医疗企业集成（Integrating the Healthcare Enterprises，IHE）计划制定的“跨机构文档共享”（Cross-Enterprise Document Sharing, XDS）标准，定义了同一个医疗联合体中的不同机构共享和交换病人医疗信息的框架。凭借XDS采用的分散存储医疗文档、集中存储医疗文档元数据的方式，并结合使用IHE制定的其它一系列安全保障框架，能够构建一个较安全可靠的跨机构医疗信息交换平台。但是，作为XDS的基础-医疗文档元数据，虽然也含有病人的隐私信息，目前尚缺乏支持其安全提交、存贮和查询的隐私保护机制。本文旨在研究一种适用于基于XDS医疗信息交换过程的、能够有效保护医疗文档元数据中的隐私信息的机制，主要完成了以下工作：1)提出了一种文档元数据隐私信息定义和保护机制。该机制由隐私视图、隐私策略和隐私监视器组成。隐私视图用于定义文档元数据中的隐私信息；隐私策略用于定义对文档元数据中的隐私信息的保护策略；隐私监视器用于在医疗信息交换过程中按相关隐私策略对隐私信息实施保护。2)研究了将文档元数据隐私信息定义和保护机制引入到XDS中所涉及的文档元数据提交、存储和查询事务的改进等相关技术问题，给出了一个支持文档元数据隐私保护的扩展XDS框架。该框架在原有XDS医疗文档元数据的基础上集成了医疗文档元数据隐私信息和保护策略的提交和存储功能，并支持动态定义元数据隐私信息。3)在一个现有XDS参考实现-Microsoft XDS Reference Implementation的基础上实现了一个支持文档元数据隐私保护的扩展XDS框架原型。为了方便用户定义文档元数据的隐私信息和保护策略，还开发了一个文档元数据隐私视图编辑器。4）利用所实现的扩展XDS框架原型，对提出的文档元数据隐私信息定义和保护机制以及扩展XDS框架从文档元数据隐私提交、检索策略和转化策略的时效性和有效性等方面进行实验性分析和评价。实验结果表明：扩展XDS框架既能够有效地保护文档元数据隐私信息，又不破坏原框架的稳定性和时效性。