-
Die Erfindung betrifft ein Verfahren zum Herstellen eines Fernzugriffs von einem externen Computer auf einen Gebäudeinstallationsbus über ein Kommunikationsnetzwerk mittels einer zwischengeschalteten zentralen Serverkomponente.
-
Moderne Gebäudeinstallationen, wie beispielsweise die Beleuchtung, Jalousien, Heizungs-/Klimaanlagen sind in vielen Fällen über einen Gebäudeinstallationsbus vernetzt. Dieses hat zum Vorteil, dass eine Ansteuerung des oder der Aktoren einer Gebäudeinstallation quasi von beliebiger Stelle aus vorgenommen werden kann, solange ein Zugriff auf den Gebäudeinstallationsbus vorhanden ist. Um Zugriff auf die Aktoren eines solchen Gebäudeinstallationsbus mittels eines Smartphone, eines Tablets oder dergleichen zu haben, werden Schnittstellen eingesetzt. Insofern können diese Geräte als Fernbedienung für die Betätigung des einen oder des anderen Aktors einer Gebäudeinstallation dienen. Eingesetzt wird hierfür typischerweise ein IP-Interface und ein WLAN, über das seitens eines solchen Bedienteils die gewünschte Gebäudeinstallation angesteuert werden kann. Neuere derartige Installationen verwenden einen Installationsbus gemäß dem KNX-Standard, über den eine Vielzahl unterschiedlicher gebäudetechnischer Installationen angesteuert werden können, wozu auch Haushaltsgeräte zählen.
-
Für den Betrieb eines solchen Gebäudeinstallationsbus ist es erforderlich, diesen den gewünschten Bedürfnissen entsprechend einzurichten. Hierfür wird ebenfalls ein Zugriff auf den Installationsbus benötigt. Zu diesem Zweck verfügt der Installationsbus über eine entsprechende Schnittstelle. Diese kann als USB-Schnittstelle ausgelegt sein. In aller Regel wird man jedoch über ein IP-Interface auf den Gebäudeinstallationsbus zum Zwecke seiner Einrichtung zugreifen. Das Einrichten eines solchen Installationsbus wird typischerweise von einer entsprechend geschulten Person unter Verwendung einer hierfür speziell vorgesehenen Software vorgenommen. Bei einem KNX-Bus verwendet man hierfür typischerweise die ETS-Software (Engineering-Tool-Software), welches eine spezielle Inbetriebnahme- und Konfigurationssoftware für einen solchen Gebäudeinstallationsbus ist.
-
Mitunter ist es erforderlich, dass eine einmal vorgenommene Gebäudeinstallationsbuseinrichtung geändert werden soll. Insbesondere bei privaten Anwendungen ist es in einem solchen Fall in aller Regel erforderlich, einen diesbezüglich geschulten Installateur mit der Vornahme der gewünschten Konfigurationsänderung des Gebäudeinstallationsbusses zu beauftragen. Typischerweise wird ein Nutzer nicht über die notwendige Software und die notwendige Erfahrung verfügen, um dieses selbst vornehmen zu können. Der Aufwand hierfür wäre insbesondere dann unverhältnismäßig, wenn nur kleinere Änderungen oder auch nur eine Wartung vorgenommen werden sollen.
-
Um an dieser Stelle Abhilfe zu schaffen, sind Kommunikationsmodule entwickelt worden, die gebäudeseitig fest installiert und an den Gebäudeinstallationsbus sowie über einen Internetzugang an das Internet angeschlossen sind. Die Internetanbindung ist dauerhaft, so dass von einem externen Computer über dieses Kommunikationsmodul auf den Installationsbus zugegriffen werden kann. Zwar ist bei Verwendung eines solchen zusätzlichen Kommunikationsmoduls ein externer Zugriff auf den Gebäudeinstallationsbus zum Zwecke einer Fernwartung oder einer Änderung der Konfigurierung möglich. Für den Nutzer bedeutet dieses jedoch, dass er dieses Kommunikationsmodul zunächst erwerben und installieren muss. Überdies wird mitunter als nachteilig angesehen, dass ein solches Kommunikationsmodul dauerhaft mit dem Internet als Kommunikationsnetzwerk in Verbindung steht und dieser Zugang potentiell missbraucht werden könnte.
-
Ausgehend von diesem diskutierten Stand der Technik liegt der Erfindung daher die Aufgabe zugrunde, ein Verfahren und eine Anordnung für einen Fernzugriff auf einen Gebäudeinstallationsbus mittels eines Kommunikationsnetzwerkes, typischerweise dem Internet, vorzuschlagen, mit dem bzw. mit der die zu dem Stand der Technik angesprochenen Nachteile vermieden oder zumindest reduziert sind.
-
Gelöst wird diese Aufgabe erfindungsgemäß durch ein eingangs genanntes, gattungsgemäßes Verfahren, bei dem bei einem gewünschten Fernzugriff der Fernzugriffscomputer und ein an den Gebäudeinstallationsbus angeschlossener Computer sich bei der zentralen Serverkomponente anmelden und die zentrale Serverkomponente eine bidirektionale Verbindung jeweils zu dem Fernzugriffscomputer und dem Installationsbuscomputer herstellt, wenn der Fernzugriffscomputer zum Zugriff auf den Installationsbuscomputer berechtigt ist, und bei dem anschließend von dem Fernzugriffscomputer über den Installationsbuscomputer auf den Gebäudeinstallationsbus zugegriffen werden kann.
-
Die anordnungsbezogene Aufgabe wird erfindungsgemäß durch eine Anordnung mit den Merkmalen des Anspruchs 11 gelöst.
-
Bei diesem Verfahren – entsprechendes gilt auch für die beanspruchte Anordnung – wird als Kommunikationsmodul zwischen dem Gebäudeinstallationsbus und einem Kommunikationsnetz, typischerweise dem Internet, ein Computer verwendet, mithin ein Gerät, welches nutzerseitig ohnehin vorhanden ist. Wenn im Rahmen dieser Ausführungen von einem Computer die Rede ist, kann es sich hierbei um jedes Gerät handeln, welches über entsprechende Prozessorressourcen und über die Funktionalität verfügt, eine Verbindung mit dem Kommunikationsnetzwerk, insbesondere mit dem Internet, herstellen und auch wieder beenden zu können. Somit können für diese Zwecke PCs, Smartphones, Tablets und dergleichen benutzt werden. Insofern wird bei diesem Konzept die Funktionalität eines solchen, nutzerseitig ohnehin vorhandenen Gerätes genutzt, um bei Bedarf eine sichere Fernzugriffsverbindung aufzubauen. Diese kann nach Beendigung des Fernzugriffes beendet werden, was typischerweise der Fall sein dürfte. Somit braucht die Anbindung an das Kommunikationsnetz nur für die Dauer des tatsächlichen Fernzugriffes aufrecht erhalten zu werden. Vor dem Hintergrund, dass derartige Fernzugriffe ohnehin nur selten nutzerseitig in Anspruch genommen werden, wird hierdurch dem vorstehend angesprochenen Sicherheitsaspekt Rechnung getragen. Da ein solcher Installationsbuscomputer, sei es ein PC, ein Smartphone, ein Tablet oder dergleichen nutzerseitig ohnehin vorhanden ist, sind auch keine zusätzlichen Anschaffungen und Hardwareinstallationen erforderlich. Eine gebäudeinterne Schnittstelle zwischen dem Gebäudeinstallationsbus und dem Installationsbuscomputer ist regelmäßig vorhanden, etwa in Form einer USB-Schnittstelle oder einem IP-Interface, an den der Installationsbuscomputer über ein LAN oder auch ein WLAN angeschlossen ist oder auch allein nur für die Zwecke eines Fernzugriffes angeschlossen werden kann.
-
Die Kommunikation von einem externen Fernzugriffscomputer, bei dem es sich ebenfalls um einen PC, ein Smartphone, ein Tablet oder dergleichen handeln kann, mit der zu beeinflussenden Hardware des Gebäudeinstallationsbus, beispielsweise dem IP-Interface, erfolgt somit über den zwischengeschalteten Installationsbuscomputer. Zwischen diesen beiden Computern ist eine zentrale Serverkomponente eingeschaltet, auf die jeder der beiden Computer über das Kommunikationsnetzwerk Zugriff hat.
-
Bei einem gewünschten Fernzugriff auf den Gebäudeinstallationsbus, also wenn beispielsweise eine Änderung in seiner Konfigurierung vorgenommen werden soll, melden sich die beiden Computer – der Fernzugriffscomputer sowie der Installationsbuscomputer – bei der zentralen Serverkomponente an. Diese Anmeldung erfolgt von dem jeweiligen Computer zu der zentralen Serverkomponente hin, so dass installierte Kommunikationsnetzsicherungsmaßnahmen, wie beispielsweise eine Firewall dieses nicht behindern. Die Anmeldung der beiden Computer bei der zentralen Serverkomponente erfolgt mit einer von dem jeweiligen Computer gesendeten Authentifikation. Authentifikationen sind der zentralen Serverkomponente bekannt. Zudem sind in einer Datenbank der zentralen Serverkomponente zueinander passende Authentifikationen hinterlegt. Werden die beiden von der zentralen Serverkomponente von diesen Computern erhaltenen Authentifikationen als zueinander passend erkannt, wird ein bidirektionaler Kommunikationskanal von der zentralen Serverkomponente zu dem Fernzugriffscomputer und zu dem Installationsbuscomputer freigeschaltet. Dann kann mittels des Fernzugriffscomputers auf den Gebäudeinstallationsbus zugegriffen werden.
-
Im Zusammenhang mit dem Anmelden des Installationsbuscomputers hat dieser überprüft, mit welcher Schnittstelle des Gebäudeinstallationsbus eine Kommunikation möglich ist. Hierfür wird der Installationsbuscomputer scannen, welche Schnittstellen zu dem Gebäudeinstallationsbus zur Verfügung stehen. Sollten mehrere Schnittstellen zur Verfügung stehen, beispielsweise mehrere IP-Schnittstellen, oder auch unterschiedliche Schnittstellen, wie etwa eine IP-Schnittstelle und eine USB-Schnittstelle, können diese benutzerseitig angezeigt werden, sodass nutzerseitig die für den Fernzugriff vorgesehene Schnittstelle ausgewählt werden kann. Durchaus möglich ist es, bei einer solchen Konzeption, dass eine Schnittstelle als Standardzugriffsschnittstelle definiert ist. Dieses wird typischerweise die IP-Schnittstelle sein. Mit dem Anmelden bei der zentralen Serverkomponente übermittelt der Installationsbuscomputer diejenige Schnittstelle, auf die unter Zwischenschaltung des Installationsbuscomputers von dem Fernzugriffscomputer zum Herstellen einer Verbindung zu dem Gebäudeinstallationsbus zugegriffen werden soll. Der Fernzugriffscomputer verfügt über ein virtuelles Abbild derjenigen Hardware, auf die innerhalb des Gebäudeinstallationsbusses zugegriffen werden soll, also beispielsweise über ein virtuelles IP-Interface des eingesetzten Gebäudeinstallationsbus. Diese virtuelle Hardwarekomponente wird für die Anwendung benötigt, mit der auf den Gebäudeinstallationsbus Einfluss genommen werden soll. Typischerweise handelt es sich hierbei um dieselbe Software, mit der die Ersteinrichtung vorgenommen worden ist. Über die freigeschalteten bidirektionalen Kommunikationskanäle können sodann Daten bzw. Telegramme zwischen dem Fernzugriffscomputer und dem Gebäudeinstallationsbus ausgetauscht werden. Die Kommunikation wird man aus Sicherheitsgründen verschlüsselt vornehmen.
-
Bei dem vorbeschriebenen Konzept ist es durch das individuelle Anmelden der beiden Computer möglich, dieses über eine gesicherte Strecke, beispielsweise über einen HTTPS-Tunnel bei der zentralen Serverkomponente vorzunehmen.
-
Eine solche Fernzugriffsverbindung kann ad hoc aufgebaut werden. Hierfür ist es allein erforderlich, dass auf dem Installationsbuscomputer eine entsprechende Anmelderoutine durchgeführt wird. Dieses kann bei einem nutzerseitig gewünschten Fernzugriff auf Zuruf durch die den Fernzugriff durchführende Person oder auch durch ein auf einer anderen Strecke von dem Fernzugriffscomputer an den Installationsbuscomputer gesendeten Anmeldebefehls erfolgen.
-
Die Authentifikation der beiden Computer kann bereits im Zusammenhang mit der Inbetriebnahme bzw. Einrichtung des Gebäudeinstallationsbusses vorgenommen. Die Zuordnung des Fernzugriffcomputers zu dem Gebäudeinstallationscomputer wird der zentralen Serverkomponente bekanntgegeben, sodass dieser bekannt ist, dass der Fernzugriffscomputer berechtigt ist, auf den Gebäudeinstallationscomputer zuzugreifen. Gemäß einer anderen Ausgestaltung zum Gestatten eines Zugriffes des Fernzugriffscomputers auf den Gebäudeinstallationscomputer erhält jeder Computer von der zentralen Serverkomponente einen Code, der dann nutzerseitig zwischen der den Fernzugriffscomputer bedienenden Person und der den Gebäudeinstallationscomputer bedienenden Person ausgetauscht wird. Melden sich die beiden Computer mit diesem Code bei der zentralen Serverkomponente an, wird die gewünschte Verbindung hergestellt, damit der Fernzugriffscomputer auf den Gebäudeinstallationscomputer und damit auf den daran angeschlossenen Gebäudeinstallationsbus zugreifen kann. Ein solcher Code kann für eine Sitzung oder auch für eine längere Zeit Gültigkeit behalten.
-
Ist der Fernzugriff beendet, wird man vorzugsweise die Verbindung zwischen dem Installationsbuscomputer und der zentralen Serverkomponente beenden. Ein solcher Abmeldebefehl kann von dem Fernzugriffscomputer über den eingerichteten Kommunikationskanal unter Zwischenschaltung der zentralen Serverkomponente an den Installationsbuscomputer gesendet werden.
-
Nachfolgend ist die Erfindung anhand eines Ausführungsbeispiels unter Bezugnahme auf die beigefügte 1 beschrieben.
-
1 zeigt eine schematisierte Darstellung eines erfindungsgemäßen Fernzugriffes auf einen Gebäudeinstallationsbus. In einem Gebäude 1 befinden sich mehrere Gebäudeinstallationen, deren Aktoren über einen Gebäudeinstallationsbus miteinander versetzt sind. Bei dem dargestellten Ausführungsbeispiel wird hierfür ein KNX-Bus 2 eingesetzt. Angeschlossen an den KNX-Bus 2 ist ein KNX-IP-Interface 3. Bei dem dargestellten Ausführungsbeispiel umfasst der KNX-Bus 2 beispielhaft ein KNX-IP-Interface 3. Es ist durchaus möglich, dass der KNX-Bus 2 diesbezüglich mehrere KNX-IP-Interfaces umfasst. Über ein gebäudeinternes IP-Netzwerk ist an das KNX-IP-Interface 3 ein PC 4 angeschlossen. Eingesetzt wird hierfür ein LAN 5. Anstelle des LAN 5 kann durchaus der PC 4 mit dem KNX-IP-Interface 3 auch über ein WLAN verbunden sein. Bei dem PC 4 handelt es sich um einen handelsüblichen PC, der mit einer Anwendung ausgerüstet ist, damit über diesen ein Fernzugriff auf das KNX-IP-Interface 3 möglich ist. Es versteht sich, dass anstelle eines PC auch jedes andere Gerät für die beschriebenen Zwecke eingesetzt werden kann, über welches eine Internetverbindung zu der zentralen Serverkomponente aufgebaut werden kann und welches an den Gebäudeinstallationsbus angeschlossen ist. Beispielsweise kann es sich hierbei auch um sogenannte Embedded-Geräte handeln, beispielsweise als Teil einer Gebäudeinstallationsbus-Serverkomponente. Bei dem PC 4 handelt es sich aufgrund seines Anschlusses an das KNX-IP-Interface und damit an den KNX-Bus 2 um einen Installationsbuscomputer. Der Anschluss des PC 4 an den KNX-Bus 2 muss nicht dauerhaft sein. Diese Verbindung wird nur für einen Fernzugriff auf den KNX-Bus 2 benötigt.
-
Die vorbeschriebenen Bestandteile einer Fernzugriffsanordnung, die zudem einen Fernzugriffscomputer sowie eine zentrale Serverkomponente umfasst, sind sämtlich dem Gebäude 1 zuzuordnen.
-
Bei dem in 1 dargestellten Ausführungsbeispiel dient ein externer PC 6 als Fernzugriffscomputer. Der Fernzugriffscomputer ist mit einer Einrichtungssoftware, hier der Software ETS, ausgestattet. Diese nutzt das von dem Fernzugriffscomputer 6 erzeugte virtuelle KNX-IP-Interface des Gebäudeinstallationsbusses. Somit kann durch den Fernzugriffscomputer 6 und die hergestellte Kommunikationsverbindung über die zentrale Serverkomponente 7 über den Installationsbuscomputer 4 auf das KNX-IP-Interface 3 des KNX-Bus 2 zugegriffen werden.
-
Sowohl der Installationsbuscomputer 4 als auch der Fernzugriffscomputer 6 verfügen über einen Internetzugang als Zugang zu einem Kommunikationsnetz, hier dem Internet. Dies dient dem Zweck, dass beide Computer 4, 6 Kontakt zu einer zentralen Serverkomponente 7 aufnehmen können. Die zentrale Serverkomponente 7 kann an beliebiger Stelle positioniert sein, vorausgesetzt, dass diese ebenfalls Zugang zu dem Kommunikationsnetz, hier dem Internet, hat. Die zentrale Serverkomponente 7 kann beispielsweise von demjenigen Unternehmen bereitgestellt sein, die für die Gebäudeinstallation verantwortlich ist, sei es als Hersteller, Komponentenlieferant oder Installateur.
-
Bei dem beschriebenen Ausführungsbeispiel wurde mit dem Fernzugriffscomputer 6 vor Ort in dem Gebäude 1 der KNX-Bus 2 in Betrieb genommen und konfiguriert. Bei dem Fernzugriffscomputer 6 handelt es sich um einen des die KNX-Businstallation bzw. Konfigurierung vornehmenden Installateurs. Damit hat der Fernzugriffscomputer 6 in seinen darauf abgelegten Projekten auch die Einrichtung des KNX-Busses 2 des Gebäudes 1.
-
Im Zuge dieser Konfiguration bzw. Inbetriebnahme wurde eine Authentifikation zwischen dem Installationsbuscomputer 4 und dem Fernzugriffscomputer 6 ausgetauscht. Im Falle eines Fernzugriffs von dem Fernzugriffscomputer 6 auf den KNX-Bus 2 wählen sich sowohl der installationsbusseitige Computer 4 sowie der Fernzugriffscomputer 6 individuell unter Ausnutzung eines HTTPS-Tunnels 8, 9 bei der zentralen Serverkomponente 7 an. Der zentralen Serverkomponente 7 ist bekannt, ob der Fernzugriffscomputer 6 bereits eine Berechtigung hatte, auf den Installationsbuscomputer 4 zuzugreifen. Eine solche Berechtigung eines Fernzugriffes kann in Zusammenhang mit dem gewünschten Fernzugriff oder auch im Vorfeld desselben durch den Nutzer des Gebäudeinstallationsbusses 4 dadurch herbeigeführt worden sein, dass der Fernzugriffscomputer 6, gegebenenfalls neben anderen zugriffsberechtigt ist. Ist der Fernzugriffscomputer 6 als zugriffsberechtigt für einen Zugriff auf den Gebäudeinstallationsbuscomputer 4 erkannt, wird durch die zentrale Serverkomponente 7 ein bidirektionaler Kommunikationskanal 10 zu dem Installationsbuscomputer 4 und ein weiterer bidirektionaler Kommunikationskanal 11 zu dem Fernzugriffscomputer 6 freigeschaltet. Anschließend kann unter Verwendung des virtuellen KNX-IP-Interfaces des Fernzugriffscomputers 6 mit der für die Einrichtung des KNX-Bus verwendeten Software, hier: ETS, auf den KNX-Bus 2 in dem Gebäude 1 zugegriffen werden, um die gewünschten Arbeiten, sei es eine Wartung oder eine Konfigurationsänderung oder dergleichen vorzunehmen. Es versteht sich, dass auf diese Weise ebenfalls eine Neueinrichtung des KNX-Busses 2 möglich ist.
-
Mit dem Anmelden des Installationsbuscomputers 4 bei der zentralen Serverkomponente 7 wurde seitens des Installationsbuscomputers 4 das KNX-IP-Interface 3 als Schnittstelle zu dem KNX-Bus 2 ausgewählt. Diese Information wurde ebenfalls über die zentrale Serverkomponente 7 dem Fernzugriffscomputer 6 mitgeteilt, damit das korrekte virtuelle Interface auf dem Fernzugriffscomputer 6 für den Fernzugriff verwendet wird.
-
Ein solcher Verbindungsaufbau, wie vorbeschrieben, wird typischerweise ad hoc vorgenommen und wird nach Beendigung des Fernzugriffes über den Fernzugriffscomputer 6 beendet. Dieses umfasst auch eine Beendigung der Verbindung zwischen dem Installationsbuscomputer 4 und der zentralen Serverkomponente 7.
-
Es versteht sich, dass auf dieselbe Weise ein Fernzugriff auch für eine nutzerseitige Betätigung eines oder mehrerer Aktoren einer Gebäudeinstallation verwendet werden kann.
-
Die Beschreibung der Erfindung macht deutlich, dass ein gesicherter Fernzugriff auf einen Gebäudeinstallationsbus auch ohne zusätzliche Hardwarekomponenten möglich ist und dass die Zugriffssicherheit dadurch erhöht wird, dass ein Fernzugriff ad hoc aufgebaut und anschließend wieder beendet wird, so dass der Gebäudeinstallationsbus letztendlich nur für die Dauer des Fernzugriffes online ist. In geschickter Weise wird die bei Computern ohnehin vorhandene Funktionalität eines Aufbaus einer Internetverbindung auch über das HTTPS-Protokoll und die anschließende Kommunikation genutzt. Dabei ist besonders vorteilhaft, dass eine auf dem Computer befindliche Firewall bzw. die Konfiguration einer solchen nicht geändert zu werden braucht, da eine Anmeldung bei der zentralen Serverkomponente von innen heraus und somit von dem jeweiligen Computer erfolgt und nicht umgekehrt.
-
Die Kommunikation zwischen den Computern untereinander und der zentralen Serverkomponente erfolgt typischerweise verschlüsselt, wodurch die Kommunikationssicherheit nochmals weiter erhöht wird.
-
Bezugszeichenliste
-
- 1
- Gebäude
- 2
- KNX-Bus
- 3
- KNX-IP-Interface
- 4
- PC / Installationsbuscomputer
- 5
- PC / Fernzugriffscomputer
- 7
- zentrale Serverkomponente
- 8
- HTTPS-Tunnel
- 9
- HTTPS-Tunnel
- 10
- bidirektionaler Kommunikationskanal
- 11
- bidirektionaler Kommunikationskanal