DE102006027799A1 - Data processing method for use in data network, involves seizing services and/resources with objects within validity period by client, and providing authenticity and integrity of objects by asymmetrical or symmetrical safety process - Google Patents

Data processing method for use in data network, involves seizing services and/resources with objects within validity period by client, and providing authenticity and integrity of objects by asymmetrical or symmetrical safety process Download PDF

Info

Publication number
DE102006027799A1
DE102006027799A1 DE102006027799A DE102006027799A DE102006027799A1 DE 102006027799 A1 DE102006027799 A1 DE 102006027799A1 DE 102006027799 A DE102006027799 A DE 102006027799A DE 102006027799 A DE102006027799 A DE 102006027799A DE 102006027799 A1 DE102006027799 A1 DE 102006027799A1
Authority
DE
Germany
Prior art keywords
trust
client
objects
systems
billing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102006027799A
Other languages
German (de)
Inventor
Mehran Roshandel
Frank Burkhardt
Teodor Pirkmayer
Martin Müller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Priority to DE102006027799A priority Critical patent/DE102006027799A1/en
Publication of DE102006027799A1 publication Critical patent/DE102006027799A1/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24564Applying rules; Deductive queries
    • G06F16/24565Triggers; Constraints

Abstract

The method involves providing objects so that determinable control, contract conditions and time stamp are included into the object based on the usage of a determined service, and transferring the objects to a client. Services and/resources with the objects are seized within a validity period by the client and authenticity and integrity of the objects are provided by an asymmetrical or symmetrical safety process. An independent claim is also included for a data processing device.

Description

Die Erfindung betrifft ein Verfahren zur Datenverarbeitung, wobei der Daten verarbeitende Prozess bestimmte Regeln zur Bearbeitung benötigt und wobei diese Regeln durch das zu verarbeitende Objekt bereitgestellt werden.The The invention relates to a method for data processing, wherein the Data processing process requires specific rules for editing and being these rules are provided by the object to be processed.

Gebiet der Erfindung:Field of the invention:

Die Daten verarbeitenden Prozesse werden immer komplexer und aufwendiger, was unweigerlich dazu führt, dass die Systeme immer langsamer werden. Ein Flaschenhals des Datenverarbeitungsprozesses ist die Notwendigkeit einer Datenbankabfrage zur Ermittlung der zu berücksichtigenden Regeln und Bedingungen bei der Verarbeitung des aktuellen Datensatzes. So findet z.B. bei der Verarbeitung eines Nutzerberechtigungsobjektes (Identifizierung-Autorisierungsschlüssel) in einem Single-Sign-On System, das die Identifikation des Nutzers in einem Multidienstprozess beinhaltet, bei jeder internen Dienstanmeldung (Durchreichung der Nutzeridentifikation an den nächsten Dienst in der Kette) eine Datenbankabfrage zwecks Ermittlung der vertraglich vereinbarten Rechte des Nutzers für die aktuelle Dienstnutzung statt. Single-Sign-On Systeme bestehen aus mehr als einem Dienst, der Nutzer jedoch meldet sich nur bei seinem ersten Zugriff an. Die Anmeldung zur Nutzung weiterer Dienste im System wird automatisch durch das System durchgeführt, ohne dass eine weitere Eingabe durch den Anwender erfolgen muss.The Data processing processes are becoming increasingly complex and expensive, which inevitably leads that the systems are getting slower and slower. A bottleneck of the data processing process is the need for a database query to determine the to be considered Rules and conditions when processing the current record. For example, see when processing a user permission object (Identification authorization key) in a single sign-on System that identifies the user in a multi-service process includes, with each internal service registration (passage of the User identification to the next Service in the chain) a database query to determine the contractually agreed rights of the user for the current service use instead of. Single sign-on systems consist of more than one service, however, the user logs in only on his first access. The registration for the use of further services in the system becomes automatic performed by the system without that another input must be made by the user.

Ein weiteres Beispiel ist der Bewertungsprozess eines Abrechnungsdatensatzes, der nur die Dienstnutzungsdaten eines Nutzers beinhaltet. Der Abrechnungsprozess muss immer zuerst die Regeln und die Vertragsbedingungen des Nutzers über eine Datenbank ermitteln, um die notwendigen Tarifregeln ableiten zu können.One another example is the evaluation process of a billing record, containing only the service usage data of a user. The billing process must always first the rules and contract terms of the user through a database to derive the necessary fare rules.

Um dem oben genannten Performance Flaschenhals entgegen zu wirken, werden immer ausgeklügelte Datenbanken mit leistungsfähigen Datencache-Systemen konzipiert und entwickelt.Around to counteract the above-mentioned performance bottleneck, are always sophisticated Databases with powerful Data cache systems designed and developed.

Solche Systeme haben jedoch eine Reihe von Nachteilen:
Sie sind teuer und aufwendig in der Entwicklung.However, such systems have a number of disadvantages:
They are expensive and expensive in development.

Ferner kann die Datenhaltung im Cachesystem bei einem ungesicherten Systemausfall zu Datenverlust führen.Further can the data management in the cache system in case of an unsecured system failure lead to data loss.

Wenn die Daten im Datenbanksystem nicht über das Datencachesystem geändert werden, sondern durch einen direkten Zugriff auf die Datenbank, kann es passieren, dass das Datencachesystem die Änderung der Daten nicht registriert, was zu einem fehlerhaften Systemverhalten führen kann.If the data in the database system is not changed via the data cache system, but through direct access to the database, it can happen that the data cache system does not register the change of data, which can lead to a faulty system behavior.

Wenn die Menge der zu verarbeitenden Datenobjekte stark ansteigt, versagen die besten Datenbanksysteme. Der einzige weg wäre dann die Vergrößerung der Hardwareressourcen, was zu einer zusätzlichen Verteuerung des Systems führt.If the amount of data objects to be processed increases sharply the best database systems. The only way would be the enlargement of the Hardware resources, resulting in an additional increase in the cost of the system leads.

Stand der Technik:State of the art:

Im Folgenden werden einige Verfahren beschrieben, die aus dem Stand der Technik bekannt sind, und in einem vergleichbaren Bereich angesiedelt sind, jedoch nicht die gewünschte Leistung bereitstellen.in the Following are some procedures out of the state are known in the art, and settled in a comparable area are, but not the desired Provide power.

Bei der Liberty Allianz wird ein Verfahren für ein Single-Sign-On System realisiert, so dass die Mitglieder eines Vertrauenskreises in einem offenen Netzwerk sich bei allen Dienstanbietern anmelden können.at The Liberty Alliance implements a single-sign-on system leaving the members of a circle of trust in an open network log in to all service providers.

Hierbei ist der Nutzer jedoch gezwungen, jedem Anbieter des Vertrauenskreises mitzuteilen, bei welchem Anbieter sein Nutzerkonto verwaltet wird.in this connection However, the user is forced to any provider of the circle of trust tell you which provider is managing their user account.

Wenn eine Anmeldeaufforderung eines Nutzers des Vertrauenskreises beim Dienstanbieter ankommt, wird dieser immer zum Originalanbieter des Nutzers (Identity Provider) zwecks Authentifizierung umgeleitet. Dies verursacht einen nicht unerheblichen Datenverkehr, was die Leistungsfähigkeit des Systems beeinträchtigt. Ziel ist es, einen solchen Flaschenhals zu vermeiden.If a login request of a user of the circle of trust in the Service Provider arrives, this is always the original provider of the user (Identity Provider) redirected for authentication. This causes a not inconsiderable traffic, what the performance of the system. The aim is to avoid such a bottleneck.

Microsoft-Passport ist ein weiteres Verfahren zur Realisierung eines Single-Sign-On Systems, das die Nutzerdaten in einer zentralen Datenbank für alle Dienstanbieter des Vertrauenskreises zur Verfügung stellt. Dieses System hat jedoch einige Nachteile.Microsoft Passport is another method of implementing a single sign-on Systems, which store the user data in a central database for all service providers of the circle of trust. However, this system has some disadvantages.

Alle Dienstanbieter des Vertrauenskreises sind gezwungen, alle Kundendaten in der zentralen Datenbank zu speichern. Dies hat jedoch zur Folge, dass eine potenzielle Konkurrenzfirma als Mitglied des Vertrauenskreises Zugriff auf die Kundendaten haben kann.All Service providers of the circle of trust are forced to all customer data to save in the central database. However, this has the consequence that a potential rival company as a member of the circle of trust Access to the customer data may have.

Ferner ist jeder Dienstanbieter gezwungen, eine Anfrage an die Zentraldatenbank zu stellen, um den Nutzer zu authentifizieren und zu autorisieren.Further Each service provider is forced to submit a request to the central database to authenticate and authorize the user.

Überblick über die Erfindung:Overview of the Invention:

Die Aufgabe der Erfindung liegt darin, ein einfaches und leistungsstarkes Verfahren zu beschreiben, das der oben genannten Problematik entgegen wirkt, indem die notwendigen Datenbankabfragen eines Systems auf ein Minimum reduziert werden.The The object of the invention is a simple and powerful Describe method that counteracts the above problem works by adding the necessary database queries of a system a minimum can be reduced.

Lösung der Aufgabe:solution the task:

Diese Aufgabe wird durch die Erfindungen mit den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterentwicklungen der Erfindungen werden in den Unteransprüchen beschrieben.These The object is achieved by the inventions having the features of the independent claims. advantageous Further developments of the inventions are described in the subclaims.

Im Einzelnen handelt es sich um ein Verfahren zur regelbasierten Steuerung der automatischen Datenverarbeitung, in dem die einzelnen Prozesskomponenten nicht auf eine Datenbank zugreifen müssen, um die für die Datenverarbeitung zu berücksichtigenden Regeln/Methoden und Bedingungen zu ermitteln.in the Individual is a rule-based control method automatic data processing, in which the individual process components do not need to access a database for data processing to be considered Determine rules / methods and conditions.

Das Verfahren basiert auf Objekten, die für ihre Verarbeitung erforderliche Regeln bzw. Methoden, Anweisungen und Bedingungen (Verarbeitungspolicy) in sich beinhalten, so dass der verarbeitende Prozess kein Bedarf an einer Datenbankabfrage zwecks Ermittlung dieser Regeln hat. Diese Objekte heißen „selbst beschreibende Datenobjekte", da sie die erforderliche Verarbeitungspolicy in sich tragen und somit sich selber gegenüber dem verarbeitenden Prozess beschreiben, um ihm die Instruktionen zur Bearbeitung der gelieferten Daten zu diktieren. In bestimmten Fällen ist es notwendig, dass die Authentizität der Objekte überprüft wird. Dies ist dann besonders wichtig, wenn die im Objekt enthaltenen Regeln und Bedingungen Einfluss auf die lokalen Ressourcen und Sicherheitsbestimmungen haben. In diesen Fällen ist die Anwendung von üblichen Sicherheitsalgorithmen, wie Verschlüsselung mit symmetrischen bzw. asymmetrischen Verschlüsselungsverfahren notwendig. Dieser Verfahrenszusatz zwecks Herstellung der Authentizität der Datenobjekte ist allgemein bekannt.The Method is based on objects required for their processing Rules and / or methods, instructions and conditions (processing policy) involve in itself, so the processing process no need to a database query to determine these rules. These Objects are called "themselves descriptive data objects ", because they carry the required processing policy and thus facing yourself describe the processing process to him the instructions to dictate the processing of the data supplied. In particular make it is necessary that the authenticity of the objects is checked. This is especially important if the objects contained in the object Rules and conditions Influence on local resources and safety regulations to have. In these cases is the application of usual Security algorithms, such as encryption with symmetric or asymmetric encryption procedure necessary. This method addition for the purpose of establishing the authenticity of the data objects is well known.

Somit kann ein Verfahren zur Steuerung des Zugriffs auf Funktionen von Systemen bereitgestellt werden, wobei eine Mehrzahl von Systemen vorhanden sind, die jeweils mindestens eine Funktion bereitstellen. Die Systeme sind in einer Vertrauensstellung zueinander, die vorzugsweise anhand von Signaturen zu erkennen ist. Mindestens ein System aus dieser Mehrzahl von Systemen erstellt auf Anfrage ein digitales Objekt. Hierbei wird auf Anfrage eines Clients ein digitales Objekt durch das erste System erzeugt und dieses Objekt wird mit der Signatur versehen, die die Vertrauensstellung bestimmt. Das so erzeugte Objekt wird an den anfragenden Client übermittelt. Beim Aufruf einer Funktion eines weiteren Systems, erfolgt dies mit dem Objekt als Parameter. Das weitere System überprüft die Signatur des Objektes. Falls das weitere System in der Vertrauensstellung des ersten Systems ist, so ist die Signatur zulässig und das Objekt wird als zulässig und ausführbar gekennzeichnet und durch das System übernommen und ein Zugriff auf die Funktion bzw. Methoden erlaubt. Die Funktionen bzw. Methoden können interpretierbarer Code sein oder in Maschinencode erstellt worden sein.Consequently may be a method for controlling access to functions of Systems are provided, wherein a plurality of systems are present, each providing at least one function. The systems are in a trust relationship with each other, preferably can be recognized by means of signatures. At least one system off this plurality of systems creates a digital on demand Object. At the request of a client, this becomes a digital object generated by the first system and this object comes with the signature which determines the trust relationship. The object created this way is sent to the requesting client. When calling a function of another system, this is done with the object as a parameter. The other system checks the signature of the object. If the other system in the trust relationship of the first system, the signature is allowed and the object is called permissible and executable marked and accepted by the system and accessed the function or methods allowed. The functions or methods can be more interpretable Be code or created in machine code.

Das Objekt kann somit beim Single-Sign-On verwendet werden, wobei das Objekt aufgrund der eingegeben Daten, wie Login und Passwort erzeugt wird. Dabei wird das Objekt auf der Basis einer Datenbank eimalig erzeugt, in der die notwendigen Daten für Methoden für die einzelnen Systeme hinterlegt sind, so dass das Objekt auf einer Vielzahl von Systemen angewendet werden kann, die in der Vertrauenstellung sind. Eine mögliche Methode ist die Abrechnung der Nutzung eines Dienstes, der spezifisch für ein System ist. Nach der Abrechnung des Dienstes wird z.B. das Ergebnis an einen zentralen Server übermittelt, der die Abrechnung für alle Dienste vornimmt.The Object can thus be used in single-sign-on, with the Object based on the entered data, such as login and password is generated. The object is created on the basis of a database once, in the necessary data for Methods for the individual systems are deposited, leaving the object on one Variety of systems can be applied in the confidence position are. A possible Method is billing the use of a service that is specific to a system is. After billing for the service, e.g. the result transmit a central server, the billing for all services.

Zur Sicherstellung der Integrität der Objekte werden diese verschlüsselt und durch das System bzw. die Systeme entschlüsselt, z.B. über ein asymmetrisches Schlüsselverfahren. Auch können maschinespezifische Informationen in den Objekten hinterlegt sein, so dass ein Transfer bzw. ein Diebstahl des Objektes auf eine andere Maschine nicht möglich ist. Das Objekt, kann auch regelmäßig nach einer Freischaltung fragen, um sich dann nach dem Ablauf einer gewissen Zeit in einen inaktiven Zustand zu versetzten.to Ensuring integrity the objects are encrypted and decrypted by the system (s), e.g. about one asymmetric key method. Also can Machine-specific information stored in the objects, allowing a transfer or a theft of the object to another Machine is not possible. The object can also be checked regularly ask for an activation, then after the expiration of a certain To put time into an inactive state.

Kurze Beschreibung der FigurenBrief description of the figures

1 zeigt einen Single-Sign-On, um dann mit dem generierten Objekt auf weitere Domänen zuzugreifen, 1 shows a single sign-on, and then accesses additional domains with the generated object,

2 zeigt eine Abrechnung über Dienste über eine zentrale Abrechnungsstelle; 2 shows billing via services via a central clearinghouse;

Im Folgenden wird die Erfindung anhand von Ausführungsbeispielen näher erläutert, die in den Figuren schematisch dargestellt sind.in the The invention will be explained in more detail below with reference to exemplary embodiments which are shown schematically in the figures.

Die 1 zeigt eine Multidienstdomäne, die den Nutzer mit Hilfe von „selbst beschreibenden Objekten" eine Single-Sign-On Dienstnutzung zur Verfügung stellt.The 1 shows a multi-service domain that provides the user with a single-sign-on service usage using "self descriptive objects".

Hierbei wird angenommen, dass alle Systeme zu einem Vertrauenskreis gehören. Das heißt, dass jedes System den Nachrichten, die er von anderen Systemen im Vertrauenskreis bekommt, vertraut.in this connection It is assumed that all systems belong to a circle of trust. The means that each system tells the news that it is from other systems in the circle of trust get, familiar.

Der Nutzer ist autorisiert, alle Dienste der Systeme im Vertrauenskreis zu nutzen.Of the User is authorized to use all services of systems in the circle of trust to use.

Jedes System im Vertrauenskreis besitzt seine eigene AA-Komponente und Nutzervertragsdatenbank und ist in der Lage, Nutzer im Vertrauenskreis zu authentifizieren bzw. zu autorisieren.each System in the circle of trust has its own AA component and user contract database and is able to authenticate users in the circle of trust or to authorize.

Der Login-Prozessor ist in der Lage, die Anmeldeanfrage des Nutzers zu bearbeiten. Wenn der Nutzer sich zum ersten Mal im System anmelden möchte, wird er von dieser Komponente authentifiziert und autorisiert.Of the Login processor is capable of the user's login request to edit. If the user wants to log into the system for the first time, then he is authenticated and authorized by this component.

Der AA-Dienst ist für die Authentifizierung und Autorisierung der Nutzer im Weiteren verantwortlich. Dies erfolgt auf der Basis des Objektes, das überreicht wird.Of the AA service is for the authentication and authorization of users further responsible. This is done on the basis of the object that is handed over.

Die Nutzervertragsdatenbank speichert die Werte und Methoden des Objektes in Bezug zum Nutzer ab.The User contract database stores the values and methods of the object in relation to the user.

Die Systeme repräsentieren einen beliebigen Dienst, ohne seine Funktionalität darzustellen.The Represent systems any service without displaying its functionality.

In Schritt 1 meldet sich der Nutzer beim Portal des Vertrauenskreises an. In Schritt 2 werden Nutzerdaten an die AA-Komponente weitergeleitet, wo der Nutzer zunächst authentifiziert wird. Über die Datenbank werden die Werte und Methoden für den Nutzer für das Objekt zusammengestellt (Schritt 3). Diese Daten werden an den Login-Prozessor gesendet (Schritt 4). In Schritt 5 erzeugt der Login-Prozessor ein selbst beschreibendes Objekt, das einen AA-Schlüssel und die Werte und Methoden und beinhaltet und schickt dieses an den Nutzer.In step 1 the user logs in to the portal of the circle of trust. In step 2 User data is forwarded to the AA component where the user is first authenticated. The database is used to compile the values and methods for the user for the object (step 3 ). This data is sent to the login processor (step 4 ). In step 5 The login processor generates a self-describing object that contains an AA key and the values and methods and and sends this to the user.

In Schritt 6 kann der Nutzer sich jetzt bei einem beliebigen Dienst innerhalb des Vertrauenskreises anmelden.In step 6 The user can now log in to any service within the circle of trust.

In 2 wird ein Abrechnungsszenario illustriert, in dem ein Nutzer mehrere unabhängige Dienste von verschiedenen Dienstanbietern benutzt und nur eine Rechnung bekommt (One-Stop-Billing).In 2 illustrates a billing scenario in which a user uses several independent services from different service providers and receives only one bill (one-stop billing).

Es wird hierbei angenommen, dass die Dienste unabhängig sind. Die Dienstanbieter haben einen Vertrag mit der Abrechnungsdomäne zur Abrechnung ihrer Dienste. Der Abrechnungsprozess wird durch individuelle Methode der Objekte dynamisch gesteuert.It it is assumed that the services are independent. The service providers have a contract with the billing domain to bill their services. The billing process is done by individual method of the objects dynamically controlled.

Diese Komponente repräsentiert einen beliebigen Dienst ohne seine Funktionalität darzustellen. Der Nutzdatensammler sammelt die Servicenutzdaten. Die Regeldatenbank (RDB) beinhaltet die Regeln, die abhängig von Nutzer und Dienst angewendet werden (Tarifregeln). Der Objektinterpreter interpretiert die selbst beschreibenden Objekte und steuert den Abrechnungsprozess für die gelieferten Nutzdaten.These Component represents to render any service without its functionality. The payload collector collects the service payload. The rule database (RDB) contains the rules that are dependent applied by user and service (tariff rules). The object interpreter interprets the self descriptive objects and controls the Billing process for the delivered user data.

Die Abrechnungskomponente bewertet die Nutzdaten und bereitet sie zur Rechnungserstellung (Billing) vor.The Billing component evaluates the payload and prepares it Invoicing (billing) before.

In Schritt 1 startet der Nutzer eine Dienstsitzung. Dies setzt voraus, dass er sich bereits authentifiziert und autorisiert hat und das Objekt erstellt wurde, so dass die notwendigen vertragsabhängigen Regeln bzw. Methoden zur Abrechnung der Daten ermittelt werden können.In step 1 the user starts a service session. This assumes that he has already authenticated and authorized himself and created the object so that the necessary contract-dependent rules or methods for billing the data can be determined.

In Schritt 2 werden die Nutzdaten an die Nutzdatensammlerkomponente weitergeleitet. In Schritt 3 werden die relevanten Regeln ermittelt und an die Nutzdatensammlerkomponente weitergeleitet.In step 2 the payload is forwarded to the payload collector component. In step 3 The relevant rules are determined and forwarded to the payload collector component.

In Schritt 4 fügt der Nutzdatensammler die Nutzdaten und Regeln in ein weiteres selbst beschreibendes Objekt ein und sendet es an die Abrechnungsdomäne.In step 4 The payload collector inserts the payload data and rules into another self-describing object and sends it to the payroll domain.

Das selbst beschreibende Objekt wird vom Objektinterpreter analysiert. Die Methoden werden interpretiert und die notwendige Konfiguration zur Berechnung der Nutzdaten wird vorgenommen. Schließlich werden die Daten von der Abrechnungskomponente bewertet und für den Billing-Prozess bereitgestellt.The self descriptive object is analyzed by the object interpreter. The methods are interpreted and the necessary configuration to calculate the user data is made. Finally the data is evaluated by the billing component and for the billing process provided.

Die oben beschriebenen Verfahren ermöglichen der Abrechnungsdomäne, ihren Prozess nach nutzer/dienstspezifischen Regeln zu konfigurieren ohne einen Zugriff auf die Dienstdomäne. Diese ist insbesondere vorteilhaft, wenn keine ständige Online-Verbindung mit der Dienstdomäne möglich sind, oder die Verbindung durch eine Firewall blockiert wird. Des Weiteren wird die Abrechnungskomponente in die Lage versetzt, eine nutzerspezifische Abrechnung durchzuführen, ohne die Nutzerdaten zu kennen.The allow the method described above the billing domain, configure your process according to user / service specific rules without an access to the service domain. This is particularly advantageous if no permanent online connection with the service domain possible or the connection is blocked by a firewall. Of Furthermore, the billing component is enabled, a perform user-specific billing, without the user data to know.

Im Rahmen der Erfindung sind zahlreiche Abwandlungen und Weiterentwicklung der beschriebenen Ausführungsbeispiele verwirklichbar.in the The scope of the invention are numerous modifications and advancements the described embodiments realizable.

Claims (17)

Verfahren zur verteilten Datenverarbeitung, mit einer Mehrzahl von Systemen, die jeweils mindestens eine Funktion bereitstellen, wobei die Systeme in einer Vertrauensstellung zueinander sind, und die diese Vertrauensstellung anhand von Signaturen erkennen durch selbst erklärende Objekte, die ihre Verarbeitungsregeln in sich tragen, so dass kein drittes System, gefragt werden muss, um die ankommende Objekte zu verarbeiten, zu interpretieren oder Zugriff auf lokale Funktionen/Ressourcen zu gewähren, umfassend folgende Schritte: – Im Initialisierungsschritt, Erstellen des Objektes auf Anfrage durch ein erstes System, so dass es bestimmbare Regeln, Vertragsbedingungen und Zeitstempel bezüglich der Nutzung eines bestimmten Dienstes in das Objekt eingefügt werden und Übermitteln dieses Objektes an einen Client, – Der Client greift mit diesem Objekt innerhalb der Gültigkeitsdauer auf Dienste/Ressourcen andere Systeme, in der Vertrauensstellung, zu, ohne sich noch mal zu authentifizieren und ohne die Notwendigkeit, dass Informationen aus dritten System zu besorgen sind, da diese Teil des Objektes sind, – Die Authentizität und Integrität des Objekts wird durch asymmetrische oder symmetrische Sicherheitsverfahren sichergestellt.A distributed data processing method, comprising a plurality of systems, each providing at least one function, the systems being in mutual trust, and recognizing this trust by means of signatures by self-explanatory objects carrying their processing rules such that no third system, must be asked to process the incoming objects to interpret or grant access to local functions / resources, comprising the following steps: In the initialization step, creating the object on request by a first system, so that there are determinable rules, Contract terms and timestamps regarding the use of a particular service are inserted into the object and submit this object to a client, The client accesses services / resources with this object within the validity period to other systems, in the trust relationship, without having to authenticate themselves again and without the need to obtain information from third system, since these are part of the object, - The authenticity and integrity of the object is ensured by asymmetric or symmetrical security procedures. Verfahren nach dem vorhergehenden Anspruch, zur Steuerung des Zugriffs auf Funktionen von Systemen, mit einer Mehrzahl von Systemen, die jeweils mindestens eine Funktion bereitstellen, wobei die Systeme in einer Vertrauensstellung zueinander sind, und die diese Vertrauensstellung anhand von Signaturen erkennen, mit einem Objekt, das eindeutig erkennbar ist und Methoden bereitstellt, so dass es als Authentifizierungsobjekt verwendet werden kann, umfassend folgende Schritte: – Im Initialisierungsschritt, Erstellen des Objektes auf Anfrage durch ein erstes System, und Übermitteln dieses Objektes an ein Clientsystem, – Aufrufen einer Funktion eines weitern Systems mit dem Objekt als Parameter durch den Client, – Überprüfen der Signatur des Objektes durch das weitere System, falls das weitere System in der Vertrauensstellung des ersten Systems ist, so ist die Signatur zulässig und das Objekt wird als zulässig und ausführbar gekennzeichnet und durch das System übernommen, und ein Zugriff auf die Funktion erlaubt und ein Zugriff auf eine oder mehrere Methoden des Objektes wird erlaubt, falls die Signatur nicht zulässig ist, so wird das Objekt zurück gewiesen und ein Zugriff auf die Funktion ist nicht erlaubt.Method according to the preceding claim, for the control accessing functions of systems with a plurality of Systems that each provide at least one function, wherein the Systems are in a relationship of trust with each other, and this is the trust relationship recognize by signatures, with an object that is unique is recognizable and provides methods, making it as an authentication object can be used, comprising the following steps: - In the initialization step, Create the object on request by a first system, and submit it Object to a client system, Calling a function of a further system with the object as a parameter by the client, - Check the Signature of the object by the further system, if the other one System is in the trust relationship of the first system is so the signature is allowed and the object is allowed and executable marked and accepted by the system, and an access allowed on the function and access to one or more methods the object is allowed if the signature is not allowed, this will return the object and access to the function is not allowed. Verfahren nach dem vorhergehenden Anspruch, wobei auf Anfrage eines Clients, ein digitales Objekt durch das erste System erzeugt wird und dieses Objekt wird mit der Signatur versehen, die die Vertrauensstellung bestimmt;A method according to the preceding claim, wherein at the request of a client, a digital object through the first System is generated and this object is provided with the signature, which determines the relationship of trust; Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei das Verfahren zum Single-Sign-On verwendet wird, wobei das Objekt aufgrund der eingegeben Daten, wie Login und Passwort erzeugt wird.Method according to one or more of the preceding Claims, wherein the method is used for single sign-on, wherein the Object generated based on the entered data, such as login and password becomes. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei das Objekt auf der Basis einer Datenbank erzeugt wird, in der die notwendigen Daten für Methoden bzw. Funktionen für die einzelnen Systeme hinterlegt sind, so dass das Objekt auf einer Vielzahl von Systemen angewendet werden kann, die in der Vertrauenstellung sind.Method according to one or more of the preceding Claims, wherein the object is generated on the basis of a database, in the necessary data for Methods or functions for the individual systems are deposited, so that the object on a Variety of systems can be applied in the confidence position are. Verfahren nach dem vorhergehenden Anspruch, wobei das Objekt Methoden für jedes System aufweist, die das System aufruft, um spezifische Operationen für das System in Bezug zum Objekt durchzuführen.A method according to the preceding claim, wherein the object methods for Any system calling the system has specific operations for the System in relation to the object. Verfahren nach dem vorhergehenden Anspruch, wobei eine Methode die Abrechnung der Nutzung eines Dienstes ist, der spezifisch für ein System ist.A method according to the preceding claim, wherein a method of billing the use of a service that is specific for a system is. Verfahren nach dem vorhergehenden Anspruch, wobei nach der Abrechnung des Dienstes das Ergebnis an einen zentralen Server übermittelt wird, der die Abrechnung für alle Dienste vornimmt.A method according to the preceding claim, wherein after billing the service the result to a central Server is transmitted, the billing for all services. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei das Objekt verschlüsselt ist und durch das System entschlüsselt wird.Method according to one or more of the preceding Claims, where the object is encrypted is and is decrypted by the system. Vorrichtung, die in einem Datennetzwerk angeordnet ist und Mittel bereitstellt, um mindestens eine Funktion bereit zu stellen, auf die durch einen Client zugegriffen werden kann, wobei Mittel vorhanden sind, die den Zugriff auf diese Funktion steuern, wobei die Systeme in einer Vertrauensstellung zueinander sind, und die diese Vertrauensstellung anhand von Signaturen erkennen durch selbst erklärende Objekte, die ihre Verarbeitungsregeln in sich tragen, so dass kein drittes System, gefragt werden muss, um die ankommende Objekte zu verarbeiten, zu interpretieren oder Zugriff auf lokale Funktionen/Ressourcen zu gewähren, umfassend: – Empfangsmittel, die ein Objekt vom Client empfangen, – Überprüfungsmittel, die überprüfen, ob das Objekt von einem System erzeugt wurde, das mit der Vorrichtung in einer Vertrauensstellung steht, – Mittel zum Zulassen des Zugriffs auf die Funktion falls das Objekt von einem System aus einer Vertrauensstellung stammt und Übernahme des Objektes in einen Objektraum, um Methoden des Objektes bei Bedarf auszuführen.Device arranged in a data network is and means ready to at least one function ready to provide that can be accessed by a client, where there are means to access this function control, with the systems in a trust relationship to each other and recognize this trust based on signatures through self-explanatory objects, who carry their processing rules, so no third System, has to be asked to process the incoming objects, to interpret or access local functions / resources to grant full: Receiving means, who receive an object from the client, - Verification means that check whether the object was created by a system that works with the device is in a trust relationship, - means for allowing access to the function if the object is from a system from a trust relationship comes and takeover of the object into an object space, to methods of the object if necessary perform. Vorrichtung nach dem vorhergehenden Anspruch, wobei Mittel vorhanden sind, um die Signatur des Objektes zu erkennen, um anhand dieser Informationen die Vertrauensstellung zu erkennen.Device according to the preceding claim, wherein Means are present to recognize the signature of the object, to use this information to recognize the trust relationship. Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei Mittel vorhanden sind, um auf eine Anfrage eines Clients und dessen Authentifizierung das digitale Objekt erzeugt wird und mit einer Signatur versehen wird, wobei das Objekt aus einer Datenbank erstellt wird, in der für jedes System des Vertrauensraums Methoden und Werte abgelegt sind, die dann in das Objekt übernommen werden.Device according to one or more of the preceding Device claims, wherein means are provided to respond to a request from a client and whose authentication the digital object is generated and with a signature, the object being from a database is created in the for every system of trust space methods and values are stored, which is then taken over into the object become. Vorrichtung nach dem vorhergehenden Vorrichtungsanspruch, wobei das Objekt zum Single-Sign-On verwendet wird, wobei das Objekt aufgrund der eingegeben Daten, wie Login und Passwort erzeugt wird.Apparatus according to the preceding apparatus claim, wherein the object is for Sing le-Sign-On is used, whereby the object is generated on the basis of the entered data, such as login and password. Vorrichtung nach dem vorhergehenden Vorrichtungsanspruch, wobei das Objekt Methoden für jedes System aufweist, die das System aufruft, um spezifische Operationen für das System in Bezug zu dem Objekt durchzuführen.Device according to the preceding device claim, where the object methods for each System that calls the system to specific operations for the System in relation to the object. Vorrichtung nach dem vorhergehenden Vorrichtungsanspruch, wobei eine Methode die Abrechnung von Diensten bereitstellt, die auf den einzelnen Systemen der Vertrauenstellung unterschiedlich sind.Device according to the preceding device claim, one method providing billing for services that are different on the individual systems of trust. Vorrichtung nach dem vorhergehenden Vorrichtungsanspruch, wobei Mittel vorhanden sind, um nach der Abrechnung des Dienstes das Ergebnis an einen zentralen Server zu übermitteln, der die Abrechnung für alle Dienste vornimmt.Device according to the preceding device claim, where funds are available after billing the service Submit the result to a central server that handles the billing for all Services. Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei das Objekt verschlüsselt ist und Mittel vorhanden sind, um durch das System entschlüsselt zu werden.Device according to one or more of the preceding Device claims, where the object is encrypted is and resources are available to be decrypted by the system become.
DE102006027799A 2006-06-09 2006-06-09 Data processing method for use in data network, involves seizing services and/resources with objects within validity period by client, and providing authenticity and integrity of objects by asymmetrical or symmetrical safety process Pending DE102006027799A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102006027799A DE102006027799A1 (en) 2006-06-09 2006-06-09 Data processing method for use in data network, involves seizing services and/resources with objects within validity period by client, and providing authenticity and integrity of objects by asymmetrical or symmetrical safety process

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006027799A DE102006027799A1 (en) 2006-06-09 2006-06-09 Data processing method for use in data network, involves seizing services and/resources with objects within validity period by client, and providing authenticity and integrity of objects by asymmetrical or symmetrical safety process

Publications (1)

Publication Number Publication Date
DE102006027799A1 true DE102006027799A1 (en) 2007-12-13

Family

ID=38663863

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006027799A Pending DE102006027799A1 (en) 2006-06-09 2006-06-09 Data processing method for use in data network, involves seizing services and/resources with objects within validity period by client, and providing authenticity and integrity of objects by asymmetrical or symmetrical safety process

Country Status (1)

Country Link
DE (1) DE102006027799A1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040093515A1 (en) * 2002-11-12 2004-05-13 Microsoft Corporation Cross platform network authentication and authorization model

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040093515A1 (en) * 2002-11-12 2004-05-13 Microsoft Corporation Cross platform network authentication and authorization model

Similar Documents

Publication Publication Date Title
DE19722424C5 (en) Method of securing access to a remote system
DE602004012870T2 (en) METHOD AND SYSTEM FOR USER AUTHENTICATION IN A USER-PROVIDER ENVIRONMENT
DE60006451T2 (en) Distributed authentication mechanisms for handling different authentication systems in a company computer system
DE60102934T2 (en) PROCEDURE AND SYSTEM FOR MEETING-BASED AUTHORIZATION AND ACCESS CONTROL FOR NETWORKED APPLICATION OBJECTS
DE69825801T2 (en) Apparatus and method for enabling equal access control in a network
EP2159653B1 (en) Method for assigning access authorisation to a computer-based object in an automation system, computer program and automation system
EP3764614B1 (en) Distributed authentication system
DE19741239C2 (en) Generalized security policy management system and procedures
DE60212969T3 (en) METHOD AND DEVICE FOR FOLLOWING THE STATUS OF AN OPERATING MEANS IN A SYSTEM FOR MANAGING THE USE OF THE OPERATING MEANS
DE112020000538T5 (en) FINE-GRAINED TOKEN-BASED ACCESS CONTROL
DE10125955C2 (en) Authorization check for intelligent agents via a positioning system
DE112011102224B4 (en) Identity mediation between client and server applications
WO2013017394A1 (en) Access control for data or applications of a network
DE10024347B4 (en) Security service layer
WO2013152986A1 (en) Secure generation of a user account in a service server
WO1999012088A1 (en) Method for controlling distribution and use of software products with network-connected computers
EP3152880A1 (en) Method for communication between secured computer systems, computer network infrastructure and computer program product
EP3376419A1 (en) System and method for electronically signing a document
DE102006027799A1 (en) Data processing method for use in data network, involves seizing services and/resources with objects within validity period by client, and providing authenticity and integrity of objects by asymmetrical or symmetrical safety process
EP4193567A1 (en) Method for securely equipping a vehicle with an individual certificate
EP1624350B1 (en) Method for authentication in an automation system
WO1998002991A1 (en) Key distribution process between two units in an isdn/internet connection
DE10006062C2 (en) keyboard keys
WO2017190857A1 (en) Method and device for protecting device access
EP2436166B1 (en) Service interface

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021220000

Ipc: G06F0021100000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021220000

Ipc: G06F0021100000

Effective date: 20121211

R012 Request for examination validly filed
R073 Re-establishment requested
R074 Re-establishment allowed
R005 Application deemed withdrawn due to failure to request examination

Effective date: 20130611

R012 Request for examination validly filed

Effective date: 20130610

R074 Re-establishment allowed

Effective date: 20130812

Effective date: 20130809

R016 Response to examination communication