br>[0058]在图9中,数据访问适配器32确定针对密钥撤销的节点56(2)。数据访问适配器32通过将储存新的节点密钥的另一节点密钥加密箱62 (3)添加到节点56(2)在时间t板撤销在节点56(2)的节点密钥加密箱62 (2)中储存的节点密钥。数据访问适配器32还通过将储存相应的新的节点密钥的节点密钥加密箱62 (3) (I)和62 (3) (2)分别添加到中间节点56(3)和56(4)来将密钥撤销传播到中间节点56(3)和56(4),如由箭头180指示的。
[0059]在节点密钥加密箱62 (2)中的被撤销的节点密钥保持分别解锁在时间之前被储存的节点56 (3)和56 (4)的节点密钥加密箱62 (2) (I)和62 (2) (2)的能力,如由箭头182和192指示的。类似地,节点密钥加密箱62 (2) (I)的节点密钥保持解锁节点58 (4)和58 (5)的节点密钥加密箱62 (2)⑴⑴和62⑵⑴⑵的能力。
[0060]使用储存在节点56(2)的节点密钥加密箱62(3)中的节点密钥来锁定如由箭头184指示的在针对节点56(2)的密钥撤销之后储存的节点56(5)的节点密钥加密箱62 (3)
(3)ο类似地,使用储存在节点56(3)的节点密钥加密箱62(3)(1)中的节点密钥来锁定如由箭头194指示的在针对节点56(2)的密钥撤销和到节点56(3)的传播之后储存的节点58(6)的节点密钥加密箱62 (3) (I) (I)。在节点密钥加密箱62 (2)中的被撤销的节点密钥不可用于解锁节点密钥加密箱62 (3) (I)或62 (3) (3)。
[0061]来自节点密钥加密箱62(3) (I)的传播的节点密钥可用于解锁节点58(6)中的节点密钥加密箱63(3) (I) (I)以访问允许解密节点58(6)的引用60的节点密钥。来自节点密钥加密箱62 (3) (I)的节点密钥被向后旋转以获得储存在节点密钥加密箱62 (2) (I)中的节点密钥,其解锁针对节点58(4)和58(5)的节点密钥加密箱62 (2)⑴⑴和62⑵⑴⑵。
[0062]利用图7的密钥撤销方法,作为节点密钥的任何密钥撤销的结果,在记录密钥加密箱64中的记录密钥保持不改变。节点密钥的撤销足以防止对在撤销之后储存的EHR的访问,因为新的节点密钥的使用防止了不具有新的节点密钥的参与者(例如仅具有被撤销的节点密钥的参与者)访问对在撤销之后储存的EHR的引用60。
[0063]管理元数据树50的子树的参与者系统30使用分别从对应的子树节点54的子树节点和子树记录密钥产生的节点和记录种子来执行上面的密钥旋转。针对节点51的节点密钥加密箱62的节点种子可以被计算为节点标识符91 (在图3中示出)和子树节点密钥的哈希。针对节点51的记录密钥加密箱64的记录种子可以被计算为节点标识符91 (在图3中示出)和子树记录密钥的哈希。
[0064]上面的实施例可以有利地允许医疗保健参与者使用具有分层加密箱的元数据树安全地管理和共享在公共加密的数据储存装置中的EHR。医疗保健参与者控制其他医疗保健参与者使用针对元数据树中的每个节点的记录密钥和节点访问和储存患者的所选的EHR的能力。通过将得自患者密钥的子树密钥提供给所选的医疗保健提供者,患者维持使用患者密钥访问患者的所有EHR的能力。包括患者的医疗保健参与者还保持在元数据树的任何级使用密钥撤销来选择性地撤销其他医疗保健参与者的访问的能力。
【主权项】
1.一种由第一处理系统执行的方法,所述方法包括: 使用第一记录密钥加密患者的电子健康记录以产生加密的记录; 利用第一节点密钥加密患者的元数据树的第一节点的至少一部分以产生第一加密的节点,所述部分包括对在加密的数据储存装置中的加密的记录的引用;以及 更新患者的元数据树以包括第一加密的节点和具有第一节点密钥的第一节点密钥加密箱。
2.根据权利要求1所述的方法,其中第一加密的节点在元数据树中的第二加密的节点下面,并且其中利用来自对应于第二加密的节点的第二节点密钥加密箱的第二节点密钥可解锁第一节点密钥加密箱。
3.根据权利要求1所述的方法,还包括: 更新患者的元数据树以包括具有第一记录密钥的第一记录密钥加密箱。
4.根据权利要求3所述的方法,其中第一加密的节点在元数据树中的第二加密的节点下面,并且其中利用在对应于第二加密的节点的第二记录密钥加密箱中储存的第二记录密钥可解锁第一记录密钥加密箱。
5.根据权利要求1所述的方法,还包括: 将第一加密的记录提供给加密的数据储存装置;以及 将加密的节点、第一节点密钥加密箱和第一记录密钥加密箱提供给储存元数据树的元数据储存装置。
6.根据权利要求1所述的方法,其中在元数据树中的子树包括第一加密的节点和利用由患者的患者密钥产生的子树节点密钥加密的加密的子树节点。
7.根据权利要求1所述的方法,还包括: 由子树节点密钥和子树记录密钥分别产生第一节点密钥和第一记录密钥。
8.根据权利要求1所述的方法,还包括: 从管理包括第一加密的节点的元数据树中的子树的第二处理系统接收第一节点密钥和第一记录密钥。
9.一种处理系统,包括: 一组一个或多个处理器;和 储存一组指令的存储器,该组指令当由该组处理器执行时使得该组处理器: 通过利用对应于元数据树的第二加密的节点的第二节点密钥解锁第一节点密钥加密箱来从第一节点密钥加密箱访问对应于患者的元数据树的第一加密的节点的第一节点密钥;以及 利用第一节点密钥解密第一加密的节点以获得对在加密的数据储存装置中的加密的电子健康记录的引用。
10.根据权利要求9所述的处理系统,其中该组指令当由该组处理器执行时使得该组处理器: 在访问第一节点密钥之前,通过利用对应于元数据树的第三加密的节点的第三节点密钥解锁第二节点密钥加密箱来从对应于第二加密的节点的第二节点密钥加密箱访问第二节点密钥。
11.根据权利要求9所述的处理系统,其中该组指令当由该组处理器执行时使得该组处理器: 通过利用对应于第二加密的节点的第二记录密钥解锁第一记录密钥加密箱来从第一记录密钥加密箱访问对应于第一加密的节点的第一记录密钥; 从加密的数据储存装置访问加密的电子健康记录;以及 使用第一记录密钥解密加密的电子健康记录。
12.根据权利要求11所述的处理系统,其中该组指令当由该组处理器执行时使得该组处理器: 在访问第一记录密钥之前,通过利用对应于元数据树的第三加密的节点的第三记录密钥解锁第二记录密钥加密箱来从对应于第二加密的节点的第二记录密钥加密箱访问第二记录密钥。
13.根据权利要求9所述的处理系统,其中在元数据树中的子树包括第一加密的节点和利用由患者的患者密钥产生的子树节点密钥加密的加密的子树节点。
14.一种物品,包括储存指令的至少一个机器可读的储存介质,所述指令当由处理系统执行时使得该处理系统: 针对密钥撤销确定患者的元数据树中的第一节点,第一节点对应于储存第一节点密钥的第一节点密钥加密箱;以及 通过将储存第二节点密钥的第二节点密钥加密箱添加到第一节点来撤销第一节点密钥。
15.根据权利要求13所述的物品,其中第一节点密钥可用于访问在撤销第一节点密钥之前储存的第一加密的节点下面的第一组节点,但是不可用于访问在撤销第一节点密钥之后储存的第一节点下面的第二组加密的节点,以及其中第二节点密钥可用于访问第二组节点。
16.根据权利要求15所述的物品,其中所述指令当由该处理系统执行时使得该处理系统: 针对储存第三节点密钥的第一组节点中的第一个节点添加第三节点密钥加密箱;以及 使用第二节点密钥锁定第三节点密钥加密箱。
【专利摘要】一种由处理系统执行的方法包括:使用记录密钥加密患者的电子健康记录,利用节点密钥加密患者的元数据树的节点的一部分,所述部分包括对在加密的数据储存装置中的加密的记录的引用,以及更新患者的元数据树以包括加密的节点和具有节点密钥的节点密钥加密箱。
【IPC分类】G06F21-60, G06Q50-24
【公开号】CN104704529
【申请号】CN201280076410
【发明人】李峻, R.斯瓦米纳桑, S.辛哈尔
【申请人】惠普发展公司,有限责任合伙企业
【公开日】2015年6月10日
【申请日】2012年9月19日
【公告号】CA2881985A1, EP2885761A1, US20150213570, WO2014028040A1