DE10307996B4 - Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer - Google Patents

Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer Download PDF

Info

Publication number
DE10307996B4
DE10307996B4 DE10307996A DE10307996A DE10307996B4 DE 10307996 B4 DE10307996 B4 DE 10307996B4 DE 10307996 A DE10307996 A DE 10307996A DE 10307996 A DE10307996 A DE 10307996A DE 10307996 B4 DE10307996 B4 DE 10307996B4
Authority
DE
Germany
Prior art keywords
data
user
key
processing device
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10307996A
Other languages
English (en)
Other versions
DE10307996A1 (de
Inventor
Thomas Prof. Birkhölzer
Frank Krickhahn
Jürgen Dr. Vaupel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Healthcare GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE10307996A priority Critical patent/DE10307996B4/de
Priority to US10/785,180 priority patent/US7689829B2/en
Priority to CN200410006629.3A priority patent/CN1525684B/zh
Publication of DE10307996A1 publication Critical patent/DE10307996A1/de
Application granted granted Critical
Publication of DE10307996B4 publication Critical patent/DE10307996B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren zum autorisierten Datenzugriff auf Daten eines Datenspeichers (37) durch eine Anzahl Nutzer mittels Ver- und Entschlüsseln von Daten,
dadurch gekennzeichnet,
• dass die Nutzer in Nutzergruppen eingeteilt sind, wobei jeder Nutzergruppe ein Datenschlüssel zugeordnet ist,
• dass in einem ersten Schritt (3) eine Sicherheitsabfrage zur Ermittlung der Identität des Nutzers durchgeführt wird, und
• dass in einem zweiten Schritt (19) in Abhängigkeit vom Ergebnis der Sicherheitsabfrage dem Nutzer der nicht einsehbare Datenschlüssel seiner Nutzergruppe zugeordnet wird.

Description

  • Die Erfindung betrifft ein Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer. Die Erfindung betrifft außerdem eine Datenverarbeitungseinrichtung zur Durchführung des Verfahrens sowie ein Speichermedium, auf dem Information, z. B. ein Computer-Programm, zur Ausführung des Verfahrens gespeichert ist.
  • Die vermehrte Nutzung elektronischer Daten und Kommunikationswege bringt ständig wachsende Anforderungen an den Schutz der Daten vor unerwünschten Datenzugriffen, gleichzeitig aber auch an die möglichst einfache, bequeme und unaufwändige Zugreifbarkeit der Daten mit sich. Insbesondere aufgrund der zunehmenden gegenseitigen Vernetzung und der häufig großen Anzahl verschiedener Nutzer, die physikalischen Zugang zu bestimmten Daten erlangen können, sind wirksame elektronische oder software-basierte Kontroll- und Schutzmechanismen unerlässlich geworden.
  • Der effektive Schutz von vielfältig zugreifbaren Daten vor unberechtigtem Zugriff spielt eine bedeutende Rolle. Eine Vielzahl von Verschlüsselungs-Mechanismen unter Verwendung symmetrischer oder asymmetrischer Datenschlüssel ist bekannt, von denen die auf Basis asymmetrischer Schlüssel-Systeme arbeitenden Verschlüsselungs-Programme wie PGP zu den sichersten und am bequemsten handhabbaren gehören dürften und daher die weiteste Verbreitung gefunden haben. Sowohl symmetrische als auch asymmetrische Schlüsselsysteme basieren auf der Verwendung zumindest eines individuellen Datenschlüssels, der nur dem berechtigten Nutzer zur Ver- und Entschlüsselung seiner Daten zugänglich sein darf. Der Zugang zu diesem individuellen Schlüssel ist vor nicht berechtigten Nutzern möglichst effektiv zu schützen.
  • Aus der US 2002/0101994 A1 ist ein Verfahren zum Zertifizieren von Veröffentlichungsdaten eines Datenservers bekannt. Für jede Veröffentlichung von Daten und den Zugriff auf diese Daten wird ein Protokoll erstellt, welches mit einem am Datenserver hinterlegten geheimen Schlüssel verschlüsselt wird.
  • Die DE 199 60 977 A1 beschreibt ein Datenarchivierungs- und -austauschsystem bei dem ein Dokumentenurheber auf einem Datenserver Daten in verschlüsselter Form hinterlegt und einem Partner Zugriffsrechte auf diese Daten einräumt. Will der Partner auf die Daten zugreifen, muss er sich über eine Sicherheitsabfrage beim Datenserver autorisieren. Erst dann werden die Daten für den Zugriff des Partners vom Datenserver entschlüsselt.
  • Aus der DE 101 21 819 A1 schließlich ist ein Verfahren zum gesicherten Zugriff auf medizinische Patientendaten bekannt. Mittels einer Sicherheitsabfrage mit einem biometrischen System wird die Identität eines Patienten und eines behandelnden Arztes überprüft. Nur wenn dem behandelnden Arzt ein Zugriffsrecht auf die auf einem Datenserver verschlüsselt gespeicherten Patientendaten eingeräumt ist, werden die Patienendaten für ihn zur Einsicht oder Änderung entschlüsselt.
  • Der Schutz elektronischer Daten vor unberechtigten Zugriffen spielt bei personenbezogenen Daten wie Adresslisten oder Kundendaten, bei Daten im Finanzwesen und insbesondere bei Daten im Gesundheitswesen eine besonders wichtige Rolle. Im Gesundheitswesen, wo strengste Anforderungen an die Datensicherheit gestellt werden, fordern Datenschutzbestimmungen, dass jeder Nutzer von Daten eindeutig identifiziert und authentifiziert wird. Authentifizierung bedeutet, dass die Authentifizierung eines Nutzer in Abhängigkeit von dessen Identifizierung zuerkannt wird und nur authentifizierte Nutzer Zugriff auf die fraglichen Daten erhalten können. Die Funktion der Authentifizierung wird im Gesundheitswesen auch „access control” genannt.
  • Zusätzlich zur Authentifizierung wird in sicherheitskritischen Datenanwendungen, z. B. in der Telemedizin oder in Home-Care-Systemen, bei jeglicher Kommunikation über grundsätzlich unsichere Kommunikationskanäle und bei jeder Speicherung sicherheitskritischer Daten eine Verschlüsselung gefordert. Bei der Nutzung verschlüsselter Daten kann es vorkommen, dass mehrere unterschiedliche Nutzer die Möglichkeit zum Datenzugriff haben sollen. Dies kann z. B. bei der Verwaltung von Kundendaten durch die Angestellten einer Bank der Fall sein, bei Personaldaten in Personalabteilungen, bei der gemeinsamen Nutzung von Daten in Entwicklungs-Teams oder bei Daten im Gesundheitswesen, die mehreren behandelnden Ärzten oder einem bestimmten Kreis medizinischen Fachpersonals zugänglich sein sollten. Hier besteht das Problem, dass Daten, die von einem bestimmten Nutzer mit seinem individuellen Datenschlüssel verschlüsselt wurden, durch andere Nutzer mit anderen individuellen Datenschlüsseln nicht entschlüsselt werden können.
  • Um die gemeinsam zu nutzenden verschlüsselten Daten trotzdem bestimmten Nutzerkreisen zugänglich zu machen, ist es häufig üblich, den hierfür erforderlichen Datenschlüssel allen Nutzern mitzuteilen. Die Verteilung des Schlüssels an den Nutzerkreis führt zu erheblichen Problemen für die Datensicherheit, da der Schlüssel einer Vielzahl von beteiligten Personen mitgeteilt werden muss, und da es aufgrund der schlechten Memorierbarkeit von sicherheitstechnisch wirksamen Datenschlüsseln nicht unüblich ist, dass diese auf ungeeignete Weise aufbewahrt werden, z. B. auf Notizzetteln in Schreibtischschubladen. Die zentrale Verwaltung der Schlüssel macht außerdem das Führen von Schlüsselbüchern, sogenannten Code-Büchern, erforderlich, deren Ausspionierbarkeit einen weiteren Unsicherheitsfaktor darstellt.
  • Die Aufgabe der Erfindung besteht darin, die sichere Handhabung von Datenschlüsseln für mehrere, unterschiedliche Nutzer zur Nutzung gemeinsamer verschlüsselter Daten zu vereinfachen.
  • Die Erfindung löst diese Aufgabe durch ein Verfahren gemäß dem ersten Patentanspruch, durch eine Vorrichtung mit den Merkmalen des achten Patentanspruchs und durch ein Speichermedium mit Information, z. B. einem Computer-Programm, zur Ausführung des Verfahrens gemäß dem vierzehnten Patentanspruch.
  • Die Erfindung beruht auf der Erkenntnis, dass die Fähigkeit zur Ver- und Entschlüsselung gemeinsam genutzter Daten nicht personenbezogen, sondern gruppenbezogen ist. Jeder Nutzer der gemeinsam zu nutzenden verschlüsselten Daten wird damit nicht mehr als Person, sondern entsprechend seiner Zugehörigkeit zu einer Gruppe identifiziert.
  • Ein Grundgedanke der Erfindung besteht darin, Personen, die verschlüsselte Daten gemeinsam nutzen, keinen nutzerindividuellen Datenschlüssel zum Zugriff auf die Daten zuzuteilen. Stattdessen wird solchen Personen in Abhängigkeit von ihrer Zugehörigkeit zu einer Nutzer-Gruppe ein gemeinsamer Nutzer-Gruppen-Datenschlüssel zugeteilt. Alle Mitglieder der Nutzer-Gruppe können unter Verwendung des Nutzer-Gruppen-Datenschlüssel gemeinsam zu nutzende Daten ver- sowie entschlüsseln. Der Datenschlüssel wird automatisch zugeteilt, den Nutzern aber nicht mitgeteilt, d. h. die Nutzer erhalten keine Kenntnis von der tatsächlichen Beschaffenheit des Datenschlüssels. Demzufolge müssen sie sich den Datenschlüssel weder merken, noch können sie ihn kommunizieren. Dadurch werden wesentliche Unsicherheitsfaktoren herkömmlicher Schlüssel-Systeme unterbunden.
  • Außerdem ergibt sich dadurch der weitere Vorteil, dass bei Änderungen der personellen Zusammensetzung einer Nutzer-Gruppe keine Änderungen des Datenschlüssels erforderlich sind. Insbesondere ist es nicht notwendig, einen neuen Datenschlüssel einzuführen, wenn einzelne Personen die Nutzer-Gruppe verlassen, da diese Personen keine Kenntnis von der Beschaffenheit des Datenschlüssels haben, die sie nach Ausscheiden aus der Gruppe in irgendeiner Weise missbrauchen könnten. Stattdessen erhalten sie beim Versuch, auf Daten zuzugreifen, einfach keinen gültigen Datenschlüssel mehr zugeteilt.
  • Die Verwendung eines automatisch zugeteilten Nutzer-Gruppen-Datenschlüssels ermöglicht es außerdem, den Datenschlüssel beliebig komplex zu gestalten und beliebig häufig zu wechseln. Es obliegt dem Verschlüsselungs-System, die verschlüsselten Daten-Bestände automatisch umzuschlüsseln, d. h. unter Verwendung des alten Datenschlüssels zu entschlüsseln, unter Verwendung des neuen Datenschlüssels wieder zu verschlüsseln, und den Nutzern zeitlich auf die Umschlüsselung abgestimmt den neuen Nutzer-Gruppen-Datenschlüssel zuzuteilen. Dadurch entfällt jeder Aufwand beim Kommunizieren des neuen Datenschlüssels und beim Abstimmen des Zeitpunkts von dessen Einführung, wodurch weitere Gefahren für die Sicherheit des Verschlüsselungs-Systems unterbunden werden.
  • Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Patentansprüche.
  • Nachfolgend werden Ausführungsbeispiele der Erfindung anhand von Figuren näher erläutert. Es zeigen:
  • 1 Flussdiagramm mit den zur Ausführung der Erfindung erforderlichen Verfahrensschritten,
  • 2 zur Ausführung der Erfindung geeignete Systemarchitektur.
  • 1 zeigt die Verfahrensschritte, die zur Ausführung der Erfindung erforderlich sind. Das Verfahren startet in Schritt 1 damit, dass ein Datenzugriff erfolgen soll, der den Einsatz eines Kryptografie-Programms zur Ver- oder Entschlüsselung von Daten erforderlich macht. In Schritt 3 wird das Kryptografie-Programm gestartet. Je nach Anwendung kann der Start des Kryptografie-Programms vom Nutzer selbst oder aus einem Anwendungs-Programm heraus automatisch gestartet werden.
  • In Schritt 5 erfolgt eine Sicherheitsabfrage, mittels derer der Nutzer als real existierende Person identifiziert werden soll. Dazu werden vom Nutzer Personen-individuelle Daten erfragt, die allen Anforderungen an die Datensicherheit genügen müssen. Vorzugsweise erfolgt die Sicherheitsabfrage durch eine biometrische Erfassung von charakteristischen und möglichst täuschungssicheren Daten wie Fingerabdruck oder Gestalt der Iris. Daneben besteht die Möglichkeit, dass sich der Nutzer durch eine elektronische Chipkarte oder durch einen elektronischen oder mechanischen Schlüssel ausweisen kann.
  • In Schritt 7 greift das Kryptografie-Programm auf eine Nutzer-Datenbank zu. In der Nutzer-Datenbank sind Informationen abgelegt, mittels derer der Nutzer unter Verwendung der Daten, die vorher in der Sicherheitsabfrage in Schritt 5 ermittelt wurden, identifiziert werden kann.
  • In Schritt 9 ermittelt das Kryptografie-Programm auf Basis der Daten aus der Sicherheitsabfrage und der Daten aus der Abfrage der Nutzer-Datenbank die Identität des Nutzers. Der Grad der Täuschungssicherheit bei der Ermittlung der Nutzer-Identität hängt dabei im wesentlichen von der Täuschungssicherheit der Sicherheitsabfrage in Schritt 5 sowie der Datensicherheit der Nutzer-Datenbank ab.
  • In Schritt 11 fragt das Kryptografie-Programm eine Nutzer-Gruppen-Datenbank ab. Diese enthält Daten, die es erlauben, den Nutzer anhand seiner vorangehend ermittelten Nutzer-Identität einer Nutzer-Gruppe zuzuordnen. Die Nutzer-Gruppen-Datenbank enthält also Informationen über Gruppen von gleichberechtigten Nutzern. Solche Gruppen können z. B. Praxis-Teams aus medizinischem Fachpersonal sein, Mitglieder von Finanzinstituten, Mitarbeiter von Personalabteilungen oder Forschungs-Teams. Allen diesen Gruppen ist gemein, dass sie mit den selben Personen- oder objektspezifischen, sicherheitskritischen Daten arbeiten, die zwar allen Team-Mitgliedern zugänglich sein müssen, die jedoch keinesfalls anderweitig zugreifbar sein dürfen.
  • Die Gruppen-Zugehörigkeit kann sich entweder objektbezogen ergeben, d. h. aus dem Bedürfnis bestimmter Nutzer, mit einem bestimmten Datenbestand arbeiten zu können, oder subjektbezogen, d. h. aus der hierarchischen Berechtigung bzw. Vertraulichkeits-Einstufung des jeweiligen Nutzer, auf Daten eines bestimmten Sicherheits-Levels aufgrund der Stellung im Betrieb grundsätzlich zugreifen zu dürfen. Außerdem kann ein Nutzer mehreren Nutzer-Gruppen angehören, die z. B. mehrere Praxis-Teams repräsentieren, in denen der Nutzer gleichzeitig mitarbeitet. In solchen Fällen hat der Nutzer automatisch Zugriff auf verschiedene, unterschiedliche Datenbestände.
  • In Schritt 15 fragt das Kryptografie-Programm eine Datenschlüssel-Datenbank ab. Die Datenschlüssel-Datenbank enthält Informationen, die die Zuteilung bestimmter Datenschlüssel zu bestimmten Nutzern oder Nutzer-Gruppen ermöglichen.
  • In Schritt 17 ermittelt das Kryptografie-Programm aus der zuvor ermittelten Nutzer-Gruppe und den Daten der Datenschlüssel-Datenbank den oder die zuzuteilenden Datenschlüssel.
  • In Schritt 19 teilt das Kryptografie-Programm dem jeweiligen Nutzer seinen oder seine Datenschlüssel zu. Dieser Vorgang verläuft für den Nutzer uneinsehbar, da das Kryptografie-Programm den oder die ermittelten Datenschlüssel unmittelbar zur Ver- oder Entschlüsselung von Anwendungs-Daten verwendet. Insbesondere erhält der Nutzer keine Information über die Beschaffenheit der zugeteilten Datenschlüssel. Die Zuteilung eines oder mehrerer Datenschlüssel erfolgt also im Ergebnis der Sicherheitsabfrage automatisch und für den Nutzer unbemerkt.
  • In Schritt 21 führt das Kryptografie-Programm die angeforderte kryptografische Operation durch, es ver- oder entschlüsselt also Daten zur Benutzung durch den Nutzer oder durch ein anderes, vom Nutzer gestartetes Anwendungsprogramm. In Schritt 23 ist der komplette Kryptografie-Vorgang beendet und der Nutzer wird wieder vom Verschlüsselungs-System abgemeldet.
  • Das Verfahren zur Ausführung der Erfindung wurde auf Basis der Verwendung von drei unterschiedlichen Datenbanken beschrieben, einer Nutzer-Datenbank, einer Nutzer-Gruppen-Datenbank und einer Datenschlüssel-Datenbank. Die drei Datenbanken repräsentieren die logischen Zuordnungen von Informationen, die im Ablauf des Verschlüsselungs-Verfahrens getätigt werden müssen. Zum ersten muss der Nutzer im Ergebnis der Sicherheitsabfrage identifiziert werden, zum zweiten muss der identifizierte Nutzer einer Nutzer-Gruppe zugeordnet werden und zum dritten muss der zu dieser Nutzer-Gruppe gehörige Datenschlüssel ermittelt werden.
  • Die Verwendung dreier Datenbanken verleiht dem Verschlüsselungs-System einen modularen Aufbau mit größtmöglicher Flexibilität. In jeder der drei Datenbanken können jederzeit unabhängig von den anderen beiden Datenbanken Änderungen vorgenommen werden. In der Nutzer-Datenbank können die zur Identifikation des Nutzers verwendeten, sicherheitskritischen Informationen regelmäßig geändert werden. In der Nutzer-Gruppen-Datenbank können Änderungen der Gruppen, also der zur gemeinsamen Nutzung von Datenbeständen vorgesehenen Personen, vorgenommen werden, die tatsächliche Änderungen der Zugehörigkeit einzelner Personen zu Nutzer-Teams Wiederspiegeln. In der Datenschlüssel-Datenbank können regelmäßig Änderungen der Datenschlüssel vorgenommen werden, um die Sicherheit des Systems zu erhöhen. Damit verbunden ist jeweils das Umschlüsseln des Datenbestandes erforderlich, d. h. das Entschlüsseln mit dem alten und Verschlüsseln mit dem neu einzuführenden Datenschlüssel.
  • Obwohl der modulare Aufbau mit drei Datenbanken die tatsächlichen logischen Zuordnungen korrekt repräsentiert, ist es selbstverständlich möglich, stattdessen lediglich zwei oder auch nur ein Datenbanksystem zu verwenden.
  • In 2 ist eine elektronische Datenverarbeitungseinrichtung 31 dargestellt, auf der das Verfahren zur Ausführung der Erfindung ausgeführt werden kann. Die Datenverarbeitungseinrichtung 31 weist eine Tastatur 33 oder ein sonstiges Eingabegerät sowie einen Bildschirm 35 auf. Je nach Art der Anwendung können auch akustische Ein- und Ausgangssignale verarbeitet werden. Art und Umfang der Ein- und Ausgabegeräte sind für die Ausführung der Erfindung nicht von Belang. Sie hat Zugriff auf einen Anwendungs-Datenspeicher 37, der der Speicherung vorzugsweise verschlüsselter Anwendungs-Daten dient. Bei der elektronischen Datenverarbeitungseinrichtung kann es sich sowohl um einen medizinischen Arbeitsplatz, z. B. eine sogenannte Modalität, als auch um einen beliebigen anderen Bildschirmarbeitsplatz, z. B. ein Bankterminal, handeln.
  • Die Datenverarbeitungseinrichtung 31 ist mit einem Sicherheitsabfrage-Mittel 39 verbunden, das der Ermittlung von Daten zur Identifikation des jeweiligen Nutzers dient. Das Sicherheitsabfrage-Mittel 39 kann in einem Chipkartenleser bestehen, der eine Nutzer-individuelle Chipkarte ausliest. Es kann auch ein mechanisches oder elektronisches Schloss sein, das einen Nutzer-individuellen Schlüssel erfordert. Nicht zuletzt kann es ein Sensor zur Ermittlung biometrischer Daten des Nutzers sein, die beispielsweise die Gestalt von dessen Iris, dessen Fingerabdrücke oder dessen Sprach-Frequenzspektrum misst. Die Verwendung biometrischer Daten im Rahmen der Sicherheitsabfrage weist den Vorteil auf, dass keinerlei Schlüssel oder Karte verwendet werden muss, die der Nutzer verlieren oder die ihm entwendet werden könnten. Darüber hinaus ist die Täuschungssicherheit biometrischer Daten höher einzuschätzen als die von sonstigen Schlüsselsystemen.
  • Die Datenverarbeitungseinrichtung 31 hat weiter Zugriff auf einen Nutzer-Datenspeicher 41, der Informationen zur Identifikation von Nutzern anhand der durch die Sicherheitsabfrage-Mittel 39 ermittelten Daten enthält. Diese Daten ermöglichen es dem System, den jeweiligen Nutzer als real existierende Person zu identifizieren.
  • Die Datenverarbeitungseinrichtung 31 hat außerdem Zugriff auf einen Nutzer-Gruppen-Datenspeicher 43, der Daten enthält, anhand derer Zuordnungen zwischen Nutzern und Nutzer-Gruppen festgestellt werden können. Durch Abfrage dieser Daten kann das System feststellen, zu welcher Nutzer-Gruppe oder zu welchen Nutzer-Gruppen ein zuvor identifizierter Nutzer gehört.
  • Die Datenverarbeitungseinrichtung 31 hat außerdem Zugriff auf einen Datenschlüssel-Datenspeicher 45, der Daten enthält, anhand derer Zuteilungen von Datenschlüsseln zu Nutzern und Nutzer-Gruppen aufgefunden werden können. Der Datenschlüssel-Datenspeicher enthält offensichtlich die sicherheitskritischsten Informationen des Systems insofern, als er alle Datenschlüssel enthält, anhand derer Daten im Anwendungs-Datenspeicher 37 entschlüsselt werden können.
  • Für den Datenschlüssel-Datenspeicher 45 gelten besondere Sicherheitsanforderungen, die eine entfernt angeordnete, zentrale Aufstellung dieses Datenspeichers sinnvoll machen können. Zu diesem Zweck greift die Datenverarbeitungseinrichtung 31 auf den Datenschlüssel-Datenspeicher 45 über ein Datenfernverbindungs-Mittel 47 zu. Die entfernte Anbringung des Datenschlüssel-Datenspeichers 45 ermöglicht zum einen deren Trennung von der Datenverarbeitungseinrichtung 31 und dadurch die Trennung von möglichen weiteren Datenverarbeitungseinrichtungen, die mit der Datenverarbeitungseinrichtung 31 vernetzt sein können. Zum anderen ermöglicht sie die Einrichtung besonders strenger Sicherheitsvorkehrungen speziell für den Datenschlüssel-Datenspeicher 45, wie z. B. besonders restriktive Fire-Walls.
  • Je nach Sicherheitsvorkehrungen kann das Datenfernverbindungs-Mittel 47 über einen geschützten oder einen ungeschützten Kommunikationskanal verfügen. Außerdem kann der Kommunikationskanal des Datenfernverbindungs-Mittels 47 komplett gesperrt sein und nur in Abhängigkeit vom Ergebnis der Sicherheitsabfrage durch das Sicherheitsabfrage-Mittel 39 geöffnet werden; hierzu kann beispielsweise eine telefonische Modemverbindung verwendet werden.
  • Je nach Organisation der mit der Datenverarbeitungseinrichtung auszuführenden Arbeiten können die verschiedenen Datenspeicher 37, 41, 43, 45 sämtlich getrennt oder teilweise oder vollständig zusammengefasst sein. Unter Verzicht auf den modularen Aufbau mit einzelnen Datenspeichern und auf die entfernte Anordnung des Datenschlüssel-Datenspeichers 45 können beispielsweise sämtliche relevanten Daten in einem einzigen lokalen Speicher der Datenverarbeitungseinrichtung 31, z. B. dessen Festplatte, abgelegt sein. Andererseits kann beispielsweise der Nutzer-Gruppen-Datenspeicher 43 in einer Verwaltungsabteilung aufgestellt sein, die für die Organisation der Arbeitsabläufe und die Zusammenstellung der Nutzer-Gruppen zuständig ist, der Datenschlüssel-Datenspeicher 45 dagegen in einer Informations-Technologieabteilung, die für die Implementierung und Realisierung des Verschlüsselungs-Systems zuständig ist und zuletzt der Nutzer-Datenspeicher 41 in einer für Personen-Daten zuständigen Ausweisstelle, die für die Erfassung und Verifizierung personenspezifischer Erkennungs- oder Sicherheits-Daten zuständig ist.
  • Wesentlich an der elektronischen Datenverarbeitungseinrichtung zur Ausführung der Erfindung ist lediglich, dass die Sicherheitsabfrage durch das Sicherheitsabfrage-Mittel 39 keinen Rückschluss auf den Datenschlüssel gestattet, den das Verschlüsselungssystem zur Ver- und Entschlüsselung von Anwendungs-Daten verwendet. Diese Trennung bildet die Grundlage dafür, dass ein Datenschlüssel zur Ver- und Entschlüsselung von Daten zuteilt werden kann, der sich dem direkten Zugriff des Nutzers entzieht und für diesen nicht einsehbar ist. Stattdessen erhält der Nutzer durch einen einzigen Anmeldevorgang am System automatisch den oder die für seine Gruppenzugehörigkeit definierten Datenschlüssel zum Zugriff auf die verschlüsselten Daten.

Claims (14)

  1. Verfahren zum autorisierten Datenzugriff auf Daten eines Datenspeichers (37) durch eine Anzahl Nutzer mittels Ver- und Entschlüsseln von Daten, dadurch gekennzeichnet, • dass die Nutzer in Nutzergruppen eingeteilt sind, wobei jeder Nutzergruppe ein Datenschlüssel zugeordnet ist, • dass in einem ersten Schritt (3) eine Sicherheitsabfrage zur Ermittlung der Identität des Nutzers durchgeführt wird, und • dass in einem zweiten Schritt (19) in Abhängigkeit vom Ergebnis der Sicherheitsabfrage dem Nutzer der nicht einsehbare Datenschlüssel seiner Nutzergruppe zugeordnet wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass in der Sicherheitsabfrage biometrische Daten des Nutzers abfragbar sind.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in der Sicherheitsabfrage ein Nutzer-individueller elektronischer und/oder mechanischer Schlüssel abfragbar ist.
  4. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass der zuzuteilende Datenschlüssel durch Vergleich der in der Sicherheitsabfrage erhaltenen Daten mit dem Inhalt eines Datenschlüssel-Speichers (45) ermittelbar ist.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass der Vergleich der in der Sicherheitsabfrage erhaltenen Daten mit dem Inhalt des Datenschlüssel-Speichers (45) über ein Datenfernverbindungs-Mittel (47) erfolgt.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass jeder Nutzer mehreren Nutzergruppen gleichzeitig zuteilbar ist.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Daten medizinisch relevant sind, dass die Nutzer Fachpersonal an einer medizinischen Einrichtung sind, und dass die Nutzer-Gruppen entsprechend den Arbeits-Gruppen innerhalb des Fachpersonals und/oder entsprechend den fachlichen Verantwortlichkeiten gebildet werden.
  8. Elektronische Datenverarbeitungseinrichtung (31) zum autorisierten Datenzugriff auf Daten eines Datenspeichers (37) durch eine Anzahl Nutzer mittels Ver- und Entschlüsseln von Daten, dadurch gekennzeichnet, • dass die Nutzer in einem Nutzer-Datenspeicher (41) gespeichert sind, • dass die Nutzer in in einem Nutzer-Gruppen-Datenspeicher (43) gespeicherte Nutzergruppen eingeteilt sind, • dass jeder Nutzergruppe ein in einem Datenschlüssel-Datenspeicher (45) gespeicherter Datenschlüssel zugeordnet ist, • dass ein Sicherheitsmittel (39) vorgesehen ist, durch das eine Sicherheitsabfrage zur Ermittlung der Identität des Nutzers durchführbar ist, und • dass durch die Datenverarbeitungseinrichtung (31) in Abhängigkeit vom Ergebnis der Sicherheitsabfrage dem Nutzer der nicht einsehbare Datenschlüssel seiner Nutzergruppe zuteilbar ist.
  9. Elektronische Datenverarbeitungseinrichtung (31) nach Anspruch 8, dadurch gekennzeichnet, dass durch das Sicherheitsabfrage-Mittel (39) biometrische Daten des Nutzers abfragbar sind.
  10. Elektronische Datenverarbeitungseinrichtung (31) nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass durch das Sicherheitsabfrage-Mittel (39) ein Nutzer-individueller elektronischer und/oder mechanischer Schlüssel abfragbar sind.
  11. Elektronische Datenverarbeitungseinrichtung (31) nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass die Datenverarbeitungseinrichtung (31) Zugriff auf einen Datenschlüssel-Speicher (45) hat, um den zuzuteilenden Datenschlüssel durch Vergleich der durch die Sicherheitsabfrage erhaltenen Daten mit dem Inhalt des Datenschlüssel-Speichers (45) zu ermitteln.
  12. Elektronische Datenverarbeitungseinrichtung (31) nach Anspruch 11, dadurch gekennzeichnet, dass der Datenschlüssel-Speicher (45) von der Datenverarbeitungseinrichtung (31) entfernt angeordnet ist, und dass die Datenverarbeitungseinrichtung (31) über ein Datenfernverbindungs-Mittel (47) Zugriff auf den Datenschlüssel-Speicher (45) hat.
  13. Elektronische Datenverarbeitungseinrichtung (31) nach Anspruch 8, 9, 10, 11 oder 12, dadurch gekennzeichnet, dass die Datenverarbeitungseinrichtung (31) ein medizinischer Arbeitsplatz zur Bearbeitung medizinisch relevanter Daten ist.
  14. Speichermedium, auf dem Information gespeichert ist, die in Wechselwirkung mit einer Datenverarbeitungseinrichtung (31) treten kann, um das Verfahren nach einem der Ansprüche 1 bis 7 auszuführen.
DE10307996A 2003-02-25 2003-02-25 Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer Expired - Fee Related DE10307996B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE10307996A DE10307996B4 (de) 2003-02-25 2003-02-25 Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
US10/785,180 US7689829B2 (en) 2003-02-25 2004-02-25 Method for the encryption and decryption of data by various users
CN200410006629.3A CN1525684B (zh) 2003-02-25 2004-02-25 由不同用户对数据进行加密和解密的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10307996A DE10307996B4 (de) 2003-02-25 2003-02-25 Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer

Publications (2)

Publication Number Publication Date
DE10307996A1 DE10307996A1 (de) 2004-09-09
DE10307996B4 true DE10307996B4 (de) 2011-04-28

Family

ID=32841855

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10307996A Expired - Fee Related DE10307996B4 (de) 2003-02-25 2003-02-25 Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer

Country Status (3)

Country Link
US (1) US7689829B2 (de)
CN (1) CN1525684B (de)
DE (1) DE10307996B4 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090004850A1 (en) * 2001-07-25 2009-01-01 Seshadri Ganguli Process for forming cobalt and cobalt silicide materials in tungsten contact applications
US7496753B2 (en) * 2004-09-02 2009-02-24 International Business Machines Corporation Data encryption interface for reducing encrypt latency impact on standard traffic
AU2005299317A1 (en) 2004-10-25 2006-05-04 Security First Corp. Secure data parser method and system
CN103391354A (zh) * 2012-05-09 2013-11-13 富泰华工业(深圳)有限公司 信息保密系统及信息保密方法
CN105046127A (zh) * 2015-05-26 2015-11-11 小米科技有限责任公司 加解密实现方法及装置
JP2019161434A (ja) * 2018-03-13 2019-09-19 本田技研工業株式会社 乗物データ管理システム、及び乗物データ管理方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19960977A1 (de) * 1998-12-23 2000-07-06 Ibm System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf
US20020101994A1 (en) * 2000-12-04 2002-08-01 Fujitsu Limited Publication certifying system, viewing-access-log recording server, publishing-access-log recording server, digital-signature server, and information terminal for access-to-view
DE10121819A1 (de) * 2001-05-04 2002-11-21 Wolfgang Rosner Verfahren zur kontextspezifischen Remote-Authentifizierung des Datenzugriffs

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2053261A1 (en) * 1989-04-28 1990-10-29 Gary D. Hornbuckle Method and apparatus for remotely controlling and monitoring the use of computer software
US5787175A (en) * 1995-10-23 1998-07-28 Novell, Inc. Method and apparatus for collaborative document control
US5602918A (en) * 1995-12-22 1997-02-11 Virtual Open Network Environment Corp. Application level security system and method
DE19622630C1 (de) * 1996-06-05 1997-11-20 Siemens Ag Verfahren zum gruppenbasierten kryptographischen Schlüsselmanagement zwischen einer ersten Computereinheit und Gruppencomputereinheiten
DE19629856A1 (de) * 1996-07-24 1998-01-29 Ibm Verfahren und System zum sicheren Übertragen und Speichern von schützbaren Informationen
US6213391B1 (en) * 1997-09-10 2001-04-10 William H. Lewis Portable system for personal identification based upon distinctive characteristics of the user
ATE325505T1 (de) * 1998-09-01 2006-06-15 Irdeto Access Bv Sicheres datensignalübertragungssystem
US7006999B1 (en) * 1999-05-13 2006-02-28 Xerox Corporation Method for enabling privacy and trust in electronic communities
DE19925910B4 (de) * 1999-06-07 2005-04-28 Siemens Ag Verfahren zum Be- oder Verarbeiten von Daten
DE19940977A1 (de) 1999-08-28 2001-03-01 Lutz Claes Folie aus resorbierbarem Polymermaterial und Verfahren zur Herstellung einer solchen Folie
JP2001326632A (ja) * 2000-05-17 2001-11-22 Fujitsu Ltd 分散グループ管理システムおよび方法
US7272230B2 (en) * 2001-04-18 2007-09-18 Pumpkin House Incorporated Encryption system and control method thereof
US6941456B2 (en) * 2001-05-02 2005-09-06 Sun Microsystems, Inc. Method, system, and program for encrypting files in a computer system
US7380271B2 (en) * 2001-07-12 2008-05-27 International Business Machines Corporation Grouped access control list actions
US7234059B1 (en) * 2001-08-09 2007-06-19 Sandia Corporation Anonymous authenticated communications
US7212987B2 (en) * 2001-10-23 2007-05-01 International Business Machines Corporation System and method for planning a design project, coordinating project resources and tools and monitoring project progress
US7171557B2 (en) * 2001-10-31 2007-01-30 Hewlett-Packard Development Company, L.P. System for optimized key management with file groups
US7380120B1 (en) * 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
US6976023B2 (en) * 2002-04-23 2005-12-13 International Business Machines Corporation System and method for managing application specific privileges in a content management system
EP1473899A1 (de) * 2003-04-28 2004-11-03 Telefonaktiebolaget LM Ericsson (publ) Sicherheit in einem Netzwerk
US7703140B2 (en) * 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19960977A1 (de) * 1998-12-23 2000-07-06 Ibm System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf
US20020101994A1 (en) * 2000-12-04 2002-08-01 Fujitsu Limited Publication certifying system, viewing-access-log recording server, publishing-access-log recording server, digital-signature server, and information terminal for access-to-view
DE10121819A1 (de) * 2001-05-04 2002-11-21 Wolfgang Rosner Verfahren zur kontextspezifischen Remote-Authentifizierung des Datenzugriffs

Also Published As

Publication number Publication date
US20040221164A1 (en) 2004-11-04
DE10307996A1 (de) 2004-09-09
US7689829B2 (en) 2010-03-30
CN1525684A (zh) 2004-09-01
CN1525684B (zh) 2014-08-27

Similar Documents

Publication Publication Date Title
DE69731338T2 (de) Verfahren und System zum sicheren Übertragen und Speichern von geschützter Information
DE60028778T2 (de) Verfahren zur erhaltung und verteilung von individuellen sicherungseinrichtungen
EP1290530B1 (de) Verschlüsseln von abzuspeichernden daten in einem iv-system
DE202018002074U1 (de) System zur sicheren Speicherung von elektronischem Material
EP2147388B1 (de) Computersystem und verfahren zur speicherung von daten
WO2003034294A2 (de) Datenverarbeitungssystem für patientendaten
DE19925910A1 (de) Verfahren zum Be- oder Verarbeiten von Daten
EP2585963A1 (de) Verfahren zur erzeugung eines zertifikats
DE10307996B4 (de) Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
DE10156877B4 (de) Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
EP3539045B1 (de) System mit zertifikat-basierter zugriffskontrolle
EP2562671B1 (de) Verfahren zur Durchführung eines Schreibzugriffs, Computerprogrammprodukt, Computersystem und Chipkarte
DE10209780B4 (de) Datenverarbeitungssystem für Patientendaten
WO2018087175A1 (de) Zugriffskontrolle auf datenobjekte
EP3580908B1 (de) Zugriffsverwaltungssystem zum export von datensätzen
EP1650630B1 (de) Computersystem und Verfahren zur Speicherung von Daten
WO2007076840A1 (de) Datenobjektverarbeitungssystem und verfahren zur bearbeitung von elektronischen datenobjekten
DE10307995B4 (de) Verfahren zum Signieren von Daten
EP2052345B1 (de) Verfahren zur anonymen analyse authentifizierender identitäts-codes eines benutzers oder eines objekts
WO2007090466A1 (de) Computersystem und verfahren zur speicherung von daten
DE102008000348A1 (de) Verfahren zur Signierung eines medizinischen Datenobjekts
DE202021100647U1 (de) Personendatenanonymisierungssystem (PDAS) mit kundenspezifischem Token
DE102020121984A1 (de) Verschlüsselte Suche in einer Datenbank
WO2008068018A2 (de) Verfahren zur hierarchischen verwaltung von zugangsrechten
WO2008061267A1 (de) Datenverarbeitungssystem zur verarbeitung von objektdaten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R020 Patent grant now final

Effective date: 20110729

R081 Change of applicant/patentee

Owner name: SIEMENS HEALTHCARE GMBH, DE

Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, 80333 MUENCHEN, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee