产生节点密钥112或者从管理该子树的另一参与者系统30接收节点密钥112。数据访问适配器32还使用在元数据树50中的该定位上的子树中的另一记录密钥产生记录密钥114或者从管理该子树的另一参与者系统30接收记录密钥114。
[0043]数据访问适配器32使用记录密钥114加密EHR 120以产生加密的EHR 80,如由箭头144指示的。数据访问适配器32通过数据访问前端22将加密的EHR 80提供给加密的数据储存装置24,如由箭头145指示的。加密的数据储存装置24通过数据访问前端22将状态提供给数据访问适配器32,如由箭头147指示的。如果该状态指示加密的EHR 80未被成功储存,则数据访问适配器32可以重试该储存。
[0044]一旦储存成功,则数据访问适配器32产生叶节点58并使用节点密钥112加密该叶节点58,如由箭头147指示的。数据访问适配器32产生叶节点58以包括对成功储存在加密的数据储存装置24中的加密的EHR 80的引用并且加密引用60作为加密叶节点58的一部分。数据访问适配器32更新元数据树50以包括叶节点58、具有节点密钥的节点密钥加密箱62和具有记录密钥的记录密钥加密箱64,如由箭头148指示的。数据访问适配器32使用来自叶节点58的父节点56的节点密钥锁定节点密钥加密箱62并且使用来自叶节点58的父节点56的记录密钥锁定记录密钥加密箱64。数据访问适配器32通过数据访问前端22将更新后的元数据树50提供给元数据储存装置26,如由箭头149指示的。元数据储存装置26通过数据访问前端22将状态提供给数据访问适配器32,如由箭头150指示的。如果该状态指示更新后的元数据树50未被成功储存,则数据访问适配器32可以重试该更新直到其成功为止。
[0045]数据访问适配器32针对储存在加密的数据储存装置24中的每个EHR重复图5中所示的过程。
[0046]一旦加密的EHR 80被储存在加密的数据储存装置24中,则产生或获得对应节点和记录密钥的参与者可以从加密的数据储存装置24访问加密的EHR 80,如图6中所示的。参考图4和6,数据访问适配器32通过数据访问前端22从元数据储存装置26访问患者的元数据树50,如由箭头151指示的。元数据储存装置26通过数据访问前端22将元数据树50提供给提供者系统30,如由箭头152指示的。数据访问适配器32确定对应于加密的EHR80的元数据树50中的叶节点58,如由箭头153指示的。
[0047]数据访问适配器32从对应于叶节点58的节点密钥加密箱62和记录密钥加密箱64访问节点密钥112和记录密钥114,如由箭头154指示的。如果数据访问适配器32管理包括叶节点58的子树,则数据访问适配器32使用子树节点密钥通过解锁每个相继节点密钥加密箱62来相继地从任何中间节点56和叶节点58访问节点密钥,直到访问叶节点58的节点密钥112为止。如果数据访问适配器32不管理包括叶节点58的子树,则数据访问适配器32从管理该子树的另一参与者系统30接收节点密钥112或来自该子树中的中间节点56的节点密钥。如果需要,则数据访问适配器32使用所接收的节点密钥通过解锁每个相继节点密钥加密箱62来相继地从任何中间节点56和叶节点58访问节点密钥,直到访问叶节点58的节点密钥112为止。
[0048]类似地,如果数据访问适配器32管理包括叶节点58的子树,则数据访问适配器32使用子树记录密钥通过解锁每个相继记录密钥加密箱64来相继地从任何中间节点56和叶节点58访问记录密钥,直到访问叶节点58的记录密钥114为止。如果数据访问适配器32不管理包括叶节点58的子树,则数据访问适配器32从管理该子树的另一参与者系统30接收记录密钥114或来自该子树中的中间节点56的记录密钥。如果需要,则数据访问适配器32使用所接收的记录密钥通过解锁每个相继记录密钥加密箱64来相继地从任何中间节点56和叶节点58访问记录密钥,直到访问叶节点58的记录密钥114为止。
[0049]在访问节点密钥112之后,数据访问适配器32利用节点密钥112解密叶节点58以获得对期望的加密的EHR 80的引用60,如由箭头155指示的。数据访问适配器32通过数据访问前端22从加密的数据储存装置24访问加密的EHR 80,如由箭头156指示的。加密的数据储存装置24通过数据访问前端22提供期望的加密的EHR 80,如由箭头157指示的。数据访问适配器32使用记录密钥114将加密的EHR 80解密成解密的EHR 120,如由箭头158指示的。数据访问适配器32将解密的EHR 120输出给参与者(例如通过显示解密的EHR 120),如由箭头159指示的。
[0050]数据访问适配器32针对从加密的数据储存装置24访问的每个加密的EHR重复图6中所示的过程。
[0051]由于上面实例中针对每个子树的节点和记录密钥得自患者的患者密钥,因此患者可以产生针对每个子树节点54的子树节点和记录密钥并且使用所述子树节点和记录密钥在每个子树的各级解锁节点和记录密钥加密箱62和64以获得对患者的所有EHR的访问。
[0052]包括患者的参与者可以撤销另一参与者对在使用图7的方法撤销之后储存的EHR的访问。参考图4和7,数据访问适配器32通过数据访问前端22从元数据储存装置26访问患者的元数据树50,如由箭头161指示的。元数据储存装置26通过数据访问前端22将元数据树50提供给提供者系统30,如由箭头162指示的。数据访问适配器32针对密钥撤销确定元数据树50中的节点56,如由箭头163指示的。数据访问适配器32通过将储存新的节点密钥的另一节点密钥加密箱62添加到节点56来撤销节点56的节点密钥,如由箭头164指示的。数据访问适配器32使用向前旋转节点密钥以便当撤销节点密钥时选择新的节点密钥的预定义的密钥旋转算法来产生新的节点密钥。
[0053]在图8中所示的实例密钥旋转中,数据访问适配器32确定针对密钥撤销的节点56(1)。数据访问适配器32通过将储存新的节点密钥的另一节点密钥加密箱62 (I)添加到节点56 (I)在时间处撤销在节点56 (I)的节点密钥加密箱62 (O)中储存的节点密钥。在撤销之后,被撤销的节点密钥保持解锁在撤销之前被储存的节点密钥加密箱62的能力。由此,在节点密钥加密箱62 (O)中的被撤销的节点密钥可以用于分别解锁在时间&之前被储存的叶节点58⑴和58⑵的节点密钥加密箱62 (O) (I)和62 (O) (2),如由箭头172指示的。
[0054]使用针对节点56的最近添加的节点密钥锁定添加在节点56下面的节点密钥加密箱62。对于如由箭头174指示的在针对节点56(1)的密钥撤销之后储存的节点58(3),使用储存在节点56(1)的节点密钥加密箱62(1)中的节点密钥一一即通过密钥撤销添加的节点密钥,来锁定节点密钥加密箱62 (I) (I)。在节点密钥加密箱62 (O)中的被撤销的节点密钥不可用于解锁在撤销之后储存的节点密钥加密箱62(1) (I)或其他节点密钥加密箱62。相应地,被撤销的节点密钥不提供对储存在节点密钥加密箱62 (I) (I)中的节点密钥的访问以允许解密节点58 (3)的引用60。
[0055]针对节点56的添加作为密钥撤销的一部分的节点密钥可用于解锁在密钥撤销之后添加在节点56下面的所有节点密钥加密箱62。由此,来自节点密钥加密箱62 (I)的节点密钥可用于解锁节点58(3)中的节点密钥加密箱62(1) (I)以访问允许解密节点58(3)的引用60的节点密钥。对于在密钥撤销之前添加在节点56下面的节点密钥加密箱62,新的节点密钥被向后旋转以获得被撤销的节点密钥。由此,来自节点密钥加密箱62(1)的节点密钥被向后旋转以获得被撤销的节点密钥,其也被储存在节点密钥加密箱62(0)中,其解锁针对节点58(1)和58⑵的节点密钥加密箱62(0)⑴和62(0)⑵。
[0056]来自在其中发生密钥撤销的被撤销的节点56上面的所有节点54和56的节点密钥保持可用于在被撤销的节点56处和下面解锁所有节点密钥加密箱62。由此,密钥撤销不影响对在被撤销的节点56上面的节点密钥的访问。
[0057]返回参考图7,被撤销的节点56具有在元数据树50中的被撤销的节点56下面的任何中间节点56,于是数据访问适配器32将密钥撤销传播到在元数据树50中的被撤销的节点56下面的任何中间节点56,如由箭头165指示的。为了这样做,数据访问适配器32将储存新的节点密钥的另一节点密钥加密箱62添加到在被撤销的节点56下面的每个中间节点56,如在图9的实例中所示的。<