-
Die Erfindung betrifft insbesondere ein Prüfsummenverfahren für medizinische Bilddaten(sätze) sowie eine zugehörige Vorrichtung bzw. ein Computerprogrammprodukt.
-
Hintergrund der Erfindung
-
Der Standard zur Ablage von medizinischen Bilddaten ist der DICOM-Standard (Digital Imaging and Communications in Medicine) [1]. Gemäß des DICOM-Standards [1] werden alle Objekte in DICOM über eine sogenannte Information Object Definition festgelegt. Diese besteht aus mehreren Modulen, die wiederum einzelne Attribute bzw. Sequenzen von Attributen enthalten. Ein Attribut wird über eine festgelegte achtstellige Hexadezimalzahl, ein sogenanntes Data Tag definiert. Die ersten vier Stellen definieren die Zugehörigkeit des Attributes zu einer bestimmten Gruppe (wie beispielsweise File Meta Information), die weiteren vier bestimmen das Element. Zur besseren Lesbarkeit wird ein DICOM Data Tag normalerweise in der Form (aaaa, bbbb) mit einem Komma in der Mitte dargestellt. Somit entspricht das Tag 0x00100010 – Patient's Name – dem Dezimalwert 1048592 und wird als (0010, 0010) dargestellt. Dabei werden die Bilddaten von einer bildgebenden Modalität generiert, mit den entsprechenden DICOM-Tags versehen und auf einem nichtflüchtigen Speichermedium gespeichert (meist eine Festplatte).
-
Zur Diagnose oder Archivierung werden diese DICOM-Daten wieder vom nicht-flüchtigen Speichermedium geladen, dargestellt bzw. versendet. Das Problem hierbei ist, dass kein Mechanismus vorgesehen ist, der die „Unversehrtheit” der Bilddaten sicherstellt, d. h. wenn bei der Speicherung selbst, während der Speicherdauer, beim Laden oder Netzwerk-Versand der Bilddaten ein Fehler auftritt (Soft- oder Hardware-Fehler), so bleibt das unentdeckt, solange die interne Struktur des DICOM-Formats korrekt bleibt.
-
Aus [5] ist ein Prüfverfahren bekannt, das das Risiko von Übertragungs- bzw. Speicherfehlern verringert. Für die Problematik von Übertragungs- bzw. Speicherfehlern stellt der DICOM-Standard eine „storage commitment”-Funktion zur Verfügung, bei der die sendende Recheneinrichtung nach bestätigter Datenübertragung anfragen kann, ob die übermittelten Daten sicher gespeichert wurden. Dies ist beispielsweise interessant, wenn die genannte Recheneinrichtung die Bilddatensätze löschen will und sicherstellen möchte, dass diese auch archiviert bzw. sicher an eine weitere Recheneinheit übertragen worden sind.
-
Aus [6] ist ein Verfahren zum Erkennen einer Manipulation bei der Übertragung von Steuerdaten von einer ersten Steuereinheit zu einer zweiten Steuereinheit über ein Netzwerk schon vorgeschlagen worden. Diese Verfahren wird vor allem im Bereich der Zugsteuerung bzw. Fahrzeugsteuerung oder sonstiger Betreiberfunktionen eingesetzt werden. Weiterhin kann es sich bei dem Übertragungsnetzwerk um ein Netzwerk eines Energieautomatisierungsnetzes handeln. Bei dem Übertragungsnetzwerk handelt es sich insbesondere um ein Ethernet-basiertes oder IP-basiertes Produktionsnetzwerk, das Steuernetzwerke unterschiedlicher Fertigungszellen miteinander verbindet.
-
Im Zusammenhang mit medizinischen Bilddaten stellen bei einer DICOM-Datei die Bilddaten mit Abstand den größten Datenblock dar. Ein Fehler in diesem Bilddaten-Block bleibt unentdeckt, solange die Größe des Bilddatenblocks gleich bleibt oder größer wird als der ursprüngliche Bilddatenblock.
-
Ein defekter Sektor auf einer Festplatte/CD/DVD könnte so z. B. einen Bildbereich einer geladenen DICOM-Datei komplett schwarz oder weiß erscheinen lassen. Solch ein großflächiges Artefakt würde vermutlich auch von einem Laien als Speicherfehler identifiziert werden können. Viel kritischer sind Fehler, die nur einen kleinen Bildbereich betreffen oder weniger kontrastreich im Bild erscheinen. Diese könnten von einem Mediziner als anatomische Struktur mißgedeutet werden und so zu einer Fehldiagnose und -behandlung führen.
-
Ähnliches gilt, wenn die Bilddaten nachträglich, ggf. mutwillig bzw. versehentlich manipuliert wurden. Die kann gegebenenfalls mit der derzeitigen DICOM-Struktur nicht erkannt werden und würde ebenfalls zu einer Fehldiagnose bzw. -behanlung führen.
-
Es ist Aufgabe der Erfindung, eine gegen Manipulation und Fehler gesicherte Speicherung der medizinischen Bilddaten zu verbessern.
-
Darstellung der Erfindung
-
Die Aufgabe wird durch die Merkmale gemäß der unabhängigen Patentansprüchen gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Patentansprüche bzw. lassen sich aus der nachfolgenden Beschreibung sowie den Ausführungsbeispielen entnehmen.
-
Gegenstand der Erfindung ist ein Verfahren zum Erkennen zumindest einer Manipulation von einem oder mehreren medizinischen Bilddatensätzen bei Speicherung derselben auf einer Recheneinrichtung. Dabei wird
- – vor der Speicherung des einen oder mehrerer Bilddatensätze wenigstens eine erste Prüfsumme zumindest für einen Teil der Bilddatensätze ermittelt und in den Bilddatensätzen abgelegt,
- – wobei nach der Speicherung wenigstens eine zweite Prüfsumme aus den Bilddatensätzen ermittelt und mit der in den Bilddatensätzen abgelegten ersten Prüfsumme verglichen wird,
- – wobei bei nicht übereinstimmenden Prüfsummen eine Fehlermeldung erzeugt wird.
-
Ein Aspekt der Erfindung besteht in der Nutzung von sogenannten privaten DICOM-Tags bzw. in der Verwendung eines privaten Inhalts zumindest eines Bilddatensatzes zur Speicherung von Prüfsummen.
-
Eine Weiterbildung der Erfindung besteht in der Verwendung mehrerer Prüfsummen je nach Einsatzbereich (schnelle Berechnung = weniger Sicherheit; langsame Berechnung = höhere Sicherheit).
-
Ein weiterer Aspekt der Erfindung ist, dass die wenigstens eine erste Prüfsumme und/oder wenigstens eine zweite Prüfsumme in eine Protokoll-Datei ausgegeben werden.
-
Des Weiteren können die Prüfsummen bei der Entwicklung und Validierung der Bildverarbeitungskette genutzt werden.
-
Dabei wird das Verfahren zum Erkennen einer Manipulation von einem oder mehreren medizinischen Bilddatensätzen für eine Validierung von Bildverarbeitungsalgorithmen durch Vergleich derselben in einer Prototyp-Implementierung mit den Ergebnissen einer Produktimplementierung verwendet. Wenn eine Prüfsumme für die Bilddaten vorliegt, kann diese in eine solche Protokoll-Datei ausgegeben werden und somit mit der Prüfsumme einer Prototypen-Implementierung verglichen werden.
-
Ein weiterer Aspekt der Erfindung ist eine zugehörige Vorrichtung, vorzugsweise ein Server bzw. Computer, aufweisend Mittel bzw. Module zur Durchführung des oben genannten Verfahrens, die jeweils hardwaremäßig und/oder softwaremäßig auch als Computerprogrammprodukt ausgeprägt sein können.
-
Weiterbildungen der Vorrichtung bzw. des Computerprogrammprodukts sind analog zu den bereits oben dargestellten Ausführungsformen möglich.
-
Die Erfindung weist folgende Vorteile auf:
- – Sicherstellung der „Unversehrtheit” von medizinischen Bilddaten selbst nach Speicherung auf nicht-flüchtigen Speichermedien (z. B. Festplatte, CD, DVD, USB-Stick) oder nach Netzwerk-Versand.
- – Bei separater, sicherer Speicherung der Prüfsummen kann ein Schutz gegen mutwillige bzw. versehentliche, nachträgliche Manipulation der Bilddaten gewährleistet werden
-
Beschreibung eines oder mehrerer Ausführungsbeispiele
-
Weitere Vorteile, Einzelheiten und Weiterbildungen der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen in Verbindung mit den Zeichnungen.
-
In der Zeichnung zeigt:
-
1 schematisch eine Röntgenanlage und eine Auswertungsanordnung, die aus [3] bekannt ist, und
-
2 ein Ablaufdiagramm zur Darstellung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens zur Manipulationssicherung von medizinischen Bilddaten.
-
Zudem wird bzgl. der in der Zeichnung verwendeten Begriffe auf die beigefügte Bezugszeichenliste verwiesen. Die Erfindung ist nicht auf das nachstehend beschriebene Ausführungsbeispiel beschränkt. Alternativ zu der in 1 gezeigten Röntgenanlage sind auch andere Modalitäten wie Magnetresonanz-, Computertomographie-, Ultraschall- bzw. Positronen-Emissions-Tomographieanlagen denkbar.
-
Gemäß 1 ist eine Röntgenanlage 1 als C-Bogen-Anlage oder dergleichen ausgebildet. Die Röntgenanlage 1 weist eine Aufnahmeanordnung 2 auf. Die Aufnahmeanordnung 2 weist eine Röntgenquelle 3 und einen Flächendetektor 4 auf. Weiterhin weist die Röntgenanlage eine Patientenliege 5 auf, auf der ein Patient 6 liegen kann.
-
Die Aufnahmeanordnung 2 und die Patientenliege 5 werden mittels einer Steuereinrichtung 7 der Röntgenanlage 1 gesteuert. Es ist möglich, die Aufnahmeanordnung um einen Schwenkpunkt 8 zu verschwenken, also eine Angulation einzustellen. Die Stellung, in welche die Aufnahmeanordnung 2 relativ zum Schwenkpunkt 8 verschwenkt ist, ist durch Angulationsparameter A beschrieben. Die translatorische Positionierung der Aufnahmeanordnung 2 relativ zum Patienten 6 und der Abstand a der Röntgenquelle 3 vom Flächendetektor 4 bilden unter anderem weitere Projektionsparameter P.
-
Die Steuereinrichtung 7 ist datentechnisch mit einer Auswertungseinrichtung 9 verbunden, die der Röntgenanlage 1 zugeordnet ist. Die Auswertungseinrichtung 9 ist mit einem Computerprogramm 10 programmiert. Das Computerprogramm 10 ist der Auswertungseinrichtung 9 zu diesem Zweck zugeführt. Das Zuführen des Computerprogramms 10 kann beispielsweise mittels eines Datenträgers 11 erfolgen, auf dem das Computerprogramm 10 in (ausschließlich) maschinenlesbarer Form gespeichert ist.
-
Das Computerprogramm 10 weist einen Programmkode 12 auf, der von der Auswertungseinrichtung 9 unmittelbar ausführbar ist. Das Ausführen des Programmkodes 12 durch die Auswertungseinrichtung 9 bewirkt, dass die Auswertungseinrichtung 9 ein Betriebsverfahren ausführt.
-
Wie weiterhin in 1 dargestellt, nimmt die Auswertungseinrichtung 9 von der Röntgenanlage 1 zusätzlich zum ersten Durchleuchtungsbild B zumindest ein zweites, vorzugsweise unter einer weiteren Angulation aufgenommenes Durchleuchtungsbild B' eines Untersuchungsobjekts des Patienten 6 sowie ein Referenzbild R, das relativ zum ersten Durchleuchtungsbild B registriert ist und auch relativ zum zweiten Durchleuchtungsbild B' registriert sein kann, entgegen.
-
Die Auswertungseinrichtung 9 kann das zweite Durchleuchtungsbild B' und das Referenzbild) nach dem Registrieren des Referenzbildes R relativ zum zweiten Durchleuchtungsbild B' simultan über mindestens ein Sichtgerät 14, 14' an einen Anwender 13 der Röntgenanlage 1 ausgeben.
-
Das erfindungsgemäße Verfahren kann als Ausführungsform beispielsweise in der Auswertungseinrichtung 9 bzw. als Computerprogramm 10 implementiert sein. Eine mögliche Manipulation von Bilddaten(sätzen), z. B. Durchleuchtungsbilder B, B' sowie des Referenzbildes R, soll insbesondere in der Auswerteeinrichtung 9, jedoch auch an möglichen nicht in der 1 dargestellten, angeschlossenen bzw. abgesetzten (remote) Recheneinheiten, die zur Archivierung und/oder Weiterverarbeitung (Postprocessing) bzw. Datenverwaltung verwendet werden.
-
DICOM-Standard-Attribute [1] haben immer eine geradzahlige Gruppenzahl, wobei die Gruppen 0000, 0002, 0004 und 0006 für DIMSE-Kommandos und DICOM File Sets reserviert sind. Ungerade Gruppenzahlen sind normalerweise privaten Datenelementen vorbehalten, die durch den Implementierer vergeben werden können.
-
Gemäß 2 können folgende Verfahrensschritte, die durch S1, S2, S3 gekennzeichnet sind, zur Manipulationssicherung von medizinischen Bilddaten(sätzen) bei Speicherung derselben auf einer Recheneinrichtung ausgeführt werden:
- S1: Vor der Speicherung des einen oder mehrerer Bilddatensätze wird wenigstens eine erste Prüfsumme zumindest für einen Teil der Bilddatensätze ermittelt und in den Bilddatensätzen abgelegt,
- S2: wobei nach der Speicherung wenigstens eine zweite Prüfsumme aus den Bilddatensätzen ermittelt und mit der in den Bilddatensätzen abgelegten ersten Prüfsumme verglichen wird,
- S3: wobei bei nicht übereinstimmenden Prüfsummen eine Fehlermeldung erzeugt wird.
-
Um sicherzustellen, dass die Bilddaten unversehrt gespeichert und geladen wurden, kann in einem solchen privaten DICOM-Tag eine Prüfsumme für die digitalen Bilddaten (bei Bildserien oder -schichten evtl. für jedes einzelne Bild) abgelegt werden.
-
Dies sollte so früh wie möglich in der Bildkette geschehen, aber natürlich erst, wenn die Bilddaten nicht mehr modifiziert werden. Als Prüfsumme bieten sich verschiedene bekannte Hash-Funktionen bzw. Streuwertfunktionen [2] an (z. B. CRC, MD5, SHA-1, etc.). Dabei ist der Aufwand der Berechnung einer solchen Prüfsumme gegenüber der zugesicherten „Fehlersicherheit” abzuwägen.
-
Es ist von Vorteil, mehrere Prüfsummen zu generieren und in DICOM-Tags zu speichern. So könnte ein erster, grober Fehlertest anhand der einfachen und schnell berechenbaren Prüfsumme erfolgen (wenn z. B. die Verarbeitungsgeschwindigkeit kritisch ist). Falls mehr Zeit zur Verfügung steht (z. B. beim Netzwerk-Versand der DICOM-Daten), könnte ein sicherer Test anhand einer aufwendigeren Prüfsumme erfolgen.
-
Ein weiterer Anwendungsfall kann der Schutz gegen versehentliche bzw. mutwillige, nachträgliche Manipulation der Bilddaten sein. Dazu müssen die Prüfsummen natürlich manipulationssicher abgespeichert werden. Dies kann z. B. in einer separaten Datenbank geschehen.
-
Des Weiteren können zur Manipulationssicherung die Prüfsummen mittels steganographischer Methoden (siehe z. B. [4]) in die Bilddaten selbst eingebettet werden. Die sollte dann in einer Weise erfolgen, welche die korrekte Befundung der medizinischen Bilddaten nicht stört.
-
Darüber hinaus kann die Prüfsumme auch für andere Zwecke eingesetzt werden: Bei der Validierung neuer Bildverarbeitungsalgorithmen werden häufig die berechneten Bilddaten einer Prototyp-Implementierung mit den Ergebnissen der Produktimplementierung verglichen. Dies kann durch binären Vergleich der Bilddaten (also Pixel für Pixel) geschehen. In manchen Situationen ist aber das Gesamtbild nicht oder nur schwer zugänglich, z. B. zwischen einzelnen Berechnungsschritten in der Bildverarbeitungskette. Wenn eine Prüfsumme für die Bilddaten vorliegt, kann diese auch an einer solch schwer zugänglichen Stelle in eine Protokoll-Datei ausgegeben werden und somit mit der Prüfsumme einer Prototypen-Implementierung verglichen werden. Dies würde den Entwicklungs- und Validierungsaufwand deutlich reduzieren und die Qualität und Verlässlichkeit der Validierung erhöhen.
-
Referenzen
-
- [1] Wikipedia (Stand: 17.01.12) http://de.wikipedia.org/wiki/Digital_Imaging_and_Communicatio ns_in_Medicine
- [2] Wikipedia (Stand: 17.01.12) http://de.wikipedia.org/wiki/Hashfunktion
- [3] DE 10 2008 023 918 A1
- [4] Wikipedia (Stand: 17.01.12) http://de.wikipedia.org/wiki/Steganographie
- [5] DE 10 2010 009 460 A1
- [6] DE 10 2010 033 229.1