RBAC에 기반한 의료정보 IdMS(Identity Management System) 모형 설계에 관한 연구

Abstract

[한글]의료정보시스템은 의료정보에 대한 사용자의 요청에 대한 접근제어(Access Control)를 하기 위해 사용자 별 접근제어리스트(Access Control List: ACL)를 할당하는 사용자기반 접근제어 모델을 활용 하였으나 이러한 모델은 유연성과 확장성, 관리운용에 있어 단점을 가지고 있다. 이런 단점을 보완하고자 제시된 모델이, 역할기반접근제어(Role-Based Access Control: RBAC) 모델이다.

본 연구에서는 RBAC 모델에 기반한 통합관리시스템을 통한 각종 의료정보시스템의 계정 및 권한을 통합적으로 관리하는 IdMS(Identity Management System)를 설계하고 모형을 개발하여 의료정보 접근 제어의 개선을 시도하였다.

제안된 RBAC 모델은 미국립기술표준원(National Institute of Standards and Technology: NIST)에서 제안된 Constrained RBAC 모델에 사용자 수준의 역할 위임에 관한 속성을 정의하고, 역할 위임과 더불어 위임된 역할의 권한을 제한할 수 있도록 NIST의 Constrained RBAC 모델을 확장하여 제안하였다. 그리고 제안된 RBAC 모델을 의료정보시스템의 계정 및 권한을 통합적으로 관리할 수 있도록 IdMS을 구축하였다.

제안된 RBAC 모델은 기존의 NIST의 RBAC 모델과 비교해서 위임부분에서 단일 위임과 다중 위임 기능이 제공되며, 역할의 회수, 부분적인 역할의 위임이 가능하고, 임무와 권한을 분리 할 수 있어 무결성 적인 측면이 강화 되었습니다. 또한 의료정보시스템의 접근제어를 통합적으로 관리하는 것이 가능해져 전반적인 의료정보 접근제어에 편리성과 효율성, 의료정보시스템 간의 상호 운용성을 가지는 시스템을 구축하였다.

향후에는 u-헬스케어 서비스 환경에서 다양한 의료 센서 및 기기의 이용으로 인하여 개인에 관한 방대한 의료정보수집이 가능하다. 이러한 환경에서 본 연구결과를 바탕으로 편리성과 안전성의 균형을 이루는 합리적 수준의 접근제어 방법에 관한 기술 개발과 검토가 필요하다.

[영문]Medical information system applies user-based control model which allots access control list for access control upon user`s request for medical information. This model is vulnerable in flexibility, extension, and management operation, however. To make the model better role-based access control(RBAC) model is proposed.

This study is to improve medical information control by designing IdMS(Identity Management System) and creating its prototype that manages user account and authority for medical information as a whole with enterprise management system based on RBAC.

The RBAC model defines attribute on role delegation, delegates roles, and limits authority on Constrained RBAC model by NIST RBAC Reference Model. And IdMS is constructed that makes it possible for RBAC model to be used to manage user account for medical information and authority as a whole.

The RBAC model, compared to the RBAC model by NIST, offers both single and multiple role delegation, withdraws roles, delegates roles in partial, and separates roles and authority which means integrity is improved. Also, the overall management of access control for medical information makes system that boosts convenience, efficiency, and interoperability between medical information systems.

With the use of various medical sensors and equipment in u-health care environment, vast individual health information can be collected in the future. Technology development and its review on appropriate access control to make a delicate balance between convenience and safety is needed.