ES2844126T3 - Procedimiento para proporcionar un funcionamiento seguro de los subsistemas dentro de un sistema crítico para la seguridad - Google Patents

Procedimiento para proporcionar un funcionamiento seguro de los subsistemas dentro de un sistema crítico para la seguridad Download PDF

Info

Publication number
ES2844126T3
ES2844126T3 ES17185954T ES17185954T ES2844126T3 ES 2844126 T3 ES2844126 T3 ES 2844126T3 ES 17185954 T ES17185954 T ES 17185954T ES 17185954 T ES17185954 T ES 17185954T ES 2844126 T3 ES2844126 T3 ES 2844126T3
Authority
ES
Spain
Prior art keywords
subsystems
subsystem
scs
cryptographic key
malfunctioning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17185954T
Other languages
English (en)
Inventor
Dr Kai Höfig
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Application granted granted Critical
Publication of ES2844126T3 publication Critical patent/ES2844126T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/16Anti-collision systems
    • G08G1/161Decentralised systems, e.g. inter-vehicle communication
    • G08G1/162Decentralised systems, e.g. inter-vehicle communication event-triggered
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0816Indicating performance data, e.g. occurrence of a malfunction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Traffic Control Systems (AREA)
  • Automation & Control Theory (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Selective Calling Equipment (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Game Theory and Decision Science (AREA)
  • Medical Informatics (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Un procedimiento (M) para proporcionar un funcionamiento seguro de los subsistemas (1a, 1b) dentro de un sistema crítico para la seguridad (10), SCS, comprendiendo el procedimiento (M): evaluar (M1), por un subsistema con funcionamiento defectuoso (1a) entre los subsistemas del SCS (10), un funcionamiento defectuoso dentro del subsistema con funcionamiento defectuoso (1a); enviar (M2), por el subsistema con funcionamiento defectuoso (1a) del SCS (10), una señal de funcionamiento defectuoso por medio de una unidad de comunicación (2) del subsistema con funcionamiento defectuoso (1a) a las unidades de comunicación (2) de los otros subsistemas (1b) entre los subsistemas (1a, 1b) del SCS (10), en el que la señal de funcionamiento defectuoso incluye una clave criptográfica que es única para el subsistema con funcionamiento defectuoso (1a); comprendiendo además el procedimiento las etapas realizadas por una unidad de control (3) de cada uno de los otros subsistemas (1b) del SCS (10) de: descifrar (M3) la clave criptográfica de la señal de funcionamiento defectuoso; iniciar (M4) la gestión de seguridad colectiva del subsistema con funcionamiento defectuoso (1a) y los otros subsistemas (1b) cuando la clave criptográfica descifrada es válida; y comunicar (M5) a los subsistemas (1a, 1b) del SCS (10) que la clave criptográfica del subsistema con funcionamiento defectuoso (1a) ha caducado.

Description

DESCRIPCIÓN
Procedimiento para proporcionar un funcionamiento seguro de los subsistemas dentro de un sistema crítico para la seguridad
La presente invención se refiere, en general, a un procedimiento para proporcionar un funcionamiento seguro de los subsistemas dentro de un sistema crítico para la seguridad y un sistema crítico para la seguridad correspondiente. La presente invención se refiere en particular a proporcionar un funcionamiento seguro dentro de un sistema ciberfísico. Los diversos sistemas, procedimientos y aparatos descritos en el presente documento se pueden aplicar, por ejemplo, a sistemas de control de tráfico, sistemas de conducción autónoma o sistemas de asistencia al conductor de automóviles. Sin embargo, los presentes conceptos no se limitan a estas aplicaciones y se pueden aplicar a redes de distribución de energía inteligentes, sistemas de atención sanitaria altamente fiables, sistemas de automatización industrial y dirección de procesos, sistemas medioambientales sostenibles, sistemas militares en red o sistemas de infraestructura y comunicación, y así sucesivamente.
Un sistema convencional puede comprender una pluralidad de diferentes componentes y/o subsistemas del sistema. Estos subsistemas pueden comprender componentes de software y/o hardware. Los componentes de un subsistema pueden comprender componentes funcionales que proporcionan funciones que se pueden activar por otros componentes del mismo o de otro subsistema. Un sistema, en particular un sistema crítico para la seguridad, puede comprender subsistemas embutidos que se comunican entre sí y construyen un sistema más grande de estructura flexible que tiene una configuración desconocida en tiempo de ejecución. Un sistema de estructura flexible de este tipo a menudo se denomina sistema ciberfísico.
Un sistema ciberfísico puede ser, por ejemplo, un sistema de transporte inteligente que comprende una pluralidad de vehículos autónomos, por ejemplo, automóviles u otros vehículos de carretera, estando equipado cada uno de ellos con unidades de transmisión-recepción para interactuar entre sí. Este tipo de sistemas pueden volverse críticos para la seguridad debido a los riesgos asociados durante su funcionamiento. Por ejemplo, un vehículo puede sufrir un fallo parcial o total. En este caso, el vehículo no puede simplemente dejar de funcionar, por ejemplo, iniciando una parada de emergencia, porque esto podría afectar a otros vehículos del sistema. Se requiere una gestión segura de la situación que tenga en cuenta al resto de vehículos que se ven potencialmente afectados por el vehículo con funcionamiento defectuoso.
Además, en un sistema crítico para la seguridad complejo, se debe decidir si es seguro o no que una parte o un subsistema de dicho sistema crítico para la seguridad interactúe con otra parte o subsistema en tiempo de ejecución del sistema crítico para la seguridad. Esto se debe decidir incluso cuando las partes o subsistemas del sistema crítico para la seguridad se suministran por diferentes proveedores y, por lo tanto, su interacción se convierte en una cuestión de confianza entre los proveedores. Por ejemplo, los vehículos autónomos pueden tener que protegerse contra influencias adversas intencionadas y/o no intencionadas que podrían afectar potencialmente a la gestión de la seguridad de los vehículos.
El documento US 2016/0373449 A1 divulga un procedimiento de gestión de anomalías usado en una o una pluralidad de unidades de control electrónico instaladas en un vehículo, un mensaje de comunicación entre vehículos transmitido desde un dispositivo instalado en el otro vehículo se recibe como una notificación de detección de anomalía, enviándose la notificación de detección de anomalía cuando se detecta una trama no autorizada en una red de a bordo instalada en otro vehículo, y un procesamiento de gestión de anomalías se selecciona de una pluralidad de procesamientos de gestión de anomalías predeterminados de acuerdo con el contenido recibido para pasar a un estado seguro, por ejemplo, y se ejecuta el procesamiento de gestión de anomalías seleccionado.
El documento de Maxim Raya et al., "Certificate Revocation in Vehicular Networks", del 31 de diciembre de 2006, divulga un conjunto de protocolos para la revocación eficiente y eficaz de certificados en redes de vehículos para expulsar nodos de red ilegítimos o defectuosos.
Ante esta situación, es un objetivo de la presente invención encontrar soluciones económicas para proporcionar un funcionamiento seguro de un subsistema dentro de un sistema crítico para la seguridad que comprende una pluralidad de subsistemas que interactúan entre sí.
Este objetivo se logra mediante un procedimiento que tiene los rasgos característicos de la reivindicación 1 y un sistema crítico para la seguridad que tiene los rasgos característicos de la reivindicación 9. Cualquier ejemplo y modo de realización de la descripción que no esté dentro del alcance de las reivindicaciones no forma parte de la invención como se define por las reivindicaciones independientes.
De acuerdo con un primer aspecto de la invención, se proporciona un procedimiento para proporcionar un funcionamiento seguro de los subsistemas dentro de un sistema crítico para la seguridad (SCS). El procedimiento comprende evaluar un funcionamiento defectuoso dentro de un subsistema con funcionamiento defectuoso entre los subsistemas del SCS. El procedimiento comprende además enviar, por el subsistema con funcionamiento defectuoso del SCS, una señal de funcionamiento defectuoso por medio de una unidad de comunicación del subsistema con funcionamiento defectuoso a las unidades de comunicación de los otros subsistemas entre los subsistemas del SCS, en el que la señal de funcionamiento defectuoso incluye una clave criptográfica que es única para el subsistema con funcionamiento defectuoso. El procedimiento comprende además descifrar, por una unidad de control de cada uno de los otros subsistemas del SCS, la clave criptográfica de la señal de funcionamiento defectuoso. El procedimiento comprende además iniciar la gestión de seguridad colectiva del subsistema con funcionamiento defectuoso y los otros subsistemas cuando la clave criptográfica descifrada es válida. El procedimiento comprende además comunicar a los subsistemas del SCS que la clave criptográfica del subsistema con funcionamiento defectuoso ha caducado.
De acuerdo con un segundo aspecto de la invención, se proporciona un sistema crítico para la seguridad (SCS). El SCS comprende subsistemas. Cada subsistema está equipado con una memoria de identificación integrada que almacena una clave criptográfica única para ese subsistema. Cada subsistema está equipado además con una unidad de comunicación que se configura para facilitar la comunicación con los otros subsistemas. Cada subsistema está equipado además con una unidad de control configurada para evaluar un funcionamiento defectuoso del subsistema y para enviar una señal de funcionamiento defectuoso por medio de la unidad de comunicación a las unidades de comunicación de los otros subsistemas, incluyendo la señal de funcionamiento defectuoso la clave criptográfica, y para descifrar una clave criptográfica de una señal de funcionamiento defectuoso que se comunica por uno de los otros subsistemas, para iniciar la gestión de seguridad conjunta de los subsistemas cuando la clave criptográfica descifrada es válida y para comunicar a los subsistemas que la clave criptográfica del subsistema con funcionamiento defectuoso ha caducado.
Una idea de la presente invención es implementar una función de gestión de seguridad muy sencilla pero eficaz en un sistema crítico para la seguridad, en particular un sistema ciberfísico, combinando una forma de comportamiento colectivo o en grupo de los subsistemas individuales con funcionalidad de cifrado. Para este fin, cada uno de los subsistemas individuales está provisto de una unidad de comunicación, que en principio puede ser cualquier tipo de dispositivo de transmisión-recepción, en particular basado en tecnologías de transmisión de datos inalámbricas. Cuando uno de los subsistemas detecta un fallo crítico para la seguridad o un funcionamiento defectuoso que requiere una acción correctiva inmediata, este subsistema en particular puede enviar una señal de funcionamiento defectuoso correspondiente a los otros subsistemas, que pueden reaccionar a continuación de la manera apropiada. Dado que los subsistemas se pueden comunicar continuamente entre sí, las contramedidas se pueden realizar de forma colectiva, es decir, en forma de gestión de seguridad colectiva. De esta manera, los actores, es decir, los subsistemas, pueden reaccionar de tal manera que no haya peligro para ningún participante del sistema debido al funcionamiento defectuoso de un participante. Además, la función de gestión de la seguridad se protege contra cualquier forma de manipulación repetida intencionada y/o no intencionada del sistema por medio de la inclusión de una clave criptográfica en la señal de funcionamiento defectuoso. La gestión de seguridad colectiva solo se inicia cuando la clave criptográfica de la señal de funcionamiento defectuoso, que es única para cada subsistema, es válida y se puede cifrar por los otros subsistemas. La clave criptográfica puede ser cualquier forma de clave (digital) conocida para el experto y que sea adecuada para la presente aplicación, por ejemplo, claves asimétricas o simétricas o una combinación de ambas, claves de autenticación y/o autorización de un solo uso, etc. Tan pronto como se inicia la gestión de seguridad colectiva, la clave criptográfica usada caduca (lo que se puede comunicar a los otros subsistemas o a una autoridad central dentro o fuera del SCS) y, por tanto, una sola clave criptográfica no se puede usar repetidamente, es decir, más de una vez. El subsistema con funcionamiento defectuoso respectivo tiene que adquirir entonces una nueva clave criptográfica de una autoridad de confianza, por ejemplo, por medio de una línea segura o por medio del servicio de mantenimiento después de que finaliza la gestión de seguridad colectiva. De esta manera, se proporciona protección contra múltiples abusos de una manera muy sencilla pero altamente eficaz. Las señales de funcionamiento defectuoso aisladas o singulares, accidentales o erróneas se aceptan por tanto deliberadamente para mantener el sistema lo más sencillo posible.
Para resumir, una innovación de la presente invención se puede ver en el hecho de que se combina un cifrado adecuado con una funcionalidad colectiva para proporcionar un funcionamiento seguro de un sistema crítico para la seguridad de una manera eficiente, de modo que los gastos, por ejemplo, por funcionalidades de redundancia o similares, se pueden reducir o minimizar o, al menos, mitigar.
Modos de realización ventajosos y mejoras de la presente invención se encuentran en las reivindicaciones subordinadas.
De acuerdo con un modo de realización del procedimiento, se puede asignar una clave criptográfica única a cada subsistema del SCS.
El SCS puede comprender una etapa final en la nube de seguridad que se configura para asignar la clave criptográfica única a cada subsistema del SCS. En consecuencia, de acuerdo con un modo de realización del procedimiento, la clave criptográfica única se puede asignar a cada subsistema del SCS por medio de la etapa final en la nube de seguridad del SCS. La etapa final en la nube de seguridad se puede adaptar y/o autorizar para comunicarse con los servidores de los proveedores o similares de los proveedores de los subsistemas. Para este fin, el SCS puede comprender una interfaz inalámbrica o cableada con una etapa final en la nube de seguridad que comprende al menos un servidor en la nube de seguridad.
De acuerdo con un modo de realización del procedimiento, la caducidad de la clave criptográfica del subsistema con funcionamiento defectuoso se puede comunicar a la etapa final en la nube de seguridad del SCS. Para ello, cada unidad de control se puede configurar para comunicar la caducidad de la clave criptográfica a la etapa final en la nube de seguridad.
El procedimiento puede comprender además asignar, por la etapa final en la nube de seguridad, una nueva clave criptográfica al subsistema con funcionamiento defectuoso después de que haya finalizado la gestión de seguridad conjunta. En consecuencia, la etapa final en la nube de seguridad se puede configurar para asignar una nueva clave criptográfica al subsistema con funcionamiento defectuoso después de que haya finalizado la gestión de seguridad conjunta.
De acuerdo con un modo de realización de la invención, la gestión de seguridad conjunta puede comprender una parada de emergencia del subsistema con funcionamiento defectuoso. Para ello, cada unidad de control se puede configurar para iniciar una parada de emergencia del subsistema correspondiente cuando se evalúa un funcionamiento defectuoso de este subsistema y se inicia la gestión de seguridad conjunta.
Según un modo de realización de la invención, el SCS puede ser un sistema de transporte que comprende vehículos autónomos, constituyendo los vehículos autónomos los subsistemas del SCS. En ese caso, la gestión de seguridad conjunta puede comprender una parada de emergencia del vehículo con funcionamiento defectuoso.
La gestión de seguridad conjunta puede comprender la adaptación colectiva de los movimientos individuales de los subsistemas. Para ello, las unidades de control de los subsistemas se pueden configurar para adaptar colectivamente los movimientos individuales de los subsistemas dentro de la gestión de seguridad conjunta. Por tanto, el vehículo con funcionamiento defectuoso se puede parar mientras que los otros vehículos, en particular los vehículos en las vecindades inmediatas del vehículo con funcionamiento defectuoso, pueden acelerar sus respectivas velocidades de una manera apropiada, también pueden realizar paradas de emergencia y/o pueden iniciar cualquier otra contramedida adecuada, por ejemplo, maniobras evasivas, etc.
La invención se explicará con mayor detalle con referencia a los modos de realización ejemplares representados en los dibujos adjuntos.
Los dibujos adjuntos se incluyen para proporcionar una mayor comprensión de la presente invención y se incorporan en y constituyen una parte de la presente memoria descriptiva. Los dibujos ilustran los modos de realización de la presente invención y, junto con la descripción, sirven para explicar los principios de la invención. Otros modos de realización de la presente invención y muchas de las ventajas pretendidas de la presente invención se apreciarán fácilmente cuando se comprendan mejor con referencia a la siguiente descripción detallada. Los elementos de los dibujos no están necesariamente a escala entre sí. En las figuras, los números de referencia similares indican componentes similares o funcionalmente similares, a menos que se indique de otro modo.
La Fig. 1 muestra esquemáticamente un sistema crítico para la seguridad (SCS) de acuerdo con un modo de realización de la invención.
La Fig. 2 muestra un diagrama de flujo esquemático de un procedimiento para proporcionar un funcionamiento seguro de un subsistema dentro del SCS de la Fig. 1.
Aunque en el presente documento se ilustran y describen modos de realización específicos, los expertos en la técnica apreciarán que una variedad de implementaciones alternativas y/o equivalentes se pueden sustituir por los modos de realización específicos mostrados y descritos sin apartarse del alcance de la presente invención. En general, la presente solicitud pretende a cubrir cualquier adaptación o variación de los modos de realización específicos analizados en el presente documento.
La Fig. 1 muestra esquemáticamente un sistema crítico para la seguridad (SCS) 10 de acuerdo con un modo de realización de la invención. La Fig. 2 muestra un diagrama de flujo esquemático de un procedimiento M para proporcionar un funcionamiento seguro de una pluralidad de subsistemas 1a, 1b dentro del SCS 10 de la Fig. 1. Con fines puramente ilustrativos, el modo de realización del SCS 10 analizado con referencia a la Fig. 1 es un sistema de vehículos autónomos, por ejemplo, automóviles o similares. Sin embargo, el experto sabrá fácilmente que son posibles muchas otras aplicaciones de las presentes enseñanzas, incluyendo, pero sin limitarse a, sistemas de control de tráfico, sistemas de asistencia al conductor de automóviles, redes de distribución de energía inteligentes, sistemas de atención sanitaria altamente fiables, sistemas de automatización industrial y dirección de procesos, sistemas medioambientales sostenibles, sistemas militares en red o sistemas de infraestructura y comunicación, y así sucesivamente.
La Fig. 1 muestra una calle de cuatro carriles, en la que una pluralidad de subsistemas 1a, 1b, es decir, vehículos, se mueven en diferentes direcciones (véanse las flechas que indican la dirección del movimiento).
Los subsistemas 1a, 1b son participantes autónomos de un SCS 10. Cada subsistema 1a, 1b está provisto de una memoria de identificación integrada 5 configurada para almacenar una clave criptográfica única para ese subsistema 1a, 1b (por razones de claridad, solo algunos subsistemas ejemplares 1a, 1b están provistos de signos de referencia, sin embargo, la configuración básica de todos los subsistemas mostrados 1a, 1b, es similar o idéntica). Cada subsistema 1a, 1b incluye además una unidad de comunicación 2 configurada para facilitar la comunicación con los otros subsistemas 1a, 1b. Cada unidad de comunicación 2 puede ser cualquier tipo de dispositivo de transmisión-recepción, por ejemplo, un dispositivo para la transmisión de datos inalámbrica. Además, cada subsistema 1a, 1b comprende una unidad de control 3 configurada para evaluar un funcionamiento defectuoso del subsistema 1a correspondiente y enviar una señal de funcionamiento defectuoso por medio de la unidad de comunicación 2 a las unidades de comunicación 2 de los otros subsistemas (en funcionamiento) 1b. En el ejemplo particular mostrado en la Fig. 1, el subsistema 1a ha detectado un fallo (esta etapa se indica como M1 en la Fig. 2), lo que requiere que se pare. Por tanto, el subsistema 1a envía una señal de funcionamiento defectuoso a los otros subsistemas 1b por medio de la unidad de comunicación 2 (indicada como M2 en la Fig. 2). La señal de funcionamiento defectuoso incluye la clave criptográfica de ese subsistema particular 1a. Las unidades de control 3 de los subsistemas 1a, 1b se configuran para descifrar la clave criptográfica de la señal de funcionamiento defectuoso (la etapa de descifrado se indica como M3 en la Fig. 2). Si la clave criptográfica resulta ser válida, es decir, se aprueba la autenticidad y/o autoridad del subsistema con funcionamiento defectuoso 1a, entonces se inicia la gestión de seguridad colectiva de los subsistemas 1a, 1b (indicado como M4 en la Fig. 2).
La gestión de seguridad colectiva de los subsistemas 1a, 1b puede comprender en particular iniciar y ejecutar una interrupción de emergencia del subsistema con funcionamiento defectuoso 1a. En consecuencia, para no poner en peligro a los otros subsistemas 1b, en particular a los subsistemas 1b situados directamente detrás o junto al subsistema con funcionamiento defectuoso 1a, la gestión de seguridad colectiva incluye además un ajuste apropiado de las velocidades de los otros subsistemas 1b. Por ejemplo, los subsistemas 1b detrás y cerca del subsistema con funcionamiento defectuoso 1a pueden igualmente iniciar interrupciones de emergencia o al menos reducir drásticamente sus velocidades, y/o posiblemente cambiar sus direcciones de conducción para evitar una colisión con el subsistema con funcionamiento defectuoso 1a. Sin embargo, los subsistemas 1b que circulan en dirección opuesta no se ven afectados y, por tanto, continúan sin cambios. El experto sabrá fácilmente de que la gestión de seguridad colectiva de acuerdo con la invención puede comprender otras diversas medidas de seguridad útiles para la aplicación individual y la situación individual en cuestión.
A continuación, la clave criptográfica del subsistema con funcionamiento defectuoso 1a se establece como caducada, lo que se comunica a los subsistemas 1a, 1b (indicado como M5 en la Fig. 2). Por tanto, la clave criptográfica es una clave de un solo uso, de modo que no es posible que el subsistema con funcionamiento defectuoso 1a envíe otra señal válida de funcionamiento defectuoso, es decir, inicie otra gestión de seguridad colectiva, hasta que los subsistemas con funcionamiento defectuoso 1a hayan renovado su clave criptográfica. El SCS 10 y el procedimiento M de funcionamiento como se describe anteriormente presentan una doble ventaja. Por un lado, se usa un comportamiento en grupo de los subsistemas 1a, 1b para realizar una parada de emergencia segura de los subsistemas afectados 1a, 1b que solo implica a los subsistemas 1b afectados por el subsistema con funcionamiento defectuoso 1a. Por otro lado, la clave criptográfica de un solo uso garantiza que el sistema no se pueda manipular o afectar negativamente repetidamente por el mismo subsistema 1a, 1b o causante. Las paradas de emergencia erróneas aisladas y/o accidentales u otras medidas de seguridad se aceptan deliberadamente para alcanzar un compromiso óptimo entre eficacia y sencillez. Para que el sistema y el procedimiento sean eficaces, es suficiente con que los subsistemas individuales 1a, 1b estén equipados con algún tipo de funcionalidad de parada de emergencia. No se requieren necesariamente funcionalidades adicionales y más avanzadas para que el sistema sea eficaz.
El SCS 10 en la Fig. 1 comprende además una etapa final en la nube de seguridad 4, que se configura para asignar una clave criptográfica única a cada subsistema 1a, 1b del SCS 10. La etapa final en la nube de seguridad 4 se puede configurar como alguna forma de autoridad central de confianza y, por tanto, se puede configurar además para asignar una nueva clave criptográfica al subsistema con funcionamiento defectuoso 1a después de que haya finalizado la gestión de seguridad conjunta (indicado como M6 en la Fig. 2). Para este fin, el SCS 10 puede comprender una interfaz inalámbrica o cableada con la etapa final en la nube de seguridad 4, que a su vez puede comprender un servidor en la nube de seguridad y así sucesivamente. En consecuencia, cada unidad de control 3 se puede configurar para comunicar la caducidad de la clave criptográfica a la etapa final en la nube de seguridad 4.
En la descripción detallada anterior, se agrupan diversos rasgos característicos en uno o más ejemplos con el propósito de simplificar la divulgación. Se debe entender que la descripción anterior pretende ser ilustrativa y no restrictiva. Pretende cubrir todas las alternativas, modificaciones y equivalentes. Muchos otros ejemplos serán evidentes para un experto en la técnica después de revisar la memoria descriptiva anterior.
Los modos de realización se eligieron y describieron con el fin de explicar mejor los principios de la invención y sus aplicaciones prácticas, para permitir de este modo que los expertos en la técnica usen mejor la invención y diversos modos de realización con diversas modificaciones ya que son adecuados para el uso particular contemplado. Muchos otros ejemplos serán evidentes para un experto en la técnica después de revisar la memoria descriptiva anterior.

Claims (15)

REIVINDICACIONES
1. Un procedimiento (M) para proporcionar un funcionamiento seguro de los subsistemas (1a, 1b) dentro de un sistema crítico para la seguridad (10), SCS, comprendiendo el procedimiento (M):
evaluar (M1), por un subsistema con funcionamiento defectuoso (1a) entre los subsistemas del SCS (10), un funcionamiento defectuoso dentro del subsistema con funcionamiento defectuoso (1a); enviar (M2), por el subsistema con funcionamiento defectuoso (1a) del SCS (10), una señal de funcionamiento defectuoso por medio de una unidad de comunicación (2) del subsistema con funcionamiento defectuoso (1a) a las unidades de comunicación (2) de los otros subsistemas (1b) entre los subsistemas (1a, 1b) del SCS (10), en el que la señal de funcionamiento defectuoso incluye una clave criptográfica que es única para el subsistema con funcionamiento defectuoso (1a); comprendiendo además el procedimiento las etapas realizadas por una unidad de control (3) de cada uno de los otros subsistemas (1b) del SCS (10) de:
descifrar (M3) la clave criptográfica de la señal de funcionamiento defectuoso;
iniciar (M4) la gestión de seguridad colectiva del subsistema con funcionamiento defectuoso (1a) y los otros subsistemas (1b) cuando la clave criptográfica descifrada es válida; y
comunicar (M5) a los subsistemas (1a, 1b) del SCS (10) que la clave criptográfica del subsistema con funcionamiento defectuoso (1a) ha caducado.
2. El procedimiento (M) de acuerdo con la reivindicación 1, en el que se asigna una clave criptográfica única a cada subsistema (1a, 1b) del SCS (10).
3. El procedimiento (M) de acuerdo con una de las reivindicaciones precedentes, en el que la caducidad de la clave criptográfica del subsistema con funcionamiento defectuoso (1a) se comunica a una etapa final en la nube de seguridad (4) del SCS (10).
4. El procedimiento (M) de acuerdo con la reivindicación 3, en el que se asigna una clave criptográfica única a cada subsistema (1a, 1b) del SCS (10) por medio de la etapa final en la nube de seguridad (4) del SCS (10).
5. El procedimiento (M) de acuerdo con la reivindicación 3 o 4, que comprende además:
asignar (M6), por la etapa final en la nube de seguridad (4), una nueva clave criptográfica al subsistema con funcionamiento defectuoso (1a) después de que haya finalizado la gestión de seguridad conjunta.
6. El procedimiento (M) de acuerdo con una de las reivindicaciones precedentes, en el que la gestión de seguridad conjunta comprende una parada de emergencia del subsistema con funcionamiento defectuoso (1a).
7. El procedimiento (M) de acuerdo con una de las reivindicaciones precedentes, en el que el SCS (10) es un sistema de transporte que comprende vehículos autónomos, constituyendo los vehículos autónomos los subsistemas (1a, 1b) del SCS (10).
8. El procedimiento (M) de acuerdo con la reivindicación 7, en el que la gestión de seguridad conjunta comprende adaptar colectivamente los movimientos individuales de los subsistemas (1a, 1b).
9. Un sistema crítico para la seguridad (10), SCS, que comprende los subsistemas (1a, 1b), estando cada subsistema (1a, 1b) equipado con:
una memoria de identificación integrada (5) que almacena una clave criptográfica única para ese subsistema (1a, 1b);
estando configurada una unidad de comunicación (2) para facilitar la comunicación con los otros subsistemas (1a, 1b); y
estando configurada una unidad de control (3) para evaluar un funcionamiento defectuoso del subsistema (1a) y para enviar una señal de funcionamiento defectuoso por medio de la unidad de comunicación (2) a las unidades de comunicación (2) de los otros subsistemas (1b), incluyendo la señal de funcionamiento defectuoso la clave criptográfica, y para descifrar una clave criptográfica de una señal de funcionamiento defectuoso que se comunica por uno de los otros subsistemas (1b), para iniciar la gestión de seguridad colectiva de los subsistemas (1a, 1b) cuando la clave criptográfica descifrada es válida y para comunicar a los subsistemas (1a, 1b) que la clave criptográfica del subsistema con funcionamiento defectuoso (1a) ha caducado.
10. El sistema crítico para la seguridad (10) de acuerdo con la reivindicación 9, que comprende además una etapa final en la nube de seguridad (4) configurada para asignar la clave criptográfica única a cada subsistema (1a, 1b) del SCS (10).
11. El sistema crítico para la seguridad (10) de acuerdo con la reivindicación 10, en el que cada unidad de control (3) se configura para comunicar la caducidad de la clave criptográfica a la etapa final en la nube de seguridad (4).
12. El sistema crítico para la seguridad (10) de acuerdo con la reivindicación 10 u 11, en el que la etapa final en la nube de seguridad (4) se configura para asignar una nueva clave criptográfica al subsistema con funcionamiento defectuoso (1a) después de que haya finalizado la gestión de seguridad conjunta.
13. El sistema crítico para la seguridad (10) de acuerdo con cualquiera de las reivindicaciones 9 a 12, en el que cada unidad de control (3) se configura para iniciar una parada de emergencia del subsistema correspondiente (1a) cuando se evalúa y se inicia la gestión de la seguridad conjunta de un funcionamiento defectuoso de este subsistema (1a).
14. El sistema crítico para la seguridad (10) de acuerdo con cualquiera de las reivindicaciones 9 a 13, en el que el SCS (10) es un sistema de transporte que comprende vehículos autónomos, constituyendo los vehículos autónomos los subsistemas (1a, 1b) del SCS (10).
15. El sistema crítico para la seguridad (10) de acuerdo con la reivindicación 14, en el que las unidades de control (3) de los subsistemas (1a, 1b) se configuran para adaptar colectivamente los movimientos individuales de los subsistemas (1a, 1b) dentro de la gestión de seguridad conjunta.
ES17185954T 2017-08-11 2017-08-11 Procedimiento para proporcionar un funcionamiento seguro de los subsistemas dentro de un sistema crítico para la seguridad Active ES2844126T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP17185954.9A EP3442251B1 (en) 2017-08-11 2017-08-11 Method for providing a safe operation of subsystems within a safety critical system

Publications (1)

Publication Number Publication Date
ES2844126T3 true ES2844126T3 (es) 2021-07-21

Family

ID=59790904

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17185954T Active ES2844126T3 (es) 2017-08-11 2017-08-11 Procedimiento para proporcionar un funcionamiento seguro de los subsistemas dentro de un sistema crítico para la seguridad

Country Status (5)

Country Link
US (1) US11657715B2 (es)
EP (2) EP3442251B1 (es)
CN (1) CN110915250B (es)
ES (1) ES2844126T3 (es)
WO (1) WO2019029877A1 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11005649B2 (en) * 2018-04-27 2021-05-11 Tesla, Inc. Autonomous driving controller encrypted communications
US11423162B2 (en) * 2020-03-27 2022-08-23 Intel Corporation Systems and methods for message assurance in vehicle systems
US11520653B2 (en) * 2020-10-15 2022-12-06 Nxp Usa, Inc. System and method for controlling faults in system-on-chip

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6771188B2 (en) * 2000-05-17 2004-08-03 Omega Patents, L.L.C. Vehicle control system for controlling a vehicle function including a vehicle tracking unit and related methods
AU2003223238A1 (en) * 2002-03-11 2003-09-29 Visionshare, Inc. Method and system for peer-to-peer secure communication
US8423835B2 (en) * 2007-08-16 2013-04-16 Nxp B.V. System and method providing fault detection capability
CA2641339C (en) * 2008-10-21 2016-02-16 Gaetan Gamache Automatic management and control system for controlling accessories and engine controls of a transport motored vehicle
US8397063B2 (en) * 2009-10-07 2013-03-12 Telcordia Technologies, Inc. Method for a public-key infrastructure for vehicular networks with limited number of infrastructure servers
CN102238000B (zh) * 2010-04-21 2015-01-21 华为技术有限公司 加密通信方法、装置及***
CN103141055A (zh) * 2011-01-25 2013-06-05 三洋电机株式会社 通信装置
DE102011076638A1 (de) * 2011-05-27 2012-11-29 Stephan Kaufmann Verfahren zur Fahrzeugkommunikation über ein fahrzeugimplementiertes Fahrzeugdiagnosesystem, Schnittstellenmodul sowie Fahrzeugdiagnose-Schnittstelle und Diagnose- und Steuerungsnetz für eine Vielzahl von Fahrzeugen
KR20140041226A (ko) * 2012-09-27 2014-04-04 삼성전자주식회사 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치
US8768567B2 (en) 2012-10-29 2014-07-01 Broadcom Corporation Intelligent power and control policy for automotive applications
US9425967B2 (en) * 2013-03-20 2016-08-23 Industrial Technology Research Institute Method for certificate generation and revocation with privacy preservation
DE102013206185A1 (de) * 2013-04-09 2014-10-09 Robert Bosch Gmbh Verfahren zur Erkennung einer Manipulation eines Sensors und/oder von Sensordaten des Sensors
JP6595885B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法及び電子制御ユニット
EP3059920B1 (en) * 2015-02-20 2020-02-12 Siemens Aktiengesellschaft Method and apparatus for providing a safe operation of a subsystem within a safety critical system
CN106341813B (zh) * 2015-07-07 2019-12-13 电信科学技术研究院 一种信息发送接收方法及装置
US9759574B2 (en) * 2015-07-14 2017-09-12 Ford Global Technologes, Llc Vehicle emergency broadcast and relay
JP7005526B2 (ja) * 2016-05-31 2022-01-21 ぺロトン テクノロジー インコーポレイテッド 隊列走行コントローラの状態マシン
US20170365105A1 (en) * 2016-06-17 2017-12-21 Ford Global Technologies, Llc Method and apparatus for inter-vehicular safety awareness and alert
US10068485B2 (en) * 2016-08-15 2018-09-04 Ford Global Technologies, Llc Platooning autonomous vehicle navigation sensory exchange
EP3500940A4 (en) * 2016-08-22 2020-03-18 Peloton Technology, Inc. AUTOMATED CONNECTED VEHICLE CONTROL SYSTEM ARCHITECTURE
US10089882B2 (en) * 2016-09-21 2018-10-02 Wabco Europe Bvba Method for controlling an own vehicle to participate in a platoon

Also Published As

Publication number Publication date
CN110915250B (zh) 2024-02-02
WO2019029877A1 (en) 2019-02-14
US11657715B2 (en) 2023-05-23
EP3442251B1 (en) 2020-10-21
EP3442251A1 (en) 2019-02-13
EP3616428A1 (en) 2020-03-04
US20200166933A1 (en) 2020-05-28
CN110915250A (zh) 2020-03-24

Similar Documents

Publication Publication Date Title
CN107846395B (zh) 确保车载总线上的通信安全的方法、***、介质和车辆
US10279775B2 (en) Unauthorized access event notification for vehicle electronic control units
US9577997B2 (en) Authentication system and authentication method
US20190281052A1 (en) Systems and methods for securing an automotive controller network
ES2844126T3 (es) Procedimiento para proporcionar un funcionamiento seguro de los subsistemas dentro de un sistema crítico para la seguridad
KR20080075801A (ko) 보안 유닛
CN104429042A (zh) 基于证书的控制单元遥控钥匙配对
CN108400919A (zh) 用于在控制器区域网络中发射消息的***和方法
US11438343B2 (en) Motor vehicle having a data network which is divided into multiple separate domains and method for operating the data network
CN109416711B (zh) 用于安全验证机动车中的控制装置的方法
CN112567713B (zh) 防攻击的网络接口
JP7273947B2 (ja) 暗号鍵を車内で管理するための方法
CN111448789B (zh) 用于解锁车辆部件的设备、方法和计算机程序、车辆到车辆通信模块
KR20170055648A (ko) 자동차 내부 네트웍의 보안통신장치
US20220131834A1 (en) Device, method and computer program for providing communication for a control appliance of a vehicle, method, central device and computer program for providing an update, control appliance, and vehicle
KR20180045900A (ko) 자동차 내부 네트웍의 보안통신장치
JP2023513295A (ja) 通信装置および通信を暗号で保護するための方法
CN110875800B (zh) 道路车辆中第一和第二通信节点编码/解码信号的方法和布置
Giri A dependable and secure approach for secret key establishment and operation in automotive CPS
Yousef Methods of securing in-vehicle networks
CN117375873A (zh) 用于在车辆内部通信网络中使用密码密钥的方法
JP2019197999A (ja) 車両用電子制御システムおよび車両用電子制御装置