AT503291B1 - Data processing system for processing object data of standard entities, has input device that access object identification data of associated standard entity and relevant user data when security key assigned to standard entities is entered - Google Patents

Data processing system for processing object data of standard entities, has input device that access object identification data of associated standard entity and relevant user data when security key assigned to standard entities is entered Download PDF

Info

Publication number
AT503291B1
AT503291B1 AT19282006A AT19282006A AT503291B1 AT 503291 B1 AT503291 B1 AT 503291B1 AT 19282006 A AT19282006 A AT 19282006A AT 19282006 A AT19282006 A AT 19282006A AT 503291 B1 AT503291 B1 AT 503291B1
Authority
AT
Austria
Prior art keywords
data
instance
standard
instances
key
Prior art date
Application number
AT19282006A
Other languages
German (de)
Other versions
AT503291A4 (en
Inventor
Bernhard Dipl Ing Riedl
Thomas Dipl Ing Neubauer
Oswald Ing Boehm
Original Assignee
Braincon Handels Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Braincon Handels Gmbh filed Critical Braincon Handels Gmbh
Priority to AT19282006A priority Critical patent/AT503291B1/en
Application granted granted Critical
Publication of AT503291B1 publication Critical patent/AT503291B1/en
Publication of AT503291A4 publication Critical patent/AT503291A4/en
Priority to PCT/AT2007/000524 priority patent/WO2008061267A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Abstract

The data processing system has a object database (20) in which the object data are stored and retrieved by access unit (70). The object identification data (100) and the user data (110) are stored and retrieved separately in the object database such that no correlation between the object identification data and the user data is deduced exclusively from the stored data records. The input device access the object identification data of the associated standard entity and the relevant user data when a security key assigned to the standard entities is entered : An independent claim is also included for a method of processing object data of multiple standard entities.

Description

2 AT 503 291 B12 AT 503 291 B1

Die Erfindung betrifft ein Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Vielzahl von Standard-Instanzen, wobei die Objektdaten Objektidentifikationsdaten und zugehörige Nutzdaten umfassen, mit einer Objektdaten-Datenbank, in welcher die Objektdaten über Zugriffseinrichtungen speicherbar und abrufbar sind.The invention relates to a data processing system for processing object data of a plurality of standard instances, the object data comprising object identification data and associated payload data having an object data database in which the object data can be stored and retrieved via access devices.

Unter Standard-Instanz wird dabei eine Person, ein System od. dgl. verstanden, für die schützenswerte Objektdaten bestehen. Diese Objektdaten enthalten Objektidentifikationsdaten, die eine Identifizierung eines Objekts, z.B. über die Sozialversicherungsnummer einer Person, ermöglichen und Nutzdaten, die zu dem jeweiligen Objekt generiert wurden und gespeichert sind.A standard instance is understood to be a person, a system or the like, for which object data requiring protection exists. This object data includes object identification data that identifies an object, e.g. via a person's social security number, and payload data that has been generated and stored for the particular object.

Da immer mehr Datenbanken, z.B. mit personenspezifischen Daten existieren oder im Entstehen sind, wird ein verstärkter Schutz von objektbezogenen, z.B. persönlichen Angaben und Daten angestrebt. Andererseits werden in vielen Bereichen, z.B. im Gesundheitsbereich Daten von Personen und zugehörige Meß- und Überwachungsdaten sowie historische Daten zu Studienzwecken und für statistische Analysen sowie für die Umsetzung von gesetzlichen Bestimmungen benötigt und daher über längere Zeit aufbewahrt, um sie einer späteren Verarbeitung zuzuführen. Dies führt zu einem verstärkten Schutzbedürfnis der gespeicherten Daten.As more and more databases, e.g. with personal data exists or is emerging, increased protection of object-related, e.g. personal information and data. On the other hand, in many areas, e.g. In the field of health, personal data and related measurement and monitoring data, as well as historical data are needed for study and statistical analysis, as well as for the implementation of legislation, and therefore kept for longer periods for later processing. This leads to an increased need for protection of the stored data.

Es bestehen daher seit jeher Bestrebungen, einerseits die Vorteile der Verfügbarkeit von möglichst vielen Datensätzen nützen zu können, andererseits aber nicht die Privatsphäre zu verletzen. Aus diesen Gründen wird bei bestehenden Lösungsansätzen versucht, die Daten jeder einzelnen Person, die dem Datenschutz unterliegen, vor dem Zugriff von nichtautorisierten Benutzern zu bewahren.Therefore, efforts have been made on the one hand to be able to benefit from the availability of as many data records as possible on the other hand, but not to infringe privacy. For these reasons, existing solutions attempt to protect the data of each individual subject to privacy from unauthorized users.

Bestehende Systeme bieten jedoch keinen ausreichenden Schutz gegen eine Rückverfolgung von Daten durch Vergleich und unterbinden somit nicht die Möglichkeit, einen Rückschluss auf die Identität der Standardinstanz durch Vergleich der Nutzdaten, z.B. der Krankengeschichte eines Patienten, vorzunehmen.However, existing systems do not provide sufficient protection against data traceability by comparison and thus do not prevent the possibility of inferring the identity of the default instance by comparing the payload data, e.g. the history of a patient.

Bei bestehenden Datenverarbeitungssystemen wird diese Zuordnung beispielsweise im System zentral durch einen Zugangskode geschützt bzw. erfolgt unter Verwendung einer Liste. Wer sich somit über diesen zentralen Zugangskode Zutritt zu den Daten verschaffen kann, dem stehen die Gesamtheit oder große Teile aller Datenbestände zur Verfügung. Dies bereitet nicht nur Probleme bei einem zentralen Hacker-Angriff auf das System, sondern wirft ganz generell die Frage auf, wer die Kontrolle über die Datenbestände im System hat und ob nicht die Gefahr der unautorisierten Datenweitergabe durch die Systemoperatoren eintreten kann.In existing data processing systems, this assignment is protected, for example in the system centrally by an access code or is done using a list. Anyone who can gain access to the data via this central access code can use the entirety or large parts of all data. Not only does this create problems with a central hacker attack on the system, it also generally raises the question of who has control over the data in the system and whether there is a risk of unauthorized data passing through the system operators.

In der WO 2003/034294 A2 ist ein System zur Verarbeitung von Patientendaten beschrieben, die personenidentifizierende Daten eines Patienten und zugehörige Gesundheitsdaten umfassen, mit einer Zentralstelle, die eine die Gesundheitsdaten speichernde Datenbank beinhaltet, und mit Endgeräten, die mit der Zentralstelle zum Abrufen von Gesundheitsdaten aus der zentralen Datenbank bzw. zum Einlesen von Gesundheitsdaten in die zentrale Datenbank verbunden sind. Die Gesundheitsdaten sind in der zentralen Datenbank ohne Zuordnung zu Personendaten gespeichert, wobei dem Gesundheitsdatensatz eines Patienten ein Datensatzidentifikationscode zugeordnet und dessen Eingabe zum Abruf des Gesundheitsdatensatzes notwendig ist.WO 2003/034294 A2 describes a system for processing patient data comprising a patient's personal identification data and associated health data, with a central office containing a database storing the health data, and with terminals communicating with the central office for retrieving health data from the central database or for importing health data into the central database. The health data is stored in the central database without assignment to personal data, the health record of a patient being assigned a data record identification code and its entry necessary to retrieve the health record.

Die US 2005/0236474 A1 bezieht sich auf ein Verfahren für die Verarbeitung von Patientengesundheitsinformationen unter Gewährleistung von Vertraulichkeit, um regulatorische Anforderungen zu erfüllen. Die Sicherheit des verwendeten Systems basiert auf einem zentralen Service, realisiert über eine zentrale Tabelle, auf welche mittels eines rollenbasierten Anmeldemodells zugegriffen werden kann.US 2005/0236474 A1 relates to a method for processing patient health information while ensuring confidentiality to meet regulatory requirements. The security of the system used is based on a central service, realized via a central table, which can be accessed by means of a role-based login model.

Die Gemeinsamkeit der in der WO 2003/034294 A2 sowie der US 2005/0236474 A1 geoffen- 3 AT 503 291 B1 barten Verfahren besteht darin, daß beide Systeme darauf beruhen, daß eine zentrale Stelle vorhanden ist, welche die Assoziationen zwischen Identifikations- und Nutzdaten hält. In der WO 2003/034294 A2 werden die Datenidentifikationscodes als Sicherungsmöglichkeit auf einem zentralen Pseudonymisierungsrechner gespeichert, um im Falle des Verlusts der originalen Datenidentifikationscodes eine Wiederherstellung ebendieser zu ermöglichen, während in der US 2005/0236474 A1 eine zentrale Tabelle, nicht nur zur Absicherung, sondern standardmäßig zur Reidentifikation benutzt wird. Das Vorhandensein der zentralen Tabelle stellt eine Schwachstelle hinsichtlich der Datensicherheit dar.The commonality of the methods disclosed in WO 2003/034294 A2 and US 2005/0236474 A1 consists in the fact that both systems are based on the fact that a central point is present which determines the associations between identification data and user data holds. In WO 2003/034294 A2, the data identification codes are stored as a backup option on a central pseudonymization computer, in order to enable recovery of the same in the case of loss of the original data identification codes, while in US 2005/0236474 A1 a central table, not only for protection, but is used by default for reidentification. The presence of the central table is a weak point in terms of data security.

Das in der DE 19925910 A1 offenbarte System geht nicht von der Ver- und Entschlüsselung der Daten auf Seiten des zentralen Servers selbst oder einer Leitungsverschlüsselung aus, sondern sieht vor, daß dies ausschließlich auf dem Computer beim Anwender (Client) erfolgt. Dabei werden die Daten selbst vollständig oder partiell verschlüsselt. Die zugrunde liegende öffentliche Schlüsselinfrastruktur in der DE 19925910 A1 dient ausschließlich zum Ver- und Entschlüsseln der Daten, und kann daher nicht für ein Autorisierungskonzept verwendet werden.The system disclosed in DE 19925910 A1 does not start from the encryption and decryption of the data on the part of the central server itself or a line encryption, but provides that this is done exclusively on the computer at the user (client). The data itself is completely or partially encrypted. The underlying public key infrastructure in DE 19925910 A1 is used exclusively for encrypting and decrypting the data, and therefore can not be used for an authorization concept.

Die US 2003/0074564 A1 beschreibt ein Verschlüsselungssystem für den Zugriff auf medizinische Akten, das kein Autorisierungsverfahren beinhaltet. Gesundheitsdienstleister können daher Daten nur editieren oder hinzufügen, wenn der Patient selbst vor Ort ist und sein nur ihm bekanntes Passwort eingibt. Weiters kann eine Person, welche über den notwendigen Identifikationscode, der laut Verfahrensbeschreibung auf einer Karte aufgebracht ist, verfügt, die Daten des Patienten einsehen.US 2003/0074564 A1 describes an encryption system for accessing medical files which does not include an authorization procedure. Healthcare providers can therefore only edit or add data when the patient is on-site and enters his only known password. Furthermore, a person who has the necessary identification code, which according to the method description is applied to a card, can view the data of the patient.

Aufgabe der Erfindung ist es daher, ein Datenverarbeitungssystem der eingangs genannten Art zu schaffen, bei welchem erhöhte Sicherheit gegen Datenmißbrauch gegeben ist, dennoch aber bei Bedarf die Zuordnung von Personenidentifikationsdaten und Nutzdaten über längere Zeiträume möglich ist.The object of the invention is therefore to provide a data processing system of the type mentioned, in which increased security against data abuse is given, but if necessary, the assignment of personal identification data and user data over longer periods is possible.

Weitere Aufgabe der Erfindung ist es, ein Datenverarbeitungssystem anzugeben, welches die Möglichkeit eines Zugriffes auf Nutzdaten eines Objekts ermöglicht, ohne die Objektidentifikationsdaten dieses Objekts preiszugeben.Another object of the invention is to provide a data processing system which allows the possibility of access to user data of an object, without revealing the object identification data of this object.

Erfindungsgemäß wird dies dadurch erreicht, - daß die Objektidentifikationsdaten und die Nutzdaten in der Objektdaten-Datenbank voneinander getrennt speicherbar und abrufbar sind, sodaß allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten und den Nutzdaten ableitbar ist, - daß zumindest eine Eingabevorrichtung vorgesehen ist, welche bei Eingabe eines von für die Standard-Instanzen vergebenen Sicherheitsschlüssel den Zugriff auf die Objektidentifikationsdaten der zugeordneten Standard-Instanz und auf die zugehörigen Nutzdaten ermöglicht, - daß gegebenenfalls für jede der Standard-Instanzen eine oder mehrere zugeordnete Wiedergewinnungs-Instanzen außerhalb der Objektdaten-Datenbank definiert sind, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann, und - daß der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz verbleibt und gegebenenfalls zusätzlich bei der Wiedergewinnungs-Instanz und/oder bei weiteren von der Standard-Instanz bestimmten Instanzen verbleibt oder von diesen auf ihn zugegriffen werden kann.According to the invention this is achieved by: - that the object identification data and the user data in the object data database can be stored and retrieved separately from each other so that no connection between the object identification data and the user data can be derived from the stored data records alone, - at least one input device is provided, which, when entering a security key assigned for the standard instances, allows access to the object identification data of the assigned standard instance and to the associated user data, that optionally one or more assigned recovery instances outside of the object data database for each of the standard instances are defined, which can be generated again upon loss of the security key, and - that the security key or a part thereof remains with the standard instance and possibly additionally in the recovery I ntanz and / or at other determined by the standard instance instances or can be accessed from these.

Im erfindungsgemäßen Verfahren werden die benutzten Sicherheitsschlüssel, welche zur Wiederherstellung der Assoziationen eingesetzt werden, dezentral auf die Systemoperatoren zur Absicherung bei Verlust der Sicherheitsschlüssel, welche auf der Karte gehalten werden, aufgeteilt und daher nicht zentral gespeichert. Es existiert daher weder ein zentrales Service noch eine zentrale Tabelle, mittels welcher ein Reidentifikationsablauf ausgeführt werden kann. Ein weiterer Unterschied z.B. zum Verfahren gemäß WO 03/034294 A2 besteht darin, daß mittels des erfindungsgemäßen Verfahrens ein mehrstufiges Berechtigungskonzept etabliert wird. 4 AT 503 291 B1In the method according to the invention, the security keys used, which are used for restoring the associations, are distributed decentrally to the system operators for protection in the event of loss of the security keys which are held on the card and are therefore not stored centrally. There is therefore neither a central service nor a central table by means of which a reidentification procedure can be executed. Another difference e.g. to the method according to WO 03/034294 A2 is that a multi-level authorization concept is established by means of the method according to the invention. 4 AT 503 291 B1

Im Gegensatz zu den bekannten Verfahren wird beim erfindungsgemäßen Verfahren die Privatsphäre der Patienten dahingehend geschützt, daß die Assoziation zwischen den Identifikationsund den Nutzdaten verschleiert wird.In contrast to the known methods, in the method according to the invention the privacy of the patients is protected in such a way that the association between the identification and the payload data is obscured.

Der Sicherheitsschlüssel kann aus verschiedenen Teilschlüsseln zusammengesetzt und in sich verschlüsselt sein. Ein Teil-Sicherheitsschlüssel kann dabei einen anderen Teil-Sicherheitsschlüssel entschlüsseln, welcher seinerseits weiteren Instanzen oder der bzw. den Wiedergewinnungs-Instanzen zugänglich gemacht ist. Damit ist der Schutz der Daten gewährleistet und bei Verlust des Sicherheitsschlüssels kann die Berechtigung zum Datenzugriff für die Standard-Instanz wiederhergestellt werden.The security key can be composed of different subkeys and encrypted in itself. A partial security key can decrypt a different partial security key, which in turn is made available to further instances or to the or the recovery instances. This ensures the protection of the data and, if the security key is lost, the data access authorization for the default instance can be restored.

Es sind somit zwei getrennte Datengruppen vorgesehen, nämlich die Objektidentifikationsdaten und die Nutzdaten, die den Standard-Instanzen zugeordnet sind. Letztere Nutzdaten einer bestimmten Standard-Instanz können mit den Objektidentifikationsdaten derselben nur in Verbindung gebracht werden, wenn der für die jeweilige Standard-Instanz vergebene Sicherheitsschlüssel zur Anwendung gebracht wird.Thus, two separate data groups are provided, namely the object identification data and the payload data associated with the standard instances. The latter user data of a particular standard instance can only be associated with the object identification data of the same if the security key assigned for the respective standard instance is used.

Auf diese Weise sind die Daten jeder Standard-Instanz durch einen individuellen Sicherheitsschlüssel geschützt, der vorzugsweise in Teilen dezentral bei der Standard-Instanz selbst und bei der bzw. den Wiedergewinnungs-Instanzen oder anderen Instanzen verbleibt und nicht zentral abgefragt werden kann bzw. nur unter Bekanntgabe eines Sicherheitsschlüssel. Im Falle eines Verlustes oder einer Zerstörung des Sicherheitsschlüssels durch die Standard-Instanz kann der Zugriff auf die Objektdaten der Standard-Instanz z.B. über die Wiedergewinnungs-Instanzen geschehen.In this way, the data of each standard instance is protected by an individual security key, which preferably remains in parts decentrally with the standard instance itself and with the recovery instances or other instances and can not be polled centrally or only under Announcement of a security key. In the event of loss or destruction of the security key by the default instance, access to the object data of the standard instance may be e.g. via the recovery instances.

Gemäß einer Ausführungsform der Erfindung können mehrere voneinander unabhängige Systemoperator-Instanzen vorhanden sein, aus denen zwei oder mehrere Systemoperator-Instanzen für jeweils eine der Standard-Instanzen als die dieser zugeordneten Wiedergewinnungs-Instanz definiert sind, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) sowie der Standard-Instanz(en) bekannt ist, wobei den zumindest zwei ausgewählten Systemoperator-Instanzen ein gemeinsamer Zugriff auf die Objektdaten und die zugehörigen Nutzdaten für die jeweilige Standard-Instanz möglich ist.According to one embodiment of the invention, there may be a plurality of independent system operator instances, from which two or more system operator instances are defined for each of the standard instances as the recovery instance associated therewith, without the identity of the selected system operator instances being each other selected system operator instance (s) and the standard instance (s) is known, wherein the at least two selected system operator instances a common access to the object data and the associated user data for each standard instance is possible.

Die ausgewählten Systemoperator-Instanzen sind z.B. nach einem Zufallsprinzip so ausgewählt, daß sie voneinander unabhängig, vorzugsweise räumlich getrennt sind und nicht voneinander wissen, wer für welche Standard-Instanz einen der Teilschlüssel verwahrt, die gemeinsam mit dem oder den anderen Teilschlüsseln einen Zugriff auf die Objektdaten und Nutzdaten der zugeordneten Standard-Instanz erlauben, sodaß auf diese Weise ein neuer Sicherheitsschlüssel für die betroffene Standard-Instanz generiert und wieder vergeben werden kann.The selected system operator instances are e.g. randomly selected so that they are independent of each other, preferably spatially separated and do not know each other, who for each standard instance preserves one of the subkeys, which together with the other subkeys or access to the object data and payload of the assigned standard Allow instance, so that in this way a new security key for the affected standard instance can be generated and reassigned.

Die Standard-Instanz ist jeweils Inhaberin ihrer Daten und hat die unbeschränkte Berechtigung anderen Instanzen diese Berechtigung zu verleihen. In weiterer Ausbildung der Erfindung können daher weitere Instanzen definiert sein, welche durch die Standard-Instanzen zum vollen oder teilweisen Datenzugriff autorisiert sind.The default instance is the holder of its data and has the unlimited authority to grant this authority to other instances. In a further embodiment of the invention, therefore, further instances can be defined which are authorized by the standard instances for full or partial data access.

Weiters können gemäß einer Ausführungsform der Erfindung die weiteren Instanzen eine oder mehrere assoziierte Instanzen umfassen, die jeweils durch eine der Standard-Instanzen autorisiert sind und die gleiche Zugriffsberechtigung wie diese aufweisen sowie weitere Instanzen autorisieren können.Further, according to one embodiment of the invention, the further instances may include one or more associated instances, each authorized by one of the standard instances and having the same access authority as these and authorizing further instances.

Eine solche assoziierte Instanz befindet sich in der Hierarchie unmittelbar unterhalb der Standard-Instanz, kann auf alle Daten der Standard-Instanz zugreifen und weiteren Instanzen ebenfalls diese Berechtigung ermöglichen. 5 AT 503 291 B1Such an associated instance is located in the hierarchy immediately below the standard instance, can access all data of the standard instance and also allow other instances this authorization. 5 AT 503 291 B1

Es kann auch vorgesehen sein, daß in einer weiteren Ausführungsform der Erfindung die weiteren Instanzen eine oder mehrere autorisierte Instanzen umfassen, die jeweils durch eine der Standard-Instanzen autorisiert sind, auf vorbestimmte Einträge, die der jeweiligen Standard-Instanz zugeordnet sind, z.B. bestimmte Patienten- oder Gesundheitsdaten, in der Objektdaten-Datenbank zuzugreifen.It may also be contemplated that in a further embodiment of the invention, the further entities include one or more authorized entities, each authorized by one of the standard entities, for predetermined entries associated with the respective standard entity, e.g. certain patient or health data to access the object data database.

Die weiteren Instanzen eine oder mehrere autorisierte Instanzen umfassen, die jeweils durch eine der Standard-Instanzen autorisiert sind, auf vorbestimmte Einträge in der Objektdaten-Datenbank zuzugreifen. Die autorisierte Instanz kann sowohl von der Standard-Instanz als auch von der assoziierten Instanz zum eingeschränkten Zugriff berechtigt werden.The further instances comprise one or more authorized entities, each authorized by one of the standard entities, to access predetermined entries in the object data database. The authorized instance can be authorized by both the default instance and the associated instance for restricted access.

Zum Zweck der Auswertung von Nutzdaten ohne Berechtigung zum Zugriff auf Objektidentifikationsdaten können die weiteren Instanzen eine oder mehrere Forschungs-Instanzen umfassen. Die Forschungs-Instanzen können daher nur Nutzdaten einsehen.For the purpose of evaluating user data without authorization to access object identification data, the further instances may include one or more research instances. The research instances can therefore only view user data.

Um Einträge von Nutzdaten in der Objektdaten-Datenbank für eine bestimmte Standard-Instanz abrufen zu können, kann jedem Eintrag mit Nutzdaten in der Objektdaten-Datenbank eine eindeutige Nutzdaten-Identifikation zugeordnet sein. Für die Aufbewahrung jenes Teils des Sicherheitsschlüssels einer bestimmten Standard-Instanz, der bei dieser verbleibt, bestehen verschiedenste Möglichkeiten.In order to be able to retrieve entries of user data in the object data database for a specific standard instance, each entry with user data in the object data database can be assigned a unique user data identification. For the storage of that part of the security key of a certain standard instance, which remains with this, there are various possibilities.

Gemäß einer bevorzugten Ausführungsform der Erfindung kann der Sicherheitsschlüssel oder Teile davon auf einem Sicherheitstoken gespeichert sein, z.B. auf einer Smartcard, welche über einen PIN-Kode verfügt. Damit kann auch ein langer Sicherheitsschlüssel für den Anwender bequem eingegeben werden. Die Standard-Instanz meldet sich dabei über das Einziehen der Smartcard und Eingeben des PIN-Kodes im jeweiligen System an und kann auf diese Weise den auf der Smartcard gespeicherten Sicherheitsschlüssel bekanntgeben.According to a preferred embodiment of the invention, the security key or parts thereof may be stored on a security token, e.g. on a smartcard that has a PIN code. This also allows a long security key to be conveniently entered for the user. The standard instance logs on by pulling in the smart card and entering the PIN code in each system and can announce in this way the security key stored on the smart card.

Der Sicherheitsschlüssel verbleibt bei der Standard-Instanz und ist nicht zentral einsehbar.The security key remains with the standard instance and can not be centrally viewed.

In weiterer Ausbildung der Erfindung kann die Objektdaten-Datenbank durch zwei separate Datenbanken gebildet sein, wobei in der einen Datenbank Objektidentifikationsdaten und in der anderen Datenbank Nutzdaten gespeichert sind. Durch die diese räumliche Trennung der Datensätze des erfindungsgemäßen System wird eine erhöhte Sicherheit erreicht.In a further embodiment of the invention, the object data database can be formed by two separate databases, wherein in one database object identification data and in the other database user data are stored. By this spatial separation of the data sets of the system according to the invention increased security is achieved.

Das Anwendungsgebiet der Erfindung ist hinsichtlich der Art der Objektdaten in keiner Weise eingeschränkt. Eine mögliche Anwendung besteht aber darin, daß die Objektdaten-Datenbank eine Personendaten-Datenbank ist und die Objektidentifikationsdaten Personendaten, insbesondere Patientendaten sind.The field of application of the invention is in no way limited in the nature of the object data. One possible application, however, is that the object data database is a personal data database and the object identification data is personal data, in particular patient data.

Wie bereits erwähnt, kann der Sicherheitsschlüssel zwei- oder mehrteilig ausgebildet sein, sodaß ein äußerer Schlüssel bei der Standard-Instanz verbleibt und über diesen auf einen nächstinneren Schlüssel zugegriffen bzw. dieser durch Entschlüsselung zugänglich gemacht werden kann. Dieser nächstinnere Schlüssel kann wiederum auf den seinerseits nächstinneren Schlüssel zugreifen, usw. Dies hat den Vorteil, daß bei Verlust des äußeren Schlüssels durch die Standard-Instanz eine weitere Instanz berechtigt sein kann, auf den nächstinneren Schlüssel zuzugreifen bzw. diesen durch Entschlüsselung zugänglich zu machen. Der Datenzugriff wird durch Entschlüsselung bis zur innersten Schale oder Schicht ermöglicht, wonach wieder ein neuer äußerer Schlüssel gebildet werden kann, welcher der betroffenen Instanz zur Verfügung gestellt wird.As already mentioned, the security key can be designed in two or more parts, so that an outer key remains with the standard instance and can be used to access this via a next inner key or to make it accessible by decryption. This next inner key can in turn access the next inner key, etc. This has the advantage that if the outer key is lost by the standard instance, another instance may be authorized to access the next inner key or make it accessible by decryption , The data access is made possible by decryption to the innermost shell or layer, after which again a new external key can be formed, which is made available to the affected entity.

Eine Ausführungsform der Erfindung kann darin bestehen, daß der Sicherheitsschlüssel jeder der Standard-Instanzen aus einem oder mehreren inneren und einem oder mehreren äußeren Schlüssel sowie einem Schlüssel für den jeweiligen Nutzdaten-Datensatz gebildet ist, wobei die 6 AT 503 291 B1An embodiment of the invention may consist in that the security key of each of the standard instances is formed from one or more inner and one or more outer keys and a key for the respective payload data record, the AT 503 291 B1

Nutzdaten und die Objektidentifikationsdaten der jeweiligen Standard-Instanz optional mit dem inneren Schlüssel verschlüsselt sind, wobei der äußere Schlüssel jeweils bei den Standard-Instanzen, der innere Schlüssel bei den Wiedergewinnungs-Instanzen und gegebenenfalls den assoziierten Instanzen verbleibt und der innere Schlüssel mit dem zugehörigen äußeren Schlüssel, sowie der innerste Schlüssel für den jeweiligen Nutzdaten-Datensatz mit dem inneren Schlüssel verschlüsselt ist. Die jeweiligen Schlüssel können für alle Instanzen gleich oder aber auch verschieden gewählt werden.User data and the object identification data of the respective standard instance are optionally encrypted with the inner key, wherein the outer key respectively in the standard instances, the inner key in the recovery instances and possibly the associated instances remains and the inner key with the associated outer Key, as well as the innermost key for the respective user data record is encrypted with the inner key. The respective keys can be the same or different for all instances.

Die Erfindung betrifft weiters ein Verfahren zur Verarbeitung von Objektdaten von Standard-Instanzen, welche Objektidentifikationsdaten und zugehörige Nutzdaten umfassen, wobei in einem Speicherschritt die Objektdaten in einer Objektdaten-Datenbank gespeichert und in einem Abfrageschritt aus der Objektdaten-Datenbank auf die Objektdaten zugegriffen wird und diese abgerufen werden.The invention further relates to a method for processing object data from standard instances, which comprise object identification data and associated user data, wherein the object data is stored in an object data database in a storage step and the object data is accessed in a query step from the object data database and these be retrieved.

Aufgabe ist es auch hier, wie eingangs bereits erläutert, ein Verfahren anzugeben, welches erhöhte Datensicherheit und zugleich hohe Datenverwertbarkeit unter Wahrung der Anonymität der Objekte bietet.It is also the task here, as already explained, to provide a method which offers increased data security and at the same time high data usability while maintaining the anonymity of the objects.

Erfindungsgemäß wird dies dadurch erreicht, daß im Speicherschritt die Objektidentifikationsdaten und die Nutzdaten in der Objektdaten-Datenbank voneinander getrennt gespeichert werden, sodaß sie aus der Objektdaten-Datenbank getrennt abgerufen werden können, allein aus den gespeicherten Datensätzen jedoch kein Zusammenhang zwischen den Objektidentifikationsdaten und den Nutzdaten ableitbar ist, - daß in einem Vergabeschritt Sicherheitsschlüssel an jede der Standard-Instanzen vergeben werden, die ein Zugreifen auf die Objektidentifikationsdaten und die zugehörigen Nutzdaten für jede der jeweiligen Standard-Instanzen ermöglichen, wobei gegebenenfalls für jede der Standard-Instanzen eine Wiedergewinnungs-Instanz definiert wird, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann, - daß jede der Standard-Instanzen weiteren Instanzen den vollen oder teilweisen Datenzugriff auf ihre Objektdaten gestatten kann, - und daß in einem Abfrageschritt über eine der Standard-Instanzen oder gegebenenfalls eine Wiedergewinnungs-Instanz und/oder eine der weiteren Instanzen nach Eingabe des Sicherheitsschlüssels oder eines Teils davon auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten zugegriffen wird.According to the invention, this is achieved in that the object identification data and the payload data are stored separately in the object data database so that they can be retrieved separately from the object data database, but from the stored data sets no connection between the object identification data and the user data derivable, - that in an award step, security keys are assigned to each of the standard instances that allow access to the object identification data and associated payload data for each of the respective standard instances, optionally defining a recovery instance for each of the default instances will, over which in case of loss of the security key this can be generated again, - that each of the standard instances of other instances may allow full or partial data access to their object data, - and that in a query step The object identification data in conjunction with the associated user data is accessed via one of the standard instances or, if appropriate, a recovery instance and / or one of the further instances after entering the security key or a part thereof.

Allein über den Sicherheitsschlüssel ist die Zuordnung der getrennten Objektidentifikationsdaten und der Nutzdaten möglich. Dabei verbleibt der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz und kann bei Verlust oder Zerstörung über die Wiedergewinnungs-Instanz wiederhergestellt werden, um zu verhindern, daß die Zuordnung der Identifikationsdaten und Nutzdaten der Standard-Instanz für immer verloren sind. Da der Sicherheitsschlüssel bei der jeweiligen Standard-Instanz verbleibt, sind die für den Datenzugriff erforderlichen Schlüssel nicht zentral abrufbar und daher vor einer nicht-autorisierten Verwendung geschützt.The assignment of the separate object identification data and the user data is possible solely via the security key. The security key or part thereof remains with the default instance and can be restored via the recovery instance in the event of loss or destruction in order to prevent the assignment of the identification data and user data of the standard instance being lost forever. Since the security key remains with the respective default instance, the keys required for the data access are not centrally retrievable and therefore protected against unauthorized use.

Auf welche Weise der Sicherheitsschlüssel aufbewahrt und verwaltet wird, bleibt dem Anwender überlassen. Es hat sich aber bewährt, zumindest einen Teil des Sicherheitsschlüssels durch eine Verschlüsselung im System zu hinterlegen, wobei auch die Wiedergewinnungs-Instanz eine solche Verschlüsselung vornehmen, damit sie den Sicherheitsschlüssel bei Bedarf zumindest teilweise generieren kann.How the security key is stored and managed is up to the user. However, it has proven useful to deposit at least part of the security key by means of encryption in the system, whereby the recovery authority also undertakes such encryption so that it can at least partially generate the security key when required.

Eine Möglichkeit, eine Wiedergewinnungs-Instanz auszubilden, besteht darin, daß für jede Standard-Instanz zwei oder mehrere Systemoperator-Instanzen aus mehreren, voneinander unabhängigen Systemoperator-Instanzen ausgewählt werden, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) bekannt ist, daß der Sicherheitsschlüssel der jeweiligen Standard-Instanz auch an 7 AT 503 291 B1 die zwei oder mehreren, ausgewählten Systemoperator-Instanzen vergeben wird, sowie den zumindest zwei ausgewählten Systemoperator-Instanzen für den gemeinsamen Zugriff zur Verfügung steht, und gegebenenfalls im Abfrageschritt über die zwei oder mehreren System-operator-lnstanzen nach gemeinsamer Eingabe des Sicherheitsschlüssels auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten zugegriffen wird. Um die Sicherheit weiter zu verbessern, ist es möglich, dass die ausgewählten Systemoperator-Instanz(en) räumlich getrennt voneinander tätig sind.One way to create a recovery instance is to have two or more system operator instances selected from multiple, independent system operator instances for each standard instance, without the identity of the other selected system operator instances being selected by the selected system operator instances. Instance (s) is known that the security key of the respective standard instance is also at 7 AT 503 291 B1, the two or more, selected system operator instances is awarded, as well as at least two selected system operator instances for shared access is available, and, optionally, in the query step, accessing the object identification data in conjunction with the associated payload data via the two or more system operator instances upon the common entry of the security key. To further enhance security, it is possible for the selected system operator instance (s) to be spatially separate.

Die nach dem Zufallsprinzip bestimmten, zumindest zwei Systemoperator-Instanzen besitzen jeweils z.B. über einen Sicherheitsschlüssel die Möglichkeit, gemeinsam auf den inneren Teil eines Sicherheitsschlüssels einer Standard-Instanz zuzugreifen, um die Objektidentifikationsdaten und die Nutzdaten derselben abzufragen. Im Bedarfsfall können die ausgewählten Systemoperator-Instanzen über diese Zugriffsberechtigung auch die Vergabe eines neuen äußeren Teils des Sicherheitsschlüssels veranlassen, damit ein verloren gegangener Sicherheitsschlüssel auf diese Weise ersetzt werden kann.The randomly determined, at least two system operator instances each have e.g. via a security key, the possibility of jointly accessing the inner part of a security key of a standard instance in order to query the object identification data and the user data of the same. If required, the selected system operator instances can also use this access authorization to trigger the assignment of a new outer part of the security key so that a lost security key can be replaced in this way.

Gemäß einer weiteren Ausführungsform der Erfindung kann weiters vorgesehen sein, daß zur Erstellung des Sicherheitsschlüssels von einer Logik für die Zuordnung von Objektidentifikationsdaten und Nutzdaten einer bestimmten Standard-Instanz ein innerer Schlüssel der jeweiligen Standard-Instanz generiert wird und an diese Standard-Instanz sowie an die zumindest zwei ausgewählten Systemoperator-Instanzen weitergeleitet wird, und daß der innere Schlüssel von dieser Standard-Instanz und von den Systemoperator-Instanzen mit jeweils einem äußeren Schlüssel verschlüsselt an die Objektdaten-Datenbank zurückgesendet und dort abgelegt wird.According to a further embodiment of the invention may further be provided that for generating the security key of a logic for the assignment of object identification data and payload of a particular standard instance, an inner key of the respective standard instance is generated and sent to this standard instance and to the at least two selected system operator instances are forwarded, and that the inner key from this standard instance and from the system operator instances, each with an outer key, is encrypted and sent back to the object data database.

Damit kann nur die Standard-Instanz oder die zumindest zwei Systemoperator-Instanzen zusammen über ihren privaten äußeren Schlüssel auf den inneren Schlüssel zugreifen, der wiederum die Entschlüsselung des Zusammenhanges zwischen Objektidentifikationsdaten und Nutzdaten der betreffenden Standard-Instanz ermöglicht. Die Systemoperator-Instanzen, die idealerweise keine Kenntnis ihrer gegenseitigen Berechtigungen haben, können bei einer Anfrage nur feststellen, daß sie zusammen mit einer oder mehreren anderen Systemoperator-Instanzen dazu ausgewählt sind, für eine ihnen unbekannte Standard-Instanz den inneren Schlüssel durch Eingabe ihres privaten äußeren Schlüssels zu entschlüsseln und damit den Zugang zu den Objektidentifikationsdaten und den Nutzdaten für diese Standard-Instanz zu ermöglichen.In this way, only the standard instance or the at least two system operator instances can access the inner key together via their private outer key, which in turn enables the decryption of the relationship between object identification data and user data of the relevant standard instance. The system operator instances, which ideally have no knowledge of each other's permissions, can only discover in a request that they are selected along with one or more other system operator instances to enter the internal key for a standard instance unknown to them by entering their private to decrypt the outer key and thus allow access to the object identification data and the payload for this standard instance.

Nachfolgend wird die Erfindung anhand der in den Zeichnungen dargestellten Ausführungsbeispiele eingehend erläutert. Es zeigt dabeiThe invention will be explained in detail with reference to the embodiments illustrated in the drawings. It shows

Fig. 1 ein Blockschaltbild einer Ausführungsform des erfindungsgemäßen Datenverarbeitungssystems;Fig. 1 is a block diagram of an embodiment of the data processing system according to the invention;

Fig. 2 ein Blockschaltbild einer weiteren Ausführungsform des erfindungsgemäßen Datenverarbeitungssystems;Fig. 2 is a block diagram of another embodiment of the data processing system according to the invention;

Fig. 3 eine schematische Darstellung eines Zugriffs-Schichtenmodells in Zusammenhang mit dem Aufbau eines Sicherheitsschlüssels;3 shows a schematic representation of an access layer model in connection with the structure of a security key;

Fig. 4 den schematischen Ablauf zur Vergabe eines Sicherheitsschlüssels gemäß einer Ausführungsform des erfindungsgemäßen Verfahrens;4 shows the schematic sequence for assigning a security key according to an embodiment of the method according to the invention;

Fig. 5 den schematischen Ablauf zur Herausgabe eines vorhandenen Sicherheitsschlüssels an eine bestehende Instanz gemäß einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens;5 shows the schematic sequence for issuing an existing security key to an existing entity according to a further embodiment of the method according to the invention;

Fig. 6 den schematischen Ablauf zum Hinzufügen neuer Nutzdaten gemäß einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens;6 shows the schematic sequence for adding new user data according to a further embodiment of the method according to the invention;

Fig. 7 den schematischen Ablauf zum Lesen vorhandener Nutzdaten gemäß einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens;7 shows the schematic sequence for reading existing user data according to a further embodiment of the method according to the invention;

Fig. 8 den schematischen Ablauf zum Hinzufügen einer Assoziierten Instanz und Fig. 9 den schematischen Ablauf zum Hinzufügen einer Autorisierten Instanz 8 AT 503 291 B18 shows the schematic procedure for adding an associated instance, and FIG. 9 shows the schematic procedure for adding an authorized instance 8 AT 503 291 B1

Fig. 1 zeigt ein Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Standard-Instanz 101, welche stellvertretend für eine Person, ein System, einen Dateninhaber od. dgl. dargestellt ist. In dem in Fig. 1 gezeigten Beispiel stellt die Standard-Instanz 101 als Objektdaten Personendaten bereit oder entnimmt diese einer als Personendaten-Datenbank 20 betriebenen Objektdaten-Datenbank, in welcher die Personendaten über Zugriffseinrichtungen 70 speicherbar oder abrufbar sind. In der Personendaten-Datenbank 20 können Daten von einer Vielzahl von Standard-Instanzen abgelegt sein.FIG. 1 shows a data processing system for processing object data of a standard instance 101, which is represented on behalf of a person, a system, a data owner or the like. In the example shown in FIG. 1, the standard instance 101 provides personal data as object data or extracts it from an object data database operated as a personal data database 20, in which the personal data can be stored or retrieved via access devices 70. In the personal data database 20, data may be stored by a plurality of standard instances.

Die in weiterer Folge als Beispiel dienende Verarbeitung von Patientendaten ist nicht als einschränkend zu verstehen, vielmehr können im Rahmen der Erfindung auch andere Arten von Daten, beispielsweise Dokumente in einem Unternehmen, bearbeitet werden, nicht nur die von Patienten.The processing of patient data which will be described below as an example is not intended to be restrictive; rather, within the scope of the invention, other types of data, for example documents in a company, can be processed, not just those of patients.

Die Personendaten umfassen Objektidentifizierungsdaten, nämlich Personenidentifikationsdaten 100 und zugehörige Nutzdaten 110, wobei die Personenidentifikationsdaten Daten beinhalten, die eine Person, z.B. einen Patienten identifizieren, also etwa Sozialversicherungsnummer, Name, Geburtsdatum, Wohnort, Staatsbürgerschaft usw.The personal data includes object identification data, namely, personal identification data 100 and associated payload data 110, the personal identification data including data representing a person, e.g. identify a patient, such as social security number, name, date of birth, place of residence, citizenship, etc.

Getrennt von diesen Personenidentifikationsdaten sind die Nutzdaten 110 gespeichert, welche verschiedene Einträge und aufgezeichnete Anamnese Daten umfassen können, z.B. Röntgenaufnahmen, Mammographie-Daten, NMR-Daten, die für Diagnosen benötigt und eine bestimmte Zeit gespeichert werden können oder müssen.Separated from this personal identification data is the user data 110, which may include various entries and recorded history data, e.g. X-rays, mammography data, NMR data needed for diagnoses and which can or must be stored for a certain period of time.

Die Zugriffseinrichtungen sind in Fig. 1 als zentrale Logik 70 dargestellt, die eine Vielzahl von Eingabe- und Ausgabevorrichtungen und eine Steuereinrichtung beinhaltet und eine Schnittstelle zwischen der Personendaten-Datenbank 20 und Instanzen 101, 60, 50 und 40 darstellt, die Personendaten speichern oder abfragen.The access devices are illustrated in Figure 1 as central logic 70, which includes a plurality of input and output devices and a controller, and interfaces between the personal data database 20 and instances 101, 60, 50, and 40 that store or retrieve personal data ,

Erfindungsgemäß sind die Personenidentifikationsdaten 100 und die Nutzdaten 110 in der Personendaten-Datenbank 20 voneinander getrennt speicherbar und abrufbar, sodaß allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten und den Nutzdaten ableitbar ist. Dies kann durch die Zugriffssteuerung (logisch) sowie durch räumlich getrenntes (physikalisch) Vorsehen von zwei Datenbanken geschehen.According to the invention, the personal identification data 100 and the user data 110 in the personal data database 20 can be stored and retrieved separately from each other, so that no relationship between the object identification data and the user data alone can be derived from the stored data records. This can be done by access control (logical) as well as spatially separated (physically) provision of two databases.

Der Zugriff auf Personenidentifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 ist nur nach Eingabe eines Sicherheitsschlüssels gestattet, der für die jeweilige Standard-Instanz 101 vergeben ist, welche durch die Personenidentifikationsdaten 100 identifiziert ist. Wenn für eine Standard-Instanz 101 z.B. im Rahmen einer Untersuchung Daten aufgezeichnet werden, so erhält die Standard-Instanz 101 vom erfindungsgemäßen Datenverarbeitungssystem einen für diese Standard-Instanz 101 vergebenen Sicherheitsschlüssel, welcher ganz oder teilweise auf einem Sicherheits-Token gespeichert ist, z.B. auf einer Smartcard mit PIN-Kode od. dgl.Access to personal identification data 100 in conjunction with the associated user data 110 is permitted only after entry of a security key assigned for the respective standard entity 101 identified by the personal identification data 100. If, for a standard instance 101, e.g. If data are recorded in the context of an examination, the standard entity 101 receives from the data processing system according to the invention a security key assigned for this standard entity 101 which is stored wholly or partly on a security token, e.g. on a smartcard with PIN code or the like.

Somit kann die Standard-Instanz 101 unter Eingabe des Sicherheitsschlüssels auf die eigenen Nutzdaten 110 zugreifen, während andere Standard-Instanzen vom Zugriff ausgeschlossen sind. Damit ist sichergestellt, daß die gespeicherten Nutzdaten 110, z.B. Krankengeschichten, durch Außenstehende nicht mit einer konkreten Standard-Instanz 101 in Zusammenhang gebracht werden können.Thus, the default instance 101 can access its own user data 110 while entering the security key, while other standard instances are excluded from access. This ensures that the stored payload data 110, e.g. Case histories, by outsiders can not be associated with a specific standard instance 101.

Wie erwähnt können weitere Instanzen im erfindungsgemäßen Datenverarbeitungssystem zugelassen werden, denen andere Berechtigungen ermöglicht werden. So kann z.B. eine Forschungs-Instanz 40 vorgesehen sein, die zum Zwecke der Analyse ausschließlich Zugriff auf die Nutzdaten 110 hat. Dadurch kann in sinnvoller Weise auf die Nutzdaten 110 zugegriffen werden und diese für statistische Untersuchungen und Studien, z.B. zur Verbesserung der medizinischen Behandlung oder zu Diagnosezwecken, Verwendung finden ohne die Identität 9 AT 503 291 B1 der Patienten preisgeben zu müssen. Durch die vollkommene Trennung der Personenidentifikationsdaten 100 und der Objektdaten 110 können Rückschlüsse aus den Nutzdaten 110 auf die Personenidentifikationsdaten 100 verhindert werden und die Anonymität der Standard-Instanzen bleibt gewahrt.As mentioned, other instances can be allowed in the data processing system according to the invention, which are allowed other permissions. Thus, e.g. a research entity 40 may be provided which has exclusive access to the payload 110 for the purpose of the analysis. Thereby, the useful data 110 can be accessed in a meaningful manner and used for statistical studies and studies, e.g. To improve the medical treatment or for diagnostic purposes, find use without having to reveal the patient's identity. Due to the complete separation of the personal identification data 100 and the object data 110, inferences from the user data 110 to the personal identification data 100 can be prevented and the anonymity of the standard instances is maintained.

Es kann Vorkommen, daß die Standard-Instanz 101 ihr Sicherheits-Token mit dem darauf abgelegten Sicherheitsschlüssel verliert oder zerstört. Um zu verhindern, daß die gespeicherten Nutzdaten 110 der jeweiligen Standard-Instanz 101 unwiederbringlich verlorengehen, weil die Zuordnung der Personendaten der Standard-Instanz 101 zu den Nutzdaten nicht mehr vorhanden wäre, kann für jede der Standard-Instanzen eine bzw. mehrere Wiedergewinnungs-Instanzen außerhalb der Objektdaten-Datenbank 20 definiert werden.It may happen that the default instance 101 loses or destroys its security token with the security key stored thereon. In order to prevent the stored user data 110 of the respective standard instance 101 from being irretrievably lost because the assignment of the personal data of the standard instance 101 to the user data would no longer be present, one or more recovery instances can be created for each of the standard instances be defined outside the object data database 20.

Im Ausführungsbeispiel gemäß Fig. 1 sind als Wiedergewinnungs-Instanz mehrere voneinander unabhängige Systemoperator-Instanzen 30 vorhanden, aus denen jeweils zwei oder mehrere Systemoperator-Instanzen für eine zugeordnete Standard-Instanz auswählbar sind, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) oder der Standard-Instanzen bekannt ist, wobei der an die zugeordnete Standard-Instanz 101 vergebene Sicherheitsschlüssel den zumindest zwei ausgewählten Systemoperator-Instanzen zumindest teilweise zugänglich ist, sodaß ein gemeinsamer Zugriff auf die Personenidentifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 für die zugeordnete Standard-Instanz 101 ermöglicht ist.In the exemplary embodiment according to FIG. 1, there are a plurality of mutually independent system operator instances 30 as a retrieval instance, from which two or more system operator instances can be selected for an assigned standard instance, without the identity of the other selected system operator instances being selected selected system operator instance (s) or the standard instances, wherein the assigned to the associated standard instance 101 security key is at least partially accessible to the at least two selected system operator instances, so that a common access to the personal identification data 100 in conjunction with the associated payload data 110 for the associated standard instance 101 is enabled.

Um die Unabhängigkeit der zumindest zwei Systemoperator-Instanzen sicherzustellen, sind diese für jede Standard-Instanz 101 an unterschiedlichen Orten vorgesehen und es wird ihnen die gegenseitige Zuordnung nicht bekanntgegeben.To ensure the independence of the at least two system operator instances, they are provided for each standard instance 101 in different locations and the mutual association is not disclosed to them.

Wenn einer der ausgewählten Systemoperator-Instanzen das System verlässt, kann der Sicherheitsschlüssel bzw. Teile des Sicherheitsschlüssels der Standard-Instanz 101 vorher erzeugt und an eine andere Systemoperator-Instanz weitergegeben werden.When one of the selected system operator instances leaves the system, the security key (s) of the default instance 101 may be previously created and passed to another system operator instance.

Beim erfindungsgemäßen Verfahren zur Verarbeitung von Objektdaten, hier Personendaten einer Standard-Instanz 101 werden in einem Speicherschritt die Personendaten in der Perso-nendaten-Datenbank 20 gespeichert und in einem Abfrageschritt aus der Personendaten-Datenbank 20 auf die Personendaten zugegriffen.In the method according to the invention for processing object data, here personal data of a standard instance 101, the personal data are stored in the personal data database 20 in a storage step and the personal data are accessed in a query step from the personal data database 20.

Im Speicherschritt werden die Personenidentifikationsdaten 100 und die Nutzdaten 110 in der Personendaten-Datenbank 20 voneinander getrennt gespeichert, sodaß sie aus der Personen-daten-Datenbank 20 getrennt abgerufen werden können. Allein aus den gespeicherten Datensätzen ist jedoch - wie bereits vorstehend erwähnt - kein Zusammenhang zwischen den Personenidentifikationsdaten 100 und den Nutzdaten 110 ableitbar.In the storage step, the personal identification data 100 and the user data 110 are stored separately in the personal data database 20 so that they can be retrieved separately from the personal data database 20. However, as already mentioned above, no connection between the personal identification data 100 and the user data 110 can be derived from the stored data records alone.

Weiters werden im Vergabeschritt Sicherheitsschlüssel an jede der Standard-Instanzen 101 vergeben und für jede Standard-Instanz 101 eine Wiedergewinnungs-Instanz definiert, indem zwei oder mehrere Systemoperator-Instanzen aus mehreren, voneinander unabhängigen Systemoperator-Instanzen 30 ausgewählt werden, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-lnstanz(en) sowie der Standard-Instanz 101 selbst bekannt ist, wobei der Sicherheitsschlüssel der jeweiligen Standard-Instanz 101 zumindest teilweise auch an die zwei oder mehreren, ausgewählten Systemoperator-Instanzen vergeben wird.Furthermore, in the award step, security keys are assigned to each of the standard instances 101, and for each standard instance 101, a recovery instance is defined by selecting two or more system operator instances from a plurality of independent system operator instances 30 without the selected system operator The identity of the other selected system operator instance (s) as well as the standard instance 101 itself is known, the security key of the respective standard entity 101 being allocated, at least in part, to the two or more selected system operator instances.

Das Vorsehen einer Wiedergewinnungs-Instanz ist nicht zwingend erforderlich, schützt aber vor dem völligen Datenverlust für eine Standard-Instanz 101, wenn der zugehörige Sicherheitsschlüssel verloren gehen sollte.The provision of a recovery instance is not mandatory, but protects against the complete loss of data for a standard instance 101 if the associated security key should be lost.

Im Abfrageschritt wird über die Standard-Instanz nach Eingabe des Sicherheitsschlüssels auf 1 0 AT 503 291 B1 die Personen-Identifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 zugegriffen, und gegebenenfalls wird über die zwei oder mehreren Systemoperator-Instanzen nach gemeinsamer Eingabe des Sicherheitsschlüssels auf die Personen-Identifikationsdaten 100 in Verbindung mit den zugehörigen Nutzdaten 110 zugegriffen.In the query step, the personal identification data 100 in conjunction with the associated user data 110 is accessed via the standard instance after input of the security key to 1 0 AT 503 291 B1, and optionally via the two or more system operator instances after entering the security key together the personal identification data 100 is accessed in conjunction with the associated user data 110.

Der Sicherheitsschlüssel oder ein Teil davon verbleibt bei der Standard-Instanz 101 und gegebenenfalls weiteren von der Standard-Instanz 101 autorisierten Instanzen 50, 60 und steht bei dem Einsatz der Systemoperatoren als eine der optionalen Wiedergewinnungs-Instanzen den zumindest zwei ausgewählten Systemoperator-Instanzen 30 für den gemeinsamen Zugriff zur Verfügung.The security key or portion thereof remains with the default instance 101 and optionally other instances 50, 60 authorized by the default instance 101, and when the system operators are deployed as one of the optional recovery instances, the at least two selected system operator instances 30 become available shared access.

In einer Weiterbildung des erfindungsgemäßen Datenverarbeitungssystems können verschiedene Instanzen definiert sein, z.B. eine Standard-Instanz, eine assoziierte Instanz und eine autorisierte Instanz.In a development of the data processing system according to the invention, different instances may be defined, e.g. a default instance, an associated instance, and an authorized instance.

Die Standard-Instanz ist dabei die Inhaberin der Nutzdaten und hat unlimitierte Rechte, anderen Personen oder Instanzen den Zugriff auf die Nutzdaten zu gestatten. Die assoziierte Instanz wird durch die Standard-Instanz autorisiert und hat ebenfalls unbegrenzten Zugriff auf alle Daten der Standard-Instanz sowie die Berechtigung, weitere Instanzen zu autorisieren. Demgegenüber ist die autorisierte Instanz nur berechtigt, auf definierte Einträge der Datenbank 20 zuzugreifen, entsprechend der Autorisierung durch die Standard-Instanz oder die assoziierte Instanz. Weiters kann die assoziierte Instanz als Wiedergewinnungs-Instanz eingesetzt werden.The standard instance is the holder of the user data and has unlimited rights to allow other persons or instances to access the user data. The associated instance is authorized by the default instance and also has unlimited access to all data of the default instance as well as the authority to authorize additional instances. In contrast, the authorized entity is only authorized to access defined entries of the database 20, according to the authorization by the standard entity or the associated entity. Furthermore, the associated instance can be used as a recovery instance.

Im Ausführungsbeispiel gemäß Fig. 2 sind die Systemkomponenten so angeordnet, daß die jeweiligen Instanzen 101, 50, 60 sowie 40 ohne der in Fig. 1 zwischengeschalteten Logik Zugriff auf die Objektdaten-Datenbank 20 hat. Die Logik wird somit dezentral realisiert.In the embodiment according to FIG. 2, the system components are arranged so that the respective instances 101, 50, 60 and 40 have access to the object data database 20 without the logic interposed in FIG. The logic is thus realized decentrally.

Zur Erstellung des Sicherheitsschlüssels wird von der Logik 70 oder der Personendaten-Datenbank 20 für die Zuordnung von Personenidentifikationsdaten 100 und Nutzdaten 110 einer bestimmten Standard-Instanz 101 ein innerer Schlüssel der jeweiligen Standard-Instanz generiert und an diese Standard-Instanz 101 sowie optional an eine oder mehrere Wiedergewinnungs-Instanzen weitergeleitet. Der Sicherheitsschlüssel wird von dieser Standard-Instanz 101 und den Wiedergewinnungs-Instanzen mit jeweils einem äußeren Schlüssel verschlüsselt an die Objektdaten-Datenbank 20 zurückgesendet und dort abgelegt.To generate the security key, an internal key of the respective standard entity is generated by the logic 70 or the personal data database 20 for the assignment of personal identification data 100 and user data 110 of a specific standard entity 101 and sent to this standard entity 101 and optionally to a user or multiple recovery instances forwarded. The security key is encrypted back to the object data database 20 and stored there by this standard instance 101 and the recovery instances, each with an outer key.

Der Sicherheitsschlüssel kann zwei- oder mehrteilig ausgebildet sein, sodaß ein äußerer Schlüssel bei der Standard-Instanz verbleibt und über diesen auf einen nächstinneren Schlüssel zugegriffen bzw. dieser durch Entschlüsselung zugänglich gemacht werden kann. Dieser nächstinnere Schlüssel kann wiederum auf den seinerseits nächstinneren Schlüssel zugreifen, usw. Auf diese Weise können Zugriffsberechtigungen je nach Anzahl der verwendeten Schichten verschiedenartig festgelegt werden.The security key may be formed in two or more parts, so that an outer key remains in the standard instance and can be accessed via this on a next inner key or this can be made accessible by decryption. This next inner key, in turn, can access the key next to it, etc. In this way, access authorizations can be set differently depending on the number of layers used.

Bei Verlust des äußeren Schlüssels durch die Standard-Instanz kann z.B. eine weitere Instanz berechtigt sein kann, auf den nächstinneren Schlüssel zuzugreifen bzw. diesen durch Entschlüsselung zugänglich zu machen. Der Datenzugriff wird durch Entschlüsselung bis zur innersten Schicht ermöglicht, wonach wieder ein neuer äußerer Schlüssel gebildet werden kann, welcher der betroffenen Instanz zur Verfügung gestellt wird.If the outer key is lost by the standard instance, e.g. another entity may be entitled to access the next inner key or to make it accessible by decryption. The data access is made possible by decryption to the innermost layer, after which again a new external key can be formed, which is made available to the affected instance.

Fig. 3 zeigt ein zur Umsetzung der Erfindung verwendbares Zugriffs-Schichtenmodell. Es ist eine äußere Schicht 200 und eine innere Schicht 201 ausgebildet.3 shows an access layer model that can be used to implement the invention. An outer layer 200 and an inner layer 201 are formed.

Die Standard-Instanz 101 gibt den äußeren Schlüssel 90 der äußeren Schicht 200 ein und entschlüsselt damit in der inneren Schicht 201 den inneren Schlüssel Kso'1 der Standard-Instanz 101, der wiederum den Zugriff auf die Nutzdaten CD der Standard-Instanz 101 mit der Nutzdatenidentifikation CID ermöglicht. 1 1 AT 503 291 B1The standard instance 101 enters the outer key 90 of the outer layer 200 and thus decrypts in the inner layer 201 the inner key Kso'1 of the standard instance 101, which in turn accesses the user data CD of the standard instance 101 with the User data identification CID allows. 1 1 AT 503 291 B1

Zugleich verfügt die assoziierte Instanz 60 über einen äußeren Schlüssel 91, der seinen inneren Schlüssel KA(> entschlüsselt, welcher hiermit Zugriff auf den inneren Schlüssel Kso'1 der Standard-Instanz 101 bietet. Ändert die Standard-Instanz 101 ihre inneren Schlüssel kann sie jederzeit einen weiteren Zugriff durch die assoziierte Instanz und die Systemoperator-Instanzen verhindern. Der äußere Schlüssel der Standard-Instanz kann dabei aber beibehalten werden.At the same time, the associated instance 60 has an outer key 91 which decrypts its inner key KA (> which hereby provides access to the inner key Kso'1 of the standard instance 101. If the standard instance 101 changes its internal key, it can prevent further access by the associated instance and the system operator instances at any time, but the outer key of the default instance can be retained.

Die beiden Systemoperator-Instanzen 30 entschlüsseln den inneren Schlüssel Kso'1 der Standard-Instanz 101 mit ihren jeweiligen inneren Schlüsseln Koo'1, der wiederum durch ihre äußeren Schlüssel 93, 94 entschlüsselt wird. Für die autorisierte Instanz 50 liegt nur die Berechtigung für den Zugriff auf bestimmte Datensätze vor, die über den äußeren Schlüssel 92 und den inneren Schlüssel Kao'1 realisiert wird.The two system operator instances 30 decrypt the internal key Kso'1 of the standard instance 101 with their respective internal keys Koo'1, which in turn is decrypted by their external keys 93, 94. For Authorized Instance 50, only the authority to access particular records exists, which is realized through outer key 92 and inner key Kao'1.

Wenn im Rahmen der Erfindung von einem äußeren und einem inneren Schlüssel die Rede ist, so können diese vorzugsweise jeweils aus einem privaten und einem öffentlichen Schlüssel gebildet sein, wodurch die Flexibilität erhöht wird.If in the context of the invention of an outer and an inner key is mentioned, they may preferably each be formed from a private and a public key, whereby the flexibility is increased.

Fig. 4 zeigt den Ablauf im erfindungsgemäßen Datenverarbeitungssystem für das Hinzufügen einer neuen Standard-Instanz 101. Folgende Schritte werden dabei ausgeführt, welche in Fig. 4 schematisch wiedergegeben sind:4 shows the sequence in the data processing system according to the invention for the addition of a new standard instance 101. The following steps are carried out, which are shown schematically in FIG. 4:

Schritt (1): Die neue Standard-Instanz 101 identifiziert sich gegenüber der Logik 70 bzw. einer autorisierten Person.Step (1): The new standard instance 101 identifies itself to the logic 70 or an authorized person.

Schritt (2): Die Personenidentifikationsdaten (SID) der Standard-Instanz 101 werden von der Logik 70 an die Datenbank 20 gesendet.Step (2): The personal identification data (SID) of the standard instance 101 is sent from the logic 70 to the database 20.

Schritt (3): Die Datenbank 20 meldet, daß die angegebene SID unbekannt ist.Step (3): The database 20 reports that the specified SID is unknown.

Schritt (4): Die Logik 70 generiert für die hinzuzufügende Standard-Instanz einen neuen Sicherheits-Schlüssel, der ein Schlüsselpaar aus einem inneren Schlüssel sowie einem äußeren Schlüssel umfasst, und überträgt den privaten inneren Schlüssel Kso'1 verschlüsselt mit dem äußeren öffentlichen Schlüssel Ks der Standard-Instanz 101 zur Datenbank 20.Step (4): The logic 70 generates for the default instance to be added a new security key comprising a key pair of an inner key and an outer key, and transmits the private inner key Kso'1 encrypted with the outer public key Ks the standard instance 101 to the database 20.

Schritt (5): Die Logik 70 überträgt den inneren privaten Schlüssel Kso’1 der Standard-Instanz 101 nacheinander verschlüsselt mit zwei oder mehreren äußeren öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 zur Datenbank 20. Damit steht der innere private Schlüssel Kso'1 der Standard-Instanz 101 den ausgewählten Standard-Instanzen gemeinsam zur Verfügung, wenn diese ihre inneren privaten Schlüssel anwenden, um den inneren privaten Schlüssel Kso'1 der Standard-Instanz 101 zu entschlüsseln.Step (5): The logic 70 transmits the internal private key Kso'1 of the standard instance 101 sequentially encrypted with two or more outside public keys Koo of the system operator instances 30 to the database 20. Thus, the internal private key Kso'1 stands for Default Instance 101 is shared among the selected Standard Instances when they apply their inner private keys to decrypt the Inner Private Key Kso'1 of the Default Instance 101.

Eine zweite Möglichkeit ist, daß der innere private Schlüssel Kso'1 der Standard-Instanz 101 aufgeteilt wird und mit den jeweiligen öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 verschlüsselt in der Datenbank 20 gespeichert wird.A second possibility is that the internal private key Kso'1 of the standard instance 101 is divided and stored encrypted in the database 20 with the respective public keys Koo of the system operator instances 30.

Schritt (6): Die Logik 70 überträgt den inneren öffentlichen Schlüssel Ks0 der Standard-Instanz 101 zur Datenbank 20. Auf diese Weise können Daten der Standard-Instanz 101 mit dem Schlüssel Ks0 verschlüsselt werden.Step (6): The logic 70 transfers the internal public key Ks0 of the standard instance 101 to the database 20. In this way, data of the standard instance 101 can be encrypted with the key Ks0.

Schritt (7): Die Logik 70 überträgt den äußeren öffentlichen Schlüssel Ks der Standard-Instanz 101 zur Datenbank 20.Step (7): The logic 70 transfers the outer public key Ks of the standard instance 101 to the database 20.

Schritt (8): Die Logik 70 überträgt die Personenidentifikationsdaten (SID) der Standard-Instanz 101 verschlüsselt mit den inneren öffentlichen Schlüsseln Koo der Systemoperatoren 30 zur Datenbank 20. 12 AT 503 291 B1Step (8): The logic 70 transmits the personal identification data (SID) of the standard instance 101 encrypted with the internal public keys Koo of the system operators 30 to the database 20. 12 AT 503 291 B1

Schritt (9): Die Logik 70 übergibt den äußeren privaten Schlüssel 90 (z.B. zur Speicherung auf einer Smartcard) an die entsprechende Standard-Instanz 101. Der äußere Schlüssel 90 ist somit Teil des Sicherheitsschlüssels und wird zum Zugriff auf den inneren Schlüssel der Standard-Instanz benötigt. Alternativ kann die Logik 70 die Verbindung zwischen den ausgewählten Systemoperatoren 30 und der zugehörigen Standard-Instanz 101 auch selbst verschlüsseln und so geheimhalten.Step (9): The logic 70 passes the outer private key 90 (eg for storage on a smart card) to the corresponding standard instance 101. The outer key 90 is thus part of the security key and is used to access the internal key of the standard key. Instance needed. Alternatively, the logic 70 may itself encrypt the connection between the selected system operators 30 and the associated default instance 101 and thus keep it secret.

Sobald der Sicherheitsschlüssel an die Standard-Instanz 101 vergeben worden ist, bleibt er über seine gesamte Lebensdauer der Standard-Instanz im System einmalig vorhanden, oder die Standard-Instanz 101 entscheidet sich, ihn zu ändern.Once the security key has been assigned to the default instance 101, it remains unique over its lifetime of the default instance in the system, or the default instance 101 decides to change it.

Fig. 5 beschreibt den Ablauf zur Herausgabe eines neuen äußeren Sicherheitsschlüssels an eine bestehende Standard-Instanz. Folgende Schritte werden dabei ausgeführt, welche in Fig. 5 schematisch wiedergegeben sind:Fig. 5 describes the procedure for issuing a new external security key to an existing standard instance. The following steps are carried out, which are shown schematically in FIG. 5:

Schritt (1): Die Standard-Instanz 101 identifiziert sich gegenüber der Logik 70 bzw. einer autorisierten Person.Step (1): The standard instance 101 identifies itself to the logic 70 or an authorized person.

Schritt (2): Die Standard-Instanz 101 sendet ihre Personenidentifikationsdaten (SID) an die Logik 70.Step (2): The standard instance 101 sends its personal identification data (SID) to the logic 70.

Schritt (3): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard-Instanz 101 an die Datenbank 20.Step (3): The logic 70 sends the personal identification data (SID) of the standard instance 101 to the database 20.

Schritt (4): Die Datenbank 20 antwortet mit der Übermittlung aller den Systemoperatoren 30 zugewiesenen Personenidentifikationsdaten (SIDs).Step (4): The database 20 responds with the transmission of all personal identification data (SIDs) assigned to the system operators 30.

Schritt (5): Die Logik 70 sendet die gewünschten Personenidentifikationsdaten (SID) der Standard-Instanz 101 sowie die den Systemoperatoren 30 zugewiesenen Personenidentifikationsdaten (SIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Koo des jeweiligen Systemoperators 30 an alle Systemoperatoren 30. Diese entschlüsseln ihre zugewiesenen Personenidentifikationsdaten (SIDs) mit ihrem inneren privaten Schlüssel Koo'1 und stellen durch Vergleich mit den gewünschten Personenidentifikationsdaten (SID) der Standard-Instanz 101 fest, ob sie für die jeweilige Standard-Instanz 101 zuständig sind.Step (5): The logic 70 sends the desired personal identification data (SID) of the standard instance 101 and the personal identification data (SIDs) assigned to the system operators 30 encrypted with the internal public key Koo of the respective system operator 30 to all system operators 30. These decrypt their assigned ones Personal identification data (SIDs) with their inner private key Koo'1 and determine by comparison with the desired personal identification data (SID) of the standard instance 101, whether they are responsible for the respective standard instance 101.

Optional können die zugewiesenen Personenidentifikationsdaten (SIDs) zusätzlich mit dem öffentlichen Schlüssel Klo der Logik verschlüsselt sein. In diesem Fall können die Systemoperatoren 30 nicht feststellen, ob sie einer Standard-Instanz 101 zugeordnet sind. Es folgt daher die Übermittlung der einfach entschlüsselten zugewiesenen Personenidentifikationsdaten (SIDs) an die Logik 70.Optionally, the assigned personal identification data (SIDs) can additionally be encrypted with the public key Lo of the logic. In this case, the system operators 30 can not determine if they are associated with a standard instance 101. It follows, therefore, the transmission of the simply decrypted assigned personal identification data (SIDs) to the logic 70.

Schritt (6): Die Systemoperatoren 30 benachrichtigen die Logik 70 über ihre Zuständigkeit betreffend der Standard-Instanz 101.Step (6): The system operators 30 notify the logic 70 of their responsibility regarding the standard instance 101.

Optional können die Systemoperatoren 30 der Logik 70 auch die mit dem jeweiligen Systemoperator-Schlüssel entschlüsselten, aber noch mit dem öffentlichen Schlüssel Klo der Logik 70 verschlüsselten SIDs übermitteln. In diesem Fall entschlüsselt die Logik 70 die SIDs mit dem privaten Schlüssel Klo'1 der Logik 70 und stellt durch Vergleich mit den gewünschten Personenidentifikationsdaten (SID) der Standard Instanz 101 fest, welche Systemoperator-Instanzen 30 welcher Standard-Instanz 101 zugeordnet sind.Optionally, the system operators 30 of the logic 70 may also transmit the SIDs decrypted with the respective system operator key but still encrypted with the public key Lo of the logic 70. In this case, the logic 70 decrypts the SIDs with the private key Klo'1 of the logic 70 and determines by comparison with the desired personal identification data (SID) of the standard instance 101 which system operator instances 30 are assigned to which standard instance 101.

Schritt (7): Die Logik 70 sendet die Liste der zuständigen Systemoperatoren 30 an die Datenbank 20.Step (7): The logic 70 sends the list of competent system operators 30 to the database 20.

Schritt (8): Die Datenbank 20 übermittelt den inneren privaten Schlüssel «so'1 der Standard- 1 3 AT 503 291 B1Step (8): The database 20 transmits the inner private key «so'1 of the standard 1 3 AT 503 291 B1

Instanz 101 nacheinander verschlüsselt mit zwei oder mehreren öffentlichen Systemoperator-Instanz 30-Schlüsseln Koo zur Logik 70.Instance 101 sequentially encrypts with two or more public system operator instance 30 keys Koo to logic 70.

Eine zweite Möglichkeit ist, daß der innere private Schlüssel KSo'1 der Standard-Instanz 101 aufgeteilt wurde und mit den jeweiligen öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 verschlüsselt übertragen wird.A second possibility is that the internal private key KSo'1 of the standard instance 101 has been split up and is encrypted with the respective public keys Koo of the system operator instances 30.

Schritt (9): Die Logik 70 überträgt den inneren privaten Schlüssel Kso'1 der Standard-Instanz 101 nacheinander verschlüsselt mit zwei oder mehreren öffentlichen Schlüsseln Koo der Sys-temoperatoren-lnstanzen 30 zu den jeweilig zuständigen Systemoperatoren-Instanzen 30.Step (9): The logic 70 transmits the internal private key Kso'1 of the standard instance 101 sequentially encrypted with two or more public keys Koo of the system operator instances 30 to the respectively responsible system operator instances 30.

Eine zweite Möglichkeit ist, daß der Schlüssel Kso'1 der Standard-Instanz 101 aufgeteilt wurde und mit den jeweiligen öffentlichen Schlüsseln Koo der Systemoperator-Instanzen 30 verschlüsselt übertragen wird.A second possibility is that the key Kso'1 of the standard instance 101 has been split up and is encrypted with the respective public keys Koo of the system operator instances 30.

Schritt (10): Die Logik 70 sendet den neuen äußeren öffentlichen Schlüssel Ks der Standard-Instanz 101 an die jeweilig zuständigen Systemoperator-Instanzen 30.Step (10): The logic 70 sends the new outer public key Ks of the standard instance 101 to the respectively responsible system operator instances 30.

Schritt (11): Die jeweilig zuständigen Systemoperator-Instanzen 30 entschlüsseln nacheinander den inneren privaten Schlüssel Kso'1 der Standard-Instanz 101 mit ihren jeweiligen inneren privaten Schlüsseln K0o'1 und verschlüsseln den inneren privaten Schlüssel Ks0’1 der Standard-Instanz 101 mit dem äußeren öffentlichen Schlüssel Ks· der Standard-Instanz 101 und übertragen diesen an die Logik 70. Optional ist es hier möglich, daß zusätzlich eine Verschlüsselung mit dem Schlüssel KLo der Logik 70 vorgenommen wird, um die Schlüssel auch vor den Systemoperator-Instanzen geheim zu halten.Step (11): The respective responsible system operator instances 30 successively decrypt the internal private key Kso'1 of the standard instance 101 with their respective internal private keys K0o'1 and encrypt the internal private key Ks0'1 of the standard instance 101 the outer public key Ks * of the standard instance 101 and transmit this to the logic 70. Optionally, it is possible here in addition to an encryption with the key KLo the logic 70 is made to secret the keys also before the system operator instances hold.

Eine zweite Möglichkeit ist, daß der Schlüssel Kso'1 der Standard-Instanz 101 aufgeteilt wird und mit den jeweiligen öffentlichen Schlüssel Koo der Systemoperator-Instanzen 30 verschlüsselt in der Datenbank 20 gespeichert wird.A second possibility is that the key Kso'1 of the standard instance 101 is divided and stored encrypted in the database 20 with the respective public key Koo of the system operator instances 30.

Schritt (12): Die Logik 70 übergibt den mit dem neuen äußeren öffentlichen Schlüssel Ks· der Standard-Instanz 101 verschlüsselten inneren privaten Schlüssel Kso'1 der Standard-Instanz 101 an die Datenbank 20.Step (12): The logic 70 transfers to the database 20 the inner private key Kso'1 of the standard instance 101 encrypted with the new outer public key Ks * of the standard instance 101.

Schritt (13): Die Logik 70 ersetzt den bisher gültigen äußeren öffentlichen Schlüssel Ks der Standard-Instanz 101 durch den neuen äußeren öffentlichen Schlüssel Ks· der Standard-Instanz 101.Step (13): The logic 70 replaces the previously valid outer public key Ks of the standard instance 101 with the new outer public key Ks * of the standard instance 101.

Schritt (14): Die Logik 70 übergibt den äußeren privaten Sicherheitsschlüssel 90 (z.B. Smartcard) an die entsprechende Standard-Instanz 101. Für die Eintragung von Nutzdaten 110 in der Personendaten-Datenbank 20 werden weitere Sicherheitsschlüssel generiert, die mit dem inneren öffentlichen Schlüssel der Standard-Instanz verschlüsselt werden, wobei gegebenenfalls die weiteren Sicherheitsschlüssel mit dem inneren öffentlichen Schlüssel der autorisierten Instanz verschlüsselt werden.Step (14): The logic 70 passes the outer private security key 90 (eg smartcard) to the corresponding standard entity 101. For the entry of user data 110 in the personal data database 20, further security keys are generated which are associated with the inner public key of the Standard instance are encrypted, where appropriate, the other security keys are encrypted with the inner public key of the authorized entity.

Auf diese Weise kann kein direkter Zusammenhang zwischen den Nutzdaten 110 und der Standard-Instanz 101 hergestellt werden, indem über bestimmte Eigenschaften der Standard-Instanz 101, z.B. über den Verlauf einer Krankheit, Rückschlüsse gezogen werden. Damit wird das Erstellen von Profilen über die Standard-Instanzen wirkungsvoll verhindert. Der weitere Sicherheitsschlüssel wird vorzugsweise von Zeit zu Zeit oder nach einer bestimmten Anzahl an Nutzdaten-Einträgen verändert.In this way, no direct relationship can be established between the payload 110 and the standard instance 101 by specifying certain properties of the standard instance 101, e.g. about the course of a disease, conclusions can be drawn. This effectively prevents the creation of profiles via the standard instances. The further security key is preferably changed from time to time or after a certain number of user data entries.

Fig. 6 beschreibt den Ablauf zum Hinzufügen neuer Nutzdaten. Folgende Schritte werden dabei ausgeführt, welche in Fig. 6 schematisch wiedergegeben sind: 1 4 AT 503 291 B1Fig. 6 describes the procedure for adding new payload data. The following steps are carried out, which are shown schematically in Fig. 6: 1 4 AT 503 291 B1

Schritt (1): Die Standard-Instanz 101 meldet sich im System durch Eingabe des Sicherheitsschlüssels an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard 90 zu authentifizieren.Step (1): The standard instance 101 logs into the system by entering the security key, e.g. a PIN code is entered to authenticate against a smart card 90.

Schritt (2): Die Standard-Instanz 101 übermittelt ihre Personenidentifikationsdaten (SID) an die Logik 70. Im gleichen Schritt wird der Standard-Instanz 101 auch der öffentliche Schlüssel der Logik 70 KL0 bekannt gegeben.Step (2): The standard instance 101 transmits its personal identification data (SID) to the logic 70. In the same step, the standard entity 101 is also notified of the public key of the logic 70 KL0.

Schritt (3): Die Standard-Instanz 101 übermittelt neue Nutzdaten (CD) an die Logik 70.Step (3): The standard instance 101 transmits new user data (CD) to the logic 70.

Schritt (4): Die Standard-Instanz 101 übermittelt eine indizierende Kennzeichnung ID (z.B. Suchbegriffe, Datum, etc.) verschlüsselt mit dem öffentlichen Schlüssel der Logik Kl0 an die Logik 70.Step (4): The standard instance 101 transmits an indexing identifier ID (e.g., search terms, date, etc.) encrypted with the public key of the logic Kl0 to the logic 70.

Schritt (5): Die Logik überträgt die Personenidentifikationsdaten (SID) der Standard-Instanz 101 an die Datenbank 20.Step (5): The logic transfers the personal identification data (SID) of the standard instance 101 to the database 20.

Schritt (6): Falls ein neuer Schlüssel erzeugt werden muss, informiert die Datenbank 20 die Logik 70.Step (6): If a new key needs to be generated, the database 20 informs the logic 70.

Schritt (7): Die Logik 70 erzeugt einen neuen Nutzdaten-Schlüssel Ksi und verschlüsselt diesen mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 und übermittelt diesen an die Datenbank 20.Step (7): The logic 70 generates a new user data key Ksi and encrypts it with the internal public key Kso of the standard instance 101 and transmits it to the database 20.

Schritt (8): Danach verschlüsselt die Logik 70 die Personenidentifikationsdaten (SID) der Standard-Instanz 101 mit dem Nutzdaten-Schlüssel Ks, und überträgt sie zur Datenbank 20. Dieses Merkmal wird als Nutzdaten-Identifikationscode (CID) bezeichnet.Step (8): Thereafter, the logic 70 encrypts the personal identification data (SID) of the standard entity 101 with the payload key Ks, and transmits it to the database 20. This feature is referred to as Payload Identification Code (CID).

Schritt (9): Danach entschlüsselt die Logik 70 die gewählte indizierende Kennzeichnung (z.B. Suchbegriffe, Datum, etc.) der Standard-Instanz 101 mit dem privaten Schlüssel der Logik Kl0"1 und verschlüsselt die Kennzeichnung (ID) mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101.Step (9): Thereafter, the logic 70 decrypts the selected indexing tag (eg, search terms, date, etc.) of the standard instance 101 with the private key of the logic Kl0 "1 and encrypts the tag (ID) with the internal public key Kso the standard instance 101.

Schritt (10): Abschließend überträgt die Logik 70 die Nutzdaten (CD) zur Datenbank 20 und bindet sie an die zuvor gebildeten Identifikationsdaten.Step (10): Finally, the logic 70 transfers the payload data (CD) to the database 20 and binds it to the previously formed identification data.

Fig. 7 beschreibt den Ablauf zum Lesen vorhandener Nutzdaten. Folgende Schritte werden dabei ausgeführt, welche in Fig. 7 schematisch wiedergegeben sind:Fig. 7 describes the procedure for reading existing payload data. The following steps are carried out, which are shown schematically in FIG. 7:

Schritt (1): Die Standard-Instanz 101 meldet sich im System durch Eingabe des Sicherheitsschlüssels an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard 90 zu authentifizieren.Step (1): The standard instance 101 logs into the system by entering the security key, e.g. a PIN code is entered to authenticate against a smart card 90.

Schritt (2): Die Standard-Instanz 101 übermittelt ihre Personenidentifikationsdaten (SID) an die Logik 70.Step (2): The standard instance 101 transmits its personal identification data (SID) to the logic 70.

Schritt (3): Die Logik 70 übermittelt die Personenidentifikationsdaten (SID) der Standard-Instanz 101 an die Datenbank 20.Step (3): The logic 70 transmits the personal identification data (SID) of the standard instance 101 to the database 20.

Schritt (4): Die Datenbank 20 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Logik 70.Step (4): The database 20 transmits all indexing tags (CIDs) encrypted with the internal public key Kso of the standard instance 101 to the logic 70.

Schritt (5): Die Logik 70 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz an die Standard-Instanz 101. 1 5 AT 503 291 B1Step (5): The logic 70 transmits all indexing identifiers (CIDs) encrypted with the internal public key Kso of the standard instance to the standard instance 101. 1 5 AT 503 291 B1

Schritt (6): Die Standard-Instanz 101 entschlüsselt ihren inneren privaten Schlüssel Kso'1 mit ihrem äußeren privaten Schlüssel Ks'1. Anschließend benutzt sie den inneren privaten Schlüssel Kso'1, um die verschlüsselten indizierenden Kennzeichnungen (CIDs) zu entschlüsseln und eine Kennzeichnung (ID) sowie einen zugehörigen Nutzdaten-Schlüssel Ks, auszuwählen. Danach verschlüsselt sie ihre Personenidentifikationsdaten (SID) mit dem zur entsprechenden indizierten Kennzeichnung assoziierten Nutzdaten-Schlüssel Ksi und übermittelt den daraus resultierende Nutzdaten-Identifikationscode (CID) an die Logik 70.Step (6): The standard instance 101 decrypts its inner private key Kso'1 with its outer private key Ks'1. It then uses the inner private key Kso'1 to decrypt the encrypted indexing identifiers (CIDs) and select a tag (ID) and associated payload key Ks. Afterwards, it encrypts its personal identification data (SID) with the payload data key Ksi associated with the corresponding indexed identification and transmits the resulting payload data identification code (CID) to the logic 70.

Schritt (7): Die Logik 70 sendet den Nutzdaten-Identifikationscode an die Datenbank 20.Step (7): The logic 70 sends the payload identification code to the database 20.

Schritt (8): Die Datenbank 20 sendet die Nutzdaten an die Logik 70.Step (8): The database 20 sends the payload data to the logic 70.

Schritt (9): Die Logik übermittelt die Nutzdaten an die Standard-Instanz 101.Step (9): The logic transmits the payload data to the standard instance 101.

Fig. 8 beschreibt den Ablauf zum Hinzufügen einer assoziierten Instanz. Folgende Schritte werden dabei ausgeführt, welche in Fig. 8 schematisch wiedergegeben sind:Fig. 8 describes the procedure for adding an associated instance. The following steps are carried out, which are shown schematically in FIG. 8:

Schritt (1a, 1b): Die Standard-Instanz 101 und die assoziierte Instanz 60 melden sich im System durch Eingabe des Sicherheitsschlüssels an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard 90 zu authentifizieren.Step (1a, 1b): The default instance 101 and the associated instance 60 log into the system by entering the security key, e.g. a PIN code is entered to authenticate against a smart card 90.

Schritt (2): Die Personenidentifikationsdaten (SID) der Standard-Instanz 101 werden von der Standard-Instanz 101 an die Logik 70 übermittelt.Step (2): The personal identification data (SID) of the standard instance 101 are transmitted from the standard instance 101 to the logic 70.

Schritt (3): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard-Instanz 101 an die Datenbank 20.Step (3): The logic 70 sends the personal identification data (SID) of the standard instance 101 to the database 20.

Schritt (4): Die assoziierte Instanz 60 übermittelt ihre Personenidentifikationsdaten (AID) an die Logik 70.Step (4): The associated entity 60 transmits its personal identification data (AID) to the logic 70.

Schritt (5): Die Logik 70 übermittelt die Personenidentifikationsdaten (AID) der assoziierten Instanz 60 an die Datenbank 20.Step (5): The logic 70 transmits the personal identification data (AID) of the associated entity 60 to the database 20.

Schritt (6): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Logik 70.Step (6): The database 20 transmits the internal public key Kso of the standard instance 101 to the logic 70.

Schritt (7): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel Kao der assoziierten Instanz 60 an die Logik 70.Step (7): The database 20 transmits the inner public key Kao of the associated instance 60 to the logic 70.

Schritt (8): Die Datenbank 20 sendet den inneren privaten Schlüssel Kso’1 der Standard-Instanz 101 verschlüsselt mit dem äußeren öffentlichen Schlüssel Ks der Standard-Instanz 101 an die Logik 70.Step (8): The database 20 sends the internal private key Kso'1 of the standard instance 101 encrypted with the external public key Ks of the standard instance 101 to the logic 70.

Schritt (9): Die Logik 70 sendet den inneren privaten Schlüssel Kso'1 der Standard-Instanz 101 verschlüsselt mit dem äußeren öffentlichen Schlüssel Ks der Standard-Instanz 101 an die Standard-Instanz 101.Step (9): The logic 70 sends the inner private key Kso'1 of the standard instance 101 encrypted with the outer public key Ks of the standard instance 101 to the standard instance 101.

Schritt (10): Die Logik 70 sendet den inneren öffentlichen Schlüssel Kao der assoziierten Instanz 60 an die Standard-Instanz 101.Step (10): The logic 70 sends the inner public key Kao of the associated instance 60 to the standard instance 101.

Schritt (11): Die Standard-Instanz 101 entschlüsselt ihren inneren privaten Schlüssel Kso'1 mit ihrem äußeren privaten Schlüssel Ks'1 und verschlüsselt ihren inneren privaten Schlüssel Kso'1 mit dem inneren öffentlichen Schlüssel KAo der assoziierten Instanz 60 und übermittelt diesen an die Logik 70. 16 AT 503 291 B1Step (11): The standard instance 101 decrypts its inner private key Kso'1 with its outer private key Ks'1 and encrypts its inner private key Kso'1 with the inner public key KAo of the associated instance 60 and transmits it to the Logic 70. 16 AT 503 291 B1

Schritt (12): Die Logik 70 sendet den inneren privaten Schlüssel Kso'1 verschlüsselt mit dem inneren öffentlichen Schlüssel KAo der assoziierten Instanz 60 an die Datenbank 20.Step (12): The logic 70 sends the inner private key Kso'1 encrypted with the inner public key KAo of the associated instance 60 to the database 20.

Schritt (13): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard-Instanz 101 verschlüsselt mit dem inneren öffentlichen Schlüssel KAo der assoziierten Instanz 60 an die Datenbank 20.Step (13): The logic 70 sends the personal identification data (SID) of the standard entity 101 encrypted with the internal public key KAo of the associated entity 60 to the database 20.

Schritt (14): Die Logik 70 sendet die Personenidentifikationsdaten (AID) der assoziierten Instanz 60 verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Datenbank 20.Step (14): The logic 70 sends the personal identification data (AID) of the associated entity 60 encrypted with the internal public key Kso of the standard entity 101 to the database 20.

Fig. 9 beschreibt den Ablauf zum Hinzufügen einer autorisierten Instanz 50. Folgende Schritte werden dabei ausgeführt, welche in Fig. 9 schematisch wiedergegeben sind:9 describes the procedure for adding an authorized instance 50. The following steps are carried out, which are shown schematically in FIG. 9:

Schritt (1): Die Standard-Instanz 101 und die autorisierte Instanz 50 melden sich im System durch Eingabe des Sicherheits-Tokens an, indem z.B. ein PIN-Code eingegeben wird, um sich gegenüber einer Smartcard 90 zu authentifizieren. Im gleichen Schritt wird der Standard-Instanz 101 auch der öffentliche Schlüssel der Logik Klo bekanntgegeben.Step (1): The default instance 101 and the authorized instance 50 log into the system by entering the security token, e.g. a PIN code is entered to authenticate against a smart card 90. In the same step, the standard instance 101 is also notified of the public key of the logic Klo.

Schritt (2): Die Personenidentifikationsdaten (SID) der Standard-Instanz 101 werden von der Standard-Instanz an die Logik 70 übermittelt.Step (2): The personal identification data (SID) of the standard instance 101 is transmitted from the standard instance to the logic 70.

Schritt (3): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard-Instanz 101 an die Datenbank 20.Step (3): The logic 70 sends the personal identification data (SID) of the standard instance 101 to the database 20.

Schritt (4): Die autorisierte Instanz 50 übermittelt ihre Personenidentifikationsdaten (BID) an die Logik 70.Step (4): The authorized entity 50 transmits its personal identification data (BID) to the logic 70.

Schritt (5): Die Logik übermittelt die Personenidentifikationsdaten (BID) der autorisierten Instanz 50 an die Datenbank 20.Step (5): The logic transmits the personal identification data (BID) of the authorized entity 50 to the database 20.

Schritt (6): Falls ein neuer Schlüssel erzeugt werden muss, informiert die Datenbank 20 die Logik 70.Step (6): If a new key needs to be generated, the database 20 informs the logic 70.

Schritt (7): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Logik 70.Step (7): The database 20 transmits the internal public key Kso of the standard instance 101 to the logic 70.

Schritt (8): Die Datenbank 20 übermittelt den inneren öffentlichen Schlüssel Kbo der autorisierten Instanz 50 an die Logik 70.Step (8): The database 20 transmits the internal public key Kbo of the authorized entity 50 to the logic 70.

Schritt (9): Die Datenbank 20 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel «so der Standard-Instanz 101 an die Logik 70.Step (9): The database 20 transmits all indexing tags (CIDs) encrypted with the inner public key "to the standard instance 101 to the logic 70.

Schritt (10): Die Logik 70 übermittelt alle indizierenden Kennzeichnungen (CIDs) verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Standard-Instanz 101.Step (10): The logic 70 transmits all indexing tags (CIDs) encrypted with the internal public key Kso of the standard instance 101 to the standard instance 101.

Schritt (11): Die Standard-Instanz 101 übermittelt eine indizierende Kennzeichnung inklusive zugehörigem Nutzdaten-Schlüssel «s, (z.B. Suchbegriffe, Datum, etc.) verschlüsselt mit dem öffentlichen Schlüssel Klo an die Logik 70.Step (11): The standard instance 101 transmits an indexing tag including associated payload key (s) (e.g., search terms, date, etc.) encrypted with the public key Klo to the logic 70.

Schritt (12): Danach entschlüsselt die Logik 70 die gewählte indizierende Kennzeichnung (z.B. Suchbegriffe, Datum, etc.) der Standard-Instanz 101 mit dem privaten Schlüssel der Logik Klo'1 und verschlüsselt die Kennzeichnung mit dem inneren öffentlichen Schlüssel KBo der autorisierten Instanz 50 und überträgt diese zur Datenbank 20.Step (12): Thereafter, the logic 70 decrypts the selected indexing tag (eg, search terms, date, etc.) of the standard instance 101 with the private key of the logic Klo'1 and encrypts the tag with the internal public key KBo of the authorized instance 50 and transfers it to the database 20.

Claims (17)

1 7 AT 503 291 B1 Schritt (13): Anschließend verschlüsselt die Logik 70 den gewählten Nutzdaten-Schlüssel Ks, mit dem inneren öffentlichen Schlüssel Keo der autorisierten Instanz 60 und überträgt diesen zur Datenbank 20. Schritt (14): Die Logik 70 sendet die Personenidentifikationsdaten (SID) der Standard-Instanz 101 verschlüsselt mit dem inneren öffentlichen Schlüssel Kb0 der autorisierten Instanz 50 an die Datenbank 20. Schritt (15): Die Logik 70 sendet die Personenidentifikationsdaten (BID) der autorisierten Instanz 50 verschlüsselt mit dem inneren öffentlichen Schlüssel Kso der Standard-Instanz 101 an die Datenbank 20. Patentansprüche: 1. Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Vielzahl von Standard-Instanzen (101), wobei die Objektdaten Objektidentifikationsdaten (100) und zugehörige Nutzdaten (110) umfassen, mit einer Objektdaten-Datenbank (20), in welcher die Objektdaten über Zugriffseinrichtungen speicherbar und abrufbar sind, dadurch gekennzeichnet, daß die Objektidentifikationsdaten (100) und die Nutzdaten (110) in der Objektdaten-Datenbank (20) voneinander getrennt speicherbar und abrufbar sind, sodaß allein aus den gespeicherten Datensätzen kein Zusammenhang zwischen den Objektidentifikationsdaten (100) und den Nutzdaten (110) ableitbar ist, daß zumindest eine Eingabevorrichtung vorgesehen ist, welche bei Eingabe eines von für die Standard-Instanzen (101) vergebenen Sicherheitsschlüssel den Zugriff auf die Objektidentifikationsdaten (100) der zugeordneten Standard-Instanz und auf die zugehörigen Nutzdaten (110) ermöglicht, daß gegebenenfalls für jede der Standard-Instanzen (101) zumindest eine zugeordnete Wiedergewinnungs-Instanz außerhalb der Objektdaten-Datenbank (20) definiert ist, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann, und daß der Sicherheitsschlüssel oder ein Teil davon bei der Standard-Instanz (101) und gegebenenfalls zusätzlich bei der zugeordneten Wiedergewinnungs-Instanz und/oder bei weiteren von der Standard-Instanz bestimmten Instanzen (50, 60) verbleibt oder von diesen auf ihn zugegriffen werden kann.Then, the logic 70 encrypts the selected payload key Ks with the internal public key Keo of the authorized instance 60 and transmits it to the database 20. Step (14): The logic 70 sends the Personal identification data (SID) of the standard instance 101 encrypted with the internal public key Kb0 of the authorized entity 50 to the database 20. Step (15): The logic 70 sends the personal identification data (BID) of the authorized entity 50 encrypted with the internal public key Kso of the standard instance 101 to the database 20. Claims 1. A data processing system for processing object data of a plurality of standard instances (101), the object data comprising object identification data (100) and associated payload data (110) having an object data database ( 20), in which the object data can be stored and retrieved via access devices, dadu characterized in that the object identification data (100) and the payload data (110) in the object data database (20) can be stored and retrieved separately from each other, so that solely from the stored data records no connection between the object identification data (100) and the payload data (110) it can be derived that at least one input device is provided which, when entering a security key assigned to the standard instances (101), allows access to the object identification data (100) of the assigned standard instance and to the associated user data (110) for each of the standard instances (101) at least one associated recovery instance is defined outside the object data database (20) over which it can be re-created if the security key is lost, and the security key or a part thereof is Instance (101) and, if necessary, in addition to an ordered recovery instance and / or other instance (50, 60) determined by the default instance, or can be accessed by it. 2. Datenverarbeitungssystem nach Anspruch 1, dadurch gekennzeichnet, daß mehrere voneinander unabhängige Systemoperator-Instanzen (30) vorhanden sind, aus denen zwei oder mehrere Systemoperator-Instanzen für eine der Standard-Instanzen (101) als die dieser zugeordneten Wiedergewinnungs-Instanz definiert sind, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-lnstanz(en) sowie der Standard-Instanz(en) bekannt ist, wobei den zumindest zwei ausgewählten Systemoperator-Instanzen ein gemeinsamer Zugriff auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten für die jeweilige Standard-Instanz möglich ist.A data processing system according to claim 1, characterized in that there are a plurality of independent system operator instances (30) defining two or more system operator instances for one of the standard instances (101) as the recovery instance associated therewith, without the identity of the other selected system operator instance (s) and standard instance (s) being known to the selected system operator instances, wherein the at least two selected system operator instances share access to the object identification data in conjunction with the associated payload data is possible for the respective standard instance. 3. Datenverarbeitungssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß weitere Instanzen (60, 50) definiert sind, welche durch die Standard-Instanzen (101) zum vollen oder teilweisen Datenzugriff autorisiert sind.3. Data processing system according to claim 1 or 2, characterized in that further instances (60, 50) are defined, which are authorized by the standard instances (101) for full or partial data access. 4. Datenverarbeitungssystem nach Anspruch 3, dadurch gekennzeichnet, daß die weiteren Instanzen eine oder mehrere assoziierte Instanzen (60) umfassen, die jeweils durch eine der Standard-Instanzen (101) autorisiert sind und die gleiche Zugriffsberechtigung wie diese aufweisen sowie weitere Instanzen autorisieren können.4. Data processing system according to claim 3, characterized in that the further instances comprise one or more associated instances (60), each authorized by one of the standard instances (101) and have the same access rights as this and authorize other instances. 5. Datenverarbeitungssystem nach Anspruch 4, dadurch gekennzeichnet, daß die assoziier- 1 8 AT 503 291 B1 ten Instanzen (60) als Wiedergewinnungs-Instanzen definiert sind.5. Data processing system according to claim 4, characterized in that the associated instances (60) are defined as recovery instances. 6. Datenverarbeitungssystem nach einem der Ansprüche 4 oder 5, dadurch gekennzeichnet, daß die weiteren Instanzen eine oder mehrere autorisierte Instanzen (50) umfassen, die jeweils durch eine der Standard-Instanzen (101) autorisiert sind, auf vorbestimmte Einträge, die der jeweiligen Standard-Instanz zugeordnet sind, z.B. bestimmte Patienten- oder Gesundheitsdaten, in der Objektdaten-Datenbank (20) zuzugreifen.Data processing system according to one of claims 4 or 5, characterized in that the further entities comprise one or more authorized entities (50), each authorized by one of the standard entities (101), for predetermined entries corresponding to the respective standard Instance are assigned, eg certain patient or health data to access in the object data database (20). 7. Datenverarbeitungssystem nach Anspruch 4, 5 oder 6, dadurch gekennzeichnet, daß die weiteren Instanzen eine oder mehrere Forschungs-Instanzen (40) umfassen, die zum Zwecke der Analyse ausschließlich Zugriff auf die Nutzdaten (110) haben.7. Data processing system according to claim 4, 5 or 6, characterized in that the further instances comprise one or more research entities (40), which have exclusively access to the payload data (110) for the purpose of analysis. 8. Datenverarbeitungssystem nach einem Ansprüche 1 bis 7, dadurch gekennzeichnet, daß jedem Eintrag mit Nutzdaten in der Objektdaten-Datenbank (20) eine Nutzdaten-Identifika-tion zugeordnet ist.8. Data processing system according to one of claims 1 to 7, characterized in that each entry with user data in the object data database (20) is assigned a payload Identifika-tion. 9. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, daß der Sicherheitsschlüssel oder Teile davon auf einem Sicherheitstoken gespeichert ist, z.B. auf einer Smartcard (90), welche über einen PIN-Kode verfügt.Data processing system according to one of claims 1 to 8, characterized in that the security key or parts thereof are stored on a security token, e.g. on a smart card (90), which has a PIN code. 10. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, daß die Objektdaten-Datenbank (20) durch zwei separate Datenbanken gebildet ist, wobei in der einen Datenbank Objektidentifikationsdaten und in der anderen Datenbank Nutzdaten gespeichert sind.10. Data processing system according to one of claims 1 to 9, characterized in that the object data database (20) is formed by two separate databases, wherein in one database object identification data and in the other database user data are stored. 11. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, daß die Objektdaten-Datenbank eine Personendaten-Datenbank ist und die Objektidentifikationsdaten (100) Personendaten, insbesondere Patientendaten sind.11. Data processing system according to one of claims 1 to 10, characterized in that the object data database is a personal data database and the object identification data (100) are personal data, in particular patient data. 12. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, daß der Sicherheitsschlüssel jeder der Standard-Instanzen (101) aus einem oder mehreren inneren und einem oder mehreren äußeren Schlüssel gebildet ist, wobei die Verbindung der Nutzdaten mit den Objektidentifikationsdaten der jeweiligen Standard-Instanz dadurch erreicht wird, dass es einen innersten Schlüssel gibt, mit dem die Objektidentifikationsdaten verschlüsselt werden, wobei der äußere Schlüssel jeweils bei den Standard-Instanzen (101) verbleibt und die Möglichkeit des Zugriffs auf den inneren Schlüssel bietet, und wobei der innere Schlüssel als Zugriffsmöglichkeit auf die innersten Schlüssel dient.12. Data processing system according to one of claims 1 to 11, characterized in that the security key of each of the standard instances (101) of one or more inner and one or more outer key is formed, wherein the connection of the user data with the object identification data of the respective standard Instance is achieved by having an innermost key with which the object identification data is encrypted, the outer key remaining respectively with the standard instances (101) and offering the possibility of accessing the inner key, and wherein the inner key serves as access to the innermost key. 13. Verfahren zur Verarbeitung von Objektdaten von Standard-Instanzen, welche Objektidentifikationsdaten (100) und zugehörige Nutzdaten (110) umfassen, wobei in einem Speicherschritt die Objektdaten in einer Objektdaten-Datenbank (20) gespeichert und in einem Abfrageschritt aus der Objektdaten-Datenbank auf die Objektdaten zugegriffen wird und diese abgerufen werden, dadurch gekennzeichnet, daß im Speicherschritt die Objektidentifikationsdaten (100) und die Nutzdaten (110) in der Objektdaten-Datenbank (20) voneinander getrennt gespeichert werden, sodaß sie aus der Objektdaten-Datenbank (20) getrennt abgerufen werden können, allein aus den gespeicherten Datensätzen jedoch kein Zusammenhang zwischen den Objektidentifikationsdaten (100) und den Nutzdaten (110) ableitbar ist, daß in einem Vergabeschritt Sicherheitsschlüssel an jede der Standard-Instanzen (101) vergeben werden, die ein Zugreifen auf die Objektidentifikationsdaten und die zugehörigen Nutzdaten für jede der Standard-Instanzen ermöglichen, wobei gegebenenfalls für jede der Standard-Instanzen eine Wiedergewinnungs-Instanz definiert wird, über welche bei Verlust des Sicherheitsschlüssels dieser wieder erzeugt werden kann, daß jede der Standard-Instanzen weiteren Instanzen (60, 50) den vollen oder teilweisen Datenzugriff auf ihre Objektdaten gestatten kann, 19 AT 503 291 B1 und daß in einem Abfrageschritt über eine der Standard-Instanzen oder gegebenenfalls eine Wiedergewinnungs-Instanz und/oder eine der weiteren Instanzen (60, 50) nach Eingabe des Sicherheitsschlüssels oder eines Teils davon auf die Objektidentifikationsdaten (100) in Verbindung mit den zugehörigen Nutzdaten (110) zugegriffen wird.13. A method for processing object data from standard instances, which object identification data (100) and associated payload data (110), wherein stored in a storage step, the object data in an object data database (20) and in a query step from the object data base on the object data is accessed and retrieved, characterized in that in the storage step, the object identification data (100) and the payload data (110) in the object data database (20) are stored separately, so that they are separated from the object data database (20) however, it is not possible to derive from the stored data records alone a relationship between the object identification data (100) and the payload data (110) that in an award step security keys are assigned to each of the standard instances (101) which access the object identification data and the associated payload for each of the standard Instances, optionally defining for each of the default instances a recovery instance over which, if the security key is lost, it can be re-created that each of the standard instances of further instances (60, 50) will have full or partial data access their object data may permit and that in a query step via one of the standard instances or optionally a recovery instance and / or one of the further instances (60, 50) after entering the security key or a part thereof on the object identification data (100) is accessed in conjunction with the associated payload (110). 14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß für jede Standard-Instanz (101) zwei oder mehrere Systemoperator-Instanzen aus mehreren, voneinander unabhängigen Systemoperator-Instanzen (30) ausgewählt werden, ohne daß den ausgewählten Systemoperator-Instanzen die Identität der jeweils anderen ausgewählten Systemoperator-Instanz(en) bekannt ist, daß der Sicherheitsschlüssel der jeweiligen Standard-Instanz (101) auch an die zwei oder mehreren, ausgewählten Systemoperator-Instanzen vergeben wird, sowie den zumindest zwei ausgewählten Systemoperator-Instanzen für den gemeinsamen Zugriff zur Verfügung steht, und gegebenenfalls im Abfrageschritt über die zwei oder mehreren Systemoperator-Instanzen nach gemeinsamer Eingabe des Sicherheitsschlüssels auf die Objektidentifikationsdaten in Verbindung mit den zugehörigen Nutzdaten zugegriffen wird.14. The method according to claim 13, characterized in that for each standard instance (101) two or more system operator instances from a plurality of independent system operator instances (30) are selected without the selected system operator instances the identity of each another selected system operator instance (s) is known, that the security key of the respective standard instance (101) is also assigned to the two or more selected system operator instances and to the at least two selected system operator instances for shared access and, if appropriate, in the query step, accessing the object identification data in conjunction with the associated user data via the two or more system operator instances after the security key has been entered jointly. 15. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß eine der weiteren Instanzen als Wiedergewinnungs-Instanz definiert ist, und bei Verlust des Sicherheitsschlüssels dieser über diese weitere Instanz erzeugt wird.15. The method according to claim 13, characterized in that one of the further instances is defined as a recovery instance, and in case of loss of the security key this is generated via this further instance. 16. Verfahren nach Anspruch 14, dadurch gekennzeichnet, daß zur Erstellung des Sicherheitsschlüssels von einer Logik (70) für die Zuordnung von Objektidentifikationsdaten (100) und Nutzdaten (110) einer bestimmten Standard-Instanz (101) ein innerer Schlüssel der jeweiligen Standard-Instanz generiert wird und an diese Standard-Instanz (101) sowie an die zumindest zwei ausgewählten Systemoperator-Instanzen weitergeleitet wird, und daß der innere Schlüssel von dieser Standard-Instanz (101) und von den Systemoperator-Instanzen mit jeweils einem inneren Schlüssel verschlüsselt an die Objektdaten-Datenbank (20) zurückgesendet und dort abgelegt wird.16. The method according to claim 14, characterized in that for generating the security key of a logic (70) for the assignment of object identification data (100) and payload (110) of a particular standard instance (101) an inner key of the respective standard instance is generated and routed to this default instance (101) as well as to the at least two selected system operator instances, and that the inner key of that standard instance (101) and of the system operator instances each having an inner key is encrypted to the Object data database (20) is sent back and stored there. 17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, daß für die Eintragung von Nutzdaten (110) in der Objektdaten-Datenbank (20) ein weiterer Sicherheitsschlüssel generiert wird, der mit einem Sicherheitsschlüssel der Standard-Instanz und einem Sicherheitsschlüssel der ausgewählten Systemoperator-Instanzen verschlüsselt wird, wobei gegebenenfalls der weitere Sicherheitsschlüssel mit dem inneren Schlüssel der autorisierten und/oder assoziierten Instanz verschlüsselt wird. Hiezu 4 Blatt Zeichnungen17. The method according to claim 16, characterized in that for the entry of user data (110) in the object data database (20), a further security key is generated, which encrypts with a security key of the standard instance and a security key of the selected system operator instances If necessary, the further security key is encrypted with the inner key of the authorized and / or associated instance. Including 4 sheets of drawings
AT19282006A 2006-11-21 2006-11-21 Data processing system for processing object data of standard entities, has input device that access object identification data of associated standard entity and relevant user data when security key assigned to standard entities is entered AT503291B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
AT19282006A AT503291B1 (en) 2006-11-21 2006-11-21 Data processing system for processing object data of standard entities, has input device that access object identification data of associated standard entity and relevant user data when security key assigned to standard entities is entered
PCT/AT2007/000524 WO2008061267A1 (en) 2006-11-21 2007-11-21 Data processing system for processing object data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
AT19282006A AT503291B1 (en) 2006-11-21 2006-11-21 Data processing system for processing object data of standard entities, has input device that access object identification data of associated standard entity and relevant user data when security key assigned to standard entities is entered

Publications (2)

Publication Number Publication Date
AT503291B1 true AT503291B1 (en) 2007-09-15
AT503291A4 AT503291A4 (en) 2007-09-15

Family

ID=38474507

Family Applications (1)

Application Number Title Priority Date Filing Date
AT19282006A AT503291B1 (en) 2006-11-21 2006-11-21 Data processing system for processing object data of standard entities, has input device that access object identification data of associated standard entity and relevant user data when security key assigned to standard entities is entered

Country Status (2)

Country Link
AT (1) AT503291B1 (en)
WO (1) WO2008061267A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19925910A1 (en) * 1999-06-07 2001-02-22 Siemens Ag Data processing of coded data stored in database
US20030074564A1 (en) * 2001-10-11 2003-04-17 Peterson Robert L. Encryption system for allowing immediate universal access to medical records while maintaining complete patient control over privacy
WO2003034294A2 (en) * 2001-10-11 2003-04-24 Symbasis Gmbh Data processing system for patient data
US20050236474A1 (en) * 2004-03-26 2005-10-27 Convergence Ct, Inc. System and method for controlling access and use of patient medical data records

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8139770B2 (en) * 2003-12-23 2012-03-20 Wells Fargo Bank, N.A. Cryptographic key backup and escrow system
AU2004201058B1 (en) * 2004-03-15 2004-09-09 Lockstep Consulting Pty Ltd Means and method of issuing Anonymous Public Key Certificates for indexing electronic record systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19925910A1 (en) * 1999-06-07 2001-02-22 Siemens Ag Data processing of coded data stored in database
US20030074564A1 (en) * 2001-10-11 2003-04-17 Peterson Robert L. Encryption system for allowing immediate universal access to medical records while maintaining complete patient control over privacy
WO2003034294A2 (en) * 2001-10-11 2003-04-24 Symbasis Gmbh Data processing system for patient data
US20050236474A1 (en) * 2004-03-26 2005-10-27 Convergence Ct, Inc. System and method for controlling access and use of patient medical data records

Also Published As

Publication number Publication date
WO2008061267A1 (en) 2008-05-29
AT503291A4 (en) 2007-09-15

Similar Documents

Publication Publication Date Title
EP1290530B1 (en) Encryption of data to be stored in an information processing system
DE69731338T2 (en) Method and system for secure transmission and storage of protected information
EP2409452B1 (en) Method for providing a cryptic pair of keys
DE19925910A1 (en) Data processing of coded data stored in database
EP2147388B1 (en) Computer system and method for storing data
EP3452941B1 (en) Method for electronically documenting license information
DE102006012311A1 (en) Digital data set pseudonymising method, involves pseudonymising data sets by T-identity protector (IP) client, and identifying processed datasets with source-identification (ID), where source-ID refers to source data in source system
EP2122588B1 (en) Chip card having a first user function, method for selecting an identifier, and computer system
EP3649625B1 (en) Method for delegating access rights
DE19824787C2 (en) Procedure for secure access to data in a network
EP3471068A1 (en) Distributed system for managing personal information, method and computer program product
DE102011003784B3 (en) Securing access to distributed data in an insecure data network
DE10156877B4 (en) Method and system for secure storage and readout of user data
AT503291B1 (en) Data processing system for processing object data of standard entities, has input device that access object identification data of associated standard entity and relevant user data when security key assigned to standard entities is entered
DE102006057201A1 (en) Smart card for mobile telecommunication device for use as electronic patient card, has code and pointer and code is provided for encoding of another code, which is transmitted by doctor information system
DE10307996B4 (en) Method for encrypting and decrypting data by different users
DE102008011882B4 (en) Device and method for controlled data exchange between at least two data carriers
DE10209780B4 (en) Data processing system for patient data
WO2007076840A1 (en) Data object processing system and method for editing electronic data objects
US7853581B2 (en) Data processing system for the processing of object data
EP1650630B1 (en) Computer system and data storage method
EP3723339B1 (en) Secure release of protected function
DE102009016419B4 (en) A method for securely storing records containing confidential data and associated identification data
DE10307995B4 (en) Method for signing data
DE102017103519A1 (en) Method for secure access to data

Legal Events

Date Code Title Description
MM01 Lapse because of not paying annual fees

Effective date: 20181121