DE102010021655A1 - A method for providing EDRM (Enterprise Digital Rights Management) protected data objects - Google Patents

A method for providing EDRM (Enterprise Digital Rights Management) protected data objects Download PDF

Info

Publication number
DE102010021655A1
DE102010021655A1 DE102010021655A DE102010021655A DE102010021655A1 DE 102010021655 A1 DE102010021655 A1 DE 102010021655A1 DE 102010021655 A DE102010021655 A DE 102010021655A DE 102010021655 A DE102010021655 A DE 102010021655A DE 102010021655 A1 DE102010021655 A1 DE 102010021655A1
Authority
DE
Germany
Prior art keywords
data object
computer
edrm
identification information
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102010021655A
Other languages
German (de)
Inventor
Dr. Falk Rainer
Steffen Fries
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102010021655A priority Critical patent/DE102010021655A1/en
Priority to PCT/EP2011/057762 priority patent/WO2011147693A1/en
Publication of DE102010021655A1 publication Critical patent/DE102010021655A1/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]

Abstract

Es wird ein EDRM geschütztes Datenobjekt durch einen ersten Rechner offline erzeugt, ohne das eine Verbindung zum EDRM-Server besteht. Das EDRM geschützte Datenobjekt wird dann an einen zweiten Rechner übertragen. Da das Datenobjekt in verschlüsselter Form vorliegt, kann es durch den zweiten Rechner nicht bearbeitet werden. Der zweite Rechner authentisiert sich daher gegenüber einem EDRM-Server und überträgt als Teil der Anfrage die Datenidentifizierungsinformation und die Geräteidentifizierungsinformation des ersten Rechners an den EDRM-Server. Der EDRM-Server prüft die Zugriffsberechtigung des zweiten Rechners auf die vom ersten Rechner ausgegebenen Daten. Da das EDRM geschützte Datenobjekt nicht beim EDRM-Server bekannt ist, werden die Zugriffsrechte anhand einer Geräte-abhängigen Policy belegt und der Schlüssel zur Entschlüsselung des Datenobjekts ermittelt.An EDRM-protected data object is generated offline by a first computer without there being a connection to the EDRM server. The EDRM protected data object is then transferred to a second computer. Since the data object is in encrypted form, it cannot be processed by the second computer. The second computer therefore authenticates itself to an EDRM server and transfers the data identification information and the device identification information of the first computer to the EDRM server as part of the request. The EDRM server checks the access authorization of the second computer to the data output by the first computer. Since the EDRM-protected data object is not known to the EDRM server, the access rights are assigned using a device-dependent policy and the key for decrypting the data object is determined.

Description

Die vorliegende Erfindung betrifft ein Verfahren und ein System zum Bereitstellen von EDRM (Enterprise Digital Rights Management) geschützten Datenobjekten.The present invention relates to a method and system for providing EDRM (Enterprise Digital Rights Management) protected data objects.

In Anwendungen der Automatisierung, Signalverarbeitung und Telekommunikation kommt es häufig vor, dass Nutzdaten vor fremdem Zugriff geschützt werden sollen. Bei Nutzdaten kann es sich zum Beispiel um Steuerungsdaten von mehreren Maschinen handeln, welche miteinander interagieren. So ist es zum Beispiel möglich, dass an einer Fertigungsstätte eine Vielzahl von Produktionsmaschinen zur Fertigung eines Produktes miteinander kommuniziert und ferner Daten mit entfernten Produktionsstätten und/oder Lieferanten austauschen. Hierbei sollen einzelnen Empfängern, wie zum Beispiel Lieferanten, bestimmte Rechte auf die übermittelten Daten zugestanden werden. So ist es möglich, dass ein Kunde einer Produktionsfirma Konstruktionspläne eines Bauelementes übermittelt. Hierbei soll sichergestellt werden, dass die Produktionsfirma die entsprechenden Konstruktionspläne lediglich ausliest, nicht jedoch ändert oder weitergibt.In applications of automation, signal processing and telecommunications, it often happens that user data should be protected against unauthorized access. For example, payload data may be control data from multiple machines that interact with each other. It is thus possible, for example, for a multiplicity of production machines to communicate with one another at a production site and also to exchange data with remote production sites and / or suppliers. Here, individual recipients, such as suppliers, certain rights to the transmitted data will be granted. So it is possible that a customer of a production company transmits construction plans of a component. This is to ensure that the production company only reads out the corresponding construction plans, but does not change or pass them on.

Eine digitale Rechteverwaltung realisiert einen Zugriffschutz auf Dokumente, unabhängig von einem Speicherort der Dokumente. Ein geschütztes Dokument kann von einem autorisierten Anwender nur entsprechend seiner dafür geltenden Zugriffsrechte geöffnet und bearbeitet werden, unabhängig davon, auf welcher Speichervorrichtung das Dokument gespeichert wurde oder an welche Recheneinheit das Dokument versandt wurde. Ein nicht autorisierter Außenstehender, dem keine Zugriffsrechte gewährt wurden, kann mit einer Kopie des Dokuments keine unautorisierte Information erhalten.Digital rights management realizes access protection to documents, regardless of a storage location of the documents. A protected document can only be opened and edited by an authorized user in accordance with its valid access rights, regardless of which storage device the document was stored on or to which arithmetic unit the document was sent. An unauthorized outsider who has not been granted access rights can not receive unauthorized information with a copy of the document.

In herkömmlichen Verfahren zur digitalen Rechteverwaltung erfolgt eine Verschlüsselung von Dokumenten gemäß mindestens einem Verschlüsselungsalgorithmus. Der Herausgeber definiert zusätzlich die Rechte spezifischer Benutzer oder Gruppen am Inhalt des Dokuments, welche in einer Lizenzinformation, auch Issuance License genannt, zusammengefasst werden. Die verschlüsselte Datei wird mitsamt der Lizenzinformation an einen Server übersendet.In conventional digital rights management methods, documents are encrypted according to at least one encryption algorithm. The publisher additionally defines the rights of specific users or groups in the content of the document, which are summarized in a license information, also known as issuance license. The encrypted file is sent together with the license information to a server.

Die Lizenzinformation kann beispielsweise beschreiben, dass ein Dritter, zum Beispiel eine Konfigurationsmaschine, gewisse Teile eines Konstruktionsplans auslesen, ausdrucken und/oder speichern darf. Zusätzlich kann die Lizenzinformation einen symmetrischen Schlüssel aufweisen, der zum Verschlüsseln und Entschlüsseln des Dokumentes verwendet wird. Da eben dieser Schlüssel eine geheime Information darstellt, kann die Lizenzinformation mit dem öffentlichen Schlüssel des Servers verschlüsselt werden und der Herausgeber kann die Lizenzinformation digital signieren.For example, the license information may describe that a third party, such as a configuration engine, may read, print, and / or store certain portions of a design plan. In addition, the license information may include a symmetric key used to encrypt and decrypt the document. Since this very key represents secret information, the license information can be encrypted with the public key of the server and the publisher can digitally sign the license information.

Die Lizenzinformation kann zentral auf einem Server gespeichert und gewartet werden. Die Lizenzinformation kann aber auch mit dem verschlüsselten Dokument in einer Datei untergebracht werden, wodurch jedoch lediglich eine weniger dynamische Rechteverwaltung ermöglicht wird. Neben dem Server gibt es ferner einen Client, welcher auf jeder zugreifenden Maschine installiert ist, die zugriffsgeschützte Dokumente auslesen will. Der Client kann hierbei die Kommunikation mit dem Server übernehmen, um den symmetrischen Schlüssel und die Rechte eines vorliegenden Dokuments zu ermitteln. Der Client kann die gelesenen Rechte an eine weitere Ausleseeinheit weitergeben, die für die Einhaltung der Rechte vorgesehen ist. Eine Entschlüsselung des Dokuments kann der Client übernehmen, welcher ferner eine eventuell benötigte erneute Verschlüsselung zu einem späteren Zeitpunkt ausführt. Der Schlüssel kann durch den Client mittels einer Verschlüsselungstechnik vor weiteren Ausleseeinheiten geheim gehalten werden. Hierzu werden in herkömmlichen Verfahren Verschlüsselungstechniken oder Verschleierungstechniken wie das sogenannte Code Obfuscation verwendet.The license information can be stored and maintained centrally on a server. However, the license information can also be stored in a file with the encrypted document, which, however, only allows less dynamic rights management. In addition to the server, there is also a client installed on each accessing machine that wants to read access-protected documents. The client can take over the communication with the server in order to determine the symmetric key and the rights of a present document. The client can pass the read rights to another read-out unit, which is provided for the compliance with the rights. A decryption of the document, the client can take over, which also performs any necessary re-encryption at a later date. The key can be kept secret by the client by means of an encryption technique before further readout units. For this purpose, encryption techniques or obfuscation techniques such as the so-called code obfuscation are used in conventional methods.

Zur Bereitstellung eines EDRM geschützten Datenobjektes muss der Herausgeber oder Rechteinhaber also regelmäßig über eine Kommunikationsverbindung zu dem EDRM-Server verfügen. Nur damit ist die Registrierung des entsprechenden EDRM geschützten Datenobjektes auf dem EDRM Server in der oben beschriebenen Weise möglich. Jedoch verfügen beispielsweise Industriegeräte oft nicht über eine Netzwerkverbindung oder sind lediglich mit einem separaten Fertigungsnetzwerk verbunden, von dem aus ein EDRM-Server nicht erreichbar ist.To provide an EDRM protected data object, the publisher or rights holder must therefore regularly have a communication link to the EDRM server. Only then is it possible to register the corresponding EDRM protected data object on the EDRM server in the manner described above. However, for example, industrial devices often do not have a network connection or are merely connected to a separate manufacturing network from which an EDRM server can not be reached.

Es ist demnach die Aufgabe der vorliegenden Erfindung, ein Verfahren zur Bereitstellung von EDRM geschützte Datenobjekten anzugeben, welches auch Infrastrukturen mit Geräten ohne oder mit eingeschränkter Netzwerkverbindung unterstützt.It is therefore the object of the present invention to provide a method for providing EDRM protected data objects, which also supports infrastructures with devices with no or limited network connection.

Diese Aufgabe wird erfindungsgemäß durch ein Verfahren und ein System mit den Merkmalen der Patentansprüche 1 und 8 gelöst. Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen angegeben.This object is achieved by a method and a system having the features of claims 1 and 8. Advantageous developments of the invention are specified in the dependent claims.

In dem erfindungsgemäßen Verfahren zum Bereitstellen mindestens eines EDRM (Enterprise Digital Rights Management) geschützten Datenobjektes wird ein verschlüsseltes Datenobjekt durch einen ersten Rechner einem zweiten Rechner bereitgestellt. Auf Anfrage des zweiten Rechners werden nach einer erfolgreichen Authentisierung des zweiten Rechners gegenüber einem EDRM-Server folgende Schritte durch den EDRM-Server durchgeführt:

  • – Generieren eines dem Datenobjekt zugeordneten Rechteobjekts in Abhängigkeit einer Geräteidentifizierungsinformation des ersten Rechners, das Zugriffsrechte von Nutzern oder Nutzergruppen auf das Datenobjekt angibt,
  • – Ermitteln eines Datenobjektschlüssels zur Entschlüsselung des Datenobjekts in Abhängigkeit einer Datenidentifizierungsinformation des Datenobjekts und der Geräteidentifizierungsinformation mittels einer Schlüsselableitungsfunktion,
  • – Ermitteln einer Lizenzinformation, die die Zugriffsrechte des zweiten Rechners auf das Datenobjekt und den Datenobjektschlüssel umfasst,
  • – Bereitstellen der ermittelten Lizenzinformation an den zweiten Rechner.
In the method according to the invention for providing at least one EDRM (Enterprise Digital Rights Management) protected data object, an encrypted data object is provided by a first computer to a second computer. On request of the second computer after a successful authentication of the second The computer performs the following steps through the EDRM server in relation to an EDRM server:
  • Generating a rights object assigned to the data object as a function of device identification information of the first computer that specifies access rights of users or user groups to the data object,
  • Determining a data object key for decrypting the data object as a function of data identification information of the data object and the device identification information by means of a key derivation function,
  • Determining a license information that includes the access rights of the second computer to the data object and the data object key,
  • - Providing the determined license information to the second computer.

Somit wird ein EDRM geschütztes Datenobjekt durch den ersten Rechner offline erzeugt, ohne eine bestehende Verbindung zum EDRM-Server. Gleichzeitig ist jedoch sichergestellt, dass ein durch den EDRM-Server autorisierter Nutzer, also hier der zweite Rechner, das EDRM-geschützte Datenobjekt öffnen kann. Ein EDRM-Server erhält erfindungsgemäß von einem neuen EDRM geschützten Dokument erst Kenntnis, wenn ein Client als zweiter Rechner eine Nutzungslizenz für dieses Datenobjekt anfragt. Aus den Informationen des anfragenden Clients als zweiter Rechner sowie gespeicherter Konfigurations-Informationen, wie beispielsweise Default-Policies, werden die fehlenden Nutzungsberechtigungen und Datenobjektschlüssel ermittelt, um daraus eine EDRM-Lizenzinformation zu erzeugen.Thus, an EDRM protected data object is generated offline by the first computer, without an existing connection to the EDRM server. At the same time, however, it is ensured that a user authorized by the EDRM server, in this case the second computer, can open the EDRM-protected data object. According to the invention, an EDRM server only receives knowledge of a new document protected by EDRM if a client as the second computer requests a use license for this data object. From the information of the requesting client as a second computer and stored configuration information, such as default policies, the missing usage rights and data object key are determined to generate an EDRM license information.

Das erfindungsgemäße System zum Bereitstellen mindestens eines EDRM (Enterprise Digital Rights Management) geschützten Datenobjektes weist einen ersten Rechner auf, der einem zweiten Rechner ein verschlüsseltes Datenobjekt bereitstellt. Zudem umfasst das System einen EDRM-Server, der eingerichtet ist, auf Anfrage des zweiten Rechners nach einer erfolgreichen Authentisierung des zweiten Rechners folgende Schritte durchzuführen:

  • – Generieren eines dem Datenobjekt zugeordneten Rechteobjekts in Abhängigkeit einer Geräteidentifizierungsinformation des ersten Rechners, das Zugriffsrechte von Nutzern oder Nutzergruppen auf das Datenobjekt angibt,
  • – Ermitteln eines Datenobjektschlüssels zur Entschlüsselung des Datenobjekts in Abhängigkeit einer Datenidentifizierungsinformation des Datenobjekts und der Geräteidentifizierungsinformation mittels einer Schlüsselableitungsfunktion,
  • – Ermitteln einer Lizenzinformation, die die Zugriffsrechte des zweiten Rechners auf das Datenobjekt und den Datenobjektschlüssel umfasst,
  • – Bereitstellen der ermittelten Lizenzinformation an den zweiten Rechner.
The inventive system for providing at least one EDRM (Enterprise Digital Rights Management) protected data object has a first computer, which provides an encrypted data object to a second computer. In addition, the system includes an EDRM server, which is set up to perform the following steps on request of the second computer after successful authentication of the second computer:
  • Generating a rights object assigned to the data object as a function of device identification information of the first computer that specifies access rights of users or user groups to the data object,
  • Determining a data object key for decrypting the data object as a function of data identification information of the data object and the device identification information by means of a key derivation function,
  • Determining a license information that includes the access rights of the second computer to the data object and the data object key,
  • - Providing the determined license information to the second computer.

Im Weiteren werden mögliche Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems zum Bereitstellen mindestens eines EDRM (Enterprise Digital Rights Management) geschützten Datenobjektes unter Bezugnahme auf die beigefügten Figuren beschrieben. Es zeigen:In the following, possible embodiments of the inventive method and of the system according to the invention for providing at least one EDRM (Enterprise Digital Rights Management) protected data object will be described with reference to the attached figures. Show it:

1 in einer schematischen Darstellung ein Ablaufdiagram eines ersten Ausführungsbeispiels des erfindungsgemäßen Verfahrens, 1 1 is a flowchart of a first exemplary embodiment of the method according to the invention,

2 in einer schematischen Darstellung ein Ablaufdiagramm eines zweiten Ausführungsbeispiels des erfindungsgemäßen Verfahrens. 2 in a schematic representation of a flowchart of a second embodiment of the method according to the invention.

Erfindungsgemäß wird ein EDRM geschütztes Datenobjekt durch einen ersten Rechner offline erzeugt, ohne dass eine Verbindung zum EDRM-Server besteht. Das EDRM geschützte Datenobjekt wird dann an einen zweiten Rechner, beispielsweise einen Wartungs- und Diagnose-Rechner, von dem ersten Rechner übertragen. Da das Datenobjekt in verschlüsselter Form vorliegt, kann es durch den zweiten Rechner nicht bearbeitet werden. Der zweite Rechner authentisiert sich daher gegenüber einem EDRM-Server und überträgt als Teil der Anfrage die Datenidentifizierungsinformation und die Geräteidentifizierungsinformation an den EDRM-Server. Der EDRM-Server prüft die Zugriffsberechtigung des zweiten Rechners auf die vom ersten Rechner ausgegebenen Daten. Da das EDRM geschützte Datenobjekt nicht beim EDRM-Server bekannt ist, werden die Zugriffsrechte anhand einer Geräte-abhängigen Policy belegt. Anhand der erhaltenen Datenidentifizierungsinformation und der Geräteidentifizierungsinformation wird zudem der Datenobjektschlüssel ermittelt.According to the invention, an EDRM protected data object is generated offline by a first computer without a connection to the EDRM server. The EDRM protected data object is then transmitted to a second computer, for example a maintenance and diagnostic computer, from the first computer. Since the data object is in encrypted form, it can not be processed by the second computer. The second computer therefore authenticates itself to an EDRM server and, as part of the request, transmits the data identification information and the device identification information to the EDRM server. The EDRM server checks the access authorization of the second computer to the data output by the first computer. Since the EDRM protected data object is not known to the EDRM server, the access rights are assigned using a device-dependent policy. On the basis of the obtained data identification information and the device identification information, the data object key is also determined.

Die 1 zeigt ein Ablaufdiagramm eines ersten Ausführungsbeispiels des erfindungsgemäßen Verfahrens mit einer Maschine 101, die beispielsweise ein Röntgengerät oder ein Gerät zur Fertigungssteuerung ist. Abgebildet ist weiterhin ein Service-Gerät 102 und ein EDRM-Server 103. Das Service Gerät 102 fragt von der Maschine 101 Service-Daten, beispielsweise zur Wartung oder Diagnose ab 104. Diese Service Daten werden in EDRM geschützter Form durch die Maschine 101 bereitgestellt. Die Maschine 101 ermittelt dazu die angeforderten Service-Daten und erzeugt eine zugehörige Dokumentenidentifizierungsinformation Doc-ID 105. Zudem ermittelt die Maschine 101 den zugeordneten Dokumentenschlüssel DocEK, unter Verwendung einer Schlüsselableitungsfunktion abhängig von einem EDRM-Geräteschlüssel EDevK und der Dokumentenidentifizierungsinformation Doc-ID 105. Mit diesem Dokumentenschlüssel DocEK wird der Dokumenteninhalt, d. h. die ermittelten Service-Daten, verschlüsselt 105. Das derart EDRM-geschützte Dokument wird an das Service Gerät 102 übertragen 106. Es ist dabei möglich, dass der gesamte Dokumenteninhalt, d. h. die gesamten Service-Daten, oder nur ein Teil des Dokumenteninhalts, d. h. nur ein Teil der Service-Daten, mit dem Schlüssel DocEK verschlüsselt wird. In einer Variante werden mehrere Unterschlüssel DocEK1, DocEK2, ... abgeleitet, um damit jeweils einen Teil des gesamten Dokumenteninhalts zu verschlüsseln.The 1 shows a flowchart of a first embodiment of the method according to the invention with a machine 101 which is, for example, an X-ray machine or a production control device. Pictured is still a service device 102 and an EDRM server 103 , The service device 102 asks from the machine 101 Service data, for example for maintenance or diagnosis 104 , These service data are protected in EDRM by the machine 101 provided. The machine 101 determines the requested service data and generates an associated document identification information Doc-ID 105 , In addition, the machine determines 101 the associated document key DocEK, using a key derivation function depending on an EDRM device key EDevK and the document identification information Doc-ID 105 , With this document key DocEK, the document content, ie the determined service data, is encrypted 105 , The thus EDRM-protected document is sent to the service device 102 transfer 106 , It is possible that the entire document content, ie the entire service data, or only a part of the document content, ie only a part of the service data, is encrypted with the key DocEK. In one variant, several subkeys DocEK1, DocEK2, ... are derived in order to encrypt part of the entire document content.

Das Service-Gerät 102 kann das Dokument zunächst nicht öffnen, da es in verschlüsselter Form vorliegt. Zunächst authentisiert sich daher das Service-Gerät 102 gegenüber dem EDRM-Server 103 (ERM-S) in den Schritten 107 und 108. Dabei wird ein Sitzungsschlüssel SK zwischen dem Service-Gerät 102 und dem EDRM-Server 103 (ERM-S) zum kryptographischen Schutz der Kommunikation eingerichtet. Wenn das Service-Gerät 102 authentisiert ist, wird durch den EDRM-Server 103 auf Anfrage 109 durch das Service-Gerät 102 die Berechtigung des Service-Geräts 102 überprüft 110.The service device 102 can not open the document at first because it is in encrypted form. Therefore, the service device authenticates itself first 102 opposite the EDRM server 103 (ERM-S) in the steps 107 and 108 , Thereby, a session key SK is placed between the service device 102 and the EDRM server 103 (ERM-S) for the cryptographic protection of communication. If the service device 102 is authenticated by the EDRM server 103 on demand 109 through the service device 102 the authorization of the service device 102 checked 110 ,

Ist das Service-Gerät 102 zur Nutzung des EDRM geschützten Dokuments berechtigt, erhält es von dem EDRM-Server anschließend eine Lizenzinformation 111. Diese Lizenzinformation enthält den Dokumentenschlüssel DocEK sowie ggf. eine Berechtigungsinformation, welche Nutzungsrechte dem authentisierten Service-Gerät 102 gewährt werden. Derartige Nutzungsrechte umfassen beispielsweise das Drucken, Kopieren, Anzeigen oder Modifizieren des Dokuments bzw. eines Teils des Dokuments.Is the service device 102 authorized to use the EDRM protected document, it then receives a license information from the EDRM server 111 , This license information contains the document key DocEK as well as possibly an authorization information, which rights of use the authenticated service device 102 be granted. Such usage rights include, for example, printing, copying, displaying or modifying the document or part of the document.

Dazu ermittelt der EDRM-Server den verwendeten Dokumentenschlüssel DocEK aus der Dokumentenidentifizierungsinformation Doc-ID und dem EDRM-Geräteschlüssel EDevK der Maschine 101. Die Dokumentenidentifizierungsinformation Doc-ID ermittelt der EDRM-Server aus der Anfrage des Service-Geräts 102, während die EDevK dem EDRM-Server bereits vorliegt. Anhand der in der Dokumentenidentifizierungsinformation Doc-ID enthaltenen oder daraus ermittelbaren Geräteidentifizierungsinformation der Maschine 101 ermittelt der EDRM-Server schließlich die dem EDRM geschützten Dokument zugeordneten Nutzungsrechte.To do this, the EDRM server determines the document key DocEK used from the document identification information Doc-ID and the EDRM device key EDevK of the machine 101 , The document identification information Doc-ID is determined by the EDRM server from the request of the service device 102 while the EDevK already exists to the EDRM server. On the basis of the device identification information of the machine contained in or from the document identification information Doc-ID 101 Finally, the EDRM server determines the usage rights assigned to the EDRM protected document.

In einer optionalen Ausgestaltung der vorliegenden Erfindung legt der EDRM-Server einen Eintrag für dieses Dokument in seiner Datenbank an.In an optional embodiment of the present invention, the EDRM server creates an entry for this document in its database.

Die 2 zeigt ein weiteres Ausführungsbeispiel der vorliegenden Erfindung, bei dem zusätzlich ein Service Manager 201 vorgesehen ist. Zur Vermeidung von Wiederholungen und zur besseren Lesbarkeit sind in 2 gleiche Verfahrensschritte und Netzwerkkomponenten mit denselben Bezugszeichen wie in 1 versehen.The 2 shows a further embodiment of the present invention, in which additionally a service manager 201 is provided. To avoid repetition and for better readability are in 2 Same process steps and network components with the same reference numerals as in 1 Mistake.

In diesem Ausführungsbeispiel erhält das Service-Gerät 102 nicht die Berechtigung zum Öffnen des EDRM geschützten Dokuments 202.In this embodiment, the service device receives 102 not authorized to open the EDRM protected document 202 ,

Die EDRM-geschützten Daten werden daher von dem Service Gerät 102 an den Service Manager 201 übermittelt 203. Der Service Manager 201 authentisiert sich nun seinerseits gegenüber dem EDRM-Server 102 in den Schritten 204 und 205. Wenn der Service-Manager 201 authentisiert ist, wird durch den EDRM-Server 103 auf Anfrage 206 durch den Service Manager 201 – wie in dem vorangegangenen Ausführungsbeispiel – die Berechtigung des Service-Manager 201 zum Öffnen des Dokuments überprüft 207.The EDRM-protected data is therefore from the service device 102 to the service manager 201 transmitted 203 , The service manager 201 in turn authenticates itself to the EDRM server 102 in the steps 204 and 205 , If the service manager 201 is authenticated by the EDRM server 103 on demand 206 through the service manager 201 - As in the previous embodiment - the authorization of the service manager 201 checked to open the document 207 ,

Ist der Service-Manager 201 zur Nutzung des EDRM geschützten Dokuments berechtigt, erhält er von dem EDRM-Server 102 anschließend eine Lizenzinformation 208. Diese Lizenzinformation enthält den Dokumentenschlüssel DocEK sowie ggf. eine Berechtigungsinformation, welche Nutzungsrechte dem authentisierten Service-Manager 201 gewährt werden.Is the service manager 201 authorized to use the EDRM protected document, he receives from the EDRM server 102 then a license information 208 , This license information contains the document key DocEK as well as possibly an authorization information, which rights of use the authenticated service manager 201 be granted.

Als Schlüsselableitungsfunktion (Key Derivation Function) wird beispielsweise eine HMAC-SHA1 Funktion verwendet, in die als Eingabeparameter die Geräteidentifizierungsinformation und die Datenidentifizierungsinformation eingehen. Somit wird im Unterschied zu einem herkömmlichen EDRM-Verfahren beim Erzeugen des EDRM geschützten Datenobjekts als weiterer Schlüssel eine Geräteidentifizierungsinformation verwendet. Anhand der Datenidentifizierungsinformation und der Geräteidentifizierungsinformation kann der EDRM-Server den verwendeten Datenobjektschlüssel ermitteln.A key derivation function (Key Derivation Function), for example, uses an HMAC-SHA1 function, in which the device identification information and the data identification information are input as input parameters. Thus, unlike a conventional EDRM method, when generating the EDRM protected data object, device identification information is used as another key. Based on the data identification information and the device identification information, the EDRM server can determine the data object key used.

Die Dokumentenidentifizierungsinformation Doc-ID umfasst beispielsweise einen pseudozufällig oder fortlaufend Dokumentenspezifisch gewählten Identifizierer. Alternativ wird ein Identifizierer, ermittelt beispielsweise mittels einer Hash-Funktion aus dem Dokumenteninhalt oder dem Erstellungszeitpunkt (Datum/Uhrzeit), sowie eine Identifizierungsinformation des ausstellenden Rechners zur Erstellung der Dokumentenidentifizierungsinformation verwendet. Die Identifizierungsinformation des ausstellenden Rechners ist beispielsweise ein Rechnername, eine IP-Adresse, eine MAC-Adresse oder eine Seriennummer. Zusätzlich kann eine Identifizierungsinformation des zugeordneten EDRM-Servers in die Erstellung der Dokumentenidentifizierungsinformation eingehen. Somit lässt sich die Dokumentenidentifizierungsinformation beispielsweise im folgenden Format darstellen:
Doc-Id ::= <Dokumenten-Identifier> '@' <Host-ID>.The document identification information Doc-ID comprises, for example, a pseudorandom or continuous document-specific identifier. Alternatively, an identifier, determined, for example, by means of a hash function from the document content or the creation time (date / time), as well as identification information of the issuing computer is used to generate the document identification information. The identification information of the issuing computer is, for example, a computer name, an IP address, a MAC address or a serial number. In addition, identification information of the assigned EDRM server can be included in the creation of the document identification information. Thus, the document identification information can be represented, for example, in the following format:
Doc-Id :: = <document identifier>'@'<hostID>.

In vorteilhafter Weise wird eine Möglichkeit geschaffen, EDRM-geschützte Dokumente offline zu erzeugen. Offline bedeutet, dass keine Kommunikationsverbindung zu einem EDRM-Server besteht. Ein EDRM-Server ist beispielsweise nicht erreichbar, weil er sich in einem anderen Netzwerksegment befindet, z. B. einem Office-Netz, oder weil die Industrieanlage keine Online-Kommunikation mit einem Backend-System unterstützt, oder weil die Kommunikation semi-online erfolgt, d. h., es besteht nur eine zeitlich eingeschränkte Online-Verbindung.Advantageously, a possibility is created to produce EDRM-protected documents offline. Offline means that there is no communication connection to an EDRM server. For example, an EDRM server is unreachable because it is in a different network segment, such as a network segment. An office network, or because the industrial plant does not support online communication with a backend system, or because the communication is semi-online, i. E. h., there is only a limited time online connection.

Somit wird auch eine einfache Realisierung auf Embedded Devices ermöglicht, da nur eine Teil-Funktionalität der ansonsten eigentlich zur Erstellung von EDRM geschützten Dokumenten benötigten Funktionalität realisiert sein muss. Nur der EDRM-Client zur Anzeige/Auswertung der EDRM geschützten Daten soll online mit dem EDRM-Server kommunizieren können.Thus, a simple implementation on embedded devices is made possible, since only a partial functionality of the otherwise actually required for the creation of EDRM protected documents functionality must be realized. Only the EDRM client for displaying / evaluating EDRM protected data should be able to communicate online with the EDRM server.

Zudem ist der Speicherbedarf auf einem EDRM-Server geringer, da nicht ein Eintrag pro EDRM-geschütztem Dokument vorgehalten wird, sondern nur ein Eintrag pro Gerät.In addition, the memory requirement on an EDRM server is lower, since not one entry per EDRM-protected document is kept, but only one entry per device.

Claims (9)

Verfahren zum Bereitstellen mindestens eines EDRM (Enterprise Digital Rights Management) geschützten Datenobjektes, wobei – ein verschlüsseltes Datenobjekt durch einen ersten Rechner einem zweiten Rechner bereitgestellt wird, – auf Anfrage nach einer erfolgreichen Authentisierung des zweiten Rechners gegenüber einem EDRM-Server folgende Schritte durch den EDRM-Server durchgeführt werden: – Generieren eines dem Datenobjekt zugeordneten Rechteobjekts in Abhängigkeit einer Geräteidentifizierungsinformation des ersten Rechners, das Zugriffsrechte von Nutzern oder Nutzergruppen auf das Datenobjekt angibt, – Ermitteln eines Datenobjektschlüssels zur Entschlüsselung des Datenobjekts in Abhängigkeit einer Datenidentifizierungsinformation des Datenobjekts und der Geräteidentifizierungsinformation mittels einer Schlüsselableitungsfunktion, – Ermitteln einer Lizenzinformation, die die Zugriffsrechte des zweiten Rechners auf das Datenobjekt und den Datenobjektschlüssel umfasst, – Bereitstellen der ermittelten Lizenzinformation an den zweiten Rechner.A method for providing at least one EDRM (Enterprise Digital Rights Management) protected data object, wherein An encrypted data object is provided by a first computer to a second computer, - Following a successful authentication of the second computer to an EDRM server, the following steps are carried out by the EDRM server on request: Generating a rights object assigned to the data object as a function of device identification information of the first computer that specifies access rights of users or user groups to the data object, Determining a data object key for decrypting the data object as a function of data identification information of the data object and the device identification information by means of a key derivation function, Determining a license information that includes the access rights of the second computer to the data object and the data object key, - Providing the determined license information to the second computer. Verfahren nach Anspruch 1, wobei zur Bereitstellung des verschlüsselten Datenobjekts folgende Schritte durch den ersten Rechner durchgeführt werden: – Ermittlung eines Datenobjektes, – Ermittlung eines Datenobjektschlüssels in Abhängigkeit einer Datenidentifizierungsinformation des ermittelten Datenobjektes und einer Geräteidentifizierungsinformation des ersten Rechners mittels einer Schlüsselableitungsfunktion, – Verschlüsselung des Datenobjektes mit dem ermittelten Datenobjektschlüssel, – Übermittlung des verschlüsselten Datenobjektes an den zweiten Rechner.The method of claim 1, wherein To provide the encrypted data object, the following steps are performed by the first computer: - determination of a data object, Determination of a data object key as a function of a data identification information of the determined data object and a device identification information of the first computer by means of a key derivation function, - encryption of the data object with the determined data object key, - Transmission of the encrypted data object to the second computer. Verfahren nach Anspruch 1 oder 2, wobei die Schlüsselableitungsfunktion eine logische Verknüpfungsfunktion, eine Konkatenationsfunktion, eine Hash-Funktion oder eine Verknüpfung verschiedener Funktionen aufweist.A method according to claim 1 or 2, wherein the key derivation function is a logical join function, a concatenation function, a hash function or has a combination of different functions. Verfahren nach einem der Ansprüche 1 bis 3, wobei die Anfrage des zweiten Rechners an den EDRM-Server die Datenidentifizierungsinformation und die Geräteidentifizierungsinformation umfasst.Method according to one of claims 1 to 3, wherein the request of the second computer to the EDRM server comprises the data identification information and the device identification information. Verfahren nach einem der Ansprüche 1 bis 4, wobei die ermittelte Lizenzinformation mit einem öffentlichen Schlüssel des zweiten Rechners verschlüsselt wird und an den zweiten Rechner übermittelt wird.Method according to one of claims 1 to 4, wherein the determined license information is encrypted with a public key of the second computer and is transmitted to the second computer. Verfahren nach Anspruch 5, wobei der zweite Rechner die verschlüsselt übertragene Lizenzinformation mit einem privaten Schlüssel des zweiten Rechners entschlüsselt.The method of claim 5, wherein the second computer decrypts the encrypted transmitted license information with a private key of the second computer. Verfahren nach einem der Ansprüche 1 bis 6, wobei das Datenobjekt durch ein Dokument oder eine Softwarekomponente gebildet wird.Method according to one of claims 1 to 6, wherein the data object is formed by a document or a software component. System zum Bereitstellen mindestens eines EDRM (Enterprise Digital Rights Management) geschützten Datenobjektes, mit – einem ersten Rechner, der einem zweiten Rechner ein verschlüsseltes Datenobjekt bereitstellt, und einem EDRM-Server, der eingerichtet ist auf Anfrage nach einer erfolgreichen Authentisierung des zweiten Rechners folgende Schritte durchzuführen: – Generieren eines dem Datenobjekt zugeordneten Rechteobjekts in Abhängigkeit einer Geräteidentifizierungsinformation des ersten Rechners, das Zugriffsrechte von Nutzern oder Nutzergruppen auf das Datenobjekt angibt, – Ermitteln eines Datenobjektschlüssels zur Entschlüsselung des Datenobjekts in Abhängigkeit einer Datenidentifizierungsinformation des Datenobjekts und der Geräteidentifizierungsinformation mittels einer Schlüsselableitungsfunktion, – Ermitteln einer Lizenzinformation, die die Zugriffsrechte des zweiten Rechners auf das Datenobjekt und den Datenobjektschlüssel umfasst, – Bereitstellen der ermittelten Lizenzinformation an den zweiten Rechner.System for providing at least one EDRM (Enterprise Digital Rights Management) protected data object, with A first computer providing an encrypted data object to a second computer, and an EDRM server, which is set up on request for a successful authentication of the second computer to perform the following steps: Generating a rights object assigned to the data object as a function of device identification information of the first computer that specifies access rights of users or user groups to the data object, Determining a data object key for decrypting the data object as a function of data identification information of the data object and the device identification information by means of a key derivation function, Determining a license information that includes the access rights of the second computer to the data object and the data object key, - Providing the determined license information to the second computer. System nach Anspruch 8, wobei der erste Rechner zur Bereitstellung des verschlüsselten Datenobjekts eingerichtet ist folgende Schritte durchzuführen: – Ermittlung eines Datenobjektes, – Ermittlung eines Datenobjektschlüssels in Abhängigkeit einer Datenidentifizierungsinformation des ermittelten Datenobjektes und einer Geräteidentifizierungsinformation des ersten Rechners mittels einer Schlüsselableitungsfunktion, – Verschlüsselung des Datenobjektes mit dem ermittelten Datenobjektschlüssel, – Übermittlung des verschlüsselten Datenobjektes an den zweiten Rechner. The system according to claim 8, wherein the first computer is configured to provide the encrypted data object with the following steps: determination of a data object, determination of a data object key as a function of data identification information of the determined data object and device identification information of the first computer by means of a key derivation function, encryption of the data object with the determined data object key, - transmission of the encrypted data object to the second computer.
DE102010021655A 2010-05-26 2010-05-26 A method for providing EDRM (Enterprise Digital Rights Management) protected data objects Ceased DE102010021655A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102010021655A DE102010021655A1 (en) 2010-05-26 2010-05-26 A method for providing EDRM (Enterprise Digital Rights Management) protected data objects
PCT/EP2011/057762 WO2011147693A1 (en) 2010-05-26 2011-05-13 Method for providing edrm-protected (enterprise digital rights management) data objects

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010021655A DE102010021655A1 (en) 2010-05-26 2010-05-26 A method for providing EDRM (Enterprise Digital Rights Management) protected data objects

Publications (1)

Publication Number Publication Date
DE102010021655A1 true DE102010021655A1 (en) 2011-12-01

Family

ID=44262972

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010021655A Ceased DE102010021655A1 (en) 2010-05-26 2010-05-26 A method for providing EDRM (Enterprise Digital Rights Management) protected data objects

Country Status (2)

Country Link
DE (1) DE102010021655A1 (en)
WO (1) WO2011147693A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111104690B (en) * 2019-11-22 2022-03-18 北京三快在线科技有限公司 Document monitoring method and device, server and storage medium

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009154526A1 (en) * 2008-06-19 2009-12-23 Telefonaktiebolaget Lm Ericsson (Publ) A method and a device for protecting private content

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69228039T2 (en) * 1991-05-08 1999-08-05 Digital Equipment Corp LICENSE MANAGEMENT SYSTEM
DE69637733D1 (en) * 1995-02-13 2008-12-11 Intertrust Tech Corp SYSTEMS AND METHOD FOR SAFE TRANSMISSION
US7073063B2 (en) * 1999-03-27 2006-07-04 Microsoft Corporation Binding a digital license to a portable device or the like in a digital rights management (DRM) system and checking out/checking in the digital license to/from the portable device or the like

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009154526A1 (en) * 2008-06-19 2009-12-23 Telefonaktiebolaget Lm Ericsson (Publ) A method and a device for protecting private content

Also Published As

Publication number Publication date
WO2011147693A1 (en) 2011-12-01

Similar Documents

Publication Publication Date Title
DE60316861T2 (en) Method and device for encrypting / decrypting data
DE102018104679A1 (en) In Tonken translated hardware security modules
EP3452941B1 (en) Method for electronically documenting license information
WO2019034509A1 (en) Method for the secure replacement of a first manufacturer certificate already incorporated into a device
EP3681102B1 (en) Method for validation of a digital user certificate
DE102009017221A1 (en) Information Rights Management
WO2010026152A1 (en) Method for granting authorization to access a computer-based object in an automation system, computer program, and automation system
EP3876127A1 (en) Remote device maintenance based on distributed data storage
EP2863610A2 (en) Method and system for tamper-proof provision of multiple digital certificates for multiple public keys of a device
DE102020205993B3 (en) Concept for the exchange of cryptographic key information
AT519025B1 (en) Procedure for exchanging data fields of certified documents
EP2491513B1 (en) Method and system for making edrm-protected data objects available
DE102010021655A1 (en) A method for providing EDRM (Enterprise Digital Rights Management) protected data objects
EP3288215A1 (en) Method and device for outputting authenticity certifications and a security module
DE112007000419B4 (en) Digital rights management system with a diversified content protection process
EP3629516A1 (en) Decentralised identity management solution
EP1921556A1 (en) Signature extension
EP3906653B1 (en) Method for issuing a cryptographically protected authenticity certificate for a user
WO2017190857A1 (en) Method and device for protecting device access
EP3881486B1 (en) Method for providing proof of origin for a digital key pair
DE102022000857B3 (en) Procedure for the secure identification of a person by a verification authority
DE102015001817B4 (en) Methods, devices and system for online data backup
WO2022002502A1 (en) Providing a service anonymously
EP3964977A1 (en) Caching of data sets in a distributed database system
WO2021228797A1 (en) Concept for interchanging encrypted data

Legal Events

Date Code Title Description
R002 Refusal decision in examination/registration proceedings
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021240000

Ipc: G06F0021620000

Effective date: 20121206

R003 Refusal decision now final

Effective date: 20121110