KR101754659B1 - 응급구조 시의 안전한 자동권한위임 방법 - Google Patents

응급구조 시의 안전한 자동권한위임 방법 Download PDF

Info

Publication number
KR101754659B1
KR101754659B1 KR1020150130394A KR20150130394A KR101754659B1 KR 101754659 B1 KR101754659 B1 KR 101754659B1 KR 1020150130394 A KR1020150130394 A KR 1020150130394A KR 20150130394 A KR20150130394 A KR 20150130394A KR 101754659 B1 KR101754659 B1 KR 101754659B1
Authority
KR
South Korea
Prior art keywords
emergency
patient
delegation
medical
information
Prior art date
Application number
KR1020150130394A
Other languages
English (en)
Other versions
KR20170032705A (ko
Inventor
이상호
박찬선
Original Assignee
충북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충북대학교 산학협력단 filed Critical 충북대학교 산학협력단
Priority to KR1020150130394A priority Critical patent/KR101754659B1/ko
Publication of KR20170032705A publication Critical patent/KR20170032705A/ko
Application granted granted Critical
Publication of KR101754659B1 publication Critical patent/KR101754659B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/18Legal services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/22Social work or social welfare, e.g. community support activities or counselling services

Landscapes

  • Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Health & Medical Sciences (AREA)
  • Engineering & Computer Science (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Technology Law (AREA)
  • Child & Adolescent Psychology (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

실시예는 응급환자가 있는 현장의 응급구조사에게 상기 환자의 의료 정보를 제공하는 자동권한위임방법에 있어서, 상기 환자 및 응급구조사의 인증 정보를 수신하여 인증을 수행하여 응급구조사 ID 및 환자 ID를 생성하는 단계, 상기 응급구조사 ID 및 환자 ID에 따라 상기 환자 ID에 대한 응급위임역할 및 활성화 시간을 생성하는 단계, 상기 응급위임역할의 권한에 따라 상기 활성화 시간 동안 상기 환자의 의료정보를 요청하여 상기 의료 정보를 상기 응급구조사에게 제공하는 단계, 그리고 상기 활성화 시간이 경과하면 상기 응급위임역할을 회수하여 상기 환자의 의료 정보에 대한 접근을 차단하는 단계를 포함하는 응급구조 시의 자동권한위임 방법을 더 제공한다. 따라서, 응급 상황 발생 시에 안정하게 응급환자의 응급처치를 지원하기 위한 필수 의료 정보를 획득하도록 함으로써 양질의 의료 서비스를 제공할 수 있다. 그리고, 의료 정보와 프라이버시 침해 문제를 최소화할 수 있다.

Description

응급구조 시의 안전한 자동권한위임 방법{THE SECURE AUTOMATIC PERMISSION DELEGATION METHOD AT EMERGENCY}
본 발명은 응급 상황에 처한 환자를 구조하는데 있어 환자의 의료 정보 보호를 지원하기 위한 자동권한위임 시스템 및 방법에 관한 것이다.
IT기술이 의료영역에 접목되면서 의료정보 또한 전산화되어 지고 온라인으로 전송이 가능하게 되었다. 통신 사정이 좋지 않았던 과거의 응급의료는 병원에 도착하기 전에 환자의 정보를 파악하는데 어려움이 있어, 신속한 환자이송과 병원 도착 후의 응급 처치에만 중점을 두었으나, 통신의 발달로 병원 도착 전에 환자의 의료정보를 얻을 수 있는 것이 가능해져 최근엔 병원 도착 전 응급 처치가 주목을 받고 있다.[1]
응급구조사 교육에서는 환자 평가의 중요성으로 인해 응급 구조 절차에서 환자 평가의 단계를 따로 분류하여 환자식별 및 병력 파악을 하도록 하고 있다.[2] 그러나 현실에서 환자를 식별하거나 환자의 병력 파악을 질문에 의존하므로 환자의 의식이 없으면 사실상 불가능하다. 그러므로 응급 의료 시스템에서는 환자의 위급 정도와 상관없이 환자를 식별할 수 있어야 한다.
의료 정보화는 환자에게 양질의 의료서비스를 제공할 수 있도록 하여 환자의 편익 향상에 이바지하고 있으나, 개인의 의료정보가 대량으로 저장되고 처리됨으로써 민감한 정보인 의료정보가 오ㆍ남용 및 유출될 가능성도 높아져 개인의 프라이버시 침해도 증가되고 있다.[3]
선진 각국에서 개인 의료정보를 안전하게 보호하기 위한 보안 법률과 표준안을 제정하고 있으며, 의료 사고를 최소화하기 위하여 허가권한 기반 인증 및 로그 데이터의 감사 기능을 제도화하고 있다. 의료정보는 환자 개인에게 있어서 민감한 정보가 된다. 그만큼 안전하게 보호되어야 하며, 이와 함께 자원에 대한 역할별 인증 및 접근 제어의 감사도 철저하게 이루어져야 한다.[4]
의료 기관에서 전자 의무 기록 시스템을 사용하면서 의료 기관 내 사용자에 대해 환자의 의료정보 접근에 대한 권한 부여 및 권한을 통제하는 접근 권한 관리는 환자의 개인 정보 보호를 위해 중요하다. 이러한 모든 권한은 역할 기반 접근제어(RBAC: Role-Based Access Control)를 기반으로 사용자의 역할에 따라 접근하도록 한다. 접근 허가 권한이 역할에 부여되고 역할의 수행을 위한 자원에 접근하도록 되어있다. RBAC 모델의 기본 개념은, 권한은 역할과 관련되고 사용자는 역할의 구성원으로 부여되어 관련된 권한을 추가한다. 이러한 개념은 역할 권한 관리를 매우 단순화 시켰고, 역할이 조직 내에서 다양한 작업의 기능에 따라 생성되고 사용자의 책임과 자격을 근거로 사용자에게 부여된다. 그러나 이러한 정책은 업무가 증가되거나 역할을 세분화시키는 실제 상황을 효율적으로 운영하기엔 부족하다. 이에 RBAC을 기반으로 하는 역할이나 권한을 다른 사용자에게 위임하는 기법을 연구하게 되었다.
의료 환경의 발전과 정보 통신 발전으로 의료정보시스템 업무 환경이 병원 중심에서 환자 중심으로 진료 방식이 바뀌고 있다. 환자 중심의 응급의료체계에서도 환자의 의료정보를 기반으로 하는 응급처치의 요구가 상승하고 있다. 이러한 변화는 응급상황 발생 시 응급환자의 정보를 세부적인 제약사항으로 접근제어를 가능하게 한다.
의료기관간의 정보 전송이 빈번해지고 있는 상황에서 의료정보 보호를 위한 법과 제도뿐만 아니라 기술적인 측면에서도 표준화가 이루어져야 한다. 또한 의료정보 접근 사용자의 식별을 통해 진료기록의 접근을 통제하고, 사용자의 허가권한에 따른 의료정보를 보호할 필요가 있다.
응급 상황 시 응급구조사가 응급현장에 도착하여 응급환자를 빠르게 식별하고, 환자의 응급의료정보에 신속하게 접근할 수 있어야 한다. 이는 자동위임의 기법을 사용하여 예기치 못한 응급상황에 유연하게 권한 위임이 될 수 있어야 한다. 또한 환자의 의료정보도 안전하게 보호될 수 있는 모델이 필요하다.
대한민국 공개특허공보 제10-2015-0041600호(공개일 2015.04.16.)
[1] Park. H. J "Implementation of the Smart Emergency Medical System", The journal of Korea Navigation Institute Vol. 15, No. 4, pp. 646-654, 2011 [2] 이정미, 이장열, 박성빈, 이영훈, 오경재 "응급구급대원에서 뇌줄중 조기증상 인지 및 환자평가 향상을 위한 교육 필요성" Journal of agricultural medicine & community health Vol.38 No.2, pp.130 - 141, 2013 [3] 의료정책 연구소 "개인의료정보의 관리 및 보호방안" 연구 보고서 2013. 12 [4] Simone Fischer-Hubner "IT-Security and Privacy", Lecture notes in computer science(1958), pp. 331-351, 2001
본 발명의 목적은 응급 상황에 처한 환자를 구조하는데 있어 환자의 의료 정보 보호를 지원하기 위한 자동권한위임 시스템 및 방법을 제공하는 것이다.
실시예는 환자 및 응급구조사의 인증 정보를 수신하여 인증을 수행하는 인증 모듈, 상기 인증 모듈의 인증 결과에 따라 상기 환자에 대한 응급위임역할을 생성하는 자동권한위임모듈, 그리고 상기 응급위임역할의 권한에 따라 상기 환자의 의료정보를 제공하는 역할기반접근제어모듈을 포함하는 응급구조 시의 자동권한위임 시스템을 제공한다.
상기 자동권한위임 시스템은 상기 인증모듈, 자동권한위임모듈 및 역할기반접근제어모듈의 로그 시에 로그 정보를 저장할 수 있다.
상기 자동권한위임모듈은 상기 응급위임역할을 특정 시간 동안 활성화하고, 회수할 수 있다.
상기 특정 시간은 상기 인증 정보를 수신한 때부터 현장에서 가장 가까운 응급실까지의 차량 이동 시간일 수 있다.
상기 응급위임역할은 상기 환자의 역할에 대한 부분집합일 수 있다.
상기 인증 정보는 상기 응급구조사 또는 환자의 지문 정보 또는 RFID 정보를 포함할 수 있다.
상기 자동권한위임 시스템은 응급구조사의 단말에 어플리케이션의 형태로 설치될 수 있다.
한편, 실시예는 응급환자가 있는 현장의 응급구조사에게 상기 환자의 의료 정보를 제공하는 자동권한위임방법에 있어서, 상기 환자 및 응급구조사의 인증 정보를 수신하여 인증을 수행하여 응급구조사 ID 및 환자 ID를 생성하는 단계, 상기 응급구조사 ID 및 환자 ID에 따라 상기 환자 ID에 대한 응급위임역할 및 활성화 시간을 생성하는 단계, 상기 응급위임역할의 권한에 따라 상기 활성화 시간 동안 상기 환자의 의료정보를 요청하여 상기 의료 정보를 상기 응급구조사에게 제공하는 단계, 그리고 상기 활성화 시간이 경과하면 상기 응급위임역할을 회수하여 상기 환자의 의료 정보에 대한 접근을 차단하는 단계를 포함하는 응급구조 시의 자동권한위임 방법을 더 제공한다.
상기 특정 시간은 상기 인증이 완료된 때부터 현장에서 가장 가까운 응급실까지의 차량 이동 시간일 수 있다.
상기 응급위임역할은 상기 환자의 역할에 대한 부분집합을 충족하도록 생성할 수 있다.
상기 인증 정보는 상기 응급구조사 또는 환자의 지문 정보 또는 RFID 정보를 포함할 수 있다.
상기 각 단계마다 로그 정보를 저장하는 단계를 더 포함할 수 있다.
실시예는 응급구조사와 환자의 인증에 성공하면 응급환자의 응급 의료 정보접근에 대한 권한이 응급상황 발생지역에서 가장 가까운 응급실까지의 이동시간에 근거하여 그 기간 동안만 자동으로 위임되어 정보 접근을 제어할 수 있다.
따라서, 응급 상황 발생 시에 안정하게 응급환자의 응급처치를 지원하기 위한 필수 의료 정보를 획득하도록 함으로써 양질의 의료 서비스를 제공할 수 있다.
그리고, 의료 정보와 프라이버시 침해 문제를 최소화할 수 있다.
따라서 향후 스마트 헬스 케어와 같은 첨단 의료 환경에서의 의료정보보호에도 적용할 수 있다.
도 1은 본 발명의 응급 구조 시의 자동권한위임 시스템의 전체 구성도이다.
도 2는 자동권한위임시스템의 상세 구성도이다.
도 3은 자동권한위임 방법의 전체 순서도이다.
도 4는 도 3의 인증 단계의 상세 순서도이다.
도 5는 도 3의 자동권한위임 단계의 상세 순서도이다.
도 6은 접근 제어 시스템의 개념도이다.
도 7은 RBAC 모델간의 관계를 나타낸 개념도이다.
도 8은 RBAC96 모델의 구성을 나타낸 것이다.
도 9는 RDM2000의 위임관계를 나타낸 것이다.
도 10은 PBDM0 모델의 각 요소 별 할당 관계를 나타낸 것이다.
도 11은 응급의료체계를 나타낸 것이다.
도 12는 응급의료체계도를 나타낸 것이다.
도 13은 RFID 시스템의 구성도이다.
도 14는 본 발명에서 제안하는 모델을 나타낸 것이다.
도 15는 제안 모델의 권한 위임 관계를 나타낸 것이다.
도 16은 제안 모델의 동작 과정을 나타낸 것이다.
도 17은 인증 단계를 나타낸 것이다.
도 18은 제안 모델의 사용자 접근 제어 과정 중 응급구조사가 소지한 응급단말기의 소유자 인증과 환자인증의 과정을 나타낸 것이다.
도 19는 응급 위임 역할이 상속되는 과정을 나타낸 것이다.
도 20은 권한 단위로 위임하는 개념도이다.
도 21은 응급의료정보 DB에 저장된 응급정보속성들을 나타낸 것이다.
도 22는 제안 모델의 역할범위의 활성화 시간을 나타낸 것이다.
도 23은 응급구조사의 병원 전 단계에서 행해지는 흐름이 모두 로그 기록되는 개념도이다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 응급 구조 시의 자동권한위임 시스템을 포함하는 전체 시스템의 구성도이고, 도 2는 자동권한위임 시스템의 상세 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 응급 구조 시의 자동권한위임 시스템(100)(이하, '자동권한위임서버(100)'라 함)을 포함하는 전체 시스템은 응급단말기(200), 자동권한위임서버(100), 의료정보데이터베이스(300) 및 환자인증부(250)를 포함한다.
본 발명은 의식 불명 등과 같은 응급 상황에 처한 환자가 있는 경우, 응급구조사가 현장에 도착했을 때, 환자의 프라이버시를 보호하면서도 환자의 개인 의료 정보에 신속하게 접근하여 효율적으로 응급처치를 수행하기 위한 것이다.
응급단말기(200)는 응급구조사가 자동권한위임서버(100)에 접속하여 자동권한위임서버(100)로부터 환자에 대한 응급위임역할을 받아 환자의 의료 정보를 전송받고 디스플레이하기 위한 단말(200)로서, 스마트폰, 노트북 또는 태블릿 피씨 등을 포함한다.
이러한 응급단말기(200)는 응급구조사가 휴대하거나, 응급구조사의 차량, 즉 구급차 내에 비치되어 있을 수 있으며, 응급구조사의 인증을 위한 인증부(도시하지 않음)를 포함한다.
상기 인증부는 응급구조사의 지문인식을 위한 스캐너를 포함할 수 있으며, 이와 달리 응급구조사의 RFID 태그를 위한 리더기를 포함할 수도 있다.
상기 응급단말기(200)가 스마트폰, 노트북 또는 태블릿 피씨 등과 같은 휴대용 기기인 경우, 지문인식을 위한 스캐닝 어플리케이션이 설치되어 인증부로 동작할 수 있다.
이러한 응급단말기(200)는 무선 네트워크를 통해 자동권한위임서버(100)와 연동하며, 이때 무선 네트워크는 wifi, 블루투스 등을 포함할 수 있다.
또한, 응급단말기(200)는 환자의 인증을 수행하기 위한 환자인증부(250)를 더 포함할 수 있다.
환자인증부(250)는 응급단말기(200)와 유선 또는 무선 인터넷을 통해 연결되어 있으며, 환자의 인증 정보를 수신하고 이를 응급단말기(200)에 전송한다.
이러한 환자인증부(250)는 환자가 착용하고 있는 RFID 태그를 읽어내어 환자의 인증 정보를 전송하는 리더기로 구성될 수 있으며, 환자의 지문을 인식하는 스캐너로 구성될 수도 있다.
따라서, 응급단말기(200)는 환자인증부(250)로부터 환자의 인증 정보를 수신하고, 인증부로부터 응급구조사의 인증 정보를 수신하여 이를 자동권한위임서버(100)로 전송하고 의료정보 제공을 요청한다.
또한, 응급단말기(200)는 상기 의료정보를 디스플레이할 수 있는 디스플레이 장치를 더 포함할 수 있다.
상기 자동권한위임서버(100)는 무선 인터넷을 통하여 상기 응급단말기(200)로부터 자동권한 위임 및 의료정보 제공 요청이 수신되면, 상기 응급구조사와 환자의 인증을 수행하여 상기 응급구조사에게 한정된 권한을 위임하여, 상기 응급구조사가 제한적인 환경에서 상기 환자의 의료 정보에 접근할 수 있도록 한다.
즉, 상기 자동권한위임서버(100)는 상기 환자가 현장에서 가장 근접한 응급실이 있는 병원으로 이동하는 동안만 상기 환자의 의료 정보를 상기 응급구조사가 접근할 수 있도록 제한함으로써 상기 환자의 프라이버시를 보호할 수 있다.
도 2를 참고하면, 상기 자동권한위임서버(100)는 인증모듈(110), 로그모듈(140), 권한위임생성모듈(120) 및 역할기반 접근제어모듈(130)을 포함할 수 있다.
인증모듈(110)은 상기 응급단말기(200)로부터 상기 응급구조사 및 환자의 인증 정보를 수신하고, 이를 인증 데이터베이스(115)의 인적 정보와 매칭하여 인증을 수행할 수 있다.
상기 인증모듈(110)은 상기 인증부가 상기 응급구조사의 지문을 인식하여 지문정보를 송신한 경우, 인증 데이터베이스(115)에 저장되어 있는 응급구조사의 지문 정보 중 해당 지문 정보와 동일한 지문 정보가 있는지 매칭을 수행할 수 있다.
또한, 환자인증부(250)가 환자가 가지고 있는 RFID 정보를 읽어 송신한 경우, 해당 RFID 정보의 환자 정보가 존재하는지 여부를 확인하고 해당 환자로 인증한다.
인증모듈(110)은 권한위임생성모듈(120) 및 인증 데이터베이스(115)와 연동하며, 해당 인증이 완료되면 응급구조사 ID와 환자 ID를 전송할 수 있다.
상기 권한위임생성모듈(120)은 상기 응급구조사 ID와 환자 ID를 수신하고, 새로운 응급위임역할을 생성하고, 상기 환자의 의료정보 관람에 대한 권한 중 일부의 부분 권한을 상속한다.
또한, 상기 권한위임생성모듈(120)은 인증이 완료된 때부터 가장 가까운 병원에 도착할 때까지, 즉 활성화 시간을 생성하여 이를 역할기반접근제어모듈(130)에 전송하고, 접근요청을 수행할 수 있다.
상기 활성화 시간은 상기 환자가 탑승하고 있는 차량의 위치 및 도로 상황을 참고하여 상기 차량이 가장 가까운 응급실이 있는 병원에 도착하기까지의 시간으로 산정할 수 있다.
상기 권한위임생성모듈(120)은 상기 활성화 시간이 종료되거나 활성화 시간 전에 환자가 병원에 도착하는 경우 자동으로 상기 위임된 권한을 회수하여 상기 응급구조사가 상기 환자의 개인 의료정보에 접근하는 것을 막을 수 있다.
이와 같이 권한위임생성모듈(120)은 상기 응급구조사에 대하여 상기 환자의 권한 중 일부를 위임하여 환자의 프라이버시를 보호하면서도 환자의 응급처치가 원활히 수행될 수 있도록 할 수 있다.
역할기반 접근제어모듈(130)은 해당 응급위임역할 및 활성화 시간을 수신하고, 해당 응급위임역할에 준하여 환자의 의료 정보를 제공하도록 의료정보 데이터베이스(300)에 정보요청을 수행할 수 있다.
이러한 역할기반 접근제어모듈(130)은 다양한 정보에 대한 접근 권한을 역할에 따라 규정하는 것으로, 본 실시예에서는 활성화 시간 내에서만 정보를 열람할 수 있도록 권한이 제한된다.
상기 의료정보 데이터베이스(300)는 상기 역할기반접근제어모듈(130)의 요청에 따라 응급처치에 필수적으로 요구되는 정보들, 즉, 환자의 나이, 혈액형, 병력, 부작용 약물, 복용중인 약물 및 보호자 연락처 등과 같은 정보들을 열람하도록 제공할 수 있다.
한편, 로그 모듈(140)은 상기 응급구조사의 응급조치 전체의 과정에서 행해지는 모든 이벤트에 대하여 로그를 수신하고 이를 로그 데이터베이스(145)에 저장한다.
상기 로그 정보는 응급구조사 인증, 환자 인증, 권한자동위임, 응급의료정보접근 및 자동위임해제에 대한 모든 단계의 로그 정보를 포함한다.
이와 같이 로그 모듈(140)이 각각의 이벤트에 대한 로그 정보를 기록함으로써 후에 관련 행위를 추적할 수 있다.
이하에서는 도 3 내지 도 5를 참고하여 본 발명의 자동권한위임시스템의 동작을 설명한다.
도 3은 자동권한위임 방법의 전체 순서도이고, 도 4는 도 3의 인증 단계의 상세 순서도이며, 도 5는 도 3의 자동권한위임 단계의 상세 순서도이다.
도 3 내지 도 5를 참고하면, 상기 자동권한위임시스템의 동작이 시작되면, 상기 인증모듈(110)은 상기 응급단말기(200)로부터 응급구조사 및 환자의 인증정보를 수신하여 인증을 수행한다(S100).
도 4를 참고하면, 인증 모듈(110)은 먼저 응급구조사의 인증 정보를 취득하면(S110), 환자의 인증정보 요청을 수행하여 응급단말기(200)로부터 상기 환자의 인증정보 또한 취득한다(S120).
상기 인증 모듈(110)이 상기 응급구조사 및 환자의 인증 정보를 모두 수신하면, 상기 인증정보가 RFID 정보 및 지문 정보인 경우, 해당 정보를 각각 인증 데이터베이스(115)에 저장되어 있는 정보와 매칭하여 인증을 수행한다(S130).
상기 매칭되는 응급구조사 및 환자가 있는 경우 해당 환자 및 응급구조사의 ID를 선택하여 인증 결과로 권한위임생성모듈(120)에 전송하고 인증을 종료한다(S140).
다음으로 권한위임생성모듈(120)의 자동권한위임 동작이 진행된다(S200).
도 5를 참고하면, 상기 인증모듈(110)로부터 상기 응급구조사 ID 및 환자 ID를 수신하면(S210), 상기 권한위임생성모듈(120)은 해당 환자의 역할(RR)에 대하여 응급구조사의 응급위임역할(EDTR)을 생성한다(S220).
또한, 권한위임생성모듈(120)은 인증이 완료된 때부터 가장 가까운 응급실이 있는 병원에 도착할 때까지 활성화 시간이 경과한 권한위임종료시간(tf)을 생성한다(S220).
다음으로, 해당 응급구조사의 응급위임역할(EDTR)이 해당 환자의 역할(RR)의 부분집합인지 판단한다(S230).
해당 응급구조사의 응급위임역할(EDTR)이 해당 환자의 역할(RR)의 부분집합일 경우에는, 상기 응급구조사의 응급위임역할(EDTR) 및 권한위임종료시간(tf)을 출력하고 자동권한위임생성을 종료한다(S240).
한편, 권한위임생성모듈(120)이 응급구조사의 응급위임역할 및 권한위임종료시간을 상기 역할기반 접근제어모듈(130)에 출력하면 상기 접근제어모듈(130)은 해당 응급위임역할에 대한 접근가능한 정보를 상기 의료정보 데이터베이스(300)에 요청하고, 상기 의료정보 데이터베이스(300)로부터 해당 정보를 상기 응급단말기(200)에 제공한다(S300).
다음으로, 상기 권한위임생성모듈(120)은 상기 활성화 시간이 경과하여 상기 권한위임종료시간(tf)이 되면, 상기 응급위임역할을 종료하고 자동으로 회수하고 상기 자동권한위임 서버(100)의 동작을 종료한다.
또는 상기 권한위임생성모듈(120)은 상기 권한위임종료시간 전에 상기 환자가 병원에 도착하여 새로운 로그 정보가 인지되면 상기 응급위임역할(EDTR)을 종료하고 회수한다(S400).
이와 같이 한정된 시간 동안 환자에 대한 의료 정보에 접근을 허용하고 환자가 병원에 도착하면 상기 접근 권한을 회수함으로써 응급구조사가 응급처치 후에 상기 환자의 의료 정보에 접근하는 것을 방지할 수 있다.
따라서, 상기 환자의 프라이버시를 보호하면서도 환자의 의료 정보를 활용하여 응급처치에 신속하게 대처할 수 있다.
한편, 이상에서는 자동권한위임서버(100)가 상기 응급단말기(200)와 별도로 구성되어 무선 인터넷을 통해 정보를 송수신하는 것으로 기재하였으나, 이와 달리 자동권한위임시스템(100)이 상기 응급단말기(200)에 어플리케이션의 형태로 포함될 수 있다.
즉, 상기 응급단말기(200)가 상기 자동권한위임시스템(100)을 구현하는 어플리케이션이 탑재된 채로 제공될 수 있으며, 상기 환자인증부(250) 및 상기 인증부로부터 인증 정보를 수신하고 상기 자동권한위임시스템(100) 어플리케이션을 구동하여 상기 의료정보 데이터베이스(300)로부터 해당 의료 정보를 직접 수신할 수 있다.
[ 실시예 ]
RBAC기반의 권한위임은 한 사용자가 인증된 다른 사용자에게 자신의 권한을 위임하여 권한을 위임한 자신과 같은 역할의 일원이 되게 하는 것이다. 이러한 권한위임의 대표적인 모델은 RBDM(Role-Based Delegation Model), PBDM(Permission-Based Delegation Model)이라고 할 수 있다. 위임 모델에서 권한 위임 시 발생할 수 있는 문제가 있는데 RBDM에서는 권한 위임의 단위가 역할이기 때문에 역할에 할당된 권한 모두를 위임하게 된다. 이는 권한의 남용을 일으킬 수 있다. PBDM에서는 위임 단위가 역할이 아닌 권한이기 때문에 RBDM에서 초래되었던 보안 문제를 막을 수 있다. 그러나 실제 시스템에는 수많은 사용자와 역할에 해당하는 더 많은 권한이 존재한다. 이는 세부 역할 하나하나에 대한 권한 위임이 빈번하게 일어난다면 시스템의 복잡도가 증가되고 효율성이 떨어진다.
응급상황에서 환자의 의료정보는 환자의 생명과 직결되기 때문에 효율적인 접근제어가 필요하다. 하지만, 시스템의 복잡도가 증가되면 환자의 식별 및 중요한 응급의료정보를 빠르게 확인할 수 없다. 또한 환자가 의식불명의 상태에 있을 경우 환자 스스로가 자신의 중요한 의료정보를 전달하지 못한다.
따라서 본 발명에서는 응급의료체계에 대해 분석하여, 적용 가능한 자동위임 모델을 제안한다. 또한 RFID의 태그를 통한 인증 방법을 분석하여, 응급환자의 응급정도에 상관없이 환자를 인증할 수 있도록 한다. 구체적인 실시 내용과 방법은 다음과 같다.
첫째, 접근제어의 기법을 조사하고, 특히 RBAC의 접근제어 기법에 대해 분석한다. RBAC에서의 위임방법을 조사하고, 응급 상황에 필요한 요구사항을 도출해 내고, 이를 해결하기 위한 자동위임 정책과 제약 방법 등을 분석하여 자동으로 권한이 위임되는 모델을 제안한다.
둘째, 응급의료체계에서 응급구조사의 역할에 대해 분석하고, 병원 전(前) 단계에서의 응급환자의 의료정보 제공의 문제점을 파악한다. RFID의 Tag와 리더를 이용한 인증 방법을 분석하여, 응급현장에서 적용될 수 있도록 응급구조사가 응급현장에 도착하여 자신의 지문정보를 활용해서 응급단말기의 소유자 인증을 하고, 환자를 식별하는 인증기법을 제안한다.
셋째, 제안 인증기법의 안전성을 분석하고, 제안 기법이 보안적인 부분에서 효율적인 기법임을 입증한다.
넷째, 제안 모델은 권한을 기반으로 하는 위임 방법을 이용하여, 역할을 기반으로 하는 권한위임의 방법에서 발생할 수 있는 정보 유출을 방지한다. 기존의 권한 위임 기법과 비교하여 효율적인 기법임을 입증한다.
이에 본 실시예에서는 먼저, 기존의 접근제어 개념과 위임의 방법에 대해서 소개하고, RBAC의 기본 개념과 RBAC을 기반으로 하는 권한 위임 모델인 RBDM0과 PBDM0을 분석한다. 그리고 응급의료체계를 분석하고, 사용자를 식별하는 RFID 시스템의 구성요소와 동작 방식을 분석하여 응급의료체계에서 환자의 의료정보 보안의 문제점을 도출한다(A).
이어서, 응급현장에서 응급구조사가 환자를 식별하고 인증하는 방법과, 인증된 응급구조사가 자동으로 권한을 위임받아 응급의료정보에 접근하는 모델을 제안한다(B).
그리고, 제안한 인증 방법에 대해 공격유형에 따른 안전성을 분석하고, 자동권한 위임의 방법을 기존 모델과 비교하여 평가한다(C).
마지막으로, 실시 결과에 대해 요약정리 하고 향후 방향에 대해 기술한다(D).
A.
본 발명에서는 기존의 접근제어 방법에 대하여 분석한 후, RBAC을 기반으로 하는 권한위임 방법과 응급의료체계에 대해서 조사하고, 응급환경에 적합한 자동 권한 위임 수행 모델에서의 요구 사항을 정리한다.
A.1 접근 제어 시스템
도 6은 접근 제어 시스템의 개념도이다.
도 6을 참조하면, 접근 제어 시스템(ACS: Access Control System)은 리소스(Resource)에 대한 접근을 허가하거나 거부하는 메커니즘으로서, 두 부분으로 구성되어 있다.
정책 결정 지점(PDD: Policy Decision Point)에서는 주체의 접근 요청을 분석하고 승인 여부를 결정한다. 요청이 정책에 의해 허용되는지 여부를 나타내는 결정을 반환하는 함수로 구현되어 있다. 정책 시행 지점(PEP: Policy Enforcement Point)에서는 PDD의 결정을 기반으로 한 요청에 대한 접근 요청을 제출하고 승인한다. 이러한 PDD의 정의로 가장 잘 알려진 모델은 Bell-LaPadula, RBAC 모델 등이 있다. 이러한 모델들은 주체 중심 관점(Subject-centered)에서 사용자는 접근할 수 있는 충분한 자격을 가지고 있다면 객체(Object)에 접근이 가능하다. 결론적으로 충분한 자격의 주체가 존재하지 않으면 객체에 접근할 수 없다. 이러한 제한은 의료 기록이나, 군사 정보 등의 특정 객체에 접근할 수 없는 상황이 되어서 생명을 위협하는 상황이 될 수 있다. 이러한 것을 해결하기 위해서 2가지 방법을 사용한다.
첫째, 상황에 따른 권한 부여 정책을 정의한다. 응급상황이 발생했을 때 적용되는 특정 최우선 정책(Break The Glass)을 정의한다. 그러나 이 정책은 자격을 갖춘 주체의 존재나 가능성과는 관계가 없다. 이것은 응급기간 동안에는 접근 허가의 부분을 확장한다.
둘째, 위임 기법을 사용한다. 주체가 인증된 자원에 접근하지 못할 때는 다른 주체에게 권한을 위임할 수 있다. 이러한 접근 방식은 사전에 활성화될 수 있는 위임이 필요하다.
A.2 RBAC의 개념
역할 기반 접근 제어 모델 중에서 Ravi S. Sandhu가 제안한 가장 대표적인 NIST의 표준 참조 모델인 RBAC96을 분석한다.
도 7은 RBAC 모델간의 관계를 나타낸 개념도이다.
도 7을 참조하면, 하위부터 RBAC0, RBAC1, RBAC2, RBAC3으로 나뉜다. RBAC0의 특성을 RBAC1과 RBAC2가 갖게 되고, RBAC1과 RBAC2의 특성을 종합한 모델이 RBAC3이 된다. 아래 단계에서 상위 단계로 올라가면서 각 단계의 특징들을 내포하게 된다.
도 8은 RBAC96 모델의 구성을 나타낸 것이다.
도 8을 참조하면, RBAC의 중심적인 개념은 사용자가 기업이나 조직의 자원을 임의로 접근할 수 없고, 접근 권한이 역할에 부여되고 사용자에게 적절한 역할에 소속되게 하여 수행에 필요한 최소한의 자원에 접근할 수 있도록 한다. 권한은 권한의 소유자에게 특정 행동을 수행할 수 있는 능력을 부여한다. RBAC0는 사용자-역할 할당(UA)과 권한-역할 할당(PA)이 다대다 관계를 가지고 있다. RBAC1은 RBAC0에 역할 계층 관계(RH)가 추가된 개념이다. RBAC2는 RBAC0에 제약조건을 두는 구조이다. 제약(Constraints)은 모든 구성요소들에 대하여 적용될 수 있으며, 각 구성요소가 가지는 특성을 제한사항이나 조건 등으로 기술한다. RBAC3은 RBAC2에 PA간의 요구 사항을 추가한 것이다.
역할기반 접근제어는 정책 중립적(Policy neutral)이며 세 가지 보안 정책을 제공하고 있다. 첫째, 최소권한의 원칙(least privilege)으로 어떤 역할에 배정된 사용자가 실행되는 프로세스에게 그 프로세스의 수행에 필요한 권한만을 그 역할에 배정한다. 둘째, 임무 분리(separation of duty)로서 보안 시스템에 관리되는 정보는 무결성 보장을 위해 영향을 미치는 역할들에 할당된 사용자들을 통제하여 보안 특성을 유지한다. 임무분리 정책은 사용자들의 권한의 남용과 오용을 막고, 공모를 방지하기 위하여 민감한 권한들은 한 사람에게 부여하지 않고 여러 사람에게 분산하여 부여해야 한다는 보안의 원리이다. 임무 분리의 종류에는 정적임무분리(Static separation of duty), 동적임무분리(Dynamic separation of duty), 연산상의 임무분리(Operational separation of duty)가 있다. 정적임무분리는 사용자에게 임무분리 관계에 있는 두 개 이상의 역할을 동시에 부여할 수 없다. 동적 임무분리는 사용자에게 임무분리 관계에 있는 두 개의 역할을 동시에 부여할 수 있지만 동시에 활성화할 수 없는 정책이다. 연산상의 임무분리는 어떤 작업이 여러 단계의 연산으로 구성되었을 때 한 사용자는 모든 단계의 연산을 수행할 수 없다. 셋째, 데이터 추상화(data abstraction)로 자원에 대한 허용 접근모드가 다른 접근제어 정책에 사용되는 읽기, 쓰기, 실행 등 운영체제에서 제공하는 하위수준의 권한보다 추상화된 권한을 제공하는 것으로 상용 환경에서 보안 정책의 설계와 구현의 편리성을 제공할 수 있다.
A.3 권한위임 모델
위임(Delegation)이란 어떤 객체가 가진 권한의 일부 또는 전체를 제3의 객체에게 부여하여 그 객체가 위임된 권한을 수행할 수 있도록 하는 기법이다.
역할 위임을 기반으로 한 기법으로는 RBDM(Role Based Delegation Model) 모델과 RDM2000 모델이 있고, 권한 위임을 기반으로 하는 것에는 PBDM(Permission Based Delegation Model) 등이 있다. 이 두 가지는 RBAC을 기반으로 하는 권한 위임 모델이다.
A.3.1 RBDM0
조직 내의 역할간의 관계를 효율적으로 관리하기 위해서 제안된 RBDM0은 RBAC96 계열의 RBAC0에 기반하며 가장 간단한 형태로 위임된다. 동일한 역할을 지닌 사용자간의 위임은 허용되지 않고 일 단계 위임만이 가능하다. 일 단계위임은 위임되는 역할이 더 이상 위임될 수 없다는 것을 의미한다. 이러한 위임 방법에서 각각의 역할은 시스템 관리자에 의해 역할에 원래 배정된 구성원과 위임받는 구성원으로 나뉜다. 이에 확장된 RDM2000은 다음 도 9와 같이 Depth로 위임경로의 깊이를 반환한다.
도 9는 RDM2000의 위임관계를 나타낸 것이다.
도 9를 참조하면, RDM2000의 사용자 대 사용자 위임에 사용자, 위임 역할, 위임된 사용자, 위임된 역할의 구성 요소 사이의 관계를 표현한 것이다. 위임 경로는 항상 원래 사용자 역할 배정에서 시작된다. 동일한 원래 사용자 역할 배정 위임 경로는 상위의 위임 트리를 구축할 수 있다. 예를 들어 (USER1, RE2, USER2, QE2)의 의미는 USER1 역할인 RE2를 활성화하여 USER2에게 역할 QE2를 위임한다. 위임 관계는 원래 사용자 위임(ODLGT)과 위임된 사용자 위임(DDLGT)으로 분류된다.
A.3.2 PBDM0
권한 기반 위임 모델은 RBDM0에서 발생할 수 있는 전체 권한이 위임되는 문제점을 해결하기 위해 역할이 아닌 권한을 기반으로 위임을 한다.
도 10은 PBDM0 모델의 각 요소 별 할당 관계를 나타낸 것이다.
도 10을 참조하면, 권한을 기반으로 위임하는 모델인 PBDM0의 각 요소 별 할당 관계를 나타낸 것으로서, 정규 역할(RR: Regular)과 위임 역할(DTR: Delegation Role)을 나타낸 것이다. 사용자와 정규 역할과의 할당 관계는 UAR로 나타내고, 위임 역할과의 할당은 UAD로 나타낸다. 또한 권한과의 할당도 정규 역할과 권한의 할당관계는 PAR로 나타내고, 위임 역할과 권한과의 할당관계는 PAD로 나타낸다.
즉, PBDM0에서는 역할을 정규 역할과 위임 역할로 구분하여 역할별 할당 관계를 맺는다.
A.4 응급의료 체계에 관한 연구
본 발명에서는 환자의 개인 정보인 의료정보의 개념과 응급 상황 발생 시 시행되는 응급의료체계에 관해서 알아보고 병원 전 단계인 이송에 대해 분석하고, 응급구조사가 갖게 되는 환자의 의료 정보에 대한 권한을 설명한다.
A.4.1 환자의 개인건강정보
정보통신망 이용촉진 및 정보보호 등에 관한 법률(일부개정 2015.1.20. 법률 제13014호) 제2조 '정의' 조항의 제6호에 "개인정보"라 함은 "생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)"라고 규정하고 있다.
의료정보란, 의사와 의료기관 종사자가 환자에게 진료행위를 하면서 진단, 치료, 치료경과에 따른 누적된 자료를 의미한다. 환자의 신체적, 정신적 상태와 재활, 의무기록, 연구결과, 의학 정보 및 원무 정보 등을 포함한다. 이 밖의 개인가족 상황, 유전정보, 병력, 약물 사용 내역 등을 포함하므로 민감한 정보에 속한다. 그러나 환자의 기본권이라는 측면에서 이러한 의료정보는 아무나 접근할 수 없다. 이러한 의료 정보는 환자의 개인정보의 보호라는 측면을 고려하여 개개인의 환자의 개인적 속성을 추월하여 의료 정보로 활용될 수 있어야 한다. 의료정보에는 환자가 처음 병원에 내원하여 작성한 환자 기초 정보가 있고, 환자의 증상 및 검사 결과와 같은 환자 의료정보와 의사의 진단과 처치, 및 처방을 포함한 전문 의료 정보, 이런 기록들을 데이터베이스로 만들어 관리하고 있다. 통상 의료정보를 다음 [표 1]과 같이 분류할 수 있다.
Figure 112015089658859-pat00001
진료기록에 기재된 의료정보는 환자의 프라이버시에 해당하는 경우로서 다른 사람이 알아서는 안 되는 정보다. 환자의 개인적 비밀에 해당하는 정보는 프라이버시권에 해당되어 형법 및 민법상 보호되어야 한다. 개인건강정보에 포함된 내용은 개인의 신체 상태, 과거 질병, 현재의 생활 습관까지 모두 수집되어 활용되기 때문에 개인건강정보 유출은 개인의 사회생활 전체에 미치는 영향력이 크다. 따라서 환자의 의료 정보를 누설한 의료인은 형사책임의 문제가 되어 불법행위가 된다.
A.4.2 응급의료체계
도 11은 응급의료체계를 나타낸 것이다.
도 11을 참조하면, 응급의료체계(EMSS: Emergency Medical Service System)란, 응급환자의 치료를 위한 응급서비스를 제공하는데 필요한 인력, 장비, 자원 등의 모든 요소를 응급상황에 효과적이고 신속하게 대처하기 위한 응급의료 지식을 집중화, 종합화시킨 의료행위로 조직화된 체계를 말한다.
일반적으로 응급의료체계는 병원 전 단계와 병원 단계로 구분되며 병원 전 단계는 신고접수단계 및 현장 응급처치단계와 이송단계로 나누어진다. 신고 접수 단계는 응급환자 발생 시 구급차를 출동시키고, 구급차가 현장에 도착하기 전까지 의료 상담 직원의 응급처치 조언 및 응급질환 상담, 환자에게 적합한 병원 안내 등의 서비스를 제공하는 단계이다. 현장 응급처치 단계는 현장에 도착한 응급구조사가 사전에 입수한 정보 및 환자의 상태를 파악하고 환자 상황에 맞는 응급처치를 시행하는 단계이다. 이송단계는 응급환자를 의료 기관까지 신속하고 안전하게 이송하기 위한 단계이다.
A.4.3 응급의료 체계의 구성
응급의료에 관한 법률 제13106호(일부개정 2015.1.28.)에서 제2조의 응급환자의 정의에서 "응급환자"란 질병, 분만, 각종 사고 및 재해로 인한 부상이나 그 밖의 위급한 상태로 인하여 즉시 필요한 응급처치를 받지 아니하면 생명을 보존할 수 없거나 심신에 중대한 위해가 발생할 가능성이 있는 환자 또는 이에 준하는 사람으로서 보건복지부령으로 정하는 사람을 말한다. 그러나 응급환자의 발생은 예측할 수 없는 상황에서 발생할 수 있다.
도 12는 응급의료체계도를 나타낸 것이다.
도 12를 참조하면, 일반적으로 응급의료체계는 병원 도착 전 단계(Pre-hospital Emergency Medical Service System)와 병원 단계(Hospital Emergency Medical Service System) 그리고 이러한 단계를 연결하는 통신체계로 구성되어져 있다.
응급환자 발생 시 신고가 되면서 구급차량을 출동시키고 구급차량이 현장에 도착하는 단계가 현장 단계에 해당된다. 구급차량이 출동하여 현장에 도착하기 전까지 전화상담원은 응급처치를 조언하고 응급질환을 상담하고 응급환자에게 적합한 병원을 안내하는 서비스를 제공한다. 이송단계는 현장 및 구급차량 내에서 응급구조사가 통신을 이용하여 지도의사의 지시를 받으며 구급차량에 있는 의료 장비를 이용하여 환자에 대한 신속하고 적절한 처치를 시행하면서 응급환자를 의료 기관으로 이송하는 단계이다. 병원 단계는 응급환자가 병원으로 이송된 후에 전문 의료진에 의해 진료를 받는 단계이다.
A.5 RFID 시스템 구성 요소 및 동작원리
본 발명에서는 사물의 인증에 사용되는 RFID 시스템 구성 요소 및 동작 원리에 대해서 설명한다.
A.5.1 RFID 시스템 구성요소
도 13은 RFID 시스템의 구성도이다.
도 13을 참조하면, RFID 시스템은 RFID 리더(Reader), RFID 태그(Tag), 백-엔드 데이터베이스 서버(DB)로 구성된다. 태그는 읽고, 쓰기가 가능한 메모리를 내장하고 있으며, 정보 저장과 발신 기능을 가지는 매우 작은 칩으로 각 태그는 해당 객체의 식별 정보(
Figure 112015089658859-pat00002
)를 담고 있다. 리더(Reader)는 무선 채널을 통하여 각각의 태그들과 통신한다. DB는 각 태그를 위한 식별자(
Figure 112015089658859-pat00003
), 비밀키(
Figure 112015089658859-pat00004
)와 정보 집합을 관리한다.
A.5.2 RFID 시스템의 동작 원리
RFID 시스템의 동작 원리는 먼저, 리더는 태그에게 질의(Query)정보를 전송한다. 고유의 식별자 정보를 가지고 있는 태그는 리더의 요청에 의해 자신의 식별자 정보를 리더에게 전송한다. 리더는 태그가 보내오는 식별자 정보를 수신한 후, DB서버에게 전달한다. DB서버는 자신의 DB 정보와 리더로부터 수신된 정보를 이용하여 태그를 인증하고, 그 태그에 해당하는 정보를 리더에게 알려준다.
RFID 시스템은 다음과 같은 보안 요구사항이 제공되어야 한다.
1) 리더와 태그간의 서로 정당한 개체임을 확인하기 위한 상호 인증 절차가 필요하다.
2) 리더와 태그 사이의 통신 메시지 내용으로부터 태그의 식별자(
Figure 112015089658859-pat00005
)를 추측할 수 없어야 한다.
3) 인가된 사용자만 접근 가능해야 하며 위조 및 변조되지 않도록 데이터 무결성이 제공되어야한다
4) 인증 및 인가된 사용자만이 전송되는 데이터 내용을 볼 수 있도록 기밀성이 보장되어야 한다.
5) 재전송 공격과 같은 보안 공격으로 인한 위조된 응답이 정당한 태그로 인식되지 않도록 방지해야 한다.
A.6 평가
응급환자 관련 측면에서 기존 관련 기법들에 대한 평가로 RBAC에서 사용자는 객체에 접근이 허용된 허가 권한을 가진 역할에 할당된 경우 해당 객체에 접근할 수 있다.
RBAC을 기반으로 하는 여러 정책들은 이러한 객체의 접근을 위임의 형태로 정의한다. RBAC에서 조직 내 역할에 권한을 할당함은 복잡성, 비용, 오류발생의 가능성을 줄이고, 웹상에서 보안정책을 적용하기 위해 사용되고, 다중 도메인 환경에서도 사용 가능하다.
응급의료체계에 적당한 형태의 역할 기반의 RBAC 모델이 필요하고, 이는 역할에 따른 안전한 접근 통제를 구축하기 위한 것이다. 또한, 환자의 프라이버시 보호에 따른 추가적인 제약사항이 필요하다. 이 또한 환자의 의료정보를 보호하고 시스템의 보안도 증가한다.
응급 상황 시 환자의 의료정보의 접근 권한은 자동위임 정책을 추가하고, 응급위임역할의 활성화 시간의 제약이 필요하다. 이는 환자의 의료 정보가 노출되는 것을 막고, 응급구조사의 권한의 남용을 막는다. 환자의 생명과 민감한 정보의 접근제어를 다루기 때문에 보안성이 매우 중요하다. 역할기반의 권한 위임 모델에서는 위임과 상속으로 인한 위험성과 불필요한 요인은 배제하고 환자의 프라이버시를 강조한 새로운 모델이 필요하다.
응급 의료 환경에서도 첨단 의료 환경 상에서와 마찬가지로 의료 과실을 줄이기 위한 방법으로 환자의 의료 프로필을 이용하여 정확하게 환자를 식별할 수 있어야 한다. 응급환경에서 환자의 응급정도와는 상관없이 환자의 응급의료정보가 제공되어야 한다. 안전하고 효율적으로 사용자 인증 및 응급환자 개인 정보를 보호할 수 있는 권한 위임 모델이 필요하다. 이러한 응급 상황에 적응하고, 불법적인 접근에도 개인 정보보호와 프라이버시를 보호해 주는 강력하고 안전한 방법이 필요하다.
B. 응급환자를 위한 자동 권한 위임 모델
본 발명에서는 응급상황 발생 시 병원 전 단계에서 현장에 도착한 응급구조사가 응급환자의 응급의료 정보에 접근하는 과정을 분석한다. 이러한 과정에서 안전하게 응급구조사와 환자를 인증하고, 응급환자의 권한을 자동으로 위임받는 모델을 제안한다.
B.1 제안 모델의 정의
본 발명에서 제안하는 모델의 구성 요소와 함수식을 정의한다.
도 14는 본 발명에서 제안하는 모델을 나타낸 것이다.
도 14를 참조하면, 본 발명에서 제안하는 모델의 구성요소간의 상관관계를 나타낸 것으로서, 본 발명은 기본 모델로 R. Sandhu 등이 제안한 RBAC96 모델을 기반으로 한다. 제안 모델의 구성요소와 함수에 대해 정의한다.
B.1.1 구성요소
제안 모델의 구성요소에는 사용자, 역할, 권한, 세션, 사용자할당, 권한할당, 제약 조건 등이 있다. 이를 자세히 설명하면 다음과 같다.
1) 사용자(Users)
사용자는 컴퓨터 시스템을 통하여 의료 정보 시스템 내의 정보를 접근할 수 있는 주체(Subject)로써 한 사용자는 한 명의 사용자에 대응된다. 사용자는 직접 권한에 할당되는 것보다는 역할에 할당됨으로써 권한을 행사할 수 있다. 제안 모델에서는 응급 상황 시 주체가 되는 응급환자(user_p)와 응급구조사(user_m)로 구성된다.
2) 역할(Roles)
주어진 환경에서 정의된 업무 기능(Job Function)을 바탕으로 정의한 의미적 구조체로 역할에 부여된 권한과 책임으로 구성된다. 각 역할은 수행 가능한 권한의 집합으로 구성되고, 역할에 배정된 권한은 조직의 규정, 규칙에 의해 정의된다. 제안 모델에서 역할은 정규역할(RR: Regular Role)과 응급 상황 시 환자의 응급의료정보를 접근할 수 있는 권한의 집합을 할당한 임시 위임 역할인 응급위임역할(EDTR: Emergency Delegation Temporal Role)로 구성된다.
3) 권한(Permissions)
권한은 정보객체에 수행 가능한 접근 모드들의 집합으로 구성된다. 허가정보(Authorizations), 접근권한(Access rights), 특권(Privileges)등이 권한과 같은 맥락으로 사용된다.
4) 세션(Sessions)
세션은 사용자에게 가능한 역할들로의 사상이며 사용자는 역할들의 일부를 수행하는 동안 세션을 만든다. 사용자가 사용가능한 권한은 그 세션에서 수행되는 모든 역할로부터의 권한들의 모임을 나타낸다. 제안 모델에서는 응급구조사가 응급위임역할(EDTR)을 생성하여, 권한을 위임 받을 때 응급위임역할의 활성화 시간에 제약을 둔다.
5) 사용자 할당(UA: User Assignment)
사용자 할당은 사용자가 수행할 수 있는 역할들을 지정하는 것이다. 다-대-다의 관계를 갖는다.
6) 권한 할당(Permission Assignment)
권한 할당은 역할이 수행할 수 있는 권한을 할당하는 것이다. 제안 모델에서는 정규권한할당(PAR: Permission-Regular Role Assignment)과 응급위임권한할당(PAED: Permission-Emergency Delegation Role Assignment)으로 구분된다.
7) 제약조건(Constraints)
제약조건은 위에서 정의된 모든 구성 요소들에 대해 적용될 수 있으며, 각 구성요소가 가지는 특성은 제약사항이나 조건 등을 기술한다. 제안 모델에서는 시간 제약(Temporal constraint)을 두었다.
B.1.2 제안 모델의 구조 정의
제안 모델의 접근제어는 RBAC96를 따를 수 있다. 제안 모델은 기본 RBAC96의 기본 구조와, RBAC의 위임 모델인 PBDM0 모델을 기반으로 하는 것이 바람직하다. 제안 모델의 기본 구성요소와 관계 함수 정의는 다음과 같다.
[정의 1] 제안 모델 기본 구성요소
Users, Roles, Sessions, Permissions
Users는 접근하는 사용자(U)집합, Roles는 역할(R)집합, Sessions은 세션(S)집합, Permissions는 권한(P)의 집합이다.
[정의 2] 제안 모델의 구성요소 집합 관계
UA ⊆ U × R
역할할당(UA)은 사용자를 역할에 할당한 것으로 다-대-다의 관계로 사용자와 역할 곱의 부분 집합이다.
PA ⊆ P × R
권한할당(PA)은 역할과 권한의 곱의 부분집합이다.
PAR ⊆ RR × P
정규역할권한할당(PAR)은 정규역할과 권한과의 할당관계로 정규역할과 권한 곱으로 된 집합의 부분집합이다.
PAED ⊆ EDTR × P
응급위임역할권한할당(PAED)은 응급위임역할과 권한과의 할당관계로 응급위임역할과 권한 곱으로 된 집합의 부분집합이다.
PA = PAR ∪ PAED
권한할당(PA)은 정규역할의 집합의 권한 할당과 응급위임역할의 집합의 권한 할당의 합집합이다.
제안 모델은 응급상황 시 임시적으로 생성된 역할에 권한과 사용자가 할당되어 진다. 이러한 할당 관계를 표현한 함수는 다음의 [정의 3]과 같이 정의한다.
[정의 3] 구성 요소 집합의 할당 관계 함수
assign_user_r(r:Roles)→
Figure 112015089658859-pat00006
사용자 집합에 정규역할을 매핑하는 함수로,
assign_user_r(r) = { u ∈ U | (u , r) ∈ UA } 이다.
assign_permit_rr(r:RR) →
Figure 112015089658859-pat00007
권한 집합에 정규역할을 매핑하는 함수로,
assign_permit_rr(r) = { p ∈ P | ∃r' ≤ r ·(r' , p) ∈ PAR } 이다.
assign_permit_edtr(r:EDTR) →
Figure 112015089658859-pat00008
권한 집합에 응급위임역할을 매핑하는 함수로,
assign_permit_edtr(r) = { p ∈ P | ∃r' ≤ r ·(r' , p) ∈ PAED } 이다.
assign_sessions_user(u:Users)→
Figure 112015089658859-pat00009
세션 집합에 사용자 u를 매핑하는 함수로,
assign_sessions_user(u) = { s ∈ S | (u , s) ∈ U × S } 이다.
assign_roles_session(s:Sessions)→
Figure 112015089658859-pat00010
역할의 집합에 세션 S을 매핑하는 함수로,
assign_roles_session(s) = { r ∈ R | (s , r) ∈ S × R } 이다.
assign_edtr_user(u:Users)→
Figure 112015089658859-pat00011
응급위임역할 EDTR에 사용자를 매핑하는 함수로,
Figure 112015089658859-pat00012
(user_p, user_m ∈ U, edtr ∈ EDTR) · (user_p ≠ user_m) ∧ (edtr ∈ assign_edtr_user(user_p) ∧ edtr ∈ assign_edtr_user(user_m)) 이다.
[정의 4] 제안 모델의 역할 계층
RH ⊆ R × R 이며,
역할
Figure 112015089658859-pat00013
Figure 112015089658859-pat00014
Figure 112015089658859-pat00015
이면, assign_permit_role(
Figure 112015089658859-pat00016
) ⊆ assign_permit_role(
Figure 112015089658859-pat00017
)이다. 즉, 역할
Figure 112015089658859-pat00018
는 역할
Figure 112015089658859-pat00019
보다 상위 역할을 의미하고, 상위 역할은 하위 역할보다 더 많은 권한이 부여된다.
제안 모델에서는 응급상황 시 자동으로 역할 상속 관계가 이루어지도록 한다. 응급위임역할(EDTR)이 정규역할(RR)로 부터 권한이 상속된다. 따라서 응급환자가(user_p)가 응급구조사(user_m)에게 권한의 일부 또는 전체를 위임하기 위해 응급위임역할을 생성하면, 응급환자의 권한의 집합이 상속된다.
도 15는 제안 모델의 권한 위임 관계를 나타낸 것이다.
도 15를 참조하면, 인증된 응급구조사가 응급위임역할을 생성하여 시간적 제약 세션을 형성하여 응급위임역할을 활성화시킨다. 생성된 응급위임역할에는 응급환자가 응급상황 시 자동으로 위임하려는 권한들이 할당되어 진다.
도 15에서 응급상황 발생 시 자동위임 단계는 [표 2]와 같은 과정으로 이루어진다.
Figure 112015089658859-pat00020
[표 2]의 자동 위임 과정 중 응급구조사가 응급위임역할을 생성하는 정의는 [정의 5]와 같다.
[정의 5] 응급위임역할 생성
create_edtr(r:RR) → EDTR
∀r, edtr ∈ R , ∀user_m ∈ U, user_m ∈ assign_user_r(r), edtr ∈ assign_edtr_user(u)일 때 정의한다. 정규역할(RR)에 할당된 응급구조사(user_m)가 응급위임역할(EDTR)을 생성한다.
[정의 5]에서 응급구조사(user_m)가 응급환자(user_p)의 정규역할(RR)에 할당되어 응급위임역할(EDTR)을 생성할 수 있는 권한을 부여 받는다. 응급구조사가 위임역할 EDTR을 생성하고, 사용자 할당된다. 이와 동시에 응급환자의 역할 RR의 권한의 부분집합이 위임 역할 EDTR의 권한의 집합으로 자동 상속된다.
도 15에서 생성된 응급위임역할을 활성화하려면 응급위임역할을 세션에 할당해야 한다. [표 2]의 자동 위임 과정 중 생성된 응급위임역할을 세션의 집합에 할당 과정의 정의는 [정의 6]와 같다. 세션은 시간적 제약을 받는다.
다음 [정의 6]은 세션의 집합에 응급위임역할을 할당하는 함수이다.
[정의 6] 세션 s에 응급위임역할의 집합 할당
assign_roles_session(s) → EDTR
제안 모델에서 세션의 시간 범위는 응급구조사가 인증하여 권한을 자동으로 위임 받는 시점부터 응급구조사가 응급환자를 병원까지 이송하는 병원 전 단계가 끝나면 자동으로 위임되었던 권한은 회수 및 폐기된다. 이를 위해 응급위임역할의 세션 성립 후 응급위임역할의 활성화에 시간적 제약을 한다.
Figure 112015089658859-pat00021
은 응급구조사가 응급환자의 권한을 자동으로 위임 받기 시작한 시점이다.
Figure 112015089658859-pat00022
는 응급구조사의 병원 전 단계에서의 업무가 끝나는 시간이다. 즉, 자동 위임된 권한이 종료되는 시점이다.
Figure 112015089658859-pat00023
Figure 112015089658859-pat00024
의 사이에 활성화된 범위를 TS로 정의한다. 이를 정형화하여 재정의하면 [정의 7]과 같다.
[정의 7] 위임 역할의 활성화 시간 범위 함수
T= { (tb, tf) | tb, tf } ∈ N,
∀b, f ∈ N, ∀tb, tf ∈ T, b < f ⇔ tb < tf 이다.
그러므로, 시간범위 TS = { (tb, tf) | tb, tf ∈ T, b < f} 이다.
B.1.3 동작 개요
도 16은 제안 모델의 동작 과정을 나타낸 것이다.
도 16을 참조하면, 인증의 단계를 거쳐 응급구조사가 응급환자의 권한을 자동으로 위임 받아 응급의료데이터 접근해 적절한 응급구조사의 업무를 시행 후 병원에 도착하면 자동 위임된 권한이 종료된다.
인증 과정은 응급현장에 도착한 응급구조사가 응급단말기의 지문인식 기능으로 소유자 인증을 한다. 그리고 응급환자식별을 위해서 응급환자 인증을 한다. 응급환자는 RFID시스템의 Tag 값을 스마트밴드의 형태로 항상 지니고 다닌다고 가정한다. 응급구조사가 응급단말기를 이용해 환자의 Tag값과 송수신하여 환자를 인증한다.
자동 권한 위임 과정은 응급구조사가 응급환자의 응급의료정보에 접근하기 위해 응급위임역할을 생성하여 응급환자의 권한의 집합을 자동으로 위임 받는다.
응급의료정보 접근 과정은 응급환자의 정확한 응급의료정보를 바탕으로 응급구조사가 적절한 응급처치 및 이송병원을 선정하는 업무를 시행한다.
위임종료는 응급환자가 병원에 도착하면, 응급구조사에게 자동으로 위임되었던 권한은 자동 폐기되어 권한의 오남용을 막는다.
B.2 인증
도 17은 인증 단계를 나타낸 것이다.
도 17을 참조하면, 응급현장에 도착한 응급구조사가 소유한 응급단말기의 지문인식 기능으로 소유자 인증을 하고, 응급환자가 착용하고 있는 RFID의 환자 태그를 통해 환자를 인증한다.
제안 모델은 인증을 통하여 응급의료정보의 접근제어를 한다. 응급구조사는 소유자 인증을 한다. 응급구조사가 아닌 제3자가 응급단말기를 소유하여 환자 태그를 식별하는 것을 방지한다. 각 환자의 태그의 비밀 키인 는 병원 내 서버에 암호화 알고리즘을 통해 안전하게 등록되어 있음을 가정한다. [표 3]은 본 발명의 인증에서 사용되는 파라미터이다.
Figure 112015089658859-pat00026
도 18은 제안 모델의 사용자 접근 제어 과정 중 응급구조사가 소지한 응급단말기의 소유자 인증과 환자인증의 과정을 나타낸 것이다.
① 응급단말기 → 서버 : {
Figure 112015089658859-pat00027
}
응급구조사가 소유하고 있는 응급단말기의 지문인식 기능으로 암호화된 지문 정보값(
Figure 112015089658859-pat00028
)을 서버로 보낸다. 응급단말기는 응급구조사가 응급현장에 도착하여 환자 인증에 써야 한다. 이를 위해 응급단말기를 응급구조사가 소유하고 있는지 확인하여 인증한다.
② 서버 → 응급단말기 : 소유자 인증 or 오류
서버는
Figure 112015089658859-pat00029
를 계산한 후 서버에 저장된
Figure 112015089658859-pat00030
값과 비교한다. 비교하여 일치하면 소유자 인증을 하고, 아니면 오류메시지를 보낸다.
③ 응급단말기 → 환자태그 : { Query, time }
인증된 응급구조사가 소유한 응급단말기는 타임스탬프(time)를 생성하여, 환자가 소유한 태그에 Query와 같이 전송한다. 타임스탬프는 응급구조사가 응급환자 근처에 위치함을 확인하기 위해 응답시간에 활용될 시간 값이다. 이는 Query를 보낼 때의 타임스탬프와 응답 시간의 타임스탬프를 비교한다. 요청 시간과 응답 시간 사이에 임계값을 두어 그 범위에 속하는지 확인한다. 이는 응급구조사가 응급환자를 직접 만났는지 확인한다.
④ 환자태그 → 응급단말기 :
Figure 112015089658859-pat00031
응급환자의 태그는 랜덤 값
Figure 112015089658859-pat00032
를 prng()로부터 생성하여 식별자 P-ID 와 비밀 키
Figure 112015089658859-pat00033
를 함께 이용하여 랜덤 해쉬 값
Figure 112015089658859-pat00034
을 타임스탬프와 함께 응급단말기에 전송한다.
⑤ 응급단말기 → 서버 :
Figure 112015089658859-pat00035
응급단말기는 응답이 정해진 임계 시간 내에 도착했는지 타임스탬프로 확인하여 응급구조사가 응급환자를 만났음을 검증한다. 서버로
Figure 112015089658859-pat00036
값과 타임스탬프를 전송한다.
⑥ 서버 → 응급단말기 : 환자식별 or 오류
서버는 응급단말기로부터 전송받은
Figure 112015089658859-pat00037
와 저장되어 있는
Figure 112015089658859-pat00038
Figure 112015089658859-pat00039
쌍을 이용하여 응급단말기로부터 수신 받은
Figure 112015089658859-pat00040
값과 일치하는
Figure 112015089658859-pat00041
Figure 112015089658859-pat00042
쌍을 검색하여 일치하는지 확인한다. 일치하면 환자를 인증하고, 일치하지 않으면 오류메시지를 송신한다.
다음 [표 4]는 인증과정을 나타내는 알고리즘이다. 응급구조사의 응급단말기 소유 인증 후 응급환자를 인증한다.
Figure 112015089658859-pat00043
B.3 권한 자동 위임
응급의료체계의 병원 전 단계에서 응급구조사의 역할은 환자를 신속하게 식별하고 환자의 의료정보를 확인하는 것이다. 확인한 응급의료정보를 토대로 적절한 응급처치와 적합한 이송 병원을 선택한다. 본 발명에서는 이러한 응급구조사의 업무에 따라 응급의료 체계의 병원 전 단계에서 동작하는 모델을 제안한다.
도 19는 응급 위임 역할이 상속되는 과정을 나타낸 것이다.
도 19를 참조하면, 인증된 응급구조사에 의해서 역할 RR의 권한 부분집합이 위임 역할 EDTR에 상속되는 것을 보여주고 있다.
응급 상황에서 실제적인 역할 단위는 응급구조사의 업무이다. 따라서 하나의 역할에는 하나 이상의 업무가 포함되어 있다. 여러 특성을 갖는 업무들이 존재하고, 그 특성에 따라 접근제어를 필요로 한다.
제안 모델의 역할은 응급구조사의 업무의 집합을 의미한다. 응급구조사의 업무를 세분화 시켜서 권한의 일부분을 위임할 수 있다. 제안 모델은 권한을 기반으로 하는 위임 모델이기 때문에 해당 권한만을 위임할 수 있다.
도 20은 권한 단위로 위임하는 개념도이다.
도 20을 참조하면, user_p의 권한 중 r2에 관한 권한 만을 위임 시 제안 모델에서는 역할계층을 세분화하였기 때문에 원하는 r2만이 위임 가능하다.
제안 모델의 자동 위임에서는 새로운 응급위임역할을 생성하고, 권한의 부분집합을 상속 받아 인증된 시간부터 병원 도착까지 응급위임역할을 활성화시켜 응급환자의 응급의료 접근을 목표로 한다. [표 5]는 인증된 후 응급환자의 권한이 자동으로 위임되는 알고리즘을 나타낸다.
Figure 112015089658859-pat00044
[표 5]의 Auto-Delegation Algorithm에서는 Authentication Algorithm로 인증된 응급구조사와 응급환자 사이의 자동 권한 위임을 수행한다. 즉, 인증된 응급구조사가 응급환자의 역할의 권한을 자동 상속 받는 응급위임역할을 생성한다. 이때의 타임스탬프는 자동위임시작에 해당된다.
B.4 응급의료정보 접근
환자의 의료정보는 전산화되어 있다. 이러한 전산화에 의해서 환자의 의료 정보는 협진 의사나 간호사, 약사 등의 의료 종사자들에게 편리하게 공유되고, 활용된다. 그러나 환자의 의료정보 중 프라이버시를 침해하는 의료 정보가 있다. 예를 들어서 진단되거나 치료받았던 병력 중에서 정신과적 질환의 기록은 환자에게는 예민한 정보이다. 그러나 환자의 생명이 위급한 응급상황에서는 환자의 모든 의료기록에 접근 가능해야 한다. 환자가 의식불명인 상태의 긴급 상황이면 환자의 모든 의료정보를 활용해 응급처치가 이루어져야 한다.
환자가 응급상황이 발생하기 전 환자의 속성 정보를 이용해 의료정보
Figure 112015089658859-pat00045
를 (식 1)과 같이 생성한다. n은 환자가 병원에서 기본적으로 활용하게 되는 환자의 속성들의 수를 말한다. 여기에는 응급상황에서 꼭 알려야할 중요한 정보들도 포함된다. 응급 상황 발생 시 응급처치 중 일어 날 수 있는 의료 사고의 최소화를 위한 중요한 정보 들이다. 나이, 혈액형, 병력, 부작용 약물이나, 복용중인 약물, 보호자 연락처등과 같이 반드시 응급구조사에게 전달되어야 할 응급의료정보들을 말한다.
응급 상황 시 응급구조사가에게 반드시 공개되는 응급의료 정보이다.
Figure 112015089658859-pat00046
=
Figure 112015089658859-pat00047
--- (식 1)
(식 1)처럼 환자의 응급의료정보
Figure 112015089658859-pat00048
는 비교적 낮은 단계의 프라이버시로 응급 상황 시 필연적으로 공개되는 응급의료정보 속성들이다.
Figure 112015089658859-pat00049
--- (식 2)
(식 2)는 환자의 응급상황 시 무조건 공개되면 프라이버시 침해가 있는 응급의료 정보들이다. 그러나 환자가 의식이 없고, 의사소통이 불가능하며, 생명이 위독한 상황에서는 프라이버시가 침해되는 정보도 응급처치 및 병원의 신속한 이송을 위해서 접근 가능해야 한다.
본 발명에서는 응급의료정보를 DB에 저장할 때 프라이버시 침해가 많이 되는 응급의료정보를 평문 형태가 아닌 암호화하였다.
도 21은 응급의료정보 DB에 저장된 응급정보속성들을 나타낸 것이다.
도 21을 참조하면, 응급환자 스스로 의사결정을 할 수 없거나, 의식불명 상태에는 프라이버시침해 등급이 높은 환자의료정보 속성인
Figure 112015089658859-pat00050
까지 접근가능하다.
B.5 자동 위임 종료
응급구조사에게 자동 위임된 권한은 응급 구조사가 병원 전 단계의 마지막 인 응급환자 병원 도착 후 환자 활력 징후를 전송 후 회수 및 폐기된다. 이는 권한의 오남용을 막는다.
도 22는 제안 모델의 역할범위의 활성화 시간을 나타낸 것이다.
도 22를 참조하면, 제안 모델은 응급상황 시 병원 전 단계에서 응급환자와 응급구조사간의 권한 자동 위임이다.
B.6 감사로그
제안 모델은 자동 권한 위임 시 인증된 사용자에게 동적으로 부여된다. 응급 상황 발생 시 인증을 거쳐 권한이 자동 위임되고 병원 전 단계에서 이송이 끝나면 권한은 폐기된다.
도 23은 응급구조사의 병원 전 단계에서 행해지는 흐름이 모두 로그 기록되는 개념도이다.
도 23을 참조하면, 응급현장에 도착한 응급구조사가 응급단말기를 통한 소유자 인증을 한다. 그리고 환자의 Tag를 통해서 환자를 인증한다. 응급구조사가 접근 권한을 자동으로 위임받아 응급의료정보에 접근한다. 응급위임역할의 활성시간은 응급구조사가 인증단계를 거쳐 자동 위임 시점부터 응급환자가 병원에 도착하는 시점까지 시간적 제약을 둔다.
감사로그는 정보 접근에 관련된 정보사용자의 정보와 접근 시점 등을 기록한다. 특히 예민한 정보가 있는 응급의료정보에 대한 접근 기록은 더 자세하게 기록 하도록 한다. 감사로그의 형태는 (식 3)과 같다.
<User, Acc-List, Event-type, Access__time> --- (식 3)
User는 접근하는 식별자이다. AccL-List는 User가 접근한 응급의료정보 목록이고, Event-type는 접근한 형태이다. Access_time은 접근 날짜와 시간을 나타낸다.
로그기록은 응급환자의 개인 정보 보호와 프라이버시 보호를 위해서 중요하다. 응급구조사가 응급의료정보에 접근하는 유형과 시간이 기록됨으로써 병원 전 단계에서 응급구조사가 접근한 응급의료정보 접근 목록을 확인하고, 불필요한 권한의 오남용을 막을 수 있다.
C. 평가
본 발명에서는 인증 방법의 안전성을 분석하고, 제안한 모델의 타당성 검증을 위해 시나리오를 제시하고, 제안 모델의 자동 권한 위임을 기존 모델과 비교하여 평가한다.
C.1 인증 안전성 분석
RFID 인증 과정은 다음과 같이 위장공격, 재전송 공격, 스푸핑 공격, 위치 프라이버시, 태그 키 유출 공격에 안전하며 태그 익명성을 제공한다.
1) 위장공격(Impersonation Attack)
공격자가 응급단말기를 소유하여 위장공격을 할 수 있다. 하지만 응급단말기의 소유자인증을 지문인식기능으로 한다. 응급구조사의 지문정보를 안전하게 전송하여 응급단말기를 응급구조사가 소유하고 있음을 인증하여 위장공격을 막을 수 있다.
2) 재전송 공격(Replay attack)
공격자는 임의의 세션에서 응급단말기와 태그사이에서 전송되는 정보를 도청한 후, 다음 세션에서 응급단말기나 태그로 위장을 시도하는 재전송 공격을 가할 수 있다. 하지만 제안한 인증에서는 매 세션마다 응급단말기가 생성하는 새로운 타임스탬프와 태그가 생성하는 랜덤 값
Figure 112015089658859-pat00051
을 이용하여 인증을 수행하기 때문에, 공격자가 재전송될 때 랜덤 값들은 쉽게 검출됨으로써 재전송 공격을 할 수 없다.
3) 스푸핑 공격(Spoofing attack)
공격자가 서버와 태그간의 공유된 비밀키(
Figure 112015089658859-pat00052
)를 얻을 수 있으면, 스푸핑 공격을 성공할 수 있다. 하지만 제안 모델의 인증기법에서는 안전한 일방향 해쉬 함수를 이용하여 안전하게 저장되어 있는 비밀키를 쉽게 얻을 수 없다. 그러므로 스푸핑 공격을 할 수 없다.
4) 태그 익명성(Tag anonymity)
응급단말기는 타임스탬프를 생성하여 태그에 전송하고, 태그는 수신된 타임스탬프와 자신이 생성한 랜덤 값
Figure 112015089658859-pat00053
그리고 식별자인
Figure 112015089658859-pat00054
Figure 112015089658859-pat00055
안전한 일방향 해쉬 함수로 계산된
Figure 112015089658859-pat00056
을 전송한다. 공격자가
Figure 112015089658859-pat00057
를 도청하여도 비밀 키인
Figure 112015089658859-pat00058
를 모르면
Figure 112015089658859-pat00059
를 예측할 수 없다.
Figure 112015089658859-pat00060
를 통해 태그의
Figure 112015089658859-pat00061
를 획득할 수 없도록 함으로써 태그의 익명성을 제공한다.
C.2 자동 권한 위임 모델의 비교 분석 및 평가
의료 환경은 역할기반의 접근제어를 적용하여 역할에 따라 환자의 정보접근 여부를 결정한다. 제안 모델의 응급 상황에서 이러한 역할은 응급구조사로 범위가 좁혀진다. 즉, 환자의 의료정보의 접근권한이 응급구조사에게 빠르게 위임되어 병원 전 단계의 안전한 응급 처치와 이송 병원 선택도 빠르게 할 수 있다.
Figure 112015089658859-pat00062
[표 6]은 응급 시나리오로서, 시나리오에서 응급현장에 도착한 응급구조사는 자신의 지문정보를 활용해서 응급단말기의 소유자 인증을 하고 환자 Tag를 통해서 환자를 인증한다. 동시에 환자의 권한이 자동으로 응급구조사에게 위임된다. 응급구조사가 응급의료 정보를 확인 해 보니, 천식병력이 있고, 특정 기관지 확장제에 부작용이 있음을 확인한다. 환자의 활력 징후인 혈압, 맥박, 호흡수 등을 기록한다. 병원으로 이송하면서 응급구조사는 응급구조사의 법적인 응급처치자격 범위 내에서 지도의사의 지시아래서 1급 응급구조사는 부작용이 없는 흡입용 기관지 확장제를 골든타임에 투여하는 응급조치를 시행한다.
제안 모델에서는 응급 상황에서만 생성되는 응급위임역할을 시간적 제약으로 활성화하고, 주체기반의 접근제어 방법 중 RBAC을 사용하여 권한 할당의 효율성을 높였다. 위임 모델을 비교할 때는 여러 가지 비교 기준이 제시될 수 있지만 응급의료 상황에 따른 위임의 개념을 얼마나 잘 반영했는지를 평가한다. 또한 위임권한 회수에 대한 평가 항목을 추가하여 관리 측면의 용이성과 효율성을 비교하였다. [표 7]은 기존 모델과의 평가 기준이다.
Figure 112015089658859-pat00063
제시된 평가 항목을 바탕으로 RBAC을 기반으로 하는 위임 관련 모델인 RBDM0, PBDM0과 제안 모델을 비교한다. [표 8]에서는 기존 모델과 제안하는 위임 모델을 비교하였다.
Figure 112015089658859-pat00064
[표 8]에서 제안 위임 모델은 자동위임이 가능한 형태이다. 또한 위임된 권한이 할당된 역할에 시간 제약을 두어서 활성화 제약을 할 수 있다. 자동으로 위임된 권한은 시간 제약에 따라서 자동으로 회수 및 폐기 가능하다. RBDM0에서는 역할 전체를 위임하기 때문에 임무 분리 원칙과 최소 권한 원칙이 고려되지 않았음을 볼 수 있다. PBDM0에서는 위임이 권한 단위로 이루어지기 때문에 최소 권한의 원칙을 만족하였다. 제안 모델에서는 PBDM0의 부분 권한 위임의 위임 가능으로 최소 권한 원칙이 가능하도록 하고, 동적 임무 분리 원칙을 가능하게 하였다.
D. 결론
의료 정보의 전산화로 응급의료체계의 병원 전 단계에서 응급환자의 의료정보 접근이 가능하다. 의료정보를 바탕으로 적절한 응급처치와 적합한 병원 선정이 이루어져서 병원 전 단계에서의 응급처치율과 적합한 병원 이송률이 증가하고 있다.
따라서 본 발명에서는 응급환자의 응급의료정보의 보호와 프라이버시를 보호하는 응급환자를 위한 자동권한 수행 모델을 제안한다. 제안 모델은 응급구조사의 응급단말기 소유자인증을 통해 위장공격에서 응급의료정보를 보호한다. 인증기법에서 응급단말기와 통신 시 일방향해쉬와 랜덤값을 통해서 안전하게 보호한다. 또한 응급구조사가 환자를 만났는지를 확인하기위해 Tag와 응급단말기 사이에 타임스탬프를 활용하여 임계값의 범위를 지정하여 검증한다.
자동권한위임은 응급구조사에게 응급환자의 권한이 응급구조사와 환자가 인증되면 자동으로 위임된다. 제안 위임 모델은 RBAC96 기반의 권한 위임 모델인 PBDM0 모델에 자동위임 기능과 시간적 제약을 확장하였다. 또한 응급구조사가 생성한 응급위임역할의 권한의 집합은 응급환자의 권한의 집합이 자동으로 상속된다. 역할을 응급구조사의 업무단위로 세분화하여 권한단위로 위임이 가능하다. 즉, 권한부분집합의 위임이 가능하여 최소권한의 원칙, 임무분리원칙이 가능하다. 자동으로 위임된 권한은 병원 전 단계가 끝나는 응급환자가 병원으로 이송되면 자동으로 회수 및 폐기가 가능하다.
본 발명에서 제안한 응급환자를 위한 자동 권한 위임 수행 모델은 높은 수준의 의료서비스를 제공하기 위한 첨단 의료 환경에서 응급상황 발생 시 응급환자를 의료 과실로부터 보호하고, 적절한 응급처치를 가능하게 한다. 또한 의료정보와 프라이버시 침해도 보호하므로, 스마트 헬스케어와 같은 첨단 의료 환경에서 사용되어 질 수 있다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100 : 자동권한위임서버
200 : 응급단말기
250 : 환자인증부
300 : 의료정보데이터베이스

Claims (12)

  1. 응급구조시의 자동권한위임 방법에 있어서,
    응급구조사가 소지한 응급단말기의 소유자 인증과 태그를 소지한 환자인증의 과정은,
    (a) 상기 응급단말기를 응급구조사가 소유하고 있는지 확인하기 위해 응급구조사가 소유하고 있는 응급단말기의 지문인식 기능으로 암호화된 응급구조사의 지문 정보값을 자동권한위임서버에 전송하는 단계;
    (b) 상기 자동권한위임서버는 암호화된 응급구조사의 지문 정보값을 자동권한위임서버에 저장된 지문정보값과 비교하여 소유자인증을 하는 단계;
    (c) 상기 소유자 인증된 응급구조사가 소유한 응급단말기는 응급구조사가 응급환자를 직접 만났는지를 확인하기 위해 응답시간에 활용될 시간값인 타임스탬프를 생성하면서 환자가 소유한 태그에 Query를 전송하는 단계;
    (d) 상기 태그는 랜덤값을 생성하고 환자의 태그에 부여된 고유 ID정보와 비밀키를 함께 이용하여 일방향 해쉬함수에 의해 생성된 랜덤해쉬값을 타임스탬프와 함께 응급단말기에 전송하는 단계;
    (e) 응급단말기는 Query를 보낼 때의 타임스탬프와 응답 시간의 타임스탬프를 비교하며, 응답 시간이 Query를 보낼 때의 시간과 응답 시간 사이에 정해진 임계시간 내에 도착했는지를 확인하고 상기 자동권한위임서버에 랜덤해쉬값과 타임스탬프를 전송하는 단계; 및
    (f) 상기 자동권한위임서버는 전송받은 랜덤해쉬값을 통해 일치하는 저장된 환자가 있는 지를 확인하여 인증하는 단계;를 포함하여 구성된 것을 특징으로 하는 응급구조시의 안전한 자동권한위임방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
KR1020150130394A 2015-09-15 2015-09-15 응급구조 시의 안전한 자동권한위임 방법 KR101754659B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150130394A KR101754659B1 (ko) 2015-09-15 2015-09-15 응급구조 시의 안전한 자동권한위임 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150130394A KR101754659B1 (ko) 2015-09-15 2015-09-15 응급구조 시의 안전한 자동권한위임 방법

Publications (2)

Publication Number Publication Date
KR20170032705A KR20170032705A (ko) 2017-03-23
KR101754659B1 true KR101754659B1 (ko) 2017-07-06

Family

ID=58496294

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150130394A KR101754659B1 (ko) 2015-09-15 2015-09-15 응급구조 시의 안전한 자동권한위임 방법

Country Status (1)

Country Link
KR (1) KR101754659B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102026018B1 (ko) * 2018-03-14 2019-09-26 원광대학교산학협력단 의료정보의 투명접근을 위한 동적 상황 기반의 자동인증 방법
KR102283682B1 (ko) 2019-07-02 2021-07-29 광운대학교 산학협력단 만성질환자 응급 관리 시스템 및 그 관리 방법
KR102430758B1 (ko) 2020-12-10 2022-08-09 광운대학교 산학협력단 개인 건강 관리를 위한 디지털돌봄 지원시스템, 서버 및 이의 제공 방법
CN117272397B (zh) * 2023-11-22 2024-04-16 华信咨询设计研究院有限公司 一种基于文件设计的rbac的角色权限修改方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150100348A1 (en) 2013-10-08 2015-04-09 Ims Health Incorporated Secure Method for Health Record Transmission to Emergency Service Personnel

Also Published As

Publication number Publication date
KR20170032705A (ko) 2017-03-23

Similar Documents

Publication Publication Date Title
US11928197B2 (en) Method for providing an authenticated digital identity
Keshta et al. Security and privacy of electronic health records: Concerns and challenges
Flores Zuniga et al. Biometrics for electronic health records
US9805213B1 (en) Identity validation and verification system and associated methods
US7191451B2 (en) Medical system with a management software, database, and a network interface to protect patient information from unauthorized personnel
US8984282B1 (en) Identity validation and verification system and associated methods
Fernández-Alemán et al. Security and privacy in electronic health records: A systematic literature review
US9280684B1 (en) Identity validation and verification system and associated methods
Avancha et al. Privacy in mobile technology for personal healthcare
US20110288874A1 (en) System and Method for Providing Authentication of Medical Data Through Biometric Identifier
US11521720B2 (en) User medical record transport using mobile identification credential
KR101801832B1 (ko) 라이프로그 데이터 가공 장치 및 방법
Theoharidou et al. Smart home solutions for healthcare: privacy in ubiquitous computing infrastructures
US8818334B2 (en) Secure data exchange with identity information exchange
KR101754659B1 (ko) 응급구조 시의 안전한 자동권한위임 방법
van den Braak et al. Trusted third parties for secure and privacy-preserving data integration and sharing in the public sector
CN107004048B (zh) 记录访问和管理
Jabeen et al. Enhanced architecture for privacy preserving data integration in a medical research environment
Milutinovic et al. Ethical aspects in eHealth–design of a privacy-friendly system
Alagar et al. Privacy and security for patient-centric elderly health care
Sohn et al. Clinical study of using biometrics to identify patient and procedure
Elngar et al. Data protection and privacy in healthcare: research and innovations
KR101047140B1 (ko) 지문 인식을 이용한 무인 의료 접수 및 정보 제공시스템과 그 방법
Subramaniam et al. Actor based domain specific privacy model for U-healthcare system
Nagamani et al. A mobile cloud-based approach for secure m-health prediction application

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right