專利名稱：用于為醫(yī)療設(shè)備產(chǎn)生訪問(wèn)數(shù)據(jù)的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種用于為醫(yī)療設(shè)備產(chǎn)生訪問(wèn)數(shù)據(jù)的方法，該醫(yī)療設(shè)備 使用安全的存儲(chǔ)器來(lái)存儲(chǔ)醫(yī)療數(shù)據(jù)或患者數(shù)據(jù)。
背景技術(shù)：
對(duì)在醫(yī)療設(shè)備上采集或存儲(chǔ)的患者數(shù)據(jù)的訪問(wèn)受到很嚴(yán)格的法律 要求的限制。最低要求始終是要對(duì)設(shè)備用戶進(jìn)行識(shí)別和授權(quán)才允許查閱 這些數(shù)據(jù)。但是，實(shí)踐中相關(guān)的麻煩是這種訪問(wèn)權(quán)限的失去(例如忘記 密碼，之前的用戶離開醫(yī)院/診所而沒(méi)有遞交正確的信息)。
授權(quán)訪問(wèn)的數(shù)據(jù)(大多為用戶代碼/密碼)原則上可以在安全地 點(diǎn)(保險(xiǎn)拒中的密封信封)保存。但是由于定期更換密碼屬于基本的安 全措施，因此在實(shí)踐中^艮難保證所存放的密碼是當(dāng)前的。該方法還以(之 前的)用戶的合作為前提，而這種合作是不必給出的。
一種常見的方法在于設(shè)置隱藏的、僅對(duì)有限的人群(例如維護(hù)人員) 公開的無(wú)授權(quán)訪問(wèn)(例如保密的鍵組合，具有不可更改密碼一 "保密通 用密鑰"的維護(hù)-用戶代碼)，這種訪問(wèn)本身允許直接訪問(wèn)數(shù)據(jù)，或者允 許對(duì)已失去的對(duì)已知或待定義的值的訪問(wèn)進(jìn)行復(fù)位。該方法無(wú)法保證對(duì) 患者數(shù)據(jù)進(jìn)行有效和可跟蹤的保護(hù)，因?yàn)檫@種保護(hù)取決于只有值得信任 的人員才知道該保密通用密鑰。這在實(shí)踐中是無(wú)法實(shí)現(xiàn)的，尤其是已進(jìn) 行的保密幾乎無(wú)法得到證明。
雖然使用物理保護(hù)的密鑰(例如作為USB端口或并行端口上的 "Dongle，，(解密器))防止了不受控制地傳遞訪問(wèn)信息(例如在保密通 用密鑰的情況下)，而且使得對(duì)借助該物理保護(hù)的密鑰進(jìn)行的操縱(對(duì) 已失去訪問(wèn)的復(fù)位)的證明變得容易。但另一方面這種使用需要被授權(quán) 人(例如被授權(quán)的維護(hù)工作人員)的物理在場(chǎng)，這花費(fèi)了時(shí)間和金錢。 同時(shí)只要一個(gè)物理保護(hù)的密鑰被盜或者被復(fù)制，對(duì)所有設(shè)備的訪問(wèn)保護(hù) 都被破壞了。

發(fā)明內(nèi)容
通過(guò)本發(fā)明解決的技術(shù)問(wèn)題在于，無(wú)需物理地操縱存儲(chǔ)數(shù)據(jù)的設(shè)備 就能受控地釋放已失去的訪問(wèn)權(quán)限。
"受控的釋放，，在此意味著，該方法不可能被濫用于獲得對(duì)其它設(shè) 備而非^皮識(shí)別的i殳備的訪問(wèn)，而且該訪問(wèn)方法在其應(yīng)用之后馬上不再有 效，也就是說(shuō)即使對(duì)已被識(shí)別的設(shè)備也不會(huì)顯示"通用密鑰"。
該技術(shù)問(wèn)題通過(guò)一種用于為醫(yī)療設(shè)備或系統(tǒng)產(chǎn)生僅一次性有效的
訪問(wèn)代碼的方法解決，該方法具有步驟
a) 在設(shè)備方根據(jù)至少一個(gè)設(shè)備內(nèi)部的標(biāo)志產(chǎn)生查詢密鑰
b) 將該查詢密鑰傳送給授權(quán)實(shí)體
c) 通過(guò)該授權(quán)實(shí)體(Autorisierungsinstanz )根據(jù)該查詢密鑰產(chǎn) 生釋放密鑰
d) 將該釋放密鑰傳送給所述設(shè)備
e) 通過(guò)所述設(shè)備對(duì)訪問(wèn)進(jìn)行釋放，以及
f) 在設(shè)備方隨機(jī)更改至少一個(gè)設(shè)備內(nèi)部的標(biāo)志。 在此優(yōu)選的是，所述至少一個(gè)設(shè)備內(nèi)部的標(biāo)志的隨機(jī)更改通過(guò)借助
隨機(jī)發(fā)生器產(chǎn)生所述標(biāo)志來(lái)進(jìn)行。
替換的，所述至少一個(gè)設(shè)備內(nèi)部的標(biāo)志的隨機(jī)更改通過(guò)從預(yù)定義的 標(biāo)志列表中隨機(jī)選擇來(lái)進(jìn)行。在此，可以借助數(shù)據(jù)栽體或者在線數(shù)據(jù)傳
送來(lái)傳送查詢密鑰或釋放密鑰。
授權(quán)實(shí)體優(yōu)選的是計(jì)算機(jī)或其它信息處理單元，該授權(quán)實(shí)體能由設(shè)
備制造商或者由設(shè)備制造商授權(quán)的站點(diǎn)訪問(wèn)，并且能夠以本身公知的方 式和方法檢查對(duì)所述訪問(wèn)代碼進(jìn)行請(qǐng)求的權(quán)限，例如通過(guò)檢驗(yàn)該設(shè)備是 否按規(guī)定購(gòu)得，和/或例如是否存在維護(hù)或維修合同，和/或被授權(quán)訪問(wèn) 該設(shè)備數(shù)據(jù)的人是否提出了對(duì)訪問(wèn)代碼的請(qǐng)求。


下面借助優(yōu)選實(shí)施例解釋本發(fā)明。
圖1示意性示出按照本發(fā)明方法的流程。
具體實(shí)施例方式
醫(yī)療設(shè)備具有存儲(chǔ)器l，該存儲(chǔ)器包含至少一個(gè)(以足夠的概率)明確的(eindeutig)、優(yōu)選不可預(yù)測(cè)的內(nèi)部標(biāo)志《,。才艮據(jù)該標(biāo)志《,在計(jì) 算單元中產(chǎn)生查詢密鑰。該查詢密鑰可以是具有任意長(zhǎng)度的符號(hào)鏈或 者數(shù)字序列或諸如此類，其中優(yōu)選具有至少IO個(gè)符號(hào)，可替換的還可以是字 節(jié)序列，該字節(jié)序列還包含不能打印的符號(hào)。查詢密鑰通過(guò)優(yōu)選安全的通道 2(例如郵件，電話，簽名的電子郵件，通過(guò)數(shù)據(jù)載體)發(fā)送給授權(quán)實(shí)體。該 授權(quán)實(shí)體例如可以是客戶服務(wù)或者設(shè)備制造商的維護(hù)，該授權(quán)實(shí)體可以檢查 查詢的授權(quán)情況(請(qǐng)求新訪問(wèn)代碼的發(fā)送者的身份和權(quán)限)。通過(guò)合適的加密 方法D(^,&)，例如借助保密的主密鑰&利用計(jì)算機(jī)從該查詢密鑰中產(chǎn)生釋 放密鑰S" ，該釋放密鑰又通過(guò)安全的通道發(fā)送回被授權(quán)更改該設(shè)
備的訪問(wèn)代碼的客戶站點(diǎn)。
在存儲(chǔ)數(shù)據(jù)的設(shè)備的軟件中實(shí)施同樣的加密方法和同樣的(保密的)主 密鑰，從而在內(nèi)部進(jìn)而對(duì)用戶來(lái)說(shuō)無(wú)法看見釋放密鑰&e = Z)(^^M)是可以計(jì) 算出來(lái)的。如果該釋放密鑰與由用戶輸入并由授權(quán)實(shí)體計(jì)算的釋放密鑰進(jìn)行 比較而得出相同性&,&,,則對(duì)該設(shè)備的訪問(wèn)代碼進(jìn)行復(fù)位，而且對(duì)內(nèi)部 標(biāo)志《,進(jìn)行有針對(duì)性的但是無(wú)法預(yù)測(cè)的更改。在此過(guò)程中，訪問(wèn)代碼的復(fù)位 可以通過(guò)不同的方式和方法實(shí)現(xiàn)，例如可以設(shè)置事先統(tǒng)一的密碼，向用戶展 示新的、有效的密碼，或者也允許臨時(shí)的無(wú)密碼訪問(wèn)，這種訪問(wèn)直接迫使新 密碼的定義。
由于內(nèi)部標(biāo)志更改或由于其它內(nèi)部標(biāo)志，在同 一設(shè)備/其它設(shè)備上重復(fù)該 流程會(huì)產(chǎn)生其它查詢密鑰。先前使用的釋放密鑰因此變得沒(méi)有價(jià)值，因此無(wú) 法濫用。
上面建議的方法提供的對(duì)受保護(hù)數(shù)據(jù)的訪問(wèn)與用戶的預(yù)防措施無(wú)關(guān)，并 且避免了通用密鑰的公知缺陷。此外，授權(quán)的過(guò)程(釋放密鑰的外部計(jì)算) 與設(shè)備軟件的操作相分離，從而不需要維護(hù)工作人員在設(shè)備上操作，而且與 必須獲得對(duì)通用密鑰的訪問(wèn)的人員范圍相比，4皮授權(quán)人員(也就是有權(quán)操作 用于在授權(quán)實(shí)體上產(chǎn)生釋放密鑰的外部程序的人)的數(shù)量大大減少。
上面建議的方案可以在不同的方向擴(kuò)展，例如通過(guò)直接從設(shè)備軟件電子 存儲(chǔ)和/或傳送查詢密鑰和釋放密鑰(例如作為電子郵件或?qū)氲轿募?從文件 導(dǎo)出)。
此外，可以按照特定的較大時(shí)間間隔(例如一個(gè)月一次)設(shè)置對(duì)內(nèi)部標(biāo) 志自動(dòng)的并且與輸入有效釋放密鑰無(wú)關(guān)的更改。由此沒(méi)有使用的釋放密鑰在 這段時(shí)間過(guò)去之后自動(dòng)失去效用，從而不會(huì)存在未授權(quán)使用的風(fēng)險(xiǎn)。
5用于設(shè)置內(nèi)部標(biāo)志《的方法可以在廣泛的范圍內(nèi)變化?？梢钥紤]: -時(shí)間戳、設(shè)備標(biāo)識(shí)(例如序列號(hào))以及隨機(jī)數(shù)的組合
-結(jié)合隨機(jī)數(shù)使用設(shè)備操作系統(tǒng)的常量(例如UID)。
此外，可以修改或擴(kuò)展用于產(chǎn)生或用于比較釋放密鑰的方法。可以考慮 用簽名驗(yàn)證來(lái)代替相同性的檢查，例如通過(guò)使用非對(duì)稱的加密方法如RSA, 在該方法中所傳送的查詢密鑰與"公有"密鑰被加密成釋放密鑰，在存儲(chǔ)數(shù) 據(jù)的設(shè)備上用"私有"密鑰對(duì)該釋放密鑰進(jìn)行解密，并且將解密結(jié)果與查詢 密鑰進(jìn)行比較。("公有"和"私有"密鑰的概念在此僅涉及在密碼學(xué)中常用 的術(shù)語(yǔ)在本發(fā)明的情況中兩個(gè)密鑰都是保密的。)
權(quán)利要求
1.一種用于為醫(yī)療設(shè)備產(chǎn)生訪問(wèn)代碼的方法，該設(shè)備具有用于存儲(chǔ)患者數(shù)據(jù)或其它要保護(hù)的數(shù)據(jù)的存儲(chǔ)器，其中該訪問(wèn)代碼僅一次性有效，其特征在于該方法具有步驟a)在設(shè)備方根據(jù)至少一個(gè)設(shè)備內(nèi)部的標(biāo)志產(chǎn)生查詢密鑰，b)將該查詢密鑰傳送給授權(quán)實(shí)體c)通過(guò)該授權(quán)實(shí)體根據(jù)該查詢密鑰產(chǎn)生釋放密鑰d)將該釋放密鑰傳送給所述設(shè)備e)通過(guò)所述設(shè)備對(duì)訪問(wèn)進(jìn)行釋放，以及f)在設(shè)備方隨機(jī)更改至少一個(gè)設(shè)備內(nèi)部的標(biāo)志。
2. 根據(jù)權(quán)利要求1所述的用于產(chǎn)生訪問(wèn)代碼的方法，其特征在于， 所述至少一個(gè)設(shè)備內(nèi)部的標(biāo)志的隨機(jī)更改通過(guò)借助隨機(jī)發(fā)生器產(chǎn)生所 述標(biāo)志來(lái)進(jìn)行。
3. 根據(jù)權(quán)利要求1所述的用于產(chǎn)生訪問(wèn)代碼的方法，其特征在于， 所述至少一個(gè)設(shè)備內(nèi)部的標(biāo)志的隨機(jī)更改通過(guò)從預(yù)定義的標(biāo)志列表中 隨機(jī)選擇來(lái)進(jìn)行。
4. 根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的用于產(chǎn)生訪問(wèn)代碼的方法， 其特征在于，借助數(shù)據(jù)載體或者在線數(shù)據(jù)傳送來(lái)傳送查詢密鑰或傳送釋 放密鑰。
全文摘要
本發(fā)明涉及一種用于為醫(yī)療設(shè)備產(chǎn)生僅一次性有效的訪問(wèn)代碼的方法，該設(shè)備具有用于存儲(chǔ)患者數(shù)據(jù)的存儲(chǔ)器。其中根據(jù)設(shè)備內(nèi)部的標(biāo)志產(chǎn)生查詢密鑰并傳送給授權(quán)實(shí)體，該授權(quán)實(shí)體根據(jù)該查詢密鑰產(chǎn)生所屬的釋放密鑰，該釋放密鑰在輸入該設(shè)備之后就可以實(shí)現(xiàn)訪問(wèn)，并且內(nèi)部標(biāo)志改變，由此該訪問(wèn)代碼不能使用第二次。
文檔編號(hào)G06F21/73GK101496021SQ200780028363
公開日2009年7月29日 申請(qǐng)日期2007年7月19日 優(yōu)先權(quán)日2006年7月26日
發(fā)明者A·多林 申請(qǐng)人:卡爾蔡司醫(yī)療技術(shù)股份公司