相關(guān)申請(qǐng)的交叉引用本案是申請(qǐng)?zhí)枺?01280062102.5，發(fā)明名稱為：用于保護(hù)和管理基因組及其它信息的系統(tǒng)和方法的分案申請(qǐng)。本申請(qǐng)要求2011年10月17日遞交的申請(qǐng)?zhí)柺?1/548,161以及2012年3月29日遞交的申請(qǐng)?zhí)柺?1/617,593的臨時(shí)申請(qǐng)的優(yōu)先權(quán)的利益，上述申請(qǐng)的全部?jī)?nèi)容通過(guò)引用合并于此。版權(quán)聲明本專利文件的公開內(nèi)容的一部分包含了受版權(quán)保護(hù)的材料。在專利文件或?qū)＠_出現(xiàn)在專利商標(biāo)局專利文件或記錄中時(shí)，版權(quán)所有者對(duì)任何人復(fù)制再現(xiàn)專利文獻(xiàn)或?qū)＠_無(wú)異議，但是在其它情況下保留無(wú)論什么的全部版權(quán)。
背景技術(shù)：
：基因測(cè)試正在從單核苷酸多形性，也即基因密碼的孤立個(gè)體化學(xué)差的檢測(cè)轉(zhuǎn)移到全基因組定序(wgs)，這記錄了基因序列中的每一個(gè)堿基對(duì)。目前，各公司正把重點(diǎn)放在創(chuàng)造能夠可承受地生成個(gè)體的全基因組序列的設(shè)備。預(yù)期在接下來(lái)的三年中，能夠在不到一天的時(shí)間內(nèi)花費(fèi)不到$500來(lái)對(duì)整個(gè)基因組進(jìn)行定序的設(shè)備將投放市場(chǎng)。當(dāng)今的主要行業(yè)聚焦在于開發(fā)定序技術(shù)、生物化學(xué)以及第一階段基因組數(shù)據(jù)處理(原始數(shù)據(jù)處理以及庫(kù)撤消統(tǒng)計(jì)處理)。技術(shù)實(shí)現(xiàn)要素：根據(jù)一些實(shí)施方案，描述了用于對(duì)人類基因組或其它數(shù)據(jù)執(zhí)行可信計(jì)算的方法。所描述的方法包括：接收一組基因組或其它數(shù)據(jù)以及設(shè)計(jì)成操作基因組或其它數(shù)據(jù)的可執(zhí)行診斷計(jì)算機(jī)程序；評(píng)估可執(zhí)行診斷計(jì)算機(jī)程序的真實(shí)性；評(píng)估該組數(shù)據(jù)的至少部分的真實(shí)性；以及當(dāng)真實(shí)性評(píng)估令人滿意時(shí)，對(duì)該組數(shù)據(jù)的至少部分執(zhí)行計(jì)算機(jī)程序。根據(jù)一些實(shí)施例，產(chǎn)生診斷結(jié)果，其可用于基于計(jì)算機(jī)程序的執(zhí)行的醫(yī)療診斷。該方法還可以包括證明結(jié)果的真實(shí)性。診斷計(jì)算機(jī)程序的真實(shí)性的評(píng)估可以包括：驗(yàn)證由接收到的診斷計(jì)算機(jī)程序封包的數(shù)字簽名。類似地，基因組或其它數(shù)據(jù)的真實(shí)性的評(píng)估可以包括：驗(yàn)證由數(shù)據(jù)封包的數(shù)字簽名。根據(jù)一些實(shí)施方案，該方法還包括：基于一個(gè)或多個(gè)隱私策略來(lái)保持與該組數(shù)據(jù)相關(guān)聯(lián)的隱私性。根據(jù)一些實(shí)施方案，描述了一種可信計(jì)算系統(tǒng)，其包括：安全存儲(chǔ)系統(tǒng)，其配置為存儲(chǔ)一組數(shù)據(jù)和操作數(shù)據(jù)的計(jì)算機(jī)程序的至少部分；以及安全處理系統(tǒng)，其編程且配置為評(píng)估計(jì)算機(jī)程序的真實(shí)性，以評(píng)估該組數(shù)據(jù)的至少部分的真實(shí)性，并且當(dāng)真實(shí)性評(píng)估令人滿意時(shí)，對(duì)該組數(shù)據(jù)的至少部分運(yùn)行計(jì)算機(jī)程序。根據(jù)一些實(shí)施方案，描述了一種可執(zhí)行診斷計(jì)算機(jī)程序，其包括：診斷算法，其配置為對(duì)數(shù)據(jù)集的至少部分執(zhí)行，從而由其產(chǎn)生診斷結(jié)果(例如，可用于醫(yī)療診斷的結(jié)果)；以及數(shù)字簽名，其配置為有助于證明可執(zhí)行程序的真實(shí)性。根據(jù)一些實(shí)施方案，計(jì)算機(jī)程序還能夠封包有：描述了診斷算法、算法的預(yù)期用途以及一個(gè)或多個(gè)與算法相關(guān)聯(lián)的警告的元數(shù)據(jù)；期望產(chǎn)生有用的診斷結(jié)果的算法輸入的技術(shù)描述；和/或描述來(lái)自診斷算法的期望輸出的各方面的信息。根據(jù)一些實(shí)施方案，描述了產(chǎn)生封包的基因組數(shù)據(jù)的方法，其包括：接收來(lái)自dna定序設(shè)備的基因組數(shù)據(jù)；對(duì)接收到的基因組數(shù)據(jù)進(jìn)行加密；產(chǎn)生有利于基因組數(shù)據(jù)的后續(xù)驗(yàn)證的數(shù)字簽名；以及用加密的基因組數(shù)據(jù)封包所產(chǎn)生的數(shù)字簽名。能夠利用與dna定序設(shè)備相關(guān)聯(lián)的私有密鑰和/或與定序設(shè)施相關(guān)聯(lián)的私有密鑰來(lái)產(chǎn)生數(shù)字簽名。根據(jù)一些實(shí)施方案，描述了操作一組或多組基因組數(shù)據(jù)的方法，其包括：安全地接收一組或多組基因組數(shù)據(jù)；將許可信息與每組基因組數(shù)據(jù)相關(guān)聯(lián)，所述許可信息已由基因組數(shù)據(jù)的所有者規(guī)定；接收操作基因組數(shù)據(jù)的算法；接收對(duì)一組或多組接收到的基因組數(shù)據(jù)運(yùn)行算法的請(qǐng)求；證實(shí)所述請(qǐng)求；校驗(yàn)與一組基因組數(shù)據(jù)相關(guān)聯(lián)的許可；以及如果所述許可允許，則允許所述算法訪問(wèn)或使用該組基因組數(shù)據(jù)。如本文所使用的，術(shù)語(yǔ)“基因組數(shù)據(jù)”一般是指數(shù)據(jù)表達(dá)、表示或者從基因組或基因組序列的全部或部分獲得。該數(shù)據(jù)可以包括例如以諸如dna、mrna和蛋白質(zhì)的化學(xué)結(jié)構(gòu)編碼的信息以及諸如甲基化狀況的相關(guān)調(diào)節(jié)信息。如本文所使用的，術(shù)語(yǔ)“基因組”是指機(jī)體的遺傳信息?；蚪M以dna或rna編碼，并且可表示為mrna或者從這些核酸序列得到的蛋白質(zhì)序列。術(shù)語(yǔ)“基因組”可以包括基因和非編碼序列。當(dāng)應(yīng)用于具體機(jī)體時(shí)，術(shù)語(yǔ)“基因組”能夠指來(lái)自正常細(xì)胞的基因組數(shù)據(jù)，包括線粒體dna，并且還指來(lái)自諸如腫瘤和微生物群落的其它機(jī)體的相關(guān)細(xì)胞的基因組數(shù)據(jù)。附圖說(shuō)明通過(guò)結(jié)合附圖參考下面的詳細(xì)說(shuō)明，將易于理解發(fā)明工作主體，在附圖中：圖1a、1b和1c示出了從使用物理醫(yī)療設(shè)備的緊密耦合的基因測(cè)試到解耦的定序和測(cè)試步驟的轉(zhuǎn)變，其中測(cè)試步驟包括對(duì)原序列執(zhí)行的一系列軟件分析；圖2是示出根據(jù)一些實(shí)施方案的示例性的基因云生態(tài)系統(tǒng)中涉及的可能的大量保管者的圖；圖3是示出根據(jù)一些實(shí)施方案的確?；蛟粕鷳B(tài)系統(tǒng)中處置鏈的完整性的各方面的圖；圖4是示出根據(jù)一些實(shí)施方案的基因云系統(tǒng)中所包含的多個(gè)子系統(tǒng)的圖；圖5是示出根據(jù)一些實(shí)施方案的代表信任管理方法的圖，其中根權(quán)限代表了信任分級(jí)結(jié)構(gòu)到多個(gè)功能專用的中間根的可操作職責(zé)；圖6是示出根據(jù)一些實(shí)施方案的實(shí)施例設(shè)備制造商信任根的各方面的圖；圖7是示出根據(jù)一些實(shí)施方案的實(shí)施例實(shí)驗(yàn)室信任根的各方面的圖；圖8是示出根據(jù)一些實(shí)施方案的實(shí)施例執(zhí)行環(huán)境信任根的各方面的圖；圖9是示出根據(jù)一些實(shí)施方案的實(shí)施例調(diào)節(jié)信任根的各方面的圖；圖10是示出根據(jù)一些實(shí)施方案的實(shí)施例測(cè)試提供商信任根的各方面的圖；圖11是示出根據(jù)一些實(shí)施方案的實(shí)施例隱私證明權(quán)限信任根的各方面的圖；圖12是示出根據(jù)一些實(shí)施方案的代表信任模型中的實(shí)施例證明的各方面的圖；圖13是顯示出基因云系統(tǒng)的示例性實(shí)施方案中的基因信息生命循環(huán)中的一組實(shí)施例階段的圖示；圖14是顯示出根據(jù)一些實(shí)施方案的數(shù)據(jù)對(duì)象之間的鏈接的實(shí)體關(guān)系圖；圖15顯示出根據(jù)一些實(shí)施方案的自動(dòng)產(chǎn)生的權(quán)限請(qǐng)求的模板的實(shí)施例；圖16是示出根據(jù)一些實(shí)施方案的用于執(zhí)行虛擬診斷測(cè)試(vdt)的過(guò)程中的動(dòng)作的流程圖；圖17顯示出根據(jù)一些實(shí)施方案的虛擬診斷測(cè)試(vdt)數(shù)據(jù)結(jié)構(gòu)的實(shí)施例；圖18顯示出根據(jù)一些實(shí)施方案的擴(kuò)展元數(shù)據(jù)的實(shí)施例；圖19顯示出根據(jù)一些實(shí)施方案的虛擬診斷測(cè)試(vdt)算法規(guī)范的實(shí)施例；圖20顯示出根據(jù)一些實(shí)施方案的示例性的安全分析器中的部件的概覽；圖21是示出根據(jù)一些實(shí)施方案的數(shù)據(jù)被捕獲、保護(hù)和/或提供給基因云的過(guò)程的流程圖；圖22顯示出根據(jù)一些實(shí)施方案的匯編基因組元數(shù)據(jù)封包的可能的格式的實(shí)施例；圖23顯示出根據(jù)一些實(shí)施方案的分析器數(shù)據(jù)封包(adp)格式的實(shí)施例；圖24顯示出根據(jù)一些實(shí)施方案的分析器環(huán)境中的密鑰和基因云系統(tǒng)的攝取點(diǎn)處的密鑰之間的示例性關(guān)系；圖25是顯示出根據(jù)一些實(shí)施方案的分析器所生成的數(shù)據(jù)攝取中的示例性動(dòng)作的流程圖；圖26顯示出用于保護(hù)和管理對(duì)數(shù)據(jù)的訪問(wèn)的示例性系統(tǒng)；以及圖27顯示出可用于發(fā)明工作主體的實(shí)踐實(shí)施方案的系統(tǒng)的更具體的實(shí)施例。具體實(shí)施方式下面提供發(fā)明工作主體的詳細(xì)說(shuō)明。雖然描述了多個(gè)實(shí)施方案，應(yīng)當(dāng)理解的是發(fā)明工作主體不限于任何一個(gè)實(shí)施方案，而是包含了若干的可選方案、改進(jìn)方案和等同方案。另外，雖然為了提供對(duì)發(fā)明工作主體的全面理解而在下面的說(shuō)明中闡述了若干具體細(xì)節(jié)，但是能夠在不具有這些細(xì)節(jié)中的一些或全部的情況下實(shí)施一些實(shí)施方案。而且，為了清晰的目的，未對(duì)相關(guān)領(lǐng)域公知的一些技術(shù)材料進(jìn)行詳細(xì)說(shuō)明，以便不必要地混淆發(fā)明工作主體。提出了有利于基因組和/或其它信息的可信處置的系統(tǒng)和方法。將理解的是，這些系統(tǒng)和方法是新穎的，同樣其中采用的多個(gè)部件、系統(tǒng)和方法也是新穎的?；蚪M數(shù)據(jù)可能是當(dāng)前可供使用的最個(gè)人可標(biāo)識(shí)的健康數(shù)據(jù)。通過(guò)許多常規(guī)的醫(yī)療測(cè)試，一旦取得樣本并且對(duì)樣本進(jìn)行測(cè)試，樣本被丟棄，不能再進(jìn)行進(jìn)一步測(cè)試。然而，通過(guò)全基因組定序(wgs)，你的“數(shù)據(jù)樣本“能夠無(wú)限地存在。隨后在新基因被標(biāo)識(shí)時(shí)能夠?qū)?shù)據(jù)執(zhí)行測(cè)試，而無(wú)需額外的實(shí)驗(yàn)室工作。如果數(shù)據(jù)不能受到充分保護(hù)，則患者基本上同意當(dāng)今已知的測(cè)試，并且也同意在患者壽命期間可能發(fā)現(xiàn)的任何測(cè)試。呈現(xiàn)基因信息可具有深遠(yuǎn)的結(jié)果，列舉幾個(gè)例子：諸如配偶選擇/合意性；就業(yè)篩選/可雇性；以及造型/差別待遇。此外，呈現(xiàn)關(guān)于個(gè)體的基因組的信息可能無(wú)意地呈現(xiàn)出關(guān)于基因上有關(guān)的家族成員諸如同胞、孩子和雙胞胎的信息。圖1a-1c示出了從使用物理醫(yī)療設(shè)備的緊密耦合的基因測(cè)試到解耦定序和測(cè)試步驟的轉(zhuǎn)變，其中測(cè)試步驟包括對(duì)原序列執(zhí)行的一系列軟件分析。此處，我們將這些分析模塊成為虛擬診斷測(cè)試或vdt。圖1a示出了當(dāng)前如何實(shí)施測(cè)試，其中測(cè)試和分析緊密耦合。利用諸如微陣列或“基因芯片“112的基因組分析工具直接分析患者的樣本110，隨后產(chǎn)生了結(jié)果114。圖1b示出了通過(guò)定序器120分析患者的樣本110，產(chǎn)生了序列輸出122。序列122隨后能夠立刻用于分析。然而，序列輸出122還能夠以計(jì)算機(jī)可讀格式存儲(chǔ)。如圖1c所示，根據(jù)一些實(shí)施方案，通過(guò)一個(gè)或多個(gè)vdt142在可信執(zhí)行環(huán)境140中處理存儲(chǔ)在文件130上的序列以產(chǎn)生診斷結(jié)果150。注意的是，在圖1b和圖1c中所示的過(guò)程中，在(利用定序器120)執(zhí)行定序時(shí)，診斷測(cè)試(諸如vdt142)甚至可能不存在。因此，根據(jù)一些實(shí)施方案，測(cè)試和診斷裝置都應(yīng)當(dāng)優(yōu)選地且獨(dú)立地被證明以安全且精確地執(zhí)行其相應(yīng)的任務(wù)，并且確保兩者之間的接口是先驗(yàn)已知且可信的。在新的測(cè)試被創(chuàng)建時(shí)，這些應(yīng)當(dāng)被正確地證明以使它們能夠被系統(tǒng)其它用戶認(rèn)證。示例性設(shè)計(jì)根據(jù)一些示例性實(shí)施方案，設(shè)計(jì)了解決與處置類似于基因數(shù)據(jù)的敏感信息相關(guān)聯(lián)的信任、隱私和/或安全問(wèn)題的系統(tǒng)。在一些實(shí)施方案中，可以包括下列特征中的一些或全部：(1)基因組數(shù)據(jù)的隱私保護(hù)采集-在優(yōu)選的實(shí)施方案中，甚至來(lái)自數(shù)據(jù)的起源，在采集點(diǎn)，個(gè)體的隱私受到保護(hù)。設(shè)備將其數(shù)據(jù)以加密形式直接輸出到服務(wù)。服務(wù)以不能被實(shí)驗(yàn)室人員或過(guò)程的觀察者容易地推斷出的方式安全地且私密地將患者信息關(guān)聯(lián)；(2)數(shù)據(jù)是匿名的且總是受保護(hù)-在優(yōu)選的實(shí)施方案中，在系統(tǒng)內(nèi)，基因組數(shù)據(jù)以加密形式存儲(chǔ)，并且與將呈現(xiàn)其所屬的個(gè)體的身份的信息解耦。根據(jù)許可來(lái)密切地防護(hù)對(duì)鏈接信息的訪問(wèn)，優(yōu)選地僅在為授權(quán)目的的安全環(huán)境中使用鏈接信息；(3)分布式信任模型-期望的是確保生成診斷結(jié)果的端對(duì)端系統(tǒng)能夠得到信任。利用分布式信任模型，每個(gè)獨(dú)立的一方能夠負(fù)責(zé)他們所控制的過(guò)程的部分，并且醫(yī)生和終端用戶能夠信任，終端結(jié)果經(jīng)匯編且由獨(dú)立創(chuàng)建的、但是可信的組件執(zhí)行；(4)醫(yī)療保健用途的證明-在諸如基因?qū)W等快速發(fā)展的領(lǐng)域中，期望醫(yī)生能夠跟蹤每一個(gè)新的發(fā)現(xiàn)并且將研究轉(zhuǎn)換成容易排序的診斷測(cè)試是不合理的。通過(guò)整理測(cè)試且安全地關(guān)聯(lián)描述和使用建議，這給予醫(yī)生簡(jiǎn)單的規(guī)定測(cè)試的方法。此外，允許行業(yè)和管理組織證明和擔(dān)保聯(lián)署測(cè)試給予醫(yī)生這樣的自信：他們定購(gòu)的測(cè)試已經(jīng)經(jīng)過(guò)同級(jí)閱覽且將產(chǎn)生醫(yī)療相關(guān)的結(jié)果；(5)虛擬實(shí)驗(yàn)室編程工具-基因組編程語(yǔ)音內(nèi)的標(biāo)準(zhǔn)化功能使得研究者容易在易用的標(biāo)準(zhǔn)化測(cè)試中整理他們的發(fā)現(xiàn)。諸如diff(返回兩個(gè)基因組段之間的差)、if/then語(yǔ)句、布爾邏輯、模式識(shí)別、插入/刪除檢測(cè)的標(biāo)準(zhǔn)操作簡(jiǎn)化了商業(yè)化發(fā)現(xiàn)所需要的編程；(6)ip的市場(chǎng)-標(biāo)識(shí)特定的基因序列及其與表型和疾病的關(guān)系涉及到大量的資本、資源和時(shí)間。本文所描述的系統(tǒng)和方法的一些實(shí)施方案提供了做出這些發(fā)現(xiàn)的那些人能夠被補(bǔ)償?shù)臋C(jī)制(如果他們這樣選擇)。(7)用于協(xié)作的可信系統(tǒng)-在一些實(shí)施方案中，提供了用于創(chuàng)建和分布經(jīng)整理的搜索算法的標(biāo)準(zhǔn)手段，從而使發(fā)現(xiàn)能夠容易地在研究者間共享。各種類型的測(cè)試能夠容易地鏈接在一起以形成在組織之間共享的可重用構(gòu)建塊，以實(shí)現(xiàn)免費(fèi)或價(jià)值交換；和/或(8)隱私設(shè)計(jì)-在一些實(shí)施方案中，提前對(duì)系統(tǒng)進(jìn)行體系結(jié)構(gòu)設(shè)計(jì)以保護(hù)其客戶的隱私。通過(guò)在開始時(shí)設(shè)計(jì)隱私保護(hù)，隱私分析和匿名分析能夠彼此隔離，從而實(shí)現(xiàn)兩種類型的使用而不會(huì)造成任一方受損。示例性的基因云生態(tài)系統(tǒng)根據(jù)一些實(shí)施方案，提供了用于基因和/或其他信息的可信存儲(chǔ)和分析的系統(tǒng)。該系統(tǒng)的實(shí)施方案有時(shí)在本文中稱為“基因云”。在優(yōu)選的實(shí)施方案中，基因云是一種以與那些數(shù)據(jù)中由保管者指定的隱私和使用策略一致的方式提供基因組(和/或其他)數(shù)據(jù)的可信任的長(zhǎng)期存儲(chǔ)和處理的系統(tǒng)。將理解的是，可以使用任何適合配置的服務(wù)器和存儲(chǔ)媒介，包括但不限于單個(gè)服務(wù)器或服務(wù)器群，或通過(guò)各種網(wǎng)絡(luò)(例如諸如因特網(wǎng)、公共和/或私有網(wǎng)絡(luò)、和/或類似物)連接的多機(jī)種計(jì)算機(jī)系統(tǒng)的分布式集合。基因云的一些實(shí)施方案可以包括或支持下列中的一些或全部：(1)虛擬診斷測(cè)試；(2)受保護(hù)的個(gè)人基因組數(shù)據(jù)；(3)經(jīng)證實(shí)和認(rèn)證的數(shù)據(jù)源；(4)經(jīng)證實(shí)和認(rèn)證的診斷結(jié)果；(5)對(duì)規(guī)則管理的基因組數(shù)據(jù)的訪問(wèn)；(6)能夠用于醫(yī)療診斷的患者擁有數(shù)據(jù)；(7)患者授權(quán)對(duì)數(shù)據(jù)訪問(wèn)以進(jìn)行研究和所要求隱私級(jí)別的能力；以及(8)患者授權(quán)對(duì)他/她的基因組的具體測(cè)試以及指定誰(shuí)可以訪問(wèn)結(jié)果的能力。圖2是示出根據(jù)一些實(shí)施方案的基因云生態(tài)系統(tǒng)200中所涉及到的可能大量的保管者的圖。在基因云系統(tǒng)200中顯示為可能的保管者的是認(rèn)證機(jī)構(gòu)201、研究者202、付款人203、實(shí)驗(yàn)室204、客戶205、醫(yī)療保健提供者206和工具提供商207。這些保管者中的每一個(gè)都可以具有在其自身基因數(shù)據(jù)或者那些數(shù)據(jù)的管理和使用方面的特定的一組專有利益和關(guān)心的事情。注意的是，在圖2中使用了術(shù)語(yǔ)“客戶”。然而，術(shù)語(yǔ)“客戶”和“消費(fèi)者”在本說(shuō)明書中通常可互換使用。圖2所示的許多可能的保管者扮演了確保數(shù)據(jù)的安全性以及處置鏈的完整性的角色，如圖3所示。圖3是示出根據(jù)一些實(shí)施方案的確保基因云生態(tài)系統(tǒng)中的處置鏈的完整性的各方面的圖。如圖所示，可信結(jié)果209通過(guò)如下確保：借助實(shí)驗(yàn)室204，通過(guò)證明樣本采集和處理遵從了正確的程序；借助定序器制造商210，通過(guò)證明從既定樣本獲得正確的序列數(shù)據(jù)；借助可信任的基因云環(huán)境200，通過(guò)證明診斷測(cè)試的執(zhí)行是在受控的環(huán)境下且遵守規(guī)則的情況下執(zhí)行的；以及借助工具提供商207，通過(guò)證明測(cè)試得到了醫(yī)療有效的診斷。表1以更示例性的細(xì)節(jié)描述了每個(gè)保管者如何會(huì)涉及到基因云生態(tài)系統(tǒng)的實(shí)施方案的操作中。表1在示例性的基因云生態(tài)系統(tǒng)的操作中保管者的牽連基因云使用案例表2呈現(xiàn)了一些使用案例，其描述了基因云系統(tǒng)的一些實(shí)施方案的一些能力，特別強(qiáng)調(diào)的是各案例的信任和安全方面。該組使用案例預(yù)期提供發(fā)明工作主體的一些實(shí)施方案中的各種基因云功能的示例性的而非窮盡的實(shí)施例。表2實(shí)施例使用案例下面提供了具體實(shí)施發(fā)明工作主體的各方面的系統(tǒng)和方法的實(shí)現(xiàn)方式的一些額外的、更詳細(xì)的實(shí)施例。實(shí)施例：開藥助理制造公司已經(jīng)生產(chǎn)了新的抗癌療法，表明對(duì)患有阿耳茨海默氏病的患者的子集起作用。治療有效的子集共有一些遺傳型的特性，即，他們以經(jīng)實(shí)驗(yàn)表明與有效性相關(guān)的一些方式基因上相似。此外，該藥物的適當(dāng)劑量取決于精確的基因型。對(duì)于特殊基因型的患者，過(guò)劑量導(dǎo)致危險(xiǎn)的長(zhǎng)期的副作用。fda已批準(zhǔn)該藥物，但是因?yàn)閮H表明對(duì)特殊的一類患者有效，并且因?yàn)楫?dāng)按不正確劑量施藥時(shí)有危險(xiǎn)，所以該機(jī)構(gòu)要求進(jìn)行基因篩選測(cè)試來(lái)確定可能的有效性以及推薦劑量。制藥公司生產(chǎn)了評(píng)估這些因素且將其封包為基因云vdt的程序。在公司在基因云中測(cè)試vdt以驗(yàn)證其正確運(yùn)轉(zhuǎn)之后，公司數(shù)字簽署vdt以主張其來(lái)源。簽名是利用由基因云發(fā)布或代表基因云發(fā)布的用于該特殊用途的認(rèn)證密鑰來(lái)做出的。在簽署vdt時(shí)，制藥公司將vdt提交給fda閱覽過(guò)程。fda檢查程序，在基因云中對(duì)其自身所呼叫進(jìn)行測(cè)試，然后通過(guò)用他們自己的認(rèn)證密鑰對(duì)vdt數(shù)字簽名來(lái)表明他們?cè)S可，他們自己的認(rèn)證密鑰源自于fda控制的另一根證書權(quán)威(ca)。驗(yàn)證簽名所需的證書鏈由vdt封包；fda證書源起的根ca記錄在基因云中作為用戶可信賴的“可信根”。一旦vdt經(jīng)批準(zhǔn)且附有全部的簽名，其被上傳到基因云并且向可能的開藥醫(yī)生宣布為可用。基因云提供了臨床醫(yī)生能夠按姓名搜索vdt并且將其應(yīng)用于特殊個(gè)人的基因組的機(jī)制。患者尋求癌癥專家進(jìn)行評(píng)估，并且醫(yī)生通知她他要運(yùn)行基因測(cè)試來(lái)確定最佳治療過(guò)程。醫(yī)生做了下面的事情：-請(qǐng)患者注冊(cè)基因云的賬戶；通過(guò)該賬戶，患者將能夠直接控制和許可她的基因組數(shù)據(jù)的使用。-使用他自己的基因云賬戶，醫(yī)生請(qǐng)求與患者樣本相關(guān)聯(lián)的唯一序列id并且打印了上面有該樣本id的條形碼標(biāo)簽。基因云通知患者，她可以許可該交易。-取血液樣本以使dna能夠在實(shí)驗(yàn)室中進(jìn)行定序，封包樣本并且用條形碼對(duì)樣本進(jìn)行標(biāo)記，并且將樣本送到實(shí)驗(yàn)室。實(shí)驗(yàn)室從樣本中提取dna，然后將其定序和上載。定序機(jī)已經(jīng)包含了使能將樣本數(shù)據(jù)上載到基因云的安全模塊，并且該模塊提供了與負(fù)責(zé)上載樣本的實(shí)驗(yàn)室技術(shù)人員的接口。在準(zhǔn)備樣本用于定序時(shí)，實(shí)驗(yàn)室技術(shù)人員將徽章提供到機(jī)器附近的傳感器并且輸入pin碼。這證實(shí)技術(shù)人員并且記錄了他的身份。技術(shù)人員掃描包含了臨時(shí)序列id的條形碼，這將該運(yùn)行的定序與樣本相關(guān)聯(lián)。當(dāng)定序完成時(shí)，技術(shù)人員輸入與運(yùn)行的定序相關(guān)聯(lián)的任何重要的元數(shù)據(jù)。在該情況下，運(yùn)行的定序正常地繼續(xù)，不會(huì)有任何機(jī)器錯(cuò)誤。實(shí)驗(yàn)室技術(shù)人員表明他許可樣本上載。嵌入到定序機(jī)中的安全模塊用專為該目的生成的暫時(shí)密鑰對(duì)數(shù)據(jù)加密。安全模塊追加重要的元數(shù)據(jù)，諸如實(shí)驗(yàn)室技術(shù)人員的身份證號(hào)、樣本id號(hào)、技術(shù)人員記錄、環(huán)境參數(shù)等，并且用設(shè)備制造商專門為該設(shè)備發(fā)布的認(rèn)證密鑰對(duì)完成的封包進(jìn)行簽名。制造商的證書反過(guò)來(lái)由基因云管理的可信權(quán)威來(lái)發(fā)布。暫時(shí)加密密鑰是利用定序機(jī)中的安全模塊所知的基因云攝取點(diǎn)的公共密鑰來(lái)加密的。序列封包連同加密的暫時(shí)密鑰一起上載到基因云中?；蛟平邮盏椒獍⑶伊⒓打?yàn)證其完整性和源頭。查驗(yàn)封包的簽名，并且記錄完整性狀況和簽名列表以便將來(lái)使用?；蛟茢z取點(diǎn)的私有密鑰用于對(duì)暫時(shí)加密密鑰進(jìn)行解密，暫時(shí)加密密鑰隨后用于對(duì)數(shù)據(jù)解密。將暫時(shí)密鑰存檔以便后來(lái)審計(jì)，并且將數(shù)據(jù)進(jìn)行預(yù)處理以確保正確格式化且然后用基因云生成的新密鑰進(jìn)行重新加密?；蛟仆ㄟ^(guò)確定臨時(shí)樣本id指定給誰(shuí)來(lái)確定樣本對(duì)應(yīng)的患者。將基因云生成的新id指定給整個(gè)樣本；將舊的樣本id存檔以用于法庭用途?；蛟葡蜷_藥醫(yī)生和患者兩方發(fā)送已接收到樣本的通知。在接收到該通知時(shí)，醫(yī)生使用基因云搜索工具來(lái)定位合意的vdt并且請(qǐng)求將其應(yīng)用于他的患者的基因組。他可以或者可以不請(qǐng)求結(jié)果對(duì)患者可見(jiàn)。基因云對(duì)患者(或患者的指定看護(hù)人)生成詢問(wèn)運(yùn)行測(cè)試的許可的請(qǐng)求。許可請(qǐng)求以fda批準(zhǔn)的通俗術(shù)語(yǔ)列出了測(cè)試的目的以及請(qǐng)求測(cè)試的人的身份?？商娲兀颊呖梢员砻魉c醫(yī)生的關(guān)系并且給予醫(yī)生運(yùn)行此類測(cè)試的優(yōu)先許可。一旦患者許可的障礙清除，執(zhí)行vdt。這涉及到驗(yàn)證適當(dāng)?shù)臋?quán)威批準(zhǔn)vdt，驗(yàn)證待操作的數(shù)據(jù)的真實(shí)性，對(duì)數(shù)據(jù)解密，以及運(yùn)行vdt程序。vdt的結(jié)果返回到請(qǐng)求的醫(yī)生，并且生成并存儲(chǔ)審計(jì)記錄?；颊呓邮盏揭堰M(jìn)行測(cè)試的通知，以及測(cè)試為何種、誰(shuí)指示該測(cè)試等等的說(shuō)明?？梢曰蛘呖梢圆话y(cè)試結(jié)果，取決于醫(yī)生如何配置vdt請(qǐng)求。醫(yī)生評(píng)估vdt結(jié)果并且開出適當(dāng)?shù)乃?。?shí)施例：腫瘤分類和治療該實(shí)施例具有兩部分。在第一部分中，研究組試圖將乳腺癌腫瘤分類成對(duì)各種藥物反應(yīng)不同的類別。該研究的目標(biāo)是基于基因型和關(guān)于對(duì)各種治療的反應(yīng)的信息來(lái)標(biāo)識(shí)類別。在第二部分中，醫(yī)生正在治療近期診斷為患有癌癥的患者。醫(yī)生指示對(duì)腫瘤進(jìn)行活體組織檢查并且指示其dna的定序。醫(yī)生指示“虛擬實(shí)驗(yàn)室測(cè)試”，其將腫瘤dna與患者的正常dna進(jìn)行比較，并且將腫瘤與患者過(guò)去所患的其它腫瘤進(jìn)行比較?；谶@些比較，醫(yī)生開出恰當(dāng)?shù)剡m于患者基因型的治療方案?，F(xiàn)在轉(zhuǎn)到實(shí)施例的第一部分，其中研究組試圖對(duì)乳腺癌腫瘤進(jìn)行分類，研究者做出將一組七十五個(gè)基因標(biāo)識(shí)為可能涉及到癌癥的生物機(jī)理的假設(shè)。他們的目標(biāo)是針對(duì)幫助他們學(xué)習(xí)將這些腫瘤分類成對(duì)應(yīng)于各種療法的組的信息來(lái)評(píng)估盡可能多的患者。研究者創(chuàng)建了一系列在基因云中運(yùn)行的生物信息程序。–第一程序幫助標(biāo)識(shí)研究中的組群，在該情況下研究中的組群被定義為如下的一組患者：(a)女性；(b)已被診斷患有乳腺癌；(c)通過(guò)一種或多種調(diào)查中的藥物治療乳腺癌；以及(d)已表明他們對(duì)那些治療的反應(yīng)如何好。該程序基于關(guān)于患者的表現(xiàn)型的信息，在該實(shí)施例中，假設(shè)患者的表現(xiàn)型存儲(chǔ)在基因云中(或者對(duì)基因云而言可訪問(wèn))。該第一程序在該實(shí)施例中稱為選擇器，因?yàn)槠鋷椭x擇在實(shí)驗(yàn)中要使用的組群。選擇器可以例如選擇合格組群的一半作為學(xué)習(xí)組，并且保留另一半用于測(cè)試目的。–第二程序設(shè)計(jì)為對(duì)來(lái)自孤立的單個(gè)組群參與者的一組基因組(例如，正常細(xì)胞、腫瘤細(xì)胞)進(jìn)行操作，即，該程序的任一特定實(shí)例均不訪問(wèn)所有參與者的基因組。該程序針對(duì)七十五個(gè)目標(biāo)基因來(lái)評(píng)估正?；蚪M和腫瘤基因組，針對(duì)每個(gè)目標(biāo)基因標(biāo)注變體。變體包括諸如snp、早停碼字、復(fù)印數(shù)量變化形式等信息。該程序在該實(shí)施例中稱為基因仿形儀。–第三程序取所有個(gè)體基因仿形儀運(yùn)行的結(jié)果作為輸入并且取得待用于分類的數(shù)據(jù)。雖然各種不同的分類算法可用于該程序中，該實(shí)施方案的總體構(gòu)思在于，算法試圖將對(duì)具體治療反應(yīng)良好的患者分組成簇。在評(píng)估未用于學(xué)習(xí)分類的新穎基因組時(shí)，則將確定新基因組落入哪個(gè)簇，從而預(yù)測(cè)那個(gè)治療過(guò)程可能最適合。在該實(shí)施例中，該程序稱為分類學(xué)習(xí)機(jī)。–第四程序，工作流，更像是一個(gè)說(shuō)明書的文件，其描述了選擇器、基因仿形儀和分類學(xué)習(xí)機(jī)如何適配在一起。例如，其可以指定選擇器將確定組群；并且與該組群相關(guān)聯(lián)的基因組要輸入(基于個(gè)體)到一組基因仿形儀實(shí)例，其輸出被引到分類學(xué)習(xí)機(jī)。研究者將這些程序上載到基因云作為安全研究請(qǐng)求(srr)，vdt請(qǐng)求的形式。研究實(shí)驗(yàn)開始執(zhí)行，起始于選擇器，如工作流中所指定的。選擇器在可信執(zhí)行環(huán)境中運(yùn)行，該環(huán)境確保其僅對(duì)相關(guān)的表現(xiàn)型數(shù)據(jù)有訪問(wèn)權(quán)，而對(duì)基因組數(shù)據(jù)沒(méi)有訪問(wèn)權(quán)。選擇器將滿足選擇器中指定的標(biāo)準(zhǔn)的一組1200位患者標(biāo)識(shí)出。隨著每個(gè)可能的組群成員被標(biāo)識(shí)并添加到研究中，基因云利用成員的用戶id(或醫(yī)療記錄id)來(lái)查找與患者關(guān)聯(lián)的基因組(正常和腫瘤)的唯一基因組序列標(biāo)識(shí)符。在該實(shí)施例中，用戶id到基因組id的映射是通過(guò)基因云來(lái)執(zhí)行的并且對(duì)于選擇器或基因仿形儀不可見(jiàn)，從而防止整個(gè)工作流將個(gè)人標(biāo)識(shí)符與基因組關(guān)聯(lián)?；蛟乞?yàn)證可能的組群成員的策略與研究者所希望的患者基因組數(shù)據(jù)的用途一致。例如，基因云查驗(yàn)患者具有其基因組數(shù)據(jù)被挖掘以用于研究用途的授權(quán)許可。一些患者可能希望允許任何研究用途，但是其它患者可能要求研究者附屬于學(xué)術(shù)或公共健康機(jī)構(gòu)，而不是商業(yè)實(shí)體。另外的其它患者可能希望被邀請(qǐng)而明確地同意每項(xiàng)研究用途，并且實(shí)際上期望在他們的數(shù)據(jù)參與研究學(xué)習(xí)中受到補(bǔ)償。對(duì)于策略允許參與的每個(gè)組群成員，基因云創(chuàng)建基因仿形儀的一個(gè)實(shí)例并且使得正?；蚪M和腫瘤基因組可用作該實(shí)例的輸入?；蚍滦蝺x的每個(gè)實(shí)例由基因云指定新生成的隨機(jī)id。該隨機(jī)id用于標(biāo)識(shí)組群成員，而不顯現(xiàn)任何關(guān)于組群成員的信息。如同選擇器，每個(gè)基因仿形儀在限制對(duì)包括數(shù)據(jù)庫(kù)、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)的資源的訪問(wèn)的可信執(zhí)行環(huán)境中運(yùn)行。例如，可防止基因仿形儀做出http請(qǐng)求以及將基因組數(shù)據(jù)張貼于第三方站點(diǎn)。還可以防止基因仿形儀訪問(wèn)表現(xiàn)型數(shù)據(jù)以及基因云未明確指定給它的基因組數(shù)據(jù)。存在多種輸入可用于基因仿形儀程序的方式。在該實(shí)施例中，基因仿形儀被告知，其具有兩個(gè)基因組作為論據(jù)，一個(gè)用于正常細(xì)胞，而一個(gè)用于腫瘤細(xì)胞。利用基因云所提供的參考標(biāo)識(shí)符，基因仿形儀請(qǐng)求序列數(shù)據(jù)提供爭(zhēng)議中的七十五個(gè)基因。這些基因被提供給基因仿形儀，而不顯現(xiàn)出基因組id，從而防止基因仿形儀泄露后來(lái)可能與其它信息組合來(lái)標(biāo)識(shí)具體組群成員的基因組id信息。在數(shù)據(jù)提供給基因仿形儀程序時(shí)，它們被審計(jì)且受制于任何可以管理該信息的相關(guān)用戶策略。例如，特殊用戶可能表明她的brca2基因的狀況不應(yīng)為任何目的而顯現(xiàn)給任何人。請(qǐng)求該數(shù)據(jù)的基因仿形儀則將被拒絕并且必須決定如何做出反應(yīng)，例如終止或者生成無(wú)請(qǐng)求信息的最佳努力結(jié)果。這些數(shù)據(jù)以與典型vdt的輸入相同的方式經(jīng)過(guò)驗(yàn)證；該驗(yàn)證可以包括對(duì)輸入數(shù)據(jù)的品質(zhì)或源頭、數(shù)據(jù)格式等的約束?；蚍滦蝺x在其指定的數(shù)據(jù)上運(yùn)行且產(chǎn)生答案，該答案連同隨機(jī)生成的標(biāo)識(shí)符一起返回到基因云，并且傳遞給分類學(xué)習(xí)機(jī)。同樣在可信執(zhí)行環(huán)境中操作的分類學(xué)習(xí)機(jī)開始接收來(lái)自各種基因仿形儀實(shí)例的結(jié)果。分類學(xué)習(xí)機(jī)不必要獲知其應(yīng)當(dāng)期望接收多少結(jié)果。甚至在能夠標(biāo)識(shí)多個(gè)組群成員的情況下，基因仿形儀實(shí)例的誤差(或策略違反)可能意味著實(shí)際接收到的少于期望數(shù)量。在某點(diǎn)，分類學(xué)習(xí)機(jī)必須決定運(yùn)行其算法，但是同時(shí)，其簡(jiǎn)單地采集輸入。在該實(shí)施例中，研究所創(chuàng)建的工作流規(guī)范說(shuō)明判定樣本尺寸是否高于1000，如果一個(gè)小時(shí)過(guò)去后沒(méi)有新進(jìn)入的數(shù)據(jù)，則分類學(xué)習(xí)機(jī)應(yīng)當(dāng)運(yùn)行。為了計(jì)算其分類數(shù)據(jù)結(jié)構(gòu)，分類學(xué)習(xí)機(jī)不僅需要來(lái)自各基因仿形儀實(shí)例(其現(xiàn)在所收集的)結(jié)果，而且需要關(guān)于組群成員以及成員對(duì)具體治療反應(yīng)如何的信息。基因云為分類學(xué)習(xí)機(jī)提供api，允許其利用作為組群成員id的代理的指定給基因仿形儀的隨機(jī)標(biāo)識(shí)符來(lái)查詢非個(gè)人可標(biāo)識(shí)的表現(xiàn)型特性。利用該間接機(jī)制，分類學(xué)習(xí)機(jī)能夠?qū)⒒蛐团c表現(xiàn)型信息相關(guān)，而無(wú)需訪問(wèn)諸如姓名、醫(yī)療記錄號(hào)、地址等個(gè)人標(biāo)識(shí)信息，僅訪問(wèn)那些與學(xué)習(xí)分類有關(guān)的特性。分類學(xué)習(xí)機(jī)為研究者生成輸出結(jié)果，包含能夠用于對(duì)訓(xùn)練集外的基因組上的疾病的新實(shí)例進(jìn)行分類的數(shù)據(jù)結(jié)構(gòu)。分類器的應(yīng)用類似于在之前的實(shí)施例中描述的“開藥助理”的應(yīng)用。為了測(cè)試和應(yīng)用上述學(xué)習(xí)的分類器，研究者創(chuàng)建了新的vdt程序，其包含了上述獲得的學(xué)習(xí)后的分類信息。該分類器程序?qū)?lái)自單個(gè)患者(以及她的腫瘤)的基因組操作，提取必要的七十五個(gè)基因仿形并且應(yīng)用上述學(xué)習(xí)的分類。如在“開藥助理”情況下那樣，vdt(分類器程序)可通過(guò)第三方權(quán)威認(rèn)證。在該情況下，一旦分類器經(jīng)過(guò)測(cè)試且其結(jié)果視為可接受，則諸如fda或國(guó)家癌癥研究院的實(shí)體可數(shù)字地簽署vdt以表明其符合其策略。實(shí)施例：盲目藥物篩選許多專家認(rèn)為，巨型炸彈藥物時(shí)代已經(jīng)過(guò)去，藥物的未來(lái)將有賴于針對(duì)患者采取更精確的有針對(duì)性的療法，而不是普通適用的藥物。在許多情況下，患者的基因型將用于判定既定療法是否有效。非常有益的是，制藥公司定位潛在的候選者以便直接投放市場(chǎng)或參與臨床試驗(yàn)。然而，這應(yīng)當(dāng)以保護(hù)患者隱私的方式來(lái)進(jìn)行。在該實(shí)施例中，制藥公司已創(chuàng)建了基因組篩選程序，其判定基因組的主人是否是新型抗精神病藥物的潛在候選者。在初步的研究中，制藥公司已發(fā)現(xiàn)，具有特定基因型的人反應(yīng)特別好。制藥公司創(chuàng)建了一組生物信息程序：–第一程序，即選擇器程序，與“腫瘤分類和治療”實(shí)施例中的類似，選擇“基因云中所有人”的組群，因?yàn)樗麄兿Ｍ玫奖M可能多的參與者。–篩選器程序?qū)嶋H上檢查選擇用于組群的人的基因組并且發(fā)出從0至100的數(shù)字，表示他們對(duì)治療做出反應(yīng)的概率。類似于之前的實(shí)施例中的基因仿形儀，篩選器一次對(duì)一個(gè)基因組進(jìn)行操作。–聯(lián)系程序取得篩選器實(shí)例的結(jié)果并且利用患者優(yōu)選的聯(lián)系方法(例如，電子郵件、sms、站點(diǎn)通知等)匿名地聯(lián)系概率高于70％的任何患者。–工作流程序，其指定所有這些程序如何一起運(yùn)行。制藥公司創(chuàng)建研究請(qǐng)求，并且將這些程序簽名且上載到基因云，在基因云中它們開始運(yùn)行。選擇器繼續(xù)運(yùn)行，并且將標(biāo)識(shí)組群成員以便在它們?cè)诰€時(shí)進(jìn)行進(jìn)一步研究。起初，選擇器無(wú)匹配，因?yàn)闆](méi)有人知道試驗(yàn)，或者已經(jīng)選擇允許制藥公司免費(fèi)地挖掘其全部的基因組數(shù)據(jù)。換言之，基因云中基因組信息的主人所設(shè)定的策略，或者更精確地是容許使用的策略的缺失，阻止出現(xiàn)匹配。制藥公司向患者社區(qū)張貼了通知，該通知寄存在基因云系統(tǒng)內(nèi)或其它處，提供了允許感興趣的參與者注冊(cè)該免費(fèi)篩選的鏈接。參與該篩選的邀請(qǐng)說(shuō)明了做何種測(cè)試，以及對(duì)所測(cè)試的人如何有益。還明確地說(shuō)明了制藥公司不能夠獲知任何參與者的身份，并且如果參與者被視為與療法匹配，則參與者本身必須前攝遵從。在參與者開始選擇時(shí)，他們的用戶id由選擇器匹配。如在“腫瘤分類和治療”使用案例中那樣，這些id變成了屏幕后的基因組id，指定了隨機(jī)標(biāo)識(shí)符，然后作為輸入提供給篩選器的個(gè)體實(shí)例。在篩選器結(jié)束運(yùn)行時(shí)，它們提供其結(jié)果給聯(lián)系程序，聯(lián)系程序使用隨機(jī)指定的標(biāo)識(shí)符來(lái)請(qǐng)求將通知發(fā)送給多于70％可能對(duì)治療做出反應(yīng)的每個(gè)組群成員?；蛟剖褂秒S機(jī)id來(lái)查找用戶id，找到其優(yōu)選的聯(lián)系方式和地址，并且分發(fā)表示在他們感興趣的情況下他們應(yīng)如何跟隨的一般消息。通過(guò)該程序，制藥公司已標(biāo)識(shí)出其療法可能對(duì)其有幫助的適合的人群，并且患者已接收到不使其身份受損的免費(fèi)篩選服務(wù)。實(shí)施例：新生兒和一周歲的評(píng)估婦女進(jìn)入醫(yī)院并且產(chǎn)出了看上去健康的男嬰。作為例行健康評(píng)估的部分(以及作為嬰兒生命期內(nèi)未來(lái)使用的記錄)，兒科醫(yī)生用藥簽拭抹嬰兒的面頰以獲得dna樣本并且將其送到實(shí)驗(yàn)室進(jìn)行處理。醫(yī)生指示當(dāng)前由ama和美國(guó)兒科醫(yī)學(xué)委員會(huì)所推薦的一套標(biāo)準(zhǔn)的基因測(cè)試。作為附加益處，兒科醫(yī)生將嬰兒預(yù)約到“一周歲”醫(yī)學(xué)警告系統(tǒng)。兒科醫(yī)生沒(méi)有她自己的實(shí)驗(yàn)室，她也不想重復(fù)地從新生兒采集樣本，除非密切的檢查有采集新樣本的正當(dāng)理由。她知道，存在與一些測(cè)試程序相關(guān)聯(lián)的風(fēng)險(xiǎn)。其它測(cè)試既昂貴又難懂，并且在多數(shù)情況下與其相關(guān)聯(lián)的成本無(wú)擔(dān)保。醫(yī)生想要確保她遵從了ama隨推薦的當(dāng)前最佳慣例。醫(yī)生還想確保如果基因診斷中的任何進(jìn)展發(fā)現(xiàn)了她的年輕患者的潛在問(wèn)題她能夠被通知。醫(yī)生從新生嬰兒取得dna樣本，用唯一id加標(biāo)簽，并且將其送到基因云設(shè)施。醫(yī)生將患者的實(shí)驗(yàn)限定如下：–對(duì)于新生嬰兒的最常見(jiàn)問(wèn)題運(yùn)行高優(yōu)先級(jí)掃描。該掃描將以較高的、更昂貴的優(yōu)先級(jí)排入隊(duì)列。兒科醫(yī)生接受額外費(fèi)用作為預(yù)防措施。她想要盡可能早地知道嚴(yán)重的問(wèn)題。她使用在“serousinfantpathologya”名下公開的ama認(rèn)證的程序包。她之前使用過(guò)該程序包并且對(duì)性能非常滿意。–以較低的、不太昂貴的優(yōu)先級(jí)對(duì)于不太嚴(yán)重或本身在生命后期顯現(xiàn)出的問(wèn)題運(yùn)行掃描。她希望對(duì)于能夠等待的事情削減成本。按嬰兒具有男性模式的禿頂問(wèn)題的事實(shí)調(diào)整至新生嬰兒，無(wú)需使父母?jìng)?。兒科醫(yī)生希望運(yùn)行的程序是兩個(gè)公共可用的第三方程序，以及一個(gè)她自己制作的程序包。–對(duì)于適合描述“infantandpathologyandmediumorhighrisk”的新公開的程序?qū)π律鷥旱膁na樣本繼續(xù)周期性的掃描。該程序的生命周期涵蓋了嬰兒生命的第一年。實(shí)驗(yàn)的額外參數(shù)規(guī)定了，如果掃描的成本超過(guò)一定量，則程序首先需要提供關(guān)于程序和疾病的文檔給醫(yī)生，然后需要從醫(yī)生處接收運(yùn)行許可。兒科醫(yī)生從嬰兒患者取得dna樣本。該樣本是通過(guò)用藥簽拭抹患者的面頰而取得的。藥簽由id加標(biāo)簽。id實(shí)現(xiàn)了患者的匿名。id構(gòu)造為使得id不會(huì)容易地追溯到患者。兒科醫(yī)生連接到基因云控制臺(tái)。經(jīng)由一系列用戶接口，她指定她要對(duì)患者進(jìn)行的實(shí)驗(yàn)。經(jīng)認(rèn)證的ama程序被裝載到實(shí)驗(yàn)背景下，并且檢查封包的簽名。該封包的價(jià)格選項(xiàng)呈現(xiàn)給兒科醫(yī)生。她選擇優(yōu)先級(jí)選項(xiàng)。她計(jì)算較高的成本被對(duì)家庭帶來(lái)的益處所補(bǔ)償。藥簽被送到本地基因云中心，在基因云中心對(duì)樣本進(jìn)行定序。序列存儲(chǔ)在基因云中。后來(lái)，在初始興奮安定之后，兒科醫(yī)生坐下來(lái)限定實(shí)驗(yàn)的其余部分。她利用基因云控制臺(tái)連接到之前限定的實(shí)驗(yàn)。她首先選擇在其中一個(gè)主基因云軟件市場(chǎng)中可用的包。該包由退休的兒科醫(yī)生創(chuàng)建，并且由他的證書以及他的閱覽組的證書簽署。她認(rèn)識(shí)并且信任該作者。第二，她選擇不同第三方基因云軟件市場(chǎng)中由一個(gè)年長(zhǎng)的助產(chǎn)士所創(chuàng)建的包。該市場(chǎng)以更具研究氣氛而聞名。在該包被裝載到實(shí)驗(yàn)背景下時(shí)，該包的簽名被查驗(yàn)。第三，她挑選出她自己創(chuàng)建的一個(gè)程序。該程序是她過(guò)去實(shí)際經(jīng)驗(yàn)的編碼。為了上載實(shí)驗(yàn)，她必須將她的證書連同閱覽該程序的同級(jí)組的證書一起提供給基因云。序列經(jīng)過(guò)初始處理，包括壓縮和元數(shù)據(jù)加標(biāo)簽。初始處理一完成，就在序列上運(yùn)行高優(yōu)先級(jí)任務(wù)。任務(wù)通常具有與其相關(guān)聯(lián)的較高成本。兒科醫(yī)生指定的高優(yōu)先級(jí)任務(wù)正在運(yùn)行，即使僅對(duì)實(shí)驗(yàn)進(jìn)行部分限定。較低優(yōu)先級(jí)的任務(wù)現(xiàn)在開始在基因云中運(yùn)行。兒科醫(yī)生現(xiàn)在限定她對(duì)患者的實(shí)驗(yàn)的第三部分，即長(zhǎng)期運(yùn)行的“第一周歲”實(shí)驗(yàn)。實(shí)驗(yàn)該部分的參數(shù)被設(shè)定。首先，僅允許具有描述“infantandpathologyandmediumorhighrisk”的新程序。具有在描述中包括“advertising”的描述的所有程序被明確地拒絕，除了對(duì)嬰兒處方做廣告的程序之外，這是因?yàn)閷?shí)驗(yàn)的第一部分已經(jīng)揭露了嬰兒患者輕微乳糖不耐受。該程序還有助于基因云分析的成本，因?yàn)槊慨?dāng)接受廣告時(shí)其將資源注入實(shí)驗(yàn)賬戶。允許具有描述“infantandpathologyandmediumorhighrisk”的程序運(yùn)行，前提是運(yùn)行成本不過(guò)高。允許具有描述“infantandpathology”的程序運(yùn)行，前提是滿足下面的條件：–運(yùn)行程序的成本對(duì)于患者的基因組低于5美分。–運(yùn)行程序的成本對(duì)于患者的基因組大于5美分并且程序能夠?qū)⑾嚓P(guān)研究顯示給兒科醫(yī)生，并且程序獲得在患者基因組上運(yùn)行的簽名許可。–在嬰兒第一歲生日之后，實(shí)驗(yàn)的該部分被設(shè)定為完成且到期。實(shí)施例：匿名后代品質(zhì)預(yù)測(cè)愛(ài)麗絲(alice)將其基因材料定序且上載到基因云中。她預(yù)定了在基因云之上由第三方賣主提供的測(cè)定服務(wù)。利用測(cè)定服務(wù)的接口，她選擇她希望她的后代擁有的一些品質(zhì)。她希望她的后代擁有的品質(zhì)之一是從錯(cuò)誤中學(xué)習(xí)的能力。愛(ài)麗絲隨后提交了她理想配偶的合意非基因特性的列表。在該列表上從高向低是教育、收入和與愛(ài)麗絲的鄰近度。她的基因品質(zhì)已為基因云所知。她所不知的是她具有基因型為ag的drd2taqia多胎現(xiàn)象。近期研究表明，這意味著她不不太善于學(xué)習(xí)避免錯(cuò)誤。測(cè)定服務(wù)已經(jīng)在基因云中運(yùn)行的vdt中將這些結(jié)果結(jié)合taqia多胎現(xiàn)象進(jìn)行編碼。程序?qū)蓚€(gè)潛在的候選者進(jìn)行比較并且計(jì)算taqia品質(zhì)影響后代以及影響到何種程度的幾率。僅允許該程序?qū)?lái)自已經(jīng)預(yù)約了測(cè)定服務(wù)以及策略設(shè)定允許這種用途的人的樣本進(jìn)行操作。測(cè)試服務(wù)程序組中的第二個(gè)可信程序現(xiàn)在取得潛在配偶的列表并且評(píng)估個(gè)體的非基因特性。該程序構(gòu)造為使得個(gè)體的身份和基因信息保密。該程序縮短了潛在對(duì)象的列表以適應(yīng)次要標(biāo)準(zhǔn)，并且在愛(ài)麗絲能夠訪問(wèn)的網(wǎng)頁(yè)接口中呈現(xiàn)列表。僅公開了匹配程度和潛在配偶想要顯現(xiàn)的信息。愛(ài)麗絲登陸測(cè)定站點(diǎn)并且被呈現(xiàn)了匿名潛在配偶以及后代將擁有她所期望的品質(zhì)的幾率的列表。匿名協(xié)商會(huì)話隨后發(fā)生，并且愛(ài)麗絲縮小了潛在配偶的列表。愛(ài)麗絲與列表成員之間的消息經(jīng)由匿名消息交換設(shè)備來(lái)處理。在協(xié)商會(huì)話之后，各方同意會(huì)面。愛(ài)麗絲重復(fù)該過(guò)程，直到找到合適的配偶。將理解的是，選擇前面的實(shí)施例以有利于理解發(fā)明工作主體的各個(gè)實(shí)施方案，并且為了示例而不是限制其中所展示的總體原則的目的選擇了這些實(shí)施例中的具體細(xì)節(jié)。示例性的基因云組件和過(guò)程圖4是示出根據(jù)一些實(shí)施方案的實(shí)施例基因云系統(tǒng)中所包含的多個(gè)子系統(tǒng)的圖。如圖4所示，這些子系統(tǒng)可包括以下中的一些或全部：–安全基因數(shù)據(jù)庫(kù)220，其存儲(chǔ)基因組和其它基因材料，以及可能與系統(tǒng)操作有關(guān)的其它健康信息。–vdt市場(chǎng)221，其允許診斷和其它生物信息學(xué)工具的提供者出售或以其它方式為基因云生態(tài)系統(tǒng)中的其它參與者提供對(duì)其工具的訪問(wèn)和/或使用，諸如希望對(duì)腫瘤進(jìn)行專業(yè)基因測(cè)試的醫(yī)院。–可信權(quán)威222，其管理構(gòu)建系統(tǒng)所涉及到的實(shí)體的認(rèn)證，將經(jīng)認(rèn)證的數(shù)字身份和密鑰提供給參與者，參與者可能包括定序機(jī)本身、醫(yī)生和希望訪問(wèn)系統(tǒng)資源的研究者、vdt提供者(使用他們的證書來(lái)簽署他們的vdt)和/或類似物。該可信權(quán)威222可以例如包括充分集中化的可信權(quán)威、具有分散中間權(quán)威的代理可信權(quán)威、或類似于在萬(wàn)維網(wǎng)中操作的分散的可信模型網(wǎng)。–vdt執(zhí)行環(huán)境223，其是安全計(jì)算環(huán)境，在該環(huán)境中執(zhí)行vdt和其它生物信息學(xué)工具。該執(zhí)行環(huán)境223能夠確保僅執(zhí)行可信的、真實(shí)的vdt并且能夠管理諸如對(duì)基因數(shù)據(jù)庫(kù)的可信的、策略管理的訪問(wèn)的計(jì)算的各方面。一組研究服務(wù)224，其例如允許研究者將研究注入系統(tǒng)，其組件將在vdt執(zhí)行環(huán)境中執(zhí)行。–交易票據(jù)交換所225，其例如管理系統(tǒng)內(nèi)的付款和/或其它價(jià)值交換?；蛟谱舆^(guò)程。表3描述了發(fā)明工作主體的一些實(shí)施方案的操作中所涉及到的子過(guò)程的實(shí)施例。下面進(jìn)一步詳細(xì)地描述了與這些示例性的過(guò)程有關(guān)的操作細(xì)節(jié)。表3可能的基因云子過(guò)程的實(shí)施例信任管理。本文所描述的信任管理系統(tǒng)是可用于基因云系統(tǒng)的許多可能的信任管理方案中的一種的示例。圖5是示出代理信任管理方法的圖，其中單個(gè)根權(quán)限代理信任層級(jí)到多個(gè)功能專用的中間根的操作職責(zé)。在圖5所示的示例性的層級(jí)中，根信任權(quán)限300代理了六個(gè)子權(quán)限的職責(zé)。設(shè)備制造商信任根301用于在他們?cè)诨蛟粕鷳B(tài)系統(tǒng)內(nèi)傳達(dá)信息時(shí)證實(shí)設(shè)備。實(shí)驗(yàn)室信任根302用于在處理基因和其它材料時(shí)所涉及的實(shí)驗(yàn)室主要負(fù)責(zé)人的證實(shí)。執(zhí)行環(huán)境信任根303用于發(fā)出例如vdt執(zhí)行環(huán)境的完整性的信號(hào)。管理機(jī)構(gòu)信任根304允許政府管理機(jī)構(gòu)簽署基因云系統(tǒng)內(nèi)的數(shù)字對(duì)象，表明他們?cè)S可/瀏覽過(guò)爭(zhēng)議的對(duì)象。測(cè)試提供者信任根305由在根303下認(rèn)證的可信環(huán)境內(nèi)執(zhí)行的診斷工具(例如vdt)和其它生物信息學(xué)工具的提供者使用。私有認(rèn)證機(jī)構(gòu)信任根306有點(diǎn)類似于管理機(jī)構(gòu)信任根304，但是由希望表明他們同意或?yàn)g覽過(guò)一些測(cè)試、工具或數(shù)據(jù)的私有實(shí)體操作。圖6是示出根據(jù)一些實(shí)施方案的設(shè)備制造商信任根的各方面的圖。在一些實(shí)施方案中，設(shè)備制造商信任根是用于認(rèn)證在基因云生態(tài)系統(tǒng)中涉及的設(shè)備(包括例如諸如定序機(jī)的設(shè)備)的代理信任權(quán)限。如圖6所示，設(shè)備制造商信任根301可進(jìn)一步將其權(quán)限代理給一個(gè)或多個(gè)制造商特定的信任根307a,307b…307n，每個(gè)制造商特定的信任根反過(guò)來(lái)可用于認(rèn)證單個(gè)設(shè)備(例如，證書308a,308b…308n)。圖7是示出根據(jù)一些實(shí)施方案的實(shí)驗(yàn)室信任根的各方面的圖。實(shí)驗(yàn)室信任根302能夠用于認(rèn)證在基因云生態(tài)系統(tǒng)內(nèi)處理安全信息所涉及到主要負(fù)責(zé)人和設(shè)施。如同設(shè)備制造商信任根301，實(shí)驗(yàn)室信任根302可以是代理根，其本身可以代理單個(gè)實(shí)驗(yàn)室309a,309b…309n的權(quán)限。在圖7中示出了兩種情況，一種情況是實(shí)驗(yàn)室信任根302直接發(fā)布終端實(shí)體證書來(lái)認(rèn)證單個(gè)實(shí)驗(yàn)室(309a,309n)，另一種情況是實(shí)驗(yàn)室本身向?qū)嶒?yàn)室(310a,310b…310n)的操作中涉及的技術(shù)人員和其它人發(fā)布終端實(shí)體證書.圖8是示出根據(jù)一些實(shí)施方案的執(zhí)行環(huán)境信任根的各方面的圖。執(zhí)行環(huán)境信任根303能夠用于認(rèn)證和證明執(zhí)行諸如vdt的工具的系統(tǒng)的完整性。在一些實(shí)施方案中，該根可以例如對(duì)在基于本地法律的不同管轄權(quán)的不同執(zhí)行環(huán)境(311a,311b…311n)進(jìn)行授權(quán)，并且?guī)椭_保每個(gè)經(jīng)如此授權(quán)的環(huán)境能夠依次對(duì)本地“虛擬實(shí)驗(yàn)室”(例如，在其管轄權(quán)內(nèi)操作的實(shí)際個(gè)體執(zhí)行環(huán)境)授權(quán)。對(duì)于每個(gè)“虛擬實(shí)驗(yàn)室”執(zhí)行環(huán)境顯示了證書312a,312b…312n。圖9是示出根據(jù)一些實(shí)施方案的管理信任根的各方面的圖。管理信任根304能夠用于代理特定法律管轄權(quán)(313a,313b…313n)的本地管理權(quán)限，每個(gè)本地管理權(quán)限可根據(jù)本地規(guī)章獨(dú)立地操作。在一些實(shí)施方案中，這些管轄權(quán)將具有進(jìn)一步代理如其具體管轄權(quán)所要求的權(quán)限(314a,314b…314n)的能力。該代理模型無(wú)需對(duì)所涉及的多個(gè)管理權(quán)限施加任何要求，相反，能夠幫助確保在期望進(jìn)行互操作時(shí)各管理管轄權(quán)的系統(tǒng)能夠?qū)崿F(xiàn)技術(shù)可互操作。備選的信任模型不涉及單個(gè)管理信任根，而是允許每個(gè)系統(tǒng)維護(hù)所信任的管理證書列表。該模型將更接近地類似于在萬(wàn)維網(wǎng)上流行的多對(duì)多信任體系結(jié)構(gòu)。圖10是示出根據(jù)一些實(shí)施方案的測(cè)試提供者信任根的各方面的圖。測(cè)試提供者能夠使用從測(cè)試提供者信任根305取得的證書來(lái)對(duì)其子域內(nèi)的各行動(dòng)者指定身份，各行動(dòng)者包括例如組織內(nèi)的群組和/或?qū)y(cè)試本身(例如vdt)編碼的數(shù)字對(duì)象。這些不同的身份能夠被查驗(yàn)和驗(yàn)證以作為vdt的安全執(zhí)行的部分。圖11是示出根據(jù)一些實(shí)施方案的私有認(rèn)證權(quán)限信任根的各方面的圖。極類似于管理信任根304，私有認(rèn)證權(quán)限信任根306能夠用于為各實(shí)體提供表明他們已閱覽或同意諸如vdt、序列、裝備等特定對(duì)象的能力。例如，clia可具有允許它們?yōu)榻?jīng)過(guò)認(rèn)證的特殊實(shí)驗(yàn)室裝備和/或?qū)嶒?yàn)室程序擔(dān)保的來(lái)自私有認(rèn)證權(quán)限信任根獲得的子根。諸如美國(guó)醫(yī)療協(xié)會(huì)的專業(yè)協(xié)會(huì)可能希望將其自身的數(shù)字證據(jù)添加到特殊vdt中，表明其已經(jīng)過(guò)組織等閱覽。每個(gè)私有權(quán)限將被發(fā)有通過(guò)私有認(rèn)證權(quán)限信任根簽名的其自身的證書，這將依次將給予它為其自身用途適當(dāng)?shù)匕l(fā)布另外的證書的權(quán)力。圖12是示出根據(jù)一些實(shí)施方案的代理信任模型中的認(rèn)證的各方面的圖。顯示出代理信任模型230，其中如上所述，每個(gè)子根可對(duì)其特殊域內(nèi)的認(rèn)證施加各種要求。圖12示出了根據(jù)一些實(shí)施方案的可能的認(rèn)證過(guò)程、要求和人工制品的一些實(shí)施例。保密性和許可根據(jù)一些實(shí)施方案，基因云系統(tǒng)允許研究者和醫(yī)療人員在確保其數(shù)據(jù)由基因云管理的消費(fèi)者的保密性和隱私的同時(shí)對(duì)基因序列進(jìn)行操作。該部分描述了能夠用于一些實(shí)施方案的策略機(jī)制的一些實(shí)施例。圖13是示出根據(jù)一些實(shí)施方案的在基因云的基因信息的生命周期內(nèi)的一組實(shí)施例階段的示例。圖13還表示了在這些實(shí)施方案中用于維護(hù)安全性和保密性的一些對(duì)象。參考圖13，在階段1(240)中，在安全分析器環(huán)境中，通過(guò)樣本采集系統(tǒng)(例如，定序機(jī))來(lái)生成基因信息。在該實(shí)施例中，安全分析器環(huán)境可以是例如定序裝備的一部分或者在與定序裝備搭配使用的外部單元中，安全分析器環(huán)境擁有待用于保護(hù)序列數(shù)據(jù)的唯一設(shè)備標(biāo)識(shí)符和加密模塊。在圖13所示的實(shí)施例中，通過(guò)在安全分析器環(huán)境中本地生成的臨時(shí)加密密鑰(分析器加密密鑰或aek)，在源頭處保護(hù)序列數(shù)據(jù)。在可選的實(shí)施方案中，通過(guò)安全通道從基因云獲得臨時(shí)加密密鑰。該密鑰由與階段2(242)的安全數(shù)據(jù)接收環(huán)境相關(guān)聯(lián)的公共密鑰加密并且連同加密的序列數(shù)據(jù)一起發(fā)送到安全數(shù)據(jù)接收環(huán)境。安全分析器環(huán)境可以從登錄庫(kù)獲得與既定安全數(shù)據(jù)接收環(huán)境相關(guān)聯(lián)的公共加密密鑰，登錄庫(kù)可以例如將這些密鑰與安全數(shù)據(jù)接收環(huán)境的諸如其在因特網(wǎng)內(nèi)的公共ip地址和/或類似屬性的其它屬性關(guān)聯(lián)。在數(shù)據(jù)生成階段(240)期間內(nèi)，通過(guò)id號(hào)(例如，seqid或“序列標(biāo)識(shí)符”)來(lái)標(biāo)識(shí)樣本，在一個(gè)實(shí)施方案中，id號(hào)是在患者希望定序的點(diǎn)通過(guò)基因云生成的隨機(jī)標(biāo)識(shí)符。該隨機(jī)標(biāo)識(shí)符還可以在定序之前生成并且連同待定序樣本一起傳送到定序中心。該標(biāo)識(shí)符優(yōu)選地不具有與任何其它患者信息的連接，但是在一個(gè)實(shí)施方案中，基因云將與患者的鏈接維護(hù)為一對(duì)受保護(hù)的鏈接對(duì)象(在圖13中顯示為‘seq-sam’和‘sam-cid’)。在一個(gè)實(shí)施方案中，這些鏈接對(duì)象中的第一個(gè)將臨時(shí)seqid與序列的長(zhǎng)期標(biāo)識(shí)符關(guān)聯(lián)；一旦樣本已被攝取到基因云中，初始seq標(biāo)識(shí)符不再使用，除了嚴(yán)格受控的內(nèi)部審計(jì)過(guò)程。第二個(gè)鏈接對(duì)象將特定樣本與消費(fèi)者id(cid)關(guān)聯(lián)。在后期處理的過(guò)程中，該鏈接對(duì)象受vdt以及其它信息學(xué)工具的保護(hù)從而維護(hù)消費(fèi)者隱私。在一個(gè)實(shí)施方案中，維護(hù)基因云中的各標(biāo)識(shí)符之間的鏈接的子系統(tǒng)被稱作安全關(guān)聯(lián)管理系統(tǒng)。安全關(guān)聯(lián)管理系統(tǒng)使得對(duì)匿名的患者信息的訪問(wèn)進(jìn)行可能的嚴(yán)格控制。再次參考圖13，在攝取和安全關(guān)聯(lián)階段242中，序列數(shù)據(jù)由安全數(shù)據(jù)接收環(huán)境攝取。這些數(shù)據(jù)可以經(jīng)由各種網(wǎng)絡(luò)協(xié)議中的任一種傳輸?shù)交蛟?，這些網(wǎng)絡(luò)協(xié)議包括但不限于http(包括https)、ftp、基于udp的協(xié)議和/或類似協(xié)議。在一些實(shí)施方案中，數(shù)據(jù)可通過(guò)物理裝置(例如，在磁盤驅(qū)動(dòng)器上)傳送到攝取點(diǎn)。存在可以用于上載序列數(shù)據(jù)的多種安全數(shù)據(jù)接收環(huán)境。一般地，安全數(shù)據(jù)接收環(huán)境應(yīng)當(dāng)優(yōu)選地定位在極安全的設(shè)施(hsf)內(nèi)以防止未經(jīng)授權(quán)的訪問(wèn)和篡改。在一個(gè)實(shí)施方案中，將序列數(shù)據(jù)解密，并且將用于在傳輸時(shí)保護(hù)其序列數(shù)據(jù)的臨時(shí)密鑰存檔以用于未來(lái)的法庭和審計(jì)用途，但是不能以其它方式使用。seqid用于確定序列所屬的消費(fèi)者，并且序列存儲(chǔ)在消費(fèi)者id下，受新密鑰保護(hù)。seqid被維護(hù)作為seq-sam鏈接對(duì)象的部分，用于歷史和審計(jì)用途，但是seqid不再使用。在一個(gè)實(shí)施方案中，基因序列的使用階段(244)有賴于與消費(fèi)者賬戶關(guān)聯(lián)的許可。在大多數(shù)情況下，將序列標(biāo)識(shí)符與消費(fèi)者id捆綁的鏈接對(duì)象不暴露，例如不暴露于診斷工具。因此，在優(yōu)選的實(shí)施方案中，即使工具對(duì)低級(jí)序列數(shù)據(jù)有訪問(wèn)權(quán)，但是其不能使用該信息來(lái)獲得關(guān)于定序列的消費(fèi)者的身份的進(jìn)一步的信息，包括可存儲(chǔ)在基因云中的醫(yī)療或其它表現(xiàn)型信息。下面描述了示例性的許可框架的實(shí)施方案。在一個(gè)實(shí)施方案中，基因云系統(tǒng)包括策略管理系統(tǒng)，其負(fù)責(zé)管理對(duì)基因數(shù)據(jù)、表現(xiàn)型數(shù)據(jù)和/或其它數(shù)據(jù)的訪問(wèn)權(quán)的規(guī)則的安全存儲(chǔ)和解釋。該管理系統(tǒng)可受自動(dòng)與由特定源(例如特定安全分析器環(huán)境)生成的數(shù)據(jù)關(guān)聯(lián)的根策略規(guī)定制約。下面是系統(tǒng)的一個(gè)實(shí)施方案如何可能使用的實(shí)施例：(a)醫(yī)生登陸到系統(tǒng)中；(b)醫(yī)生查詢患者的記錄；(c)查找患者的cid并且顯示一般信息；(d)醫(yī)生瀏覽患者記錄上的樣本；(e)cid用于定位所有的sam-cid對(duì)象；(f)查驗(yàn)sam-cid對(duì)象內(nèi)的許可以訪問(wèn)樣本數(shù)據(jù)，并且由于醫(yī)生是醫(yī)療人員的部分，許可訪問(wèn)；(g)醫(yī)生選擇兩個(gè)樣本并且選擇進(jìn)行的測(cè)試；(h)安全環(huán)境驗(yàn)證測(cè)試，解鎖全部數(shù)據(jù)，取回序列數(shù)據(jù)并且將序列數(shù)據(jù)解密，驗(yàn)證測(cè)試所需的全部輸入數(shù)據(jù)，并且進(jìn)行測(cè)試；以及(i)如果費(fèi)用與測(cè)試相關(guān)，則開賬單系統(tǒng)更新適當(dāng)?shù)氖召M(fèi)。圖13示出了通過(guò)各安全環(huán)境的示例性的數(shù)據(jù)流，在該安全環(huán)境中，生成序列數(shù)據(jù)，序列數(shù)據(jù)與個(gè)人和樣本相關(guān)數(shù)據(jù)關(guān)聯(lián)，并且根據(jù)許可安全地處理序列數(shù)據(jù)。在第一階段240中，安全分析器環(huán)境用于生成序列數(shù)據(jù)、對(duì)序列數(shù)據(jù)進(jìn)行加密和數(shù)字簽名。安全數(shù)據(jù)和關(guān)聯(lián)標(biāo)識(shí)符封包在分析器數(shù)據(jù)包(adp)內(nèi)并且發(fā)送到安全數(shù)據(jù)接收環(huán)境。結(jié)合圖21進(jìn)一步描述關(guān)于階段240的附加示例性實(shí)施方案的信息。在安全數(shù)據(jù)接收環(huán)境內(nèi)，adp數(shù)據(jù)經(jīng)證實(shí)、解密且安全地?cái)z取到基因云系統(tǒng)中。在該階段(242)中，adp內(nèi)的標(biāo)識(shí)符用于將數(shù)據(jù)與具體的基因云樣本id和消費(fèi)者id關(guān)聯(lián)，并且序列數(shù)據(jù)經(jīng)轉(zhuǎn)寫且存儲(chǔ)為基因云內(nèi)的序列數(shù)據(jù)對(duì)象(sdo)。結(jié)合圖24和圖25進(jìn)一步描述了關(guān)于階段242的附加示例性實(shí)施方案的信息。在階段3(244)中，響應(yīng)于搜索請(qǐng)求和虛擬診斷測(cè)試請(qǐng)求(vdtrx)來(lái)取回解密和處理序列數(shù)據(jù)。在安全環(huán)境(例如，“虛擬實(shí)驗(yàn)室”)中以及依照已經(jīng)由數(shù)據(jù)所有者指定的許可來(lái)進(jìn)行對(duì)序列數(shù)據(jù)的訪問(wèn)和后續(xù)測(cè)試。在圖16中更加詳細(xì)地描述了階段3(244)的示例性過(guò)程。圖14是顯示根據(jù)一些實(shí)施方案的數(shù)據(jù)對(duì)象之間的鏈接的實(shí)體關(guān)系圖。圖14提供了為保護(hù)隱私在基因云的一個(gè)實(shí)施方案中使用的各數(shù)據(jù)對(duì)象之間的關(guān)系的更詳細(xì)的圖。許可框架該部分描述了許可框架的實(shí)施例，圖示出了能夠在基因云中保持患者信息安全的一種方式。該部分意在為實(shí)施例；許多其它類型的許可框架是可能的。特別地，能夠使用策略方案，其中利用可執(zhí)行語(yǔ)言來(lái)表達(dá)許可，可執(zhí)行語(yǔ)言諸如為共同受讓的美國(guó)專利申請(qǐng)11/583,693(公開號(hào)為2007/0180519)(“‘693申請(qǐng)”)和/或美國(guó)專利申請(qǐng)10/863,551(公開號(hào)為2005/0027871)(“‘551申請(qǐng)”)中所描述的(‘693申請(qǐng)和‘551申請(qǐng)的內(nèi)容全部通過(guò)引用合并于此)。許可還可以用例如xml模式限定的說(shuō)明性語(yǔ)言編碼。根據(jù)一些實(shí)施方案，基因云設(shè)計(jì)成使得對(duì)基因信息的訪問(wèn)與消費(fèi)者隱私平衡。在一些優(yōu)選的實(shí)施方案中，所有的數(shù)據(jù)都是匿名的，直到它們明確地與消費(fèi)者身份關(guān)聯(lián)且策略明確地改變成允許訪問(wèn)為止。這是一種類型的缺省策略設(shè)定，但是根據(jù)其他實(shí)施方案其他策略設(shè)定是可能的?；蛟扑S護(hù)的許可策略可源自于多個(gè)源，包括例如：(1)數(shù)據(jù)的始發(fā)者(例如，執(zhí)行定序的實(shí)體)；(2)采集、處理或存儲(chǔ)序列的地理施行的法律和法規(guī)；(3)看護(hù)提供者；和/或(4)患者。為了將適當(dāng)?shù)谋Ｗo(hù)應(yīng)用于基因云內(nèi)所維護(hù)的不同類型的隱私信息，可根據(jù)信息的敏感度將不同的信息分類為多種可能的類型中的一種。在下面的表4中顯示了代表性的類集合。前兩列(標(biāo)有單個(gè)*)通常表示最不敏感的信息，而最后兩列(標(biāo)有三個(gè)***)通常極私密且敏感并且具有最嚴(yán)格的保護(hù)要求。中間兩列的信息(標(biāo)有雙**)通常在兩者之間。表4基因云系統(tǒng)中的信息的隱私數(shù)據(jù)分類在一個(gè)實(shí)施方案中，對(duì)于每種類型的數(shù)據(jù)元素，擁有該數(shù)據(jù)的消費(fèi)者可以指定對(duì)該數(shù)據(jù)類別具有訪問(wèn)權(quán)的主要負(fù)責(zé)人。下面的表5顯示了根據(jù)一些實(shí)施方案的可在系統(tǒng)內(nèi)限定的用戶許可中的一些的實(shí)施例。表5用戶許可矩陣在一個(gè)實(shí)施方案中，一旦各用戶訪問(wèn)數(shù)據(jù)的能力確立，消費(fèi)者(或代表消費(fèi)者起作用的代理)可進(jìn)一步限制在數(shù)據(jù)內(nèi)所允許的具體用途。下面的表6提供了在示例性的基因云系統(tǒng)中數(shù)據(jù)可允許的許可用途中的一些的實(shí)施例。表6基因云系統(tǒng)中的使用許可的實(shí)施例在一個(gè)實(shí)施方案中，在另一許可表或其他適合的數(shù)據(jù)結(jié)構(gòu)中維護(hù)消費(fèi)者許可，其實(shí)施例顯示在表7中。該許可表可以多種數(shù)據(jù)粒度級(jí)應(yīng)用于基因云。例如，該許可矩陣可與消費(fèi)者的整個(gè)數(shù)據(jù)集、特殊數(shù)據(jù)隱私類別和/或特殊數(shù)據(jù)元素相關(guān)聯(lián)。使用類型許可設(shè)定u000從不u001從不u002從不u003從不u004從不u005允許表7實(shí)施例許可設(shè)定在一個(gè)實(shí)施方案中，基因云的許可系統(tǒng)允許許可網(wǎng)格的例外表達(dá)來(lái)捕獲來(lái)自更粗粒度的許可集的變化。例如，如果消費(fèi)者決定缺省設(shè)置不允許使用u004所有數(shù)據(jù)，他可能希望將允許u004用于特殊類別的不太敏感信息的例外插入該策略。例外表的實(shí)施例顯示在表8中。表8許可例外帶有隱私數(shù)據(jù)類別、許可使用、例外等的許可系統(tǒng)可為普通消費(fèi)者提供相當(dāng)令人望而生畏的復(fù)雜度級(jí)別。因此，根據(jù)一些實(shí)施方案，基因云可以包含一組合理的缺省策略模板，其允許用戶經(jīng)由簡(jiǎn)單的接口來(lái)選擇基于實(shí)踐的最佳策略。在選擇特定模板之后，上文所描述的隱私相關(guān)的設(shè)定由系統(tǒng)適當(dāng)?shù)刈詣?dòng)指定以用于所選級(jí)別。策略模板的實(shí)施例顯示在表9中。表9許可模板另外，根據(jù)一些實(shí)施方案，基因云內(nèi)的具體動(dòng)作，諸如在消費(fèi)者的基因組上運(yùn)行vdt，可以觸發(fā)顯式許可請(qǐng)求，其實(shí)施例示出如下。通過(guò)這種方式，可通過(guò)消費(fèi)者來(lái)授權(quán)具體用途(與廣泛使用類別不同)。圖15顯示了根據(jù)一些實(shí)施方案的自動(dòng)生成的授權(quán)請(qǐng)求的模板252的實(shí)施例。虛擬診斷測(cè)試的設(shè)計(jì)和執(zhí)行執(zhí)行vdt。根據(jù)一些實(shí)施方案，執(zhí)行虛擬診斷測(cè)試(vdt)是包括以下四個(gè)階段的過(guò)程：(1)查驗(yàn)許可，即驗(yàn)證vdt經(jīng)授權(quán)而對(duì)搜請(qǐng)求的具體數(shù)據(jù)運(yùn)行；(2)證實(shí)和驗(yàn)證，即確定vdt本身以及其所操作的數(shù)據(jù)對(duì)象已經(jīng)恰當(dāng)?shù)仳?yàn)證。例如，在一些實(shí)施方案中，可要求vdt經(jīng)過(guò)數(shù)字簽名而在特定執(zhí)行環(huán)境中操作，并且vdt本身可以僅對(duì)具有限定極佳的、經(jīng)驗(yàn)證的處置鏈的數(shù)據(jù)運(yùn)行；(3)執(zhí)行，即在安全執(zhí)行環(huán)境中運(yùn)行vdt；以及(4)輸出，即生成vdt的輸出，其可以是例如劑量信息、特定基因的復(fù)制號(hào)變化形式等。圖16是示出根據(jù)一些實(shí)施方案的用于執(zhí)行虛擬診斷測(cè)試(vdt)的過(guò)程400中的動(dòng)作的流程圖。本領(lǐng)域技術(shù)人員將理解到，在過(guò)程400中執(zhí)行的vdt不一定是單個(gè)的單塊程序；事實(shí)上其可以由活動(dòng)經(jīng)協(xié)調(diào)的多個(gè)子組件構(gòu)成。本文所使用的術(shù)語(yǔ)“vdt”應(yīng)當(dāng)理解為包含vdt由多個(gè)組件構(gòu)成的實(shí)施方案。在這樣的實(shí)施方案中，圖16所示的流程圖可應(yīng)用于vdt的各子組件。在塊401處，vdt請(qǐng)求(vdtrx)由基因云系統(tǒng)接收到，表明特定用戶已表達(dá)了對(duì)特定數(shù)據(jù)集運(yùn)行vdt的愿望。根據(jù)一些實(shí)施方案，vdt要使用的數(shù)據(jù)集由取決于表現(xiàn)型或基因型數(shù)據(jù)的評(píng)估的判定來(lái)限定。例如，而局限于：(1)可通過(guò)采集日本籍祖先的超過(guò)85歲且沒(méi)有乳腺癌家族史的所有人的基因組來(lái)形成輸入集合；或者(2)可通過(guò)采集具有既定基因的基因變體的而由未顯現(xiàn)出特定癥狀的所有人的基因組來(lái)形成輸入集合；和/或(3)任何其他選擇方法或標(biāo)準(zhǔn)。在塊402處，利用許可系統(tǒng)來(lái)查驗(yàn)許可。這種許可系統(tǒng)的示例性實(shí)施例描述于本文件的其他地方，并且包括但不限于在'693申請(qǐng)和/或'551申請(qǐng)中所描述的控制和管理機(jī)制。根據(jù)一些實(shí)施方案，驗(yàn)證vdt有運(yùn)行許可可涉及到多個(gè)因素的判定，包括例如：(1)vdt的創(chuàng)建者是否是可信實(shí)體或充當(dāng)可信角色，例如vdt由特定生物信息學(xué)組創(chuàng)建，或者其由參與公共基金研究的學(xué)術(shù)實(shí)驗(yàn)組創(chuàng)建；(2)請(qǐng)求vdt執(zhí)行的人是否是特定可信實(shí)體或是可信角色，例如，請(qǐng)求者是特定臨床醫(yī)師，或是序列所有人的個(gè)人醫(yī)生，或是具有公共健康代理行為的流行病學(xué)專家；(3)任選地，系統(tǒng)可以通過(guò)電子郵件、sms、張貼到基因云賬戶的消息、電話、經(jīng)認(rèn)證的或其他的郵寄地址或其他方式聯(lián)系所有者來(lái)懇求序列所有者的直接許可，vdt執(zhí)行會(huì)受阻，直到這些條件滿足；(4)vdt可以指示要訪問(wèn)基因組的哪些部分，并且可以查驗(yàn)用于訪問(wèn)那些基因位點(diǎn)的具體許可，例如，基因組所有者可能選擇完全限制對(duì)apoe4基因的訪問(wèn)，該apoe4基因與阿耳茨海默氏病的風(fēng)險(xiǎn)強(qiáng)烈相關(guān)，對(duì)基因組的該部分的vdt請(qǐng)求許可將被拒絕；和/或(5)訪問(wèn)特定基因組或其子集的許可可以取決于之前對(duì)該基因組訪問(wèn)的歷史、顯露個(gè)人信息的量等。例如，如果具體信息與之前釋放的信息相結(jié)合能夠用來(lái)個(gè)人標(biāo)識(shí)主體，則基因云可以拒絕訪問(wèn)該具體信息的許可。注意的是，如果vdt在不同人所有的基因組集合上操作，則vdt的執(zhí)行可取決于多方的同意。在塊402處，可以采集許可，停止vdt的執(zhí)行直到獲得所需的許可，或者vdt執(zhí)行可通過(guò)反映獲得許可的那些基因組所有者的輸入的子集繼續(xù)進(jìn)行。在塊403處，如果vdt的使用需要付款，則能夠進(jìn)行驗(yàn)證以確認(rèn)是能夠?qū)ο嚓P(guān)賬戶開賬單。在塊404處，對(duì)是否基于前述查驗(yàn)繼續(xù)做出決策。在塊405處，進(jìn)行適當(dāng)權(quán)威在上述信任模型下簽署vdt的驗(yàn)證。雖然在該實(shí)施例中該驗(yàn)證是顯式地進(jìn)行的，將理解的是其可以在不同時(shí)間或者隱式地進(jìn)行。例如，當(dāng)vdt被上載到基因云系統(tǒng)時(shí)，可以發(fā)生驗(yàn)證。關(guān)于驗(yàn)證的信息，例如創(chuàng)建vdt的實(shí)體的記錄、已簽署vdt的可信實(shí)體列表等，可以存儲(chǔ)在持久性高速緩存中，在塊405處對(duì)該持久性高速緩存進(jìn)行詢問(wèn)。該高速緩存的數(shù)據(jù)可反復(fù)刷新以解釋高速緩存的證書到期等等。這些類型的優(yōu)化不影響系統(tǒng)的邏輯行為。vdt的簽名可多種可能的方式附著，包括但不限于：(1)可利用客戶側(cè)工具開發(fā)vdt并且在vdt上載到基因云中之前進(jìn)行數(shù)字簽名；和/或(2)vdt可以通過(guò)經(jīng)證實(shí)的用戶上載到基因云，利用在線工具開發(fā)和組裝，隨后應(yīng)作者請(qǐng)求進(jìn)行顯式數(shù)字簽名以標(biāo)記工具的官方發(fā)行。在這些情況下，數(shù)字簽名幫助確保對(duì)任何既定基因組執(zhí)行的vdt是指定的vdt，無(wú)任何修改而運(yùn)行。在塊406處，對(duì)vdt或基因云環(huán)境本身所指定的數(shù)據(jù)要求做出判定。在一些實(shí)施方案中，基因云可以對(duì)待由vdt訪問(wèn)的源數(shù)據(jù)施加最低的數(shù)據(jù)真實(shí)性、品質(zhì)或其他條件。在這樣的實(shí)施方案中，vdt作者可以添加超越環(huán)境缺省的附加限制。例如，vdt可以表示其將僅對(duì)由特定實(shí)驗(yàn)室采集的數(shù)據(jù)操作。通過(guò)驗(yàn)證必要實(shí)驗(yàn)室將原始數(shù)據(jù)包進(jìn)行數(shù)字簽名，來(lái)施行該類型的策略。類似地，vdt(或基因云環(huán)境)可允許來(lái)自任何實(shí)驗(yàn)室的數(shù)據(jù)，只要該實(shí)驗(yàn)室是經(jīng)clia認(rèn)證的即可。技術(shù)上講，這可通過(guò)驗(yàn)證用于對(duì)原始數(shù)據(jù)包進(jìn)行數(shù)字簽名的證書本身由諸如clia的權(quán)威簽署來(lái)實(shí)現(xiàn)。更具許可性的策略可能允許任何輸入，只要其為正確格式且由具有有效證書的定序器生成即可。vdt可以對(duì)輸入格式、數(shù)據(jù)源和數(shù)據(jù)品質(zhì)設(shè)置具體的限制。例如，vdt可以要求，基因組由來(lái)自四個(gè)主要制造商中的一個(gè)的機(jī)器定序，那些機(jī)器的型號(hào)和固件版本是最新的，基因組已由具有既定參數(shù)集的特定算法匯編，基于原始基因材料的至少40x采樣來(lái)生成序列，等等。在用于輸入到vdt中的數(shù)據(jù)時(shí)，基因云的一些實(shí)施方案可將數(shù)據(jù)自動(dòng)轉(zhuǎn)換成適當(dāng)?shù)妮斎敫袷讲⑶矣涗涍@樣的轉(zhuǎn)換活動(dòng)以用于在塊410處生成的輸出報(bào)告。在塊407處，做出任何可應(yīng)用要求滿足的驗(yàn)證，例如通過(guò)驗(yàn)證待處理數(shù)據(jù)的處置鏈和格式。在塊408處，基于先前塊的結(jié)果做出是否繼續(xù)進(jìn)行的決策。在塊409處，如果vdt被加密，vdt要被解密，然后在安全執(zhí)行環(huán)境中執(zhí)行。如同vdt簽名，加密vdt的解密可以在vdt上載到基因云中時(shí)發(fā)生，但是這是不總是適當(dāng)?shù)膬?yōu)化。例如，如果vdt從一個(gè)基因云服務(wù)器發(fā)送到另一個(gè)基因云服務(wù)器，則可以保留加密以：(a)在傳輸時(shí)保護(hù)vdt；和/或(b)通過(guò)限制對(duì)vdt加密密鑰的訪問(wèn)來(lái)證實(shí)遠(yuǎn)程服務(wù)器。在vdt執(zhí)行過(guò)程中，可以查驗(yàn)附加許可，如在塊402中。在vdt不明確其將訪問(wèn)基因組的哪些部分的情況下，可以在vdt執(zhí)行過(guò)程中通過(guò)基因云來(lái)監(jiān)控對(duì)基因組訪問(wèn)的具體請(qǐng)求。該監(jiān)控過(guò)程會(huì)導(dǎo)致vdt不能獲取需要繼續(xù)的信息，這會(huì)觸發(fā)異常情況(例如，在塊411處生成錯(cuò)誤報(bào)告)。再次參考圖16，在塊410處，為請(qǐng)求者準(zhǔn)備報(bào)告對(duì)象形式的輸出?？梢詾楦鞣N目的而創(chuàng)建附加的報(bào)告和審計(jì)記錄，包括當(dāng)出現(xiàn)關(guān)于如何訪問(wèn)特定基因組的問(wèn)題時(shí)的法庭審計(jì)。這些報(bào)告可以包括例如時(shí)間戳、vdt、輸入數(shù)據(jù)和/或結(jié)果的簽名散列。該機(jī)制允許基因云保持?jǐn)?shù)據(jù)的可信處置鏈。在塊411處，在塊404或408處中的決策為否定的情況下，生成表示許可失敗或異常情況的錯(cuò)誤報(bào)告。vdt數(shù)據(jù)結(jié)構(gòu)下面的實(shí)施例示出了根據(jù)一些實(shí)施方案的vdt數(shù)據(jù)結(jié)構(gòu)本身。圖17示出了根據(jù)一些實(shí)施方案的主要的虛擬診斷測(cè)試(vdt)數(shù)據(jù)結(jié)構(gòu)的實(shí)施例。實(shí)施例的數(shù)據(jù)結(jié)構(gòu)800包括多個(gè)高級(jí)組件。報(bào)頭信息塊802包含標(biāo)識(shí)vdt的信息。這種標(biāo)識(shí)信息的實(shí)施例包括：(1)唯一測(cè)試id；(2)測(cè)試版本；(3)測(cè)試描述名稱；(4)公布者信息；(5)公布者id；(6)公布者姓名；(7)作者信息；(8)作者id；和/或(9)作者姓名。一些這種類型的信息(諸如例如唯一測(cè)試id)優(yōu)選地用于目錄中的所有工具。測(cè)試元數(shù)據(jù)塊803包括描述工具設(shè)計(jì)成執(zhí)行何種測(cè)試、預(yù)期如何使用、警告和/或其他此類信息的信息。該信息表示醫(yī)生、研究者和從業(yè)者將用來(lái)確定測(cè)試的適合性的官方的、經(jīng)批準(zhǔn)的描述。該信息還可以包括關(guān)于測(cè)試顯現(xiàn)什么以及在同意測(cè)試之前了解何種告誡和/或結(jié)果分布的用于用戶的通俗描述。在一些實(shí)施方案中可能包括在測(cè)試元數(shù)據(jù)塊803中的信息的實(shí)施例包括但不限于：(1)醫(yī)學(xué)描述(可以包括短的醫(yī)學(xué)描述；長(zhǎng)的醫(yī)學(xué)描述；批準(zhǔn)使用；其他診斷考慮；和/或其他披露內(nèi)容)；(2)通俗描述(可以包括短的通俗描述；長(zhǎng)的通俗描述；通俗告誡；和/或隱私考慮)；和/或(3)使用類型分類。輸入說(shuō)明塊804包括描述了測(cè)試需要何種輸入來(lái)產(chǎn)生可用的診斷結(jié)果的信息。輸入說(shuō)明塊可以包括測(cè)試指示者的文本描述，和/或預(yù)期格式和真實(shí)性要求的計(jì)算機(jī)可讀技術(shù)描述。在該實(shí)施例中，基因云將施行這些要求以確保僅正確格式化的、真實(shí)的數(shù)據(jù)被饋送到工具。實(shí)施例包括：(1)輸入描述；(2)輸入類型；(3)預(yù)期格式和版本；以及(4)真實(shí)性要求。輸出說(shuō)明塊805包括描述工具將產(chǎn)生何種輸出的信息。在一些實(shí)施方案中，指示者知道文本描述是重要的，因?yàn)樵谝恍┦褂们闆r下，僅僅是肯定的/否定的結(jié)果是恰當(dāng)?shù)模谄渌闆r下，詳細(xì)的報(bào)告可能是恰當(dāng)?shù)?。在一些使用情況下，諸如兼容性測(cè)試，夫妻可能僅希望知道他們后代的風(fēng)險(xiǎn)因素，但是不希望知道不合意品質(zhì)源自于誰(shuí)。從技術(shù)角度看，該數(shù)據(jù)對(duì)于將各測(cè)試“鏈接”在一起以執(zhí)行復(fù)雜的“測(cè)試組”或“測(cè)試束”是重要的。一個(gè)測(cè)試的結(jié)果可作為輸入饋送到另一測(cè)試中以判定是否應(yīng)當(dāng)進(jìn)行進(jìn)一步的測(cè)試或者可以指導(dǎo)接下來(lái)應(yīng)當(dāng)執(zhí)行哪些測(cè)試。實(shí)施例包括：(1)輸出描述；(2)輸出類型；(3)輸出格式和版本；以及(4)保密性要求。在一些實(shí)施方案中，測(cè)試算法塊806包含vdt本身。這可格式化為可執(zhí)行程序、說(shuō)明性程序等，能夠通過(guò)安全執(zhí)行環(huán)境作用以產(chǎn)生vdt結(jié)果的任何格式。圖19的實(shí)施例中所示的邏輯結(jié)構(gòu)包括測(cè)試基因組中的具體位置的具體模式或者測(cè)試具體位置的具體堿基的簡(jiǎn)單功能。復(fù)雜模式能夠存儲(chǔ)為在模式資源塊中單獨(dú)列舉的模式變量庫(kù)。可以利用布爾邏輯來(lái)組合各種測(cè)試以生成產(chǎn)生一個(gè)或多個(gè)結(jié)果的復(fù)合測(cè)試。簽名塊807包含了已經(jīng)創(chuàng)建、證實(shí)、閱覽或以其他方式證明該vdt的功能或品質(zhì)的各方的簽名?？梢园s項(xiàng)塊808，其可以包含任何其他數(shù)據(jù)，諸如通過(guò)特定賣主添加的擴(kuò)展數(shù)據(jù)等。將理解的是，圖17是為了示例性而不限制的目的而提供的，在一些實(shí)施方案中，可以使用不同格式或類型的數(shù)據(jù)結(jié)構(gòu)，在其他實(shí)施方案中，完全不使用這樣的數(shù)據(jù)結(jié)構(gòu)。圖18示出了根據(jù)一些實(shí)施方案的擴(kuò)展元數(shù)據(jù)的實(shí)施例。用于搜索輔助信息810和支付信息812的結(jié)構(gòu)化數(shù)據(jù)顯示為在圖17的雜項(xiàng)塊808中可出現(xiàn)什么的實(shí)施例。圖19示出了根據(jù)一些實(shí)施方案的虛擬診斷測(cè)試(vdt)算法規(guī)范的實(shí)施例。規(guī)范806是圖17的vdt測(cè)試算法塊806的實(shí)施例。然而，將理解的是，圖19僅僅是一個(gè)實(shí)施例，而且能夠以任何適當(dāng)?shù)男问絹?lái)指定和/或?qū)崿F(xiàn)vdt。安全研究請(qǐng)求在一個(gè)實(shí)施方案中，安全研究請(qǐng)求(srr)是一種形式的vdtrx(vdt請(qǐng)求)，其經(jīng)調(diào)整以用于與學(xué)術(shù)或醫(yī)學(xué)研究、基因搜索服務(wù)等有關(guān)的用途。一般地，srr的處理和使用將遵從與為vdtrx所標(biāo)識(shí)的相同的程序。對(duì)于vdtrx的大多數(shù)使用案例，假設(shè)醫(yī)生或有執(zhí)照的醫(yī)學(xué)從業(yè)者正在請(qǐng)求利用與他或她被允許訪問(wèn)的一個(gè)或多個(gè)患者相關(guān)聯(lián)的已知輸入來(lái)執(zhí)行特定的vdt。然而，為了適應(yīng)用于研究的使用案例，可以需要執(zhí)行確定在研究中包括了哪些個(gè)體和/或序列、和/或邀請(qǐng)了哪些個(gè)體參與研究的附加步驟。在一個(gè)實(shí)施方案中，創(chuàng)建srr的過(guò)程包括指定關(guān)于待執(zhí)行測(cè)試的信息以及標(biāo)識(shí)用于標(biāo)識(shí)輸入的選擇標(biāo)準(zhǔn)。期望指定的信息的類型的實(shí)施例包括但不限于：研究者或機(jī)構(gòu)的名稱；聯(lián)系人信息；附屬機(jī)構(gòu)的標(biāo)識(shí)；研究目的；研究的持續(xù)時(shí)間；選擇的原因；所需參與的程度(包括例如被動(dòng)的(無(wú)需額外出力)、主動(dòng)的、問(wèn)答式的、面談、訪談、多人訪談和測(cè)試)；使用類型分類；隱私相關(guān)的考慮(包括例如最小研究尺寸、匿名參與(y/n)、待訪問(wèn)的具體基因信息、待訪問(wèn)的健康記錄信息以及待訪問(wèn)的個(gè)人可標(biāo)識(shí)信息)；選擇標(biāo)準(zhǔn)(例如，基因型選擇標(biāo)準(zhǔn)、表現(xiàn)型選擇標(biāo)準(zhǔn)、和/或其他選擇標(biāo)準(zhǔn))；以及vdt測(cè)試(例如，對(duì)樣本執(zhí)行的vdt列表、或?qū)颖緢?zhí)行的vdt組的標(biāo)識(shí))。在一個(gè)實(shí)施方案中，基因云環(huán)境將對(duì)請(qǐng)求進(jìn)行預(yù)處理以確定可能的參與者的數(shù)量和/或所存在的滿足所選標(biāo)準(zhǔn)的可能的序列的數(shù)量。在一些實(shí)施方案中，這可以涉及到咨詢數(shù)據(jù)庫(kù)并且將滿足期望標(biāo)準(zhǔn)的個(gè)體和/或序列的數(shù)量返回，以及為此已經(jīng)授予了(或者能夠請(qǐng)求)訪問(wèn)數(shù)據(jù)的適當(dāng)許可。根據(jù)該高級(jí)數(shù)據(jù)，研究者能夠確定他或她能夠在研究中包含的組群的最小尺寸(例如，那些滿足標(biāo)識(shí)的選擇標(biāo)準(zhǔn)的組群，以及為此已經(jīng)授予了許可)以及組群的最大可能尺寸(例如，還包括那些滿足選擇標(biāo)準(zhǔn)但是在他們同意參與之前已經(jīng)愿意被匿名詢問(wèn)的許可矩陣中已標(biāo)識(shí)出的組群)。為防止可能有損隱私的極窄的個(gè)體針對(duì)性(例如，使用srr用于家族搜索而不正確地如此標(biāo)識(shí)用途)，安全處理環(huán)境可任選地設(shè)定能夠被作為研究組群的目標(biāo)的個(gè)體或序列的最小數(shù)量。如果研究者希望包含已在參與者的許可中表明他們?cè)敢庠谠试S他們的數(shù)據(jù)被訪問(wèn)以用于在請(qǐng)求中指定的用途之前被詢問(wèn)的參與者，則研究者可以請(qǐng)求系統(tǒng)代表研究者送出參與請(qǐng)求。這將確保研究的潛在候選者能夠保持匿名，同時(shí)他們被給予了參與或拒絕的機(jī)會(huì)。類似地，如果研究需要代表用戶的主動(dòng)參與，系統(tǒng)將為研究者提供與授權(quán)的參與者通信以確認(rèn)他們同意參與的設(shè)施。srr可由研究者保存，周期性地重新評(píng)估以通過(guò)準(zhǔn)許包含在研究中的確認(rèn)的參與和/或許可來(lái)確定個(gè)體或序列的數(shù)量。當(dāng)研究者滿意該子組表示的組群時(shí)，他或她可以提交srr以用于執(zhí)行并且確定結(jié)果。在一個(gè)實(shí)施方案中，通過(guò)提交srr，研究者觸發(fā)了通過(guò)關(guān)聯(lián)數(shù)據(jù)執(zhí)行測(cè)試，這還可以觸發(fā)開賬單事件。開賬單可以是基于訂購(gòu)的，或者基于各種搜索屬性(例如，以下中的一個(gè)或多個(gè)：所訪問(wèn)的個(gè)體記錄的數(shù)量、所訪問(wèn)的序列的數(shù)量、所搜索的庫(kù)的數(shù)量、計(jì)算時(shí)間等)。當(dāng)srr被提交以用于執(zhí)行時(shí)，其觸發(fā)了關(guān)聯(lián)的vdt利用之前限定的過(guò)程來(lái)執(zhí)行，之前限定的過(guò)程包括許可查驗(yàn)以及保持系統(tǒng)的隱私和安全所需的安全相關(guān)動(dòng)作。在一個(gè)實(shí)施方案中，如果用戶在srr的后續(xù)運(yùn)行之間改變了訪問(wèn)數(shù)據(jù)的許可，則系統(tǒng)將對(duì)該狀態(tài)加標(biāo)記，并且通知研究者數(shù)據(jù)集的大小已變化，并且研究者將獨(dú)立地判定是否繼續(xù)通過(guò)修正的數(shù)據(jù)集來(lái)運(yùn)行測(cè)試。在一些實(shí)施方案中，如同對(duì)消費(fèi)者數(shù)據(jù)的其他vdt訪問(wèn)，每次訪問(wèn)的可審計(jì)記錄由系統(tǒng)記錄，并且使得消費(fèi)者可用。以此方式，在何種實(shí)體正訪問(wèn)他們的數(shù)據(jù)、何時(shí)訪問(wèn)以及為何目的訪問(wèn)方面，系統(tǒng)對(duì)于數(shù)據(jù)的所有者是透明的?；蚪M研究工具如上所示，基因云的一些實(shí)施方案能夠提供執(zhí)行vdt的算法的能力，但是，其同樣還能夠充當(dāng)用于基因組研究工具提供者的基于云的平臺(tái)。在一些實(shí)施方案中，grt是一種可作為插件提供給基因云平臺(tái)來(lái)提供附加能力的工具，附加能力諸如但不限于統(tǒng)計(jì)計(jì)算或可視化、機(jī)器學(xué)習(xí)、先進(jìn)模式時(shí)變等。這些工具可以作為基因云平臺(tái)的缺省能力而提供，或者作為獎(jiǎng)金認(rèn)捐或在每次使用付費(fèi)的基礎(chǔ)上而提供。諸如研究者和vdt作者的用戶具有在期望附加特征的情況下從grt市場(chǎng)選擇這些附加工具的選項(xiàng)，并且能夠同意與其用途相關(guān)聯(lián)的任何附加費(fèi)用。例如，研究者可以選擇訂購(gòu)使用特定的研究可視化工具來(lái)查看vdt結(jié)果，或者vdt作者可以同意與待分配給工具提供者的vdt的使用相關(guān)聯(lián)的費(fèi)用中的在vdt執(zhí)行過(guò)程中使用的部分。為了維護(hù)基因云的安全性和完整性，編寫為使用這些特征的vdt仍能夠利用基因云的信任管理特征，并且將根據(jù)與客戶數(shù)據(jù)相關(guān)聯(lián)的許可來(lái)進(jìn)行對(duì)數(shù)據(jù)的訪問(wèn)。生成和攝取安全分析器數(shù)據(jù)根據(jù)一些實(shí)施方案，提供給基因暈的數(shù)據(jù)來(lái)自于從采集點(diǎn)保護(hù)患者隱私和數(shù)據(jù)完整性的安全環(huán)境。圖20示出了根據(jù)一些實(shí)施方案的安全分析器中的組件的概覽圖。定序器700是用于使dna定序過(guò)程自動(dòng)化的儀器。給定基因材料樣本，定序器700生成了用于確定例如樣本中存在的核苷酸堿基或氨基酸的序列的信息。數(shù)據(jù)獲取單元704可以包括例如現(xiàn)代自動(dòng)化dna定序儀器中用來(lái)獲取序列數(shù)據(jù)的已知技術(shù)。除了堿基序列之外，定序器700還可以供給樣本的附加觀察，諸如后生數(shù)據(jù)、識(shí)別堿基品質(zhì)得分等。基因組數(shù)據(jù)利用安全處理單元705來(lái)處理且存儲(chǔ)在安全存儲(chǔ)單元707中。提供網(wǎng)絡(luò)接口706以用于與廣域網(wǎng)通信。圖21是示出根據(jù)一些實(shí)施方案的捕獲、保護(hù)該數(shù)據(jù)和/或?qū)⒃摂?shù)據(jù)提供給基因云的過(guò)程的流程圖。在一些實(shí)施方案中，圖示的處理動(dòng)作是在諸如圖20中所示的定序器700內(nèi)實(shí)施的。根據(jù)其他的實(shí)施方案，圖示的動(dòng)作通過(guò)定序裝備在處于可信環(huán)境的系統(tǒng)中實(shí)施，其實(shí)施例是利用位于與定序裝備相同的設(shè)施內(nèi)的專用安全處理系統(tǒng)。為易于說(shuō)明，在該實(shí)施例中，假設(shè)圖21所示的動(dòng)作開始于基因定序的工作結(jié)束且基因組數(shù)據(jù)應(yīng)被保護(hù)且上載到基因云中。然而，還可能的是，在一些期望的情況下，在數(shù)據(jù)生成時(shí)立即對(duì)數(shù)據(jù)進(jìn)行加密以使得物理和邏輯的“攻擊面”最小化。根據(jù)一些實(shí)施方案，如果要暴露定序數(shù)據(jù)，例如，用于質(zhì)量控制，如果定序數(shù)據(jù)受保護(hù)且當(dāng)其受保護(hù)時(shí)立即將定序數(shù)據(jù)破壞。在塊712處，準(zhǔn)備基因定序信息且將其格式化以便上載。在塊713處，將用于對(duì)序列數(shù)據(jù)加標(biāo)簽的元數(shù)據(jù)匯編。例如，如上所述的seqid、時(shí)間戳、實(shí)驗(yàn)室標(biāo)識(shí)信息和/或類似物。圖22示出了根據(jù)一些實(shí)施方案的用于匯編的基因組元數(shù)據(jù)封包的可能格式的實(shí)施例。顯示出元數(shù)據(jù)封包708，其包括采集信息750和標(biāo)本源信息752。再次參考圖21所示的示例性實(shí)施方案，在塊714處，利用加密安全隨機(jī)或偽隨機(jī)號(hào)碼生成器724，生成隨機(jī)臨時(shí)加密密鑰以用于保護(hù)傳輸中的數(shù)據(jù)。該密鑰稱為分析器加密密鑰(aek)。可替代地，或者另外地，該密鑰可以其他方式獲得，例如：(a)通過(guò)安全網(wǎng)絡(luò)連接從基因云獲得，(b)從設(shè)置有一組密鑰集合的設(shè)備內(nèi)的安全存儲(chǔ)模塊中獲得，(c)從智能卡獲得，和/或(d)以任何其他適合的方式。這些技術(shù)可用于避免將安全密鑰庫(kù)嵌入設(shè)備中，降低了在設(shè)備不使用時(shí)被篡改的風(fēng)險(xiǎn)。在塊715處，用aek對(duì)分析器數(shù)據(jù)加密。在塊716處，通過(guò)咨詢密鑰庫(kù)725來(lái)確定對(duì)應(yīng)于數(shù)據(jù)目的地的公共密鑰(此處稱為atk)。該數(shù)據(jù)庫(kù)725可以例如包含用于各場(chǎng)所的多個(gè)攝取點(diǎn)的密鑰，或者其可以包含用于單個(gè)集中式基因云攝取點(diǎn)的密鑰。在一個(gè)實(shí)施方案中，該密鑰庫(kù)的內(nèi)容不是保密的，但是受保護(hù)以防篡改從而防止對(duì)不可信目的地的無(wú)意上載。這些公共密鑰還可以從基因云所維護(hù)的登錄庫(kù)獲得。在可選的實(shí)施方案中，基因云服務(wù)可以確定在地理位置上距既定定序設(shè)備最近的攝取點(diǎn)并且傳送對(duì)應(yīng)攝取點(diǎn)的公共密鑰。在塊717處，用目的地公共密鑰atk對(duì)臨時(shí)密鑰aek加密。在塊718處，組件被組裝成包裝件而運(yùn)送到攝取點(diǎn)。在塊719處，實(shí)驗(yàn)室技術(shù)人員做出上載分析器數(shù)據(jù)的確認(rèn)。根據(jù)一些實(shí)施方案，不實(shí)施塊719；相反，系統(tǒng)被配置為使得采集的所有數(shù)據(jù)自動(dòng)上載。然而，在一些情況下，期望實(shí)驗(yàn)室技術(shù)人員確認(rèn)樣本的處理是根據(jù)所確立的程序進(jìn)行的并且證實(shí)他自己或她自己使得技術(shù)人員的身份安全地與封包的數(shù)據(jù)關(guān)聯(lián)。技術(shù)人員/操作者還可以將外部信息(例如，關(guān)于定序過(guò)程的注釋或其他元數(shù)據(jù))與樣本關(guān)聯(lián)。優(yōu)選地，技術(shù)人員將信息與序列關(guān)聯(lián)的過(guò)程不需要披露關(guān)于樣本供體的任何個(gè)人信息。在一些實(shí)施方案中，技術(shù)人員確證的實(shí)現(xiàn)可涉及到通過(guò)僅可由特定操作員在輸入pin碼、密碼和/或類似物時(shí)訪問(wèn)的私有密鑰簽署數(shù)據(jù)(如在塊720和721中)。這些密鑰的存儲(chǔ)可有賴于類似于那些在本文其他地方所描述的機(jī)制，或者這些密鑰可以存儲(chǔ)在例如在確證時(shí)用于數(shù)據(jù)采集系統(tǒng)的智能卡中。根據(jù)一些實(shí)施方案，719、720和721中的簽署數(shù)據(jù)將包括元數(shù)據(jù)以及經(jīng)編碼的但未加密的序列數(shù)據(jù)。這將允許在下游處理之前正確驗(yàn)證數(shù)據(jù)，并且還將容許轉(zhuǎn)寫序列數(shù)據(jù)而不使簽名受損。在圖21所示的示例性實(shí)施方案中，在塊720中，用在上述設(shè)備制造商信任根下認(rèn)證的分析器/定序器設(shè)備的私有密鑰來(lái)簽署數(shù)據(jù)。該簽名經(jīng)被驗(yàn)證以表明數(shù)據(jù)是由可信設(shè)備生成的。用于施加該簽名的私有密鑰存儲(chǔ)在受保護(hù)以防密鑰篡改和暴露的安全存儲(chǔ)區(qū)域726中。在塊721中，例如用在上述實(shí)驗(yàn)室信任根上認(rèn)證的私有實(shí)驗(yàn)室密鑰來(lái)簽署數(shù)據(jù)。該簽名將被查驗(yàn)以驗(yàn)證數(shù)據(jù)是在通過(guò)適當(dāng)認(rèn)證的實(shí)驗(yàn)室中采集的。在塊722處，數(shù)據(jù)和簽名被封包傳送。在塊723處，分析器數(shù)據(jù)封包(adp)被上載到攝取點(diǎn)。圖21所示的工作流提供了根據(jù)一些實(shí)施方案如何在原點(diǎn)保護(hù)基因信息的實(shí)施例。將理解的是，提供圖21是為了示例性的目的，在其他實(shí)施方案中，可以使用其他工作流，可以使用其他加密、密鑰管理和/或其他安全措施，和/或類似物，這些全部依照發(fā)明工作主體的原則。圖23顯示出根據(jù)一些實(shí)施方案的分析器數(shù)據(jù)封包(adp)格式760的實(shí)施例。根據(jù)一些實(shí)施方案，一旦序列數(shù)據(jù)已受保護(hù)，例如依照諸如關(guān)于圖21在上文描述的工作流，通過(guò)基因云攝取數(shù)據(jù)。攝取點(diǎn)可以是互連組件的生態(tài)系統(tǒng)內(nèi)的操作的多個(gè)點(diǎn)中的一個(gè)，或者其可以是集中攝取點(diǎn)。圖24示出了根據(jù)一些示例性實(shí)施方案的在基因云系統(tǒng)140的攝取點(diǎn)處分析器700和密鑰的環(huán)境中的密鑰之間的關(guān)系。將理解的是，圖24是實(shí)施例，在其他實(shí)施方案中，可以采用其他關(guān)系，和/或可以使用不同類型的加密和/或其他安全技術(shù)。圖25是顯示出根據(jù)一些實(shí)施方案的在通過(guò)分析器生成的數(shù)據(jù)的攝取中執(zhí)行的動(dòng)作的流程圖。在圖25所示的實(shí)施例中，通過(guò)四個(gè)階段來(lái)實(shí)施過(guò)程900：(1)驗(yàn)證和拆開，例如驗(yàn)證數(shù)據(jù)來(lái)自于可信設(shè)備、實(shí)驗(yàn)室等，以及拆開并驗(yàn)證數(shù)據(jù)封包；(2)轉(zhuǎn)錄和轉(zhuǎn)寫，去除臨時(shí)封包且以基因云內(nèi)部格式將數(shù)據(jù)格式化；(3)創(chuàng)建安全關(guān)聯(lián)，記錄樣本數(shù)據(jù)與消費(fèi)者之間的關(guān)聯(lián)；以及(4)存檔并清除，存儲(chǔ)數(shù)據(jù)以用于長(zhǎng)期存檔，以及去除暫時(shí)性的偽跡。在塊930中，從接收到數(shù)據(jù)的隊(duì)列中加載數(shù)據(jù)。在塊931中，進(jìn)行分析器數(shù)據(jù)封包上的簽名有效的驗(yàn)證。例如，這可以包括驗(yàn)證施加到圖21所示的分析器工作流中的塊720和721處的簽名。在塊932處，暫時(shí)的seqid用于查找被發(fā)布了臨時(shí)seqid的消費(fèi)者id(cid或cuid)。在塊933處，進(jìn)行數(shù)據(jù)格式化異常的查驗(yàn)，或者是否從通常與被提供了seqid以便處理的實(shí)體不相關(guān)聯(lián)的非期望源接收到包含seqid的adp。在塊934處，基于前面的動(dòng)作做出是否繼續(xù)的決策。在塊935處，如果需要?jiǎng)?chuàng)建錯(cuò)誤報(bào)告。在塊936處，指定新的seqid來(lái)替換臨時(shí)的seqid。在塊937處，構(gòu)建序列數(shù)據(jù)對(duì)象(sdo)。在一個(gè)實(shí)施方案中，sdo是ado中包含的信息的超集，其可以包括例如在攝取時(shí)自動(dòng)生成的數(shù)據(jù)的注釋或者其他元數(shù)據(jù)。在塊938處，增添諸如圖14所示的seqid記錄。在塊939處，指定樣本id(samid)。在塊940處，增添諸如圖14所示的samid對(duì)象。在塊941處，構(gòu)建seq-sam鏈接對(duì)象，將序列和樣本數(shù)據(jù)連接。在塊942處，構(gòu)建sam-cid鏈接對(duì)象，將seq和sam與cid/cuid連接。在塊943處，鏈接對(duì)象存儲(chǔ)在安全數(shù)據(jù)庫(kù)中。在塊944處，將數(shù)據(jù)存檔以用于審計(jì)目的(例如，臨時(shí)密鑰、id等)，因?yàn)檫@些數(shù)據(jù)可能被需要以便后來(lái)用于法庭目的。在一些實(shí)施方案中，優(yōu)選地保護(hù)這些數(shù)據(jù)并且與在基因云的標(biāo)準(zhǔn)操作中使用的其他數(shù)據(jù)隔離。在清除塊945處，將攝取標(biāo)記為完成，并且從隊(duì)列中去除進(jìn)入的對(duì)象。一旦序列數(shù)據(jù)上載到基因云中并且與用戶/患者身份關(guān)聯(lián)(塊942)，與該身份相關(guān)聯(lián)的其他信息，例如許可，可與用于管理vdt對(duì)數(shù)據(jù)的訪問(wèn)和使用。根據(jù)一些實(shí)施方案，基因云可以在同一用戶身份下存儲(chǔ)或漸縮健康記錄和其他個(gè)人信息。因此，vdt可以針對(duì)具體個(gè)人(或具有特定屬性的人群)的序列數(shù)據(jù)進(jìn)行操作，但是用戶身份與序列之間的鏈接僅間接存儲(chǔ)。在一個(gè)實(shí)施方案中，缺省的基因云策略阻止vdt看到表現(xiàn)型(健康記錄等)數(shù)據(jù)與基因型數(shù)據(jù)之間的鏈接?？尚艛?shù)據(jù)分析平臺(tái)雖然通過(guò)基因?qū)W領(lǐng)域中的實(shí)施例給出了諸如前面的描述，本文所描述的數(shù)據(jù)保護(hù)、處理和分析系統(tǒng)以及方法適合于同樣更一般地在其他背景下的應(yīng)用，包括但不限于：個(gè)性化用藥、能量管理、針對(duì)性廣告，以及智能汽車系統(tǒng)，這里僅列舉了幾個(gè)實(shí)施例。例如，數(shù)據(jù)挖掘算法必須要對(duì)待分析數(shù)據(jù)有訪問(wèn)權(quán)從而執(zhí)行它們的分析。然而，更常見(jiàn)的是，為算法提供對(duì)數(shù)據(jù)集的訪問(wèn)權(quán)還涉及到同樣為諸如信息學(xué)家、數(shù)據(jù)科學(xué)家、研究者、it員工的某些人對(duì)數(shù)據(jù)的訪問(wèn)權(quán)。對(duì)于其數(shù)據(jù)包含在該數(shù)據(jù)集中的人，披露會(huì)構(gòu)成不可接受的風(fēng)險(xiǎn)。例如，受損的醫(yī)療保健數(shù)據(jù)會(huì)導(dǎo)致對(duì)其信息被無(wú)意披露的患者以及披露其信息的機(jī)構(gòu)兩者都造成無(wú)法挽救的傷害。在許多情況下，數(shù)據(jù)侵害不是有意的。相反，數(shù)據(jù)侵害是由于粗心策略引起的，諸如允許將個(gè)人信息存儲(chǔ)在能夠被偷竊或誤放的膝上型計(jì)算機(jī)或閃存驅(qū)動(dòng)器上。在其他情況下，提供對(duì)原始數(shù)據(jù)的全部訪問(wèn)權(quán)對(duì)于分析者而言產(chǎn)生了責(zé)任。例如，如果醫(yī)師希望執(zhí)行基因測(cè)試以掃描阿耳茨海默氏病的風(fēng)險(xiǎn)因素，并且她被給予整個(gè)基因組序列作為輸入，她的基于基因組序列中包含的其他信息來(lái)通知和治療患者的法律上的道德上的義務(wù)不明確。如果患者的基因組包含例如無(wú)關(guān)病癥的急劇升高的風(fēng)險(xiǎn)的證據(jù)，則需要醫(yī)師從法律和道德意義上通知和治療患者，即使關(guān)于第二個(gè)病癥的信息僅潛伏在她所持有的信息中。最后，由于數(shù)據(jù)大小或法律限制而移動(dòng)原始數(shù)據(jù)集是不現(xiàn)實(shí)或不可行的。例如，人類基因組的整個(gè)基因組定序能夠產(chǎn)生每人近似300gb的信息，當(dāng)通過(guò)來(lái)自人類微生物組的序列數(shù)據(jù)擴(kuò)增時(shí)數(shù)據(jù)可能更進(jìn)一步擴(kuò)展。將這些數(shù)據(jù)集中以使其可由數(shù)據(jù)挖掘算法來(lái)分析可能是困難或不可能的。另外，國(guó)家和地區(qū)法律可能明確地禁止這些數(shù)據(jù)離開其來(lái)源國(guó)家。前面的實(shí)施例指出了我們當(dāng)前分析大的數(shù)據(jù)集的不足。本文所描述的系統(tǒng)和方法的實(shí)施方案能夠用于提供可信數(shù)據(jù)分析平臺(tái)(諸如前面的基因云系統(tǒng)的論述中所說(shuō)明的)，其通過(guò)允許可信數(shù)據(jù)分析程序以尊重?cái)?shù)據(jù)保管者的策略且防止個(gè)人信息泄露的方式在安全環(huán)境中對(duì)可信數(shù)據(jù)進(jìn)行操作而解決了這些不足。允許程序而不是分析者來(lái)訪問(wèn)原始數(shù)據(jù)在當(dāng)前實(shí)踐中數(shù)據(jù)分析工作方式的一個(gè)問(wèn)題必須處理如下事實(shí)：運(yùn)行分析程序的分析者通常對(duì)形成算法輸入的原始數(shù)據(jù)具有訪問(wèn)權(quán)。甚至在這些分析者本身是可信行動(dòng)者的情況下，數(shù)據(jù)仍處于受損風(fēng)險(xiǎn)中。在本文所描述的系統(tǒng)和方法的一些實(shí)施方案中，通過(guò)允許分析程序?qū)?shù)據(jù)操作且產(chǎn)生答案而不要求分析者對(duì)原始數(shù)據(jù)進(jìn)行訪問(wèn)或控制來(lái)解決該問(wèn)題。該構(gòu)造免除了分析者存儲(chǔ)和組織數(shù)據(jù)的需要，并且同樣具有可展示的隱私保護(hù)特性。例如，假設(shè)基因咨詢者想要知道兩個(gè)患者的后代將在生來(lái)患諸如家族黑蒙性白癡的具體基因病癥的概率。載體篩選程序c取得一個(gè)對(duì)象的基因組作為輸入，判定該對(duì)象是否是該疾病的載體。程序c在兩個(gè)對(duì)象上運(yùn)行，并且將結(jié)果組合來(lái)確定后代患該疾病的奇偶信度。如果父母雙方都是載體，則他們的后代有25％的可能患該疾病且50％的可能是載體。如果他們雙方都不是載體，則他們的后代不可能患該疾病。在該情況下，對(duì)兩個(gè)患者運(yùn)行程序c將父母雙方的載體狀況以100％的確定性呈現(xiàn)給咨詢者。另一方面，如果載體篩選程序c可以對(duì)咨詢者不可見(jiàn)的方式在數(shù)據(jù)上運(yùn)行，并且那些結(jié)果可由額外的程序r組合，如果兩個(gè)患者都是載體，程序r返回真，否則返回假，那么僅在兩個(gè)患者都是載體的情況下才顯現(xiàn)個(gè)體載體狀況，這種情況是很少見(jiàn)的，即使在家族黑蒙性白癡的患病風(fēng)險(xiǎn)最高的總體中概率也才為近似0.14％。換言之，透露極隱私信息的概率遠(yuǎn)低于1％，與利用現(xiàn)有方法的100％的確定性相對(duì)。如該實(shí)施例說(shuō)明的，允許數(shù)據(jù)分析程序代替人類操作者訪問(wèn)數(shù)據(jù)提供了否則不可實(shí)現(xiàn)的額外隱私特性。因此，在優(yōu)選的實(shí)施方案中，提供了這樣的執(zhí)行環(huán)境：其能夠以不向數(shù)據(jù)分析程序的創(chuàng)建者顯現(xiàn)出不可接受量的中間信息的方式運(yùn)行數(shù)據(jù)分析程序。信任分析程序當(dāng)如上文所建議的在有賴于答案的人或人民的視線或控制之外執(zhí)行數(shù)據(jù)分析時(shí)，確保實(shí)際上對(duì)數(shù)據(jù)執(zhí)行正確的程序變得重要。假設(shè)例如不懷好意的行動(dòng)者聲稱已執(zhí)行了既定的分析程序，但是事實(shí)上暗中替代另一程序在其位置上并且執(zhí)行該程序?；蛘呒僭O(shè)操作者由于無(wú)辜的文書錯(cuò)書而無(wú)意地將不正確程序上載到執(zhí)行環(huán)境。依賴方可以從所產(chǎn)生的結(jié)果得出不正確的結(jié)論。出于此原因，在優(yōu)選的實(shí)施方案中，使用了允許程序被信任的機(jī)制。通過(guò)允許各方堅(jiān)信程序的可信賴度(在本文其他地方描述了可能的實(shí)現(xiàn)方式)，除了其他之外，系統(tǒng)能夠做如下中的一些或全部：-可靠地證明既定程序是針對(duì)給定輸入集合來(lái)運(yùn)行的；-證明程序的作者是對(duì)特定證實(shí)憑證有訪問(wèn)權(quán)的具體個(gè)體或組織；和/或-提供競(jìng)爭(zhēng)的第三方考察或測(cè)試程序和諸如有效性、精確度、功能性或源頭的認(rèn)證屬性的擔(dān)保。本文其他地方描述的vdt是這種可信分析程序的實(shí)施例。信任輸入數(shù)據(jù)類似地，如果可信執(zhí)行環(huán)境要用于對(duì)某些數(shù)據(jù)集運(yùn)行可信分析程序而無(wú)依賴方的直接干預(yù)，則同樣重要的是能夠相信，待操作的數(shù)據(jù)未被修改，數(shù)據(jù)源自于已知源，數(shù)據(jù)是在特定日期之前生成的，等等。通過(guò)可信數(shù)據(jù)，系統(tǒng)能夠例如：-保護(hù)數(shù)據(jù)的隱私性；-證明數(shù)據(jù)是在某時(shí)間采集的；-證明自數(shù)據(jù)采集時(shí)未對(duì)數(shù)據(jù)進(jìn)行修改；-斷定特定可信分析程序在既定時(shí)間對(duì)數(shù)據(jù)操作；和/或-維護(hù)關(guān)于信息源的可信元數(shù)據(jù)，諸如其采集中涉及到的系統(tǒng)和人、采集時(shí)間、參與數(shù)據(jù)采集的環(huán)境情況等。在一些實(shí)施方案中，可信分析程序可以表達(dá)對(duì)其占用的輸入數(shù)據(jù)的類型的要求，包括信任要求。例如，可信分析程序可以決定對(duì)僅由某類型的裝備采集的數(shù)據(jù)或某格式的數(shù)據(jù)或由特殊第三方權(quán)威許可的數(shù)據(jù)進(jìn)行操作。同樣，可信數(shù)據(jù)可以實(shí)施允許其僅由具有特定特性的可信分析程序訪問(wèn)的策略?；诓呗怨芾碓L問(wèn)在可信數(shù)據(jù)分析平臺(tái)代表數(shù)據(jù)保管者存儲(chǔ)可信數(shù)據(jù)的情況下，保管者通常不能通過(guò)物理保管來(lái)管理對(duì)數(shù)據(jù)的訪問(wèn)權(quán)。為了為保管者提供對(duì)其數(shù)據(jù)使用的控制，系統(tǒng)可以實(shí)現(xiàn)通過(guò)可信分析程序來(lái)管理對(duì)可信數(shù)據(jù)的訪問(wèn)權(quán)的策略管理系統(tǒng)。在一個(gè)實(shí)施方案中，可信數(shù)據(jù)策略是機(jī)器可讀對(duì)象，其將管理對(duì)特定可信數(shù)據(jù)對(duì)象的訪問(wèn)權(quán)的規(guī)則編碼。可信數(shù)據(jù)策略由可信數(shù)據(jù)保管者創(chuàng)建且由可信數(shù)據(jù)分析平臺(tái)施行。如在基因云系統(tǒng)的情況下所說(shuō)明的，策略管理系統(tǒng)可以管理可信數(shù)據(jù)訪問(wèn)的許多不同的方面。例如，可信數(shù)據(jù)策略可以：-僅允許特定個(gè)體或組織創(chuàng)建的可信分析程序?qū)尚艛?shù)據(jù)操作；-僅允許通過(guò)指定策略的保管者創(chuàng)建的白名單中的主要負(fù)責(zé)人創(chuàng)建的可信分析程序訪問(wèn)；-阻止對(duì)可信數(shù)據(jù)的所有訪問(wèn)，除非每個(gè)特定訪問(wèn)由指定策略的保管者明確地許可；-基于請(qǐng)求對(duì)可信數(shù)據(jù)執(zhí)行可信分析程序的和/或接收?qǐng)?zhí)行結(jié)果的主要負(fù)責(zé)人(例如，請(qǐng)求主要負(fù)責(zé)人)的身份來(lái)決定授權(quán)或禁止訪問(wèn)；-僅允許對(duì)可信數(shù)據(jù)的一些部分的訪問(wèn)，取決于可信分析程序的創(chuàng)建者或請(qǐng)求主要負(fù)責(zé)人；-僅允許特定類型的標(biāo)識(shí)用途(例如，請(qǐng)求主要負(fù)責(zé)人的意愿)訪問(wèn)可信數(shù)據(jù)；和/或-基于由可信數(shù)據(jù)分析平臺(tái)存儲(chǔ)的歷史信息來(lái)允許或禁止訪問(wèn)，所述歷史信息包括例如關(guān)于過(guò)去已經(jīng)透露了多少來(lái)自可信數(shù)據(jù)的信息以及透露給誰(shuí)的記錄。實(shí)現(xiàn)可信數(shù)據(jù)分析平臺(tái)信任管理系統(tǒng)是這樣一種系統(tǒng)：其中在系統(tǒng)操作中涉及到的各行動(dòng)者/主要負(fù)責(zé)人可以可驗(yàn)證地?cái)嘌躁P(guān)于其他主要負(fù)責(zé)人、系統(tǒng)或數(shù)據(jù)對(duì)象的特性。在一個(gè)實(shí)施方案中，信任管理系統(tǒng)包括一組相關(guān)數(shù)字證書(例如，x.509v3證書)，其將公共加密密鑰與限定好的對(duì)象名稱以及確定如何使用證書的一組證書策略安全地關(guān)聯(lián)。這些證書連同與認(rèn)證的公共密鑰對(duì)應(yīng)的私有密鑰一起可用作斷言簽名者的特定策略已滿足的數(shù)字簽名算法的部分。數(shù)字簽名和證書可用于驗(yàn)證該斷言。除了做出可驗(yàn)證的斷言之外，數(shù)字簽名用于證明簽名對(duì)象的狀態(tài)為已知。因?yàn)閿?shù)字簽名涉及到將待簽名對(duì)象散列，信賴方能夠驗(yàn)證對(duì)象的簽名者能夠?qū)?zhēng)議中的對(duì)象計(jì)算該散列、后來(lái)能夠驗(yàn)證以用于法庭或?qū)徲?jì)目的的事實(shí)。如之前描述的實(shí)施例已經(jīng)說(shuō)明的，信任管理系統(tǒng)能夠以多種方式用于可信數(shù)據(jù)分析平臺(tái)中，所述方式包括但不限于以下中的一些或全部：-具有關(guān)于某類型數(shù)據(jù)分析的技能的認(rèn)證代理人可能使用其證書對(duì)可信分析程序(例如，vdt)進(jìn)行數(shù)字簽名，事實(shí)上斷言他們已經(jīng)調(diào)查了該程序且發(fā)現(xiàn)該程序與其策略一致。作為具體實(shí)施例，fda可能對(duì)設(shè)計(jì)成幫助特定藥物的配量的可信分析程序簽名。簽名斷言可信分析程序由fda許可。-可信分析程序的創(chuàng)建者可以利用他自己的認(rèn)證密鑰來(lái)簽署他自己的程序，從而斷言他是程序的實(shí)際作者。-設(shè)備認(rèn)證代理可以證明特定序號(hào)的設(shè)備在可接受參數(shù)(如其認(rèn)證策略所限定的)內(nèi)執(zhí)行并且向設(shè)備發(fā)布由其自己的證書簽名的證書。-在可信分析程序作為其自身審計(jì)過(guò)程的部分被上載時(shí)，可信數(shù)據(jù)分析平臺(tái)(例如，基因云系統(tǒng))可以將其自己的簽名添加到可信分析程序。-當(dāng)可信分析程序已經(jīng)在可信數(shù)據(jù)項(xiàng)上執(zhí)行時(shí)，可信執(zhí)行環(huán)境可以創(chuàng)建將如下散列集合在一起的審計(jì)記錄，例如：(a)輸入到程序的可信數(shù)據(jù)對(duì)象，(b)程序的任何狀態(tài)或環(huán)境輸入，(c)程序本身，(d)通過(guò)該程序產(chǎn)生的響應(yīng)，和/或(e)時(shí)間戳。該可信審計(jì)記錄可以由可信執(zhí)行環(huán)境簽名且存儲(chǔ)，使得其保持所執(zhí)行的計(jì)算的可驗(yàn)證記錄。在一些實(shí)施方案中，信任管理系統(tǒng)可以是單根系統(tǒng)，其中自簽名的根證書用于簽署所有的終端實(shí)體證書或中間證書(他們本身用于簽署其他中間或終端實(shí)體證書)，都在單組證書策略的管理之下?？商娲兀湃喂芾硐到y(tǒng)可是分布式的，使得根證書用于向分布式的信任權(quán)威發(fā)布控制其自身的與根策略一致的證書策略的中間證書。信任管理系統(tǒng)還可以是完全分散的系統(tǒng)，其中各根權(quán)限限定其自身的證書發(fā)布策略并且在任何既定實(shí)例中依賴于而不根據(jù)其認(rèn)證策略的可信賴度或適合度。該后者分散式模型類似于在萬(wàn)維網(wǎng)內(nèi)使用證書的方式?？尚欧治龀绦蚩尚欧治龀绦?其具體實(shí)例本文前面描述的類型的vdt)可以多種方式實(shí)現(xiàn)，包括作為用于既定機(jī)器(包括虛擬機(jī))的匯編的可執(zhí)行或解釋程序，或者作為描述待執(zhí)行分析的說(shuō)明性文件?？尚欧治龀绦蜻€可依賴于對(duì)可信數(shù)據(jù)分析平臺(tái)提供給它的服務(wù)或功能的調(diào)用。在一些實(shí)施方案中，可信分析程序可攜帶元數(shù)據(jù)，元數(shù)據(jù)表示關(guān)于程序的信息，包括例如關(guān)于其作者、預(yù)期功能、創(chuàng)建日期和/或類似信息的信息?？尚欧治龀绦蜻€可以攜帶一個(gè)或多個(gè)數(shù)字簽名，其斷言關(guān)于程序的各特性，例如，其是在既定遵從方案下測(cè)試的，以及驗(yàn)證該斷言所需的公共信息(例如，證書鏈)。在一些實(shí)施方案中，可信分析程序可伴有對(duì)可接受作為輸入的可信數(shù)據(jù)類型的要求。這些要求可以包括數(shù)據(jù)格式以及對(duì)數(shù)據(jù)起源的要求，例如，用于生成數(shù)據(jù)的裝備的型號(hào)、設(shè)備證書、發(fā)布其的認(rèn)證權(quán)威和/或類似要求。另外，作為可信分析程序操作的部分，可信分析程序可以包含主動(dòng)地評(píng)估可能輸入其分析的可信數(shù)據(jù)對(duì)象的功能或子程序。例如，在用于醫(yī)療保健的可信數(shù)據(jù)分析平臺(tái)中操作的可信分析程序可以指定其希望在其分析中包括來(lái)自日本籍祖先的超過(guò)85歲且未患家族癌癥史的所有人的數(shù)據(jù)。在一些實(shí)施方案中，可信分析程序可以包括工作流規(guī)范說(shuō)明，其表明其他各種可信分析程序如何協(xié)同運(yùn)作以產(chǎn)生既定結(jié)果。這些可信分析程序?qū)嶋H上可以由不同的作者創(chuàng)建?？尚艛?shù)據(jù)在一個(gè)實(shí)施方案中，可信數(shù)據(jù)對(duì)象是帶有伴隨的安全斷言的信息集合。例如，在電量計(jì)應(yīng)用中，可信數(shù)據(jù)包可以包括來(lái)自家庭能量計(jì)的一組測(cè)量值和由設(shè)備創(chuàng)建的涵蓋了時(shí)間戳和測(cè)量值的數(shù)字簽名。在其他應(yīng)用中，可信數(shù)據(jù)對(duì)象可由多個(gè)實(shí)體簽名。例如，在基因定序應(yīng)用中，由定序機(jī)生成的基因序列可由兩個(gè)證書簽署：一個(gè)與機(jī)器本身關(guān)聯(lián)，第二個(gè)與運(yùn)行機(jī)器的人類操作者關(guān)聯(lián)，證實(shí)他自己，并且斷言定序機(jī)在定序時(shí)是正常操作的。在一些實(shí)施方案中，可信數(shù)據(jù)可伴隨有描述數(shù)據(jù)、其采集情形和/或類似信息的元數(shù)據(jù)。這些元數(shù)據(jù)還可由各種數(shù)字簽名涵蓋以使元數(shù)據(jù)安全地且可驗(yàn)證地與數(shù)據(jù)本身關(guān)聯(lián)。需要在采集時(shí)立即將數(shù)據(jù)簽名。在一些實(shí)施方案中，測(cè)量設(shè)備持有將附著簽名本身的可信攝取點(diǎn)的公共密鑰。產(chǎn)生原始數(shù)據(jù)的測(cè)量設(shè)備能夠例如將數(shù)據(jù)安全地發(fā)送到攝取點(diǎn)，如下：(a)其產(chǎn)生臨時(shí)對(duì)稱密鑰(或通過(guò)安全連接或從可信存儲(chǔ)設(shè)備獲取該密鑰)以對(duì)數(shù)據(jù)加密，(b)其用可信攝取點(diǎn)的公共密鑰對(duì)該臨時(shí)密鑰加密，(c)其用臨時(shí)密鑰對(duì)數(shù)據(jù)和任何關(guān)聯(lián)的元數(shù)據(jù)加密，以及(d)將來(lái)自步驟(b)和(c)的加密結(jié)果發(fā)送到可信攝取點(diǎn)。可信攝取點(diǎn)將數(shù)據(jù)解密，可能存儲(chǔ)臨時(shí)密鑰用于審計(jì)目的，隨后重新加密和簽署數(shù)據(jù)以生成真實(shí)的可信數(shù)據(jù)對(duì)象。在一些實(shí)施方案中，可信數(shù)據(jù)對(duì)象可在它們首次生成時(shí)由臨時(shí)標(biāo)識(shí)符標(biāo)識(shí)。在一些情況下可能需要這樣來(lái)保護(hù)隱私，諸如當(dāng)可信數(shù)據(jù)包含健康測(cè)量值時(shí)，那些測(cè)量值是由實(shí)驗(yàn)室做出的，并且實(shí)驗(yàn)室不應(yīng)得知患者的身份或任意的用于可信數(shù)據(jù)的長(zhǎng)期標(biāo)識(shí)信息。在這種情況下，可以在起始點(diǎn)創(chuàng)建隨機(jī)的、臨時(shí)的標(biāo)識(shí)符(或從可信服務(wù)獲得)，并且可信攝取點(diǎn)能夠?qū)?biāo)識(shí)符存檔以用于審計(jì)目的并且指定新的長(zhǎng)期標(biāo)識(shí)符。可信數(shù)據(jù)策略可信數(shù)據(jù)策略由可信數(shù)據(jù)分析平臺(tái)使用來(lái)管理可信數(shù)據(jù)的使用。可通過(guò)可信數(shù)據(jù)中的保管者來(lái)創(chuàng)建可信數(shù)據(jù)策略且將其與可信數(shù)據(jù)關(guān)聯(lián)。可信數(shù)據(jù)分析平臺(tái)的特定實(shí)施方案通常將帶有其自身的關(guān)于保管者對(duì)可信數(shù)據(jù)的訪問(wèn)和可見(jiàn)性的協(xié)定。例如，在智能汽車應(yīng)用中，汽車的主人可具有在可信數(shù)據(jù)分析平臺(tái)中的賬戶。她的汽車所生成的可信數(shù)據(jù)(包括例如位置數(shù)據(jù))可由允許安全攝取點(diǎn)將可信數(shù)據(jù)對(duì)象與她的賬戶關(guān)聯(lián)的元數(shù)據(jù)加標(biāo)簽。通過(guò)訪問(wèn)可信數(shù)據(jù)分析平臺(tái)的網(wǎng)站前端，駕駛員可以選擇與她的配偶和她的女兒共享她的最精確的位置數(shù)據(jù)，但是僅與她的保險(xiǎn)公司共享她的總計(jì)駕駛距離?？尚艛?shù)據(jù)分析平臺(tái)的該特定實(shí)施方案可以例如使用能夠指定這些策略的可信數(shù)據(jù)策略語(yǔ)言。如上面的實(shí)施例中所說(shuō)明的，可信數(shù)據(jù)策略可針對(duì)具體應(yīng)用而不同并且不一定應(yīng)用于全部可能的實(shí)施方案。因此，可信數(shù)據(jù)策略可以多種不同方式編碼。在一些實(shí)施方案中，能夠從具有預(yù)先限定或標(biāo)準(zhǔn)化的語(yǔ)義的策略菜單中選擇可信數(shù)據(jù)策略。在醫(yī)療保健應(yīng)用中，例如，一組這樣的策略可以包括諸如hdl膽固醇、尖峰流量、心率、血氧等條目，并且可允許基于確切測(cè)量值、在既定時(shí)間段內(nèi)的平均測(cè)量值、最小值和最大值和/或類似物來(lái)允許對(duì)那些數(shù)據(jù)的訪問(wèn)。在諸如此的情況下，以說(shuō)明書句法(諸如以基于xml的語(yǔ)言)表達(dá)策略是自然的。然而，將理解的是，可使用任何適合的策略表達(dá)和一個(gè)或多個(gè)施行機(jī)制。在其他情況下，可信數(shù)據(jù)策略可在既定機(jī)器(包括例如一個(gè)或多個(gè)虛擬機(jī))上能執(zhí)行，如在'551專利和'693專利中所描述的系統(tǒng)中那樣。允許可執(zhí)行策略的策略管理系統(tǒng)一般在新情形下更可擴(kuò)展且不必要地需要對(duì)預(yù)定的一組策略語(yǔ)義的協(xié)議。在該實(shí)施例中和前面的實(shí)施例中，數(shù)據(jù)策略能夠例如表達(dá)為前提條件，即在允許對(duì)可信數(shù)據(jù)訪問(wèn)之前必須評(píng)估為真的條件。如其全部?jī)?nèi)容通過(guò)引用合并于此的共同受讓的發(fā)明名稱為“informationprocessingsystemsandmethods”的美國(guó)專利申請(qǐng)13/444,624(“'624申請(qǐng)”)中所描述的，可信數(shù)據(jù)策略還可用于在可信數(shù)據(jù)被提交給可信分析程序之前對(duì)可信數(shù)據(jù)執(zhí)行計(jì)算。這些類型的策略能夠允許例如用戶來(lái)指定隨機(jī)函數(shù)應(yīng)用于可信數(shù)據(jù)以便在特定類別的主要負(fù)責(zé)人請(qǐng)求分析時(shí)使得確切測(cè)量值模糊化。如在上述的汽車實(shí)施例中，用戶可以高興地與一些請(qǐng)求者共享他的原始位置數(shù)據(jù)，但是可能要求在上午9點(diǎn)和下午5點(diǎn)小時(shí)之間未采集的所有數(shù)據(jù)在被其他主要負(fù)責(zé)人請(qǐng)求時(shí)過(guò)濾。這可通過(guò)將計(jì)算指定作為用于該可信數(shù)據(jù)對(duì)象的可信數(shù)據(jù)策略的部分來(lái)實(shí)現(xiàn)?？尚艛?shù)據(jù)中的保管者還可以指定自動(dòng)管理可信數(shù)據(jù)的缺省策略，除非保管者明確地改變?？尚艛?shù)據(jù)分析平臺(tái)的特定實(shí)施方案還可以指定其自身的缺省策略，包括例如無(wú)論如何都不允許訪問(wèn)除非適當(dāng)?shù)谋９苷呒显S可的破損安全策略。根據(jù)在特定可信數(shù)據(jù)分析平臺(tái)中實(shí)現(xiàn)的策略語(yǔ)言和方案，可信數(shù)據(jù)策略可應(yīng)用于可信數(shù)據(jù)對(duì)象的子集。例如，如果可信數(shù)據(jù)包含人類基因組，則一個(gè)可信數(shù)據(jù)策略可以管理對(duì)特定基因的訪問(wèn)，其他基因由單獨(dú)的策略管理?？尚艌?zhí)行請(qǐng)求在可信執(zhí)行請(qǐng)求中，經(jīng)證實(shí)的主要負(fù)責(zé)人請(qǐng)求對(duì)一個(gè)或多個(gè)可信數(shù)據(jù)對(duì)象運(yùn)行既定可信分析程序。在一個(gè)實(shí)施方案中，可信執(zhí)行請(qǐng)求可以包括如下中的一些或全部：-請(qǐng)求主要負(fù)責(zé)人，例如請(qǐng)求待執(zhí)行分析的個(gè)人或?qū)嶓w的身份。這可以例如是請(qǐng)求執(zhí)行分析的人的用戶標(biāo)識(shí)符。-意愿，例如，指定請(qǐng)求主要負(fù)責(zé)人為何正在以能夠在由可信數(shù)據(jù)分析平臺(tái)的特定實(shí)施方案所實(shí)現(xiàn)的策略管理系統(tǒng)內(nèi)評(píng)估的方式做出分析請(qǐng)求。例如，在存儲(chǔ)基因數(shù)據(jù)和操作基因數(shù)據(jù)的實(shí)施方案中，意愿可指定為“臨床診斷”。該意愿還可以包括關(guān)于待訪問(wèn)的可信數(shù)據(jù)的具體子集的信息，例如，brca2基因。-可選地，以下中的一者或兩者來(lái)作為分析的候選者：(a)待分析的一個(gè)或多個(gè)可信數(shù)據(jù)對(duì)象的列表，和/或(b)可信數(shù)據(jù)對(duì)象必須滿足的述語(yǔ)。例如，述語(yǔ)可能指定分析應(yīng)當(dāng)包括來(lái)自超過(guò)55歲的駕駛員的駕駛數(shù)據(jù)，或來(lái)自日本籍祖先的超過(guò)85歲的未有癌癥史的人的醫(yī)療保健數(shù)據(jù)。注意的是，在一些實(shí)施方案中，可信分析程序本身可以包含評(píng)估可信數(shù)據(jù)對(duì)象用于作為分析的可能輸入的述語(yǔ)，從而避免了對(duì)單獨(dú)述語(yǔ)的需要。-待運(yùn)行可信分析程序的規(guī)范說(shuō)明?？尚艌?zhí)行環(huán)境在一些實(shí)施方案中，可信執(zhí)行環(huán)境將如下事項(xiàng)中的一些或全部集合在一起：-可信執(zhí)行請(qǐng)求；-至少一個(gè)可信數(shù)據(jù)對(duì)象，如在可信執(zhí)行請(qǐng)求中所指定的；-可信分析程序，如在可信執(zhí)行請(qǐng)求中所指定的；和/或-與至少一個(gè)可信數(shù)據(jù)對(duì)象關(guān)聯(lián)的至少一個(gè)可信數(shù)據(jù)策略。在一個(gè)實(shí)施方案中，可信執(zhí)行環(huán)境執(zhí)行下面的步驟來(lái)執(zhí)行可信分析程序：-對(duì)于在可信執(zhí)行請(qǐng)求中明確請(qǐng)求的或與可信執(zhí)行請(qǐng)求中的輸入述語(yǔ)匹配的每個(gè)可信數(shù)據(jù)對(duì)象：-驗(yàn)證可信數(shù)據(jù)的完整性(例如，該操作可僅為當(dāng)可信數(shù)據(jù)被攝取時(shí)高速緩存的信息的查找)；-驗(yàn)證可信數(shù)據(jù)滿足與指定為可信分析程序的部分的可信數(shù)據(jù)有關(guān)的任何可應(yīng)用要求；-驗(yàn)證與可信數(shù)據(jù)相關(guān)聯(lián)的可信數(shù)據(jù)策略允許訪問(wèn)，給與意愿和請(qǐng)求主要負(fù)責(zé)人、作者、認(rèn)證狀態(tài)、和/或可信分析程序的其他屬性，或者其他有關(guān)的策略變量。-對(duì)于那些經(jīng)驗(yàn)證的可信數(shù)據(jù)對(duì)象，對(duì)可信數(shù)據(jù)運(yùn)行可信分析程序并且產(chǎn)生結(jié)果。-在可信分析程序的執(zhí)行過(guò)程中，可以請(qǐng)求對(duì)其他各可信數(shù)據(jù)的訪問(wèn)，或者在執(zhí)行之前已經(jīng)驗(yàn)證的可信數(shù)據(jù)的不同部分的訪問(wèn)。在這種情況下，驗(yàn)證可信數(shù)據(jù)策略允許在將數(shù)據(jù)發(fā)布給可信分析程序之前進(jìn)行訪問(wèn)；-可以或者可以不發(fā)布結(jié)果，或者可以修改結(jié)果，例如，基于關(guān)于在可信分析程序的執(zhí)行中涉及到的特定可信數(shù)據(jù)所透露的信息的歷史。如在'624申請(qǐng)中所描述的，結(jié)果可包含具有管理對(duì)結(jié)果的訪問(wèn)的關(guān)聯(lián)條件和計(jì)算的受保護(hù)資源。-通過(guò)創(chuàng)建安全審計(jì)記錄來(lái)審計(jì)執(zhí)行。在一個(gè)實(shí)施方案中，該審計(jì)記錄將以下中的一些或全部集合在一起：參與的可信數(shù)據(jù)的加密散列(或運(yùn)行某另一單向函數(shù)的結(jié)果)、可信分析程序、可信分析程序所使用的其他環(huán)境或狀態(tài)數(shù)據(jù)、時(shí)間戳和/或可信分析程序所產(chǎn)生的結(jié)果。在一個(gè)實(shí)施方案中，可信數(shù)據(jù)分析平臺(tái)維護(hù)散列而使得系統(tǒng)能夠在法庭上驗(yàn)證可信分析程序執(zhí)行的對(duì)象。下面提供了具體實(shí)施發(fā)明工作主體的各方面的系統(tǒng)和方法的實(shí)現(xiàn)方式的更詳細(xì)的實(shí)施例。實(shí)施例：匿名能量監(jiān)控諸如電力公司的本地公用事業(yè)能夠使用可信數(shù)據(jù)分析平臺(tái)來(lái)匿名地健康能量使用來(lái)幫助進(jìn)行負(fù)載預(yù)測(cè)且匿名地聯(lián)系能量消耗過(guò)度的消費(fèi)者，給出關(guān)于如何可以減少使用的建議。在系統(tǒng)中有賬戶的消費(fèi)者可以登錄來(lái)接收集中于最低效使用新的家用電器的折扣，而不會(huì)向家用電器制造商或分配者或公用事業(yè)公司透露他們的身份。公用事業(yè)公司結(jié)合他們的智能計(jì)量系統(tǒng)向消費(fèi)者的展示來(lái)創(chuàng)建可信數(shù)據(jù)分析平臺(tái)的一個(gè)實(shí)例。智能電表與允許他們將可信數(shù)據(jù)(例如，關(guān)于電量使用的信息)封包和上載到作為能量監(jiān)控平臺(tái)的部分的可信攝取點(diǎn)的證書相關(guān)聯(lián)?？衫斫獾氖?，一些消費(fèi)者對(duì)關(guān)于他們電量使用的信息提供給不懷好意的行動(dòng)者感到緊張，不懷好意的行動(dòng)者可能例如挖掘他們的數(shù)據(jù)以獲得關(guān)于消費(fèi)者何時(shí)最可能在家的信息。結(jié)果，一些消費(fèi)者對(duì)于他們的信息如何被公用事業(yè)公司采集和使用非常敏感。消費(fèi)者家中的智能電表通過(guò)對(duì)計(jì)量數(shù)據(jù)加密和簽名創(chuàng)建了可信數(shù)據(jù)對(duì)象，隨后將可信數(shù)據(jù)提供給可信攝取點(diǎn)，可信攝取點(diǎn)將其拆開，將其重新加密、重新標(biāo)識(shí)，并且使其可在可信數(shù)據(jù)分析平臺(tái)內(nèi)使用。公用事業(yè)公司通過(guò)以允許小誒在完全限制對(duì)其數(shù)據(jù)的訪問(wèn)的方式設(shè)計(jì)了可信數(shù)據(jù)分析平臺(tái)來(lái)回應(yīng)于他們的消費(fèi)者的顧慮，使得公用事業(yè)公司僅接收其需要的信息來(lái)為消費(fèi)者開賬單(例如，所使用的千瓦時(shí)的總數(shù))。公用事業(yè)公司也希望將計(jì)量數(shù)據(jù)作為可信數(shù)據(jù)來(lái)保護(hù)，因?yàn)榭梢圆倏v數(shù)據(jù)的消費(fèi)者可非法地操縱計(jì)量數(shù)據(jù)來(lái)利用公用事業(yè)公司。如果消費(fèi)者愿意將其數(shù)據(jù)進(jìn)行更仔細(xì)地分析，則他們能夠選擇例如分析其具體負(fù)載需求、估計(jì)所使用的家用電器的種類以及給出能夠節(jié)省消費(fèi)者金錢并減少對(duì)公用事業(yè)公司的整體電力需求的一套節(jié)能提示的建議。例如，公用事業(yè)公司可能構(gòu)造可信分析程序，其查找諸如由空調(diào)或類似于冰箱的大型家用電器所引起的當(dāng)前需求的可辨識(shí)模式?？尚欧治龀绦蚩梢詫?duì)他們?nèi)檩斎氲目尚艛?shù)據(jù)設(shè)置要求，例如，可以要求可信數(shù)據(jù)對(duì)象利用公用事業(yè)公司為其一個(gè)智能電表發(fā)布的證書進(jìn)行數(shù)字簽名。在可信分析程序?qū)榷ㄏM(fèi)者的計(jì)量數(shù)據(jù)運(yùn)行之前，可信數(shù)據(jù)分析平臺(tái)咨詢消費(fèi)者的可信數(shù)據(jù)策略，可信數(shù)據(jù)策略可能允許或禁止訪問(wèn)?？尚欧治龀绦虺尸F(xiàn)為分析消費(fèi)者的計(jì)量數(shù)據(jù)的數(shù)字簽名的計(jì)算機(jī)程序的形式。根據(jù)能量使用模式，可信分析程序可以自動(dòng)地將通知發(fā)送到消費(fèi)者，表明他們可能減少他們的電費(fèi)單的方式。該通知是匿名發(fā)送的，而不會(huì)將使用模式透露給任何系統(tǒng)操作者。如果公用事業(yè)公司有此期望，則其可以開放其可信數(shù)據(jù)分析平臺(tái)以允許第三方匿名地挖掘其消費(fèi)者的數(shù)據(jù)。例如，家用電器公司可能希望標(biāo)識(shí)出需要新冰箱的消費(fèi)者(因?yàn)樗麄兊呐f冰箱能效極低)。家用電器公司創(chuàng)建了可信分析程序，其掃描舊的、低效的冰箱的說(shuō)明模式的智能計(jì)量數(shù)據(jù)。他們利用公用事業(yè)公司發(fā)布的認(rèn)證密鑰將可信分許程序簽名以用于其平臺(tái)。他們還可以提交他們的程序請(qǐng)第三方認(rèn)證，諸如通過(guò)betterbusinessbureau。通過(guò)允許家用電器制造商分析其消費(fèi)者的數(shù)據(jù)而獲利的公用事業(yè)公司在消費(fèi)者的月電費(fèi)單中設(shè)置新程序的通告。登錄到公用事業(yè)公司的服務(wù)并選擇的消費(fèi)者現(xiàn)在使其數(shù)據(jù)路由到家用電器公司的可信分析程序。消費(fèi)者有選擇的動(dòng)機(jī)，因?yàn)樗麄兛隙ㄔ谫?gòu)買新冰箱時(shí)獲得10％的折扣。為被標(biāo)記為升級(jí)合格的任何消費(fèi)者匿名郵寄制造商的折扣券。實(shí)施例：可信健康數(shù)據(jù)消費(fèi)者通過(guò)各種技術(shù)來(lái)生成醫(yī)療量漸增的保健數(shù)據(jù)。例如，具有g(shù)ps單元和加速度計(jì)的智能電話能夠用于記錄可用于健康鍛煉進(jìn)展的原始遙測(cè)數(shù)據(jù)。無(wú)線步程計(jì)和心率監(jiān)控器、wi-fi開啟的重量計(jì)以及其他不斷出現(xiàn)的技術(shù)用于幫助人民管理和改善他們的健康。當(dāng)前，通過(guò)這些類型的技術(shù)采集的數(shù)據(jù)不廣泛地用于臨床設(shè)定，但是他們可能在正確醫(yī)療分析者的手中很有用。該漸增量的信息不能被充分利用的多方面原因?yàn)椋?a)數(shù)據(jù)通常是從可能未正確校準(zhǔn)的不可靠源采集的；依賴未知起源的信息，醫(yī)生猶豫不定；(b)消費(fèi)者不充分信任接收和處置這些數(shù)據(jù)以保持他們的信息保密和安全的服務(wù)；以及(c)原始的、未經(jīng)整理的信息通常是巨大的；醫(yī)師和其他看護(hù)者希望能夠指定他們接收的信息并且使系統(tǒng)以有意義的方式傳送數(shù)據(jù)而不是傳送大量的原始數(shù)據(jù)。創(chuàng)建為處理來(lái)自生物傳感器的醫(yī)療保健數(shù)據(jù)的可信數(shù)據(jù)分析平臺(tái)允許醫(yī)生確切地指定他們接收哪些信息以及該信息如何從原始數(shù)據(jù)取得。其允許患者仔細(xì)地控制他們的信息如何發(fā)布、發(fā)布給誰(shuí)，以及以何種詳細(xì)程度。允許信息共享而不要求分布原始數(shù)據(jù)。詳細(xì)實(shí)施例戴安娜(diana)充當(dāng)獨(dú)居的她年邁母親的看護(hù)者。她的母親伊麗莎白(elizabeth)具有低血鈉的歷史，該病在過(guò)去導(dǎo)致癲癇狀的發(fā)作以及多方面減弱，導(dǎo)致進(jìn)行住院治療。該狀況通常在幾天前會(huì)有昏睡行為，并且與伊麗莎白一起居住的人容易察覺(jué)，而很難遠(yuǎn)程地檢測(cè)。戴安娜已經(jīng)考慮請(qǐng)她的母親賣掉她的房子并且搬來(lái)與戴安娜和她的家庭一起居住，但是伊麗莎白對(duì)該計(jì)劃非常反對(duì)。戴安娜閱讀了已經(jīng)構(gòu)建了幫助看護(hù)者照顧他們年邁的父母同時(shí)允許父母自主居住得盡可能遠(yuǎn)的可信數(shù)據(jù)分析平臺(tái)的服務(wù)?？尚艛?shù)據(jù)分析平臺(tái)已經(jīng)與各傳感器制造商合作以確保他們能夠生成可信數(shù)據(jù)。具體為：(a)服務(wù)已經(jīng)創(chuàng)建了信任管理系統(tǒng)，其發(fā)布了能夠用于斷言特定的一組傳感器測(cè)量由具體設(shè)備生成的設(shè)備證書，以及幫助確定設(shè)備在正常參數(shù)內(nèi)運(yùn)行的環(huán)境信息。服務(wù)提供者已經(jīng)與幾個(gè)相對(duì)有能力的設(shè)備制造商(例如，wi-fi開啟的重量計(jì)、家庭運(yùn)動(dòng)傳感器)合作以將數(shù)據(jù)管理和保護(hù)技術(shù)集成到設(shè)備中。(b)對(duì)于不太有能力的其他類型的設(shè)備，諸如夾到帶子上且具有極嚴(yán)格能量預(yù)算的活動(dòng)監(jiān)控器，系統(tǒng)已經(jīng)部署了能夠從傳感器接收受保護(hù)數(shù)據(jù)而不要求傳感器具有其自身的加密密鑰的可信攝取點(diǎn)。戴安娜通過(guò)服務(wù)提供商創(chuàng)建她自己和她母親的賬戶，并且經(jīng)伊麗莎白的同意登記了如下事實(shí)：她是伊麗莎白指定的看護(hù)者并且能夠代表伊麗莎白來(lái)控制伊麗莎白的賬戶。服務(wù)發(fā)送給戴安娜多個(gè)用于與服務(wù)兼容的設(shè)備的券。戴安娜購(gòu)買了這些中的多個(gè)以為她母親使用并且通過(guò)簡(jiǎn)單的登記接口借助該服務(wù)登記了它們。設(shè)備登記根據(jù)設(shè)備用戶接口的復(fù)雜度而不同，但是通常涉及到輸入設(shè)備序列號(hào)或匹配pin碼。在戴安娜購(gòu)買的設(shè)備中為如下：(a)wi-fi開啟的儀器，每當(dāng)伊麗莎白稱自己體重時(shí)(通常在早上進(jìn)行)，其自動(dòng)將體重和身體成分?jǐn)?shù)據(jù)上載服務(wù)；(b)一組壁式安裝的運(yùn)動(dòng)傳感器，每個(gè)房間一個(gè)，這些通過(guò)低功率無(wú)線電協(xié)議(諸如zigbee或bluetoothle)傳送到伊麗莎白家中的基站；(c)使用bluetoothle協(xié)議的多個(gè)活動(dòng)監(jiān)控器：(i)用帶子系到伊麗莎白的最舒服的一雙步行鞋上的一個(gè)智能步距儀，(ii)伊麗莎白能夠附著到腰帶上的一個(gè)夾式活動(dòng)監(jiān)控器，(iii)圍繞脖子佩戴的垂飾，以及最后(iv)包含了活動(dòng)監(jiān)控的健康手表。這些設(shè)備都存儲(chǔ)了他們的活動(dòng)信息，直到他們?cè)赽luetooth基站的范圍內(nèi)，在該點(diǎn)處他們的數(shù)據(jù)被上載。服務(wù)提供了戴安娜能夠用來(lái)幫助保持看守她母親的多種健康模板。通過(guò)易用接口，戴安娜能夠創(chuàng)建她自己的可信分析程序，其執(zhí)行如下計(jì)算：(a)如果伊麗莎白的登記的設(shè)備在任意3個(gè)小時(shí)的時(shí)間段內(nèi)都沒(méi)有生成任何數(shù)據(jù)，則戴安娜應(yīng)當(dāng)被通知電子郵件警告，因?yàn)榭赡苷`配置了一些東西；(b)伊麗莎白的活動(dòng)程度是基于來(lái)自傳感器的輸入來(lái)計(jì)算的。每個(gè)壁式安裝的運(yùn)動(dòng)傳感器每過(guò)十分鐘將表示其觀察到的活動(dòng)程度的樣本上載。該數(shù)字標(biāo)準(zhǔn)化為從0到99的刻度，0表示無(wú)任何運(yùn)動(dòng)，伊麗莎白通常在早晨7點(diǎn)起床，從下午1點(diǎn)到下午2點(diǎn)午休，并且在下午10點(diǎn)30休息，戴安娜的可信分析程序要求在早晨以及午后散步時(shí)間內(nèi)至少一個(gè)運(yùn)動(dòng)檢測(cè)儀登記超過(guò)50的運(yùn)動(dòng)級(jí)別，如果該條件不滿足，則戴安娜接收到電子郵件通知；(c)如果伊麗莎白的任一個(gè)活動(dòng)監(jiān)控器都登記自由降落，則戴安娜會(huì)接收到即時(shí)的sms消息，并且如果她在一分鐘內(nèi)沒(méi)有回應(yīng)，則出現(xiàn)一分鐘間隔的多次電話呼叫，如果在兩分鐘內(nèi)無(wú)法聯(lián)系到戴安娜，則系統(tǒng)要聯(lián)系緊急調(diào)度員；(d)如果伊麗莎白一連在三天內(nèi)沒(méi)有稱自己的體重，則戴安娜想要了解其體重，因?yàn)檫@暗示伊麗莎白沒(méi)有觀察她的日常習(xí)慣。一旦她已經(jīng)創(chuàng)建了該程序，她用伊麗莎白的賬戶登記該程序并且程序開始運(yùn)行。戴安娜起初在設(shè)定參數(shù)時(shí)過(guò)去謹(jǐn)慎且當(dāng)她接收到電子郵件時(shí)在恐慌中呼叫她的母親，但是他對(duì)該服務(wù)整體很滿意，因?yàn)檫@使得他心態(tài)平和，因?yàn)榧词勾靼材炔辉谀菚r(shí)她也知道她母親家中發(fā)生了什么。在她接下來(lái)的醫(yī)療檢查中，醫(yī)生霍華德(howard)，即伊麗莎白的醫(yī)生，表明他擔(dān)心伊麗莎白的近期增重，并且希望她跟蹤她的體重并且確保她每天步行至少10,000步。在獲知伊麗莎白已經(jīng)訂購(gòu)了家庭健康健康服務(wù)時(shí)，醫(yī)生霍華德登入他自己的賬戶并且發(fā)送他與伊麗莎白的“醫(yī)師-患者”關(guān)系邀請(qǐng)，如果伊麗莎白接受，將登記兩者之間的關(guān)系。伊麗莎白的策略設(shè)定允許經(jīng)驗(yàn)證已由伊麗莎白同意的、作為她的醫(yī)師的任何人簽名的任何可信分析程序進(jìn)行數(shù)據(jù)訪問(wèn)。戴安娜代表她母親接受該邀請(qǐng)。醫(yī)生霍華德創(chuàng)建了用于伊麗莎白的“數(shù)據(jù)處方”，即一種特定形式的可信分析程序，其對(duì)下面的規(guī)則進(jìn)行編碼：(a)如果伊麗莎白的體重增加距基準(zhǔn)線多于5英鎊，則將電子郵件發(fā)送到醫(yī)生霍華德的護(hù)士；(b)如果在任何既定周內(nèi)伊麗莎白的平均步數(shù)下降為低于40,000，則將電子郵件發(fā)送給護(hù)士；(c)如果一連超過(guò)三天沒(méi)有采集步行或活動(dòng)數(shù)據(jù)，則將電子郵件發(fā)送給護(hù)士；(d)如果檢測(cè)到諸如降落的緊急事件，則sms醫(yī)生。上述數(shù)據(jù)處方是由在身體治療領(lǐng)域?qū)I(yè)的第三方創(chuàng)建的。數(shù)據(jù)處方是參數(shù)化的可信分析程序，其允許醫(yī)師或治療者輸入諸如步數(shù)、聯(lián)系地址等參數(shù)。該程序由第三方利用健康監(jiān)控服務(wù)為此目的而發(fā)給他們的證書來(lái)簽署。醫(yī)生霍華德過(guò)去在該公司就職，并且信任他們的產(chǎn)品。當(dāng)他上載可信分析程序時(shí)，他簽署了模板化的可信分析程序和他選擇的參數(shù)。醫(yī)生霍華德上載可信分析程序并且請(qǐng)求將其與伊麗莎白的賬戶關(guān)聯(lián)。由于伊麗莎白的策略設(shè)定，可信分析程序開始執(zhí)行且訪問(wèn)伊麗莎白的數(shù)據(jù)。戴安娜的工作很忙，但是在過(guò)去兩天，她接收到了表明活動(dòng)級(jí)別下降的電子郵件。首先，她對(duì)此比較忽略，因?yàn)樘鞖廪D(zhuǎn)冷且她母親可能感冒了，但是在接收到第三次消息時(shí)，她開始擔(dān)心她的母親可能開始昏睡，并且決定打電話。她母親聲稱很好，并且可能是有點(diǎn)感冒，但是她確定她明天就好多了。接下來(lái)的一天，戴安娜收到另一個(gè)低活動(dòng)通知，與醫(yī)生霍華德預(yù)約，并且開車到她母親的家中，帶她去赴約。足夠確定，伊麗莎白的血鈉已下降。在幾天治療之后，在她自己的家中，伊麗莎白恢復(fù)正常，并且避免了昂貴的住院費(fèi)用。將理解的是，選擇前面的實(shí)施例是為了便于理解發(fā)明工作主體的各個(gè)實(shí)施方案，并且已經(jīng)選擇了這些實(shí)施例中的具體細(xì)節(jié)是為了示例而不是限制所展示的總體原理的目的。圖26示出了依照發(fā)明工作主體的實(shí)施方案的保護(hù)和管理對(duì)數(shù)據(jù)的訪問(wèn)的示例性系統(tǒng)1000。系統(tǒng)1000可以例如包括可信數(shù)據(jù)分析平臺(tái)(例如，基因云系統(tǒng))的實(shí)施方案，其中各實(shí)施方案的操作已經(jīng)在本文其他地方進(jìn)行了說(shuō)明。如圖26所示，持有電子數(shù)據(jù)(“d”)的權(quán)力的實(shí)體1002a-d將數(shù)據(jù)打包并且將數(shù)據(jù)發(fā)送給可信攝取點(diǎn)1004a-c以便存儲(chǔ)在可信平臺(tái)1000上(權(quán)力持有者1002a-d將統(tǒng)稱為“權(quán)力持有者1002”，其中附圖標(biāo)記1002可互換地指代一個(gè)或多個(gè)權(quán)力持有者的計(jì)算系統(tǒng)，如從上下文清楚理解的)。在一些實(shí)施方案中，數(shù)據(jù)可以不受保護(hù)的形式送到攝取點(diǎn)1004，并且攝取點(diǎn)可以在數(shù)據(jù)存儲(chǔ)之前對(duì)數(shù)據(jù)施以保護(hù)；在其他實(shí)施方案中，至少部分地通過(guò)權(quán)力持有者的設(shè)備來(lái)施以保護(hù)。數(shù)據(jù)可以包括任何類型的數(shù)據(jù)，其實(shí)施例可能包括家庭能量消耗數(shù)據(jù)、汽車位置和動(dòng)態(tài)數(shù)據(jù)、移動(dòng)電話使用和位置信息、醫(yī)療信息和/或類似數(shù)據(jù)。這些數(shù)據(jù)存儲(chǔ)在一個(gè)或多個(gè)計(jì)算機(jī)系統(tǒng)1004、數(shù)據(jù)庫(kù)1005和/或其他存儲(chǔ)裝置上，其中為了權(quán)力持有者1002和第三方1007的利益，可由第三方1007使用數(shù)據(jù)。例如，第三方1007(可以例如包括醫(yī)療研究實(shí)驗(yàn)室、公用事業(yè)公司、對(duì)針對(duì)性廣告感興趣的商人、和/或類似物的能夠提交可信分析程序(“tap”)到平臺(tái)1000，在平臺(tái)1000中，程序依照由例如權(quán)力持有者1002指定的策略(“p”)對(duì)受保護(hù)數(shù)據(jù)運(yùn)行以產(chǎn)生結(jié)果(“r”)。如圖26所示，策略能夠以任何適合的方式提交給可信平臺(tái)1000，包括但不限于與和他們有關(guān)的數(shù)據(jù)直接地、或者單獨(dú)的、在不同時(shí)間和/或使用不同的通信方法。如本文其他地方所描述的，可信平臺(tái)1000幫助確保權(quán)力持有者的數(shù)據(jù)受到保護(hù)，同時(shí)使得可供第三方為與權(quán)力持有者的愿望一致的目的而使用。圖27示出了可用于實(shí)施發(fā)明工作主體的實(shí)施方案的系統(tǒng)1100的更詳細(xì)的實(shí)施例。例如，系統(tǒng)1100可能包括在可信分析平臺(tái)1000中的設(shè)備的實(shí)施方案。系統(tǒng)1100可以例如包括通用型計(jì)算設(shè)備，諸如個(gè)人計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器等。系統(tǒng)1100通常將包括處理器1102、存儲(chǔ)器1104、用戶接口1106、用于接受可移除存儲(chǔ)器1108的端口1107、網(wǎng)絡(luò)接口1110以及用于連接前述元件的一個(gè)或多個(gè)總線1112。系統(tǒng)1100的操作通常由處理器1102控制，處理器1102在存儲(chǔ)于存儲(chǔ)器1104中的程序的引導(dǎo)下操作。存儲(chǔ)器1104通常將包括高速隨機(jī)存取存儲(chǔ)器(ram)和諸如磁盤和/或閃存eeprom的非易失性存儲(chǔ)器。存儲(chǔ)器1104的一些部分會(huì)受限制，使得它們無(wú)法從系統(tǒng)1100的其他組件讀取或?qū)懭胂到y(tǒng)1100的其他組件。端口1107可以包括用于接收諸如usb驅(qū)動(dòng)、cd-rom、dvd、存儲(chǔ)卡、sd卡、其他磁或光媒介和/或等計(jì)算機(jī)可讀媒介1108的磁盤驅(qū)動(dòng)器或存儲(chǔ)槽。網(wǎng)絡(luò)接口1110通?？刹僮饕蕴峁┫到y(tǒng)1100經(jīng)由諸如因特網(wǎng)或內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)1120(例如，lan、wan、vpn等)與其他計(jì)算設(shè)備(和/或計(jì)算設(shè)備的網(wǎng)絡(luò))之間的連接，并且可以采用一種或多種通信技術(shù)來(lái)實(shí)體地實(shí)現(xiàn)這些連接(例如，無(wú)線、以太網(wǎng)和/或類似網(wǎng))。在一些實(shí)施方案中，系統(tǒng)1100還可能包括處理單元1103，其受保護(hù)以防被系統(tǒng)1100的用戶或其他實(shí)體篡改。這種安全處理單元能夠幫助增強(qiáng)諸如密鑰管理、簽名驗(yàn)證以及本文其他地方描述的系統(tǒng)和方法的其他方面的敏感操作的安全性。如圖27所示，計(jì)算系統(tǒng)1100的存儲(chǔ)器1104可以包括數(shù)據(jù)1128以及用于控制計(jì)算設(shè)備1100的操作的各種程序或模塊。例如，存儲(chǔ)器1104通常將包括操作系統(tǒng)1121，用于管理應(yīng)用的執(zhí)行、外圍設(shè)備等等。在圖27所示的實(shí)施例中，存儲(chǔ)器1104還包括：用于將受保護(hù)數(shù)據(jù)1128攝取到可信數(shù)據(jù)平臺(tái)中的應(yīng)用1130；drm引擎1132或其他策略施行應(yīng)用，用于對(duì)數(shù)據(jù)使用和系統(tǒng)的其他方面施行策略限制；和/或一個(gè)或多個(gè)可信分析程序1124，用于執(zhí)行受保護(hù)數(shù)據(jù)1128的分析。如本文其他地方所描述的，策略施行引擎1132可以包括各種其他模塊、與各種其他模塊相互操作、和/或控制各種其他模塊，諸如用于執(zhí)行控制程序的虛擬機(jī)、用于存儲(chǔ)敏感信息的受保護(hù)的數(shù)據(jù)庫(kù)、和/或用于執(zhí)行諸如對(duì)內(nèi)容加密和/或解密的加密操作、計(jì)算散列函數(shù)和消息證實(shí)碼、評(píng)估數(shù)字簽名和/或類似操作的一個(gè)或多個(gè)加密模塊1126。存儲(chǔ)器1104通常還包括受保護(hù)的內(nèi)容1128和關(guān)聯(lián)的許可證和計(jì)算1129，以及加密密鑰、證書等等(未示出)。本領(lǐng)域普通技術(shù)人員將理解的是，本文所描述的系統(tǒng)和方法能夠通過(guò)與圖27所示的相似或相同的計(jì)算設(shè)備來(lái)實(shí)施，或者通過(guò)實(shí)際上任何其他適合的計(jì)算設(shè)備來(lái)實(shí)施，包括不具有圖27所示的一些組件的計(jì)算設(shè)備和/或具有未顯示的其他組件的計(jì)算設(shè)備。因此，應(yīng)當(dāng)理解的是，提供圖27是為了示例而不是限制的目的。雖然為清晰的目的前面已經(jīng)描述了一些細(xì)節(jié)。顯然，可以進(jìn)行一些改變和改進(jìn)，而不偏離其原理。例如，將理解的是，雖然本文所描述的系統(tǒng)和方法的實(shí)施方案能夠用于與基因和其他醫(yī)療信息相結(jié)合使用，本文所披露的系統(tǒng)和方法的實(shí)施方案同樣能夠輕易地應(yīng)用于其他背景，包括但不限于涉及到與基因?qū)W或醫(yī)學(xué)領(lǐng)域無(wú)關(guān)的數(shù)據(jù)和其他信息的處置和處理的背景。而且，雖然已經(jīng)提供了多個(gè)完整的系統(tǒng)和方法，將理解的是這些系統(tǒng)和方法是新穎的，其中所采用的許多組件、系統(tǒng)和方法同樣是新穎的。應(yīng)當(dāng)注意，可能存在多種實(shí)現(xiàn)本文所描述的過(guò)程和裝置的替代方式。因此，當(dāng)前的實(shí)施方案應(yīng)視為示例而不是限制，并且發(fā)明工作主體不應(yīng)局限于本文給出的細(xì)節(jié)，而是可以在隨附權(quán)利要求書的范圍和等同范圍內(nèi)進(jìn)行修改。當(dāng)前第1頁(yè)12