DESCRIPCIÓN

Campo de la técnica

La presente invención concierne a un método y sistema para proporcionar identidad y autentificación a un dispositivo generador de datos (por ejemplo, un motor, un sensor, una válvula, un dron, un cargador eléctrico, etc.).

En este documento, por baliza debe entenderse un módulo/elemento de hardware y/o software acoplado a un dispositivo generador de datos para otorgar al dispositivo funcionalidades como conectividad, identificación, segundad, etc. Los datos generados pueden incluir mediciones, localización del dispositivo, condiciones físicas o de trabajo del mismo, etc. Los datos también pueden incluir información sobre el usuario/operador que maneja el dispositivo, si lo hay.

Antecedentes de la invención

Los dispositivos de generación de datos aislados pueden tener que realizar operaciones críticas, como mediciones, control de acceso, asignación de recursos, etc. Es posible que estos dispositivos deban ser supervisados en detalle para asegurar que informan de mediciones correctas, aplican políticas correctas de control de acceso o asignación de recursos, se encuentran en la ubicación correcta, etc. Por ello, cada dispositivo necesita una asociación de identidad robusta para garantizar la seguridad en el intercambio de información y la autenticidad e integridad de la información generada.

Por el documento US20190250899A1 se conoce un sistema y un método para realizar actualizaciones iniciadas por el servicio en dispositivos de loT. Los dispositivos pueden comunicarse con una plataforma en la nube vía una comunicación encriptada. La invención descrita en esta solicitud de patente no tiene en cuenta la identidad del eventual usuario que maneja el dispositivo, ni incluye la posibilidad de almacenar en la plataforma la comunicación recibida de las balizas de forma inmutable (por ejemplo, utilizando un distributed ledger o Tecnología de Libro Mayor Distribuido, es decir, un sistema electrónico o base de datos para registrar información que no es ejecutada por una sola entidad, y que por tanto permite almacenar y usar datos que pueden ser descentralizados y distribuidos tanto de forma privada o pública). Tampoco se contempla un mecanismo que garantice la integridad de los dispositivos y del seguimiento de sus condiciones en general.

El documento US20200036712A1 , por otro lado, permite certificar la identidad de diferentes dispositivos sobre la base de un distributed ledger, frente a una identidad centralizada. Los dispositivos y la plataforma pueden comunicarse de forma segura, y firmartransacciones. Esta invención no da cuenta de la identidad del eventual usuario que opera el dispositivo. Tampoco se contempla un mecanismo que garantice la integridad de los dispositivos y del seguimiento de sus condiciones en general.

Se requieren, por tanto, nuevos métodos y sistemas para proporcionar identidad y autentificación a un dispositivo generador de datos que garanticen: que los datos estén firmado y cifrados, que la comunicación y transmisión de datos entre el dispositivo y el servidor de la plataforma, así como con los servidores cliente, sea segura, además de permitir una autentificación del dispositivo generador de datos en la plataforma y que los datos generados puedan ser supervisados y auditados externamente.

Exposición de la invención

A tal fin, ejemplos de realización de la presente invención aportan de acuerdo a un primer aspecto, un método para proporcionar identidad y autentificación a un dispositivo generador de datos. El método comprende: proporcionar, por una plataforma de computación, una baliza al dispositivo generador de datos, incluyendo dicha baliza un código de identificación y proporcionándole al dispositivo generador de datos funcionalidades de conexión y segundad; activar, por la plataforma de computación, el dispositivo generador de datos utilizando y comprobando un reto de acceso físico (por ejemplo, un código QR, un conjunto de puntos capacitivos incluidos en una superficie de capacidad, etc.); comprobar, por la baliza, un estado de activación del dispositivo generador de datos utilizando el código de identificación; proveer, por la plataforma de computación, un certificado digital a la baliza; y enviar, por la baliza, una comprobación de segundad a la plataforma (por ejemplo, una operación criptográfica para comprobar que la identidad sigue siendo robusta y todo está correcto con la baliza). De modo que el dispositivo generador de datos puede establecer futuras comunicaciones con equipos de computación remotos, de forma segura.

Según la presente invención, el dispositivo de generación de datos puede comprender un motor, un sensor, una válvula, un cargador eléctrico, un vehículo compartido, un sistema de producción de energía, un dispositivo de tecnología operativa o un dron, entre otros. En un ejemplo de realización, la etapa de proporcionar la baliza al dispositivo generador de datos se realiza tras haber recibido una petición del dispositivo generador de datos.

En un ejemplo de realización, el método comprende, además, autentificar a la baliza y a un usuario operante del dispositivo generador de datos, de manera conjunta, mediante la emisión, por la plataforma de computación, de un identificador único para el par baliza-usuario y el almacenamiento de una parte del identificador único en la baliza y de otra parte del identificador único en una memoria del dispositivo generador de datos.

Asimismo, la plataforma de computación puede emparejar el identificador único del par baliza- usuario con el certificado digital provisto a la baliza, y reemplazar el certificado digital si se detecta o se avisa de un cambio del usuario.

En un ejemplo de realización, el método comprende, además, autentificar a la baliza y a un usuario operante del dispositivo generador de datos, de manera separada, mediante la identificación del usuario utilizando el dispositivo generador de datos, y posteriormente a la correcta identificación del usuario y contacto del dispositivo generador de datos con la baliza, realización de una autentificación conjunta del usuario y baliza y generación de un certificado basado en ambas identidades.

En un ejemplo de realización, el método comprende, además, almacenar información de uno o más usuarios operante(s) del dispositivo generador de datos en el certificado digital provisto a la baliza y modificar o reemplazar el certificado digital si la plataforma de computación detecta o se le avisa de un cambio del usuario(s).

En un ejemplo de realización, la baliza comprende un módulo anti-manipulación que incorpora uno o más mecanismos de protección para evitar que se comprometa al menos dicho certificado digital.

En un ejemplo de realización, el dispositivo generador de datos es un primer dispositivo que forma parte de una primera confederación con una pluralidad de dispositivos generadores de datos. Cada baliza proporcionada a cada dispositivo generador de datos tiene un código de identificación diferente. Asimismo, la primera confederación es invidente (es decir, únicamente tiene visibilidad de su confederación) a otras confederaciones de la plataforma de computación.

Ejemplos de realización de la presente invención aportan de acuerdo a un segundo aspecto, un sistema para proporcionar identidad y autentificación a un dispositivo generador de datos. El sistema comprende: una plataforma de computación; un dispositivo generador de datos; y una baliza. Según el sistema propuesto, la plataforma de computación está configurada para: proporcionar la baliza al dispositivo generador de datos, incluyendo dicha baliza un código de identificación y proporcionándole al dispositivo generador de datos funcionalidades de conexión y segundad; activar el dispositivo generador de datos utilizando, y comprobando, un reto de acceso físico; y proveer un certificado digital a la baliza, de modo que la baliza, posteriormente al envío de una comprobación de segundad a la plataforma de computación, puede establecer futuras comunicaciones con equipos de computación remotos, de forma segura.

En un ejemplo de realización, la baliza comprende un módulo de comunicación y un controlador operativamente conectado al módulo de comunicación y configurado para almacenar el certificado digital.

En un ejemplo de realización, la baliza comprende un módulo anti-manipulación que incorpora uno o más mecanismos de protección para evitar que se comprometa al menos dicho certificado digital.

La presente invención garantiza: que los datos estén firmados y cifrados, que los dispositivos generadores de datos se autentifiquen en la plataforma, los datos generados por un dispositivo de generación de datos pueden ser supervisados y auditados externamente, la recogida de datos es resistente gracias a la utilización de un distributed ledger que los recoge, lo que permite garantizar la calidad e integridad de los datos, los dispositivos de generación de datos pueden ser monitoreados (ubicación, operaciones, condiciones, etc.), estando seguros de su integridad e identidad, la comunicación y transmisión de datos entre el dispositivo y el servidor de la plataforma, así como con los servidores cliente es segura, la posibilidad de tener una organización jerárquica de los dispositivos en confederaciones, la posibilidad de contabilizar la identidad tanto del dispositivo como del usuario que lo maneja.

Breve ión de los di Las anteriores y otras características y ventajas se comprenderán más plenamente a partir de la siguiente descripción detallada de unos ejemplos de realización, meramente ilustrativa y no limitativa, con referencia a los dibujos que la acompañan, en los que:

La FIG. 1 es un diagrama de flujo que ¡lustra un ejemplo de realización del método propuesto.

La FIG. 2 ¡lustra esquemáticamente un ejemplo de realización del sistema propuesto incluyendo dos confederaciones diferentes: Confederación 1 , que incluye los servidores de clientes 120_1a y 120_1 b, y las balizas 110_1a, 110_1 b y 110_1c; y Confederación 2, que incluye el servidor de clientes 120_2a y la baliza 110_2a. detallada de la invención de unos ei de realización

La presente invención proporciona un método, y correspondiente sistema, para proporcionar identidad y autenticidad a dispositivos de generación de datos, por ejemplo, sensores, motores, válvulas, sistemas de producción de energía, etc. Particularmente, la invención se basa en una plataforma de computación que proporciona a los dispositivos generadores de datos unas balizas con las funcionalidades necesarias, incluyendo identidad, certificados digitales emitidos por una infraestructura de clave pública (PKI), comunicación, utilización de un distributed ledger, autenticación del operador de la baliza, etc.

En particular, en la arquitectura propuesta, para cada baliza: 1) La plataforma de comunicación 100 le asigna un código de identificación; 2) el código de identificación es activado por la plataforma 100 y un certificado digital es emitido por la plataforma 100; 3) consecuentemente, puede establecer una comunicación segura con servidores remotos, incluido uno o más servidores de la plataforma, así como con eventuales servidores cliente 120. Los servidores clientes 120 eventuales pasan por el mismo procedimiento anterior, siendo por tanto la comunicación segura una comunicación SSL bidirectional utilizando los certificados emitidos por la plataforma de comunicación 100. La baliza 110, tal y como se explica más adelante, particularmente incluye un módulo de encriptación para que esta funcionalidad esté disponible.

Con referencia a la FIG. 1 , en la misma se ¡lustra una posible implementation del método propuesto. En particular, en este ejemplo de realización, en primer lugar, una baliza 110 envía una solicitud de identidad del dispositivo generador de datos a la plataforma de comunicación 100 (o a un servidor de la misma). Seguidamente, la plataforma de comunicación 100 responde con un código de identificación de la operación. El usuario 1 que opera el dispositivo generador de datos envía una solicitud a la plataforma de comunicación 100 a través de un formulario web para la activación del dispositivo, y la solicitud del usuario es respondida por la plataforma de comunicación 100 con un reto de acceso físico, por ejemplo, un código QR, un conjunto de puntos capacitivos incluidos en una superficie de capacidad, la introducción de una contraseña, etc. Una vez que el usuario 1 ha accedido a la plataforma de comunicación 100, esta verifica el reto de acceso físico. Luego, la baliza 110 comprueba un estado de activación del dispositivo generador de datos utilizando el código de identificación, y solicita un certificado digital a la plataforma de comunicación 100. Seguidamente, la plataforma de comunicación 100 pide a la PKI 103 que emita el certificado digital, esta última se lo transmite y la plataforma de comunicación 100 reenvía el certificado digital a la baliza 110. Finalmente, la baliza 110 responde con una comprobación de seguridad del dispositivo generador de datos y envía la citada comprobación de seguridad a un servidor cliente 120.

En algunos ejemplos de realización, a los servidores clientes 120, de forma similar, se les pueden asignan códigos de identificación y se les pueden emitir certificados digitales, por parte de la plataforma de comunicación 100, pudiendo así realizar comunicaciones seguras con las balizas 110 y la plataforma de comunicación 100. Esta solución, que incluye una PKI dedicada 103, permite asegurar todo el sistema y hacer que ningún elemento confíe en otros elementos que no estén identificados por un certificado digital emitido por la PKI 103.

Indicar que la inclusión de la PKI dedicada 103 es opcional, pudiendo, en algunos ejemplos de realización, no estar incluida la misma en el sistema propuesto. En este caso la solución es más rápida y económica, aunque sin proporcionar la misma seguridad en el sistema.

Los datos recogidos por los dispositivos generadores de datos son firmados y transmitidos a la plataforma de comunicación 100. Dependiendo de la configuración del dispositivo generador de datos y de la naturaleza de los datos, éstos se almacenan en una base de datos 101 o en la cadena de bloques (o distributed ledger) 102. Los servidores clientes 120 pueden establecer qué datos de qué dispositivos quieren que se almacenen y dónde.

En algunos ejemplos de realización, se incluye una autenticación de la baliza 100 y/o del usuario 1. La plataforma de comunicación puede autenticar los dos elementos por separado, o como un par.

Si la baliza 110 y el usuario 1 se autentican como un par, la plataforma de comunicación 100 emite un identificador único para el par baliza-usuario (puede almacenarse entonces una mitad en la baliza 110 y otra mitad en una memoria que lleve el usuario 1 , de modo que sólo los dos elementos juntos puedan autenticarse como el par en cuestión). En este caso, si el par es generalmente estable (es decir, el mismo usuario 1 suele manejar el mismo dispositivo generador de datos), la identidad del par puede emparejarse con el certificado digital almacenado en la baliza 110. Dicho certificado digital podrá sustituirse, en su caso, cuando el usuario 1 sea sustituido/cambiado.

Alternativamente, los datos del usuario 1 que opera el dispositivo generador de datos se pueden incluir en el certificado digital firmado junto con los de la baliza 110. Asimismo, si hay más usuarios operando el dispositivo generador de datos o si el usuario 1 cambia con el tiempo, se emite un certificado digital diferente para cada usuario que opera el dispositivo generador de datos, incluyendo los datos de la baliza 110 y del dispositivo generador de datos que opera.

Con referencia a la Fig. 2, en la misma se ¡lustra un ejemplo de realización del sistema propuesto en el cual se han establecido diferentes confederaciones en la plataforma de comunicación 100, para dar cabida a diferentes clientes/organizaciones. Cada confederación incluye al menos un servidor cliente 120 y una baliza 110. Particularmente, cada confederación tendrá visibilidad sólo de sí misma y no de las otras confederaciones. Asimismo, pueden definirse otros niveles jerárquicos, si el cliente/organización lo necesita.

En un ejemplo de realización, cada confederación puede incluir una PKI dedicada 103.

Las balizas 110 disponen de las API adecuadas para comunicarse con la plataforma de comunicación 100. Lo mismo ocurre con los servidores cliente 120. Gracias a esta infraestructura de comunicación segura, los servidores cliente 120 pueden realizar, entre otras, las siguientes operaciones, a través de la plataforma de comunicación 100: listar todas las balizas 110 en la confederación (la plataforma 100 puede comprobar periódicamente el estado de las balizas 110, o realizar una comprobación bajo demanda); comprobar el estado de una baliza 110 en la confederación; revocar una baliza 110; sustituir una baliza 110; enviar un evento de baliza 110 al distributed ledger 102, etc.

En algunos ejemplos de realización, la baliza (o balizas) 110 (que puede considerarse como una caja/módulo cerrado con funcionalidades HW y/o SW) incluye una pluralidad de módulos/unidades controlados por un módulo controlador. Por ejemplo, la baliza 110 puede incluir un módulo de comunicaciones para proporcionar conectividad de red (por ejemplo, a través de un módulo GSM o una tarjeta SIM integrada en la propia baliza). La baliza 110 también puede tener un módulo de posicionamiento, que permite conocer en todo momento la ubicación del dispositivo generador de datos, si es necesario. En algunos ejemplos, la baliza 110 también incluye una superficie capacitiva que incluye un patrón único (por ejemplo, un conjunto de puntos capacitivos invisibles incrustados en la superficie de la baliza, que representan un patrón único). El patrón puede incluirse durante la fabricación de la baliza 110 y, preferiblemente, no puede editarse después. El patrón incluye un número de puntos limitado por el mínimo entre el máximo número de puntos legibles por la pantalla capacitiva. El patrón puede incluir puntos de tamaño y a distancia recíproca compatibles con la pantalla capacitiva.

La baliza 110 también puede incluir un módulo de segundad, por ejemplo, un módulo de seguridad de hardware (HSM), permitiendo así funciones de encriptación. Asimismo, la baliza 110 pueden incluir módulos anti-manipulación para evitar que el certificado digital que almacenan se vea comprometido. El módulo anti-manipulación puede utilizar las mediciones de los sensores incluidos en el dispositivo generador de datos para detectar intentos de manipulación y/o uso indebido, incluyendo el acelerómetro, el detector de golpes, el termómetro, la geolocalización, etc. De acuerdo con las descripciones anteriores, la presente invención se puede alcanzar de diversas formas y realizaciones. Todas las aplicaciones, modificaciones y alteraciones requeridas para ser protegidas en las reivindicaciones deben considerarse dentro del ámbito de protección de la presente invención.

El alcance de la presente invención está definido en las reivindicaciones adjuntas.