安全訪問分布在不安全數(shù)據(jù)網(wǎng)絡中的數(shù)據(jù)的制作方法
【專利摘要】本發(fā)明涉及一種方法和一種系統(tǒng)����、注冊中心�����、存儲庫和計算機程序產(chǎn)品�����,用于安全執(zhí)行對在存儲庫(REP)中存儲的敏感的醫(yī)學數(shù)據(jù)組的訪問���。在對存儲庫(REP)中的安全關鍵的數(shù)據(jù)(SD)的訪問之前必須執(zhí)行向單獨的注冊中心(REG)的注冊請求��,以便獲得限制在其臨時有效性中的安全令牌(PS)���,例如以條形碼形式。數(shù)據(jù)源(Q)和/或數(shù)據(jù)宿(S)然后可以利用安全令牌(PS)訪問安全關鍵的數(shù)據(jù)(SD)�,方法是,索引模塊(42)檢索存儲庫(REP)上的所請求的數(shù)據(jù)組���。
【專利說明】安全訪問分布在不安全數(shù)據(jù)網(wǎng)絡中的數(shù)據(jù)
【技術領域】
[0001]本發(fā)明涉及一種安全技術并且特別是對由于分布的數(shù)據(jù)庫構成的未受保護的網(wǎng)絡�����、諸如云系統(tǒng)中的安全關鍵的數(shù)據(jù)組的訪問安全�����。此外本發(fā)明還涉及醫(yī)學【技術領域】����,該領域的特征特別地在于,必須存儲和提供安全關鍵的數(shù)據(jù)�。
[0002]正是在現(xiàn)代系統(tǒng)中盡可能靈活地構造數(shù)據(jù)保存(Datenhaltung),從而可調用和可存儲不同系統(tǒng)的數(shù)據(jù)并且在此特別地經(jīng)由因特網(wǎng)通信來調用和存儲�。
[0003]【背景技術】-現(xiàn)有技術
[0004]尤其在醫(yī)學【技術領域】由此必要條件是,要保護對安全關鍵的數(shù)據(jù)的訪問以防未授權的訪問���。對于提供經(jīng)由因特網(wǎng)的訪問的現(xiàn)代系統(tǒng)�,這是一個危險源�。未授權的用戶可能非法地在各個電子模塊(發(fā)送者、接收者)之間竊取消息-并且這通常:無需特別高的開銷來操作�。由此對這些數(shù)據(jù)的訪問一方面必須滿足高的安全要求。另一方面需要�,對于Web使用和例如對遠離的醫(yī)學工作站的訪問來說系統(tǒng)是盡可能靈活的,使得任何時候可以添加單個電子實體(Instanzen)�����。此外用戶、應用程序和分布的數(shù)據(jù)庫的待管理的范圍大���。在設計安全系統(tǒng)時也必須考慮待存儲的大的數(shù)據(jù)量。
[0005]現(xiàn)有技術中公知�����,保護電子數(shù)據(jù)組以防未授權的訪問��。在此公知加密系統(tǒng)�,其一方面應用于存儲器(例如應用于計算機的硬盤)另一方面應用于在網(wǎng)絡用戶之間的通信。在其中通信(也就是被交換的消息)被加密的加密系統(tǒng)的框架內���,在現(xiàn)有技術中公知���,分別在接收者一側進行解密。就此而言�,這是一種安全風險,因為即使消息按照加密的形式���,原則上未授權的用戶也可能攔截消息��,并且將該消息按照任何形式以未授權的方式處理�、損壞或未經(jīng)許可地傳播。此外在現(xiàn)有技術中公知���,提供用于搜索的索引��,以便能夠按照大的數(shù)據(jù)間隔訪問數(shù)據(jù)組��。但是沒有用來保護安全關鍵的個人數(shù)據(jù)的方案�����。
[0006]本發(fā)明的任務
[0007]由此本發(fā)明的任務是���,提供一種信息技術系統(tǒng),該系統(tǒng)保護對在未受保護的網(wǎng)絡中通信的安全關鍵的數(shù)據(jù)的訪問����,并且在所述系統(tǒng)中同時可以實現(xiàn)具有快速搜索功能的索弓I。此外對安全關鍵的數(shù)據(jù)����,特別是患者的醫(yī)學數(shù)據(jù)組的數(shù)據(jù)訪問應當在遵守最高的安全要求的條件下更靈活地構造。
[0008]還應當提供信息技術的基礎結構�,利用所述基礎結構就如下而言可以節(jié)省成本��,因為對各個系統(tǒng)中硬盤的迄今為止需要的局部保護可以通過中央保護系統(tǒng)替代���。
[0009]本發(fā)明的一般描述
[0010]前述任務通過所附的并列權利要求解決,特別是通過方法��、系統(tǒng)�����、注冊中心(Registry)����、存儲庫(Repository)和計算機程序產(chǎn)品解決��。
[0011]以下借助按照方法的所述形式來描述本發(fā)明����。在此提到的優(yōu)點、替換實施方式或有利的構造同樣也適用于其他權利要求形式��、特別是系統(tǒng)��、注冊中心和/或存儲庫或計算機程序產(chǎn)品并且反之亦然���。換言之���,系統(tǒng)(或其他要求保護的內容)也可以利用在方法的范圍內描述和/或要求保護的特征來改進�����。按照優(yōu)選實施方式�,方法是計算機實現(xiàn)的方法���。但是在此替換地至少部分地涉及硬件方案����,從而方法的各個步驟通過具有相應的功能的相應的硬件模塊來執(zhí)行����,例如作為微控制器或微處理器的組件。在此原則上可以的是����,不是所有方法步驟在同一個計算機實體上執(zhí)行,而是可以對于分布的系統(tǒng)構造所述方法�����,從而單個步驟在第一計算機實體上而另外的步驟可以在其他計算機實體上執(zhí)行。
[0012]本發(fā)明的一個方面由此涉及一種計算機實現(xiàn)的或微處理器實現(xiàn)的方法���,用于安全訪問不安全的網(wǎng)絡環(huán)境�����、諸如因特網(wǎng)中的數(shù)據(jù)組��。在此互相完全分離的����,換言之也就是在物理角度來看退耦的如下不同硬件實體相互作用:
[0013]-中央注冊中心�����,其構造為用于訪問注冊的計算機實體�,
[0014]-至少一個與注冊中心分離地提供的存儲庫�,其用于安全關鍵的數(shù)據(jù)的數(shù)據(jù)保存���,
[0015]-至少一個數(shù)據(jù)源和至少一個數(shù)據(jù)宿��。
[0016]數(shù)據(jù)源和數(shù)據(jù)宿執(zhí)行對注冊中心和/或存儲庫的數(shù)據(jù)組的訪問����。優(yōu)選地���,數(shù)據(jù)源或數(shù)據(jù)宿為了執(zhí)行訪問必須在注冊中心中注冊一次。
[0017]如前面已經(jīng)提到的�,優(yōu)選實施方式涉及醫(yī)學【技術領域】中的應用,從而數(shù)據(jù)組是安全關鍵的(患者)數(shù)據(jù)���。此外��,數(shù)據(jù)組也包括人口統(tǒng)計數(shù)據(jù)�,諸如患者姓名���、患者出生日期��、患者地址���、保險數(shù)據(jù)等,其通常比安全關鍵的數(shù)據(jù)(例如病史數(shù)據(jù)�����、診斷數(shù)據(jù)、醫(yī)學圖像)具有對于訪問的更小的安全要求�����。
[0018]簡化地可以假定�����,按照本發(fā)明的建議包括四個分開的計算機實體:注冊中心����、存儲庫、數(shù)據(jù)源(例如醫(yī)學成像系統(tǒng)或圖像存儲系統(tǒng))和數(shù)據(jù)宿(例如診斷工作站)����。當然在本發(fā)明的范圍內,在此提供多個前面提到的實體�����,從而例如多個存儲庫與多個數(shù)據(jù)源和多個數(shù)據(jù)宿相互作用����,其分別經(jīng)由通信網(wǎng)通信��。為了容易理解,以下通常僅描述上面提到的實體中的僅一個�����,而不限制本發(fā)明���。
[0019]本發(fā)明的一個主要方面在于�����,個人的安全關鍵的數(shù)據(jù)決不在共同的消息中或一般地:決不與人員身份數(shù)據(jù)經(jīng)由網(wǎng)絡(例如因特網(wǎng)作為不安全的網(wǎng)絡環(huán)境)一起通信�����。該方案帶來主要優(yōu)點�,即���,即使未授權的用戶竊取了數(shù)據(jù)往來并且確定數(shù)據(jù)�����,也不能將該數(shù)據(jù)與個人對應���。在個人和安全關鍵的數(shù)據(jù)之間的對應由此即使在被竊取的消息的情況下也是不可能的����。
[0020]按照本發(fā)明���,該方法包括如下方法步驟:
[0021]-通過將人口統(tǒng)計數(shù)據(jù)在注冊中心中而安全關鍵的數(shù)據(jù)在存儲庫存儲�����,分離地提供安全關鍵的數(shù)據(jù)和人口統(tǒng)計數(shù)據(jù)�;
[0022]-從數(shù)據(jù)源和/或數(shù)據(jù)宿對注冊中心提出注冊請求��,以便對于對與個人對應的數(shù)據(jù)組的訪問獲得以分配安全令牌的形式的注冊�����;
[0023]-對該注冊請求���,從注冊中心向請求的數(shù)據(jù)源和/或數(shù)據(jù)宿發(fā)放安全令牌���,其可以明確地與人員身份數(shù)據(jù)組對應;
[0024]-從注冊中心向存儲庫發(fā)送消息����,包括發(fā)放的安全令牌和對應的人員身份數(shù)據(jù)組。在此該消息可以作為對于可能在后面的時刻在存儲庫上執(zhí)行的映射規(guī)定的基礎來使用�;
[0025]-從數(shù)據(jù)源和/或數(shù)據(jù)宿向存儲庫發(fā)送帶有安全令牌或帶有對于請求來說明確的標識的訪問消息,以訪問在存儲庫存儲的安全關鍵的數(shù)據(jù)���;其中可選地可以發(fā)送安全令牌或在其方面與安全令牌一一對應的明確的標識����;
[0026]-將映射規(guī)定應用于存儲庫�����,利用訪問消息的安全令牌計算人員身份數(shù)據(jù)組���。人員身份數(shù)據(jù)組按照本發(fā)明于是應當作為在被請求訪問的���、安全關鍵的數(shù)據(jù)的數(shù)據(jù)組的尋址時的索引被使用;
[0027]-通過作為索引的人員身份數(shù)據(jù)組執(zhí)行對(所請求的)數(shù)據(jù)組的訪問��。
[0028]以下解釋在專利申請的范圍內使用的概念���。
[0029]數(shù)據(jù)組包括至少兩個數(shù)據(jù)分量:具有“安全關鍵的數(shù)據(jù)”分量��,其要求最大程度的保護措施(最高的安全要求)����,和具有人口統(tǒng)計數(shù)據(jù)的分量,其要求較小的保護措施并且由此要求較小程度的敏感性�。按照本發(fā)明的方法的主要應用在于醫(yī)學【技術領域】。安全關鍵的數(shù)據(jù)在此例如是患者的健康數(shù)據(jù)���,諸如診斷數(shù)據(jù)�、醫(yī)學圖像數(shù)據(jù)���、病史數(shù)據(jù)�、報告數(shù)據(jù)等����。但是在替換的實施方式中,在此也可以是經(jīng)濟應用或保險應用����,以及要求處理安全關鍵的數(shù)據(jù)的任意其他應用?�!叭丝诮y(tǒng)計數(shù)據(jù)”在專業(yè)文獻中也稱為“公開數(shù)據(jù)”���,因為這些數(shù)據(jù)本來就在移動數(shù)據(jù)載體上公開(例如以保險卡(或計劃的健康卡)的形式:姓名���、出生日期等)?��!安话踩木W(wǎng)絡環(huán)境”的概念應當表示任何云系統(tǒng)或網(wǎng)絡系統(tǒng)���,在所述系統(tǒng)中基于計算的實體交換數(shù)據(jù)。只要網(wǎng)絡對于任意數(shù)量的參與者對數(shù)據(jù)交換是開放的���,則在本發(fā)明的意義上是“不安全的”���。這一點不僅對于因特網(wǎng)而且對于廣域網(wǎng)(WAN)或局域網(wǎng),例如企業(yè)網(wǎng)或診所網(wǎng)或網(wǎng)絡連接���,或對于其他數(shù)字網(wǎng)絡都是適用的����。
[0030]“注冊中心”和“存儲庫”的概念應當表示基于計算機的�����、物理的硬件實體��,其包括外部或內部的硬盤(例如RAID系統(tǒng))或用于數(shù)據(jù)保存的其他裝置和用于與其他實體通信的接口。此外其用于存儲映射規(guī)定(或者成像規(guī)定)���,以便檢索(indizieren)在其存儲器中存儲的數(shù)據(jù)組�����。在注冊中心中以及在存儲庫中存儲的數(shù)據(jù)組可以經(jīng)由索引尋址或檢索���。
[0031]“標識”優(yōu)選是指人員身份數(shù)據(jù)組。對于醫(yī)學技術應用的情況�����,這簡單地是如下背景����,即,(患者的)人口統(tǒng)計數(shù)據(jù)組以及(患者的)安全關鍵的數(shù)據(jù)組都正好必須能夠與一個患者對應�����。在標識和(作為患者的)個人之間的對應必須以一一對應的方式是可以的����。系統(tǒng)為此優(yōu)選設置雙射的映射�����。當一個標識與不同的個人對應或當不同的標識與一個個人對應時則出現(xiàn)故障����。后者在現(xiàn)有技術中作為雙重性問題(Dublettenproblem)而公知��。兩種情況都必須避免�����。標識按照根據(jù)本發(fā)明的解決方案優(yōu)選由系統(tǒng)本身產(chǎn)生并且可以按照合適的安全措施形成�。通常在此使用由人口統(tǒng)計數(shù)據(jù)必要時與其他標識性提示的組合(可選地還增加對參與的基于計算機的實體的電子地址的說明���、時間戳或隨機數(shù)或其他參數(shù))�。替換地�����,但是也可以的是��,外部的系統(tǒng)、數(shù)據(jù)源和/或數(shù)據(jù)宿提供和使用增加的標識��。該標識不一定必須與系統(tǒng)的標識一致��。于是進行在數(shù)據(jù)源/數(shù)據(jù)宿-1D和內部ID之間的對應��。該對應可以與可能出現(xiàn)的雙重性(Dubletten)在注冊中心中聚集在一起��。
[0032]在注冊中心中存儲人口統(tǒng)計數(shù)據(jù)�����。此外存儲對應(優(yōu)選以表格數(shù)據(jù)結構的形式):
[0033]-個人身份標識-人口統(tǒng)計數(shù)據(jù)��。
[0034]因為優(yōu)選不重復使用安全令牌�����,所以按照本發(fā)明也不將該安全令牌存儲�����,因為這將與安全風險相關�����。對應“安全令牌-標識”雖然必須是可用的,但是不存儲�����。
[0035]在存儲庫中存儲安全關鍵的數(shù)據(jù)�。此外存儲庫還包括兩個對應(優(yōu)選又以表格數(shù)據(jù)結構的形式):
[0036]1.在個人身份標識-安全關鍵的數(shù)據(jù)組之間的對應,和
[0037]2.在安全令牌-個人身份標識之間的對應��。
[0038]如前面已經(jīng)提到的��,按照本發(fā)明���,個人身份標識優(yōu)選由內部系統(tǒng)產(chǎn)生,該系統(tǒng)管理注冊中心��。在此存儲庫僅使用由注冊中心利用安全令牌發(fā)送的標識���。[0039]“數(shù)據(jù)源”的概念指基于計算機的實體��,其產(chǎn)生數(shù)據(jù)組并且向存儲庫發(fā)送以用于存儲�,以便其在那里對于其他實體來說是可以訪問的����。數(shù)據(jù)源可以是計算機、計算機網(wǎng)絡、設備�����,諸如實驗室設備���、成像醫(yī)學系統(tǒng)等�。它們優(yōu)選通過特定的協(xié)議�,特別是DICOM協(xié)議(DICOM:Digital Imaging and Communications in Medicine,醫(yī)學數(shù)字成像和通信)通信。
[0040]“數(shù)據(jù)宿”也涉及基于計算機的實體�,其如客戶機那樣工作并且從存儲庫請求數(shù)據(jù)。在此是工作站���、移動設備(PDA�、膝上電腦等)或其他電子模塊����。優(yōu)選地,按照本發(fā)明的訪問系統(tǒng)包括中央注冊中心���、多個存儲庫���、多個數(shù)據(jù)源和多個數(shù)據(jù)宿���。替換地,在此也可以考慮其他實施���,從而例如可以設置多個注冊中心���,其由上層設置的實體來管理。同樣可以僅設置一個存儲庫����,其于是作為中央存儲器工作。重要的是��,所有參與的實體在空間上或物理上是分離的單元并且經(jīng)過開放的網(wǎng)絡相互作用(例如通過因特網(wǎng))����。
[0041]“安全令牌”優(yōu)選是數(shù)字假名�����。由此存在在人員身份數(shù)據(jù)組和假名之間的明確對應��。對于假名的產(chǎn)生重要的是�����,由假名不能推導出個人相關的數(shù)據(jù)組。換言之�,“竊取”了假名的未授權的用戶不能推導出個人或對于個人存儲的數(shù)據(jù)組(安全關鍵的或人口統(tǒng)計數(shù)據(jù))。在替換的實施方式中也可以���,安全令牌作為硬件特征構造并且例如按照安全特征的形式(具有集成的安全芯片等的硬件實體)提供��。
[0042]按照本發(fā)明的解決方案的一個主要優(yōu)點在于�,在按照本發(fā)明的方法運行期間����,系統(tǒng)也能夠與其他要求靈活地匹配。例如可以的是���,在運行期間也可以改變存儲庫��、數(shù)據(jù)源和/或數(shù)據(jù)宿(例如添加或刪除或改變)�。由此系統(tǒng)可以與分別當前的要求匹配并且由此是可縮放的���。
[0043]按照優(yōu)選實施方式��,用于在參與的實體之間通信的通信協(xié)議是異步的�。這(在實踐中是非常廣泛的并且)具有優(yōu)點,即�����,可以在任意時刻應答在參與的實體之間被交換的消息����。但是使用同步的通信協(xié)議或異步和同步協(xié)議的混合也在本發(fā)明的范圍內。
[0044]優(yōu)選地����,假名或者說安全令牌由系統(tǒng)產(chǎn)生。在優(yōu)選實施方式中這直接在注冊中心上進行��。替換地也可以的是�,假名在其他基于計算機的實體上(例如通過采用隨機發(fā)送器)產(chǎn)生并且然后通過接口傳輸?shù)阶灾行摹V匾氖?���,?shù)據(jù)源將用于注冊的請求與標識一起發(fā)送到注冊中心���。在此標識可以是這樣的��,其由數(shù)據(jù)源產(chǎn)生并且標識在數(shù)據(jù)源中的數(shù)據(jù)組�����。替換地�����,標識也可以是系統(tǒng)內部的標識����,其標識了注冊中心/存儲庫中的數(shù)據(jù)組。對于數(shù)據(jù)源的具有標識的請求��,注冊中心產(chǎn)生各自的假名(安全令牌)并且由此將假名與標識明確對應���。作為對請求的應答���,注冊中心然后將假名發(fā)送到進行請求的數(shù)據(jù)源。
[0045]在數(shù)據(jù)宿的請求情況下使用相同的方法��。在該情況下數(shù)據(jù)宿將具有標識的注冊請求發(fā)送到注冊中心��。該注冊中心對標識產(chǎn)生安全令牌并且將其與標識(在系統(tǒng)內部)對應��。作為對該請求的應答��,注冊中心然后將假名(安全令牌)發(fā)送到進行請求的數(shù)據(jù)宿��。
[0046]在前面提到的兩種情況下(數(shù)據(jù)源的注冊請求和數(shù)據(jù)宿的注冊請求)可以的是���,注冊中心以兩種不同的方式應答:
[0047]1.注冊中心分別僅將安全令牌作為應答發(fā)送回�。進行請求的實體(數(shù)據(jù)源/數(shù)據(jù)宿)然后根據(jù)各自的消息的序列將獲得的安全令牌與各自的標識對應�����,或
[0048]2.注冊中心不僅將安全令牌作為應答�,而且除了安全令牌還附加地將與安全令牌分別對應的標識(或與請求分別對應的標識)發(fā)送回。在此標識-安全令牌的對應是明確的或者說在數(shù)學的意義上是單射的����。在后面的、重新的請求的情況下按照本發(fā)明出于安全原因不使用相同的令牌���。由此進行請求的實體(數(shù)據(jù)源/數(shù)據(jù)宿)不必進行消息的管理并且可以從注冊中心的應答中直接獲得標識和安全令牌的對應�����。
[0049]在注冊中心已經(jīng)進行了在標識和安全令牌之間的對應并且進行請求的實體已經(jīng)應答之后,注冊中心將消息發(fā)送到存儲庫���,以便也將在標識和安全令牌之間的對應通知存儲庫���。
[0050]在一種優(yōu)選實施方式中�����,安全令牌僅具有臨時的有效性并且由此在可配置的時間段之后自動作廢�����。在該時間段過去之后利用該安全令牌對數(shù)據(jù)的訪問不再可能���。替換地也可以的是,安全令牌由注冊中心管理并且將相應的消息傳輸?shù)酱鎯臁?br>
[0051]在執(zhí)行了前面提到的步驟之后��,進行請求的實體(數(shù)據(jù)源或數(shù)據(jù)宿)和存儲庫都被通知當前發(fā)放的安全令牌�����。
[0052]然后可以的是���,請求的實體(數(shù)據(jù)源��、數(shù)據(jù)宿)將訪問請求發(fā)送到存儲庫�,因為其為了訪問已經(jīng)注冊(也就是通過占據(jù)安全令牌)。數(shù)據(jù)源/數(shù)據(jù)宿將包括了安全令牌的訪問消息發(fā)送到存儲庫���。
[0053]在下一個步驟中存儲庫從接收的安全令牌和從由注冊中心接收的映射規(guī)定中(在標識和安全令牌之間的對應)以明確的方式推導出標識����。這優(yōu)選在訪問表格的條件下進行��。
[0054]在另一個步驟中然后可以訪問在存儲庫中的另一個表格�����。為此使用在第一步驟中計算的標識�,以便利用標識推導出安全關鍵的數(shù)據(jù)的所請求的數(shù)據(jù)組。換言之�����,計算的標識用作對于對所請求的安全關鍵的數(shù)據(jù)組的訪問的索引�。在下一個步驟中然后可以根據(jù)訪問形式改變該數(shù)據(jù)組。
[0055]如果由數(shù)據(jù)源進行了訪問�,則設置寫訪問,從而數(shù)據(jù)源將“新的”安全關鍵的數(shù)據(jù)發(fā)送到存儲庫���,以便將其在那里在標識下存儲或者說以便相應地覆蓋或修改識別的安全關鍵的數(shù)據(jù)組����。
[0056]如果請求的實體曾經(jīng)是數(shù)據(jù)宿�����,則應當進行讀訪問����。然后將存儲庫的被檢索到的安全關鍵的數(shù)據(jù)組作為對訪問請求(訪問消息)的應答發(fā)送到數(shù)據(jù)宿。按照本發(fā)明在此設置兩種變形:
[0057]1.存儲庫可以應答數(shù)據(jù)宿的讀訪問的請求����,方法是,其將安全關鍵的數(shù)據(jù)的被檢索到的數(shù)據(jù)組發(fā)送到數(shù)據(jù)宿��。在該情況下數(shù)據(jù)宿僅獲得該數(shù)據(jù)組作為對讀請求的應答�。接收的消息的和特別是數(shù)據(jù)組的管理在此由數(shù)據(jù)宿負責。數(shù)據(jù)宿必須從存儲庫接收的具有所請求的安全關鍵的數(shù)據(jù)的消息中找到在標識之間的對應�����。通過交換的消息的序列或通過相應的時間戳�,這是可以的。
[0058]2.對于對安全關鍵的數(shù)據(jù)的讀訪問的請求,存儲庫不僅通過發(fā)送具有所請求的安全關鍵的數(shù)據(jù)的消息來應答��,而且發(fā)送一個組合(也可以發(fā)送可能不同的消息格式的另外的分組:例如數(shù)字的和通過郵政發(fā)送的)��,但是優(yōu)選以元組(Tupels)的形式����,包括:所請求的安全關鍵的數(shù)據(jù)和附加的與這些數(shù)據(jù)對應的安全令牌(或與該請求對應的標識)。在該情況下數(shù)據(jù)宿不進行其他管理步驟����,而是其可以根據(jù)接收的存儲庫的應答消息直接推導出在標識和安全關鍵的數(shù)據(jù)之間的對應。
[0059]第一變形的優(yōu)點在于���,還可以進一步提高安全性���,因為安全關鍵的數(shù)據(jù)從存儲庫向數(shù)據(jù)宿僅單獨地而沒有其他安全令牌地(這間接允許推導出個人)被發(fā)送。
[0060]替換地也可以����,在數(shù)據(jù)宿的讀訪問的情況下存儲庫作為應答發(fā)送兩個消息:一個是具有所請求的安全關鍵的數(shù)據(jù)的消息并且另一個是可以是在時間上之前的或之后的第二消息,即��,分別對應的安全令牌�����。在該實施方式中取消對數(shù)據(jù)宿的管理開銷。盡管如此�����,還可以提高安全級別����,因為沒有其他附加的情況下使用安全關鍵的數(shù)據(jù)�����。
[0061]這些解釋也用于數(shù)據(jù)源對存儲庫的寫訪問:
[0062]1.數(shù)據(jù)源將例如在時間上偏移的或按照不同的數(shù)據(jù)格式的兩個不同的消息發(fā)送到存儲庫�。在第一消息中其發(fā)送安全令牌,該安全令牌由存儲庫為了檢索各自的數(shù)據(jù)組而使用���。在第二消息中其發(fā)送用于寫訪問的相應的安全關鍵的數(shù)據(jù)����。存儲庫利用之前接收的����、從安全令牌中導出的標識檢索這樣接收的數(shù)據(jù)�����。
[0063]2.在第二變形中數(shù)據(jù)源不發(fā)送兩個分離的消息�����,而是僅一個消息�,其既包括安全令牌也附加地包括安全關鍵的數(shù)據(jù)���。存儲庫又使用安全令牌來檢索安全關鍵的數(shù)據(jù)���。
[0064]優(yōu)選地,安全關鍵的數(shù)據(jù)直接存儲在存儲庫��。替換地���,存儲庫僅包括到在其他實體上存儲的���、安全關鍵的數(shù)據(jù)的鏈接(Links)。在此�,存儲庫和其他實體處于數(shù)據(jù)交換。
[0065]由于異步協(xié)議���,數(shù)據(jù)源可以執(zhí)行對存儲庫的寫訪問���,而數(shù)據(jù)宿同時請求或執(zhí)行對存儲庫的另一個數(shù)據(jù)組的讀訪問�。此外����,用于進行請求的實體(數(shù)據(jù)源、數(shù)據(jù)宿)的注冊的方法步驟可以在時間上獨立于進行請求的實體對存儲庫的相應的數(shù)據(jù)訪問來執(zhí)行�����。在此僅考慮安全令牌的有效時間��。除了遵守該有效時間之外���,注冊過程可以在訪問的執(zhí)行之前的任意時刻進行。由此還可以更靈活地構造該方法����。
[0066]按照本發(fā)明的解決方案的一個主要優(yōu)點是,對存儲庫中的安全關鍵的數(shù)據(jù)的訪問可以明顯更快進行�,因為可以利用明確的標識進行直接檢索。由此在存儲庫中存儲的數(shù)據(jù)組可以有針對地被尋址并且具體來說不僅在存儲庫內部而且由進行請求的實體�,即�����,數(shù)據(jù)源和數(shù)據(jù)宿來尋址�。
[0067]此外明顯提高訪問系統(tǒng)的安全性����,因為,如上所述��,僅交換不同實體的消息�����,其中在消息中從不與安全關鍵的數(shù)據(jù)一起使用個人相關的數(shù)據(jù)組�����。換言之����,如果參與的物理實體(數(shù)據(jù)源、數(shù)據(jù)宿��、注冊中心和存儲庫)在如下程度上互相分離�����,使得即使是不安全的網(wǎng)絡,諸如因特網(wǎng)�,也可以對于安全關鍵的數(shù)據(jù)的數(shù)據(jù)交換被使用,并且其中此外以最大的方式保護數(shù)據(jù)以防未授權的訪問����,即使當消息被竊取。
[0068]一個重要的優(yōu)點還在于��,可以明顯加速訪問����,因為對如迄今為止需要的存儲庫的各個硬盤不必以相同的程度進行訪問保護,這原則上加速了訪問�����,因為安全關鍵的數(shù)據(jù)按照本發(fā)明不與個人身份提示一起通信����。
[0069]本發(fā)明的一個主要方面也在于�,使用兩個不同的標識特征:一個是個人身份標識,其適用于個人并且這終生有效��,并且另一個是安全令牌,其由系統(tǒng)產(chǎn)生并且僅臨時有效���。不允許第三方從標識推導出安全令牌�����。同樣也不允許第三方反過來從安全令牌推導出標識�����。原則上標識應當一一對應地標識人員��。換言之設置在真實的個人和標識之間的雙射映射����。但是在通常的IT健康系統(tǒng)中由于安全性原因容忍所謂的雙重性(Dubletten)�。由此人員原則上也可以具有不同的標識。存儲庫按照本發(fā)明可以根據(jù)外部的人口統(tǒng)計特征始終分辨該雙重性并且為此相應地多次執(zhí)行上面描述的安全令牌的發(fā)送過程��。該分辨作為方法可以在注冊中心中任何時候引入��、修改或禁止����,而不改變持久的數(shù)據(jù)庫�。
[0070]通常標識由注冊中心產(chǎn)生�����。為此可以設置不同的機制�。通常對不同參數(shù)的組合執(zhí)行Hash函數(shù),包括所有或選擇的以下數(shù)據(jù):人口統(tǒng)計數(shù)據(jù)�����、本地時間說明��、必要時的對于網(wǎng)絡而言明確的區(qū)域標識��、并且必要時的其他參數(shù)����。替換地也可以的是,標識不是由注冊中心�����,而是由另一個實體��,例如由進行請求的實體(數(shù)據(jù)源���、數(shù)據(jù)宿)或其他實體產(chǎn)生并且將其向注冊中心轉發(fā)����。無論如何必須確保��,第三方不能夠從一個安全令牌的知識推導出另一個安全令牌�。
[0071]在此要指出,該用于產(chǎn)生安全令牌的機制不限制本發(fā)明的內容���。換言之也可以采用用于令牌產(chǎn)生的不同方法�����。例如可以對以下參數(shù)使用Hash函數(shù):由操作系統(tǒng)平臺根據(jù)請求形成的⑶ID(globally unique identifier,全局唯一標識)��、本地時間���、隨機數(shù)和/或新的安全令牌的有效性的已過去時間。
[0072]前面提到的任務的另一個解決方案在于一種根據(jù)所附權利要求的用于安全訪問數(shù)據(jù)組的系統(tǒng)�。該系統(tǒng)包括在物理角度來看互相分離的硬件實體:優(yōu)選中央注冊中心、至少一個存儲庫和多個數(shù)據(jù)源和多個數(shù)據(jù)宿�。
[0073]注冊中心按照本發(fā)明通過通知模塊擴展��,該通知模塊構造為��,將消息從注冊中心發(fā)送到存儲庫�����,以便將當前向分別對應的標識發(fā)放的安全令牌通知存儲庫����。
[0074]數(shù)據(jù)源按照本發(fā)明構造為具有注冊模塊�����,所述注冊模塊用于將注冊請求發(fā)送到注冊中心并且接收其(具有安全令牌的)結果��。此外數(shù)據(jù)源構造為具有訪問模塊�����,用于執(zhí)行具有安全關鍵的數(shù)據(jù)的和具有安全令牌的���、對存儲庫的寫訪問�。
[0075]同樣地���,數(shù)據(jù)宿構造為具有注冊模塊�,用于將注冊請求發(fā)送到注冊中心并且接收其結果(安全令牌)�����。此外數(shù)據(jù)宿構造為具有訪問模塊���,用于執(zhí)行數(shù)據(jù)宿對存儲庫的數(shù)據(jù)組的讀訪問��。其用于將具有安全令牌的讀訪問發(fā)送到存儲庫并且接收存儲庫的應答��,該應答包括所請求的安全關鍵的數(shù)據(jù)���,所述數(shù)據(jù)與安全令牌對應。
[0076]存儲庫按照本發(fā)明擴展為具有檢索模塊���,該檢索模塊構造為用于訪問兩個表格��,以便從進行請求的實體的安全令牌導出標識并且以便在第二步驟中從導出的標識檢索所請求的安全關鍵的數(shù)據(jù)組并且準備用于訪問���。
[0077]前面關于方法提到的本發(fā)明替換實施方式同樣也可以應用于具有模塊的系統(tǒng)。
[0078]另一個解決方案在于按照所附權利要求的注冊中心和存儲庫�����,以及在于計算機程序產(chǎn)品。計算機程序產(chǎn)品可以包括計算機程序�,所述計算機程序可以存儲在存儲介質上(例如移動數(shù)據(jù)載體或計算機的內部存儲器)。也可以的是����,計算機程序作為分布式系統(tǒng)提供,從而通過方法步驟的單個功能定義的各個模塊可以在系統(tǒng)的不同實體上執(zhí)行���。在此�,可以提供計算機程序的各個部分用于下載��。
【專利附圖】
【附圖說明】
[0079]在以下的詳細的附圖描述中根據(jù)附圖描述具有其特征和其他優(yōu)點的�����、不是限制性理解的實施例��。其中��,
[0080]圖1示出按照優(yōu)選實施方式的本發(fā)明系統(tǒng)的概覽式示意圖和按照時間順序的在此交換的消息�,
[0081]圖2在總圖中示出參與的物理實體的示意圖,
[0082]圖3示出在各個實體之間交換的消息和物理特征的示意圖����,以及
[0083]圖4示出為了注冊的目的在注冊中心和數(shù)據(jù)源/數(shù)據(jù)宿之間交換的消息的示意圖��。【具體實施方式】
[0084]以下結合實施例參考圖1詳細解釋本發(fā)明��。
[0085]本發(fā)明涉及一種用于安全訪問在不安全的網(wǎng)絡環(huán)境����、諸如因特網(wǎng)中的數(shù)據(jù)組的系統(tǒng)和方法。在此參與的硬件實體通過因特網(wǎng)進行數(shù)據(jù)交換�����,例如存儲器實體����,包括多個硬盤、提供(根據(jù)應用情況具有不同內容的)數(shù)據(jù)的多個數(shù)據(jù)源Q���、請求數(shù)據(jù)的多個數(shù)據(jù)宿S�。
[0086]如圖2示意性示出的��,按照本發(fā)明的一種優(yōu)選實施方式���,設置中央注冊中心REG�,其通過因特網(wǎng)與其他硬件實體通信:與多個數(shù)據(jù)源QpQ2、多個存儲庫REPpREPyREP3����、多個數(shù)據(jù)宿SpS2等。替換地也可以不是僅設置一個中央注冊中心REG���,而且在此提供由上層布置的實體來管理的多個注冊中心實體����。然后在數(shù)據(jù)交換中必須對分別選定的注冊中心進行尋址�����。其他實體數(shù)據(jù)源1����、存儲庫REP和數(shù)據(jù)宿S通過因特網(wǎng)進行數(shù)據(jù)交換。
[0087]在圖1中為清楚和簡單起見僅示出一個數(shù)據(jù)源Q��、一個存儲庫REP和一個數(shù)據(jù)宿S�,用于解釋在這些實體之間的數(shù)據(jù)交換。如上所述,在現(xiàn)實中提供多個數(shù)據(jù)源Q�、存儲庫REP和數(shù)據(jù)宿S。
[0088]在本發(fā)明的一個主要實施方式中��,本發(fā)明涉及通過因特網(wǎng)對醫(yī)學或健康相關的數(shù)據(jù)組的安全訪問的提供����。數(shù)據(jù)源Q是醫(yī)學成像系統(tǒng)、歸檔系統(tǒng)��,諸如PACS系統(tǒng)(PictureArchiving and Communication Systems,圖像歸檔和通信系統(tǒng)),其本身通常作為網(wǎng)絡實現(xiàn)并且訪問存儲庫REP的云���。當然數(shù)據(jù)源Q也可以具有本地存儲器。原則上數(shù)據(jù)源Q由不同的硬件或基于計算機的實體構成��,其在各自的應用中作為數(shù)據(jù)的提供者(供應者)或發(fā)送者起作用��。數(shù)據(jù)宿S例如可以是任意的客戶機�����,其在工作站處工作����,以便例如觀察醫(yī)學診斷或另外處理患者數(shù)據(jù)。根據(jù)應用,數(shù)據(jù)宿可以由請求安全關鍵的數(shù)據(jù)的��、不同的基于計算機的構件形成�����。
[0089]本發(fā)明原理上來源于如下問題:如何能夠在網(wǎng)絡中快速和安全地傳輸安全關鍵的數(shù)據(jù)(例如醫(yī)學患者數(shù)據(jù)或其他待保護的用戶財經(jīng)數(shù)據(jù))����,并且其中同時允許所有參與的實體對各自的安全關鍵的數(shù)據(jù)盡可能靈活地訪問。最高程度的靈活性在目前的應用中可以通過經(jīng)由因特網(wǎng)的訪問可能性來提供�。但是經(jīng)由因特網(wǎng)的數(shù)據(jù)交換是高度不安全的,因為其可能被未授權的第三方竊取���,從而所攔截的數(shù)據(jù)可能被濫用���。由此上面提到的兩個目標實際上是矛盾的和本質對立的或者說互補的。專業(yè)人員在使得數(shù)據(jù)交換更安全這一問題中原則上不會考慮使用不安全的因特網(wǎng)��。盡管如此����,按照本發(fā)明的解決方案提供一種系統(tǒng),在該系統(tǒng)中可以使用因特網(wǎng)����,但是在參與的實體之間通過因特網(wǎng)的數(shù)據(jù)交換就此而言仍是滿足最高的安全要求的����,因為絕不會交換如下消息���,所述消息將人員身份數(shù)據(jù)與安全關鍵的數(shù)據(jù)一起通信�。
[0090]原則上建議的用于訪問的系統(tǒng)或方法涉及敏感的數(shù)據(jù)或具有不同安全等級的數(shù)據(jù)��。根據(jù)應用�,在此例如可以是患者的健康數(shù)據(jù)或用戶的財經(jīng)數(shù)據(jù)。在此�����,將這些數(shù)據(jù)組劃分為兩個不同類別:
[0091]1.人口統(tǒng)計數(shù)據(jù)DD和
[0092]2.安全關鍵的數(shù)據(jù)SD�。
[0093]人口統(tǒng)計數(shù)據(jù)同樣是安全關鍵的數(shù)據(jù)����,但是其比安全關鍵的數(shù)據(jù)SD具有稍低的敏感性。人口統(tǒng)計數(shù)據(jù)DD例如是相應的個人的姓名��、出生地點��、出生年月、承保單位�、雇主或由外部的(不與注冊中心REG也不與存儲庫REP對應的)實體給出的身份?�!巴獠康纳矸荨崩缈梢允峭獠康臉俗R�,例如,索引�����,其由數(shù)據(jù)源/數(shù)據(jù)宿使用�,以便關于數(shù)據(jù)源/數(shù)據(jù)宿對數(shù)據(jù)組進行尋址。該標識不一定必須與由注冊中心/存儲庫系統(tǒng)使用的標識一致����。按照本發(fā)明在此設置映射。
[0094]原則上本發(fā)明在如下方面顯得突出:人口統(tǒng)計數(shù)據(jù)DD和安全關鍵的數(shù)據(jù)SD在兩個不同的硬件實體中(例如存儲器-服務器)和在物理的角度上互相分離地被提供��。人口統(tǒng)計數(shù)據(jù)DD在注冊中心REG中并且安全關鍵的數(shù)據(jù)SD在存儲庫REP中提供��。
[0095]如果從任何位置請求對存儲庫REP中的安全關鍵的數(shù)據(jù)SD的訪問��,則這僅當首先在第一步驟中由注冊中心REG成功請求注冊并且相應地進行請求的實體可以被提供時才是可以的�����。
[0096]在注冊中心REG以及在存儲庫REP中都存儲敏感的數(shù)據(jù)。這些數(shù)據(jù)組對于訪問必須是可尋址的��。
[0097]按照本發(fā)明現(xiàn)在設置���,為了對相應的數(shù)據(jù)組尋址���,使用兩個不同的標識系統(tǒng)。
[0098]1.個人身份標識ID和
[0099]2.也可以按照假名PS形式構造的安全令牌�。
[0100](內部的)標識ID用于一一對應地標識個人并且由此也標識與該個人對應的數(shù)據(jù)組。例如可以通過標識ID請求患者的所有的診斷文件����、所有的圖像數(shù)據(jù)、以及其人口統(tǒng)計數(shù)據(jù)DD�����。標識ID檢索注冊中心REG和存儲庫REP的系統(tǒng)中的個人相關的數(shù)據(jù)組�。在此指出���,數(shù)據(jù)源Q以及數(shù)據(jù)宿S可以具有其他標識��。
[0101]為了安全的目的�,標識ID僅被內部地使用并且不與消息一起向數(shù)據(jù)源Q和數(shù)據(jù)宿S (并且由此不向外)輸出(僅注冊中心REG將消息與標識ID —起發(fā)送到存儲庫REP)。優(yōu)選地對在這兩個實體之間的通信進行提高的監(jiān)視(例如加密等)�����。安全令牌或假名PS可以向外通信����。
[0102]安全令牌PS可以按照兩個不同的形式提供:
[0103]1.作為數(shù)字代碼,按照假名PS的形式或
[0104]2.作為硬件構件����,例如按照具有用于標識的相應的芯片的USB棒的形式或按照具有代碼的安全卡的形式,該代碼可以作為磁條或者在芯片上實現(xiàn)�����,此外也可以實現(xiàn)其他數(shù)據(jù)載體或密鑰����。
[0105]優(yōu)選地,標識ID在注冊中心REG中被產(chǎn)生����。替換地,這也可以由通過相應的接口與注冊中心REG相連的單獨的實體執(zhí)行。
[0106]按照一個方面����,安全令牌或假名PS也由注冊中心REG產(chǎn)生����。在此提供映射���,該映射從個人相關的標識ID指向相應的假名PS以及反過來�����。同樣設置在標識ID和在注冊中心REG中存儲的人口統(tǒng)計數(shù)據(jù)DD之間的映射���。換言之,可以將標識ID用于有針對地請求或尋址注冊中心REG中的人口統(tǒng)計數(shù)據(jù)DD的數(shù)據(jù)組�。
[0107]如圖1所示和上面所述,注冊中心REG在優(yōu)選實施方式中包括安全令牌發(fā)生器10和標識發(fā)生器11�。
[0108]以下參考圖1詳細描述用于執(zhí)行對安全關鍵的數(shù)據(jù)組的安全訪問的方法的按照本發(fā)明的流程。
[0109]在圖1中交換的消息利用附圖標記“S1”�、“S2”、“S3”和“S4”表示�����。在此數(shù)字在優(yōu)選實施方式中表示步驟的順序�����。
[0110]利用“S”表示的步驟表示在數(shù)據(jù)源和注冊中心/存儲庫之間交換的消息�����。在由數(shù)據(jù)源Q對存儲庫REP執(zhí)行的訪問中��,是STORE或寫訪問(由此與數(shù)據(jù)源Q有關地交換的消息作為S (代表STORE)表示)�。[0111]與此不同地,數(shù)據(jù)宿S構造為從存儲庫(或從注冊中心)讀取數(shù)據(jù)����;由此是RETRIEVE命令。相應地����,與數(shù)據(jù)宿S有關地交換的消息S利用“R”表示,如“町”����、“1?2”、“1?3”和“R4”(參見圖1)��。如在STORE命令中那樣���,數(shù)字應當表示優(yōu)選實施方式中的步驟的順序����。
[0112]對于寫訪問的執(zhí)行,優(yōu)選成立以下流程�����。
[0113]在第一步驟SI中數(shù)據(jù)源Q利用注冊模塊22在說明標識ID的情況下訪問注冊中心REG�����。標識ID可以是明確標識數(shù)據(jù)源Q內部的數(shù)據(jù)的那樣的標識�。標識ID不一定必須也是對于注冊中心REG和/或存儲庫REP中的數(shù)據(jù)組的標識,因為設置了內部標識(對于注冊中心和存儲庫來說是內部的)上的映射����。由數(shù)據(jù)源Q向注冊中心REG發(fā)送的標識ID可以是人口統(tǒng)計數(shù)據(jù)DD的選擇,例如患者姓名�����、患者出生日期或其他患者相關的數(shù)據(jù)組�。
[0114]標識然后由注冊中心接收并且處理。如果標識已經(jīng)是內部的標識則不需要到內部標識的進一步映射功能。否則��,也就是如果從數(shù)據(jù)源Q向注冊中心REG發(fā)送的標識ID僅是人口統(tǒng)計數(shù)據(jù)的一部分并且由此不構造為明確標識個人特定的數(shù)據(jù)(例如僅患者姓名)�,則設置映射��,以便從人口統(tǒng)計數(shù)據(jù)DD的接收的部分中產(chǎn)生系統(tǒng)內部的標識ID��。這由注冊中心REG的標識發(fā)生器11進行�����。利用這樣確定的標識ID可以產(chǎn)生假名PS����。這通過注冊中心REG的安全令牌發(fā)生器10執(zhí)行。在此有利地設計有:在此在標識ID和假名PS之間設有雙射映射����。由此可以將正好一個標識與正好一個假名對應。
[0115]然后執(zhí)行以下兩個步驟�����,其順序是可變的���。
[0116]從注冊中心REG向存儲庫REP發(fā)送消息����,包括向存儲庫REP發(fā)放的安全令牌PS和對應的個人身份標識ID,從而在存儲庫REP的后面訪問時這些接收的數(shù)據(jù)可以作為映射規(guī)
定使用�。
[0117]在該步驟之前、之后或同時����,在步驟S2中將確定的假名PS發(fā)送到數(shù)據(jù)源Q的注冊模塊22。在此重要的是�����,假名PS僅具有臨時有效性并且在可配置的時間段之后到期���。由此對存儲庫REP的數(shù)據(jù)訪問僅在有效時間內是可以的��。
[0118]在第三步驟S3中由數(shù)據(jù)源Q的訪問模塊24執(zhí)行對存儲庫REP的訪問��,其中將分配的假名PS通知給存儲庫���。
[0119]在該消息中、與該消息同時或在附加的其他消息中(必要時按照另一種格式和/或通過另一種通信協(xié)議���,例如通過郵政或通過移動無線電)然后可以將安全關鍵的數(shù)據(jù)SD由數(shù)據(jù)源Q的訪問模塊24在步驟S4中發(fā)送到存儲庫REP�。存儲庫REP由此具有了所有信息,以便檢索在存儲庫REP上的訪問����。為此存儲庫REP使用來自于其從注冊中心REG獲得的映射規(guī)定中的對應��。從該映射規(guī)定中其可以將在步驟S3中接收的假名PS明確地與內部的個人身份標識ID對應���。利用對應的標識ID可以進行所訪問的安全關鍵的數(shù)據(jù)SD的檢索�����。
[0120]以下結合圖1描述RETRIEVE命令��。
[0121]在第一步驟Rl中將注冊請求作為消息由數(shù)據(jù)宿S的注冊模塊32向注冊中心REG發(fā)送����。注冊請求優(yōu)選包含用于標識數(shù)據(jù)組的標識��。在此可以是在數(shù)據(jù)宿S上使用的標識���。其不一定必須也作為在注冊中心REG中和/或在存儲庫REP中的標識被使用����,因為按照本發(fā)明設置了映射規(guī)定。該情況對于如下的消息也成立��,所述消息由數(shù)據(jù)源Q向注冊中心REG發(fā)送并且在圖1中就如下而言被表示��,即由數(shù)據(jù)源/數(shù)據(jù)宿向注冊中心REG發(fā)送的消息分別包括一個替換����,也就是“ID/DD”。這一點應當表示�����,即���,發(fā)送的標識不一定必須由系統(tǒng)發(fā)放�。其可以通過映射規(guī)定“映射”到系統(tǒng)內部的標識ID�。
[0122]在獲得消息Rl之后,注冊中心REG可以將安全令牌PS發(fā)放給發(fā)送的標識��。如上面結合STORE命令解釋的����,然后按照可選的順序從注冊中心REG將消息發(fā)送到存儲庫����,利用所述消息��,將對應“ ID-PS ”通知存儲庫����。
[0123]附加地在步驟R2中將對應的假名PS (假名的概念在該說明書的范圍內作為概念安全令牌的同義詞使用)發(fā)送到數(shù)據(jù)宿的注冊模塊32。
[0124]數(shù)據(jù)宿S然后可以在后面利用訪問模塊34的訪問階段將獲得的假名PS在步驟R3中發(fā)送到存儲庫REP����。
[0125]存儲庫REP能夠從接收的假名PS中借助(從注冊中心REG接收的)映射規(guī)定“ID-PS”推導出系統(tǒng)內部的標識ID����。借助標識ID可以檢索安全關鍵的數(shù)據(jù)組SD。數(shù)據(jù)組SD在步驟R4中被發(fā)送到數(shù)據(jù)宿的訪問模塊34����。
[0126]如圖1所示,交換的消息不包含與個人身份標識(例如患者姓名等)結合的敏感數(shù)據(jù)(安全關鍵的數(shù)據(jù)或人口統(tǒng)計數(shù)據(jù))��。這意味著���,只有當消息之一被攔截時�����,才僅傳輸安全關鍵的數(shù)據(jù)���,諸如患者圖像����、診斷等��,或者僅人員身份數(shù)據(jù)或其部分���,諸如患者姓名����、患者出生日期等�����。哪些醫(yī)學健康數(shù)據(jù)與哪些患者對應的對應即使在攔截消息的情況下也是不可能的�����。
[0127]存儲庫REP構造為具有索引模塊42�����,其確定為用于對于訪問檢索相應的安全關鍵的數(shù)據(jù)。
[0128]如上所述����,安全令牌可以是以假名PS形式的數(shù)字編碼的信號或者是硬件構件。以下結合圖3解釋本發(fā)明的實施方式�,其中安全令牌是分配的密鑰,其攜帶于物理介質上����,例如芯片卡或芯片或例如以條形碼,例如一維條形碼或優(yōu)選按照數(shù)據(jù)矩陣標準(例如ISO/IEC16022:2000和IS0/IEC TR24720:2008)的二維條形碼形式的光學信號�。
[0129]在該實施方式中,用于發(fā)送安全令牌PS的通信通道與用于帶有標識ID����、人口統(tǒng)計數(shù)據(jù)DD�、安全關鍵的數(shù)據(jù)SD的消息的交換的通信通道不同。人口統(tǒng)計數(shù)據(jù)DD����、安全關鍵的數(shù)據(jù)SD和標識ID優(yōu)選通過計算機網(wǎng)絡、例如因特網(wǎng)交換�,而在該實施方式中安全令牌PS作為例如以芯片卡等形式的物質化的安全特征按照其他路徑����,例如按照郵政路徑(Postwege)發(fā)送���。安全令牌PS在該情況下攜帶注冊的特征(Priiguiig),該特征被需要用來執(zhí)行對存儲庫REP的訪問���。該特征然后由存儲庫REP與在單獨的消息(Nacht)中從注冊中心REG獲得的參考特征進行比較。在此由注冊中心REG向存儲庫REP發(fā)送的消息也按照不同的通信協(xié)議或網(wǎng)絡傳輸���,諸如通過郵政或作為數(shù)字消息通過因特網(wǎng)傳輸�����。如果注冊中心REG將分配的安全令牌PS作為模擬消息例如通過郵政發(fā)送到數(shù)據(jù)源Q或存儲庫REP�,則進行接收的實體構造為具有轉換模塊����,用于將接收的信號自動地轉換為數(shù)字信號,這然后在實體上可以被進一步處理����。
[0130]結合圖4再次詳細描述注冊中心REG如何可以應答來自數(shù)據(jù)源Q或數(shù)據(jù)宿S的注冊請求的不同可能性。這涉及消息S2 (對于數(shù)據(jù)源Q)和R2 (對于數(shù)據(jù)宿S)����。[0131]作為對來自進行請求的實體(數(shù)據(jù)源Q�����、數(shù)據(jù)宿S)的注冊請求的應答����,在注冊中心REG上產(chǎn)生安全令牌或假名PS��。按照本發(fā)明現(xiàn)在設置:應答信號在步驟S2或R2中如何能夠被轉發(fā)到進行請求的實體的不同的可能性�����。在第一種情況下僅轉發(fā)假名PS���。這在圖4中利用實線箭頭表示����。替換的可能性在圖4中利用虛線表示��。一種可能性在于傳輸由標識和假名的組合消息��。在此例如可以是(數(shù)字的)數(shù)據(jù)元組或是通過郵政發(fā)送的組合信件����。替換地在此可以考慮兩個組合的消息。標識在此涉及由注冊中心REG和/或存儲庫REP使用的系統(tǒng)內部的標識���。另一種可能性在于��,從注冊請求接收信號并且發(fā)送回組合消息����,包括來自于(在步驟SI或Rl中傳輸?shù)?請求消息中的人口統(tǒng)計數(shù)據(jù)DD并且將其與分配的假名PS組
口 ο
[0132]如果不發(fā)送組合消息����,而是僅發(fā)送分配的假名PS,則進行請求的實體Q��、S的任務是將在來自于注冊請求(S1����、Rl)的數(shù)據(jù)之間的對應與獲得的假名PS相關聯(lián)。這可以通過時間上的對應或通過尋址功能執(zhí)行����。
[0133]原則上在按照本發(fā)明的解決方案中,在對存儲庫REP(或對存儲庫REP的安全關鍵的數(shù)據(jù)SD)的訪問之前總是進行向注冊中心REG的注冊請求,以便獲得對于對存儲庫REP的訪問的假名PS�。也就是對存儲庫REP的訪問總是以之前對注冊中心REG的訪問為條件。但是也可以的是��,數(shù)據(jù)源Q或數(shù)據(jù)宿S僅愿意訪問在注冊中心REG中存儲并且具有更小的安全特性的那些數(shù)據(jù)���。例如這包括對特定患者的出生地點的訪問��。在這種情況下����,注冊中心REG對注冊請求僅執(zhí)行第一映射功能����,即其從人口統(tǒng)計數(shù)據(jù)DD或其部分(其是注冊請求
S1、Rl的組成部分)過濾出相應的數(shù)據(jù)組�。這樣檢索的數(shù)據(jù)組然后可以作為應答送回到進行請求的實體。這例如也包括如下情況�,在所述情況中數(shù)據(jù)源Q或數(shù)據(jù)宿S愿意對其注冊數(shù)據(jù)進行更新。假名PS的產(chǎn)生可以被禁止并且具有對存儲庫REP的訪問的后置步驟也同樣��。
[0134]由此�,不一定必須執(zhí)行所要求保護的方法的所有步驟。
[0135]由于異步協(xié)議���,交換的消息關于數(shù)據(jù)交換(例如時間)可以是互相獨立的��。這具有如下結果���,即,數(shù)據(jù)源Q例如可以與數(shù)據(jù)宿S同時將消息發(fā)送到注冊中心REG或存儲庫REP����。
[0136]優(yōu)選地,在配置階段中���,可以確定對于數(shù)據(jù)交換的安全參數(shù)��。在此例如可以確定對于假名分配PS的有效時間��。
[0137]按照優(yōu)選實施方式的安全措施也在于�,對存儲庫REP的每個訪問僅可以在成功注冊之后進行�。對存儲庫REP的訪問僅可以借助假名PS執(zhí)行。對具有人員身份數(shù)據(jù)或其部分的存儲庫REP的“直接”訪問被排除�。
[0138]在優(yōu)選實施方式中,該方法作為基于計算機的方法提供�。在此其可以在分布的環(huán)境中被應用,從而方法的各個步驟可以在不同的基于計算機的實體上執(zhí)行�����。同樣,各個可執(zhí)行程序部分僅可以在相應的計算機上被加載并且不是作為可執(zhí)行的代碼呈現(xiàn)����。
[0139]計算機程序或其部分可以固定實現(xiàn)地在硬件實體中集成或其可以作為單獨的添加模塊被連接或其可以在存儲介質上被存儲。
[0140]注冊中心REG通常作為世界性的上層布置的認證實體來操作�����,而存儲庫REP由不同的國家和/或區(qū)域的�����、在注冊中心REG中注冊的實體來操作��。數(shù)據(jù)源Q和/或數(shù)據(jù)宿S可以是在健康系統(tǒng)或其他應用范圍內的任意的實體和應用�����。也可以的是�����,數(shù)據(jù)源Q和數(shù)據(jù)宿S在運行期間交換其功能并且按照分別另外的角色工作��。例如如果數(shù)據(jù)源Q或數(shù)據(jù)宿S是放射性系統(tǒng),則其可選地可以作為數(shù)據(jù)發(fā)送者/源和數(shù)據(jù)接收者/宿工作�。其角色由此不是規(guī)定死的。
[0141]如剛才所述�,在優(yōu)選實施方式中數(shù)據(jù)源Q和數(shù)據(jù)宿S的“角色”可以交換�。由此這些實體有利地具有相同的構造,從而注冊模塊22��、32在功能的角度來看是對應的�����。對于訪問模塊24���、34也同樣成立�����。
[0142]也可以的是��,按照本發(fā)明的訪問系統(tǒng)應當僅限制到一個特定的訪問種類�����。如果其應當僅限于STORE訪問���,則其僅由注冊中心REG�����、數(shù)據(jù)源Q和存儲庫REP組成�。如果應當僅對于RETRIEVE構造����,則系統(tǒng)僅由注冊中心REG、數(shù)據(jù)宿S和存儲庫REP組成���。前面描述的系統(tǒng)的部分和各個實體應當在本申請的范圍內得到保護���。
[0143]優(yōu)選地,可以全自動地操作注冊中心REG����。對于注冊中心的操作不需要用戶交互。由此成本以及管理開銷都得到節(jié)省����。
[0144]按照本發(fā)明的解決方案的優(yōu)點也在于,系統(tǒng)就如下而言是可縮放的:可以在任何時候添加����、刪除或改變各個實體����。由此也可以在運行期間添加數(shù)據(jù)源Q�����、數(shù)據(jù)宿S或其他存儲庫REP���。
[0145]另一個優(yōu)點也在于,注冊和與此相關的過程在不需要的情況下不被執(zhí)行����。只有當數(shù)據(jù)源Q或數(shù)據(jù)宿S計劃訪問存儲庫REP時,才請求和執(zhí)行在注冊中心方面的注冊�。在注冊中心REG上由此不產(chǎn)生不需要的注冊數(shù)據(jù)并且相應地也不需要被管理。
[0146]數(shù)據(jù)與其存儲位置的對應和由此在存儲于注冊中心REG上的敏感數(shù)據(jù)和在存儲庫REP上存儲的那些敏感數(shù)據(jù)之間的分離優(yōu)選由另一個實體并且自動地進行��。設置使得同樣是個人相關的人口統(tǒng)計數(shù)據(jù)DD不包含健康信息并且用于管理和/或識別任務�。其優(yōu)選包含相應的個人的姓名、出生地點���、出生日期�、承保單位、雇主或相應的其他參數(shù)�。
[0147]按照本發(fā)明設置用于產(chǎn)生安全令牌PS的不同變形。在第一變形中根據(jù)來自于注冊請求的數(shù)據(jù)建立假名PS����。換言之,數(shù)據(jù)標識ID和/或人口統(tǒng)計數(shù)據(jù)DD的全部或選擇的數(shù)據(jù)用作為對于標識發(fā)生器11的輸入����,以便產(chǎn)生假名PS。替換地也可以�����,獨立于來自于注冊請求的數(shù)據(jù)產(chǎn)生假名PS并且在此設置用于產(chǎn)生安全令牌或假名PS的���、可配置的產(chǎn)生規(guī)定�。在此可以對所有或選擇的以下參數(shù)使用Hash函數(shù):
[0148]-一一對應的全局標識�,例如具有128比特的全局唯一的數(shù)字作為所謂的全局唯一標識(GUID),
[0149]-本地時間,特別是系統(tǒng)時間�,
[0150]-隨機數(shù),和/或
[0151]-用于假名PS的有效性的流逝時間����。
[0152]如前面已經(jīng)提到的����,此外還可以的是���,標識在注冊中心上產(chǎn)生或者替換地在進行請求的實體����,諸如數(shù)據(jù)源Q或數(shù)據(jù)宿S上產(chǎn)生���。在第二替換中進行請求的實體對于注冊請求相同地使用標識ID。其他情況下外部的標識必須被“映射”到系統(tǒng)內部的標識ID上����。
[0153]存儲庫REP通過提供兩個數(shù)據(jù)結構,即一個靜態(tài)的數(shù)據(jù)結構���,其中存儲了在標識ID和安全關鍵的數(shù)據(jù)SD之間的(固定分配的)對應�,和一個動態(tài)的數(shù)據(jù)結構�,其中存儲了在(動態(tài)分配的)假名PS和標識ID之間的對應。存儲庫還包括用于與其他實體數(shù)據(jù)交換的接口�����。對于其他基于計算機的實體當然同樣成立。
[0154]總之可以如下描述前面詳細解釋的建議:提供一種方案�,利用所述方案也可以通過不安全的因特網(wǎng)執(zhí)行具有不同安全級別的敏感數(shù)據(jù)的數(shù)據(jù)交換。在此將安全關鍵的健康數(shù)據(jù)SD與人口統(tǒng)計數(shù)據(jù)DD分離地存儲����。對安全關鍵的數(shù)據(jù)SD的訪問僅在以假名PS成功注冊之后才可以執(zhí)行。
【權利要求】
1.一種用于安全訪問不安全的網(wǎng)絡環(huán)境中的數(shù)據(jù)組的方法��,其中���,以下分別互相分離的硬件實體互相進行數(shù)據(jù)交換: -中央的注冊中心(REG)�, -至少一個與所述注冊中心(REG)分離地提供的存儲庫(REP)����, -至少一個數(shù)據(jù)源(Q)和至少一個數(shù)據(jù)宿(S),其為了對所述存儲庫(REP)進行數(shù)據(jù)訪問而分別優(yōu)選地必須在所述注冊中心(REG)處注冊一次���,其中�,所述數(shù)據(jù)組包括人員的人口統(tǒng)計數(shù)據(jù)(DD)和安全關鍵的數(shù)據(jù)(SD)��,并且其中�,不將人員的安全關鍵的數(shù)據(jù)(SD)與人員身份數(shù)據(jù)一起通信,所述方法具有以下方法步驟:-通過將所述人口統(tǒng)計數(shù)據(jù)(DD)在所述注冊中心(REG)中存儲而所述安全關鍵的數(shù)據(jù)(SD)在所述存儲庫(REP)中存儲,分離地提供所述安全關鍵的數(shù)據(jù)(SD)和所述人口統(tǒng)計數(shù)據(jù)(DD)��, -從所述數(shù)據(jù)源(Q)和/或所述數(shù)據(jù)宿(S)向所述注冊中心(REG)進行注冊請求(SI�,R1),以便為訪問與人員對應的數(shù)據(jù)組而獲得以安全令牌(PS)的分配為形式的注冊����,-對所述注冊請求發(fā)放安全令牌(PS) (S2,R2)�,所述安全令牌可以與個人身份標識(ID)明確對應, -由所述注冊中心(REG)向所述存儲庫(REP)發(fā)送消息��,包括發(fā)放的所述安全令牌(PS)和對應的個人身份標識(ID)�,作為映射規(guī)定, -向所述存儲庫(REP)發(fā)送所述數(shù)據(jù)源(Q)和/或所述數(shù)據(jù)宿(S)的具有所述安全令牌(PS)的或具有對于所述請求來說明確對應的標記的訪問消息(S3����、R3)����,用于訪問在所述存儲庫(REP)中存儲的安全關鍵的數(shù)據(jù)(SD), -將所述映射規(guī)定應用在所述存儲庫(REP)上���,以便利用來自所述訪問消息的安全令牌(PS)算出個人身份標識(ID)并且通過所述個人身份標識(ID)檢索所請求的數(shù)據(jù)組���, -執(zhí)行對所檢索到的數(shù)據(jù)組的訪問���。
2.根據(jù)權利要求1所述的方法,其中���,所述安全令牌(PS)具有臨時有效性�����,和/或在一個可配置的時間段之后失效�。
3.根據(jù)上述權利要求中任一項所述的方法�,其中,在安全令牌(PS)和個人身份標識(ID)之間的對應由所述注冊中心(REG)和/或由所述存儲庫(REP)管理����。
4.根據(jù)上述權利要求中任一項所述的方法,其中�����,所述數(shù)據(jù)組是患者的醫(yī)學或健康相關的數(shù)據(jù)組�,并且所述數(shù)據(jù)源(Q)和/或所述數(shù)據(jù)宿(S)是醫(yī)學的圖像存儲系統(tǒng)。
5.根據(jù)上述權利要求中任一項所述的方法����,其中��,所述安全關鍵的數(shù)據(jù)不是直接存儲在所述存儲庫(REP)中����,而是只能夠通過在所述存儲庫(REP)中存儲的電子鏈接來訪問����。
6.根據(jù)上述權利要求中任一項所述的方法,其中�����,使用同步和/或異步的通信協(xié)議����。
7.根據(jù)上述權利要求中任一項所述的方法,其中��,所述安全令牌(PS)是模擬信號��,特別是條形碼���、硬件成分和/或軟件成分�。
8.根據(jù)上述權利要求中任一項所述的方法��,其中�,訪問包括從所述數(shù)據(jù)源(Q)對所述存儲庫(REP)的寫訪問和從所述數(shù)據(jù)宿(S)對所述存儲庫(REP)的讀訪問。
9.根據(jù)權利要求7所述的方法���,其中���,所述數(shù)據(jù)源(Q)為了執(zhí)行對所述存儲庫(REP)的寫訪問而在第一消息中僅將所述安全令牌(PS)并且在第二消息中僅將對于所述寫訪問安全關鍵的數(shù)據(jù)(SD)發(fā)送,并且所述存儲庫(REP)從這樣接收的消息中建立在所述安全關鍵的數(shù)據(jù)(SD)和所述安全令牌(PS)之間的對應���,或者其中����,所述數(shù)據(jù)源(Q)為了執(zhí)行所述寫訪問而向所述存儲庫(REP)發(fā)送消息�����,該消息包括安全令牌(PS)或對于請求來說明確的標記以及安全關鍵的數(shù)據(jù)(SD)���。
10.根據(jù)權利要求7或8所述的方法�,其中���,所述存儲庫(REP)作為對數(shù)據(jù)宿(S)借助所述安全令牌(PS)進行的��、用于執(zhí)行讀訪問的訪問請求的應答�����,僅將所請求的安全關鍵的數(shù)據(jù)(SD)向所述數(shù)據(jù)宿(S)發(fā)送����,或者發(fā)送由安全令牌(PS)或對于請求明確的標記以及所請求的安全關鍵的數(shù)據(jù)(SD)構成的組合,優(yōu)選在一個消息中發(fā)送該組合�����。
11.根據(jù)上述權利要求中任一項所述的方法�,其中,即使在運行期間也可以添加����、刪除和/或改變存儲庫(REP )、數(shù)據(jù)源(Q)和/或數(shù)據(jù)宿(S )�。
12.一種用于安全訪問在不安全的網(wǎng)絡環(huán)境中的數(shù)據(jù)組(DD,SD)的系統(tǒng)��,包括以下處于數(shù)據(jù)交換中的和分別互相分離的硬件實體: -用于存儲人口統(tǒng)計數(shù)據(jù)(DD )的中央的注冊中心(REG)�����,其旨在于對來自數(shù)據(jù)源(Q)和/或數(shù)據(jù)宿(S)的注冊請求來發(fā)放安全令牌(PS)并且其包括通知模塊(12)�,所述通知模塊旨在于向存儲庫(REP)發(fā)送消息,其中���,所述消息包括發(fā)放的安全令牌(PS)和對應的個人身份標識(ID)����, -至少一個與所述注冊中心(REG)分開地提供的存儲庫(REP)����,用于存儲和管理安全關鍵的數(shù)據(jù)(SD ),該存儲庫包括索引模塊(42 )�����, -至少一個數(shù)據(jù)源(Q)和至少一個數(shù)據(jù)宿(S)���,其為了對所述存儲庫(REP)進行數(shù)據(jù)訪問而分別必須在所述注冊中心(REG)處注冊一次并且其分別包括注冊模塊(22����,32)和訪問模塊(24���,34)�����,其中��,所述注冊模塊(22����,32)旨在于向所述注冊中心(REG)發(fā)送注冊請求并且用于接收作為對所述注冊請求的應答的安全令牌(PS),并且其中�����,所述訪問模塊(24�,34 )旨在于向所述存儲庫(REP )發(fā)送具有所述安全令牌(PS )的或具有對于所述請求來說明確的標記的訪問消息,并且用于訪問所述存儲庫(REP )上的所述安全關鍵的數(shù)據(jù)(SD )���, 其中��,所述數(shù)據(jù)組包括人員的安全關鍵的數(shù)據(jù)(SD)和人口統(tǒng)計數(shù)據(jù)(DD)���,并且其中,不將人員的安全關鍵的數(shù)據(jù)(SD)與人員身份數(shù)據(jù)(DD,ID) 一起通信����。
13.一種在按照權利要求12的系統(tǒng)中使用的注冊中心(REG)。
14.一種在按照權利要求12的系統(tǒng)中使用的存儲庫(REP)��。
15.一種計算機程序產(chǎn)品��,其可以被加載到數(shù)字計算機的存儲器中并且包括計算機程序段��,利用所述計算機程序段當所述計算機程序段在計算機上運行時執(zhí)行按照前面所述的方法權利要求中的至少一項的全部或選擇的步驟�。
【文檔編號】H04L29/06GK103477603SQ201280014784
【公開日】2013年12月25日 申請日期:2012年1月24日 優(yōu)先權日:2011年2月8日
【發(fā)明者】G.海登賴克, W.利茲 申請人:西門子公司