DE102012213807A1 - Steuerung des Lightweight-Dokumentenzugriffs mithilfe von Zugriffskontrolllisten im Cloud-Speicher oder auf dem lokalen Dateisystem - Google Patents

Steuerung des Lightweight-Dokumentenzugriffs mithilfe von Zugriffskontrolllisten im Cloud-Speicher oder auf dem lokalen Dateisystem Download PDF

Info

Publication number
DE102012213807A1
DE102012213807A1 DE102012213807A DE102012213807A DE102012213807A1 DE 102012213807 A1 DE102012213807 A1 DE 102012213807A1 DE 102012213807 A DE102012213807 A DE 102012213807A DE 102012213807 A DE102012213807 A DE 102012213807A DE 102012213807 A1 DE102012213807 A1 DE 102012213807A1
Authority
DE
Germany
Prior art keywords
user
computer
encrypted
access
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102012213807A
Other languages
English (en)
Inventor
Douglas S. Brown
John F. Kelley
Todd Seager
Robert J. Torres
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE102012213807A1 publication Critical patent/DE102012213807A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4523Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Bei einem Verfahren zum Steuern des Zugriffs auf ein verschlüsseltes Dokument empfängt ein Computer eine Anforderung auf Zugriff auf das verschlüsselte Dokument, wobei die Zugriffsanforderung eine Benutzer-ID und ein Benutzerkennwort umfasst. Der Computer führt an dem Benutzerkennwort eine Einweg-Hash-Funktion durch, um einen Hash-Wert zu erzeugen. Der Computer durchsucht eine Zugriffskontrolltabelle nach dem Hash-Wert, der eine Berechtigung des Benutzers anzeigt, auf das verschlüsselte Dokument zuzugreifen, und entspricht einem Dokumentkennwort, das mit dem Benutzerkennwort verschlüsselt ist. Der Computer entschlüsselt mithilfe des Benutzerkennworts das Dokumentkennwort. Der Computer entschlüsselt mithilfe des entschlüsselten Dokumentkennworts das verschlüsselte Dokument.

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft allgemein die Kontrolle des Zugriffs auf Dokumente und insbesondere die Kontrolle des Zugriffs auf Dokumente, die in einem Netzwerk zur Verfügung stehen.
  • HINTERGRUND
  • Elektronische Dokumente können sensible Informationen enthalten, auf die der Zugriff beschränkt werden muss. Ein bekanntes Verfahren zur Verhinderung des unbefugten Zugriffs besteht darin, sensible elektronische Dokumente zu verschlüsseln. Außer der Verschlüsselung wird der Zugriff auf eingeschränkt zugängliche Informationen oft durch die Verwendung von Zugriffskontrolllisten (Access Control List, ACL) gesteuert. Üblicherweise ist in einer ACL festgelegt, welche Benutzer Zugriff auf geschützte Daten haben. Außerdem ist darin die Zugriffsebene festgelegt, auf der Benutzer Zugriff auf die geschützten Daten haben. Die Liste kann einen Eintrag für jeden Benutzer enthalten, der Zugriffsberechtigungen hat. Die ACL kann als Tabelle auf einem lokalen System oder in der Cloud gepflegt werden.
  • Heutzutage ist der Begriff „Cloud Computing” allgemein bekannt und bezeichnet den Zugriff auf Datenverarbeitungsressourcen und Daten über eine Netzwerkinfrastruktur wie z. B. das Internet. Die Datenverarbeitungsressourcen und die Datenspeicherung können durch verbundene Datenverarbeitungszentren der „Cloud” (Netzwerk) bereitgestellt sein. Jedes Datenverarbeitungszentrum enthält üblicherweise eine Vielzahl von Servern, die Dienste zur Speicherung und zum Abruf von Daten bereitstellen. Zu diesen Diensten zählen z. B. die Sicherung und Wiederherstellung von Daten, Datenmigration, gemeinsame Datennutzung, Zusammenarbeit bei der Bearbeitung von Daten usw. Cloud-Speicherdienste sind von überall auf der Welt zugänglich. Daher unterstützt die Cloud-Speicherung die Zusammenarbeit hunderter und tausender Benutzer, die dieselben Dateien oder Objekte nutzen.
  • Ein verbreiteter Standard, der zur Authentifizierung von Remotebenutzern entwickelt wurde, ist das Lightweight Directory Access Protocol (LDAP). LDAP kann zur Authentifizierung von Benutzern verwendet werden, die auf Ressourcen zugreifen möchten, die vom Benutzer aus gesehen lokal oder entfernt angeordnet sind. Üblicherweise, insbesondere bei kleinen Unternehmen, ist der LDAP-Server vom Benutzer entfernt angeordnet. Die Nutzung eines entfernt angeordneten LDAP-Servers über einen Service-Provider ermöglicht kleinen Unternehmen, Kosten für die Bereitstellung ihrer eigenen lokalen LDAP-Server zu sparen. Die Verbindung zum LDAP-Server wird über das Internet, ein Intranet oder über ein anderes Computernetzwerk bereitgestellt. In manchen Fällen können sich einige Ressourcen wie z. B. Webseiten oder Webanwendungen auf der lokalen Client-Maschine befinden. Die Authentifizierung des Benutzers durch den LDAP-Server wäre nach wie vor erforderlich, bevor der Benutzer auf diese Ressourcen zugreifen könnte. Wenn es sich bei der Client-Maschine um einen mobilen Computer handelt, wird die Client-Maschine oftmals vom Netzwerk getrennt. In einem derartigen Fall könnte der Benutzer nicht auf die sicheren Ressourcen auf der mobilen Client-Maschine zugreifen, da keine Verbindung zum LDAP-Server bestehen würde. Bei einer gewerblichen Umgebung kann dies zu ernsthaften Produktivitätsverlusten führen.
  • ÜBERBLICK
  • Bei einer ersten Ausführungsform der vorliegenden Erfindung handelt es sich um ein Programmprodukt und ein Verfahren zum Steuern des Zugriffs auf ein verschlüsseltes Dokument. Ein Computer empfängt eine Anforderung auf Zugriff auf das verschlüsselte Dokument, wobei die Zugriffsanforderung eine Benutzer-ID und ein Benutzerkennwort umfasst. Der Computer führt an dem Benutzerkennwort eine Einweg-Hash-Funktion aus, um einen Hash-Wert zu erzeugen. Der Computer durchsucht eine Zugriffskontrolltabelle nach dem Hash-Wert, der eine Berechtigung des Benutzers anzeigt, auf das verschlüsselte Dokument zuzugreifen, und entspricht einem Dokumentkennwort, das mit dem Benutzerkennwort verschlüsselt ist. Der Computer entschlüsselt mithilfe des Benutzerkennworts das Dokumentkennwort. Der Computer entschlüsselt mithilfe des entschlüsselten Dokumentkennworts das verschlüsselte Dokument.
  • Bei einer zweiten Ausführungsform der vorliegenden Erfindung handelt es sich um ein Programmprodukt und Verfahren zum Steuern des Zugriffs auf eine Webseite. Ein Computer empfängt eine eMail-Nachricht. Die eMail-Nachricht enthält einen Hyperlink auf die verschlüsselte Webseite. Ein Auszeichnungssprache-Dokument (Markup-Language-Dokument) der verschlüsselten Webseite enthält Programmcode zur Anforderung einer Benutzer-ID und eines Benutzerkennworts von einem Benutzer des Computers und zur Ermittlung, ob der Benutzer berechtigt ist, auf die Webseite zuzugreifen, und wenn er dazu berechtigt ist, die Webseite zu entschlüsseln. Als Reaktion auf eine Benutzeranforderung zur Anzeige der verschlüsselten Webseite ruft der Computer den Programmcode auf. Als Reaktion auf die Authentifizierung des Benutzers entschlüsselt der Computer die Webseite und zeigt die Webseite an.
  • KURZBESCHREIBUNG DER VERSCHIEDENEN ANSICHTEN IN DEN ZEICHNUNGEN
  • 1 ist eine Darstellung einer verteilten Datenverarbeitungsumgebung zum Steuern des Zugriffs auf eingeschränkt zugängliche Informationen gemäß einer Ausführungsform der vorliegenden Erfindung.
  • 2 veranschaulicht eingehender die Schritte, die gemäß einer Ausführungsform der vorliegenden Erfindung ein Benutzer-Authentifikatorprogramm der verteilten Datenverarbeitungsumgebung aus 1 ausführt, um Benutzer ohne Administrationsberechtigungen zu authentifizieren.
  • 3 veranschaulicht eingehender die Schritte, die gemäß einer Ausführungsform der vorliegenden Erfindung ein Administrator-Authentifikatorprogramm der verteilten Datenverarbeitungsumgebung aus 1 ausführt, um Benutzer mit Administrationsberechtigungen zu authentifizieren.
  • 4 ist ein Blockschaltbild der internen und externen Komponenten der einzelnen Computer aus 1.
  • DETAILLIERTE BESCHREIBUNG
  • Die vorliegende Erfindung wird nun unter Bezugnahme auf die Figuren beschrieben. Es versteht sich, dass die 1 nur zur Veranschaulichung einer Realisierungsform dient und nicht als Einschränkung in Bezug auf die Umgebungen gedacht ist, in denen unterschiedliche Ausführungsformen realisiert werden können. An den abgebildeten Umgebungen können viele Abänderungen vorgenommen werden.
  • 1 veranschaulicht ein allgemein mit 100 bezeichnetes verteiltes Datenverarbeitungssystem gemäß einer Ausführungsform der vorliegenden Erfindung. Das System 100 enthält einen Server-Computer 104, einen Server-Computer 106 und einen Speicher 122 (der eine ACL-Tabelle 124 enthält). Mehrere Client-Computer 118 und 120 sind über ein Netzwerk 102 wie z. B. das Internet mit den Servern 104 und 106 verbunden. Das Netzwerk 102 steht für eine weltweite Reihe von Netzwerken und Gateways, die zum Datenaustausch untereinander die Gruppe der Protokolle des Transmission Control Protocol/Internet Protocol (TCP/IP) nutzen. Das Herzstück des Internets bildet ein Hauptstrang (Backbone) mit schnellen Datenübertragungsleitungen zwischen Hauptknoten bzw. Host-Computern, die aus tausenden von Computersystemen für Wirtschaft, Behörden und Bildungsinstitutionen sowie andere Computersysteme bestehen, die Daten und Nachrichten weiterleiten. Alternativ können die Computer und die anderen Einheiten des Datenverarbeitungssystems 100 untereinander auch durch unterschiedliche Arten von Netzwerken verbunden sein, z. B. durch ein Intranet, ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetzwerk (WAN).
  • Das Netzwerk 102 kann Datenübertragungsverbindungen wie z. B. drahtgebundene oder drahtlose Datenübertragungsverbindungen oder Lichtwellenleiter beinhalten.
  • Die Client-Computer 118 und 120 können z. B. mobile Einheiten, Telefone, Fernsehempfänger, Mobiltelefone, Personal Digital Assistants, Netbooks, Notebook-Computer, Tablet-Computer, Desktop-Computer und/oder beliebige Arten von Datenverarbeitungseinrichtungen sein, die elektronische Dokumente auf der Anzeige darstellen können. Die Client-Computer 118 und 120 enthalten die Web-Browser 126 und 128, die die Benutzeroberfläche bilden. Eine beispielhafte Web-Browseranwendung 126 und 128 ist die Anwendung „Internet Explorer”, die von der Microsoft Corporation in Redmond, Washington/USA, für den Zugriff auf verschiedene Websites entwickelt und vertrieben wird.
  • In dem veranschaulichten Beispiel ist der Server-Computer 106 ein Web-Server, der mit den Web-Browsern 126 und 128 und anderen Web-Servern 104 zusammenwirken kann. Daten werden zwischen Server-Computern 104 und 106 und Client-Computern 118 und 120 unter Verwendung des Hypertext Transfer Protocol (HTTP) übertragen, eines Protokolls, das allgemein im Internet zum Austausch von Informationen verwendet wird. Das verteilte Datenverarbeitungssystem 100 kann weitere Server-Computer, Client-Computer, Anzeigeeinheiten und andere, nicht gezeigte Einheiten enthalten. Die Client-Computer 118 und 120 sind in diesem Beispiel Clients des Server-Computers 106. Der Server-Computer 106 kann eine Eingabeeinheit 118 und eine Ausgabeeinheit 110 enthalten.
  • Der Server-Computer 106 erhält vom internen Speicher 112 oder vom entfernt angeordneten Speicher ein elektronisches Dokument 130 und sendet als Reaktion darauf, dass er vom Web-Browser 128 des Client-Computers 120 eine Anforderung in Bezug auf das elektronische Dokument 130 empfangen hat, das elektronische Dokument 130 an den Client-Computer 118. Der Begriff „elektronisches Dokument” bezeichnet ein Dokument, das durch einen Computer verarbeitet werden kann. Beispielsweise kann das elektronische Dokument 130 eine Webseite, ein Textdokument im PDF-Format (PDF = Portable Document Format) sein, oder es kann sich hierbei um andere vergleichbare Dokumente handeln, die angezeigt und verändert werden können. Eine Webseite ist ein in HTML (HTML = Hyper Text Markup Language) beschriebenes elektronisches Dokument, das auf dem Server-Computer 106 als Datei (HTML-Datei) gespeichert ist. Bei dem elektronischen Dokument 130 kann es sich auch um eine Vielzahl von Webseiten handeln, die über normale HTML-Links untereinander verbunden sind. Bei verschiedenen Ausführungsformen verschlüsselt ein Ersteller des elektronischen Dokuments 130 dessen Inhalt (ganz oder teilweise) unter Verwendung eines Dokumentkennworts, um den Zugriff auf das elektronische Dokument 130 zu steuern. Wenn es sich bei dem elektronischen Dokument 130 um eine Webseite handelt, sendet der Ersteller des Dokuments die Webseite 130 an den Server-Computer 106 (Web-Server) zwecks Veröffentlichung über das Netzwerk 102, und sendet den Hyperlink für diese Webseite an einen möglichen Benutzer (Betrachter) des elektronischen Dokuments 130. Ebenso sendet der Ersteller des Dokuments, wenn es sich bei dem elektronischen Dokument 130 um eine andere Art von Datendatei handelt, die Datendatei an den Server-Computer 106 (Web-Server) zwecks Veröffentlichung über das Netzwerk 102, und sendet ein Symbol bzw. einen Hyperlink für diese Datendatei an einen möglichen Benutzer (Betrachter) des elektronischen Dokuments 130.
  • Der Ersteller des elektronischen Dokuments 130 kann das Dokumentkennwort, das zur Verschlüsselung des elektronischen Dokuments 130 verwendet wurde, in einer ACL-Tabelle 124 der Speichereinheit 122 speichern. Bei diesem Beispiel nutzen das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 wie nachfolgend beschrieben die ACL-Tabelle 124, um den Benutzerzugriff in Bezug auf das elektronische Dokument 130 zu verwalten. Die ACL-Tabelle 124 kann einen Eintrag für jeden Benutzer enthalten, der Zugriffsberechtigungen hat. Jeder Eintrag kann eine Gruppe verschlüsselter Felder enthalten. Beispielsweise kann jeder Eintrag in der ACL-Tabelle 124 verschlüsselte Anmelde-Benutzerberechtigungsnachweise wie z. B. Hash-Werte für Anmelde-ID und Kennwort, den Benutzerberechtigungsnachweisen zugehörige Benutzerrollen, eine verschlüsselte Version des Ablaufdatums dieses ACL-Eintrags, ein mit dem Anmeldekennwort des Benutzers verschlüsseltes Dokumentkennwort, eine verschlüsselte Version des Administratorkennworts u. Ä. enthalten. Daher weist der Ersteller des elektronischen Dokuments 130 unter Verwendung der ACL-Tabelle 124 möglichen Betrachtern des elektronischen Dokuments 130 Kennwörter zu. Es versteht sich, dass bei manchen Ausführungsformen zu einem Kennwort für die einmalige Anmeldung ausdrücklich mehrere Anmelde-IDs gehören können. Mit anderen Worten: Eine Gruppe von Benutzern kann ein Kennwort für die einmalige Anmeldung gemeinsam nutzen. Bei manchen Ausführungsformen muss ein Benutzer eine der mehreren Anmelde-IDs eingeben, die zu dem Anmeldekennwort gehören, um Zugriff auf das elektronische Dokument 130 zu erhalten. Es versteht sich ferner, dass zu einem Kennwort für die einmalige Anmeldung auch keine Anmelde-IDs gehören können und es dadurch möglich ist, bei dem festgelegten Anmeldekennwort eine willkürlich gewählte Anmelde-ID zu verwenden. Bei einigen Ausführungsformen kann die Speichereinheit 122 eine Dokumentenablage (Dokumenten-Repository) in einer Cloud-Computing-Umgebung sein. Bei anderen Ausführungsformen wird die ACL-Tabelle 124 unter Umständen im lokalen Dateisystem eines Clients gehalten, der keine Verbindung zum Internet hat.
  • Das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 im Datenverarbeitungssystem 100 können Programmanweisungen enthalten, die auf einer oder mehreren computerlesbaren materiellen Speichereinheiten gespeichert sind, zu denen der interne Speicher 112 auf dem Server-Computer 106 gehören kann. Das Benutzer-Authentifikatorprogramm 132 authentifiziert Benutzer, die keine Administratorberechtigungen für den Zugriff auf das elektronische Dokument 130 haben, indem es einen Entschlüsselungsmechanismus nutzt. Das Administrator-Authentifikatorprogramm 134 authentifiziert Benutzer mit Administratorberechtigungen, damit diese die benötigten Verwaltungsfunktionen ausführen können.
  • Vorzugsweise sind das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 im elektronischen Dokument 130 eingebettet oder mit diesem gebündelt und werden durch den Server-Computer 106 zusammen mit der Webseite oder der Datendatei des elektronischen Dokuments 130 an den vorgesehenen Client-Computer 120 gesendet. Daher muss der Benutzer des Client-Computers 120 nicht separat eine Kopie des Benutzer-Authentifikatorprogramms 132 und des Administrator-Authentifikatorprogramms 134 erhalten oder aufbewahren. Außerdem muss der Benutzer des Client-Computers nicht auf einen separaten Authentifizierungs- und Berechtigungsserver zugreifen, um Zugriff zum elektronischen Dokument 130 zu erhalten (außer beim Zugriff auf die ACL-Tabelle 124). Das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 können in einer beliebigen Scriptssprache einer Vielfalt von auf der Client-Seite interpretierbaren Scriptsprachen geschrieben sein, unter anderem in JavaScript, VBScript und ähnlichen Sprachen, die zu der Webseite oder der Datendatei des elektronischen Dokuments 130 gehören und über einen Web-Browser 128 auf dem Client-Computer 120 ausgeführt werden können. Beispielsweise können das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 JavaScript-Anweisungen umfassen, die in einer HTML-Seite der Webseite des elektronischen Dokuments 130 eingebettet sind. Wenn es sich beim elektronischen Dokument 130 um eine Webseite handelt, ruft der Web-Browser 128 das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 auf, wenn der Benutzer auf den Hyperlink dieser Webseite klickt, den er zuvor vom Ersteller empfangen hat. Das aufgerufene Benutzer-Authentifikatorprogramm 132 und/oder Administrator-Authentifikatorprogramm 134 fordert bzw. fordern anschließend von dem Benutzer, der auf das elektronische Dokument 130 zugreifen möchte, Authentifizierungsdaten wie z. B. die Anmelde-ID und das Kennwort des Benutzers an. Anzumerken ist, dass der Web-Browser 128 zu diesem Zeitpunkt den Inhalt des elektronischen Dokuments 130 wie z. B. eine Webseite empfangen haben kann, der Inhalt aber verschlüsselt ist (und noch nicht angezeigt wird). Die 2 und 3 veranschaulichen die Schritte eingehender, die das Benutzer-Authentifikatorprogramm 132 bzw. das Administrator-Authentifikatorprogramm 134 ausführt, siehe die folgende Beschreibung.
  • Gemäß einer weiteren Ausführungsform der vorliegenden Erfindung sendet der Ersteller des elektronischen Dokuments 130 das elektronische Dokument 130 als Anhang in einer eMail über einen Arbeitsplatzcomputer (Workstation) 140 an einen Benutzer des Client-Computers 120. Bei alternativen Ausführungsformen sendet der Ersteller das elektronische Dokument 130 in einer angehängten Datei als Sofortnachricht (Instant Message) an einen Benutzer des Client-Computers 120. Die angehängte Datei enthält außerdem das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134. Darüber hinaus kann die angehängte Datei die ACL-Tabelle 124 enthalten, wenn anzunehmen ist, dass das Dokument auf einem Computer ohne Netzwerkverbindung geöffnet werden soll. Außerdem sendet der Ersteller als Teil der angehängten Datei das vorgegebene Kennwort an den Benutzer. Alternativ könnte dieses Kennwort in einer separaten eMail oder Sofortnachricht gesendet werden. Wenn es sich bei dieser Ausführungsform beim elektronischen Dokument 130 um eine Webseite handelt, ruft der Web-Browser 128 das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 auf, wenn der Benutzer die in der eMail enthaltene Webseite 130 startet. Das Benutzer-Authentifikatorprogramm 122 authentifiziert den Benutzer des Client-Computers 118, der auf das elektronische Dokument 130 zugreifen möchte, indem es Authentifizierungsdaten wie z. B. die Anmelde-ID und das Kennwort des Benutzers anfordert.
  • 2 veranschaulicht eingehender die Schritte, die das Benutzer-Authentifikatorprogramm 132 aus 1 ausführt, um Benutzer ohne Administrationsberechtigungen gemäß einer Ausführungsform der vorliegenden Erfindung zu authentifizieren. In Schritt 202 erhält das Benutzer-Authentifikatorprogramm 132 Authentifizierungsdaten von dem Benutzer, der auf das elektronische Dokument 130 zugreifen möchte. Die Authentifizierungsdaten können die Anmelde-ID und das Kennwort des Benutzers enthalten, die zuvor angelegt und infrage kommenden Betrachtern des elektronischen Dokuments 130 zugewiesen wurden. In Schritt 204 führt das Benutzer-Authentifikatorprogramm 132 an dem vom Benutzer im Klartext eingegebenen Kennwort eine Einweg-Hash-Funktion aus, um einen „Hash-Wert” zu erzeugen. Zu Beispielen unterschiedlicher Einweg-Hash-Funktionen, die sich zur Verwendung in der Erfindung eignen, gehören: Snefru, N-Hash, MD4, MD5, M2 und der sichere Hash-Algorithmus (Secure Hash Algorithm, SHA). Die meisten dieser Algorithmen und deren jeweilige Stärken und Schwächen sind dem Fachmann gut bekannt. Im vorliegenden Dokument bezeichnet der Begriff „Hash-Wert” allgemein einen Wert, der durch eine Einweg-Hash-Funktion erzeugt wurde und speziell für ein bestimmtes Kennwort gilt. Jedes einzelne Kennwort hat einen entsprechenden individuellen Hash-Wert.
  • In Schritt 206 fragt das Benutzer-Authentifikatorprogramm 132 die ACL-Tabelle 124 nach dem in Schritt 204 erzeugten Hash-Wert ab, um einen entsprechenden Datensatz herauszufinden. Es versteht sich, dass die Datensätze in der ACL-Tabelle 124 nach den hashverschlüsselten Kennwortwerten indiziert sein können. Dementsprechend beschleunigt das Benutzer-Authentifikatorprogramm 132 durch die Nutzung von Hash-Werten einen Suchvorgang in der Tabelle.
  • In Schritt 208 ermittelt das Benutzer-Authentifikatorprogramm 132 nach dem Empfangen der Suchergebnisse, ob die in Schritt 206 herausgefunden Datensätze eine in Schritt 202 erhaltene Anmelde-ID enthalten oder alternativ, ob ein beliebiger Datensatz mit einem übereinstimmenden Hash-Wert keine zugehörigen Anmelde-IDs enthält, wodurch angezeigt wird, dass der Zugriff für beliebige Anmelde-IDs offen ist, die mit dem übereinstimmenden Kennwort gepaart sind. Wenn das Benutzer-Authentifikatorprogramm 132 feststellt, dass die ACL-Tabelle 124 keine Anmelde-ID/Kennwort-Kombination des Benutzers (Entscheidung 208, Nein-Zweig) enthält, lehnt das Benutzer-Authentifikatorprogramm 132 die Anforderung des Benutzers auf Zugriff auf das elektronische Dokument 130 ab. Bei einigen Ausführungsformen kann das Benutzer-Authentifikatorprogramm 132 dem Benutzer eine Möglichkeit zur erneuten Eingabe der Anmelde-ID und des Kennworts geben, indem das Programm zu Schritt 202 zurückkehrt. Wenn das Benutzer-Authentifikatorprogramm 132 jedoch feststellt, dass die ACL-Tabelle 124 Authentifizierungsdaten des Benutzers enthält (Entscheidung 208, Ja-Zweig), entschlüsselt das Benutzer-Authentifikatorprogramm 132 das Dokumentkennwort, indem es in Schritt 210 das Klartext-Kennwort des Benutzers (nicht hashverschlüsselt) verwendet. Die Entschlüsselung des Dokumentkennworts kann mithilfe einer Reihe unterschiedlicher Mittel erreicht werden. Bei einer Ausführungsform der Erfindung verwendet das Benutzer-Authentifikatorprogramm 123 den Kugelfischalgorithmus (Blowfish-Algorithmus). Das Kugelfisch-Verschlüsselungsschema ist eine symmetrische Blockchiffrierung, die von Bruce Schneier entwickelt wurde. Es handelt sich hierbei um einen bei Ausführungsformen der vorliegenden Erfindung bevorzugten Algorithmus, da es ein einfacher Algorithmus ist (der im Allgemeinen weniger als 5 K Hauptspeicher zur Realisierung erfordert). Er ist schnell (er benötigt normalerweise 18 Taktzyklen pro Byte), die Schlüssellänge ist variabel und kann maximal 448 bit betragen. Der Algorithmus nutzt schlüsselabhängige S-Boxen und erschwert wegen der zeitraubenden Erzeugung von Unterschlüsseln Brachialangriffe (Brute-Force-Attacken), und er nutzt gemischte Operatoren, wodurch die Kryptoanalyse sehr erschwert wird. Code zur Realisierung des Kugelfischalgorithmus steht für eine Reihe von Programmiersprachen in der Datenverarbeitung öffentlich zur Verfügung. Eine Beschreibung des Kugelfischalgorithmus und anderer Algorithmen, die für die vorliegende Erfindung geeignet sind, ist zu finden in: Stallings, Cryptography and Network Security, 2. Ausgabe, Prentice Hall, Upper Saddle River, N. J., 1998. Bei einer Ausführungsform der vorliegenden Erfindung ist der verwendete Kugelfischalgorithmus ein Algorithmus mit einem symmetrischen Schlüssel. Das bedeutet, dass der Verschlüsselungsschlüssel (das nicht hashverschlüsselte Kennwort des Benutzers) gleich dem Entschlüsselungsschlüssel ist. Der Kugelfischalgorithmus ist jedoch nicht die einzige Auswahlmöglichkeit. Es können auch andere symmetrische Verschlüsselungsalgorithmen verwendet werden. Unabhängig davon, ob der Kugelfischalgorithmus verwendet wird oder nicht, nutzen Ausführungsformen der vorliegenden Erfindung generell Funktionen zum Verschlüsseln von Daten.
  • Bei einigen Ausführungsformen der vorliegenden Erfindung gehört zu jedem Datensatz der ACL-Tabelle 124 ein Ablaufdatum. Bei diesen Ausführungsformen wird als ausgewählter Verschlüsselungsschlüssel das Dokumentkennwort verwendet, um das Ablaufdatum zu verschlüsseln. In Schritt 212 ermittelt das Benutzer-Authentifikatorprogramm 132, ob ein Datensatz der ACL-Tabelle 124 ein Ablaufdatum enthält. Bei vorhandenem Ablaufdatum vergleicht das Benutzer-Authentifikatorprogramm 132 das Datum mit dem aktuellen Datum. Wenn das Benutzer-Authentifikatorprogramm 132 feststellt, dass das aktuelle Datum das Ablaufdatum überschritten hat (Entscheidung 212, Ja-Zweig), sendet das Benutzer-Authentifikatorprogramm 132 in Schritt 214 eine Hinweisnachricht an den Client-Computer 118. Beispielsweise kann eine Ablaufbenachrichtigung einen Benutzer über den Ablauf eines Abonnements oder eines Testzeitraums für das elektronische Dokument 130 benachrichtigen. Wenn das Benutzer-Authentifikatorprogramm 132 jedoch feststellt, dass das aktuelle Datum vor dem Ablaufdatum liegt, oder wenn das Ablaufdatum nicht in der ACL-Tabelle 124 festgelegt ist (Entscheidung 212, Nein-Zweig), ermittelt das Benutzer-Authentifikatorprogramm 132 in Schritt 216, ob im abgerufenen Datensatz der ACL-Tabelle 124 ein Sicherheitsrollenfeld festgelegt ist.
  • Bei einer Ausführungsform können bestimmte Informationen im elektronischen Dokument 130 je nach ihren Rollen und Berechtigungen nur bestimmten Benutzern zugänglich sein. Im elektronischen Dokument 130 enthaltenen Datenfeldern können Sicherheitseinschränkungen zugeordnet sein. Die Sicherheitsrolle kann eine Liste von Berechtigungen für Datenfelder umfassen. Jede Sicherheitsrolle kann einer Gruppe von Datenfeldern zugeordnet sein, die für Benutzer zugänglich ist, die zu einer bestimmten Sicherheitsrolle gehören. Jedem Benutzer, der zu der Sicherheitsrolle gehört, wird der Zugriff auf jedes Feld gewährt, das zu der Sicherheitsrolle gehört. Beispielsweise kann einer Gruppe von Benutzern nur der Zugriff auf bestimmte Felder des Dokuments gewährt werden. Lediglich zur Veranschaulichung wird angenommen, dass ein verschlüsseltes elektronisches Dokument 130 Daten über eine Aufstellung von Immobilien enthält. Die dem elektronischen Dokument 130 zugeordneten Rollen können z. B. und ohne Beschränkung darauf „Makler des Verkäufers”, „Makler des Käufers”, „Käufer”, „Verkäufer”, „Sachverständiger” u. Ä. sein. Zu den im Dokument enthaltenen Datenfeldern können die Adresse der Grundstücke, der Name des Verkäufers, der geforderte Preis, der Taxwert, eine Liste von Anbietern und deren aktuelle Angebote, die Merkmale der Grundstücke wie z. B. Abmessungen, besondere Vorzüge usw. gehören. Beispielsweise würde ein Sachverständiger Lesezugriff auf Grundstücksdaten haben, die das Grundstück charakterisieren: seine Adresse, Abmessungen, besondere Vorzüge und weitere Daten, die im Zusammenhang mit der Taxierung stehen. Der Sachverständige würde berechtigt sein, das Feld mit dem Taxwert zu bearbeiten. Ein Sachverständiger wäre nicht zum Zugriff auf den geforderten Preis des Verkäufers oder auf Angebotsdaten berechtigt. Die beiden Makler können berechtigt sein, alle Daten anzusehen.
  • Wenn das Benutzer-Authentifikatorprogramm 132 feststellt, dass das Benutzerrollenfeld im abgerufenen Datensatz der ACL-Tabelle 124 festgelegt ist (Entscheidung 216, Ja-Zweig), entschlüsselt das Benutzer-Authentifikatorprogramm 132 in Schritt 220 den Inhalt des elektronischen Dokuments 130 anhand der Benutzerrolle und verwendet hierzu das Dokumentkennwort (in Schritt 210 entschlüsselt) als Entschlüsselungsschlüssel. Unter Weiterführung des oben erwähnten Beispiels mit der Immobilienaufstellung entschlüsselt das Benutzer-Authentifikatorprogramm 132, sobald das Benutzer-Authentifikatorprogramm 132 festgestellt hat, dass die Benutzerrolle z. B. „Sachverständiger” lautet, nur die Daten, die das Grundstück charakterisieren, und verhindert dadurch, dass ein Benutzer Daten ansehen kann, für die er keine Berechtigung hat. Wenn das Benutzer-Authentifikatorprogramm 132 jedoch feststellt, dass das Benutzerrollenfeld im Datensatz der ACL-Tabelle 124 nicht festgelegt ist (Entscheidung 216, Nein-Zweig), entschlüsselt das Benutzer-Authentifikatorprogramm 132 in Schritt 218 den gesamten Inhalt des elektronischen Dokuments 130. Es versteht sich, dass nach der Entschlüsselung des elektronischen Dokuments 130 durch das Benutzer-Authentifikatorprogramm 132 der Web-Browser 128 das entschlüsselte elektronische Dokument 130 auf der Anzeige wiedergibt. Wie bereits erwähnt kann die Entschlüsselung des Dokumentkennworts mithilfe einer Reihe unterschiedlicher Mittel erreicht werden, z. B. und ohne Beschränkung darauf mithilfe des Kugelfischalgorithmus.
  • 3 veranschaulicht eingehender die Schritte, die das Administrator-Authentifikatorprogramm 134 aus 1 ausführt, um Benutzern mit Administrationsberechtigungen gemäß einer Ausführungsform der vorliegenden Erfindung die Ausführung von Verwaltungsfunktionen zu ermöglichen. Die Schritte 302 bis 306 dieser Ausführungsform sind mit den in 2 gezeigten Schritten 202 bis 206 identisch, d. h., in Schritt 302 erhält das Administrator-Authentifikatorprogramm 134 Authentifizierungsdaten von dem Benutzer, der auf das elektronische Dokument 120 zugreifen möchte. In Schritt 304 führt das Administrator-Authentifikatorprogramm 134 mit dem vom Benutzer im Klartext eingegebenen Kennwort eine Einweg-Hash-Funktion aus, um einen „Hash-Wert” zu erzeugen. In Schritt 306 fragt das Administrator-Authentifikatorprogramm 134 die ACL-Tabelle 124 nach dem in Schritt 304 erzeugten Hash-Wert ab, um einen entsprechenden Datensatz herauszufinden. In Schritt 308 untersucht das Administrator-Authentifikatorprogramm 134 den Datensatz aus der ACL-Tabelle 124, der in Schritt 306 abgerufen wurde, um festzustellen, ob der Benutzer, der den Zugriff wünscht, zur Ausführung von Verwaltungsfunktionen berechtigt ist. Insbesondere führt das Administrator-Authentifikatorprogramm 134 in Schritt 308 dieselbe Überprüfung auf Übereinstimmung der Benutzer-ID wie in Schritt 208 aus, und wenn eine Übereinstimmung gefunden wurde, verwendet das Programm den in Schritt 306 abgerufenen Datensatz aus der ACL-Tabelle 124, um zu ermitteln, ob das Rollenfeld in dem Datensatz einen Wert enthält, der der Rolle des Administrators entspricht. Zu den Verwaltungsfunktionen gehört z. B. das Zuweisen und Aktualisieren von Berechtigungen für Benutzer, das Hinzufügen und Aktualisierungen von Ad-Datensätzen, Rollen u. Ä. Wenn das Administrator-Authentifikatorprogramm 134 feststellt, dass der Benutzer nicht zur Ausführung von Verwaltungsfunktionen berechtigt ist (Entscheidung 308, Nein-Zweig), kann das Administrator-Authentifikatorprogramm 134 eine Nachricht senden, um dem Benutzer mitzuteilen, dass der Zugriff verweigert wurde. Wenn das Administrator-Authentifikatorprogramm 134 jedoch feststellt, dass der Benutzer zur Ausführung von Verwaltungsfunktionen berechtigt ist (Entscheidung 308, Ja-Zweig), entschlüsselt das Administrator-Authentifikatorprogramm 134 das Kennwort des Administrators, indem es in Schritt 310 das Klartext-Kennwort des Benutzers (nicht hashverschlüsselt) verwendet.
  • In Schritt 312 entschlüsselt das Administrator-Authentifikatorprogramm 134 Klartext-Anmeldekennwörter und bei einigen Ausführungsformen zugehörige Anmelde-IDs aller Datensätze in der ACL-Tabelle 124 und verwendet hierzu das in Schritt 310 entschlüsselte Kennwort des Administrators. Der Ersteller des elektronischen Dokuments 130 bezieht diese Felder in der ACL-Tabelle 124 ausdrücklich ein, um Benutzern mit Administrationsberechtigungen die Ausführung von Verwaltungsfunktionen zu ermöglichen.
  • Bei einer beispielhaften Ausführungsform kann das elektronische Dokument 130 eine Vielzahl von Webseiten umfassen. Eine der Webseiten kann so gestaltet sein, dass sie ein Fenster mit Administratoroptionen enthält, mit deren Hilfe ein Administrator Daten im Zusammenhang mit dem Benutzerzugriff auf das elektronische Dokument 130 überprüfen, hinzufügen, bearbeiten und/oder löschen kann. In Schritt 314 ruft das Administrator-Authentifikatorprogramm 134 mithilfe einer Datenbanksuchabfrage alle Datensätze aus der ACL-Tabelle 124 ab und zeigt diese Datensätze in entschlüsselter Form im Web-Browser 128 an. Der Web-Browser 128 ermöglicht einem Administrator die Ausführung von Verwaltungsfunktionen wie z. B. das Klonen eines vorhandenen Datensatzes in der ACL-Tabelle 124 und das Abändern des Datensatzes, um einen neuen Datensatz anzulegen, das Suchen des vorgegebenen Anmeldekennworts in einem vorhandenen Datensatz der ACL-Tabelle 124 u. Ä.
  • Die Computer 106, 104, 140, 118 und 120 enthalten jeweils entsprechende Gruppen interner Komponenten 800a, b, c, d, e und externer Komponenten 900a, b, c, d, e, die in 4 gezeigt sind. Jede der Gruppen interner Komponenten 800a, b, c, d, e beinhaltet einen oder mehrere Prozessoren 820, einen oder mehrere computerlesbare RAMs 822 und einen oder mehrere computerlesbare ROMS 824 an einem oder mehreren Bussen 826, ein oder mehrere Gastbetriebssysteme 828 und eine oder mehrere computerlesbare materielle Speichereinheiten 830. Das eine oder die mehreren Betriebssysteme 828, das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 sind auf einer oder mehreren der computerlesbaren materiellen Speichereinheiten 830 gespeichert, um durch einen oder mehrere der Prozessoren 820 über einen oder mehrere der RAMs 822 (die normalerweise Cache-Speicher enthalten) ausgeführt zu werden. Die ACL-Tabelle 124 ist ebenfalls auf einer oder mehreren computerlesbaren materiellen Speichereinheiten 830 gespeichert. Bei der in 4 dargestellten Ausführungsform ist jede der computerlesbaren materiellen Speichereinheiten 830 eine Magnetplattenspeichereinheit einer internen Festplatte. Alternativ handelt es sich bei jeder einzelnen der computerlesbaren materiellen Speichereinheiten 830 um eine Halbleiterspeichereinheit wie z. B. den ROM 824, EPROM, Flashspeicher oder um eine beliebige andere computerlesbare materielle Speichereinheit, die ein Computerprogramm und digitale Daten speichern kann.
  • Jede Gruppe der internen Komponenten 800a, b, c, d, e beinhaltet außerdem ein Lese/Schreib-Laufwerk oder eine Lese/Schreib-Schnittstelle 832 zum Lesen von einer oder mehreren bzw. Schreiben auf eine oder mehrere tragbare computerlesbare materielle Speichereinheiten 936 wie z. B. CD-ROM, DVD, Memory-Stick, Magnetband, Magnetplatte, optische Platte oder Halbleiterspeichereinheit. Das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 können auf einer oder mehreren der tragbaren computerlesbaren materiellen Speichereinheiten 936 gespeichert sein, über ein Lese/Schreib-Laufwerk oder eine Lese/Schreib-Schnittstelle 832 gelesen und in eine oder mehrere computerlesbare materielle Speichereinheiten 830 geladen werden.
  • Jede Gruppe der internen Komponenten 800a, b, c, d, e beinhaltet außerdem einen Netzwerkadapter oder eine Netzwerkschnittstelle 836 wie z. B. eine TCP/IP-Adapterkarte. Das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 können von einem externen Computer über ein Netzwerk (z. B. das Internet, ein lokales Netzwerk oder ein anderes Weitverkehrsnetzwerk) und über den Netzwerkadapter oder die Netzwerkschnittstelle 836 auf ein Datenverarbeitungssystem 100 heruntergeladen werden. Vom Netzwerkadapter oder von der Netzwerkschnittstelle 836 werden das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 in eine oder mehrere computerlesbare materielle Speichereinheiten 830 geladen. Das Netzwerk kann Kupferleitungen, Lichtwellenleiter, drahtlose Übertragung, Router, Firewalls, Switches, Gateway-Computer und/oder Edge-Server umfassen.
  • Jede der Gruppen externer Komponenten 900a, b, c, d, e beinhaltet einen Computerbildschirm 920, eine Tastatur 930 und eine Computermaus 934. Jede Gruppe interner Komponenten 800a, b, c, d, e beinhaltet außerdem Einheitentreiber 840, die die Schnittstellen zum Computerbildschirm 920, zur Tastatur 930 und zur Computermaus 934 bilden. Die Einheitentreiber 840, das Lese/Schreib-Laufwerk oder die Lese/Schreib-Schnittstelle 832 und der Netzwerkadapter oder die Netzwerkschnittstelle 836 umfassen Hardware und Software (die auf einer oder mehreren computerlesbaren materiellen Speichereinheiten 830 und/oder auf einen oder mehreren computerlesbaren ROMS 824 gespeichert sind).
  • Das Benutzer-Authentifikatorprogramm 132 und das Administrator-Authentifikatorprogramm 134 können in verschiedenen Programmiersprachen geschrieben sein, u. a. in maschinennahen, höheren, objektorientierten oder nicht objektorientierten Sprachen. Alternativ können die Funktionen des Benutzer-Authentifikatorprogramms 132 und des Administrator-Authentifikatorprogramms 134 ganz oder teilweise mithilfe von Computerschaltungen und oder mithilfe anderer Hardware (nicht gezeigt) realisiert sein.
  • Die obige Beschreibung dient lediglich zur Veranschaulichung. Sie ist nicht als erschöpfende Beschreibung der möglichen Ausführungsform gedacht. Dem Fachmann ist klar, dass andere Kombinationen und Ausführungsformen möglich sind.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • Stallings, Cryptography and Network Security, 2. Ausgabe, Prentice Hall, Upper Saddle River, N. J., 1998 [0023]

Claims (14)

  1. Verfahren zum Steuern des Zugriffs auf ein verschlüsseltes Dokument, wobei das Verfahren die folgenden Schritte umfasst: durch einen Computer das Empfangen einer Anforderung auf Zugriff auf das verschlüsselte Dokument, wobei die Zugriffsanforderung eine Benutzer-ID und ein Benutzerkennwort umfasst; durch den Computer das Ausführen einer Einweg-Hash-Funktion an dem Benutzerkennwort, um einen Hash-Wert zu erzeugen; durch den Computer das Durchsuchen einer Zugriffskontrolltabelle nach dem Hash-Wert, der eine Berechtigung des Benutzers anzeigt, auf das verschlüsselte Dokument zuzugreifen, und der einem Dokumentkennwort entspricht, das mit dem Benutzerkennwort verschlüsselt ist; durch den Computer das Entschlüsseln des Dokumentkennworts mithilfe des Benutzerkennworts; und durch den Computer das Entschlüsseln des verschlüsselten Dokuments mithilfe des entschlüsselten Dokumentkennworts.
  2. Verfahren nach Anspruch 1, bei dem der Hash-Wert auch einem Ablaufdatum entspricht und bei dem der Schritt des Entschlüsselns des verschlüsselten Dokuments ferner die folgenden Schritte umfasst: durch den Computer das Vergleichen des Ablaufdatums mit einem aktuellen Datum; und durch den Computer das Entschlüsseln des verschlüsselten Dokuments als Reaktion auf die Feststellung, dass das aktuelle Datum vor dem Ablaufdatum liegt.
  3. Verfahren nach Anspruch 1, bei dem der Hash-Wert einer Vielzahl von Benutzer-IDs entspricht.
  4. Verfahren nach Anspruch 1, bei dem ein Zugriff auf die Zugriffskontrolltabelle als Dienst in einer Cloud-Umgebung bereitgestellt wird.
  5. Verfahren nach Anspruch 1, bei dem der Hash-Wert einer Sicherheitsrolle entspricht und bei dem der Schritt des Entschlüsselns des verschlüsselten Dokuments durch den Computer ferner das Entschlüsseln des verschlüsselten Dokuments gemäß der Sicherheitsrolle umfasst.
  6. Verfahren nach Anspruch 1, bei dem das verschlüsselte Dokument mithilfe eines symmetrischen Verschlüsselungsalgorithmus verschlüsselt worden ist.
  7. Computerprogrammprodukt, das computerausführbare Anweisungen zur Ausführung der Verfahrensschritte des Verfahrens nach einem der Ansprüche 1 bis 6 umfasst.
  8. Verfahren zum Steuern des Zugriffs auf eine verschlüsselte Webseite, wobei das Verfahren die folgenden Schritte umfasst: durch einen Computer das Empfangen einer eMail-Nachricht, wobei die eMail-Nachricht einen Hyperlink auf die verschlüsselte Webseite umfasst und wobei ein Auszeichnungssprache-Dokument (Markup-Language-Dokument) für die verschlüsselten Webseite Programmcode enthält, um eine Benutzer-ID und ein Benutzerkennwort von einem Benutzer des Computers anzufordern und zu ermitteln, ob der Benutzer berechtigt ist, auf die Webseite zuzugreifen, und wenn er dazu berechtigt ist, die Webseite zu entschlüsseln; und das Aufrufen des Programmcodes durch den Computer als Reaktion auf eine Benutzeranforderung zur Anzeige der verschlüsselten Webseite, und als Reaktion auf die Feststellung, dass der Benutzer zum Zugriff auf die Webseite berechtigt ist, das Entschlüsseln der Webseite durch den Computer und das Anzeigen der Webseite auf dem Computer.
  9. Verfahren nach Anspruch 8, bei dem der Programmcode bei Ausführung durch den Computer die folgenden Schritte ausführt: Empfangen einer Anforderung auf Zugriff auf die verschlüsselte Webseite und als Reaktion darauf das Anfordern der Benutzer-ID und des Kennworts vom Benutzer; Ausführen einer Einweg-Hash-Funktion an dem Benutzerkennwort, um einen Hash-Wert zu erzeugen; Durchsuchen einer Zugriffskontrolltabelle nach dem Hash-Wert, der eine Berechtigung des Benutzers anzeigt, auf die verschlüsselte Webseite zuzugreifen, und der einem Dokumentkennwort entspricht, das mit dem Benutzerkennwort verschlüsselt ist; Entschlüsseln des Dokumentkennworts mithilfe des Benutzerkennworts; und Entschlüsseln der verschlüsselten Webseite mithilfe des entschlüsselten Dokumentkennworts.
  10. Verfahren nach Anspruch 9, bei dem der Hash-Wert auch einem Ablaufdatum entspricht und bei dem der Schritt des Entschlüsselns der verschlüsselten Webseite ferner die folgenden Schritte umfasst: Vergleichen des Ablaufdatums mit einem aktuellen Datum; und Entschlüsseln der verschlüsselten Webseite als Reaktion auf die Feststellung, dass das aktuelle Datum vor dem Ablaufdatum liegt.
  11. Verfahren nach Anspruch 9, bei dem der Hash-Wert einer Vielzahl von Benutzer-IDs entspricht.
  12. Verfahren nach Anspruch 9, bei dem ein Zugriff auf die Zugriffskontrolltabelle als Dienst in einer Cloud-Umgebung bereitgestellt wird.
  13. Verfahren nach Anspruch 9, bei dem der Hash-Wert einer Sicherheitsrolle entspricht und bei dem der Schritt des Entschlüsselns der verschlüsselten Webseite ferner das Entschlüsseln der verschlüsselten Webseite gemäß der Sicherheitsrolle umfasst.
  14. Computerprogrammprodukt, das computerausführbare Anweisungen zur Ausführung der Verfahrensschritte des Verfahrens nach einem der Ansprüche 8 bis 13 umfasst.
DE102012213807A 2011-08-23 2012-08-03 Steuerung des Lightweight-Dokumentenzugriffs mithilfe von Zugriffskontrolllisten im Cloud-Speicher oder auf dem lokalen Dateisystem Withdrawn DE102012213807A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/215,844 US8543836B2 (en) 2011-08-23 2011-08-23 Lightweight document access control using access control lists in the cloud storage or on the local file system
US13/215,844 2011-08-23

Publications (1)

Publication Number Publication Date
DE102012213807A1 true DE102012213807A1 (de) 2013-02-28

Family

ID=47665427

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012213807A Withdrawn DE102012213807A1 (de) 2011-08-23 2012-08-03 Steuerung des Lightweight-Dokumentenzugriffs mithilfe von Zugriffskontrolllisten im Cloud-Speicher oder auf dem lokalen Dateisystem

Country Status (5)

Country Link
US (1) US8543836B2 (de)
CN (1) CN103051600B (de)
CA (1) CA2776182A1 (de)
DE (1) DE102012213807A1 (de)
GB (1) GB2494022A (de)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10447334B2 (en) 2008-07-09 2019-10-15 Secureall Corporation Methods and systems for comprehensive security-lockdown
US10128893B2 (en) 2008-07-09 2018-11-13 Secureall Corporation Method and system for planar, multi-function, multi-power sourced, long battery life radio communication appliance
US11469789B2 (en) 2008-07-09 2022-10-11 Secureall Corporation Methods and systems for comprehensive security-lockdown
US9082127B2 (en) 2010-03-31 2015-07-14 Cloudera, Inc. Collecting and aggregating datasets for analysis
US9317572B2 (en) 2010-03-31 2016-04-19 Cloudera, Inc. Configuring a system to collect and aggregate datasets
US9081888B2 (en) 2010-03-31 2015-07-14 Cloudera, Inc. Collecting and aggregating log data with fault tolerance
US8874526B2 (en) 2010-03-31 2014-10-28 Cloudera, Inc. Dynamically processing an event using an extensible data model
US8667267B1 (en) * 2011-01-31 2014-03-04 Gazzang, Inc. System and method for communicating with a key management system
US8880592B2 (en) 2011-03-31 2014-11-04 Cloudera, Inc. User interface implementation for partial display update
US9386009B1 (en) * 2011-11-03 2016-07-05 Mobile Iron, Inc. Secure identification string
US9128949B2 (en) 2012-01-18 2015-09-08 Cloudera, Inc. Memory allocation buffer for reduction of heap fragmentation
US9172608B2 (en) 2012-02-07 2015-10-27 Cloudera, Inc. Centralized configuration and monitoring of a distributed computing cluster
WO2013138785A1 (en) * 2012-03-16 2013-09-19 Secureall Corporation Electronic apparatuses and methods for access control and for data integrity verification
US9405692B2 (en) 2012-03-21 2016-08-02 Cloudera, Inc. Data processing performance enhancement in a distributed file system
US9338008B1 (en) 2012-04-02 2016-05-10 Cloudera, Inc. System and method for secure release of secret information over a network
US9842126B2 (en) 2012-04-20 2017-12-12 Cloudera, Inc. Automatic repair of corrupt HBases
KR101401794B1 (ko) * 2012-06-29 2014-06-27 인텔렉추얼디스커버리 주식회사 데이터 공유 제공 방법 및 장치
ITFI20120180A1 (it) * 2012-09-13 2014-03-14 Gabriele Scibilia "un sistema per la fornitura in tempo reale di informazioni tecniche, inerenti il contenuto di sostanze chimiche regolamentate da norme dell'unione europea, di un prodotto immesso in una rete di distribuzione commerciale"
US8438654B1 (en) 2012-09-14 2013-05-07 Rightscale, Inc. Systems and methods for associating a virtual machine with an access control right
US9071606B2 (en) * 2013-03-13 2015-06-30 Meetrix Communications, Inc. Managing cloud service with community invitations
US9342557B2 (en) 2013-03-13 2016-05-17 Cloudera, Inc. Low latency query engine for Apache Hadoop
US20140344952A1 (en) * 2013-05-14 2014-11-20 Google Inc. Indexing and searching documents with restricted portions
US10152607B2 (en) * 2013-06-07 2018-12-11 A9.Com Inc. Secure access to hierarchical documents in a sorted, distributed key/value data store
US9477731B2 (en) 2013-10-01 2016-10-25 Cloudera, Inc. Background format optimization for enhanced SQL-like queries in Hadoop
US9934382B2 (en) 2013-10-28 2018-04-03 Cloudera, Inc. Virtual machine image encryption
US9690671B2 (en) 2013-11-01 2017-06-27 Cloudera, Inc. Manifest-based snapshots in distributed computing environments
US10171635B2 (en) 2013-12-04 2019-01-01 Cloudera, Inc. Ensuring properly ordered events in a distributed computing environment
US9747333B2 (en) 2014-10-08 2017-08-29 Cloudera, Inc. Querying operating system state on multiple machines declaratively
US10120904B2 (en) 2014-12-31 2018-11-06 Cloudera, Inc. Resource management in a distributed computing environment
CN104618486A (zh) * 2015-02-06 2015-05-13 浪潮电子信息产业股份有限公司 一种统一管理集群存储系统多平台用户的方法
US10075450B2 (en) * 2015-05-29 2018-09-11 Rockwell Automation Technologies, Inc. One time use password for temporary privilege escalation in a role-based access control (RBAC) system
JP2017028441A (ja) * 2015-07-21 2017-02-02 株式会社Ictソリューションパートナーズ 暗号化情報保管システム
CN106487763B (zh) * 2015-08-31 2020-01-10 腾讯科技(深圳)有限公司 一种基于云计算平台的数据访问方法及用户终端
CN105488125A (zh) * 2015-11-24 2016-04-13 百度在线网络技术(北京)有限公司 页面访问方法和装置
CN105635139B (zh) * 2015-12-31 2019-04-05 深圳市安之天信息技术有限公司 一种防溢出攻击的文档安全操作与分析的方法及系统
US20180285596A1 (en) * 2017-03-30 2018-10-04 Cisco Technology, Inc. System and method for managing sensitive data
US10915644B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Collecting data for centralized use in an adaptive trust profile event via an endpoint
US10917423B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Intelligently differentiating between different types of states and attributes when using an adaptive trust profile
US10862927B2 (en) 2017-05-15 2020-12-08 Forcepoint, LLC Dividing events into sessions during adaptive trust profile operations
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US9882918B1 (en) 2017-05-15 2018-01-30 Forcepoint, LLC User behavior profile in a blockchain
US10999297B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Using expected behavior of an entity when prepopulating an adaptive trust profile
US10129269B1 (en) 2017-05-15 2018-11-13 Forcepoint, LLC Managing blockchain access to user profile information
US10318729B2 (en) 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
JP6647258B2 (ja) * 2017-09-11 2020-02-14 Capy株式会社 ユーザ認証方法、評価装置、プログラム、及びユーザ認証システム
US10779342B2 (en) * 2017-11-27 2020-09-15 Cypress Semiconductor Corporation Load balance for dual interface automotive wi-fi controllers for P2P devices
US11250525B2 (en) * 2018-09-14 2022-02-15 Appraisers Now Ltd. Systems and methods for collaborative real-time generation of electronic real estate reports
CN109858255A (zh) * 2018-12-19 2019-06-07 杭州安恒信息技术股份有限公司 数据加密存储方法、装置及实现装置
US10853496B2 (en) 2019-04-26 2020-12-01 Forcepoint, LLC Adaptive trust profile behavioral fingerprint
CN113094719B (zh) * 2020-01-08 2023-08-08 钉钉控股(开曼)有限公司 访问控制方法、装置、设备
CN113961970B (zh) * 2021-12-23 2022-03-15 天津联想协同科技有限公司 跨网段网盘登录身份验证方法、装置、网盘及存储介质
US20230370466A1 (en) * 2022-05-13 2023-11-16 Microsoft Technology Licensing, Llc Virtual scopes for resource management

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002033727A (ja) 2000-05-11 2002-01-31 Matsushita Electric Ind Co Ltd ファイル管理装置
US6742026B1 (en) 2000-06-19 2004-05-25 International Business Machines Corporation System and method for providing a distributable runtime
US7243127B2 (en) * 2000-10-11 2007-07-10 Swiftview, Inc. Network-based document delivery system with receipt and display verification
US7836310B1 (en) 2002-11-01 2010-11-16 Yevgeniy Gutnik Security system that uses indirect password-based encryption
US20050204008A1 (en) * 2004-03-09 2005-09-15 Marc Shinbrood System and method for controlling the downstream preservation and destruction of electronic mail
US20050210259A1 (en) 2004-03-22 2005-09-22 Sharp Laboratories Of America, Inc. Scan to confidential print job communications
US20060031309A1 (en) * 2004-05-20 2006-02-09 International Business Machines Corporation Electronic mail attachment management system and method
US7533422B2 (en) 2004-07-09 2009-05-12 Cisco Technology, Inc. Platform independent zero footprint decompression
US20070005594A1 (en) * 2005-06-30 2007-01-04 Binyamin Pinkas Secure keyword search system and method
US7627569B2 (en) * 2005-06-30 2009-12-01 Google Inc. Document access control
US20070061889A1 (en) * 2005-09-12 2007-03-15 Sand Box Technologies Inc. System and method for controlling distribution of electronic information
JP4584196B2 (ja) 2006-06-27 2010-11-17 九州日本電気ソフトウェア株式会社 情報処理システム、情報処理方法、およびプログラム
CA2554991A1 (en) * 2006-07-28 2008-01-28 Ibm Canada Limited - Ibm Canada Limitee System and method for distributing email attachments
US7865943B2 (en) * 2006-09-22 2011-01-04 Oracle International Corporation Credential vault encryption
US20090248808A1 (en) * 2008-03-28 2009-10-01 Kouichi Izumi Methods and Apparatus for Transmitting Attachments Using a Mail Send/Receive Program
JP2010045744A (ja) * 2008-08-18 2010-02-25 Fujitsu Ltd 文書データ暗号化方法及び文書データ暗号化システム
JP4891300B2 (ja) 2008-09-25 2012-03-07 ブラザー工業株式会社 画像読取システム、画像読取装置、および画像読取プログラム
US7877451B2 (en) * 2008-11-26 2011-01-25 International Business Machines Corporation System, method and program product for distribution of content contained in an electronic mail message
CN101674329B (zh) 2009-09-27 2012-08-22 卓望数码技术(深圳)有限公司 一种互联网访问方法和互联网访问系统
US8620879B2 (en) * 2009-10-13 2013-12-31 Google Inc. Cloud based file storage service

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Stallings, Cryptography and Network Security, 2. Ausgabe, Prentice Hall, Upper Saddle River, N. J., 1998

Also Published As

Publication number Publication date
CA2776182A1 (en) 2013-02-23
CN103051600A (zh) 2013-04-17
US20130054976A1 (en) 2013-02-28
GB201212460D0 (en) 2012-08-29
GB2494022A (en) 2013-02-27
CN103051600B (zh) 2015-09-30
US8543836B2 (en) 2013-09-24

Similar Documents

Publication Publication Date Title
DE102012213807A1 (de) Steuerung des Lightweight-Dokumentenzugriffs mithilfe von Zugriffskontrolllisten im Cloud-Speicher oder auf dem lokalen Dateisystem
DE60100317T2 (de) Verfahren zum Bereitstellen von Kundenzugriff auf einen inhaltanbietenden Server unter Kontrolle eines resoursenlokalisierenden Servers
US9930026B2 (en) Encryption/decryption in a cloud storage solution
DE60130377T2 (de) Verfahren zur steuerung des zugriffs auf digitalen inhalt und streaming-medien
EP3033855B1 (de) Unterstützung einer entschlüsselung von verschlüsselten daten
EP3077952B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems
DE102009042673A1 (de) Die Speicherung zusammengesetzter Dienste auf unzuverlässigen Hosts
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE202013012485U1 (de) System für Browseridentität
DE112018000779T5 (de) Tokenbereitstellung für Daten
EP3078177B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
US20140053252A1 (en) System and Method for Secure Document Distribution
DE202012013482U1 (de) Verteilung von Zugriffsinformationen auf Overlay-Netzwerken
DE202011110893U1 (de) Verwaltung mehrfacher Anmeldungen über einen Einzelbrowser
DE202012013453U1 (de) Gehostete Speichersperrung
DE60309216T2 (de) Verfahren und vorrichtungen zur bereitstellung eines datenzugriffs
DE112011102224T5 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE102011077513A1 (de) Verfahren zur sicheren Verarbeitung von Daten
DE112022000340T5 (de) Attributgestützte verschlüsselungsschlüssel als schlüsselmaterial zum authentifizieren und berechtigen von benutzern mit schlüssel-hash-nachrichtenauthentifizierungscode
DE102015103251B4 (de) Verfahren und System zum Verwalten von Nutzerdaten eines Nutzerendgeräts
DE202020005753U1 (de) Verwalten von Benutzeridentitäten in einem verwalteten Multi-Tenant-Dienst
WO2015074745A1 (de) Verfahren, vorrichtungen und system zur online-datensicherung
DE112022000963T5 (de) Verbindungsbeständige mehrfaktorauthentifizierung
DE112019003808B4 (de) Zweckspezifische Zugriffssteuerung auf Grundlage einer Datenverschlüsselung
DE10251408A1 (de) Sicherer und vermittelter Zugriff für E-Dienste

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021240000

Ipc: G06F0021620000

R082 Change of representative

Representative=s name: RICHARDT, MARKUS, DIPL.-ING., DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee