用于保护和控制对诊断测试化验的分析结果的存取的系统和方法与流程

本发明涉及用于获得并处置来自用于诊断系统的化验单元、读取器单元、诊断装置和诊断套件的分析结果数据的此类诊断系统，以及用于控制对分析结果的存取的方法。

背景技术：

如今，可分析生理样本(例如，体液)的广泛多种生化分析物。准确的医疗诊断是医学治疗的重要部分，例如对健康状况和疾病的识别、监视、预后以及伴随诊断。存在要使用医疗诊断系统的两个主要环境：专用医学实验室和所谓的护理点(PoC)测试。

本描述的上下文中的术语“生理样本”应该包括所有液态、固态或气态材料，其为从患者获得的生物材料(例如，血液、尿液、粪便或组织)，或基于此类生物材料而制备的用于后续分析的样本。

医疗实验室中所使用的实验室诊断装置一般提供广泛多种分析能力。举例来说，由Illumina和Affymetrix出售的装置提供对脱氧核糖核酸(DNA)和核糖核酸(RNA)的分子诊断。临床分析仪(例如，由Roche和Abbott出售的临床分析仪)提供对免疫化学(抗体检测)和临床化学(对小化学分子的检测)的测试。例如由BeckmanCoulter出售的装置可以对体液中的细胞进行计数。

此类诊断装置是灵敏的、准确的和灵活的，且提供较高的处理量。然而，它们还具有较昂贵且需要经过良好训练的人员进行操作的缺点。出于此原因，此类诊断装置主要用于医院实验室和中心医疗实验室中，在那里可以最有效地使用它们。然而，由于此类装置需要来自患者的生理样本，所以必须将所述样本输送到医疗实验室，将在那里执行分析。因此，分析的结果仅在数小时或甚至数日之后才得知。

例如在医疗实践、医院的急诊室、救护车中或甚至在患者身边在护理点靠近患者进行越来越大量的诊断测试。护理点诊断装置常常是便携的，且能够快速地获得分析结果(在数分钟内)。它们的使用一般简单得多，使得可由普通医务人员或甚至患者自身进行诊断测试。

最广泛的护理点诊断装置执行侧流免疫测定剥离测试。此类测试可用于广泛多种诊断指示，例如怀孕、HIV、疟疾、流感测试。多个制造商提供对应的装置，例如SwissPrecisionDiagnostics、Alere、Bayer和Siemens。侧流测试通常限于检测一种或两种分析物和定性检测，例如明显的颜色变化。

AlereTriageMeterPro系统是免疫化学系统，其由呈可消耗的套筒的形式的化验单元以及呈可再使用的台式阅读器的形式的评估装置构成。套筒可用于检测生物标记的面板，例如三蛋白心梗测试面板(Myoglobin、CK-MB和TroponinI)，和药物筛选面板。因此，此类套筒允许同时测试三种分析物的样本。生物标记的每个新面板需要新的测试套筒。Alereepoc系统以及Abotti-STAT系统具有可以测量血液气体、电解质和代谢物的面板的套筒。对于Abotti-STAT系统，测量单心脏标记(TroponinI，CK-MB或BNP)的套筒是可用的。这些装置是灵敏的以及准确的。与实验室诊断机器相比，主要限制是每个受测试分析物的高价格。另一个缺点是有限种类的可用的测试套筒。

新的生物传感器系统允许针对护理点诊断应用对大量分析物进行多路复用的检测。此类装置提供高级的以及集成的分析能力，从而比得上实验室诊断装置的分析能力。

GyrosLab-on-a-CD系统以及AdvancedLiquidLogic数字微流控系统能够使用台式分析仪一次检测100个以上分析物。例如在US5719324、WO2002/048701、US4020830、WO89/009938、US4945045和US5641640中提供用于检测各种生化分析物的其它生物感测方法。

医疗诊断装置通常由可再使用的测量装置以及可消耗的组件(测试单元或试剂)组成。希望进行特定诊断测试的用户将选择具有所需的分析能力的诊断装置。举例来说，想要知道他的血液中的血糖浓度的糖尿病患者可使用包括可再使用的血糖仪和可消耗的血糖测试条的专用诊断系统。

如果评估装置允许执行不同的诊断测试，那么用户将必须选择对应的可消耗的化验单元。举例来说，想要测试心肌梗塞的用户可使用AlereTriage仪表(评估装置)和Cardio3Panel套筒(化验单元)来测试三个心脏生物标记。想要测试其它分析物(例如，进一步的心脏生物标记)的用户将必须选择可执行所需的诊断测试的其它测试套筒。

可消耗的化验单元的成本不是由仅仅实际生产成本界定，而是一方面由制造商回收的R&D成本以及另一方面由适用于特定分析物的特定诊断测试的健康保险赔偿费用界定，这些在国家和/或保险公司等之间一般是不同的。因此，特定化验单元的购买价格将取决于分析能力，例如可由可消耗的化验单元测量的分析物的数目和种类。

这种经由化验单元的购买价格回收成本的方法对于能够测量一个分析物或数个分析物的可消耗的化验单元有效。

仅对于常规上一起需要的测试，可使用分析物的组合，此类组合的测试是针对心脏生物标记或药物滥用筛选。因此，一般仅少数不同的诊断组合测试是可用的。

当与可再使用的评估装置和可消耗的化验单元一起用于护理点诊断时，购买价格方法不会为提供扩展的多路复用能力的诊断系统提供最佳解决方案。举例来说，可在同时测试一百个分析物的诊断系统的应用将是成本高昂的，这是因为购买价格将取决于所述一百个分析物测试的R&D成本和赔偿费用，但可消耗的化验单元的制造成本与具有少得多的诊断能力的化验单元是相当的。

医疗诊断系统越来越多地集成在数据通信网络中，从而允许在医院、医疗实践、中心实验室、患者家以及甚至例如救护车或救援直升机等移动单元之间交换数据。能够与电子保健管理系统通信的医疗诊断系统进一步提供订购、记账、校准以及与电子健康记录同步测试结果的多种益处。然而，在所有此类应用中，敏感的私人医疗数据的保密是个问题。

US2002/0161606、US2005/0055240和US6018713描述了用于订购来自中心临床实验室的诊断测试的系统。所述系统是基于客户端终端和中心实验室中的远程服务器。用户输入患者信息，选择且订购将由中心实验室执行的诊断测试。可将关于诊断测试的结果的报告发送到客户端终端。所执行的测试可自动向健康保险公司收费。虽然具有某些后勤优点，但所公开的系统仍然具有中心实验室的共同问题，即，需要必须将样本输送到实验室，以便进行诊断测试。

EP1776919公开了基于预订的生物传感器监视系统。该系统允许仅在预订有效时使用可再使用的计量装置和可消耗的测试条进行生物传感器测量。计量装置将其识别符代码和ROM电路识别符代码传送到远程服务器，远程服务器验证预订是有效的，且使得计量装置能够进行诊断测试。

WO99/022236提出了用于血糖测试条的基于蜂窝式网络的校准方法。耦合到移动电话的计量装置测量对测试条执行的诊断测试的结果，且将所述结果和所述测试条的识别代码传送到远程服务器。远程服务器将关联到测试条的校准数据传输到移动电话，移动电话随后计算最终的测试结果。所公开的系统未保护测试结果的隐私。

US2004/0181528展示用于护理点装置的库存管理系统。电子系统跟踪多个护理点诊断装置的保质期、消耗时间、室温存放时间，且管理对额外装置的订购以补充库存。所公开的系统受限于库存管理，以及在诊断装置不再可用时对库存的补充。

WO02/100261描述了一种用于护理点体外血液分析的系统。该系统是基于可以进行生物感测测试的经修改的智能卡。将该智能卡插入到智能卡读卡器中，所述读卡器测量模拟输出信号、将所述模拟信号转换为数字信号，且将所述数字原始数据发送到通用计算机装置以产生分析结果。所公开的系统受限于基于经修改的智能卡的生物传感器，且仅可以在通用计算机的帮助下产生分析结果。

对包含分析结果的敏感个人保健数据的未授权或欺诈性存取是主要的安全和隐私问题。

US2012/0029303A1公开了一种包括远程患者装置和诊断装置的虚拟医疗检查系统，其可无线地、通过电线或经由网络进行通信。诊断装置(例如，相机)产生诊断结果，例如图片，且将所述结果数据传输到远程患者装置，远程患者装置对所述数据进行加密且将经加密的数据传输到患者记录服务器。使用诊断装置的医务人员具有对诊断数据的存取权。该系统的目的是提供实时远程虚拟医疗检查。

在US7039810B1中，一或多个植入的医疗装置与本地计算机(“编程者”)无线地通信，其允许对植入的医疗装置进行编程。编程者提供对远程专家数据中心的经加密数据连接。

US2005/065890A1公开了一种安全地分布媒体内容(例如，电影)的方法，例如用于飞机中的媒体播放器，或经由机顶盒和类似物。在一个实施例中，使用内容密钥对媒体内容数据(例如，电影)进行加密。此内容密钥再次使用特定媒体播放器的公共密钥被加密，以用于每个被授权的媒体播放器。用于所有媒体播放器的大量经加密内容密钥与经加密内容数据一起进行分布。每个被授权的媒体播放器可以将使用其自身的特定公共密钥先前加密的内容密钥解密，但无法将其它经加密内容密钥解密。此允许将相同的受保护的媒体内容数据集安全地分布到大量被授权的接收器，而不需要针对每个接收器产生个别受保护的数据载体，且不需要联系远程授权服务器。在另一个变体中，媒体内容数据分裂在若干数据分区中。对于每个分区，提供两个或更多个副本，每个分区副本具有唯一的指纹。所有那些分区都使用不同的内容密钥进行加密。对于每个被授权的媒体播放器，提供表示完整媒体内容的分区的唯一组合，且使用被授权的媒体播放器的公共密钥对对应的个别内容密钥集进行加密。经加密的媒体内容与所有被授权的媒体播放器的所有经加密的内容密钥集一起分布。一旦经解密，完整媒体内容数据集便具有唯一的指纹。因此，可将内容的非法副本追溯到特定媒体播放器。在所有所公开的变体中，相同的受保护的内容经过分布且使得可由大量预先界定的被授权的接收方存取。在过程中不可使内容变得可存取，也不可改变接收方列表。

WO02/01271A1公开了一种用于选择性地加密和解密电子文档的不同部分的方法，其允许将对文档的不同部分的选择性存取等级提供给被授权用户群组。具有特定存取等级的群组中的用户知道此等级的私人密钥，且可存取先前已使用此特定存取等级的对应公共密钥加密的文档的那些部分。不同存取等级的部分还可经过回旋。因此，在具有第一存取等级的部分下，使用第二公共密钥对具有第二存取等级的特定子部分进行加密，且随后使用第一公共密钥对包含经加密子部分的完整部分进行加密。在经加密内容的不同部分与对应于特定存取等级的用户群组之间的指派是静态的。

一般需要允许对用于护理点应用的经多路复用的诊断测试的有成本效益的使用的诊断系统，使得可完全利用此类经多路复用的诊断测试的优点。

本发明的目的

本发明的总的目的是提供有利的诊断系统和诊断装置，以及用以保护诊断测试的结果并且控制对所述数据的存取的方法，其克服了上文提到的问题和其他问题中的一或多者。

本发明的进一步目的是提供用于根据本发明的此类诊断系统和装置中的有利的读取器单元和化验单元。

确切来说，根据本发明的诊断系统允许使用具有用于护理点应用的经多路复用的诊断测试能力的医疗诊断技术，而不需要迫使用户接收所有诊断测试的所有结果。有利的是，用户应该能够在测试之前、在测试期间和/或在测试之后选择用户实际上想要接收哪些分析结果。

此外，根据本发明的诊断系统以及数据保护和存取控制方法应该允许用于诊断测试的灵活支付或预订模型。

本发明的另一个目的是对可消耗的化验单元的简化分布与库存管理、对制造商的改进和扩展的质量控制，以及用于用户的改进的安全水平。

根据本发明的诊断系统和存取控制方法应该始终确保患者数据的保密性。

大体上通过根据独立权利要求的诊断系统、诊断装置、读取器单元、诊断套件和方法来实现这些和其他目的。进一步的有利的实施例是由附属权利要求和描述产生。

技术实现要素：

根据本发明，上文提到的目的尤其是通过一种诊断系统来实现，所述诊断系统能够：对一或多个生理样本执行一或多个诊断测试；测量诊断测试的结果；以及产生对应的数字测量原始数据，从而随后可能在对分析结果数据(例如，血清中的特定分析物的浓度)的辅助数据(例如，传感器的校准数据)的帮助下处理所述原始数据，对所述结果数据进行加密以使得它们不可由用户可逆地存取(数据被锁定)，且在对用户的适当授权之后选择性地启用对所述经加密结果数据的部分或全部的存取。

在本描述的上下文中，术语“经加密数据”、“经锁定数据”和“受保护数据”将被理解为实质上同义，这是因为使用特定加密密钥通过加密而锁定的数据会受到保护而不让不知道解密密钥的未被授权的人员解锁/存取。

用户的授权等级对应于授权用户存取分析结果的诊断测试。经解密、解锁的分析结果数据随后可以用于既定医疗目的。根据本发明的诊断系统因此不是给予用户执行哪些诊断测试的选择，而是分别给予他实际上希望知道所述测试的哪些分析结果或存取哪些分析结果的选择。特别的优点是以下事实：用户的决策并非最终的。他可能稍后希望将进一步的结果解锁。一旦已经获取对那些结果的存取，则在对分析结果的质量没有任何负面后果的情况下，可能：所有分析结果已经被获得并且作为受保护数据存储在第一地方，同时化验单元的一般瞬时的结果具有受约束的使用期限，在该使用期限期间，它们可以从化验单元可靠地读取。

作为在加密之前将测量原始数据处理成分析结果数据的替代方案，测量原始数据可被直接加密，使得仅在对原始数据进行后续解密之后才可能处理成分析结果数据。

诊断芯片或类似的经多路复用的诊断测试化验装置的小型化特征可以集成大量的试剂和传感器。通过集成额外的试剂和传感器而将更多的分析能力增添到诊断芯片会导致最小的边际成本。因此，此类诊断系统的用户可以最小的前期价格购买具有此类诊断芯片的化验单元，并且可以仅购买所需的分析结果，进而消除对额外的诊断芯片的需要且降低总的测试成本。购买价格可因此取决于所购买的分析结果，而不取决于化验单元自身的成本。

应注意，还可将化验单元实现为使得其可仅对一个生理样本执行一个诊断测试，或对来自不同患者的大量生理样本执行一种类型的诊断测试。然而，在此种情况下，发明性诊断系统的一些优点可能不是完全可利用的，而其它优点是可利用的。

此外，可为有用的是，使单个诊断测试化验单元确保诊断系统与较广范围的所供应的化验单元的兼容性，或简化非常昂贵的诊断测试的支付过程。

在特别有利的实施例中，可将根据本发明的读取器单元实现为使得其还能够读出较旧类型的化验单元的结果，进而确保后向兼容性。

可通过向用户提供用以解密且因此解锁对应的经加密数据集的必要构件(例如，通过提供解密所必需的密钥数据)，或通过具有在诊断系统的安全领域中解密的对应经加密数据，且将现在解锁的可使用的分析结果数据递送给用户，而使得用户能够存取某些分析结果。其他的仍被加密的数据集即使为用户所知也仍受到保护，这是因为信息内容是不可存取的，且对用户锁定。

因为实际上已经执行所有诊断测试，所以经解锁的分析结果可经存储以供以经加密数据集的形式进一步使用，且可在未来的任何时间启用存取。因此，根据本发明的诊断系统提供甚至在稍后时间点启用某些诊断测试的可能性。举例来说，仅当已经启用的诊断测试的结果建议必须进一步研究的特定可能诊断时，某些诊断测试可变得相关。

甚至还可能在没有任何授权构件的情况下分布化验单元，在这种情况下，购买价格可被选得非常低，这是因为其实质上仅必须覆盖基本的制造和分布成本。随后可单独地分布授权构件。

此类方法还由于最大贮存期的到期而降低了化验单元的所有者的潜在财务损失。因为需要更少的不同类型的化验单元，所以可减小库存的化验单元的总数，这另外减少了被束缚于硬件中的资金。

本描述的上下文中的术语“用户”或“用户领域”不仅是指人类，例如操作根据本发明的诊断装置的患者或医务人员。这些术语还包含诊断系统的在用户的实际控制下的所有部分，例如辅助计算机装置，例如膝上型计算机、台式计算机或智能电话，其至少临时是根据本发明的诊断系统的部分。因此，诊断系统的用户领域中的数据原则上必须视为用户是知道的，且仅在使用用户不知道的密钥进行锁定和加密的情况下受保护以免于未授权的使用。

根据本发明的诊断系统的“安全部分”或“安全领域”是诊断系统的不可由用户完全和不受限地存取的部分。举例来说，可以防篡改的方式实现在处置尚未加密的测量原始数据和分析结果数据中涉及的以及在对测量数据的后续加密中涉及的所有电子部分。仅在大量时间和努力以及恶意致力的情况下才可能取得对所述防篡改电子部分的安全领域内的数据的未授权存取。

可通过不同的手段实现对此类电子部分的保护，包含对电子电路的机械保护，例如通过将电子电路嵌入合成树脂中，或通过尤其以防篡改的方式设计所述电路。从现有技术、尤其在电子零售支付系统和类似物中知晓对应的技术和方法。

从将诊断测试过程分裂为i)执行诊断测试以及ii)使诊断结果可存取的本发明的基本发明性原理可见，有可能使用能够对单个样本执行大量不同诊断测试的化验单元，而不需要实际上以具有此类能力的化验单元适当的购买价格出售所述化验单元。因为用户将仅取得对他被授权的特定诊断测试群组的结果的存取权，所以可忽略虽然实际上已经执行的其他诊断测试的化验单元的购买价格，这是因为它们被锁定且不可由用户存取。

在根据本发明的诊断系统中，可使用例如能够关于100个不同生物标记同时分析患者的血液样本的化验单元。然而，化验单元可与授权构件一起分布，所述授权构件仅启用对三个特定生物标记的分析结果的存取，所述三个特定生物标记例如是关于诊断心肌梗塞的Myoglobin、CK-MB和TroponinI。因此，购买价格是由这三个诊断测试界定，且可界定得比在所有分析结果可由用户使用的情况下(如在现有技术中)所需的购买价格低得多。

相同类型的化验单元还可与用于生物标记的另一个面板或用于仅单个生物标记的授权构件一起出售。仅有的差异是授权构件，因此是用户被预先授权且其分析结果变得可由用户存取的诊断测试的种类。

因为需要更少类型的不同化验单元，所以与当必须生产若干不同的化验单元时可能的情况相比，可生产多得多的数目的单元。所得的较低的制造成本还会补偿用于将更多不同的测试添加到化验单元的任何额外制造成本。

根据本发明的诊断系统可实现为集成式单个装置，或实现为具有两个或更多单独单元或装置的系统，所述两个或更多单独单元或装置至少在使用期间例如通过电子接口、数据连接等进行操作性地耦合。该诊断系统的一些单元和部分还可远程定位。

在本发明的特别有利的变体中，根据本发明的诊断系统包括：一或多个化验单元，其能够对一或多个生理样本执行一或多个诊断测试；以及可再使用的读取器单元，化验单元可操作性地耦合到所述读取器单元，且所述读取器单元能够从化验单元读出诊断测试信号或测量原始数据。

化验单元有利地作为可消耗的部分而提供，其可仅使用一次，且在使用之后丢弃。因此，确切地说，与生理样本材料接触或可能接触的所有元件有利地是一次性化验单元的部分。

另一方面，读取器单元有利地是包括更昂贵的电子部分和/或可使用一次以上而不会不利地影响诊断测试的质量的其他部分的可再使用的装置。

读取器单元还可读取在化验单元上提供的其他数据，例如存储在存储器芯片或一维或二维条形码上的其他数据。此类数据还可包含由用户读取且使用对应的接口构件(例如，键盘)输入到读取器单元中的字母数字数据。作为在化验单元自身上提供其他数据的替代，还可在其中包装着化验单元的封装上或伴随的数据载体(例如，印制卡或纸、芯片卡或类似物)上提供所述数据的部分或全部。

可使用含有用于数据和密钥存储的非易失性存储器的认证集成电路实施化验单元的数据载体。认证可例如基于使用询问响应消息的主从系统。此类集成电路可得自若干制造商，例如Atmel、NXP、Maxim、TexasInstruments。认证集成电路使用基于标准的算法提供强健和可负担的密码安全性。

所述其他数据可包括辅助数据，例如评估诊断测试的结果所需的校准数据、批号、化验单元类型、时戳、唯一的化验单元识别符等。所述其他数据可进一步包括授权数据，其将使得用户能够存取分析结果数据的部分或全部。

读取器单元被配置成通过对数据进行加密而防止对测量原始数据或从测量原始数据获得的分析结果数据的存取。任选地，所述其他数据的部分或全部也可经过加密，或可保持为纯文本。

至少读取器单元必须属于诊断系统的安全领域，使得仅经加密的分析结果数据可例如经由电子接口从外部获得。

任选地，还可能保护化验单元与读取器单元之间的功能连接，使得恶意的用户不可能通过直接存取化验单元而绕开根据本发明的保护机制，当连接是电子接口时这种情况可尤其相关。在这种情况下，化验单元也属于安全领域。

随后将经加密数据提供给操作性地耦合到读取器单元的诊断系统的评估单元。评估单元属于诊断系统的用户领域，且有利地执行数据处置，包含使得特定受保护和被锁定的数据可由用户存取。评估单元可例如实现为标准计算机装置，在上面提供软件，其允许利用计算机装置的已经存在的硬件(例如，CPU、存储器和数据存储构件、电子接口、显示器、键盘等)执行必需的任务。

为了提供额外的安全水平，使得评估装置能够执行其任务的软件有利地仅在读取器单元和/或化验单元连接到评估单元的情况下才操作。因此，读取器单元或化验单元可充当硬件密钥(所谓的电子狗)。或者，必需的软件或其实质部分可不存储在评估单元自身上，而是存储在读取器单元或化验单元的存储器模块上。举例来说，读取器单元或化验单元可包括专用的快闪存储器单元，其当连接到上面存储了软件的评估单元时可显现为存储容量。

在化验单元上提供某些软件元件具有额外的优点：新类型的化验单元可使必需的软件元件与它们一起携带，使得不需要对评估单元或读取器单元的手动软件更新。

可经由合适的数据接口(例如，总线接口(例如，USB、RS232等)、光纤连接，或无线通信链路(例如，蓝牙、WLAN、IR接口)，或另一个合适的数据链路)将数据从读取器单元传递到评估。还可例如通过将数据临时存储在便携式存储器装置(例如，智能卡、快闪存储器装置和卡、可写入CD–ROM)上而手动地进行数据传递，所述便携式存储器装置随后在功能上连接到评估单元。

评估单元(例如，计算机装置)具备允许进行以下操作的构件：执行各种任务(例如，管理经加密数据、获得授权数据、基于可用的授权构件将数据解密)；将数据处理成分析结果；与远程系统通信；存储数据等。

评估单元将执行诊断系统的任务和功能的至少部分，其可在公开领域中发生而不会损害被锁定的分析结果的安全性。因为那些任务和功能(包含数据处理)不需要特殊或不寻常的硬件，所以使用普通的计算机装置用于那些任务具有以下优点：可降低整体硬件成本，因为计算机装置已经可由用户使用，或可以相当低的成本获取。

另一方面，根据本发明的诊断系统的读取器单元有利地仅包括从化验单元获得测量原始数据或分析结果数据且通过加密来保护所述数据所必要的最少的硬件和软件。

在根据本发明的其他实施例中，读取器单元的功能以及评估单元的功能的部分或全部集成在一个单个诊断装置中。

或者，可提供集成式诊断装置，其中化验单元和读取器单元不可分开。当诊断测试设置和对应的读出电子器件深度集成在检测技术中且不可容易地实现为单独的可再使用的部分时，这可为尤其有利的。

然而，化验单元、读取器单元和/或评估单元是实现为单独单元还是部分组合在集成装置中的问题对于本发明并非主要相关。如果此类集成是有利的或不主要取决于所涉及的诊断测试技术以及所涉及的成本。对于具有相当高的制造成本的化验单元，可能仅与电子器件的一些部分或甚至包含加密和或数据处理电子器件的整个电子器件是否为可消耗的化验单元的部分的经济视角无关。此外，必须假设在未来电子部件将变得越来越不昂贵、更加节能且更小，其全部都有利于集成方法。

评估单元可仅位于读取器单元的地方。然而，还可在较长的距离上建立必需的数据连接，例如，通信网络。因此，评估单元可位于不同的房间内，或可甚至更远。

用于取得对经启用的诊断测试的受保护和被锁定的结果的存取权所需的授权构件可以存储在存储器芯片中的授权数据的形式提供，或作为印刷的一维或二维条形码或甚至作为印刷在化验单元上的必须手动地输入到评估装置中的字母数字代码而提供。有利的是，授权数据是唯一的，且仅针对特定的化验单元实体而起作用，这将防止对授权构件的可能误用。

授权构件可直接在化验单元上或在单独单元上提供，所述单独单元例如是包括授权数据的伴随的智能卡，或仅为具有印刷的条形码或字母数字代码的一张纸。

对分析结果的保护是重要的，以便控制对诊断测试的结果的存取，且防止欺诈性动作。在有利的方法中，读取器单元和化验单元与主机控制器和安全认证器的构件通信。读取器单元的主机控制器将询问发送到化验单元的安全认证器，且接收响应。此响应由读取器单元评估以建立化验单元的可靠性。此类方法是熟练的技术人员已知的，且可使用含有用于数据和密钥存储的非易失性存储器的认证集成电路来实施。认证可例如基于使用询问响应消息的主从系统。此类集成电路可得自若干制造商，这已经在上文进一步解释。

如果读取器单元将化验单元识别为可靠的，那么化验单元将存储在化验单元的存储器模块中的经加密规则传递到读取器单元中的安全存储器模块。安全存储器包括私人密钥，其允许将经加密规则解密，以便检索匹配规则。一旦已经获得匹配规则，便将个别的测量原始数据指派给个别诊断测试，且编译化验单元的分析结果。分析结果数据集随后经过加密且最终以此受保护和被锁定的形式提供给用户。所有这些步骤是在读取器单元的安全领域中(例如，在专用的防篡改电子电路中)执行的。

在一个变体中，所述匹配规则包括测试元件识别符及其对应的分析物识别符的列表，需要所述列表来将大量所获得的原始数据匹配于已经并行执行的特定诊断测试。换句话说，需要匹配规则来将测试元件的测得的原始数据转换为分析结果列表。举例来说，在具有用于布置在矩阵中的大量分析物的测试元件的光学检测化验单元的情况下，匹配规则允许知道哪一测试元件对应于哪一被检测的分析物。

有利的是，在化验单元上以一种加密形式提供匹配规则，使得具有相同的匹配规则的化验单元群组或个别化验单元包括不同的经加密规则。这可例如通过在加密之前例如通过根据特定规则重新布置数据来可逆地更改匹配规则的数据集而实现。结果将是用于相同的匹配规则的不同经加密规则数据集。

在更有利的变体中，匹配规则和/或经加密规则随时间改变。举例来说，可针对每一批新的化验单元产生一组新的测试元件位置，从而产生新的匹配规则。或者，或另外，可针对每一批或甚至针对每个个别的化验单元将匹配规则转换为不同的经加密规则(参看上文)。对应的经加密规则被存储在(例如)化验单元的存储器模块中。最合理的方法将是针对每个新制造的化验单元产生一个新的匹配规则。

在替代性变体中，存储在化验单元上的匹配规则对应于数据库记录的识别符，其中数据库存储在读取器单元的安全存储器中。数据库记录包括用以使原始数据与它们代表的分析结果匹配的必需信息。数据库记录可例如包括测试元件识别符与它们的对应分析物识别符的匹配列表。此方法具有以下优点：使化验单元的数据载体上所需的存储器的量减到最少，且降低对读取器单元的存储器需求。又另一替代方案将是将数据库存储在安全远程数据库中，在安全通道上将数据库记录传输到读取器单元。

在又另一实施例中，可以加密的形式提供数据库记录。除了适当的数据库记录的识别符之外，匹配规则随后包括解密密钥，其允许将对应的数据库记录解密。

在进一步的实施例中，经加密规则可直接嵌入测试元件的布置中。可将某些测试元件用作数据载体来存储经加密规则，而不是用于诊断测试目的。测量原始数据的读取器单元随后读取这些测试元件且获得经加密规则。

此保护方法的益处是，分析结果受到保护且仅可由被授权的用户修改。另一益处是，仅可靠的化验单元可用于获得正确的原始数据和对应的分析结果。又另一益处是，仅可靠的读取器单元用于获得正确的原始数据和对应的分析结果。仅经过批准的可靠的读取器单元和化验单元用于使它们的提供快速、准确、精确、灵敏、大动态范围的分析结果的能力最大化。

虽然不法用户可尝试破译化验单元的匹配规则，但此任务将需要大量的相同的化验单元，且将是极其耗时的、非明显的，且是代价高的。以下事实将使得此任务实际上不可能：匹配规则和测试元件位置将定期改变，且用户无法辨识哪些化验单元包括相同的匹配规则。

为了允许购买分析结果，或更准确来说购买对已经存在的但受保护的分析结果的存取权，防篡改读取器单元可配备有电子信用单元存储器，其可通过将读取器单元与远程支付结算服务器临时连接和同步来补充。为了购买分析结果，信用存储器的计数器被减小信用单元的对应量。此实施例具有以下优点：除了使用信用单元重新加载信用存储器的较短时间周期之外，不需要在线存取。作为在使用之前必须重新加载的信用存储器且因此是基于预先支付模型的替代，还可能记录所花费的信用单元，且定期使信用余额与远程支付结算服务器同步，远程支付结算服务器随后可开具发票或针对所使用的信用单元向账户收费。这些方法还可进行组合。

在本发明的另一个有利的实施例中，作为将授权构件完全集成到化验单元中的替代，还可能与远程授权服务器组合地实现授权构件。在此实施例中，评估单元至少临时需要对远程授权服务器的存取。随后由远程授权服务器将用以解锁对被启用的分析结果数据的存取所需的授权数据提供给用户。

在本发明的一个有利的变体中，读取器单元使用对称加密算法分别对测试测量原始数据或分析结果数据进行加密。对称加密算法(还被称为私密密钥加密)是基于仅所涉及的通信伙伴已知的共享私密密钥，其中使用相同的密钥用于加密和解密。实例是AES、Blowfish、CAST5、DES、IDEA、RC2、RC4、RC6、Serpent、TripleDES、Twofish等等。作为使用加密算法的替代，可将与将被加密的数据相等长度的二进制密钥mod2添加到数据。此方法需要比加密算法更长的密钥，但更安全和快速。因为将被加密的数据集不是特别长，所以密钥也不特别长。

为了允许在稍后阶段对特定分析结果的选择性解锁，使用不同的密钥A1,A2,…An对对应于诊断测试T1,T2,…Tn的不同分析结果的不同数据集D1,D2,…Dn进行个别加密。优选的是，密钥是用于一次性使用的随机密钥，其仅在使用之前产生，且不会使用第二次。在加密之前，可任选地使用额外的元数据扩展数据集D1,D2,…Dn，所述元数据包括其他有用的数据，例如诊断测试编号、化验单元ID、读取器单元ID等。经加密数据AD1,AD2,…ADn被从读取器单元传递到评估单元，且存储在那里以供稍后使用。

私密密钥A1,A2,…An还可与额外的元数据组合成为经扩展的密钥数据集A*1,A*2,…A*n，所述元数据包括其他有用的数据，例如诊断测试编号、化验单元ID、读取器单元ID等。经扩展的密钥数据集随后使用非对称加密算法(还被称为公共密钥加密)被二次加密。

此类非对称加密算法的实例是RSA、Diffie-Hellman、数字签名算法、ElGamal、ECDSA、XTR。在此类非对称加密中，仅接收者知道的私人密钥B使得接收者能够将数据解密，同时使得关联到私人密钥B的公共密钥C可由想要发送数据的潜在通信伙伴使用，且允许他们对数据进行加密，但不允许将其解密。对于将被加密的更大的数据集，通过使用私密密钥(有利的是用于一次性使用的随机密钥)和对称加密算法对数据进行加密，且随后使用公共密钥和非对称加密算法对私密密钥自身进行加密，非对称加密可与对称加密进行组合。经加密的私密密钥可随后与经加密数据集一起进行传输。

在发明性诊断系统中，应该有利地提供已经存储在安全领域(例如，化验单元或读取器单元)中的公共密钥，以便避免由于从外部提供伪造的公共密钥而进行篡改的风险。

在使用公共密钥C进行加密之后，将经加密的密钥数据CA*1,CA*2,…CA*n传递到远程授权服务器。有利的是，经加密的密钥数据存储在读取器单元中，或更有利的是，存储在评估单元中，其中它们可以与对应的经加密数据AD1,AD2,…ADn存储在一起。作为发送所有经加密的密钥数据的替代，可以仅将属于所需的分析结果的密钥发送到远程授权服务器。

在远程授权服务器上，密钥数据被临时存储。用户随后可以通过购买用于存取一或多个诊断测试(例如，测试T2、T7和T34)的分析结果的授权构件而将所述诊断测试解锁，所述购买例如是通过信用卡支付、对账户记账、开具发票、转换预付凭证等。对应的远程电子支付技术是熟练的技术人员众所周知的。在已经针对某些诊断测试预先启用化验单元的情况下，对应的唯一识别构件(例如，化验单元ID)将允许远程服务器从本地数据库获得必需的授权数据信息。

一旦支付交易已经适当地结束，或已经从数据库检索到化验单元ID的授权信息，授权服务器便使用私人密钥B将被启用的经加密的密钥数据CA*2、CA*7、CA*34进行解密。经解密的密钥A*2、A*7、A*34对应于所需的诊断测试，且随后被发送回评估单元，其中使用所述密钥将被启用的经加密数据AD2、AD7、AD34解密为可存取的分析结果D2、D7、D34。

本发明的上文提到的变体具有以下优点：没有结果数据被传递到远程服务器，而是仅传递不具有信息内容的密钥数据，使得对远程服务器上的敏感患者数据或类似物的欺诈性存取是不可能的。

在本发明的另一个变体中读取器单元使用公共密钥C通过非对称加密算法直接将测试测量原始或诊断结果数据D加密，且将经加密数据CD传递到远程服务器，其中它们在确立授权之后被解密，且作为可存取的数据D返回到评估单元。有利的是，在此解决方案中，诊断装置与远程授权服务器之间的数据连接经过加密，以便确保关于可监视通信网络的外方的数据保密性。

为了确保在这种情况下甚至关于远程授权服务器的数据保密性，分析结果数据D可由读取器单元使用远程授权服务器不知道的额外私密用户密钥E进行加密。使用公共密钥C将这些经加密数据ED进行加密，且将这些双重加密的数据CED传输到远程授权服务器。私密用户密钥E可基于由用户选择的密码，或由读取器单元产生且提供给用户的一次性随机密钥。

远程授权服务器将能够使用其私人密钥B将数据集的一个加密等级进行解密，且将随后将仍被加密的数据ED返回到用户。然而，远程授权服务器系统自身无法存取数据ED，这是因为密钥E不可由远程授权服务器使用。因此确保了数据私密性，即使第三方获得对远程服务器的未授权或欺诈性存取也如此。一旦数据ED返回到评估单元，用户便可使用私密密钥E移除第二加密等级。诊断测试结果D最终可由用户存取。

将完整数据传递到远程授权服务器会提供额外的优点：结果可以被远程存储，以便确保未来的持续可用性，且作为备份解决方案。

已经在上文简要论述，对于其中是经由远程授权服务器启用存取的本发明的实施例，分布针对特定诊断测试或一组特定诊断测试而预先启用的化验单元是特别有利的。作为将必需的存取数据存储在每个单个化验单元上或向每个化验单元提供此类授权数据的额外载体的替代，在制造期间记录对应的唯一化验单元ID，且预先启用的诊断测试的授权数据存储在本地数据库中。授权程序于是由以下各者组成：将化验单元ID与经加密的密钥数据或经加密的分析结果数据一起从评估单元传递到远程授权服务器；将密钥或预先启用的诊断测试的分析结果解密；以及将经解密的数据返回到用户。

在本发明的特别有利的实施例中，可以实施不同授权等级。在特定分析结果位于特定所界定的值范围内的情况下，第一授权等级可例如仅提供对信息的存取。用户接口可随后强调分析结果分别位于范围内或范围外的诊断测试，此可例如给出潜在有问题的健康状况的指示。在用户希望进一步检查某些结果的情况下，他可以随后购买第二授权等级，所述第二授权等级提供对分析结果的完全存取。本发明的此变体可尤其用于快速扫描经过多个分析物，且检查患者的整体健康状况。

根据本发明的诊断系统的进一步优点是因为以下事实而给出：假设某些批次的化验单元或它们的所包含的测试的部分稍后被发现例如由于生产问题而潜在地容易发生错误结果，那么可经由远程授权服务器组织召回程序。举例来说，可以一种方式设置授权程序，使得在执行诊断测试之前，化验单元必须例如通过传输化验单元ID而向授权单元预先注册。假设对应的ID属于已经被召回的一组化验单元，那么将警告消息提供给用户，请求不要使用所述化验单元且将其返回到制造商。

可使用相同的程序来防止使用已经达到它们的最大使用期限的化验单元，或防止对化验单元的意外第二次使用。如果任凭先前的警告而已经执行诊断测试，那么可取决于问题严重性而采取适当的措施。可拒绝对分析结果的存取，或可通过警告消息完成结果，用户必须确认对警告消息的接收。

另一个优点是可能预防假冒的化验单元。不是源自经过批准的制造商的化验单元可能满足不了必须的质量标准。然而，用户可能难以辨识出此类未被批准的产品，且制造商可能有负责它未生产的产品的风险。由于可以在制造期间注册所有经批准的化验单元，所以可容易识别未被批准的化验单元。

本发明的另一个优点是，分析结果可以例如在医院内通过网络共享，且由远程被授权的用户存取。随后可以从例如患者房间内的专用评估单元，或从例如在负责的医生的办公室内的计算装置上的被授权的远程存取装置存取、选择、查看或购买分析结果。通过在测量分析结果之后对分析结果进行加密，有可能保护患者的个人数据的私密性。

在此方法的变体中，评估单元可将从读取器单元接收的受保护、被锁定的数据和/或未被锁定的分析结果数据存储在远程存储服务器上。此类远程存储服务器可以是为了特定用户或用户群组而操作的专用服务器。或者，远程存储服务器可以与由第三方操作的远程授权服务器组合地实现。在后一种情况下，远程存储服务器可以有利地存储所有诊断测试的已经未被锁定的数据，但任选地，可以使用用户的私密密钥对所述数据进行加密。

此变体是特别有利的，因为可以确保适当的长期数据存储，包含备份，且分析数据可由远程存取装置(例如，医生办公室内的计算机)更便利地存取，以用于检视已经存在的结果数据，或用于购买对进一步的分析结果的存取。

在根据本发明的诊断系统的又进一步实施例中，该实施例不需要到远程服务器的连接以用于购买额外的分析结果，例如智能卡装置等防篡改授权单元包括私人密钥B以及预先加载的信用单元计数器。授权单元操作性地连接到读取器单元或评估单元(例如，在具有标准智能卡读取器的智能卡的情况下)，或可以临时或永久地集成到化验单元中。读取器单元将使用对应于存储在授权装置上的私人密钥B的公共密钥C以使用公共密钥C间接地或直接地对结果数据D进行加密，其类似于上文针对远程授权服务器而论述的方法。因此，将经加密的数据AD和经加密的私密密钥CA提供给评估单元，或将经加密的数据CD提供给评估单元。当用户想要购买或查看分析结果时，分别将经加密的密钥CA或经加密的数据CD与关于所请求的诊断测试结果的信息一起传输到授权装置。授权装置因此减小信用单元计数器，使用私人密钥B将数据解密，且将经解密的数据A或D返回到评估单元。

在此实施例的进一步变体中，读取器单元使用一组公共密钥中的一者对分析结果进行加密，且将它们提供给评估单元。对应于读取器单元公共密钥的所述组私人密钥存储在防篡改授权装置上。当用户想要购买或查看分析结果时，评估单元向授权装置请求将数据解密所需的对应的私人密钥。授权递减信用单元计数器，且提供所请求的私人密钥。每一对公共/私人密钥必须仅使用一次。评估单元随后使用私人密钥将分析结果解密且将分析结果提供给用户。

所述对公共密钥与私人密钥之间的对应性证实授权装置自身的可靠性。在私人密钥集必定已经存在于授权单元上时，公共密钥集早已与化验单元一起提供，或基于授权装置的唯一识别符从受信任的远程服务器下载，或在预先安装的本地数据库上提供。后两种可能性是特别有利的，因为在第一种情况下，授权装置仅与特定化验单元组合地起作用。

此实施例的另一个变体是使用细粒存取控制加密，其中单个公共密钥和单独的私人密钥用于每个分析结果。私人密钥存储在授权装置上，且公共密钥存储在读取器单元上。在此实例中，可使用读取器单元中的公共密钥对分析结果进行加密，且随后可使用智能卡中的私人密钥将某些分析结果解密。存在用于细粒存取控制的若干技术。一种此类技术是基于属性的加密。

在又另一个变体中，将经加密的分析结果从读取器单元传递到授权装置，经加密的分析结果安全地存储在那里。

在又进一步的实施例中，将私密密钥提供给读取器单元和/或评估单元和/或远程服务器。读取器单元将使用私密密钥对分析结果数据进行加密。当用户想要购买或查看分析结果时，评估单元可使用私密密钥将分析结果解密且将它们提供给用户。可将经加密的分析结果从读取器单元传输到远程存储服务器和远程存取装置，其各自都具有私密密钥。虽然简单，但只要私密密钥保持被隐藏且不可由用户存取，此方法便是唯一安全的。此实施例进一步要求制造商在读取器单元、评估单元等上提供私密密钥。或者，可使用标准安全数据传递技术将私密密钥从读取器单元传输到服务器和其他远程存取装置。

在本发明的另一个变体中，从化验单元选择性地读出传感器数据。用户可选择所要的分析结果。读取器单元可仅从传感器读出获得选定的分析结果所需的数据。当用户在诊断测试之前知道需要哪些分析结果时，此变体可为有用的。然而，该变体可能具有缺点：不读取某些传感器数据，且因此不可逆地丢弃一些潜在的分析结果。

本发明可包括所附权利要求书中所叙述的特征中的一或多者，和/或以下特征中的一或多者及其组合。

根据本发明的读取器单元的有利实施例被配置成与能够对一或多个生理样本执行一或多个诊断测试的化验单元操作性地耦合，且被配置成获得在与读取器单元操作性地耦合的化验单元上执行的诊断测试的测试原始数据。读取器单元包括数据保护模块，所述数据保护模块被配置成：获得且临时存储测试原始数据；将所述测试原始数据转换为分析结果数据；使用锁定密钥数据将所述分析结果数据加密为经加密数据；以及在输出接口上提供所述经加密数据。保护模块是被配置成防止对存储在所述模块中的数据的存取的防篡改模块。因此，保护模块与读取器单元作为整体会提供对经加密数据的存取，但不提供对分析结果数据的存取。

有利的是，保护模块包括用于执行加密的加密模块。

在根据本发明的读取器单元的所述先前实施例的另一个有利变体中，读取器单元被配置成从第二数据接口接收辅助数据。

在根据本发明的读取器单元的所述先前实施例的进一步有利的变体中，保护模块被配置成使用第二等级密钥数据将锁定密钥数据加密为经加密的锁定密钥数据，且在输出接口上提供所述经加密的锁定密钥数据。因此，保护模块与读取器单元作为整体会提供对经加密的锁定密钥数据的存取，但不提供对锁定密钥数据的存取。

在根据本发明的读取器单元的所述先前实施例的又另一个有利变体中，读取器单元被配置成在第一数据接口上提供数据。

根据本发明的诊断装置的有利实施例包括如上文所描述的根据本发明的读取器单元，以及能够对一或多个生理样本执行一或多个诊断测试的化验单元。所述化验单元和所述读取器单元永久地或可释放地彼此操作性地耦合，且读取器单元被配置成获得在化验单元上执行的诊断测试的测试原始数据。或者或另外，诊断装置包括评估单元，所述评估单元和读取器单元永久地或可释放地彼此操作性地耦合，且评估单元被配置成：从读取器单元接收数据；使用授权密钥数据将所述数据的至少部分解密；以及使用经解密的输出数据以用于获得分析结果数据。

在根据本发明的此类诊断装置的有利变体中，评估单元包括被配置成将经加密数据解密的数据处理模块。

在根据本发明的所述诊断装置的另一个有利变体中，所述评估单元包括数据输出模块，例如显示器或打印机；和/或数据输入模块，例如键盘或跟踪垫；和/或组合式数据输入/输出模块，例如触摸屏。

根据本发明的诊断系统的有利实施例包括一或多个上文所论述的根据本发明的读取器单元；能够对一或多个生理样本执行一或多个诊断测试的一或多个化验单元，所述化验单元被配置成操作性地耦合到读取器单元，且所述读取器单元被配置成获得在化验单元上执行的诊断测试的测试原始数据；以及一或多个评估单元，其被配置成操作性地耦合到读取器单元，从而：从读取器单元接收数据；使用授权密钥数据将所述数据的至少部分解密；以及使用经解密的输出数据以用于获得分析结果数据。

有利的是，所述评估单元包括被配置成将经加密数据解密的数据处理模块。

所述评估单元可包括数据输出模块，例如显示器或打印机；和/或数据输入模块，例如键盘或跟踪垫；和/或组合式数据输入/输出模块，例如触摸屏。

在根据本发明的诊断系统的一个有利变体中，一或多个授权单元操作性地耦合到评估单元，且/或一或多个远程授权服务器经由通信网络连接到评估单元。授权单元和/或远程授权服务器被配置成在满足某些条件之后将授权密钥数据提供给评估单元。

在根据本发明的诊断系统的一个有利变体中，一或多个授权单元操作性地耦合到评估单元，且/或一或多个远程授权服务器经由通信网络连接到评估单元。授权单元和/或远程授权服务器被配置成：从评估单元接收经加密数据；在满足某些条件之后将经加密数据的部分或全部解密；以及将经解密的数据提供给评估单元。

在根据本发明的诊断系统的两个所述变体中，必须满足的某些条件是将特定授权数据提供给授权单元和/或远程授权服务器。

根据本发明的诊断套件包括：一或多个化验单元，其具有能够对一或多个生理样本执行一或多个诊断测试的测试模块；以及如上文所论述的根据本发明的读取器单元。

根据本发明的用于控制用户对来自整个数据集的用户被授权的数据子集的存取、尤其用于控制用户对多路复用化验单元的分析结果的存取的方法的有利变体包括以下步骤：I)提供整个数据集；II)使用锁定密钥数据对整个数据集进行加密；III)将经加密的数据集提供给用户；以及IV)向用户提供授权构件，所述授权构件使得用户能够取得对经加密数据集的对应于用户被授权的数据子集的那个部分但不是经加密数据集的其他部分的存取。

在用于控制用户对化验单元的分析结果的存取的所述方法的特别有利的变体中，所述方法包括以下步骤：a)提供化验单元，所述化验单元被配置成对一或多个生理样本并行地执行多个诊断测试；b)从所述化验单元读出所述多个诊断测试的分析结果的整个数据集；c)使用锁定密钥数据对分析结果的整个数据集进行加密；d)将分析结果的经加密的整个数据集提供给用户；以及e)向用户提供授权构件，所述授权构件使得用户能够取得对存在于分析结果的经加密的整个数据集中的分析结果的整个数据集的特定被授权子集的存取，但不取得对分析结果的整个数据集的其他部分的存取。

在根据本发明的此类方法的一个有利变体中，所述授权构件是授权密钥数据，其允许将经加密数据(即，分析结果的经加密的整个数据集)的某些部分解密，使得经解密的数据对应于被授权的数据子集，即，分析结果的整个数据集的特定被授权子集。

在根据本发明的此类方法的另一个有利变体中，所述授权构件是授权数据，其使得用户能够从授权单元或从远程授权服务器接收授权密钥数据，其中所述授权密钥数据允许将经加密数据(即，分析结果的经加密的整个数据集)的某些部分解密，使得经解密的数据对应于被授权的数据子集，即，分析结果的整个数据集的特定被授权子集。

有利的是，在根据本发明的所述方法中，在步骤II)/步骤c)中，数据集的不同子集(即，分析结果的整个数据集的不同子集)是使用不同的锁定密钥(其一起形成锁定密钥数据)加密为经加密数据的不同子集，所述不同子集一起形成经加密数据，即，分析结果的经加密的整个数据集。

步骤II)/步骤c)中的加密可使用非对称加密算法进行，且锁定密钥可为非对称加密算法的公共密钥。

在使用非对称加密的此方法的特别有利的变体中，授权构件是非对称加密算法的私人密钥，其一起形成授权密钥数据，其中所述私人密钥允许将经加密数据的那些子集(即，分析结果的经加密的整个数据集的那些子集)解密，分析结果的经解密的数据子集对应于被授权的数据子集，即，分析结果的整个数据集的特定被授权子集。

或者，步骤II)/步骤c)中的加密可使用对称加密算法进行，且锁定密钥可为对称加密算法的私密密钥。

在使用对称加密的此方法的一个特别有利的变体中，授权构件是锁定密钥数据的特定密钥，其一起形成授权密钥数据，其中所述特定密钥允许将经加密数据的那些子集(即，分析结果的经加密的整个数据集的那些子集)解密，分析结果的经解密的数据子集对应于被授权的数据子集，即，分析结果的整个数据集的特定被授权子集。

在使用对称加密的此方法的另一个特别有利的变体中，在步骤II)/步骤c)之后，通过非对称加密算法使用用于非对称加密算法的一或多个公共密钥(其一起形成第二等级密钥数据)将锁定密钥数据加密为经加密的锁定密钥数据。

在所述方法的此变体中，可将所述经加密的锁定密钥数据提供给用户。或者或另外，可将经加密的锁定密钥数据提供给授权单元或远程授权服务器，且授权构件可为授权数据，所述授权数据使得用户能够命令授权单元或远程授权服务器：将经加密的锁定密钥数据的某些部分解密，使得经解密的锁定密钥数据对应于允许将经加密数据的子集解密的那些锁定密钥，所述经加密数据的子集的经解密的数据子集对应于数据的被授权子集；以及将经解密的锁定密钥数据提供给用户。

在如上文所描述的根据本发明的基本方法的又另一个有利变体中，经加密数据(即，分析结果的经加密的整个数据集)被提供给授权单元或远程授权服务器。授权构件是授权数据，所述授权数据使得用户能够命令授权单元或远程授权服务器：将经加密数据的某些部分解密，使得经解密数据对应于数据的被授权子集，即，对应于分析结果的整个数据集(73,74)的特定被授权子集(73a,74a)；以及将经解密数据提供给用户。在特别有利的变体中，在步骤II)/步骤c)中的加密之前，使用提供给用户的私人密钥数据对数据集的不同子集进行加密。

在如上文所论述的根据本发明的方法中，在步骤II)/步骤c)中加密的整个数据集包括化验单元的分析结果数据，或替代地包括化验单元的测试原始数据。数据的被授权子集包括被授权的分析结果，或替代地包括可进一步被处理为被授权的分析结果的那些被授权的测试原始数据。

在如上文所论述的根据本发明的方法中，在化验单元上或在关联到化验单元的数据载体上提供授权构件。

附图说明

为了促进对本发明的更完全的理解，现在参考附图。这些参考不应被理解为限制本发明，而是希望仅是实例。

图1是具有化验单元、读取器单元和评估单元的根据本发明的诊断系统的有利实施例的示意图。

图2是如图1中所示的诊断系统的实施例中的测试结果数据的读出的示意图。

图3是描述其中执行诊断测试、测量和处理结果、随后通过加密进行锁定且将受保护的结果提供给用户以供潜在的未来使用的过程的部分的流程图。

图3A是描述将原始数据处理为分析结果(步骤S15)的有利变体的流程图。

图4是描述其中针对预先授权的诊断测试启用对被锁定的、受保护的结果的存取的过程的部分的流程图。

图5是描述其中针对单独地购买其授权的诊断测试启用对被锁定的、受保护的结果的存取的过程的部分的流程图。

图6是根据本发明的诊断系统的另一个有利实施例的示意图。

图7是如图6中所示的诊断系统的实施例中的测试结果数据的读出的示意图。

图8是根据本发明的诊断系统的进一步有利实施例的示意图，其中化验单元和读取器单元实现为组合装置。

图9是根据本发明的诊断系统的又另一个有利实施例的示意图，其中评估单元和读取器单元实现为组合装置。

图10示意性地展示(a)具有共享一个评估单元的两个读取器单元的根据本发明的诊断系统，以及(b)具有能够同时与两个化验单元操作性地耦合的读取器单元的根据本发明的诊断系统。

图11是诊断系统的示意图，其中远程授权服务器和其他实体经由通用通信网络进行通信。

图12是用于选择、购买和查看分析结果的说明性接口的示意图。

图13是用于确认分析结果的购买的说明性接口的示意图。

图14是用于确认分析结果的购买的另一个说明性接口的示意图。

图15是用于显示分析结果的说明性接口的示意图。

图16是允许回顾地购买或查看分析结果的分析结果数据的数据库的说明性接口的示意图。

图17是描述保护、购买和查看分析结果的程序的流程图。

图18是描述将测试数据传递到服务器的程序的流程图。

图19是描述保护或查看存储在服务器数据库中的分析结果的程序的流程图。

具体实施方式

下文概述本文中通过实例公开的实施例的某些方面。应理解，呈现这些方面以仅向读者提供对本文中所公开和/或主张的任何实施方案可能采取的某些形式的简要概述，且这些方面不希望限制本发明的范围。实际上，本文中所公开和/或主张的任何实施方案可涵盖下文可能未陈述的多种方面。

下文通过相同或至少可比较的参考数字标示相同或至少在其功能方面相同的组件。

在图1中示意性地展示根据本发明的诊断系统1的有利实施例，其包括功能上耦合的化验单元11、读取器单元31和评估单元51。

有利地实现为可消耗单元的化验单元11包括能够对所提供的生理样本15执行一或多个诊断测试的测试模块12。存储器模块18允许存储不含有分析结果的不同额外数据72，例如关于化验单元的辅助数据，例如化验单元ID号、批号、制造日期、保质期、化验单元类型、其他规格、校准数据、经加密的匹配规则和类似物。此外，所述数据72可包括授权数据，(例如)以用于启用对化验单元被预先授权的一组诊断测试的存取，因此不需要单独购买所述分析结果。另外，数据72还可包括所执行的诊断测试专有的数据，但不含有结果，例如时戳、错误消息、协议、患者数据等。

可由读取器单元经由通过化验单元和读取器单元的耦合的数据接口20、38建立的数据连接19而存取存储器模块18上的数据72。所述数据连接可实现为并行或串行数据总线，例如USB或以太网。其他可能性还包含无线存取构件，例如近场rf通信，例如RFID技术和类似物，或rf协议(例如，蓝牙/IEEE-802.15、WLAN/IEEE-802.11等)，而且还有光学通信构件，例如IR数据传递接口等。

存储器模块18可通过允许永久地或瞬时地存储数字数据的任何现有技术实现，例如快闪存储器芯片。读取器单元可具有对存储在存储器模块上的数据的完全存取，或存取可有利地由可例如实现为“智能卡”芯片的存储器模块自身控制。

取决于化验单元所基于的技术的类型，在化验单元可释放地连接到读取器单元之前执行诊断测试，使得仅结果读出需要耦合。当诊断测试需要很长时间周期，或必须在特殊环境中执行，或若干化验单元并行地运行诊断测试时，这可为有利的。在其他情况下，当化验单元连接到读取器单元时，执行诊断测试可能更有利。

读取器单元还可具有：辅助功能，例如为化验单元供电，或为控制单元(未图示)提供数据接口；或控制模块，其可例如集成在读取器单元31或评估单元51中，且其允许控制化验单元11的操作。

当化验单元11可释放地操作性地耦合到读取器单元31时，读取器单元的传感器模块32将允许读取器单元读出诊断测试的结果17。举例来说，传感器模块可测量测试信号，例如电极对的模拟电压信号，或传感器模块32的光学接收器(例如，相机)可以看到的光学信息。随后将传感器信号转换为呈数字形式的测试原始数据73。AD转换器可例如将模拟电压信号17转换为表示测试原始数据的数字输出值。测试原始数据还可以是可从CCD芯片等读取的数字数据。

在图2中示意性地展示如图1中所示的诊断系统的实施例中的测试结果数据的读出的可能方法。将生理样本15提供给测试模块的若干测试元件12.1,…,12.n，其中每个元件能够执行一个特定诊断测试。测试元件的输出信号17.1…,17.n随后由传感器模块32的传感器元件32.1,…,32.n测量，每个传感器元件提供对应诊断测试的单组原始数据73.1,…,73.n。所有组原始数据一起形成测试原始数据73。

可通过从现有技术已知的多种技术实现可在发明性诊断系统中使用的化验单元，例如测试条、显微镜载玻片、微流控芯片、微芯片、盒式存储器、压缩光盘、多孔板等。化验单元可含有能够测量多种分析物的不同测试元件。分析物可例如是蛋白质、核酸、细胞、小分子、气体、电解质或病原体(例如，细菌、病毒、朊病毒)等。取决于所应用的诊断技术，化验单元还可包括执行诊断测试所必要的不同试剂、辅助系统、微泵、微处理器等。然而，只要化验单元能够以可由读取器单元的合适的传感器模块读出且以数字形式转换的形式提供诊断测试结果，诊断技术的种类对于发明性原理就并无太大关系。可使用多种换能机制，例如光学、机械、电气或化学手段。

必须在广义上理解术语测试元件、测试模块、传感器模块和测试原始数据。举例来说，在其中化验单元是基于测试条技术的情况下，在分析物的量对应于测试条上的特定阵列的特定色彩的情况下，测试条的光学信息是由光学传感器或传感器模块检测，且以数字形式转换为测试原始数据。在具有集成传感器的更复杂的化验单元的情况下，所述传感器可将模拟电信号提供给多引脚插头的多个电接触件。传感器模块测量所述信号，且产生对应的数字测试原始数据。更复杂的化验单元可自身包括数据处理能力，且将测试原始数据直接提供给读取器单元。

作为完全并行的检测的替代，还可能使用仅一个或数个传感器元件连续地测量信号17.1,…,17.n。作为传感器元件的数码相机还可同时接收所有测试元件的图片，数字图片形成测试原始数据73，在这种情况下，不同的测试原始数据17.1,…是由图片中的对应测试元件的位置界定。还可能以连续次序执行诊断测试。为了执行本发明必须满足的唯一条件是，不同的测试元件12.1,…,12.n的结果必须可以清楚地与总测试原始数据73分开，或替代地其必须有可能通过合适的数据处理从总测试原始数据73导出不同的分析结果74.1,…74.n。显然，在既定仅执行一个单个诊断测试的化验单元的情况下，此条件始终得到满足。

读取器单元31包括防篡改保护模块41，其获得测试原始数据73和额外数据72。保护模块包括加密模块33，所述加密模块能够将测试原始数据73加密，如上文更详细地阐释，以便将数据锁定且使其分别不可由用户或评估单元存取。不需要加密的某些数据可由加密模块作为纯文本数据78转发。

光学易失性和/或非易失性存储器模块35连接到加密模块，且允许临时地存储数据。还可能将存储器能力直接集成到加密模块中。

加密模块33可以：实现为集成电路，其中所有功能被硬连线；或实现为微处理器，在微处理器上执行可提供的存储在存储器模块上的程序；或实现为两者的组合。

加密模块还可用于将测试原始数据转换为分析结果数据，或可使用单独的转换模块(未图示)。

在防篡改模块41的输出接口42上提供经加密数据77和纯文本数据78，可从所述输出接口接收所述数据且经由读取器单元31的数据接口36、数据连接37以及评估单元的数据接口52发送到诊断装置的评估单元51。对于此数据连接，化验单元11与读取器单元31之间的数据连接19也具有相同的可能性，如上文进一步论述。

读取器单元31属于根据本发明的诊断系统1的安全领域5。换句话说，用户或任何其他外部人员既定不具有对读取器单元内的未明确地提供给用户的任何数据的存取权。以防篡改的方式实现读取器单元31或至少保护模块41。因此，用户或任何第三方应该不能够在加密之前存取既定不可存取的数据，即，尚未加密的测试原始数据或分析结果数据。现有技术中已知用于保护电子电路免于未经授权的存取或操纵的若干技术和方法。

诊断系统1的评估单元51包括数据处理模块53，其能够执行必须执行的不同任务以便取得对被授权的分析结果数据的存取、随后评估所述数据且最终将可使用的结果提供给用户。有利的是，数据处理模块是能够执行对应的程序代码的微处理器或CPU。

评估单元51属于诊断系统的用户领域3，这意味着用户原则上具有对评估单元上存在的任何数据的存取权。

评估单元51可包括允许向用户呈现信息的数据输出模块55。数据输出模块可例如实现为显示器、内置打印机单元，或仅实现为提供状态信息的若干LED。此外，评估单元可包括允许用户手动地输入数据或将指令给予评估单元的数据输入模块56。数据输入模块可例如包括若干键或按钮，或整个键盘，数据输出模块和输入模块还可例如以触摸屏的形式进行组合。

评估单元可以是专用于在根据本发明的诊断系统中使用的特殊装置。然而，因为评估单元的基本上所有必需的和任选的硬件元件都可在标准计算装置(例如，桌上型个人计算机、膝上型计算机、平板计算机、智能电话等)中得到，所以有利地使用配备有用于执行各种任务的合适软件的此类计算装置实现评估单元。还可能通过两个或更多个耦合的装置实现评估单元，例如专用于在诊断系统中使用的基本评估单元，以及连接到基本单元的额外计算机装置，其允许例如对基本单元的远程控制，或增加所述单元的潜在价值。

在图3、图3A、图4和图5中的流程图中示意性地阐释了可在根据本发明的诊断系统中进行的动作和事件的典型过程。

在步骤S11中，用户选择适当的化验单元且遵循指定协议对生理样本执行诊断测试。化验单元随后耦合S12到读取器单元，且测量化验单元测试元件的输出信号S13。读出所得的测试原始数据S14，且将其处理为用于所有诊断测试的分析结果S15。在下一个步骤S16中，随后通过加密锁定分析结果，且因此保护起来不让用户存取。将经加密数据存储S17在读取器单元或评估单元上。系统现在处于状态A。

在图3A中的流程图中描述了步骤S15的特别有用的变体。读取器单元的安全领域中的主机控制器(未图示)与化验单元的安全认证器(未图示)通信。读取器单元的主机控制器将询问发送到化验单元的安全认证器，且接收响应。读取器单元评估来自化验单元的安全认证器的响应是否可靠。当化验单元可靠时，读取器单元从化验单元接收经加密规则。

从此刻起，在诊断系统的安全领域中执行以下操作。解密算法接收私人密钥和经加密规则作为输入，且产生匹配规则。转换算法取得原始数据和匹配规则作为输入以产生分析结果。

保护功能随后使用所存储的私人密钥(在安全领域中)或所存储的公共密钥(不一定需要在安全领域中)对分析结果进行加密。此步骤对应于图3中的步骤S16。

随后可在安全领域之外执行对受加密保护的分析结果的处理(存储、解锁等)。

假设化验单元是已经具备例如在化验单元的存储器模块中的对应授权数据的预先授权的化验单元，那么评估单元经由读取器单元自动地检索S21对应的授权数据。通过使用授权数据，经加密数据的对应于被授权的分析结果的部分经过解密S22，且被提供给用户S23。系统现在处于状态B。

如果现在用户希望存取进一步受保护、被锁定的分析数据，或如果化验单元在没有预先授权的情况下被分布，那么用户选择所要的分析结果S31，且例如从制造商购买必需的存取构件S32。在接收到存取构件之后，新授权的数据经过解密/解锁S33，且将对应的分析结果提供给用户S34。

在图6中展示具有化验单元11、读取器单元31和评估单元51的根据本发明的诊断系统1的另一个有利实施例。所述系统与图1中的系统的不同之处在于，测试模块12和传感器模块32两者都是化验单元11的部分，且以集成模块14的形式实现。经由数据连接19将测试原始数据73与额外数据72一起提供给读取器单元31。

在图7中示意性地展示集成的测试和传感器模块14。这是其中深度集成了测量所得信号的诊断测试元件和传感器元件的分析装置的典型情况。

在读取器单元31的防篡改保护模块41中，测试原始数据73被数据处理单元34处理为分析结果数据74。随后将所述分析数据74提供给加密模块33，在所述加密模块中所述分析数据被加密锁定，且存储在存储器模块40中。评估单元可随后经由保护模块41的输出接口42从存储器模块40读取经加密数据77和纯文本数据78。存储器模块40提供以下优点：可将加密模块33和评估单元的活动解耦。存储器模块可例如实现为非易失性快闪存储器，加密模块在其中存储数据77、78。评估单元随后可在未来的任何时间存取所述数据。因此，读取器单元可读取并加密化验单元的数据，但不用操作性地耦合到评估单元，且甚至可读取、锁定并存储若干不同化验单元的结果。评估单元随后仅必须在足以从存储器模块40下载数据77、78的较短周期内耦合到读取器单元。

作为在读取器单元与评估单元之间建立直接有效数据连接的替代，还可能以可释放地安装的快闪存储器装置的形式实现存储器模块40，例如SD卡、USB记忆棒或类似物。在存储器装置40上写入数据之后，用户使其与读取器单元断开，且随后连接到评估装置，在那里读取数据。然而，此方法在本发明的意义上仍然是数据连接37。为了确保数据连接，在此实施例中，没有数据应该存储在应该保持在保护模块内的存储器中，例如未加密的分析结果。

在图8中展示诊断系统的另一个有利的变体，其中化验单元11和读取器单元31实现为单个集成诊断装置。集成的测试/传感器模块14对样本15执行诊断测试，且将测试原始数据73提供给保护模块41的加密模块33，所述加密模块对数据进行加密。经加密数据77以及纯文本数据78可临时存储在加密模块33的存储器模块35中。评估单元51可经由输出接口42请求被锁定的数据77以及其他数据78。

所展示的实施例特别有利于更复杂的化验单元，其中读取器单元部分的电子元件33、35、36的额外成本与总制造成本无关。

在图9中展示根据本发明的诊断系统1的另一个变体，其具有组合在一个单个装置中的读取器单元31和评估单元51。所展示的实施例特别有利地作为紧凑独立装置。

所展示的化验单元11是已经在图6中展示的同一化验单元。读取器单元和评估单元的元件及其交互类似于先前论述的实施例。图9中的单个装置包括安全领域5和用户领域3两者，其中安全领域中(即，防篡改保护模块41中)存在的任何数据不可从外部5存取，除非当它们是由读取器单元31在保护模块41的内部输出接口42上提供时。

在迄今所展示的实施例中，一个评估单元已经操作性地耦合到一个读取器单元，所述读取器单元自身已经操作性地耦合到一个化验单元。然而，本发明还涵盖其他组合。举例来说，诊断系统可包括操作性地耦合到一个共同评估单元51的两个或更多个读取器单元31、31'，如在图10(a)中示意性地展示。此实施例允许对诊断系统的容易和具成本效益的升级。此外，有可能例如针对特定类型的化验单元类型使用不同类型的读取器单元，而不需要额外的评估单元。

类似地，有可能向读取器单元31提供用于同时与一个以上化验单元11、11'操作性地耦合的构件，例如，如图10(b)中所描绘。此读取器单元因此允许对一个以上化验单元的并行操作或读出，这增加了处理量。或者，可向读取器单元提供用于不同类型的化验单元的耦合构件。

在图11中示意性地描绘根据本发明的诊断系统1的特别有利的变体。用于在根据本发明的诊断系统中使用的读取器单元31的所展示的示范性实施例包括在壳体的侧壁上的第一狭槽，化验单元可以可释放地安装在所述第一狭槽中。另外，在盖子上提供第二狭槽，授权单元可以可释放地插入所述第二狭槽中。在图中，化验单元11展示为插入第一狭槽中，且呈智能卡的形式的授权单元插入第二狭槽中。两个额外的可消耗的化验单元11'准备好在稍后使用。

读取器单元31经由数据连接37(例如，USB连接或WLAN连接)与评估单元51连接。给定实例中的评估单元51是标准计算机装置，即，具有显示器和键盘的桌上型计算机，可在其上执行合适的程序以便完成评估单元的功能。

上文已经进一步论述了授权单元的功能的不同方法。授权智能卡100可例如包括信用单元，其允许依据指派给某些诊断测试的信用单元的量而存取所述测试的结果。替代地，其可包括允许用户存取特定的预先授权的测试结果的授权数据。作为与读取器单元连接的替代，授权构件还可与评估单元连接。

评估单元51连接105到通用通信网络104。术语通信网络必须被理解为包含允许从一点到另一点经由专用的基于电线或无线的链路、因特网、移动网络、例如VPN连接等安全通道等进行数据通信的任何链路。到通信网络的链路可例如通过电话线、DSL或缆线调制解调器、蜂窝式链路、无线链路、以太网等实现。

远程授权服务器110也连接105'到通信网络104。上文已经进一步论述了远程授权服务器的功能。举例来说，评估装置51可将经加密的锁定密钥传送到授权服务器110，以便接收回经解密的锁定密钥或其部分，这取决于评估单元的授权等级。

连接到通信网络104的远程支付结算服务器115分别允许用户或他的评估单元购买授权构件。此类授权构件(信用单元、授权数据等)可随后使得用户能够存取额外的分析结果。

远程存取装置102和远程存储服务器103也可与评估装置51通信，以便远程地存取或存储分析结果。

远程授权服务器110、远程支付结算服务器115、远程存取装置102和远程存储服务器103可与一个以上评估单元操作。在图中，第二示意性评估单元51'连接到网络104，其可受到不同用户的控制。

在图12中展示用于选择、购买和查看分析结果的说明性图形用户接口(GUI)。可通过运行在充当评估单元的计算机装置上、或在专用评估单元的显示器上、或甚至在远程存取装置上的软件实现此GUI。

所述接口可包含识别不同类型的分析结果(例如，小分子、蛋白质、DNA、细胞、病毒、细菌)的项目。用户可将具有不同规格和分析能力的多种化验单元插入到读取器单元中，以便测量大量的被锁定的分析结果且将其导入到数据库中。

用户随后可选择要购买或查看的一或多个分析结果。举例来说，用户可使用复选框或其他方法选择分析结果。填好的复选框可对应于先前已经购买其存取授权的分析结果，或所提供的存取与化验单元捆绑的分析结果。复选标记可对应于选择购买的分析结果。潜在可得的分析结果可例如被分组为应用面板(例如，心脏病标志物、病毒学、炎症标志物)。

当群组的复选框被复选或填充时，所有下面的分析结果可继承复选标记状态。可通过扩展应用面板且复选对应的复选框(参考“C反应蛋白”)而存取并选择个别分析结果。此子选择可被指示为虚线应用面板复选框(参考“炎症标志物”)。

在数据库中或通过化验单元能力不可得的应用面板和分析结果可被指示为停用(变灰)(参考“药物筛选”)。

用户可选择“返回”箭头以回到前一接口。“订购”箭头允许进行到订购接口。

在所展示的实施例中，所述接口可强调某些分析结果。这些分析结果可指示基础的健康状况。举例来说，此强调展示为“心脏病标志物”和“血液学”，因为分析物的浓度可能在健康参考范围之外。这些分析物的异常浓度可指示基础的健康状况或疾病。举例来说，展示对心脏病标志物“肌钙蛋白T”的强调，因为其浓度可能高于健康参考范围，从而指示患者可能已经历心脏损伤。

此类系统可尤其用于：快速地扫描经过多个分析物；检查患者的整体健康；以及识别潜在的健康问题。所述系统可向用户告警任何异常诊断结果。用户可决定购买或查看这些被强调的分析结果。

图13和图14是用于确认对分析结果的购买的说明性接口的示意图。用户可使用电子采购来购买选定的分析结果，其中信用单元可来自读取器单元或评估单元上的用户信用余额，或来自捆绑在化验单元上的信用单元，或通过存取用户发票信息且与远程支付服务器通信。

图13描述用户信用余额足以购买对选定的分析结果的存取权的情形。可出现确认接口，在给定实例中，弹出窗口布置在如先前在图12中所示的菜单上，以向用户告知他的当前用户信用余额、选定的分析结果的以信用单元计的价格，且使得用户能够确认或取消对分析结果的购买。

图14描述用户信用余额不足以购买选定的分析结果的情况。呈弹出窗口的形式的确认接口向用户告知他的当前用户信用余额、选定的分析结果的以信用计的价格，以及使用用户的记账信息记账的数额。用户随后可通过按下对应按钮而确认或取消对分析结果的购买。

图15是用于显示所购买的分析结果的说明性接口的示意图。在此实例中，仅显示所购买的应用面板和下面的分析结果。另外，可存在可能并入此接口中的许多其他结果，例如其他用户的比较性结果，或尚未购买或不可得的分析结果等。可存取应用面板以显示个别分析结果。可显示例如参考浓度范围和分析物浓度等信息，且可存取额外信息。填好的应用面板复选框可指示已经购买所有对应的分析结果。虚线应用面板复选框可指示已经购买对应的分析结果的仅部分。

图16是分析结果数据的数据库以及用以回顾地选择、购买或查看分析结果的能力的说明性接口的示意图。分析结果可在本地存储在评估单元上，或存储在远程存储服务器上。显示器可展示结果数据的数据库，其可根据若干标准进行组织，例如芯片(化验单元)信息(例如，芯片识别、芯片规格、芯片批号、芯片捆绑的分析结果等)、诊断测试信息(例如，测试日期、测试时间等)、用户信息(例如，用户识别、用户姓名等)以及传感器信息(例如，分析面板、传感器原始数据、传感器分析结果等)。

用户可通过多种标准，例如通过列名称或使用搜索过滤器术语，而对分析测试数据进行分类。可选择测试数据以进一步查看或购买分析结果。可针对每个测试存储测试数据，甚至当在测试完成时未购买或查看分析结果时也可以。因此，用户可在任何时间从先前测试选择测试数据，且可回顾地购买或查看分析结果。

图17是描述使用根据本发明的诊断系统来保护、购买和查看分析结果的程序的流程图。分析结果已被测量、锁定且存储在读取器单元、评估单元或化验单元上，如上文所阐释。

用户可选择要购买或查看的分析结果S41。读取器单元或评估可例如通过读取注册表而检查之前是否已经购买分析结果S42。

如果是，那么读取器单元或评估单元可将分析结果提供给用户以供查看S49。

如果不是，那么读取器单元或评估单元可确定S43是否可从化验单元规格得到分析结果；即，化验单元(例如，诊断芯片)具有检测分析物的能力。

如果不是，那么可提示S45用户使用能够获得选定的分析结果的另一种类型的化验单元。过程随后可再次开始于步骤S41。

如果是，那么读取器单元或评估单元可确定S44选定的分析结果是否包含在针对化验单元预先启用的分析结果(因此是已经与化验单元捆绑提供授权构件的结果)中。

如果是，那么可将分析结果提供给用户以供查看S49。

如果不是，那么读取器单元或评估单元可识别分析结果的价格S46。这可使用本地价格数据库或通过连接到具有价格数据库的远程服务器来完成。读取器单元或评估单元可验证S47用户信用余额是否足以购买选定的分析结果。

如果是，那么可递减用户信用余额S48，且可将分析结果提供给用户S49。

如果不是，那么读取器单元或评估单元可处理S49用户发票信息，且将选定的分析结果提供给用户S49。

图18是描述将分析结果数据传递到远程存储服务器的程序的流程图。被锁定的分析结果数据和其他数据可存储S51在读取器单元、评估单元或诊断芯片上，如上文所展示。

系统将随后检查S52到远程服务器的连接是否可用。

如果是，那么可将数据传递S53到远程服务器数据库。所述数据可含有例如芯片信息、用户信息和传感器信息等信息。

如果不是，那么读取器单元可处理连接请求S54。在建立连接之后，可使用标准安全通信协议将数据传递到服务器。

图19是描述购买或查看存储在远程存储服务器的数据库中的分析结果的程序的流程图。读取器单元或评估单元可连接S61到远程存储服务器。用户随后可选择S62要购买或查看的分析结果。服务器可验证之前是否已经购买选定的分析结果S63。

如果是，那么可将分析结果传递S64到读取器单元或评估单元，且可将分析结果提供S65给用户。

如果不是，那么服务器可识别S66分析结果的价格。服务器随后可验证S67用户信用余额是否足以购买选定的分析结果。

如果是，那么可相应地递减用户信用余额S68。如果不是，那么可处理用户发票信息S69。随后可将分析结果传递S64到读取器单元或评估单元，且提供S65给用户。

所属领域的技术人员容易明白，改变以上流程图中的步骤的次序将导致购买和查看安全的分析结果。因此，改变用于选择、传递、购买和查看测试数据和分析结果的程序的次序在本发明的范围内。

本发明的范围不受本文中所描述的特定实施例限制。实际上，所属领域的技术人员通过以上描述和附图将明白除了本文中所描述的对本发明的修改之外的对本发明的各种修改。因此，此类修改既定属于所附权利要求书的范围内。另外，在说明书中叙述了各种参考，其公开内容各自以全文引用的方式并入本文中。

参考标号列表

1诊断系统

3用户、用户领域

5安全领域

7诊断装置

11、11'化验单元

12测试模块

12.1,12.2,…单个诊断测试的测试元件

13诊断测试

14集成的测试与传感器模块

15生理样本

17诊断测试信号

17.1,17.2,…单个诊断测试的测试信号

18存储器模块

19数据连接

20数据接口

25数据载体

31读取器单元

32传感器模块

32.1,32.2,…传感器元件

33加密模块

34数据处理模块

35存储器模块

36第一数据接口

37数据连接

38第二数据接口

39存储器模块

40存储器模块

41保护模块

42输出接口

51、51'评估单元

52数据接口

53数据处理模块、处理器

55数据输出模块

56数据输入模块

57存储器模块

72额外数据

73测试原始数据、分析结果的整个数据集

73.1,73.2,…单个诊断测试的原始数据

73a被授权的测试原始数据、分析结果的整个数据集的被授权子集

74分析结果数据、全部分析结果、分析结果的整个数据集

74a被授权的分析结果、分析结果的整个数据集的被授权子集

75锁定密钥数据

75.1,75.2,…锁定密钥

77经加密数据、分析结果的经加密的整个数据集

77.1,77.2,…经加密数据的子集

77a可存取的经加密数据

78其他数据

79授权密钥数据

79.1,79.2,…授权密钥

80、80'经解密数据

80.1,80.2,…经解密数据的子集

82第二等级密钥数据

82.1,82.2,…第二等级密钥

84经加密的锁定密钥数据

86私人密钥数据

100授权单元

102远程存取装置

103远程存储服务器

105、105'到通信网络的连接

104通信网络

110远程授权服务器

115支付结算服务器