CN113169957B

CN113169957B - 个人医疗数据安全共享和所有权去中心化的所有权系统

Info

Publication number: CN113169957B
Application number: CN201980049615.4A
Authority: CN
Inventors: 王爽; 郑灏
Original assignee: Hangzhou Weiwei Information Technology Co ltd
Current assignee: Hangzhou Weiwei Information Technology Co ltd
Priority date: 2019-04-12
Filing date: 2019-04-12
Publication date: 2023-03-24
Anticipated expiration: 2039-04-12
Also published as: CN113169957A; US20200327250A1; US11003791B2; WO2020206695A1

Abstract

所披露的系统采用一种安全方法，促进各利益相关方(包括数据所有者或提供方、数据请求者或挖掘方)和医疗提供者(包括医院、诊所和医疗保健服务提供者)之间安全交换健康信息。研究实验室。该系统的其他方面为对从数据提供方收集的健康数据进行安全研究提供了手段。使用分布的系统交换健康信息，该系统激励数据提供方向数据挖掘方提供健康数据。数据挖掘方(可能是制药公司、医疗实验室或医院)使用各种方法对聚合提供方数据进行研究，同时保持提供方隐私。

Description

个人医疗数据安全共享和所有权去中心化的所有权系统

背景技术

医疗信息技术在过去的几十年中发展迅速，但是有效收集健康数据的障碍仍旧存在。当需要额外的数据进行医学研究时，医疗保健服务提供者、科研实验室、医院和诊所必须从患者那里收集这些数据。出于隐私考虑，这些患者可能不愿意分享他们的数据。患者可能与请求其数据的实体无关，要求该实体与其他医疗保健服务提供者或机构合作，以便安全地收集数据。

发明内容

在一方面，一个基于计算机实现的方法被披露。该方法包含管理健康信息。该方法包括获取与至少一个数据提供方关联的健康信息，通过加密的格式将健康信息存储在一个存储设备上，利用区块链系统去帮助管理健康信息，以及允许一个数据挖掘方在加密的方式上去访问和分析健康信息。

在一方面，一个基于计算机实现的系统被披露。该系统包括配置为以加密方式存储与至少一个数据提供方关联的健康信息的存储设备，配置为帮助管理健康信息的区块链系统，以及配置为允许数据挖掘程序以加密方式访问和分析健康信息的门户。

在一个方面，披露了持久性计算机可读存储媒体。该媒体在管理健康信息。该媒体包括用于获取至少一个数据提供方相关的健康信息的计算机代码、用于将健康信息存储到一个加密设备的计算机代码、用于利用区块链系统帮助管理健康信息的代码和允许一个数据挖掘方以加密方式访问和分析健康信息的代码。

一种实施方式，健康信息是基因数据。

一种实施方式，基因数据包括核酸序列信息。

一种实施方式，核酸序列信息包括DNA序列信息或者RNA序列信息。

一种实施方式，健康信息与至少一个数据提供方的个人信息有关联。

一种实施方式，个人信息至少包含一个数据提供方的人口统计信息。

一种实施方式，人口统计信息至少包括以下一种或者多种：年龄、种族、性别和人种。

一种实施方式，个人信息包含至少一个数据提供方的社会经济信息。

一种实施方式，社会经济信息至少包括以下一种或者几种：教育水平、婚姻状况、报销状况、职业和收入。

一种实施方式，健康信息包括至少一个数据提供方的医疗历史，其中医疗历史包括至少一种症状、诊断、程序和结果。

一种实施方式，健康信息已由第三方验证。

一种实施方式，第三方提供了一个签名，允许将数据包含在区块链系统中。

一种实施方式，数据的哈希值形成一个智能合约，包含在区块链系统中。

一种实施方式，至少一个数据提供方指的是一个个体。

一种实施方式，至少一个数据提供方可以选择出售数据。

一种实施方式，至少一个数据提供方是医疗保健服务提供者。

一种实施方式，至少一个数据提供方是一个研究机构。

一种实施方式，该方法还包括利用至少一种选定的加密技术，以加密方式管理存储设备内的健康信息。

一种实施方式，加密技术利用了软件保护扩展。

一种实施方式，加密计算利用了同态加密。

一种实施方式，加密技术采用混合的软件保护扩展和同态加密。

一种实施方式，加密技术采用了多方安全计算。

一种实施方式，存储设备包含一个或多个去中心化的存储节点。

一种实施方式，来自去中心化的存储节点的健康信息可以被一个或多个安全计算节点访问。

一种实施方式，作为安全计算节点任务检索的一部分，结果的哈希值形成了包含在区块链系统中的智能契约。

一种实施方式，当去中心化的存储节点被一个或多个安全计算节点访问时，数据将保持加密方式。

一种实施方式，数据挖掘方是研究机构或制药公司。

一种实施方式，数据挖掘方是保险机构。

一种实施方式，数据挖掘方是一个慈善团体、支持团队、医疗服务提供方、雇主、教育机构或者匹配方。

一种实施方式，数据挖掘方请求访问健康信息。

一种实施方式，该对健康信息的请求包括一个或者多个搜索参数。

一种实施方式，访问请求的哈希值形成包含在区块链系统中的智能合约。

一种实施方式，数据挖掘方可以访问至少一个数据提供方的健康信息，而不必获得对至少一个数据提供方的个人信息的访问权限。

一种实施方式，数据挖掘方对健康信息的访问和分析是受通过加密数据隐私保护计算保护的。

一种实施方式，至少一个数据提供方的健康信息是受通过加密数据的隐私保护计算保护的。

在一个方面，一个计算机实现的健康信息管理方法被披露。该方法包括获取与至少一个数据提供方相关的健康信息，利用加密帮助将健康信息存储在存储设备中，利用区块链系统帮助管理健康信息，以及为健康信息的至少一个数据提供方提供激励令牌。

在一个方面，一个计算机实现的健康信息管理方法被披露。用于存储与至少一个数据提供方关联的健康信息，以及配置为帮助管理健康信息的区块链系统以及配置的一个或多个软件模块为健康信息的至少一个数据提供方提供激励令牌。

一方面，披露了持久性的计算机可读存储媒体。该媒体用于管理健康信息，持久性的计算机可读媒体，包括用于获取至少一个数据提供方关联的健康信息的计算机代码，用于利用加密帮助存储的计算机代码存储设备中的健康信息、用于利用区块链系统帮助管理健康信息的计算机代码，以及用于为至少一个健康信息的数据提供方提供激励令牌的计算机代码。

一种实施方式，该激励令牌包含至少一个安全令牌。

一种实施方式，激励令牌由数据挖掘方提供给令牌池，然后从令牌池传输到至少一个数据提供方的帐户。

一种实施方式，安全令牌通过唯一的公钥地址进行识别，其中只有数据提供方可以访问私钥。

一种实施方式，奖励令牌在使用健康信息进行分析时，以公平的市场价值提供。

一种实施方式，激励令牌由数据挖掘方提供，该数据挖掘方可访问至少一个数据提供方关联的健康信息。

一种实施方式，数据挖掘方向除至少一个数据提供方之外的其他实体提供激励令牌，前提是对与至少一个数据提供方关联的健康信息的访问和分析。

一种实施方式，健康信息是基因组数据。

一种实施方式，基因组数据包括核酸序列信息。

一种实施方式，核酸序列信息包括DNA序列信息或RNA序列信息。

一种实施方式，健康信息与至少一个数据提供方的个人信息相关联

一种实施方式，个人信息包含有关至少一个数据提供方的人口统计信息。

一种实施方式，健康信息已由第三方验证。

一种实施方式，至少一个数据提供方是个人。

一种实施方式，至少有一个数据提供方是一个研究机构。

一种实施方式，该方法还包括利用至少一种选定的加密技术，在存储设备内以加密方式管理健康信息。

一种实施方式，加密技术利用软件保护扩展。

一种实施方式，加密技术采用同态加密。

一种实施方式，加密技术采用多方安全计算。

一种实施方式，存储设备包括一个或多个去中心化的存储节点。

一种实施方式，来自去中心化存储节点的加密健康信息可以被一个或多个安全计算节点访问和分析。

一种实施方式，作为安全计算节点任务检索的一部分的结果哈希值形成包含在区块链系统中的智能合约。

一种实施方式，当去中心化的存储节点由一个或多个安全计算节点访问和分析时，数据将保持加密方式。

一种实施方式，数据挖掘方是研究机构或制药公司。

一种实施方式，数据挖掘方是保险机构。

一种实施方式，数据挖掘方是一个慈善团体、支持团体、医疗保健提供者、雇主、教育机构或匹配方。

一种实施方式，数据挖掘方对健康信息提出了查询和分析请求。

一种实施方式，请求包括一个或多个健康信息的加密搜索参数。

一种实施方式，查询和分析请求的哈希值形成包含在区块链系统中的智能合约。

一种实施方式，数据挖掘方提出的查询和分析请求将通过安全计算节点通过加密数据进行。

一方面，披露了持久性的计算机可读存储媒体。该方法包括获取与至少一个数据提供方关联的加密健康信息，利用加密帮助将健康信息存储在存储设备中，利用区块链系统帮助管理健康信息，并从至少一个数据挖掘方处接收激励令牌，以访问和分析加密的健康信息。

一方面，披露了持久性的计算机可读存储媒体。该媒体正在管理健康信息，持久性的计算机可读媒体，包括用于获取至少一个数据提供方关联的健康信息的计算机代码，用于利用加密帮助存储的计算机代码存储设备中的健康信息、用于利用区块链系统帮助管理健康信息的计算机代码，以及用于为至少一个健康信息的数据提供方提供激励令牌的计算机代码。

一方面，披露了持久性计算机可读存储介质。媒体正在管理健康信息，并包括用于获取与至少一个数据提供方关联的加密健康信息的计算机代码、用于利用加密来帮助将健康信息存储在内存中的计算机代码存储、用于利用区块链系统帮助管理健康信息的计算机代码，以及用于从至少一个数据挖掘方处接收激励令牌以访问和分析加密健康信息的计算机代码。

一种实施方式，该激励令牌包含至少一个安全令牌。

一种实施方式，至少向一个数据提供方提供了激励令牌的一部分。

一种实施方式，奖励令牌的至少一部分提供给提供或管理存储设备的实体。

一种实施方式，至少一部分激励令牌提供给提供或管理区块链系统的实体。

一种实施方式，激励令牌的至少一部分提供给管理一个或多个门户的实体，数据挖掘方可通过该门户访问和分析加密的健康信息。

一种实施方式，奖励令牌的至少一部分提供给管理一个或多个门户的实体，数据提供方可以通过该门户提供健康信息。

一种实施方式，激励令牌的至少一部分提供给对至少一个数据提供方的基因组数据进行测序的实体，或验证序列基因组数据的实体。

一种实施方式，健康信息是基因组数据。

一种实施方式，基因组数据包括核酸序列信息。

一种实施方式，健康信息与至少一个数据提供方的个人信息相关联。

一种实施方式，健康信息已由第三方验证。

一种实施方式，至少一个数据提供方是个人。

一种实施方式，至少有一个数据提供方是一个研究机构。

一种实施方式，加密技术利用软件保护扩展。

一种实施方式，加密技术采用同态加密。

一种实施方式，加密技术采用多方安全计算。

一种实施方式，当去中心化的存储节点由一个或多个安全计算节点访问和分析时，数据将保持加密方式

一种实施方式，数据挖掘方是研究机构或制药公司。

一种实施方式，数据挖掘方是保险机构。

一种实施方式，数据挖掘方是一个慈善团体、支持团体、医疗保健提供者、雇主、教育机构或匹配人。

另一方面，一个基于计算机实现的健康信息管理方法被披露。该方法包括从数据挖掘方接收一个或多个加密搜索参数，以访问、查询和分析与一个或多个数据提供方关联的加密健康信息、搜索存储设备，查找满足具有加密结果的一个或多个加密搜索参数的加密健康信息；利用区块链系统帮助管理健康信息、并为数据挖掘方提供访问和分析满足该信息的加密健康信息的选项或通过安全计算节点进行更多搜索参数。

一方面，一个基于计算机实现的健康信息管理系统被披露。该系统包括一个或多个软件模块，这些模块配置为从数据挖掘方接收一个或多个搜索参数，以访问与一个或多个数据提供方关联的加密健康信息、配置为存储健康信息的存储设备、配置为帮助管理健康信息的区块链系统以及一个或多个软件模块，这些模块配置为 (i)搜索满足一个或多个搜索参数的加密健康信息的存储设备，以及(ii)为数据提供选项通过安全计算节点访问和分析满足一个或多个搜索参数的加密健康信息。

一方面，披露了持久性计算机可读存储媒体。媒体正在管理健康信息，并包含用于从数据挖掘方接收一个或多个加密搜索参数以访问和分析与一个或多个数据提供方关联的加密健康信息的计算机代码、用于搜索存储设备以查找满足一个或多个加密搜索参数的加密健康信息、用于利用区块链系统帮助管理健康信息的计算机代码，以及提供数据选项的计算机代码通过安全计算节点访问和分析满足一个或多个搜索参数的加密健康信息。

一种实施方式，该方法将展示包括满足一个或多个搜索参数的健康信息量化。

一种实施方式，满足一个或多个搜索参数的运行状况信息的量化包括一些健康信息符合一个或多个搜索参数的个人。

一种实施方式，该方法包括从数据挖掘方接收数据挖掘方希望访问的健康信息的量化指示。

一种实施方式，数据挖掘方希望访问的健康信息的量化包括数据挖掘方希望访问的一些个人的健康信息。

一种实施方式，数据挖掘方只能访问数据挖掘方希望访问其健康信息的个人数量。

一种实施方式，数据挖掘方为数据挖掘方希望访问其健康信息的个人数量提供奖励。

一种实施方式，一个或多个搜索参数包括数据挖掘方愿意为健康信息提供的激励金额。

一种实施方式，健康信息通过加密方式存储在存储设备中。

一种实施方式，健康信息保持加密方式，同时搜索满足一个或多个搜索参数的健康信息。

一种实施方式，健康信息是基因组数据。

一种实施方式，基因组数据包括核酸序列信息。

一种实施方式，健康信息已由第三方验证。

一种实施方式，至少一个数据提供方是个人。

一种实施方式，至少有一个数据提供方是一个研究机构。

一种实施方式，数据挖掘方是研究机构或制药公司。

一种实施方式，数据挖掘方是保险机构。

一种实施方式，访问请求的哈希值形成包含在区块链系统中的智能合约中。

一个方面，基于计算机实现的健康信息管理方法被披露。该方法包括获取与至少一个数据提供方关联的健康信息，将加密的健康信息存储在存储设备中，利用区块链系统帮助管理健康信息，以及从至少一个数据提供方处接收一个输入，该输入定义了数据挖掘方通过安全计算节点访问和分析加密健康信息的权限控制。

一方面，计算机实现的用于管理运行状况信息系统的。该系统包含一个配置为存储至少一个数据提供方相关的加密健康信息的存储设备，一个配置为帮助管理健康信息的区块链系统，和一个或者多个软件模块配置为从至少一个数据提供方接收一个或多个软件模块的输入，该输入定义了数据挖掘方通过安全计算节点访问和加密运行状况信息的权限控制。

一方面，披露了持久性的计算机可读存储媒体。媒体正在管理健康信息。该媒体包括用于获取至少一个数据提供方关联的加密健康信息信息的计算机代码、用于在存储设备中存储加密健康信息的计算机代码、用于利用区块链系统帮助的计算机代码在管理健康信息和计算机代码时，从至少一个数据提供方接收一个输入，该输入定义了数据挖掘方满足通过安全计算节点访问和加密健康信息的权限控制。

一种实施方式，数据挖掘方的阀值满足包含至少一个数据挖掘方需要提供给数据提供方的最少的激励金额。

一种实施方式，数据挖掘方的权限控制满足包括数据挖掘方的特征。

一种实施方式，该方法将包含数据提供方显示阀值的反馈。

一种实施方式，反馈包括数据挖掘方满足权限控制的可能性。

一种实施方式，反馈包括一些要投注的令牌。

一种实施方式，该方法还包括数据提供方提供对数据提供方个人信息的访问的选项。

一种实施方式，个人信息包含健康记录。

一种实施方式，健康信息通过加密方式存储在存储设备中。

一种实施方式，当数据挖掘方在通过安全计算节点访问和分析健康信息的时候，健康信息将保持加密方式。

一种实施方式，健康信息是基因组数据。

一种实施方式，基因组数据包括核酸序列信息。

一种实施方式，健康信息已由第三方验证。

一种实施方式，至少一个数据提供方是个人。

一种实施方式，至少有一个数据提供方是一个研究机构。

一种实施方式，数据挖掘方是研究机构或制药公司。

一种实施方式，数据挖掘方是保险机构。

一种实施方式，查询和分析请求的哈希值形成包含在区块链系统中的智能合约中。

一种实施方式，请求包含一个或者多个用户健康信息的搜索参数。

一方面，一个基于计算机实现的方法被披露。该方法包括管理健康信息。该方法包括获取与至少一个数据提供方关联的加密健康信息，将加密的健康信息存储在存储设备中，利用区块链系统帮助管理健康信息，以及允许保险机构访问和分析健康信息，通过安全计算节点为至少一个数据提供方提供自定义的健康保险。

一方面，一个基于计算机实现的健康信息管理系统被披露。该系统包括一个存储设备被配置为存储与至少一个数据提供方相关的加密方式下的健康信息，一个用于帮助管理健康信息的区块链系统，一个通过安全计算节点用于允许保险机构访问和分析加密的健康信息的并为至少一个数据提供方提供定制化的健康保险的门户。

一方面，持久性的计算机可读存储媒体被披露。媒体正在管理健康信息。持久性计算机可读媒体包括用于获取至少一个数据提供方关联的加密健康信息的计算机代码、用于在存储设备中存储加密健康信息的计算机代码、用于利用区块链系统帮助管理健康信息，以及计算机代码，允许保险机构访问和分析加密的健康信息，通过以下方式为至少一个数据提供方提供定制的健康保险安全计算节点。

一种实施方式，健康信息通过加密方式存储在存储设备中。

一种实施方式，健康信息在保险机构访问健康信息时保持加密方式。

一种实施方式，保险机构访问的加密健康信息用于确定定制健康保险的定价。

一种实施方式，健康信息是基因组数据。

一种实施方式，基因组数据包括核酸序列信息。

一种实施方式，健康信息包括至少一个数据提供方的医疗历史，其中医疗史包括至少一种症状、诊断、程序和结果。

一种实施方式，健康信息已由第三方验证。

在一个实例中，一个数据提供方至少包括一个个体。

在一个实例中，存储设备由一到多个去中心化存储节点组成。

在一个实例中，多个去中心化存储节点中的健康信息被一到多个安全计算节点读取。

在一个实例中，由多个安全运算节点获取的所有分块任务结果的哈希值将组成一个区块链系统中的智能合约。

在一个实例中，当去中心化存储节点中的数据被安全计算节点读取时仍然保持密文格式。

在一个实例中，保险公司请求通过安全计算节点读取并分析健康数据。

在一个实例中，一个数据分析请求由一到多个对健康数据的经过加密的查询参数组成。

在一个实例中，一个数据获取请求的哈希值组成一个区块链系统中的智能合约。

在一个实例中，保险公司的查询和分析请求将由安全运算节点从加密数据上完成。

在一个实例中，数据挖掘方读取和分析健康数据的请求是由具有隐私保护功能的运算环境在加密数据上运算完成的。

在一个实例中，来自数据提供方的健康数据是由具有隐私保护功能的运算环境在加密数据上运算提供保护的。

在一定程度上，一个由计算机实现的管理数据的方法被披露。这个方法包括：从至少一个数据提供方处获取数据，以加密形式在存储设备中保存数据，使用区块链系统帮助管理数据并授权数据挖掘方在保证数据安全的前提下读取并分析一至多个数据提供方的数据。

在一个实例中，数据提供方的隐私安全是通过避免数据挖掘方直接获取贡献方明文数据达成的。

在一个实例中，数据提供方的隐私安全是通过避免数据挖掘方直接获取贡献方明文ID达成的。

在一个实例中，信息是指基因数据。

在一个实例中，基因数据指核酸序列信息。

在一个实例中，核酸序列信息指DNA或RNA序列信息。

在一个实例中，数据至少同一个数据提供方的个人信息相关联。

在一个实例中，个人信息包括至少一个数据提供方的人口统计学信息。

在一个实例中，个人信息包括至少一个数据提供方的社会经济学信息。

在一个实例中，数据包括至少一个数据提供方的病历。病例包含至少一个症状，诊断，治疗过程和结果。

在一个实例中，数据已由第三方验证。

在一个实例中，通过第三方提供的签名来授权数据进入区块链系统。

在一个实例中，数据的哈希值将组成区块链系统中的一个智能合约。

在一个实例中，一个数据提供方包括至少一个自然人。

在一个实例中，储存设备包括一到多个分布式存储节点。

在一个实例中，分布式储存节点中的信息由一到多个安全运算节点读取。

在一个实例中，数据挖掘方通过安全运算节点发起数据读取和分析的请求。

在一个实例中，数据挖掘方的查询和分析请求将由安全运算节点从加密数据上完成。

在一定程度上，一个由计算机实现的管理分析应用方法被披露。这个方法包括：提供多种数据分析应用来读取和分析数据提供方的数据(以加密形式保存在储存设备中，由区块链系统协助管理和使用)。

在一个实例中，选择由数据挖掘方做出。

在一个实例中，对一个数据分析应用方法的选择包括购买这个数据分析应用。

在一个实例中，各种数据分析应用针对数据的不同方面进行分析。

在一个实例中，各种数据分析应用对数据进行运算。

在一个实例中，信息是指基因数据。

在一个实例中，基因数据指核酸序列信息。

在一个实例中，核酸序列信息指DNA或RNA序列信息。

在一个实例中，数据已由第三方验证。

在一个实例中，一份数据的哈希值将组成区块链系统中的一个智能合约。

在一个实例中，一个数据提供方包括至少一个自然人。

在一个实例中，储存设备包括一到多个分布式存储节点。

在一个实例中，被选中的数据分析应用通过安全运算节点发起数据读取和分析的请求。

在一个实例中，由被选中的数据分析应用发出的数据查询和分析请求将由安全运算节点从加密数据上完成。

在一个实例中，由被选中的数据分析应用得到的结果将通过优化过的数据扰乱方法保护，以提供可保障隐私安全的结果分发。

一方面，一个由计算机实现的分析应用管理方法被披露。这个方法包括：大量密钥(每个密钥至少与一个数据提供方关联)的管理，(通过处理器协助的)选择，和使用(密钥加密储存设备的的信息)。一个区块链系统讲被用于协助管理这些信息。

在一个实例中，每个数据提供方拥有多个用于信息加密的密钥。

在一个实例中，密钥可被用于协助在加密数据上进行的安全运算。

在一种实施方式中，数据提供方能够创建，管理，存储，分配和撤销加密密钥。

在一种实施方式中，每个能够访问和分析信息的数据挖掘方具有多个用于信息加密的加密密钥。

在一种实施方式中，加密密钥可用于返回在加密数据上进行隐私保护计算的加密分析结果。

在一种实施方式中，数据挖掘方能够创建，管理，存储，分发和撤销加密密钥。

在一种实施方式中，信息是基因组数据。

在一种实施方式中，基因组数据包括核酸序列信息。

在一种实施方式中，核酸序列信息包括DNA序列信息或RNA序列信息。

在一种实施方式中，该信息与至少一个数据提供方贡献的个人信息有关联。

在一种实施方式中，个人信息包括人口统计信息，这些人口统计信息来自至少一个数据提供方。

在一种实施方式中，个人信息包括社会经济信息，这些社会经济信息来自至少一个数据提供方。

在一种实施方式中，信息包括病历，病历来自至少一个数据提供方。在一种实施方式中，病历包括症状，诊断，发展过程和结果中的至少一项。

在一种实施方式中，信息是与至少一个数据提供方有关的分析结果。

在一种实施方式中，信息已经由第三方验证。

在一种实施方式中，第三方已经提供了签名，该签名允许数据被用于区块链系统中。

在一种实施方式中，数据的哈希值形成了一个包含在区块链系统中的智能合约。

在一种实施方式中，至少一个数据提供方是个人。

在一种实施方式中，存储设备包括一个或多个去中心化存储节点。

在一种实施方式中，去中心化存储节点的信息被一个或多个安全计算节点访问。

在一种实施方式中，安全计算节点取回任务中的一部分是结果的哈希值，这个哈希值形成了一个包含在区块链系统中的智能合约。

在一种实施方式中，当去中心化存储节点被一个或多个安全计算节点访问时，数据保持着加密方式。

在一种实施方式中，数据挖掘方通过安全计算节点发出访问和分析信息的请求。

在一种实施方式中，请求包括该信息的一个或多个加密的搜索参数。

在一种实施方式中，访问请求的哈希值形成了一个包含在区块链系统中的智能合约。

在一种实施方式中，来自数据挖掘方的查询和分析请求将通过安全计算节点在加密数据上执行。

一方面上，披露了一种计算机实现的方法。该方法包括如何管理健康信息。该方法包括：向多个数据提供方获取健康信息、以加密方式在存储设备中存储健康信息、利用区块链系统来帮助管理健康信息以及在隐私保护计算节点的帮助下使用模型参数或中间分析统计信息来创建联邦学习模型。

在一种实施方式中，在联邦学习模型中数据提供方不分享原始数据。

在一种实施方式中，模型参数或中间分析统计信息的交换，是通过对加密数据的隐私保护计算来保护的。

按参考进行引用

本规范中提及的所有出版物、专利和专利申请均参照每个出版物、专利或专利申请被具体和单独指示以参考法合并的程度进行引用。

附图说明

本发明的新颖特征在所附的权利要求书中具体阐述，为更好地理解本发明的特点和优点，可以通过引用下面的附图实现方式的具体细节描述，这些图中采用了本发明的原则，以下是附图：

图1展示出了包括一个或多个数据提供方和一个或多个数据挖掘方的系统示例；

图2显示出了用于激励数据提供方向健康服务提供者提供数据的工作流程；

图3显示出了该系统如何在许多不同的应用中使用；

图4显示出了系统组件的框图；

图5显示出了通过系统的数据流；

图6描述了通过系统的激励令牌的流动；

图7显示出了去中心化安全计算；

图8显示出了联邦或外包安全计算；

图9展示出了关于基因检测的保护隐私安全方法的高层图；

图10展示出了为了安全地检测基因组数据，实现的图9中的软件保护扩展框架。

图11展示出了对进行安全基因组检测的软件保护扩展框架的评估；

图12展示出了联邦数据分析的实施方案；

图13展示出了水平分布数据的图示。

图14展示出了垂直分布数据的图示。

图15和图16展示了用于对水平划分的数据进行联邦逻辑回归的数据分析的此类示例；

图17和图18显示了针对垂直划分数据的联邦逻辑回归；

图19展示了对偶和原始的对数似然函数的图；

图20展示了在每组本地统计信息隔离的状态下，图17和18中的对偶逻辑回归的分解。

图21展示了用于训练图15，16，17，18和20中的回归模型的平均计算时间。

图22展示出了传输不平衡测试(TDT)；

图23-26展示了使用多个来源的联邦数据来计算TDT测试的系统；

图27展示了图23至26中的检测系统的系统架构；

图28展示了图23至26中系统的实验性能；

图29展示了使用安全区域来进行安全的变异检测的方法；

图30展示了使用混合安全解决方案的性能评估，该混合安全解决方案结合了可信执行环境(TEE)系统和同态计算系统；

图 31和图32展示了用于安全地对基因组数据执行计数查询的框架。

图33展示了在软件保护扩展框架系统中，可能损害数据安全性的旁道攻击的示例；

图34展示了使用英特尔软件扩展框架在超线程环境中保护数据免受攻击的方法。

图35和36针对的是为了共享基因组信息提供知情同意的方法；和

图37展示了被配置好的或者编程实现了本文公开的方法的计算机系统。

具体实施方式

尽管已经在本文中展示和描述了本发明的较好的实施方案，但是这些实施方案仅作为一种示例提供。这对本领域技术娴熟的人员来说是显而易见的。在不脱离本发明的情况下，本领域技术人员现在将能想到许许多多的变化，改变和替换。应当理解，在实施本发明时可以采用本发明所述的实施方案的各种替代方法。

本发明提供用于分布式所有权和安全共享个人数据的系统和方法。本文描述的本发明的各个方面可以应用于阐述以下的任何特定应用。本发明可以作为独立的健康数据系统或作为综合数据共享和分析系统的组件。需要理解的是，本发明的不同方面可以单独、集体或相互结合地进行评价。

所披露的系统实现了一种安全方法，用于促进各种利益相关方之间的健康信息安全交换，这些利益相关方包括数据所有者或贡献者，数据请求者或挖掘者，以及医疗提供者，包括医院，诊所和研究实验室。该系统的其他方面提供了用于对从数据提供方收集的健康数据进行安全研究的手段。使用分布式系统交换健康信息，可以激励数据提供方向数据挖掘方提供健康数据。

数据挖掘方，可能是制药公司、医学实验室或医院，会使用多种方法，在保证数据提供方隐私安全的情况下，根据被整合的贡献者数据进行研究。该项专利中将解释更多有关各个方法的细节。在这些方法中，有很多会使用软件保护扩展程序 (SGX)，这些程序提供存储在位于电脑内存安全区内用于分析数据的计算功能。这些功能包括编码、解码、哈希值、安全数据分析使用，比如统计方法和机器学习算法。分析有可能通过分布式系统执行，多个节点执行本地数据分析并安全地共享结果。分析也可能通过联盟系统来执行，一个中心节点整合多个节点的本地分析结果并生成一个最终结果，同时保护了本地节点的数据安全。将系统利益相关方能获得的数据编码鼓励贡献者分享敏感数据，比如，深层神经网络，给予了贡献者更多数据进行分析。另外，这一数据共享方法能在拥有不同法规的辖区内实施，且其中某些在通常情况下可能不允许合法地共享数据。

区块链和智能合约使系统能够允许数据提供方在保持其所有权以及保护隐私的情况下分享他们的数据。数据提供方能利用智能合约改变共享政策，例如，能够允许或禁止明文数据的分享。数据挖掘方利用合约向贡献者请求数据，同时从计算节点安全地请求分析任务。区块链也被用作向数据提供方支付报酬。当数据挖掘方请求数据分析任务时，他们会用智能合约发送加密的请求至计算节点。智能合约中，存在数个令牌。多个计算节点会在一场竞价中竞争以执行任务以及获得令牌，这些将被释放至数据提供方处。这些令牌可能会被用于支付医疗保健服务，例如，每年的体检。

系统

图1.展现了一个例子，系统100包含一个或多个数据提供方101以及一个或多个数据挖掘方102。这些一个或多个数据提供方和/或一个或多个数据挖掘方可能会在一个市场中产生交互。

数据提供方101可能会提供信息。这些信息可能可以通过市场103获得。数据提供方可能包括任何能为市场提供信息的团体。这些信息可能包括有关健康的信息。

数据提供方可能包括个人、提供者、研究机构以及任何其他个体。个人数据提供方包括人类、动物或其它任何可提供信息的生物。例如，个人可以提供基因组数据、健康记录、调查反馈、行为数据，或其它任何信息。信息可以包括借助生物样本提供的信息(例如血液，血清，血浆，组织，痰，尿液，粪便，汗液，头发，唾液，鼻拭子或鼻咽洗液，眼泪，胃液，脊髓液，粘液，耳垢，油，腺体分泌物，脑脊髓液，精液和阴道分泌物，咽拭子，呼吸，指甲，皮肤，活检，胎盘液，羊水，脐带血，淋巴液，腔液，脓液，微生物群，胎粪，母乳和/或其他分泌物)。信息可能包括可以借助于一种或多种仪器(例如，EEG，MRI，超声扫描仪，秤，温度计，脉搏血氧仪，血压袖带等)测量的生理信息。信息可能可以借助一项或多项测试来测量，例如使用超声，超声心动图，磁共振成像(MRI)，X射线计算机断层扫描(CT)和核医学扫描仪(例如单光子发射计算机断层扫描(SPECT)和有无CT 的正电子发射断层扫描(PET))。信息可能包括会收集有关个人的电活动(例如心脏的心电图)，血压(例如脚踝肱压力指数)，气流(例如肺功能测试)或其他条件的信息。可以借助于一种或多种仪器(例如，EEG，MRI，超声扫描仪，秤，温度计，脉搏血氧仪，血压袖带等)测量的生理信息。可以借助一项或多项测试来测量信息，例如使用超声，超声心动图，磁共振成像(MRI)，X射线计算机断层扫描(CT)和核医学扫描仪(例如单光子发射计算机断层扫描(SPECT))进行的测试和有无CT的正电子发射断层扫描(PET))。可能会收集有关个人的电活动(例如心脏的心电图)，血压(例如脚踝肱压力指数)，气流(例如肺功能测试)或其他条件的信息。该信息可以包括借助于一个或多个可穿戴设备收集的数据，例如物联网(IOT)设备收集的行为数据。信息可以在一个或多个时间点主动收集，或者可以连续或定期被动收集。

在另一个例子中，提供者可能提供信息。例如，人口信息、健康记录等可能被提供。提供者可能是医疗保健服务提供者，例如医院、诊所、医务室、药房或医学实验室。这些信息可能包括个人或团体的医疗记录。这些被提供的信息可能符合“健康保险携带和责任法案”HIPAA标准。

提供者可能包括研究机构。信息可能包括生物银行数据、临床数据或其它任何种类的信息。研究机构可能包括与医疗服务人员、教育、制药或其它企业，或其它任何可能收集和/或分析数据，例如健康相关数据，有关的机构。

由数据提供方提供信息可能包括健康相关信息。健康相关信息可能包括基因组数据、医疗数据(电子的和/或纸质的医疗记录)、健身数据，或其它任何数据。

与健康有关的信息可能包括组学数据(例如基因组学，转录组学，蛋白质组学，代谢组学，表观遗传学或微生物组学)。组学数据可能包括核酸数据，例如 DNA和/或RNA数据，表观遗传数据或者其它任何组学数据。基因组数据可以包括核酸序列信息。在一些实施例中，核酸序列信息可以包括DNA序列信息或RNA序列信息。核酸数据可包括序列数据，甲基化数据，表达数据或任何其他数据。DNA 序列数据可以包括整个基因组序列数据，部分基因组序列数据(例如，一个或多个基因的序列数据)，整个外显子组序列数据，部分外显子组序列数据或任何其他类型的序列数据。该信息可以包括核酸序列突变或变体数据。此类数据可通过将单个核酸序列与一个或多个参考基因组进行比较而得出。突变或变异数据可以包括关于一个或多个基因中的取代(包括点突变和/或单核苷酸多态性(SNP))，插入，缺失，错义突变，无义突变，重复扩增和/或移码的数据。在一些实施例中，信息可包括基于个体的一个或多个基因中存在的SNP的基因型。

与健康有关的信息可能包括医疗记录或可能使用医疗记录。医疗记录可能包括电子健康记录(EHR)，个人健康记录(PHR)或任何其他类型的医疗记录。EHR 可能包含有关个人或人群的电子健康信息的集合。EHR可以包括医疗保健服务提供者为个人发布的疗法，处方，总结，订单或指示的记录。EHR可能包含以下信息，例如基因组数据，代谢组学数据，蛋白质组学数据，微生物数据，病史，用药记录，用药史，体检，实验室检测报告(例如病理报告，血细胞计数报告，血液培养报告，尿液分析报告，咽喉培养报告，基因检测报告等)影像报告(例如X射线，CT扫描，MRI，超声等)，人口统计学，家族史，过敏，药物不良反应，疾病，慢性病，住院，手术，免疫状况，生命体征，生物特征(例如，心率，体温，血压，呼吸频率，血液诊断(例如氧饱和度，葡萄糖浓度，血球计数)，尿液诊断 (例如比重，蛋白质，葡萄糖和血液，其他体液诊断，影像等)，年龄，体重，身高或其他信息。电子病历可由机构维护。PHR可能包括个人维护的健康状况集合。PHR可以包括EHR可以维护的任何信息。在某些情况下，PHR可能包含有关免疫接种，过敏，药物不良反应，慢性病，家族病史，疾病，住院，影像报告，实验室检查结果，药物和剂量，处方记录，程序(例如手术)的信息，日常生活细节，活动日志，运动记录，睡眠日志，营养记录或任何其他信息。

该信息可能包括健身数据。例如，该信息可能包括生理数据(例如，血压测量值，心率测量值(例如，平均心率，最大心率)，呼吸率，VO2或任何其他生理信息，例如本文其他地方所述的信息)，或运动数据(例如，运动的持续时间和频率，进行的运动类型以及有关进行的特定运动的指标)。健身数据可以通过任何方式收集。例如，用户可以将适合度信息输入到诸如网络或移动应用之类的应用中。健身数据也可以借助IOT设备(例如可穿戴设备)来收集。可穿戴设备的示例可能包括但不限于Fitbits，Apple Watch，Garmin等。在某些情况下，健身信息源可以与另一信息源链接或交流。例如，可能可以通过访问健身日志，跟踪应用或设备以获取和/或共享健身数据。

在一些实施例中，健康信息可能与关于至少一个数据提供方的个人信息相关联。这些数据提供方的个人信息可能包括关于至少一个数据提供方的人口统计信息，例如年龄，性别，种族，种族，国籍和收入。个人信息还可能包括有关数据提供方的社会经济信息。个人信息可能与个人习惯有关(例如，生活习惯，购买习惯，搜索习惯，旅行历史，健身习惯等)。此信息可能包括以下一项或多项：教育程度，婚姻状况，保险状况，职业和收入。个人信息可能包括个人的联系信息(例如，地址，电话号码，电子邮件)，帐户信息，身份信息(例如，驾驶执照 ID信息，护照信息，出生日期，社会保险号等)。

图2表明了用于激励数据提供方向健康提供者提供数据的工作流程200。健康提供者向数据提供方提供健康服务，数据提供方安全地将其隐私数据提供给数据挖掘方，以换取激励令牌。贡献的数据可能包括基因组数据。数据可能被加密，以防止损害任何个人的隐私健康数据。在接收到贡献者数据后，数据挖掘方可以发放激励令牌，从而使贡献者能够购买健康产品和服务。

本文提供的系统和方法可能通过向数据提供方，例如，个人，提供奖励以促使他们提供数据。同样，数据挖掘方可能会从数据提供方那里接收到的数据中受益。

当数据提供方提供数据时，他们可能会获得令牌奖励。令牌可以通过允许数据购买者来使他们受益。在一些情况下，令牌可以用于购买可能接受令牌的任何商品或服务。在另一些情况下，令牌可以用于购买健康服务。这可能可以使数据提供方使用健康相关信息来改善或维护数据提供方自身的健康。或者，数据提供方可以使用令牌购买其他商品或服务。

数据挖掘方可能可以访问更大的数据池。随着越来越多的数据提供方被激励提供数据，数据挖掘方可以更容易地访问来自某些期望组的数据。例如，可以为正在开发针对特定类型疾病的药物的制药公司提供接触更多患有该疾病或处于该疾病风险中的人的机会。在某些情况下，可以访问较大的数据池使更多稀有类型的数据可用。通过提供令牌，数据挖掘方能够访问原本可能无法访问的数据。这可以使数据挖掘方具有较低的开发成本。例如，药物开发人员将通过大数据和人工智能(AI)降低药物开发成本。

在一个例子中，罕见的数据可能具有更多价值。比如，一个拥有独特基因条件或相关健康状况的数据提供方可能能为数据挖掘方提供对于他们更有价值的更罕见的数据。更罕见的数据的数据提供方可能会因提供数据被奖励更多令牌或激励。

图3表明了系统对于许多不同应用的300种用途。这些应用程序可能包括研究应用程序，制药应用程序和保险应用程序。任何可能受益于利用来自数据提供方的安全健康相关数据的应用程序都可能被使用。例如，其他应用程序可能包括但不限于医疗保健应用程序，就业应用程序，教育应用程序，婚介/约会应用程序，兽医应用程序，健身/运动应用程序，政策应用程序，商业和营销应用程序，或任何其他应用程序。

该系统可以执行数据分析任务，包括全基因组关联研究(GWAS)，全表型组关联研究(PheWAS)，人群遗传研究，用于药物发现的AI，相似患者识别，跨药厂合作和/或人群风险管理。例如，该系统可以用于例如GWAS和PheWAS之类的研究应用中，以查看基因组或表型是否与任何变异或性状相关。这可能可以创建对确定趋势和/或帮助治疗或支持各种人群和个体有用的关联。这也可能有助于资源分配和预测研究。该系统可以用于人口研究。收集的数据可能有助于帮助理解许多领域，例如人口动态，生育力和家庭动态，健康，老龄化，死亡率，人力资本和/或劳动力市场。本文提供的系统和方法可以帮助招募罕见疾病研究。数据提供方池可以提供一个有关患有罕见疾病个体的通道，这些在通常情况下无法获得。可以通过给这样的个体提供更大的奖励(例如令牌数量)以激励他们提供数据。在一些情况下，罕见病研究可能由制药公司，研究机构或慈善机构来支持。

在另一个示例中，该系统可以用于制药应用。例如，收集和分析的数据可以用于药物发现和/或精密医学。在某些情况下，可以使用AI来辅助药物发现和/或精确医学。机器学习技术可能能够访问更大体量的所获得的数据并分析信息以用于制药应用。本文提供的系统和方法可以帮助招募患者进行临床研究。该系统和方法可以识别来自特定数据提供方的数据，该数据可以指示该数据提供方将是特定研究的良好候选者。例如，如果数据挖掘方有兴趣尝试药物治疗特定疾病的临床试验，则可以识别患有该疾病特定阶段的数据提供方，并为他们提供参加临床试验的机会。类似地，预防药物可能正在接受临床试验，并且可能会确定有相关疾病风险但尚未被诊断出患有该疾病的数据提供方参与了预防药物试验。具有遗传特征的数据提供方可能会表明他们可能从特定药物中受益最大，可以邀请他们参加临床试验。这也可能使数据提供方受益，因为可能使他们意识到他们能参与到通常情况下他们可能没有机会接触到的试验。

类似的，虚拟临床试验可以有利地采用本文提供的系统和方法。虚拟试验允许患者远程参与临床试验，而无需亲临医学研究机构。例如，测试皮肤治疗的患者可能需要几周内在家进行治疗，并每天对患处拍照。然后，参与者将这些图片通过网络发送给处理设备进行分析。在此虚拟临床试验中，患者就是数据提供方。数据挖掘方可能隶属于管理该试验的医学研究机构，并且可能已为进行治疗的结果发布了智能合约。此后，数据挖掘方可以同令牌补偿数据提供方。

本文提供的系统和方法也有利于跨药厂间的合作。当开发的化合物失效时(例如，它们对人或者其他动物有毒)，制药厂商将面临高昂的成本。为了提高成功率，许多制药公司向药物开发和研究人员，甚至独立公司或者竞争公司共享资源并允许它们测试其化合物以降低失败率。使用公开的系统，数据挖掘方可以作为公司的代表，向竞争公司或独立研究人员索取数据，并使用这些数据来开发更有可能成功的新药(例如，毒性较小的药物)。贡献公司可以选择哪些数据它们希望保留以及哪些数据希望共享。这样的程序可能对许多公司是互惠互利的，因为他们都希望降低失败率，从而降低成本。

公开的系统还可以允许数据提供方在使用他们的基因档案管理自己的共同保险计划。贡献者可以将其计划映射到其遗传档案，并可以通过数字签名进行验证后来安全的查看计划信息。用户或许能够通过管理其健康数据以使其计划更容易配置。保险公司还可以作为数据挖掘方，通过访问贡献者的遗传档案中的数据来向其索要保险或者健康信息。此外，相互保险公司也可以使用安全计算来访问更多个人健康记录，通过它可以更准确地预测不同疾病的风险，以支持共同保险公司的决策。

贡献者也许还可以使用共享健康储蓄账户中数据的收入。例如，贡献者可以将获得的奖励令牌转换成现金，并将现金转移到健康储蓄账户，这样还可避免缴税。为了推动健康储蓄账户的使用，系统可能会为贡献者的数据提供额外的令牌，并规定这些令牌仅在其价值被转移到贡献者的健康储蓄账户时才可使用。

系统还可以用于协助药物遗传学研究人员以研究药物如何影响具有不同代谢途径的患者。研究人员可以从不同人群的药物研究中获得数据，并汇总这些研究结果，以更好地了解药物如何影响具有遗传差异的人。这些研究汇总的数据可以提供给保险公司，保险公司或许会使用这些信息来影响他们向客户收取的保费。

该系统还可用于人口风险管理，利用系统处理大量的数据，研究可以分析大规模人群中的发病模式，以确定如何管理疾病的流行和广泛的不良健康结果。研究人员和医学专家可以合并患者信息，制定成本指标，制定实践指南并跟踪汇总的健康结果。这些实践还可以通过向医疗专业人士，保险提供者和投保人提供更多有关不同条件如何影响不同人群以及正在采取哪些措施来改善健康状况的信息，从而提高定价。

本文提供的系统和方法可以应用于兽医。例如，可以为本文的系统和方法提供宠物或者其他动物的数据，这可能对育种有用。例如，用于濒危动物的繁殖计划，可为濒危动物找到潜在的配偶，为它们的繁殖成功和生寸提供最大的机会。在另一示例中，对于具有期望特征的动物(例如赛马的速度)，该数据可能有助于配对动物，从而使其后代具有期望特征的可能性更高。该数据对于保持动物的健康也可能有用，例如，如果宠物患病，数据可能有助于确定宠物的特定药物，临床实验或改变生活方式的治疗计划。数据还可以帮助制定照顾宠物或者其他动物的个人计划。例如，如果宠物患上癫痫病的风险很高，主人可以提前预知，并为此做好各项准备。

该系统可应用于教育领域。例如，可以通过查看学生贡献者的遗传档案，以确定该学生是否有特殊需求。或许隶属于教育机构的数据挖掘方，可能要求对学生贡献者资料中的数据进行研究，例如，可以明确哪一种特殊教育计划或项目可以对有某一类特殊需求的儿童有最好的效果。通过允许数据挖掘方请求有关健康因素和教育程度的研究，该系统还可以用于确定学生贡献者病史的各个方面是否影响其表现。

该系统可用于婚介或者约会。例如，贡献者可能期望在其遗传档案中列出约会资料。数据挖掘方通过执行查询来查找相似的用户资料集。接着可以使用配对程序将贡献者进行配对。贡献者可以使用智能合约安全地交换信息并传达偏好。

系统可应用于健身和锻炼场景。例如，致力于为贡献者制定训练计划的数据挖掘方可请求有关特定遗传或者医学因素于运动表现相关的研究。这些研究可用于为表现出特定身体特征的贡献者设计个性化的锻炼计划。这些研究还可以根据个人的遗传基因和病史来确定个性化的饮食计划。

该系统可应用于生育计划。例如，准父母们希望知道他们未来的孩子是否有遗传疾病或者状况的风险。数据挖掘方可请求对具有特定遗传基因或医学特征的准父母进行研究，已确定具有的特定特征是否与遗传给儿童有关。这种检测的一个例子是传输不平衡检测(TDT),本文会进一步描述。

该系统可应用于卫生政策。因为数据挖掘方可以获得大量的遗传数据，所以对于系统中数据提供方的特定子群体，挖掘者有可能针对健康状况的发生率进行多种类型的研究。这些信息可提供给决策者，以起草法律纠正影响特定共有特征的特定亚人群的不良健康后果。

该系统可应用于保健品市场的业务或营销。可以基于一项或者多项健康属性对数据提供方群体进行细分。这些细分的群体或许会成为潜在的目标购买者。数据挖掘方可能会请求研究目标广告对这些群体的影响，比如通过对专门的小组进行研究。

系统支持基于不同类型的数据，例如基因组数据，表型数据，临床/EHR数据，行为/纵向数据上使用这些数据挖掘方法。可以任意方式存储和访问此类数据。比如，数据可以存储于私有数据库上(例如，基因组数据数据库，表型数据数据库，临床/EHR数据数据库，行为/纵向数据数据库等)。又比如，可以通过数据提供方或者数据特征(例如，数据提供方的人口统计，于数据提供方相关联的健康状况或特征等)来存储和组织数据，或者组织数据。即使分开存储，数据也和数据提供方相关联。数据提供方的个人资料可以和健康数据分开存储，也可以一起存储。数据提供方的个人资料可以与健康数据关联，也可以不关联。在某些情况下，数据可以用保护数据提供方隐私的方式保存。任何类型的数据源都可用于收集有关数据提供方的信息。例如，基因组研究可以从(比如，23andme的DNA检测服务，祖先，通过医疗机构提供的服务，通过实验室提供的服务等)中获取健康信息的数据源，或包含在健康信息中。又比如，可以利用调查信息。例如，数据提供方可以填写一项或者多项能得出健康信息或者包含在健康信息中的调查。图片可以利用。图片可以由数据提供方自愿提供，数据提供方的医疗服务，或者从第三方收集(例如，公开的第三方，如互联网)。某些情况下，可以提供数据提供方的临床病史。数据提供方可资源录入临床病史，也可以通过其EHR提供临床病史。临床病史可以用于导出健康信息，或者包含在健康信息中。图像(例如医学影像)也可以是健康信息的来源。例如，X光，超声，MRI，CAT扫描，PET扫描或任何其他类型的影像都可用于导出健康信息或者包含在健康信息中。同样，实验室数据也是数据源。例如，血液检测，尿液样本，粪便样本，颊拭子，泪液样本，组织分析或任何类型的生物样本的分析结果可用于导出健康信息或包含在健康信息中。物联网设备也可能是数据的来源。例如，来自穿戴设备的信息(例如，心率，氧气水平，呼吸频率，活动水平，运动，位置变化，图像，声音，触摸阻抗测量等)可以导出健康信息，或者包含在健康信息中。该系统拥有安全应用程序，来自数据挖掘方的奖励以激励不同的研究人员或者机构贡献不同的数据分析应用。

可以使用机器学习算法和统计方法执行数据分析任务。例如，数据提供方可将加密数据包发送到带有安全区的计算节点。数据提供方和计算节点可以使用远程证明来相互认证并交换加密密钥。安全计算节点可聚合来自许多贡献者的数据，以便对大型数据集进行分析。一组贡献者数据可以使用化名或者加密技术来匿名化。匿名患者可以使用独特特征集与其他患者相关。可以分析来自各个司法辖区的许多不同患者。由于可以通过平台获得大量的生物化合物特征，海量数据集可增强使用人工智能的药物开发技术。为了隐私保护，数据分析结果可以通过优化的摄动方法进行保护。

在列出来的应用场景中，安全计算节点对许多不同类型的数据进行分析。数据类型包括基因组数据，表型数据，临床或人力资源数据以及行为或纵向数据。安全计算节点可执行机器学习分析或者统计分析，可支持包括向量机，基于决策树的分析，逻辑回归，隐马尔可夫模型和神经网络，包括但不限于卷积神经网络(CNN) 和递归神经网络(RNN)等不同类型的分析。存储设备节点负责存储数据提供方的数据，并将数据提供给安全计算节点进行分析。密钥管理节点允许数据提供方为了保护隐私，只有在贡献者向利益相关方提供其公钥后才允许访问利益相关方。安全程序将数据挖掘方与挖掘者请求执行分析任务所要求的贡献者的数据进行匹配。

除了进行研究外，贡献者还可以使用系统购买健康保险。贡献者的保单信息可以链接到区块链上。当贡献者接受其保单所涵盖的医疗程序时，会自动触发智能合约并且可以正确地从保险公司给医院付款，这可以减少因必须填写保险理赔表而带来的效率低下和压力。

数据挖掘方可通过本文提供的系统和方法访问或者分析数据。在某些情况下，数据挖掘方可以获得原始数据并对原始数据执行选定的分析。在某些情况下，可以对数据挖掘方获得的数据进行预处理或者提炼，也可以在数据挖掘方获得或者查看信息前进行分析。在某些情况下，本文提供的系统和方法可以合并成一个或者多个可以分析数据的应用程序与之协同工作。在某些情况下，可以提供一个应用程序商店(即‘app store’)，该商店能提供任意数量的能够分析数据提供方提供的数据的应用。在某些情况下，各种应用程序可能会对数据执行不同类型的分析。应用程序可以由第三方开发或者运营，或者由参与本文提供的系统和方法的任意一方开发或者运营。

由于利益相关方之间可以进行远程交互，因此可以开发API接口以便使用该系统的各方可以处理数据。通过构建API接口可以促进两个利益相关方之间的数据交换，例如在数据提供方和数据挖掘方之间，或者数据挖掘方和存储设备节点之间。数据挖掘方或许可以这样，将包含要执行的分析的参数和值以及用于分析的功能作为加密的JSON文件发送到安全节点，可以对安全节点编程以读取该文件并访问内存中的数据。为了使安全计算节点执行数据挖掘方的分析请求，可以进一步对他们编程以解析JSON文件的指令，并为安全计算节点生成一组计算指令，且将指令提供给安全计算节点。API接口可以进一步用于验证用户，例如，要访问其数据，数据验证者或者持有其数据的机构可能会提示用户使用其遗传档案识别码登陆。贡献者可以使用他们的遗传识别码，用类似OAuth协议来创建账号以登陆外部服务，例如医疗提供者或保险提供者拥有的门户网站。安全数据存储节点操作员可以使用 API来监控存储设备的文件系统，就像服务器计算机无需了解服务器底层的文件系统。例如，节点操作员可以使用自定义用户界面，使得搜索，组织和标记文件更加直观。

图4显示了一个系统组件的块状图400。图4包括一个数据提供方410，一个数据收集方420，一个数据验证方430，一个安全数据存储提供方440，一个安全密钥管理提供方450，一个安全运行环境的提供方460，一个安全数据计算提供方 470，一个数据挖掘方480，以及一个智能合约490。在各种实例中，安全数据市场可以具有任何一个或多个上述组件。

数据挖掘方480可以是受益于访问或分析健康信息的实体，例如研究机构，保险机构，临床机构或制药公司，其生物医学研究和开发需要个人基因组数据。数据挖掘方还可以是慈善团体，支持团体，医疗保健服务提供者，雇主，教育机构或媒人。当数据提供方共享高质量数据时，可以激励数据挖掘方补偿数据提供方。在系统框架内，可以通过使用智能合约和区块链技术来进行补偿：数据挖掘方将款项存入合同账户。一旦合同履行，系统便可以将付款分配给所有的服务提供方。付款可以使用令牌，电汇，电子凭证或优惠券或其他电子付款方式。可以使用拍卖的形式来确定对数据提供方的补偿。与此同时，各个数据提供方可以使用他们的智能合约来指定数据项的价格。同时补偿可以通过算法来进行确定，例如，基于共享的数量，共享的数据类型或共享的数据质量来对数据进行定价。在一些案例中，在数据挖掘方能够向贡献者请求数据之前，可能要求它们挖掘特定数量的令牌。

数据挖掘方可能会要求特定研究活动所需的数据。例如，数据挖掘方可以请求有关表达特定基因或具有特定遗传状况的患者的数据。例如，数据挖掘方可以请求对于一个或多个特定等位基因纯合或杂合的贡献者。他们还可能根据医学信息(例如患者是否患有疾病)或基于诸如年龄，身高，体重，性别，静息心率，血压，饮食，运动水平，肤色或种族。数据挖掘方可以请求相关特征的任意组合，无论它们是遗传特征，健康特征，适应性特征，人口统计学，个人信息还是任何其他特征。在某些情况下，数据挖掘方可以对一个或多个特征的偏好进行排序。数据挖掘方可以从数据提供方那里请求满足所有特征或满足权限控制数量的特征类型的数据。在某些情况下，特性可以被加权或被优选。某些特性可能被认为是必要的，而其他特性可能仅被认为是优选的。他们可以通过指定智能合约标准来请求数据。然后，系统进行匹配来找到符合数据挖掘方标准的数据提供方数据。数据挖掘方可以使用得到的数据来进行许多不同类型的数据分析。数据挖掘方可能会要求对检索到的数据进行机器学习或统计分析。例如，数据挖掘方可能希望预测表达特定基因的人群中特定类型疾病在未来出现的概率。数据挖掘方可能能够使用Web门户内的用户界面选择一种或多种类型的机器学习分析。这里面可能包括使用神经网络或逻辑回归的二进制分类任务。当选择分析类型时，用户界面可以警告数据挖掘方安全计算节点正在处于被使用状态。当结果可用时，用户界面可以通知数据挖掘方。数据挖掘方还可能能够使用用户界面来发放令牌，以便为安全计算节点执行分析以及提供数据的贡献者提供奖励。在某些情况下，可以显示或提供结果，而无需考虑指定标准的顺序或匹配情况。在某些情况下，可以基于数据与标准或标准组合的匹配程度对结果进行排序或提供顺序。数据挖掘方可以指定所需的匹配数。例如，数据挖掘方可能只需要大约500个结果即可进行所需的研究。数据挖掘方可以指定结果数量，并接收与所需结果数匹配或接近的结果池。同时，数据挖掘方也可以不指定结果的数量，仅使用返回的相应数据量。在某些情况下，数据挖掘方可以为特定数据指定一个支付价格。这个价格可以基于每单位数据或是一组数据的总价。例如，数据挖掘方可以指定，为符合期望标准的500个数据支付总计X单位的货币。在另一个示例中，数据挖掘方可以指定，为满足期望标准的每个数据提供方支付Y单位的货币。在某些情况下，可以为数据挖掘方展示推荐定价。例如，如果数据挖掘方希望获得满足特定条件的1000个数据提供方的集合，则系统可能需要获得至少1000个匹配，该数据挖掘方必须设置一个价格点或价格范围，否则结果可能不足。如果数据挖掘方试图获得具有特别罕见的特征的100个数据提供方的集合，则由于该特征非常稀少，每个贡献者的价格最终可能会更高。系统可以向数据挖掘方推荐相应价格点位或价格范围来获得足够数量的符合要求的数据。

数据提供方410可以是个人，或是愿意共享基因组数据的组织，例如生物银行或公司。数据提供方将接受智能合约分发令牌的形式作为对数据的补偿。那些自愿参加的人可以选择将收到的令牌转交给任何慈善机构。数据收集方是已经注册的合作伙伴，他们从数据提供方那里收集数据。数据收集方可以是医院，研究机构或卫生(基因组测序)提供商。

数据提供方410可以贡献基因组数据和健康数据。健康数据可能包括自我报告的健康数据，例如饮食和运动水平。其中还可能包括心率，血压，身高，体重，BMI，血型，肤色，眼睛颜色和头发颜色等。基因组数据可能包括DNA样本。数据提供方410还可以使用该系统来共享自己的遗传历史，包括家族疾病史。

数据提供方可以设定共享数据的价格。例如，如果数据提供方提供的基因表达不常见或具有罕见的遗传条件，那么他们可能会选择向数据挖掘方收取更多的数据费用。数据提供方可以使用用户界面设置价格。这些价格可能会列在数据提供方的智能合约中。例如，可以基于平台上之前相关研究的市场驱动价值来设置每条记录的价格。来自数据提供方的数据，包括个人数据和身份数据，可以以明文形式存储。

在某些地区，法律可能会规定如何进行数据共享。例如，数据提供方可以选择不出售其数据。在这种情况下，数据提供方提供其数据所得到的补偿可能会较少。

数据验证方430执行质量控制并验证从数据提供方收集的数据的真实性。检查数据质量后，数据验证方对证书进行数字签名以批准数据的使用。数据验证可以由一个或多个经过认证的组织执行，这些组织可以在地区，国家或国际范围内开展业务。

数据验证可以通过以下方式执行。监管链程序可确保在过程中的任何时候样本都不会被篡改。中立的第三方可能会收集DNA样本。收集样本时可以确认被测方。其中可能包括验证ID以及对个人进行拍照和指纹打印。样品可能被密封并在收集地点安全地包装。当样品到达测试实验室时，将仔细检查样品是否被篡改。可能需要DNA检测实验室将样品收集试剂盒和明确的收集说明发送给美国驻美国大使馆或经大使馆批准的专家小组医师。同时可以进行额外的质量控制步骤来验证EHR数据。例如，可以将要验证的数据集中的疾病患病率与人群基线进行比较，来识别数据的潜在质量问题。

安全数据存储提供方440可以是实体或个人，可以提供分布式(例如，基于OpenStack的SWIFT)或分散式(例如，IPFS或Swarm)的数据存储基础结构，来保护加密的生物医学数据，同时可以根据要求，提供可靠和可扩展的访问数据的途径。

安全计算提供方450是提供安全且高性能的生物医学数据分析和计算服务的计算机节点。安全计算技术可以基于安全硬件和应用的密码学。安全计算提供方 450可以提供用于基因组和医学数据的存储位置。安全计算提供方还可以提供执行数据分析的软件包，例如Python数据分析库。为了执行计算密集型机器学习任务，安全计算提供方可以使用图形处理单元(GPU)。

安全密钥管理提供方450可以处理安全健康管理系统中的密钥的密钥生成，交换，存储，提供，替换和撤销等环节。安全密钥管理提供方可以管理数据提供方在存储设备节点上对基础敏感基因组数据的访问，并帮助安全计算提供方对存放在安全数据存储上的生物医学数据执行安全计算，而不需要每个数据提供方与安全计算提供方之间进行交互(在数据提供方同意的情况下)。安全密钥管理提供方协助数据提供方和数据挖掘方创建并控制其加密密钥，用来分别加密其基因组数据和查询以及分析结果。

本系统兼容不同的对称密匙和非对称密匙加密算法，包括AES,ECDH以及 ECDSA.

安全实时软件提供商460为数据挖掘方开发可以在安全计算提供商的服务上运行的安全实时软件，安全实时软件也可以安装到安全数据存储介质上。这些应用程序包括智能数据分析和直接面向消费者的应用程序，包括深度学习，回归模型，关联性流水线测试，基因组序列流水线分和疾病风险分析应用程序。通过使用软件扩展程序(SGX)技术，安全实时软件可以被用来进行安全数据分析。当数据挖掘方在研究中使用某个应用程序时，可以触发实时应用程序提供商创建的智能合约，以确保将某些奖励作为激励提供给应用程序提供商。

智能合约490使用区块链技术将所涉及的各方连接在一起，从而能够确保数据的个人所有权，同时激励各方为系统做出贡献。智能合约作为一个或多个计算节点任务恢复的一部分，是由结果的哈希值生成的。智能合约由区块链挖掘者执行，挖掘者具有与区块链相关的基本角色。通过限制链下参与者之间的信息交换来实现隐私保护。这减少了需要在主链上生成和评估的交易量，而是仅保留初始和最终交易来建立信任根。本系统采用链下安全计算框架，可对敏感数据进行高效安全的计算。

图5展示说明了系统的数据流500。在第一步中，数据提供方(例如，个人或机构)联系数据收集者510(例如，测序服务或医疗保健服务提供者)以获得其生物医学数据(例如，测序或EHR数据)。数据提供方可以将一个或多个生物样本提供给数据收集者。数据提供方可以通过邮件或包裹递送服务提供生物样品，或者可以亲自提供生物样品。数据提供方可以在诸如诊所，医院或实验室等医疗保健服务机构提供生物样本。数据收集者可以接收样本并使用该样本执行一个或多个测试。例如，数据收集者可以对数据提供方的样本进行测序，以获得基因组数据或表型数据。数据收集器可以对数据提供方的样本执行任何类型的测试或分析，以获得数据提供方与健康相关的任何类型的信息。数据提供方可能会或可能不会向数据收集者提供任何其他类型的信息，例如临床病史，生活方式信息或个人信息。确定数据提供方的健康信息时，数据收集者可能会考虑也可能不会考虑其他附加信息。

数据提供方可以通过使用例如安全电子邮件的方式与数据收集者进行通信或通过安全文件传输过程(例如SFTP)来检索其数据。数据文件也可以通过SSH安全协议或其他安全隧道协议发送。数据提供方的数据可以在基于云的系统上访问，以供数据提供方查看和/或访问。

生物医学数据可以被发送给数据验证者来验证数据的真实性以及唯一签名，并颁发由其私钥签名的证书。数据验证者可以是一个证书颁发机构(CA)或者可以使用其他一个或多个证书颁发机构。颁发证书有助于防止中间人攻击的发生，使攻击者更难以破坏贡献者的私人数据。例如，拦截贡献者数据的攻击者将不能颁发由数据验证者颁发的同一证书。因此，系统中的其他利益相关方在接收到数据后，将被告知以下事实：该数据已被中间人攻击所破坏。数据验证者的公共密钥对应的私有密钥可以由安全密钥管理提供者存储。数据挖掘方和安全计算节点可以使用此公共密钥来验证数据验证者的数字签名。为了将私钥发布给安全密钥管理提供者，数据验证者可以使用上述条目所提及的安全数据传输协议之一。

在获得被验证的生物医学数据之后，数据提供方加密其生物医学数据并和用其私钥生成的签名一起打包520，其私钥可以通过安全通道提供给安全密钥管理提供者。安全通道可以使用Diffie-Hellman密钥交换来实现。为了将数据贡献给系统，数据提供方可以首先将加密的数据存储在安全数据存储设备中。生成哈希值作为数据标识符，该哈希值可以被安全计算节点在进行数据分析时用来检索特定数据。可以使用基因身份生成哈希值，例如通过使用短串联重复序列(STR)分析来产生哈希值。基因身份对于创建假名很有用，因为它对个人而言是唯一的，并且不容易被复制或伪造。其他可用于创建哈希值的基因标识符包括DNA测序方法，例如限制性片段长度多态性(RFLP)分析，聚合酶链反应(PCR)分析，扩增片段长度多态性(AmpFLP)，DNA家族关系分析，Y染色体分析，线粒体分析和MiniSTR分析。

在数据提供方成功提供加密数据以及相应的密钥和数据哈希值之后，他们可以在区块链上创建和管理其资料文件。这个过程可以通过将智能合约530附加到分布式账本来实现。如果数据提供方想要共享其生物医学数据，可以生成数据描述智能合约，将共享状态指定为“开放”，设置其数据共享权限，并将数字签名，公钥和数据标识符添加到合约中。此外，数据描述智能合约可以针对不同类型的贡献者数据(包括医疗数据，保险数据和基因组数据)设置单独的共享权限。数据描述智能合约可以指定特定的数据共享实体并限制其他实体对数据的访问。例如，数据提供方可能希望与医院共享数据，但不希望与研究实验室或医疗诊所共享数据。此外，数据描述智能合约可以指定共享数据的有效时间和日期窗口。在此时间或日期窗口之外限制对数据访问。每当数据提供方打算提取其数据时，他们只需通过发布另一个数据描述智能合约将其共享状态更新为“已关闭”即可。数据提供方可以多次切换其状态，但是每次都可能被收取与底层区块链操作相关的一笔交易费，这样可以减少数据提供方不必要的共享状态更改。数据提供方还可以通过发布新的智能合约来编辑共享资料文件信息或者共享偏好。

数据提供方资料包含数据提供方愿意共享的信息。此信息可能包括保险单信息，例如投保人的保单号，组号，承保范围和付款信息。贡献者资料可能包含关于医疗状况，服用或开出的药物类型，医疗史以及家庭医疗史的信息。贡献者资料可能包括基因组信息，例如DNA序列信息，遗传疾病或病症风险，线粒体单倍群和遗传性状评估。

数据挖掘方生成智能合约540，通过系统招募特定人员(具有“开放”状态) 以进行特定类型的分析。这些智能合约是请求合约。数据挖掘方可以定义加密匹配条件(为了数据挖掘方的隐私/安全保护)，例如，包含(或不包含)特定突变或表达特定基因的贡献者个人基因组，表现出特定临床症状的贡献者，具有特定健康保险计划的贡献者，具有特定疾病的家族病史的贡献者以及父母具有等位基因特定组合的贡献者。数据挖掘方可以在请求合同中指定特定数量的匹配项。为了使数据挖掘方能够接收与其查询相对应的数据，安全实时应用程序提供商为数据挖掘方准备了一个安全匹配应用程序，并通过区块链上的智能合约对其进行了注册550。该安全应用程序可以包括一个或多个功能，用于将数据挖掘方的请求与来自数据提供方的，与挖掘者的请求相对应的数据进行匹配。例如，安全应用程序可能具有从数据挖掘方的智能合约中提取匹配条件的功能。为了确保数据在传输时保持其完整性和有效性，安全应用程序可以具有附加功能，该功能使用嵌入式私钥对提取的匹配条件进行数字签名。安全应用程序还可具有将匹配候选者列表返回给数据挖掘方的功能。数据挖掘方可以指定奖励(通过请求合同)作为对系统中涉及的各方的激励。奖励可以包括特定数量的激励令牌或某种特定的具有现金价值的支付。额外的激励令牌可以作为奖励颁发给安全计算节点，以激励其更有效地执行计算任务。安全计算节点可以定期监视区块链。一旦有新的请求合约成功部署在区块链上(该区块链存在有效激励令牌)，他们便可以获取该合同并在安全环境中执行指定的计算任务560。

当数据与各个利益相关方交互时，安全计算节点可以在多个阶段使用一种或多种加密技术来提供数据安全性。例如，当向安全计算节点传输数据以进行分析时，贡献者可以使用一种或多种加密方案。数据挖掘方可以发出加密请求到保护数据存储节点来请求进行特定类型的数据分析。然后，存储设备节点可以依次将加密的请求发送到安全数据计算节点，并向节点提供数据以进行安全分析。安全数据计算节点可以将加密结果返回到存储节点，存储节点将结果返回到数据挖掘方。加密技术可以使用基于AES的对称加密方案或基于同态加密(HE)的非对称加密方案，包括特定同态加密(Somewhat HE)和完全同态加密(Fully HE)。为了安全地执行计算任务，可以采用同态加密(HE)，安全多方计算(SMC)和/或者受信任的执行环境(TEE)等技术。HE允许在加密数据上计算分析任务，而无需在执行计算之前解密数据。例如，HE可用于通过对x和y进行加密并找到乘积E(x)*E(y)来计算 x*y。如果选择加密方案，使得E(x)*E(y)＝E(x*y)，则加密的乘积E(x*y)可以在计算之后被解密以形成乘积x*y。HE可以使用许多类型的加密方案或密码系统，包括RSA，ElGamal，Goldwasser-Micali，Benaloh，FV，BGV和 Paillier。安全多方计算(MPC)是一种交互式协议，用于计算多方之间的某些功能(以电路表示)。根据电路类型的不同，有两种实现MPC的主要方法。乱码电路 (garbled circuit)对于布尔电路是有效的，而秘密共享(secretsharing)对算术电路则很有用。只要没有合谋，MPC协议理论上就是安全的，并不依赖于计算假设。数据是被秘密共享的而不是加密的。在所有服务器不相互勾结的情况下，每个服务器上的共享秘密都不会泄露秘密信息。可信执行环境(TEE)可以高效而安全地分析敏感数据，应为其在硬件内提供了隔离的内存和计算空间(例如安全区 enclave)。TEE使开发人员能够在应用程序地址空间内创建隔离的内存区域(称为安全区)。安全区内存使用强大的加密算法进行加密，并且仅在将数据加载到 CPU高速缓存和寄存器中时才解密。初始化安全区后，安全区的初始代码和数据将保存在加密的内存中，称为安全区页面缓存或EPC。然后，远程方可以通过称为远程证明的过程比较安全区的测量值来验证安全区的身份。通过远程证明，敏感数据的所有者可以获得对在安全区内运行的代码的信任，因此可以使安全区解密远程服务器(例如云)上的加密数据，从而确保仅在受信任的安全区域内对数据执行预期的计算(不将数据的明文内容暴露给操作系统，甚至不暴露给服务器的所有者)。

可以使用差分隐私(differential privacy)来维护个人数据隐私。差分隐私涉及向数据集添加噪声，因此攻击者无法在收集的数据中推断相关的特定信息。例如，如果一项研究试图确定肝癌和肝硬化之间的相关性，并且攻击者拥有研究中除一名参与者外的所有参与者的背景信息，我们可以在数据中添加噪音以确保攻击者无法推断其余参与者是否患有肝硬化。

此外，数据挖掘方能够通过在先前步骤中安全查询的数据设置额外的请求合约来发布新的数据分析任务570。安全计算可以使用动态会话密钥来实现。会话密钥可以使用受信任的执行环境(TEE)生成，该受信任的执行环境会限制对许多计算过程的访问，从而降低了密钥泄露的风险。各个利益相关方可以使用动态会话密钥来分发私钥，从而允许系统内的各个组件解密请求和传输的数据。另外，系统各个利益相关方使用的加密密钥可以层次化存储。层次化存储可以将不同类型的键分配给不同类型的数据。因此，在密钥遭到破坏的情况下，攻击者仍然不能使用泄露的加密密匙去解密其收集的泄露的数据。

一旦安全计算完成，就可以将加密的结果发送回相应的数据挖掘方，并且可以通过结果合同将结果的哈希值记录在区块链上580。然后请求合同会被触发，将奖励分配给贡献者，并将交易记录到区块链上。

图6描述了系统激励令牌的一种流程600。激励令牌可以是一种安全令牌，其防护措施可以避免安全令牌在用户之间的轻易转移或者被盗。这些令牌可以兑换成现金。令牌可以具有与特定货币绑定的固定价值，或者其价值随公开市场而波动。可以向不同的利益相关方发行不同的令牌。例如，投资者，研究人员和贡献者可能各自收到具有不同功能的不同类型的令牌。系统利益相关方可以使用令牌本身作为付款，而不是将令牌转换为金钱。令牌还可用于购买健康保险。

可以使用特定的方式，比如特定的数据价值，来补偿数据提供方。举例来说，具有罕见医学或遗传状况的数据提供方提供其基因组或医学史而得到更多补偿。在某些情况下，多个数据提供方可以为数据挖掘方执行的分析任务提供数据。与提供较少数据的数据提供方相比，提供更多数据或质量更好的数据的数据提供方可以会获得更多的令牌补偿。当数据提供方的数据被用于更多的分析研究时，他们也可能获得更多的回报。例如，为五个不同研究贡献数据的数据提供方可能比仅为三个研究贡献数据的数据提供方获得更多的报酬。

令牌奖励可能会随着数据价值的变化而波动。例如，从数据提供方那里收集更多数据时，它可能适用于多种类型的研究。因为额外的数据适用于更多的应用程序，所以它也具有更多的价值。另外，当更多数据被收集的时候，从贡献者收集的特定数据会被不断增长。例如，有关贡献者的生命统计，饮食，锻炼方式和其他随时间变化的时间序列数据可以被定期收集。这些数据可以被用于基于时间周期数据的分析，例如用于评估贡献者是否罹患疾病或表现出医疗事件症状(例如心脏病发作或中风)的概率。因此，扩充后的数据可为特定类型的分析提供更好的信息，从而增加其价值。因此，当数据提供方保持与系统市场的联系时，他们可以获得大量的令牌。作为交换，数据挖掘方可以不断并可靠地检索新数据以进行分析，并且可以在系统实施之前的不可用的时间范围内进行研究。

首先，数据挖掘方可以发起610，向存储设备节点发起一个涉及至少一个数据提供方相关联的健康信息的安全分析请求。该请求可以包含所需信息的类型，例如基因组序列数据，有关遗传状况的数据，家族病史或与健康相关的统计数据。数据挖掘方将请求的哈希值放入公共账本中的智能合约中620。为了使他或她的请求被安全计算节点接受，数据挖掘方可以在该智能合约中抵押多个令牌。抵押的令牌数量可能取决于数据挖掘方提出的请求类型。例如，当请求更多数据时，数据挖掘方不得不抵押大量令牌。数据挖掘方可以使用真实货币从市场购买令牌。相比之下，区块链矿工可以通过挖掘不同交易的区块获得令牌。其次，安全计算节点通过竞争 630来获取研究分析的请求。价格匹配(拍卖)机制可用于实时确定安全计算资源的一个或多个市场价值。如果需要其他计算资源来执行被请求的分析，则一个或多个计算节点可以各自协同共享一部分计算任务并安全地进行结果汇总。在计算完成之后，结果的哈希值被记录在区块链上640。这触发了第一个智能合约，使得数据挖掘方能够将激励令牌的抵押数量提供给令牌池。令牌池遵循一个或多个规则，用来确定将令牌分配给系统中的各个利益相关方。例如，与数据提供方相比，提供数据的医院可能会收到更多的令牌，而数据提供方可能会收到较少的令牌，因为他或她没有直接将数据提供给数据挖掘方。这些令牌会被被分发给利益相关方，包括安全计算节点，分布式存储节点和其他系统组件。为了保护数据提供方的数字身份 (例如，数字钱包地址)，令牌可能不会立即发放给他们，以避免被创建特定数据挖掘方和数据提供方之间的关联。取而代之的是，可以按计划(例如，每周，每两周，每季度，每月或每年)将令牌发放给贡献者。安全计算节点的管理员可以使用获得的激励令牌来增加，更新或替换计算基础结构设施，从而使安全计算节点在竞标执行数据挖掘方的分析任务时能够更有竞争力。或者，安全计算节点的管理员可以在市场上转售令牌以获取真实货币。一个安全的激励令牌可以通过一个唯一的公钥地址来识别，其中只有数据挖掘方指定接收令牌的数据提供方才可以访问相应的私钥。当数据挖掘方向指定的数据提供方颁发奖励令牌时，可以使用目标收件人的公钥对令牌进行加密。紧接着，数据提供方，数据验证者和相关的基础设施利益相关方(例如，诸如能够提供测序能力的提供商，EHR提供商之类的数据收集者)从系统接收令牌660。令牌的数量是基于价格匹配(拍卖)来计算的，体现了数据的公允价值。

图7和8展示了分布式计算的方法。图7展示了去中心化的的安全计算。在去中心化的安全计算中，研究分析是在没有可信第三方的情况下进行的。数据在不同的节点之间分配，一起执行计算任务，而不会将信息泄漏到其他节点。需要特别指出的是，没有任何一方可以访问整个数据。相反，每个参与方都有一块毫无意义 (即看似随机的)的数据。图8展示了联合/外包安全计算。在联盟数据分析中，每台计算机都使用本地方法对其数据执行本地分析。然后，对数据进行加密并在中央节点进行汇总(外包计算)，该中央节点将执行整体的汇总分析。联盟数据分析方法尝试学习训练全局统计模型，而不会从各个参与方公开患者级别的数据。

图9在宏观上展示了基于保护隐私的遗传测试安全计算方法910。使用此方法时，信息的查询，存储和结果发送均被加密保护。这种隐私保护方法可以通过使用

软件保护扩展(SGX)来实现。

图9举例展示了一个查询数据所有者数据的请求920。在这个例子中。该查询包括4个部分，每个部分都确定了一个匹配条件。在此示例中，查询请求将匹配在数据记录中满足以下条件的所有记录：CHROM＝20，POS＝17330或14370，REF ＝“T”或“G”和ALT＝“A”。该查询的结果将计算匹配记录的数量(在此示例中为2)。此查询等效于以下结构化查询语言(SQL)查询：SELECT count(*) FROM sample.vcf WHERE CHROM＝2AND(POS＝17330or14370)AND(REF＝‘T’or‘G’)AND ALT＝‘A’。

图9说明了一个SGX框架的概述930。一个基于SGX的应用程序由数据所有者，不受信任的云服务提供商(CSP)和安全区域(enclave)组成。首先，数据所有者通过远程认证过程与不受信任的CSP托管的安全区建立安全通道。然后，数据所有者可以安全地将数据上传到CSP(数据发放)。在SGX中，所有解密的机密都只能由位于安全区内的授权代码访问。基于硬件支持的访问控制代理保证了代码和数据不能被安全区域外部安装的软件访问或修改。

图10展示使用图9的SGX框架的一种实施方案(基因组数据安全测试) 1000。如图10所示，数据拥有者拥有变体识别格式(VCF)的私有基因组数据库。首先执行1010预处理，以减少测试期间不必要的性能开销。在预处理之后，数据所有者对数据进行哈希值处理1020以进一步提高效率。接下来，数据所有者和 CSP执行1030远程认证，以相互认证并确保数据完整性。接下来，数据所有者与云服务提供商内的安全区域协商会话密钥。然后，数据所有者加密1040基因组数据并将其上传到云服务提供商。数据可以被密封1050以用于长期存储。在接收到数据之后，CSP可以响应来自数据所有者的查询。在发送查询之前，数据所有者再次远程验证位于CSP内的安全区。然后，它发送加密的查询1060，例如请求染色体编号，位置，参考地址和替代等位基因等。当GSP接收到查询时，安全区将数据解封并使用哈希值函数以执行1070查询。然后，安全区加密与数据所有者的查询匹配的多个匹配项，然后将匹配项发送回数据所有者1080。

图11展示了基于SGX框架的基因组安全测试方法的评估1100。在此示例中，使用了10,000个单核苷酸多态性(SNP)和100,000个SNPs.SNP是最常见的遗传变异类型之一。如图所示，使用SGX框架的方法比使用全态加密(HME)的方法快120倍。

图12展示了联盟数据分析的应用举例1200。三个不同的机构，对本地数据分别执行算法以获得中间结果。然后他们将这些结果加密并发送到不受信任的全局计算节点。全局节点对汇总的本地数据执行分析计算，并加密其分析结果。最终结果为加密的全局模型。

图13和14展示了两种基于联盟数据分析的数据分割方法。这些方法允许以安全的方式执行分析，从而保护各个机构的数据隐私。这些方法支持不同类型的数据分析，包括逻辑回归和支持向量机。

图13展示了水平分割的数据1300。水平分割的数据具有不同的样本，每个样本具有相同的一组特征。如图13所示，两个机构为不同患者提供了不同的本地数据集，但每个机构都收集了来自每个患者的相同特征。举例来说，基于这种方式分割的数据，适用于通过来自不同医院不同患者的数据增加整体样本数量来联合研究某种特定疗法的效果。

图14展示了垂直分割数据的方法400。垂直分割的数据共享一组样本，但是每组数据都具有不同特征。这样的设置可以使医院执行协作分析，即使每个医院可能维护相同患者的不同的信息。

图15和16展示了基于水平分割数据的一种联合逻辑回归分析的示例。逻辑回归一般被用于执行二进制分类。例如，逻辑回归可以通过分析一组患者的特征进行对疾病风险的预测来辅助治疗决策。为了在水平分割的数据上计算联合逻辑回归，我们将所有机构中的患者数据以行的行式连接起来用于创建一个虚拟矩阵，各个患者的每一个特征代表着每一列。为了增强安全性，将使用每个机构内的特征进行点积。在每个机构中计算这些值的点积可保护患者的个人隐私，换而言之，我们共享了汇总的统计信息而不是患者级别的信息。更进一步，可以在统计信息之上应用加密技术，未经授权的用户将无法通过进行逆向工程以找到基础特征取值。图15展示了该虚拟矩阵1500。图16展示了用于最大化对数似然函数的方法1600，该方法用于通过估计素数参数β来训练对数回归。在此表达式中，β与在患者特征的取值上训练的逻辑回归的模型参数相关。

图17和18展示了基于垂直分割数据的一种联合逻辑回归算法。图16中使用的用于最大化对数似然函数的方法不能用于垂直分割的数据，因此对数似然函数应该使用对偶参数α进行优化。因此，对偶参数α(而非β)确定了特征与分类输出之间的关系。

图19给出了对偶和原始对数似然函数的示意图1900。如图所示，素数函数的最大值等于对偶函数的最小值。这表明两种数据分割方法都可以进行准确的逻辑回归运算。

图20展示了图17和18展示的对数逻辑回归的一种基于本地隔离统计数据的分解。图20还展示了使用牛顿-拉夫森方法来计算对数逻辑回归的方法。另外，通过避免每次迭代中耗时的矩阵求逆运算，固定的Hessian矩阵的使用可降低算法 (用于计算回归)的复杂性。

图21示出了用于训练图15、16、17、18和20种的回归模型的平均计算时间。图21包括了同时使用GPU和CPU，基于垂直和水平分割数据，并使用迭代或固定Hessian矩阵的联合逻辑回归的时间消耗。

图22展示了传输不平衡测试(TDT)2200。TDT 2200确定了包括父母双方和一个受遗传状况影响的孩子的家庭中的遗传关联性。遗传关联性是一种在同一染色体上相邻的两个基因会被一起遗传的趋势。图22展示了包括纯合基因父母(11和 22)和杂合基因父母(12)的旁氏表2250。需要特别指出的是，那些杂合基因父母未向其受影响的孩子遗传1或遗传2的数据的频率值被用于计算卡方统计量 2280。如果在遗传中没有遗传关联性，则可以预期1或2被遗传给孩子的可能性是一样的。但是，如果卡方统计量足够大，则表明遗传给儿童的等位基因并不独立于未遗传的等位基因，也就是说，特定类型的等位基因是具有关联性的。

图23-26展示了一种利用来自多个源的联合数据来计算TDT测试的系统 2300。这对于获得稀有疾病的基因组数据很有用，这些分散数据可能分布在各大洲。在图23-26的实例中，TDT测试分别使用了来自美国，英国和新加坡三个机构的患有川崎病(KD)儿童的数据。该测使用了许多不同类型的SNP。与疾病遗传最密切相关的SNP被测序确定并发送给了每个参与机构。

图23-26所示的系统2300可以利用SGX来执行安全的数据分析。各个机构的服务器和具有安全区域的服务器可以执行远程认证以相互认证。然后就可以将数据以诸如PLINK的文件格式从各个机构导出到安全区域。在安全区域内对所有数据执行TDT测试，并将加密结果发送回各个机构。

图27示出了用于图26和图26的测试系统的架构2700。23-26。该架构支持敏感基因组数据的安全传输和分析，以及不会破坏和控制个人身份数据(隐私)或者泄露中间结果(机密)的联合分析，无论这种行为是故意的还是偶然的。该系统具有可扩展性，易于扩展，并支持新功能/新任务的插件模块。这些模块包括各种分析算法，数据管理工具和压缩方法。系统为这些模块提供基础类，并定义通用的应用程序编程接口(API)。因此，当基于这些API实现新模块时，它们可以轻松集成到系统中。客户端的数据管理模块可以识别输入文件中的标准PLINK格式，并且可以将输入数据解析到内存中，以便压缩模块或加密模块可以相应地处理解析的数据。压缩模块提供了到客户端站点(数据所有者)的接口，使用范围编码将压缩的数据传输到服务提供商，该服务提供者在安全区内运行静态解压缩库(由于范围编码算法是轻量级的，因此可以在安全区内实现)。当服务器上的安全区域从所有客户端站点接收到加密的数据时，它可以在安全区域内解密数据(此步骤对于服务提供商处的系统是不可见的)。然后，依照数据所有者的要求，就可以安全地执行 TDT算法。

图28展示了图23-26的系统的实验性能测试2800。图28展示了三种方法，基于两站点设置，使用不同输入大小，的安全计算所花费的总时间(红线图)和数据的传输量(条形图)。该系统的性能可与明文(非加密)系统相媲美，并且比基于HME(同态加密)的系统要快得多。

图29展示了使用安全区域来执行安全识别变体的方法2900。图29展示了使用混合安全计算框架的性能评估，该混合安全计算框架结合了可信执行环境 (TEE)系统和同态计算系统。

图29所示的方法可以在确保数据的安全性和私密性的前提下执行分析计算。这可以通过在安全区域内执行安全计算来实现，例如Intel(R)软件保护扩展 (SGX)。变体识别(VC)从序列数据中识别变体。在变异识别中，整个基因组被进行测序并对齐。这些被测序和对齐的基因组会与参考基因组进行比较。变体可以在测序的基因组与参考基因组不同的地方被找到，然后被记录为变体识别格式 (VCF)。VC从定义上可能很苛刻。外包VC计算可能有益于大规模数据分析，但是将计算外包时很难保护隐私。图29描述了被配置为外包VC计算时保护隐私的安全架构。

该安全体系结构包括三个组件：云服务提供商(CSP)，数据所有者和次级服务提供商。云服务器可能是可以提供弹性计算功能的不受信任的实体。数据所有者寻求将计算外包给CSP。

图29示出了用于将计算安全地外包给CSP的过程。首先，CSP上的安全VC服务器和数据所有者的客户端设备执行远程证明。这样，双方就可以证明彼此的身份并安全地协商加密密钥。该安全体系结构可以使用AES Galois计数器模式(AES- GCM)加密。接下来就可以将私有基因组数据安全地提供到CSP上，并在受保护的存储区域中将其密封在SGX安全区之外。接下来，数据所有者可以将加密的命令行请求发送到在CSP上运行的SGX安全区。然后，安全区可以通过加载和解封私有基因组数据来处理命令行请求。由于数据仍位于保护区内，因此对于CPU上其他位置运行的进程而言，这些数据是不可见的，并且可以免受攻击或破坏。解封基因组数据后，安全区执行变体识别任务，并使用加密的VCF文件将加密结果返回给数据所有者。使用加密密钥，数据所有者可以解密得到结果。

图29展示了表格2950，这个表格显示了运行安全识别变体功能时的实时性能数据。与明文评估“BCFTools”相比，该表格展示出安全识别变体方法增加了 10-15％的计算开销。因此，安全识别变体方法是有效的，因为使用其他方法进行加密可能会增加更多的开销。

图30展示了在大量数据集合上执行完全同态加密(FHE)进行数据分析的方法3000。所示方法允许将数据从数据所有者外包给云服务提供商，云服务提供商有足够的资源来处理，存储和分析海量数据集。FHE允许对加密数据执行任何计算，并将加密结果返回给数据所有者。

FHE方案可以对无限数量的加法和乘法运算进行安全计算。在执行计算时，许多HE方案都会在密文中增加噪声。经过多次迭代后，密文变得过于嘈杂，无法进一步执行计算，因此需要从密文中消除累积的噪声。此过程称为自举。可以使用安全区域(例如英特尔SGX安全区域)执行HE。这种方法被称作受信任的执行环境辅助的FHE(TEEFHE)。尽管在这样的环境中执行这些计算可以防止很多攻击，但是这些计算可能容易受到旁信道攻击。在边信道攻击中，操作系统级别的对手可能会执行允许对手推断用户数据内容的操作，例如诱发页面错误和监视缓存。

图30展示的方法使用了基于安全区的TEE以便对要计算的密文执行自举计算，同时维护数据所有者的隐私。该方法包括将数据外包给云服务提供商的用户 (例如数据挖掘方)。各个同态计算(HC)节点执行安全计算，而自举节点则从加密的密文中删除噪声。

首先，用户通过远程认证来验证云的配置，并与自举节点建立共享密钥。然后，用户通过已建立的秘密通道将其加密参数以及秘密和公共密钥提供给自举节点。然后，可以将同态秘密密钥加密的用户数据发送到HC节点以执行同态计算。如果计算需要来自多个用户的私有数据，则每个用户可以将使用其自己的密钥加密的数据发送到HC节点。当同态计算中需要自举时，可以将当前的中间密文从HC节点发送到自举节点。在安全区域内运行的自举节点首先解密密文，然后使用密钥将其重新加密，然后将刷新后的密文发送回HC节点。该基于TEE的自举步骤可消除密文中的噪声，从而使HC节点能够进行进一步的同态计算。

图30展示了表格3050，该表格显示了对于各种操作，以微秒为单位，使用不同的参数n(同态加密的通用参数，对密文加密特性有影响)的实时数据。该表格表明了图30所示方法(使用SGX enclave自举程序)的运行速度比使用基于软件的自举程序的方法快几个数量级。

图31和32展示了一种使用混合安全计算框架来安全地对基因组数据执行计数查询的框架。对基因型的查询计数是生物医学研究中许多下游应用程序的基本功能 (例如，计算等位基因频率，计算卡方统计)。

图31展示了框架及其组件的概况3100。验证服务提供商(ASP)是一个受信任的实体，可以对(1)数据所有者进行验证，以将其敏感和私有数据安全地外包给公有云；(2)被授权的研究人员发起数据分析查询并安全地接收最终结果和 (3)在不受信任的云服务提供商托管的启用SGX的硬件上运行的安全区域。云服务提供商(CSP)是可以与所有其他实体进行通信的不受信任的实体。它提供了来自数据所有者的加密基因组数据的安全外包存储。基于使用HME和SGX的混合策略，CSP针对来自数据所有者的加密数据安全地评估来自被授权研究人员的加密查询，以获得最终的加密结果。被授权的研究人员是指已被ASP授予执行查询(即，基因组数据库中多个等位基因的计数)的权限的个人。被授权研究人员将查询发送到CSP，并基于某些数据所有者的数据接收加密结果。数据所有者是拥有数据库的机构或医院，他们希望将存储和计算外包在公有云上并允许授权的研究人员进行查询。

图32展示了框架工作流程的实施方案3200。这个框架工作流程包含了3个主要步骤：密钥分发，数据发放和执行安全查询。密钥分发在CSP，数据所有者和授权研究人员之间交换HME加密密钥。数据所有者可以安全地打包其私密基因组数据，并通过数据发放将其上传到CSP。然后，研究人员在CSP上执行安全查询并计算结果。

图33展示了可能损害SGX系统中数据安全性的侧信道攻击的例子。侧信道攻击是指在安全区(例如SGX安全区)外部的攻击。它可以根据观察安全区对资源的一些操作来推测安全区内部的敏感信息。这些操作由不受信任的操作系统部分或完全控制。侧信道攻击可能由操纵页表的攻击者执行。这些攻击者可能会识别程序的执行轨迹，以提取文本文档，图像轮廓并破坏加密操作。这种攻击称为基于页缺失的侧信道攻击。图33还展示了SGX环境中的内存管理图3320。

一类基于内存的侧信道攻击称为“暗中页面监视(SPM)”。SPM设置并重置页面的访问标志，以监视该页面何时被访问。这种监视不会直接导致中断，而会通过降低系统速度来使安全区所有者向攻击者发出警报。减少中断数量可降低检测到攻击的机会。

SPM攻击的一种类型是B-SPM攻击或基本SPM攻击3340。如之前所述，此攻击只是操纵和监视安全区进程页面上的已访问标志，以标识其执行踪迹。

另一种SPM攻击，即T-SPM 3360，则被配置用来对页面进行重复访问。在攻击期间重复访问时，转换后备缓冲区(TLB)将关闭，从而导致中断。因此，反复访问可能会让安全区所有者检测到攻击。T-SPM通过利用定时信道来增强SPM，使其更隐蔽，从而缓解了这种情况。具体来说，给定了具有唯一入口页面α和唯一出口页面β的代码片段，以及不同页面上两点之间的多个依赖于输入的路径，T- SPM持续监视α和β，测量这两者之间的执行时间，一旦发现β的访问标志被设置了，就刷新TLB并重置两个PTE的访问标志。接着，被记录下来的时间会被用于推测代码片段的输入。

最后，处理器启用超线程功能来清除TLB，为了不关闭它们和不引起中断，将使用HT-SPM 3380。在HyperThreading中，两个虚拟内核在一个物理内核上运行，以便处理来自两个不同操作系统进程的工作负载。在两个虚拟内核上运行的进程共享一些TLB，这使攻击者可以在安全区外删除一些TLB条目，而不会引起任何中断。

图34展示了使用英特尔SGX在超线程环境中保护数据免受攻击的方法3400。该方法使用了物理核心同位测试，该测试使用了在同一安全区中运行的两个线程之间的人为数据竞争。同位测试是一种验证两个进程线程在同一内核上的测试。人为的数据竞争指示两个线程连续读取和写入共享变量。通过仔细构造读写序列，可以确保当两个线程在同一内核上运行时，它们将以很高的概率从共享数据中读取存储在另一个线程上的值。否则，当线程被调度到不同的内核时，它们大概率只能观察到自己存储的值。该测试在受保护的线程和影子线程上运行同位测试。该测试依靠操作系统在开始时将受保护线程及其影子线程调度到同一物理核心，然后在运行其代码之前由受保护线程对其进行验证。由于逻辑核心之间的线程迁移需要上下文切换(这会引发异步安全区出口(AEX))，因此受保护线程会在运行时和每当检测到AEX时定期检查AEX的发生，再次验证其与影子线程的同位状态，一旦检测到违规(预示攻击)，它就会自行终止。

方法3400保证当两个线程在同一物理核心的位于同一位置的逻辑核心上运行时，它们都将观察概率接近于一的对共享变量的数据竞争。攻击者无法将两个线程安排在不同的物理内核上，同时保持安全区进程观察到的数据竞争的概率一致。

图35和36针对的是为共享医疗保健和基因组信息提供知情同意的方法。该方法包含了一个用户界面，它可以让用户提供动态许可来分享他们的个人健康信息。该方法为患者提供了共享一个或多个数据元素的选项，包括人口统计信息，社会经济信息，疾病史，社会史和检查结果。这个用户界面可以使用户选择他们希望与之共享数据的研究人员和医疗保健提供者的类型。这种细粒度的系统可以帮助研究员和医疗保健提供者了解什么类型的数据提供方愿意去做分享并确定获取他们许可的方法。

图36展示了允许数据提供方与数据挖掘方共享数据的门户网站用户界面 3600。该门户网站展示了数据提供方可以与数据挖掘方共享的一些特征信息。这些特征信息包括年龄，种族，性别，种族，受教育程度，保险身份，婚姻状况，职业，收入，性别和怀孕状况。贡献者还可以选择一个或多个机构来与之共享数据。在图36中，这些机构包括大学医院，非营利组织和营利组织。

这些指定只会以示例的方式提供。数据提供方可以指定共享任何特定级别的信息。例如，数据提供方可以选择共享或不共享特定类别的信息。例如，数据提供方可能愿意共享所有财务信息，但是不共享健康相关信息。一类信息可能具有一个或多个特定的信息项。在某些情况下，数据提供方可以选择是否共享一个或多个特定信息项。例如，在财务类别中，数据提供方可以选择共享其收入，但不共享债务信息。在另一个示例中，数据提供方可以共享他的年龄和性别，但不共享种族。任何数量的信息类别或子类别都可以被提供。在某些情况下，无论数据提供方是否共享信息，都有一些默认的设置。比如，数据提供方在默认情况下不共享信息，除非他明确指示他愿意共享信息。

数据提供方还可以决定能够被授予信息的数据挖掘方的类型。例如，数据提供方可以与一个研究机构共享某些信息，但不与制药公司共享相同的信息。在某些情况下，对于信息的每个类别，子类别或特定项，数据能够控制谁可以访问该信息。在数据挖掘方的搜索过程中，显示出的信息类型的结果可能会因此受到影响。

数据提供方可以选择加入或退出特定的程序。例如，数据提供方可以选择退出参与政府调查或其他类型的研究。数据提供方可以选择在不访问数据提供方信息的情况下，存储他的信息。例如，数据提供方可以选择不将数据提供方的所有或部分信息提供给数据挖掘方。本文提供的系统和方法都是为保护数据提供方的隐私而设计。那些未被数据提供方选择共享的数据可能会被匿名化。即使数据挖掘方访问到了数据提供方的某些健康信息，他也无法获得数据提供方的任何有标识性的个人数据，除非数据提供方选择共享这些信息。这个加密系统和方法可以帮助确保隐私性。

如上所述，数据提供方可以控制该数据提供方数据的一个或多个定价点。用户界面可以允许数据提供方控制定价点。用户界面会提供一个或多个区域，数据提供方可以在其中输入价格以访问数据提供方的数据。在某些情况下，价格可能是相同的，这与访问数据提供方数据的实体无关。或者，价格可能会根据一个或多个因素而有所不同。例如，数据提供方可以根据数据挖掘方的身份或类型来指定不同的价格。例如，与非营利研究机构相比，数据提供方可以为营利性制药公司提供更高的价格。数据提供方可能只允许某些实体或某些类型的实体购买数据提供方的数据。在某些情况下，系统可能会根据其他贡献者提供的数据来计算推荐的定价点或定价点范围。例如，对某个特定的数据提供方来说，如果其他的数据提供方和他有相似的关键特征并正在某个定价点出售数据，那么这些数据对数据提供方是可用的，推荐的定价点也会展示在用户界面上。在某些情况下，推荐的定价点或范围可以显示为数值或数值范围。在某些情况下，可以以图形方式提供定价建议，例如定价曲线，图形，图表，直方图或其他任何方式。图形显示可以让用户十分直观地掌握来自多个数据点的定价数据，并根据所需价格得出用户自己的结论。

当前的专利还包含了实现本专利涉及技术的计算机系统。图37展示出了编程为或配置为执行数据共享和分析任务的计算机系统3701。计算机系统3701可以遵守本专利的各个方面，例如，存储健康数据，加密数据，执行密钥交换，对数据执行分析，执行安全计算以及发行数字令牌。计算机系统3701可以是用户的电子设备或相对于电子设备位于远程的计算机系统。该电子设备可以是移动电子设备。

计算机系统3701包括中央处理单元(CPU，这里也称为“处理器”和“计算机处理器”)3705，其可以是单核或多核处理器，或者是用于并行处理的多个处理器。计算机系统3701还包括存储设备或存储设备位置3710(例如，随机存取存储设备，只读存储设备，闪存)，电子存储单元3715(例如，硬盘)，通信接口 3720(例如，网络适配器)以进行通信。包括一个或多个其他系统和外围设备 3725，例如高速缓存，其他内存，数据存储或电子显示适配器。存储设备3710，存储单元3715，接口3720和外围设备3725通过诸如母板的通信总线(实线)与 CPU 3705通信。存储单元3715可以是用于存储数据的数据存储单元(或数据存储库)。可以借助于通信接口3720将计算机系统3701可操作地耦合到计算机网络 (“网络”)3730。网络3730可以是内部网或外部网，或与之通信的内部网或外部网。在某些情况下，网络3730也可以是电信或数据网络。网络3730可以包括一个或多个计算机服务器，其可以启用分布式计算，例如云计算。在某些情况下，网络3730可以在计算机系统3701的帮助下实现对等网络，该对等网络可以使耦合到计算机系统3701的设备能够充当客户端或服务器。

CPU 3705可以执行一系列机器可读指令，其体现在程序或软件中。指令可以存储在诸如存储设备3710的存储设备位置中。指令可以被定向到CPU 3705，可以随后对CPU3705进行编程，或以其他方式配置CPU 3705以实现本专利的方法。在CPU 3705执行的操作包括取指令，解码，执行和写回。

CPU 3705可以是电路例如集成电路的一部分。系统3701的一个或多个其他组件可以被包括在电路中。在某些情况下，该电路是专用集成电路(ASIC)。

存储单元3715可以存储多种类型文件，例如驱动，库和保存的程序。存储单元3715可以存储用户数据，例如，用户偏好设置和用户程序。在某些情况下，计算机系统3701可以包括计算机系统3701外部的一个或多个附加数据存储单元，存储单元可位于通过内部网或外部网与计算机系统3701通信的远程服务器上。

计算机系统3701可以通过网络3730与一个或多个远程计算机系统通信。例如，计算机系统3701可以与用户的远程计算机系统通信。远程计算机系统的示例包括个人计算机(例如，便携式PC)，平板设备或平板电脑(例如，

iPad，/>

Galaxy Tab)，电话，智能电话(例如，/>

iPhone，支持Android的设备，/>

)或个人数字助理。用户可以通过网络3730 访问计算机系统3701。

因此，本文所述的方法，可以通过存储在计算机系统3701的电子存储设备，例如存储设备3710或电子存储单元3715,以机器(例如，计算机处理器)可执行代码的方式来实现。机器可执行或机器可读代码可以软件形式提供。在使用期间，代码可以由处理器3705执行。在某些情况下，可以从存储单元3715检索代码并将其存储在存储设备3710中，以供处理器605随时访问。在某些情况下，电子存储单元3715可以排除在外，并且将机器可执行指令存储在存储设备3710中。

上述可执行的代码可以是预编译好的，配置为与计算机处理器适用的，或者在运行时进行编译的。可执行的代码以可以指定的编程语言来提供，以使代码能够以预编译好的或编译好的方式执行。

所以本文提供的系统和涉及技术的的各方面，例如计算机系统3701，可以在编程中体现。可以将技术的各个方面，视为通常以机器可读介质的类型承载或体现的，机器(或处理器)可执行代码或相关数据的形式的“产品”或“制造品”。机器可执行代码可以存储在电子存储单元上，例如存储设备(例如，只读存储设备，随机存取存储设备，闪存)或硬盘。“存储”类型的介质可以包括计算机，处理器等的任何或所有有形存储设备，或其相关模块，例如可以提供非暂时性存储的各种半导体存储设备，磁带驱动器，磁盘驱动器等，以进行软件编程。软件的全部或部分有时可以通过Internet或其他各种电信网络进行通信。例如，这样的通信可以使得能够将软件从一个计算机或处理器加载到另一计算机或处理器，例如从管理服务器或主机加载到应用服务器的计算机平台。因此，可以承载软件单元的另一种类型的介质包括光波，电波和电磁波，例如通过有线和光学座机网络以及通过各种空中链路在本地设备之间的物理接口上使用的电波。诸如有线或无线链路，光链路等之类的携带这种波的物理元件也可以被视为承载软件的介质。如本文所使用的，除非限于非暂时性有形的“存储”介质，否则诸如计算机或机器“可读介质”的术语，是指参与向处理器提供指令以供执行的任何介质。

因此，诸如计算机可执行代码的机器可读介质可以采取许多形式，包括但不限于有形存储介质，载波介质或物理传输介质。非易失性存储介质包括例如光盘或磁盘，或者计算机中的任何可以用于实现附图中所示的数据库等存储设备等。易失性存储介质包括动态存储设备，例如这种计算机平台的主存。有形的传输介质包括同轴电缆，铜线和光纤，包括构成计算机系统内总线的电线。载波传输介质可以采用电信号或电磁信号或声波或光波的形式，例如在射频(RF)和红外(IR)数据通信期间生成的那些。因此，计算机可读介质的常见形式包括：软盘，软盘，硬盘，磁带，任何其他磁介质，CD-ROM，DVD或DVD-ROM，任何其他光学介质，打孔卡纸带，打孔模式的任何其他物理存储介质，RAM，ROM，PROM和EPROM，FLASH-EPROM，任何其他存储芯片或盒带，用于传输数据或指令的载波，用于传输此类载波的电缆或链接，或计算机可以从中读取编程代码或数据的任何其他介质。这些形式的计算机可读介质中的许多形式可能涉及将一个或多个指令的一个或多个序列传送给处理器以执行。

计算机系统3701可包含电子显示器3735，或与电子显示器3735通信，该电子显示器3735包含用于提供用户选择要共享的数据的方法的用户界面(UI) 3740。UI的示例包括但不限于图形用户界面(GUI)和基于Web的用户界面。

本专利的方法和系统可以通过一种或多种算法来实现，算法可以通过在由中央处理单元3705上执行的软件来实现。例如，某种可以去除3D对象的给定横截面的选定子部分的算法。

尽管已经在本文中展示出和描述了本发明的相关实施例的优越性，但是对于本领域技术人员而言的是，这些体现仅以例子的方式提供。在不脱离本发明的情况下，对于本领域技术人员而言，许多相关变化，改变和替换也会发生。应当理解的是，本文所述的本发明的实施方案的各种替代方案同样可以实施于本发明。正因如此，以下声明要求限定本发明的范围，以及声明中说陈述范围内涉及本发明的方法和体系，及其等同物。

Claims

1.一种基于计算机实现的信息管理方法，所述方法包括：

获取与至少一个数据贡献者关联的信息；

以加密格式在存储设备中存储信息；

利用区块链系统帮助管理信息；

和允许数据挖掘者通过安全计算节点以加密方式访问和分析存储设备中的信息，包括：数据挖掘者发送加密请求到存储设备以请求特定类型的数据分析；存储设备依次将加密请求发送到安全计算节点，并向安全计算节点提供数据以进行安全分析；安全计算节点将分析结果进行加密后返回到存储设备；存储设备将加密结果返回给所述数据挖掘者；

同时对保持数据挖掘者保护至少一个数据贡献者的隐私。

2.根据权利要求1所述的方法，所述获取与至少一个数据贡献者关联的信息包括：

收集所述至少一个数据贡献者提供的信息，并对其进行测试或分析，以获得与所述至少一个数据贡献者关联的信息。

3.根据权利要求2所述的方法，所述获取与至少一个数据贡献者关联的信息还包括：

对所述至少一个数据贡献者关联的信息进行第三方验证，所述第三方验证包括由第三方提供签名，并颁发由其私钥签名的证书。

4.根据权利要求1-3任一项所述的方法，所述以加密格式在存储设备中存储信息包括：

对所述至少一个数据贡献者提供的信息进行加密后存储到存储设备中。

5.根据权利要求4所述的方法，所述加密包括采用软件保护扩展、同态加密、混合的软件保护扩展和同态加密、或安全多方计算的技术。

6.根据权利要求5所述的方法，其中存储设备包括一个或多个去中心化存储节点。

7.根据权利要求6所述的方法，所述安全计算节点接收所述加密请求，以访问、查询和分析与一个或多个数据贡献者关联的加密健康信息；

所述加密请求包括一个或多个加密搜索参数，所述安全计算节点在存储设备的加密健康信息中搜索符合一个或多个加密搜索参数并得到加密结果。

8.根据权利要求7所述的方法，所有利益相关方生成各自的加密密钥，用来实现数据存储、计算和结果的加密保护；所述利益相关方包括数据提供方，数据挖掘者和/或安全计算节点。

9.根据权利要求8所述的方法，安全密钥管理提供方管理密钥的生成、交换、存储、提供、替换和/或撤销。

10.根据权利要求9所述的方法，所述利用区块链系统帮助管理信息包括：

所述至少一个数据贡献者提供的信息生成数据哈希值，并生成智能合约，存储在区块链中；

安全应用程序运行时生成哈希值，并生成数据描述智能合约，存储在区块链中；

安全计算节点根据检索任务得到的结果生成哈希值，并生成数据描述智能合约，存储在区块链中；和/或

数据挖掘方的请求生成哈希值，并生成数据描述智能合约，存储在区块链中。

11.根据权利要求10所述的方法，所述数据挖掘方提供激励令牌给各利益相关方。

12.根据权利要求11所述的方法，所述各利益相关方包括数据贡献者、数据收集方、存储设备、安全计算节点和/或安全应用程序提供方。

13.根据权利要求11所述的方法，所述激励令牌包括至少一个安全令牌，通过唯一的公钥地址进行识别。

14.根据权利要求12或13所述的方法，其中通过防止数据挖掘者以明文形式访问数据贡献者的个人信息来维护至少一个数据贡献者的隐私。

15.根据权利要求14的方法，其中所选数据分析应用程序的结果通过优化的摄动方法的进行保护以便于隐私保护的结果发布。

16.根据权利要求15的方法，采用差分隐私来维护至少一个数据贡献者的隐私，所述差分隐私涉及向数据集添加噪声。

17.一种基于计算机实现的分析应用程序管理方法，所述方法包括：

提供多个数据分析应用程序，这些应用程序配置为访问和分析与至少一个数据贡献者相关的信息，其中信息以加密方式存储在存储设备中，区块链系统辅助管理信息；

允许数据挖掘者通过安全计算节点以加密方式和分析存储设备中的信息，包括：数据挖掘者发送加密请求到存储设备以请求特定类型的数据分析；存储设备依次将加密请求发送到安全计算节点，并向安全计算节点提供数据以进行安全分析；安全计算节点将分析结果进行加密后返回到存储设备；存储设备将加密结果返回给所述数据挖掘者；同时对保持数据挖掘者保护至少一个数据贡献者的隐私；

和接受从多个数据分析应用程序选择至少一个数据分析应用程序来访问和分析信息。

18.根据权利要求17的方法，其中多个数据分析应用程序提供信息的计算。

19.根据权利要求17的方法，其中选定的数据分析应用程序提出通过安全计算节点访问和分析信息的请求。

20.根据权利要求19的方法，其中从选定的数据分析应用程序查询和分析的请求将通过加密数据由安全计算节点执行。

21.根据权利要求19的方法，其中所选数据分析应用程序的结果通过优化的摄动方法的进行保护以便于隐私保护的结果发布。

22.一种计算机系统，其特征在于，该系统包括：存储器以及一个或多个处理器；其中，所述存储器与所述一个或多个处理器通信连接，所述存储器中存储有可被所述一个或多个处理器执行的指令，所述指令被所述一个或多个处理器执行，以使所述一个或多个处理器用于执行权利要求1-16任一项所述的方法。

23.一种计算机可读存储介质，其上存储有计算机可执行指令，当所述计算机可执行指令被计算装置执行时，可操作来执行权利要求1-16任一项所述的方法。