WO2008034841A2 - Method for controlling access and access control system for digital contents - Google Patents
Method for controlling access and access control system for digital contents Download PDFInfo
- Publication number
- WO2008034841A2 WO2008034841A2 PCT/EP2007/059885 EP2007059885W WO2008034841A2 WO 2008034841 A2 WO2008034841 A2 WO 2008034841A2 EP 2007059885 W EP2007059885 W EP 2007059885W WO 2008034841 A2 WO2008034841 A2 WO 2008034841A2
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- management unit
- user
- content
- access
- authorization
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 9
- 238000013475 authorization Methods 0.000 claims abstract description 39
- 230000006870 function Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Definitions
- the present invention relates to a method for access control of digital contents of a provider at the request of a user of a computer network, which checks the authorization of the user for the requested digital content based on his user identification data, and in the case of the proven authorization the requested digital content transmitted , according to the preamble of claim 1.
- the invention further relates to an access control system for digital data of a provider and request of a user of a computer network, which checks the authorization of the user for the requested digital content based on his user identification data, and in the case of the proven authorization, the requested digital content to the User submitted according to the preamble of claim 2.
- Methods and access control systems of this type are used in numerous Internet applications and mobile applications in which a user wants to use his stationary or mobile computer to retrieve digital content from a provider over a computer network.
- digital content can be any form of information, such as text, image, video or audio files.
- Digital content of this kind is also referred to as "content.”
- the retrieval of these digital contents will, however, usually be subject to conditions that determine the access authorization of the respective user, for example a previous payment for the digital content to be retrieved.
- control files located in the respective directories for the digital content, the so-called “content directories”.
- This access protection may be directory-based, but in this case no different access permissions can be granted for different users.
- the access protection can also be file-based, but in this case, a high administrative effort to accomplish. Even with combinations of these two access control systems creates high administration costs. Access protection via control files therefore causes a high administrative effort and offers no possibility for highly dynamic assignment of access authorizations.
- the digital content is mostly in storage units that are integrated into the computer network, such as web space at web server, or at least links ("left") are set there
- the enormous administrative effort and the number of possible control files security vulnerabilities occur, so that the user can gain unauthorized access to the digital content through the computer network. It is therefore the object of the invention to avoid these disadvantages and to provide a method for access control of digital content and a corresponding access control system, in which the access control is easier to administer, and which is also responsible for an often changing change of
- the invention is intended to make unauthorized access to the digital contents via the computer network more difficult.
- Claim 1 relates to a method for access control of digital contents of a provider at the request of a user of a computer network, which checks the authorization of the user for the requested digital content on the basis of its user identification data, and in the case of the proven authorization, the requested digital content transmitted.
- an access management unit is determined on the basis of the user identification data and the authorization data stored in a first storage unit the authorization of the user for each provided with a unique identifier, digital content and a content management unit, and in a second step the content management unit retrieves on the basis of this determined authorization of the user and the identifier of the digital contents stored in a second storage unit, digital content and the access management unit provides.
- an access control system for a provider's digital data and a request of a user of a computer network which checks the authorization of the user for the requested digital content on the basis of its user identification data, and in the case of Proven authority to deliver the requested digital content to the user.
- the digital contents are each provided with a unique identifier for identifying the respective digital content
- an access management unit connected to the computer network and a first memory unit connected to the access management unit are provided, wherein in the first Storage unit, the respective digital content identifier and the authorization data for the users are stored, and the access management unit based on the user identification data and the authorization data determines the entitlement of the digital content user, and connected to the access management unit content management unit and one with the
- Content Management Unit are provided, wherein in the second storage unit, the digital contents are stored, and the content management unit retrieves based on the authorization determined by the access management unit, the digital content and the access management unit provides.
- Access control unit for the authorization check and a content management unit for managing the digital content and for the actual data retrieval.
- This also provides the possibility of providing two separate storage units, wherein a first storage unit stores the respective digital content identifier and the authorization data for the users, and a second storage unit stores the digital content itself.
- the second storage unit is merely connected to the content management unit but with the Access Management Unit, so it is not directly accessible through the computer network. Unauthorized access to digital content is therefore made more difficult.
- Fig. 1 is a schematic representation of an access control system according to the invention.
- the access control system comprises an access management unit 2 which is connected to an input and output unit 1.
- the input and output unit 1 is, for example, an Internet page that can be called up by a user and via which it requests for specific, digital contents C, which in the following are referred to as the content C in the more common English expression be able to ask.
- the respective user is uniquely identified by means of user identification data N 1 .
- the user identification data N 1 is about its user name and password.
- the output of the requested content C also takes place via these input and output units 1, which thus represents the interface between the provider of content C and the user.
- the input and output unit 1 can be about a stationary computer of the user, or even a mobile terminal of any kind, which is integrated into the computer network.
- the access management unit 2 will generally be a web server, whereby the term application server is also used.
- the access management unit 2 accesses a first storage unit 3, in which the respective identifier K for the requested content C and the authorization data for the respective user are stored.
- the authorization data is thus the information as to whether a specific user is authorized to access a specific content C. This authorization data can easily be changed without having to change the identifier K of the content C.
- the access management unit 2 manages in an application-specific database the changing access authorizations of the users for a specific Content C.
- the unique identifiers K for the content C are used for this purpose.
- the access management unit 2 subsequently checks the access authorization of the user for the requested content C, and retrieves the corresponding identifier K from the storage unit 3.
- the access management unit 2 is further connected to the content management unit 4, which in turn accesses the file system 5, as well as the second storage unit 6.
- the content C is stored under a file name D.
- the file system 5 is a database that contains this association between the identifier K of content C and the file name D.
- Content Management Unit 4 is responsible for creating files D known to the system, and thus for arranging and retrieving Content C.
- Content management units 4 of this type are also known as “content management systems.” For each item of content C, an entry is created in the database containing a unique identifier K for that item of content C, and the corresponding location of file D in FIG File system 5. Any access to content C is only possible via the functions provided by the content management unit 4.
- the dashed line of FIG. 1 indicates that the content management unit 4, the file system 5 and the storage unit 6 are no longer directly accessible via the computer network.
- the content C is thus no longer located e.g. in the web spaces of the web server. Instead, the content C is stored in directories that can not be reached from the Internet, for example on their own machines, or even on their own hard disks.
- the user is first authenticated with the aid of the user identification data N, such as his username and password. If the authentication is successful, the memory of the storage unit 3, the access permissions of the User read and checked whether for the desired content C with the identifier K these are present. If this check is successful, the content management unit 4 reads the desired content C using the identifier K and returns it to the access management unit 2 or the input and output unit 1.
- the user identification data N such as his username and password. If the authentication is successful, the memory of the storage unit 3, the access permissions of the User read and checked whether for the desired content C with the identifier K these are present. If this check is successful, the content management unit 4 reads the desired content C using the identifier K and returns it to the access management unit 2 or the input and output unit 1.
- the invention thus provides a method for access control of digital content and a corresponding access control system, in which the access control is easier to administer, and which is also suitable for a frequently changing change of the access authorizations. Furthermore, the invention makes it difficult to gain unauthorized access to the digital content via the computer network.
Abstract
The invention relates to a method for controlling access and to an access control system for digital contents (C) of a provider on demand of a user of a computer network, whereby the user authorization for accessing the required digital contents (C) is verified by means of the user identification data (N) and, when the authorization is granted, the required digital contents (C) are transmitted. According to the invention, an access management unit (2) determines, in a first step, the user authorization for accessing the digital contents (C), which are provided with an identifier (K), on the basis of the user identification data (N) and the user authorization data stored in a first storage unit (3) and transmits it to a content management unit (4). In a second step, the content management unit (4) retrieves the stored digital contents (C) recorded in a second storage unit (6) on the basis of this user authorization and the identifier (K) of the digital contents (C) and transmits them to the access management unit (2).
Description
BESCHREIBUNGDESCRIPTION
Verfahren zur Zugriffskontrolle und Zugriffskontrollsystem für digitale InhalteAccess control and access control system for digital content
Die vorliegende Erfindung betrifft ein Verfahren zur Zugriffskontrolle von digitalen Inhalten eines Anbieters auf Anfrage eines Nutzers eines Computer-Netzwerkes, die die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte anhand seiner Nutzeridentifizierungsdaten überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte übermittelt, gemäß dem Oberbegriff von Anspruch 1.The present invention relates to a method for access control of digital contents of a provider at the request of a user of a computer network, which checks the authorization of the user for the requested digital content based on his user identification data, and in the case of the proven authorization the requested digital content transmitted , according to the preamble of claim 1.
Die Erfindung betrifft des Weiteren ein Zugriffskontrollsystem für digitale Daten eines Anbieters und Anfrage eines Nutzers eines Computer-Netzwerkes, das die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte anhand seiner Nutzeridentifizierungsdaten überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte an den Nutzer übermittelt, gemäß dem Oberbegriff von Anspruch 2.The invention further relates to an access control system for digital data of a provider and request of a user of a computer network, which checks the authorization of the user for the requested digital content based on his user identification data, and in the case of the proven authorization, the requested digital content to the User submitted according to the preamble of claim 2.
Verfahren und Zugriffskontrollsysteme dieser Art finden bei zahlreichen Internet-Applikationen sowie mobilen Applikationen Anwendung, bei denen ein Nutzer mithilfe seines stationären oder mobilen Computers digitale Inhalte eines Anbieters über ein Computer-Netzwerk abrufen möchte. Bei diesen digitalen Inhalten kann es sich um jede Form von Information handeln, als etwa um Text-, Bild-, Video- oder Audiodateien. Digitale Inhalte dieser Art werden auch als „Content" bezeichnet. Das Abrufen dieser digitalen Inhalte wird aber zumeist an Bedingungen geknüpft sein, die über die Zugriffsberechtigung des jeweiligen Nutzers entscheiden, also etwa eine vorangegangene Bezahlung der abzurufenden, digitalen Inhalte.Methods and access control systems of this type are used in numerous Internet applications and mobile applications in which a user wants to use his stationary or mobile computer to retrieve digital content from a provider over a computer network. These digital content can be any form of information, such as text, image, video or audio files. Digital content of this kind is also referred to as "content." The retrieval of these digital contents will, however, usually be subject to conditions that determine the access authorization of the respective user, for example a previous payment for the digital content to be retrieved.
Für Anwendungen dieser Art ist der Schutz der digitalen Inhalte gegen illegalen Zugriff essentiell. Dabei ist unter
illegalem Zugriff einerseits der Zugriff von unautorisierten Benutzern auf digitale Inhalte als auch der Zugriff von dem System bekannten Benutzern auf digitale Inhalte, für die sie keine Berechtigung haben, zu sehen. Besonders bei Anwendungen, bei denen auf eine große Anzahl digitaler Inhalte zugegriffen werden kann, und bei denen die Zugriffsrechte für viele Benutzer zu verwalten sind, gestaltet sich der sichere und mit wenig Aufwand zu administrierende Schutz schwierig. Das trifft daher insbesondere auf Internet-Anwendungen zu.For applications of this kind, the protection of digital content against illegal access is essential. It is under illegal access on the one hand the access of unauthorized users to digital content as well as the access of the system known users to digital content for which they are not authorized to see. Especially in applications where a large amount of digital content can be accessed and where access rights are to be managed for many users, secure and easy-to-manage protection becomes difficult. This is especially true for Internet applications.
Herkömmliche Zugriffskontrollsysteme erlauben daher den Zugriffsschutz auf digitale Inhalte über Kontrolldateien („Control-Files") , die sich in den jeweiligen Verzeichnissen für die digitalen Inhalte, den sog. „Content-Verzeichnissen", befinden. Dieser Zugriffsschutz kann etwa Verzeichnis-basiert sein, wobei in diesem Fall aber keine unterschiedlichen Zugriffsberechtigungen für unterschiedliche Benutzer vergeben werden können. Der Zugriffsschutz kann auch Datei-basiert sein, wobei in diesem Fall aber ein hoher Administrationsaufwand zu bewerkstelligen ist. Auch bei Kombinationen dieser beiden Zugriffskontrollsysteme entsteht hoher Administrationsaufwand. Zugriffsschutz über Control- Files verursacht daher einen hohen Administrationsaufwand und bietet keine Möglichkeit für die hoch dynamische Vergabe von Zugriffsberechtigungen .Conventional access control systems therefore allow access to digital content via control files ("control files") located in the respective directories for the digital content, the so-called "content directories". This access protection may be directory-based, but in this case no different access permissions can be granted for different users. The access protection can also be file-based, but in this case, a high administrative effort to accomplish. Even with combinations of these two access control systems creates high administration costs. Access protection via control files therefore causes a high administrative effort and offers no possibility for highly dynamic assignment of access authorizations.
Des Weiteren befinden sich die digitalen Inhalte zumeist in Speichereinheiten, die in das Computer-Netzwerk eingebunden sind, etwa in Form von Web-Space bei Web-Server, oder es sind zumindest Verknüpfungen („links") dorthin gesetzt. In beiden Fällen können durch den enormen Administrationsaufwand und durch die Menge der möglichen Control-Files Sicherheitslücken auftreten, sodass der Nutzer über das Computer-Netzwerk unautorisierten Zugang zu den digitalen Inhalten erlangen kann .
Es ist daher das Ziel der Erfindung, diese Nachteile zu vermeiden und ein Verfahren zur Zugriffskontrolle von digitalen Inhalten sowie ein entsprechendes Zugriffskontrollsystem bereit zu stellen, bei dem die Zugriffskontrolle leichter zu administrieren ist, und das sich außerdem für eine oft wechselnde Änderung derFurthermore, the digital content is mostly in storage units that are integrated into the computer network, such as web space at web server, or at least links ("left") are set there The enormous administrative effort and the number of possible control files security vulnerabilities occur, so that the user can gain unauthorized access to the digital content through the computer network. It is therefore the object of the invention to avoid these disadvantages and to provide a method for access control of digital content and a corresponding access control system, in which the access control is easier to administer, and which is also responsible for an often changing change of
Zugriffsberechtigungen eignet. Des Weiteren soll mithilfe der Erfindung ein unautorisierter Zugang zu den digitalen Inhalten über das Computer-Netzwerk erschwert werden.Access permissions. Furthermore, the invention is intended to make unauthorized access to the digital contents via the computer network more difficult.
Diese Ziele werden durch die Merkmale von Anspruch 1 und 2 erreicht. Anspruch 1 bezieht sich auf ein Verfahren zur Zugriffskontrolle von digitalen Inhalten eines Anbieters auf Anfrage eines Nutzers eines Computer-Netzwerkes, die die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte anhand seiner Nutzeridentifizierungsdaten überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte übermittelt. Erfindungsgemäß ist hierbei vorgesehen, dass in einem ersten Schritt eine Zugriffsverwaltungseinheit anhand der Nutzeridentifizierungsdaten und der in einer ersten Speichereinheit gespeicherten Berechtigungsdaten die Berechtigung des Nutzers für die jeweils mit einer eindeutigen Kennung versehenen, digitalen Inhalte ermittelt und einer Inhaltsverwaltungseinheit übergeben wird, und in einem zweiten Schritt die Inhaltsverwaltungseinheit anhand dieser ermittelten Berechtigung des Nutzers und der Kennung der digitalen Inhalte die in einer zweiten Speichereinheit gespeicherten, digitalen Inhalte abruft und der Zugriffsverwaltungseinheit bereitstellt .These objects are achieved by the features of claims 1 and 2. Claim 1 relates to a method for access control of digital contents of a provider at the request of a user of a computer network, which checks the authorization of the user for the requested digital content on the basis of its user identification data, and in the case of the proven authorization, the requested digital content transmitted. According to the invention, it is provided in this case that, in a first step, an access management unit is determined on the basis of the user identification data and the authorization data stored in a first storage unit the authorization of the user for each provided with a unique identifier, digital content and a content management unit, and in a second step the content management unit retrieves on the basis of this determined authorization of the user and the identifier of the digital contents stored in a second storage unit, digital content and the access management unit provides.
Gemäß Anspruch 2 wird ein Zugriffskontrollsystem für digitale Daten eines Anbieters und Anfrage eines Nutzers eines Computer-Netzwerkes vorgeschlagen, das die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte anhand seiner Nutzeridentifizierungsdaten überprüft, und im Falle der
nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte an den Nutzer übermittelt. Hierbei ist erfindungsgemäß vorgesehen, dass die digitalen Inhalte jeweils mit einer eindeutigen Kennung zur Identifizierung des jeweiligen, digitalen Inhalts versehen sind, und eine mit dem Computer- Netzwerk verbundene Zugriffsverwaltungseinheit, sowie eine mit der Zugriffsverwaltungseinheit verbundene, erste Speichereinheit vorgesehen sind, wobei in der ersten Speichereinheit die jeweilige Kennung für digitale Inhalte sowie die Berechtigungsdaten für die Nutzer gespeichert sind, und die Zugriffsverwaltungseinheit anhand der Nutzeridentifizierungsdaten und der Berechtigungsdaten die Berechtigung des Nutzers für digitale Inhalte ermittelt, und eine mit der Zugriffsverwaltungseinheit verbundene Inhaltsverwaltungseinheit sowie eine mit derAccording to claim 2, an access control system for a provider's digital data and a request of a user of a computer network is proposed, which checks the authorization of the user for the requested digital content on the basis of its user identification data, and in the case of Proven authority to deliver the requested digital content to the user. In this case, it is provided according to the invention that the digital contents are each provided with a unique identifier for identifying the respective digital content, and an access management unit connected to the computer network and a first memory unit connected to the access management unit are provided, wherein in the first Storage unit, the respective digital content identifier and the authorization data for the users are stored, and the access management unit based on the user identification data and the authorization data determines the entitlement of the digital content user, and connected to the access management unit content management unit and one with the
Inhaltsverwaltungseinheit verbundene, zweite Speichereinheit vorgesehen sind, wobei in der zweiten Speichereinheit die digitalen Inhalte gespeichert sind, und die Inhaltsverwaltungseinheit anhand der von der Zugriffsverwaltungseinheit ermittelten Berechtigung die digitalen Inhalte abruft und der Zugriffsverwaltungseinheit bereitstellt .Content Management Unit are provided, wherein in the second storage unit, the digital contents are stored, and the content management unit retrieves based on the authorization determined by the access management unit, the digital content and the access management unit provides.
Die Verfahrensschritte der Berechtigungsprüfung und des Datenabrufes werden somit getrennt, insbesondere finden zwei separate Einheiten Einsatz, nämlich eineThe method steps of the authorization check and the data retrieval are thus separated, in particular find two separate units use, namely one
Zugriffsverwaltungseinheit für die Berechtigungsprüfung, und eine Inhaltsverwaltungseinheit für die Verwaltung der digitalen Inhalte sowie für den eigentlichen Datenabruf. Das eröffnet auch die Möglichkeit, zwei separate Speichereinheiten vorzusehen, wobei eine erste Speichereinheit die jeweilige Kennung für digitale Inhalte sowie die Berechtigungsdaten für die Nutzer speichert, und eine zweite Speichereinheit die digitalen Inhalte selbst. Erfindungsgemäß ist die zweite Speichereinheit lediglich mit der Inhaltsverwaltungseinheit verbunden, nicht aber mit der Zugriffsverwaltungseinheit, sodass sie nicht direkt über das Computer-Netzwerk zugänglich ist. Ein unautorisierter Zugriff auf digitale Inhalte wird daher erschwert.
Die Erfindung wird im Folgenden anhand eines Ausführungsbeispiels mithilfe der beiliegenden Figur näher erläutert. Es zeigt hierbei dieAccess control unit for the authorization check, and a content management unit for managing the digital content and for the actual data retrieval. This also provides the possibility of providing two separate storage units, wherein a first storage unit stores the respective digital content identifier and the authorization data for the users, and a second storage unit stores the digital content itself. According to the invention, the second storage unit is merely connected to the content management unit but with the Access Management Unit, so it is not directly accessible through the computer network. Unauthorized access to digital content is therefore made more difficult. The invention is explained in more detail below with reference to an embodiment with reference to the accompanying figure. It shows here the
Fig. 1 eine schematische Darstellung eines erfindungsgemäßen Zugriffskontrollsystems .Fig. 1 is a schematic representation of an access control system according to the invention.
Das Zugriffskontrollsystem gemäß der Ausführung von Fig. 1 umfasst eine Zugriffsverwaltungseinheit 2, die mit einer Ein- und Ausgabeeinheit 1 verbunden ist. Bei der Ein- und Ausgabeeinheit 1 handelt es sich etwa um eine Internet-Seite, die von einem Nutzer aufgerufen werden kann, und über die er Anfragen für bestimmte, digitale Inhalte C, die im Folgenden mit dem gebräuchlicheren, englischen Ausdruck als Content C bezeichnet werden, stellen kann. Der jeweilige Nutzer wird mithilfe von Nutzeridentifizierungsdaten N1 eindeutig identifiziert. Bei den Nutzeridentifizierungsdaten N1 handelt es sich etwa um seinen Usernamen und sein Passwort.The access control system according to the embodiment of FIG. 1 comprises an access management unit 2 which is connected to an input and output unit 1. The input and output unit 1 is, for example, an Internet page that can be called up by a user and via which it requests for specific, digital contents C, which in the following are referred to as the content C in the more common English expression be able to ask. The respective user is uniquely identified by means of user identification data N 1 . The user identification data N 1 is about its user name and password.
Auch die Ausgabe des angeforderten Contents C erfolgt über diese Ein- und Ausgabeeinheiten 1, die somit die Schnittstelle zwischen dem Anbieter von Content C und dem Nutzer darstellt. Die Ein- und Ausgabeeinheit 1 kann etwa ein stationärer Computer des Nutzers, oder auch ein mobiles Endgerät jedweder Art, das in das Computer-Netzwerk eingebunden ist, sein. Bei der Zugriffsverwaltungseinheit 2 wird es sich in der Regel um einen Web-Server handeln, wobei auch die Bezeichnung Applikations-Server gebräuchlich ist. Die Zugriffsverwaltungseinheit 2 greift auf eine erste Speichereinheit 3 zu, in der die jeweilige Kennung K für den angeforderten Content C sowie die Berechtigungsdaten für den jeweiligen Nutzer gespeichert sind. Bei den Berechtigungsdaten handelt es sich somit um die Information, ob ein bestimmter Nutzer für einen bestimmten Content C zugriffsberechtigt ist. Diese Berechtigungsdaten können leicht geändert werden, ohne dabei die Kennung K des Contents C ändern zu müssen. Die Zugriffsverwaltungseinheit 2 verwaltet in einer applikationsspezifischen Datenbank die sich ändernden Zugriffsberechtigungen der Nutzer für einen spezifischen
Content C. Dazu werden die eindeutigen Kennungen K für den Content C herangezogen. Die Zugriffsverwaltungseinheit 2 prüft in weiterer Folge die Zugriffsberechtigung des Nutzers für den angeforderten Content C, und ruft die entsprechende Kennung K von der Speichereinheit 3 ab.The output of the requested content C also takes place via these input and output units 1, which thus represents the interface between the provider of content C and the user. The input and output unit 1 can be about a stationary computer of the user, or even a mobile terminal of any kind, which is integrated into the computer network. The access management unit 2 will generally be a web server, whereby the term application server is also used. The access management unit 2 accesses a first storage unit 3, in which the respective identifier K for the requested content C and the authorization data for the respective user are stored. The authorization data is thus the information as to whether a specific user is authorized to access a specific content C. This authorization data can easily be changed without having to change the identifier K of the content C. The access management unit 2 manages in an application-specific database the changing access authorizations of the users for a specific Content C. The unique identifiers K for the content C are used for this purpose. The access management unit 2 subsequently checks the access authorization of the user for the requested content C, and retrieves the corresponding identifier K from the storage unit 3.
Die Zugriffsverwaltungseinheit 2 ist des Weiteren mit der Inhaltsverwaltungseinheit 4 verbunden, die wiederum auf das Dateisystem 5, sowie die zweite Speichereinheit 6 zugreift. In der zweiten Speichereinheit 6 ist der Content C unter einem Dateinamen D gespeichert. Das Dateisystem 5 ist dabei eine Datenbank, die diese Zuordnung zwischen der Kennung K von Content C und dem Dateinamen D beinhaltet. DieThe access management unit 2 is further connected to the content management unit 4, which in turn accesses the file system 5, as well as the second storage unit 6. In the second storage unit 6, the content C is stored under a file name D. The file system 5 is a database that contains this association between the identifier K of content C and the file name D. The
Inhaltsverwaltungseinheit 4 ist verantwortlich für das Anlegen von dem System bekannten Dateien D, und somit für das Arrangieren und den Abruf von Content C.Content Management Unit 4 is responsible for creating files D known to the system, and thus for arranging and retrieving Content C.
Inhaltsverwaltungseinheiten 4 dieser Art sind auch unter der Bezeichnung „Content Management Systeme" bekannt. Für jedes Element des Content C wird in der Datenbank ein Eintrag erzeugt, der eine eindeutige Kennung K für dieses Element des Content C, und den entsprechenden Speicherplatz der Datei D im Dateisystem 5 enthält. Jeglicher Zugriff auf Content C ist nur über die von der Inhaltsverwaltungseinheit 4 bereitgestellten Funktionen möglich.Content management units 4 of this type are also known as "content management systems." For each item of content C, an entry is created in the database containing a unique identifier K for that item of content C, and the corresponding location of file D in FIG File system 5. Any access to content C is only possible via the functions provided by the content management unit 4.
Die strichlierte Linie der Fig. 1 deutet an, dass die Inhaltsverwaltungseinheit 4, das Dateisystem 5 und die Speichereinheit 6 nicht mehr unmittelbar über das Computer- Netzwerk zugänglich sind. Der Content C befindet sich somit nicht länger z.B. in den Web-Spaces der Web Server. Stattdessen wird der Content C in Verzeichnissen abgelegt, die aus dem Internet auf keinen Fall erreichbar sind, etwa auf eigenen Maschinen, oder auch auf eigenen Festplatten.The dashed line of FIG. 1 indicates that the content management unit 4, the file system 5 and the storage unit 6 are no longer directly accessible via the computer network. The content C is thus no longer located e.g. in the web spaces of the web server. Instead, the content C is stored in directories that can not be reached from the Internet, for example on their own machines, or even on their own hard disks.
Wird nun Content C von einem Nutzer angefordert, so wird zuerst mit Zuhilfenahme der Nutzeridentifizierungsdaten N, etwa sein Username und Passwort, der Nutzer authentifiziert. Ist die Authentifizierung erfolgreich, werden aus der Datenbank der Speichereinheit 3 die Zugriffsberechtigungen des
Benutzers gelesen und überprüft, ob für den gewünschten Content C mit der Kennung K diese vorhanden sind. Ist diese Prüfung erfolgreich, wird über die Inhaltsverwaltungseinheit 4 der gewünschte Content C mithilfe der Kennung K gelesen, und an die Zugriffsverwaltungseinheit 2 bzw. die Ein- und Ausgabeeinheit 1 zurückgegeben.If content C is now requested by a user, the user is first authenticated with the aid of the user identification data N, such as his username and password. If the authentication is successful, the memory of the storage unit 3, the access permissions of the User read and checked whether for the desired content C with the identifier K these are present. If this check is successful, the content management unit 4 reads the desired content C using the identifier K and returns it to the access management unit 2 or the input and output unit 1.
Mithilfe der Erfindung wird somit ein Verfahren zur Zugriffskontrolle von digitalen Inhalten sowie ein entsprechendes Zugriffskontrollsystem bereit gestellt, bei dem die Zugriffskontrolle leichter zu administrieren ist, und das sich außerdem für eine oft wechselnde Änderung der Zugriffsberechtigungen eignet. Des Weiteren wird mithilfe der Erfindung ein unautorisierter Zugang zu den digitalen Inhalten über das Computer-Netzwerk erschwert.
The invention thus provides a method for access control of digital content and a corresponding access control system, in which the access control is easier to administer, and which is also suitable for a frequently changing change of the access authorizations. Furthermore, the invention makes it difficult to gain unauthorized access to the digital content via the computer network.
Claims
1. Verfahren zur Zugriffskontrolle von digitalen Inhalten (C) eines Anbieters auf Anfrage eines Nutzers eines Computer- Netzwerkes, die die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte (C) anhand seiner Nutzeridentifizierungsdaten (N) überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte (C) übermittelt, dadurch gekennzeichnet, dass in einem ersten Schritt eine Zugriffsverwaltungseinheit (2) anhand der Nutzeridentifizierungsdaten (N) und der in einer ersten Speichereinheit (3) gespeicherten Berechtigungsdaten die Berechtigung des Nutzers für die jeweils mit einer eindeutigen Kennung (K) versehenen, digitalen Inhalte (C) ermittelt und einer Inhaltsverwaltungseinheit (4) übergeben wird, und in einem zweiten Schritt die Inhaltsverwaltungseinheit (4) anhand dieser ermittelten Berechtigung des Nutzers und der Kennung1. A method for access control of digital contents (C) of a provider at the request of a user of a computer network, which checks the authorization of the user for the requested digital content (C) on the basis of his user identification data (N), and in the case of the proven authorization the requested digital content (C) transmitted, characterized in that in a first step, an access management unit (2) based on the user identification data (N) and the authorization data stored in a first memory unit (3) the authorization of the user for each with a unique Identification (K) provided digital content (C) and a content management unit (4) is passed, and in a second step, the content management unit (4) based on this determined authorization of the user and the identifier
(K) der digitalen Inhalte (C) die in einer zweiten Speichereinheit (6) gespeicherten, digitalen Inhalte (C) abruft und der Zugriffsverwaltungseinheit (2) bereitstellt.(K) of the digital contents (C) retrieving the digital contents (C) stored in a second storage unit (6) and providing it to the access management unit (2).
2. Zugriffskontrollsystem für digitale Daten (C) eines Anbieters und Anfrage eines Nutzers eines Computer-Netzwerkes, das die Berechtigung des Nutzers für die angeforderten, digitalen Inhalte (C) anhand seiner2. access control system for digital data (C) of a provider and request of a user of a computer network, the authorization of the user for the requested digital content (C) based on his
Nutzeridentifizierungsdaten (N) überprüft, und im Falle der nachgewiesenen Berechtigung die angeforderten, digitalen Inhalte (C) an den Nutzer übermittelt, dadurch gekennzeichnet, dass die digitalen Inhalte (C) jeweils mit einer eindeutigen Kennung (K) zur Identifizierung des jeweiligen, digitalen Inhalts (C) versehen sind, und eine mit dem Computer-Netzwerk verbundene Zugriffsverwaltungseinheit (2), sowie eine mit der Zugriffsverwaltungseinheit (2) verbundene, erste Speichereinheit (3) vorgesehen sind, wobei in der ersten Speichereinheit (3) die jeweilige Kennung (K) für digitale Inhalte (C) sowie die Berechtigungsdaten für die Nutzer gespeichert sind, und die Zugriffsverwaltungseinheit (2) anhand der Nutzeridentifizierungsdaten (N) und der Berechtigungsdaten die Berechtigung des Nutzers für digitale Inhalte (C) ermittelt, und eine mit der Zugriffsverwaltungseinheit (2) verbundene Inhaltsverwaltungseinheit (4) sowie eine mit der Inhaltsverwaltungseinheit (4) verbundene, zweite Speichereinheit (6) vorgesehen sind, wobei in der zweiten Speichereinheit (6) die digitalen Inhalte (C) gespeichert sind, und die Inhaltsverwaltungseinheit (4) anhand der von der Zugriffsverwaltungseinheit (2) ermittelten Berechtigung die digitalen Inhalte (C) abruft und der Zugriffsverwaltungseinheit (2) bereitstellt. User identification data (N) checked, and in the case of the proven authorization, the requested digital content (C) transmitted to the user, characterized in that the digital content (C) each with a unique identifier (K) for identifying the respective digital content (C) are provided, and an access management unit (2) connected to the computer network, and a first memory unit (3) connected to the access management unit (2) are provided, wherein in the first memory unit (3) the respective identifier (K ) are stored for digital content (C) and the authorization data for the users, and the access management unit (2) based on the user identification data (N) and the authorization data, the authorization of the user for digital Content (C) is determined, and provided with the access management unit (2) content management unit (4) and with the content management unit (4) connected second memory unit (6) are provided, wherein in the second memory unit (6) the digital content (C ), and the content management unit (4) retrieves the digital content (C) from the entitlement determined by the access management unit (2) and provides it to the access management unit (2).
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ATA1572/2006 | 2006-09-20 | ||
AT15722006 | 2006-09-20 |
Publications (2)
Publication Number | Publication Date |
---|---|
WO2008034841A2 true WO2008034841A2 (en) | 2008-03-27 |
WO2008034841A3 WO2008034841A3 (en) | 2008-05-15 |
Family
ID=38862728
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2007/059885 WO2008034841A2 (en) | 2006-09-20 | 2007-09-19 | Method for controlling access and access control system for digital contents |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2008034841A2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013152986A1 (en) * | 2012-04-11 | 2013-10-17 | Deutsche Post Ag | Secure generation of a user account in a service server |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996042021A1 (en) * | 1995-06-09 | 1996-12-27 | Boshell & Knox | Personal satellite link with user identifier |
WO1997015008A1 (en) * | 1995-06-06 | 1997-04-24 | At & T Ipm Corp. | System and method for database access control |
WO2001018631A1 (en) * | 1999-09-02 | 2001-03-15 | Medical Data Services Gmbh | Method for anonymizing data |
DE19953699A1 (en) * | 1999-09-03 | 2001-05-31 | Ifu Diagnostic Systems Gmbh | Smart card access of internet for transmission of medical patient data |
-
2007
- 2007-09-19 WO PCT/EP2007/059885 patent/WO2008034841A2/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1997015008A1 (en) * | 1995-06-06 | 1997-04-24 | At & T Ipm Corp. | System and method for database access control |
WO1996042021A1 (en) * | 1995-06-09 | 1996-12-27 | Boshell & Knox | Personal satellite link with user identifier |
WO2001018631A1 (en) * | 1999-09-02 | 2001-03-15 | Medical Data Services Gmbh | Method for anonymizing data |
DE19953699A1 (en) * | 1999-09-03 | 2001-05-31 | Ifu Diagnostic Systems Gmbh | Smart card access of internet for transmission of medical patient data |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013152986A1 (en) * | 2012-04-11 | 2013-10-17 | Deutsche Post Ag | Secure generation of a user account in a service server |
Also Published As
Publication number | Publication date |
---|---|
WO2008034841A3 (en) | 2008-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2843585B1 (en) | Method and system for providing anonymised data from a database | |
DE60130377T2 (en) | METHOD FOR CONTROLLING ACCESS TO DIGITAL CONTENT AND STREAMING MEDIA | |
DE112010003464T5 (en) | Modification of access control lists | |
EP2263189B1 (en) | Method and device for transcoding during an encryption-based access check on a database | |
DE112020000538T5 (en) | FINE-GRAINED TOKEN-BASED ACCESS CONTROL | |
DE112020000134T5 (en) | SECURE, MULTI-LEVEL ACCESS TO DISCOVERED DATA FOR ANALYZES | |
EP2718848A2 (en) | Access control to data stored in a cloud | |
EP2235598A1 (en) | Field device and method of operation thereof | |
WO2011061061A1 (en) | Method and device for accessing files of a secure fileserver | |
WO2005081089A1 (en) | Method for protecting confidential data | |
WO2008034841A2 (en) | Method for controlling access and access control system for digital contents | |
EP1528450A1 (en) | Method for identification, authentication and authorisation of user access to secured data | |
WO1999012088A1 (en) | Method for controlling distribution and use of software products with network-connected computers | |
EP1701281A1 (en) | Method and system for logging into a service | |
EP3355141B1 (en) | Operator system for a process control system | |
EP3062255A1 (en) | Licensing of software products | |
WO2011080079A1 (en) | Method and system for making edrm-protected data objects available | |
DE60315900T2 (en) | USER ACCESS TO CORPORATE UNIT DEFINITION REGISTERS | |
DE10307996A1 (en) | Data encoding method e.g. for different users of a system, involves obtaining data through different users, with whom user data key becomes encoding and decoding of data | |
WO2011147693A1 (en) | Method for providing edrm-protected (enterprise digital rights management) data objects | |
EP1797495A1 (en) | Method for computer-controlled rights management for systems comprising at least two different data processing units | |
EP2169588A1 (en) | Method for guaranteeing safety | |
DE102015119140A1 (en) | Method for controlling access to encrypted files and computer system | |
WO2016096147A1 (en) | Method for managing a number of subscriptions of a mobile network operator on a security element | |
WO2008119787A1 (en) | Method for providing computer-based services and/or applications, data processing system, and control program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 07820329 Country of ref document: EP Kind code of ref document: A2 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 07820329 Country of ref document: EP Kind code of ref document: A2 |