Changes between Version 22 and Version 23 of Archtectural Overview Security


Ignore:
Timestamp:
Feb 28, 2008, 9:36:50 PM (16 years ago)
Author:
KOBAYASHI, Shinji
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • Archtectural Overview Security

    v22 v23  
    1651657.3.3 Integrity
    166166
    167 バージョニング openEHRでもっとも基本的なセキュリティに関する特徴はデータの一貫性についてサポートしていることである。これは主にバージョニングモデルで提供されており、共通情報モデル(Common Information Model)や抽出情報モデル(Extract Information Model)にあるchange_controlパッケージで特徴付られている。物理的に内容が変更されることなく,新しいバージョンだけが作成されることから,EHRのデモグラフィックサービスにおける全ての情報のバージョニングを基盤としたchange-setは情報の一貫性についての指標を構成している。したがって,全ての論理的変更や削除は追加と同様に,既存の情報アイテムに対する変更ではなく,物理的には新しいバージョンとして実装されている。
     167バージョニング openEHRでもっとも基本的なセキュリティに関する特徴はデータの一貫性についてサポートしていることである。これは主にバージョニングモデルで提供されており、共通情報モデル(Common Information Model)や抽出情報モデル(Extract Information Model)にあるchange_controlパッケージで特徴付られている。物理的に内容が変更されることなく,新しいバージョンだけが作成されることから,EHRのデモグラフィックサービスにおける全ての情報のバージョニングを基盤としたchange-setは情報の一貫性についての指標を構成している。したがって,全ての論理的変更や削除は追加と同様に,既存の情報アイテムに対する変更ではなく,物理的には新しいバージョンのものと扱うように実装されている。情報の一貫性は明らかに実装の質に依存しているが,一方でもっとも単純で現実的な実装(1Version = 1コピー)では,一度しか書き込めないシステムであるためにきわめて高い安全性を提供できる。openEHRではCONTRIBUTIONとして知られるchange-setsを使って,すべてのアイテムについてユーザーが修正や作成,削除を行うことに対応して一貫性を持たせるための他のユニットを提供することができる。openEHRのバージョニングモデルは,すべての変更されたアイテムに対しての監査記録と定義されており,基本的な監査かつ/またはいくつかのデジタル署名された認証(例えば,上級スタッフによるもの)を付加したものである。これはopenEHRのレコードのどの部分のどの種類であっても書き込み記録は全てユーザー識別子,時間,理由と他にとりうるメタデータをつけてログとして記録される。バージョニングは45ページのセクション8で詳細に記載されている。
    168168
    169169Versioning  The most basic security-related feature of openEHR is its support for data integrity. This is mainly provided by the versioning model, specified in the change_control package in the Common Information Model, and in the Extract Information Model. Change-set based versioning of all information in the EHR and demographic services constitutes a basic integrity measure for information, since no content is ever physically modified, only new versions are created. All logical changes and deletions as well as additions are therefore physically implemented as new Versions rather than changes to existing information items. Clearly the integrity of the information will depend on the quality of the implementation; however, the simplest possible implementations (1 Version = 1 copy) can provide very good safety due to being write-once systems.  The use of change-sets, known as Contributions in openEHR, provides a further unit of integrity corresponding to all items modified, created or deleted in a single unit of work by a user.  The openEHR versioning model defines audit records for all changed items, which can be basic audits and/or any number of additional digitally signed attestations (e.g. by senior staff). This means that every write access of any kind to any part of an openEHR record is logged with the user identification, time, reason, and potentially other meta-data. Versioning is described in detail in section 8 on page 45.  Digital Signature  The possibility exists within an openEHR EHR to digitally sign each Version in a Versioned object (i.e. for each Version of any logical item, such as medications list, encounter note etc.). The signature is created as a private-key encryption (e.g. RSA-1) of a hash (e.g. MD5) of a canonical representation (such as in schema-based XML) of the Version being committed. A likely candidate for defining the signature and digest strings in openEHR is the openPGP message format (IETF RFC24402), due to being an open specification and self-describing. The use of RFC2440 for the format does not imply the use of the PGP distributed certificate infrastructure, or indeed any certification infrastructure; openEHR is agnostic on this point. If no public key or equivalent infrastructure is available, the encryption step might be omitted, resulting in a digest only of the content. The signature is stored within the Version object, allowing it to be conveniently carried within EHR Extracts. The process is shown in FIGURE 22.