DE10152121A1 - Regelbasierte Verarbeitungskontrolle mobiler Information - Google Patents

Regelbasierte Verarbeitungskontrolle mobiler Information

Info

Publication number
DE10152121A1
DE10152121A1 DE2001152121 DE10152121A DE10152121A1 DE 10152121 A1 DE10152121 A1 DE 10152121A1 DE 2001152121 DE2001152121 DE 2001152121 DE 10152121 A DE10152121 A DE 10152121A DE 10152121 A1 DE10152121 A1 DE 10152121A1
Authority
DE
Germany
Prior art keywords
processing
node
event
information
instance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE2001152121
Other languages
English (en)
Other versions
DE10152121B4 (de
Inventor
Ramon Moerl
Andreas Koke
Peter Hartmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sios fur Dv Architekture GmbH
Original Assignee
Sios fur Dv Architekture GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sios fur Dv Architekture GmbH filed Critical Sios fur Dv Architekture GmbH
Priority to DE2001152121 priority Critical patent/DE10152121B4/de
Publication of DE10152121A1 publication Critical patent/DE10152121A1/de
Application granted granted Critical
Publication of DE10152121B4 publication Critical patent/DE10152121B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

Regelbasierte Verarbeitungskontrolle mobiler Information für eine dezentrale regelbasierte Verarbeitungskontrolle von Objekten, die in ein DV-Gerät importiert oder exportiert werden sollen oder dort verwendet werden sollen. Eine Kontrollanfrage wird durch eine Zugriffsvorrichtung bei Erfassung eines Ereignisses im Zusammenhang mit einem Objekt erzeugt und an eine Steuervorrichtung übertragen. Dort wird eine Verarbeitungsvorschrift für das Objekt aufgrund von Ereignisinformation und Objektinformation ausgewählt und das Objekt wird entsprechend der ausgewählten Verarbeitungsvorschrift verarbeitet.

Description

    Gebiet der Erfindung
  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Durchführung einer Verarbeitungskontrolle auf Objekte in einem DV-Gerät oder auf Objekte mit einer Repräsentation in einem DV-Gerät, sowie auf Objekte bzw. deren Repräsentationen, welche in ein oder aus einem DV-Gerät übertragen werden sollen.
    • Hintergrund der Erfindung
  • Zugriffskontrollverfahren sind in der Informationstechnik bekannt und werden eingesetzt, wie beispielsweise beschrieben in O. Fries u. a., Sicherheitsmechanismen, Oldenbourg 1993, H. Kersten, Sicherheit in der Informationstechnik, Oldenbourg 1995, S. Garfinkel, G. Spafford, Practical Unix & Internet Security, O'Reilly 1996, A. D. Rubin u. a., Web Security Sourcebook, Wiley Computer Publishing, 1997, und D. B. Chapman u. a., Einrichten von Internet Firewalls, O'Reilly 1997.
  • Dabei treten stets Subjekte, Objekte und Methoden auf: Ein Subjekt möchte mit einer Methode auf ein Objekt zugreifen. Nach verschiedenen Verfahren wird dieser Wunsch gewährt oder verweigert. Zugriffsschutzmodelle teilen sich ein in die beiden Haupttypen
    • - benutzerbestimmte Zugriffskontrolle (DAC, discretionary access control)
    • - regelbasierte Zugriffskontrolle (MAC, mandatory access control)
  • Die Zugriffsschutzinformation wird dabei entweder in einer Zugriffsschutzmatrix gehalten, oder als Attribute an die Subjekte (Gruppen, Rollen, Privilegien) bzw. an die Objekte (Access Control Lists) gebunden. Auch Kombinationen dieser Verfahren sind üblich und in Produkten vorhanden. Das Erstellen der Zugriffsschutzmatrix erfordert für jedes Paar Subjekt/Objekt einen administrativen Vorgang, ebenso das Anhängen von Attributen an Subjekte bzw. an Objekte.
  • Ein wesentliches administratives Problem besteht darin, neu in das System eingeführte Objekte automatisch mit der richtigen Zugriffsschutzinformation zu versehen. Mehrere Verfahren sind hierzu bekannt:
    Wird ein Objekt von der Administration in ein System importiert, so ist eine regelbasierte Zugriffskontrolle möglich:
    • - das Vererbungsverfahren: Dabei erben Objekte die Zugriffsschutzinformation von dem schon vorhandenen Container, in dem sie gelagert werden (z. B. Unix, Windows NT/2000).
    • - Objektklassifizierung: Objekte werden in Typen eingeteilt (z. B. an Hand der Dateiextension) und davon abhängig die Zugriffschutzinformation erzeugt.
  • In verteilten Systemen sind die Subjekte häufig Computerbenutzer, die Objekte in ihren Rechner importieren wollen. Solche Objekte sind dann im Besitz des Benutzers, der selbst die Verarbeitungsregeln für das Objekt bestimmt. Hierzu sind DAC-Methoden bekannt:
    • - Einbringen in einen Container und Zuordnung von Rechten entsprechend dem Vererbungsverfahren.
    • - Neu einzuführende Objekte werden mit Hilfe einer digitalen Unterschrift signiert. An Hand der Signatur, die den Erzeuger des Objektes identifiziert, wird dem Subjekt die Entscheidung über eine Verwendung überlassen. (z. B. in ActiveX realisiert).
    • - Aus der Internettechnologie ist das Prinzip der Sandbox bekannt, in dem aktive Objekte die in das System eingeführt werden nur begrenzte Rechte erhalten, und somit nur begrenzte Verwendung möglich ist.
    • - In Firewall Systemen werden "Application Proxies" als Filter eingesetzt, die für Internet Anwendungen applikationsspezifisch den Durchgang von Daten erlauben oder verweigern.
  • Ein weiteres administratives Problem bei verteilten Systemen besteht darin, dass beim Empfänger eines Objektes vor dem Zugriff dessen Integrität garantiert werden muss. Die Integrität von Objekten kann mit Hilfe einer digitalen Signatur gewährleistet werden.
  • In modernen DV-Systemen ergibt sich aus verschiedenen Faktoren, die Notwendigkeit eines neuartigen Sicherheitssystems das durch die existierenden Zugriffschutzverfahren nicht geleistet werden kann: Es wird immer mehr in Netzwerken gearbeitet, die zentral administriert werden, wobei die Endbenutzer von administrativer Tätigkeit entlastet werden. Diese Entlastung bedeutet beispielsweise die automatisierte Aktivierung von Vorgängen, wie etwa der Installation von Software ohne Einfluss und Kontrollmöglichkeit durch den Anwender.
  • Hohe Datenvolumina, große Benutzergruppen und die komplexe Struktur von Anwendungen und Nutzdaten verhindern häufig eine direkte Kontrolle der Administration darüber, dass mit Objekten auf den DV-Geräten so verfahren wird wie vorgeschrieben oder beabsichtigt. Software kann beispielsweise direkt von externen Providern an Endanwender geliefert und von diesen installiert werden.
  • Dabei sind die Rechner der Endbenutzer teils stets im Netzwerk eingebunden, werden teils aber auch netzunabhängig betrieben oder nur gelegentlich über, Infrarot oder andere Schnittstellen an das Netz angebunden.
  • Konsequenzen dieser Netz- und Verwaltungsstruktur sind zum Beispiel:
    • - Ein DV-Gerät kann Anwendungen (auch sicherheitsrelevante) von einer unbekannten Netzquelle über nicht vertrauenswürdige Transportwege zur Verfügung gestellt bekommt. Dies kann sogar ohne Kenntnisnahme eines Benutzers geschehen.
    • - Eine Kommunikationsverbindung zu einem DV-Gerät kann automatisch aufgebaut werden und ein Datenaustausch kann stattfinden, ohne dass dieser vom Besitzer der Information initiiert wurde oder diesem Besitzer überhaupt bekannt ist.
  • Die einfache und notwendige Zielsetzung, auf einem DV- Endgerät oder in einem DV-System zu jedem Zeitpunkt die Kontrolle zu haben, welcher Softwarestand, in welcher Konfiguration auf welchen Daten benutzt werden darf, und mit welchen Verfahren auf welche - möglicherweise noch unbekannten - Daten der Benutzer welche Zugriffsrechte besitzt, lässt sich in den beschriebenen Verfahren weder dezentral durch den Benutzer noch zentral durch einen Administrator noch durch die Zusammenarbeit beider zufriedenstellend erreichen.
    • Zusammenfassung der Erfindung
  • Der Erfindung liegt das Problem zu Grunde, eine verbesserte Verarbeitungskontrolle für Objekte zu realisieren, die in ein DV-Gerät importiert oder exportiert werden sollen, oder dort verwendet werden sollen.
  • Dieses Problem wird durch ein Verfahren zur Verarbeitungskontrolle von Objekten gelöst, mit den Schritten:
    Erzeugen einer Kontrollanfrage durch eine Zugriffsvorrichtung bei Erfassung eines Ereignisses in Zusammenhang mit einem Objekt, wobei die Kontrollanfrage das Ereignis beschreibende Ereignisinformation und das Objekt beschreibende Objektinformation enthält;
    Übertragen der Kontrollanfrage an eine Steuervorrichtung;
    Auswählen einer Verarbeitungsvorschrift für das Objekt aufgrund der Ereignisinformation und Objektinformation aus einem Zugriffsinformationsspeicher, der dem Objekt und dem Ereignis zugeordnete Verarbeitungsvorschriften speichert; und
    Verarbeiten des Objekts entsprechend der Verarbeitungsvorschrift.
  • Das Ereignis kann eine Handhabungsanweisung oder eine Anweisung für einen Übertragungsversuch über einen realen oder virtuellen Datenkanal darstellen.
  • Somit kann eine dezentrale regelbasierte Verarbeitungskontrolle für Objekte realisiert werden, die in ein DV-Gerät importiert oder exportiert werden sollen, oder dort verwendet werden sollen.
  • Weiter kann die Anweisung zur Übertragung des Objektes über den Datenkanal einen Import des Objektes in eine oder einen Export aus einer Datenverarbeitungsvorrichtung von/zu einem Peripheriegerät oder von/zu einem Netzwerk beinhalten.
  • Vorteilhaft kann eine Vielzahl von Datenkanälen kann der Zugriffsvorrichtung zugeordnet sein.
  • Zudem kann die Objektinformation Information über ein Subjekt enthalten, welches das Ereignis initiiert hat.
  • Weiter kann die Verarbeitungsvorschrift zumindest einen Schritt der folgenden Liste beinhalten:
    • - Freigabe oder Sperrung der Übertragung des Objektes über einen Datenkanal;
    • - Freigabe des Imports mindestens eines Teils des Objektes und Zuordnen von lokal gültiger Zugriffsschutzinformation;
    • - Freigabe des Imports mindestens eines Teils des Objektes in einen gesicherten Speicherbereich;
    • - Freigabe oder Sperrung der Übertragung des Objektes über einen Datenkanal und Auslösung von definierten Verarbeitungsschritten.
  • Das Objekt kann in Beziehung zu der Zugriffsvorrichtung und/oder dem Zugriffsinformationsspeicher stehen und die Auswahl der Verarbeitungsvorschrift kann ein Überprüfen von Attributen und/oder nachprüfbaren Qualitäten des Objektes beinhalten.
  • Die Auswahl der Verarbeitungsvorschrift kann weiter eine Berücksichtigung der Rolle des Subjektes beinhalten, welches das Ereignis initiiert hat.
  • Der Zugriffsinformationsspeicher kann einen ersten Speicherbereich mit Ereignisinformation zu einer Vielzahl von Ereignissen und einen zweiten Speicherbereich mit Objektinformation zu einer Vielzahl von Objekten enthält.
  • Weiter kann die Ereignisinformation in einer Baumstruktur mit Ereignisknoten gespeichert sein, wobei jedes Ereignis einem Ereignisknoten zugeordnet ist, und die Objektinformation in einer Baumstruktur mit Objektklassenknoten gespeichert ist, wobei jeder Objektklasse ein Objektknoten zugeordnet ist, und die Objektinformation kann eine Objektklasse und eine Objektinstanz oder eine Menge von Objektinstanzen umfassen.
  • Weiter kann vorteilhaft eine Verarbeitungsvorschrift eine Knotenverarbeitungsvorschrift oder eine Objektverarbeitungsvorschrift sein;
    einem Ereignisknoten eine Objektklassenliste mit n >= 0 Objektklassen und eine Knotenverarbeitungsvorschrift zugeordnet sein, und den Objektknoten eine Knotenverarbeitungsvorschrift und Instanzlisten mit m >= 0 Listeneinträgen zugeordnet sein, wobei jeder Listeneintrag eine Instanz oder eine Instanzmenge und eine zugehörige Objektverarbeitungsvorschrift enthalten kann; und
    die Objektverarbeitungsvorschrift eines Listeneintrags kann einer positiven Identifizierung zugeordnet sein, sowie die Knotenverarbeitungsvorschrift eines Ereignisknotens und die Knotenverarbeitungsvorschrift eines Objektknotens einer negativen Identifizierung.
  • Das Auswählen der Verarbeitungsvorschrift kann beinhalten:
    Identifizieren des Ereignisknotens, dem der Ereignis zugeordnet ist;
    Suchen in der Objektklassenliste des identifizierten Ereignisknotens nach einer Objektklasse, die das Objekt umfasst; und
    Verarbeiten des Objektes gemäß der Knotenverarbeitungsvorschrift, falls in der Objektklassenliste des identifizierten Ereignisknotens eine Objektklasse, die das Objekt umfasst, nicht enthalten ist.
  • Weiter kann die Verarbeitungsvorschrift eine positive und eine negative Teilverarbeitungsvorschrift umfassen; und
    bei Erfüllung eines Ereigniskriteriums kann das Objekt gemäß der positiven Knotenteilverarbeitungsvorschrift verarbeitet werden und bei Nichterfüllung des Ereigniskriteriums das Objekt gemäß der negativen Knotenteilverarbeitungsvorschrift verarbeitet werden.
  • Das Ereigniskriterium kann mindestens ein Element der folgenden Liste betreffen:
    • - einen zulässigen und gültigen Objektnamen;
    • - einen gültigen Hashwert;
    • - Information über den Initiator der Objektanfrage;
    • - eine gültige und zulässige digitale Unterschrift;
    • - eine Verschlüsselung; und
    • - Referenzen auf notwendige Information.
  • Falls in der Objektklassenliste des identifizierten Ereignisknotens eine Objektklasse, die das Objekt umfasst, enthalten ist kann folgendes durchgeführt werden:
    Identifizieren des zugehörigen Objektklassenknotens;
    Suchen in der Instanzenliste des identifizierten Objektklassenknotens nach einer Instanz, der die Instanz des Objektes entspricht;
    Auswahl der Objektverarbeitungsvorschrift, welche diesem Instanzlisteneintrag zugeordnet ist;
    Verarbeitung des Objektes gemäss dieser Objektverarbeitungsvorschrift, falls eine solche gefunden wurde; und
    Verarbeitung des Objekts gemäss der Knotenverarbeitungsvorschrift des identifizierten Objektklassenknotens, falls das Objekt in der Instanzliste nicht gefunden wurde.
  • Die Knotenverarbeitungsvorschrift eines Objektknotens kann eine positive und negative Knotenteilverarbeitungsvorschrift umfassen und, falls in der Instanzliste keine dem Objekt entsprechende Instanz gefunden wurde, bei Erfüllung eines Objektknotenkriteriums kann das Objekt gemäss der positiven Knotenteilverarbeitungsvorschrift verarbeitet werden und bei Nichterfüllung des Objektknotenkriteriums das Objekt gemäss der negativen Knotenteilverarbeitungsvorschrift verarbeitet werden.
  • Die Objektverarbeitungsvorschriften eines Objektknotens kann positive und negative Objektteilverarbeitungsvorschriften umfassen, und wobei, falls in der Instanzliste des identifizierten Objektknotens eine dem Objekt entsprechende Instanz gefunden wurde und ein diesem Listeneintrag zugeordnetes Objektkriterium erfüllt ist, das Objekt gemäss der positiven Objektteilverarbeitungsvorschrift verarbeitet werden und bei Nichterfüllung des Objektkriteriums das Objekt gemäß der negativen Objektteilverarbeitungsvorschrift verarbeitet werden.
  • Im Falle einer Containerinstanz kann die Verarbeitungsvorschrift aus einer Anweisung bestehen, die Zugriffsentscheidung auf die Inhalte des Containers zu beziehen.
  • Weiter kann die Verarbeitungskontrolle verwendet werden, um Aktualisierungen in der Steuervorrichtung und/oder im Zugriffsinformationsspeicher vorzunehmen.
  • Ein Programm kann bereitgestellt sein, mit Instruktionen zum Ausführen der vorhergehend beschriebenen Schritte. Weiter kann ein Computer lesbares Medium bereitgestellt sein, in dem ein Programm verkörpert ist, wobei das Programm einen Computer anweist, die vorhergehend beschriebenen Schritte auszuführen. Ein Computerprogrammprodukt kann das Computer lesbare Medium umfassen.
  • Weiter wird das der Erfindung zugrundeliegende Problem durch eine Vorrichtung zur Verarbeitungskontrolle von Objekten gelöst, umfassend:
    eine Zugriffsvorrichtung, um eine Kontrollanfrage bei Erfassung eines Ereignisses in Zusammenhang mit einem Objekt zu erzeugen, wobei die Kontrollanfrage das Ereignis beschreibende Ereignisinformation und das Objekt beschreibende Objektinformation enthält;
    einen Zugriffsinformationsspeicher, um dem Objekt und dem Datenkanal zugeordnete Verarbeitungsvorschriften zu Speichern; und
    eine Steuervorrichtung, um die Kontrollanfrage zu empfangen und aufgrund der Ereignisinformation und Objektinformation eine Verarbeitungsvorschrift für das Objekt auszuwählen und um eine Verarbeitung des Objekts entsprechend der Verarbeitungsvorschrift zu bewirken.
  • Weitere vorteilhafte Ausführungen der Erfindung sind in weiteren Ansprüchen offenbart.
    • Kurze Beschreibung der Zeichnungen
  • Fig. 1A zeigt in einem Flussdiagramm grundlegende Verarbeitungsschritte zur Verarbeitungskontrolle von Objekten gemäß einem Ausführungsbeispiel der Erfindung;
  • Fig. 1B zeigt ein Blockdiagramm des Aufbaus der Zugriffsvorrichtung zur Verarbeitungskontrolle von Objekten gemäß einem Ausführungsbeispiel der Erfindung.;
  • Fig. 2 zeigt in einem Flussdiagramm Verarbeitungsschritte zur Verarbeitungskontrolle von Objekten gemäß einem weiteren Ausführungsbeispiel der Erfindung;
  • Fig. 3 zeigt in einem Flussdiagramm Verarbeitungsschritte zur Verarbeitungskontrolle von Objekten gemäß einem weiteren Ausführungsbeispiel der Erfindung;
  • Fig. 4 zeigt ein Blockdiagramm einer Vorrichtung zur Verarbeitungskontrolle von Objekten gemäß einem Ausführungsbeispiel der Erfindung; und
  • Fig. 5 veranschaulicht Knoten Der ACDB der Vorrichtung aus Fig. 4.
    • Beschreibung bevorzugter Ausführungsbeispiele
  • Im folgenden wird mit Bezug auf Fig. 1A ein Ausführungsbeispiel der Erfindung beschrieben.
  • Fig. 1A zeigt grundlegende Verarbeitungsschritte zur Verarbeitungskontrolle von Objekten, d. h. eine regelbasierte Verarbeitungskontrolle von mobiler Information auf Datenverarbeitungsvorrichtungen gemäß einem Ausführungsbeispiel der Erfindung.
  • Die Erfindung kann beispielsweise auf der Basis bestehender Zugriffsschutzmechanismen in marktüblichen Betriebssystemen verwirklicht werden. Ohne den Umfang der Erfindung zu beschränken wird in Folgenden beispielhaft davon ausgegangen, dass die Zugriffsregeln von einer administrierenden Stelle gesetzt werden, die auf dem DV- Gerät des Benutzers Administrationsrechte hat. Weiter wird angenommen, dass der Benutzer des DV-Gerätes eingeschränkte Rechte hat, insbesondere um Dateien und Anwendungen auf dem DV-Gerät wirksam vor dem Zugriff des Benutzers zu schützen.
  • Die darauf aufbauende Verarbeitungskontrolle gemäß dem beschriebenen Ausführungsbeispiel der Erfindung führt die folgenden Schritte durch: Erzeugen einer Kontrollanfrage durch eine Zugriffsvorrichtung bei Erfassung eines Ereignisses in Zusammenhang mit einem Objekt in einem Schritt 101, wobei die Kontrollanfrage das Ereignis beschreibende Ereignisinformation und das Objekt beschreibende Objektinformation enthält; Übertragen der Kontrollanfrage an eine Steuervorrichtung in einem Schritt 102; Auswählen einer Verarbeitungsvorschrift für das Objekt aufgrund der Ereignisinformation und Objektinformation aus einem Zugriffsinformationsspeicher, der dem Objekt und dem Ereignis zugeordnete Verarbeitungsvorschriften speichert in einem Schritt 103; und Verarbeiten des Objekts entsprechend der Verarbeitungsvorschrift in einem Schritt 104.
  • Dabei kann die Entscheidung über das Verfahren mit dem Objekt unter Berücksichtigung des Weges getroffen werden, auf dem das Objekt zu oder aus einem DV-Gerät gelangt, und/oder unter Berücksichtigung von Attributen und Qualitäten des Objektes und/oder unter Berücksichtigung einer Rolle, die dem Subjekt zugeordnet ist, welches das Verfahren initiiert hat. Das Ergebnis der Entscheidung ist vorzugsweise das Setzen von Zugriffschutzinformation für das kontrollierte Objekt sowie die Durchführung einer definierten Menge von Verarbeitungsschritten.
  • Die Entscheidung über die Verarbeitung des Objekts kann insbesondere von folgenden Faktoren abhängig gemacht werden:
    • - Attribute oder nachprüfbare Qualitäten des Objektes, wie z. B. die Integrität.
    • - Freigabe oder Sperrung des Objektes durch eine dazu berechtigte Instanz.
    • - Kommunikationsweg über den das Objekt transportiert werden soll.
    • - Zugehörigkeit zu einer oder mehreren Objektklassen.
  • Das Ergebnis der Überprüfung kann dabei nicht nur die digitale Entscheidung ja/nein sein, sondern kann ein Verfahren definieren, wie mit dem Objekt vorgegangen wird. Beim Import bzw. Export von Daten können solche Verfahren beispielsweise sein:
    • - Ablehnung des Imports bzw. Exports des Objektes oder eines Teils des Objektes.
    • - Import des Objektes, Anfügen von lokal gültiger Zugriffsschutzinformation entsprechend der Sicherheitspolitik, welche die Verwendungsmöglichkeit durch den Anwender festlegt
    • - Import des Objektes auf das System in einen Speicherbereich, der nicht zum Zugriff durch das Subjekt freigegeben ist. Gegebenenfalls Gewährung des Zugriffs durch definierte Applikationen.
    • - Auslösung von definierten Verarbeitungsschritten beim Transport oder Transportversuch eines Objektes; z. B. erzeugen eines Log-Eintrags oder kontrollierte Installation einer Software ohne Benutzerinteraktion.
  • Bei der lokalen Verwendung von Objekten können solche Verfahren sein:
    • - Durchführung oder Ablehnung der angeforderten Verfahrensweise und gegebenenfalls Auslösung weiterer Verarbeitungsschritte, wie zum Beispiel Erzeugen eines Log- Files.
    • - Ersetzen der angeforderten Verfahrensweise durch eine andere Verfahrensweise, die durch das Verarbeitungskontrollsystem definiert wird.
  • Es ist möglich, dass das zu erfassende Ereignis dabei eine Handhabungsanweisung oder einen Übertragungsversuch nicht nur über einen realen, sondern auch über einen virtuellen Datenkanal darstellt.
  • Im folgenden wird mit Bezug auf Fig. 1B ein weiteres Ausführungsbeispiel der Erfindung beschrieben.
  • Fig. 1B zeigt den Aufbau der Zugriffsvorrichtung zur Verarbeitungskontrolle von Objekten gemäß einem Ausführungsbeispiel der Erfindung.
  • Die Ereignisse, allgemein mit 1.1 bezeichnet werden durch Softwarekomponenten 1.2 im DV-Gerät identifiziert, wie z. B. Gerätetreiber, Dienste oder Betriebssystemkomponenten, die unter dem Schutz der lokalen Systemrechte stehen und auf die von einem Benutzbereich 1.6 nicht zugegriffen werden kann. Diese Softwarekomponenten werden ergänzt durch neue Software-Komponenten, welche die Ereignisse registrieren und die Verarbeitungskontrolle initiieren.
  • Diese neuen Software-Komponenten werden Event-Proxies (EP) 1.3 genannt. Im Fall einer Handhabungsanweisung wird diese vor der Übergabe an das Betriebssystem von der neuen Komponente entgegengenommen und bearbeitet, im Fall eines Datentransports wird dieser durch die neue Komponente kontrolliert.
  • Der Zugriffsinformationsspeicher 1.4 wird auf dem DV-Gerät unter Administratorrechten gehalten und implementiert die Zugriffsschutzpolitik. Dieser Speicher heißt Access Control Data Base (ACDB).
  • Das Ergebnis der Kontrollanfrage ist eine Verarbeitungsvorschrift 1.5.
  • Im folgenden wird ein Beispiel für die Funktionalität eines Event Proxies beschrieben
  • Registriert ein Event Proxy ein Ereignis, so liefert ihm die ACDB die notwendigen Informationen zur Durchführung des Kontrollprozesses für das betroffene Objekt. Beim Wunsch des Datenimports muss hierzu möglicherweise ein Teil oder alle Daten in das DV-Gerät übertragen werden, jedoch in einen Speicherbereich, der vor dem Benutzer geschützt ist.
  • Das Ergebnis des Kontrollprozesses kann die Durchführung einer in der ACDB definierten Verarbeitungsvorschrift durch das EP sein, welche zumindest einen Schritt der folgenden Liste beinhaltet:
    • - Sperrung der Übertragung des Objekts und Löschen der zur Entscheidungsfindung bereits auf den Rechner gelangten Daten;
      Freigabe der Übertragung des Objekts über einen Datenkanal;
      Freigabe des Imports mindestens eines Teils des Objekts und
      Zuordnen lokal gültiger Zugriffsschutzinformation;
    • - Freigabe des Imports mindestens eines Teils des Objekts in einen gesicherten Speicherbereich;
    • - Freigabe oder Sperrung der Übertragung des Objekts über einen Datenkanal und Auslösen von definierten Aktionen bzw. Verarbeitungsschritten. Aktionen können dabei objektunabhängig sein z. B. Erzeugen eines Logs, ein Verarbeitungsschritt kann sich auf das Objekt beziehen.
  • Im folgenden wird ein Beispiel für den Aufbau der Access Control Data Base beschrieben.
  • Dabei kann der Zugriffsinformationsspeicher, die ACDB, einen ersten Speicherbereich enthalten, mit Ereignisinformation zu einer Vielzahl von Ereignissen und einen zweiten Speicherbereich mit Objektinformation zu einer Vielzahl von Objekten.
  • Weiter kann die Ereignisinformation in einer Baumstruktur mit Ereignisknoten gespeichert sein, wobei jedes Ereignis einem Ereignisknoten zugeordnet ist, und die Objektinformation kann in einer Baumstruktur mit Objektklassenknoten gespeichert sein, wobei jeder Objektklasse ein Objektklassenknoten zugeordnet ist.
  • In beiden Bäumen der ACDB sind jeweils Knoten Generalisierungen darunter liegender Knoten.
  • Das im Folgenden beschriebene Beispiel für ein Regelwerk zur Abarbeitung dieser Bäume bestimmt das Ergebnis einer Kontrollanfrage eines EP. Dieses Ergebnis besteht aus einer Verarbeitungsvorschrift.
  • Der erste Baum beschreibt die Ereignisse (Event Tree, ET). Die Wurzel des ET steht für "alle Ereignisse". Jedem Event- Proxy des DV-Gerätes ist eindeutig ein Knoten des ET zugeordnet. Der ET kann weitere Knoten enthalten, die nicht eindeutig Event-Proxies zugeordnet sind. Diese Knoten heißen Ereignisknoten.
  • Der zweite Baum beschreibt die Objektklassen (Object Tree, OT). Die Wurzel des OT steht für "alle Objektklassen", die Knoten entsprechen Objektklassen und heißen Objektklassenknoten.
  • Im folgenden wird ein Beispiel für die Attribute der Ereignisknoten und der Objektklassenknoten beschrieben Knoten und Blätter beider Bäume haben Attribute. Diese können mit Vererbungsregeln versehen werden.
  • Das Attribut V (Verarbeitungsvorschrift) tritt in beiden Bäumen auf und enthält Verarbeitungskontrollinformation. Attribut V setzt sich zusammen aus den Teilattributen K (Kriterium), V1 (positive Teilverarbeitungsvorschrift) und V2 (negative Teilverarbeitungsvorschrift). Das Teilattribut Kriterium enthält ein Entscheidungsverfahren mit den möglichen Ergebnissen ja oder nein, sowie alle Informationen oder Referenzen auf Informationen, die zur Abwicklung des Entscheidungsverfahrens notwendig sind. Dies können z. B. Listen von Zertifikaten sein, Listen von Instanzen mit zugehörigen Berechtigungen, Hashwerte und anderes.
  • Das Kriterium betrifft mindestens ein Element der folgenden Liste:
    • - einen zulässigen und gültigen Objektnamen
    • - einen gültigen Hashwert
    • - Information über den Initiator des Ereignisses
    • - eine gültige und zulässige digitale Unterschrift
    • - eine Verschlüsselung und
    • - Referenzen auf notwendige Informationen
  • Das Teilattribut "positive Teilverarbeitungsvorschrift" definiert die durchzuführenden Verarbeitungsschritte bei Ergebnis "ja", und das Teilattribut "negative Teilverarbeitungsvorschrift" definiert durchzuführende Verarbeitungsschritte bei Entscheidung "nein".
  • ET und OT Knoten besitzen jeweils 2 Attribute, eine Knotenverarbeitungsvorschrift und eine Liste:
    Das erste Attribut jedes ET-Knotens ist Attribut V, die Knotenverarbeitungsvorschrift, welche direkt oder durch Vererbung mit Werten belegt sein muss.
  • Das zweite Attribut der Ereignisknoten ist Attribut OL (Objektklassenliste). Es besteht aus einer Liste vom Typ Attribut O (Objektklasse), das als Wert einen Knotennamen des OT enthält. Jeder OT-Knotenname darf nur einmal in der Liste auftauchen. Die Liste OL kann auch leer sein.
  • Das erste Attribut jedes Objektklassenknoten ist wieder Attribut V, eine Knotenverarbeitungsvorschrift, welche direkt oder durch Vererbung mit Werten belegt sein muss.
  • Das zweite Attribut der Objektklassenknoten ist Attribut IL (Instanzenliste). Jedes Listenelement setzt sich zusammen aus den Teilattributen Attribut I (Instanzenmenge) und Attribut V, der Objektverarbeitungsvorschrift. Der Wert von Attribut I identifiziert eine Instanz oder eine Menge von Instanzen der zugehörigen Objektklasse. Die Liste kann auch leer sein.
  • An den einzelnen Knoten können auch noch Policy Parameter definiert sein, welche die Abarbeitung der Listen steuern, z. B. first hit, first positive hit, first negative hit. Ohne Einschränkung der Allgemeinheit wird im Folgenden der Fall einer sequentiellen Abarbeitung der Attributlisten mit der Regel "first hit" beschrieben.
  • Im Überblick weist das oben beschriebene Beispiel folgendes auf:
    • Ereignisknoten
    • 1. Attribut V (Knotenverarbeitungsvorschrift)
    • 2. Attribut OL (Objektklassenliste)
      Liste von Attribut O (Objektklasse)
    Objektklassenknoten
    • 1. Attribut V (Knotenverarbeitungsvorschrift)
    • 2. Attribut IL (Instanzenliste)
      Liste von
      Attribut I (Instanzenmenge)
      Attribut V (Objektverarbeitungsvorschrift)
  • Im folgenden wird mit Bezug auf Fig. 2 und 3 ein weiteres Ausführungsbeispiel der Erfindung beschrieben. Fig. 2 und 3 zeigen beispielhaft Aktivitätsdiagramme des Ablaufs einer Zugriffsentscheidung.
  • Bei Registrierung eines Ereignisses durch einen Proxy in einem Schritt 2.1 wird zunächst das zugehörige Objekt identifiziert sowie versucht das Subjekt zu identifizieren, welches das Ereignis ausgelöst hat.
  • Somit kann die Objektinformation Informationen über ein Subjekt enthalten, welches die Kontrollanfrage initiiert hat.
  • Anschließend wird der eindeutig dem Proxy zugeordnete Ereignisknoten in Schritt 2.2 besucht. Ist die Objektklassenliste dieses Knotens leer, so wird in Schritt 2.3 und 2.6 entsprechend der Knotenverarbeitungsvorschrift in Attribut V weiterverfahren. Dies kann z. B. der Fall sein, wenn der Datenverkehr über einen Kanal für alle Daten gleichen Restriktionen unterworfen ist, z. B. vollständig gesperrt, Eintrag in Logfile bei Zugriffsversuch.
  • Sind Einträge in der Objektklassenliste vorhanden, so versucht in Schritt 2.3 das Proxy der identifizierten Objektinstanz eine Objektklasse aus dieser Liste zuzuordnen. Dabei wird die Liste sequentiell abgearbeitet. Gelingt die Zuordnung nicht, so wird in Schritt 2.6 wieder vorgegangen wie in der Knotenverarbeitungsvorschrift vorgesehen.
  • Bei der ersten identifizierten Objektklasse wird in Schritt 2.4 der entsprechende Objektklassenknoten des OT untersucht. Auch hier wird die Instanzenliste sequentiell abgearbeitet und gesucht, ob die konkrete Instanz an Hand des Attributs I identifiziert werden kann. Wird dabei kein passender Eintrag gefunden, wird in Schritt 2.7 entsprechend dem Knotenverarbeitungsvorschrift vorgegangen. Sobald die erste passende Instanz gefunden ist, wird in Schritt 2.5 nach der zugehörigen Objektverarbeitungsvorschrift verfahren.
  • In jedem Fall ist in diesem Beispiel also dem identifizierten Objekt jetzt eine Verarbeitungsvorschrift zugeordnet worden.
  • In Schritt 3.1 wird das Kriterium der Vorschrift überprüft. Kriterium könnte dabei z. B. sein, dass der Benutzer ein Administrator ist, oder dass eine gültige digitale Unterschrift eines berechtigten zu der Instanz vorhanden ist. Bei Bedarf werden in Schritt 3.5 weitere Informationen beschafft, die zur Entscheidungsfindung notwendig sind, z. B. Zertifikate oder Hashwerte. Wird in Schritt 3.2 die Entscheidung "ja" getroffen, so werden in Schritt 3.3 die in der positiven Teilverarbeitungsvorschrift definierten Aktionen durchgeführt. Wird die Entscheidung "nein" getroffen, oder kann die zur Entscheidungsfindung notwendige Information nicht vollständig beschafft werden, so werden in Schritt 3.6 die in der negativen Teilverarbeitungsvorschrift definierten Aktionen durchgeführt. Sowohl positive als auch negative Teilverarbeitungsvorschrift definieren Verarbeitungsschritte, die nun in Schritt 3.7 ausgeführt werden können.
  • Im Falle einer Containerinstanz kann die Vorschrift auch aus der Anweisung bestehen, die Zugriffsentscheidung auf die Inhalte des Containers zu beziehen. In diesem Fall wird für jedes Objekt des Containers das gleiche Ereignis ausgelöst wie für den Container selbst und beginnend mit Schritt 2.1 mit den Objekten des Containers analog verfahren.
  • Für die Inhalte der Teilverarbeitungsvorschriften sind keine Einschränkungen vorhanden. So kann im positiven Fall die Verarbeitung z.B darin bestehen, dass ein Programm importiert wird und sich selbst (ohne Benutzereinwirkung) in einer festgelegten Konfiguration und mit definierten Zugriffsrechten auf dem Rechner installiert. In jedem Fall können beispielsweise auch Audit Records geschrieben werden oder weitere Aktionen ausgelöst werden.
  • In der beschriebenen Ausführung kann die Objektinformation eine Objektklasse und eine Objektinstanz oder eine Menge von Objektinstanzen umfassen.
  • Weiter kann in dieser Ausführung eine Verarbeitungsvorschrift eine Knotenverarbeitungsvorschrift oder eine Objektverarbeitungsvorschrift sein; Weiter kann einem Ereignisknoten ist eine Knotenverarbeitungsvorschrift und eine Objektklassenliste mit n >= 0 Objektklassen zugeordnet sein, und den Objektklassenknoten eine Knotenverarbeitungsvorschrift und eine Instanzliste mit m >= 0 Listeneinträgen, wobei jeder Listeneintrag eine Instanz oder eine Instanzmenge und eine zugehörige Objektverarbeitungsvorschrift enthält; und die Objektverarbeitungsvorschrift eines Listeneintrags kann einer positiven Identifizierung zugeordnet sein, sowie die Knotenverarbeitungsvorschrift eines Ereignisknotens und die Knotenverarbeitungsvorschrift eines Objektklassenknotens einer negativen Identifizierung.
  • Das Auswählen der Verarbeitungsvorschrift kann beinhalten: Identifizieren des Ereignisknotens, dem das Ereignis zugeordnet ist; Suchen in der Objektklassenliste des identifizierten Ereignisknotens nach einer Objektklasse, die das Objekt umfasst; und Verarbeiten des Objekts gemäß der Knotenverarbeitungsvorschrift, falls in der Objektklassenliste des identifizierten Ereignisknotens eine Objektklasse, die das Objekt umfasst, nicht enthalten ist.
  • Falls in der Objektklassenliste des identifizierten Ereignisknotens eine Objektklasse, die das Objekt umfasst, enthalten ist: Identifizieren des zugehörigen Objektklassenknotens; Suchen in der Instanzenliste des identifizierten Objektklassenknotens nach einer Instanz der die Instanz des Objektes entspricht; Auswahl der Objektverarbeitungsvorschrift, welche diesem Instanzlisteneintrag zugeordnet ist; Verarbeitung des Objektes gemäß dieser Objektverarbeitungsvorschrift, falls eine solche gefunden wurde; und Verarbeitung des Objektes gemäß der Knotenverarbeitungsvorschrift des identifizierten Objektklassenknotens, falls das Objekt in der Instanzliste nicht gefunden wurde.
  • Bei diesem Beispiel kann die Knotenverarbeitungsvorschrift der Ereignisknoten eine positive und eine negative Knotenteilverarbeitungsvorschrift umfassen; und bei Erfüllung eines Ereigniskriteriums wird das Objekt gemäß der positiven Knotenteilverarbeitungsvorschrift und bei Nichterfüllung des Ereigniskriteriums gemäß der negativen Knotenteilverarbeitungsvorschrift verarbeitet.
  • Somit kann die oben beschriebene Verarbeitungskontrolle verwendet werden, um Aktualisierungen in der Steuervorrichtung und/oder im Zugriffsinformationsspeicher vorzunehmen.
  • Weiter kann die Knotenverarbeitungsvorschrift eines Objektklassenknotens eine positive und eine negative Knotenteilverarbeitungsvorschrift umfassen, und falls in der Instanzliste keine dem Objekt entsprechende Instanz gefunden wurde, wird bei Erfüllung eines Objektklassenknotenskriteriums das Objekt gemäß der positiven Knotenteilverarbeitungsvorschrift verarbeitet und bei Nichterfüllung des Ereigniskriteriums gemäß der negativen Knotenteilverarbeitungsvorschrift.
  • Ebenso kann im dargestellten Verfahren die Objektverarbeitungsvorschriften eines Objektklassenknotens positive und negative Objektteilverarbeitungsvorschriften umfassen, wobei, falls in der Instanzliste des identifizierten Objektklassenknotens eine dem Objekt entsprechende Instanz gefunden wurde und ein diesem Listeneintrag zugeordnetes Objektkriterium erfüllt ist, das Objekt gemäß der positiven Objektteilverarbeitungsvorschrift verarbeitet wird und bei Nichterfüllung des Objektkriterium gemäß der negativen Objektteilverarbeitungsvorschrift verarbeitet wird.
  • Im folgenden wird ein Beispiel einer Administration des Zugriffschutzsystems beschrieben
    • Erstinstallation
  • Die ACDB wird angelegt. Dabei werden von ET und OT jeweils die Wurzeln installiert und deren Attribute gesetzt. Das Attribut 1 bleibt jeweils leer; der Wert der Attribute 2 wird durch die Security Policy bestimmt. Bei einer Vererbung der Attribute auf die Nachkommen bedeutet beispielsweise ein "Vollzugriff für Administration" als Attribut 2 im den Wurzeln von ET und OT, dass die Administration alle installierten Kanäle ohne Einschränkungen verwenden kann. Für den normalen Benutzer hat dieses Attribut die Regel "alles was nicht erlaubt ist, ist verboten" zur Folge.
  • Ein Default Proxy wird installiert und allen vorhandenen Datenkanälen zugeordnet. Diesem Proxy wird die Wurzel des ET als Knoten zugeordnet, es kann die dort enthaltenen Attribute verarbeiten.
  • Das Betriebssystem wird so angepasst, dass jede Installation eines neuen realen Datenkanals automatisch die Einbindung eines EP mit Zuordnung eines Knotens des ET nach sich zieht. Wird dieses EP nicht durch die Administration explizit installiert, so wird standardmäßig das Default Proxy installiert.
  • Für die Administration wird eine Schnittstelle zur Bearbeitung der ACDB bereitgestellt. Installation von weiteren (von realen Datenkanälen unabhängigen) Ereignistypen mit ihren Proxies wie auch die Administration der ACDB kann sowohl interaktiv durch einen Administrator als auch durch ein Programm, das unter Administratorrechten abläuft, durchgeführt werden.
    • Administration
  • In den ET und den OT können Knoten gelöscht werden, Attribute geändert werden und neue Knoten hinzugefügt und mit Attributen versehen werden.
  • Beim Hinzufügen eines neuen Ereignistyps wird die Einrichtung eines EPs angefordert. Wird dieses explizit installiert, so muss ihm ein Knoten des ET zugeordnet werden. Geschieht diese Zuordnung nicht, wird die Wurzel zugeordnet. Soll ein neuer Knoten erzeugt und zugeordnet werden, so erfolgt dies wie oben beschrieben. Die Entfernung eines Ereignisses hat nicht automatisch die Entfernung des EP und des entsprechenden Knoten zur Folge; das EP kann von mehreren Kanälen genutzt werden, ein Knoten kann zu mehreren EPs gehören, ein Knoten kann auch ohne Zuordnung zu EPs im Baum existieren.
    • Update Mechanismen - Kontrollklassen
  • Ein Update des Verarbeitungskontrollsystems muss nicht durch einen Administrator vor Ort vorgenommen werden, das bereits installierte Kontrollsystem kann im Bootstrapping Verfahren verwendet werden, indem etwa ein Updateprogramm durch eine berechtigte Unterschrift als importierbar und ausführbar gekennzeichnet wird. Ein solches Update kann z. B. bei jeder Netzanmeldung des Benutzers automatisch vorgenommen werden (ohne Beteiligung des Benutzers), dies ist das online-Modell der Administration, oder durch den Benutzer mit Hilfe einer CD oder Diskette (offline Modell).
  • Die Entscheidungskriterien zur Verarbeitungskontrolle für konkrete Objekte können von der Administration in verschiedenen Sicherheitsleveln festgelegt werden. Einige mögliche Level sind die folgenden:
    low 1: die Entscheidung basiert auf einem ungesichertem Teil der zu importierenden Daten, wie z. B. dem Namen eines Containers.
    low 2: die Entscheidung basiert auf dem ungesicherten Hashwert des vollständigen zu importierenden Datums.
    medium: die Entscheidung basiert auf einer digitalen Unterschrift unter das zu importierende Datum.
    high: die Entscheidung basiert auf einer digitalen Unterschrift unter das verschlüsselte zu importierende Datum, wobei der Schlüssel ein Eintrag am entsprechenden Attribut der ACDB ist.
  • In den folgenden Beispiele wird die Erfindung anhand weiterer konkreter Ausprägungen erläutert:
    In einem ersten Beispiel wird ein virtueller Datenkanal betrachtet
  • Der Kassenbestand einer Bank soll revisonssicher verwaltet werden. Es wird davon ausgegangen, dass sich der Geldbestand nur bei geöffneter Kasse ändern kann. Bei geöffneter Kasse soll stets eine Videoüberwachung gestartet werden. Diese Überwachung hält an bis die Kasse wieder geschlossen wird. Stimmt beim Tagesabschluss die Kasse nicht, können alle Vorgänge mit der Aufzeichnung abgeglichen werden.
  • Der einzige Datenkanal in diesem System ist der Geldtransport von und zur Kasse. Das Ereignis, dass vom einzigen Proxy des EDV-Systems der Bank registriert wird, ist der Wunsch zum Öffnen der Kasse (siehe 2.1). Der zugehörige Ereignisbaum besteht aus einem einzigen Ereignisknoten mit leerer Objektklassenliste und der Knotenverarbeitungsvorschrift (siehe 2.6) "Kasse öffnen und Videoüberwachung einschalten bis Kasse wieder geschlossen", die in jedem Fall durchgeführt wird.
  • In einem zweiten Beispiel wird ein datenkanalunabhängiges Ereignis betrachtet.
  • In einer Umgebung mit der Notwendigkeit des Archivierens juristisch relevanter Tatbestände ist in einem Betriebssytem trotzdem der Standardbefehl "Datei löschen" bekannt. Führt ein Benutzer diesen Befehl mit Daten durch, die archiviert werden müssen, so wird dieser Befehl durch die Erfindung so modifiziert, dass die Anfrage "Datei löschen" durch ein Kopieren auf den Archivbestand ersetzt wird, und erst nach positiver Rückmeldung des Kopierens der lokale Datenbestand gelöscht wird. Entsprechend können andere Betriebsystembefehle modifiziert werden.
  • Der einzige Proxy des Systems fängt die Befehle der Shell ab und untersucht sie. Das ausgelöste Ereignis (siehe 2.1) lautet "Betriebsystembefehl empfangen". Das in (siehe 2.2) identifizierte Objekt besteht aus dem vollständigen Befehl einschließlich aller Parameter. Das Subjekt ist der Eigentümer der Shell. Es gibt nur einen Ereignisknoten. Dieser enthält eine Liste von Objektklassen die durchsucht wird (siehe 2.3). Diese sind Betriebssystembefehle mit Parameterklassen:
    Ereignisknoten "Betriebssystembefehl":
    Knotenverarbeitungsvorschrift:
    "führe Befehl entsprechend den Rechten des Subjekts aus."
    Objektklassenliste:
    O1: "rm im Verzeichnis /xyz"
    O2: "mv mit Quelle im Verzeichnis /xyz"
    O3: "mv mit Ziel im Verzeichnis /xyz"
    OX: "sonstige Befehle im Verzeichnis /xyz"
  • In den zugehörigen Objektklassenknoten werden die Verarbeitungsvorschriften definiert. Dabei kann in der Instanzenliste dieser Knoten z. B. für Unterverzeichnisse von /xyz noch unterschiedliches Vorgehen angefordert werden. Trifft ein rm-Befehl ein, so wird auf den zugehörigen Objektklassenknoten verzweigt (2.4). Der Objektklassenknoten zu "rm im Verzeichnis /xyz" könnte wie folgt aussehen:
    Objektklassenknoten "rm im Verzeichnis /xyz":
    Knotenverarbeitungsvorschrift:
    Kriterium: Benutzer darf auf /xyz schreiben
    Pos. Teilverarbeitungsvorschrift: "Kopiere auf Archivbestand /xyz/abc, führe anschließend Befehl durch"
    Neg. Teilverarbeitungsvorschrift: "Befehl ablehnen"
    Instanzenliste:
    I1: "rm im Verzeichnis /xyz/abc"
    V1: "Befehl immer ablehnen"
  • Besitzt das Subjekt Schreibberechtigung auf /xyz, so kann er eine Datei löschen, diese wird allerdings dann in ein Verzeichnis kopiert (z. B. auf ein Magnetband), für welches kein Subjekt Löschberechtigung hat.
  • Fig. 4 zeigt ein Blockdiagramm einer Vorrichtung zur Verarbeitungskontrolle von Objekten gemäß einem Ausführungsbeispiel der Erfindung. In einem dritten Beispiel wird nunmehr unter Bezug auf Fig. 4 ein Notebook mit realen Datenkanälen betrachtet.
  • In dem im Folgenden beschriebenen Ausführungsbeispiel (vergleiche Fig. 4) beinhaltet die Übertragung des Objektes über den Datenkanal einen Import in eine oder einen Export aus einer Datenverarbeitungsvorrichtung von/zu einem Peripheriegerät oder von/zu einem Netzwerk.
  • Weiter kann in diesem Beispiel der Zugriffsvorrichtung eine Vielzahl von Datenkanälen zugeordnet sein.
  • Die Datenverarbeitungsvorrichtung ist ein Notebook, das in ein Netzwerk eingebunden ist, aber nicht immer online sein muss. Dabei wird die folgende Konfiguration gewünscht: Drucken ist dem Benutzer über die lokal installierten Drucker lj1 4.1 und lj2 4.2 ohne Einschränkungen erlaubt. Diese Drucker werden durch die entsprechenden Treiber 4.6 und 4.7 angesteuert. Für alle Drucker ist nur ein Drucker- Proxy 4.12 installiert. Als Datenkanal ist für einen bestimmten Benutzer CD 4.3 mit dem zugehörigen Treiber 4.8 und Proxy 4.13 zugelassen. Über das CD-Laufwerk ist das Lesen von CDs möglich, die von der Administration freigegeben sind. Ausführbare Dateien sind jedoch vom Anwender nicht über CD-Laufwerk importierbar. Audio und Video-Daten können über CD generell gelesen werden; Videos jedoch nur über einen definierten Player.
  • Als Netzdienste sind ftp 4.9 zum Import bestimmter zip- Dateien sowie http 4.10 über den Intranet-Proxy erlaubt. Diese werden über die Netzkarte 4.4 abgewickelt. Für diese beiden Dienste müssen Proxies 4.14, 4.15 installiert werden.
  • Das Update des Notebooks soll sowohl über CD als auch über ftp möglich sein.
  • Andere Datenkanäle 4.5 mit ihren zugehörigen Treibern 4.11, z. B. Diskette, Modem sind gesperrt und nur durch bestimmte Administratoren verwendbar. Für alle diese weiteren Kanäle ist das Default Proxy 4.17 zuständig.
  • Die Verarbeitungsvorschrift wird durch ein Proxy unter Verwendung der ACDB 4.14 ausgewählt.
  • Die ausgewählte Verarbeitungsvorschrift kann erlauben, dass der Benutzer die Daten in seinen Bereich 4.18 importiert oder dass er mit eigenen Applikationen 4.19 auf Daten zugreift.
  • Es ist aber auch möglich, dass Daten zunächst in den Sicherheitsbereich 4.20 importiert werden, auf den der Benutzer keinen Zugriff hat. Die Verarbeitungsvorschrift kann dann nach Abschluss des Kontrollvorgangs diese Daten entweder wieder löschen, oder dem Benutzer zur Verwendung zur Verfügung stellen, oder den Zugriff durch Sicherheitsapplikationen 4.21 erlauben oder steuern.
  • Im folgenden wird mit Bezug auf Fig. 5 ein weiteres Ausführungsbeispiel der Erfindung beschrieben.
  • Fig. 5 stellt den Aufbau der beiden Bäume der ACDB des Beispiels von Fig. 4 dar. Dabei wird bei der Abarbeitung der Listen vom Prinzip "first hit" ausgegangen. Im Folgenden werden die Attribute der beiden Bäume zusammengestellt.
    • Attribute im Event Tree alle Ereignisse 5.1
  • Knotenverarbeitungsvorschrift:
    K: Benutzer ist Administrator xy?
    pV: Vollzugriff erlaubt, erzeuge Log.
    nV: Kein Zugriff, lösche bereits importierte Daten, schreibe Log.
    Objektklassenliste: leer Drucker 5.2 Knotenverarbeitungsvorschrift:
    K: immer ja
    pV: drucken erlaubt.
    nV: -
    Objektklassenliste: leer CD 5.3 Knotenverarheitungsvorschrift:
    Geerbt von "alle Ereignisse"
    Objektklassenliste:
    O1: Container CD-Inhalt
    O2: Container Dateiverzeichnis
    O3: Ausführbare Dateien (*.exe, *.bat, *.com, *.dll)
    O4: Audio
    O5: Video
    O6: ZIP Netzdienste 5.4 Knotenverarbeitungsvorschrift:
    Geerbt von "alle Ereignisse"
    Objektklassenliste:
    O1: leer ftp 5.5 Knotenverarbeitungsvorschrift:
    K: immer nein
    pV: -
    nV: Warnung an Benutzer, lösche bereits importierte Daten.
    Objektklassenliste:
    O1: ZIP http 5.6 Knotenverarbeitungsvorschrift:
    K: Partner = Intranet Proxy?
    pV: lesen und schreiben erlaubt.
    nV: Warnung an Benutzer
    Objektklassenliste: leer
    • Attribute im Object Tree alle Objektklassen 5.7
  • Knotenverarbeitungsvorschrift:
    K: Benutzer ist Administrator xy?
    pV: Vollzugriff erlaubt, erzeuge Log
    nV: Kein Zugriff, lösche bereits importierte Daten, schreibe Log.
    Instanzenliste: leer CD-Inhalt 5.8 Knotenverarbeitungsvorschrift:
    geerbt von "alle Objektklassen"
    Instanzenliste:
    I1: alle mit Unterschrift
    V1: K: Unterschrift von uvw enthalten?
    pV: importiere setup.exe in Sicherheitsbasis, führe setup aus, erlaube setup Zugriff auf CD, schreibe Log
    nV: falls ungültige Unterschrift: schreibe Log, warne Benutzer. Falls ohne Unterschrift: überprüfe Inhalt des Containers
    I2: alle
    V2: K: CD-ID lokal vorhanden und Hashwert stimmt mit lokalem Hashwert überein?
    pV: gebe CD-Inhalt zum Import frei
    nV: überprüfe Inhalt des Containers Dateien 5.9 Knotenverarbeitungsvorschrift:
    geerbt von "alle Objektklassen"
    Instanzenliste: leer Dateiverzeichnis 5.10 Knotenverarbeitungsvorschrift:
    K: immer ja
    pV: überprüfe Inhalt des Verzeichnisses
    nV: -
    Instanzenliste: leer ausführbare Dateien 5.11 Instanzenliste: leer
    Knotenverarbeitungsvorschrift:
    geerbt von "alle Objektklassen" ZIP 5.12 Knotenverarbeitungsvorschrift:
    geerbt von "alle Objektklassen"
    Instanzenliste:
    I1: name = "acupdate.zip"
    V1: K: Anfrage kommt von OT Knoten "ftp" oder "CD" und Unterschrift von Berechtigtem enthalten?
    pV: importiere in Sicherheitsbasis, entpacke, führe setup aus, falls noch nicht geschehen, schreibe Log
    nV: warne Benutzer, schreibe Log
    I2: name = "angebotsdaten.zip"
    V2: K: Anfrage kommt von OT Knoten "ftp" und Unterschrift von Berechtigtem enthalten?
    pV: importiere in Sicherheitsbasis, entpacke, kopiere Inhalt in Angebotsverzeichnis, schreibe Log
    nV: warne Benutzer, schreibe Log Multimedia 5.13 Knotenverarbeitungsvorschrift:
    geerbt von "alle Objektklassen"
    Instanzenliste: leer Audio 5.14 Knotenverarbeitungsvorschrift:
    geerbt von "alle Objektklassen" Instanzenliste:
    I1: alle
    V1: K: immer ja
    pV: Zugriff durch beliebige Benutzerapplikation erlaubt
    nV: - Video 5.15 Knotenverarbeitungsvorschrift:
    geerbt von "alle Objektklassen" Instanzenliste:
    I1: alle
    V1: K: immer ja
    pV: Zugriff durch definierte Applikation erlaubt
    nV: -
  • Für die folgenden Fälle soll der Ablauf der Verarbeitungskontrolle in diesem konkreten Beispiel beschrieben werden:
    • Lesen von Dateien von einer nicht freigegebenen CD
  • In diesem Beispiel steht das Objekt in Beziehung zu der Zugriffsvorrichtung und/oder dem Zugriffsinformationsspeicher. Dabei beinhaltet die Auswahl der Verarbeitungsvorschrift ein Überprüfen von Attributen und/oder nachprüfbaren Qualitäten des Objekts.
  • Ebenso beinhaltet die Auswahl der Verarbeitungsvorschrift eine Berücksichtigung der Rolle des Subjekts, welches die Kontrollanfrage initiiert hat.
  • Der CD-Proxy 4.14 erkennt, dass eine CD eingelegt wird (siehe 2.1). Im CD-Ereignisknoten 5.3 wird als Objekt ein CD-Inhalt ohne Signatur identifiziert (siehe 2.2). Der passende Listeneintrag (siehe 2.3) hierzu ist die Objektklasse CD-Inhalt. Der entsprechenden Knoten 5.8 im OT wird besucht. Dort wird die Liste der Instanzen abgearbeitet (siehe 2.4) und die Objektverarbeitungsvorschrift der zweiten Instanzenmenge ("alle") ausgeführt (siehe 2.5). Ist die CD-ID in einer lokalen Datenbasis bekannt, so wird der Hashwert der CD gebildet und mit dem lokal vorhandenen Hashwert verglichen (siehe 3.5). Stimmen diese überein, so ist die CD freigegeben und das Objektklassenkriterium ergibt "ja" (siehe 3.2). Die positive Teilverarbeitungsvorschrift wird durchgeführt (siehe 3.3), die CD kann vom Benutzer frei verwendet werden. Ist die CD-ID nicht bekannt, so gibt es auch keinen Hashwert in der lokalen Datenbasis, das Kriterium ergibt "nein", genau wie im Fall eines ungültigen Hashwertes und die negative Teilverarbeitungsvorschrift wird durchgeführt (siehe 3.6). Der Proxy importiert daraufhin das Dateiverzeichnis und überprüft die Objektklassen der einzelnen Dateien. Im CD-Ereignisknoten 5.3 können Dateiverzeichnisse, Audio, Video, Zip und ausführbare Dateien identifiziert werden und dann der entsprechende Objektklassenknoten besucht werden.
  • Bei Verzeichnissen 5.10 wird wieder der Inhalt überprüft, bis schließlich auf Dateien gestoßen wird.
  • Bei ausführbaren Dateien 5.11 ergibt das Kriterium im zugehörigen Objektklassenknoten für einen gewöhnlichen Benutzer immer "nein". Beim Typ zip 5.12 kann der Benutzer zwar keine Dateien importieren, gegebenenfalls kann jedoch ein Systemupdate durchgeführt werden (siehe unten). Bei Audio und Videodateien gelten die Kriterien der zugehörigen Objektklassenknoten 5.14 bzw. 5.15, das heißt sie können abgespielt werden, wobei Videodateien dem Benutzer nur für den Zugriff mit einer zugelassenen Applikation angeboten werden.
  • Bei unbekannten Objektklassen wird der Import direkt im CD- Ereignisknoten 5.3 abgelehnt, falls der Benutzer nicht der Administrator xy ist. Die entsprechende Verarbeitungsvorschrift wurde von der Wurzel 5.1 geerbt.
  • Will nun der Benutzer zum Beispiel mit einem Dateimanager auf den Inhalt der CD zugreifen, werden ihm von dem Dateimanager nur die importierbaren Dateien und Verzeichnisse angeboten.
  • Im weiteren wird ein Beispiel für ein Update des Zugriffschutzsystems beschrieben.
  • Das Zugriffsschutzsystem kann verwendet werden um die eigene ACDB zu aktualisieren und auch um neue oder aktualisierte Proxies zu installieren. Beispielsweise können auf diese Art und Weise Hashwerte von neu zur Verwendung freigegebenen CDs in die ACDB eingetragen werden, es können also (auch über ftp) CDs in sicherer Weise freigegeben oder gesperrt werden, auch solche, die nicht von der administrierenden Stelle selbst ausgegeben werden.
  • Legt der Benutzer eine CD ein, welche eine Datei mit dem Namen acupdate.zip enthält, so wird wie im letzten Punkt beschrieben auf den Objektklassenknoten ZIP (5.12) verzweigt. Diese Datei kann auch über ftp (automatisch oder durch Benutzeraktion) in das Notebook gelangen, der zugehörige Ereignisknoten (5.5) erlaubt dies. In diesem Fall wird sie zunächst in einen dem Benutzer nicht zugänglichen Sicherheitsbereich importiert (4.20). Es wird nun untersucht, ob der Inhalt die gültige Unterschrift einer berechtigten Stelle trägt. Ist dies der Fall so wird automatisch die Datei entpackt und ein Systemupdate durchgeführt.
  • Im Folgenden wird nun ein Beispiel für ein Installieren freigegebener Software über CD beschrieben
  • Bei Einlegen der entsprechenden CD wird wieder auf den Objektklassenknoten CD-Inhalt (5.10) verzweigt. Der CD- Inhalt trägt jedoch eine Unterschrift, die vom Proxy überprüft werden kann. Ist es die korrekte Unterschrift einer berechtigten Stelle, so wird die CD zum Import in den Sicherheitsbereich freigegeben. Das immer auf einer solchen CD enthaltene Programm setup.exe wird unter Administratorrechten ausgeführt und installiert die auf der CD enthaltene Software mit einer definierten Konfiguration, die entweder auf der CD selbst oder in der ACDB enthalten sein kann.
  • In einem weiteren Ausführungsbeispiel kann Programm bereitgestellt sein, mit Instruktionen zum Ausführen der vorhergehend beschriebenen Schritte. Weiter kann ein Computer lesbares Medium bereitgestellt sein, in dem ein Programm verkörpert ist, wobei das Programm einen Computer anweist, die vorhergehend beschriebenen Schritte auszuführen. Ein Computerprogrammprodukt kann das Computer lesbare Medium umfassen.
  • Im Folgenden werden weitere Beispiele einiger Begriffe und Elemente der Beschreibung erläutert. Es wird darauf hingewiesen, dass die jeweiligen Erläuterungen lediglich weitere Beispiele darstellen und nicht als beschränkend auszulegen sind.
    DV-Gerät: ein Hardware-Element oder eine Ansammlung von Hardware-Elementen (z. B. ein oder ein Intranet), in welchem definierte Schnittstellen zur Kommunikation existieren.
    Benutzer: Ein Benutzer kann eine Person oder ein Programm sein, der/dem durch Betriebssystemmittel Zugriff auf Teile des DV-Gerätes gewährt ist.
    Objekte: Objekte sind elementare Objekte oder Container.
    Elementare Daten: digitale Daten oder Objekte der realen Welt, deren Existenz und Semantik in digitale Daten abgebildet werden kann.
    Digitale Daten: Dateien in elektronischer Form mit beliebigem Inhalt und Format oder digitale Datenströme. Dies können auch aktive Elemente sein, beispielsweise Programme, die Aktionen auf einem DV-Gerät auslösen können.
    Container: Zusammenfassungen von elementaren Daten (z. B. Dateiverzeichnisse oder der vollständige Inhalt einer CD oder ein Bündel Geldscheine)
    Objektklassen: Die Zugehörigkeit eines Objektes zu einer Klasse wird definiert durch Attribute und Qualitäten, die einem Objekt zugeordnet werden können, wie z. B. Dateiextensions, Dateinamen oder digitale Unterschriften.
    Objektinstanz: konkrete Ausprägung einer Objektklasse.
    Datenkanal: Schnittstelle, über welche Objekte in ein DV- Gerät eintreten oder es verlassen.
    Ereignis: Handhabungsanweisung für Objekte oder ein Übertragungsversuch über einen realen oder virtuellen Datenkanal.

Claims (47)

1. Verfahren zur Verarbeitungskontrolle von Objekten, mit den Schritten:
Erzeugen einer Kontrollanfrage durch eine Zugriffsvorrichtung bei Erfassung eines Ereignisses in Zusammenhang mit einem Objekt, wobei die Kontrollanfrage das Ereignis beschreibende Ereignisinformation und das Objekt beschreibende Objektinformation enthält;
Übertragen der Kontrollanfrage an eine Steuervorrichtung;
Auswählen einer Verarbeitungsvorschrift für das Objekt aufgrund der Ereignisinformation und Objektinformation aus einem Zugriffsinformationsspeicher, der dem Objekt und dem Ereignis zugeordnete Verarbeitungsvorschriften speichert; und
Verarbeiten des Objekts entsprechend der Verarbeitungsvorschrift.
2. Verfahren nach Anspruch 1, wobei das Ereignis eine Handhabungsanweisung oder eine Anweisung für einen Übertragungsversuch über einen realen oder virtuellen Datenkanal darstellt.
3. Verfahren nach Anspruch 2, wobei die Anweisung zur Übertragung des Objektes über den Datenkanal einen Import des Objektes in eine oder einen Export aus einer Datenverarbeitungsvorrichtung von/zu einem Peripheriegerät oder von/zu einem Netzwerk beinhaltet.
4. Verfahren nach mindestens einem der Ansprüche 2 und 3, wobei eine Vielzahl von Datenkanälen der Zugriffsvorrichtung zugeordnet ist.
5. Verfahren nach mindestens einem der Ansprüche 2-4, wobei die Objektinformation Information über ein Subjekt enthält, welches das Ereignis initiiert hat.
6. Verfahren nach mindestens einem der Ansprüche 1-5, wobei die Verarbeitungsvorschrift zumindest einen Schritt der folgenden Liste beinhaltet:
- Freigabe oder Sperrung der Übertragung des Objektes über einen Datenkanal;
- Freigabe des Imports mindestens eines Teils des Objektes und Zuordnen von lokal gültiger Zugriffsschutzinformation;
- Freigabe des Imports mindestens eines Teils des Objektes in einen gesicherten Speicherbereich;
- Freigabe oder Sperrung der Übertragung des Objektes über einen Datenkanal und Auslösung von definierten Verarbeitungsschritten.
7. Verfahren nach mindestens einem der Ansprüche 1-6, wobei das Objekt in Beziehung steht zu der Zugriffsvorrichtung und/oder dem Zugriffsinformationsspeicher.
8. Verfahren nach mindestens einem der Ansprüche 1-7, wobei die Auswahl der Verarbeitungsvorschrift ein Überprüfen von Attributen und/oder nachprüfbaren Qualitäten des Objektes beinhaltet.
9. Verfahren nach mindestens einem der Ansprüche 1-8, wobei die Auswahl der Verarbeitungsvorschrift eine Berücksichtigung der Rolle des Subjektes beinhaltet, welches das Ereignis initiiert hat.
10. Verfahren nach mindestens einem der Ansprüche 1-9, wobei der Zugriffsinformationsspeicher einen ersten Speicherbereich mit Ereignisinformation zu einer Vielzahl von Ereignissen und einen zweiten Speicherbereich mit Objektinformation zu einer Vielzahl von Objekten enthält.
11. Verfahren nach mindestens einem der Ansprüche 1-10, wobei die Ereignisinformation in einer Baumstruktur mit Ereignisknoten gespeichert ist, wobei jedes Ereignis einem Ereignisknoten zugeordnet ist, und die Objektinformation in einer Baumstruktur mit Objektklassenknoten gespeichert ist, wobei jeder Objektklasse ein Objektknoten zugeordnet ist.
12. Verfahren nach mindestens einem der Ansprüche 1-11, wobei die Objektinformation eine Objektklasse und eine Objektinstanz oder eine Menge von Objektinstanzen umfasst.
13. Verfahren nach mindestens einem der Ansprüche 1-12, wobei
eine Verarbeitungsvorschrift eine Knotenverarbeitungsvorschrift oder eine Objektverarbeitungsvorschrift ist;
einem Ereignisknoten eine Objektklassenliste mit n >= 0 Objektklassen und eine Knotenverarbeitungsvorschrift zugeordnet sind, und den Objektknoten eine Knotenverarbeitungsvorschrift und Instanzlisten mit m >= 0 Listeneinträgen zugeordnet sind, wobei jeder Listeneintrag eine Instanz oder eine Instanzmenge und eine zugehörige Objektverarbeitungsvorschrift enthält; und
die Objektverarbeitungsvorschrift eines Listeneintrags einer positiven Identifizierung zugeordnet ist, sowie die Knotenverarbeitungsvorschrift eines Ereignisknotens und die Knotenverarbeitungsvorschrift eines Objektknotens einer negativen Identifizierung.
14. Verfahren nach mindestens einem der Ansprüche 11-13, wobei das Auswählen der Verarbeitungsvorschrift beinhaltet:
Identifizieren des Ereignisknotens, dem der Ereignis zugeordnet ist;
Suchen in der Objektklassenliste des identifizierten Ereignisknotens nach einer Objektklasse, die das Objekt umfasst; und
Verarbeiten des Objektes gemäß der Knotenverarbeitungsvorschrift, falls in der Objektklassenliste des identifizierten Ereignisknotens eine Objektklasse, die das Objekt umfasst, nicht enthalten ist.
15. Verfahren nach mindestens einem der Ansprüche 1 und 14, wobei
die Verarbeitungsvorschrift eine positive und eine negative Teilverarbeitungsvorschrift umfasst; und
bei Erfüllung eines Ereigniskriteriums das Objekt gemäß der positiven Knotenteilverarbeitungsvorschrift verarbeitet wird und bei Nichterfüllung des Ereigniskriteriums das Objekt gemäß der negativen Knotenteilverarbeitungsvorschrift verarbeitet wird.
16. Verfahren nach Anspruch 15, wobei das Ereigniskriterium mindestens ein Element der folgenden Liste betreffen kann:
- einen zulässigen und gültigen Objektnamen;
- einen gültigen Hashwert;
- Information über den Initiator der Objektanfrage;
- eine gültige und zulässige digitale Unterschrift;
- eine Verschlüsselung; und
- Referenzen auf notwendige Information.
17. Verfahren nach mindestens einem der Ansprüche 13-16, einschließlich, falls in der Objektklassenliste des identifizierten Ereignisknotens eine Objektklasse, die das Objekt umfasst, enthalten ist:
Identifizieren des zugehörigen Objektklassenknotens;
Suchen in der Instanzenliste des identifizierten Objektklassenknotens nach einer Instanz, der die Instanz des Objektes entspricht;
Auswahl der Objektverarbeitungsvorschrift, welche diesem Instanzlisteneintrag zugeordnet ist;
Verarbeitung des Objektes gemäss dieser Objektverarbeitungsvorschrift, falls eine solche gefunden wurde; und
Verarbeitung des Objekts gemäss der Knotenverarbeitungsvorschrift des identifizierten Objektklassenknotens, falls das Objekt in der Instanzliste nicht gefunden wurde.
18. Verfahren nach mindestens einem der Ansprüche 13-17, wobei die Knotenverarbeitungsvorschrift eines Objektknotens eine positive und negative Knotenteilverarbeitungsvorschrift umfasst und, falls in der Instanzliste keine dem Objekt entsprechende Instanz gefunden wurde, bei Erfüllung eines Objektknotenkriteriums das Objekt gemäss der positiven Knotenteilverarbeitungsvorschrift verarbeitet wird und bei Nichterfüllung des Objektknotenkriteriums das Objekt gemäss der negativen Knotenteilverarbeitungsvorschrift verarbeitet wird.
19. Verfahren nach mindestens einem der Ansprüche 13-18, wobei die Objektverarbeitungsvorschriften eines Objektknotens positive und negative Objektteilverarbeitungsvorschriften umfassen, und wobei, falls in der Instanzliste des identifizierten Objektknotens eine dem Objekt entsprechende Instanz gefunden wurde und ein diesem Listeneintrag zugeordnetes Objektkriterium erfüllt ist, das Objekt gemäss der positiven Objektteilverarbeitungsvorschrift verarbeitet wird und bei Nichterfüllung des Objektkriteriums das Objekt gemäß der negativen Objektteilverarbeitungsvorschrift verarbeitet wird.
20. Verfahren nach mindestens einem der Ansprüche 1-19, wobei im Falle einer Containerinstanz die Verarbeitungsvorschrift aus der Anweisung besteht, die Zugriffsentscheidung auf die Inhalte des Containers zu beziehen.
21. Verfahren nach mindestens einem der Ansprüche 1-20, wobei die Verarbeitungskontrolle verwendet wird, um Aktualisierungen in der Steuervorrichtung und/oder im Zugriffsinformationsspeicher vorzunehmen.
22. Ein Programm mit Instruktionen zum Ausführen des Verfahrens nach mindestens einem der vorhergehenden Ansprüche.
23. Ein Computer lesbares Medium, in dem ein Programm verkörpert ist, wobei das Programm einen Computer anweist, das Verfahren nach mindestens einem der Ansprüche 1-21 auszuführen.
24. Ein Computerprogrammprodukt, das Computer lesbare Medium nach Ansp
25. Vorrichtung zur Verarbeitungskontrolle von Objekten, umfassend:
eine Zugriffsvorrichtung, um eine Kontrollanfrage bei Erfassung eines Ereignisses in Zusammenhang mit einem Objekt zu erzeugen, wobei die Kontrollanfrage das Ereignis beschreibende Ereignisinformation und das Objekt beschreibende Objektinformation enthält;
einen Zugriffsinformationsspeicher, um dem Objekt und dem Datenkanal zugeordnete Verarbeitungsvorschriften zu Speichern; und
eine Steuervorrichtung, um die Kontrollanfrage zu empfangen und aufgrund der Ereignisinformation und Objektinformation eine Verarbeitungsvorschrift für das Objekt auszuwählen und um eine Verarbeitung des Objekts entsprechend der Verarbeitungsvorschrift zu bewirken.
26. Vorrichtung nach Anspruch 25, wobei die Datenkanäle Verbindungen zu Peripheriegeräten einer Datenverarbeitungsvorrichtung darstellen.
27. Vorrichtung nach mindestens einem der Ansprüche 25 und 26, wobei die Datenkanäle Verbindungen zu oder externen Vorrichtungen in einem Netzwerk darstellen.
28. Vorrichtung nach mindestens einem der Ansprüche 25-27, wobei das Ereignis eine Handhabungsanweisung oder eine Anweisung für einen Übertragungsversuch über einen realen oder virtuellen Datenkanal darstellt.
29. Vorrichtung nach Anspruch 28, wobei die Anweisung zur Übertragung des Objektes über den Datenkanal einen Import des Objektes in eine oder einen Export aus einer Datenverarbeitungsvorrichtung von/zu einem Peripheriegerät oder von/zu einem Netzwerk beinhaltet.
30. Vorrichtung nach mindestens einem der Ansprüche 25-29, eine Vielzahl von Datenkanälen umfassend, die der Zugriffsvorrichtung zugeordnet ist.
31. Vorrichtung nach mindestens einem der Ansprüche 25-30, wobei die Objektinformation Information über ein Subjekt enthält, welches das Ereignis initiiert hat.
32. Vorrichtung nach mindestens einem der Ansprüche 25-31, mit einer Vorrichtung zur Veranlassung, in Übereinstimmung mit der Verarbeitungsvorschrift, zumindest eines Schrittes der folgenden Liste:
- Freigabe oder Sperrung der Übertragung des Objektes über einen Datenkanal;
- Freigabe des Imports mindestens eines Teils des Objektes und Zuordnen von lokal gültiger Zugriffsschutzinformation;
- Freigabe des Imports mindestens eines Teils des Objektes in einen gesicherten Speicherbereich;
- Freigabe oder Sperrung der Übertragung des Objektes über einen Datenkanal und Auslösung von definierten Verarbeitungsschritten.
33. Vorrichtung nach mindestens einem der Ansprüche 25-32, wobei das Objekt in Beziehung steht zu der Zugriffsvorrichtung und/oder dem Zugriffsinformationsspeicher.
34. Vorrichtung nach mindestens einem der Ansprüche 25-33, mit einer Vorrichtung zur Überprüfung von Attributen und/oder nachprüfbaren Qualitäten des Objektes und einer dem entsprechenden Auswahl der Verarbeitungsvorschrift.
35. Vorrichtung nach mindestens einem der Ansprüche 25-34, mit einer Vorrichtung zur Berücksichtigung der Rolle des Subjektes, welches das Ereignis initiiert hat, und einer dem entsprechenden Auswahl der Verarbeitungsvorschrift.
36. Vorrichtung nach mindestens einem der Ansprüche 25-35, wobei der Zugriffsinformationsspeicher einen ersten Speicherbereich mit Ereignisinformation zu einer Vielzahl von Ereignissen und einen zweiten Speicherbereich mit Objektinformation zu einer Vielzahl von Objekten enthält.
37. Vorrichtung nach mindestens einem der Ansprüche 25-36, mit einer Baumstruktur mit Ereignisknoten, in der die Ereignisinformation gespeichert ist, wobei jedes Ereignis einem Ereignisknoten zugeordnet ist, und mit einer Baumstruktur mit Objektklassenknoten, in der die Objektinformation gespeichert ist, wobei jeder Objektklasse ein Objektklassenknoten zugeordnet ist.
38. Vorrichtung nach mindestens einem der Ansprüche 25-37, wobei die Objektinformation eine Objektklasse und eine Objektinstanz oder eine Menge von Objektinstanzen umfasst.
39. Vorrichtung nach mindestens einem der Ansprüche 25-38, wobei
eine Verarbeitungsvorschrift eine Knotenverarbeitungsvorschrift oder eine Objektverarbeitungsvorschrift ist;
einem Ereignisknoten eine Objektklassenliste mit n >= 0 Objektklassen und eine Knotenverarbeitungsvorschrift zugeordnet sind, und den Objektklassenknoten eine Knotenverarbeitungsvorschrift und Instanzlisten mit m >= 0 Listeneinträgen zugeordnet sind, wobei jeder Listeneintrag eine Instanz oder eine Instanzmenge und eine zugehörige Objektverarbeitungsvorschrift enthält; und
die Objektverarbeitungsvorschrift eines Listeneintrags einer positiven Identifizierung zugeordnet ist, sowie die Knotenverarbeitungsvorschrift eines Ereignisknotens und die Knotenverarbeitungsvorschrift eines Objektklassenknotens einer negativen Identifizierung.
40. Vorrichtung nach mindestens einem der Ansprüche 37-39, wobei das Auswählen der Verarbeitungsvorschrift beinhaltet:
Identifizieren des Ereignisknotens, dem das Ereignis zugeordnet ist;
Suchen in der Objektklassenliste des identifizierten Ereignisknotens nach einer Objektklasse, die das Objekt umfasst; und
wobei die Steuervorrichtung dazu ausgebildet ist, die Verarbeitung Objektes gemäß der Knotenverarbeitungsvorschrift zu bewirken, falls in der Objektklassenliste des identifizierten Ereignisknotens eine Objektklasse, die das Objekt umfasst, nicht enthalten ist.
41. Vorrichtung nach mindestens einem der Ansprüche 25-40, wobei
die Verarbeitungsvorschrift eine positive und eine negative Teilverarbeitungsvorschrift umfasst; und
die Steuervorrichtung dazu ausgebildet ist, bei Erfüllung eines Ereigniskriteriums die Verarbeitung des Objekts gemäß der positiven Teilverarbeitungsvorschrift zu bewirken und bei Nichterfüllung des Ereigniskriteriums die Verarbeitung des Objekt gemäß der negativen Teilverarbeitungsvorschrift zu bewirken.
42. Vorrichtung nach Anspruch 41, wobei das Ereigniskriterium mindestens ein Element der folgenden Liste betreffen kann:
- einen zulässigen und gültigen Objektnamen;
- einen gültigen Hashwert;
- Information über den Initiator der Objektanfrage;
- eine gültige und zulässige digitale Unterschrift;
- eine Verschlüsselung; und
- Referenzen auf notwendige Informationen.
43. Vorrichtung nach mindestens einem der Ansprüche 39-42, wobei die Steuervorrichtung dazu ausgebildet ist, falls in der Objektklassenliste des identifizierten Ereignisknotens eine Objektklasse, die das Objekt umfasst, enthalten ist:
Identifizieren des zugehörigen Objektklassenknotens;
Suchen in der Instanzenliste des identifizierten Objektklassenknotens nach einer Instanz, der die Instanz des Objektes entspricht;
Auswahl der Objektverarbeitungsvorschrift, welche diesem Instanzlisteneintrag zugeordnet ist;
Verarbeitung des Objektes gemäss dieser Objektverarbeitungsvorschrift, falls eine solche gefunden wurde; und
Verarbeitung des Objekts gemäss der Knotenverarbeitungsvorschrift des identifizierten Objektklassenknotens, falls das Objekt in der Instanzliste nicht gefunden wurde.
44. Vorrichtung nach mindestens einem der Ansprüche 39-43, wobei die Knotenverarbeitungsvorschrift eines Objektklassenknotens eine positive und negative Knotenteilverarbeitungsvorschrift umfasst und die Steuervorrichtung dazu ausgebildet ist, falls in der Instanzliste keine dem Objekt entsprechende Instanz gefunden wurde, bei Erfüllung eines Objektklassenknotenkriteriums die Verarbeitung des Objekts gemäss der positiven Knotenteilverarbeitungsvorschrift zu bewirken und bei Nichterfüllung des Objektklassenknotenkriteriums die Verarbeitung des Objekts gemäss der negativen Knotenteilverarbeitungsvorschrift zu bewirken.
45. Vorrichtung nach mindestens einem der Ansprüche 39-44, wobei die Objektverarbeitungsvorschriften eines Objektklassenknotens positive und negative Objektteilverarbeitungsvorschriften umfassen, und die Steuervorrichtung dazu ausgebildet ist, falls in der Instanzliste des identifizierten Objektklassenknotens eine dem Objekt entsprechende Instanz gefunden wurde und ein diesem Listeneintrag zugeordnetes Objektkriterium erfüllt ist, die Verarbeitung des Objekts gemäss der positiven Objektteilverarbeitungsvorschrift zu bewirken und bei Nichterfüllung des Objektkriteriums die Verarbeitung des Objekts gemäß der negativen Objektteilverarbeitungsvorschrift zu bewirken.
46. Vorrichtung nach mindestens einem der Ansprüche 25-45, wobei im Falle einer Containerinstanz die Verarbeitungsvorschrift aus der Anweisung besteht, die Zugriffsentscheidung auf die Inhalte des Containers zu beziehen.
47. Vorrichtung nach mindestens einem der Ansprüche 25-46, wobei die Verarbeitungskontrolle verwendet wird, um Aktualisierungen in der Steuervorrichtung und/oder im Zugriffsinformationsspeicher vorzunehmen.
DE2001152121 2001-10-23 2001-10-23 Regelbasierte Verarbeitungskontrolle mobiler Information Expired - Lifetime DE10152121B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2001152121 DE10152121B4 (de) 2001-10-23 2001-10-23 Regelbasierte Verarbeitungskontrolle mobiler Information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2001152121 DE10152121B4 (de) 2001-10-23 2001-10-23 Regelbasierte Verarbeitungskontrolle mobiler Information

Publications (2)

Publication Number Publication Date
DE10152121A1 true DE10152121A1 (de) 2003-05-08
DE10152121B4 DE10152121B4 (de) 2008-07-17

Family

ID=7703324

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2001152121 Expired - Lifetime DE10152121B4 (de) 2001-10-23 2001-10-23 Regelbasierte Verarbeitungskontrolle mobiler Information

Country Status (1)

Country Link
DE (1) DE10152121B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2115622A2 (de) * 2007-02-26 2009-11-11 Secure Islands Technologies Ltd. System und verfahren zum automatischen datenschutz in einem computernetzwerk

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999030217A1 (en) * 1997-12-11 1999-06-17 Sun Microsystems, Inc. Protection domains to provide security in a computer system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000000879A2 (en) * 1998-03-04 2000-01-06 Internet Dynamics, Inc. Generalized policy server
CA2287824C (en) * 1998-10-22 2004-03-23 At&T Corp. Access control for applications with dynamic parameters

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999030217A1 (en) * 1997-12-11 1999-06-17 Sun Microsystems, Inc. Protection domains to provide security in a computer system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2115622A2 (de) * 2007-02-26 2009-11-11 Secure Islands Technologies Ltd. System und verfahren zum automatischen datenschutz in einem computernetzwerk
EP2115622A4 (de) * 2007-02-26 2010-11-03 Secure Islands Technologies Lt System und verfahren zum automatischen datenschutz in einem computernetzwerk
US9218500B2 (en) 2007-02-26 2015-12-22 Secure Islands Technologies Ltd. System and method for automatic data protection in a computer network
US9838432B2 (en) 2007-02-26 2017-12-05 Secure Islands Technologies Ltd System and method for automatic data protection in a computer network
US10367851B2 (en) 2007-02-26 2019-07-30 Microsoft Israel Research And Development (2002) Ltd System and method for automatic data protection in a computer network

Also Published As

Publication number Publication date
DE10152121B4 (de) 2008-07-17

Similar Documents

Publication Publication Date Title
DE60127557T2 (de) Filtern eines erlaubnissets mit hilfe von erlaubnisanfragen die mit einer kodeanordnung verknüpft sind
DE69730321T2 (de) Verfahren und vorrichtung zum schützen von daten mit mehreren auf datenelementebene anwendbaren verschlüsselungsstufen
EP2843585B1 (de) Verfahren und System zum Bereitstellen von anonymisierten Daten aus einer Datenbank
DE69531513T2 (de) Vervielfältigungssystem
DE60218615T2 (de) Verfahren und Architektur zur durchdringenden Absicherung von digitalen Gütern
DE102016110939B3 (de) Datenorganisationsverfahren und Entwicklungsumgebungssystem
DE69736748T2 (de) Editierumgebung für objektmodelle und verfahren zu deren anwendung
DE102004056651A1 (de) Verfahren und Einrichtung zur Datenarchivierung in einem Datenspeichersystem
DE112019006367T5 (de) Verfahren und System zur Sicherung von Cloud-Speichern und -Datenbanken vor Insider-Bedrohungen und zur Optimierung der Leistung
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE112012004247T5 (de) Passives Überwachen virtueller Systeme unter Verwendung einer erweiterbaren Indexierung
DE60212969T3 (de) Verfahren und vorrichtung zum verfolgen des status eines betriebsmittels in einem system zur verwaltung der benutzung der betriebsmittel
EP2502176B1 (de) Verfahren und vorrichtung zum zugreifen auf steuerungsdaten gemäss einer bereitgestellten rechteinformation
DE102013102229A1 (de) Verfahren zum Ausführen von Tasks auf einem Produktions-Computersystem sowie Datenverarbeitungssystem
EP3743844B1 (de) Blockchain-basiertes identitätssystem
DE60318633T2 (de) Verwaltung digitaler rechte
DE60221861T2 (de) Server mit dateiverifikation
DE10146361B4 (de) Verteiltes System
DE102011077513A1 (de) Verfahren zur sicheren Verarbeitung von Daten
DE60017438T2 (de) System zur betriebsmittelzugriffsteuerung
WO2020164974A1 (de) Verfahren zur überwachung einer funktionalität eines fahrzeuginformationssystems eines kraftfahrzeugs, sowie elektronische recheneinrichtung, computerprogramm und datenträger
EP3539044B1 (de) Zugriffskontrolle auf datenobjekte
EP3539045B1 (de) System mit zertifikat-basierter zugriffskontrolle
DE10152121B4 (de) Regelbasierte Verarbeitungskontrolle mobiler Information
EP3966723B1 (de) Verfahren und anordnung zur bereitstellung von daten einer industriellen automatisierungsanordnung zu einer externen anordnung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R071 Expiry of right