远程服务(Remote Service/Teleservice) 是指利用通讯技术, 为不同地域(区域)的用户提供实时人工服务。远程服务,并不是一个新的服务方式,已经用在很多的方面,大致会分为两个大类:

电信相关的远程服务,基于语音及通讯方式,包括语音的远程支持以及下单服务,比如呼叫中心,电话订票买保险等等,还有像滴滴,饿了么等的在线订餐叫车服务,甚至目前的快递也真是智障是远程服务器的一种。

还有一个是甚至互联网络的,有在线的客户服务,在线教育,在线医疗,IT 的远程支持服务以及我们这一次要讲的工业远程服务。

工业远程服务的历史也非常悠久,笔者从事机器人自动化行业接近15年,从2010开始就一直使用各工业远程服务产品,可以说几乎使用过市面所有类似的产品,由于业余也在从事一些IT的side project开发,IT界的一些工具也使用了不少,同时也因为使用了很多不同的远程服务产品,更是推出了自研专利的产品,本文是科普文章,不做广告,暂不提产品名称。

远程服务的历史

最早的远程服务历史要追溯到1981,IBM发布了它的第一台个人电脑,微软则推出了DOS(磁盘操作系统),内置了远程访问功能。到了80年代中后期的ARPAnet,也就是后来的万维网,规模不断扩大,用户遍布全球。为了规避使用电话远程长途费,公司和个人转向使用互联网作为远程访问软件平台。到了1993, Mosaic等第一批互联网浏览器发布。接下来宽带隆重登场,新的互联网能够处理图形界面等更高数据要求的服务,同时可以保持始终在线,像pcAnywhere和VNC这样的程序,开始进入市场,允许远程操控。

远程服务带来一个里程碑式的改变,是在1999, 第一个VPN(虚拟专用网络)由思科系统公司创建。VPN在主机端使用防火墙,在远程端使用软件客户端,建立安全的 "隧道",加密的数据可以通过这些隧道传递。这种系统可以远程访问信息,而不会在这个过程中受到被更改、拦截或被盗的威胁。但是,建立点对点VPN系统的成本非常高,而且维护起来也很复杂。

现在,远程服务被用来做各种各样的事情,比如技术支持、故障排除、安全文件共享、软件安装和更新、员工培训、工作组、虚拟课堂、在线订车,订房,订餐厅坐位,甚至叫车订外卖等等。它还改变了信息技术,商业和教育,甚至制造等众多行业。特别是制造业,远程服务在设备制造业的充分使用,让很多的企业使用较少的专家就可以服务全球不同的地方的客户,这一套方案在欧美特别是设备出口最多的德国最为盛行。笔者从2010年起在德国公司工作,2012起在德国工作,所有在德国制造的设备,每一台都必预装远程服务的系统。

为何需要在设备上预装远程服务系统

研究显示,远程解决设备的故障将会产生更高的满意度,因此工程师的效率更高,并且可以节约80%的通勤时间用于工作。甚至有证据表明,很多工程师宁可少拿点工资也愿意在家或者咖啡店完成设备维护和部署的工作。绝大多数的远程部署和诊断很及时,并且质量更高。他们可以很好地保持与客户沟通的能力,很多情况下甚至比身处现场做的更好。试想一下场景,高端设备制造领域,控制专家的数量较少,如果新招一个人快速经过培训就可以去客户现场安装调试设备,如果有问题,专家在后台协助,是不是非常捧?如果设备发生故障,专家在任何地方远程接入处理,是不是可以节约很多的时间?

我们的研究发现,超过30%的客户认为,以下12个优势是在工业里面启用远程服务最明显的:

  • 降低成本
  • 提高员工的效率
  • 提高投资回报
  • 增强客户的使用体验
  • 在市场中提高竞争力
  • 提高产品的持续性改进
  • 优化专家以及资产的使用
  • 改进服务的连续性
  • 提高品牌的差异性
  • 更好的监管设备运行
  • 形成新的收益模式

在汽车行业及其设备制造行业,51%的企业认为,这帮助他们的企业带来了不同级别的品牌提升,特别是通过客户使用体验的提升,让他们在市场上提高了产品的竞争力,带来了一个很好的正向循环。当一个设备制造商可以提供更低价格以及更快速的服务的时候,不仅可以吸引到新的客户,而且老的客户更享受这种提升带来的便捷。这种低成本,但是可以带来高使用体验的付出,被最终用户交口称赞。而且,优质的客户,总是会愿意付出一些小的费用,而获得到更好体验的服务和售后支持。

工业远程服务的基本方案

工业远程服务方案,从技术上来讲,大致有以下4种方式,这几种也是笔者过去15年使用过的:

  1. 基于VNC或者相似的远程服务


这一类的方案方案,需要有网络,现场需要有一台电脑。早期的西门子的TeleServcie,以及后来的Teamviewer,均是类似的方式。

1.1 西门子的Tele-Service


这是一种西门子开发的PLC远程服务试,使用一个TS适配器,其实就是一个调制解调器,需要插入一根电话线,一般客户现场需要准备一条可用的电话线,同时开通拨号服务,使用的时候专家工程师需要知道电话号码,通过拨号连接到远端的PLC,进行设备的诊断和远程服务,因为是56K的调制解调器,速度非常的慢,现在还有一些还在运行中的老设备还能看到的。我们以前在很多汽车行业的设备中都安装有。

1.2. Teamviewer


这两种都是类VNC的方式,特点是需要现场有一台电脑才能连接一台机器,一般是与不同的陌生人共享一台服务器,但是对版本有要求,双方设备的版本不一致无法进行连接。

  1. 基于中心化的硬件VPN


基于硬件的VPN的方式,是把企业级网的技术使用到了工业的远程服务中去,一般需要一台硬件VPN服务器安装在公司机房,然后每一个设备上需要安装一个硬件VPN路由器,作为一个中转。

2.1mGuard


Phoenix Contact的是硬件VPN 远程服务的一种方式,每个设备制造商都需要一个IT部门专门来维护这些服务,在部署的时候,需要在硬件服务器和路由器端生成相关的配置及证书上,专家工程师会连接到服务器,路由器也通过有线的网络连接到服务器,形成内网模式,实现远程的互联。但是这种模式因为需要客户提供有线上网的网络,一般内部操作比较麻烦,特别是大的企业IT的管控比较麻烦,一些客户会专门会这类设备安装一条独立的宽带。这也是因为宽带和VPN的兴起,才出现的服务。现在的mGuard也提供了云硬件服务器的方式,去掉了硬件服务器,相对的降低了成本,只是配置的过程还是一样的。

  1. 基于中心化的云VPN方式


基于中心化的云VPN的方式,则是把硬件VPN服务器这一部分虚拟化,放到了云端,通过云端服务器与服务器一间的切换,可以更好更快的提供服务。使用的时候,专家工程师连接到云端服务器,设备端有一个专门的硬件VPN路由器也同时连接到云端,进行远程控制。

3.1 HMS Network Ewon


eWON的模式是云中心化的VPN架构体系,和mGuard基本的方式是一样的,后台使用了OPENVPN的技术,相对比较传统和老的技术,在使用的时候需要生成证书,客户也需要提供一条网络或者eWON有LTE的版本,但是因为是插卡式的,管理起来有很问题。

  1. 基于SaaS化的分布式的点对点连接


分布式的类VPN连接是一新型的技术,使用了一部分区块链的思想,专家工程师和硬件路由器不再直接连到云端,而是通过一种可信的技术实现直连,好处是数据的交互和响应时间只由专家工程师所在网络和硬件路由器所在网络决定,可以实现更快更安全的远程服务。

几种远程控制的的一些问题

RDC

这个主要谈一下teamviewer,其他类似也是模仿它的。因为远程控制PLC需要使用PLC专门的软件,同时还需要这台远程端的电脑上有PLC软件的授权(当然你说在中国可以装盗版我无话可说,到时做大了律师函上门再急那是你的事情),还需要把PLC的源代码拷贝到这台电脑上使用。一般的机械设备,PLC管控着设备的运行逻辑,有很多企业的核心技术在里面,一般是不能提供的。我的观点是teamviwer适合同一个公司同事之间的远程支持,因为同一个公司同事都安装有类似的软件,但是不适合连接到其他人包括客户。

如何使用公司个人的电脑,则会将企业内网计算机暴露在公共网络中,从而产生安全风险,在访问公共网络的窗口期间就很脆弱(如果它们也对RDC控制开放的话),可能成为网络攻击的目标,并容易受到勒索软件的注入。缓解这些安全问题需要额外的资源,包括人员资源和维护。

但是TeamViewer也有以下几个问题:

  1. 一个teamviewer需要一台电脑才能连接一台机器
  2. teamviewer 与非常多人共享一个数据数据器,有数据泄露隐患
  3. teamviewer无法做到资产管理,无法知道机器上哪一些设备可以远程控制
  4. teamviewer 需要把源代码传输到客户电脑上才可以对PLC进行编程,需要远端的电脑安装PLC软件和其他相关软件,有一些需要购买授权,增加成本
  5. teamviewer无法做到数据接入和未来工业互联的功能拓展
  6. TeamViewer:非商用免费,支持内网穿透,不稳定,对版本有要求,TeamViewer局域网卡顿,设备时不时离线,甚至双方版本不一致也不让用。
  7. Teamviewer 大部分工业内使用还是商用,要收费,一个人一个月148月,二年3552; 50用户448一个月,一次一个用户只能开一个远程,二年10752;企业版的200个用户,3个用户可以开一个远程,一个月858,二年20592

中心化硬件和云VPN

硬件VPN的模式正在慢慢被淘汰,包括前面提到的mGuard也已经有推出专门的Cloud-based云服务,但是这一些服务都有一些不小的问题。

耗时的设置需要丰富的IT知识。

必须配置几个参数--包括IP地址、域名、密钥ID、认证模式、合适的加密算法和高效的散列函数,以便正确建立与远程机器的连接,并交换必要的认证密钥和数据。这个过程很复杂,很耗时,而且需要广泛的IT知识,而大多数自动化工程师并不熟悉这些知识。

远程访问机器需要对企业安全策略进行妥协。

VPN需要一个具有静态公共IP地址的服务器,并且必须配置一些特定的网络端口以允许入站和出站流量。在入站防火墙规则中,用户必须创建NAT规则,让端口转发允许入站VPN连接。在出站防火墙中,需要配置UDP端口500或4500,或者其他一些指定的端口,来处理出站VPN连接。大多数IT部门都不愿意在组织的网络中实施这样的改变,因为这可能会造成网络漏洞,影响网络安全。事实证明,创建安全灵活的防火墙规则是大多数IT部门面临的一大挑战,尤其是管理工业网络的部门。

确保远程连接的安全涉及复杂性和高成本。

机器制造商和机器运营商之间的VPN连接通常是站点到站点的连接,通常让制造商远程访问工厂网络中的所有本地设备。工厂运营商希望限制机器制造者的访问,以便只访问某些机器。例如,工厂运营商需要有办法限制工厂设备的访问,并指定可以远程访问的应用程序,以防止未经授权访问生产信息和未经授权或意外操作工厂设备。减轻这种风险的唯一方法是IT部门使用VPN建立单独的端到端连接,这种方法(如前所述)既复杂又昂贵,从而大大增加了设置和维护成本。

VPN安全很难管理。

实现更高水平安全的一种方法是为每个VPN隧道配备不同的预共享密钥或X.509证书。当所需的VPN隧道/连接数量较少时,管理这些连接的密钥或证书是很容易的。然而,随着VPN隧道数量的增加,管理这些密钥和证书变得非常困难。当VPN服务器或客户端系统发生变化时,必须重新生成证书。当证书过期时,必须分配新的证书并重新加载,这使维护工作更加复杂。

VPN和RDC的可扩展性和灵活性带来了额外的成本。

VPN服务器支持的VPN隧道数量通常是有限的。当企业发展时,越来越多的机器和设备连接到网络上,支持业务运营的工程师数量越来越多。这就导致所需的VPN连接数增加。一旦这个数量超过了VPN服务器的能力,机器建设者就需要安装一个新的VPN服务器,再经历一个耗时的配置过程。

分布式点对点的新型远程

使用分布式方式建立的远程控制,是近年来因为区块链去中心化发展起来的一种新型技术,克服了传统中心化VPN和远程桌面控制技术的一些问题,带来很多的好处:

易用性

a) 即插即用的远程访问不需要技术配置。自动化工程师就可以自行配置,而不需要IT参与,只需要点击一个按钮就可以建立远程连接。
b) 虚拟IP地址使多点访问毫不费力,无需现场重新配置IP。
c) 即可连接集中监控和管理,亦可单独分配给不同的工程师不同的权限。
d)高端的连接硬件,可以自动识别到设备,罗列给工程师甚至提供连接测试。

增强安全性

a) 远程PC和设备之间的端到端加密可以防止数据泄露。云服务器只对两端连接进行认证,不对通过的数据进行解密或存储。
b) 使用特殊定制的硬件,内置LTE的网络,可以让远程的网络与工厂网络完全隔离,也与外网完全隔离,设备不会暴露在公网上。带有内置防火墙的软件系统,可以阻止连接设备访问公共互联网络,从而消除干扰工厂运营的风险。
c) 遵循IT安全策略,对于管理工厂网络的IT部门来说不会带来任何问题和增加额外的工作。
d) 一些定制的高端连接网关,除了自带防火墙之外,还有硬件开关可以做掉物理隔绝。

灵活性和可扩展性

a) 客户端软件不限于特定的硬件平台。用户可以将客户端软件下载到任何笔记本电脑/PC上,只要他们有一个客户端账户,就可以随时随地进行远程访问。
b) 远程访问设备让用户像在本地连接一样,工程师在现场插网线能做的事情,现在远程也可以做到。

结论

随着工业物联网企业的接受越来越深入,带有安全远程服务通道的产品,特别是考虑到数据安全,在未来通过互联以及及时的数据分析响应,带来的好处会在接下来的几年内,在工业自动化领域内慢慢爆发。

References

[1] 远程服务的历史: https://proxynetworks.com/blog/a-remote-part-of-tech-history/
[2] 为何需要在设备上预装远程服务系统: https://qianyong.me/why-remote-service-is-important-for-iiot/
[3] 西门子的Tele-Service: https://support.industry.siemens.com/cs/document/24321540/which-settings-do-you-need-to-make-to-access-a-panel-and-an-s7-200-controller-via-teleservice-?dti=0&lc=en-WW
[4] Teamviewer: https://www.teamviewer.cn/cn/
[5] mGuard: https://www.phoenixcontact.com/online/portal/us?1dmy&urile=wcm:path:/usen/web/offcontext/insite_landing_pages/4d321b76-82b4-4ca6-b33a-de9c92d84722/5b89eedc-b09b-43f5-822d-3b6ae5c08bd5/5b89eedc-b09b-43f5-822d-3b6ae5c08bd5
[6] HMS Network Ewon: https://ewon.biz