[go: up one dir, main page]

DE102005061632A1 - Authorization enquiries responding method, involves communicating service system by mediator system, so that service system permits access to user system and communicates with user system, during positive authorization of data - Google Patents

Authorization enquiries responding method, involves communicating service system by mediator system, so that service system permits access to user system and communicates with user system, during positive authorization of data Download PDF

Info

Publication number
DE102005061632A1
DE102005061632A1 DE200510061632 DE102005061632A DE102005061632A1 DE 102005061632 A1 DE102005061632 A1 DE 102005061632A1 DE 200510061632 DE200510061632 DE 200510061632 DE 102005061632 A DE102005061632 A DE 102005061632A DE 102005061632 A1 DE102005061632 A1 DE 102005061632A1
Authority
DE
Germany
Prior art keywords
authorization
data
mediator
systems
usage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE200510061632
Other languages
German (de)
Other versions
DE102005061632B4 (en
Inventor
Christoph Scherer
Andreas Kasten
Silke Schultka
Jürgen Dörsam
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
T Online International AG
Original Assignee
T Online International AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by T Online International AG filed Critical T Online International AG
Priority to DE102005061632.1A priority Critical patent/DE102005061632B4/en
Publication of DE102005061632A1 publication Critical patent/DE102005061632A1/en
Application granted granted Critical
Publication of DE102005061632B4 publication Critical patent/DE102005061632B4/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Storage Device Security (AREA)

Abstract

The method involves delivering target parameters directly or indirectly to a user system through a mediator system. The mediator system communicates with the user system for testing an authorization data. A service system is communicated by the mediator system, so that the service system permits access to the user system and communicates with the user system, during positive authorization of data. Independent claims are also included for the following: (1) an apparatus such as a mediator system for responding to the authorization (2) a data carrier comprising a data structure.

Description

Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur Vermittlung und Beantwortung von AAA-Anfragen (Authentifizierung, Autorisierung und Accouting) für eine Nutzungsinstanz in verteilten DV-Architekturen (Datenverarbeitungs-Architekturen) auf Basis von Rohdaten aus verteilten DV-Quellsystemen.The The invention relates to an apparatus and a method for switching and answer AAA requests (authentication, authorization and Accouting) for a usage instance in distributed DV architectures (data processing architectures) based on raw data from distributed DV source systems.

Gebiet der Erfindung:area the invention:

Die Spezialisierung von Anbietern von Dienstleistungen bzw. Gütern, deren Angebote über verteilte Systeme (z.B. Internet) zugänglich sind, auf ihre Kernkompetenz der Leistungserbringung bzw. Auslieferung führt dazu, dass sie gezwungen sind, sich externen Quellen zur Authentifizierung und Autorisierung ihrer Nutzer bzw. Käufer zu bedienen. Authentifizierung, Autorisierung und Zugriffskontrolle sind essenziell für die meisten Internet-Dienstleister. Dies ist notwendig, wenn der Dienst selber nicht für jeden Nutzer offen zugänglich sein soll, bzw. wenn eine Bezahlung notwendig ist, und wenn der Dienst selber die Daten zur Autorisierung nicht hält.The Specialization of providers of services or goods, whose Offers about distributed Systems (e.g., the Internet) are on their core competence of service provision or delivery leads to, that they are forced to external sources for authentication and authorize their users or buyers. authentication Authorization and access control are essential for most Internet service providers. This is necessary if the service itself not for everyone User openly accessible should be, or if a payment is necessary, and if the Service itself does not hold the data for authorization.

Heutige Verfahren z.B. im Umfeld von ISPs (Internet Service Providern) zur Authentifizierung und Autorisierung basieren meist auf dem RADIUS (Remote Authentication-Dial-In Service) Protokoll und bieten den Zugang zu Diensten, die zentralisiert die Administration und Validierung von Authentifizierungs- und Autorisierungsinformationen für einen Nutzernamen zur Verfügung stellen.today Method e.g. in the environment of ISPs (Internet Service Providers) for Authentication and authorization are mostly based on the RADIUS (Remote Authentication Dial-In Service) protocol and provide the Access to services that centralizes the administration and validation authentication and authorization information for a username to disposal put.

Heutige Verfahren bieten den Anbietern von Dienstleistungen bzw. Gütern die Möglichkeit, sich zu verschiedenen ISPs oder Account-Providern zu verbinden. Diese Account-Provider bieten auf Basis unterschiedlicher Protokolle, proprietäre Schnittstellen und Datenobjekte Informationen über die Authentifizierbarkeit und Autorisierbarkeit von Nutzern. Dabei ist es die Aufgabe des Anbieters von Dienstleistungen und Gütern, sich an die Schnittstellen der Account-Provider anzupassen, was zu starken Aufwendungen in der Entwicklung und Pflege von Schnittstellen führt, sofern der Dienstleister seine Leistung oder Güter den Nutzern mehrerer Account-Providern anbieten möchte. Je Kunden- und vertragsführenden Mandanten [m1](OSS/BSS) des Account-Providers muss das verarbeitende DV-System des Dienstleisters die Quelldaten unterschiedlich hinsichtlich der Autorisierungsinformation bearbeiten und bewerten. Darüber hinaus hat der Dienstleister je nach Datenmodell und Informationsgehalt des Account-Providers verschiedene Logiken zur Auswertung der gelieferten Informationen zu implementieren, um daraus eine Aussage über die Autorisierung für einen Nutzer treffen zu können. Oftmals führt dies zu zusätzlichen und unnötigen Systembelastungen des Dienstleisters, da seine Technologie nicht auf eine performante Abwicklung von Autorisierungsfragen an verteilte Quellsysteme von Account-Providern ausgelegt ist, sondern sich auf die Leistungserbringung konzentriert. Dies kann dazu führen, dass ein Nutzer umständliche Verfahren zur Authentifizierung und Autorisierung durchlaufen muss und dabei z.B. für das Medium Internet ungewohnt lange Wartezeiten oder Abfragedialoge in Kauf nehmen muss.Today's procedures offer providers of services or goods the opportunity to connect to various ISPs or account providers. These account providers provide information on the authenticity and authorisability of users based on different protocols, proprietary interfaces and data objects. It is the job of the provider of services and goods to adapt to the interfaces of the account provider, which leads to heavy expenses in the development and maintenance of interfaces, if the service provider wants to offer his services or goods to the users of several account providers , For each customer and contract-managing client [m1] (OSS / BSS) of the account provider, the processing IT system of the service provider must process and evaluate the source data differently with regard to the authorization information. In addition, depending on the data model and the information content of the account provider, the service provider has to implement various logics for evaluating the information supplied in order to be able to make a statement about the authorization for a user. Often, this leads to additional and unnecessary system load on the service provider, since its technology is not designed for a high-performance settlement of authorization issues to distributed source systems of account providers, but focuses on the provision of services. This can lead to a user having to go through cumbersome procedures for authentication and authorization and, for example, to accept unusually long waiting times or query dialogs for the medium of the Internet.

Unter dem Aspekt der Sicherheit und Vertrauenswürdigkeit müssen sich die Systeme des Diensteanbieters und des Account-Providers in den bisherigen Verfahren direkt gegeneinander Authentifizieren und Autorisieren (z.B. Austausch von Credentials wie UN/PW oder Zertifikaten). Dies bedeutet ggf. für den Dienstleister und den Account-Provider eine systemseitige technische Integration je Anbindung.Under The aspect of security and trustworthiness must be the systems of the service provider and the account provider Authenticate directly against each other in the previous procedures and authorizing (e.g., exchanging credentials such as UN / PW or Certificates). This means possibly for the service provider and the Account provider system-side technical integration per connection.

In der „Liberty Alliance" wird ein Rahmenwerk bzgl. Schnittstellen und grundlegenden Kommunikationslogiken zwischen verteilten Systemen definiert. Dieser Standard bildet die Grundlage für ein mögliches Verfahren zur Authentifizierung (z.B. Single Sign On) von Nutzungsinstanzen in föderierenden Netzwerken. Die Autorisierung und die Herbeiführung positiver Antworten ist in diesem Standard nicht bearbeitet. Dem liegt zu Grunde, dass sich Liberty Alliance im Gegensatz zu dem hier beschrieben Verfahren nicht mit der Prozesslogik zu möglichen kunden- und vertragsführenden Backend Systemen und dessen technische und optimierte Abbildung auf Systeme beschäftigt. Dies ist eine große Herausforderung, um neben den Schnittstellen in die föderative Welt der Liberty Alliance kompatiblen Partner die Einbindung unterschiedlicher Backendsysteme mit Autorisierungsinformationen zu verwirklichen.In the "Liberty Alliance "becomes one Framework regarding interfaces and basic communication logics defined between distributed systems. This standard forms the basis for a possible one A method of authenticating (e.g., single sign on) usage instances in federating networks. The authorization and the generation of positive answers is not edited in this standard. That's because of that Liberty Alliance as opposed to the procedure described here not with the process logic to possible customer and contractor Backend systems and their technical and optimized illustration busy with systems. This is a big one Challenge to get beyond the interfaces to the federal world the Liberty Alliance compatible partner the integration of different Implement backend systems with authorization information.

Überblick über die ErfindungOverview of the invention

Da immer mehr Mehrwertdienste über das Internet angeboten werden, wird es immer wichtiger, eine Vorrichtung und ein Verfahren anzubieten, die die Komplexität verringert, die Wiederverwendbarkeit steigert, Schnittstellen reduziert und Datenverarbeitung in spezialisierte Systeme verlagert. Das Verfahren über eine Vermittlerinstanz, die auf die Verarbeitung von Autorisierungsanfragen, sowie Abfrage und Bearbeitung von Autorisierungsrohdaten aus verteilten Quellsystemen optimiert ist, verringert die Durchlaufzeit für den Prozess der Autorisierung. Zusätzlich wird dem Diensteanbieter und dem Accountprovider ein verlässliches System zur Verfügung gestellt, das eine sichere Kommunikation ermöglicht und eine geringe Ausfallquote sichert und dies unter Berücksichtigung geringerer Implementierungs- und Wartungsaufwendungen für den Händler/Dienstleister. Die erhöhte Performance wird dadurch erreicht, dass die Schnittstellen zu den Account-Providern und die Kenntnis und Verarbeitung deren Datenstrukturen zentral im DV-Vermittlersystem durch ein eigenes Objektmodell optimiert wird. Dadurch werden die System-Ressourcen des Dienstleisters entlastet und die Verarbeitung auf dem spezialisierten DV-Vermittlersystem effizienter durchgeführt.As more and more value-added services are offered over the Internet, it is becoming increasingly important to provide a device and method that reduces complexity, increases reusability, reduces interfaces and relocates data processing to specialized systems. The intermediary entity process, optimized for processing authorization requests, as well as retrieving and processing raw authorization data from distributed source systems, reduces the turnaround time for the process of authorization. In addition, a reliable system is provided to the service provider and the account provider, which enables secure communication and ensures a low default rate, taking into account lower implementation and maintenance costs for the merchant / service provider. The increased performance is achieved by the interfaces to the account providers and the Knowledge and processing whose data structures are optimized centrally in the data processing system by a separate object model. This relieves the service provider's system resources and makes processing more efficient on the specialized computerized mediator system.

Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur Vermittlung und Beantwortung von AAA-Anfragen, insbesondere Autorisierungs- und/oder Authentifizierungsanfragen für eine Nutzungsinstanz in verteilten DV-Architekturen (Datenverarbeitungs-Architekturen) auf Basis von Rohdaten aus verteilten DV-Quellsystemen.The The invention relates to an apparatus and a method for switching and respond to AAA requests, in particular authorization and / or Authentication requests for a usage instance in distributed DV architectures (data processing architectures) based on raw data from distributed DV source systems.

Fragt z.B. eine Nutzungsinstanz bei einem DV-System eine Leistung oder die Auslieferung eines Guts nach, so ist von dem DV-System vor der Leistungserbringung bzw. Auslieferung zu prüfen, ob die Nutzungsinstanz über die dafür notwendigen Berechtigungen (Merkmale zur Autorisierung) verfügt. Das Ergebnis einer Autorisierungsanfrage liefert dem anfragenden DV-System die Information, ob es für eine bestimmte Nutzungsinstanz berechtigt ist, die angeforderte Dienstleistung zu erbringen oder ein Gut auszuliefern. So kann z.B. bei einem Musikverkaufsportal die Nutzungsinstanz ein Web-Frontend sein, dass dem Benutzer eine Vielzahl von MPEG- Songs anbietet. Der Benutzer beabsichtig nun einen dieser Songs zu erwerben. Hierzu muss durch das anfragende DV-System überprüft werden, ob der Benutzer berechtigt ist.asks e.g. a use instance in a computer system a performance or the delivery of a property, so is the DV system before the Service provision or delivery to check whether the user instance on the necessary for this Permissions (authorization properties). The result of an authorization request provides the requesting computer system with the information whether it is for a particular User instance is entitled to the requested service to deliver or deliver a good. Thus, e.g. at a music sales portal the use instance is a web frontend that gives the user a Variety of MPEG songs offers. The user now intends to purchase one of these songs. For this must be checked by the requesting computer system, if the user is authorized is.

Diese anfragenden DV-Systeme, die eine Autorisierungsanfrage für eine Nutzungsinstanz teilen, sprechen dazu über eine einheitliche Schnittstelle ein DV-Vermittlersystem an. Die Nutzungsinstanz wird dann über einen sog. „redirect" von dem anfragenden DV-System an das DV-Vermittlersystem übergeben. Dort wird meist zunächst eine Authentifizierung für die Nutzungsinstanz durchgeführt, damit der Prozess der Autorisierung eingeleitet werden kann. Für das og. Beispiel bedeutet dies, dass durch das Vermittlersystem ein Link mit einer eindeutigen Kennung, wie z.B. einer Transaktions-ID, zurückgegeben wird, die dann durch das anfragende System an den Browser des Benutzers weitergeleitet wird, der dadurch auf das Vermittlersystem umgelenkt wird, um dort die Autorisierung zu vervollständigen.These requesting computer systems that request authorization for a use instance share, talk about it a unified interface a DV-mediator system. The Usage instance is then over a so-called "redirect" of the requesting DV system transferred to the DV-mediator system. There is usually first one Authentication for the user instance performed, so that the process of authorization can be initiated. For the above. For example, this means that the intermediary system has a link with a unique identifier, such as a transaction ID returned which is then sent by the requesting system to the user's browser which is thereby redirected to the intermediary system, there to complete the authorization.

Das DV-Vermittlersystem kennzeichnet sich durch ein eigenes Objektmodell, eigene Datenstrukturen und eigene Datenverarbeitung zur Prüfung der Autorisierung anhand vorhandener Rohdaten, die den Nutzungsinstanzen aus den DV-Quellsystemen zugeordnet sind. Diese Rohdaten werden vom DV-Vermittlersystem aus den DV-Quellsystemen abgefragt und im DV-Vermittlersystem kombiniert und geprüft. Liegen die Rohdaten nicht vollständig vor, so kann die Nutzungsinstanz an weitere DV-Systeme übergeben werden, um dort über geschäftsvorfallspezifische Prozesse notwendige Rohdaten in die Quellsysteme eintragen zu lassen (nach dem Prinzip: „Herbeiführung positiver Antworten"). Alternativ kann die Nutzungsinstanz auch an ein weiteres DV-Vermittlersystem übergeben werden, sofern dort eine Beantwortung der Autorisierungsanfragen erwartet werden kann. Aus der Kombination der Rohdaten der DV-Quellsysteme wird schließlich die Antwort für das anfragende DV-System erzeugt.The DV mediation system is characterized by its own object model, own data structures and own data processing to check the authorization on the basis of existing raw data, which is assigned to the usage instances from the DV source systems are. This raw data is taken from the DV mediator system from the DV source systems queried and in the DV-mediator system combined and tested. If the raw data is not complete before, the user instance can be transferred to other computer systems be over there specific transactional To enter processes necessary raw data into the source systems (on the principle: "bringing about more positive Answers "). Alternatively The user instance can also be transferred to another data processing system be there provided an answer to the authorization requests can be expected. From the combination of the raw data of the DV source systems finally becomes the answer for the requesting DV system generates.

Nach der Erzeugung des Autorisierungsergebnisses kann die Nutzungsinstanz vom DV-Vermittlersystem wiedererkannt und den ursprünglichen, offenen Autorisierungsanfragen zugeordnet werden. Dies kann z.B. in einer konkreten technischen Abbildung auf der Basis von Zertifikaten oder Cookies erfolgen, die auf den Systemen abgelegt werden. Die Nutzungsinstanz wird vom Vermittlersystem wieder durch einen „redirect" zum anfragenden DV-System übergeben. Das anfragende DV-System kann das Ergebnis der Anfrage beim DV-Vermittlersystem über die Standardschnittstelle abfragen, und die Nutzungsinstanz die Nutzung einer Dienstleistung oder die Auslieferung eines Gutes durchführen.To The user instance can be used to generate the authorization result Recognized by the DV mediator system and the original, open Authorization requests are assigned. This can e.g. in a concrete technical illustration based on certificates or Cookies are made, which are stored on the systems. The usage instance is again transferred by the intermediary system through a "redirect" to the requesting computer system. The requesting DV system can the result of the request to the DV-Vermittlersystem on the Query the standard interface, and the usage instance the usage a service or the delivery of a good.

Im Detail können bei einer möglichen Ausführungsform die Schritte wie folgt aussehen:
Bei der Vorrichtung und dem entsprechenden Verfahren zur Bereitstellung von Vermittlung und Beantwortung von Autorisierungsanfragen für eine Nutzungsinstanz und mindestens einen Service in verteilten DV-Architekturen, wobei die Nutzungsinstanz und der Service mit der Möglichkeit ausgestattet sind, sich mit einem gewöhnlichen Computernetzwerk zu verbinden, werden folgende Schritte durch ein oder mehrere DV-Vermittlersysteme durchgeführt.

  • – Entgegennahme einer Autorisierungsanfrage von einem anfragenden DV-System;
  • – Übergabe von Zielparametern für die Nutzungsinstanz an das anfragende DV-System für einen Redirect durch die Nutzungsinstanz. Es ist auch denkbar, dass das Vermittlersystem die Nutzungsinstanz direkt kontaktiert, wenn vorher die Adresse mitgeteilt wurde;
  • – Entgegennahme der Nutzungsinstanz und Zuordnung der Nutzungsinstanz zur Transaktion der Autorisierungsanfrage;
  • – Überprüfung der Vollständigkeit der
In detail, in one possible embodiment, the steps may look like this:
The following are the following in the apparatus and corresponding method for providing arbitration and response of authorization requests for a use instance and at least one service in distributed DV architectures, wherein the use instance and the service are provided with the ability to connect to a common computer network Steps performed by one or more computerized mediator systems.
  • - receiving an authorization request from a requesting computer system;
  • - Transfer of target parameters for the user instance to the requesting computer system for a redirect by the user instance. It is also conceivable that the intermediary system contacted the user instance directly, if the address was previously communicated;
  • - Acceptance of the user instance and assignment of the user instance to the transaction of the authorization request;
  • - Verification of the completeness of the

Authentifizierungsinformationen der Nutzungsinstanz und ggf. Übergabe an Systeme zur Authentifizierung und anschließenden Entgegennahme der Nutzungsinstanz. Dies kann immer dann auftreten, wenn die Nutzungsinstanz dem DV-Vermittlersystem zwar bekannt ist, aber für die Anforderungen des anfragenden DV-Systems nicht hinreichend authentifiziert (d.h. die "Vollständigkeit der Authentifizierungsinformationen" ist im Sinne der Güte nicht gegeben), so wird versucht, die Nutzungsinstanz z.B. gemäß Liberty Alliance oder beliebiger anderer Verfahren hinreichend zu authentifizieren. (Dabei können weitere Systeme zur Abwicklung der Authentifizierung genutzt werden bzw. die Nutzungsinstanz an diese zum Zwecke der Authentifizierung übergeben werden.)Authentication information of the user instance and, if applicable, transfer to systems for authentication and subsequent acceptance of the user instance. This can always occur if the user instance is known to the IT agent system but is not adequately authenticated for the requirements of the requesting computer system (ie the "completeness of the authentication information" is not given in terms of quality), then an attempt is made to the user instance eg sufficiently to authenticate in accordance with the Liberty Alliance or any other method. (In this case, further systems can be used to process the authentication or the usage instance can be passed to it for the purpose of authentication.)

Ist die Nutzungsinstanz nicht authentifizierbar (d.h. die "Vollständigkeit der Authentifizierungsinformationen" ist im Sinne nicht vorliegender Informationen überhaupt nicht gegeben), kann sie vom DV-Vermittlersystem in einen Registrierungsprozess mit einem beliebigen System geführt werden. Anschließend ist die Nutzungsinstanz authentifizierbar und evtl. sind auch Daten zur Autorisierung eingerichtet worden.

  • – Prüfung der Zuordenbarkeit der Nutzungsinstanz zu Backend-Systemen und ggf. Übergabe der Nutzungsinstanz an Drittsysteme zur Generierung von Autorisierungsinformationen und anschließende Entgegennahme der Nutzungsinstanz;
  • – Identifizierung der für die Nutzungsinstanz zuständigen Backend-Systeme mit Informationen zur Autorisierung Anfrage von Profilen und Rechten zu der Nutzungsinstanz an die Backend-Systeme;
  • – Empfang von Profildaten und Rechten zu der Nutzungsinstanz aus den Backend-Systemen;
  • – Kombination der Profildaten und Rechte mit den Anforderungen des anfragenden-DV-Systems
  • – Bestimmen von Autorisierungsergebnissen und ggfs. Bestimmen von alternativen Möglichkeiten für die Generierung von weiteren Autorisierungsinformationen, falls diese notwendig sein sollten, und ggf. Übergabe der Nutzungsinstanz an Drittsysteme zur Generierung von Autorisierungsinformationen und anschließende Entgegennahme der Nutzungsinstanz;
  • – Erneute Identifizierung der für die Nutzungsinstanz zuständigen Backend-Systeme mit Informationen zur Autorisierung;
  • – Anfrage von Profilen und Rechten zu der Nutzungsinstanz an die alternativen Backend-Systeme;
  • – Empfang von Profildaten und Rechten zu der Nutzungsinstanz aus den alternativen Backend-Systemen;
  • – Kombination der Profildaten und Rechte mit den Anforderungen des anfragenden DV-Systems;
  • – Bestimmen von Autorisierungsergebnissen und Zuordnung zur Transaktion des anfragenden Systems;
  • – Übergabe von Zielparametern für das anfragende System an die Nutzungsinstanz; somit erfolgt die aggregierte Übergabe von definierten Informationen (Zielparametern) an das anfragende System. (Zielparameter sind hierbei nicht unbedingt Parameter über das Ziel, sondern eher die Werte, die durch das Verfahren dem anfragenden System zur Verfügung gestellt werden;
  • – Entgegennahme von Ergebnisanfragen durch das anfragende System, Auslieferung des Ergebnisses und weiterer Informationen aus der Anfrage an das Back-End-System an das anfragende System.
If the usage instance is not authenticatable (ie the "completeness of the authentication information" is not given at all in the sense of missing information), it can be routed by the IT agent system into a registration process with any system. Afterwards, the user instance can be authenticated and possibly data for authorization has been set up.
  • - checking the assignability of the user instance to back-end systems and, if necessary, transferring the user instance to third-party systems for the generation of authorization information and subsequent acceptance of the user instance;
  • - identification of the backend systems responsible for the usage instance with information on authorization request of profiles and rights to the usage instance to the backend systems;
  • - receiving profile data and rights to the usage instance from the backend systems;
  • - Combination of profile data and rights with the requirements of the requesting DV system
  • Determining authorization results and, if appropriate, determining alternative possibilities for generating further authorization information, if necessary, and if necessary transferring the usage instance to third-party systems for generating authorization information and subsequently accepting the usage instance;
  • - Re-identification of the user instance responsible backend systems with information for authorization;
  • Requesting profiles and rights to the usage instance to the alternative backend systems;
  • - receiving profile data and rights to the usage instance from the alternative backend systems;
  • - Combination of the profile data and rights with the requirements of the requesting computer system;
  • Determining authorization results and assigning to the transaction of the requesting system;
  • - transfer of target parameters for the requesting system to the user instance; thus the aggregated transfer of defined information (target parameters) to the requesting system takes place. (Target parameters are not necessarily parameters about the target, but rather the values that are made available to the requesting system by the method;
  • - Acceptance of result requests by the requesting system, delivery of the result and further information from the request to the back-end system to the requesting system.

Mit dem hier beschriebenen Verfahren wird die Performance für die Durchführung von Autorisierungsanfragen durch eine zentrale hochperformante Komponente optimiert und damit Antwortzeiten reduziert. Darüber hinaus wird ebenfalls die Anzahl der Verfahrensschritte des Gesamtsystems im Vergleich zur Direktansprache der anfragenden Dienste an die Account-Provider verringert. Der Anbieter einer Dienstleistung bzw. eines Gutes wird damit unabhängig von der Vielzahl der physikalischen Schnittstellen zu den Account-Providern.With The method described here is the performance for performing Authorization requests through a central high-performance component optimized and thus reduces response times. In addition, the Number of process steps of the overall system compared to Reduced direct addressing of requesting services to the account providers. The provider of a service or a good is thus independent of the multitude of physical interfaces to the account providers.

Im Gegensatz zu einer Middleware beherrscht die hier beschriebene Vorrichtung und das dazugehörige Verfahren nicht lediglich die Vermittlung zwischen unterschiedlicher Software. Die hier beschriebene Technologie verwendet eigene Datenmodelle, die es erlauben, zusammen mit eigenen Abfrage-, Kombinations-, und Prüfmechanismen eine Autorisierungsanfrage optimiert zu beantworten und gegebenenfalls notwendige Zwischenprozesse einzuleiten.in the Contrary to middleware dominates the device described here and the associated one Procedure does not merely mediate between different ones Software. The technology described here uses its own data models, which allow, together with own query, combination, and checking mechanisms an authorization request optimized to answer and, where appropriate initiate necessary intermediate processes.

Die Vorrichtung und das Verfahren zur Vermittlung und Beantwortung von Autorisierungsanfragen für eine Nutzungsinstanz in verteilten DV-Architekturen ist gekennzeichnet durch die im Folgenden beschriebenen Systeme.The Device and method for switching and answering Authorization requests for A usage instance in distributed DV architectures is indicated through the systems described below.

Die Nutzungsinstanz bezeichnet eine Person, eine Namensentität (Gruppenbezeichnung) oder Maschine, die ein anderes DV-System, z.B. einen Internet Shop, Internetdienst oder Netzelement nutzen möchte. Im Falle einer Person bedeutet dies z.B., dass diese einen Computer nutzt, auf dem sie Applikationen zur Nutzung anderer DV-Systeme verwendet. Dieses können Standardapplikationen wie ein Webrowser oder andere Applikationen sein. Im Falle einer Maschine nutzt diese direkt weitere Systeme. Eine solche Maschine kann beispielsweise ein Computer (PC, Set-Top Box, mobiles Endgerät mit SIM, etc.) sein, der eigene Authentifizierungsmerkmale besitzt, die auf ihm hinterlegt wurden.The Use instance means a person, a name entity (group name) or Machine using another computer system, e.g. an internet shop, internet service or network element. For example, in the case of a person, this means that they are a computer on which they use applications for the use of other computer systems used. This can Standard applications such as a web browser or other applications be. In the case of a machine, this directly uses other systems. Such a machine, for example, a computer (PC, set-top Box, mobile device with SIM, etc.), which has its own authentication features, which were deposited on it.

Die Nutzungsinstanz verfügt über Funktionen zur Anfrage auf Auslieferung eines Gutes oder Erbringung einer Dienstleistung durch ein DV-System. Zur Kommunikation werden dabei adäquate standardisierte Schnittstellenprotokolle eingesetzt, z.B. HTTP, FTP, POP3, IMAP, SMTP (ggf. in Kombination mit SSL-Verschlüsselung).The Usage instance has features to request for delivery of a good or provision of a service through a computer system. For communication, adequate standardized ones are used Interface protocols used, e.g. HTTP, FTP, POP3, IMAP, SMTP (possibly in combination with SSL encryption).

Häufig alternativ verwendete Bezeichnungen sind User, Nutzer, Kunde, Käufer, Verbraucher, Endkunde, Endgerät.Often alternatively used terms are user, user, customer, buyer, consumer, end customer, end device.

Die DV-Systeme, die von der Nutzungsinstanz angesprochen werden, werden als anfragende DV-Systeme bezeichnet.The DV systems that are addressed by the user instance will be referred to as requesting computer systems.

Anfragende DV-Systeme zeichnen sich dadurch aus, dass sie der Nutzungsinstanz ein Gut in digitaler Form ausliefern, eine Auslieferung anstoßen oder den Zugriff der Nutzungsinstanz auf das anfragende DV-System gestatten, um dort eine Applikation oder ein Netzelement zu nutzen. Gemein ist diesen Nutzungsszenarien des anfragenden DV-Systems, dass die erfolgreiche Abwicklung von Auslieferung und Zugriff nur für autorisierte Nutzungsinstanzen erlaubt ist. Das anfragende System selber verfügt nicht über die dazu notwendigen Autorisierungsinformationen.inquiring DV systems are characterized by the fact that they use the user deliver a good in digital form, initiate a delivery or allow the user instance to access the requesting DV system, to use an application or a network element there. Common is these usage scenarios of the requesting computer system that the successful processing of delivery and access only for authorized Usage instances is allowed. The requesting system itself does not have the necessary authorization information.

Eine Middleware organisiert dabei den Transport komplexer Daten (sog. Messaging), vermittelt Funktionsaufrufe zwischen den Komponenten (sog. Remote Procedure Calls), stellt die Transaktionssicherheit über ansonsten unabhängige Teilsysteme her (Funktion als Transaktions-Monitor), etc.A Middleware organizes the transport of complex data (so-called. Messaging), conveys function calls between the components (so-called. Remote Procedure Calls), provides transaction security above otherwise independent Subsystems (function as transaction monitor), etc.

Beispiele für anfragende DV-Systeme sind Kommunikationsdienste, web-basierte Dienste, Mediendienste, Netzwerkelemente.Examples for inquiring Computer systems are communications services, web-based services, media services, Network elements.

Das anfragende DV-System und die auf diesem integrierte Logik verfügt über die folgenden Funktionen:
Erbringung einer Dienstleistung oder Auslieferung eines digitalen Guts an die Nutzungsinstanz;
Austausch von identifizierenden Datensätzen (Austausch z.b. von Zertifikaten zur Authentifizierung);
Abfrage weiterer DV-Systeme (DV-Vermittlersystem);
Übergabe von Parametern zur Spezifikation der Autorisierungsanfrageüberführung der Nutzungsinstanz an das DV-Vermittlersystem (redirect).The requesting DV system and its built-in logic has the following features:
Provision of a service or delivery of a digital good to the user authority;
Exchange of identifying data records (exchange of certificates for authentication, for example);
Query of further computer systems (DV mediator system);
Passing parameters for the specification of the authorization request transfer of the user instance to the IT agent system (redirect).

Führen von Transaktionen; die Nutzungsinstanz sollte nach erfolgter Autorisierung wieder der ursprünglichen Anfrage zugeordnet werden können, um das angeforderte Gut auszuliefern oder den angeforderten Zugriff auf die Leistungserbringung zu ermöglichen. Die Zuordnung von Transaktionen innerhalb der einzelnen Systeme erfolgt über den Austausch von Transaktions-Identifiern, die eine temporär gültige- und eindeutige Zuordnung von Anfragen anderer Systeme zu eigenen Transaktionen ermöglicht.Lead by transactions; the usage instance should be after authorization again the original one Request can be assigned to to deliver the requested good or the requested access to facilitate the provision of services. The assignment of Transactions within each system take place via the Exchange of transaction identifiers, the one temporarily valid- and unique assignment of requests from other systems to their own Allows transactions.

Mögliche Protokolle zwischen den Systemen und Instanzen sind z.B. HTTP mit oder ohne SSL-Verschlüsselung. Darüber können via SOAP XML-Nachrichten ausgetauscht werden. Wesentlich ist hierbei der Austausch der Transaktions-ID, um Prozesse über die Systeme miteinander zu verknüpfen und Datenaustausch den Transaktionen der einzelnen Systeme eindeutig zuzuordnen.Possible protocols between the systems and instances are e.g. HTTP with or without SSL encryption. About that can be exchanged via SOAP XML messages. It is essential here the exchange of the transaction ID to processes across the systems to link and data exchange the transactions of each system clearly assigned.

Häufig alternativ verwendete Bezeichnungen sind Service Provider, Dienstanbieter, ASP (Application Service Provider), Dienst, Internet Service, Shop, Merchant, Händler, Anbieter, Verkäufersystem, Content Provider, Content Aggregator, Netzelement.Often alternative Terms used are service providers, service providers, ASP (Application Service Provider), Service, Internet Service, Shop, Merchant, Trader, Provider, seller system, Content Provider, Content Aggregator, Network Element.

Das DV-Vermittlersystem bezeichnet einen Computer, der die Anfragen des anfragenden DV-Systems entgegennimmt, sofern das anfragende DV-System diese Anfragen durchführen darf. Die Logik zur Entgegennahme der Anfragen, der Speicherung, Wandlung und Interpretation von Datensätzen aus der Anfrage wird durch die Vermittlerapplikation durchgeführt. Ebenso wird die Logik zur Abfrage von Daten aus den Quellsystemen und, falls notwendig, die Überführung der Nutzungsinstanz zur Einrichtung von Rohdaten von der Vermittlerapplikation durchgeführt. Alternativ dazu kann das Vermittlersystem die Nutzungsinstanz auch an weitere DV-Vermittlersysteme überführen, um dort die Anfrage von Rohdaten aus den dort angebundenen DV-Quellsystemen durchzuführen (Das dazugehörige Verfahren zur Ermittlung dieser Daten wird nicht erläutert, da es Schnittstellen zu einer Vielzahl von System gibt, deren Erläuterung zu weit führen würde. Hierbei tritt dann das erste DV-Vermittlersystem gegenüber dem zweiten DV-Vermittlersystem als anfragendes DV-System auf. Dazu verfügt das DV-Vermittlersystem auch über die Funktionen des anfragenden DV-Systems.).The DV mediator system refers to a computer that handles the requests the requesting DV system, if the requesting computer system perform these requests may. The logic for receiving inquiries, storing, Conversion and interpretation of records from the request is through the mediator application performed. Likewise, the logic becomes to query data from the source systems and, if necessary, the transfer of the Usage instance for setting up raw data from the agent application carried out. Alternatively, the intermediary system may also use the usage instance to other DV-Vermittlersysteme transfer to there to carry out the request of raw data from the connected there DV-source systems (Das associated Method for determining this data is not explained because There are interfaces to a variety of system, their explanation lead too far would. In this case, then the first DV-mediator system occurs over the second DV-Vermittlersystem as a requesting computer system on. For this the DV-mediator system has also over the functions of the requesting DV system.).

Das DV-Vermittlersystem und die in der Vermittlerapplikation integrierte Logik verfügt über Funktionen zur:
Kommunikation mit weiteren DV-Systemen;
Authentifizierung von anderen DV-Systemen;
Speicherung von Transaktionsdaten und Anfragen;
Identifikation der zur Nutzungsinstanz gehörigen Quellsysteme;
Identifikation der notwendigen Rohdaten;
Kombination und Bewertung von Rohdaten;
Bestimmung des vorliegenden Geschäftsvorfalls auf Basis der vorhandenen Informationen aus Anfragedatensatz und Quellsystemen;
Bestimmung der notwendigen Schritte zur Herbeiführung einer positiven Antwort für das anfragende System;
Redirect-Fähigkeiten d.h. Entgegennahme und Umleitung der Nutzungsinstanz zu anderen DV-Systeen unter Beibehaltung von Kontextinformationen (Transaktionsmanagement).The DV mediator system and the logic integrated in the mediator application has functions for:
Communication with other computer systems;
Authentication of other computer systems;
Storage of transaction data and requests;
Identification of source systems belonging to the user instance;
Identification of the necessary raw data;
Combination and evaluation of raw data;
Determining the business transaction on the basis of existing information from the request data record and source systems;
Determining the steps necessary to bring about a positive response for the requesting system;
Redirect capabilities ie receipt and redirection of the user instance to other IT systems while preserving context information (transaction management).

Zur Kommunikation werden dabei adäquate standardisierte Schnittstellenprotokolle eingesetzt, z.B. HTTP (ggf. in Kombination mit SSL-Verschlüsselung), SOAP, RADIUS, LDAP. Zur gegenseitigen Authentifizierung der Systeme kommen standardisierte Authentifizierungsmechanismen zum Einsatz, z.B. Credentials (Application1D/ApplicatignSecret) oder Zertifikate.For communication, adequate standardized interface protocols are used, eg HTTP (possibly in combination with SSL closures ment), SOAP, RADIUS, LDAP. For mutual authentication of the systems standardized authentication mechanisms are used, eg Credentials (Application1D / ApplicatignSecret) or certificates.

Das DV-Quellsystem besteht aus einem oder mehreren DV-Systemen mit autorisierungsrelevanten Informationen bezüglich der Nutzungsinstanz. Diese Rohdaten sind von dem Vermittlersystem abfragbar oder werden auf Anfrage an das DV-Vermittlersystem übermittelt. Meist stammen die Rohdaten aus OSS oder BSS[m6][c7].The DV source system consists of one or more computer systems with authorization-relevant information regarding the user instance. This raw data can be queried by the intermediary system or transmitted to the DV mediator system upon request. In most cases the raw data from OSS or BSS [M6] [c7] originate.

In DV-Quellsysteme können auch transaktionsorientiert Rohdaten während der Beantwortung der Autorisierungsanfrage erzeugt oder hinterlegt werden, wie es z.B. bei einer Bezahlung beziehungsweise einer Bestätigung einer Anfrage auf Übernahme einer Forderung stattfindet.In DV source systems can also transaction - oriented raw data while answering the Authorization request are generated or deposited, as e.g. upon payment or confirmation of a request for takeover a claim takes place.

Das DV-Quellsystem verfügt über eine Reihe von Funktionen:
Funktion zur Kommunikation mit anderen Systemen; Funktion zum Speichern von Daten in beliebigen Strukturen; Anlegen, Ändern und Löschen von Daten; Funktion zur optionalen Abfrage von Daten aus anderen DV-Systemen; Funktion für das optionale direkte oder indirekte Eintragen, Ändern oder Löschen von Daten mittels weiterer Applikationen; Funktionen für die Bestimmung von Zugriffsrechten für DV-Vermittlersysteme.The DV source system has a number of features:
Function for communication with other systems; Function for storing data in arbitrary structures; Creating, changing and deleting data; Function for optional retrieval of data from other computer systems; Function for the optional direct or indirect entry, modification or deletion of data by means of further applications; Functions for the determination of access rights for computerized switchboard systems.

Zur Kommunikation werden dabei adäquate standardisierte Schnittstellenprotokolle eingesetzt, z.B. HTTP (ggf. in Kombination mit SSL-Verschlüsselung), SOAP, RADIUS, LDAP. Zur gegenseitigen Authentifizierung der Systeme kommen standardisierte Authentifizierungsmechanismen zum Einsatz, z.B. Credentials (Application1D/ApplicationSecret) oder Zertifikate.to Communication will be adequately standardized Interface protocols used, e.g. HTTP (possibly in combination with SSL encryption), SOAP, RADIUS, LDAP. For mutual authentication of the systems standardized authentication mechanisms are used, e.g. Credentials (Application1D / ApplicationSecret) or certificates.

Häufig alternativ genutzte Bezeichnungen sind Account Provider, ISP, MNO, Backend Systeme mit Nutzerdaten, OSS, BSS, Billing Systeme, Kundenmaster, Kundenkatalog, Kundendatenbank; Vertragsdatenbank, Presence-Service-Session Controller.Often alternative Terms used are Account Provider, ISP, MNO, Backend User Data Systems, OSS, BSS, Billing Systems, Customer Masters, Customer catalog, customer database; Contract Database, Presence Service Session Controller.

Im Folgenden wird auf die sonstigen beteiligten DV-Systeme eingegangen. Die Nutzungsinstanz ist mit der Infrastruktur eines Netzwerkoperators über einen Netzzugangspunkt (sog. Access Point) verbunden. Der Netzzugangspunkt mit seinen üblichen Protokollen und Layern (Data link, Network, Transport, Application Layer) wird nicht dargestellt und erläutert, da er allgemein bekannt ist.in the The following will discuss the other DP systems involved. The use instance is with the infrastructure of a network operator over a Network access point (so-called Access Point) connected. The network access point with his usual Protocols and Layers (Data link, Network, Transport, Application Layer) is not shown and explained as it is well known is.

Die Systeme können zur Auflösung von IP-Adressen einen Domain Name Service nutzen. Dieser ist nicht dargestellt.The Systems can to the resolution IP addresses use a domain name service. This is not shown.

Für die Authentifizierung und das Single-Sign-On gibt es verschiedene Lösungen, Systeme und Standards, wie z.B. SAML[c8] (Verwendung im Liberty Alliance Projekt). Diese Komponenten zur Authentifizierung können in das DV-Vermittlungssystem integriert werden bzw. außerhalb der hier betrachteten Komponenten liegen und werden nicht weiter dargestellt.There are various solutions, systems and standards for authentication and single sign-on, such as SAML [c8] (used in the Liberty Alliance project). These components for authentication can be integrated into the DP switching system or lie outside of the components considered here and are not shown further.

Beschreibung der Figuren:Description of the figures:

Die Figur dient zur Darstellung eines Ausführungsbeispieles, das das Verständnis der Erfindung erleichtern soll.The FIG. 1 serves to illustrate an exemplary embodiment that facilitates the understanding of To facilitate invention.

1 zeigt den Verfahrensablauf mit der Kommunikation zwischen den einzelnen Komponenten; 1 shows the procedure with the communication between the individual components;

Bevorzugte Ausführungsform:Preferred embodiment:

Die 1 zeigt das Verfahren unter Berücksichtigung von entsprechenden Vorrichtungen zur Vermittlung und Beantwortung von Autorisierungsanfragen für eine Nutzungsinstanz in verteilten DV-Architekturen mit den entsprechenden Schritten.The 1 Figure 5 shows the method taking into account corresponding devices for switching and answering authorization requests for a use instance in distributed DV architectures with the corresponding steps.

Für die Nutzungsanfrage fordert die Nutzungsinstanz S1 in (A) von dem anfragenden DV-System S2 entweder die Auslieferung eines Guts oder die Nutzung einer DV-Applikation oder eines Netzelementes an. Ist in S2 auf Grund eigener Informationen nicht ersichtlich, ob es für die Auslieferung bzw. Leistungserbringung an S1 berechtigt ist, so ist eine Autorisierung notwendig. Zu diesen Zwecken nutzt S2 das DV-Vermittlersystem S3, um eine Autorisierungsanfrage zu stellen. Als Antwort erwartet das anfragende DV-System ein logisches Ja oder Nein und einen dazugehörigen Nutzungsinstanznamen. Optional können weitere Informationen übergeben werden.For the usage request requests use instance S1 in (A) from the requesting DV system S2 either the delivery of a good or the use of a computer application or a network element. Is in S2 on the basis of own information not see if it is for delivery or service to S1 is authorized, so an authorization is necessary. For these purposes uses S2 the DV mediator system S3 to make an authorization request. As expected answer the requesting computer system a logical yes or no and an associated usage instance name. optional can more information will be passed.

Bei der Autorisierungsanfrage stellt S2 eine Anfrage (B) zur Autorisierung an S3. Die Anfrage ist nur erlaubt, wenn S2 bei S3 bekannt ist und authentifiziert werden kann (Beispiele- IR-Adresse, Austausch von Geheimnissen wie UN/PW, Zertifikate, etc.). Die Anfrage enthält Informationen über den Anfragetyp (Autorisierung) und optional über Kennzeichner (z.B Name, Warengruppen, Nummern, Preisinformationen, QoS-Parameter etc.) des Guts bzw. Leistung. Mit der Anfrage durch ein berechtigtes anfragendes DV-System öffnet das DV-System intern eine Transaktion, die abgeschlossen wird, wenn die Antwort auf die Frage ausgeliefert wurde oder nach einer definierten Zeitspanne.at the authorization request S2 makes a request (B) for authorization to S3. The request is only allowed if S2 is known at S3 and can be authenticated (examples IR address, exchange of secrets like UN / PW, certificates, etc.). The request contains information about the Request type (authorization) and optional via identifier (eg name, Product groups, numbers, price information, QoS parameters, etc.) of the Guts or performance. With the request by a legitimate requesting DV system opens the data processing system internally completes a transaction when the answer to the question was delivered or after a defined Period of time.

Damit S3 feststellen kann, für welche Nutzerinstanz es die Autorisierungsanfrage beantworten muss, wird ein sog. redirect zu S1 durchgeführt. Dieser redirect kennzeichnet sich durch die Übergabe von Zielparametern an S3, der diese an die Nutzungsinstanz weiterreicht. Die Nutzungsinstanz S1 verwendet diese Zielparameter, um in (C) eine Verbindung mit S3 aufzubauen. Anhand der Zielparameter kann die Nutzungsinstanz S1 dem anfragenden DV-System S2 zugeordnet werden. Die Zielparameter werden zwischen dem DV-Vermittlersystem S3 und dem anfragenden DV-System S2, z.B. in einer Server zu Server Kommunikation, in einer den Vorfall beschreibenden Nachricht wie z.B. einer SOAP Nachricht übermittelt. Entsprechend der Charakteristik des anfragenden DV-Systems S2 können die Zielparamter z.B. bei einem Web-Service (S2 als Webservice) in Form eines http-Redirects an den Browser der Nutzungsinstanz S1 übergeben werden bzw. ebenfalls mittels SOAP-Nachrichten zwischen DV-Systemen.So that S3 can determine for which benefit If it has to answer the authorization request, a so-called redirect to S1 is performed. This redirect is characterized by the transfer of target parameters to S3, which passes them on to the user instance. The usage instance S1 uses these target parameters to establish a connection with S3 in (C). Based on the target parameters, the usage instance S1 can be assigned to the requesting DP system S2. The target parameters are transmitted between the IT broker system S3 and the requesting IT system S2, for example in a server to server communication, in a message describing the incident, for example a SOAP message. In accordance with the characteristics of the requesting computer system S2, the target parameters can be transferred to the browser of the usage instance S1, for example in the case of a web service (S2 as web service) in the form of an HTTP redirect, or likewise via SOAP messages between computer systems.

Für die Quelldatenabfrage gelten folgende Annahmen. Vorausgesetzt, die Nutzungsinstanz ist S3 bekannt, also bereits authentifiziert, so kann S3 auf Basis der Kennung (z.B. Benutzername, Domainzusatz, eMail-Adresse, etc.) von S1 die zugehörigen DV-Quellsysteme identifizieren. Zu der Nutzungsinstanz werden in (D) alle verfügbaren Daten in einer Server zu Server Kommunikation angefragt und von den Quellsystemen ausgeliefert. Dabei wird je DV-Quellsystem das zugehörige Protokoll und die dazugehörige Schnittstelle bedient, unabhängig vom Grad der Verteilung der Daten.For the source data query the following assumptions apply. Provided the usage instance is S3 known, ie already authenticated, S3 can be based on the Identifier (e.g., user name, domain name, e-mail address, etc.) of S1 the associated DV source systems identify. The usage instance becomes (D) all available data in a server to server communication requested and from the source systems delivered. For each DV source system, the associated protocol and the accompanying Interface operated, independent the degree of distribution of the data.

FALLUNTERSCHEIDUNG 1: Ist eine Nutzungsinstanz nicht authentifiziert (d.h. trägt kein bekanntes Authentifizierungsmerkmal), so wird dies von S3 erkannt und die Nutzungsinstanz wird z.B. gemäß Liberty Alliance oder beliebiger anderer Verfahren authentifiziert. Dabei können weitere Systeme zur Abwicklung der Authentifizierung genutzt werden bzw. die Nutzungsinstanz an diese zum Zwecke der Authentifizierung übergeben werden. Diese Schritte der impliziten Authentifizierung bzw. Registrierung und dazu eventuelle Kommunikation mit weiteren Systemen ist hier nicht dargestellt.FALL IN DIVORCE 1: Is a usage instance unauthenticated (i.e., no known authentication feature), this is detected by S3 and the use instance is e.g. according to Liberty Alliance or any other methods authenticated. Thereby, other systems can be used used for authentication or the user instance these are passed for the purpose of authentication. These steps the implicit authentication or registration and any possible Communication with other systems is not shown here.

FALLUNTERSCHEIDUNG 2: Ist die Nutzungsinstanz (auch in weiteren Systemen) noch nicht authentifizierbar; kann sie von, S3 in einen Registrierungsprozess mit einem beliebigen System geführt werden. Anschließend ist die Nutzungsinstanz authentifizierbar und evtl. sind auch Daten zur Autorisierung eingerichtet worden. Eine Alternative dazu ist eine generische Berechtigung, die einer nicht authentifizierbaren Nutzungsinstanz von S3 in Abhängigkeit von S2 zugeordnet wird. Weitere Abhängigkeiten sind möglich und werden durch S3 bestimmt. Eine zweite Alternative ist die Einleitung eines Prozesses, bei dem die Nutzungsinstanz die Rechte erwirbt, so dass diese anschließend für die Autorisierungsabfrage zur Verfügung stehen. Dieses Erwerben von Rechten kann z.B. durch eine Bezahlung bei einem weiteren System erfolgen, so dass für die Nutzungsinstanz in Quellsystemen, die an S3 angebunden sind, im Rahmen der Gesamttransaktion Rohdaten eingerichtet werden. Für diese Einrichtung bzw. Bezahlung wird die Nutzungsinstanz in (E) mittels eines redirect an ein Quellsystem übergeben. Dort erwirbt S1 im Schritt (F) die Einrichtung der Quelldaten in einem quelldatenspezifischen Verfahren, welches für das System S3 ohne Bedeutung ist und hier nicht dargestellt wird. Nach erfolgter Abwicklung dieser Einrichtungsdialoge wird die Nutzungsinstanz zuerst in (F), und dann in (E) mittels eines Redirects wieder an S3 übergeben.FALL IN DIVORCE 2: Is the user instance not yet authenticated (even in other systems)? can it from, S3 into a registration process with any System be led. Subsequently is the user instance authenticatable and possibly also data set up for authorization. An alternative to this is one generic permission, that of an unauthenticated use instance of S3 depending is assigned by S2. Further dependencies are possible and are determined by S3. A second alternative is the introduction a process in which the user instance acquires the rights, so that afterwards for the Authorization query available stand. This acquisition of rights can be e.g. through a payment in another system so that for the use instance in source systems, which are connected to S3, as part of the overall transaction raw data be set up. For this facility or payment becomes the user instance in (E) Passed by a redirect to a source system. There S1 acquires in the Step (F) the establishment of the source data in a source-data-specific Method, which for the system S3 is meaningless and is not shown here. After completion of these configuration dialogs, the user instance becomes first in (F), and then in (E) again by means of a redirect S3 passed.

Die Quelldaten werden in S3 auf Basis eines beschreibenden Dokuments wie z.B. einer XML-Datei kombiniert und gegenüber dem für das System S2 hinterlegten Regelwerk und einem beschreibenden Dokument verglichen. Das Regelwerk besagt, welche Charakteristik an Informationen im S3 eigenen Objektmodell für die Nutzungsinstanz vorliegen muss, damit die Autorisierung positiv beantwortet werden kann. Das Ergebnis des Vergleichs wird „als Autorisierungsantwort" zu der Transaktion abgespeichert.The Source data is stored in S3 based on a descriptive document such as. combined with an XML file and compared with that for the system S2 deposited Set of rules and a descriptive document. The rules indicates what characteristic of information in the S3 own object model for the Use instance must be present, thus the authorization is positive can be answered. The result of the comparison becomes "Authorization Response" to the transaction stored.

FALLUNTERSCHEIDUNG 3: Ist für eine Nutzungsinstanz die Antwort auf die Autorisierungsanfrage nach Auswertung der Rohdaten negativ, so wird S1 von S3, sofern dies für das anfragende System S2 erlaubt (Hinterlegung in einem beschreibenden Dokument) ist, in einen Alternativprozess gemäß FALLUNTERSCHEIDUNG 2 (Redirect in (E) und (F) zur Einrichtung von Rohdaten in Quellsystemen) geführt. Anschließend werden die neuen Rohdaten bzgl. ihrer Autorisierungsinformation erneut bewertet und eine Antwort für S2 erzeugt.FALL IN DIVORCE 3: is for a usage instance the response to the authorization request for Evaluation of the raw data negative, so S1 is from S3, if that for the requesting system S2 allows (deposit in a descriptive Document) is in an alternative process according to FALLUNTERSCHEDUNG 2 (Redirect in (E) and (F) for setting up raw data in source systems). Then be the new raw data with respect to their authorization information again rated and an answer for S2 generated.

Bei der Redirect Antwort wird die Nutzungsinstanz über einen Redirect im gleichen Verfahren wie unter „Redirect Anfrage" mit den Zielparametern für S2 von S3 wieder an das anfragende DV-System S2 übergeben. Dabei wird in den Zielparametern auch die Information übergeben, zu welcher Transaktion die ursprüngliche Anfrage bzw. Abfrage der Autorisierungsergebnisse zugeordnet ist.at The redirect answer will be the usage instance via a redirect in the same Procedure as under "Redirect Request "with the Target parameters for S2 of S3 again passed to the requesting computer system S2. It is in the Target parameters also passed the information to which transaction the original Request or query associated with the authorization results.

An Hand der Zielparameter aus dem vorherigen Verfahrensschritt kann das System S2 das Ergebnis der Autorisierung in einer Server zu Server Kommunikation z.B. mit einer SOAP Nachricht bei S3 abfragen (B) und erhält auf diesem Wege das Ergebnis der Autorisierung als Antwort. Die Abfrage der Antwort erfolgt auf Basis der gleichen Schnittstelle wie die Anfrage nach der Autorisierung beim DV-Vermittlersystem. Damit wird dem anfragenden DV System eine einheitliche Schnittstelle unabhängig von den notwendigen Schritten zur Erzeugung einer Antwort und unabhängig von der Verteilung der Daten ermöglicht. Optional zum Autorisierungsergebnis können z.B. zusätzliche Daten zur Nutzungsinstanz übermittelt werden (dies muss vom Protokoll unterstützt werden).On the basis of the target parameters from the previous method step, the system S2 can query the result of the authorization in a server-to-server communication, for example with a SOAP message at S3 (B), and in this way obtains the result of the authorization in response. The query of the response is based on the same interface as the request for the authorization in the DV-mediator system. This will give the requesting DV system a uniform interface independent of allows the necessary steps to generate a response and independent of the distribution of the data. As an option to the authorization result, additional data about the usage instance can be transmitted (this must be supported by the protocol).

Das anfragende DV-System S2 erbringt in (A) die Leistung in Abhängigkeit von der Antwort. Die Nutzungsinstanz kann in einem weiteren Verfahren der ursprünglichen Nutzungsanfrage zugeordnet werden.The requesting computer system S2 provides in (A) the performance in dependence from the answer. The user instance can be used in a further process of original Usage request to be assigned.

Claims (18)

Ein Verfahren zur Beantwortung von Autorisierungsanfragen von einem Nutzungssystem an mindestens ein Servicesystem, mit einem Vermittlersystem, das Zugriff auf die Autorisierungsinformation hat, umfassend folgende Schritte: – Weiterleiten der Autorisierungsanfrage vom Servicesystem an das Vermittlersystem; – Entgegennahme der Autorisierungsanfrage, durch das Vermittlersystem nur dann, wenn das Servicesystem in einer Vertrauensstellung zum Vermittlersystem steht, – Übergabe von Zielparametern unmittelbar oder mittelbar an das Nutzungssystem durch das Vermittlersystem, zum Zwecke des Redirects, – Durch das Redirect erfolgt eine Kommunikation des Vermittlersystems mit dem Nutzungssystem zur Überprüfung von Autorisierungsdaten, – Bei positiver Autorisierung wird dem Servicesystem vom Vermittlersystem dieses mitgeteilt, so dass das Servicesystem dem Nutzungssystem einen Zugriff erlaubt und mit diesem kommuniziert.A method for answering authorization requests from a utilization system to at least one service system, with a Intermediary system having access to the authorization information, comprising the following steps: - Forward the authorization request from the service system to the operator system; - receiving the authorization request, through the intermediary system only if the service system is in one Trust relationship to the mediator system, - Handing over of target parameters directly or indirectly to the usage system through the intermediary system, for the purpose of redirect, - By the redirect is a communication of the intermediary system with the utilization system for the verification of Authorization data, - At positive authorization becomes the service system of the broker system communicated this so that the service system the usage system allows access and communicates with it. Das Verfahren nach dem vorhergehenden Anspruch, wobei das Vermittlersystem auf der Basis von Regeln, der Autorisierungsfrage und/oder dem Servicesystem feststellt, wie die Autorisierung zu erfolgen hat, und auf der Basis der ermittelten Schritte eine Transaktion ausführt innerhalb derer die Autorisierung erfolgt.The method of the preceding claim, wherein the mediation system based on rules, the authorization question and / or the service system determines how to authorize and a transaction based on the steps identified carries within which the authorization takes place. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei das Vermittlersystem aus einem oder mehreren Vermittlersystemen und/oder Backend-Systemen besteht, die durch eine gesicherte Kommunikation und Regelwerke die Autorisierungsdaten bereitstellen.The method according to one or more of the preceding Claims, the mediator system being one or more mediator systems and / or backend systems exists through secure communication and policies that provide authorization data. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Autorisierungsdaten Profildaten und/oder Rechte darstellen.The method according to one or more of the preceding Claims, wherein the authorization data represent profile data and / or rights. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei bei einer gescheiterten ersten Autorisierung, das Vermittlersystem auf der Grundlage der Regeln alternative Autorisierungsversuche unternimmt.The method according to one or more of the preceding Claims, in the event of a failed first authorization, the mediator system based on the rules alternative authorization attempts undertakes. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei das Vermittlersystem eigene Datenmodelle verwendet, die es erlauben, zusammen mit eigenen Abfrage-, Kombinations-, und Prüfmechanismen eine Autorisierungsanfrage optimiert zu beantworten und gegebenenfalls notwendige Zwischenprozesse einzuleiten.The method according to one or more of the preceding Claims, the mediator system uses its own data models containing it allow, along with their own query, combination and testing mechanisms an authorization request optimized to answer and possibly necessary Initiate intermediate processes. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Autorisierungsdaten auf Basis eines beschreibenden Dokuments mit dem für das Nutzungssystem hinterlegten Regeln verglichen wird.The method according to one or more of the preceding Claims, wherein the authorization data is based on a descriptive document with the for the usage system deposited rules is compared. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei eine Prüfung der Zuordenbarkeit der Nutzungsinstanz zu Backend-Systemen erfolgt und ggf. eine Übergabe der Nutzungsinstanz an Drittsysteme zur Generierung von Autorisierungsinformationen und eine anschließende Entgegennahme der Nutzungsinstanz erfolgt.The method according to one or more of the preceding Claims, being an exam the assignability of the user instance to backend systems takes place and possibly a handover the usage instance to third party systems for the generation of authorization information and a subsequent one Acceptance of the user instance takes place. Vorrichtung gekennzeichnet durch Mittel, die so eingerichtet sind, dass ein Verfahrensablauf nach einem oder mehreren der vorhergehenden Ansprüche durchführbar ist.Device characterized by means that are so decorated are that a procedure according to one or more of the preceding claims feasible is. Vorrichtung, insbesondere Vermittlersystem, zur Beantwortung von Autorisierungsanfragen von einem Nutzungssystem an mindestens ein Servicesystem, mit Mitteln und einer Einrichtung, den folgenden Ablauf durchführen – Entgegennahme der Autorisierungsanfrage, vom Servicesystem nur dann, wenn das Servicesystem in einer Vertrauensstellung zum Vermittlersystem steht, – Übergabe von Zielparametern unmittelbar oder mittelbar an das Nutzungssystem durch das Vermittlersystem, zum Zwecke des Redirects, – Durch das Redirect erfolgt eine Kommunikation des Vermittlersystems mit dem Nutzungssystem zur Überprüfung von Autorisierungsdaten, – Bei positiver Autorisierung wird dem Servicesystem vom Vermittlersystem dieses mitgeteilt, so dass das Servicesystem, dem Nutzungssystem einen Zugriff erlaubt und mit diesem weiter kommuniziert.Device, in particular mediator system, for Answer authorization requests from a usage system to at least one service system, with resources and a facility, perform the following procedure - Acceptance the authorization request, from the service system only if that Service system is in a trust relationship with the intermediary system, - Handing over of target parameters directly or indirectly to the usage system through the intermediary system, for the purpose of redirect, - By the redirect is a communication of the intermediary system with the utilization system for the verification of Authorization data, - At positive authorization becomes the service system of the broker system communicated this so that the service system, the usage system allows access and communicates with it. Die Vorrichtung nach dem vorhergehenden Vorrichtungsanspruch, mit Mittel, so das auf der Basis von Regeln, der Autorisierungsfrage und/oder dem Servicesystem selber festgestellt wird, wie die Autorisierung zu erfolgen hat, und auf der Basis der ermittelten Schritte eine Transaktion ausgeführt wird innerhalb derer die Autorisierung erfolgt.The device according to the preceding device claim, with means, so on the basis of rules, the authorization question and / or the service system itself is determined as the authorization and on the basis of the steps identified Transaction executed within which the authorization takes place. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei das Vermittlersystem aus einem oder mehreren Vermittlersystemen und/oder Backend-Systemen besteht, die durch eine gesicherte Kommunikation und Regelwerke die Autorisierungsdaten bereitstellen.The apparatus of one or more of the preceding apparatus claims, wherein the mediator system comprises one or more mediator systems and / or backend systems who provide the authorization data through secure communication and policies. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei Mittel vorhanden sind, um die Autorisierungsdaten in Form von Profildaten und/oder Rechten zu interpretieren.The device according to one or more of the preceding Device claims, wherein means are provided for obtaining the authorization data in the form of profile data and / or rights. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei Mittel vorhanden sind, durch die bei einer gescheiterten ersten Autorisierung, das Vermittlersystem auf der Grundlage der Regeln alternative Autorisierungsversuche unternimmt.The device according to one or more of the preceding Device claims, wherein there are means by which a failed first Authorization, the mediator system based on the rules makes alternative authorization attempts. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei Mittel vorhanden sind, um eigene Datenmodelle zu verwenden, die es erlauben, zusammen mit eigenen Abfrage-, Kombinations-, und Prüfmechanismen eine Autorisierungsanfrage optimiert zu beantworten und gegebenenfalls notwendige Zwischenprozesse einzuleiten.The device according to one or more of the preceding Device claims, where there are means to use own data models, which allow, together with own query, combination, and checking mechanisms an authorization request optimized to answer and, where appropriate initiate necessary intermediate processes. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei Mittel vorhanden sind, um die Autorisierungsdaten auf Basis eines beschreibenden Dokuments mit dem für das Nutzungssystem hinterlegten Regeln verglichen wird.The device according to one or more of the preceding Device claims, where means are provided to base the authorization data a descriptive document with the deposited for the use system Rules is compared. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei Mittel vorhanden sind, die eine Prüfung der Zuordenbarkeit der Nutzungsinstanz zu Backend-Systemen durchführen und ggf. eine Übergabe der Nutzungsinstanz an Drittsysteme zur Generierung von Autorisierungsinformationen und eine anschließende Entgegennahme der Nutzungsinstanz durchführen lassen.The device according to one or more of the preceding Device claims, there being means to carry out an examination of the assignability of the Use the user instance for back-end systems and transfer, if necessary the usage instance to third party systems for the generation of authorization information and a subsequent one Receiving acceptance of the user instance. Datenträger mit einer Datenstruktur, der beim Laden in einen Arbeitsspeicher eines Computer ein Verfahren nach einem oder mehreren der vorhergehenden Verfahrensansprüche durchführt.disk with a data structure when loading into a memory a computer a method according to one or more of the preceding method claims performs.
DE102005061632.1A 2005-12-19 2005-12-19 Method and apparatus for authorization Expired - Lifetime DE102005061632B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102005061632.1A DE102005061632B4 (en) 2005-12-19 2005-12-19 Method and apparatus for authorization

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005061632.1A DE102005061632B4 (en) 2005-12-19 2005-12-19 Method and apparatus for authorization

Publications (2)

Publication Number Publication Date
DE102005061632A1 true DE102005061632A1 (en) 2007-06-21
DE102005061632B4 DE102005061632B4 (en) 2015-11-19

Family

ID=38089559

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005061632.1A Expired - Lifetime DE102005061632B4 (en) 2005-12-19 2005-12-19 Method and apparatus for authorization

Country Status (1)

Country Link
DE (1) DE102005061632B4 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001003083A1 (en) * 1999-07-02 2001-01-11 Mic Systems System and method for performing secure electronic transactions over an open communication network
US20010018748A1 (en) * 2000-02-28 2001-08-30 Masayoshi Oono Network service user authentication system
US20020162027A1 (en) * 2001-02-23 2002-10-31 Mark Itwaru Secure electronic commerce
EP1531398A1 (en) * 2003-04-30 2005-05-18 Sony Corporation Terminal device, provision server, electronic information utilization method, electronic information provision method, terminal device program, provision server program, intermediate program and recording medium
WO2005072382A2 (en) * 2004-01-23 2005-08-11 Mastercard International Incorporated System and method for secure telephone and computer transactions

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0410724D0 (en) * 2004-05-13 2004-06-16 Watkins Daniel R Authorisation system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001003083A1 (en) * 1999-07-02 2001-01-11 Mic Systems System and method for performing secure electronic transactions over an open communication network
US20010018748A1 (en) * 2000-02-28 2001-08-30 Masayoshi Oono Network service user authentication system
US20020162027A1 (en) * 2001-02-23 2002-10-31 Mark Itwaru Secure electronic commerce
EP1531398A1 (en) * 2003-04-30 2005-05-18 Sony Corporation Terminal device, provision server, electronic information utilization method, electronic information provision method, terminal device program, provision server program, intermediate program and recording medium
WO2005072382A2 (en) * 2004-01-23 2005-08-11 Mastercard International Incorporated System and method for secure telephone and computer transactions

Also Published As

Publication number Publication date
DE102005061632B4 (en) 2015-11-19

Similar Documents

Publication Publication Date Title
DE60314871T2 (en) METHOD FOR AUTHENTICATING A USER IN ACCESS TO A SERVICE PROVIDER'S SERVICE
DE60309553T2 (en) Methods and apparatus for the overall use of a network resource with a user without access
EP2250598B1 (en) Client/server system for communicating according to the standard protocol opc ua and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system
DE60308601T2 (en) Method and system for authenticating communication terminals
EP2332313A2 (en) Method for storing data, computer programme product, id token and computer system
DE10392283T5 (en) System, method and device for allied individual services with sign-on services or sign-on services
DE102008040416A1 (en) Method for reading attributes from an ID token
DE102008042262A1 (en) Method for storing data for managing digital identity of user, involves writing data from provider computer system to token via connection to store data in token, and providing connections with connection-oriented protocol
DE112017007393T5 (en) SYSTEM AND METHOD FOR NETWORK DEVICE SAFETY AND TRUST VALUATION
WO2010026152A1 (en) Method for granting authorization to access a computer-based object in an automation system, computer program, and automation system
EP3958527A1 (en) Authentication of a communication partner on a device
WO2019242947A1 (en) Method for linking a terminal into an interconnectable computer infrastructure
WO2021209323A1 (en) Method and system for transmitting software artifacts from a source network to a target network
DE102005061632B4 (en) Method and apparatus for authorization
WO2020165041A1 (en) Method for providing a proof of origin for a digital key pair
EP4010216B1 (en) Method and authorization device for the certificate-based authorization of a service user at a delivery station
EP2067341B1 (en) Computer system and method for signing, signature verification and/or archiving
DE102018105495B4 (en) Method and system for determining a configuration of an interface
EP4430468B1 (en) Flexible management of resources for multiple users
DE102015110366A1 (en) Message delivery and rating system
EP2397960A1 (en) Method for reading attributes from an ID token via a telecommunications chip card and a server computer system
DE112013002111B4 (en) Managing recurring payments from mobile devices
DE102024001631A1 (en) Procedures for securely equipping systems with an individual certificate
CN119444337A (en) Federal-based transaction management control method, device, equipment and medium
EP1845689A2 (en) Method and communication system for providing personalised access to a group of devices

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021200000

Ipc: G06F0021300000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021200000

Ipc: G06F0021300000

Effective date: 20130507

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R083 Amendment of/additions to inventor(s)
R020 Patent grant now final
R071 Expiry of right