DE102011078894A1 - Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network - Google Patents

Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network Download PDF

Info

Publication number
DE102011078894A1
DE102011078894A1 DE102011078894A DE102011078894A DE102011078894A1 DE 102011078894 A1 DE102011078894 A1 DE 102011078894A1 DE 102011078894 A DE102011078894 A DE 102011078894A DE 102011078894 A DE102011078894 A DE 102011078894A DE 102011078894 A1 DE102011078894 A1 DE 102011078894A1
Authority
DE
Germany
Prior art keywords
network
data
gateway
network device
productive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102011078894A
Other languages
German (de)
Inventor
wird später genannt werden Erfinder
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Off Script GmbH
Script Off GmbH
Original Assignee
Off Script GmbH
Script Off GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Off Script GmbH, Script Off GmbH filed Critical Off Script GmbH
Priority to DE102011078894A priority Critical patent/DE102011078894A1/en
Publication of DE102011078894A1 publication Critical patent/DE102011078894A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/564Enhancement of application control based on intercepted application data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network

Abstract

The device has a protocol filter gateway for separating pressure flow data and technical device-related data from each other based on a used network protocol. The protocol filter gateway guides the technical device-related data into a separate network, which is logically independent of a local network and connected with an infrastructure for evaluating and further-processing the data. The protocol filter gateway includes a supplementary port forwarding function and an IEEE 802.1 Qinterface for connection in wireless local area networks. Independent claims are also included for the following: (1) a method for logical separation for routing and desired tunneling transmission of device-related technical parameters of a productive system i.e. document output system (2) a system for logical separation for routing and desired tunneling transmission of device-related technical parameters of a productive system i.e. document output system.

Description

1. Überblick1. Overview

Ohne Beschränkung der Allgemeinheit wird für die Anwendung von LAN- und Web-basierenden Remote-Service-Systemen, insbesondere für Firmware-Updates, aber auch zur Fernwartung von Produktiv-Systemen, etwa so genannte Output-Systeme über entsprechende Device-Management-Systeme, eine Lösung vorgeschlagen, die typische IT-Sicherheitslücken hinsichtlich Firewall Penetrierung, Datenstrom Sniffering und allgemeiner IT-Sicherheit von großen Firmennetzwerken ausräumt oder zumindest minimiert und in überschaubaren Grenzen hält.Without limitation of the general public, for the application of LAN and web-based remote service systems, in particular for firmware updates, but also for the remote maintenance of productive systems, so-called output systems via appropriate device management systems, proposed a solution that eliminates or at least minimizes and keeps within manageable limits typical IT security gaps with regard to firewall penetration, data stream sniffering and general IT security of large corporate networks.

Als Lösung wird unter anderem ein Remote-Service-System auf der Grundlage eines Protokolldatenfilters vorgeschlagen, der die Service bezogenen Daten der Produktiv-System bzw. Output-Systeme strikt und logisch sauber von den Produktivstromdaten, etwa Druckstromdaten trennt, und zwar

  • 1. durch die Anwendung eines Protokollfilter-Gateways vorzugsweise mit eigener CPU für die Erfüllung einer Protokollfilterfunktion,
  • 2. durch die Verwendung eines zweiten, zusätzlichen, logisch getrennten z. B. virtuellen LAN für die Service-bezogenen Daten (Routingfunktion) und
  • 3. eine gewünschtenfalls die beiden erste Punkte ergänzende Möglichkeit durch Port Setting für Inbound und Outbound Traffic, sowie einem in das Protokollfilter-Gateway implementiertes Port-Forwarding (Portforwarding-Funktion), in Abhängigkeit vom verwendeten Produktivsystem (ggf. Output-System, etwa Outputdevice wie Drucker) ab.
Among other things, the solution proposed is a remote service system based on a protocol data filter which strictly and logically separates the service-related data of the productive system or output systems from the production stream data, for example print stream data
  • 1. by the use of a protocol filter gateway preferably with its own CPU for the fulfillment of a protocol filter function,
  • 2. by the use of a second, additional, logically separated z. B. Virtual LAN for the service-related data (routing function) and
  • 3. If desired, supplementing the first two points by port setting for inbound and outbound traffic, as well as a port forwarding (port forwarding function) implemented in the protocol filter gateway, depending on the productive system used (if applicable, output system, such as output device like printers).

Das optionale 3. Lösungsmerkmal kann in Kombination mit der ersten Lösungsmerkmal durch Portforwarding eine zusätzliche IT-Sicherheit ergeben.The optional third solution feature, in combination with the first solution feature, can provide additional IT security through port forwarding.

Bereitgestellt wird insbesondere auch ein Gateway, insbesondere Protokollfilter-Gateway, zum Übertragen gerätebezogener oder Servicebezogener Daten getrennt von Nutzerdaten oder Produktiv-Daten über ein von einem Produktiv-Netzwerk logisch unabhängiges Netzwerk.In particular, a gateway is also provided, in particular a protocol filter gateway, for transmitting device-related or service-related data separately from user data or productive data via a network which is logically independent of a productive network.

2. Hintergrund2. Background

Es werden heute in den vielfältigsten Umgebungen Outputsysteme betrieben, die einen erheblichen Kostenfaktor im Gesamtbusiness eines jeweiligen Betreibers darstellen. Der Managed Print Service (MPS) bzw. bei einigen Herstellern Managed Document Service (MDS) genannt, hat zum Inhalt, diese Kosten für den Betreiber zu senken. Dabei steht dennoch der Wunsch des Betreibers im Vordergrund, die Verfügbarkeit der Outputsysteme mit hoher Output Qualität ständig zu gewährleisten.Today, in the most varied environments, output systems are operated, which represent a considerable cost factor in the overall business of an individual operator. Managed Print Service (MPS), or Managed Document Service (MDS) for some manufacturers, is intended to reduce these costs for the operator. Nevertheless, the operator's desire is to constantly ensure the availability of output systems with high output quality.

Wichtige Kostenfaktoren beim Betrieb von Outputsystemen sind:

  • – ein kundenorientiertes Helpdesk System mit Ticketverwaltung, Tracking und selbstwachsendem Knowledge Managementsytem,
  • – ein pro-aktives und effektives Service Management,
  • – ein IT – integratives Abrechnungssystem,
  • – das Outputmanagement-System selbst.
Important cost factors in the operation of output systems are:
  • - a customer-oriented helpdesk system with ticket management, tracking and self-growing knowledge management system,
  • - pro-active and effective service management,
  • - an IT integrated payroll system,
  • - the output management system itself.

Während das Outputmanagement-System hinsichtlich Anschaffung und Installation typischerweise nach den Kundenanforderung ausgewählt und festgelegt wird, betreffen die 3 anderen Punkte hauptsächlich das Service-Management-System des Service-Providers.While the output management system is typically selected and determined in terms of purchase and installation according to the customer's request, the 3 other points mainly relate to the service management system of the service provider.

3. Stand der Technik3. State of the art

Helpdesk Systeme gibt es in großer Vielfalt und einige davon können auch bereits Service-bezogene Daten der Maschinen auslesen. So kann z. B. Footprint von Numara Soft (wie auch andere Asset Management Systeme) auf der Basis der Public MIB den Namen, Hersteller, Seriennummer und Hauptzählerstand von Druckern auslesen. Daten aus der Privat MIB, also andere Zähler, Tonerlevel oder Service-Alarmmeldungen, werden nicht erkannt.Helpdesk systems are very diverse and some of them can already read service-related data from the machines. So z. For example, Numara Soft's footprint (as well as other asset management systems) uses the Public MIB to read the name, manufacturer, serial number, and head count of printers. Data from the Private MIB, such as other meters, toner levels, or service alarms, is not recognized.

Für ein pro-aktives und IT-integratives Service-Management sind jedoch mehr Informationen aus den Outputsystemen zu entnehmen, um möglichst Vor-Ort-Besuche des Technikers zu verhindern oder zumindest so effektiv zu gestalten, dass mit hoher Sicherheit das Problem beim ersten Besuch gelöst wird. Dennoch werden etwa nur 10% aller Fehlermeldungen am Helpdesk gelöst und in 90% der Fälle wird ein Techniker-Besuch fällig. Dabei sind für einen Besuch durchaus erhebliche Kosten ohne Ersatzteile zu veranschlagen. Bei kleineren Maschinen kann mit einem Besuch und bei großen sowie bei Produktionsanlagen mit 5–10 Besuchen pro Jahr gerechnet werden. Inhalt der Besuche sind typischerweise:

  • – Störungsbeseitigung mit oder ohne Ersatzteilaustausch
  • – Regelmäßige Wartung
  • – Netzwerkintegration (bei Erlaubnis durch Kunden häufig über Remote Desktop Lösung möglich)
  • – Colour Calibration
  • – Firmware Update.
For a pro-active and IT-integrated service management, however, more information is to be taken from the output systems in order to prevent on-site visits by the technician or at least to make them so effective that the problem is solved with a high degree of certainty at the first visit becomes. Nevertheless, only about 10% of all helpdesk error messages are resolved and in 90% of cases a technician visit is due. There are quite considerable costs to pay for a visit without replacement parts. For smaller machines one can expect a visit and for large and in production plants with 5-10 visits per year. Content of visits are typically:
  • - Troubleshooting with or without replacement of spare parts
  • - Regular maintenance
  • - Network integration (often possible via remote desktop solution if granted by customers)
  • - Color Calibration
  • - Firmware update.

Während die ersten beiden Punkte kaum zu eliminieren, sondern bestenfalls durch geeignete Maßnahmen hocheffektiv zu gestalten sind, könnten z. B. Netzwerkprobleme und Firmware-Update, also Software-bezogene Aktionen, durchaus mit Remote-Tools erledigt werden.While the first two points are difficult to eliminate, but at best to be made highly effective by appropriate measures, z. As network problems and firmware update, so software-related actions, quite with remote tools are done.

Auch das ”leidige” Zählerstandserfassen, das der Service-Provider bei Clickverträgen (Abrechnung aller Kosten über einen Festpreis pro Seite Schwarz- und Farbausdruck A4) zur typischerweise monatlichen oder quartalsweisen Rechnungsstellung benötigt, ist in diesem Zusammenhang ein wichtiges Thema. Zählerstandserfassungen erfolgen heute noch vielfach über Telefon, Fax, oder der Kunde gibt die Zählerdaten manuell in ein Web-Portal des Service-Providers ein. Neben dem Aufwand der mehrfachen Dateneingabe sind die Fehlerquellen vielfältig. Es können allein dafür bei einem Service-Provider erhebliche Kosten entstehen. Also the "annoying" Meter reading, which the service provider needs for click contracts (billing of all costs over a fixed price per page black and color print A4) for typically monthly or quarterly billing, is an important topic in this context. Meter readings are still carried out frequently via telephone, fax, or the customer enters the meter data manually into a web portal of the service provider. In addition to the effort of multiple data entry, the sources of error are manifold. It can alone for a service provider incur significant costs.

Ein weiterer bedeutender Kostenfaktor sind die kleinen ”Tonerlager” die der Service-Provider beim Kunden anlegen muss, damit der Benutzer immer dann Toner zur Verfügung hat, wenn an seinen Maschinen der Toner ausgeht. Bei einem Beispiel eines Farb-Outputgerätes mit 4 Tonerkartuschen zu je 150 € lagern mindestens 600 € für eine Maschine beim Kunden, mit entsprechend hohen Gesamtkosten bzw. entsprechend hohen Kapitalaufwand (Inventurkapital) bei einer Flotte von vielen Farbmaschinen. Daneben läuft häufig die Kontrolle des Tonerverbrauchs durch den Kunden aus dem Ruder, so dass die Kosten beim Service-Provider unkontrolliert steigen.Another significant cost factor is the small "toner stores" the service provider needs to create with the customer so that the user has toner available whenever his machines run out of toner. In an example of a color output device with 4 toner cartridges of 150 € store at least 600 € for a machine at the customer, with correspondingly high total costs or correspondingly high capital expenditure (inventory capital) in a fleet of many color machines. In addition, often runs the control of toner consumption by the customer from the helm, so that the costs increase uncontrollably with the service provider.

Daraus ergibt sich die Notwendigkeit, Daten zu erheben, die es dem Service-Provider erlauben, den Toner dann zu liefern, wenn er wirklich gebraucht wird, just in time also. Dazu müssen die Informationen der Geräte genutzt werden, die sie bezüglich Tonerlevel der einzelnen Kartuschen anzeigen und nach außen melden.As a result, there is a need to collect data that will allow the service provider to deliver the toner when it is really needed, just in time. This requires the information of the devices to be used to indicate toner level of each cartridge and report it to the outside.

Durch Remote-Service unter Ausnutzung der Informationen und Daten, die die Outputsysteme heute in ihrer so genannten privat MIB (Management Information Base) liefern bzw. als Online-Dienste anbieten, ist es im Prinzip leicht möglich, die Zahl der Techniker-Besuche vor Ort zu verringern. Typischerweise kommt Folgendes in Betracht:

  • – Übertragung der Tonerlevel der Kartuschen
  • – Übertragung aller Zählerstände
  • – Übertragung des Papiervorrates in den unterschiedlichen Kassetten
  • – Übertragung von Fehlermeldungen verschiedenster Art
  • – Übertagung der UI-Textmeldungen
  • – Selbständiges Suchen nach neuer Firmware und automatisches Updaten.
By remote service taking advantage of the information and data that the output systems provide today in their so-called private MIB (Management Information Base) or offer as online services, it is in principle easily possible, the number of on-site technician visits to reduce. Typically, the following may be considered:
  • - Transfer the toner level of the cartridges
  • - Transmission of all meter readings
  • - Transfer of paper stock in different cassettes
  • - Transmission of error messages of various kinds
  • - Transmission of UI text messages
  • - Independent search for new firmware and automatic updating.

Letztlich halten mehr oder weniger alle Outpusysteme solche Servicebezogenen Daten als MIB über SNMP oder andere private Protokolle (z. B. Canon: CPCA) oder entsprechende Online-Dienste bereit. Sie müssen nur ausgelesen und verarbeitet werden.Finally, more or less all outpus systems maintain such service-related data as MIB via SNMP or other private protocols (eg Canon: CPCA) or corresponding online services. They just have to be read out and processed.

Dazu stellen Hersteller von Outputsystemen typischerweise ihren Kunden eine proprietäre Device Management Software oder eine Cloud Solution zur Verfügung, die allgemein in der Lage ist, die Service bezogenen Daten ihrer eigenen Geräte vollständig und umfassend auszulesen und zu überwachen. Auch Schnittstellen ihrer Systeme zu anderen IT Systemen, z. B. den ERP Systemen der Service-Porovider, werden angeboten.To this end, output system manufacturers typically provide their customers with a proprietary device management software or cloud solution that is generally capable of fully and extensively reading and monitoring the service related data of their own devices. Also interfaces of their systems to other IT systems, eg. The ERP systems of the service poroviders are offered.

Beispiele für herstellereigene Device Management Systeme sind (ohne Anspruch auf Vollständigkeit) etwa:

  • 1. KonicaMinolta: CS Remote Care, M2M GPRS Box über proprietäte Service Schnittstelle
  • 2. Lexmark: Fleetmanager, Markvision
  • 3. Kyocera: Kyocount
  • 4. Hewlett Packard: HP Device Manager, Open View
  • 5. Canon: e-Maintenance, Image Ware
  • 6. Ricoh: @Remote
  • 7. Sharp: PAU
  • 8. Toshiba: eFleetmanagement System: eFMS
  • 9. Xerox: SMart eSolution
Examples of proprietary device management systems are (without claim to completeness) such as:
  • 1. KonicaMinolta: CS Remote Care, M2M GPRS Box via proprietary service interface
  • 2. Lexmark: Fleet Manager, Markvision
  • 3. Kyocera: Kyocount
  • 4. Hewlett Packard: HP Device Manager, Open View
  • 5. Canon: e-Maintenance, Image Ware
  • 6. Ricoh: @Remote
  • 7. Sharp: PAU
  • 8. Toshiba: eFleet Management System: eFMS
  • 9. Xerox: SMart eSolution

Es wird in diesem Zusammenhang als detaillierteres Beispiel auf den Inhalt der Offenlegungsschrift WO 02/078318 A1 , sowie auch auf als weiteres Beispiel auf den Inhalt der Offenlegungsschrift WO 02/077718 A1 , verwiesen.It is in this context as a more detailed example on the content of the disclosure WO 02/078318 A1 , as well as a further example of the content of the published patent application WO 02/077718 A1 , referenced.

Nachteilig bei herstellereigenen Systemen ist typischerweise, dass sie gewöhnlich nicht die private MIB oder andere Protokolle der Wettbewerbsmaschinen auslesen und auswerten können. Damit sind die meisten Service-Provider, die in der Regel mehr als einen Brand von Outputdevices betreuen, nicht zufrieden, weil Sie kein einheitliches System bei allen Kunden mit unterschiedlichsten Outputgeräten installieren können. Dieses Manko wird von herstellerunabhängigen Plattformen und Lösungen behoben, die mit typischerweise mit allen oder zumindest mit den meißten relevanten Herstellern Verträge unterhalten, um deren private MIB und entsprechende Protokolle verwenden zu können. Solche unabhängigen Plattformen weren sowohl als lokal zu installierende Software oder als Cloud Solution in Form eines Web Portals (SaaS) angeboten. Die bedeutendsten Anbieter auf dem Weltmarkt sind:

  • – Printaudit (Canada)
  • – FM Audit (USA)
  • – Printfleet (Canada)
  • – Netaphor (USA)
  • – BITS (UK)
Einige der genannten Lösungen sind SaaS-Lösungen, wie z. B. die von der Firma Printaudit (Kanada).A disadvantage of proprietary systems is typically that they typically can not read and evaluate the private MIB or other competitive engine protocols. Most service providers, who usually handle more than one brand of output device, are not satisfied because you can not install a unified system among all customers with a wide variety of output devices. This shortcoming is addressed by vendor-independent platforms and solutions that typically have contracts with all or most of the relevant vendors to use their private MIB and protocols. Such independent platforms are offered as either locally installed software or as a cloud solution in the form of a web portal (SaaS). The most important suppliers on the world market are:
  • - Printaudit (Canada)
  • - FM Audit (USA)
  • - Printfleet (Canada)
  • - Netaphor (USA)
  • - BITS (UK)
Some of these solutions are SaaS solutions, such as: B. by the company Printaudit (Canada).

Alle SaaS-Lösungen machen einen Webzugang für die Output-Geräte zum Web-Portal hin erforderlich. Aber auch die lokal betriebenen Serverplattformen benötigen zum Update ihrer Software, der MIB's neuer Geräte oder des Debugging, regelmäßig Zugriff von außen. Der Zentralserver solch einer SaaS-Lösung kann pro Woche eine beachtliche Anzahl von zusätzlichen Updates hinsichtlich neuer Geräte und der Vervollständigung der MIB's liefern bzw. anbieten.All SaaS solutions provide web access for the output devices to the web portal required. But the locally operated server platforms also need regular external access to update their software, the MIB's new devices or debugging. The central server of such a SaaS solution can provide a significant number of additional updates per week regarding new devices and the completion of MIBs.

Obwohl solche Technologien seit einigen Jahren bekannt und auch verwendet werden, gibt es auch vielfältige Bedenken gegen die Anwendung solcher Technologien, die dementsprechend noch nicht im sich an anbietenden Umfang zum Einsatz kommen. Ein besonders wichtiger Grund dürften Sicherheitsbedenken des verantwortlichen IT-Managements sein. Es besteht somit ein großer Nachholbedarf bei der Einführung solcher Systeme und Verfahren.Although such technologies have been known and used for several years, there are also many concerns about the use of such technologies, which accordingly are not yet used to the extent that they can offer. A particularly important reason may be security concerns of the responsible IT management. There is thus a great need to catch up with the introduction of such systems and methods.

Ein anderer, hier nicht weiter relevanter Ansatz war bei Remote-Service-Systeme der bisher weitestgehend als Standalone betriebenen Geräte der Fa. Xerox realisiert, die in der Regel über Fax-Anschlüsse bzw. Terminal Software Zugriff erlaubten. Solch eine Lösung ist für Flotten mir einer großen Anzahl von einzelnen Geräten kaum praktikabel.Another, here not further relevant approach was implemented in remote service systems of the previously largely operated as a standalone devices of the company. Xerox, which usually allowed access via fax ports or terminal software access. Such a solution is hardly practical for fleets with a large number of individual devices.

4. Kritik am Stand der Technik – Grenzen der Sicherheits-Akzeptanz heutiger Systeme4. Criticism of the state of the art - limits of safety acceptance of today's systems

Von IT-kritischen Kunden und sicherheitssensiblen Bereichen wird ein Reporting über das Produktions-LAN aus Sicherheitsgründen abgelehnt. Diese sind noch dazu meist Anwender mit sehr großen bzw. vielen und kostenintensiven Output-Systemen, bei denen ein Remote-Service besonders sinnvoll erscheinen würde.IT-critical customers and security-sensitive areas deny reporting on the production LAN for security reasons. These are mostly users with very large or many and expensive output systems, where a remote service would appear particularly useful.

Die Ablehnung der IT schließt also einen Datenverkehr von den Output-Geräten (oder allgemein den Produktiv-System bzw. Produktiv-Geräten) über die Firewall aus dem Netzwerk heraus aus. Das ist aber genau das, was für eine automatische Datenübermittlung der Geräte an einen Service-Provider benötigt wird. Darüber hinaus ist ein Zugriff auf die Geräte von außen über das Netzwerk durch die Firewall, wie es beispielsweise beim automatischen Updaten der Firmware nötig ist, bei IT kritischen Unternehmen häufig gänzlich untersagt.The denial of IT therefore excludes data traffic from the output devices (or in general the productive system or productive devices) via the firewall from the network. But this is exactly what is needed for an automatic data transmission of the devices to a service provider. In addition, external access to the devices through the network through the firewall, as required, for example, when updating firmware automatically, is often completely prohibited for IT critical organizations.

Somit steht die Weiterentwicklung und Erhöhung der Effizienz von Remote-Service-Systemen für Outputsysteme durch integrative IT-Vernetzung mit anderen Systemen des Service-Providers oder des Herstellers der Geräte vor einem Dilemma.Thus, the further development and increase of the efficiency of remote service systems for output systems through integrative IT networking with other systems of the service provider or the manufacturer of the devices is a dilemma.

Es stellt sich also die Frage, wie kann man den Sicherheitsbedenken begegnen, oder besser, wie kann man sie ausräumen, um die technisch notwendigen Netzwerkzugriffe auf die Output-Systeme realisieren zu können? Dabei muss jedoch immer davon davon ausgegangen werden, dass es eine 100%-IT-Sicherheit nicht gibt und nicht geben wird. Um dem Optimum so nahe wie möglich zu kommen, ist es notwendig, eine IT-Lösung zu entwickeln, die sicherstellt, dass

  • a) Druckdatenströme (bzw. allgemein Produktivdatenströme) von den Service bezogenen Datenströmen der Output-Systeme (bzw. Produktiv-Systeme) durch geeignete Filter getrennt werden (Filterfunktion),
  • b) Druckdatenströme (bzw. Produktivdatenströme) am Verlassen des Produktions-LAN des Anwenders gehindert werden und nur mit dem Output-System (bzw. Produktivsystem) kommunizieren,
  • c) Service bezogene Datenströme des Output-Systems (bzw. Produktiv-Systems) ausschließlich in ein separates Netzwerk gelangen und nach außen geroutet werden (Routingfunktion), und
  • d) von außen keine Fremddaten in das Produktions-LAN des Kunden bzw. Anwenders gelangen können (Firewallfunktion).
The question then arises, how can one address the security concerns, or rather, how can they be eliminated in order to be able to realize the technically necessary network accesses to the output systems? However, it must always be assumed that 100% IT security does not exist and will not exist. In order to get as close to the optimum as possible, it is necessary to develop an IT solution that ensures that
  • a) print data streams (or generally productive data streams) are separated from the service-related data streams of the output systems (or productive systems) by suitable filters (filter function),
  • b) print data streams (or productive data streams) are prevented from leaving the user's production LAN and communicate only with the output system (or productive system),
  • c) service-related data streams of the output system (or productive system) only get into a separate network and are routed to the outside (routing function), and
  • d) from outside, no external data can reach the production LAN of the customer or user (firewall function).

Idealerweise kann ferner auch vorgesehen sein, dass

  • e) durch das IT-Management des Anwenders ständig eine Kontrolle durch Monitoring darüber besteht, welche Datenströme wohin geleitet werden und was enthalten ist (Logging-Funktion), und
  • f) die Datenstromtrennung durch eine unabhängige Zertifizierungsautorität bestätigt und zertifiziert ist.
Ideally, it can also be provided that
  • e) the user's IT management constantly monitors by monitoring which data streams are routed to where and what is contained (logging function), and
  • f) the data stream separation is certified and certified by an independent certification authority.

Zur Erfüllung dieser (technischen) Anforderungen werden hiermit technische Lösungen vorgeschlagen, wie eingangs schon in Form eines kurzen Überblicks angesprochen und im Folgenden detaillierter anhand von Ausführungsbeispielen dargelegt.In order to meet these (technical) requirements, technical solutions are proposed herewith, as already mentioned in the form of a brief overview and explained in more detail below with reference to exemplary embodiments.

Anzumerken ist, dass es sich bei den angesprochenen Output-Systemen bzw. Produktiv-Systemen insbesondere um Büromaschinen wie Kopierer, Drucker, Scanner und Telefaxgeräte und um entsprechende Funktionalitäten aufweisende Multifunktionsgeräte handeln kann. Die hiermit gegebenen Lösungsvorschläge sind aber auch auf völlig andere Geräte und Systeme anwendbar, die für einen Anschluss am Produktiv-LAN eines Anwenders vorgesehen bzw. geeignet und grundsätzlich für eine Fernwartung oder Fernbetreuung durch einen Service-Provider oder Hersteller oder Lieferanten geeignet sind. Der Begriff Produktiv-System bzw. Produktiv-Gerät soll in diesem allgemeinen Sinn verstanden werden. Die vorangehenden und folgenden Ausführungen in Bezug auf Output-Systeme sind insoweit nur als exemplarisch anzusehen. Es handelt sich bei den sich auf Output-System bezogenen Ausführungen aber ohne Frage um besonders relevante Anwendungsbeispiele für die hiermit gegebenen Erfindungs- und Weiterbildungsvorschläge.It should be noted that the mentioned output systems or productive systems can in particular be office machines such as copiers, printers, scanners and fax machines and multifunctional devices having corresponding functionalities. However, the proposed solutions are also applicable to completely different devices and systems that are intended or suitable for connection to the productive LAN of a user and are generally suitable for remote maintenance or remote support by a service provider or manufacturer or supplier. The term productive system or productive device should be understood in this general sense. The preceding and following remarks in relation to output systems are only to be regarded as exemplary in this respect. However, it is without question that the versions relating to the output system are particularly relevant Examples of application for the inventions and further education proposals hereby given.

5. Lösungsvorschläge5. Suggested solutions

Vorgeschlagen wird die Verwendung eines Paketfilters mit spezieller Funktionalität. Ein Paketfilter oder Protokollfilter ist eine Software, die den ein- und ausgehenden Datenverkehr in einem Computernetzwerk nach festgelegten Kriterien filtert. Dies dient einerseits der Sicherheit und dem Schutz des Netzes vor Angreifern und andererseits der Trennung von Datenströmen, die in logisch unterschiedliche Netzwerke geleitet werden können. Ebenso wichtig wie der Schutz gegen Angreifer von außen ist der Schutz gegen ungewollt ausgehende Pakete. Ein Paketfilter kann als Firewall arbeiten oder Teil einer Firewall sein, oder aber ein intelligentes Gateway darstellen, was Datenströme in unterschiedliche Netzwerke kanalisiert.It is proposed to use a packet filter with special functionality. A packet filter or protocol filter is software that filters incoming and outgoing traffic on a computer network according to specified criteria. On the one hand, this helps to protect and protect the network from attackers and, on the other hand, to separate data streams that can be routed to logically different networks. Just as important as the protection against attackers from the outside is the protection against unwanted outgoing packets. A packet filter can work as a firewall or be part of a firewall, or it can be an intelligent gateway, which channels data streams into different networks.

Da Paketfilter u. a. verwendet werden, um das Konzept einer Firewall umzusetzen, bieten sie sich zur Trennung der verschiedenen Datenströme, die aus Sicherheitsgründen nicht vermischt werden sollten, an. Paketfilter kommen auch in Routern zum Einsatz, um zu verhindern, dass Datenpakete aus oder in ein Netz gesendet werden, die ungültige Absender- oder Ziel-Adressen beinhalten.Since packet filter u. a. used to implement the concept of a firewall, they offer to separate the various data streams, which should not be mixed for security reasons. Packet filters are also used in routers to prevent data packets from being sent to or from a network that contain invalid sender or destination addresses.

Werden z. B. Daten in einem Netz von dem sendenden Host in Datenpakete verpackt und versendet, so wird jedes Paket, das den Paketfilter passieren will, untersucht. Anhand der in jedem Paket vorhanden Daten, wie Absender- und Empfänger-Adresse oder Protokolltyp, entscheidet der Paketfilter auf Grund von Filterregeln, was mit diesem Paket geschieht. Ein unzulässiges Paket, das den Filter nicht passieren darf, wird in der Regel verworfen.Are z. For example, as data in a network is packaged and sent by the sending host into packets, each packet that wants to pass the packet filter is examined. Based on the data present in each packet, such as sender and recipient address or protocol type, the packet filter decides what to do with this packet based on filter rules. An invalid package that can not pass the filter is usually discarded.

Ein Paketfilter kann für ein ausgehendes Paket automatisch eine Regel erzeugen, die in einem bestimmten Zeitfenster (im Minutenbereich) die Antwort auf dieses Paket akzeptiert. Kommt die Antwort nicht oder wird die Zeit überschritten, verfällt die Regel. Der Paketfilter definiert Regeln, die festlegen, ob einzelne oder zusammenhängende Pakete das Gateway passieren dürfen oder abgeblockt werden. Eine solche Regel wäre zum Beispiel: verwerfe alle Pakete, die von einer bestimmten IP-Adresse kommen. Da Angreifer jedoch von beliebigen IP-Adressen kommen können, ist es praktikabler, den umgekehrten Weg zu gehen und nur Pakete durchzulassen, die von bestimmten IP-Adressen kommen.A packet filter can automatically generate a rule for an outbound packet that accepts the response to that packet within a specific time window (in the range of minutes). If the answer does not come or if the time is exceeded, the rule will expire. The packet filter defines rules that determine whether single or contiguous packets are allowed to pass through the gateway or are blocked. Such a rule would be for example: discard all packets coming from a specific IP address. However, because attackers can come from arbitrary IP addresses, it is more practicable to go the opposite way and pass only packets that come from certain IP addresses.

Ein Weg, um die Sicherheit der Kommunikation z. B. zwischen Firmennetzen oder in solchen Gateways weiter zu erhöhen, ist ein so genanntes Portknocking, bei dem der Absender vor der Aufnahme einer Verbindung eine vorher vereinbarte Folge von Paketen sendet und der Port erst daraufhin geöffnet wird.A way to improve the security of communication z. B. between corporate networks or in such gateways continues to increase, is a so-called port knocking, in which the sender before receiving a connection sends a previously agreed sequence of packets and the port is then opened.

Auf der Basis des Paketfilters wird weiter vorgeschlagen:

  • 1. die intelligente Trennung der Datenströme mit Druckdateninhalt (allgemein Produktivdateninhalt) vom Datenstrom mit Service-Daten Inhalt anhand von Protokoll- bzw. Datenpaketmerkmalen (Filterfunktion),
  • 2. die Schaffung eines zweiten, unabhängigen Netzwerkes zur Kommunikation der technischen Daten der Output Systeme, z. B. in Form eines virtuellen LANs, insbesondere VPN (Virtual Private Network), oder auf Basis eines vom Produktiv-LAN völlig unabhängigen, über den räumlichen Bereich des Anwenders hinausgehenden Drahtlos-Netzwerks (insbesondere Mobiltelefonie-Netzwerk bzw. Drahtlos/Mobil-Internet-Zugang-Netzwerk, etwa unter Nutzung eines Standards wie GMS, GPRS, UMTS, LTE), wodurch eine getrennte logische und ggf. auch getrennte physikalische Kommunikationsebene für die Nutzung durch eine Routingfunktion geschaffen wird,
  • 3. optional die zusätzliche Trennung der Datenströme durch Definieren jeweils zugeordneter Ports und Realisierung eines Port Forwarding (Portforwarding-Funktion).
On the basis of the packet filter, it is further proposed:
  • 1. the intelligent separation of the data streams with print data content (generally productive data content) from the data stream with service data content on the basis of protocol or data packet features (filter function),
  • 2. the creation of a second, independent network for communicating the technical data of the output systems, eg. B. in the form of a virtual LAN, in particular VPN (Virtual Private Network), or based on a completely independent of the productive LAN, beyond the spatial area of the user's wireless network (in particular mobile telephony network or wireless / mobile Internet Access network, for example using a standard such as GMS, GPRS, UMTS, LTE), whereby a separate logical and possibly also separate physical communication layer for use by a routing function is created,
  • 3. optionally the additional separation of the data streams by defining each assigned ports and implementing a port forwarding (port forwarding function).

Die technische Umsetzung der Lösungsvorschläge 1.–3. kann z. B. zweckmäßigerweise in einem Paket- bzw. Protokollfilter-Gateway erfolgen.The technical implementation of the proposed solutions 1.-3. can z. B. expediently done in a packet or protocol filter gateway.

Eine Untersuchung und Filterung der Datenströme/Datenpakete kann nach ihren Eigenschaften und Merkmalen bzw. verwendeten Protokollen wie z. B. LPD, SMB, SMTP, http, SNMP, https, UDP, CPCA (CPCA ist ein Canonspezifisches Protokoll) etc. erfolgen. Für Service Daten von Output-System werden meistens die letzten 4 genannten Protokolle benutzt. Die Analyse der Datenströme nach verwendeten Protokollen (Filterfunktion) und das Routing kann vorzugsweise in einem Switch erfolgen, soweit erforderlich oder zweckmäßig unter Verwendung einer CPU.An examination and filtering of the data streams / data packets can be carried out according to their properties and features or protocols used, such as, for example, LPD, SMB, SMTP, http, SNMP, https, UDP, CPCA (CPCA is a canonical protocol), etc. For service data of Output-System mostly the last 4 named protocols are used. The analysis of the data streams according to protocols used (filter function) and the routing can preferably take place in a switch, if necessary or expediently using a CPU.

Optional und je nach technischen Möglichkeiten kann zur Erhöhung der Sicherheit eine eindeutige Port-Zuordnung für In- und Outbound Traffic im Output-System (bzw. allgemein im Produktiv-System) und Port Forwarding im Protokollfilter Gateway nach Punkt 3 implementiert werden. Es ist aber auch denkbar, dass die Trennung der Datenströme mit Druckdateninhalt (allgemein Produktivdateninhalt) vom Datenstrom mit Service-Daten Inhalt alleine anhand des jeweils verwendeten Ports erfolgt, der jeweilige Port also das alleinige Protokoll- bzw. Datenpaketmerkmal ist, an dem die Filterfunktion ansetzt. Hierdurch wird das Filtern vereinfacht, mit entsprechend geringeren Anforderungen an den Paketfilter.Optionally, and depending on the technical possibilities, a clear port assignment for inbound and outbound traffic in the output system (or generally in the productive system) and port forwarding in the protocol filter gateway according to section 3 can be implemented to increase security. However, it is also conceivable that the separation of the data streams with print data content (generally productive data content) from the data stream with service data content takes place solely on the basis of the respectively used port, ie the respective port is the sole protocol or data packet feature to which the filter function attaches , This simplifies filtering, with correspondingly lower requirements for the packet filter.

Zentrales Lösungsmerkmal einiger der hiermit gelieferten Lösungsvorschläge ist also ein Protokolldatenfilter, z. B. in Form eines Protokollfilter-Gateways, das ggf. über ein Port-Forwarding für gefilterte Datenströme verfügt. The central solution feature of some of the proposed solutions thus provided is a protocol data filter, for. In the form of a protocol filter gateway, which may have port forwarding for filtered data streams.

Wünschenswert kann es sein, den Protokolldatenfilter unsichtbar im Netz zu haben z. B. ohne eigene IP-Adresse in Richtung LAN zu betreiben. Dies kann erreicht werden, indem die vom Subnetz des LAN bezogene IP-Adresse dem Gateway zugewiesen wird und die Verbindung des Outputsystems mit dem Gateway über ein separates in LAN unsichtbares Subnetz erstellt wird.It may be desirable to have the protocol data filter invisible in the network z. B. without own IP address in the direction of LAN to operate. This can be achieved by assigning the IP address obtained from the subnet of the LAN to the gateway and creating the connection of the output system to the gateway via a separate subnet visible in LAN.

Bereitgestellt werden unter anderem allgemein ein Verfahren und eine Einrichtung zur logischen Trennung, zum IT-sicheren Routing und zur gewünschtenfalls getunnelten Weitergabe von gerätebezogenen technischen Parametern und Daten eines Dokumentenoutputsystems oder allgemein Produktivsystems, welches gleichzeitig zur Kommunikation der Druckdatenströme oder allgemein Produktivdatenströme in ein lokales Netzwerk eingebunden ist, die sich insbesondere auszeichnen durch Vorsehen bzw. Verwenden eines Protokollfilter-Gateways, welches die Druckstromdaten bzw. Produktivstromdaten einerseits und die technischen gerätebezogenen Daten andererseits auf der Basis der verwendeten Netzwerkprotokolle Protokolle trennt und die technischen maschinenbezogenen Daten in ein logisch und ggf. auch physikalisch vom lokalen Netzwerk unabhängiges (separates) Netzwerk leitet, das mit einer Infrastruktur zur Auswertung und Weiterverarbeitung der Daten verbunden ist.Provided among other things, generally a method and a device for logical separation, for IT-secure routing and tunneled tunneled passing device-related technical parameters and data of a document output system or general productive system, which at the same time for communication of print data streams or generally productive data streams integrated into a local network is, in particular, by providing or using a protocol filter gateway, which separates the print stream data or productive stream data on the one hand and the technical device-related data on the other hand based on the network protocols used logs and the technical machine-related data in a logical and possibly also physically independent of the local network (separate) network, which is connected to an infrastructure for the evaluation and further processing of the data.

Das Protokollfilter-Gateway kann vorteilhaft zusätzlich oder auch als alleinige Basis für die Filterung eine Portforwarding-Funktion realisieren, die die in den Dokumentenoutputsystemen gesetzten Ports für die gerätebezogenen technischen und/oder Druckstrom/Produktivstromdaten voneinander trennt und separat weiterleitet.The protocol filter gateway can advantageously additionally or as the sole basis for the filtering implement a port forwarding function that separates the ports set in the document output systems for the device-related technical and / or print stream / productive stream data from each other and separately forwards.

Allgemein kann das Protokollfilter-Gateway wenigstens eine zum Anschluss eines Produktivgeräts bzw. Outputgeräts vorgesehene LAN oder/und WLAN-Schnittstelle und wenigstens eine zum Anschluss am Produktiv-LAN vorgesehene LAN oder/und WLAN-Schnittstelle aufweisen. Das Protokollfilter-Gateway kann aber auch in ein zugeordnetes Produktivgerät bzw. Outputgerät integriert sein oder auf andere Weise an diesem angeschlossen sein.In general, the protocol filter gateway can have at least one LAN or / and WLAN interface provided for connecting a productive device or output device and at least one LAN or / and WLAN interface provided for connection to the productive LAN. However, the protocol filter gateway can also be integrated into an associated productive device or output device or connected to it in some other way.

Das von dem Produktiv-LAN getrennte Netzwerk für die Übertragung der maschinenbezogenen Daten bzw. Service-Daten kann auf Basis eines so genannten VLAN-tagging realisiert sein, welches die Nutzung einer physikalischen Ethernet/LAN-Verbindung durch mehrere unabhängige logische Netzwerke ermöglicht. Das Protokollfilter-Gateway kann allgemein, insbesondere aber im Hinblick auf das angesprochene VLAN-tagging, über eine IEEE 802.1Q-Schnittstelle zur LAN- oder/und Wireless LAN(WLAN)-Anbindung verfügen.The separate from the productive LAN network for the transmission of machine-related data or service data can be realized on the basis of a so-called VLAN tagging, which allows the use of a physical Ethernet / LAN connection through multiple independent logical networks. The protocol filter gateway can generally, but in particular with regard to the addressed VLAN tagging, via a IEEE 802.1Q interface to the LAN or / and wireless LAN (WLAN) connection.

Es ist also bevorzugt, dass das logisch unabhängige Netzwerk als ein VLAN ausgelegt ist, welches beispielsweise als WiFi oder WLAN-Netzwerk oder Carrier VPN realisier ist. Besonders zweckmäßig erscheint auch die Realisierung auf Basis eines Drahlos-Standards wie GMS, GPRS, UMTS, LTE oder ähnliches.It is therefore preferred that the logically independent network is designed as a VLAN, which is realized, for example, as a WiFi or WLAN network or carrier VPN. Implementation based on a wireless standard such as GMS, GPRS, UMTS, LTE or the like also appears particularly expedient.

Zweckmäßig kann das Protokollfilter-Gateway aus Sicht des Produktiv-LAN, in dem die Druckstromdaten bzw. Produktivstromdaten kommuniziert werden, keine eigene IP-Adresse sichtbar werden lassen.The protocol filter gateway can expediently not allow its own IP address to be visible from the point of view of the productive LAN in which the print stream data or productive stream data are communicated.

Bereitgestellt werden ohne Beschränkung der Allgemeinheit speziell auch die in den anhängenden Ansprüchen definierten Einrichtungen, Systeme, Verfahren und Anwendungen bzw. Verwendungen.Without limitation of generality, the devices, systems, methods and applications or uses defined in the appended claims are also specifically provided.

6. Beispiele6. Examples

Das Schema der 1 zeigt als Beispiel das Prinzip eines erfindungsgemäßen Protokollfilter-Gateways, welches zwischen einen Drucker und das Produktiv-Lan eines Anwenders geschaltet ist. Service bezogene Daten des Output-Devices werden nicht ins Produktionsnetz gelassen, sondern in ein separates VLAN gelenkt. Das VLAN ist in diesem Falle ein UMTS-Netz mit Verbindung zu einem Service-Daten-Server oder zu einem entsprechenden Herstellerportal oder einem herstellerunabhängigen Device-Portal, etwa in der Art wie als solches grundsätzlich bekannt (vgl. z. B. e-Maintenance, @Remote, und ”My Device Portal”). Das Protokollfilter-Gateway weist hierzu ein integriertes UMTS-Modem und sowie vorzugsweise eine das UMTS-Netz vom Produktiv-LAN trennende Firewall auf.The scheme of 1 shows as an example the principle of a protocol filter gateway according to the invention, which is connected between a printer and the productive LAN of a user. Service-related data of the output device are not left in the production network, but are directed to a separate VLAN. In this case, the VLAN is a UMTS network with connection to a service data server or to a corresponding manufacturer portal or a manufacturer-independent device portal, for example of the type generally known as such (see, for example, e-Maintenance , @Remote, and "My Device Portal"). For this purpose, the protocol filter gateway has an integrated UMTS modem and, preferably, a firewall separating the UMTS network from the productive LAN.

Die Trennung der Service-bezogenen Daten des Output-Devices von den Datenströmen mit Druckdateninhalt erfolgt dabei im Wesentlichen durch Verwendung einer erweiterten Routingfunktionalität auf dem Layer3 (Network) des OSI-Modells. Layer 3 bildet dabei die erste Entscheidungsebene. Weitere Folgeentscheidungen werden anhand der weiteren Layer bei Bedarf getroffen.The separation of the service-related data of the output device from the data streams with print data content is carried out essentially by using an advanced routing functionality on the Layer 3 (Network) of the OSI model. Layer 3 forms the first decision level. Further follow-up decisions are made on the basis of the further layers if necessary.

Wie in 2 bzw. 3 gezeigt, nimmt das Protokollfilter-Gateway eine routerähnliche Funktion als Verbindung zwischen den Netzelementen LAN, Outputsystem und Mobilfunknetz ein.As in 2 respectively. 3 The protocol filter gateway assumes a router-like function as a connection between the network elements LAN, output system and mobile network.

Der mit dem LAN verbundene Port des Protokollfilter-Gateways wird Bestandteil des LAN-Subnetzes (Sub-Netz A) und bezieht eine im LAN sichtbare IP-Adresse. Zum Outputsystem wird ein weiteres Sub-Netz (Sub Netz B) erstellt, welches vorzugsweise lediglich zwei IP-Adressen aufnehmen kann. Die primäre IP-Adresse (X.X.X.1) wird von Port des Filtergateways besetzt, die sekundäre Adresse (X.X.X.2) wird vom Outputsystem belegt. Weitere Adressen sind bei dieser bevorzugten Ausgestaltung nicht zulässig.The Port of the Protocol Filter Gateway connected to the LAN becomes part of the LAN Subnet (Subnet A) and obtains an IP address visible on the LAN. For the output system, another sub-network (subnetwork B) is created, which can preferably accommodate only two IP addresses. The primary IP address (XXX1) is occupied by the port of the filter gateway, the secondary address (XXX2) is occupied by the output system. Other addresses are not permitted in this preferred embodiment.

Der verbleibende dritte Port des Protokollfilter-Gateways, welcher die Verbindung zum Mobilfunknetz herstellt, bekommt eine weitere IP-Adresse, welche dem Device vom Provider des Mobilfunknetzes (etwa UMTS oder GPRS) im Zuge der Einbuchung ins Netz zugewiesen wird.The remaining third port of the protocol filter gateway, which establishes the connection to the mobile network, gets another IP address, which is assigned to the device by the provider of the mobile network (such as UMTS or GPRS) in the course of logging into the network.

Die Datentrennung im Protokollfilter-Gateway erfolgt nun nach folgenden Schema. Daten die das Protokollfilter-Gateway aus dem Sub-Netz A erreichen (Zieladresse ist in diesem Fall die IP-Adresse des Protokollfilter-Gateways im Sub-Netz A) werden über ein NAT-Routing ausschließlich dem Sub-Netz B zugänglich gemacht. Ein Routing vom Sub-Netz A in das Mobilfunknetz wird vom Protokollfilter-Gateway grundsätzlich unterbunden. Somit ist ein Datentransfer aus dem LAN ins Mobilfunknetz ausgeschlossen und umgekehrt.The data separation in the protocol filter gateway now follows the following scheme. Data which reach the protocol filter gateway from the subnetwork A (destination address is in this case the IP address of the protocol filter gateway in the subnetwork A) are made available to the subnetwork B via a NAT routing. Routing from subnet A into the mobile network is always prevented by the protocol filter gateway. Thus, a data transfer from the LAN is excluded in the mobile network and vice versa.

Daten des Sub-Netzes B, also Daten die aufgrund der limitierten Größe des Bub-Netzes B ausschließlich vom Outputsystem stammen können, werden gemäß dem hier dargestellten Ausführungsbeispiel nach den nachfolgend beschriebenen Regeln behandelt.

  • 1.) Handelt es sich um IP-Pakete deren IP-Header (OSI-Modell Layer 3) IP-Ziel-Adressen des Sub-Netzes A beinhalten, so werden diese über die Reverse-NAT-Funktionalität des Protokollfilter-Gateways zurück in das Sub-Netz A übermittelt.
  • 2.) Alle weiteren Datenpakete, die die Regel 1 nicht erfüllen, werden zunächst daraufhin untersucht, welche Protokolle Verwendung finden (deep packet inspection: OSI Layer 4–7 Überprüfung). Protokolle, die gemäß der Sicherheitskonfiguration des Protokollfilter-Gateways freigegeben wurden, werden dann ebenfalls über eine NAT-Funktionalität ins Mobilfunknetz weitergeleitet. IP-Pakete, deren Protokolle für ein Routing nicht freigegeben wurden, werden verworfen.
Data of the sub-network B, that is, data that can only come from the output system due to the limited size of the bubble network B, are treated according to the embodiment described here according to the rules described below.
  • 1.) If it concerns IP packets whose IP headers (OSI model layer 3) IP address addresses of the sub-net A contain, these are over the reverse NAT functionality of the protocol filter gateway back into the Subnet A is transmitted.
  • 2.) All other data packets that do not comply with Rule 1 are first examined to determine which protocols are used (deep packet inspection: OSI Layer 4-7 check). Protocols that have been released according to the security configuration of the protocol filter gateway are then also forwarded to the mobile network via a NAT functionality. IP packets whose protocols have not been released for routing are discarded.

Durch die oben beschriebene Funktionalität ist sichergestellt, dass Verbindungen auf das Outputsystem nur vom Outputsystem selbst initiiert werden können. Sollten Verbindungsaufbauten von außen erwünscht sein, so können diese durch das bereits eingangs beschriebene Anklopfverfahren ermöglicht werden. Darüber hinaus ist es möglich, im Protokollfilter-Gateway feste IP-Adressen zu hinterlegen, welche dazu genutzt werden können, dedizierte Verbindungen von diesen IP-Adressen zu ermöglichen.The functionality described above ensures that connections to the output system can only be initiated by the output system itself. If external connection structures are desired, they can be made possible by the call-knocking process already described in the introduction. In addition, it is possible to store fixed IP addresses in the protocol filter gateway, which can be used to enable dedicated connections from these IP addresses.

Das Schema der 4 zeigt als Beispiel das Port Forwarding für Inbound und Outbound Traffic als zweckmäßige Weiterbildung eines erfindungsgemäßen Protokollfilter-Gateways. Gezeigt sind zwei Output-System, die über ein jeweiliges Protokollfilter-Gateway mit integrierter Firewall-Funktion über ein vom Produktiv-LAN gesondertes, physikalisch unabhängiges Drahtlos-Netzwerk mit einem Wartungsserver kommunizieren, über das Internet. Die Firewall-Funktion ist durch ein Mauer-Symbol veranschaulicht, welches einen den Output-Systemen gemeinsamen Netzwerkzweig von dem Produktiv-LAN mit angeschlossenen PC-Arbeitsstationen trennt. Tatsächlich ist es demgegenüber bevorzugt, dass jedes Protokollfilter-Gateway seine eigene Firewall aufweist und die Protokollfilter-Gateways unmittelbar am Produktiv-LAN angeschlossen sind. 5 entspricht 1, mit zusätzlicher Angabe der Port Forwarding-Funktion.The scheme of 4 shows as an example the port forwarding for inbound and outbound traffic as an expedient development of a protocol filter gateway according to the invention. Shown are two output systems, communicating with a maintenance server via a respective protocol filter gateway with integrated firewall function via a physically separate from the production LAN, physically independent wireless network, over the Internet. The firewall function is illustrated by a brick icon which separates a network branch common to the output systems from the productive LAN with connected PC workstations. In fact, it is preferred that each protocol filter gateway has its own firewall and the protocol filter gateways are connected directly to the productive LAN. 5 corresponds to 1 , with additional specification of the port forwarding function.

Ein Anwendungsbeispiel bezieht sich auf ein Firmware-Update bei Output-Geräten. Es wird für eine nur als Beispiel in Betracht gezogene Druckerserie des Herstellers Canon exemplarisch das Updaten der Firmware über eine Remote-Service-Verbindung zum jeweiligen Output-Gerät (Drucker) untersucht. Diese Canon-Maschinen sind mit einem selbständigen Firmware-Update-Mechanismus ausgestattet, der ein Auto-Update beinhalten, der für die Realisierung einer Remote Funktion gut geeignet zu sein scheint. Mögliche Update-Verfahren sind in der Übersicht der 6 aufgeführt. Mit der Auto-Update-Funktion (Spalte Lokal UI in 3), die zeitlich programmierbar ist, sucht die Maschine selbständig regelmäßig nach neuer Firmware. Wenn sie fündig geworden ist, erfolgt ein automatischer Download vom Canon-CDS Server, ein Herunterfahren und automatisches Rebooting der Maschine.An application example refers to a firmware update for output devices. As an example, the update of the firmware via a remote service connection to the respective output device (printer) is investigated for a printer series of the manufacturer Canon, which is considered as an example. These Canon machines are equipped with a self-contained firmware update mechanism that includes an auto-update that seems to be well-suited for realizing a remote function. Possible update procedures are in the overview of 6 listed. With the auto-update feature (column local UI in 3 ), which is time programmable, the machine automatically searches for new firmware on a regular basis. When she finds what she is looking for, she automatically downloads from the Canon CDS server, shut down and automatically reboots the machine.

Diese Übertragung erfolgt im im https-Protokoll und baut einen Web-Service zu dem Canon CDS Server auf. Dabei authentifiziert sich die Maschine nach einem proprietären Verfahren.This transfer takes place in the https protocol and establishes a web service to the Canon CDS server. The machine authenticates itself according to a proprietary procedure.

Dieser Auto-Update-Prozess kann direkt für die Realisierung des Erfindungsvorschlags genutzt werden, indem der entsprechende Daten-Traffic über einen erfindungsgemäßen Protokolldatenfilter, also z. B. über ein Protokollfilter-Gateway, über ein vom Produktions-LAN des jeweiligen Anwender getrenntes, gesondertes Netzwerk etwa auf Basis von UMTS auf den Canon-eigenen CDS-Server geleitet wird. Es hierzu sollte jedes Output-System über ein eigenes, etwa ein integriertes UMTS-Modem aufweisendes Protokollfilter-Gateway an das Produktions-LAN angeschlossen sein. Durch eine firewallartige Blockierung und Trennung gelangt der Service bezogene Datenstrom im https-Protokoll durch den Protokolldatenfilter nicht ins Produktionsnetz und Druckdatenströme können nicht ins UMTS Netz für Service-Daten gelangen.This auto-update process can be used directly for the realization of the invention proposal by the corresponding data traffic via a protocol data filter according to the invention, ie z. B. via a protocol filter gateway, via a separate from the production LAN of the respective user, separate network is guided approximately on the basis of UMTS on the Canon's own CDS server. For this purpose, each output system should be connected to the production LAN via its own protocol filter gateway which has an integrated UMTS modem, for example. Through a firewall-like blocking and separation, the service arrives The data stream in the https protocol through the protocol data filter does not enter the production network and print data streams can not reach the UMTS network for service data.

Soweit an solch einem Output-System (bzw. allgemein Produktiv-System) für die verschiedenen Datenströme unterschiedliche Ports gesetzt werden können, kann dies für eine zusätzliche Tunnelung und noch mehr Sicherheit genutzt werden. Die Möglichkeit, Ports für verschiedene Datenströme zu setzen, ist beispielsweise bei Geräten des Herstellers Toshiba möglich.As far as different ports can be set for such an output system (or general productive system) for the different data streams, this can be used for additional tunneling and even more security. The possibility of setting ports for different data streams is possible, for example, with devices from Toshiba.

Ein zum Beispiel als Protokollfilter-Gateway ausgelegter Protokolldatenfilter könnte von einer unabhängigen Stelle, z. B. einer Organisation wie dem TÜV in Deutschland, hinsichtlich seiner IT-Sicherheit zertifiziert sein. Um Änderungen nach Installation etwa durch eine neue Firmware des Protokollfilter-Gateways zu vermeiden, könnte diese auf ein ROM gebrannt werden.For example, a protocol data filter designed as a protocol filter gateway could be provided by an independent authority, e.g. B. an organization such as the TÜV in Germany, be certified in terms of its IT security. To avoid changes after installation, for example by a new firmware of the protocol filter gateway, this could be burned to a ROM.

Die Nutzung solch eines Protokoll-Filters bzw. Protokollfilter-Gateways zur erläuterten Datenstromtrennung hat den Vorteil der hohen Netzwerk Sicherheit auf der einen Seite und erlaubt auf der anderen Seite die Nutzung der vorhandenen Remote-Service-Infrastrukturen der Hersteller bzw. Service-Provider, was in der Einführungsphase erhebliche Kosten- und Zeiteinsparungen zulässt.The use of such a protocol filter or protocol filter gateway for the explained data stream separation has the advantage of high network security on the one hand and on the other hand allows the use of existing remote service infrastructures of the manufacturer or service provider, what significant cost and time savings during the introductory phase.

Zur Erläuterung zeigt 7 exemplarisch eine Geräteflotte, die mit einem CDS-Server kommuniziert und über ein Device-Portal (M2M Portal) gemanaged wird. Dabei bleibt die Produktions-LAN Infrastruktur des Anwenders bzw. Kunden des Service-Providers unangetastet. Es wird lediglich eine zweite logische LAN-Ebene errichtet, z. B. hier als VLAN, über die die Service-Daten kommuniziert werden, ohne mit dem Druckdatenstrom (allgemein Produktionsdatenstrom) im Produktions LAN in Berührung zu kommen. In dem Beispiel der 4 ist jedes Produktionsgerät der im Beispiel als Drucker ausgeführten Produktionsgeräte 1, 2 und 3 über ein jeweiliges Protokollfilter-Gateways PFG1, PFG2 bzw. PFG3 am Produktions-LAN und damit an einem Server des Anwenders (Kunden) angeschlossen. Das Produktions-LAN ist über eine Firewall vom Internet abgeschottet. Jedes der Protokollfilter-Gateways ist mit einer Drahtlos-Schnittstelle, insbesondere einem Drahtlos-Modem, etwa UMTS-Modem, ausgeführt, über das die Datenverbindung mit dem CDS-Server und dem Device-Portal (M2M Portal) unter Umgehung des Produktions-LAN und der Firewall hergestellt wird.For explanation shows 7 An example of this is a device fleet that communicates with a CDS server and is managed via a device portal (M2M Portal). The production LAN infrastructure of the user or customer of the service provider remains untouched. Only a second logical LAN level is established, e.g. Here, for example, as a VLAN via which the service data is communicated without coming into contact with the print data stream (generally production data stream) in the production LAN. In the example of 4 is each production device of the example executed as a printer production devices 1, 2 and 3 via a respective protocol filter gateways PFG1, PFG2 and PFG3 on the production LAN and thus connected to a server of the user (customer). The production LAN is isolated from the Internet via a firewall. Each of the protocol filter gateways is implemented with a wireless interface, in particular a wireless modem, such as UMTS modem, via which the data connection with the CDS server and the device portal (M2M Portal), bypassing the production LAN and the firewall is made.

Gemäß einer ebenfalls zweckmäßigen Variante kann das jeweilige Protokollfilter-Gateway über wenigstens einen Ethernet-Port nach IEEE 802.1Q verfügen und somit getaggte Frames verarbeiten. Das vom Produktions-LAN logisch getrennte Netzwerk für die Übertragung der Servicedatenströme könnte dann auf Basis für das Produktions-LAN und das Netzwerk für die Übertragung der Servicedatenströme gemeinsamer Netzwerkinfrastruktur realisiert sein. Alleine schon aus Akzeptanzgründen wird aber in der Regel eine Ausführung der Protokollfilter-Gateways mit jeweils integrierter Drahtlos-Schnittstelle zur auch physikalischen Trennung des Netzwerk für die Übertragung der Servicedatenströme von dem Produktions-LAN bevorzugt sein.According to a likewise expedient variant, the respective protocol filter gateway can be connected via at least one Ethernet port IEEE 802.1Q and thus handle tagged frames. The network for the transmission of the service data streams, which is logically separated from the production LAN, could then be realized on the basis of the production LAN and the network for the transmission of the service data streams of the common network infrastructure. For reasons of acceptance alone, however, an execution of the protocol filter gateways, each with integrated wireless interface, for the physical separation of the network for the transmission of the service data streams from the production LAN will usually be preferred.

8 zeigt schematisch ein Beispiel für ein erfindungsgemäßes Protokollfilter-Gateway und veranschaulicht dessen Funktionen. Es ist mit einer ersten LAN-Netzwerk-Schnittstelle an einem Produktions-LAN und mit einer zweiten LAN-Netzwerk-Schnittstelle an einem Produktions-Gerät (Device) wie etwa einem Drucker angeschlossen und mit einem integrierten UMTS-Schnittstelle vorzugsweise über das Internet mit wenigstens einem Service-Server (etwa CDS-Server oder/und Device-Portal entsprechend 5) verbindbar. Die Produktionsdatenströme und die Servicedatenströme werden voneinander getrennt, und das Produktions-LAN und das über UMTS realisierte Netzwerk zur Übertragung von Servicedatenströmen werden durch eine Firewall-Funktion des Protokollfilter Gateways voneinander abgeschottet. 8th schematically shows an example of a protocol filter gateway according to the invention and illustrates its functions. It is connected to a first LAN network interface on a production LAN and to a second LAN network interface on a production device (device) such as a printer, and with an integrated UMTS interface preferably via the Internet with at least a service server (such as CDS server and / or device portal accordingly 5 ) connectable. The production data streams and the service data streams are separated from each other, and the production LAN and the UMTS-implemented network for transmitting service data streams are partitioned off from each other by a firewall function of the protocol filter gateway.

7. Figurenaufzählung7th figure list

1 zeigt den schematischer Aufbau eines Beispiels für einen Protokolldatenfilters als Variante Protokollfilter-Gateway; 1 shows the schematic structure of an example of a protocol data filter as a variant protocol filter gateway;

2 zeigt die bei einem Ausführungsbeispiel realisierte Postion des Protokollfilter-Gateways im OSI-Modell; 2 shows the realized in one embodiment, the position of the protocol filter gateway in the OSI model;

3 zeigt die bei einem Ausführungsbeispiel realisierte Position des Protokollfilter-Gateways im Netzwerk bzw. zwischen drei gesonderten Netzwerken; 3 shows the realized in one embodiment position of the protocol filter gateway in the network or between three separate networks;

4 dient zur Veranschaulichung des Port-Setting bei Output-Systemen mit Protokollfilter-Gateways für Inbound und Outbound-Traffic; 4 serves as an illustration of the port setting for output systems with protocol filter gateways for inbound and outbound traffic;

5 zeigt den schematischer Aufbau eines Beispiels für einen Protokolldatenfilter als Variante Port-Forwarding-Protokollfilter Gateway; 5 shows the schematic structure of an example of a protocol data filter as a variant port forwarding protocol filter gateway;

6 führt Varianten des Firmware-Updates bei der image Runner Advanced Serie von Canon auf; 6 lists variants of the firmware update on Canon's image Runner Advanced series;

7 gibt ein Beispiel für ein Flottenmanagement über Protokollfilter-Gateways zu einem Service-Content-Server sowie einem M2M-Service-Portal; 7 gives an example of fleet management via protocol filter gateways to a service content server as well as an M2M service portal;

8 veranschaulicht schematisch die Trennung von Produktions- und Servicedatenströmen in einem Protokollfilter-Gateway und die gegenseitige Abschottung eines Produktions-LAN und eines Netzwerks zur Übertragung von Servicedatenströmen durch eine Firewall-Funktion des Protokollfilter Gateways. 8th schematically illustrates the separation of production and service data streams in a protocol filter gateway and the mutual isolation of a production LAN and a network for transmitting service data streams through a firewall function of the protocol filter gateway.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • WO 02/078318 A1 [0018] WO 02/078318 A1 [0018]
  • WO 02/077718 A1 [0018] WO 02/077718 A1 [0018]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • IEEE 802.1Q-Schnittstelle [0044] IEEE 802.1Q interface [0044]
  • IEEE 802.1Q [0064] IEEE 802.1Q [0064]

Claims (38)

Verfahren und Einrichtung zur logischen Trennung, zum Routing und zur gewünschtenfalls getunnelten Weitergabe von gerätebezogenen technischen Parametern wenigstens eines Produktiv-Systems, insbesondere wenigstens eines Dokumentenoutputsystems, das gleichzeitig zur Kommunikation von Produktivstromdaten, insbesondere Druckstromdaten, in ein lokales Netzwerk eingebunden ist.Method and device for logical separation, for routing and, if desired, tuned transfer of device-related technical parameters of at least one productive system, in particular at least one document output system, which is simultaneously integrated into a local network for communication of productive stream data, in particular print stream data. Verfahren und Einrichtung nach Anspruch 1, dadurch gekennzeichnet, dass ein Gateway, insbesondere Protokollfilter-Gateway vorgesehen ist bzw. benutzt wird, das die Produktivstromdaten, insbesondere Druckstromdaten, und die technischen gerätebezogenen Daten voneinander trennt, vorzugsweise auf der Basis der verwendeten Netzwerkprotokolle, und das die technischen gerätebezogenen Daten in ein gegenüber dem lokalen Netzwerk logisch unabhängiges, vorzugsweise separates Netzwerk leitet, das mit einer Infrastruktur zur Auswertung und Weiterverarbeitung dieser Daten verbunden ist.Method and device according to claim 1, characterized in that a gateway, in particular protocol filter gateway is provided or used which separates the productive stream data, in particular print stream data, and the technical device-related data, preferably based on the network protocols used, and transmits the technical device-related data in a relation to the local network logically independent, preferably separate network, which is connected to an infrastructure for the evaluation and further processing of this data. Verfahren und Einrichtung nach Anspruch 2, dadurch gekennzeichnet, dass das Gateway zusätzlich eine Portforwarding Funktion aufweist, die auf Basis wenigstens eines in dem wenigstens einen Produktiv-System, insbesondere Dokumentenoutputsystem, gesetzten Ports die gerätebezogenen technischen Daten und/oder die Druckstromdaten voneinander trennt und separat weiterleitet.Method and device according to claim 2, characterized in that the gateway additionally comprises a port forwarding function which, based on at least one port set in the at least one productive system, in particular document output system, separates the device-related technical data and / or the print stream data from one another and separately forwards. Verfahren und Einrichtung nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass das Gateway über wenigstens eine IEEE 802.1 Q Schnittstelle beispielsweise zur Anbindung in Wireless LANs verfügt.Method and device according to claim 2 or 3, characterized in that the gateway has at least one IEEE 802.1 Q interface, for example for connection to wireless LANs. Verfahren und Einrichtung nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass das logisch unabhängige Netzwerk als ein VLAN ausgelegt ist.Method and device according to one of claims 2 to 4, characterized in that the logically independent network is designed as a VLAN. Verfahren und Einrichtung nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass das logisch unabhängige Netzwerk ein WiFi, ein Carrier VPN, ein GMS, GPRS, UMTS, oder LTE-Netzwerk oder ähnliches ist.Method and device according to one of claims 2 to 5, characterized in that the logically independent network is a WiFi, a Carrier VPN, a GMS, GPRS, UMTS, or LTE network or the like. Verfahren und Einrichtung nach einem der Ansprüche 2 bis 6, dadurch gekennzeichnet, dass das Gateway aus Sicht des Produktiv-LAN, in dem die Produktivstromdaten, insbesondere Druckstromdaten kommuniziert werden, keine eigene IP Adresse sichtbar werden läßt.Method and device according to one of claims 2 to 6, characterized in that the gateway from the point of view of the productive LAN, in which the productive stream data, in particular print stream data are communicated, no own IP address can be visible. System, bei dem mindestens ein erstes Netzwerk oder erstes Netzwerksegment (im Folgenden beides nur als ”erstes Netzwerk” angesprochen) umfassend wenigstens ein erstes Netzwerkgerät mittels eines Gateways selektiv, in Abhängigkeit von zu übertragenden Daten, mit einem zweiten Netzwerk oder zweiten Netzwerksegment (im Folgenden beides nur als ”zweites Netzwerk” angesprochen) und mit einem dritten Netzwerk oder dritten Netzwerksegment (im Folgenden beides nur als ”drittes Netzwerk” angesprochen) in Datenübertragungsverbindung steht oder bringbar ist, derart, dass erste Daten nur zwischen dem ersten Netzwerk und dem zweiten Netzwerk übertragen werden und zweite Daten nur zwischen dem ersten Netzwerk und dem dritten Netzwerk übertragen werden.System in which at least one first network or first network segment (hereinafter referred to both as "first network") comprising at least a first network device by means of a gateway selectively, depending on data to be transmitted, with a second network or second network segment (hereinafter both addressed only as a "second network") and with a third network or third network segment (hereinafter both referred to only as "third network") in data transmission connection or can be brought, such that first data only between the first network and the second network and transfer second data only between the first network and the third network. System nach Anspruch 8, dadurch gekennzeichnet, dass das Gateway für die Ausführung einer Filterfunktion oder/und einer Portforwarding-Funktion ausgeführt ist, die die ersten Daten von den zweiten Daten auf Grundlage wenigstens eines aus einer Absender-IP-Adresse, einer Ziel-IP-Adresse, eines den Daten zugrundeliegenden Protokolls und eines für die Daten gesetzten Ports unterscheidet.A system according to claim 8, characterized in that the gateway is adapted to carry out a filtering function and / or a port forwarding function comprising the first data from the second data based on at least one of a sender IP address, a destination IP Address, a data-underlying protocol, and a data-set port. System nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass das zweite Netzwerk wenigstens ein, vorzugsweise eine Mehrzahl von mit dem ersten Netzwerkgerät in Datenübertragungsverbindung für die Übertragung von ersten Daten tretenden zweiten Netzwerkgeräten umfasst, und dass über das dritte Netzwerk eine Datenübertragungsverbindung für die Übertragung von zweiten Daten zwischen dem ersten Netzwerkgerät und wenigstens einem dritten Netzwerkgerät herstellbar ist.A system according to claim 8 or 9, characterized in that the second network comprises at least one, preferably a plurality of second network devices communicating with the first network device in data transmission connection for the transmission of first data, and that via the third network a data transmission connection for the transmission of second data between the first network device and at least a third network device can be produced. System nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass die ersten Daten sich auf die Nutzung wenigstens einer Funktion des ersten Netzwerkgeräts durch eine auf einem zweiten Netzwerkgerät laufende Anwendung beziehende Daten sind, und dass die zweiten Daten gerätebezogene Daten des ersten Netzwerkgeräts umfassend wenigstens eines von Zählerständen, Konfigurationsdaten, Fehlercodedaten, Zustandscodedaten, Firmwaredaten und Betriebsmediumvorratsdaten sind.A system according to any one of claims 8 to 10, characterized in that the first data is related to the use of at least one function of the first network device by an application running on a second network device, and that the second data comprises device related data of the first network device at least one of meter readings, configuration data, error code data, status code data, firmware data, and operating medium stock data. System nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, dass das erste Netzwerkgerät wenigstens eines von einem Bürogerät, einem Dokumentenausgabegerät, einem Drucker, einem Scanner, einem Telefaxgerät oder einem mehrere derartige Funktionen erfüllenden Mehrfachfunktionsgerät ist.System according to one of claims 8 to 11, characterized in that the first network device is at least one of an office device, a document output device, a printer, a scanner, a fax machine or a multi-functional device fulfilling several functions. System nach einem der Ansprüche 8 bis 12, dadurch gekennzeichnet, dass das zweite Netzwerkgerät ein Arbeitsplatz-Computer oder ein mit einem Arbeitsplatz-Computer zusammenwirkender Netzwerkserver ist.A system according to any one of claims 8 to 12, characterized in that the second network device is a workstation computer or a network server interacting with a workstation computer. System nach einem der Ansprüche 8 bis 13, dadurch gekennzeichnet, dass die Datenübertragungsverbindung für die Übertragung von zweiten Daten zwischen dem ersten Netzwerkgerät und dem dritten Netzwerkgerät über das Internet hergestellt wird, und dass das dritte Netzwerkgerät ein zweite Daten an das erste Netzwerkgerät liefernder oder zweite Daten von dem ersten Netzwerkgerät erhaltender Internet-Server oder ein Fernwartungszwecken in Bezug auf das erste Netzwerkgerät dienender Arbeitsplatz-Computer ist.System according to one of claims 8 to 13, characterized in that the Data transmission connection for the transmission of second data between the first network device and the third network device is made via the Internet, and that the third network device with respect to a second data to the first network device or second data received from the first network device Internet server or remote maintenance is on the first network device serving desktop computer. System nach einem der Ansprüche 8 bis 14, dadurch gekennzeichnet, dass das dritte Netzwerk von dem zweiten Netzwerk logisch getrennt ist oder/und dass das dritte Neztwerk eine virtuelles Netzwerk, vorzugsweise ein virtuelles privates Netzwerk (VPN) ist.System according to one of claims 8 to 14, characterized in that the third network is logically separated from the second network and / or that the third network is a virtual network, preferably a virtual private network (VPN). System nach einem der Ansprüche 8 bis 15, dadurch gekennzeichnet, dass das dritte Netzwerk auf Basis von Ethernet-Infrastruktur bereitgestellt ist, auf deren Basis auf das zweite Netzwerk bereitgestellt ist.A system according to any one of claims 8 to 15, characterized in that the third network is provided on the basis of Ethernet infrastructure, based on which the second network is provided. System nach einem der Ansprüche 8 bis 15, dadurch gekennzeichnet, dass das dritte Netzwerk auf Basis von von der Ethernet-Infrastruktur des zweiten Netzwerks gesonderter Netzwerk-Infrastruktur bereitgestellt ist.System according to one of claims 8 to 15, characterized in that the third network is provided on the basis of separate from the Ethernet infrastructure of the second network network infrastructure. System nach Anspruch 17, dadurch gekennzeichnet, dass das dritte Netzwerk ein Drahtlos-Netzwerk, insbesondere eine Drahtlos-Telefonie-Netzwerk, umfasst.A system according to claim 17, characterized in that the third network comprises a wireless network, in particular a wireless telephony network. System nach Anspruch 18, dadurch gekennzeichnet, dass das Gateway eine integrierte Drahtlos-Netzwerkschnittstelle, insbesondere GMS, GPRS, UMTS oder LTE-Schnittstelle, aufweist.System according to claim 18, characterized in that the gateway has an integrated wireless network interface, in particular GMS, GPRS, UMTS or LTE interface. System nach einem der Ansprüche 8 bis 19, dadurch gekennzeichnet, dass das Gateway eine erste Netzwerkschnittstelle zum Anschluss an dem ersten Netzwerk bzw. an dem ersten Netzwerkgerät und eine zweite Netzwerkschnittstelle zum Anschluss an dem zweiten Netzwerk umfasst.System according to one of claims 8 to 19, characterized in that the gateway comprises a first network interface for connection to the first network or to the first network device and a second network interface for connection to the second network. System nach einem der Ansprüche 8 bis 20, dadurch gekennzeichnet, dass mehrere erste Netzwerke vorgesehen sind, die über ein jeweiliges eigenes Gateway mit dem den ersten Netzwerken zugeordneten zweiten Netzwerk und dem den ersten Netzwerken zugeordneten dritten Netzwerk in Datenübertragungsverbindung stehen bzw. bringbar sind, für die Übertragung von ersten Daten nur zwischen dem jeweiligen ersten Netzwerk und dem zweiten Netzwerk und für die Übertragung von zweiten Daten nur zwischen dem jeweiligen ersten Netzwerk und dem dritten Netzwerk.System according to one of claims 8 to 20, characterized in that a plurality of first networks are provided which are via a respective own gateway with the first network associated second network and the first network associated third network in data transmission connection or can be brought, for the transmission of first data only between the respective first network and the second network and for the transmission of second data only between the respective first network and the third network. System nach einem der Ansprüche 8 bis 21, mit den Merkmalen wenigstens eines der Ansprüche 1 bis 7 oder/und mit wenigstens einem aus der Gesamtoffenbarung der vorliegenden Anmeldung entnehmbaren Merkmal.A system according to any one of claims 8 to 21, having the features of at least one of claims 1 to 7 and / or at least one feature removable from the overall disclosure of the present application. Gateway, zur Realisierung eines Systems nach einem der Ansprüche 8 bis 22, vorzugsweise mit den Merkmalen wenigstens eines der Ansprüche 1 bis 7 oder/und vorzugsweise mit den sich auf das Gateway beziehenden Merkmalen wenigstens eines der Ansprüche 8 bis 21, oder/und vorzugsweise mit wenigstens einem aus der Gesamtoffenbarung der vorliegenden Anmeldung entnehmbaren Merkmal.Gateway for realizing a system according to one of claims 8 to 22, preferably with the features of at least one of claims 1 to 7 or / and preferably with the gateway-related features of at least one of claims 8 to 21, and / or preferably with at least one feature removable from the overall disclosure of the present application. Verfahren, bei dem mindestens ein erstes Netzwerk oder erstes Netzwerksegment (im Folgenden beides nur als ”erstes Netzwerk” angesprochen) umfassend wenigstens ein erstes Netzwerkgerät mittels eines Gateways selektiv, in Abhängigkeit von zu übertragenden Daten, mit einem zweiten Netzwerk oder zweiten Netzwerksegment (im Folgenden beides nur als ”zweites Netzwerk” angesprochen) und mit einem dritten Netzwerk oder dritten Netzwerksegment (im Folgenden beides nur als ”drittes Netzwerk” angesprochen) in Datenübertragungsverbindung gebracht wird, derart, dass erste Daten nur zwischen dem ersten Netzwerk und dem zweiten Netzwerk überfragen werden und zweite Daten nur zwischen dem ersten Netzwerk und dem dritten Netzwerk übertragen werden.Method in which at least one first network or first network segment (hereinafter both referred to as "first network") comprising at least a first network device by means of a gateway selectively, depending on data to be transmitted, with a second network or second network segment (hereinafter both addressed only as a "second network") and brought into data communication connection with a third network or third network segment (hereinafter both referred to as "third network" only), such that first data will only be transferred between the first network and the second network and second data is transferred only between the first network and the third network. Verfahren nach Anspruch 24, dadurch gekennzeichnet, dass das Gateway für eine Filterfunktion oder/und einer Portforwarding-Funktion ausführt, die die ersten Daten von den zweiten Daten auf Grundlage wenigstens eines aus einer Absender-IP-Adresse, einer Ziel-IP-Adresse, eines den Daten zugrundeliegenden Protokolls und eines für die Daten gesetzten Ports unterscheidet.A method as claimed in claim 24, characterized in that the gateway performs a filtering function and / or a port forwarding function which extracts the first data from the second data based on at least one of a sender IP address, a destination IP address, a protocol underlying the data and a port set for the data. Verfahren nach Anspruch 24 oder 25, dadurch gekennzeichnet, dass das zweite Netzwerk wenigstens ein, vorzugsweise eine Mehrzahl von mit dem ersten Netzwerkgerät in Datenübertragungsverbindung für die Übertragung von ersten Daten tretenden zweiten Netzwerkgeräten umfasst, und dass über das dritte Netzwerk eine Datenübertragungsverbindung für die Übertragung von zweiten Daten zwischen dem ersten Netzwerkgerät und wenigstens einem dritten Netzwerkgerät hergestellt wird.A method according to claim 24 or 25, characterized in that the second network comprises at least one, preferably a plurality of second network devices communicating with the first network device in data transmission connection for the transmission of first data, and that via the third network a data transmission connection for the transmission of second data is established between the first network device and at least one third network device. Verfahren nach einem der Ansprüche 24 bis 26, dadurch gekennzeichnet, dass die ersten Daten sich auf die Nutzung wenigstens einer Funktion des ersten Netzwerkgeräts durch eine auf einem zweiten Netzwerkgerät laufende Anwendung beziehende Daten sind, und dass die zweiten Daten gerätebezogene Daten des ersten Netzwerkgeräts umfassend wenigstens eines von Zählerständen, Konfigurationsdaten, Fehlercodedaten, Zustandscodedaten, Firmwaredaten und Betriebsmediumvorratsdaten sind.Method according to one of claims 24 to 26, characterized in that the first data is based on the use of at least one function of the first network device by an application running on a second network device data, and that the second data device-related data of the first network device comprising at least one of meter readings, Configuration data, error code data, status code data, firmware data and operating medium stock data. Verfahren nach einem der Ansprüche 24 bis 27, dadurch gekennzeichnet, dass das erste Netzwerkgerät wenigstens eines von einem Bürogerät, einem Dokumentenausgabegerät, einem Drucker, einem Scanner, einem Telefaxgerät oder einem mehrere derartige Funktionen erfüllenden Mehrfachfunktionsgerät ist.Method according to one of Claims 24 to 27, characterized in that the first network device is at least one of an office appliance, a document dispenser, a printer, a scanner, a fax machine or a multifunction device fulfilling a plurality of such functions. Verfahren nach einem der Ansprüche 24 bis 28, dadurch gekennzeichnet, dass das zweite Netzwerkgerät ein Arbeitsplatz-Computer oder ein mit einem Arbeitsplatz-Computer zusammenwirkender Netzwerkserver ist.Method according to one of Claims 24 to 28, characterized in that the second network device is a workstation computer or a network server interacting with a workstation computer. Verfahren nach einem der Ansprüche 24 bis 29, dadurch gekennzeichnet, dass die Datenübertragungsverbindung für die Übertragung von zweiten Daten zwischen dem ersten Netzwerkgerät und dem dritten Netzwerkgerät über das Internet hergestellt wird, und dass das dritte Netzwerkgerät ein zweite Daten an das erste Netzwerkgerät liefernder oder zweite Daten von dem ersten Netzwerkgerät erhaltender Internet-Server ist oder ein Arbeitsplatz-Computer, von dem eine Fernwartung in Bezug auf das erste Netzwerkgerät durchgeführt wird.Method according to one of claims 24 to 29, characterized in that the data transmission connection for the transmission of second data between the first network device and the third network device via the Internet is established, and that the third network device, a second data to the first network device supplying or second Data from the first network device receiving Internet server or a workstation computer, from which a remote maintenance is performed with respect to the first network device. Verfahren nach einem der Ansprüche 24 bis 30, dadurch gekennzeichnet, dass das dritte Netzwerk von dem zweiten Netzwerk logisch getrennt ist oder/und dass das dritte Netzwerk eine virtuelles Netzwerk, vorzugsweise ein virtuelles privates Netzwerk (VPN) ist.Method according to one of claims 24 to 30, characterized in that the third network is logically separated from the second network and / or that the third network is a virtual network, preferably a virtual private network (VPN). Verfahren nach einem der Ansprüche 24 bis 31, dadurch gekennzeichnet, dass das dritte Netzwerk auf Basis von Ethernet-Infrastruktur bereitgestellt wird, auf deren Basis auf das zweite Netzwerk bereitgestellt wird.Method according to one of claims 24 to 31, characterized in that the third network is provided on the basis of Ethernet infrastructure, is provided based on the second network. Verfahren nach einem der Ansprüche 24 bis 31, dadurch gekennzeichnet, dass das dritte Netzwerk auf Basis von von der Ethernet-Infrastruktur des zweiten Netzwerks gesonderter Netzwerk-Infrastruktur bereitgestellt wird.Method according to one of claims 24 to 31, characterized in that the third network is provided on the basis of separate from the Ethernet infrastructure of the second network network infrastructure. Verfahren nach Anspruch 33, dadurch gekennzeichnet, dass das dritte Netzwerk ein Drahtlos-Netzwerk, insbesondere eine Drahtlos-Telefonie-Netzwerk, umfasst.A method according to claim 33, characterized in that the third network comprises a wireless network, in particular a wireless telephony network. Verfahren nach Anspruch 34, dadurch gekennzeichnet, dass das Gateway eine integrierte Drahtlos-Netzwerkschnittstelle, insbesondere GMS, GPRS, UMTS oder LTE-Schnittstelle, aufweist.A method according to claim 34, characterized in that the gateway has an integrated wireless network interface, in particular GMS, GPRS, UMTS or LTE interface. System nach einem der Ansprüche 24 bis 35, dadurch gekennzeichnet, dass das Gateway eine erste Netzwerkschnittstelle aufweist, mit der es an dem ersten Netzwerk bzw. an dem ersten Netzwerkgerät angeschlossen wird, und eine zweite Netzwerkschnittstelle aufweist, mit der es an dem zweiten Netzwerk angeschlossen wird.A system according to any one of claims 24 to 35, characterized in that the gateway has a first network interface with which it is connected to the first network or to the first network device, and has a second network interface with which it is connected to the second network becomes. System nach einem der Ansprüche 24 bis 36, dadurch gekennzeichnet, dass mehrere erste Netzwerke vorgesehen sind, die über ein jeweiliges eigenes Gateway mit dem den ersten Netzwerken zugeordneten zweiten Netzwerk und dem den ersten Netzwerken zugeordneten dritten Netzwerk in Datenübertragungsverbindung gebracht werden, für die Übertragung von ersten Daten nur zwischen dem jeweiligen ersten Netzwerk und dem zweiten Netzwerk und für die Übertragung von zweiten Daten nur zwischen dem jeweiligen ersten Netzwerk und dem dritten Netzwerk.System according to one of claims 24 to 36, characterized in that a plurality of first networks are provided, which are brought via a respective own gateway with the first network associated with the second network and the first network associated with the third network in data transmission connection, for the transmission of first data only between the respective first network and the second network and for the transmission of second data only between the respective first network and the third network. Verfahren nach einem der Ansprüche 24 bis 37, mit den Merkmalen wenigstens eines der Ansprüche 1 bis 7 oder/und mit wenigstens einem aus der Gesamtoffenbarung der vorliegenden Anmeldung entnehmbaren Merkmal.A method according to any one of claims 24 to 37, having the features of at least one of claims 1 to 7 and / or at least one feature removable from the overall disclosure of the present application.
DE102011078894A 2011-07-08 2011-07-08 Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network Withdrawn DE102011078894A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102011078894A DE102011078894A1 (en) 2011-07-08 2011-07-08 Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011078894A DE102011078894A1 (en) 2011-07-08 2011-07-08 Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network

Publications (1)

Publication Number Publication Date
DE102011078894A1 true DE102011078894A1 (en) 2013-01-10

Family

ID=47426500

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011078894A Withdrawn DE102011078894A1 (en) 2011-07-08 2011-07-08 Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network

Country Status (1)

Country Link
DE (1) DE102011078894A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103428079A (en) * 2013-09-05 2013-12-04 德明通讯(上海)股份有限公司 LTE wireless network gateway equipment applied to family

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020023258A1 (en) * 2000-06-27 2002-02-21 Elwahab Amgad Mazen System and method for managing telecommunications devices
US6353614B1 (en) * 1998-03-05 2002-03-05 3Com Corporation Method and protocol for distributed network address translation
WO2002078318A1 (en) 2001-03-21 2002-10-03 Toshiba Tec Germany Imaging Systems Gmbh Office machine that can be remote-maintenanced via a computer network and a management or/and support or/and report or/and information system comprising a plurality of office machines
US6700891B1 (en) * 1998-06-25 2004-03-02 Cisco Technology, Inc. Apparatus and method for providing a device level security mechanism in a network
US20040225879A1 (en) * 2003-05-08 2004-11-11 Nelson Michael D. Systems and methods for facilitating secure remote access to sensitive data from an embedded device
US20070294416A1 (en) * 2006-06-15 2007-12-20 Fujitsu Limited Method, apparatus, and computer program product for enhancing computer network security

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6353614B1 (en) * 1998-03-05 2002-03-05 3Com Corporation Method and protocol for distributed network address translation
US6700891B1 (en) * 1998-06-25 2004-03-02 Cisco Technology, Inc. Apparatus and method for providing a device level security mechanism in a network
US20020023258A1 (en) * 2000-06-27 2002-02-21 Elwahab Amgad Mazen System and method for managing telecommunications devices
WO2002078318A1 (en) 2001-03-21 2002-10-03 Toshiba Tec Germany Imaging Systems Gmbh Office machine that can be remote-maintenanced via a computer network and a management or/and support or/and report or/and information system comprising a plurality of office machines
WO2002077718A1 (en) 2001-03-21 2002-10-03 Toshiba Tec Germany Imaging Systems Gmbh Method and system for service management or/and for service support or/and for the generation of service reports
US20040225879A1 (en) * 2003-05-08 2004-11-11 Nelson Michael D. Systems and methods for facilitating secure remote access to sensitive data from an embedded device
US20070294416A1 (en) * 2006-06-15 2007-12-20 Fujitsu Limited Method, apparatus, and computer program product for enhancing computer network security

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
IEEE 802.1Q
IEEE 802.1Q-Schnittstelle

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103428079A (en) * 2013-09-05 2013-12-04 德明通讯(上海)股份有限公司 LTE wireless network gateway equipment applied to family
CN103428079B (en) * 2013-09-05 2016-03-16 德明通讯(上海)有限责任公司 A kind of LTE wireless gateway device being applied to family

Similar Documents

Publication Publication Date Title
DE69836271T2 (en) MULTI-STAGE FIREWALL SYSTEM
DE60216218T2 (en) Personal firewall with space-dependent functionality
DE60213391T2 (en) Personal firewall with position detection
DE69827351T2 (en) Multiple virtual pathfinder
DE69929268T2 (en) Method and system for monitoring and controlling network access
DE60029879T2 (en) System for multi-layered deployment in computer networks
DE602004007444T2 (en) Virtual private network with channelized Ethernet via Sonet interface, edge router and method
DE10052311B4 (en) Manually prevent unauthorized listening in a virtual private network over the Internet
DE602004009636T2 (en) Automatic discovery and configuration of external network devices
US9021549B2 (en) Method of generating security rule-set and system thereof
DE112012003778T5 (en) Computer network management tools
DE112017003500T5 (en) Namespace routing
EP1417820B1 (en) Method and computer system for securing communication in networks
DE60312490T2 (en) PROCEDURE-BASED CONTRACT-BASED MANAGEMENT OF A NETWORK OPERATIONAL SUPPORT SYSTEM
DE60210356T2 (en) Manager of service level agreements in a data network
DE10084739B4 (en) Arrangement and method in a switched telecommunication system
DE102011078894A1 (en) Device for logical separation for routing and desired tunneling transmission of device-related technical parameters of e.g. document output system, has protocol filter gateway guiding technical device-related data into separate network
EP2296340A2 (en) Method for operating a firewall device in automation networks
DE60311339T2 (en) A method of managing a network service using the COPS protocol for configuration in a virtual private network
Cisco Working with Policies
Cisco Working with Policies
Cisco Getting Started with the MPLS VPN Solutions Center
Cisco Release Notes for TrafficDirector Release 5.8.0a on Windows NT and Solaris
Cisco Setting Up the MPLS VPN Environment
Cisco Getting Started with QPM

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140201