DE10243774A1 - Verfahren und Vorrichtung zur Steuerung von Zugriffen auf Daten - Google Patents

Verfahren und Vorrichtung zur Steuerung von Zugriffen auf Daten Download PDF

Info

Publication number
DE10243774A1
DE10243774A1 DE10243774A DE10243774A DE10243774A1 DE 10243774 A1 DE10243774 A1 DE 10243774A1 DE 10243774 A DE10243774 A DE 10243774A DE 10243774 A DE10243774 A DE 10243774A DE 10243774 A1 DE10243774 A1 DE 10243774A1
Authority
DE
Germany
Prior art keywords
data
access
processing
user
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10243774A
Other languages
English (en)
Inventor
Werner Becherer
Walter Grube
Harald Hammon
Harald Herberth
Roland Heymann
Siegfried Richter
Arno SCHÖNHALS
Lothar Trapp
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE10243774A priority Critical patent/DE10243774A1/de
Priority to PCT/DE2003/002979 priority patent/WO2004029783A2/de
Publication of DE10243774A1 publication Critical patent/DE10243774A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/101Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
    • G06F21/1012Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to domains
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

Für eine einfache und sichere Zugriffskontrolle ist bei einem Verfahren zur Steuerung von Zugriffen auf Daten (D) einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem (1) zugehörigen Datenverarbeitungseinheit (4), die von mehreren Benutzereinheiten (B1 bis Bn) genutzt wird, vorgesehen, dass die Daten (D) verschiedenen Verarbeitungsebenen (V1 bis Vm) zugeordnet sind, wobei den Daten (D) zugehörige benutzerspezifische und/oder ebenenspezifische Zugriffsrechte (Znm) in einer allen Verarbeitungsebenen (V1 bis Vm) gemeinsamen Zugriffsplattform (12) hinterlegt werden, und wobei der jeweiligen Benutzereinheit (B1 bis Bn) bei deren Zugriff auf Daten (D) einer der Verarbeitungsebenen (V1 bis Vm) anhand der Zugriffsplattform (12) das den betreffenden Daten (D) zugrunde liegende Zugriffsrecht (Znm) zugeordnet wird.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Steuerung von Zugriffen (auch Zugriffskontrolle genannt) auf Daten einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem zugehörigen Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt wird.
  • Zur Bearbeitung und zum Aufruf von Daten einer einzelnen Datenverarbeitungseinheit oder einer Datenverarbeitungseinheit in einem vernetzten Datenverarbeitungssystem werden üblicherweise einem Benutzer unterschiedliche Zugriffsrechte auf die Daten zugeordnet. Insbesondere zur Vermeidung von Sicherheitsrisiken, z.B. Zugriff eines Bearbeiters oder Benutzers auf das gesamte Datensystem, sind mittels der Zugriffsrechte in Form von Benutzerkennungen, z.B. durch Passwort, die Daten vom Benutzer eingeschränkt, z.B. nur Leserechte, oder uneingeschränkt, z.B. sowohl Lese- als auch Schreibrechte, nutzbar, um so ein unerlaubtes Löschen, Verändern, Lesen und/oder Kopieren der Daten zu verhindern. Daneben sind die Daten, z.B. Programme, Dateien, Datenbanken, verschiedenen Verarbeitungsebenen zugeordnet, die wiederum für ein- und denselben Benutzer zu unterschiedlichen Zugriffsrechten führen können. Unter Verarbeitungsebenen wird beispielsweise die sogenannte Betriebssystemebene und/oder die Anwender- oder Applikationsebene verstanden. In einem als Automatisierungssystem oder als Automatisierungseinheit für eine technische Anlage ausgebildeten Datenverarbeitungssystem sind die Verarbeitungsebenen als sogenannte Objekte definiert, die wiederum System- und Anwenderprogramme und/oder eine Datenmenge einer Teilanlage umfassen können.
  • Die Zugriffsrechte werden dabei üblicherweise getrennt und somit separat in der jeweiligen Verarbeitungsebene struktu riert, archiviert und verarbeitet. Dies hat den Nachteil, dass bei einem derartig getrennten Verfahren zur Zuordnung der Zugriffsrechte immer noch mehrere Personen, z.B. mehrere Systemadministratoren (= einer für das Betriebssystem und ein anderer für eine Applikation) oder mehrere Wartungsingenieure (= einer für die eine Teilanlage und ein anderer für die andere Teilanlage) die Zugriffsrechte für die jeweilige Anwendung setzen können und somit ein Sicherheitsrisiko darstellen können. Daneben kommt es aufgrund einer daraus resultierenden Vielzahl von einzelnen Zuordnungen von Rechten und Objekten zu den Benutzereinheiten, wobei diese wiederum einen einzelnen Nutzer oder mehrere zu einer Benutzergruppe zusammengefasste Nutzer sein können, zu einer besonders zeit- und kostenintensiven Wartung und Kontrolle der Zugriffsrechte.
  • Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zur Steuerung von Zugriffen auf Daten einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem zugehörigen Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt wird, anzugeben, bei dem eine Zugriffskontrolle besonders einfach und möglichst sicher ausgeführt wird. Des Weiteren ist eine besonders geeignete Vorrichtung zur Steuerung von Zugriffen auf Daten einer Datenverarbeitungseinheit anzugeben.
  • Die erstgenannte Aufgabe wird erfindungsgemäß dadurch gelöst, dass bei einem Verfahren zur Steuerung von Zugriffen auf Daten einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem zugehörigen Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt wird, die Daten verschiedenen Verarbeitungsebenen zugeordnet sind, wobei den Daten zugehörige benutzerspezifische und/oder ebenenspezifische Zugriffsrechte in einer allen Verarbeitungsebenen gemeinsamen Zugriffsplattform hinterlegt werden, und wobei der jeweiligen Benutzereinheit bei deren Zugriff auf Daten einer der Verarbeitungsebenen anhand der Zugriffsplattform das den betref fenden Daten zugrunde liegende Zugriffsrecht zugeordnet wird.
  • Die Erfindung geht dabei von der Überlegung aus, dass für eine möglichst sichere und besonders einfache Zugriffskontrolle von einer Vielzahl von Zugriffsrechten für eine und/oder mehrere Verarbeitungsebenen anstelle einer separaten Zuordnung mehrere Zugriffsrechte zusammengefasst werden sollten. Dabei sollte sowohl eine ebenenunabhängige als auch ebenenübergreifende Zugriffskontrolle ermöglicht sein. Hierzu wird eine allen Verarbeitungsebenen gemeinsame Zugriffsplattform eingerichtet, anhand welcher bei einer Anforderung einer Benutzereinheit die Daten der betreffenden Verarbeitungsebene mit den diesen zugrunde liegenden Zugriffsrechten aufgerufen werden.
  • Damit ebenenunabhängig eine einfache Zuordnung von Zugriffsrechten ausgeführt werden kann, wird die Zugriffsplattform in einer der Verarbeitungsebenen hinterlegt. Je nach Vorgabe und/oder Systemauslegung kann die Zugriffsplattform, auch Rolle oder Rollenregister genannt, auf einer zentralen Verarbeitungsebene, z.B. einer Betriebssystemebene, oder auf einer anwenderspezifischen Verarbeitungsebene, z.B. einer Anlagenebene, einer Automatisierungsebene und/oder einer Applikationsebene, hinterlegt werden. Zweckmäßigerweise werden die einer der Verarbeitungsebenen zugehörigen Zugriffsrechte von einer anderen Verarbeitungsebene mittels der Zugriffsplattform gesteuert. Hierdurch ist ergänzend zur ebenenunabhängigen Zuordnung der Zugriffsrechte auch eine ebenenübergreifende Zuordnung der Zugriffsrechte ermöglicht. Dabei können mittels der Zugriffsplattformen die Zugriffsrechte der jeweils zugehörigen und/oder der anderen Verarbeitungsebenen geändert, gelöscht, kopiert und/oder aktiviert werden.
  • Um beispielsweise bei einer Datenanforderung durch mehrere Benutzereinheiten einen differenzierten Zugriff auf die der jeweiligen Verarbeitungsebene zugehörigen Daten zu ermöglichen, werden der jeweiligen Verarbeitungsebene vorzugsweise unterschiedliche Zugriffsrechte mittels der Zugriffsplattform zugeordnet. Hierdurch wird beispielsweise bei einem gleichzeitigen Zugriff von mehreren Benutzereinheiten auf ein- und dieselben Daten der einen Benutzereinheit ein Schreib- und Leserecht und der anderen Benutzereinheit nur ein Leserecht zugeordnet.
  • Die zweitgenannte Aufgabe wird erfindungsgemäß bei einer Vorrichtung zur Steuerung von Zugriffen auf Daten einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem zugehörigen Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt wird, gelöst, indem die Daten verschiedenen Verarbeitungsebenen zugeordnet sind, wobei eine allen Verarbeitungsebenen gemeinsame Zugriffsplattform zur Hinterlegung von den Daten zugehörigen benutzerspezifischen und/oder ebenenspezifischen Zugriffsrechte vorgesehen ist, und die Zugriffsplattform bei einem Zugriff der jeweiligen Benutzereinheit auf Daten einer der Verarbeitungsebenen zur Zuordnung des den betreffenden Daten zugrunde liegenden Zugriffsrechts an die betreffende Benutzereinheit vorgesehen ist. Mit anderen Worten: Mittels der gemeinsamen Zugriffsplattform für verschiedene Verarbeitungsebenen, z.B. Anlagen-, Automatisierungs-, Dienst- und/oder Anwenderebenen für Dienst- bzw. Anwenderprogramme, können verschiedene die jeweilige Verarbeitungsebene repräsentierende Daten und/oder Rechte für ein- und denselben Benutzer zugeordnet sein.
  • In einer bevorzugten Ausführungsform ist eine der Verarbeitungsebenen als Betriebssystem ausgebildet. Zusätzlich ist vorteilhafterweise eine der anderen Verarbeitungsebenen als Anwendersystem ausgebildet. Als Anwendersystem wird beispielsweise bei einer technischen Anlage die diese kennzeichnenden Teilanlagen, Automatisierungsebenen, verstanden, welche im allgemeinen auch als Objekte bezeichnet werden.
  • Je nach Art und Vorgabe ist die allen Verarbeitungsebenen gemeinsame Zugriffsplattform zweckmäßigerweise in einer der Verarbeitungsebenen hinterlegt. Beispielsweise ist die Zu griffsplattform im Betriebssystem hinterlegt. Alternativ kann die Zugriffsplattform in der Anwenderebene, z.B. einer Projekt- oder Anlagenebene, hinterlegt sein. Hierbei wird die Struktur der Zugriffs- oder Zugriffsrechte entsprechend der Struktur der Projektdaten gespeichert und bleibt somit im Projektkontext erhalten. Dies ermöglicht insbesondere bei einem projektübergreifenden und somit auch ebenenübergreifenden Datenaustausch eine Beibehaltung der Struktur der Zugriffsrechte und somit eine Wiederverwendbarkeit, wodurch der Zeit- und Administrationsaufwand deutlich reduziert ist.
  • Die mit der Erfindung erzielten Vorteile bestehen insbesondere darin, dass durch eine allen Verarbeitungsebenen gemeinsamen Zugriffsplattform für einzelne oder mehrere zu einer Benutzergruppe zusammengefassten Benutzereinheiten eine Vielzahl von Zugriffsrechten in Form einer n·m-Zuordnung ermöglicht ist (mit n = Anzahl von Benutzereinheiten, m = Anzahl der Verarbeitungsebenen (= Anzahl von Objekten und/oder Anzahl von Rechten)). D.h. die jeweils anfordernde Benutzereinheit kann unabhängig von einer dieser zugeordneten Verarbeitungsebene in einer anderen Verarbeitungsebene sich mittels der gemeinsamen Zugriffsplattform anmelden, so dass ein den angeforderten Daten zugrunde liegendes Zugriffsrecht, z.B. nur Schreib- oder Schreib- und Leserecht, der Benutzereinheit zugeordnet wird. Durch eine derartige abstrakte oder virtuelle Zugriffsplattform für eine Vielzahl von unterschiedlichen Systemen, z.B. Automatisierungssystemen, Teilanlagen, in einer technischen Anlage können die Zugriffsrechte system- und anlagenunabhängig, d.h. ohne Kenntnisse der Struktur und/oder der Objekte der Anlage, gesteuert, kontrolliert und gewartet werden. Des Weiteren führt eine derartige systemunabhängige Zugriffskontrolle zu einem besonders geringen Aufwand bei der Umsetzung von Zugriffsrechten eines Systems auf ein anderes System. Ferner ist bei wechselnden Benutzereinheiten aufgrund der zentral ausgebildeten gemeinsamen Zugriffsplattform eine schnelle und einfache Aktualisierung der Zugriffsrechte ermöglicht.
  • Ausführungsbeispiele der Erfindung werden anhand einer Zeichnung näher erläutert. Darin zeigen:
  • 1 schematisch ein Datenverarbeitungssystem mit mehreren über eine Datenübertragungseinheit verbundenen Datenverarbeitungseinheiten,
  • 2 schematisch eine Zugriffsplattform zur Zugriffskontrolle von Benutzereinheiten auf Daten mindestens einer der Datenverarbeitungseinheiten, und
  • 3 und 4 schematisch mögliche Ausführungsformen für eine Zugriffsplattform.
  • Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
  • Die 1 zeigt ein Datenverarbeitungssystem 1 mit mehreren über mindestens eine Datenübertragungseinheit 2 verbundenen Datenverarbeitungseinheit 4a bis 4c einer technischen Anlage 6, z.B. einer Chemieanlage oder einer Kraftwerksanlage.
  • Das Datenverarbeitungssystem 1 ist beispielsweise eine speicherprogrammierbare Steuerung oder ein Automatisierungssystem, welches zur Steuerung und/oder Regelung der technischen Anlage 6 Automatisierungseinheiten umfasst, in denen einerseits Messwerte MW und Meldesignale MS vorverarbeitet und in Prozesssignale PS umgewandelt werden. Zu Steuerzwecken werden andererseits dort Steuersignale SI an Komponenten K, z.B. Antriebe, Motoren, Ventile, der technischen Anlage 6 abgegeben. Aufgrund der Komplexität derartiger technischer Anlagen 6 ist die Anlage 6 in Anlagenteile A1 bis An unterteilt, denen wiederum betreffende Datenverarbeitungseinheiten 4a zugeordnet sind. Die Aufteilung der Anlage 6 und der zugehörigen Datenverarbeitungseinheiten 4 in die Anlagenteile A1 bis An ist beispielhaft in der 1 durch Container dargestellt.
  • Zur Prozessführung und Prozessüberwachung weist das Datenverarbeitungssystem 1 entsprechende Datenverarbeitungseinheiten 4b auf, welche in der 1 als Personalcomputer abgebildet sind. Ebenso weist das Datenverarbeitungssystem 1 zur Projektierung und Konstruktion der technischen Anlage 6 eine zugehörige Datenverarbeitungseinheit 4c auf. Bedingt durch die aus der jeweiligen Funktion der Datenverarbeitungseinheit 4a bis 4c resultierenden unterschiedlichen Anforderungen weisen die verschiedenen Datenverarbeitungseinheiten 4a bis 4c verschiedene Verarbeitungsebenen Vm auf. Unter Verarbeitungsebenen Vm werden beispielsweise eine Betriebssystemebene V8, die Anlagenteile A1 bis An, Anwenderebene V10, z.B. eine Applikationsebene, verstanden.
  • Zur Bearbeitung und zum Aufruf von Daten D der verschiedenen Verarbeitungsebenen Vm einer der Datenverarbeitungseinheiten 4a bis 4c ist eine allen Verarbeitungsebenen Vm gemeinsame Zugriffsplattform 12, wie sie in 2 dargestellt ist, vorgesehen. Dabei können die in 1 dargestellten Datenverarbeitungseinheiten 4a bis 4c durch mehrere Benutzereinheiten Bn genutzt werden. Je nach Art der Benutzereinheit Bn kann es sich um einen einzelnen Benutzer B oder um eine aus mehreren Benutzern B zusammengefasste Benutzergruppe BG handeln. Bei den Daten D handelt es sich um Anwender- oder Dienstprogramme, Dateien, Datenbanken, einzelne Signale, z.B. Prozesssignale PS oder ähnliches. Dabei kann jede der Verarbeitungsebenen V1 bis Vm zum einen durch die diese repräsentierenden Daten D und zum anderen durch die diese repräsentierenden Anlagenteile A1 bis An bestimmt sein. Des Weiteren ist die jeweilige Verarbeitungsebene V1 bis Vm durch diese zugeordneten Zugriffsrechte Z bestimmt. Für eine einfache Zugriffskontrolle einer anfordernden Benutzereinheit Bn werden in der allen Verarbeitungsebenen Vm gemeinsamen Zugriffsplattform 12, auch Rolle oder Rollenregister genannt, den Daten D zugehörige benutzerspezifischen und/oder ebenenspezifische Zugriffsrechte Znm hinterlegt. Je nach Art und Aufbau des Datenverarbeitungssystems 1 kann die Zugriffsplattform 12 in einer der Verarbeitungsebenen Vm hinterlegt sein. Beispielsweise kann die Zugriffsplattform 12 in einer der Datenverarbeitungseinheiten 4b oder 4c hinterlegt sein und d.h. entweder in der Engineering-Umgebung oder in der Prozessüberwachungsumgebung hinterlegt sein.
  • In den 3 und 4 sind verschiedene Ausführungsformen für die allen Verarbeitungsebenen V1 bis Vm gemeinsame Zugriffsplattform 12 für mehrere Benutzereinheiten B1 bis Bn dargestellt. Anhand der 3 und 4 wird nachfolgend der Betrieb des Datenverarbeitungssystems 1 näher erläutert.
  • Bei einer Anforderung einer der Benutzereinheiten B7, z.B. eines Wartungstechnikers, an einer der Datenverarbeitungseinheiten 4a bis 4c zum Zugriff auf Daten D wird mittels der Zugriffsplattform 12 anhand der dort hinterlegten benutzerspezifischen und/oder ebenenspezifischen Zugriffsrechte Znm ein den angeforderten Daten D zugrundeliegendes Zugriffsrecht Z77 oder Z78 der Benutzereinheit B7 zugeordnet. D.h. unabhängig von der verwendeten Datenverarbeitungseinheit 4a bis 4c wird der Benutzereinheit B7 mittels der Zugriffsplattform 12 in Form einer sogenannten Rolle das zugehörige Zugriffsrecht Z77 und/oder Z78 zugeordnet. Somit kann die als Wartungstechniker definierte Benutzereinheit B7 gemäß den zugeordneten Zugriffsrechten Z77 und/oder Z78 Prozessdaten archivieren und/oder Hardware austauschen. Dabei kann die Benutzereinheit B7 dies von jeder beliebigen Verarbeitungsebene V1 bis Vm ausführen, d.h, der Wartungstechniker kann beispielsweise von der Betriebssystemebene V8 Zugriff auf die Daten D repräsentierenden Prozesssignale PS der Anwenderebene V10 (= eine mögliche Engineeringebene) haben, wenn ihm dieses Recht zugewiesen ist, wohingegen ein Zugriff auf die Daten D der Betriebsebene V8 mittels der Zuordnung der Zugriffsrechte Znm der Zugriffsplattform 12 gesperrt ist.
  • Ergänzend zu den Zugriffsrechten Znm der Benutzereinheit Bn auf eine der Verarbeitungsebenen Vm können der jeweiligen Verarbeitungsebene V1 bis Vm mehrere Zugriffsrechte Z zugeordnet sein. Dies ist beispielhaft in der 4 darge stellt. Dabei wird der Verarbeitungsebene V1, z.B. einer der Datenverarbeitungseinheiten 4a oder 4b, für eine der Benutzereinheiten B1, z.B. alle in einer Benutzergruppe BG zusammengefassten Wartungsingenieure der Anlage Nord, als Zugriffsrechte Znm sowohl ein Schreibrecht w als auch ein Leserecht r zugeordnet.

Claims (8)

  1. Verfahren zur Steuerung von Zugriffen auf Daten (D) einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem (1) zugehörigen Datenverarbeitungseinheit (4), die von mehreren Benutzereinheiten (B1 bis Bn) genutzt wird, bei dem die Daten (D) verschiedenen Verarbeitungsebenen (V1 bis Vm) zugeordnet sind, wobei den Daten (D) zugehörige benutzerspezifische und/oder ebenenspezifische Zugriffsrechte (Znm) in einer allen Verarbeitungsebenen (V1 bis Vm) gemeinsamen Zugriffsplattform (12) hinterlegt werden, und wobei der jeweiligen Benutzereinheit (B1 bis Bn) bei deren Zugriff auf Daten (D) einer der Verarbeitungsebenen (V1 bis Vm) anhand der Zugriffsplattform (12) das den betreffenden Daten (D) zugrunde liegende Zugriffsrecht (Znm) zugeordnet wird.
  2. Verfahren nach Anspruch 1, bei dem die Zugriffsplattform (12) in einer der Verarbeitungsebenen (V1 bis Vm) hinterlegt wird.
  3. Verfahren nach Anspruch 1 oder 2, bei dem die einer der Verarbeitungsebenen (V1 bis Vm) zugehörigen Zugriffsrechte (Znm) von einer anderen Verarbeitungsebene (V1 bis Vm) mittels der Zugriffsplattform (12) gesteuert werden.
  4. Verfahren nach einem der Ansprüche 1 bis 3, bei dem der jeweiligen Verarbeitungsebene (V1 bis Vm) unterschiedliche Zugriffsrechte (Znm) mittels der Zugriffsplattform (12) zugeordnet werden.
  5. Vorrichtung zur Steuerung von Zugriffen auf Daten (D) einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem (1) zugehörigen Datenverarbeitungseinheit (4a bis 4c), die von mehreren Benutzereinheiten (B1 bis Bn) genutzt wird, bei dem die Daten (D) verschiedenen Verarbeitungsebenen (V1 bis Vm) zugeordnet sind, wobei eine al len Verarbeitungsebenen (V1 bis Vm) gemeinsame Zugriffsplattform (12) zur Hinterlegung von den Daten (D) zugehörigen benutzerspezifischen und/oder ebenenspezifischen Zugriffsrechte (Znm) vorgesehen ist, und die Zugriffsplattform (12) bei einem Zugriff der jeweiligen Benutzereinheit (B1 bis Bn) auf Daten (D) einer der Verarbeitungsebenen (V1 bis Vm) zur Zuordnung des den betreffenden Daten (D) zugrunde liegenden Zugriffsrechts (Znm) an die betreffende Benutzereinheit (B1 bis Bn) vorgesehen ist.
  6. Vorrichtung nach Anspruch 5, bei der eine der Verarbeitungsebenen (V1 bis Vm) als Betriebssystem (V8) ausgebildet ist.
  7. Vorrichtung nach Anspruch 5 oder 6, bei der eine der Verarbeitungsebenen (V1 bis Vm) als Anwendersystem (V10) ausgebildet ist.
  8. Vorrichtung nach einem der Ansprüche 5 bis 7, bei der die Zugriffsplattform (12) in einer der Verarbeitungsebenen (V1 bis Vm) hinterlegt ist.
DE10243774A 2002-09-20 2002-09-20 Verfahren und Vorrichtung zur Steuerung von Zugriffen auf Daten Withdrawn DE10243774A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE10243774A DE10243774A1 (de) 2002-09-20 2002-09-20 Verfahren und Vorrichtung zur Steuerung von Zugriffen auf Daten
PCT/DE2003/002979 WO2004029783A2 (de) 2002-09-20 2003-09-08 Verfahren und vorrichtung zur steuerung von zugriffen auf daten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10243774A DE10243774A1 (de) 2002-09-20 2002-09-20 Verfahren und Vorrichtung zur Steuerung von Zugriffen auf Daten

Publications (1)

Publication Number Publication Date
DE10243774A1 true DE10243774A1 (de) 2004-03-25

Family

ID=31896231

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10243774A Withdrawn DE10243774A1 (de) 2002-09-20 2002-09-20 Verfahren und Vorrichtung zur Steuerung von Zugriffen auf Daten

Country Status (2)

Country Link
DE (1) DE10243774A1 (de)
WO (1) WO2004029783A2 (de)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0697662B1 (de) * 1994-08-15 2001-05-30 International Business Machines Corporation Verfahren und System zur verbesserten Zugriffssteuerung auf Basis der Rollen in verteilten und zentralisierten Rechnersystemen
US5761669A (en) * 1995-06-06 1998-06-02 Microsoft Corporation Controlling access to objects on multiple operating systems
US6766397B2 (en) * 2000-02-07 2004-07-20 Emc Corporation Controlling access to a storage device

Also Published As

Publication number Publication date
WO2004029783A3 (de) 2004-06-24
WO2004029783A2 (de) 2004-04-08

Similar Documents

Publication Publication Date Title
DE3938018C3 (de) Informationsverarbeitungssystem und Verfahren zur Bestimmung von dessen Konfiguration
DE69118053T2 (de) Automatisiertes Adresserkennungsverfahren für lokale Netzwerke und Gerät dazu
DE4123126C1 (de)
DE3611223A1 (de) Verfahren und vorrichtung zum verhindern einer blockierung in einem datenbank-verwaltungssystem
DE3049774C2 (de)
EP3015992B1 (de) Verfahren zur verwaltung priorisierter eingangsdaten
DE10243774A1 (de) Verfahren und Vorrichtung zur Steuerung von Zugriffen auf Daten
EP3657285B1 (de) Einbindung von technischen modulen in eine übergeordnete steuerungsebene
EP3301561B1 (de) System und modul zum betreiben von textildruckmaschinen
DE102004012266A1 (de) Kommunikationsmodul, das eine Kopie eines Registers eines Retimer an eine Host-Vorrichtung ausgibt
DE102017122909A1 (de) Kommunikationsarchitektur für den Datenaustausch zwischen Verarbeitungseinheiten
EP1561172B1 (de) Vorrichtung zur bereitstellung eines zugriffs auf daten
DE102020204148A1 (de) Informationsverarbeitungsarchitektur zur Implementierung in ein Fahrzeug
EP1923810A2 (de) Verfahren zur Vergabe von Zugriffsrechten auf Daten
EP1033647A2 (de) Verfahren zum Übertragen eines Softwaresystems auf andere Hardwareplattformen
EP0762260A2 (de) Vorrichtung zur Zuordnung der Benutzer in einem Computer-Netzwerk
EP1674957A1 (de) Regelbasiertes, verteiltes Engineering
DE102006062093B4 (de) Automatisierungsanlage und Verfahren für exklusive Verbindungen zu Clientrechnern
EP1553524B1 (de) Vorbereitung und Durchführung von Diensten für eine Datenverarbeitungseinheit
EP3028814B1 (de) Verfahren zur zuordnung von einer einen schraubvorgang beschreibenden schaubkurve zu einem die schraubkurve steuernden schraubprogramm
EP1768048A2 (de) System für die Identifizierung und die Vergabe von Benutzungsberechtigungen in einer Datenverarbeitungseinrichtung
DE4317567A1 (de) Verfahren zum Betreiben eines Bussystems sowie Anordnung zur Durchführung des Verfahrens
DE102019217618A1 (de) Industrielles Steuerungssystem in der Automatisierungstechnik zur Reduktion des Schadens durch Ausführung von Schadsoftware
DE10110808A1 (de) Verarbeitungssystem
DE102019217624A1 (de) Industrielles Steuerungssystem in der Automatisierungstechnik mit unabhängig voneinander agierenden Modulen

Legal Events

Date Code Title Description
8141 Disposal/no request for examination