某醫(yī)院電子認(rèn)證服務(wù)應(yīng)用方案

蘭州市第一人民醫(yī)院電子認(rèn)證效勞應(yīng)用方案2012年8月目錄TOC\o"1-4"\h\z\u1.總體架構(gòu)設(shè)計(jì)31.1.設(shè)計(jì)思路31.2.總體架構(gòu)42.數(shù)字證書效勞73.數(shù)字證書應(yīng)用集成方案83.1.CA認(rèn)證產(chǎn)品83.1.1.數(shù)字簽名驗(yàn)證效勞器83.1.2.電子簽章系統(tǒng)93.1.3.時(shí)間戳效勞系統(tǒng)93.2.平安登錄認(rèn)證集成113.3.數(shù)字簽名和驗(yàn)證123.4.電子病歷可信時(shí)間戳143.5.電子病歷電子簽章154.方案特點(diǎn)175.軟硬件清單18總體架構(gòu)設(shè)計(jì)設(shè)計(jì)思路我院信息化建設(shè)應(yīng)堅(jiān)持“規(guī)劃自上而下，保證整體性；實(shí)施自下而上，保證可行性”的指導(dǎo)思想，按照“頂層設(shè)計(jì)、分步實(shí)施、先易后難”的原那么，逐步實(shí)現(xiàn)建設(shè)目標(biāo)。本方案依照上述指導(dǎo)思想和建設(shè)原那么為我院提供一整套基于電子認(rèn)證效勞和電子簽名的解決方案，基于數(shù)字證書效勞、數(shù)字簽名驗(yàn)證效勞器、電子簽章和時(shí)間戳效勞系統(tǒng)為核心產(chǎn)品，提供身份認(rèn)證、數(shù)字簽名、數(shù)據(jù)加密、時(shí)間戳、電子簽章效勞，從“可信身份、可信行為、可信數(shù)據(jù)和可信時(shí)間”四個(gè)范疇搭建了醫(yī)院可信醫(yī)療數(shù)據(jù)平臺(tái)，從而真正實(shí)現(xiàn)醫(yī)院信息系統(tǒng)的可信業(yè)務(wù)環(huán)境建設(shè)需求。圖表SEQ圖表\*ARABIC2醫(yī)院業(yè)務(wù)電子病歷簽名認(rèn)證應(yīng)用實(shí)現(xiàn)模型可信身份效勞為我院各信息系統(tǒng)解決行為人的身份憑證及憑證認(rèn)證問(wèn)題。醫(yī)院通過(guò)接入第三方數(shù)字證書效勞，部署數(shù)字證書受理點(diǎn)，為醫(yī)生發(fā)放數(shù)字證書身份憑證；醫(yī)護(hù)人員使用數(shù)字證書登錄醫(yī)院信息系統(tǒng)，醫(yī)院信息系統(tǒng)通過(guò)電子簽名客戶端，實(shí)現(xiàn)強(qiáng)身份認(rèn)證?？尚判袨樾跒獒t(yī)院各信息系統(tǒng)解決醫(yī)療行為可追溯問(wèn)題。醫(yī)生在電子病歷等醫(yī)院信息系統(tǒng)中所進(jìn)行的關(guān)鍵操作，通過(guò)電子簽名客戶端完成數(shù)字簽名?？尚艛?shù)據(jù)效勞為醫(yī)院信息系統(tǒng)解決醫(yī)療數(shù)據(jù)可信化、合法化問(wèn)題。通過(guò)在醫(yī)院信息系統(tǒng)集成數(shù)字簽名驗(yàn)證效勞器，實(shí)現(xiàn)處方、醫(yī)囑、病程記錄等關(guān)鍵醫(yī)療數(shù)據(jù)的可信化轉(zhuǎn)換，使之符合《電子簽名法》對(duì)可信數(shù)據(jù)電文的要求。可信時(shí)間效勞為醫(yī)院信息系統(tǒng)解決醫(yī)療行為時(shí)間準(zhǔn)確性和真實(shí)性問(wèn)題。醫(yī)院信息系統(tǒng)保存的醫(yī)療數(shù)據(jù)，需要加蓋可信時(shí)間戳，確保此操作記錄的時(shí)間可靠性?？傮w架構(gòu)本方案對(duì)我院的電子認(rèn)證效勞建設(shè)和基于電子認(rèn)證效勞的應(yīng)用平安建設(shè)進(jìn)行規(guī)劃，具體包括以下幾個(gè)方面：發(fā)放數(shù)字證書，提供強(qiáng)身份認(rèn)證和電子簽名工具在我院內(nèi)部建設(shè)數(shù)字證書受理點(diǎn)，通過(guò)第三方CA機(jī)構(gòu)為相關(guān)各方發(fā)證書，搭建醫(yī)院電子簽名根底環(huán)境；為醫(yī)護(hù)人員提供強(qiáng)身份認(rèn)證和電子簽名工具。部署實(shí)施電子簽名部件，實(shí)現(xiàn)電子病歷電子簽名提供數(shù)字簽名驗(yàn)證效勞器、時(shí)間戳系統(tǒng)和電子簽章系統(tǒng)等電子簽名部件，供各類醫(yī)院信息系統(tǒng)調(diào)用。實(shí)現(xiàn)各信息系統(tǒng)的平安登錄、電子簽名和可信時(shí)間戳等。結(jié)合我院具體網(wǎng)絡(luò)情況，設(shè)計(jì)如下系統(tǒng)架構(gòu)：在醫(yī)院建設(shè)數(shù)字證書受理點(diǎn)為方便醫(yī)院用戶數(shù)字證書的申請(qǐng)、發(fā)放和后期效勞，須在醫(yī)院內(nèi)部設(shè)立數(shù)字證書受理點(diǎn)，醫(yī)院需要指定醫(yī)院內(nèi)部數(shù)字證書管理員。數(shù)字證書管理員使用第三方認(rèn)證機(jī)構(gòu)提供的數(shù)字證書效勞管理系統(tǒng)對(duì)本院數(shù)字證書的發(fā)放和使用進(jìn)行管理。利用數(shù)字簽名驗(yàn)證效勞器實(shí)現(xiàn)平安登錄、數(shù)字簽名和簽名驗(yàn)證通過(guò)部署數(shù)字簽名驗(yàn)證效勞器，實(shí)現(xiàn)重要電子病歷業(yè)務(wù)環(huán)節(jié)的簽名和驗(yàn)證，確保數(shù)據(jù)的完整性和隱私保護(hù)。在信息系統(tǒng)中集成電子簽章系統(tǒng)通過(guò)在電子病歷等醫(yī)院信息系統(tǒng)中集成電子簽章系統(tǒng)，可實(shí)現(xiàn)電子簽名的可視化顯示。通過(guò)在醫(yī)院部署電子簽章管理系統(tǒng)，方便醫(yī)院自行進(jìn)行簽章圖片的制作，實(shí)現(xiàn)醫(yī)院對(duì)簽章圖片和簽章范圍的管理。數(shù)字證書效勞為保證證書效勞及時(shí)可達(dá)和醫(yī)院管理自主化，在我院內(nèi)部建設(shè)證書受理點(diǎn)，指定證書管理員，為內(nèi)部工作人員發(fā)放數(shù)字證書，為我院供一整套的效勞平臺(tái)，從而使醫(yī)院具有證書自助管理能力。通過(guò)證書受理點(diǎn)進(jìn)行證書發(fā)放流程如下：CA在我院建立證書受理點(diǎn)，由醫(yī)院指派證書管理員，內(nèi)部用戶通過(guò)受理點(diǎn)管理員辦理數(shù)字證書；證書受理點(diǎn)需要收集用戶信息和鑒證用戶身份，將證書申請(qǐng)請(qǐng)求提交到數(shù)字證書效勞管理系統(tǒng)；CA系統(tǒng)簽發(fā)證書，由受理點(diǎn)證書管理員負(fù)責(zé)灌制到證書介質(zhì)中，發(fā)放給最終用戶。數(shù)字證書應(yīng)用集成方案CA認(rèn)證產(chǎn)品數(shù)字簽名驗(yàn)證效勞器數(shù)字簽名驗(yàn)證效勞器是由數(shù)字簽名客戶端軟件〔證書應(yīng)用中間件〕、應(yīng)用系統(tǒng)API接口、數(shù)字簽名驗(yàn)證系統(tǒng)〔軟件系統(tǒng)〕和提供獨(dú)立簽名運(yùn)算的數(shù)字簽名驗(yàn)證效勞硬件平臺(tái)設(shè)備組成，數(shù)字簽名驗(yàn)證效勞器是面向應(yīng)用系統(tǒng)所面臨的認(rèn)證、簽名和加密需求，而提出基于權(quán)威數(shù)字證書的具有完全自主知識(shí)產(chǎn)權(quán)的平安系統(tǒng)。該系統(tǒng)在P11、CSP等標(biāo)準(zhǔn)的底層證書調(diào)用接口根底上，通過(guò)SOAP協(xié)議對(duì)多個(gè)應(yīng)用效勞提供密碼運(yùn)算，實(shí)現(xiàn)基于證書的身份認(rèn)證、數(shù)字簽名及數(shù)字簽名驗(yàn)證、數(shù)據(jù)加密等功能。具體功能描述如下：提供與業(yè)務(wù)系統(tǒng)模式、運(yùn)行平臺(tái)無(wú)關(guān)的效勞方式，獨(dú)立運(yùn)行；方便地實(shí)現(xiàn)與醫(yī)院電子病歷系統(tǒng)和門診處方系統(tǒng)的結(jié)合，具有良好的可用性、可維護(hù)性和可擴(kuò)展性；可提供雙向的加密、簽名功能，保證業(yè)務(wù)系統(tǒng)的平安交互；提供業(yè)務(wù)系統(tǒng)的數(shù)字證書和私鑰在數(shù)字簽名驗(yàn)證效勞系統(tǒng)上統(tǒng)一管理；提供根證書在數(shù)字簽名驗(yàn)證效勞器上統(tǒng)一的平安存儲(chǔ)區(qū)，實(shí)現(xiàn)對(duì)根證書的管理和控制；數(shù)字簽名驗(yàn)證效勞器支持性能擴(kuò)展，可通過(guò)增加硬件加密引擎或并行負(fù)載方式擴(kuò)展；支持多種形式的證書介質(zhì)，數(shù)據(jù)格式支持pkcs#1、pkcs#7、XMLSign；提供對(duì)管理維護(hù)以及運(yùn)行錯(cuò)誤產(chǎn)生的日志進(jìn)行詳細(xì)的記錄，以方便審計(jì)；支持最多100個(gè)證書應(yīng)用，可以同時(shí)為他們提供證書和密碼效勞，并集中進(jìn)行管理。電子簽章系統(tǒng)通過(guò)證書發(fā)放，我院用戶已獲得了標(biāo)識(shí)其在醫(yī)院信息系統(tǒng)中合法身份的數(shù)字證書。在系統(tǒng)中通過(guò)電子簽章實(shí)現(xiàn)基于數(shù)字證書的可視化電子簽名應(yīng)用，在處方開(kāi)具等醫(yī)療過(guò)程中集成電子簽章功能，實(shí)現(xiàn)數(shù)字簽名的可視化、圖形化，使可靠電子簽名在系統(tǒng)中可形象展現(xiàn)，并提供方便的簽章驗(yàn)證辨?zhèn)尾僮鹘缑?。電子簽章?yīng)用是由電子簽章客戶端、數(shù)字證書及簽章圖片提供：電子簽章管理系統(tǒng)：電子簽章圖片的生成、灌制，與證書進(jìn)行綁定后生命周期的管理系統(tǒng)。數(shù)字證書和簽章圖片：數(shù)字證書和簽名圖片都保存在證書存儲(chǔ)介質(zhì)中，由受理點(diǎn)證書管理員統(tǒng)一灌制。電子簽章客戶端：實(shí)現(xiàn)在醫(yī)院信息系統(tǒng)客戶端界面上加蓋簽章圖片的工作。時(shí)間戳效勞系統(tǒng)時(shí)間戳效勞系統(tǒng)由密碼效勞、時(shí)間戳簽發(fā)效勞、時(shí)間戳管理效勞和時(shí)間戳接口效勞組成，負(fù)責(zé)面向應(yīng)用系統(tǒng)提供可信的時(shí)間效勞。如下列圖所示：圖表8時(shí)間戳系統(tǒng)示意圖〔1〕時(shí)間戳請(qǐng)求模塊實(shí)現(xiàn)應(yīng)用系統(tǒng)與時(shí)間戳效勞系統(tǒng)調(diào)用的二次開(kāi)發(fā)接口生成時(shí)間戳請(qǐng)求、解析時(shí)間戳、驗(yàn)證時(shí)間戳、數(shù)字摘要生成、驗(yàn)證證書接口提供COM、JAVA、C等主流開(kāi)發(fā)API〔2〕時(shí)間戳簽發(fā)模塊接收來(lái)自應(yīng)用系統(tǒng)的時(shí)間戳簽發(fā)請(qǐng)求，并驗(yàn)證時(shí)間戳請(qǐng)求的有效性通過(guò)時(shí)間讀取獲取時(shí)間源設(shè)備標(biāo)準(zhǔn)時(shí)間并簽發(fā)時(shí)間戳，將簽發(fā)的時(shí)間戳返回應(yīng)用系統(tǒng)〔3〕時(shí)間戳管理模塊時(shí)間源管理：配置時(shí)間源效勞器IP地址、配置時(shí)間同步策略證書管理：配置時(shí)間戳效勞器證書。產(chǎn)生私鑰和證書請(qǐng)求，導(dǎo)入證書系統(tǒng)管理：系統(tǒng)狀態(tài)查看、用戶管理，備份恢復(fù)、系統(tǒng)升級(jí)〔4〕時(shí)間源效勞器為保障醫(yī)療數(shù)據(jù)，如電子病歷編寫確認(rèn)在時(shí)間上的不可否認(rèn)性，可通過(guò)時(shí)間源效勞器獲取精準(zhǔn)的時(shí)間源。在本工程中，根據(jù)電子病歷系統(tǒng)和門診處方系統(tǒng)業(yè)務(wù)對(duì)時(shí)間的精準(zhǔn)度要求，建議選擇以GPS/北斗信號(hào)為時(shí)間基準(zhǔn)，內(nèi)嵌國(guó)際流行的NTP-SERVER效勞，以NTP/SNTP協(xié)議同步網(wǎng)絡(luò)中的所有計(jì)算機(jī)、控制器等設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)授時(shí)的NTP網(wǎng)絡(luò)時(shí)間效勞器，通過(guò)時(shí)間同步機(jī)制校對(duì)時(shí)間戳效勞系統(tǒng)效勞器的系統(tǒng)時(shí)間。平安登錄認(rèn)證集成用戶〔如醫(yī)生等〕使用數(shù)字證書登錄電子病歷客戶端，電子病歷客戶端通過(guò)調(diào)用客戶端控件和數(shù)字簽名驗(yàn)證效勞器實(shí)現(xiàn)對(duì)存儲(chǔ)于射頻卡內(nèi)數(shù)字證書的讀取、解析、驗(yàn)證和展現(xiàn)，實(shí)現(xiàn)基于數(shù)字證書的平安登錄。具體流程如下：圖表9平安登錄認(rèn)證流程流程說(shuō)明：用戶在電子病歷客戶端讀取USBKey信息；客戶端獲取USBKey中證書用戶信息；通過(guò)webservice方式調(diào)用數(shù)字簽名驗(yàn)證效勞器驗(yàn)證接口，驗(yàn)證客戶端證書；數(shù)字簽名驗(yàn)證效勞器驗(yàn)證用戶證書鏈，驗(yàn)證撤消列表〔CRL〕；驗(yàn)證證書返回值為失敗，提示客戶端驗(yàn)證失?。或?yàn)證證書返回值正確，獲取證書唯一標(biāo)識(shí)，并與數(shù)據(jù)庫(kù)中用戶信息匹配；根據(jù)用戶證書唯一標(biāo)識(shí)，查詢用戶數(shù)據(jù)庫(kù)；查詢用戶不存在，提示證書用戶未注冊(cè)；如果用戶存在，業(yè)務(wù)系統(tǒng)權(quán)限設(shè)置，并登錄系統(tǒng)主界面。數(shù)字簽名和驗(yàn)證數(shù)字簽名驗(yàn)證效勞器實(shí)現(xiàn)基于數(shù)字證書的身份認(rèn)證、數(shù)字簽名、數(shù)據(jù)加密等功能，核心是將提交的醫(yī)療數(shù)據(jù)進(jìn)行數(shù)字簽名，以保證數(shù)據(jù)的不可抵賴性、完整性需求，并在查詢相關(guān)數(shù)據(jù)時(shí)，實(shí)現(xiàn)用戶對(duì)于所查詢的數(shù)據(jù)的有效性驗(yàn)證。通過(guò)部署數(shù)字簽名驗(yàn)證效勞器實(shí)現(xiàn)電子病歷生成等醫(yī)院內(nèi)部重要業(yè)務(wù)環(huán)節(jié)中的數(shù)字簽名及驗(yàn)證。為確保醫(yī)療數(shù)據(jù)具有法律效力，必須按照《電子簽名法》要求，基于由國(guó)家認(rèn)可的第三方電子認(rèn)證效勞機(jī)構(gòu)簽發(fā)的數(shù)字證書對(duì)其完成數(shù)字簽名，才能具有法律效力。通過(guò)數(shù)字簽名驗(yàn)證效勞器實(shí)現(xiàn)電子病歷客戶端的數(shù)字簽名，以及醫(yī)院信息系統(tǒng)的簽名驗(yàn)證等功能。具體流程如下列圖所示：圖表10數(shù)字簽名和驗(yàn)證流程數(shù)字證書簽名流程說(shuō)明如下：證書用戶成功登錄；獲取病歷內(nèi)容，即為準(zhǔn)備被簽名的內(nèi)容〔原文〕；客戶端簽名，調(diào)用第三方認(rèn)證機(jī)構(gòu)提供簽名接口進(jìn)行數(shù)據(jù)簽名；調(diào)用簽名驗(yàn)證效勞器簽名接口驗(yàn)證客戶端簽名值，原文內(nèi)容使用效勞器證書進(jìn)行簽名，然后將簽名值返回；將原文、客戶端簽名和效勞器端簽名入庫(kù)；保存原文、客戶端簽名和效勞器端簽名值。保存成功，簽名流程完成。電子病歷可信時(shí)間戳通過(guò)引入權(quán)威可信時(shí)間源、第三方電子認(rèn)證效勞以及電子簽名技術(shù)，面向醫(yī)院電子病歷等信息系統(tǒng)提供時(shí)間戳效勞，為醫(yī)院應(yīng)用系統(tǒng)提供其所需要的可信時(shí)間效勞，確保業(yè)務(wù)時(shí)間環(huán)境的真實(shí)可靠和可信。圖表SEQ圖表\*ARABIC11可信時(shí)間效勞示意通過(guò)集成部署時(shí)間戳效勞系統(tǒng)，可以有效證明電子數(shù)據(jù)的有效性及產(chǎn)生時(shí)間，將經(jīng)簽名的一個(gè)可信賴的日期和時(shí)間與特定電子數(shù)據(jù)綁定在一起，為效勞器端應(yīng)用提供可信的時(shí)間證明，為醫(yī)院提供可信時(shí)間效勞。實(shí)現(xiàn)如下需求：時(shí)間效勞的合法性：系統(tǒng)在提供可信時(shí)間效勞時(shí)，必須確保所簽發(fā)的時(shí)間戳具有權(quán)威性、法律效力，一旦發(fā)生業(yè)務(wù)糾紛時(shí)，所出示的時(shí)間證明能夠?yàn)樗痉ㄈ∽C所采信?？尚艜r(shí)間的真實(shí)可靠：系統(tǒng)所提供的可信時(shí)間證明必須確保時(shí)間戳在簽發(fā)、傳輸和存儲(chǔ)過(guò)程中的平安可靠，時(shí)間證明一旦被修改，系統(tǒng)能夠通過(guò)驗(yàn)證機(jī)制及時(shí)發(fā)現(xiàn)。可信時(shí)間與應(yīng)用系統(tǒng)集成簡(jiǎn)單：系統(tǒng)應(yīng)提供豐富的接口函數(shù)供信息系統(tǒng)調(diào)用，在可信時(shí)間效勞集成到信息系統(tǒng)過(guò)程中應(yīng)該對(duì)信息系統(tǒng)進(jìn)行盡可能少的改動(dòng)，確保可信時(shí)間效勞很容易集成到具體業(yè)務(wù)操作環(huán)節(jié)中。可信時(shí)間戳效勞流程如下列圖所示：圖表SEQ圖表\*ARABIC12可信時(shí)間戳效勞流程醫(yī)院信息系統(tǒng)調(diào)用接口程序通過(guò)Hash算法對(duì)原文計(jì)算出數(shù)字摘要；醫(yī)院信息系統(tǒng)將數(shù)字摘要通過(guò)網(wǎng)絡(luò)發(fā)送給時(shí)間戳效勞器；時(shí)間戳效勞系統(tǒng)通過(guò)網(wǎng)絡(luò)時(shí)間效勞器讀取標(biāo)準(zhǔn)時(shí)間，利用第三方CA機(jī)構(gòu)簽發(fā)的證書對(duì)應(yīng)的私鑰對(duì)數(shù)字摘要和可信時(shí)間進(jìn)行簽名，產(chǎn)生時(shí)間戳；時(shí)間戳通過(guò)網(wǎng)絡(luò)傳回醫(yī)院信息系統(tǒng)，醫(yī)院信息系統(tǒng)驗(yàn)證通過(guò)后進(jìn)行存儲(chǔ)，此后，時(shí)間戳和原文綁定在一起成為可以證明某個(gè)時(shí)間的有效證據(jù)。電子病歷電子簽章在電子信息世界，數(shù)字簽名是隱藏在電子文檔中的一串字符，不能像現(xiàn)實(shí)世界的電子簽名一樣直接展現(xiàn)給用戶，通過(guò)依托成熟產(chǎn)品—電子簽章系統(tǒng)，在醫(yī)囑單、檢驗(yàn)單等醫(yī)療過(guò)程中實(shí)現(xiàn)電子簽章功能，實(shí)現(xiàn)了電子病歷中數(shù)字簽名的可視化、圖形化，使可靠電子簽名在電子病歷中可形象展現(xiàn)，并提供方便的簽章驗(yàn)證辨?zhèn)尾僮鹘缑?。電子簽章?yīng)用流程如下列圖所示：圖表SEQ圖表\*ARABIC13電子簽章處理流程醫(yī)院中心管理員為使用電子簽章管理系統(tǒng)為用戶生成電子簽章，并將電子簽章灌入證書介質(zhì)并和數(shù)字證書進(jìn)行有效綁定，將包括數(shù)字證書和電子簽章圖片的證書介質(zhì)按照發(fā)放流程分配給最終用戶；客戶端集成的電子簽章軟件提供對(duì)電子病歷相關(guān)醫(yī)療數(shù)據(jù)的數(shù)字簽名和電子簽章。方案特