CN113168922A - 用于跟踪、访问和合并受保护的健康信息的***和方法 - Google Patents

Abstract

提供了一种受保护的健康信息(PHI)服务，该服务对医学研究数据(例如，医学数字成像和通信(DICOM)研究数据)进行去标识，并允许医疗服务提供者控制PHI数据，并将去标识的数据上传到远程服务***。在执行扫描的组织内托管的PHI服务或相关联服务维护着个人可标识信息的数据库，并使用户无需建立与医疗服务提供者的虚拟专用网络或WiFi网络的连接即可访问PHI。该***通过在PHI服务中关联唯一标识符来提高了通过计算机网络进行医学成像和分析的技术的速度、效率和灵活性，以便随时间的变化接受DICOM研究数据，并且跟踪和检索哪些PHI数据发生了变化而不论其被接收到的时序顺序。

Description

用于跟踪、访问和合并受保护的健康信息的***和方法

技术领域

本公开总体上涉及通过通信网络或信道共享医学成像信息和其他信息。

发明内容

医学数字成像和通信(DICOM)研究可能涉及医学扫描，其中包括受保护的健康信息(PHI)，在将受保护的健康信息发送到远程***进行分析之前，应将其移除或使其混淆。随后访问PHI可能涉及到医疗服务提供者(例如医院)的虚拟专用网络或WiFi网络的远程连接。本文所述的***和方法使远程用户无需连接到医疗服务提供者的虚拟专用网络或WiFi网络即可访问PHI。这通过使用户无需连接到医疗服务提供者的虚拟专用网络或WiFi网络即可访问PHI提高了计算机网络上医学成像和分析技术的效率和灵活性。

DICOM研究能够随着时间的推移而部分发送，较新的文件包含DICOM元数据，这些元数据自从之前从扫描***上传以来已经发生了变化。例如，可以重新上传具有更新后的患者年龄或包含附加系列的数据的研究。一些实施方式通过用混淆的版本替换DICOM UIDS来将每个传入的上传视为不同的研究，这使得随着时间的推移接受DICOM数据以及跟踪和/或检索已更改的PHI数据变得更加困难和效率低下。本文描述的***和过程通过在PHI服务中关联唯一标识符以便随时间的变化接受DICOM研究数据，并且跟踪和检索哪些PHI数据发生了变化而不管其被接收到的时序顺序，来提高通过计算机网络进行医学成像和分析的技术的速度、效率和灵活性。

将随着时间的变化或使用不同的形态对同一位患者进行的扫描彼此进行比较，以执行诸如监视兴趣点(例如肺结节)变化的任务。为此，经由一个或更多个通用标识符来链接扫描。患者ID、登录号、姓名和出生日期是可能的标识符，但通常是每个组织(例如医院)的唯一组合。当数据被存储而所有标识符都保持完整时，标识相关研究的过程就像将该研究与具有匹配标识符的相似研究进行比较或过滤一样简单。由于移除或混淆了标识符，因此无法轻松地将存储在云中的去标识的数据关联起来，从而无法将两个或更多个研究匹配在一起。当前的选项需要在研究报告中保留一些标识信息，这就降低了去标识性，并将标识信息与数据一起存储。这个过程使得患者的个人身份信息不那么安全，并且需要与组织进一步达成协议，以合法地存储数据。

在执行扫描的组织内托管的服务维护着个人身份信息的数据库，该服务可以使用一个或更多个标识字段生成加密哈希，然后能够将该加密哈希发送到托管去标识数据的服务(例如，基于云的服务)。在至少一些实施方式中，可以通过在将值哈希之前将标识字段与唯一的(例如，每个组织唯一的)加密密钥组合来进一步保护加密哈希。匹配的哈希指示远程服务中的相关研究。

由于每个组织都可以使用其自己的唯一字段集，因此组织内托管的服务被配置具有所需字段，可从这些字段中生成相关的加密哈希。每当所配置的字段集发生更改时，服务可以重新生成并发送针对每个研究的加密哈希。如果以前没有做过，或者组织更改了其***中用于标识患者的策略，则这将允许所有历史数据和新数据得以正确链接和关联。

为了提高性能，将加密哈希的高速缓存存储在组织(例如，医院)内托管的服务上。当检测到配置更改时，该服务能够重新计算所有哈希，但是只能重新发送更改的值。通过周期性地查询存储和管理组织配置的远程服务(例如，云服务)来完成对配置的更改。

远程服务能够为临床医生执行分析并提供到相关研究的访问，而甚至无需访问扫描的标识信息。

一种操作医学分析平台的方法，该医学分析平台包括分析服务提供者(ASP)***，可以总结为包括：由ASP***的至少一个处理器接收医学研究数据以及医学研究数据的唯一标识符；由ASP***的至少一个处理器将医学研究数据的唯一标识符存储在ASP***上；由ASP***的至少一个处理器发送对所接收到的医学研究数据的访问指令的请求，其中，该请求包括医学研究数据的唯一标识符；由ASP***的至少一个处理器接收访问指令以响应于该请求；并且由ASP***的至少一个处理器使用接收到的访问指令将医学研究数据存储在ASP***上。访问指令可以包括用于对医学研究数据进行加密的加密信息，并且存储医学研究数据可以包括使用加密信息对医学研究数据进行加密以进行存储。访问指令可以包括预签名的、时间期满的访问统一资源定位符(URL)，并且存储医学研究数据可以包括根据与预签名的、时间期满的访问URL相关联的访问策略，将医学研究数据存储到预签名的、时间期满的访问URL。

该方法可以进一步包括：由ASP***的至少一个处理器接收来自基于处理器的客户端设备的对存储在ASP***上的医学研究数据的请求；响应于接收到对存储在ASP***上的医学研究数据的请求，由ASP***的至少一个处理器从ASP***上的存储中检索医学研究数据的标识符；由ASP***的至少一个处理器发送对存储在ASP***上的医学研究数据的访问指令的请求，其中，访问指令的请求包括医学研究数据的唯一标识符；响应于对访问指令的请求，由ASP***的至少一个处理器接收访问指令；由ASP***的至少一个处理器使用接收到的访问指令访问存储在ASP***上的医学研究数据；以及由ASP***的至少一个处理器将存储在ASP***上的已访问的医学研究数据发送到基于处理器的客户端设备以响应于从基于处理器的客户端设备接收的请求。访问指令可以包括用于对医学研究数据进行解密的解密信息，并且访问医学研究数据可以包括使用解密信息对医学研究数据进行解密。

该方法可以进一步包括：响应于接收到对存储在ASP***上的医学研究数据的请求，由ASP***的至少一个处理器从ASP***上的存储中检索与存储在ASP***上的医学研究数据相关联的文件名，其中，访问指令包括预签名的下载统一资源定位符(URL)，以及其中，访问医学研究数据包括由ASP***的至少一个处理器请求在由预签名的下载统一URL指定的位置处的医学研究数据。可以从医学研究数据上传器(MSDU)***接收医学研究数据以及医学研究数据的唯一标识符，可以将对接收到的医学研究数据的访问指令的请求发送到受信代理人服务(TBS)***，并且可以响应于该请求从TBS***接收访问指令。

在接收医学研究数据以及医学研究数据的唯一标识符之前，该方法可以进一步包括：由ASP***的至少一个处理器从MSDU***接收对受信代理人服务(TBS)***的认证令牌和地址的请求，该请求包括存储在MSDU***上的应用编程接口(API)密钥和唯一密码；由ASP***的至少一个处理器使用应用编程接口(API)密钥和唯一密码来认证来自MSDU***的请求；基于对来自MSDU***的请求的认证，由ASP***的至少一个处理器将TBS***的认证令牌和地址发送给MSDU***；由ASP***的至少一个处理器接收来自TBS***的用于验证认证令牌的请求；响应于来自TBS***的验证请求，由ASP***的至少一个处理器验证认证令牌；并由ASP***的至少一个处理器将对认证令牌的验证发送到TBS***。MSDU***可以是受保护的健康信息(PHI)***的一部分。医学研究数据可以是由PHI***去标识的去标识医学研究数据。

一种操作医学分析平台的方法，该医学分析平台包括受信代理人服务(TBS)***，该方法可以总结为包括：由TBS***的至少一个处理器接收来自分析服务提供者(ASP)***的对存储在ASP***上的医学研究数据的访问指令的请求，其中，该请求包括医学研究数据的唯一标识符；由TBS***的至少一个处理器使用唯一标识符来检索针对医学研究数据的访问指令；以及响应于对访问指令的请求，由TBS***的至少一个处理器将医学研究数据的访问指令发送给ASP***。访问指令可以包括用于通过ASP***对医学研究数据进行加密以存储在ASP***上的加密信息。访问指令可以包括预签名的、时间期满的访问统一资源定位符(URL)，医学研究数据将由ASP***存储到该URL。

在接收来自ASP***的对医学研究数据的访问指令的请求之前，该方法可以进一步包括：TBS***的至少一个处理器从医学研究数据上传器(MSDU)***接收与医学研究数据有关的元数据以及认证令牌；由TBS***的至少一个处理器向ASP***发送用于验证认证令牌的请求；响应于验证认证令牌的请求，由TBS***的至少一个处理器接收来自ASP***的对认证令牌的验证；以及响应于认证令牌的验证，由TBS***的至少一个处理器生成医学研究数据的唯一标识符；由TBS***的至少一个处理器生成医学研究数据的访问信息；由TBS***的至少一个处理器将医学研究数据的唯一标识符与用于医学研究数据的访问信息和关于医学研究数据的元数据相关联；由TBS***的至少一个处理器将关于医学研究数据的元数据存储在TBS***上；由TBS***的至少一个处理器将医学研究数据的唯一标识符与医学研究数据的访问信息和关于医学研究数据的元数据的关联存储在TBS***上；以及由TBS***的至少一个处理器将医学研究数据的唯一标识符发送到MSDU***。MSDU***可以是受保护的健康信息(PHI)***的一部分。医学研究数据可以是由PHI***去标识的去标识医学研究数据。

该方法可以总结为包括：由TBS***的至少一个处理器接收撤销对存储在ASP***上的医学研究数据的访问的请求；由TBS***的至少一个处理器，定位存储在TBS***上的元数据，该元数据是关于要撤销访问的存储在ASP***上的医学研究数据；由TBS***的至少一个处理器从TBS***中去除以下中的一项或更多项：关于医学研究数据的元数据、医学研究数据的访问信息以及医学研究数据的唯一标识符。可以从授权的基于客户端处理器的设备接收撤销对存储在ASP***上的医学研究数据的访问的请求。可以从PHI***接收撤销对存储在ASP***上的医学研究数据的访问的请求。

一种操作医学分析平台的方法，该医学分析平台包括医学研究数据上传器(MSDU)***，该方法可以总结为包括：由MSDU***的至少一个处理器向分析服务提供者(ASP)***发送对授信代理人服务(TBS)***的认证令牌和地址的请求，该请求包括存储在MSDU***上的应用编程接口(API)密钥和唯一密码；响应于发送给ASP***的请求，由MSDU***的至少一个处理器从ASP***接收TBS***的认证令牌和地址；由MSDU***的至少一个处理器使用TBS***的地址向TBS***发送关于医学研究数据的元数据以及认证令牌；响应于将与医学研究数据有关的元数据以及认证令牌发送到TBS***，MSDU***的至少一个处理器从TBS***接收医学研究数据的唯一标识符；以及由MSDU***的至少一个处理器将医学研究数据的唯一标识符以及医学研究数据发送给ASP***以存储在ASP***上。MSDU***可以是受保护的健康信息(PHI)***的一部分。医学研究数据可以是由PHI***去标识的去标识医学研究数据。

一种操作医学分析平台的方法，该医学分析平台包括医学研究数据上传器(MSDU)***、分析服务提供者(ASP)***和受信代理人服务(TBS)***，该方法可以总结为包括：由MSDU***的至少一个处理器向TBS***发送关于医学研究数据的元数据；由TBS***的至少一个处理器生成医学研究数据的唯一标识符；由TBS***的至少一个处理器生成医学研究数据的访问信息；由TBS***的至少一个处理器将医学研究数据的唯一标识符与医学研究数据的访问信息和关于医学研究数据的元数据相关联；由TBS***的至少一个处理器将关于医学研究数据的元数据存储在TBS***上；由TBS***的至少一个处理器将医学研究数据的唯一标识符与医学研究数据的访问信息和关于医学研究数据的元数据的关联存储在TBS***上；TBS***的至少一个处理器将医学研究数据的唯一标识符发送给MSDU***；由MSDU***的至少一个处理器将医学研究数据的唯一标识符连同医学研究数据一起发送给ASP***，以存储在ASP***上；由ASP***的至少一个处理器将医学研究数据的唯一标识符存储在ASP***上；由ASP***的至少一个处理器发送对接收到的医学研究数据的访问指令的请求，其中，该请求包括医学研究数据的唯一标识符；响应于该请求，由ASP***的至少一个处理器接收访问指令；以及由ASP***的至少一个处理器使用接收到的访问指令将医学研究数据存储在ASP***上。

在向TBS***发送关于医学研究数据的元数据之前，该方法可以进一步包括：由MSDU***的至少一个处理器向ASP***发送对TBS***的认证令牌和地址的请求，该请求包括存储在MSDU***上的应用编程接口(API)密钥和唯一密码；由MSDU***的至少一个处理器从ASP***接收TBS***的认证令牌和地址，其中，向TBS***发送关于医学研究数据的元数据包括：由MSDU***的至少一个处理器使用TBS***的地址将与医学研究数据有关的元数据以及认证令牌发送给TBS***；响应于接收来自MSDU***的认证令牌，由TBS***的至少一个处理器向ASP***发送请求以验证认证令牌；响应于来自TBS***的验证请求，由ASP***的至少一个处理器验证认证令牌；并由ASP***的至少一个处理器将认证令牌的验证发送到TBS***，其中，以下这些都依赖于响应于接收来自MSDU***的认证令牌而对认证令牌的验证：生成医学研究数据的唯一标识符、生成医学研究数据的访问信息、将医学研究数据的唯一标识符与医学研究数据的访问信息和关于医学研究数据的元数据相关联、以及将关于医学研究数据的元数据存储在TBS***上。

该方法可以进一步包括：由TBS***的至少一个处理器从TBS***中移除以下中的一项或更多项：关于医学研究数据的元数据、医学研究数据的访问信息以及医学研究数据的唯一标识符，以便撤消对存储在APS***上的医学研究数据的访问。访问指令可以包括用于通过ASP***对医学研究数据进行加密以存储在ASP***上的加密信息。访问指令可以包括预签名的、时间期满的访问统一资源定位符(URL)，医学研究数据将由ASP***存储到该URL。MSDU***可以是受保护的健康信息(PHI)***的一部分。

一种医学分析平台的分析服务提供者(ASP)***，该医学分析平台包括ASP***、医学研究数据上传器(MSDU)***和受信代理人服务(TBS)***，该方法可以总结为包括：至少一个非暂时性处理器可读存储介质，其存储处理器可执行指令或数据中的至少一种；至少一个处理器，其可通信地耦接到至少一个非暂时性处理器可读存储介质，在操作中，至少一个处理器：接收医学研究数据以及医学研究数据的唯一标识符；将医学研究数据的唯一标识符存储在ASP***上；发送对接收到的医学研究数据的访问指令的请求，其中，该请求包括医学研究数据的唯一标识符；响应于该请求接收访问指令；以及使用接收到的访问指令将医学研究数据存储在ASP***上。MSDU***可以是受保护的健康信息(PHI)***的一部分。医学研究数据可以是由PHI***去标识的去标识医学研究数据。

一种医学分析平台的授信代理人服务(TBS)***，该医学分析平台包括TBS***、分析服务提供者(ASP)***、医学研究数据上传器(MSDU)***，该方法可以总结为包括：至少一个非暂时性处理器可读存储介质，其存储处理器可执行指令或数据中的至少一种；以及至少一个处理器，其可通信地耦接到至少一个非暂时性处理器可读存储介质，在操作中，至少一个处理器：从ASP***接收对要存储在ASP***上的医学研究数据的访问指令的请求，其中，该请求包括医学研究数据的唯一标识符；使用唯一标识符检索医学研究数据的访问指令；以及响应对访问指令的请求，将医学研究数据的访问指令发送到ASP***。

在操作中，在至少一个处理器接收来自ASP***的对医学研究数据的访问指令的请求之前，至少一个处理器可以：从MSDU***接收关于医学研究数据的元数据以及认证令牌；向ASP***发送用于验证认证令牌的请求；响应于对认证令牌的验证的请求而从ASP***接收对认证令牌的验证；以及响应于认证令牌的验证：生成医学研究数据的唯一标识符；生成医学研究数据的访问信息；将医学研究数据的唯一标识符与医学研究数据的访问信息和关于医学研究数据的元数据相关联；将关于医学研究数据的元数据存储在TBS***上；将医学研究数据的唯一标识符与医学研究数据的访问信息和关于医学研究数据的元数据的关联存储在TBS***上；以及将医学研究数据的唯一标识符发送到MSDU***。MSDU***可以是受保护的健康信息(PHI)***的一部分。访问指令可以包括用于通过ASP***对医学研究数据进行加密以存储在ASP***上的加密信息。访问指令可以包括预签名的、时间期满的访问统一资源定位符(URL)，医学研究数据将由ASP***存储到该URL中。

一种操作分析平台的方法，该分析平台包括数据上传器(DU)***、分析服务提供者(ASP)***和受信代理人服务(TBS)***，该方法可以总结为包括：由DU***的至少一个处理器向TBS***发送关于数据的元数据；由TBS***的至少一个处理器生成该数据的唯一标识符；由TBS***的至少一个处理器生成该数据的访问信息；由TBS***的至少一个处理器将该数据的唯一标识符与该数据的访问信息和关于该数据的元数据相关联；由TBS***的至少一个处理器将关于该数据的元数据存储在TBS***上；由TBS***的至少一个处理器将该数据的唯一标识符与该数据的访问信息和与该数据有关的元数据的关联存储在TBS***上；由TBS***的至少一个处理器将该数据的唯一标识符发送给DU***；由DU***的至少一个处理器将该数据的唯一标识符以及该数据一起发送给ASP***，以存储在ASP***上；由ASP***的至少一个处理器将该数据的唯一标识符存储在ASP***上；由ASP***的至少一个处理器发送对接收到的数据的访问指令的请求，其中，该请求包括该数据的唯一标识符；响应于该请求，由ASP***的至少一个处理器接收访问指令；以及由ASP***的至少一个处理器使用接收到的访问指令将数据存储在ASP***上。

一种操作医学分析平台的方法，该医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，该方法可以总结为包括：由ASP***的至少一个处理器将去标识的医学研究数据存储在ASP***的至少一个非暂时性处理器可读存储介质上；由PHI***的至少一个处理器将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上；由PHI***的至少一个处理器通过至少一个通信网络将用于请求的医学研究的PHI数据发送到基于处理器的客户端设备；以及由ASP***的至少一个处理器通过至少一个通信网络将针对所请求的医学研究的去标识的医学研究数据发送到基于处理器的客户端设备。

PHI***可以通信地耦接到专用网络，该方法可以进一步包括：由ASP***的至少一个处理器或PHI***的至少一个处理器验证基于处理器的客户端设备已经可以访问专用网络。该方法可以进一步包括：由ASP***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对PHI访问令牌的请求；由ASP***的至少一个处理器通过至少一个通信网络向基于处理器的客户端设备发送加密的PHI访问令牌；由PHI***的至少一个处理器从基于处理器的客户端设备接收对医学研究的PHI数据的请求，该请求包括加密的PHI访问令牌；由PHI***的至少一个处理器通过至少一个通信网络将加密的PHI访问令牌发送到ASP***；由ASP***的至少一个处理器验证接收到的加密的PHI访问令牌；以及由ASP***的至少一个处理器通知PHI***PHI访问令牌有效，其中，将所请求的PHI数据发送到基于处理器的客户端设备可以是响应于PHI***的至少一个处理器从ASP***接收到验证通知而进行的。该方法可以进一步包括：由PHI***的至少一个处理器接收包括PHI数据的医学研究数据；由PHI***的至少一个处理器从医学研究数据中去除PHI数据，以生成去标识的医学研究数据；由PHI***的至少一个处理器将PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质中；以及由PHI***的至少一个处理器通过至少一个通信网络向ASP***发送去标识的医学研究数据。接收包括PHI数据的医学研究数据可以包括从扫描仪接收医学成像数据。将去标识的医学研究数据发送到ASP***可以包括：使用代表性状态传输(REST)应用编程接口将去标识的医学研究数据发送到ASP***。从医学研究数据中去除PHI数据可以包括：由PHI***的至少一个处理器去除允许删除的字段；以及由PHI***的至少一个处理器使用混淆的替换数据替换不允许删除的字段中的数据。操作医学分析平台的方法可以进一步包括：通过PHI***的至少一个处理器，将唯一标识符与医学研究的医学研究数据相关联；由PHI***的至少一个处理器将唯一标识符存储在PHI***的至少一个非暂时性处理器可读存储介质中；由PHI***的至少一个处理器通过至少一个通信网络将唯一标识符与医学研究的去标识的医学数据一起发送给ASP***。操作医学分析平台的方法可以进一步包括：由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收PHI数据；由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收去标识的医学研究数据；由基于处理器的客户端设备中的至少一个处理器将PHI数据和去标识的医学研究数据合并以生成重新标识的医学研究数据；以及由基于处理器的客户端设备的至少一个处理器将重新标识的医学研究数据呈现给基于处理器的客户端设备的用户。该方法可以进一步包括：由ASP***的至少一个处理器生成与去标识的医学研究数据有关的分析数据；以及由ASP***的至少一个处理器通过至少一个通信网络将生成的分析数据发送到PHI***。该方法可以进一步包括：由ASP***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收用于生成分析数据的请求，其中，生成分析数据可以是响应于从基于处理器的客户端设备接收到生成分析数据的请求而进行的。生成分析数据可以包括：生成报告或次级捕获对象中的至少一个，并且将生成的分析数据发送到PHI***可以包括：通过至少一个通信网络向PHI***发送报告或次级捕获对象中的至少一个，以存储在与PHI***通信耦接的至少一个非暂时性处理器可读存储介质上。该方法可以进一步包括：由PHI***的至少一个处理器通过至少一个通信网络向基于处理器的客户端设备提供可用研究的列表；由PHI***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对列表中的可用研究中的至少一个的选择。该方法可以进一步包括：由PHI***的至少一个处理器通过至少一个通信网络向ASP***周期性地发送对更新的检查；由ASP***的至少一个处理器确定是否需要对PHI***进行任何更新；响应于确定需要对PHI***进行至少一次更新，由ASP的至少一个处理器通过至少一个通信网络向PHI***发送更新数据。

一种操作医学分析平台的分析服务提供者(ASP)***的方法，该医学分析平台包括ASP***和受保护的健康信息(PHI)***，该PHI***将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上，该方法可以总结为包括：由ASP***的至少一个处理器将去标识的医学研究数据存储在ASP***的至少一个非暂时性处理器可读存储介质上；并由ASP***的至少一个处理器通过至少一个通信网络将所请求的医学研究的去标识的医学研究数据发送到基于处理器的客户端设备，以便由基于处理器的客户端设备通过至少一个通信网络将该去标识的医学研究数据与基于处理器的客户端设备从PHI***接收到的PHI数据合并。

该方法可以进一步包括：由ASP***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对PHI访问令牌的请求；由ASP***的至少一个处理器通过至少一个通信网络向基于处理器的客户端设备发送加密的PHI访问令牌；由ASP***的至少一个处理器通过至少一个通信网络从PHI***接收加密的PHI访问令牌；由ASP***的至少一个处理器验证接收到的加密的PHI访问令牌；以及由ASP***的至少一个处理器通知PHI***PHI访问令牌有效。该方法可以进一步包括：由ASP***的至少一个处理器通过至少一个通信网络从PHI***接收去标识的医学研究数据。该方法可以进一步包括：由ASP***的至少一个处理器生成与去标识的医学研究数据有关的分析数据；以及由ASP***的至少一个处理器通过至少一个通信网络将生成的分析数据发送到PHI***。该方法可以进一步包括：由ASP***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对生成分析数据的请求，其中，生成分析数据可以响应于从基于处理器的客户端设备接收到对生成分析数据的请求。生成分析数据可以包括：生成报告或次级捕获对象中的至少一个，并且将生成的分析数据发送到PHI***可以包括：通过至少一个通信网络向PHI***发送报告或次级捕获对象中的至少一个，以存储在与PHI***通信耦接的至少一个非暂时性处理器可读存储介质上。该方法可以进一步包括：由ASP***的至少一个处理器通过至少一个通信网络周期性地从PHI***接收对更新的检查；由ASP***的至少一个处理器确定是否需要对PHI***进行任何更新；以及响应于确定需要对PHI***进行至少一次更新，由ASP的至少一个处理器通过至少一个通信网络向PHI***发送更新数据。该方法可以进一步包括：由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从PHI***接收PHI数据；由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收去标识的医学研究数据；由基于处理器的客户端设备中的至少一个处理器将PHI数据和去标识的医学研究数据合并以生成重新标识的医学研究数据；以及由基于处理器的客户端设备的至少一个处理器将重新标识的医学研究数据呈现给基于处理器的客户端设备的用户。

一种医学分析平台的分析服务提供者(ASP)***，该医学分析平台包括ASP***和受保护的健康信息(PHI)***，该PHI***将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上，该ASP***可以总结为包括：至少一个非暂时性处理器可读存储介质，其存储处理器可执行指令或数据中的至少一种；以及至少一个处理器，其可通信地耦接到至少一个非暂时性处理器可读存储介质，在操作中，至少一个处理器：将去标识的医学研究数据存储在至少一个非暂时性处理器可读存储介质上；以及通过至少一个通信网络将所请求的医学研究的去标识的医学研究数据发送到基于处理器的客户端设备，以便由基于处理器的客户端设备通过至少一个通信网络将该去标识的医学研究数据与基于处理器的客户端设备从PHI***接收到的PHI数据合并。

该至少一个处理器可以：通过至少一个通信网络从基于处理器的客户端设备接收对PHI访问令牌的请求；通过至少一个通信网络将加密的PHI访问令牌发送到基于处理器的客户端设备；通过至少一个通信网络从PHI***接收加密的PHI访问令牌；验证收到的加密的PHI访问令牌；以及通过至少一个通信网络通知PHI***PHI访问令牌有效。该至少一个处理器可以：通过至少一个通信网络从PHI***接收去标识的医学研究数据。该至少一个处理器可以：生成与去标识的医学研究数据有关的分析数据；并通过至少一个通信网络将生成的分析数据发送到PHI***。该至少一个处理器可以：通过至少一个通信网络从基于处理器的客户端设备接收对生成分析数据的请求，其中，响应于从基于处理器的客户端设备接收到对生成分析数据的请求，至少一个处理器可以生成分析数据。分析数据可以包括报告或次级捕获对象中的至少一个，并且至少一个处理器可以：通过至少一个通信网络向PHI***发送报告或次级捕获对象中的至少一个，以存储在与PHI***通信耦接的至少一个非暂时性处理器可读存储介质上。该至少一个处理器可以：通过至少一个通信网络周期性地从PHI***接收对更新的检查；确定是否需要对PHI***进行任何更新；响应于确定PHI***需要至少一次更新，通过至少一个通信网络向PHI***发送更新数据。

一种操作医学分析平台的受保护健康信息(PHI)***的方法，该医学分析平台包括PHI***和分析服务提供者(ASP)***，该ASP***将去标识的医学研究数据存储在ASP***的至少一个非暂时性处理器可读存储介质上，该方法可以总结为包括：由PHI***的至少一个处理器将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上；并由PHI***的至少一个处理器通过至少一个通信网络将所请求的医学研究的PHI数据发送到基于处理器的客户端设备，以由基于处理器的客户端设备将该PHI数据与基于处理器的客户端设备通过至少一个通信网络从ASP***接收到的去标识的医学研究数据合并。

该方法可以进一步包括：由PHI***的至少一个处理器从基于处理器的客户端设备接收对医学研究的PHI数据的请求，该请求包括加密的PHI访问令牌；由PHI***的至少一个处理器通过至少一个通信网络向ASP***发送加密的PHI访问令牌，以进行验证；由PHI***的至少一个处理器从ASP***接收PHI访问令牌有效的通知。该方法可以进一步包括：由PHI***的至少一个处理器接收包括PHI数据的医学研究数据；由PHI***的至少一个处理器从医学研究数据中去除PHI数据，以生成去标识的医学研究数据；由PHI***的至少一个处理器将PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质中；以及由PHI***的至少一个处理器通过至少一个通信网络将去标识的医学研究数据发送给ASP***。接收包括PHI数据的医学研究数据可以包括从扫描仪接收医学成像数据。将去标识的医学研究数据发送到ASP***可以包括：使用代表性状态传输(REST)应用编程接口将去标识的医学研究数据发送到ASP***。从医学研究数据中去除PHI数据可以包括：由PHI***的至少一个处理器去除允许删除的字段；以及通过PHI***的至少一个处理器，用混淆的替换数据替换不允许删除的字段中的数据。该方法可以进一步包括：通过PHI***的至少一个处理器，将唯一标识符与医学研究的医学研究数据相关联；由PHI***的至少一个处理器将唯一标识符存储在PHI***的至少一个非暂时性处理器可读存储介质中；由PHI***的至少一个处理器通过至少一个通信网络将唯一标识符与医学研究的去标识的医学数据一起的发送给ASP***。该方法可以进一步包括：由PHI***的至少一个处理器通过至少一个通信网络从ASP***接收与去标识的医学研究数据有关的分析数据；以及由PHI***的至少一个处理器将接收到的分析数据存储在与PHI***通信地耦接的至少一个非暂时性处理器可读存储介质上。该方法可以进一步包括：由PHI***的至少一个处理器通过至少一个通信网络向基于处理器的客户端设备提供可用研究的列表；由PHI***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对列表中的可用研究中的至少一个的选择。该方法可以进一步包括：由PHI***的至少一个处理器通过至少一个通信网络发送对向ASP***周期性地发送对更新的检查；以及由PHI***的至少一个处理器通过至少一个通信网络从ASP***接收更新数据。该方法可以进一步包括：由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从PHI***接收PHI数据；由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收去标识的医学研究数据；由基于处理器的客户端设备中的至少一个处理器将PHI数据和去标识的医学研究数据合并以生成重新标识的医学研究数据；以及由基于处理器的客户端设备的至少一个处理器将重新标识的医学研究数据呈现给基于处理器的客户端设备的用户。

一种医学分析平台的受保护的健康信息(PHI)***，该医学分析平台包括PHI***和分析服务提供者(ASP)***，该ASP***将去标识的医学研究数据存储在ASP***的至少一个非暂时性处理器可读的存储器上，该PHI***可以总结为包括：至少一个非暂时性处理器可读存储介质，其存储处理器可执行指令或数据中的至少一种；以及至少一个处理器，其可通信地耦接到至少一个非暂时性处理器可读存储介质，在操作中，至少一个处理器：将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上；并通过至少一个通信网络将所请求的医学研究的PHI数据发送到基于处理器的客户端设备，以由基于处理器的客户端设备将该PHI数据与基于处理器的客户端设备通过至少一个通信网络从ASP***接收到的去标识的医学研究数据合并。

该至少一个处理器可以：从基于处理器的客户端设备接收对医学研究的PHI数据的请求，该请求包括加密的PHI访问令牌；通过至少一个通信网络将加密的PHI访问令牌发送到ASP***以进行验证；以及从ASP***接收PHI访问令牌有效的通知。该至少一个处理器可以：接收包括PHI数据的医学研究数据；从医学研究数据中去除PHI数据以生成去标识的医学研究数据；将PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质中；以及通过至少一个通信网络将去标识的医学研究数据发送到ASP***。该医学研究数据可以包括来自扫描仪的医学成像数据。该至少一个处理器可以使用代表性状态传输(REST)应用编程接口将去标识的医学研究数据发送到ASP***。该至少一个处理器可以：去除允许删除的医学研究数据字段；并用混淆的替换数据替换不允许删除的医学研究数据字段中的数据。该至少一个处理器可以：将唯一标识符与医学研究的医学研究数据相关联；将唯一标识符存储在PHI***的至少一个非暂时性处理器可读存储介质中；以及通过至少一个通信网络将唯一标识符与医学研究的去标识的医学数据的一起发送到ASP***。该至少一个处理器可以：通过至少一个通信网络从ASP***接收与去标识的医学研究数据有关的分析数据；以及将接收到的分析数据存储在与PHI***通信地耦接的至少一个非暂时性处理器可读存储介质上。该至少一个处理器可以：通过至少一个通信网络向基于处理器的客户端设备提供可用研究的列表；以及通过至少一个通信网络从基于处理器的客户端设备接收对列表中的可用研究中的至少一个的选择。该至少一个处理器可以：通过至少一个通信网络向ASP***周期性地发送对更新的检查；以及通过至少一个通信网络从ASP***接收更新数据。

一种操作与组织相关联的基于处理器的***的方法，可以总结为包括：对于多个DICOM(医学数字成像和通信)研究中的每一个，由至少一个处理器获得DICOM研究中存在的多个公共标识字段；由至少一个处理器获得组织秘密密钥；由至少一个处理器将多个公共标识字段与组织秘密密钥组合；由至少一个处理器使用组合的公共标识字段和组织秘密密钥生成加密哈希；以及由至少一个处理器将加密哈希发送到远程服务。

获得多个公共标识字段可以包括：获得由组织选择的多个公共标识字段。获得多个公共标识字段可以包括：获得多个默认公共标识字段，该默认公共标识字段指示患者标识符和组织名称。获得组织秘密密钥可以包括：获得唯一于组织的密钥。生成加密哈希可以提供对所有相关研究共有的唯一标识符。

操作与组织相关联的基于处理器的***的方法可以进一步包括：由远程服务的至少一个处理器接收加密哈希；以及由远程服务的至少一个处理器将加密哈希与从与该组织相关联的基于处理器的***接收到的去标识的数据分开存储。

该操作与组织相关联的基于处理器的***的方法可以进一步包括：对于先前已为其生成密钥的多个DICOM研究中的每一个，由至少一个处理器获得DICOM研究中存在的不同的多个公共标识字段，该不同的多个公共标识字段中的至少一个与先前用于生成DICOM研究的秘密密钥的至少一个公共标识字段不同；由至少一个处理器获得组织秘密密钥；由至少一个处理器将不同的多个公共标识字段与组织秘密密钥组合；由至少一个处理器使用所组合的不同的多个公共标识字段和组织秘密密钥来生成不同的加密哈希；以及由至少一个处理器将不同的加密哈希发送给远程服务。

操作与组织相关联的基于处理器的***的方法可以进一步包括：对于多个DICOM研究中的每个研究，不时地为DICOM研究计算加密哈希；将计算得出的密码哈希与DICOM研究或相关DICOM研究(如果有)的先前存储的加密哈希进行比较；并响应于比较的加密哈希不同，或者响应于先前没有为DICOM研究或相关DICOM研究存储的密码哈希，将新创建的加密哈希发送到远程服务器。

该操作与组织相关联的基于处理器的***的方法可以进一步包括：由至少一个与该组织相关联的处理器不时地向该去除服务器发送查询，以获得该组织的公共标识字段。

一种基于处理器的***可以总结为包括：至少一个非暂时性处理器可读存储介质，其存储处理器可执行指令或数据中的至少一种；以及至少一个处理器，其可通信地耦接到至少一个非暂时性处理器可读存储介质，在操作中，至少一个处理器实施一种操作与组织相关联的基于处理器的***的方法。

一种操作医学分析平台的方法，该医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，该方法可以总结为包括：由ASP***的至少一个处理器将去标识的医学研究数据存储在ASP***的至少一个非暂时性处理器可读存储介质上；由PHI***的至少一个处理器将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上；由ASP***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对医学研究的请求；由ASP***的至少一个处理器认证从基于处理器的客户端设备接收到的对医学研究的请求；由ASP***的至少一个处理器通过至少一个通信网络从PHI***请求与所请求的医学研究相关联的PHI数据；响应于该请求，由PHI***的至少一个处理器通过至少一个通信网络将所请求的PHI数据发送到所述ASP***；由ASP***的至少一个处理器通过至少一个通信网络从PHI***接收PHI数据；由ASP***的至少一个处理器通过至少一个通信网络向发出请求的基于处理器的客户端设备发送所接收到的PHI数据；以及由ASP***的至少一个处理器通过至少一个通信网络将所请求的医学研究的去标识的医学研究数据发送到基于处理器的客户端设备。

从PHI***请求与所请求的医学研究相关联的PHI数据可以包括：由ASP***的至少一个处理器向PHI***的服务器发送对与所请求的医学研究相关联的PHI数据的HTTPS长轮询请求。PHI***的服务器可以将请求保持打开，直到与所请求的医学研究相关联的PHI数据可用为止。将所请求的PHI数据发送到ASP***可以是响应于发送到PHI***的服务器的HTTPS长轮询请求而进行的。

将所请求的PHI数据发送到ASP可以包括：响应于从ASP***发送到PHI***的服务器的HTTPS长轮询请求，由PHI***的至少一个处理器将所请求的PHI数据发送到ASP***。而且，响应于从PHI***接收到PHI数据，由ASP***的至少一个处理器可以通过至少一个通信网络立即向PHI***发送对来自PHI***的新的PHI数据的另一个HTTPS长轮询请求。

将接收到的PHI数据发送到发出请求的基于客户端处理器的设备可以包括：将接收到的PHI数据发送到发出请求的基于客户端处理器的设备，而无需ASP***持久存储PHI数据。同样，将接收到的PHI数据发送到发出请求的基于客户端处理器的设备可以包括：将接收到的PHI数据发送到发出请求的基于客户端处理器的设备，而无需ASP***解密接收到的PHI数据。

操作医学分析平台的方法，该医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，该方法可以进一步包括：由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收PHI数据；由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收去标识的医学研究数据；由基于处理器的客户端设备中的至少一个处理器将PHI数据和去标识的医学研究数据合并以生成重新标识的医学研究数据；以及由基于处理器的客户端设备的至少一个处理器将重新标识的医学研究数据呈现给基于处理器的客户端设备的用户。

操作医学分析平台的方法，该医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，该方法可以进一步包括：由PHI***的至少一个处理器接收包括PHI数据的医学研究数据；由PHI***的至少一个处理器从医学研究数据中去除PHI数据，以生成去标识的医学研究数据；由PHI***的至少一个处理器将PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质中；以及由PHI***的至少一个处理器通过至少一个通信网络向ASP***发送去标识的医学研究数据。

接收包括PHI数据的医学研究数据可以包括从扫描仪接收医学成像数据。从医学研究数据中去除PHI数据可以包括：由PHI***的至少一个处理器去除允许删除的字段；以及通过PHI***的至少一个处理器，用混淆的替换数据替换不允许删除的字段中的数据。

一种操作医学分析平台的方法，该医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，该方法可以进一步包括：通过PHI***的至少一个处理器，将唯一标识符与医学研究的医学研究数据相关联；由PHI***的至少一个处理器将唯一标识符存储在PHI***的至少一个非暂时性处理器可读存储介质中；由PHI***的至少一个处理器通过至少一个通信网络将唯一标识符与医学研究的去标识的医学数据发送给ASP***。

该操作医学分析平台的方法，该医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，该方法可以进一步包括：由ASP***的至少一个处理器生成与去标识的医学研究数据有关的分析数据；以及由ASP***的至少一个处理器通过至少一个通信网络将生成的分析数据发送到PHI***。

一种操作医学分析平台的分析服务提供者(ASP)***的方法，该医学分析平台包括ASP***和受保护的健康信息(PHI)***，该PHI***将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上，其可以总结为：由ASP***的至少一个处理器将去标识的医学研究数据存储在ASP***的至少一个非暂时性处理器可读存储介质上；由ASP***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对医学研究的请求；由ASP***的至少一个处理器对从基于处理器的客户端设备接收到的对医学研究的请求进行认证；由ASP***的至少一个处理器通过至少一个通信网络从PHI***请求与所请求的医学研究相关联的PHI数据；响应于该请求，由ASP***的至少一个处理器通过至少一个通信网络从PHI***接收PHI数据；由ASP***的至少一个处理器在不访问PHI数据的内容的情况下，通过至少一个通信网络将接收到的PHI数据发送到发出请求的基于客户端处理器的设备；以及由ASP***的至少一个处理器通过至少一个通信网络将请求的医学研究的去标识的医学研究数据发送到基于处理器的客户端设备。

操作医学分析平台的分析服务提供者(ASP)***的方法，该医学分析平台包含ASP***和受保护的健康信息(PHI)***，PHI***将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上，可以进一步包括：由ASP***的至少一个处理器通过至少一个通信网络从PHI***接收去标识的医学研究数据。

操作医学分析平台的分析服务提供者(ASP)***的方法，该医学分析平台包含ASP***和受保护的健康信息(PHI)***，PHI***将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上，可以进一步包括：由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收PHI数据；由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收去标识的医学研究数据；由基于处理器的客户端设备中的至少一个处理器将PHI数据和去标识的医学研究数据合并以生成重新标识的医学研究数据；以及由基于处理器的客户端设备的至少一个处理器将重新标识的医学研究数据呈现给基于处理器的客户端设备的用户。

从PHI***请求与所请求的医学研究相关联的PHI数据可以包括：由ASP***的至少一个处理器向PHI***的服务器发送对与所请求的医学研究相关联的PHI数据的HTTPS长轮询请求，该请求保持打开，直到与所请求医学研究相关的PHI数据可用为止。从PHI***接收到的PHI数据可以响应于发送到PHI***的服务器的HTTPS长轮询请求。

响应于从PHI***接收到PHI数据，由ASP***的至少一个处理器立即向PHI***发送对来自PHI***的新的PHI数据的另一个HTTPS长轮询请求，该请求保持打开，直到来自PHI***的新的PHI数据可用为止。

一种操作与组织相关联的基于处理器的***的方法，其可以总结为：对于DICOM(医学数字成像和通信)研究的多个部分中的每个部分：由至少一个处理器，从DICOM研究的部分获得唯一地标识DICOM研究的研究实例唯一标识符；由至少一个处理器基于研究实例唯一标识符生成哈希；由至少一个处理器基于所生成的哈希来生成混淆的研究实例唯一标识符；由至少一个处理器通过至少用混淆的研究实例唯一标识符替换DICOM研究的部分中的研究实例唯一标识符来对DICOM研究的部分去标识；由至少一个处理器从DICOM研究的部分中提取受保护的健康信息(PHI)；由至少一个处理器存储从DICOM研究的部分中提取的PHI；以及存储研究实例唯一标识符、混淆的研究实例唯一标识符与DICOM研究的一部分之间的至少一个关联。

该操作与组织相关联的基于处理器的***的方法可以进一步包括：由至少一个处理器接收对与混淆的研究实例唯一标识符相关联的PHI的请求；以及响应对PHI数据的请求：将DICOM研究标识为与混淆的研究实例唯一标识符相关联；对于DICOM研究的多个部分中的每个部分：由至少一个处理器基于研究实例唯一标识符、混淆的研究实例唯一标识符与DICOM研究的部分之间的至少一个关联，来标识与DICOM研究的部分相关联的所存储的PHI；由至少一个处理器提取所存储的且与DICOM研究的一部分相关联的PHI；以及由至少一个处理器将提取的PHI与先前提取的与DICOM研究的多个部分的其他部分相关联的PHI合并；以及由至少一个处理器提供所合并的PHI以用于DICOM研究。

操作与组织相关联的基于处理器的***的方法可以进一步包括：由至少一个处理器随着单独的上传和不同的时间接收DICOM研究的多个部分中的每个部分。

将提取的PHI与先前提取的与DICOM研究的多个部分的其他部分相关联的PHI合并可以包括：确定何时上传DICOM研究的多个部分中的每个部分的时序顺序；以及在用于DICOM研究的所合并的PHI中，至少一个处理器利用对应的后续上传的PHI覆盖先前提取的PHI。

操作与组织相关联的基于处理器的***的方法可以进一步包括：由至少一个处理器接收标识DICOM研究的多个部分中的一个部分的查询，该查询包括用于搜索所标识的DICOM研究的多个部分中的一个部分的参数；响应于该查询：由至少一个处理器基于参数搜索与所标识的DICOM研究的多个部分中的一个部分相关联的PHI；以及由至少一个处理器基于参数提供与所标识的DICOM研究的多个部分中的一个部分相关联的PHI。

DICOM研究的多个部分中的至少一个部分可以包括DICOM元数据，并且DICOM研究的多个部分中的至少另一部分可以包括对同一DICOM元数据的更新。DICOM研究的多个部分中的至少一个部分可以包括DICOM元数据，并且DICOM研究的多个部分中的至少另一部分可以包括对DICOM研究的DICOM元数据的添加。DICOM研究的多个部分中的至少一个部分可以包括DICOM元数据，并且DICOM研究的多个部分中的至少另一部分可以包括对DICOM研究的DICOM元数据的添加。DICOM研究的多个部分中的至少一个部分可以包括与DICOM研究相关联的患者年龄，并且DICOM研究的多个部分中的至少另一部分可以包括对与DICOM研究相关联的患者年龄的更新。DICOM研究的多个部分中的至少一个部分可以包括用于DICOM研究的系列水平数据，并且DICOM研究的多个部分中的至少另一部分可以包括用于DICOM研究的附加系列水平数据。

一种基于处理器的***，包括：至少一个非暂时性处理器可读存储介质，其存储处理器可执行指令或数据中的至少一种；以及至少一个处理器，其可通信地耦接到至少一个非暂时性处理器可读存储介质，在操作中，至少一个处理器实施根据本文公开的方法中的任一方法。

一种非暂时性计算机可读存储介质，其上存储有处理器可执行指令，当处理器可执行指令被执行时，可使至少一个计算机处理器执行本文公开的方法中的任一方法。

附图说明

在附图中，相同的附图标记表示相似的元件或动作。附图中元件的大小和相对位置不一定按比例绘制。例如，各个元件的形状和角度不一定按比例绘制，其中一些元件可能被任意放大和定位以提高附图的易读性。另外，所绘制的元件的特定形状不一定旨在传递关于该特定元件的真实形状的任何信息，选择该特定形状可能仅仅是为了便于在附图中识别。

图1是根据一个示出的实施例的联网环境的示意图，该联网环境包括至少一个MRI采集***和至少一个图像处理***，MRI采集***位于临床环境中，图像处理***位于远离MRI采集***的位置并通过一个或更多个网络与其通信地耦接。

图2是根据一个示出的实施例的MRI采集***以及MRI图像处理和分析***的功能框图，其中MRI图像处理和分析***提供MRI图像处理和分析服务。

图3A-3B是根据一个示出的实施例的可由至少一个处理器执行的示例性推送过程的流程图。

图4A-4B是根据一个示出的实施例的可由至少一个处理器执行的监控伪像和存档的示例过程的流程图。

图5是根据一个示出的实施例的PHI服务管线的示意图。

图6是根据一个示出的实施例的图5的PHI服务的示意图，示出了医疗提供者的网络内保持有的PHI数据通过分析服务提供者(ASP)的Web应用程序与来自ASP***的像素数据的合并。

图7是根据一个示出的实施例的图5的PHI服务的示意图，示出了从DICOM文件剥离PHI数据。

图8是根据一个示出的实施例的PHI服务的示意图，示出了用户操作Web应用来请求ASP***将报告存储在用户的组织的已注册PACS服务器。

图9是根据一个示出的实施方式的PHI服务的示意图，示出了PHI服务的PHI服务器如何处理DICOM文件。

图10是根据一个示出的实施例的PHI服务的示意图，示出了如何组织PHI服务依赖关系。

图11A-11B是根据一个示出的实施例的***序列图，其示出了用于PHI服务的启动顺序的过程。

图12是根据一个示出的实施例的实现PHI服务的去标识服务的过程的流程图。

图13A-13B是根据一个示出的实施例的PHI服务的推送器或上传器服务的过程的流程图。

图14A-14B是根据一个示出的实施例的web浏览器重标识过程的***序列图。

图15A-15B是根据一个示出的实施例的实施伪像重标识过程的***序列图。

图16是根据一个示出的实施例的与图5所示的PHI服务管线集成的受信代理人服务(TBS)***的示意图。

图17是根据一个示出的实施例的上传器、ASP***和TBS***的示意图，其示出了TBS***如何执行对基于加密数据的上传。

图18是根据一个示出的实施例的终端用户***、ASP***和TBS***的示意图，其示出了TBS***如何执行对基于加密数据的下载。

图19是根据一个示出的实施例的上传器、ASP***和TBS***的示意图，其示出了TBS***如何执行基于访问数据的上传。

图20是根据一个示出的实施例的终端用户***、ASP***和TBS***的示意图，其示出了TBS***如何执行基于访问数据的下载。

图21是示出根据一个示出的实施例的操作医学分析平台的分析服务提供者(ASP)***的过程的流程图。

图22是示出根据一个示出的实施例的操作医学分析平台的受信代理人服务(TBS)***的过程的流程图。

图23是示出根据一个示出的实施例的操作医学分析平台的医学研究数据上传器(MSDU)***的过程的流程图。

图24是示出根据一个示出的实施例的操作医学分析平台的过程的流程图，该医学分析平台包括医学研究数据上传器(MSDU)***、分析服务提供者(ASP)***和受信代理人服务(TBS)***。

图25是根据一个示出的实施例的跟踪完全去标识的医学研究的***的示意性框图。

图26是根据一个示出的实施例的PHI服务的启动操作的流程图。

图27是根据一个示出的实施例的对组织设置过程的改变的流程图。

图28是根据一个示出的实施例的在扫描新研究后实现的过程的流程图。

图29是根据一个示出的实施例的操作医学分析平台的分析服务提供者(ASP)***和受保护的健康信息(PHI)***的流程图。

图30是根据一个示出的实施例的操作医学分析平台的ASP***以访问PHI的过程的流程图。

图31是根据一个示出的实施例的操作与组织相关联的基于处理器的***以存储PHI的过程的流程图。

图32是根据一个示出的实施例的操作与组织相关联的基于处理器的***以提供合并的PHI的过程的流程图。

具体实施方式

在以下描述中，阐述了一些具体细节以提供对各个公开的实施例的充分理解。但是，相关领域的技术人员会认识到，可以在没有这些具体细节中的一个或更多个细节的情况下实践实施例，或者利用其他方法、部件、材料等实践实施例。在其他实例中，没有详细示出或描述与MRI机、计算机***、服务器计算机和/或通信网络相关联的众所周知的结构，以避免不必要地混淆对实施例的描述。

除非上下文另有需要，否则在整个本说明书和权利要求书中，词语“包括”及其变化形式，例如“包括：”和“包括…”与“包含”同义，并且是包括性的或者开放式(即，不排除另外的未记载的元件或者方法动作)。

在本说明书全文中，提到“一个实施例”或者“实施例”时，指的是结合该实施例描述的特定特征、结构或者特性包含在至少一个实施例中。因此，在本说明书全文中多个地方出现的短语“在一个实施例中”或者“在实施例中”不一定都是指同一实施例。此外，特定特征、结构或者特性可以以任何合适的方式结合在一个或更多个实施例中。

除非内容另有明确指示，否则在本说明书和所附权利要求书中使用的单数形式“一”、“一个”、“该”包括多个所表示的对象。还应注意，除非内容另有明确指示，否则术语“或者”通常用来包括“和/或”的意义。

本文中提供的公开内容的标题和摘要仅是为了方便，而不是对实施例的范围或意义进行解释。

本文中描述的许多实施方式利用了4-D流MRI数据集，其基本上捕获了一段时间内的针对三维(3D)体积的MRI幅值和相位信息。该方法可以允许捕获或采集MRI数据集，而无需屏气或者同步或门控患者的心动周期或肺循环。而是，捕获或采集MRI数据集，并且利用图像处理和分析来得出期望的信息，例如通过基于心动周期和肺循环重新组合所采集的信息。这实质上是将通常为时间密集型的采集操作推向了图像处理和分析阶段。作为简化的类推，在一些方面，这可以被认为是在不关注患者的肺循环或心动周期的情况下捕获解剖结构(例如，胸、心脏)的影像，对所捕获的影像进行处理以将由肺循环和心动周期引发的相对运动考虑在内。所捕获的信息包括指示解剖结构的幅值信息和指示速度的相位信息。相位信息允许区分静态与非静态组织，例如允许将非静态组织(例如，血液、空气)与静态组织(例如，脂肪、骨骼)区分开。相位信息还允许将某些非静态组织(例如，空气)与其他非静态组织(例如，血液)区分开。这可以有利地允许自动或甚至自主地在组织之间进行分割，和/或将动脉血流与静脉血流区分开。这可以有利地允许自动或甚至自主地生成可以叠加到解剖信息上的流可视化信息。这还可以有利地允许自动或甚至自主地进行流量化，标识异常和/或验证结果。

工作流程可以大致分为三部分，依次为：1)图像采集，2)图像重构，以及3)图像处理或后处理及分析。可替代地，工作流程可以分为：1)操作的，2)预处理，以及3)可视化及量化。

图像采集可以包括确定、限定、生成或设置一个或更多个脉冲序列，该一个或更多个脉冲序列用于使MRI机(例如控制磁体)运行并采集原始的MRI。使用4D流脉冲序列不仅允许捕获由幅值表示的解剖结构，而且允许捕获由相位表示的速度。在本文描述的方法或技术中的至少一个中，特定于患者的4D脉冲序列的生成发生在图像采集部分期间或者是图像采集部分的一部分。图像重构可以例如采用快速傅里叶变换，并且产生通常以与DICOM标准兼容的形式的MRI数据集。常规地，图像重构是计算密集型的，其通常依赖于超级计算机。对此的需求对于许多医疗设施而言是显著的负担。本文所述的方法和技术中的许多发生在图像处理器或后处理和分析期间或作为其一部分。这能够包括误差检测和/或误差校正、分割、可视化(包括流相关信息与解剖结构的图像的融合)、量化、对包括分流的异常的标识、验证(包括对伪数据的标识)。可替代地，误差检测和/或误差校正可以在预处理部分期间进行。

图1示出了根据一个示出的实施例的联网环境100，其中，一个或更多个MRI采集***102(示出了一个)经由一个或更多个网络106a、106b(示出了两个，统称为106)通信地耦接到至少一个图像处理和分析***104。

MRI采集***102通常位于临床设施处，例如医院或专用医学成像中心。如本文解释的，各种技术和结构可以有利地允许图像处理和分析***104远离MRI采集***102定位。图像处理和分析***104可以例如位于另一建筑物、城市、州、省乃至国家。

MRI采集***102可以例如包括MRI机108、计算机***110和MRI操作员***112。MRI机108可以包括主磁体114，该主磁体通常是具有中心孔或纵向孔116的环形线圈阵列。主磁体108能够产生强的稳定磁场(例如0.5特斯拉至2.0特斯拉)。孔116的尺寸被确定成容纳待成像对象(例如人体118)的至少一部分。用于医学成像应用时，MRI机108通常包括患者台120，患者台允许使俯卧患者118被容易地滑入或滚入以及滑出或滚出孔116。

MRI机还包括一组梯度磁体122(仅示出一个)。梯度磁体122产生比主磁体114所产生的磁场相对小的可变磁场(例如，180高斯至270高斯)，以允许对对象(例如患者)的选定部分成像。

MRI机108还包括射频(RF)线圈124(仅示出一个)，RF线圈***作来向待成像对象(例如，患者118)的选定部分施加射频能。不同的RF线圈124可以用来对不同的结构(例如解剖结构)进行成像。例如，一组RF线圈124可以适用于对患者颈部进行成像，而另一组RF线圈124可以适用于对患者的胸部或者心脏进行成像。MRI机108通常包括另外的磁体，例如电阻式磁体和/或永磁体。

MRI机108通常包括或者通信地耦接到用于控制磁体和/或线圈114、122、124的基于处理器的MRI控制***126。基于处理器的控制***126可以包括一个或更多个处理器、非暂时性计算机可读或处理器可读存储器、驱动电路和/或与MRI机108接口的接口部件。在一些实施方式中，基于处理器的控制***126还可以对由MRI操作产生的数据执行一些预处理。

MRI操作员***128可以包括：计算机***130；监视器或显示器132；小键盘和/或键盘134；和/或光标控制设备136，例如鼠标、操纵杆、触控板、轨迹球等。MRI操作员***128可以包括或者读取来自一个或更多个非暂时性计算机可读或处理器可读介质(例如，诸如磁盘或光盘之类的旋转介质138)的计算机可执行或处理器可执行指令。操作员***128可以允许技术人员操作MRI机108以捕获来自患者118的MRI数据。本文描述的各种技术、结构和特征可以允许技术人员操作MRI机108而不需要临床医师或内科医师在场。这样可以有利地显著降低MRI程序的成本。仍如本文所述，各种技术、结构和特征与利用常规技术相比，可以允许更加快速地执行MRI程序。这可以有利地允许每个MRI设施具有更高的吞吐量，从而通过大量程序来摊分资本密集型设备的成本。例如，高计算能力计算机可以远离临床环境定位，并且可以为多个医疗设施提供服务。本文所述的各种技术、结构和特征还可以附加地或者可替代地有利地缩短每位患者暴露于MRI过程的时间，减少或者减轻通常伴随着经受MRI过程的焦虑。例如，通过本文描述的图像处理和分析技术消除了对屏气和/或与患者肺循环和/或心动周期同步的需要，这可以显著地将采集时间减小至例如八分钟至十分钟。

图像处理和分析***104可以包括用以处理进入的请求和响应的一个或更多个服务器139，以及一个或更多个渲染或图像处理和分析计算机140。服务器139可以例如采用执行服务器软件或指令的一个或更多个服务器计算机、工作站计算机、超级计算机或者个人计算机的形式。一个或更多个渲染或图像处理和分析计算机140可以采用执行图像处理和/或分析软件或指令的一个或更多个计算机、工作站计算机、超级计算机或者个人计算机的形式。一个或更多个渲染或图像处理和分析计算机140通常会采用一个、优选地多个图形处理单元(GPU)或者GPU核。

图像处理和分析***104可以包括存储处理器可执行指令和/或数据或其他信息的一个或更多个非暂时性计算机可读介质142(例如，磁性或光学硬盘驱动器、RAID、RAM、闪存)。图像处理和分析***104可以包括一个或更多个图像处理和分析操作员***144。图像处理和分析操作员***144可以包括：计算机***146；监视器或显示器148；小键盘和/或键盘150；和/或光标控制设备152，例如鼠标、操纵杆、触控板、轨迹球等。图像处理和分析操作员***144可以经由一个或更多个网络(例如LAN154)通信地耦接到渲染或图像处理和分析计算机140。虽然许多图像处理技术和分析可以完全自动地进行，但是所述图像处理和分析操作员***可以允许技术人员对从患者处捕获的MRI数据执行特定的图像处理和/或分析操作。

虽然被图示为单个非暂时性计算机可读或处理器可读存储介质142，但是在许多实施方式中，非暂时性计算机可读或处理器可读存储介质142可以由多个非暂时性存储介质构成。该多个非暂时性存储介质通常可以位于共同的位置，或者分布在多个远程位置处。因此，可以在一个或者跨多于一个的非暂时性计算机可读或存储器可读存储介质中实现原始MRI数据、预处理后的MRI数据和/或处理后的MRI数据的数据库。这种数据库可以彼此分离地存储在单独的计算机可读或处理器可读存储介质142上，或者可以存储在同一计算机可读或处理器可读存储介质142上。计算机可读或处理器可读存储介质142可以与图像处理和分析***104共置一处，例如在同一房间、建筑物或者设施中。可替代地，计算机可读或处理器可读存储介质142可以远离图像处理和分析***104定位，例如在不同设施、城市、州或者国家中。电子或数字信息、文件或记录或其他信息集可以储存在非暂时性计算机可读或处理器可读介质142中的特定位置，因此它们是这种介质的可以连续或者可以不连续的逻辑可寻址的部分。

如上所述，图像处理和分析***104可以远离MRI采集***102定位。MRI采集***102和图像处理和分析***104能够例如经由一个或更多个通信通道(例如局域网(LAN)106a和广域网(WAN)106b)进行通信。网络106可以例如包括分组交换通信网络，例如互联网、互联网的万维网部分、外联网、和/或内联网。网络106可以采取各种其他类型的通信网络的形式，例如蜂窝电话和数据网络和普通老式电话***(POTS)网络。通信基础设施的类型不应认为是限制性的。

如图1所示，MRI采集***102通信地耦接到第一LAN 106a。第一LAN 106a可以是由临床设施操作的或者用于临床设施的网络，以为临床设施提供局域通信。第一LAN 106a通信地耦接到WAN(例如互联网)106b。第一防火墙156a可以为第一LAN提供安全性。

仍如图1所示，图像处理和分析***104通信地耦接到第二LAN 154。第二LAN 154可以是由图像处理设施或者实体操作或者用于图像处理设施或者实体的网络，以为图像处理设施或者实体提供局域通信。第二LAN 154通信地耦接到WAN 106b(例如互联网)。第二防火墙156b可以为第二LAN 154提供安全性。

图像处理设施或者实体可以独立于临床设施，例如，向一个、两个或许多临床设施提供服务的独立公司。

虽然未示出，但是通信网络可以包括一个或更多个附加的联网设备。该联网设备可以采用如下多种形式中的任何一种：服务器、路由器、网络交换机、网桥和/或调制解调器(例如，DSL调制解调器、电缆调制解调器)等。

虽然图1示出了代表性联网环境100，通常的联网环境可以包括许多附加的MRI采集***、图像处理和分析***104、计算机***、和/或实体。本文教导的构思可以以相似的方式用于比图示的更加稠密的联网环境。例如，单个实体可以向多个诊断实体提供图像处理和分析服务。诊断实体中的一个或更多个可以操作两个或更多个MRI采集***102。例如，大型医院或专用医学成像中心可以在单个设施处操作两个、三个乃至更多个MRI采集***。通常，提供图像处理和分析服务的实体会操作多个实体，该多个实体可以提供包括两个、三个乃至几百个渲染或图像处理和分析计算机140的多个图像处理和分析***104。

图2示出了联网环境200，其包括一个或更多个图像处理和分析***104(仅图示了一个)和一个或更多个相关联的非暂时性计算机可读或存储器可读存储介质204(仅图示了一个)。相关联的非暂时性计算机可读或处理器可读存储介质204经由一个或更多个通信信道通信地耦接到图像处理和分析***104，例如，经由一个或更多个并行电缆、串行电缆或者能够进行高速通信的无线信道，比如经由火线

通用串行总线

(USB)2或3、和/或雷雳接口

千兆字节以太网

等。

联网环境200还包括一个或更多个端部MRI采集***102(仅图示一个)。MRI采集***102通过一个或更多个通信信道(例如一个或更多个广域网(WAN)210，比如互联网或者其万维网部分)通信地耦接到图像处理和分析***104。

在操作中，MRI采集***102通常充当图像处理和分析***104的客户端。在操作中，图像处理和分析***104通常充当服务器，接收来自MRI采集***102的请求或信息(例如，MRI数据集)。本文描述的是采用异步命令和成像管线的整个过程，该成像管线允许从MRI采集***102远程(例如，通过WAN)执行图像处理和分析。该方法提供了诸多独特的优点，例如允许技术人员操作MRI采集***102，而不需要临床医师(例如，内科医师)在场。还描述了在允许访问医学成像数据以及特定于私人患者的健康信息的同时增强安全性的各种技术或方法。

虽然图示为图像处理和分析***远离MRI采集***102定位，但是在一些实施方式中，图像处理和分析***104可以与MRI采集***102共置一处。在其他实施方式中，本文描述的操作或功能中的一个或更多个可以由MRI采集***102来执行或者经由与MRI采集***102共置一处的基于处理器的设备来执行。

图像处理和分析***104接收MRI数据集，对MRI数据集执行图像处理，并将处理后的MRI数据集提供给例如临床医师查看。图像处理和分析***104可以例如对MRI数据集执行误差检测和/或校正，例如，相位误差校正、相位混叠检测、信号解缠，和/或对各种伪像的检测和/或校正。相位误差与相位相关，相位混叠也是如此。信号解缠与幅值相关。各种其他伪像可以与相位和/或幅值相关。

图像处理和分析***104可以例如执行分割，以区分各种组织类型。图像处理和分析***104可以例如执行量化，例如比较流入和流出闭合的解剖结构或者通过两个或更多个解剖结构的血流。图像处理和分析***104可以有利地利用量化来验证结果，例如在结果中确认对某一种组织的标识和/或提供对确定程度的指示。附加地，图像处理和分析***104可以有利地利用量化来标识分流的存在。

在一些实施方式中，图像处理和分析***104可以生成反映血流的图像，例如包括区分动脉血流和静脉血流的图像。例如，图像处理和分析***104可以采用第一颜色图(例如，蓝色)来指示动脉血流，并采用第二颜色图(例如，红色)来指示静脉血流。图像处理和分析***104可以利用一些其他区别性颜色或者视觉强调来指示像差(例如，分流)。描述了用于区分不同组织以及动脉血流和静脉血流的多种不同的技术。流可视化可以例如作为一个或更多个层叠加在解剖结构或幅值数据的视觉表示上。

在一些实施方式中，图像处理和分析***104可以生成特定于患者的4D流协议，以便针对特定患者操作MRI采集***102。这可以包括设置用于操作MRI机的适当的速度编码(VENC)。

图像处理和分析***104可以在没有人工输入的情况下自主地执行这些操作或者功能中的一个或更多个。可替代地，图像处理和分析***104可以基于人工输入来执行这些操作或者功能中的一个或更多个，其中人工输入例如是标识点、位置或平面或者标识解剖组织的特征。可以预先限定一些平面和/或视图，允许操作员、用户或临床医师简单地选择平面(例如，瓣膜平面)或者命名的视图(例如，2个腔室的视图、3个腔室的视图、4个腔室的视图)来快速且容易地获得期望的视图。

联网环境200可以采用其他计算机***和网络设备，例如附加的服务器、代理服务器、防火墙、路由器和/或网桥。本文有时会以单数的形式提及图像处理和分析***104，但这并非旨在将实施例限制成单个设备，因为在通常的实施例中，可以涉及多于一个的图像处理和分析***104。除非另有描述，否则图2中所示的各个框的结构和操作为常规设计。因此，由于相关领域的技术人员会理解这些框，所以本文不需要进一步详细地描述这些框。

图像处理和分析***104可以包括一个或更多个处理单元212a、212b(统称为212)、***存储器214、以及将各个***部件(包括***存储器214)耦接到处理单元212的***总线216。处理单元212可以是任何逻辑处理单元，例如一个或更多个中央处理单元(CPU)212a、数字信号处理器(DSP)212b、专用集成电路(ASIC)、现场可编程门阵列(FPGA)等。该***总线216能够采用任何已知的总线结构或者构架，包括具有存储器控制器的存储器总线、外设总线和/或本地总线。***存储器214包括只读存储器(“ROM”)218和随机存取存储器(“RAM”)220。能够构成ROM 218的一部分的基本输入/输出***(“BIOS”)222包含有助于例如在启动期间在图像处理和分析***104内的元件之间进行信息传递的基本例程。

图像处理和分析***104可以包括：用于读写硬盘226的硬盘驱动器224、用于读写可移动光盘232的光盘驱动器228和/或用于读写磁盘234的磁盘驱动器230。光盘232能够是CD-ROM，而磁盘234能够是磁性软盘或软磁盘。硬盘驱动器224、光盘驱动器228和磁盘驱动器230可以经由***总线216与处理单元212通信。如相关领域技术人员了解的，硬盘驱动器224、光盘驱动器228和磁盘驱动器230可以包括耦接在这些驱动器与***总线216之间的接口或控制器(未示出)。驱动器224、228和230及其相关联的计算机可读介质226、232、234为图像处理和分析***104提供了计算机可读指令、数据结构、程序模块和其他数据的非易失性存储。虽然所描绘的图像处理和分析***104图示为采用了硬盘224、光盘228和磁盘230，但是相关领域技术人员会理解可以采用能够存储可由计算机访问的数据的其他类型的计算机可读介质，例如WORM驱动器、RAID驱动器、盒式磁带、闪存卡、数字视频光盘(“DVD”)、伯努利盒式磁带、RAM、ROM、智能卡等。

***存储器214能够存储程序模块，例如操作***236、一个或更多个应用程序238、其它程序或模块240和程序数据242。应用程序238可以包括使处理器212对MRI图像数据集执行图像处理和分析的指令。例如，应用程序238可以包括使处理器212对与相位或者速度相关的数据执行相位误差校正的指令。例如，应用程序238可以包括使处理器212校正相位混叠的指令。又例如，应用程序238可以包括使处理器212执行信号解缠的指令。附加地或可替代地，应用程序238可以包括使处理器212标识和/或校正伪像的指令。

应用程序238可以包括使处理器212例如执行分割以区分各种组织类型之间的指令。应用程序238可以包括使处理器212执行量化(例如，比较流入和流出闭合的解剖结构或者通过两个或更多个解剖结构的血流)的指令。应用程序238可以包括使处理器212利用量化来验证结果(例如在结果中确认对某一种组织的标识和/或提供对确定程度的指示)的指令。应用程序238可以包括使处理器212利用量化来标识分流的存在性的指令。

应用程序238可以包括使处理器212生成反映血流(例如区分动脉血流和静脉血流)的图像的指令。例如，可以采用第一颜色图(例如，蓝色)指示动脉血流，并采用第二颜色图(例如红色)指示静脉血流。可以利用一些其他区别性颜色或视觉强调来指示像差(例如分流)。可以应用颜色传递函数来生成颜色图。应用程序238可以包括使处理器212将流的可视化(例如，指示血流速度和/或体积的MRI相位数据)叠加在解剖的可视化或渲染图像(例如MRI幅值数据)上的指令。这些指令可以使得流可视化被渲染为解剖的图像上的一个或更多个层，以提供解剖信息(即，幅值)和流信息(即，相位)的融合，例如渲染为彩色热图和/或具有方向和幅值(例如，由长度、线宽表示)的矢量(例如，箭头图标)。该指令可以附加地或者可替代地使得生成信号色散、湍流和/或压力的空间映射或可视化，其可覆盖或叠加到解剖结构的空间映射或可视化上。将与相位或速度相关的信息的可视化与解剖信息的可视化或者解剖结构的视觉表示进行融合可以促进解剖标记的标识。该指令可以利用图形处理单元或者GPU的集合或者阵列来快速地对可视化表示进行渲染。

还可以应用传递函数来确定将哪种视觉效果(例如，颜色)应用于哪种组织。例如，可以用蓝色为动脉血流着色，并且可以用红色为静脉血流着色，而脂肪组织可以着色为黄色。可以例如利用灰度等级来对用MRI图像数据集中的幅值表示的解剖结构进行可视化。视图深度可以是能够由操作员或者用户例如通过图形用户界面上的滑块控件调节的。因此，可视化可以是融合视图的形式，其有利地将速度信息的视觉表示与解剖信息或解剖表示的视觉表示进行融合。

应用程序238可以包括使处理器212生成特定于患者的4-D流协议的指令，该特定于患者的4-D流协议用于针对特定患者操作MRI采集***102。这可以基于例如技术人员提供的特定于患者的输入，并且可以基于用于捕获MRI数据集的特定MRI机。

应用程序238可以包括使处理器212接收来自MRI采集***的图像数据集，处理和/或分析该图像数据集，并以时间敏感和安全的方式将处理后和/或分析后的图像和其他信息提供给远离图像处理定位的用户。本文参照各个附图对此进行了详细的描述。

***存储器214还可以包括通信程序，例如，服务器244，其使得图像处理和分析***104通过以下描述的互联网、内联网、外联网、电信网络或其他网络提供电子信息或文件。在描绘的实施例中的服务器244是基于标记语言的，例如超文本标记语言(HTML)、可扩展标记语言(XML)或无线标记语言(WML)，并使用标记语言进行操作，其中标记语言使用添加到文档数据中的语法分隔字符来表示文档的结构。可以在市场上购得多种合适的服务器，例如Mozilla、Google、Microsoft和Apple计算机的服务器。

虽然在图2中示出为操作***、应用程序、其他程序/模块、程序数据和服务器都存储在***存储器214中，但是操作***236、应用程序238、其他程序/模块240、程序数据242和服务器244能够存储在硬盘驱动器224的硬盘226上、光盘驱动器228的光盘232上和/或磁盘驱动器230的磁盘234上。

操作员能够通过输入设备，例如触摸屏或键盘246和/或指示设备(例如鼠标248)，和/或经由图形用户界面，将命令和信息输入到图像处理和分析***104中。其他输入设备能够包括麦克风、操纵杆、游戏板、平板电脑、扫描仪等。这些和其他输入设备通过接口250，例如耦接到***总线216的串行端口接口，连接到处理单元212中的一个或更多个，但是还可以使用其他的接口，例如并行端口、游戏端口或无线接口或通用串行总线(“USB”)。监视器252或者其他显示设备通过视频接口254(例如视频适配器)耦接到***总线216。图像处理和分析***104能够包括其他输出设备，例如扬声器、打印机等。

图像处理和分析***104能够利用到一个或更多个远程计算机和/或设备的逻辑连接在联网环境200中操作。例如，图像处理和分析104能够利用到一个或更多个MRI采集***102的逻辑连接在联网环境200中操作。可以通过有线和/或无线网络架构进行通信，例如，通过有线和无线的企业范围的计算机网络、内联网、外联网和/或互联网。其他实施例可以包括其他类型的通信网络，包括电信网络、蜂窝网络、寻呼网络和其他移动网络。在图像处理和分析***104、MRI采集***102之间的通信路径中可以存在任何种类的计算机、交换设备、路由器、网桥、防火墙以及其他设备。

MRI采集***102通常会采用MRI机108以及一个或更多个相关联的基于处理器的设备的形式，例如，MRI控制***126和/或MRI操作员***128。MRI采集***102从患者捕获MRI信息或者数据集。因此，在一些情况下，MRI采集***102可以命名为前端MRI采集***或MRI捕获***，以将其与在一些实例中可以被命名为MRI后端***的MRI图像处理和分析***104区分开。本文有时会以单数形式提及MRI采集***102，但是其不旨在将实施例限制为单个MRI采集***102。在典型实施例中，可能会存在多于一个的MRI采集***102，并且在联网环境200中很可能会存在大量的MRI采集***102。

MRI采集***102可以通信地耦接到一个或更多个服务器计算机(未示出)。例如，MRI采集***102可以经由一个或更多个诊断设施服务器计算机(未示出)、路由器(未示出)、网桥(未示出)、LAN 106a(图l)等通信地耦接，其可以包括或者实施防火墙156a(图1)。服务器计算机(未示出)可以执行服务器指令集，以充当用于通过临床设施处或者场所处的LAN 106a通信地耦接的多个MRI采集***102(即客户端)的服务器，并且因此充当MRI采集***102和MRI图像处理和分析***104之间的中介。MRI采集***102可以执行客户端指令集，以充当通过WAN通信地耦接的服务器计算机的客户端。

MRI控制***126通常包括一个或更多个处理器(例如，微处理器、中央处理单元、数字信号处理器、图形处理单元)和非暂时性处理器可读存储器(例如，ROM、RAM、闪存、磁盘和/或光盘)。MRI操作员***128可以采用执行适当指令的计算机的形式，计算机例如个人计算机(例如，台式机或笔记本电脑)、上网本计算机、平板电脑、智能电话、个人数字助理、工作站计算机和/或大型机计算机等。

MRI操作员***128可以包括一个或更多个处理单元268、***存储器269和将各种***部件(包括***存储器269)耦接到处理单元268的***总线(未示出)。

处理单元268可以是任何逻辑处理单元，例如，一个或更多个中央处理单元(CPU)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、图形处理单元(GPU)等。在市场上可购买的计算机***的非限制性示例包括但不限于美国英特尔公司的80x86或奔腾系列微处理器、IBM公司的PowerPC微处理器、Sun Microsystems公司的Sparc微处理器、惠普公司的PA-RISC系列微处理器、摩托罗拉公司的68xxx系列微处理器、ATOM处理器、或A4或A5处理器。除非另外描述，否则图2所示的MRI采集***102的各种块的构造和操作为常规设计。因此，由于相关领域的技术人员会理解这些框，所以本文不需要进一步详细地描述这些框。

该***总线能够采用任何已知的总线结构或者构架，包括具有存储器控制器的存储器总线、外设总线和本地总线。***存储器269包括只读存储器(“ROM”)270和随机存取存储器(“RAM”)272。能够构成ROM 270的一部分的基本输入输出***(“BIOS”)271包含例如在启动期间在MRI采集***102内的元件之间进行信息传递的基本例程。

MRI操作员***128还可以包括用于读写计算机可读存储介质274(例如，硬盘、光盘和/或磁盘)的一个或更多个介质驱动器273(例如，硬盘驱动器、磁盘驱动器、WORM驱动器和/或光盘驱动器)。非暂时性计算机可读存储介质274可以例如采用可移动介质的形式。例如，硬盘可以采用温彻斯特(Winchester)驱动器的形式，光盘能够采用CD-ROM的形式，而磁盘能够采用磁性软盘或软磁盘的形式。介质驱动器273经由一个或更多个***总线与处理单元268通信。如相关领域技术人员了解的，介质驱动器273可以包括耦接在这些驱动器和***总线之间的接口或控制器(未示出)。介质驱动器273及其相关联的非暂时性计算机可读存储介质274为MRI采集***102提供了对计算机可读指令、数据结构、程序模块和其他数据的非易失性存储。虽然MRI操作员***被描述为采用计算机可读存储介质274(诸如硬盘、光盘和磁盘)，但是相关领域技术人员会理解，MRI操作员***128可以采用能够存储可由计算机访问的数据的其他类型的非暂时性计算机可读存储介质，例如盒式磁带、闪存卡、数字视频光盘(“DVD”)、伯努利盒式磁带、RAM、ROM、智能卡等。数据或信息(例如电子或数字文件或与此相关的数据或元数据)能够存储在非暂时性计算机可读存储介质274中。

在***存储器269中，能够存储程序模块，比如操作***、一个或更多个应用程序、其他程序或模块以及程序数据。程序模块可以包括用于访问由MRI处理和分析***104托管或提供的网站、外联网站点或其他站点或服务(例如，Web服务)和相关联的网页、其他页面、屏幕或服务的指令。

特别地，***存储器269可以包括通信程序，该通信程序允许MRI采集***102与由MRI处理和分析***104提供的MRI图像处理和/或分析服务交换电子或数字信息或文件或数据或元数据。该通信程序例如可以是Web客户端或者浏览器，其允许MRI采集***102访问信息、文件、数据和/或元数据以及与源(例如互联网、企业内联网、外联网或其他网络的网站)交换信息、文件、数据和/或元数据。这可能需要终端用户客户端具有足够的权限、许可、特权或授权以访问给定网站，例如由MRI图像处理和分析***104托管的网站。如本文所论述的，患者识别数据可以存在于由临床设施操作或者用于临床设施的***上，并且不可以由图像处理设施或图像处理设施人员操作的或用于图像处理设施或图像处理设施人员的***访问或通过该***访问。浏览器可以例如是基于标记语言的，例如超文本标记语言(HTML)、可扩展标记语言(XML)或无线标记语言(WML)，并可以使用标记语言进行操作，其中标记语言使用添加到文档数据中的语法分隔字符来表示文档的结构。

虽然操作***、应用程序、其他程序/模块、程序数据和/或浏览器被描述为存储在***存储器269中，但是操作***、应用程序、其他程序/模块、程序数据和/或浏览器能够存储在介质驱动器273的计算机可读存储介质274上。操作员能够通过输入设备，例如触摸屏或键盘276和/或指示设备277(例如鼠标)经由用户界面275将命令和信息输入到MRI操作员***128中。其他输入设备能够包括麦克风、操纵杆、游戏板、平板电脑、扫描仪等。这些和其他输入设备通过接口连接到处理单元269，该接口例如是耦接到***总线的串行端口接口，但是还可以使用其他的接口，例如并行端口、游戏端口或无线接口或通用串行总线(“USB”)。显示器或者监视器278可以经由视频接口(例如视频适配器)耦接到***总线。MRI操作员***128能够包括其他输出设备，例如扬声器、打印机等。

该MRI图像处理和分析***可以构建静态接口，该静态接口允许将各种组织类型从MRI 4D流数据集去掉或者增加到MRI 4D流数据集中。例如，可以将静态组织(例如脂肪或骨骼)与非静态组织(例如空气或流动的血液)区分开。MRI图像处理和分析***还可以自主地区分各种不同的非静态组织，例如区分空气(例如，肺)与流动的血液。此外，MRI图像处理和分析***可以区分动脉血流与静脉血流。

例如，MRI图像处理和分析***可以用快速傅里叶变换来标识血液组织，血液组织预期具有脉动的模式或波形。在比较相邻体素的速度时，空气或肺倾向于在限定的体积上具有随机出现的模式。例如，具有强的或快速的体素通常指示空气。MRI数据集可以相当大，例如256x256x256x20时间点。MRI图像处理和分析***可以根据梯度(例如，梯度下降法)来检测不同的组织类型，并且可以有利地采用数值法而不是解析解法来快速地处理相对较大的MRI数据集。通过控制数值法的有效数字的数量(例如，2)，MRI图像处理和分析***可以非常快(例如1秒而不是30分钟)地获得结果，同时仍然获得对于特定应用而言足够精确的结果。

在一些实施方式中，可以从患者MRI数据集中一次一种地去掉不同的组织类型。例如，去掉空气或肺，去掉血液，分离动脉流与静脉流，去掉骨骼，留下脂肪。值得注意的是，脂肪是静态的，因此与表示脂肪的每个体素相关联的速度应当为零。MRI图像处理和分析***可以有利地采用这一基本事实针对所有组织类型来校正MRI数据集。

如果发现脂肪类型组织的速度非零，则这能够用于调节整个数据集(例如，对于所有组织)。例如，MRI图像处理和分析***可以基于标识的区域或体积(例如脂肪或软组织)来生成或创建多项式模型。其可以是简单的多项式(例如，ax²+bx+c)或者复杂得多的多项式(例如，非有理均匀b样条)。MRI图像处理和分析***可以例如利用线性回归技术或者线性代数技术来找到拟合图像的多项式的系数。这产生MRI图像处理和分析***可以应用于(例如，从其中去掉)到整个范围而不仅是脂肪或软组织的模型。

在一个实施方式中，对仿真身体进行成像，以创建能够从实际的患者数据中去掉的参考数据集或“虚拟”模型。仿真身体可以由模拟实际身体的MRI反应的材料构成，但是不会具有血流。参考数据集或者“虚拟”模型中的相位梯度可以代表噪声(例如，随机噪声)，并且能够用于校正相位偏移。该方法有利地避免了对生成3D数据的多项式拟合的需要。所生成的参考集或虚拟模型在MRI机操作的数月期间都可以是有效的，尽管当检修或者移动MRI机时应该生成新的参考数据集或虚拟模型。

MRI图像处理和分析***可以限定用于移除不同的组织类型或者用于移除静脉血流或动脉血流的各种过滤器或掩膜。过滤器或掩膜可以移除异常血流，例如在某个合理范围外(例如，太高或太快、太慢或太低)的血流或者在不应该有血流但却有血在解剖结构(例如，骨骼)中流动的血流。过滤器或掩膜还可以被限定为仅显示其绝对值大于某一阈值的幅值的体素。过滤器或掩膜还可以被限定为仅显示其幅值和速度矢量的叉积的绝对值大于某一限定阈值的体素。此外，过滤器或掩蔽可以被定义为仅示出具有与相邻体素的矢量在相同方向的矢量的体素，以例如标识或者查看高速度射流。值得注意的是，相邻体素的速度矢量处于不同的方向上可能表示噪声。

预处理

质量守恒校正误差减少

该预处理算法的目标是校正流数据(分割、流量化和后台相位误差校正)。有3个流数据集需要校正：i)x速度，ii)y速度，和iii)z速度。由于成像伪像(例如，湍流)和噪声，流数据会有偏差。为了对此进行校正，使用质量守恒(例如，物理原理)来校正流数据。质量守恒告诉我们，一个闭合***的质量必然随时间保持恒定，因为如果没有添加或去除***质量，则***质量不能改变。因此，如果在心脏内限定边界(即心室和血管的内腔边界)，那么如果流体不可压缩，则进入固定体积的流必须与离开该体积的流相匹配。该理论能够应用于任何体积。就血流而言，假设血密度是恒定的，因此连续性方程简化成意味着速度场的散度在任何位置为零。物理上，这相当于说局部体积膨胀率为零(即，du/dx+dv/dy+dw/dz＝0)。不可能到处迫使这种情况，但是能够在所有时间点上使局部体积膨胀最小化。存在最小化du/dx+dv/dy+dw/dz的几种不同类型的算法，但最常见的算法是将生成流场的最小二乘无散度近似。有几种方法可以利用使散度最小化的约束来构造流场的最小二乘近似，以及几种不同的算法来实现这一点。

通常涉及迭代方法，其试图将每次通过时的残余散度最小化。此外，知道血管/腔室的确切边界对于确保通过边界的零通量很重要。如果没有所述边界，流可能被允许逸出进入心脏肌肉和脂肪。此外，图像中可能存在伪像(即，由湍流引起的)。如果用户标识了存在伪像的(“坏数据”)区域，则不使用该区域防止影响“好数据”区域中的速度值校正。

解决这个问题的另一方法是使用优化：尝试将散度最小化，同时确保尽可能少地改变原始矢量场(以便仍捕获局部效果并防止平滑)。

除了壁面剪应力之外，动量守恒还能够在稍后的动作中用于估计跨血管的压力梯度。这个质量守恒步骤对确保准确的压力估计至关重要。

使用时域的自动相位混叠校正

当为4D流扫描设置的VENC过低从而导致速度值“缠绕”时，发生相位混叠；从大的正值到大的负值，反之亦然。理论上，这种缠绕能够发生不止一次。

通过分析速度数据的整体时间变化，可以确定心动周期的主要点(在其他地方描述)。假设图像中在心舒期峰值(peak diastole)处没有速度混叠现象，并且假设在空间中的单个点处的速度实际上从一个时间点到下一个时间点的变化不超过+/-VENC，则能够通过检查空间中的每个点的时间变化来校正相位混叠，如下：

i)标识心舒期峰值时间点，并假设在该点没有相位混叠。

ii)分别检查每个采集到的速度分量的时间行为。

iii)对于每个速度图像中的空间中的每个点(体素)，跟踪速度从一个时间点到下一个时间点的变化。如果观察到速度变化超过+/-VENC，则假定发生了混叠。

iv)当检测到混叠时，如果观察到的速度的减少超过VENC，则增加该点的缠绕计数；如果观察到的速度的增加超过VENC，则减少该点的缠绕计数。

v)在每个时间点，根据该点的当前累计缠绕计数通过将缠绕计数与两倍的VENC相乘来改变速度。

vi)一旦当前时间点已返回到初始心舒期峰值起始点，就检查缠绕计数是否已回到零值。如果缠绕计数没有回到零，那么就认为该空间中的点(体素)的处理错误。

使用其他方法来确定感兴趣的像素，能够改进该方法并使其更加高效。例如，可以使用其他方法来确定最有可能代表血流的像素，并仅处理这些像素。

该方法也具有自我诊断的特点和优点。所有有效的血液体素(例如与空气相对)的缠绕计数应在随着时间对该体素的处理完成后返回到零。能够通过体素的基础对体素上的误差保持跟踪，尽管这具有如下弱点：这种误差检测方法不保证捕捉每个错误体素。然而，另外，通过查找低整体误差率为施加校正的像素数量的小部分，能够确定该方法所需的必要初始假设是否在很大程度上是正确的。

自动相位混叠校正

当为4D流扫描设置的VENC过低时，会发生相位混叠。基于以下，很容易找到已混叠的体素：

i)每次扫描的VENC都是已知的，因为这些信息位于所有DICOM图像的头文件中。

ii)标识+/-VENC速度附近的流速度的急剧变化(即，如果VENC设为100cm/s，则查找在+/-99cm/s附近的速度的急剧变化)。速度的急剧变化意味着体素可具有100cm/s的速度值，并且相邻体素具有-99cm/s的值。

iii)然后通过连接所有在+/-VENC附近具有急剧梯度的体素来找到混叠区域的边界。

iv)这产生了一个闭合的边界。确定闭合的边界区域内的所有体素是否有混叠。通过从边界开始朝向3D区域的质心移动，***能够探询每个体素，以确保没有(跨过VENC的)显著跳变。

v)如果没有遇到陡峭的跳变，则能够将VENC速度加到混叠区域内的所有体素。

vi)如果遇到陡峭的跳变，则问题变得更具挑战性(但仍然可以解决)。在这种情况下，能够多次缠绕体素(即，如果VENC设为100cm/s，但在体素处的速度实际上是499cm/s，则会缠绕2次，速度会显示为99cm/s)。校正数据的方法是查看相邻体素的速度。如果跳变超过VENC的1.5倍，则该闭合区域需要加上或减去2*VENC。选择加或减是为了使跨越相邻体素的不连续性最小化。

vii)为了进一步改进算法，关于静态组织在哪里的信息对限定绝对零必然在哪里是至关重要的。由于静态组织的速度为0，因此不得缠绕那些被标识是静态组织的体素。由于物理特性(即流体边界层)，离开壁的速度必然连续增加。所有这一切的唯一假设是：相邻体素彼此之间的跳变不会超过1.5*VENC。

样条实时涡流校正

当执行MRI采集时，数据可能包含由于磁场中的涡流引起的伪像。在采集颗粒速度的4D流采集中，伪像会使速度值不正确。利用4D流具有精确的速度数据以便量化通过血管的血流是至关重要的。

校正涡流伪像的至少一种技术涉及：

-静态(零速度)组织的体积分割；以及

-使用这些静态位置处的速度数据将曲线拟合到能够从原始数据中减去的体积。

鉴于代表静态组织的体积掩膜，对任意大小的3D块进行评估。

如果体积中的块包含足够的被掩蔽的体素，则它被视为静态组织。然后将静态组织块中的每一个的平均速度用作三个主轴方向的每一个中的样条函数集的控制值。在评估了所有三个方向上的所有样条函数之后，结果是值的规则网格，能够将值的规则网格上采样到原始分辨率，然后从原始数据中减去。减去后，静态组织的有效速度应为零，而非静态组织的涡流伪像会移除。这允许准确地进行流量化。

鉴于分割的体积，生成一个分辨率大大降低的新体积。新体积中的值是来自较大体积的平均值的结果，但由于元素中的一些会被分割所掩蔽掉，因此低分辨率体积中的元素可能具有极少的高分辨率数据，也可能不具有高分辨率数据。没有数据或数据不足的元素被丢弃。此时的结果是其中有孔的规则网格。为了评估样条体积的张量积，初次遍历评估每行元素的样条基函数，其中样条的阶数可以由于可用的控制值数量而变化。第一次遍历后，不再存在孔，因此能够评估张量积的其余部分。基于对我们的测试数据的分析，这种新颖且有创新性的方法的结果是一个平滑的3D时变函数，其代表了体积误差并且计算速度非常快。

对于第三步，我们应用校正算法的方法是使用来自校正体积的三线性采样，这被证明是成功的。对于源体积中的每个元素，我们在校正体积中执行八个元素的三线性融合，并从源数据中减去该值。在应用了我们的新校正函数后，发现流测量结果误差在3％以内。此外，作为过程的一部分需要用户交互，因为评估和应用我们的新校正耗时几毫秒量级而不是几小时，所以对实时性能的需求也得到满足。

用于后台相位误差校正的立方体

4D流MRI扫描中的血流速度信息存在误差，需要进行校正以获得准确的血流计算。静态组织中的误差信号能够用于为非静态组织提供校正功能(在其他地方描述)。能够创建称为立方体的三维组织体积，以标识静态或非静态组织的一部分。能够使用两种方法创建立方体：

正交轮廓：用户能够手动绘制三个相交的闭合轮廓。这些轮廓的交集表示静态或非静态组织的立方体三维体积。轮廓不需要完全正交，并且用户能够在任何位置创建轮廓。

3D泛洪：可替代地，用户也能够通过指定三维泛洪的起始点来自动创建立方体。泛洪能够用于任何图像，包括相位图像。图像是基于低于和高于用户点击的位置处的值的阈值进行泛洪。用户能够控制生成的泛洪的阈值和半径。

能够使用任一种方法创建多个立方体，以掩蔽掉静态和非静态组织的区域，并且能够使用多个立方体相互重叠来解蔽已有立方体内的区域。

在某些情况下，图像中会出现伪像。需要删除或突出显示伪像，以防止用户给出不正确的诊断。我们的软件具有预处理步骤(即涡流校正)，其基于数据集中的所有体素来计算度量。为了避免这些预处理步骤，使用工具来标识具有伪像的体素，并将这些体素从任何预处理步骤中移除(但为了可视化，不移除这些体素)。该工具能够是手动分割工具(即，用户圈出具有伪像的区域)，或者标识伪像的半自动/自动分割工具。无论工具的具体情况如何，我们的软件都需要一个功能来从量化中去除“坏体素”。

自动后台相位误差校正

准确测量4D流MRI扫描中的速度需要对由涡流引入的假信号进行校正。通过检查静态(非移动)组织中的速度信号来完成确定涡流校正(ECC)。这需要掩蔽所有移动的组织、血液和空气。此声明描述了一种自动完成此操作的方法，无需用户干预。自动校正非常有用，它不仅使得更简单、更快速地使用软件，还允许在用户首次打开研究时预先计算和应用校正。因为它允许其他预处理算法(如自动分割和测量等)受益于ECC，因此它也是非常重要的。

自动ECC通过计算三个过滤器的初始起始值来完成，用户在打开研究后自由调整三个过滤器。通过掩蔽解剖图像值低于设定阈值的区域来掩蔽空气。该阈值是通过分析整个扫描体积上的解剖图像值的直方图而自动确定的。胸腔上的这些值的直方图显示了允许对应于空气的图像值的自动检测的模式。

此外，还开发了两种过滤器，可以可靠地检测血流区域和心脏壁运动区域。通过适当设置这两个过滤器，能够令人满意地掩蔽心脏区域。由于这些过滤器的生产中使用的归一化以及这些过滤器自然一致的性质，仅通过将这些过滤器设置为预定值(例如50％)就能够获得令人满意的结果。能够通过分析这些过滤器产生的值来进一步改善(或轻微调整)对这些过滤器的自动设置，类似于前面段落中针对检测空气区域所述的。也能够通过检查产生的ECC并查找在心动周期中表现出很大变化的区域来轻微调整这些设置。

然后将这些过滤器的正确值(在预处理研究时确定的)与其他研究信息一起存储在数据库中，从而允许客户端软件在首次打开研究时将其设置为默认值。

可视化

时间标记量化与可视化

能够标识身体特别是心脏中的标记(即点、线、平面、区域、体积)是有用的。几个标记本质上是动态的(例如，二尖瓣平面)，因此重要的是及时跟踪它们的运动：

点：随着时间跟踪3D路径(这是一条线)。

线：随着时间跟踪两个端点的3D路径。

平面：随着时间跟踪平面上的点和平面的法线矢量。

区域：随着时间跟踪扩张轮廓、轮廓质心和轮廓法线矢量。

体积：随着时间使体积表面离散并跟踪每个离散点。

存在两种动作进行时间标记量化和可视化：

1)检测：第一步是随着时间标识标记。这能够手动或自动完成。

手动检测：用户能够指出每个标记的位置和方向。这样做的一种方法能够是使用平移和旋转来操纵图像，以便图像的中心位于标记的期望的位置。在不同的时间点，标记的位置能够是不同的，并且对于用户没有明确设置标记的时间点会执行内插。指示用户是否内插了标记。

2)显示：根据标记的类型，使用不同类型的显示数据的方法。例如，如果轮廓不随时间移动或改变其法线矢量(即仅扩张)，则用户的视图平面不变并始终与轮廓对齐是有意义的。如果这个轮廓确实移动了，我们能够想象跟随该平面，使得视图始终在每个时间点与平面对齐。视图平面能够是从拉格朗日视角，也能够从是欧拉视角。对于体积来说，在体积表面扩张并且能够使用固定在空间中的相机(用户能够根据需要更改相机位置)将表面扩张可视化的情况下，欧拉视角更适合。

心脏视图：一旦检测到标记，左心室心尖、右心室心尖、二尖瓣、三尖瓣、主动脉瓣和肺动脉瓣就能够用于创建右心室和左心室的双腔室视图、三腔室视图、四腔室视图和短轴视图。在Mayo心脏MR临床指南中指明了这些视图的定向。能够根据标记的位置计算每个视图的定向和缩放水平。如果标记的位置随时间改变，则视图将相应地随时间改变。

每个视图的示例标记：

左二腔室：主动脉瓣、二尖瓣、三尖瓣、左心室心尖

左三腔室：主动脉瓣、二尖瓣、左心室心尖

左四腔室：三尖瓣、二尖瓣、左心室心尖

左短轴：二尖瓣、左心室心尖

右二腔室：肺动脉瓣、三尖瓣、二尖瓣、右心室心尖

右三腔室：肺动脉瓣、三尖瓣、右心室心尖

右四腔室：三尖瓣、二尖瓣、右心室心尖

右短轴：三尖瓣、右心室心尖

基于交互式标记的视图

一旦放置了某些标记(例如主动脉瓣、二尖瓣、左心室心尖、前***肌、后***肌、肺动脉瓣、三尖瓣、右心室心尖、LPA、RPA、SVC、IVC、降主动脉)就能够创建自动视图来显示感兴趣的解剖结构。临床医生习惯于以3个垂直视图观察特定标记，或者如果是心脏则使用4腔室视图，或者左心室或右心室使用2或3腔室视图。通过更新时间点之一的只有1个标记的位置，所有视图都会相应更新，以使视图始终垂直或者2、3和4腔室视图保持不变。一旦放置了标记并且自动生成了视图，就能够将这些视图保存在软件的报告部分中并且以任何格式(即图像)导出，包括电影影像格式(即随时间推移的多个图像)。

由闭合轮廓创建4-D网体

一旦针对每个时间点沿着短轴(可能是弯曲的)放置轮廓后，就为每个时间点独立地生成网体。这通过如下操作来完成：旋转短轴堆叠中的每个轮廓以最小化扭转，然后生成连接每个轮廓中第一个点的开放三次样条、连接第二个点的第二样条、对于轮廓中的每个点以此类推(每个切片的轮廓都具有相同的点数)。这个过程的结果是点的圆柱形网格，我们将其用作网体的顶点。

最小化扭转的过程通过以下完成：计算从一个轮廓的质心到上方的轮廓的质心的开放三次Hermite样条，然后从下轮廓上的每个点延伸该样条，直到它与其上方的轮廓所在的平面相交。***计算该交点，然后确定这些交点中的哪一个最接近上轮廓中的实际轮廓点。然后旋转轮廓，使得这两个点位于同一长轴样条上。

当轮廓为合理的圆形并且在空间上相邻轮廓之间的差异最小时，当前的实施方式在弯轴和直轴的情况下都合理工作得很好。然而，对于轮廓不是圆形的右心室的情况下，当前实施方式有时引入过度扭转。为了将这种情况最小化，我们应该摆脱长轴样条方法，并切换到任何两个切片之间的三角形数量可以不同的情况。这样做使局部扭转最小化，从而产生整体更平滑的网体。

对齐流工具

准确观察或测量4-D流扫描中的血流需要用户对齐MPR，使得MPR垂直于流的方向。这描述了一种用于创建允许用户自动设置MPR的正确定向的工具的方法。

为了对齐MPR，用户首先激活工具，然后点击相关血流的中心区域。然后，点击的点作为对齐MPR时的旋转中心，将点击的点移动到生成的MPR的中心。通过对点击的点周围的小区域中的血流进行平均来完成对齐。为了准确地做到这一点，无论当前用户使用工具时正在查看的时间点如何，都会使用与峰值血流相对应的时间点来完成测量。这通常意味着在心缩期峰值进行测量。

虽然允许用户调整心缩期峰值的时间点，但是这个点在预处理数据集期间首先由执行软件自动确定，并且当用户首次打开研究时，该自动值被用作默认值。已经开发了一种过滤器(在其他地方描述)，用于自动确定扫描体积内的血流区域。然后通过检查被确定为对应于血的经过滤或掩蔽区域内的整体流的时间依赖性来确定心缩期峰值。

一旦流的方向已准确确定，就直接了当地调整MPR的定向以使其位于垂直于流的平面上。

量化

自动血流量化

通过首先隔离血池(参见本文描述的分割方法)并在大致垂直于腔室/血管中的流(即，平面的法线与流对齐)的标记(其能够使用上述方法限定)上放置平面，能够自动量化腔室和/或血管中的血流。一旦完成了这2个动作，平面和血池之间的相交就会创建轮廓。对轮廓内的所有体素进行标注。接下来对于每个体素，(除了通过体素的区域进行归一化之外)将平面的法线矢量与该体素的速度矢量的点积相加，以给出总流。该轮廓处的流能够自动显示在屏幕上或在可以最终导出的报告中。

允许用户选择图像上的位置有许多重要的应用。在进行测量时，用户可能想要测量从一点到另一点的距离。在使用来自数据体积的MPR的应用中，图像上的点表示3-D空间中的位置。很容易从与图像相关联的元数据中计算出这些3-D点。在使用体积渲染的应用中，由于每个像素可能处于不同的深度，因此允许用户选择3-D空间中的点更困难。

在典型的前至后体积射线投射中，随着alpha合成功能的增加，一旦alpha达到1.0就终止，能够通过对射线终止的位置保持跟踪来完成对像素的深度的确定。当后至前射线投射时，没有早前的射线终止。仅基于合成功能来更新结果颜色。通常，合成功能会将使空气透明，如此当射线离开最接近眼睛的物质时，颜色停止变化。通过对颜色何时停止变化保持跟踪，每个像素的深度能够用于将用户选择的2-D坐标转换回空间中的3-D位置。这种3-D位置的选择能够用于选择血管，然后自动量化流。

自动分流检测

第一个操作是标识分流是否存在，而不是试图找到分流的确切位置。标识分流是否存在的一种简单方法是测量左心流(Qs)和右心流(Qp)。能够手动(例如通过放置轮廓)测量Qp和Qs，或者如果已经完成标记和血池分割，也能够自动测量Qp和Qs。如果这些数字在某个阈值内不匹配，能够将扫描标注为可能有分流。

能够使用以下技术自动完成这些测量：

i)在其他地方描述了自动测量心输出量(Qs)，为主动脉和肺动脉流产生掩膜，以及自动估计主动脉瓣和肺动脉瓣的位置。

ii)一旦标识出瓣膜区域，直接的任务是截取它们和已经确定的肺动脉流区域，以与对心输出量描述的类似的方式从瓣膜稍微向下游移动并产生流测量轮廓。一旦标识了用于测量肺动脉流的适当的轮廓，就能够使用现有的流测量算法来确定右心室的输出。

iii)使用自动流测量来指示分流存在的可能性。

自动检测心缩期和心舒期的峰值和末期

许多自动处理依赖于首次标识与心动周期中的主要时间标记对应的时间点的能力：心缩期和心舒期的峰值和末期。

如其他地方所述，我们能够对速度图像使用傅里叶分析技术，以便标识心脏内的血流区域以及心脏周围的主要动脉和静脉。一旦标识出这些血流的主要区域，我们就可以找到每个时间点(通常为20个时间点)处的标识出的体素上的总血流。***然后能够分析所得到的时间函数，以确定心动周期中的标记。流最多的时间点首先被分配为心缩期峰值标记。由此在两个方向上及时分析函数，以确定流趋于平稳的点。心缩期峰值前的、总流趋于平稳的点(恰好在开始快速上升之前的点)对应于心舒期末期。在心缩期峰值后，总流迅速下降，直至趋于平稳，这对应于心缩期末期。心舒期峰值通常不是一个明确定义的点，因此我们将此时间标记放置在心缩期末期和心舒期末期之间的中途的点。

自动心输出量和体积测量

使用以下方法自动测量心输出量：

i)速度图像的主要DFT分量之间的关系连同已确定的心缩期峰值标记(在其他地方描述)被用来标识来自左心室和右心室的动脉流的主要区域。

ii)使用各种流连续性过滤器，一个接一个的，以将动脉流区域分成主动脉和肺动脉流两块。初始动脉流掩膜中速度最大的点提供已知位于主动脉或肺动脉中的可靠点。例如，能够通过检查所产生的过滤器内的从最大流的点开始被泛洪的区域的大小来确定两个流区域的分离。一旦标识了第一块，例如，就能够通过从其余区域中最大流的点泛洪来确标识第二块。

iii)一旦标识出两个区域，一个对应于主动脉流且一个对应于肺动脉流，就能够允许这两个区域有限量的增长(其中单个像素仅被分配到一个掩膜或另一个掩膜)并且原始的动脉流掩膜提供增长量的绝对限制。允许至少稍微扩大掩蔽也能够是非常重要的，因为前面的过程操作可能在产生的区域中放置了小孔，这将会妨碍该方法的下一步。

iv)基于两个流区域彼此之间的空间关系以及它们在空间中的非常不同的预期形状和定向，能够将两个流区域标识为主动脉流和肺动脉流。一旦完成该操作，原始动脉流掩膜基本上分为两个区域，一个标明为主动脉流，另一个标明为肺动脉流。

v)由于主动脉本质上是一根连续的管道，所以能够从动脉内的起始点追踪主动脉的路径，直到达到两端。在每个点处，能够通过对点周围的小区域进行平均来确定主心缩期峰值流方向。然后能够以规则的角度间隔从起始点向流方向投射正交线，以确定被掩蔽的主动脉区域的边界，从而确定围绕起始点的近似圆形的轮廓。

vi)一旦针对某个起始点确定了轮廓为与主流方向正交的平面上的多边形。起始点在多边形重新居中。在该点上，根据我们从起始点追踪的方式，能够从中心点沿正向或负向流方向移动一小步(例如，一毫米)，然后重复该过程。这一直持续到我们在每一端跳出掩蔽。

vii)一旦沿着主动脉以规则间隔产生了轮廓，基本上产生网体，就通过使用解剖图像(如果处理血流增强数据集)或通过使用心缩期时间点和心缩期时间点之间的插值的粗速，在每个单独的时间点对它们进行细化。一种可能的方法是使用蛇形算法在每个时间点准确地标识每个轮廓的期望边界。

viii)一旦确定了细化的轮廓，就测量每个轮廓的大直径和小直径，大直径是最大直径，小直径是与大直径正交的最大直径。

viii)接下来的任务是标识主动脉瓣与主动脉顶部出现的分叉处之间的升主动脉的主要区域中的好的轮廓，因为这是测量心输出量时需要使用的区域。这能够由许多动作完成。首先，通过流动方向容易地将升主动脉区域与下降区域分开。然后能够使用轮廓区域和直径(大和小)在主动脉中的一个点处的空间和时间上的连续性和可变性的组合对其余轮廓进行评分。能够沿着主动脉对得分进行平均，以查找良好评分的区域，而不是简单地标识单个评分很高的轮廓。使用这种方法，能够消除主动脉顶部分叉附近的区域以及可能存在于主动脉瓣附近并在主动脉瓣上并进入左心室的区域，因为这些区域因其性质不会得到好的评分。

ix)一旦标识出升主动脉的良好区域，就能够为实际心输出量测量选择最高评分的单个轮廓。如果可能的话，沿升主动脉的多个点完成测量，这通过平均来改善结果以及通过检查可变性提供对测量的质量的自动确定(由此还提供对测量不确定性的估计)。此外，检查沿升主动脉的流的多次流测量结果允许对当前正在应用的速度涡流校正的质量进行判断。

x)一旦沿着升主动脉选择了理想的轮廓，心输出量就由通常的流测量技术来确定。

4-D体积测量

为了计算特定区域的体积，我们在分析服务提供者(ASP)***界面内开发了三个选项。

选项1：固定轴线

3-D空间中的两个点限定感兴趣体积的主轴线。一条直线连接这两个点(即固定轴线)。该轴线然后被分成离散点(例如2～40个)，其限定要放置切片的位置。切片与轴正交对齐，以使切片不相交。切片不必均匀间隔。在所有切片位置处渲染MPR，以允许用户看到该切片位置处的医学图像的样子。然后手动或自动在每个切片上创建一个闭合轮廓，以限定该切片位置处的体积边界。在每个切片位置处可能有多个闭合轮廓。在一个或更多个切片上也可能没有轮廓。在4-D或更高维度研究(即显示体积变化的研究，或示出了所述每切片不同的多个帧的研究)的情况下，每帧能够有分离的轮廓。一旦为所有的帧和切片放置了所有轮廓，就会针对特定帧创建一个连接所有切片的轮廓的3D表面。在“由闭合轮廓创建4D网体”中解释了由一组闭合轮廓创建3D表面的方法。如果存在4D或更高维的体积，则能够通过计算每个帧的体积并将其与另一帧的体积相减来计算体积的变化。当试图量化心室功能，然后给出心搏量(stroke volumes)和射血分数时，这一点尤其重要。

选项2：移动直轴线

此方法类似于选项1，不同之处在于：在4D体积的情况下，限定轴线的两个端点的标记或点能够在每个帧(例如时间点)上移动。这会使体积有可能在不改变体积的情况下在3D空间中移动位置。

选项3：固定弯曲轴线

此方法与选项1类似，不同之处在于连接2个端点的线不必是直的。这条线能够是弯曲的或有多个直的和弯曲的部分。这在***中用连接2个端点之间的点/位置的样条来处理。这些点/位置能够在任何地方，而不一定总是在该2个端点之间。

选项4：移动弯曲轴线

此方法类似于选项2，不同之处在于：在4D体积的情况下，限定弯曲轴线的两个端点的标记或点能够在每个帧(例如时间点)上移动。这会使体积有可能在不改变体积的情况下在3D空间中移动位置。

在以上所有选项中，可以有多条轴线。例如，可能有“Y”形轴线，从1分成2。也可以选择将直轴线和弯曲轴线分开并合并在一起以创建体积。这一点主要是考虑到更复杂的形状，这些形状仍然有主轴(即中心线)。

在以上所有选项中，还存在显示3D体积与MPR如何相交的选项。交集必须是一个或更多个闭合轮廓的集合。这些闭合轮廓能够在MPR上渲染。此外，能够通过在新(非正交)视图中移动轮廓来编辑这些闭合轮廓。既能够在客户端也能够在服务器端计算交集轮廓，或根据本地资源进行自适应。对于心动成像，常见的非正交视图是2、3和4腔室视图。通过仅允许在特定方向(即沿着切片平面)编辑，能够在这些视图中编辑轮廓。

平面外测量和跟踪模式

通过体积MRI数据的在心脏***中的测量具有几个复杂性。例如，瓣膜平面的形状、位置、定向和速度能够在整个心动周期内明显改变。我们通过使用在3D空间移动的2D轮廓来解决这个问题。无论是手动还是自动，轮廓放置在最垂直于流方向的平面上瓣膜开口的边界处。对于心动周期每个阶段跟踪瓣膜平面的位置和定向。流评估通过标准的有限方法积分来完成，但是，如果瓣膜平面在移动，那么瓣膜平面的线性速度和角速度能够包含在该相位的流计算中。在可视化过程中，当循环遍历相位时，MPR的位置和方向能够利用瓣膜平面来跟踪。如果当前MPR不在平面上时对测量结果可视化，轮廓将渲染为半透明的。

分割

连续性方程驱动的血池分割

再一次，具有不可压缩性假设的质量守恒(即连续性)能够用来表明血池中各处的散度必然为零。通过计算各处的散度，***能够通过阈值散度值来限定血池的范围。血池外的散度会更大(即肺中的空气)或速度会低(即静态组织中的速度信号)，这二者有助于标识内腔边界。散度图不需要是分割算法的唯一输入，相反能够将其添加到其他输入并适当加权。

自动标记检测

创建自动标记检测算法的典型方式是查找图像中的某些形状，并测量这些形状之间的距离和角度。如果测量结果位于特定带内，则对其进行分类。能够将几个其他生理输入添加到该算法。例如，定位基本上随着每次心跳增加和减少的流体的体积(这很可能是心室)。一旦找到心室，就能够通过之后的流线找到瓣膜的入口和出口。一旦找到瓣膜，就更容易找到其余的瓣膜，因为它们通常总是彼此相距特定的距离和角度。

选择用来找到标记的算法能够是机器学习类型。由于ASP(例如Arterys)不断收集由临床医生放置的正确标记使有效的数据，因此需要将此数据用作训练集(例如数据的统计聚合)。需要被分析的每个数据集都能够与用训练集数据构建的“图谱”配准。一旦收集到足够数量的数据集，就能够在分析之前使用额外的输入参数，例如疾病类型(即健康、法洛四联症等)对数据集进行分箱。根据疾病的类型和预期的病理情况，每个箱能够有略微不同的标记和测量。如果已知数据集是具有单个心室的患者，则自动标记检测算法需要对此进行调整，因为它永远不会找到4个瓣膜。

特别地，主动脉瓣和肺动脉瓣标记能够通过以下过程确定：

i)标识与来自左心室和右心室的动脉血流对应的区域。已经开发了过滤器(在其他地方描述)，其能够以高可靠性实现这一点。

ii)将动脉血流区域分成两个区域，一个对应于主动脉，一个对应于肺动脉。该过程在心输出量中有详细描述。

iii)一旦确定了对应于来自左心室或右心室的任一流的一个区域，则通过从与两个流对应的起始区域中减去来确定另一个区域。然后根据这些区域的物理尺寸和在空间中的定向(也在心输出量中有描述)，能够容易地标识出区域为左心室流或右心室流。

iv)一旦标识了两个流的区域，就能够通过仔细追踪整体流回到其明显的起源来确定主动脉和肺动脉瓣膜的位置的初始近似值。

v)一旦为两个瓣膜的位置生成了可靠的初始估计，就能够使用其他技术来细化瓣膜位置。例如，能够检查围绕初始估计的区域中的血流加速度和强度，以便细化瓣膜的位置。

交互式4D体积分割

从心动扫描中分割心室对于确定心室功能至关重要。自动心室功能技术可以涉及：

-代表样条控制点的两个或更多个点的输入；

-样条的端点表示出口瓣膜(肺动脉或主动脉)和心室的顶点；

-使用这些点生成MPR，其中平面法线沿着样条曲线以规则间隔设置为曲线的切线；

-在每个MPR上施加活动轮廓模型来查找心室的边界(心外膜或心内膜)；以及

-使用这些轮廓中的每一个的点生成3D网体。

活动轮廓模型受作用于其上的力量的不稳定性的影响。为了减少这种不稳定性，***不是简单地生成轮廓来使它们以期望的输出间隔(轮廓之间的距离)间隔开，而是生成很多在空间中非常紧密的间隔的轮廓。而且，如果输入数据具有时间数据，则使用来自相邻时间点的数据来生成同一位置处的轮廓。然后对照心室的典型轮廓，测量轮廓形状和质量。如果认为轮廓具有足够的质量，则将其包括在生成的最终结果中。通过对沿着输入曲线接近位置和时间的所包括的轮廓进行平均而生成最终结果。利用在心缩期的末期和心舒期的末期构建的网体，体积的差异表示了心输出量和心室功能。

在一个示例实施方式中，ASP***和软件会提供单击4D体积分割。这允许用户在自由操纵(即，旋转、平移、缩放、切片滚动、时间滚动)3D体积的同时点击感兴趣的区域(例如血池、心肌、骨骼等)。由于难以构建完全的3D体积分割算法并且难以使其精确，因此第二选项是在用户绘制其想要分割的区域的边界时向用户显示3个正交视图。对于心脏，显示的视图除了短轴视图之外还能够是心脏的2、3和4腔室视图。用户只需要在长轴上创建2个正交轮廓，然后软件能够基于将两个轮廓进行插值进而自动或自主地创建3D表面。3D表面能够在短轴上显示给用户以进行快速修改。在交互式3D体积分割过程期间，除了显示解剖图像之外，还能够将血流速度图像(具有或不具有矢量)叠加到解剖图像上，以进一步阐明血池边界的位置。

自适应泛洪填充

***利用多种类型的泛洪，其可以通过在泛洪期间使用的连通性(6、18或26路连通性)区分为2D与3D，以及通过最大步数来区分为半径受限还是泛洪受限。在所有情况下，泛洪的工作方式是从指定的种子点向外移动，并且在泛洪的结果中包括满足以下条件的像素：1)(使用指定的任何连通性)与泛洪的其余部分相连，2)具有种子点处像素的指定阈值内的强度，以及3)像素在种子点的最大步数的指定半径内。泛洪的结果是一个二维或三维连接的掩膜。泛洪算法用于立方体中，以3D泛洪的形式来标记静态/非静态组织；用于体积中，其中能够使用2D泛洪生成在在短轴堆叠中的轮廓；以及用于流量化中，其中2D泛洪可以用于对血管进行泛洪，以确定泛洪内包含的流。

为了由半径受限的2D泛洪生成轮廓，我们利用这样的事实，即泛洪必然会被连接并且它是一个二值图像。由于这些事实，我们可以应用标准的边界追踪算法来创建轮廓，其会忽略泛洪内部可能存在的任何孔。

从所生成的轮廓，下一步操作是将生成的轮廓从潜在的数百个点减少到一小组控制点，以供闭合的三次样条使用，以准确地逼近实际轮廓。***简单地在轮廓周围等间隔地分布固定数量的控制点的简单下采样并不像其他方法那样好，因为这种方法经常导致轮廓中的重要特征丢失，例如在***肌周围的泛洪的凹陷部分。为了解决这个问题，我们采用了一种“聪明的”下采样方法，这种方法由许多动作来实施。首先，为轮廓中的每个点分配一个从-1到1的角部强度评分，以及为每个点分配一个“影响力”区域。一旦完成，轮廓就会减少到其角部强度在其影响力区域内最大的那些点。在这个阶段还执行额外的标准，例如确保我们有最小的点间距并确保我们检测到的角部足够强。上述操作的结果是泛洪中检测到的“角部”列表。通过将这些用作样条中的控制点，此方法可确保样条不会丢失轮廓中的任何感兴趣特征。然而，原始轮廓中相对较低曲率的任何长拉伸不会被检测为角部，这能够导致产生的轮廓的重要部分不具有任何控制点，从而导致这些分段中的样条近似度较差。为了解决这个问题，通过计算由原始轮廓的穿过这些点的分段和样条的通过这些点的分段形成的闭合轮廓的区域，为每对控制点计算误差度量。如果误差高于某个固定容差，则在原始轮廓的分段的中点添加另一控制点。重复此操作，直到每个分段的计算误差低于所需容差。

这种泛洪到轮廓的工具能够在应用中的至少两种场合中使用：在进行体积分割的同时对心室的切片进行泛洪，以及在流量化中。在对体积泛洪的情况下，返回的轮廓扩张了8％，以便捕获心室的更多部分，因为原始泛洪填充往往低估，这仅仅是由于接近心脏壁的像素强度差异。对于流泛洪，因为泛洪工具对解剖结构起作用，结果扩张了12％，这意味着未扩张的泛洪往往会漏掉血管壁附近的流。

全过程

自动化报告

以类似于如何生成超声心动图报告的方式，能够通过允许用户点击他们拥有的患者类型来创建基于4D流MR数据的自动化报告。ASP(例如Arterys)具有特定于特定病理或特定于用户类型(即患者或临床医生)的唯一报告模板。此报告中的所有值、曲线、图像和电影影像都能够自动填充到报告模板中。由于标记是预处理步骤的一部分，因此所有重要信息都能够自动保存在数据库中并导出到此报告中。

自动化集成测试

一个称为node-webkit的工具被设计用于使客户端Web应用使用node.js来执行自动化集成测试。虽然不是为此目的而设计的，但它允许我们在同一环境中运行客户端和服务器软件栈，以便同时完全控制客户端和服务器应用。使用与称为mocha的测试工具混合的基础架构，我们编写测试：模拟客户与客户端的交互，同时断言客户端和服务器处理该交互以及应用程序的结果状态。对于此类用户界面测试，这种集成测试方法是新颖的，并且优于其他主要基于视觉的工具。

混合客户端服务器渲染

说明：一些工作流需要在同一时间渲染具有链接属性的一个或更多个图像。在一些情况下，当前的工作流步骤可能需要同时查看20个图像。如果利用不同的HTTPS请求来检索这些图像中的每一个，则由于在创建和发送请求中存在显著的开销，因此效能会大大降低。相反，我们将所有图像渲染到一个大图像上，并且只针对该“精灵表”进行单个HTTPS请求。客户端然后通过使用像素偏移显示所述图像。例如，如果视图具有四个256x256的图像，则精灵表可以为256x1024，其中图像中的每个堆叠在另一个之上。客户端然后会通过利用0、256、512和768的偏移以256x256显示4个图像。

此外，图像中的任何线、标记、平面都在客户端上绘制成覆盖层，并且通知客户端如何渲染覆盖层的信息经由JSON消息来自于服务器。相比在服务器端对覆盖层进行渲染、进而编码成JPEG并且进行传输的情况，这提供对覆盖层数据更高质量的渲染。

自动全局耐久性和压力测试

为了执行负载测试和耐久性测试，我们在多台计算机(能够是地理上分散的)上启动多个客户端进程，以便启动专门的web浏览器，在该浏览器中我们完全控制它们的执行环境。它们被引导到应用并像普通浏览器那样加载客户端，然后我们直接与客户端状态进行交互，从而控制软件并使其表现为特定的工作负载。在负载测试期间记录客户端和服务器度量，并运行更长的时间周期以进行耐久性测试。

将数据从医疗设备推送到远程服务器的推送器

我们开发了用于监控主动研究的软件，并将结果推送到我们的云中远程服务。监控由扫描仪生成的文件的文件夹，完成后，将所有相关数据捆绑在一起，并经由安全连接使用每台扫描仪的用于授权的唯一密码和密钥将所述数据推送给我们的远程云服务器。通过立即删除任何中间文件来最小化磁盘空间(例如，非暂时性存储介质)使用率。

一旦传输成功，通过重现封装包过程并比较加密哈希函数的输出，对照本地内容验证传输内容的数据完整性。重复与此类似的过程以确保在扫描过程期间出现延迟的情况下不会遗漏扫描可以生成的任何新数据，扫描过程中出现延迟可能会引发数据比预期早地传输至ASP(例如Arterys)的服务器。

在由于服务器或网络错误而导致传输失败的情况下，在推送器认为传输失败之前，进行可配置次数的尝试，其中，每次尝试之间的停顿间隔逐渐增加。但是，传输(包括所有后续尝试)失败后，推送器将继续监控传入的文件，并在稍后再次尝试另一次传输。

一旦证实数据传输成功，我们的软件就会删除数据以节省扫描仪上的磁盘空间。

每台扫描仪上运行的各个推送软件都会发送心跳消息，提供扫描仪的本地日志数据和详细状态信息，提供持续监控并增加响应时间，以确保扫描仪在关键扫描期间的功能。

在初始安装期间，扫描仪将自动向ASP(例如Arterys)注册，注册通过请求唯一的密码和密钥，用来签署所有将来的请求，以进行授权。扫描仪将在我们的***数据库中注册，但不附接到任何组织。然后技术人员能够通过web入口将所有最近注册的扫描仪附接到正确的组织。

推送器能够通过周期性地从ASP(例如Arterys)请求新版本来自动更新(如果配置了)。如果提供了新版本，它将安装自身的新副本，然后重启。这允许将安全性和功能更新部署到扫描仪，而不需要技术人员的干预。心跳消息提供确保ASP(例如Arterys)的服务器上的此操作成功所需的信息。心跳使我们能够确定最近未更新的任何推送器，并直接与医院联系，以主动确保所有软件都是最新且安全的。

图3A-3B示出了示例过程300。

拉取器-伪像存档

拉取器软件用于在医院(例如PACS)存档生成的伪像。它安装在医院的网络中，并使用与推送器相似的方法自动向ASP(例如Arterys)注册。做出具有一些标识信息的请求，并返回密码和密钥对以签署将来的请求，以用于认证和授权的目的。然后技术人员通过门户网站将拉取器附接到组织。

也可以直接下载组织版本，其中在安装过程中自动包含一个唯一的密钥和密码，因此安装后就不需要自动注册和附接拉取器。

在ASP(例如Arterys)的服务器上完成对伪像端点的配置。多个位置能够配置有主机名、端口、AE标题以及任何其他所需信息，拉取器将数据传输到该多个位置。在临床医生选择他们想要将其伪像(报告/屏幕截图/视频)存档的位置时能够为这些端点命名，并且可以从ASP(例如Arterys)的Web UI中对端点进行选择。

拉取器通过以规则且频繁的间隔向ASP(例如Arterys)API请求列表来监控伪像。伪像列表包括唯一的ID，以及伪像将存储在其中的端点的所有配置信息。唯一的ID用作另一个API请求的输入，以从ASP的服务器中检索伪像。对伪像进行解压缩(如果需要)，并使用列表请求中包含的配置(例如，storescp)限定的配置和方法对伪像进行传输。一旦所有数据传输完毕，就使用提供的ID向ASP发出另一个API请求以将伪像标记为归档，并且过程循环中它不会再出现在第一个请求生成的列表中。一旦伪像被标记为存档，ASP的服务器就通知用户存档已完成。

拉取器向ASP***发送心跳请求，提供详细日志以帮助验证并确保一切按预期运行。拉取器还会不定期-在可配置的时间(例如，每小时一次或每天一次)-向ASP的服务器发出针对拉取器软件新版本的API请求。如果有新版本可用，则下载、安装该新版版，并且拉取器会自行重启。

检索伪像列表的示例请求：

图4A-4B示出了用于监控伪像和存档的示例过程400。

我们已开发了一种方法，将敏感患者信息传送到来自服务的客户端应用，而不向服务提供者披露该敏感信息。

数据在发送给服务提供者之前，剥离了所有患者可标识健康信息，这些信息在服务中注册，并且原始敏感数据被替换为由服务提供的唯一令牌标识符。

在与服务提供者交互时，客户端标识这些令牌并使用独立的传输层将令牌替换为敏感患者健康信息。

以下为这种***的可行实施方式的示例：

角色：

与客户端软件交互的用户(用户)

客户端应用(客户端)

持有敏感患者信息的服务(服务)

应用服务提供者

1.用户向软件指示其想要发送给应用服务提供者的一组文件。

2.对于每个文件，将所有敏感信息汇集在JSON格式中，并通过http请求注册到服务。

示例：

3.使用占位符(比如#{患者姓名})替换敏感信息，然后上传该数据以及由服务返回的位置的url。

4.当客户端加载来自应用服务提供者的数据时，包含这些敏感令牌的字符串使得客户端应用向服务提供者(单独或批量地)请求数据。

示例：

GET

https：//sensitive.arterys.com/4217ad2b78fff7eb9129a58b474efb3e#Patient

Name

returns

″Franklin\Benjamin″

5.客户端用敏感信息替换令牌。

注意：对于授权，我们可以使用sso，比如saml2。

工作空间

工作空间是针对整个医疗软件中存储和共享应用状态子集的问题的解决方案。

工作空间包含研究的应用状态(包括任何分析)，在加载时它们将应用程序恢复到以前的状态。应用程序状态包括与特定关注点有关的部件状态的子集，例如包括测量和ECC校正值等的研究评论。

在用户与软件交互时，工作空间能够不断加载和更新。首次加载研究时，用户以私有默认工作空间开始；当重新加载时，加载最近使用的可适用的工作空间。

用户能够向一组或更多个用户发布研究，这也能够作为生成报告和通知外部***的触发器。

首次打开已发布的工作空间时，会创建工作空间的私有副本，其中在后续重新加载时加载该私有副本。已发布的研究是不可变的，永远不能修改。

机器学习与医学成像

借助云接口，现在可以聚合来自多个源的统计数据，以使用机器学习进行预测。这些多个源能够是由组织内的多个人或甚至分散在世界各地的多个组织生成的结果。能够聚合的统计数据能够是医学成像像素数据、医学成像元数据(例如DICOM头)以及例如患者的电子病历(EMR)。学习能够在用户级、组织级或者甚至宏级(例如全局地)应用。

在试图自动量化(例如，注释、测量、分割)医学图像的情况下，能够有两种不同类型的深度学习、机器学习或人工智能：对于医学成像应用，因为没有足够的数据可供学习，监督式学习更合适。为了尽可能有效地学习，已定制了云用户界面，允许用户以结构化的方式为数据添加标签。例如，在心血管成像的情况下，用户能够进行多次测量并按照他们的意愿向测量结果添加标签。对于用户，存在可以从ASP提供的预定义列表中选择标签的选项，代替了允许完全用户定义的字段。通过这样做，我们能够以结构化和自动化的方式为数据添加标签。被加标签的数据充当训练数据集，馈送到机器学习算法内(即，比如随机森林或深度学习CNN或RNN)，以便算法能够基于新的未加标签的数据预测结果。例如，对于用户，用户审阅过程中的一个可选步骤是以确认他们对添加到数据中的标签感到满意的方式“发布”其工作空间或状态。“发布”机制能够是用户界面中点击“保存”的图标，也能够是发送(例如到医院的PACS服务器)以存档的结果。只需要有一种方法来区分用户创建的虚拟测量结果及注释与真实的临床测量结果及注释。

云界面的益处是，每次用户在***界面中对提供的建议进行任何修改时，该修改然后就会被保存并反馈到机器学习加标签的数据中。这创建了强化学习循环，添加了非常有价值的训练数据。当用户登录时能够一次性地提供由机器学习算法提供的建议，或每当用户在会话期间进行修改时，能够实时地提供由机器学习算法提供的建议。例如，当用户标识解剖的医学图像中的体素时，能够在他们的会话中实时地标识所有相似的体素。

在试图预测特定治疗的结果(并给出结果概率测量)或预测哪种治疗选择更适合特定患者的情况下，来自EMR的数据至关重要。访问加标签的医疗设备数据(例如，医学成像、染色体数据、可穿戴设备)不足以确定最佳治疗决策。需要跨所有溯及既往的病例进行聚合这些数据，以向具有相似医疗设备数据的新患者提供预测。

机器学习也能够用于医疗图像中的搜索。用户能够在搜索域中键入并找到例如具有特定类型病症的所有图像。然后用户能够验证呈现给他们的所有研究都有这种病症，然后能够将这些数据反馈到训练数据集中。

图片和视频服务

我们希望用户能够捕获他们工作流的当前状态的图片和视频。这些图像和视频需要包括我们服务器上生成的图像数据和客户端浏览器上渲染的覆盖层。为了实现这一点，我们有基于node-webkit的视频服务，其允许我们在同一环境中运行我们的客户端和服务器软件栈。然后，我们在node-webkit环境中恢复用户工作空间的当前状态，并充分利用为该用户的会话分配的相同计算节点。如果用户请求单个图片，则服务仅截取恢复的工作空间的屏幕截图，并返回生成的图像文件。在视频请求的情况下，该服务截取当前工作流的每一帧的屏幕截图，并使用视频编码器将屏幕截图图像编译成视频文件，然后将视频文件返回。返回的图像或视频能够存储在服务器上或发送回客户端以供查看。

以下是用于图片和视频服务的详细软件设计的示例：

屏幕截图和视频捕获

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

需求

^^^^^^^^^^^^

*屏幕截图应该是用户当前在视口区域中所看到的内容的渲染

*视频能够是随着时间循环的mpr

*视频能够由具有能够在其间内插插值参数关键帧的集合生成的

*视频能够是用户交互式录制

*输出应当包含视口上的所有内容(图像、webgl覆盖层、css覆盖层、……)

*屏幕截图和视频帧应当是全质量的

设计

^^^^^^

由于我们在客户端渲染所有内容，因此我们需要客户端来生成图像。

不幸的是，在大多数网络情况下，上传视频会令人望而却步。

因此，屏幕截图/视频服务会在使用客户端渲染技术的集群中运行。

它将通过http开放接口来提供需求中限定的功能。

该服务根据需求启动node webkit进程，以便当收到请求时渲染视频和屏幕截图。

在收到渲染图像或图像集合的请求后，

该服务启动node webkit进程并将其重定向到用户工作列表的签名URL。

然后，node-webkit进程加载研究并注入用户工作空间

接下来，以全质量渲染每一帧。

在渲染帧时，node-webkit执行X11屏幕捕获并裁切到画布视口。

图像将存储到磁盘。

一旦捕获了所有帧，服务将返回屏幕截图，或者如果是视频，

则对视频进行编码并返回。

数据流

^^^^^^^^^

*用户发起屏幕截图或视频的请求。

*web服务器接收请求

*node-webkit进程被启动

*node-webkit进程打开一个会话，进行验证以加载所需的研究

*加载所请求的研究

*将请求中的工作空间注入到研究中

*一旦完成工作空间加载(包括例如流线的长时间运行的任务)后，开始渲染关键帧

*全质量地渲染每帧，没有去抖动图像命令

*渲染图像时，在窗口上执行X11屏幕抓取(xwd)

*将图像裁切到视口并保存到磁盘

*如果请求视频，则一旦生成图像，运行编码

*完成所有图像后，返回具有.png或.mp4的http响应

*web服务器收到结果后，将结果保存在S3中，并将引用保存到数据库

附加工具和优化

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

*node-webkit需要webgl，所以服务将需要在G2实例上运行

*'x11-apps'中的'xwd'程序能够捕获窗口

*ImageMagick的'convert'能够将xwd转换为png

*ffmpeg能够用于从.png的集合生成.mp4

具体细节

^^^^^^^

屏幕截图

+++++++++++

客户端消息：

视频

+++++++++++

客户端消息：

//与屏幕截图相同，再加上

Web服务器处理机

+++++++++++++++++

用于“生成-屏幕截图”的消息处理机将当前工作空间附加到被发送给webkit服务的args。

然后使用webkit-client模块向webkit服务之一发送请求。

一旦收到响应，就将记录***数据库中并存储图像或视频。

Webkit-Client

+++++++++++++

webkit-client模块负责将屏幕截图请求路由给能够处理该请求的节点。

webkit-client订阅当前运行的webkit节点发布的redis消息。

这些消息包括与它们一起运行的app-id一起运行的node-webkit的现有实例。

当接收到请求时，webkit-client尝试找到已具有node-webkit的节点，该node-webkit与所请求的app-id一起运行。

替选地，如果还没有建立会话，那么它选择具有最少数量的运行会话节点。

一旦标识了节点，它就通过HTTPS向该主机发送消息。

在POST中，在主体中将参数(Arguments)作为JSON发送到'/webkit/execute'路径。

当返回结果时，使用二进制和包含类型(例如，图像/png或视频/mp4)以及收集的其他有用信息(例如，定时信息，大小)的JSON blob来调用回调。

Webkit-Service

++++++++++++++

webkit-service是一种微服务，其开放HTTPS接口，用来生成屏幕截图和视频。

webkit-service仅监听在'/webkit/execute'处的POST请求。

在接收到'/webkit/execute'的POST后，它会创建一个webkit-context，并将屏幕截图或视频请求入列。

此模块还负责通过附加与特殊的'webkit-screenshot'用户关联的auth_token，对将从node-webkit发送到web服务器的请求进行授权。

Webkit-Context

++++++++

webkit-context模块负责管理将运行来生成屏幕截图或视频的node-webkit进程。

创建后，webkit-context会创建工作目录来存储中间结果。

接下来，它通过将简单的'index.html'和'package.json'文件复制到工作目录中来配置node-webkit，并配置包含传递到该context中的参数(arguments)的'args.json'来渲染屏幕截图/视频。

然后开启node-webkit，并在生成屏幕截图的整个过程中运行。

当node-webkit退出时，webkit-context将查找适当的屏幕截图或视频文件以用此做出响应。

每个app-id一次只能运行一个屏幕截图。

webkit-context将其本身寄存在redis中，以便web服务器能够路由屏幕截图和视频请求。++++++++++

Node-Main

+++++++++

node-main模块是在node-webkit中运行的桥接模块。

当node-webkit开启时，它会一直等到定义了'global.window'变量，然后读入args.json文件并开始执行生成屏幕截图的步骤。

这些参数表示用于制作窗口的宽度x高度以及将window.location.href重定向到的位置。

假定重定向指向设置的网站，global.window.io是ASP定义的表示websocket连接的变量。

一旦websocket连接完成，它会调用一个'load-study'命令，并等待'load-workspace-complete'。

一旦由恢复工作空间可能已调用的所有命令完成，node-main就开始捕获图像。

如果'args.json'包含'render_frames'字段，它会遍历每一个来生成图像。

通过调用xwd转储Xwindow来生成图像。

然后使用ImageMagick转换来转换为png并裁切到'.ar-content-body-canvas'。

如果生成了多于一个的图像，则调用ffmpeg将一组图像编码为h.264编码视频。

当已创建屏幕截图或视频创建时，node-webkit会完全退出。

任何错误都会导致node-webkit以非零代码退出，这向webkit-context指示屏幕截图失败。

PHI服务

图5示出根据一个示出的实施例的用于医疗分析***或平台500的联网环境。该平台包括分析服务提供者(ASP)网络502，该网络包括ASP***504(例如，一个或更多个基于处理器的设备)，ASP***穿过防火墙506与和医疗提供者(例如医院)网络508(示出一个)相关联的各种***进行通信。ASP***504提供上面讨论的各种功能的一些或全部。例如，ASP***504可以与图1的图像处理和分析***104相似或相同。ASP***504可以使用云架构来实现，并且如此可以包括多个分布式的基于处理器的设备。ASP***504可以例如经由防火墙506可访问的一个或更多个通信网络来访问外部***。

医疗提供者或医院网络508可以包括一个或更多个受保护的健康信息(PHI)***510(示出一个)，PHI***经由防火墙518可操作地耦接到一个或更多个外部网络(例如，因特网)。医疗提供者网络508还可以包括可操作地耦接到PHI服务510的安全断言标记语言(SAML)服务512。在本文讨论的实施方式中的至少一些中，SAML服务512可以被认为是PHI***或服务510的一部分或与其集成。

PHI***510可以可操作地耦接到MRI采集***514，MRI采集***包括MRI机515(图7)和主计算机***517(图7)。PHI***510还可以通信地耦接到数据库524或其它非暂时性处理器可读存储介质，该非暂时性处理器可读存储介质存储从MRI采集***接收到的医学研究数据以及其他数据。医学研究数据可以包括MRI数据、4D流数据或可以具有PHI或其他受保护或个人信息的任何其他类型的数据。如图8所示，PHI***510可以通信地耦接到图片归档和通信***(PACS)525或者与医疗提供者相关联的其它目的地存储装置。

MRI采集***514通常位于临床设施处，例如医院或专用医学成像中心。MRI采集***514可以与图1的MRI采集***102相似或相同。如本文解释的，各种技术和结构可以有利地允许ASP***504远离MRI采集***514定位。ASP***504可以例如定位于另一建筑物、城市、州、省乃至国家。

ASP***504可以包括用来处理进入的请求和响应的一个或更多个服务器，以及一个或更多个渲染或图像处理和分析计算机。服务器可以例如采用执行服务器软件或指令的一个或更多个服务器计算机、工作站计算机、超级计算机或者个人计算机的形式。一个或更多个渲染或图像处理和分析计算机可以采用执行图像处理和/或分析软件或指令的一个或更多个计算机、工作站计算机、超级计算机或者个人计算机的形式。一个或更多个渲染或图像处理和分析计算机通常会采用一个、优选地多个图像处理单元(GPU)或者GPU核。

虽然图5图示了代表性联网环境，通常的联网环境可以包括许多附加的MRI采集***、ASP***、PHI***、计算机***、和/或实体。本文中教导的构思可以以相似的方式用于比图示的更加稠密的联网环境。例如，单个ASP实体可以向多个诊断实体提供图像处理和分析服务。诊断实体中的一个或更多个可以操作两个或更多个MRI采集***。例如，大型医院或专用医学成像中心可以在单个设施处操作两个、三个乃至更多个MRI采集***。

通常，PHI***510可以为医学研究数据(例如DICOM文件)创建安全端点。PHI***510可以自动或自主剥离PHI的文件，并将去标识的医学研究数据上传到ASP***504以进行处理和/或分析。此外，如以下讨论的，可以为操作基于处理器的客户端设备520的用户提供web应用，该基于处理器的客户端设备具有对医疗提供者网络508的安全路径(例如，经由VPN)。web应用操作以将来自PHI***510的本地PHI数据和来自ASP***504的去标识的数据合并，而不向ASP***提供任何PHI数据。

组织(例如医院、其他医疗提供者)可以在现场或在云中实施PHI***510。实施PHI服务的PHI***510允许PHI数据驻留在医疗提供者的网络内并进行控制，同时允许ASP***504在满足监管法律并确保患者隐私的同时在云中作用。

如图6的过程600所示，当用户使用在基于处理器的客户端设备520上执行的web浏览器加载医学研究(例如，MRI)时，在web浏览器内根据需要重标识医学研究数据，其中基于处理器的客户端设备具有对医疗提供者的网络508的安全访问。web应用同时从ASP***504(例如，经由ASP***的web应用)和PHI***510的网络API请求数据。然后，在活跃的会话期间，PHI数据和去标识的数据在基于处理器的客户端设备520上执行的用户的web浏览器内无缝地合并。

PHI***510可以为医疗设备(例如，MRI采集***514)提供API以通过加密连接传输医学研究数据。然后可以以有效的方法将数据安全地上传到ASP***504。这使得易于与当前医疗设备集成，同时为医疗提供者网络508外部传输的数据提供安全性。通过确保医疗提供者网络508内部和外部的所有通信(例如通过HTTPs端口上的HTTPs协议)安全地完成，PHI***510可以减少复杂的每个设备网络配置。

如下面进一步讨论的，可能需要将诸如在ASP***504的web应用内生成的次级捕获对象和报告之类的伪像推送回医疗提供者的报告***和/或PACS。PHI***510充当安全代理，从ASP***504拉取伪像并将重标识的数据推送到医疗提供者网络508内的配置的位置。这允许医疗提供者使用由ASP***504提供的服务而不允许任何入站网络请求，这保证了医疗提供者的网络安全。

PHI***510也可以是自我更新的，并且可以允许安全更新以及功能更新而不需要医疗提供者的工作人员干预。

图7示出了操作PHI***510以从DICOM文件剥离PHI数据的示例过程700。PHI***510接收来自MRI采集***514的主计算机***517的DICOM文件，该DICOM文件包括PHI数据和像素数据。PHI***510从DICOM文件中剥离PHI数据并将PHI数据存储在数据库524中。PHI***510经由防火墙518将去标识的像素数据上传到ASP***504，供ASP***504用来执行上述各种功能。

图8示出了在与医疗提供者相关联的已注册PACS服务器525上存储用户生成的报告的示例过程800。如图所示，操作基于处理器的客户端设备520的用户可以经由web应用请求ASP***504创建报告。响应于该请求，ASP***504生成报告。针对去标识的报告，PHI服务510可以不时地轮询ASP***504。当ASP***504具有一个或更多个可用的去标识的报告时，ASP***504经由加密传输将一个或更多个去标识的报告发送到PHI***510。然后，PHI***510将接收到的报告存储到PACS服务器525供以后使用。

图9是PHI***510的示意图900，其示出了PHI***510是如何处理由MRI采集***514的主计算机***517接收到的DICOM文件。除了其他服务，PHI服务510还可以包括扫描仪上传服务902、去标识符服务904、上传器服务906、PHI存储服务908和状态聚合器服务910。下面进一步讨论这些服务中的每一个。

通常，扫描仪上传服务902负责从MRI采集***514的主计算机***517上传DICOM文件。扫描仪上传服务902还向状态聚合器服务910发布DICOM文件处理的状态。扫描仪上传服务902还将提取的DICOM文件发送到去标识符服务904。

如以下参照图12进一步讨论的，去标识符服务904用于从DICOM文件中剥离或去除任何PHI数据。去标识符服务904然后将去标识的DICOM文件发送到上传器服务906，并将剥离的PHI数据发送到PHI存储服务908，PHI存储服务将PHI数据存储在数据库524中。去标识符服务904还将去标识状态信息发布到状态聚合器服务910。上传器服务906通过加密传输协议将去标识的DICOM文件发送给ASP***504，以供ASP***处理。

图10是PHI***510的示意图1000，示出了如何组织PHI服务依赖关系。PHI***510包括基本操作***(例如，Ubuntu/SL7)，其包括bash脚本1004、Docker 1006和本机可执行文件1008。Docker 1006包括多个Docker容器，Docker容器用于实现PHI***510的各种微服务1002。如图9和11所示，这样的微服务1002例如可以包括扫描仪上传服务902、去标识符服务904、上传器服务906、存储服务908、状态聚合器服务910、SSL代理服务1106、伪像服务1108和启动服务1110。

图11A-11B(统称为图11)是示出PHI服务510的启动序列的***序列图1100。与实现启动序列相关联的部件包括服务控制节点1102、PHI服务510的密钥管理服务1104、ASP***504、扫描仪上传服务902、去标识符服务904、存储服务908、SSL代理服务1106、伪像服务1108和启动服务1110。

在1112和1114，服务控制1102经由存储服务908创建对ASP***504的签名的请求。在1116，ASP***504从密钥管理服务1104请求明文数据密钥。在1118，密钥管理服务1104将密钥返回给ASP***504，在1120该ASP***将明文数据密钥和加密的数据密钥返回给PHI***510的存储服务908。在1122，存储服务908向服务控制1102提供存储服务908已开启的指示。

在1124，服务控制1102向启动服务1110发送开启命令。在1126-1130，启动服务1110经由ASP***504从密钥管理服务1104请求明文密钥。在1134，如果不存在卷秘钥(volume key)，则启动服务1110生成卷秘钥。然后用明文数据密钥加密卷秘钥，现在称为加密的卷秘钥。加密的卷秘钥与加密的数据密钥一起存储。加密的数据密钥唯一地标识明文数据密钥，其允许PHI***510在后续启动时滚动密钥。在1136，启动服务1110通知服务控制1102启动服务已经开启。

在至少一些实施方式中，卷秘钥用于使用aes-256-gcm将挂载的卷(例如，Docker卷)初始化为偏执模式(paranoia mode)的EncFS文件***。需要将数据写入磁盘的所有其他服务需要首先从启动服务1110请求卷密钥。由于卷密钥可能未被保存在存储器中，所以在请求时，启动服务1110利用存储器内明文数据密钥对加密的卷密钥进行解密，并将卷密钥返回给请求服务。请求服务然后使用该卷密钥以解密方式来挂载共享EncFS卷。

在1138，服务控制1102开启去标识服务904。在1140，去标识服务904从启动服务1110获得卷密钥，在1142，该启动服务将卷密钥返回给去标识服务。在1144，去标识服务904使用该卷密钥来挂载共享EncFS卷。在1146，去标识服务904通知服务控制1102去标识服务已经开启。

在1148，服务控制1102开启扫描仪上传服务902。在1150，扫描仪上传服务902从启动服务1110获得卷密钥，在1152，该启动服务将卷密钥返回给扫描仪上传服务。在1154，扫描仪上传服务902使用该卷密钥来挂载EncFS卷。在1156，扫描仪上传服务902通知服务控制1102扫描仪上传服务已经开启。

在1158，服务控制1102开启伪像服务1108。在1160，伪像服务1108从启动服务1110获得卷密钥，在1162，该启动服务将卷密钥返回给伪像服务。在1164，伪像服务1108使用该卷密钥来挂载EncFS卷。在1166，伪像服务1108通知服务控制1102伪像服务已经开启。

在1168，服务控制1102开启SSL代理服务1106。SSL代理服务1106是最后开启的。SSL代理服务1106控制对所有内部服务的外部访问。在1170，SSL代理服务1106通知服务控制1102SSL代理服务已经开启。

图12是示出PHI服务的去标识服务904的过程1200的流程图。去标识服务904负责处理由扫描仪上传服务902上传的研究，收集所有信息，并确保上传到ASP***504是安全的。去标识服务904的主要组成部件是对DICOM数据执行的实际去标识动作。在至少一些实施方式中，可以使用来自GDCM项目的修改的gdcmanon实用程序。

过程1200开始于1202，例如，当扫描仪上传服务902将用于研究的提取的DICOM文件发送到去标识服务904。在1204，启动PHI处理模块。在1206，执行多个处理动作1208-1222。特别地，在1208，重命名包含待处理研究的文件夹。在1210，删除所有非研究文件(例如，sha1sum)。在1212，去标识服务904从DICOM文件中提取PHI。在1214，去标识服务对DICOM文件去标识。例如，可以针对每个DICOM文件收集并存储所有提取的PHI数据，并且可以在该过程结束时将其发送到存储服务908。

在1216，去标识服务904提取混淆的UID。去标识动作1214用混淆值替换研究实例UID。原始数据通过该值与发送给ASP***504的研究链接。

在1218，去标识服务904对混淆的UID执行冲突检查以确保研究实例UID与混淆的UID之间存在唯一映射。如果存在冲突，则可以生成不同的混淆UID以确保研究实例UID与混淆的UID之间的唯一映射。

在1220，例如，去标识服务904将PHI数据发送到存储服务909，该存储服务将PHI数据1220存储在数据库524中。在1222，去标识服务904将文件夹移至去标识的状态。在1224，一旦处理动作1206完成，去标识的数据就排队以通过上传器服务906上传到ASP***504。在1226，过程1200结束，直到例如发现需要处理的另一研究。在1228，如果在处理动作1208-1222的任一处检测到错误，则可以执行PHI错误处理模块。

收集到的PHI数据可以组织在具有两级(一个研究级和一个系列级)信息的文档中。可以通过混淆的研究实例UID来索引数据，该混淆的研究实例UID提供与ASP***504存储的数据的链接。可以将PHI数据发送到存储服务908，该存储服务将数据加密并存储在数据库524中。

可以使用(来自dcmtk项目的)dcmconv实用程序来处理ISO2022数据。在从减少的DICOM文件集中读取PHI数据之前，可以将DICOM文件转换为UTF-8格式。这通过限制需要转换的文件数量来加速处理，同时确保收集的所有PHI数据采用一致的格式。

实用程序gdcmanon处理DICOM数据文件夹中的去标识。然而，该项目仅对2008NEMA标准进行了去标识。因此，至少在一些实施方式中，使用了gdcmanon实用程序的修改版本，其添加了所需的DICOM标签以符合最新的DICOM标准。

该实用程序还对PHI进行加密并将PHI存储在每个DICOM文件中作为新标签。即使在加密时，PHI***510也不发送任何去标识的数据，因此实用程序被进一步修改为跳过***加密数据的新标签的步骤。这通过移除后来添加移除标签的额外步骤的需求进一步加速了该过程。

为了使PHI***510起作用，只需研究级和系列级的PHI的小的子集。然而，DICOM标准移除了更多的字段。为了使PHI***510的数据库524更小，这增强了用户的性能，PHI***可以仅将所需数据存储在数据库524中。在需要附加字段的情况下，或者需要重新处理PHI数据时，可以存储从每个DICOM文件移除的去标识数据(例如，作为被压缩和存档的JSON文件)。

图13A-13B(统称为图13)是示出用于PHI***510的上传器或推送器服务906的过程1300的流程图。推送器服务906有两个主要任务。第一项任务是将标识的研究传输到ASP***504。第二项任务是监控上传的研究的状态，并更新PHI***510的内部状态，直到达到结束状态。这允许主计算机***517从PHI***510请求研究的状态，并从ASP***504接收信息。

在1302，推送器服务906监控由去标识服务904提供的去标识的研究的文件夹。推送器服务906然后开始上传文件过程1304。在1306，推送器服务906捆绑去标识的数据(例如，tar和gzip研究)。在1308，推送器服务906计算新捆绑的文件(例如，tar文件)的sha1sum，该sha1sum用于验证上传的完整性并且还提供用于请求状态更新的密钥。在1310，推送器服务906可以重命名文件(例如，“<sha1sum>.tgz”)以确保文件名不包含PHI。

在1312，然后可以使用发送重试循环1314将重命名的文件上传到ASP***504。发送方重试循环将持续尝试上传文件，其中尝试之间的延迟会延长。如果在多次尝试之后文件未能上传，则可以执行错误上传模块1316。如果上传成功，则验证sha1sum以确保数据完整性。在1318，上传的文件然后排队以通过ASP***504处理。

在1320，上传器服务906可以远程监控上传文件的状态。作为示例，上传器服务906可以将sha1sum作为查找密钥。上传的文件的可能状态可以包括表示发生错误的“错误处理”、表示正在处理文件的“处理中”、或者表示已处理完文件的“已处理”。

存储服务908负责存储提取的PHI数据，以便稍后能够检索它以进行重标识。当存储服务运行时，存储服务与ASP***504通信并检索明文数据密钥和加密的数据密钥，如以上所描述的。然后，将这些密钥存储在存储器中。存储服务908写入磁盘的任何数据都用明文数据密钥加密，并与加密的数据密钥一起存储，该加密的数据密钥标识用于加密数据的明文数据密钥。

图14A-14B(统称为图14)是示出用于在基于处理器的客户端设备520(图5)上执行web应用的web浏览器中重标识数据的过程1400的***序列图1400。在1402，web浏览器向ASP***504发送请求以加载应用。在1404，ASP***504在web浏览器上加载应用。可以向已在ASP***504的web应用程序上成功认证的用户给予web令牌(例如，JSON Web令牌)。如上面所讨论的，当请求数据时，该web令牌通过web浏览器发送到PHI***510。SSL代理服务1106(图11)将所有数据请求转发给PHI***510的授权服务以确保用户仍然具有对该web应用的有效且已认证的访问权限。就用户而言，这一过程是透明的。

在1406，web浏览器从ASP***504请求关于PHI***510的信息。在1408，ASP***504将PHI***信息发送给web浏览器。在1410，web浏览器向ASP***504请求PHI访问令牌。PHI访问令牌被加密并且只能由ASP***504读取。在1412，ASP***504将加密的PHI访问令牌发送给web浏览器。

在1414，web浏览器向PHI***510查询可用的研究的工作列表。对PHI***510的所有请求包含加密的PHI访问令牌。在1416，PHI***510将加密的访问令牌发送给ASP***504以供验证。ASP***504确认访问令牌是有效的(即访问令牌属于活跃的会话)。在1418，ASP***504向PHI***510发送指示访问令牌有效的通知。

在适当的认证/授权之后，PHI***510经由存储服务908的API检索工作列表并研究PHI数据。在1420，PHI***510将工作列表PHI数据发送给web浏览器。

在1422，在从工作列表中选择研究后，web浏览器向ASP***504发送请求以加载研究。响应于这样的请求，ASP***开始将研究加载到计算***(例如，计算集群)上。在1424，web浏览器向PHI***510发送对与所选研究相关联的PHI数据的请求。所授予的访问可以被高速缓存很短的时间，如此，此请求可以不需要验证。在1426，PHI***510将所选研究的PHI数据发送给web浏览器。在1428，一旦研究被加载到计算集群上，ASP***504就将研究数据发送到web浏览器520。

在1430，web浏览器将从ASP***504接收到的研究数据与从PHI***510接收到的PHI数据合并，并将其呈现给用户以使用由ASP提供的服务。因此，利用过程1400，用户可以访问ASP***504提供的完整研究数据和分析，而不需要提供ASP***对PHI数据的任何访问。

图15A-15B(统称为图15)是示出用于实施伪像重标识服务1108的过程1500的***序列图。伪像重标识服务1108负责联系ASP***504，下载任何待处理伪像，重标识下载的伪像，并将它们存储到医疗提供者目的地***，比如PACS 525、基于web的放射科信息***(WRIS)等。

在1502，伪像重标识服务1108向ASP***504发送请求，请求待处理伪像的列表。在1504，ASP***504向伪像重标识服务1108提供待处理伪像的列表。

在1506，伪像重标识服务1108向ASP***504发送请求，以获得接收到的待处理伪像列表中的待处理伪像中的一个。伪像可以是ASP***508可能想要推送到医疗提供者目的地存储设备525的次级对象、报告或任何其他事物。在1508，ASP***504将所请求的伪像发送到伪像重标识服务1108。

在1512，伪像服务1108从存储服务908请求伪像的PHI数据。该请求可以利用在响应中提供的混淆的研究实例UID标签，来向存储服务908查询该研究实例UID的原始的关联标签信息。在1514，PHI***510的存储服务908将PHI数据发送给伪像服务1108。

在1516，伪像服务1108重标识伪像。例如，对于DICOM数据，可以使用dcmodify实用程序来重写伪像的DICOM标签，以与原始存储的伪像相匹配。

当重标识成功时，伪像被推送到医疗提供者目的地存储器525。目的地可能是PACS、WRIS或任何其他支持的端点。可以从ASP***504提供带有连接细节的伪像细节。

在1522，伪像服务1108向ASP***504发送指示针对该伪像的伪像重标识过程已完成的通知。在1524，ASP***504通知伪像服务1104该伪像的状态已被更新，指示在下一次迭代期间，不再在待处理伪像的列表中返回该伪像。

上述自动方法去除了常规方法中特有的在标识解剖结构和流方面的主观性，提供了高级别的或重复性。该重复性允许MRI数据的新用途。例如，可以跨不同会话可靠地检查单个患者的MRI数据，以观察趋势。更加令人惊讶的是，可以跨人群或人口可靠地检查多个患者的MRI数据，以观察趋势。

图16是根据一个示出的实施例的，与图5所示的PHI服务管线集成的受信代理人服务(TBS)***1601的示意图。TBS***1601允许授权的第三方控制对已经从授权的上传器上传到分析服务提供者(ASP)网络502的数据进行访问。在一个示例实施例中，基于处理器的客户端设备520可以是授权的第三方的设备。在其他实施例中，PHI***或服务510可以是授权的第三方的***或服务。尽管TBS***可以应用于以及用于存储和控制对医学研究数据的访问，其中医学研究数据可以包括MRI数据、4D流数据或任何其他类型的可能具有PHI或其他受保护的或个人信息的数据，但在其他实施例中，本文描述的TBS和PHI***可以应用于以及用于存储和控制对各种类型的医学和非医学数据的访问，该医学和非医学数据包括但不限于以下内容中的一个或更多个：敏感数据、秘密数据、涉密数据、机密数据、专有数据、个人信息、基因信息、病史数据、与疾病有关的数据、心理健康数据、实验室测试结果数据、血液测试结果数据、尿液分析数据、药物测试结果数据、基因检测结果数据、活检数据、心电图数据、X射线成像数据、医学扫描数据、CT扫描数据、超声扫描数据、医学成像数据、探查性手术数据、犯罪背景数据、个人背景数据、军事记录数据、密封的法庭记录数据、纪律处分记录数据、学术记录数据、受保密协议约束的数据、家谱数据、出生记录数据、个人信用数据、个人财务数据、私有公司数据、商业机密数据、受保密命令约束的数据、科学数据、油气勘探数据、地质勘探数据、有关新发现石油的地质数据、地理数据、关于可能发现石油的地区的数据、关于可能发现有价值矿产的地区的数据。

ASP网络502包括ASP***504(例如，一个或更多个基于处理器的设备)，该ASP***穿过防火墙506与和医疗提供者(例如医院)网络508(示出一个)以及与TBS***1601相关联的各种***进行通信。ASP***504提供本文讨论的关于ASP网络502的各种功能中的一些或全部。可以使用云架构来实现ASP***504，并且因此可以包括多个分布式的基于处理器的设备。例如，ASP***504可以经由通过防火墙506可访问的一个或更多个通信网络来访问诸如TBS***1601之类的外部***。

在一个示例实施例中，该通信路径中可能存在三个主要部件：1.上传器，2.ASP***504，3.受信代理人服务1601。在一个示例实施例中，授权的上传器可以是上述的PHI***或服务510的一部分或与之集成。TBS***1601可以包括一个或更多个计算机或其他数据处理***，例如，如图2所示的计算机，其存储数据和计算机可执行指令并相应地执行计算机可执行指令以执行本文所描述的过程。

受信代理人服务从上传器(例如PHI***或服务510)接受JSON元数据(例如，有关医学研究数据的元数据)，并为其分配唯一标识符，然后将该标识符返回上传器。在受信代理人服务1601内部，标识符与指示如何在访问控制下存储和下载数据的指令相关联。

在受信代理人服务1601公开了一个应用编程接口(API)，当给定唯一标识符时，该API返回访问指令。被授权的第三方(例如，由基于处理器的客户端设备520表示)可以从受信代理人服务1601中删除唯一标识符(和相关联记录)，从而使得无法访问以该唯一标识符上传的数据。

受信代理人服务1601接收来自上传器和ASP***504的通信。可以使用传输层安全协议(TLS)进行此通信。部件将获得一个自我更新的域验证SSL证书。这使得调用部件能够保证只与真正的被调用组部发生外发通信。受信代理人服务1601使用客户端证书验证来验证来自ASP***504的传入连接。

在一个示例实施方式中，受信代理人服务1601需要三个证书：

私有密钥(private_key)

私有密钥与公共证书相关联

公共证书(public_cert)

pem格式的域验证公共证书链，由受信CA签署，受信代理人服务使用它作为公共证书。

arterys_ca_cert

pem格式的证书授权，用于对来自ASP***504的传入请求进行客户端证书验证

可以在启动期间从ASP***504检索以上证书。

在示例实施例中，证书具有有效期，并且在有效期之前自动续订。

在示例实施例中，受信代理人服务1601经由API请求从ASP***504周期性地请求更新的证书。如果存在更新的证书，则受信代理人服务将安装它们。

基于加密的控制：

在示例实施例中，受信代理人服务1601为每个元数据上传生成加密信息。这包括要使用的加密/解密算法，以及唯一的加密密钥。

每当ASP***504要保存或读取与上传标识符关联的数据时，ASP***504都使用上传标识符来向受信代理人服务1601请求加密信息。

被授权的第三方可以从受信代理人服务1601中删除唯一标识符(和相关联记录)，因此，使用该唯一标识符上传的数据将无法解密。

图17是根据一个示出的实施例的上传器和TBS***的示意图，示出了TBS***如何执行基于加密的数据上传。

为了与受信代理人服务进行通信，上传器必须首先向ASP***请求受信代理人服务地址和认证令牌。(1)

该请求的认证是使用在安装期间上传器部件上存在的API密钥和密码。

在成功接收到地址和认证令牌时，上传器会将其希望存储的元数据以及认证令牌一起发送到受信代理人服务。(2)

受信代理人服务将建立与ASP***的外发连接，请求验证认证令牌。(3)

成功验证后，受信代理人服务保存上传器发送的元数据。这涉及到生成针对该元数据的唯一标识符以及一些加密信息，这些信息指示ASP***应如何加密将来的关联数据。唯一标识符返回给上传器。(4)

现在，上传器将数据以及唯一标识符发送到ASP***。(5)

ASP***通过使用唯一标识符查询数据，向受信代理人服务请求针对该数据的加密信息。(6)

返回的加密信息用于在存储之前对上传的数据进行加密。(7)

图18是根据一个示出的实施例的终端用户***、ASP***和TBS***的示意图，其示出了TBS***如何执行基于加密的数据下载。

当ASP***收到数据请求时，它将在内部存储中查找对应的上传标识符(1)。例如，该请求可以来自图5和16所示的基于处理器的客户端设备520。在其他实施例中，该请求可以来自图5和图16所示的PHI***或服务510。

将针对与该上传标识符关联的加密信息的请求发送到受信代理人服务(2)。

返回的加密信息用于在返回请求的数据之前从存储中解密请求的数据(3)。

撤销数据访问：

受信代理人服务允许搜索其上传元数据，以便定位要撤消其访问的数据。

一旦定位了匹配的记录，可以将它们从内部存储中删除。对于给定其唯一标识符的加密信息的后续请求将不再找到匹配项，也不会返回任何加密信息。

这样可以确保ASP***将无法解密任何存储的数据，从而撤消对该数据的访问。

图19是根据一个示出的实施例的上传器、ASP***和TBS***的示意图，示出了TBS***如何执行基于访问的数据上传。

基于访问的控制：

受信代理人服务生成一个预签名的、时间期满的访问URL，从而允许ASP***根据与URL关联的访问策略将文件存储到该URL或从该URL下载文件。

为了与受信代理人服务进行通信，上传器必须首先从ASP***请求受信代理人服务地址和认证令牌。(1)该请求的认证是使用在安装期间上传器部件上存在的API密钥和密码。

在成功接收到地址和认证令牌时，上传器会将其希望存储的元数据以及认证令牌一起发送到受信代理人服务。(2)

受信代理人服务将建立与ASP***的外发连接，请求验证认证令牌。(3)

成功验证后，受信代理人服务保存上传器发送的元数据。这涉及到该元数据的唯一标识符的生成。唯一标识符返回给上传器。(4)

现在，上传器将数据以及唯一标识符发送到ASP***。(5)

ASP***通过将文件名和唯一标识符发送到受信代理人服务，来请求预签名的上传URL。(6)

受信代理人服务将所请求的文件名与唯一标识符相关联，并为该文件名生成一个预签名的上传URL。受信代理人服务将URL返回到ASP***。(7)

ASP***将其希望上传的数据发送到预签名的上传URL。(8)

图20是根据一个示出的实施例的终端用户***、ASP***和TBS***的示意图，其示出了TBS***如何执行基于访问的数据下载。

当ASP***收到数据请求时，ASP***将在内部存储中查找对应的上传标识符和文件名(1)。

将针对与该文件名和上传标识符关联的预签名下载URL的请求发送到受信代理人服务(2)。

受信代理人服务会为所请求的文件生成一个预签名的下载URL(3)。

然后，ASP***能够在预签名下载URL指定的位置请求数据(4)。

撤销数据访问：

受信代理人服务允许搜索其上传元数据，以便定位要撤消其访问的数据。

一旦定位了匹配的记录，可以将它们从内部存储中删除。对于预签名url的后续请求因为找不到匹配项而失败。

这确保ASP***将无法访问由受信代理人服务(TBS)控制的任何存储数据。

所有基于访问的数据上传、数据访问和访问撤销过程中的一些可以代替本文所述的基于加密的数据上传、数据访问和访问撤销过程或与之结合使用。

图21是示出根据一个示出的实施例的操作医学分析平台的分析服务提供者(ASP)***的过程2100的流程图。例如，分析服务提供者(ASP)***可以是ASP***504。

在2102，ASP***接收医学研究数据以及医学研究数据的唯一标识符。

在2104，ASP***将医学研究数据的唯一标识符存储在ASP***上。

在2106，ASP***发送对所接收到的医学研究数据的访问指令的请求，其中，该请求包括医学研究数据的唯一标识符。

在2108，ASP***接收访问指令以响应于该请求。

在2108，ASP***使用接收到的访问指令将医学研究数据存储在ASP***上。

图22是示出根据一个示出的实施例的操作医学分析平台的受信代理人服务(TBS)***的过程2200的流程图。

在2202，TBS***接收来自分析服务提供者(ASP)***的对要存储在ASP***上的医学研究数据的访问指令的请求，其中该请求包括医学研究数据的唯一标识符。

在2204，TBS***使用唯一标识符来检索针对医学研究数据的访问指令。

在2206，响应于对访问指令的请求，TBS***将医学研究数据的访问指令发送到ASP***。

图23是示出根据一个示出的实施例的操作医学分析平台的医学研究数据上传器(MSDU)***的过程2300的流程图。

在2302，MSDU***向分析服务提供者(ASP)***发送对受信代理人服务(TBS)***的认证令牌和地址的请求，该请求包括存储在MSDU***上的应用编程接口(API)密钥和唯一密码。

在2304，响应于发送到ASP***的请求，由MSDU***从ASP***接收TBS***的认证令牌和地址。

在2306，MSDU***使用TBS***的地址将关于医学研究数据的元数据连同认证令牌一起发送到TBS***。

在2308，响应于将关于医学研究数据的元数据连同认证令牌一起发送到TBS***，MSDU***从TBS***接收医学研究数据的唯一标识符。

在2310，MSDU***将医学研究数据的唯一标识符连同医学研究数据一起发送给ASP***，以存储在ASP***上。

图24是示出根据一个示出的实施例的操作医学分析平台的过程2400的流程图，该医学分析平台包括医学研究数据上传器(MSDU)***、分析服务提供者(ASP)***和受信代理人服务(TBS)***。

在2402，MSDU***将关于医学研究数据的元数据发送到TBS***。

在2404，TBS***生成医学研究数据的唯一标识符。

在2406，TBS***生成针对医学研究数据的访问信息。

在2408，TBS***将医学研究数据的唯一标识符与针对医学研究数据的访问信息和关于医学研究数据的元数据相关联。

在2410，TBS***在TBS***上存储关于医学研究数据的元数据。

在2412，TBS***在TBS***上存储医学研究数据的唯一标识符与针对医学研究数据的访问信息和关于医学研究数据的元数据的关联。

在2414，TBS***将医学研究数据的唯一标识符发送到MSDU***。

在2416，MSDU***将医学研究数据的唯一标识符连同医学研究数据一起发送给ASP***，以存储在ASP***上。

在2418，ASP***将医学研究数据的唯一标识符存储在ASP***上。

在2420，ASP***发送对所接收到的医学研究数据的访问指令的请求，其中，该请求包括医学研究数据的唯一标识符。

在2422，响应于该请求，ASP***接收访问指令。

在2424，ASP***使用接收到的访问指令将医学研究数据存储在ASP***上。

纵向跟踪完全去标识的医学研究

下面提供了一种可能的实现方式的描述。图25-28说明了下面描述的特征。特别地，图25是跟踪完全去标识的医学研究的***2500的示意性框图。***2500包括PHI服务2502、远程服务2504、扫描仪2506、相关研究服务2508和设置2510。图26是示出了用于PHI服务的启动操作2600的流程图，图27是示出了组织设置过程2700的改变的流程图，并且图28是在扫描新研究后实施的过程2800的流程图。

参照图25，可以在组织(例如，医院)内托管相关研究服务2502。在操作中，相关研究服务2502生成用于去标识信息的加密哈希。相关研究服务2508可以在服务启动时首先加载加密密钥。如果不存在密钥，则服务2508生成密钥(例如，使用操作***的伪随机数生成器)。

在启动时，相关研究服务2508首先在2602加载组织的配置标识字段。它通过查询可能是同一应用的一部分的另一配置或设置服务2510来做到这一点，该另一配置或设置服务进而向远程服务2504查询组织的配置信息。该配置服务2510周期性地向远程服务2504查询配置更新，并且能够将任何改变(参见图27的方法2700的2702和2704)通知从属服务，例如相关研究服务2508。

在2604，在检索组织的配置标识字段之后，相关研究服务2508查询所存储的标识数据(例如，按扫描分组)，并通过附加组织配置指定的所有字段以及先前生成的密钥，为每个研究生成哈希(例如sha256哈希)。

在2606，如果新生成的加密哈希与同一研究的高速缓存版本不同，或者如果不存在先前高速缓存版本，则在2608，相关研究服务2508然后经由HTTP API端点(经由密钥/密码和ssl保护)将加密哈希发送到远程服务2504(在2610接收)，然后将数据本地存储在其高速缓存中。

当相关研究服务2508在正常操作期间从成像设备2506接收到新研究时，相关研究服务计算加密哈希，并通过与其启动计算期间相同的API方法将加密哈希发送到远程服务2504(参见，例如，图28的方法2800的动作2802-2818)。然后，新生成的加密哈希将存储在相关研究服务2508的高速缓存中。

当配置服务2510检测到组织的配置发生改变时，配置服务会通知所有从属服务。在相关研究服务2508的情况下，当从配置服务2510接收到改变通知时，相关研究服务执行与启动时执行的相同的过程，重新运行所有存储的数据，并且如果需要的话，重新生成要发送到远程云服务2504的加密哈希。

由相关研究服务2508发送并由远程云服务2504接收到的每个扫描的数据包含混淆的研究实例UID和加密哈希。混淆的研究实例UID用于唯一地标识远程云服务2504内的每个扫描。

远程云服务2504通过使用针对每个扫描的混淆的研究实例UID作为到扫描收集信息的其余部分的密钥，存储与独立于扫描收集信息的研究相关的加密哈希。这允许在不影响与扫描关联的图像和元数据的情况下，快速修改或移除提供扫描之间关系的加密哈希。它还通过在信息泄露的情况下隔离信息来提供安全性。在数据泄露的情况下，攻击者将需要两组数据(即，在扫描处理期间存储的去标识字段，以及通过混淆的研究实例UID链接的加密哈希)。通过使用附加了标识数据的唯一加密密钥(如上所述)，可以提供额外的安全性。如果攻击者可以访问标识信息，而又无法访问加密存储在组织数据中心内托管相关研究服务2508的服务器上的密钥，则攻击者将无法确定患者的sha256sum。

在至少一些实施方式中，本公开可以提供用于在已经被去标识的多个DICOM研究之间建立关系的***和方法。可以使用公共字段来链接研究。可以在组织级别选择公共字段。例如，默认的公共标识字段可以包括患者ID和机构名称。公共字段可以与组织密钥结合。每个组织的唯一密钥可防止任何人仅使用公共字段创建加密哈希，从而确保数据安全。可以计算公共字段的加密哈希以及唯一密码，并将其用于提供所有相关研究中共有的唯一标识符。

可以使用在PHI服务器2502上存储的标识数据来计算加密哈希并将其发送到云服务器2504。加密哈希可能不会与去标识的数据一起存储。由于哈希可能不会与去标识的数据一起存储，因此能够追溯地生成哈希，能够使用不同的公共字段重新生成哈希，并且能够快速删除或重新计算哈希，而无需重新处理所有DICOM数据。

每个新处理的研究的加密哈希可以被发送到云服务器2504。

可以周期性地计算加密哈希并将其与先前存储的值进行比较。如果不同(包括之前未存储)，则可以将它们重新发送到云服务2504。这样允许将先前处理的研究关联起来。这还允许修改公共字段，并且能够以新方式关联所有数据。

PHI服务器2502可以周期性地向云服务器2504查询组织的配置的公共字段。这使组织可以更改标识公共字段并以最小的努力重新生成关系。

图29是示出了根据一个示出的实施例的操作医学分析平台的分析服务提供者(ASP)***和受保护的健康信息(PHI)***以访问PHI的过程2900的流程图。医学分析平台可以包括图5所示的医学分析平台500的全部或一部分。例如，医学分析平台可以包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***。在各种实施例中，ASP***可以包括图5所示的ASP网络502和/或ASP***504的全部或一部分。在各种实施例中，PHI***可以包括图5所示的PHI***510的全部或一部分。

在2902，ASP***的至少一个处理器将去标识的医学研究数据存储在ASP***的至少一个非暂时性处理器可读存储介质上。

在2904，PHI***的至少一个处理器将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上。

在2906，ASP***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对医学研究的请求。

在2908，ASP***的至少一个处理器对从基于处理器的客户端设备接收到的对医学研究的请求进行认证。

在2910，ASP***的至少一个处理器通过至少一个通信网络从PHI***请求与所请求的医学研究相关的PHI数据。

在2912，响应于该请求，PHI***的至少一个处理器通过至少一个通信网络将所请求的PHI数据发送到ASP***。

在2914，ASP***的至少一个处理器通过至少一个通信网络从PHI***接收PHI数据。

在2916，ASP***的至少一个处理器通过至少一个通信网络将接收到的PHI数据发送到发出请求的基于客户端处理器的设备。

在2918，ASP***的至少一个处理器通过至少一个通信网络将针对所请求的医学研究的去标识的医学研究数据发送到基于处理器的客户端设备。

从PHI***请求与所请求的医学研究相关联的PHI数据可以包括：由ASP***的至少一个处理器向PHI***的服务器发送对与所请求的医学研究相关联的PHI数据的HTTPS长轮询请求。PHI***的服务器可以保持该请求打开，直到与所请求的医学研究相关联的PHI数据可用为止。将所请求的PHI数据发送到ASP***可以是响应于发送到PHI***的服务器的HTTPS长轮询请求而进行的。

将所请求的PHI数据发送到ASP可以包括：响应于从ASP***发送到PHI***的服务器的HTTPS长轮询请求，PHI***的至少一个处理器将请求的PHI数据发送到ASP***。而且，响应于从PHI***接收到PHI数据，ASP***的至少一个处理器可以通过至少一个通信网络，立即向PHI***发送对来自PHI***的新的PHI数据的另一个HTTPS长轮询请求。

将接收到的PHI数据发送到发出请求的基于客户端处理器的设备可以包括：将接收到的PHI数据发送到发出请求的基于客户端处理器的设备，而无需ASP***持久存储PHI数据。同样，将接收到的PHI数据发送到发出请求的基于客户端处理器的设备可以包括：将接收到的PHI数据发送到发出请求的基于客户端处理器的设备，而无需ASP***解密接收到的PHI数据。

操作医学分析平台的过程2900，该医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，可以进一步包括：由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收PHI数据；由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收去标识的医学研究数据；由基于处理器的客户端设备中的至少一个处理器将PHI数据和去标识的医学研究数据合并以生成重新标识的医学研究数据；以及由基于处理器的客户端设备的至少一个处理器将重新标识的医学研究数据呈现给基于处理器的客户端设备的用户。

操作医学分析平台的过程2900，该医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，可以进一步包括：由PHI***的至少一个处理器接收包括PHI数据的医学研究数据；由PHI***的至少一个处理器从医学研究数据中去除PHI数据，以生成去标识的医学研究数据；由PHI***的至少一个处理器将PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质中；以及由PHI***的至少一个处理器通过至少一个通信网络向ASP***发送去标识的医学研究数据。

接收包括PHI数据的医学研究数据可以包括从扫描仪接收医学成像数据。从医学研究数据中去除PHI数据可以包括：由PHI***的至少一个处理器去除允许删除的字段；以及通过PHI***的至少一个处理器，用混淆的替换数据替换不允许删除的字段中的数据。

操作医学分析平台的过程2900，该医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，可以进一步包括：由PHI***的至少一个处理器将唯一标识符与医学研究的医学研究数据相关联；由PHI***的至少一个处理器将唯一标识符存储在PHI***的至少一个非暂时性处理器可读存储介质中；由PHI***的至少一个处理器通过至少一个通信网络将唯一标识符与医学研究的去标识的医学数据一起发送给ASP***。

操作医学分析平台的过程2900，该医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，可以进一步包括：由ASP***的至少一个处理器生成与去标识的医学研究数据有关的分析数据；以及由ASP***的至少一个处理器通过至少一个通信网络将生成的分析数据发送到PHI***。

图30是示出了根据一个示出的实施例的操作医学分析平台的ASP***以访问PHI的过程3000的流程图。医学分析平台可以包括图5所示的医学分析平台500的全部或一部分。例如，医学分析平台可以包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***。在各种实施例中，ASP***可以包括图5所示的ASP网络502和/或ASP***504的全部或一部分。在各种实施例中，PHI***可以包括图5所示的PHI***510的全部或一部分。PHI***可以在PHI***的至少一个非暂时性处理器可读存储介质上存储与去标识的医学研究数据相关联的PHI数据。

在3002，ASP***的至少一个处理器将去标识的医学研究数据存储在ASP***的至少一个非暂时性处理器可读存储介质上。

在3004，ASP***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对医学研究的请求。

在3006，ASP***的至少一个处理器认证从基于处理器的客户端设备接收到的对医学研究的请求。

在3008，ASP***的至少一个处理器通过至少一个通信网络从PHI***请求与所请求的医学研究相关联的PHI数据。

在3010，ASP***的至少一个处理器响应于该请求，通过至少一个通信网络从PHI***接收PHI数据。

在3012，ASP***的至少一个处理器通过至少一个通信网络将接收到的PHI数据发送到发出请求的基于客户端处理器的设备，而无需访问PHI数据的内容。

在3014，ASP***的至少一个处理器通过至少一个通信网络将针对所请求的医学研究的去标识的医学研究数据发送到基于处理器的客户端设备。

操作医学分析平台的分析服务提供者(ASP)***的过程3000，该医学分析平台包含ASP***和受保护的健康信息(PHI)***，PHI***将与去标识的医学研究数据相关的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上可以进一步包括：ASP***的至少一个处理器通过至少一个通信网络从PHI***接收去标识的医学研究数据。

操作医学分析平台的分析服务提供者(ASP)***的过程3000，该医学分析平台包括ASP***和受保护的健康信息(PHI)***，PHI***将与去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上可以进一步包括：由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收PHI数据；由基于处理器的客户端设备的至少一个处理器通过至少一个通信网络从ASP***接收去标识的医学研究数据；由基于处理器的客户端设备的至少一个处理器将PHI数据和去标识的医学研究数据合并以生成重新标识的医学研究数据；以及由基于处理器的客户端设备的至少一个处理器将重新标识的医学研究数据呈现给基于处理器的客户端设备的用户。

从PHI***请求与所请求的医学研究相关联的PHI数据可以包括：由ASP***的至少一个处理器向PHI***的服务器发送针对与所请求的医学研究相关联的PHI数据的HTTPS长轮询请求，该HTTPS长轮询请求保持打开，直到与所请求的医学研究相关联的PHI数据可用为止。从PHI***接收到的PHI数据可以响应于发送到PHI***的服务器的HTTPS长轮询请求。

响应于从PHI***接收到PHI数据，ASP***的至少一个处理器可以立即向PHI***发送针对来自PHI***的新的PHI数据另一个HTTPS长轮询请求，该HTTPS长轮询请求保持打开，直到来自PHI***的新的PHI数据可用为止。

结合图29和图30描述的上述过程通过使用户无需连接到医疗服务提供者(例如医院)的虚拟专用网络或WiFi网络即可访问PHI，提高了通过计算机网络的医学成像和分析技术的效率和灵活性。这种改进是以计算机网络技术为根基的。

DICOM研究能够随着时间的推移而部分地发送，其中最新文件包含自先前上传(例如，图5中所示的从MRI采集***514到PHI***510的上传)以来已改变的DICOM元数据。例如，DICOM研究可以与更新后的患者年龄或包含其他系列的数据重新上传。一个实施例通过用混淆的版本替换DICOM唯一标识符(UIDS)来将每个传入的上传视为不同的研究。以下描述，包括图31和图32以及本文的相关描述，公开了确保“同一研究”以同样的方式混淆的过程，无论研究的部分以何种时序顺序被接收。

例如，可以使用修改后的去标识符实用程序(例如，来自GDCM项目的修改后的gdcmanon实用程序)。特别地，可以修改gdcmanon以使用通用唯一标识符(UUID)派生的UID生成方案，在位于http://dicom.nema.org/medical/dicom/current/output/html/part05.html#sect_B.2的医学数字成像和通信(DISCOM)标准中定义了该方案，并通过引用将其全部内容并入本文。特别是，可以通过获得原始UID、由oid名称空间对其进行修改并应用SHA-1哈希来创建新的混淆的UID。该函数为满射。

如上所述，DICOM元数据能够随着时间有效地改变，可以修改存储子***(例如，图5的PHI***510的子***)，以针对参考原始研究实例UID的每个新上传单独存储元数据。

作为一个示例，一项带有研究实例UID{alpha}的研究进入[upload A](例如，被上传到图5的PHI***510)。使用如上所述的修改后的去标识实用程序，在每个DICOM文件中将{alpha}替换为混淆的研究实例UID。提取PHI数据并将其存储在本地数据库(例如，图5的PHI***510的本地数据库)中，将混淆的研究实例UID映射到原始研究实例UID。

在以后的某个时间点，带有研究实例UID{alpha}]的其他研究数据进入[uploadB](例如，上传到图5的PHI***510)。由于上述修改后的去标识符实用程序实现的去标识符函数的属性，{alpha}被映射到相同的混淆的研究实例UID，然后将其用于替换{alpha}的所有实例。

可以以相同的方式来提取PHI数据以进行第二次上传，但是随后由PHI***(例如，图5的PHI***510)将所提取的PHI数据与上传标识符一起存储。当从PHI服务(例如，从图5的PHI***510)请求PHI数据时，通过对PHI进行改变和添加直到包括最新的上传来生成返回的响应。

在上面的示例中，返回响应可以计算如下：

PHI＝extract_phi_from[upload A]

PHI＝merge(PHI,extract_phi_from[upload B])

合并功能被设计成使得从[upload B]中提取的PHI覆盖从[upload A]中上传的PHI。这可以概括到N上传场景。可以提供附加的API，以便能够查询任何[upload X]的所合并的PHI。

图31是示出根据关于上述内容的一个实施例的操作与组织相关联的基于处理器的***以存储PHI数据的过程3100的流程图。例如，过程3100可以由医学分析平台的一个或更多个处理器执行，该医学分析平台可以包括图5所示的医学分析平台500的全部或一部分。例如，医学分析平台可以包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***。在各种实施例中，ASP***可以包括图5所示的ASP网络502和/或ASP***504的全部或一部分。在各种实施例中，PHI***可以包括图5所示的PHI***510的全部或一部分。PHI***可以在PHI***的至少一个非暂时性处理器可读存储介质上存储与去标识的医学研究数据相关联的PHI数据。在一个实施例中，过程3100可以由图5所示的PHI***510的一个或更多个处理器执行。

在3102，至少一个处理器从DICOM研究的一部分获得唯一地标识DICOM研究的研究实例唯一标识符。

在3104，至少一个处理器基于研究实例唯一标识符生成哈希；

在3106，至少一个处理器基于所生成的哈希来生成混淆的研究实例唯一标识符。

在3108，至少一个处理器通过至少用混淆的研究实例唯一标识符替换DICOM研究的一部分中的研究实例唯一标识符来对DICOM研究的一部分去标识。

在3110，至少一个处理器从DICOM研究的一部分中提取受保护的健康信息(PHI)。

在3112，至少一个处理器存储从DICOM研究的一部分中提取的PHI。

在3114，至少一个处理器存储在研究实例唯一标识符、混淆的研究实例唯一标识符与DICOM研究的一部分之间的至少一个关联。

在3114，由至少一个处理器确定是否已经接收到DICOM研究的附加部分。例如，这可以包括更新的或附加的DICOM元数据。如果确定已接收到DICOM研究的附加部分，则过程进行至3102，以重复对DICOM研究的附加部分的操作。如果确定尚未接收到DICOM研究的附加部分，则该过程在3118结束，使得当接收到DICOM研究的每个附加部分时，根据过程3100为该研究存储PHI。

图32是示出根据一个示出的实施例的操作与组织相关联的基于处理器的***以提供合并的PHI数据的过程3200的流程图。在一个实施例中，过程3200可用于访问根据过程3100存储的PHI。过程3200可以结合过程3100或作为其一部分使用。例如，过程3100可以由医学分析平台的一个或更多个处理器执行，该医学分析平台可以包括图5所示的医学分析平台500的全部或一部分。医学分析平台可以包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***。在各种实施例中，ASP***可以包括图5所示的ASP网络502和/或ASP***504的全部或一部分。在各种实施例中，PHI***可以包括图5所示的PHI***510的全部或一部分。PHI***可以在PHI***的至少一个非暂时性处理器可读存储介质上存储与去标识的医学研究数据相关联的PHI数据。在一个实施例中，过程3100可以由图5所示的PHI***510的一个或更多个处理器执行。

在3202，至少一个处理器接收对与过程3100的混淆的研究实例唯一标识符相关联的PHI的请求。

在3204，响应于对PHI数据的请求，至少一个处理器将DICOM研究标识为与混淆的研究实例唯一标识符相关联。

在3206，至少一个处理器基于研究实例唯一标识符、混淆的研究实例唯一标识符与DICOM研究的一部分之间的至少一个关联来标识与DICOM研究的一部分相关联的存储的PHI。

在3208，至少一个处理器提取所存储的且与DICOM研究的一部分相关联的PHI。

在3210，至少一个处理器将提取的PHI与先前提取的与DICOM研究的多个部分中的其他部分相关联的PHI合并。

在3214，至少一个处理器确定DISCOM研究的附加部分是否被存储在例如图5的PHI***510中，并且可用于处理。如果确定存储了DISCOM研究的附加部分，则过程3200进行到3206以处理该附加部分，这导致DICOM研究的所有部分被合并，直到没有剩余的部分可以存储并可供处理为止。如果确定未存储DISCOM研究的附加部分，则过程进行到3212。

在3212，至少一个处理器提供合并的PHI以用于DICOM研究。例如，这可以被提供给图5所示的请求DICOM研究数据的基于处理器的客户端设备520。

操作与组织相关联的基于处理器的***的过程3200可以进一步包括：由至少一个处理器随着单独的上传和不同的时间接收DICOM研究的多个部分中的每个部分。

将提取的PHI与先前提取的与DICOM研究的多个部分中的其他部分相关联的PHI合并可以包括：确定何时上传DICOM研究的多个部分中的每个部分的时序顺序；以及在用于DICOM研究的所合并的PHI中，由至少一个处理器利用对应的后续上传的PHI覆盖先前提取的PHI。

操作与组织相关联的基于处理器的***的过程3200可以进一步包括：由至少一个处理器接收标识DICOM研究的多个部分中的一个部分的查询，该查询包括用于搜索DICOM研究的多个部分中的所标识的一个部分的参数；响应于该查询：由至少一个处理器基于参数搜索与DICOM研究的多个部分中的所标识的一个部分相关联的PHI；并由至少一个处理器基于参数提供与DICOM研究的多个部分中的所标识的一个部分相关联的PHI。

DICOM研究的多个部分中的至少一个部分可以包括DICOM元数据，并且DICOM研究的多个部分中的至少另一部分可以包括对同一DICOM元数据的更新。DICOM研究的多个部分中的至少一个部分可以包括DICOM元数据，并且DICOM研究的多个部分中的至少另一部分可以包括对DICOM研究的DICOM元数据的添加。DICOM研究的多个部分中的至少一个部分可以包括DICOM元数据，并且DICOM研究的多个部分中的至少另一部分可以包括对DICOM研究的DICOM元数据的添加。DICOM研究的多个部分中的至少一个部分可以包括与DICOM研究相关联的患者年龄，并且DICOM研究的多个部分中的至少另一部分可以包括对与DICOM研究相关联的患者年龄的更新。DICOM研究的多个部分中的至少一个部分可以包括用于DICOM研究的系列水平数据，并且DICOM研究的多个部分中的至少另一部分可以包括用于DICOM研究的附加系列水平数据。

结合图31和图32描述的上述过程，通过在PHI服务中关联唯一标识符来提高了通过计算机网络进行医学成像和分析的技术的速度、效率和灵活性，以便不论其接收到的时序顺序随时间接受DICOM研究数据，并跟踪/检索哪些PHI数据发生了变化。

前面的详细描述已经通过使用框图、示意图和示例阐述了设备和/或过程的各种实施方式。只要这些框图、示意图和示例包含一个或更多个功能和/或操作，本技术领域技术人员就会理解，这些框图、流程图或示例中的每个功能和/或操作能够通过广泛的硬件、软件、固件或其实际上的任何组合来单独地和/或共同地实现。在一个实施方式中，本主题可以经由专用集成电路(ASIC)来实施。但是，本领域技术人员将认识到，在此公开的实施方式能够整体地或部分地作为一台或更多台计算机上运行的一个或更多个计算机程序(例如，作为一台或多台计算机***上运行的一个或更多个程序)、作为在一个或更多个控制器(例如，微控制器)上运行的一个或更多个程序、作为在一个或更多个处理器(例如，微处理器)上运行的一个或更多个程序、作为固件或其几乎任何组合等效地在标准集成电路中实现，并且本领域技术人员根据本公开，将完全在本领域普通技术人员的技能范围内设计电路和/或编写用于软件和/或固件的代码。

本领域技术人员将认识到，本文阐述的许多方法或算法可以采用附加动作，可以省略某些动作和/或可以以与指定顺序不同的顺序执行动作。

另外，本领域技术人员将理解，本文所教导的机制能够以各种形式作为程序产品进行分发，并且示例性实施同样适用，而与用于实际进行分发的信号承载介质的特定类型无关。信号承载介质的示例包括但不限于以下内容：可记录类型的介质，例如软盘、硬盘驱动器、CD ROM、数字磁带和计算机内存。

能够将上述各种实施方式组合以提供进一步的实施方式。在不与本文的特定教导和限定相抵触的范围内，本说明书中提到的和/或申请数据表中列出的所有美国专利、美国专利申请出版物、美国专利申请、外国专利、外国专利申请和非专利出版物包括但不限于：2011年7月7日提交的美国临时专利申请NO.61/571,908；2016年12月6日公布的美国专利NO.9,513,357；2012年7月5日提交的PCT专利申请NO.PCT/US2012/045575；2016年11月29日提交的美国专利申请NO.15/363683；2014年1月17日提交的美国临时专利申请NO.61/928702；2016年7月15日提交的美国专利申请NO.15/112130；2015年1月16日提交的PCT专利申请NO.PCT/US2015/011851；以及2015年11月20日提交的美国临时专利申请NO.62/260565；2016年10月31日提交的美国临时专利申请NO.62/415203；2016年11月29日提交的PCT专利申请NO.US2016/064029；2016年11月29日提交的PCT专利申请NO.US2016/064031；2016年11月1日提交的美国临时专利申请NO.62/415666；2016年11月29日提交的PCT专利申请NO.US2016/064028；2017年1月27日提交的美国临时专利申请NO.62/451482；2017年5月4日提交的美国临时专利申请NO.62/501613；2017年5月30日提交的美国临时专利申请NO.62/512610；2017年11月22日提交的美国临时专利申请NO.62/589825；2017年11月22日提交的美国临时专利申请NO.62/589805；2017年11月22日提交的美国临时专利申请NO.62/589772；2017年11月22日提交的美国临时专利申请NO.62/589872；2017年11月22日提交的美国临时专利申请NO.62/589876；2017年11月22日提交的美国临时专利申请NO.62/589833；2017年11月22日提交的美国临时专利申请NO.62/589838；2017年11月27日提交的美国临时专利申请NO.62/589,766，均以引用的方式全部并入本文。如有必要，能够修改实施方式的方面以采用该各个专利、申请和公开的***、电路和构思，从而提供更进一步的实施方式。

能够对根据上面详细描述的说明书的实施方式做出这些和其他改变。通常，在所附权利要求中，所使用的术语不应解释为将权利要求限定为在本说明书和权利要求书中公开的具体实施方式，而应该理解为包括所附权利要求所保护的所有可行实施方式以及等同物。因此，权利要求不受公开内容限制。

本申请要求享有2018年11月21日提交的美国临时申请NO.62/770636的优先权的权益，该申请的全部内容通过引用并入本文。

Claims (31)

1.一种操作医学分析平台的方法，所述医学分析平台包括分析服务提供者(ASP)***和受保护的健康信息(PHI)***，所述方法包括：

由所述ASP***的至少一个处理器将去标识的医学研究数据存储在ASP***的至少一个非暂时性处理器可读存储介质上；

由所述PHI***的至少一个处理器将与所述去标识的医学研究数据相关联的PHI数据存储在PHI***的至少一个非暂时性处理器可读存储介质上；

由所述ASP***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对医学研究的请求；

由所述ASP***的至少一个处理器对从所述基于处理器的客户端设备接收到的对所述医学研究的请求进行认证；

由所述ASP***的至少一个处理器通过所述至少一个通信网络从PHI***请求与所请求的医学研究相关联的PHI数据；

响应于所述请求，由所述PHI***的至少一个处理器通过所述至少一个通信网络将所请求的PHI数据发送到ASP***；

由所述ASP***的至少一个处理器通过所述至少一个通信网络从PHI***接收PHI数据；

由所述ASP***的至少一个处理器通过所述至少一个通信网络将所接收到的PHI数据发送到所述发出请求的基于客户端处理器的设备；以及

由所述ASP***的至少一个处理器通过所述至少一个通信网络将针对所请求的医学研究的去标识的医学研究数据发送到基于处理器的客户端设备。

2.根据权利要求1所述的方法，还包括：

由所述基于处理器的客户端设备的至少一个处理器通过所述至少一个通信网络从ASP***接收所述PHI数据；

由所述基于处理器的客户端设备的至少一个处理器通过所述至少一个通信网络从ASP***接收所述去标识的医学研究数据；

由所述基于处理器的客户端设备的至少一个处理器将所述PHI数据和所述去标识的医学研究数据合并以生成重新标识的医学研究数据；以及

由所述基于处理器的客户端设备的至少一个处理器将所述重新标识的医学研究数据呈现给所述基于处理器的客户端设备的用户。

3.根据权利要求1所述的方法，还包括：

由所述PHI***的至少一个处理器接收包括PHI数据的医学研究数据；

由所述PHI***的至少一个处理器从所述医学研究数据中去除所述PHI数据，以生成去标识的医学研究数据；

由所述PHI***的至少一个处理器将所述PHI数据存储在所述PHI***的至少一个非暂时性处理器可读存储介质中；以及

由所述PHI***的至少一个处理器通过所述至少一个通信网络将所述去标识的医学研究数据发送到ASP***。

4.根据权利要求3所述的方法，其中，接收包括PHI数据的医学研究数据包括从扫描仪接收医学成像数据。

5.根据权利要求3所述的方法，其中，从所述医学研究数据中去除所述PHI数据包括：

由所述PHI***的至少一个处理器去除允许删除的字段；以及

由所述PHI***的至少一个处理器使用混淆的替换数据替换不允许删除的字段中的数据。

6.根据权利要求3所述的方法，还包括：

由所述PHI***的至少一个处理器将唯一标识符与医学研究的医学研究数据相关联；

由所述PHI***的至少一个处理器将所述唯一标识符存储在PHI***的至少一个非暂时性处理器可读存储介质中；以及

由所述PHI***的至少一个处理器通过所述至少一个通信网络将所述唯一标识符与用于所述医学研究的所述去标识的医学数据一起发送给ASP***。

7.根据权利要求1所述的方法，还包括：

由所述ASP***的至少一个处理器生成与所述去标识的医学研究数据有关的分析数据；以及

由所述ASP***的至少一个处理器通过所述至少一个通信网络将所生成的分析数据发送到PHI***。

8.根据权利要求1所述的方法，其中，将所接收到的PHI数据发送到所述发出请求的基于处理器的客户端设备包括：

将所接收到的PHI数据发送到所述发出请求的基于处理器的客户端设备，而无需ASP***持久存储所述PHI数据。

9.根据权利要求1所述的方法，其中，将所接收到的PHI数据发送到所述发出请求的基于处理器的客户端设备包括：

将所接收到的PHI数据发送到所述发出请求的基于处理器的客户端设备，而无需ASP***解密所接收到的PHI数据。

10.根据权利要求1所述的方法，其中，从所述PHI***请求与所请求的医学研究相关联的PHI数据包括：

由所述ASP***的至少一个处理器向PHI***的服务器发送对与所请求的医学研究相关联的PHI数据的HTTPS长轮询请求，其中，所述PHI***的服务器保持所述请求打开，直到与所请求的医学研究相关联的PHI数据可用为止，并且其中，将所请求的PHI数据发送到ASP***是响应于发送到所述PHI***的服务器的HTTPS长轮询请求而进行的。

11.根据权利要求1所述的方法，其中，将所请求的PHI数据发送到所述ASP***包括：

响应于从所述ASP***发送到PHI***的服务器的HTTPS长轮询请求，由所述PHI***的至少一个处理器将所请求的PHI数据发送到ASP***。

12.根据权利要求11所述的方法，还包括：

响应于从所述PHI***接收到所述PHI数据，由ASP***的至少一个处理器通过所述至少一个通信网络立即向所述PHI***发送对来自PHI***的新的PHI数据的另一个HTTPS长轮询请求。

13.一种操作医学分析平台的分析服务提供者(ASP)***的方法，所述医学分析平台包括ASP***和受保护的健康信息(PHI)***，所述PHI***将与去标识的医学研究数据相关联的PHI数据存储在所述PHI***的至少一个非暂时性处理器可读存储介质上，所述方法包括：

由所述ASP***的至少一个处理器将所述去标识的医学研究数据存储在ASP***的至少一个非暂时性处理器可读存储介质上；

由所述ASP***的至少一个处理器通过至少一个通信网络从基于处理器的客户端设备接收对医学研究的请求；

由所述ASP***的至少一个处理器对从所述基于处理器的客户端设备接收到的对所述医学研究的请求进行认证；

由所述ASP***的至少一个处理器通过所述至少一个通信网络从PHI***请求与所请求的医学研究相关联的PHI数据；

响应于所述请求，由所述ASP***的至少一个处理器通过所述至少一个通信网络从PHI***接收PHI数据；

由所述ASP***的至少一个处理器通过所述至少一个通信网络将所接收到的PHI数据发送到所述发出请求的基于客户端处理器的设备，而无需访问所述PHI数据的内容；以及

由所述ASP***的至少一个处理器通过所述至少一个通信网络将针对所请求的医学研究的去标识的医学研究数据发送到所述基于处理器的客户端设备。

14.根据权利要求13所述的方法，还包括：

由所述ASP***的至少一个处理器通过所述至少一个通信网络从PHI***接收所述去标识的医学研究数据。

15.根据权利要求13所述的方法，还包括：

由所述基于处理器的客户端设备的至少一个处理器通过所述至少一个通信网络从ASP***接收所述PHI数据；

由所述基于处理器的客户端设备的至少一个处理器通过所述至少一个通信网络从ASP***接收所述去标识的医学研究数据；

由所述基于处理器的客户端设备的至少一个处理器将所述PHI数据和所述去标识的医学研究数据合并以生成重新标识的医学研究数据；以及

由所述基于处理器的客户端设备的至少一个处理器将所述重新标识的医学研究数据呈现给所述基于处理器的客户端设备的用户。

16.根据权利要求13所述的方法，其中，从所述PHI***请求与所请求的医学研究相关联的PHI数据包括：

由所述ASP***的至少一个处理器向PHI***的服务器发送对与所请求的医学研究相关联的PHI数据的HTTPS长轮询请求，所述HTTPS长轮询请求保持打开，直到与所请求的医学研究相关联的PHI数据可用为止，并且其中，从所述PHI***接收PHI数据是响应于发送到所述PHI***的服务器的HTTPS长轮询请求而进行的。

17.根据权利要求13所述的方法，还包括：

响应于从所述PHI***接收到所述PHI数据，由ASP***的至少一个处理器立即向所述PHI***发送对来自PHI***的新的PHI数据的另一个HTTPS长轮询请求，所述HTTPS长轮询请求保持打开，直到来自所述PHI***的新的PHI数据可用为止。

18.一种基于处理器的***，包括：

至少一个非暂时性处理器可读存储介质，其存储处理器可执行指令或数据中的至少一种；以及

至少一个处理器，其可通信地耦接到所述至少一个非暂时性处理器可读存储介质，在操作中，所述至少一个处理器实施根据权利要求1-17中任一项所述的方法。

19.一种非暂时性计算机可读存储介质，其上存储有处理器可执行指令，当所述处理器可执行指令被执行时，使至少一个计算机处理器执行根据权利要求1-17中任一项所述的方法。

20.一种操作与组织相关联的基于处理器的***的方法，所述方法包括：

对于DICOM(医学数字成像和通信)研究的多个部分中的每个部分：

由至少一个处理器从所述DICOM研究的部分获得唯一地标识所述DICOM研究的研究实例唯一标识符；

由所述至少一个处理器基于所述研究实例唯一标识符生成哈希；

由所述至少一个处理器基于所生成的哈希来生成混淆的研究实例唯一标识符；

由所述至少一个处理器通过至少用所述混淆的研究实例唯一标识符替换所述DICOM研究的部分中的研究实例唯一标识符来对所述DICOM研究的部分去标识；

由所述至少一个处理器从所述DICOM研究的部分中提取受保护的健康信息(PHI)；

由所述至少一个处理器存储从所述DICOM研究的部分中提取的所述PHI；

由所述至少一个处理器存储研究实例唯一标识符、混淆的研究实例唯一标识符与DICOM研究的部分之间的至少一个关联。

21.根据权利要求20所述的方法，还包括：

由至少一个处理器接收对与所述混淆的研究实例唯一标识符相关联的PHI的请求；以及

响应于对PHI数据的所述请求：

由所述至少一个处理器将所述DICOM研究标识为与所述混淆的研究实例唯一标识符相关联；

对于所述DICOM研究的多个部分中的每个部分：

由所述至少一个处理器基于研究实例唯一标识符、混淆的研究实例唯一标识符与DICOM研究的部分之间的所述至少一个关联来标识与所述DICOM研究的部分相关联的所存储的PHI；

由所述至少一个处理器提取所存储的且与所述DICOM研究的部分相关联的PHI；以及

由所述至少一个处理器将所提取的PHI与先前提取的与所述DICOM研究的多个部分的其他部分相关联的PHI合并；以及

由所述至少一个处理器提供所合并的PHI以用于所述DICOM研究。

22.根据权利要求20所述的方法，还包括：

由所述至少一个处理器随着单独的上传和不同的时间接收所述DICOM研究的多个部分中的每个部分。

23.根据权利要求22所述的方法，其中，将所提取的PHI与先前提取的与所述DICOM研究的多个部分的其他部分相关联的PHI合并，包括：

确定何时上传所述DICOM研究的多个部分中的每个部分的时序顺序；以及

在用于所述DICOM研究的所合并的PHI中，由所述至少一个处理器利用对应的后续上传的PHI覆盖先前所提取的PHI。

24.根据权利要求22所述的方法，还包括：

由所述至少一个处理器接收标识所述DICOM研究的多个部分中的一个部分的查询，所述查询包括用于搜索所标识的DICOM研究的多个部分中的一个部分的参数；以及

响应于所述查询：

由所述至少一个处理器基于所述参数搜索与所标识的DICOM研究的多个部分中的一个部分相关联的PHI；以及

由所述至少一个处理器基于所述参数提供与所标识的DICOM研究的多个部分中的一个部分相关联的PHI。

25.根据权利要求20所述的方法，其中，所述DICOM研究的多个部分中的至少一个部分包括DICOM元数据，并且所述DICOM研究的多个部分中的至少另一部分包括对同一DICOM元数据的更新。

26.根据权利要求20所述的方法，其中，所述DICOM研究的多个部分中的至少一个部分包括DICOM元数据，并且所述DICOM研究的多个部分中的至少另一部分包括对所述DICOM研究的所述DICOM元数据的添加。

27.根据权利要求20所述的方法，其中，所述DICOM研究的多个部分中的至少一个部分包括DICOM元数据，并且所述DICOM研究的多个部分中的至少另一部分包括对所述DICOM研究的所述DICOM元数据的添加。

28.根据权利要求20所述的方法，其中，所述DICOM研究的多个部分中的至少一个部分包括与所述DICOM研究相关联的患者年龄，并且所述DICOM研究的多个部分中的至少另一部分包括对与所述DICOM研究相关联的患者年龄的更新。

29.根据权利要求20所述的方法，其中，所述DICOM研究的多个部分中的至少一个部分包括用于所述DICOM研究的系列水平数据，并且所述DICOM研究的多个部分中的至少另一部分包括用于所述DICOM研究的附加系列水平数据。

30.一种基于处理器的***，包括：

至少一个非暂时性处理器可读存储介质，其存储处理器可执行指令或数据中的至少一种；以及

至少一个处理器，其可通信地耦接到所述至少一个非暂时性处理器可读存储介质，在操作中，所述至少一个处理器实施根据权利要求20-29中任一项所述的方法。

31.一种非暂时性计算机可读存储介质，其上存储有处理器可执行指令，当所述处理器可执行指令被执行时，使至少一个计算机处理器执行根据权利要求20-29中任一项所述的方法。

Images