[发明专利]紧急情况中对个人健康记录的安全访问的系统、方法及装置

说明书

技术领域

本发明涉及提供对数据记录的安全访问。

背景技术

对与健康相关的数据或医疗数据的系统管理的需求在不断的增长。来自不同医院或诊所的诊断报告、处方、药物消费记录等可以被安全保存，并且可以使得用户能很方便的访问这样的医疗数据。这样的健康数据管理应用可以用于诸如患有慢性疾病的患者和易于遗忘并需要帮助管理其健康记录的老年人。最近，已经提出了可以由用户自行管理的个人健康记录（PHR）的概念。这种PHR可以用于存储用户的健康数据并控制对用户的健康数据的访问。来自医院的电子医疗记录（EMR）和电子健康记录（EHR）可以被导入到用户的PHR中，从而使得只要互联网连接可用，就允许对用户的健康数据进行无处不在的访问。

在默认情况下，仅向用户本人允许对PHR的访问。但是，用户也可以定义访问控制列表或其他访问控制机制。例如，Julien Künzi,Paul Koster,Milan Petkovic,Emergency Access to Protected Health Records,in K.-P.Adlassnig et al.(Eds.):Medical Informatics in a United and Heathy Europe,MIE2009,IOS Press,2009,pp.705-709，下文称为Künzi et al.，公开了向用户的家庭成员、朋友和亲属授予访问。另外，老年人可以通过向更有能力的家庭成员授予完全的许可来委托管理他们的医疗记录的任务。在紧急情况下，当医生和救护队打算对失去意识的用户提供治疗时，这样预定义的访问控制策略就会有不足。由于用户无法提供其密码，并且这种访问控制策略可能不允许未授权的个体访问数据，所以急救医生和救护队将无法访问用户的PHR。然而，如果在紧急事件中在用户接受治疗的同时，能够提供一些关于用户的健康状况的背景信息，那么这将是有益的。研究表明，如果在紧急治疗之前医生有权访问关于病人的信息，那么本可以避免许多致命的错误。

Künzi et al.公开了由急救医生发送访问请求，指示这是一个紧急逾越（emergency override）。如果请求实体有合适的凭据，也就是说请求实体是执业医师，则授权访问权并随后被记录。随后，访问日志被用于访问后的审核，以判定对用户健康数据的访问是否是合法的。然而，如果紧急逾越是恶意的，那么这样的机制是不起作用的，这是因为它侵犯了用户的健康数据隐私权。本质上讲，审核并不是阻止对PHR的恶意访问的防范措施。

在紧急情况下，由于用户是无意识的，所以他无法提供其密码以使得能访问PHR。因此，这触发了对用户的PHR的紧急访问的需求。然而，PHR服务器很难区分真正的紧急情况和访问PHR的恶意企图，这是因为在这两种情况下，用户都是不能利用的。

“Implementing Security And Access Control Mechanisms For An Electronic Healthcare Record”,Frank K.Uckert et al,AMIA2002Annual Symposium Proceedings，公开了一种系统，其中用户可以通过在其记录中启用并定义其HER的紧急子集，来提供对该紧急子集的读取访问。当启用这项特征时，创建紧急TAN。印在小巧的钱包卡片上的网址、用户名和这种紧急TAN的组合被被病人随身携带，并在该病人发生紧急状况时供其他人使用。有了TAN（交易号码），用户就能够向任何人赋予在仅仅一个会话内对其记录的多个部分的访问。这种TAN的原理与从国际网上银行获知的那种类似。在使用一次之后，TAN失效。每当需要时，用于就可以产生新的TAN。

发明内容

具有一种提供对数据记录的安全访问的改良系统将是有优势的。为了更好的解决这一关注，本发明的第一方案提供了一种服务器系统，包括：

存储模块，用于存储多个数据记录，一个数据记录具有与之相关联的、与对应于该数据记录的硬件令牌共享的秘密序列，所述服务器系统进一步被安排用于存储用户的多个验证证书；

用户验证模块，用于从用户终端接收用户的验证证书，并基于所述用户的验证证书来验证所述用户是所述服务器系统的用户；

秘密接收模块，用于从所述终端接收由硬件令牌所揭露的秘密的表示以及标识对应于所述硬件令牌的数据记录的信息；

匹配模块，用于将所述秘密的所述表示和与对应于所述硬件令牌的数据记录相关联的所述一系列秘密中的未使用的秘密相匹配；