CN116783871A - 远程系统以及远程连接方法 - Google Patents
远程系统以及远程连接方法 Download PDFInfo
- Publication number
- CN116783871A CN116783871A CN202180088688.1A CN202180088688A CN116783871A CN 116783871 A CN116783871 A CN 116783871A CN 202180088688 A CN202180088688 A CN 202180088688A CN 116783871 A CN116783871 A CN 116783871A
- Authority
- CN
- China
- Prior art keywords
- gateway
- instrument
- information
- production
- external terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 66
- 238000004519 manufacturing process Methods 0.000 claims abstract description 308
- 238000004891 communication Methods 0.000 claims description 81
- 238000003860 storage Methods 0.000 claims description 66
- 230000006870 function Effects 0.000 claims description 48
- 238000001514 detection method Methods 0.000 claims description 4
- 230000002265 prevention Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 description 47
- 238000010586 diagram Methods 0.000 description 36
- 230000008569 process Effects 0.000 description 16
- 238000012545 processing Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 8
- 238000002360 preparation method Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 239000000470 constituent Substances 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000015654 memory Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
- G05B19/41855—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication by local area network [LAN], network structure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4183—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by data acquisition, e.g. workpiece identification
-
- G—PHYSICS
- G08—SIGNALLING
- G08C—TRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
- G08C17/00—Arrangements for transmitting signals characterised by the use of a wireless electrical link
- G08C17/02—Arrangements for transmitting signals characterised by the use of a wireless electrical link using a radio link
-
- G—PHYSICS
- G08—SIGNALLING
- G08C—TRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
- G08C2201/00—Transmission systems of control signals via wireless link
- G08C2201/40—Remote control systems using repeaters, converters, gateways
- G08C2201/42—Transmitting or receiving remote control signals via a network
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
远程系统将具有生产装置和网关装置的本地局域网络与服务器装置经由广域网络连接。远程系统具有网络仪器,该网络仪器允许从本地局域网络的内部对外部的连接,拒绝从外部对内部的连接。网关装置对服务器装置请求建立与服务器装置之间的第1对话。服务器装置具有仪器管理部和连接控制部。仪器管理部将对从外部终端指定的目标生产装置进行识别的仪器识别信息与对生产装置设定的仪器识别信息进行对照。连接控制部接受建立第1对话的请求而建立第1对话,在仪器管理部的对照结果为目标生产装置的仪器识别信息与对生产装置设定的仪器识别信息相一致的情况下,在与外部终端之间建立第2对话,将第1对话与第2对话相连结。
Description
技术领域
本发明涉及从外部与工厂等的生产装置连接的远程系统以及远程连接方法。
背景技术
已知从工厂等外部远程地将作为信息通信装置的外部终端对设置于工厂等的可编程逻辑控制器(Programmable Logic Controller:PLC)、人机界面(Human MachineInterface:HMI)、逆变器等生产装置连接的系统。在这样的系统中,通过对路由器、防火墙等网络仪器进行适当地设定,对各生产装置具有的全局IP(Internet Protocol)地址或端口编号进行切换,从而能够进行来自外部的远程访问。另外,通过利用虚拟专用网络(Virtual Private Network:VPN)技术,将工厂等的内部网络与外部网络由本地局域网络(Local Area Network:LAN)虚拟地连接,从而使得不将生产装置对外部公开。
在专利文献1中,公开了能够在这样的系统中容易地对网络仪器进行通信设定的控制装置。在专利文献1中记载的控制装置具有:存储部,其对包含至少一个用于进行与经由网络仪器的通信有关的通信设定的命令的用户程序进行储存;以及通信设定部,其基于命令的执行条件的成立,在与网络仪器之间进行指令的收发,从而进行该命令表示的通信设定。由此,即使是不知道与网络仪器之间的指令的收发方法的用户,如果指定了通信设定,则也能够使控制装置执行与指定的设定内容相应的处理。
专利文献1:日本特开2020-088690号公报
发明内容
然而,在将专利文献1中记载的技术导入至现有的工厂等的情况下,存在以下问题,即,必须由具有网络以及信息安全知识的人创建进行VPN的导入等设定的命令。另外,专利文献1中记载的技术,在由于伴随着系统中的网络仪器的设定变更而设定有误的情况下,有可能使第三者侵入系统内。因此,即使能够基于命令进行通信设定,也必须由具有网络以及信息安全知识的人进行关于与命令对应的通信设定的设定是否合适的验证。也存在该验证的工时非常多的问题。
本发明是鉴于上述情况而提出的,其目的在于得到一种不变更工厂侧的现有的网络结构以及网络仪器的设定,就能够实现对生产装置的远程访问的远程系统。
为解决上述的课题,达成目标,本发明的远程系统将具有生产装置和网关装置的本地局域网络和对作为信息通信装置的外部终端与生产装置之间的通信进行中继的服务器装置经由广域网络连接,实现由外部终端进行的对生产装置的远程连接。远程系统在本地局域网络与广域网络的连接点或连接点与生产装置之间具有网络仪器,该网络仪器允许从本地局域网络的内部对外部的连接,拒绝从本地局域网络的外部对内部的连接。网关装置具有服务器连接控制部,其对服务器装置请求建立在网关装置与服务器装置之间的第1对话。服务器装置具有仪器管理部和连接控制部。仪器管理部将对从外部终端指定的目标生产装置进行识别的仪器识别信息与对生产装置设定的仪器识别信息进行对照。连接控制部接受建立第1对话的请求而建立第1对话,在仪器管理部的对照结果为目标生产装置的仪器识别信息与对生产装置设定的仪器识别信息相一致的情况下,在外部终端与服务器装置之间建立第2对话,将第1对话与第2对话相连结。服务器装置的连接控制部使用相连结的第1对话以及第2对话对外部终端与生产装置之间的通信进行中继。
发明的效果
本发明涉及的远程系统具有不变更工厂侧的现有的网络结构以及网络仪器的设定,就能够实现对生产装置的远程访问的效果。
附图说明
图1是示意性地表示实施方式1涉及的远程系统的结构的一个例子的图。
图2是表示实施方式1涉及的远程系统的功能结构的一个例子的框图。
图3是表示连接仪器信息的一个例子的图。
图4是表示连接设定信息的一个例子的图。
图5是表示仪器信息的一个例子的图。
图6是表示网关信息的一个例子的图。
图7是表示实施方式1涉及的远程系统中的远程连接方法的步骤的一个例子的时序图。
图8是表示实施方式1涉及的远程系统所包含的服务器装置的动作的一个例子的流程图。
图9是表示实施方式2涉及的远程系统中的远程连接方法的步骤的一个例子的时序图。
图10是表示连接仪器选择画面的一个例子的图。
图11是表示实施方式2涉及的远程系统的结构的一个例子的图。
图12是表示实施方式3涉及的远程系统中的远程连接方法的步骤的一个例子的时序图。
图13是表示实施方式4涉及的远程系统的功能结构的一个例子的图。
图14是表示用户信息的一个例子的图。
图15是表示以生产装置单位设定访问权限的情况下的访问控制信息的一个例子的图。
图16是表示以网关装置单位设定访问权限的情况下的访问控制信息的一个例子的图。
图17是表示网关信息的一个例子的图。
图18是表示连接设定信息的一个例子的图。
图19是表示实施方式4涉及的远程系统中的远程连接方法的步骤的一个例子的时序图。
图20是示意性地表示实施方式5涉及的远程系统的结构的一个例子的图。
图21是示意性地表示实施方式6涉及的远程系统的结构的一个例子的图。
图22是示意性地表示在实施方式6涉及的远程系统中使用的带网关功能的生产装置的结构的一个例子的立体图。
图23是示意性地表示实施方式6涉及的远程系统的结构的另一个例子的图。
图24是表示将实施方式1至6涉及的远程系统的网关装置以及服务器装置实现的计算机系统的硬件结构的一个例子的图。
具体实施方式
以下,基于附图对本发明的实施方式涉及的远程系统以及远程连接方法进行详细说明。
实施方式1
图1是示意性地表示实施方式1涉及的远程系统的结构的一个例子的图。远程系统1主要是由管理工厂10的管理者等用户所具有的信息通信装置即外部终端310实现从工厂10的外部对工厂10中的生产装置130远程连接的系统。远程系统1具有在工厂10内设置的LAN即工厂内网络11、云端系统20和在外部设施30设置的外部终端310。工厂内网络11、云端系统20和外部终端310经由公共IP网络等广域网络40连接。
工厂10具有大于或等于1个生产装置130。生产装置130是在对控制对象进行控制时使用的装置。生产装置130的一个例子是PLC、HMI或逆变器。生产装置130与控制对象的控制仪器、对控制对象的状态进行监视的传感器等连接。工厂内网络11是连接工厂10内的生产装置130的网络。工厂内网络11具有生产装置130和网关装置110,生产装置130与网关装置110通过有线或无线的LAN而连接。在一个例子中,生产装置130与网关装置110经由交换集线器141连接。此外,示出了在图1的工厂内网络11连接2台生产装置130的情况,但也可以连接1台或大于或等于3台生产装置130。
在实施方式1中,网关装置110对与工厂内网络11连接的生产装置130进行检索,在发现了生产装置130的情况下将关于生产装置130的信息发送至云端系统20的服务器装置210。另外,网关装置110对服务器装置210发送建立作为与服务器装置210之间的第1对话的对话的对话建立请求。
在工厂内网络11与广域网络40的连接点设置有作为网络仪器的路由器145。在实施方式1中,路由器145设定为允许从工厂内网络11的内部对设置广域网络40的外部的连接,但拒绝从工厂内网络11的外部对内部的连接。
在图1的例子中示出了工厂内网络11为1个的情况,但在1个工厂10内也可以存在多个工厂内网络11。例如,构成为包含网关装置110的各个工厂内网络11与路由器145连接。另外,在图1的例子中,示出了工厂10为1个的情况,但也可以设置有多个工厂10,在工厂10分别设置大于或等于1个工厂内网络11。
云端系统20具有服务器装置210。服务器装置210经由作为网络仪器的路由器245而与广域网络40连接。服务器装置210对网关装置110与外部终端310之间的通信进行中继。
服务器装置210对关于从网关装置110接收到的生产装置130的信息进行存储。服务器装置210在对从外部终端310指定的目标生产装置130进行识别的信息包含于在服务器装置210中存储的关于生产装置130的信息的情况下,在与外部终端310之间建立作为第2对话的对话。然后,服务器装置210将与外部终端310之间的对话和与连接至目标生产装置130的网关装置110之间的对话相连结,对外部终端310与生产装置130之间的通信进行中继。此外,服务器装置210在从外部终端310接受了连接请求时,以在网关装置110与目标生产装置130之间建立对话的方式对网关装置110进行指示。由此,在外部终端310与目标生产装置130之间建立1个对话。此外,虽然在图1中示出了云端系统20的服务器装置210,但也可以是本地部署型的服务器装置210。
外部设施30是进行工厂10内的生产装置130的管理、作业等的用户所在的设施。外部设施30的一个例子是处于在物理上远离工厂10的位置的事务所、用户自家等。外部终端310由用户使用。外部终端310例如是桌面型的个人计算机(Personal Computer:PC)、笔记本型的PC、智能手机、平板终端等。外部终端310设置大于或等于1个。外部终端310经由作为网络仪器的路由器345和广域网络40而与服务器装置210连接。外部终端310对服务器装置210发送包含关于目标生产装置130的信息的连接请求,在由服务器装置210承认了连接请求的情况下,能够经由服务器装置210以及网关装置110而对目标生产装置130连接。此外,外部终端310如果是处在能够与广域网络40连接的环境下,则能够配置于任何场所。在一个例子中,不只安装于外部设施30,也能够配置于工厂10内。
虽然在图1中示出了在外部设施30设置有1台外部终端310的情况,但也可以存在多个外部终端310。在该情况下,通过交换集线器等在外部设施30内构成LAN,连接LAN与路由器345。另外,虽然在图1中示出了网络仪器是路由器145、245、345的情况,但网络仪器除了路由器145、245、345之外还包含防火墙装置、带防火墙功能的路由器装置等。
在将实施方式1涉及的远程系统1应用于将工厂内网络11与外部终端310经由广域网络40连接的系统时,不需要对已经设置的网络仪器即路由器145、245、345的设定进行改变。即,与工厂内网络11连接的路由器145通常设定为允许从工厂内网络11的内部向外部的连接、不允许从外部向内部的连接,能够不变更该设定而直接使用。
图2是表示实施方式1涉及的远程系统的功能结构的一个例子的框图。如上所述,在实施方式1涉及的远程系统1中,服务器装置210将网关装置110与服务器装置210之间的对话和外部终端310与服务器装置210之间的对话相连结,通过对通信进行中继而进行外部终端310与生产装置130之间的连接。因此,在图2中示出了外部终端310、服务器装置210、网关装置110和生产装置130的连接。以下,对网关装置110以及服务器装置210的功能结构的详情进行说明。
网关装置110具有生产装置连接控制部111、连接仪器信息存储部112、连接设定信息存储部113和服务器连接控制部114。
生产装置连接控制部111对与连接网关装置110的工厂内网络11连接的生产装置130,即能够连接网关装置110的生产装置130进行检索。生产装置连接控制部111在发现了能够连接的生产装置130的情况下,从能够连接的生产装置130取得关于生产装置130的信息,登记至连接仪器信息存储部112。关于生产装置130的信息包含生产装置130的物理地址、逻辑地址、仪器主机名、仪器标识符。仪器主机名是赋予生产装置130的名称。仪器主机名是网络地址(Network Basic Input Output System:NetBIOS)名、计算机等主机名。仪器主机名的一个例子是针对产品的每个机型而不同的产品型号名称。仪器标识符是在远程系统1内将生产装置130唯一识别的识别信息。仪器标识符对应于仪器识别信息。
在一个例子中,生产装置连接控制部111使用互联网控制消息协议(InternetControl Message Protocol:ICMP)的回应请求通知(Echo Message)、通用即插即用(Universal Plug and Play:UPnP)、或其它方法而进行能够连接的生产装置130的检索。根据这些方法,生产装置连接控制部111能够取得生产装置130的物理地址、逻辑地址、仪器主机名等。另外,生产装置连接控制部111在一个例子中,对生产装置130发送请求生产装置130进行仪器标识符的发送的仪器标识符取得请求,通过接收该响应即仪器标识符取得响应,从而能够取得仪器标识符。
生产装置连接控制部111根据来自服务器装置210的指示,建立从服务器装置210指定的目标生产装置130与网关装置110之间的对话。这在外部终端310对服务器装置210发出了连接请求之后进行。
连接仪器信息存储部112对由生产装置连接控制部111取得的关于生产装置130的信息即连接仪器信息进行存储。连接仪器信息是与生产装置130之间的连接所需的信息。图3是表示连接仪器信息的一个例子的图。连接仪器信息是将仪器MAC(Media AccessControl)地址、仪器IP地址、仪器主机名和仪器标识符相关联的信息。仪器MAC地址是生产装置130具有的物理地址。在此使用了MAC地址,但是只要表示物理地址,也可以使用其它信息。仪器IP地址是赋予生产装置130的逻辑地址。在实施方式1中,如后所述,仪器标识符通过外部终端310而生成,登记至生产装置130,因此在生产装置130未登记仪器标识符的情况下,该栏为空白。
连接设定信息存储部113对网关装置110与服务器装置210连接所需的信息即连接设定信息进行存储。图4是表示连接设定信息的一个例子的图。在一个例子中,连接设定信息作为设定项目而由将作为键(Key)的设定项目与作为值(Value)的设定值组合的键值型数据库构成。连接设定信息作为设定项目而包含表示连接目标的服务器装置210的“云端系统服务器装置FDQN(Fully Qualified Domain Name:完全修饰域名)”、标识网关装置110的信息即“网关ID(Identification)”以及网关装置110对服务器装置210进行访问时所需的密码即“网关PW(PassWord)”。
服务器连接控制部114使用连接设定信息存储部113中的连接设定信息,进行对云端系统20的服务器装置210的连接。在与服务器装置210连接时,服务器连接控制部114对由连接设定信息存储部113中的“云端系统服务器装置FQDN”表示的服务器装置210使用网关ID以及网关PW进行登录。另外,如果对连接仪器信息登记了仪器标识符,则服务器连接控制部114对服务器装置210发送关于与登记了的仪器标识相对应的生产装置130的信息。并且服务器连接控制部114对服务器装置210请求建立网关装置110与服务器装置210之间的对话。
此外,虽然在图2的例子中示出了将连接仪器信息存储部112以及连接设定信息存储部113设置在网关装置110中的例子,但也可以不设置在网关装置110中。在该情况下,只要设置对连接仪器信息以及连接设定信息进行管理的新的数据库装置、配置为网关装置110能够对新的数据库装置进行访问即可。
服务器装置210具有连接控制部211、仪器管理部212、仪器信息存储部213和网关信息存储部214。
连接控制部211对与网关装置110的连接以及与外部终端310的连接进行控制。具体地说,连接控制部211接受来自网关装置110的请求,在与网关装置110之间建立对话。连接控制部211接受来自外部终端310的请求,在与外部终端310之间建立对话,使网关装置110与被设为外部终端310的目标的生产装置130之间的对话建立。连接控制部211在仪器管理部212的对照结果为目标生产装置130的仪器标识符与对生产装置130设定的仪器标识符相一致的情况下,将与网关装置110的对话和与外部终端310的对话相连结,对外部终端310与生产装置130之间的通信进行中继。
仪器管理部212将关于来自网关装置110的生产装置130的信息登记至仪器信息存储部213中。关于生产装置130的信息包含仪器名称、仪器标识符和生产装置130所连接的网关。仪器名称是由用户对生产装置130赋予的名称,能够自由地编辑。另外,仪器管理部212将对从外部终端310指定的目标生产装置130进行识别的仪器标识符与对生产装置130设定的仪器标识符进行对照。在实施方式1中,仪器管理部212如果从外部终端310接受到仪器连接请求,则对仪器连接请求所包含的仪器标识符是否包含于仪器信息存储部213中的仪器信息进行对照,将对照结果输出至连接控制部211。
仪器信息存储部213对表示生产装置130属于哪个网关装置110的网络的信息即仪器信息进行存储。仪器信息只要将生产装置130与生产装置130所属的工厂内网络11的网关装置110相关联即可。图5是表示仪器信息的一个例子的图。仪器信息作为项目而包含仪器名称、仪器标识符和经由网关ID。仪器名称是由用户对生产装置130赋予的名称。经由网关ID是对与生产装置130所属的工厂内网络11连接的网关装置110进行识别的信息。经由网关ID是对图4的连接设定信息的“网关ID”的设定值。
网关信息存储部214对表示能够与服务器装置210连接的网关装置110的信息即网关信息进行存储。图6是表示网关信息的一个例子的图。网关信息是将网关ID、网关PW和网关名称相关联的信息。网关ID是对网关装置110进行识别的信息。在一个例子中,图5的仪器信息的经由网关ID使用网关ID而表现。网关ID与网关识别信息对应。网关名称是由用户对网关赋予的名称。
对这样的远程系统1中的远程连接方法进行说明。图7是表示实施方式1涉及的远程系统中的远程连接方法的步骤的一个例子的时序图。在此,举例出具有外部终端310的用户对工厂10内的某生产装置130进行远程访问的情况。
首先,执行事前准备。在事前准备中,外部终端310生成关于成为远程访问的对象的目标生产装置130的仪器标识符(步骤S11)。仪器标识符是在远程系统1内不重复的值。在一个例子中,仪器标识符通过GUID(Globally Unique Identifier)等机制而生成。
接下来,外部终端310将生成的仪器标识符登记至生产装置130(步骤S12)。在一个例子中,通过USB(Universal Serial Bus)线缆等任何路径将外部终端310与生产装置130连接,仪器标识符从外部终端310登记至生产装置130。另外,也可以通过其它方法将仪器标识符从外部终端310登记至生产装置130。此时,外部终端310的用户将外部终端310搬运至工厂10的生产装置130附近。通过以上而结束事前准备。此后,用户将外部终端310搬运至外部设施30。
网关装置110的服务器连接控制部114经由广域网络40对服务器装置210发送对话建立请求(步骤S13)。此外,由于是从工厂内网络11的内部对外部的连接,因此路由器145将来自网关装置110的对话建立请求中继至服务器装置210。
服务器装置210的连接控制部211在与网关装置110之间建立对话。在对话的建立成功的情况下,服务器装置210的连接控制部211对网关装置110做出建立结束通知的响应(步骤S14)。由于建立结束通知是对来自网关装置110的对话建立请求的响应,而不是来自工厂内网络11的外部的连接,因此路由器145将建立结束通知中继至网关装置110。通过该对话建立动作,服务器装置210以及网关装置110处于始终进行网络连接的状态。此后,能够使用该对话而进行服务器装置210与网关装置110之间的通信。
网关装置110的生产装置连接控制部111对能够经由有线LAN、无线LAN等网络而连接的生产装置130发送仪器连接可否确认(步骤S15)。能够连接的生产装置130的检索可以从网关装置110使用作为通用技术的ICMP的回应请求通知,也可以使用UPnP实施,也可以使用其它方法。
生产装置130对网关装置110发送仪器连接可否响应(步骤S16)。在步骤S15中接收到ICMP的回应请求通知的情况下,作为仪器连接可否响应而发送回应响应通知(EchoReply Message)。网关装置110的生产装置连接控制部111取得接收到的仪器连接可否响应所包含的生产装置130的MAC地址和IP地址,登记至连接仪器信息存储部112的连接仪器信息。由此,网关装置110能够对能够与网关装置110连接的仪器进行识别。
网关装置110的生产装置连接控制部111对将仪器连接可否响应回送来的生产装置130发送对仪器标识符的发送进行请求的仪器标识符请求(步骤S17)。具有仪器标识符的生产装置130对网关装置110发送包含仪器标识符的仪器标识符响应(步骤S18)。在一个例子中,网关装置110的生产装置连接控制部111取得仪器标识符响应的发送源的MAC地址和仪器标识符,与连接仪器信息的仪器MAC地址相关联地对仪器标识符进行登记。
网关装置110的服务器连接控制部114对服务器装置210发送包含仪器标识符响应所包含的仪器标识符的装置信息登记(步骤S19)。通过该动作,服务器装置210的仪器管理部212将仪器信息登记所包含的仪器标识符登记至仪器信息存储部213的仪器信息中。此时在仪器信息中,将发送源的网关装置110的网关ID登记为经由网关ID,在存在仪器名称的情况下也登记仪器名称。然后,服务器装置210的连接控制部211对网关装置110发送登记接受响应(步骤S20)。
然后,外部终端310在要与在事前准备中登记了仪器标识符的生产装置130连接时,对服务器装置210发送包含目标生产装置130的仪器标识符的仪器连接请求(步骤S21)。仪器连接请求是用于对服务器装置210建立对话的请求,并且也是用于通过该对话而连接至生产装置130的请求。
服务器装置210的仪器管理部212如果接收到仪器连接请求,则从仪器连接请求取得仪器标识符,对取得的仪器标识符是否存在于仪器信息存储部213的仪器信息中进行判定。即,仪器管理部212对取得的仪器标识符与仪器信息所包含的仪器标识符是否一致进行判定。在取得的仪器标识符与仪器信息所包含的仪器标识符不一致的情况下,仪器管理部212不允许由外部终端310发出的仪器连接请求。另一方面,在取得的仪器标识符与仪器信息所包含的仪器标识符一致的情况下,连接控制部211在外部终端310与服务器装置210之间建立对话。然后,连接控制部211对外部终端310发送连接接受响应(步骤S22)。
此时,连接控制部211参考仪器信息,取得具有与仪器标识符对应的经由网关ID的网关装置110,对取得的网关装置110请求建立与生产装置130之间的对话。由此,在网关装置110与生产装置130之间建立对话。
服务器装置210从仪器信息取得与仪器连接请求所包含的仪器标识符对应的经由网关ID,将在与对应于经由网关ID的网关装置110之间建立的对话和在外部终端310与服务器装置210之间建立的对话相关联。另外,在网关装置110中,将网关装置110与生产装置130之间的对话和网关装置110与服务器装置210之间的对话相关联。由此,建立从外部终端310至生产装置130的对话。即,生产装置130与外部终端310处于能够通信的状态。
在该状态下,在从外部终端310到生产装置130通信时,外部终端310对服务器装置210发送任意的数据。此时,服务器装置210以及网关装置110使用已建立的对话而中继任意的数据,将任意的数据发送至生产装置130(步骤S23)。
同样地,在从生产装置130至外部终端310通信时,生产装置130对网关装置110发送任意的数据。此时,网关装置110以及服务器装置210使用建立的对话对任意的数据进行中继,将任意的数据发送至外部终端310(步骤S24)。
外部终端310在要将与生产装置130的通信切断的情况下,对服务器装置210发送仪器切断请求(步骤S25)。服务器装置210的连接控制部211如果从外部终端310接收到仪器切断请求,则对外部终端310发送切断接受响应(步骤S26)。此时,外部终端310与生产装置130之间的通信被拦截。
图8是表示实施方式1涉及的远程系统所包含的服务器装置的动作的一个例子的流程图。连接控制部211设为处于连接等待状态(步骤S51)。在这种状态下,连接控制部211在从网关装置110或外部终端310接收请求后(步骤S52),对请求的类别进行判别(步骤S53)。
在请求是来自网关装置110的对话建立请求的情况下(在步骤S53中的对话建立请求的情况下),连接控制部211生成网关装置通信用对话(步骤S54)。另外,连接控制部211生成网关装置通信用的线程或进程(步骤S55)。
接下来,连接控制部211对网关装置通信用的线程或进程分配网关装置通信用对话(步骤S56)。然后,连接控制部211对网关装置110发送建立结束通知(步骤S57),处理返回到步骤S51。
在请求是来自网关装置110的仪器信息登记的情况下(在步骤S53中的仪器信息登记的情况下),仪器管理部212将接收到的仪器信息登记所包含的仪器标识符登记至仪器信息中(步骤S61)。此后,连接控制部211对网关装置110发送登记接受响应(步骤S62),处理返回到步骤S51。
在请求是来自外部终端310的仪器连接请求的情况下(在步骤S53中的仪器连接请求的情况下),仪器管理部212从仪器连接请求取得仪器标识符(步骤S71),对取得的仪器标识符是否存在于仪器信息中进行判定(步骤S72)。在仪器标识符不存在于仪器信息中的情况下(步骤S72中的No的情况下),作为无效的仪器连接请求。然后,处理返回到步骤S51。
另外,在仪器标识符存在于仪器信息中的情况下(步骤S72中的Yes的情况下),连接控制部211生成外部终端通信用对话(步骤S73)。另外,连接控制部211生成外部终端通信用的线程或进程(步骤S74)。
接下来,连接控制部211为外部终端通信用的线程或进程分配外部终端通信用对话(步骤S75)。此后,连接控制部211对外部终端310发送连接接受响应(步骤S76),处理返回到步骤S51。
在请求是外部终端310与生产装置130之间的通信的情况下(在步骤S53中的外部终端-生产装置间通信的情况下),连接控制部211生成外部终端310-网关装置110间通信用的线程或进程(步骤S81)。接下来,连接控制部211对外部终端310-网关装置110间通信用的线程或进程分配网关装置通信用的线程或进程(步骤S82)。
另外,连接控制部211对外部终端310-网关装置110间通信用的线程或进程分配外部终端通信用的线程或进程(步骤S83)。由此,将外部终端310与服务器装置210之间的对话和服务器装置210与网关装置110之间的对话连接。此后,连接控制部211开始外部终端310与网关装置110之间的通信中继动作(步骤S84)。然后,处理返回到步骤S51。以这种方式,网关装置110参照建立完成的对话以及连接仪器信息存储部112,判别连接目标的生产装置130而中继数据。
在请求是仪器切断请求的情况下(在步骤S53中的仪器切断请求的情况下),连接控制部211结束外部终端310与网关装置110之间的通信中继动作(步骤S91)。此后,连接控制部211对外部终端310发送切断接受响应(步骤S92),处理返回到步骤S51。
在此,在不是从网关装置110对服务器装置210发出对话的建立请求、而是从服务器装置210对网关装置110发出对话的建立请求的情况下,对话的建立请求不会通过网络仪器到达网关装置110。另外,为了能够从服务器装置210对网关装置110发出对话的建立请求,需要进行网络仪器允许从工厂内网络11的外部对内部的访问的设定。在该情况下,能够通过第三者所具有的外部终端310进行从网络仪器对工厂内网络11的访问,从而不能确保安全性。
在实施方式1涉及的远程系统1中,包含生产装置130和网关装置110的工厂内网络11、服务器装置210和外部终端310经由广域网络40连接,工厂内网络11经由对从内部对外部的连接进行中继、对从外部对内部的连接进行拦截的网络仪器而与广域网络40连接。网关装置110对服务器装置210发出对话建立请求,建立在网关装置110与服务器装置210之间的对话。服务器装置210保持有包含登记了仪器识别信息的生产装置130的仪器识别信息的仪器信息,在从外部终端310接受了仪器连接请求的情况下,对仪器连接请求所包含的仪器识别信息是否存在于仪器信息中进行对照,在存在的情况下建立与外部终端310之间的对话,并且将与外部终端310之间的对话和与连接目标生产装置130的网关装置110之间的对话相连结。其结果,不需要工厂10侧的现有的工厂内网络11的结构以及路由器145等的网络仪器的设定变更,就能够实现从外部终端310对生产装置130的远程访问。另外,由于不需要网络仪器的设定变更,因此能够削减由具有网络以及信息安全知识的人进行的关于通信设定的设定工时以及关于通信设定的验证作业的验证工时,抑制设定错误。
更具体地说,在市场贩售的大部分网络仪器的初始设定中,允许从网络的内部向外部的连接,相反地从网络的外部向内部的连接从信息安全方面的观点来看被拒绝。在专利文献1等现有技术中,为了实现现有的远程访问,通过对该网络仪器变更拒绝从外部向内部的连接的初始设定而实现。
对此,在实施方式1涉及的远程系统1中,从工厂10的内部的网关装置110向工厂10的外部的服务器装置210进行对话建立请求。即,不需要对网络仪器的初始设定进行变更。另外,从信息安全的观点来看,在工厂10侧的路由器145不进行接受来自外部的连接的设定,因此能够不进行网络仪器的特别设定而对在用户所具有的外部终端310与生产装置130之间的通信进行中继,同时容易地防止由第三者保持的外部终端对生产装置130的访问。
另外,在实施方式1中,通过由TCP/IP(Transmission Control Protocol/Internet Protocol)等的套接字通信、即使用了对话的通信进行外部终端310与生产装置130之间的通信。因此,能够对应与IP对应的所有通信规格,实现对PLC之外的仪器的远程访问。
在实施方式1中,使外部终端310、云端系统20的服务器装置210以及生产装置130具有用于将生产装置130唯一识别的仪器标识符。在外部终端310与生产装置130连接时,服务器装置210在对照了外部终端310以及生产装置130具有的仪器标识符之后,通过对二者之间的通信进行中继而实现远程访问。由此,能够不输入IP地址或端口编号等连接目标的信息而在外部终端310与生产装置130之间容易地进行远程访问。即,用户能够不对包含IP地址以及端口编号的网络信息进行管理而进行远程访问。
通过使用仪器标识符,外部终端310能够不从多个生产装置130中选择对象而连接。对于发出了包含未登记至服务器装置210的仪器标识符的仪器连接请求的外部终端310,由于连接不被允许,因此能够抑制由不知道仪器标识符的第三者对工厂内网络11的生产装置130的访问。如上所述,在实施方式1涉及的远程系统1中,即使是不具有信息安全知识的用户也能够不变更现有的网络仪器的设定而安全地并且容易地实现远程访问。
现在,已知具有通过网络套接字(WebSocket)通信在工厂内的生产装置与数据中心之间建立对话、从移动终端经由数据中心对工厂内的生产装置进行远程访问的技术。在该技术中,将生产装置具有建立对话的功能作为前提,不能够对不具有建立对话的功能的生产装置进行远程访问。然而,在实施方式1中,由于建立对话的不是生产装置130而是网关装置110,因此生产装置130也可以不具有建立对话的功能。即,采取在服务器装置210与网关装置110之间建立对话、通过网关装置110与生产装置130进行任意的通信的结构,因此即使是不具有建立对话的机构的生产装置130,也能够实施远程访问。
实施方式2
在实施方式1中,外部终端310生成仪器标识符,登记至生产装置130。在实施方式2中,对生产装置130具有生成仪器标识符的功能的情况进行说明。
由于实施方式2涉及的远程系统1的结构与在实施方式1中说明过的结构相同,因此省略其说明。然而,生产装置130具有生成仪器标识符的功能。另外,服务器装置210的连接控制部211具有根据来自外部终端310的请求而将仪器信息存储部213中的仪器信息以一览的形式显示于外部终端310的功能。
图9是表示实施方式2涉及的远程系统中的远程连接方法的步骤的一个例子的时序图。此外,以下省略与实施方式1的图7相同的部分的说明,针对不同的部分进行说明。另外,在此设为处于未对生产装置130写入有仪器标识符的状态。
在实施方式2中,由于是生产装置130具有生成仪器标识符的功能的情况,因此不进行图7的步骤S11至S12的由外部终端310进行的仪器标识符的生成和仪器标识符对生产装置130的登记。
生产装置130如果接收到步骤S15的由网关装置110进行的仪器连接可否确认,则在未将仪器标识符写入至内部的存储部的情况下,生成仪器标识符(步骤S11a)。将生成的仪器标识符写入至生产装置130的内部的存储部中。此后,生产装置130对网关装置110发送仪器连接可否响应(步骤S16)。
此外,在此,步骤S11a的仪器标识符的生成是在步骤S15的接收到仪器连接可否确认之后进行,但也可以在步骤S16的发送出仪器连接可否响应之后进行,也可以在步骤S17的接收到仪器标识符请求之后进行。
另外,在步骤S16中接收到仪器连接可否响应、在步骤S18中接收到仪器标识符响应之后,网关装置110登记关于生产装置130的连接仪器信息,但有时在该时刻未登记生产装置130的仪器名称。在该情况下,保持仪器名称未登记,将生产装置130的信息登记至服务器装置210的仪器信息中。
在实施方式1中,外部终端310对服务器装置210发送了包含仪器标识符的仪器连接请求,但在实施方式2中,外部终端310不具有生产装置130的仪器标识符的信息。因此,外部终端310在步骤S21的仪器连接请求之前对服务器装置210发送仪器一览取得请求(步骤S111)。服务器装置210的连接控制部211如果接收到仪器一览取得请求,则对外部终端310发送包含连接仪器信息的仪器一览响应,连接仪器信息是从仪器信息存储部213的仪器信息中提取的、关于能够对外部终端310连接的生产装置130的信息(步骤S112)。
外部终端310使用仪器一览响应所包含的连接仪器信息将连接仪器选择画面显示于显示部。图10是表示连接仪器选择画面的一个例子的图。连接仪器选择画面500具有仪器一览显示区域510和连接按钮520。
在仪器一览显示区域510中显示能够确定连接仪器信息中的生产装置130的信息即仪器一览信息。在一个例子中,仪器一览信息是作为项目而包含仪器名称、仪器主机名和网关名称的一览数据。仪器名称、仪器主机名以及网关名称与上述相同。在仪器一览信息中,将仪器名称、仪器主机名以及网关名称的组合称为记录511。在图10表示的仪器一览信息中,外部终端310的用户能够选择任意的记录511。此外,连接仪器信息除了在仪器一览信息中示出的信息之外,还具有与仪器一览信息的记录511相关联的仪器标识符。
连接按钮520是对服务器装置210发送向仪器一览信息中所选择出的记录511的生产装置130的仪器连接请求的按钮。此时,提取与从连接仪器信息中选择出的记录511对应的仪器标识符,仪器连接请求包含提取出的仪器标识符。
返回到图9,外部终端310的用户在选择了仪器一览信息中的1个记录511的状态下,通过按下连接按钮520而执行步骤S21的仪器连接请求。在此,仪器连接请求所包含的仪器标识符是从包含服务器装置210对外部终端310发送出的连接仪器信息的仪器一览响应中选择出的。因此,服务器装置210的仪器管理部212通过接收仪器连接请求,从而进行与将对从外部终端310指定的目标生产装置130进行识别的仪器标识符与对生产装置130设定的仪器标识符进行对照的处理相同的处理。此后,与图7相同。
此外,在图10中,存在仪器主机名以及网关名称相同、但仪器名称未设定的多个记录511。在对其中一者的记录的生产装置130进行选择而连接的情况下,具有外部终端310的用户不知晓与处于现场的生产装置130中的哪一个进行了连接。因此,在实施方式2中,提供了用户能够掌握是否能够与目标生产装置130连接的环境。
掌握是否经由远程而连接了目标生产装置130的方法的一个例子,是使用已导入至外部终端310的工程设计工具对构成生产装置130的仪器的信息即实机信息进行确认的方法。实机信息的一个例子是生产装置130的型号名称与制造信息的组合。即,外部终端310的工程设计工具将包含生产装置130的型号名称与制造信息的结构信息读出,输出至未图示的显示部。工程设计工具是基于来自用户的输入而进行生产装置130的设定的应用程序。用户能够通过将自身所具有的关于目标生产装置130的实机信息与通过工程设计工具取得的实机信息相比较,对是否连接了目标生产装置130进行确认。
掌握是否经由远程而连接了目标生产装置130的方法的另一个例子,是使用已导入至外部终端310的工程设计工具对从生产装置130读出的项目信息进行确认的方法。项目信息是控制生产装置130的信息。项目信息包含由生产装置130执行的程序、生产装置130执行程序时使用的参数、与由生产装置130控制的各仪器的状态相应地而值发生变化的变量即标签等。即,外部终端310的工程设计工具将包含程序、参数以及标签的项目信息读出而输出至未图示的显示部。用户通过对参与了创建的程序、参数、标签等与通过工程设计工具取得的程序、参数、标签等进行比较,从而能够对是否连接了目标生产装置130进行确认。
掌握是否经由远程而连接了目标生产装置130的方法的另一个例子是利用在工厂10内设置的照相机,对由生产装置130控制的控制对象的动作进行确认而判别的方法。图11是表示实施方式2涉及的远程系统的结构的一个例子的图。此外,对于与图1相同的结构要素标注相同的标号,省略其说明。图11的远程系统1还具有作为与2个生产装置130分别连接的控制对象的机械臂131和能够分别拍摄机械臂131的照相机133。1台照相机133可以配置于能够同时拍摄2个机械臂131的位置,2台照相机133可以配置于能够拍摄分别包含机械臂131的区域的位置。另外,照相机133与工厂内网络11连接,能够与外部终端310连接。外部终端310具有使从一览中选择出的生产装置130的程序执行,将通过照相机133拍摄出的、包含选择出的生产装置130的机械臂131的动作的图像显示于未图示的显示部的功能。
在一个例子中,外部终端310的用户使用已导入至外部终端310的工程设计工具,在线对控制机械臂131的程序进行编辑而执行。然后,根据由照相机133拍摄出的机械臂131的动作是否按照编辑出的程序而动作,用户能够对是否连接了目标生产装置130进行确认。
在上述3个例子的情况下,在外部终端310未与目标生产装置130连接的情况下,外部终端310只要对服务器装置210发送仪器切断请求,从步骤S111的处理执行即可。此外,在此表示的方法是一个例子,也可以通过其它方法而掌握是否连接了目标生产装置130。
在实施方式2中,生产装置130生成仪器标识符,因此与实施方式1的情况相比,除了能够得到实施方式1的效果之外,还得到能够省略用户将外部终端310搬运至工厂10的作为目标的生产设备而进行的事前准备的效果。
另外,也可以将实施方式1与实施方式2组合。即,工厂内网络11也可以包含能够由自身生成仪器标识符的生产装置130和通过事前准备而写入了仪器标识符的生产装置130。在该情况下,将关于如实施方式1那样通过事前准备而写入了仪器标识符的生产装置130和关于如实施方式2那样由自身生成了仪器标识符的生产装置130的连接仪器信息包含于仪器一览响应中而发送至外部终端310。由于在连接仪器选择画面500中对写入了仪器标识符的生产装置130的记录511进行显示,因此外部终端310的用户能够从连接仪器选择画面500中选择想要访问的生产装置130。
实施方式3
在实施方式2中,举例出生产装置130具有生成仪器标识符的功能的情况。然而,生产装置130数量很多,对具有生成仪器标识符的功能的生产装置130进行更新有时在成本和作业方面是困难的。于是,在实施方式3中,对包含不与仪器标识符的生成以及登记对应的生产装置130的远程系统1进行说明。
由于实施方式3涉及的远程系统1的结构与在实施方式1中说明过的结构相同,因此省略其说明。然而,网关装置110的生产装置连接控制部111还具有将与工厂内网络11连接的生产装置130的仪器标识符生成、登记至连接仪器信息的功能。另外,生产装置130不具有将仪器标识符发送至网关装置110的功能。
图12是表示实施方式3涉及的远程系统中的远程连接方法的步骤的一个例子的时序图。此外,以下省略与实施方式1的图7以及实施方式2的图9相同的部分的说明,针对不同的部分进行说明。
在实施方式3中,由于生产装置130不具有仪器标识符,因此不与使用了仪器标识符的通信方式相对应。具体地说,不进行图7以及图9中的步骤S17的网关装置110对生产装置130发送仪器标识符请求的处理和步骤S18的生产装置130对网关装置110回送仪器标识符响应的处理。
因此,网关装置110的生产装置连接控制部111在步骤S16中从生产装置130接收到仪器连接可否响应后,通过连接仪器信息存储部112的连接仪器信息生成关于没有仪器标识符的生产装置130的仪器标识符(步骤S11b)。另外,网关装置110的生产装置连接控制部111将生成的仪器标识符在连接仪器信息中分配至生产装置130(步骤S121)。
在生成仪器标识符后,进行将生成的仪器标识符登记至服务器装置210的步骤S19及其以后的处理。
在实施方式3中,网关装置110进行生产装置130的仪器标识符的生成以及管理,因此即使是在生产装置130不与仪器标识符的生成以及登记相对应的情况下,也能够进行从外部终端310对生产装置130的远程访问,能够得到与实施方式1、2相同的效果。
另外,也可以将实施方式1至3组合。在该情况下,也可以将如实施方式1那样通过事前准备而写入了仪器标识符的生产装置130、如实施方式2那样由自身生成了仪器标识符的生产装置130、和如实施方式3那样不与仪器标识符的生成以及发送对应而通过网关装置110进行仪器标识符的生成以及管理的生产装置130包含于工厂内网络11。在该情况下,将关于这些生产装置130的连接仪器信息包含于仪器一览响应中而发送至外部终端310。由于在连接仪器选择画面500中对写入了仪器标识符的生产装置130的记录511进行显示,因此外部终端310的用户能够从连接仪器选择画面500中选择想要访问的生产装置130。
实施方式4
在实施方式2、3中,已经说明了对向服务器装置210发送了仪器一览取得请求的外部终端310回送仪器一览响应的情况。通常,只有工厂10的相关者所具有的外部终端310能够与服务器装置210连接,但第三者的外部终端310可以尝试与服务器装置210连接。在该情况下,该第三者有可能对生产装置130进行访问。在实施方式4中,对抑制与服务器装置210连接的第三者的外部终端310访问生产装置130的技术进行说明。
由于实施方式4涉及的远程系统1的结构与在实施方式1中说明过的结构相同,因此省略其说明。图13是表示实施方式4涉及的远程系统的功能结构的一个例子的图。此外,对于与实施方式1的图2相同的结构要素标注相同的标号,省略其说明。
在实施方式4涉及的远程系统1中,服务器装置210的结构与实施方式1至3不同。服务器装置210还具有用户信息存储部215、访问控制信息存储部216和访问控制部217。
用户信息存储部215对关于外部终端310的持有者即用户的信息即用户信息进行存储。图14是表示用户信息的一个例子的图。用户信息是将用户ID、用户PW、用户名称和访问令牌相关联的信息。用户ID是识别用户的识别信息。用户PW是对用户ID设定的密码。用户名称是对具有用户ID的用户赋予的名称。访问令牌是对被认证为用户的用户发行的认证信息。
访问控制信息存储部216对规定了用户向生产装置130的访问权限的信息即访问控制信息进行存储。访问控制信息能够以生产装置130单位以及以网关装置1100单位而设定。
图15是表示以生产装置单位设定访问权限的情况下的访问控制信息的一个例子的图。访问控制信息作为项目而具有用户ID、访问权限和仪器标识符。访问控制信息是将用户ID、访问权限和仪器标识符相关联的信息。访问权限在能够访问的情况下设定为“允许”,在不能够访问的情况下设定为“拒绝”。在访问控制信息中,设定为允许或拒绝登记为用户ID的用户对由仪器标识符表示的生产装置130的访问。
图16是表示在以网关装置单位设定访问权限的情况下的访问控制信息的一个例子的图。访问控制信息作为项目而具有用户ID、访问权限和网关ID。访问控制信息是将用户ID、访问权限和网关ID相关联的信息。在访问控制信息中,设定为允许或拒绝登记为用户ID的用户对由网关ID表示的网关装置110的访问。
此外,在默认设定为拒绝用户对生产装置130的访问的情况下,可以不需要图15以及图16的访问权限的项目。在该情况下,将允许了访问的用户ID与生产装置130的仪器标识符或网关装置110的网关ID的组合登记至访问控制信息中。
访问控制信息存储部216保持有2个以生产装置130单位设定了访问权限的访问控制信息和以网关装置110单位设定了访问权限的访问控制信息。优先级为以生产装置130单位设定了访问权限的访问控制信息高于以网关装置110单位设定了访问权限的访问控制信息。即,由以网关装置110单位设定了访问权限的访问控制信息进行基本的设定,由以生产装置130单位设定了访问权限的访问控制信息设定精细的控制。
访问控制部217参照网关信息而进行网关装置110的认证,参照用户信息而进行外部终端310的用户的认证。具体地说,访问控制部217如果从网关装置110接收到包含进行网关装置110的认证的信息即网关认证信息的网关认证请求,则对网关认证请求所包含的网关认证信息与网关信息进行对照。在对照的结果是网关认证信息登记于网关信息中的情况下,即在网关装置110是正规的网关装置110的情况下,访问控制部217发行访问令牌。然后,连接控制部211承认建立与网关装置110之间的对话。另一方面,在对照的结果是网关认证信息未登记于网关信息中的情况下,即在网关装置110不是正规的网关装置110的情况下,不接受来自网关装置110的连接。网关认证信息的一个例子是网关ID以及网关PW。
另外,访问控制部217如果从外部终端310接收到包含进行用户的认证的信息即用户认证信息的用户认证请求,则对用户认证请求所包含的用户认证信息与用户信息进行对照。在对照的结果是用户认证信息登记于用户信息中的情况下,即在用户是正规的用户的情况下,访问控制部217发行访问令牌。然后,连接控制部211承认由用户使用的外部终端310对生产装置130的访问。另一方面,在对照的结果是用户认证信息未登记于用户信息中的情况下,即在用户不是正规的用户的情况下,不接受来自外部终端310的连接。用户认证信息的一个例子是用户ID以及用户PW。
在实施方式4中,服务器装置210的网关信息存储部214的网关信息和网关装置110的连接设定信息存储部113的连接设定信息与在实施方式1中的说明不同。
图17是表示网关信息的一个例子的图。与实施方式1的图6相比,追加有访问令牌的项目。在访问令牌的项目中,将对通过访问控制部217进行了网关认证请求的网关装置110发行的访问令牌与进行了网关认证请求的网关装置110相关联地储存。
图18是表示连接设定信息的一个例子的图。与实施方式1的图4相比,在设定项目中追加访问令牌,储存了与设定值对应的访问令牌的值。网关装置110的服务器连接控制部114在由服务器装置210进行的认证结束后,包含访问令牌而在与服务器装置210之间进行通信。
图19是表示实施方式4涉及的远程系统中的远程连接方法的步骤的一个例子的时序图。此外,以下省略与实施方式1的图7相同的部分的说明,针对不同的部分进行说明。
网关装置110的服务器连接控制部114在步骤S13的对话建立请求之前,对服务器装置210发送包含用于网关认证的信息即网关认证信息的网关认证请求(步骤S131)。网关认证信息的一个例子是网关ID以及网关PW。网关认证信息在一个例子中存储在连接设定信息存储部113的连接设定信息中,但也可以通过其它方法而存储。
服务器装置210的访问控制部217如果接收到网关认证请求,则对网关认证请求中的网关认证信息是否是在网关信息中登记完成的网关装置110的网关认证信息进行对照。在能够确认到是登记完成的网关装置110的情况下,访问控制部217生成用于省略此后的网关认证的访问令牌,对网关装置110发送包含访问令牌的网关认证响应(步骤S132)。访问控制部217将生成的访问令牌登记至网关信息存储部214的网关信息中的对应的网关装置110的记录。此外,访问令牌如果与进行了认证的网关装置110相关联,则也可以通过其它方法管理。
网关装置110的服务器连接控制部114如果接收到网关认证响应,则将网关认证响应所包含的访问令牌登记至连接设定信息存储部113的连接设定信息。网关装置110的服务器连接控制部114在此后的与服务器装置210的通信中包含访问令牌。因此,服务器连接控制部114在建立对话时,发送包含访问令牌的对话建立请求(步骤S13c)。服务器装置210的访问控制部217对对话建立请求所包含的访问令牌进行验证,在能够确认到是正规的网关装置110的情况下,将步骤S14的网关认证响应发送至网关装置110。
另外,网关装置110的服务器连接控制部114在登记仪器信息时,发送包含访问令牌的仪器信息登记(步骤S19c)。服务器装置210的访问控制部217对仪器信息登记所包含的访问令牌进行验证,在能够确认到是正规的网关装置110的情况下,将步骤S20的登记接受响应发送至网关装置110。
此外,对话建立请求也可以兼做步骤S131的网关认证请求。在该情况下,网关装置110的服务器连接控制部114在图7的步骤S13中发送包含网关认证信息的对话建立请求。同样地,建立结束通知也可以兼做步骤S132的网关认证响应。在该情况下,服务器装置210的连接控制部211在图7的步骤S14中发送包含访问令牌的建立结束通知。
另外,外部终端310在步骤S21的仪器连接请求之前,对服务器装置210发送包含用于用户认证的信息即用户认证信息的用户认证请求(步骤S133)。用户认证信息的一个例子是用户ID以及用户密码。
服务器装置210的访问控制部217如果接收到用户认证请求,则对用户认证请求中的用户认证信息是否为在用户信息中登记完成的用户进行对照。在能够确认到是在用户信息中登记完成的用户的情况下,访问控制部217生成用于将此后的用户认证省略的访问令牌。然后,访问控制部217将包含访问令牌的用户认证响应发送至外部终端310(步骤S134)。访问控制部217将生成的访问令牌登记至用户信息存储部215的用户信息中的对应的用户的记录。此外,访问令牌如果与进行了认证的用户相关联,则也可以通过其它方法管理。
外部终端310如果接收到用户认证响应,则在此后的与服务器装置210的通信中包含用户认证响应所包含的访问令牌。因此,外部终端310在进行仪器连接的请求的情况下,对服务器装置210发送包含访问令牌的仪器连接请求(步骤S21c)。服务器装置210的访问控制部217对仪器连接请求所包含的访问令牌进行验证,在能够确认到是正规的用户的情况下,将步骤S22的连接接受响应发送至外部终端310。此外,服务器装置210的访问控制部217不仅对正规的用户进行验证,也可以通过在访问控制信息中设定允许连接的网关装置110以及生产装置130而进行许可。
另外,外部终端310在进行仪器切断的请求的情况下,对服务器装置210发送包含访问令牌的仪器切断请求(步骤S25c)。服务器装置210的访问控制部217对仪器切断请求所包含的访问令牌进行验证,在能够确认到是正规的用户的情况下,将步骤S26的切断接受响应发送至外部终端310。
此外,仪器连接请求也可以兼做步骤S133的用户认证请求。在该情况下,外部终端310在图7的步骤S21中发送包含用户认证信息的仪器连接请求。同样地,连接接受响应也可以兼做步骤S134的用户认证响应。在该情况下,服务器装置210的连接控制部211在图7的步骤S22中发送包含访问令牌的连接接受响应。
在以上的说明中,举例出使用了访问令牌的认证以及许可的动作,但也可以使用其它技术而进行认证以及许可。
在实施方式4中,通过进行外部终端310的用户认证和网关装置110的认证,从而能够认证以及许可外部终端310以及网关装置110的利用者是正规的用户。其结果,与实施方式1至3的情况相比,具有能够提高安全性的效果。
另外,在上述的说明中,举例出在实施方式1应用了外部终端310的用户认证和网关装置110的认证的情况,但在实施方式2、3应用外部终端310的用户认证和网关装置110的认证也能够得到同样的效果。
实施方式5
在实施方式5中,对将远程系统1应用于使用防火墙、非法入侵检测系统(Intrusion Detection System:IDS)、非法入侵防止系统(Intrusion PreventionSystem:IPS)、网络应用程序防火墙(Web Application Firewall:WAF)而提高了从信息安全的观点来看的对策的环境的情况进行说明。
图20是示意性地表示实施方式5涉及的远程系统的结构的一个例子的图。此外,对于与实施方式1的图1相同的结构要素标注相同的标号,省略其说明。在实施方式5的远程系统1中,在实施方式1的工厂内网络11、云端系统20以及外部设施30还分别设置有使信息安全方面的对策提高的装置。作为信息安全方面的对策,在一个例子中能够举出对路由器145、245、345的端口转发的设定、对防火墙的过滤器的设定等。
工厂内网络11具有在路由器145与交换集线器141之间配置的防火墙151、在防火墙151与交换集线器141之间配置的IPS 152和在网关装置110所属的网络中配置的IDS153。防火墙151具有对从工厂内网络11的外部向内部发送的非法数据包进行拦截、使被允许的数据包通过的功能。IPS 152是对数据包的内容进行检查,对非法通信进行拦截的装置。IDS 153是对数据包的内容进行检查,检测非法访问以及侵入的装置。此外,在图20中示出了在工厂内网络11中设置有所有防火墙151、IPS 152以及IDS 153的情况,但也可以是设置有其中任意大于或等于1个的结构。
云端系统20还具有交换集线器241、防火墙251、IPS 252、IDS 253和WAF 254。服务器装置210与WAF 254连接,IDS 253与WAF 254经由1个交换集线器241连接。WAF 254具有对网络应用程序进行保护,以免受恶意利用由服务器装置210提供的对外部终端310与生产装置130之间连接的网络应用程序的脆弱性的攻击的功能。在路由器245与交换集线器241之间配置防火墙251,在防火墙251与交换集线器241之间设置IPS 252。此外,在图20中示出了在云端系统20中设置有所有防火墙251、IPS 252、IDS 253以及WAF 254的情况,但也可以是设置有其中任意大于或等于1个的结构。
外部设施30还具有交换集线器341、防火墙351、IPS 352和IDS 353。外部终端310与IDS 353经由1个交换集线器341连接。在路由器345与交换集线器341之间配置防火墙351,在防火墙351与交换集线器341之间配置IPS 352。此外,在图20中示出了在外部设施30中设置有所有防火墙351、IPS 352以及IDS 353的情况,但也可以是设置有其中任意大于或等于1个的结构。
在图20所示的处于工厂10内的防火墙151中,作为防止第三者非法访问的方法而大多进行基于状态监测功能的数据包过滤。状态监测功能是检查通过防火墙151的数据包的内容,动态地执行端口的开放或闭锁的功能。在该情况下,从工厂10的内部的网关装置110对外部的服务器装置210发送的对话建立请求由于是对外部发送的通信,因此能够通过防火墙151。基于状态监测功能的机制,与步骤S13的对话建立请求对应的响应即步骤S14中的建立结束通知也能够通过防火墙151。
另外,即使是不使用状态监测功能的防火墙151,只要不故意地设定,对外部发送的通信以及与其对应的响应通常都能够通过。
在图20所示的处于工厂10内的IDS 153以及IPS 152中,对从外部向远程系统1以及工厂内网络11的非法行为进行检测是通常的动作,在该情况下,网关装置110以及服务器装置210之间的通信也不受阻碍。
在图20所示的处于外部设施30内的防火墙351、IDS 353以及IPS 352中,与工厂10同样地,如从外部设施30的内部的外部终端310对外部的服务器装置210那样,由于是对外部发送的通信,因此也不受阻碍。
在图20所示的处于云端系统20内的防火墙251中,设定为允许从网关装置110以及外部终端310发送的与远程系统1有关的通信。另外,在IDS 253以及IPS 252以及WAF 254中,为了不将与远程系统1有关的通信检测为非法举动,根据需要进行设定。
另外,在工厂内网络11中,在路由器145与防火墙151之间配置网络服务器的情况下,路由器145设定为能够从工厂内网络11的外部对网络服务器进行访问。在该情况下,对作为网络仪器的防火墙151进行允许从工厂内网络11的内部对外部的连接、拒绝从外部对内部的连接的设定。因此,在这样的情况下,防火墙151具有与实施方式1的路由器145等同的功能。
如上所述,在实施方式5的远程系统1中,对于配置了提高信息安全方面的对策的装置的网络系统,即使不为了远程系统1进行特别的设定,也能够导入以及使用。另外,在该情况下,不改变在工厂内网络11与广域网络40之间配置的路由器145、在云端系统20与广域网络40之间配置的路由器245以及在外部设施30与广域网络40之间配置的路由器345的设定,也能够经由服务器装置210实现外部终端310与生产装置130之间的通信。
实施方式6
在实施方式6中,对在实施方式1说明过的远程系统1中通过使生产装置130具有网关装置110的功能、与网关装置110并用而使远程访问环境具有冗余性的情况的结构进行说明。
图21是示意性地表示实施方式6涉及的远程系统的结构的一个例子的图。此外,对于与实施方式1的图1相同的结构要素标注相同的标号,省略其说明。实施方式6的远程系统1在工厂10中具有多个工厂内网络11、11a。工厂内网络11与在实施方式1的说明相同,具有经由交换集线器141而将网关装置110与大于或等于1个生产装置130连接的结构。工厂内网络11a具有带网关功能的生产装置135、大于或等于1个生产装置130和交换集线器141a。通过交换集线器141a,带网关功能的生产装置135与大于或等于1个生产装置130构成1个工厂内网络11a。交换集线器141、141a分别与路由器145连接。
图22是示意性地表示在实施方式6涉及的远程系统中使用的带网关功能的生产装置的结构的一个例子的立体图。此外,在图22中,举例出带网关功能的生产装置135中的控制仪器是PLC的情况。带网关功能的生产装置135具有PLC构成部170。PLC构成部170具有CPU(Central Processing Unit)单元171、I/O(Input/Output)单元172和网关单元173。
CPU单元171按照控制程序进行运算,并且进行带网关功能的生产装置135内的控制对象的控制。I/O单元172在控制对象、传感器等之间进行信号的输入输出。网关单元173具有在实施方式1至5中说明过的网关装置110的功能。然而,I/O单元172以及网关单元173在实施方式6中不是必需的。在省略网关单元173的情况下,能够通过在CPU单元171内内置网关功能175而代替。此外,在图22中,为了说明而示出了PLC构成部170具有网关单元173,CPU单元171内置网关功能175的情况,但实际上只要具有任意一者即可。
图23是示意性地表示实施方式6涉及的远程系统的结构的另一个例子的图。此外,对于与实施方式1的图1以及与实施方式6的图21相同的结构要素标注相同的标号,省略其说明。在图21中示出了工厂内网络11与工厂内网络11a未连接的情况,但在图23中,工厂内网络11与工厂内网络11a经由交换集线器141b连接。通过这种方式,在网关装置110以及带网关功能的生产装置135中的任意一者发生了故障的情况下,能够使用另一者而继续与服务器装置210的通信。即,使经由了网关装置110、带网关功能的生产装置135的通信具有冗余性。
具有网关功能175的CPU单元171或网关单元173具有与在实施方式1至5中说明过的网关装置110等同的功能,因此能够中继对HMI、逆变器等带网关功能的生产装置135之外的仪器的远程访问。这种情况下的通信路径形成具有网关单元173或网关功能175的CPU单元171与服务器装置210直接进行通信的结构。
另外,在图23所示的具有冗余性的结构中,服务器装置210的仪器信息存储部213内的仪器信息采用如下结构,即,针对1台生产装置130的仪器标识符,可以登记多个具有网关功能的装置。服务器装置210的连接控制部211可以在向作为目标的生产装置130的路径中,选择畅通可否等通信环境最好的路径的具有网关功能的装置,进行中继动作。
在以上的说明中,举例出带网关功能的生产装置135内的PLC构成部170具有网关功能的情况,但也可以使其它的逆变器等仪器具有网关功能。
在实施方式6中,将具有网关装置110的工厂内网络11和具有带网关功能的生产装置135的工厂内网络11a配置于工厂10内。由此,能够将工厂10内的生产装置130针对具有网关功能的每个装置而划分为多个组。另外,通过将包含具有网关功能的装置在内的多个工厂内网络11、11a之间连接,从而能够使远程访问环境具有冗余性。
在此,对网关装置110以及服务器装置210的硬件结构进行说明。实施方式1至6涉及的网关装置110以及服务器装置210具体由计算机系统实现。图24是表示将实施方式1至6涉及的远程系统的网关装置以及服务器装置实现的计算机系统的硬件结构的一个例子的图。如图24所示,该计算机系统700具有控制部701、存储部70和通信部703,它们经由系统总线704而连接。
在图24中,控制部701例如是CPU等。控制部701执行记述了在实施方式1至6中说明过的远程连接方法的远程连接程序。存储部702包含RAM(Random Access Memory)、ROM(Read Only Memory)等各种存储器和HDD(Hard Disk Drive)或SSD(Solid State Drive)等储存设备,对控制部701应当执行的程序、在处理的过程中得到的所需的数据等进行存储。另外,存储部702也被用作程序的临时性存储区域。通信部703是实施通信处理的通信电路等。通信部703也可以由与多个通信方式分别对应的多个通信电路构成。此外,图24是一个例子,计算机系统700的结构不限定于图24的例子。
在此,对实施方式1至6涉及的远程连接程序变为能够执行的状态为止的计算机系统700的动作例进行说明。在采取上述的结构的计算机系统700中,例如从在未图示的CD(Compact Disc)-ROM驱动器或DVD(Digital Versatile Disc)-ROM驱动器中设置的CD-ROM或DVD-ROM对存储部702安装远程连接程序。然后,在远程连接程序的执行时,将从存储部702读出的远程连接程序储存于作为存储部702的主存储装置的区域中。在该状态下,控制部701按照在存储部702中储存的远程连接程序,执行实施方式1至6的网关装置110或服务器装置210中的远程连接处理。
此外,在以上的说明中,将CD-ROM或DVD-ROM作为记录介质而提供远程连接程序,但不限于此,也可以根据计算机系统700的结构、所要提供的程序的容量等而例如使用经由通信部703通过互联网等传送介质提供的程序。
在图2以及图13示出的网关装置110的生产装置连接控制部111以及服务器连接控制部114通过图24的控制部701实现。在图2以及图13示出的网关装置110的连接仪器信息存储部112以及连接设定信息存储部113是在图24示出的存储部702的一部分。
在图2以及图13示出的服务器装置210的连接控制部211、仪器管理部212以及访问控制部217通过图24的控制部701实现。在图2以及图13示出的服务器装置210的仪器信息存储部213、网关信息存储部214、用户信息存储部215以及访问控制信息存储部216是在图24示出的存储部702的一部分。
在以上的实施方式中示出的结构表示一个例子,能够与其它公知技术相组合,也能够将各实施方式彼此相互组合,在不脱离主旨的范围内也能够省略、变更结构的一部分。
标号的说明
1远程系统,10工厂,11、11a工厂内网络,20云端系统,30外部设施,40广域网络,110网关装置,111生产装置连接控制部,112连接仪器信息存储部,113连接设定信息存储部,114服务器连接控制部,130生产装置,131机械臂,133照相机,135带网关功能的生产装置,141、141a、141b、241、341交换集线器,145、245、345路由器,151、251、351防火墙,152、252、352IPS,153、253、353IDS,170PLC构成部,171CPU单元,172I/O单元,173网关单元,175网关功能,210服务器装置,211连接控制部,212仪器管理部,213仪器信息存储部,214网关信息存储部,215用户信息存储部,216访问控制信息存储部,217访问控制部,254WAF,310外部终端。
Claims (17)
1.一种远程系统,其将具有生产装置和网关装置的本地局域网络和对在作为信息通信装置的外部终端与所述生产装置之间的通信进行中继的服务器装置经由广域网络连接,实现由所述外部终端进行的对所述生产装置的远程连接,
远程系统的特征在于,
在所述本地局域网络与所述广域网络的连接点、或所述连接点与所述生产装置之间具有网络仪器,该网络仪器允许从所述本地局域网络的内部对外部的连接,拒绝从所述本地局域网络的外部对内部的连接,
所述网关装置具有服务器连接控制部,该服务器连接控制部对所述服务器装置请求建立所述网关装置与所述服务器装置之间的第1对话,
所述服务器装置具有:
仪器管理部,其将对从所述外部终端指定的目标生产装置进行识别的仪器识别信息与对所述生产装置设定的所述仪器识别信息进行对照;以及
连接控制部,其接受建立所述第1对话的请求而建立所述第1对话,在所述仪器管理部的对照结果为所述目标生产装置的所述仪器识别信息与对所述生产装置设定的所述仪器识别信息相一致的情况下,在所述外部终端与所述服务器装置之间建立第2对话,将所述第1对话与所述第2对话相连结,
所述服务器装置的连接控制部使用相连结的所述第1对话以及所述第2对话对所述外部终端与所述生产装置之间的通信进行中继。
2.根据权利要求1所述的远程系统,其特征在于,
所述网关装置还具有生产装置连接控制部,该生产装置连接控制部对与所述本地局域网络连接的所述生产装置进行检索,对所述生产装置请求发送所述仪器识别信息,
所述网关装置的所述服务器连接控制部如果从所述生产装置接收到所述仪器识别信息,则将所述仪器识别信息登记至所述服务器装置中。
3.根据权利要求2所述的远程系统,其特征在于,
所述生产装置的所述仪器识别信息通过所述外部终端而登记至所述生产装置中。
4.根据权利要求2所述的远程系统,其特征在于,
所述生产装置具有生成所述仪器识别信息的功能。
5.根据权利要求1所述的远程系统,其特征在于,
所述网关装置还具有生产装置连接控制部,该生产装置连接控制部对与所述本地局域网络连接的所述生产装置进行检索,生成所述生产装置的所述仪器识别信息,
如果生成所述仪器识别信息,则所述网关装置的所述服务器连接控制部将所述仪器识别信息登记至所述服务器装置中。
6.根据权利要求1至5中任一项所述的远程系统,其特征在于,
所述服务器装置的所述仪器管理部如果从所述外部终端接受到包含对所述目标生产装置进行识别的仪器识别信息在内的仪器连接请求,则将所述仪器连接请求中的所述仪器识别信息与对所述生产装置设定的所述仪器识别信息进行对照。
7.根据权利要求6所述的远程系统,其特征在于,
所述服务器装置还具有仪器信息存储部,该仪器信息存储部对仪器信息进行存储,该仪器信息将所述生产装置的所述仪器识别信息与对能够与所述生产装置连接的所述网关装置进行识别的网关识别信息相关联,
所述服务器装置的所述仪器管理部对所述仪器连接请求中的所述仪器识别信息是否存在于所述仪器信息中进行判定,
所述服务器装置的所述连接控制部在所述仪器连接请求中的所述仪器识别信息存在于所述仪器信息中的情况下,从所述仪器信息取得与所述仪器连接请求中的所述仪器识别信息相对应的所述网关识别信息,将在与对应于所取得的所述网关识别信息的所述网关装置之间建立的所述第1对话与所述第2对话相连结。
8.根据权利要求1至5中任一项所述的远程系统,其特征在于,
所述服务器装置还具有仪器信息存储部,该仪器信息存储部对仪器信息进行存储,该仪器信息将所述生产装置的所述仪器识别信息与对能够与所述生产装置连接的所述网关装置进行识别的网关识别信息相关联,
所述服务器装置的所述连接控制部将关于在所述仪器信息中登记的所述生产装置的信息以一览的方式显示于所述外部终端,如果通过所述外部终端从所述一览中选择出所述生产装置,则在所述外部终端与所述服务器装置之间建立第2对话,将在与选择出的所述生产装置之间建立的所述第1对话与所述第2对话相连结。
9.根据权利要求8所述的远程系统,其特征在于,
所述外部终端具有将包含从所述一览中选择出的所述生产装置的型号名称的结构信息,或包含程序、参数以及标签的项目信息读出并输出的功能。
10.根据权利要求8所述的远程系统,其特征在于,
还具有照相机,该照相机对所述生产装置的控制对象进行拍摄,
所述外部终端具有使从所述一览中选择出的所述生产装置的程序执行,对通过所述照相机拍摄到的、包含所选择的所述生产装置的所述控制对象的动作的图像进行显示的功能。
11.根据权利要求1至10中任一项所述的远程系统,其特征在于,
所述服务器装置还具有:
网关信息存储部,其对认证所述网关装置的网关信息进行存储;以及
访问控制部,其将从所述网关装置发送的对所述网关装置进行认证的网关认证信息与所述网关信息进行对照,
所述连接控制部在对照的结果为所述网关装置是正规的网关装置的情况下,承认与所述网关装置之间的所述第1对话的建立。
12.根据权利要求1至11中任一项所述的远程系统,其特征在于,
所述服务器装置还具有:
用户信息存储部,其对认证所述外部终端的用户的用户信息进行存储;以及
访问控制部,其将从所述外部终端发送的对所述用户进行认证的用户认证信息与所述用户信息进行对照,
所述连接控制部在对照的结果为所述用户是正规的利用者的情况下,承认所述外部终端对所述生产装置的访问。
13.根据权利要求12所述的远程系统,其特征在于,
所述服务器装置还具有访问控制信息存储部,该访问控制信息存储部对针对每个所述用户而设定了向所述生产装置以及所述网关装置的访问权限的访问控制信息进行存储;
所述访问控制部参照所述访问控制信息而决定所述用户能够访问的范围。
14.根据权利要求1至13中任一项所述的远程系统,其特征在于,
还具有防火墙、检测非法通信的非法入侵检测系统、拦截非法通信的非法入侵防止系统、以及对网络应用程序进行保护以免受恶意利用所述网络应用程序的脆弱性的攻击的网络应用程序防火墙中的大于或等于1个。
15.根据权利要求1至14中任一项所述的远程系统,其特征在于,
所述网关装置是具有网关功能的所述生产装置。
16.根据权利要求1至15中任一项所述的远程系统,其特征在于,
所述本地局域网络设置有多个,
多个所述本地局域网络各自的所述网关装置之间被连接。
17.一种远程连接方法,其将具有生产装置和网关装置的本地局域网络和对在作为信息通信装置的外部终端与所述生产装置之间的通信进行中继的服务器装置经由广域网络连接,实现由所述外部终端进行的对所述生产装置的远程连接,
远程连接方法的特征在于,包含下述工序:
在所述本地局域网络与所述广域网络的连接点、或在所述连接点与所述生产装置之间配置的网络仪器,允许从所述本地局域网络的内部对外部的连接,拒绝从所述本地局域网络的外部对内部的连接;
所述网关装置对所述服务器装置请求建立在所述网关装置与所述服务器装置之间的第1对话;
所述服务器装置接受建立所述第1对话的请求而建立所述第1对话;
所述服务器装置将对从所述外部终端指定的目标生产装置进行识别的仪器识别信息与对所述生产装置设定的所述仪器识别信息进行对照;
所述服务器装置在对照的结果为所述目标生产装置的所述仪器识别信息与对所述生产装置设定的所述仪器识别信息相一致的情况下,在所述外部终端与所述服务器装置之间建立第2对话;
所述服务器装置将所述第1对话与所述第2对话相连结;以及
所述服务器装置使用相连结的所述第1对话以及所述第2对话,对所述外部终端与所述生产装置之间的通信进行中继。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/020333 WO2022249435A1 (ja) | 2021-05-28 | 2021-05-28 | リモートシステムおよびリモート接続方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116783871A true CN116783871A (zh) | 2023-09-19 |
Family
ID=81852640
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180088688.1A Pending CN116783871A (zh) | 2021-05-28 | 2021-05-28 | 远程系统以及远程连接方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20240028013A1 (zh) |
| JP (1) | JP7080412B1 (zh) |
| CN (1) | CN116783871A (zh) |
| DE (1) | DE112021005610T5 (zh) |
| WO (1) | WO2022249435A1 (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1780219A (zh) * | 2004-11-22 | 2006-05-31 | 株式会社东芝 | 终端远程操作系统和方法,网关服务器,终端及控制设备 |
| CN105262716A (zh) * | 2014-07-10 | 2016-01-20 | 柯尼卡美能达株式会社 | 连接控制系统、管理服务器以及连接支援方法 |
| CN106134217A (zh) * | 2014-03-17 | 2016-11-16 | 三菱电机株式会社 | 管理系统、网关装置、服务器装置、管理方法、网关方法、管理处理执行方法以及程序 |
| US20180316603A1 (en) * | 2015-10-23 | 2018-11-01 | Orange | A method of ensuring continuity for services supplied by a residential gateway |
| CN111066297A (zh) * | 2017-09-25 | 2020-04-24 | 株式会社东芝 | 远程访问控制系统 |
| CN111901357A (zh) * | 2020-08-06 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 远程网络连接方法、系统、计算机设备和存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7159818B2 (ja) | 2018-11-28 | 2022-10-25 | オムロン株式会社 | 制御装置および通信システム |
-
2021
- 2021-05-28 CN CN202180088688.1A patent/CN116783871A/zh active Pending
- 2021-05-28 US US18/032,566 patent/US20240028013A1/en active Pending
- 2021-05-28 JP JP2021566553A patent/JP7080412B1/ja active Active
- 2021-05-28 WO PCT/JP2021/020333 patent/WO2022249435A1/ja active Application Filing
- 2021-05-28 DE DE112021005610.7T patent/DE112021005610T5/de active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1780219A (zh) * | 2004-11-22 | 2006-05-31 | 株式会社东芝 | 终端远程操作系统和方法,网关服务器,终端及控制设备 |
| CN106134217A (zh) * | 2014-03-17 | 2016-11-16 | 三菱电机株式会社 | 管理系统、网关装置、服务器装置、管理方法、网关方法、管理处理执行方法以及程序 |
| CN105262716A (zh) * | 2014-07-10 | 2016-01-20 | 柯尼卡美能达株式会社 | 连接控制系统、管理服务器以及连接支援方法 |
| US20180316603A1 (en) * | 2015-10-23 | 2018-11-01 | Orange | A method of ensuring continuity for services supplied by a residential gateway |
| CN111066297A (zh) * | 2017-09-25 | 2020-04-24 | 株式会社东芝 | 远程访问控制系统 |
| CN111901357A (zh) * | 2020-08-06 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 远程网络连接方法、系统、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20240028013A1 (en) | 2024-01-25 |
| DE112021005610T5 (de) | 2023-08-24 |
| JP7080412B1 (ja) | 2022-06-03 |
| JPWO2022249435A1 (zh) | 2022-12-01 |
| WO2022249435A1 (ja) | 2022-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11595396B2 (en) | Enhanced smart process control switch port lockdown | |
| US10348763B2 (en) | Responsive deception mechanisms | |
| US7207061B2 (en) | State machine for accessing a stealth firewall | |
| CN104967609B (zh) | 内网开发服务器访问方法、装置及系统 | |
| CN106850642A (zh) | 用于直接访问网络的网络位置确定 | |
| US20210176125A1 (en) | Programmable switching device for network infrastructures | |
| JP2023162313A (ja) | 端末のネットワーク接続を認証及び制御するためのシステム及びそれに関する方法 | |
| KR20060032102A (ko) | 스마트 카드를 이용한 원격 단말기와 홈 네트워크 간의인증방법 및 홈 네트워크 시스템 | |
| JP7080412B1 (ja) | リモートシステム、リモート接続方法およびプログラム | |
| JP2002084326A (ja) | 被サービス装置、センタ装置、及びサービス装置 | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 | |
| CN100470518C (zh) | 地址变换方法、访问控制方法及使用这些方法的装置 | |
| JP2010187223A (ja) | 認証サーバ | |
| GB2568145A (en) | Poisoning protection for process control switches | |
| US20230262095A1 (en) | Management of the security of a communicating object | |
| JP2008278134A (ja) | ネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラム | |
| JP2000354056A (ja) | 計算機ネットワークシステムおよびそのアクセス制御方法 | |
| CN117941320A (zh) | 用于并入自动化设备的方法和自动化系统 | |
| CN116390091A (zh) | 终端安全接入方法及系统 | |
| GB2567556A (en) | Enhanced smart process control switch port lockdown | |
| JP2006279579A (ja) | アクセス制御システム、これに用いる端末及びゲートウェイ装置 | |
| Wang et al. | The Analysis of the Structure and Security of Home Control Subnet. | |
| JP2012123711A (ja) | アカウント管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |