DE102009010605A1 - Verfahren und Lizenzserver zum Erzeugen einer mobilen Benutzungsberechtigung für eine Nutzung einer Anwendung ausserhalb einer lokalen Umgebung - Google Patents

Verfahren und Lizenzserver zum Erzeugen einer mobilen Benutzungsberechtigung für eine Nutzung einer Anwendung ausserhalb einer lokalen Umgebung Download PDF

Info

Publication number
DE102009010605A1
DE102009010605A1 DE102009010605A DE102009010605A DE102009010605A1 DE 102009010605 A1 DE102009010605 A1 DE 102009010605A1 DE 102009010605 A DE102009010605 A DE 102009010605A DE 102009010605 A DE102009010605 A DE 102009010605A DE 102009010605 A1 DE102009010605 A1 DE 102009010605A1
Authority
DE
Germany
Prior art keywords
application
local environment
mobile
authorization
privilege
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102009010605A
Other languages
English (en)
Inventor
Wolfgang Ziegler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Original Assignee
Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV filed Critical Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Priority to DE102009010605A priority Critical patent/DE102009010605A1/de
Priority to PCT/EP2009/067957 priority patent/WO2010097139A1/de
Publication of DE102009010605A1 publication Critical patent/DE102009010605A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Ein Verfahren zur Erzeugung einer mobilen Benutzungsberechtigung für eine Nutzung einer Anwendung außerhalb einer lokalen Umgebung umfasst das Bereitstellen einer Benutzungsberechtigung für eine Nutzung der Anwendung innerhalb der lokalen Umgebung, wobei die lokale Umgebung die zumindest eine Benutzungsberechtigung von einem Anbieter der Anwendung erworben hat. Ansprechend auf eine Anforderung, die Anwendung außerhalb der lokalen Umgebung zu nutzen, wird eine mobile Benutzungsberechtigung basierend auf der Benutzungsberechtigung der lokalen Umgebung so erzeugt, dass die Anwendung außerhalb der lokalen Umgebung erkennt, dass die mobile Benutzungsberechtigung von der vom Hersteller der Anwendung als vertrauenswürdig betrachteten lokalen Umgebung stammt.

Description

  • Die vorliegende Erfindung bezieht sich allgemein auf das Gebiet der Bereitstellung von Benutzungsberechtigungen (Lizenzen) zur Verwendung bzw. Nutzung von Anwendungen, z. B. Softwareprogrammen, in einer Computerumgebung. Insbesondere bezieht sich die vorliegende Erfindung auf einen Ansatz zur Erzeugung mobiler Benutzungsberechtigungen auf der Grundlage existierender Benutzungsberechtigungen, die für eine lokale Umgebung erworben wurden. Die vorliegende Erfindung betrifft insbesondere ein Verfahren zum Erzeugen einer mobilen Benutzungsberechtigung für eine Nutzung einer Anwendung außerhalb einer lokalen Umgebung, einen Lizenzserver für eine lokale Umgebung, der zur Erzeugung der mobilen Benutzungsberechtigung konfiguriert ist, ein Verfahren zum Nutzen einer Anwendung außerhalb einer lokalen Umgebung, eine lokale Umgebung sowie ein Computersystem.
  • Mit der Entwicklung neuer Internettechnologien, wie etwa dem Grid-Computing, der Cloud- oder Service Oriented Architecture (SOA = dienstleistungsorientierte Architektur), sind neue Modelle für die Nutzung von Ressourcen entstanden, wobei solche Ressourcen im Zusammenhang mit Computersystemen zum einen Rechner und zum anderen Anwendungen in der Form von Software umfassen. Die Nutzung lokaler Ressourcen, die von einer lokalen Einrichtung zur Verfügung gestellt werden, wird um die Nutzung externer bzw. entfernter Ressourcen und Dienste ergänzt, die von externen Dienstleistern angeboten werden.
  • Im Zusammenhang mit diesen neuen Nutzungsformen ist ein wesentlicher Aspekt die Nutzung von durch Lizenzen geschützten Anwendungen, unabhängig vom physischen Ort, an dem der Lizenznehmer ursprünglich die Lizenzen erworben hat. Heutige Verfahren der Lizenzverwaltung weisen hier substanzielle Mängel auf und sind daher für diese neuen Nutzungsmodelle nicht verwendbar.
  • Im Wesentlichen können vier Nutzungsszenarien unterschieden werden:
    • 1. Die Lizenzen für Anwendungen sind lokal beim Anwender vorhanden. In diesem Szenario wird wie bisher folgendes vorausgesetzt:
    • • der Anwender bzw. seine Heimateinrichtung erwirbt vom Hersteller der Anwendung (Lizenzgeber) die für die Aufgaben erforderliche Anzahl Lizenzen zur Nutzung der jeweiligen Anwendung,
    • • diese Lizenzen werden vom lokalen Lizenzmanagementsystem des Benutzers oder seiner Heimateinrichtung erfasst und verwaltet, und
    • • der Anwender kann nur über die vorhandenen Lizenzen verfügen.
    • 2. Der Anwender nutzt Lizenzen eines externen Dienstleisters (Application Service Provider, ASP). Hier wird folgendes vorausgesetzt:
    • • der Dienstleister erwirbt und verwaltet die Lizenzen,
    • • ein Rahmenvertrag zwischen Anwender (bzw. seiner Heimateinrichtung) und dem ASP regelt globale Nutzungsbedingungen, und
    • • der Anwender kann im Rahmen dieser Nutzungsbedingungen über Lizenzen verfügen.
    • 3. Der Anwender nutzt seine eigenen Lizenzen unter Verwendung von Rechenressourcen eines externen Dienstleisters (Application Service Provider, ASP). Hier gilt:
    • • der Anwender bzw. seine Heimateinrichtung erwirbt vom Hersteller der Anwendung (Lizenzgeber) die für die Aufgaben erforderliche Anzahl Lizenzen zur Nutzung der jeweiligen Anwendungen, und
    • • diese Lizenzen werden vom lokalen Lizenzmanagementsystem des Benutzers oder seiner Heimateinrichtung erfasst und verwaltet,
    • • das lokale Lizenzmanagementsystem überträgt die Lizenz temporär zum Lizenzmanagementsystem des ASP zur Nutzung durch den Anwender, und
    • • der ASP kann bei Bedarf diese Lizenz mit eigenen Lizenzen kombinieren, so dass der Nutzer über weitere Lizenzen verfügen kann.
    • 4. Der Anwender nutzt Lizenzen direkt vom Hersteller der Anwendung (Lizenzgeber), dem independent software vendor (ISV). Hier wird folgendes vorausgesetzt:
    • • ein Rahmenvertrag zwischen Anwender (bzw. seiner Heimateinrichtung) und dem Lizenzgeber regelt globale Nutzungsbedingungen, und
    • • der Anwender kann im Rahmen dieser Nutzungsbedingungen über Lizenzen verfügen.
  • Existierende Lizenzmanagementtechnologien unterstützen die oben erwähnten Szenarien 1 und 2. Das Szenario 3 wird nicht oder nur mit sehr großem Aufwand und mit hohen Kosten unterstützt, und das Szenario 4 wird seltener und nur direkt zwischen dem ASP und dem Lizenzgeber unterstützt.
  • Die von den Lizenzen abgedeckten Anwendungen, beispielsweise Softwareanwendungen, werden heutzutage mit unterschiedlichen Verfahren geschützt, wobei für den Schutz solcher digitaler Objekte unterschiedliche Verfahren eingesetzt werden. Die wichtigsten Verfahren zur Autorisierung der Nutzung basieren auf:
    • • Kontrolle der Internetadresse des Endgeräts des Nutzers. Dieses Verfahren wird hauptsächlich bei Verlagen (Publisher) eingesetzt, die mit Einrichtungen Verträge über den online Zugang zu Dokumenten abschießen.
    • • Autorisierung durch Attribute des Benutzers, die seine Heimateinrichtung mit dem Content-Provider vereinbart und für den Nutzer verwaltet. Dieses Verfahren wird zur Zeit bei Verlagen (Publisher) entwickelt, die mit Einrichtungen entsprechende Verträge über den online Zugang zu Dokumenten und die notwendigen Attribute abschließen.
    • • Autorisierung über Namen (Internetadressen) der Endgeräte, auf denen digitale Objekte verwendet werden sollen. Dieses Verfahren setzen z. B. Content-Provider ein, die kommerziell Musik zum download anbieten.
    • • Erwerb von Lizenzen, die entweder lokal auf dem Rechner des Endanwenders oder durch einen zentralen Lizenzserver (innerhalb einer administrativen Domäne, Abteilung oder Arbeitsgruppe) verwaltet werden. Dieses Verfahren ist das am meisten verbreitete für den sicheren Schutz von Softwareanwendungen.
    • • Hardware Dongles, die der Nutzer an sein Endgerät anschließt, um sich gegenüber der Software, die er nutzen will, zu autorisieren.
  • Die heute für den Schutz von Softwareanwendungen eingesetzten Verfahren setzen in der Regel einen Lizenzserver voraus, der über das Netzwerk erreichbar ist und Lizenzanfragen durch die Softwareanwendung autorisieren kann. Neben der initialen Autorisierung muss zum Ablaufzeitpunkt der Anwendung eine Netzwerkverbindung zwischen Lizenzserver und dem Rechner, auf dem die Softwareanwendung abläuft, existieren, über die in regelmäßigen Zeitabständen die Gültigkeit der Autorisierung verifiziert werden kann. Bei Dongle-Lösungen muss der Dongle über den gesamten Zeitraum des den die Anwendung genutzt wird, am jeweiligen Rechner angeschlossen sein.
  • Nachfolgend sei anhand der 1 eine Umgebung beschrieben, in der Lizenzen für die Verwendung bzw. Nutzung einer bestimmten Anwendung A auf herkömmliche Art und Weise bereitgestellt und eingesetzt werden. Die 1 zeigt eine Umgebung, die als zentrales Element ein Netz 100 umfasst. Über dieses Netz sind verschiedene Bereiche miteinander verbunden, beispielsweise ein erster lokaler Bereich 102 und ein zweiter lokaler Bereich 104. Bei dem Netz 100 kann es sich im allgemeinsten Fall um das Internet handeln, wobei die lokalen Bereiche 102 und 104 wiederum vernetzte Umgebungen darstellen, die jedoch eine in sich geschlossene Struktur bilden, die über einen oder mehrere Ports mit dem Netz 100 in Verbindung stehen.
  • Alternativ kann das Netz auch eine Netzwerkumgebung innerhalb einer Entität sein, wie beispielsweise innerhalb eines Unternehmens oder innerhalb eines Konzerns oder auch innerhalb einer Forschungseinrichtung oder einer Universität. In diesem Fall können die lokalen Bereiche 102 und 104 einzelnen Tochterunternehmen des Konzerns bzw. einzelnen Abteilungen eines Unternehmens zugeordnet sein. Im Fall von Forschungseinrichtungen oder Universitäten können die lokalen Umgebungen 102 und 104 unterschiedlichen Forschungsabteilungen bzw. Lehrstühlen zugeordnet sein.
  • Die lokale Umgebung 102 umfasst einen Server 106, der über eine Firewall 108 mit dem Netz 100 kommunizieren kann. Die lokale Umgebung 102 umfasst ferner ein lokales Netzwerk (LAN = local area network) 110, über das der Lizenzserver 106 mit einer Mehrzahl von Datenverarbeitungsanlagen 112-1 bis 112-n verbunden ist. Für das Netz 100 umfasst die lokale Umgebung 102 beispielsweise eine Netz-Adresse „XYZ”, unter der der lokale Bereich 102 im Netz 100 erreichbar ist. Die lokale Umgebung 102 ermöglicht die Ausführung einer Anwendungssoftware A auf einer oder mehreren der Datenverarbeitungsanlagen 112-1 bis 112-n, wobei die erforderliche Software beispielsweise von einem Anbieter 114 erworben wurde, bzw. Nutzungsrechte für die Verwendung der Anwendung A erworben wurden. Diese Nutzungsrechte liegen in Form von Benutzungsberechtigungen oder Lizenzen vor, die für die lokale Umgebung 102 erworben wurden. Diese Benutzungsberechtigungen oder Lizenzen sind in dem Server 106, beispielsweise dem Lizenzserver, in einer Datenbank 116 abgelegt. Der Lizenzserver speichert in der Datenbank 116 die für die Nutzung der Anwendung A verfügbaren Lizenzen, wobei für Softwaremodule, wie beispielsweise die Nutzung der Anwendung A verschiedene Informationen der Lizenz zugeordnet sein können, wie beispielsweise
    • • das Auslaufdatum der Lizenz,
    • • die maximale Anzahl der gleichzeitigen Instanzen einer Anwendung,
    • • die maximale Anzahl von Computern,
    • • die maximale Anzahl von Benutzern,
    • • das Erzeugungsdatum,
    • • das Startdatum,
    • • die derzeitige Anzahl von verfügbaren Instanzen,
    • • Verkäuferinformationen und
    • • Benutzerinformationen.
  • Die für die Benutzung der Anwendung A und auch für die Benutzung von anderen in 1 nicht gezeigten Anwendungen erworbenen Lizenzen sind streng an die lokale Umgebung 102 gebunden, beispielsweise über die Netz-Adresse XYZ. Dies bedeutet, dass die erworbenen Lizenzen nur im lokalen Bereich 102 eingesetzt werden können, jeder andere Bereich außerhalb der lokalen Umgebung 102 würde bei einer Übertragung der Lizenzen eine Nutzung der Anmeldung nicht ermöglichen, da in diesem Fall der Bereich, in dem die externe Anwendung residiert, eine andere Netz-Adresse aufweisen würde, so dass ein Zugriff auf die Anwendung aufgrund der fehlenden Lizenz verweigert würde.
  • Wie oben bereits kurz erwähnt wurde, existieren in Computerumgebungen, wie sie beispielsweise anhand der 1 beschrieben sind, weitere Umgebungen, beispielsweise die lo kale Umgebung 104, die von der lokalen Umgebung 102 entfernt angeordnet ist und unter einer eigenen Netz-Adresse „ABC” im Netz 100 adressierbar ist. Die lokale Umgebung 104 kann ähnlich aufgebaut sein wie die lokale Umgebung 102. Die lokale Umgebung 104 umfast bei dem in 1 gezeigten Beispielen ebenfalls einen Server 102, der über ein lokales Netzwerk 122 mit einer Mehrzahl von Datenverarbeitungsanlagen 124-1 bis 124-n kommuniziert. Der Server 120 umfasst wiederum eine Datenbank und ist mit dem Netz 100 verbunden, beispielsweise wiederum über eine Firewall.
  • Es sei nunmehr angenommen, dass ein Wissenschaftler oder ein Ingenieur eine komplexe Simulation unter Verwendung eines Computersystems durchführen muss, beispielsweise eine komplexe Strömungssimulation oder eine komplexe Simulation einer Strukturmechanik. Ferner sei angenommen, dass die Entität, in der der Wissenschaftler arbeitet, beispielsweise ein Lehrstuhl, Lizenzen an einem Softwareprogramm erworben hat, die eine Durchführung einer solchen Simulation ermöglicht. Unter Bezugnahme auf 1 ist die lokale Umgebung 102 durch den Lehrstuhl des Wissenschaftlers gebildet, und der Lizenzserver 106 enthält mehrere Lizenzen, die eine Ausführung/Nutzung der Anwendung A auf einer oder auf mehreren der Datenverarbeitungsanlagen 112 zulassen. Es kann nun jedoch die Situation eintreten, dass die lokal verfügbaren Ressourcen, nämlich die Datenverarbeitungsanlagen 112 durch andere Mitarbeiter belegt sind, so dass es nicht möglich ist, die Simulation innerhalb der lokalen Umgebung 102 auszuführen. Es sei nun angenommen, dass der Wissenschaftler Zugriff auf eine Nachbarabteilung bzw. einen Nachbarlehrstuhl hat, beispielsweise die lokale Umgebung 104. Zur Durchführung der Simulation möchte der Wissenschaftler nunmehr auf die ihm zugängliche weitere lokale Umgebung 104 ausweichen und erzeugt daher ein Abbild seiner lokalen Simulationsumgebung und leitet diese beispielsweise an die entfernt angeordnete Datenverarbeitungsanlage 124-1 in der entfernten lokalen Umgebung 104 weiter, wie dies in 1 bei 124-1 mit der Bezeichnung „Anwendung A'” gezeigt ist.
  • Der Wissenschaftler wird jedoch feststellen, dass die Simulation nicht erfolgreich durchgeführt wird, da die Anwendung in der lokalen Umgebung 104 nicht genutzt werden kann, da eine Überprüfung der Lizenz fehlschlägt, da die Datenverarbeitungsanlage 124-1 keine Möglichkeit hat, auf die eigentlich verfügbare Lizenz zuzugreifen, die von der lokalen Umgebung 104 entfernt in der ersten lokalen Umgebung 102 auf dem Lizenzserver 106 liegt. Tatsächlich ist diese Situation heutzutage üblich, da Lizenzen an die Hardware innerhalb der lokalen Umgebung 102, der der Benutzer zugeordnet ist, gebunden ist, beispielsweise über eine IP-Adresse aus dem Netz XYZ und ein Zugriff auf die Lizenzserver von außen ist nicht zugelassen.
  • Zur Lösung dieses Problems besteht grundsätzlich die Möglichkeit, dass der Benutzer, also der Wissenschaftler, der die Simulation vorübergehend auslagern möchte, beim Anbieter 114 eine weitere, ggf. temporär beschränkte Lizenz erwirbt, was jedoch unter Umständen nur mit sehr viel Aufwand möglich ist und ggf. auch mit zusätzlichen Kosten einhergeht. Eine andere Möglichkeit bestünde darin, der Datenverarbeitungsanlage 124, auf der die Simulation extern durchgeführt werden soll, Zugriff auf den Lizenzserver 106 zu gewähren, was jedoch erfordern würde, die Firewall 108 in der lokalen Umgebung 102 zu öffnen, was aus sicherheitstechnischen Gründen nicht erwünscht ist.
  • Ausgehend von einem solchen Stand der Technik liegt der vorliegenden Erfindung die Aufgabe zugrunde, einen Ansatz zu schaffen, der es einem Benutzer einer Anwendung ermöglicht, eine außerhalb seiner lokalen Umgebung angeordnete Anwendung auf einfache Art unter Verwendung einer in der lokalen Umgebung nicht verwendeten (verfügbaren) Lizenz zu nutzen, die für eine Nutzung der Anwendung durch den Benutzer innerhalb der lokalen Anordnung erworben wurde.
  • Diese Aufgabe wird durch ein Verfahren gemäß Anspruch 1 und gemäß Anspruch 8, durch einen Lizenzserver gemäß Anspruch 10, durch eine lokale Umgebung gemäß Anspruch 12, ein Computersystem gemäß Anspruch 13 und ein Computerprogrammprodukt gemäß Anspruch 14 gelöst.
  • Die vorliegende Erfindung schafft ein Verfahren zum Erzeugen einer mobilen Benutzungsberechtigung für eine Nutzung einer Anwendung außerhalb einer lokalen Umgebung,
    wobei die lokale Umgebung zumindest eine Benutzungsberechtigung für eine Nutzung der Anwendung innerhalb der lokalen Umgebung aufweist, wobei die lokale Umgebung die zumindest eine Benutzungsberechtigung von einem Anbieter der Anwendung erworben hat, und
    wobei ansprechend auf eine Anforderung, die Anwendung außerhalb der lokalen Umgebung zu nutzen, eine mobile Benutzungsberechtigung basierend auf der Benutzungsberechtigung der lokalen Umgebung derart erzeugt wird, dass die Anwendung außerhalb der lokalen Umgebung erkennt, dass die mobile Benutzungsberechtigung von der vom Hersteller der Anwendung als vertrauenswürdig betrachteten lokalen Umgebung stammt.
  • Die vorliegende Erfindung schafft ferner ein Verfahren zum Nutzen einer Anwendung außerhalb einer lokalen Umgebung, die zumindest eine Benutzungsberechtigung für eine Nutzung der Anwendung innerhalb der lokalen Umgebung aufweist, wobei die lokale Umgebung die Benutzungsberechtigung von einem Anbieter der Anwendung erworben hat, wobei das Verfahren folgende Schritte umfasst:
    Erzeugen einer mobilen Benutzungsberechtigung gemäß dem erfindungsgemäßen Verfahren;
    Übertragen der mobilen Benutzungsberechtigung von der lokalen Umgebung an die Anwendung außerhalb der lokalen Umgebung; und
    Nutzen der Anwendung außerhalb der lokalen Umgebung basierend auf der mobilen Benutzungsberechtigung.
  • Die vorliegende Erfindung schafft ferner einen Lizenzserver für eine lokale Umgebung, wobei der Lizenzserver zumindest eine Benutzungsberechtigung für eine Nutzung für eine Anwendung in der lokalen Umgebung speichert, die von einem Anbieter der Anwendung erworben wurde,
    wobei der Lizenzserver konfiguriert ist, um eine mobile Benutzungsberechtigung für eine Nutzung der Anwendung außerhalb der lokalen Umgebung zu erzeugen, und
    wobei der Lizenzserver konfiguriert ist, um ansprechend auf eine Anforderung die Anwendung außerhalb der lokalen Umgebung zu nutzen, eine mobile Benutzungsberechtigung basierend auf der Benutzungsberechtigung der lokalen Umgebung derart erzeugt, dass die Anwendung außerhalb der lokalen Umgebung erkennt, dass die mobile Benutzungsberechtigung von der vom Hersteller der Anwendung als vertrauenswürdig betrachteten lokalen Umgebung stammt.
  • Die vorliegende Erfindung schafft ferner eine lokale Umgebung mit dem erfindungsgemäßen Lizenzserver und einer Datenverarbeitungsanlage für eine Ausführung der Anwendung. Ferner schafft die vorliegende Erfindung ein Computersystem, welches die lokale Umgebung und einen Computer zur Ausführung der externen Anwendung umfasst.
  • Zusätzlich schafft die vorliegende Erfindung ein Computerprogrammprodukt mit Instruktionen, um bei Ausführung der Instruktionen auf einem Computer das erfindungsgemäße Verfahren durchzuführen.
  • Die vorliegende Erfindung überkommt die im Stand der Technik existierenden Probleme, die sich aufgrund der Beschränkung der Verwendung von lizenzierten Anwendungen auf admi nistrative Bereiche und/oder Sicherheitsbereiche der Organisation, die die Lizenz erworben hat, beschränken. Dieses Haupthindernis der Verwendung von lizenzierter Software beispielsweise in einer Grid-Computerumgebung, die eine Mehrzahl von administrativen Bereichen (administrative domains) überspannt, wird gelöst. Der oben erwähnte, grundsätzliche Ansatz betreffend die Nutzung von Anwendungen unter der Verwendung von Lizenzen bleibt beibehalten, jedoch ändert sich der jeweilige Verhandlungspartner beim Aushandeln der Verfügbarkeit einer Lizenz. Anstelle einer Verhandlung beispielsweise mit dem Anbieter der Anwendung kann nunmehr erfindungsgemäß ein Benutzer der lokalen Umgebung mit dem lokalen Lizenzserver eine Benutzungsberechtigung auf der Grundlage der dem Lizenzserver vorliegenden Benutzungsberechtigungen vereinbaren, die dann exportiert werden, um dem Benutzer eine Ausführung der Anwendung auf einem externen Rechner zu ermöglichen.
  • Ferner können erfindungsgemäß auch Lizenzen für eine spätere Nutzung reserviert werden, beispielsweise in Situationen, in denen innerhalb der lokalen Umgebung alle Ressourcen besetzt sind, kann ein Benutzer für einen späteren Zeitpunkt, wenn die Lizenzen wieder frei sind, Lizenzen reservieren, um seine Simulationen durchzuführen. Ebenso kann eine Ausführung oder Nutzung der Ressourcen zu einem späteren Zeitpunkt dann erwünscht sein, wenn zeitliche Abhängigkeiten bestehen, wie beispielsweise die Durchführung einer vorhergehenden Simulation, deren Ergebnisse dann für die weiterführende Simulation eingesetzt werden sollen.
  • Ein wesentlicher Vorteil der vorliegenden Erfindung besteht darin, dass die oben beschriebenen Beschränkungen im Stand der Technik hinsichtlich der Nutzung externer Ressourcen überkommen werden. Insbesondere können lizenzierte Anwendungen, beispielsweise Simulationen von Strömungsdynamiken und Strukturmechaniken, entsprechend dem Bedarf flexibel auch außerhalb der eigenen lokalen Umgebung, d. h. der eigenen Rechenressourcen genutzt werden, beispielsweise in ei ner Grid-Umgebung. Ebenso können nun auch Cloud-Ressourcen genutzt werden.
  • Ferner ermöglicht der erfindungsgemäße Ansatz, eigene Lizenzen dynamisch, z. B. durch die eines ASP (Application Service Provider) zu ergänzen, um dadurch die Berechnung zu beschleunigen oder komplexere Berechnungen durchführen zu können. Der Application Service Provider besitzt beispielsweise eine oder mehrere Lizenzen an einer weiteren Softwareanwendung, die eine besondere Berechnung ermöglicht bzw. besondere Berechnungen besonders schnell durchführt. In diesem Fall würde ein Wissenschaftler, in dessen lokaler Umgebung diese zusätzlichen Softwarepakete nicht zur Verfügung stehen, diese vorübergehend von dem ASP erwerben („anmieten”), um so innerhalb seiner lokalen Umgebung 102 die Vorteile der vom ASP bereitgestellten zusätzlichen Software zu nutzen. Im Stand der Technik würde er das selbe Problem antreffen, welches oben erläutert wurde, nämlich, dass innerhalb seiner lokalen Umgebung 102 die „angemietete” Anwendungssoftware nicht verwendet werden kann, da die Datenverarbeitungsanlage in der lokalen Anwendung 102 keine Möglichkeit hat, auf die beim ASP abgelegte, durch den ASP erworbene Lizenz zuzugreifen, so eine Ausführung der Anwendung zu ermöglichen. Auch ein solches Szenario wird durch den erfindungsgemäßen Ansatz ermöglicht, wobei in diesem Fall der ASP nach dem Anmieten der zusätzlichen Rechenressource durch den Benutzer der lokalen Umgebung die erforderliche Lizenz bzw. mobile Benutzungsberechtigung erstellt, basierend auf den Lizenzen, über die der ASP verfügt, und diese erzeugte, mobile Benutzungsberechtigung dann für die Ausführung der Anwendung in der lokalen Umgebung an diese weitergibt.
  • Ausführungsbeispiele der vorliegenden Erfindung arbeiten mit einer lokalen Umgebung, in der entweder mehrere Lizenzen oder nur eine Lizenz für eine Anwendung oder auch mehrere Lizenzen für verschiedene Anwendungen vorgesehen sind. Für den Fall, dass nur eine Lizenz für eine Anwendung vor gesehen ist, kann diese bei herkömmlichen Ansätzen nicht verwendet werden, wenn alle Ressourcen durch andere Anwendungen innerhalb der lokalen Umgebung besetzt sind. Ein Benutzer kann dann nicht auf die möglicherweise externe verfügbaren Ressourcen ausweichen, da die erforderliche Lizenz dort nicht sichtbar ist. Erfindungsgemäß wird jedoch auch in einem solchen Fall eine externe Anwendung auf die oben beschriebene Art und Weise ermöglicht. Wenn mehrere Lizenzen für eine Anwendung innerhalb der lokalen Umgebung existieren, kann auch dann, wenn durch eine erste Ausführung der Anwendung alle verfügbaren Ressourcen oder ein Großteil der verfügbaren Ressourcen innerhalb der lokalen Umgebung belegt ist, eine externe Ausführung der Anwendung erfolgen, da zumindest eine weitere, verfügbare Lizenz vorliegt, also eine Lizenz, die gerade nicht benutzt wird.
  • Gemäß Ausführungsbeispielen der vorliegenden Erfindung wird die mobile Benutzungsberechtigung derart signiert, dass die Ressource, auf der die Anwendung extern ausgeführt werden soll, eine Prüfung durchführen kann, in welcher lokalen Umgebung die Benutzungsberechtigung erzeugt wurde. Beispielsweise wird bei einer Anforderung nach einer mobilen Benutzungsberechtigung gleichzeitig der private Schlüssel des lokalen Lizenzservers verwendet, um die mobile Benutzungsberechtigung zu signieren. An der entfernten Position kann dann mit dem öffentlichen Schlüssel des Lizenzservers die Signatur der Benutzungsberechtigung geprüft werden. Hierdurch wird sichergestellt, dass die Anwendung bei ihrer Ausführung auf der externen Ressource die mobile Benutzungsberechtigung als von dem Lizenzserver der lokalen Umgebung stammend erkennt, und somit als aus einer vertrauenswürdigen Umgebung stammend anerkennt.
  • Eine weitere Möglichkeit zur Erzeugung der mobilen Benutzungsberechtigung besteht gemäß Ausführungsbeispielen darin, die für die Ausführung einer Anwendung erforderlichen Eingangsdaten ebenfalls in die Erzeugung der Benutzungsberechtigung einzubeziehen. Diese Eingabedaten, beispielswei se die für eine Simulation erforderlichen Eingabedaten, werden dann zusammen mit der Benutzungsberechtigung übermittelt, wobei die Eingabedaten verschlüsselt sind, beispielsweise in Form eines Hash-Codes. Die Ausführung der Anwendung an einer externen Position ist dann nur unter Zugrundelegung genau dieser Eingabewerte möglich, wodurch sichergestellt ist, dass jedes weitere Verbreiten der mobilen Benutzungsberechtigung bestenfalls zu einer wiederholten Ausführung der Anwendung mit immer gleichen Ergebnissen führt.
  • Weitere Ausgestaltungen der Erfindung sind in den Unteransprüchen definiert.
  • Nachfolgend werden unter Bezugnahme auf die beiliegenden Zeichnungen bevorzugte Ausführungsbeispiele der vorliegenden Erfindung näher erläutert. Es zeigen:
  • 1 eine schematische Darstellung einer Computerumgebung gemäß dem Stand der Technik mit einer Mehrzahl von lokalen Umgebungen;
  • 2 die Computerumgebung aus 1, anhand der das erfindungsgemäße Verfahren gemäß einem Ausführungsbeispiel der vorliegenden Erfindung erläutert wird;
  • 3 ein Flussdiagramm, das das erfindungsgemäße Verfahren zur Nutzung einer externen Anwendung gemäß einem Ausführungsbeispiel darstellt;
  • 4 ein Flussdiagramm, das den Ablauf der Lizenznutzung durch die externe Anwendung darstellt; und
  • 5 ein Flussdiagramm, das den Ablauf einer Lizenznachverhandlung durch die externe Anwendung darstellt.
  • 2 zeigt das anhand der 1 beschriebene Computersystem. Die bereits anhand der 1 beschriebenen Komponenten finden sich in der 2 wieder und sind mit gleichen Bezugszeichen versehen. Eine erneute Beschreibung der Funktionalität dieser Komponenten und eine erneute Beschreibung der Zusammenwirkung derselben erfolgt nicht. Diesbezüglich wird auf die obigen Ausführungen verwiesen.
  • Wie aus einem Vergleich der 1 und der 2 zu erkennen ist, wurde in der 2 schematisch der Weg eines sogenannten Lizenztoken (mobile Benutzungsberechtigung) T eingezeichnet. In dem in 2 dargestellten Szenario sei angenommen, dass ein Wissenschaftler innerhalb eines Lehrstuhls (entsprechend der lokalen Umgebung 102) keine Möglichkeit hat, eine Simulation beispielsweise durch Durchführung der Anwendung A auszuführen, da die verfügbaren Ressourcen durch andere Mitarbeiter und Kollegen belegt sind.
  • In diesem Fall richtet der Benutzer in der Umgebung 102 eine Anfrage an den Lizenzserver 106, der überprüft, ob eine weitere Lizenz, die eine Ausführung der Anwendung A zulässt, verfügbar ist. Ist eine solche Lizenz verfügbar, so werden basierend auf den Lizenzen, die der Lizenzserver 106 umfasst, die Parameter definiert, die die mobile Lizenz bzw. Benutzungsberechtigung haben soll. Eine Anforderung nach einer Lizenz kann beispielsweise Informationen über den Benutzer umfassen, beispielsweise in Form seines Namens, des Unternehmens, des geographischen Ortes und des IP/Host-Namens. Ferner kann ein Zeitstempel der Anfrage vorgesehen sein. Ferner kann vermerkt werden, wie viele Instanzen angefordert wurden sowie der Name der angeforderten Softwarefunktionalität/Anwendung. Im Zusammenhang mit der Anwendung kann für die Lizenzanfrage ferner vereinbart werden, wann die Lizenz beginnen soll, wann sie auslaufen soll, wie viele CPUs gleichzeitig genutzt werden sollen, und im Falle einer flexiblen Startzeit, die Dauer der Nutzung.
  • Auf der Grundlage dieser Informationen wird dann die mobile Benutzungsberechtigung T erzeugt und vorzugsweise verschlüsselt und von dem Lizenzserver 106 zusammen mit den Informationen betreffend die Ausführung der Anwendung an die entfernte Umgebung 104 übertragen, wo die mobile Lizenz beispielsweise in einem Server 120 abgelegt sein kann, auf den die Datenverarbeitungsanlage 124-1 zugreifen kann, auf der die externe Ausführung der Anwendung A (Anwendung A') ausgeführt werden soll.
  • Anders als im Stand der Technik ist es der Datenverarbeitungsanlage 124-1 nunmehr möglich, bei Ausführung der Anwendung die erforderlichen Lizenzinformationen von dem Server 120 zu erhalten.
  • Vorzugsweise umfasst die Anfrage am Lizenzserver 106 auch einen öffentlichen Schlüssel des Servers 120, mit dem die mobile Benutzungsberechtigung T verschlüsselt wird, so dass sichergestellt ist, dass nur der Server 120 oder ggf. nur die Ressource 124-1 die mobile Lizenz unter Verwendung des privaten Schlüssels der Einheit entschlüsseln kann. Hierdurch ist sichergestellt, dass die mobile Benutzungsberechtigung im Netz 100 nicht von Unbefugten eingesehen und manipuliert werden kann. Durch die zusätzliche Signierung mit dem privaten Schlüssel des Lizenzservers 106 kann bei Ausführung der Anwendung A' diese die Lizenz als von einer glaubwürdigen Umgebung stammend anerkennen.
  • Zusätzlich zu den oben genannten Informationen kann vorgesehen sein, dass die Eingabeparameter für die Ausführung der Anwendung, beispielsweise die Eingabeparameter für die Durchführung einer bestimmten Simulation in der mobilen und verschlüsselten Benutzungsberechtigung enthalten sind, beispielsweise in Form eines Hash-Codes, so dass bei Starten der Anwendung in der externen Umgebung 104 diese nur dann startet, wenn die vorbestimmten Eingabewerte eingegeben werden und alternativ kann auch gleich auf die in der mobi len Berechtigung enthaltenen Eingabewerte zugegriffen werden. Dies stellt sicher, dass selbst bei einem Missbrauch der erzeugten mobilen Berechtigung die Anwendung immer nur das gleiche Ergebnis liefert und somit ein Missbrauch nicht möglich ist.
  • Vorzugsweise betrifft der erfindungsgemäße Ansatz ein Verfahren für die Erzeugung und Verwaltung von beweglichen Lizenzen für digitale Objekte, beispielsweise Softwareprogramme und Softwareanwendungen. Das Verfahren umfasst vorzugsweise eine Mehrzahl von Komponenten. Zum einen ist die Serverkomponente im Form des Lizenzservers 106 vorgesehen, durch welche die verfügbaren Lizenzen verwaltet werden. Der Anwender bzw. ein Programm des Anwenders legt unter Zugrundelegung der Informationen von dem Lizenzserver 106 eine Nutzung einer Lizenz fest und erzeugt die mobile Benutzungsberechtigung, beispielsweise in Form eines Service Level Agreement. Diese Information wird dann durch den Lizenzserver zur Verfügung gestellt, wobei in der lokalen Umgebung ferner eine Komponente für die Erfassung der Lizenznutzung vorgesehen ist, die zur Laufzeit der Anwendung prüft, ob die tatsächliche Nutzung der Lizenz der zuvor Vereinbarten entspricht, und die erforderlichen Informationen an eine Abrechnungskomponente weitergibt. Die Komponente der Anwendung, die die Autorisierung durchführt, prüft das Service Level Agreement auf Gültigkeit und schaltet die Anwendung frei oder verweigert ihre Ausführung.
  • Diese Komponente ist beispielsweise die Datenverarbeitungseinheit 124 in der entfernten Umgebung. Die wesentliche Erneuerung des erfindungsgemäßen Ansatzes besteht in der Unabhängigkeit des Autorisierungsverfahrens von der Erreichbarkeit des Lizenzservers beim Starten der Anwendung und während der Laufzeit. Stattdessen wird vor der Nutzung der Anwendung die Autorisierung lokal mit dem Lizenzserver 106 der lokalen Umgebung, also der Heimateinrichtung des Benutzers ausgehandelt. Diese Autorisierung liegt dann in Form der oben beschriebenen mobilen Benutzungsberechtigung vor und kann auch als elektronischer Vertrag oder Service Level Agreement bezeichnet werden. Diese wird dann an den Ort der Ausführung der Anwendung, beispielsweise an den Computer 124-1 transportiert und dort zur Laufzeit überprüft.
  • Diese Vorgehensweise wird näher anhand der 3 erläutert. In einem ersten Schritt S300 erzeugt die Anforderung der Lizenz, wobei ein Benutzer der innerhalb der Umgebung 102 arbeitet seine Erfordernisse im Hinblick auf eine Lizenz definiert und diese Erfordernisse an den Lizenzserver 106 in Form einer Anforderung eingibt. Dann wird im Schritt S302 die Verfügbarkeit einer entsprechenden Lizenz, wie sie vom Benutzer erwünscht ist, verhandelt. Genauer gesagt wird im Lizenzserver 106 festgestellt, ob eine erwünschte Lizenz basierend auf den verfügbaren Lizenzen innerhalb des Lizenzservers erteilt werden kann oder nicht. Im Schritt S304 wird dann bestimmt, ob eine entsprechende Lizenz verfügbar ist oder nicht. Sind beispielsweise alle verfügbaren Lizenzen für eine bestimmte Anwendung in Benutzung, so ist diese für die im Schritt S300 formulierte Lizenzanforderung nicht verfügbar, so dass das Verfahren vom Schritt S304 zum Schritt S306 geht und den Benutzer darüber informiert, dass die von ihm erwünschte Lizenz nicht verfügbar ist.
  • Wird im Schritt S304 jedoch festgestellt, dass aufgrund der verfügbaren Lizenzen die Anforderung des Benutzers erfüllt werden kann, so wird die mobile Benutzungsberechtigung in Form eines Lizenz-Service Level Agreement im Schritt S308 erzeugt und im Schritt S310 an den Zielrechner 124-1 (siehe 2) übertragen. Wird nun am Rechner 124-1 die Anwendung ausgeführt, wie dies im Schritt S312 gezeigt ist, so wird überprüft, ob eine Autorisierung in Form der mobilen Benutzungsberechtigung vorliegt oder nicht. Wird im Schritt S314 festgestellt, dass das Service Level Agreement erfüllt wurde, also die Autorisierung zur Anwendungsausführung vorliegt, so werden im Schritt S316 die sogenannten „Accounting” Daten gespeichert, die beispielsweise Informationen über die Art und Dauer der Nutzung und ggf. über eine Ab rechnung enthalten. Anderenfalls wird im Schritt S318 eine Fehlerausgabe erzeugt und eine Analyse der Ursachen durchgeführt.
  • Nachfolgend wird ein Beispiel für ein Anwendungsszenario näher beschrieben.
  • Ein Anwender will eine Simulationsanwendung für Strömungsdynamik wegen mangelnder lokaler Kapazität auf mehreren Rechenknoten einer entfernten Ressource (z. B. in der lokalen Umgebung 104) nutzen. Der Anwender braucht eine bestimmte Funktionalität (Feature) F der Anwendung A und will möglichst alle Rechenknoten 124 der entfernten Ressource 104 nutzen. Die entfernte Ressource 104 hat z. B. 20 Rechenknoten, die für den Anwender zur Verfügung stehen, und für das gewünschte Feature F der Simulationsanwendung A sind maximal 30 Lizenzen vorhanden, die parallel genutzt werden können.
  • Die Lizenzanforderung beinhaltet die Zahl der gewünschten Rechenknoten (20), das benötigte Feature F der Simulationsanwendung A und die geschätzte Zeit Z, die die Anwendung für die Simulation benötigt.
  • Der Anwender richtet die Anfrage über die Verfügbarkeit einer Lizenz die diese Anforderung erfüllt an den lokalen Lizenzserver 106.
  • Der lokale Lizenzserver 106 bestätigt die sofortige Verfügbarkeit des Features F, allerdings nur für 15 Rechenknoten, da die anderen 15 Lizenzen bereits genutzt werden. 20 Lizenzen sind für das Feature F erst zu einem späteren Zeitpunkt T2 verfügbar, der dem Anwender mitgeteilt wird.
  • Der Anwender beschließt die Simulationsanwendung zum Zeitpunkt T2 auf 20 Rechenknoten zu nutzen und teilt das dem Lizenzserver mit. Der Lizenzserver reserviert die 20 Lizenzen zum Zeitpunkt T2 für die Dauer Z und erzeugt die mobile Benutzungsberechtigung (ein Service Level Agreement), die neben benutzerspezifischen Angaben die Zahl der Rechenknoten (20), die Zahl der Lizenzen (20), das zu nutzende Feature F, die vereinbarte Startzeit T2 und die Dauer der Lizenznutzung Z enthält. Die festgelegte mobile Benutzungsberechtigung wird, wie oben beschrieben, an die entfernte Umgebung 104 weitergeleitet und steht nun bei der Ausführung der Anwendung A in der lokalen Umgebung zur Verfügung.
  • Während der Ausführung der Simulationsanwendung A in der entfernten Umgebung 104 wird geprüft, ob die im Service Level Agreement vereinbarte Zahl von Rechenknoten (20) und die reservierten Lizenzen (20) für die Anwendung A zur Verfügung stehen und genutzt werden können. Basierend auf den Daten der Überwachung der Anwendung während der Laufzeit wird nach dem Ablauf der Anwendung bestimmt, ob das Service Level Agreement erfüllt wurde oder nicht und entsprechende Maßnahmen werden eingeleitet.
  • Die 4 verdeutlicht den Schritt S312. Im Schritt S400 wird die Anwendung gestartet und im Schritt S402 wird versucht ein der Anwendung zugeordnetes Service Level Agreement zu lesen, wobei im Schritt S404 überprüft wird, ob ein solches Service Level Agreement vorhanden ist oder nicht. Fehlt ein solches Service Level Agreement, so wird die Anwendung im Schritt S406 beendet. Ansonsten wird im Schritt S408 eine Signatur der mobilen Benutzungsberechtigung überprüft, um sicherzustellen, dass diese gültig ist, also von einer vertrauenswürdigen Umgebung stammt. Wird im Schritt S410 festgestellt, dass die Signatur ungültig ist, so endet die Anwendung im Schritt S412. Ansonsten wird im Schritt S414 die in dem Service Level Agreement angegebene Lizenz überprüft, beispielsweise im Hinblick darauf, ob diese noch gültig ist oder ob sie schon abgelaufen ist, ob eine Maximalzahl von Ausführungen erreicht wurde oder Ähnliches. Wird im Schritt S416 erkannt, dass die Lizenz ungültig ist, so wird die Anwendung im Schritt S418 beendet. Anderenfalls läuft die Anwendung im Schritt S420 weiter, bis deren Ausführung im Schritt S422 beendet ist.
  • Zusätzlich zu der in 4 beschriebenen Verdeutlichung von Schritt S312 können bei Vorhandensein einer bidirektionalen Netzverbindung zwischen den externen Ressourcen 104 und dem Lizenzserver 106 der Heimateinrichtung 102 des Anwenders weitere Möglichkeiten des Verfahrens ausgenutzt werden. 5 verdeutlicht, wie während des Schritts S420 bei Vorhandensein einer bidirektionalen Netzverbindung zur Laufzeit einer Anwendung über die mobile Benutzungsberechtigung (das Service Level Agreement) nachverhandelt werden kann. Wenn durch den Anwender oder die Anwendung während das Ablaufs feststellt wird, dass das ausgehandelte Service Level Agreement nicht ausreicht, weil zum Beispiel ein weiteres Feature benötigt wird oder die geschätzte Zeit, die die Simulationsanwendung benötigt, zu kurz bemessen wurde, kann über eine auf den entfernten Ressourcen installierte vertraute Umgebung (Trusted Entity, z. B. der Server 120) mit dem Lizenzserver 106 der Heimateinrichtung 102 des Anwenders über eine Ausweitung des Service Level Agreements verhandelt werden.
  • In 5 ist der Schritt S420 aus 4 nochmals dargestellt. Beim Schritt S510 wird überprüft, ob eine Nachverhandlung erwünscht bzw. erforderlich ist. Sofern keine Nachverhandlung durchzuführen ist, verbleibt das Verfahren beim Schritt S420. Wird aber eine Notwendigkeit einer Nachverhandlung im Schritt S510 erkannt, so wird im Schritt S520 Kontakt mit einer auf der entfernten Ressource installierten vertrauenswürdigen Umgebung (Trusted Entity), z. B. dem Server 120, aufgenommen, und im Schritt S530 wird überprüft, ob eine Verhandlung mit dem Lizenzserver 106 der Heimateinrichtung 102 des Anwenders möglich ist, z. B. ob die erforderliche Verbindung zum Lizenzserver 106 hergestellt werden kann. Ist eine Verhandlung nicht möglich, z. B. aufgrund einer temporären Nicht-Erreichbarkeit der Li zenzservers 106, kehrt das Verfahren zum Schritt S420 zurück.
  • Sofern eine Verhandlung mit dem Lizenzserver 106 möglich ist, wird im Schritt S540 überprüft, ob eine Erweiterung der mobilen Benutzungsberechtigung möglich ist. Im Schritt S550 wird überprüft, ob die Verhandlung mit dem Lizenzserver 106 erfolgreich ist. Ist die Verhandlung nicht erfolgreich, so kehrt das Verfahren zum Schritt S420 zurück.
  • Ansonsten geht das Verfahren zum Schritt S560, wo eine neue mobile Benutzungsberechtigung durch den Lizenzserver 106 erzeugt wird, die im Schritt S570 an den Server 120 in der entfernten Umgebung 104 übertragen wird und die im Schritt S580 die existierende mobile Benutzungsberechtigung ersetzt. Alternativ kann auch eine ergänzende mobile Benutzungsberechtigung erzeugt werden, die die zu der existierenden Benutzungsberechtigung zusätzlichen Elemente umfasst, so dass im Schritt S570 die existierende mobile Benutzungsberechtigung entsprechend ergänzt wird. Anschließend kehrt das Verfahren zum Schritt S420 zurück.
  • Gegenüber herkömmlichen Ansätzen ist das anhand der 5 beschrieben Ausführungsbeispiel vorteilhaft, da die heutige Technologie – soweit die Reservierung von Benutzungsberechtigungen überhaupt unterstützt wird – eine Beendigung der Anwendung erzwingen würde, bei der üblicherweise bis zu diesem Zeitpunkt berechnete Simulationsergebnisse verloren gehen. Wenn dagegen eine Nachverhandlung erlaubt ist, kann ein neues Service Level Agreement bei Verfügbarkeit der erforderlichen Ressourcen entsprechend der Anforderung erzeugt werden und an die entfernten Ressourcen transportiert werden. Dort wird das alte Service Level Agreement durch das neue Service Level Agreement ersetzt und die Anwendung kann zu den im neuen Service Level Agreement vereinbarten Bedingungen weiterlaufen.
  • Das oben erläuterte Verfahren stellt sicher, dass von Lizenzen geschützte Anwendungen an jedem beliebigen Ort auf das Vorhandensein der erforderlichen Lizenz überprüft werden können, auch unabhängig von einer Internetverbindung zur Heimateinrichtung, wie beispielsweise dem lokalen Lizenzserver 106 in der lokalen Umgebung 102. Das Service Level Agreement (mobile Benutzungsberechtigung) wird vorzugsweise digital durch ein entsprechendes digitales X.509 Zertifikat der Heimateinrichtung signiert und ist so gegen Veränderungen auf dem Transportweg oder am Zielort geschützt. Zusätzlich kann das Service Level Agreement auch mit einem digitalen X.509 Zertifikat eines Servers der Einrichtung verschlüsselt werden, auf deren Ressource die Anwendung ablaufen soll, beispielsweise des Servers 120 oder der Anlage 124 in 2. Auf diese Weise ist das Service Level Agreement während des Transports für Dritte unlesbar.
  • Ein weiterer Vorteil der vorliegenden Erfindung besteht darin, dass der erfindungsgemäße Ansatz auf inter-operable Standards aufsetzen kann und auch zur Sicherung des Inhalts gegen Verfälschung oder Zugriff von Dritten keine proprietären Protokolle verwendet werden müssen.
  • Abhängig von den Gegebenheiten können die Ausführungsbeispiele der erfindungsgemäßen Verfahren in Hardware oder in Software implementiert werden. Die Implementierung kann auf einem digitalen Speichermedium, insbesondere einer Diskette, CD oder DVD mit elektronisch auslesbaren Steuersignalen erfolgen, die so mit einem programmierbaren Computersystem zusammenwirken, das eines der Ausführungsbeispiele der erfindungsgemäßen Verfahren ausgeführt wird. Allgemein bestehen die Ausführungsbeispiele der vorliegenden Erfindung somit auch in Software-Programm-Produkten, bzw. Computer-Programm-Produkten bzw. Programm-Produkten mit einem auf einem Maschinen-lesbaren Träger gespeicherten Programmcode zur Durchführung eines der Ausführungsbeispiele der erfindungsgemäßen Verfahren, wenn eines der Software-Programm-Produkte auf einem Rechner oder auf einem Prozessor ab läuft. In anderen Worten ausgedrückt, kann ein Ausführungsbeispiel der vorliegenden Erfindung somit als ein Computer-Programm bzw. Software-Programm bzw. Programm mit einem Programmcode zur Durchführung eines Ausführungsbeispiels eines erfindungsgemäßen Verfahrens realisiert werden, wenn das Programm auf einem Prozessor abläuft.
  • Der Prozessor kann von einem Computer, einer Chipkarte, einem digitalen Signalprozessor oder einem anderen integrierten Schaltkreis gebildet sein.

Claims (17)

  1. Verfahren zur Erzeugung einer mobilen Benutzungsberechtigung (T) für eine Nutzung einer Anwendung (A') außerhalb einer lokalen Umgebung (102), wobei die lokale Umgebung (102) zumindest eine Benutzungsberechtigung für eine Nutzung der Anwendung (A) innerhalb der lokalen Umgebung (102) aufweist, wobei die lokale Umgebung (102) die zumindest eine Benutzungsberechtigung von einem Anbieter (114) der Anwendung erworben hat, und wobei ansprechend auf eine Anforderung (S300), die Anwendung (A') außerhalb der lokalen Umgebung (102) zu nutzen, eine mobile Benutzungsberechtigung (T) basierend auf der Benutzungsberechtigung der lokalen Umgebung (102) derart erzeugt wird, dass die Anwendung (A') außerhalb der lokalen Umgebung (102) erkennt, dass die mobile Benutzungsberechtigung (T) von der lokalen Umgebung (102) stammt.
  2. Verfahren nach Anspruch 1, bei dem das Erzeugen der mobilen Benutzungsberechtigung (T) ein Überprüfen der Verfügbarkeit der Benutzungsberechtigung der lokalen Umgebung (102) umfasst, wobei die Benutzungsberechtigung der lokalen Umgebung (102) verfügbar ist, falls keine Anwendung (A) in der lokalen Umgebung (102) auf die Benutzungsberechtigung zugreift, oder falls keine mobile Benutzungsberechtigung für den gleichen Zeitraum erzeugt worden ist. wobei die mobile Benutzungsberechtigung (T) erzeugt wird, falls die Benutzungsberechtigung der lokalen Umgebung verfügbar ist.
  3. Verfahren nach Anspruch 1, bei dem die lokale Umgebung (102) eine Mehrzahl von Benutzungsberechtigungen für eine Nutzung der Anwendung (A) innerhalb der lokalen Umgebung (102) aufweist, und bei dem das Erzeugen der mobilen Benutzungsberechtigung (T) ein Überprüfen der Verfügbarkeit einer der Mehrzahl von Benutzungsberechtigungen der lokalen Umgebung (102) umfasst, wobei die mobile Benutzungsberechtigung erzeugt wird, falls eine Benutzungsberechtigung der lokalen Umgebung (102) verfügbar ist, während gleichzeitig die Verfügbarkeit der Benutzungsberechtigung der lokalen Umgebung entsprechend des Verbrauchs durch die mobile Benutzungsberechtigung angepasst wird.
  4. Verfahren nach einem der Ansprüche 1 bis 3, bei dem die mobile Benutzungsberechtigung (T) derart verschlüsselt wird, dass die mobile Benutzungsberechtigung (T) nur durch die erwünschte Anwendung (A') außerhalb der lokalen Umgebung (102) entschlüsselt werden kann.
  5. Verfahren nach einem der Ansprüche 1 bis 4, bei dem die Nutzung der Anwendung (A') außerhalb der lokalen Umgebung eine Nutzung unter Zugrundelegung vorbestimmter Eingabewerte für die Anwendung (A') ist, wobei die mobile Benutzungsberechtigung (T) ferner basierend auf den vorbestimmten Eingabewerten erzeugt wird.
  6. Vorrichtung nach Anspruch 5, bei dem die mobile Benutzungsberechtigung (T) aus den vorbestimmten Eingabewerte einen eindeutigen Schlüssel berechnet, wobei der Schlüssel aus den vorbestimmten Eingabewerte beim Erzeugen derart berechnet wird, dass die externe Anwendung (A') bei Zugriff auf die mobile Benutzungsberechtigung (T) nach dem gleichen Rechenverfahren den Schlüssel aus den vorbestimmten Eingabewerte berechnet, die beiden Schlüssel vergleicht und bei Übereinstimmung die externe Anwendung (A') basierend auf den vorbestimmten Eingabewerten ausgeführt wird.
  7. Verfahren nach einem der Ansprüche 1 bis 6, bei dem die lokale Umgebung einen Lizenzserver (106) und zumindest eine Datenverarbeitungsanlage (112) umfasst, die wirksam mit dem Lizenzserver (106) verbunden ist, wobei der Lizenzserver (106) die eine oder mehreren Benutzungsberechtigungen speichert, und wobei die Datenverarbeitungsanlage (112) ausgebildet ist, um die Anwendung (A) nach Abfrage der Benutzungsberechtigung auf dem Lizenzserver (106) auszuführen.
  8. Verfahren zum Nutzen einer Anwendung (A') außerhalb einer lokalen Umgebung (102), die zumindest eine Benutzungsberechtigung für eine Nutzung der Anwendung (A) innerhalb der lokalen Umgebung (102) aufweist, wobei die lokale Umgebung (102) die Benutzungsberechtigung von einem Anbieter (114) der Anwendung (A) erworben hat, wobei das Verfahren folgende Schritte aufweist: Erzeugen (S308) einer mobilen Benutzungsberechtigung (T) gemäß dem Verfahren nach einem der Ansprüche 1 bis 7; Übertragen (S310) der mobilen Benutzungsberechtigung (T) von der lokalen Umgebung (102) an die Anwendung (A') außerhalb der lokalen Umgebung (102); und Nutzen (S312) der Anwendung (A') außerhalb der lokalen Umgebung (102) basierend auf der mobilen Benutzungsberechtigung (T).
  9. Verfahren nach Anspruch 8, bei dem die mobile Benutzungsberechtigung (T) an ein Computersystem (120, 124) übertragen wird, auf dem die Anwendung (A') für eine Ausführung angeordnet ist, wobei die mobile Benutzungsberechtigung (T) auf dem Computersystem (120, 124) gespeichert wird und die Anwendung (A') vor und/oder während der Ausführung auf die mobile Benutzungsberechtigung (T) zugreift (S414–S420).
  10. Verfahren nach Anspruch 9, bei dem das externe Computersystem (120, 124) eine Umgebung (120) umfasst, der die externe Anwendung (A') vertraut und die die mobile Benutzungsberechtigung (T) empfängt, wobei das Verfahren ferner folgende Schritte umfasst: Bestimmen (S510), ob ein Umfang der in der vertrauenswürdigen Umgebung (120) vorhandenen mobilen Benutzungsberechtigung ausreichend ist; falls der Umfang der in der vertrauenswürdigen Umgebung (120) vorhandenen mobilen Benutzungsberechtigung nicht ausreichend ist, Kontaktieren (S520) der lokalen Umgebung (102) über die vertrauenswürdige Umgebung (120) und Ergänzen (S530–S580) der vorhandenen mobilen Benutzungsberechtigung.
  11. Verfahren nach Anspruch 10, bei dem das Ergänzen (S530–S580) der vorhandenen mobilen Benutzungsberechtigung das Erzeugen (S560) einer neuen mobilen Benutzungsberechtigung durch die lokale Umgebung (102) und das Übertragen (S570) der neuen mobilen Benutzungsberechtigung an die vertrauenswürdige Umgebung (120) umfasst.
  12. Verfahren nach Anspruch 10, bei dem das Ergänzen (S530–S580) der vorhandenen mobilen Benutzungsberechtigung das Erzeugen (S560) einer ergänzenden mobilen Benutzungsberechtigung durch die lokale Umgebung (102), das Übertragen (S570) der ergänzenden mobilen Benutzungsberechtigung an die vertrauenswürdige Umgebung (120) und das Ergänzen der vorhandenen mobilen Benutzungsberechtigung umfasst.
  13. Lizenzserver (106) für eine lokale Umgebung (102), wobei der Lizenzserver (106) zumindest eine Benutzungsberechtigung für eine Nutzung einer Anwendung (A) in der lokalen Umgebung (102) speichert, die von einem Anbieter (114) der Anwendung (A) erworben wurde, wobei der Lizenzserver (106) konfiguriert ist, um eine mobile Benutzungsberechtigung (T) für eine Nutzung der Anwendung (A') außerhalb der lokalen Umgebung (102) zu erzeugen, und wobei der Lizenzserver (106) konfiguriert ist, um ansprechend auf eine Anforderung (S300), die Anwendung (A') außerhalb der lokalen Umgebung (102) zu nutzen, die mobile Benutzungsberechtigung (T) basierend auf der Benutzungsberechtigung der lokalen Umgebung (102) derart zu erzeugen, dass die Anwendung (A') außerhalb der lokalen Umgebung (102) erkennt, dass die mobile Benutzungsberechtigung (T) von der lokalen Umgebung (102) stammt.
  14. Lizenzserver (106) nach Anspruch 13, der eine Mehrzahl von Benutzungsberechtigungen für eine Benutzung der Anwendung (A) innerhalb der lokalen Anwendung (102) speichert, wobei der Lizenzserver (106) konfiguriert ist, um beim Erzeugen der mobilen Benutzungsberechtigung (T) eine Überprüfung der Verfügbarkeit einer der Mehrzahl von Benutzungsberechtigungen durchzuführen, wobei eine mobile Benutzungsberechtigung erzeugt wird, wenn eine Benutzungsberechtigung verfügbar ist, während gleichzeitig die Verfügbarkeit der Benutzungsberechtigungen entsprechend des Verbrauchs durch die mobile Benutzungsberechtigung angepasst wird.
  15. Lokale Umgebung (102), in der eine Anwendung (A) genutzt werden kann, mit: einem Lizenzserver (106) nach Anspruch 13 oder 15, und einer Datenverarbeitungsanlage (112) für eine Ausführung der Anwendung (A), wobei die Datenverarbeitungsanlage (112) ausgebildet ist, um die Anwendung (A) nach Abfrage der Benutzungsberechtigung auf dem Lizenzserver (1406) auszuführen.
  16. Computersystem, mit: einer lokalen Umgebung (102) gemäß Anspruch 13; und einem Computer (120, 124), auf dem die externe Anwendung (A') für eine Ausführung angeordnet wird, wobei die mobile Benutzungsberechtigung (T) auf dem Computersystem (120, 124) gespeichert wird und die Anwendung (A') vor und/oder während der Ausführung auf die mobile Benutzungsberechtigung (T) zugreift (S414–S420).
  17. Computerprogrammprodukt mit Instruktionen, die Ausführung durch einen Computer ein Verfahren gemäß einem der Ansprüche 1 bis 12 ausführen.
DE102009010605A 2009-02-25 2009-02-25 Verfahren und Lizenzserver zum Erzeugen einer mobilen Benutzungsberechtigung für eine Nutzung einer Anwendung ausserhalb einer lokalen Umgebung Withdrawn DE102009010605A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102009010605A DE102009010605A1 (de) 2009-02-25 2009-02-25 Verfahren und Lizenzserver zum Erzeugen einer mobilen Benutzungsberechtigung für eine Nutzung einer Anwendung ausserhalb einer lokalen Umgebung
PCT/EP2009/067957 WO2010097139A1 (de) 2009-02-25 2009-12-28 Verfahren und lizenzserver zum erzeugen einer mobilen benutzungsberechtigung für eine nutzung einer anwendung ausserhalb einer lokalen umgebung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009010605A DE102009010605A1 (de) 2009-02-25 2009-02-25 Verfahren und Lizenzserver zum Erzeugen einer mobilen Benutzungsberechtigung für eine Nutzung einer Anwendung ausserhalb einer lokalen Umgebung

Publications (1)

Publication Number Publication Date
DE102009010605A1 true DE102009010605A1 (de) 2010-08-26

Family

ID=42028132

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009010605A Withdrawn DE102009010605A1 (de) 2009-02-25 2009-02-25 Verfahren und Lizenzserver zum Erzeugen einer mobilen Benutzungsberechtigung für eine Nutzung einer Anwendung ausserhalb einer lokalen Umgebung

Country Status (2)

Country Link
DE (1) DE102009010605A1 (de)
WO (1) WO2010097139A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080103977A1 (en) * 2006-10-31 2008-05-01 Microsoft Corporation Digital rights management for distributed devices
EP1936526A1 (de) * 2006-12-21 2008-06-25 Sysopen Digia Oyj Verwaltung von Softwarelizenzen in einem mobilen Gerät
DE102006057197B4 (de) * 2006-12-05 2008-11-20 Dräger Medical AG & Co. KG Lizenzierungssystem und Verfahren zur Übertragung von Lizenzinformationen

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE175281T1 (de) * 1991-05-08 1999-01-15 Digital Equipment Corp Lizenz-verwaltungssystem
AU2003223802A1 (en) * 2002-05-10 2003-11-11 Protexis Inc. System and method for multi-tiered license management and distribution using networked clearinghouses
US20080091613A1 (en) * 2006-09-28 2008-04-17 Microsoft Corporation Rights management in a cloud
US20080276321A1 (en) * 2007-05-02 2008-11-06 Microsoft Corporation Secure Transfer Of Product-Activated Software To A New Machine Using A Genuine Server

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080103977A1 (en) * 2006-10-31 2008-05-01 Microsoft Corporation Digital rights management for distributed devices
DE102006057197B4 (de) * 2006-12-05 2008-11-20 Dräger Medical AG & Co. KG Lizenzierungssystem und Verfahren zur Übertragung von Lizenzinformationen
EP1936526A1 (de) * 2006-12-21 2008-06-25 Sysopen Digia Oyj Verwaltung von Softwarelizenzen in einem mobilen Gerät

Also Published As

Publication number Publication date
WO2010097139A1 (de) 2010-09-02

Similar Documents

Publication Publication Date Title
DE112011101729B4 (de) Verwaltung von Ressourcenzugriff
DE60307736T2 (de) Serverarchitektur für sichere Plug-ins in digitalen Rechteverwaltungsssystemen
DE602004009354T2 (de) Registrierung bzw. Unter-registrierung eines Servers für die Verwaltung digitaler Rechte in einer Architektur zur Verwaltung digitaler Rechte
DE112004002470B4 (de) Zertifikat-Basiertes Digitales Rechte-Management
DE60212920T3 (de) Verfahren und system zur verwaltung von digitalen abonnementrechten
EP2585963B1 (de) Verfahren zur erzeugung eines zertifikats
DE69731714T2 (de) Dynamische Dienstklassen für eine internationale kryptographische Struktur
DE60214632T2 (de) Multidomäne Berechtigung und Authentifizierung
US6895503B2 (en) Method and apparatus for hierarchical assignment of rights to documents and documents having such rights
DE60207812T2 (de) Verfahren und vorrichtung zum dynamischen zuweisen von benutzungsrechten zu digitalen werken
DE112007002566B4 (de) Verfahren zum Übertragen eines Datenobjekts zwischen Vorrichtungen, und Vorrichtung zum Durchsetzen eines Protokolls
DE112012002741T5 (de) Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform
DE112018005203T5 (de) Authentifizierung unter Verwendung von delegierten Identitäten
DE112020000538T5 (de) Feinkörnige zugriffskontrolle auf token-grundlage
DE112013007160T5 (de) Entwicklungsumgebungssystem, Entwicklungsumgebungsvorrichtung, Entwicklungsumgebungsbereitstellungsverfahren und Programm
JP2006254464A (ja) アクセス管理システム等におけるリソース等にアクセスする権限の委任
CN109683936A (zh) 灰度发布方法及装置、存储介质及电子设备
DE102009017221A1 (de) Information-Rights-Management
DE60212969T3 (de) Verfahren und vorrichtung zum verfolgen des status eines betriebsmittels in einem system zur verwaltung der benutzung der betriebsmittel
EP4016338A1 (de) Zugriffskontrolle auf in einer cloud gespeicherte daten
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE102014206325A1 (de) Verteiltes Authentifizierungssystem
US8181257B2 (en) Method to allow role based selective document access between domains
Suzic Securing integration of cloud services in cross-domain distributed environments
Kerschbaum et al. Security architecture for virtual organizations of business web services

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20120901