何建明 梁源

【摘 要】隨著移動互聯(lián)網(wǎng)的發(fā)展，移動技術越來越多地在各個業(yè)務系統(tǒng)中得到廣泛使用。在醫(yī)療領域，結合實際業(yè)務場景衍生了移動查房系統(tǒng)，醫(yī)院護士使用手持移動終端設備進行查房，查閱相關記錄，極大地提高了工作效率。但是，在應用移動化電子查房系統(tǒng)的同時，也產生了安全性和合規(guī)性問題，例如護士登錄查房/護理系統(tǒng)時的強身份認證，查房記錄的電子簽名等。文章介紹的應用方案基于PKI體系，使用數(shù)字證書技術，由CA認證機構給查房護士簽發(fā)數(shù)字證書，標識護士的身份，實現(xiàn)系統(tǒng)登錄的強身份認證和移動查房/護理的責任落實。

【關鍵詞】醫(yī)療移動查房系統(tǒng)；移動數(shù)字證書；PKI

【中圖分類號】TN925.93；TP399-C8 【文獻標識碼】A 【文章編號】1674-0688（2017）05-0097-04

1 背景與需求描述

目前，不少醫(yī)院給護士發(fā)放了專用移動終端（Android系統(tǒng)手機）用于移動查房和護理，移動查房和護理形成的電子化歸檔數(shù)據(jù)代替紙質單據(jù)，不僅可以節(jié)約成本，還可提高工作效率、節(jié)省工作時間。但是，在應用移動化電子查房系統(tǒng)的同時，也產生了安全性和合規(guī)性問題，具體如下。

1.1 護士登錄查房/護理系統(tǒng)時的強身份認證

需要給護士發(fā)放強身份認證憑證，實現(xiàn)訪問系統(tǒng)的強身份認證，防止護士身份被盜取和系統(tǒng)被非授權訪問。

1.2 查房/護理記錄電子簽名

針對護士在移動端提交的電子查房/護理記錄實現(xiàn)電子簽名和時間戳簽名，電子簽名等同于手寫簽名，既可以防止電子查房/護理記錄上傳時被篡改，又可以落實記錄上傳者的責任。

2 設計思路

解決護士強身份認證和責任落實的問題依然需要基于PKI體系使用數(shù)字證書技術，由CA認證機構給查房護士簽發(fā)數(shù)字證書，標識護士的身份，實現(xiàn)系統(tǒng)登錄的強身份認證和移動查房、護理的責任落實。

在數(shù)字證書載體方面，現(xiàn)有的USBKEY無法與已經(jīng)發(fā)放的Android移動終端相兼容，采用CA認證機構的移動數(shù)字證書產品，以查房移動終端為證書載體，通過產品核心技術保證證書密鑰的安全，從安全、易用、兼容等角度作為一種移動數(shù)字證書的優(yōu)選方案。

3 解決方案

3.1 方案目標

本方案是基于成熟的PKI/CA公鑰密碼技術并使用CA認證機構的移動證書產品的移動數(shù)字證書解決方案。方案能實現(xiàn)以下目標。

3.1.1 護士的移動端數(shù)字證書通過移動證書快速下發(fā)

移動查房/護理護士開通移動證書，通過移動證書獲得由CA認證機構簽發(fā)的用戶實名身份證書，并以查房專用移動終端為安全的載體保護用戶密鑰與證書。護士的實名身份證書是實現(xiàn)信息完整性、身份真實性的技術基礎。

3.1.2 護士登錄移動查房/護理系統(tǒng)通過移動證書實現(xiàn)強身份認證

護士登錄移動查房/護理系統(tǒng)時，以移動證書代替?zhèn)鹘y(tǒng)的賬號+口令，實現(xiàn)登錄者的強身份認證。

3.1.3 護士上傳的查房/護理記錄通過移動證書做電子簽名

護士在移動終端編輯的查房/護理記錄通過移動證書進行電子簽名，保證上傳的記錄的完整性和操作人責任的落實。

3.1.4 移動護理終端掃碼實現(xiàn)對PC業(yè)務的電子簽名

護士使用移動查房終端掃描PC端的二維碼調用移動證書實現(xiàn)對PC業(yè)務的電子簽名與認證。

3.2 方案整體架構

方案的整體架構如圖1所示。

（1）移動證書SDK：由業(yè)務APP集成，作為安全的軟件載體代替硬件保護用戶密鑰和證書的安全，移動證書SDK給業(yè)務APP提供本地調用的接口開放密碼運算和證書服務能力。

（2）移動證書應用前置：部署在醫(yī)院的內部網(wǎng)絡，包含簽名驗簽服務器、時間戳服務器，應用前置主要提供簽名驗簽和時間戳的功能。

（3）移動證書云平臺：由CA認證機構運營，實現(xiàn)移動數(shù)字證書的安全下發(fā)及移動證書SDK的管理。

（4）CA認證機構簽發(fā)系統(tǒng)：簽發(fā)有社會公信力的實名身份證書，醫(yī)院的USBKEY證書和移動證書都由此系統(tǒng)簽發(fā)。

3.3 業(yè)務流程

3.3.1 移動證書申請

3.3.1.1 移動證書申請步驟

（1）院方通過信息錄入門戶將護士的身份信息（包括但不限于工號、身份證、手機號）錄入系統(tǒng)中。

（2）院方管理人員通過業(yè)務受理門戶審核業(yè)務請求信息。

（3）審核通過后允許請求發(fā)送到移動證書云平臺完成預注冊。

（4）護士在移動終端按照提示激活移動證書安裝數(shù)字證書。

申請移動證書的具體流程如圖2所示。

3.3.1.2 關鍵點說明

（1）護士的證書申請材料由院方在管理門戶錄入，錄入一次即可，在移動證書云平臺預注冊時生成10組（數(shù)目可調，此數(shù)目代表了一位護士可以同時在多少移動終端上申請證書）激活碼，護士在不同終端上激活移動證書使用一組激活碼，這樣實現(xiàn)了對于每一位護士一次申請多次發(fā)證。

（2）院方錄入材料中包含護士本人的手機號碼，護士激活移動證書時通過短信將激活碼發(fā)送到護士自己的手機上，護士再輸入到移動終端中，克服了移動終端無短信功能的現(xiàn)實問題。

（3）醫(yī)院信息化系統(tǒng)存儲“護士—終端—證書”三者的綁定關系，這樣在后臺只有通過護士+終端2個篩選條件才能精確定位一張證書。移動終端編號也會簽到證書擴展項中，這樣能適應CA為一個人簽發(fā)多張證書的場景。

（4）證書申請數(shù)據(jù)通過醫(yī)院外網(wǎng)出口和移動證書平臺對接，做防火墻策略保證內網(wǎng)安全。

3.3.2 移動證書更新

移動證書一般簽發(fā)一年的有效期，快到期或者已到期時，移動終端會提醒護士進行更新。

3.3.2.1 證書更新步驟

（1）護士登錄查房APP后，系統(tǒng)提示護士證書即將到期或已到期，需要更新證書，護士選擇更新證書。

（2）院方管理人員通過業(yè)務受理門戶審核業(yè)務請求信息。

（3）護士在移動終端按照提示重新下載證書。

證書更新的流程如圖3所示。

3.3.2.2 關鍵點說明

鑒于證書更新由護士發(fā)起后要通過院方后臺審核，所以并不能保證更新業(yè)務能實時受理、實時更新，在護士確認更新到業(yè)務審核通過之前，護士仍可以使用舊證書處理業(yè)務。

3.3.3 登錄身份認證

護士登錄查房APP時以移動證書代替賬號口令，增強身份認證的強度，防止登錄身份被盜用。登錄身份認證流程如圖4所示。

3.3.4 移動查房/護理記錄電子簽名

護士上傳查房/護理記錄之前，調用移動終端中的移動證書對查房/護理記錄電子簽名、增加時間戳簽名，防止查房/護理記錄被篡改，并且落實了上傳護士的責任。移動查房/護理記錄電子簽名流程圖如圖5所示。

3.4 關鍵問題的解決

3.4.1 網(wǎng)絡問題

醫(yī)院終端不能連接外網(wǎng)，但是簽發(fā)移動證書的云平臺在外網(wǎng)，必須解決移動證書申請和更新時終端連接移動證書云平臺的問題。

本方案中，通過醫(yī)院防火墻策略開放指定的外網(wǎng)地址，將請求數(shù)據(jù)轉發(fā)到外網(wǎng)的移動證書云平臺上，實現(xiàn)終端請求的實時轉發(fā)，24小時不中斷，同時通過防火墻策略設置，保證內網(wǎng)系統(tǒng)的安全。

3.4.2 多位護士多個終端的問題

一個病區(qū)配備一個移動終端供多位護士使用，而護士存在臨時被抽調支援的情況，所以又會有一個護士在多個病區(qū)使用多個移動終端的情況。這就要求一個移動終端可存放多位護士的移動證書，同時一位護士可在多個終端上申請自己的證書。

本方案中，移動證書支持一個終端多證書容器來存放多個人的證書。對于一位護士使用多個終端的情況，證書申請時，護士身份資料包括手機號碼在管理門戶錄入完成預注冊生成多組激活碼，護士在移動終端通過自己的手機接收短信激活碼，每接收一組激活碼即可激活一個移動證書，后臺激活碼生成的組數(shù)決定了護士可申請證書的數(shù)量，證書中附帶移動設備編號信息，證明是護士在此終端上申請的個人身份證書。這樣，當護士換病區(qū)使用新終端時，通過工號在新終端上申請一張證書。

3.4.3 院方實現(xiàn)證書業(yè)務的審核和證書管理

移動證書的申請、更新及狀態(tài)變更應該在院方的控制和管理之下。在本方案中，醫(yī)院信息化系統(tǒng)開發(fā)門戶，能夠讓院方管理者查看證書業(yè)務請求并審核，同時醫(yī)院信息化系統(tǒng)存儲“護士賬號—移動終端編號—移動證書”三者的綁定關系，院方在管理門戶可以以護士賬號為篩選條件查找到護士名下的所有移動證書，也可以以移動終端編號為篩選條件查找到某個終端中的所有移動證書。院方可以在護士離職時從后臺吊銷護士名下的所有證書，也可以在移動終端丟失或損壞后從后臺凍結或吊銷終端中的所有證書。

4 方案的優(yōu)勢

從體驗和成本角度評估，移動證書是一種非常適合在移動設備用戶群體中推廣的數(shù)字證書方案。

4.1 高安全性的移動證書方案

本方案利用移動證書實現(xiàn)對用戶密鑰的安全保護等級遠高于一般的軟證書方案，移動證書作為一種軟件密碼設備，它已經(jīng)取得了國密局的密碼產品型號證書（SHT1301）。而且，移動證書是以終端為密鑰的安全介質，區(qū)別于云端簽名的方案，因此移動證書更符合《衛(wèi)生系統(tǒng)電子認證服務管理辦法》第十八條中要求“證書持有人妥善保管數(shù)字證書介質”的描述。

4.2 優(yōu)質的用戶體驗

本方案中，在用戶側沒有增加任何硬件設備，移動證書SDK與APP完全融合在一起，護士不用再攜帶硬件KEY，移動終端就是KEY，體驗更優(yōu)。

4.3 低廉的實施成本

移動證書作為軟件密碼設備相對于USBKEY、藍牙KEY或音頻KEY等硬件設備，具有天然的成本優(yōu)勢。

參 考 文 獻

[1]GB 15815—1995，信息技術 安全技術 帶消息恢復的數(shù)字簽名方案[S].

[2]GB 15852—1995，信息技術 安全技術 用塊加密算法作校驗函數(shù)的數(shù)據(jù)完整性機制[S].

[3]GB/T 17902.1—1999，信息技術 安全技術 帶附錄的數(shù)字簽名（第1部分：概述）[S].

[責任編輯：鐘聲賢]