WO2017041831A1 - Verfahren zum betreiben eines industrienetzwerks und industrienetzwerk - Google Patents
Verfahren zum betreiben eines industrienetzwerks und industrienetzwerk Download PDFInfo
- Publication number
- WO2017041831A1 WO2017041831A1 PCT/EP2015/070506 EP2015070506W WO2017041831A1 WO 2017041831 A1 WO2017041831 A1 WO 2017041831A1 EP 2015070506 W EP2015070506 W EP 2015070506W WO 2017041831 A1 WO2017041831 A1 WO 2017041831A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- access
- network
- local
- network device
- local interface
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Definitions
- the present invention relates to a method for Operator Op ⁇ ben an industrial network and an industrial network.
- an object of the present invention is to provide an improved method of operating a network.
- the industrial network comprises at least one network device that can be controlled by a central control device.
- the industrial network further comprises a local interface for a local to ⁇ resorted to the network device. Local access to the network device can reali via the local interface ⁇ Siert be.
- the method comprises the following steps:
- the industrial network particularly relates to any kind indust ⁇ terial communication networks, for example, a production system with production cells, a wind farm or a part thereof.
- the industrial network is a factory contradictnetz- a power supply network, and the Netztechnikeinrich ⁇ obligations are individual generators, such as wind turbines, in this network.
- the industrial network may further include a transport network and / or a supply network of resources such as electricity, oil, water, natural gas, food or heat.
- the industrial network has several network devices.
- the network facilities of the industrial network individual modules, eg production modules, control ⁇ units or field devices, road safety and / or relate in egg nem supply network.
- the network devices can at least partially automated ar ⁇ BEITEN means that they require no or only a reduced human intervention to operate.
- the network devices are at least partially coupled with each other, so that a transport of data, material,
- Products and / or resources e.g., power or energy
- the industrial network has at least one central control facility that can centrally control the network facilities of the industrial network.
- the central controller is arranged to communicate and / or interact with the network devices, e.g. Retrieve data from the network devices and / or enter data or commands into the network devices.
- the industrial network may extend over such a dimensioned area that geographical Distances between the individual network facilities amount to several tens of thousands of kilometers.
- the industrial network may have a backbone line from which multiple branch connections to the individual network devices originate and couple them to the industrial network.
- other network topologies such as bus, ring or star topologies.
- the network may be coupled to a Wide Area Network (WAN) and / or the Internet.
- WAN Wide Area Network
- a service person For maintenance on one or more network devices, a service person (eg, technician, operator, administrator, or mechanic) may be allowed access to the appropriate network device. It is advantageous to protect the industrial network from unauthorized access.
- the industrial network is a closed private communications network.
- the industrial network may at least partially be designed as a Corpo ⁇ rate Network, which is spatially remote input zelnetze a company linked and play binds at ⁇ via a common firewall to the Internet to ⁇ . Access to the industrial network may be encrypted and / or require authentication.
- the central controller may be further configured to monitor accesses to the network devices. For example, the service personnel may request local access to the network device from the central controller.
- the local access is made to the Netzwerkein ⁇ direction on the and / or with the aid of the local interface that is associated with one or more network devices and connected thereto.
- the local interface may be connected to the associated network device via a local area network (LAN), wireless LAN, cellular, and / or cable connections.
- the local interface can be a physical and / or virtual interface, such as a Maschi ⁇ nenschnittstelle, a hardware interface, a network cut parts, a data interface, a software interface ⁇ or a combination thereof, include.
- the physical interface provides a physical connection is available, to which an access device, such as a computer, a laptop or other computing enabled device, can be closed at ⁇ to access the network setup. It is conceivable that the local interface provides an access device or that the access device is integrated into the local interface.
- the physical interface may include a network port through which components of the industrial network may be connected to the network device.
- the physical interface may be further adapted to convergence ⁇ animals between different communication protocols to enable communication between the network device and different network components
- a virtual interface can be an interface between programs, applications and / or operating systems in order to enable interaction between the programs, applications and / or operating systems of the network device, the access device and / or network components.
- the local interface allows data ⁇ query from the associated network device and / or input of data or commands in the associated network device.
- the local interface may be provided with a re ⁇ computing power to process data for example, and to operate the associated network device.
- the local interface may have a storage capacity to store eg access configurations, applications or user specifications.
- the local interface can be used as an access point (AP) considered the ⁇ .
- the access request for the local access to the network device indicates, for example, the network device to be accessed and / or an identity of the service personnel requesting local access to the network device.
- the access request can be transmitted, for example, via the line of the industrial network, via a VPN connection or via mobile radio to the central control device.
- the central controller receives the access request and evaluates it.
- the authentication of the access request may depend on the results of the evaluation of the access request by the central controller. If the access request is authenticated, the central controller
- Control means set up the local interface so as to allow local access to the network device according to the access request.
- a trust level of the access request in particular of a service personnel creating the access request, is determined. Accordingly, the establishment of the local interface can take place in accordance with the confidence level of the access request determined by the central control device.
- Setting up the local local access interface enables the local interface and provides local access to the network device by service personnel.
- the corresponding access rights are taken into account.
- Establishing the local interface may include activating physical ports, starting an access device, or establishing a connection between the local
- Interface and / or network device include.
- Setting up the local interface may further include configuring a virtual interface at the local interface.
- one of the central control device-created access configuration eg an operating system or a set of applications, are instantiated at the local interface.
- virtual sensors for example for data evaluation or data aggregation, can be instantiated at the network device. It should be appreciated that instantiating operating systems, applications, or virtual sensors may include implementing, installing, starting, rolling out, and / or activating the same.
- the device of local interface Stel ⁇ le is isolated and encapsulated so that the interface can be resolved without residue.
- the instantiation comprises, for example, the respectively required configurations, applications, and communication connections, which are realized by virtual components.
- access is self-contained. If several different accesses are active at the same time, they do not influence each other.
- the applications may e.g. used for data query and input or for controlling the network device. Furthermore, the applications may comprise a terminal or a maintenance program for interacting with the network device.
- a virtual network When setting up the local interface, a virtual network can be created and / or virtual network functions can be instantiated for that virtual network.
- Different network configuration technologies eg VPN, formation of "tunnels" between network components or software defined networking (SDN) can be used.
- the virtual network is preferably adapted to the request for access.
- the virtual network is, for example, a virtual overlay network that builds on an existing network, eg industrial network, a WAN or the Internet, ie uses parts of structures of this existing network to transport data.
- the virtual network functions may include control of the data traffic (traffic shaping), a firewall, a ⁇ Ver averaging (switching), a data traffic management (routing) or a monitoring of the terminals (ports monitoring).
- a virtual firewall at the lo ⁇ kalen interface can be instantiated to limit the local supply handle and / or filter.
- the virtual firewall is an industrial firewall specifically designed to protect industrial networks.
- the local interface can in particular be set up in such a way that the local access to the network device satisfies specific connection requirements, eg regulations according to Quality of Service (QoS) for the industrial network.
- QoS Quality of Service
- the QoS may specify minimum requirements for a quality and / or a quality of the connection as well as data transmission in an industrial network.
- the QoS can make a frequency disturbances, transmission errors ⁇ , connection errors and / or connection problems loading.
- local access to the network device is limited in time.
- the access request may include an expected duration of local access to the network device.
- the access time may be set by the central controller, requested with the access request, or generally established. be laid. Further, a predefined To be ⁇ handle permanently stored at the central control device or to the local interface, and the access time can be set automatically.
- An indication of the duration of access may include the network device a start time, an end time and / or a time interval ⁇ local access.
- the temporal restriction of local access can preclude unwanted access to the industrial network after expiration of access time. This can increase the security of the industrial network.
- the method further comprises disabling the local interface after local access to the network device is completed.
- disabling the local interface may include disabling components instantiated or generated at the local interface.
- the components relate to e.g. the virtual network, virtual network features, applications and / or operating systems.
- Disabling may include closing, deleting, uninstalling, stopping, canceling, unwinding, removing, or removing the corresponding component.
- the local access to the network device takes place by means of an access device which is coupled to the local interface.
- an access record is provided for disconnecting the local access to the network device via the local interface, if the access request is thent by the central control device au ⁇ on the access device.
- the access record contains information about the trust level of the local access and / or vice-Ser ⁇ personnel, which is associated with the access record.
- the access record may be personalized, ie adapted to a service personnel creating the access request and / or valid only for that service personnel.
- the lo ⁇ cal access to the network device may in particular by creating an account (Access account), with which the service staff can dial into the industrial network, be provided. Accordingly, the cost rate stoodsda ⁇ account information, such as a user ID and a key included to dial into the network device and / or the industrial network.
- the access record can be created by the central controller depending on results of the evaluation of the access request.
- the access data set can be pre-stored at the central control device and output after an authentication of the access request.
- the access record may include a period of time within which access to the network device is granted.
- the transmission of the access ⁇ data record is encrypted.
- Interface for the local access to the network device then takes place when the service personnel input to ⁇ handle record in the local interface or in an access device, which is connected to the local interface.
- the method further comprises generating a virtual network.
- the virtual network the industrial network is then part of the industry ⁇ network contains at least the network device to which the access request is directed.
- the central control device is separated from the virtual network, thus preferably not part of the virtual network used by the access device for the local access to the at least one network device.
- overlay networks come into question.
- Conceivable are protocol-based networks, such as VLANS, VPN, VPLS or the like and software-defined networks (SDN).
- the method further comprises transmitting access specifications of the access request to the central control device.
- umfas ⁇ sen the access specifications, an identifier of an access device, an identity of an operator, a connection type, local access, connection requests local access, an access time and / or intended for local access resources.
- the method further includes establishing the interface for local access to the network device according to the access specifications.
- the access specifications may specify bandwidth and / or computing power for local access to the network device.
- the access specifications may specify bandwidth and / or computing power for local access to the network device.
- connection requests to particular men by Norway for example, be quality of service or quality of service of a communica ⁇ tion service determined.
- the connection requirements may conform to given standards, eg IEEE 802.1p.
- setting up the local interface comprises instantiating applications at the local interface.
- the applications include, for example, applications used in the local access to the network device. Further, the applications may include virtual sensors that are instantiated at the network device. Furthermore, the applications can be instantiated at the access device which is connected to the local interface.
- the setting up of the local interface takes place with the aid of templates which are stored in the central control device.
- the templates may include components or components of data or information relevant to the establishment of the local interface for accessing the network device.
- the templates include Informa ⁇ functions on the trust level, access type, access time, connection requests, access device and / or resource allocation.
- the templates may at least partially include access specifications for accessing the network device.
- the transmission of the access request to the central control device is encrypted . Additionally or alternatively, the setup is done the local interface encrypted by the central controller.
- the security of the industrial network can be further increased.
- an attack from the outside can be better warded off.
- the local access to the network device takes place for the purpose of waiting, checking, monitoring, modifying, operating, repairing, switching on, switching off, activating the network device and / or for locally retrieving data from the network device.
- the service personnel can perform local access for any of the above purposes.
- technical work is performed on the associated network device.
- the local access to the network device takes place via a Local Area Network (LAN) and / or with the aid of wireless LAN, Bluetooth, mobile radio technologies, LTE-based connections and / or wired.
- LAN Local Area Network
- the industrial network comprises several network devices.
- the access request comprises a local access to a subnetwork of several network devices of the industrial network, wherein the local access takes place via the local interface.
- the above-described features of the method can also be applied to local access to a sub-network of the industrial network.
- the subnetwork of network may be an association of geographically proximate network devices.
- the subnet may correspond to a location of several sites of the industrial network.
- a subnetwork may, in particular by the functionality of the network devices, such as controllers for field devices in Automatmaschinesnet ⁇ zen, be fixed.
- the subnetwork may comprise a defined subset of network equipment of the industrial network. Furthermore, the subnetwork may be in the form of a virtual network. A local interface of a subnet may be connected to each of the network devices of the subnet and provide local access to each of the network devices.
- the local access to the network device a lower data transmission ⁇ stretch on as a data transmission path for driving the network device by the central control device.
- a geographical distance between the network device and the central controller is greater than a geographical distance between the network device and the local interface.
- the quality of connection can be improved.
- the method allows in particular that the erfor for a particular application ⁇ sary safeguards may be implemented to link quality.
- a local interface is scheduled to be allocated, and appropriate resources, such as an underlying network infrastructure, are provided. This allows certain qualities of connection over the Period of existence of the local interface also be guaranteed.
- an industrial network comprises at least one network device that can be controlled by a central control device. Further, the industrial network includes a local interface for Loka ⁇ len access to the network device. The industrial network is suitable for carrying out the method described above.
- the industrial network includes multiple network devices ⁇ . All of the features which are proposed above for the method for operating an industrial network may be applied entspre ⁇ accordingly also to the proposed industrial network.
- the industrial network is at least partially provided in the form of a virtual personal network (VPN) in a network.
- VPN virtual personal network
- a data transport in the Industrienetz- is factory at least partly via a Wide Area Network (WAN) or the Internet, the dustrienetzwerk be used as a transmission path for the In ⁇ .
- the industrial network may have a main line (backbone line) or radio link for transmitting data.
- the proposed method and the proposed Indust ⁇ rienetzwerk particular allow local access to the network device with the support of indus- trial quality of service requirements. Furthermore, a complex routing of connections over long geographical distances is not required. The local access can be provided temporarily. By disabling local access If necessary, defective or security-related connections and / or functions can be eliminated. As a result, increased security for the industrial network can be achieved.
- Network resources such as bandwidth or Rechenkapa ⁇ capacities can be demand-driven and organized requested. Likewise, a monitoring effort of accesses to the network facilities of the industrial network can be reduced.
- the respective unit for example the access device, the local interface or the central control device, can be implemented in terms of hardware and / or software.
- the respective technical unit can be configured as a device or as part ei ⁇ ner device such as a computer or a microprocessor, or as a control computer of a vehicle.
- the respective unit as a computer program product, as may be formed as part of a program code or executable object a radio ⁇ tion, as a routine.
- a computer program product is proposed, which on a program-controlled device, such as elements of the network, causes the execution of the method as explained above.
- a respective per ⁇ program-controlled device can be both software as well as hardware-based. It is conceivable, for example, an implementation of the access device as a downloadable or short-term installable or activatable access application on a smartphone.
- a computer program product such as a computer program means may, for example, be used as a storage medium, e.g.
- Memory card USB stick, CD-ROM, DVD, or even in the form of a downloadable file provided by a server in a network or delivered.
- This can be, for example in a wireless communication network by the transmission of a corresponding file with the Computerprogrammpro ⁇ product or the computer program means done.
- the embodiments and features described for the proposed method apply mutatis mutandis to the proposed In ⁇ dustrienetzwerk.
- Fig. 1 shows a schematic view of a first form from ⁇ management of an industrial network with a feed grip device
- Fig. 2 shows a schematic view of a second form from ⁇ management of an industrial network with the handle means to ⁇ ;
- Fig. 3 shows a sequence diagram of a method for operating an industrial network
- Fig. 4 shows a schematic view of a third exemplary form of an industrial network with the handle means to ⁇
- Fig. 5 shows a schematic view of a fourth form of an industrial off ⁇ management network with the handle means to ⁇ ;
- Fig. 6 shows a schematic view of a fifth off ⁇ management form of an industrial network with the handle means to ⁇ .
- Fig. 1 shows a schematic view of a first exporting ⁇ approximate shape of an industrial network 100 with an access unit direction 104.
- the industrial network 100 comprises a network 101 and a local interface 102.
- the local interface ⁇ point 102 is connected via a line 105 to the network device one hundred and first
- the network device 101 and the local interface 102 are connected via a respective line 106, 107 to a central control device 103.
- the local interface 102 allows a service person U, who is a technician, an operator, a mechanic or a system administrator, a local access A to the network device 101.
- the local interface 102 is connected to a doctorsseinrich ⁇ tung 104th
- the access device 104 is equipped with a computing power and a storage capacity.
- the access device 104 is a computer, a mobile computer or a terminal in the industrial network 100. With the aid of the access device 104, the network device 101 can be accessed via the local interface 102.
- the access device 104 is connected to the local interface 102 via a physical line, eg an Ethernet cable, or wirelessly, eg via W-LAN, or by mobile radio, eg via an LTE-Advanced connection.
- the service staff U sends an access request Q via the access device 104 to the central controller 103.
- the controller 103 evaluates access request Q., authenticates the access request Q and determines an Ver ⁇ trust level of the service personnel U. Furthermore, the central control device 103 creates an access configuration K, according to which the local interface 102 for the local access A is set up on the network device 101 by the service personnel U.
- the local interface 102 is in particular equipped with a re ⁇ computing power and memory capacity to store the access configuration K and / or execute.
- the access configuration K is transmitted to the local interface 102 and instantiated there.
- a set of applications at the local interface 102, and virtual sensors for acquiring and processing data at the network device 101 are installed and started.
- the local interface is set 102 for the local handle to ⁇ A on the network setup one hundred and first
- the service personnel U can interact with the network device 101 and query data from it.
- the local access A to the network device 101 for waiting, controlling, operating, operating, repairing, modifying the network device 101 or polling data from the network device 101 may take place.
- Fig. 2 shows a schematic view of a second exporting ⁇ approximate shape of an industrial network 200 with the wishessein ⁇ direction 104 in FIG. 1.
- the industrial network 200 includes all the features and elements as well as means 100 in Fig. 1 to the industrial network.
- the central control device 103 is equipped with a database device 201, on the templates for the establishment of the local interface 102 for the local access A is pre-stored on the network device 101.
- the templates include both pre finishesskonfigura ⁇ tions as well as components for an access configuration.
- the templates include in particular access specifications, eg connection requests, an identifier of an access device, an identity or trust level of the service personnel U, a connection type of the local access A, an access duration and / or resources characterizing the local access A to the network device 101.
- access specifications eg connection requests, an identifier of an access device, an identity or trust level of the service personnel U, a connection type of the local access A, an access duration and / or resources characterizing the local access A to the network device 101.
- the service staff U which is a Techni ⁇ ker of the manufacturer of the wind turbine 101, requested by the central control device 103, a central server computer of the operator of the wind turbine 101, access the control unit of the wind turbine 101 for 8 hours to perform a scheduled inspection.
- the investigation concerns mileage, wear, fluctuations in parameters (voltage, frequency and amplitude) and correct controllability.
- the service personnel requests access to the wind turbine 101 from the central server computer to collect statistical data, eg, generated electrical power of the past 2 weeks.
- the central controller 103 creates the access configuration K for the local access A to the network device based on the templates stored at the database device 201. Subsequently, the access configuration K is transmitted to the local interface 102 and instantiated there.
- the central control device 103 After successful authentication of the access request Q, the central control device 103 creates an access data cost rate T in the form of an access token in accordance with the confidence ⁇ stage of the service personnel U.
- the access token T containing a user ID and a password for the dial in the industrial network 200 and an access time, eg 24 hours or 7 days within which the local access A is allowed.
- the access request Q and the access token T are transmitted in an encrypted, preferably private connection, eg via the Internet as a VPN connection.
- FIG. 3 shows a sequence diagram of a method 300 for operating an industrial network.
- the method 300 in FIG. 3 is suitable for operating the industrial networks 100, 200 in FIGS. 1 and 2.
- the method 300 shown in FIG. 3 is suitable for operating industrial networks as shown in FIGS. 4 through 6 are explained in Fol ⁇ constricting.
- Fig. 3 the central controller 103, the feed grip device 104 and the local interface 102 symbo ⁇ lisch shown in a horizontal row adjacent.
- a vertical time axis 310 shows a time sequence of the method 300.
- the access request Q is transmitted by the access device 104 or the service personnel U to the central control device 103.
- the access request ⁇ Q can contain the requested featuressspezifikatio ⁇ nen S.
- the access request Q is authenticated by the central control device 103.
- the access specifications S are evaluated.
- pre-stored templates eg on the database 201 in FIG. 2, are determined which correspond to the access request or the access specifications.
- a trust level of the service personnel U is further Festge ⁇ sets.
- the access request Q, the central controller 103 created in a next step 303 the access configuration K for Einrich- the local interface 102 th for local access A to the network device 101.
- the central ⁇ rale controller 103 further includes the access record T for the service personnel U.
- the central control device 103 optionally creates an access account at the local interface 102 or at the access device 104, with which the service personnel U can dial into the network device 101 or the industrial network 100, 200.
- the access device is a computer or a terminal which is connected to or integrated in the local interface 102.
- Interface 102 is transmitted and instantiated there. In this way, the local interface 102 is set up for local access A to the network device 101.
- the transmission of the access configuration K is encrypted and via a private connection, e.g. over the internet as a VPN connection.
- the access token T is provided to the service personnel U.
- the access token T can be communicated to the service personnel directly, for example via mobile radio or a VPN connection, or provided to the local interface 102 and / or to the access device 104.
- the transmission of the access token T is encrypted.
- the access token contains T ⁇ to handle account information, including a user ID and a password, to dial into the network device 101 or the indus- rienetzwerk 100, 200 using the access account.
- the local access A to the network device 101 is performed by the access device 104 via the local interface 102.
- the local access A in particular enables maintenance, service or services data queries to the network device 101.
- 102 is closed and locked for local access the local interface A ⁇ point.
- the access record T is also deleted and deactivated, so that the access record T is no longer valid.
- FIGS. 4 to 6 have all the features of the industrial network 100 shown in FIG. 1 and the method of operating the industrial network 100 explained with reference to FIG.
- Fig. 4 shows a schematic view of a third exporting ⁇ approximate shape of an industrial network 400 to the access unit direction 104.
- the industrial network 400 includes a wind farm with wind turbines 101a to 101c.
- the wind turbines 101a-101c are connected to a respective local interface 102a-102b which allows local access to the associated wind turbine 101a-101c.
- the central control device 103 is designed as a server computer with a computing power and storage capacity.
- the access device 104 is a mobile computer that can be connected to the local interfaces 102a-102c.
- FIG. 4 shows a local access A to the network device 101c from the mobile computer 104 via the local interface 102c.
- From the mobile computer 104 from an access request Q is transmitted to the server computer 103.
- the server computer 103 evaluates the access request Q. After he ⁇ cessful authentication of the access request Q is a Access record T created and transmitted to the mobile computer 104. Further, the server computer 103 determines the access ⁇ configuration K, which is transmitted to the local interface 102c and instantiated there.
- the service staff U connects the mobile computer 104 to the local interface 102c and selects on the mobile computer 104 in the industrial network 400 with the ⁇ to handle record-T one.
- an operating system and various applications are started, which are specified by the access configuration K and required for local access. Further, a virtual sensor for detecting performance characteristics at the wind turbine 101c is instantiated.
- the access configuration K is in particular designed such that the local access is limited using the access data set T to the local interface 102c and the supplied arrange ⁇ te wind turbine 101c.
- a virtual network 401 is created which comprises only a part of the industrial network 400 and prevents access to further network devices 101a, 101b by the service personnel.
- virtual network functions for the virtual network 401 are instantiated at the local interface.
- Network configuration technologies such as VPN, tunneling between network components and SDN are used to set up the virtual network 401.
- a VPN-based connection is made over a WAN or the Internet without being accessible to unauthorized persons
- the tunnel allows two or more subscribers industrial network, via a connection (eg the Internet) that uses a different communication ⁇ protocol to communicate with each other as the industrial network.
- the SDN technology allows software ⁇ based configuration and structure of the industrial network, in particular of virtual networks within the industrial network, by the central control device.
- the virtual network functions include targeted control of the traffic between the mobile computer 104 and the wind turbine 101a, a restriction of the data traffic between the mobile computer 104 and other wind turbines 101b, 101c of the industrial network 400 and a blocking of the other ports to prevent unauthorized access to the network devices 101a - 101c or the industrial network 400.
- a virtual in- dustrial firewall between the Internet and the industrial ⁇ network 400 and the virtual network 401 is instantiated to prevent unauthorized access from the Internet.
- Fig. 5 shows a schematic view of a fourth exemplary form of an industrial network 500 with the mobile computing ⁇ ner 104 as an access device.
- FIG. 5 shows wind turbines 101 at two locations 501, 502.
- the wind turbines ⁇ 101 at a first location 501 are combined into a first sub-network 503rd
- the first subnetwork 503 is connected to a first interface 504, which allows access to the first subnetwork 503 as well as to the network devices 101 of the first subnetwork 503.
- Ana ⁇ log the wind turbines 101 are summarized at a second location 502 to a second sub-network 505, wherein the second sub-network 505 ver ⁇ connected with a second interface 506, via which access to the wind turbines 101 of the subnet 506 is possible.
- Fig. 6 shows a schematic view of a fifth embodiment ⁇ approximate shape of an industrial network 600 with the mobile computing ⁇ ner 104 as an access device.
- the network 600 the wind turbines 101 of the first subnetwork 503 in FIG. 5.
- Figure 6 shows a local access A to the second subnet 503 of network devices 101 via the local interface 504.
- a geographic distance DA between the first subnet 503 and the mobile computer 104 is several centimeters to several hundred meters.
- a geographical ⁇ phical distance DC between the first sub-network 503 and the server machine is 103 several kilometers to several thousand kilometers.
- the access A to the first subnetwork 503 takes place without routing via the server computer 103, so that latency in data transmission is shortened and a packet loss (packet loss) and fluctuations (jitter) are reduced. Overall, therefore, the quality of connection is verbes ⁇ sert.
- the server computer is connected via a connection 601 to the mobile computer 104 and via a connection 602 to the first subnet 503.
- the connections 601, 602 are partially made via the Internet.
- link 601 represents a link formed by authentication
- link 602 may be a secure link, for example, a leased line type.
- the connections 601, 602 may at least partially comprise an electrical, optical or electro ⁇ magnetic line.
- the connection via the interface 504 can also be used as a VPN connection.
- the central server computer 103 is integrated into the network so that a device of the interface 504 is possible.
- the industrial networks 100, 200, 400, 500, 600 described above are preferably arranged so that connection and data transmission within the industrial network have predefined requirements, e.g. a quality of service or
- connection dung quality can be improved compared to a routing via the central STEU ⁇ er overlooked the industrial network.
- the encapsulation of local access by the service personnel U increases the security of the respective industrial network.
- the local access can be limited in time to exclude unnecessary access to the industrial network.
- the present invention was based on wind farms be ⁇ wrote, it is versatile in use, for example, on a pro ⁇ production facilities, other installations (eg electricity, heat, water, oil or gas supply networks), transport networks or communication networks.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Es wird ein Verfahren (300) zum Betreiben eines Industrienetzwerks (100) vorgeschlagen. Das Industrienetzwerk (100) weist mindestens eine Netzwerkeinrichtung (101), die von einer zentralen Steuereinrichtung (103) ansteuerbar ist, und eine lokale Schnittstelle (102) für einen lokalen Zugriff (A) auf die Netzwerkeinrichtung (101) auf. Das Verfahren umfasst: - Übermitteln (301) einer Zugriffsanfrage (Q) für den lokalen Zugriff (A) auf die Netzwerkeinrichtung (101) über die lokale Schnittstelle (A) an die zentrale Steuereinrichtung (103); - Authentifizieren (302) der Zugriffsanfrage (Q) durch die zentrale Steuereinrichtung (103); und - durch die zentrale Steuereinrichtung, Einrichten (304) der lokalen Schnittstelle (102) für den lokalen Zugriff (A) auf die Netzwerkeinrichtung (101) in Abhängigkeit von der Zugriffsanfrage (Q). Ferner wird ein entsprechendes Industrienetzwerk vorgeschlagen. Mit Hilfe des vorgeschlagenen Verfahrens sowie des vorgeschlagenen Industrienetzwerks kann der Zugriff auf die Netzwerkeinrichtung effizienter und verlustfreier gestaltet werden. Ferner kann die Sicherheit des Industrienetzes erhöht werden.
Description
Beschreibung
Verfahren zum Betreiben eines Industrienetzwerks und Indust¬ rienetzwerk
Die vorliegende Erfindung betrifft ein Verfahren zum Betrei¬ ben eines Industrienetzwerks und ein Industrienetzwerk.
Für Wartungsarbeiten in industriellen Anlagen, z.B. Wind- parks, wird üblicherweise eine Remote-Service-Lösung angewen¬ det. Demgemäß loggt sich ein Wartungstechniker in ein Industrienetzwerk (Industrial Control Network) der zu wartenden Anlage ein. Die Zugriffsrechte zu dem Industrienetzwerk werden von einer Steuerzentrale erteilt und überwacht. Das Einloggen des Technikers in das Industrienetzwerk, das Authentifizieren des Zugriffs des Technikers und die Überwachung des Techni¬ kers im Industrienetzwerk erfolgt durch die Steuerzentrale, was mit hohem technischem Aufwand verbunden ist. Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, ein verbessertes Verfahren zum Betreiben eines Netzwerks bereitzustellen.
Demgemäß wird ein Verfahren zum Betreiben eines Industrie- netzwerks vorgeschlagen. Das Industrienetzwerk umfasst mindestens eine Netzwerkeinrichtung, die von einer zentralen Steuereinrichtung ansteuerbar ist. Das Industrienetzwerk umfasst ferner eine lokale Schnittstelle für einen lokalen Zu¬ griff auf die Netzwerkeinrichtung. Der lokale Zugriff auf die Netzwerkeinrichtung kann über die lokale Schnittstelle reali¬ siert werden.
Das Verfahren umfasst folgende Schritte:
Übermitteln einer Zugriffsanfrage für den lokalen Zu- griff auf die Netzwerkeinrichtung über die lokale Schnittstelle an die zentrale Steuereinrichtung;
Authentifizieren der Zugriffsanfrage durch die zentrale Steuereinrichtung; und
Einrichten der lokalen Schnittstelle für den lokalen Zugriff auf die Netzwerkeinrichtung in Abhängigkeit von der Zugriffsanfrage, wobei das Einrichten der lokalen Schnittstelle durch die zentrale Steuereinrichtung erfolgt.
Das Industrienetzwerk betrifft insbesondere jede Art indust¬ rieller Kommunikationsnetze, z.B. eine Produktionsanlage mit Produktionszellen, einen Windpark oder einen Teil hiervon. Beispielsweise ist das Industrienetzwerk ein Betreibernetz- werk eines Stromversorgungsnetzes, und die Netzwerkeinrich¬ tungen sind einzelne Generatoren, z.B. Windturbinen, in diesem Netzwerk. Das Industrienetzwerk kann ferner ein Verkehrsnetz und/oder ein Versorgungsnetz von Ressourcen, z.B. Strom, Öl, Wasser, Erdgas, Lebensmittel oder Wärme, umfassen.
Insbesondere weist das Industrienetzwerk mehrere Netzwerkeinrichtungen auf. Die Netzwerkeinrichtungen des Industrienetzwerks können einzelne Module, z.B. Produktionsmodule, Steuer¬ einheiten oder Feldgeräte, im Straßenverkehr und/oder in ei- nem Versorgungsnetzwerk betreffen. Insbesondere können die Netzwerkeinrichtungen zumindest teilweise automatisiert ar¬ beiten, d.h. sie benötigen für ihren Betrieb keinen oder lediglich einen reduzierten menschlichen Eingriff. Vorzugsweise sind die Netzwerkeinrichtungen zumindest teilweise miteinan- der gekoppelt, so dass ein Transport von Daten, Material,
Produkten und/oder Ressourcen (z.B. Strom oder Energie) von- und zueinander möglich ist.
Das Industrienetzwerk weist mindestens eine zentrale Steuer- einrichtung auf, die die Netzwerkeinrichtungen des Industrienetzwerks zentral steuern kann. Insbesondere ist die zentrale Steuereinrichtung eingerichtet, mit den Netzwerkeinrichtungen zu kommunizieren und/oder zu interagieren, z.B. Daten von den Netzwerkeinrichtungen abzufragen und/oder Daten oder Befehle in die Netzwerkeinrichtungen einzugeben.
Insbesondere kann sich das Industrienetzwerk über einen derart dimensionierten Bereich erstrecken, dass geographische
Entfernungen zwischen den einzelnen Netzwerkeinrichtungen bis zu mehreren zehntausend Kilometern betragen. Das Industrienetzwerk kann eine Hauptleitung (Backbone-Leitung) aufweisen, von der mehrere Zweigverbindungen zu den einzelnen Netzwerk- einrichtungen ausgehen und sie mit dem Industrienetzwerk koppeln. Denkbar sind auch andere Netzwerktopologien, wie Bus-, Ring- oder Stern-Topologien . Alternativ oder zusätzlich kann das Netzwerk mit einem Wide Area Network (WAN) und/oder dem Internet gekoppelt sein.
Für Wartungsarbeiten an einer oder mehreren Netzwerkeinrichtungen kann einem Service-Personal (z.B. Techniker, Operator, Administrator oder Mechaniker) ein Zugriff auf die entsprechende Netzwerkeinrichtung gestattet werden. Es ist vorteil- haft, das Industrienetzwerk von einem Zugriff durch Unbefugte zu schützen. Vorzugsweise ist das Industrienetzwerk ein geschlossenes, privates Kommunikationsnetz. Zu diesem Zweck kann das Industrienetzwerk zumindest teilweise als ein Corpo¬ rate Network ausgestaltet sein, das räumlich entfernte Ein- zelnetze eines Unternehmens miteinander vernetzt und bei¬ spielsweise über eine gemeinsame Firewall an das Internet an¬ bindet. Der Zugriff zum Industrienetzwerk kann verschlüsselt sein und/oder eine Authentifizierung erfordern. Die zentrale Steuereinrichtung kann ferner zum Überwachen von Zugriffen auf die Netzwerkeinrichtungen eingerichtet sein. Das Service- Personal kann beispielsweise von der zentralen Steuereinrichtung einen lokalen Zugriff auf die Netzwerkeinrichtung anfordern . Insbesondere erfolgt der lokale Zugriff auf die Netzwerkein¬ richtung über die und/oder mit Hilfe der lokalen Schnittstelle, die einer oder mehreren Netzwerkeinrichtungen zugeordnet und mit diesen verbunden ist. Die lokale Schnittstelle kann über ein Local Area Network (LAN) , Wireless LAN, Mobilfunk und/oder Kabelverbindungen mit der zugeordneten Netzwerkeinrichtung verbunden sein. Die lokale Schnittstelle kann eine physische und/oder virtuelle Schnittstelle, z.B. eine Maschi¬ nenschnittstelle, eine Hardwareschnittstelle, eine Netzwerk-
schnittsteile, eine Datenschnittstelle, eine Softwareschnitt¬ stelle oder eine Kombination hiervon, umfassen.
Die physische Schnittstelle stellt einen physischen Anschluss zur Verfügung, an den eine Zugriffseinrichtung, z.B. ein Computer, ein Laptop oder ein sonstiges rechenfähiges Gerät, an¬ geschlossen werden kann, um auf die Netzwerkeinrichtung zuzugreifen. Es ist denkbar, dass die lokale Schnittstelle eine Zugriffseinrichtung bereitstellt oder dass die Zugriffsein- richtung in die lokale Schnittstelle integriert vorliegt.
Ferner kann die physische Schnittstelle einen Netzwerkan- schluss umfassen, über den Komponenten des Industrienetzwerks mit der Netzwerkeinrichtung verbunden werden können. Insbe- sondere kann die physische Schnittstelle ferner zum Konver¬ tieren zwischen verschiedenen Kommunikationsprotokollen eingerichtet sein, um eine Kommunikation zwischen der Netzwerkeinrichtung und unterschiedlichen Netzwerkkomponenten
und/oder der Zugriffseinrichtung zu ermöglichen.
Eine virtuelle Schnittstelle kann eine Schnittstelle zwischen Programmen, Applikationen und/oder Betriebssystemen sein, um eine Interaktion zwischen den Programmen, Applikationen und/oder Betriebssystemen der Netzwerkeinrichtung, der Zu- griffseinrichtung und/oder Netzwerkkomponenten zu ermöglichen .
Insbesondere ermöglicht die lokale Schnittstelle eine Daten¬ abfrage von der zugeordneten Netzwerkeinrichtung und/oder ei- ne Eingabe von Daten oder Befehlen in die zugeordnete Netzwerkeinrichtung. Die lokale Schnittstelle kann mit einer Re¬ chenleistung ausgestattet sein, um z.B. Daten zu verarbeiten und die zugeordnete Netzwerkeinrichtung zu betreiben. Ferner kann die lokale Schnittstelle über eine Speicherkapazität verfügen, um z.B. Zugriffskonfigurationen, Applikationen oder Benutzerspezifikationen zu speichern. Die lokale Schnittstelle kann als ein Zugriffspunkt (Access Point) angesehen wer¬ den .
Die Zugriffsanfrage für den lokalen Zugriff auf die Netzwerkeinrichtung gibt beispielsweise die Netzwerkeinrichtung, auf die zugegriffen werden soll, und/oder eine Identität des Ser- vice-Personals an, das den lokalen Zugriff auf die Netzwerkeinrichtung anfordert.
Die Zugriffsanfrage kann beispielsweise über die Leitung des Industrienetzwerks, über eine VPN-Verbindung oder über Mobil- funk an die zentrale Steuereinrichtung übermittelt werden. Die zentrale Steuereinrichtung empfängt die Zugriffsanfrage und wertet diese aus. Die Authentifizierung der Zugriffsanfrage kann von den Ergebnissen der Auswertung der Zugriffsanfrage durch die zentrale Steuereinrichtung abhängen. Falls die Zugriffsanfrage authentifiziert ist, kann die zentrale
Steuereinrichtung die lokale Schnittstelle derart einrichten, dass der lokale Zugriff auf die Netzwerkeinrichtung gemäß der Zugriffsanfrage ermöglicht wird. Vorzugsweise wird eine Vertrauensstufe der Zugriffsanfrage, insbesondere eines die Zugriffsanfrage erstellenden Service- Personals, bestimmt. Dementsprechend kann das Einrichten der lokalen Schnittstelle gemäß der von der zentralen Steuereinrichtung bestimmten Vertrauensstufe der Zugriffsanfrage er- folgen.
Durch das Einrichten der lokalen Schnittstelle für den lokalen Zugriff wird die lokale Schnittstelle aktiviert und für den lokalen Zugriff auf die Netzwerkeinrichtung durch das Service-Personal bereitgestellt. Dabei werden insbesondere die entsprechenden Zugriffsrechte berücksichtigt. Das Ein¬ richten der lokalen Schnittstelle kann ein Aktivieren von physischen Anschlüssen, Starten einer Zugriffseinrichtung oder Herstellen einer Verbindung zwischen der lokalen
Schnittstelle und/oder der Netzwerkeinrichtung umfassen. Das Einrichten der lokalen Schnittstelle kann ferner ein Konfigurieren einer virtuellen Schnittstelle an der lokalen Schnittstelle umfassen. Hierbei kann eine von der zentralen Steuer-
einrichtung erstellte Zugriffskonfiguration, z.B. ein Betriebssystem oder ein Satz von Applikationen, an der lokalen Schnittstelle instanziiert werden. Ferner können virtuelle Sensoren, z.B. zur Datenauswertung oder Datenaggregation, an der Netzwerkeinrichtung instanziiert werden. Es sei angemerkt, dass das Instanziieren von Betriebssystemen, Applikationen oder virtuellen Sensoren ein Implementieren, Installieren, Starten, Ausrollen und/oder Aktivieren derselben umfassen kann.
Vorzugsweise erfolgt die Einrichtung der lokalen Schnittstel¬ le isoliert und derart gekapselt, dass die Schnittstelle rückstandsfrei aufgelöst werden kann. Das Instanziieren umfasst zum Beispiel die jeweils benötigten Konfigurationen, Applikationen, und Kommunikationsverbindungen, die durch virtuelle Komponenten realisiert sind. Somit ist solch ein Zugriff für sich gekapselt. Wenn mehrere unterschiedliche Zugriffe zeitgleich aktiv sind, beeinflussen die- se sich somit nicht.
Die Applikationen können z.B. zur Datenabfrage und -eingäbe oder zur Steuerung der Netzwerkeinrichtung verwendet werden. Ferner können die Applikationen einen Terminal oder ein War- tungsprogramm zum Interagieren mit der Netzwerkeinrichtung umfassen .
Es ist denkbar, dass Daten (z.B. Applikationen, Programme oder Betriebssysteme) zum Einrichten der lokalen Schnittstel- le an der lokalen Schnittstelle oder an der Zugriffseinrich- tung gespeichert oder installiert vorliegen.
Beim Einrichten der lokalen Schnittstelle kann ein virtuelles Netzwerk erzeugt und/oder virtuelle Netzwerkfunktionen für dieses virtuelle Netzwerk instanziiert werden. Dabei können unterschiedliche Netzwerkkonfigurationstechnologien, z.B. VPN, Bildung von „Tunneln" zwischen Netzwerkkomponenten oder Software-Defined-Networking (SDN) , angewendet werden.
Das virtuelle Netzwerk ist vorzugsweise auf die Zugriffsan¬ frage angepasst. Ferner ist das virtuelle Netzwerk z.B. ein virtuelles Overlay-Netz, das auf ein bestehendes Netz, z.B. Industrienetzwerk, ein WAN oder das Internet, aufbaut, d.h. Teile von Strukturen dieses bestehenden Netzes benutzt, um Daten zu transportieren.
Die virtuellen Netzwerkfunktionen können z.B. eine Steuerung des Datenverkehrs (traffic shaping) , eine Firewall, eine Ver¬ mittlung (switching) , eine Datenverkehrslenkung (routing) oder eine Überwachung der Anschlüsse (ports monitoring) umfassen. Insbesondere kann eine virtuelle Firewall an der lo¬ kalen Schnittstelle instanziiert werden, um den lokalen Zu- griff einzuschränken und/oder zu filtern. Vorzugsweise ist die virtuelle Firewall eine industrielle Firewall speziell zum Schutz von Industrienetzwerken.
Die lokale Schnittstelle kann insbesondere derart eingerich- tet sein, dass der lokale Zugriff auf die Netzwerkeinrichtung bestimmten Verbindungsanforderungen, z.B. Vorschriften gemäß Quality of Service (QoS) für das Industrienetzwerk, genügt. Die QoS kann Mindestanforderungen an einer Qualität und/oder einer Güte der Verbindung sowie Datenübertragung in einem In- dustrienetzwerk vorgeben. Beispielsweise betrifft die QoS ei¬ ne Geschwindigkeit, Latenzzeiten, einen Jitter oder eine Zuverlässigkeit der Verbindung und/oder Datenübertragung. Ferner kann die QoS eine Häufigkeit von Störungen, Übertragungs¬ fehlern, Verbindungsfehlern und/oder Verbindungsproblemen be- treffen.
Gemäß einer Ausführungsform ist der lokale Zugriff auf die Netzwerkeinrichtung zeitlich beschränkt. Die Zugriffsanfrage kann eine zu erwartende Dauer des lokalen Zugriffs auf die Netzwerkeinrichtung enthalten. Die Zugriffsdauer kann von der zentralen Steuereinrichtung festgelegt, mit der Zugriffsanfrage angefordert, oder allgemein festge-
legt werden. Ferner kann an der zentralen Steuereinrichtung oder an der lokalen Schnittstelle eine vordefinierte Zu¬ griffsdauer gespeichert sein, und die Zugriffsdauer automatisch festgelegt werden. Eine Angabe der Zugriffsdauer kann einen Anfangszeitpunkt, einen Endzeitpunkt und/oder ein Zeit¬ intervall des lokalen Zugriffs auf die Netzwerkeinrichtung umfassen .
Durch die zeitliche Beschränkung des lokalen Zugriffs kann ein unerwünschter Zugriff auf das Industrienetzwerk nach dem Ablauf der Zugriffsdauer ausgeschlossen werden. Damit kann die Sicherheit des Industrienetzwerks erhöht werden.
Gemäß einer weiteren Ausführungsform umfasst das Verfahren ferner Deaktivieren der lokalen Schnittstelle, nachdem der lokale Zugriff auf die Netzwerkeinrichtung beendet ist.
Dadurch wird ein unnötiges Fortbestehen einer Zugriffsmöglichkeit auf die Netzwerkeinrichtung und/oder das Industrie¬ netzwerk nach Beendigung des lokalen Zugriffs verhindert und ein Sicherheitsrisiko beseitigt.
Das Deaktivieren der lokalen Schnittstelle kann insbesondere ein Deaktivieren von Komponenten, die an der lokalen Schnittstelle instanziiert oder erzeugt sind, umfassen. Die Kompo- nenten betreffen z.B. das virtuelle Netzwerk, die virtuellen Netzwerkfunktionen, die Applikationen und/oder die Betriebssysteme. Ein Deaktivieren kann ein Schließen, Löschen, Deinstallieren, Stoppen, Abbrechen, Rückabwickeln, Entfernen oder Beseitigen der entsprechenden Komponente umfassen.
Gemäß einer weiteren Ausführungsform erfolgt der lokale Zugriff auf die Netzwerkeinrichtung mit Hilfe einer Zugriffseinrichtung, die mit der lokalen Schnittstelle gekoppelt ist. Ferner wird an der Zugriffseinrichtung ein Zugriffsdatensatz zum Freischalten des lokalen Zugriffs auf die Netzwerkeinrichtung über die lokale Schnittstelle bereitgestellt, falls die Zugriffsanfrage durch die zentrale Steuereinrichtung au¬ thentifiziert ist.
Vorzugsweise enthält der Zugriffsdatensatz Informationen über die Vertrauensstufe des lokalen Zugriffs und/oder des Ser¬ vice-Personals, dem der Zugriffsdatensatz zugeordnet ist. Der Zugriffsdatensatz kann personalisiert sein, d.h. einem die Zugriffsanfrage erstellenden Service-Personal angepasst und/oder nur für dieses Service-Personal gültig sein. Der lo¬ kale Zugriff auf die Netzwerkeinrichtung kann insbesondere durch ein Erstellen eines Kontos (Access Account) , mit dem sich das Service-Personal in das Industrienetzwerk einwählen kann, bereitgestellt sein. Entsprechend kann der Zugriffsda¬ tensatz Kontodaten, z.B. eine Benutzeridentifikation und einen Schlüssel, zum Einwählen in die Netzwerkeinrichtung und/oder das Industrienetzwerk enthalten.
Der Zugriffsdatensatz kann von der zentralen Steuereinrichtung in Abhängigkeit von Ergebnissen der Auswertung der Zugriffsanfrage erstellt werden. Der Zugriffsdatensatz kann an der zentralen Steuereinrichtung vorgespeichert vorliegen und nach einer Authentifizierung der Zugriffsanfrage ausgegeben werden. Der Zugriffsdatensatz kann eine Zeitdauer umfassen, innerhalb welcher der Zugriff auf die Netzwerkeinrichtung gewährt ist. Vorzugsweise erfolgt die Übertragung des Zugriffs¬ datensatzes verschlüsselt.
Es ist ferner denkbar, dass das Einrichten der lokalen
Schnittstelle für den lokalen Zugriff auf die Netzwerkeinrichtung dann erfolgt, wenn das Service-Personal den Zu¬ griffsdatensatz in die lokale Schnittstelle oder in eine Zu- griffseinrichtung, die mit der lokalen Schnittstelle verbunden ist, eingibt.
Gemäß einer weiteren Ausführungsform umfasst das Verfahren ferner ein Erzeugen eines virtuellen Netzwerks. Das virtuelle Netzwerk des Industrienetzwerks ist dann Teil des Industrie¬ netzwerks und umfasst mindestens die Netzwerkeinrichtung, auf die die Zugriffsanfrage gerichtet ist. Dabei ist die zentrale Steuereinrichtung aus dem virtuellen Netzwerk ausgegliedert,
also vorzugsweise nicht Teil des von der Zugriffseinrichtung verwendeten virtuellen Netzwerks für den lokalen Zugriff auf die mindestens eine Netzwerkwerkeinrichtung. Als virtuelles Netzwerk kommen zu Beispiel Overlay-Netze in- frage . Denkbar sind protokollbasierte Netze, wie VLANS, VPN, VPLS oder dergleichen und Software-definierte Netzte (SDN) .
Dadurch kann ein gekapseltes Netzwerk erzeugt werden, in dem der Zugriff auf die lokale Schnittstelle und die zugeordnete Netzwerkeinrichtung eingeschränkt ist. Ein Sicherheitsrisiko für das Industrienetzwerk kann damit gesenkt werden.
Ferner erfolgt ein Datentransport zwischen dem Service- Personal und der Netzwerkeinrichtung nicht über die zentrale Steuereinrichtung, so dass eine verbesserte Verbindungsgüte aufgrund geringerer Latenzzeiten oder Schwankungen erzielt werden kann. Gemäß einer weiteren Ausführungsform umfasst das Verfahren ferner ein Übermitteln von Zugriffsspezifikationen der Zugriffsanfrage an die zentrale Steuereinrichtung. Dabei umfas¬ sen die Zugriffsspezifikationen eine Kennung einer Zugriffseinrichtung, eine Identität eines Bedieners, eine Verbin- dungsart des lokalen Zugriffs, Verbindungsanforderungen des lokalen Zugriffs, eine Zugriffsdauer und/oder für den lokalen Zugriff vorgesehene Ressourcen. Das Verfahren umfasst weiterhin das Einrichten der Schnittstelle für den lokalen Zugriff auf die Netzwerkeinrichtung gemäß den Zugriffsspezifikatio- nen.
Insbesondere können die Zugriffsspezifikationen eine Bandbreite und/oder eine Rechenleistung für den lokalen Zugriff auf die Netzwerkeinrichtung festlegen. Für den Fall, dass gleichzeitig mehrere lokale Zugriffe auf die Netzwerkeinrich¬ tung stattfinden, kann es vorteilhaft sein, eine Aufteilung von Ressourcen, insbesondere der Bandbreite und der Rechenleistung an der lokalen Schnittstelle und Netzwerkeinrich-
tung, z.B. mit Hilfe von Priorisierung von Verbindungen, festzulegen und zu verwalten.
Die Verbindungsanforderungen können insbesondere durch Nor- men, z.B. Quality of Service oder Dienstgüte eines Kommunika¬ tionsdienstes, bestimmt sein. Die Verbindungsanforderungen können vorgegebenen Standards, z.B. IEEE 802.1p, entsprechen.
Gemäß einer weiteren Ausführungsform umfasst das Einrichten der lokalen Schnittstelle ein Instanziieren von Applikationen an der lokalen Schnittstelle.
Die Applikationen umfassen beispielsweise Anwendungen, die bei dem lokalen Zugriff auf die Netzwerkeinrichtung verwendet werden. Ferner können die Applikationen virtuelle Sensoren umfassen, die an der Netzwerkeinrichtung instanziiert werden. Ferner können die Applikationen an der Zugriffseinrichtung, die mit der lokalen Schnittstelle verbunden ist, instanziiert werden .
Gemäß einer weiteren Ausführungsform erfolgt das Einrichten der lokalen Schnittstelle mit Hilfe von Vorlagen, die an der zentralen Steuereinrichtung gespeichert vorliegen. Die Vorlagen können Komponenten oder Bestandteile von Daten oder Informationen umfassen, die für das Einrichten der lokalen Schnittstelle für den Zugriff auf die Netzwerkeinrichtung relevant sind. Beispielsweise umfassen die Vorlagen Informa¬ tionen über die Vertrauensstufe, Zugriffsart, Zugriffsdauer, Verbindungsanforderungen, Zugriffseinrichtung und/oder Ressourcenverteilung. Insbesondere können die Vorlagen zumindest teilweise Zugriffsspezifikationen für den Zugriff auf die Netzwerkeinrichtung enthalten. Gemäß einer weiteren Ausführungsform erfolgt das Übermitteln der Zugriffsanfrage an die zentrale Steuereinrichtung ver¬ schlüsselt. Zusätzlich oder alternativ erfolgt das Einrichten
der lokalen Schnittstelle durch die zentrale Steuereinrichtung verschlüsselt.
Dadurch kann die Sicherheit des Industrienetzwerks weiter er- höht sein. Insbesondere kann ein Angriff von außen besser abgewehrt werden.
Gemäß einer weiteren Ausführungsform erfolgt der lokale Zugriff auf die Netzwerkeinrichtung zum Warten, Überprüfen, Überwachen, Modifizieren, Betreiben, Reparieren, Anschalten, Abschalten, Ansteuern der Netzwerkeinrichtung und/oder zum lokalen Abrufen von Daten von der Netzwerkeinrichtung.
Das Service-Personal kann den lokalen Zugriff zu einem der oben genannten Zwecke durchführen. Insbesondere werden technische Arbeiten an der zugeordneten Netzwerkeinrichtung ausgeführt .
Gemäß einer weiteren Ausführungsform erfolgt der lokale Zu- griff auf die Netzwerkeinrichtung über ein Local Area Network (LAN) und/oder mit Hilfe von Wireless-LAN, Bluetooth, Mobilfunk-Technologien, LTE-basierten Verbindungen und/oder kabelgebunden . Dadurch kann eine Verbindungsgüte beim lokalen Zugriff auf die Netzwerkeinrichtung verbessert werden. Zusätzlich kann eine kurze Datenübertragungsstrecke die Verbindungsgüte wei¬ ter verbessern. Gemäß einer weiteren Ausführungsform umfasst das Industrienetzwerk mehrere Netzwerkeinrichtungen. Dabei umfasst die Zugriffsanfrage einen lokalen Zugriff auf ein Unternetz von mehreren Netzwerkeinrichtungen des Industrienetzwerks, wobei der lokale Zugriff über die lokale Schnittstelle erfolgt.
Die oben beschriebenen Merkmale des Verfahrens können auch auf einen lokalen Zugriff auf ein Unternetz des Industrienetzwerks angewendet werden. Das Unternetz von Netzwerkein-
richtungen kann ein Verband von geographisch nahe beieinander liegenden Netzwerkeinrichtungen sein. Insbesondere kann das Unternetz einem Standort von mehreren Standorten des Industrienetzwerks entsprechen. Ein Unternetz kann insbesondere durch die Funktionalitäten der Netzwerkeinrichtungen, beispielsweise Controller für Feldgeräte in Automatisierungsnet¬ zen, festgelegt sein.
Das Unternetz kann eine definierte Teilmenge von Netzwerkein- richtungen des Industrienetzwerks umfassen. Ferner kann das Unternetz in Form eines virtuellen Netzwerks ausgebildet sein. Eine lokale Schnittstelle eines Unternetzes kann mit jeder der Netzwerkeinrichtungen des Unternetzes verbunden sein und einen lokalen Zugriff auf jede der Netzwerkeinrich- tungen ermöglichen.
Gemäß einer weiteren Ausführungsform weist der lokale Zugriff auf die Netzwerkeinrichtung eine geringere Datenübertragungs¬ strecke auf als eine Datenübertragungsstrecke zum Ansteuern der Netzwerkeinrichtung durch die zentrale Steuereinrichtung.
Insbesondere ist eine geographische Entfernung zwischen der Netzwerkeinrichtung und der zentralen Steuereinrichtung größer als eine geographische Entfernung zwischen der Netzwerk- einrichtung und der lokalen Schnittstelle. Eine kürzere Date¬ nübertragungsstrecke kann Latenzzeiten bei der Datenübertra¬ gung verringern und/oder unerwünschte Schwankungen (z.B.
Jitter) reduzieren. Auf diese Weise kann zum Beispiel die Verbindungsgüte verbessert werden. Das Verfahren ermöglicht insbesondere, dass die für eine jeweilige Applikation erfor¬ derlichen Garantien zur Verbindungsgüte realisiert werden können .
Vorzugsweise wird eine lokale Schnittstelle geplant zugewie- sen und es werden entsprechende Ressourcen, beispielsweise einer zugrundeliegenden Netzwerkinfrastruktur, bereitgestellt. Dadurch können bestimmte Verbindungsgüten über den
Zeitraum des Bestehens der lokalen Schnittstelle auch garantiert werden.
Gemäß einem zweiten Aspekt der vorliegenden Erfindung wird ein Industrienetzwerk vorgeschlagen. Das Industrienetzwerk umfasst mindestens eine Netzwerkeinrichtung, die von einer zentralen Steuereinrichtung ansteuerbar ist. Ferner umfasst das Industrienetzwerk eine lokale Schnittstelle für den loka¬ len Zugriff auf die Netzwerkeinrichtung. Das Industrienetz- werk ist zum Ausführen des oben beschriebenen Verfahrens geeignet .
Insbesondere umfasst das Industrienetzwerk mehrere Netzwerk¬ einrichtungen. Sämtliche Merkmale, die oben für das Verfahren zum Betreiben eines Industrienetzwerks vorgeschlagen sind, können auch auf das vorgeschlagene Industrienetzwerk entspre¬ chend angewendet werden.
Gemäß einer Ausführungsform ist das Industrienetzwerk zumin- dest teilweise in Form eines virtuellen persönlichen Netzwerks (Virtual Personal Network, VPN) in einem Netzwerk bereitgestellt .
Insbesondere erfolgt ein Datentransport in dem Industrienetz- werk zumindest teilweise über ein Wide Area Network (WAN) oder das Internet, die als ein Übertragungsweg für das In¬ dustrienetzwerk benutzt werden. Zusätzlich oder alternativ kann das Industrienetzwerk eine Hauptleitung (Backbone- Leitung) oder Funkverbindung zum Übertragen von Daten aufwei- sen.
Das vorgeschlagene Verfahren sowie das vorgeschlagene Indust¬ rienetzwerk ermöglichen insbesondere einen lokalen Zugriff auf die Netzwerkeinrichtung mit Unterstützung von industriel- len Dienstgüteanforderungen. Ferner ist ein aufwendiges Routing von Verbindungen über weite geographische Entfernungen nicht erforderlich. Der lokale Zugriff kann temporär bereitgestellt sein. Durch das Deaktivieren des lokalen Zugriffs
können eventuell schadhafte oder mit Sicherheitsrisiken behaftete Verbindungen und/oder Funktionen beseitigt werden. Dadurch kann eine erhöhte Sicherheit für das Industrienetzwerk erreicht werden.
Netzwerkressourcen, zum Beispiel Bandbreite oder Rechenkapa¬ zitäten, können bedarfsorientiert organisiert und angefordert werden. Ebenso kann ein Überwachungsaufwand von Zugriffen auf die Netzwerkeinrichtungen des Industrienetzwerks reduziert werden.
Die jeweilige Einheit, zum Beispiel die Zugriffseinrichtung, die lokale Schnittstelle oder die zentrale Steuereinrichtung, kann hardwaretechnisch und/oder auch softwaretechnisch imple- mentiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil ei¬ ner Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steuerrechner eines Fahrzeuges ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funk¬ tion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.
Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Einrichtung, wie zum Beispiel Elemente des Netzwerks, die Durchführung des wie oben erläuterten Verfahrens veranlasst. Eine jeweilige pro¬ grammgesteuerte Einrichtung kann sowohl Software- wie auch hardwarebasiert sein. Denkbar ist zum Beispiel eine Implemen- tierung der Zugriffseinrichtung als eine herunterladbare oder kurzzeitig installier- oder aktivierbare Zugriffsapplikation auf einem Smartphone .
Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm- Mittel, kann beispielsweise als Speichermedium, wie z.B.
Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel
in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammpro¬ dukt oder dem Computerprogramm-Mittel erfolgen. Die für das vorgeschlagene Verfahren beschriebenen Ausführungsformen und Merkmale gelten für das vorgeschlagene In¬ dustrienetzwerk entsprechend.
Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen.
Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfin¬ dung sind Gegenstand der Unteransprüche sowie der im Folgen¬ den beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungs- formen unter Bezugnahme auf die beigelegten Figuren näher erläutert .
Fig. 1 zeigt eine schematische Ansicht einer ersten Aus¬ führungsform eines Industrienetzwerks mit einer Zu- griffSeinrichtung;
Fig. 2 zeigt eine schematische Ansicht einer zweiten Aus¬ führungsform eines Industrienetzwerks mit der Zu¬ griffSeinrichtung;
Fig. 3 zeigt ein Sequenzdiagramm eines Verfahrens zum Betreiben eines Industrienetzwerks;
Fig. 4 zeigt eine schematische Ansicht einer dritten Aus- führungsform eines Industrienetzwerks mit der Zu¬ griffseinrichtung;
Fig. 5 zeigt eine schematische Ansicht einer vierten Aus¬ führungsform eines Industrienetzwerks mit der Zu¬ griffseinrichtung; und
Fig. 6 zeigt eine schematische Ansicht einer fünften Aus¬ führungsform eines Industrienetzwerks mit der Zu¬ griffseinrichtung .
In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist.
Fig. 1 zeigt eine schematische Ansicht einer ersten Ausfüh¬ rungsform eines Industrienetzwerks 100 mit einer Zugriffsein- richtung 104.
Das Industrienetzwerk 100 umfasst eine Netzwerkeinrichtung 101 und eine lokale Schnittstelle 102. Die lokale Schnitt¬ stelle 102 ist über eine Leitung 105 mit der Netzwerkeinrich- tung 101 verbunden. Die Netzwerkeinrichtung 101 und die lokale Schnittstelle 102 sind über eine jeweilige Leitung 106, 107 mit einer zentralen Steuereinrichtung 103 verbunden. Die lokale Schnittstelle 102 erlaubt einem Service-Personal U, das ein Techniker, ein Bediener, ein Mechaniker oder ein Sys- temadministrator ist, einen lokalen Zugriff A auf die Netzwerkeinrichtung 101.
Die lokale Schnittstelle 102 ist mit einer Zugriffseinrich¬ tung 104 verbunden. Die Zugriffseinrichtung 104 ist mit einer Rechenleistung und einer Speicherkapazität ausgestattet. Die Zugriffseinrichtung 104 ist ein Computer, ein mobiler Rechner oder ein Terminal im Industrienetzwerk 100. Mit Hilfe der Zugriffseinrichtung 104 kann über die lokale Schnittstelle 102 auf die Netzwerkeinrichtung 101 zugegriffen werden. Die Zu- griffseinrichtung 104 ist über eine physische Leitung, z.B. ein Ethernet-Kabel , oder drahtlos, z.B. über W-LAN, oder per Mobilfunk, z.B. über eine LTE-Advanced-Verbindung, mit der lokalen Schnittstelle 102 verbunden.
Das Service-Personal U sendet eine Zugriffsanfrage Q über die Zugriffseinrichtung 104 an die zentrale Steuereinrichtung 103. Die Steuereinrichtung 103 wertet diese Zugriffsanfrage Q aus, authentifiziert die Zugriffsanfrage Q und legt eine Ver¬ trauensstufe des Service-Personals U fest. Ferner erstellt die zentrale Steuereinrichtung 103 eine Zugriffskonfiguration K, gemäß welcher die lokale Schnittstelle 102 für den lokalen Zugriff A auf die Netzwerkeinrichtung 101 durch das Service- Personal U eingerichtet wird.
Die lokale Schnittstelle 102 ist insbesondere mit einer Re¬ chenleistung und einer Speicherkapazität ausgestattet, um die Zugriffskonfiguration K zu speichern und/oder auszuführen. Die Zugriffskonfiguration K wird an die lokale Schnittstelle 102 übermittelt und dort instanziiert . Dabei werden ein Satz von Applikationen an der lokalen Schnittstelle 102, und virtuelle Sensoren zum Erfassen und Verarbeiten von Daten an der Netzwerkeinrichtung 101 installiert und gestartet.
Folglich ist die lokale Schnittstelle 102 für den lokalen Zu¬ griff A auf die Netzwerkeinrichtung 101 eingerichtet. Mit Hilfe der Applikationen und virtuellen Sensoren kann das Service-Personal U mit der Netzwerkeinrichtung 101 interagieren und Daten von ihr abfragen. Ferner kann der lokale Zugriff A auf die Netzwerkeinrichtung 101 zum Warten, Steuern, Betreiben, Bedienen, Reparieren, Modifizieren der Netzwerkeinrichtung 101 oder Abfragen Daten von der Netzwerkeinrichtung 101 erfolgen .
Fig. 2 zeigt eine schematische Ansicht einer zweiten Ausfüh¬ rungsform eines Industrienetzwerks 200 mit der Zugriffsein¬ richtung 104 in Fig. 1. Das Industrienetzwerk 200 weist alle Merkmale und Elemente sowie Einrichtungen des Industrienetzwerks 100 in Fig. 1 auf. Zusätzlich ist die zentrale Steuereinrichtung 103 mit einer Datenbankeinrichtung 201 ausgestattet, an der Vorlagen für
das Einrichten der lokalen Schnittstelle 102 für den lokalen Zugriff A auf die Netzwerkeinrichtung 101 vorgespeichert vorliegen . Die Vorlagen umfassen sowohl vorgefertigte Zugriffskonfigura¬ tionen als auch Komponenten für eine Zugriffskonfiguration. Die Vorlagen umfassen insbesondere Zugriffsspezifikationen, z.B. Verbindungsanforderungen, eine Kennung einer Zugriffseinrichtung, eine Identität oder Vertrauensstufe des Service- Personals U, eine Verbindungsart des lokalen Zugriffs A, eine Zugriffsdauer und/oder Ressourcen, die den lokalen Zugriff A auf die Netzwerkeinrichtung 101 charakterisieren.
Beispielsweise Handelt es sich bei dem Industrienetzwerk um ein Stromversorgungsnetz mit einer Windkraftanlage als Netzwerkeinrichtung 101. Das Service-Personal U, das ein Techni¬ ker des Herstellers der Windkraftanlage 101 ist, fordert von der zentralen Steuereinrichtung 103, die ein zentraler Serverrechner des Betreibers der Windkraftanlage 101 ist, einen Zugriff auf die Steuereinheit der Windkraftanlage 101 für 8 Stunden an, um eine planmäßige Untersuchung durchzuführen. Die Untersuchung betrifft unter anderem eine Laufleistung, einen Verschleiß, Fluktuationen von Kenngrößen (Spannung, Frequenz und Amplitude) und eine korrekte Ansteuerbarkeit . In einem weiteren Beispiel fordert das Service-Personal von dem zentralen Serverrechner den Zugriff auf die Windkraftanlage 101 an, um statistische Daten, z.B. erzeugte elektrische Leistung der letzten 2 Wochen, zu erfassen. Die zentrale Steuereinrichtung 103 erstellt die Zugriffskonfiguration K für den lokalen Zugriff A auf die Netzwerkeinrichtung basierend auf den an der Datenbankeinrichtung 201 gespeicherten Vorlagen. Anschließend wird die Zugriffskonfiguration K an die lokale Schnittstelle 102 übermittelt und dort instanziiert .
Nach erfolgreicher Authentifizierung der Zugriffsanfrage Q erstellt die zentrale Steuereinrichtung 103 einen Zugriffsda-
tensatz T in Form eines Zugriffstokens gemäß der Vertrauens¬ stufe des Service-Personals U. Das Zugriffstoken T enthält eine Benutzerkennung und ein Passwort für das Einwählen in das Industrienetzwerk 200 sowie eine Zugriffsdauer, z.B. 24 Stunden oder 7 Tage, innerhalb welcher der lokale Zugriff A gestattet ist. Die Zugriffsanfrage Q sowie das Zugriffstoken T werden in einer verschlüsselten, vorzugsweise privaten Verbindung, z.B. über das Internet als eine VPN-Verbindung, übermittelt .
Fig. 3 zeigt ein Sequenzdiagramm eines Verfahrens 300 zum Be¬ treiben eines Industrienetzwerks. Insbesondere eignet sich das Verfahren 300 in Fig. 3 zum Betreiben der Industrienetzwerke 100, 200 in Fig. 1 und 2. Ferner eignet sich das in Fig. 3 gezeigte Verfahren 300 zum Betreiben von Industrienetzwerken, die in Fig. 4 bis 6 dargestellt sind und im Fol¬ genden erläutert werden.
In Fig. 3 ist die zentrale Steuereinrichtung 103, die Zu- griffseinrichtung 104 und die lokale Schnittstelle 102 symbo¬ lisch in einer horizontalen Reihe nebeneinander dargestellt. Eine vertikale Zeitachse 310 zeigt einen zeitlichen Ablauf des Verfahrens 300. In einem ersten Schritt 301 wird die Zugriffsanfrage Q von der Zugriffseinrichtung 104 oder dem Service-Personal U an die zentrale Steuereinrichtung 103 übermittelt. Die Zugriffs¬ anfrage Q kann dabei die angeforderten Zugriffsspezifikatio¬ nen S enthalten.
In einem nächsten Schritt 302 wird die Zugriffsanfrage Q von der zentralen Steuereinrichtung 103 authentifiziert. Insbesondere werden die Zugriffsspezifikationen S ausgewertet. Gegebenenfalls werden vorgespeicherte Vorlagen, z.B. an der Da- tenbank 201 in Fig. 2, ermittelt, die der Zugriffsanfrage oder den Zugriffsspezifikationen entsprechen. Optional wird ferner eine Vertrauensstufe des Service-Personals U festge¬ legt .
Nach einer erfolgreichen Authentifizierung der Zugriffsanfrage Q erstellt die zentrale Steuereinrichtung 103 in einem nächsten Schritt 303 die Zugriffskonfiguration K zum Einrich- ten der lokalen Schnittstelle 102 für den lokalen Zugriff A auf die Netzwerkeinrichtung 101. Optional erstellt die zent¬ rale Steuereinrichtung 103 ferner den Zugriffsdatensatz T für das Service-Personal U. Ferner optional erstellt die zentrale Steuereinrichtung 103 an der lokalen Schnittstelle 102 oder an der Zugriffseinrichtung 104 ein Zugriffskonto, mit dem sich das Service-Personal U in die Netzwerkeinrichtung 101 oder das Industrienetzwerk 100, 200 einwählen kann. Die Zugriffseinrichtung ist ein Rechner oder ein Terminal, die mit der lokalen Schnittstelle 102 verbunden oder in diese inte- griert sind.
In einem nächsten Schritt 304 wird die Zugriffskonfiguration K von der zentralen Steuereinrichtung 103 an die lokale
Schnittstelle 102 übermittelt und dort instanziiert . Auf die- se Weise ist die lokale Schnittstelle 102 für einen lokalen Zugriff A auf die Netzwerkeinrichtung 101 eingerichtet. Das Übermitteln der Zugriffskonfiguration K erfolgt verschlüsselt und über eine private Verbindung, z.B. über das Internet als eine VPN-Verbindung .
In einem weiteren Schritt 305 wird der Zugriffstoken T dem Service-Personal U bereitgestellt. Der Zugriffstoken T kann dem Service-Personal direkt, z.B. über Mobilfunk oder eine VPN-Verbindung, mitgeteilt oder an der lokalen Schnittstelle 102 und/oder an der Zugriffseinrichtung 104 bereitgestellt sein. Dabei erfolgt das Übermitteln des Zugriffstoken T verschlüsselt. Ferner optional enthält der Zugriffstoken T Zu¬ griffSkontodaten, z.B. eine Benutzerkennung und ein Passwort, zum Einwählen in die Netzwerkeinrichtung 101 oder das Indust- rienetzwerk 100, 200 unter Verwendung des Zugriffskontos.
In einem weiteren Schritt 306 erfolgt der lokale Zugriff A auf die Netzwerkeinrichtung 101 von der Zugriffseinrichtung
104 aus über die lokale Schnittstelle 102. Der lokale Zugriff A ermöglicht insbesondere Wartungsarbeiten, Service-Dienste oder Datenabfragen an der Netzwerkeinrichtung 101. In einem abschließenden Schritt 307 wird die lokale Schnitt¬ stelle 102 geschlossen und für den lokalen Zugriff A gesperrt. Optional wird ferner der Zugriffsdatensatz T gelöscht und deaktiviert, so dass der Zugriffsdatensatz T nicht mehr gültig ist.
Im Folgenden werden das Industrienetzwerk und das Verfahren anhand von Beispielen von Windkraftanlagen und Windparks veranschaulicht. Die in Fig. 4 bis 6 gezeigten Beispiele weisen sämtliche Merkmale des in Fig. 1 gezeigten Industrienetzwerks 100 und des mit Hilfe von Fig. 1 erläuterten Verfahrens zum Betreiben des Industrienetzwerks 100.
Fig. 4 zeigt eine schematische Ansicht einer dritten Ausfüh¬ rungsform eines Industrienetzwerks 400 mit der Zugriffsein- richtung 104.
Das Industrienetzwerk 400 umfasst einen Windpark mit Windkraftanlagen 101a bis 101c. Die Windkraftanlagen 101a - 101c sind mit einer jeweiligen lokalen Schnittstelle 102a - 102b verbunden, die einen lokalen Zugriff auf die zugeordnete Windkraftanlage 101a - 101c ermöglicht.
Die zentrale Steuereinrichtung 103 ist als ein Server-Rechner mit einer Rechenleistung und Speicherkapazität ausgebildet. Die Zugriffseinrichtung 104 ist ein mobiler Rechner, der mit den lokalen Schnittstellen 102a - 102c verbunden werden kann.
Fig. 4 zeigt einen lokalen Zugriff A auf die Netzwerkeinrichtung 101c von dem mobilen Rechner 104 aus über die lokale Schnittstelle 102c. Von dem mobilen Rechner 104 aus wird eine Zugriffsanfrage Q an den Server-Rechner 103 übermittelt. Der Server-Rechner 103 wertet die Zugriffsanfrage Q aus. Nach er¬ folgreicher Authentifizierung der Zugriffsanfrage Q wird ein
Zugriffsdatensatz T erstellt und an den mobilen Rechner 104 übermittelt. Ferner legt der Server-Rechner 103 die Zugriffs¬ konfiguration K fest, die an die lokale Schnittstelle 102c übermittelt und dort instanziiert wird.
Das Service-Personal U verbindet den mobilen Rechner 104 mit der lokalen Schnittstelle 102c und wählt sich mit dem Zu¬ griffsdatensatz T auf den mobilen Rechner 104 in das Industrienetzwerk 400 ein. An dem mobilen Rechner werden ein Be- triebssystem und verschiedene Applikationen gestartet, die von der Zugriffskonfiguration K vorgegeben und für den lokalen Zugriff erforderlich sind. Ferner wird ein virtueller Sensor zum Erfassen von Leistungskennlinien an der Windkraftanlage 101c instanziiert.
Die Zugriffskonfiguration K ist insbesondere so ausgestaltet, dass der lokale Zugriff unter Verwendung des Zugriffsdatensatzes T auf die lokale Schnittstelle 102c und die zugeordne¬ te Windkraftanlage 101c beschränkt ist. Zu diesem Zweck wird ein virtuelles Netzwerk 401 erzeugt, das nur einen Teil des Industrienetzwerks 400 umfasst und einen Zugriff auf weitere Netzwerkeinrichtungen 101a, 101b durch das Service-Personal verhindert . Ferner werden an der lokalen Schnittstelle virtuelle Netzwerkfunktionen für das virtuelle Netzwerk 401 instanziiert. Zum Einrichten des virtuellen Netzwerks 401 werden Netzwerkkonfigurationstechnologien wie VPN, Bildung von „Tunneln" zwischen Netzwerkkomponenten und SDN angewendet. Eine VPN- basierte Verbindung erfolgt über ein WAN oder das Internet, ohne für Unbefugte zugänglich zu sein. Der Tunnel erlaubt zwei oder mehreren Teilnehmern des Industrienetzes, über eine Verbindung (z.B. Internet), die ein anderes Kommunikations¬ protokoll verwendet als das Industrienetz, miteinander zu kommunizieren. Die SDN-Technologie ermöglicht eine software¬ basierte Konfiguration und Strukturierung des Industrienetzwerks, insbesondere von virtuellen Netzwerken innerhalb des Industrienetzwerks, durch die zentrale Steuereinrichtung.
Die virtuellen Netzwerkfunktionen umfassen eine gezielte Steuerung des Datenverkehrs zwischen dem mobilen Rechner 104 und der Windkraftanlage 101a, eine Einschränkung des Daten- Verkehrs zwischen dem mobilen Rechner 104 und sonstigen Windkraftanlagen 101b, 101c des Industrienetzwerks 400 und eine Sperrung der sonstigen Anschlüsse zum Verhindern von unbefugten Zugriffen auf die Netzwerkeinrichtungen 101a - 101c oder auf das Industrienetzwerk 400. Ferner wird eine virtuelle in- dustrielle Firewall zwischen dem Internet und dem Industrie¬ netzwerk 400 sowie dem virtuelle Netzwerk 401 instanziiert , um einen unbefugten Zugriff aus dem Internet zu verhindern.
Fig. 5 zeigt eine schematische Ansicht einer vierten Ausfüh- rungsform eines Industrienetzwerks 500 mit dem mobilen Rech¬ ner 104 als Zugriffseinrichtung .
Das Industrienetzwerk 500 umfasst mehrere Windkraftanlagen 101 als Netzwerkeinrichtungen. In Fig. 5 sind die Windkraft- anlagen 101 an zwei Standorten 501, 502 gezeigt. Die Wind¬ kraftanlagen 101 an einem ersten Standort 501 sind zu einem ersten Unternetz 503 zusammengefasst . Das erste Unternetz 503 ist mit einer ersten Schnittstelle 504 verbunden, die einen Zugriff auf das erste Unternetz 503 sowie auf die Netzwerk- einrichtungen 101 des ersten Unternetzes 503 ermöglicht. Ana¬ log sind die Windkraftanlagen 101 an einem zweiten Standort 502 zu einem zweiten Unternetz 505 zusammengefasst , wobei das zweite Unternetz 505 mit einer zweiten Schnittstelle 506 ver¬ bunden ist, über die ein Zugriff auf die Windkraftanlagen 101 des Unternetzes 506 möglich ist.
Zum Einrichten der Unternetze 503, 505 innerhalb des Indust¬ rienetzwerks 500 werden insbesondere die Netzwerkkonfigurati¬ onstechnologien VPN, Tunnel und SDN angewendet.
Fig. 6 zeigt eine schematische Ansicht einer fünften Ausfüh¬ rungsform eines Industrienetzwerkes 600 mit dem mobilen Rech¬ ner 104 als Zugriffseinrichtung . Insbesondere umfasst das In-
dustrienetzwerk 600 die Windkraftanlagen 101 des ersten Unternetzes 503 in Fig. 5.
Fig. 6 zeigt einen lokalen Zugriff A auf das zweite Unternetz 503 von Netzwerkeinrichtungen 101 über die lokale Schnittstelle 504. Eine geographische Entfernung DA zwischen dem ersten Unternetz 503 und dem mobilen Rechner 104 beträgt einige Zentimeter bis zu mehreren Hundert Metern. Eine geogra¬ phische Entfernung DC zwischen dem ersten Unternetz 503 und dem Server-Rechner 103 beträgt einige Kilometer bis zu einigen Tausend Kilometern. Der Zugriff A auf das erste Unternetz 503 erfolgt ohne ein Routing über den Server-Rechner 103, so dass Latenzzeiten bei Datenübertragung verkürzt und ein Paketverlust (paket loss) sowie Fluktuationen (jitter) verrin- gert sind. Insgesamt wird also die Verbindungsgüte verbes¬ sert .
Der Server-Rechner ist über eine Verbindung 601 mit dem mobilen Rechner 104 und über eine Verbindung 602 mit dem ersten Unternetz 503 verbunden. Die Verbindungen 601, 602 sind dabei teilweise über das Internet hergestellt. Insbesondere stellt die Verbindung 601 eine durch eine Authentifizierung gebildete Kopplung dar, und die Verbindung 602 kann eine geschützte Verbindung, zum Beispiel in der Art einer Standleitung, sein. Alternativ oder zusätzlich können die Verbindungen 601, 602 zumindest teilweise eine elektrische, optische oder elektro¬ magnetische Leitung umfassen. Auch die Verbindung über die Schnittstelle 504 kann als VPN-Verbindung ist möglich. Der zentrale Server-Rechner 103 ist in das Netzwerk so eingebun- den, dass eine Einrichtung der Schnittstelle 504 möglich ist.
Die oben beschriebenen Industrienetzwerke 100, 200, 400, 500, 600 sind vorzugsweise so eingerichtet, dass eine Verbindung und Datenübertragung innerhalb des Industrienetzwerks vorde- finierten Anforderungen, z.B. einer Quality of Service oder
Normen wie IEEE 802.1p, genügen. Durch den direkten und lokalen Zugriff auf die Netzwerkeinrichtungen kann die Verbin-
dungsqualität gegenüber einem Routing über die zentrale Steu¬ ereinrichtung des Industrienetzwerks verbessert werden.
Die Kapselung des lokalen Zugriffs durch das Service-Personal U erhöht die Sicherheit des jeweiligen Industrienetzwerks. Zudem kann der lokale Zugriff zeitlich beschränkt werden, um unnötige Zugriffsmöglichkeiten auf das Industrienetzwerk auszuschließen . Obwohl die vorliegende Erfindung anhand von Windparks be¬ schrieben wurde, ist sie vielfältig anwendbar, z.B. auf Pro¬ duktionsanlagen, sonstige Versorgungsnetze (z.B. Strom-, Wärme-, Wasser-, Öl- oder Gasversorgungsnetze) , Verkehrsnetze oder Kommunikationsnetze.
Bezugs zeichenliste
100 Industrienetzwerk
101, 101a 101c Netzwerkeinrichtung
102, 102a 102c lokale Schnittstelle
103 zentrale Steuereinrichtung
104 Zugriffseinrichtung
105 107 Verbindung
200 Industrienetzwerk
201 Datenbankeinrichtung
300 Verfahren
301 307 Verfahrensschritte
400 Industrienetzwerk
401 virtuelles Netzwerk
500 Industrienetzwerk
501, 502 Standort
503, 505 Unternetz
504, 506 Schnittstelle
600 Industrienetzwerk
601, 602 Verbindung
A lokaler Zugriff
DA, DC Entfernung
K Zugriffskonfiguration
S Zugriffsspezifikationen
T Zugriffsdatensatz
Q Zugriffsanfrage
U Service-Personal
Claims
1. Verfahren (300) zum Betreiben eines Industrienetzwerks (100) mit mindestens einer Netzwerkeinrichtung (101), die von einer zentralen Steuereinrichtung (103) ansteuerbar ist, und mit einer lokalen Schnittstelle (102) für einen lokalen Zugriff (A) auf die Netzwerkeinrichtung (101), umfassend:
Übermitteln (301) einer Zugriffsanfrage (Q) für den loka¬ len Zugriff (A) auf die Netzwerkeinrichtung (101) über die lokale Schnittstelle (102) an die zentrale Steuereinrichtung
(103) ;
Authentifizieren (302) der Zugriffsanfrage (Q) durch die zentrale Steuereinrichtung (103); und
durch die zentrale Steuereinrichtung, Einrichten (304) der lokalen Schnittstelle (102) für den lokalen Zugriff (A) auf die Netzwerkeinrichtung (101) in Abhängigkeit von der Zugriffsanfrage (Q) .
2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass der lokale Zugriff (A) auf die Netzwerkeinrichtung (101) zeitlich beschränkt ist.
3. Verfahren nach Anspruch 1 oder 2,
gekennzeichnet durch:
Deaktivieren (307) der lokalen Schnittstelle (102), nachdem der lokale Zugriff (A) auf die Netzwerkeinrichtung (101) beendet ist.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der lokale Zugriff (A) auf die
Netzwerkeinrichtung (101) mit Hilfe einer Zugriffseinrichtung
(104) erfolgt, die mit der lokalen Schnittstelle (102) gekop¬ pelt ist, und
dass an der Zugriffseinrichtung (104) ein Zugriffsdatensatz (T) zum Freischalten des lokalen Zugriffs (A) auf die Netzwerkeinrichtung (101) über die lokale Schnittstelle (102) be¬ reitgestellt wird, falls die Zugriffsanfrage (Q) authentifi¬ ziert ist.
5. Verfahren nach einem der vorhergehenden Ansprüche, gekennzeichnet durch:
Erzeugen eines virtuellen Netzwerks (400), das Teil des Industrienetzwerks (100) ist und mindestens die Netzwerkein¬ richtung (101), auf die die Zugriffsanfrage (Q) gerichtet ist, umfasst,
wobei die zentrale Steuereinrichtung (103) nicht Teil des virtuellen Netzwerks (100) ist.
6. Verfahren nach einem der vorhergehenden Ansprüche, gekennzeichnet durch:
Übermitteln von Zugriffsspezifikationen (S) der Zugriffsanfrage (Q) an die zentrale Steuereinrichtung (103),
wobei die Zugriffsspezifikationen (S) eine Kennung einer
Zugriffseinrichtung, eine Identität eines Service-Personals, eine Verbindungsart des lokalen Zugriffs, Verbindungsanforde¬ rungen des lokalen Zugriffs, eine Zugriffsdauer und/oder für den lokalen Zugriff vorgesehene Ressourcen umfassen; und
Einrichten der lokalen Schnittstelle (102) für den lokalen Zugriff (A) auf die Netzwerkeinrichtung (101) gemäß den Zugriffsspezifikationen (S) .
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Einrichten (304) der lokalen Schnittstelle (102) Instanziieren von Applikationen an der lokalen Schnittstelle (102) umfasst.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Einrichten (304) der lokalen Schnittstelle (102) mit Hilfe von an der zentralen Steuereinrichtung (103) gespeicherten Vorlagen erfolgt.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Übermitteln (301) der Zu¬ griffsanfrage (Q) an die zentrale Steuereinrichtung (103) und/oder das Einrichten (304) der lokalen Schnittstelle (102)
durch die zentrale Steuereinrichtung (103) verschlüsselt er¬ folgt .
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der lokale Zugriff (A) auf die Netzwerkeinrichtung (101) zum Warten, Überprüfen, Überwachen, Modifizieren, Betreiben, Reparieren, Anschalten, Abschalten, Ansteuern der Netzwerkeinrichtung (101) und/oder zum lokalen Abrufen von Daten von der Netzwerkeinrichtung (101) erfolgt.
11. Verfahren nach einem der vorhergehenden Ansprüche, dass der lokale Zugriff (A) auf die Netzwerkeinrichtung (101) über ein Local Area Network und/oder mit Hilfe von Wireless- LAN, Bluetooth, Mobilfunk-Technologien, LTE-basierten Verbin- düngen und/oder kabelgebunden erfolgt.
12. Verfahren nach einem der vorhergehenden Ansprüche, gekennzeichnet dadurch, dass das Industrienetzwerk (100) mehrere Netzwerkeinrichtungen (101) umfasst, und die Zugriffsan- frage (Q) einen lokalen Zugriff (A) auf ein Unternetz (503,
505) von mehreren Netzwerkeinrichtungen (101) über die jeweilige lokale Schnittstelle (504, 506) umfasst.
13. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der lokale Zugriff (A) auf die Netzwerkeinrichtung (101) eine geringere Datenübertragungs¬ strecke (DA) aufweist als eine Datenübertragungsstrecke (DC) zum Ansteuern der Netzwerkeinrichtung (101) durch die zentrale Steuereinrichtung (103).
14. Industrienetzwerk (100) mit mindestens einer Netzwerkeinrichtung (101), die von einer zentralen Steuereinrichtung (103) ansteuerbar ist, und einer lokalen Schnittstelle (102) für den lokalen Zugriff (A) auf die Netzwerkeinrichtung
(101), wobei das Industrienetzwerk (100) zum Ausführen des Verfahrens nach einem der Ansprüche 1 - 13 geeignet ist.
15. Industrienetzwerk nach Anspruch 14,
dadurch gekennzeichnet, dass das Industrienetzwerk (100) zu¬ mindest teilweise in Form eines virtuellen Netzwerks in ei¬ nem Netzwerk (600) bereitgestellt ist.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2015/070506 WO2017041831A1 (de) | 2015-09-08 | 2015-09-08 | Verfahren zum betreiben eines industrienetzwerks und industrienetzwerk |
EP15766084.6A EP3348032A1 (de) | 2015-09-08 | 2015-09-08 | Verfahren zum betreiben eines industrienetzwerks und industrienetzwerk |
US15/758,578 US20180262502A1 (en) | 2015-09-08 | 2015-09-08 | Method for operating an industrial network and industrial network |
CN201580082986.4A CN107925651A (zh) | 2015-09-08 | 2015-09-08 | 用于运行工业网络的方法以及工业网络 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2015/070506 WO2017041831A1 (de) | 2015-09-08 | 2015-09-08 | Verfahren zum betreiben eines industrienetzwerks und industrienetzwerk |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2017041831A1 true WO2017041831A1 (de) | 2017-03-16 |
Family
ID=54147151
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2015/070506 WO2017041831A1 (de) | 2015-09-08 | 2015-09-08 | Verfahren zum betreiben eines industrienetzwerks und industrienetzwerk |
Country Status (4)
Country | Link |
---|---|
US (1) | US20180262502A1 (de) |
EP (1) | EP3348032A1 (de) |
CN (1) | CN107925651A (de) |
WO (1) | WO2017041831A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021516017A (ja) * | 2018-03-14 | 2021-06-24 | サフラン・エアクラフト・エンジンズ | 産業機器のリモートメンテナンスのためのセキュアなリモートメンテナンス装置および方法 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3873034B1 (de) * | 2020-02-28 | 2024-08-28 | Siemens Aktiengesellschaft | Verfahren und system zur erfassung von datenverkehr in einem kommunikationsnetz |
CN114065274A (zh) * | 2020-08-07 | 2022-02-18 | 伊姆西Ip控股有限责任公司 | 用于处理信息的方法、电子设备和计算机程序产品 |
CN112910847B (zh) * | 2021-01-15 | 2023-04-07 | 北京开物数智科技有限公司 | 一种基于切片的工业网络安全实现方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013106688A2 (en) * | 2012-01-13 | 2013-07-18 | Telecommunication Systems, Inc. | Authenticating cloud computing enabling secure services |
WO2013128338A1 (en) * | 2012-03-02 | 2013-09-06 | Koninklijke Philips N.V. | System and method for access decision evaluation for building automation and control systems |
US9038151B1 (en) * | 2012-09-20 | 2015-05-19 | Wiretap Ventures, LLC | Authentication for software defined networks |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7715414B1 (en) * | 2005-08-02 | 2010-05-11 | Sprint Communications Company L.P. | Communication service provider that controls an access interface of an access provider where the access interface is located at a customer premise |
CN101166344B (zh) * | 2006-10-18 | 2011-04-20 | 鼎桥通信技术有限公司 | 恢复数据方式的选取方法及无线网络控制器 |
CN102056321B (zh) * | 2009-10-30 | 2014-07-02 | 中兴通讯股份有限公司 | 一种实现本地接入的方法及系统 |
CN104184735B (zh) * | 2014-08-26 | 2018-03-09 | 国网浙江省电力有限公司 | 电力营销移动应用安全防护系统 |
-
2015
- 2015-09-08 CN CN201580082986.4A patent/CN107925651A/zh active Pending
- 2015-09-08 EP EP15766084.6A patent/EP3348032A1/de not_active Withdrawn
- 2015-09-08 US US15/758,578 patent/US20180262502A1/en not_active Abandoned
- 2015-09-08 WO PCT/EP2015/070506 patent/WO2017041831A1/de active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013106688A2 (en) * | 2012-01-13 | 2013-07-18 | Telecommunication Systems, Inc. | Authenticating cloud computing enabling secure services |
WO2013128338A1 (en) * | 2012-03-02 | 2013-09-06 | Koninklijke Philips N.V. | System and method for access decision evaluation for building automation and control systems |
US9038151B1 (en) * | 2012-09-20 | 2015-05-19 | Wiretap Ventures, LLC | Authentication for software defined networks |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021516017A (ja) * | 2018-03-14 | 2021-06-24 | サフラン・エアクラフト・エンジンズ | 産業機器のリモートメンテナンスのためのセキュアなリモートメンテナンス装置および方法 |
JP7466452B2 (ja) | 2018-03-14 | 2024-04-12 | サフラン・エアクラフト・エンジンズ | 産業機器のリモートメンテナンスのためのセキュアなリモートメンテナンス装置および方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107925651A (zh) | 2018-04-17 |
US20180262502A1 (en) | 2018-09-13 |
EP3348032A1 (de) | 2018-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3287925B1 (de) | Computervorrichtung zum übertragen eines zertifikats auf ein gerät in einer anlage | |
DE102011081804B4 (de) | Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage | |
EP3129888B2 (de) | Übermittlung von daten aus einem gesicherten speicher | |
DE102017109099A1 (de) | Bereitstellen von modul-updates für ein fahrzeugsystem | |
EP2524488B1 (de) | Verfahren zur bedienung, beobachtung und/oder konfiguration eines automatisierungssystems einer technischen anlage | |
WO2011113651A1 (de) | Verfahren und vorrichtung zum bereitstellen mindestens eines sicheren kryptographischen schlüssels | |
WO2017041831A1 (de) | Verfahren zum betreiben eines industrienetzwerks und industrienetzwerk | |
WO2015197758A1 (de) | Datennetzwerk einer einrichtung, insbesondere eines fahrzeugs | |
EP2448182B1 (de) | Verfahren zur Kommunikation in einem Automatisierungssystem | |
EP2929665B1 (de) | Verfahren, anordnung zur verarbeitung von informationen in einem haushaltsgerät sowie haushaltsgerät | |
EP3785459A1 (de) | Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes | |
EP2557733A1 (de) | Konfiguration eines Kommunikationsnetzwerks | |
DE102005015919B4 (de) | Zugriffsverfahren auf Device Server eines Maschinennetzwerkes | |
WO2013041360A1 (de) | System und verfahren zur bereitstellung eines steuerungsprogrammcodes | |
DE102018207515A1 (de) | Verfahren und Zugangsvorrichtung zum Bereitstellen eines datentechnischen Zugangs zu einem Fahrzeugnetz eines spurgebundenen Fahrzeugs | |
DE102020207033B4 (de) | Vorrichtungen und Verfahren zur Einbindung eines Geräts in ein Local Area Network | |
EP4060947B1 (de) | Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage | |
EP2600244A1 (de) | Computer-implementiertes Verfahren zur standortbasierten Kontrolle eines Standorts eines Downloads und/oder eines Betriebs einer Software | |
DE102015225787A1 (de) | Verfahren und Vorrichtung zur Empfängerauthentifikation in einem Fahrzeugnetzwerk | |
WO2017190857A1 (de) | Verfahren und vorrichtung zur absicherung von gerätezugriffen | |
EP4141649A1 (de) | Verfahren zum bereitstellen einer aktualisierung eines computerprogramms an komponenten eines netzwerks und netzwerk | |
EP4247035A1 (de) | Vorrichtung mit einem mobilfunkmodul und einem iot-gerät und verfahren zum betrieb der vorrichtung | |
EP4297373A1 (de) | Betriebsverfahren und netzwerk | |
DE102014226388A1 (de) | Konfigurationsvorrichtung und Verfahren zum Konfigurieren von Feldgeräten | |
DE102016108303B4 (de) | Verfahren zum Herstellen eines Fernzugriffes auf einen Gebäudeinstallationsbus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 15766084 Country of ref document: EP Kind code of ref document: A1 |
|
DPE1 | Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101) | ||
WWE | Wipo information: entry into national phase |
Ref document number: 15758578 Country of ref document: US |
|
NENP | Non-entry into the national phase |
Ref country code: DE |