PatentDe  


Dokumentenidentifikation DE10058175C1 08.08.2002
Titel Verfahren und Einrichtung zur automatischen Markierung von Ausdrucken einer Datenverarbeitungsanlage
Anmelder Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., 80636 München, DE
Erfinder Wolthusen, Stephen, Dipl.-Inform., 68642 Bürstadt, DE;
Busch, Christoph, Dr.-Ing., 64297 Darmstadt, DE
Vertreter Gagel, R., Dipl.-Phys.Univ. Dr.rer.nat., Pat.-Anw., 81241 München
DE-Anmeldedatum 22.11.2000
DE-Aktenzeichen 10058175
Veröffentlichungstag der Patenterteilung 08.08.2002
Veröffentlichungstag im Patentblatt 08.08.2002
IPC-Hauptklasse G09C 5/00
IPC-Nebenklasse H04L 9/00   H04N 1/32   
Zusammenfassung Die vorliegende Erfindung betrifft ein Verfahren sowie eine Einrichtung zur automatischen Markierung von Ausdrucken einer Datenverarbeitungsanlage, an der ein Nutzer einen Ausdruck eines Dokumentes in Auftrag gibt und zumindest ein Teil der Dokumentdaten des Dokumentes mit einer für den Nutzer am Ausdruck nicht unmittelbar wahrnehmbaren Markierung versehen wird. Das Verfahren und die Einrichtung zeichnen sich dadurch aus, dass über einen Mechanismus für die Ausführung des Druckauftrages generierte Druckdaten, die zumindest die Dokumentdaten und Steuerdaten umfassen, innerhalb der Datenverarbeitungsanlage in einer für den Nutzer nicht zugänglichen Betriebssystemebene über eine Markierungskomponente umgeleitet werden, die die Markierung der Dokumentdaten vornimmt.
Das Verfahren ermöglicht eine sichere Markierung aller ausgedruckten Dokumente, anhand derer der Auftraggeber des Ausdrucks sowie die Authentizität des jeweiligen Dokumentes leicht festgestellt werden können.

Beschreibung[de]
Technisches Anwendungsgebiet

Die vorliegende Erfindung betrifft ein Verfahren sowie eine Einrichtung zur automatischen Markierung von Ausdrucken einer Datenverarbeitungsanlage, an der ein Nutzer einen Ausdruck eines Dokumentes in Auftrag gibt, wobei zumindest ein Teil der Dokumentdaten des Dokumentes mit einer für den Nutzer am Ausdruck nicht unmittelbar wahrnehmbaren Markierung versehen wird. Die Erfindung betrifft weiterhin eine Datenverarbeitungsanlage, die mit einer derartigen Einrichtung ausgestattet ist.

Das Anwendungsgebiet der vorliegenden Erfindung erstreckt sich über alle Bereiche, in denen die Authentizität von Dokumenten zweifelsfrei nachgewiesen werden muss, in denen die Person, die den Ausdruck erstellt hat, ermittelt sowie die exakten Umstände beim Ausdrucken des Dokumentes später nachgewiesen werden müssen, oder in denen eine zentrale Registrierung sämtlicher Ausdrucke einer Datenverarbeitungsanlage vorgenommen werden soll. Gerade beim Umgang mit sensiblen Dokumenten, beispielsweise firmeninternen vertraulichen Daten, ist eine ständige Kontrollmöglichkeit über die Verbreitungswege dieser zunächst in elektronischer Form vorliegenden Dokumente wünschenswert. Dies betrifft insbesondere die Möglichkeit, anhand eines ausgedruckten Dokumentes erkennen zu können, welcher Nutzer für den individuellen Ausdruck verantwortlich ist. Weiterhin sollte an dem Ausdruck bzw. einer Kopie des Ausdruckes feststellbar sein, ob die darin enthaltenen Daten unverändert sind oder gegebenenfalls verändert wurden.

Stand der Technik

Zum Schutz vor unberechtigten Manipulationen an Dokumenten oder vor unberechtigter Verteilung sensibler Dokumente sind zahlreiche Techniken bekannt, die jedoch entweder umständlich zu handhaben sind oder deren Sicherheit nicht den heutigen Anforderungen entspricht.

So ist es zum Nachweis der Authentizität von Ausdrucken bekannt, die Ausdrucke auf spezielles Papier auszugeben, das ein oder mehrere Wasserzeichen enthält und nicht Jedermann verfügbar ist. Dies erfordert jedoch, dass ständig Vorräte des speziellen Papiers für Ausdrucke vorhanden sind und schließt zudem nicht aus, dass leere Blätter dieses Papiers in die Hände Unbefugter gelangen können. Letzteres ist besonders dann kaum zu verhindern, wenn die Ausdrucke nicht in einem jederzeit kontrollierten Umfeld stattfinden. Die Bereithaltung des speziellen Papiers stellt außerdem einen nicht unerheblichen Kostenfaktor dar.

Eine vergleichsweise kostengünstige Methode besteht darin, spezielle Vordrucke für die Erstellung der Dokumente zu verwenden. Mit Ausnahme des Kostenfaktors weist diese Methode jedoch die gleichen Nachteile auf, wie sie bei der Verwendung von Papierbögen mit eingebrachtem Wasserzeichen vorliegen. Weiterhin kommt hinzu, dass gerade bei den kostengünstigeren Druckverfahren für Vordrucke auch die Nachahmung derartiger Vordrucke entsprechend leichter fällt. Bei vergleichbarer Sicherheit fällt daher die bei diesem Verfahren erzielbare Kostenersparnis gegenüber der Verwendung von Papierbögen mit eingebrachtem Wasserzeichen nur gering aus.

Ein relativ sicheres Verfahren zum Nachweis der Authentizität von Ausdrucken besteht darin, sogenannte digitale Wasserzeichen beim Ausdruck in das Dokument einzubetten, anhand dessen eine spätere Manipulation am Ausdruck nachgewiesen werden kann. Derartige digitale Wasserzeichen beinhalten beispielsweise einen Hash-Wert über die Original-Dokumentdaten, anhand dessen eine spätere Veränderung dieser Daten erkennbar ist. Ein Verfahren zum Generieren eines digitalen Wasserzeichens ist beispielsweise aus der DE 198 47 943 A1 bekannt.

Zum Schutz vor unbefugten Ausdrucken und Kopien sensibler Dokumente sind Verfahren bekannt, bei denen numerierte Druckseiten eingesetzt werden. Diese Druckseiten werden in laufender Folge beispielsweise mit magnetischer Tinte mit einer entsprechenden Numerierung versehen, wobei jede Druckseite eine eindeutige Nummer erhält. Dies erfordert einen erheblichen Aufwand, da über die Verwendung der einzelnen numerierten Blätter Buch geführt werden muss und eine Vernichtung von nicht verwendeten Blättern, beispielsweise aufgrund von Fehldrucken, in gleicher Weise entsprechend dokumentiert werden muss. Ein derartig erstellter Ausdruck ist auf der anderen Seite leicht manipulier- und vervielfältigbar, ohne an der späteren Kopie einen Anhaltspunkt über den für den Ausdruck verantwortlich zeichnenden Nutzer finden zu können.

Zur Vermeidung von unerlaubten Kopien ist es ebenfalls bekannt, nicht durch Hektographiergeräte kopierbare Vordergrund-/Hintergrundfarbkombinationen im Ausdruck einzusetzen. Dieses Verfahren ist jedoch einerseits aufgrund der Beanspruchung des Lesers insbesondere für längere Dokumente kaum zumutbar, andererseits ist es aufgrund der Fortschritte in der Reproduktionsverfahrenstechnik bei entsprechendem Aufwand dennoch möglich, mit konventionellen Hektographiergeräten nicht kopierbare Vorlagen zu duplizieren. Weiterhin lässt sich bei diesem Verfahren wiederum der Ausdruck nicht dem Nutzer zuordnen, der den Ausdruck veranlasst hat.

Ein verbessertes Verfahren zum Schutz der Verbreitung von sensiblen Dokumenten ist aus der Veröffentlichung "Secure Printing - White Paper", Juni 1999, Seiten 1 bis 9, der Fa. Software Metrics, Inc. bekannt (siehe www.metrics.com/products/library.asp). Bei dem dort vorgestellten Server-basierten System werden die Informationen über sämtliche Ausdrucke innerhalb des Netzwerkes, d. h. insbesondere über den Dokumentnamen, den Nutzer, der den Ausdruck veranlasst, sowie den Zeitpunkt des Ausdrucks, in einer zentralen Datenbank aufgezeichnet. Jeder Ausdruck wird weiterhin mit einer im wesentlichen unsichtbaren digitalen Markierung in Form eines Dot-Musters versehen, der dem Ausdruck eine eindeutige Identität zuweist. Dieses Dot- Muster wird beim Ausdruck des Dokumentes zusätzlich in den Druckdatenstrom eingespeist. Weiterhin werden alle gedruckten Dokumente im Original archiviert bzw. gespeichert. Auf diese Weise ist es bei Auffinden eines Ausdrucks oder einer Kopie desselben möglich, die enthaltene Markierung mit einer geeigneten Technik zu erkennen, die darin enthaltene Identifikationsinformation des Dokumentes zu erfassen und mit den Einträgen in der zentralen Datenbank zu vergleichen. Durch diesen Vergleich kann zurückverfolgt werden, wer den entsprechenden Ausdruck veranlasst hat. Weiterhin kann durch Vergleich mit dem gespeicherten Original erkannt werden, ob die Kopie nachträglich verändert wurde.

Das Verfahren erfordert jedoch eine umfangreiche Dokumentation bzw. Aufzeichnung sämtlicher Vorgänge in einer zentralen Datenbank. Ein Ausdruck auf einem nicht mit dem Netzwerk verbundenen Rechner kann hierbei nicht erfasst werden. Weiterhin besteht die Möglichkeit, dass der Nutzer bei Kenntnis des für ihn zunächst nicht erkennbaren Markierungsverfahrens die Registrierung seines Ausdrucks in der zentralen Datenbank umgehen kann.

Die Aufgabe der vorliegenden Erfindung besteht darin, ein Verfahren sowie eine Einrichtung zur automatischen Markierung von Ausdrucken einer Datenverarbeitungsanlage anzugeben, die eine sehr sichere automatische Markierung aller Ausdrucke ermöglichen, anhand derer ohne großen Aufwand der den Ausdruck veranlassende Nutzer festgestellt werden kann. Weiterhin sollten das Verfahren und die Einrichtung eine Möglichkeit bieten, die Authentizität der Ausdrucke bzw. von Kopien dieser Ausdrucke auf einfache Weise feststellen zu können.

Darstellung der Erfindung

Die Aufgabe wird mit dem Verfahren nach Anspruch 1 und der Einrichtung nach Anspruch 13 gelöst. Vorteilhafte Ausgestaltungen des Verfahrens bzw. der Einrichtung sind Gegenstand der Unteransprüche.

Bei dem Verfahren zur automatischen Markierung von Ausdrucken einer Datenverarbeitungsanlage, an der ein Nutzer einen Ausdruck eines Dokumentes in Auftrag gibt, wird zumindest ein Teil der Dokumentdaten des Dokumentes mit einer für den Nutzer am Ausdruck nicht unmittelbar wahrnehmbaren Markierung, beispielsweise einem digitalen Wasserzeichen, versehen. Das Verfahren zeichnet sich dadurch aus, dass für die Ausführung des Druckauftrags generierte Druckdaten, die zumindest die Dokumentdaten und Steuerdaten umfassen, innerhalb der Datenverarbeitungsanlage in einer für den Nutzer nicht zugänglichen Betriebssystemebene über eine Markierungskomponente umgeleitet werden, die die Markierung der Dokumentdaten vornimmt. Die Einrichtung ist hierzu mit einer Markierungskomponente zur Markierung der Dokumentdaten sowie mit einem Mechanismus ausgestattet, der die Druckdaten in der für den Nutzer nicht zugänglichen Betriebssystemebene abfängt und über die Markierungskomponente umleitet.

Die Einrichtung besteht aus zumindest zwei unterschiedlichen Komponenten. Zum einen einem Mechanismus, der dazu dient, die vom Betriebssystem der Datenverarbeitungsanlage erzeugten Druckdaten abzufangen, an eine Markierungskomponente weiterzuleiten und nach der Markierung wieder in die Verfahrenskette des Betriebssystems einzuspeisen. Die Ausgestaltung dieses Mechanismus ist vom jeweils zur Verfügung stehenden Betriebssystem der Datenverarbeitungsanlage abhängig, dessen Befehlssätze bekannt sein müssen, um die Druckdaten im Datenstrom erkennen und ausfiltern zu können.

Die zweite beteiligte Komponente, die Markierungskomponente, die von der ersten Komponente die unmodifizierten Druckdaten erhält - die ohne Einschaltung der ersten Komponente direkt an den jeweiligen Drucker weitergeleitet werden würden -, führt die Markierung der Druckdaten durch und leitet die auf diese Weise modifizierten Druckdaten anschließend an die erste Komponente zurück, die ihrerseits die Weitergabe an den selektierten Druckmechanismus durchführt.

Die Umleitung der Druckdaten, d. h. die Kontrolle des Datenstroms durch die erste Komponente sowie die Markierung der ausgefilterten Druckdaten durch die zweite Komponente, erfolgen bei der vorliegenden Erfindung in einer für den Nutzer nicht zugänglichen Betriebssystemebene, so dass dieser keinerlei Einfluss auf die automatische Durchführung der Markierung nehmen kann. Unter Nutzer ist hierbei eine zum bestimmungsgemäßen Gebrauch der Datenverarbeitungsanlage berechtigte Person zu verstehen, die nicht die Berechtigungen eines System-Administrators hat.

Selbstverständlich muss bei Einsatz des Verfahrens bzw. der Einrichtung auch verhindert werden, dass an den regulären Mechanismen zur Bereitstellung von Druckdiensten des Betriebssystems vorbei keinerlei Druckdaten gelangen können. Dies kann jedoch in der Regel mit den vorhandenen Mitteln des jeweiligen Betriebssystems sichergestellt werden.

Die erste Komponente profitiert von einem geschichteten Aufbau aller modernen Betriebssysteme, die es gestatten, indirekt zusätzliche Komponenten in bestehende Verfahrensabläufe einzufügen. Im Falle von Druckdaten ist es daher möglich, in einem durch das Betriebssystem bereitgestellten Zwischenformat vorliegende (Druck-)Daten vergleichsweise einer Filtrierung abzufangen, zu modifizieren und anschließend erneut in den Datenstrom einzuspeisen. Dieses Zwischenformat ist ein von spezifischen Druckern unabhängiges Format. Es reicht daher aus, den Mechanismus der Filtrierung zur Anwendung auf das Zwischenformat auszubilden, um dadurch implizit sämtliche vom jeweiligen Betriebssystem unterstützte Drucksysteme markieren zu können. Weiterhin können bei geeigneter Plazierung der Filtrierungskomponente bzw. des Mechanismus sämtliche Ausprägungen der Ansteuerung von Druckern, wie beispielsweise die serielle Schnittstelle, die parallele Schnittstelle, der Universal Serial Bus sowie Netzwerkdruckmechanismen, gleichzeitig mit nur einer einzigen Komponente abgedeckt werden. Vorzugsweise ist der Mechanismus hierfür im Datenstrom vor der Übergabe an den Druckmechanismus, der die Informationen für die einzelnen druckerspezifischen Formate bereitstellt, angeordnet.

Die zweite Komponente, die Markierungskomponente, besteht vorzugsweise aus weitgehend voneinander unabhängigen Teilkomponenten. Ein Rahmenwerk der Komponente ist dafür verantwortlich, die jeweils systemspezifische Ausprägung der generischen Druckeransteuerung in ein allgemeines Ansteuerungsverfahren zu übersetzen und anschließend eine Analyse der Druckdaten durchzuführen, die Teilkomponenten dieser Daten identifiziert. Als Beispiel für Teilkomponenten können insbesondere laufender Text, Rastergraphik und Vektorgraphik in einem Dokument vorkommen. Die einzelnen Teilkomponenten können je nach festgestelltem Typ mit unterschiedlichen für den jeweilige Typ besonders geeigneten Markierungsverfahren markiert werden.

Die Markierung erfolgt vorzugsweise aufgrund einer Heuristik nach der Analyse der Teildaten, die sich primär an der zur Verfügung stehenden Gesamtmenge der Daten orientiert. Nach der Analyse wird entschieden, ob die gesamten angelieferten Dokumentdaten in Rasterdaten umgewandelt und der Markierungsalgorithmus für Rasterdaten auf das so entstandene Abbild angewendet wird. Dies ist primär dann von Vorteil, wenn nur ein geringes Datenvolumen zur Verfügung steht. Sofern die Heuristik entscheidet, dass ausreichend Datenmaterial zur Verfügung steht, kann sie Elemente der Dokumentdaten, welche obengenannter Kategorisierung entsprechen, an Teilkomponenten weiterleiten, die jeweils spezifisch für die einzelnen Typen bzw. Kategorien vorgesehene Markierungsverfahren durchführen. Je nach erforderlicher Robustheit der Markierung kann hierbei entweder nur ein Teil der Ausgangsdaten markiert werden oder sämtliche Ausgangsdaten. Bei nur teilweiser Markierung der Ausgangsdaten besteht jedoch die Gefahr, dass Teile des Ausdruckes unmodifiziert bleiben und somit aus dem Ausdruck ausgeschnitten werden können, ohne dass die ausgeschnittenen Teile eine Markierung enthalten. Sobald die Markierung der Ausgangsdaten erfolgt ist, konvertiert das Rahmenwerk diese wieder in ein Format, welches für die nachfolgende Prozesskette, d. h. den Druckermechanismus, nutzbar ist.

In einer besonders vorteilhaften Ausführungsform des Verfahrens bzw. der Einrichtung führt die Markierungskomponente eine Protokollierung des Druckvorganges durch, in das Ausdruckereignis, der beauftragende Nutzer sowie ein die Identität des Dokumentes belegendes Datum, insbesondere der sogenannte Hash- Wert, protokolliert werden. Diese Protokollierung wird durch das Rahmenwerk vorgenommen, das zusätzlich eine Verifizierung der Rechtmäßigkeit des Ausdruckes durchführen kann. Für eine derartige Protokollierung bzw. Verifizierung stehen mehrere Ausgestaltungsmöglichkeiten zur Verfügung.

In einer einfachen Ausgestaltung kann die Protokollierung auf dem lokalen Arbeitsplatzrechner des Nutzers vorgenommen werden. Dies muss in einer Form geschehen, die vom Nutzer nicht einsehbar oder modifizierbar ist, da dieser potentiell ein Interesse daran hat, die Protokolldaten zu modifizieren oder zu vernichten. Hierfür stellen moderne Betriebssysteme geeignete Mechanismen bereit, die nicht Gegenstand des vorliegenden Verfahrens bzw. der vorliegenden Einrichtung sind. Diese einfache Möglichkeit der Protokollierung ist auch für mobile, nicht vernetzte Arbeitsplätze tauglich.

In einer weiteren Ausgestaltung wird eine Protokollierung gegenüber einer zentralen vernetzten Station durchgeführt. Sofern die Protokollierung nicht gelingt, beispielsweise weil ein Unbefugter sich des Systems bemächtigt hat und nun versucht, Ausdrucke zu erstellen, kann das Rahmenwerk den Ausdruck verweigern, indem es die für den betroffenen Druckauftrag generierten Daten verwirft. Diese Ausgestaltung setzt voraus, dass eine Telekommunikationsverbindung zur zentralen Protokollierungsstelle zum Zeitpunkt jedes Druckauftrages aufgebaut werden kann.

In einer dritten Ausgestaltungsvariante werden die Ausdrucke nicht nur zentral protokolliert, sondern müssen zentral genehmigt werden. Sollte eine Genehmigung nicht erfolgen, so unterbindet das Rahmenwerk den entsprechenden Druckauftrag. Die zentrale Genehmigung kann sowohl von Bedienpersonal, beispielsweise einem Sicherheitsbeauftragten, erteilt werden oder durch eine geeignete Heuristik, welche beispielsweise Eckdaten wie den Auftraggeber eines Druckauftrags, die Uhrzeit des Druckauftrags und die Anwesenheit des fraglichen Mitarbeiters auf dem Betriebsgelände anhand der innerbetrieblichen Arbeitszeiterfassung o. ä. durchführt.

Die jeweils in der Markierungskomponente bzw. deren Teilkomponenten angewendeten Markierungsverfahren, die von der Kategorie der zu markierenden Daten abhängig ist, sind aus dem Stand der Technik bekannt. Für die Markierung von Rastergraphiken, sowohl für Schwarz/Weiß- und Graustufen-Graphiken als auch für farbige Rastergraphiken, bietet sich das Verfahren von Koch und Zhao an, wie es beispielsweise in E. Koch et al., "Embedding Robust Labels into Images for Copyright Protection", Proceedings of the Intern. Congress on Intellectual Property Rights for Spezialized Information, Knowledge and New Technologies, August 21-25, 1995, Vienna Austria, oder in der DE 195 21 969 C1 beschrieben ist. Die Markierung von laufendem Text kann mit dem Verfahren von Low und Maxemchuk erfolgen, wie es der Veröffentlichung von S. H. Low et al., "Document Identification for Copyright Protection Using Centroid Detection", IEEE Transactions an Communications, March 1998, Vol. 463, pp. 372-383, zu entnehmen ist. Weiterhin bietet sich hierfür das Verfahren von Brassil an, das z. B. in J. Brassil et al., "Watermarking Document Images with Bounding Box Expansion", Proceeding of the First Workshop an Information Hiding, Springer Verlag, Cambridge University, May 1996, dargestellt ist. Für vektorbasierte Graphiken können die Verfahren von Benedens auf den zweidimensionalen Fall adaptiert werden, wie sie in O. Benedens, "Watermarking of 3D Polygon Based Models with Robustness against Mesh Simplification", Proceedings of SPIE: Security and Watermarking of Multimedia Contents 1999, Vol. 3657, pp. 329-340, erläutert sind.

Die in die Markierung eingebetteten Daten umfassen vorzugsweise Hinweise zur Identität des Nutzers, der den Ausdruck veranlasst hat. Weiterhin werden vorzugsweise ein Hash-Wert über die Original-Druckdaten in die Markierung eingebunden. Ein Hash-Wert, wie er beispielsweise von FIPS SHA-1 (National Institute of Standards and Technology: FIPS Publication 180-1: Secure Hash Standard, April 1995) oder RIPEMD-160 (Dobbertin et al., RIPMED-160: A Strengthened Version of RIPMED, Proceedings of Fast Software Encryption Cambridge Workshop, Lecture Notes in Computer Science, Vol. 1039, pp. 71-82, Springer-Verlag, 1996) geliefert wird, bildet einen Datensatz beliebiger Länge in einen Wertebereich fester Länge ab, bei den genannten Verfahren jeweils 160 Bit. Ein auf diese Weise gebildeter Hash-Wert stellt sicher, dass eine Differenz zwischen zwei Dokumenten von nur einem Bit im Mittel zu einer Änderung des Wertes der Hälfte der Bits des Hash- Wertes führen, und ist zudem nicht mit vertretbarem Aufwand invertierbar. Damit kann jedes Dokument eindeutig identifiziert werden.

Weiterhin können Datum und Uhrzeit des Ausdruckes, Name des ausdruckenden Systems sowie eventuelle anwendungsspezifische Daten in die Markierung aufgenommen werden. Es kann auch eine optionale Komponente für eine sichtbare Markierung des Dokumentes vorgesehen sein. Diese dient der Einbringung eines sichtbaren Hinweises auf den Nutzer sowie weitere Informationen wie der Vertraulichkeit von Dokumenten und dient primär als Hinweis und Abschreckung. Für die Erhöhung der Sicherheit sind derartige sichtbare Markierungen nicht geeignet, da sie leicht zu entfernen sind. In einigen Fällen ist zudem eine sichtbare Markierung nicht erwünscht.

Das Verfahren sowie die entsprechende Einrichtung ermöglichen durch die automatische Markierung der Dokumente die Gewährleistung der Authentizität jedweder Ausdrucke, die von mit der Erfindung ausgestatteten Datenverarbeitungsanlagen bzw. Arbeitsplätzen ausgedruckt werden. Fälschungen sind nach derzeitigem Kenntnisstand nicht möglich. Mittels der unsichtbaren Markierungen, insbesondere digitalen Wasserzeichen, wird die Authentizität der Dokumente in gedruckter Form nachweisbar. Das Verfahren zum Nachweis der Authentizität, d. h. das Auslesen der unsichtbaren Markierungen aus den Dokumenten sowie die Auswertung der enthaltenen Informationen, sind zudem automatisierbar.

Ein weiterer Vorteil der Erfindung besteht darin, dass zur Einbringung der Markierung handelsübliche Drucker und Druckmedium verwendet werden können und das Markierungsverfahren für den Anwender bzw. Nutzer keine sichtbaren Änderungen in der Bedienung der Datenverarbeitungsanlage bewirkt.

Mit dem vorliegenden Verfahren bzw. der vorliegenden Einrichtung besteht die Möglichkeit der Rückverfolgung des Auftraggebers anhand von Kopien, die von derartigen Ausdrucken vorgenommen wurden. Durch die in der Kopie enthaltene Markierung bzw. aus deren Inhalt lässt sich der Nutzer ermitteln, der den ursprünglichen Ausdruck erstellt hat und für die Weiterverbreitung des Dokuments verantwortlich ist. Hierdurch können die Verbreitung von unbefugten Kopien besser nachvollzogen und daraus geeignete Massnahmen zur Verhinderung abgeleitet werden. Da der Nutzer keinerlei ihm verfügbare Möglichkeiten zur Einflussnahme auf den Markierungsvorgang hat, ist es ihm nicht möglich, unmarkierte und gegebenenfalls nicht individuell registrierte Exemplare von Dokumenten zu erstellen. Dies gilt nicht nur für vollständige Dokumente, sondern auch für beliebige Fragmente, die von mit dem System ausgestatteten Arbeitsplätzen ausgedruckt werden. Der Schutz erstreckt sich hierbei sowohl auf direkt am Arbeitsplatzrechner angeschlossene Drucker als auch auf beliebige angesprochene Netzwerkdrucker. Die Markierung bleibt auch bei anschließender Vervielfältigung der Ausdrucke erhalten, so dass die Kopien dem ursprünglichen Nutzer zugeordnet werden können. Dies bewirkt eine Abschreckung vor unbefugter Weitergabe vertraulicher Dokumente. Da die Markierung mit einem digitalen Wasserzeichen unsichtbar ist, d. h. Ort und Inhalt der Markierung für Unbefugte nicht bekannt sind, kann sie zudem nicht nachträglich entfernt werden.

Selbstverständlich umfasst der Begriff Ausdruck im Sinne der vorliegenden Erfindung auch Ausdrucke auf nichtpapierene Speichermedien, beispielsweise Ausdrucke in Dateien, sofern hierfür im System Druckdaten erzeugt werden.

Die Einbringung der Markierungen und gegebenenfalls die Registrierung von Ausdrucken erfolgen vollautomatisch, so dass keinerlei Änderungen im üblichen Arbeitsablauf vorgenommen werden müssen oder erkennbar sind.

Die Einrichtung wird vorzugsweise in einer Datenverarbeitungsanlage eingesetzt, bei der mehrere Arbeitsplatzterminals bzw. Arbeitsplatzrechner, gegebenenfalls über einen oder mehrere Server, miteinander vernetzt sind. Die Vernetzung kann hierbei sowohl drahtgebunden als auch über andere Kommunikationstechniken, beispielsweise durch Funk, erfolgen. Dies ermöglicht insbesondere die vollständige firmeninterne Überwachung der Ausgabe vertraulicher Dokumente.

Wege zur Ausführung der Erfindung

Das Verfahren sowie die zugehörige Einrichtung werden nachfolgend anhand eines Ausführungsbeispiels nochmals erläutert. Das Verfahren bzw. die Einrichtung sind auf allen Datenverarbeitungsanlagen mit modernen Betriebssystemen einsetzbar. Die Betriebssysteme müssen hierbei in der Lage sein, zwischen Anwendern ohne besondere Privilegien und System-Administratoren zu unterscheiden. Dies ist erforderlich, um die Unterwanderung der Integrität des Markierungssystems durch einen Unbefugten zu verhindern.

Im folgenden wird anhand des Betriebssystems Microsoft® Windows™ NT 4.0/Windows 2000 (im folgenden Windows NT genannt) eine mögliche Realisierung der Komponenten exemplarisch dargestellt.

Unter Windows NT ist es Anwendungsprogrammen und anderen Komponenten im User Mode nicht gestattet, direkt auf die Hardware und Schnittstellen des Systems zuzugreifen. Stattdessen müssen sich Anwendungen und Anwender an wohldefinierte Schnittstellen des Betriebssystems wenden, um die gewünschten Zugriffe durchzuführen. Für Graphikausgaben jeder Art ist dies die GDI32-Schnittstelle, welche als dynamische Bibliothek im User Mode residiert und Anfragen für Ausgaben auf Bildschirme und Drucker an ihr Gegenstück im Kernel Mode, der GDI Engine im NT Executive weiterleitet. Für Ausgaben auf Bildschirme existiert eine Schnittstelle mit der Bezeichnung DirectDraw im NT Executive, welche die GDI Engine umgehen kann und stattdessen selbst auf die Video-Hardware zugreift. Für Druckausgaben ist dies nicht möglich. In letzterem Fall tritt das Drucksubsystem in Aktion. Dieses besteht aus einer Reihe von Druckertreibern, die generische Druckmechanismen für Kategorien von Ausgabegeräten (z. B. Adobe® PostScript, Rastergraphik, Plotter) bereitstellen, sowie herstellerspezifischen Treibern.

Die generischen Treiber werden durch für spezielle Druckermodelle spezifische Miniport-Treiber ergänzt, welche Informationen über die speziellen Fähigkeiten des gegebenen Druckermodells (Auflösung, Fähigkeit zum Farbdruck) enthalten. Diese Treiber kommunizieren ihrerseits nicht direkt mit der Druckhardware, sondern setzen nur die von der GDI Engine gelieferten Befehle des DDI (Device Driver Interface) in spezifische Druckdaten um. Diese werden an die GDI Engine zurückgereicht und von dieser in den User Mode weitergeleitet. Dort residiert der Druckerspooler, welcher für die Weiterleitung der so entstandenen druckerspezifischen Daten an ein Ausgabegerät zuständig ist. Dies kann ein Drucker im Netzwerk sein (z. B. NetBIOS, BSD Unix LPR Service) oder auch ein lokal angeschlossener Drucker (z. B. RS232C serieller Port, IEEE1284 paralleler Port, USB) sein. Der Druckerspooler besteht aus mehreren Komponenten. in jedem Fall nimmt der Spooler Server Process den Druckauftrag entgegen und leitet ihn an den Print Reguest Router weiter, nachdem er vom jeweils zuständigen Print Processor verarbeitet wurde. Der Print Request Router ist für die Verteilung auf lokale Druckaufträge, die von Local Print Providers bedient werden und Netzwerk- Druckaufträgen, welche von Network Print Providers bedient werden, zuständig. Letztere können von Anbietern spezieller Druckdienste ausgetauscht werden. Sofern es sich um lokale Druckaufträge handelt, werden die Daten an Port Monitors weitergeleitet. Diese können herstellerspezifisch die Kommunikation mit speziellen Druckerschnittstellen (z. B. SCST, IEEE 1394) realisieren. Sofern es sich bei der angesprochenen lokalen Schnittstelle um eine bidirektionale Schnittstelle handelt, können herstellerspezifische Language Monitors die Kommunikation übernehmen. Print Processors geben zumeist nur die bereits vorverarbeiteten Daten unverändert weiter, können jedoch auch dazu genutzt werden, Daten lokal in einem (kompakten) GDI-Metaformat dem Spooler zu übergeben und erst auf Seiten des (Netzwerk-)Druckservers die Wandlung in Druckausgabedaten vorzunehmen.

Sofern es sich um einen lokalen Druckauftrag handelt, wird der Spooler die Daten an den Treiber für die jeweilige Schnittstelle im Kernel Mode weiterreichen und somit den eigentlichen Druckvorgang einleiten.

Die Figur zeigt hierbei stark vereinfacht eine Druckarchitektur, wie sie in Windows NT realisiert ist. Aus der Figur sind die Auftrennung zwischen User Mode und Kernel Mode sowie die GDI-Engine 1, der Druckmechanismus (Druckertreiber 2), die Schnittstelle 3 (z. B. parallele oder serielle Schnittstelle) zum Drucker 4, die Anwendung 5 mit der GDI32 6 sowie der Druckerspooler 7 zuerkennen. Der Weg der Datenströme ist duch Pfeile angedeutet.

Die Ausprägung des vorliegenden Verfahrens basiert nun darauf, die Eigenschaft zu nutzen, dass die Druckertreiber 2 nicht direkt mit der Hardware kommunizieren. Es wird eine Filterungskomponente 8 dynamisch im Kernel Mode eingebaut, welche die von der GDI Engine 1 eingehenden generischen Druckbefehle abfängt, aufgrund einer Heuristik an die Markierungskomponente 9 weitergeleitet, die als Resultat ihrerseits einen Strom von DDI-Befehlen liefert. Erst der derart veränderte Datenstrom wird an den eigentlichen Druckertreiber 2 weitergeleitet - ungeachtet der jeweiligen Ausprägung des Treibers und des spezifischen Modells.

Somit ist gewährleistet, dass sämtliche mögliche Druckverfahren mit derselben Methode markiert werden können. Zudem ist im Falle von DDI als Eingabe der Markierungsverfahren gewährleistet, dass eine einfache und effiziente Trennung nach Textdaten, Rasterdaten und Vektorgraphiken durchgeführt werden kann, da auf dieser Ebene diese unterschiedlichen Komponenten bzw. Kategorien noch unterscheidbar sind. Es ist dabei völlig gleichgültig, ob sich der anzusprechende Drucker letztlich im Netzwerk befindet oder am lokalen System angeschlossen ist, da die Verarbeitung der Druckdaten in jedem Fall zuerst zwischen GDI Engine und Druckertreiber stattfindet und diese somit durch die vorliegenden Filtrierungs- und Markierungskomponenten erfasst werden.

Da nicht sichergestellt ist, dass ausschließlich die vom Betriebssystem vorgegebenen Druckertreiber unter Verwendung von Miniport-Treibern zum Einsatz kommen und zudem Druckertreiber unter Microsoft® Windows™ dynamisch bei Bedarf aktiviert werden, muss in dieser Ausprägung eine weitere Instanz existieren, die dynamisch die Aktivierung der Druckertreiber überwacht. Dies kann durch das Einfügen eines zusätzlichen Treibers, im folgenden Monitor-Treiber genannt, zum Boot-Zeitpunkt erfolgen. Dieser Monitor- Treiber ist vom Nutzer nicht manipulierbar und kommt in jedem Fall vor dem ersten Druckereignis zum Einsatz. Der Monitor-Treiber ist derart ausgebildet, dass er das Laden von DLL-Dateien - bei Druckertreibern handelt es sich um eine spezielle Variante von DLL-Dateien - überwacht.

Die eigentliche Filterung wird dadurch realisiert, dass der Monitor-Treiber im Moment des Ladevorganges des Druckertreibers die eigentliche Druckertreiber-DLL gegen eine spezielle Filterungs-DLL austauscht. Diese Filterungs-DLL erhält von Seiten des Monitor-Treibers die Information übergeben, welche Druckertreiber-DLL sie ersetzen soll. Funktionen des Druckertreibers, die für die Einbringung von Markierungen nicht von Interesse sind, werden an die Original-DLL weitergeleitet. Dies erfolgt, indem sämtliche Parameter, die an einen derartigen Einsprungpunkt der Filterungs-DLL übergeben werden, an den durch die Ordinalzahl eindeutig identifizierten Einsprungpunkt der Original- DLL weitergegeben werden und die korrespondierende Funktion dieser Original-DLL anstelle der Filterungs- DLL aufgerufen wird. Sofern es sich bei dem Aufruf um einen für die Markierung relevanten handelt, wird der Aufruf an die jeweilige Markierungskomponente weitergeleitet. Sofern eine hinreichende Menge an Daten vorliegt, wie dies bei Ausgabe einer Druckseite in der Regel der Fall ist, werden die Markierungs(teil)- komponenten angewiesen, die modifizierten Ausgabeströme zurückzuleiten. Der derart modifizierte Ausgabestrom wird an die Original-DLL weitergereicht und das Resultat dieser Aufrufe an die GDI Engine zurückgeliefert.

Damit ist eine klare Trennung der Filterung von der Markierung gegeben. Einzig systemspezifisch ist die Verwendung der GDI als Ausgangsdatum für die Markierung. Durch eine geeignete Umsetzung der Daten vor der Anwendung der eigentlichen Markierungsverfahren kann jedoch ein generisches Markierungsverfahren für beliebige Betriebssysteme eingesetzt werden.

Die vorliegende Erfindung ermöglicht die Markierung von Ausdrucken sowohl mit nicht wahrnehmbaren als auch mit sichtbaren Kennzeichnungen, insbesondere mit digitalen Wasserzeichen, welche Inhalte wie die Urheberschaft oder den Auftraggeber eines Ausdruckes beinhalten können. Der zugehörige Mechanismus ist so ausgelegt, dass der Auftraggeber eines Ausdruckes keine Möglichkeit zur Einflussnahme auf die Markierung hat. Somit wird ausgeschlossen, dass unmarkierte Exemplare entstehen, die nicht zum Auftraggeber zurückverfolgt werden können. Gleichzeitig kann mit der Markierung die Authentizität eines Dokumentes zweifelsfrei nachgewiesen werden. Bezugszeichenliste 1 GDI-Engine

2 Druckmechanismus/Druckertreiber

3 Schnittstellen

4 Ausgabegerät/Drucker

5 Anwendung

6 GDI32

7 Druckerspooler

8 Filterungskomponente/Mechanismus

9 Markierungskomponente


Anspruch[de]
  1. 1. Verfahren zur automatischen Markierung von Ausdrucken einer Datenverarbeitungsanlage, an der ein Nutzer einen Ausdruck eines Dokumentes in Auftrag gibt,

    bei dem zumindest ein Teil der Dokumentdaten des Dokumentes mit einer für den Nutzer am Ausdruck nicht unmittelbar wahrnehmbaren Markierung versehen wird,

    dadurch gekennzeichnet,

    dass für die Ausführung des Druckauftrags generierte Druckdaten, die zumindest die Dokumentdaten und Steuerdaten umfassen, innerhalb der Datenverarbeitungsanlage in einer für den Nutzer nicht zugänglichen Betriebssystemebene über eine Markierungskomponente umgeleitet werden, in der die Markierung vorgenommen wird.
  2. 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Dokumentdaten in der Markierungskomponente mit einem digitalen Wasserzeichen versehen werden.
  3. 3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass in die nicht unmittelbar wahrnehmbare Markierung Informationen zur Identifizierung des Nutzers eingebunden werden.
  4. 4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass in die nicht unmittelbar wahrnehmbare Markierung Informationen zur Verifizierung der Authentizität des Dokumentes, insbesondere ein Hashwert des Dokumtenteninhalts, eingebunden werden.
  5. 5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass in die nicht unmittelbar wahrnehmbare Markierung Informationen über den Zeitpunkt des Ausdrucks und/oder das ausdruckende System eingebunden werden.
  6. 6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass durch die Markierungskomponente eine Protokollierung jedes Ausdrucks vorgenommen wird, die Informationen umfasst, die zumindest die Identifizierung des Nutzers und die Identifizierung des Dokumentes ermöglichen.
  7. 7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass der Druckauftrag durch die Markierungskomponente abgebrochen wird, wenn eine Protokollierung nicht erfolgreich ist oder eine Genehmigung für den Ausdruck des Dokumentes durch den Nutzer nicht vorliegt.
  8. 8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Druckdaten vor der Übergabe an einen Druckmechanismus, der die Druckdaten in Druckerspezifische Formate umwandelt, über die Markierungskomponente umgeleitet werden.
  9. 9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass in der Markierungskomponente die Druckdaten analysiert werden, um daraus die Art der Dokumentdaten, insbesondere laufender Text und/oder Rastergraphik und/oder Vektorgraphik, zu erfassen und die Dokumentdaten auszuwählen, die einer Markierung unterzogen werden.
  10. 10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Markierung in Abhängigkeit von der Art der Dokumentdaten mit unterschiedlichen Markierungstechniken durchgeführt wird.
  11. 11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass die Markierungskomponente die Dokumentdaten zusätzlich mit einer am Ausdruck sichtbaren Markierung versieht.
  12. 12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass die Umleitung über die Markierungskomponente dadurch erfolgt, dass Betriebssystem-Aufrufe von Druckertreibern oder Druckertreiber-Bibliotheken überwacht werden, bei einem Aufruf der aufgerufene Druckertreiber oder die aufgerufene Druckertreiber-Bibliothek durch die Markierungskomponente ausgetauscht wird und die erhaltenen Druckdaten nach Markierung darin enthaltener Dokumentdaten an den aufgerufenen Druckertreiber oder die aufgerufene Druckertreiber-Bibliothek weitergeleitet werden.
  13. 13. Einrichtung zur automatischen Markierung von Ausdrucken einer Datenverarbeitungsanlage, mit einer Markierungskomponente zur Markierung von Dokumentdaten eines auszudruckenden Dokumentes mit einer am Ausdruck nicht unmittelbar wahrnehmbaren Markierung, dadurch gekennzeichnet, dass ein Mechanismus (8) vorgesehen ist, der für die Ausführung eines Druckauftrags generierte Druckdaten, die zumindest Dokumentdaten und Steuerdaten umfassen, innerhalb der Datenverarbeitungsanlage in einer für einen Nutzer nicht zugänglichen Betriebssystemebene abfängt und zur Markierung zumindest eines Teils der Dokumentdaten über die Markierungskomponente (9) umleitet.
  14. 14. Einrichtung nach Anspruch 13, dadurch gekennzeichnet, dass die Markierungskomponente (9) zur Markierung der Dokumentdaten mit einem digitalen Wasserzeichen ausgebildet ist.
  15. 15. Einrichtung nach Anspruch 13 oder 14, dadurch gekennzeichnet, dass die Markierungskomponente (9) zur Einbindung von Informationen zur Identifizierung des Nutzers in die Markierung ausgebildet ist.
  16. 16. Einrichtung nach einem der Ansprüche 13 bis 15, dadurch gekennzeichnet, dass die Markierungskomponente (9) zur Einbindung von Informationen zur Verifizierung der Authentizität des Dokumentes, insbesondere eines Hashwertes des Dokumtenteninhalts, ausgebildet ist.
  17. 17. Einrichtung nach einem der Ansprüche 13 bis 16, dadurch gekennzeichnet, dass die Markierungskomponente (9) zur Einbindung von Informationen über den Zeitpunkt des Ausdrucks und/oder das ausdruckende System ausgebildet ist.
  18. 18. Einrichtung nach einem der Ansprüche 13 bis 17, dadurch gekennzeichnet, dass die Markierungskomponente (9) zur Protokollierung von Informationen bei jedem Ausdruck ausgebildet ist, die zumindest die Identifizierung des Nutzers und die Identifizierung des Dokumentes ermöglichen.
  19. 19. Einrichtung nach einem der Ansprüche 13 bis 18, dadurch gekennzeichnet, dass die Markierungskomponente (9) eine Routine enthält, die die Genehmigung des Ausdrucks des Dokumentes durch den Nutzer überprüft, gegebenenfalls durch Aufnahme einer Verbindung mit einer anderen Datenverarbeitungsstation, und bei fehlender Genehmigung den Druckauftrag abbricht.
  20. 20. Einrichtung nach einem der Ansprüche 13 bis 19, dadurch gekennzeichnet, dass der Mechanismus (8) derart ausgestaltet ist, dass er die Druckdaten vor der Übergabe an einen Druckmechanismus (2), der die Druckdaten in Druckerspezifische Formate umwandelt, abfängt.
  21. 21. Einrichtung nach einem der Ansprüche 13 bis 20, dadurch gekennzeichnet, dass die Markierungskomponente (9) eine Teilkomponente zur Analyse der Druckdaten aufweist, um die Art der Dokumentdaten zu erfassen und die Dokumentdaten auszuwählen, die einer Markierung unterzogen werden.
  22. 22. Einrichtung nach einem der Ansprüche 13 bis 21, dadurch gekennzeichnet, dass die Markierungskomponente (9) mehrere Teilkomponenten für die Markierung unterschiedlicher Arten von Dokumentdaten umfasst.
  23. 23. Einrichtung nach einem der Ansprüche 13 bis 22, dadurch gekennzeichnet,

    dass der Mechanismus (8) derart ausgebildet ist,

    dass er Betriebssystem-Aufrufe von Druckertreibern oder Druckertreiber-Bibliotheken überwacht, bei einem Aufruf den aufgerufenen Druckertreiber oder die aufgerufene Druckertreiber-Bibliothek durch die Markierungskomponente (9) austauscht und die erhaltenen Druckdaten nach Markierung darin enthaltener Dokumentdaten an den aufgerufenen Druckertreiber oder die aufgerufene Druckertreiber-Bibliothek weiterleitet.
  24. 24. Datenverarbeitungsanlage mit automatischem Markierungsmechanismus von Ausdrucken, mit einer Anwendungskomponente, über die ein Nutzer Dokumente aufrufen und ausdrucken kann, die in einer Speichereinheit der Datenverarbeitungsanlage abgespeichert sind, dadurch gekennzeichnet, dass die Datenverarbeitungsanlage eine Einrichtung gemäß den Ansprüchen 13 bis 23 aufweist.
  25. 25. Datenverarbeitungsanlage nach Anspruch 24, die sich aus mehreren über ein Netwerk in Verbindung stehenden Einheiten zusammensetzt.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com