專利名稱:用于從服務(wù)器取回醫(yī)療數(shù)據(jù)的數(shù)字權(quán)利管理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種從服務(wù)器取回醫(yī)療數(shù)據(jù)的方法�����。本發(fā)明還涉及一種用于從服務(wù)器取回醫(yī)療數(shù)據(jù)的系統(tǒng)��。本發(fā)明還涉及在這種系統(tǒng)中使用的服務(wù)器��。本發(fā)明還涉及在這種系統(tǒng)中使用的客戶端�。本發(fā)明還涉及包含這種客戶端的醫(yī)療工作站�。本發(fā)明還涉及包含這種系統(tǒng)的醫(yī)療信息管理系統(tǒng)。本發(fā)明還涉及一種在這種方法或系統(tǒng)中使用的數(shù)字權(quán)利管理服務(wù)�����。
技術(shù)背景當(dāng)今�����,大量諸如醫(yī)療圖像以及諸如姓名���、性別�����、過敏反應(yīng)等病人數(shù)據(jù) 的醫(yī)療數(shù)據(jù)被數(shù)字化存儲在專用服務(wù)器上的數(shù)據(jù)庫中�。 一個(gè)涉及醫(yī)療圖像的例子是圖像存檔和通信系統(tǒng)(PACS)�����,其用于組織專用服務(wù)器上的數(shù)據(jù)庫 中圖像中央存儲��。將醫(yī)療圖像從圖像獲取系統(tǒng)發(fā)送到服務(wù)器��,并且通過從 該服務(wù)器取回這些醫(yī)療圖像并將它們顯示到工作站上來觀看這些醫(yī)療圖 像��。通常將這種體系結(jié)構(gòu)稱為客戶端一服務(wù)器體系結(jié)構(gòu)����。另一個(gè)這種醫(yī)療信息管理系統(tǒng)的例子是用于組織諸如結(jié)算、實(shí)驗(yàn)室檢 査等管理病人數(shù)據(jù)的醫(yī)院信息系統(tǒng)(HIS)�,或者用于例如組織獲取站上病人 時(shí)間表安排的放射科信息系統(tǒng)(RIS)。由于醫(yī)療數(shù)據(jù)固有的個(gè)人屬性���,醫(yī)療數(shù)據(jù)受隱私和安全規(guī)則的約束����, 這些數(shù)據(jù)通常受到國家政府的管制,例如����,美國的健康保險(xiǎn)可攜性和責(zé)任 法案(HIPAA)。例如���,這種安全規(guī)則可以包括只有某些人可以訪問病人數(shù)據(jù)
并且不可以更改病人數(shù)據(jù)��。例如�,當(dāng)數(shù)據(jù)存儲在數(shù)據(jù)庫時(shí)����、當(dāng)在工作站觀看數(shù)據(jù)時(shí)或者數(shù)據(jù)通過 網(wǎng)絡(luò)傳輸自或傳輸?shù)皆摲?wù)器時(shí),在數(shù)據(jù)可能存在的不同地方���,執(zhí)行(即����,強(qiáng)制執(zhí)行)這些安全規(guī)則�,上述網(wǎng)絡(luò)諸如使用互聯(lián)網(wǎng)的局域網(wǎng)(LAN)或廣域 網(wǎng)(WAN)�。通常,在醫(yī)院的范圍內(nèi),采用諸如企業(yè)內(nèi)部網(wǎng)的私有網(wǎng)絡(luò)來確 保沒有從醫(yī)院范圍外部對該網(wǎng)絡(luò)以及數(shù)據(jù)的未授權(quán)訪問����。隨著無線網(wǎng)絡(luò)的引入,網(wǎng)絡(luò)對公眾變得越來越開放���。此外���,醫(yī)院和醫(yī) 師們也希望能通過互聯(lián)網(wǎng)交換病人的醫(yī)療數(shù)據(jù),這樣就需要通過公共互聯(lián) 網(wǎng)來訪問私有醫(yī)療數(shù)據(jù)�����。 一個(gè)典型的例子就是一些緊急情況�,在這些情況 下,在物理建筑之外�����、在私有網(wǎng)絡(luò)之外乃至在管理所請求數(shù)據(jù)的組織結(jié)構(gòu) 之外的救護(hù)車或急救人員需要訪問數(shù)據(jù)�。在US 6,876,985中公開了從服務(wù)器取回醫(yī)療數(shù)據(jù)的方法的一個(gè)例子, 它能使醫(yī)院或其它組織將病人數(shù)據(jù)存入公共地方�����,同時(shí)保持其機(jī)密性。所 公開的病人信息管理方法包括一個(gè)存儲管理設(shè)備�,其中,對病人信息進(jìn)行 加密��,這使得使用病人識另IJ(ID)信息以及由病人決定的口令時(shí)可以對病人信 息進(jìn)行解密��。將加密的病人信息存入存儲設(shè)備中��。該存儲管理設(shè)備向存儲 設(shè)備發(fā)出使用請求���,以便接收加密的病人信息���,以及使用病人ID信息和口 令對病人信息解密使用。通常���,這種數(shù)字?jǐn)?shù)據(jù)(這里是數(shù)字醫(yī)療數(shù)據(jù))保護(hù)指的是數(shù)字權(quán)利管理 (DRM)����。例如����,通過DRM可以保護(hù)數(shù)字?jǐn)?shù)據(jù)的允許拷貝數(shù)目,控制訪問該 數(shù)字?jǐn)?shù)據(jù)的用戶�,控制用戶如何使用數(shù)據(jù),以及控制對該數(shù)字?jǐn)?shù)據(jù)的修改����。 用許可證來對這些策略進(jìn)行管理和說明。這些許可證包含用于表達(dá)策略的 權(quán)利表示�,并且伴隨著加密內(nèi)容。在對這些權(quán)利表示進(jìn)行評估之后��,采用 相關(guān)的加密密鑰來解碼數(shù)據(jù)��。至此�,必須在客戶端處實(shí)現(xiàn)DRM,以便保護(hù) 服務(wù)器的拷貝內(nèi)容�,以便安全地評估權(quán)利表示,以便對內(nèi)容進(jìn)行解密并且 將內(nèi)容傳給可信賴的呈現(xiàn)應(yīng)用��。根據(jù)DRM強(qiáng)制執(zhí)行的規(guī)則����,執(zhí)行DRM的
客戶端可以被認(rèn)證使用服務(wù)器的內(nèi)容。不執(zhí)行DRM的客戶端不被認(rèn)證使用 服務(wù)器的內(nèi)容����。可信賴的呈現(xiàn)應(yīng)用是使用該內(nèi)容的應(yīng)用�,并且是DRM的一 部分或者是DRM已知的����。除了影響例如請求用戶鑒權(quán)和校驗(yàn)但之后沒有后 續(xù)保護(hù)就給出數(shù)據(jù)的傳統(tǒng)訪問控制系統(tǒng)以外����,DRM控制還影響客戶端上內(nèi) 容的使用?����?蛻舳松鲜褂肈RM使客戶端被認(rèn)證使用專用服務(wù)器���,因此該服 務(wù)器同意將數(shù)據(jù)給這種客戶端�。DRM系統(tǒng)的例子可參見2003年 Springer-Verlag (LNCS2770)出版的S.Guth的"DRM系統(tǒng)樣例���,數(shù)字權(quán)利管 理技術(shù)��、經(jīng)濟(jì)�、法律和政治方面"或者參見2004年8月20日開放移動 聯(lián)盟(Open Mobile Alliance)的DRM體系結(jié)構(gòu)草案版本2.0��。結(jié)果是��,在醫(yī)院內(nèi)部或外部使用的����、請求訪問服務(wù)器上所存儲的醫(yī)療 數(shù)據(jù)的不同設(shè)備(即��,客戶端)必須執(zhí)行服務(wù)器的DRM。然而�����,不同醫(yī)療數(shù) 據(jù)服務(wù)器可以要求在客戶端上執(zhí)行不同的DRM���,以限制客戶端的可用性�����。 例如�,因?yàn)椴粓?zhí)行所要求的DRM����,向服務(wù)器請求諸如年齡的病人數(shù)據(jù)的便 攜心臟監(jiān)視器設(shè)備不能取回該數(shù)據(jù)。該問題尤其涉及緊急情況下使用不同 系統(tǒng)的第三者醫(yī)療提供方的組合情況��,這種緊急情況下時(shí)間和信息可訪問 性都很危急�����。發(fā)明內(nèi)容本發(fā)明的一個(gè)目標(biāo)是提供一種從服務(wù)器取回醫(yī)療數(shù)據(jù)以改進(jìn)客戶端可 用性的方法。為了達(dá)到此目的����,本發(fā)明提供了一種如本文首段所述的從服 務(wù)器取回醫(yī)療數(shù)據(jù)的方法,該方法包括未認(rèn)證的客戶端從服務(wù)器請求醫(yī) 療數(shù)據(jù)�;將已認(rèn)證的數(shù)字權(quán)利管理服務(wù)安裝到未認(rèn)證的客戶端上;根據(jù)所 安裝的己認(rèn)證的數(shù)字權(quán)利管理服務(wù)對所請求的醫(yī)療數(shù)據(jù)進(jìn)行管理�,以從服 務(wù)器取回醫(yī)療數(shù)據(jù)。當(dāng)該客戶端從服務(wù)器請求醫(yī)療數(shù)據(jù)時(shí)通過在未認(rèn)證的 客戶端上安裝已認(rèn)證的數(shù)字權(quán)利管理服務(wù)�,該未認(rèn)證的客戶端無需知道該 服務(wù)器需要什么類型的數(shù)字權(quán)利管理。因此����,該客戶端可用于多個(gè)服務(wù)器,
每個(gè)服務(wù)器具有其自己的用于醫(yī)療數(shù)據(jù)的數(shù)字權(quán)利管理��。這樣�����,該服務(wù)器 提供了一種機(jī)制���,使得能根據(jù)特定服務(wù)器的數(shù)字權(quán)利管理規(guī)則保證存儲在服務(wù)器上的該醫(yī)療數(shù)據(jù)的安全性和整體性�����。該DRM服務(wù)的另一個(gè)優(yōu)點(diǎn)是信 任和控制處于服務(wù)器的控制下���,這是因?yàn)榉?wù)器這方產(chǎn)生該DRM服務(wù)���,并 且例如可以通過混淆(obfoscation)技術(shù)或其它己知技術(shù)來控制強(qiáng)壯性。在根據(jù)本發(fā)明的方法的一個(gè)實(shí)施例中���,根據(jù)訪問策略約束對醫(yī)療數(shù)據(jù) 的訪問,并且根據(jù)另一個(gè)訪問策略約束未認(rèn)證的客戶端對醫(yī)療數(shù)據(jù)的訪問����, 并且已認(rèn)證的數(shù)字權(quán)利管理服務(wù)基于該訪問策略和該另一個(gè)訪問策略獲得 結(jié)果策略。因此�,進(jìn)一步以靈活的方式對該數(shù)據(jù)的隱私性和安全性進(jìn)行控 制。根據(jù)客戶端和DRM服務(wù)的安全��、信賴和強(qiáng)壯情況�,可以定義其它訪問 策略以及由此產(chǎn)生的結(jié)果策略。這帶來的優(yōu)點(diǎn)是�����,可以將數(shù)據(jù)用于有意識 的使用,而不會用于其它使用�����,這提高了隱私性和安全性���。另一個(gè)優(yōu)點(diǎn)是�����, 可以將其它策略添加到常規(guī)的數(shù)據(jù)訪問策略上��,并且伴隨著數(shù)據(jù)一起在傳 給客戶端時(shí)傳出���,這具有的優(yōu)點(diǎn)是,直到在客戶端設(shè)備處使用的時(shí)刻����,一 直強(qiáng)制執(zhí)行這些政策。在根據(jù)本發(fā)明的方法的一個(gè)實(shí)施例中��,管理步驟包 括限制未認(rèn)證的客戶端對醫(yī)療數(shù)據(jù)的使用時(shí)間段��。由此����,可以防止醫(yī)療數(shù) 據(jù)在無限的時(shí)間段中用于該客戶端���。在根據(jù)本發(fā)明的方法的另一個(gè)實(shí)施例中,管理步驟包括限制所請求醫(yī) 療數(shù)據(jù)的取回?cái)?shù)量���。由此���,可以防止一個(gè)客戶端取回多于服務(wù)器允許數(shù)量 的醫(yī)療數(shù)據(jù)。此外�����,以靈活的方式對數(shù)據(jù)的秘密性和安全性進(jìn)一步進(jìn)行控 制�。根據(jù)客戶端的安全�、信賴以及強(qiáng)壯情況、DRM服務(wù)�����、以及進(jìn)行請求的 已鑒權(quán)用戶�����,可以給出或多或少的數(shù)據(jù)。另一個(gè)優(yōu)點(diǎn)是��,允許考慮更多的 上下文信息來決定為客戶端給出數(shù)據(jù)��。例如當(dāng)信賴一個(gè)客戶端或用戶時(shí)系 統(tǒng)可以傳遞更多數(shù)據(jù)�����,例如這是因?yàn)槭艿揭咽苄刨嚨目蛻舳送扑]或在過去 已作出正確的請求或該用戶是己知的��。在根據(jù)本發(fā)明的方法的另一實(shí)施例中���,該方法還包括對醫(yī)療數(shù)據(jù)請求
進(jìn)行日志記錄����。由此����,可以跟蹤所請求的醫(yī)療數(shù)據(jù),其可以包括跟蹤客戶 端����、數(shù)據(jù)被請求的次數(shù)、請求的是什么數(shù)據(jù)����、醫(yī)療數(shù)據(jù)請求時(shí)間等。在根據(jù)本發(fā)明的方法另一個(gè)實(shí)施例中,該方法還包括在安裝已認(rèn)證的 數(shù)字權(quán)利管理服務(wù)之前或發(fā)送作為請求的一部分的數(shù)據(jù)之前對用戶進(jìn)行鑒 權(quán)����。通過請求鑒權(quán)��,類似例如通過信用卡驗(yàn)證��、電話號碼、用戶識別的校 驗(yàn)方式�,可以控制允許操作該客戶端的用戶請求該醫(yī)療數(shù)據(jù)�����。此外����,即使 在采用較弱形式時(shí)����,尤其是在用于確定使用策略和/或確定要傳遞數(shù)據(jù)數(shù)量 時(shí)��,鑒權(quán)都會提高信任級別�。較弱形式鑒權(quán)的一些例子是信用卡號和電子 郵件地址��。使用較弱形式鑒權(quán)具有另一個(gè)優(yōu)點(diǎn)是不需要全局信任的身份體 系結(jié)構(gòu)����,但是可以使用其它的身份體系結(jié)構(gòu)。本發(fā)明的另一個(gè)目標(biāo)是提供從改進(jìn)客戶端可用性的服務(wù)器取回醫(yī)療數(shù) 據(jù)的系統(tǒng)�。為達(dá)到該目標(biāo),本發(fā)明提供了如本文首段所述的從服務(wù)器取回 醫(yī)療數(shù)據(jù)的系統(tǒng)�,該系統(tǒng)包括用于由未認(rèn)證的客戶端從服務(wù)器請求醫(yī)療 數(shù)據(jù)的裝置;用于將已認(rèn)證的數(shù)字權(quán)利管理服務(wù)安裝到未確定認(rèn)的客戶端 上的裝置��;用于根據(jù)所安裝的已認(rèn)證的數(shù)字權(quán)利管理服務(wù)對所請求的醫(yī)療 數(shù)據(jù)進(jìn)行管理����,以從服務(wù)器取回醫(yī)療數(shù)據(jù)的裝置����。本發(fā)明的另一個(gè)目標(biāo)是提供從改進(jìn)客戶端可用性的服務(wù)器取回醫(yī)療數(shù) 據(jù)的系統(tǒng)中使用的服務(wù)器��。為達(dá)到該目標(biāo),本發(fā)明提供了在根據(jù)本發(fā)明的 系統(tǒng)中使用的服務(wù)器����,該服務(wù)器包括將已認(rèn)證的數(shù)字權(quán)利管理服務(wù)安裝在 未認(rèn)證客戶端上的裝置��。本發(fā)明的另 一個(gè)目標(biāo)是提供從改進(jìn)客戶端可用性的服務(wù)器取回醫(yī)療數(shù) 據(jù)的系統(tǒng)中的客戶端�。為達(dá)到該目標(biāo),本發(fā)明提供了在根據(jù)本發(fā)明的系統(tǒng) 中所使用的未認(rèn)證的客戶端,該未認(rèn)證的客戶端包括用于由未認(rèn)證的客戶 端從服務(wù)器請求醫(yī)療數(shù)據(jù)的裝置。本發(fā)明的另一個(gè)目標(biāo)是提供從改進(jìn)醫(yī)療工作站可用性的服務(wù)器取回醫(yī) 療數(shù)據(jù)的醫(yī)療工作站。為達(dá)到此目標(biāo)��,本發(fā)明提供了包括根據(jù)本發(fā)明的未 認(rèn)證的客戶端的醫(yī)療工作站。本發(fā)明的另一個(gè)目標(biāo)是提供從改進(jìn)客戶端可 用性的服務(wù)器取回醫(yī)療數(shù)據(jù)的醫(yī)療信息管理系統(tǒng)。為了達(dá)到該目標(biāo),本發(fā) 明提供了包括根據(jù)本發(fā)明的系統(tǒng)的醫(yī)療信息管理系統(tǒng)���。本發(fā)明還提供了在根據(jù)本發(fā)明的方法或系統(tǒng)中使用的數(shù)字權(quán)利管理服 務(wù),該數(shù)字權(quán)利管理服務(wù)被設(shè)計(jì)用于由包括處理單元和存儲器的計(jì)算機(jī)裝 置載入���,該數(shù)字權(quán)利管理服務(wù)在載入之后為處理單元提供把來自未認(rèn)證客 戶端的請求和響應(yīng)管理為服務(wù)器的請求和響應(yīng)的能力��。參考根據(jù)本發(fā)明的方法說明的系統(tǒng)����、服務(wù)器����、客戶端、醫(yī)療工作站����、 醫(yī)療信息管理系統(tǒng)以及數(shù)字權(quán)利管理服務(wù),可以達(dá)到同樣的優(yōu)點(diǎn)��。
參考結(jié)合如下列各圖所說明的各實(shí)施例,本發(fā)明的這些和其它方面將 會顯而易見并被闡明圖1以示意方式示出了根據(jù)本發(fā)明的客戶端-服務(wù)器體系結(jié)構(gòu)���; 圖2示出了根據(jù)本發(fā)明的客戶端和服務(wù)器的基本體系結(jié)構(gòu)��; 圖3示出了根據(jù)本發(fā)明的方法的流程圖; 圖4示出了根據(jù)本發(fā)明的數(shù)字權(quán)利管理服務(wù)的流程圖��。
具體實(shí)施方式
圖1示出了根據(jù)本發(fā)明的客戶端-服務(wù)器體系結(jié)構(gòu)100���,其包括通過互 聯(lián)網(wǎng)108與服務(wù)器106相連的客戶端110�、 112����、 114以及116。該服務(wù)器是 在醫(yī)院102中管理病人信息的醫(yī)療信息管理系統(tǒng)104的一部分�����?����?蛻舳?10 是移動心臟監(jiān)視器的一部分����,客戶端112是移動電話的一部分���,客戶端114 是用于家庭醫(yī)師在家庭醫(yī)師出診處查看病人信息的醫(yī)療工作站的一部分, 以及客戶端116是位于另一個(gè)醫(yī)院118中的醫(yī)療工作站的一部分�。例如, 其它諸如個(gè)人數(shù)字助理的設(shè)備也可以具體實(shí)現(xiàn)為客戶端�,而不會偏離本發(fā) 明的概念?�?梢詫⑨t(yī)療信息管理系統(tǒng)104設(shè)計(jì)用于管理圖像數(shù)據(jù)�����,諸如PACS 系統(tǒng)���,或者可以將其設(shè)計(jì)用于對管理病人數(shù)據(jù)進(jìn)行管理�����,諸如HIS系統(tǒng)�, 或者可以將其設(shè)計(jì)為管理不同圖像獲取設(shè)備上病人時(shí)間表安排�����,諸如RIS 系統(tǒng)。例如���,圖像獲取設(shè)備是磁共振設(shè)備(MR;)�����、超聲(US)設(shè)備����、X射線設(shè) 備等�����。將這些客戶端設(shè)計(jì)用于通過互聯(lián)網(wǎng)與服務(wù)器建立連接�����,將服務(wù)器設(shè) 計(jì)用于響應(yīng)請求以便與客戶端建立連接�。參考圖3還說明了客戶端和服務(wù) 器之間的交互作用�����。圖2示出了根據(jù)本發(fā)明的客戶端206和服務(wù)器202的基本體系結(jié)構(gòu)200����。 將如下所述的客戶端����、服務(wù)器二者及其各組件實(shí)現(xiàn)為可由例如通用計(jì)算機(jī) 的處理器執(zhí)行的計(jì)算機(jī)可讀代碼��,通用計(jì)算機(jī)諸如個(gè)人計(jì)算機(jī)或參考圖1 所述的設(shè)備���。服務(wù)器202保存有對數(shù)據(jù)的訪問策略204����,該數(shù)據(jù)受到醫(yī)療信 息管理系統(tǒng)的管理����。訪問策略可以包括對數(shù)據(jù)的訪問權(quán)利,即允許誰觀看 什么數(shù)據(jù)以及允許誰改變該數(shù)據(jù)���。作為第一方面����,數(shù)據(jù)中心訪問策略之外 的另外的訪問策略控制未認(rèn)證客戶端以及可下載的DRM服務(wù)上的數(shù)據(jù)使 用����。將這些策略與原始數(shù)據(jù)中心策略一起用于產(chǎn)生總的結(jié)果訪問策略或目 標(biāo)針對客戶端請求的許可證��。例如���,另外的訪問策略可以包括數(shù)據(jù)可使用 或可存儲的持續(xù)時(shí)間。作為第二方面���,可以有定義了作為對請求的響應(yīng)要 傳遞什么數(shù)據(jù)和多少數(shù)據(jù)的另外一些訪問策略��。因此�,將這些策略用于確 定要傳遞什么數(shù)據(jù)���,但不像屬于第一方面的策略那樣���,這些策略通常不產(chǎn) 生傳給請求客戶端的特定許可證�。對于這兩方面,注意到要考慮上下文���。 例如����,這些策略可以涉及發(fā)起連接的設(shè)備的標(biāo)識或地址�����、已鑒權(quán)用戶、先 前請求等��。此外�,服務(wù)器含有連接建立器214,建立器214批準(zhǔn)并建立與客 戶端的連接�,并且使得當(dāng)請求的時(shí)候,諸如當(dāng)與未認(rèn)證的客戶端建立連接 時(shí)�����,允許安裝可下載的DRM服務(wù)����。客戶端206包括能使客戶端建立與服務(wù)器的連接的應(yīng)用程序編程接口 (API)208���,例如通過實(shí)現(xiàn)傳輸控制協(xié)議(TCP)以及根據(jù)超文本傳輸協(xié)議 (HTTP)發(fā)送請求來建立連接��。此外����,該客戶端為DRM客戶端提供了一個(gè) 執(zhí)行環(huán)境210。執(zhí)行環(huán)境210的示例包括諸如Java虛擬機(jī)的虛擬機(jī)或自保 護(hù)數(shù)字內(nèi)容(SPDC)��,見2003年四月Cryptography Research Inc.的白皮書P Kocher�����、 J Jaffe�、 B Jun、 C Laren�、 N Lawson的"自保護(hù)數(shù)字內(nèi)容",其提 供了或多或少獨(dú)立于平臺的優(yōu)點(diǎn)��。此外�����,該客戶端包括組件212���,該組件 212處理DRM服務(wù)的下載并且使得其能夠在執(zhí)行環(huán)境中執(zhí)行����。此外����,DRM 服務(wù)還包括客戶端用于通過DRM服務(wù)請求訪問某些數(shù)據(jù)的API,其通常涉 及許可證評估�、數(shù)據(jù)解密等����。該組件以下載DRM服務(wù)開始�,該下載可以作 為協(xié)議本身的一部分通過發(fā)送請求以及作為響應(yīng)獲得DRM服務(wù)二進(jìn)制代 碼來進(jìn)行,或者該下載可以在協(xié)議之外通過使用諸如HTTP的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié) 議將下載請求發(fā)送到服務(wù)器指示的位置來進(jìn)行����。該組件將DRM服務(wù)二進(jìn)制 代碼存入可寫存儲器,例如����,硬盤、閃存或隨機(jī)存取存儲器(RAM)�。隨后, 其將DRM服務(wù)二進(jìn)制代碼寄存到虛擬機(jī)��,該虛擬機(jī)在其中實(shí)現(xiàn)使下面提到 的DRM服務(wù)API可用于客戶端上運(yùn)行的�����、需要使用該DRM服務(wù)的程序����。 最終,該組件調(diào)用了 DRM客戶端的初始化方法?��?蛻舳送ㄟ^執(zhí)行環(huán)境將 API提供給DRM服務(wù)��,DRM服務(wù)使用該執(zhí)行環(huán)境與終端用戶進(jìn)行通信�, 以例如顯示數(shù)據(jù)�����、或請求包括鑒權(quán)細(xì)節(jié)的輸入以及諸如網(wǎng)絡(luò)通信�、存儲和 例如實(shí)時(shí)時(shí)鐘的其它平臺服務(wù)。圖3示出了根據(jù)本發(fā)明的方法300的流程圖�。例如,將客戶端考慮為 家庭醫(yī)師在病人家訪問病人時(shí)使用的移動心臟監(jiān)視器的一部分�����。出于比較 病人心臟有關(guān)信息的目的����,家庭醫(yī)師想要從位于醫(yī)院的服務(wù)器取回該病人 的歷史數(shù)據(jù)。出于此目的�����,家庭醫(yī)師請求移動心臟監(jiān)視器取回有關(guān)信息���。 作為響應(yīng)����,在步驟302中���,安裝在移動心臟監(jiān)視器上的客戶端建立了與服 務(wù)器的連接��。在下一步驟304中����,客戶端使用一般網(wǎng)絡(luò)(-服務(wù))協(xié)議上的專 用請求-響應(yīng)應(yīng)用協(xié)議��,諸如TCP/IP上HTTP上的簡單對象訪問協(xié)議 (SOAP)����,通過互聯(lián)網(wǎng)向服務(wù)器發(fā)送請求。服務(wù)器接收到該請求并在步驟306
中檢査該客戶端是否按服務(wù)器要求實(shí)現(xiàn)了 DRM�����?��?梢杂貌捎霉裁荑€和包 括在DRM服務(wù)中的證書的安全挑戰(zhàn)-響應(yīng)鑒權(quán)來進(jìn)行這種檢查��。如果該客 戶端并未實(shí)現(xiàn)DRM�����,則服務(wù)器將相應(yīng)的DRM發(fā)送給該客戶端�����?�?蛇x擇地���, 在步驟308中����,在安裝之前�,或作為步驟312或314的一部分,或在步驟 312或314之前�����,向客戶端請求某些用戶鑒權(quán)��。例如,通過請求家庭醫(yī)師給 出他的唯一識別碼��,如果該醫(yī)師在之前向該系統(tǒng)進(jìn)行過注冊并且在注冊時(shí) 注冊了他的唯一識別碼���,這種用戶鑒權(quán)尤其會很起作用,否則啟動其它鑒 權(quán)或注冊過程�����。隨后����,對該識別碼進(jìn)行評估?��?蛇x擇地����,基于該訪問策略 和其它訪問策略進(jìn)行第一次評估���,以確定是否允許該家庭醫(yī)師訪問所請求 的數(shù)據(jù)���,在肯定的評估結(jié)果情況下繼續(xù)進(jìn)行到下一步驟�。在步驟310中該 方法繼續(xù)到安裝DRM��。如果鑒權(quán)是否定的��,在步驟316中該方法結(jié)束����,不 再安裝DRM并且終止連接。在步驟310中安裝了 DRM����。當(dāng)安裝DRM時(shí) 認(rèn)證該客戶端按照服務(wù)器所要求的DRM與服務(wù)器進(jìn)行交互。然后�����,在步驟 312中�,服務(wù)器將用內(nèi)容密鑰加密過的所請求信息發(fā)送給客戶端,在客戶端 該信息處于所安裝的DRM的保護(hù)之下�。通常,該數(shù)據(jù)伴隨有許可證����,該許 可證包含根據(jù)策略和內(nèi)容密鑰得到的權(quán)利表示,對該數(shù)據(jù)進(jìn)行加密使得只 有客戶端上的DRM服務(wù)能對其進(jìn)行解密��。此后,完成了取回��。作為步驟 306到312的一部分��,服務(wù)器根據(jù)起作用的策略進(jìn)行日志記錄��,例如���,記錄 請求本身以及相關(guān)信息,諸如請求時(shí)間�、與授予權(quán)利表示一起傳遞的信息、 提供的鑒權(quán)信息等����。可選擇地���,在步驟310中安裝的DRM包括可執(zhí)行代碼 或數(shù)據(jù)中嵌入的策略�����,可以將其看作對于客戶端側(cè)是固定的其它訪問策略 的具體形式�����。這些策略通常不是數(shù)據(jù)中心的(如步驟312的策略那樣)�����,但是 一般可以為要使用該DRM釋放的任何數(shù)據(jù)保留這些策略��。在步驟312中��, 該客戶端可以使用這些策略��,其中可以由DRM服務(wù)檢查是否允許該用戶取 回所請求數(shù)量的數(shù)據(jù)���,例如����,未認(rèn)證的客戶端僅可以取回有限數(shù)量的數(shù)據(jù)���。 這些策略限制可以施加到一個(gè)病人的信息上��,但也可以施加到多個(gè)病人����,
即在同時(shí)刻允許請求多少病人的信息。當(dāng)客戶端與多個(gè)獨(dú)立服務(wù)器交互時(shí)�����,這類強(qiáng)制也起作用�。在步驟314中,根據(jù)如參考圖4更詳細(xì)說明的DRM����, 對信息進(jìn)行管理。現(xiàn)在����,該家庭醫(yī)師已經(jīng)訪問了歷史病人信息�,在步驟316 中該方法終止。圖4示出了根據(jù)本發(fā)明的數(shù)字權(quán)利管理服務(wù)400的流程圖����。DRM服務(wù) 起始于步驟402,在步驟402中進(jìn)行初始化��,之后繼續(xù)到步驟404���。該初始 化包括自完整性檢查�、執(zhí)行環(huán)境檢查、通過利用API從執(zhí)行環(huán)境中取得設(shè) 定和上下文�����。在步驟404中����,檢查策略中是否允許進(jìn)行日志記錄。如果允 許進(jìn)行日志記錄�,DRM服務(wù)就開始日志記錄事件。所記錄的事件是DRM 服務(wù)處理來自客戶端請求的時(shí)間和日期���。也可以記錄其它事件�,諸如客戶 端用戶的名稱��、客戶端設(shè)備的互聯(lián)網(wǎng)協(xié)議地址(IP地址)等�。可以使用通常涉 及網(wǎng)絡(luò)服務(wù)技術(shù)的事件報(bào)告技術(shù)將日志記錄的事件直接或以成批形式報(bào)告 給服務(wù)器�。事件報(bào)告技術(shù)的一個(gè)示例是如作為ISO/IEC工作組的運(yùn)動圖像 專家組定義的"MPEG-21事件報(bào)告"。在步驟406中�����,DRM服務(wù)檢查了該 客戶端使用該病人數(shù)據(jù)多長時(shí)間����。如果該客戶端使用該病人數(shù)據(jù)長于DRM 可接受的時(shí)間�,則在步驟410中阻止該病人數(shù)據(jù)���?�?梢酝ㄟ^阻止訪問該病 人數(shù)據(jù)并且從客戶端刪除該病人數(shù)據(jù)來阻止該病人數(shù)據(jù)��。例如����,如果使用 該病人數(shù)據(jù)長于2小時(shí)�,則可以阻止該病人數(shù)據(jù)。也可以應(yīng)用其它時(shí)間段�����, 并且該時(shí)間段也可以取決于病人數(shù)據(jù)的類型�����。例如��,病人管理數(shù)據(jù)可使用 一天�����,而病人圖像數(shù)據(jù)可使用5天�����。在步驟412中���,DRM服務(wù)評估了所取 回的許可證(伴隨有數(shù)據(jù)的取回)中包含的權(quán)利表示��,其定義了結(jié)果產(chǎn)生的訪 問策略��。由此實(shí)現(xiàn)了對數(shù)據(jù)的使用控制���。作為該評估的一部分,例如���,DRM 服務(wù)驗(yàn)證許可證中所指示的用戶與前一步驟的已鑒權(quán)用戶是否相匹配�、 使用時(shí)間段是否仍有效���、是否可以打印該數(shù)據(jù)等�����。在成功評估之后�,客戶 端使用包含在許可證中的內(nèi)容密鑰對加密的數(shù)據(jù)進(jìn)行解密。此后�,該數(shù)據(jù) 就準(zhǔn)備好被所信賴的呈現(xiàn)器使用。為所信賴的呈現(xiàn)器提供關(guān)于可以對該數(shù) 據(jù)進(jìn)行什么操作的信息���,并且當(dāng)必要時(shí)�,例如當(dāng)用戶請求打印顯示在屏幕上的數(shù)據(jù)時(shí)�����,所信任的呈現(xiàn)器再次聯(lián)系DRM服務(wù)���。進(jìn)行了一個(gè)或多個(gè)前述 步驟之后����,在步驟416中終止DRM服務(wù)�����?����?梢詫⒖蛻舳?���、服務(wù)器和DRM實(shí)現(xiàn)為被包括處理單元和存儲器的計(jì)算 機(jī)裝置載入的計(jì)算機(jī)可讀代碼,該計(jì)算機(jī)可讀代碼在載入后為處理單元提 供用于執(zhí)行根據(jù)本發(fā)明的方法的能力�。在當(dāng)前發(fā)明方法的所述各實(shí)施例中的次序并非必須的,本領(lǐng)域技術(shù)人 員可以改變這些步驟的次序或者采用線程模式����、多處理器系統(tǒng)或多處理來 執(zhí)行這些步驟,而不會偏離當(dāng)前發(fā)明有意的概念�����。應(yīng)注意到上述實(shí)施例說明而不是限制本發(fā)明����,本領(lǐng)域那些技術(shù)人員將 能夠設(shè)計(jì)很多可替換的實(shí)施例,而不會偏離所附權(quán)利要求的范圍�����。在權(quán)利 要求中�,不應(yīng)將任何括號內(nèi)的參考符號認(rèn)為是限制該權(quán)利要求。詞語"包 括"并非是排斥出現(xiàn)權(quán)利要求中所列內(nèi)容以外的要素或步驟�����。 一個(gè)元素之 前的詞語"一個(gè)"并非排斥出現(xiàn)多個(gè)這種要素?����?梢酝ㄟ^包括幾個(gè)不同要 素的硬件以及通過適當(dāng)編程的計(jì)算機(jī)的方式來實(shí)現(xiàn)本發(fā)明�����。在系統(tǒng)權(quán)利要 求中枚舉了幾種裝置�,這幾種裝置可以通過一個(gè)相同的計(jì)算機(jī)可讀軟件或 硬件來具體實(shí)現(xiàn)。起碼的事實(shí)是����,在彼此不同的從屬權(quán)利要求中敘述的某 些手段并非表示不能有利使用這些手段的組合。
權(quán)利要求
1�、一種用于從服務(wù)器(106、202)取回醫(yī)療數(shù)據(jù)的方法�,包括未認(rèn)證的客戶端(110、112�����、114、116��、206)從所述服務(wù)器請求所述醫(yī)療數(shù)據(jù)���;將已認(rèn)證的數(shù)字權(quán)利管理服務(wù)安裝到所述未認(rèn)證的客戶端上;根據(jù)所安裝的已認(rèn)證的數(shù)字權(quán)利管理服務(wù)對所請求的醫(yī)療數(shù)據(jù)進(jìn)行管理����,以從所述服務(wù)器取回所述醫(yī)療數(shù)據(jù)。
2����、 如權(quán)利要求l所述的方法,其中����,根據(jù)訪問策略約束對所述醫(yī)療數(shù) 據(jù)的訪問,并且根據(jù)另一個(gè)訪問策略約束所述未認(rèn)證的客戶端對所述醫(yī)療 數(shù)據(jù)的訪問����,并且所述已認(rèn)證的數(shù)字權(quán)利管理服務(wù)基于所述訪問策略和所 述另一個(gè)訪問策略獲得結(jié)果策略。
3��、 如權(quán)利要求1或2所述的方法�����,還包括限制所述未認(rèn)證的客戶端對 所述醫(yī)療數(shù)據(jù)的可用時(shí)間段。
4��、 如權(quán)利要求1至3中任何一個(gè)所述的方法����,還包括限制所請求醫(yī)療 數(shù)據(jù)的取回?cái)?shù)量。
5���、 如權(quán)利要求1至4中任何一個(gè)所述的方法���,還包括對所述醫(yī)療數(shù)據(jù) 請求進(jìn)行日志記錄。
6��、 如權(quán)利要求1至5中任何一個(gè)所述的方法�����,還包括在安裝所述已認(rèn)證的數(shù)字權(quán)利管理服務(wù)之前或在從所述服務(wù)器取回所述醫(yī)療數(shù)據(jù)之前�, 對所述未認(rèn)證的客戶端的用戶進(jìn)行鑒權(quán)。
7����、 用于從服務(wù)器(106、 202)取回醫(yī)療數(shù)據(jù)的系統(tǒng)(200),包括 用于由未認(rèn)證的客戶端(IIO����、 112、 114�、 116�����、 206)從所述服務(wù)器請求所述醫(yī)療數(shù)據(jù)的裝置(208);用于將已認(rèn)證的數(shù)字權(quán)利管理服務(wù)安裝到所述未確定認(rèn)的客戶端上的 裝置(214);用于根據(jù)所安裝的已認(rèn)證的數(shù)字權(quán)利管理服務(wù)對所請求的醫(yī)療數(shù)據(jù)進(jìn) 行管理�����,以從所述服務(wù)器取回所述醫(yī)療數(shù)據(jù)的裝置(210)�。
8、 如權(quán)利要求7所述的系統(tǒng)中使用的服務(wù)器(106����、 202),包括用于在 未認(rèn)證的客戶端(IIO��、 112�����、 114、 116����、 206)上安裝已認(rèn)證的數(shù)字權(quán)利管理 服務(wù)的裝置(214)。
9��、 如權(quán)利要求7所述的系統(tǒng)中使用的未認(rèn)證的客戶端(110���、 112����、 114�����、 116�����、 206)���,包括用于由所述未認(rèn)證的客戶端從所述服務(wù)器(106����、 202)請求 所述醫(yī)療數(shù)據(jù)的裝置(208)。
10�、 包括如權(quán)利要求9所述的未認(rèn)證的客戶端(IIO、 112���、 114���、 116、 206)的醫(yī)療工作站(118)���。
11、 包括如權(quán)利要求8所述的服務(wù)器(106����、 202)的醫(yī)療信息管理系統(tǒng) (104)。
12��、 如權(quán)利要求1至7中任何一個(gè)所述的方法或系統(tǒng)中使用的數(shù)字權(quán) 利管理服務(wù)�,所述數(shù)字權(quán)利管理服務(wù)被設(shè)計(jì)用于由包括處理單元和存儲器 的計(jì)算機(jī)裝置載入,所述數(shù)字權(quán)利管理服務(wù)在被載入之后為所述處理單元 提供以下能力將來自未認(rèn)證的客戶端(110��、 112��、 114�����、 116、 206)的請求 和響應(yīng)管理為服務(wù)器(106�����、 202)的請求和響應(yīng)�,以強(qiáng)制執(zhí)行醫(yī)療數(shù)據(jù)的訪問 策略。
全文摘要
本發(fā)明涉及一種用于從服務(wù)器取回醫(yī)療數(shù)據(jù)的方法和系統(tǒng)����,該方法包括未認(rèn)證的客戶端從服務(wù)器請求該醫(yī)療數(shù)據(jù);在該未認(rèn)證的客戶端上安裝已認(rèn)證的數(shù)字權(quán)利管理服務(wù)�;根據(jù)所安裝的已認(rèn)證的數(shù)字權(quán)利管理服務(wù)對所請求的醫(yī)療數(shù)據(jù)進(jìn)行管理,以從服務(wù)器取回該醫(yī)療數(shù)據(jù)���。該系統(tǒng)包括用于由未認(rèn)證的客戶端從服務(wù)器請求該醫(yī)療數(shù)據(jù)的裝置���;用于在該未認(rèn)證的客戶端上安裝已認(rèn)證的數(shù)字權(quán)利管理服務(wù)的裝置;用于根據(jù)所安裝的已認(rèn)證的數(shù)字權(quán)利管理服務(wù)對所請求的醫(yī)療數(shù)據(jù)進(jìn)行管理��、以從服務(wù)器取回該醫(yī)療數(shù)據(jù)的裝置���。
文檔編號G06F21/10GK101401104SQ200780008927
公開日2009年4月1日 申請日期2007年3月7日 優(yōu)先權(quán)日2006年3月15日
發(fā)明者R·P·科斯特, W·約恩克 申請人:皇家飛利浦電子股份有限公司