保護病患隱私權之即時性資訊安全認證方法

1、保護病患隱私權之即時性資訊安全認證方法Using Real-time Security Certification Approaches to Protect Patient Privacy,指導教授：李南逸　　　　　報告人：陳宜樺,目錄,? 緒論 ? 研究背景與動機 ? 研究方法 ? 電子病歷流程 ? HL7 ? One Time Pa

2、ssword ? MD5單向雜湊函數(shù) ? SHA雜湊函數(shù)演算法 ? 系統(tǒng)架構與實作 ? 結論,緒論,,緒論,隨著科技時代的進步，民眾對於醫(yī)療品質、服務的要求也隨之提昇，若民眾生病時需要在不同醫(yī)療院所治療，在醫(yī)療體系間的醫(yī)療系統(tǒng)，民眾的疾病資訊卻無法適時的交換運用，造成醫(yī)療間相同的重複檢驗，使得醫(yī)療體系中無形的浪費。,,近年來，在政府積極推動「病歷電子化」之作業(yè)

3、，讓民眾在各醫(yī)療院所的基本病歷資訊能交換運用，使得民眾在就醫(yī)治療上更為方便。但容易牽涉到民眾個人隱私權、醫(yī)療相關人員之職業(yè)道德及資訊安全的認知。,,?電子病歷省紙省人力 調閱、轉診更容易（取自 聯(lián)合報）電子病歷基本概念是將紙本病歷數(shù)位化，再加上醫(yī)師簽章、存在資料庫裡，一旦系統(tǒng)更完整，對醫(yī)病兩方都有莫大助益。目前全臺495家醫(yī)院中，已有362家有電子病歷，其中有343家已能跨院交換。未來正走向個人化醫(yī)療，疾病的預

4、防、預測、參與和個人化是未來健康照護最重要的特質。除了單純閱讀，民眾還能搭配未來將發(fā)展的健康自主管理App，不只從搖籃到墳墓的資料都幫民眾蒐集好、還能自己的健康自己顧。,傳統(tǒng)病歷ＶＳ電子病歷,,為了提供安全便利的醫(yī)療體系，本研究將針對電子病歷發(fā)展過程與相關標準、HL7、One Time Password、SSL、雜湊函數(shù)、和 SMS 的介紹，與相關領域的方法進行探討。,研究方法,,電子病歷相關標準,HL7,HL7（Health

5、Level Seven）—對應到 OSI 網(wǎng)路階層的第七層主要是要將各醫(yī)院系統(tǒng)間，包含臨床、保險、行政管理、檢驗等各項電子資料，加以制定的通訊協(xié)定。目的在使各個醫(yī)療機構不同的應用系統(tǒng)間，能夠進行重要資料的交換與溝通。,One Time Password,一次性密碼(One-time password, OTP)，又稱動態(tài)密碼 ，是指當需要認證時才即時動態(tài)產(chǎn)生且所運算產(chǎn)生之密碼僅能使用一次，用以解決密碼容易遭到破解的問題。

6、目前用於大型企業(yè)、金融機構經(jīng)常會在特定系統(tǒng)登入時採用OTP作為雙因子認證的選項，提高系統(tǒng)安全性。,One Time Password,MD5單向雜湊函數(shù),可以將任意長度的資料經(jīng)由運算之後，得到一組固定長度為128 位元（32 個十六進制數(shù)字）的結果，使用這個結果當作檢查碼（Checksum），只需要比對檢查碼是否一致，便可得知經(jīng)過傳遞之後的檔案是否與原檔案完全相同,SHA雜湊函數(shù)演算法,一種能計算出一個數(shù)位訊息所對應到的，長度固定

7、的字串（又稱訊息摘要）的演算法。且若輸入的訊息不同，它們對應到不同字串的機率很高。SHA目前共有五種（ SHA-1、SHA-224、SHA-256、SHA-384，和 SHA-512）,系統(tǒng) 架構與實作,,系統(tǒng)架構,? 醫(yī)事人員註冊（Medical Staff Registration）? 醫(yī)事人員登入系統(tǒng)（Medical Staff Login）? 病患認證授權（Patient Author

8、ization）,醫(yī)事人員註冊,在本階段註冊過程中使用者必須已經(jīng)具備行政院衛(wèi)生署所製發(fā)之醫(yī)事人員憑證卡，才能透過醫(yī)事數(shù)位憑證讀卡裝置傳送註冊者之醫(yī)事憑證相關資訊至UA Server，系統(tǒng)在將相關資訊透過第三者憑證管理中心（CA）驗證 ，註冊程序完成。,醫(yī)事人員登入系統(tǒng),在病患診療過程中如欲建立、調閱或查詢病患電子病歷、相關醫(yī)療電子資訊時執(zhí)行系統(tǒng)Login 作業(yè)之用， UA Server 能夠判斷所登入每個醫(yī)事人員分類等級

9、，以提供權限內之醫(yī)療資訊存取行為與作業(yè)，並提供未來系統(tǒng)查詢與稽核之用。對於醫(yī)事人員登入之相關憑證資訊必須透過數(shù)位簽章技術進行簽章作業(yè)，以確保醫(yī)事人員不會遭到偽冒與未來若發(fā)生糾紛時相關責任之釐清。,病患認證授權,基於保障病患隱私權與在不影響醫(yī)事人員專業(yè)診療行為兩者權衡下，加入病患認證授權（Patient Authorization）階段，保障病患自身隱私應有的權益，以提供病患個人對於其在電子病歷、檢驗報告或醫(yī)療相關資

10、訊存取有絕對主導之權利。,系統(tǒng)實作,必須先完成HTTPS設定，如下圖：,醫(yī)事人員在使用本系統(tǒng)之前要先登入註冊，才有資格使用本系統(tǒng)之權限，如右圖。,系統(tǒng)實作,初診病患個人資料輸入操作介面，如下圖,系統(tǒng)實作,病患就診病歷新增操作介面，如下圖,系統(tǒng)實作,病患就診病歷新增操作介面，如下圖,系統(tǒng)實作,現(xiàn)場病患認證授權操作介面 ，如下圖,病患行動通訊裝置收到之系統(tǒng)授權簡訊內容 ，如下圖,系統(tǒng)實作,遠端病患透過行動通訊裝置登入系統(tǒng)授權 如下圖,病