ES2681822T3 - Método para manejar un comando crítico de seguridad en una red informática - Google Patents

Método para manejar un comando crítico de seguridad en una red informática Download PDF

Info

Publication number
ES2681822T3
ES2681822T3 ES13194789.7T ES13194789T ES2681822T3 ES 2681822 T3 ES2681822 T3 ES 2681822T3 ES 13194789 T ES13194789 T ES 13194789T ES 2681822 T3 ES2681822 T3 ES 2681822T3
Authority
ES
Spain
Prior art keywords
code
operator terminal
unsecured
tan
command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES13194789.7T
Other languages
English (en)
Inventor
Frank Müller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales Management and Services Deutschland GmbH
Original Assignee
Thales Management and Services Deutschland GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales Management and Services Deutschland GmbH filed Critical Thales Management and Services Deutschland GmbH
Application granted granted Critical
Publication of ES2681822T3 publication Critical patent/ES2681822T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • B61L2019/065Interlocking devices having electrical operation with electronic means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • User Interface Of Digital Computer (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Método para manejar un comando crítico de seguridad (fi(ek)) en una red informática con un ordenador seguro y un terminal de operador no seguro, el comando relativo a una transacción en un elemento (ek), el método comprende: - transferencia del comando (fi(ek)) del terminal de operador no seguro al ordenador seguro; - generación de un TAN (T), identificando el TAN (T) el comando; estando el método caracterizado además por - generación de un primer código ejecutable (A) y un segundo código ejecutable (B) por el ordenador seguro, el segundo código (B) que contiene el TAN (T), el primer código (A) que es capaz de mostrar una consulta en un dispositivo de visualización del terminal de operador no seguro y el segundo código (B) que es capaz de permitir la ejecución de la transacción; - encriptado de los códigos (A, B) por el ordenador seguro; - transmisión de los códigos encriptados (A, B) al terminal de operador no seguro; - desencriptado de los códigos (A, B) por el terminal de operador no seguro; - ejecución del primer código (A) en el terminal de operador no seguro. mediante el cual se muestra una consulta al operador con una invitación para confirmar si el comando crítico debe ejecutarse o anularse; - en caso de una confirmación por parte del operador, se ejecuta el segundo código (B) y el TAN (T) se transfiere a el ordenador seguro.

Description

5
10
15
20
25
30
35
40
45
50
55
60
DESCRIPCIÓN
Método para manejar un comando crítico de seguridad en una red informática Antecedentes de la invención
La invención se refiere a un método para manejar un comando crítico de seguridad en una red informática.
Un método de este tipo se conoce a partir del documento DE 10 2006 029 851 A1.
Una orden crítica de seguridad según la invención es una orden relativa a la ejecución de un proceso crítico de seguridad en un elemento de un sistema crítico de seguridad (por ejemplo, al interruptor de emergencia los puntos de una vía férrea), donde la "seguridad" está relacionada con la revelación de fallo, es decir, cuanto mayor es la revelación de fallo, mayor es la categoría de seguridad. La expresión "seguro" se utiliza en el contexto de la exclusión de salidas peligrosas del sistema, mientras que la expresión "asegurado" significa que se evita el impacto no deseado del medio ambiente en el sistema.
El documento DE 44 32 419 A1 describe un método para manejar comandos críticos de seguridad de un ordenador seguro EKIR de un enclavamiento a un ordenador de área segura. El EKIR crea un número aleatorio y lo transmite al ordenador del área. Para autorizar un comando, el usuario debe ingresar el número aleatorio que se envía a EKIR, donde se compara la entrada y el número aleatorio original.
El documento DE 10 2010 015 285 A1 divulga un método para confirmar un estado seguro de un sistema crítico de seguridad (sistema de señalización ferroviaria), en el que se envían códigos de activación al usuario que no pueden leerse en máquina. El usuario debe ingresar el código de activación manualmente.
Las soluciones conocidas para manejar comandos críticos de seguridad se basan normalmente en un procedimiento de comando crítico, en el que el operador debe confirmar que se lleva a cabo una transacción activando al menos un botón de confirmación como se describe en el documento DE 10 2006 029 851 A1, o TAN - Procedimientos conocidos de
http://en.wikipedia.org/wiki/Transaction authentication_number. Para autorizar la ejecución de un comando de seguridad crítica, el operador debe ingresar manualmente una TAN, que sin embargo requiere mucho tiempo y es complicada. Dichos procedimientos TAN también son sensibles en caso de fallos del operador.
En un entorno cerrado, la implementación de dicho procedimiento TAN debe garantizar la independencia de dos canales de procesamiento dentro del terminal de operador no seguro: un primer canal para recibir el TAN del sistema seguro y mostrarlo al operador, un segundo canal para recibir el TAN ingresado del operador y transferir el TAN ingresado al sistema seguro. Dentro de un entorno abierto, debe garantizarse adicionalmente que no comprometan las transmisiones dentro del primer y segundo canal. Por lo tanto, los sistemas conocidos usan transmisión encriptada. También para el procedimiento de comando crítico se debe garantizar la independencia del procesamiento de la entrada replicada dentro del terminal operador y la independencia de la transmisión de la entrada replicada al ordenador seguro. Sin embargo, esto requiere propiedades dedicadas a ambos puntos finales de la comunicación, en particular, ambos puntos finales deben ser validados y evaluados.
Objeto de la invención
Por lo tanto, un objeto de la invención es proporcionar un método simplificado para manejar un comando crítico para la seguridad en una red informática con requisitos reducidos en cuanto a hardware y software.
Descripción de la invención
Este objetivo se consigue mediante un método de acuerdo con la reivindicación 1 y un uso de una red informática de acuerdo con la reivindicación 10 que comprende medios adaptados para implementar el método de la invención.
El método de la invención puede llevarse a cabo en una red informática con un ordenador seguro y un terminal de operador no seguro, el comando relativo a una transacción en un elemento. De acuerdo con la invención, el método comprende:
- transferencia del comando desde el terminal de operador no seguro al ordenador seguro;
- generación de un TAN, identificando el TAN el comando;
- generación de un primer código ejecutable y un segundo código ejecutable por el ordenador seguro, el segundo código que contiene el TAN, el primer código capaz de mostrar una consulta en un dispositivo de visualización del terminal operador no seguro y el segundo código que es capaz de permitir la ejecución de la transacción;
5
10
15
20
25
30
35
40
45
50
55
60
- encriptación de los códigos por el ordenador seguro;
- transmisión de los códigos encriptados al terminal de operador no seguro;
- desencriptado de los códigos por el terminal de operador no seguro;
- ejecución del primer código en el terminal de operador no seguro, mediante el cual se muestra una consulta al operador con una invitación para confirmar la consulta, es decir, para confirmar si el comando crítico debe ejecutarse o anularse;
- en caso de una confirmación por parte del operador, se ejecuta el segundo código y el TAN se transfiere a el ordenador seguro.
Un terminal de operador "no seguro" es un terminal de operador que no cumple con SIL 2, en particular que no cumple con ningún nivel de integridad de seguridad. Las únicas funcionalidades que son obligatorias para el terminal de operador no seguro son las siguientes: Poder enviar y recibir mensajes desde/hacia el ordenador seguro; ser capaz de identificar mensajes que contienen códigos encriptados; ser capaz de desencriptar dichos mensajes y ofrecer una plataforma para ejecutar el código desencriptado. El terminal de operador no seguro no necesita tener ninguna funcionalidad, que esté relacionada con el procesamiento correcto del procedimiento de confirmación. Un "ordenador seguro" es un ordenador que cumple SIL 2 o mejor, preferiblemente SIL 4.
La metodología del método de la invención se basa en la transmisión de códigos ejecutables encriptados, que permite el uso de un terminal de operador no seguro. El método de la invención permite la transferencia segura de TAN desde un sistema seguro a un terminal de operador no seguro y hacia atrás mientras se usa el mismo canal de transmisión. Solo un punto final (incluido el código que debe transmitirse y que debe ejecutarse mediante el terminal de operador no seguro) de la comunicación debe tener propiedades dedicadas que necesiten validación y evaluación. Las propiedades dedicadas se refieren en particular a canales de procesamiento independientes, en los que la independencia tiene que darse no solo para la transmisión sino también para el procesamiento, lo que significa que el punto final correspondiente debe cumplir con SIL ^ 0. De acuerdo con la presente invención, esto solo se requiere para el ordenador seguro, pero no para la terminal del operador (a diferencia de los métodos del estado de la técnica) en los que se ejecutan los códigos.
De acuerdo con la invención, el comando es introducido por un operador en el terminal de operador no seguro. El comando crítico de seguridad se transfiere luego a un sistema seguro para su ejecución. Para garantizar que el comando recibido no se vea comprometido por un dispositivo no seguro o una transmisión no segura y no asegurada, el sistema seguro genera códigos ejecutables que se encriptan y transfieren al terminal de operador no seguro, lo que contribuye a un seguro transmisión.
El TAN es generado preferiblemente por el ordenador seguro e identifica la transacción que se llevará a cabo (por ejemplo, el punto de conmutación A a la posición X).
Preferiblemente, el TAN comprende una contraseña de un solo uso (OTP). El encriptado de los códigos, en particular del segundo código que comprende el TAN, se puede hacer mediante un encriptado de almohadilla de una sola vez. Debido al encriptado de los códigos por el terminal de operador no seguro, se garantiza un funcionamiento instantáneo correcto del terminal de operador no seguro para ejecutar el código.
El primer código ejecutable hace que el operador no seguro muestre una consulta en un dispositivo de visualización según las instrucciones codificadas que ha recibido el ordenador seguro. La consulta solicita al operador la confirmación de si el comando crítico debe ejecutarse o anularse y devuelve un mensaje de confirmación basado en el TAN a través del segundo código ejecutable.
El desencriptado del segundo código se lleva a cabo preferentemente después de la confirmación por el operador para reducir el tiempo entre el desencriptado y la transmisión del TAN, lo que hace que el ordenador seguro ejecute la transacción crítica de seguridad.
El procedimiento de encriptado y desencriptado está alineado entre el ordenador seguro y el terminal de operador no seguro. Las claves apropiadas se intercambian antes del encriptado. Además, el entorno de ejecución para el primer código y el segundo código (tipo binario usado, bibliotecas externas usadas) debe estar alineado entre el ordenador seguro y el terminal de operador no seguro. Preferiblemente, se usa un código de byte de Java.
El método de la invención permite un reemplazo del procedimiento de comando crítico complejo conocido a partir del estado de la técnica, que exige un terminal de operador seguro. Desde la perspectiva de un operador, el procedimiento de comando crítico se simplifica, ya que no se exige duplicación de entrada. Sin embargo, es posible realizar un comportamiento conocido por el procedimiento de comando crítico por clic de tiempo supervisado en dos botones. Desde la perspectiva de un proveedor, la necesidad de tener un terminal de operador seguro
5
10
15
20
25
30
35
40
45
50
55
60
65
desaparecerá, es decir, ni el hardware ni el software del terminal no seguro deben cumplir con las exigencias del nivel de integridad de seguridad (SIL). No se requieren más actividades de evaluación (validación, caso de seguridad, informe de evaluación) para el terminal del operador. Por lo tanto, el terminal del operador puede estar hecho de hardware y software COTS (comercialmente disponible para la venta) que ofrece costes seguros.
El método de la invención permite el procesamiento paralelo/concurrente de comandos críticos. Al usar el método de la invención, no es necesario proporcionar canales independientes para la transmisión de los códigos, es decir, se puede usar un único terminal de operador no seguro canalizado. Además de proporcionar el encriptado y el TAN, los canales de comunicación entre el terminal operador y el ordenador seguro ya no requieren redes cerradas.
Variantes preferidas
Mediante la ejecución del primer código, una variante preferida del método de la invención muestra una ventana en el dispositivo de visualización, mostrando la ventana un reflejo del comando y al menos dos botones para confirmación y anulación de la transacción, respectivamente. La visualización de la consulta en el terminal de operador no seguro puede ser textual o gráfica. Alternativamente o, además, la pantalla y/o la confirmación pueden ser acústicas. En caso de que se realice un procedimiento de comando crítico mediante el método de la invención, se requieren más de dos botones. El segundo código se divide en el número correspondiente (correspondiente al número de botones) de los subcódigos, el primer subcódigo es la devolución de llamada para el primer botón para activar el segundo botón.
Se prefiere que la ventana muestre además información sobre el estado del elemento (por ejemplo, "el punto A está en la posición Y") y/o el estado del entorno del elemento (por ejemplo, "la sección de seguimiento relacionada está ocupada") en el que se realizará la transacción. La información de estado ayuda al operador a decidir si la transacción sugerida es acrítica o peligrosa bajo las circunstancias dadas.
En una variante ventajosa del método de la invención, el segundo código contiene una función de devolución de llamada para el primer código, la función de devolución de llamada transfiere el TAN.
Para evitar la ejecución repetida o retardada de la transacción, el TAN está equipado preferiblemente con una restricción de tiempo. En caso de que el TAN no se transmita dentro de un intervalo de tiempo predeterminado o antes de un límite de tiempo predeterminado, la transacción no se ejecuta a pesar de un TAN correcto.
En una variante especial, el primer código y el segundo código se incorporan en un archivo de programa.
Alternativamente, el primer código y el segundo código son archivos de programa separados. Al proporcionar los códigos como archivos de programa separados, el tiempo entre la ejecución del primer código y el segundo puede elegirse más tiempo en comparación con ambos códigos que forman parte de un único programa, por ejemplo, varios minutos. En este caso para el procesamiento simultáneo/paralelo de los comandos críticos, el primer código y el segundo código de un comando específico se vinculan entre sí para identificar los códigos correspondientes a dicho comando especificado. Esto se puede hacer proporcionando a cada código una característica de identificación, por ejemplo, una clave o una suma de verificación o un TAN adicional que se utiliza para el encriptado y/o la asignación del segundo código. Por ejemplo, el primer código se puede proporcionar con una clave para el desencriptado del segundo código. Alternativamente, el primer código puede proporcionarse con una clave que se compara con el segundo código.
Preferiblemente, el segundo código se desencripta inmediatamente antes de ejecutar el segundo código. Por lo tanto, la encriptación exitosa aumenta la confianza en el funcionamiento correcto del terminal de operador no seguro.
Para minimizar la interacción del operador, la confirmación del operador se puede llevar a cabo por medio de una técnica de un clic.
El método de la invención se puede usar ventajosamente para transacciones relacionadas con el transporte ferroviario u otros vehículos guiados.
La presente invención también se refiere al uso de un sistema de red informática que comprende un ordenador seguro y un terminal de operador no seguro para procedimientos de operación seguros de un nivel predeterminado de integridad de seguridad, en particular para el transporte ferroviario, en el que el ordenador seguro y el terminal de operador no seguro está conectado entre sí para transmitir mensajes, en el que el terminal de operador no seguro comprende un dispositivo de visualización y está configurado para identificar un código encriptado, para desencriptar el código encriptado y para visualizar una consulta en el dispositivo de visualización, en el que el ordenador seguro cumple con la categoría de seguridad predeterminada y el terminal de operador no seguro no cumple con la categoría de seguridad predeterminada.
El método de la invención se usa preferiblemente para sistemas técnicos para los que se aplica IEC 61508, o
5
10
15
20
25
30
35
40
45
50
55
60
normas derivadas de IEC 61508, o estándares similares, donde se necesita interacción humana para servicios seguros.
Preferiblemente, la categoría de sistema de transmisión predeterminado es de categoría 1, 2 o 3 según EN50159:2010.
El método de la invención puede usarse para la gestión del tráfico y la operación segura de sistemas de señalización, sistemas de control de rutas, sistemas de control de trenes y sistemas de enclavamiento. La "operación segura" resume el proceso de transmisión segura de comandos críticos para su ejecución. Una "transmisión segura" se refiere a un siguiente proceso de votación, que permite una revelación de fallos dentro del proceso solo con los medios de los componentes de la red informática utilizada para el método inventivo.
La base de la invención es la ejecución de un código extraño (código generado por el ordenador seguro) en un terminal de operador no seguro, en el que el código se prepara en un sistema seguro solo para ese fin y se protege mediante el uso de métodos criptográficos. De acuerdo con la invención, se completa con el ordenador seguro para controlar los mecanismos de seguridad que se aplican para el procedimiento de operación segura. Por lo tanto, se proporciona la independencia funcional del mecanismo de seguridad para las funciones par debidas por el terminal de operador no seguro.
Se pueden extraer ventajas adicionales de la descripción y el dibujo adjunto. Las características mencionadas anteriormente y a continuación se pueden usar de acuerdo con la invención individual o colectivamente en cualquier combinación. Las realizaciones mencionadas no deben entenderse como una enumeración exhaustiva, sino que tienen un carácter ejemplar para la descripción de la invención.
Dibujos
La invención se muestra en los dibujos.
La figura 1 muestra las etapas del método básico del método de la invención.
La figura 2 muestra un diagrama de flujo detallado de una variante preferida del método de la invención, en el
que las etapas están relacionadas con los compuestos por medio de los cuales se llevan a cabo las etapas.
El método de la invención comprende las etapas que se muestran en la figura 1. Un comando crítico de seguridad fi(ek) se transmite desde un terminal de operador no seguro a un ordenador seguro, donde fi denota una función (por ejemplo, f1: cambia un punto a X) y ek denota el elemento sobre el cual se llevará la función fuera (por ejemplo, e1: punto A)". El ordenador seguro genera un primer código A y un segundo código B, en el que el segundo código B incluye un TAN T. Los códigos A, B se encriptan y transmiten al terminal de operador no seguro, donde se ejecuta el primer código A, lo que resulta al mostrar una consulta al operador. Dependiendo de la entrada del operador en respuesta a la consulta, el segundo código B se ejecuta o anula.
En contraste con los métodos del estado de la técnica, los códigos A, B se ejecutan como "códigos extranjeros", es decir, los códigos A, B se generan en el ordenador seguro y están sujetos a los requisitos de seguridad del ordenador seguro, pero están ejecutado en el terminal de operador no seguro que no es responsable de la corrección de los códigos y la integridad de seguridad, que depende del ordenador seguro. La "integridad de seguridad" en particular se refiere a la correlación del primer código A y el segundo código B, la calidad OTP de TAN T y la exactitud de los códigos A, B. Se puede verificar el funcionamiento correcto del terminal de operador no seguro o falsificado por el encriptado correcto de los códigos A y B en el terminal de operador no seguro.
La figura 2 muestra una secuencia detallada de las etapas de una variante preferida del método de la invención, en la que las etapas del método se asignan al componente en el que se llevan a cabo las etapas. Primero, el comando crítico de seguridad fi(ek) es ingresado por un operador en el terminal de operador no seguro (etapa 1) antes de la transferencia del terminal de operador no seguro a un ordenador seguro (etapa 2). Antes de ejecutar el comando fi(ek), se debe garantizar que el comando crítico de seguridad recibido fi(ek) sea correcto y no se vea comprometido (modificado). A menudo se debe garantizar, además, que el elemento ek esté en el estado correcto s para realizar la función fi. El primer código A generado por el ordenador seguro (etapa 3) presenta una ventana que contiene un reflejo del comando crítico recibido fi(ek) y dos botones para confirmar, respectivamente, anular la operación. Además, la ventana también puede contener información sobre un estado s del elemento ek y/o un estado del entorno (no se muestra). El segundo código B generado por el ordenador seguro (etapa 5) contiene una función de devolución de llamada para el primer código A. La función de devolución de llamada transfiere un TAN T, que también ha sido generado por el ordenador seguro (por ejemplo, como contraseña de un solo uso) siendo opcionalmente equipado con una restricción de tiempo (etapa 4). El TAN T identifica de forma segura el comando crítico fi(ek) para la ejecución. Como el código A y el código B se han generado en el sistema seguro, existe una independencia funcional de los códigos A, B y los datos y códigos A, B propiedad de/ubicados en el terminal de
5
10
15
20
25
30
35
40
45
50
55
60
65
operador no seguro. Ambos, el código A y el código B son encriptados por el ordenador seguro (etapa 6) y transferidos al terminal de operador no seguro (etapa 7).
En el terminal de operador no seguro, el primer código A se desencripta y se ejecuta (etapa 8). Al ejecutar el primer código A, se muestra la ventana al operador (etapa 9). El operador ahora vota si el comando crítico de seguridad fi(ek)debe ejecutarse o anularse (etapa 10) y en consecuencia envía una confirmación o un rechazo al terminal operador no seguro (etapa 11), por ejemplo, mediante una operación de un clic en un botón de "aceptar" o "anular". Para los códigos de confirmación de operador de un clic, A y B se preparan de manera tal que se previene la ejecución involuntaria del segundo código B (por ejemplo, debido a un mal funcionamiento del terminal de operador no seguro). Por lo tanto, en el caso de una operación del ratón, el evento clic se acepta solo si el ratón se mueve solo dentro de la ventana del código A justo antes de este clic. Esto es supervisado por el código A, respectivamente, el código B. En el caso de las pantallas táctiles, se utilizan y supervisan gestos definidos equivalentes.
En caso de que el operador confirme que ejecuta el comando crítico de seguridad solicitado fi(ek), el segundo código desencriptado B es ejecutado por el terminal de operador no seguro (etapa 12) y el TAN T se transferirá a el ordenador seguro (etapa 13). El terminal de operador no seguro realiza una desencriptación del segundo código B antes o después de la confirmación del operador (no se muestra). El ordenador seguro finalmente puede votar sobre la corrección del TAN recibido (etapa 14) y ejecutar el comando crítico en caso de una votación positiva (etapa 15).
La operación segura de acuerdo con la invención todavía está basada en TAN. Pero la participación del operador en ese conocido procedimiento TAN puede reducirse al mínimo: confirmación con un clic.
La invención presentada supone una infraestructura criptográfica tanto en el terminal de operador no seguro como en el sistema seguro. La operación segura de la invención a través del terminal de operador no seguro utilizando métodos criptográficos garantiza una interacción minimizada del usuario y una independencia incorporada del procesamiento de información entrante y saliente, aunque usando un solo operador terminal no seguro y una única transmisión canalizada, donde "seguro" está relacionado con la revelación de fallos
Con el método de la invención, se pueden detectar y tratar una variedad de modos de fallo, algunos de los cuales se describen a continuación:
En caso de un retraso significativo o una supresión entre las etapas 1 y 8, la etapa 8 será demasiado tarde o no se ejecutará, lo cual es revelado obviamente por el operador.
El operador revela cualquier corrupción o desvío durante las etapas 1 y 2 (por ejemplo, un comando modificado) votando si el comando mostrado debe ejecutarse o anularse (etapa 10).
Una inserción de una transmisión de un comando (etapa 2) también se revelará durante la etapa 9.
Cualquier desviación durante la transmisión de los códigos A, B (etapa 7) se revela para el falso receptor durante el desencriptado del código A (etapa 8), ya que no es posible el desencriptado exitoso y durante la votación (etapa 9) debido a la supresión para el lado correcto del receptor.
Cualquier ejecución involuntaria del código A (en la etapa 8) se revela por las propiedades del código A (reflejo del comando crítico) durante la votación (etapa 10).
Cualquier transmisión involuntaria de TAN T (etapa 13) se puede evitar mediante las propiedades del código B, en particular mediante las propiedades de TAN T, que se pueden generar como OTP dedicado a la solicitud "Realizar fi(ek)" (etapa 4).
Cualquier retraso o supresión significativa durante la transmisión del TAN T (etapa 13) se revela por la reacción faltante o retardada del sistema seguro en las etapas 14 y 15.
Cualquier inserción o corrupción o desvío durante la transmisión del TAN T (etapa 13) se revela durante la votación (etapa 14).
Lista de números de referencia
A primer código B segundo código T TAN fi función ek elemento
fi(ek) comando crítico de seguridad s estado del elemento

Claims (11)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    REIVINDICACIONES
    1. Método para manejar un comando crítico de seguridad (f¡(ek)) en una red informática con un ordenador seguro y un terminal de operador no seguro, el comando relativo a una transacción en un elemento (ek), el método comprende:
    - transferencia del comando (fi(ek)) del terminal de operador no seguro al ordenador seguro;
    - generación de un TAN (T), identificando el TAN (T) el comando; estando el método caracterizado además por
    - generación de un primer código ejecutable (A) y un segundo código ejecutable (B) por el ordenador seguro, el segundo código (B) que contiene el TAN (T), el primer código (A) que es capaz de mostrar una consulta en un dispositivo de visualización del terminal de operador no seguro y el segundo código (B) que es capaz de permitir la ejecución de la transacción;
    - encriptado de los códigos (A, B) por el ordenador seguro;
    - transmisión de los códigos encriptados (A, B) al terminal de operador no seguro;
    - desencriptado de los códigos (A, B) por el terminal de operador no seguro;
    - ejecución del primer código (A) en el terminal de operador no seguro. mediante el cual se muestra una consulta al operador con una invitación para confirmar si el comando crítico debe ejecutarse o anularse;
    - en caso de una confirmación por parte del operador, se ejecuta el segundo código (B) y el TAN (T) se transfiere a el ordenador seguro.
  2. 2. Método de acuerdo con la reivindicación 1, caracterizado por que mediante la ejecución del primer código (A) se visualiza una ventana en el dispositivo de visualización, mostrando la ventana un reflejo del comando y al menos dos botones para confirmación y anulación de la transacción, respectivamente.
  3. 3. Método de acuerdo con la reivindicación 2, caracterizado por que la ventana muestra además información sobre el (los) estado(s) del elemento (ek) y/o el estado del entorno del elemento (ek) sobre el que se va a realizar la transacción.
  4. 4. Método de acuerdo con una de las reivindicaciones anteriores, caracterizado por que el segundo código (B) contiene una función de devolución de llamada para el primer código (A), la función de devolución de llamada transfiere el TAN (T).
  5. 5. Método de acuerdo con una de las reivindicaciones anteriores, caracterizado por que el TAN (T) está equipado con una restricción de tiempo.
  6. 6. Método de acuerdo con una de las reivindicaciones 1 a 5, caracterizado por que el primer código (A) y el segundo código (B) se incorporan en un archivo de programa.
  7. 7. Método de acuerdo con las reivindicaciones 1 a 5, caracterizado por que el primer código (A) y el segundo código (B) son archivos de programa separados.
  8. 8. Método de acuerdo con una de las reivindicaciones anteriores, caracterizado por que la confirmación del operador se lleva a cabo mediante una técnica de un clic.
  9. 9. Método de acuerdo con una de las reivindicaciones anteriores, caracterizado por que el método se usa para transacciones relacionadas con el transporte ferroviario u otros vehículos guiados.
  10. 10. Uso de un sistema de red informática que comprende medios adaptados para implementar el método de una de las reivindicaciones anteriores.
  11. 11. Uso según la reivindicación 10, caracterizado por que se proporciona un ordenador seguro y un terminal de operador no seguro para procedimientos de operación seguros de un nivel predeterminado de integridad de seguridad, en particular para el transporte ferroviario, en el que el ordenador seguro y el terminal de operador no seguro están conectadas entre sí para transmitir mensajes, en el que el terminal de operador no seguro comprende un dispositivo de visualización y está configurado para identificar un código encriptado (A, B), para desencriptar el código encriptado (A, B) y para visualizar una consulta en el dispositivo de visualización
    en el que el ordenador seguro cumple con la categoría de seguridad predeterminada y el terminal de operador no seguro no cumple con la categoría de seguridad predeterminada.
ES13194789.7T 2013-11-28 2013-11-28 Método para manejar un comando crítico de seguridad en una red informática Active ES2681822T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP13194789.7A EP2879008B1 (en) 2013-11-28 2013-11-28 Method for handling a safety critical command in a computer network

Publications (1)

Publication Number Publication Date
ES2681822T3 true ES2681822T3 (es) 2018-09-17

Family

ID=49919978

Family Applications (1)

Application Number Title Priority Date Filing Date
ES13194789.7T Active ES2681822T3 (es) 2013-11-28 2013-11-28 Método para manejar un comando crítico de seguridad en una red informática

Country Status (9)

Country Link
EP (1) EP2879008B1 (es)
AU (1) AU2014356749B2 (es)
DK (1) DK2879008T3 (es)
ES (1) ES2681822T3 (es)
IL (1) IL245664B (es)
PL (1) PL2879008T3 (es)
PT (1) PT2879008T (es)
SA (1) SA516371217B1 (es)
WO (1) WO2015078700A1 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3112964B1 (en) 2015-07-01 2019-03-27 Abb Ag A method and system for safety-relevant input to a control system
PL3549841T3 (pl) * 2018-04-06 2022-07-25 Thales Management & Services Deutschland Gmbh System sterowania ruchem pociągów i sposób wykonywania operacji o kluczowym znaczeniu dla bezpieczeństwa w systemie sterowania ruchem pociągów
PL3549842T3 (pl) * 2018-04-06 2022-08-22 Thales Management & Services Deutschland Gmbh System sterowania ruchem pociągów i sposób bezpiecznego wyświetlania wskazania stanu systemu sterowania trasami i pociągami

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4432419C2 (de) * 1994-09-02 2003-04-24 Siemens Ag Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens
DE102005013194A1 (de) * 2005-03-16 2006-09-21 Siemens Ag Bedienplatzsystem
DE102006029851A1 (de) 2006-06-27 2008-02-21 Deutsche Bahn Ag Sicheres Verfahren für sicherheitsrelevante Eingaben
EP2253524B1 (de) * 2009-05-19 2012-07-04 Siemens Schweiz AG Verfahren und System zur Einstellung einer Fahrstrasse für schienengebundenen Verkehr
DE102010015285A1 (de) * 2010-04-14 2011-10-20 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur Bestätigung eines betriebssicheren Zustandes eines sicherheitskritischen Systems

Also Published As

Publication number Publication date
PT2879008T (pt) 2018-10-29
DK2879008T3 (en) 2018-09-17
PL2879008T3 (pl) 2018-11-30
EP2879008A1 (en) 2015-06-03
AU2014356749B2 (en) 2019-01-17
AU2014356749A1 (en) 2016-06-02
IL245664A0 (en) 2016-06-30
EP2879008B1 (en) 2018-07-04
SA516371217B1 (ar) 2020-10-29
IL245664B (en) 2018-10-31
WO2015078700A1 (en) 2015-06-04

Similar Documents

Publication Publication Date Title
KR101464389B1 (ko) 공유 암호화 키를 변경하는 시스템 및 방법
US11093600B2 (en) Chip accessing method, security controlling module, chip and debugging device
ES2671011T3 (es) Procedimiento y sistema de gestión de un elemento de seguridad integrado eSE
ES2626982T3 (es) Sistema en chip seguro
KR101838191B1 (ko) 보안 채널에서 보안 커맨드들의 배치의 리플레이
ES2681822T3 (es) Método para manejar un comando crítico de seguridad en una red informática
JP2017512044A (ja) 生体認証に基づく携帯型本人確認装置
US8745735B2 (en) Monitoring system, program-executing device, monitoring program, recording medium and integrated circuit
JP2004213216A (ja) 情報セキュリティマイクロコンピュータ、そのプログラム開発装置およびそれらを含んだプログラム開発システム
CN106650506B (zh) 电子电路的受控启动方法和电子设备
US20110265180A1 (en) Tampering monitoring system, management apparatus, and management method
CN101901318A (zh) 一种可信硬件设备及其使用方法
US20160344554A1 (en) Verification of authenticity of a maintenance means connected to a controller of a passenger transportation/access device of a building and provision and obtainment of a license key for use therein
CN105659646A (zh) 移动设备验证
US20140359306A1 (en) System, information processing apparatus, secure module, and verification method
CN109086578A (zh) 一种软件授权使用的方法、设备及存储介质
WO2011135797A1 (ja) 改ざん監視システム、管理装置及び改ざん管理方法
JP7080982B2 (ja) 医療システムにおける医療装置の動作を制御する方法および医療システム
US11126992B2 (en) Method for facilitating transactions, computer program product and mobile device
Woskowski A pragmatic approach towards safe and secure medical device integration
CN107872794A (zh) 渠道接入控制方法及装置
CN107924610B (zh) 用于提高在远程触发时的安全性的方法和设备,机动车
US20220085982A1 (en) Safety system and maintenance method
CN106936844B (zh) 远程访问服务的数据交互方法和系统
JP7334492B2 (ja) セーフティシステムおよびメンテナンス方法