访问数据处理装置的方法制造方法及图纸

本发明专利技术涉及一种用于访问数据处理装置（Ｄ１）的方法，该数据处理装置由相互联网以交换数据的数据处理单元（１，２，３）组成。为了使系统技术人员（８）能够仅按照四眼原则访问被保护的数据，本发明专利技术建议分别为系统管理员（４）和系统技术人员（８）分配认证装置。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种用于。
技术介绍
在现有技术中公开了由多个为相互数据交换而联网的数据处理单元、如个人计算机、计算机控制的设备、服务器等构成的数据处理装置。在此，将每个数据处理单元分配给有限数量的用户。为了防止未经允许的使用，为每个用户都提供个人的密码。用户通过输入密码而得到认证并获得对数据处理装置的访问权。目前，尤其是在医院中数据处理装置构造复杂。这样的数据处理装置的部件首先是诊断和分析设备。这样的设备必须始终保持完全正常地运转。尤其是对这样的设备的维护和维修通常需要系统技术人员对数据处理装置的访问。在此，一个一直未解决的问题是系统技术人员由此可得到对患者数据的访问。由于数据保护法的原因，对于这样的数据处理装置的访问仅允许根据四眼原则进行，即仅能同时由两个授权人员进行。但在实践中这很难实现，因为在数据处理装置出现功能故障的情况下通常需要立即的帮助，而两个授权人员同时又是具有足够能力消除功能故障的情况并不总是存在。在DE 10121819 A1中公开了一种方法，其中，如果分配给医生的第一芯片卡和分配给在场的患者的第二芯片卡同时为认证而由在医生所在位置的数据处理装置读取，则该医生可以只访问特定于该患者的数据。
技术实现思路
本专利技术要解决的技术问题是，提供一种方法，使得对数据处理装置的系统管理员保护的访问的数据权限仅能够根据四眼原则实施。本专利技术的技术问题是通过权利要求1的特征解决。本专利技术方法的优选实施方式由权利要求2至13的特征给出。按照本专利技术，提出了一种，该数据处理装置由相互联网以交换数据的数据处理单元组成，包括步骤提供第一认证装置，用于认证系统管理员；通过将该第一认证装置递交给认证程序在第一数据处理单元上对系统管理员进行认证；提供第二认证装置，用于认证系统技术人员；通过将该第二认证装置递交给认证程序在第二数据处理单元上对系统技术人员进行认证，并由此有条件地自动产生标识该第二认证装置的载体的标识信息；在系统管理员的第一数据处理单元上显示该标识信息；为该系统技术人员释放访问授权，并自动触发产生和存储系统技术人员对数据处理装置上记录的记录文件的操作的功能。根据本专利技术的方法，系统技术人员仅在递交了分配给其的第二认证装置之后才能获得对数据处理装置的访问权。释放这样的访问权通过产生标识信息而被存档，并在系统管理员的第一数据处理装置上加以显示。此外，还产生记录系统技术人员的操作的记录文件，借助该文件系统管理员例如能够理解系统技术人员的介入。由此保证数据始终处于系统管理员管理之下。系统管理员借助所产生的记录文件可以检验系统技术人员是否未经授权访问数据。如果是这种情况，系统管理员可以立即阻止有关系统技术人员对数据处理装置的所有继续访问。利用所建议的方法可以根据四眼原则的原理对数据处理装置进行访问。在此尤其具有优点的是，如果仅有一个系统技术人员利用系统管理员的知识在数据处理装置上工作的话，也可以实现这样的访问。在本专利技术意义下，“访问”的概念被理解为对数据处理装置的数据进行保护、改变或全部或部分地复制的所有操作。在本专利技术意义下的“数据处理单元”是指与其它适于数据交换的装置为进行数据交换而连接的装置。这样的装置为进行数据交换通常具有双向接口。在此，其可以是个人计算机、计算机控制的设备或装置等等。“系统管理员”的概念被理解为，为维护和监测数据处理装置而具有特殊权限的人员。在本专利技术意义下的系统管理员相对于系统技术人员具有这样的可能性开通或关闭对数据处理装置的访问。这种可能性尤其通过第一认证装置被赋予给系统管理员。为了对系统技术人员进行认证，第二认证装置可以借助认证程序通过访问包含经验证的第二认证装置的文件并与之进行比较，当与该经验证的第二认证装置一致时，向系统管理员传输相应的信息。“经验证的第二认证装置”应理解为传输给系统技术人员的第二认证装置的拷贝，其由系统管理员在一个只能由他访问的文件中进行管理。为了访问数据处理装置，系统管理员向每个系统技术人员传送一个特殊的第二认证装置。为了简化对第二认证装置的真实性的检验，将其一同存储在文件中。只要认证程序确定，访问请求是基于与经验证的第二认证装置相同的第二认证装置的，则借助适当的信息将其显示给系统管理员。优选为包含在该文件中的每个经验证的第二认证装置分配一个为此特定的标识信息。在此，标识信息例如可以是名称以及必要时系统技术人员对特定机构的归属性。因此在第二认证装置与存储在文件中的经验证的第二认证装置一致的情况下，还可以为系统管理员附加地显示系统技术人员的名称和机构。在特别简单的情况下，第一和/或第二认证装置是优选地可借助设置在数据处理单元上的键盘递交给认证程序的认证码。为了提高安全性，合适的是将认证码存储在与数据处理装置无线连接以传输数据的存储单元中。该存储单元可以是设置有数据载体的认证卡。该认证卡可以具有存储装置，尤其用于存储记录文件和/或使得能够访问该记录文件的信息。该信息例如可以是一个“链接”，借助该链接可以查找该记录文件并将其打开。为了提供安全性，可以通过系统管理员手动触发认证程序中为此设置的、并仅能由系统管理员访问的功能实现访问授权的释放。由此保证了只能在系统管理员的积极认可下才能访问。但还可以根据对第二认证装置的自动检验来自动地同意系统技术人员的访问。按照本专利技术，在这种情况下也自动产生尤其一个记录文件。这使得能够访问数据处理装置，尤其是在医院中数据处理装置必须保持不间断地运行。按照另一实施方式，第一和第二数据处理单元之间的连接通过因特网或企业内部网实现。这使得系统技术人员可以对远程设置的第二数据处理单元进行访问。由此，可使对相应的设问(Problemstellung)具有最佳资质的系统技术人员随时、即不限于其所在地地访问数据处理装置。这使得可以快速而有效地排除功能故障。同时，还可以保证访问的系统技术人员的真实性并对其操作进行记录。在这种情况下系统技术人员的访问也按照四眼原则的基本原理进行。借助于数据处理装置尤其对这样的数据进行处理，即，该数据仅允许一个具有特殊授权的人员访问，或者在没有特殊授权的情况下仅允许具有简单授权的人员根据四眼原则访问。合适的是，特殊授权通过由分配给该个人的第三认证装置递交给数据处理装置来验证。具有特殊授权的个人例如可以是医生。所述数据例如是需要保护的涉及个人的数据，尤其是患者数据。附图说明以下借助附图对本专利技术的实施例进行详细描述，图中图1借助示意图示出本专利技术的方法；图2示出认证程序的主要组成部分。具体实施例方式图1示出了第一数据处理单元1，其例如为个人计算机。该第一数据处理单元1是联网的第一数据处理装置D1的组成部分，该数据处理装置D1还包括其它作为数据处理单元的例如计算机控制的设备2或其它个人计算机3。第一数据处理单元1被分配给系统管理员4，其掌管第一数据处理装置D1上的数据。系统管理员4尤其被授权借助第一程序5为第一数据处理装置D1的用户分配角色和权力。这样的角色和权力使得各用户仅能访问对其工作领域必需的数据。用户对这样的数据可随时进行访问，即，即便在系统管理员4未注册到该第一数据处理装置D1中时也能访问。第一数据处理装置D1通过利用防火墙6保护的数据导线7与服务机构的第二数据处理装置D2连接。该连接例如可通过因特网或企业内部网实现。该本文档来自技高网...

【技术保护点】
一种访问数据处理装置（Ｄ１）的方法，该数据处理装置由相互联网以交换数据的数据处理单元（１，２，３）组成，包括步骤：　　　　提供第一认证装置（９），用于认证系统管理员（４）；　　　　通过将该第一认证装置（９）递交给认证程序（５）在第一数据处理单元（１）上对系统管理员（４）进行认证；　　　　提供第二认证装置（１０），用于认证系统技术人员（８）；　　　　通过将该第二认证装置（１０）递交给认证程序（５）在第二数据处理单元（７）上对系统技术人员（８）进行认证，并由此有条件地自动产生标识该第二认证装置（１０）的载体的标识信息；　　　　在系统管理员（４）的第一数据处理单元（１）上显示该标识信息；　　　　为该系统技术人员（８）释放访问授权，并自动触发产生和存储系统技术人员（８）对数据处理装置（Ｄ１）上记录的记录文件的操作的功能。

【技术特征摘要】
【国外来华专利技术】DE 2003-11-19 103 53 966.21.一种访问数据处理装置(D1)的方法，该数据处理装置由相互联网以交换数据的数据处理单元(1，2，3)组成，包括步骤提供第一认证装置(9)，用于认证系统管理员(4)；通过将该第一认证装置(9)递交给认证程序(5)在第一数据处理单元(1)上对系统管理员(4)进行认证；提供第二认证装置(10)，用于认证系统技术人员(8)；通过将该第二认证装置(10)递交给认证程序(5)在第二数据处理单元(7)上对系统技术人员(8)进行认证，并由此有条件地自动产生标识该第二认证装置(10)的载体的标识信息；在系统管理员(4)的第一数据处理单元(1)上显示该标识信息；为该系统技术人员(8)释放访问授权，并自动触发产生和存储系统技术人员(8)对数据处理装置(D1)上记录的记录文件的操作的功能。2.根据权利要求1所述的方法，其中，所述第二认证装置(10)借助认证程序(5)通过访问包含经验证的第二认证装置(10)的文件并与之进行比较，当与该经验证的第二认证装置(10)一致时，向系统管理员(4)传输相应的信息。3.根据权利要求2所述的方法，其中，为在所述文件中包含的每个经验证的第二认证装置(10)分配一个为此特定的标识信息。4.根据权利要求3所述的方法，其中，所述标识信息包括名称以及必要时系统技术人员(8)对特定机构的归属性。5.一种访问数据处理装置(D1)的方法，该数据处理装置(D1)由相互联网以交换数据的数据处理单元(1，2，3)组成，包括步骤提供第一认证装置(9)，用于认证系统管理员(4)；通过将该第一认证装置(9)递交给认证程序(5)在第一数据处理单元(1)上对系统管理员(4)进行认证；提供第二认证装置(10)，用于认证系统技术人员(8)；通过将该第二认证装置(10)递交给认证程序(5)在第二数据处理单元(7)上对系统技术人员(8)进行认证，并由此有条件地自动产生标识该第二认证装置(10)的载体的标识信息；其中，该第一认证装置(9)和/或第二认证装置(10)是优选可借助设置在数据处理单元(1，7)上的键盘递交给认证程序(5)的认证码；在系统管理...

【专利技术属性】
技术研发人员：卡洛斯亨里克阿格莱布吉莱克，格尔德施米特，
申请(专利权)人：西门子公司，
类型：发明
国别省市：DE[德国]