DE19960978A1 - System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Suchen und Abrufen von Daten - Google Patents
System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Suchen und Abrufen von DatenInfo
- Publication number
- DE19960978A1 DE19960978A1 DE19960978A DE19960978A DE19960978A1 DE 19960978 A1 DE19960978 A1 DE 19960978A1 DE 19960978 A DE19960978 A DE 19960978A DE 19960978 A DE19960978 A DE 19960978A DE 19960978 A1 DE19960978 A1 DE 19960978A1
- Authority
- DE
- Germany
- Prior art keywords
- electronic data
- access
- agent program
- data file
- document
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
Wenn ein elektronisches Dokument zur Revision durch andere Stellen verfügbar gemacht wird, ist es oft vorteilhaft, das Dokument in einem von einer dritten Partei verwalteten Archiv oder einer von einer dritten Partei verwalteten Datenbank zu speichern. Es wird ein System zur Verfügung gestellt, in dem die Stellen, die vom Urheber eines Dokuments die Berechtigung zum Zugriff auf dieses Dokument im Datenarchiv erhalten haben, sicher nach dem im Archiv einer dritten Partei aufbewahrten Dokument suchen können, ohne dass sie darauf vertrauen müssen, dass der Verwalter des Archiv sichere Information über ihre Zugriffsrechte liefert. Der Dokumenturheber, der Archivverwalter und alle Stellen, die Zugriffsrechte auf Daten im Archiv besitzen, haben Tresorumgebungen, die sichere Erweiterungen ihrer betreffenden Arbeitsbereiche sind. Der Tresor des Dokumenturhebers verwaltet für jedes im Archiv deponierte Dokument eine Zugriffskontroll-Liste (ACL). Der Tresor jeder Stelle, die Zugriffsrechte auf Dokumente im Archiv besitzt, verwaltet eine Fähigkeitsliste der Zugriffsrechte der betreffenden Stelle auf alle im Archiv gespeicherten Dokumente. Die Stelle selber bewahrt auf ihrem eigenen Arbeitsplatz einen Beweis der neuesten Version ihrer Fähigkeitsliste auf. Wenn die ACL für ein Dokument im Tresor des Dokumenturhebers aktualisiert wird, stellt der Tresor des Urhebers fest, welche Stellen von der Änderung betroffen sind, und überträgt die Änderungen an die Tresore der betroffenen ...
Description
Die vorliegende Erfindung betrifft das Gebiet der
elektronischen Datenspeicherung und liefert speziell ein
sicheres Datenarchiv- und -austauschsystem, das von einer
dritten Partei, die die Funktion eines Verwalters ausübt,
verwaltet wird, und in dem eine Zugriffskontrolle beim
Suchen und Abrufen von Daten erzwungen wird.
Neuere parallele Fortschritte in der Netzwerkkommunikation
und der PKI-Technologie (public key infrastructure -
Infrastruktur öffentlicher Schlüssel) haben bewirkt, dass
Unternehmen und Institutionen beginnen, elektronische
Dokumentation zur Aufzeichnung und für Transaktionen
jeglicher Art einzusetzen. Mit Verbesserungen bei der
Integrität und Sicherheit der Übertragung kann
zuversichtlich davon ausgegangen werden, dass Dokumente, die
elektronisch über das Internet und andere offene Netzwerke
gesendet werden, intakt und unverfälscht ankommen.
Datenbankverwaltungssysteme, die mit modernen
Computerspeichern mit einer Kapazität von mehreren Gigabyte
gekoppelt sind, haben es Unternehmen und Institutionen
ermöglicht, auf die Aufbewahrung von Dokumenten in
Papierform zu verzichten, deren Masse Immobilienkosten
verursacht.
Typischerweise müssen Daten, die von einer Stelle stammen,
aus verschiedenen Gründen an eine andere übertragen werden,
z. B. zur Aufbewahrung, zur Prüfung usw. Die Datenelemente
könnten in Form unstrukturierter Dokumentdateien oder
strukturierter Datensätze vorliegen wie z. B. Konto- und
andere Finanzinformationen. Im Beispiel unstrukturierter
Daten kann es notwendig sein, ein Dokument zum Zweck der
Prüfung vom Ursprungssystem an andere Computer im gleichen
System oder an Computer auf anderen Systemen zu schicken.
Dies könnte gleichermaßen in einer Geschäftssituation (z. B.
einem Vorschlag für ein Joint Venture oder einer komplexen
Angebotsausschreibung) wie auch in einer Institution (z. B.
wenn eine Dissertation von akademischen Beratern überprüft
wird, bevor sie einer Prüfungskommission vorgelegt wird)
vorkommen. Das Dokument ist elektronisch erstellt worden, da
auf diese Weise Überarbeitungen und Einfügungen (speziell
wenn sie umfangreich sind) leicht eingearbeitet werden
können, ohne dass jedesmal das gesamte Dokument neu getippt
werden muß.
Wenn das Dokument in elektronischer Form vorliegt, kann es
auch leichter überprüft werden, weil es in dieser Form
leichter zu übertragen ist. Vorgesehene Betrachter können
feststellen, dass ein Dokument verfügbar ist, indem sie das
System durchsuchen, nachdem ihnen der Zugriff auf den
Speicherort des Dokuments gewährt worden ist.
Es gibt mehrere Gründe, z. B. Sicherheit, Datenintegrität und
System- oder Netzwerkverfügbarkeit, weshalb der
Dokumenturheber ein Dokument nicht lokal speichern will,
wenn dies bedeutet, dass hinter der Firewall Dritten Zugriff
gewährt wird. Diese Gründe werden in unserer gleichzeitig
eingereichten Patentanmeldung mit dem Titel "System for
Electronic Repository of Data Enforcing Access Control on
Data Retrieval" (IBM Docket No. CA998-030), das gemeinsam
übertragen wurde und hiermit durch Bezugnahme des
vorliegenden Dokuments ist, ausführlicher beschrieben.
Unsere gleichzeitig eingereichte Anmeldung betrifft ein
System, in dem die Integrität der und der Zugriff auf die in
einem Archiv gespeicherten Daten unabhängig von Aktionen der
als Verwalter des Archivs agierenden dritten Partei
verwaltet wird.
Die in der genannten Anmeldung beschriebene Erfindung ist
bei Systemen mit einer großen Anzahl von Dokumenten, die für
eine große Anzahl von Benutzern zugänglich sind, sehr
effizient, da die Information über den autorisierten Zugriff
auf die Dokumente an einer einzigen, zentralen Stelle
gespeichert werden, und zwar im Archiv selber. Benutzer
erhalten durch systemexterne Mittel sichere Kenntnis ihres
Zugriffs auf Dokumente.
Die vorliegende Erfindung ist eine Abwandlung, in der das
System selber die Information über den autorisierten Zugriff
enthält, die auch sicher vor Aktionen der als Verwalter des
Archivs agierenden dritten Partei ist.
Es ist deshalb eine Aufgabe der vorliegenden Erfindung, ein
System zur elektronischen Speicherung und zum elektronischen
Austausch von Dokumenten zur Verfügung zu stellen, in dem
die Dokumente physisch in einem von einer dritten Partei
verwalteten Archiv gespeichert werden, in dem die Benutzer
aber suchen können, um festzustellen, auf welche Dokumente
im Archiv sie zugreifen können.
Eine weitere Aufgabe der Erfindung besteht darin, ein System
zur Verfügung zu stellen, in dem die Integrität der im
Archiv gespeicherten Informationen über autorisierte
Zugriffe im System verfügbar, aber nicht von Aktionen der
dritten Partei, die das Archiv verwaltet, abhängig ist.
In einem Aspekt hat die vorliegende Erfindung also ein
sicheres System zum Suchen elektronischer Datendateien in
einem Datenarchiv zum Ziel. Das System besteht aus einer
Kommunikationsumgebung, in der ein erstes Agentenprogramm
für einen Computer, der eine elektronische Datendatei im
Datenarchivsystem deponiert, und ein zweites Agentenprogramm
für einen ersten Benutzercomputer mit Zugriffsrecht auf die
elektronische Datendatei vorhanden ist. In einer
Nachweisliste für die elektronische Datendatei sind
Zugriffskontrollen für die elektronische Datendatei
aufgeführt. Die Nachweisliste ist für ein erstes
Agentenprogramm zugänglich und wird von diesem verwaltet.
Der erste Benutzercomputer besitzt eine Aufzeichnung seiner
Zugriffsrechte auf die elektronische Datendatei, die für das
zweite Agentenprogramm zugänglich ist und von diesem
verwaltet wird. Wenn an der Nachweisliste Änderungen
vorgenommen werden, die die Zugriffsrechte des ersten
Computers auf die elektronische Datendatei betreffen, werden
diese Änderungen vom ersten Agentenprogramm an das zweite
Agentenprogramm übertragen, so dass die Aufzeichnung des
ersten Benutzercomputers über seine Zugriffsrechte
aktualisiert werden kann. Das erste Agentenprogramm ist auch
in der Lage, die Zugriffsrechte des ersten Benutzercomputers
auf die elektronische Datendatei zu prüfen, bevor die
elektronische Datendatei für das zweite Agentenprogramm
freigegeben wird.
In einem weiteren Aspekt bietet die Erfindung ein Verfahren
für eine sichere elektronische Datensuche in einem
elektronischen Datenarchiv in einem System mit einer
Nachweisliste, in der Zugriffsrechte auf die elektronische
Datendatei im Datenarchiv aufgeführt sind, und einer
Aufzeichnung, in der Dokumentzugriffsrechte für jeden
Computer mit Zugriff auf die im Archiv gespeicherten
elektronischen Daten aufgeführt sind. Das Verfahren besteht
aus der Aktualisierung einer Nachweisliste für eine im
Archiv gespeicherte elektronische Datendatei, der
Identifikation aller von der Aktualisierung betroffenen
Computer mit geändertem Zugriffsrecht auf die elektronische
Datendatei, die Übertragung der Änderung des Zugriffsrechts
an alle betroffenen Computer, die Aktualisierung der
Zugriffsrecht-Aufzeichnungen aller betroffenen Computer und
die Übertragung der aktualisierten Zugriffsrecht-
Aufzeichnungen an die betroffenen Computer.
In einem weiteren Aspekt bietet die Erfindung ein sicheres
System zum Suchen in einem Datenarchivsystem gespeicherter
elektronischer Daten, das Mittel besitzt, um einen Nachweis
zu führen, in dem Zugriffskontrollen für jede im Archiv
gespeicherte elektronische Datendatei aufgeführt sind, und
außerdem Mittel, um den Zugriff auf jeden Nachweis auf einen
Computer mit Deponierungsrecht zu beschränken, Mittel, um
eine Aufzeichnung zu führen, in der Zugriffsrechte auf die
elektronischen Datendateien für jeden Computer mit
Zugriffsrecht auf mindestens eine elektronische Datendatei
im Datenarchiv aufgeführt sind, und Mittel zum Aktualisieren
der Aufzeichnung für jeden Computer, der von einer
Zugriffsrechtänderung in einem Nachweis betroffen ist.
In der Erfindung werden auch Datenträger bereitgestellt, die
mit Programmcode zur Realisierung des oben beschriebenen
Systems oder Verfahrens codiert sind.
Im folgenden werden Ausführungsbeispiele der Erfindung
ausführlich in Verbindung mit den beigefügten Zeichnungen
beschrieben. Die Zeichnungen haben folgenden Inhalt:
Fig. 1 ist eine Schemazeichnung von einem
Dokumentarchivsystem, das von einer dritten Partei verwaltet
wird.
Fig. 2 ist eine Schemazeichnung, ähnlich wie Fig. 1, in
der ein Tresor-Dokumentarchivsystem dargestellt ist, das in
der bevorzugten Ausführungsform der vorliegenden Erfindung
verwendet wird.
Fig. 3 ist ein Flußdiagramm des
Dokumenterstellungsverfahrens gemäß der Erfindung.
Fig. 4, bestehend aus Fig. 4A und Fig. 4B ist ein
Flußdiagramm des Dokumentabrufverfahrens gemäß der
Erfindung.
Fig. 5A und 5B sind Flußdiagramme eines Verfahrens, gemäß
der bevorzugten Ausführungsform der Erfindung, das für die
Unveränderlichkeit der Zugriffskontrolle für Dokumentsuche
und -abruf sorgt.
Fig. 6 schließlich ist ein Flußdiagramm eines
erfindungsgemäßen Verfahrens zur Zuordnung von
Eignerzugriffsrechten auf gespeicherte Dokumente.
Eine konventionelle Anordnung für ein Dokumentarchivsystem,
bei dem eine dritte Partei als Verwalter agiert, ist in
Fig. 1 dargestellt. Ein Dokumenturheber 100 kann Dokumente
über seine Verbindung 102 mit einem fernen
Dokumentarchivdienst 104, z. B. einer von einer dritten
Partei verwalteten Datenbank, deponieren. Als Eigner der
deponierten Dokumente kann der Urheber 100 Zugriffsrechte
auf die Dokumente zuweisen. Der Urheber eines Dokuments kann
beispielsweise festlegen, dass ein Geschäftspartner 106 die
"Lese"-Berechtigung hat, d. h. dass er das Dokument über
seine Verbindung 108 mit dem Dokumentarchivdienst 104
abrufen, aber nicht ändern darf.
In solchen konventionellen Systemen ist das vom Urheber 100
deponierte Dokument normalerweise nicht verschlüsselt, so
dass der Geschäftspartner 106 das Dokument auf Verlangen
prüfen kann. Der Grund dafür ist, dass es nach dem Stand der
Technik Probleme mit der Dechiffrierung von Dokumenten gibt.
Für die Dechiffrierung eines Dokuments ist der Zugriff auf
den privaten Schlüssel des Dokumenturhebers 100
erforderlich. Um den Zugriff auf seinen privaten Schlüssel
zu ermöglichen, muß der Dokumenturheber 100 entweder selber
zu allen Zeiten, zu denen möglicherweise eine Dechiffrierung
angefordert werden könnte, online erreichbar sein, um die
Dechiffrierung selber vorzunehmen (die Frage der
Systemverfügbarkeit), oder er muß im voraus einen Plan
entwickeln, um seinen privaten Schlüssel dem
Geschäftspartner 106 direkt oder über einen
vertrauenswürdigen Proxy-Server (nicht dargestellt) zukommen
zu lassen.
In der US-Patentschrift Nr. 5,491,750 der International
Business Machines Corporation, mit dem Titel "Method and
Apparatus for Three-Party Entity Authentication and Key
Distribution Using Message Authentication Codes", wird ein
System beschrieben, das die Verteilung privater
Sitzungsverwaltungsschlüssel ermöglicht, die von zwei oder
mehr Kommunikationspartnern gemeinsam benutzt werden können,
nachdem die Kommunikationspartner durch einen
vertrauenswürdigen Vermittler authentifiziert worden sind.
Die so erzeugten Schlüssel und andere ähnliche sind aber
kurzlebig und ihre Verwendung sollte auf das absolut
Notwendige beschränkt werden. Es ist nicht klar, dass ein
solches Konzept geeignet wäre, Dechiffrierschlüssel in einem
Dokumentrevisionssystem mit einem dauerhaften Dokumentarchiv
sicher zwischen Kommunikationspartnern zu übertragen.
In konventionellen Systemen, in denen Dokumente für einige
Zeit deponiert werden und nicht chiffriert sind (Fig. 1),
muß darauf vertraut werden, dass die dritte Partei, die den
Archivdienst 104 verwaltet, die Integrität des Dokuments
bewahrt.
Das Dokumentarchivsystem in der bevorzugten Ausführungsform
der vorliegenden Erfindung ist mit dem Produkt IBM Vault
Registry erstellt, das Gegenstand der US-Patentanmeldung Nr.
980,022 mit dem Titel "Secure Server and Method of Operation
for a Distributed Information System", eingereicht am 26.
November 1977 und der IBM Corporation übertragen, ist. U. S.
Die Patentschrift Nr. 980,022 ist hiermit durch Bezugnahme
Teil des vorliegenden Dokuments. Das Produkt IBM Vault
Registry bietet eine erweiterte Webserver-Umgebung, die eine
sichere Erweiterung, einen sogenannten Tresor, der
Klientenumgebung implementiert. Dieses System vertraut auf
die im Hintergrund der Erfindung beschriebene moderne
Übertragungstechnologie, dass die elektronische Übertragung
von Dokumenten und anderen Daten intakt und fehlerfrei
ankommt. Ressourcen in einem Client-Tresor sind nur
verfügbar, wenn der Zugriff vom Client mit einer starken
Authentifizierung mit Hilfe von zertifizierten öffentlichen
Schlüsseln erfolgt. Abhängig von der Umgebung kann der
Zugriff über den Web-Browser des Client erfolgen.
Der Informationsgehalt des Tresors ist aus Gründen der
Vertraulichkeit chiffriert. Jeder Tresor auf einem Server
besitzt einen eindeutigen Chiffrierschlüssel und
Mechanismen, die den Zugriff auf die Schlüssel verhindern,
sofern er nicht über den vom Eigner des Tresors genehmigten
vertrauenswürdigen Pfad, z. B. einen Browser, erfolgt.
Programme, die in einem Tresor laufen, sind durch
Betriebssystemdienste isoliert, um folgendes zu
gewährleisten:
- a) dass sie in einem Prozeß mit einer Systemidentität (einem virtuellen Logon) laufen, so dass die Identität abhängigen Prozessen zur Verfügung steht, ohne dass eine Änderung durch ein im Tresor laufendes Programm möglich ist;
- b) dass sie auf den Dateninhalt des Tresors, in dem sie laufen, zugreifen können - aber auf keinen anderen;
- c) dass sie vom Eigner des Tresors für die Ausführung im Tresor genehmigt werden; und
- d) dass sie signiert sind, um Manipulationen und Angriffe durch sog. "Trojanische Pferde" zu verhindern.
Programme, die in einem Tresor laufen, können Informationen
in dem gleichen Tresor oder in anderen Tresoren, die
gegenseitig sicheren Zugriff ihre öffentlichen Schlüssel
haben, deponiert werden. Normalerweise befinden sich diese
Tresore auf dem gleichen Tresorserver, sie können aber auch
auf verschiedenen Tresorservern mit Zugriff auf eine
gemeinsame Zertifizierungsstelle liegen, die die Information
zum öffentlichen Schlüssel liefert. Im Zusammenhang mit
einem Tresorarchiv kann "deponieren" verschiedenes bedeuten.
In einer Implementierung kann "deponieren" die Chiffrierung
der Daten im Chiffrierschlüssel des Zieltresors und die
Signierung der Daten im Signierschlüssel des deponierenden
Tresors bedeuten. Tresorprogramme können nicht direkt auf
Chiffrier- oder Signierschlüssel zugreifen. Dies geschieht
über eine API. Optional kann die "Deponierungs"-Funktion
Informationen in eine Warteschlange im Zieltresor schreiben.
Eine andere Option bietet einen "Deponierungsbeweis", der
bestätigt, dass die Information deponiert wurde, und dass
ein Programm im Zieltresor die Daten geöffnet hat. All diese
"Deponierungs"-Funktionen bieten ein Mittel, um
Informationen so zwischen Tresoren auszutauschen, dass:
- a) ihr Ursprungsprozeß nicht geleugnet werden kann;
- b) ihr Inhalt nicht von denen, die die Interprozeßkommunikationspuffer inspizieren, eingesehen werden kann; und
- c) die Zustellung gewährleistet ist.
Wenn eine Anwendung keine Daten in die Warteschlange des
Zieltresors stellen will, kann sie sich dafür entscheiden,
die Information in einer Datei oder Datenbank zu speichern
oder andere Systemdienste zu benutzen, die die Daten als
"undurchsichtiges" Element behandeln können (z. B.
Serialisierung für die Fortdauer des Objekts). Diese
undurchsichtige Information kann mit Standardverfahren zum
Zweck der Sicherung und Wiederherstellung verwaltet werden.
Ihr Inhalt kann jedoch nur von einem im Kontext des
Eignertresors laufenden Programm mit Hilfe der
Sicherverwahrungs-Anwendungsprogrammschnittstelle
dechiffriert werden. Mit dem Produkt IBM Vault Registry
wurde die bevorzugte Ausführungsform der Erfindung
entwickelt wie in Fig. 2 schematisch dargestellt.
Wie in dem System aus Fig. 1 kann auch in dem in Fig. 2
dargestellten Konzept ein Dokumenturheber 200 Dokumente über
seine Verbindung 202 zu einem Dokumentarchivdienst 204
Dokumente deponieren und als Eigner der deponierten
Dokumente dritten Parteien 206, z. B. Geschäftspartnern, die
über ihre eigenen Netzwerkverbindungen 208 auf die Dokumente
im Dokumentarchivdienst 204 zugreifen können, Zugriffsrechte
auf die Dokumente zuordnen. Anders als bei dem oben
beschriebenen System sind die Benutzer des
Dokumentarchivsystems aber nicht gezwungen, darauf zu
vertrauen, dass die dritte Partei die Integrität der im
Archiv hinterlegten Dokumente bewahrt.
Das Dokumentarchivsystem 204 in der bevorzugten
Ausführungsform besteht aus zwei Komponenten, einem
Anwendungsserver 210 und einem Tresor-Controller 214. Der
Anwendungsserver (AS) ist ein Programm zur Verwaltung des
Datenbankarchivs 212, das sich auf dem gleichen System oder
auf einem fernen System in einem abgeschlossenen Netzwerk
befindet. Der Tresor-Controller 214 enthält mehrere
Komponenten: Benutzertresore 216, 218, die individuell den
Dokumenturhebern 200 und Geschäftspartnern 206 zugeteilt
sind, einen AS-Tresor 220, der dem Anwendungsserver 210
zugeteilt ist, und ein Tresor-Überwachungsprogramm 222.
Ein Benutzertresor 216 oder 218 ist nur für den Benutzer
(Dokumenturheber 200 oder Geschäftspartner 206) zugänglich,
dem der Tresor zugeordnet ist, und nur nach ordnungsgemäßer
Authentifikation. Die einzelnen Tresore haben keinen
direkten Zugriff auf die Dokumentdatenbank 212; der Zugriff
erfolgt über den AS-Tresor 220 und den Anwendungsserver 210.
Die Anwendungsserver-Komponente 210 läuft nicht auf einer
vertrauenswürdigen Computerbasis, sondern kann auf jeder
beliebigen Plattform ausgeführt werden. Der Anwendungsserver
besitzt eine Gegenkomponente, die im AS-Tresor 220, der ihm
im Tresorserver 214 zugeteilt ist, läuft. Der AS-Tresor 220
kann mit dem Anwendungsserver 210 kommunizieren und hat über
den Anwendungsserver Zugriff auf die Dokumentdatenbank 212.
Fig. 3 ist ein Flußdiagramm des
Dokumenterstellungsprozesses gemäß der bevorzugten
Ausführungsform der Erfindung. In der Umgebung von IBM Vault
Registry ist ein persönlicher Tresor im Prinzip eine sichere
Erweiterung der Umgebung des Tresoreigners. Die Interaktion
zwischen den Prozeßschritten in Fig. 3 ist deshalb zwischen
den Tresoren des Dokumenturhebers und des Anwendungsservers
dargestellt.
Wenn ein Dokument in dem Datenarchiv erstellt wird, wird es
zuerst vom Arbeitsplatz des Benutzers, der es erstellt hat
oder sein Urheber ist, in den persönlichen Tresor des
Benutzers (Dokumenturhebers) gesendet (Block 300), wo das
Dokument mit dem privaten Signierschlüssel des
Benutzertresors "signiert" wird (Block 302).
Mit einer elektronischen Signatur eines Datenelementes
garantiert der Signierende die Integrität des
Datenelementes. Eine Signatur kann berechnet werden, indem
zuerst ein Digest des Datenelementes berechnet wird. Das
Digest ist eine relativ kleine Struktur (z. B. 128 Bit für
eine MD2- oder MD5-Zusammenfassung) mit bestimmten
Eigenschaften, um die Sicherheit zu gewährleisten. Erstens
ist sie eine Einwegfunktion, d. h. aus einem Digest kann das
Originaldokument, aus dem es hervorgegangen ist, nicht
reproduziert werden. Außerdem ist es unmöglich (oder
computertechnisch nicht machbar), zu einem Digest ein
zweites Vor-Bild zu finden, das das gleiche Digest hat.
Ferner ist das Digest auch kollisionsresistent. Das heißt,
es ist äußerst unwahrscheinlich, dass zwei verschiedene Vor-
Bilder das gleiche Digest erzeugen.
Das Digest des Datenelementes wird dann mit dem privaten
Signierschlüssel der Benutzertresoranwendung chiffriert
(Block 304). In der bevorzugten Ausführungsform wird sowohl
ein symmetrisches als auch ein asymmetrisches
Kryptoghraphieverfahren mit öffentlichem Schlüssel benutzt.
Bei der Kryptographie mit öffentlichem Schlüssel besitzt
eine Anwendung zwei Schlüssel, einen öffentlichen und einen
privaten, die als Schlüsselpaar bezeichnet werden. Der
private Schlüssel wird von der Anwendung lokal gespeichert
und wird weiter unten ausführlicher beschrieben. Der
öffentliche Schlüssel ist für alle Benutzer zugänglich, in
der Regel über einen Verzeichnisdienst, z. B. X500. Die
Verteilung öffentlicher Schlüssel ist in Fachkreisen bekannt
und wird in der vorliegenden Spezifikation nicht weiter
erläutert.
Wenn eine Kryptographie mit öffentlichem Schlüsse l verwendet
wird, kann ein mit dem öffentlichen Schlüssel chiffriertes
Datenelement nur mit dem zugehörigen privaten Schlüssel
dechiffriert werden. Entsprechend kann ein mit dem privaten
Schlüssel chiffriertes Datenelement nur mit dem öffentlichen
Schlüssel dechiffriert werden.
In einer Technologie mit symmetrischem Schlüssel wird für
Chiffrierung und Dechiffrierung derselbe Schlüssel
verwendet. In der derzeitigen Praxis erfolgen
Chiffrierung/Dechiffrierung und Schlüsselgenerierung bei der
Technologie mit symmetrischem Schlüssel wesentlich schneller
als bei der asymmetrischen Technologie mit öffentlichem
Schlüssel.
Daten werden normalerweise mit einem nach dem Zufallsprinzip
generierten symmetrischen Schlüssel chiffriert. Dann wird
der symmetrische Schlüssel selber mit dem öffentlichen
Chiffrierschlüssel des Benutzers chiffriert und mit dem
Dokument gespeichert, so dass er Teil des Dokuments wird.
In Fig. 3 wird das chiffrierte Dokument und die
elektronische Signatur zum Zweck der Aufbewahrung an den
Tresor des Anwendungsservers gesendet (Block 306). Nach
Empfang des chiffrierten Dokuments (Block 308) beglaubigt
die im Tresor des Anwendungsservers laufende Anwendung die
Signatur (Block 310), indem sie mit ihrem eigenen
privaten Signierschlüssel noch einmal signiert.
Die Beglaubigung einer Signatur in einem elektronischen
Kontext bedeutet, dass eine dritte Partei, die als "Notar"
fungiert, den Inhalt einer Signatur zertifiziert. (Die
Begriffe "Notar" und "beglaubigen" haben in dieser
Spezifikation nicht den vollen Bedeutungsumfang aller
Pflichten die einem Notariat von einer Regierungsbehörde
übertragen werden.) Allgemein erfolgt eine elektronische
Beglaubigung einer Signatur als zusätzliche
Vorsichtsmaßnahme, um eine spätere unberechtigte Änderung
der Signatur zu verhindern. Im Fall der vorliegenden
Erfindung verhindert die Beglaubigung einer digitalen
Signatur des Benutzers, dass dieser das Originaldokument im
Dokumentarchiv ersetzt oder ändert. Eine Prüfung der
beglaubigten Signatur des Dokuments würde jegliche
Inkonsistenz ans Tageslicht bringen.
Eine beglaubigte elektronische Signatur enthält zwei
Informationen, nämlich die Signatur des betreffenden
Datenelements durch den Urheber und die Signatur der
Urhebersignatur durch den Notar. Die Signatur des Notars
sollte über die Urhebersignatur und den aktuellen
Zeitstempel berechnet werden.
Die Anwendung, die im Tresor des Anwendungsservers läuft,
signiert dann das von ihr empfangene Dokument (Block 312).
Da die Daten, die er vom Dokumenturheber empfängt,
chiffriert sind, kennt der Anwendungsserver faktisch den
Inhalt des Dokuments nicht. Deshalb wird gemäß der Erfindung
diese zweite Signatur über das chiffrierte Dokument und die
beglaubigte Urhebersignatur berechnet. Die Signatur des
Anwendungsservers stellt einen Empfangsbeweis dar, der dem
Dokumenturheber (demjenigen, der das Dokument deponiert),
beweist, dass der Archivdienst das Dokument empfangen hat.
Die Erstellung des Dokuments im Archiv kann dann später
nicht mehr vom Archivdienst geleugnet werden.
Das chiffrierte Dokument, die beglaubigte Urhebersignatur
und der Empfangsbeweis werden im Archiv des
Anwendungsservers oder in der Anwendungsdatenbank
gespeichert (Block 314). Der Empfangsbeweis wird an den
Tresor des Dokumenturhebers gesendet (Block 316). Der Tresor
des Dokumenturhebers prüft die Richtigkeit des
Empfangsbeweises (Block 318), indem die Signatur des
chiffrierten Dokuments überprüft wird. Der Tresor des
Dokumenturhebers prüft auch die Aktualität des Zeitstempels
in der beglaubigten Signatur (Block 320). Die Toleranz für
den Zeitstempel hängt von der Anwendung ab. Wenn bei einer
dieser Prüfungen ein Fehler erkannt wird, wird eine
Fehlermeldung an den AS-Tresor gesendet (Block 322) und im
System protokolliert. Wenn der Empfang korrekt und aktuell
ist, sendet die Anwendung, die im Tresor des Benutzers
läuft, den Empfangsbeweis an den verursachenden Benutzer
zurück (Block 324), damit sie für eine spätere Referenz in
einem lokalen Cache gespeichert wird, falls bewiesen werden
muß, dass das Dokument im Archiv gespeichert worden ist.
Es ist möglich, dass der Dokumenturheber das Dokument mit
einem eigenen Verfahren signieren und/oder chiffrieren kann,
bevor er es zur Speicherung in seinen Tresor sendet. Das
Dokumentarchiv beachtet den Inhalt des zu speichernden
Dokuments aber nicht. Ein chiffriertes Dokument wird deshalb
vom Tresor des Benutzers erneut signiert und chiffriert, wie
jedes andere Dokument.
Fig. 4 ist ein Flußdiagramm, in dem dargestellt ist, welche
Schritte gemäß der bevorzugten Ausführungsform der Erfindung
ausgeführt werden müssen, damit das Dokument von einem
anfordernden Benutzer abgerufen werden kann, der unter einem
von Dokumenturheber verwalteten Nachweistyp, der als
Zugriffskontroll-Liste (ACL) bezeichnet wird, autorisiert
worden ist. Wie in Fig. 3 sind die Verfahrensschritte
zwischen drei Aktoren, nämlich Benutzer, Anwendungsserver
und Anforderer, aufgeteilt, auf der Basis, dass deren
persönliche Tresore im Prinzip sichere Erweiterungen ihrer
betreffenden Arbeitsbereiche sind.
In Fig. 4A stellt der Benutzer an seine Tresoranwendung
eine Anforderung, ein Dokument aus dem
Anwendungsserverarchiv abzurufen (Block 400), und seine
Tresoranwendung sendet dann ihrerseits die
Dokumentabrufanforderung an den Anwendungsserver-Tresor
(Block 402).
Die Tresoranwendung des Anwendungsservers empfängt die
Zugriffsanforderung (Block 404) und ruft das chiffrierte
Dokument und die beglaubigte Signatur aus der
Anwendungsdatenbank ab.
Die Tresoranwendung des Anwendungsservers sendet das
chiffrierte Dokument und die beglaubigte Signatur an den
Tresor des Dokumenturhebers. Der Tresor des
Anwendungsservers sendet auch die Identität des anfordernden
Benutzertresors an den Tresor des Urhebers (Block 408).
Der Tresor des Urhebers prüft, ob der anfordernde Benutzer
die Berechtigung zum Abrufen des Dokuments besitzt (Block
410). In der bevorzugten Ausführungsform wird die
Dokumentzugriffskontrolle durch Zugriffskontroll-Listen
aktiviert, mit denen der Zugriff auf das Dokument auf
autorisierte Stellen beschränkt wird. Eine Zugriffskontroll-
Liste (ACL) ist einem Dokument zugeordnet und wird im Tresor
des Dokumenturhebers gespeichert und verwaltet wie weiter
unten im Zusammenhang mit Fig. 5A und Fig. 6 beschrieben.
Die ACL muß geprüft werden, wenn ein Benutzer eine
Dokumentabrufanforderung sendet. Ein anfordernder Benutzer
erhält nur eine Kopie des Dokuments, wenn er das
Zugriffsrecht besitzt.
In der bevorzugten Ausführungsform der Erfindung können
Fähigkeitslisten benutzt werden, damit anfordernde Benutzer
ihr Zugriffsrecht auf Dokumente im voraus verifizieren
können. In einer Fähigkeitsliste sind alle Dokumente in
einem Archiv aufgeführt, für die ein bestimmter Benutzer das
Zugriffsrecht besitzt. Die Fähigkeitsliste eines
anfordernden Benutzers wird in seinem eigenen Tresor
gespeichert und verwaltet. Der Anfordernde braucht nur diese
Liste durchzusehen, um festzustellen, auf welche Dokumente
er zugreifen kann. Verwendung und Verwaltung der
Fähigkeitslisten werden im Zusammenhang mit Fig. 5B
ausführlicher beschrieben.
Wenn der anfordernde Benutzer keine Zugriffsberechtigung auf
das Dokument besitzt, wird eine Fehlermeldung an den Urheber
gesendet und im System protokolliert (Block 414).
In Fig. 4B wird, wenn der anfordernde Benutzer die
Zugriffsberechtigung für das Dokument besitzt, das Dokument
von der Tresoranwendung des Urhebers dechiffriert (Block
416) und die beglaubigte Signatur überprüft (Block 418). Da
die Originalsignatur des Urhebers über den unchiffrierten
Dokumentinhalt berechnet wurde, können nur diejenigen
Benutzer, die auf den Dokumentinhalt zugreifen können (d. h.
die den privaten Schlüssel des Urhebers besitzen), die
Signatur prüfen. Wenn die empfangene Signatur nicht dem
entspricht, was der Dokumenturheber in seinen eigenen
Dateien stehen hat, ist klar, dass es sich nicht um dieselbe
Version des Dokuments handelt, die deponiert wurde, und der
Urheber sendet eine Fehlernachricht an den Anwendungsserver
(Block 420).
Wenn die Signatur geprüft worden ist, sendet der Urheber das
dechiffrierte Dokument und die beglaubigte Signatur an den
Tresor des anfordernden Benutzers (Block 422).
Nach Empfang des dechiffrierten Dokuments versucht die
Tresoranwendung des anfordernden Benutzers, die beglaubigte
Signatur des Urhebers zu prüfen (Block 424). Wenn der
anfordernde Benutzer sie nicht verifizieren kann, wird eine
Fehlermeldung an den Urheber gesendet und im System
protokolliert (Block 426).
Wenn die beglaubigte Signatur des Urhebers verifiziert
werden kann, signiert der Tresor des Anfordernden die mit
dem Dokument empfangene beglaubigte Signatur. Diese Signatur
wird über die beglaubigte Signatur und über den aktuellen
Zeitstempel berechnet und stellt einen Zustellungsbeweis dar
(Block 428), der belegt, dass der anfordernde Benutzer das
Dokument aus dem Archiv abgerufen hat. Der Tresor des
Anfordernden sendet das dechiffrierte Dokument zusammen mit
dem von ihm generierten Empfangsbeweis an den Arbeitsplatz
des Anfordernden (Block 430). Der Tresor des Anfordernden
sendet auch den Empfangsbeweis an den Anwendungsserver-
Tresor (Block 432). Der Anwendungsserver verifiziert die
Signatur des Anforderertresors auf dem Empfangsbeweis (Block
434). Wenn die Signatur nicht verifiziert werden kann, wird
eine Fehlermeldung an den Urheber gesendet und im System
protokolliert (Block 436). Wenn die Signatur verifiziert
werden kann, speichert der Anwendungsservertresor den Beweis
in den Anwendungsdatenbank, falls der Anwendungsserver
später nachweisen muß, dass der Anfordernde das Dokument
tatsächlich abgerufen hat.
Wie bereits erwähnt besteht in einem Datenarchiv die
Notwendigkeit eine Dokumentzugriffskontrolle. Dies bedeutet,
dass nur die vom Dokumenteigner autorisierten Benutzer
Einsicht in die Dokumente haben, und dass
Dokumentzugriffserlaubnisse nur vom Dokumenteigner (d. h. vom
Urheber) selber und von den Personen, die vom Dokumenteigner
die Berechtigung zum Ändern der Zugriffskontroll-Liste für
das Dokument erhalten haben, geändert werden können. Es ist
wichtig, dass sichergestellt ist, dass selbst der
Archivverwalter nicht in der Lage ist, ohne Autorisierung
durch den Dokumenteigner die Zugriffsberechtigungen für ein
Dokument zu ändern.
Es gibt zwei verschiedene Arten von Anwendungsanforderungen
für die Unveränderlichkeit der Dokumentzugriffskontrolle.
Der Dokumentzugriff muß in folgenden Fällen geprüft werden:
- 1. wenn ein Benutzer eine Suche durchführt, um alle Dokumente zu finden, für die er die Berechtigung zum Betrachten hat und
- 2. wenn ein Benutzer tatsächlich ein Dokument abruft.
Alle Anwendungen müssen die Zugriffskontrolle beim
Dokumentabruf (Zugriffsart 2) erzwingen. Für diese
Zugriffsart muß das Archiv garantieren, dass die
Zugriffskontrolle eines Dokuments nicht von einem nicht
autorisierten Benutzer, z. B. einem Konkurrenten, geändert
werden kann.
In einigen Anwendungen ist es aber nicht erforderlich, dass
ein Benutzer nicht das Dokument abfragen kann, um
festzustellen, welche Dokumente er betrachten darf. Dieses
Wissen kann z. B. offline in geschäftlichen Besprechungen
oder telefonisch übermittelt werden. In einem solchen Fall
weiß der Benutzer bereits, auf welche Dokumente er zugreifen
kann, und seine Kenntnis seines eigenen Dokumentzugriffs
kann nicht von Aktionen des Archivs beeinflußt werden.
Ein System, das die Unveränderlichkeit der Zugriffskontrolle
nur beim Dokumentabruf, aber nicht bei der Dokumentsuche
erzwingt, ist Gegenstand unserer gleichzeitigen Anmeldung
mit dem Titel "System for Electronic Repository of Data
Enforcing Access Control on Data Retrieval" (kanadische
Patentanmeldung 2,256,934). Die diesem System wird die
Zugriffskontrollinformation in der Datenbank bzw. im Archiv
des Anwendungsservers gespeichert.
Eine strengere Form der Unveränderlichkeit der
Zugriffskontrolle, die dort verwendet werden sollte, wo
Benutzer nicht über unabhängige Information über ihren
Dokumentzugriff verfügen, betrifft sowohl die Dokumentsuche
als auch den Dokumentabruf. Für diese Forderung kann die
Zugriffskontrollinformation nicht in der Anwendungsdatenbank
gespeichert werden. Statt dessen wird sie im Tresor des
Dokumenteigners gespeichert. Dieses Schema ist Gegenstand
der vorliegenden Erfindung und wird durch die Flußdiagramme
in Fig. 5 und Fig. 6 illustriert und weiter unten
beschrieben.
In der vorliegenden Ausführungsform ist jedem Dokument eine
Zugriffskontroll-Liste (ACL) zugeordnet, die die
Dokumentzugriffsberechtigung verschiedener Benutzer
festlegt. Außerdem besitzt jeder Benutzer im System eine
Fähigkeitsliste, in der alle gespeicherten Dokumente, von
denen der Benutzer nicht der Eigner ist, auf die er aber
zugreifen kann, identifiziert werden.
Um die Unveränderlichkeit zu garantieren, wird jede ACL im
Tresor des Dokumenturhebers verarbeitet, wie in Fig. 5A
dargestellt, und parallel dazu wird jede Fähigkeitsliste im
entsprechenden Benutzertresor verarbeitet wie in Fig. 5B
dargestellt.
In Fig. 5A stellt der Tresor des Dokumenteigners nach einer
Aktualisierung einer ACL (Block 500) fest, welche Benutzer
von der Änderung betroffen sind (Block 502), und eine
Nachricht, in der die Art der Zugriffsänderung (Hinzufügung,
Erweiterung oder Beschränkung) angegeben wird, wird im
Tresor jedes Benutzers deponiert, dessen Zugriffsrecht auf
das Dokument geändert worden ist (Block 504).
Jeder ACL ist eine Versionsnummer und ein Zeitstempel der
letzten Änderung zugeordnet. Der Tresor des Dokumenteigners
erhöht dann inkrementell die Versionsnummer der ACL (Block
506) und ersetzt deren alten Zeitstempel durch den aktuellen
Zeitstempel (Block 508). Aus der aktuellen Versionsnummer
und dem Zeitstempel, die der ACL jetzt zugeordnet sind, wird
ein Token, das die Unveränderlichkeit der ACL garantieren
soll, erstellt und vom Tresor des Dokumenturhebers signiert
(Block 510). Die ACL wird ebenfalls vom Tresor des
Dokumenturhebers signiert (Block 512).
Das ACL-Token wird dann an den Tresor jedes zum Zugriff auf
das Dokument berechtigten Benutzers gesendet, wo es zur
Speicherung mit der Zugriffsanwendung des Benutzers auf
dessen Arbeitsplatz gespeichert wird (Block 514), damit eine
spätere Verifizierung der ACL möglich ist. Das signierte
Token wird zur Speicherung an den Arbeitsplatz des
Dokumenturhebers gesendet (Block 516). Da der
Dokumenturheber eine Kopie des signierten Tokens besitzt,
wird er letztlich zum Arbiter darüber, ob die Dokument-ACL
aktuell ist oder nicht.
Wenn ein Geschäftspartner ein Dokument abrufen möchte,
sendet die AS-Tresoranwendung das chiffrierte Dokument wie
oben beschrieben an den Tresor des Urhebers (Block 408 in
Fig. 4A). Um die Berechtigung des Anfordernden zu
verifizieren (Block 412 in Fig. 4A), schaut der Tresor des
Dokumenturhebers einfach in der lokal gespeicherten
verifizierten ACL nach, ob der Anfordernde das Zugriffsrecht
auf das angegebene Dokument besitzt. Mit diesem Verfahren
kann niemand die in der Anwendungsdatenbank gespeicherte ACL
ändern, ohne dass dies vom Tresor des Dokumenturhebers
bemerkt wird.
Wie oben beschrieben besitzt jeder Benutzer, der Eigner von
Dokumenten im Archiv ist, auf seinem Arbeitsplatz die
signierten Tokens der korrekten Version jeder ACL. Die ACL-
Versionen im Benutzertresor werden verifiziert, indem das
auf dem Arbeitsplatz des Benutzers gespeicherte Token mit
dem im Benutzertresor gespeicherten verglichen wird. Dieser
Vergleich kann zu verschiedenen Zeiten ausgeführt werden;
eine gute Gelegenheit zur Verifizierung der in einem
Benutzertresor gespeicherten ACLs ist das Logon, so dass
jedesmal, wenn sich ein Benutzer beim System anmeldet, die
ACLs verifiziert werden.
Wenn die Verifizierung der ACL nicht gelingt, kann die
Benutzertresoranwendung automatisch die Verarbeitung
jeglicher Anforderung, ein von der ACL geschütztes Dokument
abzurufen, einstellen. Dieser Zustand der Unveränderlichkeit
des Dokuments würde weiterbestehen, bis der Benutzer
entweder eine neue ACL erstellt oder die vorhandene ACL neu
zertifiziert. Der Prozeß der Rezertifizierung der
vorhandenen ACL würde die Synchronisierung des im
Benutzertresor gespeicherten ACL-Tokens mit dem auf dem
Arbeitsplatz des Benutzers gespeicherten Token einschließen.
Bei jeder Aktualisierung einer ACL werden parallel zu den in
Fig. 5 A aufgeführten Schritten einige andere Schritte
ausgeführt. Diese zusätzlichen Schritte sind in Fig. 5B
dargestellt.
Jeder Benutzertresor ist für die Verwaltung einer
Fähigkeitsliste zuständig, die eine Auflistung aller
Dokumente, auf die der Benutzer zugreifen darf, enthält. Die
Aktualität der Fähigkeitsliste selber wird durch eine
Versionsnummer und einen neuesten Zeitstempel identifiziert.
Wenn eine Nachricht, die eine Änderung der
Zugriffsmöglichkeit eines Benutzers auf ein Dokument (eine
Aktualisierung einer Dokument-ACL) mitteilt, im Tresor des
Benutzers eingeht (Block 520), wird die Fähigkeitsliste im
Tresor des Benutzers automatisch mit Versionsnummer (Block
522) und neuestem Zeitstempel (Block 524) aktualisiert. Über
die Versionsnummer und den Zeitstempel (Block 526) wird ein
Token berechnet, das zur Verifizierung der Richtigkeit der
Fähigkeitsliste verwendet werden kann. Das Token wird vom
Tresor des Benutzers signiert (Block 528), und die
Fähigkeitsliste ebenfalls (Block 530). Das signierte Token
und die signierte Fähigkeitsliste werden im Tresor des
Benutzers gespeichert (Block 532), der Tresor des Benutzers
bewahrt aber die alte Fähigkeitsliste und ihr Token auf, da
das Token für die alte Fähigkeitsliste dem auf dem
Arbeitsplatz des Benutzers gespeicherten Token entspricht,
bis eine Aktualisierung vorgenommen werden kann.
Eine Möglichkeit zur Synchronisation der aktuellen
Fähigkeitsliste mit dem auf dem Arbeitsplatz gespeicherten
Token des entsprechenden Benutzers besteht darin, dies
automatisch zu tun, wenn sich der Benutzer beim System
anmeldet (Block 532). Die Richtigkeit des Tokens auf dem
Arbeitsplatz des Benutzers kann mit dem im Tresor des
Benutzers aufbewahrten alten Token verglichen werden, und
dann kann das aktualisierte Token an den Arbeitsplatz des
Benutzers gesendet werden (Block 534). Sobald das alte Token
auf dem Arbeitsplatz des Benutzers ersetzt worden ist, kann
die alte Fähigkeitsliste und ihr Token aus dem Tresor des
Benutzers gelöscht werden.
Eine andere Alternative zur Aktualisierung des Tokens der
Fähigkeitsliste auf dem Arbeitsplatz des Benutzers (nicht
dargestellt) zu aktualisieren, wäre, dass der Benutzer die
Initative ergreifen muß, um Aktualisierungen der
Fähigkeitsliste seit seiner letzten Anmeldung beim System
festzustellen.
Um die Zusammengehörigkeit von ACLs und den Fähigkeitslisten
sicherzustellen, muß die Umgebung, auf der das System
basiert (z. B. das Produkt IBM Vault Registry) eine
garantierte Nachrichtenzustellung für Nachrichten, die von
einem Tresor in einem anderen deponiert werden, bieten. Die
Garantie der Zustellung einer Fähigkeitsliste kann auch
durch die Anwendung erfolgen, indem z. B. eine Bestätigung
von dem Benutzer, der die Aktualisierung empfängt, gefordert
wird.
Als Resultat dieses Schemas werden ACL und Fähigkeitsliste
von ihren Eignern gespeichert. Keine Partei im System kann
die Zugriffskontroll-Liste eines Dokuments ändern, ohne dass
der Dokumenteigner dies erfährt. Außerdem kann keine Partei
im System das Wissen eines Benutzers über sein Zugriffsrecht
auf ein Dokument (d. h. eine Fähigkeit) ändern, ohne dass der
autorisierte Benutzer dies bemerkt.
Im Gegensatz zu dem Zugriffskontrollschema, das in unserer
oben genannten, gleichzeitig anhängigen Anmeldung
beschrieben wird, wo die Suche im Tresor des
Anwendungsservers stattfindet, erfolgt in der vorliegenden
Erfindung die Suche nach Dokumenten, für die ein Benutzer
die Zugriffsberechtigung besitzt, in der Tresoranwendung des
Benutzers selber.
In manchen Umgebungen muß der Dokumenteigner die Möglichkeit
haben, einer anderen Person die Erlaubnis zum Ändern der
Zugriffsliste des Dokuments zu erteilen. Zum Beispiel wenn
der Eigner nicht da ist, kann ein anderer autorisierter
Benutzer in der Lage sein, die Zugriffskontrolle für das
bestimmte Dokument zu aktualisieren.
In einer bevorzugten Ausführungsform der Erfindung kann die
Aktualisierung von ACLs oder Fähigkeitslisten von anderen
Benutzern im System durchgeführt werden, indem die in Fig.
6 dargestellten Schritte ausgeführt werden.
Zum Beispiel wenn eine Aktualisierung der ACL versucht wird,
muß der Benutzer, der die Aktualisierung vornimmt, in der
Lage sein, das aktuelle signierte Token für die ACL
vorzulegen (Block 600). Das signierte Token wird zum Tresor
des Benutzers gesendet (Block 602), der das signierte Token
an den Tresor des Urhebers übergibt (Block 604). Wenn dem
aktualisierenden Benutzer in der ACL dieses Dokuments keine
Eignerzugriffsrechte zugewiesen worden sind, dann erkennt
der Tresor des Dokumenteigners dies, und er verweigert die
Aktualisierung und sendet eine Fehlermeldung an den Tresor
des Benutzers (Blöcke 606 und 608).
Wenn der Tresor des Urhebers das Zugriffsrecht des
signierenden Benutzers auf das Dokument verifizieren kann,
und wenn festgestellt wird, dass die Versionsnummer und der
Zeitstempel des ACL-Tokens aktuell sind (Block 606), wird
die ACL aktualisiert (Block 610), und ein neues Token wird
generiert und signiert (Block 612) und im Tresor des
Urhebers gespeichert (Block 714). Das neu signierte Token
wird an den Tresor des Dokumenturhebers gesendet (Block
616). Der Tresor des Aktualisierenden sendet das neue Token
zur Speicherung an dessen Arbeitsplatz zurück (Block 618).
Das neu signierte Token kann optional auch zur Speicherung
im Archiv an den Tresor des Anwendungsservers gesendet
werden (Block 620).
Dieses Verfahren verlangt, dass zu jedem Zeitpunkt nur eine
einzige Person eine ACL-Aktualisierung durchführt. Wenn zum
Beispiel ein Dokumenteigner John Urlaub nimmt, kann er einer
Mitarbeiterin Mary erlauben, die ACL seines Dokuments in
seiner Abwesenheit zu aktualisieren, indem er Mary sein
aktuelles Token für die ACL des Dokuments gibt. Mary führt
dann eine ACL-Aktualisierung durch, indem sie das Token
durch ihren Tresor John's Tresor vorlegt. Mary empfängt das
neu signierte Token für die ACL und gibt es John bei seiner
Rückkehr wieder zurück. Nach der Installation des neuen
Tokens kann John selber eine ACL-Aktualisierung vornehmen.
Gelegentlich kann es notwendig sein, dass der Verwalter des
Dokumentarchivs die Dokumentdatenbank aus einem vorherigen
Backup wiederherstellt. Dies kann beispielsweise bei einem
katastrophalen Datenbankfehler, z. B. bei einem
Festplattendefekt, der Fall sein.
Die zu sichernden Daten sind die Dokumente selber, die ACLs
(entweder in der Anwenderdatenbank oder in den
Eignertresoren gespeichert), die Fähigkeitenlisten (für die
Systeme, in denen sie implementiert sind, wie oben
beschrieben), und die Verifikationstokens von ACLs und
Fähigkeitslisten.
Nach einer Rückspeicherung der Daten können Aktualierungen,
die nach der letzten Sicherung vorgenommen wurden, verloren
gegangen sein. Für die Zwecke der vorliegenden Erfindung
könnte es sich dabei auch um ACL- und Fähigkeitslisten-
Aktualisierungen handeln. Wenn dies geschieht, stimmen die
auf den Benutzerarbeitsplätzen gespeicherten
Verifizierungstokens möglicherweise nicht mehr mit den
Tokens in den entsprechenden Tresoren überein, so dass die
Benutzer keinen Zugriff mehr haben. Deshalb wurde als
Standard für die Datenwiederherstellung in verschiedenen
Situationen das folgende System implementiert. Es wird
angenommen, dass die Sicherung zum Zeitpunkt ZEIT1 erfolgte,
und die Rückspeicherung zu einem späteren Zeitpunkt ZEIT2.
Wenn eine vollständige Rückspeicherung der
Dokumentdatenbank, der ACLs, der Fähigkeitslisten und der
entsprechenden in den Tresoren gespeicherten Tokens
durchgeführt wird, können die Benutzer, die vor ZEIT1 auf
ein Dokument zugreifen konnten, dies auch nach ZEIT2 tun.
Dies bedeutet, dass wenn ein Benutzer vor ZEIT1 berechtigt
war, die Berechtigung aber zwischen ZEIT1 und ZEIT2
widerrufen wurde, dieser Benutzer dennoch auf das Dokument
zugreifen kann, bis der Eigner des Dokuments das ACL-Token
prüft. Nach einer vollständigen Datenrückspeicherung sollten
deshalb alle Benutzer eine Prüfung der ACL und der
Fähigkeitsliste durchführen.
Wenn nur die Dokumentdatenbank zurückgespeichert wurde und
die ACLs, die Fähigkeitslisten und die in den Tresoren
gespeicherten Tokens unberührt geblieben sind, können
Benutzer feststellen, dass sie das Zugriffsrecht für ein
Dokument besitzen, das gar nicht in der Datenbank
gespeichert ist, da das Dokument nach ZEIT1 hinzugefügt
wurde, aber nachher bei der Rückspeicherung der Datenbank
verloren gegangen ist. Da alle Tokens aktuell sind, gibt es
keine weiteren Anomalien.
Ein anderer Fall liegt vor, wenn in einem System keine
Fähigkeitslisten benutzt werden, die ACLs aber in der
Anwendungsdatenbank gespeichert werden. Wenn die
Dokumentdatenbank und die ACL zurückgespeichert worden sind,
während die in den Tresoren gespeicherten Tokens nicht
zurückgespeichert wurden, stellen die Benutzer fest, dass
alle Dokumente, deren ACL nach ZEIT1 geändert wurden, nicht
mehr zugänglich sind. Dies kommt daher, dass die ACL-Tokens
in der Anwendungsdatenbank nicht mit den in den Tresoren der
einzelnen Eigner gespeicherten Tokens übereinstimmen. Um
dieses Problem zu lösen, müssen alle Dokumenteigner die ACLs
aktualisieren. Eine Möglichkeit dazu ist, dass der Verwalter
die alten ACLs (die zu ZEIT1 in Kraft waren), den
Dokumenteignern sendet und sie bittet, die entsprechenden
Tokens in ihren Tresoren neu zu installieren. Diese
Aktualisierung wird manuell, nicht automatisch, vorgenommen,
und die Dokumente eines Eigners sind unzugänglich, bis er
die Aktualisierung durchgeführt hat.
In Situationen, in denen Datenbankinkonsistenzen vermieden
werden müssen, kann der Archivverwalter nach einer
Rückspeicherung den Zugriff auf alle Dokumente sperren, bis
der Urheber Fehlerbehebungsmaßnahmen ergriffen hat. Diese
Sperre kann für alle Dokumente im Archiv gelten oder nur für
einen Teil der Dokumente, bei denen die Konsistenz am
kritischsten ist. In diesem Fall muß man sich auf den
Archivverwalter verlassen, um die Konsistenz des Systems zu
wahren. Wie bereits erwähnt hat der Verwalter aber in
keinem Fall die Möglichkeit, Benutzerzugriffsrechte auf ein
Dokument zu erteilen oder zu widerrufen.
In der obigen Beschreibung wurden bevorzugte
Ausführungsformen der vorliegenden Erfindung mittels des
Produkts IBM Vault Registry beschrieben. Dem Fachmann ist
aber klar, dass die vorliegende Erfindung auch mit anderen
Produkten, die über ähnliche Funktionen verfügen,
implementiert werden könnte, z. B. mit sicheren
tresorähnlichen Umgebungen, die sich lokal auf dem
Arbeitsplatz der einzelnen Benutzer befinden. Solche und
andere Abwandlungen, die für den Fachmann offensichtlich
sind, sollen ebenfalls unter den Schutzumfang der
beigefügten Ansprüche fallen.
Claims (12)
1. Ein sicheres System zum Suchen von elektronischen
Datendateien, die in einem Datenarchivsystem
gespeichert sind, umfassend:
eine Kommunikationsumgebung mit
eine erste Aufzeichnung der Zugriffsrechte des ersten Benutzercomputers auf die elektronische Datendatei, wobei die erste Aufzeichnung für das zweite Agentenprogramm zugänglich ist und von diesem verwaltet wird;
Mittel, um Änderungen an der Nachweisliste, die die Zugriffsrechte des ersten Benutzercomputers auf die elektronische Datendatei betreffen, vom ersten Agentenprogramm an das zweite Agentenprogramm zu senden, um die erste Aufzeichnung zu aktualisieren; und
Mittel, mit denen das erste Agentenprogramm die Zugriffsrechte des ersten Benutzercomputers auf die elektronische Datendatei prüfen kann, bevor die elektronische Datendatei für das zweite Agentenprogramm freigegeben wird.
eine Kommunikationsumgebung mit
- a) einem ersten Agentenprogramm für einen Computer, der eine elektronische Datendatei im Datenarchivsystem deponiert, und
- b) einem zweiten Agentenprogramm für einen ersten Benutzercomputer mit Zugriffsrecht auf die elektronische Datendatei;
eine erste Aufzeichnung der Zugriffsrechte des ersten Benutzercomputers auf die elektronische Datendatei, wobei die erste Aufzeichnung für das zweite Agentenprogramm zugänglich ist und von diesem verwaltet wird;
Mittel, um Änderungen an der Nachweisliste, die die Zugriffsrechte des ersten Benutzercomputers auf die elektronische Datendatei betreffen, vom ersten Agentenprogramm an das zweite Agentenprogramm zu senden, um die erste Aufzeichnung zu aktualisieren; und
Mittel, mit denen das erste Agentenprogramm die Zugriffsrechte des ersten Benutzercomputers auf die elektronische Datendatei prüfen kann, bevor die elektronische Datendatei für das zweite Agentenprogramm freigegeben wird.
2. Das sichere System nach Anspruch 1, wobei das erste
Agentenprogramm eine sichere Erweiterung des
deponierenden Computers und das zweite Agentenprogramm
eine sichere Erweiterung des ersten Benutzercomputers
ist.
3. Das sichere System nach Anspruch 2, das außerdem Mittel
besitzt, um die Änderungen der Nachweisliste, die die
Zugriffsrechte des ersten Benutzercomputers auf die
elektronische Datendatei betreffen, vom zweiten
Agentenprogramm an den ersten Benutzercomputer zu
senden.
4. Das sichere System nach Anspruch 1 oder 2, das außerdem
folgendes umfaßt:
ein drittes Agentenprogramm für einen zweiten Benutzercomputer mit Zugriffsrecht auf die elektronische Datendatei; und
eine zweite Aufzeichnung der Zugriffsrechte des zweiten Benutzercomputers auf die elektronische Datendatei, wobei die Aufzeichnung für das dritte Agentenprogramm zugänglich ist und von diesem verwaltet wird,
und wobei das Mittel um die Änderungen an der Nachweisliste, die die Zugriffsrechte des ersten Benutzercomputers auf die elektronische Datendatei betreffen, zur Aktualisierung der ersten Aufzeichnung an das zweite Agentenprogramm zu übertragen, Mittel umfaßt, um Änderungen an der Nachweisliste, die die Zugriffsrechte des zweiten Benutzercomputers auf die elektronische Datendatei betreffen, zum Aktualisieren der zweiten Aufzeichnung vom ersten Agentenprogramm an das dritte Agentenprogramm zu übertragen; und
wobei das Mittel, mit dem das erste Agentenprogramm die Zugriffsrechte des ersten Benutzercomputers auf die elektronische Datendatei verifiziert, bevor die elektronische Datendatei für das zweite Agentenprogramm freigegeben wird, ein Mittel umfaßt, mit dem das erste Agentenprogramm die Zugriffsrechte des zweiten Benutzercomputers auf die elektronische Datendatei verifiziert, bevor die elektronische Datendatei für das dritte Agentenprogramm freigegeben wird.
ein drittes Agentenprogramm für einen zweiten Benutzercomputer mit Zugriffsrecht auf die elektronische Datendatei; und
eine zweite Aufzeichnung der Zugriffsrechte des zweiten Benutzercomputers auf die elektronische Datendatei, wobei die Aufzeichnung für das dritte Agentenprogramm zugänglich ist und von diesem verwaltet wird,
und wobei das Mittel um die Änderungen an der Nachweisliste, die die Zugriffsrechte des ersten Benutzercomputers auf die elektronische Datendatei betreffen, zur Aktualisierung der ersten Aufzeichnung an das zweite Agentenprogramm zu übertragen, Mittel umfaßt, um Änderungen an der Nachweisliste, die die Zugriffsrechte des zweiten Benutzercomputers auf die elektronische Datendatei betreffen, zum Aktualisieren der zweiten Aufzeichnung vom ersten Agentenprogramm an das dritte Agentenprogramm zu übertragen; und
wobei das Mittel, mit dem das erste Agentenprogramm die Zugriffsrechte des ersten Benutzercomputers auf die elektronische Datendatei verifiziert, bevor die elektronische Datendatei für das zweite Agentenprogramm freigegeben wird, ein Mittel umfaßt, mit dem das erste Agentenprogramm die Zugriffsrechte des zweiten Benutzercomputers auf die elektronische Datendatei verifiziert, bevor die elektronische Datendatei für das dritte Agentenprogramm freigegeben wird.
5. Das sichere System nach Anspruch 4, wobei das dritte
Agentenprogramm eine sichere Erweiterung des zweiten
Benutzercomputers ist.
6. Das sichere System nach Anspruch 5, das außerdem Mittel
besitzt, um die Änderungen der Nachweisliste, die die
Zugriffsrechte des zweiten Benutzercomputers auf die
elektronische Datendatei betreffen, vom dritten
Agentenprogramm an den zweiten Benutzercomputer zu
senden.
7. Das sichere System nach Anspruch 2 oder 5, wobei die
Kommunikationsumgebung einen Server umfaßt.
8. Das sichere System nach Anspruch 1, 2 oder 5, das
außerdem in der Kommunikationsumgebung eine
Schnittstelle zum Datenarchivsystem umfaßt, die daran
angepaßt ist, alle Übertragungen zwischen dem
Datenarchivsystem und dem Agentenprogramm zu empfangen.
9. Das sichere System nach Anspruch 8, wobei die
Schnittstelle eine sichere Erweiterung des
Datenarchivsystems ist.
10. Ein Verfahren für die Verwaltung eines sicheren
elektronischen Datensuchsystems für ein elektronisches
Datenarchiv, wobei das System eine Nachweisliste, in
der Zugriffsrechte auf die elektronische Datendatei im
Datenarchiv aufgeführt sind, und eine Aufzeichnung, in
der Dokumentzugriffsrechte für jeden Computer mit
Zugriff auf die im Archiv gespeicherten elektronischen
Daten aufgeführt sind, besitzt, wobei das Verfahren
folgende Schritte umfaßt:
Aktualisieren einer Nachweisliste für eine im Archiv gespeicherte elektronische Datendatei;
Identifizieren aller Computer, deren Zugriffsrecht auf die elektronische Datendatei von der Aktualisierung betroffen ist;
Übertragen der Zugriffsänderung an alle betroffenen Computer;
Aktualisieren der Zugriffsrechtaufzeichnungen aller betroffenen Computer; und
Übertragen der aktualisierten Zugriffsrechtaufzeichnungen an die betroffenen Computer.
Aktualisieren einer Nachweisliste für eine im Archiv gespeicherte elektronische Datendatei;
Identifizieren aller Computer, deren Zugriffsrecht auf die elektronische Datendatei von der Aktualisierung betroffen ist;
Übertragen der Zugriffsänderung an alle betroffenen Computer;
Aktualisieren der Zugriffsrechtaufzeichnungen aller betroffenen Computer; und
Übertragen der aktualisierten Zugriffsrechtaufzeichnungen an die betroffenen Computer.
11. Ein sicheres System zum Suchen von elektronischen
Datendateien, die in einem Datenarchivsystem
gespeichert sind, umfassend:
Mittel zum Verwalten eine Nachweisliste, in der Zugriffskontrollen für jede im Datenarchivsystem gespeicherte elektronische Datei aufgeführt sind;
Mittel zum Beschränken des Zugriffs auf jede Nachweisliste auf einen Computer mit Deponierungsberechtigung;
Mittel zum Verwalten einer Aufzeichnung, in der die Zugriffsrechte auf die elektronische Datendatei für jeden Computer mit Zugriffsrecht auf mindestens eine elektronische Datendatei im Datenarchivsystem aufgeführt sind;
Mittel, um den Zugriff auf die Aufzeichnung auf den zugehörigen Computer mit Zugriffsrechten zu beschränken; und
Mittel zum Aktualisieren der Aufzeichnung für jeden Computer, der von einer Zugriffsänderung in einer Nachweisliste betroffen ist.
Mittel zum Verwalten eine Nachweisliste, in der Zugriffskontrollen für jede im Datenarchivsystem gespeicherte elektronische Datei aufgeführt sind;
Mittel zum Beschränken des Zugriffs auf jede Nachweisliste auf einen Computer mit Deponierungsberechtigung;
Mittel zum Verwalten einer Aufzeichnung, in der die Zugriffsrechte auf die elektronische Datendatei für jeden Computer mit Zugriffsrecht auf mindestens eine elektronische Datendatei im Datenarchivsystem aufgeführt sind;
Mittel, um den Zugriff auf die Aufzeichnung auf den zugehörigen Computer mit Zugriffsrechten zu beschränken; und
Mittel zum Aktualisieren der Aufzeichnung für jeden Computer, der von einer Zugriffsänderung in einer Nachweisliste betroffen ist.
12. Ein computerlesbarer Speicher zum Speichern der
Instruktionen zur Verwendung bei der Ausführung des
Verfahrens nach Anspruch 10 auf einem Computer.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CA002256936A CA2256936C (en) | 1998-12-23 | 1998-12-23 | System for electronic repository of data enforcing access control on data search and retrieval |
CA2256936 | 1998-12-23 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE19960978A1 true DE19960978A1 (de) | 2000-08-03 |
DE19960978B4 DE19960978B4 (de) | 2006-11-09 |
Family
ID=4163118
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19960978A Expired - Fee Related DE19960978B4 (de) | 1998-12-23 | 1999-12-17 | Verfahren zum Steuern des Zugriffs auf in einem Datenarchivsystem gespeicherte elektronische Datendateien |
Country Status (5)
Country | Link |
---|---|
US (1) | US6950943B1 (de) |
JP (1) | JP3640339B2 (de) |
KR (1) | KR20000047643A (de) |
CA (1) | CA2256936C (de) |
DE (1) | DE19960978B4 (de) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1300746A2 (de) * | 2001-10-04 | 2003-04-09 | Brent R. Johnson | System und computerbasiertes Verfahren zur automatischen Archivierung und Wiederauffindung verschlüsselter Dateien von einem entfernten Klient |
US7653602B2 (en) | 2003-11-06 | 2010-01-26 | Visa U.S.A. Inc. | Centralized electronic commerce card transactions |
US7725369B2 (en) | 2003-05-02 | 2010-05-25 | Visa U.S.A. Inc. | Method and server for management of electronic receipts |
US7857215B2 (en) | 2003-09-12 | 2010-12-28 | Visa U.S.A. Inc. | Method and system including phone with rewards image |
US8005763B2 (en) | 2003-09-30 | 2011-08-23 | Visa U.S.A. Inc. | Method and system for providing a distributed adaptive rules based dynamic pricing system |
US8010405B1 (en) | 2002-07-26 | 2011-08-30 | Visa Usa Inc. | Multi-application smart card device software solution for smart cardholder reward selection and redemption |
US8015060B2 (en) | 2002-09-13 | 2011-09-06 | Visa Usa, Inc. | Method and system for managing limited use coupon and coupon prioritization |
US8407083B2 (en) | 2003-09-30 | 2013-03-26 | Visa U.S.A., Inc. | Method and system for managing reward reversal after posting |
US8429048B2 (en) | 2009-12-28 | 2013-04-23 | Visa International Service Association | System and method for processing payment transaction receipts |
US8554610B1 (en) | 2003-08-29 | 2013-10-08 | Visa U.S.A. Inc. | Method and system for providing reward status |
US8626577B2 (en) | 2002-09-13 | 2014-01-07 | Visa U.S.A | Network centric loyalty system |
US9852437B2 (en) | 2002-09-13 | 2017-12-26 | Visa U.S.A. Inc. | Opt-in/opt-out in loyalty system |
US11132691B2 (en) | 2009-12-16 | 2021-09-28 | Visa International Service Association | Merchant alerts incorporating receipt data |
Families Citing this family (84)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050120217A1 (en) * | 2000-06-05 | 2005-06-02 | Reallegal, Llc | Apparatus, System, and Method for Electronically Signing Electronic Transcripts |
US20020053020A1 (en) * | 2000-06-30 | 2002-05-02 | Raytheon Company | Secure compartmented mode knowledge management portal |
US6959326B1 (en) * | 2000-08-24 | 2005-10-25 | International Business Machines Corporation | Method, system, and program for gathering indexable metadata on content at a data repository |
JP2002083080A (ja) * | 2000-09-08 | 2002-03-22 | Toyo Commun Equip Co Ltd | 電子公証システム |
KR100655551B1 (ko) * | 2000-11-02 | 2006-12-07 | 엘지전자 주식회사 | 저작권 보호를 위한 디지털 저작물의 취급 방법 |
JP4752125B2 (ja) * | 2001-04-06 | 2011-08-17 | 大日本印刷株式会社 | コンピュータシステム |
US7293070B2 (en) * | 2001-09-17 | 2007-11-06 | Vignette Corporation | Method and system for deploying web components between portals in a portal framework |
US8606916B2 (en) | 2001-09-17 | 2013-12-10 | Open Text S.A. | Graphical user interface for performing administration on web components of web sites in a portal framework |
US7137004B2 (en) * | 2001-11-16 | 2006-11-14 | Microsoft Corporation | Manifest-based trusted agent management in a trusted operating system environment |
US7921284B1 (en) | 2001-12-12 | 2011-04-05 | Gary Mark Kinghorn | Method and system for protecting electronic data in enterprise environment |
US8006280B1 (en) | 2001-12-12 | 2011-08-23 | Hildebrand Hal S | Security system for generating keys from access rules in a decentralized manner and methods therefor |
US10033700B2 (en) | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
US7921450B1 (en) | 2001-12-12 | 2011-04-05 | Klimenty Vainstein | Security system using indirect key generation from access rules and methods therefor |
US7565683B1 (en) | 2001-12-12 | 2009-07-21 | Weiqing Huang | Method and system for implementing changes to security policies in a distributed security system |
US7260555B2 (en) | 2001-12-12 | 2007-08-21 | Guardian Data Storage, Llc | Method and architecture for providing pervasive security to digital assets |
US7178033B1 (en) | 2001-12-12 | 2007-02-13 | Pss Systems, Inc. | Method and apparatus for securing digital assets |
US10360545B2 (en) | 2001-12-12 | 2019-07-23 | Guardian Data Storage, Llc | Method and apparatus for accessing secured electronic data off-line |
US7681034B1 (en) | 2001-12-12 | 2010-03-16 | Chang-Ping Lee | Method and apparatus for securing electronic data |
US7380120B1 (en) | 2001-12-12 | 2008-05-27 | Guardian Data Storage, Llc | Secured data format for access control |
US7921288B1 (en) | 2001-12-12 | 2011-04-05 | Hildebrand Hal S | System and method for providing different levels of key security for controlling access to secured items |
US8065713B1 (en) | 2001-12-12 | 2011-11-22 | Klimenty Vainstein | System and method for providing multi-location access management to secured items |
USRE41546E1 (en) | 2001-12-12 | 2010-08-17 | Klimenty Vainstein | Method and system for managing security tiers |
US7930756B1 (en) | 2001-12-12 | 2011-04-19 | Crocker Steven Toye | Multi-level cryptographic transformations for securing digital assets |
US7950066B1 (en) | 2001-12-21 | 2011-05-24 | Guardian Data Storage, Llc | Method and system for restricting use of a clipboard application |
US8176334B2 (en) | 2002-09-30 | 2012-05-08 | Guardian Data Storage, Llc | Document security system that permits external users to gain access to secured files |
US8613102B2 (en) | 2004-03-30 | 2013-12-17 | Intellectual Ventures I Llc | Method and system for providing document retention using cryptography |
US7748045B2 (en) | 2004-03-30 | 2010-06-29 | Michael Frederick Kenrich | Method and system for providing cryptographic document retention with off-line access |
US20030226024A1 (en) * | 2002-06-04 | 2003-12-04 | Qwest Communications International Inc. | Secure internet documents |
US7386877B2 (en) * | 2002-07-12 | 2008-06-10 | Sun Microsystems, Inc. | Specifying a repository for an authentication token in a distributed computing system |
US7512810B1 (en) | 2002-09-11 | 2009-03-31 | Guardian Data Storage Llc | Method and system for protecting encrypted files transmitted over a network |
US7121456B2 (en) | 2002-09-13 | 2006-10-17 | Visa U.S.A. Inc. | Method and system for managing token image replacement |
JP2004133761A (ja) * | 2002-10-11 | 2004-04-30 | Ricoh Co Ltd | 記録媒体読取装置 |
US7836310B1 (en) | 2002-11-01 | 2010-11-16 | Yevgeniy Gutnik | Security system that uses indirect password-based encryption |
US7890990B1 (en) | 2002-12-20 | 2011-02-15 | Klimenty Vainstein | Security system with staging capabilities |
US7577838B1 (en) * | 2002-12-20 | 2009-08-18 | Alain Rossmann | Hybrid systems for securing digital assets |
US7035860B2 (en) | 2003-01-17 | 2006-04-25 | International Business Machines Corporation | Trusted access by an extendible framework method, system, article of manufacture, and computer program product |
JP4628648B2 (ja) * | 2003-02-03 | 2011-02-09 | 富士通株式会社 | 電子データ保管システム及びその方法 |
US9003295B2 (en) * | 2003-03-17 | 2015-04-07 | Leo Martin Baschy | User interface driven access control system and method |
US8707034B1 (en) | 2003-05-30 | 2014-04-22 | Intellectual Ventures I Llc | Method and system for using remote headers to secure electronic files |
US7730543B1 (en) | 2003-06-30 | 2010-06-01 | Satyajit Nath | Method and system for enabling users of a group shared across multiple file security systems to access secured files |
US7104446B2 (en) | 2003-09-03 | 2006-09-12 | Visa U.S.A., Inc. | Method, system and portable consumer device using wildcard values |
US8127366B2 (en) | 2003-09-30 | 2012-02-28 | Guardian Data Storage, Llc | Method and apparatus for transitioning between states of security policies used to secure electronic documents |
US7703140B2 (en) | 2003-09-30 | 2010-04-20 | Guardian Data Storage, Llc | Method and system for securing digital assets using process-driven security policies |
US7930757B2 (en) | 2003-10-31 | 2011-04-19 | Adobe Systems Incorporated | Offline access in a document control system |
US8108672B1 (en) | 2003-10-31 | 2012-01-31 | Adobe Systems Incorporated | Transparent authentication process integration |
US8627489B2 (en) | 2003-10-31 | 2014-01-07 | Adobe Systems Incorporated | Distributed document version control |
US20050203885A1 (en) * | 2004-03-12 | 2005-09-15 | U.S. Bank Corporation | System and method for storing, creating, and organizing financial information electronically |
US20060010323A1 (en) * | 2004-07-07 | 2006-01-12 | Xerox Corporation | Method for a repository to provide access to a document, and a repository arranged in accordance with the same method |
US7707427B1 (en) | 2004-07-19 | 2010-04-27 | Michael Frederick Kenrich | Multi-level file digests |
GB0425857D0 (en) * | 2004-11-25 | 2004-12-29 | Ibm | A method and apparatus for controlling data access |
US7995758B1 (en) | 2004-11-30 | 2011-08-09 | Adobe Systems Incorporated | Family of encryption keys |
US9176934B2 (en) | 2005-05-06 | 2015-11-03 | Leo Baschy | User interface for nonuniform access control system and methods |
US9129088B1 (en) | 2005-06-04 | 2015-09-08 | Leo Martin Baschy | User interface driven access control system and methods for multiple users as one audience |
US20070027841A1 (en) * | 2005-07-26 | 2007-02-01 | Williams Michael G | Messaging middleware dynamic, continuous search and response agent system |
US8832047B2 (en) | 2005-07-27 | 2014-09-09 | Adobe Systems Incorporated | Distributed document version control |
KR100798571B1 (ko) * | 2005-11-02 | 2008-01-28 | 엘지전자 주식회사 | 저작권 보호를 위한 디지털 저작물의 취급 방법 |
US8307406B1 (en) | 2005-12-28 | 2012-11-06 | At&T Intellectual Property Ii, L.P. | Database application security |
US9942271B2 (en) * | 2005-12-29 | 2018-04-10 | Nextlabs, Inc. | Information management system with two or more interactive enforcement points |
US8627490B2 (en) * | 2005-12-29 | 2014-01-07 | Nextlabs, Inc. | Enforcing document control in an information management system |
US8677499B2 (en) * | 2005-12-29 | 2014-03-18 | Nextlabs, Inc. | Enforcing access control policies on servers in an information management system |
US8621549B2 (en) | 2005-12-29 | 2013-12-31 | Nextlabs, Inc. | Enforcing control policies in an information management system |
US9202068B2 (en) * | 2006-03-29 | 2015-12-01 | Leo M. Baschy | User interface for variable access control system |
JP4754412B2 (ja) * | 2006-05-31 | 2011-08-24 | 日本電信電話株式会社 | リアルタイム利用制御を伴う電子データ共有方法およびシステム |
US7730088B2 (en) * | 2006-09-14 | 2010-06-01 | International Business Machines Corporation | Queriable hierarchical text data |
JP2008097214A (ja) * | 2006-10-10 | 2008-04-24 | Hitachi Ltd | アクセス権管理方法、管理計算機、及び管理プログラム |
US8086637B1 (en) | 2006-12-22 | 2011-12-27 | Emc Corporation | Access control for business process data |
US20080222141A1 (en) * | 2007-03-07 | 2008-09-11 | Altep, Inc. | Method and System for Document Searching |
US8327450B2 (en) * | 2007-07-19 | 2012-12-04 | Wells Fargo Bank N.A. | Digital safety deposit box |
US8117648B2 (en) * | 2008-02-08 | 2012-02-14 | Intersections, Inc. | Secure information storage and delivery system and method |
US20090300649A1 (en) * | 2008-05-30 | 2009-12-03 | Microsoft Corporation | Sharing An Object Among Multiple Applications |
US8392706B2 (en) * | 2008-11-26 | 2013-03-05 | Perlustro, L.P. | Method and system for searching for, and collecting, electronically-stored information |
EP2302536A1 (de) | 2009-09-21 | 2011-03-30 | Thomson Licensing | System und Verfahren zur automatischen Verifizierung der Speicherung redundanter Inhalte in Kommunikationsausrüstungen mittels Datenvergleich |
US9100171B1 (en) | 2009-12-17 | 2015-08-04 | Secure Forward, LLC | Computer-implemented forum for enabling secure exchange of information |
CN102812473A (zh) * | 2010-02-11 | 2012-12-05 | 惠普发展公司,有限责任合伙企业 | 基于可执行程序身份的文件访问 |
US9659264B2 (en) * | 2010-03-16 | 2017-05-23 | International Business Machines Corporation | Enablement of licensed features at a logical volume level of granularity |
US9218501B2 (en) * | 2010-08-06 | 2015-12-22 | Oracle International Corporation | Secure access management against volatile identity stores |
EP2442253A1 (de) * | 2010-10-12 | 2012-04-18 | Research In Motion Limited | Verfahren zur Sicherung von Berechtigungsnachweisen in einem Fernspeicher |
US8756706B2 (en) | 2010-10-12 | 2014-06-17 | Blackberry Limited | Method for securing credentials in a remote repository |
US8893297B2 (en) | 2012-11-21 | 2014-11-18 | Solomo Identity, Llc | Personal data management system with sharing revocation |
US9092796B2 (en) | 2012-11-21 | 2015-07-28 | Solomo Identity, Llc. | Personal data management system with global data store |
CN104318175B (zh) * | 2014-10-28 | 2018-01-05 | 深圳市大成天下信息技术有限公司 | 一种文档保护方法、设备以及系统 |
US10817357B2 (en) * | 2018-04-30 | 2020-10-27 | Servicenow, Inc. | Batch representational state transfer (REST) application programming interface (API) |
JP7287207B2 (ja) | 2019-09-13 | 2023-06-06 | 富士通株式会社 | 情報処理装置、制御プログラムおよび制御方法 |
CN113794603A (zh) * | 2021-08-20 | 2021-12-14 | 新华三信息安全技术有限公司 | 一种网络状态分析方法、装置、设备及机器可读存储介质 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5263158A (en) * | 1990-02-15 | 1993-11-16 | International Business Machines Corporation | Method and system for variable authority level user access control in a distributed data processing system having multiple resource manager |
US5414844A (en) * | 1990-05-24 | 1995-05-09 | International Business Machines Corporation | Method and system for controlling public access to a plurality of data objects within a data processing system |
JPH04280317A (ja) | 1991-03-08 | 1992-10-06 | Matsushita Electric Ind Co Ltd | ファイル管理装置 |
EP0681721B1 (de) * | 1993-02-01 | 2005-03-23 | Sun Microsystems, Inc. | Archivierungsdateiensystem für datenanbieter in einer verteilten netzwerkumgebung |
US5491750A (en) * | 1993-12-30 | 1996-02-13 | International Business Machines Corporation | Method and apparatus for three-party entity authentication and key distribution using message authentication codes |
US5483596A (en) * | 1994-01-24 | 1996-01-09 | Paralon Technologies, Inc. | Apparatus and method for controlling access to and interconnection of computer system resources |
GB9402935D0 (en) * | 1994-02-16 | 1994-04-06 | British Telecomm | A method for controlling access to a database |
JPH07234843A (ja) | 1994-02-23 | 1995-09-05 | Fuji Xerox Co Ltd | 共同作業支援システム |
US5629980A (en) | 1994-11-23 | 1997-05-13 | Xerox Corporation | System for controlling the distribution and use of digital works |
EP1555591B1 (de) * | 1995-02-13 | 2013-08-14 | Intertrust Technologies Corp. | Verfahren und Vorrichtung zur gesicherten Transaktionsverwaltung |
EP0880840A4 (de) * | 1996-01-11 | 2002-10-23 | Mrj Inc | Vorrichtung zur steuerung des zugriffs und der verteilung von digitalem eigentum |
US6526512B1 (en) * | 1996-05-20 | 2003-02-25 | Ncr Corporation | Access key codes for computer resources |
JPH10232878A (ja) * | 1997-02-19 | 1998-09-02 | Hitachi Ltd | ドキュメント管理方法および装置 |
US6105131A (en) * | 1997-06-13 | 2000-08-15 | International Business Machines Corporation | Secure server and method of operation for a distributed information system |
US6292904B1 (en) * | 1998-12-16 | 2001-09-18 | International Business Machines Corporation | Client account generation and authentication system for a network server |
CA2256934C (en) * | 1998-12-23 | 2002-04-02 | Hamid Bacha | System for electronic repository of data enforcing access control on data retrieval |
-
1998
- 1998-12-23 CA CA002256936A patent/CA2256936C/en not_active Expired - Fee Related
-
1999
- 1999-11-08 JP JP31636099A patent/JP3640339B2/ja not_active Expired - Fee Related
- 1999-11-15 KR KR1019990050525A patent/KR20000047643A/ko active IP Right Grant
- 1999-12-10 US US09/459,240 patent/US6950943B1/en not_active Expired - Fee Related
- 1999-12-17 DE DE19960978A patent/DE19960978B4/de not_active Expired - Fee Related
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1300746A3 (de) * | 2001-10-04 | 2008-01-16 | Brent R. Johnson | System und computerbasiertes Verfahren zur automatischen Archivierung und Wiederauffindung verschlüsselter Dateien von einem entfernten Klient |
EP1300746A2 (de) * | 2001-10-04 | 2003-04-09 | Brent R. Johnson | System und computerbasiertes Verfahren zur automatischen Archivierung und Wiederauffindung verschlüsselter Dateien von einem entfernten Klient |
US8010405B1 (en) | 2002-07-26 | 2011-08-30 | Visa Usa Inc. | Multi-application smart card device software solution for smart cardholder reward selection and redemption |
US9852437B2 (en) | 2002-09-13 | 2017-12-26 | Visa U.S.A. Inc. | Opt-in/opt-out in loyalty system |
US8626577B2 (en) | 2002-09-13 | 2014-01-07 | Visa U.S.A | Network centric loyalty system |
US10460338B2 (en) | 2002-09-13 | 2019-10-29 | Visa U.S.A. Inc. | Network centric loyalty system |
US8239261B2 (en) | 2002-09-13 | 2012-08-07 | Liane Redford | Method and system for managing limited use coupon and coupon prioritization |
US8015060B2 (en) | 2002-09-13 | 2011-09-06 | Visa Usa, Inc. | Method and system for managing limited use coupon and coupon prioritization |
US7987120B2 (en) | 2003-05-02 | 2011-07-26 | Visa U.S.A. Inc. | Method and portable device for management of electronic receipts |
US7725369B2 (en) | 2003-05-02 | 2010-05-25 | Visa U.S.A. Inc. | Method and server for management of electronic receipts |
US7827077B2 (en) | 2003-05-02 | 2010-11-02 | Visa U.S.A. Inc. | Method and apparatus for management of electronic receipts on portable devices |
US8386343B2 (en) | 2003-05-02 | 2013-02-26 | Visa U.S.A. Inc. | Method and user device for management of electronic receipts |
US9087426B2 (en) | 2003-05-02 | 2015-07-21 | Visa U.S.A. Inc. | Method and administration system for management of electronic receipts |
US8793156B2 (en) | 2003-08-29 | 2014-07-29 | Visa U.S.A. Inc. | Method and system for providing reward status |
US8554610B1 (en) | 2003-08-29 | 2013-10-08 | Visa U.S.A. Inc. | Method and system for providing reward status |
US7857216B2 (en) | 2003-09-12 | 2010-12-28 | Visa U.S.A. Inc. | Method and system for providing interactive cardholder rewards image replacement |
US7857215B2 (en) | 2003-09-12 | 2010-12-28 | Visa U.S.A. Inc. | Method and system including phone with rewards image |
US8244648B2 (en) | 2003-09-30 | 2012-08-14 | Visa U.S.A. Inc. | Method and system for providing a distributed adaptive rules based dynamic pricing system |
US8407083B2 (en) | 2003-09-30 | 2013-03-26 | Visa U.S.A., Inc. | Method and system for managing reward reversal after posting |
US9141967B2 (en) | 2003-09-30 | 2015-09-22 | Visa U.S.A. Inc. | Method and system for managing reward reversal after posting |
US8005763B2 (en) | 2003-09-30 | 2011-08-23 | Visa U.S.A. Inc. | Method and system for providing a distributed adaptive rules based dynamic pricing system |
US9710811B2 (en) | 2003-11-06 | 2017-07-18 | Visa U.S.A. Inc. | Centralized electronic commerce card transactions |
US7653602B2 (en) | 2003-11-06 | 2010-01-26 | Visa U.S.A. Inc. | Centralized electronic commerce card transactions |
US11132691B2 (en) | 2009-12-16 | 2021-09-28 | Visa International Service Association | Merchant alerts incorporating receipt data |
US8650124B2 (en) | 2009-12-28 | 2014-02-11 | Visa International Service Association | System and method for processing payment transaction receipts |
US8429048B2 (en) | 2009-12-28 | 2013-04-23 | Visa International Service Association | System and method for processing payment transaction receipts |
Also Published As
Publication number | Publication date |
---|---|
JP3640339B2 (ja) | 2005-04-20 |
JP2000227870A (ja) | 2000-08-15 |
CA2256936A1 (en) | 2000-06-23 |
US6950943B1 (en) | 2005-09-27 |
CA2256936C (en) | 2002-04-02 |
KR20000047643A (ko) | 2000-07-25 |
DE19960978B4 (de) | 2006-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19960978B4 (de) | Verfahren zum Steuern des Zugriffs auf in einem Datenarchivsystem gespeicherte elektronische Datendateien | |
DE19960977B4 (de) | System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf | |
DE112020005289B4 (de) | Teilweise sortierte blockchain | |
DE60218615T2 (de) | Verfahren und Architektur zur durchdringenden Absicherung von digitalen Gütern | |
DE602004003874T2 (de) | Techniken zur Sicherung elektronischer Identitäten | |
DE112020005075B4 (de) | Effiziente schwellenwertspeicherung von datenobjekten | |
US8375424B2 (en) | Replicating selected secrets to local domain controllers | |
DE112018005203T5 (de) | Authentifizierung unter Verwendung von delegierten Identitäten | |
DE10025626A1 (de) | Verschlüsseln von abzuspeichernden Daten in einem IV-System | |
EP2772856B1 (de) | Verfahren zum Ausführen von Tasks auf einem Produktions-Computersystem sowie Datenverarbeitungssystem | |
DE112021000608T5 (de) | Schnellere ansichtsänderung für eine blockchain | |
DE112021001413T5 (de) | Verwaltung eines privilegierten zugriffs mit geringer vertrauenswürdigkeit | |
DE112021000688T5 (de) | Indexstruktur für blockchain-ledger | |
DE112021001671T5 (de) | Netzübergreifendes bereitstellen von identitäten | |
DE112021004344T5 (de) | Konsensdienst für Blockchain-Netzwerke | |
EP3876127A1 (de) | Gerätefernwartung auf basis verteilter datenspeicherung | |
DE112022000280T5 (de) | Identitätsautorität | |
DE10146361B4 (de) | Verteiltes System | |
DE112022000906T5 (de) | Trennen von blockchain-daten | |
DE102009054128A1 (de) | Verfahren und Vorrichtung zum Zugriff auf Dateien eines sicheren Fileservers | |
DE112021006165T5 (de) | Schlüsselwiederherstellung in einem blockchain-netzwerk mit oprf | |
DE112021005837T5 (de) | Dezentrale sendeverschlüsselung und schlüsselerzeugungseinrichtung | |
DE102013019487A1 (de) | Verfahren, Vorrichtungen und System zur Online-Datensicherung | |
DE112021004120T5 (de) | Schwellenwertverschlüsselung für sendeinhalt | |
EP3580908B1 (de) | Zugriffsverwaltungssystem zum export von datensätzen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
8320 | Willingness to grant licences declared (paragraph 23) | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20120703 |