使用元数据完整性验证器验证元数据树制造技术

一种由处理系统执行的方法包括：由元数据树日志重建患者的元数据树，所述元数据树包括对在加密的数据储存装置中的所述患者的对应的多个加密的电子健康记录的多个引用；以及通过比较所述元数据树的第一完整性信息与对应于由元数据完整性验证器提供的元数据树日志的第二完整性信息来验证所述元数据树。

【技术实现步骤摘要】
【国外来华专利技术】使用元数据完整性验证器验证元数据树相关申请的交叉引用本申请要求2012年8月15日提交的题为“ProtocolsforReadingandWritingElectronicMedicalDataAsynchronouslyinanUntrustedCloudStorage”的美国临时专利申请No.61/683,702以及2012年8月15日提交的题为“MetadataTreeJournalingwithAccessRightRevocationinanElectronicMedicalCloudDataStore”的美国临时专利申请No.61/683,705的优先权。这些申请的公开通过引用被并入本文中。
技术介绍
电子健康记录（EHR）可以使得医疗保健参与者（例如，患者、医疗保健提供者、付款人和研究员）能够改善护理协调和对健康信息的访问。尽管EHR可以有助于对医疗保健信息的访问，但是医疗保健信息的共享可能涉及许多复杂的技术和法律问题。技术问题可能包括如何提供对不同参与者的并发访问以及如何根据需要撤销参与者的访问。这些问题对于缺乏资源和专业知识来实现这种共享同时确保医疗保健信息的一致性、私密性和安全性的医疗保健参与者来说可能是难以负担的。附图说明图1A-1C是示出电子健康记录储存处理环境的实例的框图。图2是示出在加密的数据储存装置中的元数据树日志和加密的电子健康记录的一个实例的框图。图3是示出元数据树节点的一个实例的框图。图4A-4B是示出元数据树日志的实例的框图。图5是示出元数据汇总树的一个实例的框图。图6是示出医疗保健参与者系统的一个实例的框图。图7是示出元数据完整性验证器系统的一个实例的框图。图8是示出在并发处理环境中使用元数据树访问加密的电子健康记录的一个实例的示意图。图9是示出在并发处理环境中使用元数据树储存加密的电子健康记录的一个实例的示意图。图10是示出具有嵌入的密钥撤销信息的元数据树的一部分的一个实例的框图。具体实施方式在下面的详细描述中，参考附图，这些附图形成了该详细描述的一部分，在这些图中借助图示示出了其中可以实施所公开的主题的特定实施例。应当理解可以利用其它实施例，并且可以在不脱离本公开的范围的情况下做出结构或逻辑改变。因此，下面的详细描述不是以限制性意义进行的，并且本公开的范围由所附权利要求限定。本文描述的实施例提供一种电子健康记录（EHR）储存处理环境，其使得能够在医疗保健参与者（例如，患者、医疗保健提供者、付款人和研究员）之间安全、无缝地共享EHR。所述环境包括储存患者的加密的EHR的加密的数据储存装置和储存每个患者的元数据树日志的元数据树储存装置。每个元数据树日志可以用于重建对应患者的元数据树，其提供对加密的数据储存装置中的患者的EHR的映射。每个患者的元数据树日志可以由被授权的医疗保健参与者（例如医疗保健提供者）访问以允许所述参与者访问并储存患者的EHR。所述环境还包括用于支持并发读取和写入对患者的元数据树日志的访问的元数据完整性验证器。元数据完整性验证器储存元数据树的完整性信息，其代表元数据树的提交状态。医疗保健参与者系统使用完整性信息来确保由元数据树日志重建元数据树的一致且最新的版本。元数据储存装置使用日志记录机制储存每个元数据树日志，所述日志记录机制提供只附加且不可变的储存框架。医疗保健参与者系统从元数据储存装置访问患者的元数据树日志，使用该日志和来自验证器的完整性信息重建元数据树，并且使用完整性信息验证重建的元数据树。使用验证的元数据树，医疗保健参与者系统从加密的数据储存装置访问加密的EHR和/或将EHR储存到加密的数据储存装置。当储存加密的EHR时，医疗保健参与者系统还使用日志记录机制更新元数据储存装置上的元数据树日志，并且更新验证器上的完整性信息。所述环境使用加密的EHR的记录密钥、元数据树的节点的节点密钥以及元数据树的结构的元数据树密钥来控制对EHR的访问。在加密的数据储存装置中储存加密的EHR的医疗保健参与者使用记录密钥来加密EHR。这些参与者还将对应加密的EHR的节点添加到元数据树。所述节点包括对利用对应节点密钥加密的对应加密的EHR的引用。还使用元数据树密钥对元数据树的结构加密以将对元数据树的访问限制到具有元数据树密钥的患者的被授权的医疗保健参与者。一个或多个医疗保健参与者可以管理患者的元数据树的不同子树。为了管理子树，参与者管理子树中的对应节点的节点密钥以授予和撤销对患者的其他被授权的医疗保健参与者的访问。参与者通过将所选的节点和记录密钥提供给另一参与者来授予访问。参与者通过旋转（rotating）节点密钥并且将撤销信息嵌入元数据树的对应节点中来撤销访问。在密钥撤销之后，其访问已经被撤销的参与者将不能访问在撤销之后储存的加密的EHR或者将新的加密的EHR储存到加密的数据储存装置。然而，被撤销的参与者将继续能够访问在撤销之前储存的加密的EHR。如本文所使用的，术语“医疗保健参与者”（也称为“参与者”）指的是患者、医疗保健提供者、付款人、研究员或其他在患者的医疗保健过程中涉及的合适的人，其产生和/或使用对应于患者的医疗保健信息。术语“患者”指的是从医疗保健提供者接收至少一个医疗保健服务的人。术语“医疗保健提供者”（也称为“提供者”）指的是将至少一个医疗保健服务提供给患者的人和/或机构。术语“电子健康记录”（EHR）指的是由医疗保健参与者产生并以电子格式储存在至少一个机器可读的储存介质上的一组医疗保健信息。术语“加密的电子健康记录”指的是已经利用记录密钥加密的电子健康记录。术语“元数据”指的是描述至少一个记录（例如电子健康记录）的一组信息。术语“元数据树”指的是包括元数据的一组节点，其中每个节点具有与该组中的至少一个其他节点的指定关系。术语“元数据树日志”指的是由只附加、不可变的日志记录机制创建的数据结构，用于储存元数据树的节点。术语“记录密钥”指的是用于加密和解密患者的EHR的加密密钥。术语“节点密钥”指的是用于加密和解密患者的元数据树中的节点的一部分的加密密钥。术语“元数据树密钥”指的是用于加密和解密患者的元数据树的至少一部分的加密密钥。图1A是示出电子健康记录储存处理环境10的一个实例10A的框图。环境10A包括电子健康记录（EHR）储存装置20和一组医疗保健参与者系统30(1)-30(m)，其中m是大于或等于2的整数。环境10A使用EHR储存装置20和参与者系统30提供创建、访问、储存、管理以及共享患者的EHR的能力。EHR储存装置20包括数据访问前端（front）22、加密的数据储存装置24和元数据储存装置26。数据访问前端22与参与者系统30通信以管理对加密的数据储存装置24和元数据储存装置26的访问。加密的数据储存装置24储存患者的加密的EHR，其是由参与者系统30产生和提供的。加密的EHR由参与者系统30使用记录密钥来加密和解密。加密的数据储存装置24包括任何合适类型、数目和/或配置的机器可读的储存介质以储存加密的EHR。由于EHR被加密并且由于加密的数据储存装置24不储存EHR的加密密钥（即记录密钥），因此加密的数据储存装置24可以是或者可以不是可信的数据储存装置（例如，加密的数据储存装置24可以由一个或多个不可信的第三方拥有本文档来自技高网...

【技术保护点】
一种由处理系统执行的方法，所述方法包括：由元数据树日志重建患者的第一元数据树，所述第一元数据树包括对在加密的数据储存装置中的所述患者的对应的多个加密的电子健康记录的多个引用；以及通过比较所述第一元数据树的第一完整性信息与对应于由元数据完整性验证器提供的元数据树日志的第二完整性信息来验证所述第一元数据树。

【技术特征摘要】
【国外来华专利技术】2012.08.15 US 61/683,705;2012.08.15 US 61/683,7021.一种由处理系统执行的方法，所述方法包括：在元数据完整性验证器中存储用于患者的元数据树的第一完整性信息，其中所述第一完整性信息包括表示所述元数据树的提交状态的汇总树和哈希，并且其中所述哈希和所述汇总树基于元数据树的对应子树的按序遍历；使用用于确保根据元数据树日志重建一致的版本的第一完整性信息来根据元数据树日志重建患者的第一元数据树，所述第一元数据树包括对在加密的数据储存装置中的所述患者的对应的多个加密的电子健康记录的多个引用；以及通过比较所述第一元数据树的第一完整性信息与由元数据完整性验证器提供的且对应于元数据树日志的第二完整性信息来验证所述第一元数据树;其中所述元数据树日志指的是由只附加、不可变的日志记录机制创建的、用于存储元数据树的节点的数据结构。2.根据权利要求1所述的方法，还包括：从元数据储存装置访问所述元数据树日志；以及从所述元数据完整性验证器访问所述第二完整性信息。3.根据权利要求1所述的方法，还包括：在重建所述第一元数据树之后产生对应于所述第一元数据树的所述第一完整性信息。4.根据权利要求3所述的方法，还包括：产生所述第一完整性信息作为所述第一元数据树的第一哈希；以及其中所述第二完整性信息是第二元数据树的第二哈希。5.根据权利要求1所述的方法，还包括：使用从所述元数据完整性验证器接收的汇总树重建所述第一元数据树。6.根据权利要求1所述的方法，还包括：响应于所述第一元数据树无效，从所述元数据储存装置访问所述元数据树日志；从所述元数据完整性验证器访问对应于所述元数据树日志的第三完整性信息；根据所述元数据树日志重建所述患者的第二元数据树；以及通过比较所述第二元数据树的第四完整性信息与所述第三完整性信息来验证所述第二元数据树。7.根据权利要求1所述的方法，其中所述多个加密的电子健康记录中的第一加密的电子健康记录由第一提供者产生，其中所述多个加密的电子健康记录中的第二加密的电子健康记录由第二提供者产生，以及其中所述第二提供者不隶属于所述第一提供者。8.一种处理系统，包括：一组一个或多个处理器；和存储一组指令的存储器，该组指令当由该组处理器执行时使得该组处理器：在元数据完整性验证器中存储用于患者的元数据树的第一完整性信息，其中所述第一完整性信息包括表示所述元数据树的提交状态的汇总树和哈希，并且其中所述哈希和所述汇总树基于元数据树的对应子树的按序遍历；从元数据完整性验证器接收与元数据树日志相对应的第二完整性信息；通过比较从元数据完整性验证器接收的且对应于元数据树日志的第二完整性信息与第一元数据树的第一完整性信息来验证患者的第一元数据树，所述第一元数据树是根据由元数据储存装置提供的元数据树日志重建的，其中在所述元数据完整性验证器中所存储的第一完整性信息用于确保根据元数据树日志重建一致的版本；确定所述第一元数据树中对应于加密的数据储存装置中的加密的电子健康记录的节点；使用来自所述节点的引用从所述加密的数据储存装置访问所述加密的电子健康记录；以及使用记录密钥来解密所述加密的电子健康记录;其中所述元数据树日志指的是由只附...

【专利技术属性】
技术研发人员：李峻，R斯瓦米纳桑，S辛哈尔，
申请(专利权)人：惠普发展公司，有限责任合伙企业，
类型：发明
国别省市：美国;US