-
Die
vorliegende Erfindung betrifft ein System und ein Verfahren zur
Authentifizierung mindestens eines Benutzers für den Zugriff auf eine sicherheitssensible
Ressource, wobei das System mindestens eine sicherheitssensible
Ressource und mindestens einen Zugangspunkt aufweist.
-
Aus
dem Stand der Technik sind Systeme zur Authentifizierung von Benutzern
für den
Zugriff auf sicherheitssensible Ressourcen bekannt. Das am weitesten
verbreitete System ist das des bargeldlosen Zahlungsverkehrs mit
Hilfe von Kredit- oder Bankkarten. Der Benutzer des bargeldlosen
Zahlungsverkehrs muß sich
für eine
Transaktion, beispielsweise dem Bezahlen nach einem Einkauf oder dem
Abheben von Bargeld an einem Geldautomaten, durch Vorlage seiner
Kredit- oder Bankkarte und die Eingabe einer persönlichen
Identifikationsnummer (PIN) identifizieren. Dazu wird die auf der
Karte befindliche Information, welche unter anderem die Kontonummer
und Bankverbindung des Benutzers enthält, von der bei der Transaktion
verwendeten Kasse des Verkäufers
oder des Geldautomaten, eingelesen. Um den Mißbrauch gestohlener oder verlorener Karten
zu verhindern, muß der
Benutzer der Karte sich zusätzlich
durch die geheime und im Idealfall nur dem tatsächlichen Eigentümer der
Karte bekannte Nummer ausweisen. Diese Nummer gibt der Benutzer
ebenfalls in das System ein.
-
Ein
weiteres Beispiel für
ein solches System zur Authentifizierung eines Benutzers einer sicherheitssensiblen
Ressource sind beispielsweise Kryptographiesysteme zur Verschlüsselung
und Signierung elektronischer Post (E-Mails). Die Benutzung der
Programme zur Verschlüsselung
der E-Mail sowie zur Signierung der E-Mail sind dem Benutzer nur nach
Auslesen seiner persönlichen
Chipkarte und Eingabe einer persönlichen
Identifikationsnummer zugänglich.
-
Alternativ
zur Eingabe der persönlichen Identifikationsnummer
sind heute auch Systeme verbreitet, die anstelle der PIN ein biometrisches
Merkmal des Benutzers einlesen. Beispiele für ein solches biometrisches
Merkmal sind der Fingerabdruck oder das Muster der Augeniris des
Benutzers, die ihn individuell und einmalig identifizieren.
-
Die
aus dem Stand der Technik bekannten Systeme und Verfahren zur Identifizierung
von Benutzern erfordern für
jeden Zugriff auf die sicherheitssensible Ressource des Systems
die Eingabe eines persönlichen
Identifikationsmerkmals, beispielsweise der PIN oder des biometrischen
Merkmals.
-
Dies
erweist sich als nachteilig in Systemen, bei denen die Benutzer
in einer für
Dritte einsehbaren oder zugänglichen
Umgebung auf die sicherheitssensiblen Ressourcen zugreifen müssen. Selbst wenn
sich die sicherheitssensible Ressource an einem für Dritte
nicht zugänglichen
Ort befindet, so muß sich
der Benutzer vor deren Benutzung durch Eingabe seines Identifikationsmerkmals
authentisieren. Geschieht dies beispielsweise in einem Laden, so
haben Dritte die Möglichkeit,
die PIN des Benutzers auszuspähen
und mißbräuchlich
zu benutzen. Darüber
hinaus ist die Eingabe der PIN zeitaufwendig, wenn sie aus Sicherheitsgründen eine
größere Anzahl
von Stellen aufweist.
-
Auch
alternative Systeme, welche anstelle der PIN die Eingabe eines biometrischen
Merkmals erfordern, weisen den Nachteil auf, daß die Systeme, welche aus dem
Stand der Technik bekannt sind, entweder eine zu geringe Fehlertoleranz
aufweisen, so daß es
häufig
zu fehlerhaftem Einlesen und zu einem Sperren des Systems kommt,
oder aber die Systeme sind fehlertolerant, weisen dann aber nicht
die erforderliche Sicherheit auf und Dritte können sich mißbräuchlich
bei dem System authentifizieren.
-
Gegenüber diesem
Stand der Technik liegt der vorliegenden Erfindung die Aufgabe zugrunde, ein
System und ein Verfahren zur Authentifizierung eines Benutzers für den Zugriff
auf mindestens eine sicherheitssensible Ressource bereitzustellen,
das die zuvor genannten Nachteile vermeidet und insbesondere einen
schnellen und sicheren Zugriff auf die sicherheitsrelevanten Ressourcen
ermöglicht.
-
Diese
Aufgabe wird erfindungsgemäß dadurch
gelöst,
daß ein
System zur Authentifizierung mindestens eines Benutzers bereitgestellt
wird, mit mindestens einer sicherheitssensiblen Ressource, mit mindestens
einem Zugangspunkt, mit mindestens einem Transponder und mit mindestens
einer Einrichtung zur Eingabe mindestens eines persönlichen
Identifikationsmerkmals wobei die sicherheitssensible Ressource
mit dem Zugangspunkt verbunden ist, wobei der Zugangspunkt Einrichtungen
zum Auslesen des Transponders aufweist, wobei jedem Transponder
eine sicherheitssensible Ressource zugeordnet ist, und wobei das
System eine Einrichtung zum Freischalten eines vertrauenswürdigen Kanals zwischen
dem Zugangspunkt und der sicherheitssensiblen Ressource, welche
dem Transponder zugeordnet ist, als Reaktion auf das Auslesen des Transponders
aufweist.
-
Ein
solches System ist vorteilhaft, da es dem Benutzer die Möglichkeit
bietet, sich einmal innerhalb eines vorgegebenen Zeitabschnitts,
beispielsweise eines Arbeitstages oder einer Schicht, mit Hilfe
seines persönlichen
Identifikationsmerkmals bzw. seines Hauptschlüssels an dem System anzumelden und
zu authentifizieren. Will er danach auf die Ressource zugreifen,
so muß er
sich nur noch mit Hilfe des ihm zugeordneten Transponders bzw. Nebenschlüssels gegenüber einem
Zugangspunkt, der mit der sicherheitssensiblen Ressource verbunden
ist, authentifizieren. Stimmt die Kennung des Transponders mit derjenigen
Kennung des Transponders überein,
welcher dem persönlichen
Identifikationsmerkmal zugeordnet ist, so wird ein vertrauenswürdiger Kanal
zwischen dem Zugangspunkt und der sicherheitssensiblen Ressource
freigeschaltet und der Benutzer kann auf die Ressource zugreifen.
-
Besondere
Relevanz erhält
das erfindungsgemäße System
durch Einführung
der Gesundheitskarte zur Verknüpfung
der einzelnen Institutionen, beispielsweise von Ärzten und Apothekern, staatlicher
oder halbstaatlicher Gesundheitssysteme untereinander und mit den
Daten der Patienten, die auf sogenannten elektronischen Gesundheitskarten
(eGK) gespeichert werden. Dabei sind für den Zugriff auf die Daten
auf der eGK hohe Anforderungen in Bezug auf die Datensicherheit
zu stellen, welche von dem erfindungsgemäßen System erfüllt werden.
-
Die
Einrichtung zur Eingabe des mindestens einen persönlichen
Identifikationsmerkmals kann dabei wahlweise an dem Zugangspunkt
oder an einer anderen Komponente des Systems, beispielsweise an
der sicherheitssensiblen Ressource angeordnet sein. In bestimmten
Ausführungsformen
der Erfindung ist es dabei zweckmäßig, wenn die Einrichtungen
zur Eingabe des persönlichen
Identifikationsmerkmals sowohl an der sicherheitssensiblen Ressource
als auch an dem Zugangspunkt vorgesehen sind.
-
Für das erfindungsgemäße System
spielt es dabei keine Rolle, ob das persönliche Identifikationsmerkmal
eine persönliche
Identifikationsnummer (PIN) oder ein Paßwort, ein biometrisches Merkmal, beispielsweise
ein Fingerabdruck oder das Muster einer Augeniris, oder eine Identifizierungs einrichtung, beispielsweise
eine Chipkarte, ist. Auch alle Kombinationen von persönlichen
Identifikationsmerkmalen sind möglich.
Besonders bevorzugt wird eine Ausführungsform der Erfindung, bei
welcher das System mindestens eine Einrichtung zum Einlesen der
Informationen mindestens einer Identifizierungseinrichtung als persönliches
Identifikationsmerkmal, beispielsweise einer Chipkarte, aufweist.
Eine solche Einrichtung erhöht
die Sicherheit des Systems erheblich.
-
Die
sicherheitssensible Ressource ist vorzugsweise ein fest mit dem
System verbundener Datenspeicher, beispielsweise eine Festplatte
oder ein Flash-Speicher. In alternativen Ausführungsformen ist die sicherheitssensible
Ressource eine Einrichtung zum Zugreifen auf einen mobilen Datenspeicher,
beispielsweise einen USB-Stick.
-
In
manchen Anwendungsfällen
ist vorzugsweise eine Chipkartenschnittstelle die sicherheitssensible
Ressource, welche sowohl das Auslesen als auch das Beschreiben einer
Chipkarte ermöglicht. Dabei
kann die Chipkartenschnittstelle als Einrichtung zum Einlesen eines
persönlichen
Identifikationsmerkmals als auch als sicherheitssensible Ressource
dienen. Die Chipkarte, die mit der Schnittstelle verbunden wird,
ist dann sowohl persönliches
Identifikationsmerkmal als auch ein mobiler Datenträger für die sicherheitssensible
Ressource. Die sicherheitssensible Ressource kann alternativ auch
ein Computerprogramm sein, dessen Benutzung durch unbefugte Nutzer
verhindert werden soll.
-
Insbesondere
kann die sicherheitssensible Ressource aus beliebigen Kombinationen
der vorgenannten Elemente bestehen.
-
Der
Benutzer, beispielsweise ein Apotheker oder ein Art, muß sich bei
einem besonders bevorzugten System einmal während des vorgegebenen Zeitabschnitts
durch Einlesen seiner persönlichen Identifizierungseinrichtung
bzw. Health-Professional-Card (HPC) und durch Eingabe eines weiteren persönlichen
Identifikationsmerkmals, beispielsweise einer PIN ausweisen. Dabei
ist es vorteilhaft, wenn die Chipkarte bzw. die Identifizierungseinrichtung
während
des gesamten Zeitraums der Benutzung mit dem System verbunden bleibt.
Die HPC dient dann sowohl als Identifikationsmerkmal des Arztes
oder Apothekers als auch als Datenträger auf den die sicherheitssensible
Ressource des Systems zugreift.
-
Bevorzugt
ist eine Ausführungsform
der Erfindung, bei der die sicherheitssensible Ressource und der
Zugangspunkt über
ein Datennetzwerk, beispielweise über ein LAN oder WAN, miteinander
verbunden sind. Auf diese Weise lassen sich die Zugangspunkte und
die sicherheitssensible Ressource räumlich voneinander trennen.
Eine solche Trennung hat den Vorteil, daß die sicherheitssensible Ressource
beispielsweise in einer Apotheke oder einer Artpraxis in einem Dritten
nicht zugänglichen
Büro angeordnet
sein kann, während
die Zugangspunkte im Verkaufs- oder Praxisbereich, beispielsweise
an einem Verkaufstresen oder in einem Behandlungszimmer, angeordnet
sind. Die einmalige Anmeldung des Benutzers erfolgt dann in dem
später
verschlossenen Büro
oder direkt an einem der Zugangspunkte, während sich der Benutzer mit
Hilfe seines persönlichen Transponders
bei der Bedienung der Zugangspunkte authentifiziert bzw. ausweist.
-
Obwohl
bisher nur von jeweils einem Benutzer die Rede war, können sich
an dem erfindungsgemäßen System
auch mehrere Nutzer unabhängig voneinander
und gleichzeitig an einer ihnen zugeordneten sicherheitssensiblen
Ressource anmelden und authentisieren. Dazu geben alle Benutzer
einmal während
eines vorbestimmten Zeitraums ihre persönliche Identifizierungseinrichtung
in die sicherheitssensible Ressource ein und/oder identifizieren sich
durch Eingabe ihres persönlichen
Identifikationsmerkmals. Danach weist sich jeder Benutzer gegenüber dem
System durch Präsentieren
seines persönlichen
Transponders an dem jeweiligen Zugangspunkt, von dem aus er arbeiten
möchte,
aus.
-
Dabei
ist es vorteilhaft, wenn die sicherheitssensible Ressource eine
eindeutige Zuordnung zwischen dem berechtigten Benutzer oder seinem
persönlichen
Identifikationsmerkmal und dem persönlichen Transponder aufweist.
-
Wenn
mehrere Benutzer gleichzeitig auf das System zugreifen, ist es vorteilhaft,
wenn jedem persönlichen
Identifikationsmerkmal genau ein Transponder zugeordnet ist. Diese
Zuordnung kann bereits bei der Installation des Systems erfolgen
oder auch bei der Anmeldung des Benutzers an der sicherheitssensiblen
Ressource mit Hilfe des persönlichen
Identifikationsmerkmals des Benutzers.
-
Besonders
bevorzugt ist eine Ausführungsform
der Erfindung, bei welcher der Transponder und die Einrichtung zum
Auslesen des Transponders eine vorzugsweise berührungslose elektromagnetische oder
induktive Übertragungseinrichtung
aufweisen. Je nach Einsatzbereich des Systems kann eine Übertragungseinrichtung
mit unterschiedlicher Reichweite verwendet werden. Beispielsweise
sollte in einem Verkaufsbereich, in dem mehrere Personen Zugriff auf
die sicherheitssensiblen Ressourcen haben müssen und verschiedene Zugangspunkte
zur Verfügung stehen,
die Übertragungseinrichtung
eine geringe Reichweite haben, um das unbeabsichtigte Freischalten
von Zugangspunkten zu verhindern. Dabei sind die Transponder vorzugsweise
Chipkarten, welche in einem Abstand von der entsprechenden Einrichtung
des Zugangspunktes gehalten werden. Auch sind Systeme denkbar, bei
denen der Transponder zum Auslesen auf den Zugangspunkt aufgelegt
oder in diesen eingeschoben werden muß. Die Transponder können aktive
Sender aufweisen, jedoch auch vollständig passive Bauteile enthalten,
so wie sie von der bekannten RFID-Technologie bereitgestellt werden.
-
Bevorzugt
wird eine Ausführungsform
der Erfindung, bei der die elektromagnetische oder induktive Übertragungseinrichtung
bei einer Frequenz von 13,56 MHz arbeitet. Diese Übertragungsfrequenz wird
sowohl von dem Standard ISO 14443 für die Kommunikation mit Karten
im Nahbereich bis etwa 10 cm (Proximity Card Standard) als auch
von dem Standard ISO 15693 für
die Kommunikation mit Karten im Umgebungsbereich bis etwa 2 Meter
(Vicinity Card Standard) verwendet.
-
Besonders
vorteilhaft ist dabei eine Ausführungsform
der Erfindung, bei der die Übertragungseinrichtung
zum Auslesen des Transponders eine optische Übertragungseinrichtung ist.
Diese kann alternativ passiv ausgelegt sein, d.h. der Transponder weist
einen Barcode oder ähnliches
auf, der mit Hilfe eines an dem Zugangspunkt angeordneten optischen
Systems ausgelesen wird, oder der Transponder sendet ein entsprechend
codiertes optisches Signal aktiv aus.
-
In
einer alternativen Ausführungsform
ist die Einrichtung zum Auslesen des Transponders ein mechanisches
Schloß,
in welches ein mechanischer Schlüssel
als Transponder eingeführt
wird. Dabei wird beim Schließen
ein entsprechendes elektrisches Signal zum Freischalten des vertrauenswürdigen Kanals
erzeugt. Die individuelle Identifizierung des Schlüssels erfolgt
mit Hilfe seiner individuellen Form oder durch Kombination des mechanischen
Schlüssels
mit elektrischen Einrichtungen zu seiner Identifizierung, wie sie
beispielsweise aus Wegfahrsperren für Kraftfahrzeuge bekannt sind.
-
Besonders
bevorzugt wird eine Ausführungsform
der Erfindung, bei der die Ressource und/oder der Zugangspunkt mindestens
eine Einrichtung zum Schließen
des vertrauenswürdigen
Kanals aufweisen. Nach Abschluß eines
Zugriffs auf die sicherheitssensible Ressource kann so der vertrauenswürdige Kanal
zwischen einem Zugangspunkt und der sicherheitssensiblen Ressource
wieder geschlossen werden. Dabei kann das Schließen des vertrauenswürdigen Kanals
nach Zeitablauf, nach Eingabe eines bestimmten Befehls in den Zugangspunkt
oder auch nach Entfernen des Transponders aus der Umgebung des Zugangspunktes
erfolgen.
-
Bezüglich des
Verfahrens wird die Aufgabe durch Bereitstellung eines Verfahrens
zur Identifizierung mindestens eines Benutzers für den Zugriff auf ein System
mit mindestens einer sicherheitssensiblen Ressource, mit mindestens
einem Zugangspunkt und mindestens einem Transponder gelöst, wobei die
Ressource und der Zugangspunkt miteinander kommunizieren, wobei
in das System mindestens ein persönliches Identifikationsmerkmal
des Benutzers eingelesen wird, wobei der Ressource ein Transponder
zugeordnet wird, wobei der Zugangspunkt die Möglichkeit aufweist, den Transponder
auszulesen, wobei die Möglichkeit
besteht, als Reaktion auf das Auslesen des Transponders einen logischen
Kanal zwischen der Ressource, welche dem Transponder zugeordnet
ist und dem Zugangspunkt freizuschalten.
-
Dabei
ist es zweckmäßig, wenn
nach der Identifizierung des Benutzers durch das Einlesen des persönlichen
Identifikationsmerkmals und/oder der Identifizierungseinrichtung
des Benutzers bereits ein geschlossener logischer Kanal zwischen
der Ressource und dem Zugangspunkt eingerichtet wird.
-
Über diesen
geschlossenen logischen Kanal kann so lange keine Kommunikation
zwischen der sicherheitssensiblen Ressource und den Zugangspunkten
erfolgen, bis sich der Benutzer gegenüber einem der Zugangspunkte
durch seinen persönlichen Transponder
identifiziert. Der Kanal wird nachfolgend wieder geschlossen, wenn
ein entsprechendes Steuersignal, beispielsweise aufgrund des Entfernens des
Transponders aus der Umgebung des Zugangspunktes, gegeben wird.
-
Der
Kanal wird abgebaut, wenn der Zugangspunkt ein entsprechendes Steuerkommando erhält oder
eine spezielle Taste gedrückt
wird oder das System erfaßt,
daß der
Zugangspunkt oder die Ressource nicht mehr erreichbar ist. Ein abgebauter Kanal
kann nur durch erneute Identifizierung mit Hilfe der PIN oder eines
anderen Identifikationsmerkmals wieder aufgebaut werden.
-
Das
erfindungsgemäße System
und das Verfahren bieten gegenüber
den aus dem Stand der Technik bekannten Systemen und Verfahren den Vorteil,
daß sich
die Benutzer innerhalb eines bestimmten Zeitabschnitts, z.B. einer
Arbeitsschicht, nur einmal mit Hilfe ihres persönlichen Identifikationsmerkmals,
beispielsweise einer PIN und/oder ihrer persönlichen Identifizierungseinrichtung,
gegenüber
der sicherheitssensiblen Ressource ausweisen müssen und nachfolgend mit Hilfe
eines Transponders, der die Benutzer eindeutig identifiziert, auf
die sicherheitssensible Ressource zugreifen können.
-
Anschaulich
gesprochen, weist das System einen Hauptschlüssel und einen Nebenschlüssel auf. Der
Hauptschlüssel
bietet eine hohes Maß an
Sicherheit, ist aber in der Bedienung aufwendig und umständlich und
könnte
bei häufiger
Benutzung in Gegenwart Dritter, beispielsweise durch Ausspähen einer
PIN, unsicher werden. Der Nebenschlüssel ist einfacher und unkomplizierter,
funktioniert aber nur, wenn das System insgesamt durch den Hauptschlüssel freigeschaltet
ist. Der Nebenschlüssel
(beispielsweise in Form eines Transponders) wäre als alleiniger Schlüssel viel
zu unsicher, weil er verloren gehen oder entwendet werden könnte. Er
ist aber hinreichend sicher, wenn der Benutzer ihn beispielsweise während der
Arbeitszeit permanent bei sich trägt und häufiger benutzt, wobei der Nebenschlüssel nicht mehr
funktioniert, wenn, beispielsweise am Ende der Arbeitszeit oder
Schicht, der Hauptschlüssel
von dem System entfernt bzw. das Schließsystem aktiviert wird.
-
Weitere
Merkmale, Vorzüge
und Anwendungen der vorliegenden Erfindung werden anhand der folgenden
Beschreibung einer bevorzugten Ausführungsform und der dazugehörigen Figuren
deutlich.
-
1 zeigt
eine bevorzugte Ausführungsform
des erfindungsgemäßen Systems.
-
2a–2c zeigen
Flußdiagramme
des erfindungsgemäßen Verfahrens.
-
In 1 ist
eine bevorzugte Ausführungsform
des erfindungsgemäßen Systems
schematisch dargestellt. In der dargestellten Ausführungsform
ist das System in einer Apotheke installiert. Zukünftig werden
in staatlichen bzw. halbstaatlichen Gesundheitssystemen die einzelnen
Teile bzw. Mitglieder der Systeme, d.h. die Patienten, Ärzte, Krankenhäuser und
Apotheken, miteinander vernetzt. Dies ermöglicht einen effizienteren
Austausch von Daten zwischen den einzelnen Institutionen und Mitgliedern des
Systems. Um einen Mißbrauch
der Daten zu verhindern, erhält
jeder Arzt oder Apotheker eine sogenannte Health Professional Card
(HPC), die ihn gegenüber
dem vernetzten System identifiziert und einen Zugriff auch auf Patientendaten
ermöglicht. Demgegenüber erhalten
Patienten eine sogenannte elektronische Gesundheitskarte (eGK),
mit ihren Patientendaten darauf.
-
Zum
Einlesen der Patientendaten von einer eGK in das System einer Apotheke
müssen
sich zunächst
die Mitarbeiter 1 der Apotheke bei einer sicherheitssensiblen
Ressource 2, 3 welche das Auslesen und Abspeichern
der Patientendaten ermöglicht,
anmelden und identifizieren. Dazu weist die sicherheitssensible
Ressource 2, 3 Kartenlesegeräte auf, in welche die Mitarbeiter
ihre persönlichen
HPCs einschieben können.
Zusätzlich
muß jeder
Mitarbeiter nach dem Einschieben der HPC seine persönliche Identifikationsnummer
eingeben, um sich gegenüber der
sicherheitssensiblen Ressource 2, 3 als rechtmäßiger Besitzer
der Karte auszuweisen. In der in 1 dargestellten
Ausführungsform
der Erfindung sind zwei sicherheitssensible Ressourcen 2, 3 vorgesehen,
wobei die Zahl der Ressourcen 2, 3 der Anzahl der
zu identifizierenden Mitarbeiter entspricht. Die beiden sicherheitssensiblen
Ressourcen bilden zusammen ein Rechnersystem 4.
-
Jeder
der Mitarbeiter meldet sich zu Beginn eines Arbeitstages an einer
der sicherheitssensiblen Ressourcen 2, 3 an. Dabei
wird die HPC in den Kartenleser eingeführt und die PIN in die sicherheitssensible
Ressource 2, 3 eingegeben.
-
Die
sicherheitssensible Ressource 2, 3 mit den Lesegeräten ist
in einem Dritten, nicht zugänglichen
Raum innerhalb der Apotheke angeordnet, so daß nur die Mitarbeiter gegenständlichen
Zugriff auf die sicherheitssensiblen Ressourcen 2, 3 haben.
Die sicherheitssensiblen Ressourcen 2, 3 sind
mit Hilfe eines Datennetzwerkes 5, in der dargestellten
Form ein betriebsinternes Intranet, mit anderen Rechnern und den
Zugangspunkten 6, 7 verbunden. Die Zugangspunkte 6, 7 sind
im Verkaufsbereich, d.h. auf dem Tresen der Apotheke angeordnet.
Jeder der Zugangspunkte 6, 7 bildet ein Datenterminal,
welches einen Zugriff auf das Netzwerk 5 ermöglicht.
Dabei werden beispielsweise Rechnungen erstellt, Rezepte abgerechnet
usw. Darüber
hinaus ist mit jedem Zugangspunkt ein Barcodescanner verbunden,
mit welchem die Preisetiketten der verkauften Medikamente eingelesen
werden. Des weiteren weist jeder Zugangspunkt 6, 7 Kartenleser
zum Auslesen der eGK der Kunden bzw. Patienten auf.
-
In 2a ist
ein Flußdiagramm
dargestellt, welches den täglichen
Registrierungsprozeß für jeden
Benutzer an der sicherheitssensiblen Ressource 2 schematisch
darstellt. Dieser Vorgang des einmaligen Identifizierens wird auch
als "Enrolment" bezeichnet. Zunächst muß das System
durch Be tätigen einer
Taste in Betrieb gesetzt und nachfolgend eine Ressource durch Einschieben
der HPC ausgewählt werden.
Es folgt eine Abfrage der PIN bzw. alternativ dazu eines Paßworts des
Benutzers durch die Ressource 2. Ist die Eingabe der PIN
fehlerhaft, so bricht das System den Enrolment-Vorgang ab. Ist die eingegebene PIN
richtig, d.h. entspricht sie der zu der HPC gehörenden PIN, so wird der Benutzer
von dem System aufgefordert, den individuellen Transponder zu präsentieren
und in die Nähe
eines entsprechenden Lesegerätes
der Ressource 2 zu bringen. Das System speichert sodann
die Zugehörigkeit
des entsprechenden Transponders zu der Ressource bzw. der eingegebenen
HPC ab und ordnet diesem Transponder/Ressourcenpaar einen geschlossenen
logischen und vertrauenswürdigen
Kanal zu. Dieser Kanal steht zur Kommunikation zwischen einem beliebigen
Zugangspunkt 6, 7 mit der Ressource 2 bereit,
ist jedoch bis zum Präsentieren
eines Transponders 8 an einem der Zugangspunkte 6, 7 geschlossen.
Damit ist der Enrolment-Vorgang abgeschlossen.
-
Möchte ein
Patient Medikamente auf Rechnung einer Krankenkasse erwerben, so
legt er seine eGK dem Apotheker 1 vor. Die Patientendaten
der eGK werden mit Hilfe eines entsprechenden Kartenlesegerätes in die
Zugangspunkte 6, 7 eingelesen. Bei dem in 1 dargestellten
Beispiel führt
der Apotheker 1 die Abrechnung mit Hilfe des Zugangspunktes
bzw. Datenterminals 6 durch. Dazu präsentiert er seinen persönlichen
und zuvor am System identifizierten Transponder 8 gegenüber dem
Zugangspunkt 6. Stimmen die Identifikationsdaten des Transponders 8 mit
einer der Ressourcen 2, 3 überein, so wird der zur Ressource
gehörende
vertrauenswürdige
Kanal geöffnet.
Im vorliegenden Fall gehört
der Transponder 8 des Apothekers 1 zu der Ressource 3, so
daß zwischen
dem Zugangspunkt 6 und der Ressource 3 der logische
Kanal 9a, 9b auf dem Netzwerk geöffnet wird. Über diesen
Kanal werden sodann die Patientendaten aus der eGK ausgelesen und
zusammen mit den Informationen über
die verkauften Medikamente und die entsprechenden Preise auf der
sicherheitssensiblen Ressource 4 gespeichert.
-
Das
entsprechende Verfahren zum Freischalten des logischen Kanals 9a, 9b ist
in 2b dargestellt. Zunächst wird durch einfachen Tastendruck
das Datenterminal 6 aktiviert. In einem zweiten Schritt
wird der Transponder 8 des Apothekers 1 gegenüber dem
Datenterminal 6 präsentiert
und das System gleicht die Identifikationsdaten des Transponders 8 mit
den im System hinterlegten Daten der angemeldeten Transponder ab.
Gibt es keine Übereinstimmung
zwischen dem präsentierten
Transponder 8 und den hinterlegten Transponderdaten, so wird
der Vorgang abgebrochen. Ist der präsentierte Transponder 8 einer
der Ressourcen 2, 3 zugeordnet, bei dem in 1 dargestellten
Beispiel der Ressource 3, so wird der für den Benutzer 1 eingerichtete logische
Kanal 9a, 9b geöffnet. Damit ist der Identifizierungsprozeß abgeschlossen.
-
Wie
in 2c dargestellt, wird der einmal geöffnete vertrauenswürdige Kanal 9a, 9b nach
Abschluß des
Verkaufs durch Tastendruck oder Zeitablauf wieder geschlossen, um
eine mißbräuchli che Bedienung
des Zugangspunktes 6, d.h. insbesondere das nicht autorisierte
Auslesen von eGK zu verhindern.