CNS 14176-15-2007 Digital imaging communications in medicine (DICOM) - Part 15 Security profiles《医学数字影像及通信-第15部:安全规范》.pdf
《CNS 14176-15-2007 Digital imaging communications in medicine (DICOM) - Part 15 Security profiles《医学数字影像及通信-第15部:安全规范》.pdf》由会员分享,可在线阅读,更多相关《CNS 14176-15-2007 Digital imaging communications in medicine (DICOM) - Part 15 Security profiles《医学数字影像及通信-第15部:安全规范》.pdf(21页珍藏版)》请在麦多课文档分享上搜索。
1、1 印月968月 本標準非經本局同意得翻印 中華民國國家標準 CNS 總號 號 ICS 35.240.01 X6022-1514176-15 經濟部標準檢驗局印 公布日期 修訂公布日期 968月21日 月日 (共21頁)醫學數位影像及通信 第 15 部:安全規範 Digital imaging and communications in medicine (DICOM) Part 15: Security profile 目錄 節次 頁次 1. 適用範圍 . 2 2. 引用標準 . 2 3. 用語釋義 . 3 3.1 參考模型定義 3 3.2 參考模型安全架構定義 . 3 3.3 ACSE 服
2、務定義 4 3.4 安全定義 . 4 3.5 DICOM 簡介及概述定義 . 4 3.6 DICOM 符合性定義 4 3.7 DICOM 資訊物件定義 4 3.8 DICOM 服務類別定義 4 3.9 DICOM 通信支援定義 4 3.10 DICOM 安全剖繪定義 . 4 4. 符號與縮寫 5 5. 規約 6 6. 安全剖繪概要 6 6.1 安全使用剖繪 6 6.2 安全傳送連結剖繪 . 6 6.3 數位簽章剖繪 6 6.4 媒體儲存安全剖繪 . 7 附錄 A 安全使用剖繪 . 8 附錄 B 安全傳送連結剖繪 .11 附錄 C 數位簽章剖繪 13 附錄 D 媒體儲存安全剖繪 .15 附錄 E
3、 屬性機密性剖繪 .16 【英中名詞對照表】 .21 2 CNS 14176-15, X 6022-15 1. 適用範圍 本標準旨在規範安全剖繪,使其實作可宣稱符合性。 對於任何層級之安全而言,嚴守適當之安全政策是必要的,但本標準並未涉及安全政策之議題。本標準僅提供可用於 DICOM 物件在應用個體之間交換時,實作安全政策之機制。例如,安全政策可規範某層級之存取控制,本標準並不考慮存取控制政策,但提供可使應用個體交換充足資訊之技術方法,以建立存取控制政策。 本標準認為涉及 DICOM 交換中之應用個體需建立合適的安全政策,包括 (但不限於 )存取控制、稽核存底、實體保護、維持資料之機密性及完整
4、性、以及識別使用者及其對存取資料權限之機制。基本上,每一應用個體在欲與其他之應用個體進行安全通信前須確認本身所處環境是安全的。 當應用個體經過結合協商同意藉由 DICOM 來互換資訊時,基本上是同意對其他之應用個體間有某些層級上的信任。應用個體要信任其通信夥伴會維持資料之機密性和完整性。該信任層級是由當地之安全與存取控制政策來決定。 應用個體可能不信任與其他應用個體通信時之通信通道。因此,本標準對應用個體提供一些機制來安全地鑑別彼此身分,偵測所交換訊息是否被竄改或置換,及保護經過通信通道之訊息的機密性。應用個體可視其對通信通道之信任層級,任意選用這些機制。 本標準認為應用個體能安全地識別此應用
5、個體之本地使用者及其使用者的角色或授權。使用者可以是個人或是抽象個體;例如,組織單位或儀器設備。當應用個體同意透過 DICOM 作資訊交換時,他們也可能在所建立之安全通道中,透過憑證來交換應用個體使用者之資訊。之後,應用個體可以依據包含在憑證內之使用者資訊 (不論是本地或遠端 )來制定執行存取控制政策或產生稽核存底。 本標準也認為應用個體有方法決定這些資訊之所有者 (如:病人、機構 )是否已授權特定使用者或某類使用者來存取資訊。本標準進一步認為,應用個體所提供之存取控制已考慮到此類授權。目前本標準不考慮通信個體之間如何溝通此類授權,雖然未來也許會考慮此一課題。 本標準也認為使用 TLS 之應用
6、個體可以安全存取或獲得應用個體使用者之 X.509 金鑰憑證。此外,本標準也認為應用個體具備驗證所收到之 X 509 憑證能力。確認機制可使用當地之管理機構、認證機構或具公信力之第三方。 本標準認為使用 ISCL 之應用個體可使用適當之金鑰管理及配送系統 (如:智慧卡 )。此類金鑰管理及配送系統不屬於 DICOM 範圍,雖然在某些使用場合,它們也屬於安全政策的一部分。 2. 引用標準 CNS 13204 資訊處理系統開放系統互連基本參考模式 CNS 13397 資訊處理系統開放系統互連基本參考模型(免接模式傳輸) CNS 13858 資訊處理系統開放系統互連結合控制服務元件協定 CNS 141
7、05-3 資訊技術安全技術雜湊函數第 3 部:專屬雜湊函數 CNS 14176-1 醫學數位影像及通信第 1 部:簡介與概述 3 CNS 14176-15, X 6022-15 CNS 14176-2 醫學數位影像及通信第 2 部:符合性 CNS 14176-3 醫學數位影像及通信第 3 部:資訊物件定義 CNS 14176-4 醫學數位影像及通信第 4 部:服務類別規格 CNS 14176-8 醫學數位影像及通信第 8 部:訊息交換之網路通信支援 ANSI X9.52 American National Standards Institute. ANSI X9.52-1998, Triple
8、 data encryption algorithm modes of operation. 1998. ECMA 235 The ECMA GSS-API mechanism FIPS PUB 46 Data encryption standard FIPS PUB 81 DES modes of operation IETF internet X.509 public key infrastructure: Time stamp protocols; march 2000 ISO/IEC directives(1989) Part 3 Drafting and presentation o
9、f international standardscontrol service element integrated secure communication layer V1.00 MEDIS-DC ISO/IEC 9798-2 Information technology security techniques entity authentication Part 2: Mechanisms using symmetric encipherment algorithms. ITU-T Rec.X.509(03/00) Information technology Open systems
10、 Interconnection The directory: Public key and attribute certificate frameworks. RFC 2246 Transport tayer security (TLS) 1.0 Internet Engineering Task Force Note: TLS is derived from SSL 3.0, and is largely compatible with it. RFC-2313 PKCS #1 RSA Encryption, Version 1.5, March 1998. RFC 2437 PKCS #
11、1 RSA Cryptography Specifications Version 2.0 3. 用語釋義 下列定義適用於本標準: 3.1 參考模型定義 本標準引用下列定義於 CNS 13397 系列標準之用語: (a) 應用個體 (application entity) (b) 協定資料單元 (protocol data unit)或層協定資料單元 (layer protocol data unit) (c) 傳送連結 (transport connection) 3.2 參考模型安全架構定義 本標準引用下列定義於 CNS 13397 系列標準之用語: (a) 資料機密性 (data con
12、fidentiality) 備考:此定義為資訊不被未經授權之個人、個體或處理利用或揭露之性質。 (b) 資料起源鑑別 (data origin authentication) 備考:此定義為確認所接收到之資料來源是與所宣稱一致。 (c) 資料完整性 (data integrity) 備考:此定義為資料未經非授權方式改變或破壞之性質。 (d) 金鑰管理 (key management) 備考: 此定義為金鑰之產生、儲存、配送、刪除、歸檔及應用與安全政 策符合。 (e) 數位簽章 (digital signature) 4 CNS 14176-15, X 6022-15 備考: 此定義為一附加於資
13、料單元之資料或加密轉換,以使接收者能驗證資料單元之來源及完整性,並防止 (接收者 )偽造。 3.3 ACSE 服務定義 本標準引用下列定義於 CNS 13858 之用語: (a) 結合或應用結合 (association or application association) 3.4 安全定義 本標準引用下列定義於 ECMA 235 之用語: (a) 安全上下文 (security context) 備考: 此定義用來表示在啟始者或 接受者已形成安全結合或正試圖形成此安全結合時,所表現或將表現之安全資訊。 3.5 DICOM 簡介及概述定義 本標準引用下列定義於 CNS 14176-1 之用語
14、: (a) 屬性 (attribute) 3.6 DICOM 符合性定義 本標準引用下列定義於 CNS 14176-2 之用語: (a) 安全剖繪 (security profile) 3.7 DICOM 資訊物件定義 本標準引用下列定義於 CNS14176-3 之用語: (a) 模組 (module) 3.8 DICOM 服務類別定義 本標準引用下列定義於 CNS 14176-4 之用語: (a) 服務類別 (service Class) (b) 服務物件對 (SOP)實例 (service-object pair (SOP) instance) 3.9 DICOM 通信支援定義 本標準引用
15、定義於 CNS 14176-8 之用語: (a) DICOM 上層 (DICOM upper layer) 3.10 DICOM 安全剖繪定義 下列定義通用於本標準: (a) 安全傳送連結 (secure transport connection):提供某種層級之保護以防止竄改、竊聽及偽造之傳送連結。 (b) 訊息鑑別碼 (message authentication code):衍生自資料元件子集之摘要或雜湊碼。 (c) 憑證 (certificate):用以識別某方及該方使用公開加密演算法、參 數及金鑰之電子文件。此外,此憑證尚包括發出憑證個體 之身份識別及數位簽章。憑證之內容及格式由國際
16、電信聯盟電信標準化小組 (ITU-T) X.509 所定義。 5 CNS 14176-15, X 6022-15 4. 符號與縮寫 下列符號與縮寫適用於本標準: ACR 美國放射醫學會 (American College of Radiology ) AE 應用個體 (application entity) ANSI 美國國家標準局 (American National Standards Institute) CEN TC251 歐洲標準委員會 -251技術委員會 -醫療資訊學 (Comite European de Normalisation-Technical Committee 251
17、 Medical Informatics) CBC 密文區段鏈接 (cipher block chaining) CCIR 國際無線電諮詢委員會 (Consultative Committee,International Radio) DES 資料加密標準 (data encryption standard) DICOM 醫學數位影像及通信 (Digital Imaging and Communications in Medicine ) ECMA 歐洲電腦製造業協會 (European Computer Manufacturers Association) EDE 加密 -解密 -加密 (e
18、ncrypt-decrypt-encrypt) HL7 健康資訊交換第七層協定 (Health Level 7) IEEE 美國電機電子工程師協會 (Institute of Electrical and Electronics Engineers) IEC 國際電工委員會 (International Electrical Commission) IOD 資訊物件定義 (information object definition) ISCL 整合安全通信層 (integrated secure communication layer) ISO 國際標準組織 (International Or
19、ganization for Standardization) JIRA 日本放射儀器 工業協會 (Japan Industries association of RAdiation system) MAC 訊息鑑別碼 (message authentication code) MD-5 訊息摘要演算法 5(message digest 5) MEDIS-DC 醫學資訊系統發展中心 (medical information system development Center) NEMA 美國電機製造業協會 (National Electrical Manufacturers Associati
20、on) PDU 協定資料單元 (protocol data unit) RSA RSA加密演算法 (rivest, shamir, adleman) SCP 服務類別提供者 (service class provider) SCU 服務類別使用者 (service class user) SHA 安全雜湊演算法 (secure hash algorithm) SOP 服務物件對 (service-object pair) SSL 安全通道層 (secure sockets layer) TLS 傳送層安全 (transport layer security) UID 唯一識別符 (unique
21、 identifier) 6 CNS 14176-15, X 6022-15 5. 規約 在本標準中,如有使用到第 3 節所定義之用語縮寫,皆以英文大寫表示。 6. 安全剖繪概要 一實作可對個別之安全剖繪宣稱符合性,亦可宣稱對多個安全剖繪之符合性。在其符合性聲明中,應指出對任一交易所選擇使用之剖繪。 6.1 安全使用剖繪 可宣稱一或多個安全使用剖繪 符合性之實作。這些剖繪以特定形式概述屬性及其他安全剖繪的使用。 安全使用剖繪,規範於附錄 A 中。 6.2 安全傳送連結剖繪 可宣稱對一或多個安全傳送連結剖繪符合性之實作。 安全傳送連結剖繪包含下列資訊: 6.2.1 協定框架及協商機制之描述 6.
22、2.2 實作應支援個體鑑別之描述 (1) 用來鑑別之個體的識別 (2) 用來鑑別個體之機制 (3) 支援稽核紀錄之特別注意事項 6.2.3 實作應支援加密機制之描述 (1) 配送交談金鑰之方法 (2) 加密協定及相關參數 6.2.4 實作應支援完整性核對機制之描述 安全傳送連結剖繪,規範於附錄 B 中。 6.3 數位簽章剖繪 可宣稱對一或多個數位簽章剖繪符合性之實作。 數位簽章剖繪包含下列資訊: 6.3.1 數位簽章所扮演之角色,包括: (1) 數位簽章表示之個人或個體。 (2) 數位簽章目的之描述。 (3) 數位簽章被包含在資料集內之條件。 6.3.2 應被包含於數位簽章內之屬性的表列。 6
23、.3.3 產生或驗證數位簽章應使用之機制,包括: (1) 應被用來產生訊息鑑別碼 (MAC)或雜湊碼使用之演算法及相關參數,包括用於 MAC 演算法 (0400,0015)屬性之值。 (2) 應被用來對 MAC 或雜湊碼加密,以產生於數位簽章使用之加密演算法及相關參數。 (3) 使用之憑證型式或金鑰配送機制,包括用於憑證型式 (0400,0110)屬性之值。 (4) 任何已驗證時戳型式 (0400,0305)及已驗證時戳 (0400,0310)屬性之要求。 7 CNS 14176-15, X 6022-15 6.3.4 為能識別簽署人之任何特別要求。 6.3.5 與其他數位簽章之關係 (若有此
24、關係 )。 6.3.6 需用來產生、驗證或詮釋數位簽章之任何其他因素。 數位簽章剖繪,規範於附錄 C 中。 6.4 媒體儲存安全剖繪 可宣稱對一或多個媒體儲存應用剖 繪符合性之實作,而此媒體儲存應用剖繪須對一或多個媒體儲存安全剖繪之符合性。 備考: 實作若未對媒體儲存應用剖繪宣稱符合性,則不能宣稱對媒體儲存安全剖繪之符合性。 媒體儲存安全剖繪,包含下列規定: 6.4.1 剖繪所定位之安全觀點。 6.4.2 對被安全保存之 DICOM 檔案型式的限制 (若有此情形 )。 6.4.3 如何囊封及安全保存 DICOM 檔案。 媒體儲存安全剖繪,規範於附錄 D 中。 相對應國際標準: NEMA PS3
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
10000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CNS14176152007DIGITALIMAGINGCOMMUNICATIONSINMEDICINEDICOMPART15SECURITYPROFILES 医学 数字影像 通信 15 安全 规范 PDF

链接地址:http://www.mydoc123.com/p-633836.html