何建明 梁源

【摘 要】隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，移動(dòng)技術(shù)越來越多地在各個(gè)業(yè)務(wù)系統(tǒng)中得到廣泛使用。在醫(yī)療領(lǐng)域，結(jié)合實(shí)際業(yè)務(wù)場景衍生了移動(dòng)查房系統(tǒng)，醫(yī)院護(hù)士使用手持移動(dòng)終端設(shè)備進(jìn)行查房，查閱相關(guān)記錄，極大地提高了工作效率。但是，在應(yīng)用移動(dòng)化電子查房系統(tǒng)的同時(shí)，也產(chǎn)生了安全性和合規(guī)性問題，例如護(hù)士登錄查房/護(hù)理系統(tǒng)時(shí)的強(qiáng)身份認(rèn)證，查房記錄的電子簽名等。文章介紹的應(yīng)用方案基于PKI體系，使用數(shù)字證書技術(shù)，由CA認(rèn)證機(jī)構(gòu)給查房護(hù)士簽發(fā)數(shù)字證書，標(biāo)識(shí)護(hù)士的身份，實(shí)現(xiàn)系統(tǒng)登錄的強(qiáng)身份認(rèn)證和移動(dòng)查房/護(hù)理的責(zé)任落實(shí)。

【關(guān)鍵詞】醫(yī)療移動(dòng)查房系統(tǒng)；移動(dòng)數(shù)字證書；PKI

【中圖分類號(hào)】TN925.93；TP399-C8 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1674-0688（2017）05-0097-04

1 背景與需求描述

目前，不少醫(yī)院給護(hù)士發(fā)放了專用移動(dòng)終端（Android系統(tǒng)手機(jī)）用于移動(dòng)查房和護(hù)理，移動(dòng)查房和護(hù)理形成的電子化歸檔數(shù)據(jù)代替紙質(zhì)單據(jù)，不僅可以節(jié)約成本，還可提高工作效率、節(jié)省工作時(shí)間。但是，在應(yīng)用移動(dòng)化電子查房系統(tǒng)的同時(shí)，也產(chǎn)生了安全性和合規(guī)性問題，具體如下。

1.1 護(hù)士登錄查房/護(hù)理系統(tǒng)時(shí)的強(qiáng)身份認(rèn)證

需要給護(hù)士發(fā)放強(qiáng)身份認(rèn)證憑證，實(shí)現(xiàn)訪問系統(tǒng)的強(qiáng)身份認(rèn)證，防止護(hù)士身份被盜取和系統(tǒng)被非授權(quán)訪問。

1.2 查房/護(hù)理記錄電子簽名

針對護(hù)士在移動(dòng)端提交的電子查房/護(hù)理記錄實(shí)現(xiàn)電子簽名和時(shí)間戳簽名，電子簽名等同于手寫簽名，既可以防止電子查房/護(hù)理記錄上傳時(shí)被篡改，又可以落實(shí)記錄上傳者的責(zé)任。

2 設(shè)計(jì)思路

解決護(hù)士強(qiáng)身份認(rèn)證和責(zé)任落實(shí)的問題依然需要基于PKI體系使用數(shù)字證書技術(shù)，由CA認(rèn)證機(jī)構(gòu)給查房護(hù)士簽發(fā)數(shù)字證書，標(biāo)識(shí)護(hù)士的身份，實(shí)現(xiàn)系統(tǒng)登錄的強(qiáng)身份認(rèn)證和移動(dòng)查房、護(hù)理的責(zé)任落實(shí)。

在數(shù)字證書載體方面，現(xiàn)有的USBKEY無法與已經(jīng)發(fā)放的Android移動(dòng)終端相兼容，采用CA認(rèn)證機(jī)構(gòu)的移動(dòng)數(shù)字證書產(chǎn)品，以查房移動(dòng)終端為證書載體，通過產(chǎn)品核心技術(shù)保證證書密鑰的安全，從安全、易用、兼容等角度作為一種移動(dòng)數(shù)字證書的優(yōu)選方案。

3 解決方案

3.1 方案目標(biāo)

本方案是基于成熟的PKI/CA公鑰密碼技術(shù)并使用CA認(rèn)證機(jī)構(gòu)的移動(dòng)證書產(chǎn)品的移動(dòng)數(shù)字證書解決方案。方案能實(shí)現(xiàn)以下目標(biāo)。

3.1.1 護(hù)士的移動(dòng)端數(shù)字證書通過移動(dòng)證書快速下發(fā)

移動(dòng)查房/護(hù)理護(hù)士開通移動(dòng)證書，通過移動(dòng)證書獲得由CA認(rèn)證機(jī)構(gòu)簽發(fā)的用戶實(shí)名身份證書，并以查房專用移動(dòng)終端為安全的載體保護(hù)用戶密鑰與證書。護(hù)士的實(shí)名身份證書是實(shí)現(xiàn)信息完整性、身份真實(shí)性的技術(shù)基礎(chǔ)。

3.1.2 護(hù)士登錄移動(dòng)查房/護(hù)理系統(tǒng)通過移動(dòng)證書實(shí)現(xiàn)強(qiáng)身份認(rèn)證

護(hù)士登錄移動(dòng)查房/護(hù)理系統(tǒng)時(shí)，以移動(dòng)證書代替?zhèn)鹘y(tǒng)的賬號(hào)+口令，實(shí)現(xiàn)登錄者的強(qiáng)身份認(rèn)證。

3.1.3 護(hù)士上傳的查房/護(hù)理記錄通過移動(dòng)證書做電子簽名

護(hù)士在移動(dòng)終端編輯的查房/護(hù)理記錄通過移動(dòng)證書進(jìn)行電子簽名，保證上傳的記錄的完整性和操作人責(zé)任的落實(shí)。

3.1.4 移動(dòng)護(hù)理終端掃碼實(shí)現(xiàn)對PC業(yè)務(wù)的電子簽名

護(hù)士使用移動(dòng)查房終端掃描PC端的二維碼調(diào)用移動(dòng)證書實(shí)現(xiàn)對PC業(yè)務(wù)的電子簽名與認(rèn)證。

3.2 方案整體架構(gòu)

方案的整體架構(gòu)如圖1所示。

（1）移動(dòng)證書SDK：由業(yè)務(wù)APP集成，作為安全的軟件載體代替硬件保護(hù)用戶密鑰和證書的安全，移動(dòng)證書SDK給業(yè)務(wù)APP提供本地調(diào)用的接口開放密碼運(yùn)算和證書服務(wù)能力。

（2）移動(dòng)證書應(yīng)用前置：部署在醫(yī)院的內(nèi)部網(wǎng)絡(luò)，包含簽名驗(yàn)簽服務(wù)器、時(shí)間戳服務(wù)器，應(yīng)用前置主要提供簽名驗(yàn)簽和時(shí)間戳的功能。

（3）移動(dòng)證書云平臺(tái)：由CA認(rèn)證機(jī)構(gòu)運(yùn)營，實(shí)現(xiàn)移動(dòng)數(shù)字證書的安全下發(fā)及移動(dòng)證書SDK的管理。

（4）CA認(rèn)證機(jī)構(gòu)簽發(fā)系統(tǒng)：簽發(fā)有社會(huì)公信力的實(shí)名身份證書，醫(yī)院的USBKEY證書和移動(dòng)證書都由此系統(tǒng)簽發(fā)。

3.3 業(yè)務(wù)流程

3.3.1 移動(dòng)證書申請

3.3.1.1 移動(dòng)證書申請步驟

（1）院方通過信息錄入門戶將護(hù)士的身份信息（包括但不限于工號(hào)、身份證、手機(jī)號(hào)）錄入系統(tǒng)中。

（2）院方管理人員通過業(yè)務(wù)受理門戶審核業(yè)務(wù)請求信息。

（3）審核通過后允許請求發(fā)送到移動(dòng)證書云平臺(tái)完成預(yù)注冊。

（4）護(hù)士在移動(dòng)終端按照提示激活移動(dòng)證書安裝數(shù)字證書。

申請移動(dòng)證書的具體流程如圖2所示。

3.3.1.2 關(guān)鍵點(diǎn)說明

（1）護(hù)士的證書申請材料由院方在管理門戶錄入，錄入一次即可，在移動(dòng)證書云平臺(tái)預(yù)注冊時(shí)生成10組（數(shù)目可調(diào)，此數(shù)目代表了一位護(hù)士可以同時(shí)在多少移動(dòng)終端上申請證書）激活碼，護(hù)士在不同終端上激活移動(dòng)證書使用一組激活碼，這樣實(shí)現(xiàn)了對于每一位護(hù)士一次申請多次發(fā)證。

（2）院方錄入材料中包含護(hù)士本人的手機(jī)號(hào)碼，護(hù)士激活移動(dòng)證書時(shí)通過短信將激活碼發(fā)送到護(hù)士自己的手機(jī)上，護(hù)士再輸入到移動(dòng)終端中，克服了移動(dòng)終端無短信功能的現(xiàn)實(shí)問題。

（3）醫(yī)院信息化系統(tǒng)存儲(chǔ)“護(hù)士—終端—證書”三者的綁定關(guān)系，這樣在后臺(tái)只有通過護(hù)士+終端2個(gè)篩選條件才能精確定位一張證書。移動(dòng)終端編號(hào)也會(huì)簽到證書擴(kuò)展項(xiàng)中，這樣能適應(yīng)CA為一個(gè)人簽發(fā)多張證書的場景。

（4）證書申請數(shù)據(jù)通過醫(yī)院外網(wǎng)出口和移動(dòng)證書平臺(tái)對接，做防火墻策略保證內(nèi)網(wǎng)安全。

3.3.2 移動(dòng)證書更新

移動(dòng)證書一般簽發(fā)一年的有效期，快到期或者已到期時(shí)，移動(dòng)終端會(huì)提醒護(hù)士進(jìn)行更新。

3.3.2.1 證書更新步驟

（1）護(hù)士登錄查房APP后，系統(tǒng)提示護(hù)士證書即將到期或已到期，需要更新證書，護(hù)士選擇更新證書。

（2）院方管理人員通過業(yè)務(wù)受理門戶審核業(yè)務(wù)請求信息。

（3）護(hù)士在移動(dòng)終端按照提示重新下載證書。

證書更新的流程如圖3所示。

3.3.2.2 關(guān)鍵點(diǎn)說明

鑒于證書更新由護(hù)士發(fā)起后要通過院方后臺(tái)審核，所以并不能保證更新業(yè)務(wù)能實(shí)時(shí)受理、實(shí)時(shí)更新，在護(hù)士確認(rèn)更新到業(yè)務(wù)審核通過之前，護(hù)士仍可以使用舊證書處理業(yè)務(wù)。

3.3.3 登錄身份認(rèn)證

護(hù)士登錄查房APP時(shí)以移動(dòng)證書代替賬號(hào)口令，增強(qiáng)身份認(rèn)證的強(qiáng)度，防止登錄身份被盜用。登錄身份認(rèn)證流程如圖4所示。

3.3.4 移動(dòng)查房/護(hù)理記錄電子簽名

護(hù)士上傳查房/護(hù)理記錄之前，調(diào)用移動(dòng)終端中的移動(dòng)證書對查房/護(hù)理記錄電子簽名、增加時(shí)間戳簽名，防止查房/護(hù)理記錄被篡改，并且落實(shí)了上傳護(hù)士的責(zé)任。移動(dòng)查房/護(hù)理記錄電子簽名流程圖如圖5所示。

3.4 關(guān)鍵問題的解決

3.4.1 網(wǎng)絡(luò)問題

醫(yī)院終端不能連接外網(wǎng)，但是簽發(fā)移動(dòng)證書的云平臺(tái)在外網(wǎng)，必須解決移動(dòng)證書申請和更新時(shí)終端連接移動(dòng)證書云平臺(tái)的問題。

本方案中，通過醫(yī)院防火墻策略開放指定的外網(wǎng)地址，將請求數(shù)據(jù)轉(zhuǎn)發(fā)到外網(wǎng)的移動(dòng)證書云平臺(tái)上，實(shí)現(xiàn)終端請求的實(shí)時(shí)轉(zhuǎn)發(fā)，24小時(shí)不中斷，同時(shí)通過防火墻策略設(shè)置，保證內(nèi)網(wǎng)系統(tǒng)的安全。

3.4.2 多位護(hù)士多個(gè)終端的問題

一個(gè)病區(qū)配備一個(gè)移動(dòng)終端供多位護(hù)士使用，而護(hù)士存在臨時(shí)被抽調(diào)支援的情況，所以又會(huì)有一個(gè)護(hù)士在多個(gè)病區(qū)使用多個(gè)移動(dòng)終端的情況。這就要求一個(gè)移動(dòng)終端可存放多位護(hù)士的移動(dòng)證書，同時(shí)一位護(hù)士可在多個(gè)終端上申請自己的證書。

本方案中，移動(dòng)證書支持一個(gè)終端多證書容器來存放多個(gè)人的證書。對于一位護(hù)士使用多個(gè)終端的情況，證書申請時(shí)，護(hù)士身份資料包括手機(jī)號(hào)碼在管理門戶錄入完成預(yù)注冊生成多組激活碼，護(hù)士在移動(dòng)終端通過自己的手機(jī)接收短信激活碼，每接收一組激活碼即可激活一個(gè)移動(dòng)證書，后臺(tái)激活碼生成的組數(shù)決定了護(hù)士可申請證書的數(shù)量，證書中附帶移動(dòng)設(shè)備編號(hào)信息，證明是護(hù)士在此終端上申請的個(gè)人身份證書。這樣，當(dāng)護(hù)士換病區(qū)使用新終端時(shí)，通過工號(hào)在新終端上申請一張證書。

3.4.3 院方實(shí)現(xiàn)證書業(yè)務(wù)的審核和證書管理

移動(dòng)證書的申請、更新及狀態(tài)變更應(yīng)該在院方的控制和管理之下。在本方案中，醫(yī)院信息化系統(tǒng)開發(fā)門戶，能夠讓院方管理者查看證書業(yè)務(wù)請求并審核，同時(shí)醫(yī)院信息化系統(tǒng)存儲(chǔ)“護(hù)士賬號(hào)—移動(dòng)終端編號(hào)—移動(dòng)證書”三者的綁定關(guān)系，院方在管理門戶可以以護(hù)士賬號(hào)為篩選條件查找到護(hù)士名下的所有移動(dòng)證書，也可以以移動(dòng)終端編號(hào)為篩選條件查找到某個(gè)終端中的所有移動(dòng)證書。院方可以在護(hù)士離職時(shí)從后臺(tái)吊銷護(hù)士名下的所有證書，也可以在移動(dòng)終端丟失或損壞后從后臺(tái)凍結(jié)或吊銷終端中的所有證書。

4 方案的優(yōu)勢

從體驗(yàn)和成本角度評(píng)估，移動(dòng)證書是一種非常適合在移動(dòng)設(shè)備用戶群體中推廣的數(shù)字證書方案。

4.1 高安全性的移動(dòng)證書方案

本方案利用移動(dòng)證書實(shí)現(xiàn)對用戶密鑰的安全保護(hù)等級(jí)遠(yuǎn)高于一般的軟證書方案，移動(dòng)證書作為一種軟件密碼設(shè)備，它已經(jīng)取得了國密局的密碼產(chǎn)品型號(hào)證書（SHT1301）。而且，移動(dòng)證書是以終端為密鑰的安全介質(zhì)，區(qū)別于云端簽名的方案，因此移動(dòng)證書更符合《衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理辦法》第十八條中要求“證書持有人妥善保管數(shù)字證書介質(zhì)”的描述。

4.2 優(yōu)質(zhì)的用戶體驗(yàn)

本方案中，在用戶側(cè)沒有增加任何硬件設(shè)備，移動(dòng)證書SDK與APP完全融合在一起，護(hù)士不用再攜帶硬件KEY，移動(dòng)終端就是KEY，體驗(yàn)更優(yōu)。

4.3 低廉的實(shí)施成本

移動(dòng)證書作為軟件密碼設(shè)備相對于USBKEY、藍(lán)牙KEY或音頻KEY等硬件設(shè)備，具有天然的成本優(yōu)勢。

參 考 文 獻(xiàn)

[1]GB 15815—1995，信息技術(shù) 安全技術(shù) 帶消息恢復(fù)的數(shù)字簽名方案[S].

[2]GB 15852—1995，信息技術(shù) 安全技術(shù) 用塊加密算法作校驗(yàn)函數(shù)的數(shù)據(jù)完整性機(jī)制[S].

[3]GB/T 17902.1—1999，信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名（第1部分：概述）[S].

[責(zé)任編輯：鐘聲賢]