區(qū)域醫(yī)療平臺電子認證解決方案.doc

區(qū)域醫(yī)療信息平臺區(qū)域醫(yī)療信息平臺 電子認證安全應用解決方案電子認證安全應用解決方案 二二一九二一九二一九年十月一九年十月 區(qū)域醫(yī)療信息平臺電子認證解決方案 目錄目錄 1.1.背景背景.1 2.2.需求分析需求分析2 3.3.總體方案總體方案3 3.1.設計思路 3 3.2.建設方案 5 3.3.數(shù)字證書發(fā)放與管理系統(tǒng).7 3.3.1. 服務模式.7 3.3.2. 數(shù)字證書形態(tài)及介質(zhì).7 3.3.3. 服務內(nèi)容.9 3.3.4. 數(shù)字證書運行服務方案.11 3.4.電子認證應用系統(tǒng) 15 3.4.1. PKI 應用中間件軟件16 3.4.2. 數(shù)字簽名驗證服務器.24 3.4.3. 電子認證應用系統(tǒng)產(chǎn)品建議.29 3.5.時間戳服務器 30 3.5.1. 建設模式.30 3.5.2. 時間戳服務器.33 3.6.電子簽章系統(tǒng) 39 3.6.1. 建設模式.39 3.6.2. 電子簽章系統(tǒng).41 3.7.電子簽名實現(xiàn)方案 44 3.7.1. 衛(wèi)生部關于電子病歷簽名要求.44 3.7.2. 醫(yī)生客戶端中的電子簽名.48 3.7.3. 申請單中的電子簽名.49 3.7.4. 病歷歸檔中的電子簽名.51 3.7.5. 電子病歷系統(tǒng)（EMR）的電子簽名實現(xiàn).52 3.7.6. 醫(yī)囑系統(tǒng)的電子簽名實現(xiàn).59 區(qū)域醫(yī)療信息平臺電子認證解決方案 3.7.7. 門急診 HIS 系統(tǒng)的電子簽名實現(xiàn).60 3.7.8. 實驗室系統(tǒng)（LIS）的電子簽名實現(xiàn).63 3.7.9. 影像系統(tǒng)（PACS）的電子簽名實現(xiàn).65 3.7.10. 健康體檢系統(tǒng)（PEIS）的電子簽名實現(xiàn)65 4.4.方案應用效果及優(yōu)勢方案應用效果及優(yōu)勢.67 5.5.醫(yī)療衛(wèi)生領域成功案例集醫(yī)療衛(wèi)生領域成功案例集69 6.6.系統(tǒng)軟硬件清單及報價系統(tǒng)軟硬件清單及報價 .71 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 1 頁 1.1.背景背景 為貫徹電子簽名法和電子病歷基本規(guī)范 ，保障醫(yī)療信息 系統(tǒng)的安全，規(guī)避醫(yī)療行為的法律風險，衛(wèi)生部于 2010 年 1 月 7 日 發(fā)布了衛(wèi)生系統(tǒng)電子認證服務管理辦法（試行） ，從行業(yè)角度提 出使用電子認證服務保障衛(wèi)生信息系統(tǒng)安全，滿足衛(wèi)生信息系統(tǒng)在 身份認證、授權管理、責任認定等方面的信息安全需求身份認證、授權管理、責任認定等方面的信息安全需求。隨后，衛(wèi) 生部于 2010 年 5 月 7 日發(fā)布了衛(wèi)生部辦公廳關于做好衛(wèi)生系統(tǒng)電 子認證服務體系建設工作的通知 ，制定了衛(wèi)生系統(tǒng)電子認證服務 規(guī)范（試行） 等五個電子認證服務技術規(guī)范，為衛(wèi)生系統(tǒng)全面推廣 電子認證服務應用提供了政策與技術服務規(guī)范保障，以確保我國各 類衛(wèi)生信息系統(tǒng)都能夠?qū)崿F(xiàn)安全、合法、有序的開展。 為貫徹落實衛(wèi)生系統(tǒng)電子認證服務管理辦法（試行） （衛(wèi)辦 發(fā)2009125 號） 、 衛(wèi)生部辦公廳關于做好衛(wèi)生系統(tǒng)電子認證服務 體系建設工作的通知 （衛(wèi)辦綜發(fā)201074 號） ，深圳市衛(wèi)生和人口 計劃生育委員會（以下簡稱市衛(wèi)人委）已發(fā)布關于開展我市衛(wèi)生 和人口計生系統(tǒng)電子認證服務體系統(tǒng)一建設工作的通知 （深衛(wèi)人發(fā) 2011328 號） ，積極開展了深圳市衛(wèi)生系統(tǒng)電子認證服務體系的建 設工作。 為更好地推進各區(qū)衛(wèi)生信息化發(fā)展，順應衛(wèi)生部和市衛(wèi)人委相 關政策要求，切實保障各區(qū)域醫(yī)療信息平臺系統(tǒng)安全，各區(qū)應建設 電子認證服務系統(tǒng)，并依托該系統(tǒng)為各區(qū)衛(wèi)生單位及個體提供統(tǒng)一 的電子認證服務，有利于促進各區(qū)衛(wèi)生系統(tǒng)電子認證服務體系的建 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 2 頁 設，具有重要的現(xiàn)實利益。 2.2.需求分析需求分析 根據(jù)對各區(qū)區(qū)域醫(yī)療信息平臺實際調(diào)研情況，分析得出各區(qū)區(qū) 域醫(yī)療信息平臺主要存在以下安全需求： 1 1、方便快捷的數(shù)字證書發(fā)放與管理方便快捷的數(shù)字證書發(fā)放與管理 區(qū)域醫(yī)療信息平臺所面臨的安全威脅，需要使用到數(shù)字證書， 涉及到數(shù)字證書的申請、發(fā)放、更新、吊銷等操作，醫(yī)院業(yè)務的特 殊性和連續(xù)性，決定了衛(wèi)生系統(tǒng)中數(shù)字證書的使用需要對數(shù)字證書 生命周期的管理工作提供便捷化支持，即在鑒別用戶的真實身份后， 即可快速提供證書申請、證書下載、證書更新、證書吊銷和在線解 鎖等服務。 2 2、確保醫(yī)護人員登錄區(qū)域醫(yī)療信息系統(tǒng)身份的可靠性確保醫(yī)護人員登錄區(qū)域醫(yī)療信息系統(tǒng)身份的可靠性 區(qū)域醫(yī)療信息平臺涉及醫(yī)療機構、公共衛(wèi)生機構及行政機構等， 平臺用戶類型多樣，包括區(qū)域醫(yī)療機構、衛(wèi)生行政部門、患者多類 用戶，傳統(tǒng)的“用戶名+口令碼” 的弱認證方式的弊端逐漸凸顯， 很容易導致內(nèi)部重要醫(yī)療數(shù)據(jù)的外泄，甚至導致醫(yī)院信息系統(tǒng)遭受 破壞性攻擊。因此，確保業(yè)務參與各方身份真實可靠，建立高安全 性的身份驗證機制是保證區(qū)域醫(yī)療信息平臺安全應用的關鍵。 3 3、確保電子化診療數(shù)據(jù)生成過程中的真實性和完整性確保電子化診療數(shù)據(jù)生成過程中的真實性和完整性 真實性主要體現(xiàn)在實時性和不可篡改性，也就是能夠?qū)崟r記錄 從各種臨床信息系統(tǒng)采集來的診療信息和醫(yī)護人員記錄的主客觀信 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 3 頁 息，應具備符合電子簽名法要求的數(shù)字簽名，記錄的內(nèi)容應具 備防篡改功能和不可抵賴性，即使因某種原因需要修改，應詳細記 錄修改人和修改時間。因此，建立醫(yī)療數(shù)據(jù)的完整性保護機制，使 用技術手段保證醫(yī)療數(shù)據(jù)在電子病歷等業(yè)務系統(tǒng)中產(chǎn)生、存儲、再 利用的整個生命周期過程完整、準確。 4 4、實現(xiàn)圖形化、可視化的電子簽章功能實現(xiàn)圖形化、可視化的電子簽章功能 在現(xiàn)實醫(yī)療業(yè)務處理中，各醫(yī)療機構在處理醫(yī)療業(yè)務時均采用 簽名或加蓋印章的方式來確保紙質(zhì)病歷信息的有效性。而在區(qū)域醫(yī) 療信息平臺中，同樣需要醫(yī)護人員產(chǎn)生的電子簽名數(shù)據(jù)具備圖形化、 可視化的效果，并能夠?qū)﹄娮雍炚碌挠行赃M行驗證。這樣更加符 合人們的日常操作習慣，更加容易被用戶接受和認可。 5 5、保證電子病歷內(nèi)容和時間的法律效力保證電子病歷內(nèi)容和時間的法律效力 目前，很多醫(yī)院和患者都對電子病歷持審慎的懷疑態(tài)度，關鍵 問題是糾結于電子病歷的法律效力，一旦發(fā)生醫(yī)患糾紛鬧上法庭， 都擔心電子病歷不能成為呈堂證供而敗訴。因此，電子病歷內(nèi)容和 時間的合法性已經(jīng)成為制約電子病歷發(fā)展的重要因素，有必要從法 律角度出發(fā)，依托現(xiàn)有的技術手段確保電子病歷內(nèi)容和時間的法律 效力。 3.3.總體方案總體方案 3.1.3.1. 設計思路設計思路 本方案以衛(wèi)生部相關法律法規(guī)為依據(jù)，圍繞各區(qū)域醫(yī)療信息平 Comment He1: 可信行為由電子簽章 系統(tǒng)實現(xiàn)。 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 4 頁 臺實際安全需求，提供一整套基于電子認證服務和電子簽名的解決 方案，通過數(shù)字證書、電子認證應用系統(tǒng)、時間戳服務器和電子簽 章系統(tǒng)為核心產(chǎn)品，提供身份認證、數(shù)字簽名、數(shù)據(jù)加密、時間戳、 電子簽章服務，從“可信身份、可信行為、可信數(shù)據(jù)、可信時間” 四個范疇搭建各區(qū)可信區(qū)域醫(yī)療信息平臺，從而真正實現(xiàn)區(qū)域醫(yī)療 信息平臺的可信業(yè)務環(huán)境建設需求。 電 子 認 證 服 務 數(shù)字證書服務 數(shù)字證書服務管理系統(tǒng)CA/KM/RA系統(tǒng) 醫(yī)院信息系統(tǒng) 可信身份可信行為可信數(shù)據(jù) 可信時間 臨床醫(yī)生 藥劑師 護士 管理人員 用戶 EMRHIS 數(shù)字簽名驗證服務器時間戳服務器 CA應用服務和產(chǎn)品 電子認證服務基礎實施 區(qū)域醫(yī)療信息平臺 數(shù)字證書服務 電子認證 應用系統(tǒng) 電子簽章系統(tǒng)時間戳服務器 圖表 1 區(qū)域醫(yī)療信息平臺電子認證實現(xiàn)模型 （1）可信身份服務為區(qū)域醫(yī)療信息平臺解決行為人的身份憑證 及憑證認證問題。區(qū)域醫(yī)療信息平臺通過接入第三方數(shù)字證書服務， 部署數(shù)字證書受理點，為醫(yī)生、護士、藥劑師、系統(tǒng)管理員等醫(yī)院 工作者發(fā)放數(shù)字證書身份憑證；醫(yī)護人員使用數(shù)字證書登錄區(qū)域醫(yī) 療信息平臺，區(qū)域醫(yī)療信息平臺通過電子簽名客戶端，實現(xiàn)強身份 認證。 （2）可信行為服務可信行為服務為區(qū)域醫(yī)療信息平臺解決醫(yī)療行為可追溯問 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 5 頁 題。醫(yī)生在電子病歷等區(qū)域醫(yī)療信息平臺系統(tǒng)中所進行的關鍵操作， 通過電子簽章系統(tǒng)完成數(shù)字簽名可視化服務通過電子簽章系統(tǒng)完成數(shù)字簽名可視化服務。 （3）可信數(shù)據(jù)服務可信數(shù)據(jù)服務為區(qū)域醫(yī)療信息平臺解決醫(yī)療數(shù)據(jù)可信化、 合法化問題。通過在區(qū)域醫(yī)療信息平臺集成電子認證應用系統(tǒng)集成電子認證應用系統(tǒng)，實 現(xiàn)處方、醫(yī)囑、病程記錄等關鍵醫(yī)療數(shù)據(jù)的可信化轉(zhuǎn)換，使之符合 電子簽名法對可信數(shù)據(jù)電文的要求。 （4）可信時間服務為區(qū)域醫(yī)療信息平臺解決醫(yī)療行為時間準確 性和真實性問題。區(qū)域醫(yī)療信息平臺系統(tǒng)保存的醫(yī)療數(shù)據(jù)，需要加 蓋可信時間戳，確保此操作記錄的時間可靠性。 3.2.3.2. 建設方案建設方案 針對各區(qū)域醫(yī)療信息平臺，建設面向轄區(qū)統(tǒng)一的數(shù)字證書發(fā)放 與管理系統(tǒng)、電子認證系統(tǒng)、時間戳服務器以及電子簽章系統(tǒng)，為 轄區(qū)區(qū)域醫(yī)療機構提供證書認證、數(shù)據(jù)加密、時間戳、電子簽章等 服務，其總體框圖如下所示： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 6 頁 電子認證服務基礎設施 可信身份 區(qū)域醫(yī)療信息平臺 證書認證服務數(shù)據(jù)加密服務電子簽章服務 可信數(shù)據(jù)可信行為 EMRHISLISPACS PEIS 時間戳服務 可信時間 數(shù)字證書發(fā)放 與管理系統(tǒng) 電子認證 應用系統(tǒng) 電子簽章系統(tǒng)時間戳服務器 圖表 2 區(qū)域醫(yī)療信息平臺總體框圖 1 1、建設數(shù)字證書發(fā)放與管理系統(tǒng)、建設數(shù)字證書發(fā)放與管理系統(tǒng) 為方便區(qū)域醫(yī)療信息平臺用戶數(shù)字證書的申請、發(fā)放和后期服 務，需在區(qū)域醫(yī)療信息平臺設立數(shù)字證書發(fā)放與管理系統(tǒng)。數(shù)字證 書管理員使用數(shù)字證書發(fā)放與管理系統(tǒng)對區(qū)域醫(yī)療機構醫(yī)護人員提 供數(shù)字證書的發(fā)放與管理。 2 2、利用電子認證應用系統(tǒng)實現(xiàn)安全登錄、數(shù)字簽名和簽名驗證、利用電子認證應用系統(tǒng)實現(xiàn)安全登錄、數(shù)字簽名和簽名驗證 電子認證應用系統(tǒng)主要為區(qū)域醫(yī)療信息平臺提供數(shù)字簽名及驗 證服務，通過在區(qū)域醫(yī)療信息平臺中集成電子認證應用系統(tǒng)，實現(xiàn) 用戶登錄應用系統(tǒng)的身份真實性認證、敏感信息加密、數(shù)字簽名/簽 名驗證等功能，實現(xiàn)重要醫(yī)療業(yè)務環(huán)節(jié)的簽名和驗證，確保數(shù)據(jù)的 完整性和隱私保護。 3 3、利用時間戳服務器和標準時間源設備實現(xiàn)區(qū)域醫(yī)療信息平臺、利用時間戳服務器和標準時間源設備實現(xiàn)區(qū)域醫(yī)療信息平臺 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 7 頁 信息系統(tǒng)時間同步和可信時間應用信息系統(tǒng)時間同步和可信時間應用 通過部署標準時間源設備，保證區(qū)域醫(yī)療信息平臺獲取權威、 統(tǒng)一、精準的時間信息，為實現(xiàn)醫(yī)療數(shù)據(jù)時間認證需求奠定堅實基 礎。通過集成時間戳服務器，為診療數(shù)據(jù)提供可信時間戳服務。 4 4、利用電子簽章系統(tǒng)實現(xiàn)對各類電子文檔的可視化簽章、利用電子簽章系統(tǒng)實現(xiàn)對各類電子文檔的可視化簽章 通過在電子病歷等區(qū)域醫(yī)療信息系統(tǒng)中集成電子簽章系統(tǒng)，可 實現(xiàn)電子簽名的可視化顯示,滿足了電子病歷規(guī)范所要求的“醫(yī)務人 員采用身份標識登錄電子病歷系統(tǒng)完成各項記錄等操作并予確認后， 系統(tǒng)應當顯示醫(yī)務人員電子簽名” 。 3.3.3.3. 數(shù)字證書發(fā)放與管理系統(tǒng)數(shù)字證書發(fā)放與管理系統(tǒng) 3.3.1.服務模式 為保證數(shù)字證書服務及時可達和實現(xiàn)自主化管理，通過在各區(qū) 建設證書發(fā)放與管理系統(tǒng)，指定證書管理員來為內(nèi)部工作人員發(fā)放 數(shù)字證書，同時為區(qū)域醫(yī)療信息平臺提供一整套的服務平臺，從而 使區(qū)域醫(yī)療平具有證書自助管理能力。 通過證書受理點進行證書發(fā)放流程如下： (1)在區(qū)域醫(yī)療信息平臺建設數(shù)字證書發(fā)放與管理系統(tǒng)，用戶 通過數(shù)字證書發(fā)放與管理系統(tǒng)辦理數(shù)字證書； (2)證書管理員需要收集用戶信息和鑒別用戶身份，將證書申 請請求提交到數(shù)字證書發(fā)放與管理系統(tǒng)； (3)CA 系統(tǒng)簽發(fā)證書，由數(shù)字證書發(fā)放與管理系統(tǒng)證書管理 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 8 頁 員負責灌制到證書介質(zhì)中，并發(fā)放給最終用戶。 3.3.2.數(shù)字證書形態(tài)及介質(zhì) 1. 證書形態(tài) 數(shù)字證書具有完善的產(chǎn)品形態(tài)，產(chǎn)品包括以下幾個方面： 產(chǎn)品包裝：便于運輸郵件的產(chǎn)品包裝盒和使用說明書； 安裝光盤：包括證書管理軟件以及介質(zhì)驅(qū)動安裝文件； 刮刮卡：存放證書介質(zhì)的初始密碼； 證書介質(zhì)： 存放證書信息等，包括 USBKEY、SDKey、IC 卡等 介質(zhì)。 圖表 3 數(shù)字證書形態(tài) 2. 證書介質(zhì) 根據(jù)國家相關安全要求，為確保證書的安全性及用戶使用的便 利性，數(shù)字證書應采用智能化的硬件證書介質(zhì)，它具有如下優(yōu)點： 安全強度高：自帶密碼專用芯片，所有運算操作都在硬件介 質(zhì)內(nèi)部進行； 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 9 頁 防拷貝：密鑰在外部環(huán)境無法讀取和進行拷貝； 自動鎖定：當輸入 PIN 錯誤次數(shù)到達指定次數(shù)，硬件介質(zhì)將 被鎖定，只有被解鎖后才能重新使用； 使用方便：形狀小巧，攜帶方便，操作簡單。 根據(jù)醫(yī)生工作站終端設備的不同配置，可提供兩類證書介質(zhì)， 分別為 USBKey、卡證書（射頻卡或智能 IC 卡） 。 3.3.3.服務內(nèi)容 3.3.3.1. 數(shù)字證書生命周期服務 設置在區(qū)域醫(yī)療信息平臺的數(shù)字證書發(fā)放與管理系統(tǒng)提供數(shù)字 證書整個生命周期的管理，包括證書的申請、審核、更新、注銷、 查詢等。 圖表 4 數(shù)字證書生命周期服務 具體如下： 證書申請：證書申請者到數(shù)字證書發(fā)放與管理系統(tǒng)申請證書， 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 10 頁 由數(shù)字證書發(fā)放與管理系統(tǒng)工作人員代用戶錄入用戶信息。由數(shù)字 證書發(fā)放與管理系統(tǒng)工作人員根據(jù)證書申請用戶所提供的證明材料， 對用戶的身份進行審核，并為通過審核的用戶簽發(fā)證書。 證書更新：證書有效期一般為一年，當用戶證書到期后，需 要進行更新操作。支持提供在線更新和離線更新兩種模式。離線方 式下，用戶可到數(shù)字證書發(fā)放與管理系統(tǒng)進行辦理，由證書管理員 在進行身份審核后進行用戶證書的更新操作。在線模式下，用戶可 持舊證書進行自行登錄數(shù)字證書發(fā)放與管理系統(tǒng)，由系統(tǒng)確認該證 書的更新權限后，自動簽發(fā)新證書并下載到用戶介質(zhì)中，從而實現(xiàn) 簡便高效的自助式證書更新。 證書吊銷：由于密鑰遺失、人員變動或其它原因，在證書用 戶提出申請后，證書管理員可以廢除該指定用戶的證書，并通過數(shù) 字證書發(fā)放與管理系統(tǒng)進行作廢證書列表的發(fā)布，使得該證書不能 再次使用。 證書查詢：可根據(jù)證書序列號、證書持有人、證書狀態(tài)、證 書類型、辦理時期等查詢條件，準確查詢處于生命周期各個階段的 數(shù)字證書，及其持有人的詳細信息。 3.3.3.2. 數(shù)字證書管理 數(shù)字證書發(fā)放與管理系統(tǒng)管理員通過使用數(shù)字證書登錄證書 管理模塊，實現(xiàn)本區(qū)域內(nèi)用戶證書業(yè)務管理。業(yè)務管理包括管理 員管理、證書統(tǒng)計、查詢、報表等功能： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 11 頁 (1) 管理員管理：實現(xiàn)證書發(fā)放操作人員的管理，包括增加、 刪除、查詢，設置操作權限等等； (2) 證書統(tǒng)計功能：提供系統(tǒng)在某段時期內(nèi)總共簽發(fā)或注銷證 書的數(shù)量的統(tǒng)計服務，管理員只要輸入統(tǒng)計的起始日期、統(tǒng)計的截 止日期、待統(tǒng)計的證書類型、待統(tǒng)計的證書狀態(tài)等條件，即可查詢 出符合要求的結果，并對結果進行匯合統(tǒng)計。 (3) 報表功能：系統(tǒng)就會提供文字和圖表的統(tǒng)計結果，并可以 將統(tǒng)計查詢結果打印輸出或以文件形式保存。 3.3.4.數(shù)字證書運行服務方案 3.3.4.1. 證書申請與發(fā)放 用戶數(shù)字證書發(fā)放采用集中制作發(fā)放的模式，即在各區(qū)設證書 服務點（也可在各醫(yī)院分別設證書服務點） ，由各區(qū)證書管理員收集、 整理和審查用戶證書申請信息的真實可靠后，由各區(qū)證書管理員集 中制作數(shù)字證書后分發(fā)到用戶手中。 證書發(fā)放流程如下圖所示： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 12 頁 圖表 5 數(shù)字證書申請發(fā)放流程圖 證書申請發(fā)放流程描述如下： (1)各醫(yī)院管理員收集用戶信息并鑒證申請資料的真實性； (2)各區(qū)證書管理員登錄數(shù)字證書發(fā)放與管理系統(tǒng)提交證書申 請信息，為用戶制作數(shù)字證書； (3)各區(qū)證書管理員將帶有數(shù)字證書的 USB KEY 轉(zhuǎn)交給各醫(yī)院 管理員； (4)各醫(yī)院管理員將 USB KEY 數(shù)字證書分發(fā)給用戶使用。 3.3.4.2. 證書更新 證書的有效期通常為一年，當用戶證書到期后，需要進行更新 操作。通過數(shù)字證書發(fā)放與管理系統(tǒng)，支持用戶通過網(wǎng)絡自助更新 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 13 頁 數(shù)字證書，即用戶使用舊證書登錄 Web 自助服務更新頁面，數(shù)字簽 名證書發(fā)起更新請求，證書自動更新。用戶自主更新數(shù)字證書流程 如下圖所示： 圖表 6 用戶自助更新數(shù)字證書流程圖 證書更新的具體流程如下： (1)證書用戶使用舊證書登錄數(shù)字證書發(fā)放與管理系統(tǒng)； (2)系統(tǒng)驗證舊證書的有效性，確認已收費，授予該用戶具有證 書更新權限； (3)用戶進行新證書下載，完成更新業(yè)務。 3.3.4.3. 證書解鎖 USBKey 是存放數(shù)字證書的物理載體，證書使用者在使用數(shù)字證 書時需要輸入 USBKey 的保護口令，即證書口令。當使用者連續(xù) 10 次（實際情況可能有所不同）輸入錯誤的口令時，USBKey 會自動鎖 死，無法使用，此時需要將 USBKey 進行解鎖。 各區(qū)證書管理員通過數(shù)字證書發(fā)放與管理系統(tǒng)，支持用戶在線 自助進行 USBKEY 介質(zhì)解鎖，即用戶登錄 Web 自助服務解鎖頁面，解 答系統(tǒng)詢問的私密問題，系統(tǒng)通過電子郵件/短信發(fā)送解鎖授權碼， 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 14 頁 用戶輸入授權碼解鎖。解鎖流程如下圖所示： 圖表 7 USBKEY 解鎖流程圖 具體流程如下： (1)證書用戶登錄數(shù)字證書發(fā)放與管理系統(tǒng)，提出 USBKey 解鎖 請求； (2) 各區(qū)證書管理業(yè)務人員確認 USBKey 持有人的身份，給予用 戶解鎖授權碼； (3)證書用戶登錄證書解鎖頁面，輸入授權碼，完成 USBKey 解 鎖。 3.3.4.4. 證書吊銷 由于密鑰遺失、人員變動或其它原因，證書不能再繼續(xù)使用的 需要吊銷證書，數(shù)字證書吊銷支持以下兩種模式： a) 用戶在線吊銷：用戶登錄 Web 自助服務輸入想吊銷證書信息， 各區(qū)證書管理員鑒證用戶身份，系統(tǒng)吊銷證書，發(fā)布 CRL。 b) 管理員吊銷：管理員在系統(tǒng)中吊銷證書，發(fā)布 CRL。 證書吊銷的發(fā)起人可以是授權的證書管理員，也可以是證書持 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 15 頁 有者本身。授權的證書管理員可以使用自己的管理員證書，直接向 CA 提出吊銷其管轄范圍內(nèi)的證書；證書持有者可以通過提交鑒證材 料，證明其證書持有人身份后，提交證書吊銷申請。數(shù)字證書吊銷 流程如下圖所示： 圖表 8 數(shù)字證書吊銷流程圖 證書吊銷具體流程如下： (1)證書管理員可以通過在線或離線方式提交證書吊銷請求，或 者證書用戶也可以通過在線方式直接提交證書吊銷請求； (2)系統(tǒng)鑒別證書吊銷人的身份； (3)發(fā)布證書撤銷列表（CRL） ，并將 CRL 發(fā)布到相關應用系統(tǒng)； (4)被吊銷的證書無法再訪問應用系統(tǒng)。 3.3.4.5. 證書補辦 在證書有效期內(nèi)，證書使用者信息發(fā)生變更，證書介質(zhì)發(fā)生損 壞或者證書文件損壞需要為用戶進行證書的重新簽發(fā)。各區(qū)證書管 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 16 頁 理員通過數(shù)字證書發(fā)放與管理系統(tǒng)，支持用戶在線自助重簽發(fā)數(shù)字 證書，即用戶向各區(qū)提出重簽發(fā)請求，各區(qū)證書用戶寄送鑒證材料， 管理員授權，通過 email/短信發(fā)送授權碼，用戶登錄系統(tǒng) ，輸入 授權碼，下載證書，同時系統(tǒng)吊銷原證書。 3.4.3.4. 電子認證應用系統(tǒng)電子認證應用系統(tǒng) 電子認證應用系統(tǒng)主要為區(qū)域醫(yī)療信息平臺提供數(shù)據(jù)加解密、 數(shù)字簽名及驗證服務，通過在區(qū)域醫(yī)療信息平臺中集成電子認證應 用系統(tǒng)，實現(xiàn)用戶登錄應用系統(tǒng)的身份真實性認證、對敏感信息進 行加密、簽名保護的數(shù)字證書應用產(chǎn)品。 目前,電子認證應用系統(tǒng)有硬件級和軟件級兩種形態(tài)的產(chǎn)品，分 別是 PKI 應用中間件軟件和數(shù)字簽名驗證服務器，具體產(chǎn)品介紹如 下： 3.4.1.PKI 應用中間件軟件 PKI 應用中間件軟件產(chǎn)品是一款利用 X.509 數(shù)字證書、數(shù)字信 封、數(shù)字簽名等先進的安全技術，由客戶端組件和安全網(wǎng)關組件兩 部分組成，分別為客戶端和應用服務器提供安全服務?？蛻舳私M件 既可以內(nèi)嵌到 Web 頁面或客戶端軟件中，也可以被專用 Client 程序 調(diào)用，對用戶的使用是透明的；服務器端接口部署在應用服務器上， 接受并處理由客戶端發(fā)送過來的安全認證、數(shù)據(jù)加解密和簽名驗證 等系列安全處理請求，為應用系統(tǒng)提供安全保護。 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 17 頁 3.4.1.1. 系統(tǒng)功能 PKI 應用中間件軟件具有加密解密、數(shù)字簽名、數(shù)字信封、時 間戳等安全功能，可以根據(jù)用戶應用系統(tǒng)的具體安全要求以單獨或 組合方式進行系統(tǒng)整合。PKI 應用中間件軟件的具體功能如下： 加解密：加解密：采用對稱和非對稱的加密解密算法，實現(xiàn)對敏感信 息加密操作，防止敏感信息被非法竊取。 數(shù)字簽名：數(shù)字簽名：為應用系統(tǒng)提供重要業(yè)務數(shù)據(jù)及關鍵操作行為的 數(shù)字簽名，應用系統(tǒng)通過這些數(shù)字簽名記錄，在發(fā)生糾紛時對數(shù)字 簽名進行驗證，真正實現(xiàn)重要業(yè)務數(shù)據(jù)和關鍵操作的完整性和不可 抵賴性； 數(shù)字證書解析：數(shù)字證書解析：對數(shù)字證書域進行解析，將解析后的證書內(nèi) 容，如證書序列號、用戶身份證號碼等相關信息提交應用系統(tǒng)供應 用系統(tǒng)使用； 數(shù)字信封：數(shù)字信封：提供數(shù)字信封加密機制，提升數(shù)據(jù)加密效率和加 密強度； 密鑰分割：密鑰分割：采用門限算法，可以將加密密鑰分割成若干份提 供給多人保管，當需要調(diào)取密鑰時，根據(jù)預先約定的密鑰持有策略 在多人在場情況下將完成密鑰的重新組裝得到原有密鑰。 服務端證書管理功能：服務端證書管理功能：在應用服務器上提供 B/S 方式的證書 管理工具，用戶可以使用該工具很方便的配置和管理服務器證書。 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 18 頁 3.4.1.2. 應用方式 數(shù)字證書應用接口在 PKCS#11、CSP 等標準的底層證書調(diào)用接口 基礎上，進行組件級應用封裝，設計成由證書控件和服務端組件兩 部分，分別與瀏覽器和 Web 服務器協(xié)同工作，確保具有安全完備、 使用透明、性能高效的特點：瀏覽器端采用客戶端組件，服務器端 的具體調(diào)用形式為基于對象的安全證書組件，兩者的功能是對稱的， 主要有驗證證書、數(shù)字簽名、證書解析、數(shù)字信封、隨機數(shù)、加解 密等功能。 從結構上，該系統(tǒng)由證書控件和服務端組件兩部分組成，分別 與瀏覽器和 Web 服務器協(xié)同工作，如下圖所示： 圖表 9 證書應用方式 證書應用接口客戶端組件內(nèi)嵌到 Web 頁面或客戶端軟件中，當 用戶瀏覽應用系統(tǒng)時自動下載并在瀏覽器中工作，用戶使用是透明 的；服務器端安全網(wǎng)關作為基于對象的證書組件，配置于 WEB 服務 器上，由應用程序進行調(diào)用，保護 Web 服務器的應用信息。瀏覽器 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 19 頁 客戶端組件和服務端的功能是對稱的，主要有驗證證書、加/解密、 簽名/驗證、以及解析證書等功能。 3.4.1.3. 系統(tǒng)集成 1)1) 數(shù)字簽名與驗證簽名數(shù)字簽名與驗證簽名 在各區(qū)區(qū)域醫(yī)療信息平臺中，實現(xiàn)數(shù)字簽名的集成工作流程如 下圖所示： 填寫表單，并提交 增加簽名新表單， （無則添加、有則清空） 遍歷業(yè)務表單， 并組xml包 進行簽名，并賦值新表單 接收 驗證簽名 服服務務器器端端客客戶戶端端 用用戶戶表表單單提提交交頁頁面面 提交新表單 表表單單接接收收程程序序 Xml的簽名數(shù)據(jù) +表單數(shù)據(jù) +客戶端證書 證證書書控控件件 用用戶戶操操作作 取XML元素值 取各表單域內(nèi)容 證證書書 組組件件接接口口 圖表 10 數(shù)字簽名的集成示意圖 對需要電子簽名的頁面的集成工作如下： 1)在用戶表單提交頁面中加入腳本，通過調(diào)用證書控件，實 現(xiàn)對表單信息的加密、簽名和組包；（表單中可帶有文件附件） 2)后臺接受程序中調(diào)用相應的證書組件接口，完成解密、驗 簽等操作； 3)在數(shù)據(jù)庫中保存此次表單的數(shù)據(jù)及其電子簽名。 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 20 頁 2)2) 加密與解密加密與解密 加密后的數(shù)據(jù)如果不需要保存，只是在通信過程中加密，則可 通過配置 SSL 網(wǎng)站，建立 SSL 加密通道即可，不需要額外的開發(fā)工 作。 對于加密數(shù)據(jù)需要保存，一定時間后又需要解密的，則需要使 用 API 接口對數(shù)據(jù)進行加密。加密和解密過程類似上節(jié)的簽名與驗 證，只是調(diào)用的 API 接口函數(shù)不同而已。 3.4.1.4. 程序改造關鍵內(nèi)容 1 1、數(shù)據(jù)庫改造、數(shù)據(jù)庫改造 應用系統(tǒng)的數(shù)據(jù)庫需要做兩個部分的改造。 1)在用戶表中增加一個證書用戶唯一標識字段，該字段的值 是該用戶的數(shù)字證書中用戶唯一標識。 （SF+身份證號） 2)在各個簽名表單對應的數(shù)據(jù)庫表中增加數(shù)字簽名值字段， 該字段用于存放對表單或者數(shù)據(jù)的簽名值。 2 2、程序改造、程序改造 應用系統(tǒng)登陸模塊和簽名表單頁面需要做改造。 1)應用系統(tǒng)的登陸模塊需要做改造，參照 PKI 應用中間件的 集成 Demo，將服務器端和客戶端實現(xiàn)相互驗證簽名、服務端驗證客 戶端證書有效性和解析客戶端證書集成到應用系統(tǒng)中，代替原有的 用戶名密碼登陸方式。 2)簽名表單頁面調(diào)用客戶端的簽名方法對表單或數(shù)據(jù)做電子 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 21 頁 簽名，然后將簽名值及簽名證書存放在數(shù)據(jù)庫中。 3.4.1.5. 相關代碼示例 證書登陸相關代碼，參見“jspdemo” 目錄下的 index.jsp 和 login.jsp。 集成代碼示例： 2 3 4 1 1 加載證書列表 在登陸頁面的OnLoad事件中調(diào)用getUserList函數(shù)。 GetList(“LoginForm.UserList“); 在服務器端，調(diào)用genRandom函數(shù)產(chǎn)生隨機數(shù)。 SecurityEngineDeal sed = null; sed = SecurityEngineDeal.getInstance(“soft”); strRandom = sed. genRandom(); 在服務器端，調(diào)用signData對隨機數(shù)簽名。 代碼如下： strServerCert = sed.getServerCertificate(); strSignedData = sed. signData(strRandom); 把隨機數(shù)、簽名值等信息發(fā)送給客戶端。 var strServerSignedData = “; var strServerRan = “; var strServerCert = “; 5 5 驗證服務器證書和簽名 在登陸提交腳本中添加代碼： if(verifySignedData(strServerSignedData,strServerCert,strServerRan)!=0) alert(“驗證服務器簽名失敗！“); return false; 6 6 輸入PIN，使用私鑰對隨機數(shù)簽名。 在登陸提交腳本中添加代碼： if(!bjcactrl.UserLogin(strContainerName,strPin) alert(“登陸失敗,請檢查密碼是否正確處理!“); strClientSignedData = SignedData(strContainerName,strServerRan); var varCert = GetSignCert(strContainerName); 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 22 頁 7 7 提交客戶端的證書以及簽名值。 把數(shù)據(jù)賦值到form隱藏域中。 objForm.UserCert.value = varCert; objForm.UserSignedData.value = strClientSignedData; 8 驗證客戶端簽名以及證書有效性，獲取證書身份標識。 String clientCert = request.getParameter(“UserCert“); String UserSignedData = request.getParameter(“UserSignedData“); String ContainerName = request.getParameter(“ContainerName“); boolean retValue =sed.verifySignedData (clientCert,ranStr, UserSignedData) retValue = sed. validateCert(clientCert); String uniqIdOid = “2.16.840.1.113732.2“; String uniqueIdStr = sed.Certificate_GetExtInfo(clientCert,uniqIdOid); out.println(“證書唯一標識：”); out.println(uniqueIdStr); 備注：藍色為客戶端代碼、紅色為服務器端代碼。詳細可參考集 成 demo。 數(shù)據(jù)簽名相關代碼，參見“jspdemo” 目錄下的 signForm.jsp 和 VerifySignForm.jsp。 集成代碼示例： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 23 頁 3.4.1.6. PKI 應用中間件軟件性能 PKI 應用中間件軟件的性能指標如下： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 24 頁 圖表 11 PKI 應用中間件軟件性能 3.4.2.數(shù)字簽名驗證服務器 數(shù)字簽名驗證服務器(以下簡稱 DSVS)是由自主研發(fā)，為信息系 統(tǒng)提供數(shù)字簽名及驗證服務的一款多安全功能、高穩(wěn)定性、高性能， 并且具備跨平臺、可擴展和快速部署能力的軟硬件集成化安全設備。 數(shù)字簽名驗證服務器實現(xiàn)服務端基于數(shù)字證書的身份認證、數(shù)字簽 名、數(shù)據(jù)加密等功能，核心是將提交的醫(yī)療數(shù)據(jù)進行數(shù)字簽名，以 保證數(shù)據(jù)的不可抵賴性、完整性需求，并在查詢相關數(shù)據(jù)時，實現(xiàn) 用戶對于所查詢的數(shù)據(jù)的有效性驗證。通過部署數(shù)字簽名驗證服務 接口標準PKCS#11、微軟 CSP 等 支持密碼算法SSF33、RSA（1024） 、3DES 等 簽名 400 次/秒（4*2G CPU 軟實現(xiàn)） 2450 次/秒（單主機加密服務器實現(xiàn)） 1024 位 RSA 非對稱算 法 驗證 2000 次/秒（4*2G CPU 軟實現(xiàn)） 10000 次/秒（單主機加密服務器實現(xiàn)） SSF3 3 72.83Mbps 性 性 能對稱加密 算法 3DES309Mbps 負載均衡 支持多應用服務器負載均衡方式 支持 SJY 系列主機加密服務器負載均衡方 式 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 25 頁 器實現(xiàn)電子病歷生成等醫(yī)院內(nèi)部重要業(yè)務環(huán)節(jié)中的數(shù)字簽名及驗證。 3.4.2.1. 系統(tǒng)功能 數(shù)字簽名驗證服務器具有數(shù)據(jù)簽名、簽名驗證、證書驗證等功 能，具體功能如下： 應用功能應用功能詳細說明詳細說明 數(shù)據(jù)簽名與簽名驗證 提供 PKCS1/ PKCS7 attach/PKCS7 detach/XML Sign 等多種格式的數(shù)字簽名 和數(shù)字簽名驗證功能 文件簽名與驗證對文件提供數(shù)字簽名和數(shù)字簽名驗證功能 證書有效性驗證功能 提供 CRL/OCSP 等多種方式的證書有效性 驗證 動態(tài)黑名單功能 可以自動更新黑名單，采用動態(tài)更新方式， 無需重啟服務 多證書鏈功能 可同時配置多條證書鏈，驗證不同 CA 系 統(tǒng)簽發(fā)的數(shù)字證書 獲取證書信息功能 提供證書解析功能，獲取證書中的任意主 題信息以及擴展項信息 其他功能其他功能詳細說明詳細說明 系統(tǒng)備份恢復功能 系統(tǒng)可以備份當前所有配置，保證系統(tǒng)癱 瘓時的快速恢復 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 26 頁 日志記錄和發(fā)送功能 系統(tǒng)可以自行記錄日志，也可以將日志以 SYSLOG 的方式發(fā)送到指定服務器 雙機并行、負載均衡功 能 高可靠性、高可用性 3.4.2.2. 應用方式 為確保醫(yī)療數(shù)據(jù)具有法律效力，必須按照電子簽名法要求， 基于由國家認可的第三方電子認證服務機構簽發(fā)的數(shù)字證書對其完 成數(shù)字簽名，才能具有法律效力。通過數(shù)字簽名驗證服務器實現(xiàn)醫(yī) 生工作站的數(shù)字簽名，以及區(qū)域醫(yī)療信息平臺的簽名驗證等功能,具 體流程如下圖所示： 圖表 12 數(shù)字簽名及驗證流程 3.4.2.3. 系統(tǒng)集成 對于關鍵業(yè)務頁面，可根據(jù)安全性要求，選擇性進行簽名和加 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 27 頁 密處理，包括： 應用系統(tǒng)根據(jù)業(yè)務邏輯要求，調(diào)用客戶端證書應用相關接口， 實現(xiàn)對上傳數(shù)據(jù)的數(shù)字簽名或加密，并打包上傳至應用服務器；服 務器端接收程序應相應修改，調(diào)用數(shù)字簽名驗證系統(tǒng)，進行原文簽 名驗證，并將簽名數(shù)據(jù)入庫保存； 對于系統(tǒng)后臺的數(shù)據(jù)庫部分，需要在現(xiàn)有數(shù)據(jù)庫中加入數(shù)字 簽名字段，并建立數(shù)字簽名和原始明文的一一對應關系，為事后責 任認定提供符合法律要求的電子證據(jù)。 3.4.2.4. 相關代碼示例 證書登陸相關代碼，參見“jspdemo” 目錄下的 index.jsp 和 login.jsp。 集成代碼示例： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 28 頁 備注：藍色為客戶端代碼、紅色為服務器端代碼。詳細可參考集 成 demo。 數(shù)據(jù)簽名相關代碼，參見“jspdemo” 目錄下的 signForm.jsp 和 VerifySignForm.jsp。 集成代碼示例： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 29 頁 3.4.3.電子認證應用系統(tǒng)產(chǎn)品建議 通過以上兩類產(chǎn)品的介紹可知，二者功能相同，兩類產(chǎn)品都可 以提供基于數(shù)字證書的身份認證、數(shù)據(jù)加密等功能，同時，可以實 現(xiàn)對電子病歷系統(tǒng)電子簽名的應用功能。 PKI 應用中間件軟件已由深圳市衛(wèi)生和人口計劃與委員會統(tǒng)一 采購、統(tǒng)一實施，各區(qū)域醫(yī)療信息平臺可免費使用，但其性能相對 數(shù)字簽名驗證服務器而言稍弱，用戶并發(fā)數(shù)、處理速度不及數(shù)字簽 名驗證服務器，其部署需要與每個醫(yī)療信息系統(tǒng)進行集成，部署復 雜、實施周期長。另一方面，數(shù)字簽名驗證服務器屬于硬件級服務 器，可以為區(qū)域醫(yī)療信息平臺提供高效率服務，其部署比較簡單， 可方便供多個信息系統(tǒng)使用，支持雙機熱備，保障服務的連續(xù)性,具 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 30 頁 體比較如下表所示： 圖表 13 電子認證應用系統(tǒng)產(chǎn)品比較 根據(jù)各區(qū)域醫(yī)療信息平臺的實際需求，其需要為各區(qū)多家醫(yī)療 機構提供服務。因此，建議各區(qū)域醫(yī)療信息平臺采用性能較好、部 署簡單的數(shù)字簽名驗證服務器來為各區(qū)域醫(yī)療信息平臺提供身份認 證、數(shù)字簽名、數(shù)據(jù)加密等服務，實現(xiàn)重要醫(yī)療業(yè)務環(huán)節(jié)的簽名和 驗證，確保數(shù)據(jù)的完整性和隱私保護。 3.5.3.5. 時間戳時間戳服務器服務器 3.5.1.建設模式 根據(jù)各區(qū)域醫(yī)療信息平臺情況，時間戳服務系統(tǒng)可以采取兩種 模式獲?。?PKIPKI 應用中間件軟件應用中間件軟件數(shù)字簽名驗證服務器數(shù)字簽名驗證服務器 采購成本低高 實施周期長短 集成復雜度 需要與每個應用系 統(tǒng)集成 部署簡單 性能 軟件級產(chǎn)品，性能 低 硬件級產(chǎn)品，性能高 可靠性不支持雙機并行 雙機并行、負載均衡功 能 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 31 頁 采用市統(tǒng)一時間戳服務平臺獲取時間戳服務采用市統(tǒng)一時間戳服務平臺獲取時間戳服務 通過市醫(yī)學信息中心所建設的全市統(tǒng)一時間戳服務平臺，獲取 區(qū)域醫(yī)療信息平臺所需的時間戳服務。統(tǒng)一時間戳服務平臺搭建在 市醫(yī)學信息中心，面向全市各醫(yī)療機構提供統(tǒng)一的時間戳簽發(fā)服務。 各區(qū)域醫(yī)療信息平臺需要集成簡單的時間戳客戶端接口，通過時間 戳客戶端接口與時間戳服務平臺通訊，生成并發(fā)送時間戳簽發(fā)服務 請求，接收時間戳服務平臺返回的時間戳服務結果并進行有效性驗 證。 這種模式各單位建設周期短，實施難度低，通過遠程調(diào)用的方 式就可以獲取可信時間戳服務。 建設本地時間戳服務系統(tǒng)建設本地時間戳服務系統(tǒng) 即在各區(qū)域醫(yī)療信息平臺本地建設時間戳服務系統(tǒng)，為本區(qū)域 信息系統(tǒng)提供時間戳服務。 這種模式需要在各區(qū)域信息平臺本地部署時間戳服務系統(tǒng)的軟 硬件設備，包括時間戳服務器、時間源設備、時間戳軟件接口等， 為區(qū)域醫(yī)療信息系統(tǒng)提供時間戳的簽發(fā)與驗證等功能，其建設成本 較高、集成實施復雜、實施周期長，但其處理效率高。 兩種模式的總體結構示意圖如下： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 32 頁 圖表 14 時間戳服務體系總體結構示意圖 兩種模式都可以滿足區(qū)域醫(yī)療信息平臺對可信時間的需求，各 有其優(yōu)勢，各單位根據(jù)自身情況自行選擇。 由于采用市統(tǒng)一時間戳服務平臺獲取時間戳服務的方式，其實 現(xiàn)方式簡單，只需集成簡單的時間戳客戶端接口，就可以獲取時間 戳服務，以下將主要介紹如何建設本地時間戳服務系統(tǒng)。 3.5.2.時間戳服務器 時間戳服務器(簡稱 TSS)是由自主研發(fā)，基于國家標準時間源， 采用 PKI 技術，為應用系統(tǒng)提供精準、安全和可信時間認證服務的 一款高性能、高穩(wěn)定性，并且具備跨平臺、易擴展和快速部署能力 的軟硬件集成化網(wǎng)絡安全設備。 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 33 頁 3.5.2.1. 系統(tǒng)架構及功能 時間戳服務器架構如下圖所示： 安全操作系統(tǒng) secure OS 時間戳服務器硬件設備 時間源 設備 時間戳簽發(fā)子系統(tǒng)時間戳管理子系統(tǒng) 可信 CA中心 業(yè)務系統(tǒng) 服務端 時間戳請求子系統(tǒng) 管理終端 加密卡及密碼算法加速設備 圖表 15 產(chǎn)品架構圖 如上圖所示，時間戳服務器由時間戳請求子系統(tǒng)、時間戳簽發(fā) 子系統(tǒng)、時間戳管理子系統(tǒng)組成。其中： 時間戳請求子系統(tǒng)：生成并發(fā)送應用系統(tǒng)的時間戳簽發(fā)服務 請求，時間戳服務請求遵循國際通用的 RFC3161 標準；接收時間戳 服務結果并進行驗證； 時間戳簽發(fā)子系統(tǒng)：驗證時間戳請求的有效性、根據(jù)請求簽 發(fā)時間戳、驗證時間戳有效性； 時間戳管理子系統(tǒng)：提供時間源管理、時間戳證書管理、系 統(tǒng)日志管理以及系統(tǒng)配置管理等功能。 時間戳服務器的主要功能如下表所示： 功能列表功能列表詳細說明詳細說明 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 34 頁 簽發(fā)/驗證 時間戳 簽發(fā)可信時間戳、驗證時間戳有效性 權威時間同步 基于 SNTP 協(xié)議，從指定時間源設備獲取標準時間并同 步 系統(tǒng)管理 時間戳證書管理、時間源管理、日志管理、系統(tǒng)配置、 備份與恢復 高可用性支持雙機并行、負載均衡 3.5.2.2. 應用方式 時間戳服務器應用流程如下圖所示： 圖表 16 時間戳應用流程 如上圖所示，時間戳服務器的應用流程如下： （1） 區(qū)域醫(yī)療信息平臺信息系統(tǒng)服務端集成時間戳請求子系 統(tǒng)，調(diào)用數(shù)字摘要接口對待簽發(fā)時間戳的原文計算出摘要； （2） 信息系統(tǒng)將數(shù)字摘要通過網(wǎng)絡發(fā)送給時間戳服務器； （3） 時間戳服務器讀取時間源的標準時間，利用第三方 CA 機 構簽發(fā)的時間戳服務器證書對應的私鑰對數(shù)字摘要和可信時間進行 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 35 頁 簽名，產(chǎn)生時間戳； （4） 時間戳通過網(wǎng)絡傳回應用系統(tǒng)，通過時間戳驗證接口驗 證后進行存儲，此后，時間戳和原文綁定在一起可以證明某個時間 的有效證據(jù)。 3.5.2.3. 系統(tǒng)集成 時間戳服務器實現(xiàn)安全應用集成主要工作如下： 1.提供產(chǎn)品和集成所需要的演示環(huán)境 Demo、接口說明、測 試證書等； 2.根據(jù)業(yè)務需求，應用系統(tǒng)開發(fā)商對相應頁面進行改造，調(diào) 用對應的安全組件接口，實現(xiàn)時間戳簽發(fā)/驗證功能。為應用系統(tǒng)開 發(fā)人員提供技術支持，協(xié)助完成系統(tǒng)的安全整合。 3.應用集成完成后，需要進行應用系統(tǒng)測試，確保系統(tǒng)集成 時間戳應用功能的可用性和有效性。 應用系統(tǒng)改造： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 36 頁 數(shù)據(jù)，提交 對數(shù)據(jù)進行Hash Base64編碼的時間 戳請求字符串 接收 解析時間戳請求 時時間間戳戳服服務務器器 業(yè)業(yè)務務系系統(tǒng)統(tǒng) 時時間間戳戳請請求求 子子系系統(tǒng)統(tǒng) 簽名產(chǎn)生時間戳 解析時間戳 圖表 17 時間戳服務器集成 1)業(yè)務系統(tǒng)程序中調(diào)用時間戳請求子系統(tǒng)組件接口，完成原 文數(shù)據(jù) Hash、生成時間戳請求，將請求發(fā)送到時間戳服務器等操作； 2)時間戳請求子系統(tǒng)接收時間戳服務器返回的結果，解析時 間戳； 3)對于系統(tǒng)后臺的數(shù)據(jù)庫部分，在現(xiàn)有數(shù)據(jù)庫中加入時間戳 字段，并建立時間戳和原文的一一對應關系，為事后時效責任認定 提供電子證據(jù)。 3.5.2.4. 時間戳實現(xiàn) 在區(qū)域醫(yī)療信息平臺中，對于有意義的診斷等操作或進行數(shù)據(jù) 和報告的生成保存等，需要加蓋時間戳，以確保操作和數(shù)據(jù)的時間 有效性。為了驗證和取證需要，將時間戳與相應的數(shù)據(jù)和文件存儲 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 37 頁 到系統(tǒng)數(shù)據(jù)庫中。 醫(yī)醫(yī)療療信信息息系系統(tǒng)統(tǒng) 系系統(tǒng)統(tǒng)客客戶戶端端 時時間間戳戳服服務務器器 區(qū)區(qū)域域醫(yī)醫(yī)療療平平臺臺 系系統(tǒng)統(tǒng)服服務務器器端端 A.將時間戳和相應的數(shù) 據(jù)存儲到數(shù)據(jù)庫 1.驗證通過進入系統(tǒng) 2.確認診斷結論等一 些關鍵性操作點 .生成診斷報告 （版式文件等） 4.調(diào)用時間戳接口 5.可信時間管理系統(tǒng) 6.接收驗證時間戳 F.將時間戳驗證操作相 關信息寫入log表 圖表 18 時間戳應用流程 過程說明如下： (1)登錄驗證通過后用戶安全進入系統(tǒng)。 (2)操作人員在對病人下診斷報告或一些報告確認等關鍵性操作 時，需要加蓋時間戳。 (3)電子病歷生成時需要加蓋時間戳。 (4)調(diào)用接口將需要加蓋時間戳的數(shù)據(jù)傳送到時間戳服務器。 (5)時間戳服務系統(tǒng)讀取標準時間，利用可信時間管理系統(tǒng)證書 對應的私鑰對數(shù)字摘要和可信時間進行簽名，產(chǎn)生時間戳。 (6)時間戳保存到時間戳服務器中（調(diào)用接口時會將系統(tǒng)類型、 醫(yī)院、檢查唯一標識等信息發(fā)送給時間戳服務器） ，也可通過網(wǎng)絡傳 回電子病歷系統(tǒng)（可通過調(diào)用參數(shù)來設置是否將時間戳保存到本地） 。 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 38 頁 (7)電子病歷系統(tǒng)驗證通過后進行存儲，此后，時間戳和原文綁 定在一起可以證明某個時間的有效證據(jù)。 Log 記錄: （1）調(diào)用 CA 時間戳接口，成功或失敗信息寫入 Log。 （2）將時間戳寫入相應數(shù)據(jù)庫中是否成功寫入 Log。 3.5.2.5. 相關代碼示例 集成代碼示例： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 39 頁 3.6.3.6. 電子簽章系統(tǒng)電子簽章系統(tǒng) 3.6.1.建設模式 在電子信息世界，數(shù)字簽名是隱藏在電子文檔中的一串字符， 不能像現(xiàn)實世界的電子簽名一樣直接展現(xiàn)給用戶，通過依托成熟產(chǎn) 品電子簽章系統(tǒng)，在處方開具、報告單、檢驗單等醫(yī)療過程中實 現(xiàn)電子簽章功能，實現(xiàn)了電子病歷中數(shù)字簽名的可視化、圖形化， 使可靠電子簽名在電子病歷中形象展現(xiàn)，并提供方便的簽章驗證辨 偽操作界面。 根據(jù)各區(qū)域醫(yī)療信息平臺情況，電子簽章系統(tǒng)也可以采取兩種 建設模式： 建設模式一：統(tǒng)一電子簽章服務平臺建設模式一：統(tǒng)一電子簽章服務平臺 即在各區(qū)域醫(yī)療信息平臺建設全區(qū)統(tǒng)一電子簽章服務平臺，面 向區(qū)域醫(yī)療機構提供統(tǒng)一的電子簽章服務。各醫(yī)療機構信息系統(tǒng)需 要集成簡單的電子簽章客戶端軟件，通過電子簽章客戶端軟件與電 子簽章服務平臺通訊，統(tǒng)一電子簽章服務平臺提供對電子病歷相關 醫(yī)療數(shù)據(jù)的數(shù)字簽名和電子簽章。 建設模式二：本地電子簽章服務系統(tǒng)建設模式二：本地電子簽章服務系統(tǒng) 即在各醫(yī)療機構本地建設電子簽章系統(tǒng)，為本單位信息系統(tǒng)提 供電子簽章服務。 其總體結構示意圖如下： 區(qū)域醫(yī)療信息平臺電子認證解決方案 第 40 頁 以上兩種建設模式各有其優(yōu)勢，應該充分發(fā)揮各自