KR101698555B1 - 건강관리 데이터 핸들링 방법 및 시스템 - Google Patents
건강관리 데이터 핸들링 방법 및 시스템 Download PDFInfo
- Publication number
- KR101698555B1 KR101698555B1 KR1020117000055A KR20117000055A KR101698555B1 KR 101698555 B1 KR101698555 B1 KR 101698555B1 KR 1020117000055 A KR1020117000055 A KR 1020117000055A KR 20117000055 A KR20117000055 A KR 20117000055A KR 101698555 B1 KR101698555 B1 KR 101698555B1
- Authority
- KR
- South Korea
- Prior art keywords
- data
- health care
- request
- emergency
- access
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000036541 health Effects 0.000 claims abstract description 75
- 238000012545 processing Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 238000012552 review Methods 0.000 claims description 2
- 239000003795 chemical substances by application Substances 0.000 description 65
- 238000004891 communication Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 5
- 229940079593 drug Drugs 0.000 description 4
- 239000003814 drug Substances 0.000 description 4
- 238000003384 imaging method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 239000002131 composite material Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 229940124645 emergency medicine Drugs 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000010420 art technique Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
- G16H10/60—ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
- G06F21/1075—Editing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H10/00—ICT specially adapted for the handling or processing of patient-related medical or healthcare data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Medical Informatics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Primary Health Care (AREA)
- Public Health (AREA)
- Epidemiology (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
- Measuring And Recording Apparatus For Diagnosis (AREA)
Abstract
본 발명은 건강관리 데이터에 액세스하기 위한 해독 키들을 보유하거나 액세스하는 신뢰된 에이전트(trusted agent)에 의한 건강관리 데이터 핸들링 방법에 관한 것이다. 요청은 건강관리 데이터에 액세스하는 것을 요청하는 요청자로부터 수신되고, 수신된 요청은, 수신된 요청이 응급 요청임을 시그널링하는 데이터 태그를 포함한다. 로그는 신뢰된 에이전트에 의해 요청 또는 요청자 또는 둘 모두에 관련된 데이터를 포함하여 생성된다. 마지막으로, 요청자에게는 건강관리 데이터에의 액세스가 제공된다.
Description
본 발명은 건강관리 데이터에 액세스하기 위한 해독 키들을 보유하거나 액세스하는 신뢰된 에이전트(trusted agent)에 의한 건강관리 데이터 핸들링 방법에 관한 것이다. 본 발명은 또한, 신뢰된 에이전트가 건강관리 데이터에 액세스하기 위한 해독 키들을 보유하거나 액세스하는, 건강관리 데이터를 핸들링하도록 구성된 신뢰된 에이전트에 관한 것이다. 본 발명은 또한, 상기 신뢰된 에이전트에 의해 핸들링되는 건강관리 데이터에 액세스하기 위한 요청을 생성하는 요청 생성기를 포함하는 요청자, 및 상기 신뢰된 에이전트로부터 로그(log)를 수신하는 수신기를 포함하는 서버에 관한 것이다.
정보 및 통신 기술들의 발전들은 건강관리 분야에서 큰 이익들을 가져다 줄 것으로 기대되며: EHR(Electronic Health Record) 시스템들의 도입은 건강관리 시스템의 비용을 줄일 수 있고, 전체 치료 품질을 향상시킬 수 있는 반면에, RPM(Remote Patient Management) 서비스들은 병원에서 환자가 머무르는 시간을 한정할 것이다. 그럼에도 불구하고, 데이터에 대해 EHR들 및 RPM들은 다소 작은 스케일로 사용된다. 상이한 시스템들 및 논리적인 이슈들의 통합에 관련된 문제점들 외에, 정보 보안 및 프라이버시에 관한 관심사들은 배치된 시스템들의 결손에 대한 기본적인 이유들이다. 예를 들어, EHR 시스템들은 그것들이 따라해야 하는 엄격한 보안 및 프라이버시 규정들(privacy regulations)(EU Directive 95/46 또는 미국에서의 HIPAA과 같음)에 직면하고 있다.
현대의 건강관리 통신 아키텍처들은 개방적이고, 상호접속된 환경들에 있는 경향이 있으며: 민감한 환자 기록들이 건강관리 제공자 내의 물리적으로 고립된 메인프레임들(mainframes) 상에 더 이상 존재하지 않고, 데이터 및 시스템을 방어하기 위해 물리적인 보안 조치들이 취해질 수 있다. 환자 파일들은 오히려, 가정의들(family doctors), 의학 전문가들, 심지어는 비-의학 치료 제공자들에 대해 분산된 액세스(decentralized access)를 허용하기 위해, 데이터가 부분적으로 신뢰되지 않은 서버들 상에 아웃소싱되거나 프로세스되는 환경에서 유지된다. 데이터베이스 서버에서 데이터를 로크(lock)하고, 데이터에의 액세스를 허용하기 위해 전통적인 액세스 제어 모델을 사용하는, 현재 사용되는 서버 중심 보호 모델(server-centric protection model)은 새로운 건강관리 기본구조들의 요구사항들을 효과적으로 다룰 수 없다.
상이한 건강관리 제공자들 사이에서 또는 외부의 관계자들과 기록들을 공유하는 것을 허용하기 위해, 데이터 중심 보호(date-centric protection)를 용이하게 하는 엔드-투-엔드 보안 기술들(end-to-end security techniques)이 사용될 수 있고: 데이터는 암호식으로 보호되고, 아웃소스되도록 허용되거나, 또는 심지어는 자유롭게 네트워크 상을 떠돈다(float). 기밀성(confidentiality), 통일성(integrity), 및 확실성(authenticity)을 제공하도록 상이한 네트워크들 상에 중계하기 보다는, 데이터는 통신의 엔드 포인트들(end points)에서 보호된다. 이것은, 권리 관리 기술들(rights management technologies), 즉 소비자 가전분야에서의 디지털 권리 관리(DRM) 및 비즈니스 분야에서의 기업 권리 관리(enterprise rights management: ERM)를 적용함으로써 달성될 수 있다. 이러한 시스템들에서, 공개된 DRM 보호 데이터(DRM-protected data)는 암호화되고, 라이센스 서버만이 그것들이 데이터에 액세스하기에 충분한 권리를 가지고 있으면, 요청하는 사용자들에게 라이센스들을 발행한다. 하지만, 이 기술에 의해 해소되지 않는 특정한 문제점은 사용되는 보호 모델에 무관하게 응급한 경우에(emergency case), 전자적인 환자 기록들에의 즉각적인 액세스를 보장하는 것이다. 이러한 DRM/ERM 시스템들이 모든 필요한 액세스 권리를 수행하는 요청자에게만 건강관리 데이터에의 액세스를 제공하는 것에 관해 매우 신뢰할만하지만, 이러한 시스템들은, 예컨대 건강관리 제공자가 의학 데이터에의 즉각적인 액세스를 필요로 하는, 시스템들의 정상적인 동작의 예외를 요청하는 응급 상황들을 처리할 수는 없다.
WO 2008/008009 A1은 환자 정보 허브 시스템의 의학 정보 관리를 개시한다. 상기 출원은 주입된 의학 장치(IMD)를 갖는 환자의 데이터 문서들의 관리를 위한 건강관리 시스템에 새용된 환자 정보 시스템을 개시한다. 휴대용 비주입식 유닛은 IMD와 통신하는 기능을 가진다. 통신 유닛의 스크린상에 디스플레이하기 위한 시스템으로부터의 문서 리스트의 검색 또는 외부 요청 유닛(external requesting unit)으로의 송신은 IMD 및 비주입식 유닛을 포함하는 통신 동작에 의존하게 된다.
WO 2008/008009 A1은 환자 정보 허브 시스템의 의학 정보 관리를 개시한다. 상기 출원은 주입된 의학 장치(IMD)를 갖는 환자의 데이터 문서들의 관리를 위한 건강관리 시스템에 새용된 환자 정보 시스템을 개시한다. 휴대용 비주입식 유닛은 IMD와 통신하는 기능을 가진다. 통신 유닛의 스크린상에 디스플레이하기 위한 시스템으로부터의 문서 리스트의 검색 또는 외부 요청 유닛(external requesting unit)으로의 송신은 IMD 및 비주입식 유닛을 포함하는 통신 동작에 의존하게 된다.
본 발명의 목적은, 시스템의 정상적인 동작에서의 예외를 나타낸다는 점에서 건강관리 데이터를 핸들링하는 안전하지만 동시에 유연한 방식을 제공함으로써 상술한 단점들을 극복하는 것이며, 예컨대 응급처치 제공자에게 건강관리 데이터에의 액세스를 승인하는 것이 이용가능한 정규 권리들이 존재하지 않아도, 병원과 같은 응급처치 제공자가 건강관리 데이터로의 즉각적인 액세스를 필요로 하는, 상황을 다룰 수 있다.
한 가지 특징에 따라, 본 발명은 건강관리 데이터에 액세스하기 위한 해독 키들을 보유하거나 액세스하는 신뢰된 에이전트에 의한 건강관리 데이터 핸들링 방법에 관한 것으로, 상기 방법은:
- 건강관리 데이터에 액세스를 요청하는 요청자로부터의 요청을 수신하는 단계로서, 수신된 요청은, 상기 수신된 요청이 응급 요청임을 시그널링(signaling)하는 데이터 태그(data tag)를 포함하는, 상기 수신 단계,
- 요청 또는 요청자 또는 둘 모두에 관련된 데이터를 포함하는 로그(log)를 신뢰된 에이전트가 생성하는 단계, 및
- 요청자에게 건강관리 데이터에의 액세스를 제공하는 단계를 포함한다.
그러므로, 임의의 시간에, 요청자는 의학 데이터에 액세스할 수 있고, 동시에 건강관리 데이터의 기밀성을 효과적으로 보호할 수 있다. 의학 데이터는 암호화되고, 신뢰된 에이전트는 액세스(해독)가 허용될지의 여부를, 요청자의 신원에 기초하여 결정할 수 있다. 예를 들어, 액세스 정책은, 의학 데이터가 건강관리 제공자들에 의해서만 액세스될 수 있을 수 있다. 또한, 액세스가 로그되고, 데이터에 액세스한 건강관리 제공자로 하여금 그의 동작에 책임을 질 수 있게 한다. 신뢰된 에이전트는 예컨대, 신뢰된 벤더(vendor)로부터 물리적인 디바이스 또는 소프트웨어 애플리케이션일 수 있고, 표준 인터페이스를 가질 수 있다. 이것은, 다수의 벤더들로 하여금, 구현(implementation)할 수 있게 하고, 또한, 단일 인터페이스를 구현하기 위해 의학 애플리케이션들을 요청한다.
그러므로, 건강관리 데이터에 액세스하기 위해 응급 요청들을 핸들링할 수 없는, 라이센스 서버들, 호환 클라이언트들(compliant clients) 등이 사용되는 DRM(Digital Right Management) 클라이언트 애플리케이션과 같이 앞에서 논의된 바와 같은 종래 기술의 애플리케이션들과는 상이하게, 응급처치(예컨대, 병원)는, 그가 정상적인 권리를 가지고 있지 않아도, 그가 액세스하고자 하는 데이터에 액세스하도록 허용하는 라이센스를 승인받을 것이다. 그러한 응급 액세스가 아주 중요한 특징인 건강관리 데이터의 보안을 희생할 수 있게 하지만, 그러한 건강관리 데이터로의 응급 액세스가 환자의 생명을 구할 수 있기 때문에 환자의 안전보다 중요하지는 않다.
일 실시예에서, 요청자로부터 수신된 요청은, 건강관리 데이터에 액세스하기 위한 해독 키를 요청하는 것을 포함하고, 요청자에게 건강관리 데이터에의 액세스를 제공하는 단계는 요청된 해독 키를 요청자에게 포워딩한다.
그러므로, 신뢰된 에이전트가 요청이 수신되는 것으로부터 모든 클라이언트들의 데이터를 해독할 필요가 없어, 병목이 회피될 수 있다. 해독은 클라이언트 애플리케이션에서 일어난다.
일 실시예에서, 요청자로부터 수신된 요청은 암호화된 형태로 상기 요청된 건강관리 데이터를 포함하고, 요청자에게 건강관리 데이터에의 액세스를 제공하는 단계는 요청자에게 건강관리 데이터를 암호화된 형태로 포워딩한다.
이것은, 신뢰된 에이전트로 하여금, 디지털 권리 관리 및 데이터 해독을 지원하지 않는 레거시 시스템들(legacy systems)과 상호연동한다(interoperate). 이 경우에, 암호화된 데이터는 클라이언트 애플리케이션에서 오프라인으로 저장된다.
일 실시예에서, 수신된 요청에 후속하여, 에이전트는 건강관리 데이터를 서버로부터 암호화된 형태로 얻고 건강관리 데이터를 해독하고, 요청자에게 건강관리 데이터에의 액세스를 제공하는 단계는 요청자에게 해독된 건강관리 데이터를 포워딩한다.
본 실시예는 앞의 실시예와 동일한 이점을 제공한다. 하지만, 본 실시예에서 의학 데이터는 집중화된 데이터베이스에 저장된다.
일 실시예에서, 상기 방법은 리뷰(review)를 위한 서버에 로그를 제출하는(submit) 단계를 더 포함한다.
그러므로, 신뢰된 에이전트는 요청 및 요청자에 관한 모든 필요한 세부사항들을 기록할 수 있다. 이것은 날짜와 시간과 같은 콘텍스트 데이터, 요청된 데이터와 같은 요청에 포함된 정보, 의학 애플리케이션 또는 사용되는 디바이스에 대한 로그인 인증서들(login credentials)과 같은 요청자에 관한 정보, IP 어드레스와 같은 디바이스에 관한 정보 등일 수 있다.
일 실시예에서, 라이센스는 건강관리 데이터에 액세스하기 위한 연관된 라이센스 규칙들과 함께 해독키를 포함하고, 여기에서, 요청자는 DRM(Digital Right Management) 클라이언트 애플리케이션 또는 ERM(Enterprise Rights Management) 클라이언트 애플리케이션이고, 건강관리 데이터에의 액세스를, DRM 또는 ERM 클라이언트 애플리케이션에 제공하는 단계는 DRM 또는 ERM 클라이언트 애플리케이션에 연관된 라이센스 규칙들과 함께 라이센스 해독키를 포워딩한다.
일 실시예에서, 건강관리 데이터는 도큐먼트 키(document key)로 보호되고, 라이센스는 보호된 건강관리 데이터에 대해 응급 KEm 키로 암호화된 도큐먼트 키를 포함하고, 이어서, 응급 KEm 키는 모든 신뢰된 에이전트들에 분배된다.
일 실시예에서, 라이센스는 보호된 건강관리 데이터에 첨부된다.
일 실시예에서, 응급 라이센스 및 보호된 건강 데이터는 DRM 또는 ERM에 포워딩되고, 응급 요청시에, DRM 또는 ERM에는 또한, 도큐먼트 해독키를 해독하도록 구성된 응급 키 KEm가 제공된다.
또 다른 양태에 따라, 본 발명은 컴퓨터 프로그램 제품이 컴퓨터 상에서 동작할 때 상술한 방법 단계들을 실행하도록 프로세싱 유닛에 지시하기 위한 컴퓨터 프로그램 제품에 관한 것이다.
또 다른 양태에 따라, 본 발명은, 신뢰된 에이전트가 건강관리 데이터에 액세스하기 위한 해독 키들을 보유하거나, 그것들에 액세스하는, 건강관리 데이터를 핸들링하도록 구성된 신뢰된 에이전트에 관한 것으로:
건강관리 데이터에 액세스하는 것을 요청하는 요청자로부터 요청을 수신하는 수신기로서, 수신된 요청은, 상기 수신된 요청이 응급 요청임을 시그널링하는 데이터 태그를 포함하는, 상기 수신기,
요청 또는 요청자 또는 둘 모두에 관련된 데이터를 포함하는 로그를 생성하는 로그 생성기, 및
수신된 요청을 프로세싱하는 프로세서로서, 상기 프로세싱은 요청자에게 건강관리 데이터에의 액세스를 제공하게 하는, 상기 프로세서를 포함한다.
또 다른 양태에 따라, 본 발명은, 상기 신뢰된 에이전트에 의해 핸들링되는 건강관리 데이터에 액세스하기 위한 요청을 생성하는 요청 생성기를 포함하는 요청자에 관한 것으로, 요청 생성기는 또한 생성된 요청이 응급 요청임을 시그널링하는 데이터 태그를 생성하도록 구성된다.
또 다른 양태에 따라, 본 발명은 상기 신뢰된 에이전트로부터 로그를 수신하는 수신기 및 수신된 로그를 저장하는 메모리를 포함하는 서버에 관한 것이고,
메모리는 또한, 건강관리 데이터, 또는 건강관리 데이터에 액세스하기 위한 해독키들, 또는 건강관리 데이터에 액세스하기 위한 연관된 라이센스 규칙들과 함께 해독키를 포함하는 라이센스 또는 그것들의 조합을 저장하고,
신뢰된 서버는 다수의 상기 신뢰된 에이전트들을 동작시키고, 제공하고, 관리하도록 구성되며, 상기 동작은 신뢰된 에이전트들로부터 상기 로그를 수신하는 것에 응답하여, 요청된 해독 키들을 제공함으로써 건강관리 데이터에의 액세스를 신뢰된 에이전트들에 제공하는 것을 포함한다.
본 발명의 양태들 각각은 다른 양태들 중 임의의 특징과 조합될 수 있다. 본 발명의 여러 가지 양태들은 이하에서 설명되는 실시예들을 참조하여 명백해질 수 있다.
본 발명의 실시예들은 도면들을 참조하여 예로써 설명될 것이다.
본 발명은, 시스템의 정상적인 동작에서의 예외를 나타낸다는 점에서 건강관리 데이터를 핸들링하는 안전하지만 동시에 유연한 방식을 제공함으로써 상술한 단점들을 해소하며, 예컨대 응급처치 제공자에게 건강관리 데이터에의 액세스를 승인하는 것이 이용가능한 정규 권리들이 존재하지 않아도, 병원과 같은 응급처치 제공자가 건강관리 데이터로의 즉각적인 액세스를 필요로 하는 상황을 다룰 수 있다.
도 1은 본 발명에 따른 방법의 흐름도.
도 2는 본 발명에 따른 신뢰된 에이전트, 요청자 및 서버를 도시하는 도면.
도 3은 DICOM(Digital Imaging and Communications in Medicine) - 호환 DRM 시스템을 위한 라이센스 및 암호화된 파일을 도시하는 도면.
도 4는 오래된 DRM 기본구조 및 새로운 응급 기본구조로 구성된 응급 액세스를 지원하는, 개선된 DRM 기본구조를 도시하는 도면.
도 5는 호환 클라이언트인 것으로서 고려될 수 있는 요청자에 의한 응급 데이터 액세스를 도시하는 도면.
도 6은 비호환 클라이언트(non-compliant client)인 것으로서 고려될 수 있는 요청자에 의해 응급 데이터 액세스를 도시하는 도면.
도 2는 본 발명에 따른 신뢰된 에이전트, 요청자 및 서버를 도시하는 도면.
도 3은 DICOM(Digital Imaging and Communications in Medicine) - 호환 DRM 시스템을 위한 라이센스 및 암호화된 파일을 도시하는 도면.
도 4는 오래된 DRM 기본구조 및 새로운 응급 기본구조로 구성된 응급 액세스를 지원하는, 개선된 DRM 기본구조를 도시하는 도면.
도 5는 호환 클라이언트인 것으로서 고려될 수 있는 요청자에 의한 응급 데이터 액세스를 도시하는 도면.
도 6은 비호환 클라이언트(non-compliant client)인 것으로서 고려될 수 있는 요청자에 의해 응급 데이터 액세스를 도시하는 도면.
도 1은 건강관리 데이터에 액세스하기 위한 해독 키들을 보유하거나 액세스하는 신뢰된 에이전트에 의해 건강관리 데이터를 핸들링하는 본 발명에 따른 방법의 흐름도를 도시한다. 건강관리 데이터는 환자 및 환자의 의학 히스토리를 식별하는 데이터일 수 있다. 신뢰된 에이전트는 예컨대 신뢰된 벤더로부터 물리적인 디바이스 또는 소프트웨어 애플리케이션일 수 있다. 바람직하게는, 그것은, 다수의 벤더들이 구현할 수 있게 하는 표준 인터페이스를 가지며, 또한, 단일 인터페이스를 구현하기 위해 의학 애플리케이션들을 필요로 한다. 의학 애플리케이션은 일반적인 의학 애플리케이션 또는 응급 의학 애플리케이션으로서 고려될 수 있다. 일반적인 의학 애플리케이션은 보호된 건강 데이터에 액세스할 수 있어야 하고, 정책 결정 및 집행 기능(policy decision and enforcement functionality), 예컨대 액세스 제어 엔진, DRM(Digital Right Management) 클라이언트 등을 갖는다. 또한, 통상적으로, 일반적인 의학 애플리케이션은, 보호된 데이터에의 액세스를 승인하거나 승인하지 않기 위해 정책 결정 및 집행 기능을 야기하는, 인증서들, 즉 아이덴티티들, 해독키들 등을 갖는다. 신뢰된 에이전트가 필연적으로, 의학 애플리케이션과 동일한 디바이스 상에 배치될 필요는 없음에 유의해야 한다.
응급 의학 애플리케이션은 응급 또는 건강관리 데이터로의 "가속된(accelerated)" 액세스가 필요한 곳이다. 응급 의학 애플리케이션은 통상적으로, 보호된 데이터에 액세스하지만, 액세스를 승인하는 인증서들을 갖지 않는다. 후속 스텝들은 이러한 경우들을 다룬다.
스텝(S1)(101)에서, 요청자, 즉, 이 경우에는 응급 의학 애플리케이션으로부터, 위에서 언급된 바와 같이, 건강관리 데이터에 액세스하기 위한 해독 키들을 보유하거나 액세스하는 신뢰된 에이전트에 요청이 전달된다. 수신된 요청은, 수신된 요청이 응급 요청 또는 "가속된(accelerated)" 액세스를 위한 요청임을 시그널링하는 데이터 태그를 포함한다.
스텝(S2)(103)에서, 신뢰된 에이전트는 요청 또는 요청자 또는 둘 모두에 관련된 데이터를 포함하는 로그를 생성한다. 로그에 포함된 정보는, 즉, 요청이 행해진 시간 및 날짜와 같은 콘텍스트 데이터, 요청된 데이터의 타입과 같은 요청에 포함된 정보, 예컨대 의학 애플리케이션에 대한 로그인 인증서들 또는 사용되는 디바이스 또는 요청자의 ID 넘버와 같은 요청자에 관련된 정보, IP 어드레스 와 같은 디바이스에 관한 정보 등일 수 있다.
일 실시예에서, 로그는 그 후에 서버, 예컨대 뷰(view)를 위한, 병원 내 중앙 서버에 제출된다(S3)(105).
마지막으로, 요청자에게는 건강관리 데이터에의 액세스가 제공된다(S4)(107).
일 실시예에서, 수신된 요청은 건강관리 데이터에 액세스하기 위한 해독키를 요청하는 것을 포함하고, 요청자에게 건강관리 데이터에의 액세스를 제공하는 스텝(S4)(107)은 요청된 해독키를 요청자에게 포워딩함으로써 행해진다. 그러므로, 신뢰된 에이전트는, 해독이 클라이언트 애플리케이션에서 일어나므로, 요청이 수신되는 모든 클라이언트들의 데이터를 해독할 필요가 없고, 병목이 회피된다.
또 다른 실시예에서, 요청자로부터 수신된 요청은 암호화된 형태로 요청되는 건강관리 데이터를 포함하고, 건강관리 데이터에의 액세스를 요청자에게 제공하는 스텝은 요청자에게 해독된 형태로 건강관리 데이터를 포워딩하는 것을 포함한다. 이것은, 신뢰된 에이전트로 하여금, 디지털 권리 관리 및 데이터 해독을 지원하지 않는 레거시 시스템들(legacy systems)과 상호연동하도록 허용한다. 이 경우에, 암호화된 데이터는 클라이언트 애플리케이션에서 온라인 저장된다.
일 실시예에서, 요청자는 DRM 클라이언트 애플리케이션 또는 엔터플라이즈 권리 관리(Enterprise Right Management: ERM) 클라이언트 애플리케이션이고, 라이센스는 건강관리 데이터에 액세스하기 위한 연관된 라이센스 규칙들과 함께 해독키를 포함한다. DRM 또는 ERM 클라이언트 애플리케이션에 건강관리 데이터에의 액세스를 제공하는 스텝은 연관된 라이센스 규칙들과 함께 라이센스 해독키를 DRM 또는 ERM 클라이언트 애플리케이션에 포워딩하는 것을 포함할 수 있다. 이것은 차후에 보다 상세히 논의될 것이다.
일 실시예에서, 새로운 키들은 상기 로그들의 교환시에 얻어진다. 이것은, 시스템들이 무제한 액세스를 얻기 위해 적(adversary)에 의해 '접속해제'되지 않음을 보장하며, 서버만이 신선하고 신뢰할 수 있는 로그 정보를 수신할 때 신뢰된 에이전트에 응급 키들을 분배하므로, 추가적인 안전(extra safety)을 제공한다.
도 2는 건강관리 데이터를 핸들링하고, 건강관리 데이터에 액세스하기 위한 해독 키들을 보유하거나 액세스하도록 구성된 신뢰된 에이전트(200), 요청자(220) 및 서버(210)를 도시한다.
요청자(220)는, 건강관리 데이터에 액세스하기 위한 요청(223)을 생성하고, 생성된 요청(223)이 응급 요청임을 시그널링하는 데이터 태그(222)를 생성하도록 또한 구성되는 요청 생성기(R_G)(221)를 포함한다. 이어서, 생성된 요청(223) 및 데이터 태그(222)는 유선 또는 무선일 수 있는 통신 채널(224)을 통해 신뢰된 에이전트(200)에 포워드되거나 전송된다.
신뢰된 에이전트(200)는 수신기(R)(203), 로그 생성기(L_G)(202) 및 프로세서(P)(201)를 포함한다. 수신기(R)(203)는 건강관리 데이터에 액세스하는 것을 요청하는 요청기(220)로부터 요청(220)을 수신하도록 구성된다. 로그 생성기(L_G)(202)는, 도 1에서 이전에 논의된 바와 같이, 요청 또는 요청자 또는 둘 모두에 관련된 데이터를 포함하는, 로그(204)를 생성하도록 구성된다. 프로세서는 수신된 요청(223)을 프로세스하도록 구성된다. 프로세싱은 서버(210)와 통신하는 것, 즉 건강관리 데이터에 액세스하기 위한 해독키를 요청함으로써 서버와 통신하는 것을 포함한다. 프로세싱은 요청자에게 요청된 해독키를 포워딩하는 것, 또는 요청자에게 해독된 형태로 건강관리 데이터를 포워딩하는 것을 포함한다(도 1에서 논의를 참조).
여기에 도시된 서버(210)는, 유선 통신 채널 또는 무선일 수 있는, 통신 채널(205)을 통해, 신뢰된 에이전트(200)와 통신한다. 통신 채널(210)은 신뢰된 에이전트(200)로부터 로그(204)를 수신하기 위한 수신기(R)(211) 및 수신된 로그를 저장하기 위한 메모리(212)를 포함한다. 메모리(212)는 또한 건강관리 데이터, 또는 건강관리 데이터에 액세스하기 위한 해독키들, 또는 건강관리 데이터에 액세스하기 위한 라이센스 규칙들을 연관시키는 라이센스 해독키, 또는 그것들의 조합을 저장하고 있다. 서버는 또한, 다수의 상기 신뢰된 에이전트들을 동작시키도록 구성되고, 상기 동작은, 신뢰된 에이전트들로부터 상기 로그를 수신하는 것에 응답하여, 요청된 해독 키들을 제공함으로써 건강관리 데이터에의 액세스를 신뢰된 에이전트들에 제공하는 것을 포함한다. 이것은, 차후에 보다 상세히 논의될 것이다.
도 3은, 본 발명이 DICOM(Digital Imaging and Communications in Medicine)에 어떻게 적용될 수 있는지를 보여주는, 본 발명에 따른 실시예를 도시한다.
DRM 시스템은 의학 정보의 엔드-투-엔드 기밀성(end-to-end confidentiality)을 보장하고, 목적지에 대한 소스 제어를 제공한다. 도 3에 도시된 DICOM 파일들에 대한 DRM 시스템은, 여기에서 참조문헌으로써 포함된, "국제 전기 제조자 협회, 의료에서의 디지털 이미지 및 통신(DICOM), 파트 15: 보안 및 시스템 관리 프로파일 에넥스 E.1, 2007(National Electric Manufacturers Association(NEMA), Digital Imaging and Communications in Medicine(DICOM), part 15): Security and system management profiles Annex E.1, 2007)"에서 논의된 바와 같은 DICOM 신원확인 프로파일의 암호 메시지 신텍스(Cryptographic Message Syntax) 및 관련된 버전을 사용한다. 그러므로, 보호되어야 하는 DICOM 파일의 속성들은 콘텐트 암호 키로 암호화된다. 이어서, 요구된 키 재료를 갖는 라이센스가 내장된다. 이것은, 표준으로써 제공되는 툴들(tools)이 사용되는 방식으로 행해지고, 여전히, 후방 호환성(backward compatibility)을 보장한다.
보안의 관점에서, 이 DRM 방식은 의학 세계의 상이한 사용자들의 프라이버시 및 데이터 분배를 통한 제어에 대한 향상(improvement)이다. 하지만, 의학 전문가들에 의해 받아들여지는 의학적으로 안전한 솔루션에 대해, 이것은 응급 액세스 가능성을 포함하기 위해 필수적이다.
라이센스 서버들, 호환 클라이언트들 등이 사용되는, 건강관리 데이터(의학 데이터)에 대한 DRM 보호를 갖는 환경을 가정하자. 공개된(published) DRM-보호 데이터가 암호화되고, 라이센스 서버는 사용자들이 데이터에 액세스하기 위한 충분한 권리를 갖는지를 사용자들에게 요청하기 위해 (콘텐트들에 대한 사용 권리를 포함하는) 라이센스들을 발행한다. 그러므로, 응급 액세스는, 그것이 시스템의 정상적인 동작의 예외를 나타낸다는 점에서 핸들링하기 어렵다. 응급처치 제공자는 바람직하게는, 그가 그것에 대한 정상적인 권리를 갖지 않은 경우에도 액세스하고자 하는 데이터를 디코딩하기 위한 라이센스를 승인한다. 이러한 액세스의 합법성(legitimateness)은 결국, 데이터 프라이버시를 보장하도록 차후에 입증되어야 한다. 이어서, 응급 액세스의 로깅(logging)이 요구된다.
앞에서 논의된 바와 같이, 응급 액세스 제어 문제에 대한 솔루션은 응급 라이센스들 및 이벤트들(events)과 같은 로그를 발행하는 것이다. 이것은, 라이센스 서버(210)(도 2 참조)에 의해 모든 신뢰된 에이전트들(200)(도 2 참조)에 응급 키(KEm)를 분배함으로써 행해질 수 있다. KEm을 갖는 콘텐트 키의 암호로 구성된 응급 라이센스에는, 완전히 새롭게 보호된 건강관리 데이터가 내장될 수 있다. 응급 액세스 시에, 신뢰된 에이전트(200)는 앞에서 논의된 바와 같은 이벤트를 로그하고, 요청자, 예컨대 요청 사용자가 예컨대 라이센스 서버로부터 승인을 얻지 못하는 경우에도 KEm로 데이터를 해독한다.
응급 액세스 제어 문제에 대한 또 다른 솔루션은 DRM 암호화 시간에 데이터에 비 라이센스(no license)를 내장하는 것이다. 하지만, 응급 액세스 시에, 응급처치 제공자일 수 있는 요청자(220)는 신뢰된 에이전트(200)를 통해 적절한 서버(210)(예컨대, 라이센스 서버(210))를 접촉하고, 응급 라이센스를 요청한다. 라이센스 서버(210)는 신뢰된 에이전트(200)의 특징들을 구현할 수 있고, 즉 신뢰된 에이전트(200)의 일부 또는 모든 특징들은 라이센스 서버(210)에 포함되는 것으로서 고려될 수 있고, 또는 신뢰된 에이전트(200) 및 라이센스 서버(210)은 도 2에 도시된 바와 같이 상호작용할 수 있다. 라이센스 서버에 의해 이벤트가 로그되고, 임시적인 라이센스가 발행된다.
데이터 기밀성을 강화하기 위해 응급 상황들을 핸들링하는 신뢰된 에이전트들(200)이 DRM 시스템에 병렬로 배치될 수 있는 시나리오가 도 2에 도시되어 있다. 이것이, 오래된 DRM 기본구조(infrastructure)(413) 및 새로운 응급 기본구조(400)로 구성되는 응급 액세스를 지원하여, 강화된 DRM 기본구조를 도시하는 도 4에 그래픽식으로 도시되어 있다.
도 4는 응급 액세스를 갖는 DRM 기본구조가 어떻게 강화될 수 있는지를 도시하지만, DICOM에 제한되는 것으로서 고려되지 않고, 다양한 시스템들로 고려되어야 한다.
새로운 응급 기본구조(400)는, 여기에서 응급 권위자(emergency authority)(E_A)(401)로서 언급되는 도 2로부터의 상기 서버(201) 및 여기에서 응급 에이전트들(E_A_E1-n)(402 내지 405)로서 언급되는 복수의 상기 신뢰된 에이전트들(200)을 포함한다. 응급 권위자(E_A)(401)는 데이터 생성자들 및 소비자들에 무관하고, 신뢰될 수 있다. 그 엔드(end)에서, 그것은, 응급 액세스들의 합법성을 검증한다. 권위자는 이 프로세스를 지원하기 위해 몇몇 성분들을 동작시킨다.
응급 에이전트들(E_A_E1-n)(402 내지 405)은 응급 액세스를 요청할 때 요청자(406)에 의해 접촉된다. 응급 에이전트들(E_A_E1-n)(402 내지 405)은 응급처치 제공자들에 액세스를 제공하고, 그것들의 이벤트들을 로깅한다. 그것들은, 예컨대 인증서를 통해 응급 권위자(E_A)(401)에 의해 신뢰된다. 이를 위해, 이러한 성분들의 호환성은 이 신뢰를 가정하기 전에 응급 권위자(E_A)(401)(즉, 상기 서버(210)에 대응)에 의해 체크될 수 있다. 응급 에이전트들(E_A_E1-n)(402 내지 405)(즉, 상기 신뢰된 에이전트들(200)에 대응)은 예컨대, DRM 시스템(413)이 배치되는, 병원들에 설치될 수 있다.
응급 권위자(E_A)(401)는 새로운 응급 키 쌍들(KprivEm(id) 및 KpubEm(id))을 생성하도록 구성될 수 있다. 그것은, 개인 키(KprivEm(id))를, 바람직하게는 안전하게, 모든 그것의 응급 에이전트들(E_A_E1-n)(402 내지 405)에 전송한다. 일단, 응급 권위자(E_A)(401)가 이 새로운 개인 키가 성공적으로 분배되는 것을 확실히 하면, 그것이 대응하는 공개 키(KpubEm(id))를 라이센스 서버(L_S_1-n)(409 내지 412)에 전달하여, 그들은 보호된 데이터에 대한 응급 라이센스들을 생성할 수 있다.
응급 권위자(E_A)(401)에 의한 키들의 생성은 상이한 정책들: 예컨대 병원 당 하나의 키 쌍, 하루 당 하나의 키 쌍 등에 따를 수 있다. 또 다른 대안으로서, 일반적인 응급 키는 국가 수준(national level)에서 모든 데이터에 대해 사용될 수 있다. 하지만, 모든 이들 키들은, 응급 액세스 시에 접촉된 응급 에이전트 또는 파일에 무관하게, 데이터 유용성이 보장되도록, 모든 응급 에이전트(E_A_E1-n)(402 내지 405)에 의해 공지되어야 한다. 개인 키들(KprivEm(id))이 응급 기본구조의 신뢰된 환경 내에 머무르는 것이 중요하다. 즉, 노출된(disclosed) 개인 키에 기초한 응급 라이센스를 포함하는 모든 DRM 보호된 데이터의 기밀성은 타협(compromise)된다.
DRM 공개자(publisher)(Publ.)(408)에 의한 원 파일(original file)(F)의 암호화시에, 응급 라이센스(LFEm)는 얻어진 파일에 내장된다. 그것은, 응급 공개 키들(KpubEm(id))에 대한 지식(knowledge)을 사용하여, DRM 보호된 파일을 책임지고 있는 라이센스 서버에 의해 생성된다. 얻어진 암호화된 DRM 콘테이너(container)는 암호화된 형태로 원 데이터를 포함한다.
요청자, 예컨대 응급처치 제공자가, 그가 이미 다운로드한 파일(F)에 대한 응급 액세스를 요청할 때, 그는 바람직하게는 가장 근접한 이용가능 응급 에이전트(E_A_E1-n)(402 내지 405)를 접촉한다.
도 4에 도시된 실시예는 DICOM에 초점을 맞춘다. 그러므로, 교환 메시지들은 새로운 DICOM 응급 액세스 서비스-오브젝트 쌍(Emergency Access Service-Object Pair)(SOP) 클래스로서 정의된다.
일반적으로, DICOM은 서비스-오브젝트 쌍(SOP) 클래스들에서 정보 오브젝트 정의(Information Object Definition)(IOD)에 적용될 수 있는 서비스들의 세트를 정의한다. SOP 클래스는 그것들이 정규화된 또는 합성(composite) IOD에 적용되는지에 의존하여, 정규화되거나 합성될 수 있다. 정규화된 IOD는 일반적으로 현실 세계의 DICOM 모델에서 단일 엔티티(entity)를 나타내는 정보 오브젝트 정의이다. 합성 IOD는 현실 세계의 DICOM 모델에 포함된 여러 개의 엔티티들의 부분들을 나타내는 정보 오브젝트 정의이다. SOAP 클래스는 고유한 식별자: SOP 클래스 UID에 의해 식별된다. 설명될 SOP 클래스 내의 서비스를 위해, 참여자들 각각에 역할들을 할당하는 것이 우선 필요하다. 피어(peer)는 서비스 클래스 유저(Service Class User)(SCU; 즉 클라이언트) 또는 서비스 클래스 제공자(Service Class Provider)( SCP, 즉 서버)이고, 동시에 둘 모두의 역할들을 가정할 수 있다. 서비스 설명(service description)은 또한, 관련된 IDO에 적용될 수 있는 명령들을 정의한다. 기존의 명령 타입들은 C-STORE, C-FIND, C-MOVE, C-GET, C-CANCEL 및 C-ECHO를 포함한다.
명령이 하나의 DICOM 모드로부터 또 다른 모드로 전달될 때, 그것은 명령에 의해 관계되는 SOP 클래스 및 IOD 인스턴스(instance)에 대한 참조(reference)를 포함하고, 부가적인 데이터 세트가 첨부될 수 있다(명령의 페이로드(payload)). 목적지는 선택적으로 또한 첨부된 페이로드와 함께, 명령 실행 상태(예컨대, 실패, 성공 등)로 응답하는 가능성을 갖는다. 두 개의 애플리케이션들(애플리케이션 엔티티들)이 통신하고자 할 때, 그것들은 어느 서비스들(SOP 클래스들)을 사용할지에 동의해야 한다. 결국, 통신 확립 과정은 지원되는 SOP 클래스들의 협상, 소위 연관 협상(Association Negotiation)을 포함한다. 통신하는 애플리케이션 엔티티들 중 하나가 SOP 클래스를 지원하지 않으면, 관계된 서비스는 사용될 수 없다.
DICOM 파일에서 정책들을 포함하기 위해서, 암호화된 속성 데이터 세트들(즉, CMS 엔벌로프들(envelopes))은 DICOM 파일에 내장된다. 새로운 속성, 즉 디스클로저키(disclosureKey)가 또한 도입된다. 그것은, 속성들을 보호하는데 사용될 대칭 키(symmetric key)를 포함한다. 다음의 프로세스는 암호화시에 일어난다:
- 보호되어야 하는 모든 속성들이 스크램블(scramble)되고, 디스클로저키 키를 포함하고;
- 디스클로저키 하나를 제외하고는, 속성들의 암호화된 버전들을 포함하는 CMS 엔벌로프가 생성된다. 그것의 도큐먼트-암호화 키는 원 디스클로저키 속성의 키를 사용하여 암호화되고,
- 사용자가 데이터에 액세스하도록 요청할 때, 라이센스 서버는 원 디스클로저키 속성을 포함하는 DICOM 표준과 호환가능한 새로운 CMS 엔벌로프를 생성한다. 그것의 도큐먼트-암호화 키는 호환 클라이언트 또는 사용자의 공개 키를 사용하여 암호화된다.
새로운 라이센스의 생성 시에, 유포된(disseminated) DICOM 콘텐트는 수정되지 않으며: 라이센스는 차후의 사용을 위해 파일에 첨부될 수 있다. 정책들은 보호되지않은 속성(UnprotectedAttribute)으로서 CMS 엔벌로프 내에 세이브된다. 결국, 상이한 정책들은 상이한 사용자들에 대해 설정될 수 있다. 이 솔루션은 또한, 상이한 속성들을 보호하는 모든 엔벌로프가 상이한 정책 명세(policy specification)를 가질 수 있다는 점에서 매우 유동적이다.
도 5는, 호환 클라이언트(C_C)(406)로서 고려될 수 있는 요청자(406)가 F에 내장된 응급 라이센스(S1')(502)를 응급 에이전트(E_A_E1-n)(402 내지 405)에 전달함으로써 파일(F)(501)에 액세스를 요청하는 프로토콜을 그래픽으로 도시한다. DICOM에서, 이것은 응급 라이센스를 포함하는 N-ACTION 명령으로서 구현될 수 있다. 앞에서 언급된 바와 같이, 용어 응급 에이전트(E_A_E1-n)(402 내지 405)는 간단히, 도 2에 도시된 바와 같이, 신뢰된 에이전트(210)의 실시예이다. 또한, 앞에서 언급된 바와 같이, 응급 권위자(E_A)(401)는, 다른 것들 중에서, 요청자들(406)에 의한 요청들에 응답하여 상기 로그 동작들을 수행하는 하나 이상의 다수의 응급 에이전트들(E_A_E1-n)(402 내지 405)을 동작시킬 수 있다.
도 5에 도시된 프로토콜을 다시 참조하면, 요청자(406)(C_C)가 실제로 호환 클라이언트임을 체크한 후에, 로그는 요청자(C_C)(406)(S2')(503)에 대해 생성된다. 응급 권위자(E_A)(401)(도 5에 도시되지 않음)는 적절한 개인 키를 사용하여 수신된 응급 라이센스를 해독한다. 콘텐트-키를 복원하면, 요청자의 공개 키를 사용하여, 요청자(C_C)(406)에 의해서만 사용되도록 의도되는 새로운 임시적인 라이센스가 구성된다.
그 후에, 새로운 임시적인 라이센스(S3')(504)는 요청자(C_C)(406)에게 전달된다. DICOM에서, 이것은, 단지 도 3에 도시된 바와 같은 DICOM 라이센스인 임시적인 라이센스를 포함하는 N-EVENT-REPORT 명령으로서 구현될 수 있다.
요청자(C_C)(406)는 이제, 그의 개인 키로 임시적인 라이센스를 해독함으로써 파일 콘텐트(F)(S4')(505)를 뷰(view)할 수 있다.
의학 세계의 관계자들이 비호환 요청자들(non-compliant requestors)을 사용하는 것이 가능하다. 그러므로, 응급 과정은 바람직하게는, 이들 비호환 요청자들이 시스템의 일반적인 보안을 변경하지 않고, 응급 콘텍스트(emergency context)에서 데이터를 여전히 액세스할 수 있도록 구성되어야 한다. 제안된 솔루션은 요청된 데이터에 대한 충분한 액세스 승인을 제공한다.
이들 요청자들이 임의의 제한들 없이 얻어진 데이터를 노출하므로, 응급 액세스의 로깅이 더욱 중요하다. 이러한 이유로, 법률적 추적(forensic tracking)을 위한 워터마크(watermark)를 포함하는 것이 또한 선호될 수 있다.
다음의 확장은 정규(즉, 필연적으로 응급이 아닌) 동작에서 비호환 피어들에 데이터 엑세스를 제공하는데 사용될 수 있다.
도 6은 응급 콘텍스트에서 파일(F)(501)을 액세스하는 비호환 클라이언트(N_C_C)(601)인 요청자와 그것의 가장 근접한 이용가능 응급 에이전트(E_A_E1-n)(402 내지 405) 사이의 교환들을 도시한다. 비호환 클라이언트(N_C_C)(601)는 그것의 내장된 응급 라이센스(S1'')(602)와 함께 파일(F)을 응급 에이전트(E_A_E1-n)(402 내지 405)에 전달한다. 응급 에이전트(E_A_E1-n)(402 내지 405)는, 응급 라이센스(S2'')(603)를 해독하고, 그래서 콘텐트-키 콘텐트를 복원하기 위한 모든 개인 응급 키들에 대한 지식을 사용한다. 그러므로, 그것은 파일(F)을 해독하고, 원 파일을 얻을 수 있다. 응급 액세스가 로깅되고, 파일(F)의 해독된 버전은 원 파일(S4'')(605)을 자유롭게 액세스할 수 있는 비호환 클라이언트(N_C_C)(601)에 전달된다(S3'')(604).
개시된 실시예의 임의의 특정 세부사항들은, 본 발명의 명백하고 철저한 이해를 제공하기 위해, 제한보다는 예시의 목적으로 설명된다. 하지만, 본 발명이 본 명세서의 사상 및 범위에서 상당히 벗어남이 없이, 여기에서 설명된 세부사항들에 정확하게 따르지는 않는 다른 실시예들에서 실시될 수 있음을 기술분야의 당업자은 이해해야 한다. 또한, 이 콘텍스트에서, 그리고, 간결 및 명확성의 목적으로, 잘 알려진 장치들, 회로들 및 방법론들에 대한 상세한 설명은 불필요한 세부사항 및 가능한 혼동을 회피하기 위해 생략되었다.
도면번호들이 청구범위에 포함되어 있지만, 도면번호들의 포함은 단지, 명확성의 이유이며, 청구범위를 제한하는 것으로서 고려되지 않아야 한다.
200: 신뢰된 에이전트 201: 프로세서
202: 로그 생성기 203, 211: 수신기
204: 로그 210: 서버
212: 메모리 220, 406: 요청자
221: 요청 생성기 222: 데이터 태그
400: 응급 기본구조 401: 응급 권위자
402 내지 405: 응급 에이전트 408: DRM 공개자
409 내지 412: 라이센스 서버 413: DRM 시스템
202: 로그 생성기 203, 211: 수신기
204: 로그 210: 서버
212: 메모리 220, 406: 요청자
221: 요청 생성기 222: 데이터 태그
400: 응급 기본구조 401: 응급 권위자
402 내지 405: 응급 에이전트 408: DRM 공개자
409 내지 412: 라이센스 서버 413: DRM 시스템
Claims (14)
- 건강관리 데이터(healthcare data)에 액세스하기 위한 해독 키들을 보유하거나 상기 해독 키들에 대한 액세스를 갖는 신뢰된 에이전트(trusted agent)에 의한 건강관리 데이터 핸들링 방법에 있어서,
암호화된 콘텐트 키를 통해 암호화되는 암호화된 형태인 상기 건강관리 데이터의 파일에 응급 액세스를 요청하는 요청을 요청자로부터 수신하는 단계로서, 상기 요청은 상기 파일에 내장된 응급 라이센스(emergency license)를 포함하는, 상기 수신하는 단계;
상기 수신된 요청에 응답하여 로그(log)를 생성하는 단계로서, 상기 로그는 상기 요청 또는 상기 요청자 또는 둘 모두에 관련된 데이터를 포함하는, 상기 생성하는 단계; 및
상기 요청자에게 상기 건강관리 데이터에의 액세스를 제공하는 단계로서, 상기 액세스를 제공하는 단계는 상기 신뢰된 에이전트에서 상기 암호화된 콘텐트 키를 복원하기 위해 개인 키를 사용하여 상기 수신된 응급 라이센스를 해독하고, 상기 요청자에 속하는 공개 키를 사용하여, 상기 요청자에 의해서만 사용되도록 의도되는 새로운 임시적인 라이센스를 구성하는 것을 포함하는, 상기 제공하는 단계를 포함하는, 건강관리 데이터 핸들링 방법. - 제 1 항에 있어서,
상기 요청자로부터 수신된 상기 요청은, 상기 건강관리 데이터에 액세스하기 위한 해독 키를 요청하는 것을 포함하고, 상기 요청자에게 상기 건강관리 데이터에의 액세스를 제공하는 단계는 상기 요청된 해독 키를 상기 요청자에게 포워딩하는 것을 더 포함하는, 건강관리 데이터 핸들링 방법. - 제 1 항에 있어서,
상기 요청자로부터 수신된 상기 요청은, 암호화된 형태로 상기 요청된 건강관리 데이터를 포함하고, 상기 요청자에게 상기 건강관리 데이터에의 액세스를 제공하는 단계는 상기 요청자에게 해독된 형태로 상기 건강관리 데이터를 포워딩하는 것을 더 포함하는, 건강관리 데이터 핸들링 방법. - 제 1 항에 있어서,
상기 수신된 요청에 후속하여, 서버로부터 암호화된 형태로 상기 건강관리 데이터를 얻어 상기 건강관리 데이터를 해독하고, 상기 요청자에게 상기 건강관리 데이터에의 액세스를 제공하는 단계는 상기 요청자에게 상기 해독된 건강관리 데이터를 포워딩하는 것을 더 포함하는, 건강관리 데이터 핸들링 방법. - 제 1 항에 있어서,
리뷰(review)를 위해 서버에 상기 로그를 제출하는(submit) 단계를 더 포함하는, 건강관리 데이터 핸들링 방법. - 제 1 항에 있어서,
상기 응급 라이센스는 상기 건강관리 데이터에 액세스하기 위한 연관된 라이센스 규칙들과 함께 해독 키를 포함하고, 상기 요청자는 DRM(Digital Right Management) 클라이언트 애플리케이션 또는 ERM(Enterprise Rights Management) 클라이언트 애플리케이션이고, 상기 DRM 또는 ERM 클라이언트 애플리케이션에 상기 건강관리 데이터에의 액세스를 제공하는 단계는 연관된 라이센스 규칙들과 함께 상기 해독 키를 상기 DRM 또는 ERM 클라이언트 애플리케이션에 포워딩하는 것인, 건강관리 데이터 핸들링 방법. - 제 6 항에 있어서,
상기 건강관리 데이터는 도큐먼트 키(document key)로 보호되고, 상기 응급 라이센스는 개인 응급 KEm 키로 암호화된 상기 도큐먼트 키를 더 포함하고, 상기 개인 응급 KEm 키는 후속하여 모든 신뢰된 에이전트들에 분배되는, 건강관리 데이터 핸들링 방법. - 삭제
- 제 7 항에 있어서,
상기 응급 라이센스 및 보호된 건강관리 데이터는 상기 DRM 또는 ERM에 포워딩되고, 응급 요청의 수신 발생 시에, 상기 DRM 또는 ERM에는 또한 상기 도큐먼트 키를 해독하도록 구성된 공개 응급 키(KEm)가 제공되는, 건강관리 데이터 핸들링 방법. - 컴퓨터 프로그램이 기록된 컴퓨터 판독가능한 기록 매체로서,
제 1 항에 따른 건강관리 데이터 핸들링 방법의 단계를 실행하도록 프로세싱 유닛(processing unit)에 지시하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터 판독가능한 기록 매체. - 건강관리 데이터를 핸들링하도록 구성된 신뢰된 에이전트 장치로서, 상기 신뢰된 에이전트 장치는 건강관리 데이터에 액세스하기 위한 해독 키들을 보유하거나 상기 해독 키들에 대한 액세스를 갖고,
요청자로부터 암호화된 콘텐트 키를 통해 암호화되는 암호화된 형태인 상기 건강관리 데이터의 파일에 응급 액세스를 요청하는 요청을 수신하기 위한 상기 신뢰된 에이전트 장치의 수신기로서, 상기 신뢰된 에이전트 장치는 상기 요청자로부터의 분리된 엔티티이고, 상기 요청은 상기 파일에 내장된 응급 라이센스를 포함하는, 상기 신뢰된 에이전트 장치의 수신기;
상기 수신된 요청에 응답하여 로그를 생성하기 위한 로그 생성기로서, 상기 로그는 상기 요청 또는 상기 요청자 또는 둘 모두에 관련된 데이터를 포함하는, 상기 로그 생성기; 및
상기 수신된 요청을 처리하기 위한 프로세서로서, 상기 처리하는 것은 상기 요청자에게 상기 건강관리 데이터에의 액세스를 제공하게 하고, 상기 액세스를 제공하는 것은 상기 신뢰된 에이전트 장치에서 상기 암호화된 콘텐트 키를 복원하기 위해 개인 키를 사용하여 상기 수신된 응급 라이센스를 해독하고, 상기 요청자에 속하는 공개 키를 사용하여, 상기 요청자에 의해서만 사용되도록 의도되는 새로운 임시적인 라이센스를 구성하는 것을 포함하는, 상기 프로세서를 포함하는, 신뢰된 에이전트 장치. - 제 11 항에 있어서,
상기 신뢰된 에이전트 장치에 의해 핸들링되는 건강관리 데이터에 액세스하기 위한 요청은 요청 생성기를 포함하는 요청자 장치에 의해 생성되고,
상기 요청 생성기는 또한 상기 생성된 요청이 응급 요청임을 시그널링하는 데이터 태그를 생성하도록 구성되는, 신뢰된 에이전트 장치. - 제 11 항에 있어서,
상기 신뢰된 에이전트 장치는 로그를 수신하기 위한 수신기 및 상기 수신된 로그를 저장하기 위한 메모리를 포함하는 서버에 상기 로그를 전송하고,
상기 메모리는 또한 건강관리 데이터 및 하나 이상의 건장관리 데이터에 액세스하기 위한 해독 키들, 또는 건강관리 데이터에 액세스하기 위한 연관된 라이센스 규칙들을 갖는 라이센스 해독 키, 또는 그것들의 조합을 저장하고,
상기 서버는 다수의 상기 신뢰된 에이전트 장치들을 동작, 제공, 및 관리하도록 구성되고, 상기 동작하는 것은 상기 신뢰된 에이전트 장치들로부터 상기 로그를 수신하는 것에 응답하여, 요청된 해독 키들을 제공함으로써 상기 건강관리 데이터에의 액세스를 상기 신뢰된 에이전트 장치들에 제공하는 것을 포함하는, 신뢰된 에이전트 장치. - 삭제
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08157571.4 | 2008-06-04 | ||
| EP08157571 | 2008-06-04 | ||
| PCT/IB2009/052263 WO2009147598A1 (en) | 2008-06-04 | 2009-05-29 | Method and a system of healthcare data handling |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20110038013A KR20110038013A (ko) | 2011-04-13 |
| KR101698555B1 true KR101698555B1 (ko) | 2017-01-20 |
Family
ID=40872319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020117000055A KR101698555B1 (ko) | 2008-06-04 | 2009-05-29 | 건강관리 데이터 핸들링 방법 및 시스템 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US9881128B2 (ko) |
| EP (1) | EP2291784B1 (ko) |
| JP (1) | JP5711117B2 (ko) |
| KR (1) | KR101698555B1 (ko) |
| CN (1) | CN102057379B (ko) |
| BR (1) | BRPI0909975A2 (ko) |
| MX (1) | MX2010013189A (ko) |
| RU (1) | RU2530303C2 (ko) |
| WO (1) | WO2009147598A1 (ko) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101468379B1 (ko) * | 2012-06-29 | 2014-12-02 | 인텔렉추얼디스커버리 주식회사 | 암호화 데이터의 복호화를 위한 접근 방법 |
| US20140108046A1 (en) * | 2012-10-12 | 2014-04-17 | Ruben Gerardo Echeverria Cabrera | Sharing healthcare information on private collaborative networks |
| DE102016207145A1 (de) * | 2016-04-27 | 2017-11-02 | Siemens Healthcare Gmbh | Steuersystem für eine Verarbeitung von Bilddaten |
| EP3480774A4 (en) * | 2016-06-30 | 2019-11-27 | Olympus Corporation | MEDICAL INFORMATION PROVIDING SYSTEM AND METHOD FOR PROVIDING MEDICAL INFORMATION |
| WO2020167699A1 (en) * | 2019-02-11 | 2020-08-20 | Rapidsos, Inc. | Apparatus and method for emergency response data acquisition and retrieval |
| WO2023154912A1 (en) * | 2022-02-11 | 2023-08-17 | Jigneshkumar Patel | System for tracking patient referrals |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060085347A1 (en) * | 2004-10-19 | 2006-04-20 | George Yiachos | Method and apparatus for managing personal medical information in a secure manner |
| US20070185815A1 (en) * | 2005-10-18 | 2007-08-09 | Intertrust Technologies Corporation | Digital rights management engine systems and methods |
| US20070270695A1 (en) | 2006-05-16 | 2007-11-22 | Ronald Keen | Broadcasting medical image objects with digital rights management |
| WO2008008009A1 (en) | 2006-07-13 | 2008-01-17 | St. Jude Medical Ab | Medical information management in a patient information hub system |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09282393A (ja) | 1996-04-12 | 1997-10-31 | Hitachi Ltd | 保健医療カードとオンラインデータベースの連携方法 |
| US5995965A (en) | 1996-11-18 | 1999-11-30 | Humetrix, Inc. | System and method for remotely accessing user data records |
| CN1451213B (zh) * | 1999-09-30 | 2012-10-10 | 美国邮政服务 | 用于鉴别电子信息的系统和方法 |
| JP2001338058A (ja) * | 2000-05-30 | 2001-12-07 | Nippon Telegr & Teleph Corp <Ntt> | 救急医療支援サービスセンタおよび救急医療支援サービスプログラムを記録した記録媒体 |
| RU2171492C1 (ru) * | 2000-06-26 | 2001-07-27 | Хазанов Михаил Евгеньевич | Способ предоставления данных, относящихся к пациентам медицинского учреждения |
| US7587368B2 (en) | 2000-07-06 | 2009-09-08 | David Paul Felsher | Information record infrastructure, system and method |
| JP2002041359A (ja) * | 2000-07-26 | 2002-02-08 | Nomura Holding Inc | ログ記録装置、許可データ書き込み装置、ログ記録方法、許可データ書き込み方法および記録媒体 |
| WO2002021389A1 (en) * | 2000-09-07 | 2002-03-14 | United States Postal Service | Occupational safety system and method |
| US20020120472A1 (en) * | 2000-12-22 | 2002-08-29 | Dvorak Carl D. | System and method for integration of health care records |
| US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| US7103776B1 (en) * | 2002-01-31 | 2006-09-05 | Acuson | Emergency logon method |
| JP2004054817A (ja) * | 2002-07-24 | 2004-02-19 | Mitsui Sumitomo Insurance Co Ltd | 健康情報管理サーバ及びプログラム |
| JP2004229128A (ja) * | 2003-01-24 | 2004-08-12 | Sony Corp | 暗号データ配信システム、および情報処理装置、情報処理方法、並びにコンピュータ・プログラム |
| GB0309182D0 (en) | 2003-04-23 | 2003-05-28 | Hewlett Packard Development Co | Security method and apparatus using biometric data |
| US7508941B1 (en) * | 2003-07-22 | 2009-03-24 | Cisco Technology, Inc. | Methods and apparatus for use in surveillance systems |
| US20050216314A1 (en) * | 2004-03-26 | 2005-09-29 | Andrew Secor | System supporting exchange of medical data and images between different executable applications |
| ITTO20050076A1 (it) | 2005-02-10 | 2006-08-11 | Vitop Moulding Srl | Rubinetto erogatore per contenitore elastici per liquidi e applicazioni asettiche |
| US20070027715A1 (en) | 2005-06-13 | 2007-02-01 | Medcommons, Inc. | Private health information interchange and related systems, methods, and devices |
| JP2007241914A (ja) * | 2006-03-13 | 2007-09-20 | Nec Corp | 救急受付・搬送時における個人医療情報照会システム,方法,救急受付センターサーバおよびプログラム |
| JP5137474B2 (ja) * | 2006-06-23 | 2013-02-06 | 株式会社半導体エネルギー研究所 | 個人情報管理システム及び管理システム |
| RU65669U1 (ru) * | 2007-01-09 | 2007-08-10 | Наталия Алексеевна Фурсенко | Централизованная модель муниципального центра скорой медицинской помощи |
-
2009
- 2009-05-29 JP JP2011512253A patent/JP5711117B2/ja active Active
- 2009-05-29 RU RU2010154666/08A patent/RU2530303C2/ru active
- 2009-05-29 MX MX2010013189A patent/MX2010013189A/es active IP Right Grant
- 2009-05-29 KR KR1020117000055A patent/KR101698555B1/ko active IP Right Grant
- 2009-05-29 BR BRPI0909975A patent/BRPI0909975A2/pt not_active IP Right Cessation
- 2009-05-29 CN CN200980120695.4A patent/CN102057379B/zh active Active
- 2009-05-29 EP EP09757949.4A patent/EP2291784B1/en active Active
- 2009-05-29 WO PCT/IB2009/052263 patent/WO2009147598A1/en active Application Filing
- 2009-05-29 US US12/993,870 patent/US9881128B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060085347A1 (en) * | 2004-10-19 | 2006-04-20 | George Yiachos | Method and apparatus for managing personal medical information in a secure manner |
| US20070185815A1 (en) * | 2005-10-18 | 2007-08-09 | Intertrust Technologies Corporation | Digital rights management engine systems and methods |
| US20070270695A1 (en) | 2006-05-16 | 2007-11-22 | Ronald Keen | Broadcasting medical image objects with digital rights management |
| WO2008008009A1 (en) | 2006-07-13 | 2008-01-17 | St. Jude Medical Ab | Medical information management in a patient information hub system |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2291784B1 (en) | 2019-12-04 |
| CN102057379B (zh) | 2015-11-25 |
| RU2010154666A (ru) | 2012-07-20 |
| WO2009147598A1 (en) | 2009-12-10 |
| US9881128B2 (en) | 2018-01-30 |
| JP5711117B2 (ja) | 2015-04-30 |
| BRPI0909975A2 (pt) | 2015-10-20 |
| MX2010013189A (es) | 2010-12-20 |
| EP2291784A1 (en) | 2011-03-09 |
| KR20110038013A (ko) | 2011-04-13 |
| CN102057379A (zh) | 2011-05-11 |
| JP2011524564A (ja) | 2011-09-01 |
| RU2530303C2 (ru) | 2014-10-10 |
| US20110066846A1 (en) | 2011-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100971854B1 (ko) | 보안 서버 키 동작을 제공하기 위한 시스템 및 방법 | |
| CN114513533B (zh) | 一种分类分级健身健康大数据共享系统及方法 | |
| JP4750352B2 (ja) | デジタルコンテンツに対応するデジタルライセンスを取得する方法 | |
| RU2344469C2 (ru) | Публикация цифрового содержания в определенном пространстве, таком, как организация, в соответствии с системой цифрового управления правами (цуп) | |
| JP4418648B2 (ja) | デジタルコンテンツとサービスの使用ライセンスを発行するためのシステムおよびその方法 | |
| RU2332704C2 (ru) | Публикация цифрового содержания в определенном пространстве, таком как организация, в соответствии с системой цифрового управления правами (цуп) | |
| JP4560051B2 (ja) | 権利管理保護されたコンテンツのプレライセンス供与 | |
| JP5897040B2 (ja) | 緊急時の個人健康記録へのセキュアなアクセス | |
| US8627103B2 (en) | Identity-based encryption of data items for secure access thereto | |
| JP2002501250A (ja) | 機密レコードのための保護されたデータベース管理システム | |
| JP2009526322A (ja) | 変化識別子を使用するセキュアなデジタル・コンテンツ管理 | |
| US11757639B2 (en) | Method, apparatus, and computer-readable medium for secured data transfer over a decentrlaized computer network | |
| KR20050123105A (ko) | 데이터 보호 관리 장치 및 데이터 보호 관리 방법 | |
| US11537733B2 (en) | Database access control service in networks | |
| KR101698555B1 (ko) | 건강관리 데이터 핸들링 방법 및 시스템 | |
| US20240039709A1 (en) | Method and apparatus for sharing encrypted data, and device and readable medium | |
| Thummavet et al. | Privacy-preserving emergency access control for personal health records. | |
| US7457964B2 (en) | Trusted path for transmitting content thereon | |
| Künzi et al. | Emergency access to protected health records | |
| Bang et al. | An implementation of privacy security for PHR framework supporting u-healthcare service | |
| US20230177209A1 (en) | Distributed Communication Network | |
| Gill et al. | SYSTEM: Secure cloud storage auditing and access control for electronic health records |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20200107 Year of fee payment: 4 |