Für den Fernzugriff in die Steuerungs- und Feldebene über größere Entfernungen – falls erforderlich, um den gesamten Globus – eignen sich GSM-Mobilfunkverbindungen (GSM = Global System for Mobile Communication). Das physikalische Netzwerk auf der Automatisierungsseite wird dabei durch das Funktelefonnetz eines Providers (in Deutschland zum Beispiel T-Mobile, Vodafone u.a.) gebildet. Dieser stellt den Zugang zu einem Mobilfunknetz im Rahmen einer vertraglichen Vereinbarung zur Verfügung. GSM-Mobilfunknetze sind in Europa in den 90er Jahren als so genannte D- und E-Netze auf Basis digitaler Übertragungstechnik entstanden. Die GSM-Technik wurde mit dem Ziel entwickelt, ein mobiles Telefonsystem zu schaffen, das Teilnehmern eine europaweite Mobilität erlaubt und mit ISDN oder herkömmlichen analogen Telefonnetzen kompatible Sprachdienste und Datendienste ermöglicht. Zunächst einmal handelt es sich bei einem GSM-Netz um ein leistungsvermitteltes Netz für die digitale Sprachkommunikation. Praktisch alle GSM-Netze wurden im Laufe der Jahre durch den GPRS-Dienst (GPRS = General Packet Radio Service) erweitert. Diese Ergänzung basiert auf paketvermittelter Kommunikation und dient zur Übertragung von IP-Paketen mit Hilfe der TCP/IP-Protokolle [Wal]. Der GPRS-Dienst verbindet das GSM-Mobilfunknetz des jeweiligen Providers direkt mit dem Internet. Dadurch steht heute jedem geeigneten GSM-Handy ein direkter Internetzugang zur Verfügung, um ortsunabhängig E-Mails zu empfangen, im Web zu surfen, Dateien zu laden usw. Für eine Fernzugriffsanwendung in der Automatisierung wird die GSM/GPRS-Funktionalität in umgekehrter Richtung genutzt. Das GSM-Netz dient in diesem Fall dazu, eine (stationäre) Automatisierungslandschaft über einen GPRS-Gateway mit dem Internet zu verbinden, um von einem ortsgebundenen Teleservice-Arbeitsplatz aus auf die einzelnen Subsysteme zuzugreifen. Für den Fernzugriff reicht ein PC mit DSL-basiertem Internetzugang. Genau genommen wird in einem solchen Anwendungsfall das GSM-Netz lediglich als preiswerte Infrastruktur für stationäre Anwendungen genutzt. Für die physikalische Verbindung zur Automatisierung sind lediglich ein GSM-Modem und eine Antenne erforderlich. Beide Komponenten sind Bestandteile eines GPRS-Gateway. Wie arbeitet ein GRPS-Gateway? Ein GPRS-Gateway ist ein Protokoll- und Schnittstellenkonverter. Auf der einen Seite besitzt eine solche Funktionseinheit ein internes GSM-Modem, einen SIM-Kartensteckplatz (zu jedem GSM-Mobilfunkvertrag gehört leider immer noch eine SIM-Karte, auch wenn der Vertrag für die M2M-Kommunikation benutzt wird) und eine entsprechende Antenne. Die andere Seite wird durch die jeweils benötigten Automatisierungsschnittstellen (Industrial Ethernet, RS232, Feldbus usw.) gebildet. Dazwischen arbeitet ein Mikrorechnersystem mit entsprechender Software, um die erforderlichen Protokolle und Datenformate zwischen der Automatisierungslandschaft und dem GSM-Funknetz umzusetzen und die notwendige Zugriffssicherheit zu gewährleisten. Bild 2 illustriert die typische Einsatzumgebung für einen GPRS-Gateway in der Automatisierung. Im oberen Bereich der Abbildung ist die stets gleiche Funkverbindung zum GSM-Mobilfunknetz zu erkennen. Über die Internet-Anbindung des jeweiligen GSM-Netzes kann ein Teleservice-PC den GPRS-Gateway jederzeit erreichen. Im unteren Abbildungsteil ist der Gateway in die Automatisierungslandschaft eingebunden. Hier ist durch die automatisierungsbedingte Schnittstellenvielfalt ein recht flexibles Konzept erforderlich. Zwei typische Beispiele für GPRS-Gateways sind der Com/PC und die RAK/Box von SSV. Der Com/PC ist ein typischer Industrie-PC mittlerer Leistungsklasse für den Einsatz in Schaltschränken. Er kann mit unterschiedlichen GSM-Modems ausstattet werden und bietet über einen internen M2M-Erweiterungssteckplatz verschiedene Schnittstellen zur Anbindung der Steuerungs- und Feldebene. Die RAK/Box ist ein sehr preiswerter GPRS-Gateway mit einem Quadband GSM-Modem und einem ARM9-basierten Mikrorechnersystem. Sie besitzt wahlweise eine oder zwei 10/100 Mbps Ethernet-LAN-Schnittstellen, ein RS232-Interface sowie einen USB-Host-Port, über den beispielsweise Feldbuserweiterungen angebunden werden können. Zugriffssicherheit Der Fernzugriff auf Automatisierungskomponenten muss stets im Zusammenhang mit einem entsprechenden Zugriffsschutz betrachtet werden. Schließlich ist in jedem Einzelfall sicherzustellen, dass nur autorisiertes Servicepersonal aus der Ferne zugreifen darf und dass die Verbindung gegen unerlaubtes Mithören sowie Angriffe von Außen geschützt ist. Ein GPRS-Gateway muss daher die ungesicherten TCP/IP-Protokolle der Automatisierung in für den Fernzugriff per Internet abgesicherte Protokolle umsetzen. Bild 3 zeigt ein typisches Anwendungsbeispiel. Um den Fernzugriff per GPRS auf die in der Regel völlig ungesicherten Embedded Webserver (HTTP-Server) verschiedener Automatisierungskomponenten zu gestatten, konvertiert der GPRS-Gateway HTTP auf HTTPS. Alternativ kann auch ein abgesicherter SSL- oder VPN-Tunnel zum Einsatz kommen. In der zuvor bereits angesprochenen RAK/Box wurde die Zugriffssicherheit mit Hilfe eines Open-Source-Betriebssystems realisiert. In dieses wurden verschiedene weitere hochwertige Bausteine integriert, um ein Maximum an Sicherheit für den Fernzugriff per GPRS zu gewährleisten. Die drei wichtigsten Ergänzungsbausteine sind: 1. OpenSSL: Durch diesen Baustein steht das als sehr sicher geltende SSL/TLS-Protokoll zur Verfügung. Mit Hilfe von OpenSSL werden darüber hinaus weitergehende Funktionen zur Zertifikatsverwaltung und unterschiedliche kryptographische Verfahren in das Betriebssystem der RAK/Box eingefügt. 2. OpenSSH: Diese recht umfangreiche Sammlung von Hilfsprogrammen ermöglicht verschlüsselte Verbindungen über beliebige IP-Netzwerke. Eine solche SSH-Sitzung dient dem gesicherten Fernzugriff auf einen Rechner und zum Austausch beliebiger Dateien (File Transfer). OpenSSH beinhaltet weiterhin Werkzeuge für das Erzeugen und Verwalten von Authentifizierungsschlüsseln. 3. OpenVPN: Mit Hilfe dieses Ergänzungsbaustein sind Virtuelle Private Netzwerke (VPNs) über eine verschlüsselte TLS-Verbindung möglich. Ein solches VPN ermöglicht ein vollständig abgeschottetes Subnetzwerk über ein öffentliches und somit als unsicher einzustufendes Netzwerk (beispielsweise das Internet). Zur VPN-Verschlüsselung wird OpenSSL benutzt. Darüber hinaus gibt es in der Software der RAK/Box verschiedene Betriebsarten, um den Fernzugriff nur in bestimmten Situationen zuzulassen. Ein Beispiel ist der \’Connect-back mit vorgegebener IP-Adresse\‘-Modus. In diesem Fall besteht keine permanente IP-Verbindung zwischen dem GPRS-Gateway und dem GSM-Netz. Der Gateway wartet auf eine SMS, die den Verbindungsaufbau auslöst. In dieser Nachricht muss ein bestimmter definierter Schlüssel gespeichert sein. Danach wird für eine voreinstellbare Zeitspanne eine GPRS-basierte Verbindung zu einem bestimmten Server im Internet aufgebaut, um den Fernzugriff zu erlauben. Web-Interface zur Benutzerkonfiguration Vor dem Praxiseinsatz muss ein GPRS-Gateway einmalig konfiguriert werden. Hierfür sind verschiedene Benutzerangaben erforderlich. Da wäre zunächst einmal der Mobilfunkprovider und die zur benutzten SIM-Karte gehörende PIN. Sie muss dem internen GSM-Modem mitgeteilt werden. Weiterhin sind verschiedene Sicherheitseinstellungen notwendig, um die zuvor beschriebenen Verschlüsselungsfunktionen zu aktivieren. In der Regel erfolgt die Konfiguration über ein Web-Interface, auf das von einem externen PC aus per Browser zugegriffen wird. Physikalisch erfolgt die Konfigurationsverbindung über das Ethernet-LAN-Interface des Gateways. Bild 4 zeigt die Benutzersicht auf das Web-basierte Konfigurationsinterface der RAK/Box. Das Browser-Fenster wird in drei Teilbereiche gegliedert. Im oberen Bereich werden ein Firmenlogo und eine Überschrift angezeigt. Der linke Rand dient zur Navigation. Hier kann der Benutzer zwischen einzelnen Menüpunkten in hierarchischer Gliederung wählen. Per Mausklick wird jeweils die gewünschte Funktion ausgewählt. Zu jedem ausgewählten Menüpunkt wird in dem rechten Teilbereich eine Eingabemaske dargestellt, in die der Benutzer die gewünschten Einstellungen eintragen kann. Durch einen Klick auf eine bestimmte Schaltfläche werden die Einstellungen von der Software übernommen und dauerhaft in einem nichtflüchtigen Speicher abgelegt. Fazit Eine GPRS-basierte Service- und Diagnoseschnittstelle für den Fernzugriff dürfte sich sehr schnell amortisieren. Die einmaligen Investitionskosten beginnen bereits unterhalb von 300E – Tendenz weiter fallend. Die monatlichen Betriebskosten liegen im Bereich weniger Euro. Stellt man diesem Kostenblock die Reise- und Arbeitszeitkosten für den Besuch eines Servicetechnikers entgegen, wird klar, dass bereits die Summe für einen eingesparten Besuch einen Kostenvorteil ergibt. Darüber hinaus kann der Anbieter einer Anlage dem Betreiber zusätzliche Dienste (Smart Services) wie zum Beispiel Condition Monitoring, Benchmarking, erweiterte Garantieleistungen usw. anbieten. Die dafür erforderlichen Daten können per GPRS permanent abgefragt werden. Hannover Messe 2008: Halle 6, Stand K23
Thematik: Allgemein
SSV Software Systems GmbH
