WO2011147693A1 - Method for providing edrm-protected (enterprise digital rights management) data objects - Google Patents

Method for providing edrm-protected (enterprise digital rights management) data objects Download PDF

Info

Publication number
WO2011147693A1
WO2011147693A1 PCT/EP2011/057762 EP2011057762W WO2011147693A1 WO 2011147693 A1 WO2011147693 A1 WO 2011147693A1 EP 2011057762 W EP2011057762 W EP 2011057762W WO 2011147693 A1 WO2011147693 A1 WO 2011147693A1
Authority
WO
WIPO (PCT)
Prior art keywords
data object
computer
edrm
key
identification information
Prior art date
Application number
PCT/EP2011/057762
Other languages
German (de)
French (fr)
Inventor
Rainer Falk
Steffen Fries
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2011147693A1 publication Critical patent/WO2011147693A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]

Definitions

  • the present invention relates to a method and a sys tem for providing ⁇ EDRM (Enterprise Digital Rights Ma ⁇ management) protected data objects.
  • payload data may be control data from multiple machines that interact with each other. It is thus possible, for example, that a large number of production machines for producing a product communicate with one another at a production site and also exchange data with remote production sites and / or suppliers. Here, individual recipients, such as suppliers, certain rights to the transmitted data will be granted. So it is possible that a customer of a production company transmits construction plans of a component. This is to ensure that the production company only reads out the corresponding construction plans, but does not change or pass them on.
  • Digital rights management realizes an access protection on documents, regardless of a storage location of the documents.
  • a protected document can only be opened and edited by an authorized user in accordance with his access rights, regardless of which storage device the document was stored on or to which arithmetic unit the document was sent.
  • An unauthorized outsider, which no access rights have been endures overall can, with a copy of the document received any unau ⁇ torinstrumente information.
  • documents are encrypted according to at least one encryption algorithm.
  • the publisher additionally defines the rights of specific users or groups in the content of the document, which are summarized in a license information, also known as issuance license.
  • the encrypted file is sent together with the license information to a server.
  • the license information may describe, for example, that a third party, such as a configuration machine GeWiS ⁇ se parts of a construction plan to read, print and / or may store.
  • the license information may include a symmetric key used to encrypt and decrypt the document. Since this very key represents secret information, the license information can be encrypted with the public key of the server and the publisher can digitally sign the license information.
  • the license information can be stored and maintained centrally on a server. However, the license information can also be accommodated in a file with the encrypted document, whereby only a less dynamic rights management is made possible.
  • the access-protected document will read from ⁇ .
  • the client can take over the communication with the server in order to determine the symmetric key and the rights of a present document.
  • the client can the rights to another readout unit wei ⁇ ter sacrifice provided for the observance of the rights read.
  • a decryption of the document can be carried out by the client, which also carries out a possibly required re-encryption at a later time.
  • the publisher or rights holder must therefore regularly have a communication link to the EDRM server. Only then is it possible to register the corresponding EDRM protected data object on the EDRM server in the manner described above.
  • industrial devices often do not have a network connection or are merely connected to a separate manufacturing network from which an EDRM server can not be reached.
  • a data object key for decrypting the data object as a function of a data identification Information of the data object and the device identification ⁇ information by means of a key derivation function
  • an EDRM protected data object is generated offline by the first computer, without an existing connection to the EDRM server.
  • a user authorized by the EDRM server in this case the second computer, can open the EDRM-protected data object.
  • a EDRM server receives according to the invention of a new EDRM protected document only aware when a client than two ⁇ ter computer requests a license to use this data object. From the information of the requesting client as a second computer and stored configuration information, such as default policies that lack of use authorizations and obj be ektgresl determined to derive a EDRM- license information to erzeu ⁇ gen.
  • the system according to the invention for providing at least one EDRM (Enterprise Digital Rights Management) protected
  • Data object includes a first calculator that provides a two-th ⁇ computer an encrypted data object.
  • the system comprises an EDRM server, which is set up to carry out the following steps on request of the second computer after a successful authentication of the second computer:
  • a data object key for decrypting the data object as a function of a data identification Information of the data object and the device identification ⁇ information by means of a key derivation function
  • Figure 1 is a schematic representation of a worndia- gram of a first embodiment of the method according OF INVENTION ⁇ dung,
  • Figure 2 is a schematic representation of a worndia- grams of a second embodiment of the method according OF INVENTION ⁇ dung.
  • an EDRM protected data object is generated offline by a first computer without a connection to the EDRM server.
  • the EDRM protected data object is then transmitted to a second computer, for example a maintenance and diagnostic computer, from the first computer. Since the data object is in encrypted form, it can not be processed by the second computer. Therefore, the second computer authenticates itself against a EDRM- server and transmits as part of the request, the data ⁇ identification information and the device identification information to the server EDRM-.
  • the EDRM server checks the access authorization of the second computer to the data output by the first computer. Since the EDRM protected data object is not known at the EDRM servers that access ⁇ right be proven from a device-dependent policy. Based on the obtained data identification information and the equipment In addition, the data object key is determined.
  • FIG. 1 shows a flow diagram of a first exemplary embodiment of the inventive method with a Ma ⁇ machine 101, which is for example an X-ray device or a Ge ⁇ advises manufacturing control. Depicted is still a service device 102 and an EDRM server 103.
  • the service device 102 requests service data from the machine 101, for example, for maintenance or diagnostics 104. This service data is provided in EDRM protected form by the machine 101.
  • the machine 101 is determined, the requested service data and generates a corresponding réelleenidentifi- z istsinformation Doc-ID 105.
  • the machine determines 101 the associated document key Docek using a key derivation function depending on a EDRM device key EDevK and Dokumentenidentifizie ⁇ approximate information Doc ID 105.
  • this document key Docek the document content, ie the determined service data encrypted, 105.
  • the thus EDRM protected docu ⁇ ment is 106.
  • transmitted to the service unit 102 is possible because ⁇ in that the entire Document content, ie the ge ⁇ entire service data, or only a part of the document content, ie only a part of the service data is encrypted with the key DocEK.
  • several variant are possible because ⁇ in that the entire Document content, ie the ge ⁇ entire service data, or only a part of the document content, ie only a part of the service data is encrypted with the key DocEK.
  • the service device 102 can not initially open the document because it is in encrypted form. Initially, therefore, the service device 102 authenticates itself to the EDRM server 103 (ERM-S) in steps 107 and 108.
  • the authorization of the service device 102 is checked 110 by the EDRM server 103 on request 109 by the service device 102. If the service device 102 protected to use the EDRM document entitled it receives subsequent ⁇ chd of the EDRM server license information 111.
  • This License Information con- tains the document key Docek, and should receive, justifying ⁇ supply information which rights the authenticated service Device 102 are granted. Such usage rights include, for example, printing, copying, displaying or modifying the document or part of the document.
  • the EDRM server determines the document key used Docek from the document identification information Doc ID and EDRM device key EDevK the machine 101.
  • the document identification information Doc ID determines the EDRM server from the request of the service device 102 currencies ⁇ rend the EDevK the EDRM server already exists.
  • the EDRM server finally determines the usage rights assigned to the EDRM document on the basis of the device identification information of the machine 101 contained in or from the document identification information Doc-ID.
  • the EDRM server creates an entry for this document in its database.
  • FIG. 2 shows a further exemplary embodiment of the present invention, in which a service manager 201 is additionally provided.
  • a service manager 201 is additionally provided.
  • the same process steps and network components are provided in FIG. 2 with the same reference numerals as in FIG.
  • the service device 102 does not have the authority to open the EDRM protected document 202.
  • the EDRM-protected data is therefore from the service device
  • the service manager 201 then authenticates itself to the EDRM server 102 in steps 204 and 205. If the service manager 201 is authenticated, the EDRM server will authenticate 203 to the service manager 201
  • Key Derivation Function for example, an HMAC-SHA1 function is used, in which the device identification information and the data identification information are received as input parameters.
  • HMAC-SHA1 function As a key derivation function (Key Derivation Function), for example, an HMAC-SHA1 function is used, in which the device identification information and the data identification information are received as input parameters.
  • HMAC-SHA1 function As a key derivation function (Key Derivation Function), for example, an HMAC-SHA1 function is used, in which the device identification information and the data identification information are received as input parameters.
  • the document identification information Doc-ID comprises, for example, a pseudorandom or continuously document-specific identifier.
  • an identifier determined for example by means of a hash function from the document content or the creation time ⁇ point (date / time)
  • an identifying information of the issuing computer used to create the document identification information.
  • the identifying information of the issuing computer is, for example, a computer name, an IP address, a MAC address or a secondary address. rien number.
  • identification information of the assigned EDRM server can be included in the creation of the document identification information.
  • the document identification information can be represented in the following format, for example:
  • Doc-Id :: ⁇ document identifier> '@' ⁇ host ID>.
  • EDRM-protected documents offline.
  • Offline means that there is no communication connection to an EDRM server.
  • a EDRM server is not available, for example, because it is located in a different network segment, such as an office network, or because the industrial system does not support online pharmacy ⁇ ne communication with a backend system, or because the communication takes place semi-online, ie, there is only a limited online connection.
  • Client to display / evaluate the EDRM protected data to communicate online with the EDRM server.

Abstract

An EDRM-protected data object is produced by a first computer offline without there being a connection to the EDRM server. The EDRM-protected data object is then transmitted to a second computer. Since the data object is in encrypted form, it cannot be edited by the second computer. The second computer therefore authenticates itself to an EDRM server and, as part of the request, transmits the data identification information and the device identification information from the first computer to the EDRM server. The EDRM server checks the access authorization of the second computer for the data which are output by the first computer. Since the EDRM-protected data object is not known on the EDRM server, the access rights are allocated using a device-dependent policy and the key for decrypting the data object is ascertained.

Description

Beschreibung description
Verfahren zum Bereitstellen von EDRM (Enterprise Digital Rights Management) geschützten Datenobjekten A method for providing EDRM (Enterprise Digital Rights Management) protected data objects
Die vorliegende Erfindung betrifft ein Verfahren und ein Sys¬ tem zum Bereitstellen von EDRM (Enterprise Digital Rights Ma¬ nagement) geschützten Datenobjekten. In Anwendungen der Automatisierung, Signalverarbeitung und Telekommunikation kommt es häufig vor, dass Nutzdaten vor fremdem Zugriff geschützt werden sollen. Bei Nutzdaten kann es sich zum Beispiel um Steuerungsdaten von mehreren Maschinen handeln, welche miteinander interagieren . So ist es zum Beispiel möglich, dass an einer Fertigungsstätte eine Viel¬ zahl von Produktionsmaschinen zur Fertigung eines Produktes miteinander kommuniziert und ferner Daten mit entfernten Produktionsstätten und/oder Lieferanten austauschen. Hierbei sollen einzelnen Empfängern, wie zum Beispiel Lieferanten, bestimmte Rechte auf die übermittelten Daten zugestanden werden. So ist es möglich, dass ein Kunde einer Produktionsfirma Konstruktionspläne eines Bauelementes übermittelt. Hierbei soll sichergestellt werden, dass die Produktionsfirma die entsprechenden Konstruktionspläne lediglich ausliest, nicht jedoch ändert oder weitergibt. The present invention relates to a method and a sys tem for providing ¬ EDRM (Enterprise Digital Rights Ma ¬ management) protected data objects. In applications of automation, signal processing and telecommunications, it often happens that user data should be protected against unauthorized access. For example, payload data may be control data from multiple machines that interact with each other. It is thus possible, for example, that a large number of production machines for producing a product communicate with one another at a production site and also exchange data with remote production sites and / or suppliers. Here, individual recipients, such as suppliers, certain rights to the transmitted data will be granted. So it is possible that a customer of a production company transmits construction plans of a component. This is to ensure that the production company only reads out the corresponding construction plans, but does not change or pass them on.
Eine digitale Rechteverwaltung realisiert einen Zugriffschütz auf Dokumente, unabhängig von einem Speicherort der Dokumente. Ein geschütztes Dokument kann von einem autorisierten An- wender nur entsprechend seiner dafür geltenden Zugriffsrechte geöffnet und bearbeitet werden, unabhängig davon, auf welcher Speichervorrichtung das Dokument gespeichert wurde oder an welche Recheneinheit das Dokument versandt wurde. Ein nicht autorisierter Außenstehender, dem keine Zugriffsrechte ge- währt wurden, kann mit einer Kopie des Dokuments keine unau¬ torisierte Information erhalten. In herkömmlichen Verfahren zur digitalen Rechteverwaltung erfolgt eine Verschlüsselung von Dokumenten gemäß mindestens einem Verschlüsselungsalgorithmus. Der Herausgeber definiert zusätzlich die Rechte spezifischer Benutzer oder Gruppen am Inhalt des Dokuments, welche in einer Lizenzinformation, auch Issuance License genannt, zusammengefasst werden. Die ver¬ schlüsselte Datei wird mitsamt der Lizenzinformation an einen Server übersendet. Die Lizenzinformation kann beispielsweise beschreiben, dass ein Dritter, zum Beispiel eine Konfigurationsmaschine, gewis¬ se Teile eines Konstruktionsplans auslesen, ausdrucken und/oder speichern darf. Zusätzlich kann die Lizenzinformation einen symmetrischen Schlüssel aufweisen, der zum Ver- schlüsseln und Entschlüsseln des Dokumentes verwendet wird. Da eben dieser Schlüssel eine geheime Information darstellt, kann die Lizenzinformation mit dem öffentlichen Schlüssel des Servers verschlüsselt werden und der Herausgeber kann die Lizenzinformation digital signieren. Digital rights management realizes an access protection on documents, regardless of a storage location of the documents. A protected document can only be opened and edited by an authorized user in accordance with his access rights, regardless of which storage device the document was stored on or to which arithmetic unit the document was sent. An unauthorized outsider, which no access rights have been endures overall can, with a copy of the document received any unau ¬ torisierte information. In conventional digital rights management methods, documents are encrypted according to at least one encryption algorithm. The publisher additionally defines the rights of specific users or groups in the content of the document, which are summarized in a license information, also known as issuance license. The encrypted file is sent together with the license information to a server. The license information may describe, for example, that a third party, such as a configuration machine GeWiS ¬ se parts of a construction plan to read, print and / or may store. In addition, the license information may include a symmetric key used to encrypt and decrypt the document. Since this very key represents secret information, the license information can be encrypted with the public key of the server and the publisher can digitally sign the license information.
Die Lizenzinformation kann zentral auf einem Server gespeichert und gewartet werden. Die Lizenzinformation kann aber auch mit dem verschlüsselten Dokument in einer Datei untergebracht werden, wodurch jedoch lediglich eine weniger dynami- sehe Rechteverwaltung ermöglicht wird. Neben dem Server gibt es ferner einen Client, welcher auf jeder zugreifenden Maschine installiert ist, die zugriffsgeschützte Dokumente aus¬ lesen will. Der Client kann hierbei die Kommunikation mit dem Server übernehmen, um den symmetrischen Schlüssel und die Rechte eines vorliegenden Dokuments zu ermitteln. Der Client kann die gelesenen Rechte an eine weitere Ausleseeinheit wei¬ tergeben, die für die Einhaltung der Rechte vorgesehen ist. Eine Entschlüsselung des Dokuments kann der Client übernehmen, welcher ferner eine eventuell benötigte erneute Ver- Schlüsselung zu einem späteren Zeitpunkt ausführt. Der The license information can be stored and maintained centrally on a server. However, the license information can also be accommodated in a file with the encrypted document, whereby only a less dynamic rights management is made possible. In addition to the server, there is a client also, which is installed on each machine accessing, the access-protected document will read from ¬. The client can take over the communication with the server in order to determine the symmetric key and the rights of a present document. The client can the rights to another readout unit wei ¬ tergeben provided for the observance of the rights read. A decryption of the document can be carried out by the client, which also carries out a possibly required re-encryption at a later time. Of the
Schlüssel kann durch den Client mittels einer Verschlüsse¬ lungstechnik vor weiteren Ausleseeinheiten geheim gehalten werden. Hierzu werden in herkömmlichen Verfahren Verschlüsse- lungstechniken oder Verschleierungstechniken wie das sogenannte Code Obfuscation verwendet. Key can be kept secret by the client by means of a Ver¬ ¬ treatment before other readout units. For this purpose, in conventional methods, closure treatment techniques or obfuscation techniques such as the so-called Obfuscation code.
Zur Bereitstellung eines EDRM geschützten Datenobjektes muss der Herausgeber oder Rechteinhaber also regelmäßig über eine Kommunikationsverbindung zu dem EDRM-Server verfügen. Nur damit ist die Registrierung des entsprechenden EDRM geschützten Datenobjektes auf dem EDRM Server in der oben beschriebenen Weise möglich. Jedoch verfügen beispielsweise Industriegeräte oft nicht über eine Netzwerkverbindung oder sind lediglich mit einem separaten Fertigungsnetzwerk verbunden, von dem aus ein EDRM-Server nicht erreichbar ist. To provide an EDRM protected data object, the publisher or rights holder must therefore regularly have a communication link to the EDRM server. Only then is it possible to register the corresponding EDRM protected data object on the EDRM server in the manner described above. However, for example, industrial devices often do not have a network connection or are merely connected to a separate manufacturing network from which an EDRM server can not be reached.
Es ist demnach die Aufgabe der vorliegenden Erfindung, ein Verfahren zur Bereitstellung von EDRM geschützte Datenobjekten anzugeben, welches auch Infrastrukturen mit Geräten ohne oder mit eingeschränkter Netzwerkverbindung unterstützt. It is therefore the object of the present invention to provide a method for providing EDRM protected data objects, which also supports infrastructures with devices with no or limited network connection.
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren und ein System mit den Merkmalen der Patentansprüche 1 und 8 ge¬ löst. Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen angegeben. This object is achieved by a method and a system with the features of claims 1 and 8 ge ¬ triggers. Advantageous developments of the invention are specified in the dependent claims.
In dem erfindungsgemäßen Verfahren zum Bereitstellen mindes- tens eines EDRM (Enterprise Digital Rights Management) ge¬ schützten Datenobjektes wird ein verschlüsseltes Datenobjekt durch einen ersten Rechner einem zweiten Rechner bereitgestellt. Auf Anfrage des zweiten Rechners werden nach einer erfolgreichen Authentisierung des zweiten Rechners gegenüber einem EDRM-Server folgende Schritte durch den EDRM-Server durchgeführt : In the inventive method for providing a least EDRM (Enterprise Digital Rights Management) ge ¬ protected data object Any artwork is an encrypted data object provided by a first computer to a second computer. At the request of the second computer, following successful authentication of the second computer with respect to an EDRM server, the following steps are performed by the EDRM server:
- Generieren eines dem Datenobjekt zugeordneten Rechteobjekts in Abhängigkeit einer Geräteidentifizierungsinformation des ersten Rechners, das Zugriffsrechte von Nutzern oder Nutzer- gruppen auf das Datenobjekt angibt,  Generating a rights object assigned to the data object as a function of device identification information of the first computer that specifies access rights of users or user groups to the data object,
- Ermitteln eines Datenobj ektschlüssels zur Entschlüsselung des Datenobjekts in Abhängigkeit einer Datenidentifizierungs- Information des Datenobjekts und der Geräteidentifizierungs¬ information mittels einer Schlüsselableitungsfunktion, Determining a data object key for decrypting the data object as a function of a data identification Information of the data object and the device identification ¬ information by means of a key derivation function,
- Ermitteln einer Lizenzinformation, die die Zugriffsrechte des zweiten Rechners auf das Datenobjekt und den Datenobjekt- Schlüssel umfasst,  Determining a license information that includes the access rights of the second computer to the data object and the data object key,
- Bereitstellen der ermittelten Lizenzinformation an den zweiten Rechner.  - Providing the determined license information to the second computer.
Somit wird ein EDRM geschütztes Datenobjekt durch den ersten Rechner offline erzeugt, ohne eine bestehende Verbindung zum EDRM-Server. Gleichzeitig ist jedoch sichergestellt, dass ein durch den EDRM-Server autorisierter Nutzer, also hier der zweite Rechner, das EDRM-geschützte Datenobjekt öffnen kann. Ein EDRM-Server erhält erfindungsgemäß von einem neuen EDRM geschützten Dokument erst Kenntnis, wenn ein Client als zwei¬ ter Rechner eine Nutzungslizenz für dieses Datenobjekt anfragt. Aus den Informationen des anfragenden Clients als zweiter Rechner sowie gespeicherter Konfigurations- Informationen, wie beispielsweise Default-Policies , werden die fehlenden Nutzungsberechtigungen und Datenobj ektschlüssel ermittelt, um daraus eine EDRM- Lizenzinformation zu erzeu¬ gen . Thus, an EDRM protected data object is generated offline by the first computer, without an existing connection to the EDRM server. At the same time, however, it is ensured that a user authorized by the EDRM server, in this case the second computer, can open the EDRM-protected data object. A EDRM server receives according to the invention of a new EDRM protected document only aware when a client than two ¬ ter computer requests a license to use this data object. From the information of the requesting client as a second computer and stored configuration information, such as default policies that lack of use authorizations and Datenobj be ektschlüssel determined to derive a EDRM- license information to erzeu ¬ gen.
Das erfindungsgemäße System zum Bereitstellen mindestens ei- nes EDRM (Enterprise Digital Rights Management) geschütztenThe system according to the invention for providing at least one EDRM (Enterprise Digital Rights Management) protected
Datenobjektes weist einen ersten Rechner auf, der einem zwei¬ ten Rechner ein verschlüsseltes Datenobjekt bereitstellt. Zudem umfasst das System einen EDRM-Server, der eingerichtet ist, auf Anfrage des zweiten Rechners nach einer erfolgrei- chen Authentisierung des zweiten Rechners folgende Schritte durchzuführen : Data object includes a first calculator that provides a two-th ¬ computer an encrypted data object. In addition, the system comprises an EDRM server, which is set up to carry out the following steps on request of the second computer after a successful authentication of the second computer:
- Generieren eines dem Datenobjekt zugeordneten Rechteobjekts in Abhängigkeit einer Geräteidentifizierungsinformation des ersten Rechners, das Zugriffsrechte von Nutzern oder Nutzer- gruppen auf das Datenobjekt angibt,  Generating a rights object assigned to the data object as a function of device identification information of the first computer that specifies access rights of users or user groups to the data object,
- Ermitteln eines Datenobj ektschlüssels zur Entschlüsselung des Datenobjekts in Abhängigkeit einer Datenidentifizierungs- Information des Datenobjekts und der Geräteidentifizierungs¬ information mittels einer Schlüsselableitungsfunktion, Determining a data object key for decrypting the data object as a function of a data identification Information of the data object and the device identification ¬ information by means of a key derivation function,
- Ermitteln einer Lizenzinformation, die die Zugriffsrechte des zweiten Rechners auf das Datenobjekt und den Datenobjekt- Schlüssel umfasst,  Determining a license information that includes the access rights of the second computer to the data object and the data object key,
- Bereitstellen der ermittelten Lizenzinformation an den zweiten Rechner.  - Providing the determined license information to the second computer.
Im Weiteren werden mögliche Ausführungsformen des erfindungs- gemäßen Verfahrens und des erfindungsgemäßen Systems zum Be¬ reitstellen mindestens eines EDRM (Enterprise Digital Rights Management) geschützten Datenobjektes unter Bezugnahme auf die beigefügten Figuren beschrieben. Es zeigen: Figur 1 in einer schematischen Darstellung ein Ablaufdia- gram eines ersten Ausführungsbeispiels des erfin¬ dungsgemäßen Verfahrens, In addition, possible embodiments of the inventive method and the inventive system for loading ¬ riding provide at least one EDRM (Enterprise Digital Rights Management) protected data object will be described with reference to the accompanying figures. In the drawings: Figure 1 is a schematic representation of a Ablaufdia- gram of a first embodiment of the method according OF INVENTION ¬ dung,
Figur 2 in einer schematischen Darstellung ein Ablaufdia- gramm eines zweiten Ausführungsbeispiels des erfin¬ dungsgemäßen Verfahrens . Figure 2 is a schematic representation of a Ablaufdia- grams of a second embodiment of the method according OF INVENTION ¬ dung.
Erfindungsgemäß wird ein EDRM geschütztes Datenobjekt durch einen ersten Rechner offline erzeugt, ohne dass eine Verbin- dung zum EDRM-Server besteht. Das EDRM geschützte Datenobjekt wird dann an einen zweiten Rechner, beispielsweise einen War- tungs- und Diagnose-Rechner, von dem ersten Rechner übertragen. Da das Datenobjekt in verschlüsselter Form vorliegt, kann es durch den zweiten Rechner nicht bearbeitet werden. Der zweite Rechner authentisiert sich daher gegenüber einem EDRM- Server und überträgt als Teil der Anfrage die Daten¬ identifizierungsinformation und die Geräteidentifizierungsinformation an den EDRM- Server. Der EDRM-Server prüft die Zugriffsberechtigung des zweiten Rechners auf die vom ersten Rechner ausgegebenen Daten. Da das EDRM geschützte Datenobjekt nicht beim EDRM-Server bekannt ist, werden die Zugriffs¬ rechte anhand einer Geräte-abhängigen Policy belegt. Anhand der erhaltenen Datenidentifizierungsinformation und der Gerä- teidentifizierungsinformation wird zudem der Datenobjekt- schlüssel ermittelt. According to the invention, an EDRM protected data object is generated offline by a first computer without a connection to the EDRM server. The EDRM protected data object is then transmitted to a second computer, for example a maintenance and diagnostic computer, from the first computer. Since the data object is in encrypted form, it can not be processed by the second computer. Therefore, the second computer authenticates itself against a EDRM- server and transmits as part of the request, the data ¬ identification information and the device identification information to the server EDRM-. The EDRM server checks the access authorization of the second computer to the data output by the first computer. Since the EDRM protected data object is not known at the EDRM servers that access ¬ right be proven from a device-dependent policy. Based on the obtained data identification information and the equipment In addition, the data object key is determined.
Die Figur 1 zeigt ein Ablaufdiagramm eines ersten Ausfüh- rungsbeispiels des erfindungsgemäßen Verfahrens mit einer Ma¬ schine 101, die beispielsweise ein Röntgengerät oder ein Ge¬ rät zur Fertigungssteuerung ist. Abgebildet ist weiterhin ein Service-Gerät 102 und ein EDRM- Server 103. Das Service Gerät 102 fragt von der Maschine 101 Service-Daten, beispielsweise zur Wartung oder Diagnose ab 104. Diese Service Daten werden in EDRM geschützter Form durch die Maschine 101 bereitgestellt. Die Maschine 101 ermittelt dazu die angeforderten Service-Daten und erzeugt eine zugehörige Dokumentenidentifi- zierungsinformation Doc-ID 105. Zudem ermittelt die Maschine 101 den zugeordneten Dokumentenschlüssel DocEK, unter Verwendung einer Schlüsselableitungsfunktion abhängig von einem EDRM-Geräteschlüssel EDevK und der Dokumentenidentifizie¬ rungsinformation Doc-ID 105. Mit diesem Dokumentenschlüssel DocEK wird der Dokumenteninhalt, d.h. die ermittelten Servi- ce-Daten, verschlüsselt 105. Das derart EDRM-geschützte Doku¬ ment wird an das Service Gerät 102 übertragen 106. Es ist da¬ bei möglich, dass der gesamte Dokumenteninhalt, d.h. die ge¬ samten Service-Daten, oder nur ein Teil des Dokumenteninhalts, d.h. nur ein Teil der Service-Daten, mit dem Schlüssel DocEK verschlüsselt wird. In einer Variante werden mehrere1 shows a flow diagram of a first exemplary embodiment of the inventive method with a Ma ¬ machine 101, which is for example an X-ray device or a Ge ¬ advises manufacturing control. Depicted is still a service device 102 and an EDRM server 103. The service device 102 requests service data from the machine 101, for example, for maintenance or diagnostics 104. This service data is provided in EDRM protected form by the machine 101. The machine 101 is determined, the requested service data and generates a corresponding Dokumentenidentifi- zierungsinformation Doc-ID 105. In addition, the machine determines 101 the associated document key Docek using a key derivation function depending on a EDRM device key EDevK and Dokumentenidentifizie ¬ approximate information Doc ID 105. this document key Docek the document content, ie the determined service data encrypted, 105. the thus EDRM protected docu ¬ ment is 106. transmitted to the service unit 102 is possible because ¬ in that the entire Document content, ie the ge ¬ entire service data, or only a part of the document content, ie only a part of the service data is encrypted with the key DocEK. In one variant, several
Unterschlüssel DocEKl, DocEK2, ... abgeleitet, um damit jeweils einen Teil des gesamten Dokumenteninhalts zu verschlüsseln. Subkeys DocEKl, DocEK2, ... derived to encrypt each part of the entire document content.
Das Service-Gerät 102 kann das Dokument zunächst nicht öff- nen, da es in verschlüsselter Form vorliegt. Zunächst authen- tisiert sich daher das Service-Gerät 102 gegenüber dem EDRM- Server 103 (ERM-S) in den Schritten 107 und 108. Dabei wird ein Sitzungsschlüssel SK zwischen dem Service-Gerät 102 und dem EDRM-Server 103 (ERM-S) zum kryptographischen Schutz der Kommunikation eingerichtet. Wenn das Service-Gerät 102 au- thentisiert ist, wird durch den EDRM-Server 103 auf Anfrage 109 durch das Service-Gerät 102 die Berechtigung des Service- Geräts 102 überprüft 110. Ist das Service-Gerät 102 zur Nutzung des EDRM geschützten Dokuments berechtigt, erhält es von dem EDRM-Server anschlie¬ ßend eine Lizenzinformation 111. Diese Lizenzinformation ent- hält den Dokumentenschlüssel DocEK sowie ggf. eine Berechti¬ gungsinformation, welche Nutzungsrechte dem authentisierten Service-Gerät 102 gewährt werden. Derartige Nutzungsrechte umfassen beispielsweise das Drucken, Kopieren, Anzeigen oder Modifizieren des Dokuments bzw. eines Teils des Dokuments. The service device 102 can not initially open the document because it is in encrypted form. Initially, therefore, the service device 102 authenticates itself to the EDRM server 103 (ERM-S) in steps 107 and 108. A session key SK between the service device 102 and the EDRM server 103 (ERM-S ) for the cryptographic protection of communication. If the service device 102 is authenticated, the authorization of the service device 102 is checked 110 by the EDRM server 103 on request 109 by the service device 102. If the service device 102 protected to use the EDRM document entitled it receives subsequent ¬ ßend of the EDRM server license information 111. This License Information con- tains the document key Docek, and should receive, justifying ¬ supply information which rights the authenticated service Device 102 are granted. Such usage rights include, for example, printing, copying, displaying or modifying the document or part of the document.
Dazu ermittelt der EDRM-Server den verwendeten Dokumentenschlüssel DocEK aus der Dokumentenidentifizierungsinformation Doc-ID und dem EDRM-Geräteschlüssel EDevK der Maschine 101. Die Dokumentenidentifizierungsinformation Doc-ID ermittelt der EDRM-Server aus der Anfrage des Service-Geräts 102, wäh¬ rend die EDevK dem EDRM-Server bereits vorliegt. Anhand der in der Dokumentenidentifizierungsinformation Doc-ID enthaltenen oder daraus ermittelbaren Geräteidentifizierungsinformation der Maschine 101 ermittelt der EDRM-Server schließlich die dem EDRM geschützten Dokument zugeordneten Nutzungsrechte . For this, the EDRM server determines the document key used Docek from the document identification information Doc ID and EDRM device key EDevK the machine 101. The document identification information Doc ID determines the EDRM server from the request of the service device 102 currencies ¬ rend the EDevK the EDRM server already exists. The EDRM server finally determines the usage rights assigned to the EDRM document on the basis of the device identification information of the machine 101 contained in or from the document identification information Doc-ID.
In einer optionalen Ausgestaltung der vorliegenden Erfindung legt der EDRM-Server einen Eintrag für dieses Dokument in seiner Datenbank an. In an optional embodiment of the present invention, the EDRM server creates an entry for this document in its database.
Die Figur 2 zeigt ein weiteres Ausführungsbeispiel der vor¬ liegenden Erfindung, bei dem zusätzlich ein Service Manager 201 vorgesehen ist. Zur Vermeidung von Wiederholungen und zur besseren Lesbarkeit sind in Figur 2 gleiche Verfahrensschrit¬ te und Netzwerkkomponenten mit denselben Bezugszeichen wie in Figur 1 versehen. FIG. 2 shows a further exemplary embodiment of the present invention, in which a service manager 201 is additionally provided. To avoid repetition and for better readability, the same process steps and network components are provided in FIG. 2 with the same reference numerals as in FIG.
In diesem Ausführungsbeispiel erhält das Service-Gerät 102 nicht die Berechtigung zum Öffnen des EDRM geschützten Dokuments 202. Die EDRM-geschützten Daten werden daher von dem Service GerätIn this embodiment, the service device 102 does not have the authority to open the EDRM protected document 202. The EDRM-protected data is therefore from the service device
102 an den Service Manager 201 übermittelt 203. Der Service Manager 201 authentisiert sich nun seinerseits gegenüber dem EDRM-Server 102 in den Schritten 204 und 205. Wenn der Servi- ce-Manager 201 authentisiert ist, wird durch den EDRM- ServerThe service manager 201 then authenticates itself to the EDRM server 102 in steps 204 and 205. If the service manager 201 is authenticated, the EDRM server will authenticate 203 to the service manager 201
103 auf Anfrage 206 durch den Service Manager 201 - wie in dem vorangegangenen Ausführungsbeispiel - die Berechtigung des Service-Manager 201 zum Öffnen des Dokuments überprüft 207. 103 on request 206 by the service manager 201 - as in the previous embodiment - the authority of the service manager 201 to open the document checks 207.
Ist der Service-Manager 201 zur Nutzung des EDRM geschützten Dokuments berechtigt, erhält er von dem EDRM-Server 102 an¬ schließend eine Lizenzinformation 208. Diese Lizenzinformati¬ on enthält den Dokumentenschlüssel DocEK sowie ggf. eine Be- rechtigungsinformation, welche Nutzungsrechte dem authenti- sierten Service-Manager 201 gewährt werden. If the service manager 201 protected to use the EDRM document entitled it receives from the EDRM server 102 to ¬ closing a license information 208. This Lizenzinformati ¬ on containing the document key Docek and optionally prioritizing information, a loading which rights the authentic be granted to service manager 201.
Als Schlüsselableitungsfunktion (Key Derivation Function) wird beispielsweise eine HMAC-SHA1 Funktion verwendet, in die als Eingabeparameter die Geräteidentifizierungsinformation und die Datenidentifizierungsinformation eingehen. Somit wird im Unterschied zu einem herkömmlichen EDRM-Verfahren beim Erzeugen des EDRM geschützten Datenobjekts als weiterer Schlüssel eine Geräteidentifizierungsinformation verwendet. Anhand der Datenidentifizierungsinformation und der Geräteidentifizierungsinformation kann der EDRM-Server den verwendeten Da- tenobj ektschlüssel ermitteln. As a key derivation function (Key Derivation Function), for example, an HMAC-SHA1 function is used, in which the device identification information and the data identification information are received as input parameters. Thus, unlike a conventional EDRM method, when generating the EDRM protected data object, device identification information is used as another key. On the basis of the data identification information and the device identification information, the EDRM server can determine the used data obj ect key.
Die Dokumentenidentifizierungsinformation Doc-ID umfasst bei- spielsweise einen pseudozufällig oder fortlaufend Dokumenten- spezifisch gewählten Identifizierer. Alternativ wird ein Identifizierer, ermittelt beispielsweise mittels einer Hash- Funktion aus dem Dokumenteninhalt oder dem Erstellungszeit¬ punkt (Datum/Uhrzeit) , sowie eine Identifizierungsinformation des ausstellenden Rechners zur Erstellung der Dokumentenidentifizierungsinformation verwendet. Die Identifizierungsinformation des ausstellenden Rechners ist beispielsweise ein Rechnername, eine IP-Adresse, eine MAC-Adresse oder eine Se- riennummer. Zusätzlich kann eine Identifizierungsinformation des zugeordneten EDRM-Servers in die Erstellung der Dokumen- tenidentifizierungsinformation eingehen. Somit lässt sich die Dokumentenidentifizierungsinformation beispielsweise im fol- genden Format darstellen: The document identification information Doc-ID comprises, for example, a pseudorandom or continuously document-specific identifier. Alternatively, an identifier, determined for example by means of a hash function from the document content or the creation time ¬ point (date / time), and an identifying information of the issuing computer used to create the document identification information. The identifying information of the issuing computer is, for example, a computer name, an IP address, a MAC address or a secondary address. rien number. In addition, identification information of the assigned EDRM server can be included in the creation of the document identification information. Thus, the document identification information can be represented in the following format, for example:
Doc-Id ::= <Dokumenten-Identifier> '@' <Host-ID>.  Doc-Id :: = <document identifier> '@' <host ID>.
In vorteilhafter Weise wird eine Möglichkeit geschaffen, EDRM-geschützte Dokumente offline zu erzeugen. Offline bedeu- tet, dass keine Kommunikationsverbindung zu einem EDRM-Server besteht. Ein EDRM-Server ist beispielsweise nicht erreichbar, weil er sich in einem anderen Netzwerksegment befindet, z.B. einem Office-Netz, oder weil die Industrieanlage keine Onli¬ ne-Kommunikation mit einem Backend-System unterstützt, oder weil die Kommunikation semi-online erfolgt, d.h., es besteht nur eine zeitlich eingeschränkte Online-Verbindung. Advantageously, a possibility is created to produce EDRM-protected documents offline. Offline means that there is no communication connection to an EDRM server. A EDRM server is not available, for example, because it is located in a different network segment, such as an office network, or because the industrial system does not support online pharmacy ¬ ne communication with a backend system, or because the communication takes place semi-online, ie, there is only a limited online connection.
Somit wird auch eine einfache Realisierung auf Embedded Devi¬ ces ermöglicht, da nur eine Teil-Funktionalität der ansonsten eigentlich zur Erstellung von EDRM geschützten Dokumenten be- nötigten Funktionalität realisiert sein muss. Nur der EDRM-Thus, a simple implementation on embedded devices is also possible since only a partial functionality of the functionality actually required for the creation of EDRM has to be realized. Only the EDRM
Client zur Anzeige/Auswertung der EDRM geschützten Daten soll online mit dem EDRM-Server kommunizieren können. Client to display / evaluate the EDRM protected data to communicate online with the EDRM server.
Zudem ist der Speicherbedarf auf einem EDRM-Server geringer, da nicht ein Eintrag pro EDRM-geschütztem Dokument vorgehal¬ ten wird, sondern nur ein Eintrag pro Gerät. In addition, the memory requirements on a EDRM servers is lower because not is one entry per EDRM Protected Document vorgehal ¬ th, but only one entry per device.

Claims

Patentansprüche claims
1. Verfahren zum Bereitstellen mindestens eines EDRM (Enterprise Digital Rights Management) geschützten Datenobjektes, wobei A method of providing at least one Enterprise Digital Rights Management (EDRM) protected data object, wherein
- ein verschlüsseltes Datenobjekt durch einen ersten Rechner einem zweiten Rechner bereitgestellt wird,  an encrypted data object is provided by a first computer to a second computer,
- auf Anfrage nach einer erfolgreichen Authentisierung des zweiten Rechners gegenüber einem EDRM-Server folgende Schrit- te durch den EDRM-Server durchgeführt werden:  - following a successful authentication of the second computer to an EDRM server, the following steps are performed by the EDRM server:
- Generieren eines dem Datenobjekt zugeordneten Rechteobjekts in Abhängigkeit einer Geräteidentifizierungsinformation des ersten Rechners, das Zugriffsrechte von Nutzern oder Nutzergruppen auf das Datenobjekt angibt,  Generating a rights object assigned to the data object as a function of device identification information of the first computer that specifies access rights of users or user groups to the data object,
- Ermitteln eines Datenobj ektschlüssels zur Entschlüsselung des Datenobjekts in Abhängigkeit einer Datenidentifizierungs¬ information des Datenobjekts und der Geräteidentifizierungs¬ information mittels einer Schlüsselableitungsfunktion, - determining a Datenobj ektschlüssels for decryption of the data object depending on a data identification ¬ information of the data object and the device identification information ¬ by means of a key derivation function,
- Ermitteln einer Lizenzinformation, die die Zugriffsrechte des zweiten Rechners auf das Datenobjekt und den Datenobjekt- schlüssel umfasst,  Determining a license information that includes the access rights of the second computer to the data object and the data object key,
- Bereitstellen der ermittelten Lizenzinformation an den zweiten Rechner.  - Providing the determined license information to the second computer.
2. Verfahren nach Anspruch 1, wobei 2. The method of claim 1, wherein
zur Bereitstellung des verschlüsselten Datenobjekts folgende Schritte durch den ersten Rechner durchgeführt werden: To provide the encrypted data object, the following steps are performed by the first computer:
- Ermittlung eines Datenobjektes,  - determination of a data object,
- Ermittlung eines Datenobj ektschlüssels in Abhängigkeit ei- ner Datenidentifizierungsinformation des ermittelten Datenobjektes und einer Geräteidentifizierungsinformation des ersten Rechners mittels einer Schlüsselableitungsfunktion,  Determination of a data object key as a function of a data identification information of the determined data object and a device identification information of the first computer by means of a key derivation function,
- Verschlüsselung des Datenobjektes mit dem ermittelten Datenobj ektSchlüsse1 ,  - encryption of the data object with the determined data object conclusions1,
- Übermittlung des verschlüsselten Datenobjektes an den zweiten Rechner. - Transmission of the encrypted data object to the second computer.
3. Verfahren nach Anspruch 1 oder 2, wobei die Schlüsselableitungsfunktion eine logische Verknüpfungs¬ funktion, 3. The method according to claim 1 or 2, wherein the key derivation function a logical link ¬ functional,
eine Konkatenationsfunktion, a concatenation function,
eine Hash-Funktion oder a hash function or
eine Verknüpfung verschiedener Funktionen aufweist. has a combination of different functions.
4. Verfahren nach einem der Ansprüche 1 bis 3, wobei 4. The method according to any one of claims 1 to 3, wherein
die Anfrage des zweiten Rechners an den EDRM-Server die Da¬ tenidentifizierungsinformation und die Geräteidentifizie- rungsinformation umfasst. the request of the second computer to the server comprises approximately EDRM information Da ¬ tenidentifizierungsinformation and Geräteidentifizie-.
5. Verfahren nach einem der Ansprüche 1 bis 4, 5. The method according to any one of claims 1 to 4,
wobei die ermittelte Lizenzinformation mit einem öffentlichen Schlüssel des zweiten Rechners verschlüsselt wird und an den zweiten Rechner übermittelt wird. wherein the determined license information is encrypted with a public key of the second computer and transmitted to the second computer.
6. Verfahren nach Anspruch 5, 6. The method according to claim 5,
wobei der zweite Rechner die verschlüsselt übertragene Li¬ zenzinformation mit einem privaten Schlüssel des zweiten Rechners entschlüsselt. wherein the second computer decrypts the encrypted transmitted Li ¬ cenzinformation with a private key of the second computer.
7. Verfahren nach einem der Ansprüche 1 bis 6, 7. The method according to any one of claims 1 to 6,
wobei das Datenobjekt durch ein Dokument oder eine Software¬ komponente gebildet wird. wherein the data object is formed by a document or a software ¬ component.
8. System zum Bereitstellen mindestens eines EDRM (Enterprise Digital Rights Management) geschützten Datenobjektes, mit8. System for providing at least one EDRM (Enterprise Digital Rights Management) protected data object, with
- einem ersten Rechner, der einem zweiten Rechner ein verschlüsseltes Datenobjekt bereitstellt, a first computer providing an encrypted data object to a second computer,
und einem EDRM-Server, der eingerichtet ist auf Anfrage nach einer erfolgreichen Authentisierung des zweiten Rechners folgende Schritte durchzuführen: and an EDRM server, which is set up on request for a successful authentication of the second computer to perform the following steps:
- Generieren eines dem Datenobjekt zugeordneten Rechteobjekts in Abhängigkeit einer Geräteidentifizierungsinformation des ersten Rechners, das Zugriffsrechte von Nutzern oder Nutzer¬ gruppen auf das Datenobjekt angibt, - generating a associated with the data object rights object in dependency of a device identification information of the first computer that specifies access rights by users or user groups ¬ to the data object,
- Ermitteln eines Datenobj ektschlüssels zur Entschlüsselung des Datenobjekts in Abhängigkeit einer Datenidentifizierungs- Information des Datenobjekts und der Geräteidentifizierungs¬ information mittels einer Schlüsselableitungsfunktion, Determining a data object key for decrypting the data object as a function of a data identification Information of the data object and the device identification ¬ information by means of a key derivation function,
- Ermitteln einer Lizenzinformation, die die Zugriffsrechte des zweiten Rechners auf das Datenobjekt und den Datenobjekt- Schlüssel umfasst,  Determining a license information that includes the access rights of the second computer to the data object and the data object key,
- Bereitstellen der ermittelten Lizenzinformation an den zweiten Rechner.  - Providing the determined license information to the second computer.
9. System nach Anspruch 8, wobei 9. The system of claim 8, wherein
der erste Rechner zur Bereitstellung des verschlüsselten Datenobjekts eingerichtet ist folgende Schritte durchzuführen:the first computer is set up to provide the encrypted data object, the following steps are required:
- Ermittlung eines Datenobjektes, - determination of a data object,
- Ermittlung eines Datenobj ektschlüssels in Abhängigkeit ei¬ ner Datenidentifizierungsinformation des ermittelten Datenob- jektes und einer Geräteidentifizierungsinformation des ersten Rechners mittels einer Schlüsselableitungsfunktion, - determining a Datenobj ektschlüssels depending ei ¬ ner data identification information of the determined Datenob- jektes and device identification information of the first computer by means of a key derivation function,
- Verschlüsselung des Datenobjektes mit dem ermittelten Datenobj ektSchlüsse1 ,  - encryption of the data object with the determined data object conclusions1,
- Übermittlung des verschlüsselten Datenobjektes an den zwei- ten Rechner.  - Transmission of the encrypted data object to the second computer.
PCT/EP2011/057762 2010-05-26 2011-05-13 Method for providing edrm-protected (enterprise digital rights management) data objects WO2011147693A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102010021655.0 2010-05-26
DE102010021655A DE102010021655A1 (en) 2010-05-26 2010-05-26 A method for providing EDRM (Enterprise Digital Rights Management) protected data objects

Publications (1)

Publication Number Publication Date
WO2011147693A1 true WO2011147693A1 (en) 2011-12-01

Family

ID=44262972

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2011/057762 WO2011147693A1 (en) 2010-05-26 2011-05-13 Method for providing edrm-protected (enterprise digital rights management) data objects

Country Status (2)

Country Link
DE (1) DE102010021655A1 (en)
WO (1) WO2011147693A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111104690A (en) * 2019-11-22 2020-05-05 北京三快在线科技有限公司 Document monitoring method and device, server and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5745879A (en) * 1991-05-08 1998-04-28 Digital Equipment Corporation Method and system for managing execution of licensed programs
US5917912A (en) * 1995-02-13 1999-06-29 Intertrust Technologies Corporation System and methods for secure transaction management and electronic rights protection
US20020013772A1 (en) * 1999-03-27 2002-01-31 Microsoft Corporation Binding a digital license to a portable device or the like in a digital rights management (DRM) system and checking out / checking in the digital license to / from the portable device or the like

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009154526A1 (en) * 2008-06-19 2009-12-23 Telefonaktiebolaget Lm Ericsson (Publ) A method and a device for protecting private content

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5745879A (en) * 1991-05-08 1998-04-28 Digital Equipment Corporation Method and system for managing execution of licensed programs
US5917912A (en) * 1995-02-13 1999-06-29 Intertrust Technologies Corporation System and methods for secure transaction management and electronic rights protection
US20020013772A1 (en) * 1999-03-27 2002-01-31 Microsoft Corporation Binding a digital license to a portable device or the like in a digital rights management (DRM) system and checking out / checking in the digital license to / from the portable device or the like

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111104690A (en) * 2019-11-22 2020-05-05 北京三快在线科技有限公司 Document monitoring method and device, server and storage medium
CN111104690B (en) * 2019-11-22 2022-03-18 北京三快在线科技有限公司 Document monitoring method and device, server and storage medium

Also Published As

Publication number Publication date
DE102010021655A1 (en) 2011-12-01

Similar Documents

Publication Publication Date Title
DE102018104679A1 (en) In Tonken translated hardware security modules
DE19827659B4 (en) System and method for storing data and protecting the data against unauthorized access
DE60316861T2 (en) Method and device for encrypting / decrypting data
DE60224219T2 (en) SECURE PRINTING OF A DOCUMENT
EP3452941B1 (en) Method for electronically documenting license information
EP2454704A1 (en) Method for reading attributes from an id token
DE102009017221A1 (en) Information Rights Management
EP3649768A1 (en) Method for the secure replacement of a first manufacturer certificate already incorporated into a device
WO2010026152A1 (en) Method for granting authorization to access a computer-based object in an automation system, computer program, and automation system
DE60112227T2 (en) PROCESS AND DEVICE FOR SAFE DATA DISTRIBUTION
EP4016338A1 (en) Access control for data stored on the cloud
EP3876127A1 (en) Remote device maintenance based on distributed data storage
DE102020205993B3 (en) Concept for the exchange of cryptographic key information
AT519025B1 (en) Procedure for exchanging data fields of certified documents
EP2491513B1 (en) Method and system for making edrm-protected data objects available
WO2011147693A1 (en) Method for providing edrm-protected (enterprise digital rights management) data objects
DE102018102608A1 (en) Method for user management of a field device
DE10251408A1 (en) Secure and mediated access for e-services
EP3288215A1 (en) Method and device for outputting authenticity certifications and a security module
DE112007000419B4 (en) Digital rights management system with a diversified content protection process
EP3629516A1 (en) Decentralised identity management solution
EP4123960B1 (en) Method and device for providing a digital user secret allocated to a protected data object
WO2017190857A1 (en) Method and device for protecting device access
DE102009040615A1 (en) A method of digital rights management in a computer network having a plurality of subscriber computers
DE202018101136U1 (en) Token-translated hardware security modules

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11723349

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 11723349

Country of ref document: EP

Kind code of ref document: A1