assignee
Sequent Software Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sequent Software Inc filed Critical Sequent Software Inc
Application granted granted Critical
Publication of ES2918011T3 publication Critical patent/ES2918011T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)
  • Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)

Abstract

Un sistema para generación, almacenamiento, administración y uso de uno o más secretos digitales en asociación con un dispositivo electrónico portátil. El sistema comprende una memoria altamente segura que almacena solo una o más claves maestras; Una tienda de claves implementada en el dispositivo electrónico portátil fuera de la memoria altamente segura, uno o más applets de criptografía implementados en el dispositivo electrónico portátil fuera de la memoria altamente segura; y un módulo intermediario altamente confiable (THIM) implementado fuera de la memoria altamente segura, el THIM establece y administra un conducto de comunicación altamente confiable entre la memoria altamente segura, el almacén de claves, uno o más applets de criptografía y al menos una aplicación de terceros., en el que el THIM encuesta el dispositivo electrónico portátil, la memoria altamente segura, la escala de kev, uno o más applets de criptografía para determinar un puntaje de confianza, el costo de inicialización y el costo de transacción para cada componente en el dispositivo electrónico portátil. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Sistema y método para la generación, almacenamiento, administración y uso de uno o más secretos digitales en asociación con un dispositivo electrónico portátil
Referencia cruzada a solicitudes relacionadas
Esta solicitud reivindica la prioridad de la Solicitud Provisional de EE. UU. con No. de Serie 62/322,288 presentada el 14 de abril de 2016.
Campo técnico
La presente invención se refiere en general a la protección y uso de secretos digitales y más particularmente a un sistema y método para proporcionar funcionalidad de comunicación segura de datos a una variedad de aplicaciones en un dispositivo de comunicación portátil.
Antecedentes
Los puntos de control electrónico son ampliamente utilizados. Los puntos de control electrónico son dispositivos que reciben operativamente credenciales electrónicas y posteriormente actúan en respuesta a la recepción de dichas credenciales electrónicas aceptando el pago, brindando acceso, combinaciones de los mismos y otras respuestas. Por ejemplo, un dispositivo de punto de venta es un tipo de punto de control electrónico. La terminal de punto de venta recibe operativamente una credencial de pago electrónico, transmite la credencial de pago electrónico y otra información de identificación de la transacción a un emisor, recibe un mensaje del emisor que indica si la transacción financiera está autorizada o rechazada y, cuando está autorizado, acepta el pago electrónico a cambio de los bienes o servicios buscados por el consumidor titular de la credencial electrónica.
Existen muchos tipos de puntos de control electrónico que incluyen, entre otros, terminales/dispositivos de punto de venta, cajeros automáticos (ATM),barreras de peaje, cerraduras electrónicas de puertas/de encendido (en lugares de trabajo, hoteles y otros alojamientos y en y sobre vehículos), cajas de seguridad, torniquetes (en, por ejemplo, estaciones de tránsito, instalaciones de entretenimiento, conciertos, eventos deportivos y otros lugares de entretenimiento), puertas de acceso para estacionamientos, máquinas expendedoras e incluso para administrar el procesamiento de programas de lealtad. También se contempla que el punto de control electrónico sólo podrá leer la credencial electrónica y brindar información a una persona que a su vez otorga o deniega el acceso. Un ejemplo de una disposición de este tipo es bien conocido en los aeropuertos; donde un agente de seguridad coloca una credencial electrónica en un lector óptico que lee un código (es decir, una credencial electrónica), posteriormente proporciona información de inteligibilidad humana con respecto a la lectura de datos electrónicos, que luego es utilizada por el agente humano para determinar los parámetros de búsqueda y el acceso general a un aeropuerto.
La presentación inalámbrica de credenciales electrónicas que utilizan tarjetas de proximidad basadas en RFID es bien conocida. Por ejemplo, los trabajadores usan tarjetas llave RFID para tener acceso a sus lugares de trabajo por medio de una cerradura electrónica. Los conductores utilizan pases RFID para pagar peajes en autopistas (otro tipo de punto de control electrónico). RFID, que significa identificación por radiofrecuencia, utiliza ondas electromagnéticas para intercambiar datos entre el punto de control electrónico y un objeto (por ejemplo, una tarjeta llave electrónica) con fines de identificación.
Un tipo particular de RFID es llamado Comunicación de Campo Cercano (NFC). Las ondas NFC transmiten únicamente a una distancia corta (del orden de unos pocos centímetros) y a frecuencias altas. Los dispositivos habilitados para NFC ya se utilizan para realizar pagos en terminales de punto de venta y para proporcionar control de acceso. La NFC es un estándar abierto (ver, por ejemplo, ISO/IEC 18092) que especifica esquemas de modulación, codificación, velocidades de transferencia y la interfaz RF. La NFC proporciona mejor seguridad que la RFID generalizada, para la presentación de credenciales electrónicas. Esta seguridad mejorada es particularmente deseable en transacciones financieras y para muchos tipos de control de acceso.
En consecuencia, se ha vuelto cada vez más común que los dispositivos electrónicos portátiles como tarjetas inteligentes, teléfonos inteligentes, relojes inteligentes, llaves en control remoto, rastreadores de actividad física, computadoras personales y otros dispositivos móviles incluyan uno o más transmisores de comunicación electromagnética de corta proximidad (o más preferiblemente transceptores) con el fin de emular una credencial electrónica.
Además del uno o más transmisores/transceptores de comunicación electromagnética de proximidad corta, casi todos los dispositivos electrónicos portátiles (y especialmente los tipos expuestos en el párrafo anterior) incluyen al menos un microprocesador y una memoria. La memoria puede incluir ROM, RAM, así como una o más tarjetas de memoria extraíbles. La memoria masiva proporciona almacenamiento para instrucciones legibles por computadora y otros datos, incluido un sistema básico de entrada/salida ("BIOS") y un sistema operativo para controlar el funcionamiento del dispositivo electrónico portátil. Muchos de estos dispositivos electrónicos portátiles incluyen además una interfaz de usuario que proporciona medios para que el consumidor reciba información y, a su vez, introduzca información o responda de otro modo a la información recibida. Como se entiende actualmente (sin pretender limitar la presente divulgación a la misma), esta interfaz de usuario puede incluir uno o más de los siguientes: un micrófono, un altavoz de audio, una interfaz háptica, una pantalla gráfica, un teclado numérico, un teclado, un dispositivo señalador y/o una pantalla táctil.
Estos dispositivos electrónicos portátiles frecuentemente también tienen o de otra manera pueden conectarse operativamente a una o más redes. Una red de este tipo puede ser proporcionada a los dispositivos electrónicos portátiles por un operador de red móvil (comúnmente denominado MNO). Los operadores de redes móviles generalmente brindan capacidades de transmisión y recepción de voz y datos entre la red móvil y el operador de la red móvil utilizando una o más tecnologías, como un sistema global para comunicaciones móviles (GSM), 3G, 4G; 4G LTE, código de división de acceso múltiple CDMA, acceso múltiple por división de tiempo (TDMA), protocolo de datagrama de usuario (UDP), protocolo de control de transmisión/protocolo de Internet (TCP/IP), SMS, servicio general de radio por paquetes (GPRS), WAP, banda ultraancha (UWB), IEEE 802.16, Interoperabilidad Mundial para Acceso por Microondas (WiMax), SIP/Rt P, o cualquiera de una variedad de otros protocolos de comunicación inalámbrica. Muchos de estos dispositivos electrónicos portátiles también tienen la capacidad de descargar y ejecutar aplicaciones orientadas al consumidor.
Algunos dispositivos electrónicos portátiles también pueden incluir uno o más dispositivos de determinación de ubicación que pueden determinar las coordenadas físicas del dispositivo electrónico portátil en la superficie de la Tierra (típicamente en función de su latitud, longitud y altitud). Estos dispositivos de determinación de la ubicación se basan más a menudo en la tecnología GPS para determinar la posición del dispositivo, por lo que dichos dispositivos pueden denominarse indistintamente en el presente documento como transceptor GPS; sin embargo, debe entenderse que el receptor de ubicación puede emplear adicionalmente (o alternativamente) otros mecanismos de geoposicionamiento, incluyendo, pero no limitado a, triangulación, GPS asistido (AGPS), E-OTD, CI, SAI, ETA, BSS o similares, para determinar la ubicación física del dispositivo electrónico portátil en la superficie de la Tierra.
Muchos dispositivos electrónicos portátiles, especialmente los dispositivos de comunicación electrónicos portátiles incluyen una memoria dedicada a identificar el dispositivo. Por ejemplo, en los teléfonos inteligentes, la memoria de identificación del dispositivo suele ser una tarjeta SIM. Como se entiende generalmente, esas tarjetas SIM contendrían el número de serie único del dispositivo (ESN), un número único internacional del usuario móvil (IMSI), autenticación de seguridad y cifrado de información, información temporal relacionada con la red local, una lista de los servicios a los que tiene acceso el usuario y dos contraseñas (PIN para uso habitual y PUK para desbloqueo). Como entenderán en la técnica aquellos que tienen ante sí la presente memoria descriptiva, las figuras y las reivindicaciones, se puede mantener otra información en la memoria de identificación del dispositivo, dependiendo del tipo de dispositivo, su tipo de red principal, el operador de la red móvil doméstica, etc.
El uso de una credencial electrónica en asociación con un dispositivo electrónico portátil suele implicar problemas de seguridad. Si un ladrón puede obtener una copia de la credencial electrónica, cualquier uso indebido resultante de esa credencial robada sería problemático no solo para el usuario final de dicha credencial, sino también para el emisor de la misma y una gran cantidad de terceros, como los comerciantes, administradores de propiedades y otros que confían en credenciales electrónicas seguras para otorgar acceso al titular de la credencial electrónica. La solución más básica para asegurar estas credenciales electrónicas es esconder sus valores reales usando métodos criptográficos.
La criptografía generalmente describe una variedad de métodos, llamados cifrado, para codificar contenido sin formato (por ejemplo, texto) en contenido disimulado, de modo que el contenido original pueda ser recuperado más tarde por otra persona que sepa cómo descifrar la información escondida y devolverla a su contenido sin formato. El descifrado casi siempre requiere el conocimiento tanto del método utilizado para encriptar (es decir, disimular) los datos, como de los datos utilizados por el método de cifrado para variar la forma de esconderlos. Estos datos variables a menudo se denominan clave de cifrado. Entonces, imagine que eres un explorador detrás de las líneas enemigas y quiere enviarle un mensaje al Comandante. Si hubiera planeado con anticipación la posibilidad, usted y el Comandante podrían haber decidido esconder sus mensajes, moviendo las letras hacia adelante o hacia atrás de manera uniforme en un cierto número de posiciones. En este ejemplo simple, si decide cambiar hacia atrás o hacia adelante sería el método de cifrado y el número de posiciones podría considerarse como la clave de cifrado. Para continuar con este ejemplo, si usted decide cambiar uniformemente hacia adelante dos letras, entonces su método criptográfico le diría que escribiera una "C" cada vez que quisiera transmitir una "A" y una "D" cuando quisiera transmitir una "B", porque el destinatario de su mensaje sabría descifrar su mensaje retrocediendo dos espacios. Como sospechará, esta forma de cifrado simple sería relativamente fácil de descifrar una vez que su enemigo haya obtenido suficiente material cifrado para buscar patrones. El cifrado de hoy en día es mucho más complejo y a menudo requiere una computadora (si no una supercomputadora) para cifrar y descifrar datos. Sin embargo, los conceptos básicos siguen siendo los mismos, es decir, existe un método criptográfico, una clave criptográfica y contenido sin formato que se convierte en texto cifrado.
Cuando los teléfonos inteligentes aparecieron en escena, se entendió que se desearía una mensajería segura. Esa seguridad se proporcionó inicialmente junto con un elemento seguro (SE). Hoy en día, el estándar Global Platform define la configuración y la gestión de los SE. En particular, define un elemento seguro (SE) como un microcontrolador a prueba de la manipulación (normalmente un solo chip) que aloja de forma segura credenciales electrónicas confidenciales (es decir, datos confidenciales y criptográficos) utilizados por aplicaciones (o subprogramas) que también se almacenan localmente y de forma segura estos SE. A su vez, el SE proporciona un entorno seguro en el que las miniaplicaciones pueden operar de forma segura en asociación con los datos confidenciales y criptográficos, al tiempo que evita que las credenciales electrónicas almacenadas en el interior sean visibles para el exterior. El SE controla además las interaccione entre las aplicaciones almacenadas en el SE, las fuentes confiables y a terceras partes (tal como, comerciantes, administradores de propiedades y agencias de tránsito). Los SE pueden tener diferentes factores de forma: Tarjeta de Circuito Integrado Universal (UICC), SE integrado y microSD. Actualmente, hay al menos unas pocas empresas que producen elementos seguros que cumplen con el estándar GlobalPlatform. No hace falta decir que algunos fabricantes son mejores que otros. Además, algunos fabricantes de SE producen SE que superan los requisitos mínimos del estándar y otros no. Debido a que es difícil trabajar con los SE y sus miniaplicaciones criptográficas, a menudo se cargan en los SE durante el proceso de fabricación, los SE contienen con frecuencia versiones anteriores de las miniaplicaciones.
Por lo tanto, los SE proporcionan una confianza arraigada y una caja negra dentro de la cual operan varios métodos criptográficos (es decir, miniaplicaciones). El entorno de confianza arraigada y la caja negra es ideal para asegurar y utilizar las credenciales electrónicas y otros secretos digitales en los dispositivos móviles. Sin embargo, este modelo es extremadamente difícil de operar en la vida real, en especial a la escala actualmente contemplada. Las complejidades en el aprovisionamiento y la posterior gestión, tanto de las credenciales electrónicas como de los subprogramas almacenados en un SE, han demostrado ser una barrera formidable para la adopción generalizada de este modelo TSM (o Administrador de Servicios de Confianza). En este modelo TSM hay una parte neutral que transfiere información técnica entre bastidores entre fabricantes de SE, fabricantes de dispositivos electrónicos portátiles, operadores de redes móviles, usuarios finales y terceros (por ejemplo, emisores y comerciantes). Para ilustrar parte de esta complejidad, el TSM obtiene el número de identificación de cada elemento seguro de su fabricante y luego rastrea la inserción de cada SE en un dispositivo electrónico portátil en particular. Cada dispositivo electrónico portátil tiene algún identificador similar a un IMEI ("Identidad de Equipo de Estación Móvil Internacional", un número único utilizado por las redes MNO (generalmente GSM, UMTS, LTE e iDEN) para identificar dispositivos móviles válidos) u otro número de identificación del dispositivo portátil electrónico.
Por lo tanto, en este sistema, el TSM se encargó de mantener una base de datos que equipara el número de identificación de cada SE ("SEid") con cada dispositivo portátil dentro del cual se almacena el SE. Los TSM también se encargan de emitir, gestionar y dar seguimiento al entorno de ejecución de confianza en el SE, asignar áreas con entorno de ejecución de confianza a los distintos servicios, gestionar las claves del entorno de ejecución de confianza, descargar de forma segura las aplicaciones a dispositivos electrónicos portátiles que contengan SE, bloquear, desbloquear, eliminar aplicaciones basadas en solicitudes de una variedad de partes interesadas. La provisión de estos servicios en asociación con una variedad de fabricantes de dispositivos y SE, una pluralidad de MNO, docenas de otros terceros interesados y usuarios finales crea una pesadilla logística y de inventario.
Las complejidades del modelo de Administrador de Servicios de Confianza, así como el gasto de hardware adicional por tener un SE (y la decisión de algunos fabricantes de teléfonos móviles de no implementar un SE) llevaron al desarrollo de una solución alternativa llamada emulación de tarjeta de host (HCE). El HCE es un tipo de oferta basada en la nube que proporciona representaciones virtuales de credenciales electrónicas sin el uso de un Elemento Seguro. De hecho, inicialmente se pensó que el HCE era equivalente a tener un elemento seguro en la nube. En el enfoque inicial del HCE, el panel de administración (es decir, la nube) almacenaba las credenciales electrónicas (es decir, los datos criptográficos y confidenciales), así como las miniaplicaciones criptográficas utilizadas para generar las demás credenciales electrónicas (a menudo denominadas tokens), que proporcionaban autorización para puntos de control electrónico. En el HCE de primera generación, las credenciales electrónicas (o tokens) se pasaban desde la nube/panel de administración a los dispositivos electrónicos portátiles, a través de un canal de comunicación seguro. De esta manera, el HCE de primera generación todavía proporcionaba un entorno de caja negra (es decir, el panel de administración en la nube) dentro del cual las miniaplicaciones criptográficas podían operar de forma más segura. Pero este enfoque requería operaciones de panel de administración respaldadas por empresas denominadas Proveedores de Servicios de Token (TSP). Los TSP cumplen una función similar a la de los TSM con respecto a los SE, pero entre las otras ventajas potenciales de los TSP para los TSM, los TSP no tienen que rastrear las relaciones entre los activos físicos (es decir, SE a teléfono).
En algún momento del desarrollo del HCE, el enfoque cambió para proporcionar los procesos criptográficos, previamente almacenados y operados dentro de elementos seguros o en una nube segura, en el propio dispositivo electrónico portátil, generalmente en su sistema operativo. Este cambio eliminó la necesidad de TM, pero también eliminó prácticamente la protección de una caja negra que anteriormente había ocultado los procesos criptográficos de la vista. Esto hizo que los procesos criptográficos y sus claves asociadas estuvieran más disponibles para que los hackers los estudiaran, lo que les permitió la oportunidad de diseñar ataques.
En ambas generaciones de HCE, cualquier capa de servicio que se implemente en el dispositivo de comunicación portátil se puede descargar directamente desde una tienda de aplicaciones en línea directamente al dispositivo, para proporcionar una aplicación local que se comunica directamente con un punto de control electrónico para validar una transacción sin tener que hacerla pasar por un elemento seguro/TSM.
Cuando se implementa un proceso criptográfico y opera al descubierto, las personas con conocimientos ordinarios en seguridad electrónica se refieren a este tipo de implementación como "caja blanca" (es decir, lo opuesto a una caja negra (es decir, un sistema en el que solo se puede ver el resultado generado en función de en una entrada dada).
La mayoría de las implementaciones de HCE de segunda generación utilizan algún tipo de criptografía de caja blanca. La criptografía de caja blanca evita la exposición de información confidencial, incluidas las claves criptográficas, tergiversando las claves en los datos y el código, a menudo aleatorizando los datos e incluso la composición del código. Por lo que, a pesar de que los algoritmos criptográficos utilizados en la criptografía de caja blanca, todavía son a menudo observables abiertamente, las claves criptográficas no son fácilmente observables. Sin embargo, los diversos proveedores de soluciones de criptografía de caja blanca brindan diversas implementaciones y algunas son más seguras, por ejemplo, mejores en disimular las teclas y algunas son más eficientes que otras.
El modelo HCE de segunda generación se ha implementado en el sistema operativo Android desde su versión 4.4. En particular, Android Keystore almacena claves criptográficas en un contenedor virtual dentro del dispositivo de comunicación portátil. Una vez que las claves criptográficas están en el Keystore, se pueden usar para operaciones criptográficas, pero nunca se pueden eliminar. El Keystore también limita a las aplicaciones en el dispositivo al uso de las claves criptográficas almacenadas para usos específicamente autorizados. Estas restricciones brindan cierta seguridad adicional para los secretos digitales que se protegen, pero solo son tan seguras como las aplicaciones a las que se les permite acceder al Android Keystore. Como resultado, las propias aplicaciones pueden comprometer la seguridad del dispositivo y del proceso. De hecho, ya es un problema conocido con Android Keystore que un hacker puede usar, manipular e incluso ver directamente las claves de una aplicación mediante la manipulación de la aplicación, incluso si ese hacker no pudo acceder directamente a los valores clave almacenados.
Mientras que el modelo HCE requiere mucha menos complejidad de gestión que los modelos TSM y de tokenización, no es tan seguro como dichos modelos. Por lo tanto, el modelo HCE deja a los MNO, proveedores, usuarios finales y terceros más vulnerables a las violaciones y/o ataques de seguridad.
Una posible solución de la técnica anterior a las preocupaciones en relación con TSM como con HCE es el entorno de ejecución de confianza (o TEE). En un sistema TEE, se proporciona un entorno de ejecución aislado dentro de un microprocesador del dispositivo electrónico portátil que utiliza soluciones de hardware y software, de modo que la integridad de cualquier miniaplicación y credencial electrónica (es decir, datos confidenciales y criptográficos) almacenados en el TEE está mejor protegida que en el entorno HCE. Además, si bien las credenciales electrónicas pueden estar expuestas temporalmente mientras pasan a un sistema TEE, no se dejan abiertas como se encuentran en el entorno de caja blanca (por ejemplo, en HCE de segunda generación). Como tal, el TEE ofrece un nivel intermedio de seguridad que es adecuado para muchas credenciales electrónicas y aplicaciones de puntos de control electrónico. Sin embargo, además de su costo adicional de hardware, todavía existen problemas con el modelo TEE, como la obsolescencia de las miniaplicaciones y problemas con el traslado seguro de datos al TEE.
Además del pago electrónico y otros tipos de credenciales seguras, todavía hay otros secretos digitales que podrían beneficiarse de la disponibilidad de generación, almacenamiento, administración y uso seguros, en un entorno de caja blanca. Por ejemplo, los nombres de usuario, las contraseñas/PIN, las certificaciones digitales, los conjuntos de claves digitales, los archivos de datos biométricos y otros datos confidenciales serían tipos adicionales de secretos digitales que se beneficiarían de la disponibilidad de mecanismos de seguridad de dispositivos mejorados.
Hasta ahora, las soluciones que se han adoptado en un intento de simplificar y ampliar la infraestructura de credenciales de confianza no han logrado proporcionar la alta seguridad deseada con la practicidad necesaria para la coordinación, distribución y mantenimiento del sistema. Los documentos US2012/159612, US2011/154497, US2008/215474 y US2015/326545 son técnicas anteriores relevantes en el campo del pago electrónico utilizando aplicaciones de terceros e infraestructuras de credenciales confiables.
Resumen
A continuación se presenta un resumen simplificado de la presente divulgación con el propósito de proporcionar un entendimiento básico de algunos aspectos de la misma. Este resumen no es una visión general amplia de la divulgación. No se pretende identificar elementos clave o críticos de la divulgación o delinear el alcance de la divulgación. El siguiente resumen se limita a presentar algunos conceptos de la divulgación en una manera simplificada como una antesala de la descripción más detallada a continuación.
Esta divulgación está relacionada con un sistema de generación, almacenamiento, gestión y uso de uno o más secretos digitales en asociación con un dispositivo electrónico portátil. El sistema comprende una memoria de alta seguridad en el dispositivo electrónico portátil que almacena solo una o más claves maestras; un keystore implementado en el dispositivo electrónico portátil fuera de la memoria de alta seguridad y una o más miniaplicaciones criptográficas implementadas en el dispositivo electrónico portátil fuera de la memoria de alta seguridad.
El sistema comprende además un módulo intermediario de alta confianza (ThIM) que se implementa fuera de la memoria de alta seguridad. El ThIM establece y administra un enlace de comunicación altamente confiable entre la memoria de alta seguridad, el keystore, la una o más miniaplicaciones criptográficas y al menos una aplicación de terceros. El ThIM sondea el dispositivo electrónico portátil, la memoria de alta seguridad, el keystore, la una o más miniaplicaciones criptográficas, para determinar un puntaje de confianza, un costo de inicialización y un costo por transacción para cada componente del dispositivo electrónico portátil. El ThIM proporciona además parámetros de interacción aceptables para aplicaciones de terceros confiables, basados en el puntaje de confianza, el costo de inicialización y el costo por transacción de los diversos componentes del dispositivo electrónico portátil. El ThIM también administra las comunicaciones altamente confiables entre la aplicación de terceros confiable y la memoria de alta seguridad, de acuerdo con los parámetros de interacción aceptables.
Estos y otros aspectos de la divulgación se explicarán más detalladamente a continuación.
Breve descripción de los dibujos
Para una mejor comprensión de la presente divulgación, se describen realizaciones no limitativas y no exhaustivas con referencia a los siguientes dibujos. En los dibujos, los mismos números de referencia se refieren a partes iguales en todas las diversas figuras, a menos que se especifique lo contrario.
La FIG. 1 es una vista en planta esquemática de un dispositivo electrónico portátil 100 y el servidor de autoridad de confianza 300, que muestra el módulo intermediario de alta confianza (ThIM) que controla todas las comunicaciones con la memoria de alta seguridad 150 del dispositivo electrónico portátil 100.
La FIG. 2 es una vista en planta esquemática de la funcionalidad y los datos asociados con el ThIM 200.
Discusión de la divulgación
La presente invención se describirá ahora con más detalle en lo sucesivo con referencia a los dibujos adjuntos, que forman parte de la misma y que muestran, a modo de ilustración, realizaciones ejemplares específicas mediante las cuales se puede poner en práctica la invención. Sin embargo, esta invención puede realizarse de muchas formas diferentes y no debe interpretarse como limitada a las realizaciones establecidas en este documento; más bien, estas realizaciones se proporcionan para que esta divulgación sea exhaustiva y completa, y transmita completamente el alcance de la invención a los expertos en la técnica. Entre otras cosas, la presente invención puede realizarse como métodos o dispositivos. En consecuencia, la presente invención puede tomar la forma de una realización completamente de hardware, una realización completamente de software o una realización que combine aspectos de software y hardware. La siguiente descripción detallada no es, por lo tanto, para ser tomada en un sentido limitante.
La presente divulgación proporciona un sistema y un método para proporcionar la generación, almacenamiento, administración y uso de credenciales confidenciales cuando están protegidas por uno o más componentes de seguridad avanzados en asociación con un dispositivo electrónico portátil. La presente invención también proporciona sistemas y procesos para que terceras partes manejen el riesgo de usar sus secretos digitales con cualquier dispositivo electrónico portátil particular.
Como se muestra en la Figura 1, el dispositivo electrónico portátil 100 tiene preferiblemente una memoria de alta seguridad 150. La memoria de alta seguridad 150 puede ser un elemento seguro (SE) físico o al menos un microprocesador con un TEE. Mientras que los sistemas TSM originales almacenaban los datos criptográficos y confidenciales utilizados por las aplicaciones, así como las propias miniaplicaciones criptográficas (applets), la presente invención almacena solo la parte más secreta en la memoria de alta seguridad: la una o más claves del emisor. A su vez, las miniaplicaciones y cualquier otro dato de la tarjeta se almacenan en otro lugar de la memoria asociada con el dispositivo electrónico portátil 100. Debido a que solo las claves del emisor (o maestro) se almacenan en la memoria de alta seguridad 150, las memorias de alta seguridad pueden ser más pequeñas que las memorias de SE y TEE que se han implementado más recientemente. Especialmente con respecto a los SE que utilizan hardware de memoria flash para sus memorias de alta seguridad, la reducción del tamaño de la memoria de alta seguridad 150 debería dar como resultado un ahorro de costos significativo para los fabricantes de dispositivos portátiles que implementen la presente invención. Por el contrario, los elementos seguros ahora se pueden preconfigurar con miles de conjuntos de claves no asignados disponibles durante el proceso de fabricación de circuitos integrados. En la postfabricación y el despliegue de dispositivos de comunicación móvil con estas memorias de alta seguridad, los conjuntos de claves no asignados y previamente guardados se pueden asignar fácilmente a los emisores, lo que permite una rápida adopción de nuevos servicios.
La descarga de las miniaplicaciones y los datos clave no emisores en la memoria 160 de otro dispositivo, ya simplifica el esfuerzo y los gastos generales que se requerían de los TSM para administrar los SE en el modelo de servicio confiable. Además, el almacenamiento de las claves secretas en un SE (o TEE) es significativamente más seguro que simplemente almacenar estas piezas de información altamente confidenciales al descubierto en la memoria del dispositivo electrónico portátil 100. Además, mover las claves de nuevo a la condición real (es decir, SE o TEE) en el dispositivo de comunicación portátil simplifica los cálculos que debían realizarse en el panel de administración (o en la nube) de forma regular, dependiendo de las frecuencias de uso del dispositivo de comunicación portátil para la interacción con los puntos de control electrónico. Además, mover las claves secretas de regreso a la condición real de alta seguridad (es decir, a la memoria de alta seguridad 150) en el dispositivo de comunicación portátil 100 y las miniaplicaciones y otros datos de la tarjeta en otra parte del dispositivo de comunicación portátil, significa que el panel de administración del sistema ya no necesita ser un proveedor de servicios de token. Ahora, los proveedores del panel de administración simplemente necesitan desempeñar el papel de "Autoridad de Confianza" o "Autoridad de Certificación" o "Autoridad de Administración de Claves" o "Servicio de Administración de Claves". En esta función, la memoria no volátil del panel de administración 310 sigue siendo responsable de almacenar secretos digitales en la nube para compararlos con las claves generadas y transferidas por el dispositivo de comunicación portátil 100, como tal, al punto de control electrónico 50, cuando un usuario desea activar o interactuar de otro modo con el punto de control electrónico seguro y luego en el sistema de Autoridad de Confianza 300. Pero el sistema de Autoridad de Confianza 300, que incluye la memoria no volátil 310, el procesador 350 y dos o más dispositivos de comunicación (por ejemplo, 360a y 360b), ya no actúa como una bóveda de tokens que genera y emite tokens continuamente para solicitar dispositivos de comunicación portátiles.
Si bien, en teoría, Android Keystore (u otros programas criptográficos de terceros) podrían acceder a estas claves más seguras simplemente para aprovechar la gran y creciente biblioteca de APIs que interactúan con Android Keystore, es bien sabido que Android Keystore puede descomponerse y rootearse fácilmente. Y mientras almacenar las claves en el SE de alta seguridad mejora enormemente la seguridad con respecto a las soluciones HCE e incluso TEE de segunda generación, la presente invención busca permitir el almacenamiento de las miniaplicaciones criptográficas previamente bien protegidas y otros datos de la tarjeta en la memoria del dispositivo relativamente inseguro, para proporcionar ventajas de actualizar las miniaplicaciones y otros datos de la tarjeta.
Sin embargo, el uso de una miniaplicación expuesta para acceder a la memoria de alta seguridad 150 (por ejemplo, un SE o un TEE) para obtener la clave secreta, proporcionaría una debilidad de seguridad fácilmente explotable. Por lo tanto, en lugar de permitir el acceso directo a la memoria de alta seguridad 150 desde las miniaplicaciones no seguras, la presente invención proporciona un intermediario altamente confiable (ThIM 200) para comunicarse entre las miniaplicaciones criptográficas no seguras en la memoria 160 de otro dispositivo y en la memoria de alta seguridad 150. Este intermediario altamente confiable puede ser, por ejemplo, un programa de software u otras instrucciones legibles por computadora almacenadas en un medio legible por computadora no transitorio (por ejemplo, memoria, RAM, ROM, etc.), que transforma un procesador de computadora en una interfaz electrónica particular, responsable de establecer, mantener y administrar un enlace de comunicación altamente confiable entre la memoria de alta seguridad 150 (por ejemplo, de un SE o incluso un TEE) y otros módulos funcionales que se ejecutan en el mismo dispositivo de comunicación portátil 100. Las instrucciones del módulo intermediario de confianza (ThIM 200), cuando son ejecutadas por al menos un procesador asociado con el dispositivo de comunicación portátil, pueden hacer que el dispositivo realice las operaciones descritas en este documento. También se contempla que ThIM 200 podría implementarse mediante un diseño de componente principalmente físico con una cantidad mínima de memoria (quizás incluso solo uno o más registros de almacenamiento).
La confiabilidad del módulo intermediario de alta confianza ("ThIM") debe confirmarse, por ejemplo, cuando el dispositivo de comunicación portátil 100 usa ThIM 200 por primera vez, cuando se actualiza cualquier software interno del ThIM 200, cuando se supera una cantidad predeterminada de tiempo ha transcurrido desde la última vez que se confirmó la confiabilidad del ThIM 200, cuando cualquier miniaplicación criptográfica intenta utilizar datos almacenados en la memoria de alta seguridad 150 y/o cada vez que una aplicación de terceros intenta utilizar datos almacenados en la memoria de alta seguridad 150. El aprovisionamiento de confianza también se puede utilizar para evitar que los ThIM o las aplicaciones no autorizadas obtengan acceso al elemento seguro o TEE. (Teóricamente, los ThIM falsos se pueden obtener de cualquier número de lugares, incluso a través de la descarga desde una tienda de aplicaciones legítima. Los hackers también pueden diseñar ThIM falsos que imiten el aspecto, la sensación y/o el funcionamiento del ThIM real).
Cada ThIM 200 y luego cada una de las miniaplicaciones criptográficas en la memoria 160 de otro dispositivo pueden someterse a un proceso de registro para establecer su confiabilidad respectiva dentro del sistema antes de acceder o administrar las claves (por ejemplo, lectura, escritura, eliminación de datos) almacenadas en la memoria de alta seguridad 150. Para establecer esa confianza, el ThIM 200 puede intentar registrarse con el sistema del panel de administración 300 (anteriormente conocido como sistema de Autoridad de Confianza), que preferiblemente incluiría al menos un procesador 350 y al menos una memoria 310 (o medios legibles por computadora no transitorios) que almacenan instrucciones legibles por computadora. Las instrucciones, cuando se ejecutan, pueden hacer que un procesador 350 realice las funciones descritas en este documento. Una vez que el registro de ThIM 200 con el sistema del panel de administración 300 es exitoso, el ThIM 200 puede intentar registrar una o más miniaplicaciones a través del sistema de Autoridad de Confianza 300. Una vez que una miniaplicación se registra con éxito con un ThIM 200 registrado, el ThIM puede permitir que esa miniaplicación registrada acceda y pregunte sobre las claves almacenadas en la memoria de alta seguridad 150.
Un método para establecer la confianza entre ThIM 200 y el sistema de Autoridad de Confianza 300 se puede encontrar en la solicitud de patente de EE. UU. pendiente con número de serie 13/916,307 titulada "Sistema y método para establecer inicialmente y confirmar periódicamente la confianza en una aplicación de software" presentada el 12 de junio de 2013. Una vez que se establece la confianza del ThIM 200 en el dispositivo electrónico portátil 100, el ThIM 200 se puede usar para validar las miniaplicaciones criptográficas en el dispositivo electrónico portátil 100 para proteger el sistema de credenciales y, una vez que se validan las miniaplicaciones, se les puede permitir comunicarse con la memoria altamente segura150 a través del ThIM 200.
La verificación del estado de confianza de una miniaplicación puede implicar el acceso a una base de datos de autorización local de aplicaciones permitidas o de confianza. En un enfoque preferido, la base de datos de autorización local coopera con una base de datos de autorización remota 370 asociada operativamente con uno o más servidores asociados con el sistema de Autoridad de Confianza 300. Por lo tanto, es probable que la base de datos 370 se mantenga en un dispositivo por la base del dispositivo en el lado del servidor. Como entenderán los expertos en la materia que tengan ante sí la presente memoria descriptiva, la base de datos 370 puede implementarse en una base de datos física separada o en una base de datos unificada. La base de datos 370 puede incluir información relacionada o de otro modo con respecto a las miniaplicaciones que han sido aprobadas por el proveedor del sistema seguro. La información de esta miniaplicación puede variar desde una copia textual completa de una miniaplicación hasta solo la información de identificación de la versión aprobada de una miniaplicación y combinaciones de las mismas. Las bases de datos pueden incluir, entre otra información, una ID de aplicación, una ID de emisor y una ID o token de compilación. El ID de compilación sería preferiblemente una constante global generada para cada aplicación por uno o más procesos durante el proceso de calificación para la miniaplicación en particular. Después de que sea generado por un ThIM 200 particular en un dispositivo de comunicación portátil único 100, el token de compilación se incluye o se asocia de otro modo con la aplicación/miniaplicación en el dispositivo electrónico portátil. Este token de compilación se genera preferiblemente mediante un generador de números pseudoaleatorios local para el dispositivo que utiliza un valor original predeterminado, como la ID de la aplicación, la ID de compilación, la ID del emisor o alguna combinación de las mismas.
Cuando una miniaplicación requiere verificación, su ID de compilación (un token digital) y su ID de aplicación (un identificador digital) pueden compararse con los pares de ID de compilación e ID de aplicación almacenados en el dispositivo de comunicación portátil. Como deben entender los expertos en la técnica que tienen ante ellos la presente memoria descriptiva, los mismos pares de ID de compilación e ID de aplicación también se transmiten a (o en algunos casos se almacenan previamente dentro de) otros dispositivos asociados con el sistema. Si el par ID de compilación/ID de aplicación coincide con uno de los pares almacenados en ThIM en ese dispositivo en particular, se genera preferiblemente un ID de token secreto en el dispositivo mediante un generador de números pseudoaleatorios (como el asociado con el elemento seguro o TEE) y luego se almacena en asociación con el par ID de compilación/ID de aplicación en el Registro de Servicios de Tarjeta en otra memoria de dispositivo 160 en el dispositivo de comunicación portátil 100. En algunos casos, el ID de compilación puede preseleccionarse y utilizarse para iniciar el generador de números aleatorios. Debe entenderse que una o más piezas de otros datos predeterminados asociados con el dispositivo, ThIM o algún otro estándar acordado podrían preseleccionarse como valor original en su lugar. El ID del token secreto también está integrado o asociado de otro modo con la miniaplicación en el dispositivo de comunicación portátil 100 en lugar del ID de compilación que se distribuyó con la aplicación.
En un enfoque preferido del presente sistema, el ThIM 200 es capaz de sondear el sistema operativo, la memoria de alta seguridad 150, cada una de las miniaplicaciones confiables y otro hardware, controladores y software para determinar el fabricante, la versión, la configuración de parámetros operativos y cualquier otra información que pueda ser relevante para determinar la seguridad relativa de cada aspecto del dispositivo electrónico portátil 100 como elemento de un ecosistema seguro. Como se muestra en la Figura 2, la base de datos contendrá además al menos un número de confianza, por ejemplo, entre cero (sin confianza) y cien 100 (confianza más alta) que indica la confiabilidad relativa de cada componente (por ejemplo, elementos de hardware y software del dispositivo electrónico portátil 100) y también puede incluir potencialmente la información obtenida y/o generada como resultado del sondeo realizado por el ThIM 200, sobre el cual se basó ese número de confianza. Por ejemplo, el ThIM 200 puede reconocer primero la existencia de un SE dentro del entorno del dispositivo portátil 100 en el que se ha implementado el ThIM 200. Debido a que es un elemento seguro, el puntaje de confianza probablemente será muy alta (por ejemplo, 95-100), al menos mientras el SE ejecute el stack más actual recomendado para ese SE por el fabricante del SE. Especialmente, este último aspecto de la calificación de confianza probablemente se determinará principalmente en comunicación con el sistema de Autoridad de Confianza 300.
En otro ejemplo, el ThIM 200 puede reconocer la presencia de un TEE dentro del dispositivo portátil 100. Aquí, debido a que es un t Ee , en lugar de un elemento seguro, su puntaje de confianza probablemente será alto (por ejemplo, 70-75) siempre que el TEE ejecute el firmware más actualizado recomendado por el fabricante del TEE, pero no tan alto como el puntaje de confianza para un SE correctamente configurado. Por ejemplo, el ThiM puede determinar que el dispositivo portátil en sí es un teléfono inteligente Samsung Galaxy S6 (modelo # SM-G925V) con un chip Samsung Exynos 7 Octa 7420 con Android 6,0 ("Marshmallow"). Al comunicarse con el panel de administración, el ThIM 200 puede determinar que esta configuración particular del SM-G925V es un entorno relativamente seguro dentro del cual guardar secretos digitales (a diferencia del sistema operativo Android 5.1.1 implementado por Samsung que supuestamente contenía una variedad de problemas de seguridad que permitieron que el teléfono fuera hackeado de forma remota. Esa clasificación se reflejaría escribiendo un número de confianza apropiado para el equipo en la base de datos asociada operativamente con el ThIM 200. Esta base de datos puede ser interna del ThIM 200, implementarse en otro lugar del dispositivo electrónico portátil 100 o incluso implementarse en la nube. Por supuesto, dependiendo de la ubicación de la implementación, es posible que se deban tomar ciertas medidas de seguridad para garantizar la integridad del sistema.
Volviendo al ejemplo de un dispositivo de comunicación portátil que tiene un elemento seguro como su memoria de alta seguridad, como se ilustra en la Figura 2, la activación de ese elemento seguro puede resultar en la demanda de una tarifa de inicialización única. En el ejemplo ilustrado en la Figura 2, esta tarifa de inicialización es de $2.00. Como se entendería, la tarifa inicial podría ser cualquier monto que probablemente establecería principalmente el distribuidor y/o el fabricante de la memoria de alta seguridad. Cuando se determina la tarifa, se puede pagar electrónicamente, por ejemplo, al fabricante de SE o al fabricante de dispositivos portátiles para permitir la recuperación del costo de implementar un SE en primera instancia. También se contempla que los cargos pueden ser pagados por el usuario final del dispositivo de comunicación portátil 100 requiriendo que el usuario final establezca una cuenta con el sistema de Autoridad de Confianza 300 antes de inicializar el dispositivo de comunicación portátil 100. Sin embargo, es más probable que el sistema cobre a los propietarios de aplicaciones de terceros por el uso del recurso seguro. Para ser más específicos, si un banco quiere implementar una aplicación de billetera en el dispositivo de comunicación portátil 100, puede querer/necesitar activar el SE en ese dispositivo. Debido a que el banco finalmente obtendrá el beneficio del acceso rápido del usuario final a su software de billetera electrónica, tiene sentido cobrarle al banco por el inicio del SE. Como se ilustra adicionalmente en la Figura 2, también se contempla que la memoria de alta seguridad podría tener un costo por transacción asociado (por ejemplo, por uso, por período de tiempo, etc.). Este enfoque puede ser particularmente deseable en situaciones en las que múltiples credenciales y otros secretos digitales se beneficiarán de la inicialización y el uso de la memoria de alta seguridad. En ese caso, el precio de uso de la memoria por transacción permite que cada beneficiario directo de la existencia de la memoria de alta seguridad comparta el costo de tener la memoria de alta seguridad disponible para ser usada por su miniaplicación. Se contempla además que los cargos por transacción asociados con la memoria de alta seguridad (o cualquier otro elemento del ecosistema de seguridad rastreado por la tabla de análisis de confianza de ThIM 210) podrían tener un tope en un cierto valor máximo.
Las miniaplicaciones de confianza en la mayoría de los casos incluirán un keystore (como Android KeyStore o iOS KeyStore) y uno o más programas de criptografía de caja blanca (como Arxan WBC y el proyecto White-Box AES). Como se ilustra en la Figura 2, al igual que con el dispositivo, el sistema operativo y la memoria de alta seguridad, el ThIM 200 asignará un puntaje de confianza a cada una de estas miniaplicaciones. Ese puntaje de confianza se guardará en la tabla de análisis de confianza ThIM 210. Además, cada una de las miniaplicaciones puede tener uno o ambos de un costo de inicialización asociado y un costo por transacción y también puede haber un valor total máximo cargado. Aquí, las permutaciones potenciales son infinitas y estarán impulsadas por el mercado. Por ejemplo, es probable que el tipo más sólido de cifrado de caja blanca (WBC) cueste más dinero. Es posible que el desarrollador de tal WBC decida que prefiere recuperar un costo fijo por adelantado y nada más para los usos incrementales (consulte, por ejemplo, WBCn en la base de datos 210) o el desarrollador puede decidir recuperar sus costos en función de un modelo por uso (ver WBC3). En cada caso, las aplicaciones de terceros pueden estar pagando por el uso de estas miniaplicaciones y pueden decidir qué miniaplicación utilizar en función del puntaje de confianza de la miniaplicación versus su costo de uso. Para fines ilustrativos en el ejemplo que se ilustra en la Figura 2,
• a WBCn se le asignó un puntaje de confianza de 39 y tiene un costo de iniciación de $1,00 y un costo por transacción de $0,00, mientras que
• a WBC3 se le asignó un puntaje de confianza de 35 y tiene un costo de iniciación de $0, pero un costo por transacción de $0,05.
Para una aplicación de terceros que rara vez se usa y que no está demasiado interesada por la seguridad de alto nivel, una diferencia de cuatro puntos en el puntaje de confianza para evitar un costo inicial de $1,00, puede valer la pena. En tal caso, la aplicación de terceros podría optar por utilizar WBC3 como su miniaplicación criptográfica.
Los valores particulares de confianza en la base de datos 210 pueden basarse en clasificaciones de terceros u otros informes con respecto a la seguridad, operación, consumo de energía y otras variables asociadas con los diversos componentes. Los valores de confianza podrán ser establecidos y/o revisados periódicamente. Y pueden ser publicados periódicamente por la Autoridad de Confianza o alguna entidad en nombre de la Autoridad de Confianza. Estos valores pueden almacenarse en primera instancia en la nube (en asociación con el sistema de Autoridad de Confianza 300) y luego bajarse a la base de datos local 210 asociada con el ThIM 200 en un dispositivo de comunicación portátil particular 100, luego de la consulta del dispositivo por parte del THIM. Los valores de confianza se pueden basar en clasificaciones de terceros u otros informes con respecto a la seguridad, el funcionamiento, el consumo de energía y otras variables asociadas con los diversos componentes. Los valores pueden establecerse y/o revisarse periódicamente y pueden ser publicados periódicamente por la Autoridad de Confianza o alguien en nombre de la Autoridad de Confianza. Los valores también pueden enviarse a varios ThIM, especialmente si el número de confianza de un dispositivo en particular se ha reducido significativamente.
El sondeo de ThIM de los diversos elementos que existen en el ecosistema seguro puede lograrse mediante la funcionalidad asociada con ThIM 200 para cuestionar al dispositivo para averiguar si el dispositivo 100 es real o quizás incluso es un dispositivo no autorizado. Por ejemplo, el ThIM 200 puede estar equipado con la capacidad de escribir datos en un SE y/o TEE en el dispositivo 100 y luego leer esos datos tanto en su forma cifrada como no cifrada para juzgar si el SE/TEE es real. Se puede implementar una funcionalidad similar en asociación con el ThIM 200 para probar otros componentes dentro del dispositivo para juzgar si esos componentes son o no lo que se cree que son.
En última instancia, una o más aplicaciones de terceros que utilizan una clave maestra para proporcionar servicios al usuario final intentarán registrarse con el ThIM 200 de modo que pueda usar una clave maestra almacenada en la memoria de alta seguridad 150 en el dispositivo electrónico portátil 100. Estas aplicaciones de terceros pueden proporcionar pago electrónico, acceso de tránsito, acceso electrónico (que posiblemente incluya seguridad biométrica) y similares. En primer lugar, cada aplicación de terceros debe de resultar confiable por el ThIM en la manera en que se describe anteriormente. Después de que la aplicación o miniaplicación de terceros resulte confiable para el ThIM (con su token secreto apropiado integrado en la aplicación y almacenado en una base de datos asociada con ThIM), el ThIM 200 puede determinar cómo a aplicación de terceros está destinada, por su propietario/autor, a interactuar con el ecosistema seguro. Entonces, por ejemplo, digamos que el propietario de la aplicación de terceros es el Banco de Amazonia y que el Banco de Amazonia es muy reacio al riesgo. Para dicha aplicación, el Banco de Amazonia programaría su miniaplicación para que no funcione en el dispositivo 100, si el dispositivo no puede proporcionar un puntaje de confianza compuesto igual o superior a 90-90­ 95-20-35. Actualmente se cree que el puntaje de confianza compuesto será una matriz de los valores de confianza para cada uno de los siguientes:
dispositivo - sistema operativo -memoria de alta seguridad - keystore - WBC, tomados individualmente. Sin embargo, es posible que los valores individuales puedan ser agregados matemáticamente en un solo valor para reflejar la seguridad ambiental general (es decir, 90+90+95+20+35=330). En nuestro ejemplo actual, el dispositivo solo tiene habilitado WBC1 (que se ilustra en la Figura 2 con solo un puntaje de confianza de 30), entonces el proveedor de la aplicación de terceros puede no querer que su aplicación funcione en el dispositivo 100. En tal caso, podría generarse un mensaje de error y enviarse al menos al sistema de Autoridad de Confianza 300, preferiblemente con suficiente información contenida en el mensaje para que el sistema 300 pueda determinar el motivo del error. En otro ejemplo, otra aplicación de terceros puede permitir que la aplicación realice ciertas tareas (por ejemplo, leer la memoria de alta seguridad), pero no otras tareas (como escribir o emular una credencial en determinadas circunstancias), según el puntaje de confianza de cada uno de los elementos. De manera similar, la aplicación de terceros puede programarse para asumir ciertos costos por la disponibilidad de ciertos componentes. Entonces, continuando con el ejemplo, la aplicación podría ver las opciones de WBC deshabilitadas disponibles en el dispositivo y, según la filosofía comercial y de seguridad del propietario de la aplicación de terceros, la aplicación puede habilitar una de WBC2, WBC3 o WBCn para lograr un mayor puntaje de confianza con la criptografía de caja blanca utilizada con la aplicación. En cada caso, el puntaje de confianza de WBC2 , WBC3 y WBCn es igual o superior al puntaje de confianza mínimo de 35 (deseado por la aplicación hipotética de terceros); sin embargo, el precio asociado con la inicialización de cada aplicación es diferente, al igual que el costo por transacción. Para una aplicación que se usará con frecuencia, se contempla que el desarrollador podría inclinarse hacia costos más bajos por transacción. También se contempla que la aplicación podría programarse para cambiar entre miniaplicaciones WBC habilitadas dependiendo del tipo de transacción que se esté realizando.
También se contempla que una aplicación de terceros podría utilizar un puntaje de confianza agregado ponderado. El propietario de la aplicación de terceros podría decidir que nada es más importante que tener un dispositivo de alta seguridad con un sistema operativo adecuado, pero que la memoria de alta seguridad podría ser un TEE (por ejemplo, un puntaje de confianza de 75; en lugar del puntaje de 95 que se muestra en la ilustración de la Figura 2). En tal caso, el propietario de la aplicación de terceros podría proporcionar una función de ponderación que haga que la puntuación del dispositivo y el sistema operativo sean primordiales (por ejemplo, 90*10+ 90*10 75*1+20*5+35*5= 2150; en donde el puntaje de confianza del dispositivo y del sistema operativo representa casi el 84% del puntaje de confianza general). Como percibiría ahora un experto promedio en la técnica que tenga ante sí la presente divulgación, alterando la función de ponderación y el puntaje de confianza agregado mínimo, el propietario de una aplicación puede manipular el entorno de seguridad mínimo dentro del cual operará la aplicación.
También se contempla que el propietario de la aplicación pueda modificar el funcionamiento del producto para minimizar el riesgo en respuesta a un entorno más riesgoso. Entonces, continuando con nuestro ejemplo hipotético, si la aplicación no quiere pagar por miniaplicaciones de WBC más confiables, podría quedarse con el WBC calificado con un puntaje de confianza de 30, pero limitar las transacciones que puede admitir la aplicación a una operación menos riesgosa. Por ejemplo, el límite de crédito de una tarjeta podría reducirse de $10.000 a $500 para fines de uso a través del dispositivo de comunicación portátil. En otro ejemplo, la aplicación de terceros podría configurar un pago como una transacción con tarjeta de débito, en lugar de una transacción de crédito, para minimizar el riesgo de una transacción fraudulenta para el emisor. Finalmente, se contempla que si una aplicación de terceros no puede obtener el puntaje de confianza que desea en el dispositivo, el sistema podría permitir que la aplicación no almacene claves en el dispositivo, sino que proporcione claves únicas del sistema de Autoridad de Confianza 300 en su lugar, al dispositivo de comunicación móvil 100.
Una vez que la aplicación de terceros determina la funcionalidad que puede implementar en asociación con el dispositivo en particular, la aplicación puede iniciarse y solicitar al usuario final que opte por proporcionar acceso a las credenciales específicas del emisor necesarias (o deseadas para utilizar con) la aplicación ahora validada (o de confianza). En cada lanzamiento posterior de las miniaplicaciones de confianza, el token secreto implementado y/o la identificación de la aplicación se comparan con los datos en ThIM en el dispositivo. Si hay coincidencia, la aplicación es de confianza y puede acceder al SE o al TEE a través de ThIM. De esta manera, se puede ver que el token secreto y/o la identificación de la aplicación asociada con cualquiera de las miniaplicaciones también se pueden eliminar de ThIM, lo que hace que se deshabilite el acceso a SE o a TEE. Del mismo modo, si se manipula alguna miniaplicación, el token secreto y/o el ID de la aplicación quedarán invalidados. La base de datos asociada con ThIM estaría preferiblemente protegida cifrando la tabla utilizando, por ejemplo, un algoritmo de seguridad (por ejemplo, el algoritmo estándar de cifrado avanzado (AES), el algoritmo de hash seguro (SHA), el algoritmo de ordenación de mensaje 5 (MD5) y similares) con un valor clave que es un hash generado a partir de uno o más parámetros (por ejemplo, un ID de elemento seguro, código de acceso, etc.) como entradas. Si una aplicación falsa manipula el ThIM, por ejemplo, el ThIM detectaría el cambio y reemplazaría la tabla de permisos con una recuperada del servidor de administración de elementos seguros.
El ThIM también utiliza preferentemente el paso de verificación de aplicaciones confiables para determinar el nivel apropiado de acceso al subsistema permitido para cada miniaplicación. Por ejemplo, en una realización, una miniaplicación puede estar autorizada para acceder y mostrar todos los datos contenidos en el subsistema de pago, donde otra miniaplicación puede estar autorizada solo para acceder y mostrar un subconjunto de los datos contenidos en el subsistema de pago. En un enfoque, la asignación de permisos a la aplicación se puede considerar de la siguiente manera: Todas las Credenciales
Reservado Credenciales
extendidas Credenciales Propias
Leer 0 0 1 0 1 0 1
Escribir 0 0 1 0 1 0 1
Borrar 0 0 1 0 1 0 1 Activar/Desactivar 0 0 1 0 1 0 1
Descargar Credencial 0 0 1 0 1 0 1
Estos permisos se pueden usar para formar un número hexadecimal en el orden que se muestra arriba, desde la cifra más significativa hasta la menos significativa. Por ejemplo, una aplicación puede tener un nivel de permiso de 11111, que puede ampliarse a 0001 0001 0001 0001 0001. En otras palabras, esta aplicación puede leer, escribir, eliminar, activar/desactivar y descargar sus propias credenciales, pero no las credenciales del emisor extendidas y mucho menos todas las credenciales. Si el proveedor tiene otro código de emisor, entonces sería una aplicación de emisor extendida. Por lo tanto, si el nivel de permiso de la aplicación asociada con el ID del emisor se configuró en 0010 0001 0001 0010 0001 (o 21121hex), la aplicación podría leer y activar/desactivar las credenciales asociadas con ambos ID del emisor. Como entenderán los expertos en la materia, estos son simplemente ejemplos de posibles permisos que se pueden conceder a las miniaplicaciones, se contemplan otros permisos. Por ejemplo, algunas miniaplicaciones pueden tener la capacidad de leer credenciales de emisor extendidas, pero solo escribir, eliminar, activar y descargar las propias credenciales de la aplicación (por ejemplo, 21111, que se expande a 00100001 0001 0001 0001). En otro ejemplo más, una aplicación solo puede recibir derechos de activar/desactivar y descargar (por ejemplo, 00000000 0000 0001 0001 o 00011 en hexadecimal). En otro ejemplo más, se puede deshabilitar una aplicación, sin eliminarla de la base de datos de aplicaciones confiables o del Registro de Servicios de Tarjeta, configurando todos los derechos en cero.
Por ejemplo, cuando una miniaplicación necesita interactuar con SE o TEE, podría pasar un identificador digital (como su ID de emisor o ID de aplicación), un token digital (es decir, ID de compilación o ID de token secreto), la acción deseada y cualquier argumento asociado necesario para la acción de ThIM. ThIM verifica que el par identificador digital-token digital coincida con los datos de la aplicación confiable en la tabla de datos seguros y luego el ThIM emitiría uno o más comandos al SE o TEE necesarios para ejecutar la acción solicitada por la miniaplicación. Entre las posibles acciones que puede utilizar la miniaplicación se encuentran las asociadas con:
a. administración de billetera (por ejemplo, configuración, restablecimiento o habilitación de códigos de acceso de billetera; obtener URL del servidor OTA; aprovisionamiento de registro inalámbrico; configuración de tiempo de pago; aumento de tiempo de pago; configuración de tarjeta predeterminada; lista de emisores, lista de credenciales admitidas; configuración de secuencia de visualización de credenciales; establecer la prioridad de almacenamiento de credenciales; crear categorías/carpetas; asociar credenciales con categorías; auditoría de memoria; determinar el elemento seguro (SE) para el almacenamiento de credenciales; obtener ofertas; actualizar el estado de la billetera);
b. administración de credenciales (por ejemplo, agregar credencial; ver detalles de la credencial; eliminar credencial; activar credencial (para canje/pago); desactivar credencial; buscar credenciales; enumerar la capacidad de credencial; establecer credencial predeterminada; bloquear/desbloquear credencial; requerir acceso con código de acceso, obtener imagen de credencial; establecer contraseña de acceso);
c. Administración de Memoria de alta seguridad (SE/TEE) (por ejemplo, crear dominios de seguridad para emisores, rotar claves, cargar aplicaciones, actualizar aplicaciones, bloquear/desbloquear carteras, bloquear/desbloquear SE);
d. Personalización (por ejemplo, agregar credencial; eliminar credencial; suspender/reactivar credencial; notificación de actualización de metadatos del emisor; notificación de actualización de metadatos de tarjeta).
La descripción y los dibujos anteriores simplemente explican e ilustran la invención y la invención no se limita a ellos. Si bien la memoria descriptiva se describe en relación con ciertas implementaciones o realizaciones, se exponen muchos detalles con fines ilustrativos. Por lo que, lo anterior simplemente ilustra los principios de la invención. La invención se especifica en las reivindicaciones adjuntas.

Claims (3)

REIVINDICACIONES
1. Un sistema (100) para la generación, almacenamiento, administración y uso de uno o más secretos digitales en asociación con un dispositivo electrónico portátil, comprendiendo el sistema:
- una memoria de alta seguridad (150) en el dispositivo electrónico portátil, que almacena solo una o más claves del emisor;
- una keystore implementada en el dispositivo electrónico portátil fuera de la memoria de alta seguridad;
- una o más miniaplicaciones criptográficas implementadas en el dispositivo electrónico portátil de la memoria de alta seguridad;
- un módulo intermediario de alta confianza, ThIM, (200) implementado fuera de la memoria de alta seguridad, el ThIM establece y gestiona un enlace de comunicación de alta confianza entre la memoria de alta seguridad, el keystore, una o más miniaplicaciones criptográficas y al menos una aplicación de terceros, en la que el ThIM sondea el dispositivo electrónico portátil, la memoria de alta seguridad, el keystore, una o más miniaplicaciones criptográficas, para determinar un puntaje de confianza, un costo de inicialización y un costo de transacción para cada componente en el dispositivo electrónico portátil, el ThIM proporciona unos parámetros de interacción aceptables para aplicaciones de terceros confiables basados en el puntaje de confianza, el costo de inicialización y el costo de transacción, el ThIM administra comunicaciones altamente confiables entre la aplicación de terceros confiable y la memoria altamente segura, de acuerdo con los parámetros de interacción aceptables.
2. Un sistema (100) para la generación, almacenamiento, administración y uso de uno o más secretos digitales en asociación con un dispositivo electrónico portátil, comprendiendo el sistema:
- una memoria altamente segura (150) en el dispositivo electrónico portátil, que almacena solo una o más claves del emisor;
- una keystore implementada en el dispositivo electrónico portátil fuera de la memoria de alta seguridad;
- una o más miniaplicaciones criptográficas implementadas en el dispositivo electrónico portátil de la memoria de alta seguridad;
- un módulo intermediario de alta confianza, el ThIM, (200) implementado fuera de la memoria de alta seguridad, el ThIM establece y administra un enlace de comunicación de alta confianza entre la memoria de alta seguridad, el keystore, una o más miniaplicaciones criptográficas y al menos una aplicación de terceros, en donde, el ThIM sondea el dispositivo electrónico portátil, la memoria de alta seguridad, el keystore, una o más miniaplicaciones criptográficas, para determinar un puntaje de confianza para cada componente, el ThIM permite que una aplicación de terceros confiable determine los parámetros de interacción aceptables en función del puntaje de confianza, el ThIM administra comunicaciones altamente confiables entre la aplicación de terceros confiable y la memoria altamente segura, de acuerdo con los parámetros de interacción aceptables.
3. El sistema de la Reivindicación 2, en el que los parámetros de interacción aceptables pueden incluir además datos únicos proporcionados por la aplicación de terceros confiable al ThIM.
ES17783303T 2016-04-14 2017-04-14 Sistema y método para la generación, almacenamiento, administración y uso de uno o más secretos digitales en asociación con un dispositivo electrónico portátil Active ES2918011T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201662322288P 2016-04-14 2016-04-14
PCT/US2017/027749 WO2017181097A1 (en) 2016-04-14 2017-04-14 System and method for generation, storage, administration and use of one or more digital secrets in association with a portable electronic device

Publications (1)

Publication Number Publication Date
ES2918011T3 true ES2918011T3 (es) 2022-07-13

Family

ID=60038940

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17783303T Active ES2918011T3 (es) 2016-04-14 2017-04-14 Sistema y método para la generación, almacenamiento, administración y uso de uno o más secretos digitales en asociación con un dispositivo electrónico portátil

Country Status (6)

Country Link
US (1) US11829506B2 (es)
EP (1) EP3443462B8 (es)
JP (2) JP7186163B2 (es)
CN (1) CN109643282B (es)
ES (1) ES2918011T3 (es)
WO (1) WO2017181097A1 (es)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180367528A1 (en) * 2017-06-12 2018-12-20 Cyberark Software Ltd. Seamless Provision of Authentication Credential Data to Cloud-Based Assets on Demand
US10027658B1 (en) * 2017-06-12 2018-07-17 Cyberark Software Ltd Seamless provision of secret token to cloud-based assets on demand
US10911236B2 (en) * 2017-12-13 2021-02-02 Paypal, Inc. Systems and methods updating cryptographic processes in white-box cryptography
US11483306B2 (en) 2018-03-26 2022-10-25 Matrics2, Inc. Secure communication with random numbers
CN111357255B (zh) * 2018-04-27 2021-11-19 华为技术有限公司 构建多个应用通用的可信应用
KR102498326B1 (ko) * 2018-06-19 2023-02-10 주식회사 직방 고유의 마스터 키를 가지는 디지털 도어락 및 그 조작 방법
KR102605461B1 (ko) * 2018-09-20 2023-11-23 삼성전자주식회사 보안 엘리먼트를 이용하여 서비스를 제공하는 전자 장치 및 그의 동작 방법
US11316851B2 (en) * 2019-06-19 2022-04-26 EMC IP Holding Company LLC Security for network environment using trust scoring based on power consumption of devices within network
CN115187237B (zh) * 2022-07-08 2023-03-24 深圳市深圳通有限公司 数字人民币硬钱包的交易方法、装置、终端设备以及介质

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5604801A (en) 1995-02-03 1997-02-18 International Business Machines Corporation Public key data communications system under control of a portable security device
US6246767B1 (en) * 1995-04-03 2001-06-12 Scientific-Atlanta, Inc. Source authentication of download information in a conditional access system
US20080215474A1 (en) * 2000-01-19 2008-09-04 Innovation International Americas, Inc. Systems and methods for management of intangible assets
US6986052B1 (en) 2000-06-30 2006-01-10 Intel Corporation Method and apparatus for secure execution using a secure memory partition
US7181017B1 (en) * 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
WO2003084175A1 (en) * 2002-03-27 2003-10-09 Barracuda Innovations Pte Ltd. A system and method for secure electronic transaction using a registered intelligent telecommunication device
EP1365537B1 (de) 2002-05-24 2004-07-07 Swisscom Mobile AG Vorrichtungen und Verfahren zur Zertifizierung von digitalen Unterschriften
JP2004199138A (ja) 2002-12-16 2004-07-15 Matsushita Electric Ind Co Ltd メモリデバイスとそれを使用する電子機器
FI20051022A (fi) * 2005-10-11 2007-04-12 Meridea Financial Software Oy Menetelmä, laite, palvelinjärjestely, järjestelmä ja tietokoneohjelmatuotteet datan tallentamiseksi turvallisesti kannettavassa laitteessa
US8763110B2 (en) * 2006-11-14 2014-06-24 Sandisk Technologies Inc. Apparatuses for binding content to a separate memory device
WO2009013700A2 (en) 2007-07-24 2009-01-29 Nxp B.V. Method, system and trusted service manager for securely transmitting an application to a mobile phone
US20090234751A1 (en) * 2008-03-14 2009-09-17 Eric Chan Electronic wallet for a wireless mobile device
US8713325B2 (en) * 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
EP2515239B1 (en) 2009-12-14 2017-03-29 Panasonic Intellectual Property Management Co., Ltd. Information processing apparatus
US8621636B2 (en) * 2009-12-17 2013-12-31 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for collecting and reporting sensor data in a communication network
EP2577936A2 (en) 2010-05-28 2013-04-10 Lawrence A. Laurich Accelerator system for use with secure data storage
WO2012031165A2 (en) * 2010-09-02 2012-03-08 Zaretsky, Howard System and method of cost oriented software profiling
US9607293B2 (en) * 2010-11-29 2017-03-28 Barclays Bank Plc Method and system for account management and electronic wallet access on a mobile device
US20120159612A1 (en) * 2010-11-17 2012-06-21 Sequent Software Inc. System for Storing One or More Passwords in a Secure Element
US20120123868A1 (en) 2010-11-17 2012-05-17 David Brudnicki System and Method for Physical-World Based Dynamic Contactless Data Emulation in a Portable Communication Device
US8850200B1 (en) * 2011-06-21 2014-09-30 Synectic Design, LLC Method and apparatus for secure communications through a trusted intermediary server
US9721071B2 (en) * 2011-06-29 2017-08-01 Sonic Ip, Inc. Binding of cryptographic content using unique device characteristics with server heuristics
US9529996B2 (en) * 2011-10-11 2016-12-27 Citrix Systems, Inc. Controlling mobile device access to enterprise resources
US9317702B2 (en) * 2011-11-29 2016-04-19 Sony Corporation System and method for providing secure inter-process communications
US8925055B2 (en) * 2011-12-07 2014-12-30 Telefonaktiebolaget Lm Ericsson (Publ) Device using secure processing zone to establish trust for digital rights management
US9015066B2 (en) * 2011-12-13 2015-04-21 Ebay Inc. Digital wallet loading
US20140040139A1 (en) * 2011-12-19 2014-02-06 Sequent Software, Inc. System and method for dynamic temporary payment authorization in a portable communication device
US8831217B2 (en) 2012-04-10 2014-09-09 Western Digital Technologies, Inc. Digital rights management system and methods for accessing content from an intelligent storage
US9275223B2 (en) 2012-10-19 2016-03-01 Mcafee, Inc. Real-time module protection
US9911118B2 (en) * 2012-11-21 2018-03-06 Visa International Service Association Device pairing via trusted intermediary
US20140145823A1 (en) * 2012-11-27 2014-05-29 Assa Abloy Ab Access control system
US20140210589A1 (en) * 2013-01-29 2014-07-31 Mary Adele Grace Smart card and smart system with enhanced security features
US9317704B2 (en) 2013-06-12 2016-04-19 Sequent Software, Inc. System and method for initially establishing and periodically confirming trust in a software application
JP6210812B2 (ja) 2013-09-24 2017-10-11 キヤノン株式会社 情報処理装置およびその制御方法、並びにプログラム
US9774448B2 (en) * 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
US20150326545A1 (en) * 2014-05-06 2015-11-12 Apple Inc. Secure key rotation for an issuer security domain of an electronic device
US9775029B2 (en) * 2014-08-22 2017-09-26 Visa International Service Association Embedding cloud-based functionalities in a communication device

Also Published As

Publication number Publication date
JP2022172099A (ja) 2022-11-15
EP3443462B8 (en) 2022-05-18
EP3443462A4 (en) 2020-02-26
US20170300716A1 (en) 2017-10-19
CN109643282B (zh) 2023-08-25
US11829506B2 (en) 2023-11-28
EP3443462A1 (en) 2019-02-20
EP3443462B1 (en) 2022-04-13
JP7186163B2 (ja) 2022-12-08
WO2017181097A1 (en) 2017-10-19
JP2019517229A (ja) 2019-06-20
CN109643282A (zh) 2019-04-16

Similar Documents

Publication Publication Date Title
ES2918011T3 (es) Sistema y método para la generación, almacenamiento, administración y uso de uno o más secretos digitales en asociación con un dispositivo electrónico portátil
JP7043701B2 (ja) ソフトウェアアプリケーションの信頼を最初に確立し、かつ定期的に確認するシステム及び方法
ES2919336T3 (es) Sistema y método para proporcionar permisos de comunicación de datos de seguridad a aplicaciones de confianza en un dispositivo de comunicación portátil
JP6818679B2 (ja) セキュアホストカードエミュレーションクレデンシャル
CN107070661B (zh) 移动设备上个人和服务提供商的信息的安全重置
AU2013248936B2 (en) Multi-issuer secure element partition architecture for NFC enabled devices
Dmitrienko et al. Secure free-floating car sharing for offline cars
Cheng et al. A secure and practical key management mechanism for NFC read-write mode
Crowe et al. Mobile Phone Technology:“Smarter” Than We Thought
Ranasinghe et al. RFID/NFC device with embedded fingerprint authentication system
US20180240111A1 (en) Security architecture for device applications
KR20200013494A (ko) 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법
Saha et al. Survey of strong authentication approaches for mobile proximity and remote wallet applications-Challenges and evolution
AU2013203275B1 (en) Secure reset of personal and service provider information on mobile devices