医療機器用のアクセス・データを生成する方法
本発明は、患者データ用の1つのメモリを自由に使用できるようになっている医療機器用の、1回限り有効な1つのアクセス・コードを生成する方法に関する。その方法では、1つの機器内部識別符号から1つの照会鍵が生成されて1つの認証局に送信され、該認証局が該照会鍵から1つの付属許可鍵を生成する。付属許可鍵は、入力されると該機器へのアクセスを可能にすると同時に、該内部識別符号を変更することにより該アクセス・コードを2度と使用できないようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、医療データまたは患者データの保護された1つのメモリを自由に使用できるようになっている医療機器用のアクセス・データを生成する方法に関する。
【背景技術】
【0002】
医療機器に記録または記憶される患者データへのアクセスには、厳しい法的要求が課されている。これらのデータの閲覧が許される機器の利用者の同定および認証は、常に最低限の要求項目となっている。しかし、そこでは実際に起こり得る問題として、アクセス権の喪失(たとえばパスワードを失念した、これまでの利用者が、正確な情報の引継ぎを行わずに病院/診療所を去った)がある。
【0003】
アクセス権を承認するデータ(大抵の場合:ユーザー・コード/パスワード)は、原則的に安全な場所(金庫内の封緘した封筒)に保管されるとよい。パスワードの定期的な変更は、初歩的な安全対策とされているが、実際には保管されているパスワードが最新のものであることを保証するのは困難である。この方法は、前提として(これまでの)利用者の協力も必要とするが、これは必ずしも得られるとは限られない。
【0004】
広く一般に行われている方法では、秘匿された、限られた人間集団(たとえばサービス要員)だけに知られている、認証を不要とするアクセス(たとえば、秘密のホットキー、パスワードの変更が不可能なサービス・ユーザー・コード−「秘密汎用パス鍵」)が備えられ、それにより、データへの直接アクセスを許容するほかにも、失われたアクセスの、いずれか1つの既知の値または新たに定義されることになる値へのリセットも許容している。この方法では、患者データを効果的にかつ追跡可能であるように保護できるかどうかが、秘密汎用パス鍵が信用できる人物だけに知らされるかどうかにかかってくるために、これを保証することはできない。これは、実際には実現不可能であるし、また特に秘密保持の実行については、検証が事実上不可能である。
【0005】
そのもの自体が保護されている鍵(たとえばUSBまたはパラレル・ポートに接続される「ドングル」)を使用することにより、(秘密汎用パス鍵の場合のような)アクセス情報の規制されない転送が防止されるとともに、そのもの自体が保護された鍵を用いて行われたマニピュレーション(失われたアクセスのリセット)の検証が容易となる。しかし、他方ではそれにより権限を持つ者(たとえば権限を与えられたサービス・スタッフ)本人がその場に居合わせることが要求されるが、それには時間も費用もかかってくる。同時に、そのもの自体が保護された鍵が盗まれたり偽造されたりするとたちどころに、全ての機器に関して、アクセス保護が破られたことになる。
【発明の開示】
【発明が解決しようとする課題】
【0006】
本発明が解決しようとする課題は、データを記憶している機器本体のマニピュレーションなしで、失われたアクセス権の規制された許可を行うことにある。
規制された許可とは、ここでは、同定された機器とは別の機器へのアクセスを得るためにこの方法を悪用できないこと、また、このアクセス方法が、その使用直後には無効となること、すなわち、この同定された機器にとっても「汎用パス鍵」とはならないことを意味している。
【課題を解決するための手段】
【0007】
この課題は、医療機器またはシステム用の1回限り有効な1つのアクセス・コードを生成する方法であって、
a)機器側で少なくとも1つの機器内部識別符号から1つの照会鍵を生成する工程、
b)この照会鍵を1つの認証局に伝送する工程、
c)認証局がこの照会鍵から1つの許可鍵を生成する工程、
d)この許可鍵を機器に伝送する工程、
e)機器がアクセスを許可する工程、
f)機器側で機器内部識別符号の内の少なくとも1つをランダムに変更する工程
を備える方法により、解決される。
【0008】
その際には、少なくとも1つの機器内部識別符号のランダムな変更が、1つの乱数発生器を利用して行われるようにすると、有利である。
あるいは、その代わりに、少なくとも1つの機器内部識別符号のランダムな変更が、1つの予め定義された複数の識別符号のリストの中からランダムに選択することにより行われるようにしてもよい。その際には、照会鍵の伝送および許可鍵の伝送が、データ記憶媒体またはオンライン・データ伝送システムを利用して行われるようにするとよい。
【0009】
認証局は、機器の製造会社またはそれにより権限を与えられたステーションとのアクセス状態にあり、かつ、それ自体としては知られているように、機器が正規に取得されたものであるかどうか、サービスまたは保守契約が存在するかどうか、および機器のデータにアクセスする権限を持つ人物からアクセス・コードの要求が出されたかどうかのうちの少なくとも1つをチェックすることにより、アクセス・コードを要求する権限を検査することができる状況にある、1つのコンピュータまたはその他の情報演算処理ユニットであると有利である。
【発明を実施するための最良の形態】
【0010】
以下では本発明を好ましい実施例に基づき説明する。
医療機器は、少なくとも1つの(十分な確率で)一義的な、好ましくは予測不能な内部識別符号Kiが記憶されている1つのメモリ1を有している。この識別符号Kiから、1つの演算ユニットにおいて1つの照会鍵SA(Ki)が生成される。これは、任意の長さの1つの文字ストリングまたは複数の数字の列またはその類であるとよいが、これについては、少なくとも10個の文字が備えられると有利である。あるいは、その代わりに、印刷不可能な文字も含まれている1つのバイト列であってもよい。この照会鍵は、安全であることが好ましい1つの通信路2(たとえば郵便、電話、署名入り電子メール、データ記憶媒体により)を介して認証局に送信される。この認証局は、たとえば、機器の製造会社の、照会の認証検査(送信者の身元および新しいアクセス・コードを要求する権限)を行うことができる立場にあるカスタマーサービスまたはサービスであるとよい。適切な暗号化方式D(SA,SM)を用いて、たとえば、1つのコンピュータにより、この照会鍵から1つの秘密マスター鍵SMを利用して1つの許可鍵SF,e=D(SA,SM)が生成され、この許可鍵SF,eが1つの安全な通信路を介して機器のアクセス・コードを変更する権限を与えられた顧客の1つのステーションに返送される。
【0011】
データを記憶している機器のソフトウェアには、内部で、また、それ故に利用者が閲覧できないように、許可鍵SF,i=D(SA,SM)を演算できるようにするために、同じ暗号化方式および同じ(秘密)マスター鍵がインプリメントされている。認証局により演算された許可鍵と利用者により入力された許可鍵との比較から同一性SF,e=SF,iが確認されると、機器のアクセス・コードがリセットされ、内部識別符号Kiが適切に、しかし、予測不能であるように変更される。その際に、アクセス・コードのリセットについては、様々な方法で実現することができるが、たとえば、前もって取り決められた1つのパスワードをセットするか、1つの新しい有効なパスワードを利用者に表示するか、または、ほかにもパスワードなしでのアクセスを一時的に許容して新しいパスワードの定義付けを直接強制するようにするとよい。
【0012】
同じ機器/別の機器で上述の進行過程を再び繰り返したとしても、内部識別符号が変更されているか、別のものであるために、1つの別の照会鍵が生成されることになる。したがって、その前に使用された許可鍵は無価値であり、そのため、これを悪用することはできない。
【0013】
提案される上述の方法により、利用者が予防措置を講じたかどうかに関係なく、保護されたデータへのアクセスがもたらされ、また、その際には、汎用パス鍵の公然周知の短所が回避されるようになる。ほかにも認証プロセス(許可鍵の外部演算)が機器のソフトウェアの操作から切り離されるために、サービス・スタッフがその機器のところに居合わせる必要はなく、また権限が与えられる人物(すなわち、外部プログラムを操作するために認証局側で許可鍵を生成する権限を持つ者)の数を、汎用パス鍵へのアクセスを確保する必要がある人間集団と比較して、劇的に低減することができる。
【0014】
提案される上述の解決手段は、たとえば電子メモリ、および機器のソフトウェアからの照会鍵および許可鍵の伝送方式(たとえば電子メール、またはファイルへの/ファイルからのエキスポート/インポートとして)のうちの少なくとも一つにより、様々な方向に拡張することができる。
【0015】
それ以外にも、有効な許可鍵が入力されるどうかに関係なく、ある程度長い時間間隔の経過後には(たとえば毎月1回)、内部識別符号の自動的な変更が予定されるようにしてもよい。それにより、利用されなかった許可鍵は、この期間の経過後には自動的に無価値となるために、これが不正利用のリスクとなることはない。
【0016】
内部識別符号Kiを決定する上述の方法は、幅広い範囲内で部分的に変更することができる。これについては次が考えられる:
−タイム・スタンプ、機器識別番号(たとえばシリアル番号)、および1つの乱数と組み合わせる
−不変のユーザー識別データへの各種ハッシュ機能(たとえばMD5またはSHA)を、1つの乱数と組み合わせて使用する
−機器オペレーティング・システムの各種定数(たとえばユーザー識別番号UID)を、1つの乱数と組み合わせて使用する
ほかにも、許可鍵を生成ないしは比較する上述の方法は、改良または拡張され得る。同一性のテストに代わり、たとえばRSAなどの非対称暗号化方式による署名検査を行うことが考えられるが、この場合は、伝送された照会鍵が「公開」鍵を用いて許可鍵に暗号化されて、この許可鍵が、データを記憶している機器で「個人」鍵を用いて解読されて、その解読結果が照会鍵に対して比較されることになる。(「公開」鍵および「個人」鍵という表現は、ここでは暗号学で用いられる専門用語に関している:このケースにおいては、両方の鍵が秘密に保持されなければならない。)
【図面の簡単な説明】
【0017】
【図1】本発明による方法の進行過程を簡略に示した図。
【技術分野】
【0001】
本発明は、医療データまたは患者データの保護された1つのメモリを自由に使用できるようになっている医療機器用のアクセス・データを生成する方法に関する。
【背景技術】
【0002】
医療機器に記録または記憶される患者データへのアクセスには、厳しい法的要求が課されている。これらのデータの閲覧が許される機器の利用者の同定および認証は、常に最低限の要求項目となっている。しかし、そこでは実際に起こり得る問題として、アクセス権の喪失(たとえばパスワードを失念した、これまでの利用者が、正確な情報の引継ぎを行わずに病院/診療所を去った)がある。
【0003】
アクセス権を承認するデータ(大抵の場合:ユーザー・コード/パスワード)は、原則的に安全な場所(金庫内の封緘した封筒)に保管されるとよい。パスワードの定期的な変更は、初歩的な安全対策とされているが、実際には保管されているパスワードが最新のものであることを保証するのは困難である。この方法は、前提として(これまでの)利用者の協力も必要とするが、これは必ずしも得られるとは限られない。
【0004】
広く一般に行われている方法では、秘匿された、限られた人間集団(たとえばサービス要員)だけに知られている、認証を不要とするアクセス(たとえば、秘密のホットキー、パスワードの変更が不可能なサービス・ユーザー・コード−「秘密汎用パス鍵」)が備えられ、それにより、データへの直接アクセスを許容するほかにも、失われたアクセスの、いずれか1つの既知の値または新たに定義されることになる値へのリセットも許容している。この方法では、患者データを効果的にかつ追跡可能であるように保護できるかどうかが、秘密汎用パス鍵が信用できる人物だけに知らされるかどうかにかかってくるために、これを保証することはできない。これは、実際には実現不可能であるし、また特に秘密保持の実行については、検証が事実上不可能である。
【0005】
そのもの自体が保護されている鍵(たとえばUSBまたはパラレル・ポートに接続される「ドングル」)を使用することにより、(秘密汎用パス鍵の場合のような)アクセス情報の規制されない転送が防止されるとともに、そのもの自体が保護された鍵を用いて行われたマニピュレーション(失われたアクセスのリセット)の検証が容易となる。しかし、他方ではそれにより権限を持つ者(たとえば権限を与えられたサービス・スタッフ)本人がその場に居合わせることが要求されるが、それには時間も費用もかかってくる。同時に、そのもの自体が保護された鍵が盗まれたり偽造されたりするとたちどころに、全ての機器に関して、アクセス保護が破られたことになる。
【発明の開示】
【発明が解決しようとする課題】
【0006】
本発明が解決しようとする課題は、データを記憶している機器本体のマニピュレーションなしで、失われたアクセス権の規制された許可を行うことにある。
規制された許可とは、ここでは、同定された機器とは別の機器へのアクセスを得るためにこの方法を悪用できないこと、また、このアクセス方法が、その使用直後には無効となること、すなわち、この同定された機器にとっても「汎用パス鍵」とはならないことを意味している。
【課題を解決するための手段】
【0007】
この課題は、医療機器またはシステム用の1回限り有効な1つのアクセス・コードを生成する方法であって、
a)機器側で少なくとも1つの機器内部識別符号から1つの照会鍵を生成する工程、
b)この照会鍵を1つの認証局に伝送する工程、
c)認証局がこの照会鍵から1つの許可鍵を生成する工程、
d)この許可鍵を機器に伝送する工程、
e)機器がアクセスを許可する工程、
f)機器側で機器内部識別符号の内の少なくとも1つをランダムに変更する工程
を備える方法により、解決される。
【0008】
その際には、少なくとも1つの機器内部識別符号のランダムな変更が、1つの乱数発生器を利用して行われるようにすると、有利である。
あるいは、その代わりに、少なくとも1つの機器内部識別符号のランダムな変更が、1つの予め定義された複数の識別符号のリストの中からランダムに選択することにより行われるようにしてもよい。その際には、照会鍵の伝送および許可鍵の伝送が、データ記憶媒体またはオンライン・データ伝送システムを利用して行われるようにするとよい。
【0009】
認証局は、機器の製造会社またはそれにより権限を与えられたステーションとのアクセス状態にあり、かつ、それ自体としては知られているように、機器が正規に取得されたものであるかどうか、サービスまたは保守契約が存在するかどうか、および機器のデータにアクセスする権限を持つ人物からアクセス・コードの要求が出されたかどうかのうちの少なくとも1つをチェックすることにより、アクセス・コードを要求する権限を検査することができる状況にある、1つのコンピュータまたはその他の情報演算処理ユニットであると有利である。
【発明を実施するための最良の形態】
【0010】
以下では本発明を好ましい実施例に基づき説明する。
医療機器は、少なくとも1つの(十分な確率で)一義的な、好ましくは予測不能な内部識別符号Kiが記憶されている1つのメモリ1を有している。この識別符号Kiから、1つの演算ユニットにおいて1つの照会鍵SA(Ki)が生成される。これは、任意の長さの1つの文字ストリングまたは複数の数字の列またはその類であるとよいが、これについては、少なくとも10個の文字が備えられると有利である。あるいは、その代わりに、印刷不可能な文字も含まれている1つのバイト列であってもよい。この照会鍵は、安全であることが好ましい1つの通信路2(たとえば郵便、電話、署名入り電子メール、データ記憶媒体により)を介して認証局に送信される。この認証局は、たとえば、機器の製造会社の、照会の認証検査(送信者の身元および新しいアクセス・コードを要求する権限)を行うことができる立場にあるカスタマーサービスまたはサービスであるとよい。適切な暗号化方式D(SA,SM)を用いて、たとえば、1つのコンピュータにより、この照会鍵から1つの秘密マスター鍵SMを利用して1つの許可鍵SF,e=D(SA,SM)が生成され、この許可鍵SF,eが1つの安全な通信路を介して機器のアクセス・コードを変更する権限を与えられた顧客の1つのステーションに返送される。
【0011】
データを記憶している機器のソフトウェアには、内部で、また、それ故に利用者が閲覧できないように、許可鍵SF,i=D(SA,SM)を演算できるようにするために、同じ暗号化方式および同じ(秘密)マスター鍵がインプリメントされている。認証局により演算された許可鍵と利用者により入力された許可鍵との比較から同一性SF,e=SF,iが確認されると、機器のアクセス・コードがリセットされ、内部識別符号Kiが適切に、しかし、予測不能であるように変更される。その際に、アクセス・コードのリセットについては、様々な方法で実現することができるが、たとえば、前もって取り決められた1つのパスワードをセットするか、1つの新しい有効なパスワードを利用者に表示するか、または、ほかにもパスワードなしでのアクセスを一時的に許容して新しいパスワードの定義付けを直接強制するようにするとよい。
【0012】
同じ機器/別の機器で上述の進行過程を再び繰り返したとしても、内部識別符号が変更されているか、別のものであるために、1つの別の照会鍵が生成されることになる。したがって、その前に使用された許可鍵は無価値であり、そのため、これを悪用することはできない。
【0013】
提案される上述の方法により、利用者が予防措置を講じたかどうかに関係なく、保護されたデータへのアクセスがもたらされ、また、その際には、汎用パス鍵の公然周知の短所が回避されるようになる。ほかにも認証プロセス(許可鍵の外部演算)が機器のソフトウェアの操作から切り離されるために、サービス・スタッフがその機器のところに居合わせる必要はなく、また権限が与えられる人物(すなわち、外部プログラムを操作するために認証局側で許可鍵を生成する権限を持つ者)の数を、汎用パス鍵へのアクセスを確保する必要がある人間集団と比較して、劇的に低減することができる。
【0014】
提案される上述の解決手段は、たとえば電子メモリ、および機器のソフトウェアからの照会鍵および許可鍵の伝送方式(たとえば電子メール、またはファイルへの/ファイルからのエキスポート/インポートとして)のうちの少なくとも一つにより、様々な方向に拡張することができる。
【0015】
それ以外にも、有効な許可鍵が入力されるどうかに関係なく、ある程度長い時間間隔の経過後には(たとえば毎月1回)、内部識別符号の自動的な変更が予定されるようにしてもよい。それにより、利用されなかった許可鍵は、この期間の経過後には自動的に無価値となるために、これが不正利用のリスクとなることはない。
【0016】
内部識別符号Kiを決定する上述の方法は、幅広い範囲内で部分的に変更することができる。これについては次が考えられる:
−タイム・スタンプ、機器識別番号(たとえばシリアル番号)、および1つの乱数と組み合わせる
−不変のユーザー識別データへの各種ハッシュ機能(たとえばMD5またはSHA)を、1つの乱数と組み合わせて使用する
−機器オペレーティング・システムの各種定数(たとえばユーザー識別番号UID)を、1つの乱数と組み合わせて使用する
ほかにも、許可鍵を生成ないしは比較する上述の方法は、改良または拡張され得る。同一性のテストに代わり、たとえばRSAなどの非対称暗号化方式による署名検査を行うことが考えられるが、この場合は、伝送された照会鍵が「公開」鍵を用いて許可鍵に暗号化されて、この許可鍵が、データを記憶している機器で「個人」鍵を用いて解読されて、その解読結果が照会鍵に対して比較されることになる。(「公開」鍵および「個人」鍵という表現は、ここでは暗号学で用いられる専門用語に関している:このケースにおいては、両方の鍵が秘密に保持されなければならない。)
【図面の簡単な説明】
【0017】
【図1】本発明による方法の進行過程を簡略に示した図。
【特許請求の範囲】
【請求項1】
患者データまたはその他の保護されなければならないデータ用の1つのメモリを自由に使用できるようになっている医療機器用のアクセス・コードを生成する方法であって、該アクセス・コードが1回限り有効である方法において、
a)機器側で少なくとも1つの機器内部識別符号から1つの照会鍵を生成する工程、
b)該照会鍵を1つの認証局に伝送する工程、
c)該認証局が該照会鍵から1つの許可鍵を生成する工程、
d)該許可鍵を該機器に伝送する工程、
e)該機器がアクセスを許可する工程、
f)機器側で該各機器内部識別符号の内の少なくとも1つをランダムに変更する工程
を備えることを特徴とする、方法。
【請求項2】
前記少なくとも1つの機器内部識別符号の前記ランダムな変更を、1つの乱数発生器を利用して前記識別符号を生成することにより行うことを特徴とする、請求項1に記載のアクセス・コードを生成する方法。
【請求項3】
前記少なくとも1つの機器内部識別符号の前記ランダムな変更を、1つの予め定義された複数の識別符号のリストの中からランダムに選択することにより行うことを特徴とする、請求項1に記載のアクセス・コードを生成する方法。
【請求項4】
前記照会鍵の前記伝送および前記許可鍵の前記伝送を、データ記憶媒体またはオンライン・データ伝送システムを利用して行うことを特徴とする、請求項1乃至3のいずれか1項に記載のアクセス・コードを生成する方法。
【請求項1】
患者データまたはその他の保護されなければならないデータ用の1つのメモリを自由に使用できるようになっている医療機器用のアクセス・コードを生成する方法であって、該アクセス・コードが1回限り有効である方法において、
a)機器側で少なくとも1つの機器内部識別符号から1つの照会鍵を生成する工程、
b)該照会鍵を1つの認証局に伝送する工程、
c)該認証局が該照会鍵から1つの許可鍵を生成する工程、
d)該許可鍵を該機器に伝送する工程、
e)該機器がアクセスを許可する工程、
f)機器側で該各機器内部識別符号の内の少なくとも1つをランダムに変更する工程
を備えることを特徴とする、方法。
【請求項2】
前記少なくとも1つの機器内部識別符号の前記ランダムな変更を、1つの乱数発生器を利用して前記識別符号を生成することにより行うことを特徴とする、請求項1に記載のアクセス・コードを生成する方法。
【請求項3】
前記少なくとも1つの機器内部識別符号の前記ランダムな変更を、1つの予め定義された複数の識別符号のリストの中からランダムに選択することにより行うことを特徴とする、請求項1に記載のアクセス・コードを生成する方法。
【請求項4】
前記照会鍵の前記伝送および前記許可鍵の前記伝送を、データ記憶媒体またはオンライン・データ伝送システムを利用して行うことを特徴とする、請求項1乃至3のいずれか1項に記載のアクセス・コードを生成する方法。
【図1】
【公表番号】特表2009−545041(P2009−545041A)
【公表日】平成21年12月17日(2009.12.17)
【国際特許分類】
【出願番号】特願2009−521147(P2009−521147)
【出願日】平成19年7月19日(2007.7.19)
【国際出願番号】PCT/EP2007/006403
【国際公開番号】WO2008/012020
【国際公開日】平成20年1月31日(2008.1.31)
【出願人】(503078265)カール ツァイス メディテック アクチエンゲゼルシャフト (51)
【Fターム(参考)】
【公表日】平成21年12月17日(2009.12.17)
【国際特許分類】
【出願日】平成19年7月19日(2007.7.19)
【国際出願番号】PCT/EP2007/006403
【国際公開番号】WO2008/012020
【国際公開日】平成20年1月31日(2008.1.31)
【出願人】(503078265)カール ツァイス メディテック アクチエンゲゼルシャフト (51)
【Fターム(参考)】
[ Back to top ]