CN104054084B - 用于保护和管理基因组及其它信息的系统和方法 - Google Patents
用于保护和管理基因组及其它信息的系统和方法 Download PDFInfo
- Publication number
- CN104054084B CN104054084B CN201280062102.5A CN201280062102A CN104054084B CN 104054084 B CN104054084 B CN 104054084B CN 201280062102 A CN201280062102 A CN 201280062102A CN 104054084 B CN104054084 B CN 104054084B
- Authority
- CN
- China
- Prior art keywords
- data
- group
- computer program
- gene
- trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 108090000623 proteins and genes Proteins 0.000 claims abstract description 240
- 238000012360 testing method Methods 0.000 claims abstract description 95
- 238000003860 storage Methods 0.000 claims abstract description 22
- 238000004590 computer program Methods 0.000 claims description 39
- 238000012163 sequencing technique Methods 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 28
- 238000003745 diagnosis Methods 0.000 claims description 17
- 238000001712 DNA sequencing Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 230000009286 beneficial effect Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000004458 analytical method Methods 0.000 abstract description 31
- 238000002405 diagnostic procedure Methods 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 42
- 238000007405 data analysis Methods 0.000 description 30
- 238000011160 research Methods 0.000 description 29
- 238000004422 calculation algorithm Methods 0.000 description 24
- 230000036541 health Effects 0.000 description 22
- 230000008569 process Effects 0.000 description 21
- 238000002474 experimental method Methods 0.000 description 16
- 206010028980 Neoplasm Diseases 0.000 description 15
- 238000012550 audit Methods 0.000 description 15
- 108020004414 DNA Proteins 0.000 description 13
- 238000011282 treatment Methods 0.000 description 13
- 230000009471 action Effects 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 11
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 10
- 239000003814 drug Substances 0.000 description 10
- 230000000694 effects Effects 0.000 description 10
- 230000002068 genetic effect Effects 0.000 description 10
- 201000010099 disease Diseases 0.000 description 9
- 238000012216 screening Methods 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 6
- 230000005611 electricity Effects 0.000 description 6
- 230000033001 locomotion Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000002560 therapeutic procedure Methods 0.000 description 6
- 206010006187 Breast cancer Diseases 0.000 description 5
- 208000026310 Breast neoplasm Diseases 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 5
- 230000037396 body weight Effects 0.000 description 5
- 201000011510 cancer Diseases 0.000 description 5
- 210000004027 cell Anatomy 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 230000007774 longterm Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000007170 pathology Effects 0.000 description 5
- 102000004169 proteins and genes Human genes 0.000 description 5
- 230000033228 biological regulation Effects 0.000 description 4
- 239000008280 blood Substances 0.000 description 4
- 210000004369 blood Anatomy 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 4
- 239000000463 material Substances 0.000 description 4
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 4
- 238000013518 transcription Methods 0.000 description 4
- 230000035897 transcription Effects 0.000 description 4
- 230000001052 transient effect Effects 0.000 description 4
- 241001269238 Data Species 0.000 description 3
- 208000027418 Wounds and injury Diseases 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000015572 biosynthetic process Effects 0.000 description 3
- 239000000969 carrier Substances 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 229940079593 drug Drugs 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 238000012956 testing procedure Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 108700010154 BRCA2 Genes Proteins 0.000 description 2
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- DGAQECJNVWCQMB-PUAWFVPOSA-M Ilexoside XXIX Chemical compound C[C@@H]1CC[C@@]2(CC[C@@]3(C(=CC[C@H]4[C@]3(CC[C@@H]5[C@@]4(CC[C@@H](C5(C)C)OS(=O)(=O)[O-])C)C)[C@@H]2[C@]1(C)O)C)C(=O)O[C@H]6[C@@H]([C@H]([C@@H]([C@H](O6)CO)O)O)O.[Na+] DGAQECJNVWCQMB-PUAWFVPOSA-M 0.000 description 2
- 206010024264 Lethargy Diseases 0.000 description 2
- 241000406668 Loxodonta cyclotis Species 0.000 description 2
- 230000000712 assembly Effects 0.000 description 2
- 238000000429 assembly Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- HVYWMOMLDIMFJA-DPAQBDIFSA-N cholesterol Chemical compound C1C=C2C[C@@H](O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H]([C@H](C)CCCC(C)C)[C@@]1(C)CC2 HVYWMOMLDIMFJA-DPAQBDIFSA-N 0.000 description 2
- 239000012141 concentrate Substances 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000007418 data mining Methods 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 2
- 238000012268 genome sequencing Methods 0.000 description 2
- 235000019580 granularity Nutrition 0.000 description 2
- 230000001771 impaired effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000011221 initial treatment Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 108020004999 messenger RNA Proteins 0.000 description 2
- 239000002773 nucleotide Substances 0.000 description 2
- 125000003729 nucleotide group Chemical group 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 102000054765 polymorphisms of proteins Human genes 0.000 description 2
- 229910052708 sodium Inorganic materials 0.000 description 2
- 239000011734 sodium Substances 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 230000004797 therapeutic response Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 210000004881 tumor cell Anatomy 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 108091032973 (ribonucleotides)n+m Proteins 0.000 description 1
- 208000019901 Anxiety disease Diseases 0.000 description 1
- 241000208340 Araliaceae Species 0.000 description 1
- 201000004569 Blindness Diseases 0.000 description 1
- PEDCQBHIVMGVHV-UHFFFAOYSA-N Glycerine Chemical compound OCC(O)CO PEDCQBHIVMGVHV-UHFFFAOYSA-N 0.000 description 1
- 108020005196 Mitochondrial DNA Proteins 0.000 description 1
- 108091028043 Nucleic acid sequence Proteins 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- SKZKKFZAGNVIMN-UHFFFAOYSA-N Salicilamide Chemical compound NC(=O)C1=CC=CC=C1O SKZKKFZAGNVIMN-UHFFFAOYSA-N 0.000 description 1
- 101150040974 Set gene Proteins 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000004378 air conditioning Methods 0.000 description 1
- 150000001413 amino acids Chemical class 0.000 description 1
- 229940124650 anti-cancer therapies Drugs 0.000 description 1
- 238000011319 anticancer therapy Methods 0.000 description 1
- 239000000164 antipsychotic agent Substances 0.000 description 1
- 230000036506 anxiety Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 101150036080 at gene Proteins 0.000 description 1
- QVGXLLKOCUKJST-UHFFFAOYSA-N atomic oxygen Chemical compound [O] QVGXLLKOCUKJST-UHFFFAOYSA-N 0.000 description 1
- 238000001574 biopsy Methods 0.000 description 1
- 210000000481 breast Anatomy 0.000 description 1
- 101150039352 can gene Proteins 0.000 description 1
- 235000012000 cholesterol Nutrition 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000003759 clinical diagnosis Methods 0.000 description 1
- 239000011248 coating agent Substances 0.000 description 1
- 238000000576 coating method Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 208000035475 disorder Diseases 0.000 description 1
- 238000011143 downstream manufacturing Methods 0.000 description 1
- 238000007877 drug screening Methods 0.000 description 1
- 238000002651 drug therapy Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000004134 energy conservation Methods 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 206010015037 epilepsy Diseases 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 239000010903 husk Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 101150044508 key gene Proteins 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 230000011987 methylation Effects 0.000 description 1
- 238000007069 methylation reaction Methods 0.000 description 1
- 238000002493 microarray Methods 0.000 description 1
- 230000000813 microbial effect Effects 0.000 description 1
- 230000002906 microbiologic effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 238000000465 moulding Methods 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 238000011369 optimal treatment Methods 0.000 description 1
- 229910052760 oxygen Inorganic materials 0.000 description 1
- 239000001301 oxygen Substances 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 241000894007 species Species 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 230000001225 therapeutic effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- 230000002747 voluntary effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6263—Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16B—BIOINFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR GENETIC OR PROTEIN-RELATED DATA PROCESSING IN COMPUTATIONAL MOLECULAR BIOLOGY
- G16B50/00—ICT programming tools or database systems specially adapted for bioinformatics
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16B—BIOINFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR GENETIC OR PROTEIN-RELATED DATA PROCESSING IN COMPUTATIONAL MOLECULAR BIOLOGY
- G16B50/00—ICT programming tools or database systems specially adapted for bioinformatics
- G16B50/30—Data warehousing; Computing architectures
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16B—BIOINFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR GENETIC OR PROTEIN-RELATED DATA PROCESSING IN COMPUTATIONAL MOLECULAR BIOLOGY
- G16B50/00—ICT programming tools or database systems specially adapted for bioinformatics
- G16B50/40—Encryption of genetic data
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
- G16H10/40—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for data related to laboratory analysis, e.g. patient specimen analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/22—Social work
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
- G16H10/60—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
Abstract
公开了用于对人类基因组和其他信息进行处理、处置和执行测试的可信的、隐私受保护的系统和方法。根据一些实施方案,公开了一种系统,其是用于基因和其他信息的可信存储和分析的基于云的系统。系统的一些实施方案可以包括或支持经认证和证明的数据源、经认证和证明的诊断测试以及对数据的基于策略的访问中的一些或全部。
Description
相关申请的交叉引用
本申请要求2011年10月17日递交的申请号是61/548,161以及2012年3月29日递交的申请号是61/617,593的临时申请的优先权的利益,上述申请的全部内容通过引用合并于此。
版权声明
本专利文件的公开内容的一部分包含了受版权保护的材料。在专利文件或专利公开出现在专利商标局专利文件或记录中时,版权所有者对任何人复制再现专利文献或专利公开无异议,但是在其它情况下保留无论什么的全部版权。
背景技术
基因测试正在从单核苷酸多形性,也即基因密码的孤立个体化学差的检测转移到全基因组定序(WGS),这记录了基因序列中的每一个碱基对。目前,各公司正把重点放在创造能够可承受地生成个体的全基因组序列的设备。预期在接下来的三年中,能够在不到一天的时间内花费不到$500来对整个基因组进行定序的设备将投放市场。当今的主要行业聚焦在于开发定序技术、生物化学以及第一阶段基因组数据处理(原始数据处理以及库撤消统计处理)。
发明内容
根据一些实施方案,描述了用于对人类基因组或其它数据执行可信计算的方法。所描述的方法包括:接收一组基因组或其它数据以及设计成操作基因组或其它数据的可执行诊断计算机程序;评估可执行诊断计算机程序的真实性;评估该组数据的至少部分的真实性;以及当真实性评估令人满意时,对该组数据的至少部分执行计算机程序。根据一些实施例,产生诊断结果,其可用于基于计算机程序的执行的医疗诊断。该方法还可以包括证明结果的真实性。诊断计算机程序的真实性的评估可以包括:验证由接收到的诊断计算机程序封包的数字签名。类似地,基因组或其它数据的真实性的评估可以包括:验证由数据封包的数字签名。根据一些实施方案,该方法还包括:基于一个或多个隐私策略来保持与该组数据相关联的隐私性。
根据一些实施方案,描述了一种可信计算系统,其包括:安全存储系统,其配置为存储一组数据和操作数据的计算机程序的至少部分;以及安全处理系统,其编程且配置为评估计算机程序的真实性,以评估该组数据的至少部分的真实性,并且当真实性评估令人满意时,对该组数据的至少部分运行计算机程序。
根据一些实施方案,描述了一种可执行诊断计算机程序,其包括:诊断算法,其配置为对数据集的至少部分执行,从而由其产生诊断结果(例如,可用于医疗诊断的结果);以及数字签名,其配置为有助于证明可执行程序的真实性。根据一些实施方案,计算机程序还能够封包有:描述了诊断算法、算法的预期用途以及一个或多个与算法相关联的警告的元数据;期望产生有用的诊断结果的算法输入的技术描述;和/或描述来自诊断算法的期望输出的各方面的信息。
根据一些实施方案,描述了产生封包的基因组数据的方法,其包括:接收来自DNA定序设备的基因组数据;对接收到的基因组数据进行加密;产生有利于基因组数据的后续验证的数字签名;以及用加密的基因组数据封包所产生的数字签名。能够利用与DNA定序设备相关联的私有密钥和/或与定序设施相关联的私有密钥来产生数字签名。
根据一些实施方案,描述了操作一组或多组基因组数据的方法,其包括:安全地接收一组或多组基因组数据;将许可信息与每组基因组数据相关联,所述许可信息已由基因组数据的所有者规定;接收操作基因组数据的算法;接收对一组或多组接收到的基因组数据运行算法的请求;证实所述请求;校验与一组基因组数据相关联的许可;以及如果所述许可允许,则允许所述算法访问或使用该组基因组数据。
如本文所使用的,术语“基因组数据”一般是指数据表达、表示或者从基因组或基因组序列的全部或部分获得。该数据可以包括例如以诸如DNA、mRNA和蛋白质的化学结构编码的信息以及诸如甲基化状况的相关调节信息。
如本文所使用的,术语“基因组”是指机体的遗传信息。基因组以DNA或RNA编码,并且可表示为mRNA或者从这些核酸序列得到的蛋白质序列。术语“基因组”可以包括基因和非编码序列。当应用于具体机体时,术语“基因组”能够指来自正常细胞的基因组数据,包括线粒体DNA,并且还指来自诸如肿瘤和微生物群落的其它机体的相关细胞的基因组数据。
附图说明
通过结合附图参考下面的详细说明,将易于理解发明工作主体,在附图中:
图1A、1B和1C示出了从使用物理医疗设备的紧密耦合的基因测试到解耦的定序和测试步骤的转变,其中测试步骤包括对原序列执行的一系列软件分析;
图2是示出根据一些实施方案的示例性的基因云生态系统中涉及的可能的大量保管者的图;
图3是示出根据一些实施方案的确保基因云生态系统中处置链的完整性的各方面的图;
图4是示出根据一些实施方案的基因云系统中所包含的多个子系统的图;
图5是示出根据一些实施方案的代表信任管理方法的图,其中根权限代表了信任分级结构到多个功能专用的中间根的可操作职责;
图6是示出根据一些实施方案的实施例设备制造商信任根的各方面的图;
图7是示出根据一些实施方案的实施例实验室信任根的各方面的图;
图8是示出根据一些实施方案的实施例执行环境信任根的各方面的图;
图9是示出根据一些实施方案的实施例调节信任根的各方面的图;
图10是示出根据一些实施方案的实施例测试提供商信任根的各方面的图;
图11是示出根据一些实施方案的实施例隐私证明权限信任根的各方面的图;
图12是示出根据一些实施方案的代表信任模型中的实施例证明的各方面的图;
图13是显示出基因云系统的示例性实施方案中的基因信息生命循环中的一组实施例阶段的图示;
图14是显示出根据一些实施方案的数据对象之间的链接的实体关系图;
图15显示出根据一些实施方案的自动产生的权限请求的模板的实施例;
图16是示出根据一些实施方案的用于执行虚拟诊断测试(VDT)的过程中的动作的流程图;
图17显示出根据一些实施方案的虚拟诊断测试(VDT)数据结构的实施例;
图18显示出根据一些实施方案的扩展元数据的实施例;
图19显示出根据一些实施方案的虚拟诊断测试(VDT)算法规范的实施例;
图20显示出根据一些实施方案的示例性的安全分析器中的部件的概览;
图21是示出根据一些实施方案的数据被捕获、保护和/或提供给基因云的过程的流程图;
图22显示出根据一些实施方案的汇编基因组元数据封包的可能的格式的实施例;
图23显示出根据一些实施方案的分析器数据封包(ADP)格式的实施例;
图24显示出根据一些实施方案的分析器环境中的密钥和基因云系统的摄取点处的密钥之间的示例性关系;
图25是显示出根据一些实施方案的分析器所生成的数据摄取中的示例性动作的流程图;
图26显示出用于保护和管理对数据的访问的示例性系统;以及
图27显示出可用于发明工作主体的实践实施方案的系统的更具体的实施例。
具体实施方式
下面提供发明工作主体的详细说明。虽然描述了多个实施方案,应当理解的是发明工作主体不限于任何一个实施方案,而是包含了若干的可选方案、改进方案和等同方案。另外,虽然为了提供对发明工作主体的全面理解而在下面的说明中阐述了若干具体细节,但是能够在不具有这些细节中的一些或全部的情况下实施一些实施方案。而且,为了清晰的目的,未对相关领域公知的一些技术材料进行详细说明,以便不必要地混淆发明工作主体。
提出了有利于基因组和/或其它信息的可信处置的系统和方法。将理解的是,这些系统和方法是新颖的,同样其中采用的多个部件、系统和方法也是新颖的。
基因组数据可能是当前可供使用的最个人可标识的健康数据。通过许多常规的医疗测试,一旦取得样本并且对样本进行测试,样本被丢弃,不能再进行进一步测试。然而,通过全基因组定序(WGS),你的“数据样本“能够无限地存在。随后在新基因被标识时能够对数据执行测试,而无需额外的实验室工作。
如果数据不能受到充分保护,则患者基本上同意当今已知的测试,并且也同意在患者寿命期间可能发现的任何测试。呈现基因信息可具有深远的结果,列举几个例子:诸如配偶选择/合意性;就业筛选/可雇性;以及造型/差别待遇。此外,呈现关于个体的基因组的信息可能无意地呈现出关于基因上有关的家族成员诸如同胞、孩子和双胞胎的信息。
图1A-1C示出了从使用物理医疗设备的紧密耦合的基因测试到解耦定序和测试步骤的转变,其中测试步骤包括对原序列执行的一系列软件分析。此处,我们将这些分析模块成为虚拟诊断测试或VDT。
图1A示出了当前如何实施测试,其中测试和分析紧密耦合。利用诸如微阵列或“基因芯片“112的基因组分析工具直接分析患者的样本110,随后产生了结果114。
图1B示出了通过定序器120分析患者的样本110,产生了序列输出122。序列122随后能够立刻用于分析。然而,序列输出122还能够以计算机可读格式存储。如图1C所示,根据一些实施方案,通过一个或多个VDT142在可信执行环境140中处理存储在文件130上的序列以产生诊断结果150。注意的是,在图1B和图1C中所示的过程中,在(利用定序器120)执行定序时,诊断测试(诸如VDT142)甚至可能不存在。因此,根据一些实施方案,测试和诊断装置都应当优选地且独立地被证明以安全且精确地执行其相应的任务,并且确保两者之间的接口是先验已知且可信的。在新的测试被创建时,这些应当被正确地证明以使它们能够被系统其它用户认证。
示例性设计
根据一些示例性实施方案,设计了解决与处置类似于基因数据的敏感信息相关联的信任、隐私和/或安全问题的系统。在一些实施方案中,可以包括下列特征中的一些或全部:
(1)基因组数据的隐私保护采集-在优选的实施方案中,甚至来自数据的起源,在采集点,个体的隐私受到保护。设备将其数据以加密形式直接输出到服务。服务以不能被实验室人员或过程的观察者容易地推断出的方式安全地且私密地将患者信息关联;
(2)数据是匿名的且总是受保护-在优选的实施方案中,在系统内,基因组数据以加密形式存储,并且与将呈现其所属的个体的身份的信息解耦。根据许可来密切地防护对链接信息的访问,优选地仅在为授权目的的安全环境中使用链接信息;
(3)分布式信任模型-期望的是确保生成诊断结果的端对端系统能够得到信任。利用分布式信任模型,每个独立的一方能够负责他们所控制的过程的部分,并且医生和终端用户能够信任,终端结果经汇编且由独立创建的、但是可信的组件执行;
(4)医疗保健用途的证明-在诸如基因学等快速发展的领域中,期望医生能够跟踪每一个新的发现并且将研究转换成容易排序的诊断测试是不合理的。通过整理测试且安全地关联描述和使用建议,这给予医生简单的规定测试的方法。此外,允许行业和管理组织证明和担保联署测试给予医生这样的自信:他们定购的测试已经经过同级阅览且将产生医疗相关的结果;
(5)虚拟实验室编程工具-基因组编程语音内的标准化功能使得研究者容易在易用的标准化测试中整理他们的发现。诸如DIFF(返回两个基因组段之间的差)、IF/THEN语句、布尔逻辑、模式识别、插入/删除检测的标准操作简化了商业化发现所需要的编程;
(6)IP的市场-标识特定的基因序列及其与表型和疾病的关系涉及到大量的资本、资源和时间。本文所描述的系统和方法的一些实施方案提供了做出这些发现的那些人能够被补偿的机制(如果他们这样选择)。
(7)用于协作的可信系统-在一些实施方案中,提供了用于创建和分布经整理的搜索算法的标准手段,从而使发现能够容易地在研究者间共享。各种类型的测试能够容易地链接在一起以形成在组织之间共享的可重用构建块,以实现免费或价值交换;和/或
(8)隐私设计-在一些实施方案中,提前对系统进行体系结构设计以保护其客户的隐私。通过在开始时设计隐私保护,隐私分析和匿名分析能够彼此隔离,从而实现两种类型的使用而不会造成任一方受损。
示例性的基因云生态系统
根据一些实施方案,提供了用于基因和/或其他信息的可信存储和分析的系统。该系统的实施方案有时在本文中称为“基因云”。在优选的实施方案中,基因云是一种以与那些数据中由保管者指定的隐私和使用策略一致的方式提供基因组(和/或其他)数据的可信任的长期存储和处理的系统。将理解的是,可以使用任何适合配置的服务器和存储媒介,包括但不限于单个服务器或服务器群,或通过各种网络(例如诸如因特网、公共和/或私有网络、和/或类似物)连接的多机种计算机系统的分布式集合。
基因云的一些实施方案可以包括或支持下列中的一些或全部:(1)虚拟诊断测试;(2)受保护的个人基因组数据;(3)经证实和认证的数据源;(4)经证实和认证的诊断结果;(5)对规则管理的基因组数据的访问;(6)能够用于医疗诊断的患者拥有数据;(7)患者授权对数据访问以进行研究和所要求隐私级别的能力;以及(8)患者授权对他/她的基因组的具体测试以及指定谁可以访问结果的能力。
图2是示出根据一些实施方案的基因云生态系统200中所涉及到的可能大量的保管者的图。在基因云系统200中显示为可能的保管者的是认证机构201、研究者202、付款人203、实验室204、客户205、医疗保健提供者206和工具提供商207。这些保管者中的每一个都可以具有在其自身基因数据或者那些数据的管理和使用方面的特定的一组专有利益和关心的事情。注意的是,在图2中使用了术语“客户”。然而,术语“客户”和“消费者”在本说明书中通常可互换使用。图2所示的许多可能的保管者扮演了确保数据的安全性以及处置链的完整性的角色,如图3所示。
图3是示出根据一些实施方案的确保基因云生态系统中的处置链的完整性的各方面的图。如图所示,可信结果209通过如下确保:借助实验室204,通过证明样本采集和处理遵从了正确的程序;借助定序器制造商210,通过证明从既定样本获得正确的序列数据;借助可信任的基因云环境200,通过证明诊断测试的执行是在受控的环境下且遵守规则的情况下执行的;以及借助工具提供商207,通过证明测试得到了医疗有效的诊断。表1以更示例性的细节描述了每个保管者如何会涉及到基因云生态系统的实施方案的操作中。
表1
在示例性的基因云生态系统的操作中保管者的牵连
基因云使用案例
表2呈现了一些使用案例,其描述了基因云系统的一些实施方案的一些能力,特别强调的是各案例的信任和安全方面。该组使用案例预期提供发明工作主体的一些实施方案中的各种基因云功能的示例性的而非穷尽的实施例。
表2
实施例使用案例
下面提供了具体实施发明工作主体的各方面的系统和方法的实现方式的一些额外的、更详细的实施例。
实施例:开药助理
制造公司已经生产了新的抗癌疗法,表明对患有阿耳茨海默氏病的患者的子集起作用。治疗有效的子集共有一些遗传型的特性,即,他们以经实验表明与有效性相关的一些方式基因上相似。此外,该药物的适当剂量取决于精确的基因型。对于特殊基因型的患者,过剂量导致危险的长期的副作用。
FDA已批准该药物,但是因为仅表明对特殊的一类患者有效,并且因为当按不正确剂量施药时有危险,所以该机构要求进行基因筛选测试来确定可能的有效性以及推荐剂量。
制药公司生产了评估这些因素且将其封包为基因云VDT的程序。在公司在基因云中测试VDT以验证其正确运转之后,公司数字签署VDT以主张其来源。签名是利用由基因云发布或代表基因云发布的用于该特殊用途的认证密钥来做出的。
在签署VDT时,制药公司将VDT提交给FDA阅览过程。FDA检查程序,在基因云中对其自身所呼叫进行测试,然后通过用他们自己的认证密钥对VDT数字签名来表明他们许可,他们自己的认证密钥源自于FDA控制的另一根证书权威(CA)。验证签名所需的证书链由VDT封包;FDA证书源起的根CA记录在基因云中作为用户可信赖的“可信根”。
一旦VDT经批准且附有全部的签名,其被上传到基因云并且向可能的开药医生宣布为可用。基因云提供了临床医生能够按姓名搜索VDT并且将其应用于特殊个人的基因组的机制。
患者寻求癌症专家进行评估,并且医生通知她他要运行基因测试来确定最佳治疗过程。医生做了下面的事情:
-请患者注册基因云的账户;通过该账户,患者将能够直接控制和许可她的基因组数据的使用。
-使用他自己的基因云账户,医生请求与患者样本相关联的唯一序列ID并且打印了上面有该样本ID的条形码标签。基因云通知患者,她可以许可该交易。
-取血液样本以使DNA能够在实验室中进行定序,封包样本并且用条形码对样本进行标记,并且将样本送到实验室。
实验室从样本中提取DNA,然后将其定序和上载。定序机已经包含了使能将样本数据上载到基因云的安全模块,并且该模块提供了与负责上载样本的实验室技术人员的接口。
在准备样本用于定序时,实验室技术人员将徽章提供到机器附近的传感器并且输入PIN码。这证实技术人员并且记录了他的身份。
技术人员扫描包含了临时序列ID的条形码,这将该运行的定序与样本相关联。
当定序完成时,技术人员输入与运行的定序相关联的任何重要的元数据。在该情况下,运行的定序正常地继续,不会有任何机器错误。
实验室技术人员表明他许可样本上载。
嵌入到定序机中的安全模块用专为该目的生成的暂时密钥对数据加密。
安全模块追加重要的元数据,诸如实验室技术人员的身份证号、样本ID号、技术人员记录、环境参数等,并且用设备制造商专门为该设备发布的认证密钥对完成的封包进行签名。制造商的证书反过来由基因云管理的可信权威来发布。
暂时加密密钥是利用定序机中的安全模块所知的基因云摄取点的公共密钥来加密的。
序列封包连同加密的暂时密钥一起上载到基因云中。
基因云接收到封包并且立即验证其完整性和源头。查验封包的签名,并且记录完整性状况和签名列表以便将来使用。
基因云摄取点的私有密钥用于对暂时加密密钥进行解密,暂时加密密钥随后用于对数据解密。将暂时密钥存档以便后来审计,并且将数据进行预处理以确保正确格式化且然后用基因云生成的新密钥进行重新加密。
基因云通过确定临时样本ID指定给谁来确定样本对应的患者。
将基因云生成的新ID指定给整个样本;将旧的样本ID存档以用于法庭用途。
基因云向开药医生和患者两方发送已接收到样本的通知。在接收到该通知时,医生使用基因云搜索工具来定位合意的VDT并且请求将其应用于他的患者的基因组。他可以或者可以不请求结果对患者可见。
基因云对患者(或患者的指定看护人)生成询问运行测试的许可的请求。许可请求以FDA批准的通俗术语列出了测试的目的以及请求测试的人的身份。可替代地,患者可以表明她与医生的关系并且给予医生运行此类测试的优先许可。
一旦患者许可的障碍清除,执行VDT。这涉及到验证适当的权威批准VDT,验证待操作的数据的真实性,对数据解密,以及运行VDT程序。
VDT的结果返回到请求的医生,并且生成并存储审计记录。患者接收到已进行测试的通知,以及测试为何种、谁指示该测试等等的说明。可以或者可以不包括测试结果,取决于医生如何配置VDT请求。
医生评估VDT结果并且开出适当的药。
实施例:肿瘤分类和治疗
该实施例具有两部分。在第一部分中,研究组试图将乳腺癌肿瘤分类成对各种药物反应不同的类别。该研究的目标是基于基因型和关于对各种治疗的反应的信息来标识类别。
在第二部分中,医生正在治疗近期诊断为患有癌症的患者。医生指示对肿瘤进行活体组织检查并且指示其DNA的定序。医生指示“虚拟实验室测试”,其将肿瘤DNA与患者的正常DNA进行比较,并且将肿瘤与患者过去所患的其它肿瘤进行比较。基于这些比较,医生开出恰当地适于患者基因型的治疗方案。
现在转到实施例的第一部分,其中研究组试图对乳腺癌肿瘤进行分类,研究者做出将一组七十五个基因标识为可能涉及到癌症的生物机理的假设。他们的目标是针对帮助他们学习将这些肿瘤分类成对应于各种疗法的组的信息来评估尽可能多的患者。
研究者创建了一系列在基因云中运行的生物信息程序。
–第一程序帮助标识研究中的组群,在该情况下研究中的组群被定义为如下的一组患者:(a)女性;(b)已被诊断患有乳腺癌;(c)通过一种或多种调查中的药物治疗乳腺癌;以及(d)已表明他们对那些治疗的反应如何好。该程序基于关于患者的表现型的信息,在该实施例中,假设患者的表现型存储在基因云中(或者对基因云而言可访问)。该第一程序在该实施例中称为选择器,因为其帮助选择在实验中要使用的组群。选择器可以例如选择合格组群的一半作为学习组,并且保留另一半用于测试目的。
–第二程序设计为对来自孤立的单个组群参与者的一组基因组(例如,正常细胞、肿瘤细胞)进行操作,即,该程序的任一特定实例均不访问所有参与者的基因组。该程序针对七十五个目标基因来评估正常基因组和肿瘤基因组,针对每个目标基因标注变体。变体包括诸如SNP、早停码字、复印数量变化形式等信息。该程序在该实施例中称为基因仿形仪。
–第三程序取所有个体基因仿形仪运行的结果作为输入并且取得待用于分类的数据。虽然各种不同的分类算法可用于该程序中,该实施方案的总体构思在于,算法试图将对具体治疗反应良好的患者分组成簇。在评估未用于学习分类的新颖基因组时,则将确定新基因组落入哪个簇,从而预测那个治疗过程可能最适合。在该实施例中,该程序称为分类学习机。
–第四程序,工作流,更像是一个说明书的文件,其描述了选择器、基因仿形仪和分类学习机如何适配在一起。例如,其可以指定选择器将确定组群;并且与该组群相关联的基因组要输入(基于个体)到一组基因仿形仪实例,其输出被引到分类学习机。
研究者将这些程序上载到基因云作为安全研究请求(SRR),VDT请求的形式。研究实验开始执行,起始于选择器,如工作流中所指定的。
选择器在可信执行环境中运行,该环境确保其仅对相关的表现型数据有访问权,而对基因组数据没有访问权。选择器将满足选择器中指定的标准的一组1200位患者标识出。
随着每个可能的组群成员被标识并添加到研究中,基因云利用成员的用户ID(或医疗记录ID)来查找与患者关联的基因组(正常和肿瘤)的唯一基因组序列标识符。在该实施例中,用户ID到基因组ID的映射是通过基因云来执行的并且对于选择器或基因仿形仪不可见,从而防止整个工作流将个人标识符与基因组关联。
基因云验证可能的组群成员的策略与研究者所希望的患者基因组数据的用途一致。例如,基因云查验患者具有其基因组数据被挖掘以用于研究用途的授权许可。一些患者可能希望允许任何研究用途,但是其它患者可能要求研究者附属于学术或公共健康机构,而不是商业实体。另外的其它患者可能希望被邀请而明确地同意每项研究用途,并且实际上期望在他们的数据参与研究学习中受到补偿。
对于策略允许参与的每个组群成员,基因云创建基因仿形仪的一个实例并且使得正常基因组和肿瘤基因组可用作该实例的输入。
基因仿形仪的每个实例由基因云指定新生成的随机ID。该随机ID用于标识组群成员,而不显现任何关于组群成员的信息。
如同选择器,每个基因仿形仪在限制对包括数据库、存储设备和网络的资源的访问的可信执行环境中运行。例如,可防止基因仿形仪做出HTTP请求以及将基因组数据张贴于第三方站点。还可以防止基因仿形仪访问表现型数据以及基因云未明确指定给它的基因组数据。
存在多种输入可用于基因仿形仪程序的方式。在该实施例中,基因仿形仪被告知,其具有两个基因组作为论据,一个用于正常细胞,而一个用于肿瘤细胞。利用基因云所提供的参考标识符,基因仿形仪请求序列数据提供争议中的七十五个基因。这些基因被提供给基因仿形仪,而不显现出基因组ID,从而防止基因仿形仪泄露后来可能与其它信息组合来标识具体组群成员的基因组ID信息。
在数据提供给基因仿形仪程序时,它们被审计且受制于任何可以管理该信息的相关用户策略。例如,特殊用户可能表明她的BRCA2基因的状况不应为任何目的而显现给任何人。请求该数据的基因仿形仪则将被拒绝并且必须决定如何做出反应,例如终止或者生成无请求信息的最佳努力结果。
这些数据以与典型VDT的输入相同的方式经过验证;该验证可以包括对输入数据的品质或源头、数据格式等的约束。
基因仿形仪在其指定的数据上运行且产生答案,该答案连同随机生成的标识符一起返回到基因云,并且传递给分类学习机。
同样在可信执行环境中操作的分类学习机开始接收来自各种基因仿形仪实例的结果。
分类学习机不必要获知其应当期望接收多少结果。甚至在能够标识多个组群成员的情况下,基因仿形仪实例的误差(或策略违反)可能意味着实际接收到的少于期望数量。在某点,分类学习机必须决定运行其算法,但是同时,其简单地采集输入。在该实施例中,研究所创建的工作流规范说明判定样本尺寸是否高于1000,如果一个小时过去后没有新进入的数据,则分类学习机应当运行。
为了计算其分类数据结构,分类学习机不仅需要来自各基因仿形仪实例(其现在所收集的)结果,而且需要关于组群成员以及成员对具体治疗反应如何的信息。基因云为分类学习机提供API,允许其利用作为组群成员ID的代理的指定给基因仿形仪的随机标识符来查询非个人可标识的表现型特性。利用该间接机制,分类学习机能够将基因型与表现型信息相关,而无需访问诸如姓名、医疗记录号、地址等个人标识信息,仅访问那些与学习分类有关的特性。
分类学习机为研究者生成输出结果,包含能够用于对训练集外的基因组上的疾病的新实例进行分类的数据结构。
分类器的应用类似于在之前的实施例中描述的“开药助理”的应用。为了测试和应用上述学习的分类器,研究者创建了新的VDT程序,其包含了上述获得的学习后的分类信息。该分类器程序对来自单个患者(以及她的肿瘤)的基因组操作,提取必要的七十五个基因仿形并且应用上述学习的分类。
如在“开药助理”情况下那样,VDT(分类器程序)可通过第三方权威认证。在该情况下,一旦分类器经过测试且其结果视为可接受,则诸如FDA或国家癌症研究院的实体可数字地签署VDT以表明其符合其策略。
实施例:盲目药物筛选
许多专家认为,巨型炸弹药物时代已经过去,药物的未来将有赖于针对患者采取更精确的有针对性的疗法,而不是普通适用的药物。在许多情况下,患者的基因型将用于判定既定疗法是否有效。非常有益的是,制药公司定位潜在的候选者以便直接投放市场或参与临床试验。然而,这应当以保护患者隐私的方式来进行。
在该实施例中,制药公司已创建了基因组筛选程序,其判定基因组的主人是否是新型抗精神病药物的潜在候选者。在初步的研究中,制药公司已发现,具有特定基因型的人反应特别好。
制药公司创建了一组生物信息程序:
–第一程序,即选择器程序,与“肿瘤分类和治疗”实施例中的类似,选择“基因云中所有人”的组群,因为他们希望得到尽可能多的参与者。
–筛选器程序实际上检查选择用于组群的人的基因组并且发出从0至100的数字,表示他们对治疗做出反应的概率。类似于之前的实施例中的基因仿形仪,筛选器一次对一个基因组进行操作。
–联系程序取得筛选器实例的结果并且利用患者优选的联系方法(例如,电子邮件、SMS、站点通知等)匿名地联系概率高于70%的任何患者。
–工作流程序,其指定所有这些程序如何一起运行。
制药公司创建研究请求,并且将这些程序签名且上载到基因云,在基因云中它们开始运行。选择器继续运行,并且将标识组群成员以便在它们在线时进行进一步研究。
起初,选择器无匹配,因为没有人知道试验,或者已经选择允许制药公司免费地挖掘其全部的基因组数据。换言之,基因云中基因组信息的主人所设定的策略,或者更精确地是容许使用的策略的缺失,阻止出现匹配。
制药公司向患者社区张贴了通知,该通知寄存在基因云系统内或其它处,提供了允许感兴趣的参与者注册该免费筛选的链接。
参与该筛选的邀请说明了做何种测试,以及对所测试的人如何有益。还明确地说明了制药公司不能够获知任何参与者的身份,并且如果参与者被视为与疗法匹配,则参与者本身必须前摄遵从。
在参与者开始选择时,他们的用户ID由选择器匹配。如在“肿瘤分类和治疗”使用案例中那样,这些ID变成了屏幕后的基因组ID,指定了随机标识符,然后作为输入提供给筛选器的个体实例。
在筛选器结束运行时,它们提供其结果给联系程序,联系程序使用随机指定的标识符来请求将通知发送给多于70%可能对治疗做出反应的每个组群成员。基因云使用随机ID来查找用户ID,找到其优选的联系方式和地址,并且分发表示在他们感兴趣的情况下他们应如何跟随的一般消息。
通过该程序,制药公司已标识出其疗法可能对其有帮助的适合的人群,并且患者已接收到不使其身份受损的免费筛选服务。
实施例:新生儿和一周岁的评估
妇女进入医院并且产出了看上去健康的男婴。作为例行健康评估的部分(以及作为婴儿生命期内未来使用的记录),儿科医生用药签拭抹婴儿的面颊以获得DNA样本并且将其送到实验室进行处理。医生指示当前由AMA和美国儿科医学委员会所推荐的一套标准的基因测试。作为附加益处,儿科医生将婴儿预约到“一周岁”医学警告系统。
儿科医生没有她自己的实验室,她也不想重复地从新生儿采集样本,除非密切的检查有采集新样本的正当理由。她知道,存在与一些测试程序相关联的风险。其它测试既昂贵又难懂,并且在多数情况下与其相关联的成本无担保。医生想要确保她遵从了AMA随推荐的当前最佳惯例。医生还想确保如果基因诊断中的任何进展发现了她的年轻患者的潜在问题她能够被通知。
医生从新生婴儿取得DNA样本,用唯一ID加标签,并且将其送到基因云设施。医生将患者的实验限定如下:
–对于新生婴儿的最常见问题运行高优先级扫描。该扫描将以较高的、更昂贵的优先级排入队列。儿科医生接受额外费用作为预防措施。她想要尽可能早地知道严重的问题。她使用在“Serous Infant Pathology A”名下公开的AMA认证的程序包。她之前使用过该程序包并且对性能非常满意。
–以较低的、不太昂贵的优先级对于不太严重或本身在生命后期显现出的问题运行扫描。她希望对于能够等待的事情削减成本。按婴儿具有男性模式的秃顶问题的事实调整至新生婴儿,无需使父母伤心。儿科医生希望运行的程序是两个公共可用的第三方程序,以及一个她自己制作的程序包。
–对于适合描述“Infant AND Pathology AND Medium OR High Risk”的新公开的程序对新生儿的DNA样本继续周期性的扫描。该程序的生命周期涵盖了婴儿生命的第一年。实验的额外参数规定了,如果扫描的成本超过一定量,则程序首先需要提供关于程序和疾病的文档给医生,然后需要从医生处接收运行许可。
儿科医生从婴儿患者取得DNA样本。该样本是通过用药签拭抹患者的面颊而取得的。药签由ID加标签。ID实现了患者的匿名。ID构造为使得ID不会容易地追溯到患者。儿科医生连接到基因云控制台。经由一系列用户接口,她指定她要对患者进行的实验。经认证的AMA程序被装载到实验背景下,并且检查封包的签名。该封包的价格选项呈现给儿科医生。她选择优先级选项。她计算较高的成本被对家庭带来的益处所补偿。
药签被送到本地基因云中心,在基因云中心对样本进行定序。序列存储在基因云中。后来,在初始兴奋安定之后,儿科医生坐下来限定实验的其余部分。她利用基因云控制台连接到之前限定的实验。她首先选择在其中一个主基因云软件市场中可用的包。该包由退休的儿科医生创建,并且由他的证书以及他的阅览组的证书签署。她认识并且信任该作者。第二,她选择不同第三方基因云软件市场中由一个年长的助产士所创建的包。该市场以更具研究气氛而闻名。在该包被装载到实验背景下时,该包的签名被查验。第三,她挑选出她自己创建的一个程序。该程序是她过去实际经验的编码。为了上载实验,她必须将她的证书连同阅览该程序的同级组的证书一起提供给基因云。
序列经过初始处理,包括压缩和元数据加标签。初始处理一完成,就在序列上运行高优先级任务。任务通常具有与其相关联的较高成本。儿科医生指定的高优先级任务正在运行,即使仅对实验进行部分限定。较低优先级的任务现在开始在基因云中运行。
儿科医生现在限定她对患者的实验的第三部分,即长期运行的“第一周岁”实验。实验该部分的参数被设定。首先,仅允许具有描述“Infant AND Pathology AND Medium ORHigh Risk”的新程序。具有在描述中包括“Advertising”的描述的所有程序被明确地拒绝,除了对婴儿处方做广告的程序之外,这是因为实验的第一部分已经揭露了婴儿患者轻微乳糖不耐受。该程序还有助于基因云分析的成本,因为每当接受广告时其将资源注入实验账户。
允许具有描述“Infant AND Pathology AND Medium OR High Risk”的程序运行,前提是运行成本不过高。允许具有描述“Infant AND Pathology”的程序运行,前提是满足下面的条件:
–运行程序的成本对于患者的基因组低于5美分。
–运行程序的成本对于患者的基因组大于5美分并且程序能够将相关研究显示给儿科医生,并且程序获得在患者基因组上运行的签名许可。
–在婴儿第一岁生日之后,实验的该部分被设定为完成且到期。
实施例:匿名后代品质预测
爱丽丝(Alice)将其基因材料定序且上载到基因云中。她预定了在基因云之上由第三方卖主提供的测定服务。利用测定服务的接口,她选择她希望她的后代拥有的一些品质。她希望她的后代拥有的品质之一是从错误中学习的能力。
爱丽丝随后提交了她理想配偶的合意非基因特性的列表。在该列表上从高向低是教育、收入和与爱丽丝的邻近度。
她的基因品质已为基因云所知。她所不知的是她具有基因型为AG的DRD2TaqIA多胎现象。近期研究表明,这意味着她不不太善于学习避免错误。
测定服务已经在基因云中运行的VDT中将这些结果结合TaqIA多胎现象进行编码。程序将两个潜在的候选者进行比较并且计算TaqIA品质影响后代以及影响到何种程度的几率。仅允许该程序对来自已经预约了测定服务以及策略设定允许这种用途的人的样本进行操作。
测试服务程序组中的第二个可信程序现在取得潜在配偶的列表并且评估个体的非基因特性。该程序构造为使得个体的身份和基因信息保密。该程序缩短了潜在对象的列表以适应次要标准,并且在爱丽丝能够访问的网页接口中呈现列表。仅公开了匹配程度和潜在配偶想要显现的信息。
爱丽丝登陆测定站点并且被呈现了匿名潜在配偶以及后代将拥有她所期望的品质的几率的列表。
匿名协商会话随后发生,并且爱丽丝缩小了潜在配偶的列表。爱丽丝与列表成员之间的消息经由匿名消息交换设备来处理。
在协商会话之后,各方同意会面。
爱丽丝重复该过程,直到找到合适的配偶。
将理解的是,选择前面的实施例以有利于理解发明工作主体的各个实施方案,并且为了示例而不是限制其中所展示的总体原则的目的选择了这些实施例中的具体细节。
示例性的基因云组件和过程
图4是示出根据一些实施方案的实施例基因云系统中所包含的多个子系统的图。如图4所示,这些子系统可包括以下中的一些或全部:
–安全基因数据库220,其存储基因组和其它基因材料,以及可能与系统操作有关的其它健康信息。
–VDT市场221,其允许诊断和其它生物信息学工具的提供者出售或以其它方式为基因云生态系统中的其它参与者提供对其工具的访问和/或使用,诸如希望对肿瘤进行专业基因测试的医院。
–可信权威222,其管理构建系统所涉及到的实体的认证,将经认证的数字身份和密钥提供给参与者,参与者可能包括定序机本身、医生和希望访问系统资源的研究者、VDT提供者(使用他们的证书来签署他们的VDT)和/或类似物。该可信权威222可以例如包括充分集中化的可信权威、具有分散中间权威的代理可信权威、或类似于在万维网中操作的分散的可信模型网。
–VDT执行环境223,其是安全计算环境,在该环境中执行VDT和其它生物信息学工具。该执行环境223能够确保仅执行可信的、真实的VDT并且能够管理诸如对基因数据库的可信的、策略管理的访问的计算的各方面。
一组研究服务224,其例如允许研究者将研究注入系统,其组件将在VDT执行环境中执行。
–交易票据交换所225,其例如管理系统内的付款和/或其它价值交换。
基因云子过程。表3描述了发明工作主体的一些实施方案的操作中所涉及到的子过程的实施例。下面进一步详细地描述了与这些示例性的过程有关的操作细节。
表3
可能的基因云子过程的实施例
信任管理。本文所描述的信任管理系统是可用于基因云系统的许多可能的信任管理方案中的一种的示例。图5是示出代理信任管理方法的图,其中单个根权限代理信任层级到多个功能专用的中间根的操作职责。
在图5所示的示例性的层级中,根信任权限300代理了六个子权限的职责。设备制造商信任根301用于在他们在基因云生态系统内传达信息时证实设备。实验室信任根302用于在处理基因和其它材料时所涉及的实验室主要负责人的证实。执行环境信任根303用于发出例如VDT执行环境的完整性的信号。管理机构信任根304允许政府管理机构签署基因云系统内的数字对象,表明他们许可/浏览过争议的对象。测试提供者信任根305由在根303下认证的可信环境内执行的诊断工具(例如VDT)和其它生物信息学工具的提供者使用。私有认证机构信任根306有点类似于管理机构信任根304,但是由希望表明他们同意或浏览过一些测试、工具或数据的私有实体操作。
图6是示出根据一些实施方案的设备制造商信任根的各方面的图。在一些实施方案中,设备制造商信任根是用于认证在基因云生态系统中涉及的设备(包括例如诸如定序机的设备)的代理信任权限。如图6所示,设备制造商信任根301可进一步将其权限代理给一个或多个制造商特定的信任根307a,307b…307n,每个制造商特定的信任根反过来可用于认证单个设备(例如,证书308a,308b…308n)。
图7是示出根据一些实施方案的实验室信任根的各方面的图。实验室信任根302能够用于认证在基因云生态系统内处理安全信息所涉及到主要负责人和设施。如同设备制造商信任根301,实验室信任根302可以是代理根,其本身可以代理单个实验室309a,309b…309n的权限。在图7中示出了两种情况,一种情况是实验室信任根302直接发布终端实体证书来认证单个实验室(309a,309n),另一种情况是实验室本身向实验室(310a,310b…310n)的操作中涉及的技术人员和其它人发布终端实体证书.
图8是示出根据一些实施方案的执行环境信任根的各方面的图。执行环境信任根303能够用于认证和证明执行诸如VDT的工具的系统的完整性。在一些实施方案中,该根可以例如对在基于本地法律的不同管辖权的不同执行环境(311a,311b…311n)进行授权,并且帮助确保每个经如此授权的环境能够依次对本地“虚拟实验室”(例如,在其管辖权内操作的实际个体执行环境)授权。对于每个“虚拟实验室”执行环境显示了证书312a,312b…312n。
图9是示出根据一些实施方案的管理信任根的各方面的图。管理信任根304能够用于代理特定法律管辖权(313a,313b…313n)的本地管理权限,每个本地管理权限可根据本地规章独立地操作。在一些实施方案中,这些管辖权将具有进一步代理如其具体管辖权所要求的权限(314a,314b…314n)的能力。
该代理模型无需对所涉及的多个管理权限施加任何要求,相反,能够帮助确保在期望进行互操作时各管理管辖权的系统能够实现技术可互操作。备选的信任模型不涉及单个管理信任根,而是允许每个系统维护所信任的管理证书列表。该模型将更接近地类似于在万维网上流行的多对多信任体系结构。
图10是示出根据一些实施方案的测试提供者信任根的各方面的图。测试提供者能够使用从测试提供者信任根305取得的证书来对其子域内的各行动者指定身份,各行动者包括例如组织内的群组和/或对测试本身(例如VDT)编码的数字对象。这些不同的身份能够被查验和验证以作为VDT的安全执行的部分。
图11是示出根据一些实施方案的私有认证权限信任根的各方面的图。极类似于管理信任根304,私有认证权限信任根306能够用于为各实体提供表明他们已阅览或同意诸如VDT、序列、装备等特定对象的能力。例如,CLIA可具有允许它们为经过认证的特殊实验室装备和/或实验室程序担保的来自私有认证权限信任根获得的子根。诸如美国医疗协会的专业协会可能希望将其自身的数字证据添加到特殊VDT中,表明其已经过组织等阅览。每个私有权限将被发有通过私有认证权限信任根签名的其自身的证书,这将依次将给予它为其自身用途适当地发布另外的证书的权力。
图12是示出根据一些实施方案的代理信任模型中的认证的各方面的图。显示出代理信任模型230,其中如上所述,每个子根可对其特殊域内的认证施加各种要求。图12示出了根据一些实施方案的可能的认证过程、要求和人工制品的一些实施例。
保密性和许可
根据一些实施方案,基因云系统允许研究者和医疗人员在确保其数据由基因云管理的消费者的保密性和隐私的同时对基因序列进行操作。该部分描述了能够用于一些实施方案的策略机制的一些实施例。
图13是示出根据一些实施方案的在基因云的基因信息的生命周期内的一组实施例阶段的示例。图13还表示了在这些实施方案中用于维护安全性和保密性的一些对象。
参考图13,在阶段1(240)中,在安全分析器环境中,通过样本采集系统(例如,定序机)来生成基因信息。在该实施例中,安全分析器环境可以是例如定序装备的一部分或者在与定序装备搭配使用的外部单元中,安全分析器环境拥有待用于保护序列数据的唯一设备标识符和加密模块。
在图13所示的实施例中,通过在安全分析器环境中本地生成的临时加密密钥(分析器加密密钥或AEK),在源头处保护序列数据。在可选的实施方案中,通过安全通道从基因云获得临时加密密钥。该密钥由与阶段2(242)的安全数据接收环境相关联的公共密钥加密并且连同加密的序列数据一起发送到安全数据接收环境。安全分析器环境可以从登录库获得与既定安全数据接收环境相关联的公共加密密钥,登录库可以例如将这些密钥与安全数据接收环境的诸如其在因特网内的公共IP地址和/或类似属性的其它属性关联。
在数据生成阶段(240)期间内,通过ID号(例如,SEQID或“序列标识符”)来标识样本,在一个实施方案中,ID号是在患者希望定序的点通过基因云生成的随机标识符。该随机标识符还可以在定序之前生成并且连同待定序样本一起传送到定序中心。该标识符优选地不具有与任何其它患者信息的连接,但是在一个实施方案中,基因云将与患者的链接维护为一对受保护的链接对象(在图13中显示为‘SEQ-SAM’和‘SAM-CID’)。
在一个实施方案中,这些链接对象中的第一个将临时SEQID与序列的长期标识符关联;一旦样本已被摄取到基因云中,初始SEQ标识符不再使用,除了严格受控的内部审计过程。第二个链接对象将特定样本与消费者ID(CID)关联。在后期处理的过程中,该链接对象受VDT以及其它信息学工具的保护从而维护消费者隐私。
在一个实施方案中,维护基因云中的各标识符之间的链接的子系统被称作安全关联管理系统。安全关联管理系统使得对匿名的患者信息的访问进行可能的严格控制。
再次参考图13,在摄取和安全关联阶段242中,序列数据由安全数据接收环境摄取。这些数据可以经由各种网络协议中的任一种传输到基因云,这些网络协议包括但不限于HTTP(包括HTTPS)、FTP、基于UDP的协议和/或类似协议。在一些实施方案中,数据可通过物理装置(例如,在磁盘驱动器上)传送到摄取点。存在可以用于上载序列数据的多种安全数据接收环境。一般地,安全数据接收环境应当优选地定位在极安全的设施(HSF)内以防止未经授权的访问和篡改。
在一个实施方案中,将序列数据解密,并且将用于在传输时保护其序列数据的临时密钥存档以用于未来的法庭和审计用途,但是不能以其它方式使用。SEQID用于确定序列所属的消费者,并且序列存储在消费者ID下,受新密钥保护。SEQID被维护作为SEQ-SAM链接对象的部分,用于历史和审计用途,但是SEQID不再使用。
在一个实施方案中,基因序列的使用阶段(244)有赖于与消费者账户关联的许可。在大多数情况下,将序列标识符与消费者ID捆绑的链接对象不暴露,例如不暴露于诊断工具。因此,在优选的实施方案中,即使工具对低级序列数据有访问权,但是其不能使用该信息来获得关于定序列的消费者的身份的进一步的信息,包括可存储在基因云中的医疗或其它表现型信息。下面描述了示例性的许可框架的实施方案。
在一个实施方案中,基因云系统包括策略管理系统,其负责管理对基因数据、表现型数据和/或其它数据的访问权的规则的安全存储和解释。该管理系统可受自动与由特定源(例如特定安全分析器环境)生成的数据关联的根策略规定制约。
下面是系统的一个实施方案如何可能使用的实施例:(a)医生登陆到系统中;(b)医生查询患者的记录;(c)查找患者的CID并且显示一般信息;(d)医生浏览患者记录上的样本;(e)CID用于定位所有的SAM-CID对象;(f)查验SAM-CID对象内的许可以访问样本数据,并且由于医生是医疗人员的部分,许可访问;(g)医生选择两个样本并且选择进行的测试;(h)安全环境验证测试,解锁全部数据,取回序列数据并且将序列数据解密,验证测试所需的全部输入数据,并且进行测试;以及(i)如果费用与测试相关,则开账单系统更新适当的收费。
图13示出了通过各安全环境的示例性的数据流,在该安全环境中,生成序列数据,序列数据与个人和样本相关数据关联,并且根据许可安全地处理序列数据。在第一阶段240中,安全分析器环境用于生成序列数据、对序列数据进行加密和数字签名。安全数据和关联标识符封包在分析器数据包(ADP)内并且发送到安全数据接收环境。结合图21进一步描述关于阶段240的附加示例性实施方案的信息。在安全数据接收环境内,ADP数据经证实、解密且安全地摄取到基因云系统中。在该阶段(242)中,ADP内的标识符用于将数据与具体的基因云样本ID和消费者ID关联,并且序列数据经转写且存储为基因云内的序列数据对象(SDO)。结合图24和图25进一步描述了关于阶段242的附加示例性实施方案的信息。在阶段3(244)中,响应于搜索请求和虚拟诊断测试请求(VDTrx)来取回解密和处理序列数据。在安全环境(例如,“虚拟实验室”)中以及依照已经由数据所有者指定的许可来进行对序列数据的访问和后续测试。在图16中更加详细地描述了阶段3(244)的示例性过程。
图14是显示根据一些实施方案的数据对象之间的链接的实体关系图。图14提供了为保护隐私在基因云的一个实施方案中使用的各数据对象之间的关系的更详细的图。
许可框架
该部分描述了许可框架的实施例,图示出了能够在基因云中保持患者信息安全的一种方式。该部分意在为实施例;许多其它类型的许可框架是可能的。特别地,能够使用策略方案,其中利用可执行语言来表达许可,可执行语言诸如为共同受让的美国专利申请11/583,693(公开号为2007/0180519)(“‘693申请”)和/或美国专利申请10/863,551(公开号为2005/0027871)(“‘551申请”)中所描述的(‘693申请和‘551申请的内容全部通过引用合并于此)。许可还可以用例如XML模式限定的说明性语言编码。
根据一些实施方案,基因云设计成使得对基因信息的访问与消费者隐私平衡。在一些优选的实施方案中,所有的数据都是匿名的,直到它们明确地与消费者身份关联且策略明确地改变成允许访问为止。这是一种类型的缺省策略设定,但是根据其他实施方案其他策略设定是可能的。
基因云所维护的许可策略可源自于多个源,包括例如:(1)数据的始发者(例如,执行定序的实体);(2)采集、处理或存储序列的地理施行的法律和法规;(3)看护提供者;和/或(4)患者。为了将适当的保护应用于基因云内所维护的不同类型的隐私信息,可根据信息的敏感度将不同的信息分类为多种可能的类型中的一种。在下面的表4中显示了代表性的类集合。前两列(标有单个*)通常表示最不敏感的信息,而最后两列(标有三个***)通常极私密且敏感并且具有最严格的保护要求。中间两列的信息(标有双**)通常在两者之间。
表4
基因云系统中的信息的隐私数据分类
在一个实施方案中,对于每种类型的数据元素,拥有该数据的消费者可以指定对该数据类别具有访问权的主要负责人。下面的表5显示了根据一些实施方案的可在系统内限定的用户许可中的一些的实施例。
表5
用户许可矩阵
在一个实施方案中,一旦各用户访问数据的能力确立,消费者(或代表消费者起作用的代理)可进一步限制在数据内所允许的具体用途。下面的表6提供了在示例性的基因云系统中数据可允许的许可用途中的一些的实施例。
表6
基因云系统中的使用许可的实施例
在一个实施方案中,在另一许可表或其他适合的数据结构中维护消费者许可,其实施例显示在表7中。该许可表可以多种数据粒度级应用于基因云。例如,该许可矩阵可与消费者的整个数据集、特殊数据隐私类别和/或特殊数据元素相关联。
| 使用类型 | 许可设定 |
| U000 | 从不 |
| U001 | 从不 |
| U002 | 从不 |
| U003 | 从不 |
| U004 | 从不 |
| U005 | 允许 |
表7实施例许可设定
在一个实施方案中,基因云的许可系统允许许可网格的例外表达来捕获来自更粗粒度的许可集的变化。例如,如果消费者决定缺省设置不允许使用U004所有数据,他可能希望将允许U004用于特殊类别的不太敏感信息的例外插入该策略。例外表的实施例显示在表8中。
表8许可例外
带有隐私数据类别、许可使用、例外等的许可系统可为普通消费者提供相当令人望而生畏的复杂度级别。因此,根据一些实施方案,基因云可以包含一组合理的缺省策略模板,其允许用户经由简单的接口来选择基于实践的最佳策略。在选择特定模板之后,上文所描述的隐私相关的设定由系统适当地自动指定以用于所选级别。策略模板的实施例显示在表9中。
表9许可模板
另外,根据一些实施方案,基因云内的具体动作,诸如在消费者的基因组上运行VDT,可以触发显式许可请求,其实施例示出如下。通过这种方式,可通过消费者来授权具体用途(与广泛使用类别不同)。图15显示了根据一些实施方案的自动生成的授权请求的模板252的实施例。
虚拟诊断测试的设计和执行
执行VDT。根据一些实施方案,执行虚拟诊断测试(VDT)是包括以下四个阶段的过程:(1)查验许可,即验证VDT经授权而对搜请求的具体数据运行;(2)证实和验证,即确定VDT本身以及其所操作的数据对象已经恰当地验证。例如,在一些实施方案中,可要求VDT经过数字签名而在特定执行环境中操作,并且VDT本身可以仅对具有限定极佳的、经验证的处置链的数据运行;(3)执行,即在安全执行环境中运行VDT;以及(4)输出,即生成VDT的输出,其可以是例如剂量信息、特定基因的复制号变化形式等。
图16是示出根据一些实施方案的用于执行虚拟诊断测试(VDT)的过程400中的动作的流程图。本领域技术人员将理解到,在过程400中执行的VDT不一定是单个的单块程序;事实上其可以由活动经协调的多个子组件构成。本文所使用的术语“VDT”应当理解为包含VDT由多个组件构成的实施方案。在这样的实施方案中,图16所示的流程图可应用于VDT的各子组件。在块401处,VDT请求(VDTRx)由基因云系统接收到,表明特定用户已表达了对特定数据集运行VDT的愿望。
根据一些实施方案,VDT要使用的数据集由取决于表现型或基因型数据的评估的判定来限定。例如,而局限于:(1)可通过采集日本籍祖先的超过85岁且没有乳腺癌家族史的所有人的基因组来形成输入集合;或者(2)可通过采集具有既定基因的基因变体的而由未显现出特定症状的所有人的基因组来形成输入集合;和/或(3)任何其他选择方法或标准。
在块402处,利用许可系统来查验许可。这种许可系统的示例性实施例描述于本文件的其他地方,并且包括但不限于在'693申请和/或'551申请中所描述的控制和管理机制。根据一些实施方案,验证VDT有运行许可可涉及到多个因素的判定,包括例如:(1)VDT的创建者是否是可信实体或充当可信角色,例如VDT由特定生物信息学组创建,或者其由参与公共基金研究的学术实验组创建;(2)请求VDT执行的人是否是特定可信实体或是可信角色,例如,请求者是特定临床医师,或是序列所有人的个人医生,或是具有公共健康代理行为的流行病学专家;(3)任选地,系统可以通过电子邮件、SMS、张贴到基因云账户的消息、电话、经认证的或其他的邮寄地址或其他方式联系所有者来恳求序列所有者的直接许可,VDT执行会受阻,直到这些条件满足;(4)VDT可以指示要访问基因组的哪些部分,并且可以查验用于访问那些基因位点的具体许可,例如,基因组所有者可能选择完全限制对APOE4基因的访问,该APOE4基因与阿耳茨海默氏病的风险强烈相关,对基因组的该部分的VDT请求许可将被拒绝;和/或(5)访问特定基因组或其子集的许可可以取决于之前对该基因组访问的历史、显露个人信息的量等。例如,如果具体信息与之前释放的信息相结合能够用来个人标识主体,则基因云可以拒绝访问该具体信息的许可。注意的是,如果VDT在不同人所有的基因组集合上操作,则VDT的执行可取决于多方的同意。在块402处,可以采集许可,停止VDT的执行直到获得所需的许可,或者VDT执行可通过反映获得许可的那些基因组所有者的输入的子集继续进行。
在块403处,如果VDT的使用需要付款,则能够进行验证以确认是能够对相关账户开账单。在块404处,对是否基于前述查验继续做出决策。在块405处,进行适当权威在上述信任模型下签署VDT的验证。虽然在该实施例中该验证是显式地进行的,将理解的是其可以在不同时间或者隐式地进行。例如,当VDT被上载到基因云系统时,可以发生验证。关于验证的信息,例如创建VDT的实体的记录、已签署VDT的可信实体列表等,可以存储在持久性高速缓存中,在块405处对该持久性高速缓存进行询问。该高速缓存的数据可反复刷新以解释高速缓存的证书到期等等。这些类型的优化不影响系统的逻辑行为。
VDT的签名可多种可能的方式附着,包括但不限于:(1)可利用客户侧工具开发VDT并且在VDT上载到基因云中之前进行数字签名;和/或(2)VDT可以通过经证实的用户上载到基因云,利用在线工具开发和组装,随后应作者请求进行显式数字签名以标记工具的官方发行。在这些情况下,数字签名帮助确保对任何既定基因组执行的VDT是指定的VDT,无任何修改而运行。
在块406处,对VDT或基因云环境本身所指定的数据要求做出判定。在一些实施方案中,基因云可以对待由VDT访问的源数据施加最低的数据真实性、品质或其他条件。在这样的实施方案中,VDT作者可以添加超越环境缺省的附加限制。
例如,VDT可以表示其将仅对由特定实验室采集的数据操作。通过验证必要实验室将原始数据包进行数字签名,来施行该类型的策略。类似地,VDT(或基因云环境)可允许来自任何实验室的数据,只要该实验室是经CLIA认证的即可。技术上讲,这可通过验证用于对原始数据包进行数字签名的证书本身由诸如CLIA的权威签署来实现。更具许可性的策略可能允许任何输入,只要其为正确格式且由具有有效证书的定序器生成即可。
VDT可以对输入格式、数据源和数据品质设置具体的限制。例如,VDT可以要求,基因组由来自四个主要制造商中的一个的机器定序,那些机器的型号和固件版本是最新的,基因组已由具有既定参数集的特定算法汇编,基于原始基因材料的至少40x采样来生成序列,等等。在用于输入到VDT中的数据时,基因云的一些实施方案可将数据自动转换成适当的输入格式并且记录这样的转换活动以用于在块410处生成的输出报告。
在块407处,做出任何可应用要求满足的验证,例如通过验证待处理数据的处置链和格式。在块408处,基于先前块的结果做出是否继续进行的决策。在块409处,如果VDT被加密,VDT要被解密,然后在安全执行环境中执行。如同VDT签名,加密VDT的解密可以在VDT上载到基因云中时发生,但是这是不总是适当的优化。例如,如果VDT从一个基因云服务器发送到另一个基因云服务器,则可以保留加密以:(a)在传输时保护VDT;和/或(b)通过限制对VDT加密密钥的访问来证实远程服务器。
在VDT执行过程中,可以查验附加许可,如在块402中。在VDT不明确其将访问基因组的哪些部分的情况下,可以在VDT执行过程中通过基因云来监控对基因组访问的具体请求。该监控过程会导致VDT不能获取需要继续的信息,这会触发异常情况(例如,在块411处生成错误报告)。
再次参考图16,在块410处,为请求者准备报告对象形式的输出。可以为各种目的而创建附加的报告和审计记录,包括当出现关于如何访问特定基因组的问题时的法庭审计。这些报告可以包括例如时间戳、VDT、输入数据和/或结果的签名散列。该机制允许基因云保持数据的可信处置链。
在块411处,在块404或408处中的决策为否定的情况下,生成表示许可失败或异常情况的错误报告。
VDT数据结构
下面的实施例示出了根据一些实施方案的VDT数据结构本身。图17示出了根据一些实施方案的主要的虚拟诊断测试(VDT)数据结构的实施例。实施例的数据结构800包括多个高级组件。报头信息块802包含标识VDT的信息。这种标识信息的实施例包括:(1)唯一测试ID;(2)测试版本;(3)测试描述名称;(4)公布者信息;(5)公布者ID;(6)公布者姓名;(7)作者信息;(8)作者ID;和/或(9)作者姓名。一些这种类型的信息(诸如例如唯一测试ID)优选地用于目录中的所有工具。
测试元数据块803包括描述工具设计成执行何种测试、预期如何使用、警告和/或其他此类信息的信息。该信息表示医生、研究者和从业者将用来确定测试的适合性的官方的、经批准的描述。该信息还可以包括关于测试显现什么以及在同意测试之前了解何种告诫和/或结果分布的用于用户的通俗描述。在一些实施方案中可能包括在测试元数据块803中的信息的实施例包括但不限于:(1)医学描述(可以包括短的医学描述;长的医学描述;批准使用;其他诊断考虑;和/或其他披露内容);(2)通俗描述(可以包括短的通俗描述;长的通俗描述;通俗告诫;和/或隐私考虑);和/或(3)使用类型分类。
输入说明块804包括描述了测试需要何种输入来产生可用的诊断结果的信息。输入说明块可以包括测试指示者的文本描述,和/或预期格式和真实性要求的计算机可读技术描述。在该实施例中,基因云将施行这些要求以确保仅正确格式化的、真实的数据被馈送到工具。实施例包括:(1)输入描述;(2)输入类型;(3)预期格式和版本;以及(4)真实性要求。
输出说明块805包括描述工具将产生何种输出的信息。在一些实施方案中,指示者知道文本描述是重要的,因为在一些使用情况下,仅仅是肯定的/否定的结果是恰当的,而在其他情况下,详细的报告可能是恰当的。在一些使用情况下,诸如兼容性测试,夫妻可能仅希望知道他们后代的风险因素,但是不希望知道不合意品质源自于谁。
从技术角度看,该数据对于将各测试“链接”在一起以执行复杂的“测试组”或“测试束”是重要的。一个测试的结果可作为输入馈送到另一测试中以判定是否应当进行进一步的测试或者可以指导接下来应当执行哪些测试。实施例包括:(1)输出描述;(2)输出类型;(3)输出格式和版本;以及(4)保密性要求。
在一些实施方案中,测试算法块806包含VDT本身。这可格式化为可执行程序、说明性程序等,能够通过安全执行环境作用以产生VDT结果的任何格式。图19的实施例中所示的逻辑结构包括测试基因组中的具体位置的具体模式或者测试具体位置的具体碱基的简单功能。复杂模式能够存储为在模式资源块中单独列举的模式变量库。可以利用布尔逻辑来组合各种测试以生成产生一个或多个结果的复合测试。
签名块807包含了已经创建、证实、阅览或以其他方式证明该VDT的功能或品质的各方的签名。
可以包括杂项块808,其可以包含任何其他数据,诸如通过特定卖主添加的扩展数据等。
将理解的是,图17是为了示例性而不限制的目的而提供的,在一些实施方案中,可以使用不同格式或类型的数据结构,在其他实施方案中,完全不使用这样的数据结构。
图18示出了根据一些实施方案的扩展元数据的实施例。用于搜索辅助信息810和支付信息812的结构化数据显示为在图17的杂项块808中可出现什么的实施例。
图19示出了根据一些实施方案的虚拟诊断测试(VDT)算法规范的实施例。规范806是图17的VDT测试算法块806的实施例。然而,将理解的是,图19仅仅是一个实施例,而且能够以任何适当的形式来指定和/或实现VDT。
安全研究请求
在一个实施方案中,安全研究请求(SRR)是一种形式的VDTRx(VDT请求),其经调整以用于与学术或医学研究、基因搜索服务等有关的用途。一般地,SRR的处理和使用将遵从与为VDTRx所标识的相同的程序。对于VDTRx的大多数使用案例,假设医生或有执照的医学从业者正在请求利用与他或她被允许访问的一个或多个患者相关联的已知输入来执行特定的VDT。然而,为了适应用于研究的使用案例,可以需要执行确定在研究中包括了哪些个体和/或序列、和/或邀请了哪些个体参与研究的附加步骤。
在一个实施方案中,创建SRR的过程包括指定关于待执行测试的信息以及标识用于标识输入的选择标准。期望指定的信息的类型的实施例包括但不限于:研究者或机构的名称;联系人信息;附属机构的标识;研究目的;研究的持续时间;选择的原因;所需参与的程度(包括例如被动的(无需额外出力)、主动的、问答式的、面谈、访谈、多人访谈和测试);使用类型分类;隐私相关的考虑(包括例如最小研究尺寸、匿名参与(Y/N)、待访问的具体基因信息、待访问的健康记录信息以及待访问的个人可标识信息);选择标准(例如,基因型选择标准、表现型选择标准、和/或其他选择标准);以及VDT测试(例如,对样本执行的VDT列表、或对样本执行的VDT组的标识)。
在一个实施方案中,基因云环境将对请求进行预处理以确定可能的参与者的数量和/或所存在的满足所选标准的可能的序列的数量。在一些实施方案中,这可以涉及到咨询数据库并且将满足期望标准的个体和/或序列的数量返回,以及为此已经授予了(或者能够请求)访问数据的适当许可。
根据该高级数据,研究者能够确定他或她能够在研究中包含的组群的最小尺寸(例如,那些满足标识的选择标准的组群,以及为此已经授予了许可)以及组群的最大可能尺寸(例如,还包括那些满足选择标准但是在他们同意参与之前已经愿意被匿名询问的许可矩阵中已标识出的组群)。为防止可能有损隐私的极窄的个体针对性(例如,使用SRR用于家族搜索而不正确地如此标识用途),安全处理环境可任选地设定能够被作为研究组群的目标的个体或序列的最小数量。
如果研究者希望包含已在参与者的许可中表明他们愿意在允许他们的数据被访问以用于在请求中指定的用途之前被询问的参与者,则研究者可以请求系统代表研究者送出参与请求。这将确保研究的潜在候选者能够保持匿名,同时他们被给予了参与或拒绝的机会。类似地,如果研究需要代表用户的主动参与,系统将为研究者提供与授权的参与者通信以确认他们同意参与的设施。
SRR可由研究者保存,周期性地重新评估以通过准许包含在研究中的确认的参与和/或许可来确定个体或序列的数量。当研究者满意该子组表示的组群时,他或她可以提交SRR以用于执行并且确定结果。在一个实施方案中,通过提交SRR,研究者触发了通过关联数据执行测试,这还可以触发开账单事件。开账单可以是基于订购的,或者基于各种搜索属性(例如,以下中的一个或多个:所访问的个体记录的数量、所访问的序列的数量、所搜索的库的数量、计算时间等)。当SRR被提交以用于执行时,其触发了关联的VDT利用之前限定的过程来执行,之前限定的过程包括许可查验以及保持系统的隐私和安全所需的安全相关动作。
在一个实施方案中,如果用户在SRR的后续运行之间改变了访问数据的许可,则系统将对该状态加标记,并且通知研究者数据集的大小已变化,并且研究者将独立地判定是否继续通过修正的数据集来运行测试。
在一些实施方案中,如同对消费者数据的其他VDT访问,每次访问的可审计记录由系统记录,并且使得消费者可用。以此方式,在何种实体正访问他们的数据、何时访问以及为何目的访问方面,系统对于数据的所有者是透明的。
基因组研究工具
如上所示,基因云的一些实施方案能够提供执行VDT的算法的能力,但是,其同样还能够充当用于基因组研究工具提供者的基于云的平台。在一些实施方案中,GRT是一种可作为插件提供给基因云平台来提供附加能力的工具,附加能力诸如但不限于统计计算或可视化、机器学习、先进模式时变等。这些工具可以作为基因云平台的缺省能力而提供,或者作为奖金认捐或在每次使用付费的基础上而提供。诸如研究者和VDT作者的用户具有在期望附加特征的情况下从GRT市场选择这些附加工具的选项,并且能够同意与其用途相关联的任何附加费用。例如,研究者可以选择订购使用特定的研究可视化工具来查看VDT结果,或者VDT作者可以同意与待分配给工具提供者的VDT的使用相关联的费用中的在VDT执行过程中使用的部分。为了维护基因云的安全性和完整性,编写为使用这些特征的VDT仍能够利用基因云的信任管理特征,并且将根据与客户数据相关联的许可来进行对数据的访问。
生成和摄取安全分析器数据
根据一些实施方案,提供给基因晕的数据来自于从采集点保护患者隐私和数据完整性的安全环境。图20示出了根据一些实施方案的安全分析器中的组件的概览图。定序器700是用于使DNA定序过程自动化的仪器。给定基因材料样本,定序器700生成了用于确定例如样本中存在的核苷酸碱基或氨基酸的序列的信息。数据获取单元704可以包括例如现代自动化DNA定序仪器中用来获取序列数据的已知技术。除了碱基序列之外,定序器700还可以供给样本的附加观察,诸如后生数据、识别碱基品质得分等。基因组数据利用安全处理单元705来处理且存储在安全存储单元707中。提供网络接口706以用于与广域网通信。
图21是示出根据一些实施方案的捕获、保护该数据和/或将该数据提供给基因云的过程的流程图。在一些实施方案中,图示的处理动作是在诸如图20中所示的定序器700内实施的。根据其他的实施方案,图示的动作通过定序装备在处于可信环境的系统中实施,其实施例是利用位于与定序装备相同的设施内的专用安全处理系统。为易于说明,在该实施例中,假设图21所示的动作开始于基因定序的工作结束且基因组数据应被保护且上载到基因云中。然而,还可能的是,在一些期望的情况下,在数据生成时立即对数据进行加密以使得物理和逻辑的“攻击面”最小化。根据一些实施方案,如果要暴露定序数据,例如,用于质量控制,如果定序数据受保护且当其受保护时立即将定序数据破坏。
在块712处,准备基因定序信息且将其格式化以便上载。在块713处,将用于对序列数据加标签的元数据汇编。例如,如上所述的SEQID、时间戳、实验室标识信息和/或类似物。图22示出了根据一些实施方案的用于汇编的基因组元数据封包的可能格式的实施例。显示出元数据封包708,其包括采集信息750和标本源信息752。
再次参考图21所示的示例性实施方案,在块714处,利用加密安全随机或伪随机号码生成器724,生成随机临时加密密钥以用于保护传输中的数据。该密钥称为分析器加密密钥(AEK)。可替代地,或者另外地,该密钥可以其他方式获得,例如:(a)通过安全网络连接从基因云获得,(b)从设置有一组密钥集合的设备内的安全存储模块中获得,(c)从智能卡获得,和/或(d)以任何其他适合的方式。这些技术可用于避免将安全密钥库嵌入设备中,降低了在设备不使用时被篡改的风险。
在块715处,用AEK对分析器数据加密。在块716处,通过咨询密钥库725来确定对应于数据目的地的公共密钥(此处称为ATK)。该数据库725可以例如包含用于各场所的多个摄取点的密钥,或者其可以包含用于单个集中式基因云摄取点的密钥。在一个实施方案中,该密钥库的内容不是保密的,但是受保护以防篡改从而防止对不可信目的地的无意上载。这些公共密钥还可以从基因云所维护的登录库获得。在可选的实施方案中,基因云服务可以确定在地理位置上距既定定序设备最近的摄取点并且传送对应摄取点的公共密钥。
在块717处,用目的地公共密钥ATK对临时密钥AEK加密。在块718处,组件被组装成包装件而运送到摄取点。在块719处,实验室技术人员做出上载分析器数据的确认。根据一些实施方案,不实施块719;相反,系统被配置为使得采集的所有数据自动上载。然而,在一些情况下,期望实验室技术人员确认样本的处理是根据所确立的程序进行的并且证实他自己或她自己使得技术人员的身份安全地与封包的数据关联。技术人员/操作者还可以将外部信息(例如,关于定序过程的注释或其他元数据)与样本关联。优选地,技术人员将信息与序列关联的过程不需要披露关于样本供体的任何个人信息。
在一些实施方案中,技术人员确证的实现可涉及到通过仅可由特定操作员在输入PIN码、密码和/或类似物时访问的私有密钥签署数据(如在块720和721中)。这些密钥的存储可有赖于类似于那些在本文其他地方所描述的机制,或者这些密钥可以存储在例如在确证时用于数据采集系统的智能卡中。根据一些实施方案,719、720和721中的签署数据将包括元数据以及经编码的但未加密的序列数据。这将允许在下游处理之前正确验证数据,并且还将容许转写序列数据而不使签名受损。
在图21所示的示例性实施方案中,在块720中,用在上述设备制造商信任根下认证的分析器/定序器设备的私有密钥来签署数据。该签名经被验证以表明数据是由可信设备生成的。用于施加该签名的私有密钥存储在受保护以防密钥篡改和暴露的安全存储区域726中。在块721中,例如用在上述实验室信任根上认证的私有实验室密钥来签署数据。该签名将被查验以验证数据是在通过适当认证的实验室中采集的。在块722处,数据和签名被封包传送。在块723处,分析器数据封包(ADP)被上载到摄取点。图21所示的工作流提供了根据一些实施方案如何在原点保护基因信息的实施例。将理解的是,提供图21是为了示例性的目的,在其他实施方案中,可以使用其他工作流,可以使用其他加密、密钥管理和/或其他安全措施,和/或类似物,这些全部依照发明工作主体的原则。
图23显示出根据一些实施方案的分析器数据封包(ADP)格式760的实施例。
根据一些实施方案,一旦序列数据已受保护,例如依照诸如关于图21在上文描述的工作流,通过基因云摄取数据。摄取点可以是互连组件的生态系统内的操作的多个点中的一个,或者其可以是集中摄取点。
图24示出了根据一些示例性实施方案的在基因云系统140的摄取点处分析器700和密钥的环境中的密钥之间的关系。将理解的是,图24是实施例,在其他实施方案中,可以采用其他关系,和/或可以使用不同类型的加密和/或其他安全技术。
图25是显示出根据一些实施方案的在通过分析器生成的数据的摄取中执行的动作的流程图。在图25所示的实施例中,通过四个阶段来实施过程900:(1)验证和拆开,例如验证数据来自于可信设备、实验室等,以及拆开并验证数据封包;(2)转录和转写,去除临时封包且以基因云内部格式将数据格式化;(3)创建安全关联,记录样本数据与消费者之间的关联;以及(4)存档并清除,存储数据以用于长期存档,以及去除暂时性的伪迹。
在块930中,从接收到数据的队列中加载数据。在块931中,进行分析器数据封包上的签名有效的验证。例如,这可以包括验证施加到图21所示的分析器工作流中的块720和721处的签名。在块932处,暂时的SEQID用于查找被发布了临时SEQID的消费者ID(CID或CUID)。
在块933处,进行数据格式化异常的查验,或者是否从通常与被提供了SEQID以便处理的实体不相关联的非期望源接收到包含SEQID的ADP。在块934处,基于前面的动作做出是否继续的决策。在块935处,如果需要创建错误报告。在块936处,指定新的SEQID来替换临时的SEQID。在块937处,构建序列数据对象(SDO)。在一个实施方案中,SDO是ADO中包含的信息的超集,其可以包括例如在摄取时自动生成的数据的注释或者其他元数据。在块938处,增添诸如图14所示的SEQID记录。在块939处,指定样本ID(SAM ID)。在块940处,增添诸如图14所示的SAMID对象。在块941处,构建SEQ-SAM链接对象,将序列和样本数据连接。在块942处,构建SAM-CID链接对象,将SEQ和SAM与CID/CUID连接。在块943处,链接对象存储在安全数据库中。在块944处,将数据存档以用于审计目的(例如,临时密钥、ID等),因为这些数据可能被需要以便后来用于法庭目的。在一些实施方案中,优选地保护这些数据并且与在基因云的标准操作中使用的其他数据隔离。在清除块945处,将摄取标记为完成,并且从队列中去除进入的对象。
一旦序列数据上载到基因云中并且与用户/患者身份关联(块942),与该身份相关联的其他信息,例如许可,可与用于管理VDT对数据的访问和使用。根据一些实施方案,基因云可以在同一用户身份下存储或渐缩健康记录和其他个人信息。因此,VDT可以针对具体个人(或具有特定属性的人群)的序列数据进行操作,但是用户身份与序列之间的链接仅间接存储。在一个实施方案中,缺省的基因云策略阻止VDT看到表现型(健康记录等)数据与基因型数据之间的链接。
可信数据分析平台
虽然通过基因学领域中的实施例给出了诸如前面的描述,本文所描述的数据保护、处理和分析系统以及方法适合于同样更一般地在其他背景下的应用,包括但不限于:个性化用药、能量管理、针对性广告,以及智能汽车系统,这里仅列举了几个实施例。
例如,数据挖掘算法必须要对待分析数据有访问权从而执行它们的分析。然而,更常见的是,为算法提供对数据集的访问权还涉及到同样为诸如信息学家、数据科学家、研究者、IT员工的某些人对数据的访问权。对于其数据包含在该数据集中的人,披露会构成不可接受的风险。例如,受损的医疗保健数据会导致对其信息被无意披露的患者以及披露其信息的机构两者都造成无法挽救的伤害。在许多情况下,数据侵害不是有意的。相反,数据侵害是由于粗心策略引起的,诸如允许将个人信息存储在能够被偷窃或误放的膝上型计算机或闪存驱动器上。
在其他情况下,提供对原始数据的全部访问权对于分析者而言产生了责任。例如,如果医师希望执行基因测试以扫描阿耳茨海默氏病的风险因素,并且她被给予整个基因组序列作为输入,她的基于基因组序列中包含的其他信息来通知和治疗患者的法律上的道德上的义务不明确。如果患者的基因组包含例如无关病症的急剧升高的风险的证据,则需要医师从法律和道德意义上通知和治疗患者,即使关于第二个病症的信息仅潜伏在她所持有的信息中。
最后,由于数据大小或法律限制而移动原始数据集是不现实或不可行的。例如,人类基因组的整个基因组定序能够产生每人近似300GB的信息,当通过来自人类微生物组的序列数据扩增时数据可能更进一步扩展。将这些数据集中以使其可由数据挖掘算法来分析可能是困难或不可能的。另外,国家和地区法律可能明确地禁止这些数据离开其来源国家。
前面的实施例指出了我们当前分析大的数据集的不足。本文所描述的系统和方法的实施方案能够用于提供可信数据分析平台(诸如前面的基因云系统的论述中所说明的),其通过允许可信数据分析程序以尊重数据保管者的策略且防止个人信息泄露的方式在安全环境中对可信数据进行操作而解决了这些不足。
允许程序而不是分析者来访问原始数据
在当前实践中数据分析工作方式的一个问题必须处理如下事实:运行分析程序的分析者通常对形成算法输入的原始数据具有访问权。甚至在这些分析者本身是可信行动者的情况下,数据仍处于受损风险中。在本文所描述的系统和方法的一些实施方案中,通过允许分析程序对数据操作且产生答案而不要求分析者对原始数据进行访问或控制来解决该问题。该构造免除了分析者存储和组织数据的需要,并且同样具有可展示的隐私保护特性。例如,假设基因咨询者想要知道两个患者的后代将在生来患诸如家族黑蒙性白痴的具体基因病症的概率。载体筛选程序C取得一个对象的基因组作为输入,判定该对象是否是该疾病的载体。程序C在两个对象上运行,并且将结果组合来确定后代患该疾病的奇偶信度。如果父母双方都是载体,则他们的后代有25%的可能患该疾病且50%的可能是载体。如果他们双方都不是载体,则他们的后代不可能患该疾病。在该情况下,对两个患者运行程序C将父母双方的载体状况以100%的确定性呈现给咨询者。
另一方面,如果载体筛选程序C可以对咨询者不可见的方式在数据上运行,并且那些结果可由额外的程序R组合,如果两个患者都是载体,程序R返回真,否则返回假,那么仅在两个患者都是载体的情况下才显现个体载体状况,这种情况是很少见的,即使在家族黑蒙性白痴的患病风险最高的总体中概率也才为近似0.14%。换言之,透露极隐私信息的概率远低于1%,与利用现有方法的100%的确定性相对。如该实施例说明的,允许数据分析程序代替人类操作者访问数据提供了否则不可实现的额外隐私特性。
因此,在优选的实施方案中,提供了这样的执行环境:其能够以不向数据分析程序的创建者显现出不可接受量的中间信息的方式运行数据分析程序。
信任分析程序
当如上文所建议的在有赖于答案的人或人民的视线或控制之外执行数据分析时,确保实际上对数据执行正确的程序变得重要。假设例如不怀好意的行动者声称已执行了既定的分析程序,但是事实上暗中替代另一程序在其位置上并且执行该程序。或者假设操作者由于无辜的文书错书而无意地将不正确程序上载到执行环境。依赖方可以从所产生的结果得出不正确的结论。
出于此原因,在优选的实施方案中,使用了允许程序被信任的机制。通过允许各方坚信程序的可信赖度(在本文其他地方描述了可能的实现方式),除了其他之外,系统能够做如下中的一些或全部:
-可靠地证明既定程序是针对给定输入集合来运行的;
-证明程序的作者是对特定证实凭证有访问权的具体个体或组织;和/或
-提供竞争的第三方考察或测试程序和诸如有效性、精确度、功能性或源头的认证属性的担保。
本文其他地方描述的VDT是这种可信分析程序的实施例。
信任输入数据
类似地,如果可信执行环境要用于对某些数据集运行可信分析程序而无依赖方的直接干预,则同样重要的是能够相信,待操作的数据未被修改,数据源自于已知源,数据是在特定日期之前生成的,等等。通过可信数据,系统能够例如:
-保护数据的隐私性;
-证明数据是在某时间采集的;
-证明自数据采集时未对数据进行修改;
-断定特定可信分析程序在既定时间对数据操作;和/或
-维护关于信息源的可信元数据,诸如其采集中涉及到的系统和人、采集时间、参与数据采集的环境情况等。
在一些实施方案中,可信分析程序可以表达对其占用的输入数据的类型的要求,包括信任要求。例如,可信分析程序可以决定对仅由某类型的装备采集的数据或某格式的数据或由特殊第三方权威许可的数据进行操作。同样,可信数据可以实施允许其仅由具有特定特性的可信分析程序访问的策略。
基于策略管理访问
在可信数据分析平台代表数据保管者存储可信数据的情况下,保管者通常不能通过物理保管来管理对数据的访问权。为了为保管者提供对其数据使用的控制,系统可以实现通过可信分析程序来管理对可信数据的访问权的策略管理系统。
在一个实施方案中,可信数据策略是机器可读对象,其将管理对特定可信数据对象的访问权的规则编码。可信数据策略由可信数据保管者创建且由可信数据分析平台施行。如在基因云系统的情况下所说明的,策略管理系统可以管理可信数据访问的许多不同的方面。例如,可信数据策略可以:
-仅允许特定个体或组织创建的可信分析程序对可信数据操作;
-仅允许通过指定策略的保管者创建的白名单中的主要负责人创建的可信分析程序访问;
-阻止对可信数据的所有访问,除非每个特定访问由指定策略的保管者明确地许可;
-基于请求对可信数据执行可信分析程序的和/或接收执行结果的主要负责人(例如,请求主要负责人)的身份来决定授权或禁止访问;
-仅允许对可信数据的一些部分的访问,取决于可信分析程序的创建者或请求主要负责人;
-仅允许特定类型的标识用途(例如,请求主要负责人的意愿)访问可信数据;和/或
-基于由可信数据分析平台存储的历史信息来允许或禁止访问,所述历史信息包括例如关于过去已经透露了多少来自可信数据的信息以及透露给谁的记录。
实现可信数据分析平台
信任管理系统是这样一种系统:其中在系统操作中涉及到的各行动者/主要负责人可以可验证地断言关于其他主要负责人、系统或数据对象的特性。在一个实施方案中,信任管理系统包括一组相关数字证书(例如,X.509v3证书),其将公共加密密钥与限定好的对象名称以及确定如何使用证书的一组证书策略安全地关联。这些证书连同与认证的公共密钥对应的私有密钥一起可用作断言签名者的特定策略已满足的数字签名算法的部分。数字签名和证书可用于验证该断言。
除了做出可验证的断言之外,数字签名用于证明签名对象的状态为已知。因为数字签名涉及到将待签名对象散列,信赖方能够验证对象的签名者能够对争议中的对象计算该散列、后来能够验证以用于法庭或审计目的的事实。
如之前描述的实施例已经说明的,信任管理系统能够以多种方式用于可信数据分析平台中,所述方式包括但不限于以下中的一些或全部:
-具有关于某类型数据分析的技能的认证代理人可能使用其证书对可信分析程序(例如,VDT)进行数字签名,事实上断言他们已经调查了该程序且发现该程序与其策略一致。作为具体实施例,FDA可能对设计成帮助特定药物的配量的可信分析程序签名。签名断言可信分析程序由FDA许可。
-可信分析程序的创建者可以利用他自己的认证密钥来签署他自己的程序,从而断言他是程序的实际作者。
-设备认证代理可以证明特定序号的设备在可接受参数(如其认证策略所限定的)内执行并且向设备发布由其自己的证书签名的证书。
-在可信分析程序作为其自身审计过程的部分被上载时,可信数据分析平台(例如,基因云系统)可以将其自己的签名添加到可信分析程序。
-当可信分析程序已经在可信数据项上执行时,可信执行环境可以创建将如下散列集合在一起的审计记录,例如:(a)输入到程序的可信数据对象,(b)程序的任何状态或环境输入,(c)程序本身,(d)通过该程序产生的响应,和/或(e)时间戳。该可信审计记录可以由可信执行环境签名且存储,使得其保持所执行的计算的可验证记录。
在一些实施方案中,信任管理系统可以是单根系统,其中自签名的根证书用于签署所有的终端实体证书或中间证书(他们本身用于签署其他中间或终端实体证书),都在单组证书策略的管理之下。可替代地,信任管理系统可是分布式的,使得根证书用于向分布式的信任权威发布控制其自身的与根策略一致的证书策略的中间证书。信任管理系统还可以是完全分散的系统,其中各根权限限定其自身的证书发布策略并且在任何既定实例中依赖于而不根据其认证策略的可信赖度或适合度。该后者分散式模型类似于在万维网内使用证书的方式。
可信分析程序
可信分析程序(其具体实例本文前面描述的类型的VDT)可以多种方式实现,包括作为用于既定机器(包括虚拟机)的汇编的可执行或解释程序,或者作为描述待执行分析的说明性文件。可信分析程序还可依赖于对可信数据分析平台提供给它的服务或功能的调用。
在一些实施方案中,可信分析程序可携带元数据,元数据表示关于程序的信息,包括例如关于其作者、预期功能、创建日期和/或类似信息的信息。可信分析程序还可以携带一个或多个数字签名,其断言关于程序的各特性,例如,其是在既定遵从方案下测试的,以及验证该断言所需的公共信息(例如,证书链)。
在一些实施方案中,可信分析程序可伴有对可接受作为输入的可信数据类型的要求。这些要求可以包括数据格式以及对数据起源的要求,例如,用于生成数据的装备的型号、设备证书、发布其的认证权威和/或类似要求。另外,作为可信分析程序操作的部分,可信分析程序可以包含主动地评估可能输入其分析的可信数据对象的功能或子程序。例如,在用于医疗保健的可信数据分析平台中操作的可信分析程序可以指定其希望在其分析中包括来自日本籍祖先的超过85岁且未患家族癌症史的所有人的数据。
在一些实施方案中,可信分析程序可以包括工作流规范说明,其表明其他各种可信分析程序如何协同运作以产生既定结果。这些可信分析程序实际上可以由不同的作者创建。
可信数据
在一个实施方案中,可信数据对象是带有伴随的安全断言的信息集合。例如,在电量计应用中,可信数据包可以包括来自家庭能量计的一组测量值和由设备创建的涵盖了时间戳和测量值的数字签名。
在其他应用中,可信数据对象可由多个实体签名。例如,在基因定序应用中,由定序机生成的基因序列可由两个证书签署:一个与机器本身关联,第二个与运行机器的人类操作者关联,证实他自己,并且断言定序机在定序时是正常操作的。
在一些实施方案中,可信数据可伴随有描述数据、其采集情形和/或类似信息的元数据。这些元数据还可由各种数字签名涵盖以使元数据安全地且可验证地与数据本身关联。
需要在采集时立即将数据签名。在一些实施方案中,测量设备持有将附着签名本身的可信摄取点的公共密钥。产生原始数据的测量设备能够例如将数据安全地发送到摄取点,如下:(a)其产生临时对称密钥(或通过安全连接或从可信存储设备获取该密钥)以对数据加密,(b)其用可信摄取点的公共密钥对该临时密钥加密,(c)其用临时密钥对数据和任何关联的元数据加密,以及(d)将来自步骤(b)和(c)的加密结果发送到可信摄取点。可信摄取点将数据解密,可能存储临时密钥用于审计目的,随后重新加密和签署数据以生成真实的可信数据对象。
在一些实施方案中,可信数据对象可在它们首次生成时由临时标识符标识。在一些情况下可能需要这样来保护隐私,诸如当可信数据包含健康测量值时,那些测量值是由实验室做出的,并且实验室不应得知患者的身份或任意的用于可信数据的长期标识信息。在这种情况下,可以在起始点创建随机的、临时的标识符(或从可信服务获得),并且可信摄取点能够将标识符存档以用于审计目的并且指定新的长期标识符。
可信数据策略
可信数据策略由可信数据分析平台使用来管理可信数据的使用。可通过可信数据中的保管者来创建可信数据策略且将其与可信数据关联。可信数据分析平台的特定实施方案通常将带有其自身的关于保管者对可信数据的访问和可见性的协定。
例如,在智能汽车应用中,汽车的主人可具有在可信数据分析平台中的账户。她的汽车所生成的可信数据(包括例如位置数据)可由允许安全摄取点将可信数据对象与她的账户关联的元数据加标签。通过访问可信数据分析平台的网站前端,驾驶员可以选择与她的配偶和她的女儿共享她的最精确的位置数据,但是仅与她的保险公司共享她的总计驾驶距离。可信数据分析平台的该特定实施方案可以例如使用能够指定这些策略的可信数据策略语言。
如上面的实施例中所说明的,可信数据策略可针对具体应用而不同并且不一定应用于全部可能的实施方案。因此,可信数据策略可以多种不同方式编码。
在一些实施方案中,能够从具有预先限定或标准化的语义的策略菜单中选择可信数据策略。在医疗保健应用中,例如,一组这样的策略可以包括诸如HDL胆固醇、尖峰流量、心率、血氧等条目,并且可允许基于确切测量值、在既定时间段内的平均测量值、最小值和最大值和/或类似物来允许对那些数据的访问。在诸如此的情况下,以说明书句法(诸如以基于XML的语言)表达策略是自然的。然而,将理解的是,可使用任何适合的策略表达和一个或多个施行机制。
在其他情况下,可信数据策略可在既定机器(包括例如一个或多个虚拟机)上能执行,如在'551专利和'693专利中所描述的系统中那样。允许可执行策略的策略管理系统一般在新情形下更可扩展且不必要地需要对预定的一组策略语义的协议。在该实施例中和前面的实施例中,数据策略能够例如表达为前提条件,即在允许对可信数据访问之前必须评估为真的条件。
如其全部内容通过引用合并于此的共同受让的发明名称为“InformationProcessing Systems and Methods”的美国专利申请13/444,624(“'624申请”)中所描述的,可信数据策略还可用于在可信数据被提交给可信分析程序之前对可信数据执行计算。这些类型的策略能够允许例如用户来指定随机函数应用于可信数据以便在特定类别的主要负责人请求分析时使得确切测量值模糊化。如在上述的汽车实施例中,用户可以高兴地与一些请求者共享他的原始位置数据,但是可能要求在上午9点和下午5点小时之间未采集的所有数据在被其他主要负责人请求时过滤。这可通过将计算指定作为用于该可信数据对象的可信数据策略的部分来实现。
可信数据中的保管者还可以指定自动管理可信数据的缺省策略,除非保管者明确地改变。可信数据分析平台的特定实施方案还可以指定其自身的缺省策略,包括例如无论如何都不允许访问除非适当的保管者集合许可的破损安全策略。
根据在特定可信数据分析平台中实现的策略语言和方案,可信数据策略可应用于可信数据对象的子集。例如,如果可信数据包含人类基因组,则一个可信数据策略可以管理对特定基因的访问,其他基因由单独的策略管理。
可信执行请求
在可信执行请求中,经证实的主要负责人请求对一个或多个可信数据对象运行既定可信分析程序。在一个实施方案中,可信执行请求可以包括如下中的一些或全部:
-请求主要负责人,例如请求待执行分析的个人或实体的身份。这可以例如是请求执行分析的人的用户标识符。
-意愿,例如,指定请求主要负责人为何正在以能够在由可信数据分析平台的特定实施方案所实现的策略管理系统内评估的方式做出分析请求。例如,在存储基因数据和操作基因数据的实施方案中,意愿可指定为“临床诊断”。该意愿还可以包括关于待访问的可信数据的具体子集的信息,例如,BRCA2基因。
-可选地,以下中的一者或两者来作为分析的候选者:(a)待分析的一个或多个可信数据对象的列表,和/或(b)可信数据对象必须满足的述语。例如,述语可能指定分析应当包括来自超过55岁的驾驶员的驾驶数据,或来自日本籍祖先的超过85岁的未有癌症史的人的医疗保健数据。注意的是,在一些实施方案中,可信分析程序本身可以包含评估可信数据对象用于作为分析的可能输入的述语,从而避免了对单独述语的需要。
-待运行可信分析程序的规范说明。
可信执行环境
在一些实施方案中,可信执行环境将如下事项中的一些或全部集合在一起:
-可信执行请求;
-至少一个可信数据对象,如在可信执行请求中所指定的;
-可信分析程序,如在可信执行请求中所指定的;和/或
-与至少一个可信数据对象关联的至少一个可信数据策略。
在一个实施方案中,可信执行环境执行下面的步骤来执行可信分析程序:
-对于在可信执行请求中明确请求的或与可信执行请求中的输入述语匹配的每个可信数据对象:
-验证可信数据的完整性(例如,该操作可仅为当可信数据被摄取时高速缓存的信息的查找);
-验证可信数据满足与指定为可信分析程序的部分的可信数据有关的任何可应用要求;
-验证与可信数据相关联的可信数据策略允许访问,给与意愿和请求主要负责人、作者、认证状态、和/或可信分析程序的其他属性,或者其他有关的策略变量。
-对于那些经验证的可信数据对象,对可信数据运行可信分析程序并且产生结果。
-在可信分析程序的执行过程中,可以请求对其他各可信数据的访问,或者在执行之前已经验证的可信数据的不同部分的访问。在这种情况下,验证可信数据策略允许在将数据发布给可信分析程序之前进行访问;
-可以或者可以不发布结果,或者可以修改结果,例如,基于关于在可信分析程序的执行中涉及到的特定可信数据所透露的信息的历史。如在'624申请中所描述的,结果可包含具有管理对结果的访问的关联条件和计算的受保护资源。
-通过创建安全审计记录来审计执行。在一个实施方案中,该审计记录将以下中的一些或全部集合在一起:参与的可信数据的加密散列(或运行某另一单向函数的结果)、可信分析程序、可信分析程序所使用的其他环境或状态数据、时间戳和/或可信分析程序所产生的结果。在一个实施方案中,可信数据分析平台维护散列而使得系统能够在法庭上验证可信分析程序执行的对象。
下面提供了具体实施发明工作主体的各方面的系统和方法的实现方式的更详细的实施例。
实施例:匿名能量监控
诸如电力公司的本地公用事业能够使用可信数据分析平台来匿名地健康能量使用来帮助进行负载预测且匿名地联系能量消耗过度的消费者,给出关于如何可以减少使用的建议。在系统中有账户的消费者可以登录来接收集中于最低效使用新的家用电器的折扣,而不会向家用电器制造商或分配者或公用事业公司透露他们的身份。
公用事业公司结合他们的智能计量系统向消费者的展示来创建可信数据分析平台的一个实例。智能电表与允许他们将可信数据(例如,关于电量使用的信息)封包和上载到作为能量监控平台的部分的可信摄取点的证书相关联。
可理解的是,一些消费者对关于他们电量使用的信息提供给不怀好意的行动者感到紧张,不怀好意的行动者可能例如挖掘他们的数据以获得关于消费者何时最可能在家的信息。结果,一些消费者对于他们的信息如何被公用事业公司采集和使用非常敏感。
消费者家中的智能电表通过对计量数据加密和签名创建了可信数据对象,随后将可信数据提供给可信摄取点,可信摄取点将其拆开,将其重新加密、重新标识,并且使其可在可信数据分析平台内使用。
公用事业公司通过以允许小诶在完全限制对其数据的访问的方式设计了可信数据分析平台来回应于他们的消费者的顾虑,使得公用事业公司仅接收其需要的信息来为消费者开账单(例如,所使用的千瓦时的总数)。
公用事业公司也希望将计量数据作为可信数据来保护,因为可以操纵数据的消费者可非法地操纵计量数据来利用公用事业公司。
如果消费者愿意将其数据进行更仔细地分析,则他们能够选择例如分析其具体负载需求、估计所使用的家用电器的种类以及给出能够节省消费者金钱并减少对公用事业公司的整体电力需求的一套节能提示的建议。例如,公用事业公司可能构造可信分析程序,其查找诸如由空调或类似于冰箱的大型家用电器所引起的当前需求的可辨识模式。
可信分析程序可以对他们取为输入的可信数据设置要求,例如,可以要求可信数据对象利用公用事业公司为其一个智能电表发布的证书进行数字签名。在可信分析程序对既定消费者的计量数据运行之前,可信数据分析平台咨询消费者的可信数据策略,可信数据策略可能允许或禁止访问。
可信分析程序呈现为分析消费者的计量数据的数字签名的计算机程序的形式。根据能量使用模式,可信分析程序可以自动地将通知发送到消费者,表明他们可能减少他们的电费单的方式。该通知是匿名发送的,而不会将使用模式透露给任何系统操作者。
如果公用事业公司有此期望,则其可以开放其可信数据分析平台以允许第三方匿名地挖掘其消费者的数据。例如,家用电器公司可能希望标识出需要新冰箱的消费者(因为他们的旧冰箱能效极低)。
家用电器公司创建了可信分析程序,其扫描旧的、低效的冰箱的说明模式的智能计量数据。他们利用公用事业公司发布的认证密钥将可信分许程序签名以用于其平台。他们还可以提交他们的程序请第三方认证,诸如通过Better Business Bureau。
通过允许家用电器制造商分析其消费者的数据而获利的公用事业公司在消费者的月电费单中设置新程序的通告。登录到公用事业公司的服务并选择的消费者现在使其数据路由到家用电器公司的可信分析程序。消费者有选择的动机,因为他们肯定在购买新冰箱时获得10%的折扣。为被标记为升级合格的任何消费者匿名邮寄制造商的折扣券。
实施例:可信健康数据
消费者通过各种技术来生成医疗量渐增的保健数据。例如,具有GPS单元和加速度计的智能电话能够用于记录可用于健康锻炼进展的原始遥测数据。无线步程计和心率监控器、wi-fi开启的重量计以及其他不断出现的技术用于帮助人民管理和改善他们的健康。当前,通过这些类型的技术采集的数据不广泛地用于临床设定,但是他们可能在正确医疗分析者的手中很有用。
该渐增量的信息不能被充分利用的多方面原因为:(a)数据通常是从可能未正确校准的不可靠源采集的;依赖未知起源的信息,医生犹豫不定;(b)消费者不充分信任接收和处置这些数据以保持他们的信息保密和安全的服务;以及(c)原始的、未经整理的信息通常是巨大的;医师和其他看护者希望能够指定他们接收的信息并且使系统以有意义的方式传送数据而不是传送大量的原始数据。
创建为处理来自生物传感器的医疗保健数据的可信数据分析平台允许医生确切地指定他们接收哪些信息以及该信息如何从原始数据取得。其允许患者仔细地控制他们的信息如何发布、发布给谁,以及以何种详细程度。允许信息共享而不要求分布原始数据。
详细实施例
戴安娜(Diana)充当独居的她年迈母亲的看护者。她的母亲伊丽莎白(Elizabeth)具有低血钠的历史,该病在过去导致癫痫状的发作以及多方面减弱,导致进行住院治疗。该状况通常在几天前会有昏睡行为,并且与伊丽莎白一起居住的人容易察觉,而很难远程地检测。戴安娜已经考虑请她的母亲卖掉她的房子并且搬来与戴安娜和她的家庭一起居住,但是伊丽莎白对该计划非常反对。
戴安娜阅读了已经构建了帮助看护者照顾他们年迈的父母同时允许父母自主居住得尽可能远的可信数据分析平台的服务。可信数据分析平台已经与各传感器制造商合作以确保他们能够生成可信数据。具体为:(a)服务已经创建了信任管理系统,其发布了能够用于断言特定的一组传感器测量由具体设备生成的设备证书,以及帮助确定设备在正常参数内运行的环境信息。服务提供者已经与几个相对有能力的设备制造商(例如,wi-fi开启的重量计、家庭运动传感器)合作以将数据管理和保护技术集成到设备中。(b)对于不太有能力的其他类型的设备,诸如夹到带子上且具有极严格能量预算的活动监控器,系统已经部署了能够从传感器接收受保护数据而不要求传感器具有其自身的加密密钥的可信摄取点。
戴安娜通过服务提供商创建她自己和她母亲的账户,并且经伊丽莎白的同意登记了如下事实:她是伊丽莎白指定的看护者并且能够代表伊丽莎白来控制伊丽莎白的账户。
服务发送给戴安娜多个用于与服务兼容的设备的券。戴安娜购买了这些中的多个以为她母亲使用并且通过简单的登记接口借助该服务登记了它们。设备登记根据设备用户接口的复杂度而不同,但是通常涉及到输入设备序列号或匹配PIN码。在戴安娜购买的设备中为如下:(a)wi-fi开启的仪器,每当伊丽莎白称自己体重时(通常在早上进行),其自动将体重和身体成分数据上载服务;(b)一组壁式安装的运动传感器,每个房间一个,这些通过低功率无线电协议(诸如Zigbee或Bluetooth LE)传送到伊丽莎白家中的基站;(c)使用Bluetooth LE协议的多个活动监控器:(i)用带子系到伊丽莎白的最舒服的一双步行鞋上的一个智能步距仪,(ii)伊丽莎白能够附着到腰带上的一个夹式活动监控器,(iii)围绕脖子佩戴的垂饰,以及最后(iv)包含了活动监控的健康手表。这些设备都存储了他们的活动信息,直到他们在Bluetooth基站的范围内,在该点处他们的数据被上载。
服务提供了戴安娜能够用来帮助保持看守她母亲的多种健康模板。通过易用接口,戴安娜能够创建她自己的可信分析程序,其执行如下计算:(a)如果伊丽莎白的登记的设备在任意3个小时的时间段内都没有生成任何数据,则戴安娜应当被通知电子邮件警告,因为可能误配置了一些东西;(b)伊丽莎白的活动程度是基于来自传感器的输入来计算的。每个壁式安装的运动传感器每过十分钟将表示其观察到的活动程度的样本上载。该数字标准化为从0到99的刻度,0表示无任何运动,伊丽莎白通常在早晨7点起床,从下午1点到下午2点午休,并且在下午10点30休息,戴安娜的可信分析程序要求在早晨以及午后散步时间内至少一个运动检测仪登记超过50的运动级别,如果该条件不满足,则戴安娜接收到电子邮件通知;(c)如果伊丽莎白的任一个活动监控器都登记自由降落,则戴安娜会接收到即时的SMS消息,并且如果她在一分钟内没有回应,则出现一分钟间隔的多次电话呼叫,如果在两分钟内无法联系到戴安娜,则系统要联系紧急调度员;(d)如果伊丽莎白一连在三天内没有称自己的体重,则戴安娜想要了解其体重,因为这暗示伊丽莎白没有观察她的日常习惯。
一旦她已经创建了该程序,她用伊丽莎白的账户登记该程序并且程序开始运行。戴安娜起初在设定参数时过去谨慎且当她接收到电子邮件时在恐慌中呼叫她的母亲,但是他对该服务整体很满意,因为这使得他心态平和,因为即使戴安娜不在那时她也知道她母亲家中发生了什么。
在她接下来的医疗检查中,医生霍华德(Howard),即伊丽莎白的医生,表明他担心伊丽莎白的近期增重,并且希望她跟踪她的体重并且确保她每天步行至少10,000步。在获知伊丽莎白已经订购了家庭健康健康服务时,医生霍华德登入他自己的账户并且发送他与伊丽莎白的“医师-患者”关系邀请,如果伊丽莎白接受,将登记两者之间的关系。伊丽莎白的策略设定允许经验证已由伊丽莎白同意的、作为她的医师的任何人签名的任何可信分析程序进行数据访问。戴安娜代表她母亲接受该邀请。
医生霍华德创建了用于伊丽莎白的“数据处方”,即一种特定形式的可信分析程序,其对下面的规则进行编码:(a)如果伊丽莎白的体重增加距基准线多于5英镑,则将电子邮件发送到医生霍华德的护士;(b)如果在任何既定周内伊丽莎白的平均步数下降为低于40,000,则将电子邮件发送给护士;(c)如果一连超过三天没有采集步行或活动数据,则将电子邮件发送给护士;(d)如果检测到诸如降落的紧急事件,则SMS医生。
上述数据处方是由在身体治疗领域专业的第三方创建的。数据处方是参数化的可信分析程序,其允许医师或治疗者输入诸如步数、联系地址等参数。该程序由第三方利用健康监控服务为此目的而发给他们的证书来签署。医生霍华德过去在该公司就职,并且信任他们的产品。当他上载可信分析程序时,他签署了模板化的可信分析程序和他选择的参数。
医生霍华德上载可信分析程序并且请求将其与伊丽莎白的账户关联。由于伊丽莎白的策略设定,可信分析程序开始执行且访问伊丽莎白的数据。
戴安娜的工作很忙,但是在过去两天,她接收到了表明活动级别下降的电子邮件。首先,她对此比较忽略,因为天气转冷且她母亲可能感冒了,但是在接收到第三次消息时,她开始担心她的母亲可能开始昏睡,并且决定打电话。她母亲声称很好,并且可能是有点感冒,但是她确定她明天就好多了。
接下来的一天,戴安娜收到另一个低活动通知,与医生霍华德预约,并且开车到她母亲的家中,带她去赴约。足够确定,伊丽莎白的血钠已下降。在几天治疗之后,在她自己的家中,伊丽莎白恢复正常,并且避免了昂贵的住院费用。
将理解的是,选择前面的实施例是为了便于理解发明工作主体的各个实施方案,并且已经选择了这些实施例中的具体细节是为了示例而不是限制所展示的总体原理的目的。
图26示出了依照发明工作主体的实施方案的保护和管理对数据的访问的示例性系统1000。系统1000可以例如包括可信数据分析平台(例如,基因云系统)的实施方案,其中各实施方案的操作已经在本文其他地方进行了说明。如图26所示,持有电子数据(“D”)的权力的实体1002a-d将数据打包并且将数据发送给可信摄取点1004a-c以便存储在可信平台1000上(权力持有者1002a-d将统称为“权力持有者1002”,其中附图标记1002可互换地指代一个或多个权力持有者的计算系统,如从上下文清楚理解的)。在一些实施方案中,数据可以不受保护的形式送到摄取点1004,并且摄取点可以在数据存储之前对数据施以保护;在其他实施方案中,至少部分地通过权力持有者的设备来施以保护。
数据可以包括任何类型的数据,其实施例可能包括家庭能量消耗数据、汽车位置和动态数据、移动电话使用和位置信息、医疗信息和/或类似数据。这些数据存储在一个或多个计算机系统1004、数据库1005和/或其他存储装置上,其中为了权力持有者1002和第三方1007的利益,可由第三方1007使用数据。例如,第三方1007(可以例如包括医疗研究实验室、公用事业公司、对针对性广告感兴趣的商人、和/或类似物的能够提交可信分析程序(“TAP”)到平台1000,在平台1000中,程序依照由例如权力持有者1002指定的策略(“P”)对受保护数据运行以产生结果(“R”)。如图26所示,策略能够以任何适合的方式提交给可信平台1000,包括但不限于与和他们有关的数据直接地、或者单独的、在不同时间和/或使用不同的通信方法。如本文其他地方所描述的,可信平台1000帮助确保权力持有者的数据受到保护,同时使得可供第三方为与权力持有者的愿望一致的目的而使用。
图27示出了可用于实施发明工作主体的实施方案的系统1100的更详细的实施例。例如,系统1100可能包括在可信分析平台1000中的设备的实施方案。系统1100可以例如包括通用型计算设备,诸如个人计算机或网络服务器等。系统1100通常将包括处理器1102、存储器1104、用户接口1106、用于接受可移除存储器1108的端口1107、网络接口1110以及用于连接前述元件的一个或多个总线1112。系统1100的操作通常由处理器1102控制,处理器1102在存储于存储器1104中的程序的引导下操作。存储器1104通常将包括高速随机存取存储器(RAM)和诸如磁盘和/或闪存EEPROM的非易失性存储器。存储器1104的一些部分会受限制,使得它们无法从系统1100的其他组件读取或写入系统1100的其他组件。端口1107可以包括用于接收诸如USB驱动、CD-ROM、DVD、存储卡、SD卡、其他磁或光媒介和/或等计算机可读媒介1108的磁盘驱动器或存储槽。网络接口1110通常可操作以提供系统1100经由诸如因特网或内联网的网络1120(例如,LAN、WAN、VPN等)与其他计算设备(和/或计算设备的网络)之间的连接,并且可以采用一种或多种通信技术来实体地实现这些连接(例如,无线、以太网和/或类似网)。在一些实施方案中,系统1100还可能包括处理单元1103,其受保护以防被系统1100的用户或其他实体篡改。这种安全处理单元能够帮助增强诸如密钥管理、签名验证以及本文其他地方描述的系统和方法的其他方面的敏感操作的安全性。
如图27所示,计算系统1100的存储器1104可以包括数据1128以及用于控制计算设备1100的操作的各种程序或模块。例如,存储器1104通常将包括操作系统1121,用于管理应用的执行、外围设备等等。在图27所示的实施例中,存储器1104还包括:用于将受保护数据1128摄取到可信数据平台中的应用1130;DRM引擎1132或其他策略施行应用,用于对数据使用和系统的其他方面施行策略限制;和/或一个或多个可信分析程序1124,用于执行受保护数据1128的分析。如本文其他地方所描述的,策略施行引擎1132可以包括各种其他模块、与各种其他模块相互操作、和/或控制各种其他模块,诸如用于执行控制程序的虚拟机、用于存储敏感信息的受保护的数据库、和/或用于执行诸如对内容加密和/或解密的加密操作、计算散列函数和消息证实码、评估数字签名和/或类似操作的一个或多个加密模块1126。存储器1104通常还包括受保护的内容1128和关联的许可证和计算1129,以及加密密钥、证书等等(未示出)。
本领域普通技术人员将理解的是,本文所描述的系统和方法能够通过与图27所示的相似或相同的计算设备来实施,或者通过实际上任何其他适合的计算设备来实施,包括不具有图27所示的一些组件的计算设备和/或具有未显示的其他组件的计算设备。因此,应当理解的是,提供图27是为了示例而不是限制的目的。
虽然为清晰的目的前面已经描述了一些细节。显然,可以进行一些改变和改进,而不偏离其原理。例如,将理解的是,虽然本文所描述的系统和方法的实施方案能够用于与基因和其他医疗信息相结合使用,本文所披露的系统和方法的实施方案同样能够轻易地应用于其他背景,包括但不限于涉及到与基因学或医学领域无关的数据和其他信息的处置和处理的背景。而且,虽然已经提供了多个完整的系统和方法,将理解的是这些系统和方法是新颖的,其中所采用的许多组件、系统和方法同样是新颖的。应当注意,可能存在多种实现本文所描述的过程和装置的替代方式。因此,当前的实施方案应视为示例而不是限制,并且发明工作主体不应局限于本文给出的细节,而是可以在随附权利要求书的范围和等同范围内进行修改。
Claims (20)
1.一种用于对人类基因组数据执行可信计算的方法,所述方法包括:
从用户接收对一组基因组数据运行计算机程序的请求;
在安全处理系统处从安全存储系统接收所述一组基因组数据和设计成操作所述基因组数据的计算机程序;
通过所述安全处理系统,评估所述计算机程序的真实性;
通过所述安全处理系统,评估所述一组基因组数据的至少部分的真实性;
通过所述安全处理系统,评估与所述基因组数据相关联的许可以判定是否允许所述计算机程序操作所述基因组数据;
当真实性和许可评估使用所述安全处理系统分别确立用来操作的真实性和许可时对所述一组基因组数据的至少部分执行所述计算机程序;以及
通过所述安全处理系统,基于所接收到的计算机程序所封包的信息来判定所述计算机程序的数据要求。
2.如权利要求1 所述的方法,其中所述计算机程序的以及所述一组基因组数据的所述至少部分的真实性的评估以及与所述基因组数据相关联的策略的评估是自动实施的。
3.如权利要求2 所述的方法,其中所述自动实施的评估是通过可信医疗计算系统来实施的。
4.如权利要求1 所述的方法,还包括:至少部分地基于所述计算机程序的执行来生成可用于医疗诊断的诊断结果。
5.如权利要求4 所述的方法,还包括:至少部分地基于所述计算机程序的以及所述一组基因组数据的所述至少部分的真实性的评估来证明所生成的诊断结果的真实性。
6.如权利要求1 所述的方法,其中所述计算机程序的真实性的评估包括:验证所接收到的计算机程序所封包的至少一个数字签名。
7.如权利要求1 所述的方法,其中所述计算机程序包括虚拟诊断测试和输入说明管理类型和/或输入到虚拟诊断测试的数据的特性,并且其中基于所接收到的计算机程序所封包的信息来判定所述计算机程序的数据要求还包括判定所述一组基因组数据满足输入说明的部分。
8.如权利要求1 所述的方法,其中所述一组基因组数据的所述至少部分的真实性的评估包括:验证所接收到的一组基因组数据所封包的至少一个数字签名。
9.如权利要求1 所述的方法,还包括:检查所述一组基因组数据的数据格式化异常。
10.如权利要求1 所述的方法,还包括:基于一个或多个隐私策略来自动地维护与所述一组基因组数据相关联的隐私。
11.如权利要求1 所述的方法,其中所述计算机程序包括可执行程序链。
12.可信医疗计算系统,包括:
安全存储系统,其配置为存储一组基因组数据的至少部分以及计算机程序;以及
安全处理系统,其被编程且配置为评估所述计算机程序的真实性,评估所述一组基因组数据的至少部分的真实性,以及评估所述计算机程序操作所述一组基因组数据的至少部分的许可,并且当真实性评估和许可评估分别确立用来操作的真实性和许可时,对所述一组基因组数据的至少部分执行所述计算机程序;
其中所述计算机程序包括虚拟诊断测试和输入说明管理类型和/或输入到虚拟诊断测试的数据的特性,并且其中评估所述计算机程序操作所述一组基因组数据的至少部分的许可包括判定所述一组基因组数据满足输入说明的部分,并且其中所述计算机程序的真实性的评估包括:验证所述计算机程序所封包的至少一个数字签名。
13.如权利要求12 所述的系统,其中所述一组基因组数据的所述至少部分的真实性的评估包括:验证所述一组基因组数据所封包的至少一个数字签名。
14.如权利要求12 所述的系统,其中所述安全处理系统进一步被编程且配置为至少部分地基于所述计算机程序的执行来生成可用于医疗诊断的诊断结果。
15.如权利要求14 所述的系统,其中所述安全处理系统进一步被编程且配置为至少部分地基于所述计算机程序的以及所述一组基因组数据的所述至少部分的真实性的评估来证明所生成的诊断结果的真实性。
16.生成封包的基因组数据的方法,包括:
接收来自DNA 定序设备的基因组数据;
对接收到的基因组数据加密;
生成将有利于所述基因组数据的后续验证的数字签名;
将策略信息与所述基因组数据关联,所述策略信息配置为用于管理对所述基因组数据的访问或使用;以及
用加密的基因组数据将所述数字签名封包在分析器数据包内;并且
将所述数字签名发送到安全数据接收环境。
17.如权利要求16 所述的方法,其中所述数字签名是利用与所述DNA定序设备相关联的私有密钥而生成的。
18.如权利要求16 所述的方法,其中DNA 定序是通过定序设施实施的,并且所述数字签名是利用与所述定序设施相关联的私有密钥而生成的。
19.如权利要求16 所述的方法,其中所述加密的基因组数据封包元数据,所述元数据描述了用于生成所述基因组数据的样本的样本采集信息和样本源信息。
20.执行可信计算的方法,所述方法包括:
接收来自第一实体的第一组数据;
接收来自第二实体的第二组数据;
从至少一个第三实体来接收计算机程序,所述计算机程序设计成操作包括所述第一组数据的至少部分和所述第二组数据的至少部分的一组数据;
通过处理系统,评估所述计算机程序的真实性;
通过处理系统,评估所述第一组数据和所述第二组数据的至少部分的真实性;
通过处理系统,评估与所述第一组数据相关联的第一策略以判定是否允许所述计算机程序操作所述第一组数据;
通过处理系统,评估与所述第二组数据相关联的第二策略以判定是否允许所述计算机程序操作所述第二组数据;以及
当真实性和策略的评估令人满意时,对所述第一组数据的至少部分和所述第二组数据的至少部分执行所述计算机程序以生成取决于所述第一组数据的所述至少部分和所述第二组数据的所述至少部分的结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710533339.1A CN107301332B (zh) | 2011-10-17 | 2012-10-17 | 用于保护和管理基因组及其它信息的系统和方法 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161548161P | 2011-10-17 | 2011-10-17 | |
| US61/548161 | 2011-10-17 | ||
| US201261617593P | 2012-03-29 | 2012-03-29 | |
| US61/617593 | 2012-03-29 | ||
| PCT/US2012/060678 WO2013059368A1 (en) | 2011-10-17 | 2012-10-17 | Systems and methods for protecting and governing genomic and other information |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710533339.1A Division CN107301332B (zh) | 2011-10-17 | 2012-10-17 | 用于保护和管理基因组及其它信息的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104054084A CN104054084A (zh) | 2014-09-17 |
| CN104054084B true CN104054084B (zh) | 2017-07-28 |
Family
ID=48086584
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280062102.5A Active CN104054084B (zh) | 2011-10-17 | 2012-10-17 | 用于保护和管理基因组及其它信息的系统和方法 |
| CN201710533339.1A Active CN107301332B (zh) | 2011-10-17 | 2012-10-17 | 用于保护和管理基因组及其它信息的系统和方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710533339.1A Active CN107301332B (zh) | 2011-10-17 | 2012-10-17 | 用于保护和管理基因组及其它信息的系统和方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (3) | US10621550B2 (zh) |
| EP (1) | EP2769322A4 (zh) |
| JP (1) | JP6199297B2 (zh) |
| CN (2) | CN104054084B (zh) |
| AU (2) | AU2012326132A1 (zh) |
| BR (1) | BR112014009413A2 (zh) |
| CA (1) | CA2852916A1 (zh) |
| WO (1) | WO2013059368A1 (zh) |
| ZA (1) | ZA201403056B (zh) |
Families Citing this family (98)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150127378A1 (en) * | 2012-02-11 | 2015-05-07 | Yougene Corp. | Systems for storing, processing and utilizing proprietary genetic information |
| US20160253770A1 (en) * | 2012-02-11 | 2016-09-01 | Yougene Corp | Systems and methods for genetic testing algorithms |
| US9444880B2 (en) * | 2012-04-11 | 2016-09-13 | Illumina, Inc. | Cloud computing environment for biological data |
| US20140025809A1 (en) * | 2012-07-19 | 2014-01-23 | Cepheid | Remote monitoring of medical devices |
| US9894040B2 (en) | 2012-09-11 | 2018-02-13 | Microsoft Technology Licensing, Llc | Trust services for securing data in the cloud |
| US8959351B2 (en) * | 2012-09-13 | 2015-02-17 | Microsoft Corporation | Securely filtering trust services records |
| EP2917871A4 (en) | 2012-11-07 | 2015-11-11 | Intertrust Tech Corp | SYSTEMS AND METHODS FOR MANAGING CUSTOMIZED DATA |
| EP2973117A4 (en) * | 2013-03-15 | 2016-11-23 | Medicomp Systems Inc | ELECTRONIC MEDICAL RECORD SYSTEM USING GENETIC DATA |
| US20140278538A1 (en) * | 2013-03-17 | 2014-09-18 | Stanley Benjamin Smith | Method to format and use matrix bar codes and other identification code conventions and tools to enroll end users of products and services into a data supply chain |
| JP5939580B2 (ja) * | 2013-03-27 | 2016-06-22 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 匿名化データを名寄せするための名寄せシステム、並びに、その方法及びコンピュータ・プログラム |
| US9306981B2 (en) | 2013-04-24 | 2016-04-05 | Intertrust Technologies Corporation | Bioinformatic processing systems and methods |
| US8666789B1 (en) * | 2013-08-02 | 2014-03-04 | State Farm Mutual Automobile Insurance Company | Bluetooth device to enable data collection for insurance rating purposes |
| US10114851B2 (en) | 2014-01-24 | 2018-10-30 | Sachet Ashok Shukla | Systems and methods for verifiable, private, and secure omic analysis |
| CN106462337B (zh) * | 2014-02-13 | 2019-11-01 | Illumina公司 | 综合式消费者基因组服务 |
| WO2015168654A1 (en) * | 2014-05-01 | 2015-11-05 | Intertrust Technologies Corporation | Secure computing systems and methods |
| JP6640836B2 (ja) * | 2014-05-02 | 2020-02-05 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | ゲノム情報科学サービス |
| US20160058356A1 (en) * | 2014-09-02 | 2016-03-03 | Apple Inc. | Method and system to calibrate fitness level and direct calorie burn using motion, location sensing, and heart rate |
| WO2016036907A1 (en) * | 2014-09-05 | 2016-03-10 | Admera Health LLC | System, method and graphical user interface for creating modular, patient transportable genomic analytic data |
| US10915605B2 (en) | 2014-10-31 | 2021-02-09 | Cerner Innovation, Inc. | Identification, stratification, and prioritization of patients who qualify for care management services |
| EP3230913B1 (en) * | 2014-12-11 | 2020-11-04 | Intel Corporation | Trusted predictive analytic execution middleware |
| US11973757B2 (en) * | 2015-02-25 | 2024-04-30 | British Telecommunications Public Limited Company | Secure matrix barcode |
| US10244948B2 (en) | 2015-03-06 | 2019-04-02 | Apple Inc. | Statistical heart rate monitoring for estimating calorie expenditure |
| CN107533586A (zh) * | 2015-03-23 | 2018-01-02 | 私有通道公司 | 用于加强生物信息学数据隐私和实现生物信息学数据广泛共享的系统、方法和设备 |
| US10496974B2 (en) * | 2015-03-25 | 2019-12-03 | Intel Corporation | Secure transactions with connected peripherals |
| US10509768B2 (en) * | 2015-06-30 | 2019-12-17 | Siemens Aktiengesellschaft | Method and system for secure data storage and retrieval from cloud based service environment |
| US10699594B2 (en) | 2015-09-16 | 2020-06-30 | Apple Inc. | Calculating an estimate of wind resistance experienced by a cyclist |
| US10620232B2 (en) | 2015-09-22 | 2020-04-14 | Apple Inc. | Detecting controllers in vehicles using wearable devices |
| US10701039B2 (en) * | 2015-09-25 | 2020-06-30 | Intel Corporation | Mutual approval for privacy-preserving computing |
| US10317243B2 (en) | 2015-10-15 | 2019-06-11 | Intertrust Technologies Corporation | Sensor information management systems and methods |
| US11087882B1 (en) | 2015-10-21 | 2021-08-10 | C/Hca, Inc. | Signal processing for making predictive determinations |
| KR102580747B1 (ko) * | 2015-11-03 | 2023-09-20 | 프리시젼바이오 주식회사 | 의료 기기, 의료 검사 요청 제어 시스템, 의료 검사 요청 제어 방법 및 기록 매체에 저장된 프로그램 |
| US10706958B2 (en) * | 2015-11-20 | 2020-07-07 | Ikeguchi Holdings Llc | Electronic data document for use in clinical trial verification system and method |
| US9853817B2 (en) | 2015-11-23 | 2017-12-26 | Lockheed Martin Corporation | Generating enhanced digital signatures for artifacts |
| US10694994B2 (en) | 2016-03-22 | 2020-06-30 | Apple Inc. | Techniques for jointly calibrating load and aerobic capacity |
| US10687707B2 (en) | 2016-06-07 | 2020-06-23 | Apple Inc. | Detecting activity by a wheelchair user |
| US10225253B2 (en) * | 2016-07-22 | 2019-03-05 | Microsoft Technology Licensing, Llc | Usage tracking in hybrid cloud computing systems |
| US10484460B2 (en) | 2016-07-22 | 2019-11-19 | Microsoft Technology Licensing, Llc | Access services in hybrid cloud computing systems |
| US11336432B2 (en) | 2016-07-29 | 2022-05-17 | Workday, Inc. | System and method for blockchain-based device authentication based on a cryptographic challenge |
| US10637665B1 (en) | 2016-07-29 | 2020-04-28 | Workday, Inc. | Blockchain-based digital identity management (DIM) system |
| US11088855B2 (en) | 2016-07-29 | 2021-08-10 | Workday, Inc. | System and method for verifying an identity of a user using a cryptographic challenge based on a cryptographic operation |
| US10586239B2 (en) * | 2016-08-05 | 2020-03-10 | Intertrust Technologies Corporation | Provenance tracking using genetic material |
| US10709933B2 (en) | 2016-08-17 | 2020-07-14 | Apple Inc. | Pose and heart rate energy expenditure for yoga |
| US10687752B2 (en) | 2016-08-29 | 2020-06-23 | Apple Inc. | Detecting unmeasurable loads using heart rate and work rate |
| US10617912B2 (en) | 2016-08-31 | 2020-04-14 | Apple Inc. | Systems and methods of swimming calorimetry |
| KR102252269B1 (ko) | 2016-08-31 | 2021-05-14 | 애플 인크. | 수영 분석 시스템 및 방법 |
| US11896368B2 (en) | 2016-08-31 | 2024-02-13 | Apple Inc. | Systems and methods for determining swimming metrics |
| US10512406B2 (en) | 2016-09-01 | 2019-12-24 | Apple Inc. | Systems and methods for determining an intensity level of an exercise using photoplethysmogram (PPG) |
| WO2018080477A1 (en) * | 2016-10-26 | 2018-05-03 | The Joan & Irwin Jacobs Technion-Cornell Institute | Systems and methods for ultra-fast identification and abundance estimates of microorganisms using a kmer-depth based approach and privacy-preserving protocols |
| EP3622660B1 (en) * | 2017-05-12 | 2023-08-30 | Massachusetts Institute of Technology | Systems and methods for crowdsourcing, analyzing, and/or matching personal data |
| US11051720B2 (en) | 2017-06-01 | 2021-07-06 | Apple Inc. | Fitness tracking for constrained-arm usage |
| US10622095B2 (en) * | 2017-07-21 | 2020-04-14 | Helix OpCo, LLC | Genomic services platform supporting multiple application providers |
| US11487868B2 (en) * | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
| CN107506615A (zh) * | 2017-08-21 | 2017-12-22 | 为朔医学数据科技(北京)有限公司 | 一种基因组学数据管理方法、服务器和系统 |
| US11631477B2 (en) * | 2017-09-07 | 2023-04-18 | Dmitry Shvartsman | System and method for authenticated exchange of biosamples |
| LU100449B1 (en) | 2017-09-26 | 2019-03-29 | Univ Luxembourg | Improved Computing Device |
| US11030324B2 (en) * | 2017-11-30 | 2021-06-08 | Koninklijke Philips N.V. | Proactive resistance to re-identification of genomic data |
| CN110069806A (zh) * | 2018-01-24 | 2019-07-30 | 诺迈士科技有限公司 | 数字认证 |
| WO2019165091A1 (en) * | 2018-02-21 | 2019-08-29 | Rapsag-Arrac Inc. | System and method for maintaining the security and confidentiality of consumer information |
| JP2021519479A (ja) * | 2018-03-19 | 2021-08-10 | アンブリー ジェネティクス コーポレーションAmbry Genetics Corporation | 遺伝子検査とゲノム検査を識別するための人工知能と機械学習プラットフォーム |
| WO2019191083A1 (en) * | 2018-03-26 | 2019-10-03 | Colorado State University Research Foundation | Apparatuses, systems and methods for generating and tracking molecular digital signatures to ensure authenticity and integrity of synthetic dna molecules |
| US20210210174A1 (en) * | 2018-05-24 | 2021-07-08 | Toyo Kohan Co,, Ltd. | Server device and service providing system |
| US11398312B2 (en) | 2018-06-15 | 2022-07-26 | Xact Laboratories, LLC | Preventing the fill of ineffective or under-effective medications through integration of genetic efficacy testing results with legacy electronic patient records |
| US11227685B2 (en) * | 2018-06-15 | 2022-01-18 | Xact Laboratories, LLC | System and method for laboratory-based authorization of genetic testing |
| US11380424B2 (en) | 2018-06-15 | 2022-07-05 | Xact Laboratories Llc | System and method for genetic based efficacy testing |
| US11527331B2 (en) | 2018-06-15 | 2022-12-13 | Xact Laboratories, LLC | System and method for determining the effectiveness of medications using genetics |
| CN109190330A (zh) * | 2018-08-15 | 2019-01-11 | 北京元链科技有限公司 | 一种基于区块链技术的基因序列追溯系统 |
| US10467679B1 (en) | 2019-04-15 | 2019-11-05 | Dnanudge Limited | Product recommendation device and method |
| KR102174469B1 (ko) * | 2018-11-23 | 2020-11-04 | 아우토크립트 주식회사 | V2x 통신을 위한 보안 인증 관리 시스템에서 eca와 dcm 사이를 중계하여 등록 인증서를 관리하기 위한 방법 및 장치 |
| WO2020123644A1 (en) * | 2018-12-12 | 2020-06-18 | Thermo Electron Scientific Instruments Llc | Utilizing independently stored validation keys to enable auditing of instrument measurement data maintained in a blockchain |
| US11636776B2 (en) * | 2018-12-28 | 2023-04-25 | Conéctate Soluciones Y Aplicaciones Sl | Unified identification protocol in training and health |
| US11636220B2 (en) * | 2019-02-01 | 2023-04-25 | Intertrust Technologies Corporation | Data management systems and methods |
| JPWO2020158842A1 (zh) * | 2019-02-01 | 2020-08-06 | ||
| US10811140B2 (en) | 2019-03-19 | 2020-10-20 | Dnanudge Limited | Secure set-up of genetic related user account |
| US10699806B1 (en) | 2019-04-15 | 2020-06-30 | Dnanudge Limited | Monitoring system, wearable monitoring device and method |
| CN110010200A (zh) * | 2019-04-16 | 2019-07-12 | 长沙三济生物科技有限公司 | 一种基因身份识别系统 |
| CN109994156A (zh) * | 2019-04-16 | 2019-07-09 | 北京中佰耀因医药科技有限公司 | 一种含报告模板信息管理模块的精准用药智能报告系统 |
| CN109994176A (zh) * | 2019-04-16 | 2019-07-09 | 北京中佰耀因医药科技有限公司 | 一种含样本类型信息管理模块的精准用药智能报告系统 |
| CN109994180A (zh) * | 2019-04-16 | 2019-07-09 | 北京中佰耀因医药科技有限公司 | 一种含基因位点信息管理模块的精准用药智能报告系统 |
| CN109979545A (zh) * | 2019-04-16 | 2019-07-05 | 北京中佰耀因医药科技有限公司 | 一种含样本状态信息管理模块的精准用药智能报告系统 |
| CN110010222A (zh) * | 2019-04-16 | 2019-07-12 | 长沙三济生物科技有限公司 | 一种基于精准用药知识库的基因身份识别系统 |
| US11937904B2 (en) | 2019-09-09 | 2024-03-26 | Apple Inc. | Detecting the end of cardio machine activities on a wearable device |
| US20210111884A1 (en) * | 2019-10-09 | 2021-04-15 | Intertrust Technologies Corporation | Trusted data management systems and methods |
| US11645410B2 (en) | 2019-10-09 | 2023-05-09 | Intertrust Technologies Corporation | Content management systems and methods |
| DE102020106332A1 (de) | 2020-03-09 | 2021-09-09 | Analytik Jena Gmbh | Zugriffsteuerung eines Laborgeräts |
| WO2022013238A1 (en) * | 2020-07-14 | 2022-01-20 | Gapfruit Ag | Computing device for establishing a trusted execution environment |
| CN111967048B (zh) * | 2020-08-19 | 2022-11-29 | 西安电子科技大学 | 面向基因组数据相似度的高效匹配及隐私保护方法、系统 |
| US11281553B1 (en) | 2021-04-16 | 2022-03-22 | Vignet Incorporated | Digital systems for enrolling participants in health research and decentralized clinical trials |
| US11789837B1 (en) * | 2021-02-03 | 2023-10-17 | Vignet Incorporated | Adaptive data collection in clinical trials to increase the likelihood of on-time completion of a trial |
| US11586524B1 (en) * | 2021-04-16 | 2023-02-21 | Vignet Incorporated | Assisting researchers to identify opportunities for new sub-studies in digital health research and decentralized clinical trials |
| US20230090556A1 (en) * | 2021-09-17 | 2023-03-23 | Waters Technologies Ireland Limited | Methods, mediums, and systems for establishing a quality control record chain for laboratory analytical instruments |
| WO2023081286A1 (en) * | 2021-11-03 | 2023-05-11 | Reichberg Samuel | Systems and methods for secure electronic storage and access for genetic code |
| US11705230B1 (en) | 2021-11-30 | 2023-07-18 | Vignet Incorporated | Assessing health risks using genetic, epigenetic, and phenotypic data sources |
| US11901083B1 (en) | 2021-11-30 | 2024-02-13 | Vignet Incorporated | Using genetic and phenotypic data sets for drug discovery clinical trials |
| CN114173344A (zh) * | 2021-12-08 | 2022-03-11 | 百度在线网络技术(北京)有限公司 | 处理通信数据的方法、装置、电子设备及存储介质 |
| US11664099B1 (en) | 2022-01-19 | 2023-05-30 | Vignet Incorporated | Decentralized data collection for clinical trials |
| US11522703B1 (en) | 2022-01-19 | 2022-12-06 | Vignet Incorporated | Decentralized applications and data sharing platform for clinical research |
| US20230344834A1 (en) * | 2022-04-21 | 2023-10-26 | Cisco Technology, Inc. | User role-driven metadata layers in a data mesh |
| CN115391841B (zh) * | 2022-08-17 | 2023-08-25 | 徐州恒佳电子科技有限公司 | 基于自适应机制的基因数据隐私域动态防控系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6065119A (en) * | 1997-05-30 | 2000-05-16 | The Regents Of The University Of California | Data validation |
| CN1702175A (zh) * | 2005-04-22 | 2005-11-30 | 江汉大学 | 基于基因组rapd分析的豇豆品种分子鉴定方法 |
| CN1889105A (zh) * | 2005-06-28 | 2007-01-03 | 联合基因科技有限公司 | 基于网络结构的基因医疗保健系统及其方法 |
| CN102063507A (zh) * | 2011-01-10 | 2011-05-18 | 江苏大学 | 一种基于遗传算法的隐私保护关联规则挖掘方法 |
Family Cites Families (62)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6157721A (en) * | 1996-08-12 | 2000-12-05 | Intertrust Technologies Corp. | Systems and methods using cryptography to protect secure computing environments |
| US7133846B1 (en) * | 1995-02-13 | 2006-11-07 | Intertrust Technologies Corp. | Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management |
| US5692047A (en) * | 1995-12-08 | 1997-11-25 | Sun Microsystems, Inc. | System and method for executing verifiable programs with facility for using non-verifiable programs from trusted sources |
| US7444308B2 (en) * | 2001-06-15 | 2008-10-28 | Health Discovery Corporation | Data mining platform for bioinformatics and other knowledge discovery |
| DE1233366T1 (de) * | 1999-06-25 | 2003-03-20 | Genaissance Pharmaceuticals | Verfahren zur herstellung und verwendung von Haplotype Daten |
| US20020052761A1 (en) | 2000-05-11 | 2002-05-02 | Fey Christopher T. | Method and system for genetic screening data collection, analysis, report generation and access |
| AU7182701A (en) * | 2000-07-06 | 2002-01-21 | David Paul Felsher | Information record infrastructure, system and method |
| US6944767B1 (en) * | 2000-07-07 | 2005-09-13 | Genaissance Pharmaceuticals, Inc. | Methods and apparatus for ensuring the privacy and security of personal medical information |
| US8285991B2 (en) | 2000-10-25 | 2012-10-09 | Tecsec Inc. | Electronically signing a document |
| JPWO2002044967A1 (ja) * | 2000-11-30 | 2004-04-02 | 株式会社日立製作所 | 遺伝子解析情報の提供方法およびシステム並びに認証識別方法 |
| US20050026117A1 (en) * | 2000-12-04 | 2005-02-03 | Judson Richard S | System and method for the management of genomic data |
| US6965994B1 (en) * | 2001-01-30 | 2005-11-15 | Microsoft Corporation | Security mechanism for computer processing modules |
| CA2443996A1 (en) * | 2001-04-13 | 2002-10-24 | First Genetic Trust | Methods and systems for managing informed consent processes |
| JP3871301B2 (ja) * | 2001-05-15 | 2007-01-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データベース検索装置、及びプログラム |
| US20030055824A1 (en) | 2001-09-19 | 2003-03-20 | Andrea Califano | Distributed personalized genetic safe |
| US20060248349A1 (en) * | 2001-09-24 | 2006-11-02 | Rathjen Alicemarie G | Method for preparing and using personal and genetic profiles |
| US20110111389A1 (en) * | 2001-11-07 | 2011-05-12 | Diagcor Bioscience Incorporation Limited | Rapid genotyping analysis for human papillomavirus and the device thereof |
| EP1493115A2 (en) * | 2002-02-19 | 2005-01-05 | Lexicor medical Technology, Inc. | Systems and methods for managing biological data and providing data interpretation tools |
| US20050144042A1 (en) * | 2002-02-19 | 2005-06-30 | David Joffe | Associated systems and methods for managing biological data and providing data interpretation tools |
| US20040014097A1 (en) * | 2002-05-06 | 2004-01-22 | Mcglennen Ronald C. | Genetic test apparatus and method |
| US20040073570A1 (en) * | 2002-10-10 | 2004-04-15 | International Business Machines Corporation | System and method for blind sharing of genome data |
| JP2004287847A (ja) * | 2003-03-20 | 2004-10-14 | Ntt Data Corp | 匿名化権限分散化システム、匿名化権限分散化方法、匿名化権限分散化装置、匿名化権限分散化方法、および、プログラム |
| JP4500896B2 (ja) * | 2003-03-25 | 2010-07-14 | 財団法人新産業創造研究機構 | 遺伝子検査システム |
| US7103779B2 (en) * | 2003-09-18 | 2006-09-05 | Apple Computer, Inc. | Method and apparatus for incremental code signing |
| CN100410828C (zh) * | 2003-09-30 | 2008-08-13 | 西门子公司 | 对访问基于计算机的对象的授权 |
| US8571881B2 (en) * | 2004-11-09 | 2013-10-29 | Spectrum Dynamics, Llc | Radiopharmaceutical dispensing, administration, and imaging |
| JP4390570B2 (ja) * | 2004-01-21 | 2009-12-24 | 株式会社エヌ・ティ・ティ・ドコモ | 多段署名検証システム、電子署名付与装置、データ追加装置及び電子署名検証装置 |
| US20070271604A1 (en) | 2004-03-17 | 2007-11-22 | Fidelitygenetic Ltd. | Secure Transaction of Dna Data |
| CN101133418B (zh) * | 2004-10-12 | 2011-06-29 | 阿诺托股份公司 | 来自电子笔的信息的安全管理方法和系统 |
| US8347078B2 (en) * | 2004-10-18 | 2013-01-01 | Microsoft Corporation | Device certificate individualization |
| US7797413B2 (en) * | 2004-10-29 | 2010-09-14 | The Go Daddy Group, Inc. | Digital identity registration |
| US20060248466A1 (en) * | 2005-04-28 | 2006-11-02 | International Business Machines Corporation | Integration of multiple programming/scripting languages into one program unit |
| US7661146B2 (en) * | 2005-07-01 | 2010-02-09 | Privamed, Inc. | Method and system for providing a secure multi-user portable database |
| CN102882677B (zh) * | 2005-10-18 | 2015-11-25 | 英特托拉斯技术公司 | 数字权利管理的方法 |
| US20100273147A1 (en) * | 2006-01-19 | 2010-10-28 | Valenti Samuel R | Medical diagnostic system and methods |
| US20070220009A1 (en) * | 2006-03-15 | 2007-09-20 | Morris Robert P | Methods, systems, and computer program products for controlling access to application data |
| US20070240194A1 (en) * | 2006-03-28 | 2007-10-11 | Hargrave Bentley J | Scoped permissions for software application deployment |
| WO2008052344A1 (en) * | 2006-11-01 | 2008-05-08 | 0752004 B.C. Ltd. | Method and system for genetic research using genetic sampling via an interactive online network |
| JP5382802B2 (ja) * | 2006-12-05 | 2014-01-08 | セクエノム, インコーポレイテッド | 質量分析法を用いた生体分子の検出および定量 |
| US8190908B2 (en) * | 2006-12-20 | 2012-05-29 | Spansion Llc | Secure data verification via biometric input |
| US8099298B2 (en) * | 2007-02-14 | 2012-01-17 | Genelex, Inc | Genetic data analysis and database tools |
| DE102007011309B4 (de) * | 2007-03-06 | 2008-11-20 | Francotyp-Postalia Gmbh | Verfahren zur authentisierten Übermittlung eines personalisierten Datensatzes oder Programms an ein Hardware-Sicherheitsmodul, insbesondere einer Frankiermaschine |
| US9378373B2 (en) * | 2007-09-24 | 2016-06-28 | Symantec Corporation | Software publisher trust extension application |
| US20110047189A1 (en) * | 2007-10-01 | 2011-02-24 | Microsoft Corporation | Integrated Genomic System |
| AU2009222007A1 (en) * | 2008-03-04 | 2009-09-11 | Apple Inc. | System and method of authorizing execution of software code based on accessible entitlements |
| US20090327079A1 (en) * | 2008-06-25 | 2009-12-31 | Cnet Networks, Inc. | System and method for a delivery network architecture |
| US8448230B2 (en) * | 2008-08-22 | 2013-05-21 | International Business Machines Corporation | System and method for real world biometric analytics through the use of a multimodal biometric analytic wallet |
| KR101025848B1 (ko) * | 2008-12-30 | 2011-03-30 | 삼성전자주식회사 | 개인 유전체 통합 관리 방법 및 장치 |
| US8463554B2 (en) | 2008-12-31 | 2013-06-11 | 23Andme, Inc. | Finding relatives in a database |
| CN101477602A (zh) * | 2009-02-10 | 2009-07-08 | 浪潮电子信息产业股份有限公司 | 一种可信计算环境中远程证明的方法 |
| US20100333194A1 (en) * | 2009-06-30 | 2010-12-30 | Camillo Ricordi | System, Method, and Apparatus for Capturing, Securing, Sharing, Retrieving, and Searching Data |
| US8999648B2 (en) * | 2009-10-01 | 2015-04-07 | Signal Genetics, Inc. | System and method for classification of patients |
| WO2011043922A1 (en) * | 2009-10-06 | 2011-04-14 | Blum Ronald D | Systems. devices, and/or methods for managing healthcare information |
| US20110191821A1 (en) * | 2010-01-29 | 2011-08-04 | Open Imaging, Inc. | Controlled use medical application |
| US20110288785A1 (en) * | 2010-05-18 | 2011-11-24 | Translational Genomics Research Institute (Tgen) | Compression of genomic base and annotation data |
| CN102255933B (zh) * | 2010-05-20 | 2016-03-30 | 中兴通讯股份有限公司 | 云服务中介、云计算方法及云系统 |
| US9560036B2 (en) * | 2010-07-08 | 2017-01-31 | International Business Machines Corporation | Cross-protocol federated single sign-on (F-SSO) for cloud enablement |
| CN101888341B (zh) * | 2010-07-20 | 2013-02-27 | 上海交通大学 | 在分布式多信任域环境下基于可计算信誉度的访问控制方法 |
| WO2012030624A1 (en) * | 2010-08-30 | 2012-03-08 | Vmware, Inc. | Unified workspace for thin, remote, and saas applications |
| WO2012109435A1 (en) * | 2011-02-12 | 2012-08-16 | Siemens Healthcare Diagnostics Inc | Environment and method for analysis of genetic sequence data |
| WO2012142178A2 (en) * | 2011-04-11 | 2012-10-18 | Intertrust Technologies Corporation | Information security systems and methods |
| US8769622B2 (en) * | 2011-06-30 | 2014-07-01 | International Business Machines Corporation | Authentication and authorization methods for cloud computing security |
-
2012
- 2012-10-17 CN CN201280062102.5A patent/CN104054084B/zh active Active
- 2012-10-17 JP JP2014537190A patent/JP6199297B2/ja active Active
- 2012-10-17 WO PCT/US2012/060678 patent/WO2013059368A1/en active Application Filing
- 2012-10-17 CA CA2852916A patent/CA2852916A1/en not_active Abandoned
- 2012-10-17 EP EP20120840934 patent/EP2769322A4/en not_active Withdrawn
- 2012-10-17 BR BR112014009413A patent/BR112014009413A2/pt not_active Application Discontinuation
- 2012-10-17 CN CN201710533339.1A patent/CN107301332B/zh active Active
- 2012-10-17 AU AU2012326132A patent/AU2012326132A1/en not_active Abandoned
- 2012-10-17 US US13/654,349 patent/US10621550B2/en active Active
-
2014
- 2014-04-25 ZA ZA2014/03056A patent/ZA201403056B/en unknown
-
2016
- 2016-03-17 AU AU2016201692A patent/AU2016201692A1/en not_active Abandoned
-
2020
- 2020-04-10 US US16/845,650 patent/US11481729B2/en active Active
-
2022
- 2022-10-24 US US18/049,145 patent/US20230074310A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6065119A (en) * | 1997-05-30 | 2000-05-16 | The Regents Of The University Of California | Data validation |
| CN1702175A (zh) * | 2005-04-22 | 2005-11-30 | 江汉大学 | 基于基因组rapd分析的豇豆品种分子鉴定方法 |
| CN1889105A (zh) * | 2005-06-28 | 2007-01-03 | 联合基因科技有限公司 | 基于网络结构的基因医疗保健系统及其方法 |
| CN102063507A (zh) * | 2011-01-10 | 2011-05-18 | 江苏大学 | 一种基于遗传算法的隐私保护关联规则挖掘方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2852916A1 (en) | 2013-04-25 |
| EP2769322A1 (en) | 2014-08-27 |
| US20230074310A1 (en) | 2023-03-09 |
| ZA201403056B (en) | 2015-07-29 |
| AU2012326132A1 (en) | 2014-05-08 |
| WO2013059368A1 (en) | 2013-04-25 |
| US20200242557A1 (en) | 2020-07-30 |
| CN107301332A (zh) | 2017-10-27 |
| US20130096943A1 (en) | 2013-04-18 |
| CN104054084A (zh) | 2014-09-17 |
| JP6199297B2 (ja) | 2017-09-20 |
| AU2016201692A1 (en) | 2016-04-07 |
| EP2769322A4 (en) | 2015-03-04 |
| US10621550B2 (en) | 2020-04-14 |
| CN107301332B (zh) | 2021-10-29 |
| JP2015502588A (ja) | 2015-01-22 |
| US11481729B2 (en) | 2022-10-25 |
| BR112014009413A2 (pt) | 2017-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104054084B (zh) | 用于保护和管理基因组及其它信息的系统和方法 | |
| US20190237171A1 (en) | Omic data aggregation with data quality check | |
| US20200035341A1 (en) | De-identification omic data aggregation platform with permitted third party access | |
| US10249386B2 (en) | Electronic health records | |
| US20170186123A1 (en) | System and method for controlling communication of private information over a network | |
| Haddad et al. | Systematic review on ai-blockchain based e-healthcare records management systems | |
| France | eHealth in Belgium, a new “secure” federal network: role of patients, health professions and social security services | |
| Abbate et al. | Blockchain technology for embracing healthcare 4.0 | |
| Kaplan | Seeing through health information technology: the need for transparency in software, algorithms, data privacy, and regulation | |
| Charles | Accelerating life sciences research with blockchain | |
| Browman et al. | Improving the quality of ‘personalized medicine’research and practice: through an ethical lens | |
| AU2020101898A4 (en) | MHOC- Blockchain Technology: Medicine and Healthcare Observation Care using Blockchain Technology | |
| Li | Genetic information privacy in the age of data-driven medicine | |
| WO2023043807A1 (en) | Non-fungible token system for ensuring ethical, efficient and effective management of biospecimens | |
| Hosseini et al. | Integrated personal health record (PHR) security: requirements and mechanisms | |
| Katal et al. | Potential of blockchain in telemedicine | |
| Li | Security Implications of Direct-to-Consumer Genetic Sevices | |
| Duncan et al. | A focus area maturity model for a statewide master person index | |
| Zhang et al. | Emergency access for online personally controlled health records system | |
| Mao | Using Smart and Secret Sharing for Enhanced Authorized Access to Medical Data in Blockchain | |
| Sayal et al. | Blockchain: A Digital Breakthrough in Healthcare | |
| Kumarswamy et al. | A Review of Blockchain Applications and Healthcare Informatics. | |
| Terry | Personal Health Records: Directing More Costs and Risks to Consumers? | |
| Ghosh et al. | A critique of blockchain in healthcare sector | |
| Alhaqbani | Privacy and trust management for electronic health records |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |