DE102013102487A1 - Verfahren und Vorrichtung zur Steuerung des Zugriffs auf digitale Inhalte - Google Patents

Verfahren und Vorrichtung zur Steuerung des Zugriffs auf digitale Inhalte Download PDF

Info

Publication number
DE102013102487A1
DE102013102487A1 DE102013102487.4A DE102013102487A DE102013102487A1 DE 102013102487 A1 DE102013102487 A1 DE 102013102487A1 DE 102013102487 A DE102013102487 A DE 102013102487A DE 102013102487 A1 DE102013102487 A1 DE 102013102487A1
Authority
DE
Germany
Prior art keywords
access
application
network segment
data
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102013102487.4A
Other languages
English (en)
Inventor
Andreas Eugen Apeldorn
Mark Mauerwerk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Priority to DE102013102487.4A priority Critical patent/DE102013102487A1/de
Priority to EP14708904.9A priority patent/EP2973321A1/de
Priority to US14/774,737 priority patent/US20160028717A1/en
Priority to PCT/EP2014/054676 priority patent/WO2014139998A1/de
Publication of DE102013102487A1 publication Critical patent/DE102013102487A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0621Item configuration or customization
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Economics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Development Economics (AREA)
  • Strategic Management (AREA)
  • Marketing (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Verfahren zur Steuerung des Zugriffs auf digitale Daten, umfassend ein mobiles Endgerät mit einer Netzwerkschnittstelle, ein räumlich begrenztes Netzwerksegment, das eine netzwerktechnische Lösung bereitstellt, die zusichert, dass die Lokalisierung des mobilen Endgeräts stattfindet und die Identifikation des Netzwerksegmentes erfolgt kann, ein Nutzungsserver, der den Zugriff auf die digitalen Daten steuert und die Einhaltung spezifischer Rechte zusichert, das Verfahren umfasst die Schritte:
– Erlangen der eindeutigen Identifikation des Netzwerksegmentes, in dem sich das mobile Endgerät befindet,;
– Auswertung der eindeutigen Identifikation an einem Nutzungsserver, der auf der Basis der eindeutigen Identifikation, den Zugriff auf digitale Daten steuert, indem der Anwendung eine Zugriffsliste übergeben wird;
– Anzeigen der digitalen Daten auf dem mobilen Endgerät über die Anwendung.

Description

  • Die Erfindung betrifft ein Verfahren zur Steuerung des Zugriffs auf digitale Daten, umfassend ein mobiles Endgerät mit einer Netzwerkschnittstelle und einem räumlich begrenzten Netzwerksegment.
  • Gebiet der Erfindung:
  • Das Prinzip des klassischen, stationären Zugriffs auf digitalisierbare Inhalte (im Allgemeinen eBooks, eMagazine, ePapers, Musik, Videos, Filme, digitale Vouchers e.a. – im Folgenden E-Contents) ist von einer Vielzahl von Anbietern bekannt wie Apple, Amazon etc.. Dieser Ansatz ist jedoch wenig flexibel.
  • Aus diesem Grunde wurden bereits Entwicklungen in Richtung von ortsgebundenen Ansätzen verfolgt, die es erlauben an bestimmten Orten bestimmte Inhalte zu lesen bzw. Zugriff auf bestimmte Inhalte bzw. Dienste zu erlangen.
  • Die US 20090049057 “METHOD AND DEVICE FOR PROVIDING LOCATION BASED CONTENT DELIVERY” offenbart ein System zum lokationsbasierten Zugriff zur Identifikation von Usern und zur individuellen Bereitstellung von Informationen über Contents.
  • Die EP 1274264 , EP 127464 : „Location Based Content Delivery“ offenbaren eine Lokalisierung, die durch das Endgerät gesteuert wird, in dem eine in dem Endgerät gespeicherte Tabelle aufgerufen wird.
  • Bisherige DRM (Digital Rights managment) sind an einzelne User oder Geräte geknüpft. Sog. Location-Aware Access Control Systeme binden DRM und Zugriffskontrolle zwar an bestimmte Lokationen/Orte – der Rechteinhaber ist dabei selber mobil. Die direkte Bindung von geschützten Inhalten an öffentlich zugängliche Lokationen unabhängig vom momentanen Nutzer ist bisher weder beschrieben noch realisiert – die Lokation ist fix, die Leser können wechseln und dürfen jeweils nur temporär (während der Besuchszeit) die Inhalte, die der lokale Rechteinhaber bereit stellt, verwenden (Metapher = “virtueller Leseraum“). Hieraus ergibt sich, dass es Aufgabe der vorliegenden Erfindung ist, eine solche Steuerung bereitzustellen, die es ermöglicht bestimmte Inhalte einer bestimmten Umgebung zu lesen bzw. darauf zugreifen zu können.
  • Übersicht über die Erfindung
  • Die Erfindung beschreibt eine Lösung für lokationsbasiertes DRM, die einen temporären, ortsabhängigen Zugriff auf geschützte elektronische Multimediainhalte mit Hilfe von mobilen Geräten(im Allgemeinen Smartphones, Tablets, Laptops) unabhängig von einem speziellen Content-Lieferanten erlaubt.
  • Gelöst wird diese Aufgabe durch eine Vorrichtung und Verfahren gemäß den Ansprüchen.
  • Die Erfindung umfasst ein System und ein Verfahren zur Steuerung des Zugriffs auf digitale Daten. Bei diesen digitalen Daten kann es sich nicht nur um klassische Musikdaten, Videodaten, Spiele oder Informationsdaten in geschriebener Form handeln, sondern es können auch aktive an dem Ort erstellte Inhalte (z.B. Blogs oder Diskussionsforen) gemeint sein, die einen Zugriff für lediglich eine beschränkte Menge von Personen erlauben. Die Erfindung bezieht sich zudem nicht nur auf den Abruf, sondern auch auf die Erstellung von digitalen Inhalten – z.B. Reportagen. Der Begriff Daten ist somit nicht lediglich auf herunterladbaren Inhalt zu begrenzen, sondern kann auch dialogorientierte Foren betreffen, die nicht durch reine Daten in statischer Form gekennzeichnet sind. Weiterhin umfasst die Erfindung ein mobiles Endgerät mit einer Netzwerkschnittstelle, das auf ein räumlich begrenztes Netzwerksegment, das eindeutig einem Rechteinhaber an den in dem Netzwerksegment bereit gestellten digitalen Daten zuordenbar ist. In der Regel handelt es sich hierbei um WLAN Netzwerke, jedoch können auch andere Netzwerke wie Bluetooth, GSM Netzwerke bzw. LTTE oder UMTS Netzwerke gemeint sein, die eine Zellstruktur aufweisen, und somit örtlich begrenzt sind. Diese Netzwerksegmente weisen eine eindeutige Identifikation auf, die in der Regel durch ein Gateway dieses Netzwerksegmentes bereitgestellt wird. Die eindeutige Identifikation des Netzwerksegmentes wird genutzt um die Steuerung des Zugriffes auf die digitalen Daten vorzunehmen.
  • Das Verfahren umfasst die Schritte:
    • – Erlangen der eindeutigen Identifikation des Netzwerksegmentes vom lokalen Gateway, in dem sich das mobile Endgerät befindet, durch eine Anwendung, die die digitalen Daten darstellt;
    • – Weiterleiten der eindeutigen Identifikation an einen Nutzungsserver, der auf der Basis der eindeutigen Identifikation, den Zugriff auf digitale Daten steuert, indem der Anwendung eine Zugriffsberechtigung übergeben wird;
    • – Anzeigen der digitalen Daten auf dem mobilen Endgerät über die Anwendung gemäß den vertraglichen Bedingungen der lokal temporär verwendbaren Inhalte.
    • – Sicheres Löschen der Inhalte, nach dem der Ort bzw. die Reichweite des Netzwerksegmentes verlassen wird, mindestens jedoch nach Erlöschen der temporären Leserechte
  • In einer bevorzugten Ausführungsform wird die eindeutige Identifikation des Netzwerksegmentes durch eine Signatur gegenüber dem Nutzungsserver gesichert, so dass ein Missbrauch der Identifikation vermieden wird. So ist die Identifikation des Netzwerksegmentes mit einer Signatur versehen, die der Nutzungsserver überprüft.
  • In einer bevorzugten Ausführungsform stellt der Nutzungsserver einen Token aus, der der Anwendung übergeben wird, nachdem die eindeutige Identifikation erhalten wurde, wobei der Token festlegt, auf welche Daten die Anwendung Zugriff hat, wobei die Anwendung bei jedem Zugriff auf die Daten den Token übermittelt, so dass ein Daten-Server, der die Daten bereitstellt, anhand des Token überprüfen kann, ob die Daten bereitzustellen sind oder nicht. Der Aufbau des Token wird weiter unten beschrieben. Der Token ist in der Regel eine SAML Assertion oder eine vergleichbare Technik die sichere Authentifizierung und Autorisierung ermöglicht. Durch den Token wird festgelegt, welches Netzwerksegment auf welchen Daten Zugriff bekommt. Der Token wird somit für das Netzwerksegment spezifisch zusammengestellt und bildet die Identifikation des Netzwerksegmentes sowie die Rechte des Rechteinhabers in dem Ortsbereiches des Netzwerksegmentes auf die Daten ab, auf die ein Zugriff aus dem Netzwerksegment erfolgen darf.
  • Grundsätzlich sind zwei unterschiedliche Szenarien zu betrachten. In einer bevorzugten Ausführungsform läuft die Anwendung als eine Applikation (APP) auf einem mobilen Endgerät ab. Eine solche Anwendung kann z.B. durch bekannte zentrale Stores wie Market Store, AppStore oder Playstore abgerufen werden. Es ist auch denkbar, dass die Anwendung bereits als integraler Bestandteil der Firmware eines mobilen Endgerätes ausgebildet ist. In diesem Falle erfolgt der Zugriff durch die Anwendung auf das Gateway des Netzwerksegmentes, und die Anwendung fordert den Token vom Nutzungsserver an. Die Anwendung weißt in der Regel einen gesicherten Speicherbereich auf (SandBox) in dem die heruntergeladenen Daten abgespeichert werden, soweit dies notwendig ist. Bevorzugt werden natürlich Daten, die nicht lokal abgespeichert werden müssen oder die lediglich durch Streaming erlangt werden müssen, wobei das Wiedergegebene dann vom Gerät verworfen wird. Sollten jedoch die Daten auch lokal gespeichert werden müssen, so erfolgt dies in einem gesicherten Bereich, auf den lediglich die Anwendung Zugriff hat. Dieser Speicherbereich wird durch die Anwendung nach dem Verlassen des Netzwerksegmentes nicht mehr zugänglich gemacht oder gelöscht. Die Anwendung überwacht somit ebenfalls das Eintreten und Austreten in das Netzwerksegment. Ferner verwaltet die Anwendung auch die Beantragung des Token und die Übermittlung des Token an die Server, die die Daten bereitstellen. Die Anwendung stellt somit eine Schnittstelle zu den Komponenten der Erfindung dar. Hierdurch beschafft sich die Anwendung vom Gateway die Identifikation des Netzwerksegmentes, in dem dieses kontaktiert wird.
  • In einer alternativen Ausführungsform kann die Anwendung auch auf einem Server laufen und das mobile Endgerät ist lediglich ein Anzeigegerät. Dabei läuft die Anwendung auf einem Server, auf dem das mobile Endgerät mit einem Browser zugreift, wobei die Darstellung lediglich auf dem mobilen Endgerät erfolgt, der Zugriff auf die Daten jedoch durch den Server erfolgt. Es werden somit lediglich Darstellungsdaten übertragen und keine inhaltlichen Daten. Die inhaltlichen Daten bleiben auf dem Anwendungsserver, der die gleiche Funktion aufweist, wie es oben bereits beschrieben wurde.
  • Ein (lokales Netzwerksegment), auch ein virtueller Raum genannt, steuert den Zugriff über ein mobiles Gerät auf bestimmte geschützte elektronische Inhalte (E-books, Musik, Dokumente) örtlich und zeitlich begrenzt und vereinigt folgende Eigenschaften:
    • a) Ein mobiles Gerät mit standardisierter Netzwerktechnologie (z.B. WIFI) wird verwendet um den virtuellen Leseraum zu betreten
    • b) An das Netzwerk ist ein location basiertes DRM für elektronische Inhalte angebunden
    • c) Das location basierte DRM ist unabhängig von den verschiedenen Lieferanten für elektronische Inhalte
    • d) Auf dem mobilen Gerät ist eine Anwendung installiert, die mit dem Netzwerk kommuniziert und das DRM auf dem Lesegerät zusichert.
  • Dabei werden folgende Schritte ausgeführt:
    • 1. Das Netzwerk weist einem mobilen Endgerät eine temporäre, lokale Netzwerkadresse zu, dies erfolgt vorzugsweise durch bekannte Mechanismen wie im Falle WIFI durch DHCP. Durch das DHCP kann ebenfalls die Adresse des Gateways mitgeteilt werden, der die entsprechende ID Verwaltung übernimmt. Ferner können Informationen über den Zugriffsserver vermittelt werden, der den Token entsprechend bereitstellt.
    • 2. Die App/Anwendung bekommt eine Zugriffserlaubnis auf die Inhalte mittels eines lokationsspezifischen Token, der nur für den definierten Bereich gültig ist.
    • 3. Über die Anwendung auf dem mobilen Gerät kann an dem Ort des Netzwerksegments auf den Content entsprechend der vertraglichen Regelungen (Bindung an das DRM des spezifischen Content) zugriffen werden.
    • 4. Beim Verlassen des virtuellen Leseraumes wird der lokationsspezifische Token einschließlich etwaiger zwischengespeicherter Inhalte von der App gelöscht und damit der weitere Zugriff auf die Inhalte verhindert
    • 5. Über Sicherheitsmechanismen am lokalen Netzwerk wird die missbräuchliche Nutzung des Content verhindert
    • 6. Ein Mechanismus der den Token ungültig macht, wenn bestimmte lokale Informationen fehlen (z.B. MAC-Adresse, des Gateways) oder IP-Adresse,
    • 7. die App Mechanismen enthält, die auf Wunsch den Erwerb persönlicher Rechte am Content für die Mitnahme erlaubt. In einer weiteren Ausbildungform ist es auch möglich, dass der Anwender den Inhalt mitnehmen kann, indem er diesen entsprechend erwirbt oder andere Erklärungen bzw. Einwilligungen abgibt.
  • Mit der Erfindung können in Lokationen/Ortsbereichen mit kabellosem Netzempfang (i.e. WiFi) geschützte E-Contents temporär freigeschaltet werden. Der Besitzer eines mobilen Gerätes (insb. Smartphones, Tablets & Notebooks) kann in vollem Umfang ohne Authentifizierung auf den E-Content zugreifen, sobald – und solange – er sich in der Lokation aufhält. Verlässt er die Lokation, verfällt auch der Zugriff – es sei denn, der User hat den Content erworben. Das Digital Rights Mangement ist an die Lokation gebunden.
  • Die Idee eines providerunabhängigen, lokationsabhängigen Zugriffs auf Content verknüpft für jeden Nutzer eines mobilen Gerätes die Vorteile des Online Handels (Zugriff auf Contens mit dem eigenen Device) mit den Vorteilen des stationären Handels (i.e. persönliche Beratung, Unterstützung der Kaufentscheidung durch Betrachten und Bewerten des Inhalts). Außerdem bietet lokationsbasierter Zugriff auf Content neue
    • – Servicekonzepte (i. E. "elektronischer Lesezirkel", Zugriff auf e-Contents in Büchereien, Zugriff auf Videos, Musik, Hörbücher etc. mit dem eigenen Gerät in Zügen, Flugzeugen etc.)
    • – und neue Vertriebskonzepte (i. E. eKiosks auf Bahnsteigen, in Hotels, in Unternehmensniederlassungen, Flughäfen...)
    • – Marketingkonzepte (i.e. Gutscheine, die nur innerhalb einer Lokation verfügbar sind)
  • Figurenbeschreibung:
  • Die Figuren zeigen mögliche Ablaufdiagramme der vorliegenden Erfindung.
  • 1 zeigt ein Verfahren mit einer Anwendung auf einem mobilen Endgerät, die einen Token erhält;
  • 2 zeigt ein Verfahren, bei dem der Informationsfluss hinsichtlich der verwendeten Funktionen beschrieben wird;
  • 3 zeigt die Ablaufschritte auf der Anwendung und deren Benutzerinteraktion;
  • 4 zeigt ein Ablaufdiagramm der Anwendung.
  • Beschreibung der Ausführungsform
  • Die 1 zeigt den möglichen Ablauf des Verfahrens. Die folgenden Schritte sind zu beachten.
    • 1. Ein potentieller Kunde als natürliche Person betritt mit seinem Gerät, auf dem die Anwendung als WebApp ausgeführt wird, den „virtuellen Lese-Raum“/Netzwerksegment und bekommt dynamisch eine lokale Netzwerkadresse zugewiesen.
    • 2. Die App sendet, sobald die lokale Netzwerkadresse zugewiesen ist, eine Nutzungsanfrage an die zentrale Nutzungssteuerung. Die Adresse für die zentrale Nutzungsteuerung kann ebenfalls aus den DHCP Informationen erlangt werden. Da die Nutzungsrechte der geschützten Inhalte über den lokalen Rechteinhaber gehalten werden, ist eine lokale Zugriffssteuerung erforderlich. Um Missbrauch zu vermeiden, kommen ggf. weitere Schutzmechanismen zur Absicherung der Kommunikation mit der zentralen Nutzungssteuerung über das lokale Gateway zum Einsatz (z.B. Authentifizierungstechniken wie HMAC, RFC 2104). Die zentrale Nutzungssteuerung ermittelt Rechte und Zugänge für den Zugriff der Lokation auf den Inhaltsserver und generiert einen lokationsspez. Token, der an die APP übergeben wird.
    • 3. Nur mit dem Token erhält das mobile Gerät temporäre Leseberechtigung. Die App stellt sicher, dass nach Ablauf der Leseberechtigung (i.R. nach Verlassen des lokalen Netzes) der Token verfällt und der Zugriff auf den Content wird durch die lokale Nutzungssteuerung verhindert.
  • Eine Übersicht über den Inhalt stellt ebenfalls die App bereit, hierbei werden zum Beispiel in Kategorien und Listen unterschiedliche Bereiche und Arten von Inhalten angezeigt, die der Benutzer dann über eine Menüstruktur auswählen kann.
  • Die in den Schaubildern dargestellte Verteilung der Komponenten stellt jeweils eine der möglichen Varianten dar. Die Einhaltung der digitalen Rechte erfordert das Zusammenspiel zwischen der lesenden Anwendung (entweder auf dem Client oder als Web-Anwendung) und der zentralen Nutzungssteuerung, die den Zusammenhang zwischen dem Rechteinhaber an der Lokation, der eindeutig identifizierten Lokation und den Zugriff auf die entsprechend der vertraglichen Regelungen zugesicherten multimedialen Inhalte regelt. Logisch sind dazu folgende Komponenten erforderlich:
    • • Lesende App: Entweder auf dem mobilen Endgerät als Thick Client oder als Web-Anwendung. Das Zusammenspiel mit der zentralen Nutzungsteuerung muss entsprechend abgesichert sein, damit die Einhaltung der digitalen Rechte zugesichert werden kann
    • • Zentralle Nutzungssteuerung: Die Zentrale Nutzungssteuerung mapped die Identifyer der Lokationen auf die jeweiligen Zugänge der Rechteinhaber (Authentifizierung), wertet die Rechte an den Inhalten aus (Autorisierung) und liefert dem Client einen entsprechenden Token für den Zugriff auf die Inhalte zurück. Je nach nichtfunktionalen Gegebenheiten kann der Zugriff direkt vom Client oder über das Gateway erfolgen. Zur Absicherung kommen gängige Verschlüsselungsmechanismen wie SSL in synchronen oder asynchronen Verfahren zum Einsatz.
    • • Zugänge: Die Zugänge werden in der Regel über einen Verzeichnisdienst im Rahmen eines Identity Management verwaltet. Da unterschiedliche Contentarten zum Einsatz kommen, sind auch entsprechend unterschiedliche Zugangsarten zu verwalten.
    • • Gateway: Die technische Komponente, die die Vergabe einer lokationsspezfischen ID sicherstellt. Die ID kann dabei beliebig zusammengesetzt sein (z.B. ein für die Lokation eindeutiger Netzwerkbereich oder ein Identifier, der vom Netzwerkprovider eindeutig zugeteilt wird, wie Location ID oder Service ID). Diese, das lokale Netzwerk identifizierende ID, wird dem Client auf Anfrage in der Response/Antwort mitgeteilt und wird von der zentralen Nutzungssteuerung auf den tatsächlichen Rechteinhaber an der Lokation gemapped.
    • • Inhaltsserver/Digitale Inhalte: Die Inhalte werden vom Content-Lieferanten zur Verfügung gestellt. Die zentrale Nutzungsteuerung stellt gemäß den vertraglichen und technischen Gegebenheiten im Zusammmenspiel mit den Content-Lieferanten den ordnungsgemäßen Zugriff sicher. Der Zugriff erfolgt entweder auf entsprechend vorprozessierte Inhalte direkt auf ein Repository oder über eine Schnittstellentechnik auf die Inhalte.
    • • Lokation: Grundsätzliche alle lokal begrenzte Netzwerkbereiche, die eindeutig lokalisierbar sind. Folgende Netzwerktechnologien bieten sich nach heutigem Stand der Technik an: – DSL – Jeder lokalisierbare WIFI-Netzwerkbereich – HotSpot – Mobile Zellen, insbes. eindeutig räumlich begrenzbare Pico- oder Femtozellen – Geocaching – Bluetooth – NFC
  • Die Nutzungssteuerung an der Lokation kann entweder als Web-Lösung mit der Kernfunktionalität im Gateway oder als App (Thick Client) mit der Kernfunktionalität in der App realisiert werden. In jedem Fall liegt die Verteilung der Komponenten der lokationsspez. Nutzungssteuerung (z.B. über App Store oder Gateway als Appliance) im Verantwortungsbereich des Plattformanbieters und bildet ein in sich geschlossenes System. Eine der möglichen Verteilungen ist im Schaubild dargestellt.
  • Das Token enthält inhaltlich im Wesentlichen die Information einer SAML Assertion (Security Assertion Markup Language), ein Standard zum Austausch von Authentifizierungs- und Autorisierungsinformationen, Bsp. siehe Anhang, Referenz zum Standard: https://www.oasisopen.org/committees/tc_home.php?wg_abbrev=security).
  • Da im Sinne eines DRM alle Komponenten zur Nutzungskontrolle durch uns als Service Provider angeboten werden sollen, kann intern mit einer symmetrischen Signatur unter Verwendung eines shared Secret gearbeitet werden. Wenn allerdings die Komponenten bei unterschiedlichen Anbietern stehen, so kann auch ein anderes Verfahren verwendet werden.
  • Eine Bindung an das Gateway ist hier logisch gemeint. Technisch kann das Gateway je nach Einsatzszenario auch außerhalb der Kontrolle der Nutzungssteuerung sein.
  • Die eigentliche Steuerung des Zugriffs auf die Inhalte erlaubt nur die zentrale Nutzungssteuerung. Das Gateway ist grundsätzlich nichts anderes als ein lokales „Einganstor“ für das mobile Gerät. Allerdings muss netzwerktechnisch die „Location“ identifiziert werden. Das Gateway liefert an die App die sog. „Location ID“. Die Ermittlung der ID muss abgesichert sein. Nur wenn die App eine gesicherte Location-ID hat, bekommt sie von der zentralen Nutzungssteuerung den Token. Das Gateway bezeichnet hier somit logisch eine netzwerktechnisch Lösung, die zusichert, dass die Lokalisierung des mobilen Endgeräts stattfindet und die Lokation eindeutig identifiziert werden kann.
  • Nur die zentrale Nutzungssteuerung hat Kenntnis über die den Lokationen zugeordneten Rechteinhaber und ermittelt dementsprechend die Inhalte.
  • Das ist hier generisch formuliert, da wir außer WLAN auch weitere Netzwerktechnologien nutzen wollen (z.b. Picozellen, Geocaching, Bluetooth, NFC – s.o.). D.h. die Logik des Mechanismus bleibt überall gleich, nur die konkrete technische Umsetzung kann variieren.
  • Die App zeigt nur die an der Lokation verfügbaren Inhalte (Metapher “lokales Bücherregal“) vorbehaltlich, dass sie einen gültigen Token bekommt und stellt sicher, dass nach dem Verlassen der Lokation (Erlöschen der Leseberechtigung), kein weiterer Zugriff möglich ist.2 zeigt den sequentiellen Ablauf unter Verwendung der oben beschriebenen logischen Komponenten:
    • • Nachdem der Anwender mit seinem mobilen Gerät, den lokalen Netzwerkbereich betreten hat, fordert die App einen eindeutigen Identifier für die Lokation am Gateway an.
    • • Im nächsten Schritt sendet die App über eine verschlüsselte Verbindung die Netzwerk ID an die zentrale Nutzungssteuerung.
    • • Die Zentrale Nutzungssteuerung ermittelt die ID des Rechteinhabers an der Lokation und erfragt beim IDM die Zugriffsrechte auf geschützte elektronische Inhalte. Das temporäre Token wird an die App zurückgesendet.
    • • Mit dem temporären Token erhält die App Zugriff auf die an der Lokation verfügbaren Inhalte. Ob die App direkt Zugriff auf den/die Content-Server erhält hängt von den netzwerktechnischen Gegebenheiten ab. In der Praxis sind je nach Schutzbedarfsanforderung verschiedene Schutzmechanismen denkbar.
  • Die Abbildungen 35 zeigen wie die Technologie innerhalb einer App verwendet werden kann, die ortsgebunden elektronische Bücher, Zeitungen oder Hörbücher bereitstellt. Die 3 zeigt Folgendes: Nach dem Öffnen der Anwendung bekommt der Benutzer entweder
    • a) Sofort und ohne weitere, persönliche Autorisierung die für diese Lokation freigeschalteten Inhalte angezeigt, sofern das verwendete Netzwerk durch das in 2 beschriebene Verfahren und hier als „Beziehe Token“ beschriebene Verfahren autorisiert wird, um auf Inhalte zuzugreifen („Zeige Inhaltsübersicht“).
    • b) Einen Lokation Finder angezeigt, der darstellt welche Inhalte an welchen Lokationen verfügbar sind.
    • c) Eine Einleitung zum erstmaligen Gebrauch der Anwendung angezeigt, sofern er die Anwendung zum ersten Mal öffnet.
  • Die 4 zeigt, dass der Benutzerim Falle einer Autorisierung die Inhalte vollständig einsehen und nutzen kann.
  • Im Hintergrund (5) überprüft die App regelmäßig, ob die Autorisierung noch Bestand hat, indem sie die Gültigkeit des Tokens prüft. Ist der Token noch gültig, können die Inhalte weiter verwendet werden. Ist der Token nicht mehr gültig, erscheint eine Warnmeldung. Gleichzeitig wird die Zeit ohne gültigen Token bis zu einem festgelegten Grenzwert aufaddiert. Liegt die Zeit ohne gültigen Token über dem Grenzwert („Zeitverzögerung ohne gültigen Token über dem Grenzwert?“), werden die Inhalte aus dem Cache gelöscht („Entferne Inhalte“). Es erscheint wieder der Lokationsfinder.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 20090049057 [0004]
    • EP 1274264 [0005]
    • EP 127464 [0005]
  • Zitierte Nicht-Patentliteratur
    • RFC 2104 [0024]
    • https://www.oasisopen.org/committees/tc_home.php?wg_abbrev=security) [0028]

Claims (10)

  1. Verfahren zur Steuerung des Zugriffs auf digitale Daten, umfassend ein mobiles Endgerät mit einer Netzwerkschnittstelle, ein räumlich begrenztes Netzwerksegment, dass eine netzwerktechnische Lösung bereitstellt, die zusichert, dass die Lokalisierung des mobilen Endgeräts in dem Netzwerksegment stattfindet und die Identifikation des Netzwerksegmentes erfolgen kann, ein Nutzungsserver, der den Zugriff auf die digitalen Daten steuert und die Einhaltung spezifischer Rechte zusichert, das Verfahren umfasst die Schritte: – Erlangen der eindeutigen Identifikation des Netzwerksegmentes, in dem sich das mobile Endgerät befindet,; – Auswertung der eindeutigen Identifikation an einem Nutzungsserver, der auf der Basis der eindeutigen Identifikation den Zugriff auf digitale Daten steuert, indem der Anwendung eine Zugriffsliste übergeben wird; – Anzeigen der digitalen Daten auf dem mobilen Endgerät über die Anwendung.
  2. Das Verfahren nach dem vorhergehenden Anspruch, wobei die eindeutige Identifikation des Netzwerksegmentes durch eine Signatur gegenüber dem Nutzungsserver gesichert wird, so dass ein Missbrauch der Identifikation vermieden wird.
  3. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei der Nutzungsserver einen Token ausstellt, der der Anwendung übergeben wird, nachdem die eindeutige Identifikation erhalten wurde, wobei der Token festlegt, auf welche Daten und unter welchen Bedingungen die Anwendung Zugriff hat, wobei die Anwendung bei jedem erneuten -Zugriff auf die Daten den Token übermittelt, so dass ein Daten-Server, der die Daten bereitstellt, anhand des Token überprüfen kann, ob die Daten bereitzustellen sind oder nicht.
  4. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Anwendung auf einem Server läuft, auf den das mobile Endgerät mit einem Browser zugreift, wobei die Darstellung lediglich auf dem mobilen Endgerät erfolgt, der Zugriff auf die Daten jedoch durch den Server erfolgt.
  5. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Anwendung auf dem mobilen Endgerät läuft und den Zugriff auf die Daten über die Anwendung erfolgt.
  6. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Daten, nachdem sie durch die Anwendung heruntergeladen wurden, in einem durch die Anwendung gesicherten Bereich und/oder Sandbox zwischengespeichert werden, wobei ein Zugriff auf diesen gesicherten Bereich nur mit einem zulässigen Token möglich ist.
  7. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei der Token seine Gültigkeit verliert, wenn das mobile Endgerät das Netzwerksegment verlässt.
  8. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Anwendung vom lokalen Netzwerksegment mit Hilfe eines Gateways, der den Zugriff auf das Netzwerksegment und die Identifikation des Netzwerks verwaltet, die Identifikation des Netzwerksegmentes erlangt, indem dieser kontaktiert wird.
  9. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die elektronischen Inhalte auch direkt im lokalen Netzwerk der Lokation abgelegt sein können, sofern die Lokation selber die Einhaltung der digitalen Zugriffsrechte sicherstellen kann und gleichzeitig eigenständig die abgesicherte Kommunikation mit dem Client durchführen kann.
  10. System umfassend ein mobiles Endgerät und einen Zugriffs-Server und ein räumlich begrenztes Netzwerksegment, gekennzeichnet durch eine Struktur und Einrichtung, die den Ablauf des Verfahrens nach einem oder mehreren der vorhergehenden Verfahrens-Ansprüche.
DE102013102487.4A 2013-03-12 2013-03-12 Verfahren und Vorrichtung zur Steuerung des Zugriffs auf digitale Inhalte Withdrawn DE102013102487A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102013102487.4A DE102013102487A1 (de) 2013-03-12 2013-03-12 Verfahren und Vorrichtung zur Steuerung des Zugriffs auf digitale Inhalte
EP14708904.9A EP2973321A1 (de) 2013-03-12 2014-03-11 Verfahren und vorrichtung zur steuerung des zugriffs auf digitale inhalte
US14/774,737 US20160028717A1 (en) 2013-03-12 2014-03-11 Method and device for controlling the access to digital content
PCT/EP2014/054676 WO2014139998A1 (de) 2013-03-12 2014-03-11 Verfahren und vorrichtung zur steuerung des zugriffs auf digitale inhalte

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013102487.4A DE102013102487A1 (de) 2013-03-12 2013-03-12 Verfahren und Vorrichtung zur Steuerung des Zugriffs auf digitale Inhalte

Publications (1)

Publication Number Publication Date
DE102013102487A1 true DE102013102487A1 (de) 2014-09-18

Family

ID=50239654

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013102487.4A Withdrawn DE102013102487A1 (de) 2013-03-12 2013-03-12 Verfahren und Vorrichtung zur Steuerung des Zugriffs auf digitale Inhalte

Country Status (4)

Country Link
US (1) US20160028717A1 (de)
EP (1) EP2973321A1 (de)
DE (1) DE102013102487A1 (de)
WO (1) WO2014139998A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3142338A1 (de) * 2015-09-11 2017-03-15 Deutsche Telekom AG Ortsgebundene bereitstellung eines dienstes in einem netzwerk
DE202019106136U1 (de) 2019-11-05 2019-12-05 Service Layers GmbH System zur Ausführung eines Identity und Access Managements
DE102019129762B3 (de) * 2019-11-05 2020-10-15 Service Layers GmbH Verfahren und System zur Ausführung eines Identity und Access Ma-nagement Systems
EP3819798A1 (de) 2019-11-05 2021-05-12 Service Layers GmbH Verfahren und system zur ausführung eines identity und access management systems

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014116183A1 (de) * 2014-11-06 2016-05-12 Bundesdruckerei Gmbh Verfahren zum Bereitstellen eines Zugangscodes auf einem portablen Gerät und portables Gerät
US10505850B2 (en) 2015-02-24 2019-12-10 Qualcomm Incorporated Efficient policy enforcement using network tokens for services—user-plane approach
US20170339100A1 (en) * 2016-05-18 2017-11-23 Empire Technology Development Llc Device address update based on event occurrences
US10342445B2 (en) * 2016-11-03 2019-07-09 Medtronic Monitoring, Inc. Method and apparatus for detecting electrocardiographic abnormalities based on monitored high frequency QRS potentials
CN110753512A (zh) 2017-06-23 2020-02-04 史密夫及内修公开有限公司 实施传感器的伤口监测或治疗的传感器定位

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0127464A2 (de) 1983-05-30 1984-12-05 Daniel Benjamin Moolman Abort
EP1274264A1 (de) 2001-07-03 2003-01-08 Nortel Networks Limited Bereitstellung von positionsabhängigen Inhalten
US20060059096A1 (en) * 2004-09-16 2006-03-16 Microsoft Corporation Location based licensing
US20060173782A1 (en) * 2005-02-03 2006-08-03 Ullas Gargi Data access methods, media repository systems, media systems and articles of manufacture
US20090049057A1 (en) 2006-01-19 2009-02-19 Rod Ghani Method and device for providing location based content delivery

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7103351B2 (en) * 2003-06-23 2006-09-05 July Systems Inc. Policy service system and methodology
US20070116288A1 (en) * 2005-11-18 2007-05-24 Oktay Rasizade System for managing keys and/or rights objects
CN101529866A (zh) * 2006-08-17 2009-09-09 核心移动公司 本地无线网接入点和移动设备间基于呈现的通信
WO2011041916A1 (en) * 2009-10-09 2011-04-14 Quickplay Media Inc. Digital rights management in a mobile environment
US9330275B1 (en) * 2013-03-28 2016-05-03 Amazon Technologies, Inc. Location based decryption

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0127464A2 (de) 1983-05-30 1984-12-05 Daniel Benjamin Moolman Abort
EP1274264A1 (de) 2001-07-03 2003-01-08 Nortel Networks Limited Bereitstellung von positionsabhängigen Inhalten
US20060059096A1 (en) * 2004-09-16 2006-03-16 Microsoft Corporation Location based licensing
US20060173782A1 (en) * 2005-02-03 2006-08-03 Ullas Gargi Data access methods, media repository systems, media systems and articles of manufacture
US20090049057A1 (en) 2006-01-19 2009-02-19 Rod Ghani Method and device for providing location based content delivery

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
https://www.oasisopen.org/committees/tc_home.php?wg_abbrev=security)
RFC 2104

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3142338A1 (de) * 2015-09-11 2017-03-15 Deutsche Telekom AG Ortsgebundene bereitstellung eines dienstes in einem netzwerk
DE102015115386A1 (de) * 2015-09-11 2017-03-16 Deutsche Telekom Ag Ortsgebundene Bereitstellung eines Dienstes in einem Netzwerk
DE102015115386B4 (de) * 2015-09-11 2018-01-04 Deutsche Telekom Ag Ortsgebundene Bereitstellung eines Dienstes in einem Netzwerk
DE202019106136U1 (de) 2019-11-05 2019-12-05 Service Layers GmbH System zur Ausführung eines Identity und Access Managements
DE102019129762B3 (de) * 2019-11-05 2020-10-15 Service Layers GmbH Verfahren und System zur Ausführung eines Identity und Access Ma-nagement Systems
EP3819798A1 (de) 2019-11-05 2021-05-12 Service Layers GmbH Verfahren und system zur ausführung eines identity und access management systems
WO2021089083A1 (de) 2019-11-05 2021-05-14 Service Layers GmbH Verfahren und system zur ausführung eines identity und access management systems

Also Published As

Publication number Publication date
US20160028717A1 (en) 2016-01-28
EP2973321A1 (de) 2016-01-20
WO2014139998A1 (de) 2014-09-18

Similar Documents

Publication Publication Date Title
DE102013102487A1 (de) Verfahren und Vorrichtung zur Steuerung des Zugriffs auf digitale Inhalte
US9225704B1 (en) Unified management of third-party accounts
DE102016012835B4 (de) Automatisches Identifizieren einer verringerten Verfügbarkeit von Vielkanalmedienverteilern zur Authentisierung oder Autorisierung
DE112013006286B4 (de) Verfahren und System zur Authentifizierung und zum Betreiben persönlicher Kommunikationsgeräte über Netzwerke der öffentlichen Sicherheit
DE102015101240A1 (de) Drahtlosleistungssendeeinrichtungen, verfahren zum signalisieren von zugangsinformationen für ein drahtloskommunikationsnetz und verfahren zum autorisieren einer drahtlosleistungsempfangseinrichtung
EP2646940B1 (de) Verfahren zur ortsbeschränkten anzeige lesbarer inhalte auf einem mobilen lesegerät
DE102016102434A1 (de) Selektives Bereitstellen von Inhalten an innerhalb einer virtuellen Umfangslinie befindlicher Benutzer
DE102018131480B4 (de) Zugangssystem zum Leiten einer vernetzten Vorrichtung zu einer fahrzeugintern gespeicherten Landing-Page basierend auf einem verfügbaren Guthaben oder einem Datensaldo
DE112015005861B4 (de) Verfahren und Vorrichtung, um Mehrbehördenrespondern Zugang zu lokalen Diensten und Anwendungen zur Verfügung zu stellen
WO2016206671A2 (de) Netzwerkkontrollgerät
DE112017002794T5 (de) Verfahren und vorrichtung zum ausstellen eines berechtigungsnachweises für ein incident area network
DE112021002201T5 (de) Datenschutzorientierte Datensicherheit in einer Cloud-Umgebung
CN103209107B (zh) 一种实现用户访问控制的方法
EP3857405A1 (de) Datenbanksystem für ein soziales netzwerk mit verwendung von blockchain-technologie
EP3142338B1 (de) Ortsgebundene bereitstellung eines dienstes in einem netzwerk
WO2008006889A2 (de) Verfahren und anordnung zur realisierung von zugangsnetzwerken zu einem öffentlichen netzwerk
DE102005027219A1 (de) Verfahren zur Funktionsüberwachung bei einer medizinischen Großanlage
DE102013202339A1 (de) Vorrichtung und Verfahren zum Verwalten von Zugangscodes
WO2007079792A1 (de) Verfahren und vorrichtung zum mobilfunknetzbasierten zugriff auf in einem öffentlichen datennetz bereitgestellten und eine freigabe erfordernden inhalten
EP2739008B1 (de) Verfahren zum Bereitstellen von lokal gespeicherten Content-Daten für ein mobiles Endgerät
EP1845689B1 (de) Verfahren und kommunikationssystem zum bereitstellen eines personalisierbaren zugangs zu einer gruppe von einrichtungen
EP2068530B1 (de) Verfahren und Kommunikationssystem zum Steuern des Zugangs zu Medieninhalten in Abhängigkeit des Alters eines Nutzers
DE202016107173U1 (de) Automatische Datenbeschränkungen auf der Grundlage von Signalen
EP1555846B1 (de) Verfahren zur Fernschaltung von Diensten
AT13290U1 (de) Verfahren und System zum Bereitstellen von Daten auf einem Endgerät

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R120 Application withdrawn or ip right abandoned