专利名称:一种可分层授权的私密型居民健康档案卡及读卡装置的制作方法
技术领域:
本发明涉及医疗信息技术领域,尤其涉及ー种可分层授权的私密型居民健康档案卡及读卡装置。
背景技术:
新医改方案的出台以来,建立统一居民健康档案,大力推广就医“ー卡通”等办法, 以全面实现医疗的信息化、数字化越来备受关注。方案提出将重点建设以居民电子健康档案为核心的区域卫生信息平台和以电子病历为基础的医院信息平台。逐步将传染病报告、 卫生应急、卫生监督、医疗服务、新农合、妇幼卫生、社区卫生、采供血等方面的信息系统进行对接,连点成面,促进医药卫生信息系统整体建设,防止和減少“信息孤岛”的问题。广义的和完善的健康档案包含电子病历,其电子化、数字化在我国尚未得到很好的发展,制约电子健康档案发展有多方面因素。其主要的原因是ー是政出多门、标准不一、不易共享和交換;ニ是机制方面,目前健康档案信息主要以集中式数据储存方式存放在某一数据采集机构所或约定区域的数据中心,与这机构未建立协作的其他机构无法直接调阅与使用, 致使健康档案在跨机构或跨区域应用时受到约束。要保证医疗机构之间的卫生数据中心之间实时直接互联互通仍存不少困难,需要有第三方的信息技术协调才能得以实现信息的交换;另外,目前居民通常不能自主持有、掌控安全或管理自身健康档案,也大大制约了健康档案普及;三是共享业务下的隐私安全保护观念和实现技术困难。对个人而言,更多会考虑隐私保护而不是随意的共享,现有的的敏感信息加密方式设置非常简单,为了方便记忆,一般采用对称加密,容易被破解。加密通常是整份资料的一次加密,而健康或医疗文档的敏感程度视信息内容会有不同的层别,并且敏感性和隐私性的信息会无规律地散在于多处,整文加密或一次加密在技术上难以满足分段性和不同层别性加密与解密的需求。因此,诊疗卡要在得到更好的推广应用,首先需要基于现行标准下,选择运用认证机制或权限授接机制及其控制装置或设备来提高诊疗卡的数据在读写与传输过程中的安全性。通专检索国内专利,尚未发现集成支付与存储病案功能为一体的健康医疗卫生服务专用卡,还未实现将电子健康信息系统与就医卡较好地整合,充分记录病历信息,避免重检、漏检,降低就诊费用,减少医疗错误,节省诊疗时间,具有较高的系统可扩展性、可靠性、安全性,以更好地为患者提供高质量医疗服务这一方面仍未能满足需求。
发明内容
本发明的ー种可分层授权的私密型居民健康档案卡及读卡装置,是为了持卡方或与卡相关的各服务方能通过卡匣的管理方法和不同組合形成的多种授权而进行加解密处理机制,分別以强密、弱密、公开等不同层别的健康信息筛,进行选择性地读取或转阅,由读卡匣以有线或无线方式与电脑通信,极大方便用户对自身健康信息的安全掌控,确保病人的私隐不受侵犯,而且满足不同机构对病历信息的需求。1、ー种可分层授权的私密型居民健康档案卡及读卡装置,其特征在干,包括ー张集 SIM 卡(SubscribSEnt^Module客户识别模块)、FMC 卡(Flash Μβιιψ Card 快闪存储卡)于一体的健康医疗卫生服务专用卡,ー个与卡配套的可控制不同层次信息共享的私密读卡匣和一个用于配置解密控制筛板功能的管理服务器。所述健康医疗卫生服务专用卡,其结构包括存贮单元(FMC卡)、身份识别単元 (SIM卡)、CPU逻辑控制単元、密码逻辑单元、磁条接触区、编码单元、数据输出触区。其中磁条接触区与编码单元相连、存贮単元(FMC卡)、身份识别単元(SIM卡)与编码单元相连、 CPU逻辑控制単元通过接ロ电路与诊疗卡其它单元相连并通信。其卡基上的FMC卡与FMC 卡之间无物理连接相通。身份识别単元(SIM卡)为ー个用户身份识别芯片,可以是但不限于是银行信用卡或借贷卡;居民可以通过网络银行等多种电子支付及线下操作的方式存储金额后,在医院及相关机构现场刷卡支付诊疗费、购药费或享受其他保健服务;存贮单元(FMC卡)为一个超大容量的存储芯片,是一个可擦可写的存储空间,分个人基本信息存贮区和电子档康档案存贮区,采用符合ISO和中国GB、GB/T、中国医疗卫生行业标准存储贯穿居民一生的健康医疗卫生信息,是ー微型的完整个人健康信息档案库;CPU逻辑控制単元用于驱动及控制各电路正常运行;密码逻辑单元通过校验密码方式来保护卡内的数据对于外部访问是否开放,置有可权限设置的安全算法,可防范软性恶意性的攻击,并保证通讯过程中所有数据被加密传输;磁条接触区供读取卡内信息;编码单元按照行业标准和规划进行身份识别校验,并通过编码区划所存储档案信息密钥层别;数据输出触区为电子档康档案数据读写输出接ロ,以便于数据与电脑终端进行数据交換。该接ロ可以为但不限于高速USB接ロ。2、根据权カ要求1所述的健康医疗卫生服务专用卡,其卡基中可加有ー个连接电路单元,用于连接SIM卡和FMC卡,这个单元的连接状态不限于是断开或连通,连通状态时可以使两卡有物理连接;3、根据权利要求1所述的配套私密读卡匣,其结构包括与健康医疗卫生服务专用卡连接的健康档案IC卡交換接ロ、用于获取信息的读写电路单元、用于配置及管理传输命令的微处理器単元、用于1-n层次xml信息加解密的加解密控制筛板单元、可供加密健康档案数据传输的加密信道単元、可供非加密健康档案数据传输的非加密信道単元、密码管理单元、筛板管理接ロ、可供FMC存储卡嵌入其内的FMC卡插槽、1-n层次加解密命令按键、 用于提示工作状态的指示灯、用于供计算机、医药工作站通讯的数据交換接ロ ;4、根据权利要求3所述的私密读卡匣,进ー步包括健康档案IC卡交換接ロ其输入端、FMC卡插槽其输入输、数据交換接ロ其输出端与读写电路单元的对应端ロ相连;筛板管理接ロ与加解密控制筛板单元相连、加解密控制筛板单元相连与密码管理単元;加密信道単元和非加密信道単元与健康档案IC卡交換接ロ、密码管理単元、数据交換接ロ相连; 读写电路单元、密码管理単元、1-n层次加解密命令按键、指示灯与微处理器単元相连;5、根据权利要求3至4所述的密码管理単元,进ー步包括置有摘要对鉴算法及非对称加密私钥。结合加解密控制筛板单元可供居民根据个电子健康档案隐私信息情况予以不同层次的权限读写控制功能,通过电子签名技术保障电子健康档案信息交互的过程中病人的私隐和档案篡改等安全性及可抵赖性,从而实现医疗信息传输共享与有效的私隐保护;6、根据权利要求3-5所述的加解密控制筛板单元,进ー步包括1-n层次加解密控制筛板模块,支持读取健康档案诊疗卡内经过1-n层次加过密的xml节点的信息,用户选择 1-n层次权限的按键指令,进行m (m < η)层次解密处理,加密层次数不超过m次的xml元素节点信息变为明文,加密次数大于m次的xml元素节点信息,仍为密文,这样,明文就可以仅供用于用户限定的信息接收者;通过对称加密或非対称加密实现不同层别的健康档案信息权限管理功能;7、根据权利要求1所述的服务器,进ー步包括置有数字证书安全中心,居民将持有私钥相对应的非対称加密公钥证书公布在服务器上,供用户对健康档案信息进行层次加密;8、根据权利要求1至7所述的居民健康档案的建立、交互及存储,采用可扩展性的XM L进行编制,对称算法或非対称加密算法技术对整个XM L文档或XM L节点签名或加
山9、根据权利要求6至8所述的敏感信息对称加密,其方法为将居民电子健康档案信息中需保护的敏感信息指定为敏感信息段(な),执行保护时,利用私密读卡匣的1-n层次加解密命令按键对な作虚拟命名为隐私保护带0 ),利用某密码(K),可再经对称加密算法(如DES)对な的明文(P)进行加密后,使な信息变为密文(S),与此同时在居民电子健康档案信息的原来位置不变,并变从角色な变换称为Pb,使原k的P数据变为1 的S密文合并后的数据,使原来的k的P存储形式变为了 1 的S。当需阅时再用同一密码 K将1 的S解密还原出明文P,供阅于自己或共享至拟供阅方。此方法生成的密文可以供阅于任何一个获得S并知道K和加密所用对称算法方,此方法在无唯一供阅的定向性限制,适合于居民和医疗卫生服务等机构双方或多方性共享,并且在交換含有密文S的信息同吋, 必须交換加密时所用过的密码K,才能解密出加密前的明文P,可以将这些加密过的信息按执行标准指定的位置写入到居民电子健康档案。10、根据权利要求6至8所述的敏感信息非対称加密,其方法为将居民电子健康档案信息中需保护的敏感信息指定为敏感信息段( ),执行保护时,利用私密读卡匣的 1-n层次加解密命令按键对k作虚拟命名为隐私保护带0 ),利用从电子签名认证中心 (CA)同步或预先获得或在卡匣内预设好的居民本人公钥(Kb),可采用非対称算法(如RSA 算法)结合对称加密算法(如DEQ对k的明文(P)进行加密操作先用Kb将对称加密算法所需的初始数据值(Di)进行非対称算法加密后所产生的密文(Si)然后用对称加密算法对P作加密运算后产生密文(S2),与此同时在居民电子健康档案信息的原来位置不变, 并从角色な变换称为1 ,使原k的P数据变为1 的SMS2密文合并后的数据,使原来的 Ss的P存储形式变为了 1 的S1&S2。当需阅时,先从1 的S1&S2分离出Sl和S2,再用居民本人用其私钥(Kv)对Sl经非对称算法解密还原出Di,再用Di及生成S2的对称加密算法对S2进行相同的算法后,还原出原来的明文P,供阅于自己或共享至拟供阅方。此方法可以供阅于任何一个获得S1&S2并知道Kv和加密所用非対称算法方,通常情况下,只有掌握Kv的居民本人才能将隐私保护带1 的密文SMS2解密还原出敏感信息段k中明文,此时的明文才可能供自阅或可供阅于他方,从而限制非指定阅方的滥权或越权地阅读,此方法有很强的唯一供阅的定向性,适用于(1)居民可将有隐私权的信息加以保密并按执行标准指定的位置写入到健康档案中,在需要的时候供自己打开阅读,继而也可供阅于其他服务机构。( 医疗卫生服务等机构定向性地向居民提供定向保密性发布或协定为定向保密性共享的信息,并且信息收发双方无须交換加密时所用过的密码Kb,因为Kb已经发布于外界,可以将这些加密过的信息按执行标准指定的位置写入到居民电子健康档案,(3)居民可以选择来自于特定他方或服务机构按执行标准指定的位置写入、并且属于唯一供阅于自身的定向共享保密性信息,经其本人亲自解密后,首先供阅于自己,继而也可供阅于其他服务机构。11、根据权利要求6至8所述的敏感信息非対称加密,另一方法为将居民电子健康档案信息中需保护的敏感信息指定为敏感信息段( ),执行保护时,对な作虚拟命名 (如通过装置的设置功能控制操作)为隐私保护带0 ),利用从电子签名认证中心(CA)同步或预先获得或在卡匣内预设好的服务机构公钥(Kb),可采用非対称算法(如RSA算法) 结合对称加密算法(如DES)对k的明文(P)进行加密操作先用Kb将对称加密算法所需的初始数据值(Di)进行非対称算法加密后所产生的密文(Si)然后用对称加密算法对P作加密运算后产生密文(S2),与此同吋,k在居民电子健康档案信息的原来位置不变,并从角色な变换称为此,使原な的P数据变为1 的SMS2密文合并后的数据,使原来的k的 P存储形式变为了 1 的S1&S2。当需阅时,先从1 的S1&S2分离出Sl和S2,再用居民本人用其私钥(Kv)对Sl经非对称算法解密还原出Di,再用Di及生成S2的对称加密算法对S2 进行相同的算法后,还原出原来的明文P,供阅于指定的服务机构方。此方法可以供阅于任何一个获得S1&S2并知道Kv和加密所用非対称算法方,通常情况下,只有掌握Kv的服务机构方能将隐私保护带1 的密文SMS2解密还原出敏感信息段k中明文,此时的明文才可能供阅于服务机构方,从而限制非指定阅方的滥权或越权地阅读,此方法有很强的唯一供阅的定向性,适用于(1)医疗卫生服务等机构可将有属于己权的信息加以保密并之按执行标准指定的位置写入到健康档案中,在需要的时候供己方打开阅读,继而也可供阅于其他服务机构,( 居民定向性地向医疗卫生服务等机构提供定向保密性发布或协定为定向保密性共享的信息,并且信息收发双方无须交換加密时所用过的密码Kb,因为Kb已经发布于外界,可以将这些加密过的信息按执行标准指定的位置写入到居民电子健康档案,也可以将这些加密过的信息传输至特定机构,(3)医疗卫生服务等机构可通过检索,选择来自于他方按执行标准指定的位置写入、并且属于唯一供阅的定向共享保密性信息,经医疗卫生服务等机构所持的私钥解密后,首先供阅于机构自身。12、根据权カ要求8至11所述的对称与非対称加密方法。综合采用上述第几种方法,并根据敏感信息分层管理的需求,配以相应操作设置及其处理将选定近核第一层的同一层所列需求的多个敏感信息分别按上述适当方法按段逐一处理后,所得密文作为第一层所需的管理結果,然后,将近核第二层的同层所列需求的多个敏感信息也分别按近核第 ー层方法处理,如此类推,可以形成多层的加密。13、根据权利要求1至12所述的电子签名和加密算法,采用但不限于自主知识产权“ー种便携式无线电子密钥装置”或共认DES、RSA、GPG、IDES、数字认证中心(CA)等信息加密或数字签名技术和认证机制;14、根据权利要求3至4所述的指示灯,采用LED发光管,与微处理単元相连能驱动发出是否处于工作或故障指示状态,显示绿灯为正常,显示红灯为有故障;15、根据权利要求1至10所述健康医疗卫生服务专用卡与私密读卡匣,以下私密读卡匣与电脑之间通讯的数据传输接ロ,其物理层可以但不限于是无线或RFID技木,实现相互之间的数据传输;本发明的有益效果一种可分层授权的私密型居民健康档案卡及读卡装置集成身份识别、费用支付、电子健康档案存储等多种功能于一体,诊疗卡适用于国家标准的读写卡设备,持卡方或与卡相关的各服务方能通过卡匣的管理方法和不同組合形成的多种授权而进行加解密处理机制,分別以强密、弱密、公开等不同层别的健康信息筛,进行选择性地读取或转阅,由读卡匣以有线或无线方式与电脑通信,极大方便用户对自身健康信息的安全掌控,确保病人的私隐不受侵犯,并可在不同医疗机构就诊、检查、信息交互共享、结算等, 而且满足不同机构对病历信息的需求;另外,健康医疗卫生服务专用卡电子健康档案与信息交互,遵循了国家卫生部最新行业标准,拥有广适性与通用性,不仅解决各层医疗机构之间“信息孤岛”问题,同时还能逐步向大型信息共享平台的过度,形成跨越于各医疗健康服务机构之间的健康信息共享平台。
(1)如图1为本发明的健康医疗卫生服务专用卡基效果图;(2)如图2为本发明的接触式健康医疗卫生服务专用卡结构功能图;(3)如图3为本发明的私密读卡匣结构功能具体实施例方式參见图1、图2,以下结合附图对本发明进行详细的描述。本实施例的ー种可分层授权的私密型居民健康档案卡及读卡装置,其特征在干, 包括 SIM 卡(SubscriiiMoit洲odule客户识另Ij模块)、FMC 卡(FlafeMemory Card 快闪存储卡)于一体的健康医疗卫生服务专用卡(1),一个与卡配套的可控制不同层次信息共享的私密读卡匣O),一个用于配置解密控制筛板功能的管理服务器(3)。上述健康医疗卫生服务专用卡(1),其结构包括存贮单元(13)、身份识别単元(14)、CPU逻辑控制単元 (15)、密码逻辑单元(16)、磁条接触区(17)、编码单元(18)、数据输出触区(19)。其中磁条接触区(17)与编码单元相连(18)、存贮单元(13)、身份识别単元(14)与编码单元(18)相连、CPU逻辑控制単元(1 通过接ロ电路与诊疗卡其它单元相连并通信。其卡基上的FMC 卡(11)与sim卡(12)之间无物理连接相通。实施例中,首先磁条接触区(17)与私密读卡匣( 直接接触,产生电流,驱动健康医疗卫生服务专用卡CPU逻辑控制単元(1 初始化工作,同吋,条码编码单元(18)送至身份识别単元(14)按照规则及标准进行身份识别校验,并通过编码区划所存贮信息密钥层别性。存贮单元(1 为ー个超大容量的存储芯片,是可擦可编程存储区间,分为个人基本信息存贮区和电子健康档案存贮区,采用符合ISO和中国GB、GB/T、中国医疗卫生行业标准存储贯穿居民一生的健康医疗卫生信息,是ー微型的完整个人健康信息档案库。通过CPU逻辑控制単元(1 进行数据读写操作。包括个人信息更改以及健康档案信息记录,可频繁地重编程。密码逻辑单元(16)是通过校验密码方式来保护卡内的数据对于外部访问是否开放,置有可权限设置的安全算法,可防范软性恶意性的攻击。并保证通讯过程中所有数据被加密传输。CPU逻辑控制単元(1 通过接ロ电路与IC卡其它単元相连并进行通信。IC 卡接ロ电路根据实际应用系统的不同,可选择全双エ通信、半双エ串行通信和I2C通信等不同的IC卡读写方案。数据输出触区(19)为电子健康档案数据读写输出接ロ,以便于数据与电脑等终端进行数据交換。该接ロ可以为但不限于高速USB接ロ。身份识别単元(14)为ー个用户身份识别芯片,可以是但不限于是银行信用卡或借贷卡;居民可以通过网络银行等多种电子支付及线下操作的方式存储金额后,在医院及相关机构现场刷卡支付诊疗费、购药费或享受其他保健服务;诊疗卡基可加有一个连接电路单元,用于连接SIM卡和FMC卡,这个单元的连接状态不限于是断开或连通,连通状态时可以使两卡有物理连接(參见图1);实施例中,居民健康档案的建立、交互及存储,采用可扩展性的XM L进行编制,对称算法或非対称加密算法技术对整个XM L文档或XM L节点签名或加密;实施例中,敏感信息对称加密,其方法为将居民电子健康档案信息中需保护的敏感信息指定为敏感信息段( )、执行保护时,利用私密读卡匣的1-n层次加解密命令按键对k作虚拟命名为隐私保护带0 ),利用某密码(K),可再经对称加密算法(如DES)对 Ss的明文(P)进行加密后,使な信息变为密文(S),与此同吋,k在居民电子健康档案信息的原来位置不变,并变从角色k变换称为1 ,使原k的P数据变为1 的S密文合并后的数据,使原来的な的P存储形式变为了 1 的S。当需阅时再用同一密码K将1 的S解密还原出明文P,供阅于自己或共享至拟供阅方。此方法生成的密文可以供阅于任何ー个获得S并知道K和加密所用对称算法方,此方法在无唯一供阅的定向性限制,适合于居民和医疗卫生服务等机构双方或多方性共享,并且在交換含有密文S的信息同吋,必须交換加密时所用过的密码K,才能解密出加密前的明文P,可以将这些加密过的信息按执行标准指定的位置写入到居民电子健康档案。实施例中,敏感信息非対称加密,其方法为将居民电子健康档案信息中需保护的敏感信息指定为敏感信息段( )、执行保护时,利用私密读卡匣的1-n层次加解密命令按键对な作虚拟命名为隐私保护带0 ),利用从电子签名认证中心(CA)同步或预先获得或在卡匣内预设好的居民本人公钥(Kb),可采用非対称算法(如RSA算法)结合对称加密算法(如DES)对k的明文(P)进行加密操作先用Kb将对称加密算法所需的初始数据值 (Di)进行非対称算法加密后所产生的密文(Si)然后用对称加密算法对P作加密运算后产生密文(S2),与此同吋,Ss在居民电子健康档案信息的原来位置不变,并从角色k变换称为1 ,使原k的P数据变为沖的S1&S2密文合并后的数据,使原来的k的P存储形式变为了 1 的S1&S2。当需阅时,先从1 的S1&S2分离出Sl和S2,再用居民本人用其私钥(Kv) 对Sl经非对称算法解密还原出Di,再用Di及生成S2的对称加密算法对S2进行相同的算法后,还原出原来的明文P,供阅于自己或共享至拟供阅方。此方法可以供阅于任何ー个获得S1&S2并知道Kv和加密所用非対称算法方,通常情况下,只有掌握Kv的居民本人才能将隐私保护带1 的密文SMS2解密还原出敏感信息段k中明文,此时的明文才可能供自阅或可供阅于他方,从而限制非指定阅方的滥权或越权地阅读,此方法有很强的唯一供阅的定向性,适用于(1)居民可将有隐私权的信息加以保密并按执行标准指定的位置写入到健康档案中,在需要的时候供自己打开阅读,继而也可供阅于其他服务机构。(2)医疗卫生服务等机构定向性地向居民提供定向保密性发布或协定为定向保密性共享的信息,并且信息收发双方无须交換加密时所用过的密码Kb,因为Kb已经发布于外界,可以将这些加密过的信息按执行标准指定的位置写入到居民电子健康档案,(3)居民可以选择来自于特定他方或服务机构按执行标准指定的位置写入、并且属于唯一供阅于自身的定向共享保密性信息,经其本人亲自解密后,首先供阅于自己,继而也可供阅于其他服务机构。实施例中,敏感信息非対称加密,另一方法为将居民电子健康档案信息中需保护的敏感信息指定为敏感信息段( ),执行保护时,对な作虚拟命名(如通过装置的设置功能控制操作)为隐私保护带0 ),利用从电子签名认证中心(CA)同步或预先获得或在卡匣内预设好的服务机构公钥(Kb),可采用非対称算法(如RSA算法)结合对称加密算法(如 DES)对k的明文(P)进行加密操作先用Kb将对称加密算法所需的初始数据值(Di)进行非対称算法加密后所产生的密文(Si),然后用对称加密算法对P作加密运算后产生密文 (S2),与此同吋,k在居民电子健康档案信息的原来位置不变,并从角色k变换称为1 ,使原な的P数据变为1 的SMS2密文合并后的数据,使原来的k的P存储形式变为了 1 的S1&S2。当需阅时,先从1 的S1&S2分离出Sl和S2,再用居民本人用其私钥(Kv)对Sl 经非对称算法解密还原出Di,再用Di及生成S2的对称加密算法对S2进行相同的算法后, 还原出原来的明文P,供阅于指定的服务机构方。此方法可以供阅于任何一个获得W&S2 并知道Kv和加密所用非対称算法方,通常情况下,只有掌握Kv的服务机构方能将隐私保护带1 的密文SMS2解密还原出敏感信息段k中明文,此时的明文才可能供阅于服务机构方,从而限制非指定阅方的滥权或越权地阅读,此方法有很强的唯一供阅的定向性,适用于(1)医疗卫生服务等机构可将有属于己权的信息加以保密并之按执行标准指定的位置写入到健康档案中,在需要的时候供己方打开阅读,继而也可供阅于其他服务机构,(2)居民定向性地向医疗卫生服务等机构提供定向保密性发布或协定为定向保密性共享的信息, 并且信息收发双方无须交換加密时所用过的密码Kb,因为Kb已经发布于外界,可以将这些加密过的信息按执行标准指定的位置写入到居民电子健康档案,也可以将这些加密过的信息传输至特定机构,(3)医疗卫生服务等机构可通过检索,选择来自于他方按执行标准指定的位置写入、并且属于唯一供阅的定向共享保密性信息,经医疗卫生服务等机构所持的私钥解密后,首先供阅于机构自身。综合采用上述第几种方法,并根据敏感信息分层管理的需求,配以相应操作设置及其处理将选定近核第一层的同一层所列需求的多个敏感信息分别按上述适当方法按段逐一处理后,所得密文作为第一层所需的管理結果,然后,将近核第二层的同层所列需求的多个敏感信息也分别按近核第一层方法处理,如此类推,可以形成多层的加密。參见图3,本实施例中,配套私密读卡匣(2)其结构包括与健康医疗卫生服务专用卡连接的健康档案IC卡交換接ロ(21)、用于获取信息的读写电路单元(22)、用于配置及管理传输命令的微处理器単元、用于1-n层次xml信息加解密的加解密控制筛板单元 (M)、可供加密健康档案数据传输的加密信道単元(25)、可供非加密健康档案数据传输的非加密信道単元06)、密码管理単元07)、筛板管理接ロ 08)、可供FMC卡存储卡嵌入其内的FMC卡插槽09)、1-n层次加解密命令按键(30)、用于提示工作状态的指示灯(31)、用于供计算机、医药工作站通讯的数据交換接ロ(32);健康档案IC卡交換接ロ 01)其输入端、FMC卡插槽じ9)其输入输、数据交換接 ロ(3 其输出端与读写电路单元0 的对应端ロ相连;筛板管理接ロ 08)与加解密控制筛板单元04)相连、加解密控制筛板单元04)与密码管理単元07)相连;加密信道単元 (25)和非加密信道単元06)与健康档案IC卡交換接ロ(21)、密码管理単元(27)、数据交换接ロ(3 相连;读写电路单元0 、密码管理単元07)、l-n层次加解密命令按键(30)、 指示灯(31)与微处理器単元相连;密码管理単元,进ー步包括置有摘要对鉴算法及非対称加密私钥。结合加解密控制筛板单元04)可供居民根据个电子健康档案隐私信息情况予以不同层次的权限读写控制功能,通过电子签名技术保障电子健康档案信息交互的过程中病人的私隐和档案篡改等安全性及可抵赖性,从而实现医疗信息传输共享与有效的私隐保护;加解密控制筛板单元04),进ー步包括1-n层次加解密控制筛板模块,支持读取健康档案诊疗卡内经过1-n层次加过密的xml信息,根据用户选择1-n层次权限的按键指令,进行m(m<n)层次解密处理,加密层次数不超过m次的xm 1元素节点信息变为明文, 加密次数大于m次的xml元素节点信息,仍为密文,这样,明文就可以仅供用于用户限定的信息接收者;通过对称加密或非対称加密实现不同层别的健康档案信息权限管理功能;指示灯(31)采用LED发光管,与微处理単元相连能驱动发出是否处于工作或故障指示状态,显示绿灯为正常,显示红灯为有故障;实施例中,服务器(3),进ー步包括置有数字证书安全中心(33),居民将持有私钥相对应的非対称加密公钥证书公布在服务器上,供用户对健康档案信息进行层次加密;结合图1、图2、图3首先,健康医疗卫生服务专用卡(1)存储的数据库连接健康档案IC卡交換接ロ単元(21),产生电流,驱动微处理器単元初始化工作,然后连接读写电路单元0 进行数据读取,根据不同用户对健康档案的保密性强弱要求,由筛板管理接 ロ连接服务器,进行配置管理加解密控制筛板单元04)的档案数据对称或非対称加密传输,通过1-n层次加解密命令按键(30)实现授权相应层次的信息解密。由密码管理单元将公开健康档案传输到非加密信道単元(26),将加密的健康档案传输到加密信道単元(25), 再通过数据交換接ロ(3 传输到计算机(34)或医药工作站(3 选择性读取健康档案信肩、ο同吋,医药工作站存储档案数据时,通过数据交換接ロ,由加密与非加密信道进行数据的电子签名存储。非加密信道存储公开健康档案,而加密信道根据档案的健康保密性层次区别进行公钥加密存储。加密信道与控制筛板単元的加密实现由密码管理单元统一管理。实施例中,涉及的电子签名和加密算法,采用但不限于自主知识产权“ー种便携式无线电子密钥装置”或共认DES、RSA、GPG、IDES、数字认证中心(CA)等信息加密或数字签名技术和认证机制;实施例中,健康医疗卫生服务专用卡⑴与私密读卡匣(2),以及私密读卡匣⑵ 与电脑之间通讯的数据传输接ロ,其物理层可以但不限于是无线或RFID技木,实现相互之间的数据传输;ー种可分层授权的私密型居民健康档案卡及读卡装置集成身份识别、费用支付、电子健康档案存储等多种功能于一体,诊疗卡适用于国家标准的读写卡设备,持卡方或与卡相关的各服务方能通过卡匣的管理方法和不同組合形成的多种授权而进行加解密处理机制,分別以强密、弱密、公开等不同层别的健康信息筛,进行选择性地读取或转阅,由读卡匣以有线或无线方式与电脑通信,极大方便用户对自身健康信息的安全掌控,确保病人的私隐不受侵犯,并可在不同医疗机构就诊、检查、信息交互共享、结算等,而且满足不同机构对病历信息的需求。 以上内容仅为本发明的较佳实施例,对于本领域的普通技术人员,根据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,本说明书内容不应理解为对本发明的限制。
权利要求
1.ー种可分层授权的私密型居民健康档案卡及读卡装置,其特征在干,包括ー张集 SIM 卡(SubscribaEntiModule客户识别模块)、FMC 卡(Flash Μβπψ Card 快闪存储卡)于一体健康医疗卫生服务专用卡,ー个与卡配套的可控制不同层次信息共享的私密读卡匣和一个用于配置加解密控制筛板功能的服务器.所述健康医疗卫生服务专用卡,其结构包括存贮单元(FMC卡)、身份识别単元(SIM 卡)、CPU逻辑控制単元、密码逻辑单元、磁条接触区、编码单元、数据输出触区。其中磁条接触区与编码单元相连、存贮単元(FMC卡)、身份识别単元(SIM卡)与编码单元相连、CPU逻辑控制単元通过接ロ电路与诊疗卡其它单元相连并通信。其卡基上的FMC卡与FMC卡之间无物理连接相通。身份识别単元(SIM卡)为ー个用户身份识别芯片,可以是但不限于是银行信用卡或借贷卡;居民可以通过网络银行等多种电子支付及线下操作的方式存储金额后,在医院及相关机构现场刷卡支付诊疗费、购药费或享受其他保健服务;存贮单元(FMC卡)为一个超大容量的存储芯片,是一个可擦可写的存储空间,分个人基本信息存贮区和电子档康档案存贮区,采用符合ISO和中国GB、GB/T、中国医疗卫生行业标准存储贯穿居民一生的健康医疗卫生信息,是ー微型的完整个人健康信息档案库;CPU逻辑控制単元用于驱动及控制各电路正常运行;密码逻辑单元通过校验密码方式来保护卡内的数据对于外部访问是否开放,置有可权限设置的安全算法,可防范软性恶意性的攻击,并保证通讯过程中所有数据被加密传 ;磁条接触区供读取卡内信息;编码单元按照行业标准和规划进行身份识别校验,并通过编码区划所存储档案信息密钥层别;数据输出触区为电子档康档案数据读写输出接ロ,以便于数据与电脑终端进行数据交換。该接ロ可以为但不限于高速USB接ロ。
2.根据权カ要求1所述的健康医疗卫生服务专用卡,其卡基中可加有一个连接电路单元,用于连接SIM卡和FMC卡,这个单元的连接状态不限于是断开或连通,连通状态时可以使两卡有物理连接。
3.根据权利要求1所述的配套私密读卡匣,其结构包括与健康医疗卫生服务专用卡连接的健康档案IC卡交換接ロ、用于获取信息的读写电路单元、用于配置及管理传输命令的微处理器単元、用于1-η层次xml信息加解密的加解密控制筛板单元、可供加密健康档案数据传输的加密信道単元、可供非加密健康档案数据传输的非加密信道単元、密码管理単元、筛板管理接ロ、可供FMC存储卡嵌入其内的FMC卡插槽、1-η层次加解密命令按键、用于提示工作状态的指示灯、用于供计算机、医药工作站通讯的数据交換接ロ。
4.根据权利要求3所述的私密读卡匣,进ー步包括健康档案IC卡交換接ロ其输入端、FMC卡插槽其输入输、数据交換接ロ其输出端与读写电路单元的对应端ロ相连;筛板管理接ロ与加解密控制筛板单元相连、加解密控制筛板单元相连与密码管理単元;加密信道単元和非加密信道単元与健康档案IC卡交換接ロ、密码管理単元、数据交換接ロ相连;读写电路单元、密码管理単元、1-η层次加解密命令按键、指示灯与微处理器単元相连。
5.根据权利要求3至4所述的密码管理単元,进ー步包括置有摘要对鉴算法及非対称加密私钥。结合加解密控制筛板单元可供居民根据个电子健康档案隐私信息情况予以不同层次的权限读写控制功能,通过电子签名技术保障电子健康档案信息交互的过程中病人的私隐和档案篡改等安全性及可抵赖性,从而实现医疗信息传输共享与有效的私隐保护。
6.根据权利要求3-5所述的加解密控制筛板单元,进ー步包括1-n层次加解密控制筛板模块,支持读取健康档案诊疗卡内经过1-n层次加过密的xml节点的信息,用户选择1-n 层次权限的按键指令,进行m(m< η)层次解密处理,加密层次数不超过m次的xm 1元素节点信息变为明文,加密次数大于m次的xml元素节点信息,仍为密文,这样,明文就可以仅供用于用户限定的信息接收者;通过对称加密或非対称加密实现不同层别的健康档案信息权限管理功能。
7.根据权利要求1所述的服务器,进ー步包括置有数字证书安全中心,居民将持有私钥相对应的非対称加密公钥证书公布在服务器上,供用户对健康档案信息进行层次加密。
8.根据权利要求1至7所述的居民健康档案的建立、交互及存储,采用可扩展性的XM L进行编制,对称算法或非対称加密算法技术对整个XM L文档或XM L节点签名或加密。
9.根据权利要求6至8所述的敏感信息对称加密,其方法为将居民电子健康档案信息中需保护的敏感信息指定为敏感信息段(な),执行保护时,利用私密读卡匣的1-n层次加解密命令按键对な作虚拟命名为隐私保护带0 ),利用某密码(K),可再经对称加密算法(如DES)对な的明文(P)进行加密后,使な信息变为密文(S),与此同时在居民电子健康档案信息的原来位置不变,并变从角色な变换称为1 ,使原k的P数据变为1 的 S密文合并后的数据,使原来的な的P存储形式变为了 1 的S。当需阅时再用同ー密码K 将1 的S解密还原出明文P,供阅于自己或共享至拟供阅方。此方法生成的密文可以供阅于任何一个获得S并知道K和加密所用对称算法方,此方法在无唯一供阅的定向性限制,适合于居民和医疗卫生服务等机构双方或多方性共享,并且在交換含有密文S的信息同吋, 必须交換加密时所用过的密码K,才能解密出加密前的明文P,可以将这些加密过的信息按执行标准指定的位置写入到居民电子健康档案。
10.根据权利要求6至8所述的敏感信息非対称加密,其方法为将居民电子健康档案信息中需保护的敏感信息指定为敏感信息段(な),执行保护时,利用私密读卡匣的1-n层次加解密命令按键对な作虚拟命名为隐私保护带0 ),利用从电子签名认证中心(CA)同步或预先获得或在卡匣内预设好的居民本人公钥(Kb),可采用非対称算法(如RSA算法) 结合对称加密算法(如DES)对k的明文(P)进行加密操作先用Kb将对称加密算法所需的初始数据值(Di)进行非対称算法加密后所产生的密文(Si)然后用对称加密算法对P作加密运算后产生密文(S2),与此同吋,k在居民电子健康档案信息的原来位置不变,并从角色な变换称为此,使原な的P数据变为1 的SMS2密文合并后的数据,使原来的k的 P存储形式变为了 1 的S1&S2。当需阅时,先从1 的S1&S2分离出Sl和S2,再用居民本人用其私钥(Kv)对Sl经非对称算法解密还原出Di,再用Di及生成S2的对称加密算法对S2 进行相同的算法后,还原出原来的明文P,供阅于自己或共享至拟供阅方。此方法可以供阅于任何一个获得S1&S2并知道Kv和加密所用非対称算法方,通常情况下,只有掌握Kv的居民本人才能将隐私保护带1 的密文M&S2解密还原出敏感信息段k中明文,此时的明文才可能供自阅或可供阅于他方,从而限制非指定阅方的滥权或越权地阅读,此方法有很强的唯一供阅的定向性,适用于(1)居民可将有隐私权的信息加以保密并按执行标准指定的位置写入到健康档案中,在需要的时候供自己打开阅读,继而也可供阅于其他服务机构。 (2)医疗卫生服务等机构定向性地向居民提供定向保密性发布或协定为定向保密性共享的信息,并且信息收发双方无须交換加密时所用过的密码Kb,因为Kb已经发布于外界,可以将这些加密过的信息按执行标准指定的位置写入到居民电子健康档案,( 居民可以选择来自于特定他方或服务机构按执行标准指定的位置写入、并且属于唯一供阅于自身的定向共享保密性信息,经其本人亲自解密后,首先供阅于自己,继而也可供阅于其他服务机构。
11.根据权利要求6至8所述的敏感信息非対称加密,另一方法为将居民电子健康档案信息中需保护的敏感信息指定为敏感信息段( ),执行保护时,对な作虚拟命名(如通过装置的设置功能控制操作)为隐私保护带0 ),利用从电子签名认证中心(CA)同步或预先获得或在卡匣内预设好的服务机构公钥(Kb),可采用非対称算法(如RSA算法)结合对称加密算法(如DES)对k的明文(P)进行加密操作先用Kb将对称加密算法所需的初始数据值(Di)进行非対称算法加密后所产生的密文(Si)然后用对称加密算法对P作加密运算后产生密文(S2),与此同吋,k在居民电子健康档案信息的原来位置不变,并从角色 Ss变换称为1 ,使原k的P数据变为1 的SMS2密文合并后的数据,使原来的k的P存储形式变为了 1 的S1&S2。当需阅时,先从1 的S1&S2分离出Sl和S2,再用居民本人用其私钥(Kv)对Sl经非对称算法解密还原出Di,再用Di及生成S2的对称加密算法对S2进行相同的算法后,还原出原来的明文P,供阅于指定的服务机构方。此方法可以供阅于任何一个获得S1&S2并知道Kv和加密所用非対称算法方,通常情况下,只有掌握Kv的服务机构方能将隐私保护带1 的密文SMS2解密还原出敏感信息段k中明文,此时的明文才可能供阅于服务机构方,从而限制非指定阅方的滥权或越权地阅读,此方法有很强的唯一供阅的定向性,适用于(1)医疗卫生服务等机构可将有属于己权的信息加以保密并之按执行标准指定的位置写入到健康档案中,在需要的时候供己方打开阅读,继而也可供阅于其他服务机构,( 居民定向性地向医疗卫生服务等机构提供定向保密性发布或协定为定向保密性共享的信息,并且信息收发双方无须交換加密时所用过的密码Kb,因为Kb已经发布于外界,可以将这些加密过的信息按执行标准指定的位置写入到居民电子健康档案,也可以将这些加密过的信息传输至特定机构,(3)医疗卫生服务等机构可通过检索,选择来自于他方按执行标准指定的位置写入、并且属于唯一供阅的定向共享保密性信息,经医疗卫生服务等机构所持的私钥解密后,首先供阅于机构自身。
12.根据权カ要求8至11所述的对称与非対称加密方法。综合采用上述第几种方法, 并根据敏感信息分层管理的需求,配以相应操作设置及其处理将选定近核第一层的同一层所列需求的多个敏感信息分别按上述适当方法按段逐一处理后,所得密文作为第一层所需的管理結果,然后,将近核第二层的同层所列需求的多个敏感信息也分别按近核第一层方法处理,如此类推,可以形成多层的加密。
13.根据权利要求1至12所述的电子签名和加密算法,采用但不限于自主知识产权“ー 种便携式无线电子密钥装置”或共认DES、RSA、GPG、IDES、数字认证中心(CA)等信息加密或数字签名技术和认证机制。
14.根据权利要求3至4所述的指示灯,采用LED发光管,与微处理単元相连能驱动发出是否处于工作或故障指示状态,显示绿灯为正常,显示红灯为有故障。
15.根据权利要求1至10所述健康医疗卫生服务专用卡与私密读卡匣,以下私密读卡匣与电脑之间通讯的数据传输接ロ,其物理层可以但不限于是无线或RFID技木,实现相互之间的数据传输。
全文摘要
本发明公开了一种可分层授权的私密型居民健康档案卡及读卡装置,其特征在于,包括一张集SIM卡(Subscriber Identity Module客户识别模块)、FMC卡(Flash Memory Card快闪存储卡)于一体的健康医疗卫生服务专用卡,一个与卡配套的可控制不同层次信息共享的私密读卡匣和一个用于配置解密控制筛板功能的管理服务器。持卡方或与卡相关的各服务方能通过卡匣的管理方法和不同组合形成的多种授权而进行加解密处理机制,分别以强密、弱密、公开等不同层别的健康信息筛,进行选择性地读取或转阅,由读卡匣以有线或无线方式与电脑通信,极大方便用户对自身健康信息的安全掌控,确保病人的私隐不受侵犯,而且满足不同机构对病历信息的需求。
文档编号G06K7/00GK102542130SQ20101058114
公开日2012年7月4日 申请日期2010年12月9日 优先权日2010年12月9日
发明者梁志伟, 苏长进, 贺丽丽, 赖小平, 高飞 申请人:东莞广州中医药大学中医药数理工程研究院