DE102004026933B4 - System und Verfahren zur Authentifizierung eines Benutzers - Google Patents

System und Verfahren zur Authentifizierung eines Benutzers Download PDF

Info

Publication number
DE102004026933B4
DE102004026933B4 DE102004026933.5A DE102004026933A DE102004026933B4 DE 102004026933 B4 DE102004026933 B4 DE 102004026933B4 DE 102004026933 A DE102004026933 A DE 102004026933A DE 102004026933 B4 DE102004026933 B4 DE 102004026933B4
Authority
DE
Germany
Prior art keywords
transponder
security
sensitive resource
personal identification
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102004026933.5A
Other languages
English (en)
Other versions
DE102004026933A1 (de
Inventor
Patentinhaber gleich
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE102004026933.5A priority Critical patent/DE102004026933B4/de
Priority to DE202004021130U priority patent/DE202004021130U1/de
Publication of DE102004026933A1 publication Critical patent/DE102004026933A1/de
Application granted granted Critical
Publication of DE102004026933B4 publication Critical patent/DE102004026933B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records

Landscapes

  • Health & Medical Sciences (AREA)
  • Engineering & Computer Science (AREA)
  • Epidemiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Storage Device Security (AREA)

Abstract

System zur Authentifizierung mindestens eines Benutzers für den Zugriff auf eine sicherheitssensible Ressource – mit mindestens einer sicherheitssensiblen Ressource, wobei die sicherheitssensible Ressource ein Datenspeicher, eine Einrichtung zum Zugreifen auf einen mobilen Datenspeicher oder eine Chipkartenschnittstelle ist, – mit mindestens einer Einrichtung zum Einlesen der Informationen mindestens einer Identifizierungseinrichtung, – mit mindestens einer Einrichtung zur Eingabe mindestens eines persönlichen Identifikationsmerkmals in Form einer persönlichen Identifikationsnummer (PIN), eines Passworts oder eines blometrischen Merkmals, – mit mindestens einem Zugangspunkt mit einer Einrichtung zum Auslesen eines Transponders und – mit mindestens einem Transponder, wobei jedem Transponder mindestens eine sicherheitssensible Ressource zugeordnet ist, und jedem persönlichen Identifikationsmerkmal genau ein Transponder zugeordnet ist, – wobei die sicherheitssensible Ressource über ein Datennetzwerk mit dem Zugangspunkt verbunden ist, – wobei das System so ausgestaltet ist, dass – sich ein Benutzer während eines vorgegebenen Zeitabschnitts einmal durch Einlesen seiner Identifzierungseinrichtung und durch Eingabe seines persönlichen Identifikationsmerkmals als rechtmäßiger Benutzer identifiziert und nach der Identifizierung des Benutzers durch das Einlesen der Identifizierungseinrichtung und des persönlichen Identifikationsmerkmals ein geschlossener logischer Kanal zwischen der sicherheitssensiblen Ressource und dem mindestens einen Zugangspunkt eingerichtet wird, der dem Paar aus der sicherheitssensiblen Ressource und dem Transponder zugeordnet ist, – der logische Kanal zur Kommunikation zwischen dem Zugangspunkt und der sicherheitssensiblen Ressource danach als Reaktion auf das Auslesen des Transponders geöffnet wird, wenn der Benutzer seinen individuellen Transponder gegenüber dem Zugangspunkt präsentiert, und die Kennung des Transponders mit derjenigen Kennung des Transponders übereinstimmt, welcher dem persönlichen Identifikationsmerkmal zugeordnet ist, – der logische Kanal nach Abschluss eines Zugriffs auf die sicherheitssensible Ressource wieder geschlossen wird.

Description

  • Die vorliegende Erfindung betrifft ein System und ein Verfahren zur Authentifizierung mindestens eines Benutzers für den Zugriff auf eine sicherheitssensible Ressource, wobei das System mindestens eine sicherheitssensible Ressource, mindestens einen Zugangspunkt und mindestens eine Einrichtung zur Eingabe mindestens eines persönlichen Identifikationsmerkmals aufweist, wobei die sicherheitssensible Ressource mit dem Zugangspunkt verbunden ist, wobei es mindestens einen Transponder aufweist, wobei der Zugangspunkt mindestens eine Einrichtung zum Auslesen des Transponders aufweist, wobei jedem Transponder mindestens eine sicherheitssensible Ressource zugeordnet ist.
  • Aus dem Stand der Technik sind Systeme zur Authentifizierung von Benutzern für den Zugriff auf sicherheitssensible Ressourcen bekannt. Das am weitesten verbreitete System ist das des bargeldlosen Zahlungsverkehrs mit Hilfe von Kredit- oder Bankkarten. Der Benutzer des bargeldlosen Zahlungsverkehrs muß sich für eine Transaktion, beispielsweise dem Bezahlen nach einem Einkauf oder dem Abheben von Bargeld an einem Geldautomaten, durch Vorlage seiner Kredit- oder Bankkarte und die Eingabe einer persönlichen Identifikationsnummer (PIN) identifizieren. Dazu wird die auf der Karte befindliche Information, welche unter anderem die Kontonummer und Bankverbindung des Benutzers enthält, von der bei der Transaktion verwendeten Kasse des Verkäufers oder des Geldautomaten, eingelesen. Um den Mißbrauch gestohlener oder verlorener Karten zu verhindern, muß der Benutzer der Karte sich zusätzlich durch die geheime und im Idealfall nur dem tatsächlichen Eigentümer der Karte bekannte Nummer ausweisen. Diese Nummer gibt der Benutzer ebenfalls in das System ein.
  • Ein weiteres Beispiel für ein solches System zur Authentifizierung eines Benutzers einer sicherheitssensiblen Ressource sind beispielsweise Kryptographiesysteme zur Verschlüsselung und Signierung elektronischer Post (E-Mails). Die Benutzung der Programme zur Verschlüsselung der E-Mail sowie zur Signierung der E-Mail sind dem Benutzer nur nach Auslesen seiner persönlichen Chipkarte und Eingabe einer persönlichen Identifikationsnummer zugänglich.
  • Alternativ zur Eingabe der persönlichen Identifikationsnummer sind heute auch Systeme verbreitet, die anstelle der PIN ein biometrisches Merkmal des Benutzers einlesen. Beispiele für ein solches biometrisches Merkmal sind der Fingerabdruck oder das Muster der Augeniris des Benutzers, die ihn individuell und einmalig identifizieren.
  • Die aus dem Stand der Technik bekannten Systeme und Verfahren zur Identifizierung von Benutzern erfordern für jeden Zugriff auf die sicherheitssensible Ressource des Systems die Eingabe eines persönlichen Identifikationsmerkmals, beispielsweise der PIN oder des biometrischen Merkmals.
  • Dies erweist sich als nachteilig in Systemen, bei denen die Benutzer in einer für Dritte einsehbaren oder zugänglichen Umgebung auf die sicherheitssensiblen Ressourcen zugreifen müssen. Selbst wenn sich die sicherheitssensible Ressource an einem für Dritte nicht zugänglichen Ort befindet, so muß sich der Benutzer vor deren Benutzung durch Eingabe seines Identifikationsmerkmals authentisieren. Geschieht dies beispielsweise in einem Laden, so haben Dritte die Möglichkeit, die PIN des Benutzers auszuspähen und mißbräuchlich zu benutzen. Darüber hinaus ist die Eingabe der PIN zeitaufwendig, wenn sie aus Sicherheitsgründen eine größere Anzahl von Stellen aufweist.
  • Auch alternative Systeme, welche anstelle der PIN die Eingabe eines biometrischen Merkmals erfordern, weisen den Nachteil auf, daß die Systeme, welche aus dem Stand der Technik bekannt sind, entweder eine zu geringe Fehlertoleranz aufweisen, so daß es häufig zu fehlerhaftem Einlesen und zu einem Sperren des Systems kommt, oder aber die Systeme sind fehlertolerant, weisen dann aber nicht die erforderliche Sicherheit auf und Dritte können sich mißbräuchlich bei dem System authentifizieren.
  • Die DE 19 749 090 offenbart ein System zum Schutz einer mit Bedienvorrichtungen ausgestatteten Station einer Datenverarbeitungseinrichtung vor unberechtigtem Zugriff, wobei dem Benutzer ein als Datenträger ausgebildeter Transponder mit Autorisierungsdaten zugeordnet ist, wobei ferner ein dem Transponder zugeordnetes, als Sender und Empfänger ausgebildetes und mit Station der Datenverarbeitungsvorrichtung über eine elektrische Leitung verbundenes Lesegerät an der Station der Datenverarbeitungseinrichtung vorgesehen ist, welches die Autorisierungsdaten des Transponders berührungslos abfragt, wenn sich der Transponder im Wirkungsbereich des Lesegeräts befindet, und wobei die Station der Datenverarbeitungseinrichtung zumindest eine Eingabetastatur und eine Maus als Bedienungsvorrichtung besitzt, wobei das Lesegerät als Bestandteil einer Bedienungsvorrichtung in die Bedienungsvorrichtung integriert ist, wobei die vom Lesegerät gelesenen Autorisierungsdaten der Station der Datenverarbeitungseinrichtung über die bereits vorhandene Verbindungsleitung und Schnittstelle der Bedienungsvorrichtung zugeführt sind, wobei der Station der Datenverarbeitungseinrichtung ferner benutzerspezifische Identifikationsdaten zugeführt sind, welche den Benutzer zusätzlich zu seinem Transponder identifizieren, und wobei die Autorisierungsdaten und die Identifikationsdaten in der Station der Datenverarbeitungseinrichtung in einer vorgesehenen Freigabeeinheit, in welcher die Autorisierungs- und Identifikationsdaten gespeichert sind, zusammengeführt und verarbeitet werden, und dass die Station bei definierter Korrespondenz zwischen Autorisierungsdaten und Identifikationsdaten zur Benutzung freigegeben ist.
  • Gegenüber diesem Stand der Technik liegt der vorliegenden Erfindung die Aufgabe zugrunde, ein System und ein Verfahren zur Authentifizierung eines Benutzers für den Zugriff auf mindestens eine sicherheitssensible Ressource bereitzustellen, das die zuvor genannten Nachteile vermeidet und insbesondere einen schnellen und sicheren Zugriff auf die sicherheitsrelevanten Ressourcen ermöglicht.
  • Diese Aufgabe wird erfindungsgemäß durch ein System gemäß Anspruch 1 gelöst.
  • Ein solches System ist vorteilhaft, da es dem Benutzer die Möglichkeit bietet, sich einmal innerhalb eines vorgegebenen Zeitabschnitts, beispielsweise eines Arbeitstages oder einer Schicht, mit Hilfe seines persönlichen Identifikationsmerkmals bzw. seines Hauptschlüssels an dem System anzumelden und zu authentifizieren. Will er danach auf die Ressource zugreifen, so muß er sich nur noch mit Hilfe des ihm zugeordneten Transponders bzw. Nebenschlüssels gegenüber einem Zugangspunkt, der mit der sicherheitssensiblen Ressource verbunden ist, authentifizieren. Stimmt die Kennung des Transponders mit derjenigen Kennung des Transponders überein, welcher dem persönlichen Identifikationsmerkmal zugeordnet ist, so wird ein vertrauenswürdiger Kanal zwischen dem Zugangspunkt und der sicherheitssensiblen Ressource freigeschaltet und der Benutzer kann auf die Ressource zugreifen.
  • Besondere Relevanz erhält das erfindungsgemäße System durch Einführung der Gesundheitskarte zur Verknüpfung der einzelnen Institutionen, beispielsweise von Ärzten und Apothekern, staatlicher oder halbstaatlicher Gesundheitssysteme untereinander und mit. den Daten der Patienten, die auf sogenannten elektronischen Gesundheitskarten (eGK) gespeichert werden. Dabei sind für den Zugriff auf die Daten auf der eGK hohe Anforderungen in Bezug auf die Datensicherheit zu stellen, welche von dem erfindungsgemäßen System erfüllt werden.
  • Die Einrichtung zur Eingabe des mindestens einen persönlichen Identifikationsmerkmals kann dabei wahlweise an dem Zugangspunkt oder an einer anderen Komponente des Systems, beispielsweise an der sicherheitssensiblen Ressource angeordnet sein. In bestimmten Ausführungsformen der Erfindung ist es dabei zweckmäßig, wenn die Einrichtungen zur Eingabe des persönlichen Identifikationsmerkmals sowohl an der sicherheitssensiblen Ressource als auch an dem Zugangspunkt vorgesehen sind.
  • Für das erfindungsgemäße System spielt es dabei keine Rolle, ob das persönliche Identifikationsmerkmal eine persönliche Identifikationsnummer (PIN) oder ein Paßwort, ein biometrisches Merkmal, beispielsweise ein Fingerabdruck oder des Muster einer Augeniris, oder eine Identifizierungseinrichtung, beispielsweise eine Chipkarte, ist. Auch alle Kombinationen von persönlichen Identifikationsmerkmalen sind möglich. Besonders bevorzugt wird eine Ausführungsform der Erfindung, bei welcher das System mindestens eine Einrichtung zum Einlesen der Informationen mindestens einer Identfizierungseinrichtung als persönliches Identifikationsmerkmal, beispielsweise einer Chipkarte, aufweist. Eine solche Einrichtung erhöht die Sicherheit des Systems erheblich.
  • Die sicherheitssensible Ressource ist ein fest mit dem System verbundener Datenspeicher, beispielsweise eine Festplatte oder ein Flash-Speicher. In alternativen Ausführungsformen ist die sicherheitssensible Ressource eine Einrichtung zum Zugreifen auf einen mobilen Datenspeicher, beispielsweise einen USB-Stick.
  • In manchen Anwendungsfällen ist vorzugsweise eine Chipkartenschnittstelle die sicherheitssensible Ressource, welche sowohl das Auslesen als auch das Beschreiben einer Chipkarte ermöglicht. Dabei kann die Chipkartenschnittstelle als Einrichtung zum Einlesen eines persönlichen Identifikationsmerkmals als auch als sicherheitssensible Ressource dienen. Die Chipkarte, die mit der Schnittstelle verbunden wird, ist dann sowohl persönliches Identifikationsmerkmal als auch ein mobiler Datenträger für die sicherheitssensible Ressource.
  • Insbesondere kann die sicherheitssensible Ressource aus beliebigen Kombinationen der vorgenannten Elemente bestehen.
  • Der Benutzer, beispielsweise ein Apotheker oder ein Arzt, muß sich bei einem besonders bevorzugten System einmal während des vorgegebenen Zeitabschnitts durch Einlesen seiner persönlichen Identifizierungseinrichtung bzw. Health-Professional-Card (HPC) und durch Eingebe eines weiteren persönlichen Identifikationsmerkmals, beispielsweise einer PIN ausweisen. Dabei ist es vorteilhaft, wenn die Chipkarte bzw. die Identifizierungseinrichtung während des gesamten Zeitraums der Benutzung mit dem System verbunden bleibt. Die HPC dient denn sowohl als Identifikationsmerkmal des Arztes oder Apothekers als auch als Datenträger auf den die sicherheitssensible Ressource des Systems zugreift.
  • Die sicherheitssensible Ressource und der Zugangspunkt sind über ein Datennetzwerk, beispielweise über ein LAN oder WAN, miteinander verbunden. Auf diese Weise lassen sich die Zugangspunkte und die sicherheitssensible Ressource räumlich voneinander trennen. Eine solche Trennung hat den Vorteil, daß die sicherheitssensible Ressource beispielsweise in einer Apotheke oder einer Arztpraxis in einem Dritten nicht zugänglichen Büro angeordnet sein kann, während die Zugangspunkte im Verkaufs- oder Praxisbereich, beispielsweise an einem Verkaufstresen oder in einem Behandlungszimmer, angeordnet sind. Die einmalige Anmeldung des Benutzers erfolgt dann in dem später verschlossenen Büro oder direkt an einem der Zugangspunkte, während sich der Benutzer mit Hilfe seines persönlichen Transponders bei der Bedienung der Zugangspunkte authentifiziert bzw. ausweist.
  • Obwohl bisher nur von jeweils einem Benutzer die Rede war, können sich an dem erfindungsgemäßen System auch mehrere Nutzer unabhängig voneinander und gleichzeitig an einer ihnen zugeordneten sicherheitssensiblen Ressource anmelden und authentisieren. Dazu geben alle Benutzer einmal während eines vorbestimmten Zeitraums ihre persönliche Identifizierungseinrichtung in die sicherheitssensible Ressource ein und/oder identifizieren sich durch Eingabe ihres persönlichen Identifikationsmerkmals. Danach weist sich jeder Benutzer gegenüber dem System durch Präsentieren seines persönlichen Transponders an dem jeweiligen Zugangspunkt, von dem aus er arbeiten möchte, aus.
  • Dabei ist es vorteilhaft, wenn die sicherheitssensible Ressource eine eindeutige Zuordnung zwischen dem berechtigten Benutzer oder seinem persönlichen Identifikationsmerkmal und dem persönlichen Transponder aufweist.
  • Wenn mehrere Benutzer gleichzeitig auf das System zugreifen, ist es vorteilhaft, wenn jedem persönlichen Identifikationsmerkmal genau ein Transponder zugeordnet ist. Diese Zuordnung kann bereits bei der Installation des Systems erfolgen oder auch bei der Anmeldung des Benutzers an der sicherheitssensiblen Ressource mit Hilfe des persönlichen Identifikationsmerkmals des Benutzers.
  • Besonders bevorzugt ist eine Ausführungsform der Erfindung, bei welcher der Transponder und die Einrichtung zum Auslesen des Transponders eine vorzugsweise berührungslose elektromagnetische oder induktive Übertragungseinrichtung aufweisen. Je nach Einsatzbereich des Systems kann eine Übertragungseinrichtung mit unterschiedlicher Reichweite verwendet werden. Beispielsweise sollte in einem Verkaufsbereich, in dem mehrere Personen Zugriff auf die sicherheitssensiblen Ressourcen haben müssen und verschiedene Zugangspunkte zur Verfügung stehen, die Übertragungseinrichtung eine geringe Reichweite haben, um das unbeabsichtigte Freischalten von Zugangspunkten zu verhindern. Dabei sind die Transponder vorzugsweise Chipkarten, welche in einem Abstand von der entsprechenden Einrichtung des Zugangspunktes gehalten werden. Auch sind Systeme denkbar, bei denen der Transponder zum Auslesen auf den Zugangspunkt aufgelegt oder in diesen eingeschoben werden muß. Die Transponder können aktive Sender aufweisen, jedoch auch vollständig passive Bauteile enthalten, sowie sie von der bekannten RFID Technologie bereitgestellt werden.
  • Bevorzugt wird eine Ausführungsform der Erfindung, bei der die elektromagnetische oder induktive Übertragungseinrichtung bei einer Frequenz von 13,56 MHz arbeitet. Diese Übertragungsfrequenz wird sowohl von dem Standard ISO 14443 für die Kommunikation mit Karten im Nahbereich bis etwa 10 cm (Proximity Card Standard) als auch von dem Standard ISO 15683 für die Kommunikation mit Karten im Umgebungsbereich bis etwa 2 Meter (Vicinity Card Standard) verwendet Besonders vorteilhaft ist dabei eine Ausführungsform der Erfindung, bei der die Übertragungseinrichtung zum Auslesen des Transponders eine optische Übertragungseinrichtung ist. Diese kann alternativ passiv ausgelegt sein, d. h. der Transponder weist einen Barcode oder ähnliches auf, der mit Hilfe eines an dem Zugangspunkt angeordneten optischen Systems ausgelesen wird, oder der Transponder sendet ein entsprechend codiertes optisches Signal aktiv aus.
  • In einer alternativen Ausführungsform ist die Einrichtung zum Auslesen des Transponders ein mechanisches Schloß, in welches ein mechanischer Schlüssel als Transponder eingeführt wird. Dabei wird beim Schließen ein entsprechendes elektrisches Signal zum Freischalten des vertrauenswürdigen Kanals erzeugt Die individuelle Identifizierung des Schlüssels erfolgt mit Hilfe seiner individuellen Form oder durch Kombination des mechanischen Schlüssels mit elektrischen Einrichtungen zu seiner Identifizierung, wie sie beispielsweise aus Wegfahrsperren für Kraftfahrzeuge bekannt sind.
  • Besonders bevorzugt wird eine Ausführungsform der Erfindung, bei der die Ressource und/oder der Zugangspunkt mindestens eine Einrichtung zum Schließen des vertrauenswürdigen Kanals aufweisen. Nach Abschluß eines Zugriffs auf die sicherheitssensible Ressource kann so der vertrauenswürdige Kanal zwischen einem Zugangspunkt und der sicherheitssensiblen Ressource wieder geschlossen werden. Dabei kann das Schließen des vertrauenswürdigen Kanals nach Zeitablauf, nach Eingabe eines bestimmten Befehls in den Zugangspunkt oder auch nach Entfernen des Transponders aus der Umgebung des Zugangspunktes erfolgen.
  • Bezüglich des Verfahrens wird die Aufgabe durch ein Verfahren gemäß dem unabhängigen Verfahrensanspruch 8 gelöst.
  • Dabei ist es zweckmäßig, wenn nach der Identifizierung des Benutzers durch das Einlesen des persönlichen Identifiationsmerkmals und/oder der Identifizierungseinrichtung des Benutzers bereits ein geschlossener logischer Kanal zwischen der Ressource und dem Zugangspunkt eingerichtet wird. Über diesen geschlossenen logischen Kanal kann so lange keine Kommunikation zwischen der Sicherheitssensiblen Ressource und den Zugangspunkten erfolgen, bis sich der Benutzer gegenüber einem der Zugangspunkte durch seinen persönlichen Transponder identifiziert. Der Kanal wird nachfolgend wieder geschlossen, wenn ein entsprechendes Steuersignal, beispielsweise aufgrund des Entfernens des Transponders aus der Umgebung des Zugangspunktes, gegeben wird.
  • Der Kanal wird abgebaut, wenn der Zugangspunkt ein entsprechendes Steuerkommando erhält oder eine spezielle Taste gedrückt wird oder das System erfaßt, daß der Zugangspunkt oder die Ressource nicht mehr erreichbar ist. Ein abgebauter Kanal kann nur durch erneute Identifizierung mit Hilfe der PIN oder eines anderen Identifikationsmerkmals wieder aufgebaut werden.
  • Das erfindungsgemäße System und das Verfahren bieten gegenüber den aus dem Stand der Technik bekannten Systemen und Verfahren den Vorteil, daß sich die Benutzer innerhalb eines bestimmten Zeitabschnitts, z. B. einer Arbeitsschicht, nur einmal mit Hilfe ihres persönlichen Identifikationsmerkmals, beispielsweise einer PIN und/oder ihrer persönlichen Identifizierungseinrichtung, gegenüber der sicherheitssensiblen Ressource ausweisen müssen und nachfolgend mit Hilfe eines Transponders, der die Benutzer eindeutig identifiziert, auf die sicherheitssensible Ressource zugreifen können.
  • Anschaulich gesprochen, weist das System einen Hauptschlüssel und einen Nebenschlüssel auf. Der Hauptschlüssel bietet eine hohes Maß an Sicherheit, ist aber in der Bedienung aufwendig und umständlich und könnte bei häufiger Benutzung in Gegenwart Dritter, beispielsweise durch Ausspähen einer PIN, unsicher werden. Der Nebenschlüssel ist einfacher und unkomplizierter, funktioniert aber nur, wenn das System insgesamt durch den Hauptschlüssel freigeschaltet ist. Der Nebenschlüssel (beispielsweise in Form eines Transponders) wäre als alleiniger Schlüssel viel zu unsicher, weil er verloren gehen oder entwendet werden könnte. Er ist aber hinreichend sicher, wenn der Benutzer ihn beispielsweise während der Arbeitszeit permanent bei sich trägt und häufiger benutzt, wobei der Nebenschlüssel nicht mehr funktioniert, wenn, beispielsweise am Ende der Arbeitszeit oder Schicht, der Hauptschlüssel von dem System entfernt bzw. das Schließsystem aktiviert wird.
  • Weitere Merkmale, Vorzüge und Anwendungen der vorliegenden Erfindung werden anhand der folgenden Beschreibung einer bevorzugten Ausführungsform und der dazugehörigen Figuren deutlich.
  • 1 zeigt eine bevorzugte Ausführungsform des erfindungsgemäßen Systems.
  • 2a–c zeigen Flußdiagramme des erfindungsgemäßen Verfahrens.
  • In 1 ist eine bevorzugte Ausführungsform des erfindungsgemäßen Systems schematisch dargestellt. In der dargestellten Ausführungsform ist das System in einer Apotheke installiert. Zukünftig werden in staatlichen bzw. halbstaatlichen Gesundheitssystemen die einzelnen Teile bzw. Mitglieder der Systeme, d. h. die Patienten, Ärzte, Krankenhäuser und Apotheken, miteinander vernetzt. Dies ermöglicht einen effizienteren Austausch von Daten zwischen den einzelnen. Institutionen und Mitgliedern des Systems. Um einen Mißbrauch der Daten zu verhindern, erhält jeder Arzt oder Apotheker eine sogenannte Health Professional Card (HPC), die ihn gegenüber dem vernetzten System identifiziert und einen Zugriff auch auf Patientendaten ermöglicht. Demgegenüber erhalten Patienten eine sogenannte elektronische Gesundheitskarte (eGK), mit ihren Patientendaten darauf.
  • Zum Einlesen der Patientendaten von einer eGK in das System einer Apotheke müssen sich zunächst die Mitarbeiter 1 der Apotheke bei einer sicherheitssensiblen Ressource 2, 3 welche das Auslesen und Abspeichern der Patientendaten ermöglicht, anmelden und identifizieren. Dazu weist die sicherheitssensible Ressource 2, 3 Kartenlesegerme auf, in welche die Mitarbeiter ihre persönlichen HPCs einschieben können. Zusätzlich muß jeder Mitarbeiter nach dem Einschieben der HPC seine persönliche Identifikationsnummer eingeben, um sich gegenüber der sicherheitssensiblen Ressource 2, 3 als rechtmäßiger Besitzer der Karte auszuweisen. In der in 1 dargestellten Ausführungsform der Erfindung sind zwei sicherheitssensible Ressourcen 2, 3 vorgesehen, wobei die Zahl der Ressourcen 2, 3 der Anzahl der zu identifizierenden Mitarbeiter entspricht. Die beiden sicherheitssensiblen Ressourcen bilden zusammen ein Rechnersystem 4.
  • Jeder der Mitarbeiter meldet sich. zu Beginn eines Arbeitstages an einer der sicherheitssensiblen Ressourcen 2, 3 an. Dabei wird die HPC in den Kartenleser eingeführt und die PIN in die sicherheitssensible Ressource 2, 3 eingegeben.
  • Die sicherheitssensible Ressource 2, 3 mit den Lesegeräten ist in einem Dritten, nicht zugänglichen Raum innerhalb der Apotheke angeordnet, so daß nur die Mitarbeiter gegenständlichen Zugriff auf die sicherheitssensiblen Ressourcen 2, 3 haben. Die sicherheitssensiblen Ressourcen 2, 3 sind mit Hilfe eines Datennetzwerkes 5, in der dargestellten Form ein betriebsinternes Intranet, mit anderen Rechnern und den Zugangspunkten 6, 7 verbunden. Die Zugangspunkte 6, 7 sind im Verkaufsbereich, d. h. auf dem Tresen der Apotheke angeordnet. Jeder der Zugangspunkte 6, 7 bildet ein Datenterminal, welches einen Zugriff auf das Netzwerk 5 ermöglicht. Dabei werden beispielsweise Rechnungen erstellt, Rezepte abgerechnet usw. Darüber hinaus ist mit jedem Zugangspunkt ein Barcodescanner verbunden, mit welchem die Preisetiketten der verkauften Medikamente eingelesen werden. Des weiteren weist jeder Zugangspunkt 6, 7 Kartenleser zum Auslesen der eGK der Kunden bzw. Patienten auf.
  • In 2a ist ein Flußdiagramm dargestellt, welches den täglichen Registrierungsprozeß für jeden Benutzer an der sicherheitssensiblen Ressource 2 schematisch darstellt. Dieser Vorgang des einmaligen Identifizierens wird auch als ”Enrolment” bezeichnet. Zunächst muß das System durch Betätigen einer Taste in Betrieb gesetzt und nachfolgend eine Ressource durch Einschieben der HPC ausgewählt werden. Es folgt eine Abfrage der PIN bzw. alternativ dazu eines Paßworts des Benutzers durch die Ressource 2. Ist die Eingabe der PIN fehlerhaft, so bricht das System den Enrolment-Vorgang ab. Ist die eingegebene PIN richtig, d. h. entspricht sie der zu der HPC gehörenden PIN, so wird der Benutzer von dem System aufgefordert, den individuellen Transponder zu präsentieren und in die Nähe eines entsprechenden Lesegerätes der Ressource 2 zu bringen. Das System speichert sodann die Zugehörigkeit des entsprechenden Transponders zu der Ressource bzw. der eigegebenen HPC ab und ordnet diesem Transponder/Ressourcenpaar einen geschlossenen logischen und vertrauenswürdigen Kanal zu. Dieser Kanal steht zur Kommunikation zwischen einem beliebigen Zugangspunkt 6, 7 mit der Ressource 2 bereit, ist jedoch bis zum Präsentieren eines Transponders 8 an einem der Zugangspunkte 6, 7 geschlossen. Damit ist der Enrolment-Vorgang abgeschlossen.
  • Möchte ein Patient Medikamente auf Rechnung einer Krankenkasse erwerben, so legt er seine eGK dem Apotheker 1 vor. Die Patientendaten der eGK wenden mit Hilfe eines entsprechenden Kartenlesegerätes in die Zugangspunkte 6, 7 eingelesen. Bei dem in 1 dargestellten Beispiel führt der Apotheker 1, die Abrechnung mit Hilfe des Zugangspunktes bzw. Datenterminals 6 durch. Dazu präsentiert er seinen, persönlichen und zuvor am System identifizierten Transponder 8 gegenüber dem Zugangspunkt 6. Stimmen die Identfikationsdaten des Transponders 8 mit einer der Ressourcen 2, 3 überein, so wird der zur Ressource gehörende vertrauenswürdige Kanal geöffnet. Im vorliegenden Fall gehört der Transponder 8 des Apothekers 1 zu der Ressource 3, so daß zwischen dem Zugangspunkt 6 und der Ressource 3 der logische Kanal 9a, 9b auf dem Netzwerk geöffnet wird. Über diesen Kanal werden sodann die Patientendaten aus der eGK ausgelesen und zusammen mit den Informationen über die verkauften Medikamente und die entsprechenden Preise auf der sicherheitssensiblen Ressource 4 gespeichert.
  • Das entsprechende Verfahren zum Freischalten des logischen Kanals 9a, 9b ist in 2b dargestellt. Zunächst wird durch einfachen Tastendruck das Datenterminal 6 aktiviert. In einem zweiten Schritt wird der Transponder 8 des Apothekers 1 gegenüber dem Datenterminal 6 präsentiert und das System gleicht die Identfikationsdaten des Transponders 8 mit den im System hinterlegten Daten der angemeldeten Transponder ab. Gibt es keine Übereinstimmung zwischen dem präsentierten Transponder 8 und den hinterlegten Transponderdaten, so wird der Vorgang abgebrochen. Ist der präsentierte Transponder 8 einer der Ressourcen 2, 3 zugeordnet, bei dem in 1 dargestellten Beispiel der Ressource 3, so wird der für den Benutzer 1 eingerichtete logische Kanal 9a, 9b geöffnet. Damit ist der Identifizierungsprozeß abgeschlossen.
  • Wie in 2c dargestellt, wird der einmal geöffnete vertrauenswürdige Kanal 9a, 9b nach Abschluß des Verkaufs durch Tastendruck oder Zeitablauf wieder geschlossen, um eine mißbräuchliche Bedienung des Zugangspunktes 6, d. h. insbesondere das nicht autorisierte Auslesen von eGK zu verhindern.

Claims (8)

  1. System zur Authentifizierung mindestens eines Benutzers für den Zugriff auf eine sicherheitssensible Ressource – mit mindestens einer sicherheitssensiblen Ressource, wobei die sicherheitssensible Ressource ein Datenspeicher, eine Einrichtung zum Zugreifen auf einen mobilen Datenspeicher oder eine Chipkartenschnittstelle ist, – mit mindestens einer Einrichtung zum Einlesen der Informationen mindestens einer Identifizierungseinrichtung, – mit mindestens einer Einrichtung zur Eingabe mindestens eines persönlichen Identifikationsmerkmals in Form einer persönlichen Identifikationsnummer (PIN), eines Passworts oder eines blometrischen Merkmals, – mit mindestens einem Zugangspunkt mit einer Einrichtung zum Auslesen eines Transponders und – mit mindestens einem Transponder, wobei jedem Transponder mindestens eine sicherheitssensible Ressource zugeordnet ist, und jedem persönlichen Identifikationsmerkmal genau ein Transponder zugeordnet ist, – wobei die sicherheitssensible Ressource über ein Datennetzwerk mit dem Zugangspunkt verbunden ist, – wobei das System so ausgestaltet ist, dass – sich ein Benutzer während eines vorgegebenen Zeitabschnitts einmal durch Einlesen seiner Identifzierungseinrichtung und durch Eingabe seines persönlichen Identifikationsmerkmals als rechtmäßiger Benutzer identifiziert und nach der Identifizierung des Benutzers durch das Einlesen der Identifizierungseinrichtung und des persönlichen Identifikationsmerkmals ein geschlossener logischer Kanal zwischen der sicherheitssensiblen Ressource und dem mindestens einen Zugangspunkt eingerichtet wird, der dem Paar aus der sicherheitssensiblen Ressource und dem Transponder zugeordnet ist, – der logische Kanal zur Kommunikation zwischen dem Zugangspunkt und der sicherheitssensiblen Ressource danach als Reaktion auf das Auslesen des Transponders geöffnet wird, wenn der Benutzer seinen individuellen Transponder gegenüber dem Zugangspunkt präsentiert, und die Kennung des Transponders mit derjenigen Kennung des Transponders übereinstimmt, welcher dem persönlichen Identifikationsmerkmal zugeordnet ist, – der logische Kanal nach Abschluss eines Zugriffs auf die sicherheitssensible Ressource wieder geschlossen wird.
  2. System nach Anspruch 1, dadurch gekennzeichnet, daß die sicherheitssensible Ressource eine eindeutige Zuordnung zwischen den persönlichen Identifikationsmerkmalen und den Transpondern aufweist.
  3. System nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, daß der Transponder und die Einrichtung zum Auslesen des Transponders eine, vorzugsweise berührungslose, elektromagnetische oder induktive Übertragungseinrichtung aufweisen.
  4. System nach Anspruch 3, dadurch gekennzeichnet, daß die elektromagnetische oder induktive Übertragungseinrichtung bei einer Frequenz von 13,56 MHz arbeitet.
  5. System nach Anspruch 3, dadurch gekennzeichnet, daß der Transponder und die Einrichtung zum Auslesen des Transponders eine optische Übertragungseinrichtung aufweisen.
  6. System nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, daß die Einrichtung zum Auslesen des Transponders ein mechanisches Schloß zur Aufnahme eines mechanischen Schlüssels als Transponder ist.
  7. Verfahren zur Authentifizierung mindestens eines Benutzers für den Zugriff auf eine sicherheitssensible Ressource in einem System mit mindestens einer sicherheitssensiblen Ressource, wobei die sicherheitssensible Ressource ein Datenspeicher, eine Einrichtung zum Zugreifen auf einen mobilen Datenspeicher oder eine Chipkartenschnittstelle ist, mit mindestens einem Zugangspunkt und mindestens einem Transponder – wobei in das System die Informationen mindestens einer Identifizierungseinrichtung eingelesen werden – wobei die Ressource und der mindestens eine Zugangspunkt über ein Datennetzwerk miteinander kommunizieren, – wobei in des System mindestens ein persönliches Identifikationsmerkmal des Benutzers in Form einer persönlichen Identifikationsnummer (PIN), eines Passworts oder eines biometrischen Merkmals eingelesen wird, – wobei der sicherheitssensiblen Ressource mindestens ein Transponder zugeordnet wird, und jedem persönlichen Identifikationsmerkmal genau ein Transponder zugeordnet wird, – wobei der Zugangspunkt die Möglichkeit aufweist, den Transponder auszulesen, – wobei sich ein Benutzer während eines vorgegebenen Zeitabschnitts einmal durch Einlesen seiner Identifizierungseinrichtung und durch Eingabe seines persönlichen Identifikationsmerkmals als rechtmäßiger Benutzer identifiziert und nach der Identifierung des Benutzers durch das Einlesen der Identifizierungseinrichtung und des persönlichen Identifikationsmerkmals ein geschlossener logischer Kanal zwischen der sicherheitssensiblen Ressource und dem mindestens einen Zugangspunkt eingerichtet wird, der dem Paar aus der sicherheitssensiblen Ressource und dem Transponder zugeordnet ist, – wobei der logische Kanal zur Kommunikation zwischen dem Zugangspunkt und der sicherheitssensiblen Ressource danach als Reaktion auf das Auslesen des Transponders geöffnet wird, wenn der Benutzer seinen individuellen Transponder gegenüber dem Zugangspunkt präsentiert, und die Kennung des Transponders mit derjenigen Kennung des Transponders übereinstimmt, welcher dem persönlichen Identifikationsmerkmal zugeordnet ist, und – wobei der logische Kanal nach Abschluss eines Zugriffs auf die sicherheitssensible Ressource wieder geschlossen wird.
  8. Verfahren nach Anspruch 7 zum Implementieren eines Systems nach einem der Ansprüche 1 bis 6.
DE102004026933.5A 2004-06-01 2004-06-01 System und Verfahren zur Authentifizierung eines Benutzers Expired - Fee Related DE102004026933B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102004026933.5A DE102004026933B4 (de) 2004-06-01 2004-06-01 System und Verfahren zur Authentifizierung eines Benutzers
DE202004021130U DE202004021130U1 (de) 2004-06-01 2004-06-01 System zur Authentifizierung eines Benutzers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004026933.5A DE102004026933B4 (de) 2004-06-01 2004-06-01 System und Verfahren zur Authentifizierung eines Benutzers

Publications (2)

Publication Number Publication Date
DE102004026933A1 DE102004026933A1 (de) 2005-12-22
DE102004026933B4 true DE102004026933B4 (de) 2018-01-11

Family

ID=35433195

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004026933.5A Expired - Fee Related DE102004026933B4 (de) 2004-06-01 2004-06-01 System und Verfahren zur Authentifizierung eines Benutzers

Country Status (1)

Country Link
DE (1) DE102004026933B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008000897B4 (de) * 2008-03-31 2018-05-03 Compugroup Medical Se Kommunikationsverfahren einer elektronischen Gesundheitskarte mit einem Lesegerät

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5553239A (en) * 1994-11-10 1996-09-03 At&T Corporation Management facility for server entry and application utilization in a multi-node server configuration
DE19749090A1 (de) * 1997-11-06 1999-05-12 Datasec Electronic Gmbh System zum Schutz einer Datenverarbeitungseinrichtung vor unberechtigtem Zugriff
DE10009456A1 (de) * 2000-02-29 2001-09-06 David Finn Transpondermaus
US20020053035A1 (en) * 2000-06-06 2002-05-02 Daniel Schutzer Method and system for strong, convenient authentication of a web user
US20020081971A1 (en) * 2000-12-22 2002-06-27 Franco Travostino System, device, and method for maintaining communication sessions in a communication system
EP1303102A2 (de) * 2001-10-12 2003-04-16 Openwave Systems Inc. Benutzerzentrierte Sitzungsverwaltung für Kundenserver-interaktion mittels mehreren Anwendungen und Geräte
WO2003102882A1 (fr) * 2002-05-31 2003-12-11 Axalto Sa Procede de securisation d'une transaction en ligne
WO2004032019A2 (en) * 2002-09-27 2004-04-15 Hill-Rom Services, Inc. Universal communications, monitoring, tracking, and control system for a healthcare facility

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1387323A1 (de) * 2002-07-30 2004-02-04 Omega Electronics S.A. Authentifizierung durch biometrische Erfassung des Trägers einer Identifizierungsvorrichtung und/oder tragbares Identifizierungszugangssystem und/oder elektronischer Zugang

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5553239A (en) * 1994-11-10 1996-09-03 At&T Corporation Management facility for server entry and application utilization in a multi-node server configuration
DE19749090A1 (de) * 1997-11-06 1999-05-12 Datasec Electronic Gmbh System zum Schutz einer Datenverarbeitungseinrichtung vor unberechtigtem Zugriff
DE10009456A1 (de) * 2000-02-29 2001-09-06 David Finn Transpondermaus
US20020053035A1 (en) * 2000-06-06 2002-05-02 Daniel Schutzer Method and system for strong, convenient authentication of a web user
US20020081971A1 (en) * 2000-12-22 2002-06-27 Franco Travostino System, device, and method for maintaining communication sessions in a communication system
EP1303102A2 (de) * 2001-10-12 2003-04-16 Openwave Systems Inc. Benutzerzentrierte Sitzungsverwaltung für Kundenserver-interaktion mittels mehreren Anwendungen und Geräte
WO2003102882A1 (fr) * 2002-05-31 2003-12-11 Axalto Sa Procede de securisation d'une transaction en ligne
WO2004032019A2 (en) * 2002-09-27 2004-04-15 Hill-Rom Services, Inc. Universal communications, monitoring, tracking, and control system for a healthcare facility

Also Published As

Publication number Publication date
DE102004026933A1 (de) 2005-12-22

Similar Documents

Publication Publication Date Title
DE19648767C2 (de) Identifikationssystem mit elektronischer Chipkarte
EP2949094B1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem automat
DE102011116489A1 (de) Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts
EP2770484B1 (de) Lesegerät für ein Dokument, Verfahren zum Lesen eines Datenobjekts und Computerprogrammprodukt
WO2006015573A1 (de) Datenträger zur kontaktlosen übertragung von verschlüsselten datensignalen
EP3182317A1 (de) Vorrichtung und verfahren für die personalisierte bereitstellung eines schlüssels
AT401205B (de) System zur identifizierung eines kartenbenutzers
DE19718547C2 (de) System zum gesicherten Lesen und Ändern von Daten auf intelligenten Datenträgern
EP3252643B1 (de) Lesegerät für eine chipkarte und computersystem
DE19851074C2 (de) System und Verfahren zur sicheren Identifikation und Registrierung von Personen sowie eine hierfür geeignete Registriereinrichtung
EP2389644B1 (de) Verfahren zur freischaltung einer chipkartenfunktion und lesegerät für eine chipkarte
DE102004026933B4 (de) System und Verfahren zur Authentifizierung eines Benutzers
EP3032501B1 (de) Verfahren zum Betreiben eines ID-basierten Zugangskontrollsystems
WO2013120473A1 (de) Universalkarte zur vereinfachung des gebrauchs einer vielzahl an karten
EP1635302A1 (de) Speicherkarte und Verfahren zum Abfragen von Informationen von einer Speicherkarte
DE202004021130U1 (de) System zur Authentifizierung eines Benutzers
DE102007023003A1 (de) Verfahren zum mobilen Bezahlen sowie Computerprogrammprodukt
DE102008000348B4 (de) Verfahren zur Signierung eines medizinischen Datenobjekts
DE19705620C2 (de) Anordnung und Verfahren zur dezentralen Chipkartenidentifikation
DE19545020A1 (de) Verfahren zum Freigeben von Identifikationsgegenständen
DE10125601A1 (de) Vorrichtung und Verfahren zur Aufbewahrung und Übergabe von Waren
EP0971324A1 (de) Verfahren zum Schutz von Daten auf einem Datenträger sowie dazu ausgestaltete Chipkarte, Lesegerät und Chipsatz
WO2004019188A2 (de) Überprüfung und einräumung von nutzungsberechtigungen
WO2022253424A1 (de) Transaktionssystem für dezentral in einem rechnernetzwerk gespeicherte kryptographische vermögenswerte
DE102006013136A1 (de) Verfahren und Vorrichtung zur Abwicklung einer elektronischen Transaktion

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R018 Grant decision by examination section/examining division
R006 Appeal filed
R008 Case pending at federal patent court
R019 Grant decision by federal patent court
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0012140000

Ipc: G06F0021350000

R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee