 Network system and method for controlling access of a first network component to at least a second n
专利摘要:
Netzwerksystem sowie Verfahren zur Steuerung eines Zugangs einer ersten Netzwerkkomponente 10 zu wenigstens einer zweiten Netzwerkkomponente 20, 30, wobei die erste Netzwerkkomponente 10 und die wenigstens eine zweite Netzwerkkomponente 20, 30 über ein Netzwerk 1 verbunden sind und das Verfahren die folgenden Schritte umfasst: DOLLAR A - (S4) Berechnen einer eindeutigen Benutzeridentifikation 3 für einen Benutzer 2 der ersten Netzwerkkomponente 10 durch die erste Netzwerkkomponente 10; DOLLAR A - (S5) Registrierung eines Auftrages 4 des Benutzers 2 an die erste Netzwerkkomponente 10 durch die erste Netzwerkkomponente 10, wobei der Auftrag 4 eine Einbindung der wenigstens einen zweiten Netzwerkkomponente 20, 30 über das Netzwerk 1 bedingt; DOLLAR A - (S6) Übermittlung einer durch die erste Netzwerkkomponente 10 anhand des Auftrages 4 erstellten Anfrage 5 zusammen mit der eindeutigen Benutzeridentifikation 3 durch die erste Netzwerkkomponente 10 über das Netzwerk 1 an die zweite Netzwerkkomponente 20, 30; DOLLAR A - (S7) Detektion der der Anfrage 5 beigefügten eindeutigen Benutzeridentifikation 3 durch die zweite Netzwerkkomponente 20, 30; DOLLAR A - (S8) Erstellung eines Rechte-Prüfungsauftrages 6 durch die zweite Netzwerkkomponente 20, 30 anhand der detektierten eindeutigen Benutzeridentifikation 3; DOLLAR A - (S9) Übermittlung des Rechte-Prüfungsauftrages 6 durch die zweite Netzwerkkomponente 20, 30 über das Netzwerk 1 an die erste Netzwerkkomponente 10; DOLLAR A - (S10) Überprüfung der Zugangsberechtigung des ...Network system and method for controlling access of a first network component 10 to at least one second network component 20, 30, wherein the first network component 10 and the at least one second network component 20, 30 are connected via a network 1 and the method comprises the following steps: DOLLAR A - (S4) calculating a unique user identification 3 for a user 2 of the first network component 10 by the first network component 10; DOLLAR A - (S5) registration of an order 4 of the user 2 to the first network component 10 by the first network component 10, wherein the order 4 involves an integration of the at least one second network component 20, 30 via the network 1; DOLLAR A - (S6) Transmission of a query 5 created by the first network component 10 on the basis of the order 4 together with the unique user identification 3 by the first network component 10 via the network 1 to the second network component 20, 30; DOLLAR A - (S7) Detection of the unique user identification 3 attached to the request 5 by the second network component 20, 30; DOLLAR A - (S8) Creation of a rights audit order 6 by the second network component 20, 30 on the basis of the detected unique user identification 3; DOLLAR A - (S9) transmission of the rights audit order 6 by the second network component 20, 30 via the network 1 to the first network component 10; DOLLAR A - (S10) Checking the access authorization of the ... 公开号:DE102004016654A1 申请号:DE200410016654 申请日:2004-03-31 公开日:2005-10-27 发明作者:Andreas Schülke 申请人:Siemens AG; IPC主号:H04L9-32
专利说明:
[0001] Dievorliegende Erfindung betrifft ein Verfahren zur Steuerung einesZugangs einer ersten Netzwerkkomponente zu wenigstens einer zweitenNetzwerkkomponente und ein Netzwerksystem mit den Merkmalen desOberbegriffs des unabhängigenAnspruches 15, welches zur Durchführung des Verfahrens geeignetist.TheThe present invention relates to a method for controlling aAccess of a first network component to at least one secondNetwork component and a network system with the characteristics ofGeneric term of the independentClaim 15, which is suitable for carrying out the methodis. [0002] Weiterbetrifft die vorliegende Erfindung erste und zweite Netzwerkkomponenten,die füreine Verwendung in dem Netzwerksystem ausgebildet sind.Furtherthe present invention relates to first and second network components,the fora use are formed in the network system. [0003] Ineinem Netzwerksystem, bei dem mehrere Computer miteinander über einNetzwerk verbunden sind, ist es beispielsweise bei besonderes zeitintensivenRechenarbeiten wegen der begrenzten Rechenleistung der einzelnenComputer des Netzwerks häufigerforderlich, die Rechenarbeit auf mehrere andere Computer zu verlagern.Auch mangelnde Speicherkapazitätender einzelnen Computer oder eine zentral abgelegte Datenbank können einenNetzwerkzugriff erforderlich machen. Dabei müssen Zugriffs- und Ausführungsrechteder Computer und Einrichtungen des Netzwerkes, auf die zugegriffenwerden soll, um beispielsweise die Rechenarbeit zu verlagern, berücksichtigtwerden.Ina network system where multiple computers interconnect with each otherNetwork are connected, for example, it is particularly time-consumingArithmetic work due to the limited computing power of the individualComputer of the network frequentlyrequired to relocate the computational work to several other computers.Also lack of storage capacitythe single computer or a centrally stored database can have oneRequire network access. There must be access and execution rightsthe computer and facilities of the network being accessedis to be considered, for example, to shift the computational work into accountbecome. [0004] Üblicherweiseist ein Benutzer auf einem mit dem Netzwerk verbundenen ersten Computerangemeldet. Soll eine zeitintensive Rechenarbeit auf diesem erstenComputer ausgeführtwerden, versucht eine auf dem ersten Computer laufende Anwendung dieRechenarbeit auf mehrere zweite Computer, die mit dem ersten Computer über dasNetzwerk verbunden sind, zu verteilen. Hierzu versendet die aufdem ersten Computer laufende Anwendung entsprechende Aufträge über dasNetzwerk an den oder die jeweiligen zweiten Computer.Usuallyis a user on a first computer connected to the networkRegistered. Should be a time-consuming arithmetic work on this firstComputer runningan application running on the first computer tries to use theWork on several second computers connected to the first computer via the computerNetwork are distributed, distribute. For this purpose send thethe first computer running application corresponding orders over theNetwork to the or the respective second computer. [0005] Umdie Aufträgebearbeiten zu können,ist es fürden oder die zweiten Computer üblicherweiseerforderlich, zunächstanhand der Zugriffs- und/oder Ausführungsrechte des Benutzersdes ersten Computers zu überprüfen, obder Benutzer zu einem Zugriff auf den oder die zweiten Computerberechtigt ist. Hierfürsind verschiedene Ansätzebekannt: Gemäß einemersten Ansatz ist der Benutzer sowohl auf dem ersten als auch aufdem oder den zweiten Computern bekannt und angemeldet. In diesemFalle kann jeder Computer selber die Zugriffs- und/oder Ausführungsrechtedes angemeldeten Benutzers überprüfen.In order to be able to process the jobs, it is usually necessary for the second computer (s) to first check, based on the access and / or execution rights of the user of the first computer, whether the user is authorized to access the second computer (s). For this purpose, various approaches are known: In a first approach, the user is known and logged on both the first and second computers. In this case, each computer itself can check the access and / or execution rights of the logged-in user. [0006] Ineinem zweiten Ansatz werden die Zugriffs- und/oder Ausführungsrechtezentral durch einen Zentralrechner des Netzwerks für das ganzeNetzwerk verwaltet, wodurch der Benutzer des ersten Computers über denZentralrechner im ganzen Netzwerk bekannt ist.Ina second approach is the access and / or execution rightscentrally through a central computer of the network for the wholeNetwork, which allows the user of the first computer via theCentral computer throughout the network is known. [0007] DieserAnsatz bedingt somit ein konfiguriertes Computernetzwerk mit einemZentralrechner zur Durchführungder Überprüfung vonZugriffs- und/oder Ausführungsrechte.ThisApproach thus requires a configured computer network with aCentral computer for executionthe review ofAccess and / or Execution Rights. [0008] Eindritter vorbekannter Lösungsansatzist unter dem Namen "CorbaCall Chain" bekanntund wird unter Bezugnahme auf 4 imFolgenden näherbeschrieben.A third prior art approach is known by the name "Corba Call Chain" and will be described with reference to 4 described in more detail below. [0009] Indem in 4 gezeigten Beispielmöchte einBenutzer mittels einer Benutzeranfrage 50 auf ein Zielobjekt 48 zugreifen,welches in einer Subdomain 45 einer Domain 40 enthaltenist.In the in 4 As shown, a user wishes to do so by means of a user request 50 on a target object 48 which is in a subdomain 45 a domain 40 is included. [0010] DieBenutzeranfrage 50 wird zunächst von einer Zugriffssteuerung 41 derDomain 40 daraufhin geprüft, ob der Benutzer zu einemZugriff auf in der Domain 40 enthaltene Objekte 42, 43, 44 bzw.Subdomains 45 berechtigt ist.The user request 50 is first of an access control 41 the domain 40 then checked to see if the user has access to the domain 40 contained objects 42 . 43 . 44 or subdomains 45 is entitled. [0011] Istder Benutzer zu einem Zugang berechtigt, lässt die Zugriffssteuerung 41 derDomain 40 den Zugriff zu. Anderenfalls verweigert die Zugriffssteuerung 41 derDomain 40 den Zugang des Benutzers und die Weiterleitungder Benutzeranfrage 50.If the user is authorized to access, the access control fails 41 the domain 40 access to. Otherwise denied access control 41 the domain 40 the access of the user and the forwarding of the user request 50 , [0012] Wirdein Zugriff des Benutzers von der Zugriffssteuerung 41 derDomain 40 zugelassen, wird die Benutzeranfrage 50 andie in der Domain 40 enthaltene Subdomain 45 weitergeleitet.Is an access of the user from the access control 41 the domain 40 approved, the user request 50 to those in the domain 40 included subdomain 45 forwarded. [0013] Anschließend wirddie Benutzeranfrage 50 von einer Zugriffssteuerung 46 derSubdomain 45 daraufhin geprüft, ob der Benutzer auch zueinem Zugriff auf in der Subdomain 45 enthaltene Objekte 47,48, 49 bzw.Sub-Subdomains (in 4 nichtgezeigt) berechtigt ist.Subsequently, the user request 50 from an access control 46 the subdomain 45 then checked if the user also has access to in the subdomain 45 contained objects 47 . 48 . 49 or sub-subdomains (in 4 not shown). [0014] Istder Benutzer zu einem Zugriff auf in der Subdomain 45 enthaltenenObjekte 47, 48, 49 berechtigt, so ermöglicht dieZugriffssteuerung 46 der Subdomain 45 den Zugriffund der Benutzer kann überdie Benutzeranfrage 50 auf das in der Subdomain 45 enthalteneZielobjekt 48 zugreifen. Anderenfalls verweigert die Zugriffssteuerung 46 denZugang des Benutzers auf in der Subdomain 45 enthaltene Objekte 47, 48, 49.Is the user accessing the subdomain 45 contained objects 47 . 48 . 49 authorized, so allows access control 46 the subdomain 45 the access and the user can through the user request 50 on that in the subdomain 45 included target object 48 access. Otherwise denied access control 46 the user's access to in the subdomain 45 contained objects 47 . 48 . 49 , [0015] DieCorba Call Chain basiert somit auf einer Kette funktioneller Abläufe biszu einem Zielobjekt. Fürdie Überprüfung derZugriffsberechtigung ist es erforderlich, die Identität des Benutzers,die Identität eineran der Kette liegenden Zugriffssteuerung oder sowohl die Identität des Benutzersals auch die Identitätder in der Kette liegenden Zugriffssteuerung zusammen mit der Benutzeranfrageweiterzureichen. Erst durch Übermittlungdieser Informationen ist eine Überprüfung derZugriffsberechtigung durch in der Kette liegende Zugriffssteuerungenmöglich.The Corba Call Chain is thus based on a chain of functional processes up to a target object. To verify access authorization, it is necessary to know the identity of the user, the identity of an in-chain access control, or both the identity of the user and the identities the chaining access control along with the user request. Only by transmitting this information is it possible to check the access authorization through chain-linked access controls. [0016] Wieaus 4 deutlich hervorgehterfolgt die Überprüfung derZugriffsberechtigung bei der Corba Call Chain physikalisch immerinnerhalb der Kette an der Stelle der jeweiligen Bearbeitung. Somitwird die Überprüfung derZugriffsberechtigung hierarchisch vor Genehmigung eines Zutrittszu einer Domain oder Subdomain und von demjenigen Computer durchgeführt, aufden zugegriffen werden soll.How out 4 As can be clearly seen, the Corba Call Chain's access authorization is always physically located within the chain at the point of processing. Thus, the access authorization check is performed hierarchically before permission to access a domain or subdomain and the computer to be accessed. [0017] Dieim Stand der Technik vorbekannten Lösungsansätze haben diverse z. T. gravierendeNachteile.Thein the prior art previously known approaches have various z. T. seriousDisadvantage. [0018] EineAnmeldung eines Benutzers auf allen Computern eines Netzwerkes,auf die möglicherweisezugegriffen werden soll, ist mit einem unvertretbaren Aufwand verbunden.Weiter besteht bei einer mehrfachen Anmeldung des Benutzers dasProblem, dass die Computer, auf denen der Benutzer angemeldet ist,nicht alle gleichzeitig beaufsichtigt werden können, so dass ein unbefugterDritter übereinen unbeaufsichtigten angemeldeten Computer leicht unbefugtenZutritt zu dem Netzwerk erlangen kann. Auch ist bei einer Mehrfachanmeldungeines Benutzers die Gefahr sehr groß, dass der Benutzer vergisst,sich nach Beendigung der Arbeit wieder von allen Computern abzumelden.ALogin of a user on all computers of a network,on the possibleis to be accessed, is associated with an unreasonable effort.Next is the multiple logon of the user theProblem that the computers on which the user is logged innot all at the same time can be supervised, leaving an unauthorizedThird overan unattended registered computer slightly unauthorizedGain access to the network. Also is in a multiple applicationa user's danger is very large that the user forgetsto log out of all computers after finishing work. [0019] Einezentrale Zugriffssteuerung übereinen Zentralrechner des Netzwerks wiederum beinhaltet den Nachteil,dass sie ein Netzwerk mit einem Zentralrechner voraussetzt und derZentralrechner sowie die im Netzwerk verbundenen Computer für eine zentraleZugriffssteuerung eingerichtet sein müssen. Im Falle einer Fehlfunktiondes Zentralrechners kann der Zugang zum Netzwerk für alle Benutzerunmöglichsein. Weiter könnenZugriffsberechtigungen normalerweise nur von einem Systemadministratordes Zentralrechners vergeben werden, so dass dieses System sehrunflexibel ist.Acentral access control viaa central computer of the network in turn involves the disadvantagethat it requires a network with a central computer and theCentral computer and the network connected computer for a centralAccess control must be set up. In case of malfunctionThe central computer can provide access to the network for all usersimpossiblebe. Next you canAccess permissions usually only from a system administratorof the central computer, so this system is veryis inflexible. [0020] Beider Corba Call Chain wiederum ist es nachteilig, dass zur Überprüfung derZugriffsberechtigung zusammen mit der Benutzeranfrage jeweils dieIdentitätdes Clients oder zumindest die Identität der in der Kette liegendenZugriffssteuerungen übergebenwerden muss. Hierdurch wird das Verfahren sehr anfällig für Manipulationen,da die der Benutzeranfrage beigefügten Informationen leicht ausgespäht und missbrauchtwerden können.Außerdem müssen dieeinzelnen Zugriffssteuerungen der Kette die mit der Identität des jeweiligenBenutzers bzw. die mit den in der Kette liegenden Zugriffssteuerungen verbundenenZugriffs- und/oder Ausführungsrechte kennen,wodurch die Einrichtung einer Corba Call Chain sehr aufwändig undlangwierig ist. Deshalb ist die Corba Call Chain sehr inflexibel.atThe Corba Call Chain, in turn, is detrimental to the review of theAccess authorization together with the user request respectivelyidentityof the client, or at least the identity of those in the chainPass access controlsmust become. This makes the method very susceptible to manipulation,because the information attached to the user request is easily spied out and misusedcan be.In addition, theindividual access controls the chain with the identity of the respectiveUser or those associated with the in-chain access controlsKnow access and / or execution rights,making the setup of a Corba Call Chain very time consuming and complexis tedious. That's why the Corba Call Chain is very inflexible. [0021] Ausgehendhiervon ist es Aufgabe der vorliegenden Erfindung, ein Netzwerksystemund ein Verfahren zur Steuerung eines Zugangs einer ersten Netzwerkkomponentezu wenigstens einer zweiten Netzwerkkomponente bereitzustellen,das bei größtmöglicherZugriffssicherheit ein hohes Maß anFlexibilitätbeinhaltet und keine zusätzlichenHardwarekomponenten benötigt.outgoingIt is the object of the present invention to provide a network systemand a method of controlling access of a first network componentto provide at least a second network component,the largest possibleAccess security a high levelflexibilityincludes and no additionalHardware components needed. [0022] Weiterist es Aufgabe der vorliegenden Erfindung, geeignete erste und zweiteNetzwerkkomponenten fürdas erfindungsgemäße Netzwerksystem bereitzustellen.FurtherIt is an object of the present invention, suitable first and secondNetwork components forto provide the network system according to the invention. [0023] DieAufgabe wird durch ein Verfahren mit den Merkmalen des unabhängigen Anspruchs1 gelöst.TheThe object is achieved by a method having the features of the independent claim1 solved. [0024] Weiterwird die Aufgabe bei einem Netzwerksystem mit den Merkmalen desOberbegriffs des unabhängigenAnspruchs 15 durch die Merkmale des kennzeichnenden Teiles des unabhängigen Anspruchs15 gelöst.Furtheris the task in a network system with the characteristics ofGeneric term of the independentClaim 15 by the features of the characterizing part of the independent claim15 solved. [0025] Fernerwird die Aufgabe durch erste und zweite Netzwerkkomponenten mitden Merkmalen der unabhängigenAnsprüche21 bzw. 26 gelöst.Furtherthe task is accomplished by first and second network componentsthe characteristics of the independentclaims21 and 26 solved. [0026] VorteilhafteAusgestaltungen befinden sich in den jeweiligen Unteransprüchen.advantageousEmbodiments are in the respective subclaims. [0027] Gemäß der vorliegendenErfindung wird ein Verfahren zur Steuerung eines Zugangs einer ersten Netzwerkkomponentezu wenigstens einer zweite Netzwerkkomponente vorgeschlagen, wobeidie erste Netzwerkkomponente und die wenigstens eine zweite Netzwerkkomponente über einNetzwerk verbunden sind und das Verfahren die folgenden Schritteumfasst: – Berechneneiner eindeutigen Benutzeridentifikation für einen Benutzer der erstenNetzwerkkomponente durch die erste Netzwerkkomponente; – Registrierungeines Auftrages des Benutzers an die erste Netzwerkkomponente durchdie erste Netzwerkkomponente, wobei der Auftrag eine Einbindungder wenigstens einen zweiten Netzwerkkomponente über das Netzwerk bedingt; – Übermittlungeiner durch die erste Netzwerkkomponente anhand des Auftrages erstelltenAnfrage zusammen mit der eindeutigen Benutzeridentifikation durchdie erste Netzwerkkomponente überdas Netzwerk an die zweite Netzwerkkomponente; – Detektionder der Anfrage beigefügteneindeutigen Benutzeridentifikation durch die zweite Netzwerkkomponente; – Erstellungeines Rechte-Prüfungsauftrages durchdie zweite Netzwerkkomponente anhand der detektierten eindeutigenBenutzeridentifikation; – Übermittlungdes Rechte-Prüfungsauftrages durchdie zweite Netzwerkkomponente überdas Netzwerk an die erste Netzwerkkomponente; – Überprüfung derZugangsberechtigung des Benutzers zu der zweiten Netzwerkkomponente durchdie erste Netzwerkkomponente anhand des Rechte-Prüfungsauftrages; – Übermittlungeines Ergebnisses der Überprüfung durchdie erste Netzwerkkomponente über dasNetzwerk an die zweite Netzwerkkomponente; und – Bereitstellungdes Zugangs des Benutzers zu der zweiten Netzwerkkomponente durchdie zweite Netzwerkkomponente, wenn das übermittelte Ergebnis der Überprüfung angibt,dass der Benutzer zum Zugang zu der zweiten Netzwerkkomponente berechtigtist. According to the present invention, a method for controlling access of a first network component to at least one second network component is proposed, wherein the first network component and the at least one second network component are connected via a network and the method comprises the following steps: Calculating by the first network component a unique user identification for a user of the first network component; - Registering an order of the user to the first network component by the first network component, wherein the order requires an integration of the at least one second network component via the network; - Transmission of a request generated by the first network component based on the order together with the unique user identification by the first network component via the network to the second network component; - Detection of the unique user identification attached to the request by the second network component; - Creation of a rights audit order by the second network component based on the detected unique user identification; - transmission of the rights audit order by the second network component via the network to the first network component; - checking the access authorization of the user to the second network component by the first network component based on the rights examination order; - transmitting a result of the check by the first network component to the second network component via the network; and Providing the user's access to the second network component by the second network component if the transmitted result of the verification indicates that the user is authorized to access the second network component. [0028] Somitwird gemäß der vorliegendenErfindung durch die Übermittlungder eindeutigen Benutzeridentifikation kein mit dem jeweiligen Benutzer verbundenesZugriffs- und/oder Ausführungsrecht übermittelt,sondern lediglich eine Referenzierung auf die Zugriffs- bzw. Ausführungsrechtedes jeweiligen Benutzers auf der jeweiligen ersten Netzwerkkomponenteweitergegeben. Die eindeutige Benutzeridentifikation wird von derzweiten Netzwerkkomponente somit nur zum Zwecke der Delegierungder Überprüfung derZugriffs- und/oder Ausführungsrechtedes Benutzers hinsichtlich der zweiten Netzwerkkomponente an dieerste Netzwerkkomponente ausgewertet und nicht, um der eindeutigenBenutzeridentifikation direkt die Zugriffs- und/oder Ausführungsrechte des Benutzerszu entnehmen.Consequentlyis in accordance with the presentInvention by the transmissionthe unique user identification no associated with the respective userTransmitted access and / or execution right,but only a reference to the access or execution rightsof the respective user on the respective first network componentpassed. The unique user identification is provided by thesecond network component thus only for the purpose of delegationthe review ofAccess and / or Execution Rightsof the user with respect to the second network componentevaluated first network component and not to the uniqueUser identification directly the user's access and / or execution rightsrefer to. [0029] Aufgrunddes Inhalts der von der zweiten Netzwerkkomponente detektierteneindeutigen Benutzeridentifikation wird die physikalische Überprüfung derZugriffs- und/oder Ausführungsrechteerfindungsgemäß von derzweiten Netzwerkkomponente auf die erste Netzwerkkomponente zurückdelegiert. Folglicherfolgt die physikalische Überprüfung der Zugriffs-und/oder Ausführungsrechteaußerhalbdes direkten Zugriffs auf die jeweilige zweite Netzwerkkomponente.by virtue ofthe content of the detected by the second network componentunique user identification will be the physical verification ofAccess and / or Execution RightsAccording to the invention of thesecond network component back to the first network component. consequentlythe physical verification of the accessand / or execution rightsoutsidedirect access to the respective second network component. [0030] Aufgrundder Delegation der Überprüfung derZugriffs- und/oderAusführungsrechtedes Benutzers hinsichtlich der zweiten Netzwerkkomponente von derzweiten Netzwerkkomponente an die erste Netzwerkkomponente durchErstellung und Übermittlungeines Rechte-Prüfungsauftragesist dieses Verfahren äußerst flexibel,da es ohne einen Zentralrechner im Netzwerk auskommt und der jeweiligeBenutzer der zweiten Netzwerkkomponente nicht einmal bekannt seinmuss. Eine Konfiguration der Zugriffs- und/oder Ausführungsrechtedes Benutzers auf der zweiten Netzwerkkomponente oder eine Anmeldungdes Benutzers bei der zweiten Netzwerkkomponente ist somit nichter forderlich. Hierdurch kann das Netzwerk flexibel erweitert werdenund die erste Netzwerkkomponente Anfragen an eine beliebige Anzahlvon zweiten Netzwerkkomponenten verteilen.by virtue ofthe delegation of the review ofAccess and / orexecution rightsof the user with respect to the second network component of thesecond network component to the first network componentCreation and transmissiona rights exam orderthis process is extremely flexible,as it does without a central computer in the network and the respectiveUsers of the second network component may not even be knowngot to. A configuration of access and / or execution rightsthe user on the second network component or a loginthe user at the second network component is thus nothe required. This allows flexible expansion of the networkand the first network component requests to any numberfrom second network components. [0031] Dazudem zusammen mit der eindeutigen Benutzeridentifikation keinedirekten Zugriffs- und/oder Ausführungsrechte übermitteltwerden, könnendiese von einem unbefugten Dritten auch nicht abgefangen und missbrauchtwerden, so dass das erfindungsgemäße Verfahren ein hohes Maß an SicherheitgegenüberManipulation gewährleistet.Theremoreover, together with the unique user identification nonedirect access and / or execution rightscan, canthey were not intercepted and misused by an unauthorized third partyso that the inventive method a high level of securityacross fromTampering guaranteed. [0032] Vorzugweiseweist das erfindungsgemäße Verfahrenferner die folgenden Schritte auf: – Anmeldungdes Benutzers bei der ersten Netzwerkkomponente; – Überprüfung derAnmeldung durch die erste Netzwerkkomponente; und – Bereitstellungeines Zugangs des Benutzers zu der ersten Netzwerkkomponente durchdie erste Netzwerkkomponente, wenn die Überprüfung ergibt, dass der Benutzerzum Zugriff zu der ersten Netzwerkkomponente berechtigt ist. Preferably, the inventive method further comprises the following steps: - registration of the user with the first network component; - checking the registration by the first network component; and Providing the user with access to the first network component by the first network component if the verification indicates that the user is authorized to access the first network component. [0033] Durchdie Überprüfung derBerechtigung des Benutzers auf Zugang zu der ersten Netzwerkkomponentewird sichergestellt, dass die Zugriffs- und/oder Ausführungsrechtedes Benutzers durch die erste Netzwerkkomponente richtig erfasstwerden und die tatsächlicheIdentitätdes Benutzers sichergestellt ist.Bythe review ofAuthorization of the user for access to the first network componentwill ensure that the access and / or execution rightsof the user correctly detected by the first network componentbe and the actualidentitythe user is ensured. [0034] Indiesem Fall ist es besonders vorteilhaft, wenn die Berechnung dereindeutigen Benutzeridentifikation für den Benutzer der ersten Netzwerkkomponenteautomatisch unmittelbar nach der Bereitstellung des Zugangs desBenutzers zu der ersten Netzwerkkomponente erfolgt.InIn this case, it is particularly advantageous if the calculation of theunique user identification for the user of the first network componentautomatically immediately after the provision of access of theUser to the first network component. [0035] Bevorzugtweist das Verfahren ferner die folgenden Schritte auf: – Bearbeitungder Anfrage durch die zweite Netzwerkkomponente zur Gewinnung einesAnfrageergebnisses; – Übermittlungdes Anfrageergebnisses durch die zweite Netzwerkkomponente über dasNetzwerk an die erste Netzwerkkomponente; und – Ausgabedes empfangenen Anfrageergebnisses durch die erste Netzwerkkomponentean den Benutzer. Preferably, the method further comprises the following steps: Processing the request by the second network component to obtain a request result; - Transmission of the request result by the second network component via the network to the first network component; and - Output of the received request result by the first network component to the user. [0036] Dabeisind die Schritte der Übermittlungdes Anfrageergebnisses durch die zweite Netzwerkkomponente über dasNetzwerk an die erste Netzwerkkomponente und der Ausgabe des empfangenenAnfrageergebnisses durch die erste Netzwerkkomponente an den Benutzernur fakultativ falls die Art bzw. Natur des Anfrageergebnisses eine Übermittlungund Ausgabe zulässt.Here are the steps of the transmission of the Query result by the second network component via the network to the first network component and the output of the received request result by the first network component to the user only optionally if the nature of the request result allows a transmission and output. [0037] Gemäß einerbevorzugten Ausführungsform dervorliegenden Erfindung enthältdie eindeutige Benutzeridentifikation den Namen des Benutzers sowie eineKommunikationsadresse der ersten Netzwerkkomponente.According to onepreferred embodiment ofpresent inventionthe unique user identification the name of the user as well as aCommunication address of the first network component. [0038] Hierdurcherhältdie zweite Netzwerkkomponente überdie eindeutige Benutzeridentifikation alle Informationen, die zueiner Delegation der Überprüfung derZugriffs- und/oder Ausführungsrechtedes Benutzers zu der zweiten Netzwerkkomponente von der zweitenNetzwerkkomponente an die erste Netzwerkkomponente erforderlichsind.herebyreceivesthe second network component viathe unique user identification all information that belongs toa delegation of the review of theAccess and / or Execution Rightsthe user to the second network component of the secondNetwork component to the first network component requiredare. [0039] Indiesem Fall ist es weiter vorteilhaft, wenn die eindeutige Benutzeridentifikationferner die Domäneder ersten Netzwerckomponente im Netzwerk angibt.InIn this case, it is also advantageous if the unique user identificationfurthermore, the domainindicates the first network component in the network. [0040] Gemäß einerbesonders bevorzugten Ausführungsformbeinhaltet der von der zweiten Netzwerkkomponente erstellte Rechte-Prüfungsauftrag individuelleZugangskriterien der jeweiligen zweiten Netzwerkkomponente.According to oneparticularly preferred embodimentThe rights exam order created by the second network component includes individual onesAccess criteria of the respective second network component. [0041] Anhandder in dem Rechte-Prüfungsauftrag enthaltenenindividuellen Zugangskriterien ist es der ersten Netzwerkkomponentemöglich,die Zugriffs- und/oder Ausführungsrechtedes Benut zers der ersten Netzwerkkomponente zu der zweiten Netzwerckomponenteindividuell fürdie jeweilige zweite Netzwerkkomponente zu überprüfen.Basedthe one contained in the Rights Audit Orderindividual access criteria, it is the first network componentpossible,the access and / or execution rightsthe user of the first network component to the second network componentindividually forto check the respective second network component. [0042] Vorzugsweiseerfolgen die Schritte der Anmeldung des Benutzers bei der erstenNetzwerkkomponente, der Überprüfung derAnmeldung durch die erste Netzwerkkomponente und der Bereitstellung desZugangs des Benutzers zu der ersten Netzwerkkomponente und/oderdes Berechnen einer eindeutigen Benutzeridentifikation für einenBenutzer der ersten Netzwerkkomponente und/oder der Überprüfung derZugangsberechtigung des Benutzers zu der zweiten Netzwerkkomponenteanhand des Rechte-Prüfungsauftragesund/oder der Übermittlungdes Überprüfungsergebnisses über dasNetzwerk an die zweite Netzwerkkomponente durch eine erste Zugriffssteuerungder ersten Netzwerkkomponente.PreferablyThe steps of logging in the user at the first take placeNetwork component, checking theLogin by the first network component and the provision of theAccess the user to the first network component and / orof computing a unique user identification for aUsers of the first network component and / or the review of theAccess authorization of the user to the second network componenton the basis of the rights examination orderand / or the transmissionof the verification result about theNetwork to the second network component through a first access controlthe first network component. [0043] Indiesem Falle ist es besonders vorteilhaft, wenn die eindeutige Benutzeridentifikationden Namen des Benutzers sowie eine Kommunikationsadresse der erstenZugriffssteuerung enthält.InIn this case, it is particularly advantageous if the unique user identificationthe name of the user as well as a communication address of the firstIncludes access control. [0044] Bevorzugterfolgen die Schritte der Registrierung des Auftrags des Benutzersan die erste Netzwerkkomponente und/oder der Übermittlung der anhand desAuftrags erstellten Anfrage zusammen mit der eindeutigen Benutzeridentifikation über dasNetzwerk an die zweite Netzwerkkomponente und/oder der Ausgabe desAnfrageergebnisses an den Benutzer durch eine auf der ersten Netzwerkkomponente laufendeerste Anwendung.PrefersThe steps of registering the user's job are doneto the first network component and / or the transmission of the basis of theJob created request together with the unique user identification via theNetwork to the second network component and / or the output of theRequest Result to the user by running on the first network componentfirst application. [0045] Indiesem Fall erzeugt die erste Anwendung die Anfrage vorzugsweisedurch Modifizierung des von dem Benutzer erhaltenen Auftrages.InIn this case, the first application preferably generates the requestby modifying the order received from the user. [0046] Vorzugsweiseerfolgen die Schritte der Detektion der der Anfrage beigefügten eindeutigenBenutzeridentifikation und/oder der Erstellung eines Rechte-Prüfungsauftragesanhand der ein deutigen Benutzeridentifikation und/oder der Übermittlungdes Rechte-Prüfungsauftrages über dasNetzwerk an die erste Netzwerkkomponente und/oder der Bereitstellungdes Zugangs des Benutzer zu der zweiten Netzwerkkomponente durcheine zweite Zugriffssteuerung der zweiten Netzwerkkomponente.Preferablythe steps of detection of the unique appended to the request take placeUser identification and / or the creation of a rights exam orderbased on a clear user identification and / or the transmissionof the Rights Examination Contract on theNetwork to the first network component and / or the deploymentthe user's access to the second network componenta second access control of the second network component. [0047] Weiterist es vorteilhaft, wenn die Schritte der Detektion der der Anfragebeigefügteneindeutigen Benutzeridentifikation und/oder der Bearbeitung der Anfragezur Gewinnung eines Anfrageergebnisses und/oder der Übermittlungdes Anfrageergebnisses überdas Netzwerk an die erste Netzwerkkomponente durch eine zweite Anwendungder zweiten Netzwerkkomponente erfolgen.FurtherIt is advantageous if the steps of detection of the requestattachedunique user identification and / or processing of the requestfor obtaining a request result and / or the transmissionof the inquiry result overthe network to the first network component through a second applicationthe second network component. [0048] Erfolgtdie Detektion der der Anfrage beigefügten eindeutigen Benutzeridentifikationdurch die zweite Anwendung der zweiten Netzwerkkomponente, so kanndas Format der eindeutigen Benutzeridentifikation unabhängig voneinem von der zweiten Zugriffssteuerung üblicherweise verwendeten Formatgewähltwerden, da eine Umsetzung durch die zweite Anwendung möglich ist.Hierdurch ist das erfindungsgemäße Verfahrenbesonders flexibel.He followsthe detection of the unique user identification attached to the requestthrough the second application of the second network component, so maythe format of the unique user identification independent ofa format commonly used by the second access controllerchosensince implementation by the second application is possible.As a result, the inventive methodespecially flexible. [0049] Dievorliegende Erfindung wird auch durch ein Computerprogrammproduktgelöst,dass geeignet ist, ein Verfahren nach einem der Ansprüche 1 bis 13auszuführen,wenn es in einen Computer geladen ist.TheThe present invention is also realized by a computer program productsolved,that is suitable, a method according to any one of claims 1 to 13perform,when it is loaded into a computer. [0050] Weiterwird die vorstehende Aufgabe durch ein Netzwerksystem mit wenigstenseiner ersten Netzwerkkomponente, die über ein Netzwerk mit wenigstenseiner zweiten Netzwerkkomponente verbunden ist, gelöst, wobeidie erste Netzwerkkomponente wenigstens eine erste Zugriffssteuerungsowie eine erste Anwendung und die zweite Netzwerkkomponente wenigstenseine zweite Zugriffssteuerung aufweist, wobei die erste Zugriffssteuerungausgebildet ist, um eine eindeutige Benutzeridentifikation für einenBenutzer der ersten Netzwerkkomponente zu berechnen und an die ersteAnwendung auszugeben; die erste Anwendung ausgebildet ist,um einen Auftrag des Benutzers an die erste Netzwerkkomponente,welcher eine Einbindung der zweiten Netzwerkkomponente über dasNetzwerk bedingt, zu registrieren, anhand des Auftrages eine Anfragean die zweite Netzwerkkomponente zu erstellen und die Anfrage zusammenmit der eindeutigen Benutzeridentifikation über das Netzwerk an die zweiteNetzwerkkomponente zu übermitteln; diezweite Zugriffssteuerung ausgebildet ist, um anhand der eindeutigenBenutzeridentifikation einen Rechte-Prüfungsauftragzu erstellen und den Rechte-Prüfungsauftrag über dasNetzwerk an die erste Zugriffssteuerung zu übermitteln; die ersteZugriffssteuerung ferner ausgebildet ist, um die Zugangsberechtigungdes Benutzers zu der zweiten Netzwerkkomponente anhand des empfangenen Rechte-Prüfungsauftrageszu überprüfen undein Ergebnis der Überprüfung über dasNetzwerk an die zweite Zugriffssteuerung zu übermitteln; und die zweiteZugriffssteuerung ferner ausgebildet ist, um den Zugang des Benutzerszu der zweiten Netzwerkkomponente bereitzustellen, wenn das vonder ersten Zugriffssteuerung übermittelteErgebnis der Überprüfung angibt,dass der Benutzer zum Zugang zu der zweiten Netzwerkkomponente berechtigtist.Furthermore, the above object is achieved by a network system having at least a first network component which is connected via a network to at least one second network component, the first network component having at least a first access controller and a first application and the second network component having at least one second access controller, in which the first access control is adapted to a calculate unique user identification for a user of the first network component and output to the first application; the first application is adapted to register a job of the user to the first network component which implies an integration of the second network component via the network, to make a request to the second network component based on the request and to transmit the request together with the unique user identification to transmit the network to the second network component; the second access controller is adapted to create a rights check job based on the unique user identification and to transmit the rights check job to the first access controller via the network; the first access controller is further configured to check the access authorization of the user to the second network component based on the received rights check job and to transmit a result of the check over the network to the second access controller; and the second access controller is further configured to provide the user's access to the second network component if the result of the verification communicated by the first access control indicates that the user is authorized to access the second network component. [0051] Dabeiist offensichtlich, dass die Übermittlungdes Ergebnisses der Überprüfung desempfangenen Rechte-Prüfungsauftragesdurch die erste Zugriffssteuerung an die zweite Zugriffssteuerungnicht nur direkt sondern auch indirekt über andere Elemente der zweitenNetzwerkkomponente erfolgen kann.thereis obvious that the transmissionthe result of the review of theReceived Rights Examination Contractby the first access control to the second access controllernot only directly but also indirectly via other elements of the secondNetwork component can be done. [0052] Vorzugweiseist die erste Zugriffssteuerung ferner ausgebildet, um eine Anmeldungdes Benutzers bei der ersten Netzwerckomponente zu überprüfen undeinen Zugang des Benutzers zu der ersten Netzwerkkomponente bereitzustellen,wenn die Über prüfung ergibt,dass der Benutzer zum Zugang zu der ersten Netzwerkkomponente berechtigtist.preferably,the first access control is further adapted to log onof the user at the first network component andto provide an access of the user to the first network component,if the over test shows,that the user is entitled to access the first network componentis. [0053] Besondersvorteilhaft ist es, wenn die zweite Netzwerkkomponente ferner einezweite Anwendung aufweist, die ausgebildet ist, um die der Anfragebeigefügteeindeutige Benutzeridentifikation zu detektieren und an die zweiteZugriffssteuerung zum Zwecke der Erstellung des Rechte-Prüfungsauftragesauszugeben und/oder um die Anfrage zur Gewinnung eines Anfrageergebniszu bearbeiten und das Anfrageergebnis über das Netzwerk an die ersteAnwendung zu übermitteln,und die erste Anwendung ferner ausgebildet ist, um das empfangeneAnfrageergebnis an den Benutzer auszugeben.EspeciallyIt is advantageous if the second network component also has asecond application, which is adapted to that of the requestattachedto detect unique user identification and to the secondAccess control for the purpose of creating the rights audit orderissue and / or the request to obtain a request resultto process and the query result over the network to the firstApplication to submitand the first application is further adapted to receive the received oneRequest result to the user. [0054] Dabeisind die Übermittlungdes Anfrageergebnisses überdas Netzwerk an die erste Anwendung und die Ausgabe des empfangenenAnfrageergebnisses durch die erste Anwendung an den Benutzer nurfakultativ falls die Art bzw. Natur des jeweiligen Anfrageergebnisseseine Übermittlungund Ausgabe zulässt.thereare the transmissionof the inquiry result overthe network to the first application and the output of the receivedQuery result by the first application to the user onlyoptional if the nature or nature of the respective query resulta transmissionand edition permits. [0055] Erfolgtdie Detektion der der Anfrage beigefügten eindeutigen Benutzeridentifikationund die Ausgabe der der Anfrage beigefügten eindeutigen Benutzeridentifikationan die zweite Zugriffssteuerung zum Zwecke der Erstellung des Rechte-Prüfungsauftragesdurch die zweite Anwendung, so kann sowohl die Nomenklatur der Anfrageals auch die Nomenklatur der eindeutigen Benutzeridentifikationunabhängigvon einer Nomenklatur der zweiten Zugriffssteuerung gewählt werden,da eine entsprechende Umsetzung durch die zweite Anwendung erfolgenkann. Hierdurch ist das erfindungsgemäße Netzwerksystem besondersflexibel.He followsthe detection of the unique user identification attached to the requestand the output of the unique user identification attached to the requestto the second access control for the purpose of creating the rights exam orderthrough the second application, so can both the nomenclature of the requestas well as the nomenclature of unique user identificationindependentlybe chosen from a nomenclature of the second access control,since a corresponding implementation by the second applicationcan. As a result, the network system according to the invention is particularflexible. [0056] Bevorzugtenthältdie von der ersten Zugriffssteuerung berechnete eindeutige Benutzeridentifikationden Namen des Benutzers sowie eine Kommunikationsadresse der erstenZugriffssteuerung.Preferscontainsthe unique user identification calculated by the first access controlthe name of the user as well as a communication address of the firstAccess control. [0057] Indiesem Falle ist es vorteilhaft, wenn die von der ersten Zugriffssteuerungberechnete eindeutige Benutzeridentifikation ferner die Domäne der erstenNetzwerkkomponente im Netzwerk angibt.InIn this case, it is advantageous if that of the first access controlFurthermore, unique user identification computes the domain of the first oneNetwork component on the network. [0058] Vorzugsweisebeinhaltet der von der zweiten Netzwerkkomponente erstellte Rechte-Prüfungsauftragindividuelle Zugangskriterien der jeweiligen zweiten Netzwerkkomponente.Preferablyincludes the rights audit job created by the second network componentindividual access criteria of the respective second network component. [0059] Weiterwird die vorstehend genannte Aufgabe durch eine erste Netzwerkkomponentezur Verwendung in einem Netzwerk, in dem die erste Netzwerkkomponente über dasNetzwerk mit wenigstens einer zweiten Netzwerkkomponente verbundenist, gelöst,mit einer ersten Zugriffssteuerung die ausgebildet ist, um eineeindeutige Benutzeridentifikation für einen Benutzer der erstenNetzwerkkomponente zu berechnen und an eine erste Anwendung derersten Netzwerkkomponente auszugeben, wobei die erste Anwendungausgebildet ist, um einen Auftrag des Benutzers an die erste Netzwerkkomponente, welchereine Einbindung der zweiten Netzwerkkomponente über das Netzwerk bedingt, zuregistrieren, anhand des Auftrages eine Anfrage an die zweite Netzwerkkomponentezu erstellen und die Anfrage zusammen mit der eindeutigen Benutzeridentifikation über dasNetzwerk an die zweite Netzwerkkomponente zu übermitteln, und wobei die ersteZugriffssteuerung ferner ausgebildet ist, um die Zugangsberechtigungdes Benutzers zu der zweiten Netzwerkkomponente anhand eines vonder zweiten Netzwerkkomponente in Folge der übermittelten eindeutigen Benutzeridentifikationerstellten und an die erste Netzwerkkomponente übermittelten Rechte-Prüfungsauftrageszu überprüfen undein Ergebnis der Überprüfung über dasNetzwerk an die zweite Netzwerkkomponente zu übermitteln.Further, the above object is achieved by a first network component for use in a network in which the first network component is connected to at least one second network component via the network, with a first access control configured to provide a unique user identification for a user first network component to compute and output to a first application of the first network component, wherein the first application is adapted to register an order of the user to the first network component, which requires an integration of the second network component via the network, a request based on the order to the second network component and to transmit the request along with the unique user identification via the network to the second network component, and wherein the first access control is further configured to control the access authorization of the user z u the second network component on the basis of one of the second network component as a result of the transmitted unique user identification created and transmitted to the first network component rights check check job and submit a result of the check over the network to the second network component. [0060] Dabeiist es besonders vorteilhaft, wenn die erste Zugriffssteuerung fernerausgebildet ist, um eine Anmeldung des Benutzers bei einer erstenNetzwerkkomponente zu überprüfen undden Zugang des Benutzer zu der ersten Netzwerkkomponente be reitzustellen,wenn die Überprüfung ergibt,dass der Benutzer zum Zugang zu der ersten Netzwerkkomponente berechtigtist.thereit is particularly advantageous if the first access control furtheris designed to register the user at a firstNetwork component to check andprovide the user's access to the first network component,if the review showsthat the user is entitled to access the first network componentis. [0061] Vorzugweiseist die erste Anwendung ferner ausgebildet, um ein von der zweitenNetzwerkkomponente gewonnenes und an die erste Netzwerkkomponente übermitteltesAnfrageergebnis an den Benutzer auszugeben.preferably,the first application is further adapted to be one of the secondNetwork component obtained and transmitted to the first network componentRequest result to the user. [0062] Bevorzugtenthältdie von der ersten Zugriffssteuerung berechnete eindeutige Benutzeridentifikationden Namen des Benutzers sowie eine Kommunikationsadresse der erstenZugriffssteuerung, wobei die von der ersten Zugriffssteuerung berechneteeindeutige Benutzeridentifikation vorzugsweise ferner die Domäne der erstenNetzwerkkomponente im Netzwerk angibt.Preferscontainsthe unique user identification calculated by the first access controlthe name of the user as well as a communication address of the firstAccess control, which is calculated by the first access controlunique user identification preferably also the domain of the firstNetwork component on the network. [0063] Dievorstehend genannte Aufgabe wird auch durch eine zweite Netzwerkkomponentezur Verwendung in einem Netzwerk, in dem die zweite Netzwerkkomponente über dasNetzwerk mit wenigstens einer ersten Netzwerkkomponente verbundenist, gelöst, wobeidie zweite Netzwerkkomponente aufweist: eine zweite Zugriffssteuerung,um eine einer von der ersten Netzwerkkomponente übermittelten Anfrage beigefügte eindeutigeBenutzeridentifikation eines Benutzers der ersten Netzwerkkomponentezu detektieren, anhand der eindeutigen Benutzeridentifikation einenRechte-Prüfungsauftragzu erstellen und den Rechte-Prüfungsauftrag über dasNetzwerk an die erste Netzwerkkomponente zu übermitteln, wobei die zweiteZugriffssteuerung ferner ausgebildet ist, um einen Zugang des Benutzerszu der zweiten Netzwerkkomponente bereitzustellen, wenn ein von derersten Zugriffssteuerung übermitteltesErgebnis einer Überprüfung desRechte-Prüfungsauftragergibt, dass der Benutzer zum Zugang zu der zweiten Netzwerkkomponenteberechtigt ist.The above object is also achieved by a second network component for use in a network in which the second network component is connected via the network to at least one first network component, the second network component comprising: a second access control to detect a unique user identification of a user of the first network component attached to a request transmitted by the first network component, to create a rights audit request based on the unique user identification, and to transmit the rights audit request to the first network component via the network the second access controller is further configured to provide an access of the user to the second network component if a result of a review of the rights check job transmitted by the first access control indicates that the user is authorized to access the second network component. [0064] Dabeikann die Detektion der der von der ersten Netzwerkkomponente übermitteltenAnfrage beigefügteneindeutigen Benutzeridentifikation eines Benutzers der ersten Netzwerkkompo nentedurch die zweite Zugriffssteuerung sowohl mittelbar als auch unmittelbarerfolgen.theremay be the detection of the transmitted from the first network componentRequest attachedunique user identification of a user of the first network componentby the second access control both indirectly and immediatelyrespectively. [0065] Bevorzugtweist die zweite Netzwerkkomponente ferner eine zweite Anwendungauf, die ausgebildet ist, um die der Anfrage beigefügte eindeutige Benutzeridentifikationzu detektieren und an die zweite Zugriffssteuerung zum Zwecke derErstellung des Rechte-Prüfungsauftragesauszugeben und/oder um die Anfrage zur Gewinnung eines Anfrageergebnisseszu bearbeiten und das Anfrageergebnis über das Netzwerk an die ersteNetzwerkkomponente zu übermitteln.Prefersthe second network component further has a second applicationwhich is adapted to the unique user identification attached to the requestto detect and to the second access control for the purpose ofCreation of the rights examination contractissue and / or the request to obtain a request resultto process and the query result over the network to the firstNetwork component to submit. [0066] Weiterist es vorteilhaft, wenn der von der zweiten Netzwerckomponenteerstellte Rechte-Prüfungsauftragindividuelle Zugangskriterien der zweiten Netzwerkkomponente beinhaltet.Furtherit is advantageous if that of the second network componentcreated rights exam orderincludes individual access criteria of the second network component. [0067] ImFolgenden werden Ausführungsbeispiele dervorliegenden Erfindung unter Bezugnahme auf die beigefügten Zeichnungen,in denen gleiche Bezugszeichen gleiche Elemente kennzeichnen, näher beschrieben.Dabei zeigtin theBelow are embodiments of thepresent invention with reference to the accompanying drawings,in which like reference numerals designate like elements, described in more detail.It shows [0068] 1 schematischden Aufbau des erfindungsgemäßen Netzwerksystemsgemäß einerbevorzugen Ausführungsform; 1 schematically the structure of the network system according to the invention according to a preferred embodiment; [0069] 2 einAblaufschema des erfindungsgemäßen Verfahrensin dem erfindungsgemäßen Netzwerksystemgemäß der bevorzugtenAusführungsform; 2 a flow chart of the inventive method in the network system according to the invention according to the preferred embodiment; [0070] 3a und 3b einFlussdiagramm des erfindungsgemäßen Verfahrensgemäß einerbevorzugten Ausführungsform;und 3a and 3b a flow chart of the method according to the invention according to a preferred embodiment; and [0071] 4 eineCorba Call Chain nach dem Stand der Technik. 4 a Corba call chain according to the prior art. [0072] 1 zeigtschematisch den Aufbau eines Netzwerksystems gemäß einer bevorzugten Ausführungsformder vorliegenden Erfindung. 1 schematically shows the structure of a network system according to a preferred embodiment of the present invention. [0073] Dasin 1 gezeigte Netzwerksystem weist eine erste Netzwerkkomponente 10 auf,die überein Netzwerk 1 mit zwei zweiten Netzwerkkomponenten 20 und 30 verbundenist.This in 1 shown network system has a first network component 10 on that over a network 1 with two second network components 20 and 30 connected is. [0074] Indem gezeigten besonders bevorzugten Ausführungsbeispiel weisen die ersteNetzwerkkomponente 10 und die zweiten Netzwerkkomponenten 20, 30 jeweilseine erste Zugriffssteuerung 11 bzw. zweite Zugriffssteuerungen 21 bzw. 31 sowieeine erste Anwendung 12 bzw. zweite Anwendungen 22 bzw. 32 auf.In the particularly preferred embodiment shown, the first network component 10 and the second network components 20 . 30 each a first access control 11 or second access controls 21 respectively. 31 as well as a first application 12 or second applications 22 respectively. 32 on. [0075] In 1 handeltes sich bei der ersten Netzwerkkomponente 10 und den zweitenNetzwerkkomponenten 20 bzw. 30 um miteinander über dasNetzwerk 1 vernetzte Computer. Die erste Zugriffssteuerung 11 bzw.die zweiten Zugriffssteuerungen 21, 31 und dieerste Anwendung 12 bzw. die zweiten Anwendungen 22, 32 sindin diesem Ausführungsbeispielauf den jeweiligen Computern 10, 20, 30 laufendeAnwendungen. Alternativ könnendie Zugriffssteuerungen und/oder die Anwendungen jedoch beispielsweisein Form von Mikroprozessor-gesteuerten separaten Bauteilen realisiertsein.In 1 this is the first network component 10 and the second network components 20 respectively. 30 to each other over the network 1 networked computers. The first access control 11 or the second access controls 21 . 31 and the first application 12 or the second An applications 22 . 32 are in this embodiment on the respective computers 10 . 20 . 30 running applications. Alternatively, however, the access controls and / or the applications may be implemented, for example, in the form of microprocessor-controlled separate components. [0076] Auchwenn das in 1 gezeigte Netzwerksystem nureine einzelne erste Netzwerkkomponente 10 über dasNetzwerk 1 mit zwei zweiten Netzwerkkomponenten 20, 30 verbindet,kann alternativ eine beliebige Anzahl von ersten Netzwerkkomponenten über dasNetzwerk 1 mit einer beliebigen Anzahl von zweiten Netzwerkkomponentenverbunden sein.Even if that is in 1 network system shown only a single first network component 10 over the network 1 with two second network components 20 . 30 Alternatively, any number of first network components may connect over the network 1 be connected to any number of second network components. [0077] Diein der ersten Netzwerkkomponente 10 enthaltene erste Zugriffssteuerung 11 istausgebildet, um eine Anmeldung eines Benutzers bei der ersten Netzwerkkomponente 10 zu überprüfen undeinen Zugang eines Benutzers zu der ersten Netzwerkkomponente 10 bereitzustellen,wenn die Überprüfung ergibt,dass der Benutzer zum Zugang zu der ersten Netzwerkkomponente 10 berechtigtist. Die Anmeldung kann wie bei Computern allgemein üblich beispielsweise über einePassworteingabe erfolgen.The in the first network component 10 included first access control 11 is configured to register a user with the first network component 10 to check and access a user to the first network component 10 when the verification reveals that the user has access to the first network component 10 is entitled. The registration can be done as usual in computers, for example via a password. [0078] Fernerist die erste Zugriffssteuerung 11 ausgebildet, um automatischeine eindeutige Benutzeridentifikation für einen Benutzer der erstenNetzwerkkomponente zu berechnen und an die erste Anwendung 12 derersten Netzwerkkomponente 10 auszugeben.Furthermore, the first access control is 11 configured to automatically calculate a unique user identification for a user of the first network component and to the first application 12 the first network component 10 issue. [0079] Indem in 1 gezeigten besonders bevorzugten Ausführungsbeispielenthältdie von der ersten Zugriffssteuerung 11 berechnete eindeutigeBenutzeridentifikation den Namen des Benutzers sowie eine Kommunikationsadresseder ersten Zugriffssteuerung 11 und gibt ferner die Domäne der ersten Netzwerkkomponente 10 imNetzwerk 1 an. Somit kann die eindeutige Benutzeridentifikationbeispielsweise das Format <Benutzername><Name der Domäne der ersten Netzwerkkomponente ><Rechnername><Portnummerder Zugriffssteuerung> haben.In the in 1 The particularly preferred embodiment shown includes that of the first access control 11 unique user ID calculated the name of the user as well as a communication address of the first access control 11 and also gives the domain of the first network component 10 in the network 1 at. Thus, the unique user identification may, for example, have the format <username> <name of the domain of the first network component> <computer name> <port number of access control>. [0080] Hierdurcherhältdie zweite Netzwerkkomponente überdie eindeutige Benutzeridentifikation alle Informationen, die zueiner Delegation der Überprüfung derZugriffs- und/oder Ausführungsrechtedes Benutzers zu der zweiten Netzwerkkomponente von der zweitenNetzwerkkomponente an die erste Netzwerkkomponente erforderlichsind.herebyreceivesthe second network component viathe unique user identification all information that belongs toa delegation of the review of theAccess and / or Execution Rightsthe user to the second network component of the secondNetwork component to the first network component requiredare. [0081] Diein der ersten Netzwerkkomponente 10 enthaltene erste Anwendung 12 istausgebildet, um übereine in der 1 nicht explizit gezeigte Benutzerschnittstelle(über welcheauch die Anmeldung des Benutzers bei der ersten Zugriffssteuerung 11 erfolgenkann), beispielsweise eine Maus oder eine Tastatur, einen Auftragdes Benutzers an die erste Netzwerkkomponente 10 zu registrierenund festzustellen, ob der Auftrag eine Einbindung von einer oderbeiden der zweiten Netzwerkkomponenten 20 und 30 über dasNetzwerk 1 bedingt.The in the first network component 10 included first application 12 is trained to have one in the 1 not explicitly shown user interface (via which also the user's login in the first access control 11 can be done), such as a mouse or a keyboard, a job of the user to the first network component 10 to register and determine if the order involves an integration of one or both of the second network components 20 and 30 over the network 1 conditionally. [0082] DieEinbindung von einer oder beiden der zweiten Netzwerkkomponenten 20 und 30 über das Netzwerk 1 kannbeispielsweise erforderlich sein, wenn die Rechenkapazität oder Speicherka pazität der erstenNetzwerkkomponente 10 füreine Bearbeitung des Auftrages nicht ausreicht oder für die Bearbeitungin einer oder beiden der zweiten Netzwerkkomponenten 20 und 30 gespeicherteDaten benötigt werden.The integration of one or both of the second network components 20 and 30 over the network 1 may be required, for example, if the computing capacity or storage capacity of the first network component 10 is not sufficient for processing the order or for processing in one or both of the second network components 20 and 30 stored data will be needed. [0083] Anhanddes Auftrags erstellt die erste Anwendung 12 automatischdurch geeignete Modifikation des Auftrags eine Anfrage an eine oderbeide zweiten Netzwerkkomponenten 20, 30 und übermitteltdie Anfrage zusammen mit der von der ersten Zugriffssteuerung 11 erhalteneneindeutigen Benutzeridentifikation über das Netzwerk 1 aneine oder beide zweite Netzwerkkomponenten 20, 30.Based on the job created the first application 12 automatically by a suitable modification of the order, a request to one or both second network components 20 . 30 and transmits the request along with that from the first access control 11 received unique user identification over the network 1 to one or both of the second network components 20 . 30 , [0084] Diezweiten Zugriffssteuerungen 21 bzw. 31 der zweitenNetzwerkkomponenten 20 bzw. 30 sind in dem in 1 gezeigtenbevorzugten Ausführungsbeispielausgebildet, um die der von der ersten Netzwerkkomponente 10 übermitteltenAnfrage beigefügteeindeutige Benutzeridentifikation des Benutzers der ersten Netzwerkkomponente 10 zudetektieren und anhand der eindeutigen Benutzeridentifikation einenRechte-Prüfungsauftragzu erstellen.The second access controls 21 respectively. 31 the second network components 20 respectively. 30 are in the in 1 shown preferred to that of the first network component 10 Submitted request unique user identification of the user of the first network component 10 to detect and create based on the unique user identification a rights audit order. [0085] Dabeienthältder Rechte-Prüfungsauftragindividuelle Zugangskriterien zu der jeweiligen zweiten Netzwerkkomponente 20 bzw. 30,so dass füreine Genehmigung eines Zugangs des Benutzers zu der jeweiligen zweitenNetzwerkkomponenten 20 bzw. 30 (beispielsweiseaufgrund von auf einer der zweiten Netzwerkkomponenten 20 bzw. 30 gespeicherten besonderssensiblen Daten) unterschiedliche Anforderungen gestellt werdenkönnen.The rights check order contains individual access criteria for the respective second network component 20 respectively. 30 , allowing for authorization of user access to the respective second network components 20 respectively. 30 (For example, due to on one of the second network components 20 respectively. 30 stored particularly sensitive data) different requirements can be made. [0086] Gemäß eineralternativen Ausführungsform (derenAufbau gleichwohl dem in 1 gezeigten Aufbau entspricht)erfolgt die Detektion der der Anfrage beigefügten eindeutigen Benutzeridentifikation nichtdurch die zweiten Zugriffssteuerungen 21 bzw. 31 sonderndurch die zweiten Anwendungen 22, 32.According to an alternative embodiment (the structure of which nevertheless corresponds to that in 1 shown construction), the detection of the unique user identification attached to the request is not performed by the second access controls 21 respectively. 31 but through the second applications 22 . 32 , [0087] Dieshat den Vorteil, dass die Nomenklatur der eindeutigen Benutzeridentifikationund der Anfrage nur von den zweiten Anwendungen 22, 32 und nichtvon den zweiten Zugriffssteuerungen 21, 31 abhängt.This has the advantage that the nomenclature of the unique user identification and the request only from the second applications 22 . 32 and not the second access controls 21 . 31 depends. [0088] Gemäß dieseralternativen Ausführungsform wirdeine detektierte eindeutige Benutzeridentifikation von den zweitenAnwendungen 22, 32 zum Zwecke der Erstellung desRechte-Prüfungsauftragesautomatisch an die jeweilige zweite Zugriffssteuerung 21 bzw. 31 ausgegeben.Hierfürkann die eindeutige Benutzeridentifikation durch die jeweilige zweiteAnwendung 22, 32 zuvor geeignet kodiert wordensein.According to this alternative embodiment, a detected unique user identification will be from the second applications 22 . 32 for two automatically create the rights audit job to the respective second access control 21 respectively. 31 output. For this purpose, the unique user identification by the respective second application 22 . 32 previously encoded appropriately. [0089] Dervon der jeweiligen zweiten Zugriffssteuerung 21 bzw. 31 derzweiten Netzwerkkomponenten 20 bzw. 30 erstellteRechte-Prüfungsauftragwird von der jeweiligen zweiten Netzwerkkomponente 20 bzw. 30 über dasNetzwerk 1 an die erste Zugriffssteuerung 11 derersten Netzwerkkomponente 10 übermittelt.That of the respective second access control 21 respectively. 31 the second network components 20 respectively. 30 created rights audit order is from the respective second network component 20 respectively. 30 over the network 1 to the first access control 11 the first network component 10 transmitted. [0090] Dieerste Zugriffssteuerung 11 der ersten Netzwerkkomponente 10 erhält die übermittelten Rechte-Prüfungsaufträge der zweitenNetzwerkkomponenten 20 bzw. 30 und überprüft anhandder in den Rechte-Prüfungsaufträgen enthaltenenindividuellen Zugangskriterien zu den jeweiligen zweiten Netzwerkkomponenten 20 bzw. 30 dieZugangsberechtigung des Benutzers zu der jeweiligen zweiten Netzwerkkomponente 20 bzw. 30.The first access control 11 the first network component 10 Receives the transmitted rights check jobs of the second network components 20 respectively. 30 and checks against the individual second network components based on the individual access criteria contained in the rights audit jobs 20 respectively. 30 the access authorization of the user to the respective second network component 20 respectively. 30 , [0091] Dasso ermittelte Ergebnis, welches angibt, ob der Benutzer der erstenNetzwerkkomponente 10 zu einem Zugang zu der jeweiligenzweiten Netzwerkkomponente 20 bzw. 30 berechtigtist, wird von der ersten Zugriffssteuerung 11 über dasNetzwerk 1 an die jeweilige zweite Netzwerkkomponente 20 bzw. 30 übermittelt.The result thus determined, which indicates whether the user of the first network component 10 to an access to the respective second network component 20 respectively. 30 is authorized by the first access control 11 over the network 1 to the respective second network component 20 respectively. 30 transmitted. [0092] Diezweiten Zugriffssteuerungen 21 bzw. 31 der zweitenNetzwerkkomponenten 20 bzw. 30 stellen in Abhängigkeitvom Inhalt eines von der ersten Zugriffssteuerung 11 derersten Netz werkkomponente 10 übermittelten Ergebnisses einenZugang des Benutzers der ersten Netzwerkkomponente 10 zu derzweiten Netzwerkkomponente 20 bzw. 30 bereit.The second access controls 21 respectively. 31 the second network components 20 respectively. 30 depending on the content of one of the first access control 11 the first network component 10 transmitted result access the user of the first network component 10 to the second network component 20 respectively. 30 ready. [0093] Wennder Benutzer der ersten Netzwerkkomponente 10 zu einemZugang zu der jeweiligen zweiten Netzwerkkomponente 20 bzw. 30 berechtigt ist,wird die Anfrage der ersten Anwendung 12 der ersten Netzwerkkomponente 10 automatischvon der jeweiligen zweiten Zugriffssteuerung 21 bzw. 31 an diejeweilige zweite Anwendung 22 bzw. 32 der jeweiligenzweiten Netzwerckomponente 20 bzw. 30 weitergeleitetund von dieser bearbeitet, um ein entsprechendes Anfrageergebniszu gewinnen.If the user of the first network component 10 to an access to the respective second network component 20 respectively. 30 is entitled, the request is the first application 12 the first network component 10 automatically from the respective second access control 21 respectively. 31 to the respective second application 22 respectively. 32 the respective second network component 20 respectively. 30 forwarded and processed by this, in order to win a corresponding query result. [0094] DasAnfrageergebnis wird von der jeweiligen zweiten Anwendung 22 bzw. 32 derjeweiligen zweiten Netzwerkkomponente 20 bzw. 30 automatisch über dasNetzwerk 1 an die erste Anwendung 12 der erstenNetzwerkkomponente 10 übermitteltund von dieser durch eine geeignete, in 1 nichtausdrücklichgezeigte Schnittstelle, beispielsweise einen Monitor oder Drucker,an den Benutzer der ersten Netzwerkkomponente 10 ausgegeben.The request result is from the respective second application 22 respectively. 32 the respective second network component 20 respectively. 30 automatically over the network 1 to the first application 12 the first network component 10 and transmitted by it through a suitable, in 1 not explicitly shown interface, such as a monitor or printer, to the user of the first network component 10 output. [0095] Esist offensichtlich dass die Übermittlung desAnfrageergebnisses von der jeweiligen zweiten Anwendung 22 bzw. 32 über dasNetzwerk 1 an die erste Anwendung 12 und die Ausgabedes empfangenen Anfrageergebnisses durch die erste Anwendung 12 anden Benutzer nur fakultativ sind, falls die jeweilige Art bzw. Naturdes Anfrageergebnisses eine Übermittlungund Ausgabe zulässt.It is obvious that the transmission of the request result from the respective second application 22 respectively. 32 over the network 1 to the first application 12 and the output of the received request result by the first application 12 to the user are only optional, if the respective nature or nature of the request result allows a transmission and output. [0096] Bestehtdie Anfrage beispielsweise in einem Druckauftrag an die jeweiligezweite Anwendung 22 bzw. 32, wobei der Druck durchdie jeweilige zweite Anwendung 22 bzw. 32 erfolgensoll, so ist eine Übermittlungdes Anfrageergebnisses von der jeweiligen zweiten Anwendung 22 bzw. 32 über dasNetzwerk 1 an die erste Anwendung 12 und die Ausgabedes empfangenen Anfrageergebnisses durch die erste Anwendung 12 anden Benutzer nicht sinnvoll.If the request exists, for example, in a print job to the respective second application 22 respectively. 32 wherein the pressure is through the respective second application 22 respectively. 32 should be done, so is a transmission of the request result of the respective second application 22 respectively. 32 over the network 1 to the first application 12 and the output of the received request result by the first application 12 to the user does not make sense. [0097] ImFolgenden wird die Arbeitsweise des in 1 gezeigtenerfindungsgemäßen Netzwerksystemsunter Bezugnahme auf das in 2 gezeigte Ablaufschemaund das in den 3a und 3b gezeigteFlussdiagramm nähererläutert.The following is the operation of the in 1 shown network system according to the invention with reference to the in 2 shown flow chart and that in the 3a and 3b Flowchart shown explained in more detail. [0098] Ineinem ersten Schritt S1 erfolgt eine Anmeldung 9 einesBenutzer 2 bei der ersten Zugriffssteuerung 11 derersten Netzwerkkomponente 10.In a first step S1, an application is made 9 a user 2 at the first access control 11 the first network component 10 , [0099] Imfolgenden Schritt S2 wird die Anmeldung 9 durch die ersteZugriffssteuerung 11 überprüft.In the following step S2, the application 9 through the first access control 11 checked. [0100] Wenndie erste Zugriffssteuerung 11 entscheidet, dass der Benutzer 2 zumZugang zu der ersten Netzwerkkomponente 10 berechtigt ist,stellt die erste Zugriffssteuerung 11 einen Zugang desBenutzers 2 zu der ersten Netzwerkkomponente 10 in SchrittS3 bereit.If the first access control 11 decides that the user 2 for access to the first network component 10 is authorized, represents the first access control 11 an access of the user 2 to the first network component 10 ready in step S3. [0101] Stelltdie erste Zugriffssteuerung 11 hingegen fest, dass derBenutzer 2 aufgrund der Anmeldung 9 nicht zumZugang zu der ersten Netzwerkkomponente 10 berechtigt ist,so verweigert die erste Zugriffssteuerung 11 der erstenNetzwerkkomponente 10 in Schritt S16 den Zugang des Benutzers 2 zu derersten Netzwerkkomponente 10 und terminiert das Verfahren.Represents the first access control 11 however, it states that the user 2 due to the registration 9 not to access the first network component 10 is authorized, so denied the first access control 11 the first network component 10 in step S16, the user's access 2 to the first network component 10 and terminate the procedure. [0102] Wurdein Schritt S3 ein Zugang des Benutzers 2 zu der erstenNetzwerkkomponente 10 hergestellt, so berechnet die ersteZugriffssteuerung 11 im folgenden Schritt S4 automatischeine eindeutige Benutzeridentifikation 3 für den Benutzer 2 derersten Netzwerkkomponente 10, wobei die eindeutige Benutzeridentifikation 3 denNamen des Benutzers 2, eine Kommunikationsadresse der erstenZugriffssteuerung 11 der ersten Netzwerkkomponente 10 sowiedie Domäneder ersten Netzwerkkomponente 10 im Netzwerk enthält.Was in step S3, an access of the user 2 to the first network component 10 established, the first access control calculates 11 in the following step S4 automatically a unique user identification 3 for the user 2 the first network component 10 where the unique user identification 3 the name of the user 2 , a communication address of the first access control 11 the first network component 10 and the domain of the first network component 10 on the network. [0103] Imfolgenden Schritt S5 registriert die erste Anwendung 12 derersten Netzwerkkomponente 10 automatisch einen Auftrag 4 desBenutzers 2, wobei der Auftrag 4 aufgrund seinerArt eine Einbindung der wenigstens einen zweiten Netzwerkkomponente 20 über dasNetzwerk bedingt.In the following step S5 registers the first application 12 the first network component 10 automatically an order 4 the user 2 , where the order 4 due to its nature, an integration of the at least one second network component 20 over the network conditionally. [0104] Anschließend erzeugtdie erste Anwendung 12 der ersten Netzwerkkomponente 10 inSchritt S6 durch Modifikation des Auftrags 4 automatischeine Anfrage 5 und übermitteltdie so erstellte Anfrage 5 automatisch zusammen mit dereindeutigen Benutzeridentifikation 3 über das Netzwerk an die zweite Netzwerkkomponente 20.Subsequently, the first application generates 12 the first network component 10 in step S6 by modifying the job 4 automatically a request 5 and transmits the request created in this way 5 automatically together with the unique user identification 3 over the network to the second network component 20 , [0105] Dabeikann die eindeutige Benutzeridentifikation 3 der erstenAnwendung 12 der ersten Netzwerkkomponente 10 gemäß einemersten Ausführungsbeispielzuvor durch die erste Zugriffssteuerung 11 mitgeteilt wordensein.This can be the unique user identification 3 the first application 12 the first network component 10 according to a first embodiment previously by the first access control 11 have been communicated. [0106] Alternativwird die eindeutige Benutzeridentifikation 3 der von derersten Anwendung 12 übermitteltenAnfrage 5 durch die erste Zugriffssteuerung 11 beider Übermittlungder Anfrage 5 an die zweite Netzwerkkomponente 20 automatischbeigefügt,so dass keine Mitteilung der eindeutigen Benutzeridentifikation 3 durchdie erste Zugriffssteuerung 11 an die erste Anwendung 12 erfolgenmuss.Alternatively, the unique user identification 3 the one from the first application 12 submitted request 5 through the first access control 11 when submitting the request 5 to the second network component 20 automatically attached, so no message of unique user identification 3 through the first access control 11 to the first application 12 must be done. [0107] Dieder Anfrage 5 beigefügteeindeutige Benutzeridentifikation 3 wird von der zweitenZugriffssteuerung 21 der zweiten Netzwerkkomponente 20 in SchrittS7 automatisch detektiert.The request 5 attached unique user identification 3 is from the second access control 21 the second network component 20 automatically detected in step S7. [0108] Alternativkann die Übermittlungder Anfrage 5 zusammen mit der eindeutigen Benutzeridentifikation 3 inSchritt S6 auch direkt an die zweite Anwendung 22 der zweitenNetzwerkkomponente 20 erfolgen, welche die der Anfrage 5 beigefügte eindeutige Benutzeridentifikationin Schritt S7 detektiert und zum Zwecke der Prüfung der Zugriffsberechtigungan die zweite Zugriffssteuerung 21 weiterleitet.Alternatively, the transmission of the request 5 together with the unique user identification 3 in step S6 also directly to the second application 22 the second network component 20 which are the request 5 attached unique user identification detected in step S7 and for the purpose of checking the access authorization to the second access control 21 forwards. [0109] Imfolgenden Schritt S8 erstellt die zweite Zugriffssteuerung 21 anhandder detektierten eindeutigen Benutzeridentifikation 3 undbasierend auf individuellen Zugangskriterien der zweiten Netzwerkkomponente 20 automatischeinen Rechte-Prüfungsauftrag 6.In the following step S8 creates the second access control 21 based on the detected unique user identification 3 and based on individual access criteria of the second network component 20 automatically a rights exam order 6 , [0110] Anschließend übermitteltdie zweite Zugriffssteuerung 21 der zweiten Netzwerkkomponente 20 denRechte-Prüfungsauftrag 6 inSchritt S9 automatisch überdas Netzwerk an die erste Netzwerkkomponente 10.Subsequently, the second access control transmits 21 the second network component 20 the rights exam order 6 in step S9 automatically over the network to the first network component 10 , [0111] Dervon der zweiten Zugriffssteuerung 21 übermittelte Rechte-Prüfungsauftrag 6 wirdvon der ersten Zugriffssteuerung 11 der ersten Netzwerkkomponente 10 empfangen.Die erste Zugriffssteuerung 11 prüft in Schritt S10 automatischdie Zugangsberechtigung des Benutzers 2 zu der zweitenNetzwerkkomponente 20 anhand des Rechte-Prüfungsauftrages 6 unterBerücksichtungder in dem Rechte-Prüfungsauftrag 6 enthaltenenindividuellen Zugangskriterien fürdie zweite Netzwerkkomponente 20.The second access control 21 Submitted rights examination order 6 is from the first access control 11 the first network component 10 receive. The first access control 11 automatically checks the access authorization of the user in step S10 2 to the second network component 20 on the basis of the rights examination order 6 taking into account the rights examination commission 6 contained individual access criteria for the second network component 20 , [0112] DasErgebnis 7 der Überprüfung wirdim folgenden Schritt S11 von der ersten Zugriffssteuerung 11 derersten Netzwerkkomponente 10 automatisch über dasNetzwerk an die zweite Zugriffssteuerung 21 der zweitenNetzwerkkomponente 20 übermittelt.The result 7 the check is made in the following step S11 from the first access control 11 the first network component 10 automatically over the network to the second access control 21 the second network component 20 transmitted. [0113] Diezweite Zugriffssteuerung 21 prüft, ob das übermittelte Ergebnis 7 angibt,dass der Benutzer 2 zum Zugang zu der zweiten Netzwerkkomponente 10 berechtigtist.The second access control 21 checks if the submitted result 7 indicates that the user 2 accesses the second network component 10 is entitled. [0114] Istdies nicht der Fall, verweigert die zweite Zugriffssteuerung 21 denZugang des Benutzers 2 zu der zweiten Netzwerckomponente 20 inSchritt S17 und terminiert das Verfahren.If not, the second access control is denied 21 the user's access 2 to the second network component 20 in step S17 and terminates the process. [0115] Anderenfallsstellt die zweite Zugriffssteuerung 21 den Zugang des Benutzers 2 zuder zweiten Netzwerkkomponente 20 in Schritt S12 bereit.Otherwise, the second access control 21 the user's access 2 to the second network component 20 ready in step S12. [0116] Sofernnicht bereits in einem früherenStadium erfolgt, übermitteltdie zweite Zugriffssteuerung 21 anschließend dieAnfrage 5 and die zweite Anwendung 22. Dabei kannerforderlichenfalls zusätzlichauch das Ergebnis 7 der Überprüfung der Zugriffsberechtigungdes Benutzers 2 zu der zweiten Netzwerckomponente 20 vonder zweiten Zugriffssteuerung 21 an die zweite Anwendung 22 übermitteltwerden.Unless already done at an earlier stage, the second access control submits 21 then the request 5 and the second application 22 , If necessary, in addition, the result 7 checking the access authorization of the user 2 to the second network component 20 from the second access control 21 to the second application 22 be transmitted. [0117] Wirddas Ergebnis 7 der Überprüfung derZugriffsberechtigung des Benutzers 2 zu der zweiten Netzwerkkomponente 20 vonder zweiten Zugriffssteuerung 21 an die zweite Anwendung 22 übertragen,so erlangt die zweite Anwendung 22 Kenntnis darüber, obsie fürden Benutzer 2 der ersten Netzwerkkomponente 10 tätig werdendarf.Will the result 7 checking the access authorization of the user 2 to the second network component 20 from the second access control 21 to the second application 22 transferred, then obtained the second application 22 Knowing if they are for the user 2 the first network component 10 may act. [0118] Imfolgenden Schritt S13 bearbeitet die zweite Anwendung 22 dieAnfrage 5 zur Gewinnung eines Anfrageergebnisses 8.In the following step S13, the second application processes 22 the request 5 to obtain a request result 8th , [0119] DasAnfrageergebnis 8 wird anschließend (Schritt S14) von derzweiten Anwendung 22 überdie zweite Zugriffssteuerung 21 über das Netzwerk an die ersteNetzwerkkomponente 10 übermittelt.The request result 8th is subsequently (step S14) of the second application 22 via the second access control 21 over the network to the first network component 10 transmitted. [0120] Einederartige Übermittlungdes Anfrageergebnisses 8 von der zweiten Anwendung 22 andie erste Netzwerkkomponente 10 erfolgt natürlich nur wenndie Art des Anfrageergebnisses 8 eine Übermittlung erforderlich macht.Such a transmission of the request result 8th from the second application 22 to the first network component 10 Of course, this only happens if the nature of the request result 8th requires a transmission. [0121] DasAnfrageergebnis 8 wird von der ersten Anwendung 12 derersten Netzwerkkomponente 10 über die erste Zugriffssteuerung 11 empfangenund in Schritt S15 an den Benutzer 2 der ersten Netzwerkkomponente 10 ausgegeben.Damit endet das Verfahren.The request result 8th is from the first application 12 the first network component 10 via the first access control 11 received and in step S15 to the user 2 the first network component 10 output. This ends the procedure. [0122] Gemäß einerbesonders bevorzugten Ausführungsformist die Erfindung in Form eines Computerprogramms implementiert,welches zur Ausführungdes erfindungsgemäßen Verfahrensnach einem der Ansprüche1 bis 13 geeignet ist, wenn es in einen Computer geladen ist.According to oneparticularly preferred embodimentthe invention is implemented in the form of a computer program,which for executionthe method according to the inventionaccording to one of the claims1 to 13 when loaded into a computer. [0123] Somitwird gemäß der vorliegendenErfindung durch die Übermittlungder eindeutigen Benutzeridentifikation 3 kein mit dem jeweiligenBenutzer 2 verbundenes Zugriffs- und/oder Ausführungsrecht übermittelt,sondern lediglich eine Referenzierung auf die Zugriffs- bzw. Ausführungsrechtedes jeweiligen Benutzer 2 auf der jeweiligen ersten Netzwerkkomponente 10 weitergegeben.Die eindeutige Benutzeridentifikation 3 wird von der zweitenNetzwerkkomponente 20, 30 somit nur zum Zweckeder Delegierung der Überprüfung derZugriffs- und/oder Ausführungsrechtedes Benutzers 2 hinsichtlich der zweiten Netzwerkkomponente 20, 30 andie erste Netzwerkkomponente 10 ausgewertet und nicht,um der eindeutigen Benutzeridentifikation 3 direkt die Zugriffs-und/oder Ausführungsrechtedes Benutzers zu entnehmen.Thus, according to the present invention, the transmission of the unique user identification 3 none with the respective user 2 connected access and / or execution right, but only a reference to the access or execution rights of each user 2 on the respective first network component 10 passed. The unique user identification 3 is from the second network component 20 . 30 thus only for the purpose of delegating the review of the user's access and / or execution rights 2 with regard to the second network component 20 . 30 to the first network component 10 evaluated and not to the unique user identification 3 directly to remove the access and / or execution rights of the user. [0124] Aufgrunddes Inhalts der von der zweiten Netzwerkkomponente 20, 30 detektierteneindeutigen Benutzeridentifikation 3 wird die physikalische Überprüfung derZugriffs- und/oder Ausführungsrechteerfindungsgemäß von derzweiten Netzwerkkomponente 20, 30 auf die ersteNetzwerkkomponente 10 zurückdelegiert. Folglich erfolgtdie physikalische Überprüfung derZugriffs- und/oder Ausführungsrechteaußerhalbdes direkten Zugriffs auf die jeweilige zweite Netzwerkkomponente 20, 30.Due to the content of the second network component 20 . 30 detected unique user identification 3 is the physical verification of access and / or execution rights according to the invention of the second network component 20 . 30 to the first network component 10 back delegated. Consequently, the physical checking of the access and / or execution rights takes place outside the direct access to the respective second network component 20 . 30 , [0125] Aufgrundder Delegation der Überprüfung derZugriffs- und/oderAusführungsrechtedes Benutzers hinsichtlich der zweiten Netzwerkkomponente 20, 30 vonder zweiten Netzwerckomponente 20, 30 an die ersteNetzwerkkomponente 10 durch Erstellung und Übermittlungeines Rechte-Prüfungsauftrages 6 istdie erfindungsgemäße Lösung äußerst flexibel,da sie ohne einen Zentralrechner im Netzwerk 1 auskommtund der jeweilige Benutzer 2 der jeweiligen zweiten Netzwerkkomponente 20, 30 nichteinmal bekannt sein muss. Eine Konfiguration der Zugriffs- und/oderAusführungsrechtedes Benutzers 2 auf der jeweiligen zweiten Netzwerkkomponente 20, 30 odereine Anmeldung des Benutzers 2 bei der jeweiligen zweitenNetzwerkkomponente 20, 30 ist somit nicht erforderlich.Hierdurch kann das Netzwerk 1 flexibel erweitert werdenund die erste Netzwerkkomponente 10 Anfragen an eine beliebigeAnzahl von zweiten Netzwerkkomponenten 20, 30 verteilen.Due to the delegation of verification of the user's access and / or execution rights with respect to the second network component 20 . 30 from the second network component 20 . 30 to the first network component 10 through the creation and transmission of a rights examination contract 6 the solution according to the invention is extremely flexible, since it is without a central computer in the network 1 gets along and the respective user 2 the respective second network component 20 . 30 does not even have to be known. A configuration of the user's access and / or execution rights 2 on the respective second network component 20 . 30 or a user login 2 at the respective second network component 20 . 30 is not required. This allows the network 1 be flexibly expanded and the first network component 10 Requests to any number of second network components 20 . 30 to distribute. [0126] Dazudem zusammen mit der eindeutigen Benutzeridentifikation 3 keinedirekten Zugriffs- und/oder Ausführungsrechte übermitteltwerden, könnendiese von einem unbefugten Dritten auch nicht abgefangen und missbrauchtwerden, so dass die erfindungsgemäße Lösung ein hohes Maß an SicherheitgegenüberManipulation gewährleistet.In addition, together with the unique user identification 3 no direct access and / or execution rights are transmitted, they can not be intercepted and misused by an unauthorized third party, so that the inventive solution ensures a high degree of security against manipulation. [0127] Durchdie automatische Überprüfung derBerechtigung des Benutzers 2 auf Zugang zu der ersten Netzwerkkomponente 10 gemäß der vorstehendbeschriebenen bevorzugten Ausführungsformwird zudem sichergestellt, dass die Zugriffs- und/oder Ausführungsrechtedes Benutzers 2 durch die erste Netzwerkkomponente 10 richtigerfasst werden und die tatsächlicheIdentitätdes Benutzers 2 sichergestellt ist.By automatically checking the authorization of the user 2 access to the first network component 10 In addition, according to the preferred embodiment described above, it is ensured that the user's access and / or execution rights 2 through the first network component 10 be properly recorded and the actual identity of the user 2 is ensured. [0128] Anhandder in dem Rechte-Prüfungsauftrag 6 vorzugsweiseenthaltenen individuellen Zugangskriterien ist es der ersten Netzwerkkomponente 10 möglich, dieZugriffs- und/oder Ausführungsrechte desBenutzers 2 der ersten Netzwerkkomponente 10 zuder zweiten Netzwerkkomponente 20, 30 individuellfür diejeweilige zweite Netzwerkkomponente 20, 30 zu überprüfen.Based on the in the rights exam order 6 preferably containing individual access criteria, it is the first network component 10 possible, the access and / or execution rights of the user 2 the first network component 10 to the second network component 20 . 30 individually for the respective second network component 20 . 30 to check.
权利要求:
Claims (28) [1] Verfahren zur Steuerung eines Zugangs einer erstenNetzwerkkomponente (10) zu wenigstens einer zweiten Netzwerkkomponente(20, 30), wobei die erste Netzwerkkomponente (10)und die wenigstens eine zweite Netzwerkkomponente (20, 30) über ein Netzwerk(1) verbunden sind und das Verfahren die folgenden Schritteumfasst: – (S4)Berechnen einer eindeutigen Benutzeridentifikation (3)für einenBenutzer (2) der ersten Netzwerkkomponente (10)durch die erste Netzwerkkomponente (10); – (S5) Registrierungeines Auftrages (4) des Benutzers (2) an die ersteNetzwerkkomponente (10) durch die erste Netzwerckomponente(10), wobei der Auftrag (4) eine Einbindung derwenigstens einen zweiten Netzwerkkomponente (20, 30) über dasNetzwerk (1) bedingt; – (S6) Übermittlung einer durch dieerste Netzwerkkomponente (10) anhand des Auftrages (4)erstellten Anfrage (5) zusammen mit der eindeutigen Benutzeridentifikation(3) durch die erste Netzwerkkomponente (10) über dasNetzwerk (1) an die zweite Netzwerkkomponente (20, 30); – (S7) Detektionder der Anfrage (5) beigefügten eindeutigen Benutzeridentifikation(3) durch die zweite Netzwerkkomponente (20, 30); – (S8) Erstellungeines Rechte-Prüfungsauftrages(6) durch die zweite Netzwerkkomponente (20, 30)anhand der detektierten eindeutigen Benutzeridentifikation (3); – (S9) Übermittlungdes Rechte-Prüfungsauftrages (6)durch die zweite Netzwerkkomponente (20, 30) über dasNetzwerk (1) an die erste Netzwerkkomponente (10); – (S10) Überprüfung derZugangsberechtigung des Benutzers (2) zu der zweiten Netzwerkkomponente (20, 30)durch die erste Netzwerkkomponente (10) anhand des Rechte-Prüfungsauftrages(6); – (S11) Übermittlungeines Ergebnisses (7) der Überprüfung durch die erste Netzwerkkomponente(10) überdas Netzwerk (1) an die zweite Netzwerkkomponente (20, 30);und – (S12)Bereitstellung des Zugangs des Benutzers (2) zu der zweitenNetzwerkkomponente (20, 30) durch die zweite Netzwerkkomponente(20, 30), wenn das übermittelte Ergebnis (7)der Überprüfung angibt,dass der Benutzer (2) zum Zugang zu der zweiten Netzwerkkomponente(20, 30) berechtigt ist.Method for controlling access of a first network component ( 10 ) to at least one second network component ( 20 . 30 ), the first network component ( 10 ) and the at least one second network component ( 20 . 30 ) over a network ( 1 ) and the method comprises the following steps: - (S4) calculating a unique user identification ( 3 ) for a user ( 2 ) of the first network component ( 10 ) by the first network component ( 10 ); - (S5) Registration of an order ( 4 ) of the user ( 2 ) to the first network component ( 10 ) by the first network component ( 10 ), whereby the order ( 4 ) an integration of the at least one second network component ( 20 . 30 ) over the network ( 1 ) conditionally; - (S6) Transmission of a message by the first network component ( 10 ) based on the order ( 4 ) ( 5 ) together with the unique user identification ( 3 ) by the first network component ( 10 ) over the network ( 1 ) to the second network component ( 20 . 30 ); - (S7) Detection of the request ( 5 ) attached unique user identification ( 3 ) by the second network component ( 20 . 30 ); - (S8) Creation of a rights examination contract ( 6 ) by the second network component ( 20 . 30 ) at hand of the detected unique user identification ( 3 ); - (S9) Transmission of the Rights Audit Order ( 6 ) by the second network component ( 20 . 30 ) over the network ( 1 ) to the first network component ( 10 ); - (S10) checking the access authorization of the user ( 2 ) to the second network component ( 20 . 30 ) by the first network component ( 10 ) on the basis of the rights examination order ( 6 ); - (S11) transmission of a result ( 7 ) checking by the first network component ( 10 ) over the network ( 1 ) to the second network component ( 20 . 30 ); and - (S12) providing the user's access ( 2 ) to the second network component ( 20 . 30 ) by the second network component ( 20 . 30 ), if the transmitted result ( 7 ) the verification indicates that the user ( 2 ) for access to the second network component ( 20 . 30 ) is entitled. [2] Verfahren nach Anspruch 1, dadurch gekennzeichnet, dassdas Verfahren ferner die folgenden Schritte aufweist: – (S1) Anmeldungdes Benutzers (2) bei der ersten Netzwerckomponente (10); – (S2) Überprüfung derAnmeldung durch die erste Netzwerkkomponente (10); und – (S3) Bereitstellungeines Zugangs des Benutzers (2) zu der ersten Netzwerkkomponente(10) durch die erste Netzwerkkomponente (10),wenn die Überprüfung ergibt,dass der Benutzer (2) zum Zugang zu der ersten Netzwerkkomponente(10) berechtigt ist.Method according to claim 1, characterized in that the method further comprises the following steps: - (S1) user's registration ( 2 ) at the first network component ( 10 ); - (S2) Verification of the application by the first network component ( 10 ); and - (S3) providing a user's access ( 2 ) to the first network component ( 10 ) by the first network component ( 10 ), if the verification shows that the user ( 2 ) for access to the first network component ( 10 ) is entitled. [3] Verfahren nach Anspruch 2, dadurch gekennzeichnet,dass die Berechnung (S4) der eindeutigen Benutzeridentifikation(3) fürden Benutzer (2) der ersten Netzwerkkomponente (10)unmittelbar nach der (S3) Bereitstellung des Zugangs des Benutzers (2)zu der ersten Netzwerkkomponente (10) erfolgt.Method according to Claim 2, characterized in that the calculation (S4) of the unique user identification (S4) 3 ) for the user ( 2 ) of the first network component ( 10 ) immediately after the (S3) provision of the user's access ( 2 ) to the first network component ( 10 ) he follows. [4] Verfahren nach Anspruch 1, 2 oder 3, dadurchgekennzeichnet, dass das Verfahren ferner die folgenden Schritteaufweist: – (S13)Bearbeitung der Anfrage (5) durch die zweite Netzwerkkomponente(20, 30) zur Gewinnung eines Anfrageergebnisses(8); – (S14) Übermittlungdes Anfrageergebnisses (8) durch die zweite Netzwerkkomponente(20, 30) über dasNetzwerk (1) an die erste Netzwerkkomponente (10);und – (S15)Ausgabe des empfangenen Anfrageergebnisses (8) durch dieerste Netzwerkkomponente (10) an den Benutzer (2).A method according to claim 1, 2 or 3, characterized in that the method further comprises the following steps: - (S13) processing of the request ( 5 ) by the second network component ( 20 . 30 ) to obtain a query result ( 8th ); - (S14) transmission of the request result ( 8th ) by the second network component ( 20 . 30 ) over the network ( 1 ) to the first network component ( 10 ); and - (S15) output the received request result ( 8th ) by the first network component ( 10 ) to the user ( 2 ). [5] Verfahren nach einem der vorangegangenen Ansprüche, dadurchgekennzeichnet, dass die eindeutige Benutzeridentifikation (3)den Namen des Benutzers (2) sowie eine Kommunikationsadresse derersten Netzwerkkomponente (10) enthält.Method according to one of the preceding claims, characterized in that the unique user identification ( 3 ) the name of the user ( 2 ) as well as a communication address of the first network component ( 10 ) contains. [6] Verfahren nach Anspruch 5, dadurch gekennzeichnet,dass die eindeutige Benutzeridentifikation (3) ferner dieDomäneder ersten Netzwerkkomponente (10) im Netzwerk (1)angibt.Method according to claim 5, characterized in that the unique user identification ( 3 ) the domain of the first network component ( 10 ) in the network ( 1 ) indicates. [7] Verfahren nach einem der vorangegangenen Ansprüche, dadurchgekennzeichnet, dass der von der zweiten Netzwerkkomponente (20, 30)erstellte Rechte-Prüfungsauftrag(6) individuelle Zugangskriterien der jeweiligen zweitenNetzwerkkomponente (20, 30) beinhaltet.Method according to one of the preceding claims, characterized in that that of the second network component ( 20 . 30 ) created rights examination order ( 6 ) individual access criteria of the respective second network component ( 20 . 30 ) includes. [8] Verfahren nach einem der vorangegangenen Ansprüche, dadurchgekennzeichnet, dass die Schritte der (S1) Anmeldung des Benutzers(2) bei der ersten Netzwerkkomponente (10), der(S2) Überprüfung derAnmeldung durch die erste Netzwerkkomponente (10) und der(S3) Bereitstellung des Zugangs des Benutzers (2) zu derersten Netzwerkkomponente (10) und/oder des (S4) Berechneneiner eindeutigen Benutzeridentifikation (3) für einenBenutzer (2) der ersten Netzwerkkomponente (10) und/oderder (S10) Überprüfung derZugangsberechtigung des Benutzers (2) zu der zweiten Netzwerkkomponente(20, 30) anhand des Rechte-Prüfungsauftrages(6) und/oder der (S9) Übermittlungdes Überprüfungsergebnisses(7) überdas Netzwerk (1) an die zweite Netzwerkkomponente (20, 30)durch eine erste Zugriffssteuerung (11) der ersten Netzwerkkomponente(10) erfolgen.Method according to one of the preceding claims, characterized in that the steps of the (S1) application of the user ( 2 ) at the first network component ( 10 ), the (S2) check of the registration by the first network component ( 10 ) and the (S3) provision of the user's access ( 2 ) to the first network component ( 10 ) and / or (S4) calculating a unique user identification ( 3 ) for a user ( 2 ) of the first network component ( 10 ) and / or the (S10) checking the access authorization of the user ( 2 ) to the second network component ( 20 . 30 ) on the basis of the rights examination order ( 6 ) and / or the (S9) transmission of the check result ( 7 ) over the network ( 1 ) to the second network component ( 20 . 30 ) by a first access control ( 11 ) of the first network component ( 10 ) respectively. [9] Verfahren nach Anspruch 8, dadurch gekennzeichnet,dass die eindeutige Benutzeridentifikation (3) den Namendes Benutzers (2) sowie eine Kommunikationsadresse derersten Zugriffssteuerung (11) enthält.Method according to claim 8, characterized in that the unique user identification ( 3 ) the name of the user ( 2 ) as well as a communication address of the first access control ( 11 ) contains. [10] Verfahren nach einem der vorangegangenen Ansprüche, dadurchgekennzeichnet, dass die Schritte der (S5) Registrierung des Auftrages(4) des Benutzers (2) an die erste Netzwerkkomponente(10) und/oder der (S6) Übermittlungder anhand des Auftrages (4) erstellten Anfrage (5)zusammen mit der eindeutigen Benutzeridentifikation (3) über dasNetzwerk (1) an die zweite Netzwerkkomponente (20, 30) und/oderder (S15) Ausgabe des Anfrageergebnisses (8) an den Benutzer(2) durch eine auf der ersten Netzwerkkomponente (10)laufende erste Anwendung (12) erfolgen.Method according to one of the preceding claims, characterized in that the steps of the (S5) registration of the order ( 4 ) of the user ( 2 ) to the first network component ( 10 ) and / or the (S6) transmission of the order ( 4 ) ( 5 ) together with the unique user identification ( 3 ) over the network ( 1 ) to the second network component ( 20 . 30 ) and / or the (S15) output of the request result ( 8th ) to the user ( 2 ) by one on the first network component ( 10 ) running first application ( 12 ) respectively. [11] Verfahren nach Anspruch 10, dadurch gekennzeichnet,dass die erste Anwendung (12) die Anfrage (5)durch Modifizierung des Auftrages (4) erzeugt.Method according to claim 10, characterized in that the first application ( 12 ) the request ( 5 ) by modifying the order ( 4 ) generated. [12] Verfahren nach einem der vorangegangenen Ansprüche, dadurchgekennzeichnet, dass die Schritte der (S7) Detektion der der Anfrage(5) beigefügteneindeutigen Benutzeridentifikation (3) und/oder der (S8)Erstellung eines Rechte-Prüfungsauftrages(6) anhand der eindeutigen Benutzeridentifikation (3)und/oder der (S9) Übermittlungdes Rechte-Prüfungsauftrages(6) überdas Netzwerk (1) an die erste Netzwerkkomponente (10)und/oder der (S12) Bereitstellung des Zugangs des Benutzers (2) zuder zweiten Netzwerkkomponente (20, 30) durch einezweite Zugriffssteuerung (21, 31) der zweiten Netzwerkkomponente(20, 30) erfolgen.Method according to one of the preceding claims, characterized in that the Steps of (S7) detection of the request ( 5 ) attached unique user identification ( 3 ) and / or the (S8) creation of a rights examination order ( 6 ) based on the unique user identification ( 3 ) and / or the (S9) transmission of the rights audit order ( 6 ) over the network ( 1 ) to the first network component ( 10 ) and / or the (S12) provision of the user's access ( 2 ) to the second network component ( 20 . 30 ) by a second access control ( 21 . 31 ) of the second network component ( 20 . 30 ) respectively. [13] Verfahren nach einem der vorangegangenen Ansprüche, dadurchgekennzeichnet, dass die Schritte der (S7) Detektion der der Anfrage(5) beigefügteneindeutigen Benutzeridentifikation (3) und/oder der (S13)Bearbeitung der Anfrage (5) zur Gewinnung eines Anfrageergebnisses(8) und/oder der (S14) Übermittlungdes Anfrageergebnisses (8) über das Netzwerk (1)an die erste Netzwerkkomponente (10) durch eine zweiteAnwendung (22, 32) der zweiten Netzwerkkomponente(20, 30) erfolgen.Method according to one of the preceding claims, characterized in that the steps of the (S7) detection of the request ( 5 ) attached unique user identification ( 3 ) and / or the (S13) processing of the request ( 5 ) to obtain a query result ( 8th ) and / or the (S14) transmission of the request result ( 8th ) over the network ( 1 ) to the first network component ( 10 ) by a second application ( 22 . 32 ) of the second network component ( 20 . 30 ) respectively. [14] Computerprogrammprodukt das geeignet ist, ein Verfahrennach einem der Ansprüche1 bis 13 auszuführen,wenn es in einen Computer geladen ist.Computer program product that is suitable, a methodaccording to one of the claimsPerform 1 to 13,when it is loaded into a computer. [15] Netzwerksystem mit wenigstens einer ersten Netzwerkkomponente(10), die überein Netzwerk (1) mit wenigstens einer zweiten Netzwerkkomponente (20, 30)verbunden ist, wobei die erste Netzwerkkomponente (10)wenigstens eine erste Zugriffssteuerung (11) sowie eineerste Anwendung (12) und die zweite Netzwerkkomponente(20, 30) wenigstens eine zweite Zugriffssteuerung(21, 31) aufweist, dadurch gekennzeichnet,dass die erste Zugriffssteuerung (11) ausgebildetist, um eine eindeutige Benutzeridentifikation (3) für einen Benutzer(2) der ersten Netzwerkkomponente (10) zu berechnenund an die erste Anwendung (12) auszugeben; die ersteAnwendung (12) ausgebildet ist, um einen Auftrag (4)des Benutzers (2) an die erste Netzwerkkomponente (10),welcher eine Einbindung der zweiten Netzwerkkomponente (20, 30) über dasNetzwerk (1) bedingt, zu registrieren, anhand des Auftrages(4) eine Anfrage (5) an die zweite Netzwerkkomponente(20, 30) zu erstellen und die Anfrage (5)zusammen mit der eindeutigen Benutzeridentifikation (3) über dasNetzwerk (1) an die zweite Netzwerkkomponente (20, 30)zu übermitteln; diezweite Zugriffssteuerung (21, 31) ausgebildetist, um anhand der eindeutigen Benutzeridentifikation (3) einenRechte- Prüfungsauftrag(6) zu erstellen und den Rechte-Prüfungsauftrag(6) überdas Netzwerk (1) an die erste Zugriffssteuerung (11)zu übermitteln; dieerste Zugriffssteuerung (11) ferner ausgebildet ist, umdie Zugangsberechtigung des Benutzers (2) zu der zweitenNetzwerkkomponente (20, 30) anhand des empfangenenRechte-Prüfungsauftrages (6)zu überprüfen undein Ergebnis (7) der Überprüfung über dasNetzwerk (1) an die zweite Zugriffssteuerung (21, 31)zu übermitteln;und die zweite Zugriffssteuerung (21, 31)ferner ausgebildet ist, um den Zugang des Benutzers (2)zu der zweiten Netzwerkkomponente (20, 30) bereitzustellen,wenn das von der ersten Zugriffssteuerung (11) übermittelteErgebnis (7) der Überprüfung angibt, dassder Benutzer (2) zum Zugang zu der zweiten Netzwerkkomponente(20, 30) berechtigt ist.Network system with at least one first network component ( 10 ) over a network ( 1 ) with at least one second network component ( 20 . 30 ), the first network component ( 10 ) at least one first access control ( 11 ) and a first application ( 12 ) and the second network component ( 20 . 30 ) at least one second access control ( 21 . 31 ), characterized in that the first access control ( 11 ) is designed to provide a unique user identification ( 3 ) for a user ( 2 ) of the first network component ( 10 ) and to the first application ( 12 ) issue; the first application ( 12 ) is designed to perform an order ( 4 ) of the user ( 2 ) to the first network component ( 10 ), which involves an integration of the second network component ( 20 . 30 ) over the network ( 1 ), to register, based on the order ( 4 ) a request ( 5 ) to the second network component ( 20 . 30 ) and the request ( 5 ) together with the unique user identification ( 3 ) over the network ( 1 ) to the second network component ( 20 . 30 ) to transmit; the second access control ( 21 . 31 ) is designed to be based on the unique user identification ( 3 ) a rights audit mandate ( 6 ) and the rights examination order ( 6 ) over the network ( 1 ) to the first access control ( 11 ) to transmit; the first access control ( 11 ) is further adapted to the access authorization of the user ( 2 ) to the second network component ( 20 . 30 ) on the basis of the received rights examination order ( 6 ) and a result ( 7 ) the review over the network ( 1 ) to the second access control ( 21 . 31 ) to transmit; and the second access control ( 21 . 31 ) is further adapted to prevent the user ( 2 ) to the second network component ( 20 . 30 ) when the first access control ( 11 ) transmitted result ( 7 ) the verification indicates that the user ( 2 ) for access to the second network component ( 20 . 30 ) is entitled. [16] Netzwerksystem nach Anspruch 15, dadurch gekennzeichnet,dass die erste Zugriffssteuerung (11) ferner ausgebildetist, um eine Anmeldung des Benutzers (2) bei der erstenNetzwerkkomponente (10) zu überprüfen und einen Zugang des Benutzers (2)zu der ersten Netzwerkkomponente (10) bereitzustellen,wenn die Überprüfung ergibt,dass der Benutzer (2) zum Zugang zu der ersten Netzwerkkomponente(10) berechtigt ist.Network system according to claim 15, characterized in that the first access control ( 11 ) is further adapted to register the user ( 2 ) at the first network component ( 10 ) and a user's access ( 2 ) to the first network component ( 10 ), if the verification shows that the user ( 2 ) for access to the first network component ( 10 ) is entitled. [17] Netzwerksystem nach Anspruch 15 oder 16, dadurchgekennzeichnet, die zweite Netzwerkkomponente (20, 30)ferner eine zweite Anwendung (22, 32) aufweist,die ausgebildet ist, um die der Anfrage (5) beigefügte eindeutigeBenutzeridentifikation (3) zu detektieren und an die zweiteZugriffssteuerung (21, 31) zum Zwecke der Erstellungdes Rechte-Prüfungsauftrages(6) auszugeben und/oder um die Anfrage (5) zurGewinnung eines Anfrageergebnisses (8) zu bearbeiten unddas Anfrageergebnisses (8) über das Netzwerk (1)an die erste Anwendung (12) zu übermitteln, und die erste Anwendung(12) ferner ausgebildet ist, um das empfangene Anfrageergebnis(8) an den Benutzer (2) auszugeben.Network system according to Claim 15 or 16, characterized in that the second network component ( 20 . 30 ), a second application ( 22 . 32 ), which is designed to correspond to the request ( 5 ) attached unique user identification ( 3 ) and to the second access control ( 21 . 31 ) for the purpose of the preparation of the rights examination contract ( 6 ) and / or the request ( 5 ) to obtain a query result ( 8th ) and the query result ( 8th ) over the network ( 1 ) to the first application ( 12 ) and the first application ( 12 ) is further adapted to receive the received query result ( 8th ) to the user ( 2 ). [18] Netzwerksystem nach Anspruch 15, 16 oder 17, dadurchgekennzeichnet, dass die von der ersten Zugriffssteuerung (11)berechnete eindeutige Benutzeridentifikation (3) den Namendes Benutzers (2) sowie eine Kommunikationsadresse derersten Zugriffssteuerung (11) enthält.A network system according to claim 15, 16 or 17, characterized in that that of the first access control ( 11 ) calculated unique user identification ( 3 ) the name of the user ( 2 ) as well as a communication address of the first access control ( 11 ) contains. [19] Netzwerksystem nach Anspruch 18, dadurch gekennzeichnet,dass die von der ersten Zugriffssteuerung (11) berechneteeindeutige Benutzeridentifikation (3) ferner die Domäne der erstenNetzwerkkomponente (10) im Netzwerk (1) angibt.Network system according to claim 18, characterized in that the information provided by the first access control ( 11 ) calculated unique user identification ( 3 ) the domain of the first network component ( 10 ) in the network ( 1 ) indicates. [20] Netzwerksystem nach einem der Ansprüche 15 bis19, dadurch gekennzeichnet, dass der von der zweiten Netzwerkkomponente(20, 30) erstellte Rechte-Prüfungsauftrag (6) individuelleZugangskriterien der jeweiligen zweiten Netzwerkkomponente (20, 30)beinhaltet.Network system according to one of Claims 15 to 19, characterized in that that of the second network component ( 20 . 30 ) created rights examination order ( 6 ) individual access criteria of the respective second network component ( 20 . 30 ) includes. [21] Erste Netzwerkkomponente zur Verwendung in einemNetzwerk (1), in dem die erste Netzwerkkomponente (10) über dasNetzwerk (1) mit wenigstens einer zweiten Netzwerkkomponente(20, 30) verbunden ist, mit einer erstenZugriffssteuerung (11) die ausgebildet ist, um eine eindeutigeBenutzeridentifikation (3) für einen Benutzer (2)der ersten Netzwerkkomponente (10) zu berechnen und aneine erste Anwendung (12) der ersten Netzwerkkomponente(10) auszugeben, wobei die erste Anwendung (12)ausgebildet ist, um einen Auftrag (4) des Benutzers (2)an die erste Netzwerkkomponente (10), welcher eine Einbindungder zweiten Netzwerkkomponente (20, 30) über dasNetzwerk (1) bedingt, zu registrieren, anhand des Auftrages(4) eine Anfrage (5) an die zweite Netzwerkkom ponente(20, 30) zu erstellen und die Anfrage (5)zusammen mit der eindeutigen Benutzeridentifikation (3) über dasNetzwerk (1) an die zweite Netzwerkkomponente (20, 30)zu übermitteln,und wobei die erste Zugriffssteuerung (11) fernerausgebildet ist, um die Zugangsberechtigung des Benutzers (1)zu der zweiten Netzwerkkomponente (20, 30) anhandeines von der zweiten Netzwerkkomponente (20, 30)in Folge der übermittelteneindeutigen Benutzeridentifikation (3) erstellten und andie erste Netzwerkkomponente (10) übermittelten Rechte-Prüfungsauftrages(6) zu überprüfen undein Ergebnis (7) der Überprüfung über dasNetzwerk (1) an die zweite Netzwerkkomponente (20, 30)zu übermitteln.First network component for use in a network ( 1 ), in which the first network component ( 10 ) over the network ( 1 ) with at least one second network component ( 20 . 30 ) connected to a first access control ( 11 ) which is designed to provide a unique user identification ( 3 ) for a user ( 2 ) of the first network component ( 10 ) and to a first application ( 12 ) of the first network component ( 10 ), the first application ( 12 ) is designed to perform an order ( 4 ) of the user ( 2 ) to the first network component ( 10 ), which involves an integration of the second network component ( 20 . 30 ) over the network ( 1 ), to register, based on the order ( 4 ) a request ( 5 ) to the second network component ( 20 . 30 ) and the request ( 5 ) together with the unique user identification ( 3 ) over the network ( 1 ) to the second network component ( 20 . 30 ), and wherein the first access control ( 11 ) is further adapted to the access authorization of the user ( 1 ) to the second network component ( 20 . 30 ) based on one of the second network component ( 20 . 30 ) as a result of the transmitted unique user identification ( 3 ) and to the first network component ( 10 ) transmitted rights examination order ( 6 ) and a result ( 7 ) the review over the network ( 1 ) to the second network component ( 20 . 30 ). [22] Erste Netzwerkkomponente nach Anspruch 21, dadurchgekennzeichnet, dass die erste Zugriffssteuerung (11) fernerausgebildet ist, um eine Anmeldung des Benutzers (2) beider ersten Netzwerckomponente (10) zu überprüfen und den Zugang des Benutzers(2) zu der ersten Netzwerkkomponente (10) bereitzustellen,wenn die Überprüfung ergibt,dass der Benutzer (2) zum Zugang zu der ersten Netzwerkkomponente(10) berechtigt ist.First network component according to claim 21, characterized in that the first access control ( 11 ) is further adapted to register the user ( 2 ) at the first network component ( 10 ) and the access of the user ( 2 ) to the first network component ( 10 ), if the verification shows that the user ( 2 ) for access to the first network component ( 10 ) is entitled. [23] Erste Netzwerkkomponente nach Anspruch 21 oder 22,dadurch gekennzeichnet, dass die erste Anwendung (12) fernerausgebildet ist, um ein von der zweiten Netzwerkkomponente (20, 30)gewonnenes und an die erste Netzwerkkomponente (10) übermitteltesAnfrageergebnis (8) an den Benutzer (2) auszugeben.First network component according to claim 21 or 22, characterized in that the first application ( 12 ) is further adapted to receive one of the second network component ( 20 . 30 ) and to the first network component ( 10 ) transmitted query result ( 8th ) to the user ( 2 ). [24] Erste Netzwerkkomponente nach Anspruch 21, 22 oder23, dadurch gekennzeichnet, dass die von der ersten Zugriffssteuerung(11) berechnete eindeutige Benutzeridentifikation (3)den Namen des Benutzers (2) sowie eine Kommunikationsadresse derersten Zugriffssteuerung (11) enthält.First network component according to claim 21, 22 or 23, characterized in that that of the first access control ( 11 ) calculated unique user identification ( 3 ) the name of the user ( 2 ) as well as a communication address of the first access control ( 11 ) contains. [25] Erste Netzwerkkomponente nach Anspruch 24, dadurchgekennzeichnet, dass die von der ersten Zugriffssteuerung (11)berechnete eindeutige Benutzeridentifikation (3) fernerdie Domäneder ersten Netzwerkkomponente (10) im Netzwerk (1)angibt.First network component according to claim 24, characterized in that that of the first access control ( 11 ) calculated unique user identification ( 3 ) the domain of the first network component ( 10 ) in the network ( 1 ) indicates. [26] Zweite Netzwerkkomponente zur Verwendung in einemNetzwerk (1), in dem die zweite Netzwerkkomponente (20, 30) über dasNetzwerk (1) mit wenigstens einer ersten Netzwerkkomponente(10) verbunden ist, mit einer zweiten Zugriffssteuerung(21, 31), um eine einer von der ersten Netzwerkkomponente(10) übermitteltenAnfrage (5) beigefügteeindeutige Benutzeridentifikation (3) eines Benutzers (2)der ersten Netzwerkkomponente (10) zu detektieren, anhand dereindeutigen Benutzeridentifikation (3) einen Rechte-Prüfungsauftrag(6) zu erstellen und den Rechte-Prüfungsauftrag(6) überdas Netzwerk (1) an die erste Netzwerkkomponente (10)zu übermitteln, wobeidie zweite Zugriffssteuerung (21, 31) ferner ausgebildetist, um einen Zugang des Benutzers (2) zu der zweiten Netzwerkkomponente(20, 30) bereitzustellen, wenn ein von der erstenZugriffssteuerung (11) übermitteltesErgebnis (7) einer Überprüfung desRechte-Prüfungsauftrages(6) ergibt, dass der Benutzer (2) zum Zugang zuder zweiten Netzwerkkomponente (20, 30) berechtigtist.Second network component for use in a network ( 1 ), in which the second network component ( 20 . 30 ) over the network ( 1 ) with at least one first network component ( 10 ), with a second access control ( 21 . 31 ) to one of the first network component ( 10 ) ( 5 ) attached unique user identification ( 3 ) of a user ( 2 ) of the first network component ( 10 ), based on the unique user identification ( 3 ) a rights examination order ( 6 ) and the rights examination order ( 6 ) over the network ( 1 ) to the first network component ( 10 ), the second access control ( 21 . 31 ) is further adapted to allow access by the user ( 2 ) to the second network component ( 20 . 30 ) when one of the first access control ( 11 ) transmitted result ( 7 ) a review of the rights examination order ( 6 ) shows that the user ( 2 ) for access to the second network component ( 20 . 30 ) is entitled. [27] Zweite Netzwerkkomponente nach Anspruch 26, dadurchgekennzeichnet, die zweite Netzwerkkomponente (20, 30)ferner eine zweite Anwendung (22, 32) aufweist,die ausgebildet ist, um die der Anfrage (5) beigefügte eindeutigeBenutzeridentifikation (3) zu detektieren und an die zweiteZugriffssteuerung (21, 31) zum Zwecke der Erstellungdes Rechte-Prüfungsauftrages(6) auszugeben und/oder um die Anfrage (5) zurGewinnung eines Anfrageergebnisses (8) zu bearbeiten unddas Anfrageergebnis (8) über das Netzwerk (1)an die erste Netzwerkkomponente (10) zu übermitteln.Second network component according to claim 26, characterized in that the second network component ( 20 . 30 ), a second application ( 22 . 32 ), which is designed to correspond to the request ( 5 ) attached unique user identification ( 3 ) and to the second access control ( 21 . 31 ) for the purpose of the preparation of the rights examination contract ( 6 ) and / or the request ( 5 ) to obtain a query result ( 8th ) and the query result ( 8th ) over the network ( 1 ) to the first network component ( 10 ). [28] Zweite Netzwerkkomponente nach Anspruch 26 oder27, dadurch gekennzeichnet, dass der von der zweiten Netzwerkkomponente(20, 30) erstellte Rechte-Prüfungsauftrag (6) individuelleZugangskriterien der zweiten Netzwerkkomponente (20, 30)beinhaltet.Second network component according to claim 26 or 27, characterized in that that of the second network component ( 20 . 30 ) created rights examination order ( 6 ) individual access criteria of the second network component ( 20 . 30 ) includes.
类似技术:
公开号 | 公开日 | 专利标题 EP3195556B1|2019-06-26|Verteilte datenspeicherung mittels berechtigungstoken EP1326469B1|2006-10-04|Verfahren und Anordnung zur Überprüfung der Authentizität eines Dienstanbieters in einem Kommunikationsnetz DE69630480T2|2004-08-19|Method, device and data structures for object management DE112004002470B4|2010-12-30|Certificate-based Digital Rights Management JP2014059886A|2014-04-03|機器アクセス制御システム DE69733123T2|2006-01-12|METHOD AND DEVICE FOR PREVENTING UNAUTHORIZED WRITING ACCESS TO A PROTECTED NON-VOLATILE MEMORY DE69729558T2|2005-08-18|METHOD AND DEVICE FOR ENCRYPTION AND DECOMPOSITION OF MICROPROCESSOR SERIAL NUMBERS DE60009163T2|2005-03-17|Device for overwriting tax information DE602004009354T2|2008-01-24|Registering or sub-registering a digital rights management server in a digital rights management architecture DE69729557T2|2005-08-18|METHOD AND APPARATUS FOR SOFTWARE ACCESS TO A MICROPROCESSOR SERIAL NUMBER EP1423960B1|2015-03-04|Vorrichtung und verfahren zur automatischen benutzerprofil-konfiguration EP2162805B1|2012-10-24|Vorrichtung zur steuerung einer maschine sowie fernkommunikationssystem EP1872180B1|2012-11-07|Verfahren zum sicheren bedienen eines feldgerätes der automatisierungstechnik DE69815599T2|2004-05-13|Method and device for protecting application data in secure memory areas DE10392470B4|2007-02-15|System and method for executing initialization commands of a secure environment DE69731965T2|2005-12-29|ACCESS TO COMPUTER EQUIPMENT FROM OUTSIDE THROUGH A FIREWALL EP2193407B1|2012-10-17|Verfahren zur herstellung einer sicheren verbindung von einem service-techniker zu einer von einem störfall betroffenen komponente einer ferndiagnostizierbaren und/oder fernwartbaren automatisierungs-umgebung DE112014000623T5|2015-11-05|Access restriction device, on-board communication system and communication restriction method EP2981926B1|2019-07-24|Datenspeichervorrichtung zum geschützten datenaustausch zwischen verschiedenen sicherheitszonen DE19827659B4|2010-01-28|System and method for storing data and protecting the data against unauthorized access DE60316649T2|2008-01-31|Conference application that does not use a specific connection port EP1285514B1|2005-04-06|Verfahren und transaktionsinterface zum gesicherten datenaustausch zwischen unterscheidbaren netzen DE60213314T2|2007-04-19|Methods and arrangements for controlled access to resources are based on an authentication method EP1715395B1|2008-06-11|Vorrichtung für sicheren Fernzugriff DE102011081804B4|2015-02-12|Method and system for providing device-specific operator data, which are bound to an authentication credential, for an automation device of an automation system
同族专利:
公开号 | 公开日 DE102004016654B4|2006-02-23|
引用文献:
公开号 | 申请日 | 公开日 | 申请人 | 专利标题
法律状态:
2005-10-27| OP8| Request for examination as to paragraph 44 patent law| 2006-08-17| 8364| No opposition during term of opposition| 2016-05-02| R081| Change of applicant/patentee|Owner name: SIEMENS HEALTHCARE GMBH, DE Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, 80333 MUENCHEN, DE | 2019-10-01| R119| Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee|
优先权:
[返回顶部]
申请号 | 申请日 | 专利标题 DE200410016654|DE102004016654B4|2004-03-31|2004-03-31|Network system and method for controlling access of a first network component to at least a second network component|DE200410016654| DE102004016654B4|2004-03-31|2004-03-31|Network system and method for controlling access of a first network component to at least a second network component| US11/093,281| US7873661B2|2004-03-31|2005-03-30|Network system as well as a method for controlling access from a first network component to at least one second network component| 相关专利
Sulfonates, polymers, resist compositions and patterning process
Washing machine
Washing machine
Device for fixture finishing and tension adjusting of membrane
Structure for Equipping Band in a Plane Cathode Ray Tube
Process for preparation of 7 alpha-carboxyl 9, 11-epoxy steroids and intermediates useful therein an
国家/地区
|