傳染病醫(yī)院CA電子簽名系統(tǒng)的技術(shù)與實施

周渝霞，杜鳳霞，王 浩，王 東，何 欣

1 CA電子簽名系統(tǒng)實現(xiàn)背景與目的

醫(yī)院每天會產(chǎn)生大量的醫(yī)學(xué)文檔，日常工作中每一個醫(yī)療環(huán)節(jié)如醫(yī)囑、處方、患者知情同意書等都須要醫(yī)務(wù)工作者或患者手工簽名認(rèn)可，加以保存。病歷不僅是病程記錄，也是具有重要法律效力的文件，傳統(tǒng)的手工簽字易丟失、易感染，隨著信息技術(shù)的發(fā)展，病歷的無紙化存儲成為趨勢?！吨腥A人民共和國電子簽名法》中明確了數(shù)據(jù)電文的法律效力，電子簽名具有與手寫簽名同樣的法律效力，能解決紙質(zhì)病歷容易被破壞的特性，保證電子病歷的真實性和完整性[1]。因此，從醫(yī)院實際出發(fā)，引入可靠的CA電子簽名技術(shù)，在每個需要簽名的醫(yī)療場景，保證電子簽名的真實性及防篡改性，對實現(xiàn)醫(yī)療數(shù)據(jù)的完整可信具有重要意義。

2 基本概念與相關(guān)技術(shù)原理

電子簽名是一種應(yīng)用數(shù)據(jù)加密的方法來產(chǎn)生與文件內(nèi)容關(guān)聯(lián)的簽名，加密的簽名數(shù)據(jù)在現(xiàn)有的條件下無法破解或偽造，同時這種簽名又可以被特定的機(jī)構(gòu)進(jìn)行驗證。電子簽名涉及3個實體：簽名者、驗證者和電子論證服務(wù)者。醫(yī)務(wù)人員使用電子簽名產(chǎn)生模塊必須采用安全的簽名流程。驗證者使用的電子簽名驗證模塊、環(huán)境和流程必須滿足一定的安全要求，保證安全正確地驗證電子簽名結(jié)果[2-3]。

電子簽名的基本原理是利用非對稱加密技術(shù)對電子文件進(jìn)行加密運(yùn)算產(chǎn)生簽名，用簽名數(shù)據(jù)還原的文件（或摘要）與原文（或摘要）進(jìn)行比對來確認(rèn)原文是否被修改。非對稱加密技術(shù)是一種數(shù)學(xué)方法，這種方法對文件的加密和解密使用不同的密鑰。簽名時使用的加密密鑰是私鑰，僅由簽名人掌握；驗證文件時使用的解密密鑰是公鑰，可以在公開場合傳輸。應(yīng)用數(shù)學(xué)方法保證無法通過解密公鑰推算出加密私鑰的內(nèi)容。

通常用于簽名的加密私鑰也存儲在簽名人掌握的存儲介質(zhì)中，因而其他人無法掌握和使用簽名的私鑰。為防止存有私鑰的介質(zhì)丟失后被他人利用，在使用私鑰進(jìn)行簽名時還須要簽名人輸入個人識別碼，來確保是本人在進(jìn)行操作。

圖1所示為電子簽名過程與驗證過程示意圖，通常在醫(yī)院電子病歷各系統(tǒng)中使用的是電子簽名的過程，通過這個過程產(chǎn)生的簽名密文文件保存在系統(tǒng)中。當(dāng)須要進(jìn)行驗證時，將原文文件、簽名密文文件及簽名人的數(shù)字證書一同提交，由權(quán)威機(jī)構(gòu)或經(jīng)過認(rèn)證的驗證系統(tǒng)進(jìn)行驗證處理，通過比對驗證中產(chǎn)生的2個摘要信息的一致性，來判斷原文是否被篡改。

圖1 電子簽名過程與驗證過程示意圖Figure 1 Diagram of digital signature processes and verification processes

醫(yī)療記錄的產(chǎn)生時間對于舉證有非常重要的作用，因此電子病歷中的電子簽名包含時間戳是醫(yī)療文件簽名的一項重要要求。醫(yī)務(wù)人員使用個人控制的私鑰對醫(yī)囑、病歷、檢查報告、檢驗記錄、治療記錄等進(jìn)行簽名，解決了這些醫(yī)療記錄的責(zé)任認(rèn)定問題。但是基本的數(shù)字簽名并沒有包含簽名的時間。一個完整的簽名還應(yīng)該在對內(nèi)容進(jìn)行基本簽名后及時對產(chǎn)生這些簽名的時間再進(jìn)行可信的認(rèn)證，即用一個時間戳來可信地記錄這些簽名產(chǎn)生的時間。這個時間戳的產(chǎn)生需要3個基本內(nèi)容：首先是須要包含醫(yī)務(wù)人員的簽名；其次是有不受醫(yī)院控制的標(biāo)準(zhǔn)時間源；第三基于以上兩點(diǎn)實現(xiàn)醫(yī)務(wù)人員簽名與簽名時間的數(shù)字認(rèn)證。

3 電子簽名系統(tǒng)設(shè)計與實施

3.1 電子簽名系統(tǒng)設(shè)計

3.1.1 建立統(tǒng)一的電子認(rèn)證服務(wù)體系 面向醫(yī)院醫(yī)護(hù)工作人員，統(tǒng)一數(shù)字證書發(fā)放與管理，提供優(yōu)質(zhì)、符合衛(wèi)生行業(yè)規(guī)范的數(shù)字證書生命周期服務(wù)，滿足醫(yī)院的實際需要。

3.1.2 電子病歷各環(huán)節(jié)電子簽名 電子病歷主要包括病案首頁、醫(yī)囑單、病程記錄、護(hù)理記錄、手術(shù)資料、產(chǎn)科記錄等內(nèi)容，為滿足各類醫(yī)護(hù)人員簽名需求，針對不同存儲類型數(shù)據(jù)設(shè)計簽名實施方案，包括多級醫(yī)生簽名集成方案、醫(yī)囑批量簽名處理技術(shù)、簽名數(shù)據(jù)優(yōu)化存儲方案等，解決了電子簽名效率低下、簽名數(shù)據(jù)占用存儲空間過大、簽名技術(shù)集成復(fù)雜等實際問題。

3.1.3 患者/家屬電子簽名 針對患者/家屬對電子病情文書的簽名需求，結(jié)合患者手寫簽字或按壓指紋等個性化特征，實現(xiàn)對電子知情同意書的可靠電子簽名，保證院方和患者的權(quán)益，并保留手寫簽名的業(yè)務(wù)模式，簡化操作流程。

3.1.4 多樣化移動醫(yī)療終端電子簽名方案 當(dāng)前醫(yī)院移動醫(yī)療業(yè)務(wù)發(fā)展迅速，根據(jù)移動醫(yī)療終端的多樣性以及護(hù)理文書的簽名需求，設(shè)計支持不同終端設(shè)備的雙接口證書介質(zhì)，實現(xiàn)“一人一鑰”，滿足醫(yī)院多類移動終端的身份認(rèn)證簽名需求。

3.1.5 電子病歷歸檔安全 電子病歷歸檔數(shù)據(jù)的真實性及不可抵賴性，是醫(yī)院能否徹底實現(xiàn)無紙化的關(guān)鍵因素。根據(jù)醫(yī)療事故的司法舉證流程，研發(fā)可信的電子病歷系統(tǒng)，收集電子病歷歸檔數(shù)據(jù)和醫(yī)療事故產(chǎn)生的封存病歷數(shù)據(jù)，為醫(yī)院提供更安全可信的電子病歷管理，并為證據(jù)查詢提供方便、安全的途徑。

3.2 電子簽名系統(tǒng)實施

3.2.1 電子簽名系統(tǒng)環(huán)境搭建 電子簽名系統(tǒng)環(huán)境搭建主要是部署電子簽名軟硬件集成化安全設(shè)備，為信息系統(tǒng)提供數(shù)據(jù)簽名、簽名驗證、證書驗證等功能。電子簽名系統(tǒng)，接收信息系統(tǒng)發(fā)送的簽名服務(wù)請求，并返回簽名或驗證服務(wù)結(jié)果，利用可靠的電子簽名技術(shù)保證數(shù)據(jù)在產(chǎn)生、傳輸、存儲、再利用的整個生命周期過程的真實、完整、準(zhǔn)確，保證“數(shù)出有源”。

3.2.2 時間戳系統(tǒng)環(huán)境搭建 時間戳系統(tǒng)環(huán)境搭建主要是部署時間戳軟硬件集成化安全設(shè)備，該時間設(shè)備調(diào)試是基于國家標(biāo)準(zhǔn)時間源，為信息系統(tǒng)提供精準(zhǔn)、安全和可信時間認(rèn)證服務(wù)。時間戳系統(tǒng)接收信息系統(tǒng)發(fā)送的時間戳，簽發(fā)、驗證時間戳請求，并返回時間戳簽發(fā)或驗證服務(wù)結(jié)果，實現(xiàn)責(zé)任人簽名和準(zhǔn)確的時間記錄，保證數(shù)據(jù)記錄中時間的公正、可信。

3.2.3 電子簽章系統(tǒng)環(huán)境搭建 電子簽章系統(tǒng)以控件的方式安裝于應(yīng)用端，為應(yīng)用端提供數(shù)據(jù)的電子簽名和電子簽章服務(wù)。電子簽章管理系統(tǒng)為用戶生成電子簽章，并將電子簽章灌入證書介質(zhì)中和數(shù)字證書匹配，將包含數(shù)字證書和電子簽章圖片的證書介質(zhì)分配給醫(yī)務(wù)人員，實現(xiàn)醫(yī)務(wù)人員在信息系統(tǒng)中數(shù)字簽名的可視化、圖形化，使可靠電子簽名在信息系統(tǒng)中能夠形象展現(xiàn)。

3.2.4 電子簽名系統(tǒng)與信息系統(tǒng)的集成 為了實現(xiàn)電子認(rèn)證服務(wù)與醫(yī)院各業(yè)務(wù)應(yīng)用的有機(jī)結(jié)合，解決醫(yī)院電子病歷系統(tǒng)等系統(tǒng)的身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定以及電子病歷的真實性、完整性、有效性等問題，建立安全可信的醫(yī)院醫(yī)療業(yè)務(wù)環(huán)境，分別與各個業(yè)務(wù)廠商理清集成的業(yè)務(wù)環(huán)節(jié)和業(yè)務(wù)流程等，在合適的時機(jī)，完成電子簽名系統(tǒng)與醫(yī)院信息管理系統(tǒng)、電子病歷系統(tǒng)、檢驗信息系統(tǒng)、圖像存儲和傳輸系統(tǒng)等的應(yīng)用集成[4-5]，滿足醫(yī)院對業(yè)務(wù)安全、應(yīng)急處理和業(yè)務(wù)連續(xù)性的要求。在各個系統(tǒng)應(yīng)用場景，采用基于數(shù)字簽名和時間戳的電子病歷證據(jù)固化模型，當(dāng)醫(yī)療糾紛發(fā)生后，一方面根據(jù)事件型數(shù)字證書中記錄的電子病歷摘要信息，能夠驗證從醫(yī)院方取證所得的電子病歷相關(guān)信息有無篡改的痕跡；另一方面根據(jù)簽名過程中形成的時間戳文件，驗證電子病歷生成的時間，以及關(guān)聯(lián)性，形成能夠足以還原事實真相的電子病歷證據(jù)鏈條[6]。見圖2。

圖2 電子簽名拓?fù)鋱DEMR系統(tǒng).電子病歷系統(tǒng)；HIS系統(tǒng).醫(yī)院信息管理系統(tǒng)；PACS系統(tǒng).圖像存儲和傳輸系統(tǒng)；LIS系統(tǒng).檢驗信息系統(tǒng)Figure 2 Topology of electronic signature

3.2.5 數(shù)字證書服務(wù) 數(shù)字證書是個人身份的有效數(shù)據(jù)文件，面向醫(yī)院醫(yī)護(hù)/醫(yī)技人員提供數(shù)字證書的全生命周期管理。數(shù)字證書服務(wù)內(nèi)容主要包括醫(yī)院醫(yī)護(hù)/醫(yī)技人員的信息收集、手寫簽章采集、數(shù)字證書制作、數(shù)字證書發(fā)放、受理點(diǎn)建設(shè)、證書生命周期服務(wù)等。組織工作人員進(jìn)行“證書環(huán)境”安裝工作，明確證書管理員人選及職責(zé)，進(jìn)行證書受理點(diǎn)的日常工作，包括發(fā)證、吊銷、丟失補(bǔ)辦、證書介質(zhì)解鎖等。

3.2.6 用戶培訓(xùn) 數(shù)字簽名培訓(xùn)的對象，主要包括信息系統(tǒng)開發(fā)商、系統(tǒng)管理員、證書管理員、數(shù)字證書使用者，培訓(xùn)內(nèi)容包括以下幾點(diǎn)：

一、針對醫(yī)院信息系統(tǒng)開發(fā)商的接口對接、簽名驗證等技術(shù)培訓(xùn)；

二、對系統(tǒng)管理員的培訓(xùn)，包括對數(shù)字簽名服務(wù)系統(tǒng)使用及維護(hù)，使其能排除一般性故障，保障系統(tǒng)的穩(wěn)定運(yùn)行；

三、證書管理員日常證書管理工作的培訓(xùn)，主要是使用數(shù)字證書在線服務(wù)平臺的功能；

四、數(shù)字證書使用者培訓(xùn)，主要是日常數(shù)字簽名操作培訓(xùn)，包括數(shù)字證書產(chǎn)品的業(yè)務(wù)操作、使用流程、注意事項等方面。

3.2.7 系統(tǒng)試運(yùn)行 建立數(shù)字簽名有關(guān)的管理制度，與醫(yī)療科制定數(shù)字證書發(fā)放和使用管理制度、數(shù)字簽名操作業(yè)務(wù)流程規(guī)范，選擇2～3個臨床科室信息系統(tǒng)進(jìn)入試運(yùn)行階段，建立健全運(yùn)行操作和系統(tǒng)維護(hù)規(guī)范，為系統(tǒng)投入實際運(yùn)行和完善提供實際運(yùn)行數(shù)據(jù)和依據(jù)。通過既定時間段的試運(yùn)行，論證系統(tǒng)實施進(jìn)程，通過試運(yùn)行發(fā)現(xiàn)信息系統(tǒng)存在的問題，進(jìn)一步完善信息系統(tǒng)建設(shè)內(nèi)容，確保信息系統(tǒng)平穩(wěn)運(yùn)行，再逐步推廣到全院。

4 總 結(jié)

通過全面實施CA電子簽名技術(shù)，建立醫(yī)院統(tǒng)一的身份認(rèn)證平臺，實現(xiàn)所有臨床科室以及醫(yī)院信息管理系統(tǒng)、檢驗信息系統(tǒng)、圖像存儲與傳輸系統(tǒng)及電子病歷等系統(tǒng)全面應(yīng)用電子論證產(chǎn)品，簡化醫(yī)護(hù)人員操作，優(yōu)化工作流程，實現(xiàn)業(yè)務(wù)環(huán)節(jié)可靠的電子簽名，保障了系統(tǒng)的業(yè)務(wù)安全。在確保電子病歷的真實性、合法性和有效性基礎(chǔ)上，減少各業(yè)務(wù)環(huán)節(jié)醫(yī)護(hù)人員受感染的風(fēng)險，推進(jìn)醫(yī)院無紙化進(jìn)程[7]，降低醫(yī)療成本，提升醫(yī)院管理效率，同時也將在電子病歷的法律效力、醫(yī)療過程的監(jiān)督管理、醫(yī)療服務(wù)精細(xì)化管理等方面發(fā)揮更積極的作用。