Sistemas y procedimientos de gestión de sesiones de comunicación seguras con dispositivos remotos.

Según varias realizaciones, un gestor de sesiones genera, almacena y actualiza periódicamente las credenciales de inicio de sesión de cada uno de una pluralidad de IED conectados. Un operador

, posiblemente a través de un dispositivo de acceso, puede proporcionar credenciales de inicio de sesión únicas al gestor de sesiones. El gestor de sesiones puede determinar el nivel de autorización del operador basándose en las credenciales de inicio de sesión del operador, que definen con qué IED puede comunicarse el operador. Según varias realizaciones, el gestor de sesiones no facilita una sesión de comunicación entre el operador y un IED objetivo. En cambio, el gestor de sesiones mantiene una primera sesión de comunicación con el operador e inicia una segunda sesión de comunicación con el IED objetivo. Por consiguiente, el gestor de sesiones puede reenviar comandos transmitidos por el operador al IED objetivo. En función del nivel de autorización del operador, un filtro de sesiones puede restringir lo que puede comunicarse entre un operador y un IED.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/US2012/043593.

Solicitante: SCHWEITZER ENGINEERING LABORATORIES, INC..

Nacionalidad solicitante: Estados Unidos de América.

Dirección: 2350 NE Hopkins Court 99163 - Pullmann ESTADOS UNIDOS DE AMERICA.

Inventor/es: SMITH,Rhett, BRADETICH,Ryan, EWING,Christopher, KIPP,Nathan Paul, YAUCHZEE,Kimberly Ann.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Equipo o métodos de tratamiento de datos o de cálculo... > G06F17/30 (Recuperación de la información; Estructura de bases de datos a este efecto)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Computadores digitales en general (detalles G06F... > G06F15/16 (Asociaciones de dos o más computadores digitales que tienen cada uno por lo menos una unidad aritmética, una unidad programa y un registro, p. ej. para el tratamiento simultáneo de varios programas)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Métodos o disposiciones para el tratamiento de datos... > G06F7/04 (Control de igualdad, es decir, para valores iguales o no)

PDF original: ES-2464665_A2.pdf

 

google+ twitter facebookPin it
Sistemas y procedimientos de gestión de sesiones de comunicación seguras con dispositivos remotos.

Fragmento de la descripción:

Sistemas y procedimientos de gestión de sesiones de comunicación seguras con dispositivos remotos.

CAMPO TÉCNICO

La presente invención se refiere, en general, a sistemas y procedimientos de gestión de sesiones de comunicación seguras. Más en particular, los sistemas y procedimientos dados a conocer en este documento pueden implementarse en pasarelas, cortafuegos y otros dispositivos de red y pueden configurarse para implementar paradigmas de control de acceso modernos a través de varios dispositivos conectados en red.

BREVE DESCRIPCIÓN DE LOS DIBUJOS

A continuación se describen realizaciones no limitativas y no exhaustivas de la divulgación, incluidas varias realizaciones de la divulgación con referencia a las figuras, en las que:

La FIG.1 ilustra una realización de un sistema de gestión de sesiones de pasarela que incluye un gestor de sesiones, múltiples dispositivos electrónicos inteligentes (IED) y un dispositivo de acceso del operador.

La FIG. 2 ilustra una realización de un diagrama de bloques funcional de un sistema informático configurado para gestionar las credenciales de inicio de sesión y las sesiones de comunicación entre un dispositivo de acceso y uno o más IED.

La FIG. 3 ilustra una realización de un procedimiento para establecer y mantener credenciales de inicio de sesión seguras para cada uno de una pluralidad de IED.

La FIG. 4 ilustra una realización de un procedimiento para iniciar una sesión de comunicación entre un dispositivo de acceso y un gestor de sesiones.

La FIG. 5 ilustra una realización de un procedimiento para iniciar una primera sesión de comunicación entre un dispositivo de acceso y un gestor de sesiones y una segunda sesión de comunicación controlada por el acceso entre un IED y el gestor de sesiones.

Las FIG. 6A y 6B ilustran realizaciones de tablas representativas de la gestión de credenciales de un IED heredado y de un IED moderno más seguro, respectivamente.

La FIG. 7 ilustra una tabla representativa para gestionar las credenciales de inicio de sesión y las conexiones de una pluralidad de IED en una realización de un gestor de sesiones.

La FIG. 8 ilustra una tabla representativa para gestionar las credenciales de inicio de sesión y el nivel de autorización asociado concedido a cada uno de una pluralidad de dispositivos de acceso mediante un gestor de sesiones.

La FIG. 9 ilustra una tabla representativa para gestionar las credenciales de inicio de sesión y los niveles de autorización asociados concedidos a cada uno de una pluralidad de dispositivos de acceso mediante un gestor de sesiones que incluye un filtro de sesiones.

En la siguiente descripción se proporcionan numerosos detalles específicos para un entendimiento minucioso de las diversas realizaciones dadas a conocer en este documento. Los sistemas y procedimientos dados a conocer en este documento pueden llevarse a la práctica sin uno o más de los detalles específicos, o con otros procedimientos, componentes, materiales, etc. Además, en algunos casos, estructuras, materiales u operaciones ampliamente conocidos pueden no mostrarse o describirse en detalle para no oscurecer los aspectos de la invención. Además, las propiedades, estructuras o características pueden combinarse de cualquier manera adecuada en una o más realizaciones alternativas.

DESCRIPCIÓN DETALLADA

La presente divulgación proporciona sistemas y procedimientos para gestionar el acceso a una pluralidad de dispositivos electrónicos inteligentes (IED) . Según varias realizaciones, las medidas de seguridad incorporadas de los IED existentes varían considerablemente. Por ejemplo, los IED heredados no pueden distinguir usuarios únicos y pueden incluir combinaciones de nombre de usuario/contraseña con una longitud y/o un conjunto de caracteres limitados. Incluso usando IED modernos, que pueden permitir la creación de numerosas combinaciones complejas de nombre de usuario/contraseña, puede ser difícil gestionar y actualizar un elevado número de credenciales de inicio de sesión a través de una red de IED.

Según varias realizaciones dadas a conocer en este documento, un gestor de sesiones puede configurarse para gestionar y actualizar las credenciales de inicio de sesión de una pluralidad de IED conectados en red. Además, un gestor de sesiones puede gestionar una pluralidad de credenciales de inicio de sesión de dispositivo de acceso. Según varias realizaciones, un gestor de sesiones puede configurarse con una variedad de puertos de red y puede comunicarse usando una gran variedad de protocolos de comunicaciones. Por ejemplo, un gestor de sesiones puede configurarse con puertos serie y puertos de Ethernet y puede comunicarse con y/o traducir varios protocolos asociados a varios tipos de conexiones de red físicas.

Según varias realizaciones, el gestor de sesiones está configurado para establecer las credenciales de inicio de sesión para cada nivel de acceso de cada IED conectado. Además, el gestor de sesiones puede configurarse para restablecer y actualizar las credenciales de inicio de sesión en un intervalo de tiempo específico. Por ejemplo, las credenciales de inicio de sesión de cada IED conectado pueden restablecerse y actualizarse anualmente para cumplir un reglamento aplicable.

El gestor de sesiones puede configurarse para asignar credenciales de inicio de sesión a cada IED asociado que sean tan robustas como permita cada IED. Por ejemplo, un IED heredado puede permitir solamente una única combinación de nombre de usuario y contraseña con una longitud y un conjunto de caracteres limitados, mientras que un IED más moderno puede permitir múltiples nombres de usuario y/o contraseñas que tienen longitudes y/o conjuntos de caracteres más amplios.

Según varias realizaciones, un operador puede acceder a un IED remoto a través del gestor de sesiones. Puede ser necesario que el operador proporcione un nombre de usuario y una contraseña al gestor de sesiones para obtener acceso a un IED particular. Según varias realizaciones, el operador puede comunicarse con un gestor de sesiones usando un dispositivo de acceso conectado al gestor de sesiones. El gestor de sesiones puede configurarse para mantener y gestionar una pluralidad de credenciales de inicio de sesión asociadas a una pluralidad de operadores, dispositivos de acceso y/o combinaciones de los mismos. Según varias realizaciones, un gestor de sesiones puede requerir que un dispositivo de acceso, o el operador del mismo, proporcione credenciales de inicio de sesión para obtener acceso a los IED conectados en red. Un nivel de autorización puede estar asociado a cada operador, el cual especifica los IED con los que el operador puede comunicarse. Además, algunos operadores pueden tener acceso limitado a algunos IED, mientras que otros pueden tener acceso total.

Un gestor de sesiones puede incluir un filtro de sesiones configurado para suprimir la comunicación entre un operador y un IED conectado en red que no pertenezca al nivel de autorización del operador. Por ejemplo, un filtro de sesiones puede impedir que todos los operadores y/o dispositivos de acceso cambien las credenciales de inicio de sesión de un IED conectado en red. Además, un filtro de sesiones puede configurarse para suprimir los comandos enviados por un operador y/o un dispositivo de acceso a un IED particular que estén en una lista negra de comandos.

Un operador que desea iniciar una sesión de comunicación con un IED particular puede establecer contacto inicialmente con el gestor de sesiones. Después, puede requerirse que el operador y/o el dispositivo de acceso proporcionen credenciales de inicio de sesión, tales como un nombre de usuario y una/varias contraseña (s) . El gestor de sesiones puede... [Seguir leyendo]

 


Reivindicaciones:

1. Un procedimiento de gestión de credenciales de inicio de sesión y sesiones de comunicación de una pluralidad de dispositivos electrónicos inteligentes (IED) , que comprende:

conectar cada uno de una pluralidad de IED a un gestor de sesiones; generar una pluralidad de credenciales de inicio de sesión para cada uno de la pluralidad de IED usando el gestor de sesiones;

almacenar la pluralidad de credenciales de inicio de sesión en una base de datos accesible mediante el gestor de

sesiones; supervisar la antigüedad de la pluralidad de credenciales de inicio de sesión de cada IED conectado usando el gestor de sesiones; y

actualizar la pluralidad de credenciales de inicio de sesión de cada IED conectado en un intervalo de tiempo

especificado usando el gestor de sesiones. 2. El procedimiento según la reivindicación 1, en el que cada una de la pluralidad de credenciales de inicio de sesión comprende un nombre de usuario y una contraseña.

3. El procedimiento según la reivindicación 1, en el que generar la pluralidad de credenciales de inicio de sesión para cada uno de la pluralidad de IED comprende generar credenciales de inicio de sesión únicas para una pluralidad de niveles de acceso de al menos uno de la pluralidad de IED.

4. El procedimiento según la reivindicación 1, en el que conectar cada uno de la pluralidad de IED comprende conectar cada IED al gestor de sesiones usando al menos uno de entre un cable de Ethernet, un cable serie, un cable coaxial, un cable óptico y una conexión inalámbrica.

5. El procedimiento según la reivindicación 1, que comprende además: asociar una pluralidad de credenciales de inicio de sesión de operador a una pluralidad de operadores, teniendo

cada una de la pluralidad de credenciales de inicio de sesión de operador un nivel de autorización que especifica el nivel de acceso del operador asociado. 6. Un procedimiento según la reivindicación 5, que comprende además: recibir una de la pluralidad de credenciales de inicio de sesión de operador mediante el gestor de sesiones; determinar el nivel de autorización de las credenciales de inicio de sesión de operador recibidas usando el gestor

de sesiones; y crear una primera sesión de comunicación entre el gestor de sesiones y un dispositivo de acceso de operador. 7. El procedimiento según la reivindicación 6, que comprende además: recibir una solicitud desde el dispositivo de acceso de operador para comunicarse con un IED conectado que

pertenece al nivel de autorización de las credenciales de inicio de sesión de operador recibidas; iniciar por medio del gestor de sesiones una segunda sesión de comunicación entre el gestor de sesiones y el

IED solicitado mediante el gestor de sesiones proporcionando credenciales de inicio de sesión del IED solicitado; y retransmitir de manera selectiva por medio del gestor de sesiones las comunicaciones recibidas desde el

dispositivo de acceso de operador en la primera sesión de comunicación al IED solicitado en la segunda sesión de comunicación. 8. El procedimiento según la reivindicación 6, que comprende además: suprimir las comunicaciones entre el operador y el IED que superen el nivel de autorización del operador.

9. El procedimiento según la reivindicación 6, que comprende además registrar eventos de acceso asociados a las credenciales de inicio de sesión del operador usando el gestor de sesiones. 10. El procedimiento según la reivindicación 6, que comprende además que el gestor de sesiones:

proporcione al dispositivo de acceso de operador una lista de IED conectados; reciba una solicitud desde el dispositivo de acceso de operador para comunicarse con uno de los IED listados que pertenecen al nivel de autorización de las credenciales de inicio de sesión de operador recibidas;

inicie una segunda sesión de comunicación entre el gestor de sesiones y el IED solicitado mediante el gestor de

sesiones proporcionando credenciales de inicio de sesión del IED solicitado; y retransmita de manera selectiva las comunicaciones recibidas desde el dispositivo de acceso de operador en la primera sesión de comunicación al IED solicitado en la segunda sesión de comunicación.

11. El procedimiento según la reivindicación 10, en el que la lista comprende solamente los IED que pertenecen

al nivel de autorización de las credenciales de inicio de sesión de operador recibidas. 12. El procedimiento según la reivindicación 1, que comprende además traducir un primer protocolo de datos en un segundo protocolo de datos.

13. Un gestor de sesiones para gestionar credenciales de inicio de sesión y sesiones de comunicación de una pluralidad de dispositivos electrónicos inteligentes (IED) , que comprende: un bus;

un procesador en comunicación con el bus; una pluralidad de puertos en comunicación con el bus y configurados para permitir la conexión de una pluralidad de IED con el gestor de sesiones; y

un medio de almacenamiento legible por ordenador en comunicación con el bus, comprendiendo el medio de

almacenamiento legible por ordenador: un módulo de gestión de credenciales de IED que puede ejecutarse en el procesador y que está configurado para:

generar credenciales de inicio de sesión para cada IED conectado;

almacenar las credenciales de inicio de sesión de los IED conectados en una base de datos accesible al gestor de sesiones; supervisar la antigüedad de las credenciales de inicio de sesión de cada IED conectado; y actualizar las credenciales de inicio de sesión de cada IED conectado en un intervalo de tiempo especificado.

14. El gestor de sesiones según la reivindicación 13, en el que cada una de la pluralidad de credenciales de inicio de sesión comprende un nombre de usuario y una contraseña. 15. El gestor de sesiones según la reivindicación 13, en el que el módulo de gestión de credenciales de IED está

configurado para generar credenciales de inicio de sesión para una pluralidad de niveles de acceso de al menos

uno de la pluralidad de IED. 16. El gestor de sesiones según la reivindicación 13, en el que la pluralidad de puertos comprende al menos uno de entre un puerto de Ethernet, un puerto serie, un puerto coaxial, un puerto óptico y un puerto inalámbrico.

17. El gestor de sesiones según la reivindicación 13, en el que el medio de almacenamiento legible por ordenador comprende además: un módulo de gestión de credenciales de dispositivo de acceso que puede ejecutarse en el procesador y que

está configurado para asociar una pluralidad de credenciales de inicio de sesión de operador a una pluralidad de operadores, teniendo cada una de la pluralidad de credenciales de inicio de sesión de operador un nivel de autorización que especifica el nivel de acceso de al menos uno de la pluralidad de IED.

18. El gestor de sesiones según la reivindicación 17, en el que el medio de almacenamiento legible por ordenador comprende además:

un módulo de gestión de control de acceso que puede ejecutarse en el procesador y que está configurado para:

recibir una de la pluralidad de credenciales de inicio de sesión de operador desde un dispositivo de acceso de operador;

determinar el nivel de autorización de las credenciales de inicio de sesión de operador; y

crear una primera sesión de comunicación entre el gestor de sesiones y el dispositivo de acceso de operador.

19. El gestor de sesiones según la reivindicación 18, en el que el módulo de gestión de control de acceso está configurado además para:

recibir una solicitud desde el dispositivo de acceso de operador para comunicarse con un IED que pertenece al nivel de autorización de las credenciales de inicio de sesión de operador recibidas;

iniciar una segunda sesión de comunicación entre el gestor de sesiones y el IED solicitado mediante el gestor de sesiones proporcionando las credenciales de inicio de sesión del IED solicitado; y

retransmitir las comunicaciones recibidas desde el dispositivo de acceso de operador en la primera sesión de comunicación al IED solicitado en la segunda sesión de comunicación.

20. El gestor de sesiones según la reivindicación 18, en el que el medio de almacenamiento legible por ordenador comprende además:

un módulo de filtrado de sesiones que puede ejecutarse en el procesador y que está configurado para suprimir las comunicaciones que superen el nivel de autorización determinado de las credenciales de inicio de sesión de operador proporcionadas.

21. El gestor de sesiones según la reivindicación 17, en el que el medio de almacenamiento legible por ordenador comprende además:

un módulo de registro de eventos de acceso que puede ejecutarse en el procesador y que está configurado para registrar eventos de acceso asociados a las credenciales de inicio de sesión de operador proporcionadas.

22. El gestor de sesiones según la reivindicación 18, en el que el módulo de gestión de control de acceso está configurado además para:

proporcionar al dispositivo de acceso de operador una lista de IED;

recibir una solicitud desde el dispositivo de acceso de operador para comunicarse con uno de los IED listados que pertenecen al nivel de autorización de las credenciales de inicio de sesión de operador recibidas;

iniciar una segunda sesión de comunicación entre el gestor de sesiones y el IED solicitado mediante el gestor de sesiones proporcionando las credenciales de inicio de sesión del IED solicitado;

retransmitir las comunicaciones recibidas desde el dispositivo de acceso de operador en la primera sesión de comunicación al IED solicitado en la segunda sesión de comunicación.

23. El gestor de sesiones según la reivindicación 22, en el que la lista comprende solamente los IED que pertenecen al nivel de autorización de las credenciales de inicio de sesión de operador recibidas.

24. El gestor de sesiones según la reivindicación 13, en el que el medio de almacenamiento legible por ordenador comprende además:

un módulo de traducción de protocolos que puede ejecutarse en el procesador y que está configurado para traducir un primer protocolo de datos en un segundo protocolo de datos. 25. Un gestor de sesiones para gestionar las credenciales de inicio de sesión y las sesiones de comunicación de una pluralidad de dispositivos electrónicos inteligentes (IED) , que comprende:

conectar cada uno de una pluralidad de IED a un gestor de sesiones;

medios para generar una pluralidad de credenciales de inicio de sesión para cada uno de los IED conectados usando el gestor de sesiones;

medios para almacenar la pluralidad de credenciales de inicio de sesión en una base de datos accesible mediante el gestor de sesiones;

medios para recibir una credencial de inicio de sesión de operador desde un dispositivo de acceso de operador mediante el gestor de sesiones;

medios para determinar el nivel de autorización de la credencial de inicio de sesión de operador recibida usando el gestor de sesiones;

medios para crear una primera sesión de comunicación entre el gestor de sesiones y un dispositivo de acceso de operador;

medios para recibir una solicitud desde el dispositivo de acceso de operador para comunicarse con un IED conectado que pertenece al nivel de autorización de la credencial de inicio de sesión de operador recibida;

medios para iniciar una segunda sesión de comunicación entre el gestor de sesiones y el IED solicitado mediante el gestor de sesiones proporcionando la credencial de inicio de sesión del IED solicitado; y

medios para suprimir las comunicaciones entre el dispositivo de acceso de operador y el IED solicitado que superen el nivel de autorización del operador.