JP5897040B2 - 緊急時の個人健康記録へのセキュアなアクセス - Google Patents

緊急時の個人健康記録へのセキュアなアクセス Download PDF

Info

Publication number
JP5897040B2
JP5897040B2 JP2013550998A JP2013550998A JP5897040B2 JP 5897040 B2 JP5897040 B2 JP 5897040B2 JP 2013550998 A JP2013550998 A JP 2013550998A JP 2013550998 A JP2013550998 A JP 2013550998A JP 5897040 B2 JP5897040 B2 JP 5897040B2
Authority
JP
Japan
Prior art keywords
secret
user
key
hardware token
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013550998A
Other languages
English (en)
Other versions
JP2014508456A5 (ja
JP2014508456A (ja
Inventor
シェ ルーン キーオ
シェ ルーン キーオ
ムハンマド アシム
ムハンマド アシム
サンディープ シャンカラン クマル
サンディープ シャンカラン クマル
ペトルス ヨハネス レノア
ペトルス ヨハネス レノア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV filed Critical Koninklijke Philips NV
Publication of JP2014508456A publication Critical patent/JP2014508456A/ja
Publication of JP2014508456A5 publication Critical patent/JP2014508456A5/ja
Application granted granted Critical
Publication of JP5897040B2 publication Critical patent/JP5897040B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/101Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
    • G06F21/1014Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to tokens
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/107License processing; Key processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、データレコードに対するセキュアなアクセスを提供することに関する。
健康関連及び/又は医療データの系統的管理の必要がますます増えている。異なる病院又はクリニック、処方箋、薬剤消費ログ等の診断リポートは、セキュアに保持されることができ、このような医療データへのアクセスは、ユーザにとって便利にされることができる。このような健康データ管理アプリケーションは、例えば物忘れしやすく、彼らの健康レコードを管理する支援を必要とする高齢者及び慢性疾患に苦しむ患者のために、使用されることができる。近年、ユーザ自身によって管理されることができる個人健康記録(PHR)の概念が提案されている。このようなPHRは、ユーザの健康データを記憶し、それに対するアクセスを制御するために使用されることができる。病院からの電子医療記録(Electronic Medical Records、EMR)及び電子健康記録(Electronic Health Records、EHR)は、ユーザのPHRにインポートされることができ、これは、インターネット接続が利用可能なときはいつでもユーザの健康データへのユビキタスアクセスを可能にする。
省略時設定では、PHRに対するアクセスは、ユーザ自身にしか許されない。しかしながら、ユーザは、アクセス制御リスト又は他のアクセス制御機構を更に規定することができる。例えば、Julien Kunzi, Paul Koster, Milan Petkovic, Emergency Access to Protected Health Records, inK.-P. Adlassnig et al. (Eds.): Medical Informatics in a United and Healthy Europe,MIE 2009, IOS Press, 2009, pp. 705-709(以下、Kunzi他)は、ユーザ家族、友人及び親族にアクセスを許諾することを開示する。更に、高齢者は、完全な許可をより能力のある家族に許諾することによって、彼らの医療記録を管理する作業を委任することができる。医師又は救急チームが、緊急事態の状況において意識不明のユーザに処置を提供しようとするとき、このような予め規定されたアクセス制御ポリシは不十分である。ユーザが自分のパスワードを提供することができず、アクセス制御ポリシは、データへの認可されていない個人のアクセスを許さないので、救急医師及び救急チームは、ユーザのPHRにアクセスすることができない。しかしながら、ユーザが緊急時に処置されている間、ユーザの健康状態に関する何らかの背景情報が提供されることができれば有益である。調査は、医師が救急処置の前に患者に関する情報にアクセスした場合、多くの致命的誤りが回避されることができることを示した。
Kunzi他は、救急医師によるアクセス要求を送り、これが緊急時オーバーライドであることを示すことを開示している。要求しているエンティティが適当な証明書を有する場合、すなわち、要求しているエンティティが資格をもった医師である場合、アクセスは許諾され、ログに記録される。その後、アクセスログは、事後アクセス監査が、ユーザの健康データに対するアクセスが合法的であるかどうかを判定するために、使用される。しかしながら、緊急時オーバーライドが悪意のあるものである場合、このようなメカニズムは、ユーザの健康データのプライバシー権利を侵害するので、効果的でない。本質的に、監査は、PHRに対する悪意のあるアクセスを防ぐための予防的手段ではない。
緊急事態の状況において、ユーザは意識不明であるので、ユーザは、PHRへのアクセスを可能にするために自分のパスワードを提供することができない。従って、これは、ユーザのPHRに対する緊急時アクセスの必要をトリガする。しかしながら、PHRサーバが、PHRにアクセスするための真の緊急事態の状況と悪意のある試みとを区別することは困難である。なぜなら、いずれの場合も、ユーザは応対できないからである。
"Implementing Security And Access Control Mechanisms For An Electronic Healthcare Record", Frank K. Uckert et al, AMIA 2002 Annual Symposium Proceedingsは、ユーザがユーザのレコードを使用可能にし、ユーザのレコード内でこれを規定することによって、彼のEHRの緊急時サブセットに対する読み取りアクセスを提供することができるシステムを開示している。この特徴が使用可能にされる場合、緊急時TANが生成される。小さい財布カードに印刷されるウェブアドレス、ユーザ名及びこの緊急時TANの組み合わせが、患者によって携行されることができ、この患者の緊急時に、任意の他の人によって使用されることができる。TAN(=トランザクション番号)によって、ユーザは、ただ1回のセッションについて、ユーザの健康レコードの一部へのアクセスを、何人にも与えることができる。TANの原理は、インターナショナルオンラインバンキングから知られているものと同様である。1回の使用後、TANは無効である。新しいTANが、必要に応じてユーザによって生成されることができる。
データレコードに対するセキュアなアクセスを提供するための改善されたシステムを有することが有利である。
この問題により良く対処するために、本発明の第1の見地は、複数のデータレコードを記憶する記憶手段であって、1のデータレコードには、該データレコードに対応するハードウェアトークンと共有される秘密のシーケンスが関連付けられ、サーバシステムが、複数ユーザの複数の認証証明書を記憶する、記憶手段と、ユーザ端末からユーザの認証証明書を受信し、ユーザの認証証明書に基づいて、ユーザをサーバシステムのユーザとして認証するユーザ認証手段と、ユーザ端末から、ハードウェアトークンによって示される秘密の表現及びハードウェアトークンに対応するデータレコードを識別する情報を受信する秘密受信手段と、前記秘密の表現を、ハードウェアトークンに対応するデータレコードと関連付けられる秘密のシーケンス内の未使用の秘密とマッチングするマッチング手段と、秘密の表現が未使用の秘密と合致し、ユーザがサーバシステムのユーザとして認証された場合、ハードウェアトークンに対応するデータレコードの少なくとも一部に対するユーザアクセスを許諾するアクセス許諾手段と、未使用の秘密を使用済みとしてマークするマーキング手段と、を有するサーバシステムを提供する。
サーバシステムは、改善されたセキュリティを提供することができる。ユーザ認証手段は、認可された人のみがデータレコードにアクセスできることを確実にする。例えば、救急従事者のみが認可証明書を与えられる(任意には、これらの証明書は、彼らの勤務シフトの最中にのみ有効にされる)。更に、秘密受信手段及びマッチング手段は、データレコードを識別し、ユーザが専門家としてデータレコードにアクセスすることを必要としている証拠を提供するために、使用される。なぜなら、他の場合に、ユーザは、秘密の表現をその上にもつハードウェアトークンを所有しないからである。ユーザ認証が用いられない場合、カードを見つけ又は盗む者は誰でも、データレコードにアクセスすることができてしまうので、ユーザ認証とハードウェアトークンから受信された秘密の表現との組み合わせは、改善されたセキュリティを提供する。
ハードウェアトークンは、秘密のシーケンスの表現を生成することができるので、ハードウェアトークンは、複数回使用されることができる。未使用の秘密のみが有効であるので、各々の秘密は、データレコードに対するワンタイムアクセスのみを許諾する。
サーバシステムは、アクセス許諾手段がユーザアクセスを許諾する前に、ハードウェアトークンに関連付けられている人の移動電話又は移動端末に自動化された電話発呼を行い又はメッセージを送信する通信手段を有することができ、通信手段は、その人が、アクセスの許諾を拒否することができるように構成される。例えば、人は、自動化された発呼の最中に電話のボタンを押すことによって、又は返信メッセージを送ることによって、アクセスを許諾することを拒否することができる。このように、その人の意識があるかどうかがテストされる。人が発呼に応答しない又はメッセージを返信しない場合、これは、その人が意識不明であるせいかもしれず、システムは、データレコードに対するアクセスを許す。
アクセス許諾手段は、ユーザ端末から受信された値に基づくキーを使用して、データレコードの少なくとも一部を暗号化し、ユーザ端末に、暗号化されたデータ及び前記値からキーを計算するための情報を送信する暗号化器を有することができる。このように、ユーザ端末のみがデータを解読することができることが確実にされる。
データレコードの少なくとも一部に対し許諾されるアクセスは、時間を制限されることができる。このように、緊急事態の状況がもはやないときに、データレコードが閲覧可能になることが回避される。
秘密の表現は、秘密の暗号化を含むことができ、暗号化はキーに基づくことができ、キーは、ハッシュシーケンスの一部でありえ、秘密のシーケンス内の秘密の位置は、ハッシュシーケンスのキーの位置に対応しうる。このように、シーケンス内の各々の秘密は、それぞれ異なって暗号化される。トークン及びサーバシステムは、同じキーのシーケンスを使用することができる。暗号化されたキーの完全なシーケンスは、ハッシュシーケンスによって再計算されることができるので、サーバシステムは、暗号化されたキーの完全なシーケンスを記憶する必要がない。
サーバシステムは、ユーザ端末に、秘密のシーケンス内の秘密の位置に対応するハッシュシーケンス内のキーを送信するように構成されるデータ送信手段を有することができる。ハッシュ関数を適用することによって、ユーザ端末又はハードウェアトークンは、ハッシュシーケンス内の他のキーの1又は複数を計算することができる。ユーザ端末又はトークンは、これらの計算された値を、記憶されている値と比較することができる。例えば、ハードウェアトークンが発行される前に、ハッシュチェーン内の最後のキーが、ハードウェアトークンに記憶される。これは、サーバの認証を提供し、又は正しいデータレコードが取得されることを端末が検証できる方法を提供する。
別の見地において、本発明は、ハードウェアトークンを提供する。このハードウェアトークンは、上述のサーバシステムと通信する際にユーザ端末によって使用されることができる。ハードウェアトークンは、秘密の表現を提供する秘密提供手段を含むことができ、秘密の表現は、秘密の暗号化を含み、暗号化はキーに基づき、キーは、ハッシュシーケンスの一部であり、秘密のシーケンス内の秘密の位置は、ハッシュシーケンス内のキーの位置に対応し、秘密提供手段は、逆順のシーケンスで表現を提供するように構成される。表現のシーケンスは、ハードウェアトークンの記憶手段に記憶されることができる。
別の見地において、本発明は、サーバシステムと共に使用されるユーザ端末を提供する。ユーザ端末は、ハードウェアトークンによって示される秘密の表現及びハードウェアトークンに対応するデータレコードを識別する情報を受信する秘密受信器と、ユーザの認証証明書を受信する証明書受信器と、値を生成する値生成器と、ユーザの認証証明書、ハードウェアトークンによって示される秘密の表現、ハードウェアトークンに対応するデータレコードを識別する情報、及び生成された値を、サーバシステムに送信する送信器と、サーバシステムから、暗号化された形のデータレコードの内容の少なくとも一部及びキーデータを受信するデータ受信器と、値及びキーデータに基づいてキーを計算するキー計算手段と、キーに基づいて、データレコードの内容の少なくとも一部を解読するデータ解読器と、を有する。
ユーザ端末は、ユーザ証明書及びハードウェアトークンからの秘密によって、改善されたセキュリティを提供する。更に、データレコードは、暗号化によって保護され、キーは、ネットワークを通じて送信される必要がない。
秘密受信器は、ハードウェアトークンからの表現又は情報を電子的に取得するトークンリーダを有することができる。
データレコードに対するセキュアなアクセスを提供するシステムは、サーバシステム、複数のハードウェアトークン、及び複数のユーザ端末を有することができる。ハードウェアトークンは、例えば潜在的な患者のような人によって保持されることができ、ユーザ端末は、例えば救急従事者のようなユーザによって保持されることができ又は使用されることができる。人が助けを必要としていて、その人の個人健康記録の詳細へのアクセスを提供することができない場合、救急従事者は、ハードウェアトークンを端末と接続することができ、端末は、サーバシステムに、秘密の表現を送信することができる;救急従事者は、サーバシステムに自分自身を証明し、その人の個人健康記録の緊急事態部分に対するアクセスを得る。人が救急支援を必要とする次のとき、ハードウェアトークンは、秘密の次の表現を生成することができる。
別の見地において、本発明は、データレコードに対するセキュアなアクセスを提供する方法を提供する。方法は、複数のデータレコード及び複数ユーザに関する複数の認証証明書をサーバシステムに記憶するステップであって、1のデータレコードには、該データレコードに対応するハードウェアトークンと共有される秘密のシーケンスが関連付けられている、ステップと、ユーザ端末からユーザの認証証明書を受け取り、ユーザの認証証明書に基づいて、ユーザをサーバシステムのユーザとして認証するステップと、端末から、ハードウェアトークンによって示される秘密の表現及びハードウェアトークンに対応するデータレコードを識別する情報を受信するステップと、秘密の表現を、ハードウェアトークンに対応するデータレコードに関連付けられた秘密のシーケンス内の未使用の秘密とマッチングするステップと、秘密の表現が未使用の秘密と合致し、ユーザがサーバシステムのユーザとして認証された場合、ハードウェアトークンに対応するデータレコードの少なくとも一部に対するユーザアクセスを許諾するステップと、未使用の秘密を使用済みとマークするステップと、を含む。
別の見地において、本発明は、上述の方法をプロセッサシステムに実施させるための命令を含むコンピュータプログラム製品を提供する。
当業者であれば、本発明の上述の実施形態、実現例及び/又は見地のうち2又はそれ以上が、有用であると考えられる任意のやり方で組み合わせられることができることが分かるであろう。
本発明の他の見地の記述される変形及び変更に対応する、サーバシステム、ユーザ端末、ハードウェアトークン、方法及び/又はコンピュータプログラム製品の変形及び変更は、本明細書の記述に基づいて当業者によって実施されることができる。
データレコードに対するセキュアなアクセスを提供するシステムのブロック図。 システムにおいて用いられるユーザ端末のブロック図。 データレコードに対するセキュアなアクセスを提供する方法のフローチャート。 データレコードに対するセキュアなアクセスを提供するシステムの別のビューを提供する図。
本発明のこれら及び他の見地は、以下に記述される実施形態から明らかになり、それらを参照して説明される。
本記述は、例えば人が事故又は心停止の理由で意識不明になるときのような、緊急事態において、人の医療記録へのアクセスを提供するために使用可能なシステムの実施形態を記述する。人は、クレジットカードと同様のやり方で人によって取り扱われるハードウェアタグを携帯することができる。ハードウェアタグに記憶された情報は、秘密に保持される。ハードウェアタグは、電子形式でそれに記憶される秘密情報を有することができ、情報は、ハードウェアタグがタグリーダに接続されるときのみ、示される。代替として、情報は、目に見えるようにされてもよく、従って、データレコードにアクセスする必要がある人は、端末に情報をコピーすることができる。ユーザが意識不明であるとき、医師は、ハードウェアタグを手に入れ、タグ上の情報を使用して、個人健康記録(PHR)サーバに記憶されたその人の個人健康記録に対するワンタイム緊急時アクセスを要求することができる。データタグが盗まれた又はなくなった場合、ユーザは、サーバ上でハードウェアタグをブロックすることによってPHRに対するいかなる緊急時アクセスも禁止するために、紛失を報告することができる。
窃盗に対する対抗手段として、データタグの所有が、必ずしも、要求しているエンティティが、ユーザのPHRに対する緊急時アクセスを行えることを意味するわけではない。ポリシは、データタグからの情報を提供することができる資格のある医師又は医療関係者のみが緊急時アクセスをトリガすることができるように、PHRサーバにおいて規定されることができる。同様に、データタグからの情報をもたない医師は、緊急時アクセスを開始することを認可されない。
更に、ワンタイムセッションキーは、PHRサーバにのみ知られているユーザのハッシュチェーンからのキー及び医師からの秘密に基づいて、ユーザのPHRにアクセスするために救急医師による使用に供されるハードウェアタグによって提供されることができる。医師は更に、PHRサーバから受信されたPHRが信頼できるものかどうか、及びそれがユーザのアイデンティティに対応することを確かめることが可能である。
図1は、サーバシステム100、ユーザ端末200及びハードウェアトークン60を有するシステムを示す。システムは、データレコード2に対するセキュアなアクセスを提供するために使用されることができる。サーバシステム100は、複数のコンピュータ及び記憶媒体を使用して実現されることができる。システムは、単一のコンピュータを使用して、より小さい規模で実現されることもできる。他の実現可能性は、当業者には本記述から明らかであろう。
サーバシステムの記憶手段1は、例えば個人健康記録のような複数のデータレコードを記憶するように構成されることができる。図は、1つのデータレコード2を説明的に示している。緊急時アクセスの可能性が許可される各データレコード2は、データレコード2が関係する人によって携帯されるべき対応するハードウェアトークン60を有することができる。このようなデータレコード2には、該データレコード2に対応するハードウェアトークン60と共有される秘密14のシーケンスが関連付けられている。図において、秘密14のシーケンスの4つの秘密s、s、s、sが、例示として示されている。
更に、サーバシステム100は、ユーザ認証情報3を記憶するように構成されることができる。このようなユーザ認証情報は、アクセス制御ポリシを含むことができる。当該ユーザは、医師又は救急従事者、又はデータレコードにアクセスする正当な理由を有する又は認可されている別の人でありうる。
サーバシステム100は、ユーザ端末200からのユーザの認証証明書11を受け取るユーザ認証手段10を更に有することができる。受け取った認証証明書11及び記憶された認証情報3に基づいて、ユーザ認証手段10は、端末200のユーザが、サーバシステム100によって記憶されているデータレコードの緊急時データに概してアクセスすることができるかどうかを判定する。言い換えると、ユーザ認証手段は、ユーザを、認可されたユーザとして認証するように構成される。認証手段10は、例えば記憶されたアクセス制御ポリシに基づいて、役割ベースのアクセス制御又は属性ベースのアクセス制御を実施するように構成されることができる。役割ベースの又は属性ベースのアクセス制御は、それ自体当技術分野において知られている。サーバシステム100において、このようなポリシは、後述するように、ユーザが、ハードウェアトークン60から取得される適当な秘密情報13をも提供する場合のみ、関連する特定の属性の組を有するユーザが、データレコードにアクセスすることを可能にすることができる。秘密情報13は、ハードウェアトークン60から読み出されることができ、ユーザの制御下、端末200によってサーバ100に送られることができる。
サーバシステム100は更に、端末200から秘密13の表現を受け取る秘密受信手段9を有することができる。端末200は、データレコード2が関係する人のハードウェアトークン60から、秘密13を読み出すように構成されることができる。更に、ハードウェアトークンに対応するデータレコードを識別する情報が、受け取られることができる。この情報は、秘密に含められることができ、又はそれは、トークンから又は他のやり方で取得されるデータの別個の一部でありうる。
サーバシステム100は、秘密13の表現を、ハードウェアトークン60に対応するデータレコード2に関連付けられた秘密のシーケンス内の未使用の秘密とマッチングするマッチング手段7を更に有することができる。図において、s、s及びsは未使用の秘密であり、sは使用済みの秘密である。例えば、マッチング手段7は、受け取られた秘密13の表現を、秘密14のシーケンス内の最後の未使用の秘密のsとマッチングすることができる。
サーバシステム100は、秘密13の表現が未使用の秘密のsと合致し、ユーザが認可されたユーザとして認証された場合、ハードウェアトークン60に対応するデータレコード2の少なくとも一部に対するユーザアクセスを許諾するアクセス許諾手段6を更に有することができる。これらの2つの条件が両方満たされない場合、アクセス許諾手段6は、データレコード2に対するアクセスを拒否することができる。
サーバシステム100は、未使用の秘密sを使用済みとマークするマーキング手段12を更に有することができる。このように、システムは、どの秘密がなお未使用であるか(例えば、s及びs)を常に把握している。未使用の秘密の表現13のみが、データレコード2にアクセスするために使用されることができる。
サーバシステムは、ハードウェアトークン60に関連付けられた人の移動端末50(例えば移動電話)に自動化された電話発呼を行う又はメッセージを送信する通信手段8を有することができる。例えば、通信手段8は、移動電話に見られる通信ハードウェア又はこのような通信ハードウェアとのネットワーク接続手段を含むことができる。アクセス許諾手段6が、ユーザアクセスを許諾する前に、通信手段8はそのタスクを実施する。通信手段8は、双方向通信を可能にする。通信手段8が、移動端末50から戻ってくる適当な信号を受け取る場合、通信手段8は、データレコード2に対するアクセスを拒否するようにアクセス許諾手段6に命じるための信号を、アクセス許諾手段6に送信することができる。移動端末50は、ユーザが、例えばDTMFトーン又はsmsメッセージのような適当な信号を送信することを可能にするユーザインタフェースを有する。
サーバシステム100は、ユーザ端末から受信された値に基づくキーを使用して、データレコード2の少なくとも一部を暗号化する暗号化器5を有することができる。この値は、秘密13の表現と共に、ユーザ端末から送信されることができる。サーバシステム100は、暗号化されたデータ及び値からキーを計算するための情報を、ユーザ端末に送信するデータ送信手段4を更に有することができる。データ送信手段4は、データレコードのアクセス可能な完全な一部を端末200に送信することができ、端末200は、ユーザがデータを閲覧することを可能にするソフトウェアを有することができる。代替として、データ送信手段4は、端末200及びウェブインタフェースを通じてユーザによって要求されるデータレコード2のエレメントを送るウェブサーバを有することができる。送信手段4は、上述のキー計算に基づくものである必要はない。それに代わって又は付加的に、例えば、SSL及び/又はHTTPS暗号化技術又は他のデータ保護プロトコルが用いられることができる。
サーバシステム100は、秘密13の表現を受信したのち制限された時間の間のみ、データレコード2に対するアクセスを許諾するように構成されることができる。例えば、アクセスは、ただ1回のセッションの間及び/又は予め決められた時間期間の間のみ、許される。例えば、1時間の間のみアクセスが許される。代替として又は付加的に、データレコード2は、ただ一度だけ又は予め決められた回数だけ、ユーザ端末200に送信されることができる。
秘密13の表現は、秘密の暗号化(例えばsの暗号化)を含むことができる。暗号化はキーに基づき、キーはハッシュシーケンスの一部でありうる。ハッシュシーケンスは、各々の連続するエレメントが、直前のエレメントにハッシュ関数を適用することによって取得されるシーケンスである。秘密のシーケンス内の秘密の位置は、ハッシュシーケンスのキーの位置に対応する。言い換えると、各々の連続する秘密は、ハッシュシーケンスの次のキーによって暗号化される。このように、ハッシュシーケンスの最後のキーから始まって逆方向に1つずつキーを示す場合、攻撃者にとって、示されていないキーを破壊することは困難である。なぜなら、ハッシュ関数は一方向関数だからである。
図1は、サーバシステム100と通信するユーザ端末200と共に使用されるハードウェアトークン60を示す。ハードウェアトークン60は、端末200に秘密13の表現を提供する秘密提供手段61を有する。秘密13の表現は、秘密の暗号化を含むことができる。暗号化は、キーに基づくことができ、キーは、ハッシュシーケンスの一部でありえ、秘密のシーケンス内の秘密の位置は、ハッシュシーケンスのキーの位置に対応することができ、秘密提供手段は、逆順のシーケンスで表現を提供するように構成されることができる。
ハードウェアトークンは、秘密の暗号化が生成されるのに用いられたキーを受信するように構成される検証器62を有することができる。このキーは、「受信キー」と呼ばれる。受信キーは、サーバシステム100から端末200に送信されることができ、端末によってハードウェアトークン60に送られることができる。検証器62は、受信キーにハッシュ関数を適用することができる。このようにして、処理されたキーが生成される。この処理されたキーは、他の処理ステップを受けてもよいが、記憶された値と比較されることができる。記憶された値は、ハッシュシーケンス内の他のキーに基づく。比較の後、比較の結果が、端末に送信されることができる。比較が合致の結果をもたらさない場合、サーバシステム上のデータレコードとハードウェアトークンに関する情報との間に不一致があるので、端末は、エラーを生成することができる。
図2は、サーバシステム100と共に使用される、可能性のあるユーザ端末200を示す。図2の端末は、ハードウェアトークンの検証器のタスクを実施するように構成されることができる。この場合、ハードウェアトークンは、検証を実施する必要がない。同様に、ハードウェアトークンが検証器62を有する場合、検証器204を有さないよりシンプルな端末が、使用されることができる。端末200は、PCハードウェアを使用して実現されることができ、又は異なるハードウェア及び適切なソフトウェアを使用して実現されることができる。同様のものは、すべての図面にわたって同様の参照数字によって示されている。ユーザ端末200は、ハードウェアトークン60によって示される秘密の表現及びハードウェアトークン60に対応するデータレコードを識別する情報を受信する秘密受信器205を有することができる。ユーザ端末200は、ユーザの認証証明書を受信する証明書受信器206を更に有することができる。証明書受信器206は、例えばユーザがユーザ名及びパスワードを入力することを可能にするユーザインタフェース素子に基づくことができる。更に、ユーザの強力な認証が、(患者のデータレコードに対応するハードウェアトークン60と対照的に)ユーザと関連付けられたユーザ名、パスワード及びハードウェアトークンの組み合わせを使用して可能である。
ユーザ端末200は更に、ユーザの認証証明書、ハードウェアトークン60によって示される秘密の表現、及びハードウェアトークン60に対応するデータレコードを識別する情報を、サーバシステム100に送信する送信器201を有する。サーバシステム100が、供給された情報に基づいて、データレコード2に対するアクセスを許諾する場合、データレコード2の内容が、暗号化された形でユーザ端末200に送信されることができる。しかしながら、サーバの認証、及び/又は正しいデータレコード2がサーバシステム100によって見つけられたかどうかのチェックが、以下のように実施されることができる。
ユーザ端末200は、サーバシステム100から、暗号化された形のデータレコードの内容の少なくとも一部及びキーデータを受信するデータ受信器202を有することができる。キーデータは、処理されたキーを取得するために、受信されたキーデータにハッシュ関数を(1又は複数回)適用し、及び任意の他の処理ステップを適用し、処理されたキーを、ハードウェアトークン60からこの目的のために受け取られた値と比較するように構成される検証器204に送られることができる。値は、ハッシュシーケンス内のキーに基づくことができる。この比較に基づいて、検証器204は、サーバシステム100及び/又はデータレコード2が信頼できるか判定する。
ユーザ端末200は、キーデータに基づいてデータレコードの内容の少なくとも一部を解読するデータ解読器203を有することができる。データ解読器203は、検証器204による認証が成功する場合のみ、データレコードの内容を解読するように構成されることができる。
秘密受信手段205は、ハードウェアトークン60から表現又は情報を電子的に取得するトークンリーダ207を有することができる。例えば、トークンリーダ207はスマートカードリーダを有し、ハードウェアトークン60はスマートカードを有する。
完全な保護されたアクセスシステムは、上述のサーバシステム、ハードウェアトークン及びユーザ端末を使用して構築されることができ、検証器の実現は、ユーザ端末において又はハードウェアトークンにおいて行わることができる。
図3は、データレコードに対するセキュアなアクセスを提供する方法を示す。方法は、サーバシステム、1又は複数のユーザ端末、及び1又は複数のハードウェアトークン上に配布するために1又は複数の記憶媒体に記憶されることができるソフトウェアの形で実現されることができる。
方法は、複数のデータレコードを記憶するステップ301であって、1のデータレコードには、該データレコードに対応するハードウェアトークンと共有される秘密のシーケンスが関連付けられている、ステップと、ユーザ認証情報を記憶するステップと、を含む。
方法は、ユーザ端末からユーザの認証証明書を受け取り、ユーザの認証証明書及び記憶された認証情報に基づいて、当該ユーザを認可されたユーザとして認証するステップ302を含むことができる。
方法は、端末から、ハードウェアトークンによって示される秘密の表現及びハードウェアトークンに対応するデータレコードを識別する情報の表現を受け取るステップ303を含むことができる。
方法は、秘密の表現を、ハードウェアトークンに対応するデータレコードに関連付けられた秘密のシーケンス内の未使用の秘密とマッチングするステップ304を含むことができる。
方法は、秘密の表現が未使用の秘密と合致し、ユーザが認可されたユーザとして認証された場合、ハードウェアトークンに対応するデータレコードの少なくとも一部に対するユーザアクセスを許諾するステップ305を含むことができる。
方法は更に、未使用の秘密を使用済みとマークするステップ306を含むことができる。
データタグスマートカード(緊急時救助トークンを含む)のようなハードウェアトークンの使用は、ヘルスケア従事者が、緊急時にユーザのPHRへのアクセスを得ることを可能にすることができる。一例として、以下の特徴が実現されることができる。
−データタグは、健康レコードにアクセスするのに必要なアクセス情報を含む。
−カード上の情報は、健康レコードを破壊する又は無効にする必要なく、更新されることができる。
−プロトコルは、情報要求者の医療従事者証明書のチェックを含む。
−プロトコルは、レコードに対するアクセスが1回の単一セッションの間のみ有効であることを保証する。
例示的な実施形態は、以下のエレメントのうち1又は複数又は全てを含むことができる:
−PHRサーバは、ハッシュチェーン及び救助トークンを生成することによって、ユーザとの関連をセットアップする。救助トークンは、疑似秘密とともに、暗号化され、スマートカードに記憶される。
−医師は、PHRサーバに対し自身を証明することができ、医師の証明書は、緊急時アクセスを可能にするために、PHRサーバによって規定されるポリシを満たすべきである。
−医師又は医師によって使用されるユーザ端末は、局所的に秘密xを生成し、疑似秘密(ps)及びi番目の救助トークン(rk)とともにそれをPHRサーバに提供する。
−緊急時アクセスは、医師がユーザのスマートカードを所有する場合のみ許される。その証明は、疑似秘密及び救助トークンを提供することによって行われる。
−特定の救助トークンの範囲は、特定の緊急時セッションに限定される。緊急時セッションごとに、異なる救助トークン(rk)が使用される。i番目の救助トークンの使用は、i番目の緊急時セッションのアクセスのみを可能にし、医師がのちにそれを使用しようと試みる場合であっても、その後のアクセスは有効でない。それゆえ、これは、医師が、将来ユーザのPHRに対する緊急時アクセスを利用することを防ぎ、効率的なやり方でユーザのプライバシーを保護する。
−同時に、PHRサーバは、ユーザが現在緊急事態の状況にあるかどうか判定するために、ユーザに対し自動化された電話発呼を起動することができる。ユーザが応答しない場合、ユーザは実際に緊急事態の状況にあるとみなされることができる。
−救助トークン及びユーザ(ここで、困っている人)の疑似秘密の評価後、PHRサーバは、セキュアな認証されたチャネルにおいて、ハッシュチェーンK,K,...,Kからの(i−1)番目のKi−1を返す。秘密は、ユーザのPHR又はPHRのサブセットを解読するために使用されるワンタイム秘密zを生成するために、医師自身の秘密xと組み合わされて使用される。
−PHRサーバは、キーzによって暗号化された暗号化PHRを返し、PHRに対するアクセスは、時間を制限されることができる。この場合、PHRにアクセスするためのユーザの元のパスワード又は秘密は、何人にも示されない。
図4は、本発明の実施形態のより詳細な例を示す。これらの詳細は、単なる例としてここに記述されており、別個に又は組み合わされて、図1及び図2のシステム及び図3の方法に適用されることができる。システムは、潜在的な患者451を説明的に示す。図は更に、スマートカード452を示し、これは、まさにハードウェアトークンの例である。図は更に、PHRサーバ453及びユーザ端末454(一般に、医師によって操作される)を示す。数字401−414は、いくつかの処理ステップに関連するデータフローを示す。
A.秘密の初期化(ステップ401)
ユーザがPHRアカウントの契約をすると、ユーザは、PHRサーバから疑似秘密を取得する。PHRサーバは、最初に、ハッシュチェーン[5]の第1のキーとして乱数Kを選ぶ。ハッシュ関数がそのキーに適用されて、チェーン上の次のキーが計算される。このプロセスは、以下のようにハッシュチェーンを生成するために、n−1回繰り返される:
K1 → K2 = H[K1] → K3 = H[K2] → ... → Kn = H[Kn-1]
が与えられる場合、攻撃者がKn−1を導き出すことは計算上実行不可能であるという点で、ハッシュチェーンは一方向の特性を有する。ハッシュチェーンは、各個人にユニークであり、ユーザのPHRの識別子として機能する。ハッシュチェーン内のキーは、ユーザのPHRの確実性を決定するために使用されることができる。ハッシュチェーンは逆順で使用され、Kは、ユーザの疑似秘密として示される。
ハッシュチェーンに加えて、PHRサーバは、n個の救助トークンX,...,X(例えば乱数)を生成し、それらの救助トークンは、以下のように、ハッシュチェーンのキーによって暗号化される:
EKn-1(Xn), EKn-2(Xn-1), ... ,EK1(X2)
救助トークンは、ユーザのハードウェアトークンとPHRサーバとの間で共有される秘密である。救助トークンを使用する医師は、暗号化の理由により、トークンを解読することが可能でなく、それゆえ、再生を防ぐ。各々のトークンは、キーチェーンからのキーによって暗号化され、キーは、PHRサーバにのみ知られており、攻撃者が、新しいトークンを生成し又はトークンを変更することは可能でない。
可能性として暗号化されていない疑似秘密キー、PHRサーバにアクセスするためのURL、及び暗号化された救助トークンを含むデータタグ、すなわちハードウェアトークンは、付随するレターと共にユーザに送られ、レターの中で、ユーザは、常にユーザと共にデータタグを携帯するようにアドバイスされる。
B.緊急時アクセスのトリガ
緊急時に、医師及びPHRサーバは、医師にPHRデータをリリースするために、以下のステップの一部又は全部を実施することができる:
−ステップ402:医師は、データタグスマートカード上のデータをクエリする。
−ステップ403:データタグスマートカードは、疑似秘密K及びi番目の救助トークンrk=EKi−1(X)を返す。疑似秘密は、ユーザのPHRの識別子として機能し、他方、救助トークンは、緊急時アクセスを医師に許諾する。医師がスマートカードをクエリする次のとき、新しい救助トークン、すなわちEki−2(Xi−1)が、疑似秘密Kとともに発行される。
−ステップ404:医師は、例えば自分のユーザ名及びパスワード、SAMLトークン、PKI証明書、その他を用いて、PHRサーバに対し自身を証明する。
−ステップ405:PHRサーバは、医師を認証し、認証失敗又は成功メッセージを返す。
−ステップ406:成功した認証に応じて、医師は、ランダムな秘密xを局所的に生成する。
−ステップ407:秘密を生成した後に、医師は、PHRサーバに、疑似秘密(ps=K)、救助トークン(rk=EKi−1(X))及びランダムな秘密xを送る。
−ステップ408:受け取られた疑似秘密に基づいて、PHRサーバは、ユーザの対応するハッシュチェーンを位置特定し、Ki−1を取得するためにハッシュチェーンを逆方向に進む。救助トークンは、Ki−1を使用して解読され、PHRサーバは、トークンが以前に使用されていないことを確認する。以前に使用されていた場合、PHRサーバは、セッションを中止し、患者のPHRデータをリリースしない。
−ステップ409:PHRサーバは更に、ユーザが緊急事態の状況にあるかどうか判定するために、ユーザに対し自動化された電話発呼を行うことができる。ユーザが他の状況を示す場合、緊急時アクセス要求は直ちに中止される。
−ステップ410:緊急事態の状況が確かめられた場合、PHRサーバは、ワンタイム秘密キーz=x+Ki−1を生成する。
−ステップ411:PHRサーバは、ユーザのPHRを暗号化するために、秘密キーzを使用する。
−ステップ412:PHRサーバは、キーKi−1とともに、暗号化されたPHRを医師に送る(例えば、キーは、キー交換プロトコルの一部として送信されることができる)。
−ステップ413:x及びKi−1を知っている医師の端末は、同様にワンタイム秘密zを計算することができる。しかしながら、その前に、医師は、正しいPHRが取り出されることを確実にするために、PHRサーバから受け取ったKi−1が信頼でき、ユーザのアイデンティティに対応するものであることを確認することができる。医師の端末は、ハッシュ関数を、Ki−1及び結果的に得られるハッシュ値に繰り返し適用することができ、それが、ユーザの疑似秘密と考えられることができるKに到達するまで行われる。PHRサーバのみが全体のハッシュチェーンH[Ki-1] → ... → H[Kn-1] = Knを知っているので、これは、PHRサーバを認証する方法として役立つ。
−ステップ414:医師は、ステップ413の出力を使用して、PHRデータを解読する。
本発明は、本発明を実行するために適応されるコンピュータプログラム、特に担体上又は担体内のコンピュータプログラムにも適用されることが分かるであろう。プログラムは、ソースコード、オブジェクトコード、コード中間ソース及び例えば部分的にコンパイルされた形のオブジェクトコードの形でありえ、又は、本発明による方法の実現において使用するのに適した任意の他の形でありうる。更に、このようなプログラムは、多くの異なる構造設計を有することができる。例えば、本発明による方法又はシステムの機能を実現するプログラムコードは、1又は複数のサブルーチンに再分割されることができる。これらのサブルーチンの間で機能を分散する多くの異なるやり方は、当業者には明らかである。サブルーチンは、自己内蔵型プログラムを形成するために、1つの実行可能ファイルに一緒に記憶されることができる。このような実行可能ファイルは、例えばプロセッサ命令及び/又はインタプリタ命令(例えばJavaインタプリタ命令)のようなコンピュータ実行可能命令を含むことができる。代替として、サブルーチンの1又は複数又は全ては、少なくとも1つの外部ライブラリファイルに記憶されることができ、例えば実行時に、静的に又は動的にメインプログラムとリンクされる。メインプログラムは、サブルーチンの少なくとも1つに対し少なくとも1つの呼び出しを含む。サブルーチンは、互いの呼び出しを含むことができる。コンピュータプログラム製品に関する実施形態は、ここに示される方法の少なくとも1つにおける各々の処理ステップに対応するコンピュータ実行可能命令を含む。これらの命令は、サブルーチンに再分割されることができ、及び/又は静的に又は動的にリンクされることができる1又は複数のファイルに記憶されることができる。コンピュータプログラム製品に関する別の実施形態は、ここに示されるシステム及び/又は製品の少なくとも1つにおける各手段に対応するコンピュータ実行可能命令を含む。これらの命令は、サブルーチンに再分割されることができ、及び/又は静的に又は動的にリンクされることができる1又は複数のファイルで記憶されることができる。
コンピュータプログラムの担体は、プログラムを担持することができる任意のエンティティ又は装置でありうる。例えば、担体は、CD−ROM又は半導体ROMのようなROM、又はフラッシュドライブ又はハードディスクのような磁気記録媒体を含む記憶媒体を含むことができる。更に、担体は、電気的又は光学的ケーブルを通じて又は無線若しくは他の手段によって伝達されうる電気的又は光学的信号のような送信可能な担体でありうる。プログラムが、このような信号において具体化される場合、担体は、このようなケーブル又は他の装置若しくは手段によって構成されることができる。代替として、担体は、プログラムが埋め込まれる集積回路でありえ、集積回路は、関連の方法を実施するように構成され、又は方法の実施において使用されるように構成されることができる。
上述の実施形態は、本発明を説明するものであって、制限するものではなく、当業者であれば、添付の請求項の範囲を逸脱することなく、多くの代替の実施形態を設計することが可能であることが留意されるべきである。請求項において、括弧内に示される参照符号は、請求項を制限するものとして解釈されるべきでない。動詞「有する、含む(comprising)」及びその活用形の使用は、請求項に記載された構成要素又はステップの存在を排除しない。構成要素の前の冠詞「a」又は「an」は、このような構成要素の複数の存在を除外しない。本発明は、幾つかの別個の構成要素を有するハードウェアによって及び適切にプログラムされたコンピュータによって、実現されることが可能である。幾つかの手段を列挙する装置の請求項において、これらの手段の幾つかは、1つの同じハードウェアアイテムによって具体化されることができる。特定の手段が相互に異なる従属請求項に列挙されているという単なる事実は、これらの手段の組み合わせが有利に使用されることができないことを示さない。

Claims (11)

  1. データレコードに対するセキュアなアクセスを提供するサーバシステムであって、
    複数のデータレコードを記憶する記憶手段であって、1のデータレコードに、該データレコードに対応するハードウェアトークンと共有される秘密のシーケンスが関連付けられ、前記サーバシステムが更にユーザ認証情報を記憶する、記憶手段と、
    ユーザ端末からユーザの認証証明書を受信し、ユーザの該認証証明書及び前記記憶されたユーザ認証情報に基づいて、前記ユーザを、認可されたユーザとして認証するユーザ認証手段と、
    前記ユーザ端末から、ハードウェアトークンによって示される秘密の表現及び該ハードウェアトークンに対応するデータレコードを識別する情報を受信する秘密受信手段と、
    前記秘密の表現を、前記ハードウェアトークンに対応する前記データレコードと関連付けられた前記秘密のシーケンス内の未使用の秘密とマッチングするマッチング手段と、
    前記秘密の表現が前記未使用の秘密と合致し、前記ユーザが認可されたユーザとして認証された場合、前記ハードウェアトークンに対応する前記データレコードの少なくとも一部に対するユーザアクセスを許諾するアクセス許諾手段と、
    前記未使用の秘密を使用済みとマークするマーキング手段と、
    を有し、
    前記秘密の表現は、前記秘密の暗号化を含み、前記暗号化はキーに基づき、前記キーは、ハッシュシーケンスの一部であり、前記秘密のシーケンス内の前記秘密の位置は、前記ハッシュシーケンス内のキーの位置に対応する、サーバシステム。
  2. 前記サーバシステムは、前記アクセス許諾手段が前記ユーザアクセスを許諾する前に、前記ハードウェアトークンに関連付けられている人の移動電話又は移動端末に、自動化された電話発呼を行い又はメッセージを送信する通信手段を有し、前記通信手段は、前記人が前記アクセスの許諾を拒否することを可能にするように構成される、請求項1に記載のサーバシステム。
  3. 前記ユーザ端末から受信された値に基づくキーを使用して、前記データレコードの少なくとも一部を暗号化する暗号化器と、
    暗号化されたデータ及び前記値からキーを計算するための情報を、前記ユーザ端末に送信するデータ送信手段と、
    を有する、請求項1に記載のサーバシステム。
  4. 前記データレコードの前記少なくとも一部に対し許諾される前記アクセスは、時間的に制限される、請求項1に記載のサーバシステム。
  5. 前記ユーザ端末に前記キーを送信するデータ送信手段を有する、請求項に記載のサーバシステム。
  6. 請求項に記載のサーバシステムと通信するユーザ端末と共に使用されるハードウェアトークンであって、前記ハードウェアトークンは、秘密の表現を提供する秘密提供手段を有し、前記秘密の表現は、前記秘密の暗号化を含み、前記暗号化はキーに基づき、前記キーは、ハッシュシーケンスの一部であり、前記秘密のシーケンス内の秘密の位置は、前記ハッシュシーケンス内の前記キーの位置に対応し、前記秘密提供手段は、逆順のシーケンスで前記表現を提供する、ハードウェアトークン。
  7. 前記秘密の暗号化が生成されるために用いられたキーを受信して、受信されたキーを生成し、
    前記受信されたキーにハッシュ関数を適用して、処理されたキーを取得し、
    前記処理されたキーを記憶された値と比較する、検証器を更に有する、請求項に記載のハードウェアトークン。
  8. 請求項に記載のハードウェアトークンの複数と、
    複数のユーザ端末とを有し、
    前記ユーザ端末が、
    ハードウェアトークンによって示される秘密の表現及び該ハードウェアトークンに対応するデータレコードを識別する情報を受信する秘密受信手段と、
    ユーザの認証証明書を受信する証明書受信器と、
    前記ユーザの認証証明書、前記ハードウェアトークンによって示される前記秘密の表現、及び前記ハードウェアトークンに対応するデータレコードを識別する情報を、前記サーバシステムに送信する送信器と、
    前記サーバシステムから、暗号化された形の前記データレコードの内容の少なくとも一部及びキーデータを受信するデータ受信器と、
    前記受信されたキーデータにハッシュ関数を適用して処理されたキーを取得し、前記処理されたキーを前記ハードウェアトークンから受信された値と比較する検証器と、
    前記キーデータに基づいて、前記データレコードの内容の少なくとも一部を解読するデータ解読器とを含む、請求項1に記載のサーバシステム。
  9. 前記ユーザ端末の前記秘密受信手段は、前記ハードウェアトークンから前記表現又は前記情報を電子的に取得するトークンリーダを有する、請求項に記載のサーバシステム。
  10. データレコードに対するセキュアなアクセスを提供する方法であって、
    複数のデータレコード及びユーザ認証情報を記憶するステップであって、1のデータレコードに、該データレコードに対応するハードウェアトークンと共有される秘密のシーケンスが関連付けられている、ステップと、
    ユーザ端末からユーザの認証証明書を受信し、ユーザの該認証証明書及び前記記憶されたユーザ認証情報に基づいて、前記ユーザを認可されたユーザとして認証するステップと、
    前記ユーザ端末から、前記ハードウェアトークンによって示される秘密の表現及び前記ハードウェアトークンに対応するデータレコードを識別する情報を受信するステップと、
    前記秘密の表現を、前記ハードウェアトークンに対応するデータレコードに関連付けられた前記秘密のシーケンス内の未使用の秘密とマッチングするステップと、
    前記秘密の表現が前記未使用の秘密と合致し、前記ユーザが認可されたユーザとして認証された場合、前記ハードウェアトークンに対応するデータレコードの少なくとも一部に対するユーザアクセスを許諾するステップと、
    前記未使用の秘密を使用済みとマークするステップと、
    を含み、
    前記秘密の表現は、前記秘密の暗号化を含み、前記暗号化はキーに基づき、前記キーは、ハッシュシーケンスの一部であり、前記秘密のシーケンス内の前記秘密の位置は、前記ハッシュシーケンス内のキーの位置に対応する、方法。
  11. 請求項10に記載の方法をプロセッサシステムに実施させるための命令を含むコンピュータプログラム。
JP2013550998A 2011-02-01 2012-01-30 緊急時の個人健康記録へのセキュアなアクセス Expired - Fee Related JP5897040B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP11152826.1 2011-02-01
EP11152826 2011-02-01
PCT/IB2012/050420 WO2012104771A2 (en) 2011-02-01 2012-01-30 Secure access to personal health records in emergency situations

Publications (3)

Publication Number Publication Date
JP2014508456A JP2014508456A (ja) 2014-04-03
JP2014508456A5 JP2014508456A5 (ja) 2015-03-05
JP5897040B2 true JP5897040B2 (ja) 2016-03-30

Family

ID=45581947

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013550998A Expired - Fee Related JP5897040B2 (ja) 2011-02-01 2012-01-30 緊急時の個人健康記録へのセキュアなアクセス

Country Status (8)

Country Link
US (1) US9092643B2 (ja)
EP (1) EP2671181B1 (ja)
JP (1) JP5897040B2 (ja)
CN (1) CN103403730B (ja)
BR (1) BR112013019236A2 (ja)
RU (1) RU2602790C2 (ja)
TR (1) TR201902868T4 (ja)
WO (1) WO2012104771A2 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105339949B (zh) * 2013-06-28 2019-06-25 皇家飞利浦有限公司 用于管理对医学数据的访问的***
DE102014213454A1 (de) * 2014-07-10 2016-01-14 Siemens Aktiengesellschaft Verfahren und System zur Erkennung einer Manipulation von Datensätzen
US10171537B2 (en) * 2015-08-07 2019-01-01 At&T Intellectual Property I, L.P. Segregation of electronic personal health information
US9942747B2 (en) 2015-08-07 2018-04-10 At&T Mobility Ii Llc Dynamic utilization of services by a temporary device
KR102446384B1 (ko) * 2015-09-18 2022-09-22 삼성전자주식회사 사용자 단말 및 서버 장치
CN105357107B (zh) * 2015-11-18 2019-05-07 四川长虹电器股份有限公司 基于云平台的用于智能小区的社交***及方法
CN105516146A (zh) * 2015-12-10 2016-04-20 惠州Tcl移动通信有限公司 一种基于移动终端的健康数据授权方法及服务器
US11106818B2 (en) * 2015-12-11 2021-08-31 Lifemed Id, Incorporated Patient identification systems and methods
US10902141B2 (en) * 2016-03-22 2021-01-26 Koninklijke Philips N.V. Method, software program product, device, and system for managing data flow from a cloud storage device
CN117150581A (zh) 2017-11-03 2023-12-01 维萨国际服务协会 安全身份和档案管理***
JP7013807B2 (ja) * 2017-11-15 2022-02-01 富士通株式会社 情報処理装置、情報処理システムおよび情報処理プログラム
US10897354B2 (en) 2018-01-19 2021-01-19 Robert Bosch Gmbh System and method for privacy-preserving data retrieval for connected power tools
JP2019164506A (ja) * 2018-03-19 2019-09-26 特定非営利活動法人日本医療ネットワーク協会 提供システム及び提供プログラム
US11146540B2 (en) * 2018-05-09 2021-10-12 Datalogic Ip Tech S.R.L. Systems and methods for public key exchange employing a peer-to-peer protocol
US11139982B2 (en) * 2019-01-30 2021-10-05 Rsa Security Llc Communication-efficient device delegation
CN113506399B (zh) * 2021-06-03 2022-11-15 山西三友和智慧信息技术股份有限公司 一种基于人工智能的智慧校园门禁***

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000191902A (ja) 1998-12-24 2000-07-11 Mitsui Chemicals Inc 樹脂組成物
JP2002007562A (ja) 2000-06-26 2002-01-11 Nanpo Kensetsu:Kk 救急医療支援方法、及び救急医療支援装置
US7062567B2 (en) * 2000-11-06 2006-06-13 Endeavors Technology, Inc. Intelligent network streaming and execution system for conventionally coded applications
FR2841073B1 (fr) 2002-06-18 2007-03-30 Patient On Line Systeme de gestion d'informations pour situation d'urgence
KR100982515B1 (ko) * 2004-01-08 2010-09-16 삼성전자주식회사 해시 체인을 이용하여 디지털 컨텐츠의 접근 횟수를제한하는 장치 및 방법
JP2006033780A (ja) * 2004-07-16 2006-02-02 Third Networks Kk コールバックによる本人確認を利用したネットワーク認証システム
US20070282631A1 (en) 2005-09-08 2007-12-06 D Ambrosia Robert Matthew System and method for aggregating and providing subscriber medical information to medical units
US8423382B2 (en) * 2005-09-30 2013-04-16 International Business Machines Corporation Electronic health record transaction monitoring
US20070143148A1 (en) * 2005-12-15 2007-06-21 International Business Machines Corporation Anonymous brokering of patient health records
US9137012B2 (en) * 2006-02-03 2015-09-15 Emc Corporation Wireless authentication methods and apparatus
US20070233519A1 (en) * 2006-03-29 2007-10-04 Mymedicalrecords.Com, Inc. Method and system for providing online medical records with emergency password feature
US8607044B2 (en) 2006-04-25 2013-12-10 Verisign, Inc. Privacy enhanced identity scheme using an un-linkable identifier
EP2160864B8 (en) * 2007-06-26 2012-04-11 G3-Vision Limited Authentication system and method
US9020913B2 (en) * 2007-10-25 2015-04-28 International Business Machines Corporation Real-time interactive authorization for enterprise search

Also Published As

Publication number Publication date
US20130318632A1 (en) 2013-11-28
WO2012104771A3 (en) 2012-11-15
BR112013019236A2 (pt) 2017-11-14
RU2602790C2 (ru) 2016-11-20
EP2671181B1 (en) 2018-12-12
CN103403730B (zh) 2017-04-12
RU2013140418A (ru) 2015-03-10
WO2012104771A2 (en) 2012-08-09
US9092643B2 (en) 2015-07-28
CN103403730A (zh) 2013-11-20
JP2014508456A (ja) 2014-04-03
TR201902868T4 (tr) 2019-03-21
EP2671181A2 (en) 2013-12-11

Similar Documents

Publication Publication Date Title
JP5897040B2 (ja) 緊急時の個人健康記録へのセキュアなアクセス
Pussewalage et al. Privacy preserving mechanisms for enforcing security and privacy requirements in E-health solutions
Chenthara et al. Security and privacy-preserving challenges of e-health solutions in cloud computing
US20210246824A1 (en) Method and apparatus for securing communications using multiple encryption keys
US8627103B2 (en) Identity-based encryption of data items for secure access thereto
Hupperich et al. Flexible patient-controlled security for electronic health records
Rubio et al. Analysis of ISO/IEEE 11073 built-in security and its potential IHE-based extensibility
Pussewalage et al. An attribute based access control scheme for secure sharing of electronic health records
KR20140099362A (ko) 바이오인식 기반의 전자건강기록(ehr) 보안 시스템 및 방법
JP2005197912A (ja) 情報開示制御方法、情報開示制御プログラム、ならびに、耐タンパ装置
KR101698555B1 (ko) 건강관리 데이터 핸들링 방법 및 시스템
KR102605087B1 (ko) 의료 클라우드 환경에서 환자의 의료 데이터 공유 시스템 및 방법
JP2003338816A (ja) 個人情報認証を行うサービス提供システム
Gardner et al. Securing medical records on smart phones
CN107038341B (zh) 家庭健康数据管理方法及***
Djellalbia et al. Anonymous authentication scheme in e-Health Cloud environment
Ibrahim et al. A secure framework for medical information exchange (MI-X) between healthcare providers
Fitri et al. Secure attribute-based encryption with access control to data medical records
Nagamani et al. A mobile cloud-based approach for secure m-health prediction application
JP2006074487A (ja) 認証管理方法及び認証管理システム
Ko et al. A Study on Secure Medical‐Contents Strategies with DRM Based on Cloud Computing
CN116846685B (zh) 一种医疗信息安全的远程访问方法及***
WO2018207079A1 (en) Method and system for universal access control management to an entity with inconsistent internet access
Sanzi et al. Identification and Adaptive Trust Negotiation in Interconnected Systems
KR20220132318A (ko) 의료 클라우드 환경에서 환자의 의료 데이터 공유 시스템 및 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150109

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150109

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150907

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151020

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160301

R150 Certificate of patent or registration of utility model

Ref document number: 5897040

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees