Dispositivo y procedimiento para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo.

Dispositivo para proteger un módulo de seguridad (7) frente a intentos de manipulación en un aparato de campo (10;

20), con:

un equipo de control (1) diseñado para

controlar el aparato de campo (10; 20); y

un módulo de seguridad (7) diseñado para

mantener disponibles datos clave criptográficos para su utilización mediante el equipo de control (1);

caracterizado por un equipo de interfaz (6) conectado entre el equipo de control (1) y el módulo de seguridad (7) y que posibilita una comunicación entre el equipo de control (1) y el módulo de seguridad (7),

y que está diseñado para posibilitar al equipo de control (1) el acceso a los datos clave criptográficos que se mantienen disponibles en el módulo de seguridad (7) e impedir el acceso a los datos clave criptográficos cuando hay un intento de manipulación en el aparato de campo (10; 20).

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/EP2011/072904.

Solicitante: SIEMENS AKTIENGESELLSCHAFT.

Nacionalidad solicitante: Alemania.

Dirección: WITTELSBACHERPLATZ 2 80333 MUNCHEN ALEMANIA.

Inventor/es: FALK,RAINER, FRIES,STEFFEN.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • G06F21/31 SECCION G — FISICA.G06 COMPUTO; CALCULO; CONTEO.G06F TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores en los que una parte del cálculo se efectúa hidráulica o neumáticamente G06D, ópticamente G06E; sistemas de computadores basados en modelos de cálculo específicos G06N). › G06F 21/00 Disposiciones de seguridad para la protección de computadores sus componentes, programas o datos contra actividades no autorizadas. › autenticación del usuario.
  • G06F21/86 G06F 21/00 […] › Seguros o carcasas a prueba de manipulaciones.

PDF original: ES-2532772_T3.pdf

 


Fragmento de la descripción:

La presente invención se refiere a un dispositivo y a un procedimiento para proteger un módulo de seguridad frente a intentos de manipulación, en particular en aparatos de campo con protección tamper (frente a manipulación).

Estado de la técnica

Los aparatos de campo industriales como por ejemplo aparatos de control para instalaciones de ferrocarriles y de vías, para el control de semáforos o de indicaciones de cambios en el tráfico o para vigilar oleoductos, se encuentran la mayoría de las veces en sectores públicamente accesibles o de difícil vigilancia por parte del operador, por lo que básicamente no puede excluirse que se logre un acceso no autorizado a un aparato de campo y en base a ello puedan realizarse intentos de manipulación. En este contexto se habla también de un "tampering" cuando existen intervenciones y manipulaciones no autorizadas.

Puesto que los aparatos de campo disponen de una funcionalidad de seguridad integrada, mediante la cual se asegura criptográficamente por ejemplo la comunicación externa con centros de mando o centros de cálculo, es necesario proteger suficientemente frente a un tampering los correspondientes datos relevantes para la seguridad, que necesita el aparato de campo para un funcionamiento correcto.

Para memorlzar datos relevantes para la seguridad como por ejemplo claves criptográficas de comunicación, son básicamente adecuados chips de seguridad previstos especialmente para esta función, por ejemplo circuitos integrados de seguridad, que memorizan con seguridad los datos clave y también realizan cálculos criptográficos necesarios con los datos clave internamente en el chip. El propio chip de seguridad está entonces la mayoría de las veces protegido frente a manipulación, es decir, integrado en un entorno adecuado protegido frente a manipulación.

Tales chips de seguridad no pueden dotarse desde luego de sensores de tamper externos o de sensores de manipulación con los que puedan detectarse intentos de manipulación fuera del entorno protegido frente a manipulación, en el que está integrado el propio chip. No obstante, también para tales intentos de manipulación es deseable poder garantizar que se mantienen secretos los datos relevantes para la seguridad en el chip de seguridad.

En el caso de un intento de manipulación en el aparato de campo, el responsable de desencadenar medidas de seguridad es hasta ahora la unidad de ordenador o equipo de control del aparato de campo. Para ello debe encontrarse el equipo de control en un modo de servicio activo. No obstante a menudo está conectado el equipo de control a inactivo o bien en el caso de la manipulación incluso no es capaz de funcionar o no está alimentado con suficiente corriente.

El documento US 27/255966 A1 da a conocer un circuito criptográfico con una memoria de datos segura y una unidad funcional del sistema, que accede a la memoria de datos.

El documento DE 1 26 14 133 A1 da a conocer un dispositivo con una memoria de datos que está rodeado por una unidad de protección física, una unidad de borrado y una unidad de acceso, que permite un acceso externo a la memoria de datos.

El documento US 29/16563 A1 da a conocer un sistema que protege datos almacenados en una memoria frente a manipulación.

El documento US 28/22243 A1 da a conocer un sistema protegido frente a manipulación con un aparato de control y una memoria de datos segura, protegida frente a maniobras de manipulación.

Existe por lo tanto una necesidad de soluciones con ayuda de las cuales puedan desencadenarse de manera fiable, eficiente y rápida medidas de seguridad adecuadas para asegurar que se mantienen secretos datos relevantes para la seguridad en un chip de seguridad de un aparato de campo cuando se realizan intentos de manipulación en el aparato de campo.

Resumen de la invención

Una idea de la presente invención es prever una interfaz intermedia entre un equipo de control de un aparato de campo y un módulo de seguridad tradicional, que vigila el intercambio de datos relevantes para la seguridad entre el equipo de control y el módulo de seguridad y que cuando existan intentos de manipulación en el aparato de campo pueda desencadenar autónomamente las medidas necesarias para mantener secretos los datos relevantes para la seguridad. La interfaz intermedia emula tanto para el

equipo de control como también para el módulo de seguridad un interlocutor de comunicación tradicional, con lo que no son necesarias modificaciones en los protocolos de comunicación existentes.

Una forma de ejecución de la presente invención según la reivindicación 1 consiste por lo tanto en un dispositivo para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo, con un equipo de control diseñado para controlar el aparato de campo, un módulo de seguridad diseñado para mantener disponibles datos clave criptográficos para su utilización mediante el equipo de control y un equipo de interfaz conectado entre el equipo de control y el módulo de seguridad, que posibilita una comunicación entre el equipo de control y el módulo de seguridad y que está diseñado para permitir al equipo de control el acceso a los datos clave criptográficos que se mantienen disponibles en el módulo de seguridad y, cuando hay un intento de manipulación en el aparato de campo, impedir el acceso a los datos clave criptográficos. Esto ofrece la ventaja de poder equipar aparatos de campo con módulos de seguridad tradicionales de manera eficiente y económica, sin tener que modificar componentes existentes del aparato de campo.

Según una forma de ejecución preferente incluye el dispositivo sensores de manipulación, conectados con el equipo de interfaz y que están diseñados para detectar intentos de manipulación en el aparato de campo o en un entorno protegido frente a manipulación del módulo de seguridad y señalizarlo al equipo de interfaz. Así puede iniciar el equipo de interfaz autónomamente y sin apoyo del equipo de control medidas de seguridad adecuadas en intentos de manipulación. En particular en el estado inactivo del equipo de control pueden así desencadenarse rápida y fiablemente medidas de seguridad para asegurar los datos clave criptográficos.

Preferiblemente el equipo de interfaz es un módulo de hardware, por ejemplo un módulo lógico programable. Esto ofrece la ventaja de que el equipo de interfaz puede configurarse compacto, económico y cumpliendo su finalidad con un funcionamiento adecuado.

Según una forma de ejecución ventajosa incluye el dispositivo además una fuente de alimentación, conectada con el equipo de interfaz y que está diseñada para alimentar eléctricamente, al menos temporalmente, el equipo de interfaz. Esto tiene la ventaja de que cuando se detectan intentos de manipulación no tiene que activarse primeramente el equipo de control para desencadenar medidas de seguridad. Es especialmente ventajoso que también cuando se interrumpan alimentaciones eléctricas de otro tipo del aparato de campo y/o del equipo de control, el equipo de interfaz permanezca alimentado eléctricamente hasta que puedan haberse llevado a cabo medidas de seguridad adecuadas para mantener secretos los datos clave criptográficos en el módulo de seguridad.

La presente Invención logra además un procedimiento según la reivindicación 8 para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo, con las etapas: Enviar una petición de un equipo de control del aparato de campo relativa a datos clave criptográficos de un módulo de seguridad a un equipo de interfaz;

comprobar en el equipo de interfaz si se ha detectado un intento de manipulación en el aparato de campo; transmitir los datos clave criptográficos del módulo de seguridad al equipo de control mediante el equipo de interfaz, si no se ha detectado ningún intento de manipulación; e

impedir la transmisión de los datos clave criptográficos del módulo de seguridad al equipo de control a través del equipo de interfaz, si se ha detectado un intento de manipulación.

Ventajosamente se realiza además un borrado de los datos clave criptográficos en el módulo de seguridad mediante el equipo de interfaz cuando se ha detectado un intento de manipulación. De esta manera puede imposibilitarse ventajosamente que lean datos clave criptográficos en el módulo de seguridad personas no autorizadas, si se ha realizado una manipulación en el aparato de campo.

Según una forma de ejecución, se impide y/o bloquea la autentificación del equipo de control frente al módulo de seguridad o una comunicación del equipo de control con el módulo de seguridad a través del equipo de interfaz. Con ello puede evitarse un acceso posiblemente... [Seguir leyendo]

 


Reivindicaciones:

1. Dispositivo para proteger un módulo de seguridad (7) frente a intentos de manipulación en un aparato de campo (1; 2), con:

un equipo de control (1) diseñado para controlar el aparato de campo (1; 2); y un módulo de seguridad (7) diseñado para

mantener disponibles datos clave criptográficos para su utilización mediante el equipo de control (1); caracterizado por un equipo de interfaz (6) conectado entre el equipo de control (1) y el módulo de seguridad (7) y que posibilita una comunicación entre el equipo de control (1) y el módulo de seguridad

(7),

y que está diseñado para posibilitar al equipo de control (1) el acceso a los datos clave criptográficos que se mantienen disponibles en el módulo de seguridad (7) e impedir el acceso a los datos clave criptográficos cuando hay un intento de manipulación en el aparato de campo (1; 2).

2. Dispositivo según la reivindicación 1, además con:

un primer sensor de manipulación (8), conectado al equipo de interfaz (6) y que está diseñado para detectar intentos de manipulación en el aparato de campo (1; 2) e indicarlos al equipo de interfaz (6).

3. Dispositivo según la reivindicación 1 ó 2,

en el que el módulo de seguridad (7) y el equipo de interfaz (6) están integrado en un entorno protegido frente a manipulación (21).

4. Dispositivo según la reivindicación 3, además con:

un segundo sensor de manipulación (28), que está conectado con el equipo de interfaz (6), que está integrado en el entorno protegido frente a manipulación (21) y que está diseñado para detectar intentos de manipulación en el entorno protegido frente a manipulación (21) e Indicarlos al equipo de interfaz (6).

5. Dispositivo según una de las reivindicaciones precedentes, además con:

un equipo de entrada/salida (2), conectado con el equipo de control (1) y que está diseñado para proporcionar una comunicación externa al equipo de control (1),

un tercer sensor de manipulación (5), que está conectado con el equipo de entrada/salida (2) y que está diseñado para detectar intentos de manipulación en el aparato de campo (1; 2) e Indicarlos al equipo de control (1),

un equipo de memoria (4), conectado con el equipo de control (1) y diseñado para memorizar datos utilizados en el equipo de control (1)

6. Dispositivo según una de las reivindicaciones precedentes,

en el que el equipo de interfaz (6) es un módulo lógico programable.

7. Dispositivo según una de las reivindicaciones precedentes, además con:

una fuente de alimentación, conectada con el equipo de interfaz (6) y que está diseñada para alimentar eléctricamente, al menos temporalmente, el equipo de interfaz (6).

8. Procedimiento para proteger un módulo de seguridad (7) frente a intentos de manipulación en un aparato de campo (1; 2), con las etapas:

enviar a un equipo de interfaz (6) una petición de un equipo de control (1) en el aparato de campo (1; 2) relativa a datos clave criptográficos de un módulo de seguridad (7);

comprobar en el equipo de interfaz (6) si se ha detectado un intento de manipulación en el aparato de campo (1; 2);

transmitir los datos clave criptográficos del módulo de seguridad (7) al equipo de control (1) mediante el equipo de interfaz (6), si no se ha detectado ningún intento de manipulación; e impedir la transmisión de los datos clave criptográficos del módulo de seguridad (7) al equipo de control (1) mediante el equipo de interfaz (6), si se ha detectado un intento de manipulación.

9. Procedimiento según la reivindicación 8, además con la etapa:

borrado de los datos clave criptográficos en el módulo de seguridad (7) mediante el equipo de interfaz (6), cuando se ha detectado un intento de manipulación.

1. Procedimiento según la reivindicación 8 ó 9,

en el que el envío de la petición incluye una autentificación del equipo de control (1) frente al módulo de seguridad (7).

11. Procedimiento según la reivindicación 1,

en el que la evitación de la transmisión incluye impedir la autentificación del equipo de control (1) frente al módulo de seguridad (7) mediante el equipo de interfaz (6).

12. Procedimiento según una de las reivindicaciones 8 a 11,

en el que la evitación de la transmisión incluye un bloqueo de la comunicación del equipo de control (1) con el módulo de seguridad (7) mediante el equipo de interfaz (6).

13. Procedimiento según una de las reivindicaciones 8 a 12,

en el que la comprobación en el equipo de interfaz (6) de si se ha detectado un intento de manipulación en el aparato de campo (1; 2) incluye la evaluación de un sensor de manipulación (8; 28) conectado con el equipo de interfaz (6).

14. Procedimiento según una de las reivindicaciones 8 a 13, además con la etapa:

alimentación eléctrica, al menos temporal, del equipo de interfaz (6) mediante una fuente de alimentación, cuando la alimentación eléctrica del equipo de control (1) y/o del aparato de campo (1; 2) está interrumpida o el equipo de control (1) está conectado a inactivo.

15. Aparato de campo (1; 2) con un dispositivo según una de las reivindicaciones 1 a 7.


 

Patentes similares o relacionadas:

Dispositivo de protección de un componente electrónico, del 4 de Marzo de 2019, de Ingenico Group: Sistema electrónico que comprende: un circuito impreso que incluye unas caras opuestas , primera y segunda, y al menos […]

Módulo de codificación de encriptado, del 16 de Enero de 2019, de Margento R&D d.o.o: Un módulo de codificación de encriptado que permite la comunicación segura de llamadas/voz y datos para teléfonos con cable o inalámbricos, […]

Sistema informático de acceso a datos confidenciales por al menos una carcasa remota y carcasa remota, del 11 de Octubre de 2018, de Groupe des Ecoles Nationales d'Economie et Statistique: Carcasa remota para implementación en un sistema informático de acceso seguro a datos confidenciales por al menos una carcasa remota […]

Procedimiento y dispositivo de detección de un intento de sustitución de una parte de carcasa original de un sistema electrónico por una parte de carcasa de reemplazo, del 18 de Abril de 2018, de Ingenico Group: Lector de tarjetas que comprende una carcasa constituida al menos por una primera parte de carcasa unida a una segunda parte de carcasa , […]

Procedimiento para vigilar una protección antimanipulación así como sistema de vigilancia para un aparato de campo con protección antimanipulación, del 4 de Abril de 2018, de SIEMENS AKTIENGESELLSCHAFT: Procedimiento para vigilar una protección antimanipulación de un aparato de campo que incluye las etapas: comprobación (S1) mediante un equipo […]

Estación de carga y procedimiento para asegurar una estación de carga, del 6 de Diciembre de 2017, de innogy SE: Procedimiento para asegurar una estación de carga, en especial una estación de carga para vehículos eléctricos, que comprende: - el registro […]

Dispositivo de pago electrónico que presenta medios de bloqueo del acceso a la memoria fiscal, del 8 de Noviembre de 2017, de Ingenico Group: Terminal de pago electrónico que comprende un módulo de memorización de datos relativos a al menos una transacción efectuada por medio de dicho terminal, comprendiendo […]

Pestaña protectora de los objetivos de las cámaras de Smartphone, Tablet, Smart tv y Pc, del 11 de Septiembre de 2017, de AMAYA AMAYA, José Manuel: 1. Mecanismo de protección de objetivos de cámaras de Smartphones, Tablets, Smart TV y PC, consistente en una pestaña protectora. La pestaña protectora […]

Otras patentes de SIEMENS AKTIENGESELLSCHAFT