[go: up one dir, main page]

DE102004004101A1 - Verfahren und System zum Schutz elektronischer Datenobjekte vor unberechtigtem Zugriff - Google Patents

Verfahren und System zum Schutz elektronischer Datenobjekte vor unberechtigtem Zugriff Download PDF

Info

Publication number
DE102004004101A1
DE102004004101A1 DE200410004101 DE102004004101A DE102004004101A1 DE 102004004101 A1 DE102004004101 A1 DE 102004004101A1 DE 200410004101 DE200410004101 DE 200410004101 DE 102004004101 A DE102004004101 A DE 102004004101A DE 102004004101 A1 DE102004004101 A1 DE 102004004101A1
Authority
DE
Germany
Prior art keywords
access
data object
data
access right
determined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE200410004101
Other languages
English (en)
Inventor
Detlef Becker
Karlheinz Dorn
Ivan Murphy
Gerhard Dr. Mönnich
Thomas Pohley
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Corp
Original Assignee
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Corp filed Critical Siemens Corp
Priority to DE200410004101 priority Critical patent/DE102004004101A1/de
Publication of DE102004004101A1 publication Critical patent/DE102004004101A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und ein Datenverarbeitungssystem zum Schutz eines elektronischen Datenobjekts vor unberechtigtem Zugriff. Durch das Verfahren wird a) in einem ersten Schritt (56, 57) in Abhängigkeit von dem Inhalt des Datenobjekts eine elektronische Datenobjektkennung erzeugt, b) in einem weiteren Schritt (63) in Abhängigkeit von der Datenobjektkennung ein Zugriffsrecht ermittelt, und c) in einem letzten Schritt (65) in Abhängigkeit von dem Zugriffsrecht ein Zugriff auf das Datenobjekt zugelassen. Das Datenverarbeitungssystem weist eine Datenverarbeitungseinrichtung (1) und ein Zugriffsteuerungs-Modul (7) auf. Durch das Zugriffsteuerungs-Modul (7) ist eine elektronische Datenobjektkennung in Abhängigkeit von dem Inhalt eines Datenobjekts erzeugbar und in Abhängigkeit von der Datenobjektkennung ein Zugriffsrecht ermittelbar. Das Zugriffsrecht kann Standard-Rechte wie "Read" oder "Wright" und ein "Execute" Rechte zum Ausführen bestimmter Funktionalitäten umfassen. Die Erfindung weist den Vorteil auf, dass die Informationen zum Erzeugen der Datenobjektkennung im Datenobjekt selbst gespeichert sind und z. B. beim Kopieren oder Versenden des Datenobjekts erhalten bleiben, wodurch auch die Zugriffsrechte unverändert aufrechterhalten werden.

Description

  • Die Erfindung betrifft ein Verfahren zum Schutz eines elektronischen Datenobjekts vor unberechtigtem Zugriff sowie ein Datenverarbeitungssystem zur Ausführung des Verfahrens und ein Speichermedium, auf dem Informationen zur Ausführung des Verfahrens auf einer Datenverarbeitungseinrichtung gespeichert sind.
  • Der vermehrte Einsatz elektronischer Datenobjekte macht in zunehmendem Maße intelligente Mechanismen zu deren Schutz vor unerlaubtem Zugriff erforderlich. Datenobjekte können dabei zum Beispiel einzelne Dateien, zusammengesetzte Dateisysteme oder Dateistrukturen sein, die dem Abspeichern oder Ablegen von Informationen dienen. Der Schutz von Datenobjekten ist besonders wichtig an rechnergestützten Arbeitsplätzen, die von mehreren Personen benutzt werden und an denen auf vertrauliche Informationen zugegriffen werden kann. Solche Informationen kommen u.a. in medizinischen Arbeitsumgebungen vor, in Labor-, Forschungs-, Entwicklungs-Umgebungen oder demografisch arbeitenden Arbeitsumfeldern. Grundsätzlich sind insbesondere personenbezogene Informationen in besonderem Maße zu schützen.
  • Es sind Schutzmechanismen bekannt, die auf der Verschlüsselung der Datenobjekte beruhen. Das Ver- und Entschlüsseln kostet jedoch insbesondere bei umfangreichen Datenobjekten verhältnismäßig viel Zeit und ist innerhalb von Arbeitsumgebungen, die zu rationalisierten und ökonomischen Arbeitsweisen gezwungen sind, nicht praktikabel. Darüber hinaus stellt auch die angemessene Handhabung hinreichend sicherer Schlüssel für Verschlüsselungssysteme einen beträchtlichen Aufwand dar. Nicht zuletzt sind Änderungen am Verschlüsselungssystem lediglich unmittelbar am Datenbestand selbst durchführbar, während sie sonstige Kopien der Datenobjekte, z.B. auf Datenträgern oder mobilen Arbeitsplätzen, nicht erreichen.
  • Darüber hinaus bietet der auf Verschlüsselung beruhende Schutz von Datenobjekten keinen Schutz vor dem Löschen von Datenobjekten und erlaubt keine differenzierte Vergabe von Zugriffsrechten, z.B. die Unterscheidung zwischen Lese-, Schreib- oder Lösch-Zugriff. Nicht zuletzt muss bei asymmetrischen Verschlüsselungsverfahren bereits beim Verschlüsseln der gesamte Empfängerkreis bekannt sein, da der öffentliche Schlüssel jedes Empfängers berücksichtigt werden muss.
  • Bekannt ist auch der Schutz von Datenobjekten auf Betriebssystem-Ebene, bei dem der Umfang des Datenzugriffs in Abhängigkeit von den Rechten des am Betriebssystem angemeldeten Nutzers vorgegeben wird. Der Umfang der Zugriffsrechte bestimmt sich durch eine sogenannte Access-Control-List (ACL), die durch das Betriebssystem jedem Datenobjekt im Dateisystem zugeordnet wird. In der ACL jedes Datenobjekts sind die nutzerabhängigen Zugriffsrechte spezifisch für das jeweilige Betriebssystem aufgelistet.
  • Die ACL ist jedoch insofern Bestandteil des Betriebssystems bzw. Dateisystems und nicht der Datenobjekte, als sie beim Kopieren von Datenobjekten lediglich innerhalb des Dateisystems mitkopiert, also vererbt wird, während sie beim Kopieren nach außerhalb des jeweiligen Dateisystems nicht erhalten wird. Dies ist aufgrund der betriebssystem-spezifischen Funktionsweise der ACL nicht möglich. Darüber hinaus können Änderungen an den Zugriffsrechten für Datenobjekte, die in mehrfacher Kopie innerhalb des Dateisystems vorliegen, ebenfalls nicht zentral durchgeführt werden, da sie nicht automatisch auf die Kopien der Datenobjekte übernommen werden.
  • Darüber hinaus ist es, z.B. auf medizinischen Systemen in einer klinischen Umgebung oder auf Personal- oder Finanz-Verwaltungssystemen, vorteilhaft, bestimmte Funktionalitäten nicht nur auf bestimmte Nutzer einzuschränken, sondern eine zusätzliche Abhängigkeit von den bearbeiteten Daten einzuführen. So könnten beispielsweise in einer klinischen Umgebung sämtliche Zugriffsrechte auf Privatpatientendaten mit Ausnahme eines Leserechts ausschließlich für Chefärzte freigeschaltet werden, während auf die Daten aller anderen Patienten sämtliche Ärzte vollumfänglichen Zugriff hätten. Weiter Unterscheidungen könnten für Datenarten wie Laborberichte eingeführt werden, auf die grundsätzlich lediglich Labor-Assistenten Bearbeitungs-Zugriff haben müssen, während sonstiges Klinikpersonal lediglich Lesezugriff benötigt. Ähnliche Unterscheidungen werden auch in anderen Arbeitsumgebungen wie Banken oder Personalmanagement ebenfalls sinnvoll eingesetzt.
  • Üblicherweise bekommt ein Benutzer benutzerabhängig und eventuell system- oder domänenabhängig eine Kombination von „Create", „Read", „Update" und „Delete" Rechten, also Standard-Rechten zugeordnet. Funktionale Rechte, also „Execute" Recht bezeichnet, werden in Abhängigkeit vom Datentyp oder Dateninhalt ausschließlich innerhalb einer Applikation und von der Applikation selbst vergeben. Ein „Execute" Recht legt fest, ob eine bestimmte Funktionalität ausgeführt werden darf, wie z.B. eine Bildverarbeitungsmaßnahme, die Kommentierung eines Datensatzes, eine Befundung in einer elektronischen Patientenakte o.ä. Die benutzerabhängige Zuteilung von Standard-Rechten ist von der datenabhängigen Zuteilung von funktionalen „Execute" Rechten unabhängig. Die datenabhängige Zuteilung von „Execute" Rechten wiederum ist applikationsabhängig und kann daher unerwünschter Weise durch unterschiedliche Applikationen in unterschiedlichen Domänen unterschiedlich gehandhabt werden.
  • Ein besonderes Problem herkömmlicher Mechanismen zur Zugriffskontrolle stellen Kopien von Datenobjekten, z.B. durch Versenden per E-Mail oder durch Übertragen auf Portable Speicherträger, dar, deren Vorliegen werder in Anzahl noch in Umfang kontrollierbar ist. Dadurch wird jegliche Möglichkeit zur nachträglichen, zentralen Änderung von Zugriffsrechten auf inhaltlich zusammengehörige oder übereinstimmende Kopien oder modifizierte Kopien unmöglich gemacht. Sie ist durch die herkömmlichen Kontrollmechanismen nicht an allen Datenobjekten vorzunehmen, da deren Anzahl und Aufenthaltsort nicht bekannt ist.
  • Die Aufgabe der Erfindung besteht darin, einen Verfahren und ein Datenverarbeitungssystem zur Vergabe von Zugriffsrechten auf zum Speichern von Informationen angelegte elektronische Datenobjekte anzugeben, die Änderungen der Zugriffsrechte für die Datenobjekte einschließlich aller Kopien davon von zentraler Stelle aus ermöglichen.
  • Die Erfindung löst diese Aufgabe durch ein Verfahren, durch ein Datenverarbeitungssystem sowie durch ein Speichermedium mit den jeweiligen Merkmalen der unabhängigen Patentansprüche.
  • Ein Grundgedanke der Erfindung besteht darin, ein Verfahren zum Schutz eines zum Speichern von Informationen angelegten elektronischen Datenobjektes vor unberechtigtem Zugriff anzugeben, bei dem in einem ersten Schritt in Abhängigkeit von dem Inhalt des Datenobjekts eine elektronische Datenobjektkennung erzeugt wird, in einem weiteren Schritt in Abhängigkeit von der Datenobjektkennung ein Zugriffsrecht ermittelt wird, und in einem letzten Schritt in Abhängigkeit von dem Zugriffsrecht ein Zugriff auf das Datenobjekt zugelassen wird. Unter Datenobjekt soll dabei eine Datei ebenso wie ein Objekt aus mehreren Dateien oder eine Datei- oder Verzeichnisstruktur verstanden werden. Unter Zugriffsrecht sollen dabei sowohl Standard-Rechte als auch funktionale „Execute" Rechte verstanden werden. Die Standard-Rechte werden also durch frei definierbare Zugriffsrechte ergänzt.
  • Ein wesentliches Element dieses Grundgedankens besteht darin, eine vom Inhalt des Datenobjekts abhängige elektronische Da tenobjektkennung zu verwenden. Dadurch können Zugriffsrechte aus dem Datenobjekt selbst heraus festgelegt werden. Der für die Festlegung der Zugriffsrechte relevante Inhalt des Datenobjekts wird beim Kopieren, da er ja zum Inhalt gehört, ebenfalls kopiert, also vererbt, so dass jede Kopie des Datenobjekts ebenfalls die zum Festlegen der Zugriffsrechte erforderlichen Informationen enthält. Die Zuordnungen zwischen Zugriffsrechten und Datenobjektkennungen, auf deren Basis Zugriffsrechte zugelassen werden, können z.B. tabellarisch an zentraler Stelle abgelegt und verändert werden, so dass Änderungen an diesen Zuordnungen automatisch für sämtliche Kopien eines Datenobjekts gültig werden. Damit können Zugriffsrechte unabhängig von und sogar ohne Kenntnis von Anzahl und Aufenthaltsort von Kopien jederzeit von zentraler Stelle aus verändert werden. Die Zugriffsrechte umfassen dabei sämtliche für das Datenobjekt geltende Standard-Rechte und „Execute" Rechte.
  • Ein weiterer Grundgedanke der Erfindung besteht darin, ein Datenverarbeitungssystem anzugeben, das eine Datenverarbeitungseinrichtung aufweist, durch die auf ein zum Speichern von Informationen angelegtes elektronisches Datenobjekt zugegriffen werden kann, und ein Zugriffsteuerungs-Modul, durch das eine elektronische Datenobjektkennung in Abhängigkeit von dem Inhalt des Datenobjekts erzeugbar ist, und durch das in Abhängigkeit von der Datenobjektkennung ein Zugriffsrecht ermittelbar ist, und durch das in Abhängigkeit von dem Zugriffsrecht ein Zugriff auf das elektronische Datenobjekt zugelassen werden kann. Das Zugriffsteuerungs-Modul ermöglicht es, in Abhängigkeit von Informationen, die in dem Datenobjekt enthalten sind, Zugriffsrechte für das Datenobjekt zu vergeben. Da der Inhalt des Datenobjekts beim Erzeugen von Kopien mitkopiert wird, kann die Vergabe von Zugriffsrechten damit einheitlich für das Datenobjekt sowie sämtliche Kopien davon von zentraler Stelle aus und unabhängig vom Aufenthaltsort eventueller Kopien erfolgen. Unter Zugriffsrechten sollen dabei sämtliche für das Datenobjekt geltende Standard-Rechte und „Execute" Rechte verstanden werden.
  • In einer vorteilhaften Ausgestaltung der Erfindung wird die Datenobjektkennung unter Verwendung von in dem Datenobjekt gespeicherten Informationen automatisch erzeugt. Zum Beispiel kann die Datenobjektkennung unter Verwendung eines gespeicherten Personennamens sowie Geburtsdatums sowie des Inhaltstyps, etwa Bild oder Text, zusammengesetzt werden. Dies gestattet die Erzeugung Datenobjektkennungen, die Informationen zum Inhalt der Datenobjekte in sich tragen, so dass die Datenobjekte anhand der Datenobjektkennung systematisch klassifiziert und eingeordnet werden könnten. Derartige Datenkennungen können folgerichtig auch zur systematischen Vergabe von Zugriffsrechten für Klassen von Datenobjekten genutzt werden, wenn z.B. identische Zugriffsrechte für sämtliche Datenobjekte einer bestimmten inhaltlichen Relevanz, z.B. für sämtliche Laborberichte, Studienergebnisse, diagnostische Befunde oder Rechnungsdaten, vergeben werden sollen.
  • In einer weiteren vorteilhaften Ausgestaltung der Erfindung wird eine elektronische Kennung als solche in dem Datenobjekt gespeichert. Dann genügt es, die Datenobjektkennung als Kopie der Kennung in dem Datenobjekt zu erzeugen. Mit anderen Worten muss die Datenobjektkennung dann lediglich aus dem Datenobjekt ausgelesen werden. Die Erzeugung der Datenobjektkennung als unmittelbare Kopie einer in dem Datenobjekt enthaltenen Kennung reduziert auch die Möglichkeiten zur Manipulation, da keine manipulierbaren Schritte zur mittelbaren, indirekten Erzeugung der Datenobjektkennung in Abhängigkeit vom Inhalt des Datenobjekts, z.B, ein Zusammensetzen der Datenobjektkennung aus einem gespeicherten Personennamen und Geburtsdatum, verwendet werden.
  • Eine weitere vorteilhafte Ausgestaltung der Erfindung besteht darin, das Verfahren auf einem Datenverarbeitungssystem auszuführen, das ein Zugriffsrecht-Modul aufweist, durch das Da ten bezüglich einer gegenseitigen Zuordnung von Nutzerkennungen und Zugriffsrechten speicherbar sind, wobei das Zugriffsteuerungs-Modul des Datenverarbeitungssystems ein Zugriffsrecht in Abhängigkeit von einem Zugreifen auf das Zugriffsrecht-Modul ermittelt. Unter Modul wird dabei jegliche Art von elektronischem Service verstanden, z.B. ein Server, eine elektronische Bibliothek oder ein auf einem Rechner laufender Prozess. Dadurch ergibt sich eine modulare Anordnung des Zugriffsrechts-Moduls innerhalb des Datenverarbeitungssystems, die deren zentrale Positionierung an flexibler Stelle ermöglicht. Dadurch können Änderungen der Vergabe von Zugriffsrechten von zentraler Stelle aus vorgenommen werden. Durch das Zugriffsrecht-Modul, das sogenannte Central Token Repository Modul, werden Zugriffsrecht-Kategorien definiert, innerhalb derer bestimmten Nutzerkennungen bestimmte Zugriffsrechte, wie Lese-, Schreib, Lösch-, Kopie- oder funktionale Rechte, zugeordnet werden. Die Nutzerkennungen umfassen dabei sowohl individuelle als auch Gruppen-Nutzerkennungen.
  • Eine weitere vorteilhafte Ausgestaltung der Erfindung besteht darin, dass das Datenverarbeitungssystem ein Datenobjekt-Kategorie-Modul aufweist, durch das Daten bezüglich einer gegenseitigen Zuordnung von Datenobjektkennungen und Zugriffsrecht-Kategorien speicherbar sind und auf das das Zugriffsteuerungs-Modul Zugriff hat, wobei durch das Zugriffsteuerungs-Modul das Zugriffsrecht in Abhängigkeit von einem Zugreifen auf das Datenobjekt-Kategorie-Modul ermittelt wird. Unter Modul soll dabei, wie oben auch, jeglicher elektronische Service verstanden werden, z.B. ein Server, eine elektronische Bibliothek oder ein auf einem Rechner laufender Prozess. Das Datenobjekt-Kategorie-Modul erlaubt das Festlegen und ändern der Zuordnung zwischen Datenobjektkennung und Zugriffsrecht-Kategorie. Durch Änderungen innerhalb des Datenobjekt-Kategorie-Moduls können von zentraler Stelle aus Datenobjektkennungen anderen Zugriffsrecht-Kategorien zugeordnet und dadurch die Datenzugriffsrechte verändert werden.
  • Die Erfindung weist den Vorteil auf, dass alle Datenobjekte und sämtliche Kopien davon in konsistenter Weise geschützt werden. Das heißt, ein Nutzer hat identische Zugriffsrechte auf jedes Datenobjekt und jede Kopie davon und unabhängig vom Zugriffsort sowie vom Speicherort des Datenobjekts, soweit er sich innerhalb des Datenverarbeitungssystems befindet. Dieses Datenverarbeitungssystem kann ein Netzwerk von mehreren Maschinen mit flexiblen Zugriffsmöglichkeiten sein. Durch geeignete Einrichtung der Zugriffsrechte kann zudem sichergestellt werden, das Datenobjekte diese Sicherheitsdomäne nicht verlassen können.
  • Die Erfindung weist den weiteren Vorteil auf, dass die Zugriffsrechte eines Nutzers auf ein Datenobjekt unabhängig von dem Datenobjekt selbst ermittelt werden können. Es genügt statt dessen, die Datenobjektkennung zu kennen. Dies ist ohne weiteres möglich, falls die Datenobjektkennung systematisch aus dem Inhalt des Datenobjekts oder weiteren, das Datenobjekt betreffenden Informationen erzeugt wird. Zur Ermittlung der Zugriffsrechte für das betreffende Datenobjekt genügt es dann, die systematischen Informationen zu kennen, z.B. Patientenquadrupel und gegewärtige Station in einem definierten Workflow. So können die Zugriffsrechte für Datenobjekte, die bestimmten systematischen Kategorien zuordenbar sind, unabhängig von deren Aufenthaltsort ermittelt werden.
  • Ein weiterer Vorteil der Erfindung besteht darin, dass Datenobjekte innerhalb der Sicherheitsdomäne unabhängig von einem Datentransport-Protokoll oder Betriebssystem transportiert werden können. Es genügt, lediglich die Integrität eines Datenobjekts während des Transports aufrechtzuerhalten, so dass die zur Ermittlung von Zugriffsrechten erforderliche Datenobjektkennung auch aus Kopien des Datenobjekts erzeugt werden kann.
  • Das Aufrechterhalten der Informationen zur Erzeugung der Datenobjektkennung ermöglicht vorteilhafterweise auch das kontrollierte Transportieren des Datenobjektes von einer Sicherheits-Domäne in eine andere Sicherheits-Domäne. Dadurch können automatisch Änderungen der Zugriffsrechte erreicht werden, ohne dass am Inhalt des Datenobjektes etwas geändert werden müsste. Diese Nutzung verschiedener Sicherheits-Domänen kann insbesondere in Workflow-Systemen genutzt werden, wo Datenobjekte z.B. von einer Abteilung in eine andere transportiert werden. So ist es etwa in einer klinischen Umgebung möglich, unterschiedliche Zugriffsrechte für die Patientenaufnahme, für die Radiologie und für die Therapie zu vergeben, indem jede dieser Arbeitsablauf-Stufen durch eine eigene Sicherheits-Domäne repräsentiert wird. Zu diesem Zweck sind in unterschiedlichen Sicherheitsdomänen unterschiedliche Zugriffsrechte und Datenobjekt-Kategorien vorgesehen. Dadurch ergeben sich in vorbestimmter Weise domänen-abhängig unterschiedliche Zugriffsrechte. Gegebenenfalls können darüber hinaus auch unterschiedliche Nutzergruppen vorgesehen sein, um insbesondere unterschiedliche Gruppenzugehörigkeiten abbilden zu können.
  • Ein besonderer Vorteil der Erfindung ergibt sich daraus, dass die Datenobjektkennung in Abhängigkeit vom in einem Datenobjekt gespeicherten Inhalt erzeugt werden kann. Dadurch können auch die Zugriffsrechte inhaltsabhängig gestaltet werden.
  • Werden die Datenobjekte Änderungen unterworfen, die sich beispielsweise beim Abarbeiten einer Aufgabe und Speichern entsprechender Informationen in einem Datenobjekt ergeben können, können sich im Anschluss daran geänderte Zugriffsrechte ergeben. Zum Beispiel könnte ein Datenobjekt nach Zufügen vertraulicher Informationen zur Person automatisch für eine bestimmte Klasse von Personen Zugriffs-gesperrt werden.
  • Weitere vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Patentansprüche.
  • Nachfolgend werden Ausführungsbeispiele der Erfindung anhand von Figuren näher erläutert. Es zeigen:
  • 1 Datenverarbeitungssystem zur Ausführung der Erfindung,
  • 2 schematische Darstellung logischer Ebenen innerhalb des Datenverarbeitungssystems, und
  • 3 Verfahrensschritte der Erfindung.
  • In 1 ist ein Datenverarbeitungssystem zur Ausführung der Erfindung dargestellt. Es weist eine Datenverarbeitungseinrichtung 1 mit einem Bildschirm 3 und einer Tastatur 5 auf, durch die auf elektronische Datenobjekte zugegriffen werden kann. Die zugreifbaren Datenobjekte befinden sich in einem Anwendungsspeicher 9. Zugriffe auf Datenobjekte in dem Anwendungsspeicher 9 werden durch das Zugriffsteuerungs-Modul 7 kontrolliert.
  • Das Zugriffsteuerungs-Modul 7 arbeitet unabhängig von Zugriffs-Kontrollmechanismen des Betriebssystems wie z.B. einer nutzerabhängigen, dateispezifischen ACL. In einer vorteilhaften Ausgestaltung ist es als zusätzliche Programmebene, als Data-Access-Layer, konzipiert und kann als modularer Hardware-Baustein an den Datenbus der Datenverarbeitungseinrichtung 1 angeschlossen sein. Seine Realisierung ist jedoch auch ausschließlich auf Software-Ebene möglich innerhalb der Datenverarbeitungseinrichtung 1 möglich. Das Zugriffsteuerungs-Modul 7 kontrolliert sämtliche Datenzugriffe, z.B. Löschen, Kopieren, Erzeugen, Editieren oder ausführen von Funktionalitäten, auf diejenigen Datenobjekte, die seiner Kontrolle unterworfen sind, d.h. auf sämtliche Datenobjekte innerhalb der Sicherheits-Domäne. Daneben ist es selbstverständlich möglich, dass in dem Datenspeicher 9 bzw. durch die Datenverarbeitungseinrichtung 1 auch anderer Datenobjekte, z.B. Anwendungsprogramme oder öffentliche, nicht vertrauliche Datenobjekte, unabhängig von dem Zugriffsteuerungs-Modul 7, also außerhalb der Sicherheitsdomäne, gespeichert werden.
  • Beim Starten des Betriebssystems der Datenverarbeitungseinrichtung 1 ist normalerweise eine Nutzer-Anmeldung erforderlich, bei der sich ein Nutzer identifizieren und für Datenzugriffe authentifizieren muss. Die Authentifizierung beinhaltet sowohl die Identifizierung eines Nutzers als auch die Autorisierung des Nutzers für Datenzugriffe. Zur Identifikation des Nutzers ist eine Sicherheitsabfrage vorgesehen, bei der z.B. über die Tastatur 5 eine Nutzerkennung und ein Passwort eingegeben werden muss. In diesem Sinne können jegliche Eingabemittel als Identifikationsmittel 6 aufgefasst werden. In einer besonders vorteilhaften Ausführungsform führt ein Identifikationsmittel 6 eine automatische Abfrage, z.B. einer Chipkarte, des Fingerabdrucks oder der Gestalt der Iris, durch, die die eindeutige Identifikation eines Nutzers erlaubt. Die Zugriffskontrolle durch das Zugriffsteuerungs-Modul 7 erfolgt zwar unabhängig von einer Nutzeranmeldung am Betriebssystem, ist jedoch auch auf eine Identifikation des Nutzers angewiesen. Hierfür kann sie dasselbe Identifikationsverfahren über Tastatur 5 oder Identifikationsmittel 6 nutzen.
  • Ein wesentliches Element der Erfindung besteht darin, dass für jedes elektronische Datenobjekt, das unter Zugriff des Zugriffsteuerungs-Moduls 7 gespeichert wird, eine eindeutige Datenobjektkennung erzeugt werden kann. Diese kann entweder als solche in dem Datenobjekt gespeichert sein, oder sie kann automatisch aus dem Inhalt des Datenobjekts erzeugt werden. Zum Beispiel kann es sich um die in DICOM-Datenobjekten vorkommende DICOM-UID handeln. Das Zugriffsteuerungs-Modul 7 dient sowohl dem Erzeugen von Kennungen, die dann in einem Datenobjekt gespeichert werden, als auch dem Erzeugen, oder anders gesagt extrahieren, von Datenobjektkennungen aus dem Inhalt von Datenobjekten.
  • Die Datenobjektkennung kann systematisch aufgebaut sein, um strukturelle Zusammenhänge wie Arbeitsgruppen, Forschungsteams, personelle Hierarchien, personenbezogene Inhalte oder inhaltliche Zuordnungen zu Sachgebieten oder Studien in der Systematik der Zugriffsrechte abbilden zu können. Zum Beispiel kann die Datenobjektkennung bei elektronischen Patientenakten ein den Patienten identifizierendes Quadrupel aus Patientenname, Geschlecht, Geburtsdatum und Krankenhaus-Kennung beinhalten. Dieses Patienten-Quadrupel ist im allgemeinen ausreichend zur eindeutigen Identifikation eines Patienten. Weiter kann die Datenobjektkennung die Zugehörigkeit der Akte zu klinischen Studien wiederspiegeln, zu Serien von diagnostischen Befunden oder Aufnahmen über einen längeren Zeitraum oder zu bestimmten diagnostischen Bildtypen wie Röntgenaufnahme oder Ultraschallaufnahme. Diese strukturellen Informationen können bei der Vergabe von Zugriffsrechten derart berücksichtigt werden, dass individuell verschiedene Zugriffsrechte z.B. für den behandelnden Arzt, für Studienbetreuer, für Fachleute der Radiologie oder für das Rechnungswesen zugewiesen werden. Unter Ausnutzung dieser Systematik kann für jedes elektronische Datenobjekt unabhängig vom jeweiligen Arbeitsumfeld eine eindeutige Datenobjektkennung zugeordnet werden.
  • Zur Zuordnung von Zugriffsrechten unter Ausnutzung der beschriebenen systematischen Datenobjektkennung benötigt das Zugriffsteuerungs-Modul 7 Informationen über den zugreifenden Nutzer, dessen Gruppenzugehörigkeit, und über die Zuordnung von Datenobjekttypen zu bestimmten Zugriffsrecht-Kategorien. Diese Informationen sind jeweils eigens abgelegt und modular innerhalb des Datenverarbeitungssystem zugreifbar.
  • In einer bevorzugten Ausführungsform weist das System ein Zugriffsrecht-Modul 11 auf, z.B. einen Server, eine Bibliothek oder einen auf einem Rechner laufenden Prozess, das Zugriff auf einen Zugriffsrecht-Speicher 13 hat, sowie ein Nutzergruppen-Modul 15, das ebenfalls z.B. ein Server, eine Bibliothek oder ein auf einem Rechner laufender Prozess sein kann, mit Zugriff auf einen Nutzergruppen-Speicher 17. Im Zugriffsrecht-Speicher 13 sind Informationen zur Zuordnung von Nutzerkennungen zu Zugriffsrecht-Kategorien abgelegt. Die Zugriffsrecht-Kategorien beschreiben jeweils, welcher Nutzer bzw. Nutzergruppe in welchen Umfang für Zugriffsrechte zugelassen wird. Zum Beispiel kann eine Zugriffsrecht-Kategorie wie folgt definiert sein:
    • – Nutzer A hat keinen Zugriff
    • – Nutzer B hat Read-only-Zugriff
    • – Gruppe C hat vollen Zugriff
    • – Gruppe D kann Funktionalitäten 1 und 2 ausführen
    • – Gruppe E kann Funktionalität 2 ausführen
  • Die möglichen Zugriffsrechte umfassen z.B. das Erzeugen von Datenobjekten, das Erzeugen von Kopien bzw. Vererben von Informationen aus Datenobjekten, das Lesen, Verändern und Löschen von Informationen, die in Datenobjekten gespeichert sind, das Ändern von Zugriffsrechten innerhalb der jeweiligen Zugriffsrecht-Kategorie und das Ausführen bestimmter Funktionalitäten, soweit sie auf einem Arbeitsplatz grundsätzlich zur Ausführung zur Verfügung stehen.
  • Im Nutzergruppen-Speicher 17 sind Informationen gespeichert, die in Abhängigkeit von den zuvor ermittelten Informationen zur Identifizierung und Authentifizierung des Nutzer die Zuordnung einer Nutzeridentität bzw. einer Nutzergruppe ermöglichen. Die Nutzeridentität bzw. Nutzergruppe wird durch eine individuelle, elektronische Nutzerkennung repräsentiert, die eine eindeutige Identifikation innerhalb des Datenverarbeitungssystems ermöglicht. Die Gruppenzugehörigkeit kann z.B. die Zugehörigkeit zu Arbeitsgruppen, zu einer Funktion wie diensthabender Oberarzt, zu einer hierarchischen Einstufung wie Klinikdirektor, zu einer fachlichen Ausrichtung wie Radiologe oder zu einer Abteilungszugehörigkeit wie Personalabteilung oder Rechnungswesen wiederspiegeln.
  • Die Nutzeridentität und die Gruppenzugehörigkeit erlauben es, die für die Bestimmung von Zugriffsrechten relevanten Strukturen des Arbeitsumfeldes vollständig abzubilden. Die Zuordnung eines Nutzers zu Identitäten und Gruppen kann im Nutzergruppen-Speicher 17 zentral verändert werden und wird damit für jeglichen Datenzugriff des jeweiligen Nutzers im gesamten System wirksam, unabhängig davon, zu welchem Zeitpunkt oder an welchem Ort der Nutzer auf Daten zugreifen will.
  • Das Zugriffsteuerungs-Modul 7 ordnet elektronische Datenobjekte anhand der elektronischen Datenobjektkennung den Zugriffsrecht-Kategorien im Zugriffsrecht-Speicher 13 zu. Anhand der elektronischen Nutzerkennung werden zugreifende Nutzer aufgrund eines Zugriffs auf das Zugriffsrecht-Modul 11 ebenfalls Zugriffsrecht-Kategorien zugeordnet. Durch diese beiden Zuordnungen kann ermittelt werden, welches Zugriffsrecht für welchen Nutzer bei Zugriff auf ein bestimmtes Datenobjekt zugelassen wird.
  • Durch Änderungen innerhalb des Zugriffsrecht-Moduls 11 bzw. innerhalb des Nutzergruppen-Moduls 15 kann die Zulassung von Zugriffsrechten von zentraler Stelle aus für alle Datenobjekte, aus denen eine bestimmte Datenobjektkennung erzeugt wird, unabhängig vom Aufenthaltsort dieser Datenobjekte verändert werden. Änderungen dieser Zuordnungen werden automatisch auch für jede Kopie dieser Datenobjekte wirksam, da der Teil ihres Inhalts, aus dem die Datenobjektkennung erzeugt wird, beim Kopieren unverändert bleibt.
  • In einer weiteren bevorzugten Ausführungsform weist das System ein Zugriffsrecht-Modul 11, ein Nutzergruppen-Modul 15 und zusätzlich ein Datenobjekt-Kategorie-Modul 12 auf, das ebenfalls z.B. ein Server, eine Bibliothek oder ein auf einem Rechner laufender Prozess sein kann. Das Datenobjekt-Kategorie-Modul 12 hat Zugriff auf einen Datenobjekt-Kategorie-Speicher 14, in dem Informationen zur Zuordnung von Datenobjektkennungen und Zugriffsrecht-Kategorien gespeichert sind und verändert werden können.
  • Im Vergleich zu der vorangehend beschriebenen ist diese Ausführungsform stärker modularisiert. Das Nutzergruppen-Modul 15 stellt, wie oben beschrieben, Informationen zur Ermittlung einer elektronischen Nutzerkennung zur Verfügung, und das Zugriffsrecht-Modul 11 stellt nach wie vor Informationen zur Zuordnung von Nutzerkennungen zu Zugriffsrecht-Kategorien zur Verfügung. Das Datenobjekt-Kategorie-Modul 12 stellt in Ergänzung dazu Informationen zur Verfügung, die die Zuordnung von Datenobjektkennungen zu Zugriffsrecht-Kategorien ermöglichen. Durch das Datenobjekt-Kategorie-Modul 12 kann als für jedes Datenobjekt vorgegeben und verändert werden, welcher Zugriffsrecht-Kategorie es zugeordnet ist.
  • In jeder Zugriffsrecht-Kategorie haben dann die dieser Zugriffsrecht-Kategorie zugeordneten Nutzer und Nutzergruppen die darin vorgegebenen Zugriffsrechte. Durch Änderung einer Zuordnung im Datenobjekt-Kategorie-Modul 12 können die Zugriffsrechte für ein Datenobjekt also z.B. in Anpassung an das Durchlaufen eines vorgegebenen Workflow geändert werden, in dem nacheinander unterschiedliche Nutzer oder Nutzergruppen Zugriff auf das Datenobjekt haben sollen. Im klinischen Arbeitsumfeld könnten diese Stationen z.B. die Aufnahme des Patienten in die Klinik, die Eingangs-Diagnose, die anschließende Untersuchung mittels bildgebender Verfahren der Radiologie, die Therapie und die abschließende Diagnose sein, in denen jeweils unterschiedliche Nutzergruppen, z.B. medizinisch-technische Assistenten, Radiologen und Therapeuten, mit den Patientendatenobjekten arbeiten.
  • Wann immer ein Datenzugriff innerhalb des Datenverarbeitungssystems, also innerhalb der Sicherheitsdomäne, erfolgen soll, wird durch das Zugriffsteuerungs-Modul 7 zunächst die Datenobjektkennung des zuzugreifenden Datenobjekts erzeugt. Durch Zugriff auf das Nutzergruppen-Modul 15 ermittelt das Zugriffsteuerungs-Modul 7 eine Nutzerkennung und anhand der Nutzerkennung durch Zugriff auf das Zugriffsrecht-Modul 11 eine Zugriffsrecht-Kategorie. Durch Zugriff auf das Datenobjekt-Kategorie-Modul 12 ermittelt es anhand der zuvor erzeugten Datenobjektkennung, welcher Zugriffsrecht-Kategorie das Datenobjekt angehört. Damit sind über die Zuordnung von Datenobjektkennung und Nutzerkennung alle Informationen ermittelt worden, um den Nutzer für bestimmte Zugriffsrechte auf dieses Datenobjekt zulassen zu können.
  • Die Funktionsweise des Zugriffsteuerungs-Moduls 7 kann auch für Datenzugriffe aufrechterhalten werden, die von entfernt angeordneten Arbeitsplätzen erfolgen. Zum Beispiel kann über eine Datenfernverbindung 19, etwa eine Modemverbindung oder eine Mobilfunkverbindung, eine mobile Datenverarbeitungseinrichtung 21, etwa ein PDA oder ein Notebook, auf Datenobjekte des Systems zugreifen. Dies kann z.B. bei einem Heimarbeitsplatz oder innerhalb eines Arbeitsumfeldes wie einer Klinik bei Mobilgeräten der Fall sein.
  • Der vorangehend beschriebene Aufbau des Datenverarbeitungssystems kann in seiner Modularität verändert werden, ohne die Funktionsweise des Zugriffsteuerungs-Moduls 7 zu verändern. Zum Beispiel können der Nutzergruppen-Speicher 17 und der Zugriffsrecht-Speicher 13 auf einem gemeinsamen Speichermedium vereint sein, oder das Zugriffsrecht-Modul 11 und das Nutzergruppen-Modul 15 können in einer einzigen Datenverarbeitungseinrichtung integriert sein. Auch deren von dem Zugriffsteuerungs-Modul 7 getrennte Anordnung ist für die Funktionsweise nicht erforderlich und sie können statt dessen darin integriert sein. Der modulare Aufbau ermöglicht die besonders flexible Verwendung des Systems zur flexiblen Vergabe von Zugriffsrechten entsprechend aller strukturellen Anforderungen des jeweiligen Arbeitsumfelds.
  • In 2 sind logische Ebenen innerhalb des Datenverarbeitungssystems, also innerhalb der Sicherheits-Domäne, schema tisch dargestellt. Auf unterster Ebene 31 befinden sich die elektronischen Datenobjekte, deren Zugriff kontrolliert wird. Sie weisen einen kennungsrelevanten Inhalt 33 auf, aus dem eine Datenobjektkennung erzeugt werden kann. Dieser kennungsrelevante Inhalt 33 muss insofern auf einer höheren Ebene angeordnet sein, als die Datenobjektkennung unabhängig von den Zugriffsrechten eines Nutzers zugreifbar sein muss, um den Umfang von dessen Zugriffsrechten überhaupt erst bestimmen zu können.
  • Oberhalb der Datenebene kann eine ACL 35 angeordnet sein, die auf Ebene des Betriebssystems und innerhalb des jeweiligen Dateisystems den Zugriff auf die Daten abhängig von der Nutzeranmeldung am Betriebssystem kontrolliert. Die ACL 35 ist insofern nicht Teil der Datenobjektebene 31, 33, als sie beim Verlassen des jeweiligen Dateisystems bzw. beim Wechseln des Betriebssystems nicht aufrechterhalten wird. Sie wird nicht zusammen mit den Daten weitervererbt oder übertragen, sondern geht verloren. Daher ist die ACL 35 in der schematischen Darstellung als eigene Ebene dargestellt.
  • Oberhalb der ACL 35 ist die Betriebssystem-Ebene 37 angeordnet, die die ACL 35 und darüber die Datenobjektebene 31, 33 kontrolliert.
  • Auf der Betriebssystem-Ebene 37 setzt die Zugriffsteuerungs-Ebene 39 auf, innerhalb derer die Funktion des Zugriffsteuerungs-Moduls 7 abläuft. Sie kontrolliert sämtliche Datenzugriffe zusätzlich zu einer eventuell vorhandenen Zugriffskontrolle durch das Betriebssystem.
  • Oberhalb der Zugriffsteuerungs-Ebene 39 befindet sich die Anwendungs-Ebene 41 mit den Anwendungsprogrammen des jeweiligen Arbeitsumfeldes.
  • Im rechten Teil der Abbildung sind die logischen Ebenen, die sich nach einer durch Pfeile zeichnerisch angedeuteten Über tragung von Dateien auf ein anderes Betriebssystem ergeben können, beispielhaft dargestellt. Das andere Betriebssystem weist im gewählten Beispiel keine ACL auf. Die Datenobjektebene 31, 33 bleibt unverändert aufrechterhalten, insbesondere wird die Datenobjektkennung 33 mitübertragen. Wegen der fehlenden ACL entfällt jedoch die Zugriffskontrolle durch die Betriebssystem-Ebene 37.
  • Der Zugriff auf die Datenobjektebene 31, 33 ist jedoch auch nach deren Portierung nur über die Zugriffsteuerungs-Ebene 39 möglich. Die Kontrolle des Zugriffs auf die Daten im beabsichtigten Umfang bleibt also auch nach deren Importierung und unabhängig vom Wechsel des Betriebssystems aufrechterhalten. Die Anwendungsebene 41 kann weiterhin ausschließlich über die Zugriffsteuerungs-Ebene 39 auf die Daten zugreifen.
  • In 3 sind die Verfahrensschritte beim Zugriff auf Datenobjekte innerhalb der Sicherheitsdomäne dargestellt. In Schritt 51 beginnt der Datenobjektzugriff von Seiten eines Nutzers bzw. eines Anwendungsprogramms.
  • In Schritt 53 erfolgt die Ermittlung der Nutzerkennung zur Identifikation des Nutzers. Die dafür erforderlichen Informationen können, wie oben beschrieben, anhand von Tastatureingaben oder biometrischer Datenerfassung, erfasst werden. Anhand der so erfassten Daten wird durch Zugriff auf den Nutzergruppen-Speicher 17 über das Nutzergruppen-Modul 15 die Nutzerkennung ermittelt.
  • In Schritt 55 wird geprüft, ob das zuzugreifende Datenobjekt die Erzeugung einer Datenobjektkennung ermöglicht. Die Datenobjektkennung kann entweder eigens im Datenobjekt gespeichert sein, oder es können Informationen enthalten sein, die die automatische Ermittlung einer Kennung ermöglichen.
  • Erweist sich die Erzeugung einer Datenobjektkennung als nicht möglich, wird in Schritt 56 eine Default-Datenobjektkennung zugeordnet, anhand derer später ein standardmäßiger Umfang an Zugriffsrechten zugeordnet werden kann. Dadurch kann die Zugriffskontrolle für Datenobjekte, die z.B. ohne Datenobjektkennung in das System eingeführt wurden, standardmäßig und ohne das zeitaufwändige Durchführen weiterer Verfahrensschritte zur Ermittlung des Zugriffsrechts-Umfangs realisiert werden.
  • In Schritt 57 wird, falls möglich, die Datenobjektkennung als Kopie einer in dem Datenobjekt gespeicherten Kennung oder aus dem im Datenobjekt gespeicherten Inhalt automatisch erzeugt.
  • In Schritt 59 wird auf das Zugriffsrecht-Modul 11 zugegriffen, um anhand von Informationen des Zugriffsrecht-Speichers 15 eine Zugriffsrecht-Kategorie zu ermitteln. Dabei wird eine Zuordnung zwischen Nutzerkennung und Zugriffsrecht-Kategorie abgefragt, die beispielsweise tabellarisch oder als Map abgelegt sein kann.
  • In Schritt 61 erfolgt ein Zugriff auf das Datenobjekt-Kategorie-Modul 12, um Informationen aus dem Datenobjekt-Kategorie-Speicher 14 zu erhalten, anhand derer eine der zuvor ermittelten Datenobjektkennung zugeordnete Zugriffsrecht-Kategorie ermittelt werden kann.
  • Nachdem nun alle Informationen zur Nutzeridentität, Gruppenidentität und Datenobjektkategorie vorliegen, werden in Schritt 63 die Zugriffsrechte ermittelt, die für den Nutzer zugelassen werden. Die Ermittlung erfolgt entweder auf Basis der in Schritt 59 und Schritt 61 abgefragten Daten, oder auf Basis von in Schritt 56 zugeordneten Standardwerten. Die Zuordnung von Standardwerten kann dabei ohne weitere Zugriffe auf die Module erfolgen, um unnötige Zugriffe zu vermeiden und Zugriffszeiten einzusparen.
  • In Schritt 65 erfolgt wird der Datenzugriff in Abhängigkeit von dem zuvor ermittelten Zugriffsrecht zugelassen.
  • In Schritt 67 wird der Datenzugriff beendet. Zum Beispiel kann der Nutzer sich vom System abgemeldet haben, es kann ein automatischer Time-out aus dem System heraus erfolgt sein oder im System wurden Änderungen an den Kategorien zur Ermittlung von Zugriffsrechten vorgenommen.
  • Zur Illustrierung programmtechnischer Aspekte der Erfindung sind nachfolgend einige stark vereinfachte semantische Anweisungen für Verfahrensschritte zur Realisierung der Erfindung wiedergegeben. Die Vereinfachungen schließen z.B. das Auslassen von Variablen-Definitionen und Fehlerbehandlung ein.
  • Das Nutzergruppen-Modul erlaubt das Anlegen, Modifizieren, Löschen und Abfragen von Nutzer- und Gruppenidentitäten. Es beinhaltet zusätzlich Maßnahmen zur Authentifizierung des jeweiligen Nutzers. Zu seiner Realisierung können die folgenden Anweisungen Verwendung finden:
    bool createUser (wchar_t *theUserName, wchar_t *thePassword, wchar_t *&heSID);
    bool deleteUser (wchar_t *theUserName);
    bool querySID (wchar_t *theUserName, wchar_t *&theSID);
    bool createGroup (wchar_t *theGroupName, wchar_t *&heGID);
    bool deleteGroup (wchar_t *theGroupName);
    bool queryGID (wchar_t *theGroupName, wchar_t *&theGID);
    bool addUserToGroup (wchar_t *theSID, wchar_t *theGID);
    bool removeUserFromGroup (wchar_t *theSID, wchar_t *theSID);
    bool authenticateUser (wchar_t *theUserName, wchar_t *theUserPassword, wchar_t *theUID);
    bool releaseUID (wchar_t *theUID);
    bool analyzeUID (wchar_t *theUID, wchar_t *&theSID, wchar_t *&theSID);
  • Dabei ist "bool" ein C++-Schlüsselwort, das die Boolean'schen Werte TRUE oder FALSE annehmen kann, und das vor einer Variablendefinition, einer Methodendefinition oder einer Metho dendeklaration steht. "wchar_t" definiert einen Microsoft-Datentyp. "enum" ist ein C++-Schlüsselwort, das die Definition von Aufzählungstypen (Enumerations) ermöglicht. "struct" ist ein C++-Schlüsselwort, das die Definition von neuen, zusammengesetzten Datentypen ermöglicht.
  • SID bzw. GID sind eindeutige Kennungen für Nutzer- bzw. Gruppenidentitäten und werden intern innerhalb der Sicherheitsdomäne genutzt. Sie dienen der Repräsentation von Nutzern und Gruppen innerhalb der Sicherheitsdomäne, ohne dass dafür tatsächliche Identitäten oder Namen verwendet werden müssten.
  • Die sonstigen Worte der Anweisung, z.B. crateGroup oder deleteGroup, sind individuell gewählt und erklären sich aus ihrem Wortsinn heraus von selbst.
  • Mit jeder erfolgreichen Authentifizierung eines Nutzers wird eine UID erzeugt, die den Nutzer und die Arbeitssitzung eindeutig kennzeichnet. Diese UID wird gelöscht, sobald der Nutzer sich vom System abmeldet oder die Arbeitssitzung von der Sicherheitsdomäne durch ein Time-out beendet wird.
  • Das Zugriffsrecht-Modul kann unter Verwendung der folgenden Anweisungen realisiert werden:
    Figure 00210001
    Figure 00220001
  • Das Zugriffsrecht-Modul 11 verwendet SID und GID eines Nutzers, um dessen Zugriffsrechte ermitteln zu können. Gruppen- und Nutzer-Identitäten können unterschiedliche Zugriffsrechte zugeordnet sein und ein Nutzer kann mehrere Identitäten annehmen, so dass sämtliche SIDs und GIDs ausgewertet werden müssen, um den Umfang der Zugriffsrechte des jeweiligen Nutzers ermitteln zu können.
  • Die Zuordnung von Datenobjektkennungen zu Kategorien, die in den vorigen Anweisungs-Beispielen als "Token" bezeichnet sind, erlaubt das Anlegen, Löschen, Durchsuchen und Modifizieren der einzelnen Zuordnungen. Sie kann unter Verwendung der folgenden Anweisungen realisiert werden:
    Figure 00220002
  • Es ist möglich, einer Datenobjektkennung mehrere Kategorien zuzuordnen. Datenobjektkennungen, die keiner Kategorie zuordenbar sind, erhalten einen standardmäßigen Umfang an Default-Zugriffsrechten zugeordnet.

Claims (15)

  1. Verfahren zum Schutz eines zum Speichern von Informationen angelegten elektronischen Datenobjekts vor unberechtigtem Zugriff, wobei a) in einem ersten Schritt (56, 57) in Abhängigkeit von dem Inhalt des Datenobjekts eine elektronische Datenobjektkennung erzeugt wird, b) in einem weiteren Schritt (63) in Abhängigkeit von der Datenobjektkennung ein Zugriffsrecht ermittelt wird, und c) in einem letzten Schritt (65) in Abhängigkeit von dem Zugriffsrecht ein Zugriff auf das Datenobjekt zugelassen wird.
  2. Verfahren nach Anspruch 1, wobei die Datenobjektkennung als Kopie einer in dem Datenobjekt enthaltenen Kennung erzeugt wird.
  3. Verfahren nach Anspruch 1, wobei die Datenobjektkennung unter Verwendung von in dem Datenobjekt gespeicherten Informationen erzeugt wird.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei in einem weiteren Schritt (53) eine elektronische Nutzerkennung einer Bedienperson ermittelt wird, und wobei das Zugriffsrecht in Abhängigkeit von der Nutzerkennung ermittelt wird.
  5. Verfahren nach Anspruch 4, wobei in einem weiteren Schritt (59) Informationen ermittelt werden, die die Zuordnung der Nutzerkennung zu einer Zugriffsrecht-Kategorie ermöglichen, und wobei das Zugriffsrecht in Abhängigkeit von der Zuordnung der Nutzerkennung zu der Zugriffsrecht-Kategorie ermittelt wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei in einem weiteren Schritt (61) Informationen ermittelt werden, die die Zuordnung der Datenobjektkennung zu einer Zugriffsrecht-Kategorie ermöglichen, und wobei das Zugriffs recht in Abhängigkeit von der Zuordnung der Datenobjektkennung zu der Zugriffsrecht-Kategorie ermittelt wird.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Zugriffs-Recht ein Standard-Recht und ein funktionales Recht umfasst.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei in dem Datenobjekt personenbezogene medizinische Daten gespeichert sind.
  9. Datenverarbeitungssystem mit einer Datenverarbeitungseinrichtung (1), die auf ein elektronisches Datenobjekt zugreifen kann, und mit einem Zugriffsteuerungs-Modul (7), durch das eine elektronische Datenobjektkennung in Abhängigkeit von dem Inhalt des Datenobjekts erzeugbar ist, und durch das in Abhängigkeit von der Datenobjektkennung ein Zugriffsrecht ermittelbar ist, und durch das in Abhängigkeit von dem Zugriffsrecht ein Zugriff auf das elektronische Datenobjekt zugelassen werden kann.
  10. Datenverarbeitungssystem nach Anspruch 9, das ein Identifikationsmittel (6) umfasst, durch das eine elektronische Nutzerkennung einer Bedienperson ermittelbar ist.
  11. Datenverarbeitungssystem nach Anspruch 10, das ein Zugriffsrecht-Modul (13) umfasst, durch das Informationen bezüglich einer gegenseitigen Zuordnung von elektronischen Nutzerkennungen und Zugriffsrecht-Kategorien speicherbar sind und auf das das Zugriffsteuerungs-Modul (7) Zugriff hat, wobei durch das Zugriffsteuerungs-Modul (7) das Zugriffsrecht in Abhängigkeit von einem Zugreifen auf das Zugriffsrecht-Modul (13) ermittelbar ist.
  12. Datenverarbeitungssystem nach einem der Ansprüche 9 bis 11, das ein Datenobjekt-Kategorie-Modul (12) umfasst, durch das Informationen bezüglich einer gegenseitigen Zuordnung von elektronischen Datenobjektkennungen und Zugriffsrecht-Kategorien speicherbar sind und auf das das Zugriffsteuerungs-Modul (7) Zugriff hat, wobei durch das Zugriffsteuerungs-Modul (7) das Zugriffsrecht in Abhängigkeit von einem Zugreifen auf das Datenobjekt-Kategorie-Modul (12) ermittelbar ist.
  13. Datenverarbeitunssytem nach einem der Ansprüche 9 bis 12, das als Zugriffsrecht ein Standard-Recht und ein funktionales Recht ermittelt.
  14. Datenverarbeitungssystem nach einem der Ansprüche 9 bis 13, das als medizinischer Arbeitsplatz ausgebildet ist.
  15. Speichermedium, auf dem Informationen gespeichert sind, die in Wechselwirkung mit einer Datenverarbeitungseinrichtung treten können, um das Verfahren nach einem der Ansprüche 1 bis 8 auszuführen.
DE200410004101 2003-03-14 2004-01-27 Verfahren und System zum Schutz elektronischer Datenobjekte vor unberechtigtem Zugriff Ceased DE102004004101A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200410004101 DE102004004101A1 (de) 2003-03-14 2004-01-27 Verfahren und System zum Schutz elektronischer Datenobjekte vor unberechtigtem Zugriff

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10311648 2003-03-14
DE10311648.6 2003-03-14
DE200410004101 DE102004004101A1 (de) 2003-03-14 2004-01-27 Verfahren und System zum Schutz elektronischer Datenobjekte vor unberechtigtem Zugriff

Publications (1)

Publication Number Publication Date
DE102004004101A1 true DE102004004101A1 (de) 2004-09-30

Family

ID=32920851

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200410004101 Ceased DE102004004101A1 (de) 2003-03-14 2004-01-27 Verfahren und System zum Schutz elektronischer Datenobjekte vor unberechtigtem Zugriff

Country Status (2)

Country Link
CN (1) CN100449450C (de)
DE (1) DE102004004101A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020094798A1 (de) * 2018-11-08 2020-05-14 Samson Aktiengesellschaft Kontrolle von zugriffsrechten in einem vernetzten system mit datenverarbeitung

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100412743C (zh) * 2004-12-17 2008-08-20 摩托罗拉公司 用于数字权限管理的方法和装置
CN101399695B (zh) * 2007-09-26 2011-06-01 阿里巴巴集团控股有限公司 一种操作共享资源的方法和设备
WO2009049681A1 (en) * 2007-10-19 2009-04-23 Vascops Automatic geometrical and mechanical analyzing method and system for tubular structures
CN106664636B (zh) * 2014-10-29 2020-06-16 华为技术有限公司 一种数据帧的传输方法及装置
CN105117582A (zh) * 2015-07-29 2015-12-02 苏州麦迪斯顿医疗科技股份有限公司 医疗数据平台信息处理方法
CN107103245B (zh) * 2016-02-23 2022-08-02 中兴通讯股份有限公司 文件的权限管理方法及装置
CN105872108B (zh) * 2016-06-15 2019-02-22 深圳市清时捷科技有限公司 一种多个接收终端的数据筛选、传输方法及其装置
CN107944297B (zh) * 2017-12-11 2020-11-24 北京奇虎科技有限公司 一种访问文件的控制方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI103543B (fi) * 1996-09-30 1999-07-15 Nokia Telecommunications Oy Elektronisten dokumenttien merkitseminen
ID28829A (id) * 1999-04-14 2001-07-05 Matsushita Electric Industrial Co Ltd Aparatus pengaturan data, metode pengaturan data dan program pengaturan data perekaman medium perekam
US6671696B1 (en) * 2001-08-20 2003-12-30 Pardalis Software, Inc. Informational object authoring and distribution system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020094798A1 (de) * 2018-11-08 2020-05-14 Samson Aktiengesellschaft Kontrolle von zugriffsrechten in einem vernetzten system mit datenverarbeitung

Also Published As

Publication number Publication date
CN1530792A (zh) 2004-09-22
CN100449450C (zh) 2009-01-07

Similar Documents

Publication Publication Date Title
DE69530128T2 (de) Sicherheit für rechnerbetriebsmittel
DE3689569T2 (de) Verfahren zur Systemdateiensicherung und Datenverarbeitungseinheit zu dessen Durchführung.
DE69714512T2 (de) Zugriffscodes für Rechnerbetriebsmittel
DE69714422T2 (de) Zugriffssteuerungs/verschlüsselungssystem
DE69815599T2 (de) Verfahren und Vorrichtung zum Schutz von Anwendungsdaten in sicheren Speicherbereichen
DE10226909A1 (de) System und Verfahren zur vorgeschriebenen Zugriffssteuerung auf ein Dateisystem
DE102004056651A1 (de) Verfahren und Einrichtung zur Datenarchivierung in einem Datenspeichersystem
US7761382B2 (en) Method and system to protect electronic data objects from unauthorized access
DE112010004284T5 (de) Verfahren und System zum Verwalten von Sicherheitsobjekten
DE112013000511T5 (de) Zugriff auf vertrauliche Daten über eine Website eines sozialen Netzwerks
DE112020002155T5 (de) Einwilligung zu gemeinsamen personenbezogenen informationen
DE102004004101A1 (de) Verfahren und System zum Schutz elektronischer Datenobjekte vor unberechtigtem Zugriff
DE10311327A1 (de) Nutzer-Objekte zur Authentifizierung der Nutzung medizinischer Daten
DE10156877B4 (de) Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
EP3539044B1 (de) Zugriffskontrolle auf datenobjekte
EP3588357B1 (de) System mit zertifikat-basierter zugriffskontrolle
DE10307996B4 (de) Verfahren zum Ver- und Entschlüsseln von Daten durch verschiedene Nutzer
DE202021100647U1 (de) Personendatenanonymisierungssystem (PDAS) mit kundenspezifischem Token
EP3792925A1 (de) Verfahren und vorrichtung zur datentechnischen kommunikation in einem netzwerk
EP3580908A1 (de) Zugriffsverwaltungssystem zum export von datensätzen
DE10307995B4 (de) Verfahren zum Signieren von Daten
WO2005050418A1 (de) Verfahren zum zugriff auf eine datenverarbeitungsanlage
DE10146977B4 (de) Elektronisches Personaldaten-Verwaltungssystem
EP2169588A1 (de) Verfahren zur Gewährleistung von Sicherheit
Hung et al. A paradigm for security enforcement in CapBasED-AMS

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection