최근 들어 스마트폰과 유비쿼터스 컴퓨팅 기술의 발전으로 인해 U-헬스케어 서비스에 대한 이용 요구가 급격히 증가하고 있다. 더욱이 스마트폰을 이용한 의료정보시스템에 대한 접근과 사용 요구도 급격히 증가하고 있다. 의사들이나 환자들이 스마트폰을 이용해서 의료정보시스템에 아무 곳에서나 쉽고 빠르게 접근해서 의료 서비스를 제공 받을 수 있는 장점을 갖는 것과 달리 의료정보들에 대한 사생활 보호문제, 위치정보 노출문제, 개인정보 침해 등과 같은 보안 문제가 발생할 가능성이 높아졌다. 그러므로 본 연구에서는 의료 근로자들이 스마트폰을 사용해서 의료정보시스템에 접속하여 환자들에 대한 의료정보들을 기록, 저장, 수정, 관리할 때 발생할 수 있는 보안 문제들로부터 안전한 의료정보 보호시스템을 제안하고자 한다. 제안시스템에서는 의료 근로자들이 의료정보시스템에 접근 시 GOTP를 추가로 SMS로 전달받아 추가 인증 단계를 거침으로써 신분 위조 공격을 차단할 수 있도록 하였다. 그리고 제안시스템에서 사용자와 의료정보시스템 사이에 송 수신하는 모든 정보들을 스마트폰에서도 처리가 가능한 가볍고 빠른 암호 알고리즘을 적용함으로써 비밀성, 무결성, 위치정보 노출, 개인정보 침해 등에 대해서 방지할 수 있다.
최근 들어 스마트폰과 유비쿼터스 컴퓨팅 기술의 발전으로 인해 U-헬스케어 서비스에 대한 이용 요구가 급격히 증가하고 있다. 더욱이 스마트폰을 이용한 의료정보시스템에 대한 접근과 사용 요구도 급격히 증가하고 있다. 의사들이나 환자들이 스마트폰을 이용해서 의료정보시스템에 아무 곳에서나 쉽고 빠르게 접근해서 의료 서비스를 제공 받을 수 있는 장점을 갖는 것과 달리 의료정보들에 대한 사생활 보호문제, 위치정보 노출문제, 개인정보 침해 등과 같은 보안 문제가 발생할 가능성이 높아졌다. 그러므로 본 연구에서는 의료 근로자들이 스마트폰을 사용해서 의료정보시스템에 접속하여 환자들에 대한 의료정보들을 기록, 저장, 수정, 관리할 때 발생할 수 있는 보안 문제들로부터 안전한 의료정보 보호시스템을 제안하고자 한다. 제안시스템에서는 의료 근로자들이 의료정보시스템에 접근 시 GOTP를 추가로 SMS로 전달받아 추가 인증 단계를 거침으로써 신분 위조 공격을 차단할 수 있도록 하였다. 그리고 제안시스템에서 사용자와 의료정보시스템 사이에 송 수신하는 모든 정보들을 스마트폰에서도 처리가 가능한 가볍고 빠른 암호 알고리즘을 적용함으로써 비밀성, 무결성, 위치정보 노출, 개인정보 침해 등에 대해서 방지할 수 있다.
Recently, A utilization request of the U-Healthcare services are increasing rapidly. This is because the increase in smartphone users and ubiquitous computing technology was developed. Furthermore, the demand for access to and use of medical information systems is growing rapidly with a smartphone. ...
Recently, A utilization request of the U-Healthcare services are increasing rapidly. This is because the increase in smartphone users and ubiquitous computing technology was developed. Furthermore, the demand for access to and use of medical information systems is growing rapidly with a smartphone. This system have the advantage such as they can access from anywhere and anytime in the healthcare information system using their smartphone quickly and easily. But this system have various problems that are a privacy issue, the location disclosure issue, and the potential infringement of personal information. this problems are arise very explosive. Therefore, we propose a secure information security system that can solve the security problems in healthcare information systems for healthcare workers using smartphone. Our proposed system, doctors record, store, modify and manage patient medical information and this system would be safer than the existing healthcare information systems. The proposed system allows the doctor to perform further authentication by transmitting using SMS to GOTP message when they accessing medical information systems. So our proposed system can support to more secure system that can protect user individual information stealing and modify attack by two-factor authentication scheme. And this system can support confidentiality, integrity, location information blocking, personal information steal prevent using cryptography algorithm that is easy and fast.
Recently, A utilization request of the U-Healthcare services are increasing rapidly. This is because the increase in smartphone users and ubiquitous computing technology was developed. Furthermore, the demand for access to and use of medical information systems is growing rapidly with a smartphone. This system have the advantage such as they can access from anywhere and anytime in the healthcare information system using their smartphone quickly and easily. But this system have various problems that are a privacy issue, the location disclosure issue, and the potential infringement of personal information. this problems are arise very explosive. Therefore, we propose a secure information security system that can solve the security problems in healthcare information systems for healthcare workers using smartphone. Our proposed system, doctors record, store, modify and manage patient medical information and this system would be safer than the existing healthcare information systems. The proposed system allows the doctor to perform further authentication by transmitting using SMS to GOTP message when they accessing medical information systems. So our proposed system can support to more secure system that can protect user individual information stealing and modify attack by two-factor authentication scheme. And this system can support confidentiality, integrity, location information blocking, personal information steal prevent using cryptography algorithm that is easy and fast.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
그러므로 우리는 앞서 나열한 의료정보 시스템이 갖는 특성들과 스마트폰 환경과 상호 동작하는데 문제가 발생하지 않도록 다중 인증기술을 이용한 의료정보보호시스템을 제안하고자 한다. 본 연구에서 제안한 다중 인증 기술을 사용함으로써 스마트폰 환경에서 기존의 의료정보시스템에 접속하여 개인정보와 의료행위에 관한 민감정보들을 처리하는 과정 중에 사용자 신분위조, 의료행위에 대한 위변조 공격 등을 사전에 막을 수 있음을 보이고자 한다.
그러므로 우리는 앞서 나열한 의료정보 시스템이 갖는 특성들과 스마트폰 환경과 상호 동작하는데 문제가 발생하지 않도록 다중 인증기술을 이용한 의료정보보호시스템을 제안하고자 한다. 본 연구에서 제안한 다중 인증 기술을 사용함으로써 스마트폰 환경에서 기존의 의료정보시스템에 접속하여 개인정보와 의료행위에 관한 민감정보들을 처리하는 과정 중에 사용자 신분위조, 의료행위에 대한 위변조 공격 등을 사전에 막을 수 있음을 보이고자 한다.
본 연구에서는 다양한 보안 위협요소들 중에서 스마트폰을 사용해 의료 정보시스템에 접근하는 환경에서 발생 가능한 5가지에 보안위협요소들을 정리하여 에 나타냈다[4, 9, 10, 11].
위에서 설명한 것 이외에도 여러 가지 보안 위협요소들이 존재하지만, 본 연구에서는 위의 5가지 요소들에 대한 해결방안을 모색하고, 이를 해결하기 위한 시스템을 제안하고자 함이다.
제안 방법
그리고 사용자가 스마트폰을 사용해서 환자의 개인정보 및 의료정보, 그리고 민감정보에 접근하고자 하는 경우에도 사용자가 가진 접근 권한에 따른 PMI 정책에 알맞게 설계하였다. 이를 통해서 사용자 개인정보 침해, 사생활 침해, 위치정보 노출, 신분위조 공격 등을 사전에 방지할 수 있었다.
본 논문에서는 스마트폰을 이용한 의료정보시스템 접속 시 사용자 아이디와 패스워드를 사용해 1차 사용자 인증을 수행한 후, 사용자가 의료정보 중에서 민감정보에 대한 접근을 요청할 경우에는 추가로 GOTP 정보를 사용자에게 6문자 이상 8문자 이하의 그래픽 문자를 전송한다. 그리고 수신한 GOTP 정보를 웹 서버에 추가로 입력함으로써 다중 사용자 인증 서비스를 제공할 수 있도록 설계하였다.
그리고 환자에 대한 의료정보를 검색하기 위해서는 스마트폰 사용자가 지닌 권한에 따라 접속이 가능하도록 권한기반 PMI 서버의 인증을 추가로 수행한다.
기존의 사용자 아이디와 패스워드만 사용하는 사용자 인증보다는 훨씬 안전한 다중 인증 기법을 사용함으로써 사용자 인증뿐만 아니라, 스마트폰을 사용해서 환자 데이터베이스에 접속을 요청한 경우에도 사용자가 지닌 권한을 기반으로 접속 가능한 데이터의 범위를 사전에 정책적으로 설정함으로써 권한기반 접근제어가 가능하도록 설계하였다.
본 논문에서는 스마트폰을 이용한 의료정보시스템 접속 시 사용자 아이디와 패스워드를 사용해 1차 사용자 인증을 수행한 후, 사용자가 의료정보 중에서 민감정보에 대한 접근을 요청할 경우에는 추가로 GOTP 정보를 사용자에게 6문자 이상 8문자 이하의 그래픽 문자를 전송한다. 그리고 수신한 GOTP 정보를 웹 서버에 추가로 입력함으로써 다중 사용자 인증 서비스를 제공할 수 있도록 설계하였다.
본 연구에서는 안드로이드 환경에서 동작하는 스마트폰에 대해서만 제안시스템을 설계하고 기밀성 및 무결성 서비스 확인만을 실험에서 수행하였다. 향후 본 연구를 확장해 의료정보 시스템에 대한 가용성과 추가 사용자 인증 시스템이 기존 사용자 인증 시스템과 비교해 우수성을 검토하는 연구를 수행하고자 한다.
사용자 추가 인증을 검토한 후, 의무 근로자는 자신이 가진 권한에 알맞은 PMI 정보를 추가로 전송해 환자에 대한 민감정보들을 등급에 맞게 처리한다.
기존에 사용자 아이디와 패스워드 방식을 보완하기 위해서 제안된 Two-factor 기법 중에서 스마트폰이 도입되면서 가장 빠르고 효과적인 방법으로 제안된 것이 SMS(Shortest Message Service)이다. 이를 위해서 먼저 SMS 서버에서 6자리 이하의 숫자 혹은 문자 조함들을 생성해 사용자의 스마트폰으로 전송한다. 그리고 이를 수신한 사용자는 스마트폰 화면에 수신된 6자리 이하의 메시지를 사용자 인증 서버에 추가로 입력해 사용자 아이디와 패스워드만을 사용하는 것보다 추가적인 사용자 인증 정보를 확인함으로써 사용자 신분을 위조 또는 변조하는 것을 방지할 수 있다.
제안시스템은 (그림 2)와 같이 총 7개의 사용자 인증 및 서비스 권한 확인에 따른 접근제어 절차를 갖는다.
지금까지 의료정보 시스템의 대표적인 4가지 특징들에 대해서 기술하였다. 앞서 기술한 4가지 특징들 이외에도 여러 가지 의료정보 시스템의 특징들이 추가적으로 더 있지만 이는 본 연구의 범위에 포함되지 않아 간략히 앞서 설명한 4가지 특징들만을 기술하였다.
성능/효과
이를 위해서 먼저 SMS 서버에서 6자리 이하의 숫자 혹은 문자 조함들을 생성해 사용자의 스마트폰으로 전송한다. 그리고 이를 수신한 사용자는 스마트폰 화면에 수신된 6자리 이하의 메시지를 사용자 인증 서버에 추가로 입력해 사용자 아이디와 패스워드만을 사용하는 것보다 추가적인 사용자 인증 정보를 확인함으로써 사용자 신분을 위조 또는 변조하는 것을 방지할 수 있다.
후속연구
본 연구에서는 안드로이드 환경에서 동작하는 스마트폰에 대해서만 제안시스템을 설계하고 기밀성 및 무결성 서비스 확인만을 실험에서 수행하였다. 향후 본 연구를 확장해 의료정보 시스템에 대한 가용성과 추가 사용자 인증 시스템이 기존 사용자 인증 시스템과 비교해 우수성을 검토하는 연구를 수행하고자 한다.
질의응답
핵심어
질문
논문에서 추출한 답변
의료정보시스템이란 무엇인가?
의료정보시스템이란 의료 행위들을 지원하기 위해서 EHR(Electronic Health Records)을 중심으로 한 전산시스템을 말한다. 최근에는 유비쿼터스 컴퓨팅 기술들과 스마트폰이 기존의 의료정보시스템에 추가됨으로써 의료관계자들은 언제, 어디서나 환자의 정보에 접근하여 의학적으로 필요한 예방, 진단, 치료 및 사후관리를 위한 행위를 할 수 있는 U-헬스케어서비스를 제공할 수 있다[1].
사용자 인증을 위한 가장 기본적인 방법은 무엇인가?
사용자 인증을 위한 가장 기본적인 방법은 사용자의 아이디와 패스워드를 사전에 등록해 두고 확인하는 방법이다. 가장 쉽고 빠르고 정확한 방법이다.
U-헬스케어시스템을 위해서 반드시 선행하여 해결해야하는 것은 무엇인가?
하지만 U-헬스케어시스템을 위해서 반드시 선행하여 해결해야만 하는 것이 있다. 바로 보안 서비스에 관한 문제이다[2, 6] 일반적으로 유·무선 네트워크 환경에서 제공하는 서비스들에 관해서 선행해야 할 대표적인 문제는 사용자 인증(User Authentication)과 서비스 인가(Service Authorization)이다. 하지만 의료정보시스템은 유·무선 네트워크에서 동작한다는 특성뿐만 아니라 사용자 개인정보와 의료 행위에 관한 민감 정보들을 다루기 때문에 그 중요성이 매우 높다[7].
참고문헌 (15)
윤은준, 유기영, "의료정보보호를 위한 RFID를 이용한 환자 인증 시스템", 한국통신학회논문지, 제35권 제6호, pp.962-969, 2010년.
노시춘, 최진탁, "u-Healthcare 의료정보 시스템 네트워크 보안프레임워크 설계방법", 융복합지식학회논문지, 제1권 제1호, pp.31-37, 2012년.
김경진, 홍승필, "e-Healthcare 환경 내 개인정보보호 모델", 한국인터넷정보학회논문지, 제10권 제2호, pp.29-40, 2009년.
송유진, 박광용, "의료데이터 공유 및 활용 서비스를 위한 보안/프라이버시 요구사항", 정보보호 학회논문지, 제20권 제3호, pp.90-96, 2010년.
이근호, 한상범, 서혜숙, 이상근, 황종선, "이동 Ad Hoc망을 위한 다중 계층 클러스터링 기반의 인증 프로토콜", 정보과학회논문지: 정보통신 제33권 제4호, pp.310-323, 2006.
김한나, 이얼, 김계현, 이정찬, 이평수, "개인의료 정보의 관리 및 보호방안", 의료정책연구소 연구보고서 2013-04, pp.1-143, 2013.
Anderson, Ross J and British Medical Association and others, "Security in clinical information systems", London: British Medical Association, 1996.
F. Cao, H. K. Huang, X. Q. Zhou, "Medical image security in a HIPAA mandated PACS environment", Computerized Medical Imaging and Graphics vol. 27, Issues 2-3, pp.185-196, 2006.
Chang, Ting-Yi, Cheng-Jung Tsai and Jyun-Hao Lin, 2012. "A graphical-based password keystroke dynamic authentication system for touch screen handheld mobile devices." Journal of Systems and Software, vol.85, no.5, pp.1157-1165, 2012.
Dunphy, Paul and Jeff Yan, 2007. "Do background images improve Draw a Secret graphical passwords?." Proceedings of the 14th ACM conference on Computer and communications security. ACM.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.