DE102015201516A1 - Apparatus and method for dynamically adapting a client's access to a server - Google Patents
Apparatus and method for dynamically adapting a client's access to a server Download PDFInfo
- Publication number
- DE102015201516A1 DE102015201516A1 DE102015201516.5A DE102015201516A DE102015201516A1 DE 102015201516 A1 DE102015201516 A1 DE 102015201516A1 DE 102015201516 A DE102015201516 A DE 102015201516A DE 102015201516 A1 DE102015201516 A1 DE 102015201516A1
- Authority
- DE
- Germany
- Prior art keywords
- access
- client
- server
- information
- access information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
Abstract
Es wird eine Vorrichtung zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem vorgeschlagen. Die Vorrichtung weist eine Empfangseinheit zum Empfangen einer Zugriffsanfrage des Clients auf den Server, wobei die Zugriffsanfrage Zugriffsinformationen des Clients enthält, und eine Verarbeitungseinheit zum Verarbeiten der Zugriffsanfrage und Bereitstellen eines Zugriffs durch den Client auf den Server basierend auf den Zugriffsinformationen auf, wobei die Verarbeitungseinheit dazu eingerichtet ist, die Zugriffsinformationen während der Dauer des bereitgestellten Zugriffs zu überprüfen und den bereitgestellten Zugriff basierend auf einem Ergebnis der Überprüfung dynamisch anzupassen.
Des Weiteren wird ein entsprechendes Verfahren zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem vorgeschlagen.
Durch die vorgeschlagene Vorrichtung können die Zugriffsrechte eines Clients auch während eines Zugriffs noch angepasst werden. Auf diese Weise kann dynamisch auf sich verändernde Eigenschaften durch Anpassung der Zugriffsrechte eines Nutzers reagiert werden. A device is proposed for dynamically adapting a client's access to a server in a network system. The apparatus includes a receiving unit for receiving an access request of the client to the server, the access request including access information of the client, and a processing unit for processing the access request and providing access by the client to the server based on the access information, the processing unit is arranged to check the access information during the provided access time and dynamically adjust the provided access based on a result of the check.
Furthermore, a corresponding method for dynamically adapting a client's access to a server in a network system is proposed.
Due to the proposed device, the access rights of a client can still be adapted during access. In this way, it is possible to react dynamically to changing properties by adapting a user's access rights.
Description
Die vorliegende Erfindung betrifft eine Vorrichtung zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem. Des Weiteren betrifft die vorliegende Erfindung ein Verfahren zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server. The present invention relates to an apparatus for dynamically adapting a client's access to a server in a network system. Furthermore, the present invention relates to a method for dynamically adapting a client's access to a server.
In verschiedenen Systemen kann es erforderlich sein, dass ein Nutzer über ein Netzwerk auf einen Server zugreift und dort verschiedene Handlungen durchführt. Dabei kann beispielsweise im Rahmen einer Sitzung mit einem Dienst, der auf dem Server läuft, ein Nutzer nach erfolgreicher Authentifizierung eine ihm zugeordnete Rolle, wie beispielsweise als Anwender, Operator, Administrator, oder Gast, aktivieren. Er erhält damit auch die mit dieser Rolle verbundenen Rechte, die ihm die Manipulation bestimmter Objekte erlauben. Hierzu zählen beispielsweise Lesezugriffe und/oder Schreibzugriffe auf Daten, Absetzen von Steuerbefehlen, usw. Different systems may require a user to access a server over a network and perform various actions there. For example, in the context of a session with a service running on the server, a user can activate a role assigned to him after successful authentication, for example as a user, operator, administrator, or guest. He also receives the rights associated with this role that allow him to manipulate certain objects. These include, for example, read accesses and / or write accesses to data, issuing of control commands, etc.
In bisherigen Systemen können einzelnen Anwendern jeweils bestimmte Rechte direkt zugewiesen werden. Allerdings erfordert dies vor allem bei großen Anwendergruppen und zahlreichen Rechteoptionen sowohl bei der Einrichtung als auch bei Änderungen einen hohen Administrationsaufwand. In previous systems, individual users can be assigned specific rights directly. However, this requires a high administrative effort, especially for large user groups and numerous rights options, both during setup and changes.
Eine andere Möglichkeit besteht darin, ein zweistufiges Konzept zu verwenden, bei dem die Anwender zuerst gruppiert und ihnen dann bestimmte Rollen zugewiesen werden, wobei an diese Rollen dann die jeweiligen Rechte gebunden sind. In den bekannten Systemen erfolgt eine Zuweisung und Aktivierung einer Rolle jedoch immer für einen Zugriff. Another possibility is to use a two-step concept in which the users are first grouped and then assigned specific roles, with the respective rights then being tied to these roles. In the known systems, however, an assignment and activation of a role always takes place for access.
Eine weitere Möglichkeit besteht darin, dass der Anwender im Verlauf einer bestehenden Sitzung seine Rolle ändert, indem er explizit selbst ihm zugeordnete Rollen aktiviert und/oder deaktiviert. Another possibility is that the user changes his role in the course of an existing session by explicitly activating and / or deactivating roles assigned to him himself.
Eine solche Rollenzuweisung und -aktivierung, d.h. ein autorisierter Systemzugriff, kann auch bei der Industrieautomation oder bei der Energieerzeugung und -verteilung, etc. eingesetzt werden, vor allem in der Fernwartung. Hier kann es sinnvoll oder sogar notwendig sein, die Aktivierung von Rollen und die Vergabe von Rechten während einer laufenden Sitzung dynamisch anzupassen, beispielsweise um Abhängigkeiten von Parametern wie Zeit und Ort des Anwenders zu berücksichtigen. Such role assignment and activation, i. an authorized system access, can also be used in industrial automation or in power generation and distribution, etc., especially in remote maintenance. Here, it may be useful or even necessary to dynamically adjust the activation of roles and the assignment of rights during a running session, for example to take account of dependencies on parameters such as time and location of the user.
Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, eine verbesserte Anpassung von Zugriffen durch Clients und deren Zugriffsrechte auf einen Server bereitzustellen. Against this background, an object of the present invention is to provide an improved adaptation of accesses by clients and their access rights to a server.
Demgemäß wird eine Vorrichtung zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem vorgeschlagen. Die Vorrichtung weist eine Empfangseinheit zum Empfangen einer Zugriffsanfrage des Clients auf den Server, wobei die Zugriffsanfrage Zugriffsinformationen des Clients enthält, und eine Verarbeitungseinheit zum Verarbeiten der Zugriffsanfrage und Bereitstellen eines Zugriffs durch den Client auf den Server basierend auf den Zugriffsinformationen auf. Die Verarbeitungseinheit ist dazu eingerichtet, die Zugriffsinformationen während der Dauer des bereitgestellten Zugriffs zu überprüfen und den bereitgestellten Zugriff basierend auf einem Ergebnis der Überprüfung dynamisch anzupassen. Accordingly, an apparatus for dynamically adapting a client's access to a server in a network system is proposed. The apparatus includes a receiving unit for receiving an access request of the client to the server, the access request including access information of the client, and a processing unit for processing the access request and providing access by the client to the server based on the access information. The processing unit is configured to check the access information during the provided access time and dynamically adjust the provided access based on a result of the check.
Die jeweilige Einheit, zum Beispiel Empfangseinheit oder Verarbeitungseinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steuerrechner eines Fahrzeuges ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein. The respective unit, for example receiving unit or processing unit, can be implemented in hardware and / or software technology. In a hardware implementation, the respective unit may be designed as a device or as part of a device, for example as a computer or as a microprocessor or as a control computer of a vehicle. In a software implementation, the respective unit may be designed as a computer program product, as a function, as a routine, as part of a program code or as an executable object.
Unter einem Client kann in diesem Zusammenhang eine Anwendung auf einem Gerät eines Nutzers verstanden werden. Ein solches Gerät kann beispielsweise ein mobiles Gerät wie ein Tablet, Laptop oder Mobiltelefon, aber auch irgendeine andere Art von Rechenvorrichtung sein, über die ein Nutzer beispielsweise unter Verwendung eines Browsers auf den Server zugreifen kann. In this context, a client can be understood as an application on a device of a user. Such a device may be, for example, a mobile device such as a tablet, laptop or mobile phone, but also any other type of computing device through which a user may access the server using, for example, a browser.
In einer weiteren Ausführungsform kann der Nutzer auch ein Prozess sein, welcher ohne direkte menschliche Bedienung mit einem Server interagiert. In another embodiment, the user may also be a process that interacts with a server without direct human interaction.
Unter einem Server kann in diesem Zusammenhang ein einzelner zentraler Server oder auch eine Kombination von mehreren verschiedenen Servern oder Servereinrichtungen verstanden werden, die es einem Anwender oder Nutzer ermöglichen, Anwendungen in einem Netzwerksystem zu benutzen. Auf dem Server oder den mehreren Servern können verschiedene Anwendungen für verschiedene Bereiche eines Netzwerksystems, beispielsweise eines Automationssystems, laufen und einem Nutzer bereitgestellt werden. Diese Anwendungen können unter anderem zur Fernwartung verschiedener Bereiche und/oder Teilsysteme eines Netzwerksystems dienen. Ein solches Netzwerksystem kann beispielsweise auch ein Energieerzeugungs- und/oder Energieverteilungssystem sein. In this context, a server can be understood to be a single central server or else a combination of several different servers or server devices which enable a user or user to use applications in a network system. Various applications for different areas of a network system, for example an automation system, can be run on the server or the several servers and made available to a user. Among other things, these applications can serve for the remote maintenance of different areas and / or subsystems of a network system. Such a network system may for example also be a power generation and / or energy distribution system.
Die Vorrichtung zum dynamischen Anpassen des Zugriffs des Clients kann auf dem Server, oder einem Server einer Mehrzahl bzw. Kombination von mehreren Servern, angeordnet sein. Alternativ könnte die Vorrichtung auch zwischen dem Client und dem Server vorgesehen sein. The device for dynamically adjusting the access of the client may be arranged on the server, or a server of a plurality or combination of multiple servers. Alternatively, the device could also be provided between the client and the server.
Wenn ein Nutzer als Client, d.h. über irgendeine Art von Rechenvorrichtung, auf bestimmte Anwendungen oder Dienste auf dem Server zugreifen möchte, beispielsweise zum Durchführen einer Fernwartung, kann der Client eine Zugriffsanfrage an den Server senden. Diese Zugriffsanfrage wird von der Empfangseinheit empfangen und an die Verarbeitungseinheit weitergeleitet. Die Zugriffsanfrage enthält bestimmte Zugriffsinformationen des Clients. Diese Zugriffsinformationen können unter anderem angeben, welche Rechte der Client, und daher der Nutzer, für welche Anwendungen hat. When a user acts as a client, i. Through some type of computing device, to access particular applications or services on the server, for example, to perform remote maintenance, the client may send an access request to the server. This access request is received by the receiving unit and forwarded to the processing unit. The access request contains certain access information of the client. Among other things, this access information may specify what rights the client, and therefore the user, has for which applications.
Beim Verarbeiten der Zugriffsanfrage kann die Verarbeitungseinheit die Zugriffsinformationen des Clients überprüfen und anhand dessen dem Client für den Zugriff eine bestimmte Rolle zuweisen. Unter Rolle kann in diesem Zusammenhang ein Profil verstanden werden, dass dem Client bestimmte Aktionen erlaubt und/oder nicht erlaubt. When processing the access request, the processing unit can check the access information of the client and, by means of this, assign a specific role to the client for access. Under role can be understood in this context, a profile that allows the client certain actions and / or not allowed.
Unter einem bereitgestellten Zugriff kann in diesem Zusammenhang eine Sitzung mit einem Dienst, der auf dem Server zur Verfügung steht, verstanden werden. Ein solcher bereitgestellter Zugriff oder eine Sitzung kann zunächst zeitlich unbeschränkt sein. In the context of a provided access, a session with a service available on the server can be understood in this context. Such a provided access or session may initially be unlimited in time.
Im Rahmen einer solchen Sitzung mit einem Dienst kann ein Client die ihm zugeordnete Rolle (z.B. Anwender, Operator, Administrator, Gast) aktivieren. Vorab kann eine Authentifizierung des Clients bei dem Server erforderlich sein. Mit Aktivierung der Rolle erhält der Client auch die mit dieser Rolle verbundenen Rechte, die ihm die Manipulation bestimmter Objekte erlauben: Beispiele hierfür sind Lesezugriffe und/oder Schreibzugriffe auf Daten, Absetzen von Steuerbefehlen, usw. As part of such a session with a service, a client may enable its assigned role (e.g., user, operator, administrator, guest). Advance authentication of the client to the server may be required. When the role is activated, the client also receives the rights associated with this role, which allow it to manipulate certain objects: examples include read access and / or write access to data, issuing of control commands, etc.
Durch die Überprüfung der Zugriffsinformationen durch die Verarbeitungseinheit während des bereitgestellten Zugriffs, d.h. während einer laufenden Sitzung, kann die Aktivierung von Rollen und die damit verbundene Vergabe von Rechten während einer laufenden Sitzung dynamisch angepasst werden. Eine solche dynamische Anpassung kann erforderlich sein, wenn sich die Zugriffsinformationen des Clients ändern. By checking the access information by the processing unit during the provided access, i. During a running session, the activation of roles and the associated assignment of rights during a running session can be dynamically adjusted. Such dynamic adaptation may be required as client access information changes.
Gemäß einer Ausführungsform beinhalten die Zugriffsinformationen zumindest eine Eigenschaft des Clients. According to one embodiment, the access information includes at least one property of the client.
Die Zugriffsinformationen können eine oder mehrere Eigenschaften des Clients angeben. Diese Eigenschaften dienen dazu, zu bestimmen, welche Rolle dem Client zuzuordnen ist, d.h. in welchem Umfang dem Client Zugriffsrechte auf den Server zugeordnet werden. Diese Eigenschaften können sich im Verlauf des Zugriffs, d.h. einer Sitzung, ändern. Basierend auf einer solchen Änderung der Eigenschaft(en) des Clients kann dann eine Anpassung des Zugriffs, d.h. der Zugriffsrechte bzw. der zugeordneten Rolle, durchgeführt werden. The access information may specify one or more properties of the client. These properties are used to determine which role to associate with the client, i. to what extent the client is assigned access rights to the server. These properties may change in the course of access, i. a session, change. Based on such a change in the property (s) of the client, then an adaptation of the access, i. the access rights or the assigned role.
Gemäß einer weiteren Ausführungsform ist die zumindest eine Eigenschaft des Clients eine räumliche Eigenschaft und/oder eine zeitliche Eigenschaft. According to a further embodiment, the at least one property of the client is a spatial property and / or a temporal property.
Gemäß dieser Ausführungsform können beispielsweise Eigenschaften in der Form von Parametern wie Zeit und Ort des Clients berücksichtigt werden. Ein Zugriff mit bestimmten Zugriffsrechten kann beispielsweise nur für eine bestimmte Zeitdauer, während eines bestimmten Zeitraums, z.B. in Abhängigkeit von der Uhrzeit, oder an einem bestimmten Ort erfolgen. Weitere Eigenschaften oder Kombinationen von diesen und weiteren Eigenschaften sind ebenfalls möglich. For example, according to this embodiment, characteristics in the form of parameters such as time and location of the client may be considered. For example, access with certain access rights may only be for a certain period of time, during a particular period of time, e.g. depending on the time, or at a specific location. Other properties or combinations of these and other properties are also possible.
Ein Anwendungsfall könnte beispielsweise ein Wartungstechniker sein, der in einer Anlage, wie einem Kraftwerk, einer Fabrik, einer Leitstelle zur Energieverteilung, einer Raffinerie, einer Pipeline, einem Krankenhausinformationssystem, oder ähnlichem, zu einer bestimmten Zeit (z.B. am kommenden Montag von 9 bis 11 Uhr) als Administrator agieren darf, z.B. um dort neue Software einzuspielen. In diesem Fall soll dem Client für diese bestimmte Zeit die Rolle „Administrator“ mit den damit verbundenen Zugriffsrechten zugeordnet werden. In diesem Beispiel darf diese Rolle jedoch nur während des vorher festgelegten Zeitfensters, in dem sich die Anlage nicht im operativen Betrieb, sondern in einer Wartungsphase befindet, ausgeführt werden. Nach Ablauf dieser Zeit soll der Wartungstechniker keine Wartungsarbeiten mehr durchführen können. Das muss nicht bedeuten, dass der Techniker sich nach Ablauf der Zeit nicht mehr anmelden können soll, oder dass dann seine noch aktive Verbindung radikal unterbrochen wird. Es kann auch gewünscht sein, dass nur seine Rolle und die damit verbundenen Rechte verändert werden sollen, beispielsweise indem er eine andere Rolle mit verminderten Rechten erhält, ohne dass seine Sitzung terminiert wird. So könnte beispielsweise der Wartungstechniker im Anschluss an Wartungsarbeiten die Anlage bei verminderten Rechten noch eine Weile beobachten. For example, an application could be a maintenance technician working at a facility such as a power plant, factory, power distribution, refinery, pipeline, hospital information system, or the like at a particular time (eg, next Monday, 9-11 am) Clock) may act as an administrator, eg to record new software there. In this case, the client should be assigned the role "Administrator" with the associated access rights for this specific time. In this example, however, this role may only be performed during the predefined time window in which the plant is not in operative operation but in a maintenance phase. After this time, the maintenance technician should no longer be able to carry out maintenance work. This does not mean that the technician should not be able to log in after the time has expired, or that his active connection will be interrupted radically. It may also be desired that only his role and associated rights should be changed, for example, by giving him another role with diminished rights, without terminating his session. For example, the maintenance technician could observe the system for a while after reduced maintenance, following maintenance work.
Ein anderer Anwendungsfall könnte eine ortsabhängige Rollenzuweisung sein. Befindet sich beispielsweise ein Operator in einer Anlage oder auf dem zugehörigen abgesperrten Gelände, so kann er Messdaten abfragen und auch Steuerbefehle absetzen; befindet er sich außerhalb des Geländes, womöglich sogar im Ausland, oder kann seine Position nicht festgestellt werden, so erhält er eine andere Rolle, die seine Rechte begrenzt. In diesem Fall kann die Rolle, d.h. der bereitgestellte Zugriff und die damit verbundenen Zugriffsrechte, darauf beschränkt sein, dass sich der Operator sich zwar noch Daten anzeigen lassen, aber keine Steuerbefehle absetzen kann. Meldet er sich zunächst in der Anlage an und verlässt dann den Bereich, so können ihm durch Zuweisung einer anderen Rolle automatisch Rechte entzogen werden. Dies erfolgt im Rahmen der Überprüfung der Zugriffsinformationen. Another use case might be a location-based role assignment. For example, is there an operator in an attachment or on the associated closed off terrain, he can query measurement data and also issue control commands; if he is out of the country, possibly even abroad, or if his position can not be established, he will have another role limiting his rights. In this case, the role, ie the access provided and the associated access rights, may be limited to the fact that the operator can still display data but can not issue any control commands. If he logs on to the system first and then leaves the area, he can automatically be deprived of his rights by assigning another role. This is done as part of the review of access information.
Weitere Anwendungsfälle für eine dynamische Anpassung von Rollen angemeldeter Clients können auftreten, wenn sich äußere Umstände ändern. Dies kann der Fall sein, wenn die Anlage von einem Wartungsmodus in den produktiven Betrieb wechselt. Ein weiteres Beispiel kann sein, wenn Störungen in der Anlage, auf die mittels des Servers zugegriffen werden kann, auftreten. Dies können beispielsweise Fehlfunktionen von Anlagenkomponenten, eine hohe Last im Steuerungsnetz oder Alarme sein, durch die die Anlage in einen "Krisenmodus" übergeht. Eine andere Möglichkeit ist eine Änderung der äußeren Umstände dadurch, dass ein anderer Mitarbeiter einen sicherheitskritischen Bereich, z.B. in einem Umspannwerk, betritt oder mit Arbeiten an Komponenten beginnt, so dass dem Client aus Sicherheitsgründen bestimmte Rollen oder Rechte entzogen werden müssen. Eine dynamische Anpassung des bereitgestellten Zugriffs kann auch dadurch erforderlich sein, dass eine Lizenz für bestimmte Applikationen ausläuft. Other use cases for dynamically adjusting roles of logged-on clients can occur when external circumstances change. This may be the case when the system goes from a maintenance mode to productive operation. Another example may be when disturbances in the plant that can be accessed by the server occur. These may be, for example, malfunctions of system components, a high load in the control network or alarms that cause the system to enter a "crisis mode". Another possibility is a change in the external circumstances in that another employee has a safety-critical area, e.g. in a substation, enters or begins to work on components, so that certain roles or rights must be withdrawn from the client for security reasons. A dynamic adaptation of the provided access may also be required by the fact that a license expires for certain applications.
Gemäß einer weiteren Ausführungsform beinhalten die Zugriffsinformationen eine Sicherheitsinformation des Clients. According to another embodiment, the access information includes security information of the client.
Eine solche Sicherheitsinformation kann angeben, für welche Bereiche, Anwendungen, Aktionen etc. der Client einen erforderlichen Sicherheitsstatus hat. Dieser Sicherheitsstatus kann beispielsweise anhand einer Authentifizierung mittels Passwort, Zertifikat, Chipkarte oder sonstigem ermittelt werden. Als Passwort können dauerhafte Passwörter oder einmalige Passwörter verwendet werden. Diese Mittel können auch als Security Credentials bezeichnet werden. Werden Security Credentials mit hohem Sicherheitsniveau verwendet, so kann der Client mehr oder umfassendere Rechte erhalten als bei einer Anmeldung mit Security Credentials mit niedrigem Sicherheitsniveau. Auch die Security Credentials können sich während einer Sitzung ändern, beispielsweise wenn der Client seine Chipkarte oder einen Dongle abzieht, wenn ein Authentisierungsticket abläuft, oder wenn er ein Passwort nach einer gewissen Zeit oder für eine bestimmte Aktion erneut eingeben müsste, dies aber unterlässt. Such security information may indicate for which areas, applications, actions, etc., the client has a required security status. This security status can be determined, for example, by means of an authentication using a password, certificate, chip card or the like. The password can be permanent passwords or one-time passwords. These funds can also be referred to as security credentials. If security credentials with a high security level are used, the client can receive more or more extensive rights than when logging in with security credentials with a low security level. The security credentials can also change during a session, for example if the client withdraws his chip card or a dongle, if an authentication ticket expires, or if he would have to re-enter a password after a certain time or for a certain action, but omits this.
Gemäß einer weiteren Ausführungsform beinhaltet die Sicherheitsinformation eine Zugriffsberechtigung des Clients. According to a further embodiment, the security information includes an access authorization of the client.
Durch die Sicherheitsinformation kann direkt oder indirekt auf Zugriffsrechte des Clients geschlossen werden. Das bedeutet, dass die erhaltene Zugriffsberechtigung Informationen über eine Rolle und die damit verbundenen Zugriffsrechte enthalten kann. By the security information can be closed directly or indirectly to access rights of the client. This means that the obtained access permission can contain information about a role and the associated access rights.
Gemäß einer weiteren Ausführungsform ist die Verarbeitungseinheit dazu eingerichtet, die Zugriffsanfrage basierend auf vordefinierten Zugriffsprofilen zu verarbeiten und/oder zu überprüfen. In accordance with a further embodiment, the processing unit is configured to process and / or check the access request based on predefined access profiles.
Es können bereits vordefinierte Zugriffsprofile, d.h. Rollen, in dem Server oder einer mit dem Server verbundenen Datenbank gespeichert sein. Diese vordefinierten Zugriffsprofile enthalten sowohl die damit verbundenen Zugriffsrechte als auch die dazu erforderlichen Zugriffsinformationen. Sowohl bei der ersten Bereitstellung des Zugriffs als auch der Überprüfung der Zugriffsinformationen während des bereitgestellten Zugriffs können die Zugriffsinformationen mit den vordefinierten Zugriffsprofilen verglichen und der Zugriff entsprechend bereitgestellt bzw. angepasst werden. Predefined access profiles, i. Roles stored in the server or a database connected to the server. These predefined access profiles contain both the associated access rights and the required access information. Both during the first provision of the access and the verification of the access information during the access provided, the access information can be compared with the predefined access profiles and the access can be provided accordingly.
Gemäß einer weiteren Ausführungsform ist die Verarbeitungseinheit dazu eingerichtet, die Zugriffsinformationen in vordefinierten zeitlichen Abständen zu überprüfen. In accordance with a further embodiment, the processing unit is set up to check the access information at predefined time intervals.
Die Überprüfung kann beispielsweise in periodischen Abständen oder sonstigen vordefinierten zeitlichen Abständen automatisch überprüft und gegebenenfalls angepasst werden. For example, the check can be checked automatically at regular intervals or other predefined time intervals and adjusted if necessary.
Gemäß einer weiteren Ausführungsform ist die Verarbeitungseinheit dazu eingerichtet, die Zugriffsinformationen bei einer Zugriffshandlung des Clients auf den Server während des bereitgestellten Zugriffs zu überprüfen. According to a further embodiment, the processing unit is set up to check the access information during an access action of the client to the server during the provided access.
Während eines bereitgestellten Zugriffs, d.h. während einer Sitzung, kann der Client eine oder mehrere Zugriffshandlungen oder -aktionen durchführen. Bei jeder dieser Zugriffshandlungen, d.h. einem Zugriff auf den Server oder damit verbundene Server oder Datenbanken, kann die Verarbeitungseinheit die Zugriffsinformationen überprüfen und den bereitgestellten Zugriff anpassen. Das bedeutet, dass während des bereitgestellten Zugriffs eine Zugriffshandlung zunächst erlaubt sein kann, durch eine Änderung der Zugriffsinformationen im weiteren Verlauf jedoch nicht mehr erlaubt ist (oder andersherum). During a provided access, ie during a session, the client may perform one or more access actions or actions. In each of these access actions, ie, access to the server or associated servers or databases, the processing unit may review the access information and adjust the provided access. This means that during the provided access, an access action may be initially allowed by changing the access information in the further course is no longer allowed (or vice versa).
Gemäß einer weiteren Ausführungsform weist die Vorrichtung eine Speichereinheit auf, die dazu eingerichtet ist, die Zugriffsinformationen zu speichern. Bei nachfolgenden Zugriffsanfragen müssen Zugriffsinformationen, die sich nicht verändert haben, nicht mehr enthalten sein. According to a further embodiment, the device has a memory unit which is set up to store the access information. For subsequent access requests, access information that has not changed must be removed.
Die Zugriffsinformationen können beispielsweise direkt bei Empfang der Zugriffsanfrage in der Speichereinheit gespeichert werden. Die Verarbeitungseinheit kann bei der Überprüfung der Zugriffsinformationen auf die gespeicherten Zugriffsinformationen zugreifen. Die gespeicherten Zugriffsinformationen können durch neue, geänderte Zugriffsinformationen überschrieben werden, so dass immer die aktuellen Zugriffsinformationen des jeweiligen Clients gespeichert sind. For example, the access information may be stored directly in the storage unit upon receipt of the access request. The processing unit may access the stored access information when checking the access information. The stored access information can be overwritten by new, changed access information, so that always the current access information of the respective client are stored.
Gemäß einer weiteren Ausführungsform ist die Speichereinheit dazu eingerichtet, Informationen des Clients und/oder des Servers während des bereitgestellten Zugriffs zu erfassen und zu speichern. According to a further embodiment, the memory unit is configured to capture and store information of the client and / or the server during the provided access.
Diese Informationen können bei einer Authentifizierung des Clients und der Bereitstellung des Zugriffs verwendet werden. This information can be used to authenticate the client and provide access.
Gemäß einer weiteren Ausführungsform weisen die Informationen des Clients und/oder des Servers eine Identität, einen Zustand, eine zeitliche Eigenschaft und/oder eine räumliche Eigenschaft auf. According to a further embodiment, the information of the client and / or the server has an identity, a state, a temporal property and / or a spatial property.
Zu diesen Informationen kann des Weiteren eine zugeordnete Rolle, d.h. der bereitgestellte Zugriff mit den damit verbundenen Zugriffsrechten, der Ort des Clients oder Servers (als räumliche Eigenschaft), eine aktuelle Uhrzeit (als zeitliche Eigenschaft), oder der Anlagenzustand einer mit dem Server verbundenen Anlage, auf die zugegriffen werden soll, gehören. In addition, an associated role, i. The access provided includes the access rights associated with it, the location of the client or server (as a spatial property), a current time (as a temporal property), or the health of an asset attached to the server that is to be accessed.
Weiterhin wird ein Netzwerksystem vorgeschlagen, welches einen Client und einen Server aufweist. Der Server weist hierbei eine Vorrichtung zum Verarbeiten einer Zugriffsanfrage des Clients auf den Server auf, wie sie oben erläutert ist. Furthermore, a network system is proposed which has a client and a server. The server in this case has a device for processing an access request of the client to the server, as explained above.
Gemäß einer Ausführungsform verwendet der Server ein rollenbasiertes Rechtemanagement. In one embodiment, the server uses role-based rights management.
Unter einem rollenbasierten Rechtemanagement wird in diesem Zusammenhang verstanden, dass einem Client Zugriffsrechte anhand einer vordefinierten Rolle zugeordnet werden. Auf dem Server ist eine Mehrzahl von vordefinierten Rollen mit den damit verbundenen Zugriffsrechten gespeichert. Eine dieser vordefinierten Rollen wird anhand der Zugriffsinformationen des Clients ausgewählt und diesem zugeordnet. In this context, role-based rights management means that access rights are assigned to a client on the basis of a predefined role. The server stores a number of predefined roles with associated access rights. One of these predefined roles is selected based on client access information and associated with it.
Weiterhin wird ein Verfahren zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem vorgeschlagen. Das Verfahren weist die folgenden Schritte auf: Empfangen einer Zugriffsanfrage des Clients auf den Server, wobei die Zugriffsanfrage Zugriffsinformationen des Clients enthält, Verarbeiten der Zugriffsanfrage und Bereitstellen eines Zugriffs durch den Client auf den Server basierend auf den Zugriffsinformationen, wobei die Zugriffsinformationen während der Dauer des bereitgestellten Zugriffs überprüft und der bereitgestellte Zugriff basierend auf einem Ergebnis der Überprüfung dynamisch angepasst wird. Furthermore, a method for dynamically adapting a client's access to a server in a network system is proposed. The method comprises the steps of receiving an access request from the client to the server, wherein the access request includes access information of the client, processing the access request, and providing access by the client to the server based on the access information, wherein the access information is maintained during the duration of the access provided access and dynamically adjust the provided access based on a result of the check.
Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Einrichtung die Durchführung des wie oben erläuterten Verfahrens veranlasst. Furthermore, a computer program product is proposed, which causes the execution of the method as explained above on a program-controlled device.
Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B. Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen. A computer program product, such as a computer program means may, for example, be used as a storage medium, e.g. Memory card, USB stick, CD-ROM, DVD, or even in the form of a downloadable file provided by a server in a network or delivered. This can be done, for example, in a wireless communication network by transmitting a corresponding file with the computer program product or the computer program means.
Die für die vorgeschlagene Vorrichtung beschriebenen Ausführungsformen und Merkmale gelten für das vorgeschlagene Verfahren entsprechend. The embodiments and features described for the proposed device apply accordingly to the proposed method.
Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen. Further possible implementations of the invention also include not explicitly mentioned combinations of features or embodiments described above or below with regard to the exemplary embodiments. The skilled person will also add individual aspects as improvements or additions to the respective basic form of the invention.
Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfindung sind Gegenstand der Unteransprüche sowie der im Folgenden beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungsformen unter Bezugnahme auf die beigelegten Figuren näher erläutert. Further advantageous embodiments and aspects of the invention are the subject of the dependent claims and the embodiments of the invention described below. Furthermore, the invention will be explained in more detail by means of preferred embodiments with reference to the attached figures.
In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist. In the figures, the same or functionally identical elements have been given the same reference numerals, unless stated otherwise.
Obwohl in dieser Ausführungsform die Vorrichtung
Die Vorrichtung
Die Empfangseinheit
Die Verarbeitungseinheit
Während des bereitgestellten Zugriffs, d.h. während einer Sitzung, überprüft die Verarbeitungseinheit
In einem ersten Schritt
In einem zweiten Schritt
In einem dritten Schritt
Das Netzwerksystem
Der PDP
Des Weiteren kann der Client
Es sollte beachtet werden, dass im Folgenden dem PEP
Vor einer Zugriffsanfrage
In Schritt
In Schritt
In Schritt
In Schritt
Für diese Zugriffshandlung fragt der PEP
Abschließend erhält der PEP
Bei den Schritten
In Schritt
Für diese Zugriffshandlung fragt der PEP
Abschließend erhält der PEP
Bei den Schritten
Diese dynamische Anpassung der Zugriffsrechte kann auch in umgekehrter Richtung durchgeführt werden, das heißt, die Zugriffsrechte können auch erweitert werden. This dynamic adaptation of the access rights can also be carried out in the opposite direction, that is, the access rights can also be extended.
Obwohl die vorliegende Erfindung anhand von Ausführungsbeispielen beschrieben wurde, ist sie vielfältig modifizierbar. Although the present invention has been described with reference to embodiments, it is variously modifiable.
Claims (15)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015201516.5A DE102015201516A1 (en) | 2015-01-29 | 2015-01-29 | Apparatus and method for dynamically adapting a client's access to a server |
PCT/EP2016/051103 WO2016120135A1 (en) | 2015-01-29 | 2016-01-20 | Device and method for dynamically adapting the access of a client to a server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015201516.5A DE102015201516A1 (en) | 2015-01-29 | 2015-01-29 | Apparatus and method for dynamically adapting a client's access to a server |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102015201516A1 true DE102015201516A1 (en) | 2016-08-04 |
Family
ID=55275059
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102015201516.5A Withdrawn DE102015201516A1 (en) | 2015-01-29 | 2015-01-29 | Apparatus and method for dynamically adapting a client's access to a server |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102015201516A1 (en) |
WO (1) | WO2016120135A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102021214948A1 (en) | 2021-12-22 | 2023-06-22 | Robert Bosch Gesellschaft mit beschränkter Haftung | System and method for controlling access to data |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3451254A1 (en) * | 2017-09-04 | 2019-03-06 | Siemens Aktiengesellschaft | Method for operating an input and dispensing device for an industrial plant and input and dispensing device |
EP3840302A1 (en) * | 2019-12-17 | 2021-06-23 | Siemens Aktiengesellschaft | Access rights management in technical installations |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040073660A1 (en) * | 2002-10-15 | 2004-04-15 | Toomey Christopher Newell | Cross-site timed out authentication management |
US20080271109A1 (en) * | 2007-04-25 | 2008-10-30 | Cisco Technology, Inc. | Physical security triggered dynamic network authentication and authorization |
US20130167211A1 (en) * | 2011-12-22 | 2013-06-27 | Maruti Haridas Kamat | Re-authentication |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6370629B1 (en) * | 1998-10-29 | 2002-04-09 | Datum, Inc. | Controlling access to stored information based on geographical location and date and time |
US7551574B1 (en) * | 2005-03-31 | 2009-06-23 | Trapeze Networks, Inc. | Method and apparatus for controlling wireless network access privileges based on wireless client location |
ES2337437B8 (en) * | 2008-10-22 | 2011-08-02 | Telefonica S.A. | S NETWORK INSURANCE BASED ON CONTEXTOPROCEDIMENT AND SYSTEM TO CONTROL WIRELESS ACCESS TO RESOURCE. |
-
2015
- 2015-01-29 DE DE102015201516.5A patent/DE102015201516A1/en not_active Withdrawn
-
2016
- 2016-01-20 WO PCT/EP2016/051103 patent/WO2016120135A1/en active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040073660A1 (en) * | 2002-10-15 | 2004-04-15 | Toomey Christopher Newell | Cross-site timed out authentication management |
US20080271109A1 (en) * | 2007-04-25 | 2008-10-30 | Cisco Technology, Inc. | Physical security triggered dynamic network authentication and authorization |
US20130167211A1 (en) * | 2011-12-22 | 2013-06-27 | Maruti Haridas Kamat | Re-authentication |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102021214948A1 (en) | 2021-12-22 | 2023-06-22 | Robert Bosch Gesellschaft mit beschränkter Haftung | System and method for controlling access to data |
Also Published As
Publication number | Publication date |
---|---|
WO2016120135A1 (en) | 2016-08-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10144023B4 (en) | Device and method for automatic user profile configuration | |
DE102010011657A1 (en) | Method and apparatus for providing at least one secure cryptographic key | |
EP2898714A1 (en) | Subscriber identity module for authenticating a subscriber in a communications network | |
EP3103057A1 (en) | Method for accessing a physically secured rack and computer network infrastructure | |
WO2014198782A1 (en) | Hierarchical authentication and authorization system | |
DE102011077218A1 (en) | Access to data stored in a cloud | |
DE102014113885A1 (en) | Method for establishing a local control channel between a control device and an in-building access portal | |
DE102015201516A1 (en) | Apparatus and method for dynamically adapting a client's access to a server | |
DE102008046639A1 (en) | Server system and method for providing at least one service | |
WO2013017394A1 (en) | Access control for data or applications of a network | |
EP3151503B1 (en) | Method and system for authenticating a surrounding web application with an embedded web application | |
EP2618226B1 (en) | Industrial automation system and method for its protection | |
EP3355141A1 (en) | Operator system for a process control system | |
EP3191902A1 (en) | Method for accessing functions of an embedded device | |
EP3101875B1 (en) | Changing the settings of an application running on a mobile terminal | |
DE102016107673A1 (en) | Method for using a proxy server for data exchange | |
EP2068530B1 (en) | Method and communication system for controlling the access to media contents depending on the age of a user | |
WO2018177720A1 (en) | Method for controlling access of an electronic device to a system and security device | |
EP1845689B1 (en) | Method and communication system for providing personalised access to a group of devices | |
DE102017217057A1 (en) | Method and device for establishing a communication channel between a first and a second device | |
DE102017123671B4 (en) | System and procedure for managing personal data | |
DE60300964T2 (en) | Generation of user-specific settings data | |
EP1923810A2 (en) | Method for granting data access permissions | |
EP3269167B1 (en) | Network access support | |
DE102022101689A1 (en) | Method for changing an actual access key in a field device used in automation technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |