ES2957476T3

ES2957476T3 - Procedimiento y sistema para la autenticación de un dispositivo informático

Info

Publication number: ES2957476T3
Application number: ES20190504T
Authority: ES
Inventors: Marc Zacher
Original assignee: Individual
Current assignee: Individual
Priority date: 2020-08-11
Filing date: 2020-08-11
Publication date: 2024-01-19
Anticipated expiration: 2040-08-11
Also published as: WO2022033959A1; EP3955142A1; US20230299981A1; EP3955142C0; EP3955142B1

Abstract

Un paquete de datos anidado emitido por un controlador administrativo 30 permite emparejar una cerradura electrónica (20) con un dispositivo informático móvil (10). (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN

Procedimiento y sistema para la autenticación de un dispositivo informático

Campo de la invención

La invención se refiere al campo de las cerraduras electromecánicas de puertas y, en particular, a un procedimiento para emparejar y/o desemparejar una cerradura electromecánica con un dispositivo informático móvil como, por ejemplo, un teléfono móvil, una tableta, un reloj inteligente o similar. La invención se refiere además a un paquete de datos para emparejar y/o desemparejar.

Descripción de la técnica relacionada

Las cerraduras electrónicas ("cerraduras" para abreviar) son cada vez más populares, ya que permiten una gestión sencilla del acceso a infraestructuras como oficinas, pisos, habitaciones de hotel, cajas fuertes, coches, centros de fabricación, etc. Los sistemas de cierre correspondientes comprenden al menos un dispositivo de usuario con una identificación electrónica para la autenticación de un usuario. La identificación electrónica es transmitida desde el dispositivo de usuario a la cerradura y si la cerradura considera válida la clave, la cerradura cambia su estado de desbloqueada a bloqueada o de bloqueada a desbloqueada. La identificación electrónica asume la función de una llave mecánica en un sistema de cierre puramente mecánico. Actualmente, la mayoría de los sistemas de cierre electrónico utilizan los llamados transpondedores RFID como dispositivos de usuario. Existen numerosas aplicacio nes que explican distintos aspectos de esta técnica (véase, por ejemplo, los documentos EP 1710 753 A2, WO 03/071060 A1, EP 2195767 A1, EP 1787241 B1 por citar sólo algunos).

Estos sistemas de cerradura tienen algo en común: Un administrador puede asignar un transpondedor a un usuario y tiene que emparejar el transpondedor con todas las cerraduras que el usuario podrá abrir y/o cerrar. El empareja miento y la asignación tienen lugar preferentemente al mismo tiempo. En caso de que se retire la autorización, el administrador tiene que "desemparejar" el transpondedor con las cerraduras correspondientes. Por emparejamiento se entiende en la presente memoria descriptiva la información que se proporciona a la cerradura de que un trans pondedor determinado (y, por tanto, el usuario que utiliza el transpondedor) está autorizado, por ejemplo, para cerrar y/o abrir la cerradura. Esta información se denomina en la presente memoria descriptiva información de empareja miento. Desemparejar es, por tanto, eliminar una autorización o, más en detalle, informar a la cerradura de que un transpondedor concreto ya no está autorizado. Las autorizaciones proporcionadas por la información de empareja miento pueden limitarse, por ejemplo, a determinadas horas y/o días naturales (véase, por ejemplo el documento E<p>2 584 539 A) o pueden requerir la confirmación mediante un PIN o el escaneado de una característica fisiológica (como el escaneado de una huella dactilar, el escaneado del iris o similares). Asimismo, en caso de que se retire una autorización, se refiere a esta información como información de emparejamiento, sólo por simplicidad lingüística (a menos que se distinga explícitamente entre emparejamiento y desemparejamiento). En la práctica, el administra dor suele disponer de un transpondedor maestro ("llave maestra") que permite poner la cerradura en un modo de emparejamiento. En el modo de emparejamiento, se puede proporcionar a la cerradura la información de empareja miento de un transpondedor(por ejemplo, la identificación electrónica de la ID de un transpondedor). Asimismo, la información de emparejamiento puede modificarse, por ejemplo, para retirar un permiso de cierre y/o abertura de la cerradura. Un transpondedor emparejado se comunica con la cerradura y le proporciona su información de autoriza ción. Sobre la base de la información de autorización, la cerradura puede identificar un transpondedor emparejado y permitir que el usuario autentificado por la información de autorización cambie el estado de la cerradura. La informa ción de autorización puede ser la citada identificación electrónica o alguna información que se pueda obtener (prefe riblemente de forma única) a partir de la identificación electrónica.

Estas cerraduras, sin embargo, a menudo están distribuidas en grandes áreas, por ejemplo, en múltiples edificios, edificios que pueden incluso estar situados en diferentes ciudades, países o incluso en diferentes continentes. Por lo tanto, se ha sugerido conectar las cerraduras a una red de datos no restringida localmente, tal como, por ejemplo, Internet, que generalmente permitiría a un administrador enviar información de emparejamiento directamente a las respectivas cerraduras, en remoto. Esta conexión, sin embargo, requiere hardware caro y es difícil de mantener mediante cerraduras alimentadas por baterías. Además, una conexión a una red de datos no local de la cerradura aumenta el riesgo de un ataque con éxito contra la integridad de la cerradura, porque una cerradura conectada a Internet está expuesta a intentos de pirateo a través de Internet.

Un inconveniente del creciente uso del control de acceso electrónico es el número cada vez mayor de transpondedo res diferentes que un usuario tiene que llevar para poder abrir todas las puertas a las que tiene acceso, ya que casi cada entidad como el empleador, el club deportivo, el videoclub, el administrador de pisos, etc. utiliza un sistema de transpondedores diferente. Para abordar estos problemas, se ha sugerido utilizar canales de comunicación de corto alcance (por ejemplo, Bluetooth, Bluetooth LE, comunicación NFC, ZigBee, Z-Wave,...) de dispositivos informáticos móviles como teléfonos inteligentes, tabletas y similares para la comunicación entre estos dispositivos móviles y una cerradura que generalmente permite al propietario del dispositivo móvil respectivo transmitir una clave electrónica a una cerradura que permite al usuario cerrar y abrir una cerradura (véase, por ejemplo, el documento US9589405B2). La mayor parte de estas publicaciones abordan la seguridad adicional que puede añadirse a los sistemas de cierre mediante la inclusión de escaneos biométricos realizados por el dispositivo informático móvil antes de abrir una puerta. Por ejemplo, además de estar emparejado con la cerradura correspondiente, la abertura sólo tiene lugar en caso de que un escáner biométrico, tal como el escáner de huellas dactilares, un reconocimiento facial o similar, confirme no sólo que el teléfono inteligente tiene derecho a accionar la cerradura, sino también el usuario actual del teléfono inteligente. Además, se puede evitar el llamado ataque de relé, ya que la función de "llave" del dispositivo móvil suele ser activada activamente por el usuario del dispositivo móvil, por ejemplo, pulsando un botón del disposi tivo móvil.

El documento EP 3362931 A1 divulga un procedimiento para actualizar de forma segura un firmware de un disposi tivo de cierre electrónico. Un identificador del dispositivo de cierre está asociado al perfil de usuario de una persona. El firmware del dispositivo de cierre electrónico se actualiza cuando el identificador del dispositivo de cierre coincide con el identificador asociado al perfil de usuario.

El documento US 2018/248704 A1 divulga un procedimiento para operar de forma segura un controlador de cerradu ra.

Cuando un dispositivo móvil que incluye un paquete de datos que contiene datos de acceso a la cerradura y un certificado digital entra en la proximidad del controlador de la cerradura, el dispositivo móvil transmite de forma inalámbrica los datos de acceso a la cerradura al controlador de la cerradura utilizando el certificado digital para encriptar la transmisión inalámbrica.

El documento US 2020/186366 A1 divulga un procedimiento para habilitar un controlador de cerradura. El controla dor de cerradura tiene una marca física que está adherida al controlador de cerradura que comprende información de la cerradura con un identificador de la cerradura. Se utiliza un dispositivo móvil para recuperar la información de la cerradura escaneando la marca física y transmitiendo la información de la cerradura a un servidor remoto. La transmisión se encripta de forma asimétrica utilizando dos pares de una clave privada y una clave pública generadas y proporcionadas por el controlador de la cerradura y el servidor remoto, respectivamente.

En general, estos sistemas funcionan bien y son muy cómodos, pero la dificultad no resuelta hasta ahora consiste en emparejar de forma segura una cerradura remota con un teléfono inteligente concreto, sin correr el riesgo de que una tercera persona pueda "secuestrar" una cerradura apropiándose de la identidad y sin instar al administrador a visitar físicamente el lugar en el que está instalada la cerradura.

Sumario de la invención

El problema que debe ser resuelto por la invención es facilitar el emparejamiento y desemparejamiento de un primer dispositivo informático con otro segundo dispositivo informático, por ejemplo, con una cerradura electrónica sin com prometer la seguridad.

Las soluciones al problema se describen en las reivindicaciones independientes. Las reivindicaciones dependientes se refieren a otras mejoras de la invención.

Emparejar un dispositivo informático móvil con una cerradura electrónica significa proporcionar la información de que el dispositivo informático móvil en particular está autorizado a abrir la cerradura electrónica (por brevedad se utilizará el término "abrir" y se considerará que el término "abrir" equivale a"bloqueary/o abrir"). La abertura requiere que la cerradura esté habilitada para identificar el dispositivo informático móvil concreto basándose en cierta información de autenticación transmitida por el primer controlador a la cerradura. Para simplificar, se hace referencia al dispositivo informático concreto (preferiblemente móvil) como"el primer controlador".El primer controlador es, resumiendo muy brevemente, un dispositivo informático (preferiblemente portátil) con una CPU, una memoria y un primer puerto para permitir la comunicación a través de al menos un primer canal de comunicación con un controlador administrativo y por un segundo canal de comunicación con al menos una cerradura, más generalmente denominada segundo con trolador. Los primeros canales de comunicación típicos son las conexiones a Internet, por ejemplo, a través de Wi-Fi, LTE o similares, y los segundos canales de comunicación típicos son, por ejemplo, Bluetooth (en cualquier versión), NFC (Comunicación de Campo Cercano) y otras técnicas de comunicación (preferiblemente de menor alcance), como ZigBee, Z-Wave o similares. Sin embargo, la invención no está limitada por la restricción de que el primer y el segundo canales de comunicación utilicen protocolos diferentes ni por el hecho de que utilicen puertos diferentes (por ejemplo, antenas). Pero los ejemplos hacen que el concepto sea más vívido y el uso de distintos canales de comunicación refuerza la seguridad. Para simplificar, el lector puede suponer que el primer controlador es un telé fono inteligente que tiene múltiples puertos (por ejemplo, antenas) para diferentes canales de comunicación (Wi-Fi, LTE, NFC, Bluetooth, USB,....) que permiten una comunicación bidireccional con otros dispositivos electrónicos, como, por ejemplo, un controlador administrativo, así como con una cerradura que tiene un puerto correspondiente para establecer el canal de comunicación respectivo. Preferiblemente, el primer canal de comunicación proporciona una conexión a Internet (por ejemplo, a través de Wi-Fi, LTE, Ethernet,...). También es preferible que el segundo canal de comunicación sólo permita la comunicación en un rango limitado localmente. La restricción local puede estar definida por una distancia máximadmaxentre el primer controlador y el segundo controlador. Por ejem plodmaxpuede ser un elemento de un conjunto, por ejemplodmax/m e{100, 50, 30, 15, 10, 5, 2,5, 1, 0,5, 0,25}, sien do m, como es habitual, la unidad SI "metro".

El término cerradura electrónica se generaliza en la presente memoria descriptiva como el"segundo controla dor",como ya se ha indicado más arriba. Al igual que el primer controlador, el segundo controlador tiene una CPU y una memoria y un (segundo) puerto que permite la comunicación a través de al menos el segundo canal de comuni cación con el primer controlador. Los controladores primero y segundo están configurados para establecer un enlace de datos bidireccional a través del segundo canal de comunicación, lo que permite el intercambio de información, normalmente por medio de paquetes de datos. En aplicaciones prácticas, el segundo canal de comunicación puede seleccionarse preferiblemente para permitir una comunicación sólo si el primer controlador está en la proximidad del segundo controlador. La proximidad puede entenderse como una distancia d entre el primer y el segundo controla dor menor o igual quedmax,es decir,d≤dmax.El segundo controlador puede estar configurado para proporcionar o denegar el acceso a algún recurso, tal como una información, una puerta o similar. Por así decirlo, el segundo con trolador es una cerradura electrónica que protege la información o el acceso a una habitación, una caja fuerte, dinero o cualquier otro objeto. Por lo tanto, se hará referencia al proceso de proporcionar el acceso como abrir, y quitar el acceso como cerrar.

En la práctica, la información de emparejamiento que permite abrir (es decir, "cerrar y/o abrir") una determinada cerradura mediante un primer controlador es proporcionada por el administrador del sistema de cierre. El adminis trador utiliza un controlador administrativo, es decir, algún tipo de dispositivo informático electrónico configurado para enviar datos y, preferiblemente, recibir datos del primer controlador, por ejemplo, por medio de una conexión a Inter net, un mensaje de texto o cualquier otro canal de comunicación con el primer controlador. Por lo tanto, el controla dor administrativo puede enviar paquetes de datos al primer controlador. Un paquete de datos puede comprender datos de carga, como por ejemplo información de emparejamiento y/o información de autorización necesaria para abrir el segundo controlador mediante el segundo controlador y/o el primer controlador, respectivamente.

De esta manera, el controlador administrativo podría transmitir información de emparejamiento al primer controlador por medio del primer canal de comunicación, por ejemplo, por medio de una conexión a Internet. Una vez que el primer controlador se encuentra en las proximidades del segundo controlador (d≤dmax),el primer controlador puede transmitir y, por lo tanto, reenviar la información de emparejamiento al segundo controlador, por ejemplo, por medio del segundo canal de comunicación, por ejemplo, utilizando Bluetooth (en cualquier versión), NFC, ZigBee, Z-Wave o una tecnología similar. Por consiguiente, se pueden evitar los inconvenientes de una conexión directa entre el controlador administrativo y el segundo controlador (por ejemplo, una cerradura), tales como un aumento del con sumo de energía y una mayor vulnerabilidad.

Preferiblemente, la información de emparejamiento puede ser enviada desde el controlador administrativo al primer controlador como componente de un paquete de datos anidados, en el que la información de emparejamiento está encriptada en el paquete de datos anidados y en el que la clave para desencriptar la información de emparejamiento está disponible para el segundo controlador, pero preferiblemente no está disponible para el primer controlador. De este modo, se mejora la seguridad, como se explicará con más detalle en los ejemplos siguientes. En caso de que el sistema comprenda varios segundos controladores (por ejemplo, varias cerraduras en diferentes emplazamientos), la clave para desencriptar la información de emparejamiento puede ser compartida por todos los segundos controla dores o por un grupo de segundos controladores; sin embargo, se prefiere que la clave para desencriptar la informa ción de emparejamiento sea conocida únicamente por el segundo controlador (único) respectivo. Otros segundos controladores preferiblemente tienen diferentes claves de desencriptado correspondientes.

En otras palabras, el paquete de datos anidados permite proporcionar información de emparejamiento desde un controlador administrativo a al menos un segundo controlador utilizando el primer controlador como transportador. Más en detalle, el paquete de datos permite al controlador administrativo proporcionar la información de empareja miento al primer controlador utilizando un primer enlace de datos (por medio de un primer canal de comunicación, por ejemplo, una conexión ethernet, una conexión Wi-Fi, celular o cualquier otra conexión física de datos. De este modo, el primer controlador puede estar en una ubicación remota con respecto al controlador administrativo (pero esto no es una condición). A continuación, un usuario del primer controlador, por ejemplo un usuario de un teléfono inteligente, puede transportar físicamente el paquete de datos anidados almacenado en la memoria del primer con trolador (del usuario) a una puerta equipada con el segundo controlador correspondiente (por ejemplo, una cerradura electrónica), moviendo físicamente el primer controlador en las proximidades (d≤dmax)del segundo controlador, lo que permite establecer un segundo enlace de datos. Utilizando el segundo enlace de datos (por ejemplo, un canal de comunicación NFC, Bluetooth, IR o de cualquier otro tipo), la información de emparejamiento se puede propor cionar por medio del primer controlador al segundo controlador, sin casi ninguna posibilidad de que un tercero tenga conocimiento de la información de emparejamiento.

Como se pondrá de manifiesto más adelante, el paquete de datos es un paquete de datos anidados, que tiene un número n (n> 1) de capas anidadas (subpaquetes). Parte de la información proporcionada por estas capas sólo puede ser leída por el primer controlador. La información proporcionada de esta manera al primer controlador permi te a éste identificar un segundo controlador como el segundo controlador previsto al que el controlador administrativo debe enviar la información de emparejamiento. De este modo se puede evitar que los datos de carga se entreguen a una cerradura no autorizada o, en general, a un segundo controlador no previsto. Además, el primer controlador puede entregar la información de emparejamiento (u otros (segundos) datos de carga) sin poder utilizarla, ya que los segundos datos de carga están anidados en una capa encriptada del paquete de datos anidados y el primer contro lador preferiblemente no dispone de la clave correspondiente, siendo conocida (preferiblemente sólo) por el segundo controlador. El paquete de datos de la invención permite de esta manera una identificación recíproca del primer controlador y del segundo controlador que es inicializada por el controlador administrativo.

El paquete de datos anidados comprende al menos una primera capa de datos. La primera capa de datos puede encriptarse preferiblemente asimétricamente utilizando una clave pública del primer controlador. Esta clave pública del primer controlador se denominará en lo sucesivoprimera clave pública.Un mensaje encriptación con la primera clave pública sólo puede desencriptarse con una primera clave privada complementaria, conocida preferentemente sólo por el primer controlador. Esto significa que el par de primeras claves pública y privada puede ser generado preferentemente por el primer controlador. La primera clave pública puede transmitirse al controlador administrativo, por ejemplo, por medio del primer canal de comunicación.

El controlador administrativo encripta la primera capa de datos A1 del paquete de datos anidados A0 utilizando la primera clave pública. De este modo, la primera capa de datos A1 sólo puede ser desencriptada, preferiblemente, por el primer controlador.

El paquete de datos anidados A0 como capa externa puede comprender al menos una firma digital del controlador administrativo que permita verificar al controlador administrativo como originador de la primera capa de datos A1. Por tanto, referirse a la capa exterior del paquete de datos anidados A0 significa que la firma respectiva no está incluida en la capa de datos de nivel inferior A1 (pero puede haber otra firma en las capas de nivel inferior A1 a A4). Como es habitual en el campo técnico, en la presente memoria descriptiva, una firma digital, o firma para abreviar, son datos que se asignan lógicamente a la información firmado, en la que los datos permiten verificar el origen de la información firmado por el firmante. Las llamadas firmas digitales utilizan principalmente procedimientos criptográfi cos y pueden considerarse como un esquema para verificar la autenticidad de mensajes o documentos digitales. Por ejemplo, una firma puede ser una porción de la capa cero A0 (la capa exterior) y/o de la primera capa. En este ejemplo, esto significa que la primera capa A1 puede haber sido firmado antes y/o después del encriptación. Los procedimientos de firma digital son conocidos en la técnica, una introducción se puede encontrar por ejemplo en https://en.wikipedia.org/wiki/Digital signature (recuperada el 05 de agosto de 2020).

La primera capa de datos A1 puede comprender al menos información de identificación del segundo controlador (segunda información de identificación, para abreviar), por ejemplo, una identificación única del segundo controlador (segunda identificación) y/o un primer desafío C1 y una respuesta esperada R1 a la citada primer desafío C1 y/o una clave pública del segundo controlador (que permite generar un primer desafío C1 por el primer controlador). Por ejemplo, el primer desafío C1 puede ser un mensaje que debe desencriptarse utilizando una clave privada del se gundo controlador. El mensaje puede estar comprendido en la primera capa o ser generado por el primer controla dor. Por ejemplo, el mensaje es un número aleatorio generado por el primer controlador.

Una segunda capa de datos A2 está comprendida y por tanto anidada en la primera capa de datos A1, en la que la segunda capa de datos A2 está preferiblemente encriptada. El encriptación puede ser un encriptación asimétrico que utilice una clave pública del segundo controlador (segunda clave pública,para abreviar), por lo que sólo se puede desencriptar utilizando la clave privada del segundo controlador. Alternativamente, el encriptación puede ser simétri co. Sin embargo, en cualquier caso, la clave de desencriptado se mantiene preferiblemente en secreto y sólo la conoce el segundo controlador (encriptación asimétrico) o sólo la conocen el segundo controlador y el controlador administrativo (encriptación simétrico). En cualquier caso, es preferible que la clave de desencriptado esté oculta (= no compartida) con el primer controlador. De esta manera, preferiblemente sólo el segundo controlador está configu rado para desencriptar la segunda capa A2.

En un ejemplo preferido, la primera capa de datos comprende una segunda clave simétrica que permite al primer controlador transmitir información encriptada simétricamente al segundo controlador. La segunda clave simétrica es compartida preferiblemente con el segundo controlador en la instalación inicial, por ejemplo en la fábrica, o puede haber sido programada en el segundo controlador en el momento de la entrega por el administrador. Esto tiene la ventaja de que cualquier comunicación entre el primer controlador y el segundo controlador puede ser encriptada. En resumen, el primer controlador puede recibir el paquete de datos anidados A0 y desencriptarlo, obteniendo de esta manera la primera capa de datos A1 que comprende la segunda información de identificación ID1 y/o la segun da capa de datos A2, en la que la segunda capa de datos A2 preferiblemente todavía está encriptada, es decir, la información en la segunda capa de datos A2 preferiblemente no es accesible al primer controlador. Es preferible que el primer controlador no conozca la clave para desencriptar la segunda capa de datos.

El primer controlador, por ejemplo, puede transmitir a continuación el primer desafío C1 al segundo controlador y recibir a cambio una primera respuesta R1' del segundo controlador. Si la primera respuesta R1' coincide con la primera respuesta esperada R1 (es decir, si R1'=R1), el primer controlador se comunica con el segundo controlador pretendido, es decir, previsto (por ejemplo, con la cerradura electrónica prevista). El primer desafío C1 y la corres pondiente primera respuesta esperada R1 pueden estar incluidas en la primera capa de datos A1. El segundo con trolador está configurado preferiblemente para enviar la primera respuesta esperada en respuesta a haber recibido el primer desafío C1. El controlador administrativo y el segundo controlador pueden haber intercambiado inicialmen te pares de primeras desafíos y primeras respuestas coincidentes. Alternativamente (o además como segundo ejemplo), una clave públicaukipuede estar comprendida en la primera capa de datos, en la que la clave priva da correspondienteikies conocida preferiblemente sólo por el segundo controlador. La recepción de la clave públi caukicomo una porción de la primera capa de datos A1 por el primer controlador permite al primer controlador encriptar cualquier información (por ejemplo, aleatoria) I, obteniendo de esta manera (información encriptadaEN(uki, I),en la queENmapea la tupia (uki,I), en el espacio de información encriptada. Posteriormente, la información en criptadaEN(uki, I)puede enviarse como primer desafío C1 desde el primer controlador al segundo controlador (C1 =EN(uki,I)). El segundo controlador puede desencriptar el primer desafío C1 utilizando su clave privada y obtener de esta manera la información desencriptadaDE(iki, C1)como resultador.El resultadorpuede presentarse como primera respuestaRY(R1'=r=DE(iki, C1))del segundo controlador al primer controlador. El envío de la primera respuesta R1' al primer controlador permite a éste comprobar si la primera respuesta R1' coincide con la información previa a su encriptación(R1= I). En otras palabras, la primera respuesta esperada R1 puede ser la información inicial antes de que haya sido encriptada. Por lo tanto, proporcionar conocimiento sobre una clave pública en la primera capa de datos, en la que la clave privada correspondiente es conocida (preferiblemente sólo) por el segundo contro lador puede considerarse como proporcionar un desafío C1 y una respuesta esperada R1 o, en otras palabras, sirve para el mismo propósito, a saber, garantizar que el primer controlador se empareja sólo con un segundo controlador de acuerdo con las instrucciones del controlador administrativo, brevemente referido como segundo controlador previsto.

En una segunda variante del segundo ejemplo, es decir, del ejemplo en el que la respuesta esperada R1 y la res puesta correspondiente R1' son calculadas por los controladores primero y segundo, respectivamente, mediante el encriptación o desencriptado de información complementariaI, EN(uki, I)como se ha explicado más arriba, la prime ra respuesta esperada R1 y la primera respuesta R1' se obtienen preferentemente mapeando la informaciónIy el resultadorobtenido por desencriptado (DE(iki, I))mediante una función no inyectivaf.El subíndiceiidentifica las claves pública y privada correspondientes, que pueden utilizarse también para encriptar y desencriptar la comunica ción entre los controladores respectivos (en este casoi= 1), pero pueden ser un par de claves diferentes (en este casoit 1). Por ejemplo, la respuesta esperadaR1puede obtenerse mapeandoIutilizando f y la respuesta transmi tidaR1'se obtiene mapeando (utilizando f) el resultadorobtenido mediante el desencriptado del desafíoC1.Por tanto,R1' = f(r)=f(DE(iki, C1)yR1= f(I).En este ejemplo preferido, el resultado r obtenido por desencriptado de la información encriptadaDE(iki, EN(uki, I))no puede obtenerse aplicando la función inversa defa la respuesta trans mitida R1', porque la inversa de la funciónfno existe. Por ejemplo, la función no inyectivafpuede ser una suma de comprobación y/o una función hash, preferiblemente una función hash criptográfica. El paso adicional de mapeo aumenta la seguridad, porque un oyente no autorizado de las transmisiones deC1yR1'no puede obtener el resul tadory, por lo tanto, no puede utilizar el resultadorpara correlacionar el desafío transmitidaC1y el resultado para obtener de esta manera información sobre la clave pública o la clave privada. Además, no se puede abusar del se gundo controlador para desencriptar ningún dato con su clave privada.

Ambas variantes del segundo ejemplo, en las que la respuesta esperada R1 y la respuesta correspondiente R1' son calculadas por el primer y segundo controladores, respectivamente, pueden resumirse porR1'=f(r)=f(DE(iki, C1)yR1= f(I)si se libera la condición "no inyectiva" sobre f. La primera variante del primer ejemplo se obtiene definien dof:X^ X,f(x)= xVx eX.

Además o alternativamente (como tercer ejemplo), el primer controlador puede enviar un mensaje, por ejemplo un número aleatorio, al segundo controlador. Este mensaje constituye un primer desafío C1. El segundo controlador firma digitalmente el primer desafío C1 utilizando una clave privada y envía de vuelta el desafío firmado o sólo una firma del desafío como respuesta transmitida R1'. Utilizando una clave pública del segundo controlador, el primer controlador puede verificar la firma. En un ejemplo vívido del tercer ejemplo, la firma digitalDSpuede ser una fun ción de un valor hashh(C1)del desafío C1 al que se ha aplicado la clave privadaik2del segundo controlador, es decir,DS=DS(ik2,h2(C1)),esto se puede considerar como una especie de encriptación de h<2>(Ci) (se hace notar que en lugar deh2(Ci),puede utilizarse C1, es decir, generalizandoh2(x)= x,Vx). De esta manera, antes de transmitir la primera respuesta, el segundo controlador puede determinar el valor hash h<2>del primer desafío C1, es decir, h<2>(Ci) utilizando una función hash predefinida h (en la presente memoria descriptiva el índice de h indica el número del controlador que aplicó la función hash a la información que debe someterse a hash). El valor hash obtenido h2(C1) puede ser mapeado utilizando una clave privada del segundo controlador en un espacio de firma digital, obtenien doDS = DS(ik2,h2(C1)).A continuación, la firma DS puede transmitirse como respuesta R1', es decir,R1' =DS(ik2,h2(C1)) al primer controlador. El primer controlador puede determinar el valor hash hi del primer desafío C1 conocido por el primer controlador, obteniendo de esta manerah1(C1).El primer controlador puede aplicar la clave pública a la respuesta recibida R1', recibiendo de esta manera un valor de verificación VS de la firma DS, es de cir,VS=VS(ukzRV).Este valor de verificación puede compararse con un valor de verificación esperadoEVSque se genera a partir del mensaje firmado C1, es decir,EVS=EVS(C1). SiEVS(C1)=VS(uk2, R1')es verdadero, la firma se considera válida. La determinación de DS =DS(ik2,h2(C1))puede considerarse como una especie de encriptación del valor hashh2(C1).Por consiguiente, determinarVS(uk2 R f)se puede considerar como "desencriptar" el valor hash previamente encriptado, proporcionandoh2(C1)o una función de h<2>al primer controlador. En resumen, si el valor de verificación esperadoEVSy el valor de verificaciónVcoinciden, es decir, si el primer controlador determina quePVS(C1)=VS(uk2, R1')es verdadero, la identidad del segundo controlador puede considerarse aprobada y el procedimiento puede continuar. La tupla (ik<2>,uk<2>) puede ser diferente de la tupla (ik2 ,uk2 )utilizada para el encripta ción asimétrico de los datos intercambiados, pero también puede ser la misma. Simplemente se evita introducir otro índice.

Ligeramente diferente de los otros ejemplos para verificar la identidad del segundo controlador, la respuesta transmi tida R1' no se compara directamente con una respuesta esperada R1, sino que una respuesta transmitida "desencriptada" R1' se compara con el valor calculado localmente que se obtiene basándose en el mensaje firmado digi talmente, que toma la función de la respuesta esperada R1. La clave pública del segundo controlador que se aplica rá a la firma digital (por ejemplo, un valor hash encriptación) puede estar incluida en los primeros datos de carga y, por lo tanto, puede ser proporcionada por el controlador administrativo al primer controlador al presentar el paquete de datos anidados.

En una variante menos preferida del ejemplo vívido del tercer ejemplo, el segundoik2privado no se aplica al valor hash sino a todo el primer desafío por el segundo controlador (es decir,h(x)= x Vx, véase más arriba). En este caso, el primer controlador aplica la segunda clave pública uk<2>a la respuesta transmitida R1' y compara la respuesta transmitida R1' tratada de esta manera con el primer desafío transmitido inicialmente C1. El ejemplo menos preferido permite utilizar el segundo controlador como aparato de encriptación y, por tanto, permite a terceros asumir la identi dad del segundo controlador. Además, con un número cada vez mayor de mensajes encriptados, la tercera parte recopila cada vez más información que puede ser abusada para determinar la clave privada del segundo controla dor.

La comunicación para conducir las pruebas de desafío y respuesta entre el primer y el segundo controlador puede tener lugar preferiblemente utilizando un encriptación simétrico, en el que la clave simétrica se ha proporcionado al primer controlador como parte de la primera capa de datos. La clave simétrica puede haberse almacenado preferi blemente en el segundo controlador (por ejemplo, la cerradura) al instalar la cerradura (en la presente memoria des criptiva como pars pro toto para el segundo controlador). El encriptación simétrico garantiza que ninguna tercera parte pueda escuchar la comunicación entre el primer y el segundo controlador y, por lo tanto, garantiza que el pri mer desafío y la primera respuesta (esperada) sólo sean conocidos por el primer y el segundo controlador y por el controlador administrativo. Una vez que el primer controlador ha desencriptado la clave simétrica utilizando la prime ra clave privada, preferiblemente cualquier comunicación entre el primer y el segundo controlador puede tener lugar preferiblemente utilizando un encriptación simétrico basado en la clave simétrica.

Suponiendo que la identidad del segundo controlador haya sido confirmada por el primer controlador basándose en la segunda información de identificación, por ejemplo, mediante la prueba de desafío y respuesta, entonces el primer controlador (por ejemplo, el teléfono inteligente o similar) puede enviar, preferiblemente utilizando la clave simétrica para encriptar, la segunda capa de datos A2 aún encriptada al segundo controlador. La segunda capa de datos A2 puede ser desencriptada por el segundo controlador, utilizando preferentemente sólo la segunda clave privada. En caso de que la segunda capa de datos A2 se haya transmitido utilizando el encriptación simétrico antes mencionado, el segundo controlador, por supuesto, desencripta en primer lugar el mensaje encriptación simétricamente del primer controlador para obtener de esta manera el segundo paquete de datos A2. Posteriormente, el segundo controlador puede desencriptar la segunda capa de datos utilizando la segunda clave privada.

Este desencriptado puede proporcionar una tercera capa de datos A3 al segundo controlador, que comprende al menos una cuarta capa A4 y una firma del controlador administrativo por la que se ha firmado la cuarta capa A4. Si la firma es válida, la información proporcionada en la cuarta capa A4 no se ha visto comprometida y ha sido propor cionada inicialmente por el controlador administrativo. Si la firma no es válida, el segundo controlador puede, por ejemplo, interrumpir el proceso de emparejamiento y/o emitir una señal de alarma y/o abortar la comunicación con el primer controlador (por ejemplo, durante un tiempo determinado). Además, o alternativamente, una ID del primer controlador que transmitió la segunda capa de datos (con la firma no válida anidada en ella) puede añadirse a una lista negra.

La cuarta capa de datos A4 puede comprender la primera clave pública, que permite enviar un mensaje encriptación asimétricamente desde el segundo controlador al primer controlador, en el que el mensaje se ha encriptación utili zando la primera clave pública comprendida en la cuarta capa A4. Por lo tanto, sólo el primer controlador puede desencriptar el mensaje encriptación asimétricamente utilizando la primera clave privada. Este mensaje puede in cluir, por ejemplo, un (segundo) desafío C2. El primer controlador puede responder al (segundo) desafío C2 envian do una (segunda) respuesta R2' (por ejemplo, la ID del primer controlador) que se genera al procesar el segundo desafío. Si la segunda respuesta R2' coincide con una segunda respuesta R2 esperada que puede estar comprendi da en la cuarta capa, aunque no necesariamente, el segundo controlador puede seguir utilizando los datos de la segunda carga. Además, o alternativamente, el primer controlador puede firmar el desafío C2 (cualquier tipo de mensaje) y enviar al menos la firma como respuesta transmitida R2' al segundo controlador, tal como se ha explica do más arriba en detalle como tercer ejemplo de una prueba de desafío y respuesta. Alternativa o adicionalmente, un segundo (o tercer) desafío y una segunda (o tercera) respuesta pueden estar incluidos en la cuarta capa de da tos, permitiendo de esta manera al segundo controlador desafiar al primer controlador como se ha explicado más arriba sin tener que calcular la respuesta. La ventaja es que el cálculo puede sustituirse por una simple operación de búsqueda.

En otras palabras, tras superar la prueba de desafío y respuesta, el primer controlador es "aceptado" como autoriza do por el controlador administrativo y los datos de la segunda carga como válidos. En caso de que no se supere la prueba de desafío y respuesta, se considera que el primer controlador no está autorizado por el controlador adminis trativo. Por lo tanto, la comunicación puede ser un intento de obtener control no autorizado sobre el segundo contro lador mediante la transmisión de datos de carga de otra entidad distinta del controlador administrativo al segundo controlador.

La enseñanza que se ha explicado más arriba relativa a la primer aprueba de desafío y respuesta basada enC1, R1y R1'puede aplicarse también a la segunda y/o tercera prueba de desafío y respuesta. En particular, el segundo desafío C2 puede ser, por ejemplo, cualquier (cadena de) carácter(es) R2 que está encriptada utilizando la primera clave pública, tal como se incluye opcionalmente en la cuarta capa de datos A4. La respuesta esperada R2 puede ser, por tanto, (la cadena de) carácter(es) o una función no inyectivafde la segunda información desencriptada, tal como se ha explicado más arriba con respecto al segundo ejemplo de la primera prueba de desafío y res puesta. Tras la recepción del segundo desafío C2, el primer controlador puede transmitir la información desencriptada como segunda respuesta R2' real al segundo controlador. Si la segunda respuesta esperada R2 coincide con la segunda respuesta recibida R2' (es decir, si R2=R2'), el segundo controlador confirma la identidad del primer contro lador. Utilizando las abreviaturas explicadas más arriba y definiendoI2como la segunda información encriptada, la respuesta esperadaR2esR2= f(I2)y la respuesta transmitidaR2'esR2'=f(DE(ikj, C2)),en la que C2= EN(ukj,I2).Generalizando, la enésima respuesta esperadaRn=f(In),y la respuesta transmitidaRn'se leeRn=f(DE(ikj, Cn)),en la queCn=EN(ukj, In),en la que el índice de subscriptjidentifica las claves públicas y privadas correspon dientes, por ejemploj=n. Además o alternativamente, el primer controlador puede transmitir su primera ID'al se gundo controlador. Si la primera ID I1' transmitida coincide con una primera ID I1 esperada (I1=I1') que se incluye opcionalmente en la cuarta capa de datos A4, se trata de otra posibilidad alternativa o adicional de confirmar la iden tidad del primer controlador.

Los datos de carga pueden ser, por ejemplo, información de autorización de emparejamiento que permita controlar al menos una función del segundo controlador, por ejemplo, cerrar y/o abrir una cerradura, por ejemplo, en un núme ro limitado de veces, durante tiempos definidos y/o sin otras o sin ninguna restricciones en respuesta a la informa ción de autorización transmitida por el primer controlador al segundo controlador. La información de autorización puede ser, por ejemplo, una respuesta transmitida al segundo controlador por el primer controlador en respuesta a un desafío, por ejemplo, como se ha explicado más arriba. Existen numerosos procedimientos de autorización en el estado de la técnica y cualquiera de ellos puede utilizarse, al menos en principio.

Resumiendo muy brevemente, el paquete de datos anidados A0 comprende información conocida inicialmente por el controlador administrativo. Las partes de esta información se anidan en el paquete de datos A0 para garantizar que sólo ese controlador primero o segundo obtenga la información relevante para ese controlador primero o segundo particular, respectivamente. La primera capa de datos A1 puede extraerse mediante el desencriptado del paquete de datos anidados A0 por el primer controlador, preferiblemente solo, y puede comprender al menos una segunda in formación de identificación para la identificación del segundo controlador (por ejemplo, un primer desafío C1, una primera respuesta esperada R1 al primer desafío C1 cuando se impone al segundo controlador, una ID del segundo controlador (segunda ID) y/o una segunda clave pública) y/o una segunda capa de datos A2. La segunda capa de datos A2 también puede encriptarse asimétricamente utilizando una clave pública del segundo controlador (segunda clave pública) y comprende una tercera capa de datos A3. En su lugar, puede utilizarse un encriptación simétrico de la segunda capa de datos, siempre que la clave compartida correspondiente no sea conocida por el primer controla dor, ya que permitiría a un usuario del primer controlador obtener y potencialmente modificar la información de las capas de colocación inferiores del paquete de datos anidados. Sólo por simplicidad lingüística, se supondrá que se ha utilizado un encriptación asimétrico.

La transmisión de la segunda capa de datos desde el primer al segundo controlador puede ser tunelizada preferi blemente usando una encriptación simétrica, en la que la clave simétrica es conocida por los controladores primero y segundo. La clave simétrica puede estar incluida en la primera capa de datos, es decir, puede ser al menos una parte de los primeros datos de carga.

En cualquier caso, la segunda capa de datos A2, por lo tanto, puede comprender información que esté disponible para el segundo controlador, solamente, después de que la segunda capa A2 haya sido transmitida desde el primer controlador al segundo controlador.

La tercera capa de datos A3 puede comprender al menos una firma digital del controlador administrativo y compren de una cuarta capa de datos A4. La firma se refiere a la cuarta capa de datos A4 y a la cuarta capa de datos A4, en este sentido, está unida a ella. Alternativamente, la segunda capa de datos A2 puede comprender una firma digital de la tercera capa A3 y la tercera capa de datos A3, en el que el desencriptado de la tercera capa de datos A3 utili zando una clave privada del segundo controlador permite obtener la cuarta capa de datos. En otras palabras, la secuencia de firma y encriptación puede intercambiarse sin cambiar el nivel de seguridad. En ambos ejemplos, el segundo controlador puede verificar que el origen de los datos de la cuarta capa A4 es el controlador administrativo y, al mismo tiempo, se garantiza que ninguna otra parte que no sea el segundo controlador puede utilizar los datos en la cuarta capa. Sin embargo, el intercambio de la secuencia como se ha explicado más arriba ofrece la ventaja adicional de que el primer controlador puede verificar el origen de la tercera capa. En caso de que el originador sea el controlador administrativo, el primer controlador puede reenviar la segunda capa A2 al segundo controlador. En caso de que el emisor de la tercera capa A3 no sea el controlador administrativo, el primer controlador podrá enviar una señal de advertencia, por ejemplo, a un usuario, a un administrador y/o salir de la secuencia de emparejamiento.

La cuarta capa de datos A4 comprende al menos la primera clave pública y/o una segunda respuesta esperada R2 del primer controlador a un segundo desafío C2. El segundo desafío puede estar incluido en la cuarta capa de datos y/o generarse a partir de la información incluida en la cuarta capa de datos. También se pueden utilizar otras posibi lidades para definir el segundo desafío. La información tal como es proporcionada en las pruebas de desafío y res puesta primera y segunda, tal y como se ha explicado más arriba, también se aplica en este caso.

La cuarta capa de datos puede comprender además una primera ID, en la que la primera ID puede haber sido asig nada por el controlador administrativo al primer controlador, preferiblemente antes de generar y/o transmitir el pa quete de datos anidados A0 al primer controlador. En este punto, se debe hacer notar que la primera ID, tal y como se proporciona en la cuarta capa de datos A4, no puede ser extraída por el primer controlador del paquete de datos anidados debido al encriptación de la segunda capa de datos. Por lo tanto, el segundo controlador puede comparar la primera ID (ID1) obtenida con la cuarta capa de datos con una primera ID (ID1') conocida por el primer controlador y transmitida por el primer controlador al segundo controlador. Si estas dos primeras ID coinciden (ID1=ID1'), enton ces el controlador destinado a transmitir la segunda capa de datos al segundo controlador ha proporcionado (trans mitido) la segunda capa de datos A2. Si las dos primeras identificaciones no coinciden (ID1<>ID1'), existe el riesgo de que los segundos datos de carga no procedan del controlador administrativo y, en este caso, es preferible que los segundos datos de carga sean descartados por el segundo controlador.

Como ya se ha mencionado, la cuarta capa de datos A4 puede comprender además segundos datos de carga. Es tos segundos datos de carga pueden comprender información de emparejamiento para activar o desactivar el primer controlador y/o al menos un tercer controlador, para controlar una función del segundo controlador. En este sentido, la información de emparejamiento es una regla para controlar el acceso o no acceso a una función del segundo controlador por parte del primer controlador y/o de otro controlador. Por ejemplo, la información de emparejamiento puede comprender una lista negra y/o una lista blanca o entradas para añadir o eliminar de al menos una de estas listas, en la que un controlador que figura en la lista blanca puede activar o desactivar una función del segundo con trolador. En este sentido, la lista blanca está asociada a la citada función y un controlador que se añade a la lista blanca puede controlar la citada función asociada. La función puede ser, por ejemplo, abrir una cerradura controlan do el actuador de un embrague. La función también puede ser armar o desarmar un sistema de alarma y/o conectar o desconectar un actuador. Una entrada en una lista negra asociada a una función bloquea un controlador incluido en la lista negra para que no controle la función respectiva. Los controladores que se añaden y/o eliminan de una lista negra y/o de una lista blanca pueden ser el primer controlador que transmite la segunda capa A2 al segundo controlador u otro controlador (tercer controlador), por ejemplo, otro teléfono inteligente u otro dispositivo informático móvil.

Las entradas de la lista blanca y/o negra pueden comprender las claves públicas de los controladores respectivos y/o claves simétricas asignadas a los controladores respectivos, permitiendo identificar los controladores de la lista blanca y de la lista negra mediante una prueba de desafío y respuesta como se ha explicado más arriba. Se debe hacer notar que las tuplas de claves públicasprivadas(uki,iki),(ukj,ikj),(ukn,ikn)pueden ser idénticas a las respecti vas tuplas de claves públicas privadas (uk1,ik1),(uk2,ik2),(uk3,ik3).Pero también pueden ser diferentes. La ventaja de utilizar una única tupla por controlador es una reducción significativa del tamaño del marco de datos anidados A0 y también de los requisitos de memoria del segundo o segundos controladores. De este modo se reducen los tiem pos de transmisión y los costes de fabricación. La ventaja de utilizar diferentes tuplas es un mayor nivel de seguri dad. Como ya se ha indicado, en lugar de la encriptación asimétrica puede utilizarse la encriptación simétrica y, en este caso, las tuplas se "reducen" a valores, es decir,ukl = ikl = skl,por lo que la tupla (ukl,ikl)puede sustituirse porskl(para todo l), en el queskles una clave simétrica y el índice I permite distinguir diferentes claves simétricas (por ejemplo, l = 1, 2, 3,... i, j,... n).como ya se ha mencionado, la primera capa de datos A1 puede comprender ade más una primera clave simétrica para un procedimiento de encriptación simétrico. Esta primera clave simétrica permite una comunicación segura entre el primer y el segundo controlador (suponiendo que la primera clave simétrica se haya proporcionado inicialmente al segundo controlador, por ejemplo, en el momento de su instalación). Cual quier comunicación entre el primer y el segundo controlador puede ser "tunelizada" por una encriptación simétrica, incluso aquellas piezas de información que ya han sido encriptadas de otra manera, como por ejemplo la segunda capa de datos A2 o un segundo desafío opcional. Esta tunelización reduce las posibilidades de que terceros adquie ran información sobre el protocolo de comunicación y, por tanto, aumenta el nivel de seguridad.

Además, la primera capa de datos A1 puede comprender una cabecera que identifique la naturaleza del paquete de datos, metadatos, una fecha de creación del paquete de datos anidados y una fecha de caducidad del paquete de datos anidados. Estas informaciones permiten reducir aún más el riesgo de transmisión errónea de datos a un se gundo controlador, o a un segundo controlador no previsto, definiendo las condiciones correspondientes. Por ejem plo: si la fecha de caducidad es anterior, es posible que el primer controlador no transmita la segunda capa A2 a un segundo controlador. Si la diferencia entre la fecha actual y la fecha de creación es superior a un valor preestableci do, es posible que el primer controlador no transmita la segunda capa A2 a un segundo controlador.

La primera respuesta R1 y/o la segunda respuesta R2 pueden ser una ID del segundo y/o primer controlador, res pectivamente. Estas medidas permiten reducir el tamaño del paquete de datos anidados<a>0 y, por tanto, el tiempo necesario para su transmisión, así como los requisitos de memoria de los controladores primero y segundo. Ade más, cada prueba de desafío y respuesta proporciona seguridad adicional, porque el destinatario del desafío respec tivo C1, C2 puede comprobar la respuesta que se calcula utilizando el desafío respectivo C1, C2 como valor de entrada, es decir, el resultado del cálculo, R1' y R2', respectivamente, contra la ID del segundo o primer controlador, respectivamente. Esto proporciona la capacidad de que el controlador cuestionado pueda comprobar si el controla dor cuestionador está autorizado. Por lo tanto, si la respuesta calculada R1', R2' y la ID I2, 11, respectivamente, no coinciden (es decir, R1'<>12, o R2' <> 11) el controlador cuestionado puede abortar la comunicación o bien puede continuar.

En la presente memoria descriptiva se utiliza el término "encriptación asimétrico" para referirse a un intercambio de información encriptación asimétricamente. Un encriptación asimétrico utiliza dos informaciones complementarias denominadas clave pública y clave privada. Ambas claves suelen ser generadas por una única entidad. En muchas aplicaciones, la citada única entidad (primera entidad, para abreviar) recibirá información encriptada. La primera entidad proporciona la clave pública a una segunda entidad que utiliza la clave pública para encriptar un mensaje. El mensaje encriptación se transmite a la primera entidad, que puede desencriptar el mensaje transmitido (únicamente) utilizando la clave privada. El encriptación asimétrico se considera seguro si el conocimiento de la clave privada es presumiblemente la única posibilidad de desencriptar el mensaje y si la clave privada no puede (presumiblemente) extraerse en un tiempo razonable a partir del conocimiento de la clave pública. Por lo tanto, se puede suponer que sólo una entidad que posea la clave privada puede desencriptar un mensaje que haya sido encriptación con la clave pública correspondiente. El procedimiento de encriptación asimétrico más conocido es el algoritmo RSA, pero tam bién pueden utilizarse otros algoritmos (Merkle-Hellman, criptosistema Rabin, McEliece, algoritmos de Curva Elípti ca, etc.). Se prefiere el algoritmo de Curva Elíptica, ya que permite reducir el tiempo de CPU necesario, el consumo de energía y los requisitos de memoria y ancho de banda. El término"clave pública de una entidad A"implica que la entidad A dispone de la clave privada complementaria que se requiere para desencriptar un mensaje que ha sido previamente encriptación utilizando la clave pública de la entidad A. Si dos entidades A y B intercambian recíproca mente sus claves públicas manteniendo en secreto las claves privadas complementarias, se puede establecer una comunicación bidireccional encriptada entre las entidades A y B. El encriptación asimétrico también puede utilizarse para generar firmas digitales. De nuevo, una primera entidad proporciona una clave pública a una segunda entidad y mantiene en secreto la clave privada, pero en este caso la clave privada es un parámetro de entrada para la firma digital que se adjunta a alguna información que debe firmarse digitalmente. Aplicando una clave pública a la firma, la segunda entidad receptora de la información firmada digitalmente puede obtener un valor en función de la informa ción firmada. Comparando el resultado de la aplicación de la clave pública a la firma por la segunda entidad con el resultado esperado (siendo el valor una función de la información que se firma), la parte receptora puede verificar que la clave privada utilizada para generar la firma digital y la clave pública que se aplica a la firma coinciden. Esto se considera una confirmación de que la primera entidad ha facilitado la información firmado. Sólo para evitar malen tendidos, el primer controlador y/o el segundo controlador y/o el tercer controlador y/o el controlador administrativo son ejemplos de primera y/o segunda entidades.

Un"encriptación simétrico" es un procedimiento en el que todas las partes que participan en la comunicación com parten una única clave, también denominada "clave simétrica" o "clave compartida". El mensaje a transmitir se en cripta, posteriormente el mensaje encriptado se transmite y posteriormente se desencripta utilizando la clave com partida y/u otra clave que pueda extraerse de la clave compartida durante un tiempo reducido. La ventaja del encrip tación simétrico es que el esfuerzo computacional de encriptación y desencriptado utilizando la clave compartida puede ser mucho menor que en el encriptación asimétrico, asumiendo una seguridad similar del encriptación. Como de costumbre, la "seguridad de un encriptación" es una medida del tiempo necesario para desencriptar un mensaje encriptación sin disponer de la clave adecuada. El inconveniente de un encriptación simétrico es que la clave com partida debe distribuirse inicialmente a los controladores, configurándolos de esta manera para que se comuniquen mediante un procedimiento de encriptación simétrico. Esta distribución conlleva el riesgo de compartir involuntaria mente la clave con un intruso. Esto puede evitarse intercambiando una clave simétrica mediante un encriptación asimétrico.

El término "clave simétrica" no debe ser malinterpretado en el sentido de que la propia clave obedece a una simetría. El término "clave simétrica" se utiliza en la presente memoria descriptiva sólo para distinguir lingüísticamente una clave para un algoritmo de encriptación simétrico de la clave privada y de la clave pública de los procedimientos de encriptación asimétrico.

En la presente memoria descriptiva se utiliza la frase que un controlador no puede leer, acceder o usar información, aunque obviamente esté almacenada en la memoria del controlador (por ejemplo, porque ha sido transmitida al controlador). Esto significa que la información correspondiente puede enviarse o recibirse, pero no desencriptarse, porque el controlador no dispone de la clave adecuada. En este sentido, el dato "no es conocido". La información queda almacenada, por decirlo de esta manera, pero es inútil para el controlador respectivo y su usuario. La infor mación almacenada y a disposición del responsable del tratamiento se considera "conocida" por éste. De esta mane ra, la información conocida se almacena y no es encriptada o se almacena encriptada pero puede ser desencriptada por el controlador correspondiente. Por ejemplo, la primera ID (o cualquier otra variable o parámetro) puede ser conocida por el primer controlador y, por lo tanto, almacenarse en la memoria del primer controlador después de haber sido asignada (o sometida de otro modo) al primer controlador (por ejemplo, por el controlador administrativo). Esta primera ID también puede estar incluida en los segundos datos de carga almacenados pero no conocidos por el primer controlador. Tras la entrega de la segunda capa de datos A2, la primera ID, tal como se incluye en la cuarta capa de datos A4, pasa a ser conocida por el segundo controlador, pero sigue siendo desconocida por el primer controlador. Para probar que coinciden es necesario transmitir una primera ID al otro controlador correspondiente. La prueba permite garantizar que la segunda capa ha sido transmitida al segundo controlador por un primer contro lador que ha sido destinado a transmitir la segunda capa de datos A2 por el controlador administrativo.

Una clave conocida por un controlador puede ser utilizada por el controlador respectivo para encriptar y/o desencriptar un mensaje (dependiendo del tipo de clave) utilizando la clave conocida.

El término transmitir información (o datos) de un controlador a otro controlador, debe entenderse, como es habitual, como el envío de la información por el citado "un controlador" y la recepción de la información enviada por el citado "otro controlador". Obviamente, la información recibida se almacena en una memoria del "otro controlador". Pero en caso de que la información haya sido encriptada antes de enviarla, el otro controlador puede extraer la información sólo en caso de que la clave apropiada esté también almacenada en la memoria del otro controlador y en este senti do significa 'conocida' o disponible.

En la presente memoria descriptiva, como es habitual, el término paquete de datos anidados se refiere a la informa ción que se dispone como una estructura de datos (un objeto) que tiene al menos un elemento que a su vez es una estructura de datos (otro objeto). Un paquete de datos anidados puede considerarse como un objeto que comprende otros objetos, en el que los otros objetos pueden ser del mismo tipo de objeto o de uno diferente. En este caso, se distinguen los distintos objetos anidados denominándolos capas. La capa más externa A0 es, por tanto, el paquete de datos anidados. La realización de una operación (en este ejemplo: desencriptado) en la capa más externa A0 proporciona la capa subsiguiente A1, en lo sucesivo denominada primera capa A1. La primera capa A1 comprende, entre otras cosas, la segunda capa A2 como otro objeto, que puede extraerse de la primera capa A1 y así sucesi vamente. Otra operación (en estos ejemplos: de nuevo un desencriptado o prueba de una firma digital) proporciona la tercera capa A3. La cuarta capa puede comprender (i.a.) una firma y la cuarta capa A4 o permitir obtener la cuarta capa de datos desencriptando la tercera capa de datos. La cuarta capa A4 puede incluir los datos de la segunda carga, que a su vez pueden incluir estructuras de datos complejas como matrices multidimensionales (por ejemplo, las listas negras y blancas) o tipos de datos más sencillos como números enteros (por ejemplo, la primera ID ID1). El término metadatos se refiere, como es habitual, a la información relacionada con la información proporcionada por el paquete de datos anidados. Los metadatos pueden ser útiles para comprobar la coherencia, controlar la transmi sión o simplemente para mostrarlos al usuario del sistema (por ejemplo, el nombre o la posición de una puerta equi pada con un segundo controlador), pero no son necesarios para la funcionalidad del procedimiento de empareja miento. Los metadatos pueden estar comprendidos, por ejemplo, en los datos de la primera y/o segunda carga, pero también en cualquier capa del paquete de datos anidados.

Descripción de los dibujos

A continuación se describirá la invención a modo de ejemplo, sin limitación del concepto inventivo general, en ejem plos de realización con referencia a los dibujos.

La figura 1 muestra un sistema que comprende un controlador administrativo, un primer controlador y un segundo controlador.

La figura 2 muestra una estructura general de un marco de datos anidados.

La figura 3 muestra un diagrama de flujo de un procedimiento para enviar información de emparejamiento desde un controlador administrativo a través de un primer controlador a un segundo controlador utilizando el marco de datos anidados de la figura 1.

El sistema 1 de la figura 1 comprende un controlador administrativo 30, un primer controlador 10 (un dispositivo informático móvil) y un segundo controlador 20.

El controlador administrativo 10 es un dispositivo informático. Ejemplos típicos son un ordenador personal, una esta ción de trabajo, una tableta y similares.

Un ejemplo del primer controlador 10 es un dispositivo informático móvil (un ordenador portátil, una tableta, un telé fono inteligente, un reloj inteligente,...).

Un ejemplo del segundo controlador 20 puede ser cualquier dispositivo informático que controle el acceso a datos y/o a una sala y/o el control sobre un dispositivo. Por ejemplo, el segundo controlador podría ser una cerradura elec trónica de puerta (como se representa), un ordenador, un cajero automático, un controlador de un actuador de una puerta o similar.

Estos dispositivos informáticos tienen en común que comprenden al menos una CPU, una memoria y al menos un puerto de comunicación (por ejemplo, una antena, un puerto com, un puerto ethernet) configurado para establecer un canal de comunicación que proporcione un enlace de datos con al menos otro dispositivo informático, en particu lar con uno de los otros controladores). En la presente memoria descriptiva se asume implícitamente el uso de cana les de comunicación inalámbricos, pero la invención no se limita al uso de éstos. Como alternativa, pueden utilizarse conexiones por cable.

El controlador administrativo 30 puede establecer al menos un primer enlace de datos (preferiblemente bidireccional) por medio de un primer canal de comunicación 11 con el primer controlador 10. En un ejemplo preferido, el primer canal de comunicación 11 es una conexión a Internet. En un ejemplo especialmente preferido, el controlador admi nistrativo 30 puede establecer al menos un segundo primer enlace de datos (preferiblemente bidireccional) por me dio de un segundo primer canal de comunicación 12 con el primer controlador 10. En un ejemplo preferido, el se gundo primer canal de comunicación 12 implica una conexión telefónica, por ejemplo, por medio de algunos están dares de telefonía móvil. Por ejemplo, el controlador administrativo 30 puede estar configurado para enviar un men saje de texto corto al primer controlador 10 a través del segundo primer enlace de datos 12. Si no es necesario dis tinguir entre los dos primeros enlaces de datos, se hará referencia simplementeal "primer enlace de datos".La co municación por medio del primer enlace de datos 11, 12 está preferiblemente encriptada, por ejemplo utilizando una encriptación asimétrica, al menos para el intercambio de una clave simétrica, permitiendo posteriormente utilizar de forma segura la encriptación simétrica.

El uso de al menos dos primeros enlaces de datos diferentes 11, 12 permite una autenticación remota multifactor del primer controlador: En un ejemplo, el controlador administrativo puede asignar al primer dispositivo de comunicación una primera ID1 (es decir, un nombre que permita identificar al primer dispositivo). La primera ID, ID1, puede ser una palabra, un número, una letra, un símbolo o cualquier combinación de ellos. Preferiblemente, una primera porción ID11 de la primera ID1 se transmite por medio del primer enlace de datos 11 al primer controlador 10 y una segunda porción ID12 de la primera ID1 puede transmitirse por medio del segundo primer enlace de datos 12, en el que el primero primer enlace de datos 11 y el segundo primer enlace de datos 12 son enlaces de datos diferentes. Por lo tanto, el primer controlador puede reconstruir la primera ID1 asignada basándose en las (al menos dos) porciones ID11, ID12 de la primera ID1, basándose en una operación determinada. Por ejemplo, las partes de la primera ID1 pueden multiplicarse, dividirse, sumarse, restarse, concatenarse, someterse a un operador Y, O, NO o XOR, por nombrar sólo algunos. Básicamente, se puede utilizar cualquier operación o combinación de operaciones. En una notación matemáticaID1= ID11 o ID12.Después de la transmisión, el controlador administrativo 30 y el primer con trolador 10 tienen cada uno la información sobre la primera ID, ID1. Sólo para permitir una distinción, se utilizará ID1 para la primera ID almacenada en la memoria del controlador administrativo 30 e ID1' para la primera ID almacenada en la memoria del primer controlador 10, en caso de que se tenga que distinguir entre ellas. En un ejemplo alternati vo, la primera ID1' puede estar presente inicialmente en la memoria del primer controlador y puede ser transmitida, preferiblemente también, utilizando al menos dos enlaces de datos diferentes 11, 12 al controlador administrativo 30. Por último, sólo es relevante que las primeras ID conocidas por el controlador administrativo 30 y el primer controla dor 10 sean idénticas.

Además y/o alternativamente, el controlador administrativo puede enviar un paquete de datos inicial encriptación al primer controlador utilizando el primer enlace de datos 11. Por medio del segundo enlace de datos 12, el controlador administrativo puede enviar una clave que permita al primer controlador desencriptar los datos iniciales de carga incluidos en el paquete de datos inicial. Los datos de carga iniciales pueden comprender, por ejemplo, la primera ID y una clave (preferiblemente simétrica) para encriptar y desencriptar otros datos que se intercambien entre el primer controlador y el controlador administrativo por medio de los enlaces de datos primero y/o segundo 11, 12. La ID y la clave pueden ser idénticos, o bien la ID puede ser un número de bits de la clave (o viceversa). Por ejemplo, los 16 bits más bajos de la clave pueden definir la ID del primer controlador.

Asimismo, por medio del primer enlace de datos 11, 12, el primer controlador 10 puede transmitir una clave uk1 de un mecanismo de encriptación al controlador administrativo 30. En un ejemplo preferido, la clave uk1 es una clave pública (primera clave pública) de un procedimiento de encriptación asimétrico. La primera clave privada ik1 corres pondiente se mantiene preferiblemente "privada" por el primer controlador 10. Alternativamente, la clave uk1 también podría ser una clave simétrica (en este caso uk1=ik1). A continuación, se supone que el procedimiento de encripta ción correspondiente es asimétrico; sin embargo, los ejemplos que se exponen en la presente memoria descriptiva no se limitan a esta opción preferida.

En un ejemplo preferido, existe una relación comprobable entre la primera ID1 asignada por el controlador adminis trativo 30 al primer controlador 10 y la primera clave pública uk1. La relación puede estar configurada para permitir al controlador administrativo 30 comprobar si la primera clave pública uk1 no ha sido generada por el primer controla dor 10, es decir, por otra entidad que intente comprometer el sistema. Un ejemplo de relación es uk1 MOD ID1 = c, siendo c una constante. Por ejemplo, la primera clave pública uk1 puede ser un múltiplo de la primera ID, ID1, (es decir, c=0). El primer controlador puede abortar si uk1 MOD ID1 <>c es cierto, en el que c es una constante dada y sólo continuar, si k1 MOD ID1 =c es cierto. Alternativa o adicionalmente, el primer controlador 10 puede transmitir la primera clave uk1 al controlador administrativo 30 utilizando la primera ID, ID1, como clave simétrica o como clave asimétrica para encriptar la primera clave uk1. Por lo tanto, sólo el controlador administrativo 30 puede desencriptar la primera clave uk1.

Como ya es evidente, el primer controlador 10 puede recibir información en forma de paquete de datos del controla dor administrativo 30. A continuación, el primer controlador 10 puede procesar la información y, por ejemplo, enviar al menos una parte del paquete de datos al segundo controlador por medio de al menos un segundo enlace de datos 21 utilizando un segundo canal de comunicación 21, de nuevo se utiliza el mismo número de referencia para el canal de comunicación y el enlace de datos establecido a través del canal de comunicación.

Un paquete de datos anidados 100 que es generado por el controlador administrativo 30 y dicho paquete de datos anidados 100 puede ser transmitido preferiblemente desde el controlador administrativo 30 por medio del primer enlace de datos 11,12 al primer controlador 10 se bosqueja en la figura 2.

El paquete de datos A0 tiene al menos 4 capas A1 a A4. El paquete se denomina capa cero A0. Como cuarta capa A4, el paquete de datos anidados comprende los datos de la segunda carga FD2, es decir, los datos destinados a ser entregados desde el controlador administrativo 30 al segundo controlador 20. Los segundos datos de carga FD2 pueden comprender, por ejemplo, al menos la primera ID, ID1, asignada al primer controlador 10 y/o un valor hash de la primera ID1 y/o la primera clave (preferiblemente pública) uk1 del primer controlador 10, y/o una segunda ID, ID2, al menos una entrada de lista blanca y/o al menos una entrada de lista negra y/o al menos un segundo desafío C2 y/o una segunda respuesta esperada correspondiente R2. Los segundos datos de carga FD2 pueden incluir además una fecha de creación CD y/o una fecha de caducidad ED y/o un número de serie del paquete de datos anidados y/o al menos una parte de una lista blanca WL y/o al menos una parte de una lista negra BL. La lista blan ca y/o la lista negra pueden incluir al menos una ID de otro controlador y/o del primer controlador 10. Como ya es evidente, los segundos datos de carga FD2 pueden comprender cualquier tipo de información que se entregará por medio de un primer controlador a un segundo controlador sin permitir que el primer controlador o cualquier otra enti dad obtenga conocimiento de los segundos datos de carga FD2, protegiendo al mismo tiempo los segundos datos de carga FD2 contra alteraciones no autorizadas y/o modificaciones no autorizadas.

Si los segundos datos de carga FD2 comprenden una segunda ID, ID2, el segundo controlador 20 puede comparar la segunda ID, ID2, proporcionada en el paquete de datos anidados con la ID2' del segundo controlador. Si estas dos ID no coinciden (ID2<>ID2'), el segundo controlador puede descartar los segundos datos de carga FD2 y/o ge nerar una señal de alarma. Si las dos segundas ID coinciden (ID2=ID2'), el segundo controlador 20 puede continuar, por ejemplo, utilizando los segundos datos de carga FD2.

Si los segundos datos de carga FD2 comprenden la primera ID, ID1, el segundo controlador 20 puede comparar la primera ID1 proporcionada en los segundos datos de carga FD2 con una primera ID1' transmitida desde el primer controlador 10 al segundo controlador 20 y, en caso de que estas dos ID no coincidan (ID1<>ID1'), el segundo con trolador 20 puede descartar los segundos datos de carga FD2 y/o generar una señal de alarma. Si las dos primeras ID coinciden (ID1=ID1'), el segundo controlador 20 puede continuar, por ejemplo, utilizando los segundos datos de carga FD2.

Si los segundos datos de carga FD2 comprenden la primera clave pública uk1, el segundo controlador 20 puede encriptar un mensaje R2 utilizando la primera clave pública uk1 y transmitir el mensaje encriptación C2 al primer controlador 10. El primer controlador 10 puede desencriptar el mensaje encriptación C2 utilizando la primera clave privada ik1 y realizar una acción basada en el mensaje. Por ejemplo, el primer controlador 10 puede transmitir una respuesta R2', en el que la respuesta R2' es una función del mensaje desencriptado o del propio mensaje desencriptado al segundo controlador 20. Por ejemplo, la respuesta R2' puede ser al menos una primera porción y/o un valor hash de al menos una porción del mensaje C2 al segundo controlador 20. El mensaje encriptación C2 presenta de esta manera un desafío al primer controlador 10, y si la respuesta transmitida R2' coincide con la respuesta espera da R2 (R2=R2'), el segundo controlador 20 puede continuar utilizando los segundos datos de carga FD2. En caso de que la respuesta R2' transmitida no coincida con la respuesta R2 esperada (R2<>R2'), el segundo controlador 20 puede abortar la comunicación con el primer controlador 10 y/o generar una señal de alarma y/o descartar los se gundos datos de carga FD2.

Adjunto a la cuarta capa A4 puede haber una firma digital DS opcional. La firma digital DS permite al segundo con trolador 20 comprobar si la cuarta capa de datos A4 ha sido generada inicialmente por el controlador administrativo 30. La firma digital DS y la cuarta capa de datos A4 están ambas incluidas en la tercera capa de datos A3. Si se omite la firma digital DS, la tercera y la cuarta capa de datos pueden ser idénticas (A3=A4).

La tercera capa de datos A3 se encripta preferentemente utilizando la segunda clave pública uk2, es decir, una clave pública del segundo controlador 20. La segunda clave pública uk2 puede haber sido almacenada en el controlador administrativo 30 antes de la instalación del segundo controlador 20, por ejemplo ya en la fábrica. Alternativamente, la segunda clave pública uk2 puede ser introducida manualmente en una base de datos del controlador administrati vo 30 o puede haber sido proporcionada de cualquier otra manera adecuada al controlador administrativo 30.

La tercera capa desencriptada A3 puede formar o ser parte de la segunda capa A2. Por lo tanto, suponiendo que la clave necesaria para desencriptar la segunda capa A2 sólo sea conocida por el segundo controlador 20, sólo el segundo controlador 20 puede desencriptar y, por lo tanto, hacer uso de los datos de la segunda carga FD 2 que están opcionalmente firmados por el CD de firma.

La segunda capa A2 y los datos opcionales de la primera carga FD1 y/o una cabecera pueden unirse formando de esta manera al menos una parte de la primera capa A1. El encriptación de la primera capa A1, opcionalmente junto con otros datos de carga y/o una cabecera H1 utilizando la primera clave pública uk1 proporciona el paquete de datos anidados A0 o al menos una parte del mismo. Un ejemplo de información que puede estar comprendida en los primeros datos de carga FD1 puede ser, por ejemplo, una clave simétrica sk1 que permita una encriptación simétrica de cualquier comunicación entre el primer controlador 10 y el segundo controlador 20. La clave simétrica sk1 puede almacenarse inicialmente en el segundo controlador 20 o transmitirse desde el primer controlador 10 al segundo controlador 20. Además, los primeros datos de carga FD 1 pueden incluir la segunda clave pública uk2. En este caso, por ejemplo, el primer controlador 10 puede transmitir en primer lugar al segundo controlador 20 la primera clave simétrica sk1 (ya sea parte de los primeros datos de carga 1 o generada por el primer controlador 10 (por ejemplo, basándose en al menos una parte de los primeros datos de carga FD1) o, menos preferentemente, obteni da de otra fuente encriptada asimétricamente utilizando la segunda clave pública uk1. Posteriormente, preferible mente cualquier comunicación entre el primer controlador 10 y el segundo controlador 20 puede ser encriptada simé tricamente.

Otros ejemplos de elementos opcionales o alternativos de los primeros datos de carga FD1 son la segunda ID, ID2, del segundo controlador 20, una fecha de nulidad VD tras la cual el paquete de datos anidados A0 es nulo y puede ser (será) desestimado (por ejemplo, borrado). Una fecha de creación C<d>del paquete de datos anidados. También se puede facilitar más información.

Como ya es evidente, aunque no siempre se mencione explícitamente, cada capa A0 a A4 puede tener una cabece ra H0 a H4, respectivamente.

En la figura 3 se esboza esquemáticamente un procedimiento para enviar los segundos datos de carga FD2 desde el controlador administrativo 30 al segundo controlador 20. El procedimiento puede utilizarse, por ejemplo, para proporcionar segundos datos de carga FD2, que comprenden, por ejemplo, una entrada de lista blanca y/o una en trada de lista negra del primer controlador 10 (por ejemplo, un teléfono móvil) a una cerradura de puerta 20 (siendo un ejemplo de un segundo controlador 20).

En un primer paso 100, el controlador administrativo 30 y el primer controlador 10 pueden emparejarse. Este paso de emparejamiento del controlador administrativo 30 - primer controlador 10 puede comprender, por ejemplo, la asignación al primer controlador 10 de una primera ID1 por parte del controlador administrativo 30. Esta asignación puede implicar al menos un procedimiento de autenticación de dos factores, por ejemplo utilizando al menos dos enlaces de datos diferentes 11 y 12, como se ha explicado más arriba, para reducir de esta manera el riesgo de un ataque de "pesca" o de intermediario con éxito. Al menos uno de los canales de comunicación 11, 12 puede com prender la introducción de información (por ejemplo, proporcionada por medio de SMS, carta (papel), foto o cualquier otro canal de comunicación) en una HMI (interfaz hombre-máquina) del primer controlador 10, típicamente implementada como una denominada app. Esta información puede utilizarse para recuperar la primera ID1, por ejemplo, puede ser una primera porción ID11 y/o una segunda porción ID12 de la primera ID1. Además, en este paso 100, el primer controlador 10 puede enviar también una primera clave pública uk1 al controlador administrativo 30 y también el controlador administrativo 30 puede enviar una clave pública uk3 del controlador administrativo 30 al primer con trolador 10, permitiendo de esta manera al primer controlador 10 enviar información encriptada al controlador admi nistrativo 30, por ejemplo, enviando de esta forma la primera clave pública uk1 encriptada al controlador administra tivo 30. De este modo, la primera clave pública uk1 permanece desconocida para terceros.

Además y/o alternativamente, el controlador administrativo puede enviar en el paso 100 un paquete de datos inicia les encriptados que comprenda datos de carga iniciales encriptados al primer controlador utilizando el primer enlace de datos 11 o el segundo enlace de datos 12. Preferiblemente, el paquete de datos inicial incluye una firma digital que permite verificar el originador de los datos de carga iniciales. Por lo tanto, los datos iniciales de la carga se fir man preferiblemente digitalmente y se encriptan o se encriptan y se firman digitalmente. No se hará distinción entre estas dos posibilidades, ya que la secuencia de firma y encriptación puede intercambiarse.

Utilizando el otro enlace de datos respectivo 12, 11, el controlador administrativo puede enviar una clave que permita al primer controlador desencriptar los datos de carga iniciales comprendidos en el paquete de datos inicial. Además, el controlador administrativo puede enviar información de identificación que permita identificar el paquete de datos inicial, por ejemplo, un valor hash del paquete de datos inicial o de la información proporcionada con el paquete de datos inicial, por ejemplo, de una ID del proyecto.

Los datos de carga iniciales pueden comprender, por ejemplo, la primera ID y una clave (preferiblemente simétrica) para encriptar y desencriptar otros datos que se intercambian entre el primer controlador y el controlador administra tivo por medio de los enlaces de datos primero y/o segundo 11, 12. Esta clave puede ser de un solo uso, por ejem plo, para proporcionar al controlador administrativo una clave pública del primer controlador o una clave simétrica en un mensaje de respuesta. Posteriormente, el controlador administrativo puede enviar, por ejemplo, el paquete de datos anidados al primer controlador, preferiblemente utilizando una comunicación encriptada.

Como ya se ha explicado más arriba, la ID y la clave pueden estar vinculados por alguna asignación. Por ejemplo, la ID puede ser un número de bits de la clave (o viceversa). Por ejemplo, los 16 bits más bajos de la clave pueden definir la ID del primer controlador. De esta manera, tras el desencriptado (y la comprobación de la firma digital op cional), el primer controlador puede utilizar los datos de carga iniciales. Un oyente no autorizado que intercepte sólo el paquete de datos inicial, no podrá utilizar los datos de carga iniciales.

Utilizando la información intercambiada durante el paso 100, el controlador administrativo 30 genera al menos un paquete de datos anidados A0, preferiblemente al menos un paquete de datos anidados A0 como se muestra en la figura 2. El paso de generación del paquete de datos anidados se simboliza en la figura 3 por paso 110 Posteriormente, el controlador administrativo 30 transmite el paquete de datos anidados A0 al primer controlador 10. Esta transmisión se representa como el paso 120.

En el paso 130, el paquete de datos anidados A0 transmitido puede ser desencriptado por el primer controlador 10 obteniendo de esta manera la primera capa de datos anidados A1. De este modo, el primer controlador 10 obtiene unos primeros datos de carga, es decir, datos utilizables por el primer controlador 10. Estos primeros datos de carga 10 pueden comprender información relativa al segundo controlador 20, por ejemplo, una segunda ID, ID2, una ubi cación geográfica del segundo controlador, la segunda clave pública uk2, etc. Los primeros datos de carga FD1 pueden incluir una fecha de creación CD, una fecha de caducidad ED, etc., como se ha explicado más arriba. Ade más, el primer controlador 10 puede obtener, desencriptando el paquete de datos anidados A0, la segunda capa de datos A2 (estando comprendida en la primera capa de datos A1). Sin embargo, el primer controlador 10 es preferi blemente incapaz de desencriptar la segunda capa de datos A2, ya que la clave de desencriptado correspondiente se almacena preferiblemente sólo en la memoria del segundo controlador 20 y opcionalmente en el controlador ad ministrativo 30, pero no es almacenada por el primer controlador 10. Esta clave de desencriptado se denomina se gunda clave privada ik2.

En el paso 140, el primer controlador 10 transmite la segunda capa de datos A2 al segundo controlador 20, pudiendo este último desencriptar la segunda capa A2 en el paso 150 y obtener de esta manera la tercera capa de datos op cional A3.

En el paso opcional 150, se prueba una firma digital opcional de la cuarta capa de datos A4. Sólo si se considera válido, el segundo dato de carga FD2 no se considera corrupto.

Bajo la premisa opcional de que el paso opcional 150 hace que los segundos datos de carga no están corrompidos, el procedimiento puede continuar con el paso 160. En el paso 160, el primer controlador 10 y el segundo controlador 20 pueden autenticarse recíprocamente: Como se ha sugerido más arriba, la primera clave pública uk1 puede ser una parte de los datos de la segunda carga FD2 y, por lo tanto, ser utilizada para verificar la legitimidad del segundo controlador 20 por el primer controlador 10 y también la legitimidad del primer controlador 10 por el segundo contro lador 20. Por ejemplo, el segundo controlador 20 puede encriptar una información conocida (un mensaje) utilizando la primera clave pública uk1 incluida en los segundos datos de carga FD2 y transmitir la información conocida encriptada al primer controlador 10. El término "información conocida" en este contexto significa que la información respectiva está almacenada en la memoria del primer controlador 10 o puede derivarse de la información de la cita da (primera) memoria. Por ejemplo, la pieza de información conocida puede haber sido transmitida en el paso de emparejamiento primer controlador 10 - controlador administrativo 30, desde el controlador administrativo 30 al pri mer controlador 10 y/o desde el primer controlador 10 al controlador administrativo 30. En cualquier caso, el contro lador administrativo 30 puede incluir la información conocida en los segundos datos de carga FD2. Alternativamente, la información conocida puede ser conocida ab initio por el segundo controlador 20 y por el controlador administrati vo 30 y puede estar incluida en los primeros datos de carga FD 1. En cualquiera de estos ejemplos, el primer contro lador 10 puede desencriptar la pieza de información conocida encriptada transmitida desde el segundo controlador 20 al primer controlador 10, obteniendo de esta manera la pieza de información conocida previamente encriptada y comparándola con la pieza de información conocida esperada (es decir, inicialmente). Si estas informaciones espe radas y las informaciones conocidas desencriptadas son idénticas, existe una probabilidad muy baja de que el se gundo controlador 20 no sea legítimo y el procedimiento puede continuar; en caso contrario, el procedimiento puede detenerse y/o comprender la emisión de una señal de alarma. Del mismo modo, el primer controlador 10 puede transmitir la información conocida desencriptada al segundo controlador 20. Si la información conocida desencriptada transmitida es idéntica a la información conocida encriptada inicialmente (antes de su encriptación), el riesgo de que el primer controlador 10 no sea legítimo es muy bajo y el procedimiento puede continuar; de lo contrario, el pro cedimiento puede detenerse y/o comprender la emisión de una señal de alarma.

Si la autenticación (preferiblemente recíproca) del primer controlador 10 o/y del segundo controlador 20 tiene éxito, el procedimiento puede proceder al paso 170 que comprende que el segundo controlador 20 acepte las porciones adicionales de los segundos datos de carga FD 2, por ejemplo, una entrada de lista blanca del primer controlador 10 y/o de cualquier otro controlador. En otra opción, el segundo controlador 20 acepta al menos una entrada de la lista negra, por ejemplo, del primer controlador 10 y/o de cualquier otro controlador.

Los primeros datos de carga FD1 pueden proporcionar al primer controlador 10 la información del destinatario de la segunda capa de datos, por ejemplo, una segunda ID2. Posteriormente, el primer controlador 10 puede enviar la segunda capa de datos A2 al segundo controlador 20. Se observa que el primer controlador 10 tiene conocimiento de la segunda capa de datos A2, pero como la segunda capa de datos A2 se encripta preferentemente utilizando la segunda clave pública uk2, el primer controlador 10 no puede recuperar ninguna información comprendida en la segunda capa de datos. Una vez que la segunda capa de datos A2 ha sido transmitida desde el primer controlador 10 al segundo controlador 20, el segundo controlador 20 puede desencriptar la segunda capa de datos A2, obte niendo de esta manera la tercera capa de datos opcional A3. La tercera capa de datos opcional A3 permite al se gundo controlador verificar el origen de los datos adjuntos a la firma digital, es decir, verificar el origen de la cuarta capa de datos. Los segundos datos de carga FD2 pueden utilizarse para verificar que el primer controlador 10 es un primer controlador 10 legítimo. Esto significa que el paquete de datos inicial A0 se ha enviado inicialmente al citado (legítimo) primer controlador 10. Otro controlador que se haga pasar por el primer controlador, por ejemplo copiando una dirección MAC de un primer controlador 10 legítimo, puede ser identificado como no legítimo.

Lista de cifras de referencia

1. sistema que comprende al menos un controlador administrativo, un primer controlador y un segundo controlador

10 primer controlador

11 primero primer enlace de datos / primero primer canal de comunicación

12 segundo primer enlace de datos / primero primer canal de comunicación

20 segundo controlador

21 segundo enlace de datos / segundo canal de comunicación

30 controlador administrativo

100 paquete de datos anidados

110 paso del procedimiento

120 paso del procedimiento

130 paso del procedimiento

140 paso del procedimiento

150 paso del procedimiento

160 paso del procedimiento

A0 paquete de datos anidados

A1 primera capa del paquete de datos anidados

A2 segunda capa del paquete de datos anidados

A3 tercera capa del paquete de datos anidados

A4 cuarta capa del paquete de datos anidados

DS firma digital

FD1 primeros datos de carga

FD2 segundos datos de carga

ID1 ID del primer controlador

ID11 primera parte de ID1

ID12 segunda parte de ID1

ID2 ID del segundo controlador

uk1 primera clave pública

ik1 primera clave privada

sk1 primera clave simétrica

uk2 segunda clave pública

ik2 segunda clave privada

Claims

REIVINDICACIONES

1. Un paquete de datos anidados (A0) para proporcionar información de emparejamiento u otros datos de segunda carga desde un controlador administrativo (30) a al menos un segundo controlador (20) utilizando un primer con trolador (10) como transportador,caracterizado por que:

- el paquete de datos anidados (A0) comprende al menos una primera capa de datos (A1) que se encrip ta utilizando una primera clave (uk) del primer controlador (10), en la que la primera capa de datos (A1) comprende al menos unos primeros datos de carga (FD1) y una segunda capa de datos (A2), - como alternativa (i) la segunda capa de datos (A2) está encriptada utilizando una segunda clave (uk<2>) del segundo controlador (20) y comprende una tercera capa de datos (A3), o como alternativa (ii) la segunda capa de datos (A2) comprende al menos una firma digital (DS) de un controlador administrati vo (30) adjunta a una tercera capa de datos (A3) y a la tercera capa de datos (A3)

- en el caso de la alternativa (i), la tercera capa de datos (A3) comprende al menos una firma digital (DS) de un controlador administrativo (30) adjunta a una cuarta capa de datos (A4) y la cuarta capa de datos (A4) y en el caso de la alternativa (ii) la tercera capa de datos (A3) está encriptada utilizando una se gunda clave (uk<2>) del segundo controlador (20) y comprende una cuarta capa de datos (A4) ypor que- la cuarta capa de datos (A4) comprende al menos segundos datos de carga (FD 2), en los que los se gundos datos de carga (FD2) comprenden al menos la primera clave (uki) y/o una primera iD (ID1) del primer controlador (10) y/o una segunda respuesta esperada (R2) del primer controlador (10).

2. El paquete de datos anidados (A0) de la reivindicación 1,que se caracteriza por quelos primeros datos de carga (FD1) comprenden información de identificación del segundo controlador (20).

3. El paquete de datos anidados de la reivindicación 2,que se caracteriza por quela información de identifica ción del segundo controlador (20) comprende al menos uno de un primer desafío (C1) y/o una primera respues ta esperada (R1) al primer desafío (C1) cuando se impone al segundo controlador (20) y/o una clave simétrica (ski) para un procedimiento de encriptación simétrico y/o una segunda ID (ID2) del segundo controlador (20) y/o la clave pública (uk<2>) del segundo controlador (20).

4. El paquete de datos anidados (A0) de una de las reivindicaciones 1 a 3,que se caracteriza por quela cuarta capa de datos (A4) comprende además segundos datos de carga (FD2), en los que los citados segundos datos de carga (FD2) comprenden información de emparejamiento del primer controlador (10) o del al menos un tercer controlador (40), en el que la información de emparejamiento es una regla para controlar el acceso o no acceso del primer controlador (10) o del al menos un tercer controlador (40) a una función del segundo controlador (20).

5. El paquete de datos anidados (A0) de una de las reivindicaciones 1 a 4,que se caracteriza por quelos prime ros datos de carga (FD1) comprenden además al menos uno de entre un encabezamiento que identifica la natu raleza del paquete de datos, metadatos, una fecha de creación del paquete de datos anidados y una fecha de caducidad del paquete de datos anidados.

6. El paquete de datos anidados de una de las reivindicaciones 1 a 5,que se caracteriza por quela segunda respuesta esperada (R2) es función de una ID (I1) del primer controlador (10).

7. El paquete de datos anidados de una de las reivindicaciones 1 a 6,que se caracteriza por quela firma digital (DS) del controlador administrativo (30) se basa en una clave privada del controlador administrativo (30).

8. El paquete de datos anidados de una de las reivindicaciones 1 a 7,que se caracteriza por queuna capa exte rior del paquete de datos anidados A0 y/o la primera capa A1 del paquete de datos anidados (A0) tienen una firma digital del controlador administrativo que permite verificar al controlador administrativo (30) como originador de la primera capa de datos A1.

9. Un procedimiento para generar el paquete de datos anidados de una de las reivindicaciones 1 a 8 por el contro lador administrativo (30),que se caracteriza por quecomprende al menos los pasos de:

- recuperar la primera clave (uk) y la segunda clave (uk<2>);

- generar la cuarta capa de datos (A4) que comprenda al menos la primera clave (uk) y/o la segunda res puesta esperada (R2') como segundos datos de carga (FD2) a la cuarta capa de datos (A4);

- en el caso de la alternativa (i) añadir la firma (DS) del controlador administrativo (30) a la cuarta capa de da tos (A4) para obtener de esta manera la tercera capa de datos (A3) o en el caso de la alternativa (ii) encriptar la cuarta capa de datos (A4) utilizando la segunda clave pública (uk<2>) para obtener de esta manera la tercera capa de datos (A3);

- en el caso de la alternativa (i) generar la segunda capa de datos (A2) encriptando la tercera capa de datos (A3) utilizando la segunda clave pública (uk<2>) o en el caso de la alternativa (ii) añadir la firma (DS) del con trolador administrativo (30) a la tercera capa de datos (A3) para obtener de esta manera la segunda capa de datos (A2).

- generar la primera capa de datos (A1) añadiendo los primeros datos de carga (FD1) a la segunda capa de datos (A2);

- generar el paquete de datos anidados (A0) encriptando la primera capa de datos (A1) utilizando la primera clave (uk-i).

10. El procedimiento de la reivindicación 9, en el que la segunda respuesta esperada (R2') se almacena en la cuarta capa de datos (A4),que se caracteriza por quecomprende además:

- asignar una segunda respuesta (R2') al primer controlador (10), comprendiendo la asignación:

- por el controlador administrativo (30): almacenar una primera ID (I1), dividir la primera ID (I1) en al menos dos porciones (111, I12) y enviar las al menos dos porciones (111, 112) de la primera ID (I1) al primer con trolador (10) a través de al menos dos canales de comunicación diferentes (11, 12),

- por el primer controlador: reconstrucción de la primera ID (I1) por el primer controlador (10) y almacena miento de la primera ID (I1) como segunda respuesta (R2);

- por el controlador administrativo (30): almacenar la primera ID (I1) como la segunda respuesta esperada (R2') en la cuarta capa de datos (A4).

11. El procedimiento de la reivindicación 10,que se caracteriza por que, el controlador administrativo, antes de enviar las al menos dos porciones 111, 112) de la primera Id (I1), obtiene la primera clave pública (uk-i), encripta al menos una de las al menos dos porciones (I11, I12) de la primera ID (I1) utilizando la primera clave pública (uk-i) y ejecuta el paso de enviar las al menos dos porciones (I11, I12) de la primera Id (I1) a través de al menos dos canales de comunicación diferentes, en el que el envío incluye utilizar al menos dos canales de comunica ción diferentes para transmitir cada porción (I11, I12) al primer controlador (10).

12. El procedimiento de una de las reivindicaciones 9 a 11,que se caracteriza por quecomprende además:

- por el primer controlador (10): obtener una primera clave pública (uk-i) y una primera clave privada corres pondiente, dividir la primera clave pública (uk-i) en al menos dos porciones (ukn,uk<2>) y enviar las al menos dos porciones de la primera clave pública (ukn,uk<2>) a través de al menos dos canales de comunicación dife rentes al controlador administrativo (30), y

- por el controlador administrativo (30): recibir las al menos dos porciones (uk-n, uk<12>) de la primera clave pú blica (uk-i), reconstruir la primera clave pública (uk-i) del primer controlador (10) basándose en las al menos dos porciones (ukn,uk<12>) de la primera clave pública (uk-i) previamente recibidas, recuperando de esta ma nera la primera clave pública (uk-i).

13. El procedimiento de una de las reivindicaciones 9 a 12,que se caracteriza por queel controlador administrati vo (30) añade al menos una primera clave simétrica (sk1) para un procedimiento de encriptación simétrico a la primera capa de datos (A1) antes de encriptar la primera capa de datos (A1) utilizando la primera clave pública (uk-i).

14. Un procedimiento para permitir una comunicación segura entre un primer controlador (10) y un segundo contro lador (20),que se caracteriza por queel procedimiento comprende:

(i) generar un paquete de datos anidados (A0) de una de las reivindicaciones 1 a 8 ejecutando el procedi miento de una de las reivindicaciones 9 a 13;

(ii) por el controlador administrativo (30): transmitir el paquete de datos anidados generado (A0) al primer controlador (10);

(iii) por el primer controlador (10): recibir el paquete de datos anidados transmitido (A0), desencriptar el pa quete de datos anidados (A0) obteniendo de esta manera la primera capa de datos (A1) y enviar un primer desafío (C1) al segundo controlador (20), en el que el primer desafío (C1) y la correspondiente primera res puesta esperada (R1) se obtienen a partir de y/o se generan en base a los primeros datos de carga (FD1); (iv) por el segundo controlador (20): recibir el primer desafío (C1) y sobre la base del primer desafío (C1), generar una respuesta (R1') al citado primer desafío y transmitir la respuesta generada (R1') al primer con trolador (10);

(v) por el primer controlador (10): recibir la respuesta generada (R1') del segundo controlador (20) y compa rar la citada respuesta generada (R1') con la respuesta esperada (R1) obtenida en base a los primeros da tos de carga (FD 1), y sólo en caso de que la respuesta generada (R1') del segundo controlador (20) coin cida con la respuesta esperada (R1') continuar con el paso (vi);

(vi) por el primer controlador: transmitir la segunda capa de datos (A2) al segundo controlador (20);

(vii) por el segundo controlador (20): recibir la segunda capa de datos (A2) transmitida, en caso de la alter nativa (i) desencriptando la segunda capa de datos (A2) recibida, obteniendo de esta manera la tercera ca pa de datos (A3) que incluye la cuarta capa de datos (firmada) A4, verificando la firma (DS) y continuando con el paso (viii) sólo en caso de que la firma sea válida o en caso de la alternativa (ii) verificar la firma (DS) y continuar con el paso (viii) sólo en caso de que la firma sea válida y extraer la tercera capa de datos (A3) de la segunda capa de datos (A2) y desencriptar la tercera capa de datos (A3) obteniendo de esta manera la cuarta capa de datos (A4);

(viii) por el segundo controlador (20): encriptar una instrucción al primer controlador para que envíe la pri mera ID (I1) previamente recibida del controlador administrativo (30) al segundo controlador (20) utilizando la primera clave pública (uk-i) comprendida en la cuarta capa de datos (A4) y transmitir la instrucción encriptada al primer controlador (10);

(ix) por el primer controlador (10): recibir la instrucción encriptada transmitida, desencriptar la instrucción y transmitir la primera ID (I1) al segundo controlador (20);

(x) por el segundo controlador (20): recibir la primera ID (I1) del primer controlador (10) y comparar la prime ra ID (I1) con la primera ID esperada (I1') y continuar con el paso (xi) sólo en caso de que la primera ID (I1) coincida con la primera ID esperada(I1'), de lo contrario proceder al paso (xii),

(xi) considerar válida la información facilitada con la cuarta capa de datos;

(xii) considerar la información proporcionada por la cuarta capa de datos como corrupta.

15. Una memoria que comprende instrucciones para al menos un procesador para ejecutar los pasos del primer controlador (10) y/o del segundo controlador (20) y/o del controlador administrativo de una de las reivindicacio nes 9 a 14.

16. Un controladorque se caracteriza por queel controlador comprende la memoria de la reivindicación 15 y/opor queel controlador tiene una memoria que almacena el paquete de datos anidados (A0) de una de las reivindicaciones 1 a 8.