[논문]OAuth 2.0 위임 Token을 이용한 환자정보 전달 시스템

박정수; 정수환

doi:10.13089/jkiisc.2020.30.6.1103

OAuth 2.0 위임 Token을 이용한 환자정보 전달 시스템
Patient Information Transfer System Using OAuth 2.0 Delegation Token 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.6, 2020년, pp.1103 - 1113

초록
AI-Helper

병원에서는 의료 기록저장 시스템 EMR (Electronic Medical Record)을 통하여 개인 정보 및 건강 정보를 저장 및 관리한다. 그러나 병원의 정보 공유를 위한 다양한 서비스를 제공함에 따라 취약점과 위협이 증가하고 있다. 따라서 본 논문에서는 EMR에서 환자 정보의 전송으로 인한 개인 정보 유출을 방지하기 위한 모델을 제안하였다. 환자의 의료 기록이 저장된 병원으로부터 환자 정보를 안전하게 수신 및 전달할 수 있는 권한을 부여하기 위한 방법을 OAuth 권한 위임 토큰을 사용하여 제안하였다. OAuth Token에 의사 정보와 환자가 원하는 기록 열람 제한을 적용하여 전달함으로써, 안전한 정보 전달이 가능하도록 프로토콜을 제안하였다. OAuth Delegation Token은 환자 정보를 열람할 수 있는 권한, 범위, 파기 시점 등을 작성하여 전달 가능하다. 이를 통하여 안전한 환자 정보 전달 및 환자 정보 재사용 금지를 방어할 수 있다. 또한, 불법적인 환자 정보 수집을 방지하고 전달 과정에서 발생할 수 있는 개인 정보의 유출을 방지한다.

Abstract ▼ AI-Helper

Hospitals store and manage personal and health information through the electronic medical record (EMR). However, vulnerabilities and threats are increasing with the provision of various services for information sharing in hospitals. Therefore, in this paper, we propose a model to prevent personal information leakage due to the transmission of patient information in EMR. A method for granting permission to securely receive and transmit patient information from hospitals where patient medical records are stored is proposed using OAuth authorization tokens. A protocol was proposed to enable secure information delivery by applying and delivering the record access restrictions desired by the patient to the OAuth Token. OAuth Delegation Token can be delivered by writing the authority, scope, and time of destruction to view patient information.This prevents the illegal collection of patient information and prevents the leakage of personal information that may occur during the delivery process.

주제어

표/그림 (9)

표 Table 1. Threats to patient information delivery systems[13]
그림 Fig. 1. Proposed Model Flow
그림 Fig. 2. Standard JWT Claims
그림 Fig. 3. Additional Claims
그림 Fig. 4. Generated Claim Set (plain text)
그림 Fig. 5. Decoded JWT Token using JWT Decoder
표 Table 2. JWT Notation[21]
표 Table 3. Comparison with existing scheme
표 Table 4. Advantages through the proposed technique

AI 본문요약
AI-Helper

문제 정의

이 연구는 의료 및 건강 정보가 병원의 독립 서버에 지속적으로 저장되고 관리되는 환경에서 환자가 병원 의사와 의사가 열람할 수 있는 범위를 제안하는 OAuth Token을 이용하여 환자 정보를 안전하게 전송하는 방법을 제안했다. 이 모델은 OAuth 프로토콜을 운영하기 위한 시스템이 적용되었다는 가정하 에, 위임된 병원 의사가 토큰을 사용하여 액세스 권한을 부여하는 방법을 사용하였다.

제안 방법

특히, IoT 환경에서 환자 정보를 공유하거나 권한을 위임하는 연구에 대한 논문은 다양하게 진행되어 왔다. 대부분 서버기반의 Delegation 모델을 제시하고 있으며, 본 논문에서는 4가지의 Delegation 모델을 분석하고 추후에 제안하는 프로토콜과 비교 분석하고자 한다.
이 연구는 의료 및 건강 정보가 병원의 독립 서버에 지속적으로 저장되고 관리되는 환경에서 환자가 병원 의사와 의사가 열람할 수 있는 범위를 제안하는 OAuth Token을 이용하여 환자 정보를 안전하게 전송하는 방법을 제안했다. 이 모델은 OAuth 프로토콜을 운영하기 위한 시스템이 적용되었다는 가정하 에, 위임된 병원 의사가 토큰을 사용하여 액세스 권한을 부여하는 방법을 사용하였다. 이를 통해 우리는 다른 병원에서 지속적으로 수집하거나 활용할 수 없는 구조를 설계했으며, 환자의 요청이 있을 때만 병원 간에 정보를 쉽게 전송할 수 있도록 하였다.

성능/효과

이 모델은 OAuth 프로토콜을 운영하기 위한 시스템이 적용되었다는 가정하 에, 위임된 병원 의사가 토큰을 사용하여 액세스 권한을 부여하는 방법을 사용하였다. 이를 통해 우리는 다른 병원에서 지속적으로 수집하거나 활용할 수 없는 구조를 설계했으며, 환자의 요청이 있을 때만 병원 간에 정보를 쉽게 전송할 수 있도록 하였다. 이 모델은 여러 환자의 정보 수집 및 환자 정보 유출과 관련된 문제를 해결할 수 있으며 중앙 집중형으로 인한 SPOF와 같은 문제도 해결할 수 있다.

후속연구

3 %로 제한되어 있으며 이는 환자 편의보다는 병원간 이해 관계로 제한되고 있다. 또한 불완전한 보안 프로토콜로 인해 다양한 문제가 제기되었으며, 문제를 해결하기 위해 다양한 연구가 추가로 필요한 실정이다.
이 모델은 여러 환자의 정보 수집 및 환자 정보 유출과 관련된 문제를 해결할 수 있으며 중앙 집중형으로 인한 SPOF와 같은 문제도 해결할 수 있다. 이를 통하여 환자 기록의 안전한 공유와 관련된 최근의 문제를 극복할 수 있으며 향후 실제 의료 산업에 적용될 수 있다.

참고문헌 (21)

Esposito, Christian, Mario Ciampi, and Giuseppe De Pietro. "An event-based notification approach for the delivery of patient medical information." Information Systems 39 (2014): 22-44

상세보기
Chen, Hannah S., et al. "Blockchain in Healthcare: A Patient-Centered Model." Biomedical journal of scientific & technical research, 20.3 (2019): 15017.
Tobiano, Georgia, et al. "Patient engagement in admission and discharge medication communication: A systematic mixed studies review." International journal of nursing studies 95 (2019): 87-102.

상세보기
Oh, Am-Suk. "A Study on HL7 Standard Message for Healthcare System Based on ISO/IEEE 1107," International Journal of Smart Home 9.6 (2015): 113-118
Tobiano, Georgia, et al. "Patient engagement in admission and discharge medication communication: A systematic mixed studies review." International journal of nursing studies 95 (2019): 87-102.

상세보기
Lee, Byung Mun, and Jinsong Ouyang. "Intelligent healthcare service by using collaborations between IoT personal health devices," blood pressure 10 (2014): 11

상세보기
Yea, Sang-Jun, Chang-Sop Yang, and Chul Kim. "Design Korean Medicine Health Information Model 장 with Health 2.0 Framework." The Journal of the Korea Contents Association 13.11 (2013): 807-814.

원문보기 상세보기
Yun-Young Sok, and Seok-Hyun Kim "Integrated Medical Information System Implementation for the u-Healthcare Service Environment," The Journal of The Korea Contents Society14.5(2014):1-7.
Goldstein, Melissa M. "Health information privacy and health information technology in the US correctional setting." American journal of public health 104.5 (2014): 803-809.

상세보기
Biller-Andorno, Nikola, and Thomas Zeltner. "Individual Responsibility and Community Solidarity-The Swiss Health Care System." New England Journal of Medicine 373.23 (2015): 2193-2197.

상세보기
Hawkes, Nigel. "NHS data sharing deal with Google prompts concern." BMJ 353 (2016): i2573.
Kwak, Sang-Hyun, et al. "Current status of intensive care units registered as critical care subspecialty training hospitals in Korea." Journal of Korean medical science 29.3 (2014): 431-437.

상세보기
Chong Min Hong, and Weon Shin "Security Requirements of Order Communication System in Hospitals for Compliance with Personal Information Protection Act," Journal of Security Engineering Vol.10, No.5 (2013), 513-526

상세보기
Yoo, Sang-Ho, et al. "Ethical principles and practice guidelines concerning the usage of public database for medical researches." Journal of the Korean Medical Association 56.11 (2013): 1031-1038.

상세보기
Weerasinghe, Dasun, Yogachandran Rahulamathavan, and Muttukrishnan Rajarajan. "Secure trust delegation for sharing patient medical records in a mobile environment, Health Policy and Technology 2.1 (2013): 36-44.

상세보기
ByungKwan Lee, and EunHee Jeon "A Role based Health Data Access Control Model for Patient Information Protection on Cloud Computing Environment," Journal of Security Engineering Vol.13, No.3 (2016), 183-194

상세보기
Bum-Ki Lee, et al. "Design and Implementation of The Capability Token based Access Control System in the Internet of Things," Journal of The Korea Institute of Information Security and Cryptology 25.2 (2015): 439-448

원문보기 상세보기
Campbell, B., et al. "OAuth Working Group Internet-Draft Intended status: Standards Track," 2012.
Hardt, D., "The OAuth 2.0 Authorization Framework," RFC 6749, October 2012.
Tassanaviboon, Anuchart, and Guang Gong. "Oauth and abe based authorizationin semi-trusted cloud computing: aauth," Proceedings of the second international workshop on Data intensive computing in the clouds. ACM, 2011.
Jones, Michael, et al. "JSON Web Token (JWT)," RFCC 7519, may 2015.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증