本發(fā)明涉及用于服務(wù)技術(shù)人員登錄電氣設(shè)備、尤其是醫(yī)療設(shè)備的一種方法和一種裝置。例如，應(yīng)當(dāng)借助服務(wù)軟件僅在輸入登錄密碼之后允許對(duì)電氣設(shè)備的使用。

背景技術(shù)：

對(duì)電氣設(shè)備、尤其是醫(yī)療設(shè)備的服務(wù)軟件的使用應(yīng)當(dāng)僅僅針對(duì)經(jīng)授權(quán)的人員才可能。公知的是，使用對(duì)稱的密鑰方法，其中將醫(yī)療設(shè)備的各種特征與機(jī)密結(jié)合并且從中制成許可密鑰（=License Key）。所述機(jī)密常常在有關(guān)的因特網(wǎng)圈中已經(jīng)是公知的或者所述許可密鑰在黑市上是能供使用的。

用于防止欺騙或者用于使得欺騙變得困難的各種保護(hù)方法是公知的。在基于數(shù)字證書的公鑰/私鑰（Public-/Private Key）方法中，需要握手或挑戰(zhàn)/響應(yīng)方法。公鑰基礎(chǔ)設(shè)施（PKI）的建立由于有效性到期而要求定期的證書更新。輸入靜態(tài)密鑰信息需要大的密鑰長(zhǎng)度，以便使暴力（Brute-Force）攻擊減弱。但是大的密鑰長(zhǎng)度是對(duì)用戶不友好的?；跁r(shí)間的一次性密碼具有負(fù)面特性：要以時(shí)間同步或線上連接為前提。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的任務(wù)是說明一種方法和一種裝置，所述方法和所述裝置保證：僅僅經(jīng)授權(quán)的人員才能使用電氣設(shè)備的服務(wù)軟件。

按照本發(fā)明，所提出的任務(wù)利用獨(dú)立專利權(quán)利要求所述的方法和裝置來解決。有利的擴(kuò)展方案在從屬權(quán)利要求中予以說明。

按照本發(fā)明，所述方法和附屬的裝置在于：生成臨時(shí)登錄密碼和臨時(shí)密鑰材料，它們的有效性受限于各自的登錄過程。在與公鑰/私鑰對(duì)結(jié)合中，所述臨時(shí)登錄密碼可以對(duì)用戶友好地短暫保持，所述公鑰/私鑰對(duì)在建立系統(tǒng)時(shí)生成并且所述公鑰/私鑰對(duì)的私鑰受保護(hù)地被存儲(chǔ)在移動(dòng)設(shè)備上、例如受保護(hù)地被存儲(chǔ)在服務(wù)技術(shù)人員的智能電話上。在電氣設(shè)備與移動(dòng)設(shè)備之間的信息傳輸通過QR碼來實(shí)現(xiàn)，并且因而同樣是對(duì)用戶非常友好的。

針對(duì)所有的公鑰/私鑰對(duì)，可以使用公知的橢圓曲線加密方法。為了生成用于對(duì)登錄密碼進(jìn)行加密的臨時(shí)的共同的機(jī)密，可以使用所建立的Diffie-Hellman密鑰交換方法。

本發(fā)明要求保護(hù)一種用于服務(wù)技術(shù)人員登錄電氣設(shè)備的方法，其中通過所述電氣設(shè)備生成密鑰作為經(jīng)加密的登錄密碼，所述密鑰作為QR碼被顯示在所述電氣設(shè)備的顯示單元上，所述QR碼借助移動(dòng)設(shè)備以光學(xué)的方式來采集，所述登錄密碼通過所述移動(dòng)設(shè)備從所采集的QR碼的密鑰中予以解密，使所述登錄密碼在所述移動(dòng)設(shè)備的屏幕單元上可視，所述登錄密碼由服務(wù)技術(shù)人員輸入到所述電氣設(shè)備中，將所述被輸入的登錄密碼與由所述電氣設(shè)備生成的登錄密碼進(jìn)行比較，如果所述兩個(gè)登錄密碼一致，則登錄被所述電氣設(shè)備準(zhǔn)許。

本發(fā)明的優(yōu)點(diǎn)在于：將加密安全裝置的高強(qiáng)度與QR碼的以及所要輸入的相對(duì)短的登錄密碼的用戶友好性相結(jié)合。本發(fā)明提供了如下可能性：借助對(duì)智能電話技術(shù)的使用使得帶有大長(zhǎng)度的設(shè)備特定的密鑰與對(duì)用戶友好的登錄密碼集于一體。

在一種擴(kuò)展方案中，在交付電氣設(shè)備之前，在服務(wù)中心中生成第一公鑰和附屬的第一私鑰，其中所述第一私鑰被存儲(chǔ)在服務(wù)中心中，而所述第一公鑰被安裝在所述電氣設(shè)備上。

在另一實(shí)施方式中，對(duì)登錄密碼的加密和解密可以借助共同的機(jī)密來實(shí)現(xiàn)。

在另一構(gòu)造方案中，所述共同的機(jī)密可以借助橢圓曲線Diffie-Hellman密鑰交換方法來計(jì)算出來或者制成。

在另一實(shí)施方案中，所述共同的機(jī)密可以在移動(dòng)設(shè)備中借助第一私鑰以及在電氣設(shè)備中生成的第二公鑰來確定，其中所述第一私鑰被存儲(chǔ)在所述移動(dòng)設(shè)備的安全的存儲(chǔ)區(qū)內(nèi)。

在一種擴(kuò)展方案中，QR碼可以包含所述密鑰、所述第二公鑰與所述電氣設(shè)備的材料/序列號(hào)的組合。

在另一實(shí)施方式中，所述移動(dòng)設(shè)備可以借助該材料/序列號(hào)來分配屬于所述電氣設(shè)備的第一私鑰。

此外，所述登錄密碼可以是在時(shí)間上受限制地有效的。

本發(fā)明也要求保護(hù)一種用于服務(wù)技術(shù)人員登錄電氣設(shè)備的裝置，其中所述裝置具有移動(dòng)設(shè)備和電氣設(shè)備。所述電氣設(shè)備和所述移動(dòng)設(shè)備被構(gòu)造并且被編程用來實(shí)施按照本發(fā)明的方法。

在一種擴(kuò)展方案中，所述裝置附加地具有服務(wù)中心，其中所述服務(wù)中心、所述電氣設(shè)備和所述移動(dòng)設(shè)備被構(gòu)造并且被編程用來實(shí)施按照本發(fā)明的方法。

為了執(zhí)行所述方法，所述服務(wù)中心、所述電氣設(shè)備和所述移動(dòng)設(shè)備尤其分別具有電子計(jì)算單元和存儲(chǔ)單元。

在另一實(shí)施方式中，所述移動(dòng)設(shè)備可以是智能電話或平板電腦，而所述電氣設(shè)備可以是醫(yī)療設(shè)備。

附圖說明

本發(fā)明的其它特征和優(yōu)點(diǎn)從隨后依據(jù)示意性附圖對(duì)實(shí)施例的闡述中可見。

其中：

圖1示出了用于登錄的裝置以及，

圖2示出了登錄方法的流程圖。

具體實(shí)施方式

示例性地針對(duì)醫(yī)療設(shè)備、例如針對(duì)計(jì)算機(jī)斷層攝影術(shù)或者磁共振斷層攝影術(shù)描述了按照本發(fā)明的方法和按照本發(fā)明的裝置，而且描述了作為移動(dòng)設(shè)備的智能電話。

對(duì)帶有對(duì)稱密鑰的應(yīng)用的保護(hù)需要將密鑰本地地存儲(chǔ)在醫(yī)療設(shè)備上。但是當(dāng)大量醫(yī)療設(shè)備使用同一密鑰時(shí)，欺騙性攻擊的吸引力上升。

圖1示出了用于在醫(yī)療設(shè)備20上安全登錄的裝置的框圖。該裝置除了醫(yī)療設(shè)備20還具有與該醫(yī)療設(shè)備20遠(yuǎn)離地放置的服務(wù)中心21和智能電話22。

該裝置用于為醫(yī)療設(shè)備20提供登錄方法，以便實(shí)現(xiàn)對(duì)醫(yī)療設(shè)備20的應(yīng)用保護(hù)，在此沒有忽視用戶友好性。該登錄方法例如在服務(wù)時(shí)被使用。在此，在將其交付之后在地理上分散的醫(yī)療設(shè)備20必須受到定期的維護(hù)，為此，服務(wù)技術(shù)人員必須在該醫(yī)療設(shè)備20上被認(rèn)證。

為了避免在醫(yī)療設(shè)備20上存儲(chǔ)私鑰，使用公-私鑰基礎(chǔ)設(shè)施。在所說明的方法中，使用所建立的橢圓曲線Diffie-Hellman密鑰交換方法。

在交付該醫(yī)療設(shè)備20之前，在服務(wù)中心21中生成橢圓曲線公鑰/私鑰對(duì)（第一公鑰PU1和第一私鑰PR1）。第一私鑰PR1留在服務(wù)中心21中，第一公鑰PU1被安裝在所要交付的醫(yī)療設(shè)備20上。

對(duì)第一私鑰PR1的了解作為對(duì)醫(yī)療設(shè)備20的訪問前提被接受。第一私鑰PR1的長(zhǎng)度足夠大，以便確保良好的保護(hù)以防因數(shù)分解（Faktorisierung）。但是，第一私鑰PK1過長(zhǎng)，以至于不能由服務(wù)技術(shù)人員現(xiàn)場(chǎng)用手來輸入。

服務(wù)技術(shù)人員具有對(duì)如下智能電話22的訪問權(quán)，所述智能電話22具有內(nèi)置相機(jī)26并且具有服務(wù)特定的登錄應(yīng)用。在服務(wù)時(shí)間點(diǎn)，通常不需要智能電話22與服務(wù)中心21的直接的線上連接，但是在這種情況下卻必須能夠?qū)崿F(xiàn)智能電話22與服務(wù)中心21的中央數(shù)據(jù)庫(kù)的事先同步。

用于制成登錄密碼LPW的功能流程是如下的樣子。服務(wù)技術(shù)人員調(diào)用醫(yī)療設(shè)備20的登錄遮蔽框（Login-Maske）。醫(yī)療設(shè)備20在顯示單元23上顯示出QR碼QRC并且提供密碼輸入?yún)^(qū)域。服務(wù)技術(shù)人員在其智能電話22上啟動(dòng)登錄應(yīng)用并且用相機(jī)26掃描所顯示的QR碼QRC。智能電話22的登錄應(yīng)用在該智能電話22的屏幕單元24上示出了一個(gè)例如12位的臨時(shí)登錄密碼LPW。服務(wù)技術(shù)人員借助輸入單元25、例如利用鍵盤在醫(yī)療設(shè)備20的登錄遮蔽框中輸入所述臨時(shí)登錄密碼LPW。該登錄被允許。

圖2示出了利用根據(jù)圖1的裝置進(jìn)行登錄的流程圖。在醫(yī)療設(shè)備20上調(diào)用登錄遮蔽框時(shí)，在后臺(tái)中進(jìn)行如下步驟。在步驟1中，醫(yī)療設(shè)備20生成易失性公鑰/私鑰對(duì)（“短暫的（ephemeral）”，第二公鑰PU2和第二私鑰PR2）。在步驟2中，從所述易失性密鑰對(duì)的第二私鑰PR2和所述醫(yī)療設(shè)備的在交付時(shí)間點(diǎn)已經(jīng)被制成的第一公鑰PU1生成共同的機(jī)密SHS（“共享機(jī)密（shared secret）”）。

在接下來的步驟3中，醫(yī)療設(shè)備20產(chǎn)生隨機(jī)的、例如12位的數(shù)字/字母序列（=登錄密碼LPW），所述數(shù)字/字母序列稍后被預(yù)期由服務(wù)技術(shù)人員作為輸入。在內(nèi)部，確定流程日期，該流程日期說明：醫(yī)療設(shè)備20接受臨時(shí)登錄密碼LPW作為登錄多久?？蛇x地，當(dāng)例如相對(duì)應(yīng)地減少時(shí)間窗時(shí)，較低的位數(shù)可同樣足夠。

在步驟4中，利用對(duì)稱算法和共同的機(jī)密SHS將登錄密碼LPW加密成密鑰SKY（“Secret Key”）?？蛇x地，為了提升安全性，可以進(jìn)行另一中間步驟，所述中間步驟在密鑰SKY被用作密鑰SKY之前將所述密鑰SKY哈?；?，以便消除所謂的“弱比特（weak bit）”（=能夠以有限的花費(fèi)來預(yù)測(cè)的比特）（ECIES）。密鑰SKY以Base64的方式來編碼，并且與易失性第二公鑰PU2以及醫(yī)療設(shè)備20的材料/序列號(hào)SRN組合成組合信息COI。

緊接著，在步驟5中，將在步驟4中獲得的三個(gè)信息的組合信息COI作為QR碼QRC顯示在醫(yī)療設(shè)備20的顯示單元23上。在該時(shí)間點(diǎn)，僅僅公開地已知兩個(gè)公鑰PU1和PU2以及密鑰SKY（即經(jīng)加密的登錄密碼LPW）。所有其它信息（私鑰PR1和PR2、共同的機(jī)密SHS和登錄密鑰LPW）都僅僅位于醫(yī)療設(shè)備20的主存儲(chǔ)器中、位于服務(wù)中心21中或位于智能電話22中。

在下一步驟6中，服務(wù)技術(shù)人員利用智能電話22利用智能電話22的相機(jī)26掃描顯示單元23的QR碼QRC，由此該智能電話22擁有用于對(duì)登錄密碼LPW進(jìn)行解密的所有必要的信息。在接下來的步驟7中，利用材料/序列號(hào)SRN，從在智能電話22內(nèi)部的存儲(chǔ)區(qū)加載該醫(yī)療設(shè)備20的合適的第一私鑰PK1，或者在能供使用的移動(dòng)無線電連接的情況下直接從服務(wù)中心21通過安全的傳輸信道來調(diào)用該醫(yī)療設(shè)備20的合適的第一私鑰PK1。

在步驟8中，從第二公鑰PU2和醫(yī)療設(shè)備20的現(xiàn)在能供使用的第一私鑰PK1計(jì)算出一致的共同的機(jī)密SHS。在步驟9中，利用所述共同的機(jī)密SHS，智能電話22將經(jīng)加密的密鑰SKY解碼成登錄密碼LPW，并且將所述登錄密碼LPW顯示在智能電話22的屏幕單元24上。

在將登錄密碼LPW輸入到醫(yī)療設(shè)備20中之后，在步驟10中，醫(yī)療設(shè)備20將所輸入的登錄密碼LPW與所存儲(chǔ)的登錄密碼LPW進(jìn)行比較并且關(guān)于登錄做出決定。在一致的情況下，服務(wù)技術(shù)人員可以訪問受保護(hù)的應(yīng)用、例如訪問維護(hù)軟件。

在下文，描述了攻擊情形和可能的應(yīng)對(duì)措施。當(dāng)服務(wù)技術(shù)人員的移動(dòng)設(shè)備22被盜竊時(shí)，由于將電氣設(shè)備20的第一私鑰PR1傳輸?shù)剿鲆苿?dòng)設(shè)備22上而存在提高的風(fēng)險(xiǎn)。視對(duì)移動(dòng)設(shè)備22的保護(hù)（例如解鎖碼或遠(yuǎn)程擦除（Remote Wipe））而定，第一私鑰PR1可能落入攻擊者的手中。于是，在這種情況下，僅僅會(huì)涉及到如下那些電氣設(shè)備20，所述電氣設(shè)備20的第一私鑰PR1已經(jīng)被存儲(chǔ)在所述移動(dòng)設(shè)備22上，而不會(huì)涉及到所有電氣設(shè)備20。

作為應(yīng)對(duì)措施，可以對(duì)被存儲(chǔ)在移動(dòng)設(shè)備22上的第一私鑰PR1的最大數(shù)目進(jìn)行限制。如果任何時(shí)候都可以以線上連接為前提條件，那么可以在服務(wù)技術(shù)人員使用之前省去對(duì)移動(dòng)設(shè)備22的事先同步，或者可以將所存儲(chǔ)的第一私鑰PR1的最大數(shù)量設(shè)置得非常低。可選地，該應(yīng)用可以強(qiáng)制地要求初始密碼。

由于（在服務(wù)中心生產(chǎn)的）靜態(tài)工廠密鑰（Factory Key）以及在電氣設(shè)備20與移動(dòng)設(shè)備22之間交換消息時(shí)的視覺關(guān)聯(lián)，不存在中間人攻擊（Man-in-the-Middle Attack）的危險(xiǎn)。

任何時(shí)候，攻擊者都可能在現(xiàn)場(chǎng)調(diào)用在電氣設(shè)備20上的登錄頁(yè)面并且借此對(duì)QR碼QRC進(jìn)行掃描。迄今為止，在具有足夠長(zhǎng)度的密鑰的Diffie-Hellman密鑰交換方法的情況下，對(duì)所使用的加密方法的暴力攻擊是花費(fèi)極其多的。作為應(yīng)對(duì)措施而使用足夠大的密鑰長(zhǎng)度，所述足夠大的密鑰長(zhǎng)度的公開地變得機(jī)密的密鑰SKY還能以可認(rèn)為正當(dāng)?shù)姆绞揭詁ase64編碼來解碼為QR碼QRC。

此外，還可能會(huì)借助暴力來檢驗(yàn)密碼字段。該方法在6-12個(gè)字符的密碼長(zhǎng)度情況下比對(duì)ECDHE方法的攻擊更快地達(dá)到目的。作為應(yīng)對(duì)措施，應(yīng)當(dāng)使用最大長(zhǎng)度的登錄密碼LPW，所述最大長(zhǎng)度的登錄密碼LPW對(duì)于由服務(wù)技術(shù)人員手動(dòng)輸入來說仍是合理的。此外，在對(duì)訪問有確定數(shù)目的錯(cuò)誤嘗試之后，可以將對(duì)訪問的阻止嵌入到所要保護(hù)的應(yīng)用中。該保護(hù)或者可以（例如利用累進(jìn)的阻止時(shí)間）在時(shí)間上受限制或者可以被嵌入，使得僅僅遠(yuǎn)程管理（Remote Administration）可以取消所述阻止。

因?yàn)椴粌H臨時(shí)密鑰對(duì)而且登錄密碼LPW都是每次通過隨機(jī)重新被生成，所以安全性一定程度上取決于隨機(jī)數(shù)生成器的質(zhì)量。如果攻擊者可以將所輸入的密碼錄制下來，那么他可以重新使用該密碼。作為應(yīng)對(duì)措施，使用經(jīng)試驗(yàn)的算法，用于生成偽隨機(jī)數(shù)。此外，電氣設(shè)備20僅僅在有限時(shí)間段內(nèi)接受所產(chǎn)生的登錄密碼LPW。而且緊接著可以在成功登錄之后立即使得最后生成的登錄密碼LPW無效。

在目前的瀏覽器中所支持的兩個(gè)橢圓曲線（prime256v1和secp384r1）在加密專家處關(guān)于它們的加密強(qiáng)度在討論中。Koblitz曲線中，加密強(qiáng)度不是準(zhǔn)確地已知的?？紤]到美國(guó)中央機(jī)構(gòu)（例如NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院））對(duì)標(biāo)準(zhǔn)委員會(huì)的影響以及上述兩個(gè)曲線是滿足NSA B套安全要求的那些曲線的事實(shí)，有些專家贊同使用新型曲線（例如曲線25519），所述新型曲線不曾在NIST參與的情況下被開發(fā)。因?yàn)檎麄€(gè)登錄應(yīng)用都在制造商手中，所以可能值得使用這樣的曲線。

盡管本發(fā)明已經(jīng)詳細(xì)地通過實(shí)施例進(jìn)一步予以圖解說明和描述，但是本發(fā)明不限于所公開的例子，而且本領(lǐng)域技術(shù)人員可以從中推導(dǎo)出其它變型方案，而不脫離本發(fā)明的保護(hù)范圍。尤其是，本發(fā)明不限于醫(yī)療設(shè)備，而是可以被用于具有計(jì)算和存儲(chǔ)單元的所有設(shè)備。

附圖標(biāo)記列表

1 生成密鑰對(duì) PU1和PR1

2 生成共同的機(jī)密SHS

3 產(chǎn)生登錄密碼 LPW

4 對(duì)登錄密碼LPW進(jìn)行加密

5 生成并顯示QR碼QRC

6 對(duì)QR碼QRC進(jìn)行掃描和解碼

7 加載第一私鑰PR1

8 計(jì)算出共同的機(jī)密SHS

9 對(duì)密鑰SKY進(jìn)行解碼

10 對(duì)登錄密鑰LPW進(jìn)行比較

20 醫(yī)療設(shè)備

21 服務(wù)中心

22 智能電話

23 醫(yī)療設(shè)備20的顯示單元

24 智能電話22的屏幕單元

25 醫(yī)療設(shè)備20的輸入單元

26 智能電話22的相機(jī)

COI 組合信息

LPW 登錄密碼

PR1 第一私鑰

PR2 第二私鑰

PU1 第一公鑰

PU2 第二公鑰

QRC QR碼

SHS 共同的機(jī)密

SKY 密鑰

SRN 醫(yī)療設(shè)備20的材料/序列號(hào)。