李迎新 溫明鋒 趙敏嬋 梁澤民 蘇日輝

(江門市中心醫(yī)院網(wǎng)絡(luò)信息科 江門 529030)

1 引言

醫(yī)院業(yè)務(wù)類型多、流程長且交錯復(fù)雜，信息化應(yīng)用項目難度較高。隨著醫(yī)院信息化建設(shè)不斷推進，電子病歷系統(tǒng)作為醫(yī)療業(yè)務(wù)的核心得到推廣應(yīng)用，實現(xiàn)建立、記錄、修改、使用、存儲、管理、重現(xiàn)等功能。但電子形態(tài)數(shù)據(jù)相較紙質(zhì)病歷易被篡改或偽造，在醫(yī)療糾紛案件受到患者方更多質(zhì)疑。如何保證電子病歷合法有效成為醫(yī)療行業(yè)廣泛關(guān)注的問題。電子病歷無紙化歸檔建立在各相關(guān)環(huán)節(jié)、對象、角色等充分實現(xiàn)數(shù)字簽名應(yīng)用基礎(chǔ)上，本文試從簽名技術(shù)手段、便利性等角度對構(gòu)建基于電子病歷歸檔的安全可信數(shù)字認證架構(gòu)進行研究，為實現(xiàn)無紙化化歸檔提供技術(shù)支撐。

2 數(shù)字簽名法規(guī)依據(jù)和安全可信需求

2.1 概述

2005年4月1日起施行的《中華人民共和國電子簽名法》及2017年4月施行的《電子病歷應(yīng)用管理規(guī)范(試行)》分別規(guī)定：“可靠的電子簽名與手寫簽名或蓋章具有同等法律效力”,“有條件的醫(yī)療機構(gòu)電子病歷系統(tǒng)可以使用電子簽名進行身份認證，可靠的電子簽名與手寫簽名或蓋章具有同等的法律效力”，對數(shù)字簽名在病歷管理過程中的合法性提供法律、法規(guī)依據(jù)，為醫(yī)療信息安全認證和醫(yī)療網(wǎng)絡(luò)信任體系建立奠定基礎(chǔ)。醫(yī)院數(shù)字簽名場景復(fù)雜、對象內(nèi)容各異，為實現(xiàn)用戶訪問行為可管、可控、可追溯，數(shù)據(jù)自始至終可信安全，數(shù)字認證體系應(yīng)滿足一定的安全可信需求。

2.2 安全認證登錄

《電子病歷應(yīng)用管理規(guī)范(試行)》第9條規(guī)定：“電子病歷系統(tǒng)應(yīng)當(dāng)為操作人員提供專有的身份標(biāo)識和識別手段并設(shè)置相應(yīng)權(quán)限。操作人員對本人身份標(biāo)識的使用負責(zé)”。傳統(tǒng)賬戶密碼方式安全性低且易被非法登錄，利用數(shù)字證書與用戶身份信息對應(yīng)，應(yīng)用網(wǎng)絡(luò)虛擬世界“身份證”，通過數(shù)字證書登錄醫(yī)院信息系統(tǒng)，解決用戶身份認證和安全登錄問題。

2.3 參與各方身份可信可管

醫(yī)療業(yè)務(wù)涉及醫(yī)生、護士、患者、系統(tǒng)等角色，實現(xiàn)數(shù)字簽名應(yīng)用需針對各角色特點構(gòu)建合適的簽名認證機制，例如醫(yī)生、護士人員相對固定，選用USBKey介質(zhì)數(shù)字證書并以此為身份憑證即可滿足基本使用需求；而患者流動性強，如使用USBKey數(shù)字證書則存在不方便、成本較高等問題。

2.4 醫(yī)療數(shù)據(jù)全周期安全可信

醫(yī)療數(shù)據(jù)產(chǎn)生鏈條長，包括就診、檢查檢驗、入院登記、診療、出院等環(huán)節(jié)；醫(yī)療數(shù)據(jù)維護周期長，包括數(shù)據(jù)產(chǎn)生、傳輸、存儲、挖掘、應(yīng)用、運營等，應(yīng)在全鏈條、全周期確保數(shù)據(jù)真實、完整、可信、機密、隱私不被泄露。

2.5 醫(yī)療服務(wù)行為可回溯

醫(yī)院業(yè)務(wù)系統(tǒng)種類、用戶角色較多，每個業(yè)務(wù)環(huán)節(jié)都需要進行特定授權(quán)管理。《電子病歷應(yīng)用管理規(guī)范(試行)》第14條規(guī)定：“在醫(yī)生開處方、醫(yī)囑、書寫病歷等醫(yī)療服務(wù)行為過程中，能直觀顯示簽名者姓名及完成時間，保存歷史操作印痕，標(biāo)記操作時間和操作人員信息并可查詢，可回溯”。

2.6 個人隱私與醫(yī)療敏感數(shù)據(jù)保護

《中華人民共和國侵權(quán)責(zé)任法》第62條規(guī)定：“醫(yī)療機構(gòu)及其醫(yī)務(wù)人員應(yīng)當(dāng)對患者的隱私保密”。醫(yī)院運營數(shù)據(jù)中存在大量敏感數(shù)據(jù)和個人隱私信息，一旦遭到破壞或泄露可能導(dǎo)致相關(guān)方的合法權(quán)益損害。應(yīng)建立安全保障機制，在數(shù)據(jù)生成、傳輸、存儲與處理過程中保證信息機密性、完整性和行為不可抵賴性。

2.7 權(quán)威可靠時間戳

《電子病歷應(yīng)用管理規(guī)范(試行)》第11條規(guī)定：“電子病歷系統(tǒng)應(yīng)當(dāng)采用權(quán)威可靠的時間源”。醫(yī)院信息系統(tǒng)中涉及多項與時間密切相關(guān)的操作，如開具處方、醫(yī)囑、病歷等，除需要電子簽名還要求為數(shù)字簽名文件提供日期和時間信息服務(wù)，確保醫(yī)院對依賴于時間的業(yè)務(wù)正常有序完成。

3 數(shù)字認證技術(shù)

3.1 電子簽名

應(yīng)用單向散列函數(shù)(HASH函數(shù))將任意長度的數(shù)據(jù)信息壓縮到某一固定長度消息摘要，其模型為：h=H(M)，其中M為待處理數(shù)據(jù)信息，可為任意長度；H為單向散列函數(shù)；h為生成的信息摘要，具有固定長度且與M長度無關(guān)；簽名者使用私鑰簽名單向散列函數(shù)生成信息摘要；將數(shù)據(jù)信息本身和已簽名消息摘要關(guān)聯(lián)存儲或傳送；驗證是否有效時使用相同單向散列函數(shù)對信息本身再次生成新的信息摘要，再通過簽名者公鑰對最初信息摘要進行驗證，得到最初所計算的信息摘要，將兩者進行比較，相等則驗證通過，否則驗證失敗。

3.2 數(shù)據(jù)加密

數(shù)字簽名與加密均使用公開密鑰體系，但實現(xiàn)過程正好相反，使用不同密鑰對。電子簽名使用發(fā)送方密鑰對，用發(fā)送方私鑰進行加密，接收方用發(fā)送方公鑰進行解密驗證，為一對多關(guān)系，擁有發(fā)送方公鑰均可驗證電子簽名有效性。數(shù)據(jù)加密使用接收方私鑰對，為多對一關(guān)系，擁有接收方公鑰均可向接收方發(fā)送加密信息，只有擁有接收方私鑰才能解密。電子簽名僅使用非對稱密鑰加密算法，而數(shù)據(jù)加密需要對稱密鑰加密算法和非對稱密鑰加密算法相結(jié)合。

4 體系架構(gòu)

4.1 概述

醫(yī)院數(shù)字簽名場景較復(fù)雜、對象內(nèi)容各異，實現(xiàn)電子病歷“可靠電子簽名”除滿足數(shù)字簽名一般要求外，還需要根據(jù)電子病歷特殊性考慮數(shù)字簽名成本、效率、便利性等因素。根據(jù)可信數(shù)字認證因素和數(shù)字簽名技術(shù)，從數(shù)字證書管理、數(shù)字認證服務(wù)基礎(chǔ)設(shè)施、認證業(yè)務(wù)支撐、業(yè)務(wù)系統(tǒng)數(shù)字應(yīng)用等方面綜合建立醫(yī)院數(shù)字認證體系結(jié)構(gòu)，見圖1。

圖1 醫(yī)院數(shù)字認證體系架構(gòu)

4.2 CA認證中心

嚴(yán)格按照《中華人民共和國電子簽名法》《電子認證服務(wù)管理辦法》等相關(guān)規(guī)定，提供數(shù)字證書申請、審核、制作、簽發(fā)、發(fā)布、應(yīng)用、校驗、更新等全生命周期服務(wù)，每個數(shù)字證書必須與持有人進行關(guān)聯(lián)，通過以公開密鑰基礎(chǔ)設(shè)施(Public Key Infrastructure, PKI)技術(shù)、數(shù)字證書應(yīng)用為核心的產(chǎn)品和服務(wù)。

4.3 時間戳服務(wù)

病歷書寫規(guī)范對時間記錄有嚴(yán)格要求，在數(shù)字簽名過程中同時加入時間戳是比較便捷、可靠的時間記錄方式，將簽名時間與數(shù)字簽名簽名文件一起構(gòu)成不可篡改的文檔內(nèi)容系統(tǒng)。具體實現(xiàn)過程為：業(yè)務(wù)系統(tǒng)時間戳請求模塊生成并發(fā)起時間戳服務(wù)請求，將待簽發(fā)時間戳的原文計算出摘要發(fā)送至?xí)r間戳服務(wù)器，時間戳服務(wù)器讀取標(biāo)準(zhǔn)時間源時間，利用該時間戳服務(wù)器證書對應(yīng)的私鑰對摘要和可信時間進行簽名，產(chǎn)生時間戳；將該時間戳傳回應(yīng)用系統(tǒng)，見圖2。

圖2 時間戳服務(wù)實現(xiàn)過程

4.4 數(shù)字簽名驗證

實現(xiàn)數(shù)字證書實體用戶身份識別，對電子病歷進行數(shù)字簽名及簽名驗證服務(wù)。電子病歷相關(guān)信息系統(tǒng)數(shù)量較多且隨時產(chǎn)生簽名記錄，通常各個系統(tǒng)通過自身簽名驗證模塊管理，保證電子病歷記錄不缺失，為電子病歷最后歸檔及驗證帶來一定難度，設(shè)計數(shù)字簽名集中驗證模塊可搭建集中統(tǒng)一服務(wù)平臺，降低各系統(tǒng)實現(xiàn)簽名復(fù)雜度，見圖3。

圖3 數(shù)字簽名驗證平臺

4.5 安全登錄

操作人員登錄電子病歷系統(tǒng)時使用數(shù)字證書作為有效身份憑證，實現(xiàn)高安全性、可靠性的登錄認證，確保操作者身份真實有效。采用數(shù)字證書載體不同登錄方式有所區(qū)別，使用USBKey進行身份認證時，需要將USBKey插入計算機并輸入個人標(biāo)識碼(Personal Identification Number, PIN)；使用數(shù)字證書為手機載體，需要通過手機掃描二維碼并進行短信或PIN碼驗證登錄。

4.6 移動認證系統(tǒng)

傳統(tǒng)數(shù)字證書需要通過硬件保護，使用硬件USBKey實現(xiàn)；但USBKey無法適應(yīng)大部分移動應(yīng)用場景下用戶體驗以及和手機等移動終端匹配等要求，如果只是簡單將數(shù)字證書(密鑰)以文件證書形式設(shè)置在業(yè)務(wù)應(yīng)用中則易導(dǎo)致安全等級過低，密鑰被復(fù)制和篡改甚至泄露等安全問題。移動認證系統(tǒng)提供基礎(chǔ)密碼服務(wù),在手機等移動設(shè)備上完成傳統(tǒng)硬件USBKey功能的密碼技術(shù)，不依賴硬件密碼芯片，用軟件實現(xiàn)可靠的密碼設(shè)備、密碼運算和數(shù)字證書等全部功能，是實現(xiàn)移動應(yīng)用安全的核心技術(shù)。

4.7 移動電子簽名

手機、掌上電腦(Personal Digital Assistant，PDA)、平板電腦等移動終端在臨床業(yè)務(wù)中的廣泛應(yīng)用極大方便了醫(yī)護人員隨時、隨地進行數(shù)據(jù)采集、查詢、分析處理，實現(xiàn)移動護理、移動查房、輸血、檢驗、用藥、檢查、手術(shù)等閉環(huán)管理，提高臨床工作效率和質(zhì)量，擴大延伸醫(yī)護服務(wù)范圍。傳統(tǒng)數(shù)字證書存儲在含有安全密碼芯片的USBKey介質(zhì)中，證書私鑰在內(nèi)部生成、加密、驗證運算[1]。對移動終端而言，USBKey存在硬件接口不匹配、體積較大、容易丟失等不足，云密鑰將用戶私鑰安全加密存儲在具有國密產(chǎn)品資質(zhì)的密碼設(shè)備上，證書密鑰存儲和運算部署在私有云或公有云，通過員工工號、移動端硬件特征、證書密碼、短信驗證、刷臉等因素組合，生成非實物介質(zhì)證書，實現(xiàn)“隨時、隨地、隨簽”[2]。

4.8 患方數(shù)字手寫簽名

患方電子簽名使用率較低且流動性較大，不適用與醫(yī)護人員相同的電子簽名模式[3]。應(yīng)在系統(tǒng)生成患方待簽文書，基于PKI應(yīng)用數(shù)字化手寫簽名，同時通過手寫簽名板、攝像頭、指紋儀等終端采集患方身份特征信息，結(jié)合時間戳、身份證等多重信息，增強身份認證效能，確保事中安全，防止事后失信[4]。

4.9 歸檔電子簽章服務(wù)

電子簽章基于成熟PKI技術(shù)和圖像技術(shù),將傳統(tǒng)印章與電子簽名技術(shù)相結(jié)合，表現(xiàn)層為電子印章圖片，實現(xiàn)電子病歷數(shù)字簽名可視化展現(xiàn)，其底層是使用數(shù)字證書的持有者私鑰對電子文檔簽名并加蓋簽章。醫(yī)院每天需要歸檔病歷文件數(shù)量大，長時間讀取USBKey容易導(dǎo)致讀取不穩(wěn)定或芯片損毀等故障。應(yīng)用電子簽章服務(wù)端可避免此類問題，其由客戶端程序自動觸發(fā)，調(diào)用服務(wù)端中間件，傳送待簽病歷文書給服務(wù)端[5]。

5 結(jié)語

數(shù)字認證已在電子商務(wù)、電子政務(wù)和金融領(lǐng)域廣泛應(yīng)用，實現(xiàn)網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)安全交換并保證數(shù)據(jù)完整性、不可抵賴性和身份驗證等合法性要求。醫(yī)院數(shù)字認證起步較晚，存在場景復(fù)雜、簽名對象內(nèi)容各異等情況。本文從工作實踐出發(fā)，在調(diào)查國內(nèi)醫(yī)療機構(gòu)及研究分析文獻資料的基礎(chǔ)上，結(jié)合當(dāng)前數(shù)字認證主流技術(shù)，闡述了建立醫(yī)院數(shù)字認證體系的法律法規(guī)依據(jù)、可信認證需求、可信認證體系架構(gòu)及實現(xiàn)原理等。