Technisches Gebiet

Die Erfindung betrifft ein Verfahren zum Onboarding eines Ge räts in einem mandantenfähigen virtuellen Netz eines Indust rienetzwerks. Des Weiteren betrifft die Erfindung ein Indust rienetzwerk, das dafür eingerichtet ist, ein effizientes On boarding von Geräten in einem mandantenfähigen virtuellen Netz des Industrienetzwerks zu ermöglichen.

Stand der Technik

In der vorliegenden Erfindung geht es darum, ein Verfahren zu entwickeln, wie neuen Geräten unabhängig von dem Gerätetyp oder der Art des Netzwerks Zugang zu einem bestehenden man dantenfähigen virtuellen Netz (englisch: virtual tenant net- work, VTN) gewährt werden kann. Herkömmlicherweise müssen Ge räte speziell konfiguriert sein, um, bei entsprechender Be rechtigung, Zugang zu einem bestimmten mandantenfähigen vir tuellen Netz erlangen zu können. Das entsprechend vorkonfigu rierte Gerät stellt eine Onboarding-Anfrage für das gewünsch te virtuelle Netz, seine Zugangsberechtigung wird geprüft und es erhält, bei positiver Überprüfung, Zugang zu dem virtuel len Netz.

Ein Nachteil hiervon ist, dass das Gerät bereits bei seiner Auslieferung gewisse Voreinstellungen aufweisen muss. Das Ge rät, insbesondere seine Kommunikationsschnittstelle, müssen also zu einem Zeitpunkt konfiguriert werden, zu dem in vielen Anwendungsfällen noch unklar sein dürfte, ob bzw. zu welchen virtuellen Netzen das betreffende Gerät einmal zukünftig Zu griff haben soll.

Ferner existiert ein standardisierter Mechanismus, neuen Ge räten Zugang zu einem bestehenden mandantenfähigen virtuellen Netz zu gewähren, bislang noch nicht. Bisher bietet jeder An- bieter sein eigenes Verfahren an, neue Geräte in mandantenfä higen virtuellen Netzen zu integrieren.

Gesucht sind also ein Verfahren und ein Industrienetzwerk, die flexibel gegenüber den zu integrierenden Geräten und den bestehenden mandantenfähigen virtuellen Netzen sind, und die möglichst wenige spezifische Voreinstellungen an den Geräten erfordern.

Allgemeine Beschreibung der Erfindung

Diese Aufgabe wird durch das Verfahren und das Industrienetz werk gemäß der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterführungen und Ausbildungsformen sind in den abhängigen Ansprüchen, der Beschreibung und den Abbildungen offenbart.

Demgemäß wird ein Verfahren zum Onboarding eines Geräts in einem mandantenfähigen virtuellen Netz eines Industrienetz werks bereitgestellt, das die folgenden Schritte umfasst:

- Empfangen einer Onboarding-Anfrage des Geräts betreffs ei nes Zugangs zu dem mandantenfähigen virtuellen Netz des In dustrienetzwerks, wobei die Onboarding-Anfrage in einem Zu gangsnetz des Industrienetzwerks, das einem Onboarding-Netz des Industrienetzwerks zugeordnet ist, empfangen wird,

- Identifizieren und Überprüfen des Geräts mittels eines Au- thentifizierungsmoduls des Industrienetzwerks,

- bei einem positiven Ergebnis der Überprüfung, Senden einer Konfigurationsdatei an das Gerät, wobei in der Konfigurati onsdatei Daten bezüglich der Zugangsberechtigung des Geräts zu dem mandantenfähigen virtuellen Netz enthalten sind,

- Konfigurieren des Geräts, insbesondere einer Kommunikati onsschnittstelle des Geräts, gemäß der von dem Gerät empfan genen Konfigurationsdatei,

- Überprüfen der Zugangsberechtigung des konfigurierten Ge räts in einem Zugangspunkt des Industrienetzwerks und

- bei einem positiven Ergebnis der Überprüfung, Gewähren ei nes Zugangs des Geräts zu dem mandantenfähigen virtuellen Netz. Ein wichtiger Aspekt der Erfindung besteht darin, dass das Gerät, das die Onboarding-Anfrage stellt, keine speziellen Voreinstellungen benötigt, um den Onboarding-Prozess durchzu führen. In anderen Worten muss das Gerät nicht speziell kon figuriert sein, um, bei entsprechender Berechtigung, Zugang zu dem betreffenden mandantenfähigen virtuellen Netz zu er langen. Das Gerät meldet sich zunächst in einem Zugangsnetz des Industrienetzwerks an, das einem eigens für das Onboar- ding neuer Geräte vorgesehenen Onboarding-Netz zugeordnet ist. Anschließend wird die Identität des anfragenden Geräts festgestellt und, beispielsweise mithilfe einer Datenbank, überprüft, ob das Gerät prinzipiell befugt ist, zu dem nach gesuchten mandantenfähigen virtuellen Netz Zugriff zu erhal ten. Bei positiver Überprüfung erhält das Gerät ein sogenann tes Konfigurationspaket, mithilfe dessen das Gerät sich ent sprechend konfiguriert. Das konfigurierte Gerät kann sich an schließend über einen Zugangspunkt direkt beim mandantenfähi gen virtuellen Netz anmelden. Am Zugangspunkt wird, wie im Stand der Technik, die Zugangsberechtigung überprüft und bei positivem Ergebnis der Überprüfung, dem Gerät der Zugang zu dem virtuellen Netz gewährt.

Unter dem „Onboarding" wird im Rahmen dieser Patentanmeldung der Prozess verstanden, bei dem ein Gerät, insbesondere ein neues Gerät, Zugriff auf ein Netz/Netzwerk oder einen Teil davon erhält. Das Onboarding kann pro Gerät einmalig erfol gen, nämlich dann, wenn das Gerät erstmalig Zugriff auf das Netz begehrt. Es kann aber auch festgelegt sein, dass ein zu greifendes Gerät in regelmäßigen oder unregelmäßigen Abstän den immer wieder den Onboarding-Prozess durchlaufen muss.

Dies kann der Sicherheit der Benutzer, Geräte, Daten sowie des gesamten Netzes dienen. Dies kann z.B. aber auch einer Änderung im Zugangspunkt bzw. im virtuellen Netz geschuldet sein, die ein neues Onboarding inklusive einer neu verschick ten Konfigurationsdatei an das Gerät nötig machen. Unter einem „mandantenfähigen virtuellen Netz" wird ein Da ten- und Kommunikationsnetzwerk verstanden, das exklusiv für einen spezifischen Mandaten zur Verfügung steht und verteilte Arbeitsbereiche des Mandanten miteinander verbinden kann. Dem mandantenfähigen virtuellen Netz können dazu definierte Res sourcen zugeteilt werden und das Netz/Netzwerk wird unter Zu hilfenahme von virtuellen Komponenten und Technologien reali siert. Im Rahmen dieser Patentanmeldung wird ein „mandanten fähiges virtuelles Netz" der besseren Lesbarkeit halber gele gentlich auch verkürzt „virtuelles Netz" genannt, bezeichnet aber dasselbe. Im Englischen bzw. in der Fachsprache wird ein mandantenfähiges virtuelles Netz auch als „virtual tenant network" (VTN) bezeichnet. Ein mandantenfähiges virtuelles Netz umfasst insbesondere ein „multi-tenant virtual network" bzw. „multi-user virtual network". Diese Bezeichnungen strei chen heraus, dass mehrere Geräte auf das virtuelle Netz zu greifen können. Ein flexibles, aber zugleich sicheres Zuwei sen von Zugangsberechtigungen zu dem virtuellen Netz für eine Vielzahl von Geräten ist offensichtlich von hohem Interesse.

Das „Industrienetzwerk" betrifft insbesondere jede Art in dustrieller Kommunikationsnetze. Beispiele hierfür sind ein Kommunikationsnetzwerk in einer Produktionshalle mit einer Vielzahl von miteinander vernetzten Anlagen (Geräten) oder ein Betreibernetzwerk eines Stromversorgungsnetzes, z.B. ein Windpark mit einer Vielzahl von Windkraftanlagen. Ein Indust rienetzwerk weist insbesondere einen oder mehrere Industrie netzwerkknoten, englisch „industrial network nodes", auf. Ein Beispiel für einen Industrienetzwerkknoten ist ein spezifi sches Gerät, beispielsweise ein Industrie-PC oder auch ein rugged Computer, auf dem das mandantenfähige virtuelle Netz eingerichtet ist. Alternativ kann ein mandantenfähiges virtu elles Netz sich auch auf mehrere Industrienetzwerkknoten, d.h. z.B. mehrere PC's erstrecken.

Unter einem „Zugangsnetz", englisch „access network", wird im Rahmen dieser Patentanmeldung ein Netz/Netzwerk verstanden, mittels dessen ein Gerät Zugang zu einen spezifischen mandan- tenfähigen virtuellen Netz erlangen kann. Es ist das Zugangs netz, in dem Onboarding-Anfragen von Geräten zuerst angenom men, in anderen Worten empfangen, werden.

In einer ersten Alternative ist das Zugangsnetz für jegliche Geräte offen. Das heißt, dass ein Gerät keinerlei Voreinstel lungen aufweisen oder Vorbedingungen erfüllen muss, um Zu griff auf das Zugangsnetz zu erlangen. Dies setzt die ur sprüngliche Idee der Erfindung um: Unabhängig vom Gerätetyp und unabhängig davon, wie es konfiguriert ist, kann ein Gerät eine entsprechende Onboarding-Anfrage für ein spezifisches mandantenfähiges virtuelles Netz stellen. Für den Zugang zu dem entsprechenden virtuellen Netz bedarf es eine entspre chende Zugangsberechtigung, der Zugang zum Zugangsnetz ist jedoch offen für jegliche Geräte.

In einer zweiten Alternative ist der Zugang zum Zugangsnetz beschränkt. Der Zugang zum Zugangsnetz kann beispielsweise mit einem Passwort geschützt sein. Hierbei kann es sich z.B. um ein „Master-Passwort" handeln, dass nicht gerätespezifisch vergeben wird, sondern pauschal für das gesamte Industrie netzwerk gilt. Eine solche Ausführungsform kann beispielswei se von dem Betreiber einer Produktionshalle gewünscht sein, der sein Industrienetzwerk zwar im Prinzip für alle onboar- dende Geräte offen gestalten möchte, das Zugangsnetz aber auch nicht komplett offen und ungeschützt lassen will. Somit kann er ein pauschales, d.h. geräteunspezifisches Passwort für das Zugangsnetz vergeben. Sobald ein Gerät bzw. dessen Nutzer dieses Passwort kennt, kann das Gerät auf das Zugangs netz zugreifen und seine Onboarding-Anfrage kann empfangen und verarbeitet werden.

Das Zugangsnetz kann permanent zum Empfangen von Onboarding- Anfragen von Geräten zur Verfügung gestellt werden. Es kann aber auch gewünscht sein, dass das Zugangsnetz nur zeitlich begrenzt zum Empfangen von Onboarding-Anfragen zur Verfügung gestellt wird. Dies hat den Effekt, dass absolut sicherge stellt ist, dass in den Zeiten, in denen das Zugangsnetz nicht zur Verfügung gestellt wird - in denen es also nicht zugänglich ist - kein Onboarding stattfinden kann. Der Vor teil ist eine erhöhte Sicherheit für den Zugriff von Geräten auf das mandantenfähige virtuelle Netz. Beispielsweise kann ein Zugangsnetz immer nur wochentags von 6 Uhr bis 20 Uhr zur Verfügung gestellt werden. Oder es kann an sich nur für eine begrenzte Zeit, z.B. für 12 Stunden ab Erstellungszeitpunkt, zur Verfügung stehen. Alle infrage kommenden Geräte müssten dann in diesem Zeitraum onboarden. Anschließend wird dieses Zugangsnetz geschlossen und bei Bedarf wird ein neues Zu gangsnetz erzeugt.

Jedem Zugangsnetz ist mindestens ein Onboarding-Netz zugeord net und vice versa. Das Onboarding-Netz, englisch „onboarding network", ist ein Teil des Industrienetzwerks und hat die Funktion, das Onboarding eines Geräts für ein bestimmtes man dantenfähiges virtuelles Netz zu unterstützen bzw. zu ermög lichen.

Das Onboarding-Netz selbst kann beispielsweise gemäß den fol genden Schritten bereitgestellt werden:

- Erzeugen des Onboarding-Netzes und eines Authentifizie- rungsmoduls,

- Verbinden des Onboarding-Netzes mit dem Authentifizierungs- modul,

- Erstrecken des Onboarding-Netzes auf einen Zugangspunkt des Industrienetzwerks,

- Erzeugen eines Zugangsnetzes und

- Verbinden des Zugangsnetzes mit dem Onboarding-Netz.

Das Authentifizierungsmodul ist vorteilhafterweise mit einer Datenbank verbindbar. In dieser Datenbank sind Informationen enthalten, anhand derer die Identität eines Geräts, das eine Onboarding-Anfrage gestellt hat, festgestellt und überprüft werden kann. Das Authentifizierungsmodul kann insbesondere mithilfe der Datenbank ermitteln, ob, und falls ja, in wel chem Umfang, dem die Onboarding-Anfrage stellenden Gerät Zu gang zu dem virtuellen Netz gewährt werden soll. Unter einem Zugangspunkt, englisch „Access Point", wird ins besondere eine Schnittstelle zwischen dem Industrienetzwerk und dem onboardenden Gerät verstanden. Der Zugangspunkt kann eine Hardware in Form eines elektronischen Geräts sein, der zum Beispiel selbst über ein Kabel mit einem fest installier ten Kommunikationsnetz verbunden ist und als Schnittstelle für kabellose Kommunikationsendgeräte fungiert, die per Drahtlosadapter eine drahtlose Verbindung zu dem Zugangspunkt hersteilen können. Es sind jedoch auch rein virtuelle Zu gangspunkte denkbar, die rein softwareseitig realisiert sind und dennoch als Schnittstelle zwischen den onboardenden Gerä ten und einem Industrienetzwerk fungieren.

Die vorliegende Erfindung bezieht sich nicht nur auf das bis her beschriebene Verfahren zum Onboarding eines Geräts in ei nem mandantenfähigen virtuellen Netz eines Industrienetz werks, sondern auch darauf, wie ein solches Industrienetz werks vorteilhafterweise ausgestaltet ist.

Erfindungsgemäß umfasst ein solches Industrienetzwerk zumin dest ein mandantenfähiges virtuelles Netz, ein Onboarding- Netz, ein dem Onboarding-Netz zugeordnetes Zugangsnetz, ein Authentifizierungsmodul und einen Zugangspunkt. Das Zugangs netz ist hierbei so eingerichtet, dass es eine Onboarding- Anfrage eines Geräts betreffs eines Zugangs zu dem mandanten fähigen virtuellen Netz empfangen kann. Das Authentifizie rungsmodul ist dazu eingerichtet, das Gerät zu identifizieren und zu überprüfen. Das Onboarding-Netz erstreckt sich auf den Zugangspunkt. Der Zugangspunkt ist dazu eingerichtet, eine Zugangsberechtigung des Geräts zu überprüfen und, bei einem positiven Ergebnis der Überprüfung, dem Gerät Zugang zu dem mandantenfähigen virtuellen Netz zu gewähren.

Definitionen, Funktionen und Ausgestaltungsformen der einzel nen Elemente des Industrienetzwerks wurden bereits im Zusam menhang mit dem Verfahren zum Onboarding eines Geräts in ei nem mandantenfähigen virtuellen Netz eines Industrienetzwerks beschrieben. Sie werden aus Gründen der gebotenen Knappheit und Übersichtlichkeit im Zusammenhang mit dem erfindungsgemä ßen Industrienetzwerks nicht wiederholt, gelten aber entspre chend.

Das Industrienetzwerk kann, und wird in der Praxis in aller Regel, nicht nur eins, sondern mehrere mandantenfähige virtu elle Netze aufweisen. Das Industrienetzwerk weist also ein mandantenfähiges virtuelles Netz und mindestens ein weiteres mandantenfähiges virtuelles Netz auf.

In einer Ausführungsform der Erfindung fungiert das Onboar- ding-Netz als gemeinsames Onboarding-Netz für das Onboarding von Geräten für beide virtuellen Netze - also sowohl, wenn diese auf das mandantenfähige virtuelle Netz als auch, wenn diese auf das weitere mandantenfähige virtuelle Netz Zugang begehren. Diese Ausführungsform kann im englisch-sprachlichen Fachjargon auch als „as central Service" bezeichnet werden.

Der Vorteil ist, dass nur ein Onboarding-Netz erzeugt und zur Verfügung gestellt werden muss. Ebenso muss auch nur ein Zu gangsnetz, welches dem Onboarding-Netz zugeordnet ist, zur Verfügung gestellt werden (es können optional auch mehrere Zugangsnetze einem einzigen Onboarding-Netz zugeordnet sein; dies wird später noch ausführlicher erläutert werden). Das eine Onboarding-Netz kann mit einem einzigen Authentifizie- rungsmodul verbunden sein. Die Struktur ist also schlank und übersichtlich .

Ein Nachteil dieser Ausführungsform besteht jedoch darin, dass bei Ausfall des Onboarding-Netzwerks das Onboarding für alle diejenigen mandantenfähigen virtuellen Netze, für die das gemeinsame Onboarding-Netz als Onboarding-Netz fungiert, gestört, das heißt nicht funktionsfähig ist.

Deswegen kann das Industrienetzwerk in einer anderen Ausfüh rungsform ein weiteres Onboarding-Netz aufweisen. In diesem Fall fungiert vorteilhafterweise das Onboarding-Netz für das Onboarding von Geräten zu dem mandantenfähigen virtuellen Netz und das weitere Onboarding-Netz für das Onboarding von Geräten zu dem weiteren mandantenfähigen virtuellen Netz. Ist nun beispielsweise das weitere Onboarding-Netz nicht verfüg bar, ist das Onboarding von Geräten in das mandantenfähige virtuelle Netz davon unbeeinträchtigt und kann unabhängig von der Nichtverfügbarkeit des weiteren Onboarding-Netzes durch geführt werden. Diese Ausführungsform kann im englisch sprachlichen Fachjargon auch als „per tenant" bezeichnet wer den.

Weist das Industrienetzwerk mehrere mandantenfähige virtuelle Netze auf, kann es ein gemeinsames Authentifizierungsmodul für alle mandantenfähigen virtuellen Netze oder ein individu elles Authentifizierungsmodul pro mandantenfähiges virtuelles Netz geben. Auch hier ist in der Praxis unter anderem zwi schen einer schlanken Struktur des Netzwerks und einer Aus fallsicherheit betreffs des gesamten Netzwerks abzuwägen.

Weist das Industrienetzwerk mehrere Onboarding-Netze und meh rere Authentifizierungsmodule auf, können diese alle zum Bei spiel in einer Einheit des Industrienetzwerks, z.B. in einem Industrienetzwerkknoten, lokalisiert sein. Alternativ können die Onboarding-Netze und/oder die Authentifizierungsmodule auch in mehreren Einheiten des Industrienetzwerks beherbergt, d.h. lokalisiert, sein. Die erste Variante kann im englisch sprachlichen Fachjargon auch als „centralized deployment", die zweite Variante als „distributed deployment" bezeichnet werden.

Wie schon erwähnt, kann das Industrienetzwerk mehrere Zu gangspunkte aufweisen, auf die sich das Onboarding-Netz er streckt.

Eine Motivation, mehrere Zugangspunkte bereitzustellen, kann eine große physische Ausdehnung des Industrienetzwerks sein. Umfasst das Industrienetzwerk beispielsweise eine gesamte Produktionshalle mit mehreren Tausend Quadratmetern Grundflä- che, ist es sinnvoll, die Produktionshalle mit mehreren Zu gangspunkten für onboardende Geräte auszustatten.

Andererseits können auch mehrere Zugangspunkte am im Wesent lichen gleichen physischen Ort für unterschiedliche Zugangs technologien bereitgestellt werden. So kann z.B. ein Zugangs punkt für drahtlose Kommunikation mit den Geräten vorgesehen sein und ein weiterer Zugangspunkt für die Kommunikation mit den Geräten über das Mobilfunknetz (z.B. 5G).

Kurze Beschreibung der Zeichnungen

Nachfolgend wird die Erfindung anhand der beigefügten Abbil dungen veranschaulicht. Diese sind rein schematisch und zei gen beispielhaft und ohne Beschränkung des beanspruchten Schutzumfangs verschiedene Ausführungsformen der Erfindung.

Die Abbildungen zeigen:

Fig. 1: eine erste Ausführungsform des erfindungsgemäßen Industrienetzwerks, Fig. 2: eine zweite Ausführungsform des erfindungsgemäßen Industrienetzwerks, Fig. 3: eine dritte Ausführungsform des erfindungsgemäßen Industrienetzwerks, Fig. 4: eine vierte Ausführungsform des erfindungsgemäßen Industrienetzwerks und Fig. 5: eine fünfte Ausführungsform des erfindungsgemäßen Industrienetzwerks.

Detaillierte Beschreibung der Zeichnungen

Es sei vorangestellt, dass gleiche oder ähnliche Elemente in verschiedenen Abbildungen mit denselben Bezugszeichen gekenn zeichnet sind. Zur Vermeidung von Wiederholungen werden Ele mente mit denselben Bezugszeichen nicht für jede Abbildung gesondert genannt und erläutert. Hierfür seien auf die voran gehenden Abbildungen verwiesen. Die Abbildung 1 (auch als Fig. 1 bezeichnet) zeigt ein In dustrienetzwerk 10 mit einem ersten Industrienetzwerkknoten 11. Das Industrienetzwerk 10 ist beispielsweise ein Kommuni kationsnetzwerk in einer Produktionshalle; der erste Indust rienetzwerkknoten 11 ist beispielsweise ein Industrie-PC in dem genannten Kommunikationsnetzwerk. Das Industrienetzwerk 10 weist noch eine Vielzahl weiterer Industrienetzwerkknoten auf, die jedoch der Übersicht halber in Fig. 1 nicht gezeigt sind.

Der erste Industrienetzwerkknoten 11 weist eine Schnittstelle 111 auf, die eine tatsächliche, d.h. physische Schnittstelle zu dem restlichen Industrienetzwerk 10 darstellt. Mittels der Schnittstelle 111 ist der erste Industrienetzwerkknoten 11 insbesondere mit einem Zugangspunkt 60 verbunden. Der Zu gangspunkt 60 fungiert wiederum als Schnittstelle oder „An kerpunkt" für Geräte 90, die Zugang zu dem Industrienetzwerk 10 bzw. Teilen davon begehren.

Das Industrienetzwerk 10 umfasst ein mandantenfähiges virtu elles Netz 20 und weiteres mandantenfähiges virtuelles Netz 21. Auf beiden mandantenfähigen virtuellen Netzen 20, 21 lau fen jeweils Anwendungen 201 bzw. 211, englisch „applications" oder verkürzt „apps". Das mandantenfähige virtuelle Netz 20 erstreckt sich bis zu dem Zugangspunkt 60. Ein Gerät 90, das eine Onboarding-Anfrage gestellt hat, eine Konfigurationsda tei mit Daten bezüglich der Zugangsberechtigung des Geräts 90 zu dem mandantenfähigen virtuellen Netz 20 erhalten hat und gemäß der empfangenen Konfigurationsdatei konfiguriert ist, kann sich in der Folge an den Zugangspunkt 60 wenden und dort insbesondere an das sich bis dahin erstreckende mandantenfä hige virtuelle Netz 20. Am Zugangspunkt 60 wird die Zugangs berechtigung des Geräts 90 für das virtuelle Netz 20 über prüft. Bei positivem Ergebnis der Überprüfung wird dem Gerät 90 Zugang auf das virtuelle Netz 20 gewährt. Auch das weitere mandantenfähige virtuelle Netz 21 erstreckt sich bis zu einem Zugangspunkt. Dies kann derselbe Zugangs punkt 60 wie für das mandantenfähige virtuelle Netz 20 oder ein anderer Zugangspunkt sein. Der Übersichtlichkeit halber ist der Teil des weiteren mandantenfähigen virtuellen Netzes 21, der sich außerhalb des ersten Industrienetzwerkknotens 11 befindet, in Fig. 1 nicht gezeigt.

Der erste Industrienetzwerkknoten 11 weist ferner ein Onboar- ding-Netz 30. Dem Onboarding-Netz 30 ist ein Zugangsnetz 50 zugeordnet, das sich insbesondere am Zugangspunkt 60 befin det. Das Onboarding-Netz 30 ist verbunden (oder temporär ver bindbar) mit einem Authentifizierungsmodul 40. Das Authenti- fizierungsmodul kann wiederum auf eine Datenbank 42 zugrei fen, um die Identifikation und Überprüfung eines Geräts 90, das eine Onboarding-Anfrage stellt, durchführen zu können.

Schließlich weist das Industrienetzwerk 10 noch eine Verwal tungseinheit 43 auf, die dafür vorgesehen ist, Onboarding- Netze zu erzeugen. Die Onboarding-Netze können dauerhaft, auf Anforderung („on demand") oder nach einem vorbestimmten Zeit plan erzeugt von der Verwaltungseinheit 43 erzeugt werden.

Die Abbildung 2 (auch als Fig. 2 bezeichnet) zeigt ein In dustrienetzwerk 10 gemäß einer zweiten Ausführungsform der Erfindung. Im Unterschied zu der ersten Ausführungsform sind hier dem Onboarding-Netz 30 mehrere Zugangsnetze zugeordnet, das Zugangsnetz 50 und das weitere Zugangsnetz 51. Das Zu gangsnetz 50 befindet sich am Zugangspunkt 60; das weitere Zugangsnetz 51 an einem weiteren Zugangspunkt 61. Für das Vorhandensein mehrerer Zugangspunkte 60, 61 und Zugangsnetze 50, 51 kann es unterschiedliche Gründe geben: Die Zugangs punkte 60, 61 können beispielsweise örtlich beträchtlich, insbesondere mehrere Meter, voneinander entfernt angeordnet sein. Alternativ können die verschiedenen Zugangspunkte 60,

61 auch verschiedene Zugangstechnologien (WLAN, 5G, kabelge bunden, ...) adressieren. Das Charakteristische an der zweiten Ausführungsform ist, dass beide Zugangsnetze 50, 51 einem gemeinsamen Onboarding- Netz 30 zugeordnet sind und dass Onboarding-Anfragen, unab hängig davon, an welchem Zugangsnetz 50, 51 sie empfangen werden, von einem gemeinsamen Authentifizierungsmodul 40 ge prüft werden. Ein solcher Aufbau kann auch als ein Onboar- ding-Mechanismus „as a central Service" bezeichnet werden.

Die Abbildung 3 (auch als Fig. 3 bezeichnet) zeigt ein In dustrienetzwerk 10 gemäß einer dritten Ausführungsform der Erfindung. Hier weist das Industrienetzwerk 10, präziser der erste Industrienetzwerkknoten 11, jeweils ein Onboarding-Netz pro mandantenfähiges virtuelles Netz auf: das Onboarding-Netz 30 für das mandantenfähige virtuelle Netz 20 und das weitere Onboarding-Netz 31 für das weitere mandantenfähige virtuelle Netz 21. Jedem Onboarding-Netz 30, 31 ist ein individuelles Zugangsnetz 50, 51 in einem individuellen Zugangspunkt 60, 61 zugeordnet. Auch ist jedes Onboarding-Netz 30, 31 mit einem individuellen Authentifizierungsmodul 40, 41 verbunden oder zumindest verbindbar. Ist ein Zugangsnetz (gewollt oder unge wollt) nicht verfügbar, berührt dies nicht das Onboarding ei nes Geräts 90 zu dem anderen Zugangsnetz/Onboarding-Netz und letztlich zu dem anderen virtuellen Netz. Ein solcher Aufbau kann auch als ein Onboarding-Mechanismus „per tenant network" bezeichnet werden.

Die Abbildung 4 (auch als Fig. 4 bezeichnet) zeigt ein In dustrienetzwerk 10 gemäß einer vierten Ausführungsform der Erfindung. Im Unterschied zu den bisherigen Ausführungsbei spielen sind hier zwei Industrienetzwerkknoten gezeigt: ein erster Industrienetzwerkknoten 11 und ein zweiter Industrie netzwerkknoten 12. Die beiden Industrienetzwerkknoten 11, 12 repräsentieren z.B. zwei verschieden Industrie-PC's in einem Kommunikationsnetzwerk. Das Industrienetzwerk 10 weist zwei mandantenfähige virtuelle Netze 20, 21 auf. Beide virtuellen Netze 20, 21 befinden sich auf einem Industrienetzwerkknoten, im dargestellten Beispiel auf dem ersten Industrienetzwerk knoten 11. Das Industrienetzwerk 10 weist auch zwei Onboar- ding-Netze 30, 31 und zwei Authentifizierungsmodule 40, 41 auf. Die beiden Onboarding-Netze 30, 31 und die beiden Au thentifizierungsmodule 40, 41 befinden sich alle auf dem zweiten Industrienetzwerkknoten 12. Somit beherbergt eine einzige Einheit, nämlich der zweite Industrienetzwerkknoten 12, sämtliche Onboarding-Netze 30, 31 und Authentifizierungs module 40, 41. Ein solcher Aufbau kann auch als „centralized deployment" bezeichnet werden.

Im Unterschied dazu zeigt das fünfte Ausführungsbeispiel ei nen Aufbau, der als „distributed deployment" bezeichnet wer den kann. Hier befinden sich das Onboarding-Netz 30 und das Authentifizierungsmodul 40 für das mandantenfähige virtuelle Netz 20 auf einer ersten Einheit, nämlich dem (ersten) Zu gangspunkt 60, und das weitere Onboarding-Netz 31 und das weitere Authentifizierungsmodul 41 für das weitere mandanten fähige virtuelle Netz 21 auf einer zweiten Einheit, nämlich dem weiteren Zugangspunkt 61.

Das in Abbildung 5 (auch als Fig. 5 bezeichnet) gezeigte fünfte Ausführungsbeispiel zeigt im Übrigen auch die Varian te, dass ein mandantenfähiges virtuelles Netz sich auf mehre re Industrienetzwerkknoten erstrecken kann. So befindet sich das virtuelle Netz 30 sowohl auf dem ersten Industrienetz werkknoten 11 als auch auf dem zweiten Industrienetzwerkkno ten 12. Auch illustriert die Fig. 5, dass ein Onboarding-Netz nicht zwangsläufig auf einem Industrienetzwerkknoten lokali siert sein muss. In Fig. 5 befinden sich das Onboarding-Netz 30, 31 und das Authentifizierungsmodul 40, 41 sowohl für das mandantenfähige virtuelle Netz 20 als auch für das weitere mandantenfähige virtuelle Netz 21 jeweils auf dem Zugangs punkt 50 bzw. weiteren Zugangspunkt 51.

Zusammenfassend lässt sich festhalten, dass sich das erfin dungsgemäße Konzept des Onboardings von Geräten in einem man dantenfähigen virtuellen Netz eines Industrienetzwerks äu ßerst flexibel auf die konkrete Ausgestaltung des betreffen den Industrienetzwerks anwenden lässt. Bezugszeichenliste

10 Industrienetzwerk

11 Erster Industrienetzwerkknoten

111 Schnittstelle (des ersten Industrienetzwerkknotens)

12 Zweiter Industrienetzwerkknoten

20 Mandantenfähiges virtuelles Netz 201 Anwendung

21 Weiteres mandantenfähiges virtuelles Netz 211 Anwendung

30 Onboarding-Netz

31 Weiteres Onboarding-Netz

40 Authentifizierungsmodul

41 Weiteres Authentifizierungsmodul

42 Datenbank

43 Verwaltungseinheit

50 Zugangsnetz

51 Weiteres Zugangsnetz

60 Zugangspunkt

61 Weiterer Zugangspunkt

90 Gerät