淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


  查詢圖書館館藏目錄
系統識別號 U0002-0407200815062900
中文論文名稱 以HIPAA為基礎之強化隱私權保護的電子病歷安全管控
英文論文名稱 A Security Management of Electrical Patient Record based HIPAA with Enhanced Privacy Protection
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士班
系所名稱(英) Department of Information Management
學年度 96
學期 2
出版年 97
研究生中文姓名 許桓碩
研究生英文姓名 Huan-Shuo Hsu
學號 694521419
學位類別 碩士
語文別 中文
口試日期 2008-07-02
論文頁數 48頁
口試委員 指導教授-李鴻璋
委員-陳永昇
委員-壽大衛
中文關鍵字 HIPAA  橢圓曲線  病患隱私權 
英文關鍵字 HIPAA  Elliptic Curve Cryptography  patient’s privacy 
學科別分類 學科別社會科學管理學
學科別社會科學資訊科學
中文摘要 現在越來越多的醫療院所利用資訊科技來提供醫療服務,如何保護極為隱私的病患資訊,也是各大醫療院所對於資訊安全管理上非常重要的課題。於是1996年8月在美國柯林頓總統任內所通過的重要醫療保險可攜性責任法案(HIPAA),此法案制定了在醫療方面的資訊安全規範,以提升整體醫療品質。其中隱私權條文規定了病患對個人的醫療資訊必須擁有更多的控制權利,以及醫療資料的使用與揭露都應該受到管制。
本研究設計一個符合HIPAA 法案中規範的安全控管要件,滿足電子病歷會有其交流的必要性,同時也需考量到病患不需要將不相干的醫療資訊暴露在醫療人員面前。於是病患與院方之間為了將病歷作安全防護所建立的交談式金鑰,必須建立在病患與各醫科之間。當醫療人員有需要參考病患在其他醫科的病歷時,在應用存取控制的機制下,可透過院方取得該病歷。如果病患在別間醫院仍可以做跨院的病歷交流來取得病歷。
另外在安全管控演算機制中,應用了橢圓曲線的優點,如執行效率快、安全度更高以及在相同安全度下具有較短的金鑰長度,以建立所需之基本金鑰,實驗數值[13]說明它比DSA演算機制快約30%。
英文摘要 Nowadays, more and more healthcare providers use information systems to provide healthcare services. How to protect the private patient’s information is an important issue about security management of information to all healthcare providers. The Health Insurance Portability and Accountability Act enacted by the United State Congress in August, 1996, is the Federal Law which applies to the U.S healthcare industry. HIPAA specifies the guideline about health information security to enhance the healthcare quality. The regulations about patient’s privacy specifically indicate that the patients should have more power to control themselves’ health record, and the use and the disclosure of health information should be under the control safely.
This research is to design a management of security to comply with HIPAA, to satisfy the necessity to exchange the electrical patient’s record, and to consider that the patients don’t need to disclosure the irrelevant health information to the healthcare workers. Therefore the session keys are made between the patient and each department of the hospital. If healthcare workers need to refer to the patient’s record in other department, they can get the record through the hospital using the mechanism of access control. Even the record is in other hospital, they are still able to get the record through the mechanism of interflow of electrical patient’s record between hospitals.
Besides, the mechanism of security uses the advantage of elliptic curve cryptography, ex. better efficiency, stringer security, and shorter key length under the same security level. For the time cost establishing the key, the experiment result [13] shows that elliptic curve cryptography is quicker than DSA mechanism about 30%
論文目次 目錄
1. 緒論 1
2. 參考文獻 4
2.1 醫療保險可攜性責任法案 4
2.2 橢圓曲線密碼系統 9
2.2.1 橢圓曲線密碼系統簡介 9
2.2.2 橢圓曲線密碼系統的運作 10
2.3 橢圓曲線數位簽章演算法 13
2.3.1 產生簽章 13
2.3.2 驗證簽章 13
2.4 對稱式密碼系統 14
2.4.1 對稱式密碼系統的演變 14
2.4.2 密碼系統之安全性 15
2.5 雜湊函數 17
2.6 李所提出的病歷管理方案 19
3. 以HIPAA為基礎之強化隱私權的電子病歷安全管控 22
3.1 醫療憑證管理中心的參數建置 23
3.2 應用存取控制機制建置醫院階層化 24
3.3 使用者註冊階段 26
3.4 病患與院方各醫科建立交談式金鑰與加密階段 27
3.5 解密階段 28
3.6 院方導出各醫科秘密參數之流程 30
4、系統安全分析與相關系統之比較 31
4.1 金鑰安全度分析 31
4.2 存取控制安全度分析 32
4.2.1 外部未授權之攻擊 32
4.2.2 內部單一醫科之攻擊 32
4.2.3 內部多數醫科之合作攻擊 33
4.3 與李的論文[11]之比較分析 33
5. 實例操作 36
5.1 醫療憑證管理中心與病患ALICE的金鑰生成 38
5.2 病患ALICE註冊階段 39
5.3 院內各階層之參數設定 40
5.4 病患ALICE與院方建立交談式金鑰與加密階段 42
6. 結論 44
參考文獻 46



圖目錄
圖1、HBEPP電子病歷安全管控流程圖 23
圖2、院內階層化 25
圖3、正常情況下之病歷取得的流程 29
圖4、例外處理下之病歷取得流程 29
圖5、透過院方申請病歷之流程圖 30
圖6、實例操作流程圖 37
圖7、透過院方申請病歷實例操作流程圖 38
圖8、金鑰生成操作圖 38
圖9、使用雜湊函數產生病患金鑰操作圖 39
圖10、驗證簽章操作圖 40
圖11、產生院內階層化之公開參數操作圖 40
圖12、使用雜湊函數產生院方與醫科之間鍵值操作圖 41
圖13、使用AES產生關係參數之操作圖 41
圖14、使用雜湊函數產生交談式金鑰操作圖 42
圖15、使用AES對資料進行加密 43
圖16、加密前後之差異 43

表目錄
表1、HIPAA法案資訊安全規範 7
表2、相同安全強度下ECC與RSA的金鑰長度比較 10
表3、金鑰安全度 31
表4、與李的論文的比較與分析 34
表5、ECDSA與DSA在各種安全度下金鑰長度比較 35
表6、相同安全度下ECDSA與DSA的簽章計算量 35
參考文獻 參考文獻
[1] Aleksandar Jurisic and Alfred J.Menezes, “Elliptic C
urves and Cryptography”, Dr.Dobb’s journal, 1997,
pp.26-35.
[2] CommuniCrypt File Encryption Tools, “CommuniCrypt
Software”, http://www.communicrypt.com/site/
[3] Karen’s Power Tool, “karenware.com”,
http://www.karenware.com/powertools/powertools.asp
[4] NIST, FIPS PUB 180-2, Secure Hash Standard,
http://csrc.nist.gov/publications/ fips/fips180-
2/fips180-2withchangenotice.pdf, 2002.
[5] NIST, FIPS 186-2,“Digital Signature Standard (
DSS)”,http://csrc.nist.gov/publications/fips/fips186-
2/fips186-2-change1.pdf, October 2001.
[6] United States Department of Health Human Services,
“Office for Civil Rights - HIPAA”,
http://www.hhs.gov/ocr/hipaa/.
[7] Wang, X., Feng, D., Lai, X., and Yu, H., Collisions
for Hash Functions MD-4, MD-5, HAVAL-128, RIPEMD,
Preprint, 2004.
[8] Wang, X., Yin, Y., and Yu, H., Finding Collisions in
the Full SHA1, to Appear in CRYPTO 2005, 2005.
[9] SECCURE套件網站, “SECCURE Elliptic Curve Crypto
Utility for Reliable Encryption”, http://point-at-
infinity.org/seccure/
[10] 杜偉欽,結合HIPAA與ISO27001為基礎探討醫療院所資訊安
全管理之研究,國立成功大學工程科學研究所碩士論文,
2005。
[11] 李建錠,一個遵循HIPAA隱私權與資訊安全規範的金鑰管理機
制,逢甲大學資訊電機工程說碩士在職專班論文,2005。
[12] 秦志光,密碼算法與發展研究,計算機應用,第24卷第2期,
2004。
[13] 黃心嘉,密碼之過去、現在與未來,財團法人國家實驗研究院
科技政策研究與資訊中心,資通安全分析專論,2005。
[14] 楊中皇,IC卡電子簽章的過去、現在與未來,陸軍軍官學校基
礎學術研討會,2004。
[15] 楊中皇,橢圓曲線密碼系統軟體實現技術之探討,資訊安全通
訊,第十一卷,第一期,pp. 15-25,2005。
[16] 楊中皇、張惟淙,結合智慧卡的ECDSA數位簽章軟體設計與實
現,第三屆危機管理國際學術研討會,2005。
[17] 廖玉蓮,電子商務付款的安全與現況,科學發展月刊,2000
年。
[18] 賴溪松、韓亮、張真誠,近代密碼學及其應用,旗標出版股份
有限公司,2004。
[19] 鐘玉芳,階層式金鑰管理及其行動運算環境上之應用,國立台
灣大學電機工程研究所,2006。
[20] 李友專,醫療資訊交換基礎機制研究與開發,行政院衛生署研
究計畫,
http://ades.tmu.edu.tw/miec/cproject/index.htm。
[21] 行政院衛生署,醫療資訊安全與隱私保護指導綱領草案,
http://www.tcdrs.org.tw/news_4/medinfopriv.doc。
[22] 鄭美雅,取法HIPAA 落實醫療資安防護,資安人科技網,
http://www.informationsecurity.com.tw/feature/view.asp?
fid=146,2008年1月。
[23] 徐國祥,別讓台灣醫療安全法規無疾而終,資安人科技網,
http://www.informationsecurity.com.tw/feature/view.asp?
fid=527,2008年2月。
[24] 消費者行動組織網站,敏感資料:個人隱私權與醫療紀錄,
http://www.consumeraction.org/chinese/articles/
sensitive_information_privacy_and_your_medical_records_
ch,2008年1月。
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2008-07-15公開。
  • 不同意授權瀏覽/列印電子全文服務。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信