ES2734823T3 - Procedimiento y dispositivo para certificar una cadena funcional crítica para la seguridad - Google Patents

Procedimiento y dispositivo para certificar una cadena funcional crítica para la seguridad Download PDF

Info

Publication number
ES2734823T3
ES2734823T3 ES17184644T ES17184644T ES2734823T3 ES 2734823 T3 ES2734823 T3 ES 2734823T3 ES 17184644 T ES17184644 T ES 17184644T ES 17184644 T ES17184644 T ES 17184644T ES 2734823 T3 ES2734823 T3 ES 2734823T3
Authority
ES
Spain
Prior art keywords
component
security
interface
components
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17184644T
Other languages
English (en)
Inventor
Dieter Wagner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MBDA Deutschland GmbH
Original Assignee
MBDA Deutschland GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MBDA Deutschland GmbH filed Critical MBDA Deutschland GmbH
Application granted granted Critical
Publication of ES2734823T3 publication Critical patent/ES2734823T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Procedimiento para certificar una cadena funcional crítica para la seguridad (1) que presenta varios componentes (2) conectados mediante enlaces de comunicación (KVB) para proporcionar una función de seguridad, con las siguientes etapas: (a) verificar (S1) los certificados de seguridad de componentes, KSZ, de los componentes concatenados (2) por un gestor de certificados de seguridad (6) basado en los requisitos de seguridad dados; (b) verificar (S2) al menos un nivel de seguridad de interfaz, SSL, certificados de seguridad de interfaz de componente, SSZ, de las interfaces de componente de los componentes concatenados (2) por parte del gestor de certificados de seguridad (6); y c) autorizar (S3) los componentes (2) de la cadena funcional (1) crítica para la seguridad por parte del gestor del certificado de seguridad (6) si la verificación del certificado del componente y la verificación del certificado de la interfaz son satisfactorias, caracterizado porque en el curso de la verificación de certificación de interfaces (S2), los SSZ de las dos interfaces de componentes unidas mediante un enlace de comunicación (KVB) son analizados por dos componentes dentro de la cadena funcional crítica para la seguridad (1) de componentes (2) adyacentes para determinar si los SSL especificados en ellos son compatibles entre sí.

Description

DESCRIPCIÓN
Procedimiento y dispositivo para certificar una cadena funcional crítica para la seguridad
[0001] La presente invención se refiere a un procedimiento y un dispositivo para certificar una cadena funcional crítica para la seguridad, que presenta varios componentes concatenados mediante enlaces de comunicación para proporcionar una función de seguridad.
[0002] Los sistemas que incluyen cadenas funcionales críticas para la seguridad pueden presentar una pluralidad de componentes. Para certificar o recertificar las cadenas funcionales críticas para la seguridad, la certificación se lleva a cabo a través de un organismo de certificación. La certificación de un producto o de un componente se realiza a petición del fabricante o de un representante. Los procedimientos de certificación convencionales incluyen el examen técnico o la evaluación de los componentes según criterios específicos. El examen técnico puede ser realizado por un organismo de inspección reconocido por el organismo de certificación. Se comprueba el cumplimiento de los requisitos para el producto o componente en cuestión, el entorno de desarrollo, la documentación de usuario y el funcionamiento del componente en cuestión. La duración de un procedimiento de certificación depende de la complejidad de los componentes en cuestión y de la profundidad de las pruebas. El resultado del procedimiento de certificación se registra en un informe de certificación. Este informe de certificación contiene, entre otras cosas, un documento de certificado de seguridad y un informe de certificación detallado. En el caso de cambios relevantes para la seguridad de un componente o de los procedimientos de desarrollo del componente, el componente debe ser certificado nuevamente o recertificado. Con cada cambio dentro de una cadena funcional crítica para la seguridad, que comprende varios componentes concatenados, expira la autorización de explotación para toda la cadena funcional crítica para la seguridad, que solo puede recuperarse mediante una recertificación compleja.
[0003] La publicación DE 102011 da a conocer un sistema de control de procedimientos en el que la integridad de la comunicación de los participantes de la red del sistema de control de procedimientos está garantizada por el intercambio de certificados. La publicación US 2014/0337632 A1 da a conocer una red de distribución de certificados de seguridad que puede verificar los niveles de seguridad basados en dispositivos.
[0004] Por lo tanto, es un objetivo de la presente invención simplificar la certificación o recertificación de una cadena funcional crítica para la seguridad.
[0005] Este objetivo se resuelve mediante un procedimiento de certificación de una cadena funcional crítica para la seguridad, que presenta varios componentes concatenados para la prestación de una función de seguridad, con las siguientes etapas, a saber: Verificación de los certificados de componentes de los componentes concatenados por parte de un gestor de certificados de seguridad con respecto a requisitos de seguridad predeterminados, verificación de la certificación de interfaces de las interfaces de componentes de los componentes concatenados por parte del gestor de certificados de seguridad y autorización de componentes de la cadena funcional crítica para la seguridad por parte del gestor de certificados de seguridad, siempre y cuando la verificación de la certificación de componentes y la verificación de la certificación de interfaces se realicen de manera satisfactoria.
[0006] Una ventaja del procedimiento según la invención es que la certificación de los componentes relevantes para la seguridad dentro de una cadena funcional crítica para la seguridad puede llevarse a cabo en gran parte o completamente de forma automática. Esto simplifica considerablemente la certificación o recertificación de una cadena funcional compleja y crítica para la seguridad y, al mismo tiempo, acorta el procedimiento de certificación.
[0007] En una posible realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad según un primer aspecto de la invención, el enlace de comunicación entre dos interfaces de componentes de dos componentes adyacentes dentro de la cadena funcional crítica para la seguridad es inalámbrico o con cable. En otra posible realización del procedimiento según la invención, el certificado de interfaces de una interfaz de componente especifica al menos un nivel de seguridad de interfaces de la interfaz de componentes.
[0008] Según la invención, en el curso de la verificación de la certificación de interfaces, los certificados de seguridad de interfaces de las dos interfaces de componentes conectadas mediante un enlace de comunicación son analizados por dos componentes dentro de la cadena funcional crítica para la seguridad de componentes adyacentes para determinar si los certificados de seguridad de interfaces especificados en ellos son compatibles entre sí.
[0009] En otra posible realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad, el certificado de interfaces de una interfaz de componentes especifica un nivel mínimo de seguridad de interfaz y/o un nivel máximo de seguridad de interfaz de la interfaz de componentes respectiva. En otra posible realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad, un enlace de comunicación conecta una interfaz de componentes de salida de un primer componente a una interfaz de componentes de entrada de un segundo componente de forma inalámbrica o por cable.
[0010] En otra posible realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad, se verifica en el curso de la verificación de la certificación de interfaces si el nivel de seguridad de la interfaz ofrecido por la interfaz de componentes de salida del primer componente, que se especifica en el certificado de seguridad de interfaces de la interfaz de componentes de salida del primer componente para el nivel de seguridad de la interfaz requerido por la interfaz de componentes de entrada del segundo componente, que se especifica en el certificado de seguridad de interfaces de la interfaz de componentes de entrada del segundo componente, es suficiente.
[0011] En otra posible realización del procedimiento según la invención, en el curso de la verificación de la certificación de seguridad de componentes por parte del gestor de certificados de seguridad, se verifica si un nivel de seguridad del componente especificado en el certificado de seguridad del componente respectivo es suficiente para un nivel de seguridad del componente requerido conforme a los requisitos de seguridad dados.
[0012] En otra posible realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad, el certificado de componentes de un componente y los certificados de seguridad de interfaces de las interfaces de componentes del componente respectivo se almacenan en una memoria de datos a prueba de manipulaciones indebidas y se transmiten al gestor de certificados de seguridad para su verificación.
[0013] En otra posible realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad, los niveles de seguridad de los componentes especificados en los certificados de seguridad de componentes y/o los niveles de seguridad de interfaces especificados en los certificados de seguridad de interfaces de las interfaces de componentes de los componentes están preconfigurados de manera fija.
[0014] En una realización alternativa del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad, los niveles de seguridad de los componentes especificados en los certificados de seguridad de los componentes y/o los niveles de seguridad de la interfaz especificados en los certificados de seguridad de interfaces de las interfaces de los componentes respectivos son modificables en función de las condiciones ambientales y/o según las condiciones de funcionamiento de los componentes de la cadena funcional crítica para la seguridad.
[0015] En otra posible de realización del procedimiento según la invención para la certificación de una cadena funcional crítica para la seguridad, el gestor de certificados de seguridad transmite un mensaje de solicitud de transferencia del certificado de seguridad de un componente, así como de transferencia de un certificado de seguridad de interfaces por cada interfaz de componentes del componente en cuestión al componente respectivo.
[0016] En otra posible realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad, las interfaces de componentes de un componente autorizado se activan de manera lógica y/o física por el propio componente autorizado o por el gestor de certificados de seguridad. En otra posible realización del procedimiento según la invención, la certificación de la cadena funcional crítica para a seguridad se realiza de forma automática en respuesta a un hecho desencadenante detectado.
[0017] En otra posible realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad, el hecho desencadenante comprende la puesta en servicio de al menos un componente de la cadena funcional crítica para la seguridad. En otra posible realización del procedimiento según la invención, el hecho desencadenante comprende un cambio del estado operativo de al menos un componente de la cadena funcional crítica para la seguridad. En otra posible realización del procedimiento según la invención, el hecho desencadenante comprende un cambio de al menos un componente de la cadena funcional crítica para la seguridad. En otra posible realización del procedimiento según la invención, el hecho desencadenante comprende una actualización de una componente de software de la cadena funcional crítica para la seguridad.
[0018] En otra posible realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad, un certificado de seguridad de componentes de un componente dentro de la cadena funcional crítica para la seguridad presenta:
un número de versión del certificado de seguridad del componente,
una fecha de expedición del certificado de seguridad del componente,
un emisor del certificado de seguridad de componente,
una clase o tipo de componente relevante para la seguridad,
un nivel de seguridad del componente, una identificación de fabricante del fabricante del componente, una identificación de componentes del componente, certificados de seguridad de interfaces proporcionados para las interfaces de componentes de salida del componente con un nivel de seguridad de interfaces de la interfaz de componentes de salida ofrecida en el mismo,
certificados de seguridad de interfaces requeridos para las interfaces de los componentes de entrada del componente con un nivel de seguridad de interfaces requerido para la interfaz de componentes de entrada y los parámetros de configuración del componente en cuestión.
[0019] Según el primer aspecto, la invención también proporciona un gestor de certificados de seguridad para una cadena funcional crítica para la seguridad que presenta varios componentes concatenados mediante enlaces de comunicación, en el que el gestor de certificados de seguridad autoriza automáticamente los componentes de la cadena funcional crítica para la seguridad después de haber verificado con éxito los certificados de seguridad de componentes y los certificados de seguridad de interfaces de las interfaces de componentes de los componentes. En ello, en el curso de la verificación de la certificación de interfaces, los certificados de seguridad de interfaces de las dos interfaces de componentes conectadas mediante un enlace de comunicación son analizados por dos componentes dentro de la cadena funcional crítica para la seguridad de componentes adyacentes para determinar si los certificados de seguridad de interfaces especificados en ellos son compatibles entre sí.
[0020] La invención proporciona además, según el primer aspecto, un sistema con una cadena funcional crítica para la seguridad que comprende varios componentes del sistema concatenados a través de enlaces de comunicación, y con un gestor de certificados de seguridad para la cadena funcional crítica para la seguridad que comprende varios componentes del sistema concatenados a través de enlaces de comunicación, donde el gestor de certificados de seguridad del sistema después de una verificación satisfactoria de los certificados de seguridad de componentes de los componentes del sistema y/o los certificados de seguridad de interfaces de las interfaces de los componentes del sistema autorizan automáticamente los componentes del sistema de la cadena funcional crítica para la seguridad.
[0021] La invención proporciona además, según un segundo aspecto, un procedimiento para proporcionar un enlace de comunicación seguro entre componentes de una cadena funcional crítica para la seguridad crítica con las siguientes etapas: transmitir un token idéntico por parte de un gestor de certificados de seguridad a dos componentes adyacentes de la cadena funcional crítica para la seguridad, donde los dos componentes adyacentes presentan cada uno una interfaz de componentes para un enlace de comunicación con el otro componente adyacente respectivo, activar las dos interfaces de comunicación de los dos componentes adyacentes para establecer el enlace de comunicación entre los dos componentes adyacentes, intercambiar mutuamente los token obtenidos respectivamente del gestor de certificados de seguridad por los dos componentes adyacentes a través del enlace de comunicación establecido; y mantener el enlace de comunicación establecido entre los dos componentes adyacentes de la cadena funcional crítica para la seguridad si los token intercambiados a través del enlace de comunicación establecido entre los dos componentes adyacentes son idénticos a los recibidos del gestor de certificados de seguridad.
[0022] En una posible realización del procedimiento según la invención para proporcionar un enlace de comunicación seguro entre componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, el token transmitido por el gestor de certificados de seguridad a los dos componentes adyacentes de la cadena funcional crítica para la seguridad presenta un tiempo de caducidad.
[0023] En una posible realización del procedimiento según la invención para proporcionar un enlace de comunicación seguro entre componentes de una cadena funcional crítica para la seguridad, el enlace de comunicación entre los dos componentes adyacentes de la cadena funcional crítica para la seguridad se reduce o desactiva automáticamente conforme a un nivel de seguridad después de alcanzar el tiempo de caducidad del token.
[0024] En otra posible realización del procedimiento para proporcionar un enlace de comunicación seguro entre los componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, los datos se cifran según un nivel de seguridad a través del enlace de comunicación establecido entre los dos componentes.
[0025] En otra posible realización del procedimiento para proporcionar un enlace de comunicación seguro entre componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, el nivel de seguridad comprende un nivel de seguridad de componentes de un componente especificado en un certificado de seguridad de componentes del componente, y/o un nivel de seguridad de interfaces de una interfaz de componentes de un componente que se especifica en un certificado de seguridad de interfaces de la interfaz de componentes.
[0026] En otra posible realización del procedimiento para proporcionar un enlace de comunicación seguro entre los componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, el gestor de certificados de seguridad, después de autorizar todos los componentes de la cadena funcional crítica para la seguridad, envía una lista TAN a los componentes de la cadena funcional crítica para la seguridad generada por los componentes para el cifrado y descifrado de los datos transmitidos a través del enlace de comunicación.
[0027] En una posible realización del procedimiento para proporcionar un enlace de comunicación seguro entre los componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, la lista TAN enviada presenta un número de lista y un número predeterminado de números TAN que se pueden usar de forma única para cifrar y/o descifrar los datos transmitidos.
[0028] En otra posible realización del procedimiento para proporcionar un enlace de comunicación seguro entre los componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, el gestor de certificados de seguridad verifica los certificados de seguridad de los componentes y/o los certificados de seguridad de interfaces de componentes de las cadenas funcionales críticas para la seguridad concatenados para autorizar los componentes de la cadena funcional crítica para la seguridad basándose en los requisitos de seguridad dados.
[0029] En otra posible realización del procedimiento para proporcionar un enlace de comunicación seguro entre los componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, las dos interfaces de componentes proporcionadas para el enlace de comunicación se activan de manera lógica o física después de la autorización de los dos componentes adyacentes por el gestor de certificados de seguridad por los mismos componentes autorizados o por el gestor de certificados de seguridad.
[0030] En otra posible realización del procedimiento para proporcionar un enlace de comunicación seguro entre componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, el enlace de comunicación conecta de forma inalámbrica una interfaz de componentes de salida de un primer componente a una interfaz de componentes de entrada de un segundo componente adyacente.
[0031] En otra posible realización del procedimiento para proporcionar un enlace de comunicación seguro entre componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, el enlace de comunicación conecta una interfaz de componentes de salida de un primer componente a una interfaz de componentes de entrada de un segundo componente adyacente de forma cableada.
[0032] En otra posible realización del procedimiento para proporcionar un enlace de comunicación seguro entre componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, las interfaces de componentes presentan interfaces de componentes analógicas y/o digitales.
[0033] En otra posible realización del procedimiento para proporcionar un enlace de comunicación seguro entre componentes de una cadena funcional crítica para la seguridad según el segundo aspecto de la invención, los componentes de la cadena funcional crítica para la seguridad comprenden componentes de hardware y/o componentes de software.
[0034] La invención proporciona además, según el segundo aspecto, un sistema con una cadena funcional crítica para la seguridad que presenta varios componentes concatenados mediante enlaces de comunicación y un gestor de certificados de seguridad, donde el gestor de certificados de seguridad del sistema para proporcionar un enlace de comunicación seguro entre dos componentes adyacentes del sistema de la cadena funcional crítica para la seguridad transmite un token idéntico a los dos componentes adyacentes del sistema de la cadena funcional crítica para la seguridad, donde los componentes adyacentes del sistema presentan cada uno una interfaz de componentes para un enlace de comunicación con el otro componente adyacente del sistema, donde las interfaces de componentes de los dos componentes adyacentes del sistema para establecer el enlace de comunicación entre los dos componentes adyacentes del sistema se activan y un intercambio mutuo de uno de los token obtenidos del gestor de certificados se produce a través del enlace de comunicación establecido entre los dos componentes adyacentes del sistema, donde el enlace de comunicación establecido entre los dos componentes adyacentes del sistema de la cadena funcional crítica para la seguridad se mantiene, siempre que los token intercambiados por el enlace de comunicación entre los dos componentes adyacentes del sistema sean idénticos a los recibidos del gestor de certificados de seguridad del sistema a través de los dos componentes adyacentes del sistema.
[0035] En una posible realización, el token transmitido por el gestor de certificados de seguridad del sistema a los dos componentes adyacentes del sistema de la cadena funcional crítica para la seguridad tiene un tiempo de expiración, donde el enlace de comunicación entre los dos componentes adyacentes del sistema de la cadena funcional crítica para la seguridad se suprime de forma automática después de alcanzar el tiempo de expiración del token conforme a un nivel de seguridad predeterminado.
[0036] En una posible realización del sistema según el segundo aspecto de la invención, los datos se cifran conforme a un nivel de seguridad a través del enlace de comunicación establecido entre los dos componentes adyacentes del sistema.
[0037] En una posible realización del sistema según el segundo aspecto de la invención, el nivel de seguridad es un nivel de seguridad de componentes de un componente especificado en un certificado de componente de seguridad de componentes y/o un nivel de seguridad de interfaces de una interfaz de componentes de un componente especificado en un certificado de seguridad de interfaces de la interfaz del componente.
[0038] Según un tercer aspecto adicional, la invención proporciona un componente para una cadena funcional crítica para la seguridad que presenta varios componentes concatenados, donde el componente tiene un certificado de seguridad de componentes asociado almacenado en un área de memoria a prueba de manipulaciones indebidas asociada de una memoria de datos y que es verificable mediante la autorización del componente dentro de la cadena funcional crítica para la seguridad por un gestor de certificados de seguridad.
[0039] En una posible realización, el certificado de seguridad del componente almacenado puede ser leído por el gestor de certificados de seguridad y puede verificarse su validez en función de los requisitos de seguridad especificados.
[0040] En una posible realización del componente, el área de memoria para almacenar el certificado de seguridad de componentes del componente se proporciona en una memoria de datos a prueba de manipulación indebida que está integrada en el componente o está previsto en una memoria de datos externa a prueba de manipulación indebida, a la que hace referencia una dirección de memoria.
[0041] En otra posible realización del componente según el tercer aspecto de la invención, la memoria de datos integrada en el componente para almacenar el certificado de seguridad de componentes del componente presenta un módulo de plataforma confiable, TPM.
[0042] En otra posible realización del componente según el tercer aspecto de la invención, el certificado de seguridad del componente presenta algunos de los siguientes elementos de datos:
un número de versión del certificado de seguridad de componentes,
una fecha de expedición del certificado de seguridad de componentes,
un emisor del certificado de seguridad de componentes,
una clase o tipo del componente en cuestión, un nivel de seguridad de componentes del componente, una identificación de fabricante para identificar al fabricante del componente,
una identificación del componente, certificados de seguridad de interfaz para interfaces de componentes de salida del componente con un nivel de seguridad de interfaces respectivo de la interfaz de componentes de salida respectiva ofrecida en el mismo, certificados de seguridad de interfaz para interfaces de componentes de entrada del componente con un nivel de seguridad de interfaces respectivo requerido de la interfaz de componentes de entrada respectiva y parámetros de configuración del componente en cuestión.
[0043] En otra posible realización del componente según el tercer aspecto de la invención, el componente es un componente de hardware.
[0044] En otra posible realización del componente según el tercer aspecto de la invención, el componente es un componente de software.
[0045] En otra posible realización del componente según el tercer aspecto de la invención, el componente presenta interfaces de componentes para la concatenación con componentes adyacentes de la cadena funcional crítica para la seguridad.
[0046] En otra realización del componente según la invención según el tercer aspecto de la invención, se proporciona un certificado de seguridad de interfaces asociado para cada interfaz de componentes del componente.
[0047] Según un tercer aspecto, la invención proporciona además un sistema con al menos una cadena funcional crítica para la seguridad, que consiste en varios componentes del sistema concatenados.
[0048] La invención proporciona, además, según el tercer aspecto, un gestor de certificados de seguridad. un gestor de certificados de seguridad para una cadena funcional crítica para la seguridad que presenta varios componentes concatenados mediante enlaces de comunicación, en el que el gestor de certificados de seguridad autoriza automáticamente los componentes de la cadena funcional crítica para la seguridad después de haber comprobado satisfactoriamente los certificados de seguridad de los componentes y/o los certificados de seguridad de interfaz de las interfaces de componentes.
[0049] A continuación, se describirán en detalle las posibles realizaciones de los diversos aspectos según la invención con referencia a los dibujos adjuntos.
[0050] Muestran:
Fig. 1 un diagrama esquemático de bloques que explica el modo de funcionamiento de un procedimiento según la invención para certificar una cadena funcional crítica para la seguridad según el primer aspecto de la invención; Fig. 2 un diagrama de flujo que ilustra una posible realización ejemplar del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad según el primer aspecto de la invención;
Fig. 3 muestra diagrama de flujo de señal que ilustra un ejemplo de realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad según el primer aspecto de la invención;
Las figs. 4 y 5 son representaciones esquemáticas de posibles cadenas funcionales críticas para la seguridad; Fig. 6 muestra una representación esquemática de una realización ejemplar de un sistema en el que se puede usar el procedimiento según la invención para certificar una cadena funcional crítica para la seguridad;
Fig. 7 una representación esquemática para explicar una posible secuencia de una verificación de la certificación en el sistema que se muestra en la fig. 6;
Fig. 8 una representación esquemática de una posible secuencia de una verificación de la certificación al renovar un componente del sistema que se muestra en la fig. 6;
Fig. 9 una representación esquemática de una posible secuencia con resultado negativo de una verificación de la certificación de un componente renovado dentro del sistema que se muestra en la fig. 6;
Fig. 10 una representación esquemática de un procedimiento para proporcionar un enlace de comunicación entre componentes de una cadena funcional crítica para la seguridad según un segundo aspecto de la invención; Fig. 11 un diagrama de señales para representar un ejemplo de realización del procedimiento que se muestra en la fig. 10 para proporcionar un enlace de comunicación seguro entre los componentes de una cadena funcional crítica para la seguridad;
Fig. 12 representación esquemática de la activación de una interfaz entre dos componentes de una cadena funcional crítica para la seguridad;
Fig. 13 otra representación esquemática para explicar la activación de un componente periférico de una cadena funcional crítica para la seguridad;
Fig. 14 una representación esquemática de un componente para una cadena funcional crítica para la seguridad según un tercer aspecto de la invención;
Fig. 15 otra representación esquemática de un ejemplo de realización de un componente para una cadena funcional crítica para la seguridad según el tercer aspecto de la invención;
Fig. 16 un diagrama de estructura de datos de un ejemplo de realización de certificado que puede usarse para los componentes que se muestran en las figuras 14, 15.
[0051] La fig. 1 muestra una cadena funcional 1 que comprende varios componentes 2-1, 2-2 ... 2-M. Los componentes están unidos entre sí mediante enlaces de comunicación. Los componentes 2-i pueden ser componentes de hardware y/o componentes de software. En el ejemplo de realización de la fig. 1, la cadena funcional 1 está formada por varios componentes en serie para realizar una función de seguridad. La cadena funcional 1 proporciona una función que puede poner en peligro la salud de una persona en caso de fallo. Para conectar los componentes, cada uno de ellos presenta interfaces, tal como se muestra en la fig. 1. Estas pueden ser interfaces de hardware o interfaces de software. En el ejemplo de realización mostrado, cada uno de los componentes 2-i de la cadena funcional crítica para la seguridad 1 presenta una interfaz de componentes de salida 4-i del componente, que en cada caso está conectada con la siguiente interfaz de componentes de entrada 3-(i+1) del componente adyacente 2-(i+1) a través de un enlace de comunicación de forma inalámbrica y/o por cable 5-i. Los enlaces de comunicación 5-i son preferentemente unidireccionales, es decir, cuando se establece un enlace de comunicación, los datos o mensajes se transmiten desde una interfaz de componentes de salida a la interfaz de componentes de entrada del siguiente componente adyacente en una dirección, de modo que existe una relación de causalidad dentro de la cadena funcional crítica para la seguridad.
[0052] Los componentes 2-i de la cadena funcional crítica para la seguridad 1 pueden comunicarse bidireccionalmente con un gestor de certificados de seguridad 6, tal como se muestra en la fig. 1. La comunicación con el administrador de certificados de seguridad 6 puede realizarse a través de conexiones de comunicación separadas en una posible realización. De forma alternativa, la comunicación con el gestor de certificados de seguridad 6 puede realizarse a través de las conexiones de comunicación 5-i. Esto puede, por ejemplo, alimentar mensajes de solicitud o solicitudes de certificados de seguridad a través de la primera interfaz de entrada 3-1 de la cadena funcional crítica para la seguridad 1 y obtener certificados de seguridad de la interfaz de componentes de salida 4-M del último componente 2-M presente dentro de la cadena de funcional crítica para la seguridad 1.
[0053] En una posible realización, el gestor de certificados de seguridad 6 forma un componente separado fuera de la cadena funcional crítica para la seguridad 1, tal como se muestra en la fig. 1. En una realización alternativa, el gestor de certificados de seguridad 6 está integrado en uno de los componentes 2i de la cadena funcional crítica para la seguridad 1. Para cada uno de los componentes 2- i de la cadena funcional crítica para la seguridad 1 se ha previsto como mínimo un certificado de seguridad de componentes KSZ. Además, cada interfaz de componentes, es decir, cada interfaz de componentes de entrada 3-i y cada interfaz de componentes de salida 4-i, posee un certificado de seguridad de interfaz SSZ asociado. Los certificados de seguridad de componentes KSZ y los certificados de seguridad de interfaz SSZ son certificados digitales que pueden almacenarse en un área de la memoria. El gestor de certificados de seguridad 6 tiene acceso a los certificados de seguridad de componentes KSZ de los componentes 2­ i concatenados dentro de la cadena funcional 1 y a los certificados de seguridad de interfaz SSZ de las interfaces concatenadas. Esto permite una verificación central de los certificados digitales por parte del gestor de certificados de seguridad 6 de la cadena funcional crítica para la seguridad 1. El gestor de certificados de seguridad 6 puede llevar a cabo una certificación o recertificación automática central sobre la base de determinados requisitos de seguridad para la cadena funcional crítica para la seguridad 1. Si el gestor de certificados de seguridad 6 realiza correctamente la verificación del certificado de seguridad de componentes y la verificación del certificado de seguridad de interfaces, el gestor de certificados de seguridad 6 autoriza de forma automática los componentes 2-i de la cadena funcional crítica para la seguridad 1. Si la totalidad de todos los certificados, es decir, los certificados de seguridad de componentes KSZ y todos los certificados de seguridad de interfaces SSZ cumplen los requisitos de seguridad para la cadena funcional crítica para la seguridad 1, el gestor de certificados de seguridad 6 autoriza los diversos componentes 2-i de la cadena funcional crítica para la seguridad 1. Los componentes de la cadena funcional crítica para la seguridad 1 proporcionan una función de seguridad para una posible realización.
[0054] La fig. 2 muestra un diagrama de flujo que ilustra un ejemplo de realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad 1 según el primer aspecto de la invención. El procedimiento sirve para certificar o recertificar una compleja cadena funcional crítica para la seguridad 1, que tiene una pluralidad de componentes concatenados a través de enlaces de comunicación para proporcionar una función de seguridad. En la etapa S1, un gestor de certificados de seguridad 6 realiza una verificación del certificado de seguridad de componentes del componente. Los certificados de seguridad de componentes KSZ de los componentes concatenados 2-i son verificados por el gestor de certificados de seguridad 6 en base a los requisitos de seguridad especificados. Los requisitos de seguridad pueden almacenarse en un almacén de datos del gestor de certificados de seguridad 6 o introducirse a través de una interfaz. Los requisitos de seguridad pueden definirse por niveles de seguridad. Los certificados de seguridad de componentes KSZ indican un nivel de seguridad de componentes KSL del componente 2i correspondiente dentro de la cadena funcional crítica para la seguridad 1. Además, los certificados de seguridad de interfaz SSZ de las distintas interfaces de componentes especifican cada una un nivel de seguridad de interfaz SSL de la interfaz de componentes respectiva. Durante la verificación de la certificación de seguridad de componentes en la etapa S1, el gestor del certificado de seguridad 6 comprueba si un nivel de seguridad del componente KSL, especificado en el certificado de seguridad de componentes KSZ correspondiente del componente 2-i correspondiente, es adecuado o suficiente para un nivel de seguridad de componentes KSL correspondiente del componente 2-i correspondiente requerido conforme a los requisitos de seguridad especificados.
[0055] En una etapa más, S2, el gestor de certificados de seguridad 6 realiza una verificación de la certificación de seguridad de interfaces. Durante la verificación de la certificación de seguridad de interfaces, se comprueban los certificados de seguridad de interfaces SSZ de las dos interfaces de componentes 4, 3 de dos componentes adyacentes 2-i, 2-(i+1) conectadas mediante un enlace de comunicación 5 dentro de la cadena funcional crítica para la seguridad 1 para ver si los niveles de seguridad de interfaz SSL especificados son compatibles o adecuados entre sí. En una posible realización, un certificado de seguridad de interfaces SSZ de una interfaz de componentes especifica un nivel mínimo de seguridad de interfaz SSLm In y/o un nivel máximo de seguridad de interfaz SSLmax de la interfaz de componente respectiva. En una realización, en el curso de la verificación del certificado de interfaz en la etapa S2, se verifica si el nivel de seguridad de interfaces SSL-AUS ofrecido o proporcionado por la interfaz de componentes de salida 4 de un primer componente 2-i que está especificado en el certificado de seguridad de interfaz SSZ de la interfaz de componentes de salida 4-i de un componente 2-i es suficiente para un nivel de seguridad de componentes SSL-EIN requerido por una interfaz de componentes de entrada 3-(i+1) del siguiente componente 2-(i+1), que se especifica en el certificado de seguridad de interfaz SSZ de la interfaz de componentes de entrada 3-(i+1) del siguiente componente 2-(i+1). Por ejemplo, si el nivel de seguridad de interfaces SSL de la interfaz del componente de salida 4­ i del primer componente 2-i es mayor o igual que el nivel de seguridad de interfaces SSL requerido por la interfaz del componente de entrada 3-(i+1) del segundo componente 2-(i+1), se realizó correctamente la verificación del certificado de seguridad de interfaz en la etapa S2 en este punto de la cadena de funcional 1. Si, por ejemplo, el nivel de seguridad de interfaces SSL ofrecido por la interfaz del componente de salida 4-i del primer componente 2-i, que está especificado en el certificado de seguridad de interfaces SSZ de la interfaz del componente de salida 4-i de un componente 2-i, tiene un valor 5, (SSL -AUS = 5) y tiene el nivel de seguridad de la interfaz SSL requerido por la interfaz del componente de entrada 3-(i+1) del siguiente componente 2-(i+1) que está especificado en el certificado de seguridad de interfaces SSZ de la interfaz del componente de entrada 3-(i+1) del segundo componente 2-(i+1) adyacente tiene un valor de 4 (SSL-EIN = 4), los dos niveles de seguridad de interfaces SSL de las dos interfaces de componente son compatibles, de modo que la validación del certificado de seguridad de la interfaz se puede realizar satisfactoriamente en este punto. Los certificados de seguridad de componentes KSZ y los certificados de seguridad de interfaces SSZ de las interfaces de componentes usados en la etapa S1, que se usan en la etapa S2, se almacenan preferentemente en una memoria de datos a prueba de manipulaciones indebidas y pueden transmitirse al gestor de certificados de seguridad 6 para su verificación.
[0056] En la etapa S3, el gestor de certificados de seguridad 6 realiza una autorización de componentes si la verificación de certificados de componentes en la etapa S1 y la verificación de certificados de seguridad de interfaces en la etapa S2 se realizan correctamente. Después de habilitar los componentes 2-i dentro de la cadena funcional crítica para la seguridad 1, los distintos componentes 2-i pueden activar sus interfaces de componentes, es decir, las interfaces de componentes de entrada 3-i y las interfaces de componentes de salida 4-i, de modo que se activa la cadena funcional crítica para la seguridad 1 en su conjunto.
[0057] La fig. 3 muestra un diagrama de flujo de señal de un ejemplo de realización del procedimiento según la invención para certificar una cadena funcional crítica para la seguridad 1. En primer lugar, el gestor de certificados de seguridad 6 transmite una solicitud a los componentes 2i de la cadena funcional crítica para la seguridad 1, por lo que el gestor de certificados de seguridad 6 solicita sus certificados digitales a los componentes de la cadena funcional crítica para la seguridad 1. El gestor de certificados de seguridad 6 puede solicitar los certificados de los componentes 2-i en paralelo o simultáneamente, tal como se muestra en la fig. 3, o uno tras otro. En el ejemplo mostrado, gestor de certificados de seguridad 6 primero le solicita al primer componente 2-1 que transfiera su certificado de seguridad de componentes KSZ1 y los diversos certificados de seguridad de interfaces SSZ para las distintas interfaces de componentes del componente 2-1. Cada componente 2-i puede tener un número N de interfaces de componentes. En el ejemplo que se muestra en la fig. 1, cada componente 2-i de la cadena funcional crítica para la seguridad 1 posee dos interfaces de componentes, es decir, una interfaz de componentes de entrada 3-i y una interfaz de componentes de salida 4-i. Por tanto, en el ejemplo que se muestra en la fig. 1, cada componente 2-i posee dos certificados de seguridad de interfaces SSZ. En general, cada componente 2-i posee un número especificado N de interfaces de componentes y un número correspondiente N de certificados de seguridad de interfaces SSZ asociados. El primer componente 2-1, que posee interfaces de componentes N1, envía un número N1 correspondiente de certificados de seguridad de interfaz SSZ al gestor de certificados de seguridad solicitante 6. El siguiente componente 2-2 transfiere su certificado de seguridad de componentes KSZ2 y N2 certificados de interfaces SSZ para sus N2 interfaces de componentes al gestor de certificados de seguridad 6 de manera correspondiente. De este modo, el gestor de certificados de seguridad 6 recibe gradualmente los certificados de seguridad de componentes KSZ y todos los certificados de seguridad de interfaz SSZ de los distintos componentes 2-i, tal como se muestra en la fig. 3. Sobre la base de los certificados de seguridad de interfaz de componentes KSZ y los certificados de seguridad de interfaces SSZ, el gestor de certificados de seguridad 6 realiza una verificación de la certificación de seguridad. En este caso, se verifica preferentemente si un nivel de seguridad de componentes KSL del componente 2 especificado en el certificado de seguridad de componentes KSZ del componente respectivo es suficiente para el nivel de seguridad del componente conforme a los requisitos de seguridad especificados. En el curso de la verificación de la certificación de seguridad de interfaces en la etapa S2, los certificados de seguridad de interfaz SSZ de los dos componentes adyacentes dentro de la cadena funcional crítica para la seguridad 1 se verifican para determinar si los niveles de seguridad de interfaz SSL coinciden entre sí o son compatibles. Si tanto la verificación de la certificación de seguridad de componentes en la etapa S1 como la verificación de la certificación de seguridad de interfaces en la etapa S2 son satisfactorias, el gestor de certificados de seguridad 6 autoriza los componentes 2-i de la cadena funcional crítica para la seguridad 1. Para ello, el gestor de certificados de seguridad 6 puede enviar mensajes de autorización F1, F2.... Fm a los diferentes componentes 2i de la cadena funcional crítica para la seguridad 1, tal como se muestra en la fig. 3. Si todos los certificados cumplen los requisitos de seguridad, el gestor de certificados de seguridad 6 autoriza los componentes individuales 2-i de la cadena funcional crítica para la seguridad 1. A continuación, los diversos componentes 2-i de la cadena funcional crítica para la seguridad 1 activan sus interfaces de componentes y proporcionan la función de seguridad deseada. Si un certificado digital de un componente 2-i no cumple los requisitos de seguridad requeridos, el gestor de certificados de seguridad 6 puede bloquear el componente correspondiente dentro de la cadena de funcional 1 crítica para la seguridad.
[0058] Las figuras 4 y 5 muestran otros ejemplos de sistemas o instalaciones que contienen cadenas funcionales 1 críticas para la seguridad. En el ejemplo de la fig. 1, el sistema posee una única cadena funcional lineal crítica para la seguridad 1 con componentes de hardware o software 2i encadenados en serie. Todos los componentes 2i tienen una interfaz de componentes de entrada 3-i y una interfaz de componentes de salida 4-i. Tal como se muestra en la fig. 4, cada componente puede presentar también varias interfaces de componentes. Por ejemplo, el segundo componente 2-2 posee dos interfaces de componentes de salida 4A-2, 4B-2. Esto da como resultado dos cadenas funcionales críticas para la seguridad 1 dentro del sistema, es decir, una primera cadena funcional crítica para la seguridad 1, formada a partir de los componentes encadenados 2-1, 2-2, 2-3, y una segunda cadena funcional crítica para la seguridad 1, formada a partir de los componentes encadenados 2-1, 2-2, 2-4, 2-5.
[0059] Además, los componentes también pueden presentar varias interfaces de componentes de entrada, tal como se muestra, por ejemplo, en la fig. 5. Por ejemplo, el componente 2-5 posee dos interfaces de componentes de entrada 3A-5, 3B-5. En este sistema, hay, por lo tanto, tres cadenas funcionales críticas para la seguridad 1, es decir, una primera cadena funcional crítica para la seguridad que consiste en los componentes 2-1, 2-2, 2-3, 2-4, y una segunda cadena funcional crítica para la seguridad que consiste en los componentes 2-1, 2-2, 2-3, 2-5 y otra cadena funcional crítica para la seguridad que consiste en los componentes 2-1, 2-2, 2-5, que se prueban y certifican por separado por el gestor de certificados de seguridad 6. La autorización del sistema se produce después de que todas las cadenas funcionales 1 hayan sido comprobadas satisfactoriamente por el gestor de certificados de seguridad 6 con respecto a los requisitos de seguridad. Dentro del sistema, dos interfaces de componentes de dos componentes adyacentes se comunican entre sí. El enlace de comunicación puede ser una conexión inalámbrica, por ejemplo, WLAN, o una conexión por cable, por ejemplo, un bus de datos en serie o paralelo.
[0060] La fig. 6 muestra un ejemplo de realización de un sistema técnico con una cadena funcional crítica para la seguridad 1 compuesta por varios componentes de hardware y software 2 concatenados. Un brazo robótico industrial de un sistema de producción cumple una función crítica para la seguridad, ya que una persona que se encuentre en las proximidades del robot industrial puede estar en peligro. El brazo robótico industrial está controlado por componentes de hardware y software que se conectan en serie en una cadena funcional. Una unidad de interfaz de usuario 2-1 está conectada a una unidad de control del sistema. Para ello, la unidad de interfaz de usuario 2-1 presenta una interfaz de componentes de salida que se conecta a una interfaz de componentes de entrada del control del sistema. El control del sistema contiene un microprocesador que ejecuta un programa de control como componente de software 2-2. El enlace de comunicación entre la interfaz de entrada de usuario 2-1 y el componente de software 2-2 se establece a través de las líneas de control y de datos 5-1. El control de sistemas del sistema controla otro componente de software 2-3 a través de una red de datos como enlace de comunicación 5-2, que se implementa en un control de brazo robótico local del sistema de producción. El componente de software 2-3 controla a su vez el brazo robótico como componente de hardware 2-4, tal como se muestra en la fig. 6. El brazo del robot, por ejemplo, tiene en su punta un dispositivo para retirar varias herramientas o útiles para llevar a cabo los pasos de producción dentro del sistema de producción. El brazo robótico 2-4 extrae herramientas o útiles 2-5A, 2-5B de un dispositivo de sujeción de herramientas. En el ejemplo de realización del sistema de producción mostrado, la cadena funcional crítica para la seguridad 1 comprende el componente 2-1, los dos componentes de software 2-2, 2-3 y el brazo robótico como componente de hardware 2-4. En el ejemplo mostrado, la cadena funcional crítica para la seguridad 1 puede ampliarse con un componente de hardware durante el funcionamiento, mientras que el componente de hardware adicional es la herramienta 2-5A o la herramienta 2-5B.
[0061] La fig. 7 muestra esquemáticamente el sistema de producción mostrada en la fig. 6 para explicar el procedimiento según la invención. Cada componente 2-i de la cadena funcional crítica para la seguridad 1 dispone al menos de un certificado de seguridad con el número de versión V1.0. Los diferentes componentes 2-i representan componentes relevantes para la seguridad dentro de la cadena funcional crítica para la seguridad 1, que están concatenados o enlazados en serie. El gestor de certificados de seguridad 6 comprueba los diferentes certificados de seguridad de los diferentes componentes relevantes para la seguridad. El gestor de certificados de seguridad 6 solicita los certificados de seguridad digitales correspondientes de los componentes individuales relevantes para la seguridad 2-i, por ejemplo, de la unidad de interfaz de usuario 2-1. Los certificados de seguridad comprenden certificados de seguridad de componentes KSZ y certificados de seguridad de interfaz SSZ. En otra etapa, los certificados digitales solicitados y transferidos al gestor de certificados de seguridad 6 son comprobados por el gestor de certificados de seguridad 6 con respecto al cumplimiento de los requisitos de seguridad especificados.
[0062] Una vez finalizada de manera satisfactoria la verificación de la certificación de seguridad de componentes y la verificación de la certificación de seguridad de la interfaz del componente respectivo, se autoriza el componente 2-1 relevante para la seguridad. Tan pronto como todos los componentes han sido verificados por el gestor de certificados de seguridad 6, se activan las distintas interfaces de componentes de los componentes relevantes para la seguridad 2-i, con lo cual la cadena funcional crítica para la seguridad 1 está lista para funcionar. El procedimiento de certificación de la cadena funcional crítica para la seguridad 1 puede tener lugar, por ejemplo, durante la puesta en marcha del sistema de producción que se muestra en la fig. 6. La certificación de la cadena funcional crítica para la seguridad 1 se realiza preferentemente de forma automática en respuesta a un hecho desencadenante detectado. Para una posible realización, el hecho desencadenante es la puesta en servicio de al menos un componente 2-i dentro de la cadena funcional 1 crítica para la seguridad. En otra una posible realización, el hecho desencadenante para el procedimiento de certificación es un cambio del estado operativo de al menos un componente 2-i dentro de la cadena funcional crítica para la seguridad 1. Preferentemente, el hecho desencadenante es registrado automáticamente por el gestor de certificados de seguridad 6. El gestor de certificados de seguridad 6 realiza el procedimiento de certificación durante la puesta en funcionamiento o cuando se pone en marcha el sistema de producción. Además, el gestor de certificados de seguridad 6 supervisa preferentemente los distintos componentes relevantes para la seguridad dentro de la cadena funcional crítica para la seguridad 1, con el fin de detectar automáticamente un cambio relevante en el estado operativo e iniciar el procedimiento de certificación. Además, en una posible realización, los sensores pueden detectar que un componente 2 dentro de la cadena funcional crítica para la seguridad 1 es sustituido o cambiado por otro componente. Además, el gestor de certificados de seguridad 6 puede reconocer en una posible realización la ejecución de un procedimiento de actualización de software para un componente de software dentro de la cadena funcional crítica para la seguridad 1 e iniciar el procedimiento de certificación.
[0063] La fig. 8 muestra esquemáticamente un procedimiento de recertificación según el procedimiento de certificación según la invención después de una actualización de software del componente de software 2-2 del sistema de producción. Con la ayuda del procedimiento de certificación según la invención, la verificación de la certificación de componentes 2-2 del software relevante para la seguridad se realiza de forma automática. En el caso de una actualización de software del componente de software, el componente de software se recertifica de forma aislada dentro de la cadena funcional crítica para la seguridad 1 mediante el procedimiento según la invención. Recibirá un nuevo certificado digital con el número de versión V1.1. Tan pronto como el nuevo componente de software, en particular actualizado, de la cadena funcional 1 haya recibido del gestor de certificados de seguridad 6 un certificado con el número de versión V1.1, esto se verifica de forma automática conforme a los requisitos de seguridad del sistema. Después de una recertificación satisfactoria, los diferentes componentes 2-i del sistema son autorizados por el gestor de certificados de seguridad 6 y las interfaces de los componentes asociados se activan automáticamente para que la cadena de funcional 1 esté lista para funcionar dentro del sistema.
[0064] La fig. 9 muestra una verificación de la certificación con resultado negativo según el procedimiento de certificación según la invención. En el ejemplo, el componente de software 2-2 se actualiza de nuevo. En la actualización del componente 2-2, el componente es primero recertificado de forma aislada y recibe un certificado de seguridad con el número de versión V1.2, tal como se muestra en la fig. 9. Tan pronto como el componente de software 2-2 nuevo o actualizado sea instalado dentro de la cadena funcional crítica para la seguridad 1, el nuevo certificado de seguridad V1.2 del componente relevante para la seguridad 2-2 es consultado por el gestor de certificados de seguridad 6 y comprobado de forma automáticamente conforme a los requisitos de seguridad especificados del sistema. En el ejemplo mostrado, el nuevo certificado V1.2 no cumple los requisitos de seguridad, por lo que el gestor de certificados de seguridad 6 desactiva automáticamente los componentes 2i de la cadena funcional crítica para la seguridad 1. A continuación, puede tener lugar un tratamiento de errores. Los requisitos de seguridad para la cadena funcional crítica para la seguridad 1 pueden, por ejemplo, redefinirse y almacenarse en el gestor de certificados de seguridad 6.
[0065] Los certificados de seguridad de componentes KSZ y los certificados de seguridad de interfaces SSZ presentan en una posible realización cada uno el nivel de seguridad SL. Los niveles de seguridad de los componentes KSL, que están especificados en los certificados de seguridad de componentes KSZ de los componentes 2-i, y/o los niveles de seguridad de interfaz SSL, que están especificados en los certificados de seguridad de interfaz SSZ de las interfaces de los componentes 2-i, están preconfigurados para los respectivos componentes relevantes para la seguridad en una posible realización. En una realización alternativa, el nivel de seguridad de componentes KSL y/o el nivel de seguridad de interfaz SSL puede cambiar en función de las condiciones ambientales y/o de los estados de funcionamiento de los componentes 2-i dentro de la cadena funcional crítica para la seguridad 1. Por ejemplo, un componente relevante para la seguridad 2-i posee un alto nivel de seguridad de componentes KSL1 en el primer estado operativo del componente 2-i y un bajo nivel de seguridad de componentes KSL2 en otro estado operativo. Además, el estado operativo de un componente 2-i también puede afectar al nivel de seguridad de interfaces SSL de las distintas interfaces de ese componente. Por ejemplo, una interfaz de componentes de un componente 2-i posee un nivel de seguridad de interfaz SSL1 relativamente alto en un primer estado operativo del componente y un nivel de seguridad de interfaz SSL2 relativamente bajo en otro estado operativo del componente. El nivel de seguridad de componentes KSL y el nivel de seguridad de interfaz SSL pueden, por lo tanto, puede cambiar dinámicamente con esta versión en función de los estados operativos y/o de las condiciones ambientales. En una posible realización, las condiciones ambientales del sistema son registradas sensorialmente por el gestor del certificado de seguridad 6. Las condiciones ambientales comprenden, por ejemplo, parámetros ambientales físicos tales como la temperatura o la presión. Las condiciones ambientales también pueden comprender la posición o ubicación del componente o de todo el sistema, que también tienen influencia sobre los requisitos de seguridad utilizados. Por ejemplo, un sistema en un primer intervalo de temperatura requiere un nivel de seguridad diferente al de un sistema en un intervalo de temperatura diferente. Un componente ubicado en una primera ubicación puede tener requisitos de seguridad más altos que un componente que se encuentra en otra ubicación. En una realización, los componentes 2-i concatenados en la cadena funcional 1 están instalados de forma permanente y situados en el mismo lugar. En una realización alternativa, los componentes 2-i concatenados dentro de la cadena funcional 1 cambian su posición actual con respecto a los demás. Estos componentes se conectan preferentemente con componentes adyacentes a través de enlaces de comunicación inalámbricos, en los que el movimiento del componente 2-i puede cambiar el nivel de seguridad de componentes KSL del componente y/o el nivel de seguridad de interfaz SSL de las diversas interfaces del componente 2-i en cuestión. En una realización, el nivel de seguridad de componentes KSL y el nivel de seguridad de interfaz SSL se reducen o disminuyen con el tiempo. Esto refleja, por ejemplo, el tiempo de funcionamiento del componente. Por ejemplo, el nivel de seguridad de componentes KSL de un componente se reduce anualmente. A partir de un determinado momento, el nivel de seguridad de componentes KSL del componente ya no satisface el nivel de seguridad de este componente conforme a los requisitos de seguridad especificados del sistema. Entonces se puede indicar, por ejemplo, que el componente en cuestión debe ser reparado o reemplazado y que el sistema debe ser recertificado.
[0066] Los certificados de seguridad de componentes KSZ de un componente se almacenan en una memoria de datos a prueba de manipulaciones indebidas y son leídos por el gestor de certificados de seguridad 6. El certificado de seguridad de componentes KSZ de un componente 2 contiene diversas informaciones que pueden variar según la aplicación. En una posible realización, el certificado de seguridad de componentes KSZ de un componente 2 dentro de la cadena funcional crítica para la seguridad 1 presenta algunos de los siguientes campos de datos, es decir, un número de versión V y una fecha de caducidad, que son comprobados por el gestor del certificado de seguridad 6 para determinar si el certificado sigue siendo válido. El emisor del certificado de seguridad de componentes KSZ se especifica en otro campo de datos. El certificado indicará preferentemente un tipo de componente en cuestión, por ejemplo, si se trata de un componente de software o de un componente de hardware. Además, está preferentemente incluido un nivel de seguridad de componentes KSL del componente 2 respectivo. El nivel de seguridad puede configurarse de forma permanente o modificarse, por ejemplo, en función de las condiciones ambientales o de los estados de funcionamiento de los componentes 2. El certificado de seguridad de componentes KSZ comprende preferentemente una identificación del fabricante del componente. Por ejemplo, en un equipo determinado, solo pueden estar autorizados componentes de un fabricante determinado. Además, el certificado de seguridad de componentes KSZ contiene preferentemente una identificación única del componente en cuestión. Además, el certificado de seguridad de componentes KSZ incluye certificados de seguridad de interfaz SSZ proporcionados para interfaces de componentes del componente con los niveles de seguridad de interfaz correspondientes. Además, el certificado de seguridad de componentes KSZ también comprende preferentemente los certificados de seguridad de interfaz SSZ requeridos para las interfaces de componentes de entrada del componente con un nivel de seguridad de interfaz SSL de la interfaz de componentes de entrada requerido en cada caso. Esto le permite al gestor del certificado de seguridad 6 comprobar si los niveles de seguridad coinciden o son compatibles. Además, el certificado de seguridad de interfaz de componentes KSZ del componente 2 puede incluir varios parámetros de configuración del componente en cuestión. Por ejemplo, los parámetros de configuración pueden especificar una potencia láser autorizada de un brazo robótico dentro de la línea de producción. Un brazo robótico, por ejemplo, solo tiene permiso de funcionamiento para 50 KW, incluso si técnicamente ofrece una potencia de 100 KW. Cada componente 2 dentro de la cadena funcional crítica para la seguridad 1 lleva su documentación de autorización en forma de un certificado digital de seguridad de componentes KSZ. Preferentemente, el certificado digital asociado se almacena para cada componente 2 en un área de memoria infalsificable prevista especialmente. Este solo puede ser leído y comprobado por un gestor de certificados 6 de seguridad previsto a tal efecto. Con la ayuda de certificados digitales de lectura electrónica, la certificación o recertificación de la cadena funcional crítica para la seguridad 1 también puede llevarse a cabo de forma automática durante el tiempo de ejecución.
[0067] Con el sistema que se muestra en la fig. 6, la cadena funcional crítica para la seguridad 1 se puede acortar o ampliar de manera dinámica. Por ejemplo, la cadena funcional crítica para la seguridad 1 se amplía con la inclusión de la herramienta 2-5A. Esta representa preferentemente un hecho desencadenante que desencadena un procedimiento de certificación por parte del gestor de certificados de seguridad 6. El gestor de certificados de seguridad 6 lleva a cabo una recertificación de la cadena funcional crítica para la seguridad 1 ampliada. Con la entrega de la herramienta 2-5A, la cadena funcional 1 se acorta por un componente de hardware. En una posible realización, esto puede desencadenar un procedimiento de recertificación nuevo durante el funcionamiento del sistema. Un usuario también puede ser incluido en el procedimiento de recertificación. Por ejemplo, el usuario U puede ser considerado como un componente que dispone de un certificado de seguridad. El certificado de seguridad de una persona o de un usuario difiere de un certificado de seguridad de un componente de hardware o software convencional. Por ejemplo, el gestor de certificados de seguridad 6 puede comprobar de forma automática si el usuario en cuestión tiene un nivel de seguridad para manejar la interfaz de usuario 2-1 del sistema. En esta realización, los usuarios u operadores participan automáticamente en el procedimiento de certificación o recertificación. El procedimiento de certificación para la certificación de una cadena funcional crítica para la seguridad 1 según el primer aspecto de la invención permite reducir significativamente el esfuerzo para la certificación de una cadena funcional crítica para la seguridad 1. Con el procedimiento de certificación, los componentes de una cadena funcional crítica para la seguridad 1 crítica pueden sustituirse sin tener que volver a certificar toda la cadena funcional. En caso de que se produzca un cambio en la cadena funcional crítica para la seguridad 1, la certificación puede llevarse a cabo de forma automática en el menor tiempo posible mediante el procedimiento de recertificación según la invención, sin que expire la autorización de explotación del sistema.
[0068] Según un segundo aspecto de la invención, se crea un procedimiento para proporcionar un enlace de comunicación seguro KVB entre componentes 2 de una cadena funcional 1 crítica para la seguridad, por ejemplo, un enlace de comunicación 5-i seguro según la fig. 1. En el ámbito de las cadenas funcionales críticas para la seguridad, actualmente no existe ningún concepto uniforme que indique cómo deben comunicarse entre sí los componentes relevantes para la seguridad 2-i de las cadenas funcionales 1 críticas para la seguridad dentro de un sistema. El procedimiento de proporcionar un enlace de comunicaciones seguro puede reducir de manera significativa el esfuerzo necesario para recertificar el enlace de comunicación. Antes de la puesta en marcha del sistema, todas las cadenas funcionales críticas para la seguridad 1 del sistema se encuentran en un estado de funcionamiento seguro, preferentemente aislado, en particular, conectado a tierra. Los diferentes componentes 2 dentro de la cadena de funcional crítica para la seguridad 1 presentan un estado de funcionamiento seguro predefinido, de modo que no se puede producir ninguna comunicación espontánea no deseada entre los distintos componentes.
[0069] En el procedimiento para proporcionar un enlace de comunicación seguro entre los componentes 2 de una cadena funcional crítica para la seguridad 1, los token T idénticos se transmiten primero en la etapa S4 por el gestor de certificados de seguridad 6 a los componentes adyacentes dentro de la cadena funcional crítica para la seguridad 1, tal como se muestra en la fig. 10. Los dos componentes adyacentes presentan cada uno una interfaz de componentes para un enlace de comunicación con el otro componente adyacente. En la etapa S5 se activan las interfaces de componentes de los dos componentes adyacentes dentro de la cadena funcional crítica para la seguridad 1 para establecer el correspondiente enlace de comunicación entre los dos componentes adyacentes. A continuación, en otra etapa S6, los token T recibidos del gestor de certificados de seguridad 6 por los dos componentes vecinos se intercambian a través del enlace de comunicación establecido. El enlace de comunicación establecido entre los dos componentes adyacentes de la cadena funcional crítica para la seguridad 1 se mantiene en la etapa S7 si los token T intercambiados a través del enlace de comunicación entre los dos componentes adyacentes son idénticos a los token T recibidos del gestor del certificado de seguridad 6. En una posible realización, los token transmitidos a los dos componentes vecinos de la cadena funcional crítica para la seguridad 1 poseen un tiempo de caducidad. El enlace de comunicación entre los dos componentes adyacentes de la cadena funcional crítica para la seguridad 1 puede terminarse automáticamente una vez transcurrido el tiempo de caducidad del token T conforme a un nivel de seguridad especificado, en particular, mediante desactivación de una interfaz. Los datos transmitidos a través del enlace de comunicación establecido entre los dos componentes se transmiten preferentemente cifrados según un nivel de seguridad. El nivel de seguridad puede ser un nivel de seguridad de componentes KSL de un componente 2, que se especifica en un certificado de seguridad de componentes KSZ del componente 2 correspondiente. El nivel de seguridad también puede ser el nivel de seguridad de una interfaz de componentes del componente en cuestión especificado en el certificado de seguridad SSZ de la interfaz de componente. El gestor de certificados de seguridad 6 envía preferentemente una lista TAN a los componentes 2 de la cadena funcional crítica para la seguridad 1 después de la autorización de todos los componentes de la cadena funcional crítica para la seguridad 1. La lista TAN enviada es utilizada por los componentes 2-i para encriptar y/o descifrar los datos transmitidos a través del enlace de comunicación. La lista TAN enviada presenta preferentemente un número de lista y un número específico de números TAN que se pueden utilizar una sola vez para la comunicación. No se requiere encriptación para las interfaces analógicas. Si los números de transacción dentro de la lista de TAN se acaban, la cadena funcional crítica para la seguridad 1 puede informar esta circunstancia al gestor de certificados de seguridad 6, que envía una nueva lista TAN a los componentes. Un mensaje transmitido por el gestor de certificados de seguridad 6 puede incluir una ID de mensaje, una marca de tiempo, una suma de comprobación sobre los contenedores de datos descifrados, un número de lista de la lista de TAN enviada, un elemento de la lista de TAN y un contenedor de datos cifrados. El número de lista TAN y el número de elemento TAN forman parte de cada mensaje transmitido a través del enlace de comunicación con fines de registro. El número TAN se puede seleccionar de la lista TAN de forma secuencial o mediante un número pseudoaleatorio. Cada número TAN se usa preferentemente una sola vez. La longitud del número TAN determina la calidad del cifrado. Una suma de control sobre el contenedor de datos se cifra con el número TAN y se puede transmitir al interlocutor de comunicación o al componente adyacente. El destinatario compara entonces su lista TAN/posición TAN con la del mensaje recibido. El mensaje recibido se considerará válido después de una comprobación CRC correcta y será procesado posteriormente por el componente. Si los dos parámetros no son idénticos, el mensaje es descartado por el componente, y que el gestor de certificados de seguridad 6 puede activar una advertencia.
[0070] La fig. 11 muestra un diagrama de flujo de señal para explicar el modo de funcionamiento del procedimiento según la invención para proporcionar un enlace de comunicación seguro entre componentes de una cadena funcional crítica para la seguridad 1 según el segundo aspecto de la invención. El gestor de certificados de seguridad 6 transfiere primero un token T, T' idéntico a dos componentes adyacentes 2-1, 2j de la cadena funcional crítica para la seguridad 1, tal como se muestra en la fig. 1, por ejemplo. Las interfaces previstas de los dos componentes adyacentes 2-i, 2-j sirven para establecer un enlace de comunicación KVB entre los dos componentes adyacentes, tal como se muestra en la fig. 11. Primero, el primer componente 2-i activa una interfaz de componentes de salida y el segundo componente adyacente 2j activa una interfaz de componentes de entrada para establecer el enlace de comunicación KVB entre los dos componentes. A esto le sigue un intercambio de los token T, T ', respectivamente, obtenidos del gestor de certificados de seguridad 6 por los dos componentes 2-i, 2-j a través del enlace de comunicación KVB establecido. Se comprueba, por un lado, mediante el primer componente 2-i y, por otro lado, mediante el segundo componente 2-j, si el token T intercambiado con el otro componente es idéntico al original recibido. Si los token T intercambiados a través del enlace de comunicación KVB entre los dos componentes adyacentes 2-i, 2-j son idénticos a los token obtenidos del gestor de certificados de seguridad 6, el enlace de comunicación KVB establecido entre los dos componentes adyacentes de la cadena funcional crítica para la seguridad 1 se mantiene, tal como se muestra en la fig. 11. Los datos pueden intercambiarse preferentemente de forma encriptada a través del enlace de comunicación KVB. Si el primer componente 2-i llega a la conclusión de que el token T recibido por el otro componente 2-j y el token T originalmente obtenido por el gestor de certificados de seguridad 6 se desvía, puede desactivar su interfaz de componentes de salida para suprimir el enlace de comunicación KVB establecido. De manera similar, el segundo componente 2-j puede verificar si el token T que recibió a través del enlace de comunicación es idéntico al token T' obtenido del gestor de certificados de seguridad 6. Si este no es el caso, el segundo componente 2-j puede desactivar su interfaz de componentes de entrada para que el enlace de comunicación KVB se suprima de forma automática y/o se transmita un mensaje de error al gestor de certificados de seguridad SZM.
[0071] El gestor de certificados de seguridad 6 del sistema puede activar los enlaces de comunicación KVB gradualmente hasta que se alcancen los componentes periféricos del sistema. Los componentes periféricos son los componentes en los límites del sistema de la instalación o del sistema. La fig. 13 muestra esquemáticamente la activación de una interfaz de componentes de un componente periférico, por ejemplo, los componentes 2-1, 2-4. El gestor de certificados de seguridad 6 envía el token T al componente periférico, que es una interfaz de componente para el mundo exterior, es decir, en el límite del sistema, activado, tal como se muestra esquemáticamente en la fig.
13.
[0072] Según un tercer aspecto, la invención también proporciona un componente 2-i para una cadena funcional crítica para la seguridad 1, tal como se muestra esquemáticamente en las figuras 14, 15. El componente 2-i posee un certificado de seguridad de componente KSZ asociado que se almacena en un área de memoria a prueba de manipulaciones asociada de una memoria de datos y puede ser verificado por un gestor de certificados de seguridad 6 para habilitar el componente 2-i dentro de la cadena funcional crítica para la seguridad 1. En una realización preferida de la invención del componente según la invención, el certificado de seguridad de componentes KSZ almacenado puede ser leído por el gestor de certificados de seguridad 6 del sistema y puede verificarse su validez en función de los requisitos de seguridad especificados. El área de memoria para almacenar el certificado de seguridad de componentes del componente está previsto preferentemente en una memoria de datos a prueba de manipulación indebida que está integrada en el componente, tal como se muestra en las figuras 14, 15. La memoria de datos integrada en el componente, que está prevista para almacenar el certificado de seguridad de componentes KSZ, es preferentemente un módulo de plataforma confiable 7, tal como se muestra en las figuras 14, 15. En una variante de realización alternativa, el área de memoria para almacenar el certificado de seguridad de componentes KSZ del componente 2 se ubica en una memoria de datos a prueba de manipulaciones indebidas que no está integrada en el componente 2, sino que forma una memoria de datos externa, preferentemente referenciada por una dirección de memoria y a la que tiene acceso el gestor de certificados de seguridad 6. Tal como se muestra en la fig. 4, el módulo de plataforma confiable 7 del componente 2 puede contener el certificado de seguridad de componentes KSZ asociado del componente 2i, que puede ser leído para su verificación por el gestor de certificados de seguridad 6.
[0073] En el módulo de plataforma confiable 7-i del componente, además del certificado de seguridad de componente KSZ, también puede haber certificados de seguridad de interfaz de componentes SSZ que el gestor de certificados de seguridad 6 puede leer para verificar.
[0074] La fig. 16 muestra de manera esquemática una estructura de datos de un ejemplo de realización de un certificado de seguridad de componentes KSZ, ya que puede almacenarse en una memoria de datos 7 a prueba de manipulación indebida del componente 2 según la invención. El certificado de seguridad de componentes KSZ del componente 2 comprende un número de versión del certificado de seguridad de componentes, una fecha de emisión del certificado de seguridad de componentes, un emisor del certificado de seguridad del componentes, un tipo de componentes del componente, un nivel de seguridad de componentes KSL del componente, una identificación del fabricante para identificar al fabricante del componente, una identificación de componentes del componente, certificados de seguridad de interfaz SSZ para las interfaces de componentes de salida del componente con un nivel de seguridad de interfaz SSL de la respectiva interfaz de componentes de salida provista en el mismo, certificados de seguridad de interfaz SSZ para interfaces de componentes de entrada del componente con un nivel de seguridad de interfaz respectivo requerido de la interfaz de componentes de entrada respectiva y parámetros de configuración del componente en cuestión.
[0075] En una posible realización, está previsto un certificado de seguridad de interfaz asociado SSZ para cada interfaz de componentes del componente 2 y se almacena en el módulo de plataforma confiable 7 del componente de manera a prueba de manipulación indebida. En el sistema según la invención, tal como se ilustra esquemáticamente a modo de ejemplo en la fig. 1, un gestor de certificados de seguridad 6 central puede verificar los certificados de seguridad de todos los componentes e interfaces. Los componentes 2 de una instalación o de un sistema pueden comunicarse entre sí en una variante de realización a través de una interfaz segura, donde el sistema se activa solo cuando todas las cadenas funcionales críticas para la seguridad 1 cumplen con los requisitos de seguridad. El número de niveles de seguridad utilizados puede variar. Los certificados de seguridad digital, en una posible variante de realización pueden ser los certificados de seguridad de clave pública. En una posible realización, los certificados digitales pueden ser emitidos por una autoridad de certificación. Los certificados de seguridad digital que se usan en el sistema según la invención, es decir, los certificados de seguridad de componentes KSZ y los certificados de seguridad de interfaz SSZ representan conjuntos de datos digitales que confirman ciertas propiedades de los objetos o componentes, por lo que la autenticidad e integridad de la información se puede verificar mediante métodos criptográficos. El sistema es, por ejemplo, un sistema industrial con al menos una cadena funcional crítica para la seguridad 1, que consiste en varios componentes 2-i concatenados. Puede tratarse de un sistema con una pluralidad de componentes de software y/o hardware concatenados. Además, el sistema puede ser, por ejemplo, un vehículo con una pluralidad de componentes de software y/o hardware integrados en él. La invención proporciona además un gestor de certificados de seguridad 6 para dicha cadena funcional crítica para la seguridad 1, en la que el gestor de certificados de seguridad 6 autoriza automáticamente la cadena funcional crítica para la seguridad 1 después de verificar satisfactoriamente los certificados de seguridad de componentes KSZ y los certificados de seguridad de interfaz de componentes SSZ. El gestor de certificados de seguridad 6 puede ser parte del sistema complejo o estar conectado con el sistema a ser certificado. En una variante de realización, el gestor de certificados de seguridad 6 está conectado a través de una red de datos con un sistema remoto que va a ser ser certificado. Además, el gestor de certificados de seguridad 6 también puede estar implementado en un servidor local del sistema. Además, el gestor de certificados de seguridad 6 puede estar integrado en otra variante de realización en un componente 2-i de la propia cadena funcional crítica para la seguridad 1. En otra variante de realización, el gestor de certificados de seguridad 6 también forma un componente, es decir, el gestor de certificados de seguridad 6 puede ejecutar una autocomprobación en una variante de realización para verificar si aún cumple con los requisitos de seguridad dados.
Lista de referencias
[0076]
1 Cadena funcional
2 Componente
3 Interfaz del componente de entrada
4 Interfaz del componente de salida
5 Enlaces de comunicación
6 Gestor de certificados de seguridad
7 Memoria de datos a prueba de manipulaciones

Claims (13)

REIVINDICACIONES
1. Procedimiento para certificar una cadena funcional crítica para la seguridad (1) que presenta varios componentes (2) conectados mediante enlaces de comunicación (KVB) para proporcionar una función de seguridad, con las siguientes etapas:
(a) verificar (S1) los certificados de seguridad de componentes, KSZ, de los componentes concatenados (2) por un gestor de certificados de seguridad (6) basado en los requisitos de seguridad dados;
(b) verificar (S2) al menos un nivel de seguridad de interfaz, SSL, certificados de seguridad de interfaz de componente, SSZ, de las interfaces de componente de los componentes concatenados (2) por parte del gestor de certificados de seguridad (6); y
c) autorizar (S3) los componentes (2) de la cadena funcional (1) crítica para la seguridad por parte del gestor del certificado de seguridad (6) si la verificación del certificado del componente y la verificación del certificado de la interfaz son satisfactorias,
caracterizado porque en el curso de la verificación de certificación de interfaces (S2), los SSZ de las dos interfaces de componentes unidas mediante un enlace de comunicación (KVB) son analizados por dos componentes dentro de la cadena funcional crítica para la seguridad (1) de componentes (2) adyacentes para determinar si los SSL especificados en ellos son compatibles entre sí.
2. Procedimiento según la reivindicación 1,
en el que un enlace de comunicación (KVB) entre dos interfaces de componentes de dos componentes adyacentes (2) dentro de la cadena funcional crítica para la seguridad (1) es inalámbrico o está cableado.
3. Procedimiento según cualquiera de las reivindicaciones anteriores 1 y 2,
en el que el SSZ de una interfaz de componentes especifica un SSL mínimo y/o un SSL máximo de la interfaz de componentes respectiva.
4. Procedimiento según cualquiera de las reivindicaciones anteriores 1 a 3,
en el que un enlace de comunicación (KVB) de forma inalámbrica o por cable conecta una interfaz de componentes de salida (4) de un primer componente con una interfaz de componentes de entrada (3) de un segundo componente, en el que en el curso de la verificación del certificado de interfaz (S2), se comprueba en cada caso si el SSL ofrecido por la interfaz de componentes de salida (4) del primer componente, que se especifica en la SSZ de la interfaz de componentes de salida del primer componente, es suficiente para el SSL requerido por la interfaz de componentes de entrada (3) del segundo componente, que se especifica en la SSZ de la interfaz de componentes de entrada del segundo componente.
5. Procedimiento según cualquiera de las reivindicaciones anteriores 1 a 4,
en el que en el curso de la verificación de la certificación de seguridad de componentes (S1) de un componente (2) por parte del gestor del certificado de seguridad (6), se comprueba si un nivel de seguridad del componente (2), especificado en el KSZ del componente (2) en cuestión, es suficiente para un KSL del componente (2) requerido conforme a los requisitos de seguridad predeterminados.
6. Procedimiento según cualquiera de las reivindicaciones anteriores 1 a 5,
en el que un KSZ de un componente (2) y el SSZ de las interfaces de componentes del componente (2) se almacenan en una memoria de datos a prueba de manipulaciones indebidas (7) y se transmiten al gestor de certificados de seguridad (6) para su verificación.
7. Procedimiento según la reivindicación 6,
en el que los KSL especificados en el KSZ de los componentes (2) y/o los niveles de seguridad de la interfaz, SSL especificados en el SSZ de las interfaces de componentes de los componentes (2) están configurados de manera fija o dependen de las condiciones ambientales y/o cambian en función de los estados operativos de los componentes (2) de la cadena funcional crítica para la seguridad (1).
8. Procedimiento según cualquiera de las reivindicaciones anteriores 1 a 7,
en el que el gestor de certificados de seguridad (6) transmite un mensaje de solicitud (REQ) para transmitir el KSZ de un componente (2) y para transmitir el SSZ de las interfaces de componentes del componente (2) en cuestión al componente (2) respectivo.
9. Procedimiento según cualquiera de las reivindicaciones anteriores 1 a 8,
en el que las interfaces de componentes de un componente (2) autorizado se activan de manera lógica o física por el 5 componente (2) autorizado o por el gestor de certificados de seguridad (6).
10. Procedimiento según cualquiera de las reivindicaciones anteriores 1 a 9,
en el que la certificación de la cadena funcional crítica para la seguridad (1) se realiza preferentemente de forma 10 automática en respuesta a un hecho desencadenante detectado,
en el que el hecho desencadenante presenta una puesta en servicio de al menos un componente (2) de la cadena funcional crítica para la seguridad (1), un cambio del estado operativo de al menos un componente (2) de la cadena funcional crítica para la seguridad (1), un intercambio de al menos un componente (2) de la cadena funcional crítica 15 para la seguridad (1) y/o una actualización de un componente de software (2) de la cadena funcional crítica para la seguridad (1).
11. Procedimiento según cualquiera de las reivindicaciones anteriores 1 a 10,
en la que un KSZ presenta un componente (2) dentro de la cadena funcional crítica para la seguridad (1):
20
- un número de versión del certificado de seguridad del componente,
- una fecha de expedición del certificado de seguridad del componente,
- un emisor del certificado de seguridad de componente,
- un tipo del componente en cuestión,
25 - un nivel de seguridad del componente, KSL, del componente,
- una identificación del fabricante del componente,
- una identificación de componente del componente,
- SSZ proporcionados para las interfaces de componentes de salida del componente con un SSL de la interfaz de componentes de salida ofrecida en el mismo,
30 - SSZ requeridos para las interfaces de componentes de entrada del componente con un SSL de la interfaz de componentes de entrada solicitado en el mismo,
- parámetros de configuración del componente.
12. Gestor de certificados de seguridad (6) para una cadena funcional crítica para la seguridad (1) que 35 presenta varios componentes (2) concatenados a través de enlaces de comunicación (KVB), en el que el gestor de certificados de seguridad (6) después de verificar satisfactoriamente los certificados de seguridad de componentes, KSZ de los componentes (2) y al menos un nivel de seguridad de interfaz, SSL, de la interfaz de componentes que especifica los certificados de seguridad de la interfaz de componentes, SSZ, interfaces de componentes de los componentes (2) autoriza automáticamente los componentes (2) de la cadena de funciones crítica para la seguridad 40 (1), caracterizado porque el gestor de certificados de seguridad (6) verifica en el curso de la verificación de la certificación de interfaces (S2), los SSZ de las dos interfaces de componentes unidas mediante un enlace de comunicación (KVB) de dos componentes (2) adyacentes dentro de la cadena funcional crítica para la seguridad (1) para determinar si los SSL especificados en ellos son compatibles entre sí.
45 13. Sistema con una cadena funcional crítica para la seguridad (1) que presenta varios componentes (2) que están concatenados mediante enlaces de comunicación (KVB), y con un gestor de certificados de seguridad (6) según la reivindicación 12.
ES17184644T 2016-10-04 2017-08-03 Procedimiento y dispositivo para certificar una cadena funcional crítica para la seguridad Active ES2734823T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016219207.8A DE102016219207A1 (de) 2016-10-04 2016-10-04 Verfahren und vorrichtung zum zertifizieren einer sicherheitskritischen funktionskette

Publications (1)

Publication Number Publication Date
ES2734823T3 true ES2734823T3 (es) 2019-12-12

Family

ID=59649476

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17184644T Active ES2734823T3 (es) 2016-10-04 2017-08-03 Procedimiento y dispositivo para certificar una cadena funcional crítica para la seguridad

Country Status (3)

Country Link
EP (1) EP3306514B1 (es)
DE (1) DE102016219207A1 (es)
ES (1) ES2734823T3 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022213362A1 (de) * 2022-12-09 2024-06-20 Gts Deutschland Gmbh Verfahren zum Einrichten und/oder Aktualisieren einer Software von Zielkomponenten eines sicherheitskritischen Systems mittels einer zentralen Autorisierungseinheit und sicherheitskritisches System mit Autorisierungseinheit

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011108003B4 (de) 2011-07-19 2013-07-25 Abb Technology Ag Prozessleitsystem
US9363246B2 (en) 2011-12-09 2016-06-07 Alaxala Networks Corporation Certificate distribution device and method for same, and computer program

Also Published As

Publication number Publication date
EP3306514A1 (de) 2018-04-11
DE102016219207A1 (de) 2018-04-05
EP3306514B1 (de) 2019-04-24

Similar Documents

Publication Publication Date Title
JP6437433B2 (ja) 医療デバイスとその遠隔デバイスの間の保護された通信
ES2530229T3 (es) Procedimiento de firma
JP6741559B2 (ja) 評価装置、評価システム及び評価方法
JP6618480B2 (ja) 更新管理方法、更新管理システム及び制御プログラム
CN103368739B (zh) 用于车辆控制模块的安全软件文件传输系统和方法
CN112534793A (zh) 一种车载设备升级方法及相关装置
ES2860631T3 (es) Un sistema y un procedimiento para firmar transacciones que utilizan claves privadas con espacio aire
CN107368744B (zh) 用于更新固件组件的方法以及测量和控制技术的设备
WO2016132239A1 (en) Autonomous delivery of items
ES2742128T3 (es) Sistema y método implementado por ordenador para la autentificación entre máquinas de un aparato
JP2008271506A (ja) 機密保護装置
CN210136494U (zh) 片上系统
CN113498494B (zh) 安全系统和维护方法
CN103250105A (zh) 用于对安全设备进行参数化的方法和装置
US8843641B2 (en) Plug-in connector system for protected establishment of a network connection
EP2896176A1 (en) Industrial control system with internal generation for secure network communications
ES2734823T3 (es) Procedimiento y dispositivo para certificar una cadena funcional crítica para la seguridad
CN105939194A (zh) 一种电子密钥设备私钥的备份方法和系统
Nasser Automotive Cybersecurity Engineering Handbook
CN109918240B (zh) 用于模块化验证设备配置的方法
ES3061235T3 (en) Method for setting up a proof of authorization for a first device
CN105868657B (zh) 装置和用于安全地操作该装置的方法
JP7334492B2 (ja) セーフティシステムおよびメンテナンス方法
JP7273947B2 (ja) 暗号鍵を車内で管理するための方法
KR101675223B1 (ko) 워치독 장치, 워치독 보안 시스템 및 그 보안 방법