TW380242B

TW380242B - Method and system for the secure transmission and storage of protectable information

Info

Publication number: TW380242B
Application number: TW086105575A
Authority: TW
Inventors: Martin Witzel; Michael Deindl
Original assignee: Ibm
Priority date: 1996-07-24
Filing date: 1997-04-28
Publication date: 2000-01-21
Also published as: EP0821326A2; CN1086882C; EP0821326A3; EP0821326B1; US6031910A; DE69731338D1; DE69731338T2; JP3273499B2; KR100269527B1; KR980010810A; JPH10198606A; DE19629856A1; CN1179658A

Description

A7 B7 五、發明説明（發明領| 本發明係t gEj 方法及關於一種供可保護資訊之安全傳送及儲存之、特別是藉由一病患卡所得之病患資訊。發明背景_ 貝札病患卡系έ = 要是服務病患的權益。儲存於病患卡卜々個人相關的#垫戈Η 两〜Τ上心 , Α ]食樂資料特別地敏感，因此值得保護。此外，病心通¥處於非常虛弱的狀態而無法明確地處理本身之保 & 因此，必項採用法律及協議以適當的設定可支援病患保沒這二敏感的卡之合法性與技術架構（framew〇rk)。 w片卡提供所有必須的控制機制，經由這些控制機制來保瘦叩片上之非揮發性記憶體之資料^於一方面，晶片有效地被保護以避免外部的實際存取；另一方面，作業系統監控’貝料的所有存取’且假如使用者不能被授權及/或不能輸入一 PIN時’則拒絕讀取及/或寫入之意圖。因此晶片防止受保護的資料經由其資料線而由外部讀取。由於其所認定的高安全度，所以使用晶片卡於辨識系統’主要地在財經領域。光學記憶體晶片卡之光學儲存利用已知用於C D及C D -ROM之技術。由於其高儲存能力，使得它讦適合大量資料的错存。然而，此儲存的一個缺點是對於資料不提供貫際的保護；任何具有讀取器者皆可讀取資料。雖然如此，該資料可被邏輯地保護，其中資料可以加密形式儲存。資料的編碼亦為人所知曉係技術名詞「密碼學j (crypt〇graphy) -4 本紙伕尺度適用中國國家標孪（CNS ) A4規格（210X 297公釐） I I I —II II II« - - —I — - - - I -- I— I) -II ^—» -3 *vd (請先閱讀背面之注意事項再填寫本頁) 經濟部中央標牟局員工消费合作社印製 A7 A7 經濟部中央標準局員工消費合作社印製五、發明説明（所有對稱加密葙解密鍵之機密分配問題為所牽涉之當事者(Pariy)間的可古刀。想要彼此通訊之當事者數目愈大，不 ’克服的鍵管·理pE) m、相π Dl靖亦變得愈大。如果所有參與者都使用的鍵’則問題較容易解決，然而’這也意味著每個參键^讀取兩個參與者之間的經加密的資料，如果可用此朱盥部成功地存取，則整個系統將為開放的。假如每個 ^…有自己的鍵，成功的存取將限制於由一鍵持有者。送及接收的資訊。其他的鍵持有者仍被保護。當鍵交換的問題不只牽涉一個傳送者及多個接收者(即】個傳送者對N個接收者），而是n個傳送者對N個接收者間之關係時，則就更有問題了。例如，每個醫師可為資訊的傳迗者，且任一其他的被授權醫師必須可讀取資訊。如上所述’醫師們應無條件的同意—鍵，該键可在他們通訊之前在整個系統中使用。另一方面’所有參與的醫師不可預先與另一位交換他們的鍵。 iv洲專利申叫案e P 〇 6 6 8 5 7 8中播述一記憶體與選擇性資訊系統，用以傳輸敏感資料該系統包括：一光學記憶體卡，在其上用以專有儲存之一空間性定義的儲存欄被安摒至少一至每個鍵存取；至少一供具多個鍵_辨識功能之光學記憶體卡的讀取/寫入裝置，其中每個鍵辨識功能指到包含於讀取/窝入裝置之每個格式化功能，並致動（activate)該讀取 /寫入裝置以與指派給每一個之碼相結合，其中每個格式化功能指到一光學卡的資料儲存欄，並使其上儲存的音料能基於格式化資料而被讀取。此過程之一缺點為於光學健存 -5- 本紙張尺度適用中国國家標毕·（ CMS ) A4规格（210 X 297公釐）

A7 A7 經濟部中央樣準局員工消費合作社印^ 五、發明説明（3 ) 媒體上有一鍵區域及一資料區域。因迚+西I, w T U. Λ U此需要兩個對於光學错存媒體之不同存取，以讀取鍵及資科。於£ρ Μ"⑺所述之過程係使用gf定的鍵，㈣這些鍵係根據系統之特定程序而預定。讀取/窝人裝置係為應使用那一個鍵以供決定的重要要素。此取決於碼、格式化功能及決定功能。通常本過程只限定於光學儲存媒體。因此，本發明之-目的係提出—種用以傳輸要求保護之資訊的系統及方法，其允許多個使用者之間進行資訊最大交換，但該系統/方法確保只允許那些被授權者進行對該資訊的進入及讀取。 ’ 此目的係由申請專利範圍獨立項之特徵所達成。本發明 (有利的具體實施例係於申請專利範圍附屬項中敘明。在本發明中，加密的資料及相關的鍵儲存於同—個枰案中。以此方式，加密的資料就可在無安全風險的情況;^ 存資料庫的任一位置中，例如於一電腦中或可透過網路分送，而不管最初記錄之儲存媒體。在檔案中， : . . 」$不同機密程度的資料，這些資料只能由特定存取被授權者所讀取或寫入。資料以一隨機鍵予以加密儲存。隨機鍵的部分係編碼在晶片中並與資料一起儲存。以此方式， ' : 、 ”打的解密變知更加地困難。鍵產生的方法只於晶片卡中進行。因被相:權的人總能對其資料的存_取有完整的控制。圖式之簡單說明本發明的幸父佳實施例係藉由圖式予以詳加敛明，其中，圖1係為根據本發明之檔案結構之圖解； -6- }紙張尺i適用f 1國家*^ ( CNS) Α4規格（21(3>; 297公瘦） (請先閱讀背面之注意事項再填寫本頁) 訂 ! 經濟部中央標準局員工消費合作社印製 A7 ~ ~ " " ------------B7 五、發明説明（4 ) 圖2係為根據本發日日ό — 、. 發月所顯不資訊及傳送系統之讀取與寫入之流程圖；以及圖3為根據本發明‘ & 上所而硬體之辅助，顯示資訊及傳送系統之操作方法。埜明之詳細説明广顯示根據本發明之檔案架構，其包含讀寫頭及資料記 "彔（Record)舉例而τ ’讀窝頭包括控制資料摘貝料騎可包含多個資料型式（了㈣卜η，其错存於資料 1己錄中。每個資料型式以自身的隨機鍵加以編碼。此隨機鍵及必Θ被0¾ —部分控制資料係、依序地以—儲存於晶片卡内的固$鍵加以加密。日％片卡本身加密控制資料及隨機鍵’以此方式’機密的固定鍵從不離開晶片卡。丰j而。包含於檔案中的資料型式之秘密段（stage)係置於g理櫊1至7中’亦即，每個資料鍵型式之特徵在於本身具：相關鍵之秘密段。舉例而t，具有一些總是可被讀取的貝料型式’像是緊急資料 '然後具有一些只在病患允弁及/或特定使用者群組存取時才可讀取的資料型式。哪些資料將被歸類於哪一種資料型式將取決於相關國家的資料保護互法。依一般的法則，每個資料型式應只被特定的使用者群組存取β例如，藥劑師應只能存取他們所須的資料。具有存取一特定資料型式的—被授權使用者群组係定義於官理欄中。舉例而言，可以決定藥劑師具有對於處方箋及醫師對禁止徵候（contraindlcatl〇ns)方面之建議的存取。因此，可建立以下的資料型式：本紙伕尺度適用中國国家標準（CNS ) M現格（210x297公釐） --- J1^1 m - In ---- 一衣------- (請先閲讀背面之注意事項再填寫本頁) 經濟部中央標準局員工消費合作社印製 A7 B7 五、發明説明（5 ) 形式0資料-資料皆為可讀的-資料未被加密。形式1資料-資料只在病患輸入PIN之後才為可讀的。形式2資料-資料只有在具特殊專長之醫師的授權之後並輸入病患的PIN之後才為可讀的。形式3資料-如形式2資料；這裡的資料只有在具有特定專長的醫師之授權之後才可被讀取。形式4資料-預留以後使用。形式5資料-舉例而言’資料可由醫師及藥劑師讀取而不需要病患的PIN。此資料型式可導向特定群組的成員，例如只為放射線師、藥劑師或所有的人。一些被精確地指定的目標群組亦可列成表。所提及的資料型式可儲存於不同的資料記錄中。而且，不同特質群組的資料或只為特定目標群組的資料係保持於不同的檔案中。每個資料記錄包括控制資料，從控制資料可決定資料記錄形式（緊急資料/藥劑師資料/臨床資料）' 所含資料型式 0... 5、寫下了貝料e己餘、姓名 '身份、資料、時間以及資料之目標群组的醫師的專長。可讀取資料的目標群組亦可被定義為「全部」（all)。每個資料型式以本身的隨機鍵力口由。此隨機鍵及一部份必須被保護的控制資料，就其本身而言，以一儲存於晶片卡之固一定鍵加密。晶片卡本身會力口密控制資料及隨機鍵；結果，秘密的固定鍵從不離開晶片卡。在晶片本身已檢查是否可授權醫生取用保持於控制資訊之目標群組之後，僅晶片加密該控制資料及隨機鍵，假 -8- 本纸法尺度適用中國國家標準（CNS ) Α4規格（210X 297公t ) ---------1衣------訂------.-ί (請先閱讀背面之注意事項再填寫本頁〕 A7 B7 五、發明説明（6 ) 如醫師不屬於此目標群組，他只能依病患之允許來取用此等資料。圖2以流程方塊圖的形式描述讀取及寫入資料的個別步驟。本發明之系統及方法的讀取及寫入作業的前提要件為病患卡、使用者卡、讀取及寫入裝置及控制處理程序之電腦系統。特別地適用於病患卡的是光學卡。任何其他的晶片卡亦可被使用。病患卡最好包含一光學之大量儲存媒體及晶片，其包含加密編碼功能。一光學晶片卡的晶片尚可作為受保護的通訊頻道，透過該頻道當兩組鍵傳送一键時，其可秘密地儲存該鍵。每個病患卡包含其本身的記錄鍵 '•袁X錄键甚至不需要被卡提供者知道。病患卡不對外揭不4鍵。病患卡封鎖如密及解密功能一直到—位醫師適當地被授權為止。在讀取一檔案時，醫師必須持有一使用者卡。使用者卡使醫師在-特定的專業上合法地成為被授權的醫師。使用者卡被一讀取器或讀取厂窝入裝置所讀取。從技術上而言，使用者卡對於每個合法程序為非絕對必要的，因為醫師的使用者群组資訊可能已在醫師系統中被設定為安全形式。經濟部中央標，华局員工消費合作社印製 1^—^— ——^1 »^—1— n^v imtti 1 I— mK 1 (請先閱讀背面之注意事項再填寫本頁) Π被;病患卡插入一讀取/寫入裝置中。假如 :二系、况首先給醫師存取可被每個使用者群組存 ^ 這些貝料亦是未被j口密的（緊急資料）。師11醫師要求存取受保護的資料，使用者卡必須包本醫師所屬群組之資訊 '^ ° ^ 對於此要求… ’皮膚科醫師、肺科醫師等等）。系、说從使用者卡取得使用者所屬之使用者群 A7 A7 植濟部中央標準局員工消费合作社印製五、發明説明（ : = 並從病患卡上叫出被授權的命令。病患卡 :::用：疋否屬於所提的使用者群組，並保持病患卡上 =訊。❹者可屬於多個使用者群组。系統接著讀取— =患醫藥資料的檔案’並將權案分為資料表頭(― 錄°接者將具有—解密命令之控制資料的資料表 =.运至病患卡。在病患卡解密資料表頭之前，其檢測是、：有任何授權。在具有一被授權而且使用者與資料表頭目L群組 < 使用者群組—致的情況下，將解密的資料表頭 ^三系’先系統從資料表頭取得所要的鍵，並將它傳送至 :密：：患卡。解密鍵被傳回系、统，於是系統現在以一適當的解密程式解密相應資料型式之資料記錄。在寫入貝料時，處理程序係完全相反，不同的是該鍵由病患：上的資料鍵產生器所產生。以此方式，系統首先編馬•袁《料ό己錄，其中資料記錄的每個資料型式以本身的隨械键加在。遠鍵然後傳送至加密的病患卡。資料表頭然後被建立’而且同樣地系統傳送資料表頭至病患卡上加密。、'Ό不為—具有加密鍵與加密控制資料之加密資料記錄，其亦為存取資料所需。舉例而言’可設置為只有醫師具有將醫藥資料放到病患卡的權利’或者藥劑師只具有限制的寫入權利，且他們只能讀取及窝入與其專業相關之，料。因此，假如他們已賣出藥的話’他們可取消一處方，可以儲存製造商註解及批 ;欠號*碼等等•在醫師將蝥藥資料窝入卡之前，病患必須先 ^ 因此醫師具有和病患確認他可以在卡上寫入什麼資 -10- 本紙乐尺度適用中網家縣（CNS ) Α4規格U1QX297公整） I 「-,---In I - - - ! I^衣---I 1-— - -II _ ,1τ (請先閱讀背面之注意事項再填将本頁} 經濟部中央嘌準局員工消費合作社印製 A7 ----〜__B7 五、發明説明（8 ) 料的義務，使得病患可給予其同意或者不同意。假如醫師希望在病患卡上寫入資料，他必須為一被授權的醫師。此由使用者卡之讀取程序中產生效用。從使用者、、獲取相關的特質群組。病患同樣地必須由輸入其PIN 做為被授權病患卡之所有者，並在醫師可寫入一檔案之前給予其允許。給予適當的被授權键之後，病患卡將建立為相^於一特定專業群組之醫師。假如醫師在幾個領域中是專家時，他就可擁有該等專業領域的授權鍵。此具有加密鍵的加密資料記錄及加密控制資料可被寫至光子的儲存媒豆或光學的儲存卡晶片，儲存於電腦或透過網路傳送。醫師可在具有病患允諾下再次存取此資料。假如原始的資料遺失的話，從光學晶片記錄資料或複製是可能的。圖3顯示一用於保護資料（特別是病患資料）之儲存與傳送之傳送系統及資訊的基本結構。該系統本質上之组成有 —電腦、一病患卡之寫入/讀取裝置、一病患卡、—使用者卡之寫入/讀取装置及一使用者卡。從技術上而言，對於病患卡及使用者卡使用單一的寫入/讀取裝置是可能的。病患資料可儲存於病患卡或任意其他儲存媒體上。假如病患資料儲存於病患卡上，最好使用—光學的大量記憶體。病患卡最好為具有一光學的大量記二隐體之晶片卡。—窝入或讀取資料總是必需的。下面重要的資料/功能係儲存於病患卡上··相關使用者群組的被授權键、用於資料鍵的加密键、用於資料表頭的加密鍵、用於資料键產生及加密與解密功 -11 - 本纸狀度適用中國國家標準（_CNS ) A4規格2丨0X297公餐) ~~~~~~ -- m ' - : ' I - - »1 n -—I» I*^1-1 I I _ ; - - m \-« (請先閲讀背面之注意事項再填寫本頁)

、發明説明 M濟部中央標準局一貝工消費合作社印¾ A7 B7 能的產生器。 ^明係利用病患卡作為說明。‘然而根據本發明權=;:=:，==其中限制的存取本發，適用於:下:;架:=其他機構的特定資科。貝料的所有者可設定並使用不同的安全層次， -資料Y為—特定目標群組或一些目標群組所存取， _以特足的安全層次，讀取的被授權可被實行（例如，以使用者卡）， -=特疋的安全層次，晶片卡的處理器辨識及同意可被 λ行，例如，輸入一 pm。並作為本發明《使用例子，彳以考慮使用一晶片銀行卡，二^存有個人或公司有用的資產。此晶片銀行卡的擁有者只γ允許相關的銀行具有限制的存取權。另一例子可為晶片t用卡。因此，本發明可施用於所有保護資料的儲存與傳达’而不變更根據本發明之方法及系統。本u月可簡單地總結如下。像存於病患卡的資料由加密 '爲馬方法保謾。假如病患已經同意且授權一位醫師，則只有相同的病患卡可再次解密資料。病患卡用以決定醫師是否被抆權之所有資訊係與控制資料與隨機鍵之保護鍵一起儲存於Em片上。日日片把制資料$取並控制加密與解密功能。與資科加密儲存的隨機鍵確保每個資料記錄的分離，且只為被授權者所存取。每個病患卡具有自己的記錄鍵。一資料記錄之隨機键遭受破壞時，卡上的其他的資料記錄及 _ -12- 尺度剌家料（cN，s) (7^77^7公 ^7 (請先聞讀、背面之注意事項再填寫本頁)

A7 A7 B7 五、發明説明（1〇系統的所有其他卡減不被影響。假如加密之鍵被破壞，系統上的所有其他卡的。病患卡上用以被授權的鍵係由病患卡此隨不同病患卡而不同。假如—病患卡用於孩系統的那些鍵將開放。在病电卡成員=其使用者卡授權他們自已。^用操作員定義的群組鍵。只有在醫師以一其PIN號碼同意，醫師才可存取資料。群服務之工作及醫藥特質而變化。貝料可根據保護的需求不同地分類。使用者是否被授權及病患是否同意。一病患卡的隨機键的資料應仍為安全的特徵所衍生，因破損，只有尚未使方面，健康服務的者卡包含一組系統鍵被授權且病患以组鍵根據其於健康分類的不同係根據 n In» · -1 I ml 1 n 士&^, ^^—^1 —^ϋ in mt ^ —r (請先閱讀背面之注意事項再填寫本貢) 經濟部中央標準局員工消費合作社印^ -13 本紙張尺度適用中---- 伟丰（CNS ) A4規格（210X29?公釐）

Claims

沾vid焱2 '申請專利範圍

一裡储存及資訊傳送系統一電腦，其連接：被抆權終端機，經由該被授授權，隹、%機’可實施使用者之讀取/寫入終端機，經由該讀取 ^ 於電腦與—冩入、柘機，ΐ料可晶片卡，以及擁有者可被指定給該至少一儲存媒體，其中資料可於電腦與儲存媒體間其特徵在於：經濟部中央標率局員工消費合作社印策一晶片卡包含加密編碼鍵時 2. 如申請專利範該系統包含一藉由辨識終端確認特別是一識方法。 3. 如申請專利範系統包含一實行。 4. 如申請專利範該儲存媒體係 5. 如申請專利範該儲存媒體係 -產生器，經由該產生器，當電腦要求— ，一新的加密編碼鍵可被產生。圍第1項之儲存及資訊傳送系統，其中連接至電腦的辨識終端機，機，一晶片卡擁有者之確認可被輸入，該密碼或一個人的辨識號:碼或S Μ定學辨圍第1項之儲存及資訊傳送系統’其中被授權卡，藉由該被授權卡，被授權可被圍第1項之儲存一及資訊傳送系統配置於晶片卡上。圍第1項之儲存及資訊傳送系統設計為一固定的磁碟記憶體。其中其中欠〆訂i^.· (請先閲讀背面之注意事項再填寫本頁) 14- 本纸張尺度適用中國國家標準（CNS ) Α4現格（2Ι0Χ297公釐） ---—-- 沾vid焱2 '申請專利範圍

一裡储存及資訊傳送系統一電腦，其連接：被抆權終端機，經由該被授授權，隹、%機’可實施使用者之讀取/寫入終端機，經由該讀取 ^ 於電腦與—冩入、柘機，ΐ料可晶片卡，以及擁有者可被指定給該至少一儲存媒體，其中資料可於電腦與儲存媒體間其特徵在於：經濟部中央標率局員工消費合作社印策一晶片卡包含加密編碼鍵時 2. 如申請專利範該系統包含一藉由辨識終端確認特別是一識方法。 3. 如申請專利範系統包含一實行。 4. 如申請專利範該儲存媒體係 5. 如申請專利範該儲存媒體係 -產生器，經由該產生器，當電腦要求— ，一新的加密編碼鍵可被產生。圍第1項之儲存及資訊傳送系統，其中連接至電腦的辨識終端機，機，一晶片卡擁有者之確認可被輸入，該密碼或一個人的辨識號:碼或S Μ定學辨圍第1項之儲存及資訊傳送系統’其中被授權卡，藉由該被授權卡，被授權可被圍第1項之儲存一及資訊傳送系統配置於晶片卡上。圍第1項之儲存及資訊傳送系統設計為一固定的磁碟記憶體。其中其中欠〆訂i^.· (請先閲讀背面之注意事項再填寫本頁) 14- 本纸張尺度適用中國國家標準（CNS ) Α4現格（2Ι0Χ297公釐） ---—-- A8 B8 C8 D8 申請專利範圍 6. 如申請專利範圍第i項 ^ 、儲存及資訊傳送系統，复中咸儲存媒體係設計為光學記憶體。〃、中 7. 如申請專利範圍第 ^ 貝又儲存及資訊傳送系統，並中網路中的任一電腦内。路中，而该儲存媒體係設置於言 &:種藉由晶片卡的輔助而可在至少訊〈方法，包括以下步驟： a上儲存J 經由一辨識特性來對使 1文用者杈榷，m辨識特性係一使用者群组， τ丨王你知疋钱由電腦來要求來自晶片卡 ^ + 々丁炙或多個加密編碼鍵，將來自晶片卡的加密編碼鍵傳送給該電腦，經由電腦中之加密編碼鍵來對資料加密，對晶片卡之加密編碼鍵的加密，及將具加密鍵之加密資料記錄儲存於 9. 如申請專利範圍第8项之方法，其+媒-上授權行為係由-被授權終端機及被授權卡所執行，兮被授權終端機連接至電腦而該被 " ^ i 极奴板卡係插入被授權終端機中。經濟部中央標準局負工消費合作社印裝 10. 如申請專利範圍第8项之方法，其中一擔保可被輸入，該擔保特別县抑你1 贮休狩別疋扣個人的辨識號碼或密碼或生物測定學辨識方法。_ Π.如申请專利範園第1 〇項之方法，其中该擔保可在晶片卡實行加密或解密之前輪入。 12.如請專利範圍第8項之方法，其中 -15- 本紙張尺度適用中國國家榡準（〇奶）八4規/格（21〇父297公釐） 8 8 8 8 ABCD ----——-_ 、申請專利範圍口岔編碼鍵係藉由一卡鍵的輔助而被加鍵係設置於該晶片卡上。其中孩卡 J— H —1 n κ ----表-I I I--訂 (諳先閔讀背面之注意事項再填寫本頁) 13.如申請專利範圍第8項之方法，其中一資料表頭係於電腦中產生，以用於每個 ::表頭指示：個人寫入所屬的使用者群组或=資： s己錄必需的要求。與π貝科 • 士申叫專利範圍第12或1 3項之方法，其中 =卡键所加密的加密編碼鍵係設置於資料。 15.如申請專利範圍第14項之方法，其中、加密資料表頭與加密資料記錄係组合成一檔案儲存於儲存媒體上。末而且此如申請專利範圍第8項之方法，其中孩電腦係設置於電腦網路中，而儲 ,^ Τ 爾存媒體係設置於網路中的任一電腦内。 Π·種經由一晶片卡的輔助而從一搜左 ^ ^储存媒體讀取資訊的方法’該方法包括以下步驟：經由-辨識特性來對使用者授權，該，特性係指定給一使用者群组，經濟部中央標準局員工消費合作社印裝將檔案從儲存媒體傳送至電腦，將檔案劃分為一資料表頭万 , 的資料記錄，將貝枓表頭從該電腦傳送至鐘晶片卡，經由該晶片卡上的卡鍵之來對資料表夯，從已解密資料表頭從該晶片卡傳送至電" 從該已解密資料表頭決定目標使用=知， $碎組，及 16- 姆尺度適用中國國家榇準^7^— ( Ο 8 u^ ^ g D8 六、申請專利範圍假如使用者之使用者群組及資料表頭之目標使用者群組為相同及/或其他可自由存取決定的限制被實行，則經由一加密編碼键來對加密資料記錄解密。 J— m —.«Ί» m In I— 1^1 n I ^------- 丁 1^? 、1' (請先閔讀背面之注意事項再填寫本頁) 經濟部中央標卒局員工消費合作社印製 -17- 本紙張尺度適用中國國家標準（CNS ) A4規格（210X 297公釐）