CN105259889A

CN105259889A - 网络安全气隙远程监测和诊断基础设施

Info

Publication number: CN105259889A
Application number: CN201510410529.5A
Authority: CN
Inventors: K.K.劳; M.T.克鲁伊格
Original assignee: General Electric Co
Current assignee: General Electric Co
Priority date: 2014-07-14
Filing date: 2015-07-14
Publication date: 2016-01-20
Also published as: BR102015016753A2; EP2975856A1; KR20160008984A; JP2016029467A; EP2975856B1; US20160011921A1

Abstract

本发明题为网络安全气隙远程监测和诊断基础设施。公开了用于远程监测和诊断装置的系统和方法。在第一网络得到与装置相关的数据。对所得数据进行加密，以在第一网络生成加密代码。在经由非网络介质、例如气隙与第一网络分隔的第二网络得到加密代码的副本。对加密代码的副本进行解码，以在第二网络得到与装置相关的数据。数据在第二网络用来在第二网络监测和诊断装置。

Description

网络安全气隙远程监测和诊断基础设施

技术领域

本文所公开的主题涉及远程监测和诊断，以及更具体来说，涉及用于在独立网络之间传递数据以实现远程监测和诊断的系统和方法。

背景技术

在远程监测和诊断中，在远程位置的诊断中心经由网络连接到客户位置。诊断中心通过网络从客户位置得到数据。数据一般与在客户位置的装置、例如涡轮机相关。在远程位置的操作员接收和监测数据，以便诊断装置的条件或操作。这个布置提供客户服务，而无需侵入现场访问和/或调度维护关机等。但是，具有客户位置与诊断中心之间的网络连接使客户位置受到来自远程位置的病毒和/或来自已经获得对远程位置的访问权的恶意个人的非预期访问或攻击的可能性。潜在客户能够对进入携带这类风险的远程监测和诊断布置犹豫不决。

发明内容

按照本发明的一个方面，一种远程监测和诊断装置的方法包括：在第一网络从装置得到数据；对数据进行加密以在第一网络生成加密代码；在与第一网络分隔的第二网络经由非网络介质来得到加密代码的副本；对加密代码的副本进行解码，以在第二网络得到数据的副本；以及在第二网络使用数据的副本来监测和诊断装置。

按照本发明的另一方面，一种用于远程监测和诊断装置的系统包括：第一网络，耦合到装置，配置成得到装置的参数的测量，并且从所得测量来生成加密代码；以及第二网络，通过非网络介质与第一网络分隔，并且配置成通过非网络介质从第一网络来得到加密代码的副本，其中第二网络配置成对加密代码的副本进行解码，以监测和诊断装置。

按照本发明的又一方面，一种用于装置的安全监测和诊断的系统包括：第一网络的界面，其生成指示装置的参数的测量值的信号；以及第二网络的检测器，该检测器通过气隙与界面分隔，并且配置成通过气隙从界面接收信号，其中第二网络配置成使用在检测器所接收的信号来监测和诊断装置。

技术方案1：一种远程监测和诊断装置的方法，包括：

在第一网络从所述装置得到数据；

对所述数据进行加密，以在所述第一网络生成加密代码；

经由非网络介质在与所述第一网络分隔的第二网络来得到所述加密代码的副本；

对所述加密代码的所述副本进行解码，以在所述第二网络得到所述数据的副本；以及

在所述第二网络使用所述数据的所述副本来监测和诊断所述装置。

技术方案2：如技术方案1所述的方法，还包括在所述第一网络的视觉界面作为视觉信号来显示所述加密代码，并且经由所述第二网络的光学扫描仪从所述视觉界面来读取所述视觉信号。

技术方案3：如技术方案2所述的方法，其中，所述视觉信号是QR代码。

技术方案4：如技术方案1所述的方法，还包括在所述第一网络的音频发射器来生成与所述加密代码相关的音频信号，并且在所述第二网络的音频接收器来接收所述音频信号。

技术方案5：如技术方案1所述的方法，其中，所述第一网络是专用网络。

技术方案6：如技术方案1所述的方法，还包括以所选刷新率动态生成所述加密代码。

技术方案7：如技术方案1所述的方法，还包括使用下列至少一个来得到所述数据的所述副本：(i)具有到所述第二网络的连续网络连接的装置；(ii)具有到所述第二网络的非连续连接的装置；(iii)平板计算机；(iv)智能电话；(v)光学扫描仪；(vi)声接收器；以及(vi)手持装置。

技术方案8：一种用于远程监测和诊断装置的系统，包括：

第一网络，耦合到所述装置，并配置成得到所述装置的参数的测量，并且从所述得到的测量生成加密代码；以及

第二网络，通过非网络介质与所述第一网络分隔，并且配置成通过非网络介质从所述第一网络来得到所述加密代码的副本，其中所述第二网络配置成对所述加密代码的所述副本进行解码，以监测和诊断所述装置。

技术方案9：如技术方案8所述的系统，其中，所述第一网络还包括可视地显示所述加密代码的界面，以及所述第二网络还包括配置成得到所述加密代码的镜像副本的检测器。

技术方案10：如技术方案9所述的系统，其中，所述加密代码还包括QR代码。

技术方案11：如技术方案8所述的系统，其中，所述第一网络还包括配置成生成与所述加密代码对应的音频信号的音频发生器，以及所述第二网络还包括配置成接收在所述音频发生器所生成的所述音频信号的音频接收器。

技术方案12：如技术方案8所述的系统，其中，所述第一网络是专用网络。

技术方案13：如技术方案8所述的系统，还包括以所选刷新率动态生成所述加密代码。

技术方案14：如技术方案8所述的系统，其中，所述检测器还包括下列至少一个：(i)具有到所述第二网络的连续网络连接的检测器；(ii)具有到所述第二网络的非连续网络连接的检测器；(iii)平板计算机；(iv)智能电话；(v)光学扫描仪；(vi)音频接收器；以及(vi)手持装置。

技术方案15：一种用于安全监测和诊断装置的系统，包括：

第一网络的界面，其生成指示所述装置的参数的测量值的信号；以及

第二网络的检测器，所述检测器通过气隙与所述界面分隔，并且配置成通过所述气隙从所述界面接收所述信号，其中所述第二网络配置成使用在所述检测器所接收的所述信号来监测和诊断所述装置。

技术方案16：如技术方案15所述的系统，其中，所述信号还包括在所述界面作为加密代码所显示的视觉信号，以及所述检测器接收所述加密代码的镜像。

技术方案17：如技术方案16所述的系统，其中，所述加密代码还包括QR代码。

技术方案18：如技术方案16所述的系统，其中，所述信号还包括在所述界面所生成的音频信号，以及所述检测器还包括配置成接收所述音频信号的音频接收器。

技术方案19：如技术方案15所述的系统，其中，所述检测器还包括下列至少一个：(i)具有到所述第二网络的连续网络连接的检测器；(ii)具有到所述第二网络的非连续网络连接的检测器；(iii)平板计算机；(iv)智能电话；(v)光学扫描仪；(vi)音频接收器；以及(vi)手持装置。

技术方案20：如技术方案15所述的系统，其中，所述信号在所述界面以所选刷新率动态生成。

通过以下结合附图的描述，这些及其他优点和特征将变得更为显而易见。

附图说明

在本说明书的结束部分，在权利要求书中具体指出并且明确要求保护被认为是本发明的主题。通过以下结合附图的详细描述，本发明的上述及其他特征和优点显而易见，附图包括：

图1示出按照本公开的一个实施例、用于装置106的远程监测和诊断的系统；以及

图2是示出装置的远程监测和诊断的方法的流程图。

详细描述参照附图、作为举例来说明本发明的实施例以及优点和特征。

具体实施方式

本公开提供在客户位置的装置的远程监测和诊断的系统和方法，其阻止或降低远程位置影响客户位置的安全风险，例如降低客户位置接收来自远程位置的病毒和/或攻击的可能性。该系统包括在客户位置的第一网络以及在远程位置、与第一网络分隔的第二网络。数据经由非网络连接或者非网络介质从第一网络传送给第二网络。在一个实施例中，非网络介质可以是光介质，使得在第一网络的界面所显示的数据由第二网络的光学扫描仪来读取。在另一个实施例中，非网络介质是声介质，使得数据由第一网络作为声信号来传送，并且在第二网络使用声接收器、例如话筒来接收。在各个方面，非网络介质采用气隙，其将第一网络与第二网络分隔或隔离，使得数据不是从第二网络可传送给第一网络，由此保护第一网络免于第二网络的安全风险。

图1示出按照本公开的一个实施例、用于装置106的远程监测和诊断的系统100。系统100包括其中包括装置106的客户位置102和远程位置104，其基于相对装置106所得到的测量来提供各种诊断服务。在一个实施例中，装置106是用于提供能量或电力的涡轮机。设置在装置106上的传感器108测量装置106的参数、例如空气压力、温度等的值。传感器108经由本地网络110耦合到控制单元112，其可以是服务器、大型计算机、台式计算机、膝上型计算机、平板等。传感器108通过本地网络110向控制单元112提供装置106的参数的测量值。控制单元112能够包括处理器114和存储器存储装置116，其中存储了程序118。在各个实施例中，存储器存储装置116包括非暂时存储装置，例如固态存储器装置或RAM。处理器114从传感器108接收参数的测量值，并且对测量值进行加密以生成加密代码160。程序118能够向处理器114提供指令，以用于对测量值进行加密。在一个实施例中，处理器114能够在存储器存储装置116存储参数的测量值和/或加密代码160。备选地，处理器114能够在人机界面(“界面”)作为视觉信号来显示测量值和/或加密代码160。在各个实施例中，加密代码160作为二维视码、例如本领域已知的QR代码来显示。

虽然针对单个传感器108来描述本发明，但是要理解，多个传感器可用来测量装置106的各种参数的值。另外，当生成加密代码160时，处理器114能够使用来自多个传感器的测量值的部分或全部。

在各个实施例中，传感器108测量参数的值，并且以所选取样率(例如每隔5秒)向处理器114发送测量值。取样率可由处理器114来控制或选择。当接收值时，处理器114从该值生成加密代码160，并且在界面120显示加密代码160。因此，加密代码在界面120动态生成，并且在界面120以对应于取样率(例如每隔5秒)的所选时间间隔(刷新率)来刷新或替换。

客户位置102还包括检测器122。检测器122能够耦合到远程位置104的诊断单元140。检测器122从界面120读取加密代码160，以得到加密代码160的副本161。检测器122然后将加密代码160的副本161发送给远程位置104的诊断单元140。

检测器122能够经由连续网络连接或者非连续网络连接来连接到远程位置104。在具有连续网络连接的一实施例中，检测器122能够耦合到现场服务器130，其能够从远程位置104来远程管理。现场服务器130还耦合到客户位置102的网络连通性装置132，其通过网络连接136与远程位置104的网络连通性装置134进行通信。在具有非连续网络连接的一实施例中，检测器122能够在检测器122中的存储器位置存储加密代码160。检测器122然后能够对于远程位置104来检索，并且插入远程位置104，以用于从检测器122下载加密代码160。在非连续网络的另一个实施例中，检测器122或远程位置104能够发起临时通信信道，并且通过临时通信信道将加密代码160从检测器122传递给远程位置104。

在一个实施例中，加密代码160从界面120来读取，并且通过光介质进入检测器122。在这个实施例中，加密代码160在界面120可视地显示，以及检测器122是光学扫描仪，其读取可视显示的代码。加密代码160能够在界面120的所指定位置、例如图1所示界面120的右下角来显示。光学扫描仪可放置在界面120的前面，并且对准加密代码160。光学扫描仪可编程为使得以与界面120处的加密代码160的刷新率对应的给定取样率来读取加密代码160。在另一个实施例中，加密代码160在界面120或者在界面120的扬声器处作为声信号来生成，以及检测器122是声接收器、例如话筒等。在这个实施例中，声介质用来将加密代码从界面120传递给检测器122。因此，检测器122能够是光学扫描仪或话筒，这取决于所选介质。另外，检测器122能够是智能电话或平板计算机或者适合于通过所选介质来读取数据的其他装置。

在各个实施例中，界面120和检测器122通过气隙或其他非网络介质150(其将客户位置102的第一网络与远程位置104的第二网络分隔和/或隔离)来分隔。另外，界面120和检测器122跨气隙仅沿一个方向、即从客户位置102到远程位置104来提供通信。因此，远程位置104能够从客户位置102来接收测量或数据，其可用于诊断客户位置102的装置106，而无需提供从远程位置104对客户位置102的访问。非网络介质150将客户位置102的本地网络110和控制单元112与远程位置104隔离。因此，客户位置102避免易受到在远程位置104的安全风险，例如接收来自远程位置104的病毒或者其他非预期访问的风险。

远程位置包括诊断单元140，其包括处理器142、存储器存储装置144和程序146。在一个实施例中，诊断单元140的处理器142使用程序146来执行解码操作，以对加密代码160的副本161进行解码，由此在远程位置104得到装置106的参数的测量值。远程位置104的处理器114然后能够使用参数的所得测量值来诊断装置106。参数的测量值或者对测量值所执行的诊断能够在显示器148来显示或者存储到存储器存储装置144。在各个实施例中，存储器存储装置144包括非暂时存储装置，例如固态存储器或RAM。

图2是示出装置的远程监测和诊断的方法的流程图200。在框202，从传感器(其耦合到装置)得到数据。传感器耦合到第一网络。在框204，对数据进行加密，以便在第一网络的界面生成加密代码。在框206，第二网络的检测器用来从界面读取加密代码。因此，数据从第一网络传递给第二网络，而无需使用网络连接，或者换言之，通过非网络介质、例如气隙。在框208，加密代码在第二网络来解码。最后在框210，解码数据在第二网络用来诊断装置。

虽然仅结合有限数量的实施例详细描述了本发明，但是应当易于理解，本发明并不局限于这类所公开实施例。本发明而是能够修改为结合前面没有描述的任何数量的变化、变更、替换或等效布置，但是它们与本发明的精神和范围一致。另外，虽然描述了本发明的各个实施例，但是要理解，本发明的方面可以仅包含所述实施例的一部分。相应地，本发明不能被看作受到前面描述限制，而仅由所附权利要求书的范围来限制。

附图标记说明

100系统

102客户位置

104远程位置

106装置

108传感器

110网络

112控制单元

114处理器

116存储器存储装置

118程序

120界面

122检测器

130现场服务器

132网络连通性装置

134网络连通性装置

136网络连接

140诊断单元

142处理器

144存储器存储装置

146程序

148显示器

150非网络介质

160加密代码

162副本

200流程图

202框

204框

206框

208框

210框。

Claims

1.一种远程监测和诊断装置(106)的方法，包括：

在第一网络(102)从所述装置(106)得到数据；

对所述数据进行加密，以在所述第一网络(102)生成加密代码(160)；

经由非网络介质(150)在与所述第一网络(110)分隔的第二网络(104)来得到所述加密代码(160)的副本(161)；

对所述加密代码(160)的所述副本(161)进行解码，以在所述第二网络(104)得到所述数据的副本；以及

在所述第二网络(104)使用所述数据的所述副本来监测和诊断所述装置(106)。

2.如权利要求1所述的方法，还包括在所述第一网络(102)的视觉界面(120)作为视觉信号来显示所述加密代码(160)，并且经由所述第二网络(104)的光学扫描仪(122)从所述视觉界面(120)来读取所述视觉信号。

3.如权利要求2所述的方法，其中，所述视觉信号是QR代码。

4.如权利要求1所述的方法，还包括在所述第一网络(102)的音频发射器来生成与所述加密代码相关的音频信号，并且在所述第二网络(104)的音频接收器来接收所述音频信号。

5.如权利要求1所述的方法，还包括以所选刷新率动态生成所述加密代码(160)。

6.如权利要求1所述的方法，还包括使用下列至少一个来得到所述数据的所述副本：(i)具有到所述第二网络的连续网络连接的装置；(ii)具有到所述第二网络的非连续连接的装置；(iii)平板计算机；(iv)智能电话；(v)光学扫描仪；(vi)声接收器；以及(vi)手持装置。

7.一种用于远程监测和诊断装置(106)的系统，包括：

第一网络(102)，耦合到所述装置(106)，并配置成得到所述装置(106)的参数的测量，并且从所述得到的测量生成加密代码(160)；以及

第二网络(104)，通过非网络介质(150)与所述第一网络(102)分隔，并且配置成通过非网络介质(150)从所述第一网络(102)来得到所述加密代码(160)的副本(161)，其中所述第二网络(104)配置成对所述加密代码(160)的所述副本(161)进行解码，以监测和诊断所述装置(106)。

8.如权利要求7所述的系统，其中，所述第一网络(102)还包括可视地显示所述加密代码(160)的界面(120)，以及所述第二网络(104)还包括配置成得到所述加密代码(160)的镜像副本的检测器(122)。

9.如权利要求7所述的系统，其中，所述第一网络(102)还包括配置成生成与所述加密代码(160)对应的音频信号的音频发生器，以及所述第二网络还包括配置成接收在所述音频发生器所生成的所述音频信号的音频接收器。

10.如权利要求7所述的系统，其中，所述第一网络(102)是专用网络。