(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114287001A(43)申请公布日2022.04.05(21)申请号202080059628.2(74)专利代理机构永新专利商标代理有限公司(22)申请日2020.08.2172002代理人刘兆君(30)优先权数据62/891,7182019.08.26US(51)Int.Cl.G06F21/62(2013.01)(85)PCT国际申请进入国家阶段日G16H10/20(2018.01)2022.02.23G16H10/60(2018.01)(86)PCT国际申请的申请数据H04L9/00(2022.01)PCT/EP2020/0734762020.08.21H04L9/30(2006.01)(87)PCT国际申请的公布数据H04L9/32(2006.01)WO2021/037708EN2021.03.04(71)申请人皇家飞利浦有限公司地址荷兰艾恩德霍芬(72)发明人张贻谦A·R·曼科维奇权利要求书3页说明书9页附图4页(54)发明名称用于保护用户隐私和身份的受限的完全私密合取数据库查询(57)摘要一种以隐私保护方式由客户端安全访问具有敏感数据(例如，患者的临床信息)的数据库的方法包括：与服务器通信以在所述客户端被授权进行查询时获得针对特定属性值对的标签；对每个客户端施加标签配额并将标签生成限制到具有来自第三方授权的有效数字签名的授权的查询项目；秘密存储所述标签及其相关联的查询项目以供将来查询；在安全信道上向代理发送定义合取查询中的项目的标签的组合；从所述代理接收多项式的加密系数，所述多项式的根是针对查询结果的索引；以与所述服务器的第一协议对所述加密系数进行解密；基于解密系数来计算所述多项式的所述根并丢弃任何多余的根；从所述代理获得与所计算的根相关联的加密记录；并且以与所述服务器的第二协议对所述加密记录进行解密。CN114287001ACN114287001A权利要求书1/3页1.一种由客户端安全访问患者数据库的方法，包括：与服务器通信以将属性值对变换成标签；在安全通信信道上获得与所述属性值对相关联的标签；在安全通信信道上向代理发送所生成的定义合取查询中的项目的标签的组合；从所述代理接收多项式的加密系数，所述多项式的根是满足查询项目的记录的索引；以与所述服务器的第一协议对所述加密系数进行解密；基于解密系数来计算所述多项式的所述根并丢弃任何多余的根；获得与所计算的根相关联的加密记录；并且以与所述服务器的第二协议对所述加密记录进行解密。2.根据权利要求1所述的方法，其中，所述标签是通过以下操作生成的散列值：使用包括授权的不经意伪随机函数评价的方法，通过所述客户端与所述服务器之间的协作来变换所述属性值对。3.根据权利要求1所述的方法，其中，仅在满足以下准则中的一项或多项时才生成所述标签：(i)针对所述客户端发出的标签的总数在根据所述客户端的公钥证书中指定的访问权限的预定义限制内，以及(ii)所述查询项目中的每个查询项目具有来自第三方授权的有效数字签名。4.根据权利要求1所述的方法，其中，以与所述服务器的第一协议对所述加密系数进行解密包括不经意解密。5.根据权利要求1所述的方法，其中，以与所述服务器的第二协议对所述加密记录进行解密包括不经意解密。6.根据权利要求1所述的方法，还包括：限制针对客户端能够发出的标签的数量，并且将标签及其相关联的查询项目秘密存储在所述客户端处以供将来查询。7.根据权利要求5所述的方法，其中，还包括：根据所述客户端的公钥证书中指定的访问权限来设置针对客户端所允许的标签的总数的上限，并且将针对所述客户端已经发出的标签的总数的记录保留在所述服务器处。8.根据权利要求1所述的方法，还包括：使用所述客户端的授权的公钥证书和相关联的私钥在服务器上创建用户帐户并登陆所述用户账户，并且建立与所述服务器的安全通信信道。9.根据权利要求1所述的方法，还包括：秘密存储所述标签及其相关联的查询项目以供将来查询；并且建立与所述代理的安全通信信道。10.一种通过服务器来设置由客户端对患者数据库的安全访问的方法，包括：接收查询标签请求，所述查询标签请求包括所述客户端的授权的公钥证书；验证所述客户的数字签名；在成功验证所述数字签名时设置与所述客户端的安全通信信道；与所述服务器通信以将属性值对变换成标签；并且利用客户端帐户来秘密存储授权的标签。11.根据权利要求10所述的方法，其中，与所述服务器通信以将属性值对变换成标签还包括：与所述客户端一起执行不经意伪随机函数(OPRF)评价。12.根据权利要求10所述的方法，还包括跟踪针对所述客户端已经发出的标签的总数。2CN114287001A权利要求书2/3页13.根据权利要求10所述的方法，其中，验证所述客户端的所