安全访问分布在不安全数据网络中的数据的制作方法

安全访问分布在不安全数据网络中的数据的制作方法
【专利摘要】本发明涉及一种方法和一种系统、注册中心、存储库和计算机程序产品，用于安全执行对在存储库（REP）中存储的敏感的医学数据组的访问。在对存储库（REP）中的安全关键的数据（SD）的访问之前必须执行向单独的注册中心（REG）的注册请求，以便获得限制在其临时有效性中的安全令牌（PS），例如以条形码形式。数据源（Q）和/或数据宿（S）然后可以利用安全令牌（PS）访问安全关键的数据（SD），方法是，索引模块（42）检索存储库（REP）上的所请求的数据组。
【专利说明】安全访问分布在不安全数据网络中的数据
【技术领域】
[0001]本发明涉及一种安全技术并且特别是对由于分布的数据库构成的未受保护的网络、诸如云系统中的安全关键的数据组的访问安全。此外本发明还涉及医学【技术领域】，该领域的特征特别地在于，必须存储和提供安全关键的数据。
[0002]正是在现代系统中尽可能灵活地构造数据保存(Datenhaltung)，从而可调用和可存储不同系统的数据并且在此特别地经由因特网通信来调用和存储。
[0003]【背景技术】-现有技术
[0004]尤其在医学【技术领域】由此必要条件是，要保护对安全关键的数据的访问以防未授权的访问。对于提供经由因特网的访问的现代系统，这是一个危险源。未授权的用户可能非法地在各个电子模块(发送者、接收者)之间窃取消息-并且这通常:无需特别高的开销来操作。由此对这些数据的访问一方面必须满足高的安全要求。另一方面需要，对于Web使用和例如对远离的医学工作站的访问来说系统是尽可能灵活的，使得任何时候可以添加单个电子实体(Instanzen)。此外用户、应用程序和分布的数据库的待管理的范围大。在设计安全系统时也必须考虑待存储的大的数据量。
[0005]现有技术中公知，保护电子数据组以防未授权的访问。在此公知加密系统，其一方面应用于存储器(例如应用于计算机的硬盘)另一方面应用于在网络用户之间的通信。在其中通信(也就是被交换的消息)被加密的加密系统的框架内，在现有技术中公知，分别在接收者一侧进行解密。就此而言，这是一种安全风险，因为即使消息按照加密的形式，原则上未授权的用户也可能拦截消息，并且将该消息按照任何形式以未授权的方式处理、损坏或未经许可地传播。此外在现有技术中公知，提供用于搜索的索引，以便能够按照大的数据间隔访问数据组。但是没有用来保护安全关键的个人数据的方案。
[0006]本发明的任务
[0007]由此本发明的任务是，提供一种信息技术系统，该系统保护对在未受保护的网络中通信的安全关键的数据的访问，并且在所述系统中同时可以实现具有快速搜索功能的索弓I。此外对安全关键的数据，特别是患者的医学数据组的数据访问应当在遵守最高的安全要求的条件下更灵活地构造。
[0008]还应当提供信息技术的基础结构，利用所述基础结构就如下而言可以节省成本，因为对各个系统中硬盘的迄今为止需要的局部保护可以通过中央保护系统替代。
[0009]本发明的一般描述
[0010]前述任务通过所附的并列权利要求解决，特别是通过方法、系统、注册中心(Registry)、存储库(Repository)和计算机程序产品解决。
[0011]以下借助按照方法的所述形式来描述本发明。在此提到的优点、替换实施方式或有利的构造同样也适用于其他权利要求形式、特别是系统、注册中心和/或存储库或计算机程序产品并且反之亦然。换言之，系统(或其他要求保护的内容)也可以利用在方法的范围内描述和/或要求保护的特征来改进。按照优选实施方式，方法是计算机实现的方法。但是在此替换地至少部分地涉及硬件方案，从而方法的各个步骤通过具有相应的功能的相应的硬件模块来执行，例如作为微控制器或微处理器的组件。在此原则上可以的是，不是所有方法步骤在同一个计算机实体上执行，而是可以对于分布的系统构造所述方法，从而单个步骤在第一计算机实体上而另外的步骤可以在其他计算机实体上执行。
[0012]本发明的一个方面由此涉及一种计算机实现的或微处理器实现的方法，用于安全访问不安全的网络环境、诸如因特网中的数据组。在此互相完全分离的，换言之也就是在物理角度来看退耦的如下不同硬件实体相互作用:
[0013]-中央注册中心，其构造为用于访问注册的计算机实体，
[0014]-至少一个与注册中心分离地提供的存储库，其用于安全关键的数据的数据保存，
[0015]-至少一个数据源和至少一个数据宿。
[0016]数据源和数据宿执行对注册中心和/或存储库的数据组的访问。优选地，数据源或数据宿为了执行访问必须在注册中心中注册一次。
[0017]如前面已经提到的，优选实施方式涉及医学【技术领域】中的应用，从而数据组是安全关键的(患者)数据。此外，数据组也包括人口统计数据，诸如患者姓名、患者出生日期、患者地址、保险数据等，其通常比安全关键的数据(例如病史数据、诊断数据、医学图像)具有对于访问的更小的安全要求。
[0018]简化地可以假定，按照本发明的建议包括四个分开的计算机实体:注册中心、存储库、数据源(例如医学成像系统或图像存储系统)和数据宿(例如诊断工作站)。当然在本发明的范围内，在此提供多个前面提到的实体，从而例如多个存储库与多个数据源和多个数据宿相互作用，其分别经由通信网通信。为了容易理解，以下通常仅描述上面提到的实体中的仅一个，而不限制本发明。
[0019]本发明的一个主要方面在于，个人的安全关键的数据决不在共同的消息中或一般地:决不与人员身份数据经由网络(例如因特网作为不安全的网络环境)一起通信。该方案带来主要优点，即，即使未授权的用户窃取了数据往来并且确定数据，也不能将该数据与个人对应。在个人和安全关键的数据之间的对应由此即使在被窃取的消息的情况下也是不可能的。
[0020]按照本发明，该方法包括如下方法步骤:
[0021]-通过将人口统计数据在注册中心中而安全关键的数据在存储库存储，分离地提供安全关键的数据和人口统计数据；
[0022]-从数据源和/或数据宿对注册中心提出注册请求，以便对于对与个人对应的数据组的访问获得以分配安全令牌的形式的注册；
[0023]-对该注册请求，从注册中心向请求的数据源和/或数据宿发放安全令牌，其可以明确地与人员身份数据组对应；
[0024]-从注册中心向存储库发送消息，包括发放的安全令牌和对应的人员身份数据组。在此该消息可以作为对于可能在后面的时刻在存储库上执行的映射规定的基础来使用；
[0025]-从数据源和/或数据宿向存储库发送带有安全令牌或带有对于请求来说明确的标识的访问消息，以访问在存储库存储的安全关键的数据；其中可选地可以发送安全令牌或在其方面与安全令牌一一对应的明确的标识；
[0026]-将映射规定应用于存储库，利用访问消息的安全令牌计算人员身份数据组。人员身份数据组按照本发明于是应当作为在被请求访问的、安全关键的数据的数据组的寻址时的索引被使用；
[0027]-通过作为索引的人员身份数据组执行对(所请求的)数据组的访问。
[0028]以下解释在专利申请的范围内使用的概念。
[0029]数据组包括至少两个数据分量:具有“安全关键的数据”分量，其要求最大程度的保护措施(最高的安全要求)，和具有人口统计数据的分量，其要求较小的保护措施并且由此要求较小程度的敏感性。按照本发明的方法的主要应用在于医学【技术领域】。安全关键的数据在此例如是患者的健康数据，诸如诊断数据、医学图像数据、病史数据、报告数据等。但是在替换的实施方式中，在此也可以是经济应用或保险应用，以及要求处理安全关键的数据的任意其他应用。“人口统计数据”在专业文献中也称为“公开数据”，因为这些数据本来就在移动数据载体上公开(例如以保险卡(或计划的健康卡)的形式:姓名、出生日期等)。“不安全的网络环境”的概念应当表示任何云系统或网络系统，在所述系统中基于计算的实体交换数据。只要网络对于任意数量的参与者对数据交换是开放的，则在本发明的意义上是“不安全的”。这一点不仅对于因特网而且对于广域网(WAN)或局域网，例如企业网或诊所网或网络连接，或对于其他数字网络都是适用的。
[0030]“注册中心”和“存储库”的概念应当表示基于计算机的、物理的硬件实体，其包括外部或内部的硬盘(例如RAID系统)或用于数据保存的其他装置和用于与其他实体通信的接口。此外其用于存储映射规定(或者成像规定)，以便检索(indizieren)在其存储器中存储的数据组。在注册中心中以及在存储库中存储的数据组可以经由索引寻址或检索。
[0031]“标识”优选是指人员身份数据组。对于医学技术应用的情况，这简单地是如下背景，即，(患者的)人口统计数据组以及(患者的)安全关键的数据组都正好必须能够与一个患者对应。在标识和(作为患者的)个人之间的对应必须以一一对应的方式是可以的。系统为此优选设置双射的映射。当一个标识与不同的个人对应或当不同的标识与一个个人对应时则出现故障。后者在现有技术中作为双重性问题(Dublettenproblem)而公知。两种情况都必须避免。标识按照根据本发明的解决方案优选由系统本身产生并且可以按照合适的安全措施形成。通常在此使用由人口统计数据必要时与其他标识性提示的组合(可选地还增加对参与的基于计算机的实体的电子地址的说明、时间戳或随机数或其他参数)。替换地，但是也可以的是，外部的系统、数据源和/或数据宿提供和使用增加的标识。该标识不一定必须与系统的标识一致。于是进行在数据源/数据宿-1D和内部ID之间的对应。该对应可以与可能出现的双重性(Dubletten)在注册中心中聚集在一起。
[0032]在注册中心中存储人口统计数据。此外存储对应(优选以表格数据结构的形式):
[0033]-个人身份标识-人口统计数据。
[0034]因为优选不重复使用安全令牌，所以按照本发明也不将该安全令牌存储，因为这将与安全风险相关。对应“安全令牌-标识”虽然必须是可用的，但是不存储。
[0035]在存储库中存储安全关键的数据。此外存储库还包括两个对应(优选又以表格数据结构的形式):
[0036]1.在个人身份标识-安全关键的数据组之间的对应，和
[0037]2.在安全令牌-个人身份标识之间的对应。
[0038]如前面已经提到的，按照本发明，个人身份标识优选由内部系统产生，该系统管理注册中心。在此存储库仅使用由注册中心利用安全令牌发送的标识。[0039]“数据源”的概念指基于计算机的实体，其产生数据组并且向存储库发送以用于存储，以便其在那里对于其他实体来说是可以访问的。数据源可以是计算机、计算机网络、设备，诸如实验室设备、成像医学系统等。它们优选通过特定的协议，特别是DICOM协议(DICOM:Digital Imaging and Communications in Medicine,医学数字成像和通信)通信。
[0040]“数据宿”也涉及基于计算机的实体，其如客户机那样工作并且从存储库请求数据。在此是工作站、移动设备(PDA、膝上电脑等)或其他电子模块。优选地，按照本发明的访问系统包括中央注册中心、多个存储库、多个数据源和多个数据宿。替换地，在此也可以考虑其他实施，从而例如可以设置多个注册中心，其由上层设置的实体来管理。同样可以仅设置一个存储库，其于是作为中央存储器工作。重要的是，所有参与的实体在空间上或物理上是分离的单元并且经过开放的网络相互作用(例如通过因特网)。
[0041]“安全令牌”优选是数字假名。由此存在在人员身份数据组和假名之间的明确对应。对于假名的产生重要的是，由假名不能推导出个人相关的数据组。换言之，“窃取”了假名的未授权的用户不能推导出个人或对于个人存储的数据组(安全关键的或人口统计数据)。在替换的实施方式中也可以，安全令牌作为硬件特征构造并且例如按照安全特征的形式(具有集成的安全芯片等的硬件实体)提供。
[0042]按照本发明的解决方案的一个主要优点在于，在按照本发明的方法运行期间，系统也能够与其他要求灵活地匹配。例如可以的是，在运行期间也可以改变存储库、数据源和/或数据宿(例如添加或删除或改变)。由此系统可以与分别当前的要求匹配并且由此是可缩放的。
[0043]按照优选实施方式，用于在参与的实体之间通信的通信协议是异步的。这(在实践中是非常广泛的并且)具有优点，即，可以在任意时刻应答在参与的实体之间被交换的消息。但是使用同步的通信协议或异步和同步协议的混合也在本发明的范围内。
[0044]优选地，假名或者说安全令牌由系统产生。在优选实施方式中这直接在注册中心上进行。替换地也可以的是，假名在其他基于计算机的实体上(例如通过采用随机发送器)产生并且然后通过接口传输到注册中心。重要的是，数据源将用于注册的请求与标识一起发送到注册中心。在此标识可以是这样的，其由数据源产生并且标识在数据源中的数据组。替换地，标识也可以是系统内部的标识，其标识了注册中心/存储库中的数据组。对于数据源的具有标识的请求，注册中心产生各自的假名(安全令牌)并且由此将假名与标识明确对应。作为对请求的应答，注册中心然后将假名发送到进行请求的数据源。
[0045]在数据宿的请求情况下使用相同的方法。在该情况下数据宿将具有标识的注册请求发送到注册中心。该注册中心对标识产生安全令牌并且将其与标识(在系统内部)对应。作为对该请求的应答，注册中心然后将假名(安全令牌)发送到进行请求的数据宿。
[0046]在前面提到的两种情况下(数据源的注册请求和数据宿的注册请求)可以的是，注册中心以两种不同的方式应答:
[0047]1.注册中心分别仅将安全令牌作为应答发送回。进行请求的实体(数据源/数据宿)然后根据各自的消息的序列将获得的安全令牌与各自的标识对应，或
[0048]2.注册中心不仅将安全令牌作为应答，而且除了安全令牌还附加地将与安全令牌分别对应的标识(或与请求分别对应的标识)发送回。在此标识-安全令牌的对应是明确的或者说在数学的意义上是单射的。在后面的、重新的请求的情况下按照本发明出于安全原因不使用相同的令牌。由此进行请求的实体(数据源/数据宿)不必进行消息的管理并且可以从注册中心的应答中直接获得标识和安全令牌的对应。
[0049]在注册中心已经进行了在标识和安全令牌之间的对应并且进行请求的实体已经应答之后，注册中心将消息发送到存储库，以便也将在标识和安全令牌之间的对应通知存储库。
[0050]在一种优选实施方式中，安全令牌仅具有临时的有效性并且由此在可配置的时间段之后自动作废。在该时间段过去之后利用该安全令牌对数据的访问不再可能。替换地也可以的是，安全令牌由注册中心管理并且将相应的消息传输到存储库。
[0051]在执行了前面提到的步骤之后，进行请求的实体(数据源或数据宿)和存储库都被通知当前发放的安全令牌。
[0052]然后可以的是，请求的实体(数据源、数据宿)将访问请求发送到存储库，因为其为了访问已经注册(也就是通过占据安全令牌)。数据源/数据宿将包括了安全令牌的访问消息发送到存储库。
[0053]在下一个步骤中存储库从接收的安全令牌和从由注册中心接收的映射规定中(在标识和安全令牌之间的对应)以明确的方式推导出标识。这优选在访问表格的条件下进行。
[0054]在另一个步骤中然后可以访问在存储库中的另一个表格。为此使用在第一步骤中计算的标识，以便利用标识推导出安全关键的数据的所请求的数据组。换言之，计算的标识用作对于对所请求的安全关键的数据组的访问的索引。在下一个步骤中然后可以根据访问形式改变该数据组。
[0055]如果由数据源进行了访问，则设置写访问，从而数据源将“新的”安全关键的数据发送到存储库，以便将其在那里在标识下存储或者说以便相应地覆盖或修改识别的安全关键的数据组。
[0056]如果请求的实体曾经是数据宿，则应当进行读访问。然后将存储库的被检索到的安全关键的数据组作为对访问请求(访问消息)的应答发送到数据宿。按照本发明在此设置两种变形:
[0057]1.存储库可以应答数据宿的读访问的请求，方法是，其将安全关键的数据的被检索到的数据组发送到数据宿。在该情况下数据宿仅获得该数据组作为对读请求的应答。接收的消息的和特别是数据组的管理在此由数据宿负责。数据宿必须从存储库接收的具有所请求的安全关键的数据的消息中找到在标识之间的对应。通过交换的消息的序列或通过相应的时间戳，这是可以的。
[0058]2.对于对安全关键的数据的读访问的请求，存储库不仅通过发送具有所请求的安全关键的数据的消息来应答，而且发送一个组合(也可以发送可能不同的消息格式的另外的分组:例如数字的和通过邮政发送的)，但是优选以元组(Tupels)的形式，包括:所请求的安全关键的数据和附加的与这些数据对应的安全令牌(或与该请求对应的标识)。在该情况下数据宿不进行其他管理步骤，而是其可以根据接收的存储库的应答消息直接推导出在标识和安全关键的数据之间的对应。
[0059]第一变形的优点在于，还可以进一步提高安全性，因为安全关键的数据从存储库向数据宿仅单独地而没有其他安全令牌地(这间接允许推导出个人)被发送。
[0060]替换地也可以，在数据宿的读访问的情况下存储库作为应答发送两个消息:一个是具有所请求的安全关键的数据的消息并且另一个是可以是在时间上之前的或之后的第二消息，即，分别对应的安全令牌。在该实施方式中取消对数据宿的管理开销。尽管如此，还可以提高安全级别，因为没有其他附加的情况下使用安全关键的数据。
[0061]这些解释也用于数据源对存储库的写访问:
[0062]1.数据源将例如在时间上偏移的或按照不同的数据格式的两个不同的消息发送到存储库。在第一消息中其发送安全令牌，该安全令牌由存储库为了检索各自的数据组而使用。在第二消息中其发送用于写访问的相应的安全关键的数据。存储库利用之前接收的、从安全令牌中导出的标识检索这样接收的数据。
[0063]2.在第二变形中数据源不发送两个分离的消息，而是仅一个消息，其既包括安全令牌也附加地包括安全关键的数据。存储库又使用安全令牌来检索安全关键的数据。
[0064]优选地，安全关键的数据直接存储在存储库。替换地，存储库仅包括到在其他实体上存储的、安全关键的数据的链接(Links)。在此，存储库和其他实体处于数据交换。
[0065]由于异步协议，数据源可以执行对存储库的写访问，而数据宿同时请求或执行对存储库的另一个数据组的读访问。此外，用于进行请求的实体(数据源、数据宿)的注册的方法步骤可以在时间上独立于进行请求的实体对存储库的相应的数据访问来执行。在此仅考虑安全令牌的有效时间。除了遵守该有效时间之外，注册过程可以在访问的执行之前的任意时刻进行。由此还可以更灵活地构造该方法。
[0066]按照本发明的解决方案的一个主要优点是，对存储库中的安全关键的数据的访问可以明显更快进行，因为可以利用明确的标识进行直接检索。由此在存储库中存储的数据组可以有针对地被寻址并且具体来说不仅在存储库内部而且由进行请求的实体，即，数据源和数据宿来寻址。
[0067]此外明显提高访问系统的安全性，因为，如上所述，仅交换不同实体的消息，其中在消息中从不与安全关键的数据一起使用个人相关的数据组。换言之，如果参与的物理实体(数据源、数据宿、注册中心和存储库)在如下程度上互相分离，使得即使是不安全的网络，诸如因特网，也可以对于安全关键的数据的数据交换被使用，并且其中此外以最大的方式保护数据以防未授权的访问，即使当消息被窃取。
[0068]一个重要的优点还在于，可以明显加速访问，因为对如迄今为止需要的存储库的各个硬盘不必以相同的程度进行访问保护，这原则上加速了访问，因为安全关键的数据按照本发明不与个人身份提示一起通信。
[0069]本发明的一个主要方面也在于，使用两个不同的标识特征:一个是个人身份标识，其适用于个人并且这终生有效，并且另一个是安全令牌，其由系统产生并且仅临时有效。不允许第三方从标识推导出安全令牌。同样也不允许第三方反过来从安全令牌推导出标识。原则上标识应当一一对应地标识人员。换言之设置在真实的个人和标识之间的双射映射。但是在通常的IT健康系统中由于安全性原因容忍所谓的双重性(Dubletten)。由此人员原则上也可以具有不同的标识。存储库按照本发明可以根据外部的人口统计特征始终分辨该双重性并且为此相应地多次执行上面描述的安全令牌的发送过程。该分辨作为方法可以在注册中心中任何时候引入、修改或禁止，而不改变持久的数据库。
[0070]通常标识由注册中心产生。为此可以设置不同的机制。通常对不同参数的组合执行Hash函数，包括所有或选择的以下数据:人口统计数据、本地时间说明、必要时的对于网络而言明确的区域标识、并且必要时的其他参数。替换地也可以的是，标识不是由注册中心，而是由另一个实体，例如由进行请求的实体(数据源、数据宿)或其他实体产生并且将其向注册中心转发。无论如何必须确保，第三方不能够从一个安全令牌的知识推导出另一个安全令牌。
[0071]在此要指出，该用于产生安全令牌的机制不限制本发明的内容。换言之也可以采用用于令牌产生的不同方法。例如可以对以下参数使用Hash函数:由操作系统平台根据请求形成的⑶ID(globally unique identifier,全局唯一标识)、本地时间、随机数和/或新的安全令牌的有效性的已过去时间。
[0072]前面提到的任务的另一个解决方案在于一种根据所附权利要求的用于安全访问数据组的系统。该系统包括在物理角度来看互相分离的硬件实体:优选中央注册中心、至少一个存储库和多个数据源和多个数据宿。
[0073]注册中心按照本发明通过通知模块扩展，该通知模块构造为，将消息从注册中心发送到存储库，以便将当前向分别对应的标识发放的安全令牌通知存储库。
[0074]数据源按照本发明构造为具有注册模块，所述注册模块用于将注册请求发送到注册中心并且接收其(具有安全令牌的)结果。此外数据源构造为具有访问模块，用于执行具有安全关键的数据的和具有安全令牌的、对存储库的写访问。
[0075]同样地，数据宿构造为具有注册模块，用于将注册请求发送到注册中心并且接收其结果(安全令牌)。此外数据宿构造为具有访问模块，用于执行数据宿对存储库的数据组的读访问。其用于将具有安全令牌的读访问发送到存储库并且接收存储库的应答，该应答包括所请求的安全关键的数据，所述数据与安全令牌对应。
[0076]存储库按照本发明扩展为具有检索模块，该检索模块构造为用于访问两个表格，以便从进行请求的实体的安全令牌导出标识并且以便在第二步骤中从导出的标识检索所请求的安全关键的数据组并且准备用于访问。
[0077]前面关于方法提到的本发明替换实施方式同样也可以应用于具有模块的系统。
[0078]另一个解决方案在于按照所附权利要求的注册中心和存储库，以及在于计算机程序产品。计算机程序产品可以包括计算机程序，所述计算机程序可以存储在存储介质上(例如移动数据载体或计算机的内部存储器)。也可以的是，计算机程序作为分布式系统提供，从而通过方法步骤的单个功能定义的各个模块可以在系统的不同实体上执行。在此，可以提供计算机程序的各个部分用于下载。
【专利附图】

【附图说明】
[0079]在以下的详细的附图描述中根据附图描述具有其特征和其他优点的、不是限制性理解的实施例。其中，
[0080]图1示出按照优选实施方式的本发明系统的概览式示意图和按照时间顺序的在此交换的消息，
[0081]图2在总图中示出参与的物理实体的示意图，
[0082]图3示出在各个实体之间交换的消息和物理特征的示意图，以及
[0083]图4示出为了注册的目的在注册中心和数据源/数据宿之间交换的消息的示意图。【具体实施方式】
[0084]以下结合实施例参考图1详细解释本发明。
[0085]本发明涉及一种用于安全访问在不安全的网络环境、诸如因特网中的数据组的系统和方法。在此参与的硬件实体通过因特网进行数据交换，例如存储器实体，包括多个硬盘、提供(根据应用情况具有不同内容的)数据的多个数据源Q、请求数据的多个数据宿S。
[0086]如图2示意性示出的，按照本发明的一种优选实施方式，设置中央注册中心REG，其通过因特网与其他硬件实体通信:与多个数据源QpQ2、多个存储库REPpREPyREP3、多个数据宿SpS2等。替换地也可以不是仅设置一个中央注册中心REG，而且在此提供由上层布置的实体来管理的多个注册中心实体。然后在数据交换中必须对分别选定的注册中心进行寻址。其他实体数据源1、存储库REP和数据宿S通过因特网进行数据交换。
[0087]在图1中为清楚和简单起见仅示出一个数据源Q、一个存储库REP和一个数据宿S，用于解释在这些实体之间的数据交换。如上所述，在现实中提供多个数据源Q、存储库REP和数据宿S。
[0088]在本发明的一个主要实施方式中，本发明涉及通过因特网对医学或健康相关的数据组的安全访问的提供。数据源Q是医学成像系统、归档系统，诸如PACS系统(PictureArchiving and Communication Systems,图像归档和通信系统),其本身通常作为网络实现并且访问存储库REP的云。当然数据源Q也可以具有本地存储器。原则上数据源Q由不同的硬件或基于计算机的实体构成，其在各自的应用中作为数据的提供者(供应者)或发送者起作用。数据宿S例如可以是任意的客户机，其在工作站处工作，以便例如观察医学诊断或另外处理患者数据。根据应用，数据宿可以由请求安全关键的数据的、不同的基于计算机的构件形成。
[0089]本发明原理上来源于如下问题:如何能够在网络中快速和安全地传输安全关键的数据(例如医学患者数据或其他待保护的用户财经数据)，并且其中同时允许所有参与的实体对各自的安全关键的数据尽可能灵活地访问。最高程度的灵活性在目前的应用中可以通过经由因特网的访问可能性来提供。但是经由因特网的数据交换是高度不安全的，因为其可能被未授权的第三方窃取，从而所拦截的数据可能被滥用。由此上面提到的两个目标实际上是矛盾的和本质对立的或者说互补的。专业人员在使得数据交换更安全这一问题中原则上不会考虑使用不安全的因特网。尽管如此，按照本发明的解决方案提供一种系统，在该系统中可以使用因特网，但是在参与的实体之间通过因特网的数据交换就此而言仍是满足最高的安全要求的，因为绝不会交换如下消息，所述消息将人员身份数据与安全关键的数据一起通信。
[0090]原则上建议的用于访问的系统或方法涉及敏感的数据或具有不同安全等级的数据。根据应用，在此例如可以是患者的健康数据或用户的财经数据。在此，将这些数据组划分为两个不同类别:
[0091]1.人口统计数据DD和
[0092]2.安全关键的数据SD。
[0093]人口统计数据同样是安全关键的数据，但是其比安全关键的数据SD具有稍低的敏感性。人口统计数据DD例如是相应的个人的姓名、出生地点、出生年月、承保单位、雇主或由外部的(不与注册中心REG也不与存储库REP对应的)实体给出的身份。“外部的身份”例如可以是外部的标识，例如，索引，其由数据源/数据宿使用，以便关于数据源/数据宿对数据组进行寻址。该标识不一定必须与由注册中心/存储库系统使用的标识一致。按照本发明在此设置映射。
[0094]原则上本发明在如下方面显得突出:人口统计数据DD和安全关键的数据SD在两个不同的硬件实体中(例如存储器-服务器)和在物理的角度上互相分离地被提供。人口统计数据DD在注册中心REG中并且安全关键的数据SD在存储库REP中提供。
[0095]如果从任何位置请求对存储库REP中的安全关键的数据SD的访问，则这仅当首先在第一步骤中由注册中心REG成功请求注册并且相应地进行请求的实体可以被提供时才是可以的。
[0096]在注册中心REG以及在存储库REP中都存储敏感的数据。这些数据组对于访问必须是可寻址的。
[0097]按照本发明现在设置，为了对相应的数据组寻址，使用两个不同的标识系统。
[0098]1.个人身份标识ID和
[0099]2.也可以按照假名PS形式构造的安全令牌。
[0100](内部的)标识ID用于一一对应地标识个人并且由此也标识与该个人对应的数据组。例如可以通过标识ID请求患者的所有的诊断文件、所有的图像数据、以及其人口统计数据DD。标识ID检索注册中心REG和存储库REP的系统中的个人相关的数据组。在此指出，数据源Q以及数据宿S可以具有其他标识。
[0101]为了安全的目的，标识ID仅被内部地使用并且不与消息一起向数据源Q和数据宿S (并且由此不向外)输出(仅注册中心REG将消息与标识ID —起发送到存储库REP)。优选地对在这两个实体之间的通信进行提高的监视(例如加密等)。安全令牌或假名PS可以向外通信。
[0102]安全令牌PS可以按照两个不同的形式提供:
[0103]1.作为数字代码，按照假名PS的形式或
[0104]2.作为硬件构件，例如按照具有用于标识的相应的芯片的USB棒的形式或按照具有代码的安全卡的形式，该代码可以作为磁条或者在芯片上实现，此外也可以实现其他数据载体或密钥。
[0105]优选地，标识ID在注册中心REG中被产生。替换地,这也可以由通过相应的接口与注册中心REG相连的单独的实体执行。
[0106]按照一个方面，安全令牌或假名PS也由注册中心REG产生。在此提供映射，该映射从个人相关的标识ID指向相应的假名PS以及反过来。同样设置在标识ID和在注册中心REG中存储的人口统计数据DD之间的映射。换言之，可以将标识ID用于有针对地请求或寻址注册中心REG中的人口统计数据DD的数据组。
[0107]如图1所示和上面所述，注册中心REG在优选实施方式中包括安全令牌发生器10和标识发生器11。
[0108]以下参考图1详细描述用于执行对安全关键的数据组的安全访问的方法的按照本发明的流程。
[0109]在图1中交换的消息利用附图标记“S1”、“S2”、“S3”和“S4”表示。在此数字在优选实施方式中表示步骤的顺序。
[0110]利用“S”表示的步骤表示在数据源和注册中心/存储库之间交换的消息。在由数据源Q对存储库REP执行的访问中，是STORE或写访问(由此与数据源Q有关地交换的消息作为S (代表STORE)表示)。[0111]与此不同地，数据宿S构造为从存储库(或从注册中心)读取数据；由此是RETRIEVE命令。相应地，与数据宿S有关地交换的消息S利用“R”表示，如“町”、“1?2”、“1?3”和“R4”(参见图1)。如在STORE命令中那样，数字应当表示优选实施方式中的步骤的顺序。
[0112]对于写访问的执行，优选成立以下流程。
[0113]在第一步骤SI中数据源Q利用注册模块22在说明标识ID的情况下访问注册中心REG。标识ID可以是明确标识数据源Q内部的数据的那样的标识。标识ID不一定必须也是对于注册中心REG和/或存储库REP中的数据组的标识，因为设置了内部标识(对于注册中心和存储库来说是内部的)上的映射。由数据源Q向注册中心REG发送的标识ID可以是人口统计数据DD的选择，例如患者姓名、患者出生日期或其他患者相关的数据组。
[0114]标识然后由注册中心接收并且处理。如果标识已经是内部的标识则不需要到内部标识的进一步映射功能。否则，也就是如果从数据源Q向注册中心REG发送的标识ID仅是人口统计数据的一部分并且由此不构造为明确标识个人特定的数据(例如仅患者姓名)，则设置映射，以便从人口统计数据DD的接收的部分中产生系统内部的标识ID。这由注册中心REG的标识发生器11进行。利用这样确定的标识ID可以产生假名PS。这通过注册中心REG的安全令牌发生器10执行。在此有利地设计有:在此在标识ID和假名PS之间设有双射映射。由此可以将正好一个标识与正好一个假名对应。
[0115]然后执行以下两个步骤，其顺序是可变的。
[0116]从注册中心REG向存储库REP发送消息，包括向存储库REP发放的安全令牌PS和对应的个人身份标识ID，从而在存储库REP的后面访问时这些接收的数据可以作为映射规
定使用。
[0117]在该步骤之前、之后或同时，在步骤S2中将确定的假名PS发送到数据源Q的注册模块22。在此重要的是，假名PS仅具有临时有效性并且在可配置的时间段之后到期。由此对存储库REP的数据访问仅在有效时间内是可以的。
[0118]在第三步骤S3中由数据源Q的访问模块24执行对存储库REP的访问，其中将分配的假名PS通知给存储库。
[0119]在该消息中、与该消息同时或在附加的其他消息中(必要时按照另一种格式和/或通过另一种通信协议，例如通过邮政或通过移动无线电)然后可以将安全关键的数据SD由数据源Q的访问模块24在步骤S4中发送到存储库REP。存储库REP由此具有了所有信息，以便检索在存储库REP上的访问。为此存储库REP使用来自于其从注册中心REG获得的映射规定中的对应。从该映射规定中其可以将在步骤S3中接收的假名PS明确地与内部的个人身份标识ID对应。利用对应的标识ID可以进行所访问的安全关键的数据SD的检索。
[0120]以下结合图1描述RETRIEVE命令。
[0121]在第一步骤Rl中将注册请求作为消息由数据宿S的注册模块32向注册中心REG发送。注册请求优选包含用于标识数据组的标识。在此可以是在数据宿S上使用的标识。其不一定必须也作为在注册中心REG中和/或在存储库REP中的标识被使用，因为按照本发明设置了映射规定。该情况对于如下的消息也成立，所述消息由数据源Q向注册中心REG发送并且在图1中就如下而言被表示，即由数据源/数据宿向注册中心REG发送的消息分别包括一个替换，也就是“ID/DD”。这一点应当表示，即，发送的标识不一定必须由系统发放。其可以通过映射规定“映射”到系统内部的标识ID。
[0122]在获得消息Rl之后，注册中心REG可以将安全令牌PS发放给发送的标识。如上面结合STORE命令解释的，然后按照可选的顺序从注册中心REG将消息发送到存储库，利用所述消息，将对应“ ID-PS ”通知存储库。
[0123]附加地在步骤R2中将对应的假名PS (假名的概念在该说明书的范围内作为概念安全令牌的同义词使用)发送到数据宿的注册模块32。
[0124]数据宿S然后可以在后面利用访问模块34的访问阶段将获得的假名PS在步骤R3中发送到存储库REP。
[0125]存储库REP能够从接收的假名PS中借助(从注册中心REG接收的)映射规定“ID-PS”推导出系统内部的标识ID。借助标识ID可以检索安全关键的数据组SD。数据组SD在步骤R4中被发送到数据宿的访问模块34。
[0126]如图1所示，交换的消息不包含与个人身份标识(例如患者姓名等)结合的敏感数据(安全关键的数据或人口统计数据)。这意味着，只有当消息之一被拦截时，才仅传输安全关键的数据，诸如患者图像、诊断等，或者仅人员身份数据或其部分，诸如患者姓名、患者出生日期等。哪些医学健康数据与哪些患者对应的对应即使在拦截消息的情况下也是不可能的。
[0127]存储库REP构造为具有索引模块42，其确定为用于对于访问检索相应的安全关键的数据。
[0128]如上所述，安全令牌可以是以假名PS形式的数字编码的信号或者是硬件构件。以下结合图3解释本发明的实施方式，其中安全令牌是分配的密钥，其携带于物理介质上，例如芯片卡或芯片或例如以条形码，例如一维条形码或优选按照数据矩阵标准(例如ISO/IEC16022:2000和IS0/IEC TR24720:2008)的二维条形码形式的光学信号。
[0129]在该实施方式中，用于发送安全令牌PS的通信通道与用于带有标识ID、人口统计数据DD、安全关键的数据SD的消息的交换的通信通道不同。人口统计数据DD、安全关键的数据SD和标识ID优选通过计算机网络、例如因特网交换，而在该实施方式中安全令牌PS作为例如以芯片卡等形式的物质化的安全特征按照其他路径，例如按照邮政路径(Postwege)发送。安全令牌PS在该情况下携带注册的特征(Priiguiig),该特征被需要用来执行对存储库REP的访问。该特征然后由存储库REP与在单独的消息(Nacht)中从注册中心REG获得的参考特征进行比较。在此由注册中心REG向存储库REP发送的消息也按照不同的通信协议或网络传输，诸如通过邮政或作为数字消息通过因特网传输。如果注册中心REG将分配的安全令牌PS作为模拟消息例如通过邮政发送到数据源Q或存储库REP，则进行接收的实体构造为具有转换模块，用于将接收的信号自动地转换为数字信号，这然后在实体上可以被进一步处理。
[0130]结合图4再次详细描述注册中心REG如何可以应答来自数据源Q或数据宿S的注册请求的不同可能性。这涉及消息S2 (对于数据源Q)和R2 (对于数据宿S)。[0131]作为对来自进行请求的实体(数据源Q、数据宿S)的注册请求的应答，在注册中心REG上产生安全令牌或假名PS。按照本发明现在设置:应答信号在步骤S2或R2中如何能够被转发到进行请求的实体的不同的可能性。在第一种情况下仅转发假名PS。这在图4中利用实线箭头表示。替换的可能性在图4中利用虚线表示。一种可能性在于传输由标识和假名的组合消息。在此例如可以是(数字的)数据元组或是通过邮政发送的组合信件。替换地在此可以考虑两个组合的消息。标识在此涉及由注册中心REG和/或存储库REP使用的系统内部的标识。另一种可能性在于，从注册请求接收信号并且发送回组合消息，包括来自于(在步骤SI或Rl中传输的)请求消息中的人口统计数据DD并且将其与分配的假名PS组
口 ο
[0132]如果不发送组合消息，而是仅发送分配的假名PS，则进行请求的实体Q、S的任务是将在来自于注册请求(S1、Rl)的数据之间的对应与获得的假名PS相关联。这可以通过时间上的对应或通过寻址功能执行。
[0133]原则上在按照本发明的解决方案中，在对存储库REP(或对存储库REP的安全关键的数据SD)的访问之前总是进行向注册中心REG的注册请求，以便获得对于对存储库REP的访问的假名PS。也就是对存储库REP的访问总是以之前对注册中心REG的访问为条件。但是也可以的是，数据源Q或数据宿S仅愿意访问在注册中心REG中存储并且具有更小的安全特性的那些数据。例如这包括对特定患者的出生地点的访问。在这种情况下，注册中心REG对注册请求仅执行第一映射功能，即其从人口统计数据DD或其部分(其是注册请求
S1、Rl的组成部分)过滤出相应的数据组。这样检索的数据组然后可以作为应答送回到进行请求的实体。这例如也包括如下情况，在所述情况中数据源Q或数据宿S愿意对其注册数据进行更新。假名PS的产生可以被禁止并且具有对存储库REP的访问的后置步骤也同样。
[0134]由此，不一定必须执行所要求保护的方法的所有步骤。
[0135]由于异步协议，交换的消息关于数据交换(例如时间)可以是互相独立的。这具有如下结果，即，数据源Q例如可以与数据宿S同时将消息发送到注册中心REG或存储库REP。
[0136]优选地，在配置阶段中，可以确定对于数据交换的安全参数。在此例如可以确定对于假名分配PS的有效时间。
[0137]按照优选实施方式的安全措施也在于，对存储库REP的每个访问仅可以在成功注册之后进行。对存储库REP的访问仅可以借助假名PS执行。对具有人员身份数据或其部分的存储库REP的“直接”访问被排除。
[0138]在优选实施方式中，该方法作为基于计算机的方法提供。在此其可以在分布的环境中被应用，从而方法的各个步骤可以在不同的基于计算机的实体上执行。同样，各个可执行程序部分仅可以在相应的计算机上被加载并且不是作为可执行的代码呈现。
[0139]计算机程序或其部分可以固定实现地在硬件实体中集成或其可以作为单独的添加模块被连接或其可以在存储介质上被存储。
[0140]注册中心REG通常作为世界性的上层布置的认证实体来操作，而存储库REP由不同的国家和/或区域的、在注册中心REG中注册的实体来操作。数据源Q和/或数据宿S可以是在健康系统或其他应用范围内的任意的实体和应用。也可以的是，数据源Q和数据宿S在运行期间交换其功能并且按照分别另外的角色工作。例如如果数据源Q或数据宿S是放射性系统，则其可选地可以作为数据发送者/源和数据接收者/宿工作。其角色由此不是规定死的。
[0141]如刚才所述，在优选实施方式中数据源Q和数据宿S的“角色”可以交换。由此这些实体有利地具有相同的构造，从而注册模块22、32在功能的角度来看是对应的。对于访问模块24、34也同样成立。
[0142]也可以的是，按照本发明的访问系统应当仅限制到一个特定的访问种类。如果其应当仅限于STORE访问，则其仅由注册中心REG、数据源Q和存储库REP组成。如果应当仅对于RETRIEVE构造，则系统仅由注册中心REG、数据宿S和存储库REP组成。前面描述的系统的部分和各个实体应当在本申请的范围内得到保护。
[0143]优选地，可以全自动地操作注册中心REG。对于注册中心的操作不需要用户交互。由此成本以及管理开销都得到节省。
[0144]按照本发明的解决方案的优点也在于，系统就如下而言是可缩放的:可以在任何时候添加、删除或改变各个实体。由此也可以在运行期间添加数据源Q、数据宿S或其他存储库REP。
[0145]另一个优点也在于，注册和与此相关的过程在不需要的情况下不被执行。只有当数据源Q或数据宿S计划访问存储库REP时，才请求和执行在注册中心方面的注册。在注册中心REG上由此不产生不需要的注册数据并且相应地也不需要被管理。
[0146]数据与其存储位置的对应和由此在存储于注册中心REG上的敏感数据和在存储库REP上存储的那些敏感数据之间的分离优选由另一个实体并且自动地进行。设置使得同样是个人相关的人口统计数据DD不包含健康信息并且用于管理和/或识别任务。其优选包含相应的个人的姓名、出生地点、出生日期、承保单位、雇主或相应的其他参数。
[0147]按照本发明设置用于产生安全令牌PS的不同变形。在第一变形中根据来自于注册请求的数据建立假名PS。换言之，数据标识ID和/或人口统计数据DD的全部或选择的数据用作为对于标识发生器11的输入，以便产生假名PS。替换地也可以，独立于来自于注册请求的数据产生假名PS并且在此设置用于产生安全令牌或假名PS的、可配置的产生规定。在此可以对所有或选择的以下参数使用Hash函数:
[0148]-一一对应的全局标识，例如具有128比特的全局唯一的数字作为所谓的全局唯一标识(GUID),
[0149]-本地时间，特别是系统时间，
[0150]-随机数，和/或
[0151]-用于假名PS的有效性的流逝时间。
[0152]如前面已经提到的，此外还可以的是，标识在注册中心上产生或者替换地在进行请求的实体，诸如数据源Q或数据宿S上产生。在第二替换中进行请求的实体对于注册请求相同地使用标识ID。其他情况下外部的标识必须被“映射”到系统内部的标识ID上。
[0153]存储库REP通过提供两个数据结构，即一个静态的数据结构，其中存储了在标识ID和安全关键的数据SD之间的(固定分配的)对应，和一个动态的数据结构，其中存储了在(动态分配的)假名PS和标识ID之间的对应。存储库还包括用于与其他实体数据交换的接口。对于其他基于计算机的实体当然同样成立。
[0154]总之可以如下描述前面详细解释的建议:提供一种方案，利用所述方案也可以通过不安全的因特网执行具有不同安全级别的敏感数据的数据交换。在此将安全关键的健康数据SD与人口统计数据DD分离地存储。对安全关键的数据SD的访问仅在以假名PS成功注册之后才可以执行。
【权利要求】
1.一种用于安全访问不安全的网络环境中的数据组的方法，其中，以下分别互相分离的硬件实体互相进行数据交换: -中央的注册中心(REG)， -至少一个与所述注册中心(REG)分离地提供的存储库(REP)， -至少一个数据源(Q)和至少一个数据宿(S)，其为了对所述存储库(REP)进行数据访问而分别优选地必须在所述注册中心(REG)处注册一次，其中，所述数据组包括人员的人口统计数据(DD)和安全关键的数据(SD)，并且其中，不将人员的安全关键的数据(SD)与人员身份数据一起通信，所述方法具有以下方法步骤:-通过将所述人口统计数据(DD)在所述注册中心(REG)中存储而所述安全关键的数据(SD)在所述存储库(REP)中存储，分离地提供所述安全关键的数据(SD)和所述人口统计数据(DD)， -从所述数据源(Q)和/或所述数据宿(S)向所述注册中心(REG)进行注册请求(SI，R1)，以便为访问与人员对应的数据组而获得以安全令牌(PS)的分配为形式的注册，-对所述注册请求发放安全令牌(PS) (S2，R2)，所述安全令牌可以与个人身份标识(ID)明确对应， -由所述注册中心(REG)向所述存储库(REP)发送消息，包括发放的所述安全令牌(PS)和对应的个人身份标识(ID)，作为映射规定， -向所述存储库(REP)发送所述数据源(Q)和/或所述数据宿(S)的具有所述安全令牌(PS)的或具有对于所述请求来说明确对应的标记的访问消息(S3、R3)，用于访问在所述存储库(REP)中存储的安全关键的数据(SD)， -将所述映射规定应用在所述存储库(REP)上，以便利用来自所述访问消息的安全令牌(PS)算出个人身份标识(ID)并且通过所述个人身份标识(ID)检索所请求的数据组， -执行对所检索到的数据组的访问。
2.根据权利要求1所述的方法，其中，所述安全令牌(PS)具有临时有效性，和/或在一个可配置的时间段之后失效。
3.根据上述权利要求中任一项所述的方法，其中，在安全令牌(PS)和个人身份标识(ID)之间的对应由所述注册中心(REG)和/或由所述存储库(REP)管理。
4.根据上述权利要求中任一项所述的方法，其中，所述数据组是患者的医学或健康相关的数据组，并且所述数据源(Q)和/或所述数据宿(S)是医学的图像存储系统。
5.根据上述权利要求中任一项所述的方法，其中，所述安全关键的数据不是直接存储在所述存储库(REP)中，而是只能够通过在所述存储库(REP)中存储的电子链接来访问。
6.根据上述权利要求中任一项所述的方法，其中，使用同步和/或异步的通信协议。
7.根据上述权利要求中任一项所述的方法，其中，所述安全令牌(PS)是模拟信号，特别是条形码、硬件成分和/或软件成分。
8.根据上述权利要求中任一项所述的方法，其中，访问包括从所述数据源(Q)对所述存储库(REP)的写访问和从所述数据宿(S)对所述存储库(REP)的读访问。
9.根据权利要求7所述的方法，其中，所述数据源(Q)为了执行对所述存储库(REP)的写访问而在第一消息中仅将所述安全令牌(PS)并且在第二消息中仅将对于所述写访问安全关键的数据(SD)发送，并且所述存储库(REP)从这样接收的消息中建立在所述安全关键的数据(SD)和所述安全令牌(PS)之间的对应，或者其中，所述数据源(Q)为了执行所述写访问而向所述存储库(REP)发送消息，该消息包括安全令牌(PS)或对于请求来说明确的标记以及安全关键的数据(SD)。
10.根据权利要求7或8所述的方法，其中，所述存储库(REP)作为对数据宿(S)借助所述安全令牌(PS)进行的、用于执行读访问的访问请求的应答，仅将所请求的安全关键的数据(SD)向所述数据宿(S)发送，或者发送由安全令牌(PS)或对于请求明确的标记以及所请求的安全关键的数据(SD)构成的组合，优选在一个消息中发送该组合。
11.根据上述权利要求中任一项所述的方法，其中，即使在运行期间也可以添加、删除和/或改变存储库(REP )、数据源(Q)和/或数据宿(S )。
12.一种用于安全访问在不安全的网络环境中的数据组(DD，SD)的系统，包括以下处于数据交换中的和分别互相分离的硬件实体: -用于存储人口统计数据(DD )的中央的注册中心(REG)，其旨在于对来自数据源(Q)和/或数据宿(S)的注册请求来发放安全令牌(PS)并且其包括通知模块(12)，所述通知模块旨在于向存储库(REP)发送消息，其中，所述消息包括发放的安全令牌(PS)和对应的个人身份标识(ID)， -至少一个与所述注册中心(REG)分开地提供的存储库(REP)，用于存储和管理安全关键的数据(SD )，该存储库包括索引模块(42 )， -至少一个数据源(Q)和至少一个数据宿(S)，其为了对所述存储库(REP)进行数据访问而分别必须在所述注册中心(REG)处注册一次并且其分别包括注册模块(22，32)和访问模块(24，34)，其中，所述注册模块(22，32)旨在于向所述注册中心(REG)发送注册请求并且用于接收作为对所述注册请求的应答的安全令牌(PS)，并且其中，所述访问模块(24，34 )旨在于向所述存储库(REP )发送具有所述安全令牌(PS )的或具有对于所述请求来说明确的标记的访问消息，并且用于访问所述存储库(REP )上的所述安全关键的数据(SD )， 其中，所述数据组包括人员的安全关键的数据(SD)和人口统计数据(DD)，并且其中，不将人员的安全关键的数据(SD)与人员身份数据(DD，ID) 一起通信。
13.一种在按照权利要求12的系统中使用的注册中心(REG)。
14.一种在按照权利要求12的系统中使用的存储库(REP)。
15.一种计算机程序产品，其可以被加载到数字计算机的存储器中并且包括计算机程序段，利用所述计算机程序段当所述计算机程序段在计算机上运行时执行按照前面所述的方法权利要求中的至少一项的全部或选择的步骤。
【文档编号】H04L29/06GK103477603SQ201280014784
【公开日】2013年12月25日 申请日期:2012年1月24日 优先权日:2011年2月8日
【发明者】G.海登赖克, W.利兹 申请人:西门子公司