用于交換醫(yī)療數(shù)據(jù)的移動裝置的驗證系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及驗證系統(tǒng)、移動電子裝置(G)、實體化單元(I)和方法,以及計算機(jī)程序產(chǎn)品,用于相對于與用于存儲醫(yī)療數(shù)據(jù)組的資源庫(12)進(jìn)行數(shù)據(jù)交換的中心注冊處(10)驗證患者。在移動裝置(G)上載入且安裝個體化的應(yīng)用程序(V)以向注冊處(10)通告帶有簽名(SIG)的消息。簽名可在注冊處(10)內(nèi)被觸發(fā),以檢驗遠(yuǎn)處患者的真實性以執(zhí)行數(shù)據(jù)訪問。
【專利說明】用于交換醫(yī)療數(shù)據(jù)的移動裝置的驗證系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明基于醫(yī)療技術(shù)和信息技術(shù)的領(lǐng)域,且涉及用于相對于中心服務(wù)器驗證移動 電子裝置的驗證系統(tǒng),以用于醫(yī)療數(shù)據(jù)的被保護(hù)的數(shù)據(jù)交換。
【背景技術(shù)】
[0002] 在被使用于絕大多數(shù)臨床醫(yī)院中的目前的現(xiàn)代醫(yī)療系統(tǒng)中,數(shù)據(jù)作為數(shù)字?jǐn)?shù)據(jù)存 在且也通過相應(yīng)的網(wǎng)絡(luò)以數(shù)字形式交換。與先前的、例如在放射學(xué)中仍將患者的X光照片 以X光片的形式保存且存儲的系統(tǒng)不同,目前將所采集的放射圖像數(shù)據(jù)數(shù)字化地采集、進(jìn) 一步處理,和/或傳遞到另外的(在下文中也稱為外部的)實體處。在醫(yī)療中,數(shù)字化數(shù) 據(jù)處理的優(yōu)點是醫(yī)療數(shù)據(jù)組的很簡單且靈活的進(jìn)一步傳輸和可支配性實現(xiàn)。數(shù)據(jù)交換通 ?;趯S玫膮f(xié)議,例如 DIC0M 協(xié)議(DICOM :Digital Information and Communicator! in Medicine醫(yī)學(xué)數(shù)字成像和通信)。如果患者已離開臨床醫(yī)院,則對于患者也重要的是,可獲 取其醫(yī)療圖像數(shù)據(jù)。如果需要進(jìn)行其中必須可獲得已采集的圖像數(shù)據(jù)或另外的患者數(shù)據(jù)的 愈后檢查,這也是重要的。這些數(shù)據(jù)處于臨床醫(yī)院資源庫處。然而對于數(shù)字?jǐn)?shù)據(jù)的傳輸也出 現(xiàn)問題。因此,對于入侵者容易執(zhí)行對此數(shù)據(jù)組的未授權(quán)的訪問。換言之,絕對必要的是, 保護(hù)數(shù)字?jǐn)?shù)據(jù)以防未授權(quán)訪問而同時使得容易訪問患者數(shù)據(jù)。在此,也應(yīng)連同地考慮參與 的計算機(jī)實體的數(shù)據(jù)技術(shù)資源(帶寬、裝置部件的尋址等)。
[0003] 識別和驗證系統(tǒng)在現(xiàn)有技術(shù)中充分地已知。在此,通常使用已知的加密過程,以便 能夠證明應(yīng)用者的身份以將其相對于系統(tǒng)進(jìn)行驗證。特別地,在醫(yī)療系統(tǒng)中絕對必要的是 可提供用于在患者和臨床醫(yī)院或臨床數(shù)據(jù)組之間的通信的可靠的通信通道。為實現(xiàn)盡可能 靈活地訪問各患者的臨床數(shù)據(jù)組,希望的是使用患者通??偸蔷哂械睦缰悄茈娫捇蛞苿?電信裝置的移動電子裝置。為此要求將個人登錄數(shù)據(jù)存儲在各電子裝置上且通過已知的標(biāo) 準(zhǔn)化的通信通道傳輸?shù)嚼绺饕苿与娫掃\營者。顯見,在此數(shù)據(jù)交換中,個人登錄數(shù)據(jù)可能 很容易被損壞或被危及。移動電話連接可相對容易地被入侵者修改,以截獲登錄數(shù)據(jù)或另 外的個人數(shù)據(jù)。因此,要求附加的安全措施,但所述安全措施與高的管理成本相關(guān)聯(lián),特別 是患者或移動裝置一方的高管理成本。已知的系統(tǒng)因此基于通常由第三方提供者提供的安 全基礎(chǔ)設(shè)施的提供,以便對于移動裝置是可使用的。除高的管理成本外,現(xiàn)有技術(shù)中的已知 的系統(tǒng)的另外的缺點在于可靠驗證的可使用性由于設(shè)置特定的安全基礎(chǔ)設(shè)施而降低。
【發(fā)明內(nèi)容】
[0004] 因此,本發(fā)明的任務(wù)在于改進(jìn)和簡化通過移動裝置的相對于其中保存了醫(yī)療數(shù)據(jù) 組的中心系統(tǒng)的患者識別和驗證,其中同時應(yīng)改進(jìn)對于移動裝置運行者和對于中心服務(wù)器 運行者的安全性。同時,將裝置部件修改且以新的方式基本不同地尋址,以便能夠提高驗證 系統(tǒng)的安全性。
[0005] 此任務(wù)通過附帶的并列的權(quán)利要求解決,特別地通過驗證系統(tǒng)、移動電子裝置、實 體化單元、用于驗證的方法和計算機(jī)程序產(chǎn)品解決。
[0006] 以下關(guān)于要求的系統(tǒng)描述任務(wù)的解決方案。在此所提及的特征、優(yōu)點和/或替代 的實施形式也傳遞到另外的所要求的對象(且因此傳遞到移動電子裝置、實體化單元和計 算機(jī)程序產(chǎn)品和方法)且反之。換言之,也可以以與系統(tǒng)組合描述和/或要求的特征來擴(kuò)展 另外的權(quán)利要求形式。在此,系統(tǒng)或方法的相應(yīng)的功能特征通過相應(yīng)地具體模塊形成,特別 地通過實施在電子裝置上或?qū)嶓w化單元上的硬件模塊或微處理器芯片模塊形成。基本上, 系統(tǒng)的各個模塊或單元形成為軟件模塊和/或微處理器芯片模塊。
[0007] 根據(jù)一個方面,本發(fā)明涉及用于相對于中心服務(wù)器驗證各移動電子裝置(其中基 本上多個移動電子裝置連接在系統(tǒng)上且應(yīng)被驗證)的驗證系統(tǒng),用于在裝置和服務(wù)器之間 的醫(yī)療數(shù)據(jù)的被保護(hù)的數(shù)據(jù)交換,其中服務(wù)器一方面與臨床系統(tǒng)進(jìn)行數(shù)據(jù)交換且可訪問帶 有臨床和醫(yī)療數(shù)據(jù)(也包括患者數(shù)據(jù))的資源庫,包括:
[0008] -中心實體化單元,所述中心實體化單元確定為用于各裝置的實體化,這通過實體 化單元分別將個體化的、患者特定的或使用者特定的應(yīng)用程序作為加密單元安裝在各裝置 上進(jìn)行,且其中應(yīng)用程序?qū)⒚罔€和裝置標(biāo)識以隱藏的方式保存或安裝在裝置的程序存儲器 內(nèi),其中實體化單元將至少在裝置標(biāo)識和秘鑰之間的對應(yīng)關(guān)系保存在被保護(hù)的中心存儲器 內(nèi)(解密單元也可訪問所述中心存儲器,例如中心注冊處)。
[0009] -加密單元,所述加密單元本地地安裝在裝置上且確定為用于產(chǎn)生數(shù)字化簽名,其 中簽名通過以由實體化單元存儲的秘鑰加密產(chǎn)生,其中簽名從包括裝置標(biāo)識和時間戳的簽 名原型產(chǎn)生,且其中加密單元此外確定為用于向服務(wù)器至少發(fā)送帶有裝置標(biāo)識的簽名。 [0010]-解密單元,所述解密單元安裝在中心服務(wù)器上且其中解密單元包括對被保護(hù)的 中心存儲器的訪問模塊,且借助訪問模塊或直接地可訪問此被保護(hù)的中心存儲器,其中解 密單元為此確定為接收從裝置發(fā)出的帶有裝置標(biāo)識的簽名且從裝置標(biāo)識通過訪問被保護(hù) 的中心存儲器讀出用于解密的各對應(yīng)的秘鑰,以使用讀出的秘鑰將接收到的簽名解密且從 得到的簽名原型讀出裝置標(biāo)識作為解密結(jié)果,其中解密單元此外形成為將解密結(jié)果與接收 到的裝置標(biāo)識進(jìn)行一致性比較,且在一致時解密單元進(jìn)一步確定為以讀出的裝置標(biāo)識執(zhí)行 對于資源庫的訪問。
[0011] 在下文中,進(jìn)一步定義且解釋在此專利申請的范圍內(nèi)所使用的概念。
[0012] 基本上,驗證系統(tǒng)用于檢驗患者的身份,所述患者相對于注冊處使用其移動電子 裝置特別是其智能電話,所述注冊處可實施為服務(wù)器且與臨床資源庫進(jìn)行數(shù)據(jù)交換。
[0013] 移動電子裝置優(yōu)選地是手機(jī)或智能電話,或是其他的非位置固定的且特別地通過 移動通信網(wǎng)絡(luò)與另外的實體進(jìn)行數(shù)據(jù)交換的電子裝置。替代地,也可涉及另外的數(shù)據(jù)傳輸 網(wǎng)絡(luò),例如無線電網(wǎng)絡(luò)或互聯(lián)網(wǎng)。各電子裝置與患者對應(yīng)且作為中心服務(wù)器的客戶端工作, 且包括至少一個數(shù)據(jù)存儲器和程序存儲器或被保護(hù)的存儲器和微處理器模塊(或CPU),以 執(zhí)行應(yīng)用程序。特別地,在裝置上安裝加密單元作為應(yīng)用程序,所述加密單元包括識別了裝 置的裝置標(biāo)識。在此實施形式中,驗證系統(tǒng)形成為客戶端/服務(wù)器系統(tǒng)。通常提供多個客 戶端裝置和中心服務(wù)器,其中服務(wù)器可分布在多個實體上,且包括至少一個注冊處。
[0014] 中心處理器是基于計算機(jī)的處理器且也可包括計算機(jī)的網(wǎng)絡(luò)(例如,云系統(tǒng))或 根據(jù)S0A原理(Service Oriented Architecture面向服務(wù)的體系)構(gòu)建。服務(wù)器與臨床 裝置對應(yīng)且與之進(jìn)行數(shù)據(jù)交換。特別地,服務(wù)器與資源庫進(jìn)行數(shù)據(jù)交換。資源庫作為數(shù)據(jù) 存儲器工作以用于存儲患者的醫(yī)療數(shù)據(jù)和另外的臨床數(shù)據(jù),所述數(shù)據(jù)在此處短期地或長期 地存儲。數(shù)據(jù)在此處例如(但非必需地)作為明碼數(shù)據(jù)(不加密數(shù)據(jù))保存。由此需要對 于資源庫的訪問進(jìn)行防未授權(quán)訪問保護(hù)。
[0015] 醫(yī)療數(shù)據(jù)是患者數(shù)據(jù)、檢查數(shù)據(jù)、患者的報告、檢查結(jié)果、發(fā)現(xiàn)、處方或處理指示、 帶有持續(xù)診斷的緊急情況數(shù)據(jù)組、不相容性或過敏反應(yīng)、具有不同的格式的檢查或處理期 限,包括圖像數(shù)據(jù)、文本數(shù)據(jù)或另外的格式的數(shù)據(jù)(例如,音頻和/或視頻數(shù)據(jù))。
[0016] 實體化單元形成為中心的基于計算機(jī)的實體,且與服務(wù)器對應(yīng)。實體化實體可以 是注冊處。在特殊的實施形式中,實體化單元不僅與服務(wù)器對應(yīng),而且與服務(wù)器相同,使得 實體化單元附加地也承擔(dān)服務(wù)器的所有功能。實體化單元用于將連接到驗證系統(tǒng)的裝置或 待驗證的裝置進(jìn)行實體化。實體化單元可形成為軟件和/或硬件模塊,且優(yōu)選地通過移動 通信網(wǎng)絡(luò)與待驗證的電子裝置且與也可與中心服務(wù)器對應(yīng)的被保護(hù)的中心存儲器進(jìn)行數(shù) 據(jù)交換。實體化單元將每個電子裝置個體化或個人化,這通過將個體化的程序(應(yīng)用程序) 作為所謂的"App"載入到移動裝置(例如,"手機(jī)")上且在其處安裝來實現(xiàn)。在安裝App 之后,手機(jī)在驗證系統(tǒng)內(nèi)單義地可識別且因此被個體化。實體化通過由實體化單元將秘鑰 和裝置標(biāo)識隱藏地即不可讀取地、不可被裝置使用者/患者識別地、不可改變地作為程序 的部分安裝在手機(jī)上來實現(xiàn)。實體化單元因此將特別的數(shù)據(jù)組和可執(zhí)行的程序分布在待驗 證的裝置上,以將其個體化且實體化。此外,實體化單元與被保護(hù)的中心存儲器進(jìn)行數(shù)據(jù)交 換,所述存儲器與服務(wù)器對應(yīng)。實體化單元和服務(wù)器之間的數(shù)據(jù)交換可以是數(shù)字網(wǎng)絡(luò)(例 如,基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)),局部網(wǎng)絡(luò),且如需要也可以是移動通信網(wǎng)絡(luò)。
[0017] 應(yīng)用程序可以是軟件模塊,所述軟件模塊作為可執(zhí)行的程序安裝在手機(jī)上且在此 處作為程序保存在程序存儲器內(nèi)。關(guān)鍵的是應(yīng)用程序作為加密單元安裝在患者的手機(jī)上。 與應(yīng)用程序傳送的數(shù)據(jù)(可執(zhí)行數(shù)據(jù)、單獨的秘鑰、單獨的裝置標(biāo)識且可能還包括另外的 數(shù)據(jù)組)因此僅在手機(jī)的程序存儲器內(nèi)而不在數(shù)據(jù)存儲器內(nèi)被采集。手機(jī)的數(shù)據(jù)存儲器基 本上不被保護(hù)且可容易地被危及或被未授權(quán)的實體讀出。因此,從實體化單元傳送到裝置 的個人數(shù)據(jù)的存儲僅以隱藏的形式在手機(jī)的程序存儲器內(nèi)進(jìn)行。
[0018] 秘鑰可以是對稱加密方法的組成部分,且一致地被患者手機(jī)上的加密單元和服務(wù) 器上的解密單元使用。此(對稱加密)構(gòu)造有利地允許了在丟失之后服務(wù)器驅(qū)動地重構(gòu) App。替代地,也可使用非對稱加密方法,例如基于RSA算法的加密方法,所述RSA算法提供 了包括公鑰(Public Key)和私鑰(Private Key)的秘鑰對。
[0019] 裝置標(biāo)識是裝置特定的或患者特定的標(biāo)識,所述標(biāo)識實現(xiàn)了對于裝置或操作裝置 的患者的單義的識別。例如,可以是患者身份的文本表示,即帶有患者姓名的文本串連同單 義的不可變的特征(出生日期、出生地)。但在此替代的構(gòu)造規(guī)定了單義的數(shù)字表示和/或 另外的驗證數(shù)據(jù)組的對應(yīng)。
[0020] 簽名在手機(jī)上本地地由加密單元產(chǎn)生。在第一次生成簽名時,患者可在驗證系統(tǒng) 內(nèi)注冊。所有另外的應(yīng)用則是驗證過程。簽名原型通過將患者姓名或裝置標(biāo)識添加到時間 戳或與之鏈接來產(chǎn)生。然后,將組合的數(shù)據(jù)組(與裝置標(biāo)識和時間戳一起)以本地存儲的 秘鑰加密。得到的簽名(優(yōu)選地也被加密單元觸發(fā))則由本地的患者手機(jī)以消息的形式傳 送到服務(wù)器。消息可包括用于訪問數(shù)據(jù)的要求,且如需要也包括可在服務(wù)器側(cè)解開的另外 的指令。選擇地帶有消息的簽名通過移動通信網(wǎng)絡(luò)或網(wǎng)絡(luò)提供者從手機(jī)傳送到服務(wù)器。在 此,裝置標(biāo)識也以明碼傳輸。簽名在此是裝置標(biāo)識與添加的時間戳的加密的鏈接以用于驗 證,所述加密的鏈接然后在服務(wù)器側(cè)通過解密被解開。簽名可還包括另外的不變的、裝置和 /或患者特定的數(shù)據(jù)組,例如患者的人口統(tǒng)計學(xué)數(shù)據(jù)組(出生地、出生日期等),和患者的另 外的生物測量數(shù)據(jù)組(例如,虹膜數(shù)據(jù),指紋等)。這些另外的不變的數(shù)據(jù)組作為拷貝也在 中心服務(wù)器上被保護(hù)地保存且用于驗證。因此,驗證方法也可更可靠地且更穩(wěn)定地防入侵。 將存儲在中心服務(wù)器上的或直接存儲在解密單元上的、另外的不變的簽名數(shù)據(jù)組的拷貝相 對于解密的簽名數(shù)據(jù)組進(jìn)行一致性比較。
[0021] 解密單元是基于計算機(jī)的且可形成為軟件或硬件模塊。解密單元形成在中心服務(wù) 器上、特別是注冊處上,和/或形成在實體化單元上。但解密單元可替代地也作為分開的單 元通過網(wǎng)絡(luò)連接在前述的基于計算機(jī)的實體上。解密單元與被保護(hù)的中心服務(wù)器進(jìn)行數(shù)據(jù) 交換,在所述中心服務(wù)器中保存了裝置標(biāo)識和秘鑰之間的對應(yīng)關(guān)系。替代地,在此可保存另 外的對應(yīng)關(guān)系以進(jìn)一步強(qiáng)化驗證方法。例如,在此除前述對應(yīng)關(guān)系外,可附加地保存與發(fā)送 器地址(例如,移動通信號)、裝置識別號、裝置使用者的姓名和可能的另外的識別數(shù)據(jù)組 的對應(yīng)關(guān)系。
[0022] 存儲器形成為被訪問保護(hù)的中心存儲器且通常與中心服務(wù)器和/或注冊處對應(yīng)。 為訪問存儲器,服務(wù)器的解密單元包括訪問模塊或存儲器直接整合在服務(wù)器內(nèi)。"被保護(hù)" 在此方面意味著存儲器訪問僅可由訪問授權(quán)的實體和/或人員執(zhí)行。在最簡單的情況中, 在此提供密碼保護(hù)。但通常使用進(jìn)一步的安全措施,所述安全措施例如要求加密和解密以 及進(jìn)一步的驗證。
[0023] 根據(jù)實施形式,簽名可通過不同的方式產(chǎn)生或包括不同的數(shù)據(jù)組。根據(jù)優(yōu)選的實 施形式,簽名原型包括涉及裝置的識別數(shù)據(jù)組,特別是裝置標(biāo)識,所述裝置標(biāo)識以單義的方 式與患者的各移動通信裝置對應(yīng)。
[0024] 根據(jù)本發(fā)明的另外的變體,簽名原型還可包括涉及使用者的識別數(shù)據(jù)組,例如涉 及裝置的各使用者(患者)的身份的數(shù)據(jù)組,例如如上所述的識別個人的特征(虹膜數(shù)據(jù) 等)。另外的實施形式在此提供了另外的不變的數(shù)據(jù)組,所述數(shù)據(jù)組是裝置特定的或是使 用者特定的。此外,在簽名原型中可接收隨機(jī)數(shù)字和/或時間戳。所有在簽名原型中采集 的數(shù)據(jù)組對于加密單元以及解密單元都是已知的,使得單元可使用數(shù)據(jù)組以用于加密和解 Γ t I ο
[0025] 如前所提及,通常為了在簽名生成的范圍內(nèi)加密,由中心服務(wù)器為各裝置提供個 人數(shù)據(jù)的非對稱加密。為此,根據(jù)本發(fā)明將私鑰保護(hù)地存儲("隱藏")在裝置內(nèi),且將對應(yīng) 的公鑰存儲在服務(wù)器上。秘鑰對(公鑰、私鑰)的對應(yīng)關(guān)系由第三方提供者提供或存儲在 中心服務(wù)器內(nèi)。
[0026] 在替代的構(gòu)造中,簽名通過對稱加密產(chǎn)生,其中雙側(cè)待使用的秘鑰是秘密,且因此 一方面隱藏地存儲在裝置上且另一方面必須在中心解密單元上被保護(hù)。產(chǎn)生秘鑰的實體化 單元不允許進(jìn)一步使用或存儲所述秘鑰。但此構(gòu)造的優(yōu)點是在Αρρ丟失時或甚至在裝置丟 失時,在進(jìn)一步驗證使用者之后,解密單元可再次相同地再生此Αρρ。
[0027] 根據(jù)本發(fā)明的另外的變體,可建議提供兩個加密,即以前面方法進(jìn)行的第一次加 密(如上所述:非對稱或?qū)ΨQ加密),和以對稱方法進(jìn)行的第二次加密,以再次將在服務(wù)器 和裝置之間交換的個人數(shù)據(jù)雙重保護(hù)。提高的管理成本通過可實現(xiàn)明顯提高的安全性的優(yōu) 點而得以平衡。
[0028] 如前所提及,實體化單元通常形成在中心服務(wù)器上。但也可以將實體化單元形成 為服務(wù)器,使得實體化單元在此情況中形成為帶有服務(wù)器的功能,且可直接承擔(dān)通信請求 和服務(wù)器的另外的功能性。在此情況中,基于計算機(jī)的單元(加密單元、注冊處、資源庫) 直接與實體單元通信。此變體帶來的優(yōu)點是用于安裝驗證系統(tǒng)的安裝成本可降低,因為需 要更少的基于計算機(jī)的單元。
[0029] 如前文已提及,移動裝置通常是移動通信裝置。裝置具有可編程的構(gòu)造單元,帶有 相應(yīng)的非易失性存儲器部件(EEPROM、PR0M等)。構(gòu)造單元用于將加密單元作為應(yīng)用程序 安裝、實施或載入。因此,加密模塊的功能可總是被匹配且擴(kuò)展,這通過由實體化單元將新 的應(yīng)用程序載入到裝置上來進(jìn)行。關(guān)鍵的優(yōu)點在于可使用每個商業(yè)上常用的裝置(移動通 信裝置)且對于移動通信運行者(例如,在德國已知的移動通信運行者Vodafone、Telekom 等)也無需改變。裝置和中心服務(wù)器之間的通信如慣常地進(jìn)行,即相對于所建立的方法不 改變,使得第一特定的驗證服務(wù)器是可由服務(wù)者運行的注冊處或?qū)嶓w化實體。在通常的應(yīng) 用情況中建議,使得實體化單元作為注冊處工作且使得患者個體的應(yīng)用程序作為加密單元 安裝在裝置上,在所述裝置中秘鑰隱藏地存在。此外,注冊處將每個應(yīng)用程序通過臨床醫(yī)院 發(fā)送到患者處。每個患者則在成功地驗證之后以其智能電話通過注冊處獲得資源庫上的所 述患者的患者特定的條目。運行注冊處的外部服務(wù)者可不復(fù)雜地且簡單地結(jié)合到驗證系統(tǒng) 內(nèi),因為此單元不具有值得保護(hù)的知識。因此,注冊處不知道在哪個裝置上載入什么應(yīng)用程 序,注冊處也不可看到明碼形式的個人的或被訪問保護(hù)的醫(yī)療患者數(shù)據(jù)。僅移動裝置即患 者和臨床資源庫具有明碼數(shù)據(jù)。所有另外的實體不可讀取數(shù)據(jù)且僅具有加密形式的數(shù)據(jù)或 不是與個人相關(guān)的數(shù)據(jù)。
[0030] 在優(yōu)選的實施形式中,特別地提供了三個基于計算機(jī)的實體:一是由患者操作的 移動裝置(即患者的手機(jī),所述手機(jī)提供有帶有加密單元的個體化的應(yīng)用程序軟件),一是 患者注冊處,所述患者注冊處作為中心服務(wù)器工作且通過互聯(lián)網(wǎng)或通過移動通信運營者與 裝置進(jìn)行數(shù)據(jù)交換。在注冊處上安裝了解密單元。在一個實施形式中,在注冊處上也可安 裝實體化單元。在替代中,實體化單元作為分開的實體提供。此外,提供了作為數(shù)據(jù)保持的 資源庫作為第三個實體,所述資源庫特別地與注冊處相互作用以交換醫(yī)學(xué)患者數(shù)據(jù)組。此 結(jié)構(gòu)的關(guān)鍵的優(yōu)點在于不需要第三方提供者的安全措施和安全裝置以在臨床系統(tǒng)上驗證 患者。因此,對于臨床醫(yī)院,明顯地更容易分配驗證應(yīng)用程序(分配到連接的裝置)且運行 所述驗證程序。
[0031] 根據(jù)本發(fā)明的有利的擴(kuò)展,加密單元形成為為移動裝置編程所準(zhǔn)備的應(yīng)用程序, 即形成為所謂的App。加密單元將(必要時帶有消息且?guī)в醒b置標(biāo)識的)簽名通過標(biāo)準(zhǔn)化 的通信通道(例如通過基于互聯(lián)網(wǎng)的超鏈接)傳輸?shù)椒?wù)器。相反地,服務(wù)器或注冊處將 所請求的數(shù)據(jù)傳輸?shù)窖b置,所述數(shù)據(jù)在此處可在監(jiān)視器("顯示器")上展示。此情況涉及 數(shù)據(jù)從臨床資源庫的下載。在數(shù)據(jù)下載的情況中,即醫(yī)療數(shù)據(jù)從資源庫傳輸?shù)揭苿友b置的 情況中,個人數(shù)據(jù)的非對稱加密是優(yōu)選的,以提供另外的安全措施。被傳輸?shù)臄?shù)據(jù)因此僅加 密地傳輸,使得侵入者即使截獲了消息(包括醫(yī)療數(shù)據(jù))也不能讀所述消息。此外,侵入者 無法得到關(guān)于此數(shù)據(jù)屬于哪個個人(患者)的對應(yīng)關(guān)系。因此,安全性可進(jìn)一步提高。
[0032] 替代的實施形式涉及數(shù)據(jù)到資源庫內(nèi)的上傳。在此情況中,前述步驟分別在另一 側(cè)(服務(wù)器-客戶端對調(diào))執(zhí)行,使得移動裝置也可將醫(yī)療數(shù)據(jù)組載入到中心服務(wù)器上以 用于存儲。例如,此實施形式在必須監(jiān)測患者生理學(xué)參數(shù)(例如,血壓、心率、體溫、血糖值 等)時是有利的。這些數(shù)據(jù)可在成功驗證患者之后載入到臨床資源庫內(nèi)。
[0033] 為進(jìn)一步提高安全性,可根據(jù)本發(fā)明的另外的方面預(yù)先構(gòu)造其內(nèi)必須完成驗證過 程的時間段。如果超過此預(yù)先構(gòu)造的(且總是可改變的)時間段(由裝置的解密的時間戳 與解密時的當(dāng)前服務(wù)器時間的差異確定),則給出錯誤通知。如需要可重新開始驗證過程。 根據(jù)實施形式,如從另外的應(yīng)用(例如,銀行應(yīng)用)中已知,可設(shè)置使得在三次超過時間段 之后向中心服務(wù)器發(fā)出警告,且不可再執(zhí)行驗證。
[0034] 根據(jù)本發(fā)明的另外的方面,自動采集秘鑰和/或裝置標(biāo)識是否被改變,即處于原 始的狀態(tài)還是被篡改。此實施形式可與其中可限定安全時間段的前述實施形式組合。只要 可識別到無侵入或無錯誤的驗證,則在本發(fā)明的變體中建議(取決于所采集的情況)和/ 或根據(jù)確認(rèn)信號促使加密單元在裝置上的重新安裝或重新載入。在此情況中,因此將新的 個體化的加密軟件載入到患者的移動通信裝置上以用于驗證目的。因此,可根據(jù)本發(fā)明的 實施變體也重復(fù)執(zhí)行實體化過程。
[0035] 如果入侵者意圖以不允許的方式修改實體化過程,則根據(jù)另外的變體建議自動采 集,裝置上的加密單元是否被篡改(例如從發(fā)送器地址和解密的裝置標(biāo)識之間的偏差可識 別)。在此情況中,僅在進(jìn)一步的分析之后且可能地僅在再次驗證裝置或使用者之后實現(xiàn)重 新的驗證。通常,為此提供另外的通信通道(例如,以書面形式或通過電子郵件或通過另外 的可靠的數(shù)據(jù)交換),以便能夠防御入侵和盜用。
[0036] 任務(wù)的另外的解決方法在于如前所述的電子裝置,所述電子裝置形成為與前述驗 證系統(tǒng)一起使用。根據(jù)本發(fā)明,在裝置上載入加密應(yīng)用程序,通過所述應(yīng)用程序,應(yīng)用者可 注冊和驗證。載入的應(yīng)用程序如前文中在驗證系統(tǒng)描述的范圍中所述以隱藏的形式保存在 程序存儲器內(nèi),且因此不可被使用者讀取、改變和/或刪除。
[0037] 裝置除加密單元之外優(yōu)選地包括簽名單元,所述簽名單元確定為根據(jù)前述措施生 成簽名。從裝置發(fā)送到中心服務(wù)器/注冊處的消息僅通過加密單元加以簽名。數(shù)據(jù)交換因 此在所有情況中被保護(hù)。
[0038] 另外的任務(wù)解決方法在于實體化單元,所述實體化單元確定為使用在驗證系統(tǒng) 內(nèi)。實體化單元可形成為注冊處且與中心服務(wù)器對應(yīng)。實體化單元特別地用于將個體化的 應(yīng)用程序分配到裝置且在裝置處安裝。此外,在實體化單元方面進(jìn)行對于被保護(hù)的中心存 儲器的訪問,以保存秘鑰和裝置標(biāo)識和/或其對應(yīng)關(guān)系,使得解密單元可解密裝置的消息 且根據(jù)裝置標(biāo)識的比較可進(jìn)行驗證。實體化單元可形成為分開的單元,且具有用于數(shù)據(jù)交 換的接口,特別是具有移動通信接口和另外的網(wǎng)絡(luò)接口。所述實體化單元通常是計算機(jī)支 持的。
[0039] 任務(wù)的另外的解決方法在于根據(jù)所附的權(quán)利要求的驗證方法。方法分為實體化階 段和驗證階段。
[0040] 在實體化階段中將通過其可將患者注冊且可在中心服務(wù)器上驗證患者的裝置實 體化。在實體化階段中,裝置以加密軟件被個體化地實體化。為此,加密軟件安裝在或載入 到裝置上。裝置的使用者可在首次使用時在裝置上注冊且然后執(zhí)行驗證過程。
[0041] 在驗證階段進(jìn)行對于臨床系統(tǒng)的數(shù)據(jù)的數(shù)據(jù)訪問(包括上傳和下載醫(yī)療數(shù)據(jù))的 實際的驗證。也包括裝置和臨床資料庫之間的(通過注冊處)各消息交換。
[0042] 在裝置上執(zhí)行如下方法步驟以用于驗證:
[0043]-首先產(chǎn)生簽名。簽名包括裝置標(biāo)識和時間戳的鏈接的至少一個加密的形式。
[0044] -將帶有裝置標(biāo)識且必要時帶有消息的簽名從裝置發(fā)送到注冊處。
[0045] -簽名與裝置標(biāo)識且必要時與消息一起發(fā)送,且選擇地被對稱地加密且取而代之 地發(fā)送加密結(jié)果。
[0046] 在注冊處方面,執(zhí)行如下步驟以用于驗證:
[0047]-接收帶有簽名和裝置標(biāo)識的消息且按需要(選擇地)將其對稱地加密。
[0048] _米集裝置標(biāo)識。
[0049]-以所采集的裝置標(biāo)識進(jìn)行對于被保護(hù)的中心服務(wù)器的訪問,以讀出各相應(yīng)的 (與裝置標(biāo)識對應(yīng)的)秘鑰。
[0050] -通過讀出的秘鑰進(jìn)行簽名的解密。
[0051] -將解密的帶有時間戳的裝置標(biāo)識作為解密結(jié)果讀出。現(xiàn)在,解密單元可將解密結(jié) 果與接收到的裝置標(biāo)識進(jìn)行一致性比較。在一致的情況下認(rèn)為驗證過程是成功的,且可執(zhí) 行對于資源庫的訪問。為在資源庫內(nèi)發(fā)現(xiàn)數(shù)據(jù)組,使用裝置標(biāo)識和/或另外的與裝置標(biāo)識 對應(yīng)的識別標(biāo)簽。
[0052] 簽名因此作為每個消息的部分以元數(shù)據(jù)的類型發(fā)送或作為封裝一同發(fā)送。
[0053] 根據(jù)本發(fā)明的一個方面,方法包括將解密結(jié)果與裝置標(biāo)識進(jìn)行一致性比較。比較 優(yōu)選地包括對于裝置標(biāo)識按符號地存在(Enthaltensein)于簽名原型中的比較。
[0054] 根據(jù)優(yōu)選的實施形式,驗證過程還包括附加的比較,即時鐘時間的比較。如果裝置 標(biāo)識一致使得驗證過程被認(rèn)為是成功的,但時間即時間戳不一致,則通過警告信號通知裝 置,必須將時鐘時間更新。根據(jù)本發(fā)明的一個方面,在此情況中也建議使得時間戳的偏差可 意味著消息可能被危及。因此,也以信息通知服務(wù)器在此可能發(fā)生危及。在此可按需要觸 發(fā)另外的分析步驟。
[0055] 考慮到時間戳的分析,可構(gòu)造時間戳之間的可預(yù)先構(gòu)造的偏差。例如,可預(yù)先設(shè)置 使得10分鐘的偏差仍可忍受,而超出這的偏差觸發(fā)警告信號的發(fā)出。
[0056] 如果驗證過程可成功完成,則可打開另外的可靠的通道,以實現(xiàn)裝置和資源庫之 間的數(shù)據(jù)交換或直接的通信。例如,為此可提供帶有有限有效性的秘鑰。通過此秘鑰可通 過在裝置和資源庫之間的通道交換需要驗證的待保護(hù)的數(shù)據(jù),只要存在秘鑰的有效性。換 言之,可在成功驗證之后也打開另外的、必要時也通向另外的存儲器和/或?qū)嶓w的可靠的 通信通道。
[0057] 通常建議驗證過程由客戶端(患者)即在裝置側(cè)初始化。但在此替代的實施形式 也建議在注冊處或資源庫側(cè)初始化驗證過程。這在應(yīng)通過從注冊處和/或資源庫向裝置發(fā) 送與之對應(yīng)的消息而提醒患者查詢和/或上傳數(shù)據(jù)時是可以考慮的。
[0058] 裝置和資源庫之間的數(shù)據(jù)交換僅加密地進(jìn)行。在此使用固定的、裝置特定的秘鑰 或甚至裝置特定的臨時有效的秘鑰。因此即使在截獲消息時,入侵者也不能以明碼讀取傳 輸?shù)臄?shù)據(jù)。
[0059] 通常建議使患者具有其自己單獨操作的移動通信裝置。在此情況中,在使用者 (患者)和裝置之間提供了 1對1的對應(yīng)關(guān)系。但替代的實施形式建議通過一個裝置可接 近一組患者。在此情況中,在患者和裝置之間提供了 η對1的對應(yīng)關(guān)系。替代地,也可使得 患者具有可用于驗證的多個裝置。在此情況中,加密單元作為應(yīng)用程序?qū)嵤┰谒序炞C裝 置上。在此情況中,在患者和裝置之間形成了 1對η的對應(yīng)關(guān)系。
[0060] 任務(wù)的另外的解決方法在于計算機(jī)程序產(chǎn)品。產(chǎn)品包括計算機(jī)程序代碼,所述程 序代碼確定為當(dāng)計算機(jī)程序產(chǎn)品或計算機(jī)程序代碼在計算機(jī)上執(zhí)行時用于執(zhí)行前述要求 的方法的所有方法步驟。在此,計算機(jī)程序可存儲在機(jī)器或計算機(jī)可讀取的存儲介質(zhì)上。替 代地建議使得計算機(jī)程序通過網(wǎng)絡(luò)作為可執(zhí)行單元被讀取。
[0061] 也可以將方法分配在不同的計算機(jī)實體上,特別是分配在加密單元和解密單元上 以及實體化單元上。單獨的方法步驟可在單獨的單元(加密和解密單元)上執(zhí)行,使得方 法和驗證系統(tǒng)實施為分布的系統(tǒng)。優(yōu)選的實施形式涉及軟件實施。替代的設(shè)計在此建議了 部分地硬件支持的實施。
[0062] 前述根據(jù)本發(fā)明的方法實施形式也可作為計算機(jī)程序產(chǎn)品以計算機(jī)程序形成,其 中當(dāng)計算機(jī)程序在計算機(jī)上或在計算機(jī)的處理器上執(zhí)行時,使得計算機(jī)用于執(zhí)行前述根據(jù) 本發(fā)明的方法。
[0063] 任務(wù)的替代的解決方法也在于計算機(jī)程序,所述計算機(jī)程序帶有當(dāng)其在計算機(jī)上 執(zhí)行時用于執(zhí)行所要求的或前述方法的所有方法步驟的計算機(jī)程序代碼。在此,計算機(jī)程 序也存儲在機(jī)器可讀取的存儲介質(zhì)上。
[0064] 任務(wù)的替代的解決方法建議了存儲介質(zhì),所述存儲介質(zhì)確定為用于存儲前述計算 機(jī)實施的方法且由計算機(jī)可讀取。
【專利附圖】
【附圖說明】
[0065] 在如下的詳細(xì)附圖描述中,不限制地根據(jù)附圖描述帶有其特征和另外的優(yōu)點的實 施例。各圖為:
[0066] 圖1示出了帶有選擇的實體的根據(jù)本發(fā)明的驗證系統(tǒng)的原理圖示,
[0067] 圖2示出了在根據(jù)本發(fā)明的驗證過程的范圍內(nèi)的實體化單元及其通信環(huán)境的示 意性圖示,
[0068] 圖3示出了在與中心服務(wù)器進(jìn)行數(shù)據(jù)交換時被傳輸?shù)臄?shù)據(jù)和/或消息的示意性圖 示,和
[0069] 圖4示出了根據(jù)本發(fā)明的驗證方法的優(yōu)選的實施形式的流程的示意性圖示。
【具體實施方式】
[0070] 在下文中根據(jù)附圖詳細(xì)解釋本發(fā)明。在附圖中圖示了本發(fā)明的不同的實施形式, 在此用于相同的模塊或部件的附圖標(biāo)號也在各另外的附圖中一致地使用。
[0071] 在下文中參考圖1詳細(xì)解釋驗證過程的內(nèi)容:本發(fā)明涉及用于驗證許多由患者或 醫(yī)務(wù)人員操作的移動電子裝置G的驗證系統(tǒng)。在優(yōu)選的實施形式中,裝置是手機(jī)或另外的 移動通信裝置G。移動通信裝置或智能電話G通過互聯(lián)網(wǎng)和/或通過移動通信網(wǎng)絡(luò)(由任 意的移動通信網(wǎng)絡(luò)運行者所運行)與中心服務(wù)器進(jìn)行數(shù)據(jù)交換。服務(wù)器在優(yōu)選的實施形 式中形成為注冊處10。注冊處10通常與臨床醫(yī)院或醫(yī)院聯(lián)合體、診所或診所聯(lián)合體對應(yīng)。 注冊處10可由外部服務(wù)者運行。注冊處10又與資源庫12進(jìn)行數(shù)據(jù)交換。在資源庫12上 保存了醫(yī)療數(shù)據(jù)組。例如,在此可保存檢查結(jié)果、發(fā)現(xiàn)、放射檢查的圖像數(shù)據(jù)、科學(xué)研究、處 方、術(shù)語等。資源庫12形成為中心存儲器,且優(yōu)選地也形成為被訪問保護(hù)的存儲器。在替 代的實施形式中,資源庫12也可包括分開的存儲器區(qū)域,所述存儲器區(qū)域形成為被保護(hù)的 存儲器。在優(yōu)選的實施形式中,注冊處10包括被保護(hù)的中心存儲器,所述中心存儲器帶有 需要驗證的且處于訪問保護(hù)中的個人的私密患者數(shù)據(jù)。如在圖1中通過箭頭所圖示,注冊 處10和資源庫12相互進(jìn)行數(shù)據(jù)交換。在此,可構(gòu)思不同的通信通道。優(yōu)選的是通過網(wǎng)絡(luò) (WLAN或LAN)的數(shù)據(jù)交換。替代地,在此也可安裝通過來自互聯(lián)網(wǎng)協(xié)議族的可確定的版本 (例如,作為TCP/IP協(xié)議的應(yīng)用的http)的互聯(lián)網(wǎng)連接。驗證系統(tǒng)的根據(jù)本發(fā)明的結(jié)構(gòu)是 基于移動通信裝置的結(jié)構(gòu)。換言之,由此出發(fā),患者或患者的組具有移動通信裝置G。然而 移動通信裝置G根據(jù)本發(fā)明在其裝置部件方面被修改,這通過為其提供在裝置上運行的個 體化的軟件應(yīng)用來實現(xiàn)。裝置部件因此根據(jù)本發(fā)明也被不同地尋址。因此,例如僅通過所 安裝的加密單元V執(zhí)行消息N到注冊處10的發(fā)送。
[0072] 前述實體化過程在下文中通過參考圖2詳細(xì)解釋。根據(jù)本發(fā)明提供了實體化單元 I,所述實體化單元I與待驗證的裝置G進(jìn)行數(shù)據(jù)交換。裝置G和實體化單元I之間的數(shù)據(jù) 連接優(yōu)選地是基于移動通信的數(shù)據(jù)連接。但在此替代地也可考慮另外的數(shù)據(jù)傳輸網(wǎng)絡(luò)。裝 置G是不同類型和結(jié)構(gòu)的商業(yè)上常用的移動通信裝置。實體化單元是基于計算機(jī)的單元, 所述實體化單元確定為用于裝置G的實體化且為此將個人化的和/或裝置特定的應(yīng)用程序 作為加密單元V安裝或載入到待驗證的裝置G上。這在圖2中通過如下方式表征,即從實 體化單元I發(fā)出的到裝置&、G^G n的箭頭(應(yīng)代表數(shù)據(jù)傳輸)指示了不同版本的加密單 元V,即第一加密單元Vi、第二加密單元V2等。在優(yōu)選的實施形式中,在加密單元V和裝置G 之間提供了 1對1的對應(yīng)關(guān)系,使得第一加密單元 ' 安裝在第一裝置Gi上,第二加密單元 V2安裝在第二裝置G2上…且第η加密單元V n安裝在第η裝置Gn上。但在此替代地也可選 擇另外的對應(yīng)關(guān)系,使得例如同一個加密單元V分配到多個裝置G上且在其處安裝(這對 應(yīng)于加密單元和裝置之間的1對N的對應(yīng)關(guān)系)。替代地,也可實現(xiàn)在此覆蓋另外的應(yīng)用情 形,使得在一個裝置G上安裝多個加密單元V (這對應(yīng)于加密單元和裝置之間的Μ對1的對 應(yīng)關(guān)系)。通常從如下情況出發(fā),即應(yīng)用者(通常為患者)在其移動通信裝置上通過輸入識 別信號和/或驗證信號進(jìn)行注冊。通常,在此提供密碼輸入、指紋或其他注冊措施。以此, 中心服務(wù)器、注冊處10和/或?qū)嶓w化單元I可通過各裝置G到達(dá)特定的患者Ρ。在下文中 考慮個體化的裝置特定的應(yīng)用程序,所述應(yīng)用程序作為加密單元V安裝在裝置G上。但因 為通常特定的患者操作一定的裝置,所以本發(fā)明也涉及,作為加密單元V安裝在裝置G上的 應(yīng)用程序是用戶特定的。由中心實體化單元I觸發(fā)的實體化將軟件應(yīng)用程序作為加密單元 V傳輸?shù)礁餮b置G。應(yīng)用程序包括秘鑰40和單義的裝置標(biāo)識50。秘鑰是密碼方法的部分且 可形成為對稱秘鑰或非對稱秘鑰40、40'。秘鑰40以及裝置標(biāo)識50都以隱藏的形式保持 在裝置G的程序存儲器30內(nèi)。這是本發(fā)明的基本特征,因為待存儲的數(shù)據(jù)與通常情況(例 如,音頻數(shù)據(jù)、圖像數(shù)據(jù)等)不同不保存在數(shù)據(jù)存儲器20內(nèi),而是保存在裝置G的被訪問保 護(hù)的訪問模塊內(nèi),即保存在程序存儲器30內(nèi)。裝置標(biāo)識50對于各裝置G被識別。換言之, 在裝置標(biāo)識50和裝置G之間存在雙射映射,且裝置G可通過裝置標(biāo)識50被單義地識別和 尋址。根據(jù)驗證數(shù)據(jù)組(特別是秘鑰40和裝置標(biāo)識50)以隱藏的形式保存在裝置G上的 事實,患者或裝置使用者也無法獲得對裝置標(biāo)識50或秘鑰40的訪問。此外,患者或裝置使 用者不能修改且也不能刪除此數(shù)據(jù)組。
[0073] 在將加密單元V本地地安裝在裝置G上之后,應(yīng)用者在第一次時通過加密單元V 進(jìn)行注冊過程。然后,可使用加密單元V以發(fā)出消息且因此在中心注冊處10處驗證患者, 以能夠以驗證過的形式執(zhí)行對于資源庫12的訪問。為此,加密單元V在每個消息發(fā)送前產(chǎn) 生簽名原型SIG-UB。此簽名原型由加密單元V產(chǎn)生,這通過將裝置標(biāo)識50和時間戳60串 連來進(jìn)行。串連的數(shù)據(jù)組然后以秘鑰40進(jìn)行加密。替代地,簽名原型SIG-UB也可包括另 外的驗證數(shù)據(jù)組51。另外的驗證數(shù)據(jù)組51可例如是不變的患者特定的數(shù)據(jù)組(人口統(tǒng)計 學(xué)數(shù)據(jù)、生物測量數(shù)據(jù)等)。在此情況中,裝置標(biāo)識50、時間戳60和另外的驗證數(shù)據(jù)組51 相互聯(lián)接且然后被加密。在從裝置G向中心服務(wù)器或向注冊處10傳輸?shù)乃邢中,以 簽名SIG即SIG-UB的加密來簽署。在裝置G和注冊處10之間的通信過程的范圍中,注冊 處10接收帶有簽名SIG和裝置標(biāo)識50的消息N。這在圖1中以從裝置G向注冊處10發(fā)送 的數(shù)據(jù)包圖示,所述數(shù)據(jù)包以橢圓形" {SIG} "50表示。數(shù)據(jù)交換在此也優(yōu)選地通過互聯(lián)網(wǎng) 進(jìn)行。
[0074] 為可在服務(wù)器側(cè)接收此數(shù)據(jù)包或消息N,根據(jù)本發(fā)明以解密單元E擴(kuò)展注冊處10。 解密單元E安裝在注冊處10上且包括訪問模塊Z,以所述訪問模塊Z可執(zhí)行對于被保護(hù)的 中心存儲器MEM的訪問。替代地,解密單元E也直接地包括安全存儲器MEM。解密單元E 優(yōu)選地形成為軟件模塊且用于接收從裝置G發(fā)出的消息或發(fā)出的帶有裝置標(biāo)識50的簽名 SIG。此外,解密單元E用于執(zhí)行實際的驗證過程。這通過作為解密結(jié)果的簽名原型SIG-UB 與所傳輸?shù)难b置標(biāo)識50的比較來進(jìn)行。在解密結(jié)果與裝置標(biāo)識50 -致時,認(rèn)為裝置或各 訪問是被驗證的。否則,可發(fā)出錯誤通知且不執(zhí)行訪問。注冊處10解開所傳輸?shù)南⑶以?解密之后獲得簽名原型SIG-UB,包括明碼的時間戳60以及也為明碼的裝置標(biāo)識50。解密 的數(shù)據(jù)組(時間戳和裝置標(biāo)識)作為解密結(jié)果暫時地被中間存儲。只要來自解密結(jié)果的裝 置標(biāo)識50與傳輸?shù)难b置標(biāo)識一致,則認(rèn)為驗證過程被成功地執(zhí)行。
[0075] 在此,替代的構(gòu)造還建議了另外的控制措施。例如,可分析來自時間戳60的時間 規(guī)定,以檢驗裝置G的時間標(biāo)志是否僅與注冊處10的時間標(biāo)志偏差了可預(yù)先構(gòu)造的差異范 圍。換言之,注冊時間和裝置時間應(yīng)僅相互偏差了可預(yù)先構(gòu)造的容許量。在成功的驗證之 后,然后注冊處10可執(zhí)行對于資源庫12的訪問。訪問通常通過裝置標(biāo)識50表示,以在資 源庫12內(nèi)發(fā)現(xiàn)患者特定的和相關(guān)的數(shù)據(jù)組且將其傳遞到患者的裝置G。
[0076] 在下文中通過參考圖3詳細(xì)解釋在驗證的范圍內(nèi)所傳輸?shù)臄?shù)據(jù)組。在裝置G的 實體化之后,裝置G將包括簽名SIG和裝置標(biāo)識50的消息N傳輸?shù)阶蕴?0的解密單元 E (左側(cè)的最上方箭頭)。然后,解密單元E在服務(wù)器側(cè)被激活且將結(jié)果解密且執(zhí)行驗證過 程。為此,解密單元E以裝置標(biāo)識50訪問安全存儲器MEM以讀出解密秘鑰40'。在替代的 構(gòu)造中,解密秘鑰40'不保存在資源庫12上(當(dāng)存儲器區(qū)域被訪問保護(hù)時也可如此),而是 在注冊處10可訪問的分開的存儲器上。解密秘鑰40'以單義的方式與加密秘鑰40對應(yīng), 且作為非對稱加密的部分。通常,涉及非對稱秘鑰對,所述秘鑰對包括私鑰和公鑰。在此, 私鑰不可見且隱藏地保存在裝置G的程序存儲器30內(nèi),而公鑰40'保存在中心存儲器內(nèi)。 在此實施形式中,存儲器(例如資源庫12)包括在裝置標(biāo)識50和秘鑰40、40'之間的對應(yīng) 關(guān)系表。在觸發(fā)各對應(yīng)的解密秘鑰40'之后,將此解密秘鑰40'傳遞到解密單元E。然后, 解密單元E可將簽名SIG解密,從而導(dǎo)致簽名原型SIG-UB,以便然后通過比較(如前所述) 執(zhí)行驗證過程。在成功驗證之后,可再次執(zhí)行對資源庫12的訪問,以讀取具體請求的數(shù)據(jù) 組且優(yōu)選地以加密形式(通常利用公鑰40')加密,且通過注冊處10傳輸?shù)窖b置G。解密 的數(shù)據(jù)在圖3中以橢圓形標(biāo)記"ENC (DATA) "標(biāo)示。
[0077] 前述過程涉及從醫(yī)療數(shù)據(jù)組到裝置G的數(shù)據(jù)下載。但根據(jù)本發(fā)明的驗證方法也用 于數(shù)據(jù)上傳,其中患者通過其裝置G將數(shù)據(jù)組發(fā)送到中心資源庫12以用于存儲。例如,在 此可涉及患者當(dāng)前的血壓、血糖水平、體溫等的測量值。
[0078] 在另外的有利的且也優(yōu)選的實施形式中,作為裝置標(biāo)識50的替代將患者號以隱 藏的形式存儲在裝置G上的程序存儲器30內(nèi),且作為消息N的部分傳輸?shù)阶蕴?0以用 于驗證。也保存在程序存儲器30內(nèi)的密鑰是患者的秘密的秘鑰(Private Key私鑰)。作 為每個通信或每個數(shù)據(jù)查詢的部分,加密單元V將已簽名的由患者號和時間戳60 (其中患 者號以及時間戳60二者都例如以對稱加密方法后加密)所組成的串發(fā)送到注冊處10。時 間戳60因此作為簽名SIG的部分在每個消息中被加密地傳輸,以具有消息的改變的部分, 所述部分在服務(wù)器側(cè)或解密單元E側(cè)被解開,以便能夠更好地防御可能使用早先的SIG的 拷貝的未授權(quán)人員的入侵。
[0079] 本發(fā)明的關(guān)鍵的優(yōu)點是對于裝置G不需要改變。換言之,僅需要將加密應(yīng)用程序V 安裝在裝置G上。對于裝置G不存在另外的要求,使得在此也可使用商業(yè)上通用的移動通 信裝置。此外,也不需要移動通信運行者處的特定的預(yù)先準(zhǔn)備。
[0080] 可提高根據(jù)本發(fā)明的驗證系統(tǒng)的安全性的另外的優(yōu)點是在裝置G和資源庫12之 間不傳輸未加密的醫(yī)療數(shù)據(jù)組。僅作為裝置G的客戶端的患者和臨床資源庫12具有明碼 形式的數(shù)據(jù)組。被交換的數(shù)據(jù)組僅被加密地傳輸。
[0081] 優(yōu)選地建議使得公鑰也保持在與解密單元E且因此與注冊處10對應(yīng)的被保護(hù)的 中心存儲器MEM中。通常,秘鑰保持在注冊處10內(nèi)。由裝置G所請求的且在成功的驗證過 程之后從資源庫12發(fā)送到裝置G的數(shù)據(jù),以裝置G的或查詢的患者P的公鑰進(jìn)行加密。為 此,資源庫12訪問注冊處10的公鑰。只要數(shù)據(jù)在裝置上被接收,則加密單元V可形成為將 加密的數(shù)據(jù)以秘密秘鑰或私鑰解密。
[0082] 替代的實施形式建議了使用另外的秘鑰對以進(jìn)一步提高安全性。在此,又可以是 非對稱或?qū)ΨQ方法,以將個人數(shù)據(jù)加密。
[0083] 在下文中根據(jù)優(yōu)選實施形式通過參考圖4詳細(xì)解釋驗證過程的流程。
[0084] 在驗證過程開始之后,方法分為實體化階段和驗證階段。為執(zhí)行驗證階段,要求成 功地完成實體化。
[0085] 實體化涉及裝置G的實體化。這在圖4中以方法步驟A表示。為實體化,在裝置 G上安裝加密單元V作為軟件應(yīng)用程序,所述加密單元V將裝置標(biāo)識或患者標(biāo)識50和秘鑰 40以隱藏的形式存儲在裝置的程序存儲器30內(nèi)。應(yīng)用程序用于與資源庫12交換的醫(yī)療數(shù) 據(jù)組的加密和解密。安裝過程在圖4中以附圖標(biāo)號B表示。
[0086] 然后,客戶端或患者以及使用者可在其裝置G上注冊。這以方法步驟C表示。
[0087] 首先,必須安裝所有裝置G,以隨后可用于驗證過程。
[0088] 在驗證階段中,患者可通過其移動通信裝置G在中心注冊處10上進(jìn)行驗證和識 別。
[0089] 為此,在方法步驟D中產(chǎn)生簽名。簽名原型SIG-UB由裝置標(biāo)識或患者標(biāo)識50組 成。兩個數(shù)據(jù)組形成了簽名原型SIG-UB,所述簽名原型SIG-UB以秘鑰40加密且因此形成 簽名SIG。
[0090] 在步驟D1中,將帶有簽名SIG和裝置標(biāo)識50的消息N發(fā)送到注冊處10。
[0091] 在方法步驟F中,將消息N在服務(wù)器側(cè)在注冊處10上接收。
[0092] 在步驟Η中采集所傳輸?shù)难b置標(biāo)識50。以下描述其中傳輸了裝置標(biāo)識50的實施 形式。但如前所述,作為裝置標(biāo)識50的替代也可傳輸患者識別號,所述患者識別號以單義 方式識別各患者。
[0093] 在方法步驟Κ中進(jìn)行對于與注冊處10對應(yīng)的被保護(hù)的中心存儲器ΜΗΜ的訪問。訪 問用于讀出與裝置標(biāo)識50對應(yīng)的解密秘鑰40'。解密秘鑰40用于解密接收的消息Ν。在 隨后的方法步驟L中,以接收到的簽名SIG通過使用解密秘鑰40'將消息Ν解密。在此,簽 名原型SIG-UB作為解密結(jié)果被產(chǎn)生,且與讀出的裝置標(biāo)識50進(jìn)行一致性比較。
[0094] 解密結(jié)果與裝置標(biāo)識50的比較在方法步驟Μ中進(jìn)行。
[0095] 在一致的情況下,在步驟Ν中以讀出的裝置標(biāo)識50訪問資源庫12以讀出各醫(yī)療 數(shù)據(jù)。然后,方法可結(jié)束。
[0096] 如在圖4中所圖示,對于資源庫12的訪問僅在驗證成功時進(jìn)行。這以帶有"0Κ" 標(biāo)記的橢圓形表示。否則,方法可直接結(jié)束或重復(fù)驗證過程,這在圖4中以指向上的箭頭代 表,使得方法在方法步驟D中再次開始。
[0097] 基本上,兩個不同的實施形式是可以的,所述實施形式建議了不同的加密系統(tǒng):對 稱或非對稱方法。替換地,也可以應(yīng)用組合。在對稱加密中,秘鑰40與秘鑰40' 一致。在 非對稱加密中,秘鑰40優(yōu)選地是私鑰且秘鑰40'是秘鑰對的所屬的公鑰。
[0098] 總之,可使用患者驗證描述本發(fā)明,所述患者驗證的結(jié)構(gòu)基于與中心注冊處10和 實體化單元I進(jìn)行數(shù)據(jù)交換的常規(guī)的移動通信裝置(手機(jī))。實體化單元I將個體化的Αρρ 安裝在患者的手機(jī)上。如秘鑰40、40'和裝置標(biāo)識50的驗證數(shù)據(jù)組既本地地存在于手機(jī)上 也存在于注冊處10的被保護(hù)的中心存儲器MEM上。在手機(jī)和中心注冊處10二者上都安裝 了軟件應(yīng)用程序(加密單元V和解密單元E),所述軟件應(yīng)用程序在消息N從裝置G傳輸?shù)?注冊處10之后執(zhí)行驗證過程。醫(yī)療數(shù)據(jù)組處在臨床資源庫12上且在成功驗證之后通過注 冊處10也可供移動裝置G使用。
[〇〇99] 但本發(fā)明不限制于前述實施例,而是也可實施在另外的應(yīng)用情況中。因此,可使得 方法的步驟構(gòu)造為不都在相同的基于計算機(jī)的單元上執(zhí)行,而是在不同的單元上,例如在 裝置G、注冊處10和/或在實體化單元I上。步驟的次序也可部分地被修改。也可將前述 驗證系統(tǒng)再擴(kuò)展,且在裝置G側(cè)提供識別檢驗,使得各患者的身份也可在裝置G上本地地被 檢驗(例如通過光學(xué)圖像控制、檢驗生物測量數(shù)據(jù)或確認(rèn)人口統(tǒng)計學(xué)數(shù)據(jù)等)。此構(gòu)造在醫(yī) 療緊急情況中特別地有利,在所述醫(yī)療緊急情況中患者可能不再具有知覺且因此輔助人員 來承擔(dān)對于患者的驗證過程,且本地地驗證患者,以從資源庫12查詢緊急情況對應(yīng)的數(shù)據(jù) 組(例如,長期診斷、不相容性或過敏反應(yīng))。在本發(fā)明的范圍內(nèi)也具有另外的不同,使得保 護(hù)范圍僅通過如下闡述的權(quán)利要求確定。
【權(quán)利要求】
1. 一種用于相對于被保護(hù)的中心服務(wù)器驗證多個移動裝置(G)中的各移動電子裝置 (G)的驗證系統(tǒng),以用于在裝置(G)和服務(wù)器之間的醫(yī)療數(shù)據(jù)的受保護(hù)的數(shù)據(jù)交換,其中服 務(wù)器能訪問帶有醫(yī)療數(shù)據(jù)的資源庫(12),包括: -中心實體化單元(I),所述實體化單元(I)確定為用于各裝置(G)的實體化,這通過 由實體化單元(I)將個體化的、裝置特定的應(yīng)用程序作為加密單元(V)安裝在各裝置(G) 上來實現(xiàn),且其中應(yīng)用程序?qū)⒚罔€(40)和裝置標(biāo)識(50)以隱藏的形式保持在裝置(G)的 程序存儲器(30)內(nèi),其中實體化單元(I)將在裝置標(biāo)識(50)和秘鑰(40)之間的對應(yīng)關(guān)系 保存在被保護(hù)的中心存儲器內(nèi) -加密單元(V),所述加密單元(V)本地地安裝在裝置(G)上且確定為用于產(chǎn)生數(shù)字簽 名(SIG),其中簽名(SIG)以由實體化單元(I)保存的秘鑰(40)加密且從至少包括裝置標(biāo) 識(50)和時間戳(60)的簽名原型(SIG-UB)產(chǎn)生,且其中加密單元(V)進(jìn)一步確定為用于 將至少簽名(SIG)以及裝置標(biāo)識(50)發(fā)送到服務(wù)器 -解密單元(E),所述解密單元(E)安裝在中心服務(wù)器上且其中解密單元(E)包括對于 被保護(hù)的中心存儲器的訪問模塊(Z), 其中解密單元(E)確定為接收從裝置(G)發(fā)出的帶有裝置標(biāo)識(50)的簽名(SIG)且 從裝置標(biāo)識(50)通過訪問被保護(hù)的中心服務(wù)器讀出用于解密的各對應(yīng)的秘鑰(40'),以使 用所述秘鑰(40')將接收到的簽名(SIG)解密且從作為解密結(jié)果的簽名原型(SIG-UB)讀 出裝置標(biāo)識(50),其中解密單元(E)進(jìn)一步確定為將解密結(jié)果與裝置標(biāo)識(50)進(jìn)行一致性 比較,且在一致的情況下解密單元(E)進(jìn)一步確定為以讀出的裝置標(biāo)識(50)執(zhí)行對于資源 庫(12)的訪問。
2. 根據(jù)權(quán)利要求1所述的驗證系統(tǒng),其中簽名原型(SIG-UB)包括涉及裝置的識別數(shù)據(jù) 組。
3. 根據(jù)前述權(quán)利要求中一項所述的驗證系統(tǒng),其中簽名原型(SIG-UB)包括涉及應(yīng)用 者的識別數(shù)據(jù)組。
4. 根據(jù)前述權(quán)利要求中一項所述的驗證系統(tǒng),其中簽名原型(SIG-UB)包括對于加密 單元(V)和解密單元(E)都已知的不變的、裝置特定的和/或應(yīng)用者特定的驗證數(shù)據(jù)組 (51)、隨機(jī)數(shù)和/或時間戳(60)。
5. 根據(jù)前述權(quán)利要求中一項所述的驗證系統(tǒng),其中實體化單元(I)將私鑰(40)保護(hù)地 存儲在裝置(G)中且其中在服務(wù)器(10)上存儲了用于每個裝置(G)和/或每個裝置標(biāo)識 (50)的公鑰(40')。
6. 根據(jù)前述權(quán)利要求中一項所述的驗證系統(tǒng),其中實體化單元(I)形成在服務(wù)器(10) 上。
7. 根據(jù)前述權(quán)利要求中一項所述的驗證系統(tǒng),其中裝置(G)是帶有能編程構(gòu)造單元的 計算機(jī)支持的移動電子裝置,特別是智能電話。
8. 根據(jù)前述權(quán)利要求中一項所述的驗證系統(tǒng),其中加密單元(V)形成為為移動裝置 (G)的編程所準(zhǔn)備的應(yīng)用程序,且其中解密單元(V)將帶有裝置標(biāo)識(50)的簽名(SIG)通 過標(biāo)準(zhǔn)化的、明碼能識別的通信通道傳輸?shù)椒?wù)器(10)。
9. 根據(jù)前述權(quán)利要求中一項所述的驗證系統(tǒng),其中在其內(nèi)必須完成驗證過程的時間段 能預(yù)先構(gòu)造,且其中在超過所述時間段時發(fā)出錯誤通知且能重新開始驗證過程或要求新安 裝。
10. 根據(jù)前述權(quán)利要求中一項所述的驗證系統(tǒng),其中自動采集,秘鑰(40)和/或裝置標(biāo) 識(50)是否被篡改,和/或預(yù)先構(gòu)造的安全時間段是否被超過,以按需要地促使加密單元 (V)在裝置(G)上的新安裝。
11. 根據(jù)前述權(quán)利要求中一項所述的驗證系統(tǒng),其中在裝置(G)和服務(wù)器(10)之間的 數(shù)據(jù)交換包括數(shù)據(jù)上傳和/或數(shù)據(jù)下載。
12. -種帶有加密單元(V)的移動電子裝置(G),所述加密單元(V)本地地安裝在裝置 (G)上且確定為用于產(chǎn)生數(shù)字簽名(SIG),其中裝置確定為被使用于根據(jù)前述權(quán)利要求中 一項所述的驗證系統(tǒng)中,其中簽名(SIG)以由實體化單元(I)存儲的秘鑰(40)加密且由至 少包括裝置標(biāo)識(50)和時間戳(60)的簽名原型(SIG-UB)產(chǎn)生,且其中加密單元(V)此外 確定為將至少簽名(SIG)且附加地將裝置標(biāo)識(50)發(fā)送到服務(wù)器(10)。
13. -種帶有解密單元(E)的移動電子裝置(G),其中實體化單元(I)確定為被使用于 根據(jù)前述權(quán)利要求中一項所述的驗證系統(tǒng)中且安裝在中心服務(wù)器(10)上,且其中解密單 元(E)包括對于資源庫(12)的訪問模塊(Z),其中解密單元(E)確定為接收由裝置(G)發(fā) 送的帶有裝置標(biāo)識(50)的簽名(SIG),且從裝置標(biāo)識(50)通過訪問被保護(hù)的中心存儲器讀 出用于解密的秘鑰(40'),以使用所述秘鑰(40')將接收到的簽名(SIG)解密且從得到的 簽名原型(SIG-UB)讀出裝置標(biāo)識(50)作為解密結(jié)果,其中解密單元(E)還確定為將解密 結(jié)果與裝置標(biāo)識(50)進(jìn)行一致性比較,且在一致時解密單元(E)進(jìn)一步確定為以讀出的裝 置標(biāo)識(50)執(zhí)行對于資源庫(12)的訪問。
14. 一種用于相對于中心服務(wù)器驗證多個移動裝置(G)中的各移動電子裝置(G)的驗 證系統(tǒng),以用于在裝置(G)和服務(wù)器之間的醫(yī)療數(shù)據(jù)的被保護(hù)的數(shù)據(jù)交換,其中服務(wù)器能 訪問帶有醫(yī)療數(shù)據(jù)的資源庫(12),所述方法包括如下方法步驟: -將各裝置(G)實體化(A),這通過分別將個體化的、裝置特定的應(yīng)用程序作為加密單 元(V)安裝在各裝置(G)上進(jìn)行,且其中秘鑰(40)和裝置標(biāo)識(50)以隱藏的形式保持在 裝置(G)的程序存儲器(30)內(nèi),其中在裝置標(biāo)識(50)和秘鑰(40)之間的對應(yīng)關(guān)系被保存 在被保護(hù)的中心存儲器(MEM)內(nèi), -在裝置(G)上本地地產(chǎn)生⑶數(shù)字簽名(SIG),其中簽名(SIG)以由實體化單元(I) 保存的秘鑰(40)加密且從至少包括裝置標(biāo)識(50)和時間戳(60)的簽名原型(SIG-UB)產(chǎn) 生, -至少將帶有裝置標(biāo)識(50)的簽名(SIG)發(fā)送(D1)到服務(wù)器(10), -在中心服務(wù)器(10)上接收(F)由裝置(G)發(fā)送的帶有裝置標(biāo)識(50)的簽名(SIG), -采集⑶裝置標(biāo)識(50), -以所采集的裝置標(biāo)識(50)訪問⑷被保護(hù)的中心存儲器(MEM),以讀出用于解密的 秘鑰(40'), -以秘鑰(40')將接收到的簽名(SIG)解密(L),且產(chǎn)生包括讀出的裝置標(biāo)識(50)的 解密結(jié)果(SIG-UB), -將解密結(jié)果與裝置標(biāo)識(50)進(jìn)行一致性比較(Μ), -在一致的情況下,以讀出的裝置標(biāo)識(50)訪問(Ν)資源庫(12)。
15. -種計算機(jī)程序產(chǎn)品,其中計算機(jī)程序產(chǎn)品包括計算機(jī)程序,所述計算機(jī)程序存儲 在數(shù)據(jù)載體上或計算機(jī)的存儲器上且包括能被計算機(jī)讀取的指令,所述指令確定為當(dāng)其在 計算機(jī)上執(zhí)行時用于執(zhí)行根據(jù)前述權(quán)利要求所述的方法。
16. -種計算機(jī)程序產(chǎn)品,其中計算機(jī)程序產(chǎn)品包括計算機(jī)程序,所述計算機(jī)程序存儲 在數(shù)據(jù)載體上或計算機(jī)的存儲器上且包括能被計算機(jī)讀取的指令,所述指令確定為當(dāng)其在 計算機(jī)上執(zhí)行時用于執(zhí)行根據(jù)前述權(quán)利要求所述的方法。
【文檔編號】G06Q50/22GK104094308SQ201380007911
【公開日】2014年10月8日 申請日期:2013年1月30日 優(yōu)先權(quán)日:2012年2月2日
【發(fā)明者】S.海德, G.海登賴希 申請人:西門子公司