ES2954418T3 - Método de gestión de acceso a red de un dispositivo y dispositivo - Google Patents

Método de gestión de acceso a red de un dispositivo y dispositivo Download PDF

Info

Publication number
ES2954418T3
ES2954418T3 ES19801595T ES19801595T ES2954418T3 ES 2954418 T3 ES2954418 T3 ES 2954418T3 ES 19801595 T ES19801595 T ES 19801595T ES 19801595 T ES19801595 T ES 19801595T ES 2954418 T3 ES2954418 T3 ES 2954418T3
Authority
ES
Spain
Prior art keywords
network
profile
security
access
security state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES19801595T
Other languages
English (en)
Inventor
Fabien Gremaud
Telemaco Melia
Frederic Thomas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nagravision SARL
Original Assignee
Nagravision SARL
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nagravision SARL filed Critical Nagravision SARL
Application granted granted Critical
Publication of ES2954418T3 publication Critical patent/ES2954418T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

En resumen, los métodos y dispositivos divulgados permiten la gestión del acceso a la red de un dispositivo mediante la selección de un perfil de acceso a la red entre una pluralidad de perfiles de acceso a la red almacenados en el dispositivo. Para seleccionar un perfil de acceso a la red, se determina en el dispositivo un estado de seguridad del dispositivo. Luego se ejecuta una regla de decisión local basándose en un estado de seguridad y se selecciona un perfil de acceso a la red basándose en el resultado de la ejecución de la regla de decisión local. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Método de gestión de acceso a red de un dispositivo y dispositivo
Campo
La presente divulgación se refiere a métodos para gestionar acceso a una red de dispositivos y, en particular, a un método y dispositivo que permiten seleccionar un perfil de acceso a una red de un dispositivo basándose un estado de seguridad del dispositivo, por ejemplo, donde el estado de seguridad es indicativo de una posible amenaza a la seguridad del dispositivo.
Antecedentes
Un desafío importante en la seguridad de la red de Internet de las cosas (IoT), y otros tipos de seguridad de red, es proteger los dispositivos de la red, tal como sensores, que están amenazados o proteger el resto de la red de dispositivos que representan una amenaza para la seguridad. Una técnica para proteger dicho dispositivo es medir algún estado o valor específico del dispositivo para detectar una posible intrusión o cualquier comportamiento o configuración inesperado del dispositivo. Convencionalmente, tales mediciones se informan de forma segura a un sistema de seguridad en la red que luego puede tomar una reacción adecuada ante una amenaza a la seguridad. Este proceso normalmente se denomina certificación remota.
La certificación remota requiere convencionalmente que un dispositivo genere un certificado que indique la medición que se ha realizado. Luego, este certificado se cifra, a menudo mediante cifrado de clave pública, y se envía al sistema de seguridad que descifra el certificado y determina si existe una amenaza a la seguridad. Si se detecta una amenaza, el sistema de seguridad puede tomar medidas para contrarrestarla.
Los dispositivos en redes IoT suelen ser muy básicos. Por ejemplo, el dispositivo puede ser un sensor, tal como un sensor de presión. Para realizar la certificación remota, el sensor necesitaría contar con hardware y software capaces de generar el certificado requerido y el cifrado del certificado y comunicarlo a un servidor de seguridad. Esto se suma al coste total del sensor. Además, es necesario disponer de un sistema de seguridad en la red que sea capaz de gestionar el proceso de certificación remota. Se necesita una forma más rentable de proteger los dispositivos en la red.
El documento WO 2010/102259 A2 divulga un procedimiento de validación autónomo donde la validación de un sistema fiable (TS) por un validador externo se realiza implícitamente asumiendo que la verificación del TS debe haberse realizado completamente de manera local.
Breve descripción de los dibujos
A continuación, se describen varias realizaciones a modo de ejemplo con fines de explicación e ilustración, con referencia a los dibujos adjuntos, en los que:
la figura 1 ilustra un dispositivo y un operador de red, ambos en comunicación con una red;
la figura 2 ilustra un dispositivo con mayor detalle;
la figura 3 ilustra un operador de red con mayor detalle; y
la figura 4 ilustra un proceso para gestionar el acceso a la red de un dispositivo.
SUMARIO DE LA INVENCIÓN
La invención se define en las reivindicaciones adjuntas.
DESCRIPCIÓN DETALLADA DE LOS DIBUJOS
En resumen, los métodos y dispositivos divulgados permiten la gestión del acceso a la red de un dispositivo mediante la selección de un perfil de acceso a la red de una pluralidad de perfiles de acceso a la red almacenados en el dispositivo. Para seleccionar un perfil de acceso a la red, se determina en el dispositivo un estado de seguridad del dispositivo. Luego se ejecuta una regla de decisión local basándose en un estado de seguridad y se selecciona un perfil de acceso a la red basándose en el resultado de la ejecución de la regla de decisión local.
Ventajosamente, esto permite controlar localmente el acceso a la red basándose en el estado de seguridad del dispositivo sin la necesidad de acceder y/o comunicarse con un sistema de seguridad, como sería necesario en un proceso que utiliza certificación remota. Por ejemplo, si el estado de seguridad del dispositivo es indicativo de una amenaza, el acceso a la red del dispositivo se puede gestionar en consecuencia ejecutando una regla de decisión local y seleccionando un perfil de acceso a la red adecuado basándose en el resultado.
En algunos aspectos de la divulgación, se proporciona un método para gestionar acceso a una red de un dispositivo, tal como un sensor. Un primer estado de seguridad del dispositivo se determina en el dispositivo. En el dispositivo se ejecuta una regla de decisión local, basándose en el primer estado de seguridad. Se selecciona un primer perfil de una pluralidad de perfiles de acceso a la red almacenados en el dispositivo basándose en el resultado de la ejecución de la regla de decisión local. El primer perfil se utiliza para conectarse a la red.
Ventajosamente, el acceso a la red se puede controlar en respuesta a un determinado estado de seguridad del dispositivo mediante procesos llevados a cabo en el dispositivo y sin necesidad de certificación remota, lo que requiere que un dispositivo se comunique con un sistema separado configurado para monitorizar el dispositivo y controlar su conectividad de forma remota.
En algunas realizaciones, el primer perfil puede impedir que el dispositivo utilice la red. Esto es ventajoso, por ejemplo, cuando el primer estado de seguridad indica que el dispositivo ha sido infectado con malware. Si se seleccionara dicho perfil, basándose en el resultado de la ejecución de la regla de decisión local, impediría que el dispositivo use la red, aislando efectivamente el dispositivo infectado de la red. Si un dispositivo se ha infectado con malware, esto ayudaría a evitar una mayor propagación del malware a través de la red.
En algunas realizaciones, el primer perfil puede restringir el acceso del dispositivo a la red. De esta manera, el dispositivo puede aislarse de otros dispositivos y/o sistemas seleccionados conectados a la red y/o puede impedirse que transmita datos potencialmente dañinos a través de la red. Por ejemplo, dicho primer perfil puede limitar la cantidad de datos que puede transmitir el dispositivo a través de la red, reduciendo así el riesgo de que el dispositivo transmita datos dañinos a otros dispositivos en la red. Si un dispositivo se ha infectado con malware, esto ayudaría a evitar una mayor propagación del malware a través de la red.
En algunas realizaciones, el primer perfil puede restringir el acceso del dispositivo a la red de modo que el dispositivo solo pueda comunicarse con un sistema de seguridad en la red. Ventajosamente, el dispositivo se puede aislar de todo lo que hay en la red que no sea el sistema de seguridad. Luego, el sistema de seguridad puede ejecutar más diagnósticos y/o intentar reparar el dispositivo o eliminar la amenaza de alguna manera.
En algunas realizaciones, los datos pueden recibirse desde un sistema de seguridad. Posteriormente, se puede seleccionar un segundo perfil de la pluralidad de perfiles. El segundo perfil se puede utilizar para conectarse a una red. Los datos recibidos de un sistema de seguridad pueden servir para solucionar un problema con el dispositivo. Por ejemplo, se puede enviar al dispositivo una actualización inalámbrica, como una actualización de firmware u otro software. Una vez recibidos los datos, el dispositivo puede seleccionar posteriormente un segundo perfil, por ejemplo, un perfil que permita al dispositivo tener acceso completo a la red. Esto puede suceder, por ejemplo, después de que el dispositivo se haya actualizado correctamente. Este segundo perfil podrá utilizarse luego para conectarse a la red. El segundo perfil se puede seleccionar determinando un segundo estado de seguridad del dispositivo, ejecutando una segunda regla de decisión local en el dispositivo basándose en el segundo estado de seguridad, y seleccionando el segundo perfil de la pluralidad de perfiles almacenados en el dispositivo basándose en un resultado de la ejecución de la segunda regla de decisión local.
En algunas realizaciones, se puede determinar un segundo estado de seguridad del dispositivo después de que el dispositivo se haya conectado a la red utilizando el primer perfil. Se puede ejecutar una segunda regla de decisión local en el dispositivo basándose en el segundo estado de seguridad. Se puede seleccionar un segundo perfil de la pluralidad de perfiles almacenados en el dispositivo basándose en el resultado de la ejecución de la segunda regla de decisión local. El segundo perfil se puede utilizar para conectarse a la red. Después de que se haya seleccionado el primer perfil y que el dispositivo se haya conectado a la red usando el primer perfil, se puede determinar un segundo estado de seguridad y se puede seleccionar un nuevo perfil para conectarse a la red usando una regla de decisión local. Si, por ejemplo, el segundo estado de seguridad indica que ya no existe un riesgo de seguridad para el dispositivo, la regla de decisión local puede determinar que se seleccione un perfil que permita el acceso completo a la red. De esta forma, se podrá restablecer el acceso a la red una vez que ya no exista un riesgo de seguridad para el dispositivo. En consecuencia, en algunas realizaciones, el segundo perfil puede permitir que el dispositivo tenga acceso completo a la red. Este proceso podría repetirse periódicamente de modo que se seleccionen continuamente más perfiles o, si no hay cambios en el estado de seguridad, se podría conservar el perfil que se utiliza para acceder a la red.
En algunas realizaciones, una vez que se ha seleccionado el primer perfil, puede darse el caso de que no se pueda utilizar ningún perfil distinto del primer perfil para conectarse a la red. Ventajosamente, el dispositivo puede estar permanentemente aislado de la red. Esto tiene aplicaciones particulares en dispositivos IoT de bajo valor donde reparar el dispositivo es más costoso que simplemente aislar permanentemente el dispositivo de la red y/o reemplazarlo. Puede darse el caso de que no se pueda usar ningún perfil distinto del primer perfil para conectarse a la red, solo si el estado de seguridad del dispositivo es indicativo de una posible amenaza a la seguridad del dispositivo, tal como una infección de malware en el dispositivo. En consecuencia, en algunas realizaciones, el primer estado de seguridad del dispositivo puede ser indicativo de una posible amenaza a la seguridad del dispositivo.
En algunas realizaciones, la etapa de determinar el primer estado de seguridad del dispositivo puede comprender determinar si una característica operativa del dispositivo excede un límite predeterminado. Ventajosamente, tal determinación proporciona una indicación de si un dispositivo está funcionando fuera de su comportamiento normal y/o de manera inesperada. Esto proporciona una indicación de una amenaza a la seguridad.
En algunas realizaciones, los datos de seguridad pueden recibirse de un operador de red, o de alguna otra parte conectada a la red, tal como un sistema de seguridad, a través de la red. El primer estado de seguridad del dispositivo puede determinarse basándose en los datos de seguridad. Estos datos pueden ser información sobre una amenaza a la seguridad en otra parte de la red. En algunas realizaciones, determinar el primer estado de seguridad del dispositivo puede incluir el uso de datos de seguridad para determinar si se ha detectado actividad maliciosa en la red. Ventajosamente, una determinación de este tipo proporciona una indicación de si un dispositivo está en riesgo de sufrir un ataque. Posteriormente, seleccionar un perfil de acceso a la red adecuado podría aislar el dispositivo de la actividad maliciosa hasta que se haya solucionado.
En algunas realizaciones, la pluralidad de perfiles se puede almacenar en un área segura del dispositivo. El área segura puede ser una región segura de una tarjeta de circuito integrado universal (UICC) del dispositivo, una tarjeta de circuito integrado universal integrada (eUICC) del dispositivo o una tarjeta de circuito integrado universal integrada (iUICC) del dispositivo. Cada perfil en la pluralidad de perfiles puede contener datos para permitir la identificación y autenticación del dispositivo por parte de un operador de red que opera la red. La pluralidad de perfiles puede ser una pluralidad de perfiles definidos por el operador de red. Cada regla de decisión local puede comprender una regla que determina qué perfil de una pluralidad de perfiles debe seleccionarse basándose en el estado de seguridad del dispositivo.
También se divulga un dispositivo que implementa los métodos divulgados. En algunos aspectos de la divulgación, se proporciona un dispositivo para transmitir datos a través de una red, comprendiendo el dispositivo un entorno de procesamiento que está configurado para determinar un primer estado de seguridad del dispositivo, ejecutar una primera regla de decisión local basándose en el primer estado de seguridad, seleccionar un primer perfil de una pluralidad de perfiles de acceso a la red almacenados en el dispositivo basándose en el resultado de la ejecución de la primera regla de decisión local, y conectarse a la red usando el primer perfil. En algunas realizaciones, el entorno de procesamiento del dispositivo puede configurarse además para llevar a cabo cualquiera de los métodos descritos anteriormente.
Aspectos adicionales de la divulgación se relacionan con un producto de programa de ordenador que comprende instrucciones que, cuando el programa se ejecuta por un ordenador, hacen que la computadora lleve a cabo el método descrito anteriormente y un medio legible por ordenador no transitorio que tiene instrucciones ejecutables por ordenador que, cuando se ejecutan en un sistema informático, implementa el método descrito anteriormente.
Se entenderá que, en el contexto de la presente divulgación, un “Módulo de Identidad de Suscriptor (SIM)” es hardware y/o software que incluye un identificador y claves de seguridad, en forma de un perfil de acceso a la red, que se utilizan para identificar y autenticar la SIM en una red móvil. Una SIM puede tener la forma de una SIM extraíble, como una tarjeta de circuito integrado universal (UICC), que comprende una aplicación SIM, que es reemplazable dentro de un dispositivo. Una SIM puede tener la forma de una SIM integrada (eSIM), como una tarjeta de circuito integrado universal integrada (eUICC), que comprende una aplicación de SIM, que está físicamente conectada a la placa de circuito del dispositivo. Una SIM también puede tener la forma de una SIM integrada (iSIM), como una tarjeta de circuito integrado universal integrado (iUICC), que comprende una aplicación SIM, que se integra directamente en el procesador de un dispositivo como un núcleo de procesador seguro separado junto con otros núcleos de procesamiento.
Se entenderá que, en el contexto de la presente divulgación, una "red" podría ser una red de telecomunicaciones, tal como Internet o una red móvil (celular). El acceso a una red particular mediante un dispositivo puede ser controlado por un operador de red. El operador de red puede exigir que un dispositivo sea identificado y autenticado antes de permitirle acceder a la red. La identificación y autenticación se pueden llevar a cabo utilizando un identificador y claves de seguridad almacenadas como un perfil de acceso a la red en una SIM del dispositivo.
Se entenderá que, en el contexto de la presente divulgación, un "perfil de acceso a la red” es un perfil que contiene información que permite que un dispositivo acceda a una red. Por ejemplo, el perfil de acceso a la red puede contener información que permita la identificación y autenticación del dispositivo por una red con la que desea conectarse. Los perfiles de acceso a la red pueden ser proporcionados por un operador de una red particular. Un ejemplo de perfil de acceso a la red es el de un perfil de operador instalado en una tarjeta SIM, una SIM integrada o una SIM integrada. Dichos perfiles los proporciona el operador de red en el momento de la fabricación o se pueden proporcionar de forma remota a una SIM a través de una red, si la SIM tiene las capacidades requeridas. Algunas tarjetas SIM pueden almacenar varios perfiles de acceso a la red, de los cuales solo uno está activo a la vez y puede usarse para conectarse a una red.
Se entenderá que, en el contexto de la presente divulgación, una “identificación de un dispositivo” es un proceso mediante el cual se puede confirmar la identidad del dispositivo. En el contexto de una SIM, el operador de red utiliza un número de referencia, tal como un número de identidad de abonado móvil internacional (IMSI), único para cada perfil de acceso a la red almacenado en la SIM, para identificar el perfil de acceso a la red y garantizar que los costos incurridos se asignan correctamente a una cuenta de usuario asociada con el perfil de acceso a la red.
Se entenderá que, en el contexto de la presente divulgación, una "autenticación de un dispositivo" es un proceso mediante el cual el operador de red puede estar razonablemente seguro de que cualquier dato recibido desde el dispositivo, como los datos que identifican el dispositivo, no ha sido manipulado o alterado de alguna manera y es, por lo tanto, auténtico. En el contexto de una SIM, cada perfil de acceso a la red tiene una clave de seguridad correspondiente que ha sido asignada por el operador de la red y que también es conocida por el operador. El dispositivo utiliza la clave de seguridad para firmar los datos enviados al operador de red y el operador de red puede autenticar el dispositivo utilizando estos datos.
Se entenderá que, en el contexto de la presente divulgación, una "característica operativa" de un dispositivo es cualquier característica medible del dispositivo que sea indicativa de la forma en que está funcionando. Los ejemplos incluyen la cantidad de datos transmitidos por el dispositivo a una red y la cantidad de potencia de procesamiento utilizada por el dispositivo. Las características operativas se pueden utilizar para determinar si el dispositivo está funcionando como se esperaba y/o si está funcionando de una manera fuera de sus condiciones operativas normales, lo que podría ser indicativo de una amenaza a la seguridad, tal como una infección de malware.
Se entenderá que, en el contexto de la presente divulgación, un "área segura" es una región segura del dispositivo, por ejemplo, un área segura de un circuito integrado del dispositivo. El área segura puede ser un “Elemento Seguro”, que tiene su significado convencional de una plataforma resistente a manipulaciones (típicamente un microcontrolador seguro de un chip) capaz de alojar de forma segura aplicaciones y sus datos confidenciales y criptográficos (por ejemplo, gestión de claves) según el reglas y requisitos de seguridad establecidos por un conjunto de autoridades fiables bien identificadas. Igualmente, el área segura puede ser una región segura de una tarjeta de circuito integrado universal (UICC), una tarjeta de circuito integrado universal integrada (eUICC) del dispositivo, o una tarjeta de circuito integrado universal integrada (iUICC).
Se entenderá que, en el contexto de la presente divulgación, una "regla de decisión local" es una regla que identifica qué perfil de acceso a la red de una pluralidad de perfiles de acceso a la red debe seleccionarse basándose un estado de seguridad determinado del dispositivo.
Se entenderá que, en el contexto de la presente divulgación, un "estado de seguridad" es una indicación de si existe o no una amenaza a la seguridad para un dispositivo particular. El estado de seguridad puede indicar que no existe ninguna amenaza de seguridad para el dispositivo o que existe una amenaza de seguridad potencial o actual para el dispositivo. El estado de seguridad también puede indicar el grado de cualquier amenaza a la seguridad actual o potencial y el motivo de esta indicación.
Algunas realizaciones específicas se describen ahora a modo de ilustración con referencia a los dibujos adjuntos en los que números de referencia similares se refieren a características similares.
Con referencia a la figura 1, un dispositivo 102 está en comunicación con una red 104. El dispositivo 102 está configurado para transmitir y/o recibir datos a través de la red durante el funcionamiento normal. El dispositivo 102 puede ser un sensor que produce datos de medición. Los datos de medición pueden estar relacionados con presión, temperatura, radioactividad, corriente, tensión, peso, flujo, humedad, aceleración y/o datos de posicionamiento, entre otros. El dispositivo 102 puede ser un dispositivo móvil, tal como un teléfono móvil. El dispositivo 102 obtiene acceso y puede utilizar la red 104 de una manera que se describirá con mayor detalle a continuación.
La red 104 puede ser una red IoT. La red 104 puede ser una red de telecomunicaciones, tal como Internet o una red móvil (celular). La red 104 es operada por un operador de red 106. El acceso a la red 104 por parte del dispositivo 102 está controlado por el operador de red 106. El operador de red 106 identifica y autentica el dispositivo 102 antes de permitirle utilizar la red 104.
Con referencia a la figura 2, ahora se describen algunas realizaciones del dispositivo 102. El transmisor 104 comprende un procesador 202, en comunicación con una memoria 204, un módulo de interfaz de red 206, un módulo de selección de perfil 208, un módulo de seguridad de dispositivo 210, un almacén de perfiles 212 y un módulo de autenticación de dispositivo 214. El procesador 202 está dispuesto para coordinar entre el módulo de interfaz de red 206, el módulo de selección de perfil 208, el módulo de seguridad de dispositivo 210, el almacén de perfiles 212 y el módulo de autenticación de dispositivo 214. La memoria 204 puede almacenar instrucciones para su ejecución por el procesador 202 para hacer que el procesador 202 proporcione la funcionalidad deseada.
El módulo de interfaz de red 206 está dispuesto para enviar y recibir datos desde el dispositivo 102 a través de la red 104. Por ejemplo, el módulo de interfaz de red 206 puede transmitir datos al operador de red 106 a través de la red 104. Estos podrían ser datos de identificación y autenticación, enviados por el dispositivo 102 mientras intenta acceder a la red 104, o podrían ser datos, por ejemplo, datos de sensores, enviados por el dispositivo 102 una vez que ha obtenido acceso a la red 104. El módulo de interfaz de red 206 se conecta a la red 104 usando un perfil de acceso a la red.
El módulo de selección de perfil de acceso a la red 208 ejecuta una regla de decisión local que identifica un perfil de acceso a la red que debería ser utilizado por el dispositivo 102 para conectarse a la red 104, basándose en un estado de seguridad determinado del dispositivo 102. De esta manera, se selecciona un perfil de acceso a la red particular basándose un estado de seguridad particular.
El módulo de seguridad de dispositivo 210 determina el estado de seguridad de dispositivo 102 usando características operativas de dispositivo 102. Por ejemplo, se puede medir una característica operativa de dispositivo 102 y, si excede un límite predeterminado, la regla de decisión local puede indicar que el dispositivo 102 debe usar un perfil de acceso a la red particular para acceder a la red 104.
El almacén de perfiles 212 contiene todos los perfiles de acceso a la red almacenados en el dispositivo 102. El almacén de perfiles 212 puede comprender un área segura en la que se almacenan todos los perfiles de acceso a la red, tal como un elemento seguro, una tarjeta de circuito integrado universal (UICC), una tarjeta de circuito integrado universal integrada (eUICC) o una tarjeta de circuito integrado universal integrada (iUICC). Como se describió anteriormente, cada perfil de acceso a la red comprende un número de referencia, tal como un número de identidad de abonado móvil internacional (IMSI), y una clave de seguridad que ha sido asignada por el operador de red y que también es conocida por el operador.
Cuando se proporciona una iUICC, también puede realizar las funciones de uno o más de los módulos descritos en el presente documento, incluidas las realizadas por el módulo de selección de perfil de acceso a la red 208, el módulo de seguridad de dispositivo 210 y el módulo de autenticación de dispositivo 214: con una UICC, un procesador de seguridad puede realizar tanto la medición de seguridad/decisión local como la selección de un perfil. El procesador seguro integrado puede proporcionar autenticación de red y gestionar perfiles que pueden medir la integridad total o parcial de la plataforma, por ejemplo, certificación de integridad/arranque seguro en tiempo de ejecución.
El módulo de autenticación de dispositivo 214 está configurado para aplicar funciones criptográficas a los datos utilizando las claves de seguridad almacenadas en los perfiles de acceso a la red. El módulo de autenticación de dispositivo 214 recibe datos cifrados del operador de red 106 a través de la red 104 y envía datos cifrados al operador de red 106 a través de la red 104 mediante la cual se puede autenticar el dispositivo 102.
Con referencia a la figura 3, ahora se describen algunas realizaciones del operador de red 106. El operador de red 106 comprende un procesador 302, en comunicación con una memoria 304, un módulo de determinación de acceso a la red 306, un módulo de interfaz de red 308, un módulo de autenticación de operador 310 y un almacén de claves de seguridad 312. El procesador 302 está dispuesto para coordinar entre el módulo de determinación de acceso a la red 306, el módulo de interfaz de red 308, el módulo de autenticación del operador 310 y el almacén de claves de seguridad 312. La memoria 304 puede almacenar instrucciones para su ejecución por el procesador 302 para hacer que el procesador 302 proporcione la funcionalidad deseada.
El módulo de determinación de acceso a la red 306 controla el acceso a la red del dispositivo 102, o cualquier dispositivo que intente utilizar la red 104, basándose en el perfil de acceso a la red que utiliza el dispositivo 102. Si un perfil de acceso a la red particular utilizado por el dispositivo indica que el dispositivo 102 va a tener acceso completo o restringido a la red 104, el módulo de determinación de acceso a la red 306 permite o restringe el acceso del dispositivo a la red 104 en consecuencia.
El módulo de interfaz de red 308 está dispuesto para enviar datos al dispositivo 102 y recibir datos del dispositivo 102 a través de la red 104. Los datos recibidos podrían ser datos de identificación y autenticación, mientras el dispositivo 102 intenta acceder a la red 104, o podrían ser datos, por ejemplo, datos de sensores, enviados por el dispositivo 102 una vez que ha obtenido acceso a la red 104.
El módulo de autenticación del operador 310 está configurado para aplicar funciones criptográficas a los datos usando las claves de seguridad almacenadas en el almacén de claves de seguridad 312. El módulo de autenticación del operador 310 genera datos cifrados que se envían al dispositivo 102, a través de la red 104, y también recibe datos cifrados del dispositivo 102, a través de la red 104, mediante la cual se puede autenticar el dispositivo 102. El almacén de claves de seguridad 312 es un lugar donde se almacenan de forma segura las claves de seguridad correspondientes a cada perfil de acceso a la red emitido por el operador de red 106.
Para poder utilizar la red 104, el dispositivo 102 debe ser autenticado por el operador de red 106. La autenticación se lleva a cabo utilizando un perfil de acceso a la red particular. En el proceso de autenticación de ejemplo, el módulo de autenticación de dispositivo 214 obtiene el número de referencia del perfil de acceso a la red que ha sido seleccionado para acceder a la red 104. Esto se transmite por el módulo de interfaz de red 206, a través de la red 104, al operador de red 106 junto con una solicitud de acceso a la red 104 y una solicitud de autenticación. El módulo de autenticación del operador 310 obtiene entonces una clave de seguridad del almacén de claves de seguridad 312 que está asociada con el número de referencia recibido del perfil de acceso a la red seleccionado. El módulo de autenticación del operador 310 genera entonces un nonce (o cualquier número aleatorio adecuado) y firma el nonce con la clave de seguridad asociada con el número de referencia del perfil de acceso a la red seleccionado. Luego, el módulo de interfaz de red 308 envía una copia sin firmar del nonce al dispositivo 102, donde se pasa al módulo de autenticación de dispositivo 214. El módulo de autenticación de dispositivo 214 firma el nonce con la clave de seguridad del perfil de acceso a la red seleccionado y esto es devuelto al operador de red 106 por el módulo de interfaz de red 206. El módulo de autenticación del operador 310 compara el nonce firmado en el dispositivo 102 con el nonce firmado por el módulo de autenticación del operador 310 y, si coinciden, el módulo de determinación de acceso a la red 306 concede al dispositivo acceso a la red según el nivel de acceso permitido por el perfil de acceso a la red seleccionado.
Con referencia a la figura 4, se describe un método para gestionar el acceso a la red del dispositivo 102. El método se describe en el contexto del sistema de transmisión de datos representado en la figura 1, el dispositivo representado en la figura 2 y el operador de red 106 representado en la figura 3.
En la etapa 402, el módulo de seguridad de dispositivo 210 determina un estado de seguridad del dispositivo 102. El estado de seguridad puede indicar que no existe ninguna amenaza de seguridad para el dispositivo o que existe una amenaza de seguridad potencial o actual para el dispositivo. El estado de seguridad también puede indicar el grado de cualquier amenaza a la seguridad actual o potencial y el motivo de esta indicación.
Esta etapa puede requerir que el módulo de seguridad de dispositivo 210 determine si una característica operativa de dispositivo excede un límite predeterminado. Ejemplos de características operativas incluyen la cantidad de datos transmitidos por el dispositivo 102 a la red 104 y la cantidad de potencia de procesamiento utilizada por el dispositivo 102. Si, por ejemplo, la cantidad de datos transmitidos por el dispositivo 102 durante un período de tiempo predeterminado excede un límite predeterminado, el módulo de seguridad de dispositivo 210 puede identificar esto como una posible amenaza a la seguridad y establecer el estado de seguridad del dispositivo 102 en consecuencia. El estado de seguridad indicaría que se ha detectado una amenaza a la seguridad ya que la cantidad de datos transmitidos por el dispositivo 102 durante una ventana particular ha excedido el límite predeterminado.
De forma alternativa, o adicional, esta etapa puede incluir recibir datos de seguridad del operador de red 106, o incluso de otro dispositivo o servidor, a través de la red 104. Estos datos de seguridad pueden ser analizados por el módulo de seguridad de dispositivo 210 para determinar si se ha detectado actividad maliciosa en la red 104. El módulo de seguridad de dispositivo 210 puede determinar el estado de seguridad del dispositivo 102 basándose en los datos de seguridad. Por ejemplo, el estado de seguridad determinado puede indicar que existe una amenaza de seguridad para el dispositivo 102 como resultado de una actividad maliciosa en la red 104.
Alternativa, o adicionalmente, este paso puede incluir que el módulo de seguridad de dispositivo 210 autentique el firmware del dispositivo y determine el estado de seguridad del dispositivo 102 basándose en el resultado de la autenticación. Por ejemplo, si la autenticación falla, esto podría considerarse indicativo de una amenaza a la seguridad y el estado de seguridad determinado lo reflejaría.
En la etapa 404, el módulo de selección de perfil 208 ejecuta una regla de decisión local basándose en el estado de seguridad determinado. La regla de decisión local indica qué perfil de acceso a la red de una pluralidad de perfiles de acceso a la red debe seleccionarse basándose en el estado de seguridad determinado del dispositivo 102. Por ejemplo, si un estado de seguridad indica que se ha detectado una amenaza a la seguridad ya que la cantidad de datos transmitidos por el dispositivo 102 durante una ventana particular ha excedido un límite predeterminado, el resultado de la ejecución de la regla de decisión local puede indicar que se debe seleccionar el perfil de acceso a la red que permite solo el acceso restringido a la red 104. Igualmente, si el estado de seguridad indica que no se ha detectado ninguna amenaza a la seguridad, el resultado de la ejecución de la regla de decisión local puede indicar que se debe seleccionar un perfil de acceso a la red que permita el acceso completo a la red 104.
En la etapa 406, el módulo de selección de perfil 208 selecciona un primer perfil de una pluralidad de perfiles de acceso a la red almacenados en el dispositivo 102 basándose en el resultado de la ejecución de la regla de decisión local. Dependiendo del resultado de la ejecución de la regla de decisión local, el perfil seleccionado puede impedir que el dispositivo 102 use la red 104 o puede restringir el acceso del dispositivo a la red 104, por ejemplo, de modo que el dispositivo solo pueda comunicarse con un sistema de seguridad en la red 104. El perfil seleccionado también puede otorgar al dispositivo 102 acceso completo a la red 104, por ejemplo, si no se detecta ninguna amenaza a la seguridad.
Cuando el acceso del dispositivo a la red 104 está restringido, de modo que el dispositivo solo puede comunicarse con un sistema de seguridad en la red 104, el dispositivo 102 puede recibir datos del sistema de seguridad para abordar la amenaza de seguridad indicada en el estado de seguridad determinado. Por ejemplo, si el estado de seguridad indica un fallo en la autenticación del firmware del dispositivo 102, esto puede ser comunicado por el dispositivo 102 al sistema de seguridad y los datos recibidos desde un sistema de seguridad pueden ser una actualización de firmware y/u otros datos adecuados para solucionar el problema. El dispositivo 102 puede entonces actualizar su firmware en un intento de abordar la amenaza a la seguridad.
Si los datos recibidos de un sistema de seguridad logran abordar la amenaza a la seguridad, el módulo de selección de perfil 208 puede seleccionar un perfil adicional y este perfil puede otorgar al dispositivo 102 acceso completo a la red 104. Para determinar que se ha abordado la amenaza a la seguridad, se pueden repetir las etapas 402, 404 y 406, lo que da como resultado la selección del perfil adicional.
En la etapa 408, el módulo de interfaz de red 206 se conecta a la red 104 usando el perfil seleccionado en la etapa 406. El nivel de acceso del dispositivo a la red 104 está determinado por el perfil seleccionado.
Opcionalmente, las etapas 402 a 408 pueden repetirse periódicamente para tener en cuenta cualquier cambio en el estado de seguridad del dispositivo 102. De esta manera, se puede garantizar que el dispositivo tenga continuamente acceso a la red 104, que refleja su estado de seguridad.
Alternativamente, una vez que se ha seleccionado el perfil en la etapa 406, no se puede usar ningún perfil distinto del primer perfil para conectarse a la red. Por ejemplo, si el estado de seguridad determinado del dispositivo en la etapa 402 es indicativo de una amenaza de seguridad para el dispositivo 102, las etapas 404 y 406 pueden dar como resultado la selección de un perfil de acceso a la red que permite solo el acceso restringido a la red 104 o que impide la dispositivo 102 utilice la red. Si este es el caso, una vez que el dispositivo 102 ha usado el perfil seleccionado para acceder a la red 104, se le puede impedir usar cualquier otro perfil de acceso a la red para limitar o impedir permanentemente el uso de la red 104 por parte del dispositivo.
Debe entenderse que la descripción anterior pretende ser ilustrativa, y no restrictiva. Muchas otras implementaciones evidentes para los expertos en la técnica al leer y comprender la descripción anterior. En consecuencia, la memoria descriptiva y los dibujos deben considerarse con carácter ilustrativo y no en un sentido restrictivo.

Claims (15)

REIVINDICACIONES
1. Método para gestionar acceso a una red de un dispositivo, comprendiendo el método las etapas de:
determinar, en el dispositivo (102), un primer estado de seguridad del dispositivo;
ejecutar, en el dispositivo, una regla de decisión local basándose en el primer estado de seguridad; seleccionar un primer perfil de una pluralidad de perfiles de acceso a la red almacenados en el dispositivo basándose en el resultado de la ejecución de la regla de decisión local; e
independientemente del primer perfil seleccionado, conectarse a la red usando el primer perfil, en el que el primer perfil determina el nivel de acceso del dispositivo a la red.
2. Método según la reivindicación 1, en el que el primer perfil: impide que el dispositivo use la red, restringe el acceso del dispositivo a la red o permite que el dispositivo tenga acceso completo a la red.
3. Método según la reivindicación 1, en el que, cuando el primer perfil restringe el acceso del dispositivo a la red, el primer perfil restringe el acceso del dispositivo a la red de manera que el dispositivo solo pueda comunicarse con un sistema de seguridad en la red.
4. Método según la reivindicación 3, que comprende, además, las etapas de:
recibir datos de un sistema de seguridad;
seleccionar un segundo perfil de la pluralidad de perfiles de acceso a la red; y
conectarse a la red usando el segundo perfil.
5. Método según cualquiera de las reivindicaciones 1 a 3, que comprende, además, las etapas de:
determinar un segundo estado de seguridad del dispositivo después de que el dispositivo se haya conectado a la red usando el primer perfil;
ejecutar una segunda regla de decisión local en el dispositivo basándose en el segundo estado de seguridad; seleccionar un segundo perfil de la pluralidad de perfiles de acceso a la red basándose en un resultado de la ejecución de la segunda regla de decisión local; y
conectarse a la red usando el segundo perfil.
6. Método según cualquiera de las reivindicaciones 4 y 5, en el que el segundo perfil permite que el dispositivo tenga acceso completo a la red.
7. Método según cualquiera de las reivindicaciones 1 a 3, en el que, una vez seleccionado el primer perfil, no se puede utilizar ningún perfil distinto del primer perfil para conectarse a la red.
8. Método según cualquier reivindicación anterior, en el que el primer estado de seguridad del dispositivo es indicativo de una posible amenaza a la seguridad del dispositivo.
9. Método según cualquier reivindicación anterior, en el que la etapa de determinar el primer estado de seguridad del dispositivo comprende determinar si una característica operativa del dispositivo excede un límite predeterminado.
10. Método según cualquier reivindicación anterior, que comprende además la etapa de recibir datos de seguridad de un operador de red a través de la red, en el que el primer estado de seguridad del dispositivo se determina basándose en los datos de seguridad.
11. Método según la reivindicación 10, en el que la etapa de determinar el primer estado de seguridad del dispositivo comprende la etapa de utilizar los datos de seguridad para determinar si se ha detectado actividad maliciosa en la red.
12. Dispositivo (102) para transmitir datos a través de una red (104), comprendiendo el dispositivo un entorno de procesamiento configurado para:
determinar un primer estado de seguridad del dispositivo;
ejecutar una primera regla de decisión local basándose en el primer estado de seguridad;
seleccionar un primer perfil de una pluralidad de perfiles de acceso a la red almacenados en el dispositivo basándose en el resultado de la ejecución de la primera regla de decisión local; e
independientemente del primer perfil seleccionado, conectarse a la red usando el primer perfil, en donde el primer perfil determina el nivel de acceso del dispositivo a la red.
13. Método o dispositivo según cualquier reivindicación anterior, en el que cada perfil en la pluralidad de perfiles de acceso a la red contiene datos para permitir la identificación y autenticación del dispositivo por parte de un operador de red que opera la red y/o en el que cada regla de decisión local comprende una regla que determina qué perfil de acceso a la red de una pluralidad de perfiles de acceso a la red debe seleccionarse basándose en el estado de seguridad del dispositivo.
14. Producto de programa informático que comprende instrucciones que, cuando el programa se ejecuta por un ordenador, hacen que el ordenador realice el método según cualquiera de las reivindicaciones 1 a 11, y 13.
15. Medio no transitorio legible por ordenador que tiene instrucciones ejecutables por ordenador que, cuando se ejecutan en un sistema informático, implementan el método según cualquiera de las reivindicaciones 1 a 11 y 13.
ES19801595T 2018-11-23 2019-11-18 Método de gestión de acceso a red de un dispositivo y dispositivo Active ES2954418T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP18208148.9A EP3657760A1 (en) 2018-11-23 2018-11-23 Method of managing network access of a device and device
PCT/EP2019/081618 WO2020104361A1 (en) 2018-11-23 2019-11-18 Method of managing network access of a device and device

Publications (1)

Publication Number Publication Date
ES2954418T3 true ES2954418T3 (es) 2023-11-22

Family

ID=64476950

Family Applications (1)

Application Number Title Priority Date Filing Date
ES19801595T Active ES2954418T3 (es) 2018-11-23 2019-11-18 Método de gestión de acceso a red de un dispositivo y dispositivo

Country Status (3)

Country Link
EP (2) EP3657760A1 (es)
ES (1) ES2954418T3 (es)
WO (1) WO2020104361A1 (es)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101386097B1 (ko) * 2009-03-06 2014-04-29 인터디지탈 패튼 홀딩스, 인크 무선 장치들의 플랫폼 입증 및 관리
WO2017082966A1 (en) * 2015-11-09 2017-05-18 Intel IP Corporation Integrated universal integrated circuit card on mobile computing environments

Also Published As

Publication number Publication date
EP3657760A1 (en) 2020-05-27
EP3884645A1 (en) 2021-09-29
WO2020104361A1 (en) 2020-05-28
EP3884645B1 (en) 2023-06-07

Similar Documents

Publication Publication Date Title
US11962701B2 (en) Verifying identity of a vehicle entering a trust zone
US8935530B2 (en) Control device and computer readable medium
CN113826351B (zh) 在操作期间验证紧急车辆的标识
EP3384629B1 (en) System and method for tamper-resistant device usage metering
ES2650448T3 (es) Comprobación de identidad de datos de propiedades de un aparato mediante un aparato de prueba
US10873465B2 (en) Control mechanisms for data processing devices
US10437985B2 (en) Using a second device to enroll a secure application enclave
TWI623853B (zh) 用以充當驗證器之裝置、用於遠端認證之方法及非暫時性機器可讀儲存媒體(二)
KR101548041B1 (ko) 네트워크와의 통신을 위한 장치의 검증 및/또는 인증
US11722315B2 (en) Factory data storage and recovery
KR101464389B1 (ko) 공유 암호화 키를 변경하는 시스템 및 방법
US10856146B2 (en) Electronic device verification
ES3037484T3 (en) Method for handling data in a secure container
US20150264021A1 (en) Pseudonymous remote attestation utilizing a chain-of-trust
US12519633B2 (en) Key revocation for edge devices
CN107851159B (zh) 控制配置数据储存器
KR102884150B1 (ko) 인증용가상코드를 기반으로 제어장치에 대한 접근 또는 연결을 판단하는 중계장치
CN107026729B (zh) 用于传输软件的方法和装置
KR102462736B1 (ko) 센서의 측정값들에 서명하기 위한 방법, 장치 및 명령어들을 포함하는 컴퓨터 판독 가능 저장 매체
ES2954418T3 (es) Método de gestión de acceso a red de un dispositivo y dispositivo
EP4513931A2 (en) Technologies for subscriber identity module security
JP7675799B2 (ja) アソシエーション制御方法及び関連装置
US20210345106A1 (en) Communication control device and communication control system
KR20150089696A (ko) 접근제어와 우선순위기반 무결성 검증 시스템 및 그 방법
TEE provisioning using the Enhanced Privacy ID (EPID) scheme [4], which authen