-
Die
Erfindung betrifft ein Verfahren zur Organisation des Zugangs zu
einem insbesondere in einem medizintechnischen Umfeld nutzbaren
Datenverarbeitungsnetzwerk sowie eine zur Durchführung des Verfahrens geeignete
Vorrichtung.
-
Aus
der
US 2002/0069364
A1 ist ein Internet-Endgerät mit einem Identifikationsmodul,
bei dem es sich um einen auf RFID-Technologie basierenden, kontaktlos
auslesbaren Transponder handeln kann, bekannt. Weitere mit RFID-Chips
arbeitende Datenverarbeitungssysteme sind beispielsweise aus der
US 6,400,272 B1 ,
der
WO 2006/058415 A1 ,
der
WO 2006/039119
A1 sowie der
DE
199 32 147 A1 bekannt, wobei es sich im letztgenannten
Fall um ein für
den Einsatz im Gesundheitssektor vorgesehenes elektronisches System
handelt.
-
Aus
der
DE 10 2004
016 654 B4 ist ein Netzwerksystem sowie ein Verfahren zur
Steuerung eines Zugangs einer ersten Netzwerkkomponente zu wenigstens
einer zweiten Netzwerkkomponente bekannt. Das bekannte Netzwerksystem
soll bei größtmöglicher
Zugriffssicherheit ein hohes Maß an
Flexibilität
beinhalten, wobei keine Spezialisierung auf ein bestimmtes Anwendungsgebiet
gegeben ist. Das aus der
DE 10 2004 016 654 B4 bekannte Verfahren
arbeitet unter anderem mit einer durch Berechnung ermittelten Benutzeridentifikation.
-
In
der Medizintechnik, insbesondere im Bereich der Radiologie, werden
Datenverarbeitungseinrichtungen typischerweise wechselnd von verschiedenen
Nutzern bedient. Üblicherweise
muss jeder Nutzer, der Zugang zu einer Datenverarbeitungseinrichtung
wünscht,
sich an dieser durch Eingabe eines Benutzernamens und eines Passworts
anmelden. Diese Anmeldung oder Identifikation stellt jedoch, wenn
eine Mehrzahl an Einzelgeräten
eines Datenverarbeitungssystems für eine Gruppe an Nut zern bereitgehalten
wird und ein häufiger
Benutzerwechsel zu verzeichnen ist, einen Vorgang dar, der eine nicht
vernachlässigbare
Zeit beansprucht. Um den in der Summe beachtlichen Zeitaufwand für Anmeldeprozeduren
zu verringern, wäre
es prinzipiell möglich,
eine Datenverarbeitungsanlage für
eine Gruppe von Benutzern zugänglich
zu machen, ohne für
jeden Nutzer einen individuellen Anmeldevorgang zu fordern. Eine
solche Vorgehensweise ist jedoch unter Sicherheitsaspekten nicht
zu befürworten.
-
Der
Erfindung liegt die Aufgabe zugrunde, den Betrieb eines Datenverarbeitungsnetzwerks, welches
regelmäßig von
einer Mehrzahl an Benutzern, die auf sich überschneidende Gruppen von
Einzelgeräten
des Datenverarbeitungsnetzwerks zugreifen, genutzt wird, besonders
rationell zu gestalten und zugleich Sicherheitsaspekten ausreichend Rechnung
zu tragen.
-
Diese
Aufgabe wird erfindungsgemäß gelöst durch
ein die Merkmale nach Patentanspruch 1 aufweisendes Verfahren zum
Betrieb eines Datenverarbeitungsnetzwerks sowie durch eine Vorrichtung
gemäß Anspruch
10, nämlich
ein Datenverarbeitungsnetzwerk, welche, insbesondere durch softwaretechnische
Mittel, zur Durchführung
des Verfahrens nach Anspruch 1 eingerichtet ist. Im Folgenden erläuterte Ausgestaltungen
und Vorteile des erfindungsgemäßen Verfahrens
gelten sinngemäß auch für das Datenverarbeitungsnetzwerk
und umgekehrt. Das Datenverarbeitungsnetzwerk ist insbesondere zur
Verarbeitung medizintechnischer Daten geeignet. Unter medizintechnischen
Daten werden beispielsweise mit bildgebenden Diagnosegeräten wie
Computertomographie- oder Kernspinresonanzgeräten gewonnene Bilddaten verstanden.
-
Das
Verfahren geht davon aus, dass ein Datenverarbeitungsnetzwerk bereitgestellt
ist, welches mehrere, jeweils einen Benutzerzugang ermöglichende
Einzelgeräte,
insbesondere separat betriebsfähige
Computer, umfasst. Jeder Benutzer des Datenverarbeitungsnetzwerks
kann ein Identifikationsobjekt tragen, welches zur Erlangung des
Zugangs zum Datenverarbeitungsnetzwerk nutzbar ist. Das Identifikationsobjekt
tauscht drahtlos Daten mit einem mit dem Einzelgerät verbundenen
Zugangskontrollgerät
aus, sobald sich das Identifikationsobjekt dem Zugangskontrollgerät genügend angenähert hat,
das heißt
sobald sich das Identifikationsobjekts im Erfassungsbereich des
Zugangskontrollgeräts
befindet. Ist das mobile Identifikationsobjekt mittels des Zugangskontrollgeräts erfasst,
so wird dem Benutzer in Abhängigkeit
von über
das Zugangskontrollgerät an
das Einzelgerät übertragenen,
auf dem Identifi kationsobjekt gespeicherten Daten automatisch der
Zugang zu dem Datenverarbeitungsnetzwerk ermöglicht.
-
Als
Identifikationsobjekt wird vorzugsweise ein RFID-Chip (Radio Frequency
Identification) verwendet. Die Verwendung von RFID's in Datenverarbeitungs-
und Kommunikationsanlagen ist prinzipiell beispielsweise aus den
Druckschriften
DE
102 51 906 B4 sowie
DE 198 12 908 A1 , welche Inventarisierungssysteme
betreffen, bekannt. Im vorliegenden Fall kommen als Identifikationsobjekte
RFID's mit eigener
Energieversorgung grundsätzlich
ebenso in Betracht wie RFID's,
welche keine eigene Energieversorgung aufweisen. Die letztgenannten
RFID's beziehen
die zur ihrem Betrieb erforderliche Energie ausschließlich aus
von außen,
nämlich
von einer Ausleseeinheit, eingestrahlter elektromagnetischer Energie.
Unabhängig
von der Art der verwendeten RFID's
ermöglichen
diese in bevorzugter Ausgestaltung einen wartungsfreien Betrieb
von mindestens einem Jahr. Eine hohe Benutzerfreundlichkeit ist
dadurch gegeben, dass ein RFID nur einen sehr geringen Platzbedarf
hat und beispielsweise problemlos in einer Tasche eines Kleidungsstücks oder
an einem Armband getragen werden kann. Allgemein wird das tragbare
Identifikationsobjekt auch als Token bezeichnet.
-
Gemäß einer
vorteilhaften Weiterbildung wird mittels des vom Benutzer getragenen
Identifikationsobjekts zusätzlich
zum Freischalten des Zugangs zum Datenverarbeitungsnetzwerk automatisch
ein Benutzerprofil des jeweiligen Benutzers geladen. Der Benutzer
braucht somit weder für
die Login-Prozedur noch für
das Laden seines Benutzerprofils irgendwelche manuellen Eingaben,
etwa Tastatureingaben, zu tätigen.
Vielmehr werden die genannten Vorgänge des Einloggens sowie des
Ladens benutzerspezifischer Daten komplett und automatisch dadurch
ausgelöst,
dass das den Benutzer ausweisende Identifikationsobjekt in die Reichweite
des berührungslos
mit dem Identifikationsobjekt zusammenwirkenden Zugangskontrollgerät gebracht
wird. Insbesondere im klinischen Bereich ist die drahtlose Datenübermittlung
zwischen dem Identifikationsobjekt und dem Zu gangskontrollgerät auch unter
Aspekten der Hygiene von besonderem Vorteil. Der Radius, innerhalb
dessen, vom Zugangskontrollgerät aus
gemessen, das Identifikationsobjekt zu positionieren ist, um den
automatischen Anmeldevorgang sowie gegebenenfalls ergänzend das
Laden des Benutzerprofils auszulösen,
kann beispielsweise einige zehn cm (z. B. 30 cm) oder ungefähr einen
Meter betragen.
-
Während des
Betriebs des Datenverarbeitungsnetzwerks findet in bevorzugter Ausgestaltung eine
automatische direkte oder indirekte Überwachung daraufhin statt,
ob sich der berechtigte, das mittels des Zugangskontrollgeräts erfasste
Identifikationsobjekt mit sich führende
Benutzer aus dem mit dem vorstehend erwähnten Radius gegebenen Erfassungsbereich
des Zugangskontrollgeräts
entfernt.
-
Nach
der direkten Überwachungsmethode wird
die nach dem Entfernen des zuvor erfassten Identifikationsobjekts
aus dem Erfassungsbereich des Zugangskontrollgeräts verstreichende Zeit automatisch
gemessen. Nach Überschreitung
einer fest vorgegebenen oder einstellbaren ersten Zeitspanne, während der
das Identifikationsobjekts aus dem Erfassungsbereich des Zugangskontrollgeräts entfernt war,
wechselt der Betriebsmodus des mit dem Zugangskontrollgerät gesicherten
Einzelgeräts
vorzugsweise zunächst
in einen Wartemodus. In diesem Modus verschwindet die aktuelle Bildschirmanzeige, wobei
der Datenverarbeitungsprozess im aktuellen Status festgehalten,
quasi „eingefroren” wird.
Begibt sich der Benutzer samt Identifikationsobjekt zurück in den
Erfassungsbereich des Zugangskontrollgeräts, so kann er ohne weitere
Aktionen die Arbeit an dem Punkt fortsetzen, an dem er sie beim
Verlassen des Erfassungsbereichs unterbrochen hat. Versucht dagegen
ein weiterer Benutzer Zugang zu dem im Wartemodus befindlichen Einzelgerät zu erhalten,
so ist dies nicht oder zumindest nicht ohne weitere Schritte möglich. Je
nach Einstellungen des Datenverarbeitungsnetzwerks kann beispielsweise
vorgesehen sein, dass generell keinem zweiten Benutzer der Zugang
zu einem im Wartemodus betriebenen Einzelgerät eingeräumt wird. Alternativ kann in
einem solchen Fall ein Zugang zum Beispiel nur durch Nachweis einer
speziellen Berechtigung und/oder nach Freigabe durch den ersten,
bereits angemeldeten Benutzer vorgesehen sein.
-
Im
Unterschied zur vorstehend erläuterten direkten Überwachungsmethode,
welche eine zumindest grobe Ortsinformation berücksichtigt, basiert eine besonders
vorteilhafte indirekte Überwachungsmethode
auf der Messung der Zeiträume,
in denen der Benutzer keine Eingabe, etwa mit einer Tastatur oder
einer Maus, tätigt.
Ein solcher Zeitraum, in welchem mittels des Einzelgeräts des Datenverarbeitungsnetzwerks
keine Benutzeraktivität
feststellbar ist, wird als Aktivitäts-Pausenzeit oder Aktivitäts-Leerlaufzeit,
kurz auch als Leerlaufzeit, bezeichnet. Die indirekte Überwachungsmethode
zeichnet sich besonders dadurch aus, dass lediglich eine initiale
Erkennung des Identifikationsobjekts erforderlich ist. Analog zur
direkten Überwachungsmethode
können
auch nach der indirekten Überwachungsmethode
Zeitspannen vorgegeben oder einstellbar sein, nach deren Ablauf
automatisch bestimmte Schritte durchgeführt werden, beispielsweise
das vom Benutzer bediente Einzelgerät in den Wartemodus wechselt.
Aufgrund der Analogie zwischen der direkten und der indirekten Überwachungsmethode
bezieht sich die nachfolgende Beschreibung, soweit anwendbar, auf
beide Überwachungsmethoden.
-
Wird
nach der Entfernung des Identifikationsobjekts aus dem Erfassungsbereich
des Zugangskontrollgeräts
beziehungsweise nach dem Zeitpunkt der letzten detektierten Benutzeraktivität eine zweite
Zeitspanne überschritten,
welche über die
vorstehend erläuterte
erste Zeitspanne hinausgeht, so wird der Benutzer nach einem bevorzugten, besonders
sicherheitsorientierten Verfahrensschema automatisch von seiner
laufenden Sitzung abgemeldet, wobei vorzugsweise eine automatische
Datensicherung erfolgt. Um seine Arbeit fortzusetzen, müsste sich
der Benutzer in diesem Fall neu einloggen, was mit Hilfe des Identifikationsobjekts
an einem beliebigen Einzelgerät
möglich
ist.
-
Insbesondere
in Fällen,
in denen der Erfassungsbereich des Zugangskontrollgeräts über den Bereich
weniger Zentimeter hinausgeht, ist eine nicht vernachlässigbare
Wahrscheinlichkeit gegeben, dass sich mehrere Identifikationsobjekte
gleichzeitig im Erfassungsbereich des Zugangskontrollgeräts und damit
eines einzigen Geräts
des Datenverarbeitungsnetzwerks befinden. Beim Auftreten eines solchen
Falls werden die einzelnen Identifikationsobjekten und somit verschiedenen
Benutzern zuzuordnenden Nutzungsrechte automatisch nach vorgegebenen
Priorisierungsregeln vergeben. Die Priorisierungsregeln können hierbei
fest eingestellt oder durch den Benutzer variierbar sein.
-
Gemäß einer
Priorisierungsregel ist festgelegt, dass im Fall der Registrierung
eines Identifikationsobjekts, welches zusätzlich zu einem bereits zuvor
registrierten Identifikationsobjekt mittels desselben Zugangskontrollgeräts erfasst
wird, automatisch eine dem Benutzer anzeigbare Auswahlfunktion generiert
wird. Die Art der Auswahlfunktion selbst und/oder die Art der Anzeige
der gegebenen Auswahl ist von der Zeitspanne zwischen der Detektion des
ersten Identifikationsobjekts durch das Zugangskontrollgerät und der
Detektion des zweiten Identifikationsobjekts durch dasselbe Zugangskontrollgerät abhängig, wobei
eine Einstellmöglichkeit
der Zeitspanne durch den Benutzer vorgesehen sein kann.
-
Wird
die genannte Zeitspanne, das heißt der Grenzwert des zeitlichen
Intervalls zwischen der Detektion der verschiedenen Identifikationsobjekte
im Erfassungsbereich des Zugangskontrollgeräts, unterschritten, so wird
automatisch ein Auswahlmenü angezeigt,
welches die den beiden Identifikationsobjekten zugeordneten, dem
Benutzer anzuzeigenden Daten in analoger Weise darstellt. In anderen
Worten: Die an die verschiedenen, jeweils ein Identifikationsobjekt
tragenden Benutzer gerichteten Informationen werden gleichwertig
nebeneinander gestellt. Es wird hierbei von der Überlegung ausgegangen, dass
das annähernd
gleichzeitige Erfassen verschiedener Identifikationsobjekte durch
ein einziges Zugangskon trollgerät
in der Regel nicht zufällig
auftritt, sondern beispiels weise damit zu erklären ist, dass zwei Personen,
die jeweils ein Identifikationsobjekt tragen, zusammen den Raum,
in welchem das Zugangskontrollgerät installiert ist, betreten.
Es wäre
in einem solchen Fall nicht sachgerecht, eines der Identifikationsobjekte
im Hinblick auf den Zugang zu dem an das Zugangskontrollgerät angeschlossene
Datenverarbeitungsgerät
höher zu
priorisieren als das zweite Identifikationsobjekt.
-
Ein
hiervon abweichender Fall ist gegeben, wenn zwischen der Detektion
des ersten Identifikationsobjektes und der Detektion des zweiten
Identifikationsobjektes ein größerer, den
oben genannten Grenzwert überschreitender
Zeitraum verstrichen ist, insbesondere falls die Zugangsprozedur
mit dem ersten Identifikationsobjekt bereits abgeschlossen wurde.
In diesem Fall wird im Unterschied zum zuvor erläuterten Fall eine durch den
Benutzer erkennbare Priorisierung vorgenommen, wobei die dem zuletzt erfassten
Identifikationsobjekt zugeordneten Daten in untergeordneter Weise
gezeigt werden. In bevorzugter Ausgestaltung geschieht dies derart,
dass derjenige Benutzer, welcher mit Hilfe des ersten Identifikationsobjekts
Zugang zum Datenverarbeitungsnetzwerk erhielt, eine Meldung bekommt,
dass ein sich weiterer Benutzer – genauer: ein weiteres Identifikationsobjekt – innerhalb
des Erfassungsbereichs des Zugangskontrollgeräts befindet. Diese Meldung wird
auf dem vom ersten Benutzer verwendeten Monitor nach Möglichkeit
derart angezeigt, dass die Funktionalität der laufenden Anwendung praktisch nicht
beeinträchtigt
ist. Gleichzeitig ist die Möglichkeit gegeben,
bei Bedarf dem zweiten Benutzer Zugang zum Datenverarbeitungsnetzwerk
zu gewähren,
wobei der erste Benutzer wahlweise eingeloggt bleiben oder abgemeldet
werden kann.
-
Von
der Verwendung technischer Mittel, die dazu dienen, die Anwesenheit
von Personen in bestimmten Volumenbereichen zu detektieren, wird
in bevorzugter Ausgestaltung des Datenverarbeitungssystems abgesehen.
Vielmehr zeichnen sich die oben erläuterten Verfahren, welche zumindest
auf indirekte Weise sowohl den Ort, an dem sich ein Identifikationsobjekt
befindet, als auch den Zeitraum, in dem das Identifikationsobjekt
erkennbar ist oder die Benutzeraktivität im Wesentlichen ununterbrochen fortgeführt wird,
berücksichtigen,
besonders durch ihren geringen apparativen Aufwand aus.
-
Der
Vorteil der Erfindung liegt insbesondere darin, dass die Benutzer
eines vorzugsweise im Gesundheitssektor, insbesondere in einer Klinik,
eingesetzten Datenverarbeitungsnetzwerks mit Hilfe eines berührungslos
auslesbaren, vom Benutzer mitgeführten
Identifikationsobjekts, welches bevorzugt als RFID-Token ausgebildet
ist, schnellen und sicheren Zugang zu Einzelgeräten des Datenverarbeitungsnetzwerks
und damit bei Bedarf zum Datenverarbeitungsnetzwerk insgesamt haben.
-
Nachfolgend
wird ein Ausführungsbeispiel der
Erfindung anhand einer Zeichnung näher erläutert. Hierin zeigen:
-
1 ein
Datenverarbeitungsnetzwerk, welches zur Verwendung in einer Klinik
vorgesehen ist,
-
2, 3 in
jeweils einem Flussdiagramm einzelne Schritte mit dem Datenverarbeitungsnetzwerk
durchführbarer
Verfahren, und
-
4, 5 jeweils
eine im Datenverarbeitungsnetzwerk anzeigbare Bildschirmdarstellung, welche
eine Wahlmöglichkeit
zwischen verschiedenen Prozeduren zeigt.
-
Ein
in 1 grob schematisiert dargestelltes Datenverarbeitungsnetzwerk 1 umfasst
zur Verarbeitung medizintechnischer Daten, beispielsweise zwei- oder
dreidimensionaler Bilddaten, vorgesehene Einzelgeräte 2,
von welchen nur ein einziges Gerät
dargestellt ist. Bei den Einzelgeräten 2 handelt es sich beispielsweise
um jeweils mit einer Tastatur und einem Bild schirm ausgerüstete, einzeln
betriebsfähige Computer.
Das in 1 in Blockform skizzierte Einzelgerät 2 kann
direkt oder indirekt an eine Modalität wie einen Computertomographen
oder einen Kernspintomographen angeschlossen oder Teil einer solchen
bildgebenden Modalität
sein.
-
Ein
Benutzer, beispielsweise Arzt, welcher berechtigt ist, das Datenverarbeitungsnetzwerk 1 zu nutzen,
trägt in
oder an seiner Kleidung ein Identifikationsobjekt 3, nämlich ein
RFID-Token. Dieses Identifikationsobjekt 3 ist in der Lage,
berührungslos,
wie in 1 durch eine gestrichelte Linie angedeutet, Daten
mit einem Zugangskontrollgerät 4 auszutauschen,
welches mit dem Einzelgerät 2 verbunden oder
eine integrale Komponente des Einzelgerätes 2 ist.
-
Das
Zugangskontrollgerät 4 liest
Daten aus dem Identifikationsobjekt 3 aus, sobald sich
dieses, entsprechend der Anordnung nach 1, innerhalb des
Erfassungsbereichs des Zugangskontrollgeräts 4 befindet. Eine
eigene Energieversorgung, etwa eine Batterie, des Identifikationsobjekts 3 ist
für den Auslesevorgang
nicht erforderlich. Im Einzelfall kann es jedoch, beispielsweise
um zusätzliche
Funktionen des Identifikationsobjekts 3 bereitzustellen,
zweckmäßig sein,
dieses mit einer eigenen Energiequelle zu versehen. In allen Fällen geschieht
der Datentransfer zwischen dem Identifikationsobjekt 3 und dem
Zugangskontrollgerät 4 kontaktlos.
-
Die
vom Zugangskontrollgerät 4 empfangenen,
benutzerspezifischen Daten werden an eine Authentisierungskomponente 5 geleitet,
die Teil des Einzelgerätes 2 ist,
jedoch physikalisch nicht zwangsläufig – wie in 1 angedeutet – mit weiteren
Komponenten des Einzelgerätes 2 in
einem gemeinsamen Apparat angeordnet zu sein braucht. Generell sind
die in 1 sichtbaren Komponenten des Datenverarbeitungsnetzwerks 1 lediglich
als logische Funktionselemente zu verstehen, welche beispielsweise
softwaretechnisch realisierbar sind.
-
Die
Authentisierungskomponente 5 sendet eine Berechtigungsanfrage
an ein Funktionsmodul 6, welches im Ausführungsbeispiel
nach 1 nicht dem Einzelgerät 2 zuzurechnen ist,
sondern zentral, als Komponente einer nicht weiter dargestellten
Datenverarbeitungsanlage, bereitgestellt wird. Sofern die Berechtigung
des Benutzers, welcher sich durch das Identifikationsobjekt 3 ausgewiesen
hat, mit Hilfe des Funktionsmoduls 6 bestätigt wird,
leitet die Authentisierungskomponente 5 eine entsprechende Meldung
an ein Gerätemodul 7,
das dem Einzelgerät 2 zuzurechnen
ist. Im gegenteiligen Fall, das heißt bei fehlender Zugangsberechtigung,
kann ebenfalls eine entsprechende Mitteilung, die auf einem Monitor des
Einzelgeräts 2 und/oder
an anderer Stelle des Datenverarbeitungsnetzwerks 1 anzeigbar
ist, generiert werden.
-
Das
Gerätemodul 7 steht
datentechnisch in Verbindung mit einem Anwendungsmodul 8,
welches den eigentlichen vom Benutzer nachgefragten Datenverarbeitungsvorgang,
beispielsweise die Verarbeitung diagnostischer Bilddaten, ermöglicht.
Die Benutzerverwaltung, soweit das Einzelgerät 2 betroffen ist,
wird dagegen durch das Gerätemodul 7 bereitgestellt.
-
Einzelne
Schritte des mit der Vorrichtung nach 1 durchführbaren
Verfahrens, welche auch Aspekte der Benutzerverwaltung zeigen, werden
im Folgenden anhand der 2 und 3 erläutert.
-
In
einem ersten Schritt S1 (2) wird das Identifikationsobjekt 3 dem
Zugangskontrollgerät 4 soweit
angenähert,
dass es durch dieses detektierbar ist. Dies bedeutet, dass der Benutzer,
welcher das Identifikationsobjekt 3 mit sich trägt, in den
beispielsweise einen Radius von ca. 1 m aufweisenden Erfassungsbereich
des Zugangskontrollgeräts 4 eindringt.
Sowohl der Vorgang als auch der Zeitpunkt der Detektion des Identifikationsobjekts 3 werden durch
hierfür
vorgesehene, oben bereits erläuterte Komponenten
des Datenverarbeitungsnetzwerks 1 im Schritt S2 registriert,
wobei dem Benutzer in gewünschter
Weise Zugang zum Datenverarbeitungsnetzwerk 1 ge währt wird.
Maximale Bedienungsfreundlichkeit ist dadurch gegeben, dass nicht
nur die Eingabe des Benutzernamens sowie eines Passworts entfällt, sondern
auch das zum Identifikationsobjekt 3 gehörende Benutzerprofil
automatisch, ohne jegliche Eingabe durch den Benutzer, geladen wird.
-
Im
Schritt S3 verlässt
der Benutzer einschließlich
des Identifikationsobjekts 3 den Erfassungsraum. Der Zeitpunkt
dieses Vorgangs wird zunächst
registriert, ohne dass dies Einfluss auf den laufenden Datenverarbeitungsvorgang
hat. Alternativ zu einer laufenden oder in Intervallen durchgeführten Überwachung
daraufhin, ob der drahtlose Datentransfer zwischen dem Identifikationsobjekt 3 und dem
Zugangskontrollgerät 4 noch
aufrecht erhalten werden kann, das heißt das Identifikationsobjekt 3 noch
im Erfassungsbereich ist, wird gemäß einer besonders bevorzugten,
mit geringerem Aufwand realisierbaren Verfahrensvariante nach der
initialen Detektion des Identifikationsobjekts 3 lediglich
die Aktivitäts-Leerlaufzeit überwacht.
-
Zu
einem späteren
Zeitpunkt versucht der Benutzer im Schritt S4, den Datenverarbeitungsvorgang
fortzusetzen. Der Status der Datenverarbeitung ist dabei von der
verstrichenen Zeit, das heißt
der Zeit, in welcher sich das Identifikationsobjekts 3 außerhalb
des Erfassungsraums befand, beziehungsweise der gemessenen Aktivitäts-Leerlaufzeit,
abhängig.
-
Sobald
nach dem Entfernen des Identifikationsobjekts 3 aus dem
Erfassungsraum beziehungsweise nach dem Zeitpunkt der zuletzt erfassten
Benutzeraktivität
eine erste Zeitspanne von beispielsweise wenigen Minuten vergangen
ist, wird der Betrieb des Einzelgeräts 2 auf einen so
genannten Schlaf- oder Wartemodus umgestellt, in dem insbesondere
die zuvor angezeigte Bildschirmdarstellung ausgeblendet ist, so
dass Dritte keinen Einblick in die laufenden Prozeduren haben. Auch
ein Zugriff eines Dritten auf die Tastatur oder andere Eingabegeräte des im
Betrieb befindlichen Einzelgerätes 2 sind
im Wartemodus blockiert. Die Zeitspanne, nach der der Wartemodus aktiviert
wird, sei im Ausführungsbeispiel
nach 2 in jedem Fall gegeben.
-
In
einem ersten Unterfall, welcher zum Schritt S5 führt, befindet sich das Einzelgerät 2 noch im
Wartemodus, wenn der Benutzer erneut mit dem Identifikationsobjekt 3 in
den Erfassungsbereich gelangt. Der Datenverarbeitungsprozess wird
dann so fortgesetzt, als wäre
das Identifikationsobjekt 3 nicht aus dem Erfassungsbereich
entfernt worden. Ein hoher Komfort für den Benutzer des Einzelgeräts 2 ist somit
mit der Erfüllung
hoher Sicherheitsanforderungen kombiniert.
-
Im
zweiten Unterfall wird davon ausgegangen, dass die Maximaldauer,
welche für
den Wartemodus eingestellt ist, abgelaufen ist. Der Benutzer wird
dann im Schritt S6 unter gleichzeitiger Datensicherung automatisch
abgemeldet, so dass das Einzelgerät 2 für andere
Benutzer zur Verfügung
steht.
-
Im
Ausführungsbeispiel
nach 3 sind die einzelnen Schritte zur Unterscheidung
vom Ausführungsbeispiel
nach 2 mit T1 bis T5 bezeichnet. Im ersten Schritt
T1 sei ein erster Benutzer des Einzelgeräts 2 bereits angemeldet,
wobei der Zeitpunkt, zu welchem das Identifikationsobjekt 3 erstmals
im Erfassungsraum erkannt wurde, das heißt der Zeitpunkt der initialen
Erkennung, gespeichert ist. Das Identifikationsobjekt 3 befindet
sich seit diesem Zeitpunkt ununterbrochen im Erfassungsraum. Hiervon wird
auch ausgegangen, solange die jeweils nach Beendigung einer Benutzeraktivität, beispielsweise einer
Tastatureingabe, erneut beginnende Aktivitäts-Pausenzeit einen fest vorgegebenen oder
variablen Grenzwert nicht überschreitet.
-
Im
Schritt T2 betritt ein weiterer, ebenfalls ein Identifikationsobjekt 3 tragender
Benutzer den Erfassungsbereich des Zugangskontrollgeräts 4.
Auch in diesem Fall wird der früheste
Zeitpunkt der Erkennung des Identifikationsobjekts 3 registriert.
Die Differenz zwischen den beiden registrierten Zeitpunkten wird
automatisch berechnet und mit einer vorein gestellten Zeitspanne
verglichen, welche für
eine Vergleichsoperation im Schritt T3 benötigt wird:
Ist die gemessene
Zeitdifferenz geringer als die voreingestellte Zeitspanne von beispielsweise
einigen Sekunden, so wird fingiert, die verschiedenen Identifikationsobjekte 3 seien
gleichzeitig im Erfassungsbereich, auch Erfassungsraum genannt,
detektiert worden. Dementsprechend wird von der Gleichrangigkeit
beider Detektionsereignisse ausgegangen. Ein automatischer Login
nur eines Benutzers kommt in diesem Fall nicht in Betracht. Vielmehr
ist eine gezielte benutzergesteuerte Auswahl zu treffen. Zu diesem
Zweck wird eine Bildschirmdarstellung B1 generiert, welche in 4 schematisch
wiedergegeben ist. Die Bildschirmdarstellung B1 zeigt zwei Anzeigefelder
A1, A2, welche in gleicher Größe und damit
augenscheinlich gleichrangig nebeneinander gestellt sind. Durch
Auswahl eines der Anzeigefelder A1, A2 ist ein bestimmter Benutzer
als Benutzer des Einzelgeräts 2 festlegbar.
Die entsprechende Festlegung erfolgt im Schritt T4.
-
Ist
im Unterschied zu dem im Schritt T4 mündenden Fall die gemessene
Zeitdifferenz derart groß, dass
von einem nicht rein zufälligen
Zeitversatz zwischen den Detektionsereignissen auszugehen ist, so wird
zunächst
ein Benutzer, wie anhand 2 erläutert, automatisch eingeloggt.
Der Benutzer hat die Möglichkeit,
mit Hilfe eines Anwendungsprogramms Daten zu bearbeiten, wobei eine
denkbare Bildschirmdarstellung B2 in 5 angedeutet
ist. Der zweite, ebenfalls ein gültiges,
prinzipiell den Zugang zum Einzelgerät 2 ermöglichendes
Identifikationsobjekt 3 tragende Benutzer soll die Arbeit
des ersten Benutzers möglichst
nicht über
das unbedingt erforderliche Maß hinaus
beeinträchtigen.
Gleichzeitig soll jedoch dem ersten Benutzer angezeigt werden, dass
ein weiterer Nutzer mit adäquater
Berechtigung grundsätzlich
als Benutzer des Einzelgeräts 2 in
Betracht kommt. Um diesen konträren
Anforderungen gerecht zu werden, wird in die Bildschirmdarstellung B2,
wie in 5 erkennbar, ein relativ kleines Anzeigefeld A2
eingeblendet, das dem aktuell das Einzelgerät 2 nutzenden Benutzer die
Existenz des zweiten Identifikationsobjekts 3 innerhalb
des Erfassungsraums anzeigt. Der bereits angemeldete Benutzer hat
nun die Möglichkeit,
den Zugang des zweiten Benutzers abzulehnen, einem Benutzerwechsel
zuzustimmen, oder – je
nach softwaretechnischer Ausgestaltung – die zusätzliche Anmeldung des zweiten Benutzers
zu bestätigen.
Unterbleibt eine Eingabe durch den ersten Benutzer, so wird standardmäßig davon
ausgegangen, dass das Einzelgerät 2 weiterhin
allein dem bereits angemeldeten Benutzer zugeordnet sein soll. In
diesem Fall wird das Anzeigefeld A2, welches nach Möglichkeit
automatisch auf einem Teil des Bildschirms positioniert wird, der
aktuell nicht verwendet wird, nach einem vorzugsweise einstellbaren
Zeitintervall wieder ausgeblendet.