具有加密箱的患者的元数据树的制作方法
【专利说明】具有加密箱的患者的元数据树
[0001]相关申请的交叉引用
本申请要求2012年8月15日提交的题为“Hierarchical Lockboxes to EnableSharing of Metadata and Data Records in the Cloud-Based EHR Store”的美国临时专利申请N0.61/683,708的优先权。该申请的公开通过引用被并入本文中。
【背景技术】
[0002]电子健康记录(EHR)可以使得医疗保健参与者(例如,患者、医疗保健提供者、付款人和研宄员)能够改善护理协调和对健康信息的访问。尽管EHR可以有助于对医疗保健信息的访问,但是医疗保健信息的共享可能涉及许多复杂的技术和法律问题。这些问题对于缺乏资源和专业知识来实现这种共享同时确保医疗保健信息的一致性、私密性和安全性的医疗保健参与者来说可能是难以负担的。
【附图说明】
[0003]图1是示出具有在元数据树中的分层加密箱的电子健康记录储存处理环境的一个实例的框图。
[0004]图2是示出具有分层加密箱的元数据树和加密的数据储存装置的一个实例的框图。
[0005]图3是示出元数据树节点的一个实例的框图。
[0006]图4是示出参与者系统的一个实例的框图。
[0007]图5是示出使用具有分层加密箱的元数据树储存加密的记录的一个实例的示意图。
[0008]图6是示出使用具有分层加密箱的元数据树访问加密的记录的一个实例的示意图。
[0009]图7是示出使用具有分层加密箱的元数据树执行密钥撤销的一个实例的示意图。
[0010]图8是示出使用具有分层加密箱的元数据树的密钥撤销的一个实例的框图。
[0011]图9是示出使用具有分层加密箱的元数据树的密钥撤销和密钥传播的一个实例的框图。
【具体实施方式】
[0012]在下面的详细描述中,参考附图,这些附图构成了该详细描述的一部分,在这些图中借助图示示出了其中可以实施所公开的主题的特定实施例。应当理解可以利用其它实施例,并且可以在不脱离本公开的范围的情况下做出结构或逻辑改变。因此,下面的详细描述不是以限制性意义进行的,并且本公开的范围由所附权利要求限定。
[0013]本文描述的实施例提供一种电子健康记录(EHR)储存处理环境,其使得能够在医疗保健参与者(例如,患者、医疗保健提供者、付款人和研宄员)之间安全、无缝地共享EHR。所述环境包括储存患者的加密的EHR的加密的数据储存装置和储存每个患者的元数据树的元数据储存装置。每个元数据树提供对在加密的数据储存装置中的给定患者的EHR的映射。每个患者的元数据树可以由被授权的医疗保健参与者(例如医疗保健提供者)访问以允许所述参与者访问并储存患者的EHR。
[0014]所述环境使用加密的EHR的记录密钥和元数据树的节点的节点密钥来控制对EHR的访问。在加密的数据储存装置中储存加密的EHR的医疗保健参与者使用记录密钥来加密EHR。这些参与者还将对应加密的EHR的加密的节点添加到元数据树。所述加密的节点包括对对应加密的EHR的引用并利用对应节点密钥被加密。
[0015]每个元数据树还包括用于储存节点密钥和记录密钥的单独的分层加密箱机构。特别地,元数据树中的每个节点包括用于储存对应的一组节点密钥的节点密钥加密箱(即第一分层加密箱机构)和用于储存对应记录密钥的记录密钥加密箱。每个节点密钥在被撤销之前可用于加密和解密对应节点以及在对应节点下面的每个节点处锁定和解锁节点密钥加密箱。每个记录密钥可用于在对应节点下面的每个节点(即第二分层加密箱机构)处锁定和解锁记录密钥加密箱或者加密和解密对应EHR。单独的分层加密箱机构允许单独地针对元数据树节点和加密的EHR授予访问权限。
[0016]一个或多个医疗保健参与者可以管理患者的元数据树的不同子树。管理子树的医疗保健参与者维持针对该子树中的最顶层节点的节点和记录密钥,其中所述节点和记录密钥得自患者的患者密钥。由于针对每个子树的节点和记录密钥得自患者密钥,因此患者可以在每个子树的各级解锁节点和记录加密箱以获得对患者的所有EHR的访问。
[0017]为了管理子树,参与者管理子树中的对应节点的节点和记录密钥以授予和撤销对患者的其他被授权的医疗保健参与者的访问。参与者通过将所选的节点和记录密钥提供给另一参与者来授予访问。由于在子树的给定节点处的节点和记录密钥可以用于解锁在该给定节点下面的所有节点处的对应加密箱,因此参与者通过选择共享哪些节点和记录密钥来控制访问级别。
[0018]参与者通过旋转在子树中的被撤销的节点处的节点密钥加密箱中的节点密钥来撤销访问。在密钥撤销之后,其访问已经被撤销的参与者将继续能够解锁对应于在撤销之前被储存在被撤销的节点下面的加密的节点的节点密钥加密箱。由此,被撤销的参与者将继续能够访问在撤销之前储存的加密的EHR。然而,被撤销的参与者将不能解锁对应于在撤销之后被储存在被撤销的节点下面的加密的节点的节点密钥加密箱。特别地,被撤销的参与者将不能解锁针对解密对对应加密的EHR (即在撤销之后被储存的加密的EHR)的引用所需的这些节点的节点密钥。被撤销的参与者还将不能在被撤销的节点下面添加新的加密的节点。
[0019]如本文所使用的,术语“医疗保健参与者”(也称为“参与者”)指的是患者、医疗保健提供者、付款人、研宄员或其他在患者的医疗保健过程中涉及的合适的人,其产生和/或使用对应于患者的医疗保健信息。术语“患者”指的是从医疗保健提供者接收至少一个医疗保健服务的人。术语“医疗保健提供者”(也称为“提供者”)指的是将至少一个医疗保健服务提供给患者的人和/或机构。
[0020]术语“电子健康记录”(EHR)指的是由医疗保健参与者产生并以电子格式储存在至少一个机器可读的储存介质上的一组医疗保健信息。术语“加密的电子健康记录”指的是已经利用加密密钥(例如记录密钥)加密的电子健康记录。
[0021]术语“元数据”指的是描述至少一个记录(例如电子健康记录)的一组信息。术语“元数据树”指的是包括元数据的一组节点,其中每个节点具有与该组中的至少一个其他节点的指定关系。
[0022]术语“记录密钥”指的是用于加密和解密患者的EHR的加密密钥。术语“节点密钥”指的是用于加密和解密患者的元数据树中的节点的至少一部分的加密密钥。术语“元数据树密钥”指的是用于加密和解密患者的元数据树的至少一部分的加密密钥。
[0023]术语“记录密钥加密箱”指的是一种数据结构,所述数据结构储存对应于元数据树中的节点的记录密钥并且可以仅利用来自元数据树中的节点的父节点的对应记录密钥被锁定和解锁。术语“节点密钥加密箱”指的是一种数据结构,所述数据结构储存对应于元数据树中的节点的一组一个或多个节点密钥并且可以仅利用来自元数据树中的节点的父节点的对应的一组一个或多个节点密钥被锁定和解锁。
[0024]图1是示出具有在每个元数据树50中的分层加密箱62和64的电子健康记录储存处理环境10的一个实例的框图。环境10包括电子健康记录(EHR)储存装置20和一组医疗保健参与者系统30 (I) -30 O?),其中m是大于或等于2的整数。环境10使用EHR储存装置20和参与者系统30提供创建、访问、储存、管理以及共享患者的EHR的能力。
[0025]EHR储存装置20包括数据访问前端(front)22、加密的数据储存装置24和元数据储存装置26。数据访问前端22与参与者系统30通信以通过参与者系统30管理对加密的数据储存装置24和元数据储存装置26的访问。
[0026]加密的数据储存装置24储存患者的加密的EHR,其是由参与者系统30产生和提供的。加密的EHR由参与者系统30使用对应记录密钥来加密和解密。加密的数据储存装置24包括任何合适类型、数目和/或配置的机器可读的储存介质以储存加密的EHR。由于EHR被加密并且由于加密的数据储存装置24不储存EHR的加密密钥(即记录密钥),因此加密的数据储存装置24可以是或者可以不是可信的数据储存装置(例如,加密的数据储存装置24可以由一个或多个不可信的第三方拥有或操作)。
[0027]元数据储存装置26为每个患者储存元数据树50,其中每个元数据树50包括具有对应的节点密钥加密箱62和记录密钥加密箱64的一组节点51。节点51被布置成分层树结构,并且如图2的实例中所示,包括患者根节点52、任何合适数目的子树节点54、任何合适数目和合适