公开(公告)号：WO2011080079A1

公开(公告)日：2011-07-07

申请号：PCT/EP2010/069782

申请日：2010-12-15

申请人： SIEMENS AKTIENGESELLSCHAFT ,  FALK, Rainer ,  FRIES, Steffen ,  SELTZSAM, Stefan

发明人： FALK, Rainer ,  FRIES, Steffen ,  SELTZSAM, Stefan

IPC分类号： G06F21/00

CPC分类号： G06F21/6218 ,  G06F21/10

摘要： Die vorliegende Erfindung betrifft ein Verfahren und ein System zum Bereitstellen von EDRM-geschützten Datenobjekten (DO) für Nutzer, wobei Zugriffsrechte (DP) auf ein EDRM-geschütztes Datenobjekt (DO) in Abhängigkeit von Teilzugriffsrechten (P i ) auf mindestens ein oder mehrere Datenobjekte gebildet werden, die in dem jeweiligen EDRM-geschützten Datenobjekt (DO) enthalten sind. Die Zugriffsrechte (DP) auf das EDRM-geschützte Datenobjekt (DO) werden durch einen Client-Rechner (3) des Nutzers mittels einer Zugriffsrechteableitungsfunktion (PDF) in Abhängigkeit von den Teilzugriffsrechten (P i ) berechnet, die von unterschiedlichen EDRM-Servern (5A, 5B) bereitgestellt werden. Ein Datenobjektschlüssel (DK) des EDRM-geschützten Datenobjektes (DO) werden durch den Client-Rechner (3) des Nutzers mittels einer Schlüsselableitungsfunktion (KDF) in Abhängigkeit von Teilschlüsseln (K i ) berechnet wird, die von den unterschiedlichen EDRM-Servern (5A, 5B) bereitgestellt werden.

摘要翻译： 本发明涉及用于为用户提供EDRM保护的数据对象（DO）具有访问权限（DP）上的至少一个或多个数据对象形成（PI）作为部分的访问权限的功能的EDRM保护的数据对象（DO）的方法和系统 在各个EDRM保护的数据对象（DO）形成均包括在内。 的访问权限（DP）到EDRM保护的数据对象（DO）是由客户端计算机（3）用户的响应计算出由访问权限导出函数（PDF）的手段，所述部分的访问权限（PI），其中（不同EDRM服务器5A， 图5B）被提供。 一个数据对象密钥EDRM保护的数据对象的（DK）（DO）可以是通过（3）的密钥推导函数（KDF）作为部分密钥的函数的装置的用户的（KI）来计算，其中（的不同EDRM服务器5A中的客户端计算机， 图5B）被提供。

公开(公告)号：WO2011080013A1

公开(公告)日：2011-07-07

申请号：PCT/EP2010/068142

申请日：2010-11-24

申请人： SIEMENS AKTIENGESELLSCHAFT ,  FALK, Rainer ,  FRIES, Steffen ,  SELTZSAM, Stefan

发明人： FALK, Rainer ,  FRIES, Steffen ,  SELTZSAM, Stefan

IPC分类号： G06F21/22 ,  G06F9/455

CPC分类号： G06F21/121 ,  G06F9/45558 ,  G06F2009/45587

摘要： Virtuelle Maschinen werden bei der Nutzung von verteilten Rechnerinfrastrukturen eingesetzt, um die Rechenlast möglichst flexibel auf die einzelnen Rechner verteilen zu können. Hierbei besteht ein Bedarf durch regulative oder administrative Vorgaben gewünschte Beschränkungen für den Einsatz der virtuellen Maschinen robust durchsetzen zu können. Die vorliegende Erfindung schafft ein Verfahren, mit dem der Schutz einer virtuellen Maschine bei deren Migration, Speicherung oder Betrieb mittels einer digitalen Rechteverwaltung und Verschlüsselung umgesetzt wird. Hierzu wird der Hypervisor bzw. der Virtual Machine Monitor, sowie die virtuelle Maschine um entsprechende Funktionalitäten erweitert.

摘要翻译： 虚拟机在使用分布式计算基础设施的使用尽可能灵活地分配计算负载到个人电脑。 在这里，有必要通过所需的虚拟机的使用限制，以强制执行稳健的监管或行政的要求。 本发明提供通过该虚拟机的保护是在数字权限管理和加密的其迁移，存储或操作的装置进行反应的方法。 为了这个目的，系统管理程序或虚拟机监视器，并延伸具有这些能力的虚拟机。

公开(公告)号：WO2012168019A3

公开(公告)日：2013-09-12

申请号：PCT/EP2012058514

申请日：2012-05-09

申请人： SIEMENS AG ,  MAIDL MONIKA ,  SELTZSAM STEFAN

发明人： MAIDL MONIKA ,  SELTZSAM STEFAN

IPC分类号： G06F17/30

CPC分类号： H04L63/0853 ,  G06F17/3056 ,  G06F21/10

摘要： It is proposed that known digital rights management (EDRM: Enterprise Digital Rights Management) be extended such that control over the access to data stored in a cloud remains with the user or originator of the data. This requires the access information to be coordinated between a rights application in the cloud and a rights server in the region of the user (that is to say outside the cloud). A rights policy can be used for fine-grained regulation of the access for users (user groups), computers (client, server) and validity periods. In this context, the access comprises a wide variety of actions which can be performed with the data. In particular, it is advantageous that a server application is provided with (temporally limited) access to a portion of the data in order to index said data, for example, without the server being able to access the complete contents of the data in the process. By way of example, the approach for works for document management and for databases that have been relocated in the cloud. The invention can be used for any type of distributed data processing in which the data are intended to be protected against unauthorized access operations.

摘要翻译： 建议将一个已知的数字版权管理（EDRM：企业数字权限管理），以扩大，使存储在云数据的访问控制，保持与数据的用户或创建者。 为了在云中的权利应用之间的访问的信息的票，需要与用户（即外云）的区域中的权限服务器。 由版权政策的手段，可以细粒度的用户（组），计算机（客户端，服务器）和有效期间进入调节。 访问涵盖多样可行的数据的行为。 特别地，有利的是，一个服务器应用程序接收到的数据的这些例如一部分的（时间限制）访问 无需服务器索引可以访问数据的全部内容。 该方法适用，例如，文档管理和外包的云数据库。 本发明可用于任何类型的分布式计算的，其中数据是要被保护免受非授权访问。

公开(公告)号：WO2012168019A2

公开(公告)日：2012-12-13

申请号：PCT/EP2012/058514

申请日：2012-05-09

申请人： SIEMENS AKTIENGESELLSCHAFT ,  MAIDL, Monika ,  SELTZSAM, Stefan

发明人： MAIDL, Monika ,  SELTZSAM, Stefan

IPC分类号： G06F17/30

CPC分类号： H04L63/0853 ,  G06F17/3056 ,  G06F21/10

摘要： Es wird vorgeschlagen, eine bekannte digitale Rechteverwaltung (EDRM: Enterprise Digital Rights Management) so zu erweitern, dass eine Kontrolle über den Zugriff von Daten, die in einer Cloud gespeichert sind, bei dem Benutzer bzw. Ersteller der Daten verbleibt. Dazu ist eine Abstimmung der Zugriffsinformationen zwischen einer Rechte-Applikation in der Cloud mit einem Rechte-Server in dem Bereich des Benutzers (also außerhalb der Cloud) erforderlich. Mittels einer Rechte-Policy ist es möglich, feingranular den Zugriff für Benutzer(gruppen), Rechner (Client, Server) sowie Gültigkeitsdauern zu regeln. Der Zugriff umfasst dabei unterschiedlichste mit den Daten durchführbare Aktionen. Insbesondere ist es von Vorteil, dass eine Server-Applikation einen (zeitlich begrenzten) Zugriff auf einen Teil der Daten erhält, um diese z.B. zu Indizieren, ohne dass der Server dabei auf die vollständigen Inhalte der Daten zugreifen kann. Der Ansatz funktioniert beispielsweise für Dokumentenmanagement als auch für in der Cloud ausgelagerte Datenbanken. Die Erfindung kann für jede Art der verteilten Datenverarbeitung eingesetzt werden, in der die Daten vor unberechtigten Zugriffen geschützt werden sollen.

摘要翻译： 建议将一个已知的数字版权管理（EDRM：企业数字权限管理），以扩大，使存储在云数据的访问控制，保持与数据的用户或创建者。 为了在云中的权利应用之间的访问的信息的票，需要与用户（即外云）的区域中的权限服务器。 由版权政策的手段，可以细粒度的用户（组），计算机（客户端，服务器）和有效期间进入调节。 访问涵盖多样可行的数据的行为。 特别地，有利的是，一个服务器应用程序接收到的数据的这些例如一部分的（时间限制）访问 无需服务器索引可以访问数据的全部内容。 该方法适用，例如，文档管理和外包的云数据库。 本发明可用于任何类型的分布式计算的，其中数据是要被保护免受非授权访问。

公开(公告)号：WO2011061020A1

公开(公告)日：2011-05-26

申请号：PCT/EP2010/065453

申请日：2010-10-14

申请人： SIEMENS AKTIENGESELLSCHAFT ,  FALK, Rainer ,  SELTZSAM, Stefan

发明人： FALK, Rainer ,  SELTZSAM, Stefan

IPC分类号： G06F21/00

CPC分类号： G06F21/6218 ,  G06F21/53

摘要： Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung 1 zum Zugreifen auf Steuerungsdaten SD gemäß einer Bereitgestellten Rechteinformation RI. Hierzu wird eine virtuelle Maschine VM gemäß der bereitgestellten Rechteinformation RI erzeugt, welche einem Zugreifen auf die Steuerungsdaten SD dient. Folglich kann ein Nutzer auf Steuerungsdaten SD lediglich mittels der virtuellen Maschine VM zugreifen, wodurch sichergestellt ist, dass der Nutzer keinerlei Zugriffsrechte auf die Steuerungsdaten SD erhält, welche nicht in der Rechteinformation RI beschrieben sind. Die vorliegende Erfindung findet bei einem Bereitstellen von vertraulichen und zugriffsbeschränkten Daten Einsatz.

摘要翻译： 本发明涉及一种方法，以及用于根据与所提供的权限信息RI访问控制数据SD的设备1。 为了这个目的，虚拟机VM被根据所提供的权限信息RI，它被用来与访问控制数据SD生成。 因此，控制数据SD，用户可以仅由虚拟机VM被访问，从而确保用户不会收到任何访问权限的控制数据SD，其未在权利信息RI说明。 本发明适用于以保密和提供受限访问数据的应用程序。

公开(公告)号：WO2011029678A1

公开(公告)日：2011-03-17

申请号：PCT/EP2010/061581

申请日：2010-08-10

申请人： SIEMENS AKTIENGESELLSCHAFT ,  MAIDL, Monika ,  SCHAFHEUTLE, Marcus ,  SELTZSAM, Stefan

发明人： MAIDL, Monika ,  SCHAFHEUTLE, Marcus ,  SELTZSAM, Stefan

IPC分类号： G06F21/00

CPC分类号： G06F21/10

摘要： Die Erfindung beschreibt ein Verfahren zur digitalen Rechteverwaltung in einem Computernetz mit einer Vielzahl von Teilnehmerrechnern (C1, C2). In dem erfindungsgemäßen Verfahren stellt ein erster Teilnehmerrechner (C1) einem zweiten Teinehmerrechner (C2) ein Datenobjekt (CO) und ein Rechteobjekt (RO) bereit, wobei das Rechteobjekt (RO) den Zugriff des zweiten Teilnehmerrechners (C2) auf das Datenobjekt (CO) festlegt und mit einem ersten kryptographischen Schlüssel (puk) eines Paars aus dem ersten und einem zweiten kryptographischen Schlüssel (puk, prk) verschlüsselt ist. Erfindungsgemäß wird basierend auf einer gesicherten Kommunikation zwischen einem auf dem zweiten Teilnehmerrechner (C2) laufenden Programm-Modul (SM) und einem mit dem zweiten Teilnehmerrechner (C2) verbundenen Sicherheits-Token (ST) das Rechteobjekt (RO) entschlüsselt, wobei die Entschlüsselung mit dem zweiten kryptographischen Schlüssel (prk) erfolgt, der auf dem Sicherheits-Token (ST) gespeichert ist. Schließlich erfolgt basierend auf dem entschlüsselten Rechteobjekt (RO) der Zugriff des zweiten Teilnehmerrechners (C2) auf das Datenobjekt (CO).

摘要翻译： 本发明描述了在计算机网络中与多个用户计算机（C1，C2）的数字权限管理的方法。 在本发明的方法中，第一订户计算机（C1）的第二Teinehmerrechner（C2）中的数据对象（CO）和权限对象（RO），其中，所述权利对象（RO）来访问所述第二用户计算机（C2）到该数据对象（CO） 套和一对第一和第二密码密钥（PUK，PRK）中的第一密码密钥（PUK）被加密。 根据本发明，是基于所述第二用户的计算机（C2）的当前程序模块（SM）上，并与所述第二用户计算机之间的安全通信进行解密权限对象（RO）（C2）连接的安全令牌（ST），其特征在于，所述解密用 进行的第二密码密钥（PRK），其被存储在所述安全令牌（ST）。 最后，第二用户计算机的访问（C2）是基于所解密的权利对象（RO）的数据对象（CO）上进行的。

公开(公告)号：WO2012010380A1

公开(公告)日：2012-01-26

申请号：PCT/EP2011/060487

申请日：2011-06-22

申请人： SIEMENS AKTIENGESELLSCHAFT ,  MAIDL, Monika ,  SELTZSAM, Stefan

发明人： MAIDL, Monika ,  SELTZSAM, Stefan

IPC分类号： H04L9/08

CPC分类号： H04L9/32 ,  G06F21/6263 ,  G06F2221/2153 ,  H04L9/0827 ,  H04L9/0877 ,  H04L9/3234 ,  H04L9/3247 ,  H04L63/061 ,  H04L63/08 ,  H04L63/123

摘要： Die Erfindung betrifft ein Verfahren zum kryptographischen Schutz einer Applikation (APPL), wobei die Applikation (APPL) einem Applikationseigner (AO) zugeordnet ist und in einem Rechenzentrum ausgeführt wird, das von einem externen, nicht zum Applikationseigner (AO) gehörenden Dienstbetreiber verwaltet wird, wobei im Rechenzentrum ein Sicherheitsmodul des Applikationseigners vorgesehen ist, auf dem privates kryptographisches Material des Applikationseigners (AO) hinterlegt ist. Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, dass ein erster sicherer Kanal zwischen Sicherheitsmodul (HSM) und Applikationseigner (AO) sowie ein zweiter sicherer Kanal zwischen Applikationseigner (AO) und Applikation (APPL) eingesetzt wird, über welche ein kryptographisches Geheimnis übermittelt wird, welches entweder von dem Sicherheitsmodul (HSM) oder dem Applikationseigner (AO) generiert wurde. Dieses kryptographische Geheimnis wird über die sicheren Kanäle sowohl dem Sicherheitsmodul (HSM) als auch der Applikation (APPL) automatisch bereitgestellt, ohne dass der Dienstbetreiber die Möglichkeit hat, auf dieses Geheimnis zuzugreifen. Mit Hilfe des Geheimnisses (key) kann sich die Applikation (APPL) beim Sicherheitsmodul (HSM) authentisieren, so dass anschließend über einen durch das kryptographische Geheimnis geschützten Kanal das kryptographische Material von dem Sicherheitsmodul (HSM) an die Applikation (APPL) übertragen werden kann. Mit dem übertragenen kryptographischen Material können dann Applikationsdaten verschlüsselt werden, wobei ein Dienstbetreiber des externen Rechenzentrums nicht die Möglichkeit hat, auf die Applikationsdaten zuzugreifen.

摘要翻译： 本发明涉及用于应用（APPL）的密码保护的方法，所述应用（APPL）的应用程序的所有者（AO）被分配，并在数据中心中执行，从外部，而不是应用程序所有者归属（AO）服务运营商进行管理， 其中，应用所有者的安全模块中的数据中心处，在应用所有者（AO）的私有密码材料被存储。 本发明的方法的特征在于，所述安全模块（HSM）和应用程序所有者（AO）和应用程序所有者之间的第二安全通道（AO）和应用（APPL）之间的第一安全信道采用，在其上密码秘密被发送，其 或者通过在安全模块（HSM）或应用程序所有者（AO）产生。 该密码秘密通过安全通道都安全模块（HSM），并没有服务运营商应用（APPL）有权访问这个秘密的能力自动提供。 用秘密（密钥）的帮助下，应用（APPL）在安全模块（HSM）可以验证，从而使随后一个由密码秘密信道从所述安全模块（HSM）与应用（APPL）的加密材料的保护可以被发送 ， 与所发送的加密材料的应用程序数据可以进行加密，与外部数据中心的服务提供者不必访问应用程序数据的能力。

公开(公告)号：WO2011079996A1

公开(公告)日：2011-07-07

申请号：PCT/EP2010/066973

申请日：2010-11-08

申请人： SIEMENS AKTIENGESELLSCHAFT ,  FALK, Rainer ,  FRIES, Steffen ,  SELTZSAM, Stefan

发明人： FALK, Rainer ,  FRIES, Steffen ,  SELTZSAM, Stefan

IPC分类号： G06F21/00

CPC分类号： G06F21/6218

摘要： Virtuelle Maschinen werden bei der Nutzung von verteilten Rechnerinfrastrukturen eingesetzt, um die Rechenlast möglichst flexibel auf die einzelnen Rechner verteilen zu können. Hierbei besteht ein Bedarf, auch innerhalb einer virtuellen Maschine auf geschützte Daten zugreifen zu können. Durch die vorgeschlagene Lösung kann die Ausführung / der Zugriff auf geschützte Daten innerhalb einer virtuellen Maschine bei einem Infrastrukturprovider flexibel eingeschränkt werden. Dabei werden durch den Rechteinhaber vorgebbare Rechte zuverlässig und effizient durchgesetzt.

摘要翻译： 虚拟机在使用分布式计算基础设施的使用尽可能灵活地分配计算负载到个人电脑。 在这里，有必要，即使是在一个虚拟机保护的数据访问。 所提出的方案，在虚拟机内执行/访问受保护的数据可以在基础设施供应商可以灵活地限制。 这里定义的权限由权利人可靠，高效地执行。