用于监控工业边缘设备的数据交换的方法和装置转让专利
申请号 : CN202011011510.0
文献号 : CN112637114B
文献日 : 2023-04-11
发明人 : 贡特尔·比克 , 马库斯·赫费勒 , 彼得·科博 , 罗尔夫·施赖 , 阿尔敏·策尔特纳
申请人 : 西门子股份公司
摘要 :
本发明涉及用于监控工业边缘设备的数据交换的方法和装置,还涉及监控工业边缘设备与工业自动化装置和数据云的数据交换的方法和边缘设备,边缘设备具有至工业自动化装置的第一通信接口、至数据云的网络的第二通信接口、交换数据的应用程序和以防火墙或内容过滤器的方式监控待交换的数据的监控装置。为每个应用程序设置:是经由第一通信接口用监控装置监控应用程序的数据交换并经由第二通信接口直接交换数据,还是相反,并由边缘设备的数据流监控器确保应用程序不同时经两个通信接口直接交换数据。以该方法无需在数据安全方面密集检查应用程序或有应用程序的容器,因为借助防火墙功能或内容过滤器在中央且单独管理的监控装置中实现攻击的防护。
权利要求 :
1.一种用于监控工业边缘设备(ED)与工业自动化装置(PLC)以及工业边缘设备与数据云(CL)的数据交换的方法,其中,所述边缘设备(ED)具有连接至所述工业自动化装置(PLC)的第一通信接口(KA1)和连接至所述数据云(CL)的网络的第二通信接口(KA2),其中,所述边缘设备(ED)设有多个用于交换数据的应用程序(AW1、AW2),并且其中,所述边缘设备(ED)配备有至少一个监控装置(KE),所述监控装置用于以防火墙的方式或以内容过滤器的方式监控待交换的所述数据,其特征在于,
为所述应用程序(AW1、AW2)中的每一个设置:是经由所述第一通信接口(KA1)借助于所述监控装置(KE)来监控相应的所述应用程序的数据交换并且经由所述第二通信接口(KA2)直接进行该数据交换,还是相反地经由所述第一通信接口(KA1)直接进行数据交换并且经由所述第二通信接口(KA2)借助于所述监控装置(KE)进行通信,并且借助于所述边缘设备(ED)的数据流监控器(DKE)确保:应用程序不同时经由两个通信接口直接交换数据。
2.根据权利要求1所述的方法,其特征在于,通过用户界面管理:应用程序经由通信接口中的哪一个直接进行通信,并且同一个应用程序经由通信接口中的哪一个借助于所述监控装置(KE)交换数据。
3.根据前述权利要求中任一项所述的方法,其特征在于,通过所述数据流监控器(DKE)根据规则集来决定:将通信接口中的哪一个直接与应用程序链接,并且将通信接口中的哪一个经由所述监控装置(KE)与该应用程序链接。
4.根据权利要求3所述的方法,其特征在于,根据至少一个配属于相应的所述应用程序的证书做出所述决定。
5.根据权利要求4所述的方法,其特征在于,在缺少证书或证书有错的情况下,所述应用程序只能经由所述监控装置(KE)交换数据,和/或所述应用程序仅与通信接口之一链接。
6.根据权利要求3至5中任一项所述的方法,其特征在于,根据所述应用程序的制造商或所述应用程序的类型做出所述决定。
7.根据前述权利要求中任一项所述的方法,其特征在于,将所述监控装置(KE)作为应用程序安装在所述边缘设备(ED)上。
8.根据前述权利要求中任一项所述的方法,其特征在于,将所述应用程序(AW1、AW2)分别作为虚拟执行环境中的相应的应用程序容器安装在所述边缘设备(ED)上,其中,在每个容器中分别安装刚好一个应用程序,并且每个容器在单独的虚拟执行环境中运行。
9.根据权利要求8所述的方法,其特征在于,通过为每个容器将通信接口之一直接引导至该容器并且将相应另一通信接口经由所述监控装置(KE)引导至该容器的方式,监控所述数据交换。
10.根据前述权利要求中任一项所述的方法,其特征在于,通过所述边缘设备(ED)的固件的例程提供所述数据流监控器(DKE),其中,所述例程设计用于操纵或监控所述边缘设备(ED)的通信接口。
11.一种工业边缘设备(ED),具有用于监控边缘设备(ED)与工业自动化装置(PLC)以及所述边缘设备与数据云(CL)的数据交换的装置,其中,所述边缘设备(ED)具有连接至所述工业自动化装置(PLC)的第一通信接口(KA1)和连接至所述数据云(CL)的网络的第二通信接口(KA2),其中,所述边缘设备(ED)设有多个用于消耗和/或提供数据并且通过消耗和/或提供数据来交换数据的应用程序(AW1、AW2),并且其中,所述边缘设备(ED)配备有至少一个监控装置,所述监控装置用于以防火墙的方式或以内容过滤器的方式监控待交换的所述数据,其特征在于,
所述边缘设备(ED)配备有数据流监控器,其中,所述数据流监控器(DKE)设计用于使应用程序与通信接口之一进行直接的数据交换并且经由所述监控装置(KE)与通信接口(KA1、KA2)中的相应另一个进行数据交换,并且所述数据流监控器(DKE)设计用于使得应用程序(AW1、AW2)不同时经由两个通信接口(KA1、KA2)直接交换数据。
说明书 :
用于监控工业边缘设备的数据交换的方法和装置
技术领域
[0001] 本发明涉及一种用于监控工业边缘设备与工业自动化装置以及与数据云的数据交换的方法,还涉及一种工业边缘设备,其具有用于监控边缘设备与工业自动化设备以及与数据云的数据交换的装置。
背景技术
[0002] 工业自动化装置、例如用于离散货品的生产设备或过程技术设备通常由大量计算机控制的部件构成,其例如是可编程逻辑控制器(programmable logic controller)和其他设备、例如HMI(人机界面)设备等。由于各种原因,这些彼此联网的部件传统上与公共网络、特别是因特网分开,例如为了避免对生产装置数据的攻击。
[0003] 但是,越来越多的需求是:工业自动化装置的以前在数据方面以“岛运行”方式来运行的有源部件能够与公共网络、尤其数据云(以下也称为“云”)交换数据。原因是多样的,例如因此应当能够将不同的本地的自动化装置彼此联网,生产运行的监控应当能够从不同的驻地展开,任务应当能够传输给自动化装置并且能够读取生产数据等等。
[0004] 为了调节和监控自动化装置的私有网络与公共网络、特别是云之间的数据交换,在私有网络与公共网络之间的边界处使用所谓的边缘设备或边缘装置。该边缘设备的任务能够远超出数据业务的监控,尤其能够在数据方面能力强的边缘设备上运行在可编程逻辑控制器上不能运行的应用程序和进程。其例如是生产数据、归档任务的复杂计算、评估等等。在现代边缘设备中尤其能使在其上封装的容器化的应用程序(App)运行。这些应用程序可以从公共应用程序存储器、所谓的应用程序商店获得。因此,例如可以将应用程序用于监视生产过程并且形成关于性能、利用率、错误等的统计信息等等,并将其转发给云服务器,其中将该数据存储在那里并且能够由监视实体、例如制造执行系统(MES)在那里进一步评估或调用。
[0005] 因此,边缘设备的大多数应用程序(App)为了能够执行其任务必须与私有自动化网络交换数据,还与云或设置在云的服务器和通信伙伴交换其他数据。因此,边缘设备通常还具有至少两个分开的通信信道,例如具有网卡、虚拟分离网络或“端口”,其中一个通信信道与私有自动化网络连接,并且另一个通信信道与云连接,即例如联接至互联网接口。
[0006] 许多工业自动化装置的运营商明确要求:自动化网络、即具有例如可编程逻辑控制器和其他敏感设备的私有网络以及云或因特网或一般而言的公共网络彼此明确分开,以避免网络攻击、即未经授权的访问。因此,存在对未经授权访问生产数据或一般商业机密的担忧,并且还担心工业生产被未经授权的访问或攻击干扰,这在极端情况下甚至会危害生产机构和人员。
[0007] 为了解决该问题常见的是:用通常的手段来保护通常具有可商购的PC(电脑)或服务器架构的边缘设备,特别是通过安装的所谓的防火墙以及与其相关的对网络地址并且特别是对所谓的TCP/IP端口的受限访问来保护边缘设备,使得通信限于特定服务,例如HTTPS服务等。
[0008] 但是,在此有问题的是:一些应用程序需要对自动化网络的自由的不受阻碍的访问,以便能够跟踪大量任务,从而能够访问私有自动化网络、即自动化装置中的大量数据和信息。
[0009] 在这些情况下,在该地点设置防火墙是困难的或不可行的,由此需要确保这些应用程序对自动化网络的不受控制的访问。当然,不能同时确保此类应用程序对公共网络、即云的无阻碍访问,因为否则自动化网络可能会经由相应的应用程序受到攻击。相反,如果出于任何原因有必要的话,当然也可以为应用程序设置对云环境的无障碍访问。但是,在这种情况下,必须阻止应用程序对自动化网络的访问,以防止公共网络与私有网络之间、即云与自动化网络之间的不希望的直接连接。
[0010] 但是,综上所述,这些措施导致在既与云又与自动化网络进行通信的应用程序中很难实现数据安全。
发明内容
[0011] 因此,本发明的目的是:改善工业边缘设备的应用程序中的数据安全,该边缘设备既需要访问自动化装置又需要访问数据云(Cloud)的入口。
[0012] 该目的根据本发明的解决方案的核心思想是:边缘设备始终具有至少两个分开的物理的网络接口或通常的通信接口,这些接口中的一个用于联接到数据云或云,并且至少另一个用于联接到工业自动化装置或本地网络。因此,在一个或多个边缘设备的数据管理中能够设置:软件部件或通常的应用程序是否能与“云”或工业自动化装置或通常的自动化网络的部件(“设备”)直接但不同时地进行数据交换。在数据管理中,能够为到另一网络层面的相应非直接的数据连接启用特定的限制性的数据访问,该数据访问被监控装置监控。在此通过数据流监控器施加数据管理,数据流监控器管理通信接口的数据业务。但是,这些部件、应用程序、监控装置和数据流监控器中的每一个仍能与网络层通信,该网络层为未直接引导至进行通信的部件的物理网络接口或通信接口实现至少一个防火墙功能。
[0013] 在此,提出一种用于监控工业边缘设备与工业自动化装置以及工业边缘设备与数据云的数据交换的方法,其中,边缘设备具有连接至工业自动化装置的第一通信接口和连接至数据云的网络的第二通信接口,其中,边缘设备设有多个用于交换数据的应用程序,并且其中,边缘设备配备有至少一个监控装置,该监控装置用于以防火墙的方式或以内容过滤器的方式、即利用基于内容的过滤来监控待交换的数据。在此,为应用程序中的每一个设置:是经由第一通信接口借助于监控装置来监控相应的应用程序的数据交换并且经由第二通信接口直接进行该数据交换,还是相反地经由第一通信接口直接进行数据交换并且经由第二通信接口借助于监控装置进行通信,并且其中,借助于边缘设备的数据流监控器确保:应用程序不同时经由两个通信接口直接交换数据。通过该方法,无需在数据安全性方面密集地检查应用程序或具有应用程序的容器(例如Docker容器),因为借助防火墙功能或内容过滤器在中央且单独管理的监控装置中实现对攻击的防护。特别由此确保:会被潜在攻击的软件部件或应用程序不能同时与自动化装置和数据云进行不受控的数据交换。
[0014] 该目的还通过一种工业边缘设备来实现,其具有用于监控边缘设备与工业自动化装置以及该边缘设备与数据云的数据交换的装置,其中,边缘设备具有连接至工业自动化装置的第一通信接口和连接至数据云的网络的第二通信接口,其中,边缘设备设有多个用于消耗和/或提供数据并且通过消耗和/或提供数据来交换数据的应用程序,并且其中,边缘设备配备有至少一个监控装置,该监控装置用于以防火墙的方式或以内容过滤器的方式监控待交换的数据。在此,边缘设备配备有数据流监控器,其中,数据流监控器设计用于使应用程序与通信接口之一进行直接的数据交换并且经由监控装置与通信接口中的相应另一个进行数据交换,并且其中,数据流监控器设计用于使得应用程序不同时经由两个通信接口直接交换数据。通过该工业边缘设备实现已经根据方法讨论的优点。
[0015] 在此描述的特征和优点、特别是在此限定的方法步骤有意义地也适用于根据本发明的边缘设备,该边缘设备应设计用于通过如下方式执行相应的方法步骤,即边缘设备的软件部件、特别是数据流监控器借助相应的软件例程来编程。在设计方案中提出的方法步骤或设备特征既能单独实现又能以彼此间有意义的组合实现。
[0016] 如果在边缘设备上安装了多个应用程序或者多个运行环境(容器;Docker容器、虚拟机),则能够有利地通过用户经由边缘设备或数据流监控器的用户界面来管理或确定:应用程序或执行环境、容器或虚拟机或类似物经由通信接口中的哪一个与应用程序直接通信,并且同一个应用程序或类似物能够经由通信接口中的哪一个仅受监控地经由监控装置交换数据。在一个设计方案中甚至能够管理:应用程序或容器或类似物在持续运行期间获得自主地改变该关联的可行性,这例如在如下应用程序的情况下是有利的,其中应用程序由多个具有不同的访问要求的单独模块构成。
[0017] 可替换地或附加地,通过数据流监控器本身还能决定:将通信接口中的哪一个直接与应用程序或类似物链接,并且将通信接口中的哪个另外的通信接口经由监控装置与该应用程序链接。有利地根据规则集来进行该决定,其中例如能够确定:应用程序或类似物仅当其满足一定安全要求时才能够具有到自动化网络或自动化装置的未过滤的入口。这例如能够根据配属于相应的应用程序的证书确定。如果缺少证书或证书有错或到期,则能够确定:应用程序只能经由监控装置交换数据,或者应用程序完全仅应经由通信接口之一通信。另外的结果还能确定:例如两个通信接口必须被引导经过该监控装置或经过两个分开的监控装置。还能根据应用程序的类型或应用程序的制造商做出决定。因此例如能够确定:可证实源自提供自动化装置的部件的同一制造商的应用程序或应用(App)总是应当具有对自动化网络的直接访问等等。
[0018] 有利的是,将监控装置作为应用程序安装在边缘设备上。这具有的优点是:定期更新监控装置或由此定义的安全规则是非常简单可行的。同时由此实现:将多个不同的监控装置安在同一边缘设备上,由此能为不同的应用程序实现不同的安全等级。在此,监控装置有利地不仅具有所谓的防火墙功能,还能对待监控的数据流在其内容(Content)方面进行检查。为此,有利地可行的是:从自动化装置和构建在其中的部件(可编程逻辑控制器、HMI设备等)的制造商或从第三方获得并安装说明书文件,该说明书文件包含用于研究数据流的指令。这种信息例如能以XML文件的形式提供,其中XML文件说明可以在待研究的数据流中复查的并标记必要时必须过滤或阻止的敏感数据的关键字或标记。尤其在一个有利的设计方案中还可行的是:尤其在朝自动化装置的方向对应用程序进行不期望的写访问方面监控并且必要时阻止例如借助于OPC‑UA协议传输的参数查询。
[0019] 有利的是,一个或多个应用程序分别利用虚拟执行环境中的相应的应用程序容器安装在边缘设备上,其中,在每个容器中有利地分别安装刚好一个应用程序,并且每个容器在单独的虚拟执行环境中运行。由此可行的是:分别为相应的容器确定直接的或受控的数据访问的关联,其中例如能够将容器与服务商或其他人员相关联,并且该人员可以在该容器中切换地运行不同的应用程序,而在不必总是又重新管理数据访问的关联。因此,例如应供应自动化装置的原料的服务商能够自动地运行应用程序(App),该应用程序可以向其提供有关相应库存的填充水平的消息。在该情况下,与该服务商相关联的容器具有对自动化装置的读取类型的受限的访问,以便能够读取相应的填充水平。
[0020] 有利的是,通过如下方式监控数据交换,即为每个容器将通信接口之一直接引导至该容器并且将相应另一通信接口经由监控装置引导至该容器。这例如可以经由常规防火墙规则或所描述的访问过滤器来控制,或者在授权的情况下经由监控装置与网络接口直接关联。通过通信接口的简单路由引导或重新路由引导、即通信接口与执行程序或运行环境、如该实例中的容器的关联,能够简单且快速地管理系统。此外,通过通信接口的路由引导得到如下优点:尤其能够在直接的信道上不受阻碍地进而非常快地进行数据交换。
附图说明
[0021] 下面,根据附图阐述根据本发明的方法的实施例。实施例的阐述同时用于根据本发明的边缘设备。
[0022] 在此,图1(唯一的附图)示出边缘设备的示意图,该边缘设备具有用于一方面与数据云(Cloud)并且另一方面与自动化装置(在此为可编程逻辑控制器)的数据交换的部件和应用程序。
具体实施方式
[0023] 图1在上部、即虚线式的分离线之上示出具有数据云(Cloud)CL的公共区域。在虚线式的分离线之下示出私有域,其在此为工业自动化装置,在其中示例性地示出作为构件的可编程逻辑控制器(PLC)。在两个区域之间的边界处示出具有通信接口KA1、KA2的边缘设备(Edge‑Device)ED。在此,通信接口KA1是用于自动化网络(例如Profinet)的专有端口,示例性示出的可编程逻辑控制器(PLC)连接至该端口。通信接口KA2与公共网络、即因特网连接,并且与数据云CL中的云服务器(未示出)通信。虽然在该简化的示例中仅示出两个通信接口KA1、KA2,但在真实边缘设备ED中还能运行任何类型的多个通信接口,这些通信接口可以根据这里提出的方法来运行。
[0024] 边缘设备ED的固件包括数据流监控器DKE,该数据流监控器监控通信接口KA1、KA2的运行并且该数据流监控器引导通过通信接口KA1、KA2的数据流,特别是引至不同的执行环境。在此,数据流分别是双向数据流。边缘设备ED包括多个虚拟执行环境,在这些虚拟执行环境中实例化所谓的Docker容器,其中,应用程序AW1、AW2能够在这些容器中的每一个中运行。在另一容器中运行监控装置KE,该监控装置设计用于对一个或多个数据流在其寻址(防火墙功能)和/或其内容(内容过滤器)方面进行监控并且必要时过滤。
[0025] 边缘设备ED以及特别在该实施例中具有数据流监控器DKE的固件提供用户界面、特别是所谓的Web(网络)界面,借助用户界面能够建立应用程序AW1、AW2、监控装置KE以及特别是通信接口KA1、KA2的数据流。
[0026] 在下文中假设:应用程序AW1从自动化装置、特别从可编程逻辑控制器PLC中调用生产数据并且应当提供给数据云CL、即云中的多个(未示出的)监督控制和数据采集系统(SCADA)。相应地,经由数据流监控器DKE的用户界面管理:应当将从可编程逻辑控制器PLC经由通信接口KA1的数据连接引导经过监控装置KE并且最后应在应用程序AW1中结束。第二数据流在应用程序AW1与数据云CL之间经由通信接口KA2引导。在图中根据相应单元的连接线通过虚线示出数据流。
[0027] 经由数据流监控器DKE的用户界面对监控装置KE进行管理,使可编程逻辑控制器PLC经由通信接口KA1到应用程序AW1的数据流根据所谓的数据二极管的方式进行过滤。这表示:在从应用程序AW1到可编程逻辑控制器PLC的方向上仅应传输查询命令,尤其根据OPC UA协议传输,该查询命令旨在查询可编程逻辑控制器PLC中的变量。通过监控装置KE禁止应用程序AW1朝可编程逻辑控制器PLC的方向的所有其他命令或消息。在相反的方向上,监控装置KE让具有根据OPC UA协议的消息(答复消息)的数据包通过,该数据包传输相应的已发布的内容。以这种方式过滤的数据在应用程序AW1中被处理并且能够经由数据云、例如经由作为数据云CL的服务器和边缘设备ED之间的通信介质的互联网被调用。为此,通过应用程序AW1能以常规方式和方法访问通信接口KA2。这并不一定表示:此访问权限完全不受控,例如可以在中间接入常规防火墙。然而,在该示例中不期望并且不必要的是:在数据云CL中的部件与应用程序AW1之间的数据往来方面执行内容过滤(内容过滤器)。
[0028] 在具体的实施例中,通过上述方法确保:有效地禁止来自因特网或来自数据云CL中的对工业自动化装置或特别地对在此示出的“设备”(可编程逻辑控制器PLC)的网络攻击,然而通过数据云提供由可编程逻辑控制器PLC需要的数据。
[0029] 代替经由用户界面(User‑Interface)进行管理的所描述的方法,应用程序AW1还可以设有证书,该证书声明:根据以数据二极管的方式进行的过滤来允许从连接的可编程逻辑控制器PLC或其他部件中调用数据,并且还同时允许来自公共区域(因特网、数据云(Cloud))的不受限的访问。然后,根据证书的内容,数据流监控器DKE可以相应地连接边缘设备ED中的数据流。同时,监控设备KE还能被相应地设置以满足证书中定义的要求。