Procedimiento y dispositivo para proporcionar una clave criptográfica para un aparato de campo.

Dispositivo de seguridad (2) para proporcionar una clave criptográfica para un aparato de campo (3),

caracterizado porque el dispositivo de seguridad (2) está conectado con al menos un sensor tamper (8, 9) asociado al aparato de campo (3), que al detectarse una manipulación física realizada en el aparato de campo (3) emite un aviso de manipulación,

en el que el dispositivo de seguridad (2) proporciona la clave criptográfica al aparato de campo (3) sólo cuando el dispositivo de seguridad (2) no recibe de los sensores tamper (8, 9) asociados al aparato de campo (3) ningún aviso de manipulación.

La invención se refiere a un procedimiento y a un dispositivo para proporcionar una clave criptográfica para un aparato de campo, en particular un aparato de campo industrial.

Los aparatos de campo industriales que cumplen funciones de control, por ejemplo un control de válvula, disponen en muchos casos de sensores y actuadores o de otros subsistemas. Para proteger una comunicación de datos frente a manipulaciones, es necesario memorizar de forma protegida en los aparatos de campo claves y/o credenciales criptográficas. Para tales aparatos de campo, que están Instalados a menudo en zonas en las que son accesibles a atacantes, es necesario proteger estos aparatos de campo frente a manipulaciones físicas. Por ello se memorizan hasta ahora en aparatos de campo tradicionales datos sensibles, en particular claves criptográficas, en una zona que ofrece localmente una cierta protección frente a manipulaciones, por ejemplo en una carcasa especialmente protegida, que dispone por ejemplo de una llamada malla de alambre o bien wire mesh o bien una rejilla conductora de seguridad, es decir, un sistema sensórlco de red de alambre que cuando hay una manipulación en la carcasa detecta esta manipulación y dado el caso origina un borrado automático de los datos memorizados. Tales sensores se denominan también sensores tamper (de manipulación). En general se conoce así una vigilancia tamper mediante sensores tamper, en la que los sensores tamper necesitan no obstante por lo general una alimentación eléctrica. Se conocen medidas de protección físicas que dificultan un tampering (manipulación), por ejemplo carcasas especiales o unidades constructivas encapsuladas. Una tal vigilancia tamper local necesita no obstante una alimentación eléctrica permanente o bien una batería tampón. En el caso de que la energía eléctrica disponible mediante la batería decaiga, queda la vigilancia tamper fuera de servicio. Además, en esta forma de proceder tradicional debe dotarse cada aparato de campo de una tal vigilancia tamper o de una tal protección tamper separada, con lo que el coste técnico es relativamente alto.

Un tal proceder se conoce por ejemplo por "SEKEN: secure and efficient key exchange for sensor networks" (SEKEN: Intercambio de claves seguro y eficiente para redes de sensores"), Kamran Jamshaid, Loren Schwiebert, 24 IEEE CONFERENCIA INTERNACIONAL SOBRE PRESTACIONES, COMPUTACIÓN Y COMUNICACIONES, PHOENIX, AZ ABRIL 15-17, 24, ISBN: 978--783-8396-8.

Por lo tanto es una tarea de la presente invención lograr un procedimiento y un dispositivo que ofrezca una protección potente tamper o frente a manipulación para aparatos de campo y que a la vez evite los inconvenientes de los equipos tradicionales de vigilancia y protección tamper utilizados hasta ahora.

Esta tarea se resuelve en el marco de la invención mediante un dispositivo de seguridad con las características indicadas en la reivindicación 1.

La invención logra un dispositivo de seguridad para proporcionar una clave criptográfica para un aparato

de campo,

estando el dispositivo de seguridad conectado con al menos un sensor tamper asociado al aparato de campo, que cuando detecta una manipulación física realizada en el aparato de campo emite un aviso de manipulación,

proporcionándose la clave criptográfica al aparato de campo mediante el dispositivo de seguridad sólo cuando el dispositivo de seguridad no recibe ningún aviso de manipulación de los sensores tamper asociados al aparato de campo.

El dispositivo de seguridad no está montado en el aparato de campo a vigilar, sino conectado mediante una red con el aparato de campo, es decir, la vigilancia tamper del aparato de campo no se realiza localmente, sino de forma remota mediante un dispositivo de seguridad situado alejado. Por lo tanto no es necesaria en la vigilancia tamper correspondiente a la invención una alimentación eléctrica duradera y/o permanente, por ejemplo mediante una batería tampón en el aparato de campo. Además en la vigilancia tamper correspondiente a la invención mediante el dispositivo de seguridad según la invención el coste técnico es relativamente bajo, ya que los correspondientes aparatos de campo no tienen que dotarse de una protección tamper local.

En una forma de ejecución posible del dispositivo de seguridad correspondiente a la invención, están conectados los sensores tamper inalámbricamente o mediante hilos con el dispositivo de seguridad.

Una conexión inalámbrica de los sensores tamper con el dispositivo de seguridad permite una instalación sencilla del aparato de campo y reduce así el coste técnico para la implementación.

En otra forma de ejecución posible del dispositivo de seguridad correspondiente a la invención, están montados los sensores tamper directamente en el aparato de campo o bien integrados en el aparato de campo.

En otra forma de ejecución posible del dispositivo de seguridad correspondiente a la invención están montados los sensores tamper en una carcasa cerrada y/o en un armario de maniobra en el que se encuentra el correspondiente aparato de campo.

En otra forma de ejecución posible del dispositivo de seguridad correspondiente a la invención, se proporciona la clave criptográfica al correspondiente aparato de campo cuando el mismo se anuncia a una red sólo tras una autentificación con éxito frente al dispositivo de seguridad.

En otra forma de ejecución posible del dispositivo de seguridad correspondiente a la invención, utiliza el aparato de campo la clave criptográfica proporcionada para la codificación o decodificación de mensajes que intercambia el aparato de campo con otros aparatos de campo o con un nodo de pasarela (gateway) de la red.

Además es posible que el aparato de campo utilice la clave criptográfica proporcionada para decodificar datos memorizados localmente en el aparato de campo.

En otra forma de ejecución posible del dispositivo de seguridad correspondiente a la invención, presenta el mismo una unidad lectora, que recibe avisos inalámbricamente de los sensores tamper.

En una forma de ejecución posible del dispositivo de seguridad correspondiente a la invención, los sensores tamper son sensores activos, que disponen de una alimentación eléctrica propia.

En una forma de ejecución alternativa preferente los sensores tamper son sensores pasivos, que no disponen de una alimentación eléctrica propia.

Los sensores tamper sirven para detectar manipulaciones físicas, que puede realizar un atacante en el aparato de campo.

En una forma de ejecución posible son estos sensores tamper interruptores eléctricos o magnéticos para detectar una abertura en una carcasa o en un armario de maniobra.

Además los sensores tamper pueden ser sensores para captar radiación electromagnética.

Los sensores pueden ser en particular sensores de luz y/o sensores de barrera luminosa.

En otra forma de ejecución posible incluyen los sensores tamper también sensores para detectar haces de iones.

En otra forma de ejecución posible presentan los sensores tamper también sensores de temperatura para detectar una variación de temperatura.

En otra forma de ejecución posible presentan los sensores tamper también sensores de aproximación.

En otra forma de ejecución posible presentan los sensores tamper también sensores de vibración, que detectan una variación de posición.

En otra forma de ejecución posible presentan los sensores tamper también mallas de alambre, previstas en una envolvente encapsulada o bien en una carcasa encapsulada.

Son posibles otros tipos de sensores tamper, que pueden presentar un efecto físico que aparece cuando tiene lugar una manipulación física.

Preferiblemente se utilizan en el dispositivo de seguridad correspondiente a la invención sensores tamper pasivos, que no necesitan ninguna alimentación eléctrica propia.

En una forma de ejecución posible del dispositivo de seguridad correspondiente a la invención obtienen estos sensores tamper pasivos en cada momento su energía para generar el aviso de manipulación al dispositivo de seguridad de una energía que resulta de la manipulación física. Si se encuentra por ejemplo un sensor tamper sobre una luna de vidrio, que se golpea con un martillo, puede obtenerse en una posible forma de ejecución un sensor tamper que para generar el aviso de manipulación obtiene la energía necesaria de la energía mecánica que aparece debido al golpe del martillo.

En una forma de ejecución alternativa obtienen los sensores tamper pasivos en cada caso su energía para generar el aviso de manipulación al dispositivo de seguridad de un campo emitido por el dispositivo de seguridad, en particular... [Seguir leyendo]

1. Dispositivo de seguridad (2) para proporcionar una clave criptográfica para un aparato de campo (3), caracterizado porque el dispositivo de seguridad (2) está conectado con al menos un sensor tamper (8, 9) asociado al aparato de campo (3), que al detectarse una manipulación física realizada en el aparato de campo (3) emite un aviso de manipulación,

en el que el dispositivo de seguridad (2) proporciona la clave criptográfica al aparato de campo (3) sólo cuando el dispositivo de seguridad (2) no recibe de los sensores tamper (8, 9) asociados al aparato de campo (3) ningún aviso de manipulación.

2. Dispositivo de seguridad según la reivindicación 1,

en el que los sensores tamper (8, 9) están conectados inalámbricamente o mediante hilos con el dispositivo de seguridad (2).

3. Dispositivo de seguridad según la reivindicación 1 ó 2,

en el que los sensores tamper (8, 9) están conectados directamente al aparato de campo (3) o bien están montados en una carcasa cerrada y/o armario de maniobra (4) en el que se encuentra el aparato de campo (3).

4. Dispositivo de seguridad según la reivindicación 1-3,

en el que el dispositivo de seguridad (2) proporciona la clave criptográfica al aparato de campo (3) cuando el mismo se anuncia a una red sólo tras la autentificación con éxito del aparato de campo (3) frente al dispositivo de seguridad (2).

5. Dispositivo de seguridad según la reivindicación 1-4,

en el que el aparato de campo (3) utiliza la clave criptográfica proporcionada por el dispositivo de seguridad (2) para codificar o decodificar mensajes que intercambia el aparato de campo (3) con otros aparatos de campo o un nodo de pasarela (7) de una red.

6. Dispositivo de seguridad según una de las reivindicaciones precedentes 1-5,

en el que el dispositivo de seguridad (2) presenta una unidad lectora (6) que recibe avisos de los sensores tamper inalámbricamente.

7. Dispositivo de seguridad según la reivindicación 1-6,

en el que los sensores tamper (8, 9) conectados con el dispositivo de seguridad (2) son sensores activos o pasivos para detectar manipulaciones físicas en el aparato de campo (3), presentando los sensores tamper (8, 9) en particular interruptores eléctricos o magnéticos, sensores para detectar radiación electromagnética, sensores para detectar radiaciones iónicas, sensores de temperatura para detectar variaciones de temperatura, sensores de aproximación para detectar la aproximación de un objeto, sensores de movimiento o sensores de red de alambre.

8. Dispositivo de seguridad según la reivindicación 1-7,

en el que los sensores tamper pasivos obtienen en cada caso su energía para generar el aviso de manipulación al dispositivo de seguridad (2) de una energía que resulta de la manipulación física.

9. Dispositivo de seguridad según la reivindicación 1-7,

en el que los sensores tamper pasivos obtienen en cada caso su energía para generar el aviso de manipulación al dispositivo de seguridad (2) del campo irradiado por el dispositivo de seguridad (2).

1. Dispositivo de seguridad según una de las reivindicaciones precedentes 1-9,

en el que los sensores tamper asociados al correspondiente aparato de campo (3) se señalizan mediante el aparato de campo (3) al dispositivo de seguridad (2) o bien son consultados por el dispositivo de seguridad (2) en un banco de datos en base a un ID de aparato correspondiente al respectivo aparato de campo (3).

11. Dispositivo de seguridad según la reivindicación 1,

en el que están codificados los sensores tamper asociados al aparato de campo (3) en un certificado digital de aparato del correspondiente aparato de campo (3).

12. Procedimiento para proporcionar una clave criptográfica para un aparato de campo (3),

en el que la clave criptográfica sólo se proporciona al aparato de campo (3) mediante un dispositivo de seguridad (2) cuando el dispositivo de seguridad (2) no recibe de ninguno de los sensores tamper asociados al aparato de campo (3) dentro de un periodo de tiempo predeterminado ningún aviso de manipulación que señalice una manipulación física realizada en el aparato de campo (3).

13. Procedimiento según la reivindicación 12,

en el que la clave criptográfica se proporciona al aparato de campo (3) mediante el dispositivo de seguridad (2) sólo una vez realizada la autentlficaclón con éxito del aparato de campo (3) frente al dispositivo de seguridad (3).

14. Procedimiento según la reivindicación 12 ó 13,

en el que los sensores tamper (8, 9) obtienen la energía para generar un aviso de manipulación de una energía que aparece durante la manipulación o de un campo irradiado por el dispositivo de seguridad (2).

15. Procedimiento según la reivindicación 12-14,

en el que la clave criptográfica proporcionada por el dispositivo de seguridad (2) es una clave de sesión (SK), que utiliza el aparato de campo (3) para la comunicación con otros aparatos de campo (3) o una gateway o pasarela (7) de una red.