[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE20000957U1 - Device for the controlled transmission of electronic documents over a publicly accessible data transmission network - Google Patents

Device for the controlled transmission of electronic documents over a publicly accessible data transmission network

Info

Publication number
DE20000957U1
DE20000957U1 DE20000957U DE20000957U DE20000957U1 DE 20000957 U1 DE20000957 U1 DE 20000957U1 DE 20000957 U DE20000957 U DE 20000957U DE 20000957 U DE20000957 U DE 20000957U DE 20000957 U1 DE20000957 U1 DE 20000957U1
Authority
DE
Germany
Prior art keywords
user
address
server
document
electronic document
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE20000957U
Other languages
German (de)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wittkoetter Erland Dr De
Original Assignee
SECODATA GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SECODATA GmbH filed Critical SECODATA GmbH
Priority to DE20000957U priority Critical patent/DE20000957U1/en
Publication of DE20000957U1 publication Critical patent/DE20000957U1/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/101Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Description

W221DE7 - &igr;.-* &igr; »: : *: .: :·W221DE7 - &igr;.-* &igr; »: : *: .: :·

Vorrichtung zum kontrollierten übertragen elektronischer Dokumente über ein öffentlich zugängliches Datenübertragungsnetz Device for the controlled transmission of electronic documents via a publicly accessible data transmission network

Die vorliegende Erfindung betrifft eine Vorrichtung zum Übertragen elektronischer Dokumente über ein öffentlich zugängliches Datenübertragungsnetz, insbesondere das Internet, nach dem Oberbegriff des Anspruchs 1.The present invention relates to a device for transmitting electronic documents via a publicly accessible data transmission network, in particular the Internet, according to the preamble of claim 1.

Eine derartige, gattungsgemäße und als bekannt vorausgesetzte Vorrichtung wird insbesondere durch einen entsprechend konfigurierten PC als nutzerseitige Datenverarbeitungseinrichtung realisiert, mit welchem durch eine ansonsten bekannte Verbindung zum Internet sowie eine ebenfalls gängige Internet-Zugriffssoftware (Browser) auf eine Internet-Servereinheit zugegriffen wird. Diese serverseitige Datenverarbeitungseinrichtung bietet, etwa unter gängigen Protokollen wie HTTP, elektronische Dokumente in Form von Text- und/oder Grafikseiten, elektronischen Animationen, Video- und Tondokumenten usw. zum Übertragen auf die nutzerseitige Datenverarbeitungseinrichtung sowie zum Öffnen bzw. Darstellen durch ein geeignetes Nutzerprogramm (Viewer)an.Such a generic device, which is assumed to be known, is implemented in particular by an appropriately configured PC as a user-side data processing device, with which an Internet server unit is accessed via an otherwise known connection to the Internet and also common Internet access software (browser). This server-side data processing device offers, for example using common protocols such as HTTP, electronic documents in the form of text and/or graphic pages, electronic animations, video and audio documents, etc. for transfer to the user-side data processing device and for opening or displaying by a suitable user program (viewer).

Ein derartiger bekannter Zugriff auf elektronische Dokumente findet dabei üblicherweise durch -- protokollgemäß vorgegebene -- Adressdaten statt, die entweder vom Nutzer unmittelbar eingegeben werden, oder aber vom Nutzer aus einem nutzerseitig vorliegenden elektronischen Dokument durch Aktivieren übertragen werden können (sog. Hyperlinks).Such known access to electronic documents usually takes place via address data -- specified in accordance with the protocol -- which are either entered directly by the user or can be transferred by the user from an electronic document available to the user by activating it (so-called hyperlinks).

Als Reaktion auf eine solche, dokumentkennzeichnende Adresse überträgt dann die angesprochene serverseitige Datenverarbeitungseinrichtung das zugehörige elektronische Dokument gemäß den im verwendeten Protokoll geregelten Konventionen. In response to such a document-identifying address, the addressed server-side data processing device then transmits the associated electronic document in accordance with the conventions regulated in the protocol used.

W221DE7 - 2 -W221DE7 - 2 -

Charakteristisch für eine derartige, gattungsgemäße Datenübertragungsvorrichtung ist die prinzipielle Transparenz der serverseitigen Ablage- bzw. Ordnungsstruktur der zum Zugriff angebotenen elektronischen Dokumente: Durch die einem Nutzer unmittelbar bekannten Zugriffsadressen auf ein elektronisches Dokument bzw. die aus nutzerseitig bereits vorhandenen elektronischen Dokumenten ablesbare Hyperlink-Struktur besitzt eine gattungsgemäße Vorrichtung insoweit bereits Eigenschaften eines einfachen Dateisystems.A characteristic feature of such a generic data transmission device is the fundamental transparency of the server-side storage or organizational structure of the electronic documents offered for access: Due to the access addresses to an electronic document that are immediately known to a user or the hyperlink structure that can be read from electronic documents already available to the user, a generic device already has the properties of a simple file system.

Insbesondere jedoch mögliche Anwendungsgebiete der beschriebenen Technologie im gegen Kopieren oder unautorisierten Zugriff geschützten Anbieten elektronischer Dokumente, etwa im Zusammenhang mit kommerziell wertvollen, urheberrechtlich geschützten Dokumenten, bietet eine derartige transparente und offene Adressstruktur beim Dokumentzugriff über das Internet mittels Adressübermittlung potentielle Sicherheitsprobleme. Vor dem Hintergrund einer kommerziellen Verwertung schutzbedürftigen Inhaltes erscheint es daher wünschenswert, den Schutz von Zugriffsmöglichkeiten über gattungsgemäße, adressbasierte Zugriffssysteme und öffentlich zugängliche Netze zu verbessern.However, in particular, in the possible areas of application of the described technology in the provision of electronic documents protected against copying or unauthorized access, for example in connection with commercially valuable, copyrighted documents, such a transparent and open address structure poses potential security problems when accessing documents via the Internet by means of address transmission. Against the background of commercial exploitation of content requiring protection, it therefore seems desirable to improve the protection of access options via generic, address-based access systems and publicly accessible networks.

Aufgabe der vorliegenden Erfindung ist es daher, eine gattungsbildende Übertragungsvorrichtung dahingehend weiterzuentwickeln, dass, bei nutzerseitig i. w. unveränderter Zugriffs-Infrastruktur, die Sicherheit serverseitig über Zugriff sadressen angebotener elektronischer Elemente verbessert werden kann und insbesondere Voraussetzungen dafür geschaffen werden können, dass ein derartiger Zugriff nur nach -- einem Sicherheitserfordernis gerecht werdenden -Autorisierungs- bzw. Identifikationsschritten erfolgt.The object of the present invention is therefore to further develop a generic transmission device in such a way that, with a largely unchanged access infrastructure on the user side, the security of electronic elements offered on the server side via access addresses can be improved and, in particular, conditions can be created so that such access only takes place after authorization or identification steps that meet a security requirement.

Die Aufgabe wird durch die Vorrichtung mit den Merkmalen des Anspruchs 1 gelöst; ergänzend wird Schutz für ein Verfahren zum Betreiben einer derartigen Vorrichtung beansprucht .The object is achieved by the device having the features of claim 1; additionally, protection is claimed for a method for operating such a device.

W221DE7 - 3 -W221DE7 - 3 -

In erfindungsgemäß vorteilhafter Weise gestatten es die serverseitig vorgesehenen Mittel zur Zuordnung der zweiten Adresse, dass der tatsächlich zu einem Ergebnis führende Weg beim Zugriff auf das gewünschte elektronische Dokument für den Nutzer nicht sichtbar bzw. nicht transparent wird und insbesondere ein Zugriff auf die -- ausschließlich für den Nutzer erkennbare -- erste Adresse ohne ein Umleiten auf die zweite Adresse zu keinem aus Nutzersicht brauchbaren Ergebnis führt. Die Herkunft der nutzerseitig abgerufenen Dokumente kann somit im Hinblick auf ihre Lage im Filesystem verschleiert werden.In an advantageous manner according to the invention, the means provided on the server side for assigning the second address make it possible for the path that actually leads to a result when accessing the desired electronic document to be invisible or transparent to the user and, in particular, access to the first address -- which is only visible to the user -- without redirecting to the second address does not lead to a useful result from the user's perspective. The origin of the documents retrieved by the user can thus be concealed with regard to their location in the file system.

Unterstützt wird die erfindungsgemäße Maßnahme durch die serverseitig vorgesehene Zugriffssteuerungsvorrichtung, die erfindungsgemäß zum zusätzlichen Empfangen der nutzerspezifischen Identifikations- bzw. Autorisierungsdaten ausgebildet ist. Hierdurch wird es nunmehr ermöglicht, festzustellen, ob überhaupt ein Benutzer zum Zugriff auf das gewünschte elektronische Dokument berechtigt ist, und dann im Fall einer positiven Bewertung dieses Umstandes das zielführende Zuordnen der zweiten Adresse zur ersten, mithin also das erfolgreiche Umleiten des Nutzerzugriffs, auszulösen. Im Negativfall wird hingegen dem Nutzer ein Mitteilungs- bzw. Fehlersignal (insbesondere auch in Form eines entsprechenden Dokuments) zur Verfügung gestellt, welches im Rahmen der Erfindung die Möglichkeit anbietet, den Nutzer auch auf eine entsprechende Möglichkeit zum Zugreifen auf das Dokument, etwa nach erfolgter Authentifizierung, einem Zahlungsvorgang oder aber dem Beitritt zu einer beschränkten Nutzergruppe, hinzuweisen.The measure according to the invention is supported by the access control device provided on the server side, which is designed according to the invention to additionally receive the user-specific identification or authorization data. This now makes it possible to determine whether a user is authorized to access the desired electronic document at all and then, if this circumstance is assessed positively, to trigger the targeted assignment of the second address to the first, thus successfully redirecting the user's access. In the negative case, however, the user is provided with a notification or error signal (in particular in the form of a corresponding document), which, within the scope of the invention, offers the possibility of also informing the user of a corresponding possibility of accessing the document, for example after authentication, a payment transaction or joining a restricted user group.

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen beschrieben.Advantageous developments of the invention are described in the subclaims.

So ist es einerseits von der vorliegenden Erfindung umfasst, denselben physikalischen Speicherbereich von der ersten sowie von der zweiten Adresse anzusprechen, alternativ ist es jedoch auch möglich, dass insbesondere der ersteThus, on the one hand, the present invention encompasses addressing the same physical memory area from the first and from the second address, but alternatively it is also possible that in particular the first

W221DE7 - 4 - W221DE7 - 4 -

Speicherbereich leer oder mit einem anderen Dokument belegt ist, und dieser erste Speicherbereich sich physikalisch von dem zweiten Speicherbereich unterscheidet. Speziell bei dieser Realisierungsform der Erfindung bietet es sich zudem an, zur weiteren Sicherheitserhöhung den lediglich mit der umgeleiteten (zweiten) Adresse erreichbaren zweiten Speicherbereich durch zusätzliche Sicherungsmittel, etwa eine Firewalleinheit, abzusichern.Storage area is empty or occupied by another document, and this first storage area is physically different from the second storage area. In this embodiment of the invention in particular, it is also advisable to protect the second storage area, which can only be reached with the redirected (second) address, by means of additional security measures, such as a firewall unit, to further increase security.

Damit das im Rahmen der vorliegenden Erfindung vorgesehene Umleiten des nutzerseitigen Zugriffs durch Zuordnung der zweiten Adresse zur ersten Adresse als Reaktion auf eine positive Identifikation und/oder Autorisierung ohne zusätzlichen Eingriff des Benutzers erfolgen kann, ist weiterbildungsgemäß die notwendige Identifikation bzw. Autorisierung automatisiert vorgesehen, beispielsweise durch die -- ansonsten bekannten -- Cookies, elektronische und nutzerspezifische Identifikationsbausteine, die nutzerseitig abgelegt und bei einem nutzerseitigen Zugriff mit zum Server übertragen werden können.In order that the redirection of user access provided for in the context of the present invention by assigning the second address to the first address in response to a positive identification and/or authorization can take place without additional intervention by the user, the necessary identification or authorization is provided in an automated manner according to the further development, for example by means of the -- otherwise known -- cookies, electronic and user-specific identification modules that can be stored by the user and transmitted to the server when the user accesses the server.

Auch ist es eine besonders bevorzugte Ausführungsform der vorliegenden Erfindung, die konkret im Rahmen des nutzerseitigen Zugriffs übertragene erste Adresse durch eine nutzerspezifische Erweiterung zu ergänzen, die dann für die erfindungsgemäß erforderlichen Identifikations- bzw. Autorisierungszwecke im Hintergrund benutzt wird.It is also a particularly preferred embodiment of the present invention to supplement the first address specifically transmitted as part of the user-side access with a user-specific extension, which is then used in the background for the identification or authorization purposes required according to the invention.

Gemäß einer weiteren, bevorzugten Ausführungsform der vorliegenden Erfindung sind serverseitig Mittel zum Belegen des zweiten Speicherbereichs bzw. der zweiten Adresse in Form der Dateiverschiebungseinheit vorgesehen: Diese Einheit sorgt in zweckmäßiger Weise für das zum Realisieren des erfindungsgemäßen Sicherungseffekts durch das Vornehmen der hierfür notwendigen Verschiebe- und Umbenennungsoperation, verbunden mit den entsprechenden Maßnahmen zur Adresserzeugung. According to a further preferred embodiment of the present invention, means for occupying the second memory area or the second address in the form of the file shift unit are provided on the server side: This unit expediently ensures that the security effect according to the invention is realized by carrying out the necessary shifting and renaming operations, combined with the corresponding measures for address generation.

W221DE7 - 5 -W221DE7 - 5 -

Gemäß einer weiteren bevorzugten Ausführungsform ist das elektronische Dokument ein verschlüsseltes Dokument, weiter bevorzugt ein nach Maßgabe der deutschen Patentanmeldungen 199 32 703 und 199 53 055 des Anmelders (die insoweit als in die vorliegende Offenbarung einbezogen gelten sollen) semantisch verschlüsseltes Dokument, wobei durch das Zuordnen der zweiten Adresse die zum Entschlüsseln notwendigen Rekonstruktionsanweisungen bereitgestellt werden, zum Erreichen des gewünschten, nutzerseitig brauchbaren unverschlüsselten Dokuments. Insbesondere sog. aktive Daten, also etwa Elemente von Programmier- oder Scriptsprachen, eignen sich in besonders vorteilhafter Weise, um im Rahmen der vorliegenden Erfindung als Reaktion auf Autorisierung bzw. Identifikation zugeordnet zu werden.According to a further preferred embodiment, the electronic document is an encrypted document, more preferably a semantically encrypted document in accordance with the applicant's German patent applications 199 32 703 and 199 53 055 (which are to be considered as included in the present disclosure), whereby the assignment of the second address provides the reconstruction instructions required for decryption in order to achieve the desired, user-usable unencrypted document. In particular, so-called active data, such as elements of programming or script languages, are particularly advantageously suited to being assigned in response to authorization or identification within the scope of the present invention.

Generell ist die vorliegende Erfindung in verschiedenen sicherheitsbedürftigen bzw. im freien Zugriff zu beschränkenden Umfeldern einsetzbar, insoweit kommt eine Autorisierung, Identifikation od. dgl. je nach Anwendungsfall eine entsprechende Bedeutung zu: So sind Ausführungsformen der vorliegenden Erfindung denkbar, bei welchen lediglich eine Identifikation eines Benutzers, z. B. durch Übermittlung entsprechender persönlicher Daten, ausreicht, um Zugriffsrechte auf elektronische Dokumente zu erhalten, in anderen Fällen ist vorher die Identifikation als Mitglied einer vorbestimmten Nutzergruppe, eine Benutzungssession, das Durchführen und Beenden eines Bezahlungsdialogs oder einer anderen kommerziellen Transaktion notwendig.In general, the present invention can be used in various environments that require security or where free access is to be restricted, insofar as authorization, identification or the like is of corresponding importance depending on the application: Thus, embodiments of the present invention are conceivable in which only identification of a user, e.g. by transmitting corresponding personal data, is sufficient to obtain access rights to electronic documents; in other cases, identification as a member of a predetermined user group, a user session, the execution and completion of a payment dialog or another commercial transaction is necessary beforehand.

W221DE7 - 6 - ·' '· · '·* ·* JW221DE7 - 6 - ·''· · '·* ·* J

Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung bevorzugter Ausführungsbeispiele sowie anhand der Zeichnungen; diese zeigen in der einzigen Figur eine schematische Prinzipansicht der Vorrichtung zum Übertragen elektronischer Dokumente gemäß einer ersten Ausführungsform der vorliegenden Erfindung.Further advantages, features and details of the invention emerge from the following description of preferred embodiments and from the drawings; these show in the single figure a schematic principle view of the device for transmitting electronic documents according to a first embodiment of the present invention.

Eine nutzerseitige Zugriffseinheit 10 greift in ansonsten bekannter Weise über das schematisch als senkrechte Linie dargestellte Internet 20 auf eine Servereinheit 30 zu, die im dargestellten Ausführungsbeispiel auch mit einer (nicht dargestellten) Proxyeinheit oder Firewalleinheit versehen sein kann.A user-side access unit 10 accesses a server unit 30 in an otherwise known manner via the Internet 20, which is schematically shown as a vertical line, which server unit 30 can also be provided with a proxy unit or firewall unit (not shown) in the illustrated embodiment.

Auf der nutzerseitigen Zugriffseinheit, etwa mittels eines PC realisiert, läuft gängige Internet-Zugriffssoftware, typischerweise Browser-Software zur Abwicklung eines HTTP-basierten Zugriffsdialogs auf die Servereinheit 30, und in ansonsten bekannter Weise kann der Nutzer mittels seines PC 10 durch Eingabe entsprechender Zugriffsadressen vom Server 3 0 angebotene elektronische Dokumente über das Internet 2 0 laden und dann zum Gebrauch über eine entsprechende Viewer-Funktionalität darstellen und/oder in einer lokalen Speichereinheit 12 ablegen.Common Internet access software, typically browser software for handling an HTTP-based access dialog to the server unit 30, runs on the user-side access unit, which is implemented, for example, by means of a PC, and in an otherwise known manner the user can load electronic documents offered by the server 30 via the Internet 20 by entering corresponding access addresses using his PC 10 and then display them for use via a corresponding viewer functionality and/or store them in a local storage unit 12.

Über herkömmlich bekannte Internet-Dialoge zum Abruf elektronischer Dokumente hinaus ermöglicht jedoch die in Figur 1 dargestellte Ausführungsform einen geschützten, hinsichtlich einer konkreten Dokumentadresse eines nutzerseitig angeforderten Dokuments verschleierten Zugriff hinsichtlich der physikalischen Herkunft bzw. der Lage im Filesystem des Servers: Zu diesem Zweck ist serverseitig eine mit der Servereinheit 3 0 zusammenwirkende Nutzer-Identifikationseinheit 32 vorgesehen, die auf Grund der beim Server eingehenden nutzerseitigen Anfrage feststellt, ob der zugreifende Nutzer einer vorbestimmten Nutzergruppe (abgelegt in zugehöriger Nutzergruppen-Datenbank 34) angehört, oder aberHowever, in addition to conventionally known Internet dialogs for retrieving electronic documents, the embodiment shown in Figure 1 enables protected access, concealed with regard to a specific document address of a document requested by the user, with regard to the physical origin or location in the file system of the server: For this purpose, a user identification unit 32 is provided on the server side, which interacts with the server unit 30 and determines, on the basis of the user's request received by the server, whether the accessing user belongs to a predetermined user group (stored in the associated user group database 34), or

W221DE7 - 7 - · *· &iacgr; &iacgr; " i ii !W221DE7 - 7 - · *· &iacgr;&iacgr;"Iii!"

über andere, vorbestimmte bzw. festgelegte Nutzungsrechte verfügt. In der konkret gezeigten Realisierung erfolgt dies dadurch, dass die Nutzer-Identifikationseinheit 32 mit der Nutzeranfrage an die Servereinheit 30 Informationen eines Cookies empfängt, welcher, etwa als Ergebnis eines vorhergehenden Identifikations- und/oder Transaktionsdialoges mit einer serverseitigen Transaktionseinheit 36 in der lokalen Speichereinheit 12 auf Nutzerseite abgelegt ist.has other, predetermined or specified usage rights. In the specific implementation shown, this is done by the user identification unit 32 receiving information from a cookie with the user request to the server unit 30, which cookie is stored in the local storage unit 12 on the user side, for example as a result of a previous identification and/or transaction dialog with a server-side transaction unit 36.

Zum Erreichen der erfindungsgemäßen Umleitung der vom Nutzer eingegebenen bzw. per Hypertext ausgewählten ersten Adresse ist der Servereinheit 30 eine Umleitungs- und Filtereinheit 3 8 zugeordnet, die von der Nutzer-Identifikationseinheit ein Autorisierungssignal empfängt und, abhängig von einem solchen Autorisierungssignal, den Nutzerzugriff entweder auf einen serverseitigen, ursprünglichen (ersten) Datenbereich 40 ermöglicht, oder aber den Zugriff auf einen von dem ersten Datenbereich bevorzugt physisch getrennten, mit einer Firewall-Einheit 42 abgesicherten zweiten Datenbereich 44 durch Zuordnen einer entsprechenden zweiten Adresse umlenkt.In order to achieve the inventive redirection of the first address entered by the user or selected via hypertext, the server unit 30 is assigned a redirection and filter unit 38 which receives an authorization signal from the user identification unit and, depending on such an authorization signal, enables the user to access either a server-side, original (first) data area 40, or redirects access to a second data area 44, preferably physically separated from the first data area and secured with a firewall unit 42, by assigning a corresponding second address.

Genauer gesagt besteht der erfindungsgemäße Schutzzweck darin, die dem ersten Datenbereich zugehörige erste Adresse, die insoweit nutzerseitig bekannt und transparent ist, durch die dem zweiten Datenbereich 44 zugeordnete, zweite Adresse, die aus Nutzersicht nicht erkennbar und intransparent ist, zu ersetzen, ohne dass dieser Vorgang aus Nutzersicht bemerkt wird. Wird zudem das zu schützende Datenmaterial lediglich im zweiten Datenbereich 44 abgelegt, nicht jedoch im ersten Datenbereich 40, so wird, insbesondere im Hinblick auf unautorisierte Zugriffe auf den ersten Datenbereich 40, eine deutliche Sicherheitserhöhung des sicherungsbedürftigen elektronischen Dokumentes erreicht.More precisely, the purpose of the protection according to the invention is to replace the first address associated with the first data area, which is known and transparent to the user, with the second address associated with the second data area 44, which is not recognizable and non-transparent from the user's perspective, without this process being noticed by the user. In addition, if the data material to be protected is only stored in the second data area 44, but not in the first data area 40, a significant increase in the security of the electronic document requiring protection is achieved, particularly with regard to unauthorized access to the first data area 40.

Insbesondere liegt es auch im Rahmen der gezeigten Ausführungsform, dem ersten Datenbereich 4 0 einen Fehlerhinweis in Form eines allgemeinen elektronischen Dokumentes, oderIn particular, it is also within the scope of the embodiment shown to provide the first data area 4 0 with an error indication in the form of a general electronic document, or

W221DE7 - 8 - .'W221DE7 - 8 - .'

aber einen Hyperlink zum Initiieren eines Identifikations- und/oder Zahlungsvorganges mittels der Nutzeridentifikationseinheit 32 oder der Transaktionseinheit 3 6 zuzuordnen, so dass ein beim Zugriff zunächst nicht identifizierter Nutzer nach dem Durchführen eines entsprechenden Zahlungsdialoges dann Zugriff auf den geschützten zweiten Datenbereich erhalten kann, durch entsprechend positive Bestätigung der Nutzer-Identifikationseinheit 32.but to assign a hyperlink for initiating an identification and/or payment process by means of the user identification unit 32 or the transaction unit 36, so that a user who is initially not identified during access can then gain access to the protected second data area after carrying out a corresponding payment dialog, by correspondingly positive confirmation of the user identification unit 32.

Eine in der Figur gezeigte Verschiebeeinheit 46 sorgt zudem für das Verschieben des zu schützenden DokumentbeStandes aus dem ersten Datenbereich 4 0 zum zweiten Datenbereich 44.A shifting unit 46 shown in the figure also ensures that the document stock to be protected is shifted from the first data area 40 to the second data area 44.

Claims (14)

1. Vorrichtung zum Übertragen elektronischer Dokumente über ein öffentlich zugängliches Datenübertragungsnetz (20), insbesondere das Internet, mit
einer nutzerseitigen Datenverarbeitungseinrichtung (10), die zum Empfangen eines angeforderten elektronischen Dokuments von einer eine Dateiverwaltungseinheit (38, 40, 46, 44) aufweisenden serverseitigen Verarbeitungsvorrichtung (30) über das Datenübertragungsnetz sowie zum Darstellen und/oder Weiterverarbeiten des angeforderten elektronischen Dokuments für einen Nutzer ausgebildet ist,
wobei ein Zugriff auf das elektronische Dokument durch den Nutzer durch Übertragung einer dokumentspezifischen ersten Adresse von der nutzerseitigen zur serverseitigen Datenverarbeitungseinrichtung (30) erfolgt und die Dateiverwaltungseinheit zum Bereitstellen eines einer Adresse zugeordneten elektronischen Dokuments als zur nutzerseitigen Datenverarbeitungseinrichtung zu übertragender Datei ausgebildet ist,
gekennzeichnet durch
eine serverseitig vorgesehene Zugriffssteuerungsvorrichtung (32), die zum zusätzlichen Empfangen nutzerspezifischer Identifikations- und/oder Autorisierungsdaten des Nutzers ausgebildet ist
und serverseitig Mittel (38) zur Zuordnung einer nutzerseitig nicht erkennbaren zweiten Adresse zu der ersten Adresse als Reaktion auf ein Autorisierungssignal der Zugriffssteuerungsvorrichtung vorgesehen sind,
wobei die zweite Adresse so gebildet ist, dass sie auf einen zweiten Speicherbereich (44) innerhalb oder extern der serverseitigen Datenverarbeitungseinrichtung verweist, der sich von einem der ersten Adresse zugeordneten ersten Speicherbereich (40) unterscheidet und
die Dateiverwaltungseinheit so ausgebildet ist, dass sie als Reaktion auf die erste Adresse bei fehlendem Autorisierungssignal ein Fehlersignal und/oder ein für den Nutzer nicht brauchbares elektronisches Dokument und/oder ein Dokument eines Authentifizierungs-, Identifizierungs- und/oder Bezahlungsdialogs aus dem ersten Speicherbereich und/oder aus einem weiteren Speicherbereich bereitstellt und als Reaktion auf die zweite Adresse das angeforderte elektronische Dokument bereitstellt. 1. Device for transmitting electronic documents via a publicly accessible data transmission network ( 20 ), in particular the Internet, with
a user-side data processing device ( 10 ) which is designed to receive a requested electronic document from a server-side processing device ( 30 ) having a file management unit ( 38 , 40 , 46 , 44 ) via the data transmission network and to display and/or further process the requested electronic document for a user,
wherein access to the electronic document by the user is achieved by transmitting a document-specific first address from the user-side to the server-side data processing device ( 30 ) and the file management unit is designed to provide an electronic document associated with an address as a file to be transmitted to the user-side data processing device,
marked by
an access control device ( 32 ) provided on the server side, which is designed to additionally receive user-specific identification and/or authorization data of the user
and means ( 38 ) are provided on the server side for assigning a second address, which is not recognizable by the user, to the first address in response to an authorization signal from the access control device,
wherein the second address is formed such that it refers to a second memory area ( 44 ) inside or outside the server-side data processing device, which differs from a first memory area ( 40 ) assigned to the first address and
the file management unit is designed such that, in response to the first address, if an authorization signal is missing, it provides an error signal and/or an electronic document that is not usable for the user and/or a document of an authentication, identification and/or payment dialog from the first storage area and/or from a further storage area and, in response to the second address, provides the requested electronic document. 2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass der erste Speicherbereich (40) leer oder mit einem nicht dem angeforderten elektronischen Dokument entsprechenden, bevorzugt dokumentunspezifischen Dokumentinhalt belegt ist. 2. Device according to claim 1, characterized in that the first memory area ( 40 ) is empty or is occupied by a document content that does not correspond to the requested electronic document, preferably a document-unspecific document content. 3. Vorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der erste Speicherbereich (40) sich physikalisch von dem zweiten Speicherbereich (44) unterscheidet und der zweite Speicherbereich bevorzugt durch eine Firewall (42) abgesichert. 3. Device according to claim 1 or 2, characterized in that the first memory area ( 40 ) is physically different from the second memory area ( 44 ) and the second memory area is preferably secured by a firewall ( 42 ). 4. Vorrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die nutzerspezifischen Identifikations- und/oder Autorisierungsdaten automatisiert und ohne Eingriff des Nutzers durch die nutzerseitige Datenverarbeitungseinrichtung erzeugt und übertragen werden können. 4. Device according to one of claims 1 to 3, characterized in that the user-specific identification and/or authorization data can be generated and transmitted automatically and without user intervention by the user-side data processing device. 5. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, daß die nutzerspezifischen Identifikations- und/oder Autorisierungsdaten mittels individualisierender Dateneinheiten, insbesondere Cookies, erzeugt werden, die durch Wirkung der serverseiten Datenverarbeitungseinrichtung in der nutzerseitigen Datenverarbeitungseinrichtung (10, 12) abgelegt sind. 5. Device according to claim 4, characterized in that the user-specific identification and/or authorization data are generated by means of individualizing data units, in particular cookies, which are stored in the user-side data processing device ( 10 , 12 ) by the action of the server-side data processing device. 6. Vorrichtung nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die nutzerspezifischen Identifikations- und/oder Autorisierungsdaten durch serverseitige Änderung der ersten Adresse, insbesondere eine benutzerspezifische Erweiterung derselben, erzeugbar sind. 6. Device according to claim 4 or 5, characterized in that the user-specific identification and/or authorization data can be generated by server-side modification of the first address, in particular a user-specific extension thereof. 7. Vorrichtung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass der Zugriffssteuerungsvorrichtung serverseitig eine Vorrichtung (32) zur Identifikation des Nutzers sowie zur Durchführung einer im Zusammenhang mit dem angeforderten elektronischen Dokument stehenden Finanztransaktion (36) zugeordnet ist. 7. Device according to one of claims 1 to 6, characterized in that the access control device is assigned on the server side a device ( 32 ) for identifying the user and for carrying out a financial transaction ( 36 ) in connection with the requested electronic document. 8. Vorrichtung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Zugriffssteuerungsvorrichtung zum Herstellen einer Verbindung mit einem externen Finanztransaktionsserver ausgebildet ist. 8. Device according to one of claims 1 to 7, characterized in that the access control device is designed to establish a connection with an external financial transaction server. 9. Vorrichtung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Zugriffssteuerungsvorrichtung eine Vorrichtung zur Erzeugung, Verwaltung und/oder Vergabe von Nutzungsrechten an elektronischen Dokumenten zugeordnet ist. 9. Device according to one of claims 1 to 8, characterized in that the access control device is assigned a device for generating, managing and/or assigning usage rights to electronic documents. 10. Vorrichtung nach einem der Ansprüche 1 bis 9 dadurch gekennzeichnet, dass der Zugriffssteuerungsvorrichtung eine Vorrichtung (34) zur Zuordnung des Nutzers zu einer vorbestimmten, mit Nutzungsrechten versehenen Nutzergruppe zugeordnet ist. 10. Device according to one of claims 1 to 9, characterized in that the access control device is assigned a device ( 34 ) for assigning the user to a predetermined user group provided with usage rights. 11. Vorrichtung nach einem der Ansprüche 1 bis 10, gekennzeichnet durch eine der Dateiverwaltungseinheit zugeordnete Dateiverschiebungseinheit (46), die zum Verschieben der im ersten Speicherbereich gehaltenen Daten in den zweiten Speicherbereich sowie zum Erzeugen und Zuordnen der zweiten Adresse zu der ersten Adresse ausgebildet ist. 11. Device according to one of claims 1 to 10, characterized by a file shifting unit ( 46 ) assigned to the file management unit, which is designed to shift the data held in the first memory area into the second memory area and to generate and assign the second address to the first address. 12. Vorrichtung nach Anspruch 11, dadurch gekennzeichnet, dass die Dateiverschiebungseinheit zum Umbenennen der ersten Adresse in die zweite Adresse sowie zum Erzeugen einer entsprechenden Zuordnungsdatei ausgebildet ist. 12. Device according to claim 11, characterized in that the file moving unit is designed to rename the first address to the second address and to generate a corresponding allocation file. 13. Vorrichtung nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass das elektronische Dokument ein verschlüsseltes Dokument ist, das durch der zweiten Adresse auch zugeordnete Rekonstruktionsanweisungen nutzerseitig in einen entschlüsselten, für den Nutzer brauchbaren Zustand versetzt werden kann. 13. Device according to one of claims 1 to 12, characterized in that the electronic document is an encrypted document which can be put into a decrypted state usable by the user by reconstruction instructions also assigned to the second address. 14. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, dass die Rekonstruktionsanweisungen Elemente einer aktiven Datenmenge, insbesondere Anweisungen einer Programmier- oder Scriptsprache, aufweisen und dem Nutzer unter der zweiten Adresse zur Verfügung gestellt werden können. 14. Device according to claim 13, characterized in that the reconstruction instructions comprise elements of an active data set, in particular instructions of a programming or scripting language, and can be made available to the user at the second address.
DE20000957U 2000-01-20 2000-01-20 Device for the controlled transmission of electronic documents over a publicly accessible data transmission network Expired - Lifetime DE20000957U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE20000957U DE20000957U1 (en) 2000-01-20 2000-01-20 Device for the controlled transmission of electronic documents over a publicly accessible data transmission network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE20000957U DE20000957U1 (en) 2000-01-20 2000-01-20 Device for the controlled transmission of electronic documents over a publicly accessible data transmission network

Publications (1)

Publication Number Publication Date
DE20000957U1 true DE20000957U1 (en) 2001-06-07

Family

ID=7936157

Family Applications (1)

Application Number Title Priority Date Filing Date
DE20000957U Expired - Lifetime DE20000957U1 (en) 2000-01-20 2000-01-20 Device for the controlled transmission of electronic documents over a publicly accessible data transmission network

Country Status (1)

Country Link
DE (1) DE20000957U1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001096988A2 (en) * 2000-06-09 2001-12-20 Wittkoetter Erland Device and method for decrypting electronic documents

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0865180A2 (en) * 1997-03-14 1998-09-16 Lucent Technologies Inc. Load distribution among servers in a TCP/IP network
US5845267A (en) * 1996-09-06 1998-12-01 At&T Corp System and method for billing for transactions conducted over the internet from within an intranet
US5875296A (en) * 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
WO1999030460A2 (en) * 1997-12-10 1999-06-17 Sun Microsystems, Inc. Highly-distributed servers for network applications
US5963917A (en) * 1996-02-05 1999-10-05 Net Moneyin, Inc. Financial system of computers

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5963917A (en) * 1996-02-05 1999-10-05 Net Moneyin, Inc. Financial system of computers
US5845267A (en) * 1996-09-06 1998-12-01 At&T Corp System and method for billing for transactions conducted over the internet from within an intranet
US5875296A (en) * 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
EP0865180A2 (en) * 1997-03-14 1998-09-16 Lucent Technologies Inc. Load distribution among servers in a TCP/IP network
WO1999030460A2 (en) * 1997-12-10 1999-06-17 Sun Microsystems, Inc. Highly-distributed servers for network applications

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001096988A2 (en) * 2000-06-09 2001-12-20 Wittkoetter Erland Device and method for decrypting electronic documents
WO2001096988A3 (en) * 2000-06-09 2003-04-03 Erland Wittkoetter Device and method for decrypting electronic documents

Similar Documents

Publication Publication Date Title
DE69832786T2 (en) DEVICE AND METHOD FOR IDENTIFYING CLIENTS THAT ACCESS NETWORK SITES
DE69633564T2 (en) ACCESS CONTROL AND MONITORING SYSTEM FOR INTERNET SERVERS
DE60006065T2 (en) METHOD AND SYSTEM FOR THE DEVELOPMENT, APPLICATION, REMOTE LOADING, AND EXECUTION OF WEBSITES CONTROLLED BY DATABASE
DE69809800T2 (en) METHOD AND SYSTEM FOR COLLECTING COPYRIGHT FEES ON THE INTERNET FOR DIGITIZED DATA PROTECTED BY COPYRIGHT
DE69732605T2 (en) Dynamic cache preloading over loosely coupled administrative areas
DE60207812T2 (en) METHOD AND DEVICE FOR DYNAMICALLY ASSIGNING USER RIGHTS TO DIGITAL WORKS
DE10260654A1 (en) Method and apparatus for identifying a digital image and for accessing the digital image over a network
DE102012019214A1 (en) Method for searching and finding websites and web-documents in servers, involves exchanging standardized requests with identification according to metadata such that user who queries kernel over Internet receives response of kernel-network
DE19953055C2 (en) Device and method for the protected output of an electronic document via a data transmission network
WO2011107068A2 (en) Communication system for recording, storing, transferring, and providing data in a process-oriented manner
DE10196978T5 (en) System and method for inserting and integrating a flowing video content into a digital medium
DE60029508T2 (en) Information distribution and reception method, device and computer program product
WO2001042946A2 (en) Method and device for the transfer of electronic data volumes
WO2001059548A2 (en) Device for processing electronic data in an access-protected manner
DE10118064A1 (en) Access control method for data network by requesting password if content is determined to be access-restricted from content marker e.g. in HTML
EP1811351A1 (en) Programmable Logic Controller with USB interface
DE20000957U1 (en) Device for the controlled transmission of electronic documents over a publicly accessible data transmission network
EP2486489B1 (en) Portable data carrier having additional functionality
DE602004005992T2 (en) Data processing system and method
EP2137943B1 (en) Portable data carrier as a web server
DE20115737U1 (en) Communication system and central computer
DE60108176T2 (en) METHOD AND SYSTEM FOR DELIVERING INFORMATION IN A TELECOMMUNICATIONS NETWORK
EP1074920B1 (en) Transmission of information by means of an address data field
DE20003845U1 (en) Device for accessing an electronic document
EP2118788B1 (en) Data processing system and method for receiving personal data

Legal Events

Date Code Title Description
R163 Identified publications notified
R207 Utility model specification

Effective date: 20010712

R081 Change of applicant/patentee

Owner name: WITTKOETTER, ERLAND, DR., DE

Free format text: FORMER OWNER: SECODATA GMBH, 78315 RADOLFZELL, DE

Effective date: 20021210

Owner name: WITTKOETTER, ERLAND, DR., DE

Free format text: FORMER OWNER: WITTKOETTER, ERLAND, DR., ERMATTINGEN, CH

Effective date: 20001114

R150 Utility model maintained after payment of first maintenance fee after three years

Effective date: 20030310

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0017600000

Ipc: G06Q0050000000

R081 Change of applicant/patentee

Owner name: WITTKOETTER, ERLAND, DR., DE

Free format text: FORMER OWNER: BRAINSHIELD TM TECHNOLOGIES, INC., NEW YORK, US

Effective date: 20060109

R157 Lapse of ip right after 6 years

Effective date: 20060801