FHIR AAA requirements

# FHIR AAA requirements ## 規範主要內容 - Authentication(認證)、Authorization(授權)、Accounting(紀錄及稽核) -- 以此安全管控標準化之健康醫療紀錄與 APIs -- AAA 也需標準規範，以利跨系統整合應用 -- IoMT 需再加入 Alert management(病人端異常警告)、Realibility(可靠性) ## Ref. - https://www.fortinet.com/resources/cyberglossary/aaa-security ## FHIR AAA 標準化規格分析 - 規範須可用於單一 FHIR server RESTful API 及標準化跨系統整合架構 XDS on FHIR、[Patient portal](https://hackmd.io/3-YA4NIlSduzirHccnIq6A?view) 要求 - [Authentication]( https://hackmd.io/vWNog-7VSEuogbZ5rlkAYA?both) -- 認證網頁、APP、物聯網裝置連結 FHIR 伺服器 -- 參考 oAuth，但 token 需有標準規格 - [Authorization](https://hackmd.io/HogE6vz0SJSLi_4KBN6-og) -- [基於 IHE IUA](https://wiki.ihe.net/index.php/Internet_User_Authorization) --- 參考 oAuth，但 token 需有標準規格 --- 授權伺服器核發 token，FHIR 儲存庫依據 token 決定可否存取資料 - Accounting(紀錄,付費,及稽核) 各式情境所需 Auditing, Billing, and Accounting. ## Realibility - 除了 client server 系統本身可靠性，亦須考慮: 1. 網路主幹有問題之替代方案 2. 大量使用者時分散上傳機制 ## 搭配 XDS on FHIR - [Patient portal](https://hackmd.io/3-YA4NIlSduzirHccnIq6A?view) -- 人員、組織、裝置的註冊及管理 - 人員、組織、裝置憑證管理 --- 用於雙向 SSL、文件簽章、簽認 JWT token... -- 授權管理 # 參考 - https://en.wikipedia.org/wiki/AAA_(computer_security) - XDS on FHIR -- https://www.devdays.com/wp-content/uploads/2019/03/DD18-EU-Gregorio-Canal-XDS-on-FHIR-DevDays-2018-11-14.pdf - IHE Alert management -- https://wiki.ihe.net/index.php/Mobile_Alert_Communication_Management(mACM) - IBM FHIR Server vs. HAPI-JPA https://www.ibm.com/blogs/watson-health/ibm-fhir-server-vs-hapi-jpa/