DE10307995A1 - Verfahren zum Signieren von Daten - Google Patents

Verfahren zum Signieren von Daten Download PDF

Info

Publication number
DE10307995A1
DE10307995A1 DE10307995A DE10307995A DE10307995A1 DE 10307995 A1 DE10307995 A1 DE 10307995A1 DE 10307995 A DE10307995 A DE 10307995A DE 10307995 A DE10307995 A DE 10307995A DE 10307995 A1 DE10307995 A1 DE 10307995A1
Authority
DE
Germany
Prior art keywords
signature
user
data
role
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10307995A
Other languages
English (en)
Other versions
DE10307995B4 (de
Inventor
Thomas Prof. Birkhölzer
Jürgen Dr. Vaupel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Healthcare GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE10307995A priority Critical patent/DE10307995B4/de
Priority to US10/785,198 priority patent/US20040221165A1/en
Priority to CNA2004100066289A priority patent/CN1525683A/zh
Publication of DE10307995A1 publication Critical patent/DE10307995A1/de
Application granted granted Critical
Publication of DE10307995B4 publication Critical patent/DE10307995B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Signieren von Zugriffen auf elektronische Daten sowie eine Datenverarbeitungseinrichtung zur Ausführung des Verfahrens. In einem ersten Schritt (5) des Verfahrens wird eine Sicherheitsabfrage zur Ermittlung der Identität eines Nutzers durchgeführt. In einem zweiten Schritt (11) wird in Abhängigkeit vom Ergebnis der Sicherheitsabfrage eine den Nutzer eindeutig identifizierende Nutzer-Signatur für den Nutzer nicht einsehbar zugeteilt. In einem dritten Schritt (19) wird in Abhängigkeit vom Ergebnis der Sicherheitsabfrage eine Rollen-Signatur für den Nutzer nicht einsehbar zugeteilt, die mehreren Nutzern mit gemeinsamer Rollenzugehörigkeit parallel zuteilbar ist. In einem vierten Schritt (21) werden Zugriffe auf elektronische Daten unter Angabe sowohl der Nutzer-Signatur als auch der Rollen-Signatur signiert. Durch die mehrfache Signatur ist die nachträgliche Rekonstruktion sämtlicher Datenzugriffe unter Angabe des Nutzers und der Rollenzugehörigkeit des Nutzers zum Zeitpunkt des Datenzugriffs gewährleistet.

Description

  • Die Erfindung betrifft ein Verfahren zum Signieren von Daten durch verschiedene Nutzer. Die Erfindung betrifft außerdem eine Datenverarbeitungseinrichtung zur Durchführung des Verfahrens sowie ein Speichermedium, auf dem Informationen zur Durchführung des Verfahrens auf einer Datenverarbeitungseinrichtung gespeichert sind.
  • Die zunehmende Nutzung elektronischer Daten und Kommunikationswege bringt ständig wachsende Anforderungen an Mechanismen zur nachträglichen Nachvollziehbarkeit von Datenzugriffen mit sich. Gleichzeitig soll jedoch eine möglichst einfache, bequeme und unaufwändige Zugreifbarkeit der Daten gewährleistet sein. Insbesondere aufgrund der zunehmenden gegenseitigen Vernetzung und der häufig großen Anzahl verschiedener Nutzer, die elektronischen Zugang zu den selben Daten erlangen können, sind wirksame elektronische oder Software-basierte Dokumentations-Mechanismen unerlässlich geworden, um anonyme Manipulation oder Einsichtnahme zu verhindern.
  • Aufgrund der vielfältigen Zugriffsmöglichkeiten und aufgrund der Tatsache, dass elektronische Datenzugriffe nicht ohne weiteres auf real existierende Personen zurückgeführt werden können, ist es erforderlich, sämtliche Datenzugriffe unter Angabe einer Signatur des Zugreifenden zu speichern und damit zu dokumentieren. Die Dokumentation von Datenzugriffen durch real existierende Nutzer erfolgt durch Verwendung einer Nutzerindividuellen Signatur, die ausschließlich dem jeweiligen Nutzer zur Verfügung steht und zu deren Verwendung dieser sich authentifizieren muss.
  • Die Dokumentation von Zugriffen auf elektronische Daten spielt bei personenbezogenen Daten wie Adresslisten oder Kundendaten, bei Daten im Finanzwesen und insbesondere bei Daten im Gesundheitswesen eine besonders wichtige Rolle. Im Gesundheitswesen, wo strengste Anforderungen an die Datensicherheit gestellt werden, fordern Datenschutzbestimmungen, dass jeder Nutzer von Daten eindeutig identifiziert und authentifiziert wird. Dabei bedeutet Identifizierung, dass jeder Datenzugriff bzw. jede Aktion eindeutig mit dem ausführenden Nutzer, also mit einer real existierenden Person, in Verbindung gebracht und mit einer elektronischen Signatur dieser Person zur nachträglichen Rekonstruierbarkeit dokumentiert wird. Authentifizierung bedeutet, dass die Authentifizierung eines Nutzer eigens geprüft wird und nur authentifizierten Nutzer überhaupt eine Signatur zugeteilt werden kann. Die Funktion der Dokumentation wird im Gesundheitswesen auch „auditing" genannt, die Funktion der Authentifizierung auch „access control".
  • Elektronische Daten können mehreren, verschiedenen Nutzern zur Verfügung stehen. Dies kann z.B. bei der Verwaltung von Kundendaten durch die Angestellten einer Bank der Fall sein, bei Personaldaten in Personalabteilungen, bei der gemeinsamen Nutzung von Daten in Entwicklungs-Teams oder bei Daten im Gesundheitswesen, die Teams von behandelnden Ärzten oder einem bestimmten Kreis medizinischen Fachpersonals zugänglich sein sollen. Sind mehrere Nutzer zur gemeinsamen Nutzung der selben Daten vorgesehen, so gehören sie diesbezüglich der selben Rolle an. Die gemeinsame Rollen-Zugehörigkeit spiegelt sich in den bekannten, nutzer-individuellen Signaturen nicht wieder. Insofern lässt sich die Rollen-Zugehörigkeit nicht mittels herkömmlicher Signaturen abbilden und muss, falls sie zur späteren Rekonstruierbarkeit dokumentiert werden soll, in geeigneter Weise eigens gespeichert und archiviert werden. Dies verkompliziert die für das „auditing" erforderlichen Speichermaßnahmen erheblich. Auch die spätere Rekonstruktion von Datenzugriffen und deren Zuordnung zu Rollen-Zugehörigen ist dadurch umständlich.
    •
  • Die Aufgabe der Erfindung besteht darin, die Verwendung von elektronischen Signaturen zu vereinfachen und gleichzeitig eine vollständig nachträglich rekonstruierbare Dokumentation von Datenzugriffen verschiedener Nutzer und verschiedener Rollen-Zugehöriger auf gemeinsam genutzte elektronische Daten zu gewährleisten.
  • Die Erfindung löst diese Aufgabe durch ein Verfahren gemäß dem 1. Patentanspruch, durch eine Datenverarbeitungseinrichtung mit den Merkmalen des 9. Patentanspruchs und durch ein Speichermedium gemäß dem 16. Patentanspruch.
  • Ein Grundgedanke der Erfindung besteht darin, vor dem Signieren von Zugriffen auf elektronische Daten zunächst eine Sicherheitsabfrage zur Ermittlung der Identität eines Nutzers durchzuführen, und dem Nutzer in Abhängigkeit vom Ergebnis dieser Sicherheitsabfrage eine eindeutige Nutzer-Signatur und zusätzlich eine Rollen-Signatur zuzuteilen, wobei die Rollen-Signatur mehreren, verschiedenen Nutzern zugeteilt werden kann. Das Signieren von Daten-Zugriffen erfolgt unter Angabe der Nutzer-Signatur und zusätzlich der Rollen-Signatur. Weder die Nutzer-Signatur noch die Rollen-Signatur sind für den Nutzer einsehbar.
  • Durch die Signierung von Datenzugriffen unter Angabe sowohl der Nutzer- als auch der Rollen-Signaturen ergibt sich der Vorteil, dass alle Informationen zur späteren Rekonstruktion der Identität und der Rolle eines Datenzugreifenden zum Zeitpunkt des Datenzugriffs durch die Signatur gegeben sind. Darüber hinaus sind die Signaturen weitestgehend sicher vor Manipulationen, da sie in Abhängigkeit von einer Sicherheitsabfrage zugeteilt werden und für den Nutzer nicht einsehbar und deshalb nicht durch ihn missbrauchbar sind. Ein weiterer Vorteil besteht darin, dass das Verfahren vom Nutzer lediglich eine Sicherheitsabfrage erfordert, im übrigen aber für den Nutzer grundsätzlich unbemerkt abläuft, und daher besonders einfach und unaufwändig handhabbar ist.
  • In einer vorteilhaften Ausgestaltung der Erfindung erfolgt die Sicherheitsabfrage durch biometrische Ermittlung von Nutzer-Daten, wie z.B. die Erfassung der Gestalt der Iris oder des Fingerabdrucks. Dadurch ergibt sich der Vorteil, dass eine besonders hohe Täuschungssicherheit erzielt wird, ohne vom Nutzer zusätzlichen Aufwand wie z.B. das Memorieren eines Passwortes zu erfordern.
  • In einer weiteren vorteilhaften Ausgestaltung der Erfindung erfolgt die Ermittlung der Nutzer-Signatur durch Abfrage eines Nutzer-Signatur-Speichers, der räumlich entfernt angeordnet ist. Dadurch ergibt sich der Vorteil, dass der Nutzer-Signatur-Speicher durch eine eigens dafür vorgesehene Administration gepflegt und mittels besonders restriktiver Schutzmaßnahmen, z.B. Firewalls, geschützt werden kann, denen der Arbeitsplatz des Nutzers nicht zu unterliegen braucht. Ebenso kann der Rollen-Signatur-Speicher räumlich entfernt angeordnet werden, um die gleichen Vorteile zu erzielen, wobei er zusammen mit oder getrennt von dem Nutzer-Signatur-Speicher angeordnet sein kann.
  • Eine weitere vorteilhafte Ausgestaltung der Erfindung ergibt sich dadurch, dass jedem Nutzer zwar nur eine Nutzer-Signatur, jedoch mehrere Rollen-Signaturen gleichzeitig zugeordnet werden können. Dies spiegelt die tatsächlichen Rollen-Zugehörigkeiten wieder, da ein Nutzer z.B. in mehreren Funktionen oder als Mitglied mehrerer Teams, die jeweils eigene Rollen darstellen, tätig sein kann. Aus der Möglichkeit, mehreren Rollen-Signaturen anzugehören, ergibt sich der Vorteil, dass die realen Rollen-Zugehörigkeiten vollständig durch die Signaturen abgebildet werden können.
  • Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Patentansprüche.
    •
  • Nachfolgend werden Ausführungsbeispiele der Erfindung anhand von Figuren näher erläutert. Es zeigen:
  • 1 Flussdiagramm mit den zur Ausführung der Erfindung erforderlichen Verfahrensschritten,
  • 2 zur Ausführung der Erfindung geeignete Systemarchitektur.
  • 1 zeigt die Verfahrensschritte, die zur Ausführung der Erfindung erforderlich sind.
  • In Schritt 1 wird die Datenverarbeitungseinrichtung 50, die z.B. ein medizinischer Computer-Arbeitsplatz sein kann, gestartet. Dabei erfolgt das übliche Starten eines Betriebssystems und die Anmeldung daran. Das Verfahren zum Signieren gemäß der Erfindung verläuft jedoch unabhängig von einer solchen Anmeldung am Betriebssystem.
  • In Schritt 3 wird das Signatur-Tool 51 im Anschluss an das Hochfahren des Betriebssystems gestartet. Das Signatur-Tool 51 muss nicht mit jedem Hochfahren des Betriebssystems gestartet werden, es ist jedoch sichergestellt, dass es vor jeglichem Datenzugriff auf Applikationsdaten des Arbeitsplatzes gestartet wird. Bei den Applikationsdaten kann es sich z.B. um diagnostische Aufnahmen, medizinische Befunde, Persönlichkeitsinformationen von Patienten, aber auch um forschungsrelevante Inhalte, demographische Informationen oder um Finanzinformationen handeln. Bei all diesen Beispielen handelt es sich um kritische Daten, deren Zugriffe in besonderer Weise zu dokumentieren sind.
  • In Schritt 5 erfolgt eine Sicherheitsabfrage, mittels derer ein Nutzer identifiziert werden soll. Dazu werden vom Nutzer personen-individuelle Daten erfragt, die allen Anforderungen an die Datensicherheit genügen müssen. Vorzugsweise wird dazu ein Sicherheitsabfrage-Mittel 59 angesprochen, durch das eine biometrische Erfassung von charakteristischen und möglichst täuschungssicheren Daten wie Fingerabdruck oder Gestalt der Iris erfolgt. Daneben besteht die Möglichkeit, dass das Sicherheitsabfrage-Mittel 59 eine elektronische Chipkarte oder einen elektronischen oder mechanischen Schlüssel ausliest. Durch die Sicherheitsabfrage wird den Anforderungen an die Authentifizierung Rechnung getragen.
  • In Schritt 6 besteht die Möglichkeit, das Verfahren nach Fehlschlagen der Sicherheitsabfrage abzubrechen, um einem erhöhten Bedürfnis nach Datensicherheit gerecht zu werden.
  • In Schritt 7 wird ein Nutzer-Signatur-Speicher 61 abgefragt. Im Nutzer-Signatur-Speicher 61 sind Informationen abgelegt, mittels derer ein Nutzer anhand der in der vorangegangenen Sicherheitsabfrage ermittelten Daten als real existierende Person identifiziert werden kann. Die Nutzer-Signatur könnte zum Beispiel einer tabellarischen Zuordnung zwischen Signaturen und Sicherheitsabfrage-Daten zu entnehmen sein, oder einer Zuordnung zu im Ergebnis der Sicherheitsabfrage identifizierten real existierenden Personen.
  • In Schritt 9 wird im Ergebnis der vorangegangen Abfrage des Nutzer-Signatur-Speichers 61 eine Nutzer-Signatur ermittelt. Der Grad der Täuschungssicherheit bei der Ermittlung der Nutzer-Signatur hängt im wesentlichen von der Täuschungssicherheit der vorangegangenen Sicherheitsabfrage sowie der Manipulierbarkeit des Nutzer-Signatur-Speichers 61 ab.
  • In Schritt 11 wird die vorangehend ermittelte Nutzer-Signatur dem aktuellen Nutzer zugeteilt und steht ab sofort zur Signierung von Aktionen des Nutzers zur Verfügung. Die Zuteilung erfolgt für den Nutzer grundsätzlich unbemerkbar, insbesondere wird keinerlei Möglichkeit zur Einsichtnahme in die Signatur gegeben. Dadurch wird der Nutzer zum einen nicht mit für ihn unwichtigen Informationen belastet, zum anderen wird durch die Unkenntnis verhindert, dass er die Signatur missbräuchlich einsetzen kann.
  • In Schritt 13 wird ein Rollen-Signatur-Speicher 63 abgefragt. Im Rollen-Signatur-Speicher 63 sind Informationen abgelegt, mittels derer eine sogenannte Rolle anhand der in der vorangegangenen Sicherheitsabfrage ermittelten Daten identifiziert werden kann. Dazu könnte zum Beispiel auf eine tabellarische Zuordnung zwischen Rollen und Sicherheitsabfrage-Daten zugegriffen werden. Statt einer Zuordnung zu Sicherheitsabfrage-Daten könnte auch eine Zuordnung zu Nutzer-Signaturen oder zu im Ergebnis der Sicherheitsabfrage identifizierten real existierenden Personen verwendet werden.
  • Mit Rolle ist Zugehörigkeit zu einem bestimmten Tätigkeitskreis mit einer bestimmten Verantwortlichkeit gemeint, z.B. „Diensthabender Arzt", „Medizinisch-technischer Assistent", „Behandelndes Team", „System-Administrator", „Personalabteilung" oder „Projektleiter".
  • Die Rollen-Zugehörigkeit kann sich entweder objektbezogen ergeben, d.h. aus dem Bedürfnis bestimmter Nutzer, mit einem bestimmten Datenbestand arbeiten zu können, oder subjektbezogen, d.h. aus einer hierarchischen Einstufung des jeweiligen Nutzer, aufgrund derer er auf Daten einer bestimmten Einstufung zugreifen darf. Außerdem kann ein Nutzer mehreren Rollen angehören, die z.B. verschiedene „Behandelnde Teams" repräsentieren, in denen der Nutzer gleichzeitig mitarbeitet. In solchen Fällen könnte der Nutzer entweder eine einzige Rollen-Signatur zugeteilt bekommen, die alle Rollen-Zugehörigkeiten repräsentiert, oder er könnte mehrere Rollen-Signaturen gleichzeitig zugeteilt bekommen.
  • In Schritt 15 wird im Ergebnis der vorangegangen Abfrage des Rollen-Signatur-Speichers 63 eine Rolle oder gegebenenfalls eine Mehrzahl von Rollen ermittelt.
  • In Schritt 17 wird im Ergebnis der Ermittlung einer oder mehrerer Rollen eine oder gegebenenfalls eine Mehrzahl von zugehörigen Rollen-Signaturen ermittelt.
  • Die Aufteilung der vorangegangenen Schritt 15 und 17 spiegelt ein Vorgehen bei der Ermittlung von Rollen und Rollen-Signaturen wieder, bei dem zunächst aufgrund der Erfordernisse das Arbeitsumfeldes Rollen und Rollen-Zugehörigkeiten definiert und anschließend für diese Rollen elektronische Signaturen definiert werden. Die Schritte 15 und 17 könnten jedoch auch in einen einzigen Schritt integriert werden, indem auf den Zwischenschritt der Ermittlung einer oder mehrerer Rollen verzichtet wird und stattdessen Rollen-Signaturen sofort ermittelt werden.
  • In Schritt 19 wird die vorangehend ermittelte Rollen-Signatur oder die Mehrzahl von Rollen-Signaturen dem aktuellen Nutzer zugeteilt und steht ab sofort zur Signierung von Aktionen des Nutzers zur Verfügung. Die Zuteilung erfolgt, wie oben erläutert, für den Nutzer grundsätzlich unbemerkbar, insbesondere erhält er keinerlei Möglichkeit zur Einsichtnahme in die Signatur.
  • In Schritt 21 werden Aktionen sowohl mit der zugeteilten Nutzer-Signatur als auch mit der oder den zugeteilten Rollen-Signaturen signiert. Die mehrfache Signierung erlaubt die vollständige nachträgliche Rekonstruierung aller signierten Datenzugriffe in Zuordnung sowohl zu einer real existierenden Person als auch in Zuordnung zu deren jeweils aktueller Rollen-Zugehörigkeit. Dadurch wird den Anforderungen an das Auditing von Datenzugriffen genüge getan, ohne dass zum Beispiel zusätzliche Informationen wie in der Vergangenheit liegende Dienstpläne abgefragt werden müssten, um die ehemaligen Rollen-Zugehörigkeiten von Personen nachträglich zu rekonstruieren.
  • In 2 ist eine elektronische Datenverarbeitungseinrichtung 50 dargestellt, die das Verfahren zur Ausführung der Erfindung ausführen kann. Die Datenverarbeitungseinrichtung 50 weist eine Tastatur 55 oder ein sonstiges Eingabegerät sowie einen Bildschirm 53 auf. Je nach Art der Anwendung können auch akustische Ein- und Ausgangssignale verarbeitet werden. Art und Umfang der Ein- und Ausgabegeräte sind für die Ausführung der Erfindung nicht von Belang. Bei der Datenverarbeitungseinrichtung 50 kann es sich sowohl um einen medizinischen Arbeitsplatz, z.B. eine sogenannte Modalität, als auch um einen beliebigen anderen Bildschirmarbeitsplatz, z.B. ein Bankterminal, handeln.
  • Die Datenverarbeitungseinrichtung 50 weist ein Signatur-Tool 51 auf. Das Signatur-Tool 51 kann modular in die Datenverarbeitungseinrichtung 50 integrierbar sein, z.B. als einsteckbare Karte oder als Computer-Programm. Über das Signatur-Tool 51 hat die Datenverarbeitungseinrichtung 50 Zugriff auf einen Applikationsdaten-Speicher 57, der der Speicherung von Anwendungs-Daten dient.
  • Das Signatur-Tool 51 und die Datenverarbeitungseinrichtung 50 sind derart konzipiert, dass ein Zugriff auf den Applikationsdaten-Speicher 57 ausschließlich über das Signatur-Tool 51 erfolgen kann. Dadurch ist sichergestellt, dass jeglicher Datenzugriff ohne Umgehungsmöglichkeit durch das Signatur-Tool 51 dokumentiert und signiert wird. Dadurch sind Manipulation oder Missbrauch durch Umgehen des Signiervorgangs weitestgehend unmöglich.
  • Das Signatur-Tool 51 ist mit einem Sicherheitsabfrage-Mittel 59 verbunden, das der Ermittlung von Daten zur Identifikation des jeweiligen Nutzers dient. Das Sicherheitsabfrage-Mittel 59 kann ein Chipkartenleser sein, der eine Nutzerindividuelle Chipkarte ausliest. Es kann auch ein mechanisches oder elektronisches Schloss sein, das einen Nutzerindividuellen Schlüssel ausliest. Nicht zuletzt kann es ein Sensor zur Ermittlung biometrischer Daten des Nutzers sein, die beispielsweise die Gestalt von dessen Iris, dessen Fingerabdrücke oder dessen Sprach-Frequenzspektrum misst. Die Verwendung biometrischer Daten im Rahmen der Sicherheitsabfrage weist den Vorteil auf, dass keinerlei Schlüssel oder Karte verwendet werden muss, die der Nutzer verlieren oder die ihm entwendet werden könnten. Darüber hinaus ist die Täuschungssicherheit biometrischer Daten höher einzuschätzen als die von sonstigen Schlüsselsystemen.
  • Das Signatur-Tool 51 hat weiter Zugriff auf einen Nutzer-Signatur-Speicher 61, der Informationen zur Identifikation von Nutzern anhand der durch das Sicherheitsabfrage-Mittel 59 ermittelten Daten enthält. Diese Informationen ermöglichen es, eine Nutzer-Signatur zu ermitteln, z.B. aufgrund tabellarischer Zuordnungen zwischen Sicherheitsabfrage-Daten und Signaturen. Außerdem kann der jeweilige Nutzer anhand dieser Informationen als real existierende Person identifiziert werden.
  • Das Signatur-Tool 51 hat außerdem Zugriff auf einen Rollen-Signatur-Speicher 63, der Informationen zur Ermittlung einer oder mehrerer Rollen-Signaturen anhand der durch das Sicherheitsabfrage-Mittel 59 ermittelten Daten enthält. Diese Informationen ermöglichen es, eine Rollen-Signatur zu ermitteln, z.B. aufgrund tabellarischer Zuordnungen von Rollen-Signaturen zu Sicherheitsabfrage-Daten, zu real existierenden Personen oder zu Nutzer-Signaturen.
  • Für die Signatur-Speicher 61, 63 gelten besondere Sicherheitsanforderungen, die eine entfernt angeordnete, zentrale Aufstellung dieser Speicher sinnvoll machen können. Zu diesem Zweck sind sie unabhängig von der Datenverarbeitungseinrichtung 50 und dem Signatur-Tool 51 positionierbar und könnten beispielsweise auch über geschützte Datenfernverbindungen zugreifbar sein. Mit Datenfernverbindung kann eine kabellose oder kabelgebundene Modem-Verbindung ebenso wie z.B. eine Internet- oder Intranet-Verbindung gemeint sein.
  • Die unabhängige Positionierung der Signatur-Speicher 61, 63 ermöglicht zum einen deren Zugreifbarkeit auch für weitere, andere Datenverarbeitungseinrichtungen oder Signatur-Tools. Zum anderen ermöglicht sie die Einrichtung strengerer Sicherheitsvorkehrungen speziell für die Signatur-Speicher 61, 63 im Vergleich zur Datenverarbeitungseinrichtung 50, z.B. eines besonders restriktiven Fire-Walls.
  • Die Verwendung von zwei getrennten Signatur-Speichern 61, 63 verleiht dem Signierungs-System einen modularen Aufbau mit größtmöglicher Flexibilität. Dadurch können in den Signatur-Speichern 61, 63 jederzeit weitgehend unabhängig voneinander Änderungen vorgenommen werden. Im Nutzer-Signatur-Speicher 61 können die zur Identifikation des Nutzers verwendeten, sicherheitskritischen Informationen regelmäßig geändert werden, in Anlehnung an die getrennte Aufstellung zentraler Trust-Center. Im Rollen-Signatur-Speicher 63 können Änderungen der Rollen-Zugehörigkeit vorgenommen werden, die die Veränderungen in der Zugehörigkeit realer Personen zu Teams oder Verantwortlichkeiten wiederspiegeln.
  • Vorangehend wurde das Signierungs-System auf Basis der Verwendung von zwei unterschiedlichen Signatur-Speichern 61, 63 beschrieben. Diese zwei Speicher repräsentieren die logischen Zuordnungen von Informationen, die im Ablauf des Signierungs-Verfahrens getroffen werden. Zum ersten muss der Nutzer bzw. dessen Nutzer-Signatur im Ergebnis der Sicherheitsabfrage identifiziert werden, zum zweiten muss er einer Rolle zugeordnet bzw. eine Rollen-Signatur ermittelt werden.
  • Obwohl der modulare Aufbau die tatsächlichen logischen Zuordnungen korrekt repräsentiert, wäre es jedoch selbstverständlich möglich, stattdessen einen einzigen, integrierten Signatur-Speicher zu verwenden. Dieser einzige Signatur-Speicher könnte je nach den sonstigen Anforderungen getrennt angeordnet oder in das Signatur-Tool 51 oder die Datenverarbeitungseinrichtung 50 integriert sein.
  • Wesentlich ist jedoch, dass die Sicherheitsabfrage durch das Sicherheitsabfrage-Mittel 59 keinen Rückschluss auf die zuzuteilenden Signaturen gestattet, die zur Signierung von Nutzer-Aktionen verwendet werden. Dies ist Garant dafür, dass die verwendete Signatur nicht manipulierbar und zuverlässig ist.
  • Das Signatur-Tool 51 dokumentiert jeglichen Zugriff auf Applikationsdaten bzw. den Applikationsdaten-Speicher 57 unter Angabe der Nutzer-Signatur und zusätzlich der Rollen-Signatur. Sind mehrere Rollen-Signaturen zugeteilt, so werden auch diese zu Dokumentationszwecken angegeben. Sämtliche Signaturen werden durch das Signatur-Tool 51 zusammen mit Informationen über die zugegriffenen Daten und über die Art des Datenzugriffs gespeichert. Dadurch kann jederzeit im Nachhinein rekonstruiert werden, wer in welcher Weise auf welche Daten zugegriffen hat. Darüber hinaus kann die jeweils aktuelle Rolle des Datenzugreifenden anhand der Rollen-Signatur bzw. -Signaturen festgestellt werden, ohne dass dazu weitere Informationen, z.B. archivierte Dienstpläne oder Anwesenheitslisten, eingeholt werden müssten. Durch die Sicherheitsabfrage 5 ist dabei jederzeit sichergestellt, dass die zur Dokumentation verwendeten Signaturen korrekt zugeteilt werden.
  • Darüber hinaus erhält der Nutzer keinerlei Einsicht in die durch das Signatur-Tool 51 verwendeten Signaturen. Dadurch werden die Möglichkeiten zu Missbrauch und Manipulation der Signatur-Daten weitestgehend vermieden. Darüber hinaus wird der Nutzer mit dem Zuteilen der Signaturen nicht weiter konfrontiert und erfährt das Arbeiten des Signatur-Tools 51 als unaufwändig und einfach handhabbar.
  • Die Dokumentation der Datenzugriffe durch das Signatur-Tool 51 erfolgt grundsätzlich zusammen mit den zugegriffenen Applikationsdaten im Applikationsdaten-Speicher 57. Zusätzlich kann ein Audit-Speicher 65 zur getrennten Dokumentation aller Nutzer-Aktionen vorgesehen sein. Dadurch wird die Möglichkeit geschaffen, im Audit-Speicher 65 z.B. lediglich die Art der Datenzugriffe sowie die Signaturen zu speichern, auf die Speicherung der möglicherweise sehr umfänglichen Applikationsdaten jedoch zu verzichten. Insbesondere medizinische Bilddaten weisen häufig einen beträchtlichen Speicherumfang auf, der eine Auslagerung in Archivsysteme erforderlich machen kann. Der getrennte Audit-Speicher 65 kann in solchen Fällen dazu dienen, eine arbeitsplatz-spezifische Anwendungshistorie aufzuzeichnen, um neben Zugriffen auf die Applikationsdaten auch die Benutzung des jeweiligen Arbeitsplatzes nachträglich rekonstruierbar zu dokumentieren, ohne jedoch die gesamten speicherintensiven Anwendungsdaten speichern zu müssen.

Claims (16)

  1. Verfahren zum Signieren von Zugriffen auf elektronische Daten, wobei in einem ersten Schritt (5) eine Sicherheitsabfrage zur Ermittlung der Identität eines Nutzers durchgeführt wird, wobei in einem zweiten Schritt (11) in Abhängigkeit vom Ergebnis der Sicherheitsabfrage eine den Nutzer eindeutig identifizierende Nutzer-Signatur für den Nutzer nicht einsehbar zuteilbar ist, wobei in einem dritten Schritt (19) in Abhängigkeit vom Ergebnis der Sicherheitsabfrage eine Rollen-Signatur für den Nutzer nicht einsehbar zuteilbar ist, die mehreren Nutzern zuteilbar ist, und wobei in einem vierten Schritt (21) ein Zugriff auf elektronische Daten unter Angabe der Nutzer-Signatur und der Rollen-Signatur signierbar ist.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass in der Sicherheitsabfrage biometrische Daten des Nutzers ermittelt werden.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass In der Sicherheitsabfrage ein elektronischer und/oder mechanischer Schlüssel ausgelesen wird.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zuzuteilende Nutzer-Signatur anhand der in der Sicherheitsabfrage ermittelten Daten durch Abfrage eines Nutzer-Signatur-Speichers (61) ermittelbar ist.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zuzuteilende Rollen-Signatur anhand der in der Sicherheitsabfrage ermittelten Daten durch Abfrage eines Rollen-Signatur-Speichers (63) ermittelbar ist.
  6. Verfahren nach Anspruche 4 oder 5, dadurch gekennzeichnet, dass die Abfrage des Nutzer-Signatur-Speichers (61) und/oder des Rollen-Signatur-Speichers (63) über eine Datenfernverbindung erfolgt.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass einem Nutzer mehrere Rollen-Signaturen gleichzeitig zuteilbar sind.
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Daten medizinisch relevant sind, dass die Nutzer medizinisches Fachpersonal sind, und dass die Rollen entsprechend den Arbeits-Gruppen innerhalb des medizinischen Fachpersonals gebildet werden.
  9. Datenverarbeitungseinrichtung (50) mit einem Signatur-Tool (51) und einem Sicherheitsabfrage-Mittel (59), wobei vor einem Zugriff der Datenverarbeitungseinrichtung (50) auf Applikationsdaten durch das Sicherheitsabfrage-Mittel (59) eine Sicherheitsabfrage zur Ermittlung der Identität eines Nutzers durchführbar ist, wobei durch das Signatur-Tool (51) in Abhängigkeit von einem Ausgangssignal des Sicherheitsabfrage-Mittels (59) eine den Nutzer eindeutig identifizierende Nutzer-Signatur für den Nutzer nicht einsehbar zuteilbar ist, wobei durch das Signatur-Tool (51) in Abhängigkeit von einem Ausgangssignal des Sicherheitsabfrage-Mittels (59) eine Rollen-Signatur für den Nutzer nicht einsehbar zuteilbar ist, die mehreren Nutzen zuteilbar ist, und wobei durch das Signatur-Tool (51) Zugriffe auf elektronische Daten unter Angabe der Nutzer-Signatur und der Rollen-Signatur signierbar sind.
  10. Datenverarbeitungseinrichtung (50) nach Anspruch 9, dadurch gekennzeichnet, dass durch das Sicherheitsabfrage-Mittel (59) biometrische Daten des Nutzers ermittelbar sind.
  11. Datenverarbeitungseinrichtung (50) nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass durch das Sicherheitsabfrage-Mittel (59) elektronische und/oder mechanische Schlüssel auslesbar sind.
  12. Datenverarbeitungseinrichtung (50) nach Anspruch 9, 10 oder 11, dadurch gekennzeichnet dass das Signatur-Tool (51) Zugriff auf einen Nutzer-Signatur-Speicher (61) hat, aus dem in Abhängigkeit von einem Ausgangssignal des Sicherheitsabfrage-Mittels (59) die zuzuteilende Nutzer-Signatur abfragbar ist.
  13. Datenverarbeitungseinrichtung (50) nach Anspruch 9, 10, 11 oder 12, dadurch gekennzeichnet, dass das Signatur-Tool (51) Zugriff auf einen Rollen-Signatur-Speicher (63) hat, aus dem in Abhängigkeit von einem Ausgangssignal des Sicherheitsabfrage-Mittels (59) die zuzuteilende Rollen-Signatur abfragbar ist.
  14. Datenverarbeitungseinrichtung (50) nach Anspruch 12 oder 13, dadurch gekennzeichnet, dass der Nutzer-Signatur-Speicher (61) und/oder der Rollen-Signatur-Speicher (63) von der Datenverarbeitungseinrichtung (50) entfernt angeordnet ist und dass das Signatur-Tool (51) über eine Datenfernverbindung darauf Zugriff hat.
  15. Datenverarbeitungseinrichtung (50) nach Anspruch 9, 10, 11, 12, 13 oder 14, dadurch gekennzeichnet, dass sie ein medizinischer Arbeitsplatz ist.
  16. Speichermedium, auf dem Information gespeichert ist, die in Wechselwirkung mit einer Datenverarbeitungseinrichtung (50) treten kann, um das Verfahren nach einem der Ansprüche 1 bis 8 auszuführen.
DE10307995A 2003-02-25 2003-02-25 Verfahren zum Signieren von Daten Expired - Lifetime DE10307995B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE10307995A DE10307995B4 (de) 2003-02-25 2003-02-25 Verfahren zum Signieren von Daten
US10/785,198 US20040221165A1 (en) 2003-02-25 2004-02-25 Method for signing data
CNA2004100066289A CN1525683A (zh) 2003-02-25 2004-02-25 标示数据的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10307995A DE10307995B4 (de) 2003-02-25 2003-02-25 Verfahren zum Signieren von Daten

Publications (2)

Publication Number Publication Date
DE10307995A1 true DE10307995A1 (de) 2004-09-09
DE10307995B4 DE10307995B4 (de) 2008-02-07

Family

ID=32841854

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10307995A Expired - Lifetime DE10307995B4 (de) 2003-02-25 2003-02-25 Verfahren zum Signieren von Daten

Country Status (3)

Country Link
US (1) US20040221165A1 (de)
CN (1) CN1525683A (de)
DE (1) DE10307995B4 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102907038B (zh) 2010-05-19 2015-09-16 皇家飞利浦电子股份有限公司 基于属性的数字签名系统
CN111435384B (zh) * 2019-01-14 2022-08-19 阿里巴巴集团控股有限公司 数据安全处理和数据溯源方法、装置及设备

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5325294A (en) * 1992-06-29 1994-06-28 Keene Sharon A Medical privacy system
CA2125300C (en) * 1994-05-11 1999-10-12 Douglas J. Ballantyne Method and apparatus for the electronic distribution of medical information and patient services
JP2638525B2 (ja) * 1994-08-03 1997-08-06 日本電気株式会社 電子署名検証装置
AU1690597A (en) * 1996-01-11 1997-08-01 Mitre Corporation, The System for controlling access and distribution of digital property
US5953419A (en) * 1996-05-06 1999-09-14 Symantec Corporation Cryptographic file labeling system for supporting secured access by multiple users
JP3622433B2 (ja) * 1997-08-05 2005-02-23 富士ゼロックス株式会社 アクセス資格認証装置および方法
US6213391B1 (en) * 1997-09-10 2001-04-10 William H. Lewis Portable system for personal identification based upon distinctive characteristics of the user
US7047416B2 (en) * 1998-11-09 2006-05-16 First Data Corporation Account-based digital signature (ABDS) system
US6523116B1 (en) * 1999-03-05 2003-02-18 Eastman Kodak Company Secure personal information card database system
KR20010077650A (ko) * 2000-02-07 2001-08-20 강형자 지문 인식 기반 무전원 전자 서명 장치
US20010027527A1 (en) * 2000-02-25 2001-10-04 Yuri Khidekel Secure transaction system
EP1260906A1 (de) * 2000-04-24 2002-11-27 Matsushita Electric Industrial Co., Ltd Gerät zur einstellung von zugriffsrechten und verwaltungsterminal
US20020049907A1 (en) * 2000-08-16 2002-04-25 Woods Christopher E. Permission based data exchange
US7178030B2 (en) * 2000-10-25 2007-02-13 Tecsec, Inc. Electronically signing a document
US20020097142A1 (en) * 2000-11-13 2002-07-25 Janiak Martin J. Biometric authentication device for use with token fingerprint data storage
JP2002169909A (ja) * 2000-12-04 2002-06-14 Fujitsu Ltd 公開立証システム並びに閲覧アクセスログ記録サーバ,掲載アクセスログ記録サーバおよびデジタル署名サーバ並びに閲覧アクセス用情報端末
US7143437B2 (en) * 2001-01-12 2006-11-28 Siemens Medical Solutions Health Services Corporation System and user interface for managing user access to network compatible applications
US7131000B2 (en) * 2001-01-18 2006-10-31 Bradee Robert L Computer security system
US6983375B2 (en) * 2001-04-13 2006-01-03 Ge Medical Technology Services, Inc. Method and system to grant indefinite use of software options resident on a device
US7305701B2 (en) * 2001-04-30 2007-12-04 Microsoft Corporation Methods and arrangements for controlling access to resources based on authentication method
DE10121819A1 (de) * 2001-05-04 2002-11-21 Wolfgang Rosner Verfahren zur kontextspezifischen Remote-Authentifizierung des Datenzugriffs
WO2002095554A2 (en) * 2001-05-18 2002-11-28 Imprivata Inc. System and method for authentication using biometrics

Also Published As

Publication number Publication date
DE10307995B4 (de) 2008-02-07
CN1525683A (zh) 2004-09-01
US20040221165A1 (en) 2004-11-04

Similar Documents

Publication Publication Date Title
DE60015695T2 (de) System und Verfahren zur Hinterlegung von vertraulichen Daten
WO2003034294A2 (de) Datenverarbeitungssystem für patientendaten
DE102007026802A1 (de) Systeme und Verfahren zur Identifizierung von Kandidaten für eine klinische Studie
WO2015117850A1 (de) Verfahren zum zugang zu einem physisch abgesicherten rack sowie computernetz-infrastruktur
WO2008090188A2 (de) Verfahren und anordnung zur erzeugung eines signierten text- und/oder bilddokuments
EP1199623A2 (de) Verfahren und System zur Identifikation eines Benutzers
DE112013000511T5 (de) Zugriff auf vertrauliche Daten über eine Website eines sozialen Netzwerks
DE10253676B4 (de) Verfahren und Vorrichtung für die Fernübertragung sensibler Daten
EP3471068A1 (de) Verteiltes system zum verwalten von personenbezogenen daten, verfahren und computerprogrammprodukt
DE10311327A1 (de) Nutzer-Objekte zur Authentifizierung der Nutzung medizinischer Daten
DE10156877B4 (de) Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
EP3539044B1 (de) Zugriffskontrolle auf datenobjekte
EP3588357B1 (de) System mit zertifikat-basierter zugriffskontrolle
DE102006034536A1 (de) Verfahren zum Erzeugen von Zugangsdaten für ein medizinisches Gerät
DE10307995B4 (de) Verfahren zum Signieren von Daten
DE112015004487T5 (de) Kontextuelle Arbeitsablauf-Verwaltung
DE10307996B4 (de) Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
WO2016012040A1 (de) Verfahren und datenverarbeitungssystem zur datenerhebung für eine klinische studie
DE4010094C2 (de) Verfahren zur Überprüfung der Zugangsberechtigung eines Benutzers zu einem Prozeß
EP3117359B1 (de) Id-provider-computersystem, id-token und verfahren zur bestätigung einer digitalen identität
DE10353966A1 (de) Verfahren zum Zugriff auf eine Datenverarbeitungsanlage
CH712712A2 (de) Fingerprint Encryption-Decryption Engine zur Handhabung sensitiver Patientendaten und entsprechendes Verfahren.
DE10209780A1 (de) Datenverarbeitungssystem für Patientendaten
WO2022013213A1 (de) Computerimplementiertes verfahren zum einlesen und speichern von patientendaten
DE102018010027A1 (de) Abwicklungssystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R081 Change of applicant/patentee

Owner name: SIEMENS HEALTHCARE GMBH, DE

Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, 80333 MUENCHEN, DE

R071 Expiry of right