ES2532772T3 - Dispositivo y procedimiento para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo - Google Patents

Dispositivo y procedimiento para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo Download PDF

Info

Publication number
ES2532772T3
ES2532772T3 ES11805467.5T ES11805467T ES2532772T3 ES 2532772 T3 ES2532772 T3 ES 2532772T3 ES 11805467 T ES11805467 T ES 11805467T ES 2532772 T3 ES2532772 T3 ES 2532772T3
Authority
ES
Spain
Prior art keywords
security module
equipment
interface
control equipment
manipulation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES11805467.5T
Other languages
English (en)
Inventor
Rainer Falk
Steffen Fries
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Application granted granted Critical
Publication of ES2532772T3 publication Critical patent/ES2532772T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)
  • Selective Calling Equipment (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

Dispositivo para proteger un módulo de seguridad (7) frente a intentos de manipulación en un aparato de campo (10; 20), con: un equipo de control (1) diseñado para controlar el aparato de campo (10; 20); y un módulo de seguridad (7) diseñado para mantener disponibles datos clave criptográficos para su utilización mediante el equipo de control (1); caracterizado por un equipo de interfaz (6) conectado entre el equipo de control (1) y el módulo de seguridad (7) y que posibilita una comunicación entre el equipo de control (1) y el módulo de seguridad (7), y que está diseñado para posibilitar al equipo de control (1) el acceso a los datos clave criptográficos que se mantienen disponibles en el módulo de seguridad (7) e impedir el acceso a los datos clave criptográficos cuando hay un intento de manipulación en el aparato de campo (10; 20).

Description

E11805467
12-03-2015
DISPOSITIVO Y PROCEDIMIENTO PARA PROTEGER UN MÓDULO DE SEGURIDAD FRENTE A
INTENTOS DE MANIPULACIÓN EN UN APARATO DE CAMPO
DESCRIPCIÓN
La presente invención se refiere a un dispositivo y a un procedimiento para proteger un módulo de seguridad frente a intentos de manipulación, en particular en aparatos de campo con protección tamper (frente a manipulación).
Estado de la técnica
Los aparatos de campo industriales como por ejemplo aparatos de control para instalaciones de ferrocarriles y de vías, para el control de semáforos o de indicaciones de cambios en el tráfico o para vigilar oleoductos, se encuentran la mayoría de las veces en sectores públicamente accesibles o de difícil vigilancia por parte del operador, por lo que básicamente no puede excluirse que se logre un acceso no autorizado a un aparato de campo y en base a ello puedan realizarse intentos de manipulación. En este contexto se habla también de un “tampering” cuando existen intervenciones y manipulaciones no autorizadas.
Puesto que los aparatos de campo disponen de una funcionalidad de seguridad integrada, mediante la cual se asegura criptográficamente por ejemplo la comunicación externa con centros de mando o centros de cálculo, es necesario proteger suficientemente frente a un tampering los correspondientes datos relevantes para la seguridad, que necesita el aparato de campo para un funcionamiento correcto.
Para memorizar datos relevantes para la seguridad como por ejemplo claves criptográficas de comunicación, son básicamente adecuados chips de seguridad previstos especialmente para esta función, por ejemplo circuitos integrados de seguridad, que memorizan con seguridad los datos clave y también realizan cálculos criptográficos necesarios con los datos clave internamente en el chip. El propio chip de seguridad está entonces la mayoría de las veces protegido frente a manipulación, es decir, integrado en un entorno adecuado protegido frente a manipulación.
Tales chips de seguridad no pueden dotarse desde luego de sensores de tamper externos o de sensores de manipulación con los que puedan detectarse intentos de manipulación fuera del entorno protegido frente a manipulación, en el que está integrado el propio chip. No obstante, también para tales intentos de manipulación es deseable poder garantizar que se mantienen secretos los datos relevantes para la seguridad en el chip de seguridad.
En el caso de un intento de manipulación en el aparato de campo, el responsable de desencadenar medidas de seguridad es hasta ahora la unidad de ordenador o equipo de control del aparato de campo. Para ello debe encontrarse el equipo de control en un modo de servicio activo. No obstante a menudo está conectado el equipo de control a inactivo o bien en el caso de la manipulación incluso no es capaz de funcionar o no está alimentado con suficiente corriente.
El documento US 2007/0255966 A1 da a conocer un circuito criptográfico con una memoria de datos segura y una unidad funcional del sistema, que accede a la memoria de datos.
El documento DE 10 2006 014 133 A1 da a conocer un dispositivo con una memoria de datos que está rodeado por una unidad de protección física, una unidad de borrado y una unidad de acceso, que permite un acceso externo a la memoria de datos.
El documento US 2009/0106563 A1 da a conocer un sistema que protege datos almacenados en una memoria frente a manipulación.
El documento US 2008/0222430 A1 da a conocer un sistema protegido frente a manipulación con un aparato de control y una memoria de datos segura, protegida frente a maniobras de manipulación.
Existe por lo tanto una necesidad de soluciones con ayuda de las cuales puedan desencadenarse de manera fiable, eficiente y rápida medidas de seguridad adecuadas para asegurar que se mantienen secretos datos relevantes para la seguridad en un chip de seguridad de un aparato de campo cuando se realizan intentos de manipulación en el aparato de campo.
Resumen de la invención
Una idea de la presente invención es prever una interfaz intermedia entre un equipo de control de un aparato de campo y un módulo de seguridad tradicional, que vigila el intercambio de datos relevantes para la seguridad entre el equipo de control y el módulo de seguridad y que cuando existan intentos de manipulación en el aparato de campo pueda desencadenar autónomamente las medidas necesarias para mantener secretos los datos relevantes para la seguridad. La interfaz intermedia emula tanto para el
E11805467
12-03-2015
equipo de control como también para el módulo de seguridad un interlocutor de comunicación tradicional, con lo que no son necesarias modificaciones en los protocolos de comunicación existentes.
Una forma de ejecución de la presente invención según la reivindicación 1 consiste por lo tanto en un dispositivo para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo, con un equipo de control diseñado para controlar el aparato de campo, un módulo de seguridad diseñado para mantener disponibles datos clave criptográficos para su utilización mediante el equipo de control y un equipo de interfaz conectado entre el equipo de control y el módulo de seguridad, que posibilita una comunicación entre el equipo de control y el módulo de seguridad y que está diseñado para permitir al equipo de control el acceso a los datos clave criptográficos que se mantienen disponibles en el módulo de seguridad y, cuando hay un intento de manipulación en el aparato de campo, impedir el acceso a los datos clave criptográficos. Esto ofrece la ventaja de poder equipar aparatos de campo con módulos de seguridad tradicionales de manera eficiente y económica, sin tener que modificar componentes existentes del aparato de campo.
Según una forma de ejecución preferente incluye el dispositivo sensores de manipulación, conectados con el equipo de interfaz y que están diseñados para detectar intentos de manipulación en el aparato de campo o en un entorno protegido frente a manipulación del módulo de seguridad y señalizarlo al equipo de interfaz. Así puede iniciar el equipo de interfaz autónomamente y sin apoyo del equipo de control medidas de seguridad adecuadas en intentos de manipulación. En particular en el estado inactivo del equipo de control pueden así desencadenarse rápida y fiablemente medidas de seguridad para asegurar los datos clave criptográficos.
Preferiblemente el equipo de interfaz es un módulo de hardware, por ejemplo un módulo lógico programable. Esto ofrece la ventaja de que el equipo de interfaz puede configurarse compacto, económico y cumpliendo su finalidad con un funcionamiento adecuado.
Según una forma de ejecución ventajosa incluye el dispositivo además una fuente de alimentación, conectada con el equipo de interfaz y que está diseñada para alimentar eléctricamente, al menos temporalmente, el equipo de interfaz. Esto tiene la ventaja de que cuando se detectan intentos de manipulación no tiene que activarse primeramente el equipo de control para desencadenar medidas de seguridad. Es especialmente ventajoso que también cuando se interrumpan alimentaciones eléctricas de otro tipo del aparato de campo y/o del equipo de control, el equipo de interfaz permanezca alimentado eléctricamente hasta que puedan haberse llevado a cabo medidas de seguridad adecuadas para mantener secretos los datos clave criptográficos en el módulo de seguridad.
La presente invención logra además un procedimiento según la reivindicación 8 para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo, con las etapas: Enviar una petición de un equipo de control del aparato de campo relativa a datos clave criptográficos de un módulo de seguridad a un equipo de interfaz; comprobar en el equipo de interfaz si se ha detectado un intento de manipulación en el aparato de campo; transmitir los datos clave criptográficos del módulo de seguridad al equipo de control mediante el equipo de interfaz, si no se ha detectado ningún intento de manipulación; e impedir la transmisión de los datos clave criptográficos del módulo de seguridad al equipo de control a través del equipo de interfaz, si se ha detectado un intento de manipulación.
Ventajosamente se realiza además un borrado de los datos clave criptográficos en el módulo de seguridad mediante el equipo de interfaz cuando se ha detectado un intento de manipulación. De esta manera puede imposibilitarse ventajosamente que lean datos clave criptográficos en el módulo de seguridad personas no autorizadas, si se ha realizado una manipulación en el aparato de campo.
Según una forma de ejecución, se impide y/o bloquea la autentificación del equipo de control frente al módulo de seguridad o una comunicación del equipo de control con el módulo de seguridad a través del equipo de interfaz. Con ello puede evitarse un acceso posiblemente no autorizado a los datos clave criptográficos, cuando existe una sospecha de manipulación.
La invención logra además un aparato de campo según la reivindicación 15 con un dispositivo correspondiente a la invención para proteger un módulo de seguridad frente a intentos de manipulación.
Otras modificaciones y variaciones resultan de las características de las reivindicaciones dependientes.
Breve descripción de las figuras
Se describirán a continuación más en detalle diversas formas de ejecución y configuraciones de la presente invención, con referencia a los dibujos adjuntos, en los cuales muestra la
figura 1 una representación esquemática de un aparato de campo con un dispositivo para proteger un módulo de seguridad según una forma de ejecución de la invención;
E11805467
12-03-2015
figura 2 una representación esquemática de un aparato de campo con un dispositivo para proteger un
módulo de seguridad según otra forma de ejecución de la invención; figura 3 un esquema de un procedimiento para la comunicación con un dispositivo para proteger un
módulo de seguridad según otra forma de ejecución de la invención; y figura 4 una representación esquemática de un procedimiento para proteger un módulo de seguridad
según otra forma de ejecución de la invención.
Las mejoras y perfeccionamientos descritos pueden combinarse entre sí de cualquier forma, siempre que ello tenga sentido. Otras posibles mejoras, perfeccionamientos, e implementaciones de la invención incluyen también combinaciones no citadas explícitamente de características de la invención descritas antes o a continuación relativas a los ejemplos de ejecución.
Los dibujos adjuntos deben trasmitir una comprensión adicional de las formas de ejecución de la invención. Los mismos muestran formas de ejecución y sirven en relación con la descripción para explicar principios y conceptos de la invención. Otras formas de ejecución y muchas de las ventajas citadas resultan de los dibujos.
Los elementos de los dibujos no se muestran necesariamente a la misma escala uno que otro. Las mismas referencias designan aquí componentes iguales o de similar funcionamiento.
Descripción detallada de la invención
En lo que sigue pueden incluir los sensores de manipulación en el sentido de esta descripción todos los equipos de detección que captan intervenciones físicas en el aparato vigilado y que pueden transmitir las correspondientes señalizaciones a los equipos de cálculo o control asociados. Por ejemplo pueden detectar tales equipos de detección alteraciones del estado normal relativas a luz, radiaciones iónicas, temperatura, presión, resistencia eléctrica, tensión eléctrica o efectos físicos similares que implica una intervención tamper o bien una manipulación del aparato vigilado. Los sensores de manipulación en el sentido de esta descripción pueden incluir por lo tanto por ejemplo interruptores, láminas tamper (por ejemplo un llamado “wire mesh” o una lámina de malla conductora de seguridad), barreras de luz, configuraciones capacitivas, superficies de sensor sensibles a la luz o equipos similares. Debe quedar claro que también otros equipos de captación con funcionalidad similar pueden ser sensores de manipulación en el sentido de esta descripción.
La figura 1 muestra una representación esquemática de un aparato de campo 10 con un dispositivo para proteger un módulo de seguridad 7. El aparato de campo 10 puede ser por ejemplo un aparato de control para una instalación de ferrocarriles o de vías, por ejemplo para un cambio de agujas, una barrera o una señal. El aparato de campo 10 puede no obstante ser cualquier otro aparato remoto, como por ejemplo un dispositivo de vigilancia de un oleoducto, una estación meteorológica o un semáforo. El aparato de campo 10 incluye un equipo de control 1, que por un lado puede controlar tareas funcionales del aparato de campo 10 y por otro procesos de comunicación dentro del aparato de campo 10 o con el mundo exterior. Un equipo de entrada/salida 2 puede estar previsto para conectar el equipo de control 1 por ejemplo con una estación central como un centro de mando o un centro de cálculo. Mediante el equipo de entrada/salida 2 puede comunicar el aparato de campo 10 con el mundo exterior utilizando claves criptográficas.
Pueden enviarse y recibirse datos con protección criptográfica por ejemplo mediante la correspondiente codificación con ayuda del equipo de entrada/salida 2. Para la codificación puede utilizarse cualquier técnica de codificación conocida como por ejemplo IPsec, SSL/TLS, MACsec, L2TP, PPTP, PGP, S/MIME
o una técnica similar con la correspondiente gestión de claves, como por ejemplo IKE, EAP u otro procedimiento. Para ello incluye el aparato de campo 10 conexiones de comunicación 3, que conectan el equipo de entrada/salida 2 con el mundo exterior.
Al equipo de entrada/salida 2 puede estar conectado por ejemplo un sensor de manipulación 5, que puede detectar o reconocer intentos de manipulación o intervenciones no autorizadas en el aparato de campo 10. Cuando se detecta un intento de manipulación, el sensor de manipulación 5 transmite mediante el equipo de entrada/salida 2 la correspondiente señal al equipo de control 1, que a continuación puede tomar las correspondientes medidas de aseguramiento.
El aparato de campo 10 puede incluir además un equipo de memoria 4, conectado con el equipo de control 1. El equipo de memoria 4 puede ser por ejemplo un módulo de memoria, en el que pueden memorizarse de manera duradera y reescribible ajustes de configuración del aparato de campo 10, por ejemplo una EEPROM serie, una memoria flash o un equipo de memoria equivalente.
El aparato de campo 10 incluye además un módulo de seguridad 7, en el que pueden estar archivados datos relevantes para la seguridad, como por ejemplo datos clave criptográficos para que los utilice el equipo de control 1. El módulo de seguridad 7 puede ser por ejemplo un circuito integrado, que dispone de una protección tamper pasiva, por ejemplo una capa de pasivación o sensores de manipulación en el propio módulo de seguridad 7. El módulo de seguridad 7 puede estar asegurado por ejemplo frente a
E11805467
12-03-2015
intentos de manipulación exteriores por medio de medidas que detectan y corrigen errores para la memoria y la comunicación por bus, codificación interna de datos, máscaras de cableado irregulares o memorización de datos físicamente asegurada. Como módulo de seguridad 7 pueden utilizarse por ejemplo chips de seguridad tradicionales que pueden obtenerse en el comercio.
El aparato de campo 10 incluye un equipo de interfaz 6, conectado entre el equipo de control 1 y el módulo de seguridad 7 y que posibilita y vigila la comunicación entre el equipo de control 1 y el módulo de seguridad 7 como una especie de hardware-firewall (cortafuegos de hardware). El equipo de interfaz puede incluir por ejemplo un circuito integrado, un módulo lógico programable, como un GAL (Generic Array Logic, matriz lógica genérica), CPLD (Complex Programmable Logic Device, aparato lógico programable complejo) o FPGA (Field Programmable Gate Array, matriz de puertas programables en campo), ASIC (Application Specific Integrated Circuit, circuito integrado de aplicación específica) o bien un microprocesador. El equipo de interfaz 6 puede estar acoplado por ejemplo mediante una interfaz de datos, como por ejemplo USB, un bus de datos serie como I2C o una interfaz de tarjeta de chip con el equipo de control 1. El aparato de campo 1 puede incluir además un sensor de manipulación 8, conectado al equipo de interfaz 6 y que puede detectar intentos de manipulación en el aparato de campo 10 o en partes del aparato de campo 10 y puede transmitir las correspondientes señales de manipulación al equipo de interfaz 6. Cuando detecta un intento de manipulación el sensor de manipulación 8, puede tomar el equipo de interfaz 6 autónomamente medidas de aseguramiento adecuadas, para garantizar que se mantienen secretos los datos clave criptográficos en el módulo de seguridad 7. Es posible que esté previsto el sensor de manipulación 8 en lugar del sensor de manipulación 5 en el aparato de campo 10. Pero también es posible disponer ambos sensores de manipulación 5 y 8 en el aparato de campo 10.
El aparato de campo 10 puede incluir además una fuente de alimentación (no mostrada) que alimenta eléctricamente el equipo de interfaz 6, incluso cuando el aparato de campo 10 o el equipo de control 6 estén desconectados, inactivos o sustituidos permanente o temporalmente por otra fuente de alimentación. Por ejemplo puede presentar la fuente de alimentación una batería, un acumulador, un condensador de doble capa, como por ejemplo un goldcap, un ultracap o un supercap o una fuente de alimentación similar. La fuente de alimentación puede estar diseñada para alimentar eléctricamente el equipo de interfaz 6 al menos temporalmente. Al respecto puede estar previsto garantizar la alimentación eléctrica del equipo de interfaz 6 al menos hasta que el equipo de interfaz 6 haya tomado o completado en el caso de un intento de manipulación medidas de aseguramiento adecuadas para mantener secretos los datos relevantes para la seguridad en el módulo de seguridad 7. También es posible integrar la fuente de alimentación en el equipo de interfaz 6.
La figura 2 muestra una representación esquemática de un aparato de campo 20 con un dispositivo para proteger un módulo de seguridad 7. El aparato de campo 20 se diferencia del aparato de campo 10 descrito y mostrado en la figura 1 en que el equipo de interfaz 6 y el módulo de seguridad 7 están integrados en un entorno común 21 protegido frente a manipulación. El entorno 21 puede presentar por ejemplo una protección frente a manipulación física completa o parcial, por ejemplo mediante encapsulado con resina epoxi. Puede estar previsto además otro sensor de manipulación 28, dispuesto dentro del entorno 21 protegido frente a manipulación y que puede detectar una manipulación, por ejemplo una penetración en la masa del encapsulado. El sensor de manipulación 28 puede incluir por ejemplo una lámina especial, una llamada “tamper-mesh” y/o “wire mesh”. Tales láminas incluyen mallas de vías conductoras, que pueden pegarse alrededor de aparatos a proteger. Un intento de manipulación de un entorno 21 protegido de esta manera provoca interrupciones y/o cortocircuitos, que generan la correspondiente señal. No obstante debe quedar claro que es posible una pluralidad de configuraciones para el sensor de manipulación 28.
En el ejemplo mostrado del aparato de campo 20 no están alojados los sensores de manipulación 5 y 8 en el entorno 21 protegido frente a manipulación. No obstante también es posible integrar uno o ambos de los sensores de manipulación 5 y 8 en el entorno 21 protegido frente a manipulación. Tampoco el equipo de control 1 ni los demás componentes del aparato de campo 20 están integrados en el entorno 21 protegido frente a manipulación. Debido a ello no tienen que encapsularse por ejemplo componentes sensibles, lo cual hace que el entorno 21 protegido frente a manipulación sea de realización compacta y económica.
La figura 3 muestra un esquema de un procedimiento para la comunicación con un dispositivo para proteger un módulo de seguridad. El procedimiento 30 puede entonces realizarse en particular mediante un aparato de campo según una configuración correspondiente a una de las figuras 1 ó 2.
En una primera etapa 31 transmite el equipo de control 1 una petición con una autentificación al equipo de interfaz 6. La autentificación puede presentar por ejemplo un código de activación, un PIN o un contenido similar, con el que el equipo de control 1 puede autentificarse frente al módulo de seguridad 7. Entonces actúa el equipo de interfaz 6 como receptor y emula así el módulo de seguridad 7 frente al equipo de control 1. En una segunda etapa 32 retransmite el equipo de interfaz 6 la petición al módulo de seguridad 7, siempre que no se haya detectado ningún intento de manipulación y la comunicación entre el equipo de control 1 y el módulo de seguridad 7 se catalogue como segura.
E11805467
12-03-2015
Tras una autentificación del equipo de control 1 en el módulo de seguridad 7, envía el módulo de seguridad 7 en una tercera etapa 33 una respuesta de confirmación al equipo de interfaz 6, que en una cuarta etapa 34 se retransmite al equipo de control 1. Tras la autentificación envía el equipo de control 1 en una quinta etapa 35 un valor aleatorio, un llamado challenge (reto), al equipo de interfaz 6, que en una sexta etapa 36 retransmite el equipo de interfaz 6 al módulo de seguridad 7. En el módulo de seguridad 7 se procesa a continuación con ayuda de un cálculo criptográfico el challenge (reto), utilizando los datos clave criptográficos, para generar por ejemplo una clave de comunicación. El cálculo puede incluir por ejemplo una codificación, un cálculo de una suma de prueba criptográfica, una formación de valor hash, un cálculo de una firma digital o un cálculo similar. El resultado del cálculo se transmite en una séptima etapa 37 desde el módulo de seguridad 7 al equipo de interfaz 6, que retransmite el resultado en una octava etapa 38 al equipo de control 1. El resultado del cálculo puede utilizarse por ejemplo para establecer enlaces de comunicación protegidos criptográficamente mediante el equipo de control 1.
La secuencia 30 mostrada para el procedimiento es válida para el caso de que la conexión entre el equipo de control 1 y el módulo de seguridad 7 sea catalogada por el equipo de interfaz 6 como segura, es decir, que no haya detectado el equipo de interfaz 6 ningún intento de manipulación. Tan pronto como se detecta un intento de manipulación en cualquier instante durante la comunicación entre el equipo de control 1 y el módulo de seguridad 7, puede estar diseñado el equipo de interfaz 6 para impedir la transmisión de datos entre el equipo de control 1 y el módulo de seguridad 7. Entonces es posible impedir por completo la transmisión de datos entre el equipo de control 1 y el módulo de seguridad 6, o bien sólo impedir la transmisión de determinados datos. En este último caso analiza el equipo de interfaz 6 los datos recibidos cuando se ha detectado una manipulación, y sólo los retransmite cuando cumplen un criterio de prueba predeterminado. De esta manera es posible incluso cuando se ha detectado una manipulación, una utilización parcial del módulo de seguridad 7 mediante el equipo de control 1.
La figura 4 muestra una representación esquemática de un procedimiento 40 para proteger un módulo de seguridad, como por ejemplo el módulo de seguridad 7 de las figuras 1 a 3. En una primera etapa 41 se envía al equipo de interfaz 6 una petición de un equipo de control 1 de un aparato de campo, como por ejemplo de los aparatos de campo 10 ó 20 de las figuras 1 ó 2, relativa a datos clave criptográficos del módulo de seguridad 7. En el equipo de interfaz 6 se comprueba a continuación en una etapa 42 si se ha detectado un intento de manipulación en el aparato de campo. Para ello puede vigilarse continuamente la presencia de una señal de manipulación mediante un sensor de manipulación conectado al equipo de interfaz 6, como por ejemplo los sensores de manipulación 8 y 28 de la figura 2. Si no se ha detectado ningún intento de manipulación, pueden transmitirse datos clave criptográficos del módulo de seguridad 7 al equipo de control 1 a través del equipo de interfaz 6 en una etapa 43 según el procedimiento de la figura 3. Pero si se ha detectado un intento de manipulación, se impide en una etapa 44 la transmisión de los datos clave criptográficos del módulo de seguridad 7 al equipo de control 1 a través del equipo de interfaz 6. La obstaculización puede por ejemplo hacerse bloqueando por completo la comunicación entre el equipo de control 1 y el módulo de seguridad 7 a través del equipo de interfaz 6 o bien limitándola en partes. Puede realizarse por ejemplo la correspondiente catalogación en función de la gravedad del intento de manipulación. También es posible que no se retransmitan los correspondientes códigos de autentificación, como por ejemplo un PIN, a través del equipo de interfaz 6 al módulo de seguridad 7 mientras no quede garantizada la seguridad de la comunicación. Puede estar previsto también que el equipo de interfaz 6, si se ha detectado un intento de manipulación, envíe una orden de bloqueo al módulo de seguridad 7, para impedir la emisión de cualquier dato relevante para la seguridad a través del módulo de seguridad 7 ya mediante el propio módulo de seguridad 7.
En otra etapa 45 es posible que el equipo de interfaz 6 borre los datos clave criptográficos en el módulo de seguridad 7 mediante una orden de borrado físicamente desde el módulo de seguridad 7, en el caso de que exista un intento de manipulación. De esta manera puede asegurarse que incluso cuando haya una ampliación o lectura no autorizada del módulo de seguridad, se han borrado ya todos los datos relevantes para la seguridad.
Puede estar previsto que estén memorizadas de antemano las correspondientes medidas de seguridad en función de la gravedad o de la catalogación de un posible intento de manipulación ya como medidas de emergencia en el equipo de interfaz 6, con lo que en el caso de un intento de manipulación pueden desencadenarse sin demora todas las medidas de aseguramiento. El equipo de interfaz 6 puede así reaccionar muy rápidamente a un intento de manipulación. En particular cuando el equipo de interfaz 6 pueda ser alimentado al menos temporalmente de forma continua mediante una fuente de alimentación, no es necesario esperar primeramente a una activación del equipo de control 1 para iniciar medidas de aseguramiento. También en un fallo del equipo de control 1, por ejemplo al faltar la alimentación eléctrica
o al romperse el equipo de control 1, pueden realizarse todas las medidas de aseguramiento autónomamente mediante el equipo de interfaz 6.

Claims (12)

  1. REIVINDICACIONES
    1.
    Dispositivo para proteger un módulo de seguridad (7) frente a intentos de manipulación en un aparato de campo (10; 20), con: un equipo de control (1) diseñado para controlar el aparato de campo (10; 20); y un módulo de seguridad (7) diseñado para mantener disponibles datos clave criptográficos para su utilización mediante el equipo de control (1); caracterizado por un equipo de interfaz (6) conectado entre el equipo de control (1) y el módulo de seguridad (7) y que posibilita una comunicación entre el equipo de control (1) y el módulo de seguridad (7), y que está diseñado para posibilitar al equipo de control (1) el acceso a los datos clave criptográficos que se mantienen disponibles en el módulo de seguridad (7) e impedir el acceso a los datos clave criptográficos cuando hay un intento de manipulación en el aparato de campo (10; 20).
  2. 2.
    Dispositivo según la reivindicación 1, además con: un primer sensor de manipulación (8), conectado al equipo de interfaz (6) y que está diseñado para detectar intentos de manipulación en el aparato de campo (10; 20) e indicarlos al equipo de interfaz (6).
  3. 3.
    Dispositivo según la reivindicación 1 ó 2, en el que el módulo de seguridad (7) y el equipo de interfaz (6) están integrado en un entorno protegido frente a manipulación (21).
  4. 4.
    Dispositivo según la reivindicación 3, además con: un segundo sensor de manipulación (28), que está conectado con el equipo de interfaz (6), que está integrado en el entorno protegido frente a manipulación (21) y que está diseñado para detectar intentos de manipulación en el entorno protegido frente a manipulación (21) e indicarlos al equipo de interfaz (6).
  5. 5.
    Dispositivo según una de las reivindicaciones precedentes, además con: un equipo de entrada/salida (2), conectado con el equipo de control (1) y que está diseñado para proporcionar una comunicación externa al equipo de control (1), un tercer sensor de manipulación (5), que está conectado con el equipo de entrada/salida (2) y que está diseñado para detectar intentos de manipulación en el aparato de campo (10; 20) e indicarlos al equipo de control (1), un equipo de memoria (4), conectado con el equipo de control (1) y diseñado para memorizar datos utilizados en el equipo de control (1)
  6. 6.
    Dispositivo según una de las reivindicaciones precedentes, en el que el equipo de interfaz (6) es un módulo lógico programable.
  7. 7.
    Dispositivo según una de las reivindicaciones precedentes, además con: una fuente de alimentación, conectada con el equipo de interfaz (6) y que está diseñada para alimentar eléctricamente, al menos temporalmente, el equipo de interfaz (6).
  8. 8.
    Procedimiento para proteger un módulo de seguridad (7) frente a intentos de manipulación en un aparato de campo (10; 20), con las etapas: enviar a un equipo de interfaz (6) una petición de un equipo de control (1) en el aparato de campo (10; 20) relativa a datos clave criptográficos de un módulo de seguridad (7); comprobar en el equipo de interfaz (6) si se ha detectado un intento de manipulación en el aparato de campo (10; 20); transmitir los datos clave criptográficos del módulo de seguridad (7) al equipo de control (1) mediante el equipo de interfaz (6), si no se ha detectado ningún intento de manipulación; e impedir la transmisión de los datos clave criptográficos del módulo de seguridad (7) al equipo de control (1) mediante el equipo de interfaz (6), si se ha detectado un intento de manipulación.
  9. 9.
    Procedimiento según la reivindicación 8, además con la etapa: borrado de los datos clave criptográficos en el módulo de seguridad (7) mediante el equipo de interfaz (6), cuando se ha detectado un intento de manipulación.
  10. 10.
    Procedimiento según la reivindicación 8 ó 9, en el que el envío de la petición incluye una autentificación del equipo de control (1) frente al módulo de seguridad (7).
  11. 11.
    Procedimiento según la reivindicación 10, en el que la evitación de la transmisión incluye impedir la autentificación del equipo de control (1) frente al módulo de seguridad (7) mediante el equipo de interfaz (6).
    7
  12. 12. Procedimiento según una de las reivindicaciones 8 a 11, en el que la evitación de la transmisión incluye un bloqueo de la comunicación del equipo de control
    (1) con el módulo de seguridad (7) mediante el equipo de interfaz (6).
    5 13. Procedimiento según una de las reivindicaciones 8 a 12, en el que la comprobación en el equipo de interfaz (6) de si se ha detectado un intento de manipulación en el aparato de campo (10; 20) incluye la evaluación de un sensor de manipulación (8; 28) conectado con el equipo de interfaz (6).
    10 14. Procedimiento según una de las reivindicaciones 8 a 13, además con la etapa: alimentación eléctrica, al menos temporal, del equipo de interfaz (6) mediante una fuente de alimentación, cuando la alimentación eléctrica del equipo de control (1) y/o del aparato de campo (10; 20) está interrumpida o el equipo de control (1) está conectado a inactivo.
    15 15. Aparato de campo (10; 20) con un dispositivo según una de las reivindicaciones 1 a 7.
    8
ES11805467.5T 2011-01-14 2011-12-15 Dispositivo y procedimiento para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo Active ES2532772T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102011002706 2011-01-14
DE102011002706A DE102011002706B4 (de) 2011-01-14 2011-01-14 Vorrichtung und Verfahren zum Schutz eines Sicherheitsmoduls gegen Manipulationsversuche in einem Feldgerät
PCT/EP2011/072904 WO2012095237A1 (de) 2011-01-14 2011-12-15 Vorrichtung und verfahren zum schutz eines sicherheitsmoduls gegen manipulationsversuche in einem feldgerät

Publications (1)

Publication Number Publication Date
ES2532772T3 true ES2532772T3 (es) 2015-03-31

Family

ID=45463564

Family Applications (1)

Application Number Title Priority Date Filing Date
ES11805467.5T Active ES2532772T3 (es) 2011-01-14 2011-12-15 Dispositivo y procedimiento para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo

Country Status (7)

Country Link
US (1) US10528484B2 (es)
EP (1) EP2628121B1 (es)
CN (1) CN103299310B (es)
AU (1) AU2011355202B2 (es)
DE (1) DE102011002706B4 (es)
ES (1) ES2532772T3 (es)
WO (1) WO2012095237A1 (es)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104335564B (zh) * 2012-02-02 2017-03-08 塔塔咨询服务有限公司 用于标识和分析用户的个人情景的系统和方法
DE102015202215A1 (de) 2015-02-09 2016-03-24 Siemens Aktiengesellschaft Vorrichtung und Verfahren zum sicheren Betreiben der Vorrichtung
DE102016110723A1 (de) 2016-06-10 2017-12-14 Endress+Hauser Process Solutions Ag Verfahren zum Verhindern eines unerlaubten Zugriffs auf Softwareanwendungen in Feldgeräten
DE102016222617A1 (de) 2016-11-17 2018-05-17 Siemens Aktiengesellschaft Schutzvorrichtung und Netzwerkverkabelungsvorrichtung zur geschützten Übertragung von Daten
EP3401831B1 (de) * 2017-05-11 2021-06-30 Siemens Aktiengesellschaft Vorrichtung und verfahren zum erkennen einer physikalischen manipulation an einem elektronischen sicherheitsmodul
EP3656085A1 (en) * 2017-07-18 2020-05-27 Square, Inc. Devices with physically unclonable functions
EP3451215B1 (de) 2017-08-28 2019-12-18 Siemens Aktiengesellschaft Hardwareeinrichtung und verfahren zum betreiben und herstellen einer hardwareeinrichtung
CN112313654A (zh) * 2018-12-12 2021-02-02 开利公司 中枢连接的物联网装置的篡改检测
EP3722983A1 (de) 2019-04-09 2020-10-14 Siemens Aktiengesellschaft Sicherheitsvorrichtung und verfahren zur überwachung eines zugriffs eines gerätes auf eine sicherheitsvorrichtung
US11480445B2 (en) * 2020-07-22 2022-10-25 Rockwell Automation Technologies, Inc. Method and apparatus for industrial product tamper detection
DE102022117142A1 (de) 2022-07-08 2024-01-11 Christian Dietz Analyseanordnung und Analyseverfahren

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5805711A (en) 1993-12-21 1998-09-08 Francotyp-Postalia Ag & Co. Method of improving the security of postage meter machines
DE4344476A1 (de) * 1993-12-21 1995-06-22 Francotyp Postalia Gmbh Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen
DE4401325C1 (de) * 1994-01-18 1995-06-08 Reinhold Ott Überwachungsfühler
US7124170B1 (en) * 1999-08-20 2006-10-17 Intertrust Technologies Corp. Secure processing unit systems and methods
US6865515B2 (en) * 2002-01-24 2005-03-08 Engius, L.L.C. Method and device for securely storing data
DK1556992T3 (en) * 2002-10-31 2017-01-09 ERICSSON TELEFON AB L M (publ) Safety performance and use of device-specific safety data
US7644290B2 (en) * 2003-03-31 2010-01-05 Power Measurement Ltd. System and method for seal tamper detection for intelligent electronic devices
US7343496B1 (en) * 2004-08-13 2008-03-11 Zilog, Inc. Secure transaction microcontroller with secure boot loader
BRPI0515159A (pt) * 2004-09-10 2008-07-08 Cooper Technologies Co sistema e método para monitoramento e gerenciamento protetor de circuito
US7571475B2 (en) * 2005-04-05 2009-08-04 Cisco Technology, Inc. Method and electronic device for triggering zeroization in an electronic device
DE102006014133A1 (de) * 2006-03-28 2007-10-04 Lang, Klaus, Dr. Verfahren zur einfachen, schnellen und sicheren Eingabe, Speicherung und Anzeige von sensiblen persönlichen Daten sowie Vorrichtung zur Durchführung dieses Verfahrens
US20070255966A1 (en) * 2006-05-01 2007-11-01 Vincenzo Condorelli Cryptographic circuit with voltage-based tamper detection and response circuitry
US7684028B2 (en) * 2006-12-14 2010-03-23 Spx Corporation Remote sensing digital angle gauge
DE202007018769U1 (de) * 2007-02-23 2009-04-23 First Data Corp., Greenwood Village Betrugsdetektionssystem für Kassenterminals
EP1808830B1 (en) 2007-02-23 2011-04-06 First Data Corporation Fraud detection system for point-of-sale terminals
US7953987B2 (en) * 2007-03-06 2011-05-31 International Business Machines Corporation Protection of secure electronic modules against attacks
JP4838349B2 (ja) * 2007-03-27 2011-12-14 三菱電機株式会社 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム
DE102007016170A1 (de) * 2007-04-02 2008-10-09 Francotyp-Postalia Gmbh Sicherheitsmodul für eine Frankiermaschine
US7937596B2 (en) * 2007-08-30 2011-05-03 Harris Corporation Adaptable microcontroller based security monitor
US7945792B2 (en) * 2007-10-17 2011-05-17 Spansion Llc Tamper reactive memory device to secure data from tamper attacks
US8188860B2 (en) * 2007-10-22 2012-05-29 Infineon Technologies Ag Secure sensor/actuator systems
DE102007055248A1 (de) * 2007-11-16 2009-06-25 Secunet Security Networks Ag Sicherheitsmodul
US8947258B2 (en) * 2008-08-08 2015-02-03 Powermax Global Llc Reliable, long-haul data communications over power lines for meter reading and other communications services
US9015789B2 (en) * 2009-03-17 2015-04-21 Sophos Limited Computer security lock down methods
US8184812B2 (en) * 2009-06-03 2012-05-22 Freescale Semiconductor, Inc. Secure computing device with monotonic counter and method therefor

Also Published As

Publication number Publication date
US20130305062A1 (en) 2013-11-14
DE102011002706A1 (de) 2012-07-19
EP2628121A1 (de) 2013-08-21
EP2628121B1 (de) 2015-01-28
AU2011355202A1 (en) 2013-07-04
CN103299310B (zh) 2016-10-19
AU2011355202B2 (en) 2016-07-21
US10528484B2 (en) 2020-01-07
CN103299310A (zh) 2013-09-11
WO2012095237A1 (de) 2012-07-19
DE102011002706B4 (de) 2013-12-19

Similar Documents

Publication Publication Date Title
ES2532772T3 (es) Dispositivo y procedimiento para proteger un módulo de seguridad frente a intentos de manipulación en un aparato de campo
ES2674923T3 (es) Procedimiento para vigilar una protección antimanipulación así como sistema de vigilancia para un aparato de campo con protección antimanipulación
ES2626395T3 (es) Dispositivo de seguridad para vehículos
ES2616076T3 (es) Procedimiento para la gestión de claves segura frente a manipulaciones
AU2009298698B2 (en) Method and system for communicating and controlling electric detonators
CN104960496A (zh) 车载驾驶员识别认证定位系统
US20150321642A1 (en) Method for preventing an unauthorized operation of a motor vehicle
US9832027B2 (en) Tamper detection systems and methods for industrial and metering devices not requiring a battery
CN105892348A (zh) 用于运行控制设备的方法
ES2313217T3 (es) Tecografo.
CN102315563B (zh) 用于有保护地建立网络连接的插接连接系统
US9407820B2 (en) Method and apparatus for inhibiting diversion of devices using an embedded accelerometer
CN203271342U (zh) 一种物联网密码锁
CN204895391U (zh) 车载驾驶员识别认证定位系统
RU2510972C2 (ru) Способ эксплуатации сенсорного устройства и сенсорное устройство
ES2904799T3 (es) Dispositivo de procesamiento de datos protegido contra manipulación
EP3016017A1 (en) Device comprising a sensor or an actuator protected by a secure element
CN105094004A (zh) 用于运行控制设备的方法
ES2353348T3 (es) Módulo de seguridad.
CN110166240A (zh) 一种网络隔离密码板卡
KR102411797B1 (ko) 하드웨어 기반의 차량 사이버보안시스템
US10949574B2 (en) Apparatus and method for detecting a physical manipulation on an electronic security module
ES2618414T3 (es) Dispositivo de seguridad particularmente para el control de accesos
US11062576B2 (en) Anti-theft protection system for solar panel
IT202100008723A1 (it) Sistema per la gestione in sicurezza dei documenti digitali