DE102020109294A1 - Verfahren zum Betrieb eines Systems - Google Patents

Verfahren zum Betrieb eines Systems Download PDF

Info

Publication number
DE102020109294A1
DE102020109294A1 DE102020109294.6A DE102020109294A DE102020109294A1 DE 102020109294 A1 DE102020109294 A1 DE 102020109294A1 DE 102020109294 A DE102020109294 A DE 102020109294A DE 102020109294 A1 DE102020109294 A1 DE 102020109294A1
Authority
DE
Germany
Prior art keywords
emt
smgw
connection
proxy server
transparent proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020109294.6A
Other languages
English (en)
Inventor
Thomas Schnee
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Theben AG
Original Assignee
Theben AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Theben AG filed Critical Theben AG
Priority to DE102020109294.6A priority Critical patent/DE102020109294A1/de
Publication of DE102020109294A1 publication Critical patent/DE102020109294A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Bereitgestellt werden ein Verfahren zum Betrieb eines Systems (1), das mindestens ein lokales kontrollierbares Gerät (CLS), mindestens einen externen Server (EMT) und mindestens einen transparenten Proxy-Server (SMGW) umfasst, wobei bei dem Betrieb des Systems eine Verbindung zwischen dem lokalen kontrollierbaren Gerät (CLS) und dem externen Server (EMT) über den transparenten Proxy-Server (SMGW) aufgebaut wird sowie ein System (1) zur Durchführung dieses Verfahrens.

Description

  • Im Rahmen der immer weiter gehenden Digitalisierung von Prozessen gibt es immer mehr Anwendungsfälle, bei denen Prozesse, die in einem privaten Bereich unter Verwendung eines elektronischen Gerätes stattfinden über digitale Kommunikation, insbesondere über das Internet, überwacht und gegebenenfalls gesteuert werden. Ein aktuell intensiv diskutiertes und vorangetriebenes Beispiel für eine solche Anwendung ist das im Rahmen der Energiewende in Deutschland forcierte „Smart Metering“, weshalb auch in dieser Anmeldung eine Terminologie verwendet wird, die auf aus dem Kontext dieser Technologie, beispielsweise aus der Technischen Richtlinie BSI TR TR-03109-1 des Bundesamts für Sicherheit in der Informationstechnik bekannte Bezeichnungen für die Benennung von Komponenten zurückgreift, woraus nicht abzuleiten ist, dass die offenbarten Sachverhalte sich nur auf diese Anwendung beziehen.
  • Systeme, mit denen derartige Prozesse realisiert werden, umfassen üblicherweise mindestens ein zu überwachendes und/oder zu steuerndes Gerät, das im Rahmen dieser Offenbarung als kontrollierbares lokales System oder „Controllable Local System“, alternativ auch abgekürzt als „CLS“ bezeichnet wird, das üblicherweise in ein als „Home Area Network“, alternativ abgekürzt als „HAN“ bezeichnetes Netzwerk im privaten Bereich eingebunden ist, beispielsweise in ein lokales LAN Netz. In vielen praktischen Anwendungen kann das CLS auch eine von mehreren oder eine zentrale Steuerbox sein, die unterschiedlichen Komponenten -z.B. für Smart Home Anwendungen- über unterschiedliche Applikationen oder Kommunikationsprotokolle steuert, beispielsweise Beleuchtungskomponenten über DALI, eine Heizung oder eine Türsteuerung über KNX oder Unterhaltungselektronik über ein Web-Protokoll.
  • Auf dieses CLS soll von mindestens einem, typischerweise als Server konfigurierten, Rechner, der ebenfalls Bestandteil des Systems ist, eines dazu befugten Dritten zugegriffen werden, um Daten auszulesen, die vom CLS aufgenommen werden und/oder um Steuerbefehle zu senden, mit denen das CLS zu bestimmten Aktionen veranlasst wird oder das CLS soll mit diesem Rechner kommunizieren können, etwa um Daten zu übermitteln. Da dieser Rechner in den meisten Fällen zu einem kommerziellen Dienst gehört, der von einer Firma oder Person erbracht wird, wird dieser externe Server im Rahmen dieser Offenbarung als „Externer Marktteilnehmer“, alternativ abgekürzt als EMT, bezeichnet, was aber die Möglichkeit, dass es sich um eine Privatperson handelt, nicht ausschließen soll. Dieser Rechner bzw. Server ist an ein Weitverkehrsnetz, abgekürzt als WAN bezeichnet, angeschlossen, typischerweise erreichbar über das Internet.
  • Naturgemäß ist aus Sicherheitserwägungen ein unmittelbarer, freier Zugriff aus dem WAN auf das HAN unerwünscht. Daher ist ein weiterer zwingend erforderlicher Bestandteil eines solchen Systems ein transparenter Proxy-Server, der insbesondere im Zusammenhang mit Smart-Meter-Applikationen als Smart Meter Gateway bezeichnet wird und für den dementsprechend auch die Abkürzung SMGW verwendet wird. Geschützte, insbesondere TLSgeschützte Kommunikationskanäle in Richtung zum CLS und zum EMT werden in diesem transparenten Proxy-Server terminiert und die jeweils empfangenen Daten werden von dem transparenten Proxy-Server, der auch die Aufgaben einer Firewall erfüllt und die angebundenen Netze voneinander separiert, weitergeleitet. Damit dies von dem transparenten Proxy-Server geleistet werden kann, muss für die einzelnen zulässigen Verbindungen jeweils ein Kommunikationsprofil hinterlegt sein, und sowohl bei der Ergänzung einer zusätzlichen Komponente als auch bei der Änderung von Server-Adressen muss jeweils eine aufwändige Neukonfiguration durchgeführt werden.
  • Die Terminologie des Smart Metering wird nachfolgend auch insoweit für die Beschreibung von Kommunikationsprozessen verwendet, als auf die aus diesem Zusammenhang bekannten Kommunikationsszenarien „HKS3“ für die Beschreibung einer Kommunikation zwischen CLS und EMT, die vom CLS initiiert wird, „HKS4“ für die Beschreibung einer Kommunikation zwischen CLS und EMT, die vom EMT -allerdings in diesem Kontext auch gegebenenfalls indirekt- initiiert wird und „HKS5“ für die Beschreibung einer Kommunikation zwischen CLS und EMT, die vom SMGW initiiert wird, zurückgegriffen wird.
  • Die Aufgabe der Erfindung besteht daher darin, ein Verfahren zum Betrieb eines solchen Systems und ein solches System bereitzustellen, das den Konfigurationsaufwand reduziert und einfacher modifizierbar und/oder rekonfigurierbar ist. Diese Aufgabe wird gelöst mit einem Verfahren mit den Merkmalen des Patentanspruchs 1 und einem System mit den Merkmalen des Patentanspruchs 9. Vorteilhafte Weiterbildungen der Erfindung sind Gegenstand der abhängigen Ansprüche.
  • Das erfindungsgemäße Verfahren dient zum Betrieb eines Systems, das mindestens ein lokales kontrollierbares Gerät, mindestens einen externen Server und mindestens einen transparenten Proxy-Server umfasst, wobei letzterer insbesondere ein Smart Meter Gateway sein kann. Beim Betrieb des Systems wird insbesondere eine Verbindung zwischen dem lokalen kontrollierbaren Gerät und dem externen Server über den transparenten Proxy-Server aufgebaut.
  • Um dies zu ermöglichen, sind in dem Proxy-Server für jedes lokale kontrollierbare Gerät ein erstes Profil für den Verbindungsaufbau des lokalen kontrollierbaren Geräts zum transparenten Proxy-Server, für jeden externen Server ein zweites Profil für den Verbindungsaufbau des transparenten Proxy-Servers zum externen Server und ein Proxy-Profil, welches das jeweilige Profil für den Verbindungsaufbau des lokalen kontrollierbaren Geräts mit dem jeweiligen Profil des externen Servers verbindet, hinterlegt.
  • Ganz allgemein entsprechen solche Profile Dateien, in denen die Kommunikation ermöglichende Informationen, insbesondere Zieladressen und gegebenenfalls weitere die Kommunikation betreffende Informationen gespeichert sind.
  • Wichtig ist dabei, dass das zweite Profil, das Informationen zum Verbindungsaufbau des transparenten Proxy-Servers zum externen Server enthält, einen eindeutigen Bezeichner für das Profil und mindestens eine Zieladresse vom Typ URI mit Schema (scheme) und hierarchischem Teil (hier-part) enthält. Der Aufbau einer solchen Adresse vom Typ URI ist standardisiert und z.B. in der RFC 3986 beschrieben:
    • URI = scheme „:“ hier-part [ „?“ query ] [ „#“ fragment ]
  • Die URI-Schemes (scheme) sind von der IANA.org festgelegt; sie stellen einen Protokollselektor dar, während der hierarchische Teil (hier-part) die Zieladresse festlegt, zu der die Verbindung hergestellt werden soll.
  • Wird nun eine Verbindung zwischen dem transparenten Proxy-Server (SMGW) und einem externen Server (EMT) aufgebaut, so kann dazu das Profil für diesen externen Server (EMT) anhand des logischen Bezeichners identifiziert und eine Zieladresse aus der Liste der darin enthaltenen Zieladressen zum Verbindungsaufbau genutzt werden.
  • Erfindungswesentlich ist dabei, dass zumindest das Schema der zum Verbindungsaufbau verwendeten Zieladresse vom transparenten Proxy-Server dem jeweiligen lokalen kontrollierbaren Gerät, das mit dem entsprechenden externe Server über den transparenten Proxy-Server verbunden werden soll, mitgeteilt wird, und dass das lokale kontrollierbare Gerät anhand des mitgeteilten Schemas
    • - identifiziert, welches Protokoll für die Kommunikation zu dem externen Server (EMT) zu verwenden ist, und
    • - das entsprechende Protokoll lädt oder eine Verbindung zu einer zu dem entsprechenden Protokoll passenden nachgelagerten Applikation herstellt.
  • Mit anderen Worten erhält also das CLS die Informationen über das bei der Verbindung zum EMT zu verwendende Protokoll beim Verbindungsaufbau zwischen dem SMGW und dem EMT.
  • Als Konsequenz aus dieser Vorgehensweise verringert sich der Konfigurationsaufwand erheblich. Insbesondere kann ein Austausch von Adressen des externen Servers oder eine Umstellung des Protokolls, das dieser nutzt, nun einfach durch Anpassung der im zweiten Profil, also dem Profil für den EMT, vorhandenen Adressen erfolgen; eine Anpassung des ersten Profils, also des Profils für das CLS, kann vollständig entfallen.
  • In einer besonders vorteilhaften Ausgestaltung des Verfahrens ist vorgesehen, dass das Schema der zum Verbindungsaufbau verwendeten Zieladresse vom transparenten Proxy-Server SMGW dem jeweiligen lokalen kontrollierbaren Gerät CLS, das mit dem entsprechenden externe Server EMT über den transparenten Proxy-Server SMGW verbunden werden soll, bereits mitgeteilt wird, ehe der Verbindungsaufbau zwischen dem transparenten Proxy-Server SMGW und dem entsprechenden externen Server EMT verbunden werden soll, abgeschlossen ist. Auf diese Weise können Zeitverluste bei der Kommunikation konsequent minimiert werden.
  • Es hat sich ferner als vorteilhaft erwiesen, wenn bei dem Verfahren der Verbindungsaufbau zwischen dem transparenten Proxy-Server SMGW und dem entsprechenden externen Server EMT eine Namensauflösung auf Grundlage der Domain und des Ports umfasst, was im Umkehrschluss bedeutet, dass das Schema ignoriert wird. Diese Vorgehensweise ist insbesondere dann sinnvoll, wenn das Protokoll für diesen Verbindungsaufbau immer gleich ist, beispielsweise weil zur Verschlüsselung das TLS-Protokoll zum Einsatz kommt, wie es für einen Smart Meter Gateway vorgeschrieben ist.
  • Die Weiterleitung der Information über das Schema, das für die Kommunikation zwischen dem lokalen kontrollierbaren Gerät CLS und dem externen Server EMT verwendet werden soll, kann besonders einfach dadurch erfolgen, dass das Schema der zum Verbindungsaufbau verwendeten Zieladresse vom transparenten Proxy-Server SMGW dem jeweiligen lokalen kontrollierbaren Gerät CLS, das mit dem entsprechenden externe Server EMT über den transparenten Proxy-Server SMGW verbunden werden soll, dadurch mitgeteilt wird, dass die beim Verbindungsaufbau zwischen dem transparenten Proxy-Server SMGW und dem entsprechenden externen Server EMT von letzterem an den transparenten Proxy-Server SMGW kommunizierte gebundene URI, die ja insbesondere die Information über das zu verwendende Protokoll in Form des Schemas (scheme) der URI enthält, an das jeweilige lokale kontrollierbare Gerät zurückgeliefert oder weitergeleitet wird.
  • In einer anderen vorteilhaften Weiterbildung des Verfahrens ist vorgesehen, dass in dem hinterlegten zweiten Profil mindestens eines externen Servers EMT als logischer Bezeichner ein vollständiger Name der Domain, also ein Fully Qualified Domain Name FQDN des externen Servers verwendet wird.
  • Besonders bevorzugt ist, wenn zur Kommunikation das SOCKS5-Protokoll verwendet wird und wenn der Verbindungsaufbau zwischen dem transparenten Proxy-Server SMGW und dem entsprechenden externen Server EMT durch ein an den Proxy-Server SMGW gerichtetes SOCKSConnect-Request angestoßen wird. In diesem Fall kann der Adresstyp der Anfrage unmittelbar aus dem SOCKSConnect-Request übernommen werden und eine adresstypspezifische Weiterverarbeitung erfolgen.
  • Der als Adresstyp im Rahmen einer Anfrage zum Verbindungsaufbau übergebene Wert kann vorzugsweise bei der Herstellung einer Verbindung zwischen dem transparenten Proxy-Server SMGW und einem externen Server EMT ausgewertet werden.
  • Zumindest dann, wenn der Adresstyp ein Domainname ist und einem Fully Qualified Domain Name FQDN entspricht, kann das zweite Profil für diesen externen Server EMT anhand des logischen Bezeichners identifiziert werden und die Liste der darin enthaltenen Zieladressen sequentiell abgearbeitet werden, wobei dann die erste erreichbare Zieladresse zum Verbindungsaufbau genutzt wird. Man kann in diesem Fall insbesondere z.B. durch die Reihenfolge der angegebenen Zieladressen sicherstellen, dass im ISO-Schichtenmodell (Layer 7 Modell) eine möglichst hohe oder tiefe Schicht verwendet wird.
  • Das erfindungsgemäße System umfasst mindestens ein lokales kontrollierbares Gerät CLS, mindestens einen externen Server EMT und mindestens einen transparenten Proxy-Server SMGW und zeichnet sich dadurch aus, dass das System zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 8 ausgelegt und eingerichtet ist.
  • Die Erfindung wird nachfolgend anhand von Figuren, die ein Ausführungsbeispiel zeigen, näher erläutert. Es zeigen:
    • 1: Ein Ausführungsbeispiel für ein erfindungsgemäßes System, und
    • 2: ein vereinfachtes Beispiel für einen Verbindungsaufbau, hier für ein HKS3 Kommunikationsszenario.
  • 1 zeigt ein Ausführungsbeispiel für ein erfindungsgemäßes System 1, wie es z.B. im Rahmen einer Smart-Home Anwendung für ein Haus 2 realisiert sein kann. Das System 1 umfasst ein lokales kontrollierbares Gerät CLS, einen externen Server EMT und einen transparenten Proxy-Server SMGW. Das lokale kontrollierbare Gerät CLS ist eine Steuerbox, welche unterschiedliche Komponenten, die in das Smart-Home System integriert sind, bedient, und zwar mit unterschiedlichen Applikationen, die z.B. auch unterschiedlichen Smart-Home-Standards unterfallen können. Im dargestellten Beispiel wird die Beleuchtung des Hauses 2 über DALI mit einer geeigneten Applikation AppDALI vom lokalen steuerbaren Gerät CLS, auf dem die Applikation läuft, kontrolliert, Jalousien und die Heizungsanlage über KNX mit einer geeigneten Applikation AppKNX und der Zugriff auf eine Komponente oder ein Gerät über http mit einer geeigneten Applikation Appweb. Um die externe Steuerung dieser Komponenten von außerhalb des Hauses nur durch Befugte sicher zu ermöglichen, wird eine Verbindung zu dem externen Server EMT über den transparenten Proxy-Server SMGW aufgebaut.
  • Ein vereinfacht dargestelltes Beispiel für eine erfindungsgemäße Vorgehensweise wird nachfolgend unter Beiziehung der schematischen Darstellung der 2 beschrieben. 2 zeigt dabei ein HKS3-Kommunikationsszenario; der wesentliche Unterschied zu einem HKS4- oder HKS5-Kommunikationsszenario liegt jedoch nur darin, dass der Verbindungsaufbau zwischen CLS und SMGW im Schritt 110 im gezeigten Kommunikationsszenario durch das CLS initiiert wird und in den beiden anderen Szenarien durch den transparenten Proxy-Server SMGW.
  • In der schematischen Darstellung der 2 sind die wesentlichen Verfahrensschritte 110, 120, 130, 140a, 140b, die in der Reihenfolge von oben nach unten, aber nicht zwingend unmittelbar nacheinander ohne weitere Zwischenschritte, und teilweise auch miteinander zeitlich überlappend durchlaufen werden, von oben nach unten dargestellt.
  • In 2 sind von links nach rechts jeweils auf gestrichelten Linien liegend unterschiedliche Instanzen dargestellt, die in die Verfahrensabläufe eingebunden sind. Von links betrachte stellen die ersten drei Instanzen unterschiedliche Programme oder Applikationen dar, die alle auf der bzw. durch die CLS-Hardware ausgeführt werden, nämlich die Applikation Appweb , die Applikation AppKNX und der cSocksv5Client 10. Die von links betrachtet vierte Instanz läuft auf dem transparenten Proxy-Server SMGW ab und die von links betrachtet fünfte Instanz auf dem externen Server EMT.
  • Im ersten Schritt 110 wird vom CLS durch den cSocksv5Client 10 eine Verbindung zum SMGW aufgebaut, insbesondere durch ein TCP-Connect zum Port 1080 des SMGW und Aufbau einer TLSgesicherten Verbindung zwischen CLS und SMGW nach den Regeln des SOCKSv5 Protokolls.
  • Anschließend wird im Schritt 120 über die hergestellte TLSgesicherte Verbindung die Verbindungsanfrage, insbesondere als SOCKSConnect-Request, des CLS mit einem bestimmten externen Marktteilnehmer EMT an den transparenten Proxy-Server SMGW übermittelt. Gemäß RFC 1828 enthält diese Anfrage insbesondere im Feld ATYP Informationen zum Adresstyp, der entweder einem der Standards IPv4 oder IPv6 entspricht oder ein Domainname ist, und in den Feldern DST.ADDR und DST.PORT Informationen zu Adresse und Port, über den die Verbindung hergestellt werden soll des angefragten externen Servers EMT. Insbesondere diese Informationen entnimmt der transparente Proxy-Server SMGW aus der Verbindungsanfrage bzw. dem SOCKSConnect-Request.
  • Der SMGW wertet diese Information aus. Ist der Adresstyp IPv4 oder IPv6, so wird im auf dem SMGW hinterlegten zweiten Profil zum Verbindungsaufbau mit einem EMT geprüft, ob der durch die übermittelte Adresse und den übermittelten Port definierte Endpunkt in der Liste zulässiger Verbindungen vorhanden ist.
  • Ist das nicht der Fall, wird der Fehlerstatus 0x2: connection not allowed by ruleset zurückgeliefert.
  • Ist ein entsprechender Eintrag vorhanden, wird versucht, eine Verbindung zu diesem Endpunkt herzustellen. Diese Verbindung wird stets unabhängig vom Schema/scheme über das TLS-Protokoll durchgeführt; die Namensauflösung erfolgt auf Grundlage der Domain und des Ports.
  • Scheitert die Herstellung dieser Verbindung, so wird eine Statusmeldung, die den Fehler identifiziert, an den SMGW zurückgeliefert. Insbesondere kommen als Fehlermeldungen in Frage:
    • • 0x01: general SOCKS server failure
    • • 0x03: Network unreachable
    • • 0x04: Host unreachable
    • • 0x05: Connection refused
    • • 0x08: Address type not supported
  • Ist die Verbindung erfolgreich, wird ein succeeded-Status sowie die gebundene IPv4 bzw. IPv6-Adresse an den transparenten Proxy-Server zurückgeliefert.
  • Wird mit dem SOCKSConnect-Request an den transparenten Proxy-Server SMGW ein Domainname übermittelt, so prüft dieser zunächst, ob es sich um einen Fully Qualified Domain Name FQDN handelt oder um eine URI, also einen Uniform Resource Identifier nach RFC 3986.
  • Handelt es sich um einen Fully Qualified Domain Name FQDN, wird geprüft, ob dieser dem logischen Bezeichner bzw. logical_name des zu dem entsprechenden EMT gehörigen zweiten Profils entspricht. Wenn dies nicht der Fall ist, wird der Fehlerstatus 0x02: connection not allowed by ruleset zurückgeliefert.
  • Entspricht hingegen der Fully Qualified Domain Name FQDN dem logischen Bezeichner bzw. logical_name des zu dem entsprechenden EMT gehörigen zweiten Profils, wird die Liste der in diesem zweiten Profil hinterlegten Adressen dest_adresses der Reihe nach abgearbeitet und jeweils versucht, eine Verbindung mit dem jeweiligen Eintrag aufzubauen, wobei der mit dem Feld DST.PORT übermittelte Port ignoriert wird.
  • Scheitert die Herstellung dieser Verbindung, so wird eine Statusmeldung, die den Fehler identifiziert, an den SMGW zurückgeliefert. Insbesondere kommen als Fehlermeldungen in Frage:
    • • 0x01: general SOCKS server failure
    • • 0x03: Network unreachable
    • • 0x04: Host unreachable
    • • 0x05: Connection refused
    • • 0x08: Address type not supported
  • Wenn der Verbindugsaufbau hingegen gelingt, wird ein succeeded-Status sowie die gebundene IPv4- oder IPv6-Adresse bzw. die gebundene URI zurückgeliefert, mit welcher die Verbindung gemäß dem dest_address aufgebaut wurde.
  • Wird mit dem SOCKSConnect-Request an den transparenten Proxy-Server SMGW als Domainname eine URI, also einen Uniform Resource Identifier nach RFC 3986 übermittelt, wird genau dieser Eintrag in der Liste der dest_adresses des EMT-Profils, also des zweiten Profils, gesucht. Existiert der Eintrag nicht, wird der Fehlerstatus 0x02: connection not allowed by ruleset zurückgeliefert.
  • Existiert der Eintrag, wird versucht, eine Verbindung mit diesem Ziel aufzubauen, wobei die Namensauflösung auf Grundlage der Domain und des Ports erfolgt. Das Protokoll ist immer TLS, weshalb das Schema/scheme für den Verbindungsaufbau ignoriert wird.
  • Scheitert die Herstellung dieser Verbindung, so wird eine Statusmeldung, die den Fehler identifiziert, an den SMGW zurückgeliefert. Insbesondere kommen als Fehlermeldungen in Frage:
    • • 0x01: general SOCKS server failure
    • • 0x03: Network unreachable
    • • 0x04: Host unreachable
    • • 0x05: Connection refused
    • • 0x08: Address type not supported
  • Wenn der Verbindugsaufbau hingegen gelingt, wird ein succeeded-Status sowie die gebundene URI zurückgeliefert, mit welcher die Verbindung gemäß dem dest_address aufgebaut wurde.
  • Wichtig ist, dass in allen Fällen, in denen es zu eine Verbindung kommt, die gebundene Adresse, sei es eine IPv4-Adresse, eine IPv6-Adresse oder eine URI vom EMT dem SMGW übermittelt wird und vom SMGW an den SOCKSv5Client des CLS weitergeleitet wird.
  • Diese Information wird im Schritt 130 im lokalen kontrollierbaren System CLS benutzt, um das jeweilige Schema/scheme der weitergeleiteten oder zurückgelieferten gebundenen Adresse zu bestimmen, und in Abhängigkeit von dem jeweiligen Ergebnis die richtige Applikation gestartet, mit der dann im Schritt 140a bzw. 140b die Kommunikation zwischen CLS und EMT auf die bereits bekannte Art und Weise durchgeführt wird. Anders als bislang muss aber nicht mehr jeweils eine separate Konfiguration für den Austausch von http-Daten und knx-Daten vorhanden sein, um diese Verbindungen aufbauen zu können.
  • Bezugszeichenliste
    • 1
    System
    2
    Haus
    10
    cSocksv5Client
    110, 120, 130, 140a, 140b
    Verfahrensschritt
    AppWeb
    Web-Applikation
    AppDALI
    Dali-Applikation
    AppKNX
    KNX-Applikation
    CLS
    lokales kontrollierbares System
    SMGW
    transparenter Proxy-Server
    EMT
    externer Marktteilnehmer bzw. dessen externer Server

Claims (9)

  1. Verfahren zum Betrieb eines Systems (1), das mindestens ein lokales kontrollierbares Gerät (CLS), mindestens einen externen Server (EMT) und mindestens einen transparenten Proxy-Server (SMGW) umfasst, wobei bei dem Betrieb des Systems eine Verbindung zwischen dem lokalen kontrollierbaren Gerät (CLS) und dem externen Server (EMT) über den transparenten Proxy-Server (SMGW) aufgebaut wird, wobei in dem Proxy-Server (SMGW) für jedes lokale kontrollierbare Gerät (CLS) ein erstes Profil für den Verbindungsaufbau des lokalen kontrollierbaren Geräts (CLS) zum transparenten Proxy-Server (SMGW), für jeden externen Server (EMT) ein zweites Profil für den Verbindungsaufbau des transparenten Proxy-Servers (SMGW) zum externen Server (EMT) und ein Proxy-Profil, welches das jeweilige Profil für den Verbindungsaufbau des lokalen kontrollierbaren Geräts (CLS) mit dem jeweiligen Profil des externen Servers (EMT) verbindet, hinterlegt sind, wobei das zweite Profil einen eindeutigen Bezeichner für das Profil (logical_name) und mindestens eine Zieladresse (dest_addresses) vom Typ URI mit Schema (scheme) und hierarchischem Teil (hier-part) enthält, wobei beim Aufbau einer Verbindung zwischen dem transparenten Proxy-Server (SMGW) und einem externen Server (EMT) das Profil für diesen externen Server (EMT) anhand des logischen Bezeichners (logical name) identifiziert wird und eine Zieladresse (dest_addresses) aus der Liste der darin enthaltenen Zieladressen (dest_addresses) zum Verbindungsaufbau genutzt wird, dadurch gekennzeichnet, dass zumindest das Schema (scheme) der zum Verbindungsaufbau verwendeten Zieladresse vom transparenten Proxy-Server (SMGW) dem jeweiligen lokalen kontrollierbaren Gerät (CLS), das mit dem entsprechenden externe Server (EMT) über den transparenten Proxy-Server (SGMW) verbunden werden soll, mitgeteilt wird, und dass das lokale kontrollierbare Gerät anhand des mitgeteilten Schemas (scheme) - identifiziert, welches Protokoll für die Kommunikation zu dem externen Server (EMT) zu verwenden ist, und - das entsprechende Protokoll lädt oder eine Verbindung zu einer zu dem entsprechenden Protokoll passenden nachgelagerten Applikation herstellt.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Schema (scheme) der zum Verbindungsaufbau verwendeten Zieladresse vom transparenten Proxy-Server (SMGW) dem jeweiligen lokalen kontrollierbaren Gerät (CLS), das mit dem entsprechenden externe Server (EMT) über den transparenten Proxy-Server (SGMW) verbunden werden soll, bereits mitgeteilt wird, ehe der Verbindungsaufbau zwischen dem transparenten Proxy-Server (SMGW) und dem entsprechenden externen Server (EMT) verbunden werden soll, abgeschlossen ist.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass bei dem Verfahren der Verbindungsaufbau zwischen dem transparenten Proxy-Server (SMGW) und dem entsprechenden externen Server (EMT) eine Namensauflösung auf Grundlage der Domain und des Ports umfasst.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das Schema (scheme) der zum Verbindungsaufbau verwendeten Zieladresse vom transparenten Proxy-Server (SMGW) dem jeweiligen lokalen kontrollierbaren Gerät (CLS), das mit dem entsprechenden externe Server (EMT) über den transparenten Proxy-Server (SGMW) verbunden werden soll, dadurch mitgeteilt wird, dass die beim Verbindungsaufbau zwischen dem transparenten Proxy-Server (SMGW) und dem entsprechenden externen Server (EMT) gebundene URI an das jeweilige lokale kontrollierbare Gerät (CLS) zurückgeliefert wird.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass in dem hinterlegten zweiten Profil mindestens eines externen Servers (EMT) als logischer Bezeichner (logical name) ein vollständiger Name der Domain des externen Servers verwendet wird.
  6. Verfahren nach einem der Anspruch 5, dadurch gekennzeichnet, dass der Verbindungsaufbau zwischen dem transparenten Proxy-Server (SMGW) und dem entsprechenden externen Server (EMT) durch ein an den Proxy-Server (SMGW) gerichtetes SOCKSConnect-Request angestoßen wird.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass der Adresstyp aus dem SOCKSConnect-Request übernommen wird.
  8. Verfahren nach Anspruch einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass die Herstellung einer Verbindung zwischen dem transparenten Proxy-Server (SMGW) und einem externen Server (EMT) zumindest dann, wenn der Adresstyp ein Domainname ist und einem Fully Qualified Domain Name (FDQN) entspricht, umfasst, dass das zweite Profil für diesen externen Server (EMT) anhand des logischen Bezeichners (logical name) identifiziert wird, dass die Liste der darin enthaltenen Zieladressen (dest_addresses) sequentiell abgearbeitet wird, und dass die erste erreichbare Zieladresse (dest_addresses) zum Verbindungsaufbau genutzt wird.
  9. System (1), das mindestens ein lokales kontrollierbares Gerät (CLS), mindestens einen externen Server (EMT) und mindestens einen transparenten Proxy-Server (SMGW) umfasst, dadurch gekennzeichnet, dass das System (1) zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 8 ausgelegt und eingerichtet ist.
DE102020109294.6A 2020-04-02 2020-04-02 Verfahren zum Betrieb eines Systems Pending DE102020109294A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020109294.6A DE102020109294A1 (de) 2020-04-02 2020-04-02 Verfahren zum Betrieb eines Systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020109294.6A DE102020109294A1 (de) 2020-04-02 2020-04-02 Verfahren zum Betrieb eines Systems

Publications (1)

Publication Number Publication Date
DE102020109294A1 true DE102020109294A1 (de) 2021-10-07

Family

ID=77749651

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020109294.6A Pending DE102020109294A1 (de) 2020-04-02 2020-04-02 Verfahren zum Betrieb eines Systems

Country Status (1)

Country Link
DE (1) DE102020109294A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022107431B3 (de) 2022-03-29 2023-05-11 Volkswagen Aktiengesellschaft Verfahren zum Nachrüsten einer Socks-Kompatibilität für zumindest eine Anwendung in einem Kraftfahrzeug sowie entsprechend eingerichtetes Kraftfahrzeug
DE102022118721A1 (de) 2022-07-26 2024-02-01 Westnetz Gmbh Schnittstellenvorrichtung und Netzwerksystem

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020001738A1 (en) 2018-06-25 2020-01-02 Telefonaktiebolaget Lm Ericsson (Publ) Communication protocol discover method in constrained application protocol (coap)

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020001738A1 (en) 2018-06-25 2020-01-02 Telefonaktiebolaget Lm Ericsson (Publ) Communication protocol discover method in constrained application protocol (coap)

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Norm BSI TR-03109-1 2019-01-16. Anforderungen an die Interoperabilität der Kommunikationseinheit eines intelligenten Messsystems. Version 1.0.1. URL: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03109/TR03109-1.pdf?__blob=publicationFile&v=3 [abgerufen am 14.06.2019]

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022107431B3 (de) 2022-03-29 2023-05-11 Volkswagen Aktiengesellschaft Verfahren zum Nachrüsten einer Socks-Kompatibilität für zumindest eine Anwendung in einem Kraftfahrzeug sowie entsprechend eingerichtetes Kraftfahrzeug
DE102022118721A1 (de) 2022-07-26 2024-02-01 Westnetz Gmbh Schnittstellenvorrichtung und Netzwerksystem

Similar Documents

Publication Publication Date Title
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE102022208744A1 (de) Sicherer fernzugriff auf geräte in sich überlappenden subnetzen
EP2524488B1 (de) Verfahren zur bedienung, beobachtung und/oder konfiguration eines automatisierungssystems einer technischen anlage
EP3021524B1 (de) Verfahren zum aufbau eines lokalen steuerungskanals zwischen einem steuerungsgerät und einem gebäudeinternen zugangsportal
DE102014219472A1 (de) Verfahren zum Übertragen von Daten, Netzknoten und Netzwerk
DE102020109294A1 (de) Verfahren zum Betrieb eines Systems
DE102019210229A1 (de) Verfahren und Vorrichtung zur Analyse dienste-orientierter Kommunikation
DE10200681B4 (de) Temporäre Zugansberechtigung zum Zugriff auf Automatisierungseinrichtungen
EP2448182A1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
EP1496664A2 (de) Vorrichtung und Verfahren sowie Sicherheitsmodul zur Sicherung eines Datenzugriffs eines Kommunikationsteilnehmers auf mindestens eine Automatisierungskomponente eines Automatisierungssystems
EP2557733A1 (de) Konfiguration eines Kommunikationsnetzwerks
EP3537654B1 (de) Verfahren und system zum ermitteln einer konfiguration einer schnittstelle
EP3560153B1 (de) Verfahren zum betreiben einer datenverarbeitungsanlage, datenverarbeitungsanlage
DE102011082962A1 (de) System und Verfahren zur Bereitstellung eines Steuerungsprogrammcodes
WO2004100498A1 (de) Verfahren zum datenaustausch zwischen netzelementen in netzwerken mit verschiedenen adressbereichen
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
EP3796107A1 (de) Leitsystem und verfahren zum zertifikatsmanagement
DE10331309A1 (de) Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs
EP3614642A1 (de) Verfahren zum einrichten eines streams, verfahren zur bereitstellung von stream-kennungs-informationen, verwendung eines namensdienst-servers, gerät, computerprogramm und computerlesbares medium
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
EP1748619B1 (de) Verfahren zum Aufbau einer direkten, netzübergreifenden und abhörsicheren Kommunikationsverbindung
EP4152689A1 (de) Verfahren, computerprogrammprodukt und vorrichtung zur erstellung eines zertifikates für die sicheren bereitstellung von diensten
EP4423981A1 (de) Verfahren zur sicheren bereitstellung eines dienstes durch eine zentrale bereitstellungsinstanz und gerät
DE60219778T2 (de) Vorrichtung und verfahren zur kommunikation zwischen geräten mit gemeinsamen datensätzen
EP4124000A1 (de) Verfahren, computerprogrammprodukt sowie system zur bereitstellung von diensten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012240000

Ipc: H04L0041000000