保護(hù)病患隱私權(quán)之即時(shí)性資訊安全認(rèn)證方法

1、保護(hù)病患隱私權(quán)之即時(shí)性資訊安全認(rèn)證方法Using Real-time Security Certification Approaches to Protect Patient Privacy,指導(dǎo)教授：李南逸　　　　　報(bào)告人：陳宜樺,目錄,? 緒論 ? 研究背景與動(dòng)機(jī) ? 研究方法 ? 電子病歷流程 ? HL7 ? One Time Pa

2、ssword ? MD5單向雜湊函數(shù) ? SHA雜湊函數(shù)演算法 ? 系統(tǒng)架構(gòu)與實(shí)作 ? 結(jié)論,緒論,,緒論,隨著科技時(shí)代的進(jìn)步，民眾對於醫(yī)療品質(zhì)、服務(wù)的要求也隨之提昇，若民眾生病時(shí)需要在不同醫(yī)療院所治療，在醫(yī)療體系間的醫(yī)療系統(tǒng)，民眾的疾病資訊卻無法適時(shí)的交換運(yùn)用，造成醫(yī)療間相同的重複檢驗(yàn)，使得醫(yī)療體系中無形的浪費(fèi)。,,近年來，在政府積極推動(dòng)「病歷電子化」之作業(yè)

3、，讓民眾在各醫(yī)療院所的基本病歷資訊能交換運(yùn)用，使得民眾在就醫(yī)治療上更為方便。但容易牽涉到民眾個(gè)人隱私權(quán)、醫(yī)療相關(guān)人員之職業(yè)道德及資訊安全的認(rèn)知。,,?電子病歷省紙省人力 調(diào)閱、轉(zhuǎn)診更容易（取自 聯(lián)合報(bào)）電子病歷基本概念是將紙本病歷數(shù)位化，再加上醫(yī)師簽章、存在資料庫裡，一旦系統(tǒng)更完整，對醫(yī)病兩方都有莫大助益。目前全臺495家醫(yī)院中，已有362家有電子病歷，其中有343家已能跨院交換。未來正走向個(gè)人化醫(yī)療，疾病的預(yù)

4、防、預(yù)測、參與和個(gè)人化是未來健康照護(hù)最重要的特質(zhì)。除了單純閱讀，民眾還能搭配未來將發(fā)展的健康自主管理App，不只從搖籃到墳?zāi)沟馁Y料都幫民眾蒐集好、還能自己的健康自己顧。,傳統(tǒng)病歷ＶＳ電子病歷,,為了提供安全便利的醫(yī)療體系，本研究將針對電子病歷發(fā)展過程與相關(guān)標(biāo)準(zhǔn)、HL7、One Time Password、SSL、雜湊函數(shù)、和 SMS 的介紹，與相關(guān)領(lǐng)域的方法進(jìn)行探討。,研究方法,,電子病歷相關(guān)標(biāo)準(zhǔn),HL7,HL7（Health

5、Level Seven）—對應(yīng)到 OSI 網(wǎng)路階層的第七層主要是要將各醫(yī)院系統(tǒng)間，包含臨床、保險(xiǎn)、行政管理、檢驗(yàn)等各項(xiàng)電子資料，加以制定的通訊協(xié)定。目的在使各個(gè)醫(yī)療機(jī)構(gòu)不同的應(yīng)用系統(tǒng)間，能夠進(jìn)行重要資料的交換與溝通。,One Time Password,一次性密碼(One-time password, OTP)，又稱動(dòng)態(tài)密碼 ，是指當(dāng)需要認(rèn)證時(shí)才即時(shí)動(dòng)態(tài)產(chǎn)生且所運(yùn)算產(chǎn)生之密碼僅能使用一次，用以解決密碼容易遭到破解的問題。

6、目前用於大型企業(yè)、金融機(jī)構(gòu)經(jīng)常會在特定系統(tǒng)登入時(shí)採用OTP作為雙因子認(rèn)證的選項(xiàng)，提高系統(tǒng)安全性。,One Time Password,MD5單向雜湊函數(shù),可以將任意長度的資料經(jīng)由運(yùn)算之後，得到一組固定長度為128 位元（32 個(gè)十六進(jìn)制數(shù)字）的結(jié)果，使用這個(gè)結(jié)果當(dāng)作檢查碼（Checksum），只需要比對檢查碼是否一致，便可得知經(jīng)過傳遞之後的檔案是否與原檔案完全相同,SHA雜湊函數(shù)演算法,一種能計(jì)算出一個(gè)數(shù)位訊息所對應(yīng)到的，長度固定

7、的字串（又稱訊息摘要）的演算法。且若輸入的訊息不同，它們對應(yīng)到不同字串的機(jī)率很高。SHA目前共有五種（ SHA-1、SHA-224、SHA-256、SHA-384，和 SHA-512）,系統(tǒng) 架構(gòu)與實(shí)作,,系統(tǒng)架構(gòu),? 醫(yī)事人員註冊（Medical Staff Registration）? 醫(yī)事人員登入系統(tǒng)（Medical Staff Login）? 病患認(rèn)證授權(quán)（Patient Author

8、ization）,醫(yī)事人員註冊,在本階段註冊過程中使用者必須已經(jīng)具備行政院衛(wèi)生署所製發(fā)之醫(yī)事人員憑證卡，才能透過醫(yī)事數(shù)位憑證讀卡裝置傳送註冊者之醫(yī)事憑證相關(guān)資訊至UA Server，系統(tǒng)在將相關(guān)資訊透過第三者憑證管理中心（CA）驗(yàn)證 ，註冊程序完成。,醫(yī)事人員登入系統(tǒng),在病患診療過程中如欲建立、調(diào)閱或查詢病患電子病歷、相關(guān)醫(yī)療電子資訊時(shí)執(zhí)行系統(tǒng)Login 作業(yè)之用， UA Server 能夠判斷所登入每個(gè)醫(yī)事人員分類等級

9、，以提供權(quán)限內(nèi)之醫(yī)療資訊存取行為與作業(yè)，並提供未來系統(tǒng)查詢與稽核之用。對於醫(yī)事人員登入之相關(guān)憑證資訊必須透過數(shù)位簽章技術(shù)進(jìn)行簽章作業(yè)，以確保醫(yī)事人員不會遭到偽冒與未來若發(fā)生糾紛時(shí)相關(guān)責(zé)任之釐清。,病患認(rèn)證授權(quán),基於保障病患隱私權(quán)與在不影響醫(yī)事人員專業(yè)診療行為兩者權(quán)衡下，加入病患認(rèn)證授權(quán)（Patient Authorization）階段，保障病患自身隱私應(yīng)有的權(quán)益，以提供病患個(gè)人對於其在電子病歷、檢驗(yàn)報(bào)告或醫(yī)療相關(guān)資

10、訊存取有絕對主導(dǎo)之權(quán)利。,系統(tǒng)實(shí)作,必須先完成HTTPS設(shè)定，如下圖：,醫(yī)事人員在使用本系統(tǒng)之前要先登入註冊，才有資格使用本系統(tǒng)之權(quán)限，如右圖。,系統(tǒng)實(shí)作,初診病患個(gè)人資料輸入操作介面，如下圖,系統(tǒng)實(shí)作,病患就診病歷新增操作介面，如下圖,系統(tǒng)實(shí)作,病患就診病歷新增操作介面，如下圖,系統(tǒng)實(shí)作,現(xiàn)場病患認(rèn)證授權(quán)操作介面 ，如下圖,病患行動(dòng)通訊裝置收到之系統(tǒng)授權(quán)簡訊內(nèi)容 ，如下圖,系統(tǒng)實(shí)作,遠(yuǎn)端病患透過行動(dòng)通訊裝置登入系統(tǒng)授權(quán) 如下圖,病