AT504214B1 - Verfahren zur dynamischen, datenabhängigen bestimmung und anwendung von berechtigungen in hierarchischen und relationalen umgebungen - Google Patents
Verfahren zur dynamischen, datenabhängigen bestimmung und anwendung von berechtigungen in hierarchischen und relationalen umgebungen Download PDFInfo
- Publication number
- AT504214B1 AT504214B1 AT62007A AT62007A AT504214B1 AT 504214 B1 AT504214 B1 AT 504214B1 AT 62007 A AT62007 A AT 62007A AT 62007 A AT62007 A AT 62007A AT 504214 B1 AT504214 B1 AT 504214B1
- Authority
- AT
- Austria
- Prior art keywords
- objects
- permissions
- user
- hierarchical
- authorizations
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Description
2 AT 504 214 B1
Gegenstand der Erfindung ist ein Verfahren zur dynamischen und datenabhängigen Bestimmung und Anwendung von Berechtigungen in hierarchischen und relationalen Umgebungen, bestehend aus einer geeigneten Zusammenschaltung von elektronischen oder informationstechnischen Authentifizierungssystemen, einem Kryptographie- oder Kodiersystem und einem 5 hierarichisch organisierten relationalen System (beispielsweise elektronisches Schließsystem, Multiuserdatenbanken oder Schalt- und Baugruppenpläne etc.)·
Es sind verschiedene Verfahren zur Bestimmung und Anwendung von Berechtigungen bekannt: Einträgen der Berechtigungen in eine Zugriffsliste (ACL Access Control List) pro Objekt. Verer-io ben von Berechtigungen eines übergeordneten Objektes an untergeordnete Objekte (IACL Inherited Access Control List). Gesteuerte Berechtigungen (SACL Scripted Access Control List), bei denen überein Regelsystem (Script, Programm, Verdrahtung) für jedes Objekt die speziellen Berechtigungen bestimmt werden und einige mehr. Auf diese Verfahren wird nicht näher eingegangen, da sie als allgemein bekannt vorausgesetzt werden können. 15
Dem Erfinder ist das Patent US 6 038 563 A (Bapat et al.) bekannt, in dem die Objekte einer Datenbank über Zertifikatstabellen verwaltet werden. Die Tabellen entsprechen nicht dem dynamischen Zugriff, der in Anspruch 1 beschrieben ist. 20 Dem Erfinder ist das Patent DE 10 2004 047 146 A1 (Bayer Business Services GmbH) bekannt, das sich im Gegensatz zu Anspruch 1, auf das Verfahren zur Rechteverwaltung bezieht.
Dem Erfinder ist das Patent WO 2005/091106 A1 (Siemens Aktiengesellschaft) bekannt, das ein Programm beschreibt, mit dem Berechtigungen geprüft und gesetzt werden und nicht, wie in 25 Anspruch 1, die Objekte selbst mit einer Verschlüsselung ausgestattet sind.
Dem Erfinder ist das Patent DE 100 38 779 A1 (Schneider Automation GmbH) bekannt, das nur die Übertragung von oder zu einem Steuergerät betrachtet. 30 Dem Erfinder ist das Patent EP 1 282 432 A1 (Swisscom AG) bekannt, das ein Zertifikats-Auskunftssystem darstellt und nicht wie in Anspruch 1 niedergelegt, die Verwendung der Zertifikate zur Indizierung.
Dem Erfinder ist das Patent WO 2004/010271 A2 (Eoriginal Inc.) bekannt, das sich auf ein 35 Dokumentenmanagement-System bezieht, mit dem die Dokumente signiert werden und man so deren Gültigkeit feststellen kann.
Dem Erfinder ist das Patent WO 2001/67705 A2 (Herbert Street Technologies Ltd.) bekannt, das lediglich ein Datentransfer- und Managementsystem darstellt. Dieses System hat mit dem 40 vom Erfinder beschriebenen System nichts zu tun, weil es sich nicht auf die Berechtigungsverwaltung, sondern auf den Datentransfer bezieht.
Die gegenständliche Erfindung vermeidet, im Gegensatz zu den bekannten Verfahren, dass ein Objekt im Gesamtsystem mit nur einem bestimmten Satz von Berechtigungen pro Teilnehmer 45 ausgestattet werden kann. Weiters ist es möglich, die Vorteile von hierarchischen und relationalen Systemen zu verbinden.
Der Erfindung liegt die Aufgabe zugrunde, in systematischer Art und Weise Zugriff auf Informationen, Baugruppen o.ä., im weiteren als Objekte bezeichnet, zu ermöglichen. Alle Objekte 50 sollen in einer linearen Anordnung (Tabelle, Liste) vorhanden sein um zu vermeiden, dass Redundanzen oder Doubletten zu einer nicht eindeutigen Situation (Entity Anomalie) führen. Die Objekte verschiedener eindeutiger Listen werden variabel kombiniert, um Gesamtgeräte unterschiedlicher Funktionalität oder unterschiedliche Informationsdarstellungen zu erzeugen. Abhängig vom Gerät oder von Informationsdarstellung und Benutzer ergeben sich Unterschiedes liehe Berechtigungen. Diese Zusammenstellungen muss man in einem hierarchischen System 3 AT 504 214 B1 abbilden.
Der Erfindung liegt die Aufgabe zugrunde, in ein und der selben Liste befindliche Objekte von verschiedenen Benutzern verwendbar zu machen. In dieser Tabelle werden die Berechtigungen 5 disjunkt vergeben. Ein Benutzer darf bestimmte Objekte lesen und bestimmte verändern. Für einen anderen Benutzer muss eine andere Konfiguration der Berechtigungen möglich sein.
Der Erfindung liegt die Aufgabe zugrunde, eine leicht zu modifizierende Rechtestruktur zu ermöglichen, die z.B. ein und die selbe Baugruppe im Entwurfsfall eines elektronischen Regelsys-io tems für den Entwickler in seinen Eigenschaften veränderbar macht und im Falle des Produktivgerätes nur mehr einen lesenden Zugriff erlaubt.
Vorteilhaft gegenüber allen anderen bekannten Verfahren ist hier, dass die Informationen über Berechtigungen abseits der Liste oder Tabelle definiert sind, sodass bezüglich des Objektein-15 satzes völlige Freiheit besteht. Die Berechtigungen werden nicht wie bei z.B. herkömmlichen relationalen Datenbanken als Berechtigung für Tabellen gespeichert, wobei nur die Attribute der Objekte der gesamten Tabelle lesbar oder schreibbar sein können. Die Berechtigungen werden nicht wie bei hierarchischen Systemen in einem Hierarchieknoten gespeichert und die Objekte in diese Hierarchiestufe kopiert, woraus die Gefahr von Ambiguitäten resultiert, wie in EDV-20 Verzeichnissystemen üblich. In bekannten Verfahren werden Objekte von einem in den anderen Kontext transferiert, um unterschiedliche Zugriffsberechtigungen zu erzielen, dadurch ergibt sich, dass in dem einen Kontext das Objekt verschwindet, um im anderen Kontext vorhanden zu sein. Vorteilhaft gegenüber diesem Verfahren ist, dass die Objekte nicht von einem Kontext in den anderen Kontext transportiert werden, wodurch ein gleichzeitiges Darstellen unter unter-25 schiedlichen Voraussetzungen möglich ist.
Nach einem vorteilhaften Merkmal der Erfindung ist vorgesehen, dass die Information über die Berechtigungen nicht beim Objekt abgespeichert werden, sondern in der Beziehung zwischen Objekt und Betrachter oder einem obergeordneten Hierarchieelement. Dadurch wird eine Tren-30 nung in Objektdaten und Berechtigungsdaten möglich. Dabei ist es unerheblich, ob dies in Zusammenhang mit einer Datenbank, einem elektronischen System oder einer organisatorischen Einheit steht.
Ein Ausführungsbeispiel des Verfahrens ist in Zeichnung 1 und der folgenden Beschreibung 35 dargestellt. Es zeigt:
In Zeichnung 1 ist beispielhaft eine Anwendung auf ein Berechtigungsystem eines RDBMS (Relationalen Datenbank Management Systems) dargestellt. Dabei handelt es sich um den Zugriff eines beliebigen Benutzers auf eine Tabelle mit Objekten. Der Benutzer hat nur Zugang 40 zum Benutzerbereich und so auch nur zu den verschlüsselten Objektdaten, die er mit Hilfe des für ihn erzeugten Zertifikates entschlüsseln kann.
Die Administration erfolgt im Administrationsbereich, in dem Benutzerberechtigungen beliebiger Art bestimmten Gruppen zugeordnet werden. Unter Gruppen versteht man in diesem Zusam-45 menhang Gruppen von Objekten der betrachteten Tabelle, beispielsweise alle rechteckigen Objekte.
Das RDBMS erstellt nun ein Benutzerzertifikat und eine passende Verschlüsselung für die Objektgruppe aus der Tabelle mit Objekten und wendet die Verschlüsselung auf diese Objekte so an. Die so erzeugten Daten werden dem Benutzer zugänglich gemacht. Für die Verschlüsselung können beliebig komplizierte oder einfache unsymmetrische Schlüssel (RSA, MD5, ...) verwendet werden, es muss nur sicher gestellt sein, dass diese den Geschwin-digkeits- und Sicherheitsanforderungen genügen. 55
Claims (1)
- 4 AT 504 214 B1 Bei einer neuerlichen Abfrage werden alle Zertifikate und Schlüssel neu erzeugt, sodass die erhaltenen Daten nur im Moment des Abfragens uneingeschränkte Gültigkeit haben. Wenn sich die Berechtigungen ändern, werden im Moment des Änderns alle weiteren Abfragen mit den richtigen Berechtigungen abgearbeitet. Patentanspruch: Verfahren zur dynamischen datenabhängigen Bestimmung und Anwendung von Berechtigungen in hierarchischen und relationalen Umgebungen, dadurch gekennzeichnet, dass die Berechtigung Objekte zu lesen oder zu modifizieren über ein Zugangszertifikat gesteuert wird, wobei der Zugriff mit Hilfe des Zertifikates transparent für den Benutzer erfolgt mit einem Zertifikat, das datenabhängig erstellt wird, sodass der Benutzer nur die für ihn erlaubten Aktionen, lesen, schreiben, modifizieren, löschen, auf erlaubten Objekten anwenden kann, mit der wesentlichen Eigenschaft, dass die Berechtigungen in einer Berechtigungsreferenz niedergelegt werden, die dem Benutzer nicht zugänglich ist und die Selektion der Objekte mit dem zur Verfügung gestellten Schlüssel erfolgt. Hiezu 1 Blatt Zeichnungen
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AT62007A AT504214B1 (de) | 2007-01-03 | 2007-01-03 | Verfahren zur dynamischen, datenabhängigen bestimmung und anwendung von berechtigungen in hierarchischen und relationalen umgebungen |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AT62007A AT504214B1 (de) | 2007-01-03 | 2007-01-03 | Verfahren zur dynamischen, datenabhängigen bestimmung und anwendung von berechtigungen in hierarchischen und relationalen umgebungen |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| AT504214B1 true AT504214B1 (de) | 2008-04-15 |
| AT504214A4 AT504214A4 (de) | 2008-04-15 |
Family
ID=39273021
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| AT62007A AT504214B1 (de) | 2007-01-03 | 2007-01-03 | Verfahren zur dynamischen, datenabhängigen bestimmung und anwendung von berechtigungen in hierarchischen und relationalen umgebungen |
Country Status (1)
| Country | Link |
|---|---|
| AT (1) | AT504214B1 (de) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6038563A (en) * | 1997-10-31 | 2000-03-14 | Sun Microsystems, Inc. | System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects |
| WO2001067705A2 (en) * | 2000-03-10 | 2001-09-13 | Herbert Street Technologies Ltd. | A data transfer and management system |
| DE10038779A1 (de) * | 2000-08-09 | 2002-03-07 | Schneider Automation Gmbh | Verfahren zur Übertragung von Daten in ein oder aus einem Steuerungsgerät wie speicherprogrammierbare Steuerung sowie Steuerungsgerät |
| EP1282432A1 (de) * | 2000-05-19 | 2003-02-12 | University of Maryland, Baltimore | METHODE ZUR VERWENDUNG VON PEPTIDANTAGONISTEN VON ZONULIN ZUR PRäVENTION BZW. VERZöGERUNG DER ENTSTEHUNG VON DIABETES |
| WO2004010271A2 (en) * | 2002-07-18 | 2004-01-29 | Eoriginal, Inc. | System and method for the transmission, storage and retrieval of authenticated documents |
| WO2005091106A1 (de) * | 2004-03-17 | 2005-09-29 | Fujitsu Siemens Computers Gmbh | Verfahren und steuerungsprogramm zur überprüfung und/oder einräumung einer berechtigung zum zugriff auf ein computerbasiertes objekt |
| DE102004047146A1 (de) * | 2004-09-29 | 2006-03-30 | Bayer Business Services Gmbh | Rechteverwaltung |
-
2007
- 2007-01-03 AT AT62007A patent/AT504214B1/de not_active IP Right Cessation
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6038563A (en) * | 1997-10-31 | 2000-03-14 | Sun Microsystems, Inc. | System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects |
| WO2001067705A2 (en) * | 2000-03-10 | 2001-09-13 | Herbert Street Technologies Ltd. | A data transfer and management system |
| EP1282432A1 (de) * | 2000-05-19 | 2003-02-12 | University of Maryland, Baltimore | METHODE ZUR VERWENDUNG VON PEPTIDANTAGONISTEN VON ZONULIN ZUR PRäVENTION BZW. VERZöGERUNG DER ENTSTEHUNG VON DIABETES |
| DE10038779A1 (de) * | 2000-08-09 | 2002-03-07 | Schneider Automation Gmbh | Verfahren zur Übertragung von Daten in ein oder aus einem Steuerungsgerät wie speicherprogrammierbare Steuerung sowie Steuerungsgerät |
| WO2004010271A2 (en) * | 2002-07-18 | 2004-01-29 | Eoriginal, Inc. | System and method for the transmission, storage and retrieval of authenticated documents |
| WO2005091106A1 (de) * | 2004-03-17 | 2005-09-29 | Fujitsu Siemens Computers Gmbh | Verfahren und steuerungsprogramm zur überprüfung und/oder einräumung einer berechtigung zum zugriff auf ein computerbasiertes objekt |
| DE102004047146A1 (de) * | 2004-09-29 | 2006-03-30 | Bayer Business Services Gmbh | Rechteverwaltung |
Also Published As
| Publication number | Publication date |
|---|---|
| AT504214A4 (de) | 2008-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9411977B2 (en) | System and method for enforcing role membership removal requirements | |
| DE69736310T2 (de) | Erzeugung und Verteilung digitaler Dokumente | |
| DE202020106393U1 (de) | Datenaustausch | |
| DE69534490T2 (de) | Verfahren zur sicheren anwendung digitaler unterschriften in einem kommerziellen verschlüsselungssystem | |
| DE60212920T2 (de) | Verfahren und system zur verwaltung von digitalen abonnementrechten | |
| DE102009001719B4 (de) | Verfahren zur Erzeugung von asymmetrischen kryptografischen Schlüsselpaaren | |
| DE102011077218B4 (de) | Zugriff auf in einer Cloud gespeicherte Daten | |
| DE102012218576A1 (de) | Verschlüsseln von Daten und Charakterisierungsdaten, die den gültigen Inhalt einer Spalte beschreiben | |
| DE112021002201T5 (de) | Datenschutzorientierte Datensicherheit in einer Cloud-Umgebung | |
| DE102019004726A1 (de) | Verfahren, Vorrichtung, System, elektronisches Schloss, digitaler Schlüssel und Speichermedium für die Autorisierung | |
| AT504214B1 (de) | Verfahren zur dynamischen, datenabhängigen bestimmung und anwendung von berechtigungen in hierarchischen und relationalen umgebungen | |
| DE112012000780B4 (de) | Verarbeiten von Berechtigungsprüfungsdaten | |
| EP3552141A1 (de) | Server-computersystem zur bereitstellung von datensätzen | |
| EP3539045B1 (de) | System mit zertifikat-basierter zugriffskontrolle | |
| WO2018087175A1 (de) | Zugriffskontrolle auf datenobjekte | |
| WO2018130426A1 (de) | Anonymisierung einer blockkette | |
| DE112022003983T5 (de) | Berechtigte, sichere datenverschiebung | |
| EP3580908B1 (de) | Zugriffsverwaltungssystem zum export von datensätzen | |
| DE102021130811A1 (de) | Blockchain-selektive world-state-datenbank | |
| DE102016224455A1 (de) | Datenbankindex aus mehreren Feldern | |
| DE102005049510B4 (de) | Verfahren zum Verwalten eines Sicherheitssystems | |
| DE102017011782A1 (de) | Produkt- und Qualitäts-Verfolgbarkeit für die Additive Fertigung und Dokumentation zur Absicherung des Geistigen Eigentums | |
| EP2187282A1 (de) | Verfahren zum Betreiben einer Anlage unter Verwendung von gegen unberechtigte Verwendung gesicherten Daten | |
| DE102015119140A1 (de) | Verfahren zum Steuern des Zugriffs auf verschlüsselte Dateien und Computersystem | |
| DE19932703A1 (de) | Datenverarbeitungsvorrichtung |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM01 | Lapse because of not paying annual fees |
Effective date: 20180103 |