用於安全遠程訪問的設備的製作方法

2023-07-04 05:15:46 1

專利名稱：用於安全遠程訪問的設備的製作方法
技術領域：
本發明涉及一種用於服務PC和機器控制器之間的遠程通信的系統和方法。
背景技術：
由於現代機械工程公司的全球化趨勢，他們的客戶和機器用戶 遍布全世界，因此很可能不僅需要在現場直接進行維護、錯誤診斷， 以及在需要時對已交貨的機器、系統和設備(下面統稱為"機器")進 行修理，還有可能需要通過遠程訪問來進行這些操作。雖然這己經通過從服務PC經由模擬數據機或ISDN連接進行撥號而實現 了，但是使用現代通信科技，如所謂的VPN("虛擬專用網")，的需 求正在持續上升，VPN能夠通過網際網路進行加密的遠程訪問。主要 的大型公司將他們的防火牆網關擴展至VPN入口 ，通過VPN入口供 應商和系統製造商可以獲得對已交貨的機器的遠程訪問。在此連接 中，供應商和系統製造商必須移除他們機器和系統中的本地調製解 調器和ISDN接入。同時， 一些公司還定義了非標準化的訪問規範。 除了 VPN，還使用各種其它的驗證方法，如呼叫者ID(Caller-ID)、 預先共享密鑰、 一次性密碼或安全ID(SecureID)，或特殊硬體。通過VPN進行的遠程訪問對基礎設施和安全性設定了更高的標 準。通過VPN的遠程訪問依賴於機器用戶所使用的技術這一點尤其 是個問題。服務供應商難於找到簡單通用的解決方案，因為到目前 為止還無法在一個作業系統內同時(例如在服務助理的筆記本電腦上 同時)使用不同的VPN客戶端軟體(如CISCO VPN客戶端和 Checkpoint VPN客戶端)。取決於機器用戶所使用的VPN方案，需要 不同的VPN.客戶端和獨立的計算機。當機器用戶需要進一步的訪問 規範和撥號技術，如通過IDSN或通過數據機的RAS時，產生 相應的問題。當機器用戶的敏感(訪問)數據本地保存在服務技術人 員的PC或筆記本電腦上時，產生更進一步的問題。該數據的受保護 程度不足以防止來自網際網路的攻擊，或者在PC被盜時保護該數據。 與此相反，本發明的目的是提供一種用於安全地遠程訪問機器、 設備或系統控制器(下面統稱"機器控制器")的系統，其防止病毒傳 播，並且允許使用不同的撥號及編碼技術來進行訪問。發明內容根據本發明，通過利用一種用於服務PC與機器控制器之間的遠程通信的系統來實現該目的，所述系統具有至少一個中央計算機，所 述中央計算機受防火牆保護並且包括可同時運行的、分別被設置用 於到機器控制器的相同或不同類型的通信連接的若干個虛擬計算機，其中所述服務PC可以與所述中央計算機相連，並且其中所述中央計算機可以通過被設置用於分配給機器控制器的通信連接的虛擬 計算機與該機器控制器相連。本發明的遠程通信系統或入口使得可以集中安裝用於遠程訪問 機器的客戶數據和訪問技術。可以在虛擬計算機上同時安裝異構的 撥號技術。該技術還為敏感的客戶數據(撥號號碼、密碼)提供了更 高的安全標準，因為只有特定人員才可以訪問防火牆後面的結構。 在受保護的中央計算機或受保護的網絡上有不同的伺服器用於數據 管理、驗證、許可、網絡服務以及防火牆功能。服務PC與中央計算機或計算機網絡相連的連接最好只允許傳輸 像素信息、滑鼠和鍵盤移動，從而避免了服務PC和中央計算機之間 的病毒傳輸。使用特定的優選方法，服務PC和中央計算機或計算機 網絡之間的連接通過遠程桌面程序來實現，例如通過RDP或VNC， 特別是使用Windows終端服務來實現。為此目的，中央計算機最好 包含至少一個終端伺服器。遠程通信系統可以隨意地擴展，從而可 以執行多個遠程訪問會話，其只受可同時建立的通信連接的數量限 制。授權人員可以在終端伺服器開始終端會話，由此獲得所保護區 域的終端伺服器的虛擬屏幕。用戶根據設備號從列表中選擇機器，並
且將虛擬計算機("虛擬機")設置為用於所選擇的機器用戶(客戶)或 客戶組，使用該數據在終端伺服器上啟動該虛擬計算機。通過該機 器用戶預設的撥號技術來建立與該虛擬計算機的連接。因此有可能為客戶實現非常不同的撥號技術，如VPN連接、通過DOS計算機的 pcAny where 、通過任意Windows的pcAnywhere 、使用pcAnywhere 的直接撥號、通過TCP/IP的RAS連接、或其他特殊的連接，如通過 Linux的連接。所有的虛擬計算機可通過拷貝文件來容易地實現，從 而總是可以利用為每個客戶特別設置的虛擬PC來提供服務。也可以 授權外部公司訪問本發明的系統，使得子供應商可以獲得特定設備 的撥號授權。對設備的任何訪問都可以被記錄下來。中央計算機優選地通過防火牆連接到機器製造商或服務運營商 的內聯網，其中內聯網通過另一防火牆與網際網路相連。授權用戶不 必直接登錄到機器製造商或服務運營商的內聯網上，而是可以通過 例如VPN連接、ISDN或網際網路，通過任意服務PC登錄該內聯網。 用戶的服務PC和客戶網絡之間沒有直接的網絡連接，只在受保護的 中央計算機和客戶位置處的機器的機器控制器之間有。機器控制器與它們各自的通信連接之間的分配保存在例如中央 計算機或與之相連的資料庫中。中央計算機和各個機器控制器之間的通信連接以及服務PC和中央計算機之間的連接優選地通過網際網路實現，特別是，在每種情況 下都通過一個VPN連接來實現。中央計算機的虛擬計算機優選地具有不同的作業系統和/或不同 的應用程式和/或不同的防病毒程序。因此由一個或多個應用程式提 供中央計算機和機器控制器之間的通信連接。本發明還涉及一種服務PC與機器控制器之間的遠程通信方法， 其中用戶在他/她的服務PC和由防火牆(6)保護的中央計算機(5)之間 建立連接，其中所述連接只允許傳輸像素信息、滑鼠和鍵盤移動，並 且其中所述中央計算機根據保存的數據確定分配給所想要的機器控 制器的通信連接，從多個虛擬計算機中選擇被設置來用於該通信連 接的一個虛擬計算機以與所述機器控制器相連，並且啟動該虛擬計用戶優選地通過通信連接執行機器控制器的功能，和/或在機器 控制器與中央計算機之間交換文件。本發明進一步的優勢可以從下面的描述和附圖中得到。上面和下 面提及的特性可以單獨使用或以任意組合方式集中使用。示出和描述 的實施例不應理解成本發明的完全列舉，而只是具有用於描述本發明 的示例性特徵。


圖1示出了本發明的服務PC和機器控制器之間的遠程通信系統 的基本結構的概要圖，在該系統中互連有中央計算機；以及圖2示出了圖1中的遠程通信系統，其中中央計算機與機器製造 商的內聯網相連，機器控制器與機器用戶的內聯網相連。
具體實施方式
圖1中示出的系統1用於服務PC 2和機器或設備4(例如機器工 具或雷射設備)的機器控制器3之間的遠程通信，從而可以通過遠程 訪問進行維護、錯誤診斷，以及在需要時對機器4進行修理。系統1包含至少一個中央計算機5，中央計算機5由防火牆6保 護以防止外部攻擊並且具有多個能同時運行的虛擬計算機("虛擬 機")7。這些單獨的虛擬計算機7具有用於相同或不同類型的通信連 接8的機器控制器，下面將詳細描述。服務PC 2通過連接9與中央 計算機(或計算機網絡)相連，特別是，連接9隻允許傳輸像素信息、 滑鼠和鍵盤移動。中央計算機5與機器控制器3通過虛擬計算機7相 連，該虛擬計算機7被設置成用於分配給該機器控制器3的通信連接 8。機器控制器3到各個通信連接8的分配保存在中央計算機5的數 據庫10中。中央計算機5的虛擬計算機7具有不同的作業系統以及 不同的應用程式來建立中央計算機5和不同的機器控制器之間的通 信連接8。服務PC 2與中央計算機5之間的連接9以及中央計算機5 與各個機器控制器3之間的連接8通過網際網路11來實現，在每種情
況下都是通過VPN("虛擬專用網")連接來實現的。為了遠程訪問特定機器的機器控制器3，初始時用戶建立他/她 的服務PC 2與由防火牆6保護的中央計算機7之間的連接。中央計 算機4根據保存在資料庫10中的數據確定分配給所想要的機器控制 器3的通信連接，並且選擇被設置為用於該通信連接8的虛擬計算機 7以將其連接到機器控制器3，然後啟動該虛擬計算機7。用戶通過 通信連接8執行機器控制器3的功能和/或在機器控制器3和中央計 算機4之間交換文件，其中客戶位置處的機器的機器控制器3不與服 務PC 2直接相連，而是只通過受保護的中央計算機5相連。在圖2中，中央計算機5通過防火牆6與機器製造商的內聯網(內 部網)12相連，其中內聯網12通過另一防火牆13與網際網路ll相連。 機器控制器3還與機器用戶的內聯網(內部網)14相連，機器用戶的內 聯網(內部網)14也與網際網路11相連。中央計算機5是與機器製造商 的內聯網12通過防火牆6分隔開的受保護LAN區域(VLAN)。只有 特定人員可以訪問防火牆6後的結構。服務PC2、 2'與中央計算機5 通過機器製造商的內聯網12直接相連，或者通過網際網路11相連。
權利要求
1、一種用於服務PC(2)與機器控制器(3)之間的遠程通信的系統(1)，其具有至少一個中央計算機(5)，所述中央計算機(5)受防火牆(6)保護並且包括可同時運行的、分別被設置用於到機器控制器的相同或不同類型的通信連接(8)的若干個虛擬計算機(7)，其中所述服務PC(2)與所述中央計算機(5)可以通過連接(9)相連，並且其中所述中央計算機(5)可以通過被設置用於分配給機器控制器(3)的通信連接(8)的虛擬計算機(7)與該機器控制器(3)相連。
2、 根據權利要求1所述的系統，其特徵在於所述服務PC(2)與 所述中央計算機(5)之間的所述連接(9)只允許傳輸像素信息、滑鼠與 鍵盤移動。
3、 根據權利要求1或2所述的系統，其特徵在於所述服務PC(2) 與所述中央計算機(5)之間的所述連接(9)通過RDP實現，特別是使用 Windows終端服務實現。
4、 根據上述任一權利要求所述的系統，其特徵在於所述中央計 算機(5)與機器製造商或服務運營商的內聯網(12)通過所述防火牆(6) 相連，所述內聯網(12)通過另一防火牆(13)與網際網路(11)相連。
5、 根據上述任一權利要求所述的系統，其特徵在於所述機器控 制器(3)與它們各自的通信連接(8)之間的分配保存在所述中央計算機 (5)或與之相連的資料庫(10)中。
6、 根據上述任一權利要求所述的系統，其特徵在於所述中央計 算機(5)與各個機器控制器(3)之間的所述通信連接(8)通過網際網路(11) 實現，特別是通過VPN連接實現。
7、 根據上述任一權利要求所述的系統，其特徵在於所述服務 PC(2)與所述中央計算機(5)之間的所述連接(9)通過機器製造商或服 務運營商的內聯網(12)實現。
8、 根據上述任一權利要求所述的系統，其特徵在於所述服務 PC(2)與所述中央計算機(5)之間的所述連接(9)通過網際網路(11)實現， 特別是通過VPN連接實現。
9、 根據上述任一權利要求所述的系統，其特徵在於所述中央計 算機(5)的所述虛擬計算機O0具有不同的作業系統和/或不同的應用程 序和/或不同的防病毒程序。
10、 根據權利要求9所述的系統，其特徵在於所述應用程式中 的一個或多個用於建立所述中央計算機(5)與所述機器控制器(3)之間 的所述通信連接(8)。
11、 一種服務PC(2)與機器控制器(3)之間的遠程通信方法，特別 是在根據上述任一權利要求所述的系統(l)中的遠程通信方法，其中 用戶在他/她的服務PC(2)和由防火牆(6)保護的中央計算機(5)之間建 立只允許傳輸像素信息、滑鼠和鍵盤移動的連接(9)，並且其中所述 中央計算機(5)根據保存的數據確定分配給所想要的機器控制器(3)的 通信連接(8)，從多個虛擬計算機(7)中選擇被設置用於該通信連接(8) 的虛擬計算機以與所述機器控制器(3)相連，並且啟動所述虛擬計算 機(7)。
12、 根據權利要求11所述的遠程通信方法，其特徵在於所述用 戶通過所述通信連接(8)執行所述機器控制器(3)的功能，和/或在所述 機器控制器(3)與所述中央計算機(5)之間交換數據。
全文摘要
一種用於服務PC(2)與機器控制器(3)之間的遠程通信的系統(1)包括至少一個中央計算機(5)，所述中央計算機(5)受防火牆(6)保護並且包括可同時運行的、分別被設置用於到機器控制器的相同或不同類型的通信連接(8)的若干個虛擬計算機(7)，其中所述服務PC(2)與所述中央計算機(5)可以通過連接(9)相連，並且其中所述中央計算機(5)可以通過被設置用於分配給機器控制器(3)的通信連接(8)的虛擬計算機(7)與該機器控制器(3)相連。
文檔編號G05B19/042GK101164026SQ200680013474
公開日2008年4月16日 申請日期2006年4月20日 優先權日2005年4月22日
發明者R·蒂林格 申請人:特倫普夫雷射兩合公司