数目的级的中间节点56、以及针对每个对应的加密的EHR 80的叶节点58。
[0028]患者根节点52包括标识患者的信息。子树节点54标识管理由在每个子树节点54下面的节点56和58的集合形成的对应子树的对应的医疗保健参与者。中间节点56代表EHR的逻辑分组(例如依据患者信息的类别,例如处理条件)并且包括描述所述分组的信息。每个叶节点58储存描述对应的加密的EHR 80的元数据,其中元数据包括对加密的数据储存装置24中的加密的EHR 80的引用60,如由图2中代表引用60的点线箭头指示的。引用60可用于访问加密的数据储存装置24中的加密的EHR 80。
[0029]图3是示出元数据树节点51的一个实例的框图。元数据树节点51包括节点标识符91、父标识符92、参与者标识符93、名称94、版本95、类型96和引用60。节点标识符91是节点51的全局唯一标识符,以及父标识符92是节点51的父节点的节点标识符91。参与者标识符93是标识创建节点51的医疗保健参与者的信息。名称94是由创建节点51的医疗保健参与者给予的名称。版本95是节点51的版本号。类型96是节点51的类型。引用60标识加密的数据储存装置24中的加密的EHR 80的定位。
[0030]返回参考图2,每个节点51由参与者系统30使用对应的节点密钥加密,并且节点密钥和任何被撤销的节点密钥(在下面描述)被储存在对应于节点51的节点密钥加密箱62中。对应于节点51的记录密钥加密箱64将针对对应的EHR 80的记录密钥储存在加密的数据储存装置24中。为了从加密的数据储存装置24访问加密的EHR 80,参与者系统30需要引用60定位在加密的数据储存装置24中的加密的EHR 80以及需要记录密钥解密加密的 EHR 80。
[0031]在每个元数据树50中的节点和记录密钥加密箱62和64的集合形成用于分别储存节点密钥和记录密钥的单独的分层加密箱机构。单独的分层加密箱机构允许单独地针对元数据树节点51和加密的EHR 80授予访问权限。
[0032]每个节点密钥加密箱62储存针对对应节点51的一组节点密钥(即当前节点密钥和任何被撤销的节点密钥)。每个节点密钥可用于加密和解密对应节点51并且在被撤销之前可用于锁定和解锁在对应节点51下面的每个节点51处的每个节点密钥加密箱62。例如,来自中间节点56中的节点密钥加密箱62的节点密钥可以用于锁定和解锁直接在中间节点56下面的每个叶节点58的每个节点密钥加密箱62以及直接在中间节点56下面的其他中间节点56的任何其他节点密钥加密箱62 (图2中未示出)。
[0033]每个记录密钥加密箱64储存针对对应节点51的记录密钥。每个记录密钥可用于在加密的节点下面的每个加密的节点处锁定和解锁记录密钥加密箱或者加密和解密对应加密的EHR 80。例如,来自中间节点56中的记录密钥加密箱64的记录密钥可以用于锁定和解锁直接在中间节点56下面的每个叶节点58的每个记录密钥加密箱64以及直接在中间节点56下面的其他中间节点56的任何其他记录密钥加密箱64 (图2中未示出)。来自每个叶节点58的记录密钥可以用于加密和解密对应的加密的EHR 80。
[0034]元数据树50允许非附属医疗保健参与者(例如,在不同的、不相关的业务实体下实行的提供者)将患者的不同加密的EHR 80储存到加密的数据储存装置24并且与其他医疗保健参与者共享那些加密的EHR 80。加密的EHR 80均用不同的记录密钥加密使得针对一个加密的EHR 80的记录密钥不可用于解密任何其他加密的EHR 80。医疗保健参与者可以使用元数据树50来确定他们需要访问哪些加密的EHR 80并且可以请求来自产生所需的加密的EHR 80的其他医疗保健参与者或患者的访问(即节点和记录密钥)。
[0035]包括患者、医疗保健提供者、付款人、研宄员和在患者的医疗保健过程中涉及的其他合适的人的参与者(未示出)与对应的参与者系统30交互以使用对应的数据访问适配器32与EHR储存装置20通信以便创建、访问、储存、管理和共享患者的EHR 80。每个数据访问适配器32与EHR储存装置20上的数据访问前端22通信以访问加密的数据储存装置24和元数据储存装置26。
[0036]一个或多个医疗保健参与者可以管理源于元数据树50的每个子树节点54的不同子树。管理子树的医疗保健参与者维持针对子树节点54 (即该子树中的最顶层节点)的子树节点和子树记录密钥,并且所述子树节点和子树记录密钥得自患者的患者密钥(例如,当患者向医疗保健参与者注册时被提供给该医疗保健参与者)。在图2的实例中,针对子树节点54的所述子树节点和子树记录密钥仅被储存在医疗保健参与者系统30上(即未在对应于子树节点54的加密箱62和64中)。在未示出的其他实例中,针对子树节点54的所述子树节点和子树记录密钥可以除了被储存在医疗保健参与者系统30上之外还被储存在对应于元数据树50中的子树节点54的加密箱62和64中。
[0037]参与者使用参与者系统30管理元数据树50的子树。为了这样做,参与者系统30管理子树中的对应节点54、56和58的节点和记录密钥以使用其他参与者系统30授予和撤销对患者的其他被授权的医疗保健参与者的访问。参与者系统30通过将所选的节点和记录密钥提供给另一参与者系统30来授予访问。由于在子树的给定节点54、56和58处的节点和记录密钥可以用于解锁在该给定节点54、56和58下面的所有节点56和/或58处的对应加密箱,因此参与者系统30通过选择哪些节点和记录密钥与其他参与者系统30共享来控制访问级别。
[0038]在环境10中,可以用任何合适类型、数目和配置的处理系统来实施EHR储存装置20和参与者系统30,所述处理系统均包括用于执行一个或多个存储器(即计算机可读介质)中储存的指令的一个或多个处理器。特别地,在一些实施例中可以使用不同的处理系统来实施数据访问前端22、加密的数据储存装置24和元数据储存装置26。参与者系统30的实例在图4中被示出并且在下面被另外详细描述。另外,任何合适类型、数目和配置的有线和/或无线网络设备(未示出)可以用于允许处理系统进行通信。
[0039]图4是示出参与者系统30的一个实例的框图。参与者系统30包括一组一个或多个处理器102、存储器系统104和至少一个通信设备106,所述一组一个或多个处理器122被配置用于执行在存储器系统104中储存的一组指令。处理器102、存储器系统104和通信设备106使用一组互连108进行通信,该组互连108包括任何合适类型、数目和/或配置的控制器、总线、接口和/或其他有线或无线连接。
[0040]参与者系统30代表任何合适的处理设备或处理设备的一部分,例如服务器计算机、膝上型计算机、平板电脑、台式计算机、具有处理能力的移动电话(即智能电话),或另一合适类型的具有处理能力的电子设备。每个处理器102被配置用于访问和执行在存储器系统104中储存的指令并且访问存储器系统104中的数据以及将数据储存在存储器系统104中。存储器系统104包括任何合适类型、数目和配置的易失性或非易失性机器可读的储存介质,其被配置用于储存指令和数据。在存储器系统104中的机器可读的储存介质的实例包括硬盘驱动器、随机存取存储器(RAM)、只读存储器(ROM)、快闪存储器驱动器和卡,以及其他合适类型的磁盘和/或光盘。机器可读的储存介质被认为是物品或制造品的一部分。物品或制造品指的是一个或多个已制造的部件。通信设备106包括任何合适类型、数目和/或配置的通信设备,其被配置用于允许参与者系统30跨越一个或多个有线或无线网络进行通信。
[0041]数据访问适配器32包括指令,所述指令当被处理器102执行时使得处理器102执行数据访问适配器32的功能,这将现在参考图5、6和7被描述。图5是示出使用具有分层加密箱62和64的元数据树50储存加密的记录80的一个实例的示意图。图6是示出使用具有分层加密箱62和64的元数据树50访问加密的记录80的一个实例的示意图。图7是示出使用具有分层加密箱的元数据树执行密钥撤销的一个实例的示意图。
[0042]参考图4和5,数据访问适配器32通过数据访问前端22从元数据储存装置26访问患者的元数据树50,如由箭头141指示的。元数据储存装置26通过数据访问前端22将元数据树50提供给提供者系统30,如由箭头142指示的。数据访问适配器32针对对应于新的或更新后的EHR 120的叶节点58确定在元数据树50中的定位,如由箭头143指示的。基于该定位,数据访问适配器32使用在元数据树50中的该定位上的子树中的另一节点密钥