DE10307269A1 - Vorrichtungsspezifische Brandmauer - Google Patents

Vorrichtungsspezifische Brandmauer

Info

Publication number
DE10307269A1
DE10307269A1 DE10307269A DE10307269A DE10307269A1 DE 10307269 A1 DE10307269 A1 DE 10307269A1 DE 10307269 A DE10307269 A DE 10307269A DE 10307269 A DE10307269 A DE 10307269A DE 10307269 A1 DE10307269 A1 DE 10307269A1
Authority
DE
Germany
Prior art keywords
file
processor
packet
characteristic
package
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10307269A
Other languages
English (en)
Inventor
Travis J Parry
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of DE10307269A1 publication Critical patent/DE10307269A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Accessory Devices And Overall Control Thereof (AREA)
  • Computer And Data Communications (AREA)

Abstract

Ein vorrichtungsspezifisches Filterverfahren umfaßt ein Empfangen eines Pakets von einem Netz, ein Auswerten des Pakets, um zu bestimmen, ob eine Datei desselben eine oder mehrere unerwünschte Charakteristika und/oder erwünschte Charakteristika aufweist oder nicht, und ein Steuern der weiteren Übertragung und/oder Verarbeitung von einer oder mehreren Dateien des Pakets, basierend auf einer solchen Auswertung. Das vorrichtungsspezifische Filterverfahren kann durch eine Destinationsvorrichtung, wie z. B. einen Drucker, für das übertragene Paket oder durch einen Computer, der einer Destinationsvorrichtung zugeordnet ist, vorgenommen werden. Die Programme, Vorrichtungen und Systeme, die das Filterverfahren vornehmen, sind ebenfalls offenbart.

Description

  • Die vorliegende Erfindung bezieht sich allgemein auf Verfahren und eine Vorrichtung zum Bereitstellen einer Sicherheit für Drucker und spezieller auf Filterprogramme, die auch als "Brandmauern" (Firewalls) bezeichnet werden, um zu verhindern, daß Dateien mit bestimmten Charakteristika gedruckt werden.
  • Wenn ein Computer eine Datei an einen Drucker eines Netzes (z. B. eines LAN (LAN = local area network = lokales Netz)) sendet, ist die Datei, die Informationen über eine Position, wo die Datei gespeichert ist, die Länge der Datei und den Typ der Datei umfaßt, typischerweise ein Teil eines sogenannten "Pakets", das an den Drucker übertragen wird. Daneben umfaßt das Paket Informationen über die Quelle der Datei (d. h. den Computer, dem die Datei entstammte). Das Paket identifiziert auch den benannten Drucker, an den die Datei und das Paket, von dem sie ein Teil ist, übertragen werden, sowie andere Informationen, die sich darauf beziehen, wie die Datei gedruckt werden soll.
  • Der Server eines LAN kann konfiguriert sein, um den Zugriff von bestimmten Arbeitsstationen oder Benutzern auf spezifische Vorrichtungen des LAN einzuschränken. Die Zugreifbarkeit auf einen bestimmten Drucker könnte beispielsweise auf die Benutzer beschränkt sein, die Mitglieder einer spezifischen Gruppe sind. Nichtsdestotrotz ist dem Erfinder keine Programmierung für LAN-Server bekannt, die die Typen von Dateien einschränkt, die von einer Arbeitsstation des LAN zu einem Drucker des LAN gelangen können.
  • Wenn undruckbare Dateien, wie z. B. ausführbare Dateien (z. B. Dateien, die die Extension ".exe" umfassen), Treiberdateien (z. B. Dateien mit Extensionen wie ".dll", ".drv" etc.), Konfigurationsdateien (z. B. Dateien mit ".cfg"-Extensionen), Audiodateien, Videodateien und dergleichen, an einen Netzdrucker gesendet werden, können diese undruckbaren Dateien Positionen in der Warteschlange für diesen Drucker besetzen, wodurch verhindert wird, daß anschließend gesendete Dateien gedruckt werden, bis ein autorisierter Benutzer oder Netzwerkadministrator das Problem entdeckt und die Druckwarteschlange räumt.
  • Zusätzlich ist es eventuell nicht wünschenswert, die Übertragung von verschiedenen Typen von Dateien einschließlich einiger Dateien, die an E-Mails angehängt sind oder die an eine Arbeitsstation eines LAN über das Internet übertragen werden, an andere Vorrichtungen auf dem LAN, wie z. B. die Drucker desselben, zu erlauben. Speziell werden Computerviren, die die die elektronischen Komponenten der Drucker, wie z. B. Prozessoren und Speicher derselben, ins Ziel fassen, überlegener und immer gefährlicher.
  • Aufgrund von Belangen bezüglich der Vorrichtungsauslastung, wie z. B. Vorrichtungsarbeitslast zu bestimmten Tageszeiten oder Überwältigen einer Warteschlange einer Vorrichtung mit einer großen Anzahl von Dateien, die verarbeitet werden sollen, kann es wünschenswert sein, die Übertragung von Dateien an eine Vorrichtung oder die Verarbeitung von Dateien durch die Vorrichtung einzuschränken.
  • Es ist für einige Netzbenutzer nicht unüblich, die Verwendung einer speziellen Dateidestinationsvorrichtung (z. B. eines Druckers) oder eine Sammlung von Destinationsvorrichtungen eines Netzes zu mißbrauchen. Dementsprechend kann es wünschenswert sein, die Anzahl von kumulativen Größen von Dateien, die durch einen speziellen Benutzer oder von einer speziellen Arbeitsstation an eine spezifische Destinationsvorrichtung übertragen werden, einzuschränken. Alternativ kann es wünschenswert sein, die Gesamtanzahl von Dateien einzuschränken, die von einer speziellen Arbeitsstation oder einem Netzbenutzer über einen spezifizierten Zeitraum übertragen werden können.
  • Während Filterprogramme oder Brandmauern in weiten Kreisen Verwendung finden, um zu verhindern, daß unerwünschte Gäste auf die Computer und Netze zugreifen, sowie um zu verhindern, daß unerwünschte Dateitypen ihren Weg zu verschiedenen Netzvorrichtungen finden und spezifizierte Benutzer auf bestimmte Netzvorrichtungen zugreifen, sind dem Erfinder keine vorrichtungsspezifischen Filterprogramme oder Brandmauern zur Einschränkung des Zugriffs auf spezielle Vorrichtungen auf einem Netz, wie z. B. die Drucker desselben, bekannt.
  • Dementsprechend besteht ein Bedarf an einem Verfahren und einer Vorrichtung, durch die Pakete, die Dateien umfassen, die gedruckt werden sollen, vor dem Drucken ausgewertet oder gescreent (gesiebt) werden können, und um zu verhindern, daß, basierend auf einem solchen Screening, die Dateien der Pakete mit zumindest einer vorbestimmten unerwünschten Charakteristik gedruckt werden.
  • Es ist die Aufgabe der vorliegenden Erfindung, eine vorrichtungsspezifische Brandmauer zu schaffen, die ein unerwünschtes Zugreifen auf Arbeitsstationen in einem Netz oder Überschwemmen einer Druckvorrichtung mit einer übermäßigen Anzahl an Druckaufträgen verhindert.
  • Diese Aufgabe wird durch ein Drucksystem gemäß Anspruch 1, ein vorrichtungsspezifisches Filterverfahren gemäß Anspruch 11 sowie ein System zum Filtern einer Datei gemäß Anspruch 20 gelöst.
  • Die vorliegende Erfindung umfaßt ein Filtern von unerwünschten Paketen, die Dateien umfassen, die gedruckt werden sollen, indem die Charakteristika von jedem Paket, das eine Datei, die gedruckt werden soll, umfaßt, ausgewertet oder gescreent werden, und, basierend auf einem solchen Screening, ein Identifizieren von Paketen mit zumindest einer vorspezifizierten unerwünschten Charakteristik.
  • Dieses Filtern kann verhindern, daß die Dateien von Paketen, die zumindest eine vorspezifizierte unerwünschte Charakteristik aufweisen sollen, gedruckt werden. Alternativ kann das Filtern ein Drucken der Dateien von Paketen, die zumindest eine vorspezifizierte, erwünschte Charakteristik aufweisen, ermöglichen.
  • Bei einem Aspekt umfaßt die vorliegende Erfindung ein Filterverfahren. Ein Paket, das an einen Drucker gesendet wird, wird ausgewertet, um eine oder mehrere der verschiedenen Charakteristika desselben zu bestimmen, einschließlich und einschränkungslose des Typs von jeder Datei, die in dem Paket umfaßt ist, spezieller Zeichenfolgen von Dateien (z. B. jenen Zeichenfolgen, die bei üblichen Computerviren vorzufinden sind), der Identität des Computers, von dem der Druckbefehl initiiert wurde, der Größe von jeder Datei in dem Paket und des Zeitpunkts des Tages, wenn das Paket versendet wird. Eine oder mehrere der identifizierten Charakteristika kann dann ausgewertet werden. Bei einer Variation des Verfahrens wird verhindert, daß Dateien, die eine oder mehrere Charakteristika aufweisen, die unerwünscht sein sollen, gedruckt werden. Bei einer anderen Variation umfaßt das Verfahren das Ermöglichen, daß die Dateien des Pakets, die Charakteristika aufweisen, die erwünscht sein sollen, gedruckt werden. Wenn mehrere Paketcharakteristika berücksichtigt werden, können eine bestimmte Kombination aus diesen Variationen verwendet werden, um zu bestimmen, ob die Datei eines Pakets gedruckt werden darf oder nicht.
  • Bei einem weiteren Aspekt umfaßt die vorliegende Erfindung ein Filterprogramm oder eine sogenannte "Brandmauer". Das Filterprogramm kann als Software verkörpert sein, die durch eine Speichervorrichtung oder auf einem Speichermedium (z. B. einer Diskette, einem CD-ROM (CD-ROM = compact disc read-only memory = Kompaktdisk-Nur-Lese-Speicher), einer Festplatte etc.), eine Firmware oder eine programmierte Hardware gespeichert ist, und kann durch den Prozessor eines Druckers oder durch den Prozessor eines Computers, wie z. B. einen Server, der dem Drucker zugeordnet ist, ausgeführt werden.
  • Andere Aspekte der Erfindung umfassen Vorrichtungen und Systeme, die den Netzen zugeordnet sind und mit denen ein Filterprogramm gemäß der vorliegenden Erfindung verwendet werden kann. Ein exemplarisches Ausführungsbeispiel einer solchen Vorrichtung oder eines solchen Systems ist ein Drucker oder Drucksystem. Ein Drucksystem, das die Lehren der vorliegenden Erfindung aufweist, umfaßt einen Drucker und das Filterprogramm. Unter anderem umfaßt der Drucker einen Prozessor und eine Druckkomponente. Eine Datei, die gedruckt werden soll, wird als Teil eines Pakets durch eine Quelle außerhalb des Druckers übertragen. Nach Empfangen eines Pakets durch den Prozessor bewirkt das Filterprogramm, daß der Prozessor bestimmte, vorspezifizierte Charakteristika des Pakets auswertet. Wenn das Paket keine unerwünschten Charakteristika aufweist und/oder ein oder mehrere erwünschte Charakteristika aufweist, wertet der Prozessor das Paket weiter aus, das, neben der Datei, die gedruckt werden soll, Anweisungen umfassen kann, die sich auf das Drucken der Datei beziehen (z. B. Informationen über die Quelle von Blättern aus Papier oder andere Medien, auf denen das Drucken vorgenommen werden soll, Informationen über die Ausrichtung, in der die Datei auf die Blätter gedruckt werden soll, Informationen darüber, ob das Drucken auf einer oder beiden Seiten der Blätter vorgenommen werden soll, die Anzahl von Kopien, die gedruckt werden sollen, ob mehrere gedruckte Kopien der Datei zusammengestellt werden sollen oder nicht etc.) und bezüglich der Steuerungsoperationen der Druckkomponente, die die Datei auf ein oder mehrere Blätter von Papier oder ein anderes Medium druckt.
  • Neben einem Drucker und einem Filterprogramm umfaßt ein weiteres Ausführungsbeispiel des Drucksystems gemäß der vorliegenden Erfindung einen externen Computer, wie z. B. einen vorrichtungsspezifischen oder zweckgebundenen Server oder einen Netzserver in Kommunikation mit dem Prozessor des Druckers. Das Filterprogramm wird durch einen Prozessor des externen Computers und nicht durch den Prozessor des Druckers ausgeführt. Dementsprechend wird ein Paket, das eine Datei umfaßt, die gedruckt werden soll, durch den Computerprozessor unter Steuerung des Filterprogramms nach einer oder mehreren unerwünschten Charakteristika und/oder einer oder mehreren erwünschten Charakteristika ausgewertet. Nach Genehmigung durch das Filterprogramm wird das Paket an den Prozessor des Druckers übertragen. Sobald der Druckerprozessor das Paket empfangen hat, werden andere Informationen übertragen, da der Prozessor des Druckers einen Teil des Pakets auswerten und der Prozessor bewirken kann, daß die Druckkomponente des Druckers eine sichtbare Version der Datei auf ein oder mehrere Blätter von Papier oder andere Medien druckt.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend, Bezug nehmend auf die beiliegenden Zeichnungen näher läutert. Es zeigen:
  • Fig. 1 ein Flußdiagramm, das einen exemplarischen Filterprozeß darstellt, der die Lehren der vorliegenden Erfindung beinhalte,
  • Fig. 2 eine schematische Darstellung des Verfahrens, das im Flußdiagramm von Fig. 1 dargestellt ist,
  • Fig. 3 ein Flußdiagramm, das ein erstes Verfahren zum Auswerten von einer oder mehreren Charakteristika eines Pakets darstellt, das eine Datei umfaßt, die gedruckt werden soll,
  • Fig. 4 ein Flußdiagramm, das ein zweites Verfahren zum Auswerten von einer oder mehreren Charakteristika eines Pakets darstellt, das eine Datei umfaßt, die gedruckt werden soll,
  • Fig. 5 ein Flußdiagramm, das ein drittes Verfahren zum Auswerten von einer oder mehreren Charakteristika eines Pakets darstellt, das eine Datei umfaßt, die gedruckt werden soll,
  • Fig. 6 eine schematische Darstellung eines ersten Ausführungsbeispiels eines Drucksystems gemäß der vorliegenden Erfindung und
  • Fig. 7 eine schematische Darstellung eines zweiten Ausführungsbeispiels eines Drucksystems gemäß der vorliegenden Erfindung.
  • Unter Bezugnahme auf die Zeichnung Fig. 1 und 2 umfaßt ein Aspekt der vorliegenden Erfindung ein Verfahren zum Filtern von Dateien, die über ein Netz 30 von einem Quellencomputer 32 an eine andere Vorrichtung 36 des Netzes 30 übertragen werden. Der Prozeßfluß eines exemplarischen Ausführungsbeispiels eines Filterverfahrens gemäß der vorliegenden Erfindung ist im Flußdiagramm von Zeichnung Fig. 1 und der schematischen Darstellung von Zeichnung Fig. 2 dargestellt. Beim Bezugszeichen 12 von Zeichnung Fig. 1 wird ein Paket 40 durch einen Quellencomputer 32 oder eine Arbeitsstation eines Netzes 30 mit Anweisungen erzeugt, daß das Paket 40 an eine andere Vorrichtung 36 des Netzes 30, wie z. B. einen Drucker, gesendet werden soll.
  • Das Paket 40 umfaßt zumindest eine übertragene Datei 42 sowie Identifizierer 44, 46 für sowohl den Quellencomputer 32 als auch die Vorrichtung 36. Zusätzlich kann das Paket 40 Informationen 48 über eine beliebige Maßnahme umfassen, die im Hinblick auf jede übertragene Datei 42 desselben ergriffen werden soll. Wenn nur z. B. die Vorrichtung 36, an die das Paket 40 übertragen werden soll, einen Drucker aufweist, und das Paket 40 eine Datei 42 umfaßt, die durch denselben gedruckt werden soll, können die Informationen 48 Anweisungen für den Drucker umfassen, die sich auf eine der nachfolgenden Aufzählungen beziehen: die Quelle der Blätter aus Papier oder anderer Medien, auf denen das Drucken ausgeführt werden soll, Informationen über die Ausrichtung, in der die Datei 42 auf die Blätter gedruckt werden soll, Informationen darüber, ob ein Drucken auf einer Seite oder beiden Seiten der Blätter vorgenommen werden soll, die Anzahl der Kopien, die gedruckt werden sollen, egal ob mehrere gedruckte Kopien der Datei zusammengestellt werden sollen oder nicht, oder dergleichen.
  • Anschließend wird bei Bezugszeichen 14 der Zeichnung Fig. 1 das Paket 40 durch den Quellencomputer 32 auf das Netz 30 zur Übertragung an die Vorrichtung 36 ausgegeben. Bei Bezugszeichen 16 von Zeichnung Fig. 1, die "stromaufwärts" von einer beliebigen Weiterverarbeitung oder Verwendung einer Datei 42 des Pakets 40 oder bevor das Paket 40 seine endgültige Destination, d. h. die Vorrichtung 36, erreicht auftritt, werden eine oder mehrere Charakteristika des Pakets ausgewertet. Diese ausgewerteten Charakteristika können ein oder mehrere unerwünschte Charakteristika, ein oder mehrere erwünschte oder erforderliche Charakteristika oder eine bestimmte Kombination aus denselben sein.
  • Unter Bezugnahme auf das Flußdiagramm der Zeichnung Fig. 3 kann das Paket 40 (Fig. 2) nach einer oder mehreren unerwünschten Charakteristika bei Bezugszeichen 24 ausgewertet werden. Beispiele von unerwünschten Charakteristika, die das Paket 40 umfassen kann und die einer Auswertung unterzogen werden können, umfassen einschränkungslos bestimmte Dateitypen (z. B. Dateitypen, die nicht gedruckt werden können, z. B. Dateien mit .exe-, .dll-, .cfg- oder .vbs- Extensionen, Audiodateien, Videodateien etc.), eine Datei, die eine spezielle Zeichenfolge umfaßt (z. B. eine Zeichenfolge, die für einen oder mehrere Computerviren oder vorrichtungsspezifische Viren eindeutig ist), einen Identifizierer für einen vorspezifizierten Quellencomputer 32, einen Identifizierer für einen vorspezifizierten Benutzer, eine Dateigröße, die eine maximale Schwelle überschreitet, einen zeitaufwendigen Befehl für die Vorrichtung 36 (z. B. einen Befehl, daß eine große Anzahl von Kopien gemacht werden soll, einen komplexen Druckbefehl etc.), den Zeitpunkt, wann das Paket 40 übertragen werden soll, oder dergleichen. Wenn das Paket 40 ein oder mehrere unerwünschte Charakteristika umfaßt, fließt der Prozeß zu Bezugszeichen 20 von Zeichnung Fig. 1, wo die weitere Übertragung oder Verarbeitung des Pakets 40 oder einer Datei 42 desselben beendet wird. Ansonsten (d. h. wenn das Paket 40 keine der vorspezifizierten, unerwünschten Charakteristika aufweist) fließt der Prozeß zu Bezugszeichen 22 von Zeichnung Fig. 1.
  • Als eine Alternative zum Prozeß, der in Zeichnung Fig. 3 dargestellt ist, kann der Prozeß bei Bezugszeichen 18 von Zeichnung Fig. 1 eine Auswertung umfassen, ob das Paket 40 ein oder mehrere erwünschte oder erforderliche Charakteristika umfaßt oder nicht, wie in der Zeichnung Fig. 4 gezeigt ist. Beispiele von erwünschten oder erforderlichen Charakteristika können einen Identifizierer für den Quellencomputer 32, der einem Identifizierer eines vordefinierten Satzes von Quellencomputern entspricht, einen Identifizierer für einen Benutzer, der einem Identifizierer eines vorspezifizierten Satzes von Benutzern entspricht, ein Paßwort, einen vorspezifizierten Dateityp, wie durch eine Extension des Namens der Datei 42 angezeigt ist, oder dergleichen umfassen, müssen jedoch nicht auf dieselben beschränkt sein. Bei Bezugszeichen 26 von Zeichnung Fig. 4 wird dahingehend eine Bestimmung vorgenommen, ob das Paket 40 jede vorspezifizierte, erwünschte Charakteristik umfaßt oder nicht, die für ein Paket 40 erforderlich ist, um an die Vorrichtung 36 übertragen zu werden, oder die für die Vorrichtung 36 erforderlich ist, um eine Datei 42 des Pakets 40 zu verarbeiten. Für die Pakete 40, die nicht jede erwünschte oder erforderliche Charakteristik umfassen, fließt der Prozeß zu Bezugszeichen 20 von Zeichnung Fig. 1. Wenn das Paket 40 bei der Alternative jede vorspezifizierte, erwünschte Charakteristik umfaßt, fließt der Prozeß zu Bezugszeichen 22 von Zeichnung Fig. 1.
  • Als eine weitere Alternative des Prozesses, die bei Bezugszeichen 18 von Zeichnung Fig. 1 vorgenommen werden kann, kann jedes Paket 40 nach sowohl erwünschten als auch unerwünschten Charakteristika ausgewertet werden. Ein exemplarischer Prozeßfluß dieser Alternative ist in Zeichnung Fig. 5 dargestellt. Bei Bezugszeichen 24 von Zeichnung Fig. 5 wird ein Paket 40 (Fig. 2) ausgewertet, um zu bestimmen, ob es beliebige unerwünschte Charakteristika aufweist oder nicht. Ist dies der Fall, fließt der Prozeß zu Bezugszeichen 20 von Zeichnung Fig. 1. Wenn das Paket 40 frei von beliebigen unerwünschten Charakteristika ist, wird der Prozeß bei Bezugszeichen 26 von Zeichnung Fig. 5 fortgesetzt, wo dahingehend eine Bestimmung vorgenommen wird, ob ein Paket 40 jede erwünschte oder erforderliche Charakteristik, die vorspezifiziert worden ist, aufweist oder nicht. Ist dies nicht der Fall, fließt der Prozeß zu Bezugszeichen 20 von Zeichnung Fig. 1. In dem Fall, daß ein Paket 40 keine der vorspezifizierten, unerwünschten Charakteristika aufweist und jede der vorspezifizierten, erwünschten oder erforderlichen Charakteristika aufweist, fließt der Prozeß zu Bezugszeichen 22 von Zeichnung Fig. 1.
  • Wenn der Prozeß von der Zeichnung Fig. 3, 4 oder 5 zum Bezugszeichen 20 von Zeichnung Fig. 1 zurückkehrt, wird eine weitere Übertragung des Pakets 40 beendet oder die Vorrichtung 36 wird angewiesen, die gewünschte Aktivität auf einer oder mehrere Dateien 42 des Pakets 40 nicht auszuführen. In jedem Fall kann verhindert werden, daß sich das Paket 40 weiterhin in einer beliebigen Komponente der Vorrichtung 36 befindet.
  • Optional kann bei Bezugszeichen 21 von Zeichnung Fig. 1 eine Nachricht erzeugt und an den Quellencomputer 32 gesendet werden, die den Benutzer desselben informiert, daß die gewünschte Übertragung oder Maßnahme beendet wurde. Eine solche Nachricht kann Informationen darüber umfassen, warum die Übertragung und/oder Bearbeitung des Pakets 40 oder einer oder mehrerer Dateien 42 desselben beendet wurde, was natürlich jeder unerwünschten Charakteristik des Pakets 40 oder jeder erwünschten oder erforderlichen Charakteristik, die das Paket 40 nicht aufweist, entsprechen kann.
  • Wenn bei der Alternative der Prozeß von Zeichnung Fig. 3, 4 oder 5 zum Bezugszeichen 22 von Zeichnung Fig. 1 zurückkehrt, wird das Paket 40 an die Vorrichtung 36 übertragen, und es können beliebige erwünschte Prozesse (z. B. Drucken) auf einer oder mehreren Dateien 42 des Pakets 40 durchgeführt werden.
  • Die vorliegende Erfindung umfaßt auch ein Programm oder eine Gruppe von Programmen, durch die ein Verfahren, das die Lehren der vorliegenden Erfindung beinhaltet, ausgeführt werden kann. Solche Programme können als Software verkörpert sein und daher auf einem oder mehreren Speicherungsmedien beibehalten werden, wie z. B. einer Festplatte, einer Diskette, einem CD-ROM, einem RAM (RAM = random access memory = Direktzugriffsspeicher) oder dergleichen. Alternativ können Programme gemäß der vorliegenden Erfindung in der Form einer Firmware oder einer programmierten oder programmierbaren Hardware sein.
  • Ein solches Programm kann natürlich in einer Programmiersprache geschrieben sein, die von jedem Prozessor, mit dem das Programm verwendet werden soll, verstanden wird. Ein Programm gemäß der vorliegenden Erfindung kann als Software, die auf einer Speicherungsvorrichtung beibehalten wird, die einem Prozessor zugeordnet ist und auf die durch diesen Prozessor zugegriffen werden kann, als Firmware oder als eine programmierte Hardware verkörpert sein. Jedes dieser Ausführungsbeispiele der Programme sowie die Art und Weise, in der jeder dieser Typen von Programmen erzeugt und verwendet werden kann, sind in der Technik hinreichend bekannt.
  • In Zeichnung Fig. 6 ist ein Drucker 50 schematisch dargestellt, der die lehren der vorliegenden Erfindung umfaßt. Der Drucker 50 umfaßt einen Prozessor 52 und eine Druckkomponente 54 in Kommunikation mit und unter der Steuerung von Prozessor 52. Zusätzlich umfaßt der Drucker 50 einen Kommunikationsport 56, der mit dem Prozessor 52 in einer solchen Weise kommuniziert, um die Kommunikation zwischen dem Prozessor 52 und den Vorrichtungen außerhalb des Druckers 50, wie z. B. einem Server und verschiedener anderer Vorrichtungen des Netzes 30 (Fig. 2), einzurichten. Der Drucker 50 kann auch eine oder mehrere Speichervorrichtungen 58, wie z. B. einen RAM, eine Festplatte, ein Plattenlaufwerk (z. B. ein Diskettenlaufwerk, ein CD-ROM-Laufwerk, ein Bandlaufwert etc.) oder dergleichen, umfassen. Alternativ oder zusätzlich kann der Drucker 50 eine Firmware 60 umfassen.
  • Ein Filterprogramm, das konfiguriert ist, um zu bewirken, daß der Prozessor 52 des Druckers 50 ein Filterverfahren gemäß der vorliegenden Erfindung vornimmt, kann durch eine Speichervorrichtung 58 oder eine Firmware 60 des Druckers 50 gespeichert sein. Der Prozessor 52 ist konfiguriert, um ein solches Filterprogramm nach dem Empfangen eines Pakets 40 (Fig. 2) vom Netz 30 (Fig. 2) durch den Kommunikationsport 56 auszuführen. Wenn das Paket 40 die Anforderungen des Filterprogramms erfüllt (d. h. unerwünschte Charakteristika nicht aufweist und/oder jede erwünschte oder erforderliche Charakteristik aufweist), kann der Prozessor 52 bewirken, daß eine oder mehrere Dateien 42 des Pakets 40 durch die Druckkomponente 54 des Druckers 50 gedruckt wird.
  • Ein weiteres exemplarisches Ausführungsbeispiel eines Drucksystems 70 gemäß der vorliegenden Erfindung ist in Zeichnung Fig. 7 dargestellt. Das Drucksystem 70 umfaßt einen Drucker 50' und einen Server 72. Der Drucker 50' umfaßt einen Prozessor 52' und eine Druckkomponente 54', die in Kommunikation mit dem Prozessor 52' ist und die konfiguriert ist, um das Drucken der Dateien auf Blätter von Medien, wie z. B. Papier, vorzunehmen. Ein Kommunikationsport 56' des Druckers 50' ist ebenfalls in Kommunikation mit dem Prozessor 52' und erleichtert die Übertragung von Signalen, wie z. B. Paketen 40 (Fig. 2), zwischen dem Prozessor 52' und externen Vorrichtungen, wie jenen des Netzes 30 (Fig. 2).
  • Der Server 72 kann einen zentralen Netzserver aufweisen oder für eine Verwendung mit dem Drucker 50' dediziert sein. In jedem Fall dient der Server 72 als ein Netzübergang (bzw. "Gateway"), durch den die Pakete 40 gelangen müssen, bevor sie an den Drucker 50' übertragen werden. Der Server 72 des Drucksystems 70 umfaßt einen Prozessor 74 und einen Kommunikationsport 76, der die Kommunikation zwischen anderen Vorrichtungen (z. B. dem Quellencomputer 32 (Fig. 2) des Netzes 30 (Fig. 2)) und dem Prozessor 74 sowie eine Kommunikation zwischen dem Prozessor 74 und dem Prozessor 52' des Druckers 50 erleichtert. Zusätzlich kann der Server 72 eine oder mehrere Speichervorrichtungen 78, wie z. B. einen RAM, ein Plattenlaufwerk, eine Festplatte oder dergleichen, umfassen, die mit dem Prozessor 74 kommunizieren. Alternativ oder neben der einen oder den mehreren Speichervorrichtungen 78 kann der Server 72 eine Firmware 80 umfassen.
  • Eine Speichervorrichtung 78 oder Firmware 80 des Servers 72 kann ein Filterprogramm gemäß der vorliegenden Erfindung speichern. Nach dem Empfangen eines Pakets 40 (Fig. 2) vom Netz 30 (Fig. 2) wertet der Prozessor 74 des Servers 72 unter der Steuerung des Filterprogramms das Paket 40 aus und bestimmt, ob das Paket 40 an den Drucker 50' übertragen wird oder nicht. Wenn das Paket 40 die Anforderungen des Filterprogramms erfüllt (d. h. es weist keine unerwünschten Charakteristika auf und/oder weist erwünschte oder erforderliche Charakteristika auf), sendet der Prozessor 74 das Paket 40 durch den Kommunikationsport 76 entlang einer Verbindung 77 zwischen dem Kommunikationsport 76 des Servers 72 und einem Kommunikationsport 56' des Druckers 50' und in den Prozessor 52' des Druckers 50'. Das Paket 40 kann vorübergehend durch eine Speichervorrichtung 58', die dem Drucker 50 zugeordnet ist, gespeichert werden. Der Prozessor 52' kann dann bewirken, daß die Druckkomponente 54' eine oder mehrere Dateien 42 (Fig. 2) des Pakets 40 druckt.

Claims (23)

1. Drucksystem, das folgende Merkmale aufweist:
einen Drucker (50; 50'), der folgende Merkmale aufweist:
einen Prozessor (52; 54'); und
eine Druckkomponente (54; 54') in Kommunikation mit dem Prozessor (52; 52'); und
ein Filterprogramm, das dem Prozessor zugeordnet ist, um ein Drucken einer Datei (42) durch die Druckkomponente (54; 54') basierend auf zumindest entweder einer Präsenz oder einer Absenz von zumindest einer vorspezifizierten Charakteristik von einem Paket (40), das die Datei (42) umfaßt, zu steuern.
2. Drucksystem gemäß Anspruch 1, bei dem das Filterprogramm durch zumindest entweder eine Speichervorrichtung (78) oder eine Firmware (80) des Druckers (50), der dem Prozessor (52) zugeordnet ist, gespeichert wird.
3. Drucksystem gemäß Anspruch 1 oder 2, bei dem das Filterprogramm durch zumindest entweder eine Speichervorrichtung (58, 78) oder eine Firmware (80) außerhalb des Computers (50) und in Kommunikation mit dem Prozessor (52) gespeichert wird.
4. Drucksystem gemäß Anspruch 3, das ferner folgende Merkmale aufweist:
einen Computer, der zumindest entweder die Speichervorrichtung (58, 78) oder die Firmware (80), einen Prozessor (52) in Kommunikation mit zumindest entweder der Speichervorrichtung (78) oder der Firmware (80)
und einen Kommunikationsport (56) für zumindest ein teilweises Einrichten der Kommunikation zwischen dem Prozessor (52) des Computers und dem Prozessor (52) des Druckers (50) umfaßt.
5. Drucksystem gemäß einem der Ansprüche 1 bis 4, bei dem die zumindest eine vorspezifizierte Charakteristik zumindest entweder eine unerwünschte Charakteristik oder eine erwünschte Charakteristik aufweist.
6. Drucksystem gemäß Anspruch 5, bei dem das Filterprogramm bewirkt, daß der Prozessor (52) verhindert, daß die Druckkomponente (54) eine Datei (42) eines Pakets (40) mit zumindest einer unerwünschten Charakteristik druckt.
7. Drucksystem gemäß einem der Ansprüche 1 bis 5, bei dem das Filterprogramm den Prozessor (52) anweist, zu bewirken, daß die Druckkomponente (54) eine Datei (42) eines Pakets (40) mit der erwünschten Charakteristik druckt.
8. Drucksystem gemäß Anspruch 5, bei dem das Filterprogramm den Prozessor (52) anweist, zu bewirken, daß die Druckkomponente (54) die Datei (42) nur druckt, wenn das Paket (40) die unerwünschte Charakteristik nicht aufweist und die erwünschte Charakteristik aufweist.
9. Drucksystem gemäß einem der Ansprüche 5 bis 8, bei dem die unerwünschte Charakteristik entweder einen Dateityp, eine Dateizeichenfolge, einen Quellencomputeridentifizierer, einen Benutzeridentifizierer, eine Dateigröße oder zumindest einen vorspezifizierten Befehl (44, 46) aufweist.
10. Drucksystem gemäß einem der Ansprüche 5 bis 9, bei dem die erwünschte Charakteristik entweder einen Quellencomputeridentifizierer, einen Benutzeridentifizierer, einen Dateityp oder ein Paßwort (44, 46) aufweist.
11. Vorrichtungsspezifisches Filterverfahren, das folgende Schritte aufweist:
Übertragen eines Pakets (40), das zumindest eine Datei von einem Quellencomputer (32), über ein Netz (30) an eine Vorrichtung (36) des Netzes (30);
Auswerten von zumindest einer vorspezifizierten Charakteristik des Pakets (40) nach einer Passage des Pakets durch einen Server des Netzes (30); und
Steuern von zumindest entweder einer weiteren Übertragung des Pakets (40) an die Vorrichtung (36) oder Verarbeiten der zumindest einen Datei des Pakets (40) durch die Vorrichtung (36) basierend auf dem Auswerten.
12. Vorrichtungsspezifisches Filterverfahren gemäß Anspruch 11, bei dem das Auswerten von zumindest einer vorspezifizierten Charakteristik ein Auswerten von zumindest entweder einer unerwünschten Charakteristik oder einer erwünschten Charakteristik aufweist.
13. Vorrichtungsspezifisches Filterverfahren gemäß Anspruch 11 oder 12, bei dem das Steuern ein Verhindern von zumindest entweder der Weiterübertragung des Pakets (40) an die Vorrichtung (36) oder des Verarbeitens von zumindest einer Datei (42) des Pakets (40) durch die Vorrichtung (36) aufweist, wenn das Paket zumindest eine unerwünschte Charakteristik aufweist.
14. Vorrichtungsspezifisches Filterverfahren gemäß einem der Ansprüche 11 bis 13, bei dem das Steuern ein Ermöglichen von zumindest entweder der Weiterübertragung des Pakets (40) an die Vorrichtung (36) oder der Verarbeitung der zumindest einen Datei (42) des Pakets (40) durch die Vorrichtung (36) aufweist, wenn das Paket eine erwünschte Charakteristik aufweist.
15. Vorrichtungsspezifisches Filterverfahren gemäß einem der Ansprüche 11 bis 14, bei dem das Steuern ein Ermöglichen von zumindest entweder der Weiterübertragung des Pakets (40) an die Vorrichtung (36) oder der Verarbeitung der zumindest einen Datei (42) des Pakets (40) durch die Vorrichtung (36) aufweist, wenn das Paket die unerwünschte Charakteristik nicht aufweist und die gewünschte Charakteristik aufweist.
16. Vorrichtungsspezifisches Filterverfahren gemäß einem der Ansprüche 11 bis 15, bei dem das Auswerten ein Auswerten des Pakets (40) nach zumindest einer unerwünschten Charakteristik aufweist, die zumindest entweder einen Dateityp, eine Dateizeichenfolge, einen Quellencomputeridentifizierer, einen Benutzeridentifizierer, eine Dateigröße oder zumindest einen vorspezifizierten Befehl (44, 46) aufweist.
17. Vorrichtungsspezifisches Filterverfahren gemäß Anspruch 12, bei dem das Auswerten ein Auswerten des Pakets (40) nach der zumindest einen unerwünschten Charakteristik aufweist, die zumindest entweder einen Quellencomputeridentifizierer, einen Benutzeridentifizierer, einen Dateityp oder ein Paßwort (44, 46) aufweist.
18. Vorrichtungsspezifisches Filterverfahren gemäß einem der Ansprüche 11 bis 17, bei dem das Auswerten durch einen Prozessor (52) der Vorrichtung (36) vorgenommen wird.
19. Vorrichtungsspezifisches Filterverfahren gemäß einem der Ansprüche 11 bis 18, bei dem das Auswerten durch einen Prozessor (52) außerhalb und in Kommunikation mit einem Prozessor (52) der Vorrichtung (36) vorgenommen wird.
20. System zum Filtern einer Datei (42), die an eine Destinationsvorrichtung übertragen wird, wobei das System folgende Merkmale aufweist:
einen Prozessor (52) in Kommunikation mit einem Netz (30), über das die Datei übertragen worden ist; und
ein Filterprogramm, das dem Prozessor (52) zugeordnet ist, um zumindest entweder eine Übertragung des Pakets (40) einschließlich zumindest einer Datei (42) an die Destinationsvorrichtung oder eine Verarbeitung der zumindest einen Datei durch die Destinationsvorrichtung basierend auf zumindest entweder einer Präsenz oder einer Absenz von zumindest einer vorspezifizierten Charakteristik von dem Paket einschließlich der zumindest einen Datei zu steuern.
21. System gemäß Anspruch 20, bei dem das Filterprogramm durch zumindest entweder eine Speichervorrichtung oder einer Firmware gespeichert wird.
22. System gemäß Anspruch 21, bei dem der Prozessor (52) und die Speichervorrichtung oder die Firmware Teile der Destinationsvorrichtung sind.
23. System gemäß Anspruch 21, bei dem der Prozessor (52) und die Speichervorrichtung oder die Firmware Teile eines Computers in Kommunikation mit der Destinationsvorrichtung sind.
DE10307269A 2002-02-28 2003-02-20 Vorrichtungsspezifische Brandmauer Withdrawn DE10307269A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/086,746 US20030163732A1 (en) 2002-02-28 2002-02-28 Device-specific firewall

Publications (1)

Publication Number Publication Date
DE10307269A1 true DE10307269A1 (de) 2003-09-18

Family

ID=27753853

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10307269A Withdrawn DE10307269A1 (de) 2002-02-28 2003-02-20 Vorrichtungsspezifische Brandmauer

Country Status (3)

Country Link
US (1) US20030163732A1 (de)
JP (1) JP2004005451A (de)
DE (1) DE10307269A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4146621B2 (ja) * 2001-04-05 2008-09-10 セイコーエプソン株式会社 出力装置用のセキュリティシステム
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US9729513B2 (en) 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
GB2444514A (en) 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
CN105519037A (zh) * 2013-08-27 2016-04-20 三菱电机株式会社 数据处理装置以及数据处理方法以及程序
GB2518880A (en) 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5077795A (en) * 1990-09-28 1991-12-31 Xerox Corporation Security system for electronic printing systems
JP3083001B2 (ja) * 1992-07-31 2000-09-04 キヤノン株式会社 画像通信装置
DE69734562T2 (de) * 1996-12-26 2006-07-27 Canon K.K. Informationsverarbeitungvorrichtung und Steuerungsverfahren dafür
JP3191919B2 (ja) * 1997-03-25 2001-07-23 セイコーエプソン株式会社 プリントシステム、プリンタ制御装置、プリンタ及びプリンタ制御方法
US6330610B1 (en) * 1997-12-04 2001-12-11 Eric E. Docter Multi-stage data filtering system employing multiple filtering criteria
US6317837B1 (en) * 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
US6611863B1 (en) * 2000-06-05 2003-08-26 Intel Corporation Automatic device assignment through programmable device discovery for policy based network management
US7013482B1 (en) * 2000-07-07 2006-03-14 802 Systems Llc Methods for packet filtering including packet invalidation if packet validity determination not timely made

Also Published As

Publication number Publication date
JP2004005451A (ja) 2004-01-08
US20030163732A1 (en) 2003-08-28

Similar Documents

Publication Publication Date Title
DE69824444T2 (de) Verfahren und system zur durchsetzung eines kommunikationsicherheitsverfahrens
DE69832946T2 (de) Verteiltes System und Verfahren zur Steuerung des Zugriffs auf Netzmittel und Ereignismeldungen
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE10245479B4 (de) Druckserver zum Verarbeiten eines Druckauftrags, Verfahren zum Drucken eines Dokuments und prozessorlesbares Medium
DE60201045T2 (de) Druckersystem, Server, Druckerverfahren, Programm und Aufzeichnungsmedium
DE10024715B4 (de) Verfahren und Vorrichtung zum Einrichten einer Zwei-Wege-Übertragung zwischen einem Host-System und einer Vorrichtung
DE10249428A1 (de) System und Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE102004029506A1 (de) Verfahren und eine Vorrichtung zum Verwalten von Ressourcen in einem Computersystem
DE10222688A1 (de) Verfahren zum Verwenden einer eingebetteten Druckerbeschreibungssprache als ein Sicherheitstool, und Drucker und Systeme, mit denen das Verfahren verwendet werden kann
DE10307269A1 (de) Vorrichtungsspezifische Brandmauer
DE102014000289A1 (de) Webservervorrichtung, Steuerverfahren und Programm dafür
DE102007009737B4 (de) Verfahren, Drucksystem und Computerprogramm zum automatischen Bearbeiten von Auftragsbegleitdaten eines Druckauftrages
DE112009001207T5 (de) Kenntnisverteilung
WO2008034873A2 (de) Verfahren und system zum automatischen übertragen von druckdaten und insbesondere zum spiegeln von druckaufträgen
DE102009010902A1 (de) Verfahren und Anordnung zur Konfiguration eines Druckertreibers sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium
DE10338073A1 (de) Verfahren und Vorrichtung zum Vordringen zu Meßdaten von allgemein angezeigten heterogenen Meßquellen
DE60017438T2 (de) System zur betriebsmittelzugriffsteuerung
DE602005003938T2 (de) Inter-domain-router mit modul zur bestimmung der routenaggregation
DE69831502T2 (de) Verfahren zum erzeugen von filtern, welche das einbruchrisiko in verbundene rechnernetze verhindern
DE102015101915A1 (de) Verfahren und Vorrichtung zur Bearbeitung von Post-Script-Dateien
DE102004047327A1 (de) Verfahren und System zum automatischen Bearbeiten eines Jobtickets für einen Druckprozess
DE60105958T2 (de) Verfahren und Vorrichtung zur Kontrolle der Zeit, die ein Benutzer in einer Verbindung zu einem Datenkommunikationsnetz verbraucht
DE10248041A1 (de) Verfahren und Vorrichtung zur Verwendung bei einem Verfolgen von Posten während einer Dateihandhabung
DE102017217057A1 (de) Verfahren und Vorrichtung zum Aufbau eines Kommunikationskanals zwischen einer ersten und einer zweiten Einrichtung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8125 Change of the main classification

Ipc: G06F 1312

8127 New person/name/address of the applicant

Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, TE

8125 Change of the main classification

Ipc: G06F 3/12 AFI20051017BHDE

8130 Withdrawal