用于为医疗设备产生访问数据的方法.pdf

本发明涉及一种用于为医疗设备产生仅一次性有效的访问代码的方法，该设备具有用于存储患者数据的存储器。其中根据设备内部的标志产生查询密钥并传送给授权实体，该授权实体根据该查询密钥产生所属的释放密钥，该释放密钥在输入该设备之后就可以实现访问，并且内部标志改变，由此该访问代码不能使用第二次。

1.  一种用于为医疗设备产生访问代码的方法，该设备具有用于存储患者数据或其它要保护的数据的存储器，其中该访问代码仅一次性有效，其特征在于该方法具有步骤：
a)在设备方根据至少一个设备内部的标志产生查询密钥，
b)将该查询密钥传送给授权实体
c)通过该授权实体根据该查询密钥产生释放密钥
d)将该释放密钥传送给所述设备
e)通过所述设备对访问进行释放，以及
f)在设备方随机更改至少一个设备内部的标志。

2.  根据权利要求1所述的用于产生访问代码的方法，其特征在于，所述至少一个设备内部的标志的随机更改通过借助随机发生器产生所述标志来进行。

3.  根据权利要求1所述的用于产生访问代码的方法，其特征在于，所述至少一个设备内部的标志的随机更改通过从预定义的标志列表中随机选择来进行。

4.  根据权利要求1至3中任一项所述的用于产生访问代码的方法，其特征在于，借助数据载体或者在线数据传送来传送查询密钥或传送释放密钥。

用于为医疗设备产生访问数据的方法
技术领域
本发明涉及一种用于为医疗设备产生访问数据的方法，该医疗设备使用安全的存储器来存储医疗数据或患者数据。
背景技术
对在医疗设备上采集或存储的患者数据的访问受到很严格的法律要求的限制。最低要求始终是要对设备用户进行识别和授权才允许查阅这些数据。但是，实践中相关的麻烦是这种访问权限的失去(例如忘记密码，之前的用户离开医院/诊所而没有递交正确的信息)。
授权访问的数据(大多为：用户代码/密码)原则上可以在安全地点(保险柜中的密封信封)保存。但是由于定期更换密码属于基本的安全措施，因此在实践中很难保证所存放的密码是当前的。该方法还以(之前的)用户的合作为前提，而这种合作是不必给出的。
一种常见的方法在于设置隐藏的、仅对有限的人群(例如维护人员)公开的无授权访问(例如保密的键组合，具有不可更改密码一“保密通用密钥”的维护-用户代码)，这种访问本身允许直接访问数据，或者允许对已失去的对已知或待定义的值的访问进行复位。该方法无法保证对患者数据进行有效和可跟踪的保护，因为这种保护取决于只有值得信任的人员才知道该保密通用密钥。这在实践中是无法实现的，尤其是已进行的保密几乎无法得到证明。
虽然使用物理保护的密钥(例如作为USB端口或并行端口上的“Dongle”(解密器))防止了不受控制地传递访问信息(例如在保密通用密钥的情况下)，而且使得对借助该物理保护的密钥进行的操纵(对已失去访问的复位)的证明变得容易。但另一方面这种使用需要被授权人(例如被授权的维护工作人员)的物理在场，这花费了时间和金钱。同时只要一个物理保护的密钥被盗或者被复制，对所有设备的访问保护都被破坏了。
发明内容
通过本发明解决的技术问题在于，无需物理地操纵存储数据的设备就能受控地释放已失去的访问权限。
“受控的释放”在此意味着，该方法不可能被滥用于获得对其它设备而非被识别的设备的访问，而且该访问方法在其应用之后马上不再有效，也就是说即使对已被识别的设备也不会显示“通用密钥”。
该技术问题通过一种用于为医疗设备或系统产生仅一次性有效的访问代码的方法解决，该方法具有步骤：
a)在设备方根据至少一个设备内部的标志产生查询密钥
b)将该查询密钥传送给授权实体
c)通过该授权实体(Autorisierungsinstanz)根据该查询密钥产生释放密钥
d)将该释放密钥传送给所述设备
e)通过所述设备对访问进行释放，以及
f)在设备方随机更改至少一个设备内部的标志。
在此优选的是，所述至少一个设备内部的标志的随机更改通过借助随机发生器产生所述标志来进行。
替换的，所述至少一个设备内部的标志的随机更改通过从预定义的标志列表中随机选择来进行。在此，可以借助数据载体或者在线数据传送来传送查询密钥或释放密钥。
授权实体优选的是计算机或其它信息处理单元，该授权实体能由设备制造商或者由设备制造商授权的站点访问，并且能够以本身公知的方式和方法检查对所述访问代码进行请求的权限，例如通过检验该设备是否按规定购得，和/或例如是否存在维护或维修合同，和/或被授权访问该设备数据的人是否提出了对访问代码的请求。
附图说明
下面借助优选实施例解释本发明。
图1示意性示出按照本发明方法的流程。
具体实施方式
医疗设备具有存储器1，该存储器包含至少一个(以足够的概率)明确的(eindeutig)、优选不可预测的内部标志K_i。根据该标志K_i在计算单元中产生查询密钥S_A(K_i)。该查询密钥可以是具有任意长度的符号链或者数字序列或诸如此类，其中优选具有至少10个符号，可替换的还可以是字节序列，该字节序列还包含不能打印的符号。查询密钥通过优选安全的通道2(例如邮件，电话，签名的电子邮件，通过数据载体)发送给授权实体。该授权实体例如可以是客户服务或者设备制造商的维护，该授权实体可以检查查询的授权情况(请求新访问代码的发送者的身份和权限)。通过合适的加密方法D(S_A，S_M)，例如借助保密的主密钥S_M利用计算机从该查询密钥中产生释放密钥S_F，e＝D(S_A，S_M)，该释放密钥又通过安全的通道发送回被授权更改该设备的访问代码的客户站点。
在存储数据的设备的软件中实施同样的加密方法和同样的(保密的)主密钥，从而在内部进而对用户来说无法看见释放密钥S_F，e＝D(S_A，S_M)是可以计算出来的。如果该释放密钥与由用户输入并由授权实体计算的释放密钥进行比较而得出相同性S_F，e＝S_F，i，则对该设备的访问代码进行复位，而且对内部标志K_i进行有针对性的但是无法预测的更改。在此过程中，访问代码的复位可以通过不同的方式和方法实现，例如可以设置事先统一的密码，向用户展示新的、有效的密码，或者也允许临时的无密码访问，这种访问直接迫使新密码的定义。
由于内部标志更改或由于其它内部标志，在同一设备/其它设备上重复该流程会产生其它查询密钥。先前使用的释放密钥因此变得没有价值，因此无法滥用。
上面建议的方法提供的对受保护数据的访问与用户的预防措施无关，并且避免了通用密钥的公知缺陷。此外，授权的过程(释放密钥的外部计算)与设备软件的操作相分离，从而不需要维护工作人员在设备上操作，而且与必须获得对通用密钥的访问的人员范围相比，被授权人员(也就是有权操作用于在授权实体上产生释放密钥的外部程序的人)的数量大大减少。
上面建议的方案可以在不同的方向扩展，例如通过直接从设备软件电子存储和/或传送查询密钥和释放密钥(例如作为电子邮件或导入到文件/从文件导出)。
此外，可以按照特定的较大时间间隔(例如一个月一次)设置对内部标志自动的并且与输入有效释放密钥无关的更改。由此没有使用的释放密钥在这段时间过去之后自动失去效用，从而不会存在未授权使用的风险。
用于设置内部标志K_i的方法可以在广泛的范围内变化。可以考虑：
-时间戳、设备标识(例如序列号)以及随机数的组合
-结合随机数对恒定的用户身份数据应用哈希函数(例如MD5或者SHA)-结合随机数使用设备操作系统的常量(例如UID)。
此外，可以修改或扩展用于产生或用于比较释放密钥的方法。可以考虑用签名验证来代替相同性的检查，例如通过使用非对称的加密方法如RSA，在该方法中所传送的查询密钥与“公有”密钥被加密成释放密钥，在存储数据的设备上用“私有”密钥对该释放密钥进行解密，并且将解密结果与查询密钥进行比较。(“公有”和“私有”密钥的概念在此仅涉及在密码学中常用的术语：在本发明的情况中两个密钥都是保密的。)