WO2008034841A2 - Method for controlling access and access control system for digital contents - Google Patents

Method for controlling access and access control system for digital contents Download PDF

Info

Publication number
WO2008034841A2
WO2008034841A2 PCT/EP2007/059885 EP2007059885W WO2008034841A2 WO 2008034841 A2 WO2008034841 A2 WO 2008034841A2 EP 2007059885 W EP2007059885 W EP 2007059885W WO 2008034841 A2 WO2008034841 A2 WO 2008034841A2
Authority
WO
WIPO (PCT)
Prior art keywords
management unit
user
content
access
authorization
Prior art date
Application number
PCT/EP2007/059885
Other languages
German (de)
French (fr)
Other versions
WO2008034841A3 (en
Inventor
Jürgen Jank
Gernot Moshammer
Heinz Reisinger
Original Assignee
SIEMENS AKTIENGESELLSCHAFT öSTERREICH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SIEMENS AKTIENGESELLSCHAFT öSTERREICH filed Critical SIEMENS AKTIENGESELLSCHAFT öSTERREICH
Publication of WO2008034841A2 publication Critical patent/WO2008034841A2/en
Publication of WO2008034841A3 publication Critical patent/WO2008034841A3/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Definitions

  • the present invention relates to a method for access control of digital contents of a provider at the request of a user of a computer network, which checks the authorization of the user for the requested digital content based on his user identification data, and in the case of the proven authorization the requested digital content transmitted , according to the preamble of claim 1.
  • the invention further relates to an access control system for digital data of a provider and request of a user of a computer network, which checks the authorization of the user for the requested digital content based on his user identification data, and in the case of the proven authorization, the requested digital content to the User submitted according to the preamble of claim 2.
  • Methods and access control systems of this type are used in numerous Internet applications and mobile applications in which a user wants to use his stationary or mobile computer to retrieve digital content from a provider over a computer network.
  • digital content can be any form of information, such as text, image, video or audio files.
  • Digital content of this kind is also referred to as "content.”
  • the retrieval of these digital contents will, however, usually be subject to conditions that determine the access authorization of the respective user, for example a previous payment for the digital content to be retrieved.
  • control files located in the respective directories for the digital content, the so-called “content directories”.
  • This access protection may be directory-based, but in this case no different access permissions can be granted for different users.
  • the access protection can also be file-based, but in this case, a high administrative effort to accomplish. Even with combinations of these two access control systems creates high administration costs. Access protection via control files therefore causes a high administrative effort and offers no possibility for highly dynamic assignment of access authorizations.
  • the digital content is mostly in storage units that are integrated into the computer network, such as web space at web server, or at least links ("left") are set there
  • the enormous administrative effort and the number of possible control files security vulnerabilities occur, so that the user can gain unauthorized access to the digital content through the computer network. It is therefore the object of the invention to avoid these disadvantages and to provide a method for access control of digital content and a corresponding access control system, in which the access control is easier to administer, and which is also responsible for an often changing change of
  • the invention is intended to make unauthorized access to the digital contents via the computer network more difficult.
  • Claim 1 relates to a method for access control of digital contents of a provider at the request of a user of a computer network, which checks the authorization of the user for the requested digital content on the basis of its user identification data, and in the case of the proven authorization, the requested digital content transmitted.
  • an access management unit is determined on the basis of the user identification data and the authorization data stored in a first storage unit the authorization of the user for each provided with a unique identifier, digital content and a content management unit, and in a second step the content management unit retrieves on the basis of this determined authorization of the user and the identifier of the digital contents stored in a second storage unit, digital content and the access management unit provides.
  • an access control system for a provider's digital data and a request of a user of a computer network which checks the authorization of the user for the requested digital content on the basis of its user identification data, and in the case of Proven authority to deliver the requested digital content to the user.
  • the digital contents are each provided with a unique identifier for identifying the respective digital content
  • an access management unit connected to the computer network and a first memory unit connected to the access management unit are provided, wherein in the first Storage unit, the respective digital content identifier and the authorization data for the users are stored, and the access management unit based on the user identification data and the authorization data determines the entitlement of the digital content user, and connected to the access management unit content management unit and one with the
  • Content Management Unit are provided, wherein in the second storage unit, the digital contents are stored, and the content management unit retrieves based on the authorization determined by the access management unit, the digital content and the access management unit provides.
  • Access control unit for the authorization check and a content management unit for managing the digital content and for the actual data retrieval.
  • This also provides the possibility of providing two separate storage units, wherein a first storage unit stores the respective digital content identifier and the authorization data for the users, and a second storage unit stores the digital content itself.
  • the second storage unit is merely connected to the content management unit but with the Access Management Unit, so it is not directly accessible through the computer network. Unauthorized access to digital content is therefore made more difficult.
  • Fig. 1 is a schematic representation of an access control system according to the invention.
  • the access control system comprises an access management unit 2 which is connected to an input and output unit 1.
  • the input and output unit 1 is, for example, an Internet page that can be called up by a user and via which it requests for specific, digital contents C, which in the following are referred to as the content C in the more common English expression be able to ask.
  • the respective user is uniquely identified by means of user identification data N 1 .
  • the user identification data N 1 is about its user name and password.
  • the output of the requested content C also takes place via these input and output units 1, which thus represents the interface between the provider of content C and the user.
  • the input and output unit 1 can be about a stationary computer of the user, or even a mobile terminal of any kind, which is integrated into the computer network.
  • the access management unit 2 will generally be a web server, whereby the term application server is also used.
  • the access management unit 2 accesses a first storage unit 3, in which the respective identifier K for the requested content C and the authorization data for the respective user are stored.
  • the authorization data is thus the information as to whether a specific user is authorized to access a specific content C. This authorization data can easily be changed without having to change the identifier K of the content C.
  • the access management unit 2 manages in an application-specific database the changing access authorizations of the users for a specific Content C.
  • the unique identifiers K for the content C are used for this purpose.
  • the access management unit 2 subsequently checks the access authorization of the user for the requested content C, and retrieves the corresponding identifier K from the storage unit 3.
  • the access management unit 2 is further connected to the content management unit 4, which in turn accesses the file system 5, as well as the second storage unit 6.
  • the content C is stored under a file name D.
  • the file system 5 is a database that contains this association between the identifier K of content C and the file name D.
  • Content Management Unit 4 is responsible for creating files D known to the system, and thus for arranging and retrieving Content C.
  • Content management units 4 of this type are also known as “content management systems.” For each item of content C, an entry is created in the database containing a unique identifier K for that item of content C, and the corresponding location of file D in FIG File system 5. Any access to content C is only possible via the functions provided by the content management unit 4.
  • the dashed line of FIG. 1 indicates that the content management unit 4, the file system 5 and the storage unit 6 are no longer directly accessible via the computer network.
  • the content C is thus no longer located e.g. in the web spaces of the web server. Instead, the content C is stored in directories that can not be reached from the Internet, for example on their own machines, or even on their own hard disks.
  • the user is first authenticated with the aid of the user identification data N, such as his username and password. If the authentication is successful, the memory of the storage unit 3, the access permissions of the User read and checked whether for the desired content C with the identifier K these are present. If this check is successful, the content management unit 4 reads the desired content C using the identifier K and returns it to the access management unit 2 or the input and output unit 1.
  • the user identification data N such as his username and password. If the authentication is successful, the memory of the storage unit 3, the access permissions of the User read and checked whether for the desired content C with the identifier K these are present. If this check is successful, the content management unit 4 reads the desired content C using the identifier K and returns it to the access management unit 2 or the input and output unit 1.
  • the invention thus provides a method for access control of digital content and a corresponding access control system, in which the access control is easier to administer, and which is also suitable for a frequently changing change of the access authorizations. Furthermore, the invention makes it difficult to gain unauthorized access to the digital content via the computer network.

Abstract

The invention relates to a method for controlling access and to an access control system for digital contents (C) of a provider on demand of a user of a computer network, whereby the user authorization for accessing the required digital contents (C) is verified by means of the user identification data (N) and, when the authorization is granted, the required digital contents (C) are transmitted. According to the invention, an access management unit (2) determines, in a first step, the user authorization for accessing the digital contents (C), which are provided with an identifier (K), on the basis of the user identification data (N) and the user authorization data stored in a first storage unit (3) and transmits it to a content management unit (4). In a second step, the content management unit (4) retrieves the stored digital contents (C) recorded in a second storage unit (6) on the basis of this user authorization and the identifier (K) of the digital contents (C) and transmits them to the access management unit (2).

Description

BESCHREIBUNGDESCRIPTION
Verfahren zur Zugriffskontrolle und Zugriffskontrollsystem für digitale InhalteAccess control and access control system for digital content
Die vorliegende Erfindung betrifft ein Verfahren zur Zugriffskontrolle von digitalen Inhalten eines Anbieters auf Anfrage eines Nutzers eines Computer-Netzwerkes, die die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte anhand seiner Nutzeridentifizierungsdaten überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte übermittelt, gemäß dem Oberbegriff von Anspruch 1.The present invention relates to a method for access control of digital contents of a provider at the request of a user of a computer network, which checks the authorization of the user for the requested digital content based on his user identification data, and in the case of the proven authorization the requested digital content transmitted , according to the preamble of claim 1.
Die Erfindung betrifft des Weiteren ein Zugriffskontrollsystem für digitale Daten eines Anbieters und Anfrage eines Nutzers eines Computer-Netzwerkes, das die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte anhand seiner Nutzeridentifizierungsdaten überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte an den Nutzer übermittelt, gemäß dem Oberbegriff von Anspruch 2.The invention further relates to an access control system for digital data of a provider and request of a user of a computer network, which checks the authorization of the user for the requested digital content based on his user identification data, and in the case of the proven authorization, the requested digital content to the User submitted according to the preamble of claim 2.
Verfahren und Zugriffskontrollsysteme dieser Art finden bei zahlreichen Internet-Applikationen sowie mobilen Applikationen Anwendung, bei denen ein Nutzer mithilfe seines stationären oder mobilen Computers digitale Inhalte eines Anbieters über ein Computer-Netzwerk abrufen möchte. Bei diesen digitalen Inhalten kann es sich um jede Form von Information handeln, als etwa um Text-, Bild-, Video- oder Audiodateien. Digitale Inhalte dieser Art werden auch als „Content" bezeichnet. Das Abrufen dieser digitalen Inhalte wird aber zumeist an Bedingungen geknüpft sein, die über die Zugriffsberechtigung des jeweiligen Nutzers entscheiden, also etwa eine vorangegangene Bezahlung der abzurufenden, digitalen Inhalte.Methods and access control systems of this type are used in numerous Internet applications and mobile applications in which a user wants to use his stationary or mobile computer to retrieve digital content from a provider over a computer network. These digital content can be any form of information, such as text, image, video or audio files. Digital content of this kind is also referred to as "content." The retrieval of these digital contents will, however, usually be subject to conditions that determine the access authorization of the respective user, for example a previous payment for the digital content to be retrieved.
Für Anwendungen dieser Art ist der Schutz der digitalen Inhalte gegen illegalen Zugriff essentiell. Dabei ist unter illegalem Zugriff einerseits der Zugriff von unautorisierten Benutzern auf digitale Inhalte als auch der Zugriff von dem System bekannten Benutzern auf digitale Inhalte, für die sie keine Berechtigung haben, zu sehen. Besonders bei Anwendungen, bei denen auf eine große Anzahl digitaler Inhalte zugegriffen werden kann, und bei denen die Zugriffsrechte für viele Benutzer zu verwalten sind, gestaltet sich der sichere und mit wenig Aufwand zu administrierende Schutz schwierig. Das trifft daher insbesondere auf Internet-Anwendungen zu.For applications of this kind, the protection of digital content against illegal access is essential. It is under illegal access on the one hand the access of unauthorized users to digital content as well as the access of the system known users to digital content for which they are not authorized to see. Especially in applications where a large amount of digital content can be accessed and where access rights are to be managed for many users, secure and easy-to-manage protection becomes difficult. This is especially true for Internet applications.
Herkömmliche Zugriffskontrollsysteme erlauben daher den Zugriffsschutz auf digitale Inhalte über Kontrolldateien („Control-Files") , die sich in den jeweiligen Verzeichnissen für die digitalen Inhalte, den sog. „Content-Verzeichnissen", befinden. Dieser Zugriffsschutz kann etwa Verzeichnis-basiert sein, wobei in diesem Fall aber keine unterschiedlichen Zugriffsberechtigungen für unterschiedliche Benutzer vergeben werden können. Der Zugriffsschutz kann auch Datei-basiert sein, wobei in diesem Fall aber ein hoher Administrationsaufwand zu bewerkstelligen ist. Auch bei Kombinationen dieser beiden Zugriffskontrollsysteme entsteht hoher Administrationsaufwand. Zugriffsschutz über Control- Files verursacht daher einen hohen Administrationsaufwand und bietet keine Möglichkeit für die hoch dynamische Vergabe von Zugriffsberechtigungen .Conventional access control systems therefore allow access to digital content via control files ("control files") located in the respective directories for the digital content, the so-called "content directories". This access protection may be directory-based, but in this case no different access permissions can be granted for different users. The access protection can also be file-based, but in this case, a high administrative effort to accomplish. Even with combinations of these two access control systems creates high administration costs. Access protection via control files therefore causes a high administrative effort and offers no possibility for highly dynamic assignment of access authorizations.
Des Weiteren befinden sich die digitalen Inhalte zumeist in Speichereinheiten, die in das Computer-Netzwerk eingebunden sind, etwa in Form von Web-Space bei Web-Server, oder es sind zumindest Verknüpfungen („links") dorthin gesetzt. In beiden Fällen können durch den enormen Administrationsaufwand und durch die Menge der möglichen Control-Files Sicherheitslücken auftreten, sodass der Nutzer über das Computer-Netzwerk unautorisierten Zugang zu den digitalen Inhalten erlangen kann . Es ist daher das Ziel der Erfindung, diese Nachteile zu vermeiden und ein Verfahren zur Zugriffskontrolle von digitalen Inhalten sowie ein entsprechendes Zugriffskontrollsystem bereit zu stellen, bei dem die Zugriffskontrolle leichter zu administrieren ist, und das sich außerdem für eine oft wechselnde Änderung derFurthermore, the digital content is mostly in storage units that are integrated into the computer network, such as web space at web server, or at least links ("left") are set there The enormous administrative effort and the number of possible control files security vulnerabilities occur, so that the user can gain unauthorized access to the digital content through the computer network. It is therefore the object of the invention to avoid these disadvantages and to provide a method for access control of digital content and a corresponding access control system, in which the access control is easier to administer, and which is also responsible for an often changing change of
Zugriffsberechtigungen eignet. Des Weiteren soll mithilfe der Erfindung ein unautorisierter Zugang zu den digitalen Inhalten über das Computer-Netzwerk erschwert werden.Access permissions. Furthermore, the invention is intended to make unauthorized access to the digital contents via the computer network more difficult.
Diese Ziele werden durch die Merkmale von Anspruch 1 und 2 erreicht. Anspruch 1 bezieht sich auf ein Verfahren zur Zugriffskontrolle von digitalen Inhalten eines Anbieters auf Anfrage eines Nutzers eines Computer-Netzwerkes, die die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte anhand seiner Nutzeridentifizierungsdaten überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte übermittelt. Erfindungsgemäß ist hierbei vorgesehen, dass in einem ersten Schritt eine Zugriffsverwaltungseinheit anhand der Nutzeridentifizierungsdaten und der in einer ersten Speichereinheit gespeicherten Berechtigungsdaten die Berechtigung des Nutzers für die jeweils mit einer eindeutigen Kennung versehenen, digitalen Inhalte ermittelt und einer Inhaltsverwaltungseinheit übergeben wird, und in einem zweiten Schritt die Inhaltsverwaltungseinheit anhand dieser ermittelten Berechtigung des Nutzers und der Kennung der digitalen Inhalte die in einer zweiten Speichereinheit gespeicherten, digitalen Inhalte abruft und der Zugriffsverwaltungseinheit bereitstellt .These objects are achieved by the features of claims 1 and 2. Claim 1 relates to a method for access control of digital contents of a provider at the request of a user of a computer network, which checks the authorization of the user for the requested digital content on the basis of its user identification data, and in the case of the proven authorization, the requested digital content transmitted. According to the invention, it is provided in this case that, in a first step, an access management unit is determined on the basis of the user identification data and the authorization data stored in a first storage unit the authorization of the user for each provided with a unique identifier, digital content and a content management unit, and in a second step the content management unit retrieves on the basis of this determined authorization of the user and the identifier of the digital contents stored in a second storage unit, digital content and the access management unit provides.
Gemäß Anspruch 2 wird ein Zugriffskontrollsystem für digitale Daten eines Anbieters und Anfrage eines Nutzers eines Computer-Netzwerkes vorgeschlagen, das die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte anhand seiner Nutzeridentifizierungsdaten überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte an den Nutzer übermittelt. Hierbei ist erfindungsgemäß vorgesehen, dass die digitalen Inhalte jeweils mit einer eindeutigen Kennung zur Identifizierung des jeweiligen, digitalen Inhalts versehen sind, und eine mit dem Computer- Netzwerk verbundene Zugriffsverwaltungseinheit, sowie eine mit der Zugriffsverwaltungseinheit verbundene, erste Speichereinheit vorgesehen sind, wobei in der ersten Speichereinheit die jeweilige Kennung für digitale Inhalte sowie die Berechtigungsdaten für die Nutzer gespeichert sind, und die Zugriffsverwaltungseinheit anhand der Nutzeridentifizierungsdaten und der Berechtigungsdaten die Berechtigung des Nutzers für digitale Inhalte ermittelt, und eine mit der Zugriffsverwaltungseinheit verbundene Inhaltsverwaltungseinheit sowie eine mit derAccording to claim 2, an access control system for a provider's digital data and a request of a user of a computer network is proposed, which checks the authorization of the user for the requested digital content on the basis of its user identification data, and in the case of Proven authority to deliver the requested digital content to the user. In this case, it is provided according to the invention that the digital contents are each provided with a unique identifier for identifying the respective digital content, and an access management unit connected to the computer network and a first memory unit connected to the access management unit are provided, wherein in the first Storage unit, the respective digital content identifier and the authorization data for the users are stored, and the access management unit based on the user identification data and the authorization data determines the entitlement of the digital content user, and connected to the access management unit content management unit and one with the
Inhaltsverwaltungseinheit verbundene, zweite Speichereinheit vorgesehen sind, wobei in der zweiten Speichereinheit die digitalen Inhalte gespeichert sind, und die Inhaltsverwaltungseinheit anhand der von der Zugriffsverwaltungseinheit ermittelten Berechtigung die digitalen Inhalte abruft und der Zugriffsverwaltungseinheit bereitstellt .Content Management Unit are provided, wherein in the second storage unit, the digital contents are stored, and the content management unit retrieves based on the authorization determined by the access management unit, the digital content and the access management unit provides.
Die Verfahrensschritte der Berechtigungsprüfung und des Datenabrufes werden somit getrennt, insbesondere finden zwei separate Einheiten Einsatz, nämlich eineThe method steps of the authorization check and the data retrieval are thus separated, in particular find two separate units use, namely one
Zugriffsverwaltungseinheit für die Berechtigungsprüfung, und eine Inhaltsverwaltungseinheit für die Verwaltung der digitalen Inhalte sowie für den eigentlichen Datenabruf. Das eröffnet auch die Möglichkeit, zwei separate Speichereinheiten vorzusehen, wobei eine erste Speichereinheit die jeweilige Kennung für digitale Inhalte sowie die Berechtigungsdaten für die Nutzer speichert, und eine zweite Speichereinheit die digitalen Inhalte selbst. Erfindungsgemäß ist die zweite Speichereinheit lediglich mit der Inhaltsverwaltungseinheit verbunden, nicht aber mit der Zugriffsverwaltungseinheit, sodass sie nicht direkt über das Computer-Netzwerk zugänglich ist. Ein unautorisierter Zugriff auf digitale Inhalte wird daher erschwert. Die Erfindung wird im Folgenden anhand eines Ausführungsbeispiels mithilfe der beiliegenden Figur näher erläutert. Es zeigt hierbei dieAccess control unit for the authorization check, and a content management unit for managing the digital content and for the actual data retrieval. This also provides the possibility of providing two separate storage units, wherein a first storage unit stores the respective digital content identifier and the authorization data for the users, and a second storage unit stores the digital content itself. According to the invention, the second storage unit is merely connected to the content management unit but with the Access Management Unit, so it is not directly accessible through the computer network. Unauthorized access to digital content is therefore made more difficult. The invention is explained in more detail below with reference to an embodiment with reference to the accompanying figure. It shows here the
Fig. 1 eine schematische Darstellung eines erfindungsgemäßen Zugriffskontrollsystems .Fig. 1 is a schematic representation of an access control system according to the invention.
Das Zugriffskontrollsystem gemäß der Ausführung von Fig. 1 umfasst eine Zugriffsverwaltungseinheit 2, die mit einer Ein- und Ausgabeeinheit 1 verbunden ist. Bei der Ein- und Ausgabeeinheit 1 handelt es sich etwa um eine Internet-Seite, die von einem Nutzer aufgerufen werden kann, und über die er Anfragen für bestimmte, digitale Inhalte C, die im Folgenden mit dem gebräuchlicheren, englischen Ausdruck als Content C bezeichnet werden, stellen kann. Der jeweilige Nutzer wird mithilfe von Nutzeridentifizierungsdaten N1 eindeutig identifiziert. Bei den Nutzeridentifizierungsdaten N1 handelt es sich etwa um seinen Usernamen und sein Passwort.The access control system according to the embodiment of FIG. 1 comprises an access management unit 2 which is connected to an input and output unit 1. The input and output unit 1 is, for example, an Internet page that can be called up by a user and via which it requests for specific, digital contents C, which in the following are referred to as the content C in the more common English expression be able to ask. The respective user is uniquely identified by means of user identification data N 1 . The user identification data N 1 is about its user name and password.
Auch die Ausgabe des angeforderten Contents C erfolgt über diese Ein- und Ausgabeeinheiten 1, die somit die Schnittstelle zwischen dem Anbieter von Content C und dem Nutzer darstellt. Die Ein- und Ausgabeeinheit 1 kann etwa ein stationärer Computer des Nutzers, oder auch ein mobiles Endgerät jedweder Art, das in das Computer-Netzwerk eingebunden ist, sein. Bei der Zugriffsverwaltungseinheit 2 wird es sich in der Regel um einen Web-Server handeln, wobei auch die Bezeichnung Applikations-Server gebräuchlich ist. Die Zugriffsverwaltungseinheit 2 greift auf eine erste Speichereinheit 3 zu, in der die jeweilige Kennung K für den angeforderten Content C sowie die Berechtigungsdaten für den jeweiligen Nutzer gespeichert sind. Bei den Berechtigungsdaten handelt es sich somit um die Information, ob ein bestimmter Nutzer für einen bestimmten Content C zugriffsberechtigt ist. Diese Berechtigungsdaten können leicht geändert werden, ohne dabei die Kennung K des Contents C ändern zu müssen. Die Zugriffsverwaltungseinheit 2 verwaltet in einer applikationsspezifischen Datenbank die sich ändernden Zugriffsberechtigungen der Nutzer für einen spezifischen Content C. Dazu werden die eindeutigen Kennungen K für den Content C herangezogen. Die Zugriffsverwaltungseinheit 2 prüft in weiterer Folge die Zugriffsberechtigung des Nutzers für den angeforderten Content C, und ruft die entsprechende Kennung K von der Speichereinheit 3 ab.The output of the requested content C also takes place via these input and output units 1, which thus represents the interface between the provider of content C and the user. The input and output unit 1 can be about a stationary computer of the user, or even a mobile terminal of any kind, which is integrated into the computer network. The access management unit 2 will generally be a web server, whereby the term application server is also used. The access management unit 2 accesses a first storage unit 3, in which the respective identifier K for the requested content C and the authorization data for the respective user are stored. The authorization data is thus the information as to whether a specific user is authorized to access a specific content C. This authorization data can easily be changed without having to change the identifier K of the content C. The access management unit 2 manages in an application-specific database the changing access authorizations of the users for a specific Content C. The unique identifiers K for the content C are used for this purpose. The access management unit 2 subsequently checks the access authorization of the user for the requested content C, and retrieves the corresponding identifier K from the storage unit 3.
Die Zugriffsverwaltungseinheit 2 ist des Weiteren mit der Inhaltsverwaltungseinheit 4 verbunden, die wiederum auf das Dateisystem 5, sowie die zweite Speichereinheit 6 zugreift. In der zweiten Speichereinheit 6 ist der Content C unter einem Dateinamen D gespeichert. Das Dateisystem 5 ist dabei eine Datenbank, die diese Zuordnung zwischen der Kennung K von Content C und dem Dateinamen D beinhaltet. DieThe access management unit 2 is further connected to the content management unit 4, which in turn accesses the file system 5, as well as the second storage unit 6. In the second storage unit 6, the content C is stored under a file name D. The file system 5 is a database that contains this association between the identifier K of content C and the file name D. The
Inhaltsverwaltungseinheit 4 ist verantwortlich für das Anlegen von dem System bekannten Dateien D, und somit für das Arrangieren und den Abruf von Content C.Content Management Unit 4 is responsible for creating files D known to the system, and thus for arranging and retrieving Content C.
Inhaltsverwaltungseinheiten 4 dieser Art sind auch unter der Bezeichnung „Content Management Systeme" bekannt. Für jedes Element des Content C wird in der Datenbank ein Eintrag erzeugt, der eine eindeutige Kennung K für dieses Element des Content C, und den entsprechenden Speicherplatz der Datei D im Dateisystem 5 enthält. Jeglicher Zugriff auf Content C ist nur über die von der Inhaltsverwaltungseinheit 4 bereitgestellten Funktionen möglich.Content management units 4 of this type are also known as "content management systems." For each item of content C, an entry is created in the database containing a unique identifier K for that item of content C, and the corresponding location of file D in FIG File system 5. Any access to content C is only possible via the functions provided by the content management unit 4.
Die strichlierte Linie der Fig. 1 deutet an, dass die Inhaltsverwaltungseinheit 4, das Dateisystem 5 und die Speichereinheit 6 nicht mehr unmittelbar über das Computer- Netzwerk zugänglich sind. Der Content C befindet sich somit nicht länger z.B. in den Web-Spaces der Web Server. Stattdessen wird der Content C in Verzeichnissen abgelegt, die aus dem Internet auf keinen Fall erreichbar sind, etwa auf eigenen Maschinen, oder auch auf eigenen Festplatten.The dashed line of FIG. 1 indicates that the content management unit 4, the file system 5 and the storage unit 6 are no longer directly accessible via the computer network. The content C is thus no longer located e.g. in the web spaces of the web server. Instead, the content C is stored in directories that can not be reached from the Internet, for example on their own machines, or even on their own hard disks.
Wird nun Content C von einem Nutzer angefordert, so wird zuerst mit Zuhilfenahme der Nutzeridentifizierungsdaten N, etwa sein Username und Passwort, der Nutzer authentifiziert. Ist die Authentifizierung erfolgreich, werden aus der Datenbank der Speichereinheit 3 die Zugriffsberechtigungen des Benutzers gelesen und überprüft, ob für den gewünschten Content C mit der Kennung K diese vorhanden sind. Ist diese Prüfung erfolgreich, wird über die Inhaltsverwaltungseinheit 4 der gewünschte Content C mithilfe der Kennung K gelesen, und an die Zugriffsverwaltungseinheit 2 bzw. die Ein- und Ausgabeeinheit 1 zurückgegeben.If content C is now requested by a user, the user is first authenticated with the aid of the user identification data N, such as his username and password. If the authentication is successful, the memory of the storage unit 3, the access permissions of the User read and checked whether for the desired content C with the identifier K these are present. If this check is successful, the content management unit 4 reads the desired content C using the identifier K and returns it to the access management unit 2 or the input and output unit 1.
Mithilfe der Erfindung wird somit ein Verfahren zur Zugriffskontrolle von digitalen Inhalten sowie ein entsprechendes Zugriffskontrollsystem bereit gestellt, bei dem die Zugriffskontrolle leichter zu administrieren ist, und das sich außerdem für eine oft wechselnde Änderung der Zugriffsberechtigungen eignet. Des Weiteren wird mithilfe der Erfindung ein unautorisierter Zugang zu den digitalen Inhalten über das Computer-Netzwerk erschwert. The invention thus provides a method for access control of digital content and a corresponding access control system, in which the access control is easier to administer, and which is also suitable for a frequently changing change of the access authorizations. Furthermore, the invention makes it difficult to gain unauthorized access to the digital content via the computer network.

Claims

PATENTANSPRÜCHE : PATENT CLAIMS:
1. Verfahren zur Zugriffskontrolle von digitalen Inhalten (C) eines Anbieters auf Anfrage eines Nutzers eines Computer- Netzwerkes, die die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte (C) anhand seiner Nutzeridentifizierungsdaten (N) überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte (C) übermittelt, dadurch gekennzeichnet, dass in einem ersten Schritt eine Zugriffsverwaltungseinheit (2) anhand der Nutzeridentifizierungsdaten (N) und der in einer ersten Speichereinheit (3) gespeicherten Berechtigungsdaten die Berechtigung des Nutzers für die jeweils mit einer eindeutigen Kennung (K) versehenen, digitalen Inhalte (C) ermittelt und einer Inhaltsverwaltungseinheit (4) übergeben wird, und in einem zweiten Schritt die Inhaltsverwaltungseinheit (4) anhand dieser ermittelten Berechtigung des Nutzers und der Kennung1. A method for access control of digital contents (C) of a provider at the request of a user of a computer network, which checks the authorization of the user for the requested digital content (C) on the basis of his user identification data (N), and in the case of the proven authorization the requested digital content (C) transmitted, characterized in that in a first step, an access management unit (2) based on the user identification data (N) and the authorization data stored in a first memory unit (3) the authorization of the user for each with a unique Identification (K) provided digital content (C) and a content management unit (4) is passed, and in a second step, the content management unit (4) based on this determined authorization of the user and the identifier
(K) der digitalen Inhalte (C) die in einer zweiten Speichereinheit (6) gespeicherten, digitalen Inhalte (C) abruft und der Zugriffsverwaltungseinheit (2) bereitstellt.(K) of the digital contents (C) retrieving the digital contents (C) stored in a second storage unit (6) and providing it to the access management unit (2).
2. Zugriffskontrollsystem für digitale Daten (C) eines Anbieters und Anfrage eines Nutzers eines Computer-Netzwerkes, das die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte (C) anhand seiner2. access control system for digital data (C) of a provider and request of a user of a computer network, the authorization of the user for the requested digital content (C) based on his
Nutzeridentifizierungsdaten (N) überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte (C) an den Nutzer übermittelt, dadurch gekennzeichnet, dass die digitalen Inhalte (C) jeweils mit einer eindeutigen Kennung (K) zur Identifizierung des jeweiligen, digitalen Inhalts (C) versehen sind, und eine mit dem Computer-Netzwerk verbundene Zugriffsverwaltungseinheit (2), sowie eine mit der Zugriffsverwaltungseinheit (2) verbundene, erste Speichereinheit (3) vorgesehen sind, wobei in der ersten Speichereinheit (3) die jeweilige Kennung (K) für digitale Inhalte (C) sowie die Berechtigungsdaten für die Nutzer gespeichert sind, und die Zugriffsverwaltungseinheit (2) anhand der Nutzeridentifizierungsdaten (N) und der Berechtigungsdaten die Berechtigung des Nutzers für digitale Inhalte (C) ermittelt, und eine mit der Zugriffsverwaltungseinheit (2) verbundene Inhaltsverwaltungseinheit (4) sowie eine mit der Inhaltsverwaltungseinheit (4) verbundene, zweite Speichereinheit (6) vorgesehen sind, wobei in der zweiten Speichereinheit (6) die digitalen Inhalte (C) gespeichert sind, und die Inhaltsverwaltungseinheit (4) anhand der von der Zugriffsverwaltungseinheit (2) ermittelten Berechtigung die digitalen Inhalte (C) abruft und der Zugriffsverwaltungseinheit (2) bereitstellt. User identification data (N) checked, and in the case of the proven authorization, the requested digital content (C) transmitted to the user, characterized in that the digital content (C) each with a unique identifier (K) for identifying the respective digital content (C) are provided, and an access management unit (2) connected to the computer network, and a first memory unit (3) connected to the access management unit (2) are provided, wherein in the first memory unit (3) the respective identifier (K ) are stored for digital content (C) and the authorization data for the users, and the access management unit (2) based on the user identification data (N) and the authorization data, the authorization of the user for digital Content (C) is determined, and provided with the access management unit (2) content management unit (4) and with the content management unit (4) connected second memory unit (6) are provided, wherein in the second memory unit (6) the digital content (C ), and the content management unit (4) retrieves the digital content (C) from the entitlement determined by the access management unit (2) and provides it to the access management unit (2).
PCT/EP2007/059885 2006-09-20 2007-09-19 Method for controlling access and access control system for digital contents WO2008034841A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
ATA1572/2006 2006-09-20
AT15722006 2006-09-20

Publications (2)

Publication Number Publication Date
WO2008034841A2 true WO2008034841A2 (en) 2008-03-27
WO2008034841A3 WO2008034841A3 (en) 2008-05-15

Family

ID=38862728

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2007/059885 WO2008034841A2 (en) 2006-09-20 2007-09-19 Method for controlling access and access control system for digital contents

Country Status (1)

Country Link
WO (1) WO2008034841A2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013152986A1 (en) * 2012-04-11 2013-10-17 Deutsche Post Ag Secure generation of a user account in a service server

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996042021A1 (en) * 1995-06-09 1996-12-27 Boshell & Knox Personal satellite link with user identifier
WO1997015008A1 (en) * 1995-06-06 1997-04-24 At & T Ipm Corp. System and method for database access control
WO2001018631A1 (en) * 1999-09-02 2001-03-15 Medical Data Services Gmbh Method for anonymizing data
DE19953699A1 (en) * 1999-09-03 2001-05-31 Ifu Diagnostic Systems Gmbh Smart card access of internet for transmission of medical patient data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997015008A1 (en) * 1995-06-06 1997-04-24 At & T Ipm Corp. System and method for database access control
WO1996042021A1 (en) * 1995-06-09 1996-12-27 Boshell & Knox Personal satellite link with user identifier
WO2001018631A1 (en) * 1999-09-02 2001-03-15 Medical Data Services Gmbh Method for anonymizing data
DE19953699A1 (en) * 1999-09-03 2001-05-31 Ifu Diagnostic Systems Gmbh Smart card access of internet for transmission of medical patient data

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013152986A1 (en) * 2012-04-11 2013-10-17 Deutsche Post Ag Secure generation of a user account in a service server

Also Published As

Publication number Publication date
WO2008034841A3 (en) 2008-05-15

Similar Documents

Publication Publication Date Title
EP2843585B1 (en) Method and system for providing anonymised data from a database
DE60130377T2 (en) METHOD FOR CONTROLLING ACCESS TO DIGITAL CONTENT AND STREAMING MEDIA
DE112010003464T5 (en) Modification of access control lists
EP2263189B1 (en) Method and device for transcoding during an encryption-based access check on a database
DE112020000538T5 (en) FINE-GRAINED TOKEN-BASED ACCESS CONTROL
DE112020000134T5 (en) SECURE, MULTI-LEVEL ACCESS TO DISCOVERED DATA FOR ANALYZES
EP2718848A2 (en) Access control to data stored in a cloud
EP2235598A1 (en) Field device and method of operation thereof
WO2011061061A1 (en) Method and device for accessing files of a secure fileserver
WO2005081089A1 (en) Method for protecting confidential data
WO2008034841A2 (en) Method for controlling access and access control system for digital contents
EP1528450A1 (en) Method for identification, authentication and authorisation of user access to secured data
WO1999012088A1 (en) Method for controlling distribution and use of software products with network-connected computers
EP1701281A1 (en) Method and system for logging into a service
EP3355141B1 (en) Operator system for a process control system
EP3062255A1 (en) Licensing of software products
WO2011080079A1 (en) Method and system for making edrm-protected data objects available
DE60315900T2 (en) USER ACCESS TO CORPORATE UNIT DEFINITION REGISTERS
DE10307996A1 (en) Data encoding method e.g. for different users of a system, involves obtaining data through different users, with whom user data key becomes encoding and decoding of data
WO2011147693A1 (en) Method for providing edrm-protected (enterprise digital rights management) data objects
EP1797495A1 (en) Method for computer-controlled rights management for systems comprising at least two different data processing units
EP2169588A1 (en) Method for guaranteeing safety
DE102015119140A1 (en) Method for controlling access to encrypted files and computer system
WO2016096147A1 (en) Method for managing a number of subscriptions of a mobile network operator on a security element
WO2008119787A1 (en) Method for providing computer-based services and/or applications, data processing system, and control program

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07820329

Country of ref document: EP

Kind code of ref document: A2

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07820329

Country of ref document: EP

Kind code of ref document: A2