CN102859968B - 用于操作、观察和/或配置技术设备的自动化系统的方法 - Google Patents
用于操作、观察和/或配置技术设备的自动化系统的方法 Download PDFInfo
- Publication number
- CN102859968B CN102859968B CN201180005950.8A CN201180005950A CN102859968B CN 102859968 B CN102859968 B CN 102859968B CN 201180005950 A CN201180005950 A CN 201180005950A CN 102859968 B CN102859968 B CN 102859968B
- Authority
- CN
- China
- Prior art keywords
- software
- network address
- network
- public network
- automated system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000012544 monitoring process Methods 0.000 title abstract 3
- 238000004891 communication Methods 0.000 claims abstract description 46
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 claims 1
- 238000004590 computer program Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003449 preventive effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000004171 remote diagnosis Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4183—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by data acquisition, e.g. workpiece identification
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/34—Signalling channels for network management communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31104—Remote configuration of parameters of controlled devices
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31186—TCP-IP internet protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5038—Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/80—Management or planning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Manufacturing & Machinery (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Selective Calling Equipment (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种用于由远离的装置(10)对技术设备的自动化系统进行操作、观察和/或配置的方法,其中,控制软件(13)确保操作-和观察软件(11)和/或配置软件(12)的对于通过公共网络(20)进行通信的相关软件流程被终止。在建立从装置(10)经过公共网络(20)进入自动化系统(3)的安全通信连接(6)之后,为远离的装置(10)中的通信连接(6)的终端点(14)分配一个网络地址,并且启动操作-和观察软件(11)和/或配置软件(12)的对于通过公共网络(20)进行通信的相关软件流程。由操作-和观察软件(11)和/或配置软件(12)发送的用于操作、观察和/或用于配置自动化系统(3)的数据包被控制软件(13)转发到该网络地址。
Description
技术领域
本发明涉及一种根据权利要求1的前序部分所述的、用于操作、观察和/或配置技术设备的自动化系统的方法。本发明还涉及一种根据权利要求8所述的、用于实施该方法的控制软件和一种根据权利要求10所述的、具有这种控制软件的计算机程序产品。
背景技术
为了操作、观察和/或配置技术设备的自动化系统(例如工业生产设备、发电厂、单件货物运输-与分配设备或者大型建筑物中的建筑技术设备),已经公知各种软件解决方案。
J.Lopez等人:“Secure M2M communication with JMC conciliator”,Research Disclosure,Kenneth Mason Publications,Hampshire,GB,Bd.547,Nr.29,S.1153,2009年11月1日,公开了用于将客户端与远离的主机相连接的一种系统和一种方法。在此,加密地通过非军事区传输数据。
非常著名的软件解决方案的例子有申请人的名为“WinCC”的操作-和观察软件和名为“Step7”的规划-或配置软件。这些能够在个人计算机(PC)上运行的软件解决方案例如安装在工程站上(也就是说用于规划自动化系统的个人计算机站点),它连接在设备的非公共的内部数据网络上(例如工业以太网),技术设备的自动化系统也与之相连。工程站在此为了与网络通信而具有第一网络地址,该第一网络地址可以由操作-和观察软件和/或配置软件进行寻址,以用于通过网络向自动化系统发送数据。通过一体化网络并且受限制的能访问该网络的工作人员圈子确保高度的IT安全性(IT-Security)和运行安全性(Safety)。
在该软件解决方案的帮助下,也能够通过本身是公共的并且因此不安全的网络、例如互联网,对自动化系统和由它控制的设备进行远程服务,例如远程支持(Remote Support)、远程控制(Remote Control)以及远程预防性维护(Remote Preventive Maintenance)。于是,这种用于操作、观察和/或配置自动化系统的装置就位于远离这些设备的地方。然而,在远程访问设备的自动化系统时,必须确保设备的IT安全性和运行安全性。
在第一种已知的可能性中,操作-和观察软件和/或配置软件安装在远离的装置上,并且与自动化系统的远程连接是利用添加的调制连接器和二层桥接连接实现的。这种解决方案是以当今对IT安全性和运行安全性的要求为基础的,不再是现有技术,特别是在工业领域中。
另一个可能性在于,将操作-和观察软件和/或配置软件安装在设备中的个人计算机站上,例如工程站,它和自动化系统一样位于相同的设备内部的非公共的数据网络中,并且远离设备的装置借助终端对话来远程控制个人计算机站和安装在其上的软件。远离的装置在此通过公共网络借助加密的点对点连接(例如VPN隧道)与个人计算机站相连接。这种方法的安全性通过一体化非公共的设备内部的数据网络和加密点对点连接得以确保。然而,这经常会导致为终端对话程序支出更多花费。此外,并不是在自动化系统的所有范围内都存在个人计算机。
为了能灵活地从不同的远离设备的地点临时可靠地建立起通过公共网络(如互联网)与技术设备的自动化系统的连接,已经已知的是中央的且安全的通信平台,例如申请人的名为“cRSP”的平台(普通远程服务平台)。与简单的点对点连接不同的是,借助这种平台能够从各个网络接口出发与自动化系统构建起安全的连接。
发明内容
以此为出发点,本发明的目的是,为根据权利要求1的前序部分所述的远离设备的装置提供一种安全的方法,用于通过公共的并且因此不安全的网络对技术设备的自动化系统进行操作、观察和/或配置。此外,本发明的目的是,提供一种用于执行这种方法的控制软件以及一种具有这种软件的计算机程序产品。
针对这种方法的目的是通过一种根据权利要求1所述的方法得以实现的。这种方法至少设计了以下步骤:
a)控制软件确保操作-和观察软件和/或配置软件的对于通过公共网络进行通信的相关软件流程被终止,
b)远离的装置建立从装置中的第一个终端点通过公共网络到自动化系统中的第二个终端点的安全的通信连接,
c)在远离的装置中,为第一个终端点分配第二个网络地址,其中,第二个网络地址与第一个网络地址不同,
d)启动操作-和观察软件和/或配置软件的对于通过公共网络进行通信的相关软件流程,
e)操作-和观察软件和/或配置软件发送数据包给第一个网络地址,用于操作、观察和/或配置自动化系统,
f)控制软件将发送到第一个网络地址的数据包转发到第二个网络地址。
其中,本发明一方面以以下认识为基础,即,由惯用的操作-和观察软件和/或配置软件经常封锁在所发送数据包中的数据区域(在TCP协议的背景中被称为“端口(ports)”),然而这些区域对于通过公共网络、特别是通过安全的通信平台进行安全的连接是必要的。为了通过控制软件在第一个步骤中确保操作-和观察软件和/或配置软件的对于通过不安全的网络进行通信的相关流程被终止,这些数据区域(端口)被自由开放。然后就能够优选地通过安全的通信平台与这些自由开放的数据区域(端口)建立安全的通信连接。然后才优选地同样通过控制软件来启动操作-和观察软件和/或配置软件的对于通过公共网络进行通信的相关软件流程。这也可以包括启动全部的操作-和观察软件和/或全部的配置软件。然而,在建立连接后,在远离的装置中为第一个终端点产生的第二个网络地址(在互联网的情况下优选地是所谓的“回送IP地址”)不同于第一个网络地址,并且因此经常对于操作-和观察软件和/或配置软件不能够为了将数据通过公共网络发送给自动化系统而被寻址。因此,由操作-和观察软件和/或配置软件发送到第一个网络地址的、用于操作、观察和/或配置自动化系统的数据包由控制软件转发到第二个网络地址,并且因此转入与自动化系统的安全的通信连接中。于是,控制软件不仅控制由操作-和观察软件和/或配置软件生成的数据包中的数据区域(端口)的占据情况,还控制这些数据包进入安全的通信连接中的路径。由此就能够通过公共网络对自动化系统进行安全的操作、观察和/或配置。
通常来说,由操作-和观察软件和/或配置软件发送的、用于识别收件人的数据包里包含第一个网络地址。然后就能够通过以下方法特别简单地实现由控制软件转发数据包,即,控制软件在数据包中用第二个网络地址替换第一个网络地址。
如果在建立起安全连接之前已经启动了操作-和观察软件和/或配置软件,那么优选地通过控制软件在步骤a)中使得操作-和观察软件和/或配置软件的对于通过不安全的网络进行通信的相关的软件流程被终止。
根据一种特别有利的设计方案,其中,这种安全的通信连接借助于安全的通信平台运行(),这个通信平台与公共网络相连接。由此能够由网络的各个接口在设备中建立安全的连接。
为了进一步提高安全性,在安全的通信平台上有利地实现数据镜像。
优选地,这种安全的通信连接是一种隧道连接,也就是说一种连接,其中,实现对通信伙伴的识别和认证,并且其中,通过数据加密确保数据的保密性(也就是说,第三者无法获取数据)以及数据的完整性(也就是说,第三方无法修改数据)。这种隧道连接例如可以通过互联网经由VPN(虚拟私人网络)连接实现,这种连接使用一种互联网安全协议、例如IPsec(互联网协议安全)。
该目的还进一步通过一种根据权利要求9所述的控制软件和一种根据权利要求10所述的具有这种控制软件的计算机程序产品得以实现。
附图说明
下面借助附图中的一个实施例详尽阐述本发明以及本发明的有利的设计方案。
具体实施方式
图中示出技术设备1(例如工业生产设备、发电机、单件货物运输-与分配设备或者大型建筑物中的建筑技术设备),该技术设备具有用于该设备的自动化系统2。自动化系统2例如包括多个自动化设备3,它们通过设备内部的、也就是非公共的网络4相互处于数据交换状态,并且与接入路由器5处于数据交换状态。
远离设备1的装置10、例如工程站,具有用于操作并观察自动化系统2的操作-和观察软件11、用于该自动化系统的配置软件12(例如作为规划软件的组成部分)以及根据本发明的控制软件13。借助操作-和观察软件11例如能够进行远程观察、远程诊断、远程控制或预防性远程维护。借助配置软件12例如能够对自动化设备3的软件进行修改(例如参数修改、功能性修改、自动化设备3之间的数据通信的修改)。
为此,装置10通过互联网20(也就是说公共网络)和设备内部的接入路由器5访问自动化系统3。装置10为了与互联网20进行通信而具有第一个IP地址,能够通过操作-和观察软件11和/或配置软件12为了通过互联网20向自动化系统3发送数据而对该地址进行寻址。
如果装置10的操作者想要对自动化系统2进行操作、观察和/或配置,那么他首先(例如通过浏览器)启动控制软件13。由控制软件13在第一个步骤中确保操作-和观察软件11和/或配置软件12的对于通过互联网20进行通信的相关的软件流程终止。只要该流程已经启动,它就由控制软件20终止。作为只终止个别程序的代替,能够由控制软件还同时终止全部的操作-和观察软件11和/或配置软件12。
紧接着,在第二个步骤中由控制软件20建立从装置10通过互联网20到自动化系统3的隧道连接形式的安全的通信连接6。其中,该隧道连接借助于安全的通信平台21运行,例如申请人的名称为“cRSP”的平台(普通远程服务平台)。
为了确保通过该通信连接6实现的通信的保密性、可靠性和完整性,优选地使用IPSec协议。因此,在装置10中有一个IPSec终端点14,并且在接入路由器5中,在设备1一方有一个IPSec终端点15。为了交换密钥信息,可以使用互联网安全关联和密钥管理协议(ISAKMP)。
安全的通信平台21包括接入服务器22和数据服务器23。它位于非军事区24中。其中,通信连接6在安全的通信平台21中不是被“接通”的,而是在接入服务器22中通过“反向代理”(“Reverse-Proxy”)功能被中断。从设备1出发通过接入路由器5或者由装置10创建的连接在接入服务器22中被中止。在此所传输的数据被储存在数据服务器23中。然后,接入服务器22就建立起与装置10以及与设备1的另一个连接,并且藉此传输储存在数据服务器23中的数据。
于是,到来的通信便在安全的通信平台21中被“镜像(gespiegelt)”。仅在接入路由器5上成功地进行认证和授权之后才实现所述的镜像并且建立起到设备1以及装置10的连接,其中,为此必须的连接信息和密码被安全地传输。
这种构造方式能提供可靠的保护,不让装置10未经授权就访问设备1并且反之亦然,保护不受到来自互联网20的访问、不让装置10传输病毒和类似的有害程序给设备1并且反之亦然、以及保护不滥用保密的访问数据。
接入路由器5检查对远程服务提供商访问设备1的授权情况。如果已授权,他发送给装置10一个临时密码以用于访问接入服务器22。装置10将访问数据和临时密码导入接入服务器22。装置10通过提供设备的密码在接入服务器22中申请访问设备1。接入服务器22将这个密码与接入路由器5获取的密码进行比较,并且在发现一致的情况下在设备1中建立通信连接6。
由于在第一个步骤中实现了终止操作-和观察软件11和/或配置软件12的对于通过互联网进行通信的相关的软件流程,所以确保了没有任何为了通过安全的通信平台21进行通信所需的端口被占据。
在装置10中,现在为第一个IPSec终端点14分配了第二个IP地址,优选地是回送IP地址,其中,该第二个IP地址不同于第一个IP地址。这例如是通过浏览器实现的,操作者通过该浏览器启动控制软件13,并且因此建立安全的通信连接6。该浏览器搜索自由的回送IP地址,并且将其分配给第一个IPSec终端点14。
在第四个步骤中,或者由操作者手动或者由控制软件13自动启动操作-和观察软件11和/或配置软件12的对于通过互联网20进行通信的相关的软件流程。然而,该流程在此却未获得对为了通过安全的通信平台21进行通信所需端口的独占权。
从现在开始,在第五个步骤中,操作-和观察软件11和/或配置软件12能够将用于操作、观察和/或用于配置自动化系统3的数据包发动给第一个IP地址。数据包为了寻址包含该第一个IP地址。对于自动化系统的操作-和观察软件11和/或配置软件12来说,将数据包直接发送到第二个IP地址通常是不可能的,这是因为它们大多数情况下不能与回送IP地址进行通信。因此,控制软件13将发送给第一个IP地址的数据包转发到第二个IP地址,其中,它在数据包中用第二个IP地址替换第一个IP地址。于是,这些数据包被导入安全的通信连接6中。由此能够通过互联网20对自动化系统3安全地进行操作、观察和/或配置。
Claims (9)
1.一种用于由远离技术设备的装置(10)通过安全的通信连接经由公共网络(20)对所述技术设备(1)的自动化系统(3)进行操作、观察和/或配置的方法,其中,所述远离技术设备的装置(10)具有用于所述自动化系统(3)的操作观察软件(11)和/或配置软件(12),并且为了与所述公共网络(20)进行通信而具有第一个网络地址,并且其中,能够由所述操作观察软件(11)和/或所述配置软件(12)为了通过所述公共网络(20)向所述自动化系统(3)发送数据而对所述第一个网络地址进行寻址,
其特征至少在于以下步骤:
a)控制软件(13)确保涉及经由所述公共网络(20)通信的所述操作观察软件(11)和/或所述配置软件(12)的软件流程被终止,
b)所述远离技术设备的装置(10)建立从所述装置中的第一个终端点(14)通过所述公共网络(20)到所述自动化系统(3)中的第二个终端点(15)的安全的通信连接,
c)在所述远离技术设备的装置(10)中,为所述第一个终端点(14)分配第二个网络地址,其中,所述第二个网络地址与所述第一个网络地址不同,
d)启动所述操作观察软件(11)和/或所述配置软件(12)的对于通过所述公共网络(20)进行通信的相关软件流程,
e)所述操作观察软件(11)和/或所述配置软件(12)发送数据包给所述第一个网络地址,用于操作、观察和/或配置所述自动化系统(3),
f)所述控制软件(13)将发送到所述第一个网络地址的所述数据包转发到所述第二个网络地址。
2.根据权利要求1所述的方法,其特征在于,由所述操作观察软件(11)和/或所述配置软件(12)产生的、用于识别收件人的数据包包含所述第一个网络地址,并且为了在步骤f)中转发所述数据包,在所述数据包中用所述第二个网络地址替换所述第一个网络地址。
3.根据权利要求1或2所述的方法,其特征在于,所述公共网络(20)是互联网,并且所述网络地址是IP地址。
4.根据权利要求3所述的方法,其特征在于,所述第二个网络地址是所述装置(10)的回送IP地址。
5.根据权利要求1或2所述的方法,其特征在于,所述安全的通信连接(6)借助于安全的通信平台(21)运行,所述安全的通信平台与所述公共网络(20)相连接。
6.根据权利要求4所述的方法,其特征在于,所述安全的通信连接(6)借助于安全的通信平台(21)运行,所述安全的通信平台与所述公共网络(20)相连接。
7.根据权利要求5所述的方法,其特征在于,在所述安全的通信平台(21)上实现数据镜像。
8.根据权利要求6所述的方法,其特征在于,在所述安全的通信平台(21)上实现数据镜像。
9.根据权利要求1或2所述的方法,其特征在于,所述安全的通信连接(6)是隧道连接。
10.根据权利要求8所述的方法,其特征在于,所述安全的通信连接(6)是隧道连接。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102010000849.4 | 2010-01-13 | ||
DE102010000849A DE102010000849A1 (de) | 2010-01-13 | 2010-01-13 | Verfahren zur Bedienung, Beobachtung und/oder Konfiguration eines Automatisierungssystems einer technischen Anlage |
PCT/EP2011/050307 WO2011086083A2 (de) | 2010-01-13 | 2011-01-12 | Verfahren zur bedienung, beobachtung und/oder konfiguration eines automatisierungssystems einer technischen anlage |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102859968A CN102859968A (zh) | 2013-01-02 |
CN102859968B true CN102859968B (zh) | 2015-06-24 |
Family
ID=44304721
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180005950.8A Active CN102859968B (zh) | 2010-01-13 | 2011-01-12 | 用于操作、观察和/或配置技术设备的自动化系统的方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9088429B2 (zh) |
EP (1) | EP2524488B1 (zh) |
CN (1) | CN102859968B (zh) |
BR (1) | BR112012017305B1 (zh) |
DE (1) | DE102010000849A1 (zh) |
WO (1) | WO2011086083A2 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102010000824A1 (de) | 2010-01-12 | 2011-07-14 | Siemens Aktiengesellschaft, 80333 | System zur Durchführung von Ferndienstleistungen für eine technische Anlage |
DE102010000849A1 (de) | 2010-01-13 | 2011-07-14 | Siemens Aktiengesellschaft, 80333 | Verfahren zur Bedienung, Beobachtung und/oder Konfiguration eines Automatisierungssystems einer technischen Anlage |
SG2012070017A (en) * | 2012-09-20 | 2014-04-28 | Rockwell Automation Asia Pacific Business Ctr Pte Ltd | Systems, methods, and software for presenting parameter set(s) for industrial automation devices |
WO2016155857A1 (en) | 2015-03-27 | 2016-10-06 | Bühler AG | Adaptive cross plant control and steering system, and corresponding method thereof |
EP3422657A1 (de) * | 2017-06-26 | 2019-01-02 | Siemens Aktiengesellschaft | Verfahren und sicherheits-steuerungseinrichtungen zum senden und empfangen kryptographisch geschützter netzwerkpakete |
DE102018215420A1 (de) * | 2018-09-11 | 2020-03-12 | Siemens Aktiengesellschaft | Vorrichtung zum Überwachen eines Zustands einer in einem ersten Netzwerk angeordneten ersten Komponente |
US11178107B2 (en) * | 2019-09-30 | 2021-11-16 | Michael Schloss | System and method for detecting surreptitious packet rerouting |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1703047A (zh) * | 2004-05-26 | 2005-11-30 | 日本电气株式会社 | 虚拟专用网系统、通信终端以及相应的远程访问通信方法 |
CN101022359A (zh) * | 2006-03-15 | 2007-08-22 | 飞塔信息科技(北京)有限公司 | 用于配置管理通道的计算机化的系统与方法 |
US7389534B1 (en) * | 2003-06-27 | 2008-06-17 | Nortel Networks Ltd | Method and apparatus for establishing virtual private network tunnels in a wireless network |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19627464A1 (de) * | 1996-07-08 | 1998-01-15 | Siemens Ag | Prozeßautomatisierungssystem |
DE19715503A1 (de) * | 1997-04-14 | 1998-10-15 | Siemens Ag | Integriertes Rechner- und Kommunikationssystem für den Anlagenbereich |
US7162510B2 (en) * | 1998-03-16 | 2007-01-09 | Schneider Automation Inc. | Communication system for a control system over Ethernet and IP networks |
US20020007348A1 (en) * | 2000-01-28 | 2002-01-17 | Ali Mohamed Ahmed | System and method for performing engineering design |
US20060089977A1 (en) | 2001-06-15 | 2006-04-27 | Spencer Cramer | System and method for providing virtual online engineering of a production environment |
US7447901B1 (en) | 2002-06-25 | 2008-11-04 | Cisco Technology, Inc. | Method and apparatus for establishing a dynamic multipoint encrypted virtual private network |
US8942375B2 (en) | 2002-09-17 | 2015-01-27 | Broadcom Corporation | Method and system for providing multiple encryption in a multi-band multi-protocol hybrid wired/wireless network |
DE10305637A1 (de) * | 2003-02-11 | 2004-08-26 | Siemens Ag | Verfahren zur Projektierung eines elektrischen Systems |
DE10331309A1 (de) | 2003-07-10 | 2005-02-10 | Siemens Ag | Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs |
FR2862299B1 (fr) * | 2003-11-14 | 2005-12-30 | Inst Francais Du Petrole | Zeolithe de type structural euo contenant le structurant alkylquinuclidinium, procede de preparation et utilisation en tant que catalyseur |
US7530113B2 (en) * | 2004-07-29 | 2009-05-05 | Rockwell Automation Technologies, Inc. | Security system and method for an industrial automation system |
US7310669B2 (en) | 2005-01-19 | 2007-12-18 | Lockdown Networks, Inc. | Network appliance for vulnerability assessment auditing over multiple networks |
US7685316B2 (en) | 2005-06-16 | 2010-03-23 | Cisco Technology, Inc. | System and method for coordinated network configuration |
CN1909501A (zh) | 2005-08-05 | 2007-02-07 | 华为技术有限公司 | 一种端到端业务快速收敛的方法和路由设备 |
EP1963984A4 (en) | 2005-12-15 | 2013-07-24 | Barclays Capital Inc | SYSTEM AND METHOD FOR SECURE ACCESS TO A REMOTE OFFICE |
US7742833B1 (en) * | 2006-09-28 | 2010-06-22 | Rockwell Automation Technologies, Inc. | Auto discovery of embedded historians in network |
US7864762B2 (en) | 2007-02-14 | 2011-01-04 | Cipheroptics, Inc. | Ethernet encryption over resilient virtual private LAN services |
JP4957660B2 (ja) | 2008-06-20 | 2012-06-20 | 富士通株式会社 | ラベルスイッチングネットワークにおける通信装置 |
US7860944B2 (en) * | 2008-09-30 | 2010-12-28 | Rockwell Automation Technologies, Inc. | Aggregation server with information visualization panel subscription model |
DE102010000824A1 (de) | 2010-01-12 | 2011-07-14 | Siemens Aktiengesellschaft, 80333 | System zur Durchführung von Ferndienstleistungen für eine technische Anlage |
DE102010000849A1 (de) | 2010-01-13 | 2011-07-14 | Siemens Aktiengesellschaft, 80333 | Verfahren zur Bedienung, Beobachtung und/oder Konfiguration eines Automatisierungssystems einer technischen Anlage |
-
2010
- 2010-01-13 DE DE102010000849A patent/DE102010000849A1/de not_active Withdrawn
-
2011
- 2011-01-12 EP EP11700405.1A patent/EP2524488B1/de active Active
- 2011-01-12 BR BR112012017305-7A patent/BR112012017305B1/pt active IP Right Grant
- 2011-01-12 WO PCT/EP2011/050307 patent/WO2011086083A2/de active Application Filing
- 2011-01-12 CN CN201180005950.8A patent/CN102859968B/zh active Active
- 2011-01-12 US US13/522,131 patent/US9088429B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7389534B1 (en) * | 2003-06-27 | 2008-06-17 | Nortel Networks Ltd | Method and apparatus for establishing virtual private network tunnels in a wireless network |
CN1703047A (zh) * | 2004-05-26 | 2005-11-30 | 日本电气株式会社 | 虚拟专用网系统、通信终端以及相应的远程访问通信方法 |
CN101022359A (zh) * | 2006-03-15 | 2007-08-22 | 飞塔信息科技(北京)有限公司 | 用于配置管理通道的计算机化的系统与方法 |
Non-Patent Citations (1)
Title |
---|
Secure M2M communication with JMC conciliator;José Lopez;《RESEARCH DISCLOSURE,MASON PUBLICATIONS》;20091101;第547卷(第29期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
BR112012017305A2 (pt) | 2016-04-19 |
EP2524488B1 (de) | 2014-03-05 |
BR112012017305B1 (pt) | 2022-05-31 |
US9088429B2 (en) | 2015-07-21 |
EP2524488A2 (de) | 2012-11-21 |
CN102859968A (zh) | 2013-01-02 |
WO2011086083A3 (de) | 2012-04-19 |
DE102010000849A1 (de) | 2011-07-14 |
WO2011086083A2 (de) | 2011-07-21 |
US20120290105A1 (en) | 2012-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102859968B (zh) | 用于操作、观察和/或配置技术设备的自动化系统的方法 | |
CN101543005B (zh) | 安全网络体系结构 | |
US10841341B2 (en) | Policy-based configuration of internet protocol security for a virtual private network | |
US7440452B1 (en) | Automated operation and security system for virtual private networks | |
JP4928539B2 (ja) | 安全な遠隔アクセスのための装置 | |
EP1658700B1 (en) | Personal remote firewall | |
CN102209360B (zh) | 通信中继装置、通信中继方法 | |
EP3366018B1 (en) | Device for use in a network, controller, network and method | |
FI125972B (fi) | Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi | |
CN100401706C (zh) | 一种虚拟专网客户端的接入方法及系统 | |
CN102014122A (zh) | 基于双向安全认证的点对点协议的IP Camera服务系统 | |
CN112866077B (zh) | 一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质 | |
US8918859B2 (en) | Process for establishing a VPN connection between two networks | |
US20020095506A1 (en) | Relay server, communication system and facsimile system | |
CN104541489A (zh) | 用于配置电信网络的网络节点的方法、电信网络、程序及计算机程序产品 | |
CN103460669B (zh) | 用于现场设备数据通信的密码保护的方法和通信装置 | |
CN101136778A (zh) | 防火墙/vpn安全网关设备的基于vpn配置的策略 | |
US9940116B2 (en) | System for performing remote services for a technical installation | |
WO2012144134A1 (ja) | 中継サーバ及び中継通信システム | |
KR102386386B1 (ko) | 단말기의 선택적 vpn 연결 기능을 갖는 공유기 및 이를 이용한 단말기의 vpn 연결 방법 | |
US20070058654A1 (en) | Arrangement and coupling device for securing data access | |
CN113014559A (zh) | 一种报文处理方法及装置 | |
KR20060096986A (ko) | 개인 원격 방화벽 | |
Haider et al. | Virtual Privet Networks using Cisco Routers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |