Dispositivo y procedimiento para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo.

Dispositivo para proteger un módulo de seguridad (7) frente a intentos de manipulación en un aparato de campo

(10; 20), con:

un equipo de control (1) diseñado para

controlar el aparato de campo (10; 20); y

un módulo de seguridad (7) diseñado para

mantener disponibles datos clave criptográficos para su utilización mediante el equipo de control (1);

caracterizado por un equipo de interfaz (6) conectado entre el equipo de control (1) y el módulo de seguridad (7) y que posibilita una comunicación entre el equipo de control (1) y el módulo de seguridad (7),

y que está diseñado para posibilitar al equipo de control (1) el acceso a los datos clave criptográficos que se mantienen disponibles en el módulo de seguridad (7) e impedir el acceso a los datos clave criptográficos cuando hay un intento de manipulación en el aparato de campo (10; 20).

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/EP2011/072904.

Solicitante: SIEMENS AKTIENGESELLSCHAFT.

Nacionalidad solicitante: Alemania.

Dirección: WITTELSBACHERPLATZ 2 80333 MUNCHEN ALEMANIA.

Inventor/es: FALK,RAINER, FRIES,STEFFEN.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones de seguridad para la protección de... > G06F21/86 (Seguros o carcasas a prueba de manipulaciones)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones de seguridad para la protección de... > G06F21/31 (autenticación del usuario)

PDF original: ES-2532772_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

La presente invención se refiere a un dispositivo y a un procedimiento para proteger un módulo de seguridad frente a intentos de manipulación, en particular en aparatos de campo con protección tamper (frente a manipulación).

Estado de la técnica

Los aparatos de campo industriales como por ejemplo aparatos de control para instalaciones de ferrocarriles y de vías, para el control de semáforos o de indicaciones de cambios en el tráfico o para vigilar oleoductos, se encuentran la mayoría de las veces en sectores públicamente accesibles o de difícil vigilancia por parte del operador, por lo que básicamente no puede excluirse que se logre un acceso no autorizado a un aparato de campo y en base a ello puedan realizarse intentos de manipulación. En este contexto se habla también de un "tampering" cuando existen intervenciones y manipulaciones no autorizadas.

Puesto que los aparatos de campo disponen de una funcionalidad de seguridad integrada, mediante la cual se asegura criptográficamente por ejemplo la comunicación externa con centros de mando o centros de cálculo, es necesario proteger suficientemente frente a un tampering los correspondientes datos relevantes para la seguridad, que necesita el aparato de campo para un funcionamiento correcto.

Para memorlzar datos relevantes para la seguridad como por ejemplo claves criptográficas de comunicación, son básicamente adecuados chips de seguridad previstos especialmente para esta función, por ejemplo circuitos integrados de seguridad, que memorizan con seguridad los datos clave y también realizan cálculos criptográficos necesarios con los datos clave internamente en el chip. El propio chip de seguridad está entonces la mayoría de las veces protegido frente a manipulación, es decir, integrado en un entorno adecuado protegido frente a manipulación.

Tales chips de seguridad no pueden dotarse desde luego de sensores de tamper externos o de sensores de manipulación con los que puedan detectarse intentos de manipulación fuera del entorno protegido frente a manipulación, en el que está integrado el propio chip. No obstante, también para tales intentos de manipulación es deseable poder garantizar que se mantienen secretos los datos relevantes para la seguridad en el chip de seguridad.

En el caso de un intento de manipulación en el aparato de campo, el responsable de desencadenar medidas de seguridad es hasta ahora la unidad de ordenador o equipo de control del aparato de campo. Para ello debe encontrarse el equipo de control en un modo de servicio activo. No obstante a menudo está conectado el equipo de control a inactivo o bien en el caso de la manipulación incluso no es capaz de funcionar o no está alimentado con suficiente corriente.

El documento US 27/255966 A1 da a conocer un circuito criptográfico con una memoria de datos segura y una unidad funcional del sistema, que accede a la memoria de datos.

El documento DE 1 26 14 133 A1 da a conocer un dispositivo con una memoria de datos que está rodeado por una unidad de protección física, una unidad de borrado y una unidad de acceso, que permite un acceso externo a la memoria de datos.

El documento US 29/16563 A1 da a conocer un sistema que protege datos almacenados en una memoria frente a manipulación.

El documento US 28/22243 A1 da a conocer un sistema protegido frente a manipulación con un aparato de control y una memoria de datos segura, protegida frente a maniobras de manipulación.

Existe por lo tanto una necesidad de soluciones con ayuda de las cuales puedan desencadenarse de manera fiable, eficiente y rápida medidas de seguridad adecuadas para asegurar que se mantienen secretos datos relevantes para la seguridad en un chip de seguridad de un aparato de campo cuando se realizan intentos de manipulación en el aparato de campo.

Resumen de la invención

Una idea de la presente invención es prever una interfaz intermedia entre un equipo de control de un aparato de campo y un módulo de seguridad tradicional, que vigila el intercambio de datos relevantes para la seguridad entre el equipo de control y el módulo de seguridad y que cuando existan intentos de manipulación en el aparato de campo pueda desencadenar autónomamente las medidas necesarias para mantener secretos los datos relevantes para la seguridad. La interfaz intermedia emula tanto para el

equipo de control como también para el módulo de seguridad un interlocutor de comunicación tradicional, con lo que no son necesarias modificaciones en los protocolos de comunicación existentes.

Una forma de ejecución de la presente invención según la reivindicación 1 consiste por lo tanto en un dispositivo para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo, con un equipo de control diseñado para controlar el aparato de campo, un módulo de seguridad diseñado para mantener disponibles datos clave criptográficos para su utilización mediante el equipo de control y un equipo de interfaz conectado entre el equipo de control y el módulo de seguridad, que posibilita una comunicación entre el equipo de control y el módulo de seguridad y que está diseñado para permitir al equipo de control el acceso a los datos clave criptográficos que se mantienen disponibles en el módulo de seguridad y, cuando hay un intento de manipulación en el aparato de campo, impedir el acceso a los datos clave criptográficos. Esto ofrece la ventaja de poder equipar aparatos de campo con módulos de seguridad tradicionales de manera eficiente y económica, sin tener que modificar componentes existentes del aparato de campo.

Según una forma de ejecución preferente incluye el dispositivo sensores de manipulación, conectados con el equipo de interfaz y que están diseñados para detectar intentos de manipulación en el aparato de campo o en un entorno protegido frente a manipulación del módulo de seguridad y señalizarlo al equipo de interfaz. Así puede iniciar el equipo de interfaz autónomamente y sin apoyo del equipo de control medidas de seguridad adecuadas en intentos de manipulación. En particular en el estado inactivo del equipo de control pueden así desencadenarse rápida y fiablemente medidas de seguridad para asegurar los datos clave criptográficos.

Preferiblemente el equipo de interfaz es un módulo de hardware, por ejemplo un módulo lógico programable. Esto ofrece la ventaja de que el equipo de interfaz puede configurarse compacto, económico y cumpliendo su finalidad con un funcionamiento adecuado.

Según una forma de ejecución ventajosa incluye el dispositivo además una fuente de alimentación, conectada con el equipo de interfaz y que está diseñada para alimentar eléctricamente, al menos temporalmente, el equipo de interfaz. Esto tiene la ventaja de que cuando se detectan intentos de manipulación no tiene que activarse primeramente el equipo de control para desencadenar medidas de seguridad. Es especialmente ventajoso que también cuando se interrumpan alimentaciones eléctricas de otro tipo del aparato de campo y/o del equipo de control, el equipo de interfaz permanezca alimentado eléctricamente hasta que puedan haberse llevado a cabo medidas de seguridad adecuadas para mantener secretos los datos clave criptográficos en el módulo de seguridad.

La presente Invención logra además un procedimiento según la reivindicación 8 para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo, con las etapas: Enviar una petición de un equipo de control del aparato de campo relativa a datos clave criptográficos de un módulo de seguridad a un equipo de interfaz;

comprobar en el equipo de interfaz si se ha detectado un intento de manipulación en el aparato de campo; transmitir los datos clave criptográficos del módulo... [Seguir leyendo]

 


Reivindicaciones:

1. Dispositivo para proteger un módulo de seguridad (7) frente a intentos de manipulación en un aparato de campo (1; 2), con:

un equipo de control (1) diseñado para controlar el aparato de campo (1; 2); y un módulo de seguridad (7) diseñado para

mantener disponibles datos clave criptográficos para su utilización mediante el equipo de control (1); caracterizado por un equipo de interfaz (6) conectado entre el equipo de control (1) y el módulo de seguridad (7) y que posibilita una comunicación entre el equipo de control (1) y el módulo de seguridad

(7),

y que está diseñado para posibilitar al equipo de control (1) el acceso a los datos clave criptográficos que se mantienen disponibles en el módulo de seguridad (7) e impedir el acceso a los datos clave criptográficos cuando hay un intento de manipulación en el aparato de campo (1; 2).

2. Dispositivo según la reivindicación 1, además con:

un primer sensor de manipulación (8), conectado al equipo de interfaz (6) y que está diseñado para detectar intentos de manipulación en el aparato de campo (1; 2) e indicarlos al equipo de interfaz (6).

3. Dispositivo según la reivindicación 1 ó 2,

en el que el módulo de seguridad (7) y el equipo de interfaz (6) están integrado en un entorno protegido frente a manipulación (21).

4. Dispositivo según la reivindicación 3, además con:

un segundo sensor de manipulación (28), que está conectado con el equipo de interfaz (6), que está integrado en el entorno protegido frente a manipulación (21) y que está diseñado para detectar intentos de manipulación en el entorno protegido frente a manipulación (21) e Indicarlos al equipo de interfaz (6).

5. Dispositivo según una de las reivindicaciones precedentes, además con:

un equipo de entrada/salida (2), conectado con el equipo de control (1) y que está diseñado para proporcionar una comunicación externa al equipo de control (1),

un tercer sensor de manipulación (5), que está conectado con el equipo de entrada/salida (2) y que está diseñado para detectar intentos de manipulación en el aparato de campo (1; 2) e Indicarlos al equipo de control (1),

un equipo de memoria (4), conectado con el equipo de control (1) y diseñado para memorizar datos utilizados en el equipo de control (1)

6. Dispositivo según una de las reivindicaciones precedentes,

en el que el equipo de interfaz (6) es un módulo lógico programable.

7. Dispositivo según una de las reivindicaciones precedentes, además con:

una fuente de alimentación, conectada con el equipo de interfaz (6) y que está diseñada para alimentar eléctricamente, al menos temporalmente, el equipo de interfaz (6).

8. Procedimiento para proteger un módulo de seguridad (7) frente a intentos de manipulación en un aparato de campo (1; 2), con las etapas:

enviar a un equipo de interfaz (6) una petición de un equipo de control (1) en el aparato de campo (1; 2) relativa a datos clave criptográficos de un módulo de seguridad (7);

comprobar en el equipo de interfaz (6) si se ha detectado un intento de manipulación en el aparato de campo (1; 2);

transmitir los datos clave criptográficos del módulo de seguridad (7) al equipo de control (1) mediante el equipo de interfaz (6), si no se ha detectado ningún intento de manipulación; e impedir la transmisión de los datos clave criptográficos del módulo de seguridad (7) al equipo de control (1) mediante el equipo de interfaz (6), si se ha detectado un intento de manipulación.

9. Procedimiento según la reivindicación 8, además con la etapa:

borrado de los datos clave criptográficos en el módulo de seguridad (7) mediante el equipo de interfaz (6), cuando se ha detectado un intento de manipulación.

1. Procedimiento según la reivindicación 8 ó 9,

en el que el envío de la petición incluye una autentificación del equipo de control (1) frente al módulo de seguridad (7).

11. Procedimiento según la reivindicación 1,

en el que la evitación de la transmisión incluye impedir la autentificación del equipo de control (1) frente al módulo de seguridad (7) mediante el equipo de interfaz (6).

12. Procedimiento según una de las reivindicaciones 8 a 11,

en el que la evitación de la transmisión incluye un bloqueo de la comunicación del equipo de control (1) con el módulo de seguridad (7) mediante el equipo de interfaz (6).

13. Procedimiento según una de las reivindicaciones 8 a 12,

en el que la comprobación en el equipo de interfaz (6) de si se ha detectado un intento de manipulación en el aparato de campo (1; 2) incluye la evaluación de un sensor de manipulación (8; 28) conectado con el equipo de interfaz (6).

14. Procedimiento según una de las reivindicaciones 8 a 13, además con la etapa:

alimentación eléctrica, al menos temporal, del equipo de interfaz (6) mediante una fuente de alimentación, cuando la alimentación eléctrica del equipo de control (1) y/o del aparato de campo (1; 2) está interrumpida o el equipo de control (1) está conectado a inactivo.

15. Aparato de campo (1; 2) con un dispositivo según una de las reivindicaciones 1 a 7.