-
Die vorliegende Erfindung betrifft ein System und ein Verfahren zur Authentifizierung mindestens eines Benutzers für den Zugriff auf eine sicherheitssensible Ressource, wobei das System mindestens eine sicherheitssensible Ressource, mindestens einen Zugangspunkt und mindestens eine Einrichtung zur Eingabe mindestens eines persönlichen Identifikationsmerkmals aufweist, wobei die sicherheitssensible Ressource mit dem Zugangspunkt verbunden ist, wobei es mindestens einen Transponder aufweist, wobei der Zugangspunkt mindestens eine Einrichtung zum Auslesen des Transponders aufweist, wobei jedem Transponder mindestens eine sicherheitssensible Ressource zugeordnet ist.
-
Aus dem Stand der Technik sind Systeme zur Authentifizierung von Benutzern für den Zugriff auf sicherheitssensible Ressourcen bekannt. Das am weitesten verbreitete System ist das des bargeldlosen Zahlungsverkehrs mit Hilfe von Kredit- oder Bankkarten. Der Benutzer des bargeldlosen Zahlungsverkehrs muß sich für eine Transaktion, beispielsweise dem Bezahlen nach einem Einkauf oder dem Abheben von Bargeld an einem Geldautomaten, durch Vorlage seiner Kredit- oder Bankkarte und die Eingabe einer persönlichen Identifikationsnummer (PIN) identifizieren. Dazu wird die auf der Karte befindliche Information, welche unter anderem die Kontonummer und Bankverbindung des Benutzers enthält, von der bei der Transaktion verwendeten Kasse des Verkäufers oder des Geldautomaten, eingelesen. Um den Mißbrauch gestohlener oder verlorener Karten zu verhindern, muß der Benutzer der Karte sich zusätzlich durch die geheime und im Idealfall nur dem tatsächlichen Eigentümer der Karte bekannte Nummer ausweisen. Diese Nummer gibt der Benutzer ebenfalls in das System ein.
-
Ein weiteres Beispiel für ein solches System zur Authentifizierung eines Benutzers einer sicherheitssensiblen Ressource sind beispielsweise Kryptographiesysteme zur Verschlüsselung und Signierung elektronischer Post (E-Mails). Die Benutzung der Programme zur Verschlüsselung der E-Mail sowie zur Signierung der E-Mail sind dem Benutzer nur nach Auslesen seiner persönlichen Chipkarte und Eingabe einer persönlichen Identifikationsnummer zugänglich.
-
Alternativ zur Eingabe der persönlichen Identifikationsnummer sind heute auch Systeme verbreitet, die anstelle der PIN ein biometrisches Merkmal des Benutzers einlesen. Beispiele für ein solches biometrisches Merkmal sind der Fingerabdruck oder das Muster der Augeniris des Benutzers, die ihn individuell und einmalig identifizieren.
-
Die aus dem Stand der Technik bekannten Systeme und Verfahren zur Identifizierung von Benutzern erfordern für jeden Zugriff auf die sicherheitssensible Ressource des Systems die Eingabe eines persönlichen Identifikationsmerkmals, beispielsweise der PIN oder des biometrischen Merkmals.
-
Dies erweist sich als nachteilig in Systemen, bei denen die Benutzer in einer für Dritte einsehbaren oder zugänglichen Umgebung auf die sicherheitssensiblen Ressourcen zugreifen müssen. Selbst wenn sich die sicherheitssensible Ressource an einem für Dritte nicht zugänglichen Ort befindet, so muß sich der Benutzer vor deren Benutzung durch Eingabe seines Identifikationsmerkmals authentisieren. Geschieht dies beispielsweise in einem Laden, so haben Dritte die Möglichkeit, die PIN des Benutzers auszuspähen und mißbräuchlich zu benutzen. Darüber hinaus ist die Eingabe der PIN zeitaufwendig, wenn sie aus Sicherheitsgründen eine größere Anzahl von Stellen aufweist.
-
Auch alternative Systeme, welche anstelle der PIN die Eingabe eines biometrischen Merkmals erfordern, weisen den Nachteil auf, daß die Systeme, welche aus dem Stand der Technik bekannt sind, entweder eine zu geringe Fehlertoleranz aufweisen, so daß es häufig zu fehlerhaftem Einlesen und zu einem Sperren des Systems kommt, oder aber die Systeme sind fehlertolerant, weisen dann aber nicht die erforderliche Sicherheit auf und Dritte können sich mißbräuchlich bei dem System authentifizieren.
-
Die
DE 19 749 090 offenbart ein System zum Schutz einer mit Bedienvorrichtungen ausgestatteten Station einer Datenverarbeitungseinrichtung vor unberechtigtem Zugriff, wobei dem Benutzer ein als Datenträger ausgebildeter Transponder mit Autorisierungsdaten zugeordnet ist, wobei ferner ein dem Transponder zugeordnetes, als Sender und Empfänger ausgebildetes und mit Station der Datenverarbeitungsvorrichtung über eine elektrische Leitung verbundenes Lesegerät an der Station der Datenverarbeitungseinrichtung vorgesehen ist, welches die Autorisierungsdaten des Transponders berührungslos abfragt, wenn sich der Transponder im Wirkungsbereich des Lesegeräts befindet, und wobei die Station der Datenverarbeitungseinrichtung zumindest eine Eingabetastatur und eine Maus als Bedienungsvorrichtung besitzt, wobei das Lesegerät als Bestandteil einer Bedienungsvorrichtung in die Bedienungsvorrichtung integriert ist, wobei die vom Lesegerät gelesenen Autorisierungsdaten der Station der Datenverarbeitungseinrichtung über die bereits vorhandene Verbindungsleitung und Schnittstelle der Bedienungsvorrichtung zugeführt sind, wobei der Station der Datenverarbeitungseinrichtung ferner benutzerspezifische Identifikationsdaten zugeführt sind, welche den Benutzer zusätzlich zu seinem Transponder identifizieren, und wobei die Autorisierungsdaten und die Identifikationsdaten in der Station der Datenverarbeitungseinrichtung in einer vorgesehenen Freigabeeinheit, in welcher die Autorisierungs- und Identifikationsdaten gespeichert sind, zusammengeführt und verarbeitet werden, und dass die Station bei definierter Korrespondenz zwischen Autorisierungsdaten und Identifikationsdaten zur Benutzung freigegeben ist.
-
Gegenüber diesem Stand der Technik liegt der vorliegenden Erfindung die Aufgabe zugrunde, ein System und ein Verfahren zur Authentifizierung eines Benutzers für den Zugriff auf mindestens eine sicherheitssensible Ressource bereitzustellen, das die zuvor genannten Nachteile vermeidet und insbesondere einen schnellen und sicheren Zugriff auf die sicherheitsrelevanten Ressourcen ermöglicht.
-
Diese Aufgabe wird erfindungsgemäß durch ein System gemäß Anspruch 1 gelöst.
-
Ein solches System ist vorteilhaft, da es dem Benutzer die Möglichkeit bietet, sich einmal innerhalb eines vorgegebenen Zeitabschnitts, beispielsweise eines Arbeitstages oder einer Schicht, mit Hilfe seines persönlichen Identifikationsmerkmals bzw. seines Hauptschlüssels an dem System anzumelden und zu authentifizieren. Will er danach auf die Ressource zugreifen, so muß er sich nur noch mit Hilfe des ihm zugeordneten Transponders bzw. Nebenschlüssels gegenüber einem Zugangspunkt, der mit der sicherheitssensiblen Ressource verbunden ist, authentifizieren. Stimmt die Kennung des Transponders mit derjenigen Kennung des Transponders überein, welcher dem persönlichen Identifikationsmerkmal zugeordnet ist, so wird ein vertrauenswürdiger Kanal zwischen dem Zugangspunkt und der sicherheitssensiblen Ressource freigeschaltet und der Benutzer kann auf die Ressource zugreifen.
-
Besondere Relevanz erhält das erfindungsgemäße System durch Einführung der Gesundheitskarte zur Verknüpfung der einzelnen Institutionen, beispielsweise von Ärzten und Apothekern, staatlicher oder halbstaatlicher Gesundheitssysteme untereinander und mit. den Daten der Patienten, die auf sogenannten elektronischen Gesundheitskarten (eGK) gespeichert werden. Dabei sind für den Zugriff auf die Daten auf der eGK hohe Anforderungen in Bezug auf die Datensicherheit zu stellen, welche von dem erfindungsgemäßen System erfüllt werden.
-
Die Einrichtung zur Eingabe des mindestens einen persönlichen Identifikationsmerkmals kann dabei wahlweise an dem Zugangspunkt oder an einer anderen Komponente des Systems, beispielsweise an der sicherheitssensiblen Ressource angeordnet sein. In bestimmten Ausführungsformen der Erfindung ist es dabei zweckmäßig, wenn die Einrichtungen zur Eingabe des persönlichen Identifikationsmerkmals sowohl an der sicherheitssensiblen Ressource als auch an dem Zugangspunkt vorgesehen sind.
-
Für das erfindungsgemäße System spielt es dabei keine Rolle, ob das persönliche Identifikationsmerkmal eine persönliche Identifikationsnummer (PIN) oder ein Paßwort, ein biometrisches Merkmal, beispielsweise ein Fingerabdruck oder des Muster einer Augeniris, oder eine Identifizierungseinrichtung, beispielsweise eine Chipkarte, ist. Auch alle Kombinationen von persönlichen Identifikationsmerkmalen sind möglich. Besonders bevorzugt wird eine Ausführungsform der Erfindung, bei welcher das System mindestens eine Einrichtung zum Einlesen der Informationen mindestens einer Identfizierungseinrichtung als persönliches Identifikationsmerkmal, beispielsweise einer Chipkarte, aufweist. Eine solche Einrichtung erhöht die Sicherheit des Systems erheblich.
-
Die sicherheitssensible Ressource ist ein fest mit dem System verbundener Datenspeicher, beispielsweise eine Festplatte oder ein Flash-Speicher. In alternativen Ausführungsformen ist die sicherheitssensible Ressource eine Einrichtung zum Zugreifen auf einen mobilen Datenspeicher, beispielsweise einen USB-Stick.
-
In manchen Anwendungsfällen ist vorzugsweise eine Chipkartenschnittstelle die sicherheitssensible Ressource, welche sowohl das Auslesen als auch das Beschreiben einer Chipkarte ermöglicht. Dabei kann die Chipkartenschnittstelle als Einrichtung zum Einlesen eines persönlichen Identifikationsmerkmals als auch als sicherheitssensible Ressource dienen. Die Chipkarte, die mit der Schnittstelle verbunden wird, ist dann sowohl persönliches Identifikationsmerkmal als auch ein mobiler Datenträger für die sicherheitssensible Ressource.
-
Insbesondere kann die sicherheitssensible Ressource aus beliebigen Kombinationen der vorgenannten Elemente bestehen.
-
Der Benutzer, beispielsweise ein Apotheker oder ein Arzt, muß sich bei einem besonders bevorzugten System einmal während des vorgegebenen Zeitabschnitts durch Einlesen seiner persönlichen Identifizierungseinrichtung bzw. Health-Professional-Card (HPC) und durch Eingebe eines weiteren persönlichen Identifikationsmerkmals, beispielsweise einer PIN ausweisen. Dabei ist es vorteilhaft, wenn die Chipkarte bzw. die Identifizierungseinrichtung während des gesamten Zeitraums der Benutzung mit dem System verbunden bleibt. Die HPC dient denn sowohl als Identifikationsmerkmal des Arztes oder Apothekers als auch als Datenträger auf den die sicherheitssensible Ressource des Systems zugreift.
-
Die sicherheitssensible Ressource und der Zugangspunkt sind über ein Datennetzwerk, beispielweise über ein LAN oder WAN, miteinander verbunden. Auf diese Weise lassen sich die Zugangspunkte und die sicherheitssensible Ressource räumlich voneinander trennen. Eine solche Trennung hat den Vorteil, daß die sicherheitssensible Ressource beispielsweise in einer Apotheke oder einer Arztpraxis in einem Dritten nicht zugänglichen Büro angeordnet sein kann, während die Zugangspunkte im Verkaufs- oder Praxisbereich, beispielsweise an einem Verkaufstresen oder in einem Behandlungszimmer, angeordnet sind. Die einmalige Anmeldung des Benutzers erfolgt dann in dem später verschlossenen Büro oder direkt an einem der Zugangspunkte, während sich der Benutzer mit Hilfe seines persönlichen Transponders bei der Bedienung der Zugangspunkte authentifiziert bzw. ausweist.
-
Obwohl bisher nur von jeweils einem Benutzer die Rede war, können sich an dem erfindungsgemäßen System auch mehrere Nutzer unabhängig voneinander und gleichzeitig an einer ihnen zugeordneten sicherheitssensiblen Ressource anmelden und authentisieren. Dazu geben alle Benutzer einmal während eines vorbestimmten Zeitraums ihre persönliche Identifizierungseinrichtung in die sicherheitssensible Ressource ein und/oder identifizieren sich durch Eingabe ihres persönlichen Identifikationsmerkmals. Danach weist sich jeder Benutzer gegenüber dem System durch Präsentieren seines persönlichen Transponders an dem jeweiligen Zugangspunkt, von dem aus er arbeiten möchte, aus.
-
Dabei ist es vorteilhaft, wenn die sicherheitssensible Ressource eine eindeutige Zuordnung zwischen dem berechtigten Benutzer oder seinem persönlichen Identifikationsmerkmal und dem persönlichen Transponder aufweist.
-
Wenn mehrere Benutzer gleichzeitig auf das System zugreifen, ist es vorteilhaft, wenn jedem persönlichen Identifikationsmerkmal genau ein Transponder zugeordnet ist. Diese Zuordnung kann bereits bei der Installation des Systems erfolgen oder auch bei der Anmeldung des Benutzers an der sicherheitssensiblen Ressource mit Hilfe des persönlichen Identifikationsmerkmals des Benutzers.
-
Besonders bevorzugt ist eine Ausführungsform der Erfindung, bei welcher der Transponder und die Einrichtung zum Auslesen des Transponders eine vorzugsweise berührungslose elektromagnetische oder induktive Übertragungseinrichtung aufweisen. Je nach Einsatzbereich des Systems kann eine Übertragungseinrichtung mit unterschiedlicher Reichweite verwendet werden. Beispielsweise sollte in einem Verkaufsbereich, in dem mehrere Personen Zugriff auf die sicherheitssensiblen Ressourcen haben müssen und verschiedene Zugangspunkte zur Verfügung stehen, die Übertragungseinrichtung eine geringe Reichweite haben, um das unbeabsichtigte Freischalten von Zugangspunkten zu verhindern. Dabei sind die Transponder vorzugsweise Chipkarten, welche in einem Abstand von der entsprechenden Einrichtung des Zugangspunktes gehalten werden. Auch sind Systeme denkbar, bei denen der Transponder zum Auslesen auf den Zugangspunkt aufgelegt oder in diesen eingeschoben werden muß. Die Transponder können aktive Sender aufweisen, jedoch auch vollständig passive Bauteile enthalten, sowie sie von der bekannten RFID Technologie bereitgestellt werden.
-
Bevorzugt wird eine Ausführungsform der Erfindung, bei der die elektromagnetische oder induktive Übertragungseinrichtung bei einer Frequenz von 13,56 MHz arbeitet. Diese Übertragungsfrequenz wird sowohl von dem Standard ISO 14443 für die Kommunikation mit Karten im Nahbereich bis etwa 10 cm (Proximity Card Standard) als auch von dem Standard ISO 15683 für die Kommunikation mit Karten im Umgebungsbereich bis etwa 2 Meter (Vicinity Card Standard) verwendet Besonders vorteilhaft ist dabei eine Ausführungsform der Erfindung, bei der die Übertragungseinrichtung zum Auslesen des Transponders eine optische Übertragungseinrichtung ist. Diese kann alternativ passiv ausgelegt sein, d. h. der Transponder weist einen Barcode oder ähnliches auf, der mit Hilfe eines an dem Zugangspunkt angeordneten optischen Systems ausgelesen wird, oder der Transponder sendet ein entsprechend codiertes optisches Signal aktiv aus.
-
In einer alternativen Ausführungsform ist die Einrichtung zum Auslesen des Transponders ein mechanisches Schloß, in welches ein mechanischer Schlüssel als Transponder eingeführt wird. Dabei wird beim Schließen ein entsprechendes elektrisches Signal zum Freischalten des vertrauenswürdigen Kanals erzeugt Die individuelle Identifizierung des Schlüssels erfolgt mit Hilfe seiner individuellen Form oder durch Kombination des mechanischen Schlüssels mit elektrischen Einrichtungen zu seiner Identifizierung, wie sie beispielsweise aus Wegfahrsperren für Kraftfahrzeuge bekannt sind.
-
Besonders bevorzugt wird eine Ausführungsform der Erfindung, bei der die Ressource und/oder der Zugangspunkt mindestens eine Einrichtung zum Schließen des vertrauenswürdigen Kanals aufweisen. Nach Abschluß eines Zugriffs auf die sicherheitssensible Ressource kann so der vertrauenswürdige Kanal zwischen einem Zugangspunkt und der sicherheitssensiblen Ressource wieder geschlossen werden. Dabei kann das Schließen des vertrauenswürdigen Kanals nach Zeitablauf, nach Eingabe eines bestimmten Befehls in den Zugangspunkt oder auch nach Entfernen des Transponders aus der Umgebung des Zugangspunktes erfolgen.
-
Bezüglich des Verfahrens wird die Aufgabe durch ein Verfahren gemäß dem unabhängigen Verfahrensanspruch 8 gelöst.
-
Dabei ist es zweckmäßig, wenn nach der Identifizierung des Benutzers durch das Einlesen des persönlichen Identifiationsmerkmals und/oder der Identifizierungseinrichtung des Benutzers bereits ein geschlossener logischer Kanal zwischen der Ressource und dem Zugangspunkt eingerichtet wird. Über diesen geschlossenen logischen Kanal kann so lange keine Kommunikation zwischen der Sicherheitssensiblen Ressource und den Zugangspunkten erfolgen, bis sich der Benutzer gegenüber einem der Zugangspunkte durch seinen persönlichen Transponder identifiziert. Der Kanal wird nachfolgend wieder geschlossen, wenn ein entsprechendes Steuersignal, beispielsweise aufgrund des Entfernens des Transponders aus der Umgebung des Zugangspunktes, gegeben wird.
-
Der Kanal wird abgebaut, wenn der Zugangspunkt ein entsprechendes Steuerkommando erhält oder eine spezielle Taste gedrückt wird oder das System erfaßt, daß der Zugangspunkt oder die Ressource nicht mehr erreichbar ist. Ein abgebauter Kanal kann nur durch erneute Identifizierung mit Hilfe der PIN oder eines anderen Identifikationsmerkmals wieder aufgebaut werden.
-
Das erfindungsgemäße System und das Verfahren bieten gegenüber den aus dem Stand der Technik bekannten Systemen und Verfahren den Vorteil, daß sich die Benutzer innerhalb eines bestimmten Zeitabschnitts, z. B. einer Arbeitsschicht, nur einmal mit Hilfe ihres persönlichen Identifikationsmerkmals, beispielsweise einer PIN und/oder ihrer persönlichen Identifizierungseinrichtung, gegenüber der sicherheitssensiblen Ressource ausweisen müssen und nachfolgend mit Hilfe eines Transponders, der die Benutzer eindeutig identifiziert, auf die sicherheitssensible Ressource zugreifen können.
-
Anschaulich gesprochen, weist das System einen Hauptschlüssel und einen Nebenschlüssel auf. Der Hauptschlüssel bietet eine hohes Maß an Sicherheit, ist aber in der Bedienung aufwendig und umständlich und könnte bei häufiger Benutzung in Gegenwart Dritter, beispielsweise durch Ausspähen einer PIN, unsicher werden. Der Nebenschlüssel ist einfacher und unkomplizierter, funktioniert aber nur, wenn das System insgesamt durch den Hauptschlüssel freigeschaltet ist. Der Nebenschlüssel (beispielsweise in Form eines Transponders) wäre als alleiniger Schlüssel viel zu unsicher, weil er verloren gehen oder entwendet werden könnte. Er ist aber hinreichend sicher, wenn der Benutzer ihn beispielsweise während der Arbeitszeit permanent bei sich trägt und häufiger benutzt, wobei der Nebenschlüssel nicht mehr funktioniert, wenn, beispielsweise am Ende der Arbeitszeit oder Schicht, der Hauptschlüssel von dem System entfernt bzw. das Schließsystem aktiviert wird.
-
Weitere Merkmale, Vorzüge und Anwendungen der vorliegenden Erfindung werden anhand der folgenden Beschreibung einer bevorzugten Ausführungsform und der dazugehörigen Figuren deutlich.
-
1 zeigt eine bevorzugte Ausführungsform des erfindungsgemäßen Systems.
-
2a–c zeigen Flußdiagramme des erfindungsgemäßen Verfahrens.
-
In 1 ist eine bevorzugte Ausführungsform des erfindungsgemäßen Systems schematisch dargestellt. In der dargestellten Ausführungsform ist das System in einer Apotheke installiert. Zukünftig werden in staatlichen bzw. halbstaatlichen Gesundheitssystemen die einzelnen Teile bzw. Mitglieder der Systeme, d. h. die Patienten, Ärzte, Krankenhäuser und Apotheken, miteinander vernetzt. Dies ermöglicht einen effizienteren Austausch von Daten zwischen den einzelnen. Institutionen und Mitgliedern des Systems. Um einen Mißbrauch der Daten zu verhindern, erhält jeder Arzt oder Apotheker eine sogenannte Health Professional Card (HPC), die ihn gegenüber dem vernetzten System identifiziert und einen Zugriff auch auf Patientendaten ermöglicht. Demgegenüber erhalten Patienten eine sogenannte elektronische Gesundheitskarte (eGK), mit ihren Patientendaten darauf.
-
Zum Einlesen der Patientendaten von einer eGK in das System einer Apotheke müssen sich zunächst die Mitarbeiter 1 der Apotheke bei einer sicherheitssensiblen Ressource 2, 3 welche das Auslesen und Abspeichern der Patientendaten ermöglicht, anmelden und identifizieren. Dazu weist die sicherheitssensible Ressource 2, 3 Kartenlesegerme auf, in welche die Mitarbeiter ihre persönlichen HPCs einschieben können. Zusätzlich muß jeder Mitarbeiter nach dem Einschieben der HPC seine persönliche Identifikationsnummer eingeben, um sich gegenüber der sicherheitssensiblen Ressource 2, 3 als rechtmäßiger Besitzer der Karte auszuweisen. In der in 1 dargestellten Ausführungsform der Erfindung sind zwei sicherheitssensible Ressourcen 2, 3 vorgesehen, wobei die Zahl der Ressourcen 2, 3 der Anzahl der zu identifizierenden Mitarbeiter entspricht. Die beiden sicherheitssensiblen Ressourcen bilden zusammen ein Rechnersystem 4.
-
Jeder der Mitarbeiter meldet sich. zu Beginn eines Arbeitstages an einer der sicherheitssensiblen Ressourcen 2, 3 an. Dabei wird die HPC in den Kartenleser eingeführt und die PIN in die sicherheitssensible Ressource 2, 3 eingegeben.
-
Die sicherheitssensible Ressource 2, 3 mit den Lesegeräten ist in einem Dritten, nicht zugänglichen Raum innerhalb der Apotheke angeordnet, so daß nur die Mitarbeiter gegenständlichen Zugriff auf die sicherheitssensiblen Ressourcen 2, 3 haben. Die sicherheitssensiblen Ressourcen 2, 3 sind mit Hilfe eines Datennetzwerkes 5, in der dargestellten Form ein betriebsinternes Intranet, mit anderen Rechnern und den Zugangspunkten 6, 7 verbunden. Die Zugangspunkte 6, 7 sind im Verkaufsbereich, d. h. auf dem Tresen der Apotheke angeordnet. Jeder der Zugangspunkte 6, 7 bildet ein Datenterminal, welches einen Zugriff auf das Netzwerk 5 ermöglicht. Dabei werden beispielsweise Rechnungen erstellt, Rezepte abgerechnet usw. Darüber hinaus ist mit jedem Zugangspunkt ein Barcodescanner verbunden, mit welchem die Preisetiketten der verkauften Medikamente eingelesen werden. Des weiteren weist jeder Zugangspunkt 6, 7 Kartenleser zum Auslesen der eGK der Kunden bzw. Patienten auf.
-
In 2a ist ein Flußdiagramm dargestellt, welches den täglichen Registrierungsprozeß für jeden Benutzer an der sicherheitssensiblen Ressource 2 schematisch darstellt. Dieser Vorgang des einmaligen Identifizierens wird auch als ”Enrolment” bezeichnet. Zunächst muß das System durch Betätigen einer Taste in Betrieb gesetzt und nachfolgend eine Ressource durch Einschieben der HPC ausgewählt werden. Es folgt eine Abfrage der PIN bzw. alternativ dazu eines Paßworts des Benutzers durch die Ressource 2. Ist die Eingabe der PIN fehlerhaft, so bricht das System den Enrolment-Vorgang ab. Ist die eingegebene PIN richtig, d. h. entspricht sie der zu der HPC gehörenden PIN, so wird der Benutzer von dem System aufgefordert, den individuellen Transponder zu präsentieren und in die Nähe eines entsprechenden Lesegerätes der Ressource 2 zu bringen. Das System speichert sodann die Zugehörigkeit des entsprechenden Transponders zu der Ressource bzw. der eigegebenen HPC ab und ordnet diesem Transponder/Ressourcenpaar einen geschlossenen logischen und vertrauenswürdigen Kanal zu. Dieser Kanal steht zur Kommunikation zwischen einem beliebigen Zugangspunkt 6, 7 mit der Ressource 2 bereit, ist jedoch bis zum Präsentieren eines Transponders 8 an einem der Zugangspunkte 6, 7 geschlossen. Damit ist der Enrolment-Vorgang abgeschlossen.
-
Möchte ein Patient Medikamente auf Rechnung einer Krankenkasse erwerben, so legt er seine eGK dem Apotheker 1 vor. Die Patientendaten der eGK wenden mit Hilfe eines entsprechenden Kartenlesegerätes in die Zugangspunkte 6, 7 eingelesen. Bei dem in 1 dargestellten Beispiel führt der Apotheker 1, die Abrechnung mit Hilfe des Zugangspunktes bzw. Datenterminals 6 durch. Dazu präsentiert er seinen, persönlichen und zuvor am System identifizierten Transponder 8 gegenüber dem Zugangspunkt 6. Stimmen die Identfikationsdaten des Transponders 8 mit einer der Ressourcen 2, 3 überein, so wird der zur Ressource gehörende vertrauenswürdige Kanal geöffnet. Im vorliegenden Fall gehört der Transponder 8 des Apothekers 1 zu der Ressource 3, so daß zwischen dem Zugangspunkt 6 und der Ressource 3 der logische Kanal 9a, 9b auf dem Netzwerk geöffnet wird. Über diesen Kanal werden sodann die Patientendaten aus der eGK ausgelesen und zusammen mit den Informationen über die verkauften Medikamente und die entsprechenden Preise auf der sicherheitssensiblen Ressource 4 gespeichert.
-
Das entsprechende Verfahren zum Freischalten des logischen Kanals 9a, 9b ist in 2b dargestellt. Zunächst wird durch einfachen Tastendruck das Datenterminal 6 aktiviert. In einem zweiten Schritt wird der Transponder 8 des Apothekers 1 gegenüber dem Datenterminal 6 präsentiert und das System gleicht die Identfikationsdaten des Transponders 8 mit den im System hinterlegten Daten der angemeldeten Transponder ab. Gibt es keine Übereinstimmung zwischen dem präsentierten Transponder 8 und den hinterlegten Transponderdaten, so wird der Vorgang abgebrochen. Ist der präsentierte Transponder 8 einer der Ressourcen 2, 3 zugeordnet, bei dem in 1 dargestellten Beispiel der Ressource 3, so wird der für den Benutzer 1 eingerichtete logische Kanal 9a, 9b geöffnet. Damit ist der Identifizierungsprozeß abgeschlossen.
-
Wie in 2c dargestellt, wird der einmal geöffnete vertrauenswürdige Kanal 9a, 9b nach Abschluß des Verkaufs durch Tastendruck oder Zeitablauf wieder geschlossen, um eine mißbräuchliche Bedienung des Zugangspunktes 6, d. h. insbesondere das nicht autorisierte Auslesen von eGK zu verhindern.