李迎新 温明锋 赵敏婵 梁泽民 苏日辉

(江门市中心医院网络信息科 江门 529030)

1 引言

医院业务类型多、流程长且交错复杂，信息化应用项目难度较高。随着医院信息化建设不断推进，电子病历系统作为医疗业务的核心得到推广应用，实现建立、记录、修改、使用、存储、管理、重现等功能。但电子形态数据相较纸质病历易被篡改或伪造，在医疗纠纷案件受到患者方更多质疑。如何保证电子病历合法有效成为医疗行业广泛关注的问题。电子病历无纸化归档建立在各相关环节、对象、角色等充分实现数字签名应用基础上，本文试从签名技术手段、便利性等角度对构建基于电子病历归档的安全可信数字认证架构进行研究，为实现无纸化化归档提供技术支撑。

2 数字签名法规依据和安全可信需求

2.1 概述

2005年4月1日起施行的《中华人民共和国电子签名法》及2017年4月施行的《电子病历应用管理规范(试行)》分别规定：“可靠的电子签名与手写签名或盖章具有同等法律效力”,“有条件的医疗机构电子病历系统可以使用电子签名进行身份认证，可靠的电子签名与手写签名或盖章具有同等的法律效力”，对数字签名在病历管理过程中的合法性提供法律、法规依据，为医疗信息安全认证和医疗网络信任体系建立奠定基础。医院数字签名场景复杂、对象内容各异，为实现用户访问行为可管、可控、可追溯，数据自始至终可信安全，数字认证体系应满足一定的安全可信需求。

2.2 安全认证登录

《电子病历应用管理规范(试行)》第9条规定：“电子病历系统应当为操作人员提供专有的身份标识和识别手段并设置相应权限。操作人员对本人身份标识的使用负责”。传统账户密码方式安全性低且易被非法登录，利用数字证书与用户身份信息对应，应用网络虚拟世界“身份证”，通过数字证书登录医院信息系统，解决用户身份认证和安全登录问题。

2.3 参与各方身份可信可管

医疗业务涉及医生、护士、患者、系统等角色，实现数字签名应用需针对各角色特点构建合适的签名认证机制，例如医生、护士人员相对固定，选用USBKey介质数字证书并以此为身份凭证即可满足基本使用需求；而患者流动性强，如使用USBKey数字证书则存在不方便、成本较高等问题。

2.4 医疗数据全周期安全可信

医疗数据产生链条长，包括就诊、检查检验、入院登记、诊疗、出院等环节；医疗数据维护周期长，包括数据产生、传输、存储、挖掘、应用、运营等，应在全链条、全周期确保数据真实、完整、可信、机密、隐私不被泄露。

2.5 医疗服务行为可回溯

医院业务系统种类、用户角色较多，每个业务环节都需要进行特定授权管理。《电子病历应用管理规范(试行)》第14条规定：“在医生开处方、医嘱、书写病历等医疗服务行为过程中，能直观显示签名者姓名及完成时间，保存历史操作印痕，标记操作时间和操作人员信息并可查询，可回溯”。

2.6 个人隐私与医疗敏感数据保护

《中华人民共和国侵权责任法》第62条规定：“医疗机构及其医务人员应当对患者的隐私保密”。医院运营数据中存在大量敏感数据和个人隐私信息，一旦遭到破坏或泄露可能导致相关方的合法权益损害。应建立安全保障机制，在数据生成、传输、存储与处理过程中保证信息机密性、完整性和行为不可抵赖性。

2.7 权威可靠时间戳

《电子病历应用管理规范(试行)》第11条规定：“电子病历系统应当采用权威可靠的时间源”。医院信息系统中涉及多项与时间密切相关的操作，如开具处方、医嘱、病历等，除需要电子签名还要求为数字签名文件提供日期和时间信息服务，确保医院对依赖于时间的业务正常有序完成。

3 数字认证技术

3.1 电子签名

应用单向散列函数(HASH函数)将任意长度的数据信息压缩到某一固定长度消息摘要，其模型为：h=H(M)，其中M为待处理数据信息，可为任意长度；H为单向散列函数；h为生成的信息摘要，具有固定长度且与M长度无关；签名者使用私钥签名单向散列函数生成信息摘要；将数据信息本身和已签名消息摘要关联存储或传送；验证是否有效时使用相同单向散列函数对信息本身再次生成新的信息摘要，再通过签名者公钥对最初信息摘要进行验证，得到最初所计算的信息摘要，将两者进行比较，相等则验证通过，否则验证失败。

3.2 数据加密

数字签名与加密均使用公开密钥体系，但实现过程正好相反，使用不同密钥对。电子签名使用发送方密钥对，用发送方私钥进行加密，接收方用发送方公钥进行解密验证，为一对多关系，拥有发送方公钥均可验证电子签名有效性。数据加密使用接收方私钥对，为多对一关系，拥有接收方公钥均可向接收方发送加密信息，只有拥有接收方私钥才能解密。电子签名仅使用非对称密钥加密算法，而数据加密需要对称密钥加密算法和非对称密钥加密算法相结合。

4 体系架构

4.1 概述

医院数字签名场景较复杂、对象内容各异，实现电子病历“可靠电子签名”除满足数字签名一般要求外，还需要根据电子病历特殊性考虑数字签名成本、效率、便利性等因素。根据可信数字认证因素和数字签名技术，从数字证书管理、数字认证服务基础设施、认证业务支撑、业务系统数字应用等方面综合建立医院数字认证体系结构，见图1。

图1 医院数字认证体系架构

4.2 CA认证中心

严格按照《中华人民共和国电子签名法》《电子认证服务管理办法》等相关规定，提供数字证书申请、审核、制作、签发、发布、应用、校验、更新等全生命周期服务，每个数字证书必须与持有人进行关联，通过以公开密钥基础设施(Public Key Infrastructure, PKI)技术、数字证书应用为核心的产品和服务。

4.3 时间戳服务

病历书写规范对时间记录有严格要求，在数字签名过程中同时加入时间戳是比较便捷、可靠的时间记录方式，将签名时间与数字签名签名文件一起构成不可篡改的文档内容系统。具体实现过程为：业务系统时间戳请求模块生成并发起时间戳服务请求，将待签发时间戳的原文计算出摘要发送至时间戳服务器，时间戳服务器读取标准时间源时间，利用该时间戳服务器证书对应的私钥对摘要和可信时间进行签名，产生时间戳；将该时间戳传回应用系统，见图2。

图2 时间戳服务实现过程

4.4 数字签名验证

实现数字证书实体用户身份识别，对电子病历进行数字签名及签名验证服务。电子病历相关信息系统数量较多且随时产生签名记录，通常各个系统通过自身签名验证模块管理，保证电子病历记录不缺失，为电子病历最后归档及验证带来一定难度，设计数字签名集中验证模块可搭建集中统一服务平台，降低各系统实现签名复杂度，见图3。

图3 数字签名验证平台

4.5 安全登录

操作人员登录电子病历系统时使用数字证书作为有效身份凭证，实现高安全性、可靠性的登录认证，确保操作者身份真实有效。采用数字证书载体不同登录方式有所区别，使用USBKey进行身份认证时，需要将USBKey插入计算机并输入个人标识码(Personal Identification Number, PIN)；使用数字证书为手机载体，需要通过手机扫描二维码并进行短信或PIN码验证登录。

4.6 移动认证系统

传统数字证书需要通过硬件保护，使用硬件USBKey实现；但USBKey无法适应大部分移动应用场景下用户体验以及和手机等移动终端匹配等要求，如果只是简单将数字证书(密钥)以文件证书形式设置在业务应用中则易导致安全等级过低，密钥被复制和篡改甚至泄露等安全问题。移动认证系统提供基础密码服务,在手机等移动设备上完成传统硬件USBKey功能的密码技术，不依赖硬件密码芯片，用软件实现可靠的密码设备、密码运算和数字证书等全部功能，是实现移动应用安全的核心技术。

4.7 移动电子签名

手机、掌上电脑(Personal Digital Assistant，PDA)、平板电脑等移动终端在临床业务中的广泛应用极大方便了医护人员随时、随地进行数据采集、查询、分析处理，实现移动护理、移动查房、输血、检验、用药、检查、手术等闭环管理，提高临床工作效率和质量，扩大延伸医护服务范围。传统数字证书存储在含有安全密码芯片的USBKey介质中，证书私钥在内部生成、加密、验证运算[1]。对移动终端而言，USBKey存在硬件接口不匹配、体积较大、容易丢失等不足，云密钥将用户私钥安全加密存储在具有国密产品资质的密码设备上，证书密钥存储和运算部署在私有云或公有云，通过员工工号、移动端硬件特征、证书密码、短信验证、刷脸等因素组合，生成非实物介质证书，实现“随时、随地、随签”[2]。

4.8 患方数字手写签名

患方电子签名使用率较低且流动性较大，不适用与医护人员相同的电子签名模式[3]。应在系统生成患方待签文书，基于PKI应用数字化手写签名，同时通过手写签名板、摄像头、指纹仪等终端采集患方身份特征信息，结合时间戳、身份证等多重信息，增强身份认证效能，确保事中安全，防止事后失信[4]。

4.9 归档电子签章服务

电子签章基于成熟PKI技术和图像技术,将传统印章与电子签名技术相结合，表现层为电子印章图片，实现电子病历数字签名可视化展现，其底层是使用数字证书的持有者私钥对电子文档签名并加盖签章。医院每天需要归档病历文件数量大，长时间读取USBKey容易导致读取不稳定或芯片损毁等故障。应用电子签章服务端可避免此类问题，其由客户端程序自动触发，调用服务端中间件，传送待签病历文书给服务端[5]。

5 结语

数字认证已在电子商务、电子政务和金融领域广泛应用，实现网络环境下数据安全交换并保证数据完整性、不可抵赖性和身份验证等合法性要求。医院数字认证起步较晚，存在场景复杂、签名对象内容各异等情况。本文从工作实践出发，在调查国内医疗机构及研究分析文献资料的基础上，结合当前数字认证主流技术，阐述了建立医院数字认证体系的法律法规依据、可信认证需求、可信认证体系架构及实现原理等。