DE102015201516A1 - Apparatus and method for dynamically adapting a client's access to a server - Google Patents

Apparatus and method for dynamically adapting a client's access to a server Download PDF

Info

Publication number
DE102015201516A1
DE102015201516A1 DE102015201516.5A DE102015201516A DE102015201516A1 DE 102015201516 A1 DE102015201516 A1 DE 102015201516A1 DE 102015201516 A DE102015201516 A DE 102015201516A DE 102015201516 A1 DE102015201516 A1 DE 102015201516A1
Authority
DE
Germany
Prior art keywords
access
client
server
information
access information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102015201516.5A
Other languages
German (de)
Inventor
Jens-Uwe Busser
Ricarda Weber
Michael Munzert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102015201516.5A priority Critical patent/DE102015201516A1/en
Priority to PCT/EP2016/051103 priority patent/WO2016120135A1/en
Publication of DE102015201516A1 publication Critical patent/DE102015201516A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data

Abstract

Es wird eine Vorrichtung zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem vorgeschlagen. Die Vorrichtung weist eine Empfangseinheit zum Empfangen einer Zugriffsanfrage des Clients auf den Server, wobei die Zugriffsanfrage Zugriffsinformationen des Clients enthält, und eine Verarbeitungseinheit zum Verarbeiten der Zugriffsanfrage und Bereitstellen eines Zugriffs durch den Client auf den Server basierend auf den Zugriffsinformationen auf, wobei die Verarbeitungseinheit dazu eingerichtet ist, die Zugriffsinformationen während der Dauer des bereitgestellten Zugriffs zu überprüfen und den bereitgestellten Zugriff basierend auf einem Ergebnis der Überprüfung dynamisch anzupassen.
Des Weiteren wird ein entsprechendes Verfahren zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem vorgeschlagen.
Durch die vorgeschlagene Vorrichtung können die Zugriffsrechte eines Clients auch während eines Zugriffs noch angepasst werden. Auf diese Weise kann dynamisch auf sich verändernde Eigenschaften durch Anpassung der Zugriffsrechte eines Nutzers reagiert werden. A device is proposed for dynamically adapting a client's access to a server in a network system. The apparatus includes a receiving unit for receiving an access request of the client to the server, the access request including access information of the client, and a processing unit for processing the access request and providing access by the client to the server based on the access information, the processing unit is arranged to check the access information during the provided access time and dynamically adjust the provided access based on a result of the check.
Furthermore, a corresponding method for dynamically adapting a client's access to a server in a network system is proposed.
Due to the proposed device, the access rights of a client can still be adapted during access. In this way, it is possible to react dynamically to changing properties by adapting a user's access rights.

Figure DE102015201516A1_0001
Figure DE102015201516A1_0001

Description

Die vorliegende Erfindung betrifft eine Vorrichtung zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem. Des Weiteren betrifft die vorliegende Erfindung ein Verfahren zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server. The present invention relates to an apparatus for dynamically adapting a client's access to a server in a network system. Furthermore, the present invention relates to a method for dynamically adapting a client's access to a server.

In verschiedenen Systemen kann es erforderlich sein, dass ein Nutzer über ein Netzwerk auf einen Server zugreift und dort verschiedene Handlungen durchführt. Dabei kann beispielsweise im Rahmen einer Sitzung mit einem Dienst, der auf dem Server läuft, ein Nutzer nach erfolgreicher Authentifizierung eine ihm zugeordnete Rolle, wie beispielsweise als Anwender, Operator, Administrator, oder Gast, aktivieren. Er erhält damit auch die mit dieser Rolle verbundenen Rechte, die ihm die Manipulation bestimmter Objekte erlauben. Hierzu zählen beispielsweise Lesezugriffe und/oder Schreibzugriffe auf Daten, Absetzen von Steuerbefehlen, usw. Different systems may require a user to access a server over a network and perform various actions there. For example, in the context of a session with a service running on the server, a user can activate a role assigned to him after successful authentication, for example as a user, operator, administrator, or guest. He also receives the rights associated with this role that allow him to manipulate certain objects. These include, for example, read accesses and / or write accesses to data, issuing of control commands, etc.

In bisherigen Systemen können einzelnen Anwendern jeweils bestimmte Rechte direkt zugewiesen werden. Allerdings erfordert dies vor allem bei großen Anwendergruppen und zahlreichen Rechteoptionen sowohl bei der Einrichtung als auch bei Änderungen einen hohen Administrationsaufwand. In previous systems, individual users can be assigned specific rights directly. However, this requires a high administrative effort, especially for large user groups and numerous rights options, both during setup and changes.

Eine andere Möglichkeit besteht darin, ein zweistufiges Konzept zu verwenden, bei dem die Anwender zuerst gruppiert und ihnen dann bestimmte Rollen zugewiesen werden, wobei an diese Rollen dann die jeweiligen Rechte gebunden sind. In den bekannten Systemen erfolgt eine Zuweisung und Aktivierung einer Rolle jedoch immer für einen Zugriff. Another possibility is to use a two-step concept in which the users are first grouped and then assigned specific roles, with the respective rights then being tied to these roles. In the known systems, however, an assignment and activation of a role always takes place for access.

Eine weitere Möglichkeit besteht darin, dass der Anwender im Verlauf einer bestehenden Sitzung seine Rolle ändert, indem er explizit selbst ihm zugeordnete Rollen aktiviert und/oder deaktiviert. Another possibility is that the user changes his role in the course of an existing session by explicitly activating and / or deactivating roles assigned to him himself.

Eine solche Rollenzuweisung und -aktivierung, d.h. ein autorisierter Systemzugriff, kann auch bei der Industrieautomation oder bei der Energieerzeugung und -verteilung, etc. eingesetzt werden, vor allem in der Fernwartung. Hier kann es sinnvoll oder sogar notwendig sein, die Aktivierung von Rollen und die Vergabe von Rechten während einer laufenden Sitzung dynamisch anzupassen, beispielsweise um Abhängigkeiten von Parametern wie Zeit und Ort des Anwenders zu berücksichtigen. Such role assignment and activation, i. an authorized system access, can also be used in industrial automation or in power generation and distribution, etc., especially in remote maintenance. Here, it may be useful or even necessary to dynamically adjust the activation of roles and the assignment of rights during a running session, for example to take account of dependencies on parameters such as time and location of the user.

Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, eine verbesserte Anpassung von Zugriffen durch Clients und deren Zugriffsrechte auf einen Server bereitzustellen. Against this background, an object of the present invention is to provide an improved adaptation of accesses by clients and their access rights to a server.

Demgemäß wird eine Vorrichtung zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem vorgeschlagen. Die Vorrichtung weist eine Empfangseinheit zum Empfangen einer Zugriffsanfrage des Clients auf den Server, wobei die Zugriffsanfrage Zugriffsinformationen des Clients enthält, und eine Verarbeitungseinheit zum Verarbeiten der Zugriffsanfrage und Bereitstellen eines Zugriffs durch den Client auf den Server basierend auf den Zugriffsinformationen auf. Die Verarbeitungseinheit ist dazu eingerichtet, die Zugriffsinformationen während der Dauer des bereitgestellten Zugriffs zu überprüfen und den bereitgestellten Zugriff basierend auf einem Ergebnis der Überprüfung dynamisch anzupassen. Accordingly, an apparatus for dynamically adapting a client's access to a server in a network system is proposed. The apparatus includes a receiving unit for receiving an access request of the client to the server, the access request including access information of the client, and a processing unit for processing the access request and providing access by the client to the server based on the access information. The processing unit is configured to check the access information during the provided access time and dynamically adjust the provided access based on a result of the check.

Die jeweilige Einheit, zum Beispiel Empfangseinheit oder Verarbeitungseinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steuerrechner eines Fahrzeuges ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein. The respective unit, for example receiving unit or processing unit, can be implemented in hardware and / or software technology. In a hardware implementation, the respective unit may be designed as a device or as part of a device, for example as a computer or as a microprocessor or as a control computer of a vehicle. In a software implementation, the respective unit may be designed as a computer program product, as a function, as a routine, as part of a program code or as an executable object.

Unter einem Client kann in diesem Zusammenhang eine Anwendung auf einem Gerät eines Nutzers verstanden werden. Ein solches Gerät kann beispielsweise ein mobiles Gerät wie ein Tablet, Laptop oder Mobiltelefon, aber auch irgendeine andere Art von Rechenvorrichtung sein, über die ein Nutzer beispielsweise unter Verwendung eines Browsers auf den Server zugreifen kann. In this context, a client can be understood as an application on a device of a user. Such a device may be, for example, a mobile device such as a tablet, laptop or mobile phone, but also any other type of computing device through which a user may access the server using, for example, a browser.

In einer weiteren Ausführungsform kann der Nutzer auch ein Prozess sein, welcher ohne direkte menschliche Bedienung mit einem Server interagiert. In another embodiment, the user may also be a process that interacts with a server without direct human interaction.

Unter einem Server kann in diesem Zusammenhang ein einzelner zentraler Server oder auch eine Kombination von mehreren verschiedenen Servern oder Servereinrichtungen verstanden werden, die es einem Anwender oder Nutzer ermöglichen, Anwendungen in einem Netzwerksystem zu benutzen. Auf dem Server oder den mehreren Servern können verschiedene Anwendungen für verschiedene Bereiche eines Netzwerksystems, beispielsweise eines Automationssystems, laufen und einem Nutzer bereitgestellt werden. Diese Anwendungen können unter anderem zur Fernwartung verschiedener Bereiche und/oder Teilsysteme eines Netzwerksystems dienen. Ein solches Netzwerksystem kann beispielsweise auch ein Energieerzeugungs- und/oder Energieverteilungssystem sein. In this context, a server can be understood to be a single central server or else a combination of several different servers or server devices which enable a user or user to use applications in a network system. Various applications for different areas of a network system, for example an automation system, can be run on the server or the several servers and made available to a user. Among other things, these applications can serve for the remote maintenance of different areas and / or subsystems of a network system. Such a network system may for example also be a power generation and / or energy distribution system.

Die Vorrichtung zum dynamischen Anpassen des Zugriffs des Clients kann auf dem Server, oder einem Server einer Mehrzahl bzw. Kombination von mehreren Servern, angeordnet sein. Alternativ könnte die Vorrichtung auch zwischen dem Client und dem Server vorgesehen sein. The device for dynamically adjusting the access of the client may be arranged on the server, or a server of a plurality or combination of multiple servers. Alternatively, the device could also be provided between the client and the server.

Wenn ein Nutzer als Client, d.h. über irgendeine Art von Rechenvorrichtung, auf bestimmte Anwendungen oder Dienste auf dem Server zugreifen möchte, beispielsweise zum Durchführen einer Fernwartung, kann der Client eine Zugriffsanfrage an den Server senden. Diese Zugriffsanfrage wird von der Empfangseinheit empfangen und an die Verarbeitungseinheit weitergeleitet. Die Zugriffsanfrage enthält bestimmte Zugriffsinformationen des Clients. Diese Zugriffsinformationen können unter anderem angeben, welche Rechte der Client, und daher der Nutzer, für welche Anwendungen hat. When a user acts as a client, i. Through some type of computing device, to access particular applications or services on the server, for example, to perform remote maintenance, the client may send an access request to the server. This access request is received by the receiving unit and forwarded to the processing unit. The access request contains certain access information of the client. Among other things, this access information may specify what rights the client, and therefore the user, has for which applications.

Beim Verarbeiten der Zugriffsanfrage kann die Verarbeitungseinheit die Zugriffsinformationen des Clients überprüfen und anhand dessen dem Client für den Zugriff eine bestimmte Rolle zuweisen. Unter Rolle kann in diesem Zusammenhang ein Profil verstanden werden, dass dem Client bestimmte Aktionen erlaubt und/oder nicht erlaubt. When processing the access request, the processing unit can check the access information of the client and, by means of this, assign a specific role to the client for access. Under role can be understood in this context, a profile that allows the client certain actions and / or not allowed.

Unter einem bereitgestellten Zugriff kann in diesem Zusammenhang eine Sitzung mit einem Dienst, der auf dem Server zur Verfügung steht, verstanden werden. Ein solcher bereitgestellter Zugriff oder eine Sitzung kann zunächst zeitlich unbeschränkt sein. In the context of a provided access, a session with a service available on the server can be understood in this context. Such a provided access or session may initially be unlimited in time.

Im Rahmen einer solchen Sitzung mit einem Dienst kann ein Client die ihm zugeordnete Rolle (z.B. Anwender, Operator, Administrator, Gast) aktivieren. Vorab kann eine Authentifizierung des Clients bei dem Server erforderlich sein. Mit Aktivierung der Rolle erhält der Client auch die mit dieser Rolle verbundenen Rechte, die ihm die Manipulation bestimmter Objekte erlauben: Beispiele hierfür sind Lesezugriffe und/oder Schreibzugriffe auf Daten, Absetzen von Steuerbefehlen, usw. As part of such a session with a service, a client may enable its assigned role (e.g., user, operator, administrator, guest). Advance authentication of the client to the server may be required. When the role is activated, the client also receives the rights associated with this role, which allow it to manipulate certain objects: examples include read access and / or write access to data, issuing of control commands, etc.

Durch die Überprüfung der Zugriffsinformationen durch die Verarbeitungseinheit während des bereitgestellten Zugriffs, d.h. während einer laufenden Sitzung, kann die Aktivierung von Rollen und die damit verbundene Vergabe von Rechten während einer laufenden Sitzung dynamisch angepasst werden. Eine solche dynamische Anpassung kann erforderlich sein, wenn sich die Zugriffsinformationen des Clients ändern. By checking the access information by the processing unit during the provided access, i. During a running session, the activation of roles and the associated assignment of rights during a running session can be dynamically adjusted. Such dynamic adaptation may be required as client access information changes.

Gemäß einer Ausführungsform beinhalten die Zugriffsinformationen zumindest eine Eigenschaft des Clients. According to one embodiment, the access information includes at least one property of the client.

Die Zugriffsinformationen können eine oder mehrere Eigenschaften des Clients angeben. Diese Eigenschaften dienen dazu, zu bestimmen, welche Rolle dem Client zuzuordnen ist, d.h. in welchem Umfang dem Client Zugriffsrechte auf den Server zugeordnet werden. Diese Eigenschaften können sich im Verlauf des Zugriffs, d.h. einer Sitzung, ändern. Basierend auf einer solchen Änderung der Eigenschaft(en) des Clients kann dann eine Anpassung des Zugriffs, d.h. der Zugriffsrechte bzw. der zugeordneten Rolle, durchgeführt werden. The access information may specify one or more properties of the client. These properties are used to determine which role to associate with the client, i. to what extent the client is assigned access rights to the server. These properties may change in the course of access, i. a session, change. Based on such a change in the property (s) of the client, then an adaptation of the access, i. the access rights or the assigned role.

Gemäß einer weiteren Ausführungsform ist die zumindest eine Eigenschaft des Clients eine räumliche Eigenschaft und/oder eine zeitliche Eigenschaft. According to a further embodiment, the at least one property of the client is a spatial property and / or a temporal property.

Gemäß dieser Ausführungsform können beispielsweise Eigenschaften in der Form von Parametern wie Zeit und Ort des Clients berücksichtigt werden. Ein Zugriff mit bestimmten Zugriffsrechten kann beispielsweise nur für eine bestimmte Zeitdauer, während eines bestimmten Zeitraums, z.B. in Abhängigkeit von der Uhrzeit, oder an einem bestimmten Ort erfolgen. Weitere Eigenschaften oder Kombinationen von diesen und weiteren Eigenschaften sind ebenfalls möglich. For example, according to this embodiment, characteristics in the form of parameters such as time and location of the client may be considered. For example, access with certain access rights may only be for a certain period of time, during a particular period of time, e.g. depending on the time, or at a specific location. Other properties or combinations of these and other properties are also possible.

Ein Anwendungsfall könnte beispielsweise ein Wartungstechniker sein, der in einer Anlage, wie einem Kraftwerk, einer Fabrik, einer Leitstelle zur Energieverteilung, einer Raffinerie, einer Pipeline, einem Krankenhausinformationssystem, oder ähnlichem, zu einer bestimmten Zeit (z.B. am kommenden Montag von 9 bis 11 Uhr) als Administrator agieren darf, z.B. um dort neue Software einzuspielen. In diesem Fall soll dem Client für diese bestimmte Zeit die Rolle „Administrator“ mit den damit verbundenen Zugriffsrechten zugeordnet werden. In diesem Beispiel darf diese Rolle jedoch nur während des vorher festgelegten Zeitfensters, in dem sich die Anlage nicht im operativen Betrieb, sondern in einer Wartungsphase befindet, ausgeführt werden. Nach Ablauf dieser Zeit soll der Wartungstechniker keine Wartungsarbeiten mehr durchführen können. Das muss nicht bedeuten, dass der Techniker sich nach Ablauf der Zeit nicht mehr anmelden können soll, oder dass dann seine noch aktive Verbindung radikal unterbrochen wird. Es kann auch gewünscht sein, dass nur seine Rolle und die damit verbundenen Rechte verändert werden sollen, beispielsweise indem er eine andere Rolle mit verminderten Rechten erhält, ohne dass seine Sitzung terminiert wird. So könnte beispielsweise der Wartungstechniker im Anschluss an Wartungsarbeiten die Anlage bei verminderten Rechten noch eine Weile beobachten. For example, an application could be a maintenance technician working at a facility such as a power plant, factory, power distribution, refinery, pipeline, hospital information system, or the like at a particular time (eg, next Monday, 9-11 am) Clock) may act as an administrator, eg to record new software there. In this case, the client should be assigned the role "Administrator" with the associated access rights for this specific time. In this example, however, this role may only be performed during the predefined time window in which the plant is not in operative operation but in a maintenance phase. After this time, the maintenance technician should no longer be able to carry out maintenance work. This does not mean that the technician should not be able to log in after the time has expired, or that his active connection will be interrupted radically. It may also be desired that only his role and associated rights should be changed, for example, by giving him another role with diminished rights, without terminating his session. For example, the maintenance technician could observe the system for a while after reduced maintenance, following maintenance work.

Ein anderer Anwendungsfall könnte eine ortsabhängige Rollenzuweisung sein. Befindet sich beispielsweise ein Operator in einer Anlage oder auf dem zugehörigen abgesperrten Gelände, so kann er Messdaten abfragen und auch Steuerbefehle absetzen; befindet er sich außerhalb des Geländes, womöglich sogar im Ausland, oder kann seine Position nicht festgestellt werden, so erhält er eine andere Rolle, die seine Rechte begrenzt. In diesem Fall kann die Rolle, d.h. der bereitgestellte Zugriff und die damit verbundenen Zugriffsrechte, darauf beschränkt sein, dass sich der Operator sich zwar noch Daten anzeigen lassen, aber keine Steuerbefehle absetzen kann. Meldet er sich zunächst in der Anlage an und verlässt dann den Bereich, so können ihm durch Zuweisung einer anderen Rolle automatisch Rechte entzogen werden. Dies erfolgt im Rahmen der Überprüfung der Zugriffsinformationen. Another use case might be a location-based role assignment. For example, is there an operator in an attachment or on the associated closed off terrain, he can query measurement data and also issue control commands; if he is out of the country, possibly even abroad, or if his position can not be established, he will have another role limiting his rights. In this case, the role, ie the access provided and the associated access rights, may be limited to the fact that the operator can still display data but can not issue any control commands. If he logs on to the system first and then leaves the area, he can automatically be deprived of his rights by assigning another role. This is done as part of the review of access information.

Weitere Anwendungsfälle für eine dynamische Anpassung von Rollen angemeldeter Clients können auftreten, wenn sich äußere Umstände ändern. Dies kann der Fall sein, wenn die Anlage von einem Wartungsmodus in den produktiven Betrieb wechselt. Ein weiteres Beispiel kann sein, wenn Störungen in der Anlage, auf die mittels des Servers zugegriffen werden kann, auftreten. Dies können beispielsweise Fehlfunktionen von Anlagenkomponenten, eine hohe Last im Steuerungsnetz oder Alarme sein, durch die die Anlage in einen "Krisenmodus" übergeht. Eine andere Möglichkeit ist eine Änderung der äußeren Umstände dadurch, dass ein anderer Mitarbeiter einen sicherheitskritischen Bereich, z.B. in einem Umspannwerk, betritt oder mit Arbeiten an Komponenten beginnt, so dass dem Client aus Sicherheitsgründen bestimmte Rollen oder Rechte entzogen werden müssen. Eine dynamische Anpassung des bereitgestellten Zugriffs kann auch dadurch erforderlich sein, dass eine Lizenz für bestimmte Applikationen ausläuft. Other use cases for dynamically adjusting roles of logged-on clients can occur when external circumstances change. This may be the case when the system goes from a maintenance mode to productive operation. Another example may be when disturbances in the plant that can be accessed by the server occur. These may be, for example, malfunctions of system components, a high load in the control network or alarms that cause the system to enter a "crisis mode". Another possibility is a change in the external circumstances in that another employee has a safety-critical area, e.g. in a substation, enters or begins to work on components, so that certain roles or rights must be withdrawn from the client for security reasons. A dynamic adaptation of the provided access may also be required by the fact that a license expires for certain applications.

Gemäß einer weiteren Ausführungsform beinhalten die Zugriffsinformationen eine Sicherheitsinformation des Clients. According to another embodiment, the access information includes security information of the client.

Eine solche Sicherheitsinformation kann angeben, für welche Bereiche, Anwendungen, Aktionen etc. der Client einen erforderlichen Sicherheitsstatus hat. Dieser Sicherheitsstatus kann beispielsweise anhand einer Authentifizierung mittels Passwort, Zertifikat, Chipkarte oder sonstigem ermittelt werden. Als Passwort können dauerhafte Passwörter oder einmalige Passwörter verwendet werden. Diese Mittel können auch als Security Credentials bezeichnet werden. Werden Security Credentials mit hohem Sicherheitsniveau verwendet, so kann der Client mehr oder umfassendere Rechte erhalten als bei einer Anmeldung mit Security Credentials mit niedrigem Sicherheitsniveau. Auch die Security Credentials können sich während einer Sitzung ändern, beispielsweise wenn der Client seine Chipkarte oder einen Dongle abzieht, wenn ein Authentisierungsticket abläuft, oder wenn er ein Passwort nach einer gewissen Zeit oder für eine bestimmte Aktion erneut eingeben müsste, dies aber unterlässt. Such security information may indicate for which areas, applications, actions, etc., the client has a required security status. This security status can be determined, for example, by means of an authentication using a password, certificate, chip card or the like. The password can be permanent passwords or one-time passwords. These funds can also be referred to as security credentials. If security credentials with a high security level are used, the client can receive more or more extensive rights than when logging in with security credentials with a low security level. The security credentials can also change during a session, for example if the client withdraws his chip card or a dongle, if an authentication ticket expires, or if he would have to re-enter a password after a certain time or for a certain action, but omits this.

Gemäß einer weiteren Ausführungsform beinhaltet die Sicherheitsinformation eine Zugriffsberechtigung des Clients. According to a further embodiment, the security information includes an access authorization of the client.

Durch die Sicherheitsinformation kann direkt oder indirekt auf Zugriffsrechte des Clients geschlossen werden. Das bedeutet, dass die erhaltene Zugriffsberechtigung Informationen über eine Rolle und die damit verbundenen Zugriffsrechte enthalten kann. By the security information can be closed directly or indirectly to access rights of the client. This means that the obtained access permission can contain information about a role and the associated access rights.

Gemäß einer weiteren Ausführungsform ist die Verarbeitungseinheit dazu eingerichtet, die Zugriffsanfrage basierend auf vordefinierten Zugriffsprofilen zu verarbeiten und/oder zu überprüfen. In accordance with a further embodiment, the processing unit is configured to process and / or check the access request based on predefined access profiles.

Es können bereits vordefinierte Zugriffsprofile, d.h. Rollen, in dem Server oder einer mit dem Server verbundenen Datenbank gespeichert sein. Diese vordefinierten Zugriffsprofile enthalten sowohl die damit verbundenen Zugriffsrechte als auch die dazu erforderlichen Zugriffsinformationen. Sowohl bei der ersten Bereitstellung des Zugriffs als auch der Überprüfung der Zugriffsinformationen während des bereitgestellten Zugriffs können die Zugriffsinformationen mit den vordefinierten Zugriffsprofilen verglichen und der Zugriff entsprechend bereitgestellt bzw. angepasst werden. Predefined access profiles, i. Roles stored in the server or a database connected to the server. These predefined access profiles contain both the associated access rights and the required access information. Both during the first provision of the access and the verification of the access information during the access provided, the access information can be compared with the predefined access profiles and the access can be provided accordingly.

Gemäß einer weiteren Ausführungsform ist die Verarbeitungseinheit dazu eingerichtet, die Zugriffsinformationen in vordefinierten zeitlichen Abständen zu überprüfen. In accordance with a further embodiment, the processing unit is set up to check the access information at predefined time intervals.

Die Überprüfung kann beispielsweise in periodischen Abständen oder sonstigen vordefinierten zeitlichen Abständen automatisch überprüft und gegebenenfalls angepasst werden. For example, the check can be checked automatically at regular intervals or other predefined time intervals and adjusted if necessary.

Gemäß einer weiteren Ausführungsform ist die Verarbeitungseinheit dazu eingerichtet, die Zugriffsinformationen bei einer Zugriffshandlung des Clients auf den Server während des bereitgestellten Zugriffs zu überprüfen. According to a further embodiment, the processing unit is set up to check the access information during an access action of the client to the server during the provided access.

Während eines bereitgestellten Zugriffs, d.h. während einer Sitzung, kann der Client eine oder mehrere Zugriffshandlungen oder -aktionen durchführen. Bei jeder dieser Zugriffshandlungen, d.h. einem Zugriff auf den Server oder damit verbundene Server oder Datenbanken, kann die Verarbeitungseinheit die Zugriffsinformationen überprüfen und den bereitgestellten Zugriff anpassen. Das bedeutet, dass während des bereitgestellten Zugriffs eine Zugriffshandlung zunächst erlaubt sein kann, durch eine Änderung der Zugriffsinformationen im weiteren Verlauf jedoch nicht mehr erlaubt ist (oder andersherum). During a provided access, ie during a session, the client may perform one or more access actions or actions. In each of these access actions, ie, access to the server or associated servers or databases, the processing unit may review the access information and adjust the provided access. This means that during the provided access, an access action may be initially allowed by changing the access information in the further course is no longer allowed (or vice versa).

Gemäß einer weiteren Ausführungsform weist die Vorrichtung eine Speichereinheit auf, die dazu eingerichtet ist, die Zugriffsinformationen zu speichern. Bei nachfolgenden Zugriffsanfragen müssen Zugriffsinformationen, die sich nicht verändert haben, nicht mehr enthalten sein. According to a further embodiment, the device has a memory unit which is set up to store the access information. For subsequent access requests, access information that has not changed must be removed.

Die Zugriffsinformationen können beispielsweise direkt bei Empfang der Zugriffsanfrage in der Speichereinheit gespeichert werden. Die Verarbeitungseinheit kann bei der Überprüfung der Zugriffsinformationen auf die gespeicherten Zugriffsinformationen zugreifen. Die gespeicherten Zugriffsinformationen können durch neue, geänderte Zugriffsinformationen überschrieben werden, so dass immer die aktuellen Zugriffsinformationen des jeweiligen Clients gespeichert sind. For example, the access information may be stored directly in the storage unit upon receipt of the access request. The processing unit may access the stored access information when checking the access information. The stored access information can be overwritten by new, changed access information, so that always the current access information of the respective client are stored.

Gemäß einer weiteren Ausführungsform ist die Speichereinheit dazu eingerichtet, Informationen des Clients und/oder des Servers während des bereitgestellten Zugriffs zu erfassen und zu speichern. According to a further embodiment, the memory unit is configured to capture and store information of the client and / or the server during the provided access.

Diese Informationen können bei einer Authentifizierung des Clients und der Bereitstellung des Zugriffs verwendet werden. This information can be used to authenticate the client and provide access.

Gemäß einer weiteren Ausführungsform weisen die Informationen des Clients und/oder des Servers eine Identität, einen Zustand, eine zeitliche Eigenschaft und/oder eine räumliche Eigenschaft auf. According to a further embodiment, the information of the client and / or the server has an identity, a state, a temporal property and / or a spatial property.

Zu diesen Informationen kann des Weiteren eine zugeordnete Rolle, d.h. der bereitgestellte Zugriff mit den damit verbundenen Zugriffsrechten, der Ort des Clients oder Servers (als räumliche Eigenschaft), eine aktuelle Uhrzeit (als zeitliche Eigenschaft), oder der Anlagenzustand einer mit dem Server verbundenen Anlage, auf die zugegriffen werden soll, gehören. In addition, an associated role, i. The access provided includes the access rights associated with it, the location of the client or server (as a spatial property), a current time (as a temporal property), or the health of an asset attached to the server that is to be accessed.

Weiterhin wird ein Netzwerksystem vorgeschlagen, welches einen Client und einen Server aufweist. Der Server weist hierbei eine Vorrichtung zum Verarbeiten einer Zugriffsanfrage des Clients auf den Server auf, wie sie oben erläutert ist. Furthermore, a network system is proposed which has a client and a server. The server in this case has a device for processing an access request of the client to the server, as explained above.

Gemäß einer Ausführungsform verwendet der Server ein rollenbasiertes Rechtemanagement. In one embodiment, the server uses role-based rights management.

Unter einem rollenbasierten Rechtemanagement wird in diesem Zusammenhang verstanden, dass einem Client Zugriffsrechte anhand einer vordefinierten Rolle zugeordnet werden. Auf dem Server ist eine Mehrzahl von vordefinierten Rollen mit den damit verbundenen Zugriffsrechten gespeichert. Eine dieser vordefinierten Rollen wird anhand der Zugriffsinformationen des Clients ausgewählt und diesem zugeordnet. In this context, role-based rights management means that access rights are assigned to a client on the basis of a predefined role. The server stores a number of predefined roles with associated access rights. One of these predefined roles is selected based on client access information and associated with it.

Weiterhin wird ein Verfahren zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem vorgeschlagen. Das Verfahren weist die folgenden Schritte auf: Empfangen einer Zugriffsanfrage des Clients auf den Server, wobei die Zugriffsanfrage Zugriffsinformationen des Clients enthält, Verarbeiten der Zugriffsanfrage und Bereitstellen eines Zugriffs durch den Client auf den Server basierend auf den Zugriffsinformationen, wobei die Zugriffsinformationen während der Dauer des bereitgestellten Zugriffs überprüft und der bereitgestellte Zugriff basierend auf einem Ergebnis der Überprüfung dynamisch angepasst wird. Furthermore, a method for dynamically adapting a client's access to a server in a network system is proposed. The method comprises the steps of receiving an access request from the client to the server, wherein the access request includes access information of the client, processing the access request, and providing access by the client to the server based on the access information, wherein the access information is maintained during the duration of the access provided access and dynamically adjust the provided access based on a result of the check.

Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Einrichtung die Durchführung des wie oben erläuterten Verfahrens veranlasst. Furthermore, a computer program product is proposed, which causes the execution of the method as explained above on a program-controlled device.

Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B. Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen. A computer program product, such as a computer program means may, for example, be used as a storage medium, e.g. Memory card, USB stick, CD-ROM, DVD, or even in the form of a downloadable file provided by a server in a network or delivered. This can be done, for example, in a wireless communication network by transmitting a corresponding file with the computer program product or the computer program means.

Die für die vorgeschlagene Vorrichtung beschriebenen Ausführungsformen und Merkmale gelten für das vorgeschlagene Verfahren entsprechend. The embodiments and features described for the proposed device apply accordingly to the proposed method.

Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen. Further possible implementations of the invention also include not explicitly mentioned combinations of features or embodiments described above or below with regard to the exemplary embodiments. The skilled person will also add individual aspects as improvements or additions to the respective basic form of the invention.

Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfindung sind Gegenstand der Unteransprüche sowie der im Folgenden beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungsformen unter Bezugnahme auf die beigelegten Figuren näher erläutert. Further advantageous embodiments and aspects of the invention are the subject of the dependent claims and the embodiments of the invention described below. Furthermore, the invention will be explained in more detail by means of preferred embodiments with reference to the attached figures.

1 zeigt ein schematisches Blockdiagramm einer Ausführungsform eines Netzwerksystems mit einer Vorrichtung zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server; 1 FIG. 12 is a schematic block diagram of one embodiment of a network system having a device for dynamically adapting a client's access to a server; FIG.

2 zeigt ein schematisches Ablaufdiagramm eines Verfahrens zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in einem Netzwerksystem; 2 FIG. 12 is a schematic flow diagram of a method for dynamically adjusting client access to a server in a network system; FIG.

3 zeigt ein schematisches Blockdiagramm einer weiteren Ausführungsform des Netzwerksystems von 1; und 3 shows a schematic block diagram of another embodiment of the network system of 1 ; and

4 zeigt ein Nachrichtenflussdiagram eines Verfahrens zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in dem Netzwerksystem von 3. 4 FIG. 12 shows a message flow diagram of a method for dynamically adjusting a client's access to a server in the network system of FIG 3 ,

In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist. In the figures, the same or functionally identical elements have been given the same reference numerals, unless stated otherwise.

1 zeigt ein Netzwerksystem 100 mit einer Vorrichtung 10 zum dynamischen Anpassen eines Zugriffs eines Clients 1 auf einen Server 2. 1 shows a network system 100 with a device 10 to dynamically customize a client's access 1 on a server 2 ,

Obwohl in dieser Ausführungsform die Vorrichtung 10 getrennt von dem Server 2 gezeigt ist, kann die Vorrichtung 10 Bestandteil des Servers 2 sein. Des Weiteren kann der Server 2 einer oder eine Mehrzahl von Servern sein, die zusammenarbeiten. Although in this embodiment the device 10 disconnected from the server 2 shown, the device can 10 Part of the server 2 be. Furthermore, the server 2 one or a plurality of servers working together.

Die Vorrichtung 10 weist eine Empfangseinheit 11, eine Verarbeitungseinheit 12 und eine Speichereinheit 13 auf. The device 10 has a receiving unit 11 , a processing unit 12 and a storage unit 13 on.

Die Empfangseinheit 11 empfängt von dem Client 1 eine Zugriffsanfrage auf den Server 2, bzw. auf Anwendungen, die auf dem Server 2 laufen. Die Zugriffsanfrage enthält Zugriffsinformationen des Clients 1. Diese Zugriffsinformationen enthalten Eigenschaften und/oder Zugriffsberechtigungen des Clients 1. Die Zugriffsinformationen können in der Speichereinheit 13 gespeichert werden. The receiving unit 11 receives from the client 1 an access request to the server 2 , respectively, to applications running on the server 2 to run. The access request contains access information of the client 1 , This access information includes properties and / or access privileges of the client 1 , The access information may be in the storage unit 13 get saved.

Die Verarbeitungseinheit 12 verarbeitet die Zugriffsanfrage. Dabei vergleicht die Verarbeitungseinheit 12 die Zugriffsinformationen mit auf dem Server 2 gespeicherten vordefinierten Zugriffsprofilen oder -rollen und stellt dem Client 1 einen Zugriff bereit. Dieser bereitgestellte Zugriff ordnet dem Client 1 bestimmte Zugriffsrechte zu. The processing unit 12 handles the access request. The processing unit compares 12 the access information on the server 2 stored predefined access profiles or roles and provides the client 1 an access ready. This provided access maps to the client 1 certain access rights.

Während des bereitgestellten Zugriffs, d.h. während einer Sitzung, überprüft die Verarbeitungseinheit 12 die Zugriffsinformationen und kann bei einer Änderung der Zugriffsinformationen den bereitgestellten Zugriff anpassen. Das heißt, dass die zugeordneten Zugriffsrechte abhängig von den Zugriffsinformationen während der laufenden Sitzung erweitert oder beschränkt werden können. Die Überprüfung kann entweder in periodischen Abständen oder bei jeder Zugriffshandlung durch den Client 1 erfolgen. During the provided access, ie during a session, the processing unit checks 12 the access information and can adapt the provided access as the access information changes. That is, the associated access rights may be extended or restricted depending on the access information during the current session. The check can be done either periodically or on any access action by the client 1 respectively.

2 zeigt ein schematisches Ablaufdiagramm eines Verfahrens zum dynamischen Anpassen eines Zugriffs eines Clients 1 auf einen Server 2. Das Verfahren weist die folgenden Schritte 201 bis 203 auf. 2 Figure 12 shows a schematic flow diagram of a method for dynamically adjusting client access 1 on a server 2 , The method has the following steps 201 to 203 on.

In einem ersten Schritt 201 wird eine Zugriffsanfrage des Clients 1 auf den Server 2 empfangen. In a first step 201 becomes an access request from the client 1 on the server 2 receive.

In einem zweiten Schritt 202 wird die Zugriffsanfrage verarbeitet. In a second step 202 the access request is processed.

In einem dritten Schritt 203 wird ein Zugriff durch den Client 1 auf den Server 2 basierend auf den Zugriffsinformationen bereitgestellt. Die Zugriffsinformationen können während der Dauer des bereitgestellten Zugriffs überprüft und der bereitgestellte Zugriff basierend auf einem Ergebnis der Überprüfung dynamisch angepasst werden. In a third step 203 becomes an access by the client 1 on the server 2 provided based on the access information. The access information may be checked for the duration of the access provided and the access provided dynamically adjusted based on a result of the review.

3 zeigt ein schematisches Blockdiagramm einer weiteren Ausführungsform des Netzwerksystems 100 von 1. Das Netzwerksystem 100 von 3 basiert auf einer XACML-Referenz-Architektur. Es sollte beachtet werden, dass dies lediglich eine beispielhafte Architektur darstellt und andere Architekturen ebenfalls möglich sind. 3 shows a schematic block diagram of another embodiment of the network system 100 from 1 , The network system 100 from 3 based on an XACML reference architecture. It should be noted that this is merely an example architecture and other architectures are also possible.

Das Netzwerksystem 100 weist eine Kombination an Serverkomponenten auf, die zusammenarbeiten. Beispielhaft ist ein Webserver 2 vorhanden, der als Zugriffsschnittstelle auf eine Anwendung 3 für den Client 1 dient. Der Client 1 kann beispielsweise über einen Browser auf den Webserver 2 zugreifen. Der Webserver 2 weist einen Policy Enforcement Point PEP 22 auf. Dieser PEP 22 führt die Zugriffskontrolle durch, indem er an einen Policy Decision Point PDP 23 Anfragen stellt, ob dem Client 1 ein Zugriff gewährt werden soll. The network system 100 has a combination of server components that work together. An example is a web server 2 present as the access interface to an application 3 for the client 1 serves. The client 1 can for example via a browser on the web server 2 access. The web server 2 has a Policy Enforcement Point PEP 22 on. This PEP 22 performs access control by sending it to a Policy Decision Point PDP 23 Inquiries, whether the client 1 an access should be granted.

Der PDP 23 sammelt von verschiedenen Punkten des Netzwerksystems 100, wie beispielsweise einem Policy Information Point PIP 27, der wiederum auf eine Datenbank 28 mit Informationen über verschiedene Rollen, Rechte und Anwendungen kommuniziert, Informationen, um die Anfrage des PEP 22 zu beantworten. Hierzu kann der PDP 23 auch auf einen Policy Retrieval Point PRP 24, der mit einer Datenbank 25 verbunden ist, in der vordefiniere Rollen gespeichert sind, kommunizieren, um diese vordefinierten Rollen zu erhalten. Der PRP 24 kann hierzu wiederum mit einem Policy Administration Point PAP 26 kommunizieren, der die verschiedenen Rollen und andere Policies verwaltet. The PDP 23 collects from different points of the network system 100 such as a policy information point PIP 27 which in turn is based on a database 28 with information about different roles, rights and applications communicates information to the request of the PEP 22 to answer. For this purpose, the PDP 23 also on a Policy Retrieval Point PRP 24 that with a database 25 in which predefined roles are stored communicate to obtain these predefined roles. The PRP 24 can do this again with a Policy Administration Point PAP 26 communicate that manages the different roles and other policies.

Des Weiteren kann der Client 1 sich zunächst über einen Identity Provider IdP 20 identifizieren, der zu diesem Zweck mit einer Datenbank 21 kommuniziert, in der verschiedene Nutzer und ihre Zugriffsrechte gespeichert sind. Furthermore, the client can 1 first through an Identity Provider IdP 20 identify with a database for this purpose 21 communicates in which various users and their access rights are stored.

4 zeigt ein Nachrichtenflussdiagram eines Verfahrens zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server in dem Netzwerksystem von 3. 4 FIG. 12 shows a message flow diagram of a method for dynamically adjusting a client's access to a server in the network system of FIG 3 ,

Es sollte beachtet werden, dass im Folgenden dem PEP 22, dem PDP/PRP 23/24 und dem PIP 27 zwar verschiedene Funktionen zugeteilt sind, diese Funktionen können aber auch durch eine einzelne kombinierte Vorrichtung 10 durchgeführt werden. It should be noted that below the PEP 22 , the PDP / PRP 23 / 24 and the PIP 27 Although different functions are assigned, these functions can also be achieved by a single combined device 10 be performed.

Vor einer Zugriffsanfrage 402 durch den Client 1 kann der PDP 23 bereits verfügbare Policies, d.h. mögliche Rollen und deren Zugriffsrechte, von dem PRP 24 erhalten haben (Schritt 401). Before an access request 402 through the client 1 can the PDP 23 Policies already available, ie possible roles and their access rights, from the PRP 24 received (step 401 ).

In Schritt 403 fragt der PEP 22 den PDP 23, ob der Client 1 im aktuellen Sicherheitskontext eine bestimmte Rolle aktivieren darf. Der PDP 23 kann dann prüfen, ob dem Client 1 die Rolle zugeordnet ist. Dies kann zum gegebenen Anfragezeitpunkt der Fall sein. In step 403 the PEP asks 22 the PDP 23 whether the client 1 Enable a specific role in the current security context. The PDP 23 can then check if the client 1 the role is assigned. This may be the case at the given request time.

In Schritt 404 fragt der PDP/PRP 23/24 beim PIP 27 nach einer Rolle, die für den Client 1 aktuell erforderlich ist. In Schritt 405 wird diese Rolle übergeben. In step 404 asks the PDP / PRP 23 / 24 at the PIP 27 after a role, for the client 1 currently required. In step 405 this role is handed over.

In Schritt 406 erlaubt der PDP 23 dem PEP 22, den Client 1 für den Zugriff freizuschalten, unter den Beschränkungen der entsprechenden Rolle. Diese Erlaubnis bzw. Bereitstellung des Zugriffs wird in Schritt 407 an den Client 1 weitergegeben. In step 406 allowed the PDP 23 the PEP 22 , the client 1 for access, under the restrictions of the appropriate role. This permission or provision of access will be in step 407 to the client 1 passed.

In Schritt 408 führt der Client 1 eine Aktion durch, die als Zugriffshandlung bezeichnet werden kann. In step 408 leads the client 1 an action that can be called an access action.

Für diese Zugriffshandlung fragt der PEP 22 wiederum beim PDP/PRP 23/24 nach (Schritt 409), der erforderliche Informationen wiederum beim PIP 27 abholt (Schritte 410, 411). The PEP asks for this access action 22 again at the PDP / PRP 23 / 24 after (step 409 ), the required information in turn at the PIP 27 picks up (steps 410 . 411 ).

Abschließend erhält der PEP 22 vom PDP 23 die Erlaubnis (Schritt 412) und gibt diese an den Client 1 weiter (Schritt 413). Finally, the PEP receives 22 from the PDP 23 the permission (step 412 ) and gives it to the client 1 continue (step 413 ).

Bei den Schritten 408413 werden die Zugriffsinformationen des Clients 1 überprüft, die sich nicht geändert haben, weshalb sich der Zugriff und die damit verbundene Rolle des Clients 1 nicht ändern. At the steps 408 - 413 become the access information of the client 1 Checked that have not changed, which is why the access and the associated role of the client 1 do not change.

In Schritt 414 führt der Client 1 wiederum eine Aktion durch, die als Zugriffshandlung bezeichnet werden kann. In step 414 leads the client 1 again an action that can be called an access action.

Für diese Zugriffshandlung fragt der PEP 22 wiederum beim PDP/PRP 23/24 nach (Schritt 415), der erforderliche Informationen wiederum beim PIP 27 abholt (Schritte 416, 417). The PEP asks for this access action 22 again at the PDP / PRP 23 / 24 after (step 415 ), the required information in turn at the PIP 27 picks up (steps 416 . 417 ).

Abschließend erhält der PEP 22 vom PDP 23 die Information, dass diese Zugriffshandlung zu verweigern ist (Schritt 418) und gibt dies an den Client 1 weiter (Schritt 419). Finally, the PEP receives 22 from the PDP 23 the information that this access action should be denied (step 418 ) and gives this to the client 1 continue (step 419 ).

Bei den Schritten 414419 werden die Zugriffsinformationen des Clients 1 erneut überprüft, die sich in diesem Fall geändert haben. Daher wird der Zugriff und die damit verbundene Rolle des Clients 1 geändert und bestimmte Zugriffshandlungen können nicht mehr durchgeführt werden. At the steps 414 - 419 become the access information of the client 1 checked again, which have changed in this case. Therefore, the access and the associated role of the client 1 changed and certain access actions can no longer be performed.

Diese dynamische Anpassung der Zugriffsrechte kann auch in umgekehrter Richtung durchgeführt werden, das heißt, die Zugriffsrechte können auch erweitert werden. This dynamic adaptation of the access rights can also be carried out in the opposite direction, that is, the access rights can also be extended.

Obwohl die vorliegende Erfindung anhand von Ausführungsbeispielen beschrieben wurde, ist sie vielfältig modifizierbar. Although the present invention has been described with reference to embodiments, it is variously modifiable.

Claims (15)

Vorrichtung (10) zum dynamischen Anpassen eines Zugriffs eines Clients (1) auf einen Server (2) in einem Netzwerksystem (100), mit: einer Empfangseinheit (11) zum Empfangen einer Zugriffsanfrage des Clients (1) auf den Server (2), wobei die Zugriffsanfrage Zugriffsinformationen des Clients (1) enthält, und einer Verarbeitungseinheit (12) zum Verarbeiten der Zugriffsanfrage und Bereitstellen eines Zugriffs durch den Client (1) auf den Server (2) basierend auf den Zugriffsinformationen, wobei die Verarbeitungseinheit (12) dazu eingerichtet ist, die Zugriffsinformationen während der Dauer des bereitgestellten Zugriffs zu überprüfen und den bereitgestellten Zugriff basierend auf einem Ergebnis der Überprüfung dynamisch anzupassen. Contraption ( 10 ) for dynamically adjusting an access of a client ( 1 ) to a server ( 2 ) in a network system ( 100 ), comprising: a receiving unit ( 11 ) for receiving an access request from the client ( 1 ) on the server ( 2 ), whereby the access request access information of the client ( 1 ) and a processing unit ( 12 ) for processing the access request and providing access by the client ( 1 ) on the server ( 2 ) based on the access information, wherein the processing unit ( 12 ) is adapted to check the access information during the provided access time and dynamically adjust the provided access based on a result of the check. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Zugriffsinformationen zumindest eine Eigenschaft des Clients (1) beinhalten. Apparatus according to claim 1, characterized in that the access information at least one property of the client ( 1 ). Vorrichtung nach Anspruch 2, dadurch gekennzeichnet, dass die zumindest eine Eigenschaft des Clients (1) eine räumliche Eigenschaft und/oder eine zeitliche Eigenschaft ist. Apparatus according to claim 2, characterized in that the at least one property of the client ( 1 ) is a spatial property and / or a temporal property. Vorrichtung nach einem der Ansprüche 1–3, dadurch gekennzeichnet, dass die Zugriffsinformationen eine Sicherheitsinformation des Clients (1) beinhalten. Device according to one of claims 1-3, characterized in that the access information security information of the client ( 1 ). Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass die Sicherheitsinformation eine Zugriffsberechtigung des Clients (1) beinhaltet. Apparatus according to claim 4, characterized in that the security information access authorization of the client ( 1 ) includes. Vorrichtung nach einem der Ansprüche 1–5, dadurch gekennzeichnet, dass die Verarbeitungseinheit (12) dazu eingerichtet ist, die Zugriffsanfrage basierend auf vordefinierten Zugriffsprofilen zu verarbeiten und/oder zu überprüfen. Device according to one of claims 1-5, characterized in that the Processing unit ( 12 ) is adapted to process and / or verify the access request based on predefined access profiles. Vorrichtung nach einem der Ansprüche 1–6, dadurch gekennzeichnet, dass die Verarbeitungseinheit (12) dazu eingerichtet ist, die Zugriffsinformationen in vordefinierten zeitlichen Abständen zu überprüfen. Device according to one of claims 1-6, characterized in that the processing unit ( 12 ) is adapted to check the access information at predefined intervals. Vorrichtung nach einem der Ansprüche 1–7, dadurch gekennzeichnet, dass die Verarbeitungseinheit (12) dazu eingerichtet ist, die Zugriffsinformationen bei einer Zugriffshandlung des Clients (1) auf den Server (2) während des bereitgestellten Zugriffs zu überprüfen. Device according to one of claims 1-7, characterized in that the processing unit ( 12 ) is set up the access information in an access action of the client ( 1 ) on the server ( 2 ) during the provided access. Vorrichtung nach einem der Ansprüche 1–8, gekennzeichnet durch eine Speichereinheit (13), die dazu eingerichtet ist, die Zugriffsinformationen zu speichern. Device according to one of claims 1-8, characterized by a memory unit ( 13 ), which is adapted to store the access information. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, dass die Speichereinheit (13) dazu eingerichtet ist, Informationen des Clients (1) und/oder des Servers (2) während des bereitgestellten Zugriffs zu erfassen und zu speichern. Device according to claim 9, characterized in that the memory unit ( 13 ) is set up information of the client ( 1 ) and / or the server ( 2 ) to capture and store during the provided access. Vorrichtung nach einem der Ansprüche 1–10, dadurch gekennzeichnet, dass die Informationen des Clients (1) und/oder des Servers (2) eine Identität, einen Zustand, eine zeitliche Eigenschaft und/oder eine räumliche Eigenschaft aufweisen. Device according to one of claims 1-10, characterized in that the information of the client ( 1 ) and / or the server ( 2 ) have an identity, a state, a temporal property and / or a spatial property. Netzwerksystem (100) mit: einem Client (1), und einem Server (2), welcher eine Vorrichtung (10) zum Verarbeiten einer Zugriffsanfrage des Clients (1) auf den Server (2) nach einem der Ansprüche 1–11 aufweist. Network system ( 100 ) with: a client ( 1 ), and a server ( 2 ), which is a device ( 10 ) for processing an access request from the client ( 1 ) on the server ( 2 ) according to any one of claims 1-11. Netzwerksystem (100) nach Anspruch 12, dadurch gekennzeichnet, dass der Server (2) ein rollenbasiertes Rechtemanagement verwendet. Network system ( 100 ) according to claim 12, characterized in that the server ( 2 ) uses role-based rights management. Verfahren zum dynamischen Anpassen eines Zugriffs eines Clients (1) auf einen Server (2) in einem Netzwerksystem (100), mit: Empfangen (201) einer Zugriffsanfrage des Clients (1) auf den Server (2), wobei die Zugriffsanfrage Zugriffsinformationen des Clients (1) enthält, Verarbeiten (202) der Zugriffsanfrage, und Bereitstellen (203) eines Zugriffs durch den Client (1) auf den Server (2) basierend auf den Zugriffsinformationen, wobei die Zugriffsinformationen während der Dauer des bereitgestellten Zugriffs überprüft und der bereitgestellte Zugriff basierend auf einem Ergebnis der Überprüfung dynamisch angepasst wird. Method for dynamically adjusting an access of a client ( 1 ) to a server ( 2 ) in a network system ( 100 ), with: receiving ( 201 ) an access request from the client ( 1 ) on the server ( 2 ), whereby the access request access information of the client ( 1 ), processing ( 202 ) of the access request, and providing ( 203 ) of access by the client ( 1 ) on the server ( 2 ) based on the access information, wherein the access information is checked during the duration of the provided access, and the provided access is dynamically adjusted based on a result of the review. Computerprogrammprodukt, welches auf einer programmgesteuerten Einrichtung die Durchführung des Verfahrens nach Anspruch 14 veranlasst. Computer program product, which causes the execution of the method according to claim 14 on a program-controlled device.
DE102015201516.5A 2015-01-29 2015-01-29 Apparatus and method for dynamically adapting a client's access to a server Withdrawn DE102015201516A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102015201516.5A DE102015201516A1 (en) 2015-01-29 2015-01-29 Apparatus and method for dynamically adapting a client's access to a server
PCT/EP2016/051103 WO2016120135A1 (en) 2015-01-29 2016-01-20 Device and method for dynamically adapting the access of a client to a server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015201516.5A DE102015201516A1 (en) 2015-01-29 2015-01-29 Apparatus and method for dynamically adapting a client's access to a server

Publications (1)

Publication Number Publication Date
DE102015201516A1 true DE102015201516A1 (en) 2016-08-04

Family

ID=55275059

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015201516.5A Withdrawn DE102015201516A1 (en) 2015-01-29 2015-01-29 Apparatus and method for dynamically adapting a client's access to a server

Country Status (2)

Country Link
DE (1) DE102015201516A1 (en)
WO (1) WO2016120135A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021214948A1 (en) 2021-12-22 2023-06-22 Robert Bosch Gesellschaft mit beschränkter Haftung System and method for controlling access to data

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3451254A1 (en) * 2017-09-04 2019-03-06 Siemens Aktiengesellschaft Method for operating an input and dispensing device for an industrial plant and input and dispensing device
EP3840302A1 (en) * 2019-12-17 2021-06-23 Siemens Aktiengesellschaft Access rights management in technical installations

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073660A1 (en) * 2002-10-15 2004-04-15 Toomey Christopher Newell Cross-site timed out authentication management
US20080271109A1 (en) * 2007-04-25 2008-10-30 Cisco Technology, Inc. Physical security triggered dynamic network authentication and authorization
US20130167211A1 (en) * 2011-12-22 2013-06-27 Maruti Haridas Kamat Re-authentication

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6370629B1 (en) * 1998-10-29 2002-04-09 Datum, Inc. Controlling access to stored information based on geographical location and date and time
US7551574B1 (en) * 2005-03-31 2009-06-23 Trapeze Networks, Inc. Method and apparatus for controlling wireless network access privileges based on wireless client location
ES2337437B8 (en) * 2008-10-22 2011-08-02 Telefonica S.A. S NETWORK INSURANCE BASED ON CONTEXTOPROCEDIMENT AND SYSTEM TO CONTROL WIRELESS ACCESS TO RESOURCE.

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073660A1 (en) * 2002-10-15 2004-04-15 Toomey Christopher Newell Cross-site timed out authentication management
US20080271109A1 (en) * 2007-04-25 2008-10-30 Cisco Technology, Inc. Physical security triggered dynamic network authentication and authorization
US20130167211A1 (en) * 2011-12-22 2013-06-27 Maruti Haridas Kamat Re-authentication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021214948A1 (en) 2021-12-22 2023-06-22 Robert Bosch Gesellschaft mit beschränkter Haftung System and method for controlling access to data

Also Published As

Publication number Publication date
WO2016120135A1 (en) 2016-08-04

Similar Documents

Publication Publication Date Title
DE10144023B4 (en) Device and method for automatic user profile configuration
DE102010011657A1 (en) Method and apparatus for providing at least one secure cryptographic key
EP2898714A1 (en) Subscriber identity module for authenticating a subscriber in a communications network
EP3103057A1 (en) Method for accessing a physically secured rack and computer network infrastructure
WO2014198782A1 (en) Hierarchical authentication and authorization system
DE102011077218A1 (en) Access to data stored in a cloud
DE102014113885A1 (en) Method for establishing a local control channel between a control device and an in-building access portal
DE102015201516A1 (en) Apparatus and method for dynamically adapting a client's access to a server
DE102008046639A1 (en) Server system and method for providing at least one service
WO2013017394A1 (en) Access control for data or applications of a network
EP3151503B1 (en) Method and system for authenticating a surrounding web application with an embedded web application
EP2618226B1 (en) Industrial automation system and method for its protection
EP3355141A1 (en) Operator system for a process control system
EP3191902A1 (en) Method for accessing functions of an embedded device
EP3101875B1 (en) Changing the settings of an application running on a mobile terminal
DE102016107673A1 (en) Method for using a proxy server for data exchange
EP2068530B1 (en) Method and communication system for controlling the access to media contents depending on the age of a user
WO2018177720A1 (en) Method for controlling access of an electronic device to a system and security device
EP1845689B1 (en) Method and communication system for providing personalised access to a group of devices
DE102017217057A1 (en) Method and device for establishing a communication channel between a first and a second device
DE102017123671B4 (en) System and procedure for managing personal data
DE60300964T2 (en) Generation of user-specific settings data
EP1923810A2 (en) Method for granting data access permissions
EP3269167B1 (en) Network access support
DE102022101689A1 (en) Method for changing an actual access key in a field device used in automation technology

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee