[发明专利]用于选择性公开属性的来源验证

说明书

一些实施例针对用于选择性地公开记录的属性的系统(100)。发布者设备(110)在包括属性和秘密记录标识符的消息上生成数字签名。记录、秘密记录标识符和签名被提供给选择者设备。选择者设备(111)向接收者设备(112)选择性地公开记录的属性，从而借助于属性上的签名的知识的零知识证明来证明真实性。接收者设备(112)验证关于发布者的公钥和接收到的属性的证明。

技术领域

本发明涉及一种用于选择性地公开记录的属性(例如医学属性)的系统。本发明还涉及在这种系统中使用的发布者设备、选择者设备和接收者设备。本发明还涉及对应于相应设备的发布者方法、选择者方法和接收者方法。本发明还涉及一种计算机可读存储介质。

背景技术

针对医学研究和处置的医学数据(诸如基因组数据)的使用在可能的应用方面保持大的希望，但是如果未仔细处理，还携带在数据隐私和安全方面的大的风险。随着越来越多人的医学数据正变得可用，进行医学研究(例如，以找到更好或更定制的处置)的范围正增加。同时，这样的医学研究涉及高度敏感数据，例如基因型和/或表现型数据。在许多情况下，例如，可以使用关于许多不同患者的数据。因此，需要采取适当的措施来防止对这样的数据的未授权的访问和修改。

限制医学研究设置中的数据暴露的已知方式是去标识。例如，在已知系统中，医学数据可以从一个或多个来源方收集(例如，来自各种设备或医学试验的数据)，并且存储在中央平台处。研究人员可以请求具有特定特性的患者的医学数据。根据法律和全球标准，这样的数据应当去标识。因此，平台可以选择关于一个或多个患者的数据；将数据去标识，例如，选择医学数据(例如，表现型和基因型数据)的子集；并且向研究人员提供去标识的数据。

更一般地，去标识(例如，提供在其特殊性和细节中足够有限的个人信息的记录的修订版本使得其可以不再链接到其数据对象)正变得越来越常见，由诸如GDPR的立法推动以及诸如GA4GH信标的医学标准驱动。例如，去标识的数据可以被用于除基因组研究之外的医学研究，但也用在各种其他应用领域(诸如金融服务和广告)中。针对记录更一般地(例如，不包含个人信息)，去标识可以被认为是一种类型的选择性公开，例如，让数据提供者决定记录的哪个部分与接受者共享。

从去标识的数据的接受者的观点(例如，接收关于患者的去标识的医学数据的研究人员)，数据被去标识的事实可能引入由危险分子造成的欺诈或者操纵的风险。由于去标识的数据可能不可链接到其原始源，因此在具有合法源的真实数据与不具有合法源的假数据之间辨别能够是困难的。因此，以这样的方式执行去标识是期望的：接受者(例如支付数据的某人或者出于监管目的检查数据的某人)可以信任去标识的数据是合法的，例如，来源于值得信任的源。例如，当去标识的数据被非法复制时，就会出现一个问题。特别是，如果数据附加了货币价值，例如，如果研究人员为访问数据付费，则可能会有这种复制的动机，例如人为地增加数据量。由于数据是去标识的，因此很难验证两个记录是否真的不同。除了恶意之外，还可能由于错误而出现复制记录，例如编程错误、操作者错误等。期望接收者(例如研究人员)能够验证这一点。

更复杂的是，认证措施很难使用。例如，与记录关联的认证标签也可以简化复制。此外，这样的认证标签需要可从去标识的数据中验证，而不是从完整的记录中验证。更复杂的是，数据的最终接受者(例如，研究人员)可能会与数据发布者直接联系。通常，有一个选择者，例如，发布者和接收者之间的经纪人，例如其将正确数据输送到正确的研究人员。然而，这意味着优选地在已经将数据提供给选择者之后执行去标识。

事实上，发布者和接收者之间的直接联系可能是不可能的。例如，发布者可能是不再活跃或已退役的组织或机器。期望一种对数据进行去标识的安全方式，该方式优选地独立于数据的发布者，同时仍允许由数据的接受者进行验证。

发明内容

确保真实性可使用常规技术执行，例如通过向数据的所有发起者发送请求以在去标识的数据上数字签出，这证明其对此赞同。然而，这是麻烦、常常昂贵并且可能甚至不可能的，例如，如果发起者是已经退役的组织或机器。因此，需要确保选择性地公开的记录的可信度的更好的自动化技术。