XACML 상호운용성 시험(RSA 2008)

RSA 2008에서 OSIS 뿐만 아니라 다른 표준 단체의 상호운용성 시험이 이루어졌습니다. 바로 OASIS의 XACML 표준[1] 입니다. XACML은 접근 제어와 관련된 기능/프로토콜을 XML 형식으로 표현한 것입니다.

XACML is a language focused solely on Access Control. All it does is Access Control and nothing else [2] 

2번째로 열린 이번 상호운용성 시험에는 IBM, Sun, 시스코, Redhat 등의 기업이 참가했습니다. 특이한 점은 미국의 국가보훈처(Department of Veteran Affairs)가 참여했다는 사실입니다.

BEA, IBM, Sun, Axiomatics, Cisco, and the US Department of Veteran Affairs, [correction: and Redhat/JBoss too!].[2]

시험 내용을 살펴보면 의아했던 점이 풀립니다. 국가보훈처는 환자들의 프라이버시를 보호하는 의료 시나리오를 시연했거든요. 환자의 의료 정보에는 HL7 신뢰 등급[3] 이 할당되어 있다고 합니다. 좀 더 자료를 찾아보니, HL7은 의료정보를 교환하기 위한 표준규약이라고 합니다.

HL7은 다양한 의료정보시스템간 정보의 교환을 위하여 미국국립표준연구소(ANSI)가 인증한 의료정보 교환 표준규약으로서 13개 회원국(호주,캐나다,핀란드,독일,인도,네덜란드,뉴질랜드,남아프리카 10개국 연합,영국,일본,중국,대만,한국)에 지부를 두고있다. 
HL7을 이용하면, 병원간에 입원(Admissions), 퇴원(Discharges) 및 전원(Transfer) 등의 ADT 메시지를 손쉽게 교환할 수 있다. 그러나, 의사처방(Order Entry)이나 간호기록(Nursing Records), 검사결과(Results) 등과 같이 다양한 의학용어의 정의나 각 명세 항목에 대한 표준화가 80% 수준에 머물고 있으며, 이를 한글화한 정확한 표현이 없는 것이 큰 문제점으로 지적할 수 있겠다. [4] 

의료 시나리오 시연은 다음 3가지로 이루어졌습니다.
1. 싫어하는 의사에게 의료 기록을 제공하지 않도록 설정
2. 환자가 사전에 의료 기록을 공유하도록 설정하지 않은 경우, 응급 상황에서 'emergency override'를 발동하여 의료 기록에 접근할 수 있음
3. 환자가 특정 대상에게는 자신의 의료 기록 일부를 보이지 않도록 설정함

특이할만한 점은, 환자가 자신의 의료 정보에 대한 접근 권한을 직접 설정할 수 있다는 것입니다. 특정 정보를 특정 의사에게만 공개/비공개 할 수도 있고, 비상시(가령 환자가 사고를 당한 경우)에는 어떻게 정보를 공개할지 설정할 수도 있습니다.

Actually, demo app doesn't begin to do it justice - the application showed how a patient could set policy to control access to medical records, down through controls on individual physicians seeing your records to physician + resource (e.g. Dr Bob isn't allowed to see my radiography results) and more. There was even an emergency 'break glass' override included to allow a physician (duly authenticated, of course) to get access to any of your notes via a specific affirmation that an emergency is in progress.[5]

Liberty Alliance의 IGF(Identtiy Governance Framework)는 XACML을 이용한 AAPML(Attribute Authority Policy Markup Language)라는 프로토콜을 사용하여 ID 정보를 관리하는데, 이번 XACML 시연이 AAPML의 기본 조건을 만족한다고 합니다.

For me, the really cool thing was when Rich showed me how a patient could block access to a specific doctor, or conversely, a doctor in an emergency room situation could be granted access to patient records. This particular scenario has been one of the primary examples put forward by many government organizations I have spoken with. It was also talked widely by participants of the business requirements review of IGF at Project Liberty

Now, with web policy demonstrating these requirements in an application context at an open interop, it makes the Rich's initial recommendation of basing Attribute Authority Policy Markup Language (AAPML) as a profile of XACML to be right on target! [6]

접근 제어 기술은 모든 시스템에 적용될 수 있습니다. 상호운용성 시험을 통해 다양한 시나리오를 보여주었기 때문에 조만간 여러 시스템의 XACML 적용 사례를 전해들을 수 있겠네요. Liberty Alliance의 IGF 또한 주목을 받을 것입니다.

ps. 요즘 ID 관리 분야에서 의료 정보 공유에 대한 포스팅이 자주 나오고 있습니다. 시간이 생기면 모두 정리해서 올리겠습니다.

레퍼런스
[1] http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml  
[2] http://anil-identity.blogspot.com/2008/04/summary-review-oasis-xacml.html 
[3] http://schadow.us/~gunther/oldhtml/tables.html  
[4] http://entry.jongkok4.net/HL7Health-Level-7-%EC%9D%98%EB%A3%8C%EC%A0%95%EB%B3%B4-%EA%B5%90%ED%99%98-%ED%91%9C%EC%A4%80%EA%B7%9C%EC%95%BD
[5] http://superpat blogs.sun.com/entry/rsa_conference_interoperability_roundup_osis
[6] http://independentidentity.blogspot.com/2008/04/oasis-xacml-interop-at-rsa.html

by S_H_Kim | 2008/04/27 18:26 | ID관리 | 트랙백 | 덧글(0)

트랙백 주소 : http://ayo79.egloos.com/tb/3713884
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]

:         :

:

비공개 덧글

◀ 이전 페이지다음 페이지 ▶