CN109688101A - 用于控制设备的方法以及控制系统 - Google Patents

用于控制设备的方法以及控制系统 Download PDF

Info

Publication number
CN109688101A
CN109688101A CN201811214500.XA CN201811214500A CN109688101A CN 109688101 A CN109688101 A CN 109688101A CN 201811214500 A CN201811214500 A CN 201811214500A CN 109688101 A CN109688101 A CN 109688101A
Authority
CN
China
Prior art keywords
order
motion
server
equipment
sent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811214500.XA
Other languages
English (en)
Other versions
CN109688101B (zh
Inventor
R.施莱格尔
T.洛赫尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB Technology AG
Original Assignee
ABB Technology AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB Technology AG filed Critical ABB Technology AG
Publication of CN109688101A publication Critical patent/CN109688101A/zh
Application granted granted Critical
Publication of CN109688101B publication Critical patent/CN109688101B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/805QOS or priority aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Selective Calling Equipment (AREA)

Abstract

提供了一种用于控制设备(100)的方法。所述方法包括:将由操作者的签名签署的命令发送到服务器(200);在所述服务器(200)中验证所述操作者被认证以传输所述命令;在所述服务器(200)中将关键性级别和授权级别指派给所述命令;取决于所述关键性级别和所述授权级别,将与所述命令相关的批准请求发送到至少一个控制用户;由所述至少一个控制用户的至少子集对所述批准请求进行批准或拒绝;将经拒绝或批准的批准请求发送回到所述服务器(200);在所述服务器(200)中基于所述关键性级别和所述授权级别来确定所述命令是否被足够多的控制用户批准;以及在所述命令被足够多的控制用户批准的情况下,将所述命令发送到所述设备(100)以供所述设备(100)实施,其中所述至少一个控制用户和所述操作者中的至少一个彼此远离。

Description

用于控制设备的方法以及控制系统
技术领域
本发明的方面涉及用于控制设备的方法,并且具体涉及用于利用至少一个远程实体的交互控制设备的方法。进一步方面涉及控制系统,具体地,被配置成实施用于控制设备的方法的控制系统。
背景技术
用于控制设备的系统是已知的。而且,用于远程控制设备的系统是已知的。在其中设备可以被远程控制(例如配置的改变、发起动作等)的当前系统中,常常存在负责在没有任何附加监督的情况下发起这些改变和动作的单个人。这些动作中的一些可能是极其关键的,例如,在极端情况下,不正确的配置改变或动作可能损坏装备或危及生命。到现在为止,这还不是大问题,由于存在相对较少的以该方式远程控制的设备。然而,随着越来越多的设备被远程控制(例如通过IoT等),确保命令被发送到远程控制的设备的安全和安全性变得重要。
因此,存在针对克服这些问题的至少一部分的用于控制设备的方法以及控制系统的需要。
发明内容
鉴于上述内容,提供了根据权利要求1和2所述的用于控制设备的方法以及根据权利要求12所述的控制系统。
根据一方面,提供了一种用于控制设备的方法。所述方法包括:将由操作者的签名签署的命令发送到服务器;在所述服务器中验证所述操作者被认证以传输所述命令;在所述服务器中将关键性级别和授权级别指派给所述命令;取决于所述关键性级别和所述授权级别,将与所述命令相关的批准请求发送到至少一个控制用户;由所述至少一个控制用户的至少子集对所述批准请求进行批准或拒绝;将经拒绝或批准的批准请求发送回到所述服务器;在所述服务器中基于所述关键性级别和所述授权级别来确定所述命令是否被足够多的控制用户批准;以及在所述命令被足够多的控制用户批准的情况下,将所述命令发送到所述设备以供所述设备实施。所述至少一个控制用户和所述操作者中的至少一个彼此远离。
根据另一方面,提供了一种用于控制设备的方法。所述方法包括:将由操作者的签名签署的命令发送到服务器;在所述服务器中验证所述操作者被认证以传输所述命令;将所述命令发送到所述设备以供所述设备实施;在所述服务器中将关键性级别和授权级别指派给所述命令;取决于所述关键性级别和所述授权级别,将与所述命令相关的批准请求发送到至少一个控制用户;以及在所述设备未接收到停止所述命令的执行的停止命令的情况下,进一步实施所述命令。所述至少一个控制用户和所述操作者中的至少一个彼此远离。
根据另一方面,提供了一种用于控制设备的方法。所述方法包括:将由操作者的签名签署的命令发送到服务器;在所述服务器中验证所述操作者被认证以传输所述命令;将所述命令发送到所述设备以供所述设备实施;在所述服务器中将关键性级别和授权级别指派给所述命令;取决于所述关键性级别和所述授权级别,将与所述命令相关的批准请求发送到至少一个控制用户;由所述至少一个控制用户的至少子集对所述批准请求进行批准或拒绝;将经拒绝或批准的批准请求发送回到所述服务器;在所述服务器中基于所述关键性级别和所述授权级别来确定所述命令是否被足够多的控制用户批准;以及在所述命令未被足够多的控制用户批准的情况下,将回滚命令发送到所述设备。所述至少一个控制用户和所述操作者中的至少一个彼此远离。
根据另一方面,提供了一种控制系统。所述控制系统包括:设备;至少一个控制接口;以及服务器。所述服务器被配置成:接收由操作者的签名签署的命令;验证所述操作者被认证以传输所述命令;将关键性级别和授权级别指派给所述命令;以及取决于所述关键性级别和所述授权级别,将与所述命令相关的批准请求发送到所述至少一个控制接口。所述至少一个控制接口被配置成:令所述批准请求由所述至少一个控制用户批准或拒绝;以及将经拒绝或批准的批准请求发送回到所述服务器。所述服务器进一步被配置成:基于所述关键性级别和所述授权级别来确定所述命令是否被足够多的控制用户批准;以及将所述命令发送到所述设备以供所述设备实施。所述设备、所述服务器和所述至少一个控制接口中的至少一个彼此远离。
关于可被应用于其中操作者的责任增大的设备的用于控制设备的方法和/或控制系统,可以确保被发送到设备的命令是适当的。特别地,其可以是通过施加针对命令的批准工作流程来确保的。相应地,可以保护设备免于无意的错误以及免于内部人攻击(例如,不满的雇员)。进一步地,可以将关键性级别指派给命令,并且可以对关键性级别定做批准工作流程或方法,由此可以最小化过程的影响。
可与本文描述的实施例组合的进一步优势、特征、方面和细节从从属权利要求、说明书和附图中显而易见。
附图说明
以下将参考附图来描述细节,其中:
图1是根据实施例的控制系统的示意图;
图2是根据实施例的用于控制设备的方法的流程图;
图3是根据实施例的用于控制设备的方法的流程图;
图4是根据实施例的用于控制设备的方法的流程图;以及
图5是根据实施例的控制系统的示意图。
具体实施方式
现在将详细地参考各种实施例,其一个或多个示例在每一幅图中图示。每一个示例是作为解释而提供的,而不意在作为限制。例如,可以在任何其他实施例上或结合任何其他实施例使用被说明或描述为一个实施例的一部分的特征,以产生又一实施例。意图在于,本公开包括这种修改和变型。
在附图的以下描述内,相同附图标记指代相同或类似部件。一般地,仅描述关于各个实施例的区别。除非以其他方式指定,一个实施例中的部分或方面的描述也适用于另一实施例中的对应部分或方面。
本文描述的实施例可以将批准过程应用于远程控制操作。特别地,可以确保已经通过所定义的过程来筛选和批准被发送到远程控制的设备的所有命令,具体地,以确保在远程控制的设备上执行仅安全的和安全性的指令。进一步地,可以对发出命令的关键性级别定做批准过程。例如,与可能具有影响深远的后果的命令相比,微不足道的命令可能关联于更不严格的批准。
图1示出了控制系统的示意图。控制系统可以包括设备100、至少一个控制接口300和/或服务器200。设备100、服务器200和至少一个控制接口300中的至少一个可以彼此远离。设备100可以是静止或移动设备。具体地,该设备可以是资产,诸如船,或任何固定资产,诸如自动化系统中的设备等。特别地,该设备可以是能够执行物理任务的设备。进一步地,设备100可以包括用于移动设备100和/或改变设备100的行进方向的促动器。
设备100、至少一个控制接口300和/或服务器200可以被配置用于建立通信链路到设备100、至少一个控制接口300和/或服务器200中的至少另一个,以便与设备100、至少一个控制接口300和/或服务器200中的至少另一个通信。例如,服务器200可以被配置成与设备100和至少一个控制接口300通信。进一步地,服务器200可以是受保护的访问控制服务器。
服务器200可以被配置成接收由操作者的签名签署的命令。服务器200可以从可远离于服务器的系统部件接收命令。例如,系统部件可以是设备100的部分或者可以远离于设备100。系统部件可以自主地(即,通过自动过程)或者代表手动发出命令的操作者发出命令。命令可以是使用操作者的签名来签署的。如果命令是自动发出的,则可以利用对系统部件进行操作的操作者的签名来签署命令。
服务器200可以被配置成验证操作者被认证以传输命令。也就是说,服务器200可以验证签署命令的操作者是否被认证以发出命令。具体地,操作者的签名可以用于验证操作者被认证以传输命令。
服务器200可以被配置成将关键性级别和/或授权级别指派给命令。在本申请的上下文中,“关键性级别”(诸如,可指派给命令的关键性级别)可以是与批准约束相联系的值。例如,关键性级别可以声明有多少控制用户必须在执行之前批准命令。根据本文描述的实施例,关键性级别可以设置必须在命令可以被执行之前批准命令的控制用户的量。同样地,在本申请的上下文中,“授权级别”(诸如,可指派给命令的授权级别)可以是与批准约束相联系的值。例如,授权级别可以声明控制用户必须具有哪个角色以用于被认证以批准命令。
根据本文描述的实施例,可以静态地和/或动态地确定和/或改变关键性级别。特别地,可以手动地和/或利用基于给定规则集对该过程进行自动化的工具编译每一个命令的关键性级别的静态定义。例如,影响设备的某关键部件的任何命令可以被自动地指派有高关键性级别。对关键性级别的动态改变可以包括:由具有足够访问权的控制用户和/或操作者手动地改变运行设备的配置。动态改变也可以自动发生,例如,可以在诸如白天/夜间、工作日/周末等等之类的不同时间处应用不同配置。根据实施例,动态地确定和/或改变关键性级别基于机器学习方案。
服务器200可以被配置成将与命令相关的批准请求发送到至少一个控制接口300。服务器200可以被配置成取决于关键性级别和授权级别而发送批准请求。也就是说,如果命令的关键性级别指示要求由至少一个控制用户进行的批准,则可以发送批准请求。进一步地,批准请求可以被发送到被认证以对批准请求进行批准的至少一个控制用户。根据本文描述的实施例,批准请求可以仅被发送到被认证以对批准请求进行拒绝和/或批准的控制用户。
例如,如果非常低的关键性级别被指派给命令,则可能不要求命令的批准。也就是说,仅某个关键性级别处的命令必须由至少一个控制用户批准。进一步地,批准请求可以被发送到比所需的控制用户多或甚至多出许多的控制用户,使得一接收到足够多的经批准的批准请求就可以将命令发送到设备100。当实践实施例时,可以加速批准过程和/或可以最小化过程减慢。
进一步地,可以将批准请求与所签署的命令一起发送。此外,批准请求可以被签署。附加地或可替换地,服务器200可以被配置成利用服务器的签名签署批准请求和/或命令。根据实施例,可以指示谁发出了命令和/或哪个服务器分发命令。
至少一个控制接口300可以被配置成令批准请求由至少一个控制用户批准或拒绝。具体地,控制接口300可以被配置成提示控制用户以对批准请求进行批准或拒绝。至少一个控制接口300可以被配置成将经拒绝或批准的批准请求发送回到服务器200。
尽管该至少一个控制用户可以对批准请求进行批准或拒绝,但该至少一个控制用户必须不被迫对批准请求作出反应。例如,该至少一个控制用户可以忽略批准请求。在这种情形中,未经批准的批准请求将被发送回到服务器100。
在其中高的或甚至非常高的关键性级别被指派给命令的情况下,该至少一个控制用户可以被迫对批准请求作出响应,即,对批准请求进行批准或拒绝。例如,至少一个控制接口300可以被配置成中断处理和/或推迟任何其他任务,直到该至少一个控制用户已经对批准请求进行批准或拒绝。根据实施例,可以将与命令相关的批准请求连同对控制用户的控制接口300上的进行中的过程进行中断的中断命令一起发送到该至少一个控制用户,直到批准请求被批准或拒绝。附加地或可替换地,关键性级别可以确定至少一个控制接口300中断处理和/或推迟任何其他任务,直到该至少一个控制用户已经对批准请求进行批准或拒绝。当实践实施例时,可以加速批准过程和/或可以最小化过程减慢。
服务器200可以被配置成基于关键性级别和授权级别来确定命令是否被足够多的控制用户批准。具体地,服务器100可以被配置成确定是否具有适当角色的足够多的控制用户已经对批准请求进行批准。例如,不具有适当角色的一些控制用户可能已经对批准请求进行批准,但这些批准未被考虑。根据本文描述的实施例,服务器200可以被配置成验证经拒绝或批准的批准请求是否由被认证以对批准请求进行拒绝和/或批准的控制用户发送。根据本文描述的实施例,确定命令是否被足够多的控制用户批准包括:将经拒绝和/或批准的批准请求的量和/或授权级别与阈值进行比较。阈值可以取决于关键性级别。
进一步地,服务器200可以包括可被配置成计数到预定时限的定时器。如果该时限流逝而未接收到足够多的经批准的批准请求,则服务器100可以被配置成将超时指示符发送到发起命令的系统部件和/或设备100,指示没有足够多的具有适当角色的控制用户已经在该时限内对批准请求进行批准。在这种情况下,设备不会实施命令。然而,发起命令的系统部件可以将命令连同至少暂时改变命令的关键性级别和/或认证级别的请求一起再发送。相应地,可能要求更少批准,和/或该至少一个控制用户可能被迫对批准请求作出响应。
服务器200可以被配置成将命令发送到设备100以供设备100实施。具体地,如果具有适当角色的足够多的控制用户已经对批准请求进行批准,即,如果足够多的经批准的批准请求已经被服务器接收到,具体地在时限内,则服务器200可以被配置成将命令发送到设备100以供设备100实施。
在接收到命令之后,设备100可以实施命令。具体地,命令可以执行由命令给出的某个任务。例如,在设备是船的情况下,命令可以指示该船执行某个操纵,诸如左转。命令可以由设备100上的操作者(诸如,机长或驾驶员)发出,或者可以由远离于设备100的操作者发出。此外,命令可以触发维护任务或释放。
根据本文描述的实施例,设备100可以被配置成发送指示命令被实施或曾被实施的回复消息。回复消息可以被发送到服务器200,服务器200可以将回复消息转发到该至少一个控制用户和/或发出命令的系统部件。例如,服务器200可以被配置成将回复消息转发到已对批准请求作出响应(具体地,进行批准)的那些控制用户。此外,服务器200可以被配置成:在命令被足够多的控制用户批准的情况下,将“批准成功”消息发送到发出命令的系统部件。附加地或可替换地,服务器200可以被配置成:在命令未被足够多的控制用户批准的情况下和/或当在接收到足够多的批准之前时限流逝时,将“批准失败”消息发送到发出命令的系统部件。
尽管可以按任何逻辑次序实施本文描述的操作、任务和/或过程中的任一个,但至少发送命令和发送批准请求的操作是顺序地实施的。
根据本文描述的实施例,设备100、服务器200和至少一个控制接口300中的至少一个可以包括用于将设备连接到数据网络(特别地,全球数据网络)的网络接口。数据网络可以是TCP/IP网络,诸如因特网。设备100、服务器200和至少一个控制接口300中的至少一个可以操作地连接到网络接口以用于实施从数据网络接收到的命令。命令可以包括用于控制设备实施任务(诸如,移动设备100和/或改变设备100的行进方向)的控制命令。在该情况下,设备100可以被适配用于响应于控制命令而实施任务。命令可以包括状态请求。响应于状态请求或者在没有在先状态请求的情况下,设备100、服务器200和至少一个控制接口300中的至少一个可以被适配用于将状态信息发送到网络接口,并且网络接口然后被适配用于在网络上发送状态信息。命令可以包括更新命令,该更新命令包括更新数据。在该情况下,设备100、服务器200和至少一个控制接口300中的至少一个可以被适配用于响应于更新命令且使用更新数据来发起更新。
数据网络可以是使用TCP/IP的以太网网络,诸如LAN、WAN或因特网。数据网络可以包括分布式储存单元,诸如云。取决于应用,云可以以公共、私有、混合或社群云的形式存在。
网络接口可以被配置成在设备100、服务器200和至少一个控制接口300中的至少一个与数据网络之间收发数字信号/数据,其中数字信号/数据包括与设备或网络有关的信息和/或操作命令。具体地,网络接口和/或数据网络可以用于在设备100、服务器200和至少一个控制接口300中的至少一个与设备100、至少一个控制接口300和/或服务器200中的至少另一个之间建立通信链路。
图2示出了用于控制设备100的方法700的流程图。该方法可以包括框710至780中的至少一个。在框710中,可以将由操作者的签名签署的命令发送到服务器200。在框720中,可以在服务器200中验证操作者被认证以传输命令。在框730中,可以将关键性级别和/或授权级别指派给命令。在框740中,可以取决于关键性级别和/或授权级别而将与命令相关的批准请求发送到至少一个控制用户。在框750中,可以由该至少一个控制用户的至少子集对批准请求进行批准或拒绝。在框760中,可以将经拒绝或批准的批准请求发送回到服务器200。在框770中,可以在服务器200中基于关键性级别和授权级别来确定命令是否被足够多的控制用户批准。在框780中,可以在命令被足够多的控制用户批准的情况下将命令发送到设备100以供设备100实施。该至少一个控制用户和操作者中的至少一个可以彼此远离。
本公开可以是针对设备(诸如,受控的船、无人机,还有固定装置,具体而言,其中设想控制的安全和安全性)的精密控制的促成者。当实践实施例时,可以降低与利用至少一个远程实体的交互控制设备相关联的风险。当实践实施例时,利用远程交互对设备的控制可以是受保护的。
图3示出了用于控制设备100的方法800的流程图。该方法可以包括框810至860中的至少一个。在框810中,可以将由操作者的签名签署的命令发送到服务器200。在框820中,可以在服务器200中验证操作者被认证以传输命令。在框830中,可以将命令发送到设备100以供设备100实施。在框840中,可以将关键性级别和/或授权级别指派给命令。在框850中,可以取决于关键性级别和/或授权级别而将与命令相关的批准请求发送到至少一个控制用户。在框860中,可以在设备100未接收到停止命令的执行的停止命令的情况下进一步实施命令。该至少一个控制用户和操作者中的至少一个可以彼此远离。
具体地,服务器200可以被配置成将停止命令发送到设备100。例如,如果没有足够多的控制用户对批准请求进行批准和/或如果服务器200接收到预定量的经拒绝的批准请求,则可以发送停止命令。当接收到停止命令时,设备100可以停止实施命令。
方法800可以被特别地应用于具有低关键性级别的命令。具体地,方法800可以被应用于在被实施时不导致不可逆动作的命令。
图4示出了用于控制设备100的方法900的流程图。该方法可以包括框910至990中的至少一个。在框910中,可以将由操作者的签名签署的命令发送到服务器200。在框920中,可以在服务器200中验证操作者被认证以传输命令。在框930中,可以将命令发送到设备100以供设备100实施。在框940中,可以将关键性级别和/或授权级别指派给命令。在框950中,可以取决于关键性级别和/或授权级别而将与命令相关的批准请求发送到至少一个控制用户。在框960中,可以由该至少一个控制用户的至少子集对批准请求进行批准或拒绝。在框970中,可以将经拒绝或批准的批准请求发送回到服务器。在框980中,可以在服务器200中基于关键性级别和/或授权级别来确定命令是否被足够多的控制用户批准。在框990中,可以在命令未被足够多的控制用户批准的情况下将回滚命令发送到设备100。该至少一个控制用户和操作者中的至少一个彼此远离。
方法800可以被具体地应用于可容易地逆转和/或其影响可被容易地校正的命令。在这种情况下,设备100可以被配置成回滚由设备100实施的命令。例如,如果船实施例如左转的命令从而导致航线的改变,则该船可以在接收到回滚命令时将其航线再次改变成原始航线。当实践实施例时,具有潜在回滚的乐观执行是可能的。
本文描述的控制系统可以被配置成实施方法700、800、900中的任一个。具体地,控制系统可以被配置成取决于命令而实施方法700、800、900。也就是说,取决于由控制系统接收到的命令,控制系统可以实施方法700、800、900中的一个,并利用方法700、800、900中相应的一个实现设备的安全控制。
图5是解释了示例性方法的示例性控制系统的示意图。
如图5中所示,系统部件50可以发起命令。系统部件50可以自主地(即,通过自动过程)或者代表手动发出命令的操作者发出命令。命令可以是使用操作者的签名来签署的。如果命令是自动发出的,则可以利用对系统部件进行操作的操作者的签名来签署命令。该经签署的命令可以被转发到服务器200,具体地,受保护的访问控制(AC)服务器(参见图5中的1))。
服务器首先可以验证操作者具有允许其执行该类型的命令的角色,即,操作者被认证以传输命令。如果该验证是成功的,则服务器200可以确定命令的关键性级别和/或授权级别,其可以是针对所有命令而定义的(静态地,或者可能还使用机器学习或其他算法动态地)。关键性级别和/或授权级别可以与批准约束相联系,该批准约束声明有多少具有某些角色的其他施动者必须在执行之前批准命令(参见图5中的2))。
服务器200然后可以将经签署的批准请求(例如,与经签署的命令一起)发送到控制用户的至少足够多的控制接口300a、300b以用于批准(参见图5中的3))。
接收这种批准请求的每一个控制用户被提示以接受或拒绝它,并且响应被发送回到服务器200。
如果服务器200从每一个角色接收到(至少)如所要求的批准那样多的批准,则其会自己签署命令并将它转发到设备100,设备100可能在执行命令之后以回复作出响应(参见图5中的4))。
服务器200然后可以向命令源自于的系统部件通知成功执行(步骤5)。
如果操作者从一开始就不具有执行命令的权限,或者可能未收集足够多的批准(例如,因为批准被拒绝或者批准过程超时),则服务器200向操作者通知命令可能未被执行。
在图5的示例中,存在三个角色和关键性级别。第一关键性级别不要求任何批准(即,仅验证操作者被认证以传输命令)。第二关键性级别要求来自具有角色1的控制用户的(至少)一个批准。第三关键性级别要求来自具有角色1的控制用户的(至少)两个批准以及附加地来自具有角色2的控制用户的一个批准。
尽管上述内容涉及本公开的实施例,但在不脱离本公开的基本范围的情况下可以设计出本公开的其他和进一步的实施例,并且本公开的范围由所附权利要求确定。

Claims (15)

1.一种用于控制设备(100)的方法,所述方法包括:
将由操作者的签名签署的命令发送到服务器(200);
在所述服务器(200)中验证所述操作者被认证以传输所述命令;
在所述服务器(200)中将关键性级别和授权级别指派给所述命令;
取决于所述关键性级别和所述授权级别,将与所述命令相关的批准请求发送到至少一个控制用户;
由所述至少一个控制用户的至少子集对所述批准请求进行批准或拒绝;
将经拒绝或批准的批准请求发送回到所述服务器(200);
在所述服务器(200)中基于所述关键性级别和所述授权级别来确定所述命令是否被足够多的控制用户批准;以及
在所述命令被足够多的控制用户批准的情况下,将所述命令发送到所述设备(100)以供所述设备(100)实施,
其中所述至少一个控制用户和所述操作者中的至少一个彼此远离,并且
其中确定所述命令是否被足够多的控制用户批准包括从由下述内容构成的组中选择的至少一个:将从由经拒绝的批准请求和经批准的批准请求构成的组中选择的至少一个的量和授权级别与阈值进行比较,其中所述阈值取决于所述关键性级别。
2.一种用于控制设备(100)的方法,所述方法包括:
将由操作者的签名签署的命令发送到服务器(200);
在所述服务器(200)中验证所述操作者被认证以传输所述命令;
将所述命令发送到所述设备(100)以供所述设备(100)实施;
在所述服务器(200)中将关键性级别和授权级别指派给所述命令;
取决于所述关键性级别和所述授权级别,将与所述命令相关的批准请求发送到至少一个控制用户;以及
在所述设备(100)未接收到停止所述命令的执行的停止命令的情况下,进一步实施所述命令,
其中所述至少一个控制用户和所述操作者中的至少一个彼此远离,并且
其中确定所述命令是否被足够多的控制用户批准包括从由下述内容构成的组中选择的至少一个:将从由经拒绝的批准请求和经批准的批准请求构成的组中选择的至少一个的量和授权级别与阈值进行比较,其中所述阈值取决于所述关键性级别。
3.一种用于控制设备(100)的方法,所述方法包括:
将由操作者的签名签署的命令发送到服务器(200);
在所述服务器(200)中验证所述操作者被认证以传输所述命令;
将所述命令发送到所述设备(100)以供所述设备(100)实施;
在所述服务器(200)中将关键性级别和授权级别指派给所述命令;
取决于所述关键性级别和所述授权级别,将与所述命令相关的批准请求发送到至少一个控制用户;
由所述至少一个控制用户的至少子集对所述批准请求进行批准或拒绝;
将经拒绝或批准的批准请求发送回到所述服务器(200);
在所述服务器(200)中基于所述关键性级别和所述授权级别来确定所述命令是否被足够多的控制用户批准;以及
在所述命令未被足够多的控制用户批准的情况下,将回滚命令发送到所述设备(100),
其中所述至少一个控制用户和所述操作者中的至少一个彼此远离,并且
其中确定所述命令是否被足够多的控制用户批准包括从由下述内容构成的组中选择的至少一个:将从由经拒绝的批准请求和经批准的批准请求构成的组中选择的至少一个的量和授权级别与阈值进行比较,其中所述阈值取决于所述关键性级别。
4.根据权利要求1至3中任一项所述的方法,其中所述设备(100)是可移动设备(100)。
5.根据权利要求1至3中任一项所述的方法,其中关键性级别是从由静态确定和静态改变构成的组中选择的至少一个。
6.根据权利要求1至3中任一项所述的方法,其中关键性级别是从由动态确定和动态改变构成的组中选择的至少一个。
7.根据权利要求6所述的方法,其中动态确定所述关键性级别基于机器学习方案。
8.根据权利要求1至3中任一项所述的方法,其中所述批准请求仅被发送到被认证以进行从由下述内容构成的组中选择的至少一个的控制用户:对所述批准请求进行拒绝和对所述批准请求进行批准。
9.根据权利要求1至3中任一项所述的方法,进一步包括:
验证经拒绝或批准的批准请求是否由被认证以进行从由下述内容构成的组中选择的至少一个的控制用户发送:对所述批准请求进行拒绝和对所述批准请求进行批准。
10.根据权利要求1至3中任一项所述的方法,其中与所述命令相关的批准请求连同对所述控制用户的控制接口上的进行中的过程进行中断的中断命令一起被发送到所述至少一个控制用户,直到所述批准请求被批准或拒绝。
11.根据权利要求1至3中任一项所述的方法,其中至少发送所述命令和发送所述批准请求的操作被顺序地实施。
12.一种控制系统,包括:
设备(100);
至少一个控制接口(300);以及
服务器(200),
其中所述服务器(200)被配置成:
接收由操作者的签名签署的命令;
验证所述操作者被认证以传输所述命令;
将关键性级别和授权级别指派给所述命令;以及
取决于所述关键性级别和所述授权级别,将与所述命令相关的批准请求发送到所述至少一个控制接口(300),
其中所述至少一个控制接口(300)被配置成:
令所述批准请求由所述至少一个控制用户批准或拒绝;以及
将经拒绝或批准的批准请求发送回到所述服务器(200),并且
其中所述服务器(200)进一步被配置成:
基于所述关键性级别和所述授权级别来确定所述命令是否被足够多的控制用户批准;以及
将所述命令发送到所述设备(100)以供所述设备(100)实施,
其中所述设备(100)、所述服务器(200)和所述至少一个控制接口(300)中的至少一个彼此远离,
其中确定所述命令是否被足够多的控制用户批准包括从由下述内容构成的组中选择的至少一个:将从由经拒绝的批准请求和经批准的批准请求构成的组中选择的至少一个的量和授权级别与阈值进行比较,其中所述阈值取决于所述关键性级别。
13.根据权利要求12所述的控制系统,其中所述设备(100)被配置成回滚由所述设备(100)实施的命令。
14.根据权利要求12所述的控制系统,其中所述设备(100)是静止或移动设备。
15.根据权利要求12至14中任一项所述的控制系统,其中所述设备(100)、所述服务器(200)和所述至少一个控制接口(300)中的至少一个包括网络接口,所述网络接口用于将所述设备(100)、服务器(200)和所述至少一个控制接口(300)中的所述至少一个连接到数据网络。
CN201811214500.XA 2017-10-18 2018-10-18 用于控制设备的方法以及控制系统 Active CN109688101B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP17196988.4 2017-10-18
EP17196988.4A EP3474509B1 (en) 2017-10-18 2017-10-18 Methods for controlling a device and control system

Publications (2)

Publication Number Publication Date
CN109688101A true CN109688101A (zh) 2019-04-26
CN109688101B CN109688101B (zh) 2022-05-27

Family

ID=60161966

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811214500.XA Active CN109688101B (zh) 2017-10-18 2018-10-18 用于控制设备的方法以及控制系统

Country Status (3)

Country Link
US (1) US11159535B2 (zh)
EP (1) EP3474509B1 (zh)
CN (1) CN109688101B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114245897A (zh) 2019-06-21 2022-03-25 赛姆普蒂夫技术公司 用于防止根级访问攻击的方法以及可测量的sla安全性和合规性平台
US11178154B1 (en) * 2020-12-22 2021-11-16 Cyberark Software Ltd. Developing least-privilege permission sets based on global optimization
US11943228B2 (en) 2020-12-22 2024-03-26 Cyberark Software Ltd. Developing least-privilege permission sets based on global optimization
DE102022109649A1 (de) 2022-04-21 2023-10-26 UMH Systems GmbH Verfahren zum Steuern einer Einrichtung, Verfahren zum Senden von Betriebsdaten einer Einrichtung, Kommunikationsvorrichtung zur Verwendung in solchen Verfahren, Computerprogramm, computerlesbares Medium sowie Datenträgersignal

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101606370A (zh) * 2007-02-23 2009-12-16 索尼爱立信移动通讯股份有限公司 授权安全资源
EP2290900A1 (en) * 2009-08-31 2011-03-02 ABB Technology AG Checking a configuration modification for an IED
US20110230991A1 (en) * 2004-09-29 2011-09-22 Rockwell Automation Technologies, Inc. Systems and methods for queuing an action in industrial automation systems
US20120317132A1 (en) * 2011-06-07 2012-12-13 Microsoft Corporation Instance-Based Command Execution, Approval, and Notification Framework
CN105871854A (zh) * 2016-04-11 2016-08-17 浙江工业大学 基于动态授权机制的自适应云访问控制方法
US20170041322A1 (en) * 2015-08-03 2017-02-09 Bank Of America Corporation Encapsulating Commands Within a Control Wrapper For Multiple Level Review

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8909926B2 (en) * 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
FR2910206B1 (fr) * 2006-12-15 2014-02-14 Jean Abboud Systeme intelligent permettant l'assistance au pilotage d'un dispositif sur la base d'informations issues d'une population d'agents.

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110230991A1 (en) * 2004-09-29 2011-09-22 Rockwell Automation Technologies, Inc. Systems and methods for queuing an action in industrial automation systems
CN101606370A (zh) * 2007-02-23 2009-12-16 索尼爱立信移动通讯股份有限公司 授权安全资源
EP2290900A1 (en) * 2009-08-31 2011-03-02 ABB Technology AG Checking a configuration modification for an IED
US20120317132A1 (en) * 2011-06-07 2012-12-13 Microsoft Corporation Instance-Based Command Execution, Approval, and Notification Framework
US20170041322A1 (en) * 2015-08-03 2017-02-09 Bank Of America Corporation Encapsulating Commands Within a Control Wrapper For Multiple Level Review
CN105871854A (zh) * 2016-04-11 2016-08-17 浙江工业大学 基于动态授权机制的自适应云访问控制方法

Also Published As

Publication number Publication date
US11159535B2 (en) 2021-10-26
US20190116189A1 (en) 2019-04-18
CN109688101B (zh) 2022-05-27
EP3474509B1 (en) 2021-10-06
EP3474509A1 (en) 2019-04-24

Similar Documents

Publication Publication Date Title
CN109688101A (zh) 用于控制设备的方法以及控制系统
US10887404B2 (en) Method and apparatus for virtualized network function chaining management
US11888853B2 (en) Systems and methods for dynamic granular access permissions
US8285845B2 (en) Distributed user validation and profile management system
CN100583114C (zh) 用于远程安全启用的系统和方法
CN102742243B (zh) 检查用于ied的配置修改的方法及装置
AU2013204798A1 (en) Cloud based virtual environment validation
US11104297B2 (en) Systems and methods for multi-keyholder digital lockout
CN106487815A (zh) 一种基于白名单的容器运行安全验证处理方法及系统
CN109816906A (zh) 安保监控方法及装置、电子设备、存储介质
CN104322031A (zh) 使用通过本地策略框架执行的策略指令实施针对企业网络的策略
WO2008135298A1 (en) Management of user authorisations
US20040128114A1 (en) Supervisory control system, supervisory control method, control program for controlled device
CN109977676A (zh) 一种应用程序的管控方法、装置和设备
CN106796666B (zh) 机器人控制装置、方法及系统
CN111045725B (zh) 代码管理系统的控制方法、装置及存储介质
CN112241517A (zh) 许可证管理系统以及记录媒体
CN112261658B (zh) 终端和终端使用的方法
CN109189294A (zh) 电子控制设备的控制方法、装置及计算机可读存储介质
CN111125684B (zh) 一种scada系统控制中心多控制室权限交接方法
CN110365764B (zh) 一种用于计算集群的数据拷贝装置
KR20140045002A (ko) 원격 제어 기능을 갖는 hmi 시스템
CN106254333A (zh) 一种安全桌面管理方法及装置
CN112260985B (zh) 终端安全管控设备及终端安全管控方法
CN110176999A (zh) 无人机飞行管理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant