DE60312138T2 - Sichere fernsteuerung - Google Patents

Sichere fernsteuerung Download PDF

Info

Publication number
DE60312138T2
DE60312138T2 DE60312138T DE60312138T DE60312138T2 DE 60312138 T2 DE60312138 T2 DE 60312138T2 DE 60312138 T DE60312138 T DE 60312138T DE 60312138 T DE60312138 T DE 60312138T DE 60312138 T2 DE60312138 T2 DE 60312138T2
Authority
DE
Germany
Prior art keywords
control unit
control
network
station
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60312138T
Other languages
English (en)
Other versions
DE60312138D1 (de
Inventor
Andrew Peter Stowmarket HERON
Gary Dean Ipswich BURGESS
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
British Telecommunications PLC
Original Assignee
British Telecommunications PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from GB0229831A external-priority patent/GB0229831D0/en
Application filed by British Telecommunications PLC filed Critical British Telecommunications PLC
Application granted granted Critical
Publication of DE60312138D1 publication Critical patent/DE60312138D1/de
Publication of DE60312138T2 publication Critical patent/DE60312138T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Selective Calling Equipment (AREA)
  • Transmitters (AREA)

Description

  • Die vorliegende Erfindung betrifft den Bereich der Fernsteuerung von Vorrichtungen über ein Netzwerk, insbesondere, jedoch nicht ausschließlich, die Fernsteuerung von Konferenzeinrichtungen in den Räumlichkeiten eines Teilnehmers.
  • Mit dem allgemeinen Trend zur Vernetzung unterschiedlicher Einrichtungen, die innerhalb der Standorte einer Organisation und über sie verteilt angeordnet sind, nimmt das Potential zur Fernverwaltung derartiger Einrichtungen zu. Eine derartige Fernverwaltung kann von einer zentralen Stelle innerhalb der Organisation oder, in vielen Fällen, von einer Stelle außerhalb der Organisation aus erfolgen. Bei für Audio- und Videokonferenzen verwendeten Konferenzeinrichtungen und dergleichen besteht beispielsweise Bedarf an einer externen Fernsteuerung der Einrichtungen zur bedarfsgerechten Aktivierung der Konferenzanlagen.
  • Die in den Räumlichkeiten der Organisation installierten Einrichtungen, beispielsweise Mehrpunktsteuereinheiten (MCUs), können von verschiedenen Herstellern stammen und daher unterschiedliche und für Gewöhnlich geschützte Steuerungsprotokolle verwenden, obwohl diese allgemein über eine IP-Netzwerkschicht (IP: Internetprotokoll) transportiert werden, die normalerweise das TCP-Transportschichtprotokoll (TCP: Transport Control Protocol) einschießt.
  • Laut Übereinkunft wird das verwendete Steuerungsprotokoll durch ein als Anschlussnummer bezeichnetes TCP-Feld angezeigt. Probleme treten bei der Implementierung der Steuerung diverser Einzelvorrichtungen über Netzwerke auf, die Firewalls aufweisen, da die Firewall für jede unterschiedliche, von den unterschiedlichen Steuerungsprotokollen benötigte Kombination von Anschlussnummer und IP-Adresse geöffnet werden muss. Gegen das Öffnen mehrerer Löcher in der Firewall setzen sich Firewall-Verwalter für gewöhnlich zur Wehr, da es die Komplexität der Verwaltung steigert und die Sicherheit erheblich reduziert.
  • Zudem werden viele Einzelvorrichtungen unter Verwendung des Simple Network Management Protocol (SNMP) gesteuert, das durch Firewalls zu lassen nicht ratsam ist, da ein erheblicher Teil der Netzwerkeinrichtungen selbst unter Verwendung dieses Protokolls verwaltet wird.
  • Eine Konfiguration, die sich mit dem vorstehend beschriebenen Problem befasst, ist in 1 gezeigt, die die Steuerung der Einrichtung 1, 2 von einer entfernten Stelle 3 darstellt. Die Einrichtung 1, 2 wird von einer Steuerstelle 5 über ein ungesichertes Weitbereichsnetzwerk 4 gesteuert. Die Einrichtung 1, 2 ist in einem lokalen Netzwerk 6 in einer „entmilitarisierten Zone" DMZ zwischen einer dem ungesicherten Netzwerk 4 zugewandeten äußeren Firewall 7 und einer inneren Firewall 8 angeordnet, die ein Firmen-Intranet 9 schützt. Eine hier als Steuereinheit 10 für einen sicheren Zugriff bezeichnete Vorrichtung ist in dem lokalen Netzwerk in der entmilitarisierten Zone DMZ angeordnet. Die Steuereinheit 10 für einen sicheren Zugriff ist ein Anwendungsprogramm, das auf einem herkömmlichen Computer läuft, der als Server fungiert und eine Kommunikation implementiert, die einem einzigen Protokoll entspricht, das hier als Peripheriesteuerprotokoll (PCP) bezeichnet wird. Es ist über Elementtreiber mit den einzelnen Elementen der Einrichtung 1, 2 verbunden.
  • Die Einrichtung 1, 2 in der entmilitarisierten Zone DMZ kann dann von einem mit der Steuereinheit 10 für einen sicheren Zugriff verbundenen Client an der Steuerstelle 5 ferngesteuert werden. Die Einrichtungen an der Steuerstelle 5 umfassen eine von der inneren und der äußeren Firewall 12, 13 vor dem ungesicherten Netzwerk 4 geschützte Steuerstation 11. Die Steuerstation 11 ist unter Verwendung des PCP über einen zu diesem Zweck bei der IANA (Internet Assigned Numbers Authority) angemeldeten Anschluss 1073 mit der Steuereinheit 10 für einen sicheren Zugriff verbunden. Daher muss für die Steuereinheit 10 für einen sicheren Zugriff der Anschuss 1073 in der äußeren Firewall 7 für hereinkommende Verbindungen geöffnet sein. Dieser Anschuss muss an der Steuerstelle 5 sowohl an der inneren als auch an der äußeren Firewall 12, 13 auch für herausgehende Verbindungen geöffnet sein.
  • Wenn die Einrichtung mit dem Firmen-Intraet 9 verbunden ist, ist ein Zugriff auf das Firmen-Intraet 9 über die innere Firewall 8 erforderlich. Der Anschluss 1073 müsste daher an der inneren Firewall 8 geöffnet werden. Da die innere Firewall 8 die letzte Verteidigungslinie des Firmen-Intranet 9 ist, stellt das Öffnen dieser Verbindung unweigerlich ein zusätzliches Sicherheitsrisiko dar.
  • Die vorliegende Erfindung zielt darauf ab, die vorstehend aufgeführten Probleme anzugehen.
  • Gemäß einem Aspekt der Erfindung wird ein System zur Fernsteuerung einer oder mehrerer Vorrichtungen über ein Kommunikationsnetzwerk, das eine erste und eine zweite Netzwerkseite und eine Einrichtung zur Steuerung des Zugriffs unter der ersten und der zweiten Seite umfasst, mit einer auf der ersten Netzwerkseite mit dem Netzwerk verbundenen ersten Steuereinheit zum Empfangen von Vorrichtungssteuernachrichten von einer Steuerstation und einer auf der zweiten Netzwerkseite mit dem Netzwerk verbundenen zweiten Steuereinheit zum Empfangen von Vorrichtungssteuernachrichten von der ersten Steuereinheit und zum Steuern der einen bzw. der mehreren Vorrichtungen als Reaktion darauf geschaffen, wobei die erste Steuereinheit so konfiguriert ist, dass sie die Vorrichtungssteu ernachrichten nach der Initiierung einer Verbindung zur ersten Steuereinheit durch die zweite Steuereinheit an die zweite Steuereinheit sendet.
  • Die Zugriffssteuereinrichtung, beispielsweise eine Firewall, kann so konfiguriert sein, dass sie verhindert, dass Verbindungsanforderungen von der ersten Steuereinheit die zweite Steuereinheit erreichen.
  • Indem nur zugelassen wird, dass auf Initiative der zweiten Steuereinheit ein Kommunikationspfad zwischen der ersten und der zweiten Steuereinheit eingerichtet wird, werden keine eingehenden Verbindungen zur zweiten Netzwerkseite, beispielsweise zum Firmen-Intranet, hergestellt. Die einzigen Verbindungen durch die Firewall, die zugelassen werden, sind herausgehende Verbindungen, wodurch die Sicherheit erheblich verbessert wird.
  • Indem die Verbindung offen gehalten wird, wenn sie einmal hergestellt ist, können Vorrichtungssteuernachrichten an die zweite Steuereinheit gesendet werden, wann immer sie von der ersten Steuereinheit empfangen werden, ohne dass die erste Steuereinheit eine Verbindung zur zweiten Steuereinheit anfordern muss, was eine unzulässige eingehende Verbindung darstellen würde.
  • Gemäß dem ersten Aspekt der Erfindung wird auch ein Verfahren zur Fernsteuerung einer oder mehrerer Vorrichtungen über ein Kommunikationsnetzwerk geschaffen, das eine erste und eine zweite Netzwerkseite und eine Einrichtung zur Steuerung des Zugriffs unter der ersten und der zweiten Seite aufweist, wobei das Verfahren die Initiierung einer Verbindung zu der auf der ersten Netzwerkseite mit dem Netzwerk verbundenen ersten Steuereinheit durch eine auf der zweiten Netzwerkseite mit dem Netwerk verbundene zweite Steuereinheit und das Senden von Vorrichtungssteuernachrichten von einer Steuerstation an die erste Steuereinheit und anschließend von der ersten Steuereinheit an die zweite Steuereinheit umfasst.
  • Gemäß einem zweiten Aspekt der Erfindung wird ein System zur Fernüberwachung einer oder mehrerer Vorrichtungen über ein Kommunikationsnetzwerk, das eine erste und eine zweite Netzwerkseite und eine Einrichtung zur Steuerung des Zugriffs unter der ersten und der zweiten Seite aufweist, mit einer auf der ersten Netzwerkseite mit dem Netwerk verbundenen Überwachungsstation zum Empfangen von die eine bzw. die mehreren Vorrichtungen betreffenden Informationen, einer auf der zweiten Netzwerkseite mit dem Netzwerk verbundenen ersten Steuereinheit zum Empfangen der Informationen und zum Senden der Informationen an die Überwachungsstation und einer zweiten Steuereinheit zum Überwachen der einen bzw. der mehreren Vorrichtungen und zum Senden der Informationen an die erste Steuereinheit geschaffen, wobei die erste Steuereinheit so konfiguriert ist, dass sie die Steuereinheit Informationen nach der Initiierung einer Verbindung zur ersten durch die Überwachungsstation an die Überwachungsstation sendet.
  • Indem die Herstellung eines Kommunikationspfads zwischen der Überwachungsstation und der ersten Steuereinheit nur auf Initiative der Überwachungsstation zugelassen wird, werden keine eingehenden Verbindungen zur Steuerstelle hergestellt. Die einzigen Verbindungen, die über die Zugriffssteuereinrichtung, beispielsweise eine Firewall, zulässig sind, sind herausgehende Verbindungen, wodurch die Sicherheit erheblich verbessert wird. Ähnlich erfolgen Ereignisbenachrichtigungen über eine herausgehende Verbindung von der zweiten Steuereinheit zur ersten Steuereinheit, daher müssen keine eingehenden Verbindungen durch die Firewall hergestellt werden, die die erste Steuereinheit von der zweiten Steuereinheit trennt.
  • An einer entfernten Stelle auftretende Ereignisse können daher sicher überwacht werden.
  • Als Reaktion auf die überwachten Ereignisse können Vorrichtungssteuernachrichten erzeugt und gesendet werden, um die Vorrichtungen zu steuern.
  • Gemäß einem zweiten Aspekt der Erfindung wird auch ein Verfahren zur Fernüberwachung einer oder mehrerer Vorrichtungen über ein Kommunikationsnetzwerk geschaffen, das eine erste und eine zweite Netzwerkseite und eine Einrichtung zur Steuerung des Zugriffs unter der ersten und der zweiten Seite aufweist, wobei das Verfahren die Initiierung einer Verbindung zu der auf der zweiten Netzwerkseite mit dem Netzwerk verbundenen ersten Steuereinheit durch eine auf der ersten Netzwerkseite mit dem Netwerk verbundene Überwachungsstation und das Senden von die eine bzw. die mehreren Vorrichtungen betreffenden Ereignisinformationen von der zweiten Steuereinheit an die erste Steuereinheit und anschließend von der ersten Steuereinheit an die Überwachungsstation umfasst.
  • Ausführungsformen der Erfindung werden nun unter Bezugnahme auf die beiliegenden Zeichnungen beispielhaft beschrieben. Es zeigen:
  • die bereits vorstehend beschriebene 1 eine Netzwerkkonfiguration, die eine Fernsteuerung von Einrichtungen an einer entfernten Stelle unter Verwendung einer Steuereinheit für einen sicheren Zugriff ermöglicht;
  • 2 eine Netzwerkkonfiguration gemäß einem Aspekt der Erfindung, bei der eine Client-Steuereinheit mit einer Umgebungssteuereinheit kommuniziert, um eine Fernsteuerung einer Einrichtung an einer entfernten Stelle zu ermöglichen;
  • 3 die Herstellung einer Verbindung zwischen der Client- und der Umgebungssteuereinheit;
  • 4 ein schematisches Diagramm, das ein Fernsteuersystem zur Einrichtung einer Konferenz darstellt;
  • 5 ein Ablaufdiagramm, das die Funktionsweise des Systems gemäß 4 darstellt;
  • 6 eine Netzwerkkonfiguration gemäß einem zweiten Aspekt der Erfindung, bei der eine Client-Steuereinheit über eine Umgebungssteuereinheit mit einer Überwachungsstation kommuniziert, um die Überwachung nicht angeforderter Ereignisse, wie Warnungen, an einer entfernten Stelle zu ermöglichen;
  • 7 die Herstellung einer Verbindung zwischen der Überwachungsstation und der Umgebungssteuereinheit;
  • 8 ein Ablaufdiagramm, das die Funktionsweise des Systems gemäß 6 zeigt;
  • 9 eine Netzwerkkonfiguration gemäß einem dritten Aspekt der Erfindung, bei der eine Client-Steuereinheit mit einer Umgebungssteuereinheit und die Umgebungssteuereinheit wiederum mit einer zentralen Steuereinheit kommuniziert, um eine Fernsteuerung der Einrichtung an einer entfernten Stelle zu ermöglichen; und
  • 10 die Herstellung einer Verbindung zwischen der Umgebungssteuereinheit und der zentralen Steuereinheit.
  • 2 ähnelt hinsichtlich bestimmter grundlegender Aspekte einer Netzwerkanordnung 1, und die gleichen Bezugszeichen werden zur Identifikation gemeinsamer Aspekte verwendet. Wie gemäß 1 ist die zu steuernde Einrichtung 1, 2 an einer entfernten Stelle 3 angeordnet und kann von einer Steuerstelle 5 über ein Netzwerk 4 ferngesteuert werden. Im Gegensatz zu der in 1 gezeig ten Anordnung ist die Einrichtung 1, 2 jedoch mit dem Firmen-Intranet 9 an der entfernten Stelle 3 verbunden, statt in der DMZ angeordnet zu sein. Eine hier als Client-Steuereinheit bezeichnete Steuereinheit 20 für einen sicheren Zugriff ist ebenfalls mit dem Firmen-Intranet 9 verbunden. Eine hier als Umgebungssteuereinheit bezeichnete zweite Steuereinheit 21 für einen sicheren Zugriff ist in der demilitarisierten Zone DMZ zwischen der äußeren Firewall 7, die dem Netzwerk 4 zugewandt ist, und einer inneren Firewall 8 angeordnet, die dem Firmen-Intranet 9 zugewandt ist. Die Client-Steuereinheit 20 verbindet die einzelnen Elemente der Einrichtung 1, 2 über Gerätetreiber, und sowohl die Client- als auch die Umgebungssteuereinheit 20, 21 arbeiten unter Verwendung des PCP über den Anschuss 1073 nach dem PCP (Peripheral Control Protocol). Das PCP ist ein gattungsmäßiges Protokoll, das eine Kommunikation mit jeder Art von Einrichtung ermöglicht. Die Struktur und Funktionsweise der Steuereinheiten 20, 21 für einen sicheren Zugriff werden nachstehend genauer beschrieben.
  • Die innere Firewall 8 lässt keine eingehenden Verbindungen mit der Client-Steuereinheit 20 über den Anschuss 1073 zu. Sie ist so konfiguriert, dass sie nur hinausgehende Verbindungen über den Anschuss 1073 zulässt. Daher bleibt die Sicherheit des Firmenintranet 9 gewahrt.
  • Sowohl die Client- als auch die Umgebungssteuereinheit 20, 21 umfassen ein Anwendungsprogramm, das auf einem herkömmlichen, vernetzten Personal Computer (PC) läuft. Der Computer läuft beispielsweise unter dem Betriebssystem Windows NTTM und verfügt über die gesamte übrige, zum Ausführen seiner Funktionen erforderliche Hardware und Software sowie über die Steuersoftware für den sicheren Zugriff. Die gesamte Netzwerkanordnung arbeitet nach dem TCP/IP Protokollsatz, obwohl das PCP über eine Vielzahl von Protokollen, einschließlich TCP/IP, HTTP, T.120 und SNMP, transportiert werden kann.
  • Sowohl die Steuerstation 11 als auch die Umgebungssteuereinheit 20 und die Client-Steuereinheit 21 werden zum Zwecke der Authentifizierung mit Kennzeichnungen versehen. Da im Allgemeinen eine geschlossene Gruppe autorisierter Clients vorgesehen ist, werden die Kennzeichnungen durch eine interne Zulassungsstelle lokal autorisiert, wodurch ein sehr sicheres System geschaffen wird.
  • Die Funktionsweise des Fernsteuerungssystems und die Funktionen jeder der darin enthaltenen Steuereinheiten 20, 21 wird nun nachstehend im Einzelnen beschrieben.
  • Gemäß 3 sendet die Client-Steuereinheit 20 beim Hochfahren, beispielsweise beim ersten Booten der Client-Steuereinheit 20, über den Anschuss 1073 eine TCP-Verbindungsanforderung (TCP: Transport Control Protocol) an die Umgebungssteuereinheit 21 (Schritt s1). Unter der Voraussetzung, dass die Umgebungssteuereinheit 21 bereits online ist, dient sie als Server, der auf eingehende Verbindungsanforderungen wartet. Wenn sie die Verbindungsanforderung empfängt, sendet sie eine Antwort an die Client-Steuereinheit 20 zurück (Schritt s2), die wiederum eine Bestätigung an die Umgebungssteuereinheit 21 sendet (Schritt s3), was auf eine standardmäßige und allgemein bekannte Art und Weise zur Herstellung einer TCP-Verbindung zwischen beiden führt. Anschließend wird unter Verwendung des Industriestandards Secure Sockets Layer Protocol (SSL-Protokoll) oder der als Transport Layer Security Protocol (TLS-Protokoll) bezeichneten aktuellsten Version auf eine erneut allgemein wohlbekannte Weise eine gegenseitige Authentifizierungs- und Verschlüsselungseinstellung zischen der Client-Steuereinheit 20 und der Umgebungssteuereinheit 21 ausgeführt (Schritt s4). Ist als Ergebnis dieser Prozedur einmal eine ordnungsgemäß authentifizierte Verbindung zwischen der Client-Steuereinheit 20 und der Umgebungssteuereinheit 21 hergestellt, bleibt die Verbindung vorbehaltlich einer Fehlfunktion der Einrichtung, einer vorgesehenen Wartung, etc. offen und bereit für die Übertragung von Anweisungen von der Umgebungssteuereinheit 21. Die Client-Steuereinheit 20 erprobt die Verbindung durchgehend und stellt sie wieder her, wenn sie verloren geht. Es kann sein, dass sie die Verbindung auf einer vorgesehenen Basis aufgeben und neu herstellen muss, wenn die innere Firewall 8 das Vorhandensein durchgehender Verbindungen nur über eine bestimmte, maximale Zeitspanne zulässt.
  • Gemäß den 4 und 5 kontaktiert ein Benutzer 22, wenn er bzw. sie die Einrichtung einer Konferenz, beispielsweise einer Videokonferenz, anfordert, ein Konferenzsteuersystem 23 an der Steuerstelle 5 (Schritt s10). Das Konferenzsteuersystem 23 umfasst beispielsweise mehrere Telefonbetreiber 24 und ein automatisiertes Buchungssystem 25, das über das Internet 26 kontaktiert werden kann. Die Betreiber und das automatisierte Buchungssystem sind mit einer Konferenzressourcenverwaltung (CRM: conference ressource manager) 27 verbunden. Der Benutzer liefert die erforderlichen Einzelheiten zu der angeforderten Konferenz, beispielsweise die benötigte Zeit, die ausgewählten Teilnehmer 28, 29, 30, etc., und diese werden vom Buchungssystem Der 25 oder einem Betreiber 24 an den CRM 27 gesendet (Schritt s11). Der CRM 27 bestimmt, ob zu der Zeit einer gegebenen Konferenzbuchungsanforderung sämtliche erforderlichen Ressourcen verfügbar sind, nimmt Buchungen auf dieser Basis an oder weist sie zurück, speichert die Buchung in einer Datenbank 31 und antwortet dem Betreiber dementsprechend (Schritt s12). Die Buchung umfasst eine der Konferenz zu ihrer eindeutigen Identifikation zugeordnete Konferenzidentifikationsnummer sowie sämtliche zur Einstellung der Einrichtungen für die Konferenz erforderlichen Steuerinformationen. Der CRM 27 bezieht sich zur Identifikation der zu steuernden Einrichtung auf vorab zugeordnete Identifikationsnummern, und ihm wird bei der Verbindung zur Umgebungssteuereinheit 21 seine eigene Identifikationsnummer zugeordnet. Die zu steuernde Einrichtung ist in diesem Fall eine Mehrpunktsteuereinheit (MCU) 2 zur Steuerung von Videokonferenzen. Ein Steuerungs-/Schnittstellenmodul 32 fragt dann die Datenbank 31 ab, um die relevanten Informationen zu extrahieren (Schritt s13) und stellt auf herkömmliche Weise über dien Anschuss 1073 eine Verbindung zur Umgebungssteuereinheit 21 her, wie vorstehend unter Bezugnahme auf die Verbindung zwischen der Client- und der Umgebungssteuereinheit 20, 21 beschrieben (Schritt s14).
  • Das Steuerungs-/Schnittstellenmodul 32 verwendet das PCP-Protokoll, das nachstehend genauer beschrieben wird, um die zur Einrichtung der Konferenz erforderlichen Steuerinformationen an die Umgebungssteuereinheit 21 zu übermitteln (Schritt s15).
  • Das PCP-Protokoll basiert auf Ketten von 8-Bit-ASCII-Textzeichen, die einen Satz einfacher Befehle, wie ,Konferenz definieren’, ,Konferenz erweitern’, etc., definieren.
  • Zur Vorbereitung einer Konferenz wird beispielsweise die folgende Nachricht gesendet, die eine zu einer einzigen Kette verknüpfte Folge von Befehlen umfasst. Jeder Befehl umfasst eine Kette von 8-Bit-ASCII-Zeichen, die durch Doppelpunkte voneinander getrennt und in eckige Klammer eingeschlossen sind.
  • Eine einfache 2B H.320 Audio/Video Herauswähl-Konferenzdefinition kann beispielsweise wie folgt aussehen:
    • [RT:D2:S1][CD:|1234:Cconf1:H1:B1:L60:N3:U3]
    • [RT:D2:S1][PD:|1234:Pparticipant1:J1:B2:D0:C1:N621455:M633600:C2:N621456:M633601]
    • [RT:D2:S1][PD:|1234:Pparticipant2:J1:B2:D0:C1:N612285:M633602:C2:N621286:M633603]
    • [RT:D2:S1][PD:|1234:Pparticipant3:J1:B2:D0:C1:N620479:M633604:C2:N620470:M633605]
  • Der erste Befehl in der Nachricht umfasst einen Befehlscode, der ein Paar aus zwei Buchstaben ist, dem Parameter folgen. Der Code ,RT’ ist ein Leitwegbefehl, der die Quelle und den Bestimmungsort für die Nachricht definiert. Ihm folgen ein Parameter ,D’, dessen Funktion die Identifikation des Bestimmungsorts ist, und ein Parameter ,S’, der der Identifikation der Quelle dient, beide in Kombination mit einem Wert, der für jede Stelle eindeutig ist. So gibt der Leitwegbefehl RT in diesem Fall an, dass die Nachricht für das Element der Einrichtung an der adressierten Stelle bestimmt ist, dessen ID-Nummer 2 ist (:D2), und dass der Quellen-CRM die Client-ID 1 aufweist (:S1).
  • Der zweite Befehl umfasst einen Befehlscode ,Konferenz definieren’ (CD), der die konferenzspezifischen Parameter definiert. Die Konferenz-ID-Nummer (:|1234) wird von dem CRM 27 definiert, um die Konferenz eindeutig zu identifizieren. Weitere in der vorstehenden Nachricht eingestellt dargestellte Parameter sind der Konferenzname (:Cconf1), die Tatsache, dass sie eine H. 320 ist (:H1), zwei B Kanäle nutzt (:B1), 60 Minuten dauert (:L60) und drei Teilnehmer hat (:N3), von denen alle drei Definitionen aufweisen, die nachfolgen (:U3). Sämtliche weiteren erforderlichen Konferenzparameter werden ebenfalls in diesem Befehl oder in einem ihm folgenden Optionsbefehl eingestellt. Für alle nicht explizit eingestellten Parameter können Standardwerte vorgesehen sein. Einige der Parameter, beispielsweise B, sind Aufzählungstypen, so dass die dargestellte Nummer statt eines tatsächlichen Werts ein Typ ist.
  • Wenn in der Konferenzdefinition kein Zeitparameter (:T) spezifiziert ist, wird davon ausgegangen, dass sie sofort benötigt wird. Konferenzen mit einem Zeitpunkt in der Zukunft können gebucht werden, wenn die entfernte Stelle eine lokale Buchungseinrichtung, beispielsweise einen lokalen CRM, aufweist. Die Nachricht wird an den lokalen CRM adressiert, der von der Steuereinheit für einen sicheren Zugriff auf die gleiche Weise wie jede andere Einrichtung behandelt wird.
  • Eine Konferenz ist nicht vollständig definiert, bevor sämtliche Teilnehmer unter Verwendung des Befehls ,Teilnehmerdefinition’ (PD) spezifisch definiert wurden.
  • Die Teilnehmerdefinitionsbefehle PD liefern die Teilnehmernamen (:P), ihre Bitrate (:J), die Tatsache, dass sie herauswählen (:D) und geben die Teilnehmernummer (:N) und die MCU-Anschlussnummer (:M) für jeden Kanal (:C) an. Die definierte Anzahl der Kanäle ist durch (:B) gegeben; in diesem Fall zeigt (:B2) zwei Kanäle an.
  • Gemäß 5 leitet die Umgebungssteuereinheit 21 beim Empfang der Nachricht an der Umgebungssteuereinheit 21 (Schritt s16) die Nachricht über den zuvor hergestellten Kommunikationsweg an die Client-Steuereinheit 20 weiter (Schritt s17). An der Client-Steuereinheit 20 wird die Nachricht an den relevanten Treiber für die durch die ID-Nummer D2 identifizierte Einrichtung weitergeleitet (Schritt s18). Der Gerätetreiber ist eine Windows .dll Datei, die auf genau analoge Weise, wie Drucker- und andere Hardwaretreiber, für die gesteuerte Einrichtung spezifisch ist. Der Treiber wandelt die PCP-Nachricht in das einrichtungsspezifische Protokoll um (Schritt s19) und sendet sie an die Einrichtung, um die erforderliche Steuerung zu veranlassen (Schritt s20). Die MCU 2 beginnt dann bei spielsweise durch Verbinden der Teilnehmer 26, 27, 28 die Konferenz. Wenn der Hersteller die Einrichtung 1, 2 zu Steuerungszwecken mit einer Schnittstelle des Server-Typs ausstattet, kann diese vom Treiber zur Steuerung der Einrichtung verwendet werden.
  • Die meisten Konferenzbefehle haben eine Antwort. Wenn die vorstehend beschriebenen Konferenz erfolgreich beginnt, ist eine mögliche Antwort beispielsweise:
    • [RT:D1:S2][CS:|1234:L7777:S2:T2000.03.01.12.30][PS:|1234:Pparticipant1:S2]
    • [RT:D1:S2][PS:|1234:Pparticipant2:S2][PS:|1234;Pparticipant3:S2]
  • Der Konferenzstatusbefehl (der Befehl CS) zeigt an, dass die Konferenz zum angegebenen Zeitpunkt begonnen hat (:S2), und die Teilnehmerstatusbefehle (die Befehle PS) zeigen an, dass sämtliche Teilnehmer hinzugefügt wurden und an der Konferenz teilnehmen (:S2). Die vorstehend aufgeführten Befehle zeigen auch an, dass der Konferenz von der MCU eine lokale ID zugewiesen wurde (:L7777).
  • Die Antworten werden an das Konferenzsteuersystem 23 zurückgesendet, um den Fortschritt der Konferenz anzuzeigen, und die Verbindung zwischen dem Steuerungs-/Schnittstellenmodul 32 und der Umgebungssteuereinheit 21 kann dann geschlossen werden.
  • Ferner können unplanmäßige Antworten zurückgesendet werden, beispielsweise wenn ein Teilnehmer eine Konferenz frühzeitig verlässt oder wenn die Konferenz frühzeitig endet; dies erfordert, dass das Steuerungs-/Schnittstellenmodul 32 seine Verbindung mit der Umgebungssteuereinheit 21 offen hält. Eine alternative Architektur für die Überwachung nicht angeforderter Antworten wird nachstehend unter Bezugnahme auf 6 beschrieben.
  • Das Konferenzsteuersystem 23 führt daher auf relativ sichere Weise eine Fernsteuerung der Einrichtung 1, 2 durch. Obwohl dies über eine Verbindung durch die interne Firewall 8 in ein Firmen- Intranet 9 erfolgt, wird die Verbindung durch die Client-Steuereinheit 20 initiiert und kann nicht von der Umgebungssteuereinheit 21 initiiert werden, da der erforderliche Anschuss 1073 an der inneren Firewall 8 nicht so konfiguriert ist, dass er für eingehende Verbindung offen ist.
  • Obwohl vorstehend eine begrenzte Anzahl an verfügbaren Befehlen und Optionen des PCP-Protokolls angeführt wurde, kann das Protokoll eine große Anzahl an Befehlen und Optionen zur Implementierung der erforderlichen Steuerung von Einrichtungen umfassen. Es wird darauf hingewiesen, dass Befehle und Optionen anderer Protokolle bereitgestellt werden können, indem die Software der Steuereinheit für einen sicheren Zugriff zur Erzeugung und Verarbeitung dieser Befehle modifiziert wird. So können beispielsweise unter dem Befehl CD Optionen vorgesehen sein, um ein Konferenz-Passwort, eine Videoauflösung und eine Videorahmengeschwindigkeit für eine Videokonferenz zu spezifizieren. Es können Befehle hinzugefügt werden, um eine aktuell laufende Konferenz zu erweitern oder Teilnehmer hereinzunehmen, Teilnehmer herauszunehmen, Rechnungsstellungsinformationen von der MCU 2 zu extrahieren und eine Vielzahl von Wartungsaufgaben zur Bestimmung der korrekten Funktionsweise und zum Korrigieren von Fehlern auszuführen. Es können auch Befehle zur Steuerung anderer Einrichtungen als Konferenzeinrichtungen eingeführt werden.
  • Bei einer weiteren, in 6 dargestellten Ausführungsform ist die Netzwerkanordnung an einer entfernten Stelle 3 die gleiche, wie die in 1 gezeigte, wobei die zu steuernde Einrichtung 1, 2 in einem lokalen Netzwerk 6 in einer ,entmilitarisierten Zone’ DMZ zwischen einer einem ungesicherten Netzwerk 4 zugewandten äußeren Firewall 7 und einer ein Firmen-Intranet 9 schützenden inneren Firewall 8 angeordnet ist.
  • Eine Steuereinheit 30 für einen sicheren Zugriff zum Steuern der Einrichtung 1, 2 ist ebenfalls mit dem lokalen Netzwerk 6 verbunden. Die Steuereinheit 30 für einen sicheren Zugriff wird jedoch nicht direkt von einer Steuerstation gesteuert, sondern fungiert als Client-Steuereinheit für eine in der DMZ zwischen der inneren und der äußeren Firewall 12, 13 an der Steuerungs-/Überwachungsstelle angeordnete Umgebungssteuereinheit 31. Bei diese Ausführungsform umfasst die Steuerstation eine Steuerungs-/Überwachungsstation 32.
  • Gemäß 7 erfolgt die Herstellung einer Verbindung zwischen der Steuerungs-/Überwachungsstation 32 und der Umgebungssteuereinheit 31 vollständig parallel zur in den 2 und 3 gezeigten Herstellung der Verbindung zwischen der Client- und der Umgebungssteuereinheit 20, 21. Daher initiiert die Steuerungs-/Überwachungsstation 32 die Verbindung über einen Anschuss 1073 (Schritt s21), die Umgebungssteuereinheit antwortet (Schritt s22), die Steuerungs-/Überwachungsstation bestätigt (Schritt s23) und die SSL/TLS-Verhandlung (Schritt s24) führt zur Herstellung einer authentifizierten Verbindung. Die Herstellung einer Verbindung zur Steuerungs-/Überwachungsstation 32 durch die Umgebungssteuereinheit 31 wird von der inneren Firewall 12 an der Steuerstelle 5 verhindert. Ist sie einmal hergestellt, bleibt die Verbindung zwischen der Steuerungs-/Überwachungsstation 32 und der Umgebungssteuereinheit 31 auf eine zu der vorstehend unter Bezugnahme auf 2 beschriebenen Verbindung zwischen der Client- und der Umgebungssteuereinheit 20, 21 analoge Weise offen.
  • Gemäß 8 erfasst die Client-Steuereinheit 30 beim Auftreten eines Ereignisses an der entfernten Stelle, beispielsweise einer Warnung bei einer Aktivierung eines Elements einer Einrichtung (Schritt s25), das Ereignis (Schritt s26) und öffnet unter Verwendung des PCP über den Anschuss 1073 eine sichere Verbindung zur Umgebungssteuereinheit 31, wie vorstehend beschrieben (Schritt s27). Die das Ereignis betreffenden Informationen werden an die Umgebungssteuereinheit gesendet (Schritt s28), die sie wiederum über die zuvor hergestellte Verbindung an die Steuerungs-/Überwachungsstation 32 zurückübermittelt (Schritt s29) Die Steuerungs-/Überwachungsstation 32 sendet dann die geeigneten Steuerungsinformationen an die Umgebungssteuereinheit 31 zurück (Schritt s30), die sie an die Client-Steuereinheit 30 weiterleitet (Schritt s31). Wie bei der vorstehend beschriebenen Ausführungsform, wird die Nachricht an den geeigneten Gerätetreiber weitergeleitet (Schritt s32), der die PCP-Nachricht in zur Steuerung der Einrichtung 1, 2 erforderliche, gerätespezifische Befehle umwandelt (Schritt s33) und die Befehle an die Einrichtung sendet, wo sie zur Realisierung der erforderlichen Steuerung verwendet werden (Schritt s34). Die Verbindung zwischen der Client- und der Umgebungssteuereinheit 30, 31 wird dann geschlossen (Schritt s35). Sie wird als Reaktion auf weitere unvorhergesehene Ereignisse an der entfernten Stelle erneut geöffnet.
  • Bei diesem Beispiel der Erfindung wird die Herstellung eingehender Verbindungen sowohl mit der Steuerungs-/Überwachungsstation 32 als auch mit der entfernten Stelle 3 verhindert, wodurch ein relativ sicheres Steuerungs- und Überwachungssystem geschaffen wird.
  • Obwohl die entfernte Stelle 3 bei dieser Ausführungsform als mit der Architektur gemäß 1 ausgestattet beschrieben wurde, bei der die Client-Steuereinheit 30 und die Einrichtung 1, 2 in der DMZ angeordnet sind, könnte sie alternativ die Architektur gemäß 2 aufweisen, bei der die Client-Steuereinheit 30 und die Einrichtung 1, 2 mit dem Firmen-Intranet 9 verbunden sind.
  • Bei einer in 9 dargestellten dritten Ausführungsform stimmt die Netzwerkanordnung an einer entfernten Stelle 3 mit der gemäß der in 2 gezeigten Ausführungsform überein, wobei die gleichen Bezugszeichen zur Identifikation der gleichen Merkmale verwendet werden. Wie gemäß 2, ist die zu steuernde Einrichtung 1, 2 an einer entfernten Stelle 3 angeordnet und kann von einer Steuerstelle 5 aus über ein Netzwerk 4 ferngesteuert werden. Im Gegensatz zu der vorstehend unter Bezugnahme auf 2 beschriebenen Ausführungsform lässt die äußere Firewall 7 der entfernten Stelle 3 jedoch keine eingehenden Verbindungen mit der Umgebungssteuereinheit 21 über den Anschuss 1073 zu. Sie ist so konfiguriert, dass sie nur hinausgehende Verbindungen über den Anschuss 1073 zulässt. Dadurch wird durch die Anwendung der gleichen Prinzipien, wie den bei der vorstehend beschriebenen Ausführungsform gemäß 2 zur Aufrechterhaltung der Sicherheit des Firmen-Intranet 9 angewendeten, die Sicherheit der Umgebungssteuereinheit 21 auf ähnliche Weise aufrechterhalten. Ein weiterer Vorteil ist, dass die Konfiguration der äußeren Firewall 7 an jeder entfernten Stelle 3 dadurch vereinfacht wird, dass sie bei Verbindungsanforderungen von einer oder mehreren Steuerstationen 11 nicht geöffnet werden muss, wodurch eine breitere Vielfalt an Anwendungen für die Anordnung ermöglicht wird.
  • Gemäß 9 wird beim Betrieb auf die gleiche Weise, wie vorstehend unter Bezugnahme auf 3 beschrieben, über den Anschuss 1073 eine sichere Verbindung zwischen der Client-Steuereinheit 20 und der Umgebungssteuereinheit 21 hergestellt. Nachdem jedoch keine eingehenden Verbindungen durch die äußere Firewall 7 zugelassen werden, muss die Umgebungssteuereinheit 21 eine sichere Verbindung mit der Steuerstation 11 initiieren, statt dass die Steuerstation 11 die Verbindung mit der Umgebungssteuereinheit 21 herstellt, wie bei den vorstehend beschriebenen Ausführungsformen. Die Umgebungssteuereinheit 21 kann entweder beim Empfang einer Verbindungsanforderung von der Client-Steuereinheit 20 oder zu einem früheren Zeitpunkt zur Herstellung der Verbindung mit der Steuerstation 11 durch die äußere Firewall 7 über den Anschuss 1073 veranlasst werden. Die Verbindung kann unter Verwendung einer ähnlichen Prozedur hergestellt werden, wie der vorstehend beschriebenen zum Verbinden der Client-Steuereinheit 20 mit der Umgebungssteuereinheit 21.
  • In 10 ist ein Prozess zur Herstellung einer Verbindung zwischen der Umgebungssteuereinheit 21 und der Steuerstation 11 gezeigt, der größtenteils mit dem in 3 gezeigten für die Client- und die Umgebungssteuereinheit 20, 21 und dem in 7 gezeigten identisch ist, wobei jedoch die Rollen der Umgebungssteuereinheit und der Steuerungs-/Überwachungsstation vertauscht sind. So sendet die Umgebungssteuereinheit 21 beispielsweise beim Hochfahren, wenn die Umgebungssteuereinheit 21 erstmals gebootet wird, oder beim Empfang oder bei der Beendigung einer Verbindungsanforderung von der Client-Steuereinheit 20 über den Anschuss 1073 eine TCP-Verbindungsanforderung (TCP: Transport Control Protocol) an die Steuerstation 11 (Schritt s31). Unter der Voraussetzung, dass sich die Steuerstation 11 bereits online befindet, fungiert sie als Ser ver, der auf eingehende Verbindungsanforderungen wartet. Empfängt sie die Verbindungsanforderung, sendet sie eine Antwort an die Umqgebungssteuereinheit 21 zurück (Schritt s32), die wiederum eine Bestätigung an die Steuerstation 11 sendet (Schritt s33), was auf eine standardmäßige und allgemein bekannte Weise zur Herstellung einer TCP-Verbindung zwischen beiden führt. Anschließend wird unter Verwendung des Industriestandard Secure Sockets Layer Protocol (SSL-Protokolls) bzw. der aktuellsten, als Transport Layer Security Protocol (TLS-Protokoll) bekannten Version auf eine ebenfalls allgemein wohlbekannte Weise eine gegenseitige Authentifizierungs- und Verschlüsselungseinstellung zwischen der Umgebungssteuereinheit 21 und der Steuerstation 11 ausgeführt (Schritt s34). Ist als Ergebnis dieser Prozedur einmal eine ordnungsgemäß authentifizierte Verbindung zwischen der Umgebungssteuereinheit 21 und der Steuerstation 11 hergestellt, bleibt diese Verbindung vorbehaltlich einer Fehlfunktion der Einrichtung, geplanter Wartungsarbeiten, etc. offen und ist bereit zur Übermittlung von Anweisungen von der Steuerstation 11. Die Umgebungssteuereinheit 21 überprüft die Verbindung durchgehend und stellt sie wieder her, wenn sie verloren geht. Es kann nötig sein, dass sie die Verbindung auf einer planmäßigen Basis fallen lässt und wiederherstellt, wenn die äußere Firewall 7 das Vorhandensein durchgehender Verbindungen nur über eine bestimmte maximale Zeitspanne zulässt.
  • Sind die sicheren Verbindungen zwischen Client- und Umgebungssteuereinheit 20, 21 und zwischen Umgebungssteuereinheit 21 und Steuerstation 11 hergestellt, können über die Umgebungssteuereinheit 21 Vorrichtungssteuernachrichten von der Steuerstation 11 an die Client-Steuereinheit 20 gesendet werden, wie bei den vorhergehenden Ausführungsformen.
  • Soll beispielsweise eine sogenannte „Übernahmeeinrichtung" an der entfernten Stelle 3 gesteuert werden, kann die Umgebungssteuereinheit 21 so aufgebaut sein, dass sie bestimmte Protokollumwandlungen vornimmt, die einen Schnittstellenpunkt zwischen der Steuerstation 11 und der Client-Steuereinheit 20 bilden. Bei diesem Aufbau kann sich die Art des Authentifizierungsschritts s34 gemäß 10 von der des Schritts s4 gemäß 3 insbesondere dann unterscheiden, wenn in jeder Stufe unterschiedliche Protokolle oder Verschlüsselungstechniken verwendet werden.
  • Ausführungsformen der Erfindung wurden im Kontext der Steuerung von Konferenzeinrichtungen und der Überwachung entfernter Ereignisse beschrieben. Für Fachleute ist jedoch offensichtlich, dass die Erfindung auf eine breite Vielfalt von Typen von Ferninteraktionen mit Einrichtungen, einschließlich weiterer spezifischer Beispiele, wie der Steuerung von Rundfunkeinrichtungen und der Steuerung und Überwachung von Sicherheitseinrichtungen, anwendbar ist.

Claims (31)

  1. System zur Fernsteuerung einer oder mehrerer Vorrichtungen (4, 2) über ein Kommunikationsnetzwerk, das eine erste und eine zweite Netzwerkseite und eine Einrichtung (8) zur Steuerung des Zugriffs unter der ersten und der zweiten Seite umfasst, mit einer auf der ersten Netzwerkseite mit dem Netzwerk verbundenen ersten Steuereinheit (21) zum Empfangen von Vorrichtungssteuernachrichten von einer Steuerstation (11) und einer auf der zweiten Netzwerkseite mit dem Netzwerk verbundenen zweiten Steuereinheit (20) zum Empfangen von Vorrichtungssteuernachrichten von der ersten Steuereinheit (21) und zum Steuern der einen bzw. der mehreren Vorrichtungen (112) als Reaktion darauf, wobei die erste Steuereinheit (21) so konfiguriert ist, dass sie die Vorrichtungssteuernachrichten nach der Initiierung einer Verbindung zur ersten Steuereinheit (21) durch die zweite Steuereinheit (20) an die zweite Steuereinheit (20) sendet.
  2. System nach Anspruch 1, bei dem die zweite Steuereinheit die Verbindung durch Senden einer Verbindungsanforderung an die erste Steuereinheit initiiert.
  3. System nach Anspruch 1 oder 2, bei dem die Zugriffssteuereinrichtung so konfiguriert ist, dass sie verhindert, dass Verbindungsanforderungen von der ersten Steuereinheit die zweite Steuereinheit erreichen.
  4. System nach Anspruch 1, 2 oder 3, das so konfiguriert ist, dass eine Verbindung zwischen der ersten und der zweiten Steuereinheit nach dem Empfang der Verbindungsanforderung von der zweiten Steuereinheit durch die erste Steuereinheit gehalten wird, um der ersten Steuereinheit das Senden der Vorrichtungssteuernachrichten an die zweite Steuereinheit zu ermöglichen, wenn die Nachrichten von der ersten Steuereinheit empfangen werden.
  5. System nach Anspruch 4, das so konfiguriert ist, dass die Vorrichtungssteuernachrichten in verschlüsselter Form gesendet werden.
  6. System nach einem der vorhergehenden Ansprüche, bei dem die erste und die zweite Steuereinheit an einem von der Steuerstation entfernten Ort angeordnet sind.
  7. System nach Anspruch 6, bei dem der Kommunikationspfad zwischen der Steuerstation und dem entfernten Ort ein Weitverkehrsnetz (4) umfasst.
  8. System nach Anspruch 7, das ferner eine Zugriffssteuereinrichtung (7) zwischen dem Weitverkehrsnetz und der ersten Steuereinheit umfasst.
  9. System nach einem der vorhergehenden Ansprüche, bei dem die bzw. jede Zugriffssteuereinrichtung eine Firewall umfasst.
  10. System nach Anspruch 8, bei dem die Zugriffssteuereinrichtung (8) und die weitere Zugriffssteuereinrichtung (7) eine innere und eine äußere Firewall umfassen und die ersten Steuereinheit in einer entmilitarisierten Zone zwischen der inneren und der äußeren Firewall angeschlossen ist.
  11. System nach einem der vorhergehenden Ansprüche, bei dem die erste und die zweite Steuereinheit so konfiguriert sind, dass sie über den TCP-Anschluss 1073 (TCP: Transport Control Protocol, Übertragungssteuerprotokoll) kommunizieren.
  12. System nach einem der vorhergehenden Ansprüche, bei dem die Steuerstation so konfiguriert ist, dass sie über die erste und die zweite Steuereinheit ein an der einen bzw. den mehreren Vorrichtungen auftretendes Ereignis betreffende Informationen empfängt.
  13. System nach Anspruch 12, bei dem die Steuerstation so konfiguriert ist, dass sie als Reaktion auf die empfangenen Informationen eine Vorrichtungssteuernachricht erzeugt.
  14. System nach Anspruch 12 oder 13, bei dem die Steuerstation so konfiguriert ist, dass sie eine Verbindung mit der ersten Steuereinheit initiiert, um ihr das Empfangen der Informationen von der ersten Steuereinheit zu ermöglichen.
  15. System nach Anspruch 12 oder 13, bei dem die erste Steuereinheit so konfiguriert ist, dass sie eine Verbindung mit der Steuerstation initiiert, um der Steuerstation das Empfangen der Informationen von der ersten Steuereinheit zu ermöglichen.
  16. System nach Anspruch 15, bei dem die erste Steuereinheit so konfiguriert ist, dass sie nach der Initiierung der Verbindung zur ersten Steuereinheit durch die zweite Steuereinheit aktiviert wird, um die Verbindung zur Steuerstation zu initiieren.
  17. System nach einem der vorhergehenden Ansprüche, bei dem die zweite Steuereinheit eine oder mehrere Vorrichtungstreiber zum Steuern der einen bzw. der mehreren Vorrichtungen umfasst.
  18. Verfahren zur Fernsteuerung einer oder mehrerer Vorrichtungen (1, 2) über ein Kommunikationsnetzwerk, das eine erste und eine zweite Netzwerkseite und eine Einrichtung (8) zur Steuerung des Zugriffs unter der ersten und der zweiten Seite aufweist, wobei das Verfahren umfasst: die Initiierung einer Verbindung zu der auf der ersten Netzwerkseite mit dem Netzwerk verbundenen ersten Steuereinheit (21) durch eine auf der zweiten Netzwerkseite mit dem Netwerk verbundene zweite Steuereinheit (20), das Senden von Vorrichtungssteuernachrichten von einer Steuerstation (11) an die erste Steuereinheit (21) und anschließend von der ersten Steuereinheit (21) an die zweite Steuereinheit (20).
  19. System zur Fernüberwachung einer oder mehrerer Vorrichtungen (1, 2) über ein Kommunikationsnetzwerk, das eine erste und eine zweite Netzwerkseite und eine Einrichtung (8) zur Steuerung des Zugriffs unter der ersten und der zweiten Seite aufweist, mit einer auf der ersten Netzwerkseite mit dem Netwerk verbundenen Überwachungsstation (32) zum Empfangen von die eine bzw. die mehreren Vorrichtungen betreffenden Informationen, einer auf der zweiten Netzwerkseite mit dem Netzwerk verbundenen ersten Steuereinheit (31) zum Empfangen der Informationen und zum Senden der Informationen an die Überwachungsstation, und einer zweiten Steuereinheit (30) zum Überwachen der einen bzw. der mehreren Vorrichtungen (1, 2) und zum Senden der Informationen an die erste Steuereinheit (31); wobei die erste Steuereinheit (31) so konfiguriert ist, dass sie die Informationen nach der Initiierung einer Verbindung zur ersten Steuereinheit (31) durch die Überwachungsstation (32) an die Überwachungsstation (32) sendet.
  20. System nach Anspruch 19, das so konfiguriert ist, dass es die Verbindung zwischen der Überwachungsstation und der ersten Steuereinheit nach dem Empfang der Verbindungsanforderung von der Überwachungsstation durch die erste Steuereinheit aufrechterhält, um der ersten Steuereinheit das Senden der von der ersten Steuereinheit empfangenen Informationen an die Überwachungsstation ohne die Anforderung einer neuen Verbindung zur Überwachungsstation zu ermöglichen.
  21. System nach Anspruch 19 oder 20, bei dem die Überwachungsstation so konfiguriert ist, dass sie als Reaktion auf die empfangenen Informationen Vorrichtungssteuernachrichten erzeugt.
  22. System nach Anspruch 21, das so konfiguriert ist, dass die Vorrichtungssteuernachrichten über die erste und die zweite Steuereinheit and die Vorrichtungen gesendet werden.
  23. System nach einem der Ansprüche 19 bis 22, bei dem die zweite Steuereinheit (30) auf der zweiten Netzwerkseite mit dem Netzwerk verbunden ist.
  24. System nach einem der Ansprüche 19 bis 23, bei dem die erste Steuereinheit an einem Ort (5) bei der Überwachungsstation und die zweite Steuereinheit an einem von der Überwachungsstation entfernten Ort (3) angeordnet ist.
  25. System nach Anspruch 24, bei dem der Kommunikationspfad zwischen der Überwachungsstation und dem entfernten Ort ein Weitverkehrsnetz (4) umfasst.
  26. System nach Anspruch 25, bei dem die erste Steuereinheit (31) in einer entmilitarisierten Zone zwischen einer ersten Firewall (12), die die erste Steuereinheit von der Überwachungsstation trennt, und einer zweiten Firewall (13) angeordnet ist, die die erste Steuereinheit von dem Weitverkehrsnetz trennt.
  27. System nach Anspruch 26, das ferner eine dritte Firewall (7) aufweist, die die zweite Steuereinheit (30) von dem Weitverkehrsnetz (4) trennt.
  28. System nach Anspruch 27, bei dem die dritte Firewall (7) so konfiguriert ist, dass sie keine eingehenden Verbindungsanforderungen an die zweite Steuereinheit zulässt.
  29. System nach einem der Ansprüche 19 bis 28, bei dem die Überwachungsstation (32) und die erste Steuereinheit (31) so konfiguriert sind, dass sie über den TCP-Anschluss 1073 (TCP: Transport Control Protocol, Übertragungssteuerprotokoll) kommunizieren.
  30. Verfahren zur Fernüberwachung einer oder mehrerer Vorrichtungen (1, 2) über ein Kommunikationsnetzwerk, das eine erste und eine zweite Netzwerkseite und eine Einrichtung (12) zur Steuerung des Zugriffs unter der ersten und der zweiten Seite aufweist, wobei das Verfahren umfasst: die Initiierung einer Verbindung zu der auf der zweiten Netzwerkseite mit dem Netzwerk verbundenen ersten Steuereinheit (31) durch eine auf der ersten Netzwerkseite mit dem Netwerk verbundene Überwachungsstation (32), das Senden von die eine bzw. die mehreren Vorrichtungen (1, 2) betreffenden Ereignisinformationen von einer zweiten Steuereinheit (30) an die erste Steuereinheit (31) und anschließend von der ersten Steuereinheit (31) an die Überwachungsstation (32).
  31. Verfahren nach Anspruch 30, das ferner die Erzeugung von Vorrichtungssteuernachrichten zum Steuern der Vorrichtungen als Reaktion auf die empfangenen Ereignisinformationen umfasst.
DE60312138T 2002-03-28 2003-03-21 Sichere fernsteuerung Expired - Lifetime DE60312138T2 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
EP02252324 2002-03-28
EP02252324 2002-03-28
GB0229831A GB0229831D0 (en) 2002-12-20 2002-12-20 Secure remote control
GB0229831 2002-12-20
PCT/GB2003/001202 WO2003084167A1 (en) 2002-03-28 2003-03-21 Secure remote control

Publications (2)

Publication Number Publication Date
DE60312138D1 DE60312138D1 (de) 2007-04-12
DE60312138T2 true DE60312138T2 (de) 2007-11-29

Family

ID=28676397

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60312138T Expired - Lifetime DE60312138T2 (de) 2002-03-28 2003-03-21 Sichere fernsteuerung

Country Status (7)

Country Link
US (1) US20050177637A1 (de)
EP (1) EP1488603B1 (de)
AT (1) ATE355692T1 (de)
AU (1) AU2003215751A1 (de)
CA (1) CA2480662A1 (de)
DE (1) DE60312138T2 (de)
WO (1) WO2003084167A1 (de)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030177390A1 (en) * 2002-03-15 2003-09-18 Rakesh Radhakrishnan Securing applications based on application infrastructure security techniques
US7146420B2 (en) * 2003-11-20 2006-12-05 Square D Company Internet listener/publisher
US20050251855A1 (en) * 2004-05-04 2005-11-10 Hob Gmbh & Co. Kg Client-server-communication system
JP2009505254A (ja) * 2005-08-16 2009-02-05 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ保守方法およびシステム
CA2555719C (en) * 2005-10-31 2010-04-13 Lpi Level Platforms, Inc. A method for providing remote management of computer systems
US8028026B2 (en) * 2006-05-31 2011-09-27 Microsoft Corporation Perimeter message filtering with extracted user-specific preferences
EP2536104A1 (de) 2011-06-14 2012-12-19 Siemens Aktiengesellschaft Fernsteuerung einer technischen Anlage
CN103093601B (zh) * 2012-12-31 2015-09-09 熊猫电子集团有限公司 实现短波电台全功能遥控的方法
GB2523123B (en) * 2014-02-12 2016-04-13 Fijowave Ltd Method and hardware device for remotely connecting to and controlling a private branch exchange
US10347073B2 (en) 2014-05-30 2019-07-09 Igt Canada Solutions Ulc Systems and methods for three dimensional games in gaming systems
JP7131044B2 (ja) * 2018-04-13 2022-09-06 ブラザー工業株式会社 プログラム及び通信システム
US11652790B2 (en) * 2019-12-06 2023-05-16 Servicenow, Inc. Quarantine for cloud-based services

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6104716A (en) * 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
US6202156B1 (en) * 1997-09-12 2001-03-13 Sun Microsystems, Inc. Remote access-controlled communication
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6349336B1 (en) * 1999-04-26 2002-02-19 Hewlett-Packard Company Agent/proxy connection control across a firewall
US20060031927A1 (en) * 2000-08-23 2006-02-09 Masahiro Mizuno Information management system, information management method, and system control apparatus
US6823451B1 (en) * 2001-05-10 2004-11-23 Advanced Micro Devices, Inc. Integrated circuit for security and manageability
US7761531B2 (en) * 2001-06-25 2010-07-20 Nokia Corporation Method and apparatus for providing remote access of personal data
US7058970B2 (en) * 2002-02-27 2006-06-06 Intel Corporation On connect security scan and delivery by a network security authority
US6898557B2 (en) * 2002-05-17 2005-05-24 Hewlett-Packard Development Company, Lp. System and method for remote testing of components

Also Published As

Publication number Publication date
US20050177637A1 (en) 2005-08-11
WO2003084167A1 (en) 2003-10-09
CA2480662A1 (en) 2003-10-09
EP1488603A1 (de) 2004-12-22
EP1488603B1 (de) 2007-02-28
DE60312138D1 (de) 2007-04-12
AU2003215751A1 (en) 2003-10-13
ATE355692T1 (de) 2006-03-15

Similar Documents

Publication Publication Date Title
DE69834566T2 (de) Integrierte kommunikationsarchitektur in einer mobilen vorrichtung
DE102004030864B4 (de) Verfahren zur Kommunikation mit einer über ein Netzwerk anschließbaren Kamera sowie Kamera, die als einzigartiger Instant-Messsenger-User über ein Netzwerk funktioniert
DE3854705T2 (de) Vorrichtung zum Aufbau und Steuern virtueller Netze.
DE10144023B4 (de) Vorrichtung und Verfahren zur automatischen Benutzerprofil-Konfiguration
DE60312138T2 (de) Sichere fernsteuerung
DE102006054399A1 (de) Sicheres Gateway mit Alarmmanager und Unterstützung für eingehend föderierte Identität
DE102007025162A1 (de) Alarmgesteuerte Zugriffskontrolle in einem Unternehmensnetz
DE102014113582A1 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE60316649T2 (de) Konferenzanwendung die keinen bestimmten Verbindungsport verwendet
DE60114186T2 (de) Nachrichten-Vermittler
EP2950199B1 (de) Druckverfahren, anordnung zur realisierung des druckverfahrens sowie ein entsprechendes computerprogramm und ein entsprechendes computerlesbares speichermedium
EP2898649B1 (de) Überwachungssystem mit nachrichtenweiterleitung, verfahren sowie computerprogramm
DE69622276T2 (de) Übertragung von daten zwischen einem hauptrechner und einem terminalrechner
DE102018105495B4 (de) Verfahren und System zum Ermitteln einer Konfiguration einer Schnittstelle
EP1249994B1 (de) Verfahren zum Austausch von Nachrichten und Informationen im Rahmen einer Telefonkonferenz
WO2007118891A1 (de) Verfahren zum beschränken des zugriffs auf daten von gruppenmitgliedern und gruppenverwaltungsrechner
DE102017108017A1 (de) Verfahren zum Führen einer Audio- und/oder Videokonferenz
EP1832132B1 (de) System und verfahren zur vermittlung von daten zwischen einem datenanbieter und einem mobilfunkendgerät
DE10340386B3 (de) Aktualisierung einer einem Benutzer eines Kommunikationsdienstes zugeordneten Anwesenheitsinformation
DE10146397B4 (de) Verfahren, Rechnerprogramm, Datenträger und Datenverarbeitungseinrichtung zum Konfigurieren einer Firewall oder eines Routers
DE10358021B3 (de) Verfahren zum Aufbau von zwei Kommunikationsverbindungen zwischen zwei Benutzern
DE60104672T2 (de) System zur überwachung von terminals
DE60007678T2 (de) Verfahren um einen gesicherten Datenverkehr in einem Rechnernetzwerk zu liefern
DE102006051878B4 (de) Vorrichtung und Verfahren zum Herstellen einer gesicherten Verbindung zwischen einem Endgerät und einem Internetserver
EP2828744B1 (de) Verfahren zum aufbau eines sternförmigen kommunikationsnetzes bestehend aus einem zentralknoten und peripherknoten durch eine vom zentralknoten bereitgestellte web applikation basierend auf hardware identifiern

Legal Events

Date Code Title Description
8364 No opposition during term of opposition