专利名称:信息交换系统及设备的制作方法
技术领域:
本发明涉及信息交换系统,更具体来说,本发明涉及用于在不同的健康信息管理 系统之间交换健康信息的系统和设备。
背景技术:
近年来,世界上已经出现了多种健康和/或医疗信息管理系统。在这些健康信息 管理系统当中,管理患者的健康信息和隐私成为很重要的问题。在美国国会于1996年颁布 了健康保险流通与责任法案(HIPAA)之后,研究人员、医师以及医疗中心在处理患者的数 据时变得更加小心,这些数据包括患者的健康信息和隐私。根据ISO,匿名处理(anonymization)是去除标识数据集与数据对象之间的 关联的处理。假名处理(pseudonymization)是一种特定类型的匿名处理,其去除标识 数据集与数据对象之间的关联,并且添加在与该数据对象相关的特定特性集合与一个 或多个假名之间的关联。匿名处理被视为一种用于保护患者隐私的重要方法。ISO/ TC 215正在开发一种新的规范“用于保护个人健康信息和健康相关服务的假名处理实践 (Pseudonymizationpractices for the protection of personal health information and health relatedservice) ”(IS0/DTS 25237),其关注于使用假名处理服务来保护个人 健康信息的原理和要求。基于IS0/DTS 25237,HITSP(医疗信息技术标准委员会)开发了如图1所示的体 系结构来实现假名处理。在该体系结构100中包括四个实体,即患者、医院、PIX(患者标识 交叉参照)管理方和假名处理服务提供方。在步骤110中,医院为患者提供登记服务。随 后,在步骤120中,医院把患者信息发送给PIX管理方。患者信息可以只包括患者的真实标 识(患者的姓名和ID号)以及可以在该医院中使用的患者的记录ID,或者可以包括更多信 息,比如地址、联系信息等等。在步骤130中,PIX管理方记录所述患者标识。在该步骤中, PIX管理方还把所述患者标识与包含在从该医院发送的所述患者信息中的至少一项附加信 息要素相关联,所述附加信息要素例如是患者的健康记录ID、地址、联系信息等等。随后,在 步骤140中,PIX管理方向假名处理服务提供方发送请求,以便请求假标识。在接收到该请 求之后,假名处理服务提供方在步骤150中为患者分配假标识,并且在步骤160中把该假标 识返回到PIX管理方。随后,PIX管理方存储该假标识并且把该假标识与该患者的标识相 关联。可选地,PIX管理方还可以把该假标识与接收自所述医院的患者信息相关联,所述患 者信息例如是患者的ID、地址和联系信息等等。在步骤180中,PIX管理方为所述患者准备 假证书,并且将其发送到所述医院。所述医院在步骤190中记录该证书,并且在步骤195中 把该证书发送给所述患者。在接收到该证书之后,该患者可以在该医院中以及在理解该证 书的格式的其他医院中使用该证书。通过使用该证书,患者可以从理解该证书的格式和内 容的医院获得服务,并且避免公开他/她的真实标识。然而,在可用于不同医院中的所有实体的唯一假名处理服务的前提下,所述体系 结构100只能被使用在一个健康/医疗信息管理系统/域中,其中所有的医院都可以识别
5包括由共同的假名处理服务提供方给出的假标识的所述证书。当前,人们去不同城市甚至 不同国家的不同医院就医的可能性越来越大。假定不同城市和不同国家的不同医院采用共 同的假名处理服务是不合理的。因此,患者必须在每一个健康/医疗服务提供系统中重新 登记新的标识或证书。由于在不同的系统之间没有互操作性方法,因此患者很难对存储在 不同系统中的他们之前的健康/医疗信息进行再利用。因此,需要提供能够在采用不同假名处理服务的不同健康/医疗信息管理系统之 间交换健康/医疗信息的方法。
发明内容
本发明的一个目的是提供用于在不同的健康/医疗信息管理系统(特别是利用不 同的假名处理服务的系统)之间交换信息(特别是健康/医疗信息)的方法和设备。根据本发明的一个实施例,通过提供一种信息交换系统在本发明的第一方面实现 了上述目的和几个其他目的。该信息交换系统包括读取器,其被配置成读取包括第一标识 和签名的证书;读取器,其被配置成从证书中提取第一服务提供方的签名和第一标识,并且 生成对应于第一标识的第二标识;第一标识管理方,其被配置成把第一标识与第二标识相 关联,并且向第二标识管理方和第一服务提供方中的任一个发送请求,以便请求与第一标 识相关联的记录;接收器,其被配置成从第二标识管理方和第一服务提供方中的任一个接 收所请求的记录,并且把所接收的记录与第二标识相关联。与第一标识相关联的所述记录包括与由第一标识所标识的患者相关的病历、病史 以及其他健康/医疗信息,但是不包括该患者的真实标识,比如可以很容易揭示该患者的 真实身份的身份证号、驾驶执照号、保险号、医疗登记号。对于当前的健康/医疗信息管理系统来说,使用上述系统是有益的,以便从另一 个健康/医疗信息管理系统获得健康信息(比如与第一标识相关联的记录)而无需由该当 前健康/医疗信息管理系统来识别由另一个系统给出的证书。在该当前系统中,可以把第 二标识与所述患者的先前记录相关联。从而可以在不同系统之间交换记录,而无需唯一的 假名处理服务。 可选地,第二标识管理方还包括标识映射单元,其被配置成把第一标识映射到第 三标识;数据库,其被配置成获取与第三标识相关联的记录;发送器,其被配置成把所获取 的记录发送到所述接收器以作为与第一标识相关联的记录。第三标识可以是患者的真实身份,比如身份证号、驾驶执照号、保险号或者医疗登 记号,从而可以找到与该真实身份相关联的记录。所述数据库可以是存储患者的真实身份 和记录的独立数据库,或者是存储患者的真实身份和记录的单独的医院。可选地,第三标识还可以是由假名处理服务提供方生成的假标识。第二标识管理 方可以是PIX管理方,其也可以使用该假标识从所述数据库获取记录。或者,当第二标识管 理方发现第三标识是由使用另一种假名处理服务的另一个健康/医疗信息管理系统给出 并且其不支持该服务但是能够提取关于所述另一个假名处理服务提供方的信息时,第一标 识可以把第三标识发送给所述另一个假名处理服务以请求记录。通过使用这种递归方法, 不管患者所持有的证书是由哪一个健康/医疗信息管理系统给出的,都有可能找到存储该 患者的健康记录的初始系统。
6
可选地,所述信息交换系统还包括第二服务提供方,其被配置成生成标识,其中所 述读取器和第一标识管理方中的任一个还被配置成从第二服务提供方请求第四标识,并且 该读取器还被配置成把所接收的第四标识设置为第二标识。此外,该第二服务提供方还被 配置成生成第二证书,其可以由患者使用在当前健康信息管理系统中。该患者还可以把该 第二证书带到另一个健康信息管理系统,其可以通过使用上述方法从当前健康信息管理系 统中获得记录。第一标识和第二标识可以是用于在不公开患者的真实身份的情况下标识患者的 假标识。患者的隐私在两个健康信息管理系统中都得到了保护。由第一服务提供方生成的签名提供了关于第二标识管理方和第一服务提供方 (例如假名处理服务提供方)中的至少一个的信息。根据本发明的另一个实施例,本发明的第二方面是提供一种用于存储被配置成标 识患者的证书的卡,其中该证书包括第一假标识,其由假名处理服务提供方生成并且被配 置成使用在健康信息管理系统中;以及假名处理服务提供方的签名,其被配置成包含关于 该假名处理服务提供方和标识管理方中的至少一个的信息,其中,该标识管理方被配置成 识别第一假标识。由于患者的真实身份没有被包含在该卡中,因此他的隐私得到了保护。与上面公 开的方法相组合,可以找到患者的记录并且将其使用在当前健康信息管理系统中。可选地,为了进一步增强所述证书的安全性,即为了检查该证书与持有该证书的 人之间的联系,即检查该证书是否属于这个人,该证书可以还包括公共密钥对的公共密钥。 该公共密钥被用来检验患者的签名。由于在该证书中该公共密钥与患者的假标识相关联, 因此患者使用所述公共密钥对的私有密钥来签署某些文件,并且另一方使用上述证书中的 该公共密钥来检验该签名而不公开该患者的真实身份。所述公共密钥可以被在线使用,比 如通过因特网。在另一个实施例中,可以把附加数据集包括在所述证书中以增强安全性。所述附 加数据集可以是秘密s的散列(hash),其中所述s可以是患者所知道的参数、患者的个人信 息或者患者的真实身份。由于散列函数是存在零知识证明的单向函数,因此患者可以在不 揭示其身份的情况下向另一方(比如医生)证明具有其假名的证书确实是他的。在另一个实施例中,附加数据集可以包括代表所述患者的至少一个生物统计学参 数。该生物统计学参数(比如指纹)可以被用来检验持有所述证书的患者。一个附加的优 点是,所述生物统计量总是由所述患者携带。该生物统计量不被存储在公共数据库中,因此 无法将其与患者的真实身份相联系,同时其保留了提供所述证书的物主身份的功能。根据另一个实施例,通过一种特别是在不同的健康/医疗信息管理系统之间获得 信息的方法实现了本发明的第三方面。该方法包括以下步骤a)从证书中提取第一服务提供方的签名和第一标识;b)生成对应于第一标识的第二标识;c)向第二标识管理方和第一服务提供方中的任一个发送请求,以便请求与第一标 识相关联的记录;d)从第二标识管理方和第一服务提供方中的任一个接收所请求的记录;以及e)把所请求的记录与第二标识相关联。
7
根据另一个实施例,本发明的第四方面是提供一种用于特别是在不需要知道患者 的真实身份的情况下生成第二证书的方法。该方法包括以下步骤a)从第一证书中提取第一服务提供方的签名和第一标识;b)基于第一服务提供方的所述签名和第一标识中的至少一个来检查第一标识的 有效性;以及c)生成包括第二标识和第二服务提供方的签名的第二证书,其中第二标识对应于 第一标识。使用该方法的一个优点在于,可以在不知道患者的真实身份的情况下创建包括假 标识的新证书。可选地,为了增强安全性,第二证书可以还包括以下各项中的任一项公共密钥, 秘密s的散列,生物统计学参数,以及可以被用来检验第二证书的物主身份的其他信息。可选地,所述方法还包括以下步骤把与第一标识相关联的记录与第二标识相关 联,以作为与第二标识相关联的记录。参照下面描述的实施例,本发明的这些和其他方面、特征和/或优点将变得显而 易见。
下面将参照附图仅以举例的方式描述本发明的实施例,其中图1示出了由HITSP开发的体系结构;图2示出了根据本发明的一个实施例的证书;图3示出了根据本发明的一个实施例的信息交换处理;图4示出了根据本发明的一个实施例的生成证书的方法;图5示出了根据本发明的一个实施例的信息交换系统的方框图。
具体实施例方式图2示出了证书的内容的一个示例性实施例。该证书包括假标识和假名处理服务 的签名。该假标识由假名处理服务提供方生成并且被用来在当前健康/医疗信息管理系统 (例如患者在其中登记的医院)中标识患者。不可能仅从所述假标识推断出患者的真实身 份。所述假名处理服务的签名由所述假名处理服务提供方生成,并且可以被用来验证所述 假标识。所述证书还可以被用来推断出关于所述假名处理服务提供方的信息。可选地,所 述证书还可以被用来推断出关于标识管理方(例如PIX管理方)的信息,其中存储有患者 的一个先前标识以及该先前标识与由当前假名处理服务提供方生成的新假标识之间的关 联。该先前标识可以是患者的真实身份,在这种情况下,所述医院是对于所述患者的第一家 登记的医院。该先前标识还可以是由另一个假名处理服务提供方生成的假标识,在这种情 况下,当前医院不是对于所述患者的第一家登记的医院,并且患者把包括假标识的证书带 到该当前医院。在后一种情况下,有可能使用递归方法推断出对于患者的第一家登记的医 院。可选地,在另一个实施例中,所述证书可以包括公共密钥对的公共密钥。由于在所 述证书中该公共密钥与患者的假标识相关联,因此患者可以使用该公共密钥对的私有密钥
8来签署某些文件,并且另一方可以使用该公共密钥来检验患者的签名而不公开患者的真实 身份。使用所述公共密钥来(例如通过因特网或专用内联网)在线检验患者是有利的。在 这种情况下,在生成所述假名处理服务的签名时可选地考虑到所述公共密钥,从而进一步 增强了所述证书的安全性。可选地,在另一个实施例中,所述证书包括附加数据集,其被用来增强该证书属于 所述患者的安全性。在这种情况下,在生成所述假名处理服务的签名时可选地考虑到所述 附加数据集,从而进一步增强了所述证书的安全性。有利的是使得医生确定他正在应对正 确的患者和正确的健康记录。所述附加数据集可以是患者所知道的秘密s的散列。所述秘 密s可以是患者所知道的预定义参数、患者的真实身份或者患者的个人信息,例如姓名、生 日、护照号等等。由于散列函数是存在零知识证明的单向函数,因此患者可以在不揭示其身 份的情况下向医生证明具有其假名的证书确实是他的。从所述散列函数的结果推断出患者 的真实身份几乎是不可能的。可选地,在另一个实施例中,所述附加数据集包括一个或多个生物统计学参数。所 述生物统计学参数(比如指纹、虹膜等等)被用来描述患者的生理特征,并且不被存储在公 共数据库中。这种实现方式有两个优点第一,总是可以从患者的身体获得所述生物统计学 参数;第二,所述生物统计量无法与患者真实身份相联系并且难于伪造。此外还有可能在证 书中同时包括公共密钥和附加数据集。图2中示出的证书可以被使用在图3中,图3示出了根据本发明的一个实施例的 信息交换处理。假设患者已经在医院A和PIX管理方A中登记并且获得了证书,该证书包括 第一假标识以及由第一假名处理服务提供方给出的假名处理服务的签名。现在,该患者来 到另一个城市或国家的一家医院就医,该医院采用不同的假名处理服务和不同的假标识系 统。这使得该患者难以在当前医院(例如医院B和PIX管理方B)中使用其原始证书。在所 述信息交换处理中,患者首先在步骤310中利用其原始证书在医院B中登记。在医院B中有 一个读取器,其被配置成读取该证书并且提取第一服务提供方的签名和第一标识。在步骤 320中,该读取器提取第一标识和所述签名。可选地,该读取器基于该签名检查第一标识的 有效性,或者把第一标识和该签名发送到另一个实体以验证第一标识。在步骤330中生成 第二假标识,其可以被用在医院B和PIX管理方B中。在步骤340中,第一标识、第二标识以 及第一服务提供方的签名被发送到第一标识管理方(例如PIX管理方B)。可选地,在步骤 345中基于第一服务提供方的签名在PIX管理方B中检查第一标识的有效性。在步骤350 中,PIX管理方B把第二标识与第一标识相关联。实际上,第一标识是由患者在医院A/PIX 管理方A中使用的假标识,而第二标识是由同一患者在医院B/PIX管理方B中使用的另一 个假标识。在步骤360中,PIX管理方B基于所述证书提取关于第二标识管理方(例如PIX 管理方A)的信息。其还允许从第一标识和/或第一服务提供方的签名提取信息。在步骤 370中,PIX管理方B从第一标识管理方(例如PIX管理方A)请求与第一标识相关联的原 始记录。至少第一标识被包括在所述请求中。Pix管理方B请求第一服务提供方找到第一 标识的记录并且将其发送回到PIX管理方B也是实际的做法。特别是在PIX管理方B无法 推断出第二标识管理方时,上述做法提供了附加的优点。由于所述证书是在患者在医院A/ PIX管理方A中登记之后由第一服务提供方生成的,因此第一服务提供方很容易找到医院A 和PIX管理方A。在从PIX管理方B接收到请求之后,PIX管理方A的标识映射单元在步骤
9380中把第一标识映射到第三标识,并且在步骤390中向数据库(例如医院A中的元件)发 送请求以便请求与第三标识相关联的记录。在获取了与第三标识相关联的记录之后,在步 骤395中,第二标识管理方中的发送器把所获取的记录作为与第一标识相关联的所请求的 记录发送到位于医院B中的接收器。从图3的实施例中很容易发现,患者的真实身份从未被发送到其所就医的医院 (例如医院B/PIX管理方B)。因此,患者的隐私得到保护,同时在后面的诊断中也利用了必 要的健康记录。在图3的实施例中,由第二标识管理方中的标识映射单元建立的第三标识可以是 患者的真实身份,也可以是由患者在医院A中使用的另一个假标识。当第三标识是假标识 时,医院A/PIX管理方A可以使用与在图3的实施例中所公开的类似的方法来找到给出并 使用该假标识的另一家医院/PIX管理方。通过使用所述递归方法,不管所述患者使用多少 个假标识,都很容易定位持有该患者的健康/医疗记录的医院。在图3的实施例中,由所述读取器在步骤330中生成第二标识。此外,通过使用在 图4的实施例中公开的方法来生成第二标识也是实际的。在由所述读取器在步骤410中提 取了第一服务提供方的签名和第一标识之后,该读取器在步骤420中向第二假名处理服务 提供方发送请求以生成第二假标识。在步骤430中,第二假名处理服务提供方生成可以由 医院B和PIX管理方B理解的第二假标识,并且将其发送回到所述读取器。可选地,在步骤 425中检查第一标识和第一服务提供方的签名的有效性。如果所述有效性检查失败,合理的 做法是拒绝所述请求并且向所述读取器表明理由(比如所述证书是伪造的)。该读取器在 步骤440中把第二标识与第一标识相关联。到现在为止,与患者相关联的第二标识已被生 成并且可以被使用在医院B中。在可以获得与第一假标识相关联的记录之后,很容易在步 骤450中把该记录与第二标识相关联,从而可以在医院B中使用所述患者的先前记录。应 当注意到,患者的真实身份未被公开。图5示出了根据本发明的一个实施例的示例性信息交换系统。该信息交换系统 500包括读取器510、第一标识管理方520和接收器530。读取器510被配置成从证书中提 取第一服务提供方的签名和第一标识,并且生成对应于第一标识的第二标识。第一标识管 理方520被配置成把第一标识与第二标识相关联,并且向第二标识管理方和第一服务提供 方中的任一个发送请求,以便请求与第一标识相关联的记录。可以从第一证书中推断出关 于第二标识管理方的信息,比如从第一标识、第一服务提供方的签名或二者的组合中推断 出。接收器530被配置成从第二标识管理方和第一服务提供方中的任一个接收所请求的记 录,并且把所请求的记录与第二标识相关联。所述系统500还可以包括第二标识管理方540,其进一步包括映射单元542、健康 /医疗信息数据库544和发送器546。该映射单元542被配置成把包括在发送自第一标识 管理方的请求中的第一标识映射到第三标识。该数据库544被配置成获取与第三标识相关 联的记录。并且该发送器546被配置成把所获取的记录发送到该接收器以作为与第一标识 相关联的所请求的记录。可选地,所述系统500还包括第一服务提供方550,其生成假标识和证书。第一服 务提供方550还被配置成从第一标识管理方520接收请求,并且找到对应于被包括在所接 收的请求中的第一标识的第三标识。第一服务提供方550随后请求第二标识管理方540找到与第三标识相关联的记录。此后,可以把与第三标识相关联的记录从第一服务提供方550 发送到所述接收器530,以作为与第一标识相关联的记录。通过利用在本发明的实施例中公开的方法和设备,很容易实现在不同的健康/医 疗信息管理系统之间交换信息(比如健康/医疗记录)同时保持患者的隐私不被公开的目 的。本发明可以用任何适当形式来实现,其中包括硬件、软件、固件或其任意组合。本 发明或者本发明的某些特征可以被实现为计算机软件。本发明的实施例的元件和组件可以 按照任何适当方式被物理地、功能地及逻辑地实现。实际上,所述功能可以在单一单元中实 现、在多个单元中实现或者作为其他功能单元的一部分来实现。这样,本发明可以在单一单 元中实现,或者可以物理地及功能地分布在不同的单元和处理器之间。虽然结合所给出的实施例描述了本发明,但是并不意图将其限制到这里阐述的具 体形式。相反,本发明的范围仅仅由所附权利要求书限定。在权利要求书中,术语“包括”不 排除其他元件或步骤的存在。此外,虽然各特征可以被包括在不同的权利要求中,但是也有 可能有利地组合这些特征,并且被包括在不同的权利要求中并不意味着所述特征的组合是 不可行的或者不是有利的。此外,单数并不排除复数。因此,“一”、“一个”、“第一”、“第二” 等等并不排除多个。此外,权利要求书中的附图标记不应当被解释成限制其范围。
1权利要求
一种信息交换系统,包括读取器,其被配置成从证书中提取第一服务提供方的签名和第一标识,并且生成对应于所述第一标识的第二标识;第一标识管理方,其被配置成把所述第一标识与所述第二标识相关联,并且向第二标识管理方和所述第一服务提供方中的任一个发送请求,以便请求与所述第一标识相关联的记录;接收器,其被配置成从所述第二标识管理方和所述第一服务提供方中的任一个接收所请求的记录,并且把所接收的记录与所述第二标识相关联。
2.根据权利要求1所述的信息交换系统,其中,所述第二标识管理方还包括标识映射单元,其被配置成把所述第一标识映射到第三标识;数据库,其被配置成获取与所述第三标识相关联的记录;发送器,其被配置成把所获取的记录发送到所述接收器以作为与所述第一标识相关联 的记录。
3.根据权利要求1所述的信息交换系统,还包括第二服务提供方,其被配置成生成标识;其中,所述读取器和所述第一标识管理方中的任一个还被配置成从所述第二服务提供 方请求第四标识,并且所述读取器还被配置成把所接收的第四标识设置为所述第二标识。
4.根据权利要求3所述的信息交换系统,其中,所述第二服务提供方还被配置成生成 第二证书,其包括所述第二服务提供方的签名和所述第四标识。
5.根据权利要求4所述的信息交换系统,其中,所述读取器还被配置成把所述第二证 书发送到所述第一标识管理方和所述接收器中的至少一个。
6.根据权利要求1所述的信息交换系统,其中,所述第一标识和所述第二标识是分别 由相应的假名处理服务提供方生成的假标识,并且所述第一服务提供方的所述签名提供关 于所述第二标识管理方和所述第一服务提供方中的至少一个的信息。
7.根据权利要求6所述的信息交换系统,其中,所述证书还包括公共密钥对的公共密 钥,以用于检查该证书与所述患者之间的联系。
8.根据权利要求6所述的信息交换系统,其中,所述证书还包括附加数据集,以用于检 查该证书与所述患者之间的联系。
9.根据权利要求8所述的信息交换系统,其中,离线地执行基于所述附加数据集对所 述联系的检查。
10.根据权利要求8或9所述的信息交换系统,其中,所述附加数据集是秘密s的散列, 其中,所述s是以下各项中的任一项所述患者所知道的预定义参数、所述患者的个人信息 以及所述患者的真实身份。
11.根据权利要求8或9所述的信息交换系统,其中,所述附加数据集包括代表所述患 者的生理特征的至少一个生物统计学参数。
12.—种卡,其用于存储证书,其被配置成标识患者,其中,所述证书包括第一假标识,其由假名处理服务提供方生成并且被配置成使用在健康信息管理系统 中;以及假名处理服务提供方的签名,其被配置成包含关于该假名处理服务提供方和标识管理 方中的至少一个的信息,其中,所述标识管理方被配置成识别所述第一假标识。
13.根据权利要求12所述的卡,还包括公共密钥对的公共密钥,以用于检查所述证书 与所述患者之间的联系。
14.根据权利要求12所述的卡,还包括附加数据集,以用于检查所述证书与所述患者 之间的联系。
15.根据权利要求14所述的卡,其中,所述附加数据集是秘密s的散列,其中,所述s是 以下各项中的任一项所述患者所知道的预定义参数、所述患者的个人信息以及所述患者 的真实身份。
16.根据权利要求15所述的卡,其中,所述附加数据集包括代表所述患者的生理特征 的至少一个生物统计学参数。
17.一种获得信息的方法,所述方法包括以下步骤a)从证书中提取第一服务提供方的签名和第一标识;b)生成对应于所述第一标识的第二标识;c)向第二标识管理方和所述第一服务提供方中的任一个发送请求,以便请求与所述第 一标识相关联的记录;d)从所述第二标识管理方和所述第一服务提供方中的任一个接收所请求的记录;以及e)把所请求的记录与所述第二标识相关联。
18.根据权利要求17所述的方法,还包括以下步骤f)在所述第二标识管理方中把所述第一标识映射到第三标识;g)获取与所述第三标识相关联的记录;以及h)把所获取的记录发送到接收器以作为与所述第一标识相关联的记录。
19.根据权利要求18所述的方法,其中,所述第三标识是以下各项中的任一项身份证 号、驾驶执照号、保险号以及医疗系统中的登记号。
20.根据权利要求17的方法,其中,所述生成第二标识的步骤包括以下步骤i)向第二服务提供方发送请求,以便请求所述第二标识;以及 )由所述第二服务提供方生成对应于所述第一标识的所述第二标识。
21.根据权利要求20所述的方法,其中,所述第一服务提供方和所述第二服务提供方 是假名处理服务提供方,并且所述第一标识和所述第二标识是由对应的假名处理服务提供 方生成的假标识。
22.根据权利要求20所述的方法,其中,所述生成第二标识的步骤还包括生成对应于 所述第二标识的第二证书的步骤,其中,所述第二证书包括所述第二服务提供方的签名和 所述第二标识。
23.根据权利要求22所述的方法,其中,所述第二证书还包括公共密钥对的公共密钥 和附加数据集中的任一项,以用于检查所述第二证书与持有所述第二证书的人之间的联系。
24.一种基于第一证书生成第二证书的方法,所述方法包括以下步骤 a)从所述第一证书中提取第一服务提供方的签名和第一标识;b)基于所述第一服务提供方的所述签名和所述第一标识中的至少一个来检查所述第 一标识的有效性;以及c)生成包括第二标识和第二服务提供方的签名的所述第二证书,其中,所述第二标识 对应于所述第一标识。
25.根据权利要求24所述的方法,其中,所述第二证书还包括公共密钥对的公共密钥 和附加数据集中的任一项,其中,所述公共密钥对的公共密钥和所述附加数据集中的任一 项被配置成检查所述第二证书与持有所述第二证书的人之间的联系。
26.根据权利要求24所述的方法,其中,所述第一服务提供方和所述第二服务提供方 是假名处理服务提供方,并且所述第一标识和所述第二标识是分别由对应的假名处理服务 提供方生成的假标识。
27.根据权利要求24所述的方法,还包括以下步骤把与所述第一标识相关联的记录 与所述第二标识相关联,以作为与所述第二标识相关联的记录。
全文摘要
为了克服难以在保持患者隐私的同时在不同健康信息管理系统之间交换患者的健康记录的缺陷,本发明提出了一种方法,其包括以下步骤从证书中提取第一服务提供方的签名和第一标识;生成对应于第一标识的第二标识;向第二标识管理方和第一服务提供方中的任一个发送请求,以便请求与第一标识相关联的记录;从第二标识管理方和第一服务提供方中的任一个接收所请求的记录;以及把所请求的记录与第二标识相关联。通过使用所提出的该方法,有利的是无需在所有健康信息管理系统中采用相同假名处理服务,并且易于在不同的健康信息管理系统之间共享健康信息而不公开患者的隐私。
文档编号G06F21/24GK101911090SQ200880123247
公开日2010年12月8日 申请日期2008年12月26日 优先权日2007年12月28日
发明者M·彼特科维克, 屈劲, 李晖 申请人:皇家飞利浦电子股份有限公司