Durch unberechtigte Benutzung von Computerprogrammen entste- hen weltweit immense Schäden. Um diesem entgegenzuwirken, werden Lösungen zum Schutz von Computerprogrammen vor unbe- rechtigter Benutzung entwickelt.

Eine Übermittlung verschlüsselter Informationen zur Aktivie- rung eines Computerprogramms dient einer Verhinderung von nicht autorisierten Vervielfältigungen des Computerprogramms.

Entsprechende Verfahren dienen beispielsweise außerdem als technische Voraussetzung, um Computerprogramme als Produkte über E-Commerce zu vertreiben. Bei bisher bekannten Verfahren zur Aktivierung von Computerprogrammen werden Computerpro- gramme anhand jeweils eines Registrierungsschlüssels freige- schaltet. Für eine Freischaltung eines Computerprogramms wird der Registrierungsschlüssel, der einer Computerprogrammlizenz fest zugeordnet ist, manuell eingegeben bzw. von einem Daten- träger eingespielt. Insbesondere bei einer Vielzahl von auf unterschiedlichen Computern installierten Computerprogrammen resultiert hieraus ein hoher Addministrationsaufwand, der mit personalintensiven Bedien-und Wartungsarbeiten verbunden ist.

Aus EP 1 191 419 A2 ist Verfahren bekannt, bei dem vorgebbare Funktionen eines Computerprogramms für eine wählbare Nut- zungsdauer durch Modifikation eines Registrierungsschlüssel- paares freigeschaltet werden können. Das Registrierungs- schlüsselpaares weist zumindest eine gegenüber Benutzer- zugriffen gesperrten Teilinformation auf. Die freizuschalten- den Funktionen müssen nicht notwendigerweise bereits bei ei-

ner Erstinstallation des Computerprogramms für eine Frei- schaltung zur Verfügung gestanden haben, sondern können auch nachträglich hinzugewählt werden. Zur Freischaltung ist kein Einsatz von Bedien-und Wartungspersonal am Ort des Computers erforderlich, auf der das jeweilige Computerprogramm instal- liert ist.

Bestandteile des Registrierungsschlüsselpaares entsprechend dem in EP 1 191 419 A2 beschriebenen Verfahren sind Applika- tionsinformationen und ein Applikationswert. Die Applikati- onsinformationen werden an einem ersten Computer eingegeben, auf der das zu registrierende Computerprogramm installiert ist, bzw. durch den ersten Computer generiert. Der Applikati- onswert wird in einem zweiten Computer mittels Codierung aus den Applikationsinformationen berechnet.

Bei einer Registrierung eines Computerprogramms oder einer Änderung der Registrierung werden erste Applikationsinforma- tionen mit zumindest einer gegenüber Benutzerzugriffen ge- sperrten Teilinformation an den zweiten Computer übermittelt.

Im zweiten Computer wird aus den ersten Applikationsinforma- tionen ein Applikationswert berechnet, der nachfolgend an den ersten Computer übermittelt wird. Mittels Decodierung werden im ersten Computer aus dem Applikationswert zweite Applikati- onsinformationen ermittelt. Die ersten und die zweiten Appli- kationsinformationen werden bei einem Ausführungsbeginn des Computerprogramms auf Übereinstimmung überprüft. In Abhängig- keit der sich bei der Überprüfung ergebenden Abweichungen werden vorgebbare Funktionen des Computerprogramms freige- schaltet.

Der vorliegenden Erfindung liegt die Aufgabe zugrunde ein Verfahren, das einen erhöhten Schutz vor unberechtigter Be- nutzung von in einer Recheneinrichtung bereitgestellten Res- sourcen bietet, sowie eine zur automatisierten Durchführung des Verfahrens geeignete Implementierung anzugeben.

Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Anspruch 1 und ein Steuerungsprogramm mit den in An- spruch 10 angegebenen Merkmalen gelöst. Vorteilhafte Ausges- taltungen der vorliegenden Erfindung sind in den abhängigen Ansprüchen angegeben.

Erfindungsgemäß resultiert ein erhöhter Schutz vor unberech- tigter Benutzung von in einer Recheneinrichtung bereitge- stellten Ressourcen daraus, daß als eine Voraussetzung zur Einräumung eines Zugriffs auf ein computerbasiertes Objekt eine Speicherkarte mit einem Programmcodeprozessor und eine Lizenzinformation bereitgestellt werden. Auf der Speicherkar- te sind zumindest ein der Speicherkarte zugeordneter öffent- licher und privater Schlüssel sowie ein öffentlicher Schlüs- sel einer vertrauenswürdigen Instanz abgespeichert. Die Li- zenzinformation umfaßt zumindest einen mittels des der Spei- cherkarte zugeordneten öffentlichen Schlüssels verschlüssel- ten Lizenzcode und wird an einer den Zugriff auf das compu- terbasierte Objekt steuernden Recheneinrichtung bereitge- stellt. Der verschlüsselte Lizenzcode und eine mittels des privaten Schlüssels der vertrauenswürdigen Instanz digital signierte Angabe einer von der Speicherkarte auszuführenden Funktion zur Entschlüsselung des Lizenzcodes werden an die Speicherkarte übermittelt. Die digitale Signatur der Angabe der von der Speicherkarte auszuführenden Funktion wird nach- folgend überprüft. Bei positivem Überprüfungsergebnis wird die Funktion zur Entschlüsselung des Lizenzcodes durch die Speicherkarte ausgeführt und ein entschlüsselter Lizenzcode an die Recheneinrichtung übermittelt. Der entschlüsselte Li- zenzcode wird dann zumindest temporär zum Zugriff auf das computerbasierte Objekt bereitgestellt.

Unter Recheneinrichtung sind beispielsweise ohne Beschränkung der Allgemeinheit dieses Begriffs PCs, Notebooks, Server, PDAs, Mobiltelefone, Geldautomaten, Steuerungsmodule in der Automatisierungs-, Fahrzeug-, Kommunikations-oder Medizin- technik zu verstehen-allgemein Einrichtungen, in denen Com-

puterprogramme ablaufen können. Des weiteren sind computerba- sierte Objekte beispielsweise ohne Beschränkung der Allge- meinheit dieses Begriffs Betriebssysteme, Steuerungs-oder Anwendungsprogramme, durch Betriebssysteme, Steuerungs-oder Anwendungsprogramme bereitgestellte Dienste, Leistungsmerkma- le, Funktionen oder Prozeduren, Zugriffsrechte auf Periphe- riegeräte sowie auf einem Speichermedium befindliche Daten.

Entsprechend einer vorteilhaften Weiterbildung der vorliegen- den Erfindung wird der öffentliche Schlüssel der vertrauens- würdigen Instanz vor Manipulationen geschützt an der Rechen- einrichtung bereitgestellt. Außerdem ist die Lizenzinformati- on mittels eines privaten Schlüssels der vertrauenswürdigen Instanz digital signiert. Die digitale Signatur der Lizenzin- formation kann somit in der Recheneinrichtung anhand des öf- fentlichen Schlüssels der vertrauenswürdigen Instanz über- prüft werden. Auf diese Weise kann eine vertrauenswürdige und sichere Übermittlung der Lizenzinformation zur Recheneinrich- tung gewährleistet werden.

Vorteilhafterweise umfaßt die Lizenzinformation zusätzlich den der Speicherkarte zugeordneten öffentlichen Schlüssel.

Des weiteren wird der entschlüsselte Lizenzcode mittels des der Speicherkarte zugeordneten privaten Schlüssels digital signiert. Die digitale Signatur des entschlüsselten Lizenzco- des kann dann in der Recheneinrichtung anhand des der Spei- cherkarte zugeordneten öffentlichen Schlüssels überprüft wer- den. Dies bietet den Vorteil einer gesicherten Übertragung des entschlüsselten Lizenzcodes an die Recheneinrichtung, verbunden mit der Sicherstellung, daß der Lizenzcode tatsäch- lich mit der zur Entschlüsselung vorgesehenen Speicherkarte entschlüsselt worden ist.

Darüber hinaus kann die mittels des privaten Schlüssels der vertrauenswürdigen Instanz digital signierte Angabe der von der Speicherkarte auszuführenden Funktion zur Entschlüsselung des Lizenzcodes in der Recheneinrichtung aus dem verschlüs-

seltem Lizenzcode und einem Signatur-Objekt erzeugt werden.

Das Signatur-Objekt umfaßt nur einen Signaturanteil eines von der vertrauenswürdigen Instanz signierten Funktionsaufrufs zur Entschlüsselung des Lizenzcodes. Diese Ausgestaltung bie- tet den Vorteil, daß verfügbare Secure-Messaging-Verfahren für eine Übermittlung eines entsprechenden Funktionsaufrufs verwendet werden können. Ferner kann die Lizenzinformation zusätzlich das Signatur-Objekt umfassen, so daß eine gesi- cherte Bereitstellung des Signatur-Objektes gewährleistet werden kann.

Entsprechend einer weiteren vorteilhaften Ausgestaltung der vorliegenden Erfindung werden der verschlüsselte Lizenzcode und die mittels des privaten Schlüssels der vertrauenswürdi- gen Instanz digital signierte Angabe der von der Speicherkar- te auszuführenden Funktion über eine gesicherte Kommunikati- onsverbindung von der Recheneinrichtung über eine Leseein- richtung an die Speicherkarte übermittelt. Hierdurch werden Manipulationsmöglichkeiten zur unberechtigten Erlangung des Zugriffs auf das computerbasierte Objekt weiter einge- schränkt.

Vorteilhafterweise wird die digitale Signatur der Angabe der von der Speicherkarte auszuführenden Funktion anhand des öf- fentlichen Schlüssels der vertrauenswürdigen Instanz über- prüft. Dies dient einer Verhinderung einer unberechtigten Entschlüsselung des Lizenzcodes.

Gemäß einer weiteren Ausgestaltung der vorliegenden Erfindung wird in der Recheneinrichtung eine Zufallszahl erzeugt und diese an die Speicherkarte übermittelt. Der entschlüsselte Lizenzcode wird dann mittels des der Speicherkarte zugeordne- ten privaten Schlüssels und der Zufallszahl digital signiert.

Die digitale Signatur des entschlüsselten Lizenzcodes wird schließlich in der Recheneinrichtung anhand des der Speicher- karte zugeordneten öffentlichen Schlüssels und der Zufalls- zahl überprüft. Hierdurch ergibt sich ein wirksamer Wiederho-

lungsschutz, so daß ein Abfangen von zwischen der Speicher- karte und der Recheneinrichtung ausgetauschten Signalen keine wirksamen Manipulationsmöglichkeiten eröffnet.

Entsprechend einer bevorzugten Ausgestaltung der vorliegenden Erfindung werden zur Einräumung des Zugriffs auf das compu- terbasierte Objekt der entschlüsselte Lizenzcode und ein Ü- berprüfungsprozeßverlauf mit einer jeweiligen Soll-Vorgabe abgeglichen. Dies bietet zusätzliche Sicherheit, da ein Vor- liegen des entschlüsselten Lizenzcodes für eine Zugriffsbe- rechtigung alleine nicht mehr ausreichend ist, sondern an ei- nen erfolgreichen Überprüfungsprozeßverlauf gekoppelt ist.

Die vorliegende Erfindung wird nachfolgend an einem Ausfüh- rungsbeispiel anhand der Zeichnung näher erläutert.

Es zeigt die Figur eine schematische Darstellung eines Anwen- dungsumfeldes der vorliegenden Erfindung mit einem Informati- ons-und Meldungsaustausch zwischen einer vertrauenswürdigen Instanz, einer den Zugriff auf ein computerbasiertes Objekt steuernden Recheneinrichtung und einer Speicherkarte mit Pro- grammcodeprozessor.

Das in der Figur dargestellte Anwendungsumfeld der vorliegen- den Erfindung umfaßt eine vertrauenswürdige Instanz 10, einen Computer 20, ein mit dem Computer 20 verbundenes Smartcard- Terminal 30, in das eine Smartcard 40 einführbar ist. Die vertrauenswürdige Instanz 10 kann beispielsweise einem Her- steller einer gegen unberechtigten Zugriff zu schützenden Software zugeordnet sein und übernimmt eine Verwaltung von Lizenzen und zu Smartcard zugeordnetem Schlüsselmaterial. Der vertrauenswürdigen Instanz 10 ist ferner ein asymmetrisches Schlüsselpaar 11 zugeordnet, daß einen privaten und einen öf- fentlichen Schlüssel umfaßt. Zur Abspeicherung des zu Smart- card zugeordnetem Schlüsselmaterial ist eine Datenbasis 12 vorgesehen, welche öffentliche Schlüssel auszuliefernder bzw. bereits ausgelieferter Smartcards enthält.

Durch den Computer 20 werden für einen oder mehrere Benutzer Systemressourcen 22 verfügbar gemacht, die beispielsweise Programme oder Speicherbereiche mit Daten umfassen. Das hier beschriebene Verfahren zur Einräumung eines Zugriffs auf ein computerbasiertes Objekt ist grundsätzlich auf beliebige Sys- temressourcen anwendbar. Der Computer 20 steuert insbesondere einen Zugriff auf die Systemressourcen 22, die im vorliegen- den Fall auch Software des Herstellers umfassen, welchem die vertrauenswürdige Instanz 10 zugeordnet ist. Des weiteren wird der öffentliche Schlüssel 21 der vertrauenswürdigen In- stanz 10 vor Manipulation geschützt am Computer 20 bereitge- stellt.

Mit dem Computer 20 ist das Smartcard-Terminal 30 über eine gesicherte Kommunikationsverbindung verbunden. Das Smartcard- Terminal 30 dient zum Informations-und Meldungsaustausch zwischen dem Computer 20 und einer in das Smartcard-Terminal 30 einführbaren Smartcard 40, die eine Speicherkarte mit ei- nem Programmcodeprozessor darstellt. Auf der Smartcard 40 ist der öffentliche Schlüssel 41 der vertrauenswürdigen Instanz 10 sowie ein der Smartcard 40 zugeordnetes asymmetrisches Schlüsselpaar 42 abgespeichert, daß einen öffentlichen und einen privaten Schlüssel der Smartcard 40 umfaßt. Außerdem ist auf der Smartcard 40 zumindest ein Programm vorgesehen zur Ver-und Entschlüsselung unter Nutzung des asymmetrischen Schlüsselpaares 92 der Smartcard 40 und zur Verifizierung von mittels des privaten Schlüssels der vertrauenswürdigen In- stanz 10 erzeugten Signaturen. Die Verifizierung von Signatu- ren erfolgt dabei unter Zuhilfenahme des öffentlichen Schlüs- sel 41 der vertrauenswürdigen Instanz 10. Darüber hinaus ver- fügt die Smartcard 40 über einen Zufallszahlengenerator und ist vorzugsweise konform zu IFO 7816/4.

Am Computer 20 wird eine von der vertrauenswürdigen Instanz 10 erstellte Lizenzinformation 1 bereitgestellt. Die Lizenz- information 1 umfaßt einen mittels des der Smartcard 40 zuge-

ordneten öffentlichen Schlüssels verschlüsselten Lizenzcode (encSC (licencecode)), den der Smartcard 40 zugeordneten öf- fentlichen Schlüssel (pub SC) und ein Signatur-Objekt (DS-Object). Das Signatur-Objekt umfaßt nur einen Signaturan- teil eines von der vertrauenswürdigen Instanz 10 signierten Funktionsaufrufs (PSO_DEC-perform security operation mode decrypt) zur Entschlüsselung des Lizenzcodes mittels der Smartcard 40. Des weiteren ist die Lizenzinformation 1 mit- tels des privaten Schlüssels der vertrauenswürdigen Instanz 10 digital signiert (sig_TP), so daß die digitale Signatur der Lizenzinformation 1 im Computer 20 anhand des öffentli- chen Schlüssels 21 der vertrauenswürdigen Instanz 10 über- prüft werden kann.

Zur Realisierung eines Wiederholungsschutzes für den Informa- tions-und Meldungsaustausch zwischen dem Computer 20 und dem Smartcard-Terminal 30 bzw. der Smartcard 40 wird im Computer 20 eine Zufallszahl (rand) erzeugt und diese mittels einer Meldung 2 an die Smartcard 40 übermittelt (give random). Von der Smartcard 40 wird der Empfang der Zufallszahl durch eine Bestätigungsmeldung 3 quittiert. Nachfolgend wird eine Mel- dung 4 zur Entschlüsselung des Lizenzcodes vom Computer 20 an die Smartcard 40 übermittelt. Die Meldung 4 zur Entschlüsse- lung des Lizenzcodes umfaßt eine mittels des privaten Schlüs- sels der vertrauenswürdigen Instanz 10 digital signierte An- gabe einer von der Smartcard 40 auszuführenden Funktion zur Entschlüsselung des Lizenzcodes einschließlich des verschlüs- selten Lizenzcodes.

Die mittels des privaten Schlüssels der vertrauenswürdigen Instanz 10 digital signierter Angabe der von der Smartcard 40 auszuführenden Funktion zur Entschlüsselung des Lizenzcodes wird im Computer 20 aus dem von der Lizenzinformation 1 um- faßten Signatur-Objekt und dem verschlüsselten Lizenzcode er- zeugt. Auf diese Weise wird durch den Computer 20 im Namen der vertrauenswürdigen Instanz 10 ein von der vertrauenswür- digen Instanz 10 signiertes Secure-Messaging-Kommando

(SM-sig_TP) erstellt, wodurch sichergestellt wird, daß die Angabe der von der Smartcard 40 auszuführenden Funktion zur Entschlüsselung des Lizenzcodes und der verschlüsselte Li- zenzcode tatsächlich von der vertrauenswürdigen Instanz 10 ausgestellt worden sind.

Eine Überprüfung der digitalen Signatur der Angabe der von der Smartcard 40 auszuführenden Funktion durch die Smartcard 40 und einer Ausführung der Funktion zur Entschlüsselung des Lizenzcodes durch die Smartcard 40 bei positiven Überprü- fungsergebnis zum Schutz vor Manipulationsversuchen durch Bildung eines gemeinsamen funktionalen Kontextes miteinander verknüpft. Insbesondere ist sichergestellt, daß eine Ent- schlüsselung des Lizenzcodes nur durch eine dafür vorgesehene Smartcard möglich ist.

Nach Ausführung der Funktion zur Entschlüsselung des Lizenz- codes (perform securitiy operation mode decrypt, angewendet auf den mittels des öffentlichen Schlüssels der Smartcard 40 verschlüsselten Lizenzcode) und Entschlüsselung wird der ent- schlüsselte Lizenzcode unter Anwendung von Secure-Messaging mittels einer Meldung 5 an den Computer 20 übermittelt. Zur Anwendung von Secure-Messaging wird der entschlüsselte Li- zenzcode mittels des der Smartcard 40 zugeordneten privaten Schlüssels und der von dem Computer 20 erzeugten Zufallszahl digital signiert (SMrandsigSC). Nach Übermittlung an den Computer 20 wird die digitale Signatur des entschlüsselten Lizenzcodes durch den Computer 20 anhand des der Speicherkar- te zugeordneten öffentlichen Schlüssels und der Zufallszahl überprüft. Grundsätzlich wäre es bereits ausreichend, den entschlüsselten Lizenzcode lediglich mittels des der Smart- card 40 zugeordneten Privatschlüssels digital zu signieren und die digitale Signatur anhand des öffentlichen Schlüssels der Smartcard 40 zu überprüfen. Dies würde jedoch einen Ver- zicht auf den Wiederholschutz bedeuten. Je nach Anwendungs- falle und Sicherheitsanforderungen kann daher eine entspre- chende Abwägung angemessener Maßnahmen vorgenommen werden.

Nach Überprüfung der digitalen Signatur des entschlüsselten Lizenzcodes wird dieser zumindest temporär zum Zugriff auf die geschützte Software bzw. ein computerbasiertes Objekt be- reitgestellt. Um denkbare Manipulationsmöglichkeiten auszu- schließen, sollten der entschlüsselte Lizenzcode und ein Ü- berprüfungsprozeßverlauf mit einer jeweiligen Soll-Vorgabe vor Einräumung des Zugriffs auf die geschützte Software abge- glichen werden. Bei erfolgreichem Abgleich kann dann der Zugriff eingeräumt werden.

Die Steuerung des Ablaufs des Verfahrens zur Einräumung eines Zugriffs auf geschützte Software bzw. ein computerbasiertes Objekt ist durch ein Steuerungsprogramm implementiert, daß in einem Arbeitsspeicher des Computers 20 ladbar ist und zumin- dest ein Codeabschnitt aufweist, bei dessen Ausführung zu- nächst eine Übermittlung eines mittels eines einer Speicher- karte mit einem Programmcodeprozessor zugeordneten öffentli- chen Schlüssels verschlüsselten Lizenzcode und einer mittels eines privaten Schlüssels einer vertrauenswürdigen Instanz digital signierten Angabe einer von der Speicherkarte auszu- führenden Funktion zur Entschlüsselung des Lizenzcodes an die Speicherkarte veranlaßt wird. Ferner wird bei Ausführung des Codeabschnittes eine Überprüfung der digitalen Signatur der Angabe der von der Speicherkarte auszuführenden Funktion durch die Speicherkarte veranlaßt. Die digitale Signatur der Angabe der von der Speicherkarte auszuführenden Funktion wird dabei anhand des öffentlichen Schlüssels der vertrauenswürdi- gen Instanz überprüft. Bei positivem Überprüfungsergebnis werden dann eine Ausführung der Funktion zur Entschlüsselung des Lizenzcodes durch die Speicherkarte und eine Übermittlung eines verschlüsselten Lizenzcodes an den Computer 20 veran- laßt. Schließlich wird bei Ausführung des Codeabschnittes der entschlüsselte Lizenzcode zumindest temporär zum Zugriff auf das computerbasierte Objekt durch den Computer 20 bereitge- stellt, wenn das Steuerungsprogramm im Computer 20 abläuft.

Die Anwendung der vorliegenden Erfindung ist nicht auf das hier beschriebene Ausführungsbeispiel beschränkt.