DE102011078894A1 - Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network - Google Patents
Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network Download PDFInfo
- Publication number
- DE102011078894A1 DE102011078894A1 DE102011078894A DE102011078894A DE102011078894A1 DE 102011078894 A1 DE102011078894 A1 DE 102011078894A1 DE 102011078894 A DE102011078894 A DE 102011078894A DE 102011078894 A DE102011078894 A DE 102011078894A DE 102011078894 A1 DE102011078894 A1 DE 102011078894A1
- Authority
- DE
- Germany
- Prior art keywords
- network
- data
- gateway
- network device
- productive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
Abstract
Description
1. Überblick1. Overview
Ohne Beschränkung der Allgemeinheit wird für die Anwendung von LAN- und Web-basierenden Remote-Service-Systemen, insbesondere für Firmware-Updates, aber auch zur Fernwartung von Produktiv-Systemen, etwa so genannte Output-Systeme über entsprechende Device-Management-Systeme, eine Lösung vorgeschlagen, die typische IT-Sicherheitslücken hinsichtlich Firewall Penetrierung, Datenstrom Sniffering und allgemeiner IT-Sicherheit von großen Firmennetzwerken ausräumt oder zumindest minimiert und in überschaubaren Grenzen hält.Without limitation of the general public, for the application of LAN and web-based remote service systems, in particular for firmware updates, but also for the remote maintenance of productive systems, so-called output systems via appropriate device management systems, proposed a solution that eliminates or at least minimizes and keeps within manageable limits typical IT security gaps with regard to firewall penetration, data stream sniffering and general IT security of large corporate networks.
Als Lösung wird unter anderem ein Remote-Service-System auf der Grundlage eines Protokolldatenfilters vorgeschlagen, der die Service bezogenen Daten der Produktiv-System bzw. Output-Systeme strikt und logisch sauber von den Produktivstromdaten, etwa Druckstromdaten trennt, und zwar
- 1. durch die Anwendung eines Protokollfilter-Gateways vorzugsweise mit eigener CPU für die Erfüllung einer Protokollfilterfunktion,
- 2. durch die Verwendung eines zweiten, zusätzlichen, logisch getrennten z. B. virtuellen LAN für die Service-bezogenen Daten (Routingfunktion) und
- 3. eine gewünschtenfalls die beiden erste Punkte ergänzende Möglichkeit durch Port Setting für Inbound und Outbound Traffic, sowie einem in das Protokollfilter-Gateway implementiertes Port-Forwarding (Portforwarding-Funktion), in Abhängigkeit vom verwendeten Produktivsystem (ggf. Output-System, etwa Outputdevice wie Drucker) ab.
- 1. by the use of a protocol filter gateway preferably with its own CPU for the fulfillment of a protocol filter function,
- 2. by the use of a second, additional, logically separated z. B. Virtual LAN for the service-related data (routing function) and
- 3. If desired, supplementing the first two points by port setting for inbound and outbound traffic, as well as a port forwarding (port forwarding function) implemented in the protocol filter gateway, depending on the productive system used (if applicable, output system, such as output device like printers).
Das optionale 3. Lösungsmerkmal kann in Kombination mit der ersten Lösungsmerkmal durch Portforwarding eine zusätzliche IT-Sicherheit ergeben.The optional third solution feature, in combination with the first solution feature, can provide additional IT security through port forwarding.
Bereitgestellt wird insbesondere auch ein Gateway, insbesondere Protokollfilter-Gateway, zum Übertragen gerätebezogener oder Servicebezogener Daten getrennt von Nutzerdaten oder Produktiv-Daten über ein von einem Produktiv-Netzwerk logisch unabhängiges Netzwerk.In particular, a gateway is also provided, in particular a protocol filter gateway, for transmitting device-related or service-related data separately from user data or productive data via a network which is logically independent of a productive network.
2. Hintergrund2. Background
Es werden heute in den vielfältigsten Umgebungen Outputsysteme betrieben, die einen erheblichen Kostenfaktor im Gesamtbusiness eines jeweiligen Betreibers darstellen. Der Managed Print Service (MPS) bzw. bei einigen Herstellern Managed Document Service (MDS) genannt, hat zum Inhalt, diese Kosten für den Betreiber zu senken. Dabei steht dennoch der Wunsch des Betreibers im Vordergrund, die Verfügbarkeit der Outputsysteme mit hoher Output Qualität ständig zu gewährleisten.Today, in the most varied environments, output systems are operated, which represent a considerable cost factor in the overall business of an individual operator. Managed Print Service (MPS), or Managed Document Service (MDS) for some manufacturers, is intended to reduce these costs for the operator. Nevertheless, the operator's desire is to constantly ensure the availability of output systems with high output quality.
Wichtige Kostenfaktoren beim Betrieb von Outputsystemen sind:
- – ein kundenorientiertes Helpdesk System mit Ticketverwaltung, Tracking und selbstwachsendem Knowledge Managementsytem,
- – ein pro-aktives und effektives Service Management,
- – ein IT – integratives Abrechnungssystem,
- – das Outputmanagement-System selbst.
- - a customer-oriented helpdesk system with ticket management, tracking and self-growing knowledge management system,
- - pro-active and effective service management,
- - an IT integrated payroll system,
- - the output management system itself.
Während das Outputmanagement-System hinsichtlich Anschaffung und Installation typischerweise nach den Kundenanforderung ausgewählt und festgelegt wird, betreffen die 3 anderen Punkte hauptsächlich das Service-Management-System des Service-Providers.While the output management system is typically selected and determined in terms of purchase and installation according to the customer's request, the 3 other points mainly relate to the service management system of the service provider.
3. Stand der Technik3. State of the art
Helpdesk Systeme gibt es in großer Vielfalt und einige davon können auch bereits Service-bezogene Daten der Maschinen auslesen. So kann z. B. Footprint von Numara Soft (wie auch andere Asset Management Systeme) auf der Basis der Public MIB den Namen, Hersteller, Seriennummer und Hauptzählerstand von Druckern auslesen. Daten aus der Privat MIB, also andere Zähler, Tonerlevel oder Service-Alarmmeldungen, werden nicht erkannt.Helpdesk systems are very diverse and some of them can already read service-related data from the machines. So z. For example, Numara Soft's footprint (as well as other asset management systems) uses the Public MIB to read the name, manufacturer, serial number, and head count of printers. Data from the Private MIB, such as other meters, toner levels, or service alarms, is not recognized.
Für ein pro-aktives und IT-integratives Service-Management sind jedoch mehr Informationen aus den Outputsystemen zu entnehmen, um möglichst Vor-Ort-Besuche des Technikers zu verhindern oder zumindest so effektiv zu gestalten, dass mit hoher Sicherheit das Problem beim ersten Besuch gelöst wird. Dennoch werden etwa nur 10% aller Fehlermeldungen am Helpdesk gelöst und in 90% der Fälle wird ein Techniker-Besuch fällig. Dabei sind für einen Besuch durchaus erhebliche Kosten ohne Ersatzteile zu veranschlagen. Bei kleineren Maschinen kann mit einem Besuch und bei großen sowie bei Produktionsanlagen mit 5–10 Besuchen pro Jahr gerechnet werden. Inhalt der Besuche sind typischerweise:
- – Störungsbeseitigung mit oder ohne Ersatzteilaustausch
- – Regelmäßige Wartung
- – Netzwerkintegration (bei Erlaubnis durch Kunden häufig über Remote Desktop Lösung möglich)
- – Colour Calibration
- – Firmware Update.
- - Troubleshooting with or without replacement of spare parts
- - Regular maintenance
- - Network integration (often possible via remote desktop solution if granted by customers)
- - Color Calibration
- - Firmware update.
Während die ersten beiden Punkte kaum zu eliminieren, sondern bestenfalls durch geeignete Maßnahmen hocheffektiv zu gestalten sind, könnten z. B. Netzwerkprobleme und Firmware-Update, also Software-bezogene Aktionen, durchaus mit Remote-Tools erledigt werden.While the first two points are difficult to eliminate, but at best to be made highly effective by appropriate measures, z. As network problems and firmware update, so software-related actions, quite with remote tools are done.
Auch das ”leidige” Zählerstandserfassen, das der Service-Provider bei Clickverträgen (Abrechnung aller Kosten über einen Festpreis pro Seite Schwarz- und Farbausdruck A4) zur typischerweise monatlichen oder quartalsweisen Rechnungsstellung benötigt, ist in diesem Zusammenhang ein wichtiges Thema. Zählerstandserfassungen erfolgen heute noch vielfach über Telefon, Fax, oder der Kunde gibt die Zählerdaten manuell in ein Web-Portal des Service-Providers ein. Neben dem Aufwand der mehrfachen Dateneingabe sind die Fehlerquellen vielfältig. Es können allein dafür bei einem Service-Provider erhebliche Kosten entstehen. Also the "annoying" Meter reading, which the service provider needs for click contracts (billing of all costs over a fixed price per page black and color print A4) for typically monthly or quarterly billing, is an important topic in this context. Meter readings are still carried out frequently via telephone, fax, or the customer enters the meter data manually into a web portal of the service provider. In addition to the effort of multiple data entry, the sources of error are manifold. It can alone for a service provider incur significant costs.
Ein weiterer bedeutender Kostenfaktor sind die kleinen ”Tonerlager” die der Service-Provider beim Kunden anlegen muss, damit der Benutzer immer dann Toner zur Verfügung hat, wenn an seinen Maschinen der Toner ausgeht. Bei einem Beispiel eines Farb-Outputgerätes mit 4 Tonerkartuschen zu je 150 € lagern mindestens 600 € für eine Maschine beim Kunden, mit entsprechend hohen Gesamtkosten bzw. entsprechend hohen Kapitalaufwand (Inventurkapital) bei einer Flotte von vielen Farbmaschinen. Daneben läuft häufig die Kontrolle des Tonerverbrauchs durch den Kunden aus dem Ruder, so dass die Kosten beim Service-Provider unkontrolliert steigen.Another significant cost factor is the small "toner stores" the service provider needs to create with the customer so that the user has toner available whenever his machines run out of toner. In an example of a color output device with 4 toner cartridges of 150 € store at least 600 € for a machine at the customer, with correspondingly high total costs or correspondingly high capital expenditure (inventory capital) in a fleet of many color machines. In addition, often runs the control of toner consumption by the customer from the helm, so that the costs increase uncontrollably with the service provider.
Daraus ergibt sich die Notwendigkeit, Daten zu erheben, die es dem Service-Provider erlauben, den Toner dann zu liefern, wenn er wirklich gebraucht wird, just in time also. Dazu müssen die Informationen der Geräte genutzt werden, die sie bezüglich Tonerlevel der einzelnen Kartuschen anzeigen und nach außen melden.As a result, there is a need to collect data that will allow the service provider to deliver the toner when it is really needed, just in time. This requires the information of the devices to be used to indicate toner level of each cartridge and report it to the outside.
Durch Remote-Service unter Ausnutzung der Informationen und Daten, die die Outputsysteme heute in ihrer so genannten privat MIB (Management Information Base) liefern bzw. als Online-Dienste anbieten, ist es im Prinzip leicht möglich, die Zahl der Techniker-Besuche vor Ort zu verringern. Typischerweise kommt Folgendes in Betracht:
- – Übertragung der Tonerlevel der Kartuschen
- – Übertragung aller Zählerstände
- – Übertragung des Papiervorrates in den unterschiedlichen Kassetten
- – Übertragung von Fehlermeldungen verschiedenster Art
- – Übertagung der UI-Textmeldungen
- – Selbständiges Suchen nach neuer Firmware und automatisches Updaten.
- - Transfer the toner level of the cartridges
- - Transmission of all meter readings
- - Transfer of paper stock in different cassettes
- - Transmission of error messages of various kinds
- - Transmission of UI text messages
- - Independent search for new firmware and automatic updating.
Letztlich halten mehr oder weniger alle Outpusysteme solche Servicebezogenen Daten als MIB über SNMP oder andere private Protokolle (z. B. Canon: CPCA) oder entsprechende Online-Dienste bereit. Sie müssen nur ausgelesen und verarbeitet werden.Finally, more or less all outpus systems maintain such service-related data as MIB via SNMP or other private protocols (eg Canon: CPCA) or corresponding online services. They just have to be read out and processed.
Dazu stellen Hersteller von Outputsystemen typischerweise ihren Kunden eine proprietäre Device Management Software oder eine Cloud Solution zur Verfügung, die allgemein in der Lage ist, die Service bezogenen Daten ihrer eigenen Geräte vollständig und umfassend auszulesen und zu überwachen. Auch Schnittstellen ihrer Systeme zu anderen IT Systemen, z. B. den ERP Systemen der Service-Porovider, werden angeboten.To this end, output system manufacturers typically provide their customers with a proprietary device management software or cloud solution that is generally capable of fully and extensively reading and monitoring the service related data of their own devices. Also interfaces of their systems to other IT systems, eg. The ERP systems of the service poroviders are offered.
Beispiele für herstellereigene Device Management Systeme sind (ohne Anspruch auf Vollständigkeit) etwa:
- 1. KonicaMinolta: CS Remote Care, M2M GPRS Box über proprietäte Service Schnittstelle
- 2. Lexmark: Fleetmanager, Markvision
- 3. Kyocera: Kyocount
- 4. Hewlett Packard: HP Device Manager, Open View
- 5. Canon: e-Maintenance, Image Ware
- 6. Ricoh: @Remote
- 7. Sharp: PAU
- 8. Toshiba: eFleetmanagement System: eFMS
- 9. Xerox: SMart eSolution
- 1. KonicaMinolta: CS Remote Care, M2M GPRS Box via proprietary service interface
- 2. Lexmark: Fleet Manager, Markvision
- 3. Kyocera: Kyocount
- 4. Hewlett Packard: HP Device Manager, Open View
- 5. Canon: e-Maintenance, Image Ware
- 6. Ricoh: @Remote
- 7. Sharp: PAU
- 8. Toshiba: eFleet Management System: eFMS
- 9. Xerox: SMart eSolution
Es wird in diesem Zusammenhang als detaillierteres Beispiel auf den Inhalt der Offenlegungsschrift
Nachteilig bei herstellereigenen Systemen ist typischerweise, dass sie gewöhnlich nicht die private MIB oder andere Protokolle der Wettbewerbsmaschinen auslesen und auswerten können. Damit sind die meisten Service-Provider, die in der Regel mehr als einen Brand von Outputdevices betreuen, nicht zufrieden, weil Sie kein einheitliches System bei allen Kunden mit unterschiedlichsten Outputgeräten installieren können. Dieses Manko wird von herstellerunabhängigen Plattformen und Lösungen behoben, die mit typischerweise mit allen oder zumindest mit den meißten relevanten Herstellern Verträge unterhalten, um deren private MIB und entsprechende Protokolle verwenden zu können. Solche unabhängigen Plattformen weren sowohl als lokal zu installierende Software oder als Cloud Solution in Form eines Web Portals (SaaS) angeboten. Die bedeutendsten Anbieter auf dem Weltmarkt sind:
- – Printaudit (Canada)
- – FM Audit (USA)
- – Printfleet (Canada)
- – Netaphor (USA)
- – BITS (UK)
- - Printaudit (Canada)
- - FM Audit (USA)
- - Printfleet (Canada)
- - Netaphor (USA)
- - BITS (UK)
Alle SaaS-Lösungen machen einen Webzugang für die Output-Geräte zum Web-Portal hin erforderlich. Aber auch die lokal betriebenen Serverplattformen benötigen zum Update ihrer Software, der MIB's neuer Geräte oder des Debugging, regelmäßig Zugriff von außen. Der Zentralserver solch einer SaaS-Lösung kann pro Woche eine beachtliche Anzahl von zusätzlichen Updates hinsichtlich neuer Geräte und der Vervollständigung der MIB's liefern bzw. anbieten.All SaaS solutions provide web access for the output devices to the web portal required. But the locally operated server platforms also need regular external access to update their software, the MIB's new devices or debugging. The central server of such a SaaS solution can provide a significant number of additional updates per week regarding new devices and the completion of MIBs.
Obwohl solche Technologien seit einigen Jahren bekannt und auch verwendet werden, gibt es auch vielfältige Bedenken gegen die Anwendung solcher Technologien, die dementsprechend noch nicht im sich an anbietenden Umfang zum Einsatz kommen. Ein besonders wichtiger Grund dürften Sicherheitsbedenken des verantwortlichen IT-Managements sein. Es besteht somit ein großer Nachholbedarf bei der Einführung solcher Systeme und Verfahren.Although such technologies have been known and used for several years, there are also many concerns about the use of such technologies, which accordingly are not yet used to the extent that they can offer. A particularly important reason may be security concerns of the responsible IT management. There is thus a great need to catch up with the introduction of such systems and methods.
Ein anderer, hier nicht weiter relevanter Ansatz war bei Remote-Service-Systeme der bisher weitestgehend als Standalone betriebenen Geräte der Fa. Xerox realisiert, die in der Regel über Fax-Anschlüsse bzw. Terminal Software Zugriff erlaubten. Solch eine Lösung ist für Flotten mir einer großen Anzahl von einzelnen Geräten kaum praktikabel.Another, here not further relevant approach was implemented in remote service systems of the previously largely operated as a standalone devices of the company. Xerox, which usually allowed access via fax ports or terminal software access. Such a solution is hardly practical for fleets with a large number of individual devices.
4. Kritik am Stand der Technik – Grenzen der Sicherheits-Akzeptanz heutiger Systeme4. Criticism of the state of the art - limits of safety acceptance of today's systems
Von IT-kritischen Kunden und sicherheitssensiblen Bereichen wird ein Reporting über das Produktions-LAN aus Sicherheitsgründen abgelehnt. Diese sind noch dazu meist Anwender mit sehr großen bzw. vielen und kostenintensiven Output-Systemen, bei denen ein Remote-Service besonders sinnvoll erscheinen würde.IT-critical customers and security-sensitive areas deny reporting on the production LAN for security reasons. These are mostly users with very large or many and expensive output systems, where a remote service would appear particularly useful.
Die Ablehnung der IT schließt also einen Datenverkehr von den Output-Geräten (oder allgemein den Produktiv-System bzw. Produktiv-Geräten) über die Firewall aus dem Netzwerk heraus aus. Das ist aber genau das, was für eine automatische Datenübermittlung der Geräte an einen Service-Provider benötigt wird. Darüber hinaus ist ein Zugriff auf die Geräte von außen über das Netzwerk durch die Firewall, wie es beispielsweise beim automatischen Updaten der Firmware nötig ist, bei IT kritischen Unternehmen häufig gänzlich untersagt.The denial of IT therefore excludes data traffic from the output devices (or in general the productive system or productive devices) via the firewall from the network. But this is exactly what is needed for an automatic data transmission of the devices to a service provider. In addition, external access to the devices through the network through the firewall, as required, for example, when updating firmware automatically, is often completely prohibited for IT critical organizations.
Somit steht die Weiterentwicklung und Erhöhung der Effizienz von Remote-Service-Systemen für Outputsysteme durch integrative IT-Vernetzung mit anderen Systemen des Service-Providers oder des Herstellers der Geräte vor einem Dilemma.Thus, the further development and increase of the efficiency of remote service systems for output systems through integrative IT networking with other systems of the service provider or the manufacturer of the devices is a dilemma.
Es stellt sich also die Frage, wie kann man den Sicherheitsbedenken begegnen, oder besser, wie kann man sie ausräumen, um die technisch notwendigen Netzwerkzugriffe auf die Output-Systeme realisieren zu können? Dabei muss jedoch immer davon davon ausgegangen werden, dass es eine 100%-IT-Sicherheit nicht gibt und nicht geben wird. Um dem Optimum so nahe wie möglich zu kommen, ist es notwendig, eine IT-Lösung zu entwickeln, die sicherstellt, dass
- a) Druckdatenströme (bzw. allgemein Produktivdatenströme) von den Service bezogenen Datenströmen der Output-Systeme (bzw. Produktiv-Systeme) durch geeignete Filter getrennt werden (Filterfunktion),
- b) Druckdatenströme (bzw. Produktivdatenströme) am Verlassen des Produktions-LAN des Anwenders gehindert werden und nur mit dem Output-System (bzw. Produktivsystem) kommunizieren,
- c) Service bezogene Datenströme des Output-Systems (bzw. Produktiv-Systems) ausschließlich in ein separates Netzwerk gelangen und nach außen geroutet werden (Routingfunktion), und
- d) von außen keine Fremddaten in das Produktions-LAN des Kunden bzw. Anwenders gelangen können (Firewallfunktion).
- a) print data streams (or generally productive data streams) are separated from the service-related data streams of the output systems (or productive systems) by suitable filters (filter function),
- b) print data streams (or productive data streams) are prevented from leaving the user's production LAN and communicate only with the output system (or productive system),
- c) service-related data streams of the output system (or productive system) only get into a separate network and are routed to the outside (routing function), and
- d) from outside, no external data can reach the production LAN of the customer or user (firewall function).
Idealerweise kann ferner auch vorgesehen sein, dass
- e) durch das IT-Management des Anwenders ständig eine Kontrolle durch Monitoring darüber besteht, welche Datenströme wohin geleitet werden und was enthalten ist (Logging-Funktion), und
- f) die Datenstromtrennung durch eine unabhängige Zertifizierungsautorität bestätigt und zertifiziert ist.
- e) the user's IT management constantly monitors by monitoring which data streams are routed to where and what is contained (logging function), and
- f) the data stream separation is certified and certified by an independent certification authority.
Zur Erfüllung dieser (technischen) Anforderungen werden hiermit technische Lösungen vorgeschlagen, wie eingangs schon in Form eines kurzen Überblicks angesprochen und im Folgenden detaillierter anhand von Ausführungsbeispielen dargelegt.In order to meet these (technical) requirements, technical solutions are proposed herewith, as already mentioned in the form of a brief overview and explained in more detail below with reference to exemplary embodiments.
Anzumerken ist, dass es sich bei den angesprochenen Output-Systemen bzw. Produktiv-Systemen insbesondere um Büromaschinen wie Kopierer, Drucker, Scanner und Telefaxgeräte und um entsprechende Funktionalitäten aufweisende Multifunktionsgeräte handeln kann. Die hiermit gegebenen Lösungsvorschläge sind aber auch auf völlig andere Geräte und Systeme anwendbar, die für einen Anschluss am Produktiv-LAN eines Anwenders vorgesehen bzw. geeignet und grundsätzlich für eine Fernwartung oder Fernbetreuung durch einen Service-Provider oder Hersteller oder Lieferanten geeignet sind. Der Begriff Produktiv-System bzw. Produktiv-Gerät soll in diesem allgemeinen Sinn verstanden werden. Die vorangehenden und folgenden Ausführungen in Bezug auf Output-Systeme sind insoweit nur als exemplarisch anzusehen. Es handelt sich bei den sich auf Output-System bezogenen Ausführungen aber ohne Frage um besonders relevante Anwendungsbeispiele für die hiermit gegebenen Erfindungs- und Weiterbildungsvorschläge.It should be noted that the mentioned output systems or productive systems can in particular be office machines such as copiers, printers, scanners and fax machines and multifunctional devices having corresponding functionalities. However, the proposed solutions are also applicable to completely different devices and systems that are intended or suitable for connection to the productive LAN of a user and are generally suitable for remote maintenance or remote support by a service provider or manufacturer or supplier. The term productive system or productive device should be understood in this general sense. The preceding and following remarks in relation to output systems are only to be regarded as exemplary in this respect. However, it is without question that the versions relating to the output system are particularly relevant Examples of application for the inventions and further education proposals hereby given.
5. Lösungsvorschläge5. Suggested solutions
Vorgeschlagen wird die Verwendung eines Paketfilters mit spezieller Funktionalität. Ein Paketfilter oder Protokollfilter ist eine Software, die den ein- und ausgehenden Datenverkehr in einem Computernetzwerk nach festgelegten Kriterien filtert. Dies dient einerseits der Sicherheit und dem Schutz des Netzes vor Angreifern und andererseits der Trennung von Datenströmen, die in logisch unterschiedliche Netzwerke geleitet werden können. Ebenso wichtig wie der Schutz gegen Angreifer von außen ist der Schutz gegen ungewollt ausgehende Pakete. Ein Paketfilter kann als Firewall arbeiten oder Teil einer Firewall sein, oder aber ein intelligentes Gateway darstellen, was Datenströme in unterschiedliche Netzwerke kanalisiert.It is proposed to use a packet filter with special functionality. A packet filter or protocol filter is software that filters incoming and outgoing traffic on a computer network according to specified criteria. On the one hand, this helps to protect and protect the network from attackers and, on the other hand, to separate data streams that can be routed to logically different networks. Just as important as the protection against attackers from the outside is the protection against unwanted outgoing packets. A packet filter can work as a firewall or be part of a firewall, or it can be an intelligent gateway, which channels data streams into different networks.
Da Paketfilter u. a. verwendet werden, um das Konzept einer Firewall umzusetzen, bieten sie sich zur Trennung der verschiedenen Datenströme, die aus Sicherheitsgründen nicht vermischt werden sollten, an. Paketfilter kommen auch in Routern zum Einsatz, um zu verhindern, dass Datenpakete aus oder in ein Netz gesendet werden, die ungültige Absender- oder Ziel-Adressen beinhalten.Since packet filter u. a. used to implement the concept of a firewall, they offer to separate the various data streams, which should not be mixed for security reasons. Packet filters are also used in routers to prevent data packets from being sent to or from a network that contain invalid sender or destination addresses.
Werden z. B. Daten in einem Netz von dem sendenden Host in Datenpakete verpackt und versendet, so wird jedes Paket, das den Paketfilter passieren will, untersucht. Anhand der in jedem Paket vorhanden Daten, wie Absender- und Empfänger-Adresse oder Protokolltyp, entscheidet der Paketfilter auf Grund von Filterregeln, was mit diesem Paket geschieht. Ein unzulässiges Paket, das den Filter nicht passieren darf, wird in der Regel verworfen.Are z. For example, as data in a network is packaged and sent by the sending host into packets, each packet that wants to pass the packet filter is examined. Based on the data present in each packet, such as sender and recipient address or protocol type, the packet filter decides what to do with this packet based on filter rules. An invalid package that can not pass the filter is usually discarded.
Ein Paketfilter kann für ein ausgehendes Paket automatisch eine Regel erzeugen, die in einem bestimmten Zeitfenster (im Minutenbereich) die Antwort auf dieses Paket akzeptiert. Kommt die Antwort nicht oder wird die Zeit überschritten, verfällt die Regel. Der Paketfilter definiert Regeln, die festlegen, ob einzelne oder zusammenhängende Pakete das Gateway passieren dürfen oder abgeblockt werden. Eine solche Regel wäre zum Beispiel: verwerfe alle Pakete, die von einer bestimmten IP-Adresse kommen. Da Angreifer jedoch von beliebigen IP-Adressen kommen können, ist es praktikabler, den umgekehrten Weg zu gehen und nur Pakete durchzulassen, die von bestimmten IP-Adressen kommen.A packet filter can automatically generate a rule for an outbound packet that accepts the response to that packet within a specific time window (in the range of minutes). If the answer does not come or if the time is exceeded, the rule will expire. The packet filter defines rules that determine whether single or contiguous packets are allowed to pass through the gateway or are blocked. Such a rule would be for example: discard all packets coming from a specific IP address. However, because attackers can come from arbitrary IP addresses, it is more practicable to go the opposite way and pass only packets that come from certain IP addresses.
Ein Weg, um die Sicherheit der Kommunikation z. B. zwischen Firmennetzen oder in solchen Gateways weiter zu erhöhen, ist ein so genanntes Portknocking, bei dem der Absender vor der Aufnahme einer Verbindung eine vorher vereinbarte Folge von Paketen sendet und der Port erst daraufhin geöffnet wird.A way to improve the security of communication z. B. between corporate networks or in such gateways continues to increase, is a so-called port knocking, in which the sender before receiving a connection sends a previously agreed sequence of packets and the port is then opened.
Auf der Basis des Paketfilters wird weiter vorgeschlagen:
- 1. die intelligente Trennung der Datenströme mit Druckdateninhalt (allgemein Produktivdateninhalt) vom Datenstrom mit Service-Daten Inhalt anhand von Protokoll- bzw. Datenpaketmerkmalen (Filterfunktion),
- 2. die Schaffung eines zweiten, unabhängigen Netzwerkes zur Kommunikation der technischen Daten der Output Systeme, z. B. in Form eines virtuellen LANs, insbesondere VPN (Virtual Private Network), oder auf Basis eines vom Produktiv-LAN völlig unabhängigen, über den räumlichen Bereich des Anwenders hinausgehenden Drahtlos-Netzwerks (insbesondere Mobiltelefonie-Netzwerk bzw. Drahtlos/Mobil-Internet-Zugang-Netzwerk, etwa unter Nutzung eines Standards wie GMS, GPRS, UMTS, LTE), wodurch eine getrennte logische und ggf. auch getrennte physikalische Kommunikationsebene für die Nutzung durch eine Routingfunktion geschaffen wird,
- 3. optional die zusätzliche Trennung der Datenströme durch Definieren jeweils zugeordneter Ports und Realisierung eines Port Forwarding (Portforwarding-Funktion).
- 1. the intelligent separation of the data streams with print data content (generally productive data content) from the data stream with service data content on the basis of protocol or data packet features (filter function),
- 2. the creation of a second, independent network for communicating the technical data of the output systems, eg. B. in the form of a virtual LAN, in particular VPN (Virtual Private Network), or based on a completely independent of the productive LAN, beyond the spatial area of the user's wireless network (in particular mobile telephony network or wireless / mobile Internet Access network, for example using a standard such as GMS, GPRS, UMTS, LTE), whereby a separate logical and possibly also separate physical communication layer for use by a routing function is created,
- 3. optionally the additional separation of the data streams by defining each assigned ports and implementing a port forwarding (port forwarding function).
Die technische Umsetzung der Lösungsvorschläge 1.–3. kann z. B. zweckmäßigerweise in einem Paket- bzw. Protokollfilter-Gateway erfolgen.The technical implementation of the proposed solutions 1.-3. can z. B. expediently done in a packet or protocol filter gateway.
Eine Untersuchung und Filterung der Datenströme/Datenpakete kann nach ihren Eigenschaften und Merkmalen bzw. verwendeten Protokollen wie z. B. LPD, SMB, SMTP, http, SNMP, https, UDP, CPCA (CPCA ist ein Canonspezifisches Protokoll) etc. erfolgen. Für Service Daten von Output-System werden meistens die letzten 4 genannten Protokolle benutzt. Die Analyse der Datenströme nach verwendeten Protokollen (Filterfunktion) und das Routing kann vorzugsweise in einem Switch erfolgen, soweit erforderlich oder zweckmäßig unter Verwendung einer CPU.An examination and filtering of the data streams / data packets can be carried out according to their properties and features or protocols used, such as, for example, LPD, SMB, SMTP, http, SNMP, https, UDP, CPCA (CPCA is a canonical protocol), etc. For service data of Output-System mostly the last 4 named protocols are used. The analysis of the data streams according to protocols used (filter function) and the routing can preferably take place in a switch, if necessary or expediently using a CPU.
Optional und je nach technischen Möglichkeiten kann zur Erhöhung der Sicherheit eine eindeutige Port-Zuordnung für In- und Outbound Traffic im Output-System (bzw. allgemein im Produktiv-System) und Port Forwarding im Protokollfilter Gateway nach Punkt 3 implementiert werden. Es ist aber auch denkbar, dass die Trennung der Datenströme mit Druckdateninhalt (allgemein Produktivdateninhalt) vom Datenstrom mit Service-Daten Inhalt alleine anhand des jeweils verwendeten Ports erfolgt, der jeweilige Port also das alleinige Protokoll- bzw. Datenpaketmerkmal ist, an dem die Filterfunktion ansetzt. Hierdurch wird das Filtern vereinfacht, mit entsprechend geringeren Anforderungen an den Paketfilter.Optionally, and depending on the technical possibilities, a clear port assignment for inbound and outbound traffic in the output system (or generally in the productive system) and port forwarding in the protocol filter gateway according to
Zentrales Lösungsmerkmal einiger der hiermit gelieferten Lösungsvorschläge ist also ein Protokolldatenfilter, z. B. in Form eines Protokollfilter-Gateways, das ggf. über ein Port-Forwarding für gefilterte Datenströme verfügt. The central solution feature of some of the proposed solutions thus provided is a protocol data filter, for. In the form of a protocol filter gateway, which may have port forwarding for filtered data streams.
Wünschenswert kann es sein, den Protokolldatenfilter unsichtbar im Netz zu haben z. B. ohne eigene IP-Adresse in Richtung LAN zu betreiben. Dies kann erreicht werden, indem die vom Subnetz des LAN bezogene IP-Adresse dem Gateway zugewiesen wird und die Verbindung des Outputsystems mit dem Gateway über ein separates in LAN unsichtbares Subnetz erstellt wird.It may be desirable to have the protocol data filter invisible in the network z. B. without own IP address in the direction of LAN to operate. This can be achieved by assigning the IP address obtained from the subnet of the LAN to the gateway and creating the connection of the output system to the gateway via a separate subnet visible in LAN.
Bereitgestellt werden unter anderem allgemein ein Verfahren und eine Einrichtung zur logischen Trennung, zum IT-sicheren Routing und zur gewünschtenfalls getunnelten Weitergabe von gerätebezogenen technischen Parametern und Daten eines Dokumentenoutputsystems oder allgemein Produktivsystems, welches gleichzeitig zur Kommunikation der Druckdatenströme oder allgemein Produktivdatenströme in ein lokales Netzwerk eingebunden ist, die sich insbesondere auszeichnen durch Vorsehen bzw. Verwenden eines Protokollfilter-Gateways, welches die Druckstromdaten bzw. Produktivstromdaten einerseits und die technischen gerätebezogenen Daten andererseits auf der Basis der verwendeten Netzwerkprotokolle Protokolle trennt und die technischen maschinenbezogenen Daten in ein logisch und ggf. auch physikalisch vom lokalen Netzwerk unabhängiges (separates) Netzwerk leitet, das mit einer Infrastruktur zur Auswertung und Weiterverarbeitung der Daten verbunden ist.Provided among other things, generally a method and a device for logical separation, for IT-secure routing and tunneled tunneled passing device-related technical parameters and data of a document output system or general productive system, which at the same time for communication of print data streams or generally productive data streams integrated into a local network is, in particular, by providing or using a protocol filter gateway, which separates the print stream data or productive stream data on the one hand and the technical device-related data on the other hand based on the network protocols used logs and the technical machine-related data in a logical and possibly also physically independent of the local network (separate) network, which is connected to an infrastructure for the evaluation and further processing of the data.
Das Protokollfilter-Gateway kann vorteilhaft zusätzlich oder auch als alleinige Basis für die Filterung eine Portforwarding-Funktion realisieren, die die in den Dokumentenoutputsystemen gesetzten Ports für die gerätebezogenen technischen und/oder Druckstrom/Produktivstromdaten voneinander trennt und separat weiterleitet.The protocol filter gateway can advantageously additionally or as the sole basis for the filtering implement a port forwarding function that separates the ports set in the document output systems for the device-related technical and / or print stream / productive stream data from each other and separately forwards.
Allgemein kann das Protokollfilter-Gateway wenigstens eine zum Anschluss eines Produktivgeräts bzw. Outputgeräts vorgesehene LAN oder/und WLAN-Schnittstelle und wenigstens eine zum Anschluss am Produktiv-LAN vorgesehene LAN oder/und WLAN-Schnittstelle aufweisen. Das Protokollfilter-Gateway kann aber auch in ein zugeordnetes Produktivgerät bzw. Outputgerät integriert sein oder auf andere Weise an diesem angeschlossen sein.In general, the protocol filter gateway can have at least one LAN or / and WLAN interface provided for connecting a productive device or output device and at least one LAN or / and WLAN interface provided for connection to the productive LAN. However, the protocol filter gateway can also be integrated into an associated productive device or output device or connected to it in some other way.
Das von dem Produktiv-LAN getrennte Netzwerk für die Übertragung der maschinenbezogenen Daten bzw. Service-Daten kann auf Basis eines so genannten VLAN-tagging realisiert sein, welches die Nutzung einer physikalischen Ethernet/LAN-Verbindung durch mehrere unabhängige logische Netzwerke ermöglicht. Das Protokollfilter-Gateway kann allgemein, insbesondere aber im Hinblick auf das angesprochene VLAN-tagging, über eine
Es ist also bevorzugt, dass das logisch unabhängige Netzwerk als ein VLAN ausgelegt ist, welches beispielsweise als WiFi oder WLAN-Netzwerk oder Carrier VPN realisier ist. Besonders zweckmäßig erscheint auch die Realisierung auf Basis eines Drahlos-Standards wie GMS, GPRS, UMTS, LTE oder ähnliches.It is therefore preferred that the logically independent network is designed as a VLAN, which is realized, for example, as a WiFi or WLAN network or carrier VPN. Implementation based on a wireless standard such as GMS, GPRS, UMTS, LTE or the like also appears particularly expedient.
Zweckmäßig kann das Protokollfilter-Gateway aus Sicht des Produktiv-LAN, in dem die Druckstromdaten bzw. Produktivstromdaten kommuniziert werden, keine eigene IP-Adresse sichtbar werden lassen.The protocol filter gateway can expediently not allow its own IP address to be visible from the point of view of the productive LAN in which the print stream data or productive stream data are communicated.
Bereitgestellt werden ohne Beschränkung der Allgemeinheit speziell auch die in den anhängenden Ansprüchen definierten Einrichtungen, Systeme, Verfahren und Anwendungen bzw. Verwendungen.Without limitation of generality, the devices, systems, methods and applications or uses defined in the appended claims are also specifically provided.
6. Beispiele6. Examples
Das Schema der
Die Trennung der Service-bezogenen Daten des Output-Devices von den Datenströmen mit Druckdateninhalt erfolgt dabei im Wesentlichen durch Verwendung einer erweiterten Routingfunktionalität auf dem Layer3 (Network) des OSI-Modells. Layer 3 bildet dabei die erste Entscheidungsebene. Weitere Folgeentscheidungen werden anhand der weiteren Layer bei Bedarf getroffen.The separation of the service-related data of the output device from the data streams with print data content is carried out essentially by using an advanced routing functionality on the Layer 3 (Network) of the OSI model.
Wie in
Der mit dem LAN verbundene Port des Protokollfilter-Gateways wird Bestandteil des LAN-Subnetzes (Sub-Netz A) und bezieht eine im LAN sichtbare IP-Adresse. Zum Outputsystem wird ein weiteres Sub-Netz (Sub Netz B) erstellt, welches vorzugsweise lediglich zwei IP-Adressen aufnehmen kann. Die primäre IP-Adresse (X.X.X.1) wird von Port des Filtergateways besetzt, die sekundäre Adresse (X.X.X.2) wird vom Outputsystem belegt. Weitere Adressen sind bei dieser bevorzugten Ausgestaltung nicht zulässig.The Port of the Protocol Filter Gateway connected to the LAN becomes part of the LAN Subnet (Subnet A) and obtains an IP address visible on the LAN. For the output system, another sub-network (subnetwork B) is created, which can preferably accommodate only two IP addresses. The primary IP address (XXX1) is occupied by the port of the filter gateway, the secondary address (XXX2) is occupied by the output system. Other addresses are not permitted in this preferred embodiment.
Der verbleibende dritte Port des Protokollfilter-Gateways, welcher die Verbindung zum Mobilfunknetz herstellt, bekommt eine weitere IP-Adresse, welche dem Device vom Provider des Mobilfunknetzes (etwa UMTS oder GPRS) im Zuge der Einbuchung ins Netz zugewiesen wird.The remaining third port of the protocol filter gateway, which establishes the connection to the mobile network, gets another IP address, which is assigned to the device by the provider of the mobile network (such as UMTS or GPRS) in the course of logging into the network.
Die Datentrennung im Protokollfilter-Gateway erfolgt nun nach folgenden Schema. Daten die das Protokollfilter-Gateway aus dem Sub-Netz A erreichen (Zieladresse ist in diesem Fall die IP-Adresse des Protokollfilter-Gateways im Sub-Netz A) werden über ein NAT-Routing ausschließlich dem Sub-Netz B zugänglich gemacht. Ein Routing vom Sub-Netz A in das Mobilfunknetz wird vom Protokollfilter-Gateway grundsätzlich unterbunden. Somit ist ein Datentransfer aus dem LAN ins Mobilfunknetz ausgeschlossen und umgekehrt.The data separation in the protocol filter gateway now follows the following scheme. Data which reach the protocol filter gateway from the subnetwork A (destination address is in this case the IP address of the protocol filter gateway in the subnetwork A) are made available to the subnetwork B via a NAT routing. Routing from subnet A into the mobile network is always prevented by the protocol filter gateway. Thus, a data transfer from the LAN is excluded in the mobile network and vice versa.
Daten des Sub-Netzes B, also Daten die aufgrund der limitierten Größe des Bub-Netzes B ausschließlich vom Outputsystem stammen können, werden gemäß dem hier dargestellten Ausführungsbeispiel nach den nachfolgend beschriebenen Regeln behandelt.
- 1.) Handelt es sich um IP-Pakete deren IP-Header (OSI-Modell Layer 3) IP-Ziel-Adressen des Sub-Netzes A beinhalten, so werden diese über die Reverse-NAT-Funktionalität des Protokollfilter-Gateways zurück in das Sub-Netz A übermittelt.
- 2.) Alle weiteren Datenpakete, die
die Regel 1 nicht erfüllen, werden zunächst daraufhin untersucht, welche Protokolle Verwendung finden (deep packet inspection:OSI Layer 4–7 Überprüfung). Protokolle, die gemäß der Sicherheitskonfiguration des Protokollfilter-Gateways freigegeben wurden, werden dann ebenfalls über eine NAT-Funktionalität ins Mobilfunknetz weitergeleitet. IP-Pakete, deren Protokolle für ein Routing nicht freigegeben wurden, werden verworfen.
- 1.) If it concerns IP packets whose IP headers (OSI model layer 3) IP address addresses of the sub-net A contain, these are over the reverse NAT functionality of the protocol filter gateway back into the Subnet A is transmitted.
- 2.) All other data packets that do not comply with
Rule 1 are first examined to determine which protocols are used (deep packet inspection: OSI Layer 4-7 check). Protocols that have been released according to the security configuration of the protocol filter gateway are then also forwarded to the mobile network via a NAT functionality. IP packets whose protocols have not been released for routing are discarded.
Durch die oben beschriebene Funktionalität ist sichergestellt, dass Verbindungen auf das Outputsystem nur vom Outputsystem selbst initiiert werden können. Sollten Verbindungsaufbauten von außen erwünscht sein, so können diese durch das bereits eingangs beschriebene Anklopfverfahren ermöglicht werden. Darüber hinaus ist es möglich, im Protokollfilter-Gateway feste IP-Adressen zu hinterlegen, welche dazu genutzt werden können, dedizierte Verbindungen von diesen IP-Adressen zu ermöglichen.The functionality described above ensures that connections to the output system can only be initiated by the output system itself. If external connection structures are desired, they can be made possible by the call-knocking process already described in the introduction. In addition, it is possible to store fixed IP addresses in the protocol filter gateway, which can be used to enable dedicated connections from these IP addresses.
Das Schema der
Ein Anwendungsbeispiel bezieht sich auf ein Firmware-Update bei Output-Geräten. Es wird für eine nur als Beispiel in Betracht gezogene Druckerserie des Herstellers Canon exemplarisch das Updaten der Firmware über eine Remote-Service-Verbindung zum jeweiligen Output-Gerät (Drucker) untersucht. Diese Canon-Maschinen sind mit einem selbständigen Firmware-Update-Mechanismus ausgestattet, der ein Auto-Update beinhalten, der für die Realisierung einer Remote Funktion gut geeignet zu sein scheint. Mögliche Update-Verfahren sind in der Übersicht der
Diese Übertragung erfolgt im im https-Protokoll und baut einen Web-Service zu dem Canon CDS Server auf. Dabei authentifiziert sich die Maschine nach einem proprietären Verfahren.This transfer takes place in the https protocol and establishes a web service to the Canon CDS server. The machine authenticates itself according to a proprietary procedure.
Dieser Auto-Update-Prozess kann direkt für die Realisierung des Erfindungsvorschlags genutzt werden, indem der entsprechende Daten-Traffic über einen erfindungsgemäßen Protokolldatenfilter, also z. B. über ein Protokollfilter-Gateway, über ein vom Produktions-LAN des jeweiligen Anwender getrenntes, gesondertes Netzwerk etwa auf Basis von UMTS auf den Canon-eigenen CDS-Server geleitet wird. Es hierzu sollte jedes Output-System über ein eigenes, etwa ein integriertes UMTS-Modem aufweisendes Protokollfilter-Gateway an das Produktions-LAN angeschlossen sein. Durch eine firewallartige Blockierung und Trennung gelangt der Service bezogene Datenstrom im https-Protokoll durch den Protokolldatenfilter nicht ins Produktionsnetz und Druckdatenströme können nicht ins UMTS Netz für Service-Daten gelangen.This auto-update process can be used directly for the realization of the invention proposal by the corresponding data traffic via a protocol data filter according to the invention, ie z. B. via a protocol filter gateway, via a separate from the production LAN of the respective user, separate network is guided approximately on the basis of UMTS on the Canon's own CDS server. For this purpose, each output system should be connected to the production LAN via its own protocol filter gateway which has an integrated UMTS modem, for example. Through a firewall-like blocking and separation, the service arrives The data stream in the https protocol through the protocol data filter does not enter the production network and print data streams can not reach the UMTS network for service data.
Soweit an solch einem Output-System (bzw. allgemein Produktiv-System) für die verschiedenen Datenströme unterschiedliche Ports gesetzt werden können, kann dies für eine zusätzliche Tunnelung und noch mehr Sicherheit genutzt werden. Die Möglichkeit, Ports für verschiedene Datenströme zu setzen, ist beispielsweise bei Geräten des Herstellers Toshiba möglich.As far as different ports can be set for such an output system (or general productive system) for the different data streams, this can be used for additional tunneling and even more security. The possibility of setting ports for different data streams is possible, for example, with devices from Toshiba.
Ein zum Beispiel als Protokollfilter-Gateway ausgelegter Protokolldatenfilter könnte von einer unabhängigen Stelle, z. B. einer Organisation wie dem TÜV in Deutschland, hinsichtlich seiner IT-Sicherheit zertifiziert sein. Um Änderungen nach Installation etwa durch eine neue Firmware des Protokollfilter-Gateways zu vermeiden, könnte diese auf ein ROM gebrannt werden.For example, a protocol data filter designed as a protocol filter gateway could be provided by an independent authority, e.g. B. an organization such as the TÜV in Germany, be certified in terms of its IT security. To avoid changes after installation, for example by a new firmware of the protocol filter gateway, this could be burned to a ROM.
Die Nutzung solch eines Protokoll-Filters bzw. Protokollfilter-Gateways zur erläuterten Datenstromtrennung hat den Vorteil der hohen Netzwerk Sicherheit auf der einen Seite und erlaubt auf der anderen Seite die Nutzung der vorhandenen Remote-Service-Infrastrukturen der Hersteller bzw. Service-Provider, was in der Einführungsphase erhebliche Kosten- und Zeiteinsparungen zulässt.The use of such a protocol filter or protocol filter gateway for the explained data stream separation has the advantage of high network security on the one hand and on the other hand allows the use of existing remote service infrastructures of the manufacturer or service provider, what significant cost and time savings during the introductory phase.
Zur Erläuterung zeigt
Gemäß einer ebenfalls zweckmäßigen Variante kann das jeweilige Protokollfilter-Gateway über wenigstens einen Ethernet-Port nach
7. Figurenaufzählung7th figure list
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- WO 02/078318 A1 [0018] WO 02/078318 A1 [0018]
- WO 02/077718 A1 [0018] WO 02/077718 A1 [0018]
Zitierte Nicht-PatentliteraturCited non-patent literature
- IEEE 802.1Q-Schnittstelle [0044] IEEE 802.1Q interface [0044]
- IEEE 802.1Q [0064] IEEE 802.1Q [0064]
Claims (38)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102011078894A DE102011078894A1 (en) | 2011-07-08 | 2011-07-08 | Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102011078894A DE102011078894A1 (en) | 2011-07-08 | 2011-07-08 | Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102011078894A1 true DE102011078894A1 (en) | 2013-01-10 |
Family
ID=47426500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102011078894A Withdrawn DE102011078894A1 (en) | 2011-07-08 | 2011-07-08 | Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102011078894A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103428079A (en) * | 2013-09-05 | 2013-12-04 | 德明通讯(上海)股份有限公司 | LTE wireless network gateway equipment applied to family |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020023258A1 (en) * | 2000-06-27 | 2002-02-21 | Elwahab Amgad Mazen | System and method for managing telecommunications devices |
US6353614B1 (en) * | 1998-03-05 | 2002-03-05 | 3Com Corporation | Method and protocol for distributed network address translation |
WO2002078318A1 (en) | 2001-03-21 | 2002-10-03 | Toshiba Tec Germany Imaging Systems Gmbh | Office machine that can be remote-maintenanced via a computer network and a management or/and support or/and report or/and information system comprising a plurality of office machines |
US6700891B1 (en) * | 1998-06-25 | 2004-03-02 | Cisco Technology, Inc. | Apparatus and method for providing a device level security mechanism in a network |
US20040225879A1 (en) * | 2003-05-08 | 2004-11-11 | Nelson Michael D. | Systems and methods for facilitating secure remote access to sensitive data from an embedded device |
US20070294416A1 (en) * | 2006-06-15 | 2007-12-20 | Fujitsu Limited | Method, apparatus, and computer program product for enhancing computer network security |
-
2011
- 2011-07-08 DE DE102011078894A patent/DE102011078894A1/en not_active Withdrawn
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6353614B1 (en) * | 1998-03-05 | 2002-03-05 | 3Com Corporation | Method and protocol for distributed network address translation |
US6700891B1 (en) * | 1998-06-25 | 2004-03-02 | Cisco Technology, Inc. | Apparatus and method for providing a device level security mechanism in a network |
US20020023258A1 (en) * | 2000-06-27 | 2002-02-21 | Elwahab Amgad Mazen | System and method for managing telecommunications devices |
WO2002078318A1 (en) | 2001-03-21 | 2002-10-03 | Toshiba Tec Germany Imaging Systems Gmbh | Office machine that can be remote-maintenanced via a computer network and a management or/and support or/and report or/and information system comprising a plurality of office machines |
WO2002077718A1 (en) | 2001-03-21 | 2002-10-03 | Toshiba Tec Germany Imaging Systems Gmbh | Method and system for service management or/and for service support or/and for the generation of service reports |
US20040225879A1 (en) * | 2003-05-08 | 2004-11-11 | Nelson Michael D. | Systems and methods for facilitating secure remote access to sensitive data from an embedded device |
US20070294416A1 (en) * | 2006-06-15 | 2007-12-20 | Fujitsu Limited | Method, apparatus, and computer program product for enhancing computer network security |
Non-Patent Citations (2)
Title |
---|
IEEE 802.1Q |
IEEE 802.1Q-Schnittstelle |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103428079A (en) * | 2013-09-05 | 2013-12-04 | 德明通讯(上海)股份有限公司 | LTE wireless network gateway equipment applied to family |
CN103428079B (en) * | 2013-09-05 | 2016-03-16 | 德明通讯(上海)有限责任公司 | A kind of LTE wireless gateway device being applied to family |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69836271T2 (en) | MULTI-STAGE FIREWALL SYSTEM | |
DE60216218T2 (en) | Personal firewall with space-dependent functionality | |
DE60213391T2 (en) | Personal firewall with position detection | |
DE69827351T2 (en) | Multiple virtual pathfinder | |
DE69929268T2 (en) | Method and system for monitoring and controlling network access | |
DE60029879T2 (en) | System for multi-layered deployment in computer networks | |
DE602004007444T2 (en) | Virtual private network with channelized Ethernet via Sonet interface, edge router and method | |
DE10052311B4 (en) | Manually prevent unauthorized listening in a virtual private network over the Internet | |
DE602004009636T2 (en) | Automatic discovery and configuration of external network devices | |
US9021549B2 (en) | Method of generating security rule-set and system thereof | |
DE112012003778T5 (en) | Computer network management tools | |
DE112017003500T5 (en) | Namespace routing | |
EP1417820B1 (en) | Method and computer system for securing communication in networks | |
DE60312490T2 (en) | PROCEDURE-BASED CONTRACT-BASED MANAGEMENT OF A NETWORK OPERATIONAL SUPPORT SYSTEM | |
DE60210356T2 (en) | Manager of service level agreements in a data network | |
DE10084739B4 (en) | Arrangement and method in a switched telecommunication system | |
DE102011078894A1 (en) | Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network | |
EP2296340A2 (en) | Method for operating a firewall device in automation networks | |
DE60311339T2 (en) | A method of managing a network service using the COPS protocol for configuration in a virtual private network | |
Cisco | Working with Policies | |
Cisco | Working with Policies | |
Cisco | Getting Started with the MPLS VPN Solutions Center | |
Cisco | Release Notes for TrafficDirector Release 5.8.0a on Windows NT and Solaris | |
Cisco | Setting Up the MPLS VPN Environment | |
Cisco | Getting Started with QPM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20140201 |