用于从本地生成代理存取例如定制医疗文件等记名数据的过程的制作方法

专利名称：用于从本地生成代理存取例如定制医疗文件等记名数据的过程的制作方法
技术领域：
本发明涉及信息处置系统，确切地说涉及存取包括技术数据及记名数据的定制电子器件的过程。
背景技术：
如今的信息处置系统中配有非常复杂的技术，旨在保证数据的安全性及机密性， 特别是在此数据含有属于用户的敏感信息(如记名信息)的情况下。此项技术中已知，常规上通过系统地使用密码、使用为文件加密的过程来保护系统及存取，并借助于特定的技术来保护对网络的接入，所述技术例如是用于因特网的协议 HTTPS及用于无线网络的无线加密协议(Wireless Encryption Protocol，WEP)。虽然这些安全性技术存在并且很有作用，但有些应用，特别是在医疗领域，有非常特殊的需求。医疗领域实际上是一个非常特殊的领域，此领域中首先有必要保证信息的安全性和机密性，但其次，还要能在一定程度上散布信息，此时此信息不再是用户的身份所特有的。众所周知，患者与其医生之间的非常特殊的关系受到绝对的职业保密原则的特别保护，在许多国家，侵权人将受到严厉的处罚。这种职业保密原则显然包括患者的专用医疗文件，其必须尽可能保密。但是，这种医疗机密却不应阻止借助电子通信系统来交流电子文件，这不但是为了满足文件持有者的利益，也是^E较小程度上)为了能为更魏的利益而进行某种 “交流”。首先，在渉及到个人及私人利益方面,不难想象，如果当代的一位患者居无定所， 那么必须能借助现代通信手段来查看文件，这样居无定所的患者就能在任何时间、他所在的任何地点存取自己的文件。然后，在涉及到普BM^方面，可以说医疗文件中的一些内容(特别是不包括任何记名内容的与病理学、诊断及治疗有关的方面)，可能对于从业者团体、更普遍来说对于各种各样的保健职业来说非常重要。从业者感到，为了不断地改善从业规则、推进良好医疗实践的规则，有必要就“他们的”患者的临床及医学处理方面展开讨论及交换观点。更一般地说，医学研究(其能保证日益改进的医疗品质)能在很大程度上利用在专业人士团体内交换的所有统计及集体数据。 因此，鉴于先前的观察结果，可以看出，对医学处理数据的处理需要能考虑到以下双重需求的特殊技术
1.保证绝对尊重涵盖患者与其医生之间的特定关系的职业保密原则；及
2.允许某些内容在一定程度上“传播”，所述内容是不记名的且最好是匿名的，以便为数据的集中处理且更一般而言为服务于医学研究提供支持。
因此，需要提供一种非常适于此需求及困境同时允许组织对此非常重要的数据的特殊处理的特殊工具。这是本发明要解决的技术问题。

发明内容
本发明的目标是提出一种对定制电子文件的处理及检查的过程，所述定制电子文件包括技术数据特别是医疗数据，以及其它高度机密的记名数据。本发明的目标是提出一种对医学处理数据的处理及检查的过程，其确保完美的数据机密性，同时允许患者远程存取其文件，而且尽管受第三方的干预时，即使所述第三方被认为值得信赖，也是如此。本发明的另一目标在于提出一种对医学处理数据的处理及检查的过程，其允许获得对定制文件的某些内容的匿名存取，同时保证所提取的数据完全匿名。本发明的另一目标是提供一种用于从业者的对医学处理数据的处理及检杳的过程，其允许保证所述从业者完全控制其患者的匿名性，甚至在计算机管理受可信任的第三方管理的外部服务器干预时也是如此。本发明借助于接入定制计算机文件的过程来实现这些目标，所述文件包括例如医疗数据等技术性质的数据以及非常机密的记名数据。所述过程包括实施包含在存储装置中的定制电子文件(DMN)的生成代理。所述存储装置进一步包括加密/解密文件及患者的记名数据与匿名识别符(IDA)之间的链接的匹配表(PLT)。包括DMN数据的定制电子文件的生成进一步实施
-位于第一服务器(DMA，300)上的数据库，其仅包括用所述加密密钥加密且与所述匿名识别符(IDA)有关的匿名信息，但任何记名型信息除外；
-位于第二服务器(TSB，400)上的一组表，其包括用于更新所述表(PLT)的数据，通过使用所述加密密钥来加密所述数据；
-位于第三服务器(GED 500)上的文档数据库，其包括包含在所述定制文件中的附属文件，所述附属文件经由所述匿名识别符(IDA)索引，且通过使用包含在所述存储装置 (20)中的所述加密密钥来加密。在优选实施例中，从业者所持有的存储装置是外部存储器支持，其对存储于其中的数据提供高级别的保密性。在特定实施例中，在所使用的第一外部存储装置中的所述DMN代理的安装期间， 以随机方式获得所述加密密钥。在优选实施例中，第一存储装置的安装包括以下步骤 -校验从业者的口令；
-随机生成存储在所述存储装置中的加密密钥； -输入/传入由所考虑的从业者处置的记名患者列表；
-向所述第一 DMA服务器传输请求，以便获得对应于本地存储的记名列表的IDA匿名识别符列表的下载；
-创建第一 PLT链接表，其并入有记名信息以及DMA服务器已知的匿名识别符； -借助于随机生成的加密密钥对所述PLT链接表进行加密；根据本发明的另一方面，布置一种复制/鉴定存储装置源以创建/鉴定第二存储装置的程序，其允许生成定制医疗文件及存取记名数据(DMN)。为此，第一存储装置的DMN代理应用以下步骤
-对用作复制的来源的第一存储装置的持有者进行口令校验； -校验经加密的PLT表及包括加密密钥的文件的存在； -校验第二存储装置的持有者的口令；
-在所述第二存储装置上创建文件，包括DMN代理的可执行文件、经加密的PLT链接表，以及第一存储装置所使用的加密密钥的文件；
根据优选实施例，任何存储装置的创建/鉴定均会引起对证书及/或电子证书的编辑。优选的是，借助于包括以下步骤的程序来获得属于同一团队(且涉及同一加密密钥)的存储装置的更新
-输入经修改或与新患者有关的记名数据，接着对其进行加密； -借助于不同于匿名识别符(IDA)的记名信息的包含于所述存储装置(20)中的加密密钥，以加密形式向第二 TSB服务器传输对临时存储的请求； -更新并入有新的经修改信息的本地表(PLT)； -借助于加密密钥对本地表(PLT)进行加密。为了更新其自身的PLT表，根据本发明的存储装置应用以下步骤 -口令校验；
-校验包括加密密钥的文件及PLT链接表的存在；
-生成向第一 DMA服务器传输的获得存储于所述服务器中的匿名识别符的列表的请
求；
-识别从所述第一 DMA服务器下载的匿名识别符(IDA)的列表； -对本地PLT链接表进行解密；
-在不兼容的情况下，将所下载的匿名识别符列表与存储于PLT表中的列表进行比
较；
-生成以所述第二 TSB服务器为目的地的下载临时存储于其中的记名信息的请求； -借助于从第二 TSB服务器下载的信息来更新本地PLT链接表；
-检验同一团队的所有存储装置的更新，且必要时清除存储于第二 TSB服务器上的数据。最后，根据特定实施例，所述过程包括实施管理员服务器，其允许管理许可证； 以及管理属于同一团队的所有存储装置的更新完成时对所述第二服务器的清理。本发明特别适于检查及在线使用职业运动员及高级别选手的医疗数据。


通过阅读下文中的描述及图式(仅作为非限制性实例提供)，将明白本发明的其它特性、目标及优点。附图上
图1说明处理及检查医疗数据的过程的优选实施例的总体架构。图2A、图2B及图2C说明服务器DMA 300内的数据组织的实例。图3更具体地说明用于临时存储(以加密形式)由从业者更新的数据的TSB服务器400的内容。图4说明存储于每一受保护的外部媒体中的PLT链接表21的结构。图5说明允许在属于职业团队(所考虑的组织)的从业者的工作场所中安装第一存储装置20的过程。图6说明由DMN代理进行的用于鉴定第二存储装置20_2的对第一存储装置20_1 的复制过程。图7说明允许添加/修改与选手有关的记名数据的过程。图8说明经实施以进行到更新存储装置20-n中的PLT表的过程。图9说明D丽代理构造D丽文件的过程。
具体实施例方式现在将描述本发明的实施例，其首先允许一般在职业团体框架内行医的保健专业人士以绝对安全的方式处置电子医疗文件。本发明特别适于信息系统的专业承包者的介入，且为文件中所包含的记名医疗数据提供受保证的机密性。更具体地说，在下文所述的实施例中，将特别考虑对属于职业运动员及高级别选手的医疗数据的处理。与这些运动员及选手有关的医疗数据是特别敏感的，且需要高级别的机密性以避免对此数据的任何滥用。实际上，我们知道，随着在线体育博彩的出现，可能会有人试图作弊，且重要的是要能够谨慎地保护这些医疗护理的“特殊消费者”的记名数据。在所述情形下，自然将高级别选手重新分组成多个团队(联合会、联盟、俱乐部等)，在专业团队内行医的所有专业从业者(医生、理疗师等)附属于所述团队。将关于此情形描述本发明，以便说明所提出的过程的巨大效用。但适合指出的是这只是一个特定的实施例，目的是为了能描述所实施的构件的组织，以及由这些构件得出的技术优点。所属领域的技术人员将显然能够修改跟随对任何患者的计算机医疗数据检查的更一般系统的安装的教导。图1说明特定实施例的总体架构。准许属于同一专业人士团队的每一从业者接入计算机系统，例如PC计算机1-1到1-n(假设所考虑的团队包括N个系统)，所述计算机系统配备有处理器6和所述处理器的存储构件RAM 7，所述RAM 7中发现其装载有操作系统11 (例如WINDOWS (注册商标)或LINUX)、应用软件12、用户接口模块13以及用于实施下文所述的过程的DMN代理14。1-1系统进一步配备有输入/输出常规构件，其允许连接到屏幕 2、键盘3、指点装置(例如鼠标4)，以及用于连接适当的外围设备(例如USB类型的外围串口 (通用串行总线)或IEEE1394 (火线)……)的特定端口。在优选实施例中，1-1系统具有至少一个串行端口 5，其适于接纳存储装置20，所述存储装置采用受保护的外部媒体的形式。考虑在专业团队内行医的每一从业者具有其自己的受保护的外部媒体，其中将装载有特定数目的适合于实施下文将描述的技术及过程的文件。1-1到1-n系统中的每一者进一步具有通信构件(特别是与因特网100)，以便能够 (例如)经由HTTP协议(超文本传送协议)或任何等效协议接入外部服务器，且特别是接入管理员服务器200、用于存储一加密一匿名医疗数据的DMA服务器300、用于存储一加密一临时记名数据的TSB服务器400以及用于管理文档的GED服务器500。应注意，服务器200还将能够通过根据所属领域的技术人员众所周知的客户一服务器架构的TCP/IP类型的通信构件(将不作进一步阐述)与DMA服务器通信。此外，从业者还可配备有移动通信系统，例如膝上型计算机、PDA类型(便携式文档助理，未说明)的装置，及甚至允许经由因特网交换信息的最新一代的移动电话。一般来说，在本描述的上下文中，且为了阐明下文，采用以下定义
记名医疗数据(DMN)在此名称下考虎患者的完整文件,包括管理数据特别是记名数据 (姓名、年龄、性别、性格、地址、电话……)，以及医疗信息(病理、诊断要素、治疗等……)。如下所示，为了保证数据的高度安全性，根据本发明中所提出的方法，切勿将DMN 数据存储于服务器上。将看,屮,，R有应从 者的请求才借助干存储装置20将此数据直接且本地生成到其1-1系统。匿名医疗数据(DMA)
在仅医疗信息的此类别中，目标是排除记名人物的任何信息，例如姓名、地址、电话坐标等……。此DMA数据(没有完整的DMN数据那么敏感)存储于DMA服务器300上，由不记名识别符索引，由IDA指示。虽然没有DMN数据那么敏感，但对服务器300的接入仍然受到密码保护，所述密码只能从所考虑的专业团队的从业者那里得知，且存储于存储装置20f 内。因为存储于服务器300上的信息的性质的缘故，服务器300将具有提供统计性质的要素的用途，从而允许从业者及总的来说保健专业人士接入关于患者的病理、诊断及治疗的集体性质的信息。临时存储基地(TSB )。此基地包括经加密的信息，其允许管理在所考虑的专业团队内使用的存储装置20的更新。文档存储基地(DSB)此基地含有对应于PDF文档或JPG图像的加密文件。一般来说，服务器200、300及400存储借助于密钥加密的信息，所述密钥仅存在于仅由从业者持有的存储装置20 (即外部存储器媒体)内。确切地说，管理此管理服务器200 的管理员并不持有(如下文将展示)用于解密的密钥。存储装置20 (即所考虑的实例中的外部媒体)包括可执行文件，其是用于使用存在且散布于网络的各种组件内的各种信息来创建DWN的DMN代理。存储装置20进一步包括文件，所述文件包括公钥/私钥，其允许对从服务器300、 400、500下载且存储于所述服务器上的信息进行编密/加密及解密。将注意，所属领域的技术人员将能够使用每种已知的编码/解码过程来实施本发明。除了加密/解密密钥文件及DMN代理可执行文件之外，存储装置20进一步包括所谓的PLT链接表
Mfi^(PLT):将看出，此表被用作不同服务器之间的交换枢纽。实际上，将具有DMA服务器300特定使用的IDA索引的记名信息的对应物收集到此表中，且仅收集到此表中。根据本发明的一个特定方面，记名(非常敏感的)数据及纯粹的医疗数据(病理一诊断一治疗)(其仅仅较敏感)是区别对待的主题。将记名数据存储于仅由一位从业者持有的存储装置20中，且特定受由本发明的过程实施的电子构件(加密密钥、生物计量保护)保护，所述构件用以支持此从业者对其存储装置的物理保护。将ilMS数据存储于外部服务器上，且在较低程度上受通过由从业者存储的密钥获得的编码系统保护。根据本发明的一个方面，存储装置20的DMN代理在实施于从业者的1_1系统中时，着手处理其本地PLT表与存储于远方服务器DMA 300、TSB 400及GED 500上的表之间的请求，以便应请求在从业者的办公室内生成给定选手的定制医疗电子文件。借助于PLT文件中含有的记名数据与从DMA服务器300下载的匿名医疗数据之间的对应关系，辅以借助于IDA匿名链接从GED服务器500下载的附属文件，来实现定制医疗电子文件的建立。因为定制医疗文件是应请求而准备的，所以所述文件决不会存储于非指定的服务器上，且对所述文件的存取始终完全受所述从业者控制，因而，所述从业者能保证遵守其患者的数据机密性。DMA 300、TSB 400及GED 500服务器只包括非记名数据，且其此外还借助于仅由一位专业人士持有的加密密钥来加密。因此，应请求而管理及存放服务器300到500的第三方无法得知存储于这些服务器中的数据。因此由于患者的个人医疗文件的生成代理而以特别有效的方式保证了数据的机密性。现在关于图2A描述DMA服务器300内的数据组织的结构的实例。如图所示，此服务器包括以下一组表
表210 选手的识别表，其仅借助于IDA匿名识别符来索引。表220:附属文件表。此表允许将文件的附属文件重新分组，标以合适的日期，且 (以加密形式)存储于GED服务器500上。表230 报告表。此表允许在选定时刻将患者所获得的临床结果的加密值重新分组。表240 创伤表。此表描述已影响患者的创伤史。表250 会诊表。此表收集患者所获得的会诊史。邮件表此表追踪患者与其从业者之间的交流的日期。一般来说，在图2A到2C中说明的实例中应注意，大部分信息是经加密的，这会特别有助于日后对不记名医疗数据的集中检查进行统计处理。将注意，表2B中的术语“组织” 自然地回到所考虑的专业人士团队(俱乐部、联合会、联盟等……)的代码，其也是经加密的。将进一步注意，本发明相当自然地有助于系统地使用CIM分类(国际疾病分类)所得的代码，世界卫生组织公布了所述分类的最新版本(CIM - 10)。在所考虑的特定实施例(即对高级别选手及职业运动员的医疗数据的检查过程) 中，将能够甚至开发特定的类别及子类，以便考虑到适合于体育或统计研究计划特别关注的特定具体病理。如图所示，服务器300必须设立医疗数据库,伯.不包括所有记名数据,以便可能服务于从业者的检查需要以及统计类研究。
9
图3更具体地说明从业者用于临时存储更新数据(以加密形式)的TSB服务器400 的内容。应注意，下文中在揭露请求协议且进一步揭露程序时将看出，此TSB服务器400会周期性地清除或清理统计数据，这使得所述过程的总体保密性增加。图4说明存储于每一存储装置20中的PLT链接表21 (例如图1中说明的生物计量密钥)的结构。如图所示，此表除了 IDA匿名识别符之外，还包括选手的识别要素，即姓名、地址、 电话坐标、国籍以及与此选手相关联的简档要素，例如年龄、性别、性格特征(习惯用右手、 习惯用左手等……)。如图所示，此PLT表21呈现高度敏感的数据，且下文将看出，根据本发明的过程将继续对这些数据进行特别复杂的处理，以便永久地确保其机密性，同时允许对不记名医疗数据进行某一统计及集中处理。图5说明允许在属于职业团队(所考虑的组织)的从业者的工作场所中安装第一存储装置20的过程。安装过程是基于DMN代理的实施，所述代理的操作存储于存储装置20上。为此， 在牛物计量密钼的情况下,可以观察到,由于此密钥插入系统的USB端口 5中，所以从业者将被请求执行其激活。一般来说，用于允许激活^tiitSMa的所实施的原理及程序(特别是通过捕捉数字指纹)对于所属领域的技术人员来说是众所周知的，且并不形成本发明的一部分。将不再更详细地描述此激活程序，且其将限于记住，此过程是基于检验从业者出示的数字指纹并将其与已经捕捉到且存储于装置20内的参考指纹进行比较。将能够有利地完成任何其它保密机制的生物计量保密机制，且特别是基于计算机及其组件(其上连接有生物计量密钥)对“指纹”特性的捕捉的机制。一旦将生物计量密钥被激活，就可在步骤_中执行及起动DMN代理，图5中说明安装程序。随后，DMN代理进行到步骤510，其是对从业者口令的输入及验证。如果步骤510的测试成功，那么过程进行到步骤520。相反，如果测试失败，那么过程直接转到步骤590，从而停止生物计量USB密钥的安装程序。在步骤520中，过程进行到随机生成加密密钥，应强调的是，所述加密密钥将一直仅存储于所述从业者的办公室中的存储装置20中，如下文将看出，当在同事的次要密钥中时，所述加密密钥将被复制。一般来说，将能够考虑任何加密/解密程序，且特别是基于使用公钥/私钥且很大程度上基于使用因特网的RSA (里夫斯特(Rivest)、沙米尔(Shamir)及阿德曼(Adleman)) 类型的非对称过程。还将根据将希望对PLT表实施的保密级别来确定加密代码的长度。同样，加密技术对于所属领域的技术人员来说是众所周知的，且将不再更详细地揭露。接着，过程进行到步骤530，在此期间，代理着手编辑证明或证书(可能是数字的)， 以便证明完成了加密/解密密钥的生成。在特定实施例中，所述过程获得将由从业者签字的证书版面，且目的是引起他对他所需要的警戒要求的注意，以便保全稍后安装的密钥上存在的信息的机密性。所述过程进行到步骤540，目的是通过在从业者的办公室中直接输入或借助于从预先存在于所述从业者负责的系统上的文件开始的传入来输入或传入选手列表。将能够考虑此步骤还包括输入/传入所述选手的所有记名数据，同时等待构造第一 PLT表。一旦已完成输入，所沭过稈就讲行到步骤550,在此期间针对先前步骤中列出的每一选手而生成创建被传输到DMA服务器300的新IDA的请求。所述操作引起为构造通过 DMA服务器300上的最新创建的IDA识别符来索引的表创建必要的环境，且其稍后将由从业者根据其对其选手的留心而更新。在步骤560中，在从业者的系统上执行的DMN代理恢复最新创建的IDA，以创建第一 PLT表的结构。在步骤570中，如果代理尚未在步骤540中完成，那么代理接着着手输入/传入选手的记名数据，以及表征选手简档的数据，以便完成如图4中说明的PLT表的生成。同样， 可考虑若干实施例模式，且特别是从业者直接输入记名信息，或自从业者的系统上预先存在的文件开始传入此数据。重要的是应注意，选手的记名数据保留在从业者的办公室内，仅由所述从业者负责，且绝不会存储于服务器200、300、400或500上。在特定实施例中，可预期借助于任何非指定途径来终止从业者的系统与服务器 200到500之间的连接，以便防止数据的任何散布，同时等待随后对PLT表的加密。所沭过稈继续讲行步骤580,在此期间，代理借助于稍后创津的PLT表的在步骤 520期间随机生成的密钥来执行加密。接着通过最终步骤590来完成在DMN代理中实施的过程。图6说明由DMN代理实施的备份及/或复制来源或主要存储装置20_1的过程， 用于鉴定目的地或次要存储装置20-2，从而允许第二从业者得到由专业团队检查的选手的 DMN文件。所述过程在主要存储装置上实施，从步骤600开始。接着，所述过程进行到 Μ^，在此期间，实施主要存储装置的持有人口令的检验过程，其类似于关于图5的步骤510而描述的程序。如果口令未被识别为有效，那么过程以步骤690完成。如果对口令的校验生效，那么过程转到步骤620，在此期间，在主要装置上执行的代理检验加密文件的存在以及经加密的PLT表的存在。如果主要存储装置中缺少上述两个文件中的一者，那么所述过程转到步骤690并终止。另一方面，如果存在两个等候的文件，那么过程继续进行任选步骤630，在此期间， DMN代理确定所述过程是否必须仅引起PLT文件及加密的密钥文件的备份拷贝。如果是，那么所述过程转到步骤635，其中将所述两个文件存储于由所述从业者负责的适当存储器媒体上。在相反的情况下，或当未预期步骤630时，所述过程肓接从步骤620转到步骤640， 在此期间，代理要求主要从业者确认进行到鉴定次要存储装置以创建对定制医疗文件的第二接入密钥的机会，且在相反的情况下，所述过程转到最终步骤690。如果主要从业者确认了次要存储装置的鉴定程序，那么所述过程转到程序650，其中代理邀请次要从业者插入其自己的存储装置20-2。假设次要装置也是生物计量USB密钥，那么次要从业者将必须激活所述生物计量密钥，以便允许写入文件，且因此良好地实施鉴定程序。步骤650还通过输入/创建次要口令的程序而继续，次要从业者将使用所述次要口令来接入其自己的DMN代理的执行。如果口令的占有/创建程序未成功，那么所述过程转到步骤690并终止。另一方面，如果次要从业者的口令创建程序成功并生效，那么在主要存储装置 20-1上执行的DMN代理在步骤660中进行到生成执行DMN代理的新权限所必需的文件，即 DMN代理的可执行文件、加密/解密文件以及经量化的PLT表，从而完成次要存储装置20-2 (即将由第二从业者使用的第二生物计量USB密钥)的鉴定。接着，在步MlI^中，主要代理着手编辑证明或电子证书，其确认对次要存储装置 20-2的鉴定。接着，所述过程通过步骤690完成，从而完成备份/复制程序。将注意，且这是本发明的一个重要优点密钥的复制过程及次要存储装置的鉴定也可由将希望对其USB密钥进行第二“物理”拷贝的同一从业者来使用。在此情况下，他只要在步骤650期间再次输入其口令就行了。因此，可以看出，所述过程允许以非常简单的方式管理可能在同一专业团队内使用的主要、次要、第三等……存储装置。团队中的从业者可非常容易地进行其自己对此存储装置的拷贝或复制，应指出，这对于存取选手的个人医疗文件的记名数据……来说绝对是必要的。同样，在从业者的专业办公室以外，且如果没有从业者的存在，那么即使是服务器 200的管理员也不能存取记名数据。图7说明允许借助于存储装置20-n来添加/修改与选手有关的记名数据的过程。接着，通过步骤700来开始接入DMN及更新的过程。如前所述，此步骤除了激活生物计量密钥20-n的必要预备步骤以外，还能够包括输入口令以便允许执行DMN代理，从而允许在线构造DMN。在步骤710中，执,行用于确定是否有必要添加或修改与诜手有关的信息的测试。如果没有必要，那么所述过程转到最终步骤790。如果有必要，那么所述过程进行到步骤720，在此期间，从业者输入/传入新选手的记名数据及简档，且借助于存在于存储装置20-n上的加密密钥对其进行加密。接着,在步骤730中，所沭过稈着手产牛传输到TSB服务器400的请求，所述请求包括在步骤720期间输入的更新信息，但IDA识别符除外。这样做的一个重要优点是不会使IDA与选手的识别的记名要素之间的匹配表…… 流出从业者的办公室。可观察到，存储于TSB服务器400上的表(只存储非常有限的时间) 仅包括记名数据(不包括医疗性质的要素)，而DMA服务器300仅包括仅与不记名IDA识别符有关的医学处理数据。此外，借助于仅在从业者的专业团队内持有的密钥来量化存储于服务器300及 400上的所有信息。无需采取特别昂贵的技术，就能得益于高度保密性。在步骤730之后，由DMN代理实施的过程进行到步骤740，在此期间，通过考虑由作为主要生物计量密钥的持有者的从业者引入的添加/修改来更新PLT表。DMN代理接着在步骤750期间向主要服务器200传输请求，意在告知所述服务器弓I 入到系统中的更新。应注意，在此场合中仅传输IDA识别符。接着通过步骤790完成所述过程，步骤790结束表内已发生的修改。
参看图8，现在描述所实施的进行到更新存储装置20-n等……中的PLT表的过程。所沭i寸稈通i寸步骤800开始。像上文一样，假设起动在其存储装置20-n上执行 DMN代理的从业者已通过了其生物计量密钥的激活程序。在步骤810中,DMN代理起动口令检验程序，如果所述程序失败，那么直接返回到最终步骤899。相反，如果从业者通过了其口令的检验程序，那么DMN代理转到步骤820,在此期间执行额外测试，以便确定包括加密/解密密钥以及PLT表的文件的存在。如果测试失败，那么所述过程也转到最终步骤899。如果测试成功，那么所沭过稈转到步骤830,其中代理牛成以DMA服务器300为目的地的请求，目标是下载IDA列表。接着，在步骤840中,代理着手读取解密密钥，以便获得正从DMA服务器300下载的IDA列表。接着,在步骤850中，DMN代理着手解密其本地PLT表,存取所沭表上存在的数据。在步骤860中,DMN代理着手对(一方面)从DMA服务器300下载的IDA识别符的列表与(另一方面)本地存在于其PLT表上的IDA的列表进行比较。在步骤870中，DMN代理着手进行测试，以便确定IDA是否看起来并不归于其本地 PLT表中特定识别的运动员之一。如果测试失败，那么意味着不必进行更新，且过程转到最终步骤899。在相反的情况下，所述过程识别一个或一个以上无归属的IDA识别符，接着转到步骤880，用于向TSB服务器400传输请求，以便下载选手列表。在步骤885中，DMN代理接着本地接收TSB基地400上存在的记名信息，所述代理借助于其解密密钥可接入并完善其本地PLT表。接着，代理着手向主要服务器200传输通知，以便告知所述服务器已发生的更新。 主要服务器200接着可确保同一专业团队的所有存储装置20-n实际上均已更新，且在必要时对临时TSB服务器400中存储的表执行清除。所述过程最终由步骤899完成。图9说明DMN代理构造包括DMN数据的定制医疗文件的过程。所述过程从步骤1000开始。接着，在步骤1010中，DMN代理执行口令测试，以便检验用户是否经过充分授权以引起DMN文件的构造，且在口令无效的情况下，过程转到最终步骤1100。如果辨认出口令有效，那么所述过程进行到步骤1020，其中检验存储装置上PLT 文件21及包括加密密钥(例如生物计量密钥)的文件22的存在。如果所述两个文件不是同时存在，那么代理转到最终步骤1100。如果所述两个文件都存在，那么代理在步骤1030中生成指向DMA服务器300的请求，并着手下载匿名IDA识别符的列表。在步骤1040中，DMN代理着手借助于存储于其保密存储装置中的匹配表来识别患
者ο在步骤1050中，DMN代理提出在先前步骤中识别的患者中选出一位患者的选择。接着，在步骤1060中，DMN代理着手借助于归于所考虑的患者的私用IDA从DMA服务器300下载匿名数据。 接着，在步骤1070中，DMN代理着手下载存储于GED服务器500上的附属文件。 [one] 在^mrn中，所述过程使用受作为持有者的从业者保护的存储装置上存在的加密密钥，以便对从DMA服务器300及GED服务器500下载的数据进行解密。文件现在是完整的，且可用容易使用的方式借助于图1中表示的图形用户接口 GUI 13来呈现。此咨询在步骤1090期间执行，从而还允许从业者着手对其患者的文件的进行可能的更新及修改，经更新的文件可通过其相应的服务器(明确地说DMA 300)下载。在咨询结束时，DMN代理1100转到最终步骤，以便完成所述过程，并从存储器中擦除患者的医疗文件的任何纪录。刚刚描述的过程允许以安全的方式创建医学处理数据库的构成表，其是特别复杂的保证处理技术的主题，同时是对完全匿名的特定数据的高度机密且集中及统计性的处理。实际上，可看出，仅在从业者的工作场所创建患者的个人医疗文件，且借助于DMN 数据生成代理12来创建，其得益于双重级别的保护因用仅存在于存储装置20上的密钥进行加密而产生的保护，结合因在从业者的工作场所中实施的生物计量检验机制而产生的保护。因此，在从业者的办公室或工作场所以外，且如果不求助于具有生物计量保护的存储装置20，就无法在所述从业者不知道的情况下重构患者的医疗电子文件，且服务器，特别是DMA服务器300，仅包括不记名数据(而且也是经过加密的)。另一方面，所考虑的专业团队的从业者或与所设立的专业团队有合作关系的从业者仍然能接入特定信息要素，例如由WHO的CIM-10分类得出的代码或任何下层及/或不同的编码，以便对此数据执行集中处理，以着手进行此数据的不记名交流。通过所实施的平均技术，本发明因而允许执行非常敏感的数据(存储于PLT表中的必须保持绝对机密的数据)与可能允许集中处理的数据之间特别令人满意的接合，以便推进对文件的检查及/或医疗研究。
权利要求
1.一种接入定制电子文件的过程，所述定制电子文件包括例如医疗数据等技术性质的数据，及非常机密的记名数据，所述过程的特征在于其包括在至少一个存储装置(20)中实施定制计算机文件(DMN)的生成代理，所述存储装置进一步包括加密/解密文件及患者的所述记名数据与匿名识别符(IDA)之间的链接的匹配表 (PLT)；在第一服务器(DMA，300)上实施数据库，其仅包括用所述加密密钥加密且与所述匿名识别符(IDA)有关的匿名信息，不包括任何记名类型的信息；在第二服务器(TSB，400 )上实施一组表，其包括用于更新所述表(PLT )的数据，且通过使用所述加密密钥来加密；在第三服务器(GED 500)上实施文档数据库，其包括所述定制文件中所含有的附属文件，经由所述匿名识别符(IDA)来索引，且通过使用所述存储装置(20)中所含有的所述加密密钥来加密。
2.根据权利要求1所述的过程，其特征在于所述存储装置是USB型生物计量密钥。
3.根据权利要求1所述的过程，其特征在于在将所述DMN代理安装于所述第一存储装置(20)中期间以随机方式创建所述加密密钥。
4.根据权利要求1所述的过程，其特征在于所述第一存储装置的所述安装包括以下步骤从业者的口令校验(510)；随机生成(520)存储于所述存储装置(20)中的加密密钥； 输入/传入(540)记名患者列表；向所述第一服务器(DMA，300)传输(550)请求，以便获得对应于所述本地存储的记名列表的IDA匿名识别符列表；所述第一服务器(DMA，300)接收(560)所述匿名识别符(IDA)列表； 创建(570)所述第一链接表(PLT，21)，其并入有记名信息以及所述DMA服务器已知的所述匿名识别符；借助于在所述步骤520中生成的所述密钥来对所述链接表(PLT，21)进行加密(580)。
5.根据权利要求4所述的过程，其特征在于其包括，在所述随机生成所述密钥之后，创建证明/证书，从而允许确认所述加密密钥的所述创建。
6.根据权利要求4所述的过程，其特征在于其包括复制/鉴定存储装置源(20)以创建/鉴定第二存储装置(20-n)从而允许生成定制医疗文件且接入所述记名数据(DMN)的程序，主要存储装置的所述DMN代理执行以下步骤对用作所述复制的来源的所述第一存储装置(20)的持有者进行口令检验(610)； 检验(620)所述经加密的表(PLT)及加密文件(22)的存在； 检验(640，650 )次要存储装置的持有者的口令；在所述次要存储装置上创建(660)文件，所述文件包括所述DMN代理的可执行文件、所述经加密的链接表(PLT，21)，以及包括由所述第一存储装置(20)使用的所述加密密钥的文件。
7.根据权利要求6所述的过程，其特征在于所述次要装置的所述创建/鉴定包括编辑证明及/或证书。
8.根据权利要求6所述的过程，其特征在于其包括以下意在更新属于同一团队且使用同一加密密钥的所述各种存储装置(20)的所述链接表中所持有的所述记名信息的步骤输入及加密(720)经修改或与新患者有关的记名数据；借助于不同于所述匿名识别符(IDA)的记名信息的包含于所述存储装置(20)中的所述加密密钥，以加密形式向所述第二服务器(TSB，400)传输(730)其临时存储的请求； 更新并入有所述新的经修改信息的本地表(PLT)； 借助于所述加密密钥对所述本地表(PLT)进行加密。
9.根据权利要求8所述的过程，其特征在于属于同一团队或组织的任何存储装置(20) 的代理执行以下步骤以检验更新本地链接表(PLT，21)的机会对所述所考虑的存储装置(20)的持有者进行口令检验(810)； 检验(820)包括所述加密密钥的所述文件及所述链接表(PLT，21)的存在； 产生传输到第一 DMA服务器(300)的用于获得存储于所述服务器中的所述匿名识别符的所述列表的请求(830)；识别(840)从所述第一 DMA服务器(300)下载的所述匿名识别符(IDA)的所述列表； 对所述本地链接表(PLT，21)进行解密(850)；在不兼容(870)的情况下，将所下载的所述匿名识别符列表与存储于所述表(PLT，21) 中的列表进行比较(860);生成以所述第二服务器(TSB，400)为目的地的用于下载临时存储于其中的所述记名信息的请求(880)；借助于从所述第二服务器(TSB，400)下载的信息来更新(890)所述本地链接表(PLT，21)；检验(890)同一团队的所有所述存储装置的更新，且必要时清除存储于所述第二服务器(TSB，400)上的所述数据。
10.根据权利要求9所述的过程，其特征在于其进一步包括实施管理员服务器(200)， 从而允许管理许可证，且在获得对属于同一团队的所有所述存储装置(20)的所有所述更新时，清除所述第二服务器(TSB，400 )。
全文摘要
本发明提供一种接入定制计算机文件的过程，所述文件包括例如医疗数据等技术性质的数据，以及非常机密的记名数据。所述过程包括实施包含在存储装置(20)中的所述定制计算机文件(DMN)的生成代理，所述存储装置(20)例如是USB生物计量密钥。所述存储装置(20)进一步包括加密/解密文件及所述记名数据与匿名识别符(IDA)之间的链接的匹配表(PLT)。包括DMN数据的所述定制计算机文件的所述生成进一步实施位于第一服务器(DMA，300)上的数据库，其仅包括用所述加密密钥加密且与所述匿名识别符(IDA)有关的匿名信息，不包括任何记名类型的信息；位于第二服务器(TSB，400)上的一组表，其包括用于更新所述表(PLT)的数据，且使用所述加密密钥来加密；位于第三服务器(GED，500)上的文档数据库，其包括所述定制文件中所含有的附属文件，经由所述匿名识别符(IDA)来索引，且通过使用所述存储装置(20)中所含有的所述加密密钥来加密。
文档编号G06F21/62GK102160060SQ200980136530
公开日2011年8月17日 申请日期2009年9月18日 优先权日2008年9月19日
发明者埃尔韦·巴尔巴特, 帕特里克·高特, 贾比尔·阿卜杜勒 申请人:山姆国际医疗运动用品供应商