用于交换医疗数据的移动装置的验证系统的制作方法

用于交换医疗数据的移动装置的验证系统的制作方法
【专利摘要】本发明涉及验证系统、移动电子装置(G)、实体化单元(I)和方法，以及计算机程序产品，用于相对于与用于存储医疗数据组的资源库(12)进行数据交换的中心注册处(10)验证患者。在移动装置(G)上载入且安装个体化的应用程序(V)以向注册处(10)通告带有签名(SIG)的消息。签名可在注册处(10)内被触发，以检验远处患者的真实性以执行数据访问。
【专利说明】用于交换医疗数据的移动装置的验证系统

【技术领域】
[0001] 本发明基于医疗技术和信息技术的领域，且涉及用于相对于中心服务器验证移动 电子装置的验证系统，以用于医疗数据的被保护的数据交换。

【背景技术】
[0002] 在被使用于绝大多数临床医院中的目前的现代医疗系统中，数据作为数字数据存 在且也通过相应的网络以数字形式交换。与先前的、例如在放射学中仍将患者的X光照片 以X光片的形式保存且存储的系统不同，目前将所采集的放射图像数据数字化地采集、进 一步处理，和/或传递到另外的（在下文中也称为外部的）实体处。在医疗中，数字化数 据处理的优点是医疗数据组的很简单且灵活的进一步传输和可支配性实现。数据交换通 常基于专用的协议，例如 DIC0M 协议（DICOM :Digital Information and Communicator! in Medicine医学数字成像和通信）。如果患者已离开临床医院，则对于患者也重要的是，可获 取其医疗图像数据。如果需要进行其中必须可获得已采集的图像数据或另外的患者数据的 愈后检查，这也是重要的。这些数据处于临床医院资源库处。然而对于数字数据的传输也出 现问题。因此，对于入侵者容易执行对此数据组的未授权的访问。换言之，绝对必要的是， 保护数字数据以防未授权访问而同时使得容易访问患者数据。在此，也应连同地考虑参与 的计算机实体的数据技术资源（带宽、装置部件的寻址等）。
[0003] 识别和验证系统在现有技术中充分地已知。在此，通常使用已知的加密过程，以便 能够证明应用者的身份以将其相对于系统进行验证。特别地，在医疗系统中绝对必要的是 可提供用于在患者和临床医院或临床数据组之间的通信的可靠的通信通道。为实现尽可能 灵活地访问各患者的临床数据组，希望的是使用患者通常总是具有的例如智能电话或移动 电信装置的移动电子装置。为此要求将个人登录数据存储在各电子装置上且通过已知的标 准化的通信通道传输到例如各移动电话运营者。显见，在此数据交换中，个人登录数据可能 很容易被损坏或被危及。移动电话连接可相对容易地被入侵者修改，以截获登录数据或另 外的个人数据。因此，要求附加的安全措施，但所述安全措施与高的管理成本相关联，特别 是患者或移动装置一方的高管理成本。已知的系统因此基于通常由第三方提供者提供的安 全基础设施的提供，以便对于移动装置是可使用的。除高的管理成本外，现有技术中的已知 的系统的另外的缺点在于可靠验证的可使用性由于设置特定的安全基础设施而降低。


【发明内容】

[0004] 因此，本发明的任务在于改进和简化通过移动装置的相对于其中保存了医疗数据 组的中心系统的患者识别和验证，其中同时应改进对于移动装置运行者和对于中心服务器 运行者的安全性。同时，将装置部件修改且以新的方式基本不同地寻址，以便能够提高验证 系统的安全性。
[0005] 此任务通过附带的并列的权利要求解决，特别地通过验证系统、移动电子装置、实 体化单元、用于验证的方法和计算机程序产品解决。
[0006] 以下关于要求的系统描述任务的解决方案。在此所提及的特征、优点和/或替代 的实施形式也传递到另外的所要求的对象（且因此传递到移动电子装置、实体化单元和计 算机程序产品和方法）且反之。换言之，也可以以与系统组合描述和/或要求的特征来扩展 另外的权利要求形式。在此，系统或方法的相应的功能特征通过相应地具体模块形成，特别 地通过实施在电子装置上或实体化单元上的硬件模块或微处理器芯片模块形成。基本上， 系统的各个模块或单元形成为软件模块和/或微处理器芯片模块。
[0007] 根据一个方面，本发明涉及用于相对于中心服务器验证各移动电子装置（其中基 本上多个移动电子装置连接在系统上且应被验证）的验证系统，用于在装置和服务器之间 的医疗数据的被保护的数据交换，其中服务器一方面与临床系统进行数据交换且可访问带 有临床和医疗数据（也包括患者数据）的资源库，包括：
[0008] -中心实体化单元，所述中心实体化单元确定为用于各装置的实体化，这通过实体 化单元分别将个体化的、患者特定的或使用者特定的应用程序作为加密单元安装在各装置 上进行，且其中应用程序将秘钥和装置标识以隐藏的方式保存或安装在装置的程序存储器 内，其中实体化单元将至少在装置标识和秘钥之间的对应关系保存在被保护的中心存储器 内（解密单元也可访问所述中心存储器，例如中心注册处）。
[0009] -加密单元，所述加密单元本地地安装在装置上且确定为用于产生数字化签名，其 中签名通过以由实体化单元存储的秘钥加密产生，其中签名从包括装置标识和时间戳的签 名原型产生，且其中加密单元此外确定为用于向服务器至少发送带有装置标识的签名。 [0010]-解密单元，所述解密单元安装在中心服务器上且其中解密单元包括对被保护的 中心存储器的访问模块，且借助访问模块或直接地可访问此被保护的中心存储器，其中解 密单元为此确定为接收从装置发出的带有装置标识的签名且从装置标识通过访问被保护 的中心存储器读出用于解密的各对应的秘钥，以使用读出的秘钥将接收到的签名解密且从 得到的签名原型读出装置标识作为解密结果，其中解密单元此外形成为将解密结果与接收 到的装置标识进行一致性比较，且在一致时解密单元进一步确定为以读出的装置标识执行 对于资源库的访问。
[0011] 在下文中，进一步定义且解释在此专利申请的范围内所使用的概念。
[0012] 基本上，验证系统用于检验患者的身份，所述患者相对于注册处使用其移动电子 装置特别是其智能电话，所述注册处可实施为服务器且与临床资源库进行数据交换。
[0013] 移动电子装置优选地是手机或智能电话，或是其他的非位置固定的且特别地通过 移动通信网络与另外的实体进行数据交换的电子装置。替代地，也可涉及另外的数据传输 网络，例如无线电网络或互联网。各电子装置与患者对应且作为中心服务器的客户端工作， 且包括至少一个数据存储器和程序存储器或被保护的存储器和微处理器模块（或CPU)，以 执行应用程序。特别地，在装置上安装加密单元作为应用程序，所述加密单元包括识别了装 置的装置标识。在此实施形式中，验证系统形成为客户端/服务器系统。通常提供多个客 户端装置和中心服务器，其中服务器可分布在多个实体上，且包括至少一个注册处。
[0014] 中心处理器是基于计算机的处理器且也可包括计算机的网络（例如，云系统）或 根据S0A原理（Service Oriented Architecture面向服务的体系）构建。服务器与临床 装置对应且与之进行数据交换。特别地，服务器与资源库进行数据交换。资源库作为数据 存储器工作以用于存储患者的医疗数据和另外的临床数据，所述数据在此处短期地或长期 地存储。数据在此处例如（但非必需地）作为明码数据（不加密数据）保存。由此需要对 于资源库的访问进行防未授权访问保护。
[0015] 医疗数据是患者数据、检查数据、患者的报告、检查结果、发现、处方或处理指示、 带有持续诊断的紧急情况数据组、不相容性或过敏反应、具有不同的格式的检查或处理期 限，包括图像数据、文本数据或另外的格式的数据（例如，音频和/或视频数据）。
[0016] 实体化单元形成为中心的基于计算机的实体，且与服务器对应。实体化实体可以 是注册处。在特殊的实施形式中，实体化单元不仅与服务器对应，而且与服务器相同，使得 实体化单元附加地也承担服务器的所有功能。实体化单元用于将连接到验证系统的装置或 待验证的装置进行实体化。实体化单元可形成为软件和/或硬件模块，且优选地通过移动 通信网络与待验证的电子装置且与也可与中心服务器对应的被保护的中心存储器进行数 据交换。实体化单元将每个电子装置个体化或个人化，这通过将个体化的程序（应用程序） 作为所谓的"App"载入到移动装置（例如，"手机"）上且在其处安装来实现。在安装App 之后，手机在验证系统内单义地可识别且因此被个体化。实体化通过由实体化单元将秘钥 和装置标识隐藏地即不可读取地、不可被装置使用者/患者识别地、不可改变地作为程序 的部分安装在手机上来实现。实体化单元因此将特别的数据组和可执行的程序分布在待验 证的装置上，以将其个体化且实体化。此外，实体化单元与被保护的中心存储器进行数据交 换，所述存储器与服务器对应。实体化单元和服务器之间的数据交换可以是数字网络（例 如，基于互联网的网络），局部网络，且如需要也可以是移动通信网络。
[0017] 应用程序可以是软件模块，所述软件模块作为可执行的程序安装在手机上且在此 处作为程序保存在程序存储器内。关键的是应用程序作为加密单元安装在患者的手机上。 与应用程序传送的数据（可执行数据、单独的秘钥、单独的装置标识且可能还包括另外的 数据组）因此仅在手机的程序存储器内而不在数据存储器内被采集。手机的数据存储器基 本上不被保护且可容易地被危及或被未授权的实体读出。因此，从实体化单元传送到装置 的个人数据的存储仅以隐藏的形式在手机的程序存储器内进行。
[0018] 秘钥可以是对称加密方法的组成部分，且一致地被患者手机上的加密单元和服务 器上的解密单元使用。此（对称加密）构造有利地允许了在丢失之后服务器驱动地重构 App。替代地，也可使用非对称加密方法，例如基于RSA算法的加密方法，所述RSA算法提供 了包括公钥（Public Key)和私钥（Private Key)的秘钥对。
[0019] 装置标识是装置特定的或患者特定的标识，所述标识实现了对于装置或操作装置 的患者的单义的识别。例如，可以是患者身份的文本表示，即带有患者姓名的文本串连同单 义的不可变的特征（出生日期、出生地）。但在此替代的构造规定了单义的数字表示和/或 另外的验证数据组的对应。
[0020] 签名在手机上本地地由加密单元产生。在第一次生成签名时，患者可在验证系统 内注册。所有另外的应用则是验证过程。签名原型通过将患者姓名或装置标识添加到时间 戳或与之链接来产生。然后，将组合的数据组（与装置标识和时间戳一起）以本地存储的 秘钥加密。得到的签名（优选地也被加密单元触发）则由本地的患者手机以消息的形式传 送到服务器。消息可包括用于访问数据的要求，且如需要也包括可在服务器侧解开的另外 的指令。选择地带有消息的签名通过移动通信网络或网络提供者从手机传送到服务器。在 此，装置标识也以明码传输。签名在此是装置标识与添加的时间戳的加密的链接以用于验 证，所述加密的链接然后在服务器侧通过解密被解开。签名可还包括另外的不变的、装置和 /或患者特定的数据组，例如患者的人口统计学数据组（出生地、出生日期等），和患者的另 外的生物测量数据组（例如，虹膜数据，指纹等）。这些另外的不变的数据组作为拷贝也在 中心服务器上被保护地保存且用于验证。因此，验证方法也可更可靠地且更稳定地防入侵。 将存储在中心服务器上的或直接存储在解密单元上的、另外的不变的签名数据组的拷贝相 对于解密的签名数据组进行一致性比较。
[0021] 解密单元是基于计算机的且可形成为软件或硬件模块。解密单元形成在中心服务 器上、特别是注册处上，和/或形成在实体化单元上。但解密单元可替代地也作为分开的单 元通过网络连接在前述的基于计算机的实体上。解密单元与被保护的中心服务器进行数据 交换，在所述中心服务器中保存了装置标识和秘钥之间的对应关系。替代地，在此可保存另 外的对应关系以进一步强化验证方法。例如，在此除前述对应关系外，可附加地保存与发送 器地址（例如，移动通信号）、装置识别号、装置使用者的姓名和可能的另外的识别数据组 的对应关系。
[0022] 存储器形成为被访问保护的中心存储器且通常与中心服务器和/或注册处对应。 为访问存储器，服务器的解密单元包括访问模块或存储器直接整合在服务器内。"被保护" 在此方面意味着存储器访问仅可由访问授权的实体和/或人员执行。在最简单的情况中， 在此提供密码保护。但通常使用进一步的安全措施，所述安全措施例如要求加密和解密以 及进一步的验证。
[0023] 根据实施形式，签名可通过不同的方式产生或包括不同的数据组。根据优选的实 施形式，签名原型包括涉及装置的识别数据组，特别是装置标识，所述装置标识以单义的方 式与患者的各移动通信装置对应。
[0024] 根据本发明的另外的变体，签名原型还可包括涉及使用者的识别数据组，例如涉 及装置的各使用者（患者）的身份的数据组，例如如上所述的识别个人的特征（虹膜数据 等）。另外的实施形式在此提供了另外的不变的数据组，所述数据组是装置特定的或是使 用者特定的。此外，在签名原型中可接收随机数字和/或时间戳。所有在签名原型中采集 的数据组对于加密单元以及解密单元都是已知的，使得单元可使用数据组以用于加密和解 Γ t I ο
[0025] 如前所提及，通常为了在签名生成的范围内加密，由中心服务器为各装置提供个 人数据的非对称加密。为此，根据本发明将私钥保护地存储（"隐藏"）在装置内，且将对应 的公钥存储在服务器上。秘钥对（公钥、私钥）的对应关系由第三方提供者提供或存储在 中心服务器内。
[0026] 在替代的构造中，签名通过对称加密产生，其中双侧待使用的秘钥是秘密，且因此 一方面隐藏地存储在装置上且另一方面必须在中心解密单元上被保护。产生秘钥的实体化 单元不允许进一步使用或存储所述秘钥。但此构造的优点是在Αρρ丢失时或甚至在装置丢 失时，在进一步验证使用者之后，解密单元可再次相同地再生此Αρρ。
[0027] 根据本发明的另外的变体，可建议提供两个加密，即以前面方法进行的第一次加 密（如上所述：非对称或对称加密），和以对称方法进行的第二次加密，以再次将在服务器 和装置之间交换的个人数据双重保护。提高的管理成本通过可实现明显提高的安全性的优 点而得以平衡。
[0028] 如前所提及，实体化单元通常形成在中心服务器上。但也可以将实体化单元形成 为服务器，使得实体化单元在此情况中形成为带有服务器的功能，且可直接承担通信请求 和服务器的另外的功能性。在此情况中，基于计算机的单元（加密单元、注册处、资源库） 直接与实体单元通信。此变体带来的优点是用于安装验证系统的安装成本可降低，因为需 要更少的基于计算机的单元。
[0029] 如前文已提及，移动装置通常是移动通信装置。装置具有可编程的构造单元，带有 相应的非易失性存储器部件（EEPROM、PR0M等）。构造单元用于将加密单元作为应用程序 安装、实施或载入。因此，加密模块的功能可总是被匹配且扩展，这通过由实体化单元将新 的应用程序载入到装置上来进行。关键的优点在于可使用每个商业上常用的装置（移动通 信装置）且对于移动通信运行者（例如，在德国已知的移动通信运行者Vodafone、Telekom 等）也无需改变。装置和中心服务器之间的通信如惯常地进行，即相对于所建立的方法不 改变，使得第一特定的验证服务器是可由服务者运行的注册处或实体化实体。在通常的应 用情况中建议，使得实体化单元作为注册处工作且使得患者个体的应用程序作为加密单元 安装在装置上，在所述装置中秘钥隐藏地存在。此外，注册处将每个应用程序通过临床医院 发送到患者处。每个患者则在成功地验证之后以其智能电话通过注册处获得资源库上的所 述患者的患者特定的条目。运行注册处的外部服务者可不复杂地且简单地结合到验证系统 内，因为此单元不具有值得保护的知识。因此，注册处不知道在哪个装置上载入什么应用程 序，注册处也不可看到明码形式的个人的或被访问保护的医疗患者数据。仅移动装置即患 者和临床资源库具有明码数据。所有另外的实体不可读取数据且仅具有加密形式的数据或 不是与个人相关的数据。
[0030] 在优选的实施形式中，特别地提供了三个基于计算机的实体：一是由患者操作的 移动装置（即患者的手机，所述手机提供有带有加密单元的个体化的应用程序软件），一是 患者注册处，所述患者注册处作为中心服务器工作且通过互联网或通过移动通信运营者与 装置进行数据交换。在注册处上安装了解密单元。在一个实施形式中，在注册处上也可安 装实体化单元。在替代中，实体化单元作为分开的实体提供。此外，提供了作为数据保持的 资源库作为第三个实体，所述资源库特别地与注册处相互作用以交换医学患者数据组。此 结构的关键的优点在于不需要第三方提供者的安全措施和安全装置以在临床系统上验证 患者。因此，对于临床医院，明显地更容易分配验证应用程序（分配到连接的装置）且运行 所述验证程序。
[0031] 根据本发明的有利的扩展，加密单元形成为为移动装置编程所准备的应用程序， 即形成为所谓的App。加密单元将（必要时带有消息且带有装置标识的）签名通过标准化 的通信通道（例如通过基于互联网的超链接）传输到服务器。相反地，服务器或注册处将 所请求的数据传输到装置，所述数据在此处可在监视器（"显示器"）上展示。此情况涉及 数据从临床资源库的下载。在数据下载的情况中，即医疗数据从资源库传输到移动装置的 情况中，个人数据的非对称加密是优选的，以提供另外的安全措施。被传输的数据因此仅加 密地传输，使得侵入者即使截获了消息（包括医疗数据）也不能读所述消息。此外，侵入者 无法得到关于此数据属于哪个个人（患者）的对应关系。因此，安全性可进一步提高。
[0032] 替代的实施形式涉及数据到资源库内的上传。在此情况中，前述步骤分别在另一 侧（服务器-客户端对调）执行，使得移动装置也可将医疗数据组载入到中心服务器上以 用于存储。例如，此实施形式在必须监测患者生理学参数（例如，血压、心率、体温、血糖值 等）时是有利的。这些数据可在成功验证患者之后载入到临床资源库内。
[0033] 为进一步提高安全性，可根据本发明的另外的方面预先构造其内必须完成验证过 程的时间段。如果超过此预先构造的（且总是可改变的）时间段（由装置的解密的时间戳 与解密时的当前服务器时间的差异确定），则给出错误通知。如需要可重新开始验证过程。 根据实施形式，如从另外的应用（例如，银行应用）中已知，可设置使得在三次超过时间段 之后向中心服务器发出警告，且不可再执行验证。
[0034] 根据本发明的另外的方面，自动采集秘钥和/或装置标识是否被改变，即处于原 始的状态还是被篡改。此实施形式可与其中可限定安全时间段的前述实施形式组合。只要 可识别到无侵入或无错误的验证，则在本发明的变体中建议（取决于所采集的情况）和/ 或根据确认信号促使加密单元在装置上的重新安装或重新载入。在此情况中，因此将新的 个体化的加密软件载入到患者的移动通信装置上以用于验证目的。因此，可根据本发明的 实施变体也重复执行实体化过程。
[0035] 如果入侵者意图以不允许的方式修改实体化过程，则根据另外的变体建议自动采 集，装置上的加密单元是否被篡改（例如从发送器地址和解密的装置标识之间的偏差可识 别）。在此情况中，仅在进一步的分析之后且可能地仅在再次验证装置或使用者之后实现重 新的验证。通常，为此提供另外的通信通道（例如，以书面形式或通过电子邮件或通过另外 的可靠的数据交换），以便能够防御入侵和盗用。
[0036] 任务的另外的解决方法在于如前所述的电子装置，所述电子装置形成为与前述验 证系统一起使用。根据本发明，在装置上载入加密应用程序，通过所述应用程序，应用者可 注册和验证。载入的应用程序如前文中在验证系统描述的范围中所述以隐藏的形式保存在 程序存储器内，且因此不可被使用者读取、改变和/或删除。
[0037] 装置除加密单元之外优选地包括签名单元，所述签名单元确定为根据前述措施生 成签名。从装置发送到中心服务器/注册处的消息仅通过加密单元加以签名。数据交换因 此在所有情况中被保护。
[0038] 另外的任务解决方法在于实体化单元，所述实体化单元确定为使用在验证系统 内。实体化单元可形成为注册处且与中心服务器对应。实体化单元特别地用于将个体化的 应用程序分配到装置且在装置处安装。此外，在实体化单元方面进行对于被保护的中心存 储器的访问，以保存秘钥和装置标识和/或其对应关系，使得解密单元可解密装置的消息 且根据装置标识的比较可进行验证。实体化单元可形成为分开的单元，且具有用于数据交 换的接口，特别是具有移动通信接口和另外的网络接口。所述实体化单元通常是计算机支 持的。
[0039] 任务的另外的解决方法在于根据所附的权利要求的验证方法。方法分为实体化阶 段和验证阶段。
[0040] 在实体化阶段中将通过其可将患者注册且可在中心服务器上验证患者的装置实 体化。在实体化阶段中，装置以加密软件被个体化地实体化。为此，加密软件安装在或载入 到装置上。装置的使用者可在首次使用时在装置上注册且然后执行验证过程。
[0041] 在验证阶段进行对于临床系统的数据的数据访问（包括上传和下载医疗数据）的 实际的验证。也包括装置和临床资料库之间的（通过注册处）各消息交换。
[0042] 在装置上执行如下方法步骤以用于验证：
[0043]-首先产生签名。签名包括装置标识和时间戳的链接的至少一个加密的形式。
[0044] -将带有装置标识且必要时带有消息的签名从装置发送到注册处。
[0045] -签名与装置标识且必要时与消息一起发送，且选择地被对称地加密且取而代之 地发送加密结果。
[0046] 在注册处方面，执行如下步骤以用于验证：
[0047]-接收带有签名和装置标识的消息且按需要（选择地）将其对称地加密。
[0048] _米集装置标识。
[0049]-以所采集的装置标识进行对于被保护的中心服务器的访问，以读出各相应的 (与装置标识对应的）秘钥。
[0050] -通过读出的秘钥进行签名的解密。
[0051] -将解密的带有时间戳的装置标识作为解密结果读出。现在，解密单元可将解密结 果与接收到的装置标识进行一致性比较。在一致的情况下认为验证过程是成功的，且可执 行对于资源库的访问。为在资源库内发现数据组，使用装置标识和/或另外的与装置标识 对应的识别标签。
[0052] 签名因此作为每个消息的部分以元数据的类型发送或作为封装一同发送。
[0053] 根据本发明的一个方面，方法包括将解密结果与装置标识进行一致性比较。比较 优选地包括对于装置标识按符号地存在（Enthaltensein)于签名原型中的比较。
[0054] 根据优选的实施形式，验证过程还包括附加的比较，即时钟时间的比较。如果装置 标识一致使得验证过程被认为是成功的，但时间即时间戳不一致，则通过警告信号通知装 置，必须将时钟时间更新。根据本发明的一个方面，在此情况中也建议使得时间戳的偏差可 意味着消息可能被危及。因此，也以信息通知服务器在此可能发生危及。在此可按需要触 发另外的分析步骤。
[0055] 考虑到时间戳的分析，可构造时间戳之间的可预先构造的偏差。例如，可预先设置 使得10分钟的偏差仍可忍受，而超出这的偏差触发警告信号的发出。
[0056] 如果验证过程可成功完成，则可打开另外的可靠的通道，以实现装置和资源库之 间的数据交换或直接的通信。例如，为此可提供带有有限有效性的秘钥。通过此秘钥可通 过在装置和资源库之间的通道交换需要验证的待保护的数据，只要存在秘钥的有效性。换 言之，可在成功验证之后也打开另外的、必要时也通向另外的存储器和/或实体的可靠的 通信通道。
[0057] 通常建议验证过程由客户端（患者）即在装置侧初始化。但在此替代的实施形式 也建议在注册处或资源库侧初始化验证过程。这在应通过从注册处和/或资源库向装置发 送与之对应的消息而提醒患者查询和/或上传数据时是可以考虑的。
[0058] 装置和资源库之间的数据交换仅加密地进行。在此使用固定的、装置特定的秘钥 或甚至装置特定的临时有效的秘钥。因此即使在截获消息时，入侵者也不能以明码读取传 输的数据。
[0059] 通常建议使患者具有其自己单独操作的移动通信装置。在此情况中，在使用者 (患者）和装置之间提供了 1对1的对应关系。但替代的实施形式建议通过一个装置可接 近一组患者。在此情况中，在患者和装置之间提供了 η对1的对应关系。替代地，也可使得 患者具有可用于验证的多个装置。在此情况中，加密单元作为应用程序实施在所有验证装 置上。在此情况中，在患者和装置之间形成了 1对η的对应关系。
[0060] 任务的另外的解决方法在于计算机程序产品。产品包括计算机程序代码，所述程 序代码确定为当计算机程序产品或计算机程序代码在计算机上执行时用于执行前述要求 的方法的所有方法步骤。在此，计算机程序可存储在机器或计算机可读取的存储介质上。替 代地建议使得计算机程序通过网络作为可执行单元被读取。
[0061] 也可以将方法分配在不同的计算机实体上，特别是分配在加密单元和解密单元上 以及实体化单元上。单独的方法步骤可在单独的单元（加密和解密单元）上执行，使得方 法和验证系统实施为分布的系统。优选的实施形式涉及软件实施。替代的设计在此建议了 部分地硬件支持的实施。
[0062] 前述根据本发明的方法实施形式也可作为计算机程序产品以计算机程序形成，其 中当计算机程序在计算机上或在计算机的处理器上执行时，使得计算机用于执行前述根据 本发明的方法。
[0063] 任务的替代的解决方法也在于计算机程序，所述计算机程序带有当其在计算机上 执行时用于执行所要求的或前述方法的所有方法步骤的计算机程序代码。在此，计算机程 序也存储在机器可读取的存储介质上。
[0064] 任务的替代的解决方法建议了存储介质，所述存储介质确定为用于存储前述计算 机实施的方法且由计算机可读取。

【专利附图】

【附图说明】
[0065] 在如下的详细附图描述中，不限制地根据附图描述带有其特征和另外的优点的实 施例。各图为：
[0066] 图1示出了带有选择的实体的根据本发明的验证系统的原理图示，
[0067] 图2示出了在根据本发明的验证过程的范围内的实体化单元及其通信环境的示 意性图示，
[0068] 图3示出了在与中心服务器进行数据交换时被传输的数据和/或消息的示意性图 示，和
[0069] 图4示出了根据本发明的验证方法的优选的实施形式的流程的示意性图示。

【具体实施方式】
[0070] 在下文中根据附图详细解释本发明。在附图中图示了本发明的不同的实施形式， 在此用于相同的模块或部件的附图标号也在各另外的附图中一致地使用。
[0071] 在下文中参考图1详细解释验证过程的内容：本发明涉及用于验证许多由患者或 医务人员操作的移动电子装置G的验证系统。在优选的实施形式中，装置是手机或另外的 移动通信装置G。移动通信装置或智能电话G通过互联网和/或通过移动通信网络（由任 意的移动通信网络运行者所运行）与中心服务器进行数据交换。服务器在优选的实施形 式中形成为注册处10。注册处10通常与临床医院或医院联合体、诊所或诊所联合体对应。 注册处10可由外部服务者运行。注册处10又与资源库12进行数据交换。在资源库12上 保存了医疗数据组。例如，在此可保存检查结果、发现、放射检查的图像数据、科学研究、处 方、术语等。资源库12形成为中心存储器，且优选地也形成为被访问保护的存储器。在替 代的实施形式中，资源库12也可包括分开的存储器区域，所述存储器区域形成为被保护的 存储器。在优选的实施形式中，注册处10包括被保护的中心存储器，所述中心存储器带有 需要验证的且处于访问保护中的个人的私密患者数据。如在图1中通过箭头所图示，注册 处10和资源库12相互进行数据交换。在此，可构思不同的通信通道。优选的是通过网络 (WLAN或LAN)的数据交换。替代地，在此也可安装通过来自互联网协议族的可确定的版本 (例如，作为TCP/IP协议的应用的http)的互联网连接。验证系统的根据本发明的结构是 基于移动通信装置的结构。换言之，由此出发，患者或患者的组具有移动通信装置G。然而 移动通信装置G根据本发明在其装置部件方面被修改，这通过为其提供在装置上运行的个 体化的软件应用来实现。装置部件因此根据本发明也被不同地寻址。因此，例如仅通过所 安装的加密单元V执行消息N到注册处10的发送。
[0072] 前述实体化过程在下文中通过参考图2详细解释。根据本发明提供了实体化单元 I，所述实体化单元I与待验证的装置G进行数据交换。装置G和实体化单元I之间的数据 连接优选地是基于移动通信的数据连接。但在此替代地也可考虑另外的数据传输网络。装 置G是不同类型和结构的商业上常用的移动通信装置。实体化单元是基于计算机的单元， 所述实体化单元确定为用于装置G的实体化且为此将个人化的和/或装置特定的应用程序 作为加密单元V安装或载入到待验证的装置G上。这在图2中通过如下方式表征，即从实 体化单元I发出的到装置&、G^G n的箭头（应代表数据传输）指示了不同版本的加密单 元V，即第一加密单元Vi、第二加密单元V2等。在优选的实施形式中，在加密单元V和装置G 之间提供了 1对1的对应关系，使得第一加密单元 ' 安装在第一装置Gi上，第二加密单元 V2安装在第二装置G2上…且第η加密单元V n安装在第η装置Gn上。但在此替代地也可选 择另外的对应关系，使得例如同一个加密单元V分配到多个装置G上且在其处安装（这对 应于加密单元和装置之间的1对N的对应关系）。替代地，也可实现在此覆盖另外的应用情 形，使得在一个装置G上安装多个加密单元V (这对应于加密单元和装置之间的Μ对1的对 应关系）。通常从如下情况出发，即应用者（通常为患者）在其移动通信装置上通过输入识 别信号和/或验证信号进行注册。通常，在此提供密码输入、指纹或其他注册措施。以此， 中心服务器、注册处10和/或实体化单元I可通过各装置G到达特定的患者Ρ。在下文中 考虑个体化的装置特定的应用程序，所述应用程序作为加密单元V安装在装置G上。但因 为通常特定的患者操作一定的装置，所以本发明也涉及，作为加密单元V安装在装置G上的 应用程序是用户特定的。由中心实体化单元I触发的实体化将软件应用程序作为加密单元 V传输到各装置G。应用程序包括秘钥40和单义的装置标识50。秘钥是密码方法的部分且 可形成为对称秘钥或非对称秘钥40、40'。秘钥40以及装置标识50都以隐藏的形式保持 在装置G的程序存储器30内。这是本发明的基本特征，因为待存储的数据与通常情况（例 如，音频数据、图像数据等）不同不保存在数据存储器20内，而是保存在装置G的被访问保 护的访问模块内，即保存在程序存储器30内。装置标识50对于各装置G被识别。换言之， 在装置标识50和装置G之间存在双射映射，且装置G可通过装置标识50被单义地识别和 寻址。根据验证数据组（特别是秘钥40和装置标识50)以隐藏的形式保存在装置G上的 事实，患者或装置使用者也无法获得对装置标识50或秘钥40的访问。此外，患者或装置使 用者不能修改且也不能删除此数据组。
[0073] 在将加密单元V本地地安装在装置G上之后，应用者在第一次时通过加密单元V 进行注册过程。然后，可使用加密单元V以发出消息且因此在中心注册处10处验证患者， 以能够以验证过的形式执行对于资源库12的访问。为此，加密单元V在每个消息发送前产 生签名原型SIG-UB。此签名原型由加密单元V产生，这通过将装置标识50和时间戳60串 连来进行。串连的数据组然后以秘钥40进行加密。替代地，签名原型SIG-UB也可包括另 外的验证数据组51。另外的验证数据组51可例如是不变的患者特定的数据组（人口统计 学数据、生物测量数据等）。在此情况中，装置标识50、时间戳60和另外的验证数据组51 相互联接且然后被加密。在从装置G向中心服务器或向注册处10传输的所有消息N中，以 签名SIG即SIG-UB的加密来签署。在装置G和注册处10之间的通信过程的范围中，注册 处10接收带有签名SIG和装置标识50的消息N。这在图1中以从装置G向注册处10发送 的数据包图示，所述数据包以椭圆形" {SIG} "50表示。数据交换在此也优选地通过互联网 进行。
[0074] 为可在服务器侧接收此数据包或消息N，根据本发明以解密单元E扩展注册处10。 解密单元E安装在注册处10上且包括访问模块Z，以所述访问模块Z可执行对于被保护的 中心存储器MEM的访问。替代地，解密单元E也直接地包括安全存储器MEM。解密单元E 优选地形成为软件模块且用于接收从装置G发出的消息或发出的带有装置标识50的签名 SIG。此外，解密单元E用于执行实际的验证过程。这通过作为解密结果的签名原型SIG-UB 与所传输的装置标识50的比较来进行。在解密结果与装置标识50 -致时，认为装置或各 访问是被验证的。否则，可发出错误通知且不执行访问。注册处10解开所传输的消息且在 解密之后获得签名原型SIG-UB，包括明码的时间戳60以及也为明码的装置标识50。解密 的数据组（时间戳和装置标识）作为解密结果暂时地被中间存储。只要来自解密结果的装 置标识50与传输的装置标识一致，则认为验证过程被成功地执行。
[0075] 在此，替代的构造还建议了另外的控制措施。例如，可分析来自时间戳60的时间 规定，以检验装置G的时间标志是否仅与注册处10的时间标志偏差了可预先构造的差异范 围。换言之，注册时间和装置时间应仅相互偏差了可预先构造的容许量。在成功的验证之 后，然后注册处10可执行对于资源库12的访问。访问通常通过装置标识50表示，以在资 源库12内发现患者特定的和相关的数据组且将其传递到患者的装置G。
[0076] 在下文中通过参考图3详细解释在验证的范围内所传输的数据组。在装置G的 实体化之后，装置G将包括签名SIG和装置标识50的消息N传输到注册处10的解密单元 E (左侧的最上方箭头）。然后，解密单元E在服务器侧被激活且将结果解密且执行验证过 程。为此，解密单元E以装置标识50访问安全存储器MEM以读出解密秘钥40'。在替代的 构造中，解密秘钥40'不保存在资源库12上（当存储器区域被访问保护时也可如此），而是 在注册处10可访问的分开的存储器上。解密秘钥40'以单义的方式与加密秘钥40对应， 且作为非对称加密的部分。通常，涉及非对称秘钥对，所述秘钥对包括私钥和公钥。在此， 私钥不可见且隐藏地保存在装置G的程序存储器30内，而公钥40'保存在中心存储器内。 在此实施形式中，存储器（例如资源库12)包括在装置标识50和秘钥40、40'之间的对应 关系表。在触发各对应的解密秘钥40'之后，将此解密秘钥40'传递到解密单元E。然后， 解密单元E可将签名SIG解密，从而导致签名原型SIG-UB，以便然后通过比较（如前所述） 执行验证过程。在成功验证之后，可再次执行对资源库12的访问，以读取具体请求的数据 组且优选地以加密形式（通常利用公钥40'）加密，且通过注册处10传输到装置G。解密 的数据在图3中以椭圆形标记"ENC (DATA) "标示。
[0077] 前述过程涉及从医疗数据组到装置G的数据下载。但根据本发明的验证方法也用 于数据上传，其中患者通过其装置G将数据组发送到中心资源库12以用于存储。例如，在 此可涉及患者当前的血压、血糖水平、体温等的测量值。
[0078] 在另外的有利的且也优选的实施形式中，作为装置标识50的替代将患者号以隐 藏的形式存储在装置G上的程序存储器30内，且作为消息N的部分传输到注册处10以用 于验证。也保存在程序存储器30内的密钥是患者的秘密的秘钥（Private Key私钥）。作 为每个通信或每个数据查询的部分，加密单元V将已签名的由患者号和时间戳60 (其中患 者号以及时间戳60二者都例如以对称加密方法后加密）所组成的串发送到注册处10。时 间戳60因此作为签名SIG的部分在每个消息中被加密地传输，以具有消息的改变的部分， 所述部分在服务器侧或解密单元E侧被解开，以便能够更好地防御可能使用早先的SIG的 拷贝的未授权人员的入侵。
[0079] 本发明的关键的优点是对于装置G不需要改变。换言之，仅需要将加密应用程序V 安装在装置G上。对于装置G不存在另外的要求，使得在此也可使用商业上通用的移动通 信装置。此外，也不需要移动通信运行者处的特定的预先准备。
[0080] 可提高根据本发明的验证系统的安全性的另外的优点是在装置G和资源库12之 间不传输未加密的医疗数据组。仅作为装置G的客户端的患者和临床资源库12具有明码 形式的数据组。被交换的数据组仅被加密地传输。
[0081] 优选地建议使得公钥也保持在与解密单元E且因此与注册处10对应的被保护的 中心存储器MEM中。通常，秘钥保持在注册处10内。由装置G所请求的且在成功的验证过 程之后从资源库12发送到装置G的数据，以装置G的或查询的患者P的公钥进行加密。为 此，资源库12访问注册处10的公钥。只要数据在装置上被接收，则加密单元V可形成为将 加密的数据以秘密秘钥或私钥解密。
[0082] 替代的实施形式建议了使用另外的秘钥对以进一步提高安全性。在此，又可以是 非对称或对称方法，以将个人数据加密。
[0083] 在下文中根据优选实施形式通过参考图4详细解释验证过程的流程。
[0084] 在验证过程开始之后，方法分为实体化阶段和验证阶段。为执行验证阶段，要求成 功地完成实体化。
[0085] 实体化涉及装置G的实体化。这在图4中以方法步骤A表示。为实体化，在装置 G上安装加密单元V作为软件应用程序，所述加密单元V将装置标识或患者标识50和秘钥 40以隐藏的形式存储在装置的程序存储器30内。应用程序用于与资源库12交换的医疗数 据组的加密和解密。安装过程在图4中以附图标号B表示。
[0086] 然后，客户端或患者以及使用者可在其装置G上注册。这以方法步骤C表示。
[0087] 首先，必须安装所有装置G，以随后可用于验证过程。
[0088] 在验证阶段中，患者可通过其移动通信装置G在中心注册处10上进行验证和识 别。
[0089] 为此，在方法步骤D中产生签名。签名原型SIG-UB由装置标识或患者标识50组 成。两个数据组形成了签名原型SIG-UB，所述签名原型SIG-UB以秘钥40加密且因此形成 签名SIG。
[0090] 在步骤D1中，将带有签名SIG和装置标识50的消息N发送到注册处10。
[0091] 在方法步骤F中，将消息N在服务器侧在注册处10上接收。
[0092] 在步骤Η中采集所传输的装置标识50。以下描述其中传输了装置标识50的实施 形式。但如前所述，作为装置标识50的替代也可传输患者识别号，所述患者识别号以单义 方式识别各患者。
[0093] 在方法步骤Κ中进行对于与注册处10对应的被保护的中心存储器ΜΗΜ的访问。访 问用于读出与装置标识50对应的解密秘钥40'。解密秘钥40用于解密接收的消息Ν。在 随后的方法步骤L中，以接收到的签名SIG通过使用解密秘钥40'将消息Ν解密。在此，签 名原型SIG-UB作为解密结果被产生，且与读出的装置标识50进行一致性比较。
[0094] 解密结果与装置标识50的比较在方法步骤Μ中进行。
[0095] 在一致的情况下，在步骤Ν中以读出的装置标识50访问资源库12以读出各医疗 数据。然后，方法可结束。
[0096] 如在图4中所图示，对于资源库12的访问仅在验证成功时进行。这以带有"0Κ" 标记的椭圆形表示。否则，方法可直接结束或重复验证过程，这在图4中以指向上的箭头代 表，使得方法在方法步骤D中再次开始。
[0097] 基本上，两个不同的实施形式是可以的，所述实施形式建议了不同的加密系统：对 称或非对称方法。替换地，也可以应用组合。在对称加密中，秘钥40与秘钥40' 一致。在 非对称加密中，秘钥40优选地是私钥且秘钥40'是秘钥对的所属的公钥。
[0098] 总之，可使用患者验证描述本发明，所述患者验证的结构基于与中心注册处10和 实体化单元I进行数据交换的常规的移动通信装置（手机）。实体化单元I将个体化的Αρρ 安装在患者的手机上。如秘钥40、40'和装置标识50的验证数据组既本地地存在于手机上 也存在于注册处10的被保护的中心存储器MEM上。在手机和中心注册处10二者上都安装 了软件应用程序（加密单元V和解密单元E)，所述软件应用程序在消息N从装置G传输到 注册处10之后执行验证过程。医疗数据组处在临床资源库12上且在成功验证之后通过注 册处10也可供移动装置G使用。
[〇〇99] 但本发明不限制于前述实施例，而是也可实施在另外的应用情况中。因此，可使得 方法的步骤构造为不都在相同的基于计算机的单元上执行，而是在不同的单元上，例如在 装置G、注册处10和/或在实体化单元I上。步骤的次序也可部分地被修改。也可将前述 验证系统再扩展，且在装置G侧提供识别检验，使得各患者的身份也可在装置G上本地地被 检验（例如通过光学图像控制、检验生物测量数据或确认人口统计学数据等）。此构造在医 疗紧急情况中特别地有利，在所述医疗紧急情况中患者可能不再具有知觉且因此辅助人员 来承担对于患者的验证过程，且本地地验证患者，以从资源库12查询紧急情况对应的数据 组（例如，长期诊断、不相容性或过敏反应）。在本发明的范围内也具有另外的不同，使得保 护范围仅通过如下阐述的权利要求确定。
【权利要求】
1. 一种用于相对于被保护的中心服务器验证多个移动装置（G)中的各移动电子装置 (G)的验证系统，以用于在装置（G)和服务器之间的医疗数据的受保护的数据交换，其中服 务器能访问带有医疗数据的资源库（12)，包括： -中心实体化单元（I)，所述实体化单元（I)确定为用于各装置（G)的实体化，这通过 由实体化单元（I)将个体化的、装置特定的应用程序作为加密单元（V)安装在各装置（G) 上来实现，且其中应用程序将秘钥（40)和装置标识（50)以隐藏的形式保持在装置（G)的 程序存储器（30)内，其中实体化单元（I)将在装置标识（50)和秘钥（40)之间的对应关系 保存在被保护的中心存储器内 -加密单元（V)，所述加密单元（V)本地地安装在装置（G)上且确定为用于产生数字签 名（SIG)，其中签名（SIG)以由实体化单元（I)保存的秘钥（40)加密且从至少包括装置标 识（50)和时间戳（60)的签名原型（SIG-UB)产生，且其中加密单元（V)进一步确定为用于 将至少签名（SIG)以及装置标识（50)发送到服务器 -解密单元（E)，所述解密单元（E)安装在中心服务器上且其中解密单元（E)包括对于 被保护的中心存储器的访问模块（Z)， 其中解密单元（E)确定为接收从装置（G)发出的带有装置标识（50)的签名（SIG)且 从装置标识（50)通过访问被保护的中心服务器读出用于解密的各对应的秘钥（40'），以使 用所述秘钥（40'）将接收到的签名（SIG)解密且从作为解密结果的签名原型（SIG-UB)读 出装置标识（50)，其中解密单元（E)进一步确定为将解密结果与装置标识（50)进行一致性 比较，且在一致的情况下解密单元（E)进一步确定为以读出的装置标识（50)执行对于资源 库（12)的访问。
2. 根据权利要求1所述的验证系统，其中签名原型（SIG-UB)包括涉及装置的识别数据 组。
3. 根据前述权利要求中一项所述的验证系统，其中签名原型（SIG-UB)包括涉及应用 者的识别数据组。
4. 根据前述权利要求中一项所述的验证系统，其中签名原型（SIG-UB)包括对于加密 单元（V)和解密单元（E)都已知的不变的、装置特定的和/或应用者特定的验证数据组 (51)、随机数和/或时间戳（60)。
5. 根据前述权利要求中一项所述的验证系统，其中实体化单元（I)将私钥（40)保护地 存储在装置（G)中且其中在服务器（10)上存储了用于每个装置（G)和/或每个装置标识 (50)的公钥（40'）。
6. 根据前述权利要求中一项所述的验证系统，其中实体化单元（I)形成在服务器（10) 上。
7. 根据前述权利要求中一项所述的验证系统，其中装置（G)是带有能编程构造单元的 计算机支持的移动电子装置，特别是智能电话。
8. 根据前述权利要求中一项所述的验证系统，其中加密单元（V)形成为为移动装置 (G)的编程所准备的应用程序，且其中解密单元（V)将带有装置标识（50)的签名（SIG)通 过标准化的、明码能识别的通信通道传输到服务器（10)。
9. 根据前述权利要求中一项所述的验证系统，其中在其内必须完成验证过程的时间段 能预先构造，且其中在超过所述时间段时发出错误通知且能重新开始验证过程或要求新安 装。
10. 根据前述权利要求中一项所述的验证系统，其中自动采集，秘钥（40)和/或装置标 识（50)是否被篡改，和/或预先构造的安全时间段是否被超过，以按需要地促使加密单元 (V)在装置（G)上的新安装。
11. 根据前述权利要求中一项所述的验证系统，其中在装置（G)和服务器（10)之间的 数据交换包括数据上传和/或数据下载。
12. -种带有加密单元（V)的移动电子装置（G)，所述加密单元（V)本地地安装在装置 (G)上且确定为用于产生数字签名（SIG)，其中装置确定为被使用于根据前述权利要求中 一项所述的验证系统中，其中签名（SIG)以由实体化单元（I)存储的秘钥（40)加密且由至 少包括装置标识（50)和时间戳（60)的签名原型（SIG-UB)产生，且其中加密单元（V)此外 确定为将至少签名（SIG)且附加地将装置标识（50)发送到服务器（10)。
13. -种带有解密单元（E)的移动电子装置（G)，其中实体化单元（I)确定为被使用于 根据前述权利要求中一项所述的验证系统中且安装在中心服务器（10)上，且其中解密单 元（E)包括对于资源库（12)的访问模块（Z)，其中解密单元（E)确定为接收由装置（G)发 送的带有装置标识（50)的签名（SIG)，且从装置标识（50)通过访问被保护的中心存储器读 出用于解密的秘钥（40'），以使用所述秘钥（40'）将接收到的签名（SIG)解密且从得到的 签名原型（SIG-UB)读出装置标识（50)作为解密结果，其中解密单元（E)还确定为将解密 结果与装置标识（50)进行一致性比较，且在一致时解密单元（E)进一步确定为以读出的装 置标识（50)执行对于资源库（12)的访问。
14. 一种用于相对于中心服务器验证多个移动装置（G)中的各移动电子装置（G)的验 证系统，以用于在装置（G)和服务器之间的医疗数据的被保护的数据交换，其中服务器能 访问带有医疗数据的资源库（12)，所述方法包括如下方法步骤： -将各装置（G)实体化（A)，这通过分别将个体化的、装置特定的应用程序作为加密单 元（V)安装在各装置（G)上进行，且其中秘钥（40)和装置标识（50)以隐藏的形式保持在 装置（G)的程序存储器（30)内，其中在装置标识（50)和秘钥（40)之间的对应关系被保存 在被保护的中心存储器（MEM)内， -在装置（G)上本地地产生⑶数字签名（SIG)，其中签名（SIG)以由实体化单元（I) 保存的秘钥（40)加密且从至少包括装置标识（50)和时间戳（60)的签名原型（SIG-UB)产 生， -至少将带有装置标识（50)的签名（SIG)发送（D1)到服务器（10)， -在中心服务器（10)上接收（F)由装置（G)发送的带有装置标识（50)的签名（SIG)， -采集⑶装置标识（50)， -以所采集的装置标识（50)访问⑷被保护的中心存储器（MEM)，以读出用于解密的 秘钥（40'）， -以秘钥（40'）将接收到的签名（SIG)解密（L)，且产生包括读出的装置标识（50)的 解密结果（SIG-UB)， -将解密结果与装置标识（50)进行一致性比较（Μ)， -在一致的情况下，以读出的装置标识（50)访问（Ν)资源库（12)。
15. -种计算机程序产品，其中计算机程序产品包括计算机程序，所述计算机程序存储 在数据载体上或计算机的存储器上且包括能被计算机读取的指令，所述指令确定为当其在 计算机上执行时用于执行根据前述权利要求所述的方法。
16. -种计算机程序产品，其中计算机程序产品包括计算机程序，所述计算机程序存储 在数据载体上或计算机的存储器上且包括能被计算机读取的指令，所述指令确定为当其在 计算机上执行时用于执行根据前述权利要求所述的方法。
【文档编号】G06Q50/22GK104094308SQ201380007911
【公开日】2014年10月8日 申请日期:2013年1月30日 优先权日:2012年2月2日
【发明者】S.海德, G.海登赖希 申请人:西门子公司