本發(fā)明涉及一種用于數(shù)據(jù)傳輸?shù)姆椒ㄒ约皵?shù)據(jù)傳輸系統(tǒng)��,其包括:第二用戶以及至少一個第一用戶����,其中,第二用戶布置在自動化設備的自動化網(wǎng)絡中�����;用于在第一用戶和第二用戶之間雙向的數(shù)據(jù)傳輸?shù)耐ㄐ沤涌凇?/p>
背景技術:
以下用于控制和/或監(jiān)視技術過程��、例如制造過程的并且已知的裝置和設備被稱為自動化設備�����。屬于所述裝置的例如有可編程邏輯控制器���、非中心的外圍設備����、操作和觀察系統(tǒng)或類似物�,其經(jīng)由數(shù)據(jù)傳輸單元、例如lan網(wǎng)絡(lan=localareanetwork�����,局域網(wǎng))與整個自動化網(wǎng)絡相互連接�����??偠灾@樣的裝置或網(wǎng)絡被稱為自動化組件����。數(shù)據(jù)在“iot”(internetofthings���,物聯(lián)網(wǎng))的環(huán)境中被收集和使用,以便通過分析方法產(chǎn)生增加值(mehrwerte)�。對此,數(shù)據(jù)連接集中地在外部的計算中心或者云系統(tǒng)中實現(xiàn)��。
為了使用這些增加值��,設備操作者將選擇的數(shù)據(jù)轉送給分析供應者�。在此,自動化設備的本地的設備數(shù)據(jù)的�����、受控制的輸出耦合(auskopplung)經(jīng)由互聯(lián)網(wǎng)(internet)連接示出了特別的挑戰(zhàn):設備操作者想要關于傳達的數(shù)據(jù)的類型和規(guī)模的�����、透明度和完全的控制�����。
從自動化系統(tǒng)中或自動化設備(“iot數(shù)據(jù)”)的其它的本地的設備中獲取設備數(shù)據(jù)通常經(jīng)由本地的網(wǎng)絡(lan網(wǎng)絡)中的所謂的“代理”實現(xiàn)��。在此�,軟件代理是能區(qū)分開的硬件/軟件單元�,其獨立地以如下方式跟隨所限定的目標�,即其與其環(huán)境和其它的代理相互作用。在此�,代理能夠經(jīng)由lan形成代理系統(tǒng)。數(shù)據(jù)的耦合輸出根據(jù)固定的數(shù)據(jù)點傳輸列表或者傳輸規(guī)則進行����。也就是說��,代理從下層的系統(tǒng)中讀取數(shù)據(jù)并且將其經(jīng)由源于互聯(lián)網(wǎng)的連接傳遞給云系統(tǒng)��。如果自動化設備中存在多個不同的數(shù)據(jù)源(例如多個子設備或機組)�����,那么就可能采用多個代理��。為了將數(shù)據(jù)傳輸給云系統(tǒng)而應用標準化的或制造商特定的協(xié)議����。這樣的協(xié)議的組成部分通常是“數(shù)據(jù)模型”,其確定了所傳輸?shù)臄?shù)據(jù)的語義(意義)��。數(shù)據(jù)模型是自動化設備和其相互關系的���、要描述和處理的數(shù)據(jù)的模型�����。通過數(shù)據(jù)模型能夠找到和確定用于系統(tǒng)中要處理和存儲的數(shù)據(jù)的結構��。這樣的在此表示的數(shù)據(jù)模型的實例存在于附圖描述中��。
下層的系統(tǒng)�、特別是這樣的較老的結構形式通常不提供對現(xiàn)存的數(shù)據(jù)的細顆粒(feingranular)的訪問保護。耦合輸出的數(shù)據(jù)的方式和范圍不總是透明可見的�。此外,數(shù)據(jù)必須加密地傳輸�。不是每個硬件都支持用于加密的必要的機構,或者需要提高的���、例如經(jīng)由vpn(虛擬專用網(wǎng)絡)通道的硬件和管理花費�。
在此���,代理從下層的自動化設備中讀取數(shù)據(jù)�,并且將其經(jīng)由源于互聯(lián)網(wǎng)的連接傳遞給云系統(tǒng)�。
如果采用多個代理,那么在所有的規(guī)則中經(jīng)由客戶網(wǎng)絡中的所謂的代理服務器(proxy)進行通信的集束,從那里轉送到互聯(lián)網(wǎng)中�����。根據(jù)代理的制造商�����,存在用于配置數(shù)據(jù)傳輸?shù)牟煌目尚行苑桨?例如用于將傳輸列表組合在一起的工具)��。
然而�,利用這樣的代理服務器不能通過用戶實現(xiàn)從自動化設備中細顆粒地���、獨立地控制數(shù)據(jù)流��。透明度和可追溯性取決于采用的代理系統(tǒng)的配置可行性方案���。不存在用于控制數(shù)據(jù)流的“獨立”的機構。中央的代理服務器上的數(shù)據(jù)傳輸(如果存在)是不能透明地看到的����。
技術實現(xiàn)要素:
因此,本發(fā)明的第一個目的在于提出一種數(shù)據(jù)傳輸系統(tǒng)����,其能夠實現(xiàn)來自自動化網(wǎng)絡的數(shù)據(jù)流的獨立的控制�����。第二個目的在于給出一種相應的方法���,其特別地能在該數(shù)據(jù)傳輸系統(tǒng)上實施。
第一個目的通過給出一種數(shù)據(jù)傳輸系統(tǒng)實現(xiàn)�,其包括:第二用戶和至少一個第一用戶,其中����,第二用戶布置在自動化設備的自動化網(wǎng)絡中;用于在第一用戶和第二用戶之間雙向的數(shù)據(jù)傳輸?shù)耐ㄐ沤涌?����,其中���,通信接口設計為代理網(wǎng)關(agent-gateway)�。
與該方法相關的目的通過給出一種用于與第二用戶和至少一個第一用戶進行數(shù)據(jù)傳輸?shù)姆椒▽崿F(xiàn)���,其中�,第二用戶布置在自動化設備的自動化網(wǎng)絡中,并且其中�,通過通信接口進行在第一用戶和第二用戶之間的雙向的數(shù)據(jù)傳輸,其中�,通信接口設計為代理網(wǎng)關。
在此��,代理網(wǎng)關被理解為一種網(wǎng)關��,其設計為代理或者作為這樣的網(wǎng)關影響和相互影響���。
在此���,具有限定的目標的軟件可以被理解為代理(軟件/軟件代理),其具有至少一個用于實現(xiàn)該目標的自主的行為�����,并且其能夠用于與環(huán)境和其它的代理的相互作用�����。在此���,能夠涉及審議的(deliberative)軟件代理、反應性的軟件代理或混合的軟件代理。網(wǎng)關的概念也能夠在信息學中常見和有關該含義地進行理解��。
接下來����,數(shù)據(jù)被特別地理解為機器和設備數(shù)據(jù)。
根據(jù)本發(fā)明���,機器和設備數(shù)據(jù)現(xiàn)在經(jīng)由中央的代理網(wǎng)關耦合輸出�。與常規(guī)的代理服務器相比��,代理網(wǎng)關具有關于應用的數(shù)據(jù)協(xié)議以及關于在“代理”和“云”之間的數(shù)據(jù)模型的認知��。由此��,能夠經(jīng)由發(fā)出的數(shù)據(jù)實現(xiàn)完全的透明����,即能夠實現(xiàn)數(shù)據(jù)傳輸?shù)耐该鞯恼故尽?/p>
此外,通過本發(fā)明也能夠獨立于代理配置地實現(xiàn)數(shù)據(jù)的選擇以及細顆粒的控制���。
在本發(fā)明中列出另外的有利的措施��,其能夠相互任意地組合����,以便實現(xiàn)另外的優(yōu)點。
根據(jù)本發(fā)明��,設置至少一個數(shù)據(jù)傳輸網(wǎng)�����,其中�,第一用戶以及代理網(wǎng)關雙向地與數(shù)據(jù)傳輸網(wǎng)連接。在此��,數(shù)據(jù)傳輸網(wǎng)能夠是互聯(lián)網(wǎng)���。
優(yōu)選地��,代理網(wǎng)關布置在第二用戶和數(shù)據(jù)傳輸網(wǎng)之間�。在此����,能夠出于安全原因在代理網(wǎng)關的上游又或者附加地在下游連接防火墻�����。在此,能夠涉及用于提高數(shù)據(jù)安全的標準防火墻�����。
在另一個設計方案中�,第一用戶和第二用戶構造為物理上相互分離的單元。在此����,第二用戶設計為外部的計算中心、特別是用于執(zhí)行云計算的計算中心�。這意味著,第二用戶有利地是所謂的云���。
在一個特別的設計方案中���,第一用戶是包括至少一個代理的代理系統(tǒng),該代理從自動化網(wǎng)絡和/或自動化設備的其它的本地的設備中獲取設備數(shù)據(jù)�����。
通過代理網(wǎng)關能有針對性地鎖閉或釋放代理系統(tǒng)的至少一個代理�。
通過代理網(wǎng)關也能有針對性地封鎖或釋放代理系統(tǒng)的至少一個代理的功能。例如�����,這能夠是通過遠程的配置的更新或數(shù)據(jù)的下載。這意味著����,代理網(wǎng)關執(zhí)行過濾功能,例如鎖定配置更新��。因此�,也能夠實現(xiàn)“測量和帶寬確定”、即帶寬測量和帶寬分配���。這意味著����,能夠實現(xiàn)用于數(shù)據(jù)傳輸?shù)膽玫膸挼南拗啤?/p>
現(xiàn)在�����,在另一個根據(jù)本發(fā)明的設計方案中��,也能夠在代理網(wǎng)關中����、即在中央位置上進行數(shù)據(jù)的加密。由此得到安全的傳輸����。由此,也能夠通過代理網(wǎng)關中的證書管理設置數(shù)據(jù)的認證��、即用于證實的數(shù)字證書��。由此�,如果不由第一用戶、例如自動化設備的本地的lan中的代理進行設置加密�,那么隨后也能夠實現(xiàn)加密。
附加地���,代理網(wǎng)關能夠在一定程度上接管審查功能���。如果在代理系統(tǒng)中能支配多個代理,那么因此通過代理網(wǎng)關能完成對代理系統(tǒng)中的所有能支配的代理的列表���。這從協(xié)議和數(shù)據(jù)傳輸中推導出來�。也能夠實現(xiàn)對代理的元數(shù)據(jù)(即將其數(shù)據(jù)發(fā)送到云)的列表��,其從數(shù)據(jù)模型和數(shù)據(jù)流中推導出�。因此能夠透明地展示數(shù)據(jù)傳輸�����。
在一個優(yōu)選的設計方案中�����,能夠通過代理網(wǎng)關實現(xiàn)數(shù)據(jù)的時間錯開的發(fā)送�。在此����,代理的數(shù)據(jù)僅在多個小時或分鐘到期之后(時間延遲)發(fā)送。也能夠僅根據(jù)需要發(fā)送最后預設的小時�,可以說是在服務情況中的“根據(jù)需要發(fā)送(sendondemand)”。
附圖說明
從下述參考附圖的描述中得出了本發(fā)明另外的特征���、特性和優(yōu)點�。其中示意性地示出:
圖1示出根據(jù)本發(fā)明的數(shù)據(jù)傳輸系統(tǒng)��。
具體實施方式
盡管通過優(yōu)選的實施例在細節(jié)上詳細地闡述并描述了本發(fā)明�����,但本發(fā)明并不局限于所公開的實例。其他的變體方案能夠由專業(yè)人員推導出�,這并不脫離本發(fā)明的保護范圍。
圖1示出了自動化設備1�����。在此���,經(jīng)由局域網(wǎng)4(lan網(wǎng))之中的代理3a,3b���,從自動化設備1的設備單元1a�����,1b的本地的裝備2a�,2b中獲取設備數(shù)據(jù)(“iot數(shù)據(jù)”)����。在此,軟件代理是能區(qū)分開的硬件/軟件單元����,其獨立地以如下方式跟隨所限定的目標,即其與其環(huán)境和其它的代理相互作用。在此�����,代理能夠經(jīng)由(團體的)局域網(wǎng)(lan)4形成代理系統(tǒng)����。
在現(xiàn)有技術中,目前在所有的規(guī)則中經(jīng)由代理服務器進行通信的集束�,并且從那里實現(xiàn)到互聯(lián)網(wǎng)中的轉送。然而�����,代理服務器上的數(shù)據(jù)傳輸是不能透明地看到的�。透明度和可追溯性取決于采用的代理系統(tǒng)的配置可行性方案。因此�,代理服務器沒有對協(xié)議的認知,并且因此不能允許細顆粒的入侵可能性���,例如封鎖自動化設備的代理?����,F(xiàn)在這利用本發(fā)明得以避免���。
根據(jù)本發(fā)明�,現(xiàn)在在局域網(wǎng)4的代理3a���,3b或者代理系統(tǒng)與第二用戶之間連接代理網(wǎng)關5����。在此��,其是云10�����。此外�,在代理網(wǎng)關5之前或之后能夠在上游或下游連接防火墻6�。代理網(wǎng)關5經(jīng)由局域網(wǎng)4接收代理3a,3b的數(shù)據(jù)���,并且將其例如經(jīng)由或者在公開的互聯(lián)網(wǎng)8中傳送到對此設置的云10�����。也能夠顯而易見地設置所謂的“私有云(privateclouds)”���,在其中經(jīng)由公司內部的內聯(lián)網(wǎng)實現(xiàn)提供�。
因此�,根據(jù)本發(fā)明的代理網(wǎng)關5也為代理3a,3b示出了到互聯(lián)網(wǎng)8的中央接入點��。
在此���,代理網(wǎng)關5的基礎功能是數(shù)據(jù)的傳送�。顯而易見地�����,在此還能夠應用標準化的協(xié)議或制造商特定的協(xié)議(isb)���。然而與常規(guī)的代理服務器相比���,代理網(wǎng)關具有關于應用的數(shù)據(jù)協(xié)議以及關于在代理3a,3b和云10之間的數(shù)據(jù)模型的認知�。
在此,用于將數(shù)據(jù)從代理3a�����,3b傳輸?shù)皆?0的、這樣的數(shù)據(jù)模型能夠例如如下地進行:在設備單元1a/1b中設置測量位置1�����,…���,n�,它們具有例如是時間戳和測量值的數(shù)據(jù)����,以及消息1���,…��,n����,它們具有例如是時間戳和消息文本的數(shù)據(jù):
設備單元1a:
-代理3a
-測量位置1(數(shù)據(jù)�,例如時間戳、測量值)
-測量位置2(數(shù)據(jù)���,例如時間戳�����、測量值)…
-測量位置n(數(shù)據(jù)����,例如時間戳、測量值)
-消息1(數(shù)據(jù)��,例如時間戳�����、測量值)…
-代理…
設備單元1b:
-代理3b
-測量位置1(數(shù)據(jù)��,例如時間戳���、測量值)
-測量位置2(數(shù)據(jù)��,例如時間戳���、測量值)
-測量位置n(數(shù)據(jù),例如時間戳��、測量值)…
-消息1(數(shù)據(jù)�,例如時間戳�、測量值)…
-代理…
-測量位置1(數(shù)據(jù)�����,例如時間戳�����、測量值)
-測量位置2(數(shù)據(jù)�����,例如時間戳��、測量值)
-測量位置n(數(shù)據(jù)��,例如時間戳�、測量值)…
-消息1(數(shù)據(jù)�,例如時間戳、測量值)…
設備單元n:
-代理3n
-測量位置1(數(shù)據(jù)��,例如時間戳�����、測量值)
-測量位置2(數(shù)據(jù),例如時間戳��、測量值)…
-測量位置n(數(shù)據(jù)���,例如時間戳���、測量值)
-消息1(數(shù)據(jù),例如時間戳��、測量值)…
代理3a��,3b(直到代理3n����,其在下面不再提及)能夠在一定程度上從數(shù)據(jù)流中提取數(shù)據(jù)。因此����,數(shù)據(jù)模型能描述為待描述和處理的數(shù)據(jù)和其相互關系的模型。
通過對數(shù)據(jù)模型的認知能夠實現(xiàn)用于透明地展示數(shù)據(jù)傳輸?shù)拇砭W(wǎng)關5:從協(xié)議和數(shù)據(jù)傳輸中能夠推導地完成對自動化設備1中的所有的代理3a�����,3b的列表����。此外能夠實現(xiàn)的是�����,從數(shù)據(jù)模型和數(shù)據(jù)流中得出對元數(shù)據(jù)和代理的數(shù)據(jù)的列表��,即將該代理的數(shù)據(jù)發(fā)送給云�����。在此���,元數(shù)據(jù)是包含關于其它數(shù)據(jù)的特征的信息的數(shù)據(jù),但不是這些數(shù)據(jù)本身����。
此外,通過本發(fā)明能夠實現(xiàn)到數(shù)據(jù)傳輸中的進入����。因此�,例如能夠有針對性地鎖閉或釋放代理3a,3b���。此外����,從現(xiàn)在起能夠實現(xiàn)的是���,也有針對性地封鎖各個代理功能�、例如決定功能��。在此�,代理功能例如能夠是鎖閉數(shù)據(jù)的下載��,或者例如是更新配置�����。
也能夠通過本發(fā)明實現(xiàn)數(shù)據(jù)的時間錯開的發(fā)送����。因此���,能夠僅在例如多個小時之后才傳送通過代理3a,3b發(fā)送的數(shù)據(jù)���,或者僅根據(jù)需要將最后的小時的數(shù)據(jù)傳送給云10(根據(jù)需要發(fā)送)。在此���,能夠為代理網(wǎng)關5裝備具有固定大小的環(huán)形緩沖器。
此外�����,能夠實現(xiàn)對用于數(shù)據(jù)傳輸?shù)?���、應用的帶寬的限制?/p>
附加地�����,能夠在代理網(wǎng)關5上進行數(shù)據(jù)的加密�,即此時在中央位置上進行加密���。這特別有利的是��,代理3a�,3b本身不進行設置���。也能夠通過代理網(wǎng)關5中的證書管理來設置數(shù)據(jù)的認證、即用于證實的數(shù)字證書����。
此外��,通過數(shù)據(jù)傳輸?shù)摹⒏鶕?jù)本發(fā)明的透明的展示�,能夠實現(xiàn)到數(shù)據(jù)傳輸中的進入和中央位置上的數(shù)據(jù)的加密��。
因此特別對于設備操作者有利的是列出審查功能���,即對于發(fā)出的數(shù)據(jù)的完全透明、數(shù)據(jù)控制��、選擇以及獨立于代理配置的細顆粒的控制����,以及數(shù)據(jù)的安全的加密的傳輸。