用于安全的遠(yuǎn)程訪問(wèn)的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001] 本公開(kāi)主要涉及通信安全,尤其涉及的是用于安全的遠(yuǎn)程訪問(wèn)的系統(tǒng)和方法。
【背景技術(shù)】
[0002] 監(jiān)視和診斷(M&D)中心可以為發(fā)電站及其他資產(chǎn)提供諸如服務(wù)。此類(lèi)服務(wù)可以包 括資產(chǎn)監(jiān)視、事件追蹤、跳閘事件報(bào)告、根本原因分類(lèi)、事故停電檢測(cè)、以及帶有針對(duì)站點(diǎn)的 各種建議的診斷和報(bào)告。通過(guò)分析,可以推導(dǎo)出原始工作數(shù)據(jù)和后期處理數(shù)據(jù),并且不同 的工程團(tuán)隊(duì)可以使用這些數(shù)據(jù)來(lái)執(zhí)行性能及可靠性研宄、保修期間支持以及工程研宄和開(kāi) 發(fā)。
[0003] 然而,龐大的現(xiàn)有發(fā)電站集合需要相對(duì)安全的文件傳輸,并且提出了新的需求。很 多站點(diǎn)需要符合北美電力可靠性公司(NERC)或其他監(jiān)管安全需求以及其他通信安全挑 戰(zhàn)。此外,這其中的很多站點(diǎn)只具有帶寬有限的連接以及較不穩(wěn)定或者在其他方面不夠可 靠的鏈路。
[0004] 通常,現(xiàn)場(chǎng)監(jiān)視是在發(fā)電站基礎(chǔ)設(shè)施內(nèi)部進(jìn)行的?,F(xiàn)場(chǎng)網(wǎng)絡(luò)通常會(huì)受防火墻以及 位于發(fā)電站邊緣的代理的保護(hù),其中所述防火墻和代理可以阻止進(jìn)入連接,由此迫使現(xiàn)場(chǎng) 監(jiān)視不可路由。而且,防火墻通常還會(huì)阻塞所有標(biāo)準(zhǔn)的雙向TCP/HTTP通信端口,從而確保 系統(tǒng)安全性。另外,為了向執(zhí)行監(jiān)視和診斷的用戶(hù)提供遠(yuǎn)程訪問(wèn)現(xiàn)場(chǎng)監(jiān)視處理以及執(zhí)行某 些管理和營(yíng)運(yùn)任務(wù)的能力,同樣需要安全的遠(yuǎn)程訪問(wèn)。
[0005] 當(dāng)前的通信通常需要基于雙向通信端口的方案,并且當(dāng)前的數(shù)據(jù)傳輸技術(shù)通常無(wú) 法適當(dāng)處理?yè)芴?hào)或低帶寬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(例如大量的等待時(shí)間,壓力狀況下的帶寬管理)。 此外也沒(méi)有提供單向的通用文件傳輸解決方案。
[0006] 為了滿(mǎn)足新的以及日益增長(zhǎng)的客戶(hù)安全性需求,需要具有相對(duì)安全的文件傳輸解 決方案,以便提供用于在現(xiàn)場(chǎng)監(jiān)視系統(tǒng)與中央監(jiān)視和診斷基礎(chǔ)設(shè)施之間傳輸數(shù)據(jù)的安全數(shù) 據(jù)傳輸。對(duì)于符合NERC或其他監(jiān)管安全需求以及其他通信安全挑戰(zhàn)的只具有有限帶寬的 連接以及較不穩(wěn)定或者在其他方面不夠可靠的鏈路的現(xiàn)場(chǎng)監(jiān)視站點(diǎn)來(lái)說(shuō),有必要部署安全 的文件傳輸套件來(lái)為其提供支持。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的某些實(shí)施例可以解決以上的一些或所有需求。根據(jù)一例示實(shí)施例,所公 開(kāi)的是一種用于封裝遠(yuǎn)程訪問(wèn)會(huì)話數(shù)據(jù)的方法。該方法可以包括:從終端用戶(hù)計(jì)算機(jī)接收 關(guān)于遠(yuǎn)程連接至位于防火墻之后的現(xiàn)場(chǎng)系統(tǒng)的請(qǐng)求,其中該防火墻阻止進(jìn)入連接。該方法 還可以包括:中央系統(tǒng)在對(duì)來(lái)自現(xiàn)場(chǎng)系統(tǒng)的先前消息回復(fù)中發(fā)起會(huì)話請(qǐng)求消息,在現(xiàn)場(chǎng)系 統(tǒng)與遠(yuǎn)程連接服務(wù)器之間建立連接,現(xiàn)場(chǎng)系統(tǒng)在中央系統(tǒng)打開(kāi)安全隧道,所述現(xiàn)場(chǎng)系統(tǒng)加 密用于傳送的數(shù)據(jù),現(xiàn)場(chǎng)系統(tǒng)完成驗(yàn)證過(guò)程,在終端用戶(hù)計(jì)算機(jī)與現(xiàn)場(chǎng)系統(tǒng)之間建立連接, 以及將數(shù)據(jù)從中央系統(tǒng)傳輸?shù)浆F(xiàn)場(chǎng)系統(tǒng)。
[0008] 在另一實(shí)施例中,所公開(kāi)的是一種用于封裝遠(yuǎn)程訪問(wèn)會(huì)話數(shù)據(jù)的系統(tǒng)。該系統(tǒng)可 以包括:中央系統(tǒng),其可操作以從終端用戶(hù)計(jì)算機(jī)接收關(guān)于遠(yuǎn)程連接到位于防火墻之后的 現(xiàn)場(chǎng)系統(tǒng)的請(qǐng)求,其中該防火墻阻止進(jìn)入連接。與現(xiàn)場(chǎng)系統(tǒng)通信的中央系統(tǒng)可操作以在對(duì) 來(lái)自現(xiàn)場(chǎng)系統(tǒng)的先前消息回復(fù)中發(fā)起會(huì)話請(qǐng)求消息?,F(xiàn)場(chǎng)系統(tǒng)可操作以連接到遠(yuǎn)程桌面服 務(wù)器,打開(kāi)連接到中央系統(tǒng)的安全隧道,對(duì)用于傳送至中央系統(tǒng)的數(shù)據(jù)進(jìn)行加密,完成驗(yàn)證 過(guò)程,以及將數(shù)據(jù)傳送到中央系統(tǒng)。
[0009] 在另一實(shí)施例中,所公開(kāi)的是一種包含指令的非暫時(shí)性計(jì)算機(jī)可讀媒體,其中在 被一個(gè)或多個(gè)處理器運(yùn)行時(shí),所述指令可以從終端用戶(hù)計(jì)算機(jī)接收關(guān)于遠(yuǎn)程連接到位于防 火墻之后的現(xiàn)場(chǎng)系統(tǒng)的請(qǐng)求,其中該防火墻阻止進(jìn)入連接,在對(duì)來(lái)自現(xiàn)場(chǎng)系統(tǒng)的先前消息 回復(fù)中發(fā)起會(huì)話請(qǐng)求消息,在現(xiàn)場(chǎng)系統(tǒng)與遠(yuǎn)程連接服務(wù)器之間建立連接,由現(xiàn)場(chǎng)系統(tǒng)在中 央系統(tǒng)打開(kāi)安全隧道,對(duì)用于傳送的數(shù)據(jù)進(jìn)行加密,由現(xiàn)場(chǎng)系統(tǒng)完成驗(yàn)證過(guò)程,在終端用戶(hù) 計(jì)算機(jī)與現(xiàn)場(chǎng)系統(tǒng)之間建立連接,以及將數(shù)據(jù)從中央系統(tǒng)傳輸?shù)浆F(xiàn)場(chǎng)系統(tǒng)。
[0010] 在這里還詳細(xì)描述了本公開(kāi)的其他實(shí)施例、特征和方面,并且將其認(rèn)為是請(qǐng)求保 護(hù)的本公開(kāi)的一部分。通過(guò)參考以下的具體實(shí)施當(dāng)時(shí)、附圖以及權(quán)利要求,可以理解所述其 他實(shí)施例、特征和方面。
【附圖說(shuō)明】
[0011] 現(xiàn)在將參考附圖,其中所述附圖不必按比例繪制,并且其中:
[0012] 圖1是根據(jù)本公開(kāi)實(shí)施例的用于提供在現(xiàn)場(chǎng)監(jiān)視系統(tǒng)與中央監(jiān)視和診斷基礎(chǔ)設(shè) 施之間傳輸數(shù)據(jù)的安全數(shù)據(jù)傳輸?shù)睦鞠到y(tǒng)架構(gòu)的示意性框圖。
[0013] 圖2示出的是根據(jù)本公開(kāi)實(shí)施例的例示現(xiàn)場(chǎng)監(jiān)視系統(tǒng)的示意性框圖。
[0014] 圖3示出的是根據(jù)本公開(kāi)實(shí)施例的例示中央監(jiān)視和診斷基礎(chǔ)設(shè)施的示意性框圖。
[0015] 圖4示出的是根據(jù)本公開(kāi)實(shí)施例的例示現(xiàn)場(chǎng)監(jiān)視系統(tǒng)的功能框圖。
[0016] 圖5是示出了根據(jù)本公開(kāi)實(shí)施例的用于在現(xiàn)場(chǎng)監(jiān)視系統(tǒng)與中央監(jiān)視和診斷基礎(chǔ) 設(shè)施之間對(duì)數(shù)據(jù)執(zhí)行的例示安全文件上傳處理的流程圖。
[0017] 圖6是示出了根據(jù)本公開(kāi)實(shí)施例的用于在現(xiàn)場(chǎng)監(jiān)視系統(tǒng)與中央監(jiān)視和診斷基礎(chǔ) 設(shè)施之間對(duì)數(shù)據(jù)執(zhí)行的例示安全文件下載處理的流程圖。
[0018] 圖7是示出了針對(duì)現(xiàn)場(chǎng)監(jiān)視系統(tǒng)的例示安全遠(yuǎn)程訪問(wèn)的流程圖。
【具體實(shí)施方式】
[0019] 以下將參考附圖來(lái)更全面地描述本公開(kāi)的例示實(shí)施例,其中所述附圖顯示了一些 但并非所有實(shí)施例。實(shí)際上,本公開(kāi)可以采用多種不同的方式實(shí)施,并且不應(yīng)被解釋成僅限 于這里闡述的實(shí)施例;相反,這些實(shí)施例是為使本公開(kāi)滿(mǎn)足適當(dāng)?shù)姆梢惶峁┑摹O?同的參考數(shù)字始終標(biāo)引的是相同的部件。
[0020] 為了實(shí)現(xiàn)支持關(guān)于發(fā)電站的現(xiàn)場(chǎng)監(jiān)視處理的安全遠(yuǎn)程文件傳輸,目前業(yè)已開(kāi)發(fā)出 結(jié)合了不同硬件、軟件和聯(lián)網(wǎng)技術(shù)的新的基礎(chǔ)設(shè)施。本公開(kāi)的某些實(shí)施例具有能以異步、面 向服務(wù)的方式來(lái)從位于現(xiàn)場(chǎng)監(jiān)視系統(tǒng)的存儲(chǔ)庫(kù)中提取數(shù)據(jù)以及將數(shù)據(jù)傳輸至中央存儲(chǔ)庫(kù) 以進(jìn)行分析的技術(shù)效果。本公開(kāi)的某些實(shí)施例的另一技術(shù)效果是允許在中央監(jiān)視和診斷基 礎(chǔ)設(shè)施中的指定服務(wù)器與現(xiàn)場(chǎng)監(jiān)視系統(tǒng)之間執(zhí)行異步、并行、同時(shí)的文件下載和上傳處理, 并且同時(shí)還提供了安全的動(dòng)態(tài)服務(wù)保證以及可靠性特征。本公開(kāi)的其他實(shí)施例可以具有能 對(duì)現(xiàn)場(chǎng)監(jiān)視系統(tǒng)進(jìn)行安全的遠(yuǎn)程訪問(wèn)以及能夠執(zhí)行某些營(yíng)運(yùn)和管理任務(wù)的技術(shù)效果。
[0021] 參考附圖1,該圖顯示的是用于在現(xiàn)場(chǎng)監(jiān)視系統(tǒng)110與中央監(jiān)視和診斷基礎(chǔ)設(shè)施 之間提供用于傳輸數(shù)據(jù)的安全數(shù)據(jù)傳輸?shù)睦鞠到y(tǒng)架構(gòu)100的示意性框圖。
[0022] 現(xiàn)場(chǎng)監(jiān)視系統(tǒng)110可以使用具有各種連網(wǎng)絡(luò)能力且基于Windows?的平臺(tái)102 (通 常是高計(jì)算服務(wù)器)來(lái)實(shí)施,并且該系統(tǒng)可被配置在位于公司防火墻108之后的發(fā)電站上。 現(xiàn)場(chǎng)網(wǎng)絡(luò)106可以受防火墻108以及位于發(fā)電站邊緣的代理104的保護(hù),其中所述防火墻 和代理會(huì)阻止進(jìn)入連接,并且由此迫使現(xiàn)場(chǎng)監(jiān)視是不可路由的。此外,防火墻108還會(huì)阻塞 所有標(biāo)準(zhǔn)的雙向TCP/HTTP通信端口。
[0023] 該現(xiàn)場(chǎng)監(jiān)視的安全遠(yuǎn)程訪問(wèn)解決方案可以為執(zhí)行監(jiān)視和診斷的用戶(hù)119、134提 供安全地遠(yuǎn)程訪問(wèn)現(xiàn)場(chǎng)監(jiān)視系統(tǒng)110以及執(zhí)行某些營(yíng)運(yùn)或管理任務(wù)的能力。通信安全性可 以是通過(guò)集成HTTPS/TLS協(xié)議棧以及名為智能代理的定制軟件包來(lái)提供的。
[0024] 使用中央系統(tǒng)內(nèi)聯(lián)網(wǎng)114的用戶(hù)119或與外部因特網(wǎng)130相連的遠(yuǎn)端用戶(hù)134可 以與遠(yuǎn)程企業(yè)服務(wù)器118建立連接遠(yuǎn)程企業(yè)服務(wù)器118可以與企業(yè)隧道服務(wù)器116建立連 接。由此,用戶(hù)119、134可以建立由連接到現(xiàn)場(chǎng)監(jiān)視系統(tǒng)110的用戶(hù)發(fā)起的遠(yuǎn)程桌面協(xié)議 (RDP)會(huì)話。通過(guò)使用基于TLS/SSL的隧道化方法來(lái)封裝遠(yuǎn)程訪問(wèn)會(huì)話數(shù)據(jù),,可以提供通 信安全性。
[0025] M&D用戶(hù)119或遠(yuǎn)程用戶(hù)134可以請(qǐng)求與現(xiàn)場(chǎng)監(jiān)視系統(tǒng)110的RDP連接。由于業(yè) 務(wù)端口 443是單向的(僅僅打開(kāi)外出方向),因此,代理服務(wù)器116可以在對(duì)來(lái)自位于現(xiàn)場(chǎng) 監(jiān)視系統(tǒng)110內(nèi)部的服務(wù)器上的智能代理102的任何先前消息回復(fù)中發(fā)起RDP會(huì)話請(qǐng)求消 息。然后,智能代理102可以連接到現(xiàn)場(chǎng)監(jiān)視系統(tǒng)內(nèi)部的RDP模塊。