周渝霞，杜鳳霞，王 浩，王 東，何 欣

1 CA電子簽名系統(tǒng)實現(xiàn)背景與目的

醫(yī)院每天會產(chǎn)生大量的醫(yī)學文檔，日常工作中每一個醫(yī)療環(huán)節(jié)如醫(yī)囑、處方、患者知情同意書等都須要醫(yī)務工作者或患者手工簽名認可，加以保存。病歷不僅是病程記錄，也是具有重要法律效力的文件，傳統(tǒng)的手工簽字易丟失、易感染，隨著信息技術的發(fā)展，病歷的無紙化存儲成為趨勢?！吨腥A人民共和國電子簽名法》中明確了數(shù)據(jù)電文的法律效力，電子簽名具有與手寫簽名同樣的法律效力，能解決紙質病歷容易被破壞的特性，保證電子病歷的真實性和完整性[1]。因此，從醫(yī)院實際出發(fā)，引入可靠的CA電子簽名技術，在每個需要簽名的醫(yī)療場景，保證電子簽名的真實性及防篡改性，對實現(xiàn)醫(yī)療數(shù)據(jù)的完整可信具有重要意義。

2 基本概念與相關技術原理

電子簽名是一種應用數(shù)據(jù)加密的方法來產(chǎn)生與文件內容關聯(lián)的簽名，加密的簽名數(shù)據(jù)在現(xiàn)有的條件下無法破解或偽造，同時這種簽名又可以被特定的機構進行驗證。電子簽名涉及3個實體：簽名者、驗證者和電子論證服務者。醫(yī)務人員使用電子簽名產(chǎn)生模塊必須采用安全的簽名流程。驗證者使用的電子簽名驗證模塊、環(huán)境和流程必須滿足一定的安全要求，保證安全正確地驗證電子簽名結果[2-3]。

電子簽名的基本原理是利用非對稱加密技術對電子文件進行加密運算產(chǎn)生簽名，用簽名數(shù)據(jù)還原的文件（或摘要）與原文（或摘要）進行比對來確認原文是否被修改。非對稱加密技術是一種數(shù)學方法，這種方法對文件的加密和解密使用不同的密鑰。簽名時使用的加密密鑰是私鑰，僅由簽名人掌握；驗證文件時使用的解密密鑰是公鑰，可以在公開場合傳輸。應用數(shù)學方法保證無法通過解密公鑰推算出加密私鑰的內容。

通常用于簽名的加密私鑰也存儲在簽名人掌握的存儲介質中，因而其他人無法掌握和使用簽名的私鑰。為防止存有私鑰的介質丟失后被他人利用，在使用私鑰進行簽名時還須要簽名人輸入個人識別碼，來確保是本人在進行操作。

圖1所示為電子簽名過程與驗證過程示意圖，通常在醫(yī)院電子病歷各系統(tǒng)中使用的是電子簽名的過程，通過這個過程產(chǎn)生的簽名密文文件保存在系統(tǒng)中。當須要進行驗證時，將原文文件、簽名密文文件及簽名人的數(shù)字證書一同提交，由權威機構或經(jīng)過認證的驗證系統(tǒng)進行驗證處理，通過比對驗證中產(chǎn)生的2個摘要信息的一致性，來判斷原文是否被篡改。

圖1 電子簽名過程與驗證過程示意圖Figure 1 Diagram of digital signature processes and verification processes

醫(yī)療記錄的產(chǎn)生時間對于舉證有非常重要的作用，因此電子病歷中的電子簽名包含時間戳是醫(yī)療文件簽名的一項重要要求。醫(yī)務人員使用個人控制的私鑰對醫(yī)囑、病歷、檢查報告、檢驗記錄、治療記錄等進行簽名，解決了這些醫(yī)療記錄的責任認定問題。但是基本的數(shù)字簽名并沒有包含簽名的時間。一個完整的簽名還應該在對內容進行基本簽名后及時對產(chǎn)生這些簽名的時間再進行可信的認證，即用一個時間戳來可信地記錄這些簽名產(chǎn)生的時間。這個時間戳的產(chǎn)生需要3個基本內容：首先是須要包含醫(yī)務人員的簽名；其次是有不受醫(yī)院控制的標準時間源；第三基于以上兩點實現(xiàn)醫(yī)務人員簽名與簽名時間的數(shù)字認證。

3 電子簽名系統(tǒng)設計與實施

3.1 電子簽名系統(tǒng)設計

3.1.1 建立統(tǒng)一的電子認證服務體系 面向醫(yī)院醫(yī)護工作人員，統(tǒng)一數(shù)字證書發(fā)放與管理，提供優(yōu)質、符合衛(wèi)生行業(yè)規(guī)范的數(shù)字證書生命周期服務，滿足醫(yī)院的實際需要。

3.1.2 電子病歷各環(huán)節(jié)電子簽名 電子病歷主要包括病案首頁、醫(yī)囑單、病程記錄、護理記錄、手術資料、產(chǎn)科記錄等內容，為滿足各類醫(yī)護人員簽名需求，針對不同存儲類型數(shù)據(jù)設計簽名實施方案，包括多級醫(yī)生簽名集成方案、醫(yī)囑批量簽名處理技術、簽名數(shù)據(jù)優(yōu)化存儲方案等，解決了電子簽名效率低下、簽名數(shù)據(jù)占用存儲空間過大、簽名技術集成復雜等實際問題。

3.1.3 患者/家屬電子簽名 針對患者/家屬對電子病情文書的簽名需求，結合患者手寫簽字或按壓指紋等個性化特征，實現(xiàn)對電子知情同意書的可靠電子簽名，保證院方和患者的權益，并保留手寫簽名的業(yè)務模式，簡化操作流程。

3.1.4 多樣化移動醫(yī)療終端電子簽名方案 當前醫(yī)院移動醫(yī)療業(yè)務發(fā)展迅速，根據(jù)移動醫(yī)療終端的多樣性以及護理文書的簽名需求，設計支持不同終端設備的雙接口證書介質，實現(xiàn)“一人一鑰”，滿足醫(yī)院多類移動終端的身份認證簽名需求。

3.1.5 電子病歷歸檔安全 電子病歷歸檔數(shù)據(jù)的真實性及不可抵賴性，是醫(yī)院能否徹底實現(xiàn)無紙化的關鍵因素。根據(jù)醫(yī)療事故的司法舉證流程，研發(fā)可信的電子病歷系統(tǒng)，收集電子病歷歸檔數(shù)據(jù)和醫(yī)療事故產(chǎn)生的封存病歷數(shù)據(jù)，為醫(yī)院提供更安全可信的電子病歷管理，并為證據(jù)查詢提供方便、安全的途徑。

3.2 電子簽名系統(tǒng)實施

3.2.1 電子簽名系統(tǒng)環(huán)境搭建 電子簽名系統(tǒng)環(huán)境搭建主要是部署電子簽名軟硬件集成化安全設備，為信息系統(tǒng)提供數(shù)據(jù)簽名、簽名驗證、證書驗證等功能。電子簽名系統(tǒng)，接收信息系統(tǒng)發(fā)送的簽名服務請求，并返回簽名或驗證服務結果，利用可靠的電子簽名技術保證數(shù)據(jù)在產(chǎn)生、傳輸、存儲、再利用的整個生命周期過程的真實、完整、準確，保證“數(shù)出有源”。

3.2.2 時間戳系統(tǒng)環(huán)境搭建 時間戳系統(tǒng)環(huán)境搭建主要是部署時間戳軟硬件集成化安全設備，該時間設備調試是基于國家標準時間源，為信息系統(tǒng)提供精準、安全和可信時間認證服務。時間戳系統(tǒng)接收信息系統(tǒng)發(fā)送的時間戳，簽發(fā)、驗證時間戳請求，并返回時間戳簽發(fā)或驗證服務結果，實現(xiàn)責任人簽名和準確的時間記錄，保證數(shù)據(jù)記錄中時間的公正、可信。

3.2.3 電子簽章系統(tǒng)環(huán)境搭建 電子簽章系統(tǒng)以控件的方式安裝于應用端，為應用端提供數(shù)據(jù)的電子簽名和電子簽章服務。電子簽章管理系統(tǒng)為用戶生成電子簽章，并將電子簽章灌入證書介質中和數(shù)字證書匹配，將包含數(shù)字證書和電子簽章圖片的證書介質分配給醫(yī)務人員，實現(xiàn)醫(yī)務人員在信息系統(tǒng)中數(shù)字簽名的可視化、圖形化，使可靠電子簽名在信息系統(tǒng)中能夠形象展現(xiàn)。

3.2.4 電子簽名系統(tǒng)與信息系統(tǒng)的集成 為了實現(xiàn)電子認證服務與醫(yī)院各業(yè)務應用的有機結合，解決醫(yī)院電子病歷系統(tǒng)等系統(tǒng)的身份認證、授權管理、責任認定以及電子病歷的真實性、完整性、有效性等問題，建立安全可信的醫(yī)院醫(yī)療業(yè)務環(huán)境，分別與各個業(yè)務廠商理清集成的業(yè)務環(huán)節(jié)和業(yè)務流程等，在合適的時機，完成電子簽名系統(tǒng)與醫(yī)院信息管理系統(tǒng)、電子病歷系統(tǒng)、檢驗信息系統(tǒng)、圖像存儲和傳輸系統(tǒng)等的應用集成[4-5]，滿足醫(yī)院對業(yè)務安全、應急處理和業(yè)務連續(xù)性的要求。在各個系統(tǒng)應用場景，采用基于數(shù)字簽名和時間戳的電子病歷證據(jù)固化模型，當醫(yī)療糾紛發(fā)生后，一方面根據(jù)事件型數(shù)字證書中記錄的電子病歷摘要信息，能夠驗證從醫(yī)院方取證所得的電子病歷相關信息有無篡改的痕跡；另一方面根據(jù)簽名過程中形成的時間戳文件，驗證電子病歷生成的時間，以及關聯(lián)性，形成能夠足以還原事實真相的電子病歷證據(jù)鏈條[6]。見圖2。

圖2 電子簽名拓撲圖EMR系統(tǒng).電子病歷系統(tǒng)；HIS系統(tǒng).醫(yī)院信息管理系統(tǒng)；PACS系統(tǒng).圖像存儲和傳輸系統(tǒng)；LIS系統(tǒng).檢驗信息系統(tǒng)Figure 2 Topology of electronic signature

3.2.5 數(shù)字證書服務 數(shù)字證書是個人身份的有效數(shù)據(jù)文件，面向醫(yī)院醫(yī)護/醫(yī)技人員提供數(shù)字證書的全生命周期管理。數(shù)字證書服務內容主要包括醫(yī)院醫(yī)護/醫(yī)技人員的信息收集、手寫簽章采集、數(shù)字證書制作、數(shù)字證書發(fā)放、受理點建設、證書生命周期服務等。組織工作人員進行“證書環(huán)境”安裝工作，明確證書管理員人選及職責，進行證書受理點的日常工作，包括發(fā)證、吊銷、丟失補辦、證書介質解鎖等。

3.2.6 用戶培訓 數(shù)字簽名培訓的對象，主要包括信息系統(tǒng)開發(fā)商、系統(tǒng)管理員、證書管理員、數(shù)字證書使用者，培訓內容包括以下幾點：

一、針對醫(yī)院信息系統(tǒng)開發(fā)商的接口對接、簽名驗證等技術培訓；

二、對系統(tǒng)管理員的培訓，包括對數(shù)字簽名服務系統(tǒng)使用及維護，使其能排除一般性故障，保障系統(tǒng)的穩(wěn)定運行；

三、證書管理員日常證書管理工作的培訓，主要是使用數(shù)字證書在線服務平臺的功能；

四、數(shù)字證書使用者培訓，主要是日常數(shù)字簽名操作培訓，包括數(shù)字證書產(chǎn)品的業(yè)務操作、使用流程、注意事項等方面。

3.2.7 系統(tǒng)試運行 建立數(shù)字簽名有關的管理制度，與醫(yī)療科制定數(shù)字證書發(fā)放和使用管理制度、數(shù)字簽名操作業(yè)務流程規(guī)范，選擇2～3個臨床科室信息系統(tǒng)進入試運行階段，建立健全運行操作和系統(tǒng)維護規(guī)范，為系統(tǒng)投入實際運行和完善提供實際運行數(shù)據(jù)和依據(jù)。通過既定時間段的試運行，論證系統(tǒng)實施進程，通過試運行發(fā)現(xiàn)信息系統(tǒng)存在的問題，進一步完善信息系統(tǒng)建設內容，確保信息系統(tǒng)平穩(wěn)運行，再逐步推廣到全院。

4 總 結

通過全面實施CA電子簽名技術，建立醫(yī)院統(tǒng)一的身份認證平臺，實現(xiàn)所有臨床科室以及醫(yī)院信息管理系統(tǒng)、檢驗信息系統(tǒng)、圖像存儲與傳輸系統(tǒng)及電子病歷等系統(tǒng)全面應用電子論證產(chǎn)品，簡化醫(yī)護人員操作，優(yōu)化工作流程，實現(xiàn)業(yè)務環(huán)節(jié)可靠的電子簽名，保障了系統(tǒng)的業(yè)務安全。在確保電子病歷的真實性、合法性和有效性基礎上，減少各業(yè)務環(huán)節(jié)醫(yī)護人員受感染的風險，推進醫(yī)院無紙化進程[7]，降低醫(yī)療成本，提升醫(yī)院管理效率，同時也將在電子病歷的法律效力、醫(yī)療過程的監(jiān)督管理、醫(yī)療服務精細化管理等方面發(fā)揮更積極的作用。