CN101911090B - 信息交换系统及设备 - Google Patents
信息交换系统及设备 Download PDFInfo
- Publication number
- CN101911090B CN101911090B CN200880123247.5A CN200880123247A CN101911090B CN 101911090 B CN101911090 B CN 101911090B CN 200880123247 A CN200880123247 A CN 200880123247A CN 101911090 B CN101911090 B CN 101911090B
- Authority
- CN
- China
- Prior art keywords
- sign
- service provider
- patient
- certificate
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
- G16H10/60—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
Landscapes
- Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Medical Treatment And Welfare Office Work (AREA)
- Storage Device Security (AREA)
Abstract
为了克服难以在保持患者隐私的同时在不同健康信息管理系统之间交换患者的健康记录的缺陷,本发明提出了一种方法,其包括以下步骤:从证书中提取第一服务提供方的签名和第一标识;生成对应于第一标识的第二标识;向第二标识管理方和第一服务提供方中的任一个发送请求,以便请求与第一标识相关联的记录;从第二标识管理方和第一服务提供方中的任一个接收所请求的记录;以及把所请求的记录与第二标识相关联。通过使用所提出的该方法,有利的是无需在所有健康信息管理系统中采用相同假名处理服务,并且易于在不同的健康信息管理系统之间共享健康信息而不公开患者的隐私。
Description
技术领域
本发明涉及信息交换系统,更具体来说,本发明涉及用于在不同的健康信息管理系统之间交换健康信息的系统和设备。
背景技术
近年来,世界上已经出现了多种健康和/或医疗信息管理系统。在这些健康信息管理系统当中,管理患者的健康信息和隐私成为很重要的问题。在美国国会于1996年颁布了健康保险流通与责任法案(HIPAA)之后,研究人员、医师以及医疗中心在处理患者的数据时变得更加小心,这些数据包括患者的健康信息和隐私。
根据ISO,匿名处理(anonymization)是去除标识数据集与数据对象之间的关联的处理。假名处理(pseudonymization)是一种特定类型的匿名处理,其去除标识数据集与数据对象之间的关联,并且添加在与该数据对象相关的特定特性集合与一个或多个假名之间的关联。匿名处理被视为一种用于保护患者隐私的重要方法。ISO/TC215正在开发一种新的规范“用于保护个人健康信息和健康相关服务的假名处理实践(Pseudonymizationpractices for the protection of personal health information and health relatedservice)”(ISO/DTS25237),其关注于使用假名处理服务来保护个人健康信息的原理和要求。
基于ISO/DTS25237,HITSP(医疗信息技术标准委员会)开发了如图1所示的体系结构来实现假名处理。在该体系结构100中包括四个实体,即患者、医院、PIX(患者标识交叉参照)管理方和假名处理服务提供方。在步骤110中,医院为患者提供登记服务。随后,在步骤120中,医院把患者信息发送给PIX管理方。患者信息可以只包括患者的真实标识(患者的姓名和ID号)以及可以在该医院中使用的患者的记录ID,或者可以包括更多信息,比如地址、联系信息等等。在步骤130中,PIX管理方记录所述患者标识。在该步骤中,PIX管理方还把所述患者标识与包含在从该医院发送的所述患者信息中的至少一项附加信息要素相关联,所述附加信息要素例如是患者的健康记录ID、地址、联系信息等等。随后,在步骤140中,PIX管理方向假名处理服务提供方发送请求,以便请求假标识。在接收到该请求之后,假名处理服务提供方在步骤150中为患者分配假标识,并且在步骤160中把该假标识返回到PIX管理方。随后,PIX管理方存储该假标识并且把该假标识与该患者的标识相关联。可选地,PIX管理方还可以把该假标识与接收自所述医院的患者信息相关联,所述患者信息例如是患者的ID、地址和联系信息等等。在步骤180中,PIX管理方为所述患者准备假证书,并且将其发送到所述医院。所述医院在步骤190中记录该证书,并且在步骤195中把该证书发送给所述患者。在接收到该证书之后,该患者可以在该医院中以及在理解该证书的格式的其他医院中使用该证书。通过使用该证书,患者可以从理解该证书的格式和内容的医院获得服务,并且避免公开他/她的真实标识。
然而,在可用于不同医院中的所有实体的唯一假名处理服务的前提下,所述体系结构100只能被使用在一个健康/医疗信息管理系统/域中,其中所有的医院都可以识别包括由共同的假名处理服务提供方给出的假标识的所述证书。当前,人们去不同城市甚至不同国家的不同医院就医的可能性越来越大。假定不同城市和不同国家的不同医院采用共同的假名处理服务是不合理的。因此,患者必须在每一个健康/医疗服务提供系统中重新登记新的标识或证书。由于在不同的系统之间没有互操作性方法,因此患者很难对存储在不同系统中的他们之前的健康/医疗信息进行再利用。
因此,需要提供能够在采用不同假名处理服务的不同健康/医疗信息管理系统之间交换健康/医疗信息的方法。
发明内容
本发明的一个目的是提供用于在不同的健康/医疗信息管理系统(特别是利用不同的假名处理服务的系统)之间交换信息(特别是健康/医疗信息)的方法和设备。
根据本发明的一个实施例,通过提供一种信息交换系统在本发明的第一方面实现了上述目的和几个其他目的。该信息交换系统包括:读取器,其被配置成从获自患者先前登记的第一医院的证书中提取第一服务提供方的签名和由所述第一服务提供方生成的所述患者的第一标识,并且生成对应于第一标识的所述患者的第二标识,其中,所述读取器位于所述患者正在登记的第二医院处,并且所述第一标识并不包括所述患者的真实身份,但将所述患者识别到所述第一医院;所述第二医院的第一标识管理方,其被配置成把第一标识与第二标识相关联,并且向所述第一医院的第二标识管理方和第一服务提供方中的任一个发送请求,以便请求与第一标识相关联的记录;以及所述第二医院的接收器,其被配置成从第二标识管理方和第一服务提供方中的任一个接收所请求的记录,并且把所接收的记录与第二标识相关联。
与第一标识相关联的所述记录包括与由第一标识所标识的患者相关的病历、病史以及其他健康/医疗信息,但是不包括该患者的真实标识,比如可以很容易揭示该患者的真实身份的身份证号、驾驶执照号、保险号、医疗登记号。
对于当前的健康/医疗信息管理系统来说,使用上述系统是有益的,以便从另一个健康/医疗信息管理系统获得健康信息(比如与第一标识相关联的记录)而无需由该当前健康/医疗信息管理系统来识别由另一个系统给出的证书。在该当前系统中,可以把第二标识与所述患者的先前记录相关联。从而可以在不同系统之间交换记录,而无需唯一的假名处理服务。
可选地,第二标识管理方还包括:标识映射单元,其被配置成把第一标识映射到第三标识;数据库,其被配置成获取与第三标识相关联的记录;发送器,其被配置成把所获取的记录发送到所述接收器以作为与第一标识相关联的记录。
第三标识可以是患者的真实身份,比如身份证号、驾驶执照号、保险号或者医疗登记号,从而可以找到与该真实身份相关联的记录。所述数据库可以是存储患者的真实身份和记录的独立数据库,或者是存储患者的真实身份和记录的单独的医院。
可选地,第三标识还可以是由假名处理服务提供方生成的假标识。第二标识管理方可以是PIX管理方,其也可以使用该假标识从所述数据库获取记录。或者,当第二标识管理方发现第三标识是由使用另一种假名处理服务的另一个健康/医疗信息管理系统给出并且其不支持该服务但是能够提取关于所述另一个假名处理服务提供方的信息时,第一标识可以把第三标识发送给所述另一个假名处理服务以请求记录。通过使用这种递归方法,不管患者所持有的证书是由哪一个健康/医疗信息管理系统给出的,都有可能找到存储该患者的健康记录的初始系统。
可选地,所述信息交换系统还包括第二服务提供方,其被配置成生成标识,其中所述读取器和第一标识管理方中的任一个还被配置成从第二服务提供方请求第四标识,并且该读取器还被配置成把所接收的第四标识设置为第二标识。此外,该第二服务提供方还被配置成生成第二证书,其可以由患者使用在当前健康信息管理系统中。该患者还可以把该第二证书带到另一个健康信息管理系统,其可以通过使用上述方法从当前健康信息管理系统中获得记录。
第一标识和第二标识可以是用于在不公开患者的真实身份的情况下标识患者的假标识。患者的隐私在两个健康信息管理系统中都得到了保护。
由第一服务提供方生成的签名提供了关于第二标识管理方和第一服务提供方(例如假名处理服务提供方)中的至少一个的信息。
根据本发明的另一个实施例,本发明的第二方面是提供一种用于存储被配置成标识患者的证书的卡,其中该证书包括:第一假标识,其由假名处理服务提供方生成并且被配置成使用在健康信息管理系统中;以及假名处理服务提供方的签名,其被配置成包含关于该假名处理服务提供方和标识管理方中的至少一个的信息,其中,该标识管理方被配置成识别第一假标识。
由于患者的真实身份没有被包含在该卡中,因此他的隐私得到了保护。与上面公开的方法相组合,可以找到患者的记录并且将其使用在当前健康信息管理系统中。
可选地,为了进一步增强所述证书的安全性,即为了检查该证书与持有该证书的人之间的联系,即检查该证书是否属于这个人,该证书可以还包括公共密钥对的公共密钥。该公共密钥被用来检验患者的签名。由于在该证书中该公共密钥与患者的假标识相关联,因此患者使用所述公共密钥对的私有密钥来签署某些文件,并且另一方使用上述证书中的该公共密钥来检验该签名而不公开该患者的真实身份。所述公共密钥可以被在线使用,比如通过因特网。
在另一个实施例中,可以把附加数据集包括在所述证书中以增强安全性。所述附加数据集可以是秘密s的散列(hash),其中所述s可以是患者所知道的参数、患者的个人信息或者患者的真实身份。由于散列函数是存在零知识证明的单向函数,因此患者可以在不揭示其身份的情况下向另一方(比如医生)证明具有其假名的证书确实是他的。
在另一个实施例中,附加数据集可以包括代表所述患者的至少一个生物统计学参数。该生物统计学参数(比如指纹)可以被用来检验持有所述证书的患者。一个附加的优点是,所述生物统计量总是由所述患者携带。该生物统计量不被存储在公共数据库中,因此无法将其与患者的真实身份相联系,同时其保留了提供所述证书的物主身份的功能。
根据另一个实施例,通过一种特别是在不同的健康/医疗信息管理系统之间获得信息的方法实现了本发明的第三方面。该方法包括以下步骤:
a)从获自患者先前登记的第一医院的证书中提取第一服务提供方的签名和由所述第一服务提供方生成的所述患者的第一标识,其中,所述提取是在所述患者正在登记的第二医院处完成的,并且所述第一标识并不包括所述患者的真实身份,但将所述患者识别到所述第一医院;
b)生成对应于第一标识的所述患者的第二标识;
c)向所述第一医院的第二标识管理方和第一服务提供方中的任一个发送请求,以便请求与第一标识相关联的记录;
d)从第二标识管理方和第一服务提供方中的任一个接收所请求的记录;以及
e)把所请求的记录与第二标识相关联。
根据另一个实施例,本发明的第四方面是提供一种用于特别是在不需要知道患者的真实身份的情况下生成第二证书的方法。该方法包括以下步骤:
a)从获自患者先前登记的第一医院的第一证书中提取第一服务提供方的签名和由所述第一服务提供方生成的所述患者的第一标识,其中,所述提取是在所述患者正在登记的第二医院处完成的,并且所述第一标识并不包括所述患者的真实身份,但将所述患者识别到所述第一医院;
b)基于第一服务提供方的所述签名和第一标识中的至少一个来检查第一标识的有效性;以及
c)生成包括第二标识和第二服务提供方的签名的第二证书,其中第二标识对应于第一标识。
使用该方法的一个优点在于,可以在不知道患者的真实身份的情况下创建包括假标识的新证书。
可选地,为了增强安全性,第二证书可以还包括以下各项中的任一项:公共密钥,秘密s的散列,生物统计学参数,以及可以被用来检验第二证书的物主身份的其他信息。
可选地,所述方法还包括以下步骤:把与第一标识相关联的记录与第二标识相关联,以作为与第二标识相关联的记录。
参照下面描述的实施例,本发明的这些和其他方面、特征和/或优点将变得显而易见。
附图说明
下面将参照附图仅以举例的方式描述本发明的实施例,其中:
图1示出了由HITSP开发的体系结构;
图2示出了根据本发明的一个实施例的证书;
图3示出了根据本发明的一个实施例的信息交换处理;
图4示出了根据本发明的一个实施例的生成证书的方法;
图5示出了根据本发明的一个实施例的信息交换系统的方框图。
具体实施方式
图2示出了证书的内容的一个示例性实施例。该证书包括假标识和假名处理服务的签名。该假标识由假名处理服务提供方生成并且被用来在当前健康/医疗信息管理系统(例如患者在其中登记的医院)中标识患者。不可能仅从所述假标识推断出患者的真实身份。所述假名处理服务的签名由所述假名处理服务提供方生成,并且可以被用来验证所述假标识。所述证书还可以被用来推断出关于所述假名处理服务提供方的信息。可选地,所述证书还可以被用来推断出关于标识管理方(例如PIX管理方)的信息,其中存储有患者的一个先前标识以及该先前标识与由当前假名处理服务提供方生成的新假标识之间的关联。该先前标识可以是患者的真实身份,在这种情况下,所述医院是对于所述患者的第一家登记的医院。该先前标识还可以是由另一个假名处理服务提供方生成的假标识,在这种情况下,当前医院不是对于所述患者的第一家登记的医院,并且患者把包括假标识的证书带到该当前医院。在后一种情况下,有可能使用递归方法推断出对于患者的第一家登记的医院。
可选地,在另一个实施例中,所述证书可以包括公共密钥对的公共密钥。由于在所述证书中该公共密钥与患者的假标识相关联,因此患者可以使用该公共密钥对的私有密钥来签署某些文件,并且另一方可以使用该公共密钥来检验患者的签名而不公开患者的真实身份。使用所述公共密钥来(例如通过因特网或专用内联网)在线检验患者是有利的。在这种情况下,在生成所述假名处理服务的签名时可选地考虑到所述公共密钥,从而进一步增强了所述证书的安全性。
可选地,在另一个实施例中,所述证书包括附加数据集,其被用来增强该证书属于所述患者的安全性。在这种情况下,在生成所述假名处理服务的签名时可选地考虑到所述附加数据集,从而进一步增强了所述证书的安全性。有利的是使得医生确定他正在应对正确的患者和正确的健康记录。所述附加数据集可以是患者所知道的秘密s的散列。所述秘密s可以是患者所知道的预定义参数、患者的真实身份或者患者的个人信息,例如姓名、生日、护照号等等。由于散列函数是存在零知识证明的单向函数,因此患者可以在不揭示其身份的情况下向医生证明具有其假名的证书确实是他的。从所述散列函数的结果推断出患者的真实身份几乎是不可能的。
可选地,在另一个实施例中,所述附加数据集包括一个或多个生物统计学参数。所述生物统计学参数(比如指纹、虹膜等等)被用来描述患者的生理特征,并且不被存储在公共数据库中。这种实现方式有两个优点:第一,总是可以从患者的身体获得所述生物统计学参数;第二,所述生物统计量无法与患者真实身份相联系并且难于伪造。此外还有可能在证书中同时包括公共密钥和附加数据集。
图2中示出的证书可以被使用在图3中,图3示出了根据本发明的一个实施例的信息交换处理。假设患者已经在医院A和PIX管理方A中登记并且获得了证书,该证书包括第一假标识以及由第一假名处理服务提供方给出的假名处理服务的签名。现在,该患者来到另一个城市或国家的一家医院就医,该医院采用不同的假名处理服务和不同的假标识系统。这使得该患者难以在当前医院(例如医院B和PIX管理方B)中使用其原始证书。在所述信息交换处理中,患者首先在步骤310中利用其原始证书在医院B中登记。在医院B中有一个读取器,其被配置成读取该证书并且提取第一服务提供方的签名和第一标识。在步骤320中,该读取器提取第一标识和所述签名。可选地,该读取器基于该签名检查第一标识的有效性,或者把第一标识和该签名发送到另一个实体以验证第一标识。在步骤330中生成第二假标识,其可以被用在医院B和PIX管理方B中。在步骤340中,第一标识、第二标识以及第一服务提供方的签名被发送到第一标识管理方(例如PIX管理方B)。可选地,在步骤345中基于第一服务提供方的签名在PIX管理方B中检查第一标识的有效性。在步骤350中,PIX管理方B把第二标识与第一标识相关联。实际上,第一标识是由患者在医院A/PIX管理方A中使用的假标识,而第二标识是由同一患者在医院B/PIX管理方B中使用的另一个假标识。在步骤360中,PIX管理方B基于所述证书提取关于第二标识管理方(例如PIX管理方A)的信息。其还允许从第一标识和/或第一服务提供方的签名提取信息。在步骤370中,PIX管理方B从第一标识管理方(例如PIX管理方A)请求与第一标识相关联的原始记录。至少第一标识被包括在所述请求中。PIX管理方B请求第一服务提供方找到第一标识的记录并且将其发送回到PIX管理方B也是实际的做法。特别是在PIX管理方B无法推断出第二标识管理方时,上述做法提供了附加的优点。由于所述证书是在患者在医院A/PIX管理方A中登记之后由第一服务提供方生成的,因此第一服务提供方很容易找到医院A和PIX管理方A。在从PIX管理方B接收到请求之后,PIX管理方A的标识映射单元在步骤380中把第一标识映射到第三标识,并且在步骤390中向数据库(例如医院A中的元件)发送请求以便请求与第三标识相关联的记录。在获取了与第三标识相关联的记录之后,在步骤395中,第二标识管理方中的发送器把所获取的记录作为与第一标识相关联的所请求的记录发送到位于医院B中的接收器。
从图3的实施例中很容易发现,患者的真实身份从未被发送到其所就医的医院(例如医院B/PIX管理方B)。因此,患者的隐私得到保护,同时在后面的诊断中也利用了必要的健康记录。
在图3的实施例中,由第二标识管理方中的标识映射单元建立的第三标识可以是患者的真实身份,也可以是由患者在医院A中使用的另一个假标识。当第三标识是假标识时,医院A/PIX管理方A可以使用与在图3的实施例中所公开的类似的方法来找到给出并使用该假标识的另一家医院/PIX管理方。通过使用所述递归方法,不管所述患者使用多少个假标识,都很容易定位持有该患者的健康/医疗记录的医院。
在图3的实施例中,由所述读取器在步骤330中生成第二标识。此外,通过使用在图4的实施例中公开的方法来生成第二标识也是实际的。在由所述读取器在步骤410中提取了第一服务提供方的签名和第一标识之后,该读取器在步骤420中向第二假名处理服务提供方发送请求以生成第二假标识。在步骤430中,第二假名处理服务提供方生成可以由医院B和PIX管理方B理解的第二假标识,并且将其发送回到所述读取器。可选地,在步骤425中检查第一标识和第一服务提供方的签名的有效性。如果所述有效性检查失败,合理的做法是拒绝所述请求并且向所述读取器表明理由(比如所述证书是伪造的)。该读取器在步骤440中把第二标识与第一标识相关联。到现在为止,与患者相关联的第二标识已被生成并且可以被使用在医院B中。在可以获得与第一假标识相关联的记录之后,很容易在步骤450中把该记录与第二标识相关联,从而可以在医院B中使用所述患者的先前记录。应当注意到,患者的真实身份未被公开。
图5示出了根据本发明的一个实施例的示例性信息交换系统。该信息交换系统500包括读取器510、第一标识管理方520和接收器530。读取器510被配置成从证书中提取第一服务提供方的签名和第一标识,并且生成对应于第一标识的第二标识。第一标识管理方520被配置成把第一标识与第二标识相关联,并且向第二标识管理方和第一服务提供方中的任一个发送请求,以便请求与第一标识相关联的记录。可以从第一证书中推断出关于第二标识管理方的信息,比如从第一标识、第一服务提供方的签名或二者的组合中推断出。接收器530被配置成从第二标识管理方和第一服务提供方中的任一个接收所请求的记录,并且把所请求的记录与第二标识相关联。
所述系统500还可以包括第二标识管理方540,其进一步包括映射单元542、健康/医疗信息数据库544和发送器546。该映射单元542被配置成把包括在发送自第一标识管理方的请求中的第一标识映射到第三标识。该数据库544被配置成获取与第三标识相关联的记录。并且该发送器546被配置成把所获取的记录发送到该接收器以作为与第一标识相关联的所请求的记录。
可选地,所述系统500还包括第一服务提供方550,其生成假标识和证书。第一服务提供方550还被配置成从第一标识管理方520接收请求,并且找到对应于被包括在所接收的请求中的第一标识的第三标识。第一服务提供方550随后请求第二标识管理方540找到与第三标识相关联的记录。此后,可以把与第三标识相关联的记录从第一服务提供方550发送到所述接收器530,以作为与第一标识相关联的记录。
通过利用在本发明的实施例中公开的方法和设备,很容易实现在不同的健康/医疗信息管理系统之间交换信息(比如健康/医疗记录)同时保持患者的隐私不被公开的目的。
本发明可以用任何适当形式来实现,其中包括硬件、软件、固件或其任意组合。本发明或者本发明的某些特征可以被实现为计算机软件。本发明的实施例的元件和组件可以按照任何适当方式被物理地、功能地及逻辑地实现。实际上,所述功能可以在单一单元中实现、在多个单元中实现或者作为其他功能单元的一部分来实现。这样,本发明可以在单一单元中实现,或者可以物理地及功能地分布在不同的单元和处理器之间。
虽然结合所给出的实施例描述了本发明,但是并不意图将其限制到这里阐述的具体形式。相反,本发明的范围仅仅由所附权利要求书限定。在权利要求书中,术语“包括”不排除其他元件或步骤的存在。此外,虽然各特征可以被包括在不同的权利要求中,但是也有可能有利地组合这些特征,并且被包括在不同的权利要求中并不意味着所述特征的组合是不可行的或者不是有利的。此外,单数并不排除复数。因此,“一”、“一个”、“第一”、“第二”等等并不排除多个。此外,权利要求书中的附图标记不应当被解释成限制其范围。
Claims (22)
1.一种信息交换系统,包括:
读取器,其被配置成从获自患者先前登记的第一医院的证书中提取第一服务提供方的签名和由所述第一服务提供方生成的所述患者的第一标识,并且生成对应于所述第一标识的所述患者的第二标识,其中,所述读取器位于所述患者正在登记的第二医院处,并且所述第一标识并不包括所述患者的真实身份,但将所述患者识别到所述第一医院;
所述第二医院的第一标识管理方,其被配置成把所述第一标识与所述第二标识相关联,并且向所述第一医院的第二标识管理方和所述第一服务提供方中的任一个发送请求,以便请求与所述第一标识相关联的记录;以及
所述第二医院的接收器,其被配置成从所述第二标识管理方和所述第一服务提供方中的任一个接收所请求的记录,并且把所接收的记录与所述第二标识相关联。
2.根据权利要求1所述的信息交换系统,其中,所述第二标识管理方还包括:
标识映射单元,其被配置成把所述第一标识映射到第三标识;
数据库,其被配置成获取与所述第三标识相关联的记录;
发送器,其被配置成把所获取的记录发送到所述接收器以作为与所述第一标识相关联的记录。
3.根据权利要求1所述的信息交换系统,还包括:
第二服务提供方,其被配置成生成标识;
其中,所述读取器和所述第一标识管理方中的任一个还被配置成从所述第二服务提供方请求第四标识,并且所述读取器还被配置成把所接收的第四标识设置为所述第二标识。
4.根据权利要求3所述的信息交换系统,其中,所述第二服务提供方还被配置成生成第二证书,其包括所述第二服务提供方的签名和所述第四标识。
5.根据权利要求4所述的信息交换系统,其中,所述读取器还被配置成把所述第二证书发送到所述第一标识管理方和所述接收器中的至少一个。
6.根据权利要求1所述的信息交换系统,其中,所述第一标识和所述第二标识是分别由相应的假名处理服务提供方生成的假标识,并且所述第一服务提供方的所述签名提供关于所述第二标识管理方和所述第一服务提供方中的至少一个的信息。
7.根据权利要求6所述的信息交换系统,其中,所述证书还包括公共密钥对的公共密钥,以用于检查该证书与所述患者之间的联系。
8.根据权利要求6所述的信息交换系统,其中,所述证书还包括附加数据集,以用于检查该证书与所述患者之间的联系。
9.根据权利要求8所述的信息交换系统,其中,离线地执行基于所述附加数据集对所述联系的检查。
10.根据权利要求8或9所述的信息交换系统,其中,所述附加数据集是秘密s的散列,其中,所述s是以下各项中的任一项:所述患者所知道的预定义参数、所述患者的个人信息以及所述患者的真实身份。
11.根据权利要求8或9所述的信息交换系统,其中,所述附加数据集包括代表所述患者的生理特征的至少一个生物统计学参数。
12.一种获得信息的方法,所述方法包括以下步骤:
a)从获自患者先前登记的第一医院的证书中提取第一服务提供方的签名和由所述第一服务提供方生成的所述患者的第一标识,其中,所述提取是在所述患者正在登记的第二医院处完成的,并且所述第一标识并不包括所述患者的真实身份,但将所述患者识别到所述第一医院;
b)生成对应于所述第一标识的所述患者的第二标识;
c)向所述第一医院的第二标识管理方和所述第一服务提供方中的任一个发送请求,以便请求与所述第一标识相关联的记录;
d)从所述第二标识管理方和所述第一服务提供方中的任一个接收所请求的记录;以及
e)把所请求的记录与所述第二标识相关联。
13.根据权利要求12所述的方法,还包括以下步骤:
f)在所述第二标识管理方中把所述第一标识映射到第三标识;
g)获取与所述第三标识相关联的记录;以及
h)把所获取的记录发送到接收器以作为与所述第一标识相关联的记录。
14.根据权利要求13所述的方法,其中,所述第三标识是以下各项中的任一项:身份证号、驾驶执照号、保险号以及医疗系统中的登记号。
15.根据权利要求12的方法,其中,所述生成第二标识的步骤包括以下步骤:
i)向第二服务提供方发送请求,以便请求所述第二标识;以及
ii)由所述第二服务提供方生成对应于所述第一标识的所述第二标识。
16.根据权利要求15所述的方法,其中,所述第一服务提供方和所述第二服务提供方是假名处理服务提供方,并且所述第一标识和所述第二标识是由对应的假名处理服务提供方生成的假标识。
17.根据权利要求15所述的方法,其中,所述生成第二标识的步骤还包括生成对应于所述第二标识的第二证书的步骤,其中,所述第二证书包括所述第二服务提供方的签名和所述第二标识。
18.根据权利要求17所述的方法,其中,所述第二证书还包括公共密钥对的公共密钥和附加数据集中的任一项,以用于检查所述第二证书与持有所述第二证书的人之间的联系。
19.一种基于第一证书生成第二证书的方法,所述方法包括以下步骤:
a)从获自患者先前登记的第一医院的所述第一证书中提取第一服务提供方的签名和由所述第一服务提供方生成的所述患者的第一标识,其中,所述提取是在所述患者正在登记的第二医院处完成的,并且所述第一标识并不包括所述患者的真实身份,但将所述患者识别到所述第一医院;
b)基于所述第一服务提供方的所述签名和所述第一标识中的至少一个来检查所述第一标识的有效性;以及
c)生成包括第二标识和第二服务提供方的签名的所述第二证书,其中,所述第二标识对应于所述第一标识。
20.根据权利要求19所述的方法,其中,所述第二证书还包括公共密钥对的公共密钥和附加数据集中的任一项,其中,所述公共密钥对的公共密钥和所述附加数据集中的任一项被配置成检查所述第二证书与持有所述第二证书的人之间的联系。
21.根据权利要求19所述的方法,其中,所述第一服务提供方和所述第二服务提供方是假名处理服务提供方,并且所述第一标识和所述第二标识是分别由对应的假名处理服务提供方生成的假标识。
22.根据权利要求19所述的方法,还包括以下步骤:把与所述第一标识相关联的记录与所述第二标识相关联,以作为与所述第二标识相关联的记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200880123247.5A CN101911090B (zh) | 2007-12-28 | 2008-12-26 | 信息交换系统及设备 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710306619.5 | 2007-12-28 | ||
| CN200710306619 | 2007-12-28 | ||
| PCT/IB2008/055541 WO2009083922A1 (en) | 2007-12-28 | 2008-12-26 | Information interchange system and apparatus |
| CN200880123247.5A CN101911090B (zh) | 2007-12-28 | 2008-12-26 | 信息交换系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101911090A CN101911090A (zh) | 2010-12-08 |
| CN101911090B true CN101911090B (zh) | 2014-01-15 |
Family
ID=40568363
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880123247.5A Active CN101911090B (zh) | 2007-12-28 | 2008-12-26 | 信息交换系统及设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8621234B2 (zh) |
| EP (1) | EP2229650A1 (zh) |
| JP (1) | JP5662158B2 (zh) |
| CN (1) | CN101911090B (zh) |
| WO (1) | WO2009083922A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010044056A2 (en) * | 2008-10-14 | 2010-04-22 | Koninklijke Philips Electronics N.V. | Method and apparatus for pseudonym generation and authentication |
| US8831272B2 (en) * | 2008-10-14 | 2014-09-09 | Koninklijke Philips N.V. | Content item identifier |
| US10230611B2 (en) * | 2009-09-10 | 2019-03-12 | Cisco Technology, Inc. | Dynamic baseline determination for distributed business transaction |
| US9167028B1 (en) * | 2009-09-10 | 2015-10-20 | AppDynamics, Inc. | Monitoring distributed web application transactions |
| US8938533B1 (en) * | 2009-09-10 | 2015-01-20 | AppDynamics Inc. | Automatic capture of diagnostic data based on transaction behavior learning |
| CN102262707B (zh) * | 2010-05-28 | 2016-01-13 | 南德克萨斯加速研究治疗有限责任公司 | 用于管理临床研究数据的机器和方法 |
| GB201101805D0 (en) * | 2011-02-02 | 2011-03-16 | Oka Bi Ltd | Computer system and method |
| DE102011003784B3 (de) * | 2011-02-08 | 2012-08-16 | Siemens Aktiengesellschaft | Sichern von Zugriffen auf verteilte Daten in einem unsicheren Datennetz |
| US9311598B1 (en) | 2012-02-02 | 2016-04-12 | AppDynamics, Inc. | Automatic capture of detailed analysis information for web application outliers with very low overhead |
| KR20130137489A (ko) | 2012-06-07 | 2013-12-17 | 주식회사 케이티 | 서비스 제공 방법 및 시스템 |
| WO2014020490A2 (en) * | 2012-08-01 | 2014-02-06 | Koninklijke Philips N.V. | Federated patient guaranteed unique identification (guid) matching |
| JP5958544B2 (ja) * | 2012-09-06 | 2016-08-02 | 富士通株式会社 | 情報処理システム,情報処理方法,プログラム |
| US9898620B2 (en) * | 2012-09-28 | 2018-02-20 | Panasonic Intellectual Property Management Co., Ltd. | Information management method and information management system |
| EP2782041B1 (en) * | 2013-03-22 | 2018-11-14 | F. Hoffmann-La Roche AG | Analysis system ensuring that sensitive data are not accessible |
| JP6079394B2 (ja) * | 2013-04-11 | 2017-02-15 | 富士通株式会社 | 証明書生成方法、証明書生成装置、情報処理装置、通信機器、及びプログラム |
| JP6558126B2 (ja) * | 2015-07-31 | 2019-08-14 | 富士通株式会社 | 情報処理システム及び情報処理方法 |
| CN106598965B (zh) | 2015-10-14 | 2020-03-20 | 阿里巴巴集团控股有限公司 | 一种基于地址信息的账户映射方法及装置 |
| EP3176714A1 (de) * | 2015-12-01 | 2017-06-07 | Siemens Healthcare GmbH | Gesichertes teilen von medizinischen bildern |
| US10747901B2 (en) * | 2018-03-16 | 2020-08-18 | Sap Se | High-dimensional data anonymization for in-memory applications |
| JP2022544411A (ja) * | 2019-08-13 | 2022-10-18 | エーディーアイ・アソシエーション | 分散型アイデンティティプラットフォームのための統合認証システム |
| KR102542016B1 (ko) | 2020-08-26 | 2023-06-09 | (주)어셈블써클 | 의료 영상의 가명화 방법 및 장치 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1295688A (zh) * | 1998-01-27 | 2001-05-16 | 何伯容 | 用于机密记录的安全数据库管理系统 |
| CN1961605A (zh) * | 2004-05-28 | 2007-05-09 | 皇家飞利浦电子股份有限公司 | 保密信息分发系统 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5612870A (en) * | 1994-12-30 | 1997-03-18 | Ortho Pharmaceutical Corporation | System for tracking secure medical test cards |
| US7275155B1 (en) * | 2000-09-01 | 2007-09-25 | Northrop Grumman Corporation | Chain of trust processing |
| US20020073138A1 (en) * | 2000-12-08 | 2002-06-13 | Gilbert Eric S. | De-identification and linkage of data records |
| JP2002245388A (ja) * | 2001-02-14 | 2002-08-30 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク上のサービス利用に対する課金決済処理方法及びそのシステム |
| JP3889256B2 (ja) * | 2001-09-27 | 2007-03-07 | アマノ株式会社 | カード匿名id出力装置及び各種施設用駐車場管理装置 |
| EP1451736A2 (de) * | 2001-10-11 | 2004-09-01 | Symbasis GmbH | Datenverarbeitungssystem für patientendaten |
| JP4253167B2 (ja) * | 2002-06-28 | 2009-04-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 個人情報アクセス制御方法、端末、システム、並びに、プログラム |
| US7844717B2 (en) * | 2003-07-18 | 2010-11-30 | Herz Frederick S M | Use of proxy servers and pseudonymous transactions to maintain individual's privacy in the competitive business of maintaining personal history databases |
| JP4274770B2 (ja) * | 2002-10-01 | 2009-06-10 | 株式会社エヌ・ティ・ティ・ドコモ | 認証決済方法、サービス提供装置及び認証決済システム |
| JP2004289720A (ja) * | 2003-03-25 | 2004-10-14 | Mitsubishi Electric Information Systems Corp | 電子署名システム及びそれをコンピュータに実行させるプログラム |
| US20070192139A1 (en) * | 2003-04-22 | 2007-08-16 | Ammon Cookson | Systems and methods for patient re-identification |
| US7543149B2 (en) * | 2003-04-22 | 2009-06-02 | Ge Medical Systems Information Technologies Inc. | Method, system and computer product for securing patient identity |
| JP2004334433A (ja) * | 2003-05-06 | 2004-11-25 | Nippon Telegr & Teleph Corp <Ntt> | オンラインサービスにおける匿名化方法、ユーザの識別子の管理方法、匿名化装置、匿名化プログラム、及びプログラム記憶媒体 |
| AU2004201058B1 (en) * | 2004-03-15 | 2004-09-09 | Lockstep Consulting Pty Ltd | Means and method of issuing Anonymous Public Key Certificates for indexing electronic record systems |
| JP2007531124A (ja) * | 2004-03-26 | 2007-11-01 | コンヴァージェンス シーティー | 患者医療データ記録のアクセス及び利用を制御するためのシステム及び方法 |
| US20070027715A1 (en) * | 2005-06-13 | 2007-02-01 | Medcommons, Inc. | Private health information interchange and related systems, methods, and devices |
| CN1956459A (zh) * | 2005-10-27 | 2007-05-02 | 日电(中国)有限公司 | 虚拟用户标识符系统和方法 |
| JP2007148903A (ja) * | 2005-11-29 | 2007-06-14 | Toshiba Corp | 属性証明書処理システム、属性証明要求装置、属性証明書発行装置、属性検証装置、属性証明要求方法、属性証明書発行方法、属性検証方法及びプログラム |
| DE102006012311A1 (de) * | 2006-03-17 | 2007-09-20 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten |
| US7853581B2 (en) * | 2006-11-21 | 2010-12-14 | Braincon Handels-Gmbh | Data processing system for the processing of object data |
-
2008
- 2008-12-26 CN CN200880123247.5A patent/CN101911090B/zh active Active
- 2008-12-26 WO PCT/IB2008/055541 patent/WO2009083922A1/en active Application Filing
- 2008-12-26 EP EP08867070A patent/EP2229650A1/en not_active Withdrawn
- 2008-12-26 JP JP2010540208A patent/JP5662158B2/ja active Active
- 2008-12-26 US US12/810,023 patent/US8621234B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1295688A (zh) * | 1998-01-27 | 2001-05-16 | 何伯容 | 用于机密记录的安全数据库管理系统 |
| CN1961605A (zh) * | 2004-05-28 | 2007-05-09 | 皇家飞利浦电子股份有限公司 | 保密信息分发系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110016328A1 (en) | 2011-01-20 |
| JP5662158B2 (ja) | 2015-01-28 |
| JP2011508332A (ja) | 2011-03-10 |
| CN101911090A (zh) | 2010-12-08 |
| US8621234B2 (en) | 2013-12-31 |
| WO2009083922A1 (en) | 2009-07-09 |
| EP2229650A1 (en) | 2010-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101911090B (zh) | 信息交换系统及设备 | |
| US8347101B2 (en) | System and method for anonymously indexing electronic record systems | |
| US5897989A (en) | Method, apparatus and system for verification of infectious status of humans | |
| US7421398B2 (en) | System and method for implementing healthcare fraud countermeasures | |
| CN113228023A (zh) | 培训和健康领域的统一识别协议 | |
| US20050187792A1 (en) | Optical prescription card | |
| CN110010213A (zh) | 电子病历存储方法、系统、装置、设备及可读存储介质 | |
| CN110209894B (zh) | 基于区块链技术的病例查询方法及系统 | |
| CN1379344A (zh) | 用电子卡的电子处方信息中继方法及其系统 | |
| CN110535958B (zh) | 一种健康信息存储方法及相关设备 | |
| CN103477603A (zh) | 安全访问分布在不安全数据网络中的数据 | |
| CN113688430A (zh) | 基于区块链的数据访问授权方法、装置、设备及存储介质 | |
| CN116936041B (zh) | 一种医学影像文件处理方法、电子设备及存储介质 | |
| CN113192588A (zh) | 一种基于数据确权的诊疗辅助方法、存储介质及系统 | |
| US11949689B2 (en) | Unified authentication system for decentralized identity platforms | |
| JPH11143956A (ja) | 診療情報を他医療機関に開示する方法及び装置 | |
| CN113362916A (zh) | 一种健康档案管理系统及方法 | |
| JP4284986B2 (ja) | 個人情報管理システム及び個人情報管理方法 | |
| AU3004297A (en) | Method and apparatus for ascertaining medical conditions | |
| CN111523141B (zh) | 一种基于个人隐私保护的身份标识和核验系统 | |
| CN113177228A (zh) | 一种基于数据确权的诊疗方法、存储介质及系统 | |
| CN111447563A (zh) | 一种目标对象追踪方法及安防系统 | |
| John et al. | Aadhaar: Another milestone for Indian public healthcare information system integration | |
| US20220157424A1 (en) | System and method for examining test samples on a virtual platform | |
| CN118113695A (zh) | 一种在区块链中实现对于医疗数据索引的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |