在紧急情况中对个人健康记录进行安全访问.pdf

一种包括服务器系统、用户终端和硬件令牌的系统，用于提供对数据记录的安全访问。所述服务器系统包括：用于存储多个数据记录的存储模块（1），一个数据记录（2）具有与之相关联的与对应于该数据记录（2）的硬件令牌共享的秘密序列（14），所述服务器系统（100）进一步被安排用于存储用户的验证信息（3）。用户验证模块（10）用于从用户终端（200）接收用户的验证证书（11），并基于所述用户的所述验证证书（11）和所述存储的验证信息（3）来验证所述用户是被授权用户。秘密接收模块（9）用于从终端接收由硬件令牌（60）所暴露的秘密的表示（13）以及标识对应于所述硬件令牌的数据记录的信息。标记模块（12）用于将未使用的秘密（s3）标记为已使用。

权利要求书
1.  一种用于提供对数据记录的安全访问的服务器系统，包括：
存储模块（1），用于存储多个数据记录，一个数据记录（2）具有与该数据记录（2）相关联的与对应于该数据记录（2）的硬件令牌（60）共享的秘密序列（14），所述服务器系统（100）进一步被安排用于存储用户验证信息（3）；
用户验证模块（10），用于从用户终端（200）接收用户的验证证书（11），并基于所述用户的所述验证证书（11）和所存储的验证信息（3）来验证所述用户是被授权用户；
秘密接收模块（9），用于从所述终端接收由硬件令牌（60）暴露的秘密的表示（13）以及标识对应于所述硬件令牌的数据记录的信息；
匹配模块（7），用于将所述秘密的所述表示（13）和与对应于所述硬件令牌（60）的数据记录（2）相关联的秘密序列（14）中的未使用的秘密（s3）进行匹配；
访问允许模块（6），用于如果所述秘密的所述表示（13）与所述未使用的秘密（s3）相匹配并且所述用户已经被验证是被授权用户，则允许所述用户对对应于所述硬件令牌（60）的数据记录（2）的至少一部分进行访问；以及
标记模块（12），用于将所述未使用的秘密（s3）标记为已使用。

2.  根据权利要求1所述的服务器系统，其中，所述服务器系统包括：通信模块（8），用于在所述访问允许模块（6）允许所述用户进行访问之前，向与所述硬件令牌（60）相关联的个人的移动电话或移动终端（50）进行自动的电话呼叫或发送消息，并且其中，所述通信模块（8）被安排用于使得访问能够被所述个人拒绝。

3.  根据权利要求1所述的服务器系统，包括：加密器（5），用于使用基于从所述用户终端接收到的值的密钥，来对所述数据记录的所述至少一部分进行加密；以及数据发送模块（4），用于向所述用户终端发送加密后 的数据和用于根据所述值计算所述密钥的信息。

4.  根据权利要求1所述的服务器系统，其中，所允许的对至少一个所述数据记录的访问在时间上被限制。

5.  根据权利要求1所述的服务器系统，其中，所述秘密的所述表示（13）包括所述秘密（s3）的加密，所述加密基于密钥，并且所述密钥是散列序列的一部分，并且所述秘密在所述秘密序列中的位置与所述密钥在所述散列序列中的位置相对应。

6.  根据权利要求5所述的服务器系统，包括：数据发送模块（4），被安排用于向所述用户终端发送所述密钥。

7.  一种与用户终端（200）一起使用的硬件令牌（60），所述用户终端（200）与根据权利要求4所述的服务器系统（100）进行通信，其中，所述硬件令牌（60）包括：秘密提供模块（61），用于提供秘密的表示（13），其中，所述秘密的所述表示（13）包括所述秘密的加密，并且所述加密基于密钥，并且所述密钥是散列序列的一部分，并且所述秘密在所述秘密序列中的位置与所述密钥在所述散列序列中的位置相对应，并且所述秘密提供模块被安排用于以反向的连续顺序提供多个表示。

8.  根据权利要求7所述的硬件令牌，包括：检验器（62），被安排用于接收用于生成所述秘密的所述加密的所述密钥，以获得接收到的密钥，将散列函数应用于所述接收到的密钥以获得处理后的密钥，并将所述处理后的密钥与所存储的值进行比较。

9.  一种与根据权利要求1所述的服务器系统一起使用的用户终端（200），包括：
秘密接收机（205），用于接收由硬件令牌（60）暴露的秘密的表示以及标识对应于所述硬件令牌（60）的数据记录的信息；
证书接收机（206），用于接收用户的验证证书；
发射机（201），用于向所述服务器系统（100）发送所述用户的所述验证证书、由所述硬件令牌（60）暴露的所述秘密的所述表示以及标识对应于所述硬件令牌（60）的所述数据记录的信息；以及
数据接收机（202），用于从所述服务器系统（100）以加密形式接收所述数据记录的内容的至少一部分以及从所述服务器系统（100）接收密钥数据；
检验器（204），被安排用于将散列函数应用于所接收的密钥数据以获得处理后的密钥，并将所述处理后的密钥与从所述硬件令牌（100）接收的值进行比较；
数据解密器（203），用于基于所述密钥数据对所述数据记录的内容的所述至少一部分进行解密。

10.  根据权利要求9所述的用户终端，其中，所述秘密接收模块（205）包括：令牌阅读器（207），用于从所述硬件令牌（100）电子地获得所述表示或所述信息。

11.  一种包括根据权利要求1所述的服务器系统（100）、多个根据权利要求7所述的硬件令牌（60）以及多个根据权利要求9所述的用户终端（200）的系统。

12.  一种提供对数据记录的安全访问的方法，包括：
存储（301）多个数据记录并存储用户验证信息，一个数据记录具有与该数据记录相关联的与对应于该数据记录的硬件令牌共享的秘密序列；
从用户终端接收（302）用户的验证证书，并基于所述用户的所述验证证书和所存储的验证信息来验证所述用户是被授权用户；
从所述终端接收（303）由硬件令牌暴露的秘密的表示以及标识对应于所述硬件令牌的数据记录的信息；
将所述秘密的所述表示和与对应于所述硬件令牌的数据记录相关联的秘密序列中的未使用的秘密进行匹配（304）；
如果所述秘密的所述表示与所述未使用的秘密相匹配，并且所述用户已经被验证是被授权用户，则允许（305）所述用户对对应于所述硬件令牌的数据记录的至少一部分进行访问；以及
将所述未使用的秘密标记（306）为已使用。

13.  一种计算机程序产品，包括：用于使得处理器系统执行根据权利要求12所述的方法的指令。

说明书在紧急情况中对个人健康记录进行安全访问
技术领域
本发明涉及提供对数据记录的安全访问。
背景技术
对与健康相关的数据或医疗数据的系统管理的需求在不断的增长。来自不同医院或诊所的诊断报告、处方、药物消费记录等可以被安全保存，并且可以使得用户能很方便的访问这样的医疗数据。这样的健康数据管理应用可以用于诸如患有慢性疾病的患者和易于遗忘并需要帮助管理其健康记录的老年人。最近，已经提出了可以由用户自行管理的个人健康记录（PHR）的概念。这种PHR可以用于存储用户的健康数据并控制对用户的健康数据的访问。来自医院的电子医疗记录（EMR）和电子健康记录（EHR）可以被导入到用户的PHR中，从而使得只要互联网连接可用，就允许对用户的健康数据进行无处不在的访问。
在默认情况下，仅向用户本人允许对PHR的访问。但是，用户也可以定义访问控制列表或其他访问控制机制。例如，Julien Künzi,Paul Koster,Milan Petkovic,Emergency Access to Protected Health Records,in K.-P.Adlassnig et al.(Eds.):Medical Informatics in a United and Heathy Europe,MIE2009,IOS Press,2009,pp.705-709，下文称为Künzi et al.，公开了向用户的家庭成员、朋友和亲属授予访问。另外，老年人可以通过向更有能力的家庭成员授予完全的许可来委托管理他们的医疗记录的任务。在紧急情况下，当医生和救护队打算对失去意识的用户提供治疗时，这样预定义的访问控制策略就会有不足。由于用户无法提供其密码，并且这种访问控制策略可能不允许未授权的个体访问数据，所以急救医生和救护队将无法访问用户的PHR。然而，如果在紧急事件中在用户接受治疗的同时，能够提供一些关于用户的健康状况的背景信息，那么这将是有益的。研究表明，如果在紧急治疗之前医生有权访问关于病人的信息，那么本可以避免许多致命的 错误。
Künzi et al.公开了由急救医生发送访问请求，指示这是一个紧急逾越（emergency override）。如果请求实体有合适的凭据，也就是说请求实体是执业医师，则授权访问权并随后被记录。随后，访问日志被用于访问后的审核，以判定对用户健康数据的访问是否是合法的。然而，如果紧急逾越是恶意的，那么这样的机制是不起作用的，这是因为它侵犯了用户的健康数据隐私权。本质上讲，审核并不是阻止对PHR的恶意访问的防范措施。
在紧急情况下，由于用户是无意识的，所以他无法提供其密码以使得能访问PHR。因此，这触发了对用户的PHR的紧急访问的需求。然而，PHR服务器很难区分真正的紧急情况和访问PHR的恶意企图，这是因为在这两种情况下，用户都是不能利用的。
“Implementing Security And Access Control Mechanisms For An Electronic Healthcare Record”,Frank K.Uckert et al,AMIA2002Annual Symposium Proceedings，公开了一种系统，其中用户可以通过在其记录中启用并定义其HER的紧急子集，来提供对该紧急子集的读取访问。当启用这项特征时，创建紧急TAN。印在小巧的钱包卡片上的网址、用户名和这种紧急TAN的组合被被病人随身携带，并在该病人发生紧急状况时供其他人使用。有了TAN（交易号码），用户就能够向任何人赋予在仅仅一个会话内对其记录的多个部分的访问。这种TAN的原理与从国际网上银行获知的那种类似。在使用一次之后，TAN失效。每当需要时，用于就可以产生新的TAN。
发明内容
具有一种提供对数据记录的安全访问的改良系统将是有优势的。为了更好的解决这一关注，本发明的第一方案提供了一种服务器系统，包括：
存储模块，用于存储多个数据记录，一个数据记录具有与之相关联的、与对应于该数据记录的硬件令牌共享的秘密序列，所述服务器系统进一步被安排用于存储用户的多个验证证书；
用户验证模块，用于从用户终端接收用户的验证证书，并基于所述用户的验证证书来验证所述用户是所述服务器系统的用户；
秘密接收模块，用于从所述终端接收由硬件令牌所揭露的秘密的表示以及标识对应于所述硬件令牌的数据记录的信息；
匹配模块，用于将所述秘密的所述表示和与对应于所述硬件令牌的数据记录相关联的所述一系列秘密中的未使用的秘密相匹配；
访问允许模块，用于如果所述秘密的所述表示与所述未使用的秘密相匹配并且所述用户已经被验证是所述服务器系统的用户，则允许所述用户对对应于所述硬件令牌的数据记录的至少一部分进行访问；以及
标记模块，用于将所述未使用的秘密标记为已使用。
所述服务器系统可以提供改善的安全性。用户验证模块确保只有被授权的个人才能够获得对数据记录的访问。例如，只有紧急工作人员被给与授权证书（可选地，使得这些证书只有在这些紧急工作人员轮班期间有效）。此外，秘密接收模块和匹配模块用于识别数据记录，并提供用户具有访问该数据记录的职业需求的证据，这是因为否则用户将不会拥有在其上具有秘密的表示的硬件令牌。用户验证和从硬件令牌接收的秘密的表示的组合提供了改善的安全性，这是因为在不存在用户验证的情况下，捡到或窃取卡片的任何人都能访问数据记录。
由于硬件令牌可以产生秘密序列的表示，所以硬件令牌可被多次使用。每个秘密仅允许对数据记录的一次性访问，这是因为只有未使用的秘密是有效的。
所述服务器系统可以包括通信模块，用于在访问允许模块允许用户访问之前，向与所述硬件令牌相关联的个人的移动电话或移动终端进行自动的电话呼叫或者发送消息，并且其中，所述通信模块被安排用于使所述个人能够拒绝允许访问。例如，个人可以通过在自动电话呼叫期间按下电话上的按键或者通过发送回复消息来拒绝允许访问。这样，测试该个人是否为有意识的。如果该个人不对呼叫进行应答或者不返回消息，这可能是因为该个人是无意识的，然后系统将允许对数据记录的访问。
访问允许模块可以包括加密器，用于使用基于从用户终端接收到的值的密钥，对数据记录的至少一部分进行加密，并将加密的数据和用于根据所述值计算所述密钥的信息发送到所述用户终端。这样，可以确保只有所述用户终端能够解密该数据。
可以在时间上对所允许的对数据记录中的至少一个的访问进行限制。这样，就避免了当紧急情况不再存在时还能回顾数据记录。
所述秘密的表示可以包括所述秘密的加密，所述加密可以基于密钥，所述密钥可以为散列序列的一部分，并且所述秘密在所述秘密序列中的位置可以与所述密钥在所述散列序列中的位置相对应。这样，在所述序列中的每个秘密被不同地加密。所述令牌和所述服务器系统都可以使用相同的密钥序列。所述服务器系统不需要存储全部的加密密钥序列，这是因为它们可以通过散列序列来重新计算。
所述服务器系统可以包括数据发送模块，被安排用于向所述用户终端发送所述散列序列中的与所述秘密在所述秘密序列中的位置相对应的密钥。通过应用散列函数，所述用户终端或硬件令牌可以计算出所述散列序列中的一个或多个其他密钥。所述用户终端或令牌可以将这些计算出的值与所存储的值进行比较。例如，在所述硬件令牌被发行之前，将散列链中的最终密钥存储在所述硬件令牌上。这提供了对服务器的验证或者提供了终端可以检验获得了正确的数据记录的方式。
在另一方案中，本发明提供了一种硬件令牌。这种硬件令牌可以和与给出的服务器系统进行通信的用户终端一起使用。所述硬件令牌可以包括秘密提供模块，用于提供秘密的表示，其中所述秘密的表示包括所述秘密的加密，并且所述加密是基于密钥的，并且所述密钥是散列序列的一部分，并且所述秘密在秘密序列中的位置与所述密钥在散列序列中的位置相对应，并且所述秘密提供模块被安排用于以反向的连续顺序提供所述表示。可以将表示序列存储在所述硬件令牌的存储模块上。
在另一方案中，本发明提供了一种与所述服务器系统一起使用的用户终端。所述用户终端包括：
秘密接收机，用于接收由硬件令牌所揭露的秘密的表示以及标识与所述硬件令牌相对应的数据记录的信息；
证书接收机，用于接收用户的验证证书；
值生成器，用于生成值；
发射机，用于将所述用户的所述验证证书、由所述硬件令牌所揭露的所述秘密的表示、标识与所述硬件令牌相对应的数据记录的信息以及所生 成的值发送到服务器系统；以及
数据接收机，用于从所述服务器系统以加密形式接收数据记录的内容的至少一部分以及从所述服务器系统接收密钥数据；
密钥计算模块，用于基于所述值和所述密钥数据来计算密钥；以及
数据解密器，用于基于所述密钥对所述数据记录的内容的至少一部分进行解密。
所述用户终端通过用户证书和来自硬件令牌的秘密提供了改善的安全性。另外，通过加密来保护数据记录，其中不需要通过网络来发送所述密钥。
秘密接收机可以包括令牌阅读器，用于电子地从所述硬件令牌获得所述表示或所述信息。
一种用于提供对数据记录的安全访问的系统可以包括：所述服务器系统、多个硬件令牌和多个用户终端。所述硬件令牌可由个人（如潜在患者）携带，并且所述用户终端可由用户（如紧急工作人员）携带或使用。当个人需要帮助但无法提供他或她的个人健康记录的访问细节时，紧急工作人员可以将所述硬件令牌与所述终端连接，并且所述终端可以向所述服务器系统发送秘密的表示；紧急工作人员向所述服务器系统验证他/她本身，并获得对该个人的个人健康记录的紧急部分的访问。该个人在下次需要紧急救助时，所述硬件令牌可以生成秘密的下一个表示。
在另一方案，本发明提供了一种提供对数据记录的安全访问的方法。所述方法包括：
在服务器系统上存储多个数据记录和用户的多个验证证书，一个数据记录具有与之相关联的、与对应于该数据记录的硬件令牌共享的秘密序列；
从用户终端接收用户的验证证书，并基于所述用户的验证证书来验证所述用户是所述服务器系统的用户；
从所述终端接收由硬件令牌所揭露的秘密的表示和标识对应于所述硬件令牌的数据记录的信息；
将所述秘密的表示和与对应于所述硬件令牌的数据记录相关联的秘密序列中的未使用的秘密进行匹配，，
如果所述秘密的表示与所述未使用的秘密相匹配并且所述用户已经被 验证是所述服务器系统的用户，则允许所述用户对对应于所述硬件令牌的数据记录的至少一部分进行访问；以及
将所述未使用的秘密标记为已使用。
在另一方案中，本发明提供了一种电脑程序产品，包括用于使处理器系统执行给出的方法的指令。
本领域技术人员将清楚的是，可以用任何被视为有用的方式来组合本发明的在上面提到的实施例、实现和/或方案中的两个或更多个。
本领域技术人员可以基于本描述来实施对所述服务器、所述用户终端、所述硬件令牌、所述方法和/或所述计算机程序产品的修改和变更，所述修改和变更与本发明的其他方面的所描述的修改和变更相对应。
附图说明
根据下文描述的实施例，本发明的这些和其他方案将是显而易见的，并且将参考这些实施例来阐明本发明的这些和其他方案。在本附图中，
图1为用于提供对数据记录的安全访问的系统的框图；
图2为在该系统中使用的用户终端的框图；
图3为提供对数据记录的安全访问的方法的流程图；以及
图4为提供用于提供对数据记录的安全访问的系统的另一视角的图。
具体实施方式
本实施方式描述了系统的实施例，所述系统可以用于在紧急情况下，例如当个人由于事故或心脏骤停而变得失去意识时，提供对个人的医疗记录的访问。个人可以携带一种硬件标签，个人可以按照类似信用卡的方式来对待这种硬件标签。存储在该硬件标签中的信息被秘密地保存。该硬件标签可以使得秘密信息以电子形式存储于其上，使得该信息只有在硬件标签连接到标签阅读器时才被暴露。或者，可以使得该信息是可见的，这样需要获得对数据记录的访问的个人可以将该信息复制到终端中。当用户失去意识时，医生可以获得这种硬件标签并使用其上的信息，以请求对该个人的存储在个人健康记录（PHR）的服务器上的个人健康记录进行一次性紧急访问。在数据标签被窃取或遗失的情况下，用户可以挂失，以通过在 服务器上封锁该硬件标签来禁止任何对PHR的紧急访问。
作为防止盗窃的对策，拥有数据标签并不一定意味着请求实体具有对用户的PHR的紧急访问。在PHR服务器中定义策略，来仅仅允许能够提供来自数据标签的信息的执业医生或医疗人员触发紧急访问。类似地，不具有来自数据标签的信息的医生并未被授权发起这种紧急访问。
另外，基于仅被PHR服务器所知的来自用户的散列链的密钥和来自医生的秘密，硬件标签可以提供一次性会话密钥以供急救医生用来访问用户的PHR。医生也能够查明从PHR服务器接收到的PHR是否为真实的以及它与用户的标识相对应。
图1示出了一种系统，包括：服务器系统100、用户终端200和硬件令牌60。该系统可以用于提供对数据记录2的安全访问。该服务器系统100可以通过使用多个计算机和存储介质来来实现。还可以仅仅使用单个计算机在更小的规模上实现该系统。鉴于本描述，其他的实现可能对于技术人员来说将是显而易见的。
服务器系统的存储模块1可以被配置成用于存储多个数据记录，例如个人健康记录。该图示意性地示出了一个数据记录2。紧急访问可能性被启用的每个数据记录2可以具有相应的硬件令牌60，所述相应的硬件令牌由与该数据记录2相关的个人携带。这样的数据记录2还可以具有与之相关联的秘密序列14，该秘密序列14是与对应于该数据记录2的硬件令牌60共享的。在图示中，已经通过例子的方式示出了秘密序列14中的四个秘密s1、s2、s3、s4。
另外，服务器系统100可以被安排用于存储用户验证信息3。这样的用户验证信息可以包括访问控制策略。所提到的用户可以是具有合法理由或者被授权访问该数据记录的医师或急救工作者或其他个人。
服务器系统100可以进一步包括：用户验证模块10，用于从用户终端200接收用户的验证证书11。用户验证模块10基于所接收到的验证证书11和所存储的验证信息3来判定终端200处的用户是否可以一般地访问服务器系统100所存储的数据记录的紧急数据。也就是说，该用户验证模块被安排用于验证用户是被授权的用户。验证模块10可以被安排用于例如基于所存储的访问控制策略来执行基于角色的访问控制或基于属性的访问控 制。基于角色的或基于属性的访问控制本身在本领域中是已知的。如下面所讨论的，在服务器系统100中，这样的策略可以允许用户只有在该用户还提供从硬件令牌60获得的合适秘密信息13时才能对数据记录进行访问，其中该用户具有与之相关联的特定的属性集。秘密信息13可以是在用户的控制下由终端200从硬件令牌60中读取并被转发给服务器100的。
服务器系统100可以进一步包括：秘密接收模块9，用于从终端200接收秘密的表示13。终端200可以被安排用于从与数据记录2相关的个人的硬件令牌60中读取秘密13。此外，可以接收标识与硬件令牌对应的数据记录的信息。这个后者的信息可以包括在秘密中或者它可以是从令牌获得的分离的一条数据或者是其他。
服务器系统100可以进一步包括：匹配模块7，用于将秘密的表示13与秘密序列中未使用的秘密进行匹配，其中该秘密序列与对应于硬件令牌60的数据记录2相关联。在图中，s1、s2和s3为未使用的秘密，而s4为已使用的秘密。例如，匹配模块7可以将所接收到的秘密的表示13与秘密序列14中的最后一个未使用的秘密s3进行匹配
服务器系统100可以进一步包括：访问允许模块6，用于如果秘密的表示13与未使用的秘密s3匹配并且用户已经被验证是被授权用户，则允许用户访问与硬件令牌60相对应的数据记录2的至少一部分。如果这两个条件没有被同时满足，则访问允许模块6则拒绝对数据记录2的访问。
服务器系统100可以进一步包括：标记模块12，用于将未使用的秘密s3标记为已使用。这样，系统追踪哪些秘密仍是未使用的（如s1和s2）。只有未使用的秘密的表示13可以用于获得对数据记录2的访问。
服务器系统可以包括：通信模块8，用于向与硬件令牌60相关联的个人的移动终端50（例如移动电话）进行自动电话呼叫或发送消息。例如，通信模块8可以包括在移动电话中发现的通信硬件或与这样的通信硬件的网络连接。通信模块8在访问允许模块6允许用户进行访问之前执行其任务。通信模块8能够进行双向通信。如果通信模块8接收到从移动终端50返回的合适的信号，那么通信模块8可以向访问允许模块6发送信号以指示访问允许模块6拒绝对数据记录2的访问。移动终端50包括用户接口，用于使用户能够发送合适的信号，例如DTMF音调或sms消息。
服务器系统100可以包括：加密器5，用于使用基于从用户终端接收的值的密钥，对数据记录2的至少一部分进行加密。该值可以是与秘密的表示13一起从用户终端发送的。服务器系统100可以进一步包括：数据发送模块4，用于向用户终端发送加密的数据和用于根据该值计算该密钥的信息。数据发送模块4可以将数据记录的全部可访问部分发送给终端200，并且终端200可以包括使用户能够浏览数据的软件。或者，数据发送模块4可以包括网络服务器，网络服务器发送由用户通过终端200和网络接口请求的数据记录2的元素。发送模块4无需基于如上描述的密钥计算。取而代之或另外，例如可以采用SSL和/或HTTPS加密技术或者其他数据保护协议。
服务器系统100可以被安排用于在接收到秘密的表示13之后仅允许对数据记录2访问一段有限的时间。例如，在仅仅的一次会话期间和/或在预定的时段期间允许访问。例如只有一个小时。可替换地或附加地，数据记录2被发送到用户终端200仅仅一次或仅仅预定的次数。
秘密的表示13可以包括秘密的加密（例如s3的加密）。加密是基于密钥的，并且该密钥可以是散列序列的一部分。散列序列是这样的一种序列：在该序列中，每个相继的元素是通过对之前的元素应用散列函数来获得的。秘密在秘密序列中的位置与密钥在散列序列中的位置相对应。也就是说，每一个相继的秘密是用散列序列中的下一个密钥加密的。这样，当从散列序列中的最后一个密钥开始逐个暴露这些密钥并逆向工作时，攻击者难以破解未暴露的秘密。之所以如此的原因在于散列函数是单向函数。
图1还示出了同与服务器系统100通信的用户终端200一起使用的硬件令牌60。硬件令牌60包括：秘密提供模块61，用于向终端200提供秘密的表示13。秘密的表示13可以包括秘密的加密。加密可以是基于密钥的，并且密钥可以是散列序列的一部分，并且秘密在秘密序列中的位置可以与密钥在散列序列中的位置相对应，并且秘密提供模块可以被安排用于以反向的连续顺序提供表示。
硬件令牌可以包括：检验器62，被安排用于接收密钥，其中秘密的加密是用该密钥生成的。该密钥被称作“接收到的密钥”。接收到的密钥可以从服务器系统100发送到终端200，并由终端转发到硬件令牌60。检验器 62可以对接收到的密钥应用散列函数。这样，便生成处理后的密钥。这个处理后的密钥可以与所存储的值进行比较，这个处理后的密钥可以经理进一步的处理步骤。所存储的值是基于散列序列中的另外的密钥的。在比较之后，将比较结果发送给终端。如果比较没有导致匹配，则终端可以产生错误，这是因为在服务器系统上的数据记录与硬件令牌上的信息之间存在不匹配。
图2示出了与服务器系统100一起使用的可能的用户终端200。图2的终端可以被安排用于执行硬件令牌中的检验器的任务。在这种情况下，硬件令牌无需执行检验。同样的，如果硬件令牌确实具有检验器62，则可以使用不具有校验器204的更简单的终端。终端200可以使用PC硬件来实现或可以使用不同的硬件以及合适的软件来实现。贯穿附图，已经用类似的参考数字表示了类似的对象。用户终端200可以包括：秘密接收机205，用于接收由硬件令牌60所暴露的秘密的表示以及标识与硬件令牌60相对应的数据记录的信息。用户终端200可以进一步包括：证书接收机206，用于接收用户的验证证书。证书接收机206可以基于例如使用户能够输入用户名和密码的用户接口元素。另外，使用用户名、密码和与用户相关联的硬件令牌（并不是与患者的数据记录相对应的硬件令牌60）的组合使得对用户的强验证成为可能。
用户终端200可以进一步包括：发射机201，用于将用户的验证证书、由硬件令牌60所暴露的秘密的表示以及标识与硬件令牌60相对应的数据记录的信息发送给服务器系统100。当服务器系统100基于所提供的信息允许对数据记录2的访问时，可以以加密形式将数据记录2中的内容发送到用户终端200。然而，同样，可以执行对服务器的验证和/或检查服务器系统100是否找到了正确的数据记录2，如下所示。
用户终端200可以包括：数据接收机202，用于从服务器系统100以加密形式接收数据记录的内容的至少一部分以及从服务器系统100接收密钥数据。该密钥数据可以被转发到检验器204，所述检验器204被安排用于将散列函数应用到所接收的密钥数据（一次或多次）以及进行可选的进一步的处理步骤，以获得处理后的密钥，并将处理后的密钥与为此目的而从硬件令牌60接收到的值进行比较。该值可以基于散列序列中的再往前的密钥。 基于这个比较，检验器204判定服务器系统100和/或数据记录2是否为真实的。
用户终端200可以包括：数据解密器203，用于基于密钥数据，对数据记录的内容的至少一部分进行解密。数据解密器203可以被配置成只有在检验器204进行的验证成功时才对数据记录的内容进行解密。
秘密接收模块205可以包括：令牌阅读器207，用于从硬件令牌60电子地获得表示和信息。例如，令牌阅读器207包括智能读卡器，并且硬件令牌60包括智能卡。
可以使用给出的服务器系统、硬件令牌和用户终端来建立完整的受保护的访问系统，其中检验器可以实现在用户终端中或实现在硬件令牌中。
图3示出了提供对数据记录的安全访问的方法。该方法可以以软件的形式实现，所述软件可以存储在一个或多个存储介质上，以分布在服务器系统、一个或多个用户终端以及一个或多个硬件令牌上。
该方法可以包括步骤301，存储多个数据记录并存储用户验证信息，一个数据记录具有与之相关联的与对应于该数据记录的硬件令牌共享的秘密序列；
该方法可以包括步骤302，从用户终端接收用户的验证证书，并基于该用户的验证证书和所存储的验证信息来验证该用户为被授权用户。
该方法可以包括步骤303，从终端接收由硬件令牌所暴露的秘密的表示和标识对应于硬件令牌的数据记录的信息。
该方法可以包括步骤304，将该秘密的表示和与对应于该硬件令牌的数据记录相关联的秘密序列中的未使用的秘密相匹配。
该方法可以包括步骤305，如果该秘密的表示与未使用的秘密相匹配并且该用户已经被验证是被授权用户，则允许该用户对对应于该硬件令牌的数据记录的至少一部分进行访问。
该方法还可以包括步骤306，将该未使用的秘密标记为已使用。
诸如数据标签智能卡（包含紧急挽救令牌）之类的硬件令牌的使用可以使医疗人员能够在紧急事件时获得对用户的PHR的访问。作为例子，可以实现如下特征。
-数据标签包含访问健康记录所需的访问信息。
–可以更新卡上的信息，而不需要销毁或无效您的记录。
-协议涉及对信息请求者的医疗证书进行的检查。
-协议确保了对记录的访问只对一个单个的会话有效。
示例性实施例可以包括如下元素中的一个或多个或者全部：
-PHR服务器通过生成散列链和挽救令牌与用户建立关联。挽救令牌与伪秘密一起被加密并存储在智能卡上。
-医生可以向PHR服务器验证自己，并且他的证书应当满足由PHR服务器定义的用于启用紧急访问的策略。
-医生或医生所使用的用户终端在本地生成秘密x，并将其连同伪秘密（ps）和第i个挽救令牌（rki）一起提供给PHR服务器。
只有在医生持有用户的智能卡时才允许紧急访问。其证据是通过提供伪秘密和挽救令牌二者来产生的。
-特定的挽救令牌的范围被限于特定的紧急会话。对于每一个紧急会话，使用不同的挽救令牌（rki）。第i个挽救令牌的使用仅仅能够实现针对第i次紧急会话的访问，并且之后是无效的，即使医生在之后尝试使用它也是如此。因此，这防止了医生在今后利用对用户的PHR的紧急访问，并且以有效的方式保护了用户的隐私。
-同时，PHR服务器可以向用户发起自动电话呼叫，以便判定用户当前是否处于紧急情况中。如果用户没有应当，则可以假定用户确实处于紧急情况中。
-在确认了用户（此处实际上为个人）的挽救令牌和伪秘密之后，PHR服务器在安全验证的通道中返回来自散列链K1,K2,…,KN的第(i-1)个密钥Ki-1，秘密随后与医生自己的秘密x组合在一起进行使用以生成一次性的秘密z，用于解密用户的PHR或PHR的子集。
-PHR服务器返回使用z加密的已加密PHR，并且可以在时间上限制对PHR的访问。在这种情况中，不向任何人暴露用户的用户访问PHR的原始密码或秘密。
图4示出了本发明实施例的更详细的例子。这些细节在此仅作为示例进行描述，并且可以分开地或组合地应用到图1和图2的系统以及图3的方法。系统示意性地示出了潜在患者451。该图还示出了智能卡452，其只 是硬件令牌的一个例子。该图进一步示出了PHR服务器453和用户终端454（通常由医生操作）。数字401-414表示与若干处理步骤相关联的数据流。
A.秘密的初始化（步骤401）
当用户注册PHR账户时，他从PHR服务器获得伪秘密。PHR服务器首先选择随机数K1作为散列链的第一个密钥[5]。将散列函数应用在该密钥上，以计算出散列链上的下一个密钥。将此过程重复n-1次，以生成散列链，如下所示：
K1→K2=H[K1]→K3=H[K2]→...→Kn=H[Kn-1]
散列链具有单向属性，原因在于：给定Kn，攻击者推导出Kn-1在计算上是不可行的。散列链对于每个个体来说是唯一的，并且它作为用户的PHR的标识符。散列链中的密钥可以用于判定用户的PHR的真实性。以反向的顺序使用散列链，并且Kn被表示为用户的伪秘密。
除了散列链之外，PHR服务器生成n挽救令牌X1,...,Xn，例如随机数，并且按照以下方式使用散列链中的密钥来对它们进行加密：
EKn-1(Xn),EKn-2(Xn-1),...,EK1(X2)
挽救令牌为在用户的硬件令牌和PHR服务器之间共享的秘密。由于加密，使用挽救令牌的医生不能对该令牌进行解密，因此阻止重演。因为每一个令牌是用来自密钥链中的密钥进行加密的并且该密钥仅为PHR服务器所知，所以攻击者不可能创建新的令牌或修改令牌。
将可能以明文形式包含伪秘密密钥的数据标签（即硬件令牌）、访问PHR服务器的URL以及加密的挽救令牌与附涵一起发送给用户，在所述附涵中建议用户总是随身携带该数据标签。
B.触发紧急访问
在紧急事件中，医生和PHR服务器可以执行如下步骤中的一些或全部以便向医生释放PHR数据：
-步骤402：医生查询数据标签智能卡上的数据。
-步骤403：数据标签智能卡返回伪秘密Kn和第i个挽救令牌rki＝EKi-1(Xi)。伪秘密用作用户的PHR的标识符，同时挽救令牌向医生允许紧急访问。当医生下一次查询智能卡时，将连同伪秘密Kn一起发布新的挽救令牌，即EKi-2(Xi-1)。
-步骤404：医生例如使用其用户名和密码、SAML令牌、PKI证书等来向PHR服务器进行验证。
-步骤405：PHR服务器对医生进行验证并返回验证失败或成功的消息。
-步骤406：在成功验证之后，医生在本地生成随机秘密x。
-步骤407：在生成该秘密之后，医生向PHR服务器发送伪秘密（ps=Kn）、挽救令牌（rki=EKi-1(Xi)）和随机秘密x。
-步骤408：基于所接收的伪秘密，PHR服务器定位用户的相应的散列链，并往回推进散列链以获得Ki-1。随后使用Ki-1来解密挽救令牌，并且PHR服务器确保该令牌在之前从来没有被使用过，否则PHR服务器中止此次会话，并将不释放患者的PHR数据。
-步骤409：PHR服务器还可以向用户进行自动的电话呼叫，以判定该用户是否在紧急情况中；如果用户指示不在紧急情况中，则将立即中止紧急访问请求。
-步骤410：如果已经查明是紧急情况，则PHR服务器生成一次性秘密密钥z=x+Ki-1，
-步骤411：PHR服务器然后使用秘密密钥z来加密用户的PHR。
-步骤412：PHR服务器将加密的PHR连同密钥Ki-1一起发送给医生（例如，密钥可以作为密钥交换协议的一部分被发送）。
-步骤413：医生的终端也知道x和Ki-1，也可以计算一次性秘密z。然而，在这之前，医生可以确保从PHR服务器接收到的Ki-1是真实的并与用户的标识相对应，以便确保获取正确的PHR。医生的终端可以将散列函数重复地应用到Ki-1和所产生的散列值，直到其到达Kn，其中Kn可以被认为是用户的伪秘密。这用作对PHR服务器进行验证的一种方式，这是因为只有PHR服务器知道完整的散列链H[Ki-1]→…→H[Kn-1]=Kn。
-步骤414：医生使用步骤413的输出来解密PHR数据。
将清楚的是，本发明还应用于适于将本发明付诸实践的计算机程序，尤其是载体上或载体中的计算机程序。程序可以为源代码、目标代码、代码中间源和目标代码的形式，例如部分编译形式或者适合用于实现根据本发明的方法的任何其他形式。还将清楚的是，这样的程序可以具有多种不同的架构设计。例如，实现根据本发明的方法或系统的功能的程序代码可 以被细分成一个或多个的子例程。在这些子例程中分配功能的多种不同的方式对于技术人员来说将是显而易见的。子例程可以一起存储在一个可执行文件中以形成独立的程序。这样的可执行文件可以包括计算机可执行指令，例如处理器指令和/或解释器指令（例如Java解释器指令）。或者，这些子例程中的一个或多个或全部可以存储在至少一个外部库文件中，并例如在运行时与主程序静态地或动态地链接。主程序包含对至少一个子例程的至少一个调用。子例程还可以包括对彼此的调用。涉及计算机程序产品的实施例包括：与本文给出的至少一个方法中的每一个处理步骤相对应的计算机可执行指令。这些指令可以被细分为子例程和/或存储在可以被静态或动态链接的一个或多个文件中。涉及计算机程序产品的另一实施例包括：与本文中给出的至少一个系统和/或产品中的每一个模块相对应的计算机可执行指令。这些指令可以被细分为子例程和/或存储在可以被静态或动态链接的一个或多个文件中。
计算机程序的载体可是能够承载程序的任何实体或设备。例如，载体可以包括：存储介质，例如ROM，如CD ROM或半导体ROM；或者磁记录介质，如闪存驱动器或硬盘。更进一步，载体可以为诸如电信号或光信号之类的可传输载体，其可以通过电缆或光缆或者通过无线电或其他方式进行传送。当程序用这样的信号来实施时，载体可以由这样的电缆或者其他设备或方式组成。或者，载体可以是嵌入程序的集成电路，该集成电路适用于执行相关的方法或者在相关的方法的执行的过程中使用。
应当注意的是，上述的实施例示出而不是限制本发明，并且本领域技术人员将能够设计出许多替换的实施例，而不不偏离所附权利要求的范围。在权利要求中，任何放置在圆括号中的参考符号不应被解释为是对权利要求的限制。使用动词“包括”及其词形变化并不排除存在不同于权利要求中所陈述的元素或步骤的元素或步骤。元素之前的冠词“一”或“一个”并不排除存在多个这样的元素。可以通过包括若干不同元件的硬件以及通过适当编程的计算机来实现本发明。在列举了若干模块的设备权利要求中，这些模块中的若干个可以由一个并且相同的硬件项来实施。某些措施被记载在相互不同的从属权利要求中这一不争的事实并不是表示不能使用这些措施的组合来获利。