-
Verfahren
und System zur Wiedergabe eines verschlüsselten digitalen Datenstroms
-
Die
Erfindung betrifft ein Verfahren zum Betreiben eines Kommunikationssystems,
das ein erstes und ein zweites Kommunikationsnetzwerk umfasst. Die
Erfindung betrifft ferner ein System zur Wiedergabe eines verschlüsselten
digitalen Datenstroms.
-
Es
sind Kommunikationsnetzwerke bekannt, welche nach einem Rundfunkprinzip
arbeiten, wie beispielsweise DVB-H (Digital Video Broadcasting Handheld). Über diese
können
verschlüsselte
digitale Datenströme,
z.B. ein Videostrom, über
einen sog. Broadcast an Empfänger übertragen
werden. Zur Entschlüsselung
des digitalen Datenstroms benötigt der
Empfänger,
z.B. ein mobiles Endgerät,
einen Berechtigungsschlüssel.
Die Rechteinhaber an dem zu übertragenden
Datenstrom sind daran interessiert, dass nur berechtigte Benutzer
Zugriff auf die Inhalte des Datenstroms bekommen.
-
Zur
Erfüllung
dieses Erfordernis wird ein digitales Rechtemanagement (sog. Digital
Rights Managements, DRM) eingesetzt. Über dieses kann der Rechteinhaber über eine
DRM-Infrastruktur Rechte festlegen, welche einem Benutzer zugestanden
werden sollen. Typische Rechte umfassen das Lesen oder Abspielen
von Daten, das Schreiben, Ändern/Erneuern
von Daten oder andere Operationen, wie z.B. das Ausdrucken von Textdateien.
Im Gegenzug für
die Gewährung
der Rechte erhält
der Rechteinhaber von den berechtigten Benutzern üblicherweise
eine Bezahlung. Das DRM weist häufig
den Nachteil auf, dass die Weitergabe des Berechtigungsschlüssels an
Nutzer, welche dem Rechteinhaber keine Entschädigung zahlen, möglich ist.
-
Da
ein auf dem Rundfunkprinzip basierendes Kommunikationsnetzwerk keine
Kommunikation von dem Endgerät
zu einem Rechner des Kommunikationsnetzwerks erlaubt, wird eine
solche Kommunikation durch die Bereitstellung eines weiteren Kommunikationsnetzwerks
bewerkstelligt. Dabei stehen das nach dem Rundfunkprinzip arbeitende
Kommunikationsnetzwerk und das weitere Kommunikationsnetzwerk in
einem Datenaustausch. Auf diese Weise wird es dem Endgerät ermöglicht,
eine bidirektionale Kommunikation über das weitere Kommunikationsnetzwerk
zu dem auf dem Rundfunkprinzip basierenden Kommunikationsnetzwerk
vorzunehmen, was beispielsweise im Rahmen einer gewünschten
Interaktivität
vorteilhaft ist.
-
Es
ist bekannt, eine Rechtevergabe ortsabhängig vorzunehmen. Ein System
zur ortsabhängigen
Rechtevergabe benötigt
technische Einrichtungen zur Verschlüsselung sowie zur Detektion
und Unterbindung von Manipulationen auf den Endgeräten. Die
Ortsinformation wird durch authentifizierte GPS-Koordinaten (GPS
= Global Positioning System) ermittelt. Nachteilig an diesem Verfahren
ist der Umstand, dass GPS nur außerhalb von Gebäuden zuverlässig verwendet
werden kann, wodurch der Einsatz stark eingeschränkt ist.
-
Es
besteht daher das Bedürfnis,
dass digitale Datenströme,
welche über
ein Rundfunk- Kommunikationsnetzwerk ausgestrahlt werden, nur besonderen,
berechtigten Benutzern zugänglich
gemacht werden sollen. Insbesondere soll dabei vermieden werden,
dass ein zum Entschlüsseln
notwendiger Berechtigungsschlüssel
unberechtigten Nutzern genutzt werden kann.
-
Die
Erfindung stellt ein Verfahren zum Betreiben eines Kommunikationssystems
sowie ein System zur Wiedergabe eines verschlüsselten digitalen Datenstroms
bereit, welche diesen Bedürfnissen
gerecht werden. Die Erfindung wird durch die Merkmale der unabhängigen Patentansprüche bereitgestellt. Vorteilhafte
Ausführungsformen
ergeben sich aus den abhängigen
Patentansprüchen.
-
Das
erfindungsgemäße Verfahren
zum Betreiben eines Kommunikationssystems, das ein erstes und ein
zweites Kommunikationsnetzwerk umfasst, weist die folgenden Schritte
auf: Bereit stellen eines verschlüsselten
digitalen Datenstroms durch das erste Kommunikationsnetzwerk; Bereitstellen
eines, insbesondere mobilen, Endgeräts, das ein erstes Empfangsmittel
zum Empfangen des von dem ersten Kommunikationsnetzwerk übertragenen
Datenstroms sowie ein zweites Empfangsmittel zum Datenaustausch
mit dem zweiten Kommunikationsnetzwerk umfasst; Überprüfen zumindest einer Kontextvariablen
des Endgeräts;
Bereitstellen des Berechtigungsschlüssels, wenn die zumindest eine
Kontextvariable eine vorgegebene Bedingung erfüllt und Übertragen des Berechtigungsschlüssels über das zweite
Kommunikationsnetzwerk an das Endgerät; Entschlüsseln des Datenstroms unter
Verwendung des Berechtigungsschlüssels;
und Wiedergabe des entschlüsselten
Datenstroms auf dem Endgerät.
-
Die
Vergabe des Berechtigungsschlüssels sowie
die Übertragung
des Berechtigungsschlüssels an
das Endgerät
erfolgt lediglich dann, wenn das Endgerät eine überprüfbare Kontextvariable erfüllt. Die
Kontextvariable kann die physische Präsenz des Endgeräts an einem
definierten Ort, ein bestimmter Status des Endgeräts, ein
Token, das Vorliegen einer bestimmten Zeitinformation oder dergleichen
sein. Nur bei Erfüllung
einer durch den Rechteinhaber vorgegebenen Bedingung der zumindest
einen Kontextvariablen wird ein Berechtigungsschlüssel erstellt, welcher
bei Ausführung
durch das Endgerät
eine Entschlüsselung
des Datenstroms und die Wiedergabe des entschlüsselten Datenstroms auf dem
Endgerät ermöglicht.
Bei der Überprüfung der
zumindest einen Kontextvariablen des Endgeräts findet eine Interaktion
zwischen dem Endgerät
und dem zweiten Kommunikationsnetzwerk statt, wobei ein bidirektionaler Datenaustausch
erfolgt.
-
Die Überprüfung der
zumindest einen Kontextvariablen wird gemäß einer Ausführungsvariante durch
das zweite Kommunikationsnetzwerk durchgeführt. Z.B. kann hierbei eine
Ortsbestimmung über Triangulation
durch eine Mehrzahl an Sende-/Empfangseinrichtungen des zweiten
Kommunikationsnetzwerks erfolgen.
-
Gemäß einer
weiteren Ausführungsform
wird die Überprüfung der
zumindest einen Kontextvariablen durch ein erstes Mittel zur Überprüfung der
zumindest einen Kontextvariablen durchgeführt. Das erste Mittel kann
dabei durch einen Rechner des ersten oder zweiten Kommunikationsnetzwerks
ausgebildet sein, oder aber einen Rechner, welcher in der Einflusssphäre des Rechteinhabers
steht.
-
Eine
weitere Ausführungsform
sieht vor, dass vor dem Bereitstellen des Berechtigungsschlüssels eine Überprüfung der
Authentizität
des Nutzers des Endgeräts
durchgeführt
wird. Durch diese Überprüfung soll
sichergestellt werden, dass der Berechtigungsschlüssel lediglich
dann erstellt und übertragen
wird, wenn ein Nutzer des Endgeräts,
das sich in einem bestimmten Kontext befindet, authentifiziert wurde.
Hierdurch lässt
sich die Sicherheit erhöhen.
-
Eine
weitere Ausführungsform
sieht vor, dem Nutzer des Endgeräts
als überprüfbare Kontextvariable
ein ein-eindeutiges Token zuzuweisen, wobei das Token von dem Endgerät über das
zweite Kommunikationsnetzwerk zur Überprüfung der Authentizität des Nutzers
des Endgeräts
an eine Authentifikations-Einheit übertragen
wird. Ein-eindeutige Token können
eingesetzt werden, um die Sicherheit des Betriebs des Kommunikationssystems
zu erhöhen.
Der Zugriff auf die von dem ersten Kommunikationsnetzwerk ausgestrahlten
Informationen wird dem Endgerät
nur dann gewährt,
wenn dieses im Besitz eines berechtigten Tokens ist. Das Token wird
zweckmäßigerweise
bei der ersten Benutzung verbraucht und verliert seine Gültigkeit,
so dass dieses nicht von Benutzern anderer Endgeräte verwendet
werden kann.
-
Ein
denkbares Verfahren, ein ein-eindeutiges Token zu generieren ist
die Verwendung sog. One-Time-Pads. In Verbindung mit geeigneten
Challenge-Response-Verfahren ist es möglich, Manipulationen zu vermeiden
und die physische Präsenz
eines Benutzers bzw. Endgeräts
in einem geforderten Kontext zu authentifizieren.
-
Eine
weitere Ausführungsform
sieht vor, bei authentifiziertem Nutzer zumindest eine Zugriffsbeschränkung an
dem verschlüsselten
Datenstrom zu ermitteln, die dem Nutzer zugeordnet ist. Die zumindest
eine Zugriffsbeschränkung
kann zweckmäßigerweise
in einer Richtlinie (einer sog. Policy) gespeichert sein. Anhand
der Zugriffsbeschränkung
kann beispielsweise überprüft werden,
welche Rechte dem Nutzer an dem durch das erste Kommunikationsnetzwerk
ausgestrahlten Datenstrom erteilt werden sollen. Dies kann beispielsweise
davon abhängig
sein, welche Rechte der Benutzer des Endgeräts gekauft hat.
-
In
einer weiteren zweckmäßigen Ausgestaltung
wird basierend auf der zumindest einen nutzerspezifischen Zugriffsbeschränkung ermittelt,
welche Mechanismen zur Überprüfung der
zumindest einen Kontextvariablen verwendet werden. Ist die Kontextvariable
durch einen Ort gebildet, so kann ein Mechanismus zur Überprüfung des
Orts durch eine Triangulation unter Verwendung von GPS-Koordinaten
oder dgl. angewandt werden. Ist die zumindest eine Kontextvariable
durch eine Zeit oder eine Zeitspanne gebildet, so wird durch einen
Rechner überprüft, ob sich das
Endgerät
zur Zeit einer Anfrage innerhalb der geforderten Zeitspanne befindet.
Ist die Kontextvariable durch ein Token gebildet, so wird ebenfalls
ein Rechner zu dessen Überprüfung herangezogen.
In einem weiteren Verfahrensschritt wird dann unter Verwendung der
ermittelten Mechanismen eine Überprüfung der
zumindest einen Kontextvariablen durchgeführt.
-
Im
Falle einer positiven Überprüfung der
zumindest einen Kontextvariablen wird ein Berechtigungsnachweis,
der auch als Credential bezeichnet wird, erstellt, welcher zumindest
Daten über
den Nutzer und die zumindest eine Kontextvariable umfasst. Das Credential
ist ein Zertifikat, das bestätigt,
dass der Nutzer sich in dem in der Zugriffsbeschränkung definierten
Kontext befindet. Schließlich
erfolgt die Erzeugung des Berechtigungsschlüssels bei Vorliegen des Berechtigungsnachweises.
-
In
einer weiteren vorteilhaften Ausführungsform ist vorgesehen,
dass der Berechtigungsschlüssel
nutzerspezifisch für
den Nutzer des Endgeräts
erstellt wird. Zweckmäßigerweise
erfolgt die Übertragung
des Berechtigungsschlüssels
an das Endgerät verschlüsselt. Die
Weitergabe des Berechtigungsschlüssels
an Unberechtigte zur Entschlüsselung des
Datenstroms wird dadurch erschwert.
-
Eine
weitere Erhöhung
der Sicherheit des erfindungsgemäßen Verfahrens
wird dadurch erreicht, dass der Berechtigungsschlüssel eine
festgelegte Zeitdauer gültig
ist, wobei nach Ablauf der Gültigkeit des
Berechtigungsschlüssels
eine Entschlüsselung des
Datenstroms durch das Endgerät
mit dem Berechtigungsschlüssel
nicht mehr möglich
ist. Zweckmäßigerweise
wird die Erzeugung des Berechtigungsschlüssels in regelmäßigen Zeitabständen wiederholt
durchgeführt.
Hierdurch ist es möglich,
dass der Nutzer die in dem Datenstrom verschlüsselten Informationen über den
Ablauf der Gültigkeit
eines ersten Berechtigungsschlüssels
hinaus weiter erhalten kann, indem dieser auf den ersten Berechtigungsschlüssel folgende
weitere Berechtigungsschlüssel empfängt.
-
Das
erfindungsgemäße System
zur Wiedergabe eines verschlüsselten
digitalen Datenstroms umfasst die folgenden Merkmale: ein erstes
Kommunikationsnetzwerk, welches Mittel zum Übertragen des Datenstroms aufweist;
ein zweites Kommunikationsnetzwerk; ein, insbesondere mobiles, Endgerät, das umfasst:
ein erstes Empfangsmittel zum Empfangen des von dem ersten Kommunikationsnetzwerk übertragenen
Datenstroms, ein zweites Empfangsmittel zum Datenaustausch mit dem
zweiten Kommunikationsnetzwerk, ein Verarbeitungsmittel zur Entschlüsselung
des Datenstroms unter Verwendung eines bestimmten Berechtigungsschlüssels und
ein Wiedergabemittel zur Wiedergabe des entschlüsselten Datenstroms; ein erstes
Mittel zum Überprüfen zumindest
einer Kontextvariablen des Endgeräts; ein zweites Mittel zum
Bereitstellen des Berechtigungsschlüssels, wenn die zumindest eine Kontextvariable
eine vorgegebene Bedingung erfüllt, und
zum Übertragen
des Berechtigungsschlüssels über das
zweite Kommunikationsnetzwerk an das Endgerät.
-
Das
erfindungsgemäße System
weist die gleichen Vorteile auf, wie sie vorstehend in Verbindung
mit dem erfindungsgemäßen Verfahren
beschrieben wurden.
-
Die
Kontextvariable kann durch einen Ort, eine Zeit, einen Status, ein
Token oder dgl. gebildet sein. Zur Erfüllung der vorgegebenen Bedingung können dabei
mehrere Kontextvariablen zu berücksichtigen
sein.
-
Es
ist in einer Ausgestaltung ein drittes Mittel zur Überprüfung der
Authentizität
eines Nutzers des Endgeräts
vorgesehen, welches bei authentifiziertem Nutzer zumindest eine
dem Nutzer zugeordnete Zugriffsbeschränkung an dem verschlüsselten
Datenstrom ermittelt.
-
Es
ist in einer weiteren Ausgestaltung ein viertes Mittel zum Erstellen
eines Berechtigungsnachweises (Credential) vorgesehen, welches zumindest
Daten über
den Nutzer und die zumindest eine Kontextvariable umfasst.
-
In
einer weiteren Variante ist ein fünftes Mittel zum Generieren
des Berechtigungsschlüssels vorgesehen.
Dabei wird, wie bereits beschrieben, der Berechtigungsnachweis berücksichtigt
und bevorzugt ein nutzerspezifischer Berechtigungsschlüssel erzeugt.
-
Die Übertragungstechnologie
des ersten Kommunikationsnetzwerks basiert auf einem Rundfunkprinzip
(sog. Broadcast), insbesondere nach dem DVB-H-Standard. Demgegenüber ist
das zweite Kommunikationsnetzwerk ein Mobilfunknetzwerk nach dem
GSM-(Global System for Mobile Communication), GPRS-(General Packet
Radio Service), UMTS-(Universal Mobile Telecommunications System)
oder WLAN-(Wireless Local Area Network) Standard.
-
Die
Erfindung wird nachfolgend anhand der Figuren näher erläutert. Es zeigen:
-
1 eine
schematische Darstellung eines erfindungsgemäßen Systems zur Wiedergabe
eines verschlüsselten
digitalen Datenstroms, und
-
2 eine
schematische Darstellung einer bi-direktionalen Broadcast-Infrastruktur.
-
Das
der Erfindung zugrunde liegende Prinzip greift auf eine technische
Infrastruktur zurück,
welche ein opportunistisches Zugangsverfahren nutzt, das auf der
Kombination verschiedener Zugangssysteme und des Zusammenspiels
von Anbietern von Rechteinformationen, Mobilfunknetzbetreibern und
der tatsächlichen
physischen Präsenz
des Benutzers beruht. Das hierzu verwendete Kommunikationssystem umfasst
ein erstes Kommunikationsnetzwerk 10 und ein zweites Kommunikationsnetzwerk 20.
Stellvertretend für
eine Vielzahl an Rechnern und Sendevorrichtungen ist eine Sendevorrichtung 11 des
ersten Kommunikationsnetzwerks 10 in 1 dargestellt. Das
erste Kommunikationsnetzwerk basiert auf einem Rundfunkprinzip,
d.h. über
die Sendevorrichtung 11 werden ein oder mehrere verschlüsselte digitale
Datenströme 13 gesendet,
welche durch Endgeräte 31, 32 empfangbar
sind. Der von dem ersten Kommunikationsnetzwerk 10 ausgestrahlte
digitale Datenstrom 13 wird durch einen Rechteinhaber (sog. Content
Provider) bereitgestellt. Die Inhalte können beispielsweise auf einem
Rechner 12 gespeichert sein, welcher mit dem ersten Kommunikationsnetzwerk 10 gekoppelt
ist. Eine Kommunikation in umgekehrter Richtung, d.h. von einem
der Endgeräte 31, 32 in
Richtung der Sendevorrichtung 11 des ersten Kommunikationsnetzwerks 10 ist
nicht vorgesehen. Bei dem ersten Kommunikationsnetzwerk kann es sich
beispielsweise um ein DVB-H-Kommunikationsnetzwerk handeln.
-
Das
zweite Kommunikationsnetzwerk 20 bildet beispielsweise
ein auf dem GSM-, GPRS-, UMTS- oder WLAN-Standard basierendes Kommunikationsnetz
aus. Stellvertretend für
eine Vielzahl an Sende-/Empfangsvorrichtungen sind Sende-/Empfangsvorrichtungen 21, 22, 23 dargestellt,
welche räumlich
verteilt sind.
-
Die
Endgeräte 31, 32 sind
einerseits in der Lage, den von dem ersten Kommunikationsnetzwerk 10 ausgestrahlten
Datenstrom 13 zu empfangen und, sofern sie im Besitz eines
gültigen
Berechtigungsschlüssels
sind, diesen wiederzugeben. Ferner sind die Endgeräte 31, 32 in
der Lage, über
die Sende-/Empfangsvorrichtungen 21, 22, 33 bidirektional Daten
mit dem zweiten Kommunikationsnetzwerk 20 auszutauschen.
Das erste und das zweite Kommunikationsnetzwerk 10, 20 weisen
eine Kommunikationsverbindung zueinander auf, die entweder – wie in 1 dargestellt – direkt über einen
Rechner 24 oder das Internet als weiteres Kommunikationsnetzwerk erfolgt,
so dass indirekt über
das zweite Kommunikationsnetzwerk 20 eine Kommunikation
zwischen den Endgeräten 31, 32 und
dem ersten Kommunikationsnetzwerk 10 möglich ist.
-
Will
der Benutzer eines der Endgeräte 31, 32 Zugriff
auf die in dem Datenstrom 13 verschlüsselten Informationen, so benötigt er
einen Berechtigungsschlüssel.
Der Rechteinhaber an den Informationen fordert, dass lediglich solche
Benutzer, die sich in einem bestimmten Kontext befinden, auf die
verschlüsselten
Daten zugreifen können.
Der Rechteinhaber definiert dazu eine Richtlinie, eine sog. Policy,
welche den Informationen des Datenstroms zugeordnet sind. Die Erfüllung der
Richtlinie soll dabei vom Kontext des jeweiligen Benutzers bzw.
Endgerät
abhängen. Der
Kontext kann beispielsweise der Aufenthaltsort des Benutzers bzw.
Endgeräts
und die Zugehörigkeit zu
einer Benutzergruppe darstellen. Benutzer bzw. Endgeräte, die
sich in einem davon abweichenden Kontext befinden, sollen die prinzipiell
frei empfangbaren, aber verschlüsselten,
Informationen des Datenstroms 13 nicht entschlüsseln können.
-
Dabei
sind folgende Szenarien vorstellbar. Aufgrund von Regularien ist
es in Sportstadien (z.B. einem Fußballstadion) un tersagt, Wiederholungen von
Szenen auf Übertragungsleinwänden des
Sportstadions zu zeigen. Dennoch wird die Darstellung von solchen
Wiederholungen auf dazu berechtigten Endgeräten angeboten. Berechtigt im
Sinne des Rechteinhabers sind dabei solche Endgeräte bzw. Benutzer,
die sich innerhalb des Areals des Sportstadions aufhalten und weiterhin
eine gültige
Eintrittskarte für
die in dem Stadion gezeigte Sportveranstaltung besitzen. Ein weiteres
Szenario betrifft beispielsweise Konzertveranstaltungen. Auf einem Großkonzert,
z.B. in einer Halle, werden Videos und Daten über das erste Kommunikationsnetzwerk 10 ausgestrahlt,
so dass alle Besucher die Informationen empfangen können. Der
Zugriff soll jedoch tatsächlich
nur solchen Benutzern bzw. Endgeräten ermöglicht werden, welche eine
gültige
Eintrittskarte für die
Veranstaltung besitzen und sich im Bereich des Veranstaltungsorts
befinden.
-
Im
Rahmen der Ausführungsbeispiele
wird davon ausgegangen, dass der Betreiber des zweiten Kommunikationsnetzwerks
in der Lage ist, den Kontext eines Benutzers bzw. Endgeräts zu bestimmen. Dies
kann beispielsweise durch ein Triangulationsverfahren erfolgen.
-
In 1 ist
eine Situation dargestellt, in der sich das Endgerät 31 an
einem Veranstaltungsort 30, z.B. einem Stadion oder einer
Halle, befindet, während
sich das Endgerät 32 außerhalb
dieses Veranstaltungsorts 30 befindet und/oder keine Eintrittskarte
besitzt. Beide Benutzer sind dennoch technisch in der Lage, den
gleichen Datenstrom 13 zu empfangen, da sowohl das Endgerät 31 als
auch das Endgerät 32 die
gleiche Sendevorrichtung 11 empfangen und in der gleichen
Mobilfunkzelle des zweiten Kommunikationsnetzwerks 20 eingebracht
sind.
-
Das
Verfahren, mit dem sichergestellt wird, dass nur das Endgerät 31 zur
Entschlüsselung
des Datenstroms 13 befähigt
wird, wird nachfolgend beschrieben und ist allgemein in folgende
Phasen aufgeteilt:
- a) Identifikation des Benutzers
bzw. Endgeräts und
Bestimmung der Zugriffsbeschränkungen,
- b) die Feststellung des Kontexts, in dem sich der Benutzer bzw.
das Endgerät
befindet,
- c) Aushandlung eines Berichtungsschlüssels, und
- d) optional Aufrechterhaltung des Berechtigungsschlüssels
-
Die
Identifikation des Benutzers und der Zugriffsanforderung auf die
in dem Datenstrom 13 verschlüsselten Inhalte kann beispielsweise
unter Verwendung von SMS- oder USSD-Diensten erfolgen (SMS = Short
Message Service; USSD = Unstructured Supplementary Service Data).
Hierzu bekommt der Benutzer des Endgeräts 31 ein ein-eindeutiges Token
zugewiesen. Dieser stellt allgemein einen Berechtigungscode dar,
der z.B. beim Betreten des Veranstaltungsorts mit gültiger Eintrittskarte
verteilt wird. Eine Möglichkeit,
ein ein-eindeutiges Token zu generieren, ist die Verwendung sog.
One-Time-Pads. Z.B. kann eine n-stellige Zahl, aufgedruckt auf der
Eintrittskarte zu einem Fußballspiel,
dazu dienen, ein Token zu generieren. Der Benutzer des Endgeräts 31 muss
diese Zahl zusammen mit seiner Zugriffsanforderung als "Freischaltcode" eingeben. Vorstellbar
ist ebenfalls ein Barcode, der beispielsweise über eine, in das Endgerät eingebaute,
Kamera erkannt und automatisch als Token verwendet wird. Als Generator für ein Token
kann ferner eine lokale Kommunikationstechnologie verwendet werden,
wie z.B. ein Access Point in einem Bluetooth- oder WLAN-Kommunikations-Netzwerk.
Zusammen mit einem geeigneten Challenge-Response-Verfahren können diese Verfahren
hinreichend sicher ausgestaltet werden, um im Weiteren die physische
Präsenz
eines Benutzers bzw. Endgeräts
in einem definierten Kontext zu authentifizieren.
-
Das
Endgerät 31 sendet
die Zugriffsanforderung (einen sog. Service-Request) beispielsweise
in Form der SMS oder dem USSD-Request an das zweite Kommunikationsnetzwerk 20 des
Mobilfunknetzbetreibers. Die Zugriffsanforderung beinhaltet eine
definierte Service-Identifikation und das ein-eindeutige Token,
sowie eine Endgeräte-ID.
Dies kann beispielsweise die Mobile Station International Subscriber
Directory Number MSISDN sein. In dem zweiten Kommunikationsnetzwerk 20 wird
die Zugriffsanforderung verarbeitet, um den Benutzer bzw. das Endgerät 31 zu
authentifizieren. Dies kann durch die Überprüfung der Gültigkeit der MSISDN und/oder
der IMEI (International Mobile Station Equipment Identity) erfolgen.
Im Rahmen der Überprüfung wird
auf die Richtliniendatenbank des Betreibers des zweiten Kommunikationsnetzwerks 20 zugegriffen,
wobei die Richtlinie untersucht wird, welche die Zugriffsbeschränkungen
auf den Datenstrom 13 definiert.
-
Zur
Feststellung der zumindest einen Kontextvariablen des Endgeräts bzw.
des Benutzers werden basierend auf der Richtlinie Mechanismen definiert,
welche zur Überprüfung der
Kontextvariablen des Endgeräts
geeignet sind. Die Überprüfung kann beispielsweise
die Bestimmung des Aufenthaltsorts des Endgeräts durch ein Triangulierungsverfahren durch
das zweite Kommunikationsnetzwerk und/oder die Bestimmung der Zugehörigkeit
des Benutzers des Endgeräts
zu einer bestimmten Gruppe durch Überprüfung der Gültigkeit des One-Time-Tokens
erfolgen. Stehen die Mechanismen fest, so werden diese zur Überprüfung der
Kontextvariablen umgesetzt. Im Falle einer positiven Überprüfung wird
ein Berechtigungsnachweis, ein sog. Credential, erzeugt, welches
Daten über
den Nutzer und die zumindest eine Kontextvariable umfasst. Dieses
stellt ein Zertifikat dar, welches bestätigt, dass sich das Endgerät in dem
in der Zugriffsbeschränkung
definierten Kontext befindet.
-
Nach
einer Überprüfung des
Berechtigungsnachweises erfolgt die Übermittlung und Benutzung des
Berechtigungsschlüssels.
Eine positive Überprüfung des
Berechtigungsnachweises bedeutet, dass sich das Endgerät zum Zeitpunkt
der Zugriffsanforderung in einem berechtigten Kontext befindet,
so dass ein vorzugsweise zeitbeschränkter Berechtigungsschlüssel generiert
und über
das zweite Kommunikationsnetzwerk 10 an das Endgerät 31 übertragen wird.
Dies kann beispielsweise unter Verwendung einer SMS erfolgen, die
den Berechtigungsschlüssel, welcher
auch als Lizenz bezeichnet werden kann, umfasst.
-
Zweckmäßigerweise
ist der Berechtigungsschlüssel
durch kryptographische Verfahren gegen eine Veränderung oder Manipulation geschützt und kann
nur durch das Endgerät 31 benutzt
werden. Das Endgerät
extrahiert den Berechtigungsschlüssel
aus der SMS und speichert sie in einem vor externen Zugriffen sicheren
Bereich. Das Endgerät 31 ist
nunmehr in der Lage, den Datenstrom 13 zu entschlüsseln und
die darin enthaltenen Daten wiederzugeben, z.B. darzustellen.
-
Das
Endgerät
kann auf die Daten des Datenstroms 13 zugreifen, so lange
sich dieses in dem erforderlichen Kontext befindet. Um eine hohe
Sicherheit für
den Rechteinhaber zu gewährleisten,
ist es zweckmäßig, wenn
die an das Endgerät 31 übermittelten
Berechtigungsschlüssel
lediglich temporär
gültig
sind. Diese werden regelmäßig von
dem Rechteinhaber neu generiert und an das Endgerät 31 über das
zweite Kommunikationsnetzwerk 20 übertragen, so lange sich der
Benutzer des Endgeräts 31 in
dem Kontext befindet.
-
2 zeigt
die Infrastruktur des erfindungsgemäßen Kommunikationssystems in
einer anderen Darstellung. Ein Dienstanbieter 100 ist dem
ersten Kommunikationsnetzwerk 10, das eine Rundfunkinfrastruktur
umfasst, zugeordnet. Von diesem werden Bild- und Tondaten 101 bereitgestellt,
welche über
einen Netzwerk-Adapter 102 ("Broadcast-Netzwerkadapter") an ein Endgerät 120 übertragen
werden. Dabei können über einen
ersten Übertragungskanal 103 die
Bild- und Tondaten 101 übertragen
werden, während
Interaktivitätsdaten 105 über einen
zweiten Übertragungskanal 104 an
das Endgerät 120 gesendet
werden. Der Dienstanbieter 100 ist mit einem Mobilfunknetzwerkanbieter 110 in
einer Kommunikationsverbindung miteinander verbunden. Der Mobilfunknetzanbieter 110 ist über einen
Netzwerkadapter 111 in der Lage, mit dem Endgerät 120 bidirektional zu
kommunizieren. Zu Illustrationszwecken sind hierzu ein erster Übertragungskanal
von dem mobilen Endgerät
zu dem Netzwerkadapter 111 und ein zweiter Übertragungskanal
von dem Netzwerkadapter 111 zu dem Endgerät 120 dargestellt.
Eine Interaktivität
zwischen dem Endgerät 120 und
dem Dienstanbieter ist unter Verwendung der Infrastruktur des zweiten
Kommunikationsnetzwerks 20 möglich, da über dieses ein benötigter Rückkanal
bereitgestellt wird.
-
Die
Erfindung weist eine Reihe von Vorteilen auf, welche nachfolgend
nochmals dargestellt werden. Die lokale Ausstrahlung von digitalen
Datenströmen
wird in Fällen
ermöglicht,
bei denen es rechtlich und/oder vertraglich nicht erlaubt wäre, bestimmte Daten
im allgemeinen, d.h. unverschlüsselt,
zur Verfügung
zu stellen. Typische Lösungen,
den Zugang zu beschränken,
setzen eine statische Rechtevergabe voraus, die nicht dynamisch
an einem bestimmten Zugriffskontext angepasst werden kann.
-
Die
Erfindung stellt ein Verfahren bereit, mit dem Datenströme an Endgeräte verteilt
werden können,
die sich in einem dynamisch bestimmten Kontext befinden. Dies wird
durch die Verwendung sog. Broadcast-Medien erreicht, z.B. einem
auf dem DVB-H-Standard basierenden Kommunikationsnetzwerk. Hierbei
ist sichergestellt, dass, obwohl der Datenempfang über ein
Broadcast Medium nicht zielgerichtet einem bestimmten Endgerät zugeordnet
ist, eine solche Zuordnung herstellbar ist.
-
Dazu
werden Aufenthaltsort und/oder eine bestimmte Gruppenzugehörigkeit,
z.B. durch ein zweites Kommunikationsnetzwerk, und/oder weitere Kriterien
ermittelt. Weitere technische Maßnahmen, z.B. die Verwendung
lokaler Kommunikationstechniken, wie WLAN und Bluetooth, können zur
feineren Bestimmung eines Kontextes verwendet werden. Der Begriff
des Kontextes kann neben Ortsangaben auch weitere Parameter enthalten,
wie z.B. Zeit oder eine bestimmte Aktivität oder einen Status.