区域医疗平台电子认证解决方案.docx

区域医疗平台电子认证解决方案.docx

《区域医疗平台电子认证解决方案.docx》由会员分享，可在线阅读，更多相关《区域医疗平台电子认证解决方案.docx（40页珍藏版）》请在冰豆网上搜索。

区域医疗平台电子认证解决方案

区域医疗信息平台

电子认证安全应用解决方案

二〇二二年三月

1.背景

为贯彻《电子签名法》和《电子病历基本规范》，保障医疗信息系统的安全，规避医疗行为的法律风险，卫生部于2010年1月7日发布了《卫生系统电子认证服务管理办法（试行）》，从行业角度提出使用电子认证服务保障卫生信息系统安全，满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求。

随后，卫生部于2010年5月7日发布了《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》，制定了《卫生系统电子认证服务规范（试行）》等五个电子认证服务技术规范，为卫生系统全面推广电子认证服务应用提供了政策与技术服务规范保障，以确保我国各类卫生信息系统都能够实现安全、合法、有序的开展。

为贯彻落实《卫生系统电子认证服务管理办法（试行）》（卫办发[2009]125号）、《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》（卫办综发[2010]74号），深圳市卫生和人口计划生育委员会（以下简称市卫人委）已发布《关于开展我市卫生和人口计生系统电子认证服务体系统一建设工作的通知》（深卫人发[2011]328号），积极开展了深圳市卫生系统电子认证服务体系的建设工作。

为更好地推进各区卫生信息化发展，顺应卫生部和市卫人委相关政策要求，切实保障各区域医疗信息平台系统安全，各区应建设电子认证服务系统，并依托该系统为各区卫生单位及个体提供统一的电子认证服务，有利于促进各区卫生系统电子认证服务体系的建设，具有重要的现实利益。

2.需求分析

根据对各区区域医疗信息平台实际调研情况，分析得出各区区域医疗信息平台主要存在以下安全需求：

1、方便快捷的数字证书发放与管理

区域医疗信息平台所面临的安全威胁，需要使用到数字证书，涉及到数字证书的申请、发放、更新、吊销等操作，医院业务的特殊性和连续性，决定了卫生系统中数字证书的使用需要对数字证书生命周期的管理工作提供便捷化支持，即在鉴别用户的真实身份后，即可快速提供证书申请、证书下载、证书更新、证书吊销和在线解锁等服务。

2、确保医护人员登录区域医疗信息系统身份的可靠性

区域医疗信息平台涉及医疗机构、公共卫生机构及行政机构等，平台用户类型多样，包括区域医疗机构、卫生行政部门、患者多类用户，传统的“用户名+口令码”的弱认证方式的弊端逐渐凸显，很容易导致内部重要医疗数据的外泄，甚至导致医院信息系统遭受破坏性攻击。

因此，确保业务参与各方身份真实可靠，建立高安全性的身份验证机制是保证区域医疗信息平台安全应用的关键。

3、确保电子化诊疗数据生成过程中的真实性和完整性

真实性主要体现在实时性和不可篡改性，也就是能够实时记录从各种临床信息系统采集来的诊疗信息和医护人员记录的主客观信息，应具备符合《电子签名法》要求的数字签名，记录的内容应具备防篡改功能和不可抵赖性，即使因某种原因需要修改，应详细记录修改人和修改时间。

因此，建立医疗数据的完整性保护机制，使用技术手段保证医疗数据在电子病历等业务系统中产生、存储、再利用的整个生命周期过程完整、准确。

4、实现图形化、可视化的电子签章功能

在现实医疗业务处理中，各医疗机构在处理医疗业务时均采用签名或加盖印章的方式来确保纸质病历信息的有效性。

而在区域医疗信息平台中，同样需要医护人员产生的电子签名数据具备图形化、可视化的效果，并能够对电子签章的有效性进行验证。

这样更加符合人们的日常操作习惯，更加容易被用户接受和认可。

5、保证电子病历内容和时间的法律效力

目前，很多医院和患者都对电子病历持审慎的怀疑态度，关键问题是纠结于电子病历的法律效力，一旦发生医患纠纷闹上法庭，都担心电子病历不能成为呈堂证供而败诉。

因此，电子病历内容和时间的合法性已经成为制约电子病历发展的重要因素，有必要从法律角度出发，依托现有的技术手段确保电子病历内容和时间的法律效力。

3.总体方案

3.1.设计思路

本方案以卫生部相关法律法规为依据，围绕各区域医疗信息平台实际安全需求，提供一整套基于电子认证服务和电子签名的解决方案，通过数字证书、电子认证应用系统、时间戳服务器和电子签章系统为核心产品，提供身份认证、数字签名、数据加密、时间戳、电子签章服务，从“可信身份、可信行为、可信数据、可信时间”四个范畴搭建各区可信区域医疗信息平台，从而真正实现区域医疗信息平台的可信业务环境建设需求。

图表1区域医疗信息平台电子认证实现模型

（1）可信身份服务为区域医疗信息平台解决行为人的身份凭证及凭证认证问题。

区域医疗信息平台通过接入第三方数字证书服务，部署数字证书受理点，为医生、护士、药剂师、系统管理员等医院工作者发放数字证书身份凭证；医护人员使用数字证书登录区域医疗信息平台，区域医疗信息平台通过电子签名客户端，实现强身份认证。

（2）可信行为服务为区域医疗信息平台解决医疗行为可追溯问题。

医生在电子病历等区域医疗信息平台系统中所进行的关键操作，通过电子签章系统完成数字签名可视化服务。

（3）可信数据服务为区域医疗信息平台解决医疗数据可信化、合法化问题。

通过在区域医疗信息平台集成电子认证应用系统，实现处方、医嘱、病程记录等关键医疗数据的可信化转换，使之符合《电子签名法》对可信数据电文的要求。

（4）可信时间服务为区域医疗信息平台解决医疗行为时间准确性和真实性问题。

区域医疗信息平台系统保存的医疗数据，需要加盖可信时间戳，确保此操作记录的时间可靠性。

3.2.建设方案

针对各区域医疗信息平台，建设面向辖区统一的数字证书发放与管理系统、电子认证系统、时间戳服务器以及电子签章系统，为辖区区域医疗机构提供证书认证、数据加密、时间戳、电子签章等服务，其总体框图如下所示：

图表2区域医疗信息平台总体框图

1、建设数字证书发放与管理系统

为方便区域医疗信息平台用户数字证书的申请、发放和后期服务，需在区域医疗信息平台设立数字证书发放与管理系统。

数字证书管理员使用数字证书发放与管理系统对区域医疗机构医护人员提供数字证书的发放与管理。

2、利用电子认证应用系统实现安全登录、数字签名和签名验证

电子认证应用系统主要为区域医疗信息平台提供数字签名及验证服务，通过在区域医疗信息平台中集成电子认证应用系统，实现用户登录应用系统的身份真实性认证、敏感信息加密、数字签名/签名验证等功能，实现重要医疗业务环节的签名和验证，确保数据的完整性和隐私保护。

3、利用时间戳服务器和标准时间源设备实现区域医疗信息平台信息系统时间同步和可信时间应用

通过部署标准时间源设备，保证区域医疗信息平台获取权威、统一、精准的时间信息，为实现医疗数据时间认证需求奠定坚实基础。

通过集成时间戳服务器，为诊疗数据提供可信时间戳服务。

4、利用电子签章系统实现对各类电子文档的可视化签章

通过在电子病历等区域医疗信息系统中集成电子签章系统，可实现电子签名的可视化显示,满足了电子病历规范所要求的“医务人员采用身份标识登录电子病历系统完成各项记录等操作并予确认后，系统应当显示医务人员电子签名”。

3.3.数字证书发放与管理系统

3.3.1.服务模式

为保证数字证书服务及时可达和实现自主化管理，通过在各区建设证书发放与管理系统，指定证书管理员来为内部工作人员发放数字证书，同时为区域医疗信息平台提供一整套的服务平台，从而使区域医疗平具有证书自助管理能力。

通过证书受理点进行证书发放流程如下：

（1）在区域医疗信息平台建设数字证书发放与管理系统，用户通过数字证书发放与管理系统办理数字证书；

（2）证书管理员需要收集用户信息和鉴别用户身份，将证书申请请求提交到数字证书发放与管理系统；

（3）CA系统签发证书，由数字证书发放与管理系统证书管理员负责灌制到证书介质中，并发放给最终用户。

3.3.2.数字证书形态及介质

1.证书形态

数字证书具有完善的产品形态，产品包括以下几个方面：

●产品包装：

便于运输邮件的产品包装盒和使用说明书；

●安装光盘：

包括证书管理软件以及介质驱动安装文件；

●刮刮卡：

存放证书介质的初始密码；

●证书介质：

存放证书信息等，包括USBKEY、SDKey、IC卡等介质。

图表3数字证书形态

2.证书介质

根据国家相关安全要求，为确保证书的安全性及用户使用的便利性，数字证书应采用智能化的硬件证书介质，它具有如下优点：

●安全强度高：

自带密码专用芯片，所有运算操作都在硬件介质内部进行；

●防拷贝：

密钥在外部环境无法读取和进行拷贝；

●自动锁定：

当输入PIN错误次数到达指定次数，硬件介质将被锁定，只有被解锁后才能重新使用；

●使用方便：

形状小巧，携带方便，操作简单。

根据医生工作站终端设备的不同配置，可提供两类证书介质，分别为USBKey、卡证书（射频卡或智能IC卡）。

3.3.3.服务内容

3.3.3.1.数字证书生命周期服务

设置在区域医疗信息平台的数字证书发放与管理系统提供数字证书整个生命周期的管理，包括证书的申请、审核、更新、注销、查询等。

图表4数字证书生命周期服务

具体如下：

•证书申请：

证书申请者到数字证书发放与管理系统申请证书，由数字证书发放与管理系统工作人员代用户录入用户信息。

由数字证书发放与管理系统工作人员根据证书申请用户所提供的证明材料，对用户的身份进行审核，并为通过审核的用户签发证书。

•证书更新：

证书有效期一般为一年，当用户证书到期后，需要进行更新操作。

支持提供在线更新和离线更新两种模式。

离线方式下，用户可到数字证书发放与管理系统进行办理，由证书管理员在进行身份审核后进行用户证书的更新操作。

在线模式下，用户可持旧证书进行自行登录数字证书发放与管理系统，由系统确认该证书的更新权限后，自动签发新证书并下载到用户介质中，从而实现简便高效的自助式证书更新。

•证书吊销：

由于密钥遗失、人员变动或其它原因，在证书用户提出申请后，证书管理员可以废除该指定用户的证书，并通过数字证书发放与管理系统进行作废证书列表的发布，使得该证书不能再次使用。

•证书查询：

可根据证书序列号、证书持有人、证书状态、证书类型、办理时期等查询条件，准确查询处于生命周期各个阶段的数字证书，及其持有人的详细信息。

3.3.3.2.数字证书管理

数字证书发放与管理系统管理员通过使用数字证书登录证书管理模块，实现本区域内用户证书业务管理。

业务管理包括管理员管理、证书统计、查询、报表等功能：

（1）管理员管理：

实现证书发放操作人员的管理，包括增加、删除、查询，设置操作权限等等；

（2）证书统计功能：

提供系统在某段时期内总共签发或注销证书的数量的统计服务，管理员只要输入统计的起始日期、统计的截止日期、待统计的证书类型、待统计的证书状态等条件，即可查询出符合要求的结果，并对结果进行汇合统计。

（3）报表功能：

系统就会提供文字和图表的统计结果，并可以将统计查询结果打印输出或以文件形式保存。

3.3.4.数字证书运行服务方案

3.3.4.1.证书申请与发放

用户数字证书发放采用集中制作发放的模式，即在各区设证书服务点（也可在各医院分别设证书服务点），由各区证书管理员收集、整理和审查用户证书申请信息的真实可靠后，由各区证书管理员集中制作数字证书后分发到用户手中。

证书发放流程如下图所示：

图表5数字证书申请发放流程图

证书申请发放流程描述如下：

（1）各医院管理员收集用户信息并鉴证申请资料的真实性；

（2）各区证书管理员登录数字证书发放与管理系统提交证书申请信息，为用户制作数字证书；

（3）各区证书管理员将带有数字证书的USBKEY转交给各医院管理员；

（4）各医院管理员将USBKEY数字证书分发给用户使用。

3.3.4.2.证书更新

证书的有效期通常为一年，当用户证书到期后，需要进行更新操作。

通过数字证书发放与管理系统，支持用户通过网络自助更新数字证书，即用户使用旧证书登录Web自助服务更新页面，数字签名证书发起更新请求，证书自动更新。

用户自主更新数字证书流程如下图所示：

图表6用户自助更新数字证书流程图

证书更新的具体流程如下：

（1）证书用户使用旧证书登录数字证书发放与管理系统；

（2）系统验证旧证书的有效性，确认已收费，授予该用户具有证书更新权限；

（3）用户进行新证书下载，完成更新业务。

3.3.4.3.证书解锁

USBKey是存放数字证书的物理载体，证书使用者在使用数字证书时需要输入USBKey的保护口令，即证书口令。

当使用者连续10次（实际情况可能有所不同）输入错误的口令时，USBKey会自动锁死，无法使用，此时需要将USBKey进行解锁。

各区证书管理员通过数字证书发放与管理系统，支持用户在线自助进行USBKEY介质解锁，即用户登录Web自助服务解锁页面，解答系统询问的私密问题，系统通过电子邮件/短信发送解锁授权码，用户输入授权码解锁。

解锁流程如下图所示：

图表7USBKEY解锁流程图

具体流程如下：

（1）证书用户登录数字证书发放与管理系统，提出USBKey解锁请求；

（2）各区证书管理业务人员确认USBKey持有人的身份，给予用户解锁授权码；

（3）证书用户登录证书解锁页面，输入授权码，完成USBKey解锁。

3.3.4.4.证书吊销

由于密钥遗失、人员变动或其它原因，证书不能再继续使用的需要吊销证书，数字证书吊销支持以下两种模式：

a）用户在线吊销：

用户登录Web自助服务输入想吊销证书信息，各区证书管理员鉴证用户身份，系统吊销证书，发布CRL。

b）管理员吊销：

管理员在系统中吊销证书，发布CRL。

证书吊销的发起人可以是授权的证书管理员，也可以是证书持有者本身。

授权的证书管理员可以使用自己的管理员证书，直接向CA提出吊销其管辖范围内的证书；证书持有者可以通过提交鉴证材料，证明其证书持有人身份后，提交证书吊销申请。

数字证书吊销流程如下图所示：

图表8数字证书吊销流程图

证书吊销具体流程如下：

（1）证书管理员可以通过在线或离线方式提交证书吊销请求，或者证书用户也可以通过在线方式直接提交证书吊销请求；

（2）系统鉴别证书吊销人的身份；

（3）发布证书撤销列表（CRL），并将CRL发布到相关应用系统；

（4）被吊销的证书无法再访问应用系统。

3.3.4.5.证书补办

在证书有效期内，证书使用者信息发生变更，证书介质发生损坏或者证书文件损坏需要为用户进行证书的重新签发。

各区证书管理员通过数字证书发放与管理系统，支持用户在线自助重签发数字证书，即用户向各区提出重签发请求，各区证书用户寄送鉴证材料，管理员授权，通过email/短信发送授权码，用户登录系统，输入授权码，下载证书，同时系统吊销原证书。

3.4.电子认证应用系统

电子认证应用系统主要为区域医疗信息平台提供数据加解密、数字签名及验证服务，通过在区域医疗信息平台中集成电子认证应用系统，实现用户登录应用系统的身份真实性认证、对敏感信息进行加密、签名保护的数字证书应用产品。

目前,电子认证应用系统有硬件级和软件级两种形态的产品，分别是PKI应用中间件软件和数字签名验证服务器，具体产品介绍如下：

3.4.1.PKI应用中间件软件

PKI应用中间件软件产品是一款利用数字证书、数字信封、数字签名等先进的安全技术，由客户端组件和安全网关组件两部分组成，分别为客户端和应用服务器提供安全服务。

客户端组件既可以内嵌到Web页面或客户端软件中，也可以被专用Client程序调用，对用户的使用是透明的；服务器端接口部署在应用服务器上，接受并处理由客户端发送过来的安全认证、数据加解密和签名验证等系列安全处理请求，为应用系统提供安全保护。

3.4.1.1.系统功能

PKI应用中间件软件具有加密解密、数字签名、数字信封、时间戳等安全功能，可以根据用户应用系统的具体安全要求以单独或组合方式进行系统整合。

PKI应用中间件软件的具体功能如下：

●加解密：

采用对称和非对称的加密解密算法，实现对敏感信息加密操作，防止敏感信息被非法窃取。

●数字签名：

为应用系统提供重要业务数据及关键操作行为的数字签名，应用系统通过这些数字签名记录，在发生纠纷时对数字签名进行验证，真正实现重要业务数据和关键操作的完整性和不可抵赖性；

●数字证书解析：

对数字证书域进行解析，将解析后的证书内容，如证书序列号、用户身份证号码等相关信息提交应用系统供应用系统使用；

●数字信封：

提供数字信封加密机制，提升数据加密效率和加密强度；

●密钥分割：

采用门限算法，可以将加密密钥分割成若干份提供给多人保管，当需要调取密钥时，根据预先约定的密钥持有策略在多人在场情况下将完成密钥的重新组装得到原有密钥。

●服务端证书管理功能：

在应用服务器上提供B/S方式的证书管理工具，用户可以使用该工具很方便的配置和管理服务器证书。

3.4.1.2.应用方式

数字证书应用接口在PKCS#11、CSP等标准的底层证书调用接口基础上，进行组件级应用封装，设计成由证书控件和服务端组件两部分，分别与浏览器和Web服务器协同工作，确保具有安全完备、使用透明、性能高效的特点：

浏览器端采用客户端组件，服务器端的具体调用形式为基于对象的安全证书组件，两者的功能是对称的，主要有验证证书、数字签名、证书解析、数字信封、随机数、加解密等功能。

从结构上，该系统由证书控件和服务端组件两部分组成，分别与浏览器和Web服务器协同工作，如下图所示：

图表9证书应用方式

证书应用接口客户端组件内嵌到Web页面或客户端软件中，当用户浏览应用系统时自动下载并在浏览器中工作，用户使用是透明的；服务器端安全网关作为基于对象的证书组件，配置于WEB服务器上，由应用程序进行调用，保护Web服务器的应用信息。

浏览器客户端组件和服务端的功能是对称的，主要有验证证书、加/解密、签名/验证、以及解析证书等功能。

3.4.1.3.系统集成

1）数字签名与验证签名

在各区区域医疗信息平台中，实现数字签名的集成工作流程如下图所示：

图表10数字签名的集成示意图

对需要电子签名的页面的集成工作如下：

1）在用户表单提交页面中加入脚本，通过调用证书控件，实现对表单信息的加密、签名和组包；（表单中可带有文件附件）

2）后台接受程序中调用相应的证书组件接口，完成解密、验签等操作；

3）在数据库中保存此次表单的数据及其电子签名。

2）加密与解密

加密后的数据如果不需要保存，只是在通信过程中加密，则可通过配置SSL网站，建立SSL加密通道即可，不需要额外的开发工作。

对于加密数据需要保存，一定时间后又需要解密的，则需要使用API接口对数据进行加密。

加密和解密过程类似上节的签名与验证，只是调用的API接口函数不同而已。

3.4.1.4.程序改造关键内容

1、数据库改造

应用系统的数据库需要做两个部分的改造。

1）在用户表中增加一个证书用户唯一标识字段，该字段的值是该用户的数字证书中用户唯一标识。

（SF+身份证号）

2）在各个签名表单对应的数据库表中增加数字签名值字段，该字段用于存放对表单或者数据的签名值。

2、程序改造

应用系统登陆模块和签名表单页面需要做改造。

1）应用系统的登陆模块需要做改造，参照PKI应用中间件的集成Demo，将服务器端和客户端实现相互验证签名、服务端验证客户端证书有效性和解析客户端证书集成到应用系统中，代替原有的用户名密码登陆方式。

2）签名表单页面调用客户端的签名方法对表单或数据做电子签名，然后将签名值及签名证书存放在数据库中。

3.4.1.5.相关代码示例

证书登陆相关代码，参见“jspdemo”目录下的和。

集成代码示例：

备注：

蓝色为客户端代码、红色为服务器端代码。

详细可参考集成demo。

数据签名相关代码，参见“jspdemo”目录下的和。

集成代码示例：

3.4.1.6.PKI应用中间件软件性能

PKI应用中间件软件的性能指标如下：

接口标准

PKCS#11、微软CSP等

支持密码算法

SSF33、RSA（1024）、3DES等

性性能

1024位RSA

非对称算法

签名

>400次/秒（4*2GCPU软实现）

>2450次/秒（单主机加密服务器实现）

验证

>2000次/秒（4*2GCPU软实现）

>10000次/秒（单主机加密服务器实现）

对称加密算法

SSF33

>

3DES

>309Mbps

负载均衡

支持多应用服务器负载均衡方式

支持SJY系列主机加密服务器负载均衡方式

图表11PKI应用中间件软件性能

3.4.2.数字签名验证服务器

数字签名验证服务器（以下简称DSVS）是由自主研发，为信息系统提供数字签名及验证服务的一款多安全功能、高稳定性、高性能，并且具备跨平台、可扩展和快速部署能力的软硬件集成化安全设备。

数字签名验证服务器实现服务端基于数字证书的身份认证、数字签名、数据加密等功能，核心是将提交的医疗数据进行数字签名，以保证数据的不可抵赖性、完整性需求，并在查询相关数据时，实现用户对于所查询的数据的有效性验证。

通过部署数字签名验证服务器实现电子病历生成等医院内部重要业务环节中的数字签名及验证。

3.4.2.1.系统功能

数字签名验证服务器具有数据签名、签名验证、证书验证等功能，具体功能如下：

应用功能

详细说明

数据签名与签名验证

提供PKCS1/PKCS7attach/PKCS7detach/XMLSign等多种格式的数字签名和数字签名验证功能

文件签名与验证

对文件提供数字签名和数字签名验证功能

证书有效性验证功能

提供CRL/OCSP等多种方式的证书有效性验证

动态黑名单功能

可以自动更新黑名单，采用动态更新方式，无需重启服务

多证书链功能

可同时配置多条证书链，验证不同CA系统签发的数字证书

获取证书信息功能

提供证书解析功能，获取证书中的任意主题信息以及扩展项信息

其他功能

详细说明

系统备份恢复功能

系统可以备份当前所有配置，保证系统瘫痪时的快速恢复

日志记录和发送功能

系统可以自行记录日志，也可以将日志以SYSLOG的方式发送到指定服务器

双机并行、负载均衡功能

高可靠性、高可用性

3.4.2.2.应用方式

为确保医疗数据具有法律效力，必须按照《电子签名法》要求，基于由国家认可的第三方电子认证服务机构签发的数字证书对其完成数字签名，才能具有法律效力。

通过数字签名验证服务器实现医生工作站的数字签名，以及区域医疗信息平台的签名验证等功能,具体流程如下图所示：

图表12数字签名及验证流程

3.4.2.3.系统集成

对于关键业务页面，可根据安全性要求，选择性进行签名和加密处理，包括：

●应用系统根据业务逻辑要求，调用客户端证书应用相关接口，实现对上传数据的数字签名或加密，并打包上传至应用服务器；服务器端接收程序应相应修改，调用数字签名验证系统，进行原文签名验证，并将签名数据入库保存；

●对于系统后台的数据库部分，需要在现有数据库中加入数字签名字段，并建立数字签名和原始明文的一一对应关系，为事后责任认定提供符合法律要求的电子证据。

3.4.2.4.相关代码示例

证书登陆相关代码，参见“jspdemo”目录下的和。

集成代码示例：

备注：

蓝色为客户端代码、红色为服务器端代码。

详细可参考集成demo。

数据签名相关代码，参见“jspdemo”目录下的和。

集成代码示例：

3.4.3.电子认证应用系统产品建议

通过以上两类产品的介绍可知，二者功能相同，两类产品都可以提供基于数字证书的身份认证、数据加密等功能，同时，可以实现对电子病历系统电子签名的应用功能。

PKI应用中间件软件已由深圳市卫生和人口计划与委员会统一采购、统一实施，各区域医疗信息平台可免费使用，但其