WO2019177207A1

WO2019177207A1 - IoT 기반 건강 처방 보조 및 보안 시스템 그리고 방법

Info

Publication number: WO2019177207A1
Application number: PCT/KR2018/007896
Authority: WO
Inventors: 곽경섭
Original assignee: 인하대학교 산학협력단
Priority date: 2018-03-14
Filing date: 2018-07-12
Publication date: 2019-09-19

Abstract

IoT 기반 건강 처방 보조 및 보안 시스템 그리고 방법이 개시된다. 사물 인터넷(IoT) 기반의 건강 처방 보조 및 보안 시스템에 있어서, 상기 사물 인터넷 기반의 건강 처방 보조를 제공받고자 하는 사용자들을 구분하기 위한 식별자 정보를 제공하고, 사용자 단말로부터 입력된 사용자의 개인 정보를 상기 제공된 해당 사용자의 식별자 정보와 연관하여 등록하는 등록 제어부, 상기 사용자 단말의 식별자 정보에 기초하여 사용자를 인증하는 인증 제어부, 및 인증된 상기 사용자를 대상으로, 해당 사용자의 역할을 확인하고, 확인된 역할을 기반으로 해당 사용자에게 부여된 액세스 권한을 확인하는 권한 제어부를 포함하고, 로그인한 상기 사용자를 대상으로, 확인된 상기 액세스 권한에 기초하여 상기 사용자 단말로부터 수신된 요청에 해당하는 의료 서비스가 제공될 수 있다.

Description

IoT 기반 건강 처방 보조 및 보안 시스템 그리고 방법

본 발명의 실시예들은 사물 인터넷(Internet of Things, IoT) 기반의 건강 처방 보조(Health Prescription Assistant) 시스템에서 IoT 네트워크를 형성하고 있는 IoT 기기들과의 접속을 기반으로 환자의 현재 상태에 적절한 처방전(예컨대, 의약품, 식품 등)을 추천하고, IoT 기기들을 제어하고 보안을 제공하는 기술에 관한 것이다.

본 발명은 아래 연구과제들의 지원을 받아 완성되었다.

[연구사업명] 중견연구

[연구과제명] [Ezbaro] 나노 인체영역네트워크 핵심기술 연구: 분자-전자파 나노통신 하이브리드 메카니즘 규명

[연구사업명] 정보통신기술인력양성(R＆D,정보화)

[연구과제명] 스마트한 주파수 이용을 위한 스펙트럼 및 전파기술

사물 인터넷(Internet of Thing, IoT)은 인터넷 연결을 위한 IP 주소와 이러한 사물 쌍(pair of things), 다른 인터넷 가능 장치 및 프레임 워크간에 발생하는 통신을 특징으로 하는 물리적 개체 또는 엔티티(entitiy)를 포함하는 네트워크를 의미한다. 사물 인터넷(IoT)은 기계 사이의 시나리오를 뛰어 넘는 향상된 연결성을 포함한 여러 가지 이점이 있어 거의 모든 분야에서 자동화가 가능하다. IoT의 주요 기능 중 하나는 월드 와이드 웹(WWW)의 모든 네트워크가 의도한 최종 사용자 및/또는 사물에 제공하는 서비스를 가능하게 하는 것이다. 이러한 IoT의 기능은 원격 지원을 통해 환자에게 고품질의 원격 진료 및 의료 서비스를 시기 적절하게 제공할 수 있게 한다. 예를 들어, 원격 진료의 개념에서, 먼 곳(시골, 대양 위의 배 또는 항공기)에 있는 환자에게 의료 종사자는 먼 거리에서 의료 서비스를 환자에게 제공한다.

이처럼, 원격 진료에 의한 의료 서비스 배포의 기회와 가능성은 IoT의 잠재력을 동원하여 가속화시키고, 원격 건강 모니터링을 포함하여 수많은 의학적 응용을 불러 일으킬 수 있다. 예를 들어, 아래의 비특허 문헌 [1]M . Hassanalieragh , A. Page, T. Soyata , G. Sharma, M. Aktas , G. Mateos , B. Kantarci , S. Andreescu, Health monitoring and management using Internetof -Things ( IoT ) sensing with cloud-based processing: Opportunities and challenges,in : IEEE International Conference on Services Computing, SCC, IEEE, 2015,pp.285-292.에 제시된 IoT 기반의 건강 모니터링 및 관리를 통해 의료 서비스 제공자는 환자의 건강 데이터를 기반으로 환자 상태에 대해 훨씬 더 나은 진단을 내릴 수 있으며 최선의 치료와 조기 개입을 추천 가능하다.

IoT 기반의 의료 서비스는 비용 절감, 삶의 질 향상, 의료 서비스의 효율성 향상을 위해 많은 유리한 어플리케이션을 제공함으로써 적절한 시간에 쉽고 정확한 조치를 제공하는 유망 기술이다. 그러나, 의료 시스템에서 장치 및 응용 프로그램은 개인 의료 데이터를 비롯한 중요한 개인 정보를 처리해야 한다. 또한, 상기 응용 프로그램은 탑재된 스마트폰, 태블릿, PC 등의 사용자 단말은 언제 어디서나 액세스 할 수 있는 월드 와이드 정보 네트워크에 연결된다. 리소스(resource)가 제한된 웨어러블 센서로부터 수집된 개인 데이터는 프라이버시 문제에 취약하다.

또한, 의료 기기에 대한 무단 접속은 환자의 삶을 위험에 빠뜨릴 수 있다. 따라서 의료 센서 및 액츄에이터(actuator)의 오용 또는 환자의 의료 기록과 관련된 사생활 침해는 사람들이 IoT 기반 의료 어플리케이션을 활용하는 것을 제한할 수 있다. 예컨대, 환자의 의료 기록이 무단 접속한 사용자에게 그대로 노출되거나, 인슐린 공급, 심박수 제어 등의 IoT 장치가 무단 접속한 사용자에 의해 제어되어 환자의 생명을 위협하는 위험성이 존재한다.

한국공개특허 제10-2000-0066614호는 의료기기 사양관리 시스템 및 그 제어방법에 관한 것으로서, 사용자 인증을 통해 의료기 관련 정보를 제공하는 기술을 개시하고 있다.

[선행기술문헌]

[비특허문헌]

[1]M. Hassanalieragh, A. Page, T. Soyata, G. Sharma, M. Aktas, G. Mateos, B. Kantarci, S. Andreescu, Health monitoring and management using Internetof-Things (IoT) sensing with cloud-based processing: Opportunities and challenges,in: IEEE International Conference on Services Computing, SCC, IEEE, 2015,pp.285-292.

[2]D. Recordon, D. Reed, OpenID 2.0: A platform for user-centric identity management, in Proceedings of the second ACM workshop on Digital identity management, ACM, 2006, pp. 11-16.

[3]T. Bray, The javascript object notation (JSON) data interchange format, RFC 7159, http://tools.ietf.org/html/rfc7159.html, 2014.

본 발명은 IoT 기반 건강 처방 보조(health prescription assistant, HPA)를 제공함에 있어서, 환자의 의료 기록 및 의료관련 IoT 장치들로의 무단 접속(access)을 보호하기 위한 보안 기술에 관한 것이다. 즉, IoT 기반의 건강 처방 보조(HPA)를 위하여 사용자 인증을 제공하고, IoT 네트워크로 연결된 의료용 IoT 장치들, 생활용 IoT 장치와 관련된 자원(resource) 및 서비스에 대해 보호된 접속을 보장하는 보안 접속 제어 기술에 관한 것이다.

사물 인터넷(IoT) 기반의 건강 처방 보조 및 보안 시스템에 있어서, 상기 사물 인터넷 기반의 건강 처방 보조를 제공받고자 하는 사용자들을 구분하기 위한 식별자 정보를 제공하고, 사용자 단말로부터 입력된 사용자의 개인 정보를 상기 제공된 해당 사용자의 식별자 정보와 연관하여 등록하는 등록 제어부, 상기 사용자 단말의 식별자 정보에 기초하여 사용자를 인증하는 인증 제어부, 및 인증된 상기 사용자를 대상으로, 해당 사용자의 역할을 확인하고, 확인된 역할을 기반으로 해당 사용자에게 부여된 액세스 권한을 확인하는 권한 제어부를 포함하고, 로그인한 상기 사용자를 대상으로, 확인된 상기 액세스 권한에 기초하여 상기 사용자 단말로부터 수신된 요청에 해당하는 의료 서비스가 제공될 수 있다.

일측면에 따르면, 상기 권한 제어부는, 상기 사용자에 해당하는 역할이 환자, 간호사, 의사, 보안 관리자인지 여부를 확인하고, 확인된 역할과 관련하여 미리 정의된 정책에 따라 지정된 상기 액세스 권한을 확인할 수 있다.

다른 측면에 따르면, 상기 역할은, 사용자의 개인 정보, 및 직업 경험 정보에 기초하여 결정될 수 있다.

또 다른 측면에 따르면, 상기 권한 제어부는, 미리 지정된 컨텍스트(context) 제약 조건에 기초하여 사용자 단말로부터 수신된 요청을 허용하거나 거부할지 여부를 결정할 수 있다.

또 다른 측면에 따르면, 상기 권한 제어부는, 상기 사용자 단말로부터 요청과 함께 수신된 보안 접속 토큰(security access token, SAT)을 검증함으로써, 상기 요청에 해당하는 접근 권한을 확인할 수 있다.

또 다른 측면에 따르면, 상기 보안 접속 토큰(security access token, SAT)은, 상기 역할에 해당하는 정책, 권한 및 컨텍스트 제약 조건에 기초하여 검색된 정보를 이용하여 서명함으로써 생성되고, 상기 사용자 단말로 제공될 수 있다.

또 다른 측면에 따르면, 상기 권한 제어부는, 상기 보안 접속 토큰(security access token, SAT)에 대한 유효성이 검증됨에 따라, 상기 요청을 해당 IoT 장치로 전달할 수 있다.

사물 인터넷(IoT) 기반의 건강 처방 보조 및 보안 방법에 있어서, 상기 사물 인터넷 기반의 건강 처방 보조를 제공받고자 하는 사용자들을 구분하기 위한 식별자 정보를 제공하는 단계, 사용자 단말로부터 입력된 사용자의 개인 정보를 상기 제공된 해당 사용자의 식별자 정보와 연관하여 등록하는 단계, 상기 사용자 단말의 식별자 정보에 기초하여 사용자를 인증하는 단계, 및 인증된 상기 사용자의 역할을 확인하고, 확인된 상기 역할을 기반으로 해당 사용자에게 부여된 액세스 권한을 확인하는 단계를 포함하고, 로그인된 상기 사용자를 대상으로, 확인된 상기 액세스 권한에 기초하여 상기 사용자 단말로부터 수신된 요청에 해당하는 의료 서비스가 제공될 수 있다.

본 발명은 IoT 기반 건강 처방 보조(health prescription assistant, HPA)를 제공함에 있어서, 보안 접속 토큰(Secret Access Token, SAT)을 기반으로 사용자의 역할 및 부여된 액세스 권한을 확인한 후 환자의 의료 기록 및 의료용 IoT 장치들의 제어가 가능하도록 함으로써, 환자의 의료 기록이 유출에 따른 사생활 침해 및 의료용 IoT 장치들로의 무단 액세스로 인한 사용자의 생명이 위험해지는 상황을 방지할 수 있다. 즉, IoT 기반의 건강 처방 보조(HPA)를 위하여 승인된 사용자에게 보안 접속 토큰(SAT)을 발행하고, 발행된 보안 접속 토큰(SAT)을 확인하는 과정을 통해 IoT 네트워크로 연결된 의료용 IoT 장치들, IoT 장치들과 관련된 자원 및 서비스에 대해 보호된 접속을 보장할 수 있다.

또한, 오픈ID(openID)를 이용하여 사용자 인증을 수행함으로써, 사용자 인증을 위한 편리성을 제공할 수 있다.

도 1은 본 발명의 일실시예에 있어서, IoT 기반의 건강 처방 보조(HAP)를 위한 전체 네트워크를 도시한 도면이다.

도 2는 본 발명의 일실시예에 있어서, IoT 기반의 건강 처방 보조(HAP)를 위한 네트워크의 세부 구조를 도시한 도면이다.

도 3는 본 발명의 일실시예에 있어서, IoT 기반의 건강 처방 보조(HAP)를 위한 건강 처방 보조 및 보안 시스템의 세부 구성을 도시한 도면이다.

도 4는 본 발명의 일실시예에 있어서, 사용자의 등급 별로 서로 다르게 정의되는 정책(policy)을 설명하기 위해 제공되는 도면이다.

도 5는 본 발명의 일실시예에 있어서, IoT 기반의 건강 처방 보조(HAP)를 위한 접속 제어 방법을 도시한 흐름도이다.

도 6은 본 발명의 일실시예에 있어서, 건강 처방 보조 및 보안 시스템이 인증 서버 및 권한 서버로 구성된 경우의 접속 제어 방법을 도시한 흐름도이다.

도 7은 본 발명의 일실시예에 있어서, 보안 접속 토큰(SAT)을 생성하는 과정을 설명하기 위해 제공되는 도면이다.

도 8 내지 도 10은 본 발명의 일실시예에 있어서, SAT 인증관련 스크립트(script)를 도시한 도면이다.

도 11은 본 발명의 일실시예에 있어서, 보안 접속 토큰(SAT)을 확인하여 의료용 IoT 장치로의 접속을 허가하는 동작을 설명하기 위해 제공되는 도면이다.

이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.

본 실시예들은 IoT 기반의 u-Health(즉, 환자/사용자의 건강 관리)를 지원함에 있어서, 사용자의 의료 기록 및 의료와 관련된 IoT 장치들의 제어 시 보안을 제공하는 기술에 관한 것으로서, 특히, IoT 기반으로 환자의 건강 관리를 위해 보안 계층(security layer)에서 IoT 기반의 건강 처방 보조(HPA)를 위하여 사용자 인증 및 자원과 서비스(예컨대, IoT 네트워크를 형성하고 있는 IoT 장치들)에 대해 보호된 접속을 보장하는 기술에 관한 것이다. 특히, 본 실시예들은, 보안 계층 (security)에서 승인되지 않은 사용자가 IoT 네트워크를 형성하고 있는 적어도 하나의 의료용 IoT 장치로의 접속을 막고, 승인된 사용자만이 등급에 따라 허가된 의료용 IoT 장치로 접속하도록 접속을 제어하는 기술에 관한 것이다. 이때, 접속 제어는 하나의 IoT 장치 별로 수행될 수도 있고, 서비스 별로 수행될 수도 있다. 예컨대, 사용자로부터 특정한 하나의 IoT 장치로의 접속이 요청된 경우, 요청된 하나의 IoT 장치로의 접속 제어가 수행될 수 있으며, 특정 의료 서비스로의 접속이 요청된 경우, 특정 의료 서비스를 위해 요구되는 복수의 IoT 장치들로의 접속 제어가 수행될 수 있다. 예컨대, 위암 검사 서비스의 경우, 위암 검사를 위해 기지정된 복수의 IoT 장치들로의 접속 제어가 수행될 수 있다.

또한, 본 실시예들에서, 사용자 인증을 위해 위의 비특허 문헌 [2]D . Recordon, D. Reed, OpenID 2.0: A platform for user-centric identity management, in Proceedings of the second ACM workshop on Digital identity management, ACM, 2006, pp. 11-16.에 제시된 OpenID 표준이 이용될 수 있다. 그리고, 무단 액세스 관련 위험을 감소시키기 위해, 클라우드에 저장된 전자 의료 기록으로 액세스하는 것을 보호하기 위하여 속성 기반 액세스 제어(Attributedbased Access Control, ABAC) 모델이 이용되고, 네트워크의 말단에서 작동하는 의료 센서와 엑추에이터로의 액세스(access)를 보호하기 위하여 상황 인식 기능 기반 액세스(Delegated Context-ware Capability-based Access Control, DCCapBAC) 제어가 이용될 수 있다. DCCapBAC는 의료 기기와 함께 배치된 스마트 게이트웨이(예컨대, 경계 라우터)에 위임하여 계산 집약적인 암호화 작업에서 리소스 제한 의료 센서 및 액추에이터 부담을 덜어줄 수 있다. 또한, DCCapBAC는 요청에 대한 권한 결정을 내리는데 관련된 통신 및 메모리 오버 헤드를 감소시킴으로써, 환자의 신체 상태에 대한 실시간 업데이트가 간병인에게 공개되도록 할 수 있다. 그리고, 의료 센서가 간병인의 지시를 받을 수 있게 할 수 있다. 이처럼, DCCapBAC는 유효성 검사 작업을 게이트웨이(gateway)에 위임하고, 게이트웨이는 들어오는 요청을 가로채어 중간 당사자와 통신하지 않고 의료 기기에 대한 권한을 확인하여, 접속 허가 또는 거부를 수행할 수 있다.

본 명세서에서, ID 제공자는 ID 제공자의 서버를 나타내고, IoT 서비스 제공자는 IoT 서비스 공급자의 서버를 나타낼 수 있다.

본 실시예들에서, '건강 처방 보조 및 보안 시스템'은 'u-Health 지원 시스템'으로 표현될 수 있다.

전체 네트워크는 복수의 사용자 단말들(110), 건강 처방 보조 및 보안 시스템(120), 및 복수의 ID 제공자의 서버들(130)을 포함할 수 있다.

사용자 단말들(110) 각각은 사용자의 인증을 건강 처방 보조 및 보안 시스템(120)에 요청하고, IoT 네트워크를 형성하고 있는 IoT 장치들, IoT 장치 관련 자원 및 서비스로의 접속을 건강 처방 보조 및 보안 시스템(120)에 요청할 수 있다. 그리고, 건강 처방 보조 및 보안 시스템(120)의 접속 허가 여부에 따라 원하는 IoT 장치에 접속할 수 있다. 사용자 단말은, 환자, 의사, 수석 의사, 약사, 간호사 등의 사용자가 소지한 전자 기기로서, 태블릿(tablet), PC, 스마트폰(smartphone) 등을 포함할 수 있다.

복수의 ID 제공자의 서버들(130)은 오픈ID(openID) 표준을 기반으로 사용자를 인증하기 위해 건강 처방 보조 및 보안 시스템(120)과 네트워크 연결된 서버 장치로서, 사용자 단말의 로그인(login) 정보에 기초하여 사용자 단말을 인증할 수 있다. 예컨대, ID 제공자의 서버는 페이스북, 인스타그램 등과 같이 소셜 네트워크 서비스를 제공하는 서버, 구글, 야후 등의 포털 사이트의 서버와 같이 많은 사용자들이 이용하고(가입자 수가 많고), 신뢰할 수 있는 서버 장치를 의미할 수 있다.

건강 처방 보조 및 보안 시스템(120)은 사용자 단말에서 요청한 자원 및 서비스, 즉, IoT 장치로의 접속 권한을 확인하여 사용자 단말에 접속을 허가할 수 있다. 접속 허가된 적어도 하나의 의료용 IoT 장치로 사용자 단말이 접속할 수 있도록, 건강 처방 보조 및 보안 시스템(120)은 적어도 하나의 의료용 IoT 장치와 IoT 네트워크로 연결될 수 있다.

도 2를 참고하면, HPA 게이트웨이(210)는 건강 처방 보조(Health Prescription Assistant, HPA)를 위해 외부 접속을 통하여 서비스를 제공하는데 중요한 역할을 수행할 수 있다. 예컨대, HPA 게이트웨이(210)는 인증된 건강 관리 인력을 모니터링하고 제어할 수 있으며, 인증된 의료 전문가 및 환자를 식별할 수 있다. 그리고, HPA 게이트웨이(210)는 환자의 의료 기록에 대한 보호된 접속을 보장하기 위해 보안 서버(security server, 211)와 통신할 수 있다. HPA 게이트웨이(210)는 의사의 권장 사항, 의심되는 질병 등의 정보를 병원 접근성을 기반으로 컴퓨팅 서버(212)에 전달할 수 있다.

또한, HPA 게이트웨이(210)는 각각의 활동을 기록할 수 있다. 예를 들어 새로운 세션(session)을 열고, 약을 처방하며, 식이 요법에 대한 요구 사항을 제안하거나, 특정 서비스가 관련 타임 스탬프가 있는 관련 의료 인력에게 요청 된 후 대기 시간을 기록하는 등의 작업 등을 기록할 수 있다. HPA 게이트웨이(210)는 주문형 작업 배열(예컨대, 비상시 특정 연결 종료 또는 적절한 명령 수신 등)을 수행할 수 있다. HPA 게이트웨이(210)는 기존의 네트워크 게이트웨이 장치에 해당하지 않으며, 가상(예컨대, Amazon Elastic Compute Cloud) 또는 실제 시스템에서 실행되는 서비스 앱(application)에 해당할 수 있다. CPU 수, 저장소, 메모리 등과 같은 시스템 사양은 HPA 시스템과 관련된 클라이언트 및 의료 장비의 총 수에 따라 달라질 수 있다. 또한, HPA 게이트웨이(210)는 부하 분산을 위해 주문형 리소스 확장 기술을 사용하여 사양을 업그레이드 할 수 있다.

보안 서버(security server, 211)는 의료 기록, 센서 및 액추에이터에 대한 보호된 액세스를 보장하는 역할을 수행할 수 있다. 보안 서버(security server, 211)는 인증, 권한 부여 및 감사(auditing)라는 세 가지 유형의 기능을 제공하기 위한 형태로 구현될 수 있다. 이때, 인증은 신원 확인을 담당하는 것이고, 권한 부여는 권한이 없는 액세스로부터 의료 기록 및 장치를 보호하기 위한 기능에 해당할 수 있다. 감사(auditing)는 건강 처방 보조(HPA)를 위한 구성 요소간에 다양한 상호 작용(권한 부여 및 비인증)을 기록할 수 있다. 이후, 이러한 로그(기록)를 분석하여 악의적인 활동을 탐지할 수 있다. 또한, 무단 액세스 또는 침입 탐지에 대한 실시간 알림을 위해 Elastalert, 2 X-Pack3과 같은 보고 및 경고 서비스를 감사 서비스에 통합할 수 있다.

환자 및 스마트 약품 상자는 스마트 홈(220)에 포함되는 것으로서, 환자는 적절한 전극이 내재된 서로 다른 바이오 센서를 포함하는 신체 패치를 지니고 있으며, 상기 바이오 센서는 신체 부위 네트워크를 형성할 수 있다. 신체 패치 센서와 이식된 바이오칩은 IPv6 기반 저전력 무선 BAN(6LoWBAN), ZigBee 또는 Bluetooth low energy(BLE)와 같은 단거리 통신 기술을 사용하여 센서 부착 약품 팩과 통신할 수 있다. 그러면, 약품 팩은 약품 팩에 포함된 센서로 코팅되어 있는 스마트 알약과 일체로 작동하지만, 약품 팩 센서는 RFID 칩에 불과하며 알약 센서는 감지 능력이 있는 재료로 코팅된 특별한 종류에 해당할 수 있다. 약품 팩은 특별히 고안된 스마트 약품 상자에 들어 있을 수 있다. 스마트 약품 상자 안에 있는 중앙 센서는 각 약품 팩과 알약의 상태를 기록할 수 있다. 예를 들어, 환자가 특정 알약을 복용하기 위해 약품 팩의 일부를 오픈하면, 약품 팩이 오픈(open)되었다는 동작 상태가 약품 팩에 부착된 센서에 의해 감지되고, 후속 프로세싱 및 참고를 위해 약품 상자에 보고될 수 있다. 그러면, 환자 BAN에서 집계된 데이터는 저장되고 추후 필요에 따라 건강 클라우드 컴퓨팅 서버에서 처리될 수 있다.

건강 데이터베이스(213)는 식품 및 영양 DB, 측정된 생체 바이오마커 DB 및 질병 관련 팁 DB 등을 포함하여 일부 대표적인 DB의 스택을 포함할 수 있다. 예컨대, 식품 및 영양 DB는 영양 성분이 구조화된 형태로 표현된 광범위한 식품 목록을 제공할 수 있다. 그리고, 식품 및 영양 DB는 특정 음식이 환자의 건강에 어떤 영향을 미치는지에 대한 정보를 시스템에 제공할 수 있다. 이와 같이 식품 및 영양 DB는 건강한 식단 선택을 용이하게 할 수 있다. 그리고, 질병 관련 팁 DB는 다른 환자의 조언, 달성된 경험 및 약품에 대한 정보를 저장하고 있을 수 있다. 예컨대, 질병 관련 팁 DB는 B2B (business-to-business) 서비스를 제공하는 제3자로부터 제공될 수 있다. 이 경우, DB 서비스 제공자와 건강 처방 보정 및 보안 시스템 간의 호환성을 확립하기 위해 서로 통신해야 하는데, 이러한 통신을 위하여 표준 프로토콜에 동의하는 작업이 미리 수행될 수 있다.

컴퓨팅 및 제어 서버(212)는 수시로 요청되는 핵심 컴퓨팅 및 의사 결정을 담당할 수 있다. 예컨대, 집계된 데이터는 저장, 처리, 분석 및 시각화를 위해 건강 클라우드 컴퓨팅 및 제어 서버로 전달될 수 있으며, 컴퓨팅 및 제어 서버(212)는 건강 처방 보조 및 보안 시스템의 중앙 허브에 해당할 수 있다. 컴퓨팅 및 제어 서버(212)는 의사 및 환자가 소지한 모든 사용자 단말(즉, 클라이언트)를 포함하여 다양한 지점에 설치된 사용자 단말을 모니터링하고 제어할 수 있다. 그리고, 건강 처방 보조 및 보안 시스템의 말단에 해당하는 다양한 단말들(예컨대, 센서, 환자, 건강 전문가 및 DB)에 의해 보고된 이벤트를 집계하고 구조화된 명령을 컴퓨팅 및 제어 서버(212)로 전달할 수 있다. 컴퓨팅 및 제어 서버(212)는 수신된 명령을 분석하고 각 말단에 결과를 전송할 수 있다.

스마트 홈(220)은 환자에게 실내 온도, 적절한 조명 및 적절한 습도를 포함하여 보다 적합하고 편안한 생활 조건을 제공하기 위해 이용될 수 있다. 경우에 따라, 건강 처방 보조 및 보안 시스템은 스마트 홈 요소의 특수 설계를 필요로 할 수 있다. 예컨대, 보존 식품 품목을 추적하기 위해 특별히 고안된 냉장고가 필요할 수 있다. 그러면, 상기 냉장고는 여러 개의 챔버로 구성되며, 각 챔버에는 여러 개의 셀이 존재할 수 있다. 그리고, 챔버와 셀에는 센서가 장착될 수 있으며, 상기 센서는 냉장고의 메인 RFID와 통신할 수 있다. 이때, 메인 RFID는 스마트 홈(220)의 서버와 통신하고 인터넷에 연결될 수 있다.

스마트 게이트웨이(230)는 네트워크의 말단에 배치되는 리소스(resource)가 풍부한 장치를 나타낼 수 있다. 스마트 게이트웨이(230)는 통신 평면(plane), 집계 평면, 결정 평면 및 보안 적용 평면의 네 가지 평면을 포함할 수 있다. 통신 평면은 다중 프로토콜 장치와 네트워크 간의 상호 작용을 가능하게 하며, 스마트 홈에 위치하는 스마트 물체 또는 환자에게 부착된 의료 센서 사이의 통신을 가능하게 할 수 있다. 스마트 물체와 웨어러블 센서는 스마트 게이트웨이(230)를 통해 서로 통신할 수도 있다. 집계 평면은 의료 센서의 데이터를 준수하고 이를 클라우드 HPA 서비스에 게시할 수 있다. 결정 평면은 센서 데이터를 처리하고 건강 상태를 파악하며 로컬에서 의사 결정을 내릴 수 있다. 보안 적용 평면은 의료용 IoT 장치들을 무단 액세스로부터 보호하기 위해 이용될 수 있다. 스마트 게이트웨이의 평면은 6LoWPAN 경계 라우터를 사용하여 구현될 수 있다.

도 3은 ID 제공자(310), IoT 서비스 제공자(320), 사용자 단말(330) 및 건강 처방 보조 및 보안 시스템(340)을 포함할 수 있다.

ID 제공자(310)는 도 1의 복수의 ID 제공자들의 서버(130) 중 어느 하나를 나타내며, IoT 기반의 HPA(IoT-based HPA, IHA)와 상호작용하는 사용자들(예컨대, 환자, 의사, 간호사, 약사 등)을 위한 식별자(Identifier) 정보를 사용자 단말(330)에 제공할 수 있다. 예컨대, 페이스북, 트위터 등을 통해 로그인 시 이용되는 사용자의 ID를 식별하기 위한 정보를 사용자 단말(330)로 제공할 수 있다.

IoT 서비스 공급자(320)는 두 가지 유형의 의료 서비스를 제공할 수 있다. 예컨대, 장치 내 의료 서비스와 클라우드(Cloud) 의료 서비스를 제공할 수 있다. 장치 내 의료 서비스는 의료용 IoT 장치에 의해 제공될 수 있으며, 로컬 IoT 서비스에 해당할 수 있다. 예를 들어, 환자의 신체에 부착된 스마트 펄스 옥시미터(oximeter)는 환자의 혈액내 산소 포화도(O2) 수준이 직접 검색(예컨대, 의사가 장치를 검색하여 연결)되거나 원격으로 검색(예컨대, 클라우드 의료 서비스)될 수 있다. 사용자(예컨대, 환자, 간병인, 환자 가족 등)는 알림 및/또는 이벤트 수신을 위해 서비스에 가입할 수 있다. 예를 들어, 스마트 펄스 옥시미터는 O₂ 수준을 주기적으로 화면에 표시할 수 있다.

클라우드 의료 서비스(CMS)는 클라우드에 호스팅되며 로컬 장치 내 의료 서비스에 의한 원격 액세스를 허용할 수 있다. 클라우드 의료 서비스(CMS)는 장치 프로파일 저장소를 유지 관리할 수 있으며, 장치 내 의료 서비스에 관한 가입 정보를 포함하는 저장소 즉, 어떤 사용자가 어떤 서비스에 가입하고 어떤 구성 및 설정으로 등록되어 있는지를 포함하는 저장소를 포함할 수 있다. 클라우드 의료 서비스(CMS)는 장치 내 의료 서비스에 대한 구독 및/또는 액세스 규칙을 만들고 관리할 수 있는 인터페이스를 제공할 수 있다. 예를 들어, 사용자는 O₂ 수준(level)이 미리 지정된 특정 임계 값 이하가 되면 알림을 수신하는 규칙을 설정할 수 있다.

ID 제공자(310), 사용자 단말(330), IoT 서비스 공급자(320) 및 건강 처방 보조 및 보안 시스템(340)은 유선 또는 무선 네트워크로 연결되어 상호 간에 정보를 주고받을 수 있다.

건강 처방 보조 및 보안 시스템(340)은 사용자 단말(330)과의 상호 작용을 위해 사용자 단말과 관련된 정보를 등록하는 등록 제어부(Registration Authority, 341), 사용자 단말을 인증하는 인증 제어부(Authentication Authority, 342), 및 IoT 의료 서비스에 대해 보호된 접속을 보장하는 권한 제어부(Authorization Authority, 343)를 포함할 수 있다.

등록 제어부(341)는 사용자 단말(330)과 건강 처방 보조 및 보안 시스템(340) 간의 상호 작용을 위해 사용자 단말(330)과 관련된 정보를 등록하여 사용자 별로 사용자 프로파일(user profile)에 저장 및 관리할 수 있다. 예를 들어, 병원 진료 카드에 수록되는 사용자의 개인 정보들(사용자 이름, 성별, 생년월일, 사용자의 전화번호, 휴대용 전화번호, 주소 정보 등)이 사용자의 식별정보(예컨대, 사용자에게 할당된 진료카드번호, 직원번호 등의 ID)와 매칭하여 사용자 프로파일에 저장 및 관리될 수 있다.

등록 제어부(341)는 직접 모드와 중계 모드의 두 가지 모드로 동작할 수 있다. 직접 모드로 동작하는 경우, 등록 제어부(341)는 이름, 생년월일, 사회 보장 번호, 신용카드 정보, 주소 정보 등의 개인 정보를 사용자 단말(330)로부터 수신할 수 있다. 중계 모드로 동작하는 경우, 등록 제어부(341)는 구글, 트위터 등의 제3자의 웹/모바일 웹을 통해 사용자 단말(330)로부터 입력된 상기 사용자의 개인 정보를 수신할 수 있다. 그러면, 수신된 개인 정보를 사용자의 식별자 정보(예컨대, 사용자에게 할당된 진료카드번호, 직원번호 등의 ID)와 함께 연관시켜 등록할 수 있다. 등록이 성공적으로 완료되면 사용자 프로파일이 생성되어, 사용자의 프로파일이 사용자 프로파일 데이터베이스에 저장 및 유지될 수 있으며, 각 사용자 별로 고유한 사용자 ID(User ID, UID)가 할당될 수 있다.

인증 제어부(342)는 사용자 단말의 인증을 위한 로그인 서비스를 사용자 단말(230)에 제공할 수 있다. 예컨대, 인증 제어부(342)는 사용자 단말(330)로 로그인 정보의 입력을 요청할 수 있다.

그러면, 사용자 단말(330)의 화면에 로그인 정보의 입력을 요청하는 웹페이지가 디스플레이될 수 있다. 인증 제어부(342)는 사용자 단말(330)로부터 수신된 로그인 정보를 사용자 단말(330)이 지정한 ID 제공자(310)에게 전달할 수 있다. 여기서, 로그인 정보는, 사용자 단말에서 지정한 ID 제공자(310)의 웹사이트에 가입된 해당 사용자의 로그인 ID(예컨대, 이메일(email address)) 및 패스워드를 포함할 수 있다. 예컨대, 사용자 단말(330)에서 지정한 ID 제공자(310)에게 로그인 정보를 전달하기 위해, ID 제공자의 저장소(Identity Provider Repository)에는 건강 처방 보조 및 보안 시스템(340)에 등록된 복수의 ID 제공자들 각각의 식별 정보 및 해당 ID 제공자의 웹사이트로의 연결을 위한 링크 정보가 매칭되어 저장될 수 있다.

권한 제어부(343)는 인증 제어부(342)를 통해 ID 제공자(310)에서 로그인 정보에 기초하여 사용자 단말(330)의 인증에 성공함에 따라, 인증된 사용자 단말(330)에게 보안 접속 토큰(Security Access Token, SAT)을 발행할 수 있다. 여기서, 보안 접속 토큰은 IoT 네트워크를 형성하고 있는 적어도 하나의 의료용(medical) IoT 장치들 중 상기 인증된 사용자에게 허가된 IoT 장치들, 허가된 IoT 장치들과 관련된 서비스 및 자원에 해당하는 권한들(privileges)을 포함할 수 있다. 보안 접속 토큰(SAT)은 위조 감지를 위해 암호화되어 보호될 수 있으며, 권한 제어부(343)는 사용자 단말(330)을 의료용 IoT 장치로 접속하기 이전에 SAT를 먼저 확인함으로써, 의료용 IoT로의 보호된 접속을 보장할 수 있다.

의료용 IoT 장치(자원 및 서비스 포함)로의 보호된 접속을 위해 상황인지 능력 기반의 접속 제어(Context aware Capability Based Access Control, CCapBAC) 모델이 이용될 수 있다. 즉, 사용자가 자원 또는 서비스와 관련된 IoT 장치에 접속하기 위한 권한은, 도 4와 같이 사용자의 역할(Role)에 따라 구분되는 사용자 등급 별로 정의된 정책(Policy)에 기초하여 할당될 수 있다.

예를 들어 Alice, Bob, Charlie가 각각 간호사, 의사, 선임 의사(senior physician)의 역할(Role)로 건강 처방 보조 및 보안 시스템(340)에 등록된 경우를 가정하여 설명하기로 한다. 여기서, 역할에 따라 사용자 등급이 나누어질 수 있다. 이에 따라, 간호사, 의사, 선임 의사 각각에 등급 1, 등급 2, 등급 3으로 분류될 수 있으며, 등급 1에 대한 접속 권한, 등급 2에 대한 접속 권한 및 등급 3에 대한 접속 권한을 나타내는 정책(policy)이 서로 다르게 설정될 수 있다. 규칙(Rule), 즉, 등급 별 권한 다음과 같이 정의될 수 있다. 예컨대, 간호사(등급 1)는 온도센서(체온계), 혈압 센서, 포도당(glucose) 센서, 인슐린(insulin) 펌프 등의 특정한 의료용IoT 장비들에 대한 명령들(GET, POST 등)만 발행하여 상기 명령이 발행된 장치들로만 접속할 수 있는 권한을 가질 수 있다. 그리고, 의사(등급 2)는 간호사보다 더 많은 접속 권한들을 가지고 있을 수 있다. 예컨대, Bob(등급 2)은 Alice(등급 1)가 가진 모든 권한을 가지고 있을 수 있고, 추가로 EEG, ECG, vision 센서, hearing 센서 등과 같은 민감한 의료용 IoT 장치들에게 명령을 발행하여 접속할 수 있는 권한을 가지고 있을 수 있다. Charlie(등급 3)는 Bob(등급 2)이 가진 모든 권한을 가지면서, 몸에 이식되는 IoT 가능한 패이스메이커(Pacemaker)와 같이 이식된 IoT 장치들에 대한 접속 권한을 가질 수 있다. 그리고, Charlie(등급 3)는 Pill Bottle과 같은 스마트 의약 상자 (smart Medicine Box)에 명령을 발행함으로써 응급 또는 치명적 상황에 의약품을 처방할 수 있는 권한을 가질 수 있다.

이처럼, 사용자의 역할에 따른 등급을 확인하고, 사용자 등급 별로 설정된 정책(policy)에 기초하여 사용자 단말에서 요청된 IoT 장치가 해당 사용자에게 권한이 부여된 IoT 장치가 맞는지 확인하는 과정을 통해 사용자 단말의 해당 IoT 장치로의 접속 허가 여부가 결정될 수 있다. 이러한 접속 제어를 통해 IoT 기반의 HPA에서 각 의료용 IoT 장치로의 보호된 접속이 보장될 수 있다.

다시 도 4를 참고하면, 사용자(410)는 로컬 및 클라우드 IoT 서비스의 소비자가 소지한 사용자 단말, 단말에 탑재된 어플리케이션 등을 나타낼 수 있다. 도 4는 상황 인식 기능 기반 액세스 제어(CCapBAC) 모델을 따르며, 각 사용자 별로 고유한 ID가 할당될 수 있다. 사용자 집합(SubS)은 아래의 수학식 1과 같이 표현될 수 있다.

[수학식 1]

도 4에서 역할(Role, R)은 사용자들의 기능(즉, 역할)을 정의한 것으로서, 사용자가 환자, 의사, 간호사, 시스템 관리자, 또는 보안 관리자 등의 역할에 해당하는지 여부가 사용자 별로 할당될 수 있다. 역할 별로 서로 다른 액세스 권한이 미리 지정될 수 있다. 역할 세트(Rset)는 아래의 수학식 2와 같이 표현될 수 있다.

[수학식 2]

연산작업(Operation)은 GET, POST, DLETE, PUT 등을 포함할 수 있다. 예컨대, 사용자 단말에서 GET 요청이 발생한 경우, 해당 의료 서비스에 대한 읽기 작업이 수행될 수 있다. 이러한 연산작업 세트는 아래의 수학식 3과 같이 표현될 수 있다.

[수학식 3]

서비스(service)는 의료용 IoT 장치에 의해 제공되는 서비스를 나타낼 수 있다. 예컨대, 각 서비스는 데이터베이스 또는 장치 메모리에서 정렬된 구성 파일, 센서 데이터 등의 리소스 세트(res)로 표현될 수 있다. 사용자 요청에 따른 서비스가 제공될 수 있으며, 사익 요청은 액세스 제어 로직(ACLogic) 엔진에 의해 확인될 수 있다. 서비스 세트(Service Set, SS)와 리소스 세트(Resource Set, RS)는 아래의 수학식 4와 같이 표현될 수 있다.

[수학식 4]

허가(Permission)는 하나 이상의 의료 서비스와 관련하여 특정 작업 모드에 대한 허가를 나타낼 수 있다. 액세스 권한을 기반으로 권한 보유자가 시스템에서 일부 작업을 수행할 수 있다. 예컨대, 간호사는 온도계(즉, 의료용 IoT 장치) 수치를 검색할 수 있는 권한이 있지만, 약병(즉, 의료용 IoT 장치) 에 처방 명령을 내릴수 있는 권한이 없다. 허가 세트(PS)는 작업 할당에 기초하여 아래의 수학식 5와 같이 정의될 수 있다.

[수학식 5]

속성 제약 조건(attribute constraint)은 정책 할당 중에 사용할 수 있는 사용자 속성, 역할 속성 및 의료 기기 속성과 같은 다양한 유형의 속성을 포함할 수 있다. 상기 속성들은 사용자 할당, 허가 할당 및 작업 할당 등의 정책 할당에 이용될 수 있다. 예컨대, 사용자 할당 과정에서 사용자의 나이/직업 경험이 고려될 수 있다. 사용자(예컨대, 의사)에게 역할(예컨대, 수석 의사)을 할당/배정되기 위하여 15년의 경험을 가져야 한다는 조건이 미리 지정될 수 있으며, 이러한 속성 제약 조건을 기반으로 사용자의 나이, 직업 경험 등에 기초하여 사용자 별로 역할이 할당될 수 있다.

마찬가지로, 그룹의 크기나 그룹의 기능과 같은 역할의 속성은 권한 할당 중에 고려될 수 있다. 예를 들어, 적어도 한 사람은 수석 의사 역할에 배정되어야 하며, 두 명의 간호사가 환자의 동일한 의료 기기에 접근할 수 없어야 한다 등의 제약 조건이 미리 지정될 수 있다. 이때, 메모리, 통신 인터페이스 또는 에너지 소스(예를 들어, 배터리 구동형)와 같은 장치 특성은 작업 할당을 결정하기 위해 이용될 수 있다. 예를 들어, 읽기 전용 메모리(ROM)가 있는 의료용 IoT 장치는 POST 액션을 위해 액세스되어서는 안되며, 속성 집합은 아래의 수학식 6과 같이 표현될 수 있다.

[수학식 6]

속성 세트의 각 요소는 속성 유형(Attribute Type, AT)를 나타낼 수 있다. 속성 요소(Attribute Element, AE)는 3차원

로 표현될 수 있다. 예를 들어, (장치, 메모리, 16MB)는 메모리의 용량을 나타내며, (환자, 나이, 45)는 환자의 나이를 나타낼 수 있으며, 그룹의 크기는 (역할, 크기, 15)로 표현될 수 있다. 속성 제약(Attribute Constraint, AC)는 속성 요소(AE)의 조합으로 표현될 수 있다. 상기 조합은 속성 요소(AE)의 결합, 분리 및 부정(negation) 작업으로 수행될 수 있다. 예컨대, "심장 내과의 모든 의사가 심장 박동기의 상태를 확인할 수 있습니다"와 같은 보안 규칙이 있다고 가정하면, 상기 규칙은 아래의 수학식 7과 같이 표현될 수 있다.

[수학식 7]

컨텍스트(context) 제약 조건은 엔티티(entity)의 상황을 특성화하는 데 사용하기 위해 미리 지정될 수 있다. 여기서, 엔티티(entity)는 사용자와 의료용 IoT 서비스 간의 상호 작용과 관련이 있다고 생각되는 사람, 장소, 객체를 포함할 수 있다. 정책 평가 단계에서 요청을 허용/거부할지 결정하기 위해 시간, 공간, 객체 상태 등과 같은 다양한 유형의 컨텍스트가 사용될 수 있다. 예를 들어, 사용자 단말로부터 의료용 IoT 서비스 요청이 특정 위치에서 발생한 경우, 상기 요청이 거부될 수 있다. 이외에, 요청이 이전에 수행되었거나 특정 시간 후에 발행된 경우 요청이 거부될 수도 있다. 또한, 의료용 IoT 장치의 현재 상태(예컨대 동작 모드(예를 들어, 에너지 절약 모드))에 기초하여 요청이 거부될 수 있다. 컨텍스트 세트는 아래의 수학식 8과 같이 표현될 수 있다.

[수학식 8]

컨텍스트 세트의 각 요소(element)는 컨텍스트 유형(context type, CT)을 나타낼 수 있다. 각 컨텍스트 요소(CE)는 3차원

로 표현될 수 있다. 예컨대, (장치, 모드, 에너지 절약)은 장치의 작동 모드를 나타내고, (의사, 위치, 좌표 (33.5°, 86.8°))는 위치 컨텍스트를 나타낼 수 있다. "하루 중 시간과 장치의 작동 모드에 관계없이 병원에서 발생하는 모든 요청을 제공해야 한다"와 같은 보안 규칙을 고려하는 경우, 컨텍스트 제약 조건은 아래의 수학식 9와 같이 표현될 수 있다.

[수학식 9]

사용자 할당(UA), 권한 할당(PA) 및 작업 할당(OA)에서,

로 표현되는 사용자 할당은 사용자와 역할 간의 다 대 다 매핑(mapping)을 나타내고, 각 사용자에게는 역할이 할당될 수 있다. 이때, 한 명의 사용자에게 여러 역할(예컨대, 환자이면서 의사, 간호사이면서 환자 등)이 할당될 수 있으므로, 한 명의 사용자는 여러 그룹에 속할 수 있다.

로 표현되는 권한 할당은 권한과 역할 간의 다(多) 대 다(多) 매핑(mapping)을 나타내는 것으로서, 리소스(resource)에 액세스하기 위하여 각 역할에 특정 권한이 할당될 수 있다.

로 표현되는 작업 할당은 작업과 서비스 간의 다 대 다 매핑을 나타내는 것으로서, 각 서비스에는 일정 수의 작업이 할당될 수 있다.

로 표현되는 역할 속성 할당은 역할과 속성 유형 간의 다 대 다 매핑을 나타내는 것으로서, 각 역할은 시스템 관리자 또는 보안 관리자에 의해 속성이 지정될 수 있다.

로 표현되는 권한 속성 할당은 권한과 속성 유형 사이의 다 대 다 관계를 나타내는 것으로서, 속성 집합이 먼저 정의된 이후, 보안 관리자에 의해 속성이 권한에 할당될 수 있다.

로 표현되는 작업 속성 할당은 작업과 속성 유형 사이의 다 대 다 관계를 나타내는 것으로서, 보안 관리자(즉, 보안 관리자가 소지한 사용자 단말)에 의해 작업에 속성 세트가 지정/할당될 수 있다.

정책(Policy)은 사용자의 능력을 결정하는 것으로서, 각 정책에는 권한 할당 및 작업 할당의 서브 세트가 포함되고, 사용자 할당은 포함되지 않을 수 있다. 사용자 정보는 정책에 포함되지 않을 수 있다. 정책은 역할(role)에 대해 정의되고, 역할은 사용자에 매핑될 수 있다. 이에 따라, 사용자의 능력은 역할을 정의하는 정책에 해당할 수 있으며, 정책은 권한 서비스의 정책 데이터베이스에 정의되어 저장될 수 있다. XACML(Extensible Access Control Markup Language)에 기초하여 인코딩된 액세스 제어 정책은 아래의 표 1과 같을 수 있다.

[규칙 제91조에 의한 정정 15.10.2018]　
[표1]
도면 12 참조

의료용 IoT 장치로의 접속 시 이용되는 보안 접속 토큰(SAT)은 표 1과 같이 표현되는 정책에 기초하여 생성되어 사용자에게 발급될 수 있다. 정책 인코딩과 달리, 보안 접속 토큰은 위의 비특허 문헌 [3]T . Bray, The javascript object notation ( JSON ) data interchange format, RFC 7159, http://tools.ietf.org/html/rfc7159.html, 2014.에 제시된 JSON(Java Script Object Notation)에 서명되고 인코딩될 수 있다. 사용자 단말에서 의료용 IoT 장치에 요청을 전송 시, 요청과 함께 상기 보안 접속 토큰(SAT)이 첨부될 수 있다. 그러면, 단말로부터 수신된 SAT는 시스템 또는 의료용 IoT 장치에서 검증될 수 있으며, SAT 확인을 통해 요청자의 액세스 권한이 확인될 수 있다. 확인된 액세스 권한을 기반으로 요청을 허용하거나 거부하는 컨텍스트 제약 조건이 적용될 수 있다.

도 5에서 각 단계들(510 내지 550 단계)은 도 3의 건강 처방 보조 및 보안 시스템(340)의 구성요소인 등록 제어부(341), 인증 제어부(342) 및 권한 제어부(343)에 의해 수행될 수 있다.

510 단계에서, 등록 제어부(341)는 IoT 기반의 건강 처방 보조(HPA)관련 의료 서비스를 제공받고자 하는 사용자들을 구분하기 위한 식별자 정보를 제공할 수 있다. 예컨대, 진료카드 번호 등을 제공할 수 있다.

520 단계에서, 등록 제어부(341)는 사용자 단말로부터 입력된 사용자의 개인 정보를 사용자의 식별자 정보와 연관시켜 저장함으로써, 등록할 수 있다.

이처럼, 사용자가 등록된 이후, 인증 제어부(342)는 IoT 네트워크를 형성하고 있는 적어도 하나의 의료용 IoT 장치로의 접속을 원하는 사용자 단말(330)로부터 사용자 단말(330)의 인증 요청을 수신할 수 있다. 예를 들어, 간호사, 의사 등은 자신이 소지한 사용자 단말을 이용하여 자신이 관리하는 환자와 관련된 의료 서비스를 확인하기 위해, 로그인 서비스(login service)를 요청할 수 있다. 이때, 릴레이 모드로 동작하는 경우, 인증 제어부(342)는 로그인 서비스를 요청받으면서, open ID를 이용하여 사용자 단말(330)을 인증하기 위해, 사용자 단말(330)에서 지정한 ID 제공자의 식별자 정보를 사용자 단말(330)로부터 함께 수신할 수 있다. 다른 예로, 직접 모드로 동작하는 경우, 인증 제어부(342)는 로그인 서비스를 요청받으면서, 사용자 단말(330)로부터 진료카드 번호, 주민번호 등을 수신할 수 있다.

530 단계에서, 인증 제어부(342)는 사용자 단말의 식별자 정보에 기초하여 사용자를 인증할 수 있다. 릴레이 모드로 동작하는 경우, 인증 제어부(342)는 상기 ID 제공자의 식별 정보에 기초하여 해당 ID 제공자(310)에게 사용자 단말(330)의 인증 요청을 전달할 수 있다.

예를 들어, 사용자 단말(330)의 화면에 표시되는 복수의 ID 제공자들(페이스북, 구글 인스타그램 등) 중 어느 하나가 선택되고, 확인 버튼이 클릭됨에 따라 사용자 단말(330)에서 선택된 ID 제공자(310)의 식별자 정보를 포함하는 로그인 서비스가 요청될 수 있다. 그러면, ID 제공자(310)는 사용자 단말(330)로 보안 자격(credential) 정보를 요청할 수 있다. 예컨대, ID 제공자의 웹사이트에 가입한 로그인 ID(이메일 주소 등) 및 패스워드 정보가 요청될 수 있다. ID 제공자(310)는 사용자 단말(330)로부터 상기 보안 자격 정보를 수신하여 사용자 단말의 로그인 ID 및 패스워드 정보가 ID 제공자(310)의 웹사이트에 가입된 ID 및 패스워드와 일치하는지 여부를 확인함으로써, 상기 사용자 단말(330)을 인증할 수 있다.

사용자 단말(330)의 인증에 성공하는 경우, ID 제공자(210)는 사용자 단말(330)로 비밀인증서(Secret Certificate, SCert)를 전송할 수 있다. 그러면, 비밀인증서를 수신한 사용자 단말(330)은 건강 처방 보조 및 보안 시스템(240)에 사용자 단말(330)이 접속을 원하는 의료용 IoT 장치(IoT 장치 관련 자원, 서비스)로의 접속을 위한 권한인 보안 접속 토큰(SAT)의 생성을 요청할 수 있다. 그러면, 인증 제어부(342)는 사용자 단말(330)로부터 보안 접속 토큰(SAT)의 생성을 요청 받을 수 있다. 이때, 인증 제어부(342)는 보안 접속 토큰(SAT)의 생성을 요청받으면서 사용자 단말(330)이 ID 제공자(310)로부터 제공받은 비밀인증서(SCert)를 사용자 단말(330)로부터 함께 수신할 수 있다.

540 단계에서, 인증 제어부(342)는 수신된 비밀인증서(SCert)를 기반으로 추출된 식별자 정보(ID)에 기초하여 사용자의 역할(role)을 나타내는 등급을 확인할 수 있다.

550 단계에서, 권한 제어부(343)는 확인된 역할(즉, 등급)을 기반으로 사용자에게 부여된 액세스 권한을 확인할 수 있다. 이처럼 인증된 사용자를 대상으로 액세스 권한이 확인되면, 사용자 단말로부터 수신된 요청(예컨대, 의료용 IoT 장치로의 접속/제어 요청)에 해당하는 의료 서비스가 제공될 수 있다.

일례로, 인증 제어부(342)는 수신된 비밀인증서(SCert)를 확인하여 사용자 단말(330)의 식별자 정보(ID)를 추출할 수 있다. 예컨대, 인증 제어부(342)는 비밀인증서(SCert)에 기초하여 리포지토리(Identity Provider Repository)에서 사용자 단말(330)의 식별자 정보를 추출할 수 있다. 그러면, 권한 제어부(343)는 추출된 사용자 단말(330)의 식별자 정보에 기초하여 보안 접속 토큰(SAT)을 생성할 수 있다.

예를 들어, 권한 제어부(343)는 상기 사용자 단말(230)의 식별자 정보에 기초하여 사용자 단말(230)의 등급(즉, 역할)을 확인하고, 확인된 사용자 단말(230)의 등급(즉, 역할)에 해당하는 정책(Policy), 권한(permission) 및 컨텍스트 제약 조건(context constraint)를 나타내는 보안 접속 토큰(SAT)을 생성할 수 있다. 그리고, 권한 제어부(243)는 생성된 보안 접속 토큰(SAT)를 사용자 단말(230)에 전송함으로써 상기 SAT를 발행할 수 있다. 권한 제어부(243)는 수신된 사용자 단말(330)의 SAT를 확인하여 접속 허가를 결정할 수 있다. 이외에, 사용자 단말(330)로부터 접속을 요청받은 의료용 IoT 장치에서 보안 접속 토큰(SAT)의 제시를 사용자 단말(330)에 요청하여, 사용자 단말(330)로부터 상기 SAT를 수신할 수도 있다. 이를 위해, 권한 제어부(243)는 인증된 사용자 단말(300)의 상기 요청을 해당 IoT 장치로 전달할 수 있다. 그러면, IoT 장치에서 SAT 제시 요청 및 SAT 확인을 수행할 수도 있다. 이처럼, 사용자 단말(330)의 SAT를 확인하여 접속 허가가 결정될 수 있으며, SAT는 위변조를 방지하기 위해 암호화되어 관리될 수 있다.

도 5에서는 인증 및 권한 제어가 하나의 서버에서 수행되는 것으로 설명하였으나, 도 6과 같이 인증 및 권한 제어가 각각 별도의 서버에서 수행될 수 있다. 이때, 인증 서버와 권한 서버는 서로 네트워크로 연결될 수 있다

도 6을 참고하면, 액세스(access) 제어는 인증 과정(610) 및 보안 접속 토큰(SAT) 생성 과정(620)의 두 부분으로 구성될 수 있다. 인증 과정(610)은 사용자 단말이 로그인 요청을 하면, 사용자 단말에서 ID 제공자를 선택하도록 허용하는 과정에 해당할 수 있다. 그리고, 전자 메일 주소, 암호화 등의 사용자 자격 증명을 사용자에게 요청하고, 사용자의 자격 증명을 확인한 후 사용자에게 비밀 인증서(Secret Certificate, SCert)를 발급하는 일련의 과정에 해당할 수 있다.

보안 접속 토큰(SAT) 생성 과정(620)은 사용자 단말에서 SCert를 인증 제어부(342)에 제공하고 SAT를 요청하고, 인증 제어부(342)는 SCert에 첨부된 ID 제공자의 서명을 검사하여 SCert의 유효성을 검사할 수 있다. 그런 다음, 인증 제어부(342)는 사용자 단말의 UID를 검색할 수 있으며, 권한 제어부(343)에 사용자 단말의 ID(즉, UID)를 제공하고, 사용자 단말에 새로운 SAT를 생성하도록 요청할 수 있다. SAT를 생성하는 자세한 동작은 도 7을 참고하여 후술하기로 한다.

도 7을 참고하면, 사용자 단말(330)로부터 SAT 생성이 요청되면(701), 권한 제어부(343)는 SAT 생성을 요청한 사용자 단말(330)이 블랙리스트(revocation list)에 포함되어 있는지 여부를 확인할 수 있다(702). 예를 들어, 블랙리스트(revocation list)는 IoT 장치로 접속 권한이 해지된 사용자 단말과 관련된 정보(예컨대, 단말의 ID 등)를 포함할 수 있다.

예를 들어, 사용자 단말(330)로부터 SAT 생성이 요청되면(701), 인증 제어부(342)는 수신된 비밀인증서(SCert)를 확인하여 사용자 단말(330)의 식별자 정보(ID)를 추출할 수 있다(703). 그러면, 권한 제어부(343)는 식별자 정보에 기초하여 블랙리스트에 사용자 단말(330)이 포함되어 있는지 여부를 확인할 수 있다. 이때, 사용자 단말(330)이 포함되지 않는 것으로 확인됨에 따라, 권한 제어부(343)는 사용자 단말의 식별자 정보와 매칭하여 해당 등급(즉, 역할)이 저장된 역할 DB를 참조하여, 상기 사용자 단말(330)의 식별자 정보에 기초하여 사용자 단말(330)의 역할을 확인할 수 있다(704). 즉, 사용자 단말(330)의 역할에 해당하는 등급을 확인할 수 있다.

그리고, 권한 제어부(343)는 확인된 사용자 단말(330)의 등급(즉, 역할)에 해당하는 정책(Policy)을 정책 DB로부터 추출할 수 있다(705). 예컨대, 사용자 단말(330)의 사용자가 간호사인 경우, 간호사에 해당하는 기지정된 정책(Policy)이 추출되고, 의사인 경우, 의사에 해당하는 기지정된 정책이 추출될 수 있다. 권한 제어부(343)는 권한(permission) DB에서 사용자 단말(330)에 해당하는 권한(permission)을 추출하고, 컨텍스트 제약 조건 DB에서 사용자 단말(330)에 해당하는 컨텍스트 제약 조건(context context)을 추출할 수 있다(706).

이어, 권한 제어부(343)는 추출된 정책(Policy), 권한(permission), 및 상황제한(context context)에 기초하여 사용자 단말(330)을 위한 새로운 보안 접속 토큰(SAT)을 생성할 수 있다(707). 예컨대, 아래의 표 2와 같은 SAT 생성 알고리즘이 이용될 수 있다. 즉, 새로운 사용자 단말(330)의 역할에 대해 정의된 정책, 권한, 및 컨텍스트 제약 조건을 나타내는 새로운 보안 접속 토큰(SAT)이 생성될 수 있다. 생성된 SAT가 사용자 단말로 전달되고, 사용자 단말은 리소스 및 제공받고자 하는 의료 서비스에 액세스하기 위해 의료용 IoT 장치에 SAT를 제시해야 할 수 있다. 의료용 IoT 장치는 사용자 단말로부터 수신한 SAT를 확인하고 액세스 권한을 부여할 수 있다. 이때, 권한 제어부(343)는 생성된 보안 접속 토큰(SAT)을 디지털 서명하여 위변조로부터 보호할 수 있다. 그러면, 디지털 서명된 보안 접속 토큰(SAT)이 사용자 단말(330)에게 발행될 수 있다.

아래의 표 3은 JASON 형식으로 인코딩된 SAT를 나타낼 수 있다.

표 3에서, ID는 SAT의 식별자를 나타내는 것으로서, 고유한 난수(random number)가 생성되어 ID 필드에 할당될 수 있다. 두 개의 SAT는 동일한 ID를 가지지 않을 수 있다. 즉, SAT 별로 서로 다른 ID가 할당될 수 있다.Issue Instant (II)는 SAT가 발급된 UTC 형식의 시간을 나타내고, 발급 기관(IS)은 SAT 발급 기관의 식별자 또는 발급 기관 도메인 이름을 나타낼 수 있다.

서명(SIG)은 발급 기관의 서명을 나타낼 수 있다. 발급 기관은 SAT를 해시하고 공개 키로 서명할 수 있으며, 서명을 통해 발행된 SAT의 위조가 방지될 수 있다.

공개 키(IPK)는 발급 기관의 공개 키를 나타내는 것으로서, IPK는 SIG 필드를 확인하기 위해 이용될 수 있다.

리소스(RES)는 의료용 IoT 장치가 제공하는 서비스 및 리소스를 고유하게 찾는 데 사용되는 범용 리소스 식별자를 나타낼 수 있다.

액세스 권한(AR)은 발급 기관이 사용자에게 부여한 일련의 작업(ACT)을 나타낼 수 있다.

의무(OB)는 두 개의 필드를 포함하며, Not Before(NB)는 토큰을 받아들이지 않아야 하는 시간 이전을 나타내고, Not After(NA)는 토큰을 받아들이지 않아야 하는 시간 이후를 나타낼 수 있다.

컨텍스트(CT)의 필드에는 SAT 평가 프로세스 중에 컨텍스트 제약 조건을 확인하기 위한 입력으로 사용되는 컨텍스트 정보 세트가 정의될 수 있다.

조건 스크립트 길이(CSL)는 조건 스크립트의 길이(바이트)를 나타내고, 조건 스크립트(CS)는 조건과 컨텍스트 제약의 세트가 정의되고 조건 스크립트로 구성될 수 있다. 조건 스크립트는 각 SAT에 포함된 지침 목록으로서, 지침은 Forth와 같은 스크립팅(Forth-like scripting) 언어로 작성될 수 있다. Forth는 Turing-complete가 아닌, 필수적인 스택 기반 컴퓨터 프로그래밍 언어로서, 상기 언어로 작성된 조건 스크립트는 들어오는 요청을 수락하거나 거부하는데 필요한 파라미터를 유연하게 변경할 수 있다. 의료용 IoT 장치에서는 경량의 운영체제를 사용하는데, 경량의 운영 체제는 새로운 코드 또는 라이브러리를 받아들이고 통합하는데 필요한 보안 모듈이 없기 때문에 동적 소프트웨어 업데이트를 지원하지 않을 수 있다. 이때, C, C ++, Python 또는 Java로 작성된 프로그램과 달리, Forth 언어로 작성된 스크립트는 쉽게 업데이트 할 수 있다.

이하에서는 도 8 내지 도 10을 참고하여, SAT 인증 동작에 대해 설명하기로 한다.

보안 접속 토큰(SAT)은 SAT에 포함된 조건 스크립트를 실행하는 ACLogic 엔진이라는 확인 프로세스에 의해 확인될 수 있다. ACLogic 엔진은 실행 결과에 따라 허용 또는 거부 결정을 내릴 수 있다. ACLogic 엔진은 요청이 요청자에 대해 정의된 제약 조건을 충족하는지 여부를 확인할 수 있으며, 스택이라 불리우는 데이터 구조를 사용할 수 있다. 보안 접속 토큰(SAT)은 조건 스크립트에서 아무 것도 실패하지 않고 최상위 스택 항목이 참(0이 아닌)인 경우 유효할 수 있다. 스택은 카드의 스택으로 시각화될 수 있는 매우 간단한 데이터 구조를 가지며, 푸시와 팝의 두 가지 동작을 허용할 수 있다. 푸시(PUSH)는 스택 위에 항목을 추가하는 것이고, 팝(POP)은 스택에서 최상위 항목을 제거하는 것을 나타낼 수 있다. 스크립트 실행이 종료되면, 스택은 TRUE 값을 유지해야 할 수 있다. ACLogic 엔진은 스택에서 TRUE 값을 찾으면 허가 결정을 반환하고, 그렇지 않으면, 거부 결정을 반환할 수 있다. 예컨대, 스크립트 실행은 아래의 표 4와 같이 표현될 수 있다.

위의 표 3과 같은 조건 스크립트의 실행은 도 8 내지 도 10과 같이 세 부분으로 구분될 수 있다. 도 8은 서명을 확인하는 것으로서, 서명 확인 스크립트는 SIG SPK DECRYPT HASH EQUALVERIFY와 같을 수 있다. SIG 필드의 값은 발급 기관의 공개키(SPK)로 해독될 수 있으며, 발급 기관의 개인 키는 SSK에 해당할 수 있다. HASH 연산은 JASON envelope(SAT 패킷)의 해시를 생성하기 위해 이용될 수 있다. 해시 값은 해독된 SIG 값과 매칭될 수 있다. 여기서, SIG 값은 SIG=Encrypt_SSK(Hash(SAT))로 계산된 것으로 가정할 수 있다. 도 9는 의무 필드의 검증을 나타내는 것으로서, 의무를 검증(즉, 확인)하는 스크립트는 NB TIME GRATER_THAN NA TIMELESS_THAN에 해당할 수 있다. ACLogic 엔진은 현재 시간(TIME)이 NB 필드의 값(GRATER_THAN)보다 큰지 여부를 확인할 수 있으며, NA 필드의 값이 현재 시간(TIME)이 (LESS_THAN)보다 작은지 여부를 확인할 수 있다.

도 10은 컨텍스트 제약 조건의 검증을 나타내는 것으로서, 검증 스크립트는 OPERATION_MODE FORALL BATTERY_STATUS FORWALL LOCATION FORALL에 해당할 수 있다. 스크립트에 따르면, 요청은 사용자의 위치뿐만 아니라 의료용 IoT 장치의 작동 모드 및 배터리 상태(FORALL)에 관계없이 제공되어야 할 수 있다. FORALL 연산은 스택 최상위에서 해당 요소를 제거하여 작동 모드, 배터리 상태 및 위치의 값을 무시할 수 있다. 스택(stack) 상단에 TRUE 값이 있으면 스크립트의 모든 조건과 제약 조건이 충족되었음을 의미하는 조건 스크립트가 성공적으로 실행되고, 스택 상단에 존재하는 TRUE 이외의 값은 하나 이상의 조건 또는 제약 조건이 충족되지 않았음을 나타낼 수 있다.

이하에서는 도 11을 참고하여, 건강 처방 보조 및 보안 시스템(340)에서 생성되어 사용자 단말(330)에 발행된 보안 접속 토큰(SAT)을 확인하여 사용자 단말(330)이 의료용 IoT 장치로 접속 허가하는 동작에 대해 상세히 설명하기로 한다.

보안 접속 토큰(SAT)의 확인(Verification)은 AC로직(ACLogic) 엔진에 의해 수행될 수 있다. AC로직 엔진에 기반하여 SAT를 확인하는 접근 방법으로 위임 기반 접근법(Delegation Approach)이 이용될 수 있다.

도 11을 참고하면, 개인 영역 네트워크와 함께 위치하는 스마트 게이트웨이는 의료용 IoT 장치를 고려하여 SAT 검증 프로세스를 수행할 수 있다. 도 2에서 설명한 바와 같이 스마트 게이트웨이는 IoT 장치에 비해 리소스가 풍부한 엔티티(entity)에 해당할 수 있다. 스마트 게이트웨이는 ACLogic 엔진에 내장되어 있으며, 두 단계로 들어오는 서비스 액세스 요청을 인증 할 수 있다. 첫 번째 단계에서, 스마트 게이트웨이는 액세스 요청에 첨부된 SAT의 유효성을 검사하고, 두 번째 단계에서, SAT 검증 결과(예컨대, 요청 수락 또는 거절)에 따라 요청된 의료 장치(즉, 의료용 IoT 장치)로 요청을 전달하거나 요청된 IoT 장치로 전송하지 않고 요청을 거부할 수 있다. 이에 따라, 연산 집약적인 동작으로부터 리소스가 제한적인 장치의 부담을 덜어주고 관련된 암호화 하드웨어 또는 소프트웨어의 저장 및 메모리 요구가 감소될 수 있다. 이러한 위임 기반 접근법(Delegation Approach)은 의료용 IoT 장치가 실시간 요청을 제공 가능하도록 할 수 있다. 스마트 게이트웨이는 분산적 접근법(Distributed Approach), 반 분산적 접근법(semi-distributed approach)과 중앙집중적 접근법(Centralized Approach)에서 사용되는 클라우드 인증 서버와 비교할 때 의료용 IoT 장치에 상대적으로 더 가깝게 위치할 수 있다. 이에 따라, 클라우드에 작업을 위임하지 않고, 스마트 게이트웨이에 SAT 확인 작업을 위임함으로써, 사용자 단말의 요청에 대한 처리 속도가 빨라질 수 있다.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims

사물 인터넷(IoT) 기반의 건강 처방 보조 및 보안 시스템에 있어서,

상기 사물 인터넷 기반의 건강 처방 보조를 제공받고자 하는 사용자들을 구분하기 위한 식별자 정보를 제공하고, 사용자 단말로부터 입력된 사용자의 개인 정보를 상기 제공된 해당 사용자의 식별자 정보와 연관하여 등록하는 등록 제어부;

상기 사용자 단말의 식별자 정보에 기초하여 사용자를 인증하는 인증 제어부; 및

인증된 상기 사용자를 대상으로, 해당 사용자의 역할을 확인하고, 확인된 역할을 기반으로 해당 사용자에게 부여된 액세스 권한을 확인하는 권한 제어부

를 포함하고,

로그인한 상기 사용자를 대상으로, 확인된 상기 액세스 권한에 기초하여 상기 사용자 단말로부터 수신된 요청에 해당하는 의료 서비스가 제공되는 것

을 특징으로 하는 건강 처방 보조 및 보안 시스템.
제1항에 있어서,

상기 권한 제어부는,

상기 사용자에 해당하는 역할이 환자, 간호사, 의사, 보안 관리자인지 여부를 확인하고, 확인된 역할과 관련하여 미리 정의된 정책에 따라 지정된 상기 액세스 권한을 확인하는 것

을 특징으로 하는 건강 처방 보조 및 보안 시스템.
제1항에 있어서,

상기 역할은, 사용자의 개인 정보, 및 직업 경험 정보에 기초하여 결정되는 것을 특징으로 하는 건강 처방 보조 및 보안 시스템.
제1항에 있어서,

상기 권한 제어부는,

미리 지정된 컨텍스트(context) 제약 조건에 기초하여 사용자 단말로부터 수신된 요청을 허용하거나 거부할지 여부를 결정하는 것

을 특징으로 하는 건강 처방 보조 및 보안 시스템.
제1항에 있어서,

상기 권한 제어부는,

상기 사용자 단말로부터 요청과 함께 수신된 보안 접속 토큰(security access token, SAT)을 검증함으로써, 상기 요청에 해당하는 접근 권한을 확인하는 것

을 특징으로 하는 건강 처방 보조 및 보안 시스템.
제5항에 있어서,

상기 보안 접속 토큰(security access token, SAT)은, 상기 역할에 해당하는 정책, 권한 및 컨텍스트 제약 조건에 기초하여 검색된 정보를 이용하여 서명함으로써 생성되고, 상기 사용자 단말로 제공되는 것을 특징으로 하는 건강 처방 보조 및 보안 시스템.
제5항에 있어서,

상기 권한 제어부는,

상기 보안 접속 토큰(security access token, SAT)에 대한 유효성이 검증됨에 따라, 상기 요청을 해당 IoT 장치로 전달하는 것을 특징으로 하는 건강 처방 보조 및 보안 시스템.
사물 인터넷(IoT) 기반의 건강 처방 보조 및 보안 방법에 있어서,

상기 사물 인터넷 기반의 건강 처방 보조를 제공받고자 하는 사용자들을 구분하기 위한 식별자 정보를 제공하는 단계;

사용자 단말로부터 입력된 사용자의 개인 정보를 상기 제공된 해당 사용자의 식별자 정보와 연관하여 등록하는 단계;

상기 사용자 단말의 식별자 정보에 기초하여 사용자를 인증하는 단계; 및

인증된 상기 사용자의 역할을 확인하고, 확인된 상기 역할을 기반으로 해당 사용자에게 부여된 액세스 권한을 확인하는 단계

를 포함하고,

로그인된 상기 사용자를 대상으로, 확인된 상기 액세스 권한에 기초하여 상기 사용자 단말로부터 수신된 요청에 해당하는 의료 서비스가 제공되는 것

을 특징으로 하는 건강 처방 보조 및 보안 방법.