CN104618341B - 用于安全的远程访问的系统和方法 - Google Patents
用于安全的远程访问的系统和方法 Download PDFInfo
- Publication number
- CN104618341B CN104618341B CN201410858234.XA CN201410858234A CN104618341B CN 104618341 B CN104618341 B CN 104618341B CN 201410858234 A CN201410858234 A CN 201410858234A CN 104618341 B CN104618341 B CN 104618341B
- Authority
- CN
- China
- Prior art keywords
- data
- field
- firewall
- central
- user computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Abstract
本发明题为用于安全的远程访问的系统和方法。本公开的实施例可以包括用于安全远程传输的系统和方法。该现场监视系统安全文件传输解决方案可以允许由位于防火墙(108)之后的现场系统(110)通过使用先前打开的连接而在端口上发送异步、并发、并行文件,从而将工作数据传输到中央监视和诊断基础设施(110)。因为通信端口通常只打开外出方向,因此,基于异步TLS隧道化处理的远程桌面协议解决方案是单向的。
Description
技术领域
本公开主要涉及通信安全,尤其涉及的是用于安全的远程访问的系统和方法。
背景技术
监视和诊断(M&D)中心可以为发电站及其他资产提供诸如服务。此类服务可以包括资产监视、事件追踪、跳闸事件报告、根本原因分类、事故停电检测、以及带有针对站点的各种建议的诊断和报告。通过分析,可以推导出原始工作数据和后期处理数据,并且不同的工程团队可以使用这些数据来执行性能及可靠性研究、保修期间支持以及工程研究和开发。
然而,庞大的现有发电站集合需要相对安全的文件传输,并且提出了新的需求。很多站点需要符合北美电力可靠性公司(NERC)或其他监管安全需求以及其他通信安全挑战。此外,这其中的很多站点只具有带宽有限的连接以及较不稳定或者在其他方面不够可靠的链路。
通常,现场监视是在发电站基础设施内部进行的。现场网络通常会受防火墙以及位于发电站边缘的代理的保护,其中所述防火墙和代理可以阻止进入连接,由此迫使现场监视不可路由。而且,防火墙通常还会阻塞所有标准的双向TCP/HTTP通信端口,从而确保系统安全性。另外,为了向执行监视和诊断的用户提供远程访问现场监视处理以及执行某些管理和营运任务的能力,同样需要安全的远程访问。
当前的通信通常需要基于双向通信端口的方案,并且当前的数据传输技术通常无法适当处理拨号或低带宽网络拓扑结构(例如大量的等待时间,压力状况下的带宽管理)。此外也没有提供单向的通用文件传输解决方案。
为了满足新的以及日益增长的客户安全性需求,需要具有相对安全的文件传输解决方案,以便提供用于在现场监视系统与中央监视和诊断基础设施之间传输数据的安全数据传输。对于符合NERC或其他监管安全需求以及其他通信安全挑战的只具有有限带宽的连接以及较不稳定或者在其他方面不够可靠的链路的现场监视站点来说,有必要部署安全的文件传输套件来为其提供支持。
发明内容
本发明的某些实施例可以解决以上的一些或所有需求。根据一例示实施例,所公开的是一种用于封装远程访问会话数据的方法。该方法可以包括:从终端用户计算机接收关于远程连接至位于防火墙之后的现场系统的请求,其中该防火墙阻止进入连接。该方法还可以包括:中央系统在对来自现场系统的先前消息回复中发起会话请求消息,在现场系统与远程连接服务器之间建立连接,现场系统在中央系统打开安全隧道,所述现场系统加密用于传送的数据,现场系统完成验证过程,在终端用户计算机与现场系统之间建立连接,以及将数据从中央系统传输到现场系统。
在另一实施例中,所公开的是一种用于封装远程访问会话数据的系统。该系统可以包括:中央系统,其可操作以从终端用户计算机接收关于远程连接到位于防火墙之后的现场系统的请求,其中该防火墙阻止进入连接。与现场系统通信的中央系统可操作以在对来自现场系统的先前消息回复中发起会话请求消息。现场系统可操作以连接到远程桌面服务器,打开连接到中央系统的安全隧道,对用于传送至中央系统的数据进行加密,完成验证过程,以及将数据传送到中央系统。
在另一实施例中,所公开的是一种包含指令的非暂时性计算机可读媒体,其中在被一个或多个处理器运行时,所述指令可以从终端用户计算机接收关于远程连接到位于防火墙之后的现场系统的请求,其中该防火墙阻止进入连接,在对来自现场系统的先前消息回复中发起会话请求消息,在现场系统与远程连接服务器之间建立连接,由现场系统在中央系统打开安全隧道,对用于传送的数据进行加密,由现场系统完成验证过程,在终端用户计算机与现场系统之间建立连接,以及将数据从中央系统传输到现场系统。
在这里还详细描述了本公开的其他实施例、特征和方面,并且将其认为是请求保护的本公开的一部分。通过参考以下的具体实施当时、附图以及权利要求,可以理解所述其他实施例、特征和方面。
附图说明
现在将参考附图,其中所述附图不必按比例绘制,并且其中:
图1是根据本公开实施例的用于提供在现场监视系统与中央监视和诊断基础设施之间传输数据的安全数据传输的例示系统架构的示意性框图。
图2示出的是根据本公开实施例的例示现场监视系统的示意性框图。
图3示出的是根据本公开实施例的例示中央监视和诊断基础设施的示意性框图。
图4示出的是根据本公开实施例的例示现场监视系统的功能框图。
图5是示出了根据本公开实施例的用于在现场监视系统与中央监视和诊断基础设施之间对数据执行的例示安全文件上传处理的流程图。
图6是示出了根据本公开实施例的用于在现场监视系统与中央监视和诊断基础设施之间对数据执行的例示安全文件下载处理的流程图。
图7是示出了针对现场监视系统的例示安全远程访问的流程图。
具体实施方式
以下将参考附图来更全面地描述本公开的例示实施例,其中所述附图显示了一些但并非所有实施例。实际上,本公开可以采用多种不同的方式实施,并且不应被解释成仅限于这里阐述的实施例;相反,这些实施例是为使本公开满足适当的法律要件而被提供的。相同的参考数字始终标引的是相同的部件。
为了实现支持关于发电站的现场监视处理的安全远程文件传输,目前业已开发出结合了不同硬件、软件和联网技术的新的基础设施。本公开的某些实施例具有能以异步、面向服务的方式来从位于现场监视系统的存储库中提取数据以及将数据传输至中央存储库以进行分析的技术效果。本公开的某些实施例的另一技术效果是允许在中央监视和诊断基础设施中的指定服务器与现场监视系统之间执行异步、并行、同时的文件下载和上传处理,并且同时还提供了安全的动态服务保证以及可靠性特征。本公开的其他实施例可以具有能对现场监视系统进行安全的远程访问以及能够执行某些营运和管理任务的技术效果。
参考附图1,该图显示的是用于在现场监视系统110与中央监视和诊断基础设施之间提供用于传输数据的安全数据传输的例示系统架构100的示意性框图。
现场监视系统110可以使用具有各种连网络能力且基于WindowsTM的平台102(通常是高计算服务器)来实施,并且该系统可被配置在位于公司防火墙108之后的发电站上。现场网络106可以受防火墙108以及位于发电站边缘的代理104的保护,其中所述防火墙和代理会阻止进入连接,并且由此迫使现场监视是不可路由的。此外,防火墙108还会阻塞所有标准的双向TCP/HTTP通信端口。
该现场监视的安全远程访问解决方案可以为执行监视和诊断的用户119、134提供安全地远程访问现场监视系统110以及执行某些营运或管理任务的能力。通信安全性可以是通过集成HTTPS/TLS协议栈以及名为智能代理的定制软件包来提供的。
使用中央系统内联网114的用户119或与外部因特网130相连的远端用户134可以与远程企业服务器118建立连接远程企业服务器118可以与企业隧道服务器116建立连接。由此,用户119、134可以建立由连接到现场监视系统110的用户发起的远程桌面协议(RDP)会话。通过使用基于TLS/SSL的隧道化方法来封装远程访问会话数据,,可以提供通信安全性。
M&D用户119或远程用户134可以请求与现场监视系统110的RDP连接。由于业务端口443是单向的(仅仅打开外出方向),因此,中央系统的企业隧道服务器116可以在对来自位于现场监视系统110内部的服务器上的智能代理102的任何先前消息回复中发起RDP会话请求消息。然后,智能代理102可以连接到现场监视系统内部的RDP模块。
图示的系统100提供了一种安全的远程访问解决方案,以便允许建立针对现场管理系统的远程访问服务。由于通信端口通常只打开外出方向,因此,这种基于异步的TLS隧道化处理的RDP解决方案被设计成是单向的。
参考图2,该图示出的是根据本公开一实施例的现场监视(OSM)系统200的示例。OSM系统200可以在具有联网能力且基于WindowsTM的平台上实施(通常是高性能服务器),并且被配置成位于公司防火墙之后的发电站上。
数据收集软件模块210可以与收集所述单元的工作和动态数据相关联,例如温度、压力、流速、间隙(例如两个组件之间的距离)以及涡轮机械的振动数据。基于网络连接能力和原始数据分辨率,可以使用不同类型的控制器对接到单位传感器。控制器的范围可以是从专用控制器111到标准的以太网数据采集系统(EDAS)113。随后,所收集的原始数据可被处理并经由数据中枢传输至其他OSM模块。数据中枢可以收集数量庞大的实时生产信息,并且可以执行监控自动化处理,以及将可靠信息递送至更高级的分析应用。此类数据中枢可以包括某些专用中枢,例如WSST115、CIMPLICITY117以及EHISTORIAN119收集器模块。此外,这些模块还可以提供关于数据质量和时间一致性的组合资源。
存储软件模块220可以与数据存储和存档相关联。软件平台22可以是专有平台,例如PROFICY HISTORIAN,并且可以提供用于在本地存储时间序列数据以及由分析输出产生的已处理数据的能力。此外它还可以提供使用各种压缩和插值技术来管理数据质量的能力。
数据处理模块230可以与数据处理以及事件和警报升级相关联。基于分析的数据处理可以由专有平台提供,例如中央条件评估平台一本地版(CENTRAL CONDITIONASSESSMENT PLATFORM-LOCAL EDITION)(CCAP-LE)231以及连续诊断引擎(CDE)规则引擎平台233。警报和事件升级可以由动作引擎235来执行,并且可以借助电子邮件或是基于web的服务来发送通知。
传输模块240可以与将数据传输至中央监视和诊断系统的处理相关联。通常,基于站点特有的安全性需求、网络拓扑结构以及可用带宽,可以使用两种类型的传输机制。第一种机制可以将历史记录收集器241利用于收集服务来提供实时数据流传输。第二种机制是通过合并低带宽和智能代理模块243所提供的服务来实施安全(单向业务/推送)、异步、并发和可靠的文件传输。
相应地,至少一个技术效果能使低带宽和智能代理模块提供安全的和单向业务的异步、并发及可靠的文件传输。
图3示出的是根据本公开一实施例的例示中央监视和诊断基础设施300。
中央系统传输模块310可以与从现场系统传输数据的处理相关联。通常,可供使用的传输机制有两种。第一种机制可以将历史记录收集器利用于收集器服务311来提供实时数据流传输。第二种机制可以通过提供带宽较低的导入服务313来实施相对安全(单向业务/推送)的异步、并发和可靠的文件传输。
中央存储软件模块320可以与对初始收集以及从OSM机群传输的时间序列数据进行数据存储和存档的处理相关联。该软件平台可以提供存储时间序列数据以及分析输出所生成的已处理数据的能力。存储模块320可以提供高速存档和分发数量庞大的实时生产数据的企业级数据历史记录服务。并且它还可以提供使用各种压缩和插值技术来管理数据质量的能力。
诸如PROFICY HISTORIAN之类的中央存储软件模块320可操作以比较历史数据年份与实时数据,以便提供大量的分析可能性。该解决方案可以提供用于长时间比较机群上的资产的工具,以便对比设备和处理应该运行的方式来更好地理解设备和处理在以何种方式运行。
图示的模块330的剩余部分是以下各项的集合:配置数据库、监视和诊断操作可视化工具、分析规则引擎、分析运行时环境、以及与之关联的应用编程接口和面向服务器的架构。
参考图4,该图示出的是根据本公开一实施例的例示现场管理器400的功能框图。管理器400可以包括一个或多个处理器402,一个或多个存储器404,一个或多个输入/输出(“I/O”)接口406,以及一个或多个网络接口408。该管理器400还可以包括未描述的其他设备。
一个或多个处理器402可以包括一个或多个核心,并且被配置成访问和运行一个或多个存储器404中存储的至少部分指令。一个或多个存储器404可以包括一个或多个计算机可读存储媒体(“CRSM”)。所述一个或多个存储器404可以包括但不局限于随机存取存储器(“RAM”)、闪速RAM、磁媒体、光媒体等等。所述一个或多个存储器404可以是在提供电力时才保持信息的易失存储器,也可以是在未提供电力的情况下也保持信息的非易失存储器。
在管理器400中还可以提供一个或多个I/O接口406。这些I/O接口406可以允许耦合传感器、键盘、鼠标、监视器、打印机、外部存储器等设备。一个或多个I/O接口406可以允许耦合到各种传感器和控制器,所述传感器和控制器可以在系统中提供工作数据。
一个或多个网络接口408可以允许在管理器400与别的设备之间直接传输数据,作为示例,该传输可以采用以点对点的方式,借助于网络,或是同时采用这两种方式。一个或多个网络接口408可以包括但不局限于个人局域网(“PAN”),有线局域网(“LAN”),广域网(“WAN”),无线局域网(“WLAN”),无线广域网(“WWAN”)等等。所述一个或多个网络接口408可以在管理器400与其他设备之间采用声学、射频、光学或其他信号来交换数据。
一个或多个存储器404可以存储可供一个或多个处理器402运行以执行某些动作或功能的指令或模块。作为例证而不是限制,在这里包含了以下模块。此外,虽然这些模块被描述成是保存在存储器404中的,但在一些实施方式中,这些模块至少可以部分保存在能被管理器400经由网络接口408或I/O接口406访问的外部存储器中。这些模块可以包括被配置成管理诸如I/O接口406之类的硬件资源以及向处理器402上运行的应用或模块提供各种服务的操作系统模块410。
收集模块414可被保存在存储器404中。该模块414可以被配置成持续采集来自一个或多个输入设备的数据,以及计算各种参数。软件模块414可以与收集所述单元的工作和动态数据的处理相关联,作为示例,所述数据可以是温度、压力、流速、间隙(例如两个组件之间的距离)以及涡轮机器的振动数据。在这里可以使用不同类型的控制器(基于网络连接能力/原始数据分辨率)来与单元传感器相关联。所述控制器的范围可以是从诸如MARK控制器之类的某些专有控制器到标准的以太网数据采集系统(EDAS)。然后,收集到的原始数据将被处理并且经由不同的数据中枢传输至其他OSM模块。此外,这些模块还可以提供关于数据质量和时间一致性的组合资源。模块414可以将数据以及计算得到的估计存入数据存储器412。
处理模块416可被配置成存储和存档数据。该软件平台可以提供用于在本地存储时间序列数据以及由分析输出产生的已处理数据的能力。此外,它还可以提供使用各种压缩和插值技术来管理数据质量的能力。
传输模块418可被配置成将数据传输到中央M&D系统。第一种机制可被配置成收集器用于收集器服务来提供实时数据流传输。第二种机制可以是通过合并低带宽和智能代理模块提供的服务来实施安全(单向业务/推送)、异步、并发及可靠的文件传输。
以上参考图4描述的管理器400只是作为示例提供的。根据需要,其他众多的实施例、系统、方法、设备和组件均可用于控制低于临界温度的燃气涡轮机点火温度。
图5是示出了本公开实施例的在现场监视系统与中央监视和诊断基础设施之间对数据进行例示的安全文件上传处理的流程图500。
在方框510,低带宽导出服务可以从存档器模块中提取数据。在方框510之后的方框520中,将输出文件写入上传/下载目录。在方框530,调度异步后台智能传输服务。
在方框540,智能代理可以在OSM与相关联的中央文件传输服务器之间建立安全(基于证书)的单向(使用网络端口443)TLS/SSL加密链路。
在方框550,智能代理可以发起关于异步、并发和并行的文件上传处理的命令上传消息。在方框550之后的方框560中,智能代理可以创建相关联的HTTP组块,并且可以在方框570中在预先选定的端口(在本示例中是端口443)串行发送该数据报。数据传输可靠性是借助于校验和(用于每一个组块且位于完整的文件上)以及通过底层传输协议栈提供的重传和容错机制执行的。在方框570之后的方框580中,企业隧道服务器服务可以重建该HTTPS数据报,并且可以将所述HTTPS数据报呈现给低带宽导入服务。
图6是示出了根据本公开实施例的用于在现场监视系统与中央监视和诊断基础设施之间对数据进行例示的安全文件下载处理的流程图600。
在方框610中,由于预先选择的业务端口(端口443)是单向的(仅仅打开外出方向),因此,中央系统的企业隧道服务器在针对来自智能代理的任一先前消息回复中发起文件下载请求消息。在方框610之后的方框620中,智能代理可以发起关于异步、并发和并行的文件下载处理的下载命令消息。在方框630,企业隧道服务器创建相关联的HTTPS组块,并且在方框640中,通过使用智能代理先前打开的连接而在某个端口(端口443)上发送该数据报。数据传输可靠性是由企业隧道服务器借助校验和(用于每一个组块,并且位于完整的文件上)以及通过底层传输协议栈提供的重传和容错机制执行的。最后,在方框650,智能代理服务重建HTTPS数据报,并且将其呈现给低带宽导入服务。
图7是示出了针对现场监视系统的例示安全远程访问的流程图700。通信安全性是通过用基于TLS/SSL的隧道化方法封装远程访问会话数据而被提供的。
在方框710,用户可以请求针对现场监视系统的远程桌面协议(RDP)连接。在方框720,由于业务端口443是单向的(只打开外出方向),因此,企业隧道服务器可以在对来自智能代理的任一先前消息回复中发起RDP会话请求消息。
在方框730,智能代理连接到现场监视系统的RDP服务器。在方框730之后的方框740中,智能代理打开企业隧道服务器上的TLS/SSL隧道。在方框750,使用经过证实的加密库来加密数据,并且在方框760,智能代理完成验证过程。最后,在方框770中建立所述连接。端到端的RDP连接是通过现场监视系统RDP服务器、智能代理、企业隧道服务器以及终端用户计算机之间的中间连接建立的。
在不同的实施方式中,根据需要,可以采用任何适当的顺序来运行或执行以上描述和显示的操作和处理。而且在某些实施方式中,至少一部分的操作可以是并行执行的。此外,在某些实施方式中还可以执行更多或更少的操作。
本书面描述使用了示例来公开包括最佳模式在内的本公开的某些实施例,并且能使本领域技术人员实施本公开的某些实施例,包括制造和使用任何设备或系统,以及执行所引入的任何方法。本公开的某些实施例的专利范围是在权利要求中限定的,并且可以包括本领域技术人员所能想到的其他示例。如果其他示例具有与权利要求的字面语言并无不同的结构元素,或者如果其包含的是与权利要求的字面语言没有实质性不同的等价结构元素,那么此类示例应该包含在权利要求的范围以内。
附图标记说明
。
Claims (14)
1.一种用于封装远程访问会话数据的方法,包括:
从终端用户计算机接收关于远程连接到防火墙之后的现场系统的请求,其中所述防火墙阻止进入连接;
通过中央系统在对来自所述现场系统的先前消息的回复中发起会话请求消息,其中所述请求消息被发送到预先选择的阻止非外出通信的业务端口;
在所述现场系统与远程连接服务器之间建立连接;
通过所述现场系统在所述中央系统打开安全隧道;
通过所述现场系统对用于传送的数据进行加密,其中所述数据包括来自与多个传感器进行通信的多个现场控制器的工作信息;
通过所述现场系统完成验证过程;
在所述终端用户计算机与所述现场系统之间建立连接;以及
将所述数据从所述现场系统传输到所述终端用户计算机。
2.如权利要求1所述的方法,其中通过所述现场系统在所述中央系统打开安全隧道包括:使用安全套接字层协议或传输层安全性。
3.如权利要求1所述的方法,其中加密用于传送的数据包括:使用经过证实的加密库。
4.如权利要求1所述的方法,其中所述防火墙阻止标准的双向传输控制协议通信。
5.如权利要求1所述的方法,其中所述终端用户计算机位于中央系统防火墙之后。
6.如权利要求1所述的方法,其中所述终端用户计算机没有位于中央系统防火墙之内。
7.如权利要求1所述的方法,还包括对所述数据进行分析和/或诊断。
8.一种用于封装远程访问会话数据的系统,所述系统包括:
中央系统,具有一个或多个计算机处理器,所述一个或多个计算机处理器可操作以从终端用户计算机接收关于远程连接到位于防火墙之后的现场系统的请求,其中所述防火墙阻止进入连接;
所述中央系统与所述现场系统进行通信,并且所述一个或多个计算机处理器可操作以在对来自所述现场系统的先前消息的回复中发起会话请求消息,其中所述请求消息被发送到预先选择的阻止非外出通信的业务端口;
其中所述现场系统可操作以:
连接到远程桌面服务器;
打开到所述中央系统的安全隧道;
对用于传送到所述中央系统的数据进行加密,其中所述数据包括来自与多个传感器进行通信的多个现场控制器的工作信息;
完成验证过程;以及
将所述数据传送到所述中央系统。
9.如权利要求8所述的系统,其中打开到所述中央系统的安全隧道包括:使用安全套接字层协议或传输层安全性。
10.如权利要求8所述的系统,其中所述防火墙阻止标准的双向传输控制协议通信。
11.如权利要求8所述的系统,其中远程连接是在所述远程桌面服务器、所述终端用户计算机、所述中央系统以及所述现场系统之间建立的。
12.如权利要求8所述的系统,其中所述终端用户计算机位于中央系统防火墙之后。
13.如权利要求8所述的系统,其中所述终端用户计算机没有位于中央系统防火墙之后。
14.一个或多个包含指令的非暂时性计算机可读介质,当所述指令被一个或多个处理器运行时执行下列操作:
从终端用户计算机接收关于远程连接到防火墙之后的现场系统的请求,其中所述防火墙阻止进入连接;
由中央系统在对来自所述现场系统的先前消息的回复中发起会话请求消息,其中所述请求消息被发送到预先选择的阻止非外出通信的业务端口;
在所述现场系统与远程连接服务器之间建立连接;
通过所述现场系统在所述中央系统打开安全隧道;
对用于传送的数据进行加密,其中所述数据包括来自与多个传感器进行通信的多个现场控制器的工作信息;
通过所述现场系统完成验证过程;
在所述终端用户计算机与所述现场系统之间建立连接;以及
将所述数据从所述中央系统传输到所述现场系统。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/072414 | 2013-11-05 | ||
| US14/072,414 US9191368B2 (en) | 2013-11-05 | 2013-11-05 | Systems and methods for secure remote access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104618341A CN104618341A (zh) | 2015-05-13 |
| CN104618341B true CN104618341B (zh) | 2019-12-27 |
Family
ID=51870883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410858234.XA Active CN104618341B (zh) | 2013-11-05 | 2014-11-05 | 用于安全的远程访问的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9191368B2 (zh) |
| EP (1) | EP2869530B1 (zh) |
| JP (1) | JP6416585B2 (zh) |
| CN (1) | CN104618341B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6313185B2 (ja) * | 2014-10-24 | 2018-04-18 | 株式会社東芝 | リモート監視システムおよびリモート監視装置 |
| JP6652368B2 (ja) * | 2015-10-29 | 2020-02-19 | 株式会社東芝 | 監視制御システムおよび監視制御方法 |
| CN105635139B (zh) * | 2015-12-31 | 2019-04-05 | 深圳市安之天信息技术有限公司 | 一种防溢出攻击的文档安全操作与分析的方法及系统 |
| CN105871819B (zh) * | 2016-03-23 | 2019-05-14 | 上海上讯信息技术股份有限公司 | 传输控制方法及设备 |
| US10142323B2 (en) * | 2016-04-11 | 2018-11-27 | Huawei Technologies Co., Ltd. | Activation of mobile devices in enterprise mobile management |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022385A (zh) * | 2007-03-29 | 2007-08-22 | 王忠伟 | 一种基于互联网的远程监控系统及监控方法 |
| CN101094056A (zh) * | 2007-05-30 | 2007-12-26 | 重庆邮电大学 | 无线工业控制网络安全系统及安全策略实现方法 |
| CN201188626Y (zh) * | 2007-10-11 | 2009-01-28 | 上海电气电站设备有限公司 | 一种核电汽轮机调节系统远程监视与分析系统 |
| US7565526B1 (en) * | 2005-02-03 | 2009-07-21 | Sun Microsystems, Inc. | Three component secure tunnel |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7536715B2 (en) * | 2001-05-25 | 2009-05-19 | Secure Computing Corporation | Distributed firewall system and method |
| US7430759B2 (en) * | 2001-08-07 | 2008-09-30 | Innominate Security Technologies Ag | Method and computer system for securing communication in networks |
| US7536548B1 (en) * | 2002-06-04 | 2009-05-19 | Rockwell Automation Technologies, Inc. | System and methodology providing multi-tier-security for network data exchange with industrial control components |
| US20080109889A1 (en) * | 2003-07-01 | 2008-05-08 | Andrew Bartels | Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications |
| US20090064304A1 (en) | 2005-10-07 | 2009-03-05 | Codeux, Inc. | Port access using user datagram protocol packets |
| WO2009128905A1 (en) * | 2008-04-17 | 2009-10-22 | Siemens Energy, Inc. | Method and system for cyber security management of industrial control systems |
| US9009219B2 (en) | 2010-01-27 | 2015-04-14 | Vmware, Inc. | Native viewer use for service results from a remote desktop |
| US9077183B2 (en) * | 2011-09-06 | 2015-07-07 | Portland State University | Distributed low-power wireless monitoring |
| US20140298415A1 (en) * | 2013-03-28 | 2014-10-02 | Research In Motion Limited | Method and system for providing connectivity for an ssl/tls server behind a restrictive firewall or nat |
-
2013
- 2013-11-05 US US14/072,414 patent/US9191368B2/en active Active
-
2014
- 2014-10-29 JP JP2014219874A patent/JP6416585B2/ja active Active
- 2014-11-05 CN CN201410858234.XA patent/CN104618341B/zh active Active
- 2014-11-05 EP EP14191891.2A patent/EP2869530B1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7565526B1 (en) * | 2005-02-03 | 2009-07-21 | Sun Microsystems, Inc. | Three component secure tunnel |
| CN101022385A (zh) * | 2007-03-29 | 2007-08-22 | 王忠伟 | 一种基于互联网的远程监控系统及监控方法 |
| CN101094056A (zh) * | 2007-05-30 | 2007-12-26 | 重庆邮电大学 | 无线工业控制网络安全系统及安全策略实现方法 |
| CN201188626Y (zh) * | 2007-10-11 | 2009-01-28 | 上海电气电站设备有限公司 | 一种核电汽轮机调节系统远程监视与分析系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6416585B2 (ja) | 2018-10-31 |
| CN104618341A (zh) | 2015-05-13 |
| US9191368B2 (en) | 2015-11-17 |
| JP2015092341A (ja) | 2015-05-14 |
| EP2869530B1 (en) | 2022-05-04 |
| US20150128244A1 (en) | 2015-05-07 |
| EP2869530A1 (en) | 2015-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10250438B2 (en) | Cloud based drive monitoring solution | |
| CN104618341B (zh) | 用于安全的远程访问的系统和方法 | |
| US10764255B2 (en) | Secure command execution from a cloud monitoring system to a remote cloud agent | |
| EP2924574B1 (en) | Unified data ingestion adapter for migration of industrial data to a cloud platform | |
| US9838476B2 (en) | On-premise data collection and ingestion using industrial cloud agents | |
| EP2869529B1 (en) | Systems and methods for secure file transfers | |
| Iglesias-Urkia et al. | Integrating electrical substations within the IoT using IEC 61850, CoAP, and CBOR | |
| WO2021227588A1 (zh) | 日志获取方法、装置、终端、服务器和计算机可读存储介质 | |
| US20240121218A1 (en) | Secure remote access to historical data | |
| US11863555B2 (en) | Remote access policies for IoT devices using manufacturer usage description (MUD) files | |
| US20220038335A1 (en) | Automatic orchestration of iot device data management pipeline operations | |
| US20220231952A1 (en) | OPTIMAL SELECTION OF A CLOUD-BASED DATA MANAGEMENT SERVICE FOR IoT SENSORS | |
| CN216596008U (zh) | 现场通信器设备 | |
| CN115580664A (zh) | 一种数据采集方法、装置、设备和介质 | |
| Ali et al. | A Scalable, Distributed Monitoring Framework for HPC Clusters Using Redfish-Nagios Integration | |
| Farhan et al. | Efficient Data Transmission and Remote Monitoring System for IoT Applications | |
| WO2020026071A1 (en) | Method for predicting performance of modules of distributed control system through network and system thereof | |
| CN113454945A (zh) | 电子设备配置机制 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |