十年前，美国国家标准与技术研究院(NIST)的一项计算机安全发明获得了专利，如今，这项发明有望帮助保护医院里病人的隐私。

这一发明——一种可以嵌入更大软件的算法——被设计用来控制对信息系统的访问，并吸引了一家公司的注意，该公司正将其应用于医疗保健领域。该算法的创造者约翰·巴克利(John Barkley)表示，这个想法可以解决该国医疗体系中普遍存在的一个问题。

“我们认为这个软件将极大地提高患者的安全性和隐私性，”巴克利说，他现在已经从NIST的软件和系统部门退休，现在正在为虚拟全球咨询，该公司正在将该产品商业化。“它解决了对患者信息过于宽泛的获取，这是一个普遍存在的问题。”

巴克利的努力可以追溯到20世纪80年代，当时可用于保护电子信息的计算机工具很差。一般来说，任何名字在特定授权用户列表上的人都可以访问信息，但是大型组织可能有数千个受限制的文件，每个文件都有自己的访问列表，这使得安全管理变得棘手。基于角色的访问控制(RBAC)的创建带来了帮助，在RBAC中，访问特定文件的关键是人员的工作功能，而不是姓名。然而，即使是RBAC也可以允许大量的人无限制地访问信息——这是医疗保健中的一个特殊问题，在医疗保健中，保证患者隐私至关重要，但却很困难。

“RBAC不是我们发明的，但我们想把它系统化、标准化，”NIST计算机安全部门的理查德·库恩(Richard Kuhn)说，他是巴克利的前主管。“在我们研究的过程中，约翰·巴克利(John Barkley)想出了一种方法，通过在一个漫长的、多步骤的任务中使用RBAC来控制访问，我建议他申请专利。”

从本质上讲，该专利涵盖了一种方法，确保只有在必要时，需要的人才能获得信息。例如，在医院，患者入院程序涉及许多步骤，在每个步骤中，某人都需要出于特定目的访问患者的医疗记录，例如注册患者或验证其保险信息。

“一旦你住进了医院，招生人员就不一定需要再查看你的记录了。但在许多医院，这些工作人员仍然可以访问每一个档案记录，”巴克利解释说。“使用我们获得专利的算法，这些工作人员只能在录取过程中访问你的记录。在那之后，他们会发现你的信息是不可用的——尽管给你治疗的医生仍然可以看到你的信息。”

2008年，NIST发布了一项小型企业创新研究招标，旨在寻找一家公司开发基于该专利的产品，而当时，虚拟全球公司(Virtual Global, Inc.)正在为其客户寻找保护电子记录的方法。此后不久，该公司购买了该发明的版权，并将其整合到其“HealthCapsule”云平台中。目前，Virtual Global正在使用HealthCapsule为一家名为LIFE Pittsburgh的长期护理机构创建一个试点安全系统。

资料来源:美国国家标准与技术研究所