[发明专利]生成和验证伪名的方法和装置

说明书

技术领域

本发明总地涉及一种用于保护用户秘密的方法和装置，尤其涉及一种通过伪名来保护用户秘密的方法和装置。

背景技术

随着电子技术的发展，现代医疗机构中已经广泛使用电子医疗系统来维护和管理用户(如患者)的个人信息和健康记录(如病历、体检结果等)。然而，电子记录易被窃取和传播。因而现代电子医疗系统的安全性问题越来越受到人们的关注。

为了提高电子医疗系统的安全性，现今已经提出了匿名化和伪名化两大类用于保护用户秘密的方法。匿名化方法主旨在于去除用户真实身份与其健康记录之间的关联性。换言之，在匿名化方法中，不再记录用户的个人信息，而只保存健康记录。这种匿名化方法虽然能够安全地保护用户的秘密，但却无法根据健康记录追踪到用户。伪名化方法是在匿名化方法基础之上提出的。在伪名化方法中，消除了用户真实身份与其健康记录之间的关联性，并且建立了用户的健康记录与一个或多个用户的伪名之间的对应关系。由此，这种伪名化方法不仅能够提供对用户个人信息的保护，还能够提供对其健康记录的可追踪性。

图1示出了现有的医疗信息技术标准委员会(HITSP)开发出的伪名化机制。如图1所示，在用户U100到医院就诊时，用户U100首先在步骤S110中将标识自身真实身份的用户身份标识ID_user提供给医院的医疗系统D110。在步骤S120中，医疗系统D110将ID_user发送给一个PIX(Person Identifier Cross-Reference，个人身份交叉引用)管理器D120。在步骤S130中，PIX管理器D120存储ID_user，并在步骤S140中请求一个用于生成伪名的伪名服务器D140为该用户分配一个伪名。在步骤S150中，伪名服务器D140响应请求为用户生成一个伪名P_pseu，并在步骤S160中将生成的伪名P_pseu返回给PIX管理器D120。在步骤S170中，PIX管理器D120将接收到的伪名P_pseu按照与ID_user的一对一关联存储下来，并在步骤S180中将包含伪名P_pseu的伪名证书返回给医疗系统D110。继而，在步骤S190中，医院的医疗系统D110注册该伪名证书，并在步骤S195中将其返回给用户U100。这样，用户U100就可在医院中使用所分配的伪名进行疾病诊断或治疗，并且其健康记录将会以此伪名的名义记录下来。可选地，根据需要，医院可利用该伪名证书从PIX管理器D120处获得该用户的真实身份，从而能够实现可追踪性。

然而，如图1所示的现有伪名化方法还存在一些缺陷。

首先，出于安全性、秘密性等的考虑，或者出于用户可能遗失上次生成的伪名等原因，用户每次到医院就诊时可能会请求生成一个新的伪名，甚至需要请求生成多个不同的新伪名以便在同一个医院内进行多种疾病的诊断和/或治疗。在这种情况下，图1中的伪名服务器D140就需要为用户频繁地生成伪名，致使伪名服务器的工作负荷过大。同时，PIX管理器还不得不保存用户真实身份与大量伪名之间的对应关系。因而PIM需要配备有大容量数据库，这导致服务器成本过高。

其次，一般而言，提供伪名化服务具有明显的区域性，即，本地伪名服务器和身份管理器往往只能向其管辖区域内的本地医院中的医疗系统或者采用相同伪名化服务机制的医疗系统提供伪名化服务。也就是说，如果一个医疗系统为一个用户生成了一个伪名，则不同区域的医疗系统或者采用不同伪名化机制的医疗系统不能识别同一个用户的该伪名。由此，每当用户从一个区域行至另一个新区域时，用户只有向该新区域的PIM公开自己的真实身份，才能得到这个新区域内有效的伪名，并利用这个伪名在医院就诊。这给用户就诊带来了诸多不便。

再者，在有些基于信任的情况下，用户只愿意向自己信任的本地PIM，而不是其他陌生区域中的PIM公开自己的真实身份。从这个角度看，现有的这种伪名化方法的应用区域是非常有限的。

因此，需要提供一种改进的生成和验证伪名的方法和装置，来帮助用户方便和安全地享受跨区域的医疗服务。

发明内容

本发明的一个目的在于提供一种能够提供跨区域身份识别的生成和验证伪名的方法和装置。

本发明的另一个目的在于提供一种能够减轻服务器工作负荷的生成和验证伪名的方法和装置。