本发明专利技术涉及一种用于对技术设备(2)实施远程服务的系统(1),该系统包括第一远程服务系统(10)和第二远程服务系统(20),第一远程服务系统具有用于传输在远离设备的第一装置(11)与设备内部的第一装置(12)之间的数据的第一隧道连接(13),第二远程服务系统具有用于传输在远离设备(2)的第二装置(21)与设备内部的第二装置(22)之间的数据的第二隧道连接(23),在该系统中,根据本发明专利技术,第二隧道连接(23)穿过第一隧道连接(13)延伸。因此,在IT的安全性与设备运行的安全性较高时,能在设备中实施多个远程服务,其中,能为此使设备运营商方面的管理费用保持在较低水平。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种根据权利要求I所述的用于对技术设备实施远程服务的系统。
技术介绍
远程服务(通常也被称作“Remote Services”)在使用寿命周期内为技术设备(例如工业生产设备、发电厂、单件货物运输-与分配设备或者大型建筑物内的楼宇技术设备)提供多个应用可能。属于此类的例如有远程软件更新(Remote Update Services)、远程监控(Remote Conditioning Monitoring),远程维护(Remote Maintenance)、以及特别是在排除故障时的远程支持。为了能够提供此类服务,需要通过公共网络(例如互联网)建立进入设备中的、通常是进入设备的非公开内部网络中的通信连接。针对此类设备中的内部网络提出了特别的 安全性要求。从IT的角度来看,这所指的是校准溯源性、透明性与IT安全性。从运行过程的角度来看,这所指的是设备运行的安全性。因此,从外部通过公共网络进入设备内部的非公开网络中的连接通常是通过所谓的“隧道连接(Tunnelverbindung)”而实现的。此处将隧道连接理解为在远离设备的装置通过一个公开的、因而不安全的网络-例如互联网-与设备内部的装置之间的通信连接,其中,实现了通信伙伴的识别与认证,并且其中,通过数据加密保证了数据的可靠性(也就是说,对于第三方而言,不存在访问数据的渠道)以及数据的完整性(也就是说,通过第三方更改数据是不可能的)。此类隧道连接例如可以通过互联网由VPN(Virtual Private Network虚拟私人网络)连接实现,该连接使用互联网安全协议、例如IPsec (Internet ProtocolSecurity互联网安全协议)。但这其中虽然满足了 IT的安全性,然而连接的校准溯源性与透明性却不存在,或者只在有限的范围内存在。如果对一个设备实施多个不同的远程服务,那么这些远程服务便通过相应数目的、并且多数情况下安全性不同的、进入设备内部的隧道连接来实现。通过这些数目众多的连接,对于设备的运营商而言会产生高昂的管理费用,以保证尤其是在涉及到透明性与校准溯源性时的最低限度的安全性。出于这一原因,设备运营商希望此类连接的数目尽可能的少并且因此对新型远程服务持怀疑态度。
技术实现思路
因此,本专利技术的目的是,在用于对根据权利要求I的前序部分的技术设备实施远程服务的系统中,在IT的安全性与设备运行的安全性均较高时,降低设备运营商方面的管理费用,从而使在一个设备内实施多个远程服务成为可能。该目的通过根据权利要求I所述的系统实现。有利的设置方案在从属权利要求中进行说明。根据本专利技术的用于对技术设备实施远程服务的系统包括-第一远程服务系统,该第一远程服务系统具有远离设备的、用于实施第一远程服务的第一装置、设备内部的第一装置以及用于传输在远离设备的第一装置与设备内部的第一装置之间的数据的第一隧道连接,和-第二远程服务系统,该第二远程服务系统具有远离设备的、用于实施第二远程服务的第二装置、设备内部的第二装置以及用于传输在远离设备的第二装置与设备内部的第二装置之间的数据的第二隧道连接。其中,根据本专利技术,第二隧道连接穿过第一隧道连接延伸。与设备内部的第二装置的数据连接因而可以形象地通过“双重隧道连接(doppelte Tunnelverbingdung),,以及“隧道中的隧道(einen Tunnel in einem Tunnel),,来实现。因此,从物理学上讲,只有第一隧道连接需要从外部进入设备中,而第二隧道连接则可穿过第一隧道连接延伸。对于设备运营商而言,由此基本上仅产生了用于第一隧道连接的管理费用,并且因而只会产生用于唯一一个隧道连接的管理费用,而不会产生用于两 个隧道连接的管理费用。其中,第一隧道连接可以特别安全地设计,从而使相对不太安全的第二隧道连接也可提升至第一隧道连接的安全水平。设备因而也可获得较高的运行安全性。另外,其它远程服务系统的其它隧道连接也可穿过第一隧道连接延伸,但同时却不会大幅度增加设备运营商方面的管理费用,运行的安全性也不会受到限制。从第二以及可能的其它远程服务系统的角度来看,第一远程服务系统基本上被作为运输基础设施来使用,而且实现了设备元件与第二以及可能的其它(多个)远程服务提供商的安全连接。第二以及可能的其它远程服务系统的协议可以通过该基础设施来交换。从设备运营商的角度来看,这是唯一的一个一体化远程服务解决方案。根据本专利技术的一个特别有利的设计方案,第一隧道连接借助于安全的、与互联网相连接的通信平台实现。因此,可在全世界范围内建立从任意一个互联网接口到设备中的隧道连接。为提高安全性,安全的通信平台优选地位于非军事区内。根据一个特别有利的设计方案,为了进一步提高安全性,在安全的通信平台上实现数据镜像。如果第一隧道连接使用不同于第二隧道连接的数据加密,那么本专利技术便可以尤其有利的方式投入使用。为了使第二远程服务系统的使用者不必既在第一远程服务系统中、又在第二远程服务系统中进行认证,而只需在第一或者第二远程服务系统的其中一个系统中进行一次认证,这两个远程服务系统可与一个共同的认证机构相连接。附图说明本专利技术以及本专利技术的有利的设计方案随后将根据附图中的实施例进一步说明。具体实施例方式在唯一的附图中示出的、用于对技术设备2(例如工业生产设备、发电厂、单件货物运输-与分配设备或者大型建筑物内的楼宇技术设备)实施远程服务的系统I包括第一远程服务系统10与第二远程服务系统20。以下内容的出发点是,所述两个远程服务系统10,20被同一远程服务提供商用于实施远程服务。但这仅为范例。两个远程服务系统10,20也可以以相应的方式分别被不同的远程服务提供商用于实施远程服务。第一远程服务系统10包括以接入路由器11的形式存在的、远离设备2的装置、以接入路由器12的形式存在的、设备内部的装置以及安全的通信平台14,该通信平台包括接入服务器15与数据服务器16,并且它们位于互联网3的非军事区17内。接入路由器12与设备的内部非公开的网络4相连接,与该网络相连接的例如还有设备2的自动化系统的兀件5以及设备2的计算机化维护管理系统(CMMS) 6。接入路由器11位于远程服务提供商的非军事区27内,并且与远程服务提供商的内部非公开的网络24 (例如内网)相连接。在接入路由器11与接入路由器12之间,可借助于安全的通信平台14并通过互联网3建立隧道连接13。设备2的数据、例如关于制造过程的数据、自动化设备5或者CMMS系统6的数据,可以通过隧道连接13传输给远程服务提供商,或者反之将远程服务提供商的数据传输至这些元件。在这一过程中,这些数据可以自动地、或者根据远程服务提供商的明确要求进行传输。其中,隧道连接13在安全的通信平台14中不是被“接通”的,而是在接入服务器 15中通过“反向代理”(“Reverse-Pix)xy”)功能被中断。从设备2通过接入路由器12所建立的连接或者从远程服务提供商处通过接入路由器11所建立的连接在接入服务器15中被中止。在此所传输的数据被储存在数据服务器16中。随后,接入服务器15建立与远程服务提供商以及设备2的进一步连接,并藉此传输在数据服务器16中所储存的数据。这样,到来的通信便在安全的通信平台14中被“镜像(gespie本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.01.12 DE 102010000824.91.一种用于对技术设备(2)实施远程服务的系统(I),所述系统包括 -第一远程服务系统(10),所述第一远程服务系统具有远离所述设备(2)的、用于实施第一远程服务的第一装置(11)、设备内部的第一装置(12)以及用于传输在远离所述设备的所述第一装置(11)与设备内部的所述第一装置(12)之间的数据的第一隧道连接(13), -第二远程服务系统(20),所述第二远程服务系统具有远离所述设备(2)的、用于实施第二远程服务的第二装置(21)、设备内部的第二装置(22)以及用于传输在远离所述设备(2)的所述第二装置(21)与设备内部的所述第二装置(22)之间的数据的第二隧道...
【专利技术属性】
技术研发人员:托马斯·巴林特,约尔格·鲍尔,扬·基斯林,
申请(专利权)人:西门子公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。