DE202004021130U1 - System zur Authentifizierung eines Benutzers - Google Patents

System zur Authentifizierung eines Benutzers Download PDF

Info

Publication number
DE202004021130U1
DE202004021130U1 DE202004021130U DE202004021130U DE202004021130U1 DE 202004021130 U1 DE202004021130 U1 DE 202004021130U1 DE 202004021130 U DE202004021130 U DE 202004021130U DE 202004021130 U DE202004021130 U DE 202004021130U DE 202004021130 U1 DE202004021130 U1 DE 202004021130U1
Authority
DE
Germany
Prior art keywords
transponder
security
access point
reading
sensitive resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202004021130U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE202004021130U priority Critical patent/DE202004021130U1/de
Priority claimed from DE102004026933.5A external-priority patent/DE102004026933B4/de
Publication of DE202004021130U1 publication Critical patent/DE202004021130U1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Abstract

System zur Authentifizierung mindestens eines Benutzers
– mit mindestens einer sicherheitssensiblen Ressource,
– mit mindestens einem Zugangspunkt,
– mit mindestens einem Transponder,
– mit mindestens einer Einrichtung zur Eingabe mindestens eines persönlichen Identifikationsmerkmals,
– wobei die sicherheitssensible Ressource mit dem Zugangspunkt verbunden ist,
– wobei der Zugangspunkt mindestens eine Einrichtung zum Auslesen des Transponders aufweist,
– wobei jedem Transponder mindestens eine sicherheitssensible Ressource zugeordnet ist, und
– wobei das System mindestens eine Einrichtung zum Freischalten eines vertrauenswürdigen Kanals zwischen dem Zugangspunkt und der sicherheitssensiblen Ressource, welche dem Transponder zugeordnet ist, als Reaktion auf das Auslesen des Transponders aufweist.

Description

  • Die vorliegende Erfindung betrifft ein System zur Authentifizierung mindestens eines Benutzers für den Zugriff auf eine sicherheitssensible Ressource, wobei das System mindestens eine sicherheitssensible Ressource und mindestens einen Zugangspunkt aufweist.
  • Aus dem Stand der Technik sind Systeme zur Authentifizierung von Benutzern für den Zugriff auf sicherheitssensible Ressourcen bekannt. Das am weitesten verbreitete System ist das des bargeldlosen Zahlungsverkehrs mit Hilfe von Kredit- oder Bankkarten. Der Benutzer des bargeldlosen Zahlungsverkehrs muß sich für eine Transaktion, beispielsweise dem Bezahlen nach einem Einkauf oder dem Abheben von Bargeld an einem Geldautomaten, durch Vorlage seiner Kredit- oder Bankkarte und die Eingabe einer persönlichen Identifikationsnummer (PIN) identifizieren. Dazu wird die auf der Karte befindliche Information, welche unter anderem die Kontonummer und Bankverbindung des Benutzers enthält, von der bei der Transaktion verwendeten Kasse des Verkäufers oder des Geldautomaten, eingelesen. Um den Mißbrauch gestohlener oder verlorener Karten zu verhindern, muß der Benutzer der Karte sich zusätzlich durch die geheime und im Idealfall nur dem tatsächlichen Eigentümer der Karte bekannte Nummer ausweisen. Diese Nummer gibt der Benutzer ebenfalls in das System ein.
  • Ein weiteres Beispiel für ein solches System zur Authentifizierung eines Benutzers einer sicherheitssensiblen Ressource sind beispielsweise Kryptographiesysteme zur Verschlüsselung und Signierung elektronischer Post (E-Mails). Die Benutzung der Programme zur Verschlüsselung der E-Mail sowie zur Signierung der E-Mail sind dem Benutzer nur nach Auslesen seiner persönlichen Chipkarte und Eingabe einer persönlichen Identifikationsnummer zugänglich.
  • Alternativ zur Eingabe der persönlichen Identifikationsnummer sind heute auch Systeme verbreitet, die anstelle der PIN ein biometrisches Merkmal des Benutzers einlesen. Beispiele für ein solches biometrisches Merkmal sind der Fingerabdruck oder das Muster der Augeniris des Benutzers, die ihn individuell und einmalig identifizieren.
  • Die aus dem Stand der Technik bekannten Systeme und Verfahren zur Identifizierung von Benutzern erfordern für jeden Zugriff auf die sicherheitssensible Ressource des Systems die Eingabe eines persönlichen Identifikationsmerkmals, beispielsweise der PIN oder des biometrischen Merkmals.
  • Dies erweist sich als nachteilig in Systemen, bei denen die Benutzer in einer für Dritte einsehbaren oder zugänglichen Umgebung auf die sicherheitssensiblen Ressourcen zugreifen müssen. Selbst wenn sich die sicherheitssensible Ressource an einem für Dritte nicht zugänglichen Ort befindet, so muß sich der Benutzer vor deren Benutzung durch Eingabe seines Identifikationsmerkmals authentisieren. Geschieht dies beispielsweise in einem Laden, so haben Dritte die Möglichkeit, die PIN des Benutzers auszuspähen und mißbräuchlich zu benutzen. Darüber hinaus ist die Eingabe der PIN zeitaufwendig, wenn sie aus Sicherheitsgründen eine größere Anzahl von Stellen aufweist.
  • Auch alternative Systeme, welche anstelle der PIN die Eingabe eines biometrischen Merkmals erfordern, weisen den Nachteil auf, daß die Systeme, welche aus dem Stand der Technik bekannt sind, entweder eine zu geringe Fehlertoleranz aufweisen, so daß es häufig zu fehlerhaftem Einlesen und zu einem Sperren des Systems kommt, oder aber die Systeme sind fehlertolerant, weisen dann aber nicht die erforderliche Sicherheit auf und Dritte können sich mißbräuchlich bei dem System authentifizieren.
  • Gegenüber diesem Stand der Technik liegt der vorliegenden Erfindung die Aufgabe zugrunde, ein System zur Authentifizierung eines Benutzers für den Zugriff auf mindestens eine sicherheitssensible Ressource bereitzustellen, das die zuvor genannten Nachteile vermeidet und insbesondere einen schnellen und sicheren Zugriff auf die sicherheitsrelevanten Ressourcen ermöglicht.
  • Diese Aufgabe wird erfindungsgemäß dadurch gelöst, daß ein System zur Authentifizierung mindestens eines Benutzers bereitgestellt wird, mit mindestens einer sicherheitssensiblen Ressource, mit mindestens einem Zugangspunkt, mit mindestens einem Transponder und mit mindestens einer Einrichtung zur Eingabe mindestens eines persönlichen Identifikationsmerkmals wobei die sicherheitssensible Ressource mit dem Zugangspunkt verbunden ist, wobei der Zugangspunkt Einrichtungen zum Auslesen des Transponders aufweist, wobei jedem Transponder eine sicherheitssensible Ressource zugeordnet ist, und wobei das System eine Einrichtung zum Freischalten eines vertrauenswürdigen Kanals zwischen dem Zugangspunkt und der sicherheitssensiblen Ressource, welche dem Transponder zugeordnet ist, als Reaktion auf das Auslesen des Transponders aufweist.
  • Ein solches System ist vorteilhaft, da es dem Benutzer die Möglichkeit bietet, sich einmal innerhalb eines vorgegebenen Zeitabschnitts, beispielsweise eines Arbeitstages oder einer Schicht, mit Hilfe seines persönlichen Identifikationsmerkmals bzw. seines Hauptschlüssels an dem System anzumelden und zu authentifizieren. Will er danach auf die Ressource zugreifen, so muß er sich nur noch mit Hilfe des ihm zugeordneten Transponders bzw. Nebenschlüssels gegenüber einem Zugangspunkt, der mit der sicherheitssensiblen Ressource verbunden ist, authentifizieren. Stimmt die Kennung des Transponders mit derjenigen Kennung des Transponders überein, welcher dem persönlichen Identifikationsmerkmal zugeordnet ist, so wird ein vertrauenswürdiger Kanal zwischen dem Zugangspunkt und der sicherheitssensiblen Ressource freigeschaltet und der Benutzer kann auf die Ressource zugreifen.
  • Besondere Relevanz erhält das erfindungsgemäße System durch Einführung der Gesundheitskarte zur Verknüpfung der einzelnen Institutionen, beispielsweise von Ärzten und Apothekern, staatlicher oder halbstaatlicher Gesundheitssysteme untereinander und mit den Daten der Patienten, die auf sogenannten elektronischen Gesundheitskarten (eGK) gespeichert werden. Dabei sind für den Zugriff auf die Daten auf der eGK hohe Anforderungen in Bezug auf die Datensicherheit zu stellen, welche von dem erfindungsgemäßen System erfüllt werden.
  • Die Einrichtung zur Eingabe des mindestens einen persönlichen Identifikationsmerkmals kann dabei wahlweise an dem Zugangspunkt oder an einer anderen Komponente des Systems, beispielsweise an der sicherheitssensiblen Ressource angeordnet sein. In bestimmten Ausführungsformen der Erfindung ist es dabei zweckmäßig, wenn die Einrichtungen zur Eingabe des persönlichen Identifikationsmerkmals sowohl an der sicherheitssensiblen Ressource als auch an dem Zugangspunkt vorgesehen sind.
  • Für das erfindungsgemäße System spielt es dabei keine Rolle, ob das persönliche Identifikationsmerkmal eine persönliche Identifikationsnummer (PIN) oder ein Paßwort, ein biometrisches Merkmal, beispielsweise ein Fingerabdruck oder das Muster einer Augeniris, oder eine Identifizierungseinrichtung, beispielsweise eine Chipkarte, ist. Auch alle Kombinationen von persönlichen Identifikationsmerkmalen sind möglich. Besonders bevorzugt wird eine Ausführungsform der Erfindung, bei welcher das System mindestens eine Einrichtung zum Einlesen der Informationen mindestens einer Identifizierungseinrichtung als persönliches Identifikationsmerkmal, beispielsweise einer Chipkarte, aufweist. Eine solche Einrichtung erhöht die Sicherheit des Systems erheblich.
  • Die sicherheitssensible Ressource ist vorzugsweise ein fest mit dem System verbundener Datenspeicher, beispielsweise eine Festplatte oder ein Flash-Speicher. In alternativen Ausführungsformen ist die sicherheitssensible Ressource eine Einrichtung zum Zugreifen auf einen mobilen Datenspeicher, beispielsweise einen USB-Stick.
  • In manchen Anwendungsfällen ist vorzugsweise eine Chipkartenschnittstelle die sicherheitssensible Ressource, welche sowohl das Auslesen als auch das Beschreiben einer Chipkarte ermöglicht. Dabei kann die Chipkartenschnittstelle als Einrichtung zum Einlesen eines persönlichen Identifikationsmerkmals als auch als sicherheitssensible Ressource dienen. Die Chipkarte, die mit der Schnittstelle verbunden wird, ist dann sowohl persönliches Identifikationsmerkmal als auch ein mobiler Datenträger für die sicherheitssensible Ressource. Die sicherheitssensible Ressource kann alternativ auch ein Computerprogramm sein, dessen Benutzung durch unbefugte Nutzer verhindert werden soll.
  • Insbesondere kann die sicherheitssensible Ressource aus beliebigen Kombinationen der vorgenannten Elemente bestehen.
  • Der Benutzer, beispielsweise ein Apotheker oder ein Arzt, muß sich bei einem besonders bevorzugten System einmal während des vorgegebenen Zeitabschnitts durch Einlesen seiner persönlichen Identifizierungseinrichtung bzw. Health-Professional-Card (HPC) und durch Eingabe eines weiteren persönlichen Identifikationsmerkmals, beispielsweise einer PIN ausweisen. Dabei ist es vorteilhaft, wenn die Chipkarte bzw. die Identifizierungseinrichtung während des gesamten Zeitraums der Benutzung mit dem System verbunden bleibt. Die HPC dient dann sowohl als Identifikationsmerkmal des Arztes oder Apothekers als auch als Datenträger auf den die sicherheitssensible Ressource des Systems zugreift.
  • Bevorzugt ist eine Ausführungsform der Erfindung, bei der die sicherheitssensible Ressource und der Zugangspunkt über ein Datennetzwerk, beispielweise über ein LAN oder WAN, miteinander verbunden sind. Auf diese Weise lassen sich die Zugangspunkte und die sicherheitssensible Ressource räumlich voneinander trennen. Eine solche Trennung hat den Vorteil, daß die sicherheitssensible Ressource beispielsweise in einer Apotheke oder einer Arztpraxis in einem Dritten nicht zugänglichen Büro angeordnet sein kann, während die Zugangspunkte im Verkaufs- oder Praxisbereich, beispielsweise an einem Verkaufstresen oder in einem Behandlungszimmer, angeordnet sind. Die einmalige Anmeldung des Benutzers erfolgt dann in dem später verschlossenen Büro oder direkt an einem der Zugangspunkte, während sich der Benutzer mit Hilfe seines persönlichen Transponders bei der Bedienung der Zugangspunkte authentifiziert bzw. ausweist.
  • Obwohl bisher nur von jeweils einem Benutzer die Rede war, können sich an dem erfindungsgemäßen System auch mehrere Nutzer unabhängig voneinander und gleichzeitig an einer ihnen zugeordneten sicherheitssensiblen Ressource anmelden und authentisieren. Dazu geben alle Benutzer einmal während eines vorbestimmten Zeitraums ihre persönliche Identifizierungseinrichtung in die sicherheitssensible Ressource ein und/oder identifizieren sich durch Eingabe ihres persönlichen Identifikationsmerkmals. Danach weist sich jeder Benutzer gegenüber dem System durch Präsentieren seines persönlichen Transponders an dem jeweiligen Zugangspunkt, von dem aus er arbeiten möchte, aus.
  • Dabei ist es vorteilhaft, wenn die sicherheitssensible Ressource eine eindeutige Zuordnung zwischen dem berechtigten Benutzer oder seinem persönlichen Identifikationsmerkmal und dem persönlichen Transponder aufweist.
  • Wenn mehrere Benutzer gleichzeitig auf das System zugreifen, ist es vorteilhaft, wenn jedem persönlichen Identifikationsmerkmal genau ein Transponder zugeordnet ist. Diese Zuordnung kann bereits bei der Installation des Systems erfolgen oder auch bei der Anmeldung des Benutzers an der sicherheitssensiblen Ressource mit Hilfe des persönlichen Identifikationsmerkmals des Benutzers.
  • Besonders bevorzugt ist eine Ausführungsform der Erfindung, bei welcher der Transponder und die Einrichtung zum Auslesen des Transponders eine vorzugsweise berührungslose elektromagnetische oder induktive Übertragungseinrichtung aufweisen. Je nach Einsatzbereich des Systems kann eine Übertragungseinrichtung mit unterschiedlicher Reichweite verwendet werden. Beispielsweise sollte in einem Verkaufsbereich, in dem mehrere Personen Zugriff auf die sicherheitssensiblen Ressourcen haben müssen und verschiedene Zugangspunkte zur Verfügung stehen, die Übertragungseinrichtung eine geringe Reichweite haben, um das unbeabsichtigte Freischalten von Zugangspunkten zu verhindern. Dabei sind die Transponder vorzugsweise Chipkarten, welche in einem Abstand von der entsprechenden Einrichtung des Zugangspunktes gehalten werden. Auch sind Systeme denkbar, bei denen der Transponder zum Auslesen auf den Zugangspunkt aufgelegt oder in diesen eingeschoben werden muß. Die Transponder können aktive Sender aufweisen, jedoch auch vollständig passive Bauteile enthalten, so wie sie von der bekannten RFID-Technologie bereitgestellt werden.
  • Bevorzugt wird eine Ausführungsform der Erfindung, bei der die elektromagnetische oder induktive Übertragungseinrichtung bei einer Frequenz von 13,56 MHz arbeitet. Diese Übertragungsfrequenz wird sowohl von dem Standard ISO 14443 für die Kommunikation mit Karten im Nahbereich bis etwa 10 cm (Proximity Card Standard) als auch von dem Standard ISO 15693 für die Kommunikation mit Karten im Umgebungsbereich bis etwa 2 Meter (Vicinity Card Standard) verwendet.
  • Besonders vorteilhaft ist dabei eine Ausführungsform der Erfindung, bei der die Übertragungseinrichtung zum Auslesen des Transponders eine optische Übertragungseinrichtung ist. Diese kann alternativ passiv ausgelegt sein, d.h. der Transponder weist einen Barcode oder ähnliches auf, der mit Hilfe eines an dem Zugangspunkt angeordneten optischen Systems ausgelesen wird, oder der Transponder sendet ein entsprechend codiertes optisches Signal aktiv aus.
  • In einer alternativen Ausführungsform ist die Einrichtung zum Auslesen des Transponders ein mechanisches Schloß, in welches ein mechanischer Schlüssel als Transponder eingeführt wird. Dabei wird beim Schließen ein entsprechendes elektrisches Signal zum Freischalten des vertrauenswürdigen Kanals erzeugt. Die individuelle Identifizierung des Schlüssels erfolgt mit Hilfe seiner individuellen Form oder durch Kombination des mechanischen Schlüssels mit elektrischen Einrichtungen zu seiner Identifizierung, wie sie beispielsweise aus Wegfahrsperren für Kraftfahrzeuge bekannt sind.
  • Besonders bevorzugt wird eine Ausführungsform der Erfindung, bei der die Ressource und/oder der Zugangspunkt mindestens eine Einrichtung zum Schließen des vertrauenswürdigen Kanals aufweisen. Nach Abschluß eines Zugriffs auf die sicherheitssensible Ressource kann so der vertrauenswürdige Kanal zwischen einem Zugangspunkt und der sicherheitssensiblen Ressource wieder geschlossen werden. Dabei kann das Schließen des vertrauenswürdigen Kanals nach Zeitablauf, nach Eingabe eines bestimmten Befehls in den Zugangspunkt oder auch nach Entfernen des Transponders aus der Umgebung des Zugangspunktes erfolgen.
  • Die Aufgabe wird auch durch Bereitstellung eines Systems gelöst, welches zum Ausführen eines Verfahrens zur Identifizierung mindestens eines Benutzers für den Zugriff auf ein System mit mindestens einer sicherheitssensiblen Ressource geeignet ist, mit mindestens einem Zugangspunkt und mindestens einem Transponder, wobei die Ressource und der Zugangspunkt miteinander kommunizieren, wobei in das System mindestens ein persönliches Identiflkationsmerkmal des Benutzers eingelesen wird, wobei der Ressource ein Transponder zugeordnet wird, wobei der Zugangspunkt die Möglichkeit aufweist, den Transponder auszulesen, wobei die Möglichkeit besteht, als Reaktion auf das Auslesen des Transponders einen logischen Kanal zwischen der Ressource, welche dem Transponder zugeordnet ist und dem Zugangspunkt freizuschalten.
  • Dabei ist es zweckmäßig, das erfindungsgemäße System so eingerichtet ist, dass wenn nach der Identifizierung des Benutzers durch das Einlesen des persönlichen Identifikationsmerkmals und/oder der Identifizierungseinrichtung des Benutzers bereits ein geschlossener logischer Kanal zwischen der Ressource und dem Zugangspunkt eingerichtet wird. Über diesen geschlossenen logischen Kanal kann so lange keine Kommunikation zwischen der sicherheitssensiblen Ressource und den Zugangspunkten erfolgen, bis sich der Benutzer gegenüber einem der Zugangspunkte durch seinen persönlichen Transponder identifiziert. Der Kanal wird nachfolgend wieder geschlossen, wenn ein entsprechendes Steuersignal, beispielsweise aufgrund des Entfernens des Transponders aus der Umgebung des Zugangspunktes, gegeben wird.
  • Das erfindungsgemäße System ist vorteilhafterweise so aufgebaut, dass der Kanal abgebaut wird, wenn der Zugangspunkt ein entsprechendes Steuerkommando erhält oder eine spezielle Taste gedrückt wird oder das System erfaßt, daß der Zugangspunkt oder die Ressource nicht mehr erreichbar ist. Ein abgebauter Kanal kann nur durch erneute Identifizierung mit Hilfe der PIN oder eines anderen Identifikationsmerkmals wieder aufgebaut werden.
  • Das erfindungsgemäße System bietet gegenüber den aus dem Stand der Technik bekannten Systemen und Verfahren den Vorteil, daß sich die Benutzer innerhalb eines bestimmten Zeitabschnitts, z.B. einer Arbeitsschicht, nur einmal mit Hilfe ihres persönlichen Identifikationsmerkmals, beispielsweise einer PIN und/oder ihrer persönlichen Identifizierungseinrichtung, gegenüber der sicherheitssensiblen Ressource ausweisen müssen und nachfolgend mit Hilfe eines Transponders, der die Benutzer eindeutig identifiziert, auf die sicherheitssensible Ressource zugreifen können.
  • Anschaulich gesprochen, weist das System einen Hauptschlüssel und einen Nebenschlüssel auf. Der Hauptschlüssel bietet eine hohes Maß an Sicherheit, ist aber in der Bedienung aufwendig und umständlich und könnte bei häufiger Benutzung in Gegenwart Dritter, beispielsweise durch Ausspähen einer PIN, unsicher werden. Der Nebenschlüssel ist einfacher und unkomplizierter, funktioniert aber nur, wenn das System insgesamt durch den Hauptschlüssel freigeschaltet ist. Der Nebenschlüssel (beispielsweise in Form eines Transponders) wäre als alleiniger Schlüssel viel zu unsicher, weil er verloren gehen oder entwendet werden könnte. Er ist aber hinreichend sicher, wenn der Benutzer ihn beispielsweise während der Arbeitszeit permanent bei sich trägt und häufiger benutzt, wobei der Nebenschlüssel nicht mehr funktioniert, wenn, beispielsweise am Ende der Arbeitszeit oder Schicht, der Hauptschlüssel von dem System entfernt bzw. das Schließsystem aktiviert wird.
  • Weitere Merkmale, Vorzüge und Anwendungen der vorliegenden Erfindung werden anhand der folgenden Beschreibung einer bevorzugten Ausführungsform und der dazugehörigen Figuren deutlich.
  • 1 zeigt eine bevorzugte Ausführungsform des erfindungsgemäßen Systems.
  • 2a-c zeigen Flußdiagramme eines mit dem erfindungsgemäßen Systems ausführbaren erfindungsgemäßen Verfahrens.
  • In 1 ist eine bevorzugte Ausführungsform des erfindungsgemäßen Systems schematisch dargestellt. In der dargestellten Ausführungsform ist das System in einer Apotheke installiert. Zukünftig werden in staatlichen bzw. halbstaatlichen Gesundheitssystemen die einzelnen Teile bzw. Mitglieder der Systeme, d.h. die Patienten, Ärzte, Krankenhäuser und Apotheken, miteinander vernetzt. Dies ermöglicht einen effizienteren Austausch von Daten zwischen den einzelnen Institutionen und Mitgliedern des Systems. Um einen Mißbrauch der Daten zu verhindern, erhält jeder Arzt oder Apotheker eine sogenannte Health Professional Card (HPC), die ihn gegenüber dem vernetzten System identifiziert und einen Zugriff auch auf Patientendaten ermöglicht. Demgegenüber erhalten Patienten eine sogenannte elektronische Gesundheitskarte (eGK), mit ihren Patientendaten darauf.
  • Zum Einlesen der Patientendaten von einer eGK in das System einer Apotheke müssen sich zunächst die Mitarbeiter 1 der Apotheke bei einer sicherheitssensiblen Ressource 2, 3 welche das Auslesen und Abspeichern der Patientendaten ermöglicht, anmelden und identifizieren. Dazu weist die sicherheitssensible Ressource 2, 3 Kartenlesegeräte auf, in welche die Mitarbeiter ihre persönlichen HPCs einschieben können. Zusätzlich muß jeder Mitarbeiter nach dem Einschieben der HPC seine persönliche Identifikationsnummer eingeben, um sich gegenüber der sicherheitssensiblen Ressource 2, 3 als rechtmäßiger Besitzer der Karte auszuweisen. In der in 1 dargestellten Ausführungsform der Erfindung sind zwei sicherheitssensible Ressourcen 2, 3 vorgesehen, wobei die Zahl der Ressourcen 2, 3 der Anzahl der zu identifizierenden Mitarbeiter entspricht. Die beiden sicherheitssensiblen Ressourcen bilden zusammen ein Rechnersystem 4.
  • Jeder der Mitarbeiter meldet sich zu Beginn eines Arbeitstages an einer der sicherheitssensiblen Ressourcen 2, 3 an. Dabei wird die HPC in den Kartenleser eingeführt und die PIN in die sicherheitssensible Ressource 2, 3 eingegeben.
  • Die sicherheitssensible Ressource 2, 3 mit den Lesegeräten ist in einem Dritten, nicht zugänglichen Raum innerhalb der Apotheke angeordnet, so daß nur die Mitarbeiter gegenständlichen Zugriff auf die sicherheitssensiblen Ressourcen 2, 3 haben. Die sicherheitssensiblen Ressourcen 2, 3 sind mit Hilfe eines Datennetzwerkes 5, in der dargestellten Form ein betriebsinternes Intranet, mit anderen Rechnern und den Zugangspunkten 6, 7 verbunden. Die Zugangspunkte 6, 7 sind im Verkaufsbereich, d.h. auf dem Tresen der Apotheke angeordnet. Jeder der Zugangspunkte 6, 7 bildet ein Datenterminal, welches einen Zugriff auf das Netzwerk 5 ermöglicht. Dabei werden beispielsweise Rechnungen erstellt, Rezepte abgerechnet usw. Darüber hinaus ist mit jedem Zugangspunkt ein Barcodescanner verbunden, mit welchem die Preisetiketten der verkauften Medikamente eingelesen werden. Des weiteren weist jeder Zugangspunkt 6, 7 Kartenleser zum Auslesen der eGK der Kunden bzw. Patienten auf.
  • In 2a ist ein Flußdiagramm dargestellt, welches den täglichen Registrierungsprozeß für jeden Benutzer an der sicherheitssensiblen Ressource 2 schematisch darstellt. Dieser Vorgang des einmaligen Identifizierens wird auch als "Enrolment" bezeichnet. Zunächst muß das System durch Betätigen einer Taste in Betrieb gesetzt und nachfolgend eine Ressource durch Einschieben der HPC ausgewählt werden. Es folgt eine Abfrage der PIN bzw. alternativ dazu eines Paßworts des Benutzers durch die Ressource 2. Ist die Eingabe der PIN fehlerhaft, so bricht das System den Enrolment-Vorgang ab. Ist die eingegebene PIN richtig, d.h. entspricht sie der zu der HPC gehörenden PIN, so wird der Benutzer von dem System aufgefordert, den individuellen Transponder zu präsentieren und in die Nähe eines entsprechenden Lesegerätes der Ressource 2 zu bringen. Das System speichert sodann die Zugehörigkeit des entsprechenden Transponders zu der Ressource bzw. der eingegebenen HPC ab und ordnet diesem Transponder/Ressourcenpaar einen geschlossenen logischen und vertrauenswürdigen Kanal zu. Dieser Kanal steht zur Kommunikation zwischen einem beliebigen Zugangspunkt 6, 7 mit der Ressource 2 bereit, ist jedoch bis zum Präsentieren eines Transponders 8 an einem der Zugangspunkte 6, 7 geschlossen. Damit ist der Enrolment-Vorgang abgeschlossen.
  • Möchte ein Patient Medikamente auf Rechnung einer Krankenkasse erwerben, so legt er seine eGK dem Apotheker 1 vor. Die Patientendaten der eGK werden mit Hilfe eines entsprechenden Kartenlesegerätes in die Zugangspunkte 6, 7 eingelesen. Bei dem in 1 dargestellten Beispiel führt der Apotheker 1 die Abrechnung mit Hilfe des Zugangspunktes bzw. Datenterminals 6 durch. Dazu präsentiert er seinen persönlichen und zuvor am System identifizierten Transponder 8 gegenüber dem Zugangspunkt 6. Stimmen die Identifikationsdaten des Transponders 8 mit einer der Ressourcen 2, 3 überein, so wird der zur Ressource gehörende vertrauenswürdige Kanal geöffnet. Im vorliegenden Fall gehört der Transponder 8 des Apothekers 1 zu der Ressource 3, so daß zwischen dem Zugangspunkt 6 und der Ressource 3 der logische Kanal 9a, 9b auf dem Netzwerk geöffnet wird. Über diesen Kanal werden sodann die Patientendaten aus der eGK ausgelesen und zusammen mit den Informationen über die verkauften Medikamente und die entsprechenden Preise auf der sicherheitssensiblen Ressource 4 gespeichert.
  • Das entsprechende Verfahren zum Freischalten des logischen Kanals 9a, 9b ist in 2b dargestellt. Zunächst wird durch einfachen Tastendruck das Datenterminal 6 aktiviert. In einem zweiten Schritt wird der Transponder 8 des Apothekers 1 gegenüber dem Datenterminal 6 präsentiert und das System gleicht die Identiflkationsdaten des Transponders 8 mit den im System hinterlegten Daten der angemeldeten Transponder ab. Gibt es keine Übereinstimmung zwischen dem präsentierten Transponder 8 und den hinterlegten Transponderdaten, so wird der Vorgang abgebrochen. Ist der präsentierte Transponder 8 einer der Ressourcen 2, 3 zugeordnet, bei dem in 1 dargestellten Beispiel der Ressource 3, so wird der für den Benutzer 1 eingerichtete logische Kanal 9a, 9b geöffnet. Damit ist der Identifizierungsprozeß abgeschlossen.
  • Wie in 2c dargestellt, wird der einmal geöffnete vertrauenswürdige Kanal 9a, 9b nach Abschluß des Verkaufs durch Tastendruck oder Zeitablauf wieder geschlossen, um eine mißbräuchliche Bedienung des Zugangspunktes 6, d.h. insbesondere das nicht autorisierte Auslesen von eGK zu verhindern.

Claims (13)

  1. System zur Authentifizierung mindestens eines Benutzers – mit mindestens einer sicherheitssensiblen Ressource, – mit mindestens einem Zugangspunkt, – mit mindestens einem Transponder, – mit mindestens einer Einrichtung zur Eingabe mindestens eines persönlichen Identifikationsmerkmals, – wobei die sicherheitssensible Ressource mit dem Zugangspunkt verbunden ist, – wobei der Zugangspunkt mindestens eine Einrichtung zum Auslesen des Transponders aufweist, – wobei jedem Transponder mindestens eine sicherheitssensible Ressource zugeordnet ist, und – wobei das System mindestens eine Einrichtung zum Freischalten eines vertrauenswürdigen Kanals zwischen dem Zugangspunkt und der sicherheitssensiblen Ressource, welche dem Transponder zugeordnet ist, als Reaktion auf das Auslesen des Transponders aufweist.
  2. System nach Anspruch 1, dadurch gekennzeichnet, daß mindestens eine der Einrichtungen zum Einlesen eines persönlichen Identifikationsmerkmals eine Einrichtung zur Eingabe einer persönlichen Identifikationsnummer (PIN) oder eines Paßworts ist.
  3. System nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, daß mindestens eine der Einrichtungen zum Einlesen eines persönlichen Identifikationsmerkmals eine Einrichtung zur Eingabe eines biometrisches Merkmals, vorzugsweise eines Fingerabdrucks oder einer Augeniris, ist.
  4. System nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß mindestens eine der Einrichtungen zum Einlesen eines persönlichen Identifikationsmerkmals eine Einrichtung zum Einlesen einer Identifizierungseinrichtung, vorzugsweise einer Chip-Karte, ist.
  5. System nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß die sicherheitssensible Ressource ein Datenspeicher oder eine Einrichtung zum Datenaustausch mit einem mobilen Datenspeicher ist.
  6. System nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die sicherheitssensible Ressource und der Zugangspunkt über ein Datennetzwerk miteinander verbunden sind.
  7. System nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die sicherheitssensible Ressource eine eindeutige Zuordnung zwischen den persönlichen Identifikationsmerkmalen und den Transpondern aufweist.
  8. System nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß jedem persönlichen Identifikationsmerkmal genau ein Transponder zugeordnet ist
  9. System nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, daß der Transponder und die Einrichtung zum Auslesen des Transponders eine, vorzugsweise berührungslose, elektromagnetische oder induktive Übertragungseinrichtung aufweisen.
  10. System nach Anspruch 9, dadurch gekennzeichnet, daß die elektromagnetische oder induktive Übertragungseinrichtung bei einer Frequenz von 13,56 MHz arbeitet.
  11. System nach Anspruch 9, dadurch gekennzeichnet, daß der Transponder und die Einrichtung zum Auslesen des Transponders eine optische Übertragungseinrichtung aufweisen.
  12. System nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, daß die Einrichtung zum Auslesen des Transponders ein mechanisches Schloß zur Aufnahme eines mechanischen Schlüssels als Transponder ist.
  13. System nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, daß die Ressource und/oder der Zugangspunkt eine Einrichtung zum Schließen und/oder Abbauen des vertrauenswürdigen Kanals aufweisen.
DE202004021130U 2004-06-01 2004-06-01 System zur Authentifizierung eines Benutzers Expired - Lifetime DE202004021130U1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE202004021130U DE202004021130U1 (de) 2004-06-01 2004-06-01 System zur Authentifizierung eines Benutzers

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004026933.5A DE102004026933B4 (de) 2004-06-01 2004-06-01 System und Verfahren zur Authentifizierung eines Benutzers
DE202004021130U DE202004021130U1 (de) 2004-06-01 2004-06-01 System zur Authentifizierung eines Benutzers

Publications (1)

Publication Number Publication Date
DE202004021130U1 true DE202004021130U1 (de) 2006-12-21

Family

ID=37576006

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202004021130U Expired - Lifetime DE202004021130U1 (de) 2004-06-01 2004-06-01 System zur Authentifizierung eines Benutzers

Country Status (1)

Country Link
DE (1) DE202004021130U1 (de)

Similar Documents

Publication Publication Date Title
DE69938500T2 (de) Authentifizierungskartensystem mit einer entfernten zertifizierungsinstanz
DE19648767C2 (de) Identifikationssystem mit elektronischer Chipkarte
EP2949094B1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem automat
DE69521156T2 (de) Verfahren zum Authentisieren eines Schalterterminals in einem System zur Durchführung von Überweisungen
DE69738266T2 (de) Verfahren und Mittel zum Begrenzen des Missbrauches von gefälschten Kreditkarten, Zugangskarten, elektronischen Konten oder dergleichen
DE10249801B3 (de) Verfahren zum Ausführen einer gesicherten elektronischen Transaktion unter Verwendung eines tragbaren Datenträgers
DE102011116489A1 (de) Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts
EP2770484B1 (de) Lesegerät für ein Dokument, Verfahren zum Lesen eines Datenobjekts und Computerprogrammprodukt
WO2006015573A1 (de) Datenträger zur kontaktlosen übertragung von verschlüsselten datensignalen
AT401205B (de) System zur identifizierung eines kartenbenutzers
DE19718547C2 (de) System zum gesicherten Lesen und Ändern von Daten auf intelligenten Datenträgern
EP3252643B1 (de) Lesegerät für eine chipkarte und computersystem
DE19851074C2 (de) System und Verfahren zur sicheren Identifikation und Registrierung von Personen sowie eine hierfür geeignete Registriereinrichtung
EP1686541A2 (de) Identifizierungssystem
EP2389644B1 (de) Verfahren zur freischaltung einer chipkartenfunktion und lesegerät für eine chipkarte
DE102004026933B4 (de) System und Verfahren zur Authentifizierung eines Benutzers
WO2010040162A1 (de) Identifikationsmerkmal
WO2013120473A1 (de) Universalkarte zur vereinfachung des gebrauchs einer vielzahl an karten
WO2017036455A2 (de) Vorrichtung und verfahren zum authentifizieren und autorisieren von personen
DE202004021130U1 (de) System zur Authentifizierung eines Benutzers
EP1635302A1 (de) Speicherkarte und Verfahren zum Abfragen von Informationen von einer Speicherkarte
DE102007023003A1 (de) Verfahren zum mobilen Bezahlen sowie Computerprogrammprodukt
EP3465511B1 (de) Biometrisch basiertes auslösen einer nutzaktion mittels eines id-tokens
DE19545020A1 (de) Verfahren zum Freigeben von Identifikationsgegenständen
EP0971324A1 (de) Verfahren zum Schutz von Daten auf einem Datenträger sowie dazu ausgestaltete Chipkarte, Lesegerät und Chipsatz

Legal Events

Date Code Title Description
R207 Utility model specification

Effective date: 20070125

R150 Utility model maintained after payment of first maintenance fee after three years

Effective date: 20070830

R151 Utility model maintained after payment of second maintenance fee after six years

Effective date: 20100907

R152 Utility model maintained after payment of third maintenance fee after eight years

Effective date: 20120829

R071 Expiry of right