鐘麗娜，鄭新波，莫建坤△，羅志恒，陳 波，易 哲，黃 龍，朱偉杰，馮劍鋒，羅煥泉

1.廣東省第二人民醫(yī)院輸血科,廣東廣州 510310；2.廣東邁科醫(yī)學(xué)科技股份有限公司，廣東廣州 510320

隨著近幾年移動(dòng)互聯(lián)網(wǎng)的發(fā)展，結(jié)合智能手機(jī)、5G網(wǎng)絡(luò)的普及，移動(dòng)技術(shù)在醫(yī)院輸血信息管理系統(tǒng)中的應(yīng)用越來越廣泛。在網(wǎng)絡(luò)型用血安全數(shù)字化、無紙化管理系統(tǒng)的建立及應(yīng)用過程中發(fā)現(xiàn)，輸血科(血庫)一個(gè)人值班時(shí)，需要在不同的實(shí)驗(yàn)室對輸血信息管理系統(tǒng)進(jìn)行操作，使用硬件型的優(yōu)盾進(jìn)行數(shù)字簽名認(rèn)證時(shí)，則需要在不同的操作電腦間對優(yōu)盾進(jìn)行頻繁拔插，實(shí)屬不便；再者如何將臨床取血人的證書簽證機(jī)關(guān)(CA)簽名信息嵌入到輸血科(血庫)輸血信息管理系統(tǒng)的發(fā)血單據(jù)上也是需要考慮的關(guān)鍵問題[1-3]。本文依據(jù)《臨床輸血技術(shù)規(guī)范》《醫(yī)療機(jī)構(gòu)臨床用血管理辦法》《衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理辦法(試行)》及相關(guān)標(biāo)準(zhǔn)規(guī)范要求，采用雙軌制，即按照《臨床輸血技術(shù)規(guī)范》要求完成用血安全工作的同時(shí)，擬在廣東省第二人民醫(yī)院輸血信息管理系統(tǒng)上開展使用云密鑰管理系統(tǒng)，并且使用移動(dòng)簽署管理系統(tǒng)在平板電腦上實(shí)現(xiàn)電子簽章數(shù)字認(rèn)證，確保輸血信息管理系統(tǒng)運(yùn)行的用血安全數(shù)字化、無紙化、數(shù)據(jù)和檔案真實(shí)可信且合法有效[4-5]。

1 材料與方法

1.1云密鑰管理系統(tǒng)

1.1.1總體技術(shù)方案 根據(jù)《電子簽名法》相關(guān)要求，以及中華人民共和國國家衛(wèi)生健康委員會關(guān)于醫(yī)療衛(wèi)生系統(tǒng)的相關(guān)政策要求和技術(shù)要求，搭建符合法律法規(guī)要求的電子認(rèn)證服務(wù)體系，體系分為兩大部分：數(shù)字證書服務(wù)體系和安全應(yīng)用支撐體系，其中數(shù)字證書服務(wù)體系負(fù)責(zé)審核醫(yī)護(hù)人員的真實(shí)身份，同時(shí)為其簽發(fā)數(shù)字證書；安全應(yīng)用支撐體系負(fù)責(zé)將數(shù)字證書認(rèn)證和醫(yī)療衛(wèi)生系統(tǒng)進(jìn)行集成，形成完整、可靠、符合法律、符合政策規(guī)范的衛(wèi)生系統(tǒng)電子認(rèn)證。

云密鑰管理系統(tǒng)使用非實(shí)物介質(zhì)證書，避免出現(xiàn)證書的攜帶及保管問題，支持基于手機(jī)的強(qiáng)身份認(rèn)證，認(rèn)證方式采用數(shù)字證書，移動(dòng)終端支持直接調(diào)用云端密鑰，實(shí)現(xiàn)移動(dòng)終端的可靠身份認(rèn)證和電子簽名；支持對應(yīng)用數(shù)據(jù)或文件提供數(shù)字簽名操作，支持業(yè)務(wù)端、用戶端、云認(rèn)證簽名服務(wù)系統(tǒng)協(xié)同完成，并且需要用戶確認(rèn)；采用密鑰管理云服務(wù)，支持密鑰由移動(dòng)終端和云認(rèn)證服務(wù)協(xié)商產(chǎn)生。提供密鑰生成、存儲、銷毀的云服務(wù)。云密鑰管理系統(tǒng)整體架構(gòu)見圖1。

1.1.2云密鑰用戶認(rèn)證與數(shù)據(jù)簽名 醫(yī)院云密鑰使用個(gè)人身份識別碼(PIN)+設(shè)備綁定的模式，醫(yī)院管理部門提交醫(yī)護(hù)人員資料(工號、姓名、身份證、手機(jī)號碼等)和紙質(zhì)申請備案，供監(jiān)管部門審查，CA后臺批量審核簽發(fā)數(shù)字證書，短信發(fā)送初始密碼；醫(yī)護(hù)人員安裝云密鑰APP，初次登錄輸入工號和初始密碼，通過短信驗(yàn)證碼綁定到備案的手機(jī)號碼，完成設(shè)備綁定，綁定后可實(shí)現(xiàn)掃碼簽名。

輸血科工作人員登錄醫(yī)院輸血信息管理系統(tǒng)，輸血信息管理系統(tǒng)通過密鑰安全管理系統(tǒng)調(diào)用身份認(rèn)證模塊進(jìn)行身份校驗(yàn)，返回身份校驗(yàn)數(shù)據(jù)，中間件根據(jù)校驗(yàn)數(shù)據(jù)生成登錄專用二維碼；用戶打開移動(dòng)終端APP，掃描二維碼，第1次簽名或登錄時(shí)需要輸入PIN，提交簽名給云密鑰管理系統(tǒng)身份認(rèn)證模塊進(jìn)行校驗(yàn)，校驗(yàn)完成后對提交醫(yī)療數(shù)據(jù)進(jìn)行電子簽名并加蓋時(shí)間戳。

圖1 云密鑰管理系統(tǒng)整體架構(gòu)

1.1.3數(shù)字簽名與驗(yàn)證的關(guān)鍵步驟 見圖2。(1)首先檢查操作人員是否登錄輸血信息管理系統(tǒng)。(2)如果已經(jīng)登錄輸血信息管理系統(tǒng)，則檢查是否過了登錄有效期，登錄有效期可以由輸血信息管理系統(tǒng)來設(shè)置。如果過了有效期則提示重新登錄流程，沒有過有效期則執(zhí)行圖2第1、2、3步驟。(3)操作人員完成數(shù)字簽名操作。

圖2 輸血信息管理系統(tǒng)數(shù)字簽名與驗(yàn)證的步驟

1.1.4云密鑰安全管理與密鑰生成過程[6-8](1)云密鑰管理系統(tǒng)產(chǎn)生隨機(jī)PIN。(2)使用國產(chǎn)SM3算法計(jì)算上一步產(chǎn)生的隨機(jī)PIN的散列函數(shù)值。(3)使用國產(chǎn)KDF算法，利用上一步計(jì)算得到的HASH值作為輸入，導(dǎo)出一個(gè)對稱密鑰k。(4)云密鑰管理系統(tǒng)調(diào)用專用密碼設(shè)備產(chǎn)生簽名密鑰密文cd1(專用密碼設(shè)備使用內(nèi)置密鑰對簽名密鑰加密后的結(jié)果)。(5)云密鑰管理系統(tǒng)使用(3)中產(chǎn)生的對稱密鑰k，使用國產(chǎn)SM4對稱加密算法，再對上一步產(chǎn)生的簽名密鑰密文進(jìn)行加密，得到雙重加密的簽名密鑰密文cd2。(6)云密鑰管理系統(tǒng)銷毀(3)中產(chǎn)生的對稱密鑰。(7)云密鑰管理系統(tǒng)存儲簽名密鑰對雙重加密后的密文cd2。

1.1.5密鑰計(jì)算過程 (1)云密鑰管理系統(tǒng)使用國產(chǎn)KDF算法，利用用戶輸入的PIN的HASH值作為輸入，導(dǎo)出一個(gè)對稱密鑰k1。(2)使用上一步導(dǎo)出的對稱密鑰k1解密雙重加密后的簽名密鑰密文cd2。(3)如果用戶輸入的PIN正確，則解密后能得到cd1，否則，解密失敗。(4)云密鑰管理系統(tǒng)調(diào)用專用密碼設(shè)備提供的接口，將cd1和待簽名的數(shù)據(jù)輸入到專用密碼設(shè)備中，得到正確的計(jì)算結(jié)果，即簽名結(jié)果。

1.2移動(dòng)簽署管理系統(tǒng)

1.2.1移動(dòng)簽署管理系統(tǒng)網(wǎng)絡(luò)拓?fù)?移動(dòng)簽署管理系統(tǒng)網(wǎng)絡(luò)拓?fù)湟妶D3。

1.2.2移動(dòng)簽署管理系統(tǒng)在輸血信息管理系統(tǒng)上的應(yīng)用 輸血信息管理系統(tǒng)與移動(dòng)簽署管理系統(tǒng)進(jìn)行對接，輸血科操作人員在輸血信息管理系統(tǒng)上用云密鑰管理系統(tǒng)對發(fā)血單據(jù)進(jìn)行數(shù)字簽名，然后將該單據(jù)發(fā)送到移動(dòng)簽署管理系統(tǒng)，臨床取血醫(yī)護(hù)人員在平板電腦上用手寫筆對發(fā)血單據(jù)進(jìn)行簽名確認(rèn)，實(shí)現(xiàn)了發(fā)血單據(jù)簽署流程的無紙化。

圖3 移動(dòng)簽署管理系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

2 結(jié) 果

2.1在操作輸血信息管理系統(tǒng)電腦終端時(shí)，插入CA輸血信息管理系統(tǒng)可全程實(shí)時(shí)記錄操作員動(dòng)作，可確保輸血信息管理系統(tǒng)中輸血相容性各種實(shí)驗(yàn)報(bào)告、電子數(shù)據(jù)、檔案等的安全性和合法性。

2.2在應(yīng)用輸血信息管理系統(tǒng)時(shí)，登錄云密鑰管理系統(tǒng)實(shí)現(xiàn)實(shí)時(shí)電子簽名，解決了輸血科工作人員操作輸血信息管理系統(tǒng)時(shí)需要攜帶硬件電子簽章的不便、在網(wǎng)絡(luò)型輸血信息管理系統(tǒng)不同終端電腦操作時(shí)需要反復(fù)拔插CA的問題，提高了電子簽名的方便性、可操作性、安全性和合法性。

2.3通過使用CA簽名平板，實(shí)現(xiàn)醫(yī)務(wù)人員取血簽名合法化、規(guī)范化問題。廣東省第二人民醫(yī)院對用血安全輸血相容性相關(guān)電子報(bào)告、檔案實(shí)現(xiàn)了規(guī)范化、標(biāo)準(zhǔn)化管理，工作流程得到了充分優(yōu)化，減少了用血安全中信息數(shù)據(jù)實(shí)驗(yàn)報(bào)告和檔案的各種缺項(xiàng)。

3 討 論

隨著科學(xué)技術(shù)，特別是信息化技術(shù)的發(fā)展，輸血信息化、無紙化管理是用血安全管理的重要課題和必然發(fā)展趨勢。根據(jù)現(xiàn)行《臨床輸血技術(shù)規(guī)范》要求，本科室嘗試建立臨床用血安全資料、檔案紙質(zhì)與數(shù)字化、無紙化“雙軌制”保存管理方法：按照傳統(tǒng)方法手工簽署和保存輸血相容性相關(guān)資料和實(shí)驗(yàn)報(bào)告，同時(shí)根據(jù)中國合格評定國家認(rèn)可委員會ISO15189:2012、紙質(zhì)檔案數(shù)字化規(guī)范(DA/T31-2017)、電子文檔歸檔與電子檔案管理規(guī)范、中華人民共和國檔案法、無紙化病案的實(shí)施與改進(jìn)的說明[9-12]，開展在輸血信息管理系統(tǒng)建立云密鑰和CA簽名平板電子認(rèn)證[13]。

輸血科工作人員操作輸血信息管理系統(tǒng)時(shí)，插入工作人員的CA簽名操作輸血信息管理系統(tǒng)，輸血信息管理系統(tǒng)可實(shí)時(shí)記錄操作人員各種動(dòng)作，可確保輸血信息管理系統(tǒng)中的電子數(shù)據(jù)、檔案的安全性和合法性，但是在網(wǎng)絡(luò)型輸血信息管理系統(tǒng)的不同電腦終端操作時(shí)必須拔插操作人員的CA簽名到正在操作的電腦終端上，這樣才能確保操作人員操作實(shí)時(shí)有效。在登錄輸血信息管理系統(tǒng)時(shí)登錄云密鑰管理系統(tǒng)，這樣就可以解決輸血科操作人員在網(wǎng)絡(luò)型輸血信息管理系統(tǒng)的不同電腦終端操作電子簽名問題，不存在需要操作人員再登錄問題，一次登錄云密鑰管理系統(tǒng)就可全程實(shí)時(shí)監(jiān)控、實(shí)現(xiàn)操作人員的電子簽名真實(shí)可靠，并且具有法律效力。

臨床取血醫(yī)護(hù)人員在輸血科發(fā)血單據(jù)上必須簽名是臨床輸血技術(shù)規(guī)范要求的。本科室曾考慮臨床發(fā)血時(shí)直接使用取血人員個(gè)人的CA簽名解決取血者的電子簽名合法性問題，但綜合考慮后使用CA移動(dòng)簽署管理系統(tǒng)并將之嵌合到輸血信息管理系統(tǒng)中更為科學(xué)合理，它可以很好地解決不同取血人員需要攜帶CA簽名、忘記攜帶或故障等原因影響電子簽名問題。使用CA移動(dòng)簽署平板電子認(rèn)證，使用優(yōu)盾在輸血信息管理系統(tǒng)中進(jìn)行電子簽名操作，解決了取血者在輸血信息管理系統(tǒng)上的電子簽名合法性問題。

將云密鑰、移動(dòng)簽署管理系統(tǒng)嵌合到輸血信息管理系統(tǒng)上，輸血科工作人員登錄輸血信息管理系統(tǒng)時(shí)插入操作人員的CA簽名或登錄云密鑰管理系統(tǒng)，當(dāng)輸血科發(fā)血時(shí)請臨床取血者在移動(dòng)簽署平板上進(jìn)行電子簽名，實(shí)現(xiàn)了在用血安全全程電子化、無紙化辦公的同時(shí)，又保證了電子數(shù)據(jù)的安全性和合法性；在提高醫(yī)護(hù)人員工作效率及電子數(shù)據(jù)安全保護(hù)的同時(shí)，又減少了因優(yōu)盾忘記攜帶或故障等原因影響醫(yī)療業(yè)務(wù)正常進(jìn)行的需求,同時(shí)在登陸系統(tǒng)的時(shí)候,增加如微信掃碼、指紋識別等身份驗(yàn)證方式，提高了安全級別。

通過云密鑰及移動(dòng)簽署管理系統(tǒng)在輸血信息管理系統(tǒng)中的應(yīng)用，有效解決了電子簽名的真實(shí)性與唯一性，為電子簽名提供了一種有效、安全、合法的方式。