Gestión de acceso a redes a través de un canal de comunicación secundario.

Gestión de acceso a redes a través de un canal de comunicación secundario.



La presente revelación provee habilitar selectivamente un canal primario de comunicación al recibir instrucciones de habilitación recibidas a través de un canal secundario de comunicación. En algunas realizaciones, un primer dispositivo electrónico inteligente (IED) puede ser conectado con un segundo IED a través de un canal primario de comunicación. En diversas realizaciones, el canal primario de comunicación puede ser habilitado, selectivamente y/o temporalmente, transmitiendo una instrucción de habilitación a través de un canal secundario de comunicación. El canal secundario de comunicación puede ser relativamente más seguro que el canal primario de comunicación. En algunas realizaciones, el canal secundario de comunicación también puede conectar los IED primero y segundo. En consecuencia, el primer IED puede transmitir una instrucción de habilitación al segundo IED a fin de habilitar temporalmente la comunicación, a través del canal primario de comunicación, entre los IED primero y segundo.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/US2013/056842.

Solicitante: SCHWEITZER ENGINEERING LABORATORIES, INC..

Nacionalidad solicitante: Estados Unidos de América.

Dirección: 2350 NE Hopkins Court 99163 Pullmann WA Washington ESTADOS UNIDOS DE AMERICA.

Inventor/es: WEBER, MARK, WHITEHEAD,David E, SMITH,Rhett, SCHWEITZER,Edmund O.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • H04L29/06 SECCION H — ELECTRICIDAD.H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS.H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M; selección H04Q). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
  • H04W12/02 H04 […] › H04W REDES DE COMUNICACION INALAMBRICAS.H04W 12/00 Disposiciones de seguridad, p. ej. seguridad de acceso o detección de fraude; Autenticación, p. ej. verificación de la identidad de usuario o autorización; Protección de la privacidad o el anonimato. › Protección de la privacidad o el anonimato.
Gestión de acceso a redes a través de un canal de comunicación secundario.

Fragmento de la descripción:

P201490087

Gestión de acceso a redes a través de un canal de comunicación secundario

Solicitud relacionada

La presente solicitud reclama prioridad, de acuerdo al Código Estadounidense 35, § 119 (e) , con respecto a la Solicitud de Patente Estadounidense Nº 13/599.927, presentada el 30 de agosto de 2012, y titulada "GESTIÓN DE ACCESO A REDES A TRAVÉS DE UN CANAL

SECUNDARIO DE COMUNICACIÓN", que se incorpora a la presente memoria por referencia en su totalidad.

Campo técnico

Esta revelación se refiere a la seguridad de redes y a las comunicaciones. Específicamente, esta revelación se refiere a habilitar selectivamente la comunicación sobre un primer canal de comunicación después de recibir una instrucción de habilitación a través de un segundo canal de comunicación.

Breve descripción de los dibujos

Realizaciones no limitativas y no exhaustivas de la revelación se describen en la presente memoria, con referencia a las figuras descritas a continuación.

La FIG. 1 ilustra una realización de un sistema que incluye un dispositivo electrónico inteligente (IED) que realiza las funciones de un centro de operaciones de red (NOC) , que incluye un canal primario de comunicación y un canal secundario de comunicación.

La FIG. 2 ilustra una realización de un sistema que incluye un controlador de acceso a redes, configurado para habilitar selectivamente el acceso a través de un canal primario de comunicación, al recibir una instrucción de habilitación desde un canal secundario de comunicación.

La FIG. 3 ilustra una realización de un sistema donde un operador local puede proporcionar 35 una señal habilitadora a un controlador de acceso a redes, a fin de habilitar el acceso por P201490087

parte de un operador remoto, a través de un canal primario de comunicación.

La FIG. 4A ilustra una realización de un sistema en el cual un operador remoto puede proporcionar una instrucción de habilitación a través de un canal secundario de 5 comunicación, físicamente seguro, a fin de habilitar el acceso a través de un canal primario de comunicación.

La FIG. 4B ilustra una realización de un sistema en el cual un operador local puede proporcionar una instrucción de habilitación a través de un canal secundario de comunicación, físicamente seguro, para habilitar el acceso a un operador remoto a través de un canal primario de comunicación.

La FIG. 5 ilustra un diagrama de flujo de una realización de un procedimiento para habilitar selectivamente la comunicación por un primer canal de comunicación, en respuesta a la recepción de una instrucción de habilitación a través de un segundo canal de comunicación.

La FIG. 6 ilustra un diagrama de flujo de una realización de la respuesta de un IED a comunicaciones recibidas a través de canales de comunicación primero y segundo, según el estado del primer canal de comunicación.

En la siguiente descripción, se proporcionan numerosos detalles específicos, para una comprensión exhaustiva de las diversas realizaciones reveladas en la presente memoria. Los sistemas y procedimientos revelados en la presente memoria pueden ser puestos en práctica sin uno o más de los detalles específicos, o con otros procedimientos, componentes, materiales, etc. Además, en algunos casos, estructuras, materiales u operaciones bien conocidos pueden no ser mostrados o descritos en detalle, a fin de evitar oscurecer aspectos de la revelación. Además, los rasgos, estructuras o características descritos pueden ser combinados de cualquier manera adecuada en una o más realizaciones alternativas.

Descripción detallada

Los dispositivos electrónicos inteligentes (IED) pueden ser usados para monitorizar, proteger y / o controlar equipos industriales y utilitarios, tal como en un sistema de suministro de energía eléctrica. Por ejemplo, un IED, tal como un controlador lógico programable (PLC) , un relé protector, un controlador de automatización en tiempo real (RTAC) o similares, puede P201490087

monitorizar, proteger y / o controlar diversos componentes dentro de un sistema industrial o utilitario, tal como un sistema de suministro de energía (que puede incluir, por ejemplo, la generación, transmisión, distribución y / o consumo de energía eléctrica) . Los IED pueden ser monitorizados, controlados y / o gestionados usando uno cualquiera entre una amplia 5 variedad de procedimientos de comunicación. Por ejemplo, los IED pueden incluir canales de comunicación que utilizan conexiones de Ethernet o en serie, y pueden implementar uno cualquiera entre una amplia variedad de protocolos de comunicación y medidas de seguridad. Los sistemas y procedimientos revelados en la presente memoria pueden ser implementados en pasarelas, cortafuegos y otros dispositivos de red configurados para implementar modernos paradigmas de control de acceso entre una amplia variedad de dispositivos en red.

Aunque diversas realizaciones y descripciones en la presente memoria se refieren a un sistema de suministro de energía, los principios y aplicaciones descritos en la presente 15 memoria son aplicables a diversos tipos de sistemas industriales, utilitarios u otros sistemas informáticos.

En una realización, un primer IED puede estar conectado con un segundo IED a través de un canal primario de comunicación que es relativamente menos seguro. La inhabilitación del 20 canal primario de comunicación puede reducir el acceso no autorizado al segundo IED. Por supuesto, esto impide la comunicación desde el primer IED al segundo IED a través del canal primario de comunicación. En diversas realizaciones, el canal primario de comunicación puede ser habilitado selectivamente y / o temporalmente, transmitiendo una instrucción de habilitación a través de un canal secundario de comunicación. El canal secundario de comunicación puede ser relativamente seguro. En algunas realizaciones, el canal secundario de comunicación también puede conectar los IED primeros y segundos. En consecuencia, el primer IED puede transmitir una instrucción de habilitación al segundo IED a fin de habilitar temporalmente la comunicación a través del canal primario de comunicación entre los IED primero y segundo.

Alternativamente, el canal secundario de comunicación puede conectar el segundo IED con un tercer IED. En una realización de ese tipo, cuando el tercer IED transmite una instrucción de habilitación al segundo IED a través del canal secundario de comunicación, el segundo IED puede habilitar el canal primario de comunicación, permitiendo al primer IED

comunicarse con el segundo IED.

P201490087

En una realización, el canal primario de comunicación puede utilizar una conexión de red de área amplia, públicamente accesible, tal como a través de Ethernet, mientras que el canal secundario de comunicación puede utilizar una conexión en serie privada, más segura, tal 5 como en una red de control supervisor y adquisición de datos (SCADA) . En otras realizaciones, el canal primario de comunicación y el canal secundario de comunicación pueden utilizar las mismas conexiones físicas o los mismos tipos de conexión física, pero implementar distintos protocolos de comunicación, medidas de seguridad, algoritmos de detección de errores, corrección de errores y transmisión y / u otras variaciones de comunicación.

De acuerdo a diversas realizaciones, un IED puede realizar una función de monitorización, control y / o protección, a través de una primera red privada. Por ejemplo, el IED puede ser parte de una red óptica síncrona (SONET) o una red de jerarquía digital síncrona (SDH) . El IED puede ser gestionado y / o controlado a través de la red SONET o SDH o, alternativamente, el IED puede ser gestionado y / o controlado a través de una conexión de red por separado. Por ejemplo, un controlador de acceso en comunicación con el IED puede habilitar un operador local o remoto para configurar valores paramétricos dentro del IED, a través de una conexión de red en serie o en paralelo, tal como una conexión de Ethernet.

Un IED, a través del controlador de acceso, potencialmente puede incluir una conexión primaria de red y una conexión secundaria de red. En algunas realizaciones, la conexión primaria de red puede ser habilitada e inhabilitada selectivamente, a través de instrucciones de habilitación proporcionadas a través de la conexión secundaria de red. La conexión primaria de red puede proporcionar una conexión de ancho de banda relativamente alto, pero ser relativamente menos segura. La conexión secundaria de red puede ser relativamente segura (físicamente o virtualmente) , pero tener un ancho de banda relativamente limitado....

 


Reivindicaciones:

1. Un procedimiento para habilitar la comunicación en red con un dispositivo electrónico inteligente (IED) , que comprende:

inhabilitar la comunicación, a través de un primer canal de comunicación, con el IED, para impedir la comunicación a través del primer canal de comunicación;

habilitar la comunicación, a través de un segundo canal de comunicación, con el IED;

en el cual el primer canal de comunicación y el segundo canal de comunicación son canales de comunicación físicamente distintos, en el cual el segundo canal de comunicación es un canal de comunicación privado que es 15 físicamente seguro;

recibir una instrucción de habilitación a través del segundo canal de comunicación, privado y físicamente seguro, proporcionando la instrucción de habilitación una instrucción para activar el primer canal de comunicación;

habilitar la comunicación, a través del primer canal de comunicación, con el IED en respuesta a la instrucción de habilitación; y recibir la comunicación a través del primer canal de comunicación.

2. El procedimiento de la reivindicación 1, que comprende adicionalmente la inhabilitación, por el dispositivo electrónico inteligente, de la comunicación a través del primer canal de comunicación, en respuesta a un suceso de inhabilitación.

3. El procedimiento de la reivindicación 1, en el cual el primer canal de comunicación utiliza un primer protocolo de comunicación y el segundo canal de comunicación utiliza un segundo protocolo de comunicación.

4. El procedimiento de la reivindicación 1, en el cual el primer canal de comunicación utiliza 35 un primer tipo de enlace físico de red y el segundo canal de comunicación utiliza un segundo

tipo de enlace físico de red.

5. El procedimiento de la reivindicación 1, en el cual el primer canal de comunicación se comunica a través de una primera red de comunicación y el segundo canal de comunicación 5 se comunica a través de una segunda red de comunicación independiente.

6. El procedimiento de la reivindicación 1, en el cual el segundo canal de comunicación comprende una entrada de contacto.

7. El procedimiento de la reivindicación 1, en el cual el segundo canal de comunicación comprende un enlace de Ethernet.

8. El procedimiento de la reivindicación 1, en el cual el segundo canal de comunicación comprende un puerto en serie.

9. El procedimiento de la reivindicación 1, en el cual el primer canal de comunicación comprende una red inalámbrica.

10. El procedimiento de la reivindicación 9, en el cual la red inalámbrica comprende una red 20 celular.

11. El procedimiento de la reivindicación 1, en el cual la instrucción de habilitación comprende una etiqueta de control supervisor y de adquisición de datos.

12. El procedimiento de la reivindicación 1, en el cual la instrucción de habilitación comprende una alternancia de una entrada de contacto.

13. El procedimiento de la reivindicación 1, en el cual el primer canal de comunicación comprende un canal de comunicación de red, accesible a través de una red de área amplia (WAN) , y el segundo canal de comunicación comprende un canal de comunicación de red accesible a través de una red segura.

14. El procedimiento de la reivindicación 2, en el cual el suceso de inhabilitación comprende una instrucción de inhabilitación recibida a través de uno entre el segundo canal de 35 comunicación y el primer canal de comunicación.

15. El procedimiento de la reivindicación 2, en el cual el suceso de inhabilitación comprende una expiración de un límite temporal.

16. El procedimiento de la reivindicación 1, en el cual la etapa de habilitación de la comunicación a través del primer canal de comunicación comprende adicionalmente el cifrado de la comunicación a través del primer canal de comunicación.

17. Un sistema para gestionar la comunicación de redes con un dispositivo electrónico 10 inteligente (IED) , que comprende:

un primer canal de comunicación, configurado para facilitar la comunicación de redes con el IED, estando el primer canal de comunicación configurado para ser habilitado e inhabilitado selectivamente, en el cual el primer canal de comunicación está impedido para comunicarse cuando está inhabilitado;

un segundo canal de comunicación para recibir una instrucción de habilitación, proporcionando la instrucción de habilitación una instrucción para activar la comunicación de redes a través del primer canal de comunicación;

en el cual el segundo canal de comunicación es un canal de comunicación privado que es físicamente seguro; y un módulo de acceso, configurado para habilitar la comunicación de redes a través del primer canal de comunicación, en respuesta a la recepción de la instrucción de habilitación a través del segundo canal de comunicación, privado y físicamente seguro, en el cual el primer canal de comunicación y el segundo canal de comunicación son canales de comunicación físicamente distintos.

18. El sistema de la reivindicación 17, en el cual el primer canal de comunicación utiliza un primer protocolo de comunicación y el segundo canal de comunicación utiliza un segundo protocolo de comunicación.

19. El sistema de la reivindicación 17, en el cual el primer canal de comunicación utiliza un

primer tipo de enlace físico de red y el segundo canal de comunicación utiliza un segundo tipo de enlace físico de red.

20. El sistema de la reivindicación 17, en el cual el primer canal de comunicación se comunica a través de una primera red de comunicación y el segundo canal de comunicación se comunica a través de una segunda red de comunicación independiente.

21. El sistema de la reivindicación 17, comprende una entrada de contacto. 22. El sistema de la reivindicación 17, comprende un enlace de Ethernet. en en

23. El sistema de la reivindicación 17, comprende un puerto en serie. en

el cual el segundo canal de comunicación el cual el segundo canal de comunicación el cual el segundo canal de comunicación 24. El sistema de la reivindicación 17, en el cual el primer canal de comunicación comprende una red inalámbrica.

25. El sistema de la reivindicación 24, en el cual la red inalámbrica comprende una red celular.

26. El sistema de la reivindicación 17, en el cual la instrucción de habilitación comprende una etiqueta de control supervisor y de adquisición de datos. 25

27. El sistema de la reivindicación 17, en el cual la instrucción de habilitación comprende una alternancia de una entrada de contacto.

28. El sistema de la reivindicación 17, en el cual el primer canal de comunicación comprende

un canal de comunicación de redes, accesible a través de una red de área amplia (WAN) , y el segundo canal de comunicación comprende un canal de comunicación de redes, accesible a través de una red segura.

29. El sistema de la reivindicación 17, en el cual el módulo de acceso está configurado para 35 inhabilitar la comunicación de redes a través del primer canal de comunicación, en respuesta

a un suceso de inhabilitación.

30. El sistema de la reivindicación 29, en el cual el suceso de inhabilitación comprende una instrucción de inhabilitación recibida a través de uno entre el segundo canal de comunicación 5 y el primer canal de comunicación.

31. El sistema de la reivindicación 29, en el cual el suceso de inhabilitación comprende una expiración de un límite temporal.

32. El sistema de la reivindicación 17, en el cual el primer canal de comunicación está adicionalmente configurado para proporcionar comunicaciones cifradas con el IED.

33. Un medio legible por ordenador, no transitorio, con instrucciones codificadas en el mismo que, cuando son ejecutadas por un procesador, están configuradas para hacer que el 15 procesador realice operaciones, comprendiendo las operaciones:

inhabilitar la comunicación a través de un primer canal de comunicación con un IED, para impedir la comunicación a través del primer canal de comunicación;

habilitar la comunicación a través de un segundo canal de comunicación con el IED, en el cual el primer canal de comunicación y el segundo canal de comunicación son canales de comunicación físicamente distintos, en el cual el segundo canal de comunicación es un canal de comunicación privado que es físicamente seguro;

recibir una instrucción de habilitación a través del segundo canal de comunicación, privado y físicamente seguro, proporcionando la instrucción de habilitación una instrucción para activar 30 la comunicación, a través del primer canal de comunicación;

habilitar la comunicación, a través del primer canal de comunicación, con el IED, en respuesta a la instrucción de habilitación;

recibir la comunicación a través del primer canal de comunicación; e

inhabilitar la comunicación a través del primer canal de comunicación, en respuesta a un suceso predefinido.


 

Patentes similares o relacionadas:

Procedimiento, sistema y dispositivo de transmisión de datos de juego, del 30 de Mayo de 2019, de TENCENT TECHNOLOGY (SHENZHEN) COMPANY LIMITED: Un procedimiento de transmisión de datos de juego, que comprende: adquirir por un cliente al iniciar sesión en un servidor , una clave de sesión […]

Protección de procedimientos de inicio de sesión, del 29 de Mayo de 2019, de SIEMENS AKTIENGESELLSCHAFT: Método para el inicio de sesión de un usuario en un proveedor de servicio, comprendiendo el método: - transferir un primer valor económico […]

Sistema de ciberseguridad, del 29 de Mayo de 2019, de Ironnet Cybersecurity, Inc: Un sistema de ciberseguridad para procesar eventos para producir puntajes, alertas y acciones de mitigación, el sistema que comprende: una pluralidad de […]

Método y aparato de descubrimiento automatizado en una red de comunicaciones, del 29 de Mayo de 2019, de ALCATEL LUCENT: Un método a realizar por una entidad de red , que comprende: recibir de un servidor un identificador de una entidad cliente […]

Procedimiento de seguridad en la red y de detección de fraude, del 28 de Mayo de 2019, de Iovation, Inc: Un procedimiento implementado por ordenador para detectar fraude durante una conexión de un dispositivo de red no registrado a un proveedor de servicios de red […]

Procedimiento para leer atributos desde un código de identidad-ID, del 27 de Mayo de 2019, de BUNDESDRUCKEREI GMBH: Procedimiento para la lectura de al menos un atributo almacenado en un código de identidad-ID (106, 106'), en el que el código de identidad-ID está asociado […]

Método y dispositivo de terminal móvil que incluye módulo de tarjeta inteligente y medios de comunicaciones de campo cercano, del 27 de Mayo de 2019, de Nokia Technologies OY: Método para controlar un dispositivo de terminal móvil, comprendiendo dicho dispositivo un módulo de tarjeta inteligente y un módulo de comunicación […]

Capacidades de máquina a máquina en redes de comunicaciones móviles, del 27 de Mayo de 2019, de Nokia Solutions and Networks Oy: Un método para realizar comunicación de tipo máquina, que comprende establecer (S61) una conexión para obtener servicios relacionados con […]

Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .