[发明专利]工业物联网中的安全远程连接

说明书

公开了用于在用户设备与目标设备之间建立安全远程连接的方法，其中，目标设备不具有直接的互联网连接。第一网关从用户设备接收第一连接请求，所述第一连接请求包括访问令牌。在身份和访问管理服务中验证访问令牌，并且在成功验证之后，经由一个或更多个中间网关在用户设备与目标设备之间建立第一隧道。目标设备从用户设备接收第二连接请求，所述第二连接请求包括访问令牌。经由一个或更多个中间网关在目标设备与身份和访问管理服务之间建立第二隧道，并且经由第二隧道在身份和访问管理服务中验证访问令牌。

技术领域

本发明涉及工业物联网中的远程连接。

背景技术

物联网(IoT)是物理设备(也称为“连接的设备”和“智能设备”)的联网，物理设备例如车辆、家用电器、机器、计算机和其他嵌入有电子器件、软件、传感器、致动器以及使得这些对象能够收集和交换数据的网络连接的物品。IoT使得对象能够在现有网络基础设施上被远程感测和/或控制。工业物联网(IIoT)是IoT技术在制造业中的使用。它结合了机器学习和大数据技术，利用了工业环境中已经存在多年的传感器数据、机器到机器通信和自动化技术。IIoT还提供了将工业设备连接至云计算平台并将信息传输到云平台以执行各种操作(例如对工业数据进行分析或数据挖掘)的机制。从上面可以明显看出，IIoT区域中收集了大量的数据，并且同样明显的是，并不是系统的每个用户都应当被允许看到系统中的每一个数据项。由于云计算平台本质上包括来自大量用户库的数据，因此访问控制的存在对于敏感的工业数据的保护至关重要。此外，由于云计算平台被设想为数据的中央储存库，这些数据可能属于对访问控制有不同要求的不同利益相关方，因此对系统和设备的整个生命周期中收集的数据提供受控访问的能力是IIoT内的重要要求。

在IIoT中，数据源可以是一些工业设备，例如机器人、电机或驱动器。如果IIoT解决方案建立在现有自动化和监控系统之上，或者以其他方式连接旧设备，则可能需要IIoT解决方案支持可能不安全的遗留协议和技术，例如SCADA协议。这导致了包含针对同一工厂中不同类型的使用的多个不同安全区域或系统级别的层级整体系统结构。由于存在仍在使用中的多个遗留系统和协议，遗留系统和协议中的许多遗留系统和协议未被设计成考虑到当前的安全原则，并且网络可能被隔离为具有受限的外部连接的独立安全区域。为了更新软件、分析问题、管理配置参数或监控工业设备的操作，通常需要用户(例如服务技术人员)通过互联网远程连接至工业设备。然而，由于安全原因，遗留系统中的工业设备不被允许直接接受来自互联网的连接，并且通常只允许来自它们的安全输出连接。在这种情况下，工业设备本身不连接至任何面向互联网的设备，而是连接至本地内部网关或边缘计算设备。该网关可能会再次连接至较高系统级别的另一内部网关，依此类推，直到最后最高级别的内部网关然后连接至互联网。

传统的远程访问方法例如虚拟专用网络(VPN)和远程桌面连接(RDC)由于耗时和复杂的设置以及安全问题而缺乏满足当今工业组织需求的灵活性和智能性。因此，需要提高用于建立到工业设备的远程连接的现有机制的安全性和可用性。

发明内容

本发明的目的是提供一种用于在用户设备与目标设备之间建立安全远程连接的机制。本发明的目的通过特征在于独立权利要求中所述的方法、计算机程序产品、装备和系统来实现。从属权利要求中公开了本发明的优选实施方式。