用於可保護信息的安全傳送與存儲的方法和系統的製作方法

2023-10-19 09:14:32 2

專利名稱：用於可保護信息的安全傳送與存儲的方法和系統的製作方法
技術領域：
本發明涉及可保護信息的安全傳送與存儲的方法和系統，更準確地說，涉及存儲於病歷卡系統中的病人信息的安全傳送與存儲的方法和系統。
病歷卡系統應主要為病人的利益服務。存儲於病歷卡中的關於個人的醫療數據是特別敏感的，因此值得保護。此外，病人經常處在非常虛弱的狀態，並且不是處在積極行使其保護權的地位。結果，必須採用法律和協議來設定適當的法律的和技術的機構(framework)，以此來支持病人保護這些敏感的卡。
晶片卡具有所有需要的控制機理，在晶片上非易失性地存儲的數據受到保護。一方面，晶片卡能保護晶片免受外部物質因素的介入(physical access)，另一方面，作業系統監控所有對數據的訪問，並且如果使用者未能被證實和/或未能送入個人識別號(PIN)，則作業系統拒絕其讀寫的企圖。這樣，晶片就防止了通過其數據線從外部閱讀受保護的信息。因為它們有公認的高度保密性能，所以晶片卡主要在財務領域中用於鑑別系統。
光學存儲晶片卡的光學存儲使用了用於光碟(CD)和光碟只讀存儲器(CD-ROM)的已知技術。因為其大的存儲量，它非常適合於存儲大量數據。可是，這種存儲的缺點是，它對數據不能提供實際的保護；任何有閱讀器的人都可以讀這些數據。儘管如此，在邏輯上，數據還是可以通過將其編碼存儲的形式而得到保護。已知這種數據編碼技術也稱為「密碼術」。
所有對稱加密程序的問題是，脫密密鑰機密地分布在有關的當事人之間。想要彼此通信的當事人的數目越多，密鑰的管理問題就越難解決。如果所有的當事人使用同一個密鑰，則問題將容易解決，可是，這意味著，他們中的每一個都能閱讀兩個當事人之間的已經加密的內容，並且，萬一局外人成功地得到這一個密鑰，則整個系統就公開了。如果每個當事人有他自己的密鑰，則得到密鑰的人只限於閱讀所述密鑰持有人所發的和所收的信息。其它密鑰持有人仍得到保護。
當問題不僅涉及一個發送者和幾個接收者(即，一對N的關係)，而是n對N的關係時，密鑰的交換問題就更難以解決。例如，每個醫生都可以是信息的發送者，而其它任何授權的醫生都可以閱讀它。如上所述，醫生在他們能進行溝通之前，決不應同意使用一個整個系統通用的密鑰。另一方面，估計所有的當事醫生不會預先彼此交換他們的密鑰。
歐洲專利EP0668 578描述了一種存儲器和用於傳送敏感數據的選擇性的信息系統，它包括一個光學存儲卡，在其上安排有專門定義的存儲區域，用以專門存儲多個碼，給每次密鑰存取安排起碼一個碼、為光學存儲卡安排起碼一個具有多種密鑰識別功能的讀/寫器件，其中每種密鑰識別功能針對包含在讀/寫器件中的多種格式化功能中的每一種，並結合賦予每次密鑰存取的碼來激活讀/寫器件，其中每種格式化功能(function)針對光學存儲卡的數據存儲區域，並考核存儲在那裡的數據以便在將數據格式化的基礎上進行閱讀。這種過程的一個缺點是，在光學存儲介質中有一個密鑰區和一個數據區。因此為了讀密鑰和數據，需要有兩次分開的對光學存儲介質的訪問。在專利EP0668 578中所描述的過程使用了固定的密鑰，即密鑰根據特定的程序由系統預先確定。在決定應該使用哪個密鑰方面，讀/寫器件是一個重要的組成部分。這取決於所述碼、所述格式化功能和所述決定功能。通常，這過程只限於用在光學存儲介質。
因此，本發明的一個目的是提出一種傳送需要保護的信息的系統和方法，它允許在多個使用者之間最大限度地交換所述信息，但又要保證在這樣做的同時，只允許為此而得到授權的人進入和閱讀所述信息。
藉助於本發明的獨立權利要求的技術特性可實現這目的。在各從屬權利要求中陳述了本發明的最佳實施例。
在本發明中，加密的數據與相關的密鑰一起存儲在一個文件裡。以這種方法，加密的數據無論存儲在那裡也沒有安全風險，例如在計算機、在資料庫或者可分布在網絡中、與最初存儲數據的介質無關。在文件中，會有不同密級的數據，它們只能在得到某種訪問授權的情況下被寫或讀。數據以隨機密鑰加密存儲。作為它的一部分，隨機密鑰在晶片卡中被編碼，並與數據一起存儲。以這種方法，就使得對這種數據的解密相當困難。只在晶片卡中形成密鑰產生方法。因此授權人對其數據的存取總是有完全的控制權。
在下面藉助附圖對本發明的最佳實施例作更詳細的解釋和描述，其中

圖1是根據本發明的文件結構圖解表示。
圖2是說明本發明的信息與傳送系統的讀寫過程的流程圖。
圖3藉助於必要的硬體說明本發明的信息與傳送系統的操作方法。
圖1表示根據本發明的文件結構，它包括頁眉和數據記錄。頁眉包括例如控制數據區1-7。數據記錄可包括幾個數據類型1-n，它們存儲在數據記錄中。每一數據類型以它自己的隨機密鑰編碼。這隨機密鑰和一部分必須保護的控制數據隨後用存儲在晶片卡的固定密鑰加密。晶片卡本身對控制數據和隨機密鑰加密；這樣，保密的固定密鑰始終不離開晶片卡。
例如，包括在文件裡的數據類型的密級被放在管理區1和7，也就是說，每一數據類型都以它自己的具有相關的密鑰密級為特徵。有些數據類型應該是任何人都可讀的，例如緊急數據。而有些數據類型則只有在經得病人同意才能閱讀和/或只有某些使用者群能訪問。至於哪些數據應分到哪一種數據類型，則要根據有關國家的數據保護立法來決定。一般的規則是，每個數據類型應只允許某些使用者群訪問。例如，藥劑師應只能訪問他們工作所需要的數據。在管理區中定出有權訪問一特別數據的授權使用者群。例如，可以這樣規定，藥劑師只有權訪問處方和醫生關于禁忌的建議。因而，可以建立下述的數據類型0類數據-任何人都可讀的數據-不加密的數據。
1類數據-只有在送入病人的個人識別號(PIN)之後才可以讀的數據。
2類數據-只有經過任何專業醫生授權並送入病人的PIN之後才可以讀的數據。
3類數據-和2類數據相似；但附加一條只有經過一個特定專業的醫生授權後才可以讀的數據。
4類數據-留作備用。
5類數據-這些數據例如既能被醫生又能被藥劑師所讀，而無需病人的PIN。這類數據可面向一特殊使用者群的成員，例如只對放射性學者、藥劑師或對這兩者開放。幾個經過精細劃分的目標群也可以列入這名單。
上述數據類型被存儲在彼此分開的數據記錄中。此外，各種專家群的數據或打算只給特定的目標群用的數據都各自放在不同的文件中。
每個數據記錄都包括可以決定數據記錄類型(緊急數據、藥劑師數據、臨床數據)的控制數據、所含的數據類型0…5、寫數據記錄的醫生的專業、他的名字、他的辨識標記、數據、時間和數據目標群。有資格閱讀數據的目標群也可以定義為「全部」。每一數據類型都用它自己的隨機密鑰來加密。這隨機密鑰和必須保護的那一部分控制數據以存儲於晶片卡的固定密鑰加密。晶片卡本身把控制數據和隨機密鑰進行編碼；因此，秘密的固定密鑰永遠不會離開晶片卡。只有在晶片查對是否存儲在控制信息內的任一目標群的任一醫生能被授權之後，晶片本身才把控制數據和隨機密鑰加密。如果醫生不屬於目標群，則他只有在得到病人同意之後，才能訪問這些數據。
圖2用流程圖的形式描述了讀和寫數據的各個步驟。用本發明的系統和方法來讀和寫數據的先決條件是病歷卡、使用者卡、讀寫裝置和用於控制過程的計算機系統。光卡特別適合作病歷卡。也可以使用其它任何的晶片卡。病歷卡最好包括大容量光學存儲器和晶片，後者含有加密功能。光學晶片卡的晶片還起受保護的通信通道的作用，在這通道上兩個當事人傳送密鑰，而這晶片安全地存儲該密鑰。每個病歷卡含有它自己的記錄密鑰，這記錄密鑰甚至不必讓卡供應者知道。病歷卡永遠不對外公開其密鑰。在沒得到醫生及時授權時，病歷卡阻止加密和解密功能。
在讀文件時，醫生必須持有使用者卡。使用者卡使醫生作為特定專業授權醫生的身份合法化。讀出器或讀/寫器件查讀使用者卡。在技術上，使用者卡在身份合法化方面並不是絕對重要的，因為關於這醫生的使用者群信息可能早已以安全的形式存儲在醫生系統中。此外，需要病人把他的病歷卡送入讀/寫裝置。如果醫生得到授權，系統首先讓醫生訪問每個使用者群都能訪問的數據。這些數據也不加密(緊急數據)。
如果醫生要求訪問受保護的數據，則使用者卡必須包含醫生所屬的群(例如皮膚科醫生、肺科醫生等等)的信息。為此，系統從使用者卡中提取使用者所屬的使用者群的相關信息，並從病歷卡中調取授權指令。病歷卡證實使用者是否屬於所提到的使用者群，並且證實在病歷卡中是否有這些信息。一個使用者可以屬於幾個使用者群。然後系統讀含有此病人的醫療數據的文件，並把文件分為頁眉和數據記錄。然後帶有控制數據以及解密指令的數據頁眉被傳送到病歷卡。在病歷卡對數據頁眉解密之前，病歷卡查看是否有任何授權。在證實得到授權以及所述使用者就是數據頁眉上目標群的使用者群的成員，病歷卡把解密後的數據頁眉送回系統。系統從數據頁眉中取出所要的密鑰，並把它送到病歷卡以便解密。解密後的密鑰被送回系統，於是系統就以適當的解密程序將相應的數據類型的數據記錄解密。
在寫數據時，程序嚴格地按反方向運行，所不同的是，密鑰由病歷卡上的數據密鑰發生器產生。系統以這種方法首先對數據記錄編碼，其中在數據記錄中每一種數據類型以它自己的隨機密鑰進行加密。然後密鑰被送到病歷卡以便加密。然後，建立數據頁眉，並且系統同樣地把數據頁眉送到病歷卡以供加密。所得的結果是帶有加密的密鑰和加密的控制數據的加密的數據記錄，其中要訪問數據，就要有加密的密鑰和加密的控制數據。
例如，可以這樣規定，只有醫生有權在病歷卡寫入醫療數據、或者藥劑師只有有限的權寫數據以及他們只能讀和寫與他們專業有關的數據。這樣，如果他們售完了一種藥，他們可以取消處方，可以存儲關於製造商和批號之類的備忘錄。總是只有在首先得到病人同意的情況下，醫生才能在病歷卡上寫入醫療數據。因此，醫生有責任與病人一起查核他能在卡上寫些什麼數據，從而病人可以表示批准或不批准。
如果醫生想在病歷卡上寫入數據，他必須得到醫生身份的授權。這要象藉助於使用者卡的閱讀過程那樣來進行。從使用者卡可以得知相關的專家群。病人同樣必須送入他的PIN來證明他是病歷卡授權所有人的合法身份，並且在醫生能在文件上寫數據之前表示他是否同意。在給了適當的授權密鑰之後，病歷卡就與特定的專家群中的醫生建立聯繫。如果一個醫生是幾個領域的專家的話，他也可以佔有幾個授權密鑰。
這帶有加密的的密鑰和加密的的控制數據的加密的的數據記錄可寫在光學存儲介質上或光學存儲卡的晶片上，也可存儲在計算機或送到網絡上。醫生只有在得到病人的許可，才能再次訪問這數據。也可以將光學晶片卡的數據歸檔，以及在原件丟失的情況下進行複製。
圖3表示用於存儲和傳送受保護數據、特別是病人數據的信息和傳送系統的基本結構。這系統大體上包括二計算機、病歷卡讀/寫裝置、病歷卡、使用者卡讀/寫裝置、和使用者卡。在技術上，也可以針對病歷卡和使用者卡這兩個卡只用一個讀/寫裝置。病人數據既可存儲在病歷卡，也可存儲在所希望的任何其它存儲介質。在病人數據存儲在病歷卡的情況下，最好使用光學大容量存儲器。病歷卡最好是帶有光學大容量存儲器的晶片卡。這對於寫或讀數據來說總是需要的。下述的重要數據/功能存儲在病歷卡中關於相關使用者群的授權密鑰、數據密鑰的加密密鑰、數據頁眉的加密密鑰、產生數據密鑰的發生器以及加密和解密功能。
在此只是用病歷卡作為唯一的例子來描述本發明。可是，應該說明的是，根據本發明的系統和方法也能用於所有值得保護的數據，其中只允許以有限的權力去訪問某些關於個人、公司、銀行、管理當局或其它機關的數據。這特別適用於下述組織狀況的應用領域-數據所有者可建立和使用各種密級，-可以使數據只對特定的目標群或幾個目標群是可訪問，-可把讀數據的權力分成幾個密級來執行審批(例如使用者卡的情況)，-晶片卡所有者按某幾個密級通過送入PIN來執行辨認和作出是否同意的決定。
作為本發明的一個應用例子，可以考慮銀行晶片卡，在其上存儲著個人或公司資產的價值。這銀行晶片卡的所有者可只允許相關的銀行以有限的權力去訪問卡上的數據。另一例子是晶片信用卡。因此，本發明可應用到所有受保護數據的存儲和傳送的應用領域，而不必對本發明的方法和系統作任何更改。
可把本發明簡單地總結於下。存儲在病歷卡上的數據用密碼法來保護。如果得到病人同意並且授權給醫生，則只有同一個病歷卡才能再次將數據解密。病歷卡用以決定醫生是否得到授權的所有信息，與保護控制數據和隨機密鑰的密鑰一起，存儲在晶片上。病人數據可以、但不是一定要存儲在晶片上。晶片既控制是否允許訪問數據，又控制加密和解密功能。本身與數據一起加密存儲的隨機密鑰保證了每個數據記錄彼此分隔開，並且只有得到授權的人才能訪問。每個病歷卡都有它自己的記錄密鑰。萬一一個數據記錄的隨機密鑰被破譯，在卡上的數據記錄和在系統上的所有其它卡仍不受影響。如果一個病歷卡的隨機密鑰的加密用的密鑰被破譯，在系統上的所有其它的卡上的數據仍然安全。
病歷卡上的用於授權的密鑰是由病歷卡的特徵導出的，因此，病歷卡與病歷卡之間的所述密鑰是彼此不同的。如果一個病歷卡被破譯，只有系統中仍未使用的密鑰會被公開。
就病歷卡而言，健康服務成員以使用者卡給他們自己授權。使用者卡包括一套由系統操作員定義的群密鑰。只有當醫生以密鑰表示他得到授權和病人以他的PIN號碼表示同意時，醫生才能訪問數據。群密鑰根據他在健康服務方面的工作和醫學專業而變。
可以根據保護的需要，把數據分成不同的類型。根據是否要求使用者得到授權和是否要得到病人的同意，有不同的分類。
權利要求
1.存儲與信息傳送系統，它起碼包括計算機，它接到授權終端，利用它來對使用者授權，讀/寫終端，利用它來進行計算機與晶片卡之間的數據交換，可以為該晶片卡指定物主，和起碼一個存儲介質，其中，數據能在計算機與存儲介質之間交換，其特徵在於晶片卡包括當計算機要求密鑰時用來產生新的密鑰的發生器。
2.根據權利要求1的存儲與信息傳送系統，其特徵在於它包括連接到所述計算機的識別終端，利用所述識別終端，可送進晶片卡所有者的證明書、特別是口令或個人識別號或生物識別方法。
3.根據權利要求1的存儲與信息傳送系統，其特徵在於包括授權卡，利用它可進行授權。
4.根據權利要求1的存儲與信息傳送系統，其特徵在於所述存儲介質可設置在晶片卡內。
5.根據權利要求1的存儲與信息傳送系統，其特徵在於所述存儲介質被設計成固定的盤存儲器。
6.根據權利要求1的存儲與信息傳送系統，其特徵在於所述存儲介質被設計成光學存儲器。
7.根據權利要求1的存儲與信息傳送系統，其特徵在於所述計算機接到計算機網絡中，並且所述存儲介質可設置在網絡中的任何計算機中。
8.藉助晶片卡、在起碼一個存儲介質中存儲信息的方法，其特徵在於包括下述步驟藉助於賦予使用者群的識別特徵而授權給使用者，計算機要求從晶片卡得到一個或多個密鑰，將密鑰從晶片卡傳送到計算機，計算機中的密鑰將數據加密，在晶片卡中將密鑰加密，和用加密的密鑰將加密的數據記錄存儲在存儲介質中。
9.如權利要求8的方法，其特徵在於藉助於連接到計算機的授權終端和插到授權終端的授權卡進行授權。
10.如權利要求8的方法，其特徵在於輸入擔保書(surety)、特別是個人識別號或口令或生物識別方法。
11.如權利要求10的方法，其特徵在於在晶片卡進行加密或解密之前輸入擔保書。
12.如權利要求8的方法，其特徵在於藉助於卡密鑰對密鑰加密，其中卡密鑰設置在晶片卡上。
13.如權利要求8的方法，其特徵在於在計算機上為每個數據記錄產生數據頁眉，其中數據頁眉指出寫這數據的人屬於哪個使用者群，或者要讀這些數據記錄要滿足什麼條件。
14.如權利要求12和13的方法，其特徵在於藉助於卡密鑰加密的密鑰設置在數據頁眉上。
15.如權利要求14的方法，其特徵在於加密的的數據頁眉和加密的的數據記錄集中在一個文件，此文件存儲在存儲介質中。
16.如權利要求8的方法，其特徵在於所述計算機連到計算機網絡，並且所述存儲介質設置在網絡中任何所希望的計算機上。
17.藉助於晶片卡從存儲介質中讀取信息的方法，其特徵在於包括以下步驟藉助於賦予使用者群的識別特徵而授權給使用者，文件從存儲介質傳送到計算機，把文件分成數據頁眉和加密的的數據記錄，將數據頁眉從計算機傳送到晶片卡，利用晶片卡上的卡密鑰將數據頁眉解密，將解密的數據頁眉從晶片卡傳送到計算機，從解密的數據頁眉決定目標使用者群，如果使用者的使用者群與數據頁眉上的目標使用者群相符，和/或滿足其它的對訪問數據所加的自行決定的限制條件，則藉助於密鑰將加密的的數據記錄解密。
全文摘要
本發明描述用於安全傳送和存儲可保護信息的方法和系統,特別是用病歷卡來安全傳送和存儲病人信息的方法和系統。存儲在病歷卡上的數據用密碼法保護。只有在醫生得到授權並且病人同意的情況下,才能用同一個病歷卡將數據解密。病歷卡為判斷醫生是否得到授權需要的所有信息以及用來保護控制數據的密鑰和隨機密鑰都保存在晶片上。病人數據能自由地傳送到任何存儲介質上。晶片控制著對數據的訪問和加密及解密功能。
文檔編號G06K19/10GK1179658SQ9711406
公開日1998年4月22日 申請日期1997年7月3日 優先權日1996年7月24日
發明者M·戴恩德爾, M·維茨爾 申請人:國際商業機器公司