VERFFAHREN UND VORRICHTUNG UM ZUGREIFEN AUF GESCHÜTZTE DATEN DURCH EINE VIRTUELLE MASCHINE

Die vorliegende Erfindung betrifft ein Verfahren sowie eine Vorrichtung zum Zugreifen auf geschützte Daten durch eine virtuelle Maschine. Beim Betreiben von verteilten Rechnerinfrastrukturen soll die zur Verfügung stehende Rechenkapazität möglichst flexibel ge ^¬ handhabt werden können, so dass man Rechenleistung sehr schnell erweitern und die Verteilung von Diensten auf die Rechner dynamisch anpassen kann. Eine Möglichkeit dafür bie- tet die Technik der Virtualisierung, mit deren Hilfe auf einem Rechner vollkommen unabhängige sogenannte virtuelle Ma ^¬ schinen durch einen sogenannten Hypervisor ausgeführt werden können. Moderne Virtualisierungslösungen können mit entsprechender Hardwareunterstützung beliebige Betriebssysteme, Laufzeitumgebungen und Applikationen virtualisieren . Eine laufende Virtuelle Maschine kann jederzeit in einem sogenann ^¬ ten Image abgespeichert werden und auf einem beliebigen ande ^¬ ren Rechner mit einem Hypervisor wieder eingespielt und die Ausführung dort fortgesetzt werden. Dies wird als "Migrieren" einer virtuellen Maschine bezeichnet. Ein Vorteil dieses technischen Vorgehens ist, dass die Server besser ausgelastet sind, indem mehrere virtuelle Maschinen auf einem Server aus ^¬ geführt werden. Ein weiterer Vorteil ist, dass eine flexible Reaktion auf erhöhte oder verringerte Anforderungen einzelner virtueller Maschinen möglich ist. So kann beispielsweise eine virtuelle Maschine mit erhöhtem Ressourcenbedarf vorüberge ^¬ hend auf einen stärkeren Server transferiert und dort weiter ausgeführt werden. Durch die globale Verteilung von Rechnerinfrastruktur kann eine virtuelle Maschine weltweit migriert werden. Hierbei ist aber der Einfluss regulativer Anforderungen zu beachten, beispielsweise dass die Verbringung bestimmter Technologien in manchen Ländern verboten ist. Problematisch ist weiterhin, dass sich ein Nutzer einer derartigen Rechnerinfrastruktur in einem Land befindet, das unter einem Embargo anderer Länder steht. In einem solchen Fall darf die virtuelle Maschine ei ^¬ nes solchen Kunden nur in wenige Länder oder nur mit bestimmten Beschränkungen ausgeführt werden.

Der Trend zur Virtualisierung lässt dabei folglich auch den Bedarf zu einem wirksamen Kontrollmechanismus für virtuelle Maschinen wachsen. Auch auf der virtuellen Maschine selber werden Anwendungen oder Dokumente genutzt, die eines wirksa ^¬ men Zugriffs- oder Nutzungsschutzes bedürfen.

Anwendungen und Dokumente werden üblicherweise mit Hilfe ei ^¬ ner digitalen Rechteverwaltung vor einem unbefugten Zugriff geschützt .

Ein Beispiel für eine digitale Rechteverwaltung ist das En ^¬ terprise Rights Management (ERM) . Dies realisiert einen

Zugriffschütz auf Dokumente, unabhängig von einem Speicherort der Dokumente. Ein geschütztes Dokument kann von einem auto ^¬ risierten Anwender nur entsprechend seiner dafür geltenden Zugriffsrechte geöffnet und bearbeitet werden, unabhängig da ^¬ von, auf welcher Speichervorrichtung das Dokument gespeichert wurde bzw. an welche Recheneinheit das Dokument versandt wur ^¬ de. Ein nicht autorisierter Außenstehender, dem keine

Zugriffsrechte gewährt wurden, kann mit einer Kopie des Doku ^¬ ments, die zum Beispiel elektronisch übersendet wurde, keine Information erhalten.

In herkömmlichen Verfahren erfolgt eine Verschlüsselung von Dokumenten gemäß mindestens einem Verschlüsselungsalgorithmus. Der Herausgeber eines Dokuments verschlüsselt ein Doku ^¬ ment bevor er es freigibt und definiert zusätzlich die Rechte spezifischer Benutzer oder Gruppen am Inhalt des Dokuments in einer Rechteinformation. Die verschlüsselte Datei kann mitsamt der Rechteinformation an einen ERM Server übersendet werden. Zusätzlich kann die Rechteinformation einen Schlüssel aufweisen, der zum Verschlüsseln des Dokumentes verwendet wird. Da eben dieser Schlüssel eine geheime Information dar ^¬ stellt, kann die Rechteinformation mit dem öffentlichen

Schlüssel des ERM Servers verschlüsselt werden und der Her- ausgeber kann die Rechteinformation digital signieren.

Zusätzlich zu dem ERM Server, welcher einen zentralen Teil der Rechteverwaltung darstellt, gibt es einen ERM Client, welcher auf jeder zugreifenden Maschine installiert ist, wel- che zugriffsgeschützte Dokumente auslesen will. Der ERM

Client kann hierbei die Kommunikation mit dem ERM Server übernehmen, um den Schlüssel und die Rechte eines vorliegen ^¬ den Dokuments zu ermitteln. Der ERM Client kann die gelesenen Rechte an eine weitere Ausleseeinheit weitergeben, die für die Einhaltung der Rechte vorgesehen ist. Eine Entschlüsse ^¬ lung des Dokuments kann der ERM Client übernehmen, welcher ferner eine eventuell benötigte erneute Verschlüsselung zu einem späteren Zeitpunkt ausführt. Der Schlüssel kann durch den ERM Client mittels einer Verschlüsselungstechnik vor wei- teren Ausleseeinheiten geheim gehalten werden. Hierzu werden in herkömmlichen Verfahren Verschlüsselungstechniken bzw. Verschleierungstechniken wie das sogenannte Code-Obfuscation verwendet . Folglich muss aus der virtuellen Maschine über den eigenen

ERM Client eine Verbindung zum assoziierten ERM Server aufgebaut werden. Da auf einem Host -wie oben dargestellt- jedoch üblicherweise mehrere virtuelle Maschinen ausgeführt werden, sind auf einem Host auch mehrere unabhängige ERM Clients ak- tiv.

Die Verwendung mehrerer unabhängiger ERM Client Instanzen ist jedoch in mancher Hinsicht nachteilig. Da jede ERM Client In ^¬ stanz nur die eigenen ERM Rechteobjekte kennt und diese spei- chert und dieselben Rechteobjekte unter Umständen von verschiedenen virtuellen Maschinen benötigt werden, kann es folglich zu einer mehrfachen Anforderung derselben Rechteobjekte kommen. Nach dem Beenden einer virtuellen Maschine sind die Rechteobjekte eines ERM Clients der virtuellen Maschine zudem womöglich verloren und müssen bei der nächsten Verwendung der virtuellen Maschine erneut angefordert werden. Ein weiterer Nachteil ist, dass die Rechtegewährung für einen ERM Client innerhalb einer virtuellen Maschine durch ERM Server unabhängig davon ist, welcher Hypervisor die virtuelle Maschine ausführt und in welchem Host die virtuelle Maschine ausgeführt wird. Dies kann aus den oben angeführten Gründen zu Konflikten mit regulativen oder administrativen Vorgaben führen .

Die Aufgabe der vorliegenden Erfindung ist es daher, ein Verfahren zum Zugreifen auf geschützte Daten durch eine virtuel- le Maschine anzugeben, mit dem durch den Rechteinhaber vorgebbare Rechte zuverlässig und effizient durchgesetzt werden.

Erfindungsgemäß werden in einem Verfahren zum Zugreifen auf Daten durch eine virtuelle Maschine, bei dem durch einen Hy- pervisor eine virtuelle Ausführungsumgebung für die virtuelle Maschine bereitgestellt wird und bei dem die Daten durch eine digitale Rechteverwaltung geschützt sind,

durch eine Kontrollinstanz die folgenden Schritte ausgeführt, wobei die Kontrollinstanz durch den Hypervisor bereitgestellt wird:

- Anfordern mindestens einer Rechteinformation, welche den geschützten Daten zugeordnet ist,

- Ermitteln einer Nutzungsberechtigung für die Daten aus der mindestens einen angeforderten Rechteinformation, und

- Ermitteln eines Schlüssels aus der mindestens einen ange ^¬ forderten Rechteinformation bei einer ermittelten Nutzungsberechtigung für die geschützten Daten,

- Entschlüsseln der geschützten Daten mit dem ermittelten Schlüssel und Bereitstellen der entschlüsselten Daten im Um- fang der ermittelten Nutzungsberechtigung. Die erfindungsgemäße Vorrichtung zum Zugreifen auf Daten durch eine virtuelle Maschine, wobei die Daten durch eine di ^¬ gitale Rechteverwaltung geschützt sind,

weist einen Hypervisor auf, durch den eine virtuelle Ausfüh- rungsumgebung für die virtuelle Maschine bereitgestellt wird, und eine Kontrollinstanz, die durch den Hypervisor bereitgestellt wird und die folgenden Schritte ausführt:

- Anfordern mindestens einer Rechteinformation, welche den geschützten Daten zugeordnet ist,

- Ermitteln einer Nutzungsberechtigung für die Daten aus der mindestens einen angeforderten Rechteinformation, und

- Ermitteln eines Schlüssels aus der mindestens einen ange ^¬ forderten Rechteinformation bei einer ermittelten Nutzungsberechtigung für die geschützten Daten,

- Entschlüsseln der geschützten Daten mit dem ermittelten

Schlüssel und Bereitstellen der entschlüsselten Daten im Umfang der ermittelten Nutzungsberechtigung.

Weitere vorteilhafte Ausgestaltungen der Erfindung sind Ge- genstand der Unteransprüche sowie der im Folgenden beschrie ^¬ benen Ausführungsbeispiele. Im Weiteren wird die Erfindung anhand beispielhafter Implementierungen unter Bezugnahme auf die beigelegten Figuren näher erläutert. Es zeigen Figur 1 ein Blockdiagramm einer ersten Systemarchitektur für ein erfindungsgemäßes Verfahren mit einem ERM Client im Hypervisor und einem untergeordneten ERM Client in einer virtuellen Maschine, Figur 2 ein Blockdiagramm einer zweiten Systemarchitektur für ein erfindungsgemäßes Verfahren mit einem ERM Client im Hypervisor.

Bei Virtualisierung wird ein Gast- Betriebssystem in einer virtuellen Maschine ausgeführt. Eine virtuelle Maschine ist ein virtueller Computer, welcher als Software ausgeführt ist. Die virtuelle Maschine wird jedoch auf einem Host, also einem physisch existierenden Computer, ausgeführt. Auf einem physi- sehen Computer können gleichzeitig mehrere virtuelle Maschi ^¬ nen betrieben werden.

Ein Hypervisor oder Virtual Machine Monitor (VMM) ist eine Virtualisierungssoftware, die eine Umgebung für virtuelle Ma ^¬ schinen schafft. Die Virtualisierungssoftware lässt sich in einen Typ 1 und einen Typ 2 unterscheiden. Typ 1 läuft ohne weitere Software direkt auf der Hardware. Typ 2 setzt auf ein vollwertiges Betriebssystem auf.

Bei Typ 1 stellt die Plattform eine Virtualisierungslösung als eigene Schicht bzw. als Host Betriebssystem zur Verfü ^¬ gung. Gastsysteme laufen in eigenen Containern. Ein Typ-1- Hypervisor verbraucht in der Regel weniger Ressourcen, muss aber selbst über Treiber für alle Hardware verfügen.

Bei Typ 2 läuft eine Virtualisierungssoftware auf einem Stan ^¬ dardbetriebssystem, in der wiederum Gastbetriebssysteme laufen können. Parallel können auf dem Host auch native Applika- tionen laufen. Ein Typ-2-Hypervisor nutzt die Gerätetreiber des Betriebssystems, unter dem er läuft.

Virtual Machine Migration ermöglicht das Bewegen einer virtu ^¬ ellen Maschine von einem physikalischen Host zu einem ande- ren. Dabei wird im wesentlichen ein Speicherabbild (Image) einer virtuellen Maschine von einem Host zu einem anderen gesendet. Diese Migration kann auch im laufenden Betrieb vonstatten gehen. Ein Aspekt der vorliegenden Erfindung ist es, einen ERM

Client auf dem Hypervisor mit einer Proxy Funktionalität aus ^¬ zustatten und dadurch die ERM-Clients innerhalb der virtuel ^¬ len Maschinen überflüssig zu machen. Die virtuellen Maschinen verwenden dann entweder direkt den ERM-Client des Hypervisors über eine definierte Schnittstelle oder der innerhalb der virtuellen Maschine ausgeführte ERM-Client leitet Anfragen an den ERM-Client im Hypervisor weiter und arbeitet nur noch als ERM-Client-Stub. Ein Proxy arbeitet als "Vermittler", der Client-Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zu anderen Servern herzustellen. Ein typischer Proxy wird zum Beispiel dafür verwendet mehreren Client Systemen eines in ^¬ ternen Netzes Zugriff auf einen externen Server zu geben. Dabei bleibt dem Server die Adresse des Clients verborgen. Der ^¬ artige Proxies werden oft in Firmennetzen eingesetzt. Daneben existiert das Konzept eines Reverse Proxies, wobei hier die Adressumsetzung in der entgegengesetzten Richtung vorgenommen wird und so dem Client die wahre Adresse des Zielsystems ver ^¬ borgen bleibt. Derartige Systeme werden zum Beispiel als Load Balancer eingesetzt. Die Funktionalität des ERM Clients als Proxy erlaubt dem Hy ^¬ pervisor ERM bezogene Verbindungen, die aus den virtuellen Maschinen heraus aufgebaut werden, zu kontrollieren und an die entsprechenden ERM Server weiterzuleiten. Diese Funktionalität kann nicht nur für ERM Anfragen aus einer virtuellen Maschine genutzt werden, sondern erlaubt es dem Hypervisor auch, die ERM Abfragen für eine beliebige Zahl von virtuellen Maschinen durchzuführen, die im Kontext des Hypervisors aus ^¬ geführt werden. Der Hypervisor kann die empfangenen Rechteobjekte auch speichern, und diese entsprechend der Gültigkeit des Rechteobjektes vorhalten. Damit kann im Falle einer er ^¬ neuten Abfrage der Hypervisor gleich das Rechteobjekt an den ERM Client in der Virtuellen Maschine weiterleiten.

In einer weiteren Variante kann der ERM-Proxy ERM-Maßnahmen innerhalb der virtuellen Maschine umsetzten, bei denen sowohl die ausgeführte virtuelle Maschine als auch der ausführende Host berücksichtigt werden. Damit können dann zum Beispiel bestimmte Rechte innerhalb einer virtuellen Maschine zusätz ^¬ lich abhängig von der physikalischen Ausführungsumgebung, al- so dem Host, definiert werden.

Die Rechteobjekte können in der jeweiligen virtuellen Maschine gespeichert werden oder -auch zusammen mit Rechteobjekten der virtuellen Maschine- im Hypervisor. Im letzteren Fall erfolgt der Zugriff auf die Rechteobjekte dann entweder über eine dedizierte Schnittstelle oder über eine Netzwerkverbin ^¬ dung, die lokal im Hypervisor terminiert wird.

In einer weiteren Variante kann sich der Nutzer der virtuellen Maschine authentisieren . Bei der Anforderung des eigentlichen Rechteobjektes aus der virtuellen Maschine heraus ge ^¬ genüber dem Server fügt der ERM-Proxy eine Information über den Hypervisor ein, beziehungsweise authentisiert diesen. Da ^¬ durch kann der ERM-Server auswerten, welcher Nutzer und welcher Hypervisor eine Berechtigung anfordern. So kann zum Beispiel realisiert werden, dass eine bestimmte Applikation in ^¬ nerhalb einer virtuellen Maschine, wenn sie in Europa läuft, das Recht zur Ausführung bekommt, aber nicht mehr, wenn sie in einer virtuellen Maschine läuft, die außerhalb der Europä ^¬ ischen Union migriert wurde. Parallel dazu können Applikatio ^¬ nen für andere Dokumente, die ebenfalls ERM geschützt sind, weiterhin Ausführungsrechte haben, auch wenn sie sich in ei- ner virtuellen Maschine auf einem Hypervisor außerhalb der Europäischen Union befinden.

Die Figur 1 zeigt schematisch ein erstes Rechnersystem R, welches in einer Ausführungsform eines erfindungsgemäßen Ver- fahrens zum Zugreifen auf geschützte Daten durch eine virtu ^¬ elle Maschine als Hostsystem für eine Virtualisierung verwendet werden kann. Das Hostsystem weist eine Vielzahl von Hardware-Komponenten HW, zum Beispiel den Netzwerkadapter NIC und die Festplatte HD, auf. Auf dem Hostrechner R kommt ein Host- betriebssystem H-OS zum Einsatz, welches als ein Hypervisor vom Typ 1 ausgebildet ist. Der Hypervisor umfasst einen ERM Client/Proxy und verwaltet zwei Rechteobjekte ROI und R02, die jeweils die Nutzungsrechte für die Ausführung einer vir ^¬ tuellen Maschine definieren. Diese Rechteobjekte sind direkt an die jeweilige virtuelle Maschine gebunden.

Auf dem Hostbetriebssystem H- OS laufen zwei ERM geschützte virtuelle Maschinen VM1 und VM2. Es wird durch den Hypervisor jeweils eine virtuelle Hardware V-HW1, V-HW2 mit einem virtu ^¬ ellen Netzwerkadapter VNIC1, VNIC2 und virtueller Festplatte VHD1, VHD2 bereitgestellt. In der virtuellen Maschine läuft jeweils ein Gast Betriebssystem G-OS1 und G-OS2. Weiterhin laufen im Benutzer Modus Gl-UL, G2-UL der jeweiligen virtuellen Maschine Anwendungsprogramme AP.

Über den Netzwerkadapter NIC ist der Rechner mit einem Netzwerk verbunden, über das beispielsweise ein ERM Server kon- taktierbar ist.

Zudem arbeitet der ERM Client als ERM Proxy für Applikationen AP in der virtuellen Maschine. Hierzu werden in den jeweiligen virtuellen Maschinen VM1, VM2 die Rechteobjekte für die jeweiligen Applikationen/Daten (ROAPI , ROAP2) in einem eige ^¬ nen ERM Client verwaltet.

Die Figur 2 zeigt schematisch ein zweites Rechnersystem R, welches in einer Ausführungsform eines erfindungsgemäßen Ver- fahrens zum Zugreifen auf geschützte Daten durch eine virtu ^¬ elle Maschine als Hostsystem für eine Virtualisierung verwendet werden kann. Gleiche bzw. funktionsgleiche Elemente sind in Figur 2 mit den gleichen Bezugszeichen wie in Figur 1 versehen. Im Unterschied zu Figur 1 umfasst der Hypervisor neben dem ERM Client/Proxy und den zwei Rechteobjekte ROI und R02, zusätzlich die Rechteobjekte RO^pi _unc [ ROAP2.

In dieser Variante erfolgt die Kommunikation der virtuellen Maschine mit der Kontrollinstanz (hier ERM Client/Proxy) dann entweder über ein dediziertes Interface oder eine spe ^¬ zielle Netzwerkverbindung, die im Hypervisor terminiert wird. In diesem Fall ist demnach kein eigener ERM Client in der virtuellen Maschine erforderlich. Im Client-Modus prüft der ERM- Client des Hypervisors vor dem Start einer virtuellen Maschine auf einem Rechner/Host die Nutzungsbedingungen des Virtuelle Maschine-Images. Abhängig vom Ergebnis wird die Ausführung der virtuelle Maschine ge ^¬ währt oder verweigert.

Dazu werden folgende Schritte durch den Hypervisor, der dazu die Funktionalität eines ERM Clients umfasst, durchgeführt:

- Empfang eines Signals zum Anstarten einer bestimmten VM

- Laden des ERM- geschützten VM- Images der anzustartenden VM

- Authentisierung gegenüber einem Rechte Server (ERM-Server)

- Anfordern der der anzustartenden VM zugeordneten Rechtein- formation vom Rechte-Server (ERM-Server)

- Empfang eines Rechteobjekts der anzustartenden VM vom Rechte-Server (ERM-Server)

- Bestimmen der Berechtigung zum Start der VM

- Im negativen Fall: Abbruch (Ausführung der VM wird verwei- gert)

- Im positiven Fall: Ermitteln eines Schlüssels aus der

Rechteinformation; Aufheben des ERM-Schutzes des ERM- geschützten VM-Images (d.h. Entschlüsseln des VM-Images mit- hilfe des ermittelten Schlüssels) ; Ausführen des entschlüs- selten VM-Images

Im Proxy-Modus verarbeitet der ERM Client des Hypervisors, das heißt der ERM-Proxy, Anfragen, die aus der virtuellen Ma ^¬ schine kommen, zum Beispiel zum Zugriff auf bestimmte Daten. Dabei werden folgende Schritte durchgeführt:

- Empfang eines Signals zum Zugriff auf dedizierte Daten von einer Applikation, die innerhalb der VM läuft. Hierzu kann zum Beispiel eine dedizierte Netzwerkverbindung genutzt wer ^¬ den, die auf den lokalen ERM Client auf dem Hypervisor umge- leitet wurde.

- Feststellen der angeforderten Zugriffsrechte

- Authentisierung des Nutzers der Applikation und gegebenenfalls des Hypervisors selbst gegenüber einem Rechte-Server (ERM-Server)

- Anfordern des den Daten zugeordneten Rechteobjekts vom Rechte-Server (ERM-Server)

- Empfang eines Rechteobjekts der für die zu verarbeitenden Daten vom Rechte-Server (ERM-Server) - Bestimmen der Berechtigung zum Zugriff auf die Daten

- Im negativen Fall: Abbruch

- Im positiven Fall (das heißt von dem gegebenen User können für das gegebene Dokument in der gegebenen Applikation auf dem laufenden Hypervisor die vom ERM-Server gelieferten Rechten genutzt werden) : Bestimmen eines Schlüssels aus dem Rechteobjekt; Aufheben des ERM-Schutzes der ERM-geschützten Daten (das heißt Entschlüsseln der Daten mithilfe des bestimmten Schlüssels) ;

Verarbeiten der ungeschützten Daten

- Zusätzlich können die angeforderten Rechte mit den Rechteobjekten der virtuellen Maschine abgeglichen werden, zum Beispiel bezüglich einer bestimmten Ausführungsumgebung um abhängig davon eventuell die Rechte auf den Daten zu operieren weiter einschränken zu können.

Die beschriebenen Verfahrensschritte können iterativ und/oder in anderer Reihenfolge ausgeführt werden. Durch die vorgeschlagene Lösung kann die Ausführung / der

Zugriff auf ERM geschützte Dokumente innerhalb einer Virtuel ^¬ len Maschine bei einem Infrastrukturprovider flexibel eingeschränkt werden. Als Entscheidungskriterium kann auf einem ERM-Server zusätzlich neben dem VM-Image-Nutzer ausgewertet werden, auf welchem Hypervisor ein virtuelle Maschine-Image läuft. Darüber hinaus kann dieser Zugriff mit den ERM- Rechteobj ekten des virtuellen Maschine Images gekoppelt werden und somit noch flexibler gestaltet werden. Dadurch können regulative oder durch administrative Vorgaben gewünschte Be- schränkungen robust (auch innerhalb einer virtuellen Maschine) realisiert werden. Durch die angewendeten ERM-Maßnahmen besteht sowohl für den Betreiber als auch für den Anwender die Möglichkeit die Zugriffsbedingungen zur virtuelle Maschine und Daten in der virtuellen Maschine zu kontrollieren be- ziehungsweise zu beeinflussen.

Ebenso ist es möglich im ERM Proxy Rechteobjekte zwischenzu- speichern (cachen) und somit im Rahmen der Gültigkeit des Rechteobjektes schneller auf entsprechende Anfragen reagieren zu können. Dies erspart dann auch die notwendige Kommunikati ^¬ on zwischen dem ERM Proxy und dem eigentlichen ERM Server.