CN110022215B - 工业自动化设备和云服务 - Google Patents
工业自动化设备和云服务 Download PDFInfo
- Publication number
- CN110022215B CN110022215B CN201910016039.5A CN201910016039A CN110022215B CN 110022215 B CN110022215 B CN 110022215B CN 201910016039 A CN201910016039 A CN 201910016039A CN 110022215 B CN110022215 B CN 110022215B
- Authority
- CN
- China
- Prior art keywords
- industrial automation
- automation device
- cloud service
- token
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 34
- 230000015654 memory Effects 0.000 claims description 32
- 238000004590 computer program Methods 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 15
- 238000003860 storage Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 description 27
- 238000004891 communication Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 10
- 238000013500 data storage Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 4
- 230000010267 cellular communication Effects 0.000 description 3
- 230000001939 inductive effect Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 108010001267 Protein Subunits Proteins 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 101710178035 Chorismate synthase 2 Proteins 0.000 description 1
- 101710152694 Cysteine synthase 2 Proteins 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007858 starting material Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Manufacturing & Machinery (AREA)
- Automation & Control Theory (AREA)
- Quality & Reliability (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- General Factory Administration (AREA)
Abstract
为了向工业自动化设备提供要在第一云服务与工业自动化设备之间的信息交换中用作认证信息的令牌,将移动设备连接至工业自动化设备并且连接至作为第一云服务或第二云服务的云服务。在向云服务认证了移动设备的用户之后,由云服务向第一云服务生成令牌,并且经由移动设备将该令牌转发到工业自动化设备。如果生成令牌的云服务是第二云服务,则在第一云服务中认证移动设备之后经由移动设备将该令牌转发到第一云服务。此后,工业自动化设备和第一云服务可以使用用于认证的令牌彼此直接通信。
Description
技术领域
本发明涉及工业自动化设备和云服务。
背景技术
能够在没有用户参与的情况下通过因特网进行通信的计算机及计算设备之间的连网的发展已经实现了不同的服务。这种服务的一个示例是通过安全云服务进行的对工业自动化设备的远程监控。将通常具有有限的用户交互能力的工业自动化设备连接至需要某种认证的安全云服务是具有挑战性的。
发明内容
根据一个方面,提供了独立权利要求的主题。在从属权利要求中限定了实施方式。
在附图及以下描述中更详细地阐述了实现方式的一个或更多个示例。根据说明书、附图以及权利要求书,其他特征将变得明显。
一些实施方式提供了用于向工业自动化设备提供用于与云安全地交换信息的信息的方法、计算机程序产品、装置、设备和系统。
附图说明
在下文中,将参照附图更详细地描述示例性实施方式,在附图中:
图1利用例示设备的框图示出了经简化的系统;
图2至图6是示出不同功能的流程图;
图7和图8示出了例示的信息交换;以及
图9至图11是示意性框图。
具体实施方式
以下实施方式是示例性的。虽然说明书可能在多个位置中提及“一种(an)”、“一个(one)”或“一些(some)”实施方式,但是这并不一定意味着每个这样的提及都针对相同的实施方式或者该特征仅适用于单个实施方式。还可以对不同实施方式的单个特征进行组合以提供其他实施方式。
本发明适用于包括一个或更多个工业场所和云的任何系统,其中,工业场所包括一个或更多个工业自动化设备,云被配置成直接和/或经由远程移动设备或经由可以位于工业场所中的任何相应设备向一个或更多个工业自动化设备提供远程服务。
图1示出了示例性系统100的极其一般的架构。图1是仅示出一些元件、功能实体以及一些装备的经简化的系统架构,功能实体是实现方式可以与所示实现方式不同的逻辑单元。对于本领域技术人员而言明显的是,该系统包括任意数目的所示元件、未示出的其他装备、其他功能和结构。
在图1所示的实施方式中,系统100包括一个或更多个工业场所101(图1中仅示出一个),一个或更多个工业场所101通过一个或更多个网络(图1中未示出)连接至一个或更多个云102(图1中仅示出一个)。
在图1所示的示例中,在工业场所101中,存在远程用户的移动设备110和一个或更多个工业自动化设备120(在该示例中仅示出一个工业自动化设备)。
移动设备(MD)110指的是作为便携式设备的计算设备(装备),并且移动设备还可以被称为移动终端、用户装置、用户终端或用户设备。便携式计算设备(装置)包括以硬件或软件在有或没有用户识别模块(SIM)的情况下进行操作的无线移动通信设备,该无线移动通信设备包括但不限于以下类型的设备:移动电话、智能电话、个人数字助手(PDA)、笔记本电脑和/或触摸屏电脑、平板电脑(平板计算机)、多媒体设备、可穿戴计算机和其他类型的可穿戴设备,例如包含计算机和先进电子技术的衣物和配件。移动设备110被配置成支持对工业自动化设备的远程维护或至少调试(启动)和配置(调整)。为此目的,移动设备110包括由远程工具单元111及其子单元——即远程注册单元(r-r-u)111-1——提供的远程支持应用,其功能将在下面参照图2、图7和图8更详细地描述。当然,子单元功能可以集成到远程工具单元功能。
在图1所示的示例中,工业自动化设备120包括作为单独部件的面板121和自动化设备122。
面板121提供去往和来自自动化设备122的一个或更多个接口。在本文中面板121指的是这样的装备:可以由位于场所处和/或远离云102(和/或远离单独的服务中心)的人员经由该装备来调整或获取自动化设备122的参数,并且另外控制自动化设备122的功能。换言之,面板是至少提供可以连接移动设备的无线接口以及用于连接至云102的无线接口或有线接口的模块。面板121可以是单独的设备(如在所示的示例中那样)或者能够可拆卸地连接至自动化设备的设备或者被集成至自动化设备的装备。最简单地,面板可以仅仅是接口。面板的其他示例包括控制面板、智能电话、移动电话、平板电脑或膝上型计算机。至少在面板121未与自动化设备122集成的解决方案中,面板121可以位于现场、紧邻自动化设备122,与自动化设备122的连接106可以经由通信接口通过例如蓝牙、NFC、WiFi和/或感应连接(例如,根据无线电力联盟的感应电力标准(Qi)的感应连接)来提供。然而,为了实现与云102的安全连接,连接106优选为有线连接。
自动化设备122(A_D-n)是根据其设置控制工业过程、设备或装备的设备。然而,自动化设备的控制功能的细节不重要,因此这里不再详细描述。此外,应当理解,包括面板121和自动化设备122的工业自动化设备120在此描绘了其操作和/或服务和/或维护可以被远程处理的任何设备、机器、装备、系统和处理。这样的工业自动化设备的示例包括驱动器、变频器、AC/DC模块、DC/AC模块、可编程逻辑控制器、开关、运动控制器或运动驱动器、伺服电机、软启动器和重型装备等。应当理解,以上仅列举了一些示例。
在所示的示例中,工业自动化设备被配置成建立与安全云102的安全连接104。为此目的,面板121包括云连接单元(c-c-u)123,并且自动化设备在安全存储器124中包括针对由其地址标识的特定云的至少一个令牌。安全存储器124可以包括一个或更多个令牌-云地址对,例如一个令牌对应一个云或一个云服务,并且令牌-云可以与可以包含描述令牌可以用于做什么的限定的信息相关联。例如,一种令牌可以允许从工业自动化设备发送信息,另一种令牌允许接收信息,还有另外的令牌允许这两者,一种令牌允许这两者并且另外允许设置工业自动化设备的参数,仅列出这几个示例。当然,云连接单元123可以位于自动化设备中并且/或者安全存储器124可以位于面板侧。此外,存在如何提供安全存储器的若干方法并且可以使用若干方法中的任何方法。
从移动设备和工业自动化设备相应地去往一个或更多个云102的连接103、104可以是相同类型的连接或不同的连接。连接103、104或它们中的一个可以是有线连接、无线连接或其任何组合。与云102的无线连接可以由任何移动系统——例如,GSM、GPRS、LTE、4G、5G等——提供,或者由移动系统与固定系统的组合——例如,提供对互联网的访问并且经由互联网对服务中心的访问的Wi-Fi或Li-Fi——提供。当然,移动设备110与工业自动化设备120之间或实际上与面板121的本地连接105可以通过移动系统提供,但是该连接可以例如使用蓝牙或电缆例如USB电缆,通过本地连接例如直接连接来提供,或通过本地网络例如Wi-Fi或Li-Fi提供。
在所示的示例中,安全云102包括服务中心130。服务中心130可以是任何用户接口的任何组合,例如触摸屏或显示器与键盘的组合,以及任何计算装置或作为一个计算装置出现的计算装置的云,该计算装置经由移动设备中的远程支持应用提供远程支持。这种装置的示例包括工作站、膝上型计算机、个人计算机和具有可以作为云服务器的(云)服务器的显示器。服务中心130被配置成支持与工业自动化设备的安全连接。为此目的,服务中心130包括令牌生成单元(t-g-u)131和令牌验证单元(t-v-u)132,其功能将在下文中更详细地描述,并且在数据存储装置(存储器)133中包括有效令牌,在所示的示例中,每个令牌与关于已针对其生成该令牌的自动化设备的信息相关联。应当理解,可以存在仅包括令牌验证单元并且在存储器中包括令牌信息的服务中心。存储的令牌信息可以仅仅是令牌,或者令牌信息除了包括令牌之外还可以包括下述中的一个或更多个:工业自动化设备的地址、工业自动化设备的其他标识、令牌的有效时间、访问限制、令牌被生成的时间,仅列举几个示例。应当理解,任何必要的信息例如用于更新令牌值的种子/随机数可以存储在令牌信息中。
数据存储装置可以是由任何合适的管理系统管理的任何类型的常规数据存储库或未来数据存储库(包括对数据的分布式存储和集中式存储)、云环境中基于云的存储装置(图1中未单独公开)。数据存储装置的实现方式,存储、得到和更新数据的方式与本发明无关,因此这里不再详细描述。
云102可以例如是全局云、企业级云、工厂级云。
尽管在上述示例中假定使用安全云和安全存储器,但是应当理解,如果安全风险不是问题,也可以使用非安全云和/或非安全存储器。
图2示出了移动设备的示例功能,或者更确切地说,示出了远程注册单元(或远程支持单元)的示例功能。在图2中,工业物联网(IoT)设备被用作工业自动化设备的示例,并且仅启动应用以将IoT设备注册到云。当然,由远程注册单元提供的应用可以用于设置其他参数等,并且用于任何类型的工业自动化设备(与之一起使用)。此外,假定移动设备位于工业场所使得该移动设备可以建立与IoT设备的连接。
参照图2,响应于相应的用户输入,在步骤201中开始远程支持应用的运行或至少注册应用的运行,并且在步骤202中在没有用户参与的情况下使得进行从移动设备至IoT设备的连接建立。然后,在步骤203中移动设备从IoT设备读取标识信息以将该IoT设备注册到云。标识信息可以是例如自动化设备序列号、分配给IoT设备的通信地址或它们的组合。取决于实现方式,也可以针对注册过程读取(得到)其他信息,例如用作随机数的硬编码数字或由IoT设备生成的随机数、面板的连接时间,仅列举几个示例。应当理解,任何现有的信息都可以被读取,这取决于远程支持应用被配置成读取什么内容以用于注册过程。
在步骤204中还提示用户输入云选择。例如,可以将全局云输出为默认云,但是用户也可以输入任何其他云例如企业云作为所选择的云。一旦接收到指示云选择的用户输入,则在步骤206中使得使用例如用户输入的地址和Diffie-Hellman握手过程来进行与所选择的云的安全连接的建立。然后在步骤207中获得至云的用户登录信息。例如,可以获得用户名和密码。当然,可以使用任何其他登录信息。此外,在用户登录过程中,可以使用联合身份管理,例如使得能够进行跨多个系统/应用或者甚至企业(公司)的单个用户认证过程的任何单点登录(SSO)系统。然后,在步骤208中执行使用户登录进入云服务。
在所示的示例中,假定用户登录成功并且在步骤209中将从IoT设备读取的标识信息传输到云服务以将该IoT设备注册到云服务。当然,也可以传输读取的任何其他信息。作为响应,在步骤210中从云服务接收令牌信息,并且在步骤211中使得将令牌信息转发到IoT设备。所转发的令牌信息除了包含令牌之外还包含被接收作为选择的云地址信息。当然,令牌信息可以包含所接收的令牌信息中包括的任何其他信息,但是所接收的令牌信息可以与转发的令牌信息不同。
然后,在所示的示例中,没有设置其他参数,因此在步骤212中结束(关闭)远程支持应用,并且在步骤212中释放与IoT设备的连接和与云服务器的连接。
图3和图4示出了工业自动化设备的示例功能。这些功能可以由云连接单元或任何相应的单元/子单元例如设置单元执行。
参照图3,在已经建立了与移动设备或其设置工具/远程工具的连接(步骤301)并且在步骤302中检测到已经接收到令牌信息时,在步骤303中将该令牌信息存储到工业自动化设备中的安全存储器中。如上文所述,令牌信息至少包括令牌和云地址。如果令牌信息包含任何其他信息,则任何其他信息当然也被存储。
参照图4,在步骤401中开始至云(即,至云服务)的连接建立。可以开始连接建立,因为工业自动化设备作为IoT设备被配置成例如以特定间隔和/或响应于云服务器的特定事件来报告一些信息。另一个示例是从可以在存储器中找到其地址的云接收连接建立请求。对于连接建立,在步骤402中读取令牌信息,并且在步骤403中使用令牌信息建立与云的安全连接,并且在步骤404中使用所建立的安全连接来交换信息。
尽管在所示的示例中将令牌用作认证信息,但是在其他实现方式中也可以将令牌用作共享秘密、共享秘密的种子,或者如果使用了无状态HTTP(超文本传输协议)则可以在HTTP消息中使用令牌。换言之,可以像将令牌硬编码到工业自动化设备一样使用令牌。此外,所公开的向自动工业设备提供令牌信息的方式提供了使用令牌的通用机会,因为更新令牌比更新硬编码令牌更容易且更快速。
图5和图6示出了由云服务中心执行的云的示例功能。在所示的示例中,假定同一云执行两种功能而不将所公开的实现方式限制于这样的解决方案。此外,在示例中,使用工业物联网(IoT)设备作为工业自动化设备的示例。对于本领域技术人员来说,将解决方案实现到其他类型的工业自动化设备是一种直接的解决方案。
图5示出了令牌生成功能——即由令牌生成单元或任何相应单元执行的功能——的示例。在该示例中,假定在步骤501中已经例如使用Diffie-Hellman握手建立了与移动设备的安全连接。
当在步骤502中检测到与令牌相关的请求例如对令牌的请求或者例如设置(调试)新设备的请求时,在步骤503中使得请求来自移动设备的用户的登录信息。例如,可以将请求登录信息的消息或者指定令牌生成所需的信息(例如用户名和密码)的消息发送到移动设备。登录信息可以特定于令牌生成服务,或者是与远程支持应用一起或者在远程支持应用中的任何其他特定工具内或者与移动设备中的任何其他应用一起使用的相同信息。
当在步骤504中接收到用户的登录信息时,在步骤505中检查该用户是否为授权用户。换言之,检查登录信息是否与授权用户的登录信息之一匹配。例如,可以存在用户名-密码关联列表,并且如果接收到的用户名-密码组合在列表中,则用户是授权用户。
如果登录信息是授权用户的登录信息(步骤505:是),则在步骤506中接受登录。这包括相应地通知移动设备并且允许进行令牌生成。
当在步骤507中接收到IoT设备信息时,在步骤508中生成用于该IoT设备的令牌。可以使用用于生成令牌的任何已知的方式或将来的方式。在步骤509中使得将生成的令牌发送到移动设备,并且在步骤510中还将令牌与相应的IoT设备信息一起存储。应当理解,在生成令牌之后存储的内容取决于实现方式。可以不存储任何内容,或者可以仅存储令牌,或者还可以存储诸如访问限制或使用限制的其他信息,仅提及少数示例而并非将解决方案限制于这些示例。在令牌具有特定使用期的实现方式中,到期时间也可以与令牌一起存储。替选地,可以使用令牌的存储时间来确定该令牌是否已经到期。
之后,可以出于其他目的而继续进行使用建立的安全连接的远程支持会话,或者可以释放该安全连接。
如果接收的登录信息不是授权用户的登录信息(步骤505:否),则在步骤511中拒绝登录并且结束该过程。
从以上可以看出,仅针对经授权的请求方来生成令牌信息,因此可以使用令牌来认证IoT设备。
如果与远程支持应用使用相同的登录信息,并且如果用户已经经由移动设备登录到远程支持,从而使登录信息已经可用并且确保令牌是由授权用户请求,则不需要重新请求登录信息,而是该过程可以在步骤502之后直接继续到步骤507,或者如果与令牌相关的请求已经包含IoT设备信息,则该过程可以在步骤502之后直接继续到步骤508以生成令牌。
图6示出了如何在云中利用生成的令牌的示例。更确切地,图6示出了令牌验证单元的功能的示例。在该示例中,假定使用因特网协议通过因特网交换信息,并且安全连接是HTTPS连接(HTTPS,超文本传输安全协议),其中,HTTP数据传输协议与TLS(传输层安全)一起使用。然而,应当理解,可以使用建立安全连接的任何其他方式。此外,建立连接的原因并不重要。连接建立可能已由请求连接建立的IoT设备触发。例如,IoT设备可能已被配置成以特定时间间隔和/或响应于检测到特定事件而将特定数据发送到云。另一示例是云服务被配置成以特定时间间隔和/或响应于检测到特定事件和/或响应于请求连接建立以获取数据的用户输入而从IoT设备获取数据。
参照图6,在步骤601中检测到已经建立与IoT设备的安全连接,并且在步骤602中接收令牌信息或至少接收令牌。
在步骤603中,使用云中存储的令牌信息检查令牌是否是有效令牌。如果令牌有效(步骤603:是),则在步骤604中使用安全连接交换信息。当没有更多信息用于交换时,在步骤605中释放安全连接。
如果令牌无效(步骤603:否),则在步骤605中释放安全连接。
图7和图8示出了信息交换的示例。在示例中,工业物联网(IoT)设备被用作工业自动化设备的示例。对于本领域技术人员来说,将解决方案实现到其他类型的工业自动化设备是一种直接的解决方案。此外,在示例中,假定工业自动化设备安装在具有云服务CS1的公司1的工业场所中,该工业自动化设备由具有云服务CS2的公司2制造。
在图7所示的示例中,还假定为公司2工作的人员在场所中使用包括远程支持应用或至少包括远程注册应用(即,由远程注册单元提供的功能)的移动设备MD来安装和设置(调试)IoT设备(IoT_D)。然而,以下使用远程支持应用来涵盖上述两种可能性。例如,工业自动化设备可以由于面板的改变而表现为新的工业自动化设备。令牌的有效期的到期例如也可以使工业自动化设备表现为新的工业自动化设备。当然,工业自动化设备可以是新的工业自动化设备。图8的示例中的其他假设是令牌生成单元仅由公司2的云服务提供,但是公司1的云服务(例如公司1的云服务中的令牌验证单元)允许经由已被认证的移动设备存储令牌信息。
参照图7,在点7-0中在MD的用户——即,在场所处安装和设置(调试)IoT设备的人员——与为公司1工作的用户1之间交换信息。可以口头地、通过纸张和/或通过移动设备来交换信息。该信息优选地至少包括针对云服务CS1的地址以及下述信息,利用该信息可以在点7-1中添加MD的用户作为CS1的可信用户并且可以在点7-1中添加IoT_D作为CS1的可信设备,以使得能够对MD的用户使用联合身份管理,并且使得能够针对CS1调试IoT_D。
然后,在所示的示例中,用户在点7-2中开启远程支持应用或者至少开启远程注册,并且MD连接至IoT_D并且由此还接收IoT_D的标识信息(消息7-3)。(例如,如果MD的用户没有点7-1中所要求的信息,则可以在该点处使用任何其他手段来输出或者转发该信息)。在点7-4中,MD中的远程支持应用检测到IoT_D是新设备,因此在点7-4中提示用户需要进行设置/注册。在所示的示例中,假定在点7-4中接收到接受设置的用户输入,例如“注册IoT_D”。然后,在点7-4中提示用户提供针对CS2的登录信息。一旦在点7-4中已经接收到登录信息,即,诸如用户名和密码的凭证,则通过消息7-5执行至CS2的用户登录。换言之,建立连接并且对用户进行认证。
在所示的示例中,假定认证(或登录)成功并且因此MD在点7-6中创建对用于IoT_D的令牌的请求。该请求可以是注册IoT_D的请求。该请求可以包括至少IoT_D的标识信息。在消息7-7中该请求被发送至CS2。消息7-7触发CS2中的令牌生成或初始注册,在点7-8中CS2或其令牌生成单元生成令牌。然而,在所示的示例中,令牌尚未存储,但是该令牌以及可能的其他信息例如有效时间在消息7-9中被发送至MD。
响应于接收到消息7-9中的令牌信息,MD在点7-10中提示云服务地址。例如,MD可以输出“使用默认CS(Cloud Service(云服务),CS)地址,是/否,在此输入要使用的地址”,其中,默认CS地址将是公司2的云中的云服务地址。在所示的示例中,将使用CS1中(即,公司1的云中)的地址并且在点7-10中接收该地址。在该示例中,因此在点7-10中检测到所接收的地址不是默认地址,即,要将IoT_D注册到的云是与用户已经注册的云不同的云。因此,在点7-10中获得提供对CS1的安全访问的信息。该获得包括提示用户提供与点7-4中提供的登录信息相同的登录信息并且接收这些信息。在另一实现方式中,在此使用在点7-4中针对用户登录接收的信息,而不单独对其进行提示。然后,通过消息7-11执行至CS1的用户登录。换言之,建立连接并且对用户进行认证。
在所示的示例中,假定认证(或登录)成功并且因此MD在点7-12中创建至少两个消息:一个消息针对CS1并且一个消息针对IoT_D。在所示的示例中,然后在点7-15中关闭(关掉)远程支持应用。然而,应当理解,可以在消息7-13之后设置IoT_D中的其他参数,并且/或者可以得到其他信息。
消息7-13被创建并且被发送到IoT_D。MD(或者更确切地,远程支持应用)在消息7-13中将所接收的令牌信息与CS地址(即,在该示例中为CS1的地址)一起发送到IoT_D。应当理解,创建消息7-13包括:从消息7-9得到令牌和其他可能的信息,以及将在点7-10中接收到的CS地址信息添加到消息7-13的内容部分。
响应于接收到消息7-13,IoT_D在点7-16中至少将令牌和云中的地址作为令牌信息存储到IoT_D的安全存储器。
在点7-12中创建将IoT_D注册到CS1的请求,并且在消息7-14中将该请求发送到CS1。创建消息7-14包括至少添加在消息7-3中接收到的IoT_D的标识信息和在消息7-9中接收到的令牌。
消息7-14触发CS1中的注册,CS1或其注册单元在点7-17中至少将与在CS1中已经作为可信设备的IoT_D的标识信息相关联的令牌存储为令牌信息。(如果IoT_D未被指示为可信设备,则存储还是不存储令牌和IoT_D的信息取决于实现方式)。当然,可以将其他信息例如令牌的有效时间存储为令牌信息的一部分。
由于IoT_D和CS1二者具有合适的地址信息并且共享同一秘密,即在点7-8中生成的令牌,因此IoT_D和CS1可以彼此交换信息(消息7-18)。
在另一示例情况下,如果在点7-10中,所接收的CS地址是默认CS地址(即,CS2),则替代消息7-11,MD将向CS2发送与消息7-11对应的、用于用户登录的一个或更多个消息,以通知在点7-8中生成的令牌应该与相应的令牌信息一起存储。如果没有在消息7-7中发送IoT_D的标识信息,则将在用于用户登录的消息中发送该标识信息。当然,可以在两个消息中均发送IoT_D的标识信息。
在另一示例情况下,如果实际由于重置令牌信息而执行了注册请求,则CS1(并且当然可以是CS2)可以被配置成用新生成的令牌替代与IoT_D的存储器中的IoT_D标识信息相关联的旧令牌,从而停止使用旧令牌。
在图7中,可以使用短程无线连接来发送IoT_D与MD之间的消息(用虚线示出),在上文中与图1一起给出了短程无线连接的示例。可以通过一个或更多个不同的和/或相同的无线网络或有线网络或它们的组合来发送要发送到云服务的消息和从云服务发送的消息,即,用实线描绘的MD与CS1/CS2之间的消息以及用点划线描绘的IoT_D与CS2之间的消息。例如,用实线描绘的MD与CS1/CS2之间的消息可以使用由蜂窝通信系统提供的高带宽信道,并且用点划线描绘的IoT_D与CS2之间的消息可以使用由另一或同一蜂窝通信系统提供的低带宽信道和/或用于物联网的窄带信道。
总之,为了向工业自动化设备提供要在第一云服务与该工业自动化设备之间的信息交换中用作认证信息的令牌,将移动设备连接至工业自动化设备并且连接至作为第一云服务或第二云服务的云服务。在向云服务认证移动设备的用户之后,由云服务向第一云服务生成令牌,并且经由移动设备将该令牌转发到工业自动化设备。如果生成令牌的云服务是第二云服务,则在移动设备已经在第一云服务中被认证之后,经由移动设备将令牌转发到第一云服务。此后,工业自动化设备和第一云服务可以使用用于认证并且从而用于信息交换的令牌彼此直接通信。
图8示出了在IoT_D至少配置有针对CS1的令牌(令牌1)以及针对CS2的令牌(令牌2)的情况下的信息交换的示例。在所示的示例中,IoT_D被设置成连接至CS1以将特定于处理或设备使用的数据发送到CS1,并且连接至CS2以接收对防火墙的更新、对参数和设置进行自动备份以及发送状况监控数据以例如用于预测性维护分析。对于本领域技术人员而言,将该过程应用于具有针对多个云服务的多个令牌的工业自动化设备是直接的解决方案。
参照图8,当IoT_D或其云连接单元例如在点8-1中检测到存在要发送到CS1的信息(特定数据)时,在点8-1中获得与CS1相关联的令牌(即,令牌1)以及要与CS1一起使用的地址,并且使用令牌1在消息8-2中发送信息以建立连接并且在CS1中认证IoT_D。
当接收到消息8-2时,CS1在点8-3中检测到令牌(令牌1)是有效令牌,因此接收到的信息(特定数据)在点8-3中被存储。
当CS2在点8-4中检测到存在例如要发送到IoT_D的对参数值的更新时,在点8-4中获得与IoT_D相关联的令牌(即,令牌2)以及要与IoT_D一起使用的地址,并且使用令牌2在消息8-5中发送更新以建立连接并且在IoT_D中认证CS2。
当接收到消息8-5时,IoT_D在点8-6中检测到令牌(令牌2)是有效令牌并且对于设置也是有效的,因此在点8-6中根据在消息8-5中接收到的值更新参数。此外,该连接还用于交换其他信息(消息8-7)。
尽管在以上示例中IoT_D与CS1之间的连接和IoT_D与CS2之间的连接被示为短时连接并且在不同时间处发生,但是这些连接可以同时存在并且/或者长时间存在。
从上文可以明显看出,工业自动化设备可以在运行中例如在设置期间被提供令牌。因此,在制造工业自动化设备(或面板)时,不需要向工业自动化设备(或面板)提供作为硬编码令牌的令牌。也不需要向工业自动化设备提供这样的用户接口,经由该用户接口可以手动输入令牌。其他的优点在于,如果中间人成功地计算出令牌的内容,则可以使令牌无效并且以非常迅速和安全的方式发布新令牌。
得益于提示用户选择并且输入云地址,并将云地址作为令牌信息的一部分发送到工业自动化设备,因此容易将工业自动化设备配置成与一个或更多个所需的云进行通信。此外,不需要在制造工业自动化设备(或面板)期间将云地址配置为硬编码地址。
以上在图2至图8中描述的步骤、点、消息(即,信息交换)和相关的功能并非按照绝对的时间顺序,并且其中一些步骤/点/信息交换可以同时执行或者以与给出的顺序不同的顺序执行。也可以在步骤/点之间或在步骤/点内执行其他功能,并且可以发送其他信息。一些步骤/点/信息交换或步骤/点/信息交换的一部分也可以被省略或被替代为相应的步骤/点/信息交换或步骤/点/信息交换的一部分。
本文描述的技术和方法可以通过各种手段来实现,使得设备/装置(其被配置成至少部分地基于以上利用图1至图8中任一个公开的内容来支持令牌供应及其使用,包括实现以上利用实施方式/示例例如借助于图2至
图8中任一个所描述的相应设备的一个或更多个功能/操作)不仅包括现有技术的装置,而且还包括这样的装置:该装置用于实现利用实施方式/示例例如借助于图2至图8中任一个所描述的相应功能的一个或更多个功能/操作,并且该设备可以包括用于每个单独的功能/操作的单独的装置,或者可以被配置成执行两个或更多个功能/操作的装置。例如,可以以硬件(一个或更多个设备)、固件(一个或更多个设备)、软件(一个或更多个模块)或其组合来实现上述装置和/或远程注册单元和/或远程工具单元和/或云连接单元和/或令牌生成单元和/或令牌验证单元中的一个或更多个。对于硬件实现方式,实施方式的设备或装置可以在下述硬件中实现:一个或更多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑设备(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、逻辑门、被设计成执行本文中借助于图2至图8所描述的功能的其他电子单元或以上的组合。对于固件或软件,可以通过具有执行本文描述的功能的至少一个芯片集(例如,程序、函数等)的模块来实施实现方式。软件代码可以被存储在存储器单元中并由处理器来执行。可以在处理器内或处理器外实现存储器单元。在后一种情况下,存储器单元可以经由如本领域中已知的各种手段通信地耦接至处理器。此外,如本领域技术人员将理解的,本文描述的部件可以被重新布置和/或被附加部件补充,以便促进关于其描述的各个方面等的实现,并且它们不限于在给定附图中阐述的明确的配置。
图9提供了根据本发明的一些实施方式的装置(设备)。图9示出了被配置成实现上面结合移动设备描述的功能的装置。每个装置900可以包括:一个或更多个通信控制电路,例如至少一个处理器902;以及至少一个存储器904,其包括诸如计算机程序代码(软件)的一个或更多个算法903,其中,至少一个存储器和计算机程序代码(软件)与至少一个处理器一起配置,以使该装置实现移动设备的例示功能中的任何一个。该装置还可以包括不同的通信接口901和一个或更多个用户接口901’。
图10提供了根据本发明的一些实施方式的装置(设备)。图10示出了被配置成实现上面结合云或云服务描述的功能的装置。每个装置1000可以包括:一个或更多个通信控制电路,例如至少一个处理器1002;以及至少一个存储器1004,其包括诸如计算机程序代码(软件)的一个或更多个算法1003,其中,至少一个存储器和计算机程序代码(软件)与至少一个处理器一起配置,以使该装置实现云(云服务)的例示功能中的任何一个。该装置还可以包括不同的通信接口1001和一个或更多个用户接口1001’。
图11提供了根据本发明的一些实施方式的装置(设备)。图11示出了被配置成实现上面结合工业自动化设备描述的功能的装置。每个装置1100可以包括:一个或更多个通信控制电路,例如至少一个处理器1102;以及至少一个存储器1104,其包括诸如计算机程序代码(软件)的一个或更多个算法1103,其中,至少一个存储器和计算机程序代码(软件)与至少一个处理器一起配置,以使该装置实现工业自动化设备的例示功能中的任何一个。该装置还可以包括不同的通信接口1101。虽然图11中未示出,但是该装置也可以包括一个或更多个用户接口1101’。
参照图9、图10和图11,装置900、1000、1100中的通信控制电路中的至少一个被相应地配置成提供远程注册单元和/或远程工具单元和/或云连接单元和/或令牌生成单元和/或令牌验证单元或任何相应的子单元,并且通过一个或更多个电路实现上面借助于图2至图8中任一个所描述的功能。
存储器904、1004、1104或其一部分可以使用任何合适的数据存储技术——例如基于半导体的存储器设备、闪速存储器、磁存储器设备和系统、光学存储器设备和系统、固定存储器和可移除存储器——来实现。
一个或更多个通信接口901、1001、1101可以包括用于根据一个或更多个通信协议实现通信连接的硬件和/或软件。通信接口可以向装置提供通信能力以通过一个本地连接和/或多个本地连接进行通信和/或在蜂窝通信系统和/或固定网络中进行通信,以及实现不同装置之间的通信。通信接口901、1001、1101可以包括标准的公知部件。
如本申请中所使用的,术语“电路”涉及以下全部内容:(a)仅硬件电路实现,例如仅以模拟电路和/或数字电路的实现;(b)电路和软件(和/或固件)的组合,例如(如果适用的话):(i)处理器的组合或(ii)处理器/软件的部分,包括一起工作以使装置执行各种功能的数字信号处理器、软件和存储器;以及(c)需要软件或固件进行操作的电路,例如微处理器或微处理器的一部分,即使软件或固件并不物理存在。“电路”的定义适用于本申请中该术语的所有用法。作为另一示例,如在本申请中所使用的,术语“电路”还将涵盖仅处理器(或多个处理器)或处理器的一部分及其伴随的软件和/或固件的实现。如果“电路”适用于特定元件,则术语“电路”还将涵盖例如用于用户装置的基带集成电路或应用处理器集成电路或者设备中的类似集成电路。
在实施方式中,至少一个处理器、存储器和计算机程序代码形成处理装置,或者包括用于执行根据图2至图8的任何一个实施方式的一个或更多个操作或其操作的一个或更多个计算机程序代码部分。
所描述的实施方式也可以以由计算机程序或其部分限定的计算机处理的形式来执行。可以通过执行包括相应指令的计算机程序的至少一部分来实现结合图2至图8描述的方法的实施方式。计算机程序可以存储在可由计算机或处理器读取的计算机程序分发介质上。例如,计算机程序介质可以是(例如但不限于):记录介质、计算机存储器、只读存储器、电载波信号、远程通信信号和软件发布包。计算机程序介质可以是非暂态介质。用于实现所示和所述的实施方式的软件编码完全在本领域普通技术人员的理解范围内。
尽管以上已经根据附图参照示例描述了本发明,但是显然本发明不限于此,而是可以在所附权利要求书的范围内以多种方式进行修改。因此,所有词语和表达应该被宽泛地解释并且它们旨在说明实施方式而不是限制实施方式。对于本领域技术人员将明显的是,随着技术进步,可以以各种方式实现本发明构思。此外,对于本领域技术人员清楚的是,所描述的实施方式可以但不要求以各种方式与其他实施方式组合。
Claims (17)
1.一种用于云服务的方法,所述方法至少包括:
在第一云服务处认证用于远程支持工业自动化设备的远程支持应用的用户,所述远程支持应用在移动设备中运行,所述第一云服务是用于工业自动化设备的能够在认证之后访问的远程服务;
在成功认证所述用户之后,在所述移动设备与所述第一云服务之间建立远程支持会话;
在所述第一云服务处在所述远程支持会话中从所述移动设备接收对用于工业自动化设备的第二云服务的令牌的请求和所述工业自动化设备的工业自动化设备信息,其中,所述第二云服务是用于工业自动化设备的能够在认证之后访问的不同于所述第一云服务的另一远程服务;
在所述第一云服务处生成用于所述工业自动化设备的要由所述工业自动化设备在不涉及所述移动设备的情况下使用的令牌,作为交换与所述工业自动化设备有关的信息所需的认证信息,信息交换包括:将来自所述工业自动化设备的数据发送至所述第二云服务,或者在所述工业自动化设备中从所述第二云服务至少接收参数值以更新所述工业自动化设备中的参数值,或者由所述第二云服务从所述工业自动化设备获取数据;以及
使得至少将所述令牌发送至所述移动设备。
2.一种用于云服务的方法,所述方法至少包括:
在第二云服务处认证移动设备的用户,所述第二云服务是用于工业自动化设备的能够在认证之后访问的远程服务;
在成功认证所述用户之后,在所述移动设备与所述第二云服务之间建立连接;
在所述第二云服务处通过所述连接从所述移动设备接收所述工业自动化设备的工业自动化设备信息和令牌,其中,所述令牌已经由第一云服务生成,所述第一云服务是用于工业自动化设备的不同于所述第二云服务的另一云服务;
将所述令牌作为所述工业自动化设备的认证信息存储至所述第二云服务,所述认证信息是交换与所述工业自动化设备有关的信息所需的,信息交换包括:在所述第二云服务中接收来自所述工业自动化设备的数据,或者从所述第二云服务向所述工业自动化设备至少发送参数值以更新所述工业自动化设备中的参数值,或者由所述第二云服务从所述工业自动化设备获取数据;
在不涉及所述移动设备的情况下,使用所述令牌以向所述第二云服务认证所述工业自动化设备或者向所述工业自动化设备认证所述第二云服务,以交换与所述工业自动化设备有关的信息;以及
在成功认证之后,在不涉及所述移动设备的情况下,由所述第二云服务与所述工业自动化设备交换与所述工业自动化设备有关的信息。
3.一种用于移动设备的方法,所述方法至少包括:
由移动设备建立与工业自动化设备的连接;
由所述移动设备从所述工业自动化设备得到设备信息;
在所述移动设备中运行用于远程支持工业自动化设备的远程支持应用;
由所述移动设备与第一云服务认证所述远程支持应用的用户,所述第一云服务是用于工业自动化设备的能够在认证之后访问的远程服务;
在成功认证所述用户之后,在所述移动设备与所述第一云服务之间建立远程支持会话;
使得在所述远程支持会话中将所述工业自动化设备的所述设备信息与对用于所述工业自动化设备的第二云服务的令牌的请求一起从所述移动设备发送至所述第一云服务,其中,所述第二云服务是用于工业自动化设备的在认证之后能够由所述工业自动化设备访问的另一远程服务;
由所述移动设备在所述远程支持会话中从所述第一云服务接收要用作认证信息的令牌,所述认证信息是交换与所述工业自动化设备有关的信息所需的,信息交换包括:将来自所述工业自动化设备的数据发送至所述第二云服务,或者在所述工业自动化设备中从所述第二云服务至少接收参数值以更新所述工业自动化设备中的参数值,或者由所述第二云服务从所述工业自动化设备获取数据,所述移动设备不参与所述认证;以及
由所述移动设备向所述工业自动化设备转发所述令牌和关于要一起使用所述令牌的所述第二云服务的信息。
4.根据权利要求3所述的方法,还包括:
由所述移动设备提示所述移动设备的所述用户提供关于要为其请求所述令牌的云服务的信息;以及
针对所述云服务来请求所述令牌,所述云服务的信息作为用户输入被接收。
5.根据权利要求4所述的方法,还包括:响应于由所述移动设备的所述用户输入的云服务是所述第二云服务:
由所述移动设备与所述第二云服务认证所述移动设备的用户;
使得由所述移动设备将所述令牌和所述设备信息发送至所述第二云服务。
6.一种用于工业自动化设备的方法,所述方法至少包括:
由所述工业自动化设备建立与移动设备的第一连接;
由所述工业自动化设备在没有进行请求的情况下通过所述第一连接从所述移动设备接收令牌和关于用于所述工业自动化设备的云服务的信息,所述信息至少包括云地址;
由所述工业自动化设备将所述令牌和关于所述云服务的所述信息存储至存储器,所述存储器包括一个或更多个令牌-云地址对;
由所述工业自动化设备使用所述令牌作为所述工业自动化设备与所述云服务之间的通过第二连接的认证信息,所述认证信息是交换与所述工业自动化设备有关的信息所需的,信息交换包括:将来自所述工业自动化设备的数据发送至所述云服务,或者在所述工业自动化设备中从所述云服务至少接收参数值以更新所述工业自动化设备中的参数值,或者由所述云服务从所述工业自动化设备获取数据;以及
在成功认证之后,通过所述第二连接在所述工业自动化设备与所述云服务之间交换与所述工业自动化设备有关的信息。
7.根据权利要求6所述的方法,还包括:
由所述工业自动化设备随着所述令牌和关于所述云服务的信息一起接收附加信息,所述附加信息指示关于所述令牌要被用于的信息;以及
由所述工业自动化设备基于要交换的信息来选择要使用的令牌和云服务。
8.一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使得用于第一云服务的计算机能够执行以下步骤,所述第一云服务是用于工业自动化设备的能够在认证之后访问的远程服务:
在所述第一云服务处认证用于远程支持工业自动化设备的远程支持应用的用户,所述远程支持应用在移动设备中运行;
在成功认证所述用户之后,在所述移动设备与所述第一云服务之间建立远程支持会话;
响应于在成功认证所述用户之后从所述移动设备接收到对用于工业自动化设备的第二云服务的令牌的请求和所述工业自动化设备的工业自动化设备信息,生成要用作关于另一云服务的所述工业自动化设备的认证信息的所请求的令牌,所述另一云服务包括所述工业自动化设备与所述第二云服务之间的信息交换,其中,所述第二云服务是用于工业自动化设备的能够在认证之后访问的另一远程服务,所述认证是交换与所述工业自动化设备有关的信息所需的,与所述工业自动化设备有关的信息交换包括:将来自所述工业自动化设备的数据发送至所述第二云服务,或者在所述工业自动化设备中从所述第二云服务至少接收参数值以更新所述工业自动化设备中的参数值,或者由所述第二云服务从所述工业自动化设备获取数据;以及
使得至少将所述令牌发送至所述移动设备。
9.一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使得用于第二云服务的计算机能够执行以下步骤:
在所述第二云服务处认证移动设备的用户,所述第二云服务是用于工业自动化设备的能够由所述工业自动化设备在认证之后访问的远程服务;
在成功认证所述用户之后,在所述移动设备与所述第二云服务之间建立连接;
响应于在成功认证所述用户之后从所述移动设备接收到用于工业自动化设备的令牌和所述工业自动化设备的工业自动化设备信息,将所接收的令牌作为所述工业自动化设备的认证信息存储至所述第二云服务,所述认证信息是交换与所述工业自动化设备有关的信息所需的,信息交换包括:在所述第二云服务中接收来自所述工业自动化设备的数据,或者从所述第二云服务向所述工业自动化设备至少发送参数值以更新所述工业自动化设备中的参数值,或者由所述第二云服务从所述工业自动化设备获取数据;
在不涉及所述移动设备的情况下,使用所述令牌以向所述第二云服务认证所述工业自动化设备或者向所述工业自动化设备认证所述第二云服务,以交换与所述工业自动化设备有关的信息;以及
在成功认证之后,在不涉及所述移动设备的情况下,与所述工业自动化设备交换与所述工业自动化设备有关的信息。
10.一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使得移动设备能够执行以下步骤:
建立与工业自动化设备的连接;
从所述工业自动化设备得到设备信息;
在所述移动设备中运行用于远程支持工业自动化设备的远程支持应用;
与第一云服务认证所述远程支持应用的用户,所述第一云服务是用于工业自动化设备的能够在认证之后访问的远程服务;
在成功认证所述用户之后,在所述移动设备与所述第一云服务之间建立远程支持会话;
使得在所述远程支持会话中将所述工业自动化设备的所述设备信息与对用于所述工业自动化设备的第二云服务的令牌的请求一起发送至所述第一云服务,所述令牌要用作所述第二云服务与所述工业自动化设备之间的认证信息,其中,所述第二云服务是用于工业自动化设备的在认证之后能够由所述工业自动化设备访问的不同于所述第一云服务的另一远程服务;以及
使得响应于接收到所述令牌来将所述令牌和关于要一起使用所述令牌的所述第二云服务的信息作为认证信息转发至所述工业自动化设备,其中,所述认证信息是交换与所述工业自动化设备有关的信息所需的,信息交换包括:将来自所述工业自动化设备的数据发送至所述第二云服务,或者在所述工业自动化设备中从所述第二云服务至少接收参数值以更新所述工业自动化设备中的参数值,或者由所述第二云服务从所述工业自动化设备获取数据。
11.一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使得工业自动化设备中的计算机能够执行以下步骤:
使得建立与移动设备的连接;
响应于通过所述连接从所述移动设备接收到令牌和关于用于所述工业自动化设备的云服务的信息,将所述令牌和关于所述云服务的所述信息存储至存储器,所述信息至少包括云地址,所述存储器包括一个或更多个令牌-云地址对;
使得所述工业自动化设备使用针对所述云服务的所述令牌作为交换与所述工业自动化设备有关的信息所需的认证信息,信息交换包括:将来自所述工业自动化设备的数据发送至所述云服务,或者在所述工业自动化设备中从所述云服务至少接收参数值以更新所述工业自动化设备中的参数值,或者由所述云服务从所述工业自动化设备获取数据;以及
在成功认证之后,使得在所述工业自动化设备与所述云服务之间交换与所述工业自动化设备有关的信息。
12.一种提供云服务的装置,所述云服务是用于工业自动化设备的能够在认证之后访问的远程服务,所述装置包括:
用于在所述云服务处认证用于远程支持工业自动化设备的远程支持应用的用户的装置,所述远程支持应用在移动设备中运行;
用于在成功认证所述用户之后在所述移动设备与所述云服务之间建立远程支持会话的装置;
用于从所述移动设备接收对用于工业自动化设备的另一云服务的令牌的请求和所述工业自动化设备的工业自动化设备信息的装置,其中,所述另一云服务是用于工业自动化设备的能够在认证之后访问的另一远程服务;
用于响应于从用户被成功认证的移动设备接收到所述请求而生成令牌的装置,所述令牌要用作用于所述另一云服务的认证信息,所述另一云服务包括所述另一云服务与所述工业自动化设备之间的信息交换,使用所述令牌的认证是交换与所述工业自动化设备有关的信息所需的,与所述工业自动化设备有关的信息交换包括:将来自所述工业自动化设备的数据发送至所述另一云服务,或者在所述工业自动化设备中从所述另一云服务至少接收参数值以更新所述工业自动化设备中的参数值,或者由所述另一云服务从所述工业自动化设备获取数据;以及
用于至少将所述令牌发送至所述移动设备的装置。
13.一种提供云服务的装置,所述装置包括:
用于在所述云服务处认证移动设备的用户的装置,所述云服务是用于工业自动化设备的能够在认证之后访问的远程服务;
用于在成功认证所述用户之后在所述移动设备与所述云服务之间建立连接的装置;
用于从所述移动设备接收用于工业自动化设备的令牌和所述工业自动化设备的工业自动化设备信息的装置;
用于响应于所述用户被成功认证来将所接收的令牌作为所述工业自动化设备的认证信息存储至所述云服务的装置,所述认证信息是交换与所述工业自动化设备有关的信息所需的,信息交换包括:在所述云服务中接收来自所述工业自动化设备的数据,或者从所述云服务向所述工业自动化设备至少发送参数值以更新所述工业自动化设备中的参数值,或者由所述云服务从所述工业自动化设备获取数据;以及
用于使用所述令牌以向所述云服务认证所述工业自动化设备或者向所述工业自动化设备认证所述云服务以交换与所述工业自动化设备有关的信息的装置;以及
用于在成功认证之后与所述工业自动化设备交换与所述工业自动化设备有关的信息的装置。
14.一种移动设备,包括:
用于建立与工业自动化设备的连接的装置;
用于从所述工业自动化设备得到设备信息的装置;
用于在所述移动设备中运行用于远程支持工业自动化设备的远程支持应用的装置;
用于与第一云服务认证所述远程支持应用的用户的装置,所述第一云服务是用于工业自动化设备的能够在认证之后访问的远程服务;
用于在成功认证所述用户之后在所述移动设备与所述第一云服务之间建立远程支持会话的装置;
用于在所述远程支持会话中将所述设备信息与对用于所述工业自动化设备的第二云服务的令牌的请求一起发送至所述第一云服务的装置,其中,所述第二云服务是用于工业自动化设备的在认证之后能够由所述工业自动化设备访问的另一远程服务;
用于在所述远程支持会话中从所述第一云服务接收要用作认证信息的令牌的装置,所述认证信息是交换与所述工业自动化设备有关的信息所需的,信息交换包括:将来自所述工业自动化设备的数据发送至所述第二云服务,或者在所述工业自动化设备中从所述第二云服务至少接收参数值以更新所述工业自动化设备中的参数值,或者由所述第二云服务从所述工业自动化设备获取数据;以及
用于将所述令牌和关于要一起使用所述令牌的所述第二云服务的信息转发至所述工业自动化设备的装置。
15.一种工业自动化设备,包括:
用于建立与移动设备的连接的装置;
用于通过所述连接从所述移动设备接收用于云服务的令牌和关于用于所述工业自动化设备的所述云服务的信息的装置,所述信息至少包括云地址;
用于将所述令牌和关于所述云服务的所述信息存储至存储器的装置,所述存储器包括一个或更多个令牌-云地址对;
用于使用所述令牌作为交换与所述工业自动化设备有关的信息所需的认证信息的装置,信息交换包括:将来自所述工业自动化设备的数据发送至所述云服务,或者在所述工业自动化设备中从所述云服务至少接收参数值以更新所述工业自动化设备中的参数值,或者由所述云服务从所述工业自动化设备获取数据;以及
用于在成功认证之后在所述工业自动化设备与所述云服务之间交换与所述工业自动化设备有关的信息的装置。
16.一种工业系统,包括:
一个或更多个云,所述一个或更多个云包括被配置成实现根据权利要求1所述的方法的一个或更多个装置;
一个或更多个工业场所,工业场所包括一个或更多个工业自动化设备,所述一个或更多个工业自动化设备被配置成实现根据权利要求6或7所述的方法并且连接至所述一个或更多个装置中的一个或更多个;以及
一个或更多个移动设备,所述一个或更多个移动设备被配置成实现根据权利要求3、4或5所述的方法,并且被配置成连接至所述一个或更多个装置中的一个或更多个,并且在处于工业场所中时连接至所述一个或更多个工业自动化设备中的至少一个。
17.一种工业系统,包括:
一个或更多个云,所述一个或更多个云包括:一个或更多个第一装置,被配置成至少实现根据权利要求1所述的方法;以及至少一个或更多个第二装置,被配置成实现根据权利要求2所述的方法;
一个或更多个工业场所,工业场所包括一个或更多个工业自动化设备,所述一个或更多个工业自动化设备被配置成实现根据权利要求6或7所述的方法并且连接至所述一个或更多个第一装置和所述一个或更多个第二装置中的一个或更多个;以及
一个或更多个移动设备,所述一个或更多个移动设备被配置成实现根据权利要求3、4或5所述的方法,并且被配置成至少连接至所述一个或更多个第一装置中的一个或更多个,并且在处于工业场所中时连接至所述一个或更多个工业自动化设备中的至少一个。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FI20185028 | 2018-01-10 | ||
| FI20185028 | 2018-01-10 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110022215A CN110022215A (zh) | 2019-07-16 |
| CN110022215B true CN110022215B (zh) | 2022-09-27 |
Family
ID=65011881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910016039.5A Active CN110022215B (zh) | 2018-01-10 | 2019-01-08 | 工业自动化设备和云服务 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11303625B2 (zh) |
| EP (1) | EP3511848B1 (zh) |
| CN (1) | CN110022215B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3734479B1 (en) * | 2019-05-02 | 2022-10-19 | ABB Schweiz AG | Access control apparatus and method for controlling configuration of automation apparatus |
| EP3793228B1 (de) * | 2019-09-12 | 2022-08-10 | Deutsche Telekom AG | Verfahren und anordnung zum schützen von iot gerätedaten für einen nutzer bei einer nutzung von ein oder mehreren iot geräten |
| CN111090841A (zh) * | 2019-11-22 | 2020-05-01 | 中国联合网络通信集团有限公司 | 一种用于工控系统的认证方法和装置 |
| US11588856B2 (en) * | 2020-05-08 | 2023-02-21 | Rockwell Automation Technologies, Inc. | Automatic endpoint security policy assignment by zero-touch enrollment |
| US11575571B2 (en) | 2020-05-08 | 2023-02-07 | Rockwell Automation Technologies, Inc. | Centralized security event generation policy |
| CN112905320A (zh) * | 2021-02-05 | 2021-06-04 | 北京邮电大学 | 一种物联网任务的执行系统、方法及装置 |
| WO2023015462A1 (zh) * | 2021-08-10 | 2023-02-16 | Oppo广东移动通信有限公司 | 用于连接建立的方法、装置、设备及存储介质 |
| US20230052998A1 (en) * | 2021-08-12 | 2023-02-16 | Abb Schweiz Ag | Systems and methods for configuring industrial devices through a secured wireless side channel |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104346759A (zh) * | 2013-07-26 | 2015-02-11 | 上海瑞骋网络科技有限公司 | 基于云服务的照片自助打印方法及照片自助打印系统 |
| CN104821050A (zh) * | 2015-04-30 | 2015-08-05 | 交通银行股份有限公司 | 一种操控自动柜员机的方法及系统 |
| CN104992344A (zh) * | 2015-05-25 | 2015-10-21 | 北京京东尚科信息技术有限公司 | 货物自提系统和方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9038142B2 (en) * | 2013-02-05 | 2015-05-19 | Google Inc. | Authorization flow initiation using short-term wireless communication |
| US9538311B2 (en) * | 2014-02-04 | 2017-01-03 | Texas Instruments Incorporated | Auto-provisioning for internet-of-things devices |
| US9825949B2 (en) | 2014-03-26 | 2017-11-21 | Rockwell Automation Technologies, Inc. | Device authentication to facilitate secure cloud management of industrial data |
| US9621547B2 (en) | 2014-12-22 | 2017-04-11 | Mcafee, Inc. | Trust establishment between a trusted execution environment and peripheral devices |
| AU2016220117B2 (en) * | 2015-02-17 | 2020-02-27 | Visa International Service Association | Token and cryptogram using transaction specific information |
| US9693178B2 (en) | 2015-03-18 | 2017-06-27 | Intel IP Corporation | Procedures to provision and attach a cellular internet of things device to a cloud service provider |
| US10156842B2 (en) | 2015-12-31 | 2018-12-18 | General Electric Company | Device enrollment in a cloud service using an authenticated application |
| US20170223057A1 (en) * | 2016-02-01 | 2017-08-03 | General Electric Company | System and method for access control services |
| US10382203B1 (en) * | 2016-11-22 | 2019-08-13 | Amazon Technologies, Inc. | Associating applications with Internet-of-things (IoT) devices using three-way handshake |
-
2019
- 2019-01-08 CN CN201910016039.5A patent/CN110022215B/zh active Active
- 2019-01-09 EP EP19150915.7A patent/EP3511848B1/en active Active
- 2019-01-10 US US16/244,749 patent/US11303625B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104346759A (zh) * | 2013-07-26 | 2015-02-11 | 上海瑞骋网络科技有限公司 | 基于云服务的照片自助打印方法及照片自助打印系统 |
| CN104821050A (zh) * | 2015-04-30 | 2015-08-05 | 交通银行股份有限公司 | 一种操控自动柜员机的方法及系统 |
| CN104992344A (zh) * | 2015-05-25 | 2015-10-21 | 北京京东尚科信息技术有限公司 | 货物自提系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3511848C0 (en) | 2023-09-06 |
| US11303625B2 (en) | 2022-04-12 |
| EP3511848A1 (en) | 2019-07-17 |
| CN110022215A (zh) | 2019-07-16 |
| US20190215319A1 (en) | 2019-07-11 |
| EP3511848B1 (en) | 2023-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110022215B (zh) | 工业自动化设备和云服务 | |
| US11777926B2 (en) | Internet of things (IoT) device management | |
| KR102117584B1 (ko) | 로컬 디바이스 인증 | |
| US11258781B2 (en) | Context and device state driven authorization for devices | |
| US20210297410A1 (en) | Mec platform deployment method and apparatus | |
| EP2939387B1 (en) | Apparatus for and method of multi-factor authentication among collaborating communication devices | |
| US9607143B2 (en) | Provisioning account credentials via a trusted channel | |
| EP3308526B1 (en) | Single sign-on for managed mobile devices | |
| US20150281227A1 (en) | System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications | |
| WO2017152676A1 (zh) | 物联网设备控制方法及装置 | |
| US20160112406A1 (en) | Authentication and authorization in an industrial control system using a single digital certificate | |
| EP3089496B1 (en) | Method and apparatus for providing information | |
| KR20150093737A (ko) | 인가 토큰을 이용하는 네트워크 디바이스들의 관리 | |
| US9413536B2 (en) | Remote secure device management in smart grid ami networks | |
| US10244392B2 (en) | Over-the-air personalization of network devices | |
| WO2018107718A1 (zh) | 智能卡的空中配号方法及装置 | |
| US10171439B2 (en) | Owner based device authentication and authorization for network access | |
| CN103649919A (zh) | 云中的智能电话应用程序 | |
| US20200274719A1 (en) | Generating trust for devices | |
| US20220030431A1 (en) | Credentials management | |
| KR20140071744A (ko) | 스마트 통신단말을 위한 보안정책 협상 기반의 차등화된 보안제어 방법 | |
| US20220200984A1 (en) | Provisioning data on a device | |
| CA2878269A1 (en) | System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications | |
| US11722487B2 (en) | Connecting an end device to a linkable computer infrastructure | |
| US12009979B2 (en) | Secure and adaptive mechanism to provision zero- touch network devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |