ITRM20090267A1 - Metodo di controllo per la gestione e la diffusione controllata di informazioni riservate digitali contenute in supporti elettronici portatili. - Google Patents

Metodo di controllo per la gestione e la diffusione controllata di informazioni riservate digitali contenute in supporti elettronici portatili. Download PDF

Info

Publication number
ITRM20090267A1
ITRM20090267A1 IT000267A ITRM20090267A ITRM20090267A1 IT RM20090267 A1 ITRM20090267 A1 IT RM20090267A1 IT 000267 A IT000267 A IT 000267A IT RM20090267 A ITRM20090267 A IT RM20090267A IT RM20090267 A1 ITRM20090267 A1 IT RM20090267A1
Authority
IT
Italy
Prior art keywords
interlocutor
owner
user
data
stored
Prior art date
Application number
IT000267A
Other languages
English (en)
Inventor
Carlo Lentini
Original Assignee
Carlo Lentini
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Carlo Lentini filed Critical Carlo Lentini
Priority to ITRM2009A000267A priority Critical patent/IT1394439B1/it
Priority to PCT/IT2010/000044 priority patent/WO2010137047A1/en
Priority to US13/322,036 priority patent/US8689005B2/en
Priority to EP10711728A priority patent/EP2435941A1/en
Publication of ITRM20090267A1 publication Critical patent/ITRM20090267A1/it
Application granted granted Critical
Publication of IT1394439B1 publication Critical patent/IT1394439B1/it

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • G16H10/65ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records stored on portable record carriers, e.g. on smartcards, RFID tags or CD

Description

“METODO DI CONTROLLO PER LA GESTIONE E LA DIFFUSIONE CONTROLLATA DI INFORMAZIONI RISERVATE DIGITALI CONTENU-TE IN SUPPORTI ELETTRONICI PORTATILIâ€
DESCRIZIONE
Settore della tecnica
La presente invenzione fa riferimento in generale al problema della privacy dei dati e della sicurezza nell’accesso ai dati riservati, più in particolare essa tratta di un sistema e un relativo metodo di controllo della gestione e della diffusione controllata di informazioni riservate digitali contenute in supporti elettronici portatili, con particolare riguardo ad informazioni di interesse per gli utenti del sistema stesso.
Stato dell’arte
Gli archivi sono una risorsa preziosa per qualsiasi azienda e solitamente possono essere usati da più applicazioni e manipolati da più persone. I problemi di sicurezza legati agli archivi riguardano principalmente gli aspetti di perdita dei dati e di accesso non autorizzano alle informazioni. In questa sede interessa esaminare specificatamente questo secondo punto relativo alla privacy dei dati ed alla sicurezza delle informazioni. Ci si basa solitamente su una responsabilità centralizzata in grado di distribuire le autorizzazioni e le modalità di accesso. In generale ad ogni utente viene associato un profilo il cui accesso à ̈ controllato mediante password. È noto però come proprio il meccanismo di protezione mediante identificativo e password sia da tempo superato per i pericoli di intromissione che esso presenta. Tra le tecniche di accesso illegale più gravi e dannose à ̈ solo il caso di citare, come esempio, lo sniffing che prevede l’intercettazione del pacchetto in transito sulla rete per ricavarne le informazioni di accesso e di convalida, quali le parole chiave ma anche, codici abilitativi o numeri di carte di credito ecc.
Un altro aspetto rilevante del problema à ̈ la possibilità di accedere ai dati attraverso la rete Internet, per esempio mediante i servizi HTTP di navigazione o FTP di scaricamento dati. Poiché di seguito si farà riferimento ad applicazioni del trovato nel settore medico/ospedaliero à ̈ il caso di valutare la inadeguatezza di talune misure poste in atto a partire proprio da casi eclatanti di questo settore. Un recente report diffuso dalla Cisco System ha rilevato che un manager su quattro ha ammesso di aver avuto un “buco†nei sistemi di sicurezza negli ultimi 12 mesi.
Il tema della privacy à ̈ stato anche affrontato da tempo da colossi come Google e Microsoft secondo una recente stima effettuata dagli stessi, visto che il 60% dei navigatori Internet interroga il motore per ricevere informazioni di tipo sanitario, un database così imponente che raccolga le informazioni sanitarie di milioni di persone sarebbe preziosissimo per il marketing di Big Pharma e costruirebbe un monopolio inaccettabile di informazioni sanitarie non vincolate da alcuna regola. Perciò sia Google che Microsoft hanno prodotto dei servizi che consentono la gestione della cartella clinica personale, ma da un'indagine pubblicata sul British Medical Journal in primavera che ha valutato un'esperienza simile a quella proposta da Google e Microsoft, attivata dal ministero sanitario britannico, à ̈ emerso che i cittadini inglesi non usano le cartelle cliniche sanitarie on line, perché temono che i propri dati non siano al sicuro.
Lo scenario à ̈ dunque complesso e il modello basato su Internet non à ̈ gradito per i motivi descritti, a ciò si aggiunge la considerazione che solo l'operazione di digitalizzazione di tutte le diagnostiche per immagini, dalle lastre alla TAC richiede una spesa non trascurabile, anche se comporterà un risparmio di questa pari alla metà dell'investimento sostenuto, questo dovuto essenzialmente al fatto che non dovranno essere acquistati più i liquidi per lo sviluppo della pellicola. Questi costi però, si troveranno in bilancio sotto un'altra voce: gestione della rete telematica. Trasmettere, infatti, un'immagine radiografica di qualità comporta tempi lunghi di attesa e costi di gestione in tecnologia.
Risulterà allora fondamentale escogitare una soluzione che:
a- si svincoli dal pregiudizio tecnico che l’archivio dei dati debba necessariamente essere localizzato ed acceduto attraverso la rete, e
b- restituisca al singolo utente la proprietà “fisica†delle informazioni riservate che gli appartengono.
Più in generale va premesso che nel presente ambito con la dizione “dispositivo di memoria ausiliario†si faccia riferimento in generale a supporti di memoria rimovibili in grado di essere conservati in ambienti protetti da intrusioni non autorizzate e da eventuali danni agli stessi o alle apparecchiature che li contengono. Essi possono essere inseriti in un personal computer, possono, inoltre essere inseriti in una macchina Server, possono essere inseriti anche in dispositivi mobili (quali telefono cellulare, dischi, lettori CD, DVD, pen drive, hard disk rimovibili, schede SD, schede PCMCIA, etc.) per poterne consentire la diffusione e la gestione.
É noto come le informazioni di carattere riservato memorizzate su un dispositivo elettronico portatile presentino il problema che possono essere visualizzate da chiunque e nel caso vengano utilizzati sistemi di sicurezza questi possono essere comunque superati. Inoltre le informazioni visualizzate su un sistema computer possono essere facilmente duplicate o trasmesse da un computer ad un altro. È oggetto della presente invenzione un sistema ed un relativo metodo di controllo della gestione e della diffusione controllata di informazioni riservate digitali che garantisca che i due soggetti, volta per volta, interessati a condividere informazioni, in formato digitale, siano riconosciuti dal sistema in modo automatico e sicuro, e la cui identità di entrambi sia accertata in modo inequivocabile senza alcuna possibilità di intrusioni di soggetti terzi durante tutta la fase di gestione delle informazioni riservate. Si richiede che entrambi i soggetti debbano utilizzare, contestualmente, ognuno il proprio supporto elettronico, per poter condividere la gestione e la diffusione controllata di informazioni riservate digitali contenute nel supporto elettronico portatile.
Lo scopo della presente invenzione à ̈ quello di fornire una tecnica di controllo per la gestione controllata delle informazioni contenute in supporti elettronici rimovibili che sia caratterizzata da una architettura distribuita e non centralizzata, (esattamente al contrario delle diffuse tecniche, già citate, che prevedono una responsabilità centralizzata) e quindi in cui venga privilegiato il rapporto a due tra singolo proprietario dei dati e relativo interlocutore. La dizione peer to peer non viene qui usata nell’originario significato stringente di configurazione di rete telematica in cui due PC si scambiano vicendevolmente i ruoli di client e server. Viene piuttosto, in questa sede, ripreso il principio caratterizzante che prevede per i due utenti la condivisione di alcuni files sulla base di diritti di accesso preconfigurati e poiché ciascun utente prende le decisioni localmente la rete non ha un punto centrale di controllo o un’amministrazione centralizzata che dir si voglia.
Lo scopo della presente invenzione à ̈ anche quello che nell’ambito specifico applicativo di un sistema sanitario, siano facilitati i rapporti tra il paziente e l’ente pubblico e/o privato erogatore del servizio, si eviti la duplicazione della semiotica strumentale e biochimica riducendo i costi e soprattutto si consenta la diffusione dei propri dati sanitari a tutte le strutture visitate in modo che nessuno abbia il dominio dei dati, consentendo al paziente di poter accedere ai propri dati da un semplice computer senza che sia richiesta l’installazione di programmi o particolari sistemi elettronici, cosa che invece à ̈ richiesta quando si usa, per esempio, la carta sanitaria nazionale.
É infine scopo della presente invenzione quello di fornire una tecnica di controllo per la gestione e la diffusione controllata di dati digitali riservati contenuti in supporti elettronici portatili che impieghi sistemi operativi e protocolli di accesso di comunicazione tra i più diffusi e riconosciuti come standard nell’ambito del controllo della sicurezza dei dati, ciò al fine di rendere la realizzazione del trovato immediata, affidabile e di facile gestione e manutenzione.
Questi ed altri scopi che saranno chiari nel corso della descrizione sono ottenuti con una tecnica di controllo per la gestione e la diffusione controllata di dati digitali riservati contenuti in supporti elettronici portatili, i cui principi fondamentali sono enucleati nelle rivendicazioni allegate.
Breve descrizione dei disegni
Al solo fine di meglio chiarire l’invenzione e senza con ciò volerne limitare l’ambito ed i settori in cui essa può trovare applicazione, di seguito si descriveranno alcune realizzazioni particolari con riferimento alle Figure allegate. Tali realizzazioni saranno fornite puramente in via d’esempio e facendo riferimento ai disegni, in cui:
FIGURA 1 Ã ̈ un diagramma a blocchi di massima;
FIGURA 2 à ̈ un diagramma a blocchi che entra nello specifico dei permessi attribuiti all’utente, al gruppo di appartenenza ed al relativo interlocutore;
FIGURA 3 à ̈ una rappresentazione schematica dell’architettura del sistema di autenticazione ed identificazione secondo la presente invenzione.
Il principio fondamentale per la presente invenzione à ̈ che le informazioni riservate memorizzate sono e devono restare di proprietà del cittadino/persona fisica e solo quest’ultima può dare l'autorizzazione ad altri alla loro modifica e/o alla loro estrapolazione.
Al proprietario viene fornito un “supporto di memoria†, che consiste in una pen drive o in una scheda SD del tipo rimovibile, utilizzata per memorizzare i dati digitali (supporti che hanno sostituito, ormai da tempo, il tradizionale floppy disk). Tale supporto di memoria à ̈ dotato di un riconoscitore biometrico (per esempio un riconoscitore di impronta digitale) e quindi consente a chi ne à ̈ in possesso, di poter “autorizzare†l'accesso ai dati digitali in essa memorizzati, solo dopo che sia avvenuto il riconoscimento dell'identificativo biometrico. In questo modo le informazioni, saranno visibili solo al proprietario ed eventualmente a chi questo vorrà. Allo stesso tempo a ciascun soggetto proprietario verrà assegnato un proprio soggetto interlocutore - fornito anch’egli di chiave di accesso con identificativo biometrico - con il quale interlavora nel momento in cui si richiede un aggiornamento delle informazioni sul supporto di memoria.
Anche se come premesso il trovato riveste una valenza generale, nella sua specifica applicazione nel settore sanitario il proprietario - vale a dire il paziente -potrà solo visionare i dati sanitari memorizzati sul proprio dispositivo di memoria biometrico ma non potrà modificarli o aggiungerne altri, in quanto il solo autorizzato à ̈ il medico che ha avuto in dotazione un altro dispositivo di memoria biometrico in grado di abilitare tutti i dispositivi di memoria biometrici dei cittadini che si recano da lui per ottenere prestazioni sanitarie.
Anche il medico effettua volta per volta il riconoscimento del proprio identificativo biometrico sul proprio supporto per poter effettuare queste modifiche, in modo che sia garantita la sua identità. Inoltre il metodo secondo la presente invenzione prevede una procedura di firma digitale dei documenti, in quanto il certificato digitale à ̈ esso stesso residente sui supporti di memoria di cui sono forniti il medico ed il paziente.
Come si può intuire non à ̈ necessario essere connessi alla rete, non sono necessari accordi tra produttori diversi, non sono necessari più programmi pre-installati, perché tutto ciò che serve, per il corretto funzionamento, à ̈ contenuto nei supporti di memoria portatili e soprattutto non à ̈ necessario avere un sistema informatico particolare, in quanto à ̈ sufficiente un normale computer di qualsiasi marca e tipo in cui sono inserite contemporaneamente il supporto di memoria della persona fisica richiedente la prestazione e il supporto di memoria dell’interlocutore.
Il disegno 1 allegato à ̈ indicativo di un’architettura di rete distribuita che mostra una condizione di lavoro peer to peer tra singolo utente/proprietario 1 ed il relativo interlocutore 2.
Descrizione di una realizzazione preferita
Nella presente descrizione si individuano e si farà riferimento ai seguenti attori e strumenti che operano utilizzando il sistema ed il relativo metodo di controllo della gestione e della diffusione controllata di informazioni digitali riservate. GESTORE: à ̈ una organizzazione che si occupa di gestire il servizio, che confeziona i dispositivi e li assegna ai soggetti autorizzati, gestisce le deleghe, recupera ed elabora le informazioni di tipo statistico ed economico.
PROPRIETARIO: à ̈ la persona fisica 1, proprietaria, delle informazioni riservate digitali memorizzate nel supporto elettronico portatile, che à ̈ individuato con il termine SUPPORTO PROPRIETARIO, assegnato dal GESTORE e quindi di proprietà dello stesso PROPRIETARIO, il quale può divulgare i propri dati, visualizzarli, ma à ̈ impossibilitato a modificarli;
INTERLOCUTORE: à ̈ la persona fisica 2 che à ̈ autorizzata dal SISTEMA alla gestione delle informazioni riservate digitali del proprietario contenute nel SUPPORTO PROPRIETARIO. La gestione delle informazioni riservate digitali del PROPRIETARIO à ̈ effettuata se e solo se à ̈ avvenuto il riconoscimento dell'identità dell'INTERLOCUTORE mediante confronto delle informazioni in un supporto elettronico portatile di proprietà dell’interlocutore con le informazioni rilevate da caratteristiche fisiche dell'INTERLOCUTORE stesso. Il supporto elettronico portatile, individuato con il termine “SUPPORTO INTERLOCUTORE†à ̈ assegnato dal gestore e quindi di proprietà dello stesso interlocutore.
I soggetti proprietari possono delegare altri soggetti che possono quindi sostituirsi al delegante in qualsiasi momento anche a sua insaputa, l'importante à ̈ che i soggetti delegati siano in possesso del supporto digitale contenente le informazioni digitali riservate.
Le operazioni di delega, riconoscimento del delegante, riconoscimento e memorizzazione delle notizie sul delegato, sono predisposte prima delle operazioni di gestione e diffusione delle informazioni. Le operazioni di delega sono modificabili, le modifiche sono effettuabili dal gestore del servizio.
Per gestire la sicurezza dei dati memorizzati sul supporto di memoria rimovibile può essere utilizzata una qualsiasi tecnica di cifratura. Vale a dire che i dati prima di essere memorizzati devono subire una cifratura (codifica) che li rende illeggibili a tutti tranne che al proprietario ed all’interlocutore autorizzati dal sistema di gestione e diffusione controllata delle informazioni riservate. La codifica e la decodifica possono essere eseguite da uno o più algoritmi crittografici. Questi algoritmi implementano le relative funzioni matematiche e vengono utilizzati insieme ad una chiave, solitamente un numero molto grande.
Tuttavia à ̈ ben nota la possibilità di violare la segretezza dei dati cifrati, per mezzo delle tecniche di crittoanalisi - soprattutto se la cifratura avviene mediante chiave simmetrica -.
Secondo la presente invenzione viene introdotto invece un particolare utilizzo delle chiavi asimmetriche (firma digitale) per la protezione dei dati memorizzati sui supporti di memoria.
È ben noto come il termine “chiave asimmetrica†si riferisce al fatto che il sistema utilizza due chiavi (una chiave pubblica per la cifratura, e una chiave privata per la decodifica o decifrazione).
Le due chiavi sono correlate matematicamente, per cui i messaggi codificati con la chiave pubblica possono essere decodificati soltanto da chi possiede la chiave privata. La particolarità e la forza di questo sistema crittografico e che, anche conoscendo la chiave pubblica, non à ̈ possibile risalire alla corrispondente chiave privata.
La coppia di chiavi viene generata da un software opportuno. Ogni persona che vuole ricevere i messaggi cifrati deve fornirsi di una coppia di chiavi: la chiave privata viene tenuta segreta, mentre la chiave pubblica viene distribuita liberamente a tutte le persone con cui si vuole comunicare.
Il mittente di un messaggio deve conoscere la chiave pubblica del destinatario e successivamente può codificare il messaggio usando questa chiave. Il testo cifrato può essere decodificato soltanto da chi possiede la chiave privata correlata con la chiave pubblica con cui à ̈ stato cifrato il messaggio. I1 destinatario, essendo in possesso di questa chiave privata e segreta può leggere il messaggio dopo averlo decifrato.
I1 vantaggio del sistema crittografico a chiave asimmetrica à ̈ che il mittente e il destinatario non devono condividere una chiave segreta. I mittenti dei messaggi devono solo conoscere la chiave pubblica del destinatario mentre la chiave privata deve essere conservata in modo segreto dal destinatario.
Da quanto esposto si desume però in modo evidente come questo tipo di cifratura e decifratura sia caratterizzato da condizioni operative legate alla trasmissione sicura dei dati tra un mittente e un destinatario.
Nella presente applicazione l’utilizzo della firma digitale (che come premesso si basa proprio sull’impiego di sistemi di crittografia a chiave asimmetrica) viene in sostanza ad essere usata anche in assenza di una vera e propria trasmissione dell’informazione.
Difatti secondo l’utilizzo della presente invenzione la firma digitale viene a costituire un metodo in locale (che opera su di un matching peer to peer contestuale e quindi in tempo reale senza alcuna trasmissione dei dati a distanza) per risolvere il problema della diffusione controllata di informazioni riservate contenute in supporti di memoria elettronici portatili. La specificità dell’applicazione si desume dalla particolare funzione esplicata dalle entità in gioco nel procedimento di controllo per la diffusione delle informazioni.
Difatti à ̈ ben chiaro il ruolo particolare rivestito dalla figura dell’“interlocutore†, vale a dire la persona fisica che à ̈ autorizzata alla gestione delle informazioni riservate digitali appartenenti ad altra persona e contenute nel relativo supporto “proprietario†(la gestione delle informazioni riservate digitali del proprietario essendo effettuate se e solo se à ̈ avvenuto il riconoscimento dell’identità dell’interlocutore). Per cui, sulla scorta dell’impiego della firma digitale, l’interlocutore appone il proprio segno distintivo ai dati digitalizzati e memorizzati e, tramite tale firma digitale, di seguito, chiunque potrà verificare l’autenticità, cioà ̈ potrà appurare
i- se i dati sono stati scritti proprio dall’interlocutore designato, e
ii- l’integrità dell’informazione firmata, cioà ̈ potrà controllare se i dati sono stati modificati da qualcun altro che non sia l’interlocutore.
D’altra parte va rilevato in questo contesto il ruolo del “proprietario†, vale a dire la persona fisica proprietaria delle informazioni riservate digitali memorizzate sul supporto elettronico portatile (poc’anzi indicato anche con il termine “Supporto Proprietario†) che à ̈ assegnato dal gestore e quindi di proprietà dello stesso proprietario il quale potrà visualizzare e divulgare i propri dati, anche se à ̈ impossibilitato a modificarli.
Dalla combinazione e dall’interfacciamento dei due ruoli ed in base al funzionamento della firma digitale basata su chiave asimmetrica (che à ̈ caratterizzata in questo contesto dal fatto che le chiavi hanno un uso diverso rispetto al loro utilizzo per la codifica e la trasmissione certificata dei dati) risulta da un lato che l’interlocutore firma i dati memorizzati, utilizzando la sua chiave privata, mentre, d’altro canto, il proprietario o altre persone che possono controllarne l’autenticità o l’integrità dei dati stessi utilizzano la chiave pubblica.
Difatti, a partire dai dati di partenza, l’interlocutore mediante la sua chiave privata genera una impronta, vale a dire una breve sequenza binaria di lunghezza fissa, che viene codificata utilizzando proprio la propria chiave privata ed il cui risultato rappresenta la cosiddetta firma digitale, che così costituita viene accodata ai dati memorizzati. L’impronta viene generata utilizzando la cosiddetta funzione di casualizzazione o hash con la garanzia che a partire da dati diversi si ottengano impronte diverse.
L’interlocutore, il proprietario o il delegato, o chi per esso, che vuole controllare la veridicità dei dati deve poi usare la chiave pubblica per verificare la correttezza della firma digitale. Avendo il testo in chiaro e usando la funzione hash si calcola l’impronta del documento e quindi usando la chiave pubblica il proprietario o chiunque altro può verificare tramite la firma digitale la veridicità dei dati ritrovando l’impronta calcolata e apposta dall’interlocutore/firmatario. Se le due impronte coincidono si presume che il documento à ̈ stato firmato dal giusto interlocutore ed à ̈ integro, cioà ̈ non à ̈ stato modificato.
Dopo l’apposizione della firma digitale ogni modifica alle informazioni comporta una modifica dell’impronta associata. Avendo a disposizione l’impronta originale della firma digitale, sia l’interlocutore, che il proprietario, che il gestore del servizio possono controllare rapidamente se i dati digitali memorizzati sono stati modificati. Si presentano quindi fondamentalmente, con la trasposizione del sistema a firma digitale nell’ambito del contesto della presente invenzione, tre livelli di sicurezza in cascata i quali permettono di gestire le procedure di accesso con la massima affidabilità:
a - la verifica distinta di due diversi identificativi biometrici;
b - il matching tra interlocutore e proprietario al momento dell’aggiornamento e della scrittura dei dati;
c - l’autenticazione dell’insieme delle informazioni in corso di memorizzazione per mezzo di algoritmi operanti su chiavi asimmetriche.
Del resto la coppia di chiavi pubblica e privata (introdotte sulla scorta dell’utilizzo dello strumento della firma digitale ed usate per firmare e verificare i dati memorizzati) vengono ad essere rilasciate comunemente, così come oramai standardizzato da vari enti di certificazione che garantiscono l’identità dell’interlocutore in possesso delle chiavi private. Questo tipo di soluzione si coniuga in modo ottimale con lo strumento pratico attualmente adoperato per conservare le chiavi che à ̈ costituito dalle cosiddette schede smart-card le quali nella realizzazione secondo l’invenzione possono, evidentemente in modo efficace, essere integrate, fisicamente entro contenute, nei supporti di memoria elettronici portatili.
Alla funzione di autenticazione, che consiste nello stabilire se un individuo à ̈ veramente colui che dichiara di essere, sino ad ora descritta si associa l’impiego del presente trovato per l’identificazione che consiste nel determinare se una persona può essere associata (corrispondere) a una di quelle presenti in archivio del supporto “interlocutore†.
Risulta anche vantaggiosa per la realizzazione del presente trovato, la flessibilità degli attuali sistemi operativi sia sotto l’aspetto della gestione dei permessi sia sotto l’aspetto dell’impiego degli account di utente e di gruppo.
Tenendo conto che si à ̈ partiti dal presupposto che le funzioni di acquisizione, modifica, cancellazione delle informazioni riservate sul supporto proprietario non sono ammesse per il proprietario cui à ̈ concessa soltanto la visualizzazione dei dati memorizzati, mentre le funzioni di acquisizione, modifica, cancellazione e visualizzazione delle informazioni memorizzate sono tutte ammesse per l’entità “interlocutore†, risulta oltremodo utile una caratteristica del sistema operativo che permette di organizzare gli utenti e i gruppi gestendo i privilegi di accesso alle risorse e ai file in base a permessi che sono stati conferiti all’utenza nel configurare il file system. Ad esempio risultano efficaci i comandi -tipo Useraddche permettono di assegnare in modo automatico un identificativo di utente univoco (UID) e un identificativo di gruppo iniziale (GID) univoco. In particolare con l’opzione -g il comando Useradd permette di specificare uno o più gruppi supplementari cui l’utente può appartenere. Tramite questa opzione à ̈ implementata una suddivisione logica degli utenti proprietari e degli utenti interlocutori del sistema, i quali hanno in questo modo accesso discriminato alle risorse, in base ai permessi specificati per i gruppi ai quali appartengono.
Nella specifica implementazione à ̈ evidente che à ̈ stabilito già in fase di progetto del file system la direttiva da parte del gestore (l’organizzazione che si occupa di gestire il servizio che assegna i dispositivi i dispositivi di memorizzazione ai soggetti autorizzati, gestisce le deleghe, ecc.) di avere per l’entità (account) interlocutore gli attributi attivi sugli archivi dati di ciascun utente proprietario appartenente al proprio gruppo e di disporre invece solo un permesso in lettura per ciascun utente proprietario e solo per ciascun relativo file di dati riservati memorizzato. La struttura che ne deriva à ̈ la classica configurazione ad albero contenente tante radici quante sono le entità interlocutrici attive, che sono associate a ciascun gruppo di utenti cui à ̈ permessa l’accessibilità in lettura ai soli dati (file) di cui sono proprietari.
È ben nota del resto la gestione secondo cui ciascun utente quando à ̈ collegato con il sistema operativo si collega con il suo gruppo primario. Questo à ̈ il gruppo che specifica il gruppo di default di appartenenza ed à ̈ predisposto al momento della configurazione del file system da parte del gestore. Quando l’utente à ̈ collegato con il suo gruppo primario egli può accedere ai file e può mandare in esecuzione solo i programmi che sono associati con tale gruppo di cui egli à ̈ membro. Se un utente vuole accedere a file o programmi che non sono nel suo gruppo primario egli può commutare ad un gruppo con il quale il particolare file o programma viene associato. Pur tuttavia l’utente deve essere membro di tale gruppo per poter commutare in quest’altra condizione operativa. Ciò à ̈ chiaramente un mezzo ottimale per il controllo della sicurezza dei dati e dei programmi che lavorano su questi dati. Solo per citare una esemplificazione di tale tipo di attivazione à ̈ sufficiente ricordare il comando Newgroup al quale si associa una sintassi del comando tipo Newgroup Visualizzazione esami Tac. ecc.
Pertanto l’interlocutore potrà modificare esclusivamente il sottoinsieme dei dati presenti nel supporto “proprietario†di sua competenza, ossia gestibili dal gruppo a cui appartiene e non potrà neanche accedere alla visualizzazione dei dati di competenza di altri gruppi. La Figura 2 dimostra quanto spiegato avendo indicato con il tratteggio fine A l’area controllata dal supporto interlocutore 1 e con il tratteggio spesso B l’area controllata dal supporto interlocutore ennesimo.
I dettagli implementativi della presente invenzione sono di seguito rappresentati tenendo conto della Figura 3 in cui sono riportati i seguenti blocchi di riferimento: 4 Unità di autenticazione ed identificazione base
10 Livello Applicazioni
11 Applicazioni Utente
12 Riconoscimento Biometrico
20 Server degli applicativi fondamentali (Middleware: programmi che permettono l’interlavoro tra le diverse applicazioni e componenti SW) 30 Interfacce
31 CAPI Criptographic API
32 PKCS#11 standard per Public Key Criptography
33 WS-Trust protocollo di gestione della sicurezza
34 Legacy Regolamento di gestione dei dati nel relativo trasferimento 35 API Application programming interface residenti su File System
40 Memoria di massa
60 Security Token Formats Formato dei pacchetti dedicato alla sicurezza 61 X509 Standard ITU-T per infrastrutture a chiave pubblica
62 OTP One time password Sistema di generazione di singole chiavi del tipo usa e getta.
63 SAML Security Assertion Markup Language Derivato XLKM progettato per lo scambio di autenticazioni
64 Identificativo di utente
52 Utente
53 Memoria di massa ad accesso riservato
70 Identità Digitali
71 Info Cards supporti preposti a memorizzare le notizie anagrafiche e i diritti dell’utente PROPRIETARIO
72 Certificati
73 Chiavi private
80 Autenticazione di utente
81 Autenticazione con identificativo Biometrico
82 Autenticazione mediante Password
83 Autenticazione con identificativo Biometrico e Password
Occorre distinguere i tre diversi scenari che si possono verificare:
Scenario 1: SUPPORTO in cui i dispositivi sono gestiti dal GESTORE in cui le notizie degli utenti sono inserite, modificate, cancellate.
Scenario 2: MODIFICA in cui le notizie memorizzate nel dispositivo PROPRIETARIO sono modificate dal dispositivo INTERLOCUTORE in modo dipendente e sincrono perché entrambi interagiscono mediante un BOX PC fisico o anche virtuale.
Scenario 3: LETTURA in cui le notizie memorizzate nel dispositivo INTERLOCUTORE e nel dispositivo PROPRIETARIO sono visionate dai rispettivi utenti PROPRIETARIO e INTERLOCUTORE in modo indipendente tra loro perché ogni dispositivo à ̈ connesso a BOX PC diversi e tra loro non vi à ̈ interazione.
Scenario 1: SUPPORTO
1. Il GESTORE predispone dei dispositivi hardware capaci di gestire mediante API 35 le componenti di token crittografico, riconoscimento biometrico e di memoria di massa di cui à ̈ dotato, nonché li configura con le seguenti applicazioni software:
- Applicazione Utente con le funzionalità richieste in base al contesto in cui opererà il sistema (medico, militare, aziendale, ecc.) indicata con il termine applicazione di utente 11.
- Applicazione di Configurazione biometrica relativo all’applicativo dedicato - Applicazione di Gestione principale definita basato su BAS 20.
- Applicazione che consente l’inserimento del proprio certificato digitale che consentirà l’accesso mediante inserimento chiave privata, alle funzioni di amministrazione.
2. Il GESTORE abilita il dispositivo INTERLOCUTORE e il dispositivo PROPRIETARIO all’acquisizione delle proprietà biometriche di entrambi mediante l’inserimento dei dispositivi in un BOX PC utilizzando l’applicazione di configurazione biometrica relativa all’applicativo dedicato. I template delle proprietà biometriche acquisite sono memorizzate all’interno dei dispositivi e non saranno modificabili se non dal GESTORE stesso che ha i diritti di accesso per la scrittura.
3. Vengono acquisite anche le proprietà biometriche del DELEGATO che sostituirà l’utente PROPRIETARIO nelle operazioni esclusivamente di lettura e scrittura di dati e sarà utilizzato il proprio certificato digitale 4. Memorizza il certificato digitale dell’utente INTERLOCUTORE rilasciati dalla CA (Certification Authority) nel Token del dispositivo INTERLO-CUTORE.
5. Memorizza il certificato digitale dell’utente PROPRIETARIO rilasciati dalla CA (Certification Authority) nel Token del dispositivo PROPRIE-TARIO.
6. Memorizza il certificato digitale dell’utente DELEGATO rilasciati dalla CA (Certification Authority) nel Token del dispositivo PROPRIETARIO.
7. Potrà essere memorizzato il certificato digitale rilasciato dalla CA nel Token del dispositivo PROPRIETARIO in modo da poterlo utilizzare in contesti dove sarà richiesto anche che il PROPRIETARIO debba firmare digitalmente i documenti.
Scenario 2: MODIFICA
i. Il dispositivo INTERLOCUTORE à ̈ inserito nel BOX PC e il Sistema Operativo del BOX PC abilita il supporto esterno e processa il file eseguibile, relativo all’applicativo dedicato, che à ̈ memorizzato nella zona del file system del dispositivo INTERLOCUTORE relativo.
ii. Si avvia il processo detto di enrollement per il riconoscimento dell’utente che viene invitato a presentare le proprie caratteristiche biometriche e, nel caso fosse richiesta, anche la password a garanzia di un’autenticazione di tipo “strong†, al dispositivo INTERLOCUTORE che le rileva e le confronta con quelle memorizzate nella memoria di massa (Fig. 3). iii. Nel caso di esito positivo viene processato il BAS 20 che mediante un protocollo di comunicazione verifica l’esistenza del dispositivo PROPRIETARIO. Se non à ̈ presente il dispositivo l’utente viene invitato ad una scelta se proseguire, in tal caso inizia lo scenario 3, in caso contrario viene richiesto l’inserimento del dispositivo PROPRIETARIO. iv. Il dispositivo PROPRIETARIO viene inserito nel BOX PC e il Sistema Operativo del BOX PC abilita il supporto esterno e processa il file eseguibile, relativo all’applicativo dedicato, che à ̈ memorizzato nella zona del file system del dispositivo PROPRIETARIO relativo.
v. Si avvia il processo detto di enrollement per il riconoscimento dell’utente che viene invitato a presentare le proprie caratteristiche biometriche al dispositivo PROPRIETARIO che le rileva e le confronta con quelle memorizzate nella memoria di massa (Fig. 3). In questo caso non potrà essere chiesta la digitazione di una password in quanto il PROPRIE-TARIO non dovrà mai “firmare†nulla per cui non à ̈ indispensabile un’autenticazione di tipo “strong†, e per giunta annullerebbe la possibilità di poter visionare i dati (vedi Scenario 3) in caso di incoscienza dell’utente PROPRIETARIO che non potrebbe presentare la password oltre alle proprietà biometriche.
vi. Nel caso di esito positivo viene processato il BAS 20 che mediante un protocollo di comunicazione verifica l’esistenza del dispositivo INTER-LOCUTORE e ricevendo il messaggio di ricerca inviato dal BAS 20 del dispositivo INTERLOCUTORE, risponde con un messaggio di ACK. vii. Viene inoltrata dal BAS 20 del dispositivo PROPRIETARIO al BAS 20 del dispositivo INTERLOCUTORE una richiesta delle autorizzazioni: inizia la fase di Identificazione dell’utente INTERLOCUTORE.
viii. Il BAS 20 del dispositivo INTERLOCUTORE trasmette al BAS 20 del dispositivo PROPRIETARIO le Info Cards 71 che contengono le notizie anagrafiche e i diritti dell’utente PROPRIETARIO.
ix. Il BAS 20 del dispositivo PROPRIETARIO predispone le porzioni di memoria di massa e di memoria di massa sicura relative, seguendo le indicazioni presenti nei dati “User†(v. Fig. 3) alla modifica delle informazioni di sua competenza.
x. L’applicazione di utente del dispositivo PROPRIETARIO viene processata e vengono avviate le funzionalità relative.
xi. L’applicazione di utente del dispositivo PROPRIETARIO può richiedere la memorizzazione di file digitali provenienti da storage diversi da quello della partizione della memoria di massa del dispositivo PROPRIETARIO abilitata in funzione dei diritti dell’utente INTERLOCUTORE, come meglio specificato in precedenza al punto ix.
xii. Inoltre questo file digitale dovrà essere firmato digitalmente utilizzando la firma digitale dell’utente INTERLOCUTORE, in modo che si possa verificare l’autenticità del documento e l’integrità del documento. La firma digitale assicura inoltre il non ripudio: il firmatario di un documento trasmesso non può negare di averlo creato. Detta in altre parole significa che l'informazione non può essere disconosciuta, come nel caso di una firma convenzionale su un documento cartaceo in presenza di testimoni. xiii. Il BAS 20 del dispositivo INTERLOCUTORE richiede al BAS 20 del dispositivo PROPRIETARIO il certificato digitale acquisendo così la chiave pubblica dell’utente PROPRIETARIO
xiv. Il BAS 20 del dispositivo INTERLOCUTORE firma il documento con la chiave privata memorizzata nel dispositivo INTERLOCUTORE riferito all’utente INTERLOCUTORE
xv. Il BAS 20 del dispositivo INTERLOCUTORE prima di inoltrare il file al BAS 20 del dispositivo PROPRIETARIO lo cifra con la chiave pubblica del PROPRIETARIO.
xvi. Il BAS 20 del dispositivo PROPRIETARIO potrà presentare il contenuto del file quando l’applicazione utente 11 del dispositivo PROPRIETARIO la richiede e può verificare l'autenticità di un documento: per farlo, decifra la firma del documento con la chiave pubblica del mittente, ottenendo l'impronta digitale del documento, e quindi confronta quest'ultima con quella che si ottiene applicando la funzione hash al documento ricevuto; se le due impronte sono uguali, l'autenticità e l'integrità del documento sono garantite.
xvii. Il BAS 20 del dispositivo PROPRIETARIO non memorizzerà mai la chiave privata dell’utente dispositivo INTERLOCUTORE, per cui sarà garantita la sicurezza della transazione, visto che non c’à ̈ nessun collegamento alla rete e tutto si svolge in locale.
xviii. Il BAS 20 del dispositivo INTERLOCUTORE memorizzerà nella propria memoria di massa le notizie delle operazioni effettuate che costituiranno un log delle transazioni e quindi un vero diario di bordo consultabile offline anche in assenza del dispositivo PROPRIETARIO come meglio descritto nello scenario 3. In caso di richieste di modifiche di record da parte dell’applicazione utente 11 del dispositivo PROPRIETARIO i record saranno memorizzati nel Data Base gestito direttamente dall’applicazione utente 11 i cui diritti di accesso sono determinati nel punto 7 precedente. xix. Nel caso di richiesta di terminazione dell’applicazione utente 11 il BAS 20 del dispositivo PROPRIETARIO trasmette al BAS 20 del dispositivo INTERLOCUTORE la richiesta di chiusura della comunicazione e entrambi provvederanno a fare un “kill†dei processi attivi in modo da chiudere le transazioni in atto e non lasciare alcuna traccia nel BOX PC utilizzato.
xx. Entrambi i dispositivi sono sconnessi dal BOX PC.
Scenario 3: LETTURA
PREMESSA: i due utenti PROPRIETARIO e INTERLOCUTORE possono visualizzare i dati contenuti nei dispositivi in modo indipendente che non richiedono la presenza di entrambi i dispositivi nello stesso istante. Pertanto di descriverà dapprima il caso d’uso di visualizzazione delle informazioni contenute nel dispositivo INTERLOCUTORE e successivamente il caso d’uso di visualizzazione delle informazioni contenute nel dispositivo PROPRIETARIO.
a. Il dispositivo INTERLOCUTORE à ̈ inserito nel BOX PC e il Sistema Operativo del BOX PC abilita il supporto esterno e processa il file eseguibile, relativo all’applicativo dedicato, che à ̈ memorizzato nella zona del file system del dispositivo INTERLOCUTORE relativo.
b. Si avvia il processo di enrollement per il riconoscimento dell’utente che viene invitato a presentare le proprie caratteristiche biometriche e, nel caso fosse richiesta, anche la password a garanzia di un’autenticazione di tipo “strong†, al dispositivo INTERLOCUTORE che le rileva e le confronta con quelle memorizzate nella memoria di massa (Fig. 3). c. L’applicazione di utente del dispositivo INTERLOCUTORE viene processata e vengono avviate le funzionalità relative.
d. Possono essere richieste le funzioni di visualizzazione delle informazioni e il BAS 20 del dispositivo INTERLOCUTORE recupererà dalla propria memoria di massa le notizie delle operazioni effettuate sui vari dispositivi PROPRIETARI.
e. Possono essere altresì richieste funzioni di modifica o integrazione alle informazioni presenti.
f. Non sono richieste attività di cifratura o di firma in quanto eventuali file digitali inseriti nel dispositivo INTERLOCUTORE se devono essere trasmessi la cifratura avverrà al momento della richiesta come descritto nel punto 11.
Caso d’uso dell’utente PROPRIETARIO
1. Il dispositivo PROPRIETARIO à ̈ inserito nel BOX PC e il Sistema Operativo del BOX PC abilita il supporto esterno e processa il file eseguibile, dell’applicativo dedicato, che à ̈ memorizzato nella zona del file system del dispositivo PROPRIETARIO relativo.
2. Si avvia il processo di enrollement per il riconoscimento dell’utente che viene invitato a presentare le proprie caratteristiche biometriche e, nel caso fosse richiesta, anche la password a garanzia di un’autenticazione di tipo “strong†, al dispositivo PROPRIETARIO che le rileva e le confronta con quelle memorizzate nella memoria di massa (Fig. 3).
3. L’applicazione utente 11 del dispositivo PROPRIETARIO viene processata e vengono avviate le funzionalità relative.
4. Possono essere richieste le funzioni di visualizzazione delle informazioni e il BAS 20 del dispositivo PROPRIETARIO recupererà dalla propria memoria di massa le notizie delle operazioni effettuate sui vari dispositivi PROPRIETARI.
5. Non possono essere altresì richieste funzioni di modifica o integrazione alle informazioni presenti, in quanto il PROPRIETARIO potrà solo visualizzare i dati e/o i file senza possibilità di poterli modificare.
6. Non sono richieste attività di cifratura o di firma.
Le componenti del sistema denominato Bee Pen System utilizza il metodo oggetto della presenta invenzione. Le componenti sia hardware che software sono stati pensati per gestire l’intero processo utente-gestore del servizio, predisponendo anche gli strumenti tecnologici che evitano la perdita di informazioni in caso di smarrimento e/o furto del dispositivo sia PROPRIETARIO che INTERLOCUTORE.
SPERIMENTAZIONE ATTUALE
Si vuole ora descrivere un’applicazione reale del metodo già realizzata per una sperimentazione in abito sanitario ed in particolare dei trapianti d’organo. SINOSSI
Studio per l’utilizzo del dispositivo di memorizzazione ad uso sanitario come metodo di gestione dei dati sanitari nella fase di follow-up dei pazienti che hanno subito un trapianto d’organo
Premessa:
La fase di follow-up seguita dai Centri Trapianti che hanno effettuato l'intervento chirurgico, viene realizzato mediante visite programmate sottoponendo il paziente a frequenti indagini. La massiva produzione di cartaceo che le indagini producono, costituisce una difficoltà organizzativa e mediatica, in quanto costringe il paziente a darne visione integralmente agli operatori sanitari che la richiedono per avere le necessarie prestazioni. Queste prestazioni possono essere richieste anche al di fuori dell'area di competenza dell'Azienda Sanitaria che normalmente ha in cura il paziente trapiantato, in caso ad esempio in cui il paziente si reca in località turistiche o per viaggi di lavoro, ed ogni volta occorre ricordarsi di portare il “faldone†che contiene tutta la storia clinica. In questo contesto un valore aggiunto può essere fornito da sistemi tecnologici che consentono di contenere in un supporto portatile, che tutela l’acceso a persone non autorizzate, tutta la storia clinica del paziente compresi i referti delle indagini.
Obiettivi:
Obiettivo dello studio à ̈ valutare l’accettabilità protocollo di sperimentazione del sistema di diffusione controllata delle informazioni utilizzanti una coppia di dispositivi di memoria con riconoscimento biometrico da parte del paziente e il giudizio degli operatori sanitari sul sistema stesso in termini di praticità d’uso e utilità nella gestione delle informazioni cliniche.
Disegno dello studio:
• Studio prospettico multicentrico
• Popolazione coinvolta nella sperimentazione:
• 60 pazienti arruolati seguiti presso strutture dei Centri trapianti che partecipano alla sperimentazione
• 20 medici arruolati tra il personale dei Centri trapianti che partecipano alla sperimentazione
Metodi:
Ai pazienti arruolati verrà consegnata una pen drive, dispositivo dotato di memoria e riconoscimento di impronta che si inserisce in una porta USB presente in tutti i computer in commercio. Il codice di questo dispositivo di memorizzazione ad uso sanitario verrà, associato ai dati anagrafici del paziente, registrato in un Registro globale e inizializzata, al momento della consegna, memorizzando le impronte del paziente stesso sul medesimo dispositivo di memorizzazione ad uso sanitario, attraverso una metodologia di accesso sicura e protetta che garantirà la privacy. I pazienti arruolati verranno seguiti per sei mesi dopo la consegna, e i dati verranno aggiornati ad ogni visita dal medico arruolato.
Anche ai medici arruolati verrà consegnata una pen drive, e sarà attuata la medesima metodologia per l’inizializzazione.
Al termine dello studio il paziente ed il medico sperimentatore compileranno una scheda su accettabilità ed eventi avversi e forniranno un giudizio globale sulla sua utilità.
Principali misure di esito:
Misure di accettabilità, facilità di consegna ed inizializzazione nonché di uso del sistema. Potenziale utilità percepita da pazienti e medici. Frequenza di effetti indesiderati.
Servizi interessati:
Day hospital, radiologia, laboratorio analisi, laboratorio virologia
Attivazione del sistema con dispositivo portatile di memorizzazione ad uso sanitaria
Il dispositivo di memorizzazione ad uso sanitario à ̈ un sistema tecnologico di controllo della gestione e della diffusione di informazioni riservate digitali contenute in supporti elettronici portatili, con particolare riguardo ad informazioni di interesse per gli utenti del sistema stesso.
In particolare, nel caso di specie, consente la gestione delle informazioni sanitarie.
Il sistema à ̈ composto da una serie di dispositivi elettronici portatili e da un centro di gestione. Il dispositivo portatile à ̈ simile ad una pen drive usata comunemente per la memorizzazione dei dati digitali prodotti da un computer, che nel tempo ha sostituito le funzioni del dischetto magnetico. Si collega ad una porta standard USB, ormai diffusa su tutti i computer ed à ̈ dotata di un supporto per il riconoscimento dell’impronta digitale, la quale consente di attivare, dopo l’apposizione del proprio dito o di quello del delegato, la visualizzazione dei propri dati.
Il sistema prevede l’utilizzo di due tipologie di penne, una per il paziente e una per il medico.
I pazienti saranno dotati di tale dispositivo definita PENNA PAZIENTE.
I medici saranno dotati anch’essi di tale dispositivo definita PENNA MEDICO. Il sistema consiste nel garantire che i dati presenti nella PENNA PAZIENTE possono essere modificati solo se nel computer à ̈ presente una PENNA MEDICO la quale à ̈ stata attivata dall’apposizione dell’impronta del medico. Ogni PENNA MEDICO potrà modificare tutte le PENNA PAZIENTE.
Il paziente può collegare la PENNA PAZIENTE ad un qualsiasi computer, dopo aver eseguito la manovra di riconoscimento della propria impronta o di un suo delegato, e potrà visualizzare i dati che verranno proposti automaticamente e così farli visionare a tutte le persone che ritiene possano vederle. Questa operazione sarà possibile ad esempio in caso di emergenza sanitaria, semplicemente effettuando la manovra di riconoscimento anche da personale assistenziale, utilizzando il dito del paziente.
La PENNA MEDICO conterrà invece solo le tracce delle operazioni eseguite sulle diverse PENNA PAZIENTE esaminate e non sarà tenuta traccia invece dei dati sanitari che rimarranno sempre nella PENNA PAZIENTE. Le tracce saranno visualizzate dal medico inserendo in qualsiasi momento la propria PENNA MEDICO in un qualsiasi computer dopo aver effettuato la manovra di riconoscimento della propria impronta in modo da garantire la riservatezza e la non alterabilità dei dati.
Il sistema di gestione, guidato dallo sponsor avrà il compito di operare sul supporto elettronico che conterrà i dati, prevalentemente per effettuare le seguenti operazioni:
• confezionamento del dispositivo;
• gestione delle deleghe;
• raccolta di informazioni dal dispositivo di tipo statistico ed economico; • supporto tecnico/organizzativo presso i Centri trapianti;
L’organizzazione dello studio di sperimentazione comprenderanno le seguenti fasi:
• censimento dei pazienti e dei medici arruolati in un database centrale • elettronico sito presso i sistemi tecnologici dell’Agenzia regionale del Lazio per i trapianti e le patologie connesse
• distribuzione delle penne e relativa acquisirne delle impronte dei pazienti e/o di loro delegati
• inserimento in ogni PENNA PAZIENTE dei dati anagrafici e ogni altra informazione prevista per l’associazione penna-paziente
• inserimento in ogni PENNA MEDICO dei dati anagrafici e ogni altra informazione prevista per l’associazione penna-medico
• formazione ai medici arruolati
• esecuzione delle visite e relativo aggiornamento delle informazioni dei dati clinici sulla PENNA PAZIENTE
• monitoraggio
• report finale
Metodi di valutazione
La valutazione della procedura verrà effettuata sia dal paziente che dal medico sperimentatore secondo lo schema previsto dalle “scheda paziente†e dalla “scheda sperimentatore†.
DESCRIZIONE TECNICA DEL PROTOTIPO IMPIEGATO NELLO STUDIO
Sono stati impiegati dei dispositivi di penne USB dotati di riconoscimento biometrico. Sono state scelte le penne della AData perché rientravano nel budget previsto per costo-prestazioni-caratteristiche dopo una selezione di mercato tra più dispositivi analoghi. Tali dispositivi non hanno le caratteristiche tali da poter consentire la gestione dei certificati digitali perché non posseggono un token crittografico, pertanto non à ̈ possibile utilizzare la firma digitale nel corso della sperimentazione. Il sistema basato su dispositivo di memorizzazione ad uso sanitario interverrà solo per la gestione controllata delle informazioni che potrà essere effettuata solo in presenza sincrona delle due penne USB installate sullo stesso PC.
Il sistema sarà fatto funzionare sui s.o. più comuni quali Windows Xp, Vista, Linux e MAC.
Sono stati utilizzati per la realizzazione prodotti open source in particolare:
• TrueCrypt
• PAMPA (Apache, MySQL, Php)
• Autoit
I software sono distribuiti esclusivamente sulle penne USB.
Un test di funzionamento in contemporanea di due penne sullo stesso PC ha dato esito positivo. Sono state individuate due categorie di penne: Paziente e Medico La PENNA PAZIENTE risulta così configurata:
• TrueCrypt.exe
• PennaPaziente.exe
• VOL (volume criptato tramite TrueCript)
La PennaPaziente.exe à ̈ un file eseguibile compilato scritto in linguaggio AUTOIT e gestisce tutte le funzioni per soddisfare le richieste provenienti dall’utente. Opera direttamente sul dispositivo PROPRIETARIO
Il VOL, file criptato con TrueCrypt accessibile mediante interfaccia TrueCrypt attivato tramite password, contiene:
- l’ambiente PAMPA
- le pagine web scritte in linguaggio php che gestiscono la user interface mediante browser Internet
- paramiters.ini: file di configurazione che contiene l’identificativo del dispositivo PROPRIETARIO definito dal costruttore e letto mediante API di sistema operativo che consente di attuare una protezione della copia del software pennasanitaria.exe
La PENNA MEDICO risulta così configurata:
• PennaMedico.exe
• Pennaparamiters.ini
• LOGoperator.txt
La PennaMedico.exe à ̈ un file eseguibile compilato scritto in linguaggio AUTOIT e gestisce tutte le funzioni per soddisfare le richieste provenienti dall’utente. Opera direttamente sul dispositivo INTERLOCUTORE
- Pennaparamiters.ini: file di configurazione che contiene il nome e cognome del medico
- LOGoperator.txt invece contiene le informazioni di tutte le operazioni effettuate (inserimento, modifica, cancellazione) sulle varie penne dei pazienti (data ora nome del paziente tipo di modifica nuovo valore ecc.) Il PC che ospita le penne deve avere installato il solo sistema operativo.
Non à ̈ richiesta alcuna connessione ad Internet.
FUNZIONAMENTO
L’inserimento della penna paziente comporta l’avvio del file già preconfigurato dal costruttore per l’enrollment. In caso di esito positivo viene processato il file truecript.exe e il file pennapaziente.exe. che verifica se l’ID del dispositivo PROPRIETARIO à ̈ uguale a quello memorizzato nel file.ini e se l’esito à ̈ positivo presenta all’utente una maschera di scelta se inserire la penna del medico oppure leggere i propri dati.
Nel caso di scelta della seconda soluzione viene aperto il volume crittografato inserendo la password in modo automatico dal programma penna paziente.exe su una finestra nascosta e il data base non consente modifiche sui record esistenti. Nel caso contrario viene chiesto di inserire la penna del medico sul medesimo PC nell’altra porta USB disponibile e il programma pennapaziente.exe apre un canale di comunicazione socket e si mette in ascolto.
Viene inserita la penna del medico che dopo la fase di enrollment viene processato dal S.O. il file penna medico.exe che scrive nel canale socket un ACK di esistenza.
A questo punto la penna paziente.exe abilita il database dell’applicazione alla scrittura e esegue l’ambiente PAMPA che presente all’utente la maschera dei dati memorizzati nel dispositivo PROPRIETARIO. L’abilitazione della base dati avviene perché à ̈ passata la password su finestra invisibile all’utente del volume crittografato e pertanto essendo stato precedentemente creato in modo che alla sua apertura venga abilitato l’update del DB il sistema risulta abbastanza sicuro. Al termine delle operazioni le penne prima di essere ritirate dalle porte USB vengono effettuati le richieste di kill dei processi attivi e nulla rimane installato sul PC ospitante.
Vantaggi ed industrialità del trovato
Sono innumerevoli gli aspetti vantaggiosi del trovato ed i settori che ne troverebbero beneficio. Per illustrali ci si limiterà alle applicazioni in ambito sanitario esemplificate e già citate. Il servizio di gestione e di diffusione controllata di informazioni riservate contenute in supporti di memoria portatili potrà essere esteso anche ad altri soggetti e comprendere anche gli addetti amministrativi che avranno il proprio dispositivo di memoria con riconoscimento biometrico che consentirà di interagire con quella del paziente e gestire i suoi dati amministrativi, come l'importo speso del ticket, eventuali esenzioni, testamento biologico, deleghe, ecc.
Il servizio potrà comprendere inoltre anche le Farmacie che avranno in dotazione un dispositivo di memoria con riconoscimento biometrico simile a quello del medico che consentirà di interagire con quella del paziente, per cui si potranno distribuire i farmaci solo se risultano prescritti digitalmente nel dispositivo di memoria con riconoscimento biometrico.
I medici di base avranno il proprio dispositivo di memoria con riconoscimento biometrico che consentirà di interagire con quella del paziente per prescrivere i medicinali se e solo se non sono stati di recente prescrizione, inoltre potranno avere la possibilità di visionare i referti e l'intera storia clinica disponibile in lingue diverse, utili per chi viaggia all' estero.
Tutte le operazioni effettuate dai soggetti citati sono registrate nelle proprie penne (medici, farmacie, medici di base, amministrativi) in modo che sia possibile monitorare l'andamento delle prestazioni.
Le prescrizioni dei medici di base non occorre che siano più stampate e firmate, perché con la rilevazione della propria impronta il medico certifica la sua identità e quindi consente di firmare digitalmente la prescrizione mediante la firma elettronica.
L'adozione di questo sistema consente un abbattimento di costi della sanità stimato minimo in 200 euro/anno pro-capite, in quanto semplifica la gestione del rapporto tra cittadino e sanità col memorizzare sul supporto removibile qualsiasi tipo di dato.

Claims (12)

  1. RIVENDICAZIONI 1. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate digitali contenute in supporti di memoria elettronici portatili caratterizzata dal fatto di comprendere le seguenti fasi operative, eseguite interattivamente, ad ogni richiesta di accesso per modifica ed aggiornamento delle informazioni contenute in detti supporti: a- il riconoscimento per mezzo di un primo identificativo biometrico (1) della persona fisica proprietaria delle informazioni digitali memorizzate nel supporto proprietario di cui à ̈ in possesso; b- il riconoscimento per mezzo di un secondo identificativo biometrico (2) di una persona fisica interlocutrice preposta alla immissione ed alla gestione delle informazioni riservate digitali accessibili da parte dello stesso interlocutore e contenute nel supporto proprietario, detto interlocutore essendo egli stesso in possesso di un supporto di memoria con funzioni di identificazione del possessore; c- l’interfacciamento e il matching in modalità automatica tra supporto proprietario e supporto interlocutore a livello di identificativi di utente al fine di autenticare l’accesso alle informazioni memorizzate per l’aggiornamento, la visualizzazione e la memorizzazione, delle informazioni riservate digitali sul supporto proprietario e sul supporto interlocutore, in base a permessi di accesso preconfigurati; d- l’apposizione di una autenticazione crittografata a chiave asimmetrica per le informazioni aggiornate e modificate da memorizzare sul supporto proprietario e sul supporto interlocutore.
  2. 2. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate secondo la rivendicazione 1 caratterizzata dal fatto che la configurazione dei permessi di accesso ai dati contenuti nei supporti di memoria dei soggetti proprietario (1) e interlocutore (2) preveda: i- per il proprietario il diritto di accesso in lettura dei propri dati e la non accessibilità a qualsiasi operazione di modifica dei dati memorizzati sul supporto proprietario; ii- per il soggetto interlocutore la accessibilità sia in lettura che in scrittura sui dati memorizzati sul supporto proprietario e sul supporto interlocutore; iii- la non accessibilità ai dati in lettura e scrittura per l’organizzazione gestore che si occupa di eseguire il servizio di assegnazione dei dispositivi ai soggetti autorizzati; iv- la non accessibilità in lettura e scrittura a soggetti e/o sistemi informatici terzi non autorizzati, ai dati riservati archiviati nel supporto proprietario e nel supporto interlocutore.
  3. 3. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate secondo ciascuna delle rivendicazioni precedenti caratterizzata dal fatto che i soggetti proprietari deleghino altri soggetti che si sostituiscano al proprietario delegante in qualsiasi momento purché in possesso del supporto digitale contenente le informazioni digitali riservate, le operazioni di delega, riconoscimento del delegante, riconoscimento e memorizzazione delle informazioni sul delegato, essendo predisposte preliminarmente alle operazioni di gestione e diffusione delle informazioni.
  4. 4. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate secondo ciascuna delle rivendicazioni precedenti caratterizzata dal fatto che il soggetto interlocutore, autorizzato alla gestione delle informazioni riservate digitali appartenenti ad altra persona e contenute nel relativo supporto proprietario apponga ai dati memorizzati, ad ogni modifica ed aggiornamento dei dati stessi, per mezzo di sistemi di crittografia a chiave asimmetrica, un’impronta atta a verificare sia l’autenticità della scrittura dei dati memorizzati da parte proprio dell’interlocutore designato, che l’integrità dell’informazione firmata.
  5. 5. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate digitali secondo ciascuna delle rivendicazioni precedenti caratterizzata dal fatto che l’utilizzo del sistema di crittografia a chiave asimmetrica preveda da un lato che l’interlocutore firmi i dati memorizzati, utilizzando la sua chiave privata, e d’altra parte che il proprietario o altri, utilizzi la chiave pubblica sia che debba controllare l’autenticità e l’integrità dei dati stessi sia che debba solo visualizzare tali dati memorizzati.
  6. 6. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate secondo ciascuna delle rivendicazioni precedenti caratterizzata dal fatto di operare su tre livelli di sicurezza in cascata per memorizzare nuovi dati o per apportare aggiornamenti ai dati già presenti: i- la verifica distinta di due diversi identificativi biometrici; ii- il matching tra interlocutore e proprietario al momento dell’aggiornamento e della scrittura dei dati; iii- l’autenticazione dell’insieme delle informazioni in corso di memorizzazione per mezzo di algoritmi operanti su chiavi asimmetriche.
  7. 7. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate secondo ciascuna delle rivendicazioni precedenti caratterizzata dal fatto di operare a livello di sistema operativo per organizzare gli utenti e i gruppi gestendo i privilegi di accesso alle risorse e ai file in base a permessi che sono conferiti all’utenza nel configurare il file system, implementando una suddivisione logica degli utenti interlocutori del sistema e degli utenti proprietari ai quali viene attribuito l’accesso discriminato alle risorse, in base ai permessi specificati per i gruppi ai quali appartengono.
  8. 8. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate digitali secondo ciascuna delle rivendicazioni precedenti caratterizzata dal fatto che il file system sia configurato dal gestore in modo che l’entità interlocutore abbia tutti gli attributi attivi sugli archivi dati di ciascun utente proprietario appartenente al proprio gruppo e di disporre invece solo un permesso in lettura per ciascun utente proprietario e solo per ciascun relativo file di dati riservati memorizzato.
  9. 9. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate secondo ciascuna delle rivendicazioni precedenti caratterizzata dal fatto che nella procedura di SUPPORTO in cui i dispositivi sono gestiti dal GESTORE presso cui le notizie degli utenti sono inserite, modificate, cancellate, detto GESTORE: I. predispone dei dispositivi hardware capaci di gestire mediante API (35) le componenti di token crittografico, riconoscimento biometrico e di memoria di massa di cui à ̈ dotato, nonché li configura con le seguenti applicazioni software: a- applicazione Utente con le funzionalità richieste in base al contesto in cui opererà il sistema -medico, militare, aziendale, ecc. b- configurazione biometrica relativa all’applicativo dedicato. c- applicazione di Gestione principale definita su BAS. d- inserimento del proprio certificato digitale che consente l’accesso mediante inserimento chiave privata, alle funzioni di amministrazione, II. abilita il dispositivo INTERLOCUTORE e il dispositivo PROPRIETA-RIO all’acquisizione delle proprietà biometriche di entrambi mediante l’inserimento dei dispositivi in un BOX PC ed utilizzando l’applicazione di configurazione biometrica relativa all’applicativo dedicato, i template delle proprietà biometriche acquisiti essendo memorizzati all’interno dei dispositivi in formato non modificabile se non dal GESTORE stesso che ha i diritti di accesso per la scrittura, III. acquisisce le proprietà biometriche dell’eventuale DELEGATO che sostituisce l’utente PROPRIETARIO nelle operazioni esclusivamente di lettura e scrittura di dati utilizzando il proprio certificato digitale, IV. memorizza il certificato digitale dell’utente INTERLOCUTORE rilasciato dalla CA - Certification Authority - nel Token del dispositivo INTERLO-CUTORE, V. memorizza il certificato digitale dell’utente PROPRIETARIO rilasciato dalla CA - Certification Authority - nel Token del dispositivo PROPRIE-TARIO, VI. memorizza il certificato digitale dell’utente DELEGATO rilasciato dalla CA - Certification Authority - nel Token del dispositivo PROPRIETA-RIO, VII. memorizza il certificato digitale rilasciato dalla CA nel Token del dispositivo PROPRIETARIO in modo da poterlo utilizzare in contesti dove à ̈ richiesto anche che il PROPRIETARIO debba firmare digitalmente i documenti.
  10. 10. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate secondo ciascuna delle rivendicazioni precedenti caratterizzata dal fatto che nella fase di MODIFICA in cui le notizie memorizzate nel dispositivo PROPRIETARIO sono modificate dal dispositivo INTERLOCUTORE in modo dipendente e sincrono entrambi interagendo mediante un BOX PC fisico o virtuale sono previste le fasi sequenziali in cui: i. il dispositivo INTERLOCUTORE à ̈ inserito nel BOX PC e il Sistema Operativo del BOX PC abilita il supporto esterno e processa il file eseguibile, relativo all’applicativo dedicato, che à ̈ memorizzato nella zona del file system del dispositivo INTERLOCUTORE relativo, ii. si avvia il processo di enrollement per il riconoscimento dell’utente che viene invitato a presentare le proprie caratteristiche biometriche, al dispositivo INTERLOCUTORE che le rileva e le confronta con quelle memorizzate nella memoria di massa iii. nel caso di esito positivo viene processato il BAS (20) che mediante un protocollo di comunicazione verifica l’esistenza del dispositivo PROPRIETARIO e se non à ̈ presente il dispositivo l’utente viene invitato ad una scelta se proseguire, in tal caso inizia la fase di LETTURA - in cui le notizie memorizzate nel dispositivo INTERLOCUTORE e nel dispositivo PROPRIETARIO sono visionate dai rispettivi utenti - in caso contrario viene richiesto l’inserimento del dispositivo PROPRIETARIO, iv. il dispositivo PROPRIETARIO viene inserito nel BOX PC e il Sistema Operativo del BOX PC abilita il supporto esterno e processa il file eseguibile, relativo all’applicativo dedicato, che à ̈ memorizzato nella zona del file system del dispositivo PROPRIETARIO relativo. v. si avvia il processo di enrollment per il riconoscimento dell’utente che viene invitato a presentare le proprie caratteristiche biometriche al dispositivo PROPRIETARIO che le rileva e le confronta con quelle memorizzate nella memoria di massa, vi. nel caso di esito positivo viene processato il BAS che mediante un protocollo di comunicazione verifica l’esistenza del dispositivo INTERLOCUTORE e ricevendo il messaggio di ricerca inviato dal BAS (20) del dispositivo INTERLOCUTORE, risponde con un messaggio di ACK, vii. viene inoltrata dal BAS del dispositivo PROPRIETARIO al BAS del dispositivo INTERLOCUTORE una richiesta delle autorizzazioni con ciò attivando le procedura di inizio della fase di Identificazione dell’utente INTERLOCUTORE. viii. il BAS del dispositivo INTERLOCUTORE trasmette al BAS del dispositivo PROPRIETARIO le Info Cards (71) che contengono le notizie anagrafiche e i diritti dell’utente PROPRIETARIO, ix. il BAS del dispositivo PROPRIETARIO predispone le porzioni di memoria di massa e di memoria di massa sicura relative, seguendo le indicazioni presenti nei dati “Utente†(52) alla modifica delle informazioni di sua competenza, x. l’applicazione di utente del dispositivo PROPRIETARIO viene processata e vengono avviate le funzionalità relative. xi. l’applicazione di utente del dispositivo PROPRIETARIO richiede la memorizzazione eventuale di file digitali provenienti da unità di memoria diverse da quelle dell’unità di identificazione ed autenticazione originaria (4), nella partizione della memoria di massa del dispositivo PROPRIETARIO abilitata in funzione dei diritti dell’utente INTERLOCUTORE, xii. inoltre tale file digitale à ̈ firmato digitalmente utilizzando la firma digitale dell’utente INTERLOCUTORE, in modo che si possa verificare l’autenticità del documento e l’integrità del documento, xiii. il BAS del dispositivo INTERLOCUTORE richiede al BAS del dispositivo PROPRIETARIO il certificato digitale acquisendo così la chiave pubblica dell’utente PROPRIETARIO, xiv. il BAS del dispositivo INTERLOCUTORE firma il documento con la chiave privata memorizzata nel dispositivo INTERLOCUTORE riferito all’utente INTERLOCUTORE, xv. il BAS del dispositivo INTERLOCUTORE prima di inoltrare il file al BAS del dispositivo PROPRIETARIO lo cifra con la chiave pubblica del PROPRIETARIO, xvi. il BAS del dispositivo PROPRIETARIO presenta il contenuto del file quando l’applicativo di utente del dispositivo PROPRIETARIO la richiede e può verificare l'autenticità di un documento: per farlo, decifra la firma del documento con la chiave pubblica del mittente, ottenendo l'impronta digitale del documento, e quindi confronta quest'ultima con quella che si ottiene applicando la funzione hash al documento ricevuto; se le due impronte sono uguali, l'autenticità e l'integrità del documento sono garantite, xvii. il BAS del dispositivo PROPRIETARIO opera senza memorizzare mai la chiave privata dell’utente dispositivo INTERLOCUTORE, garantendo la sicurezza della transazione, che si svolge tutta in locale, xviii. il BAS del dispositivo INTERLOCUTORE memorizza nella propria memoria di massa i dati relativi alle operazioni effettuate che costituiscono un log delle transazioni consultabile off-line anche in assenza del dispositivo PROPRIETARIO, in caso di richieste di modifiche di record da parte dell’applicativo di utente del dispositivo PROPRIETARIO i record essendo memorizzati nel Data Base gestito direttamente dall’applicativo di utente i cui diritti di accesso sono determinati nel punto vii precedente.
  11. 11. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate secondo ciascuna delle rivendicazioni precedenti caratterizzata dal fatto che nella procedura di LETTURA le notizie memorizzate nel dispositivo, i due utenti PROPRIETARIO e INTERLOCUTORE possono visualizzare i dati contenuti nei dispositivi in modo indipendente, non essendo richiesta la presenza di entrambi i relativi dispositivi nello stesso istante, nel caso d’uso di visualizzazione delle informazioni contenute nel dispositivo INTERLOCUTORE essendo previste le fasi operative in cui: a. il dispositivo INTERLOCUTORE à ̈ inserito nel BOX PC e il Sistema Operativo del BOX PC abilita il supporto esterno e processa il file eseguibile, relativo all’applicativo dedicato, che à ̈ memorizzato nella zona del file system del dispositivo INTERLOCUTORE relativo, b. si avvia il processo di enrollement per il riconoscimento dell’utente che viene invitato a presentare le proprie caratteristiche biometriche, al dispositivo INTERLOCUTORE che le rileva e le confronta con quelle memorizzate nella memoria di massa, c. l’applicazione di utente del dispositivo INTERLOCUTORE viene processata e vengono avviate le funzionalità relative, d. possono essere richieste le funzioni di visualizzazione delle informazioni e il BAS del dispositivo INTERLOCUTORE recupera dalla propria memoria di massa le notizie delle operazioni effettuate sui vari dispositivi PROPRIETARI, e. possono essere altresì richieste funzioni di modifica o integrazione alle informazioni presenti, e nel caso d’uso da parte dell’utente PROPRIE-TARIO f. il dispositivo PROPRIETARIO à ̈ inserito nel BOX PC e il Sistema Operativo del BOX PC abilita il supporto esterno e processa il file eseguibile, relativo all’applicativo dedicato, che à ̈ memorizzato nella zona del file system del dispositivo PROPRIETARIO relativo, g. si avvia il processo di enrollement per il riconoscimento dell’utente che viene invitato a presentare le proprie caratteristiche biometriche e, nel caso fosse richiesta, anche la password a garanzia di un’autenticazione di tipo “strong†, al dispositivo PROPRIETARIO che le rileva e le confronta con quelle memorizzate nella memoria di massa, h. l’applicativo di utente del dispositivo PROPRIETARIO viene processato e vengono avviate le funzionalità relative, i. possono essere richieste le funzioni di visualizzazione delle informazioni e il BAS del dispositivo PROPRIETARIO recupera dalla propria memoria di massa le notizie delle operazioni effettuate sui vari dispositivi PROPRIETARI.
  12. 12. Tecnica di controllo per la gestione e la diffusione controllata di informazioni riservate secondo ciascuna delle rivendicazioni precedenti caratterizzata dal fatto di essere utilizzata nel settore medico sanitario prevedendo che: a- il proprietario - vale a dire il paziente - possa solo visionare i dati sanitari memorizzati sul proprio supporto di memoria ma non possa modificarli o aggiungerne altri, e che b- l’interlocutore - vale a dire il medico - che ha in dotazione un altro supporto di memoria à ̈ autorizzato sia alla visualizzazione che alla scrittura ed all’aggiornamento di tutti i supporti di memoria proprietari dei pazienti che fanno capo alla sua funzione di interlocutore.
ITRM2009A000267A 2009-05-26 2009-05-26 Metodo di controllo per la gestione e la diffusione controllata di informazioni riservate digitali contenute in supporti elettronici portatili. IT1394439B1 (it)

Priority Applications (4)

Application Number Priority Date Filing Date Title
ITRM2009A000267A IT1394439B1 (it) 2009-05-26 2009-05-26 Metodo di controllo per la gestione e la diffusione controllata di informazioni riservate digitali contenute in supporti elettronici portatili.
PCT/IT2010/000044 WO2010137047A1 (en) 2009-05-26 2010-02-10 Method for managing and controlling access to confidential information contained in portable electronic media
US13/322,036 US8689005B2 (en) 2009-05-26 2010-02-10 Method for managing and controlling access to confidential information contained in portable electronic media
EP10711728A EP2435941A1 (en) 2009-05-26 2010-02-10 Method for managing and controlling access to confidential information contained in portable electronic media

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ITRM2009A000267A IT1394439B1 (it) 2009-05-26 2009-05-26 Metodo di controllo per la gestione e la diffusione controllata di informazioni riservate digitali contenute in supporti elettronici portatili.

Publications (2)

Publication Number Publication Date
ITRM20090267A1 true ITRM20090267A1 (it) 2010-11-27
IT1394439B1 IT1394439B1 (it) 2012-06-15

Family

ID=41591652

Family Applications (1)

Application Number Title Priority Date Filing Date
ITRM2009A000267A IT1394439B1 (it) 2009-05-26 2009-05-26 Metodo di controllo per la gestione e la diffusione controllata di informazioni riservate digitali contenute in supporti elettronici portatili.

Country Status (4)

Country Link
US (1) US8689005B2 (it)
EP (1) EP2435941A1 (it)
IT (1) IT1394439B1 (it)
WO (1) WO2010137047A1 (it)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8091138B2 (en) * 2007-09-06 2012-01-03 International Business Machines Corporation Method and apparatus for controlling the presentation of confidential content
IT1394439B1 (it) * 2009-05-26 2012-06-15 Lentini Metodo di controllo per la gestione e la diffusione controllata di informazioni riservate digitali contenute in supporti elettronici portatili.
US8589264B2 (en) * 2009-10-19 2013-11-19 International Business Machines Corporation Token licensing mapping costs to enabled software tool features
US20130212381A1 (en) * 2012-02-15 2013-08-15 Roche Diagnostics Operations, Inc. System and method for controlling authorized access to a structured testing procedure on a medical device
US8989376B2 (en) * 2012-03-29 2015-03-24 Alcatel Lucent Method and apparatus for authenticating video content
US9177129B2 (en) * 2012-06-27 2015-11-03 Intel Corporation Devices, systems, and methods for monitoring and asserting trust level using persistent trust log
US9300644B1 (en) * 2013-02-22 2016-03-29 Symantec Corporation Knowledge-based authentication based on tracked credential usage
US20150127593A1 (en) * 2013-11-06 2015-05-07 Forever Identity, Inc. Platform to Acquire and Represent Human Behavior and Physical Traits to Achieve Digital Eternity
US10236079B2 (en) 2014-05-30 2019-03-19 Apple Inc. Managing user information—authorization masking
US10580521B1 (en) 2015-07-22 2020-03-03 Medris, LLC Emergency information and identification device and method
US20210160230A1 (en) * 2015-12-01 2021-05-27 Integem Inc. Methods and systems for conducting multi-user personalized, interactive and intelligent searches
US9942042B1 (en) * 2016-03-18 2018-04-10 EMC IP Holding Company LLC Key containers for securely asserting user authentication
US10476674B2 (en) 2017-05-18 2019-11-12 Linden Research, Inc. Systems and methods to secure searchable data having personally identifiable information
US10410015B2 (en) * 2017-05-18 2019-09-10 Linden Research, Inc. Systems and methods to secure personally identifiable information
US10885173B2 (en) 2019-06-04 2021-01-05 Nant Holdings Ip, Llc Content authentication and validation via multi-factor digital tokens, systems, and methods
IT202100010241A1 (it) 2021-04-22 2022-10-22 Alosys Communications S R L Metodo e sistema di scambio riservato sicuro di contenuti digitali

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6775774B1 (en) * 1999-12-06 2004-08-10 Bsi 2000, Inc. Optical card based system for individualized tracking and record keeping
US20070006322A1 (en) * 2005-07-01 2007-01-04 Privamed, Inc. Method and system for providing a secure multi-user portable database
US20090076849A1 (en) * 2007-09-13 2009-03-19 Kay Diller Systems and methods for patient-managed medical records and information

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7571472B2 (en) * 2002-12-30 2009-08-04 American Express Travel Related Services Company, Inc. Methods and apparatus for credential validation
US20050197859A1 (en) * 2004-01-16 2005-09-08 Wilson James C. Portable electronic data storage and retreival system for group data
US20070016452A1 (en) * 2005-06-08 2007-01-18 Wilson James B Iii Method, software and device for managing patient medical records in a universal format using USB flash drive and radio telephone auto dialer and siren
GB2440041B (en) * 2006-07-10 2011-08-24 Hes Ltd Memory devices and security systems and apparatus for use with such memory devices
US8731957B2 (en) * 2009-01-09 2014-05-20 Cerner Innovation, Inc. Mobile discrete data documentation
IT1394439B1 (it) * 2009-05-26 2012-06-15 Lentini Metodo di controllo per la gestione e la diffusione controllata di informazioni riservate digitali contenute in supporti elettronici portatili.

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6775774B1 (en) * 1999-12-06 2004-08-10 Bsi 2000, Inc. Optical card based system for individualized tracking and record keeping
US20070006322A1 (en) * 2005-07-01 2007-01-04 Privamed, Inc. Method and system for providing a secure multi-user portable database
US20090076849A1 (en) * 2007-09-13 2009-03-19 Kay Diller Systems and methods for patient-managed medical records and information

Also Published As

Publication number Publication date
EP2435941A1 (en) 2012-04-04
US8689005B2 (en) 2014-04-01
IT1394439B1 (it) 2012-06-15
WO2010137047A1 (en) 2010-12-02
US20120066508A1 (en) 2012-03-15

Similar Documents

Publication Publication Date Title
ITRM20090267A1 (it) Metodo di controllo per la gestione e la diffusione controllata di informazioni riservate digitali contenute in supporti elettronici portatili.
US20210409221A1 (en) Portable Biometric Identity on a Distributed Data Storage Layer
US10579824B2 (en) Secure access to individual information
Zhang et al. Security models and requirements for healthcare application clouds
US11531781B2 (en) Encryption scheme for making secure patient data available to authorized parties
US20190097812A1 (en) Architecture and Methods for Self-Sovereign Digital identity
US20100042846A1 (en) Trusted card system using secure exchange
US7661146B2 (en) Method and system for providing a secure multi-user portable database
JP5623388B2 (ja) セキュアなデータ・キャッシュ
WO2020000825A1 (zh) 医疗数据处理方法、系统、计算机设备及可读存储介质
Hupperich et al. Flexible patient-controlled security for electronic health records
Becker Information governance in NHS's NPfIT: A case for policy specification
Satybaldy et al. Decentralized identity management for e-Health applications: state-of-the-art and guidance for future work
WO2014201599A1 (zh) 一种用于信息的认证授权和安全使用的方法与系统
Deng et al. Towards a cross‐context identity management framework in e‐health
JP2002279062A (ja) 個人情報管理システム及び個人情報管理方法
JP2000331101A (ja) 医療関連情報管理システム及びその方法
Elngar et al. Data protection and privacy in healthcare: research and innovations
Mundy et al. Secure knowledge management for healthcare organizations
Rai Security Issues and Solutions for Healthcare Informatics
Santos Securing a health information system with a government issued digital identification card
Prakash Privacy Preserving model for patient centric health record management using chaincode
Sammy et al. Attribute-Based Personal Health Record
Chowdhury et al. A decentralized blockchain-based model to secure confidential medical information
Albahdal Toward secure, trusted, and privacy-enhanced biometrics in the cloud