CN107925651A - 用于运行工业网络的方法以及工业网络 - Google Patents
用于运行工业网络的方法以及工业网络 Download PDFInfo
- Publication number
- CN107925651A CN107925651A CN201580082986.4A CN201580082986A CN107925651A CN 107925651 A CN107925651 A CN 107925651A CN 201580082986 A CN201580082986 A CN 201580082986A CN 107925651 A CN107925651 A CN 107925651A
- Authority
- CN
- China
- Prior art keywords
- access
- network
- local
- network equipment
- industrial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
提出了一种用于运行工业网络(100)的方法(300)。工业网络(100)具有:至少一个网络装置(101),所述网络装置能由中央控制装置(103)来操控;以及本地接口(102),用于对网络装置(101)的本地访问(A)。该方法包括:通过本地接口(A)将对网络装置(101)的本地访问(A)的访问询问(Q)传送(301)给中央控制装置(103);通过中央控制装置(103)对访问询问(Q)进行认证(302);而且通过中央控制装置根据访问询问(Q)来设置(304)本地接口(102),用于对网络装置(101)的本地访问(A)。还提出了一种相对应的工业网络。借助于所提出的方法以及所提出的工业网络,可以更高效地并且更加无损失地构建对网络装置的访问。还可以提高工业网络的安全性。
Description
技术领域
本发明涉及一种用于运行工业网络的方法以及一种工业网络。
背景技术
对于在工业设施、例如风力发电厂中的维护工作来说,通常应用远程服务解决方案。因此,维护技术人员登录到所要维护的设施的工业网络(工业控制网络(IndustrialControl Network))中。对工业网络的访问权限由控制中心授予和监控。技术人员登录到工业网络中、对技术人员的访问的认证以及在工业网络中对技术人员的监控通过控制中心来进行,这与高技术花费相关联。
发明内容
在该背景下,本发明的任务在于提供一种经改善的用于运行网络的方法。
因此,提出了一种用于运行工业网络的方法。工业网络包括至少一个网络装置,所述网络装置能由中央控制装置来操控。工业网络还包括本地接口,用于对网络装置的本地访问。对网络装置的本地访问可通过本地接口来实现。
该方法包括如下步骤:
通过本地接口将用于对网络装置的本地访问的访问询问传送给中央控制装置;
通过中央控制装置对访问询问进行认证;而且
根据访问询问设置本地接口,用于对网络装置的本地访问,其中通过中央控制装置来设置本地接口。
工业网络尤其是涉及任何类型的工业通信网络,例如具有生产单元的生产设施、风力发电厂或它们的一部分。例如,工业网络是供电网络的运营商网络,而网络装置是在该网络中的单个的发电机、例如风力涡轮机。工业网络还可包括交通网络和/或对资源(例如电、油、水、天然气、食品或热量)的供应网络。
工业网络尤其具有多个网络装置。在道路交通中和/或在供应网络中,工业网络的网络装置可涉及单个的模块,例如生产模块、控制模块或现场设备。尤其是,这些网络装置可以至少部分地自动化地进行工作,也就是说它们不需要或仅仅需要被减少的人类干预用于它们的运行。优选地,这些网络装置至少部分地彼此耦合,使得彼此间来回地输送数据、材料、产品和/或资源(例如电或能量)是可能的。
工业网络具有至少一个中央控制装置,所述中央控制装置可以集中地控制工业网络的网络装置。中央控制装置尤其被设置为:与网络装置进行通信和/或进行相互作用,例如从网络装置查询数据和/或将数据或指令输入到网络装置中。
工业网络尤其可以在这样确定尺寸的区域内延伸,使得在各个网络装置之间的地理距离为直至几万公里。工业网络可具有主干线(Backbone线),与各个网络装置的多个分支连接从所述主干线出发并且使这些网络装置与工业网络耦合。也可设想的是其它网络拓扑,如总线拓扑、环形拓扑或星形拓扑。可替换地或附加地,该网络可以与广域网(WideArea Network,WAN)和/或因特网耦合。
对于在一个或多个网络装置上的维护工作来说,可以允许服务人员(例如技术人员、操作人员、管理员或机械师)访问相对应的网络装置。有利的是保护工业网络以防未获授权者访问。优选地,工业网络是封闭的私人通信网络。为了该目的,工业网络可以至少部分地被设计为企业网络(Corporate Network),所述企业网络使企业的空间上远离的单个网络彼此联网并且例如通过共同的防火墙连接到因特网上。对工业网络的访问可以被加密和/或要求认证。中央控制装置还可以被设置用于监控对网络装置的访问。服务人员例如可以向中央控制装置请求对网络装置的本地访问。
尤其是,通过和/或借助于本地接口进行对网络装置的本地访问,所述本地接口被分配给一个或多个网络装置并且与所述网络装置连接。本地接口可通过局域网(LocalArea Network,LAN)、无线LAN、移动无线电和/或电缆连接与所分配的网络装置连接。本地接口可包括物理和/或虚拟接口,例如机器接口、硬件接口、网络接口、数据接口、软件接口或者它们的组合。
物理接口提供物理连接端,访问装置,例如计算机、笔记本电脑或其它有计算能力的设备可以被连接到所述物理连接端上,以便访问网络装置。可设想的是,本地接口提供访问装置或者访问装置以集成到本地接口中的方式存在。
物理接口还可包括网络连接端,通过所述网络连接端,工业网络的组件可以与网络装置连接。尤其是,物理接口还可以被设置用于在不同的通信协议之间进行转换,以便能够实现在网络装置与不同的网络组件和/或访问装置之间进行通信。
虚拟接口可以是在程序、应用和/或操作系统之间的接口,以便能够实现在网络装置、访问装置和/或网络组件的程序、应用和/或操作系统之间的相互作用。
尤其是,本地接口能够实现对所分配的网络装置进行数据查询和/或将数据或指令输入到所分配的网络装置中。本地接口可配备有计算能力,以便例如对数据进行处理并且运行所分配的网络装置。本地接口还可拥有存储能力,以便例如存储访问配置、应用或者用户规范。本地接口可以被视为访问点(Access Point)。
用于对网络装置的本地访问的访问询问例如说明了应该访问的网络装置和/或如下服务人员的身份,所述服务人员请求对网络装置的本地访问。
访问询问例如可以通过工业网络的线路、通过VPN连接或通过移动无线电传送给中央控制装置。中央控制装置接收访问询问并且对该访问询问进行分析。对访问询问的认证可取决于由中央控制装置对访问询问的分析的结果。如果访问询问被认证,那么中央控制装置可以设置本地接口,使得能够实现按照访问询问对网络装置的本地访问。
优选地,确定访问询问的、尤其是创建访问询问的服务人员的信任级别。与此相应地,可以按照访问询问的由中央控制装置确定的信任级别来设置本地接口。
通过设置本地接口用于本地访问,本地接口被激活并且被提供用于由服务人员对网络装置的本地访问。在此,尤其是考虑相对应的访问权限。对本地接口的设置可以包括激活物理连接端、启动访问装置或者在本地接口和/或网络装置之间建立连接。对本地接口的设置还可包括在本地接口上对虚拟接口的配置。在这种情况下,由中央控制装置创建的访问配置、例如操作系统或一组应用可以在本地接口上实体化。例如为了数据分析或者数据聚合,还可以在网络装置上使虚拟传感器实体化。应注意:对操作系统、应用或者虚拟传感器的实体化可包括对它们的实现、安装、启动、退出(Ausrollen)和/或激活。
优选地,隔离地并且这样封装地来设置本地接口,使得该接口可以无残留地被解除。
所述实体化例如包括分别所需的配置、应用以及通过虚拟组件来实现的通信连接。因此,这种访问本身被封装。因此,当多个不同的访问同时活跃时,这些访问不影响彼此。
这些应用例如可以被用于数据查询和数据输入或者被用于控制网络装置。这些应用还可以包括用于与网络装置相互作用的终端或维护程序。
可设想的是,用于设置本地接口的数据(例如应用、程序或操作系统)以存储或安装在本地接口上或者存储或安装在存储装置上的方式存在。
在设置本地接口的情况下,可以生成虚拟网络和/或使该虚拟网络的虚拟网络功能实体化。在此,可以应用不同的网络配置技术,例如VPN、在网络组件之间的“安全加密链路”的形成或者软件定义网络(SDN)。
虚拟网络优选地有关访问询问进行适配。此外,虚拟网络例如还是虚拟覆盖网络(Overlay-Netz),所述虚拟覆盖网络构造到现有网络(例如工业网络、WAN或因特网)上,也就是说使用该现有网络的结构的部分,以便输送数据。
虚拟网络功能例如可以包括对数据流量的控制(traffic shaping)、防火墙、中继(switching(开关))、数据流量操纵(routing(规定路线))或者对连接端的监控(portsmonitoring)。尤其是可以使在本地接口上的虚拟防火墙实体化,以便对本地访问进行限制和/或过滤。优选地,虚拟防火墙是专门用于保护工业网络的工业防火墙。
本地接口尤其可以被设置为使得对网络装置的本地访问满足确定的连接要求、例如针对工业网络的按照服务质量(Quality of Service,QoS)的规定。QoS可以预先给定对在工业网络中的连接以及数据传输的质量和/或品质的最低要求。QoS例如涉及连接和/或数据传输的速度、等待时间、抖动或可靠性。QoS还可涉及干扰、传输错误、连接错误和/或连接问题的频率。
按照一个实施方式,对网络装置的本地访问在时间上受限制。
访问询问可包含对网络装置的本地访问的所要期望的时长。访问时长可以由中央控制装置来规定,以访问询问来请求或者一般地来规定。此外,在中央控制装置上或者在本地接口上还可存储有预先限定的访问时长,而且该访问时长可以自动地被规定。对访问时长的说明可包括对网络装置的本地访问的开始时间点、结束时间点和/或时间间隔。
由于对本地访问的在时间上的限制,可以排除在访问时长期满之后对工业网络的不符合期望的访问。借此可以提高工业网络的安全性。
按照另一实施方式,该方法还包括在对网络装置的本地访问结束之后停用本地接口。
由此,防止了在本地访问结束之后对网络装置和/或工业网络的访问可能性的不必要的继续存在,而且消除了安全风险。
对本地接口的停用尤其可以包括对在本地接口上实体化或生成的组件的停用。这些组件例如涉及虚拟网络、虚拟网络功能、应用和/或操作系统。停用可包括关闭、删除、卸载、停止、中断、解开、除去或消除相对应的组件。
按照另一实施方式,借助于访问装置来进行对网络装置的本地访问,所述访问装置与本地接口耦合。此外,如果访问询问由中央控制装置认证,那么在访问装置上通过本地接口提供用于激活对网络装置的本地访问的访问记录。
优选地,访问记录包含关于本地访问的信任级别和/或被分配有访问记录的服务人员的信任级别的信息。访问记录可以个性化,也就是说与创建访问询问的服务人员适配和/或只对于该服务人员来说是有效的。对网络装置的本地访问尤其可以通过创建账户(Access Account(访问账户))来提供,服务人员可以利用所述账户接入到工业网络中。相对应地,访问记录可包含账户数据、例如用户标识符和密钥,用于接入到网络装置和/或工业网络中。
访问记录可以由中央控制装置根据对访问询问的分析的结果来创建。访问记录可以以预先存储在中央控制装置上的方式存在而且在对访问询问进行认证之后被输出。访问记录可包括如下时长,在所述时长之内允许访问网络装置。优选地,以加密的方式传输访问记录。
还可设想的是:当服务人员将访问记录输入到本地接口中或者输入到与本地接口连接的访问装置中时,才设置本地接口用于对网络装置的本地访问。
按照另一实施方式,该方法还包括生成虚拟网络。接着,工业网络的虚拟网络是工业网络的部分而且包括至少一个网络装置,访问询问集中于所述网络装置。在此,中央控制装置从虚拟网络中划分出去,即优选地不是由访问装置用于对至少一个网络装置的本地访问的虚拟网络的部分。
例如考虑覆盖网络(Overlay-Netz)作为虚拟网络。可设想的是基于协议的网络(如VLANS、VPN、VPLS或诸如此类的)以及软件定义网络(SDN)。
由此,可以生成被封装的网络,在所述被封装的网络中,对本地接口以及所分配的网络装置的访问受限制。借此可以降低工业网络的安全风险。
此外,在服务人员与网络装置之间的数据输送没有通过中央控制装置进行,使得由于更短的等待时间或更小的波动可以实现经改善的连接质量。
按照另一实施方式,该方法还包括将访问询问的访问规范传送给中央控制装置。在此,访问规范包括:访问装置的标志符、操作人员的身份、本地访问的连接方式、本地访问的连接要求、访问时长和/或被设置用于本地访问的资源。该方法还包括设置接口,用于按照访问规范对网络装置的本地访问。
尤其是,访问规范可规定对网络装置的本地访问的带宽和/或计算能力。针对同时进行多个对网络装置的本地访问的情况,可以是有利的是:例如借助于使连接区分优先次序来规定和管理对在本地接口和网络装置上的资源、尤其是带宽和计算能力的分配。
连接要求尤其可以通过标准、例如通信服务的服务质量或服务品质来确定。连接要求可对应于预先给定的标准,例如IEEE 802.1p。
按照另一实施方式,对本地接口的设置包括对在本地接口上的应用的实体化。
这些应用例如包括在对网络装置的本地访问时被使用的应用。这些应用还可包括虚拟传感器,所述虚拟传感器在网络装置上实体化。这些应用还可以在访问装置上实体化,所述访问装置与本地接口连接。
按照另一实施方式,借助于以存储在中央控制装置上的方式存在的模型(Vorlage)来设置本地接口。
这些模型可包括如下数据或信息的组件或组成部分,所述数据或信息对于设置本地接口用于对网络装置的访问来说是重要的。例如,这些模型包括关于信任级别、访问方式、访问时长、连接要求、访问装置和/或资源分配的信息。尤其是,这些模型可以至少部分地包含用于对网络装置的访问的访问规范。
按照另一实施方式,以加密的方式将访问询问传送给中央控制装置。附加地或可替换地,由中央控制装置以加密的方式来设置本地接口。
由此可以进一步提高工业网络的安全性。尤其是可以更好地阻挡外部的攻击。
按照另一实施方式,为了维护、检查、监控、调整、运行、修理、接通、切断、操控网络装置和/或为了本地调用网络装置的数据,进行对网络装置的本地访问。
为了上面提到的目的之一,服务人员可执行本地访问。尤其是,在所分配的网络装置上实施技术工作。
按照另一实施方式,通过局域网(LAN)和/或借助于无线LAN、蓝牙、移动无线电技术、基于LTE的连接和/或以有线连接的方式来进行对网络装置的本地访问。
由此,可以改善在对网络装置的本地访问时的连接质量。附加地,短的数据传输距离可以进一步改善连接质量。
按照另一实施方式,该工业网络包括多个网络装置。在此,访问询问包括对工业网络的多个网络装置的子网的本地访问,其中通过本地接口进行本地访问。
该方法的上面所描述的特征也可以被应用到对工业网络的子网的本地访问上。网络装置的子网可以是地理上彼此靠近的网络装置的联合体。尤其是,该子网可对应于工业网络的多个位置中的一个位置。子网尤其可以通过网络装置(例如用于在自动化网络中的现场设备的控制器)的功能性来规定。
该子网可包括工业网络的网络装置的所限定的子集。子网还可以以虚拟网络的形式来构造。子网的本地接口可以与该子网的网络装置中的每个网络装置连接并且能够实现对这些网络装置中的每个网络装置的本地访问。
按照另一实施方式,对网络装置的本地访问具有比用于由中央控制装置操控网络装置的数据传输距离更短的数据传输距离。
尤其是,在网络装置与中央控制装置之间的地理距离大于在网络装置与本地接口之间的地理距离。较短的数据传输距离可以减少在数据传输时的等待时间和/或减少不符合期望的波动(例如抖动)。以这种方式,例如可以改善连接质量。该方法尤其能够实现:可以实现对于相应的应用来说必要的对连接质量的确保。
优选地,有计划地将本地接口分派给例如所基于的网络基础设施,而且将相对应的资源提供给例如所基于的网络基础设施。由此,在存在本地接口的时长内也可以确保确定的连接质量。
按照本发明的第二方面,提出了一种工业网络。该工业网络包括至少一个网络装置,所述网络装置能由中央控制装置来操控。该工业网络还包括本地接口,用于对网络装置的本地访问。该工业网络适合于实施上面所描述的方法。
该工业网络尤其包括多个网络装置。上面针对用于运行工业网络的方法所提出的全部特征也可以相对应地被应用到所提出的工业网络上。
按照一个实施方式,该工业网络至少部分地以网络中的虚拟个人网络(VirtualPersonal Network,VPN)的形式来提供。
尤其是,在工业网络中至少部分地通过广域网(WAN)或因特网来进行数据输送,所述广域网或因特网被用作工业网络的传输路径。附加地或可替换地,该工业网络可具有主干线(Backbone线)或无线电连接,用于传输数据。
所提出的方法以及所提出的工业网络尤其能够在工业服务质量要求的支持下实现对网络装置的本地访问。此外,不需要对通过遥远的地理距离的连接花费高地进行规定路线。可以暂时提供本地访问。通过停用本地访问,可以消除也许有损害的或者有安全风险的连接和/或功能。由此,可以实现工业网络的被提高的安全性。
网络资源、例如带宽或计算能力可以面向需求地来组织和请求。同样,可以减少对工业网络的网络装置的访问的监控花费。
相应的单元,例如访问装置、本地接口或中央控制装置可以以硬件技术方式和/或也可以以软件技术方式来实现。在以硬件技术方式的实现方案中,相应的单元可以构造为装置或者构造为装置的部分,例如可以构造为计算机或者构造为微处理器或者构造为车辆的控制计算器。在以软件技术方式的实现方案的情况下,相应的单元可以被构造为计算机程序产品、被构造为函数、被构造为例程、被构造为程序代码的部分或者被构造为可实施的对象。
此外,还提出了一种计算机程序产品,所述计算机程序产品在受程序控制的装置(诸如网络的元件)上促使如上面所阐述的那样的方法的执行。相应的受程序控制的装置不仅可以基于软件而且可以基于硬件。例如,可设想的是将访问装置实现为在智能电话上能下载的或者能短时间地安装或激活的访问应用。
计算机程序产品、诸如计算机程序装置例如可以作为存储介质(诸如存储卡、USB记忆棒、CD-ROM、DVD)或者也可以以网络中的服务器的能下载的文件的形式来提供或者供应。这例如可以在无线通信网络中通过利用计算机程序产品或者计算机程序装置传输相对应的文件来实现。
针对所提出的方法描述的实施方式和特征相对应地适用于所提出的工业网络。
本发明的其它可能的实现方案也包括之前或者在下文关于实施例所描述的特征或者实施方式的没有明确提到的组合。在此,本领域技术人员也将把单个方面作为改善方案或补充方案添加到本发明的相应的基本形式。
附图说明
本发明的其它有利的设计方案和方面是从属权利要求的以及本发明的在下文所描述的实施例的主题。在下文中,本发明依据优选的实施方式参考随附的附图进一步予以阐述。
图1示出了具有访问装置的工业网络的第一实施方式的示意图;
图2示出了具有访问装置的工业网络的第二实施方式的示意图;
图3示出了用于运行工业网络的方法的时序图;
图4示出了具有访问装置的工业网络的第三实施方式的示意图;
图5示出了具有访问装置的工业网络的第四实施方式的示意图;而
图6示出了具有访问装置的工业网络的第五实施方式的示意图。
在所述附图中,只要不另作说明,相同的或者功能相同的要素就已经配备有相同的附图标记。
具体实施方式
图1示出了具有访问装置104的工业网络100的第一实施方式的示意图。
工业网络100包括网络装置101和本地接口102。本地接口102通过线路105与网络装置101连接。网络装置101和本地接口102通过相应的线路106、107与中央控制装置103连接。本地接口102允许服务人员U对网络装置101进行本地访问A,所述服务人员U是技术人员、操作人员、机械师或系统管理员。
本地接口102与访问装置104连接。访问装置104配备有计算能力和存储能力。访问装置104是在工业网络100中的计算机、移动计算机或终端。借助于访问装置104,可以通过本地接口102来访问网络装置101。访问装置104通过物理线路(例如以太网电缆)或无线地(例如通过W-LAN)或通过移动无线电(例如通过LTE-Advanced连接)与本地接口102连接。
服务人员U通过访问装置104将访问询问Q发送给中央控制装置103。控制装置103对该访问询问Q进行分析。对该访问询问Q进行认证并且规定服务人员U的信任级别。此外,中央控制装置103还创建访问配置K,按照所述访问配置K,服务人员U设置本地接口102用于对网络装置101的本地访问A。
本地接口102尤其是配备有计算能力和存储能力,以便存储和/或实施访问配置K。访问配置K被传送给本地接口102并且在那里实体化。在此,一组应用在本地接口102上安装和启动,而用于检测和处理数据的虚拟传感器在网络装置101上安装和启动。
因此,本地接口102被设置用于对网络装置101的本地访问A。借助于应用和虚拟传感器,服务人员U可以与网络装置101相互作用并且从该网络装置101查询数据。此外,为了维护、控制、运行、操作、修理、调整网络装置101或者从网络装置101查询数据,可以进行对网络装置101的本地访问A。
图2示出了具有图1中的访问装置104的工业网络200的第二实施方式的示意图。
工业网络200具有图1中的工业网络100的所有特征和要素以及装置。附加地,中央控制装置103配备有数据库装置201,在所述数据库装置201上以预先存储的方式存在用于设置用于对网络装置101的本地访问A的本地接口102的模型。
这些模型不仅包括预先完成的访问配置而且包括用于访问配置的组件。这些模型尤其包括如下访问规范,例如连接要求、访问装置的标志符、服务人员U的身份或信任级别、本地访问A的连接方式、访问时长和/或资源,所述访问规范描述了对网络装置101的本地访问A的特性。
例如,该工业网络是具有风力发电机作为网络装置101的供电网络。服务人员U向中央控制装置103请求在8个小时内对风力发电机101的控制单元的访问,以便执行按计划的检查,所述服务人员是风力发电机101的制造商的技术人员,所述中央控制装置是风力发电机101的运营商的中央服务器计算机。该检查尤其涉及运行功率、磨损、特征参量(电压、频率和振幅)的波动以及准确的可控性。在另一示例中,服务人员向中央服务器计算机请求对风力发电机101的访问,以便检测统计数据、例如最后2周所生成的电功率。
中央控制装置103基于存储在数据库装置201上的模型来创建用于对网络装置的本地访问A的访问配置K。紧接着,访问配置K被传送给本地接口102并且在那里实体化。
在对访问询问Q的认证成功之后,中央控制装置103按照服务人员U的信任级别创建以访问令牌的形式的访问记录T。访问令牌T包含用于接入到工业网络200中的用户标志符和密码以及如下访问时长(例如24小时或7天),在所述访问时长之内允许本地访问A。访问询问Q以及访问令牌T在加密的、优选地私人的连接中、例如通过作为VPN连接的因特网来传送。
图3示出了用于运行工业网络的方法300的时序图。图3中的方法300尤其适合于运行图1和2中的工业网络100、200。此外,在图3中示出的方法300还适合于运行如下工业网络,所述工业网络在图4至6中示出并且在下文予以阐述。
在图3中,中央控制装置103、访问装置104和本地接口102象征性地成水平排列地并排地示出。垂直的时间轴310示出了该方法300的随时间的流程。
在第一步骤301中,访问询问Q由访问装置104或服务人员U传送给中央控制装置103。在此,访问询问Q可包含所要求的访问规范S。
在下一步骤302中,访问询问Q由中央控制装置103来认证。尤其是,对访问规范S进行分析。必要时,确定预先存储的模型、例如在图2中的数据库201上的预先存储的模型,所述模型对应于访问询问或访问规范。可选地,还规定了服务人员U的信任级别。
在对访问询问Q的认证成功之后,中央控制装置103在下一步骤303中创建访问配置K,用来设置本地接口102用于对网络装置101的本地访问A。可选地,中央控制装置103还创建服务人员U的访问记录T。可选地,中央控制装置103还在本地接口102上或在访问装置104上创建访问账户,服务人员U利用所述访问账户可以接入到网络装置101或工业网络100、200中。访问装置是计算机或终端,所述访问装置与本地接口102连接或者集成到所述本地接口中。
在下一步骤304中,访问配置K由中央控制装置103传送给本地接口102并且在那里实体化。本地接口102以这种方式被设置用于对网络装置101的本地访问A。以加密的方式并且通过私人的连接、例如通过作为VPN连接的因特网来传送访问配置K。
在另一步骤305中,访问令牌T被提供给服务人员U。访问令牌T可以直接地、例如通过移动无线电或VPN连接来传给服务人员或者可以在本地接口102上和/或在访问装置104上提供。在此,以加密的方式传送访问令牌T。可选地,访问令牌T还包含访问账户数据,例如用户标志符和密码,用于在使用访问账户的情况下接入到网络装置101或工业网络100、200中。
在另一步骤306中,从访问装置104出发通过本地接口102进行对网络装置101的本地访问A。本地访问A尤其能够实现在网络装置101上的维护工作、服务业务或数据查询。
在紧接着的步骤307中,关闭本地接口102并且针对本地访问A禁用本地接口102。可选地,还删除并且停用访问记录T,使得访问记录T不再有效。
在下文,该工业网络和该方法依据风力发电机和风力发电厂的示例来阐明。在图4至6中示出的示例具有在图1中示出的工业网络100和借助于图1阐述的用于运行工业网络100的方法的全部特征。
图4示出了具有访问装置104的工业网络400的第三实施方式的示意图。
工业网络400包括具有风力发电机101a至101c的风力发电厂。风力发电机101a-101c与相应的本地接口102a-102b连接,所述本地接口102a-102b能够实现对所分配的风力发电机101a-101c的本地访问。
中央控制装置103被构造为具有计算能力和存储能力的服务器计算机。访问装置104是移动计算机,所述移动计算机可以与本地接口102a-102c连接。
图4示出了从移动计算机104出发通过本地接口102c对网络装置101c的本地访问A。从移动计算机104出发将访问询问Q传送给服务器计算机103。服务器计算机103对访问询问Q进行分析。在对访问询问Q的认证成功之后,创建访问记录T并且将访问记录T传送给移动计算机104。此外,服务器计算机103还规定被传送给本地接口102c并且在那里实体化的访问配置K。
服务人员U将移动计算机104与本地接口102c连接,并且利用到移动计算机104上的访问记录T来接入到工业网络400中。在移动计算机上启动操作系统和不同的应用,所述不同的应用由访问配置K预先给定并且对于本地访问来说是必需的。此外,使虚拟传感器实体化,用于检测在风力发电机101c上的功率特性曲线。
访问配置K尤其被设计为使得在使用访问记录T的情况下对本地接口102c和所分配的风力发电机101c的本地访问受限制。为了该目的,生成虚拟网络401,所述虚拟网络只包括工业网络400的一部分并且防止了服务人员对其它网络装置101a、101b的访问。
此外,在本地接口上使虚拟网络401的虚拟网络功能实体化。为了设置虚拟网络401,应用如下网络配置技术,如VPN、在网络组件之间的“安全加密链路”的形成以及SDN。通过WAN或因特网实现基于VPN的连接,而对于未获授权者来说不能接触到。安全加密链路允许工业网络的两个或更多个成员通过使用不同于该工业网络的通信协议的连接(例如因特网)彼此进行通信。SDN技术能够实现由中央控制装置对工业网络的、尤其是在工业网络之内的虚拟网络的基于软件的配置和结构化。
虚拟网络功能包括:有针对性地控制在移动计算机104与风力发电机101a之间的数据流量;限制在移动计算机104与工业网络400的其它风力发电机101b、101c之间的数据流量;以及禁用其它用于连接对网络装置101a-101c或对工业网络400的未获授权的访问的连接端。此外,使在因特网与工业网络400以及虚拟网络401之间的虚拟工业防火墙实体化,以便防止来自因特网的未获授权的访问。
图5示出了具有移动计算机104作为访问装置的工业网络500的第四实施方式的示意图。
工业网络500包括多个风力发电机101作为网络装置。在图5中,在两个位置501、502示出了风力发电机101。在第一位置501上的风力发电机101组合成第一子网503。第一子网503与第一接口504连接,所述第一接口能够实现对第一子网503以及对第一子网503的网络装置101的访问。类似地,在第二位置502上的风力发电机101组合成第二子网505,其中第二子网505与第二接口506连接,通过所述第二接口,对子网506的风力发电机101的访问是可能的。
为了在工业网络500之内设置子网503、505,尤其是应用网络配置技术VPN、安全加密链路以及SDN。
图6示出了具有移动计算机104作为访问装置的工业网络600的第五实施方式的示意图。工业网络600尤其包括图5中的第一子网503的风力发电机101。
图6示出了通过本地接口504对网络装置101的第二子网503的本地访问A。在第一子网503与移动计算机104之间的地理距离DA为几厘米直至几百米。在第一子网503与服务器计算机103之间的地理距离DC为几公里直至几千公里。在没有规定路线的情况下通过服务器计算机103来进行对第一子网503的访问A,使得缩短了在数据传输时的等待时间并且减少了包丢失(paket loss)以及抖动(jitter)。因此,整体上改善了连接质量。
服务器计算机通过连接601与移动计算机104连接并且通过连接602与第一子网503连接。在此,部分地通过因特网来建立连接601、602。尤其是,连接601是通过认证形成的耦合,而连接602可以是受保护的连接、例如以专线的形式的受保护的连接。可替换地或附加地,这些连接601、602可至少部分地包括电线路、光线路或电磁线路。通过接口504的连接也可以作为VPN连接。中央服务器计算器103被内连到网络中,使得对接口504的设置是可能的。
上面描述的工业网络100、200、400、500、600优选地被设置为使得在工业网络之内的连接和数据传输满足预先限定的要求、例如服务质量或者如IEEE 802.1p那样的标准。通过对网络装置的直接并且本地的访问,连接质量相对于通过工业网络的中央控制装置的规定路线可以被改善。
对由服务人员U引起的本地访问的封装提高了相应的工业网络的安全性。本地访问还可以在时间上受限制,以便排除对工业网络的不必要的访问可能性。
即使本发明是依据风力发电厂来描述的,本发明也能各式各样地被应用,例如被应用到生产设施、其它供应网络(例如供电网络、供热网络、供水网络、供油网络或供气网络)、交通网络或通信网络上。
附图标记列表
100 工业网络
101、101a - 101c 网络装置
102、102a - 102c 本地接口
103 中央控制装置
104 访问装置
105 - 107 连接
200 工业网络
201 数据库装置
300 方法
301 - 307 方法步骤
400 工业网络
401 虚拟网络
500 工业网络
501、502 位置
503、505 子网
504、506 接口
600 工业网络
601、602 连接
A 本地访问
DA、DC 距离
K 访问配置
S 访问规范
T 访问记录
Q 访问询问
U 服务人员。
Claims (15)
1.一种用于运行工业网络(100)的方法(300),所述工业网络具有至少一个网络装置(101),所述网络装置能由中央控制装置(103)来操控;而且具有本地接口(102),用于对所述网络装置(101)的本地访问(A),所述方法包括:
通过所述本地接口(102)将用于对所述网络装置(101)的本地访问(A)的访问询问(Q)传送(301)给所述中央控制装置(103);
通过所述中央控制装置(103)对所述访问询问(Q)进行认证(302);而且
通过所述中央控制装置根据所述访问询问(Q)来设置(304)所述本地接口(102),用于对所述网络装置(101)的本地访问(A)。
2.根据权利要求1所述的方法,
其特征在于,对所述网络装置(101)的本地访问(A)在时间上受限制。
3.根据权利要求1或2所述的方法,
其特征在于:
在对所述网络装置(101)的本地访问(A)结束之后,停用(307)所述本地接口(102)。
4.根据上述权利要求之一所述的方法,
其特征在于,借助于访问装置(104)来进行对所述网络装置(101)的本地访问(A),所述访问装置与所述本地接口(102)耦合,而且
如果所述访问询问(Q)被认证,那么在所述访问装置(104)上通过所述本地接口(102)来提供访问记录(T),用于激活对所述访问装置(101)的本地访问(A)。
5.根据上述权利要求之一所述的方法,
其特征在于:
生成虚拟网络(400),所述虚拟网络是所述工业网络(100)的部分而且至少包括所述网络装置(101),所述访问询问(Q)集中于所述网络装置(101),
其中所述中央控制装置(103)不是所述虚拟网络(100)的部分。
6.根据上述权利要求之一所述的方法,
其特征在于:
将所述访问询问(Q)的访问规范(S)传送给所述中央控制装置(103),
其中所述访问规范(S)包括:访问装置的标志符、服务人员的身份、所述本地访问的连接方式、所述本地访问的连接要求、访问时长和/或被设置用于所述本地访问的资源;而且
设置所述本地接口(102),用于按照所述访问规范(S)对所述网络装置(101)的本地访问(A)。
7.根据上述权利要求之一所述的方法,
其特征在于,对所述本地接口(102)的设置(304)包括对在所述本地接口(102)上的应用的实体化。
8.根据上述权利要求之一所述的方法,
其特征在于,借助于存储在所述中央控制装置(103)上的模型来设置(304)所述本地接口(102)。
9.根据上述权利要求之一所述的方法,
其特征在于,以加密的方式将所述访问询问(Q)传送(301)给所述中央控制装置(103)和/或通过所述中央控制装置(103)以加密的方式设置(304)所述本地接口(102)。
10.根据上述权利要求之一所述的方法,
其特征在于,为了维护、检查、监控、调整、运行、修理、接通、切断、操控所述网络装置(101)和/或为了本地调用所述网络装置(101)的数据,进行对所述网络装置(101)的本地访问(A)。
11.根据上述权利要求之一所述的方法,
通过局域网和/或借助于无线LAN、蓝牙、移动无线电技术、基于LTE的连接和/或以有线连接的方式进行对所述网络装置(101)的本地访问(A)。
12.根据上述权利要求之一所述的方法,
其特征在于,所述工业网络(100)包括多个网络装置(101),而且所述访问询问(Q)包括通过相应的本地接口(504、506)对多个网络装置(101)的子网(503、505)的本地访问(A)。
13.根据上述权利要求之一所述的方法,
其特征在于,对所述网络装置(101)的本地访问(A)具有比用于由所述中央控制装置(103)操控所述网络装置(101)的数据传输距离(DC)更短的数据传输距离(DA)。
14.一种工业网络(100),所述工业网络具有:至少一个网络装置(101),所述网络装置能由中央控制装置(103)来操控;以及本地接口(102),用于对所述网络装置(101)的本地访问(A),其中所述工业网络(100)适合于实施根据权利要求1-13之一所述的方法。
15.根据权利要求14所述的工业网络,
其特征在于,所述工业网络(100)至少部分地以在网络(600)中的虚拟网络的形式来提供。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2015/070506 WO2017041831A1 (de) | 2015-09-08 | 2015-09-08 | Verfahren zum betreiben eines industrienetzwerks und industrienetzwerk |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107925651A true CN107925651A (zh) | 2018-04-17 |
Family
ID=54147151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580082986.4A Pending CN107925651A (zh) | 2015-09-08 | 2015-09-08 | 用于运行工业网络的方法以及工业网络 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20180262502A1 (zh) |
| EP (1) | EP3348032A1 (zh) |
| CN (1) | CN107925651A (zh) |
| WO (1) | WO2017041831A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112910847A (zh) * | 2021-01-15 | 2021-06-04 | 北京开物数智科技有限公司 | 一种基于切片的工业网络安全实现方法 |
| CN115191107A (zh) * | 2020-02-28 | 2022-10-14 | 西门子股份公司 | 用于检测通信网络中的数据流量的方法和系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3079046B1 (fr) * | 2018-03-14 | 2021-04-23 | Safran Aircraft Engines | Dispositifs et procede de telemaintenance securises de telemaintenance d'equipements industriels |
| CN114065274A (zh) * | 2020-08-07 | 2022-02-18 | 伊姆西Ip控股有限责任公司 | 用于处理信息的方法、电子设备和计算机程序产品 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101166344A (zh) * | 2006-10-18 | 2008-04-23 | 鼎桥通信技术有限公司 | 恢复数据方式的选取方法及无线网络控制器 |
| US7715414B1 (en) * | 2005-08-02 | 2010-05-11 | Sprint Communications Company L.P. | Communication service provider that controls an access interface of an access provider where the access interface is located at a customer premise |
| CN102056321A (zh) * | 2009-10-30 | 2011-05-11 | 中兴通讯股份有限公司 | 一种实现本地接入的方法及系统 |
| WO2013106688A2 (en) * | 2012-01-13 | 2013-07-18 | Telecommunication Systems, Inc. | Authenticating cloud computing enabling secure services |
| CN104184735A (zh) * | 2014-08-26 | 2014-12-03 | 国家电网公司 | 电力营销移动应用安全防护系统 |
| US9038151B1 (en) * | 2012-09-20 | 2015-05-19 | Wiretap Ventures, LLC | Authentication for software defined networks |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5702900B1 (ja) * | 2012-03-02 | 2015-04-15 | コーニンクレッカ フィリップス エヌ ヴェ | ビルオートメーション及び制御システムのアクセス判定評価のためのシステム及び方法 |
-
2015
- 2015-09-08 US US15/758,578 patent/US20180262502A1/en not_active Abandoned
- 2015-09-08 CN CN201580082986.4A patent/CN107925651A/zh active Pending
- 2015-09-08 EP EP15766084.6A patent/EP3348032A1/de not_active Withdrawn
- 2015-09-08 WO PCT/EP2015/070506 patent/WO2017041831A1/de active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7715414B1 (en) * | 2005-08-02 | 2010-05-11 | Sprint Communications Company L.P. | Communication service provider that controls an access interface of an access provider where the access interface is located at a customer premise |
| CN101166344A (zh) * | 2006-10-18 | 2008-04-23 | 鼎桥通信技术有限公司 | 恢复数据方式的选取方法及无线网络控制器 |
| CN102056321A (zh) * | 2009-10-30 | 2011-05-11 | 中兴通讯股份有限公司 | 一种实现本地接入的方法及系统 |
| WO2013106688A2 (en) * | 2012-01-13 | 2013-07-18 | Telecommunication Systems, Inc. | Authenticating cloud computing enabling secure services |
| US9038151B1 (en) * | 2012-09-20 | 2015-05-19 | Wiretap Ventures, LLC | Authentication for software defined networks |
| CN104184735A (zh) * | 2014-08-26 | 2014-12-03 | 国家电网公司 | 电力营销移动应用安全防护系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115191107A (zh) * | 2020-02-28 | 2022-10-14 | 西门子股份公司 | 用于检测通信网络中的数据流量的方法和系统 |
| CN115191107B (zh) * | 2020-02-28 | 2024-03-15 | 西门子股份公司 | 用于检测通信网络中的数据流量的方法和系统 |
| CN112910847A (zh) * | 2021-01-15 | 2021-06-04 | 北京开物数智科技有限公司 | 一种基于切片的工业网络安全实现方法 |
| CN112910847B (zh) * | 2021-01-15 | 2023-04-07 | 北京开物数智科技有限公司 | 一种基于切片的工业网络安全实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180262502A1 (en) | 2018-09-13 |
| EP3348032A1 (de) | 2018-07-18 |
| WO2017041831A1 (de) | 2017-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107976972B (zh) | 安全的过程控制通信 | |
| CN107976973B (zh) | 安全的过程控制通信 | |
| CN107976967B (zh) | 跨用于安全过程控制通信的数据二极管发布数据 | |
| US10616276B2 (en) | Tunneling for network deceptions | |
| CN109901533B (zh) | 用于在过程控制系统中使用的方法和设备 | |
| EP3366018B1 (en) | Device for use in a network, controller, network and method | |
| CN107925651A (zh) | 用于运行工业网络的方法以及工业网络 | |
| CN108696565A (zh) | 基于混合云和异构物联网的一体化数字家庭控制系统 | |
| CN105723658B (zh) | 网络系统、耦合单元以及用于运行网络系统的方法 | |
| CN112866077B (zh) | 一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质 | |
| CN105429938B (zh) | 一种资源配置方法及装置 | |
| CN207053552U (zh) | 一种基于混合云和异构物联网的数字家庭装置 | |
| CN114500120B (zh) | 一种公共云的扩展方法、设备、系统及存储介质 | |
| CN105278398A (zh) | 工业控制系统中的操作员动作认证 | |
| CN102859968B (zh) | 用于操作、观察和/或配置技术设备的自动化系统的方法 | |
| CN103532720A (zh) | 一种capwap报文的传输方法和设备 | |
| CN104253832B (zh) | 远端文件管理方法及系统 | |
| CN107040508A (zh) | 用于适配终端设备的授权信息的设备和方法 | |
| US9940116B2 (en) | System for performing remote services for a technical installation | |
| KR102386386B1 (ko) | 단말기의 선택적 vpn 연결 기능을 갖는 공유기 및 이를 이용한 단말기의 vpn 연결 방법 | |
| CN106454817B (zh) | 一种wlan认证方法及系统、AP设备 | |
| CN104025541B (zh) | 远程接入终端上业务报文的处理方法和远程接入终端 | |
| Wall et al. | Trust Zone Formation for Building Automation Networks Using Building Information Modeling | |
| Sivén | Securing profinet networks | |
| Seewald et al. | Intelligent Network Supporting the Digital Transformation of the Electrical Grid: Reinventing Networks for the Digital Age |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180417 |
|
| WD01 | Invention patent application deemed withdrawn after publication |