Способ дистанционного управления и/или регулирования системы

Изобретение относится к области управления и/или регулирования удаленных систем. Оно касается способа дистанционного управления и/или регулирования системы, в частности промышленной установки, согласно ограничительной части независимого пункта формулы.

Возможности дистанционного контроля, управления и/или регулирования являются важным фактором при разработке любых видов систем, в частности промышленных установок и питающих установок, например, в области электричества, воды и тепла. Такие возможности обеспечивают повышение эффективности и гибкости при эксплуатации и обслуживании систем, в частности, в отношении работы с клиентами и сервисной службы, а также при нормальной работе комплексных систем в случае, если требуется частое вмешательство обслуживающего персонала для бесперебойной работы систем. Один из аспектов дистанционного контроля и управления касается при этом передачи касающейся системы информации, например в виде предупреждения или тревоги, и последующего квитирования командной информации в качестве реакции обслуживающего персонала.

В ЕР 617350 раскрыт способ дистанционного управления установками отопления или кондиционирования, а также самодиагностики с дистанционной передачей результатов диагностики. При самодиагностике важные для диагностики данные об установке отопления или кондиционирования регистрируют, обрабатывают, кодируют и после установления соединения передают в качестве диагностической информации на внешнее приемное устройство, где их принимают, декодируют, обрабатывают, отображают, распечатывают и/или запоминают. При дистанционном управлении сначала создают информационное соединение от внешнего командного устройства к устройству связи, а затем кодируют командную информацию в командном устройстве, передают к устройству связи, там принимают и декодируют и в заключение обрабатывают и/или выполняют в устройстве связи и/или в устройстве управления и/или регулирования установки отопления или кондиционирования. Передача диагностической и/или командной информации может происходить при этом по прямой линии, однако можно использовать для передачи обычные существующие системы передачи информации, например телекоммуникационные системы, такие как телефон, факс, городской вызов и т.п.

Проблема дистанционных управляемых и/или регулируемых систем состоит в возможности вмешательства в систему посторонних лиц. В случае, если устройство связи имеет соединение с общедоступной сетью, например телекоммуникационной системой, соединение с устройством связи может быть установлено посторонними лицами без больших трудностей. Если известен протокол кодирования/декодирования командной информации, то посторонние лица могут очень легко передать командную информацию устройству связи. При ее соответствующем выполнении устройством управления и/или регулирования могут возникнуть сбои или даже повреждения системы, а при определенных обстоятельствах в зависимости от системы может возникнуть угроза для окружающей среды или ее загрязнение. В ЕР 617350 предложено поэтому осуществить в устройстве связи перед собственно вводом командной информации аутентификацию пользователя. Для этого необходимо ввести пароль или код, который подтверждает право доступа к устройству связи и, тем самым, к системе.

В то время как за счет аутентификации пользователя можно в значительной степени устранить опасность доступа посторонних лиц, тем не менее, определенный риск остается. Это, в частности, происходит тогда, когда посторонним лицам известен или становится известен пароль или код.

Особую опасность представляют, кроме того, атаки хакеров. Это - вмешательство посторонних лиц, целью которого является угадывание пароля и/или код путем повторных попыток. Здесь особенно уязвимы прежде всего такие системы, устройства связи которых имеют соединения с компьютерными сетями, поскольку атака хакеров может быть автоматизирована с помощью компьютерных программ и/или скриптов, так что в течение короткого времени можно осуществить очень большое число попыток по угадыванию пароля и/или кода.

Изобретение ссылается на способ дистанционного управления и/или регулирования приборов по WO 01/72012. В раскрытом здесь способе от системы через устройство связи на приемник посылают уведомление с подтверждающим кодом. Приемник может использовать подтверждающий код для того, чтобы снабдить сообщение системе контрольным кодом. В системе можно из сообщения выделить контрольный код и с помощью подтверждающего и контрольного кодов проверить аутентичность сообщения. Поскольку подтверждающий и контрольный коды служат для аутентификации сообщений и не зависят от адресов принимающих приборов, можно при необходимости использовать для разных приборов одинаковые подтверждающий и контрольный коды.

В WO 01/48722 раскрыт дистанционно управляемый телеметрический модуль, выполненный в виде сигнализатора и блока управления. Если блок управления принимает сообщение, то содержащиеся в нем управляющие команды должны выполняться только тогда, когда сообщение было послано авторизованным лицом. Для этого проверяют, совпадает ли, по меньшей мере, часть вызывного номера отправителя с хранящимся в памяти авторизирующим вызывным номером. Это предполагает, что сеть связи поддерживает передачу вызывного номера отправителя. Идентификация отправителя происходит независимо от передаваемого сообщения и не может быть зашифрована вместе с ним или независимо от него. Этот вид распознавания и авторизации отправителя обеспечивает поэтому лишь небольшую степень безопасности.

В US 6201996 В1 раскрыты способ и устройство для дистанционного управления промышленной установкой через Интернет. Для безопасности пользователя раскрыты защищенный кодом доступ к Web-странице устройства связи, зашифровывание передаваемых через сеть данных и подходящая аутентификация пользователя, с помощью которой пользователь получает право доступа к регламентированной Web-странице, через которую он может осуществлять дистанционное управление установкой. Идентификация отправителя не является неотъемлемой составной частью передаваемого сообщения на Web-страницу. Напротив, аутентификацию пользователя осуществляют перед доступом к защищаемым данным или контрольным механизмам и независимо от защищаемых данных или командной информации.

В ЕР 0930792 раскрыты система и способ беспроводной передачи данных состояния на приборный интерфейс. Во избежание несанкционированного доступа идентификационные данные отправителя могут быть переданы с сообщением. Для этой цели передают, например, телефонный номер отправителя.

Задача изобретения состоит в создании способа дистанционного управления и/или регулирования систем, благодаря которому можно эффективно минимизировать опасность манипулирования посторонними лицами и защищаться, в частности, от атак хакеров.

Далее задачей изобретения является создание надежного способа дистанционного управления и/или регулирования системы, который обходился бы без необходимости аутентификации пользователя перед собственно передачей командной информации и был бы, тем самым, простым и эффективным.

Эти задачи решаются с помощью признаков способа по пункту 1 формулы изобретения. Уведомление, которое включает в себя касающуюся системы информацию и подтверждающий код, передают при этом от приданного системе устройства связи, преимущественно заранее определенному приемному устройству. После того, как устройство связи в определенный момент времени примет после передачи уведомления сообщение, из этого сообщения выделяют по заданному правилу контрольный код. С помощью подтверждающего и контрольного кодов с учетом заданного правила проверяют происхождение сообщения, т.е. проверяют, происходит ли сообщение от получателя уведомления. Таким образом, с помощью подтверждающего и контрольного кодов можно удостовериться, является ли полученное сообщение ответом на переданное уведомление.

При этом подтверждающий код имеет ограниченное действие, и подтверждающий код дополняют информацией о сроке действия.

Только в тех случаях, когда было успешно проверено, что сообщение происходит от получателя уведомления, из полученного сообщения дополнительно к контрольному коду по заданному правилу командную информацию выделяют и обрабатывают и/или выполняют системой.

В случае же, если с помощью подтверждающего и контрольного кодов не удалось удостовериться, что полученное сообщение является ответом на переданное уведомление, командную информацию вообще не выделяют из сообщения или выделенную командную информацию игнорируют.

Эта и другие задачи, преимущества и признаки изобретения приведены в нижеследующем подробном описании предпочтительного примера выполнения изобретения в сочетании с чертежом.

На фиг.1 изображена блок-схема системы, дистанционно управляемой и/или регулируемой способом, согласно изобретению.

Используемые на чертеже ссылочные позиции и их значение приведены в перечне ссылочных позиций.

На фиг.1 изображена блок-схема системы 1, дистанционно управляемой и/или регулируемой способом, согласно изобретению, через устройство 2 связи, содержащее системный 21 и сетевой 22 интерфейсы. Сетевой интерфейс 22 располагает, по меньшей мере, одним средством для передачи и средством для приема уведомлений или сообщений.

Касающиеся системы данные собирают и, при необходимости, подготавливают в устройстве 2 связи, подключенном устройстве обработки данных и/или подблоке системы 1. Данные могут касаться системы 1 непосредственно и/или косвенно. Это могут быть, с одной стороны, эксплуатационные параметры, такие, например, как температура, давление, расход веществ, параметры конфигурации, такие как положения выключателей или клапанов, а с другой стороны, также параметры окружающей среды, такие, например, как температура окружающей среды и т.п. Речь может идти, как в названных примерах, об отдельных данных, выражаемых отдельным числовым значением, предпочтительно, однако, о комплексных блоках данных, предварительно обработанных подблоком системы. Данные объединяют затем в информацию. При этом информация может состоять только из одного отдельного данного, может быть составлена из множества данных или может быть результатом анализа данных, проведенного в устройстве 2 связи, подключенном устройстве обработки данных и в самой системе 1.

Уведомление, содержащее информацию, передают при выполнении определенных условий от устройства 2 связи через сетевой интерфейс 21 к приемному устройству 3. Условием передачи уведомления является преимущественно диагностированная при обработке данных ошибка в системе 1. Возможна, однако, передача уведомления независимо от состояния системы 1, например, когда косвенно касающийся системы 1 параметр, такой как температура окружающей среды, выше или ниже определенного предельного значения. В названных ситуациях передача уведомления представляет собой в определенной степени тревогу. Предпочтительно уведомление может быть передано также в установленное время, в установленный день или в заданные сроки.

Уведомление дополняют с помощью устройства 2 связи подтверждающим кодом. Для этой цели информацию и подтверждающий код объединяют по первому комбинационному правилу. Предпочтительно это происходит за счет связывания между собой информации и подтверждающего кода. Если информация и подтверждающий код состоят из числовых последовательностей, то при связывании их между собой вставляют предпочтительно заданные управляющие или специальные знаки в качестве сепаратора.

Подтверждающий код имеет преимущественно одноразовое действие и подлежит временному ограничению. Подтверждающий код генерируют при этом подходящим образом, например посредством генератора случайных чисел, так что он непредсказуем для посторонних лиц. Временное ограничение и одноразовое действие затрудняют манипулирование системой 1 посторонними лицами в случаях, когда подтверждающий код становится известен.

Способ, согласно изобретению, продолжают, как только от устройства 2 связи через сетевой интерфейс 21 будет принято сообщение. Устройство 2 связи выделяет затем из сообщения по первому правилу выделения контрольный код. Происхождение принятого сообщения проверяют с помощью подтверждающего и контрольного кодов. Предпочтительно для этой цели используют контрольный код, идентичный подтверждающему коду. Проверка происхождения осуществляется тогда путем сравнения подтверждающего и контрольного кодов. Для этого при передаче уведомления необходимо сохранить копию подтверждающего кода с тем, чтобы иметь его в распоряжении для сравнения при последующем приеме сообщения. Временное ограничение действия подтверждающего кода обеспечивается в этом случае предпочтительно за счет того, что информацию о сроке действия запоминают вместе с подтверждающим кодом. Однако предпочтительно применима также проверка без явного знания подтверждающего кода. Так, для проверки могут быть привлечены, в том числе, определенные свойства подтверждающего кода, например его сумма цифр числа. Контрольный код должен быть тогда проверен только на эти свойства, в этом примере на сумму цифр числа.

Помимо контрольного кода из сообщения, кроме того, выделяют по первому правилу выделения командную информацию. Только при успешной проверке с помощью подтверждающего и контрольного кодов командную информацию направляют с целью ее выполнения системе 1 от устройства 2 связи через системный интерфейс 22, при необходимости после предшествующей обработки. При этом преимущественно между устройством 2 связи и системой 1 предусмотрено управляющее устройство, к которому подают командную информацию, откуда ее направляют к системе 1. Если проверка не была успешной, командную информацию игнорируют.

Первое правило выделения имеет при этом преимущественно такое свойство, что контрольный код и командную информацию выделяют путем вырезания частей сообщения.

Как следует из приведенных пояснений, применение способа, согласно изобретению, гарантирует, что только получатель уведомления и, тем самым, подтверждающего кода способен подавать команды по дистанционному управлению и/или регулированию системы. Для того чтобы сделать это, получатель по второму правилу выделения, являющемуся инверсией комбинационного правила, должен прежде всего выделить из уведомления подтверждающий код. Из команд, которые он намерен подать, он может вместе с подтверждающим кодом, зная первое правило выделения, генерировать сообщение, из которого устройство 2 связи после приема им этого сообщения выделяет контрольный код, который приводит к успешной проверке сообщения и, тем самым, к выделению и преобразованию командной информации. Для этого он должен использовать второе комбинационное правило, которое обеспечивает это.

В другом предпочтительном выполнении способа, согласно изобретению, из сообщения по третьему правилу выделения выделяют информацию об отправителе. В устройстве 2 связи информацию об отправителе проверяют и только в случае успешной идентификации отправителя, т.е. совпадения информации об отправителе с запомненными данными об авторизованных пользователях, командную информацию направляют от устройства 2 связи к системе 1 и/или обрабатывают ее. Преимущественно информация об отправителе включает в себя при этом секретный пароль или секретный код. В этом случае речь идет о так называемой сильной аутентификации пользователя, т.е. отправителя аутентифицируют в качестве авторизованного пользователя за счет того, что он, с одной стороны, что-то знает, а именно пароль или код, а с другой стороны, чем-то располагает - в данном случае приемным устройством 3, которому было передано уведомление или уведомление, принятое им с помощью приемного устройства 3. Получатель уведомления должен при этом дополнить сообщение, которое он генерирует, информацией об отправителе по третьему комбинационному правилу.

В одном предпочтительном выполнении способа, согласно изобретению, подтверждающий и контрольный коды и/или информацию об отправителе передают в зашифрованном виде. Для этого преимущественно зашифровывают сам подтверждающий код и/или саму информацию об отправителе, прежде чем уведомление или сообщение будет дополнено ею соответственно по первому или третьему комбинационному правилу. Предпочтительно, однако, может быть зашифровано все уведомление и/или сообщение. После получения устройством 2 связи зашифрованного сообщения оно должно быть сначала расшифровано. Если контрольный код или информация об отправителе после выделения из сообщения зашифрована, то ее необходимо расшифровать. Если сообщение содержит информацию об отправителе, то за счет зашифрованной передачи дополнительно уменьшается опасность манипулирования посторонними лицами, поскольку из подслушанных или перехваченных сообщений невозможно так просто получить информацию об отправителе. Даже если действие подтверждающего кода подлежит временнóму ограничению, зашифрованная передача является предпочтительной. В этом случае подтверждающий код может быть дополнен информацией о сроке действия непосредственно, например путем присоединения. Манипулирование информацией о сроке действия получателем исключено. После расшифровывания сообщения или контрольного кода в устройстве 2 связи информация о сроке действия снова имеется в виде открытого текста. В запоминании информации о сроке действия, тем самым, нет необходимости.

В одном предпочтительном выполнении способа, согласно изобретению, уведомление или сообщение посылают или принимают посредством текстовых сообщений по сети GSM или ISDN.

В другом предпочтительном выполнении способа, согласно изобретению, сообщение принимают через общедоступную компьютерную сеть, преимущественно Интернет.

Средства, используемые при осуществлении способа, согласно изобретению, в соответствии с приведенным описанием, такие как устройство 2 связи, сетевой интерфейс 21, системный интерфейс 22, приемное устройство 3 и устройство управления, следует понимать как функциональные элементы, и они необязательно должны быть выполнены в виде самостоятельных физических блоков. Так, этим способом можно дистанционно управлять и/или регулировать предпочтительно также систему 1, у которой устройство связи и/или устройство управления интегрировано в систему 1. Предпочтительно устройство 2 связи может быть интегрировано также в компьютер, в котором установлено также устройство управления. Предпочтительно компьютер служит также устройством обработки данных при сборе и анализе касающихся системы данных.

Способ, согласно изобретению, может предпочтительно применяться также при дистанционном управлении и/или регулировании компьютеризированных систем, например систем обработки данных, систем финансовых сделок или торговых систем.

Получателем уведомления может быть, как правило, физическое лицо. Уведомление может быть в этом случае получено предпочтительно также в акустической форме и состоять, например, из временной последовательности информации и подтверждающего кода. Возможно также, чтобы получатель представлял собой электронный прибор, который создает сообщение с подходящей командной информацией автоматически в качестве ответа на уведомление и передает обратно к устройству 2 связи.

1. Способ дистанционного управления и/или регулирования, по меньшей мере, одной системы, в частности промышленной установки, с использованием устройства связи, подсоединенного к системе, причем

от устройства связи передают заранее определенному приемному устройству уведомление, которое содержит информацию, касающуюся системы, и подтверждающий код,

при этом информацию, касающуюся системы, и подтверждающий код объединяют по первому комбинационному правилу,

после передачи уведомления приемному устройству устройство связи в определенный момент времени принимает сообщение, из которого по первому правилу выделения выделяют контрольный код,

путем сравнения подтверждающего и контрольного кодов проверяют, получено ли сообщение от получателя уведомления,

и только в случае успешной проверки, когда полученное сообщение является ответом на переданное уведомление, из полученного сообщения по первому правилу выделения дополнительно к контрольному коду выделяют командную информацию, которую обрабатывают системой,

причем подтверждающий код дополняют информацией о сроке действия, посредством которой определяют ограничение по времени действия подтверждающего кода.

2. Способ по п.1, отличающийся тем, что информацию о сроке действия присоединяют к подтверждающему коду или подтверждающий код предваряют ею.

3. Способ по п.1, отличающийся тем, что подтверждающий код имеет одноразовое действие.

4. Способ по п.1, отличающийся тем, что при передаче уведомления сохраняют копию подтверждающего кода с тем, чтобы иметь его в распоряжении для сравнения при последующем приеме сообщения, а информацию о сроке действия запоминают вместе с подтверждающим кодом.

5. Способ по п.1, отличающийся тем, что при передаче уведомления сохраняют копию подтверждающего кода с тем, чтобы иметь его в распоряжении для сравнения при последующем приеме сообщения.

6. Способ по п.1, отличающийся тем, что подтверждающий код дополняют информацией о сроке действия непосредственно, причем подтверждающий код передают в зашифрованном виде, а после^: расшифровывания сообщения или контрольного кода в устройстве связи снова получают информацию о сроке действия в виде открытого текста, при этом не происходит запоминание информации о сроке действия в устройстве связи.

7. Способ по п.3, отличающийся тем, что подтверждающий код дополняют информацией о сроке действия непосредственно, причем подтверждающий код передают в зашифрованном виде, а после расшифровывания сообщения или контрольного кода в устройстве связи снова получают информацию о сроке действия в виде открытого текста, при этом не происходит запоминание информации о сроке действия в устройстве связи.

8. Способ по п.1, отличающийся тем, что подтверждающий код генерируют посредством генератора случайных чисел.

9. Способ по п.1, отличающийся тем, что зашифровывают сам подтверждающий код, прежде чем им по первому комбинаторному правилу будет дополнено уведомление или сообщение.

10. Способ по п.1, отличающийся тем, что контрольный код передают в зашифрованном виде.

11. Способ по одному из пп.1-10, отличающийся тем, что от получателя уведомления подтверждающий код по второму правилу выделения выделяют из сообщения и от получателя уведомления команду вместе с подтверждающим кодом по второму комбинационному правилу комбинируют в сообщение.

12. Способ по одному из пп.1-10, отличающийся тем, что от получателя уведомления сообщение, которое он генерирует, дополняют по третьему комбинационному правилу информацией об отправителе, из сообщения по третьему правилу выделения выделяют информацию об отправителе, с помощью информации об отправителе и запомненных данных об отправителе идентифицируют отправителя, только в случае успешной проверки, происходит ли сообщение от получателя уведомления, и успешной идентификации отправителя командную информацию после выделения из сообщения контрольного кода и информации об отправителе преобразуют с помощью системы, а в случае, если проверка и/или идентификация отправителя не была успешна или не были успешны, командную информацию оставляют без внимания.

13. Способ по п.12, отличающийся тем, что информация об отправителе содержит секретный пароль или секретный код.

14. Способ по п.12, отличающийся тем, что информацию об отправителе передают в зашифрованном виде.

15. Способ по п.12, отличающийся тем, что зашифровывают саму информацию об отправителе, прежде чем ею по третьему комбинационному правилу будет дополнено сообщение.

16. Способ по одному из пп.1-10, отличающийся тем, что зашифровывают все уведомление и/или сообщение.

17. Способ по п.11, отличающийся тем, что зашифровывают все уведомление и/или сообщение.

18. Способ по п.12, отличающийся тем, что зашифровывают все уведомление и/или сообщение.

19. Способ по одному из пп.1-10, отличающийся тем, что уведомление и/или сообщение отправляют и/или принимают посредством текстовых сообщений.

20. Способ по одному из пп.1-10, отличающийся тем, что сообщение принимают через Интернет.