以PKI機制建構醫療影像傳輸安全系統

全文

(1)臺北醫學大學醫學資訊研究所碩士論文標題以 PKI 機制建構醫療影像傳輸安全系統 Establishment of the picture archiving signature system using PKI mechanism of HCA. 指導教授：劉立協同指導教授：邱泓文. 研究生：姚博文撰. 中華民國九十四年六月 Jun，2005.

(2) 審定書以 PKI 機制建構醫療影像傳輸安全系統 Establishment of the picture archiving signature system using PKI mechanism of HCA. 本論文係臺北醫學大學醫學資訊研究所研究生姚博文所著，作為審查授與理學碩士學位之一部份。. 本論文承蒙下列考試委員審查通過：. 劉立. 臺北醫學大學醫學資訊研究所、副教授. (指導教授) 邱泓文. 臺北醫學大學醫學資訊研究所、副教授. (協同指導教授) 謝銘勳. 臺北醫學大學醫學系、醫學系系主任. 廖漢文. 台灣大學醫學院、副教授. 雷欽隆. 台灣大學電機系、教授. 中華民國 94 年 07 月. ii.

(3) 上網授權書. 上網授權書. iii.

(4) 國科會授權書博碩士論文授權書本授權書所授權之論文為本人在＿＿台北醫學＿＿大學(學院) 醫學資訊研究系所. 組＿九十三＿學年度第＿二＿學期取得＿碩＿士學位之論文。. 論文名稱：＿以 PKI 機制建構醫療影像傳輸安全系統＿. þ同意. □不同意本人具有著作財產權之論文全文資料，授予行政院國家科學委員會科學技術資料中心(或其改制後之機構) 、國家圖書館及本人畢業學校圖書館，得不限地域、時間與次數以微縮、光碟或數位化等各種方式重製後散布發行或上載網路。. 本論文為本人向經濟部智慧財產局申請專利(未申請者本條款請不予理會)的附件之一，申請文號為：＿＿＿＿＿＿，註明文號者請將全文資料延後半年再公開。 ---------------------------------------------------------------------. þ同意. □不同意. 本人具有著作財產權之論文全文資料，授予教育部指定送繳之圖書館及本人畢業學校圖書館，為學術研究之目的以各種方法重製，或為上述目的再授權他人以各種方法重製，不限地域與時間，惟每人以一份為限。上述授權內容均無須訂立讓與及授權契約書。依本授權之發行權為非專屬性發行權利。依本授權所為之收錄、重製、發行及學術研發利用均為無償。上述同意與不同意之欄位若未鉤選，本人同意視同授權。指導教授姓名: 劉立、邱泓文研究生簽名:. 學號:G158092008. (親筆正楷). (務必填寫). 日期:民國. 年. 月. 日. iv.

(5) 簽署人須知 1.. 2.. 3.. 4.. 5.. 依著作權法的規定，任何單位以網路、光碟與微縮等方式整合國內學術資料，均須先得到著作財產權人授權，請分別在三種利用方式的同意欄內鉤選並填妥項資料。所謂非專屬授權是指被授權人所取得的權利並非獨占性的使用權，授權人尚可將相同的權利重複授權給他人使用；反之即為專屬授權，如果您已簽署專屬授權書予其他法人或自然人，請勿簽署本授權書。授權人的權利與義務: 在美國授權博碩士論文予ＵＭＩ公司(博碩士論文全文資料發行公司)製作發行，須交付美金 45元的出版費，銷售年逾七件以上時得享收入10%的權利金約美金20元；在國內本計畫之經費全數由政府支應，收入亦應歸國庫，為答謝您的支持，科資中心特為您提供新台幣 500 元的等值資料服務(以研究報告、獎勵代表作、博碩士論文三檔為限)，請逕洽本案聯絡人，地址電話詳如第５項。義務方面唯一要注意是，著作人日後不可以主張終止本授權書，但您仍可以授權其他自然人或法人上述的行為。全國博碩士論文全文資料微縮片整合計畫的宏觀效益:在個人方面，您的論文將可永久保存 (微縮技術在理論上可保存八百年，實證已逾百年) ，也因為您的授權，使得後進得以透過電腦網路與光碟多管道檢索，您的論文將因而被充分利用。在國家總體利益方面，紙本容易因影印而造成裝訂上的傷害，圖書館中孤本的公開陳列與外借也有破損之虞，唯有賴政府全面性的整合，借助科技設備才能一舉完成保存與利用的全方位效益，回憶您過去尋找資料之不便經驗，學弟與學妺確實須要您的論文與授權書。本案聯絡電話: (02)7377746 江守田、王淑貞地址: 台北市和平東路二段106號17樓1702室. -------------------------------------------------------------------------------------------------------研究生姓名:. 姚博文. 聯絡電話: 02-87973730. 地址: 台北市內湖區內湖路一段 91 巷 35 弄 32 號五樓. v.

(6) 誌. 謝. 時光轉眼即逝，進入研究所鑽研於醫學資訊領域更深層的學問，期間獲得家人與師長的支持與鼓勵，讓我能以在職生角色專心的學習與研究，同時順利於二年完成研究所學位。. 研究過程中承蒙指導教授劉立博士與邱泓文博士的共同指導，期間在研究方向與方法的討論修正上提供許多建議與指導，期使本論文能更臻完整與豐富，所上相關人員的協助與同學間互相鼓勵，帶給我於研究過程中莫大的支持與幫助。. 研究所期間最大的支持與鼓勵來自於家人，二年期間家中增加了一個新生命-姚雍翎，讓姚佳妤多一個伴的相處與成長，也辛苦了妻周秋雲這二年對家的付出與照顧，讓我能於學業與事業衝刺同時，減輕了照顧家庭的負擔與時間。. 期許未來能於相關領域中繼續發揮所學，最後感謝於本論文之完成過程中所得到之相關協助與指教，以感恩的心謝謝一路走來相陪伴的人。並以本論文獻給所有關心與照顧我的人。. 姚博文謹誌於臺北醫學大學醫學資訊研究所 2005/07/20. vi.

(7) 目. 錄頁數. 誌謝..................................................................................................................................... vi 目錄....................................................................................................................................vii 圖目錄..................................................................................................................................... ix 表目錄..................................................................................................................................... xi 中文摘要(Chinese Abstract) ................................................................................................xii 英文摘要(English Abstract)................................................................................................xiii 第一章. 緒. 論 ............................................................................................................1. 1.1. 研究背景與動機...........................................................................................................2. 1.2. 研究目的........................................................................................................................3. 1.3. 研究方法........................................................................................................................4. 1.4. 研究範圍........................................................................................................................5. 第二章. 文獻探討 ........................................................................................................6. 2.1 醫療影像傳輸系統(PACS)發展....................................................................................6 2.2 醫療企業整合(IHE：Integrating the Healthcare Enterprise)相關研究.................. 19 2.3 PKI 公開金鑰基礎建設（Public Key Infrastructure）............................................ 27 2.4 相關法令研究............................................................................................................... 41. vii.

(8)

(9) 圖目錄圖.1 影像系統基本組成(資料來源:台灣英飛特) ........................................... 8 圖.2 影像儲存傳送機制 (台灣英飛特).........................................................13 圖.3 影像查詢調閱機制( [36])......................................................................14 圖.4 2000－2001 年度的 IHE YEAR 3 PROFILE 連接示意圖............................22 圖.5 2001－2002 年度的 IHE YEAR 4 PROFILE 連接示意圖............................22 圖.6 2002－2003 年度的 IHE YEAR 5 PROFILE 連接示意圖............................23 圖.7 IHE SWF PROFILE 流程圖......................................................................23 圖.8 IHE SECURITY PROFILE 架構圖 ..............................................................24 圖.9 IHE SECURE NODE ACTOR 關聯圖 ..........................................................25 圖.10. IHE SECURITY PROFILE 資料流程圖..................................................26. 圖.11. 公開金鑰示意圖..............................................................................30. 圖.12. ＲＡ及 CA 組成架構（台灣網路認證）.........................................32. 圖.13. 數位簽章流程示意圖 ......................................................................34. 圖.14. PKI 加解密流程示意圖...................................................................35. 圖.15. ＤＥＳ簽驗章作業流程（台灣網路認證）.....................................37. 圖.16. 醫學影像安全資訊系統架構示意圖................................................55. 圖.17. 研究架構流程示意圖 ......................................................................55. 圖.18. SECURITY SERVER 元件組成 .............................................................56. ix.

(10) 圖.19. 影像儲存簽章流程 ..........................................................................57. 圖.20. 報告簽章流程..................................................................................57. 圖.21. 報告簽章作業..................................................................................58. 圖.22. DICOM 簽章結構圖........................................................................62. 圖.23. DICOM 多重簽章示意圖................................................................64. 圖.24. 報告驗章.........................................................................................65. 圖.25. 測試作業.........................................................................................66. 圖.26. 驗證作業.........................................................................................67. 圖.27. 放射科作業流程..............................................................................70. 圖.28. 影像瀏覽畫面..................................................................................71. x.

(11) 表目錄表.1 網路安全機制比較表............................................................................28 表.2 安全規範比較表...................................................................................50 表.3 TLS 特色的最低限度機制 ....................................................................53 表.4 ISCL 最低限度機制..............................................................................54 表.5 使用者角色定位...................................................................................58 表.6 儀器產生之影像之大小........................................................................60 表.7 系統使用者憑證應用範圍定義.............................................................63 表.8 DICOM 驗章所需資訊表......................................................................63 表.9 簽章測試結果(HCA-DICOM 簽章)......................................................65 表.10. 報告簽章測試結果(HCA 物件簽章)................................................66 表.11. 驗章測試結果(HCA) .......................................................................66 表.12. 簽章測試結果..................................................................................67 表.13. 報告簽章測試結果 ..........................................................................68 表.14. 驗章測試結果..................................................................................68. xi.

(12) 中文摘要(Chinese Abstract) 論文名稱：以 PKI 機制建構醫療影像傳輸安全系統臺北醫學大學醫學資訊研究所研究生姓名：姚博文畢業時間：９４學年度第２學期指導教授：劉立臺北醫學大學醫學資訊研究所（副教授）協同指導教授：邱. 泓文臺北醫學大學醫學資訊研究所（副教授）. 為促進醫療資訊電子化的普及應用，並加強醫療資訊安全的防範措施，衛生署建立以公開金鑰(Public Key Infrastructure, PKI)為基礎的醫療電子認證機制，以確保醫療資訊電子化的作業安全，衛生署已陸續完成建置「醫療憑證管理中心」，並開始陸續研究並使用『醫事機構』及『醫事人員』憑證 IC 卡，其主要目的在確保民眾就醫所產生的私密性或敏感性資料外洩，並配合相關法令之完備，更積極規劃電子病歷等相關醫療資訊化應用。本論文研究為如何利用目前 DICOM 標準以及 PKI 的架構，並配合衛生署醫療憑證管理中心的建置以及醫事人員卡的使用，並建立醫學影像傳遞的安全結構，是為改善醫療現狀及提昇醫療品質之重要工作。因此本文利用 HCA PKI 機制/HPC IC 卡、數位簽章以及數位信封的概念融入放射線診斷科之作業，建構 PACS/RIS 相關作業主要成員及相關憑證作業以確立院內 PACS/RIS 系統登錄作業之身份認證及醫療機構間影像資料傳遞機制，並達到以醫事機構憑證進行影像資料之簽章作業，最後探討本研究之規劃實用性是可行的，為如何提昇使用效率與執行率則有待進一步之探討。關鍵字: 醫院資訊系統，電子病歷，醫學影像儲傳系統，數位簽章，數位醫療影像標準，公開金鑰架構. xii.

(13) 英文摘要(English Abstract). Title of Thesis：Establishment of the picture archiving signature system by using PKI mechanism of HCA Author：Yao ， Po-Wen Thesis advised by ：Liu， Li、Chiu，Hung-Wen（Name） Taipei Medical University, Graduate Institute of Medical Informatics In order to promote the use and application of the electronic medical information, and to improve the preventive measures for the medical information security, the Department of Health (DOH) has set up a PKI (Public Key Infrastructure) based medical electronic certification mechanism to ensure the operational security of medical information. established the Health Certification Authority (HCA) successively and in turn. The DOH. conducted. studies to initiate the IC card system for medical institutions and medical personnel.. These. measures protect highly sensitive and confidential medical information from unauthorized individuals.. Furthermore, the DOH has also taken the initiative on medical information. application such as Electronic Medical Record (EMR). This study in coordination with the foundation of the Health Certification Authority investigates the improvement in current medical situation and enhancement of the medical quality, and focuses on establishing a firm structure for Picture Archiving and Communication System (PACS) by comb ining DICOM standards with PKI infrastructure. This study integrates the HCA (PKI mechanism), HPC (IC Card), Electronic Signature and Digital Envelope to certify staffs in the Department of Diagnostic Radiology who were associated. xiii.

(14) with PACS/RIS, to confirm the ID certification in the PACS/RIS log-in system, and to ensure a PACS mechanism between hospitals. Key Word: EMR，PACS，PKI，Electronic Signature， DICOM. xiv.

(15) 第一章緒. 論. 資訊科技與電腦網路在醫療方面的應用，帶來醫學資訊學（Medical Informatics）與醫療管理資訊系統（Healthcare Management Information Systems）的蓬勃發展，提供醫療行為的支援與醫院經營管理的助益。在網路應用與服務方面，醫學影像儲傳系統（Picture Archiving and Communication Systems- PACS）近年來成為醫院資訊建設的趨勢，在醫療環境上扮演重要角色。藉由 PACS，不同儀器所產生的醫療影像，如電腦斷層（CT）、超音波（Ultrasound）、核磁共振（MRI）、X 光片等影像，得以傳送到遠端以進行診斷作業。醫學影像的產生主要來自放射部門，其醫療設備所產生的醫學影像數量非常龐大，加上醫學影像在診斷上的高解析度需求，要將這些影像藉著醫院網路傳輸至院內需要的地方需要一個完善的影像傳輸與存取系統來達成醫療支援作業。另一方面，醫院資訊系統（Hospital Information Systems- HIS）藉由資訊網路傳送文字資訊，如電子病歷（Electronic Medical Record， EMR）、掛號批價、醫囑、財務等資料。而由於 HIS 與 PACS 所使用的通訊標準不同，分別為 HL7 與 DICOM，因此近年來，醫院各類資訊系統所產生的資訊之整合與傳輸上之標準與共通性亦成為醫療資訊領域的重要課題(INTEGRATE Healthcare Enterprise -- IHE)。. 電子化醫療不僅用在醫院內部系統的串聯，近來，更積極朝院際間整合方向推動。2004 年 10 月，美國剛通過的 HIPAA 法案（Health Insurance Portability and Accountability Act，醫療保險可攜性與責任），就是希望能建立起醫療機構間的電子病歷交換，讓每位病患的病歷資料，在顧及病患隱私的前提下，能在各醫療體系間流通。上述之應用所牽涉之資訊網路的議題包括資料傳輸標準、網路資訊安全、網路架構、醫學影像傳. 1.

(16) 輸、網路病情監控、遠距醫療會診、行動通訊等。這些議題的研究與發展除了需要資訊科技研究者之投入外，尚須結合資訊安全等相關領域人員共同進行之，故如何達到資訊安全的保存與不可否認性，公開金鑰基礎建設（Public Key Infrastructure- PKI）同時成為資訊安全一項重要之應用技術。. 1.1. 研究背景與動機. 電子化醫療資訊應用之法制環境建構上，我國醫師法及醫療法中對病歷之作成及保存有強制性之規定，過去對是否能以電子文件方式代替紙本作成病歷，則因電子文件與紙本書面本質上之差異而有疑義，同時也因電腦及資訊的技術，需大量的投資人力與物力之下，亦造成資訊化的腳步於醫療產業的拖緩。同時政府及各醫療院所雖有意推動醫療資訊電子化，惟礙於法律書面要式之要求無法突破，而無法全面施行。在立法院於民國 90 年 10 月 31 日三讀通過電子簽章法，並由行政院依據電子簽章法第十七條之規定，宣布該法於 93 年 4 月 1 日起正式施行後，使得電子病歷之效力在法律上得到承認。依據電子簽章法之規定，凡依法令規定應作成書面、簽章或依法令規定應以書面保存者，在符合法律規定要件下，今後便得以電子文件、電子簽章取代之。因此，電子簽章法之立法，乃為我國電子化醫療資訊之應用，提供了一個新的契機。醫療資訊的電子化雖具諸多優點，然而因其是以電子形式做成而透過網路傳輸，所以亦有資料完整性（integrity）、機密性（confidentiality）、不可否認性（non-repudiation）的保障以及身份辨識(Authentication)等資訊安全上的問題。此外，醫療資訊電子化後，因資料流通便利而能提升醫療及健康服務之品質與效率，惟若不對資訊之傳輸、保存以及使用作妥善規劃管制，勢將較以往以人工記載的處理之方式，對病患個人隱私造成更大的危害。因此，如何在不影響便利性下，利用現已成熟的電子認證、數位簽章技術，來做電子化醫療資訊應用的身份認證與與安全控管，使得一方面能保障資料所有者之個人隱私，他方面亦能方便健康醫療資訊的流通，便成為規劃健康醫療資訊電子化上的一大課題。. 2.

(17) 參考美國 HIPAA 法案的根本精神，就是要節省醫療資源、提升醫院效率。他指出，隨著資訊科技愈來愈進步，牽涉到病患隱私的電子簽章技術已逐漸成熟，足以保障病歷在網路流通的安全性，在這樣的基礎下，推動院際間的病歷資料交換，可以省下許多重複的醫療動作，譬如照 X 光、驗血等，只要做一次，資料就能在各醫院間流通，可因此省下可觀的醫療資源。由於 HIPAA 牽涉到整個醫療體系間的資訊交換，因此，建立起統一的電子格式成了初期的重點。各醫療系統間共通的 HL7,DICOM 標準，將醫院資訊、影像、檢驗、藥局、護理站、行政、財務等系統格式統一。著手電子病歷的交換標準制定。HIPAA 法案在隱私權保護等細節未必適用台灣，但開放、尊重病患權利及節省醫療資源的精神，對台灣醫療界則有示範作用，電子病歷交換亦同時成了台灣健保局重要節省醫療資源的課題與推動目標。. 本論文研究主要針對之研究方向，係針對醫療影像儲傳系統(PACS)，如何以公開簽章之金鑰系統配合衛生署所發配各醫院及醫事人員之相關憑證，如何的應用與使用之時機所帶給病歷資料之保全與正確性作探討與研究。與衍生而來的資料保全與資料正確性,及資料之唯一性,及對所擁有之資料進一步的加以保全，有鑑於此本論文將以標準的 IHE 流程面及影像資料安全性做一探討與研究。. 1.2. 研究目的. 各級醫院為提供病患更好之醫療品質與提昇經營管理之效益，不斷投入新一代的資訊系統建設與擴充，如何提供醫師快速調閱與診斷之 PACS 系統，無不成為醫院之優先建置考量之系統之一，而由早期僅為達到無片化環境及後期所衍生出相關資訊安全考量，同時各級醫院正面臨健保政策之要求與病歷電子化之壓力下.如何透過 PKI 成熟的機制與現有 PACS 系統整合進而架構一完整的醫療影像資訊安全系統，希望藉由本文. 3.

(18) 之規劃與探討對國內已實施 PACS 或即將實施之醫院能提供架構整合及執行管理面上之參考。. 1.3. 研究方法. 本研究希望在醫療影像資訊系統的建構過程中，在流程面上以標準之 IHE 架構中標準之 SWF、SNR 及 ARI 流程作為研究上之基礎，而標準面方面則依循 DICOM 標準中之相關規範,並以目前衛生署所公告實施之 HCA 相關工具做為安全性之 PKI 系統架構採用。. 本研究之對象乃是某醫學大學經營之附屬醫院，與其現有系統間之比較，因此本研究依該院現有之資安管理政策訂定各成員於資訊系統的角色與權限，使其均能依循依固定模式進行比較，並針對各類影像種類，以不同種類簽章機制進行效能上比較，以取得系統效能最佳化之作業模式。. 在研究設計上主要是依據 IHE 標準流程探討 PACS 系統對醫事人員、病人、醫療院所於執行作業上之影響。鑑於系統的影響效果會有階段性的差異，同時也會有醫療院層級間的差異，故僅以主題論述研究進行的方式。. 電子簽章對不同的醫事專業人員之使用時機。此部份藉由 IHE 流程來規範醫事人員在 PACS 實施後在工作流程上對電子簽章系統的應用。. 4.

(19) 電子簽章對醫療院所人力資源規劃，特別是人力資源的配置之影響。此部份因為不同層級的醫院的影響會有相當大的差異，因此主要利用深度訪談的方式與醫院資訊管理人員瞭解在實施後就放射科及相關人員使用上是否會有使用之障礙與系統之穩定度與正確率進行探討。. 1.4. 研究範圍. 醫學影像儲傳系統目前正為各醫院積極導入之新一代醫療資訊系統，因各系統之開發皆遵循標準，且資訊安全相關之標準亦已列入標準中，選擇以 PACS 系統作為導入 PKI 之機制，未來將可進一步擴大應用範圍以滿足電子化病歷於安全性上之需求。. 本研究之範圍定義，以 IHE 規範中之 Schedule Work Flow 作為整體系統之架構基礎流程標準，並以醫院中之 HIS/RIS/PACS 系統作為電子簽章之實行實做項目，針對系統儲存之影像及所產生之報告，利用醫事人員卡進行簽章與系統權限控管之身分認證為主，並對所產生之憑證進行驗章作業，以確保資料之完整性與一致性。希藉此研究能將 PKI 之規範與應用導入其他醫療資訊系統中。. 5.

(20) 第二章文獻探討. 此部份主要彙總評估影像傳輸系統(PACS)、公開金鑰架構(PKI)及 IHE 等方面之相關參考文獻，並收集相關台灣政府於資訊安全法規及影響醫院及資訊系統安全因素的相關研究文獻。經由研究文獻分析整理後，使得研究方向更明確並建立研究架構模式。. 2.1 醫療影像傳輸系統(PACS)發展 1980 年代美國即開始發展影像儲傳系統 (picture archiving and communication system, PACS) 以提昇醫療診斷時效、增加工作效率，經過近 20 年的研發，此影像系統的實際應用，雖然仍然有不同的意見，但在美國、奧國、日本及韓國等皆有醫院將 PACS 完全使用在醫院內的所有病患，甚至放射線部亦使用螢幕來判讀影像，以期達到無片 (film less)的境界。事實上 PACS 一般認為是提昇診斷效率，減少人力浪費的工具，使用 PACS 可以減少不必要的檢查，降低檢查時間，加速工作流程，尤其當院際間有網路連接時，更可以降低醫療費用，迅速得到專家會診，提昇醫院間的合作功效。. 影像儲存及傳輸系統(PACS)屬於醫療資訊系統的一部份，和醫院資訊系統(HIS)，檢驗資訊系統(LIS)、放射線資訊系統(RIS)等系統共同構成現行醫療網路資訊系統。顧名思義，PACS 的主要目的在於將醫療系統中所有的影像，以數位化的方式儲存，並經由網路傳遞至同系統中，供使用者於遠側電腦螢幕閱讀影像並判讀。同時也可做為不. 6.

(21) 同醫療系統影像傅遞交換的工具。隨著軟體及運用程式的進步，將來可能更進一步協助醫師進行診斷、教學及醫學研究。具體的說，一個完善的 PACS 應包括影像擷取、儲存、輸出、傳輸、顯示，及 HIS/RIS 整合交換資料等功能。 PACS 之觀念並非最近才有，但過去受限於影像資料需龐大記憶體儲存，而醫療使用又有其時效上之限制性，因此除非有高功能的軟硬體配合，否則無法達到醫療之嚴苛需求。近年來，硬體及網路科技的進步，使得任何單一醫療影像在 100. 1000 Mbps. 頻寬的同網路糸統內傳送，都可在幾秒內完成。而現今之多數之醫院以 DAS/SAN/NAS 做為線上儲存設備之使用，而以 Magnetic Optical Disc (MOD)、Compact Disc (CD/DVD) 等等媒體做為長期會備份資料之用。再加上高性能 Workstation 的不斷推出，縮短了使用影像顯示及處理所需的時間，使得 PACS 的執行在硬體上的障礙及門欄降低。隨著硬體功能不斷提高而價格卻下降的事實，在 PACS 投資的經濟效益上，也出現著極大的想像空間。. 其他相關配合絛件也在進展中。例如由 ACR-NEMA (American College of Radiology-National Electrical Manufacturers Association) 所訂定的第 3 版 DICOM (Digital Imaging and Communications in Medicine)標準規格，已被所有廠商接受成為各影像處理的標準。而再如影像資料壓縮技術(JPEG/JPEG 2K)的進步等，都使得 PACS 的實施環境日益成熟。. 7.

(22) 2.1.1. 影像傳輸系統定義. 影像擷取. 影像儲存. 影像瀏覽. 影像輸出. • Full DICOM standard compatibility Non-DICOM Modality. Laser Imager QC Print Paper Printer. DICOM Modality. CD Publishing. Secure Web PACS. Web Viewer+DICOM DIR. RIS. 圖.1 影像系統基本組成(資料來源:台灣英飛特) PACS 基本架構上包括影像數位化工具、電腦處理裝置、影像儲存管理裝置、高速通訊網路、資料庫工程、影像顯示工作站等。另外由於 PACS 系統之建置牽涉於工程技術與各醫療專業人員之系統間相互整和之有關系統安裝佈設、臨床應用、教育訓練、經費估算、性能升級與系統維護等複雜性課題。詳盡及周延的規劃，便會顯得很重要。有關 PACS 的許多基本理念在其他文章中均有提到、此處只就實際層面選取部份較重要的內容再加以討論、部份可能和其他文章稍有重疊、亦應互相參考比較。因為各醫院之設備，環境均有所不同，架構上應會有所差異。其基本的功能在於影像層級（image level）的管理，因為在電子病歷當中，包含了文字檔案與圖形影像檔案；文字檔案包含了病歷摘要（SOAP）、診斷代碼、處置及手術代碼、藥品及衛材代碼、檢驗及檢查代碼，還有其相關的檢查報告。. 8.

(23) 而圖形檔案，包含了Ｘ光片、超音波描儀（Ultrasound）圖形報告、電腦斷層掃描儀 CT 報告、核磁共振掃描儀 MRI 報告等，這些圖形檔案的儲存方式與文字檔資料庫的儲存存方式不同，因此，如何將影像檔案與病患的文字檔案正確的結合，並提供醫師快速且正確的查詢。同時，具備有整體影像報告結果之管理，就是將工作清單的觀念與功能加入影像儲傳系統中，可以使工作流程（work flow）呈現最佳化的功能，進而將臨床瑣碎的工作自動化，促進整體醫院的效能，例如：在醫師點出影像檔案時， PACS 要自動將相關的文字報告或正常的數據與影像檔案配合日期，自動的加以顯示，並且對於病人的病史自動加以提供相關的資訊，並且提供醫師可以在短時間內製造出所需要的組合文件，提供給醫師做為診斷處置參考。傳輸醫學影像及相關資訊協定（Digital Imaging and Communications in Medicine, DICOM）是醫學影像資料的格式及共通傳輸標準協定，無論任何廠牌的醫療儀器設備，只要符合這個標準，就可以彼此交換資訊。此標準的建立使得醫療資訊系統開啟了一扇大門；藉由 DICOM 可以使醫學影像能夠使得 PACS 能夠更靈活的進行儲存、查詢、擷取，對於醫院所有的醫療檢查儀器的影像圖檔，可以全面加以整合與管理。多位學者如 HK, Hung 〔22〕與 Gell 與 Wiltgen 〔32〕亦具有如上所述之相同看法；國內學者廖漢文〔3〕，李三剛〔4〕，萬永亮〔5〕等學者將 PACS 定義為:透過網路整合醫學影像儲存設備之醫學影像管理資訊系統，其主要目的支援醫療決策與放射科之診斷作業效率與效能提昇與應用。. 醫學影像儲傳系統(PACS)的系統架構. 2.1.2. (1) 影像擷取設備(Image Acquisition Devices) ＰＡＣＳ的最終品質決定於影像的最初輸入時的訊號品質。而此成功良好的訊號品質取決於能否把此類工作整合為每日的常規工作。目前 DICOM 3.0 是最被接受的一種標準。. 9.

(24) DICOM 3.0 是為了達到各種影像系統間有一開放性架構而有的一種標準。主要包括兩部份﹕影像資料及檔頭 (header)。檔頭主要規範病患某些特定訊息如病歷號，年齡、性別等在的某一特定位置，使每一系統均能互相讀取。從 1994 年開始設定以來，它便包含了所謂跨平台的功能。此標準仍在不斷改進中，雖然不是完美而且很煩雜，但它的確提供所需的功能。它能協調不同的工具所生的影像（CT, MRI），或不同的來源（如掃描機、工作站、和洗片機）和其他服務的使用者與提供者間規範（如儲存、確認、查詢，擷取等）。而現在推行的 IHE 的觀念更強調和 PACS – RIS - HIS 及醫院中其他所有系統的結合。但針對許多的舊Ｘ光片或仍未汰換成 DICOM 3.0 的非數位化的影像，其輸入方式有兩種﹕分別為 Film Digitizer 和 Frame grabbers １、Film Digitizer 透過掃描器可以獲取影像的較佳空間解析度和 8~12 bit depth, 可以得到近似的原始之影像資料。故放射線醫師可以再調整影像的對比及亮度。２、Frame Grab 是直接抓取監示器上的影像。所以其受限於只有 8 bits ( 256 灰階 )與 12 bits 彩色。故擷取的影像只能在有限範圍的調整。目前多應用於內視鏡(Endoscope) 及超音波(Ultrasound)等儀器擷像上使用 (2) 網路架構系統 (Network Infrastructure) 首先要考量現存性和未來性。許多醫院只有單獨作業、所以其架構便有如 LAN (local-area network)、它只要連接醫院內部如門診、病房、急診、ＩＣＵ、或開刀房等。但大型醫學中心便要考量到未來和外界的連接，此時便會如 WAN (wide-area network). 可以和其他附屬醫院、診所作連線，互相交換訊息影像、會議、照會等。但要知道並非連線後便可以直接互相溝通，其間又涉及系統資料傳送之過程，此過程又包括使用 DICOM, HL-7 的標準，故系統之標準亦為重要之考量因素。一般目前各醫院對影像傳輸之網路暨整體的效能要求如下: 一張 CR/DR 影像 12~16MB 自主機下載至顯示完成能於 3Sec 內完成. 10.

(25) CT/MRI 多張影像之儀器能於 3Sec 內顯示完成前 16 張之影像故一般之要求平均為 12 MB 之影像資料須於三秒內顯示完成，目前多採用高速之網路骨幹設備與 Ethernet 之架構搭配光纖與 UTP Cat. 6 等級之線材構築成一高速傳輸之網路環境供 PACS 系統使用。 (3) 影像資訊檔案存取系統 (Archiving System) 除了單純的存取外，此會涉及到資料的分佈及流程上的管理。分散式作業架構是一般的構想、理論上分為全院影像中心(儲存全院影像)和各影像存取次中心(儲存該科影像) 如此可以避免網路塞車及當發生當機的可能變通。此又涉及相關網路及軟體的設計。但實務上要考量不同檢查容量大小，各科相關位置及使用頻度等問題均要在事前規劃己有充分了解。而且要有前瞻性、知道每一科未來使用量或次數在三∼五年內可能之變化。資料儲存方法： PACS 之資料儲存方法很多可考量。而依據其不同的容量需求，存取速度，及價格成本為醫院主要之考量因素。短期或線上儲存設備:通常指的是一年內之檢查影像，使用者可以於 3~5 秒內即時取得影像資料之儲存設備，目前所採用之設備多為 DAS，SAN，NAS 等應用磁碟陣列所組成之儲存設備及架構( 通常一年內之影像使用率最高) 長期或離線儲存設備:光碟片(Optical disks, OD)，通常使用者為 WORM (write-once, ready many) ，其儲存之資料，只能讀取不能移除或重寫。其查取很慢，但成本很低且容量很大，故通常用作永久保存資料之用。儲存計劃：影像擷取時間 (retrieval rates)和檢查多寡、與檢查的影像數目，和影像大小均有關係。此又和網路速度及其擷取軟體的整體表現有關。在一使用頻繁的 PACS 中如具有. 11.

(26) Pre-fetching (預先送出) 和 Auto-routing（自動分派）功能便能幫忙降低影像存取時間與所需之機器效能。 On-line 儲存指非常快的可擷取資料。但要注意每一醫院有不同醫療文化，病人看病迴診之時間長短不同，每科部住院日長短不同。每一不同科別也有不同的需求、所以要在計劃前取到詳細資料才能決定要保存的時間長短。但此乃在使用者而言，影響 PACS 成功與否一大可控制因素。對於短期一般定十二~十八個月為限（根據統計、病人在十八個月內不回診便多不再出現）。影像壓縮：目前 DICOM 對使用壓縮比例之失真與非失真的認定仍持保留態度。為了減少儲存空間及縮短傳輸的時間，許多廠商仍採取壓縮的策略。壓縮方法可分為非失真壓縮和失真壓縮。在此不詳加討論，但在採用前建議查詢其方法是否為合法在醫療影像中使用之壓縮方式，目前美國 FDA 已經通過以 JPEG/JPEG2000 壓縮技術為合法之影像壓縮技術，並作為醫學影像壓縮之方法。 (4) 影像資料庫管理系統 (Database system) 此包括前述如 Pre-fetching, Routing, Flow-work management 等，在此亦不加詳細討論，每個醫院採用何家廠商產品均各有其考慮的方向及因素。 (5) 影像顯示工具無論 PACS 架構得如何好，最後仍要靠好的顯示工具來呈現它的結果。通常、我們均認為越高解析度者能把較不明顯的病灶表現出來。但實況並不如我們想像中重要。一般ＣＴ和ＭＲ用到１Ｋｘ１Ｋ高亮度顯示器便足以認付所有的需求。在有許多小兒科影像或胸部Ｘ光許多者則２Ｋｘ２Ｋ者有些許幫忙。至於顯示器擺放的方向是橫置或直立對診斷並不太大影響。. 12.

(27) 基本上、亮度及對比度的強弱才是顯示器的重點。我們一般的觀片箱有很強的亮度、可達 600 foot- lamberts。但在桌上型電腦的顯示器則常只有約 25 foot- lamberts。較好的工作站顯示器可達 50~100 foot lamberts。這些差異便造成使用 PACS 作判讀的困擾。所以如果室內燈光也很強烈時、顯示器所表現的便更差，造成所謂解析度差的錯覺。目前市面上多已改採醫療專用之灰階液晶螢幕(TFT LCD) ，取代傳統 CRT 螢幕之佔用空間與使用環境上之限制 (6) 系統運作機制 PACS 系統當中，儀器資料儲存至影像管理系統，影像檢視系統向影像管理系統查詢及調閱影像皆是透過標準之 DICOM 影像網路傳輸協定來達成:. 圖.2 影像儲存傳送機制 (台灣英飛特). 13.

(28) 上圖中說明自儀器抓取工作清單執行檢查後，儀器影像產生後，傳送至影像主機並且同時儲存至短、中、長期的儲存設備中，使用者查詢調閱影像到最後影像輸出的流程。. DICOM Server Operations for Storage and Query/Retrieve DICOM Server (6) SQL. (5) DICOM Viewer. Query and Retrieve. Query Request (DCO+DDO) TCP\I P Query Responses (DCO+DDO). (7) Retrieve Request (DCO+DDO) TCP\I P. (3). Query Process. Result table. Database. (8) SQL. Tags & File Index. (1) Storage Request (DCO+DDO). DDO Input. Modality. Make DICOM TCP\IP date object Storage Responses (DDO) (DCO). Retrieve Process. Retrieve Responses (DCO+DDO). File Index. (9). File Index. DICOM. Process. DICOM Files. (4). Storage. DICOM. System. Files. (2). DICOM Files median. Files. Server User Interface. 圖.3 影像查詢調閱機制( [36]) 上圖當中醫療儀器(Modality) 利用 DICOM Storage 網路傳輸服務將影像資料傳送到影像管理系統儲存，影像檢視系統(DICOM Viewer) 利用 DICOM Query/Retrieve 向影像管理系統查詢及調閱影像。 DICOM 影像管理系統主要傳輸服務說明如下: (1) DICOM Storage service ，此傳輸協定中儀器端發送 Storage Request ，內含 DICOM Command Object(DCO) 及 DICOM Data Object(DDO) ，在此 DCO 當中指定此傳輸服務是要執行影像儲存的動作， DDO 為要儲存的影像資料。影像管理系統收到 Request 執行相關影像儲存之動作後會 Response 一 DCO 訊息至儀器端，由此 DCO 訊息告知此傳輸服務是否執行成功。. 14.

(29) (2) 表示 DICOM 影像亦可以檔案匯入影像管理系統 (3)(4)(6)(8)(9) 影像管理系統內部達成儲存、查詢的功能的做法 (5) DICOM Query service ，影像檢視系統傳送 Query Request ，Request 當中之 DCO 當中指定要執行查詢的動作， DDO 為查詢條件的資料物件。在影像管理系統 Response 的 DCO 訊息中告知此傳輸服務是否執行成功，Response 的 DDO 當中則回傳查詢結果資料物件。 (5) DICOM Retrieve service ，影像檢視系統發出 Retrieve Request ，Request 當中之 DCO 當中指定要執行調閱的動作， DDO 為指出調閱哪些影像的資料物件。在影像管理系統 Response 的 DCO 訊息中告知此傳輸服務是否執行成功，Response 的 DDO 當中則回所調閱的影像資料物件。網路是一個無遠弗屆，瞬息即至的資訊溝通管道，理論上，醫院之間之醫學影像相關資料傳送亦可利用上述標準的 DICOM 協定來達成。但是 DICOM 為公開之網路傳輸協定，若資料在網際網路當中公開傳送，則要竊取、竄改這些臨床資料將是一件輕而易舉的事。醫療相關資訊要透過網際網路跨院互相傳送，我們需要進一步考量資訊安全相關問題。 [36]. 2.1.3 醫學影像系統標準(DICOM)之探討. 目前 DICOM 標準係由 ACR/NEMA 所制定，透過其中各個不同性質的工作小組進行相關的標準制定，依 ACR/NEMA 目前所定出之最新版本 DICOM 標準可分為以下之十八章:[ W2 ] DICOM Part 1: Introduction and Overview DICOM Part 2: Conformance. 15.

(30) DICOM Part 3: Information Object Definitions DICOM Part 4: Service Class Specifications DICOM Part 5: Data Structures and Encoding DICOM Part 6: Data Dictionary DICOM Part 7: Message Exchange DICOM Part 8: Network Communication Support for Message Exchange DICOM Part 10: Media Storage and File Format for Media Interchange DICOM Part 11: Media Storage Application Profiles DICOM Part 12: Media Formats and Physical Media for Media Interchange DICOM Part 14: Grayscale Standard Display Function DICOM Part 15: Security and System Management Profiles DICOM Part 16: Content Mapping Resource DICOM Part 17: Explanatory Information DICOM Part 18: Web Access to DICOM Persistent Objects (WADO) Release Notes. for DICOM PS 3-2004. 16.

(31) 2.1.4. DICOM 第十五章資訊安全規範的特性. 分散式的環境： DICOM 協定產生的目的主要是解決各家不同廠牌之醫學影像相關儀器及資訊系統整合方面的問題，分散式異質性的資訊系統整合在各個不同的應用領域皆是一個困難度很高的問題。DICOM 協定使用於醫學影像相關應用系統之整合是一個相當成功的範例。由於政府方面大力推動及網路資訊安全實際的需求，PKI 相關解決方案近年在國內相當蓬勃發展，理論上在 PKI 的架構下，不同廠商之應用系統亦可依據資訊安全相關標準規範及協定相互整合應用，例如: 甲廠商的 CA 管理之公開金鑰憑證及憑證撤銷清單可供其他廠商之簽章加密之安控元件查詢下載；甲應用系統及乙應用系統可利用不同廠商之安控元件建立資訊安全通道；甲應用系統簽章的資料可匯出讓其他應用系統驗證其簽章是否有效。但可惜的是上述相互整合的狀況目前並不是很多。目前資訊安全相關廠商提供的皆為一套 ”完整”之 PKI 解決方案，有關 CA 建置、資料加密、解密、簽章、驗章，廠商皆建議使用其專屬之應用軟體及安控元件來達成，不同資訊安全廠商間要做整合，目前還是常發生問題。資訊安全廠商系統無法整合限制了其擴大應用的層面，另外若相關資料加密、解密、簽章、驗章等功能皆由單一廠商建置完成，則其內容是否真正符合相關標準規範，相關功能是否真正安全可靠亦將受到質疑。影像儲存及傳輸系統(PACS) 建置在分散式的應用環境當中，此環境當中強制要求與單一廠商之 PKI 解決方案做整合並不合適；在實際的 PACS 系統當中造影儀器、影像檢視設備、影像儲存管理系統..很有可能皆購買不同廠商的產品，相互間透過 DICOM 協定做整合。這些系統要支援 DICOM 醫療資訊安全規範，不但各廠商產品皆需建置規範當中的功能，而且不同產品間之資訊安全功能需互相能夠搭配應用。亦即不同廠商間的產品能夠建立網路資訊加密安全通道互相連結，支援電子簽章的產品不僅能簽章及驗證該廠商系統產生的資料，亦須能夠驗證其他系統簽章過的影像相關資料，而且這些系統尚需與目前政府單位所建置之 CA (衛生署 HCA , 行政機關 GCA,內政部自然人憑證. 17.

(32) MOICA)做整合。建置 DICOM 資訊安全規範在目前階段尚需政府及相關單位積極推動，也需要醫學影像設備廠商與資訊安全廠商合作開發合乎 DICOM 資訊安全規範的產品，另外亦需建立資訊安全相互整合測試的機制，以利相關產品之整合測試。[36] DICOM 多重簽章影像物件：在正常的放射科造影作業流程當中，經過儀器造影成像，放射技術師對影像顯示品質的處理調整，醫師對影像標記註解產生報告等數個步驟。因應 PACS 影像產生作業實際運作之需求，DICOM 電子簽章規範當中支援多重簽章的設計。在上述步驟當中造影儀器、放射師、及醫師皆需對此影像物件做簽章。在此作業流程當中，相關資訊陸續加入 DICOM 影像物件當中，因此造影儀器、放射師、及醫師對此影像物件簽章的範圍皆不相同，而且後續人員及系統處理的動作不可更動先前簽章包含所包含的內容，以免破壞先前簽章之有效性( DICOM BIT-PRESERVING DIGITAL SIGNATURES SECURE USE PROFILE)。為了方便 DICOM 物件及簽章之保存及管理方便，DICOM 的簽章規範當中將電子簽章包含在原始物件當中(Enveloped Signature)，其設計類似 XML 電子簽章之 Enveloped Signature(http://www.w3.org/TR/2002/REC-xmldsig-core -20020212/Overview.html) 包含電子簽章之影像物件當中將具有 MAC Parameters Sequence 及 Digital Signatures Sequence 兩個資料模組，MAC Parameters Sequence 定義了簽章範圍及簽章方法相關參數，Digital Signatures Sequence 內含每個簽章的結果及對應之憑證(詳參 DICOM Part3 Annex C.12.1.1.3 Digital Signatures Macro)。 [36]. 18.

(33) 2.2 醫療企業整合(IHE：Integrating the Healthcare Enterprise)相關研究美國 HIMSS 與 RSNA 兩大學會決定由 RSNA 1999 及 HIMSS 2000 會議開始，進行為期五年的 IHE (Integrating the Healthcare Enterprise) 醫療企業整合測試。現行醫療網路雖存有 HL7 (Health Level Seven) 、 DICOM (Digital Imaging and Communications in Medicine) 等標準協定，各醫療器材廠家雖都宣稱支援這些標準協定，但是實際連測卻又互不相容。因此， HIMSS 與 RSNA 定出 IHE 技術架構，就現有的標準協定，列出不同功能的醫療器材所應扮演的角色，以及與其他不同角色醫療器材的互動關係，供業界有所遵循，希望以五年的時間解決此異象，並達成下面的主要目標： (1) 減少資料與功能的重複性。 (2) 建構醫院資訊系統 (Hospital Information System) 、放射學資訊系統 (RIS; Radiology Information System) 、不同的診斷儀器及 PACS (Picture Archiving and Communication Systems) 等成為一個資訊迴路，增強資料的完整度與汲取的方便性。 (3) 在 RIS 與 PACS 的環境中，提高資料預先取用的效率。為此，IHE 委員中具有實務經驗的醫師將提供多種中心醫院的臨床劇本，諸如病患掛號轉診、臨床診斷、病歷與影像資料存取、治療過程等實際運作方式，由廠商依據產品功能自由申請參與系統組測的角色，期間藉由系列研討會與階段性組測考驗各廠家的實力，順利通過者方能在 HIMSS 與 RSNA 年會上展示成果，供參與年會代表參觀考查。HIMSS 與 RSNA 六月份已委請美國華盛頓大學的穆爾教授擔任 IHE 技術計畫經理，將報名參加的廠商依功能的不同編為四組 SHE(Simulated Healthcare Enterprise)，事前提供不同角色的模擬軟體，廠商先各自做模擬測試，繳交測試成功的記錄表，約定十月四日至八日在美國芝加哥市進行驗證，通過此驗證後就可在 HIMSS 與 RSNA 年會上依據臨床劇本做整體的動態展示。共有 GE、SIEMENS、PHILIPS、 ACUSON、TOSHIBA 等知名廠商報名參加 IHE 系統組測，包括超音波、數位 X 光、 Film Digitizer、CR、MR、X-ray Angio、NM 等診斷儀器，國內則有中山科學研究院. 19.

(34) 團隊，參加 IHE 的 Image Manager 組測，希望藉此能掌握未來的發展趨勢，開發出能與各醫療診斷器材相容性的產品。同時參與測試的廠商通過測試項後可以針對所通過之項目提供一份 IHE Integration Statement 供參考。. 2.2.1. IHE Profile 的說明. IHE 依賴於參與公開解決方案的所有賣方之間的全面合作與協調。一個由領先的製造商的代表組成的技術委員會開發了在 HIMSS 和 RSNA 進行的 IHE 演示中使用的技術標準。已經證明了該技術標準在 HIS--RIS--PACS 以及各種器械的一體化當中可以得到更有效的使用。整合不同的資訊系統過程中的複雜性決定了需要一種分階段的方式。這就是 IHE 第一階段為期５年的舉行並提供漸進的一體化層次的原因. IHE 中之 Profile 說明 IHE 的重點是已計畫的工作流程一體化情況 ,以營造基本放射醫學資料的連續性和一體性。IHE 技術標準具體規定了大量的 DICOM 和 HL7 處理程式，可以保持病人及指令資訊的連貫性。此外，它還提供了計畫及圖像採集程式的步驟管理. 已計畫的工作流程一體化情況影響著管理病人入院及診斷的醫院範圍的資訊系統、管理部門計畫（例如 RIS）的放射科資訊系統、圖像管理. 存檔（例如 PACS）以及影像儀器.首次的 IHE. 一體化情況是一項重大成就，可以立即使用戶受益。針對 IHE 2003 year 5. (Integrating the Healthcare Enterprise) 的規範整合 RIS、PACS、. HIS 及各檢查機器。在於放射之應用範圍包含以下項目： Scheduled workflow：確保病人資料、醫令、排程、檢查等各種工作流程的順暢一致性。可以知道某一醫令目前執行狀況，是否已經發出報告，臨床醫師是否已經看了結果。每一執行步驟完成會自動通知相關系統與人員。 Patient information reconciliation：未進入排程、尚未掛號或者姓名不詳時，仍然可以執行急診緊急檢查，判讀與報告。等有正確的病人資料後自動更正所有相關的系統資料。. 20.

(35) Consistent presentation of image：保證影像的呈現一致，使用者的註解，影像旋轉調整，放大，灰階設定都能與影像一起保留。無論使用任何的電腦、螢幕、網路連線(soft copy) 或是列印出來(hardcopy)都會得到相同的影像。 Presentation of grouped procedures：為了病人的方便而一次執行的檢查，可以區分為不同的小項目而分別判讀與報告，例如胸部電腦斷層與腹部電腦斷層。 Access to radiology information：影像及報告皆是 DICOM 格式，確保各相關單位能夠讀取。 Key image note：一次檢查所產生的影像中可挑選一至數個重要影像加以註記，此份註記與影像一起保存。註記必須包含標題(加以註解的理由)及內容兩欄，例如各醫師可以記錄是否為教學檔案、與其他科別會診、影像品質說明。臨床醫師查閱時需要主動顯示以及供 PDA 下載巡房之用。可以由註記來搜尋影像。 Simple image and numerical report：具有數位錄音報告，語音辨識等功能。產生符合 DICOM 的結構性報告，報告中包含影像的連結與相關的測量。 Post-processing workflow: schedule, perform, and notify image processing & CAD steps：利用此一流程之規劃可將,輔助診斷系統產生之結果納入醫師診斷及報告之參考 Charge posting: collection of billable procedure details：規劃將計價收費之流程能與檢查結果自動連結,減少相關所需資料誤差與錯誤產生 Basic security: audit trail consolidation & node authentication：提供使用者之相關權限管理與使用者記錄之登載. 21.

(36) 圖.4 2000－2001 年度的 IHE YEAR 3 P ROFILE 連接示意圖. Scheduled Workflow Patient Information Post- Processing Workflow. Admit, order, schedule,. Unknown Reconciliation patients and. Charge Posting. Schedule, perform, & notify image Collection of billable. unscheduled orders. processing & CAD steps. Consistent Presentation of Images. Key Image. Hardcopy and softcopy grayscale. Flag significant images. Simple Image and Numeric. Notes. Reports Simple reports with image links and, optionally, measurements. presentation state. Presentation of Grouped Subset of a single acquisition. Access to Radiology Consistent access to images and reports. Basic Audit Trail Consolidation & Node Authentication. 圖.5 2001－2002 年度的 IHE YEAR 4 PROFILE 連接示意圖. 22.

(37) Scheduled Workflow. Patient Infor mati on Rec oncil iatio n. Charge Po sti. Presentation Post-Processi Reporting of Workflow ng Grouped Workflow Procedure. Consistent Presentati on of. Evidence Key Image Document Notes. Simple Image and Numeric Reports. Access to Radiology Information Basic Security 圖.6 2002－2003 年度的 IHE YEAR 5 P ROFILE 連接示意圖. report. report Registration. Report Repository. report. HIS. Film Diagnostic Lightbox Workstation images retrieved. patient information. PACS Orders Placed. examination orders. RIS. Orders Filled. procedure scheduled Prefetch any relevant prior studies. modality worklist. acquisition acquisition inin completed -progress progress. 圖.7 IHE SWF PROFILE 流程圖. 23. Image Manager & Archive. Acquisition images Modality s t o r e d acquisitio n complete images dprinted Modality. Film Folder. Film.

(38) 2.2.2. IHE 中之－Basic Security Profile 探討. IHE Basic Security Integration Profile 中規範了以下主要項目, (1) User Public Key Infrastructure (2) Single Sign On (3) Biometrics Access Control (4) Smart cards Access Control (5) Digital Signatures 此部分係採用與 HL7 與 DICOM 共通之標準進行制定,並以流程為導向訂定相關之事件流程與角色定義,病童是訂定 HL7 與 DICOM 標準間資料交換格式之共通性,尤其對於系統間時間之同步與權限控管皆提供詳細之說明與做法. Other Other. Other Other. Secured. Secured. Central Audit Trail Repo sitory. Node. Other OtherActors Actors. Other OtherActors Actors Secured. Time S. Secured Node. Node. 圖.8 IHE S ECURITY P ROFILE 架構圖. 24.

(39) 上圖中所表示為其中之相關 Audit 之關聯與系統時間之確認,在 secure node 中如何產生憑證及簽章並於規範中詳細說明. All existing IHE actors need to be grouped with a Secure. Audit Record. Time Server. Repository. Maintain Record. Authenticat Secure Node. e Node. Secure Node. “Any” IHE actor. 圖.9 IHE SECURE NODE ACTOR 關聯圖上圖說明了系統中各角色間扮演之權責與關連性,同時亦描繪出一個系統基本資訊安全所需提供之服務內容. 25.

(40) 圖.10 IHE S ECURITY P ROFILE 資料流程圖. 26.

(41) 上圖說明於各角色間資料交換之時機與所呈現之狀態. 2.3. PKI 公開金鑰基礎建設（Public Key Infrastructure）. PKI 是透過包括由私鑰及公鑰組成的線上安全機制，可確保網路上金流及資訊流的隱密及身分不可否認性。 PKI 建置的目的是要在隱密或公共的環境中提供可信任並且有效率的金鑰及認證管理，其功能包括了對數據加密所得的私密性（Confidentiality），利用電子簽章而產生的不可否認性（non-repudiation）和資料數據一致性（Integrity）的驗明，以及對認證用的金鑰、金鑰持有人、應用程式、認證服務、與進入控制提供驗證。最重要的是，不論公鑰或私鑰皆由幾何方法產生一定的位元長度（如 64、128 bit），以確保不易遭到破解的技術難度。公鑰是經過公正第三者機制（包括政府、銀行、一般法人等）成立憑證中心來認證，私鑰則由交易雙方中，一方向另一方提出要求取得，不得分享第三者。 PKI 利用公私鑰的組合，具有加密及身分認証的功用。在傳送訊息上，寄送者以金鑰加密、收文者以要求來的私鑰解密；而寄送者若要寄送電子簽章，則是以私鑰加密，接收者以公鑰解密。 PKI 屬於非平衡式的加密（即加解密並不使用同一把鑰匙）是目前公認比一般 SSL、和平衡式加密來得有效果。而隨著電子和網路交易的普及，對 PKI 的需求也上升。和 PKI 具類似作用的技術，包括 VPN 及 IP sec (IP security)。. 2.3.1. 電子簽章. 電子簽章的安控措施皆訂定於應用層而非底層的通訊協定，其可提供網路通訊的安全服務如下：. 27.

(42) (1). 訊息隱密性(Confidentiality)：將資料亂碼所使用的隨機亂數金鑰(DES key)及持卡人卡號等重要資料以接收方的 RSA 1024 bits 公開金鑰亂碼保護，再使用此 DES key 以亂碼方式保護其他的交易相關資料；Non-SET 為以 Triple DES 保護用戶的重要資料，亦可以數位信封(Digital Envelope)的亂碼方式保護，訊息不易被竊知。 (2).訊息完整性(Integrity)：於網際網路上傳輸的任何訊息皆以雜湊函數(SHA-1)產生訊息摘要，再以訊息發送者的私密金鑰(Private key)對摘要後的訊息執行數位簽章(Digital Signature)保護，故訊息不會被非法篡改。 (3).身分辨識性(Authentication)：每一參與交易者皆需向公正可信賴的第三者取得合法的交易憑證，以確認其身分，故交易資料不會被冒名傳送。 (4).交易不可否認性(Non-Repudiation)：私密金鑰僅有傳送方才擁有，因此以該私密金鑰對傳送訊息產生的數位簽章，只要留存每筆包含電子簽章的交易紀錄，則交易的收送雙方均不能否認已傳輸的交易。. 2.3.2. 安全機制比較. 表.1. 網路安全機制比較表 1. 2. 3. 項目憑證申請與標準規範 [ISO 9594 – 8, X.509] 資訊的隱密性 (Confidentiality) [ISO 10181 – 5]. 資訊的完整性 (Integrity) [ISO 10181 – 6]. SET 及其他 PKI SSL 無特別的標準規範，只要用有明確且標準的憑證申請架戶端確認伺服器端的憑構及規範，申請者證即可，對申請者文件的身分確認嚴謹之身分確認較不嚴謹有。有。用戶端與伺服器端間點對交易資訊以 DES key 亂碼保點的加密(RC4,RC5,DES, 護，卡片帳號以 RSA 數位信封亂碼保護或 Triple IDEA, Triple DES) DES key 保護有。有。訊息有 Hash MAC 保護訊息有 SHA-1 摘要值加數位簽章保護 (MD5,SHA-1). 28.

(43) 4. 5. 6. 交易來源辨識性 (Authentication) [ISO 10181 – 2] 交易的不可否認性 (Non-Repudiatio n) [ISO 10181 –4] 風險性. 缺少。有。無法針對每一交易內容作來由發送方的交易內容加簽章源辨識來辨識缺少。有。無法針對每一交易內容作來由發送方的交易內容加簽章源辨識來辨識. 較高. 非常低. 政府為推動電子商務之普及及運用，以確保電子交易之安全，目前正積極推行電子簽章法之立法工作。藉建置各領域的電子簽章認證體系，提供網路認證服務，建構安全可信賴的網路交易環境。依 SSL 的安全機制，用戶端與伺服器(Server)間只有在交易前建立連線時才執行身分辨識，傳輸每一筆交易訊息時欠缺不可否認(Non-Repudiation)的辨識性，且交易存證無可靠的安全辨認措施，當有交易糾紛需仲裁時，並無適當的存證訊息可資界定權責的歸屬。雖然 SSL 安全機制的環境較為普遍及較為簡單易行，然而國內、外均曾發生過多次的非法網站盜取用戶的卡號及密碼等重要資訊，進行非法交易甚而威脅恐嚇商家企業之案例；本(八十九)年四月國內發生的網路下單使用 SSL 安全機制，客戶密碼遭不法者盜取後，進行非法交易且惡意違約交割事件，突顯網際網路在便利的原則下使用 SSL，不僅影響企業信譽與收入，亦有擾亂市場秩序之虞。各金融機構於交易過程如採行適當且嚴謹之電子簽章及加密等安控保護措施，不僅可將系統的風險降至最低，更可建立使用者的信心，進而嚴密保護消費者的權益。網際網路的交易迅速確實，以安全機制較差的系統環境進行小額交易而言，雖然逐筆交易時銀行的風險不大，但駭客等不法者仍有機會運用網路及電腦的技術，在極短時間之內累積完成大量金額之不法交易，仍會造成銀行及整體市場之巨大損失。. 29.

(44) 美國等歐美先進國家均已通過電子簽章法，正式賦予電子簽章與電子文件的法律效力，也建立人們對電子交易環境的信賴將加速電子商務的發展。我國的電子簽章法已公告實施，以電子簽章辨識身分、確認交易內容、確定各方權責已是網路交易之法律架構。如同傳統交易均採簽名蓋章以確定每筆交易之權責關係一樣，網路銀行等網路金融交易以電子簽章執行每筆交易的身分辨識應是未來之趨勢，利用網際網路進行電子商務已成時勢潮流，此時國內如推動 SSL 機制，將改變國內共同推動「電子簽章」安控機制的決心. 2.3.3. 公開金鑰的定義. 隨著網路資訊的腳步愈來愈快，建立安全及可信賴的電子認證機制，確保資訊在網路傳輸及儲存過程中之安全性，是電子交易能否普及應用的關鍵。在電子商務逐步改變經濟體系及商業模式的同時，網路安全問題成為最大隱憂。公開金鑰基礎建設（Public Key Infrastructure，PKI）是電子認證的最基本架構，而這項基本架構正是擴展全球電子商務市場及電子化政府服務的根本要素。鑑於資訊系統安全的重要性，歐、美等先進國家早已積極投入在安全技術的研究上，並廣泛地在推廣及使用。何謂 PKI？. 圖.11公開金鑰示意圖. 30.

(45) 公開金鑰基礎建設（Public Key Infrastructure，PKI）是以公開金鑰密碼學為基礎而衍生的架構，在電子訊息傳遞與交換過程中，PKI 是唯一可以符合下列五項數位安全要求的機制：身分認證（Authentication）、不可否認性（Non Repudiation）、資料完整性（Integrity）、資料機密性（Private）及存取控制，為了符合這些安全需求， PKI 是一項非常有效的工具，提供在 Intranet、Extranet 及 Internet 網路環境間交換資訊的信任基礎。PKI 包含了一支公開金鑰（Public Key）與一支私密金鑰（Private Key）；前者公諸於大眾，而後者由使用者獨自持有保管。這一對金鑰是具相對應關係的數位密碼，其中一把對訊息進行「加密」後，進行訊息傳輸，使傳輸過程中訊息不會落入他人之手而遭到破解或修改；另一支金鑰則作為「解密」用途，以獲得原始訊息內容。 PKI 應用系統至少應具有以下部分： (1) 公開金鑰（Public Key）的密碼認證管理。 (2) 黑名單的發布和管理。 (3) 私密金鑰（Private Key）的備份和恢復。 (4) 自動更新私密金鑰。 (5) 自動管理歷史私密金鑰。 (6) 支持交叉認證。 PKI 架構中包含了憑證機構（Certificate Authority， CA）、註冊中心（Register Authority， RA）、目錄服務（Directory Service， DS）伺服器、身份認證 (Authentication) 伺服器或認證模組等等。其運作流程，簡單敘述如下： (1) 由 RA（註冊中心）統籌、審核使用者的「憑證」申請。 (2) 將「憑證」申請送至 CA（憑證機構）處理。 (3) 由 CA（憑證機構）發出憑證，並將發出憑證資訊公告於 DS（目錄服務）。. 31.

(46) 「憑證」就像是個人護照，代表申請使用者的電子身分辨別證件，其內容包括了憑證序號、使用者名稱、公開金鑰以及有效期限等資訊。. 圖.12 ＲＡ及 CA 組成架構（台灣網路認證）而負責 PKI 相關標準的制訂，就是「PKI 論壇（PKI Forum），網址 http://www.pkiforum.org/」了。PKI 論壇（PKI Forum）是一個在 1999 年 12 月成立的國際性非營利廠商與使用者聯盟，其目的是要加速以標準為基礎，且具互通性之 PKI 的應用。PKI Forum 向來致力於產業的合作（multi- vender interoperability）、市場推廣（market awareness）、技術中立的環境、強化 PKI 對客戶與商業夥伴的價值、增進客戶與軟體供應商（ISVs，Independent Software Vendors）在應用上的信心，來讓各種組織都能了解與利用 PKI 在電子商業應用中的價值。由於 PKI 基礎設施是目前比較成熟、完善的 Internet 網絡安全解決方案，國外的一些大的網絡安全公司紛紛推出一系列 PKI 相關的網路安全產品，例如：美國的 Verisign、 IBM；加拿大的 Entrust、SUN 等安全產品供應商為用戶提供了一系列的客戶端（Clients）和伺服器端（Server）的安全產品，為電子商務的發展、EDI 以及企業內部 Intranet 等提供了安全保証。. 32.

(47) 我國在 2001 年十一月十四日公布之「電子簽章法」裡面，也規範了 PKI（公開金鑰）架構，以 DES、RSA 及 SHA 之技術進行資料加解密，以保障傳輸過程中資料之安全性，並藉數位簽章之使用，達到雙方事後的不可否認性。簡言之，PKI 公開金鑰基礎設施就是「提供公開金鑰加密和電子數位簽章服務的系統，目的是為了管理私密金鑰和認證，保證網路上資料傳輸的機密性、真實性、完整性和不可否認性」。只要對「資料身份識別」、「交易資料完整」、「交易不可否認」或「保密」等其中之一有所需求，就可以使用 PKI。 PKI 與資料加密/解密 PKI 採用的加密與解密的技術，大致上是利用 Key 值來跟原本的資料進行運算（加密），再利用他 Key 來解開，還原成原始的資料。根據中央研究院計算中心曾士熊先生的說法：實用上 Key 越長越好，如果 Key 夠長的話，電腦甚至要花上數年的時間才能破解密碼。不論多長，只要有 Key，電腦就能輕易做好加密和解密的工作。公開金匙密碼系統是在 1976 年由史丹佛大學 Diffie 和 Hellnam 兩位學者提出的，其保密度觀念是建立於某些數學難題上，保密度當然遠比傳統式密碼系統為佳。在傳統式密碼系統的使用上，每兩個互相通訊的使用者就必須有一組共用的金匙，當使用者增加時，就會因為金匙的快速增加而造成金匙分配問題。而公開金匙密碼系統的每個使用者都只需擁有一組金匙即可系統上其他使用者進行祕密通訊，這組金匙包括加密用的公開金匙（public key）以及解密用的（secret key）。因此，公開金匙密碼系統的最大特色就是能將加密用的金匙公開給密碼系統上所用的使用者得知。由於在公開金匙密碼系統中，其加密金匙是公開給系統上其他使用者的，因此破密者所能掌握的資訊也相對地比起傳統式密碼系統為多，所以學者們應用許多的數學理論來設計此密碼系統，使其在保密度的分析比較上，更勝傳統式密碼系統一籌。. 33.

(48) 圖.13 數位簽章流程示意圖 RSA 公開金匙密碼系統是在 1978 年由美國麻省理工學院三教授 Rivest、Shamir 及 Adleman 首先提出一種基於分解因數的指數函數為基礎的一套密碼系統，其功能大致可分為以下幾個： Ⅰ、金匙的產生：在 RSA 密碼系統中，每位使用者的金匙，可依下列敘述獲得： A. 隨機找出兩個夠大的質數 p、q。 B. 計算 n，n 為 p、q 之乘積。 C. 隨機找出一個滿足 gcd ( e , F(n) ) = 1 之整數 e，在此 F(n)為尤立商數，表示比 n 小且和 n 互質之整數個數，當 n = pq 時，F(n)之值為( p - 1 )( q - 1 )。 D. 計算 d，d 滿足 ed = 1 (mod F (n)) 。 E. 以 e、n 為公開金匙，d 為祕密金匙。 Ⅱ、加密與解密： A. 欲將一明文 M 加密成為密文 C 須取得其公開金匙 e、n，其步驟如下：. 34.

(49) C = E ( M ) = M e ( mod n )，0 ≦ M < n B. 欲將一密文 C 解密成為明文 M 須取得其祕密金匙 d，其步驟如下： M = D ( C ) = C d ( mod n )，0 ≦ C < n 除了方法簡單、保密性高之外，這項加密技術還有另一項優點：不論是文字、語音或圖像，只要數位化之後都變成字元串，都能加密。被廣泛使用的 DES(Data Encryption Standard)就是以這種技術為基礎所發展出來的。DES 雖然好用，卻有個嚴重缺點：加密和解密都使用相同的 Key。換句話說，當我們把加密文件的電子檔傳送給收件人時，必須同時給對方 Key，否則無法解密。如何安全無虞的把 Key 送交對方，於是成為 DES 的一大難題。 1976 年，Diffie 和 Hellman 提出公開金鑰加密系統(Public Key Cryptosystems)的構想：讓文件加密和解密用的 Key 變的不同，一舉解決了多年來 Key 保管與傳送的難題。PK 加密系統需要兩個經過特別計算所得出的字元串，稱為公開金鑰和私密金鑰。資料經過公開金鑰加密之後，必須用私密金鑰才能解密，反之亦然。1978 年，Rivest、Shamir 和 Adleman 共同發表了第一個實現 PK 加密系統的數學方程式，稱為 RSA 密碼。中央研究院的 PKI 的 Key 長度共有 512bit、1024bit、2048bit 等，可由使用者自選，較美國政府限制 PK 軟體出口的 512bit 更具保密性。. 圖.14 PKI 加解密流程示意圖. 35.

(50) PK（金鑰加密系統，Public Key Cryptosystems）的作用包括「資料保密」和「身份認證」兩方面。當你需要寄送加密檔案給某人（假設為 A 君）時，需先向 PK 伺服器查詢 A 君的公開金鑰，再以取得的公開金鑰進行資料加密。由於檔案是用 A 君的公開金鑰加密的，因此只有 A 君的私密金鑰才能解密。只要 A 君妥善保管好自己的私密金鑰，就能確保檔案的隱密性。至於身份確認方面，你需要事先透過適當的安全管道把代表自己身份的電子簽章檔送給 A 君，電子簽章檔可以是文字檔或簽名、印章的影像檔。當你把利用 A 君公開金鑰加密的資料檔 Email 給對方時，可以附加上利用自己私密金鑰加密的電子簽章檔。 A 君收到你寄送去的資料檔和電子簽章檔之後，可以使用他自己的私密金鑰對資料檔解密，同時向 PK 伺服器查詢你的公開金鑰，再利用取得的公開金鑰對電子簽章檔解密。比對解密後的電子簽章檔和你事先交付的電子簽章檔無誤之後，A 君就能確認資料檔確實是你寄送給他的。PK 登記手續只需辦理一次，之後就可以透過網路隨時更換寄存在 PK 伺服器裡的公開金鑰。使用者只要勤於更換公開金鑰和私密金鑰，甚至每一對公開金鑰和私密金鑰只用一次，用過即換，即可保障通訊內容安全無虞。. 36.

(51) 圖.15 ＤＥＳ簽驗章作業流程（台灣網路認證） PK 加密機制可說是有史以來最安全可靠的資料加密技術，其重要性與需求必將隨著網路的發展而日增。未來的發展趨勢將是由各業務主管機構（例如金融資訊中心、證券交易中心、網路主管機構等）各自依業務需求設置 PK 伺服器，並透過協議簽約彼此提供公開金鑰查詢服務。. 2.3.4. 我國在 PKI 的應用層面. 根據資策會 MIC 的報告，PKI 在國內的應用層面如下：（一）政府面行政院為了提昇行政效率及加強便民服務，於 1997 年 9 月開始推動電子化/網路化政府計畫，並在「電子認證機制子計畫」中致力於 PKI 的實現，做為電子化/網路化社會. 37.

(52) 安全的基礎。為配合政府落實電子化網路化政府計畫，行政院研究發展考核委員會便於 1997 年委託中華電信建設政府憑證管理中心（Government Certification Authority，簡稱 GCA），並於 1998 年開始提供相關應用如所得稅網路報稅、交通部公路監理系統、全國行政院一級單位公文電子化、中華電信行動電話通話明細申請等業務。 (二)金融面 1.網路銀行目前財政部對銀行辦理網路銀行業務之立場乃採逐案報審原則，審核基礎以 1998 年 5 月頒佈的「金融機構辦理電子銀行業務安全控管作業基準」及 1999 年 5 月「個人電腦銀行業務及網路銀行業務服務契約範本」，作為銀行辦理該項業務之最低安全標準及保障消費者權益，策略上完全開放電子銀行業務，但在「金融機構辦理電子銀行業務安全控管作業基準」中對金融機構專屬網路、加值網路、網際網路等三種傳輸途徑，在電子轉帳及交易指示類對交易訊息相關安全需求規範相當嚴謹。 2.網路券商以往許多券商所採用的電子交易機制多為 SSL 加密技術，只能確保傳輸過程中資料不會外洩，但卻無法保證執行指令的人是否為合法的使用者本人；為保障民眾網路下單交易的安全，台灣證券交易所在 2000 年 8 月大幅修正營業細則中有關網路交易的項目，不僅增加要求記錄委託下單者的「數位簽章」，更要求該「數位簽章」應由認證機構所簽發。（三）醫療產業應用案例一：臺北醫學大學附設醫院 -以跨領域 PKI 為基礎之社區健康自主管理代理人系統本計畫延續第一年 PKI 計畫中院內 HCA 之醫療人員及醫事機構憑證應用，並加入 MOICA 及自然人憑證，整合不同 API 成為單一介面，運用多種憑證整合及跨領域簽. 38.