李迎新 溫明鋒 趙敏嬋 梁澤民 蘇日輝

(江門市中心醫(yī)院網(wǎng)絡(luò)信息科 江門 529030)

1 引言

醫(yī)院業(yè)務(wù)類型多、流程長(zhǎng)且交錯(cuò)復(fù)雜，信息化應(yīng)用項(xiàng)目難度較高。隨著醫(yī)院信息化建設(shè)不斷推進(jìn)，電子病歷系統(tǒng)作為醫(yī)療業(yè)務(wù)的核心得到推廣應(yīng)用，實(shí)現(xiàn)建立、記錄、修改、使用、存儲(chǔ)、管理、重現(xiàn)等功能。但電子形態(tài)數(shù)據(jù)相較紙質(zhì)病歷易被篡改或偽造，在醫(yī)療糾紛案件受到患者方更多質(zhì)疑。如何保證電子病歷合法有效成為醫(yī)療行業(yè)廣泛關(guān)注的問(wèn)題。電子病歷無(wú)紙化歸檔建立在各相關(guān)環(huán)節(jié)、對(duì)象、角色等充分實(shí)現(xiàn)數(shù)字簽名應(yīng)用基礎(chǔ)上，本文試從簽名技術(shù)手段、便利性等角度對(duì)構(gòu)建基于電子病歷歸檔的安全可信數(shù)字認(rèn)證架構(gòu)進(jìn)行研究，為實(shí)現(xiàn)無(wú)紙化化歸檔提供技術(shù)支撐。

2 數(shù)字簽名法規(guī)依據(jù)和安全可信需求

2.1 概述

2005年4月1日起施行的《中華人民共和國(guó)電子簽名法》及2017年4月施行的《電子病歷應(yīng)用管理規(guī)范(試行)》分別規(guī)定：“可靠的電子簽名與手寫簽名或蓋章具有同等法律效力”,“有條件的醫(yī)療機(jī)構(gòu)電子病歷系統(tǒng)可以使用電子簽名進(jìn)行身份認(rèn)證，可靠的電子簽名與手寫簽名或蓋章具有同等的法律效力”，對(duì)數(shù)字簽名在病歷管理過(guò)程中的合法性提供法律、法規(guī)依據(jù)，為醫(yī)療信息安全認(rèn)證和醫(yī)療網(wǎng)絡(luò)信任體系建立奠定基礎(chǔ)。醫(yī)院數(shù)字簽名場(chǎng)景復(fù)雜、對(duì)象內(nèi)容各異，為實(shí)現(xiàn)用戶訪問(wèn)行為可管、可控、可追溯，數(shù)據(jù)自始至終可信安全，數(shù)字認(rèn)證體系應(yīng)滿足一定的安全可信需求。

2.2 安全認(rèn)證登錄

《電子病歷應(yīng)用管理規(guī)范(試行)》第9條規(guī)定：“電子病歷系統(tǒng)應(yīng)當(dāng)為操作人員提供專有的身份標(biāo)識(shí)和識(shí)別手段并設(shè)置相應(yīng)權(quán)限。操作人員對(duì)本人身份標(biāo)識(shí)的使用負(fù)責(zé)”。傳統(tǒng)賬戶密碼方式安全性低且易被非法登錄，利用數(shù)字證書(shū)與用戶身份信息對(duì)應(yīng)，應(yīng)用網(wǎng)絡(luò)虛擬世界“身份證”，通過(guò)數(shù)字證書(shū)登錄醫(yī)院信息系統(tǒng)，解決用戶身份認(rèn)證和安全登錄問(wèn)題。

2.3 參與各方身份可信可管

醫(yī)療業(yè)務(wù)涉及醫(yī)生、護(hù)士、患者、系統(tǒng)等角色，實(shí)現(xiàn)數(shù)字簽名應(yīng)用需針對(duì)各角色特點(diǎn)構(gòu)建合適的簽名認(rèn)證機(jī)制，例如醫(yī)生、護(hù)士人員相對(duì)固定，選用USBKey介質(zhì)數(shù)字證書(shū)并以此為身份憑證即可滿足基本使用需求；而患者流動(dòng)性強(qiáng)，如使用USBKey數(shù)字證書(shū)則存在不方便、成本較高等問(wèn)題。

2.4 醫(yī)療數(shù)據(jù)全周期安全可信

醫(yī)療數(shù)據(jù)產(chǎn)生鏈條長(zhǎng)，包括就診、檢查檢驗(yàn)、入院登記、診療、出院等環(huán)節(jié)；醫(yī)療數(shù)據(jù)維護(hù)周期長(zhǎng)，包括數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)、挖掘、應(yīng)用、運(yùn)營(yíng)等，應(yīng)在全鏈條、全周期確保數(shù)據(jù)真實(shí)、完整、可信、機(jī)密、隱私不被泄露。

2.5 醫(yī)療服務(wù)行為可回溯

醫(yī)院業(yè)務(wù)系統(tǒng)種類、用戶角色較多，每個(gè)業(yè)務(wù)環(huán)節(jié)都需要進(jìn)行特定授權(quán)管理?！峨娮硬v應(yīng)用管理規(guī)范(試行)》第14條規(guī)定：“在醫(yī)生開(kāi)處方、醫(yī)囑、書(shū)寫病歷等醫(yī)療服務(wù)行為過(guò)程中，能直觀顯示簽名者姓名及完成時(shí)間，保存歷史操作印痕，標(biāo)記操作時(shí)間和操作人員信息并可查詢，可回溯”。

2.6 個(gè)人隱私與醫(yī)療敏感數(shù)據(jù)保護(hù)

《中華人民共和國(guó)侵權(quán)責(zé)任法》第62條規(guī)定：“醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員應(yīng)當(dāng)對(duì)患者的隱私保密”。醫(yī)院運(yùn)營(yíng)數(shù)據(jù)中存在大量敏感數(shù)據(jù)和個(gè)人隱私信息，一旦遭到破壞或泄露可能導(dǎo)致相關(guān)方的合法權(quán)益損害。應(yīng)建立安全保障機(jī)制，在數(shù)據(jù)生成、傳輸、存儲(chǔ)與處理過(guò)程中保證信息機(jī)密性、完整性和行為不可抵賴性。

2.7 權(quán)威可靠時(shí)間戳

《電子病歷應(yīng)用管理規(guī)范(試行)》第11條規(guī)定：“電子病歷系統(tǒng)應(yīng)當(dāng)采用權(quán)威可靠的時(shí)間源”。醫(yī)院信息系統(tǒng)中涉及多項(xiàng)與時(shí)間密切相關(guān)的操作，如開(kāi)具處方、醫(yī)囑、病歷等，除需要電子簽名還要求為數(shù)字簽名文件提供日期和時(shí)間信息服務(wù)，確保醫(yī)院對(duì)依賴于時(shí)間的業(yè)務(wù)正常有序完成。

3 數(shù)字認(rèn)證技術(shù)

3.1 電子簽名

應(yīng)用單向散列函數(shù)(HASH函數(shù))將任意長(zhǎng)度的數(shù)據(jù)信息壓縮到某一固定長(zhǎng)度消息摘要，其模型為：h=H(M)，其中M為待處理數(shù)據(jù)信息，可為任意長(zhǎng)度；H為單向散列函數(shù)；h為生成的信息摘要，具有固定長(zhǎng)度且與M長(zhǎng)度無(wú)關(guān)；簽名者使用私鑰簽名單向散列函數(shù)生成信息摘要；將數(shù)據(jù)信息本身和已簽名消息摘要關(guān)聯(lián)存儲(chǔ)或傳送；驗(yàn)證是否有效時(shí)使用相同單向散列函數(shù)對(duì)信息本身再次生成新的信息摘要，再通過(guò)簽名者公鑰對(duì)最初信息摘要進(jìn)行驗(yàn)證，得到最初所計(jì)算的信息摘要，將兩者進(jìn)行比較，相等則驗(yàn)證通過(guò)，否則驗(yàn)證失敗。

3.2 數(shù)據(jù)加密

數(shù)字簽名與加密均使用公開(kāi)密鑰體系，但實(shí)現(xiàn)過(guò)程正好相反，使用不同密鑰對(duì)。電子簽名使用發(fā)送方密鑰對(duì)，用發(fā)送方私鑰進(jìn)行加密，接收方用發(fā)送方公鑰進(jìn)行解密驗(yàn)證，為一對(duì)多關(guān)系，擁有發(fā)送方公鑰均可驗(yàn)證電子簽名有效性。數(shù)據(jù)加密使用接收方私鑰對(duì)，為多對(duì)一關(guān)系，擁有接收方公鑰均可向接收方發(fā)送加密信息，只有擁有接收方私鑰才能解密。電子簽名僅使用非對(duì)稱密鑰加密算法，而數(shù)據(jù)加密需要對(duì)稱密鑰加密算法和非對(duì)稱密鑰加密算法相結(jié)合。

4 體系架構(gòu)

4.1 概述

醫(yī)院數(shù)字簽名場(chǎng)景較復(fù)雜、對(duì)象內(nèi)容各異，實(shí)現(xiàn)電子病歷“可靠電子簽名”除滿足數(shù)字簽名一般要求外，還需要根據(jù)電子病歷特殊性考慮數(shù)字簽名成本、效率、便利性等因素。根據(jù)可信數(shù)字認(rèn)證因素和數(shù)字簽名技術(shù)，從數(shù)字證書(shū)管理、數(shù)字認(rèn)證服務(wù)基礎(chǔ)設(shè)施、認(rèn)證業(yè)務(wù)支撐、業(yè)務(wù)系統(tǒng)數(shù)字應(yīng)用等方面綜合建立醫(yī)院數(shù)字認(rèn)證體系結(jié)構(gòu)，見(jiàn)圖1。

圖1 醫(yī)院數(shù)字認(rèn)證體系架構(gòu)

4.2 CA認(rèn)證中心

嚴(yán)格按照《中華人民共和國(guó)電子簽名法》《電子認(rèn)證服務(wù)管理辦法》等相關(guān)規(guī)定，提供數(shù)字證書(shū)申請(qǐng)、審核、制作、簽發(fā)、發(fā)布、應(yīng)用、校驗(yàn)、更新等全生命周期服務(wù)，每個(gè)數(shù)字證書(shū)必須與持有人進(jìn)行關(guān)聯(lián)，通過(guò)以公開(kāi)密鑰基礎(chǔ)設(shè)施(Public Key Infrastructure, PKI)技術(shù)、數(shù)字證書(shū)應(yīng)用為核心的產(chǎn)品和服務(wù)。

4.3 時(shí)間戳服務(wù)

病歷書(shū)寫規(guī)范對(duì)時(shí)間記錄有嚴(yán)格要求，在數(shù)字簽名過(guò)程中同時(shí)加入時(shí)間戳是比較便捷、可靠的時(shí)間記錄方式，將簽名時(shí)間與數(shù)字簽名簽名文件一起構(gòu)成不可篡改的文檔內(nèi)容系統(tǒng)。具體實(shí)現(xiàn)過(guò)程為：業(yè)務(wù)系統(tǒng)時(shí)間戳請(qǐng)求模塊生成并發(fā)起時(shí)間戳服務(wù)請(qǐng)求，將待簽發(fā)時(shí)間戳的原文計(jì)算出摘要發(fā)送至?xí)r間戳服務(wù)器，時(shí)間戳服務(wù)器讀取標(biāo)準(zhǔn)時(shí)間源時(shí)間，利用該時(shí)間戳服務(wù)器證書(shū)對(duì)應(yīng)的私鑰對(duì)摘要和可信時(shí)間進(jìn)行簽名，產(chǎn)生時(shí)間戳；將該時(shí)間戳傳回應(yīng)用系統(tǒng)，見(jiàn)圖2。

圖2 時(shí)間戳服務(wù)實(shí)現(xiàn)過(guò)程

4.4 數(shù)字簽名驗(yàn)證

實(shí)現(xiàn)數(shù)字證書(shū)實(shí)體用戶身份識(shí)別，對(duì)電子病歷進(jìn)行數(shù)字簽名及簽名驗(yàn)證服務(wù)。電子病歷相關(guān)信息系統(tǒng)數(shù)量較多且隨時(shí)產(chǎn)生簽名記錄，通常各個(gè)系統(tǒng)通過(guò)自身簽名驗(yàn)證模塊管理，保證電子病歷記錄不缺失，為電子病歷最后歸檔及驗(yàn)證帶來(lái)一定難度，設(shè)計(jì)數(shù)字簽名集中驗(yàn)證模塊可搭建集中統(tǒng)一服務(wù)平臺(tái)，降低各系統(tǒng)實(shí)現(xiàn)簽名復(fù)雜度，見(jiàn)圖3。

圖3 數(shù)字簽名驗(yàn)證平臺(tái)

4.5 安全登錄

操作人員登錄電子病歷系統(tǒng)時(shí)使用數(shù)字證書(shū)作為有效身份憑證，實(shí)現(xiàn)高安全性、可靠性的登錄認(rèn)證，確保操作者身份真實(shí)有效。采用數(shù)字證書(shū)載體不同登錄方式有所區(qū)別，使用USBKey進(jìn)行身份認(rèn)證時(shí)，需要將USBKey插入計(jì)算機(jī)并輸入個(gè)人標(biāo)識(shí)碼(Personal Identification Number, PIN)；使用數(shù)字證書(shū)為手機(jī)載體，需要通過(guò)手機(jī)掃描二維碼并進(jìn)行短信或PIN碼驗(yàn)證登錄。

4.6 移動(dòng)認(rèn)證系統(tǒng)

傳統(tǒng)數(shù)字證書(shū)需要通過(guò)硬件保護(hù)，使用硬件USBKey實(shí)現(xiàn)；但USBKey無(wú)法適應(yīng)大部分移動(dòng)應(yīng)用場(chǎng)景下用戶體驗(yàn)以及和手機(jī)等移動(dòng)終端匹配等要求，如果只是簡(jiǎn)單將數(shù)字證書(shū)(密鑰)以文件證書(shū)形式設(shè)置在業(yè)務(wù)應(yīng)用中則易導(dǎo)致安全等級(jí)過(guò)低，密鑰被復(fù)制和篡改甚至泄露等安全問(wèn)題。移動(dòng)認(rèn)證系統(tǒng)提供基礎(chǔ)密碼服務(wù),在手機(jī)等移動(dòng)設(shè)備上完成傳統(tǒng)硬件USBKey功能的密碼技術(shù)，不依賴硬件密碼芯片，用軟件實(shí)現(xiàn)可靠的密碼設(shè)備、密碼運(yùn)算和數(shù)字證書(shū)等全部功能，是實(shí)現(xiàn)移動(dòng)應(yīng)用安全的核心技術(shù)。

4.7 移動(dòng)電子簽名

手機(jī)、掌上電腦(Personal Digital Assistant，PDA)、平板電腦等移動(dòng)終端在臨床業(yè)務(wù)中的廣泛應(yīng)用極大方便了醫(yī)護(hù)人員隨時(shí)、隨地進(jìn)行數(shù)據(jù)采集、查詢、分析處理，實(shí)現(xiàn)移動(dòng)護(hù)理、移動(dòng)查房、輸血、檢驗(yàn)、用藥、檢查、手術(shù)等閉環(huán)管理，提高臨床工作效率和質(zhì)量，擴(kuò)大延伸醫(yī)護(hù)服務(wù)范圍。傳統(tǒng)數(shù)字證書(shū)存儲(chǔ)在含有安全密碼芯片的USBKey介質(zhì)中，證書(shū)私鑰在內(nèi)部生成、加密、驗(yàn)證運(yùn)算[1]。對(duì)移動(dòng)終端而言，USBKey存在硬件接口不匹配、體積較大、容易丟失等不足，云密鑰將用戶私鑰安全加密存儲(chǔ)在具有國(guó)密產(chǎn)品資質(zhì)的密碼設(shè)備上，證書(shū)密鑰存儲(chǔ)和運(yùn)算部署在私有云或公有云，通過(guò)員工工號(hào)、移動(dòng)端硬件特征、證書(shū)密碼、短信驗(yàn)證、刷臉等因素組合，生成非實(shí)物介質(zhì)證書(shū)，實(shí)現(xiàn)“隨時(shí)、隨地、隨簽”[2]。

4.8 患方數(shù)字手寫簽名

患方電子簽名使用率較低且流動(dòng)性較大，不適用與醫(yī)護(hù)人員相同的電子簽名模式[3]。應(yīng)在系統(tǒng)生成患方待簽文書(shū)，基于PKI應(yīng)用數(shù)字化手寫簽名，同時(shí)通過(guò)手寫簽名板、攝像頭、指紋儀等終端采集患方身份特征信息，結(jié)合時(shí)間戳、身份證等多重信息，增強(qiáng)身份認(rèn)證效能，確保事中安全，防止事后失信[4]。

4.9 歸檔電子簽章服務(wù)

電子簽章基于成熟PKI技術(shù)和圖像技術(shù),將傳統(tǒng)印章與電子簽名技術(shù)相結(jié)合，表現(xiàn)層為電子印章圖片，實(shí)現(xiàn)電子病歷數(shù)字簽名可視化展現(xiàn)，其底層是使用數(shù)字證書(shū)的持有者私鑰對(duì)電子文檔簽名并加蓋簽章。醫(yī)院每天需要?dú)w檔病歷文件數(shù)量大，長(zhǎng)時(shí)間讀取USBKey容易導(dǎo)致讀取不穩(wěn)定或芯片損毀等故障。應(yīng)用電子簽章服務(wù)端可避免此類問(wèn)題，其由客戶端程序自動(dòng)觸發(fā)，調(diào)用服務(wù)端中間件，傳送待簽病歷文書(shū)給服務(wù)端[5]。

5 結(jié)語(yǔ)

數(shù)字認(rèn)證已在電子商務(wù)、電子政務(wù)和金融領(lǐng)域廣泛應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)安全交換并保證數(shù)據(jù)完整性、不可抵賴性和身份驗(yàn)證等合法性要求。醫(yī)院數(shù)字認(rèn)證起步較晚，存在場(chǎng)景復(fù)雜、簽名對(duì)象內(nèi)容各異等情況。本文從工作實(shí)踐出發(fā)，在調(diào)查國(guó)內(nèi)醫(yī)療機(jī)構(gòu)及研究分析文獻(xiàn)資料的基礎(chǔ)上，結(jié)合當(dāng)前數(shù)字認(rèn)證主流技術(shù)，闡述了建立醫(yī)院數(shù)字認(rèn)證體系的法律法規(guī)依據(jù)、可信認(rèn)證需求、可信認(rèn)證體系架構(gòu)及實(shí)現(xiàn)原理等。