医用信息验证系统的制作方法
【专利摘要】本发明提供一种以低价格确保真实性的医用信息验证系统。实施方式的医用信息验证系统具有时间戳管理装置,该时间戳管理装置具备:介质信息存储单元,取得和/或存储基于在介质中存储的医用管理对象文件的信息求出的介质信息;验证识别值生成单元,将多个不同介质的介质信息捆绑在一起生成医用管理对象文件群,并生成与该医用管理对象文件群相对应的验证识别值;时间戳取得单元,从认证局取得针对所述验证识别值的时间戳;时间戳信息存储单元,将所述时间戳的时间戳信息与所述医用管理对象文件群相对应地进行存储;以及时间戳信息发送单元,基于经由网络送来的时间戳查询请求,发送所述时间戳信息。
【专利说明】医用信息验证系统
【技术领域】
[0001]本发明的实施方式涉及一种验证医用信息的真实性的医用信息验证系统。
【背景技术】
[0002]近年,在医院之间的区域合作中,使用保存有包含医用图像在内的医疗信息的可移动介质(DVD光盘、蓝光光盘、USB存储器等)来作为信息传递装置。但是对可移动介质会要求信息的真实性,例如,赋予普通财团法人医疗信息系统开发中心(MEDIS-DC)发放的CA(Certificate Authority:认证授权)证书或 TSA 认证局(Time Stamp Authority:时间戳服务中心)发放的时间戳。CA证书可以证明是“谁在哪里”制作了数据,时间戳能够进一步证明“什么时候以后数据没有变更”。通常,CA证书的担保期限大约是2年,时间戳的担保期限大约是10年。从而,通过在CA证书中附加上时间戳,就能够延长认证期限,确保医疗信息的真实性。
[0003]向TSA认证局委托发放时间戳是按量收费制,若长期对不清楚是否验证真实性的可移动介质取得时间戳,就会存在浪费其费用的可能性。另外,若对可移动介质内的全部医疗信息一个一个地取得时间戳,则会因为TSA认证的成本增大而利用者的负担增加。
[0004]此外,还会产生在CA证书或时间戳的有效期限届满的情况下,如何证明可移动介质的真实性的问题。
[0005]另外,在安全上,很多情况下不能够从与院内网络相连接的HIS (HospitalInformation System:医院信息系统)、PACS (Picture Archiving and CommunicationSystems:图片存档和通信系统)、各医疗设备(modality)等直接向TSA认证局委托发放时间戳。在这种情况下,一旦向位于医院内的“院内区域合作室”等转移了包含医用图像和/或诊断报告等的医用信息,则CA证书持有者针对该医用信息,从TSA认证局取得时间戳,之后将医用信息和时间戳梱定在一起制作成可移动介质。
[0006]此外,在制作可移动介质的过程中,由于很多情况下是指定每I个小时、每I天等期间来取得时间戳,因此还有将可移动介质送到患者手里要花费相当多的时间的问题。这样对患者来说丧失了便利性,并且不能应对紧急情况。
[0007]以下专利文献是将医用信息保存在可移动介质等中,从介绍源向介绍目标传递医用信息的技术。
[0008]现有技术文献
[0009]专利文献
[0010]专利文献1:日本特开2007-241559号公报
【发明内容】
[0011]发明所要解决的问题
[0012]本发明所要解决的问题在于,提供一种解决了上述问题,并以低价格确保真实性的医用信息验证系统。[0013]用于解决问题的技术方案
[0014]为了解决上述问题,实施方式的医用信息验证系统具有时间戳管理装置,该时间戳管理装置具备:介质信息存储单元,取得和/或存储基于在介质中存储的医用管理对象文件的信息求出的介质信息;验证识别值生成单元,将多个不同介质的介质信息捆绑在一起生成医用管理对象文件群,并生成与该医用管理对象文件群相对应的验证识别值;时间戳取得单元,从认证局取得针对所述验证识别值的时间戳;时间戳信息存储单元,将所述时间戳的时间戳信息与所述医用管理对象文件群相对应地进行存储;以及时间戳信息发送单元,基于经由网络送来的时间戳查询请求,发送所述时间戳信息。
【专利附图】
【附图说明】
[0015]图1是本实施方式涉及的医用信息验证系统的整体结构图。
[0016]图2是第一实施方式中的介质制作装置的结构框图。
[0017]图3是该实施方式中的时间戳管理装置的结构框图。
[0018]图4是该实施方式中的介质验证装置的结构框图。
[0019]图5是该实施方式中的对可移动介质的真实性验证的流程图。
[0020]图6是该实施方式中的时间戳管理部的数据库例子。
[0021]图7是第二实施方式中的对可记录型可移动介质的真实性验证的流程图。
[0022]图8是该实施方式中的对可记录型可移动介质的时间戳管理的数据库例子。
[0023]图9是该实施方式中的对追加记录的时间戳取得例子。
[0024]图10是第三实施方式中的医用信息验证系统的整体结构图。
[0025]图11是该实施方式中的对可移动介质的真实性验证的流程图。
[0026]图12是该实施方式中的对可记录型可移动介质的真实性验证的流程图。
【具体实施方式】
[0027]以下,参照图1至图12所示的附图,对用于实施发明的实施方式详细进行说明。本实施方式的医用信息验证系统可以与HIS、RIS (Radiology Information System:放射信息系统)、PACS等系统合作来构筑,容易得到与已有系统之间的匹配性。
[0028](第一实施方式)
[0029]如果像以前那样地对可移动介质内的全部医疗信息赋予时间戳,就会如上所述地存在各种各样的问题。但是,针对医疗信息的真实性深入研究,只要能经由第三者,验证“可移动介质制作时的正确时间不是必需”和“在可移动介质领受者(患者或者收到介绍信的医院)进行阅览的时刻可移动介质内的医疗信息没有改变”这些事情,就已足够。
[0030]因此,在本实施方式中,说明能实现
[0031](I)可移动介质制作者提供时间戳直到阅览(验证)的时刻为止、
[0032](2)可移动介质领受者在阅览(验证)的时刻领受时间戳的医用信息验证系统。
[0033]图1是本实施方式中的医用信息验证系统的整体结构图。如图1所示,本实施方式的医用信息验证系统包括:保存医用图像或诊断报告等医用信息的PACS11、将这些医用信息保存在可移动介质中的介质制作装置12、在该可移动介质发放后取得时间戳并管理可移动介质的介质信息及医用信息的时间戳信息的时间戳管理装置13、在可移动介质发放后验证可移动介质内所保存的医疗信息的真实性的介质验证装置14以及TSA认证局15。这些PACS11、介质制作装置12、时间戳管理装置13、介质验证装置14以及TSA认证局15构成为与网络16连接并可以相互通信的状态。
[0034]如虚线箭头所示,在发放可移动介质时不取得时间戳,而立即将可移动介质递交给可移动介质领受者。时间戳管理装置13在可移动介质发放后取得时间戳,可移动介质领受者在收到介绍信的医院里使用介质验证装置14,从可移动介质中读取医用信息。这时,介质验证装置14向时间戳管理装置13进行时间戳请求,通过使用该时间戳向TSA认证局15进行认证,由此,能进行医用信息的验证。
[0035]再有,在本实施方式中,将要求真实性的医用信息定义为医用管理对象文件,以下使用该用语。医用管理对象文件中包含医用图像和/或诊断报告等各种医疗信息,在从隐私或安全等观点出发不能直接保存在可移动介质中的情况下等,还包含可访问医用信息的链接信息。此外,既可以包含遵照DICOM (Digital Imaging and Communication inMedicine:医学数字成像和通信)形式的文件,也可以包含不遵照该形式的文件,但在此针对遵照DICOM形式的文件进行说明。
[0036]图2是本实施方式的介质制作装置12的结构框图。如图2所示,介质制作装置12具有图像取得部121、文件识别值生成部122、介质制作部123和介质信息发送部124。再有,在将介质验证装置14如虚线箭头所示地以后述的应用形式嵌入到图像浏览器,梱定在可移动介质内时,可以实现便利性高的运用。另外,介质制作装置12能够用个人计算机等终端来构成。
[0037]图像取得部121从PACSll或医疗设备等取得患者应该可以移动的医用管理对象文件,并暂时保存直到制作可移动介质为止。
[0038]文件识别值生成部122针对该应该可以移动的医用管理对象文件的全部文件,生成用于唯一地识别该文件的文件识别值。在本实施方式中,将散列值设为文件识别值,以下将其设为文件散列值。
[0039]介质制作部123在可移动介质内保存应该可以移动的医用管理对象文件。在本实施方式中使用将多个医用管理对象文件作为树结构进行管理的索引文件,将该索引文件作为时间戳管理对象。这时,在索引文件(例如DIC0MDIR)内保存有树结构下的医用管理对象文件的文件识别值(文件散列值)。
[0040]在可移动介质内保存有索引文件、索引文件的文件识别值(文件散列值)和树结构下的医用管理对象文件,不保存时间戳。另外,最好在介绍目标的医院中将用于阅览和/或验证可移动介质内的医用管理对象文件的图像浏览器(介质验证装置14)梱定。对可移动介质分配用于唯一地识别自己的介质标识符,例如可以使用卷标作为介质标识符。
[0041]介质信息发送部124在可移动介质制作之后,对时间戳管理装置13发送包含介质标识符、保存在可移动介质内的索引文件名以及索引文件的文件识别值(文件散列值)等在内的介质信息。
[0042]再有,作为实施方式的变形,也可以向时间戳管理装置13发送索引文件主体,从该索引文件计算文件识别值(文件散列值)。另外,在介质制作装置12与时间戳管理装置13处于同一个地方的情况下,介质信息也可以不经由网络进行发送,而直接存储在时间戳管理装置13中。[0043]图3是时间戳管理装置13的结构框图。如图3所示,时间戳管理装置13具有介质信息接收部131、验证识别值生成部132、定时产生部133、时间戳取得部134、时间戳保存部135、时间戳发送部136以及时间戳管理部137。
[0044]介质信息接收部131从介质制作装置12的介质信息发送部124收取介质信息,并暂时进行存储。介质信息是介质标识符、保存在可移动介质内的索引文件名以及索引文件的文件识别值(文件散列值)等。如后所述地将该介质信息与时间戳和医用管理对象文件群相对应地保存到时间戳保存部135中。
[0045]验证识别值生成部132制作在向TSA认证局15取得时间戳之时所使用的验证识别值。该验证识别值是将I个以上的未取得时间戳的可移动介质捆绑在一起作为医用管理对象文件群而能够唯一地识别它的值。具体而言,由可移动介质内的医用管理对象文件的文件散列值或介质标识符等制作。在验证识别值中也使用散列值的情况下,将其作为验证散列值。由于这样地对将一个以上的医用管理对象文件捆绑在一起的医用对象文件群取得一个时间戳,因此能够削减取得时间戳所需的费用。
[0046]定时产生部133产生成为向TSA认证局15取得时间戳的触发的定时。产生定时要考虑:(1)定期的计时器请求,该定期的计时器请求定期地检查时间戳保存部135的数据库内记录的介质信息是否有未取得时间戳的可移动介质,若有未取得时间戳的可移动介质,就向TSA认证局15进行时间戳的取得请求;和(2)按照来自介质验证装置14的请求进行定时的产生的时间戳验证时请求。再有,在定期的计时器请求中,也可以检查未取得时间戳的可移动介质是否是规定数量来进行定时的产生。捆绑在一起的可移动介质的规定数量越多,取得时间戳所需费用就越少,效率就越高,但期望在从介绍目标的医院设施的介质验证装置14发来时间戳验证时请求之前就已经取得时间戳,因此,时间戳取得定时根据实际运转状况等而设定最优值。
[0047]时间戳取得部134在定时产生部133的时间戳取得定时,使用验证识别值,从TSA认证局15取得时间戳。
[0048]时间戳保存部135将从TSA认证局15取得到的时间戳信息、验证识别值以及介质信息等,与医用管理对象文件群相对应地加以存储和/或保存。将这些信息称为管理信息。
[0049]时间戳发送部136对在介质验证时从介质验证装置14发送的时间戳信息查询请求进行响应,将从TSA认证局15取得的时间戳信息经由网络发送给介质验证装置14。
[0050]时间戳管理部137统合地控制上述介质信息接收部131、验证识别值生成部132、定时产生部133、时间戳取得部134、时间戳保存部135和时间戳发送部136。
[0051]图4是介质验证装置14的结构框图。介质验证装置14具有文件读取部141、时间戳查询部142、文件识别值计算部143、文件真实性判定部144和图像显示部145。该介质验证装置14由个人计算机等终端构成,通过执行梱定在可移动介质内的图像浏览器应用来实现该功能。再有,也可以预先在终端中安装具有介质验证装置14的图像浏览器应用。
[0052]文件读取部141读取可移动介质内的医用管理对象文件。时间戳查询部142使用介质识别值和文件识别值,从时间戳管理装置13的时间戳发送部136取得对于可移动介质及医用管理对象文件的时间戳和在其生成中使用的验证识别值(验证散列值)。使用取得到的时间戳和验证识别值,向TSA认证局15进行时间戳的验证。
[0053]文件识别值计算部143计算可移动介质内保存的医用管理文件的文件识别值(文件散列值)。
[0054]文件真实性判定部144确认在文件识别值计算部143中计算出的医用管理对象文件的文件识别值(文件散列值)和索引文件内记载的文件识别值(文件散列值)相同,并进一步根据取得到的时间戳的验证结果确认医用管理对象文件是有效期限内。然后,图像显示部145将医用管理对象文件显示在终端的监视器上。
[0055]下面,对以上结构涉及的医用信息验证系统的动作进行说明。图5是对可移动介质的真实性验证的流程图,图6是在时间戳管理部137 (时间戳保存部135)中进行管理的数据库的例子。
[0056]如图6所示地示出了介质制作装置12、时间戳管理装置13、TSA认证局15和介质验证装置14之间的处理流程。
[0057]首先,在步骤ST501中,介绍源的医师、医疗机关对介质制作装置12进行递交给介绍目标的医疗机关的可移动介质的制作请求。
[0058]在步骤ST502中,从PACSl 1、HIS、医疗设备等中取得必要的医用图像和/或诊断报告等医用管理对象文件。这时,对医用管理对象文件的文件散列值进行计算(步骤ST503)。并且,在存在多个医用管理对象文件的情况下,制作DIC0MDIR等索引文件(步骤ST504),计算该索引文件的文件散列值(步骤ST505)。
[0059]在步骤ST505中,在索引文件内描述医用管理对象文件的文件散列值,在步骤ST506中,将以索引文件为路径的医用管理对象文件保存在可移动介质中来制作可移动介质。在本实施方式中,这时也保存CA证书。另外,最好同时还保存可以执行介质验证装置14的图像浏览器应用。
[0060]制作可移动介质后,向患者即刻发放该可移动介质,在介绍目标的医院设施中进行阅览。具体而言,使可移动介质内梱定的图像浏览器应用起动,向时间戳管理装置13进行可移动介质的验证请求(步骤ST507)。
[0061]此外,在步骤ST506的可移动介质制作之后,介质制作装置12对时间戳管理装置13发送已制作的可移动介质的卷标和介质信息,所述介质信息在医用管理对象文件具有树结构的情况下是其路径即索引文件(DIC0MDIR)名,在不具有树结构的情况下是医用管理对象文件自身的名称等。
[0062]在步骤ST508中,时间戳管理装置13接收可移动介质的介质信息,并在时间戳保存部135中保存介质信息。如图6所示,时间戳保存部135中所保存的数据库管理着由介质标识符(卷标)、医用管理对象文件名(树结构的情况下是DIC0MDIR等索引文件)、文件识别值(文件散列值)、验证识别值(验证散列值)、时间戳和时间戳有效期限等时间戳信息构成的管理信息。在接收到介质信息的情况下,保存介质标识符(卷标)、医用管理对象文件名(树结构的情况下是DIC0MDIR等索引文件名)、文件识别值(文件散列值)。例如,就图6的第一个记录的例子而言,介质标识符(卷标)是“S3A6352D”,医用管理对象文件名是“DIC0MDIR”,文件识别值(文件散列值)是“ 1001000114D……”。
[0063]在步骤ST509中产生成为用于取得时间戳的触发的定时。关于定时的产生,如上所述,存在若有未取得时间戳的可移动介质就向TSA认证局15进行时间戳的取得请求的定期的计时器请求和按照来自介质验证装置14的请求进行定时产生的时间戳验证时请求。通常最好设定为在步骤ST507的图像浏览器被起动之前产生用于取得时间戳的定期的计时器请求。
[0064]在步骤ST510中,基于步骤ST509的定时产生,生成用于取得时间戳的验证识别值(验证散列值)。该验证散列值集中制作多个未取得时间戳的可移动介质。例如,也可以从多个医用管理对象文件的文件散列值制作该验证散列值。
[0065]在步骤ST511中,使用该验证散列值,从TSA认证局15进行时间戳的取得,并将取得到的时间戳保存在时间戳保存部135中。就图6的第一个记录的例子而言,验证散列值是“6F3FB2DDEF3E......”,时间戳被“取得”,时间戳的有效期限是“2020/12/2309:15......”。
[0066]在介质验证装置14的步骤ST512中,在步骤ST507的图像浏览器起动之后,取得可移动介质内的医用管理对象文件,将其文件散列值在文件识别值计算部143中进行计算。另外,在步骤ST513中,将可移动介质的卷标作为检索关键字,向时间戳管理装置13进行时间戳的查询,取得与卷标一致的时间戳和在时间戳取得中已使用的验证散列值。
[0067]再有,在追加新医用图像等的介质更新等中时间戳保存部135的数据库内存在多个相同的卷标的情况下,也可以将卷标与可移动介质内的医用管理对象文件的文件散列值合并进行查询。针对这样的实施方式以后进行叙述。
[0068]使用该取得的时间戳和验证散列值,针对可移动介质的真实性,向TSA认证局15进行验证。
[0069]在步骤ST514中,在文件真实性判定部144中对在步骤ST512中计算出的文件散列值和可移动介质内的索引文件内记载的文件散列值进行比较,确认医用管理对象文件的同一I"生。
[0070]在步骤ST515中,在介质验证装置14起动的终端的监视器上显示医用管理对象文件,并且合并医用管理对象文件的同一性和TSA认证局15的验证结果来证明真实性。在不能证明真实性的情况下,显示消息等唤起阅览者注意。
[0071]另外,以前在可移动介质的CA证书或时间戳的有效期限届满的情况下,没有办法确认所保存的医用信息的真实性,但在步骤ST513的时间戳查询时,时间戳管理装置13对时间戳的有效期限进行确认,若是无效,就对TSA认证局15进行时间戳的再次取得。并且,也可以在要接近有效期限时,自动进行再次取得来进行真实性的继续。
[0072]如以上所述,根据第一实施方式,由于可以不对作为医院间的信息传递装置而使用的保存有医疗信息的可移动介质(DVD盘、蓝光光盘、USB存储器等)即刻发放时间戳即可,因此能缩短向患者递交可移动介质为止的时间。
[0073]另外,由于对多个可移动介质取得I个时间戳,因此能够降低TSA认证的成本。
[0074]并且,即使在CA证书或时间戳的有效期限届满的情况下,也可以通过对时间戳管理装置进行访问来再次取得时间戳,因此无论何时都能够证明可移动介质的真实性。
[0075](第二实施方式)
[0076]在可移动介质中存在可补写的介质(可记录型可移动介质),有时会想在介绍目标的医院设施中补写医用信息。在这样的情况下,要使用介绍源的介质制作装置12进行补写,在管理的问题上或便利性方面并不优选。
[0077]本实施方式中说明用介绍目标的介质制作装置对这种可记录型可移动介质追加新的医用信息的情况。
[0078]图7是对可记录型可移动介质的真实性验证的流程图,图8是对可记录型可移动介质的时间戳管理的数据库例子。
[0079]如图1所示地示出了时间戳管理装置13、TSA认证局15和介质验证装置14、以及介绍目标设施的介质制作装置之间的处理流程。
[0080]由于介质制作装置和介质验证装置可以安装在同一终端内,因此,步骤ST601?步骤ST605中示出的补写新医用管理对象文件的步骤,也可以在安装有介质验证装置的终端上进行。
[0081]首先,在步骤ST601中,介绍目标的医师、医疗机关的介质制作装置从PACS、HIS或者医疗设备等中取得新追加到可记录型可移动介质中的医用管理对象文件(新医用图像、诊断报告)。
[0082]然后,在步骤ST602中计算补写的新医用管理对象文件的文件散列值。还重新制作DIC0MDIR等索引文件(步骤ST603)。
[0083]在步骤ST604中,将补写的新医用管理对象文件的文件散列值补写到索引文件内,计算新的索引文件的文件散列值。
[0084]然后,在步骤ST605中,将以新的索引文件作为路径的新医用管理对象文件补写到可移动介质中。
[0085]另外,步骤ST605的在可移动介质中补写了新医用管理对象文件之后,对时间戳管理装置13发送已补写的可移动介质的卷标、新索引文件(新DIC0MDIR)名、新文件散列值、旧DIC0MDIR的旧文件散列值等介质信息。
[0086]在步骤ST606中,时间戳管理装置13使用接收到的介质信息中的卷标、新索引文件名、新文件散列值制作新的记录。如图8的最后一个记录所示,制作卷标是“S3A6352D”、医用管理对象文件名是“DIC0MDIR (2)”、以及文件识别值(文件散列值)是“10FTKD4H94A......” 的新记录。
[0087]另外,将卷标“S3A6352D”和旧DIC0MDIR的文件散列值“ 1001000114D......”作为
检索关键字,从时间戳保存部135的数据库中检索过去的记录。在图8的例子中最上方的记录被检索到。并且,时间戳管理装置13针对新记录,在示出正在进行介质更新的“介质更新”字段中保存示出介质被更新的信息。这样就能够对介质的更新履历进行管理。
[0088]在步骤ST607中产生成为用于对新记录取得时间戳的触发的定时。定时的产生与第一实施方式同样,有定期的计时器请求和按照来自介质验证装置14的请求进行定时产生的时间戳验证时请求。
[0089]在步骤ST608中,基于步骤ST608的定时产生,生成用于取得时间戳的验证识别值(验证散列值)。如果除了通过医用管理对象文件的补写所制作的新记录以外,还有未取得时间戳的可移动介质,则将它们集中起来制作该验证散列值。之后,使用该验证散列值,从TSA认证局15进行时间戳的取得,并将取得到的时间戳保存在时间戳保存部135中。图9所示的最后一个记录的时间戳从“未取得”变为“取得”,时间戳的有效期限被保存。
[0090]在介质验证装置14中,新追加的医用管理对象文件的阅览和/或验证方法大致与第一实施方式相同。在步骤ST609中起动具有介质验证装置14的图像浏览器。在步骤ST610中,将可移动介质内的医用管理对象文件的文件散列值在文件识别值计算部143中进行计算。
[0091]另外,在步骤ST611中,将可移动介质的卷标作为检索关键字,向时间戳管理装置13进行时间戳的查询,取得与卷标一致的时间戳和在时间戳取得中所使用的验证散列值。再有,由于追加了新医用管理对象文件,因此,在时间戳保存部135的数据库内就会存在多个同一卷标。如果仅以卷标作为检索关键字,就会检索到可移动介质的全部记录,因此能够取得更新履历信息。如果将卷标与最新的医用管理对象文件的文件散列值合并作为检索关键字进行查询,就能够取得最新的时间戳。进一步使用取得到的最新的时间戳和验证散列值,针对可移动介质的真实性,向TSA认证局15进行验证。
[0092]在步骤ST612中,在文件真实性判定部144中,对在文件识别值计算部143中计算出的文件散列值和在可移动介质内的索引文件内记载的文件散列值进行比较,确认医用管理对象文件的同一性。
[0093]在步骤ST613中,在终端的监视器上显示医用管理对象文件,并且合并TSA认证局15的验证结果,证明医用管理对象文件的同一性和真实性。
[0094]如以上所述,根据第二实施方式,即使在可记录型可移动介质中追加医用管理对象文件,也能验证文件的真实性。
[0095](第三实施方式)
[0096]在上述实施方式中,设医用管理对象文件被梱定在可移动介质内的情形进行了说明。但是,伴随着医用图像的高精细化的文件尺寸大容量化,未必能在可移动介质内保存全部的医用管理对象文件。另外,由于医用管理对象文件被复制在可移动介质内,因此必须要以不丢失可移动介质的方式进行管理。并且,有时也不希望在可移动介质内保存不想让患者或者第三者阅览的医用图像或诊断报告。考虑这样的状况,本实施方式不使医用管理对象文件的一部分或者全部梱定在可移动介质中,而将其保存在区域合作下的医院能访问的共享服务器中来统一进行管理。从而,在医用管理对象文件被保存在共享服务器101中的情况下,在可移动介质中保存有医用管理对象文件的文件散列值和医用管理对象文件的链接信息。
[0097]图10是第三实施方式中的医用信息验证系统的整体结构图。对图1追加了与网络16连接的共享服务器101。介质制作装置12在该共享服务器101中保存在合作下的其他医院中进行阅览的医用管理对象文件。此外,在可移动介质内保存用于访问该医用管理对象文件的链接信息。共享服务器101对区域合作下的医院开放,可以从区域合作下的医院访问共享服务器101中所保存的医用管理对象文件。共享服务器101的实施方式可以是与医院设施内的PACS、HIS和RIS等合作动作的内部(On-premises)型服务器,也可以是设置在医院设施外的所谓的云(cloud)型服务器。
[0098]图11是该实施方式中的对可移动介质的真实性验证的流程图。对图5追加了从介质制作装置12向共享服务器101的医用管理对象文件的写入动作以及介质验证装置14中的从共享服务器101读入医用管理对象文件的读入动作。
[0099]在此,针对步骤ST505M?ST507M,对追加有共享服务器101时的动作进行说明,其他步骤的说明与第一实施方式相同,故省略说明。
[0100]在步骤ST505M中,介质制作装置12在索引文件内描述医用管理对象文件的文件散列值,进一步生成该索引文件的文件散列值。并且,不使一部分或者全部医用管理对象文件梱定在可移动介质中,而是上载到共享服务器101。并且,取得示出共享服务器101的保存地点的链接信息。[0101]在步骤ST506M中,与步骤ST506同样地制作可移动介质。这时,未上载到共享服务器101的医用管理对象文件被梱定在可移动介质内,对于已上载到共享服务器101中的医用管理对象文件,记载其链接信息作为介质信息。此外,该链接信息除了示出共享服务器101的保存地点的链接地址以外,还可以追加向共享服务器101的访问权限。
[0102]制作可移动介质后,将该可移动介质即刻发放给患者。在步骤ST507M中,在介绍目标的医院设施的介质验证装置14中阅览该可移动介质。具体而言,使可移动介质内梱定的图像浏览器应用起动,并且使用可移动介质内的链接信息,从共享服务器101下载医用管理对象文件。并且,对时间戳管理装置13进行可移动介质的验证请求。
[0103]如以上所述,由于在共享服务器101中保存医用管理对象文件,因此,不在可移动介质内保存医用管理对象文件本身。用介绍目标的介质验证装置就能进行医用管理对象文件的阅览和真实性的验证。
[0104]此外,图12是该实施方式中的对可记录型可移动介质的真实性验证的流程图。在图12中,对图7追加了从介绍目标的介质制作装置或者介质验证装置14向共享服务器101的写入动作和介质验证装置14中的从共享服务器101读入医用管理对象文件的读入动作。
[0105]在此,使用步骤ST604M、ST605M和ST609M,针对共享服务器101的动作进行说明。其他步骤的说明与第二实施方式相同,故省略。
[0106]在步骤ST604M中,在新的索引文件内保存在步骤ST602中求出的应补写的医用管理对象文件的文件散列值。并且计算新的索引文件的文件散列值。并且,在不梱定应补写的医用管理对象文件的情况下,将该医用管理对象文件上载到共享服务器101。并且取得上载目的地的链接信息。
[0107]在步骤ST605M中,在可移动介质中补写新的索引文件。在可移动介质内记载医用管理对象文件的文件散列值和已上载到共享服务器101中的医用管理对象文件的链接信息。将未上载到共享服务器101中的医用管理对象文件补写梱定到可移动介质内。
[0108]然后,对时间戳管理装置13发送补写的可移动介质的卷标、新索引文件(新DIC0MDIR)名、新文件散列值、旧DIC0MDIR的旧文件散列值等介质信息。
[0109]在步骤ST609中,在介质验证装置14中起动图像浏览器。然后,针对未梱定在可移动介质中的医用管理对象文件,基于其链接信息,从共享服务器101取得医用管理对象文件。
[0110]这样,即使对保存容量少的可移动介质,也能补写医用管理对象文件。即,根据使用了共享服务器的本实施方式,不需要将大容量的医用管理对象文件梱定在可移动介质内。从而,本实施方式例如可以适用于保险单的IC芯片等小容量可移动介质中。由于可以在区域合作下的某个医院中用同一保险单进行医用管理对象文件的真实性的验证和履历管理,因此便利性大幅提高。并且,由于可以用共享服务器进行访问控制,因此能考虑医用管理对象文件的安全或隐私后进行运用。
[0111]再有,在以上所述的本实施方式中,在时间戳管理装置13中处理的数据库不管理医用管理对象文件本身。即,所管理的是医用管理对象文件名或索引文件名、其文件散列值以及验证散列值等管理信息。从而,时间戳保存部135的保存容量无须是大容量的。因此能够用低价格的系统结构来实现。但是,也可以用数据库对索引文件或医用管理对象文件本身进行管理,并不限制管理对象的形式。从而,根据本实施方式,能够提供一种以低价格确保真实性的医用信息验证系统。
[0112]虽然已经说明了本发明的几个实施方式,但是这些实施方式是作为例子而提出的,并不是想限定发明范围。这些新的实施方式可以以其他各种各样的方式实施,可以在不脱离发明主旨的范围内进行各种各样的省略、置换和变更。这些实施方式或其变形包含在发明范围或主旨内,并且也包含在权利要求书中记载的发明及其等同的范围内。
[0113]符号的说明
[0114]11 …PACS
[0115]12…介质制作装置
[0116]13…时间戳管理装置
[0117]14…介质验证装置
[0118]15*“TSA 认证局
[0119]16…网络
[0120]101…共享服务器
[0121]121…图像取得部
[0122]122…文件识别值生成部
[0123]123…介质制作部
[0124]124…介质信息发送部
[0125]131…介质信息接收部
[0126]132…验证识别值生成部
[0127]133…定时产生部
[0128]134…时间戳取得部
[0129]135…时间戳保存部
[0130]136…时间戳发送部
[0131]137…时间戳管理部
[0132]141…文件读取部
[0133]142…时间戳查询部
[0134]143…文件识别值计算部
[0135]144…文件真实性判定部
[0136]145…图像显示部
【权利要求】
1.一种医用信息验证系统,具有时间戳管理装置,该时间戳管理装置具备: 介质信息存储单元,取得和/或存储基于在介质中存储的医用管理对象文件的信息求出的介质信息; 验证识别值生成单元,将多个不同介质的介质信息捆绑在一起生成医用管理对象文件群,并生成与该医用管理对象文件群相对应的验证识别值; 时间戳取得单元,从认证局取得针对所述验证识别值的时间戳; 时间戳信息存储单元,将所述时间戳的时间戳信息与所述医用管理对象文件群相对应地进行存储;以及 时间戳信息发送单元,基于经由网络送来的时间戳查询请求,发送所述时间戳信息。
2.根据权利要求1所述的医用信息验证系统,所述介质信息包含医用管理对象文件名、能够识别所述医用管理对象文件的文件识别值以及识别所述介质的介质识别值。
3.根据权利要求1所述的医用信息验证系统,所述时间戳管理装置对包含所述介质信息、所述验证识别值和所述时间戳信息在内的管理信息进行管理。
4.根据权利要求1所述的医用信息验证系统,所述时间戳信息发送单元针对从验证所述医用管理对象文件的真实性的介质验证装置经由所述网络发送来的时间戳查询请求,发送与所述介质信息相对应的时间戳信息。
5.根据权利要求4所述的医用信息验证系统,所述介质信息还具有将所述多个医用管理对象文件作为树结构进行管理的索引文件和索引文件的文件识别值,在所述索引文件内保存所述多个医用管理对 象文件的文件识别值。
6.根据权利要求5所述的医用信息验证系统,所述时间戳管理装置还具有定时产生单元,所述定时产生单元产生用于从所述认证局取得时间戳的时间戳取得定时。
7.根据权利要求6所述的医用信息验证系统,所述定时产生单元基于定期的计时器请求或者来自所述介质验证装置的请求,产生所述时间戳取得定时。
8.根据权利要求1所述的医用信息验证系统,还具有验证所述医用管理对象文件的真实性的介质验证装置,所述介质验证装置具有时间戳查询单元,所述时间戳查询单元从所述时间戳管理装置取得与所述介质的介质识别值和所述介质中记录的文件识别值相对应的时间戳信息及其验证识别值,使用这些向所述认证局进行查询,从所述认证局取得时间戳的验证结果。
9.根据权利要求8所述的医用信息验证系统,所述介质验证装置还具有: 文件读取单元,从所述介质信息中读取所述医用管理对象文件; 文件识别值计算单元,根据该读取的医用管理对象文件,重新计算文件识别值;以及 文件真实性判定单元,根据重新计算出的所述文件识别值与所述介质内存储的文件识别值的同一性和所述时间戳的验证结果,进行所述医用管理对象文件的真实性判定。
10.根据权利要求9所述的医用信息验证系统,还具有制作所述介质的介质制作装置, 所述介质制作装置具备: 医用管理对象文件取得单元,取得医用管理对象文件; 文件识别值生成单元,根据所述医用管理对象文件生成可识别的文件识别值;以及 介质信息发送单元,在制作了所述介质时,向所述时间戳管理装置发送所述介质信息。
11.根据权利要求10所述的医用信息验证系统,在所述介质内将所述介质验证装置作为应用加以保存。
12.根据权利要求11所述的医用信息验证系统,所述医用管理对象文件遵照DICOM形式,所述索引文件是DIC0MDIR。
13.根据权利要求12所述的医用信息验证系统,所述介质识别值是所述介质的卷标,在所述文件识别值和所述验证识别值中使用散列值。
14.根据权利要求3所述的医用信息验证系统,所述时间戳管理装置在可记录型介质中补写和/或更新了新的医用管理对象文件的情况下,将补写的介质识别值、更新后的医用管理对象文件名、其文件识别值以及更新前的文件识别值,经由所述网络进行接收、存储,在所述可记录型介质中存储存在更新的情况,并且对包含所述可记录型介质更新后的介质识别值、文件识别值、验证识别值和时间戳信息在内的所述管理信息进行管理。
15.根据权利要求10所述的医用信息验证系统,还具有保存所述医用管理对象文件的共享服务器。
16.根据权利要求15所述的医用信息验证系统,所述介质验证装置还具有从所述共享服务器中读取所述医用管理对象文件的文件读取单元。
17.根据权利要求16所述的医用信息验证系统,所述介质制作装置具备向所述共享服务器写入所述医用管理对象文件的一部分或者全部的文件写入单元。
18.根据权利要求17所述的医用信息验证系统,所述介质信息包含用于从所述共享服务器访问所述医用管理对 象文件的链接信息。
【文档编号】G06F21/64GK103597775SQ201380000529
【公开日】2014年2月19日 申请日期:2013年4月24日 优先权日:2012年4月25日
【发明者】吉留巧 申请人:株式会社东芝, 东芝医疗系统株式会社