Changes between Version 26 and Version 27 of Archtectural Overview Security


Ignore:
Timestamp:
Feb 29, 2008, 9:40:45 PM (16 years ago)
Author:
KOBAYASHI, Shinji
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • Archtectural Overview Security

    v26 v27  
    168168Versioning
    169169
    170 openEHRでもっとも基本的なセキュリティに関する特徴はデータの一貫性についてサポートしていることである。これは主にバージョニングモデルで提供されており、共通情報モデル(Common Information Model)や抽出情報モデル(Extract Information Model)にあるchange_controlパッケージで特徴付られている。物理的に内容が変更されることなく,新しいバージョンだけが作成されることから,EHRのデモグラフィックサービスにおける全ての情報のバージョニングを基盤としたchange-setは情報の一貫性についての指標を構成している。したがって,全ての論理的変更や削除は追加と同様に,既存の情報アイテムに対する変更ではなく,物理的には新しいバージョンのものと扱うように実装されている。情報の一貫性は明らかに実装の質に依存しているが,一方でもっとも単純で現実的な実装(1Version = 1コピー)では,一度しか書き込めないシステムであるためにきわめて高い安全性を提供できる。openEHRではCONTRIBUTIONとして知られるchange-setsを使って,すべてのアイテムについてユーザーが修正や作成,削除を行うことに対応して一貫性を持たせるための他のユニットを提供することができる。openEHRのバージョニングモデルは,すべての変更されたアイテムに対しての監査記録と定義されており,基本的な監査かつ/またはいくつかのデジタル署名された認証(例えば,上級スタッフによるもの)を付加したものである。これはopenEHRのレコードのどの部分のどの種類であっても書き込み記録は全てユーザー識別子,時間,理由と他にとりうるメタデータをつけてログとして記録される。バージョニングは45ページのセクション8で詳細に記載されている。
     170openEHRでもっとも基本的なセキュリティに関する特徴はデータの一貫性についてサポートしていることである。これは主にバージョニングモデルで提供されており、共通情報モデル(Common Information Model)や抽出情報モデル(Extract Information Model)にあるchange_controlパッケージで特徴付られている。物理的に内容が変更されることなく,新しいバージョンだけが作成されることから,EHRのデモグラフィックサービスにおける全ての情報のバージョニングを基盤としたchange-setは情報の一貫性についての指標を構成している。したがって,全ての論理的変更や削除は追加と同様に,既存の情報アイテムに対する変更ではなく,物理的には新しいバージョンのものと扱うように実装されている。情報の一貫性は明らかに実装の質に依存しているが,一方でもっとも単純で現実的な実装(1Version = 1コピー)では,一度しか書き込めないシステムであるためにきわめて高い安全性を提供できる。openEHRではCONTRIBUTIONとして知られるchange-setsを使って,すべてのアイテムについてユーザーが修正や作成,削除を行うことに対応して一貫性を持たせるための他のユニットを提供することができる。openEHRのバージョニングモデルは,すべての変更されたアイテムに対しての監査記録と定義されており,基本的な監査かつ/またはいくつかのデジタル署名された認証(例えば,上級スタッフによるもの)を付加したものである。これはopenEHRのレコードのどの部分のどの種類であっても書き込み記録は全てユーザー識別子,時間,理由と他にとりうるメタデータをつけてログとして記録される。バージョニングは45ページの[wiki:"Archtectural Overview Versioning" セクション8]で詳細に記載されている。
    171171
    172172The most basic security-related feature of openEHR is its support for data integrity. This is mainly provided by the versioning model, specified in the change_control package in the Common Information Model, and in the Extract Information Model. Change-set based versioning of all information in the EHR and demographic services constitutes a basic integrity measure for information, since no content is ever physically modified, only new versions are created. All logical changes and deletions as well as additions are therefore physically implemented as new Versions rather than changes to existing information items. Clearly the integrity of the information will depend on the quality of the implementation; however, the simplest possible implementations (1 Version = 1 copy) can provide very good safety due to being write-once systems.  The use of change-sets, known as Contributions in openEHR, provides a further unit of integrity corresponding to all items modified, created or deleted in a single unit of work by a user.  The openEHR versioning model defines audit records for all changed items, which can be basic audits and/or any number of additional digitally signed attestations (e.g. by senior staff). This means that every write access of any kind to any part of an openEHR record is logged with the user identification, time, reason, and potentially other meta-data. Versioning is described in detail in section 8 on page 45.
     
    175175Digital Signature
    176176
    177 openEHRのEHRの内部ではバージョン管理されるオブジェクトの各バージョンにデジタル署名がつけられることがある(たとえば,処方薬リストや受付ノートなどの,全ての論理アイテムの各バージョン)。署名は秘密鍵により暗号(RSA-1など)
     177openEHRのEHRの内部ではバージョン管理されるオブジェクトの各バージョンにデジタル署名がつけられることがある(たとえば,処方薬リストや受付ノートなどの,全ての論理アイテムの各バージョン)。署名はコミットされたVERSIONを表すopenEHRの標準表現(スキーマに基づくXMLのような)のハッシュ(MD5など)を秘密鍵により暗号(RSA-1など)かして作成される。openEHRで署名や文字列のダイジェストを定義するための候補となりうるものは,仕様が公開されていることと事故時記述的であることからOpenPGPメッセージ形式(IETF RFC24402)である。RFC2440を形式として使用することはPGPの分散証明書基盤を使用するように実装するのではなく,実際には何らかの証明書基盤を実装することになる。openEHRはこの点ではとらわれていない.もし,公開鍵やそれに同等な基盤が利用できるのであれば,暗号は省いてもよく,素の際には内容に関するダイジェストだけがもたらされることになる。署名はVERSIONオブジェクトに登録され,EHR Extract内部で便利に利用することもできる。このプロセスは図22に示されている。
    178178
    179179The possibility exists within an openEHR EHR to digitally sign each Version in a Versioned object (i.e. for each Version of any logical item, such as medications list, encounter note etc.). The signature is created as a private-key encryption (e.g. RSA-1) of a hash (e.g. MD5) of a canonical representation (such as in schema-based XML) of the Version being committed. A likely candidate for defining the signature and digest strings in openEHR is the openPGP message format (IETF RFC24402), due to being an open specification and self-describing. The use of RFC2440 for the format does not imply the use of the PGP distributed certificate infrastructure, or indeed any certification infrastructure; openEHR is agnostic on this point. If no public key or equivalent infrastructure is available, the encryption step might be omitted, resulting in a digest only of the content. The signature is stored within the Version object, allowing it to be conveniently carried within EHR Extracts. The process is shown in FIGURE 22.