王瑞磊 王 國 溫偉杰

(廣東省中醫(yī)院 廣州 510120)

?

軟證書與硬證書在醫(yī)院信息化應(yīng)用中的對(duì)比

王瑞磊 王 國 溫偉杰

(廣東省中醫(yī)院 廣州 510120)

在介紹數(shù)字證書等相關(guān)概念的基礎(chǔ)上，以廣東省中醫(yī)院為例，從實(shí)施流程、實(shí)施條件、便利性、安全性、法律有效性、可維護(hù)性等方面比較電子簽名軟證書與硬證書在醫(yī)院使用的異同點(diǎn)，結(jié)合該院信息系統(tǒng)實(shí)際情況對(duì)所用電子證書技術(shù)選型進(jìn)行初步分析。

電子簽名；數(shù)字證書；醫(yī)院信息化

1 引言

隨著醫(yī)療改革的深入，信息化進(jìn)程也在不斷地改變著醫(yī)療行業(yè)的方方面面。其中基于電子簽名的數(shù)字證書是醫(yī)院信息化建設(shè)的重要方面。數(shù)字證書技術(shù)在身份識(shí)別和認(rèn)證、數(shù)據(jù)完整性、抗抵賴等方面具有其他技術(shù)所無法替代的作用，在軍事、電子商務(wù)和電子政務(wù)等領(lǐng)域有著極廣泛的應(yīng)用，而在醫(yī)療行業(yè)這一技術(shù)尚未大規(guī)模推廣。究其原因，除了與醫(yī)療行業(yè)的高壁壘和醫(yī)療信息系統(tǒng)復(fù)雜集成因素有關(guān)之外，醫(yī)療行業(yè)本身對(duì)器械依賴程度高、流程多、實(shí)操性強(qiáng)等特點(diǎn)也使得該技術(shù)的應(yīng)用面臨著許多問題。本文以廣東省中醫(yī)院為例，從首次為醫(yī)院引入電子簽名技術(shù)的角度出發(fā)，介紹電子簽名軟證書與硬證書在醫(yī)院實(shí)際應(yīng)用的預(yù)期效果，從多方面比較兩種證書的異同點(diǎn)，結(jié)合該院信息系統(tǒng)的實(shí)際情況，對(duì)所用電子證書的技術(shù)選型進(jìn)行初步分析。

2 相關(guān)概念

2.1 消息摘要算法

消息摘要算法，也稱哈希算法或散列算法，常見的有128位的MD5和160位的SHA-1等。消息摘要算法的特性為任意長度的數(shù)據(jù)經(jīng)處理后得到的散列值都是定長的，其中的任意字符被改動(dòng)后所得到的散列值都會(huì)不同，并且計(jì)算很容易。這種處理手段的目的在于無論給定的數(shù)據(jù)有多長，最后被提取出來的都只是一個(gè)定長的特征散列字符串。

2.2 密鑰加密技術(shù)

密鑰加密技術(shù)是為保證在開放式環(huán)境中網(wǎng)絡(luò)傳輸?shù)陌踩峁┑募恿糠?wù)。通常大量使用的密鑰加密技術(shù)是：私用密鑰(對(duì)稱加密)和公用密鑰(非對(duì)稱加密)。電子簽名技術(shù)中比較常見的是非對(duì)稱的RSA加密算法和我國的商用密碼算法SM2等，其特性為數(shù)據(jù)的加密和解密必須由一對(duì)孿生的公鑰A和密鑰B共同完成，而且公鑰A可以公開傳播。密鑰加密的目的在于保證密鑰B處理過的密文C只有公鑰A的持有者能夠解開，密文C只能由密鑰B的持有者生成并且其無法否認(rèn)生成過密文C，反之亦是如此[1]。

2.3 數(shù)字簽名

數(shù)字簽名是一種可以對(duì)系統(tǒng)中的流程或結(jié)果等進(jìn)行簽名的電子技術(shù)。數(shù)字簽名同時(shí)利用了消息摘要算法和密鑰加密技術(shù)，首先對(duì)需要發(fā)送的內(nèi)容進(jìn)行摘要，然后再用發(fā)送方的密鑰進(jìn)行簽名。這樣的處理能夠確保簽名者的真實(shí)性、內(nèi)容的真實(shí)性和簽名行為的不可抵賴性?！峨娮雍灻ā返谑臈l規(guī)定“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”，因此，數(shù)字簽名的目的在于標(biāo)識(shí)某一內(nèi)容是由某人簽發(fā)的，并且無法抵賴。

2.4 公鑰基礎(chǔ)設(shè)施

公鑰基礎(chǔ)設(shè)施是一種采用證書管理公鑰的信任體系，由第3方的證書授權(quán)中心作為公證方，把用戶的公鑰和其他標(biāo)識(shí)信息(如名稱、聯(lián)系方式等)捆綁在一起并用證書授權(quán)中心的密鑰對(duì)其進(jìn)行簽名發(fā)布，以在互聯(lián)網(wǎng)上公證用戶的身份。目前通行的辦法是在電子簽名的基礎(chǔ)上附上證書授權(quán)中心簽發(fā)的發(fā)送方的公鑰信息，將要傳輸?shù)男畔⑦M(jìn)行加密、簽名和公證，保證信息傳輸?shù)谋Ｃ苄?、完整性和發(fā)送者身份的真實(shí)性和抗抵賴性。公鑰基礎(chǔ)設(shè)施的核心是建立一套以證書授權(quán)中心為核心的信用公證體系，信息的接收方可以通過權(quán)威的證書授權(quán)中心來確認(rèn)發(fā)送方的身份信息。

2.5 數(shù)字證書

數(shù)字證書是由證書授權(quán)中心簽名、標(biāo)志用戶身份信息的一組數(shù)據(jù)，其用途在于通過第3方權(quán)威機(jī)構(gòu)來確認(rèn)某人是所聲稱的那個(gè)人。按照存儲(chǔ)介質(zhì)的不同，數(shù)字證書可以分為硬證書(介質(zhì)證書)和軟證書(文件證書)兩種。通過硬件安全介質(zhì)，如U盾等存放的稱為硬證書。硬證書推廣費(fèi)用相對(duì)較高，除了數(shù)字證書的費(fèi)用外還包括介質(zhì)的工本費(fèi)。以電子文件形式存放的稱為軟證書。軟證書無需存儲(chǔ)數(shù)字證書的介質(zhì)，可以通過下載導(dǎo)入在移動(dòng)終端上存取使用。軟證書的推廣費(fèi)用相對(duì)較低，僅收取數(shù)字證書的年度服務(wù)費(fèi)。兩種證書都遵循ITU-T的X.509國際標(biāo)準(zhǔn)，包含證書的版本信息、唯一序列號(hào)、簽名算法、發(fā)證機(jī)構(gòu)、有效期、所有人、公開密鑰算法和發(fā)行者簽名等。功能上兩種證書都能滿足對(duì)用戶身份的真實(shí)性確認(rèn)，保證信息安全，保護(hù)數(shù)據(jù)的完整性，也都具有抗抵賴性等特點(diǎn)。但是從實(shí)際應(yīng)用的角度考察，二者也存在著某些方面的差異[2-3]。

3 軟證書與硬證書在醫(yī)院信息化應(yīng)用中的對(duì)比

3.1 實(shí)施及流程改造

3.1.1 電子硬證書簽名及驗(yàn)簽流程 從實(shí)施步驟來看，硬證書由廠家一次性分發(fā)并定期補(bǔ)充，在硬證書對(duì)電子病歷進(jìn)行簽名和驗(yàn)簽的一次實(shí)際應(yīng)用中，U盾等介質(zhì)必須處于就緒狀態(tài)連接在用戶的電腦上，然后用戶輸入PIN碼訪問密鑰對(duì)電子病歷進(jìn)行數(shù)字簽名，見圖1。在這個(gè)環(huán)節(jié)中一旦用戶遺失該介質(zhì)或者介質(zhì)發(fā)生物理損壞，就會(huì)給醫(yī)護(hù)人員的使用帶來不便。據(jù)在兄弟醫(yī)院調(diào)查反饋的情況來看，介質(zhì)證書在投入使用的前3個(gè)月失效率可能達(dá)到30%～40%，并且經(jīng)常需要返廠才能更換。為了改善這一問題，則不得不制定相關(guān)的規(guī)章制度以降低介質(zhì)的物理損失。

3.1.2 廣東省中醫(yī)院實(shí)際應(yīng)用情況 以廣東省中醫(yī)院現(xiàn)有心電圖系統(tǒng)的使用流程來看，用戶需要在登錄心電圖系統(tǒng)時(shí)輸入一次用戶名和密碼，在出具心電圖報(bào)告時(shí)，用戶對(duì)應(yīng)的簽名圖片會(huì)被讀取并嵌入到心電圖報(bào)告中，以此關(guān)聯(lián)醫(yī)生和其出具的心電圖報(bào)告。這種做法方便，使用過程中不容易出現(xiàn)系統(tǒng)問題，但是不具有法律效力。使用硬證書進(jìn)行流程改造后，用戶在登錄心電圖系統(tǒng)后，需要多輸入一個(gè)個(gè)人識(shí)別號(hào)(Personal Indentification Number,PIN)以訪問存儲(chǔ)在硬證書中的私鑰及證書信息。以后每次在出具心電圖報(bào)告時(shí)，需要將心電圖文件進(jìn)行消息摘要提取出一個(gè)較短的特征碼，然后調(diào)用硬證書中的簽名函數(shù)獲得數(shù)字簽名和數(shù)字證書，將這些結(jié)果嵌入到心電圖文件中，以關(guān)聯(lián)醫(yī)生和其出具的報(bào)告。在這個(gè)改造中醫(yī)生體驗(yàn)不到有什么差異，但之后的心電圖報(bào)告已經(jīng)可以作為證據(jù)用于法律糾紛。改造后由于多了一個(gè)電子簽名環(huán)節(jié)，心電圖系統(tǒng)的可用性會(huì)受限于電子簽名系統(tǒng)的可用性指標(biāo)。若出具心電圖報(bào)告的醫(yī)生和審核醫(yī)生不是同一個(gè)人，并且使用軟證書對(duì)此流程進(jìn)行改造以支持院外復(fù)核，則院內(nèi)需要將心電圖報(bào)告、報(bào)告的摘要信息傳給復(fù)核醫(yī)生，復(fù)核醫(yī)生在移動(dòng)終端上輸入PIN碼，對(duì)摘要信息進(jìn)行電子簽名并回傳其電子簽名信息和證書信息以供院內(nèi)嵌入心電圖報(bào)告中。這樣改造以后，心電圖系統(tǒng)的可用性要同時(shí)取決于出具報(bào)告醫(yī)生的硬證書故障率、審核醫(yī)生軟證書的故障率和網(wǎng)絡(luò)的穩(wěn)定程度。優(yōu)點(diǎn)是可以在院外簽發(fā)具有法律意義的醫(yī)學(xué)文件[4]。

3.1.3 電子軟證書簽名及驗(yàn)簽流程 軟證書在首次應(yīng)用時(shí)，需要在手機(jī)等移動(dòng)設(shè)備上進(jìn)行證書申請(qǐng)、安裝和PIN碼修改等。安裝完成以后則與某一移動(dòng)終端的芯片(如用戶識(shí)別模塊(User Identify Module, UIM)卡)進(jìn)行綁定，可以遠(yuǎn)程使用。這對(duì)于不適合大規(guī)模開放VPN登錄醫(yī)院內(nèi)部醫(yī)療網(wǎng)絡(luò)而又需要院外審批的情況是一種比較好的解決方案，除具有易于保管、攜帶，操作方便，不易丟失等特點(diǎn)外，相關(guān)用戶在院外也可以通過無線網(wǎng)絡(luò)對(duì)院內(nèi)相關(guān)流程進(jìn)行遠(yuǎn)程審批和電子簽名等操作。在軟證書的一次應(yīng)用中，用戶收到一條有關(guān)批示的提醒信息，然后用戶輸入PIN碼去訪問存儲(chǔ)在用戶移動(dòng)端內(nèi)存或SD卡中的密鑰對(duì)電子病歷進(jìn)行電子簽名并進(jìn)行后續(xù)傳播和驗(yàn)證,見圖2。在整個(gè)過程中只有一次需要用戶參與的動(dòng)作，增加了便利性[5-6]。

圖2 電子軟證書簽名及驗(yàn)簽流程

3.2 實(shí)施條件

硬證書的使用依賴于物理上的連接，需要設(shè)備就緒并解決一臺(tái)機(jī)同時(shí)連接幾個(gè)U盾的問題，以及多人輪流使用一臺(tái)設(shè)備的切換等問題。而且頻繁的使用增加了設(shè)備的物理折舊速度，一旦設(shè)備的USB線路出現(xiàn)故障，就會(huì)中斷相關(guān)用戶的正常使用流程或造成不便。軟證書的使用則嚴(yán)重依賴于網(wǎng)絡(luò)的連通，需要考慮醫(yī)療內(nèi)網(wǎng)連接互聯(lián)網(wǎng)而帶來的信息安全相關(guān)問題。如果院內(nèi)WIFI已經(jīng)開通，則移動(dòng)終端在多個(gè)無線接入點(diǎn)(Access Point,AP)重疊區(qū)域切換帶來的閃斷可能會(huì)影響用戶的使用體驗(yàn)，增加系統(tǒng)管理并發(fā)連接的技術(shù)難度；如果還沒有開通WIFI，則移動(dòng)終端通過2G、3G或4G通信網(wǎng)絡(luò)使用院內(nèi)業(yè)務(wù)系統(tǒng)可能出現(xiàn)連接失敗、超時(shí)重傳或嚴(yán)重延時(shí)等情況。軟證書對(duì)網(wǎng)絡(luò)的嚴(yán)重依賴問題是當(dāng)前軟證書大規(guī)模應(yīng)用的一個(gè)短板，需要通過加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)等來解決這個(gè)問題。

3.3 便利性

從便利性方面分析，硬證書比較適用于在電腦、筆記本終端上使用,不適用于移動(dòng)和遠(yuǎn)程使用，雖然安全性高，但便利性方面存在一定的不足，需要通過使用軟證書來補(bǔ)充。軟證書是對(duì)硬證書在便利性方面很好的補(bǔ)充，無需介質(zhì)，適用于手機(jī)、平板等移動(dòng)終端辦公使用，可以滿足院內(nèi)移動(dòng)查房、領(lǐng)導(dǎo)外出移動(dòng)辦公等需求。但是軟證書也存在著對(duì)設(shè)備的依賴性，更換手機(jī)或是在其他設(shè)備上使用自己的電子證書時(shí)，需要重新下載和安裝軟證書[7]。

3.4 安全性

從安全性方面分析，優(yōu)盾等硬證書是專用存儲(chǔ)介質(zhì)，滿足信息安全等級(jí)保護(hù)3級(jí)的要求，安全性高，是國家密碼管理局主推的數(shù)字證書存儲(chǔ)方式。介質(zhì)內(nèi)含有存儲(chǔ)了密鑰的加密芯片，采用雙因子保護(hù)技術(shù)，不能被導(dǎo)出或復(fù)制，對(duì)密鑰的使用有PIN碼驗(yàn)證機(jī)制以及對(duì)PIN碼錯(cuò)誤猜測次數(shù)的限制，能夠有效地保護(hù)密鑰，是目前最安全的身份認(rèn)證手段之一。軟證書的證書和密鑰存儲(chǔ)有3種方式，可以存儲(chǔ)在移動(dòng)終端的SIM卡、SD卡或是機(jī)身內(nèi)存中。前兩種經(jīng)過運(yùn)營商或是證書授權(quán)中心的專門處理，可以獲取同硬證書一樣的安全性，最后一種存儲(chǔ)在機(jī)身內(nèi)存中的解決方案雖然非常方便且不涉及硬件的專門處理，但是密鑰可以被導(dǎo)出或是被替換，從而使得木馬等惡意軟件能夠?qū)l(fā)送者的證書復(fù)制到其他終端上冒名使用，同時(shí)發(fā)送者本人的密鑰和證書也可能被替換成他人的密鑰和證書，從而無法避免抵賴的風(fēng)險(xiǎn)。雖然軟證書客戶端的證書和密鑰文件也有PIN碼保護(hù)，但卻沒有PIN碼錯(cuò)誤次數(shù)限制，也無法防止別人猜測PIN碼；而且，軟證書一旦安裝到其他移動(dòng)終端上，誰都可以使用，這時(shí)默認(rèn)是沒有PIN碼驗(yàn)證機(jī)制的。應(yīng)用電子簽名技術(shù)需要在便利性和安全性間做權(quán)衡和取舍，在不敏感又要求便利性的場合選擇軟證書，對(duì)敏感信息的加密需要采取硬證書和物理保護(hù)等措施[8-10]。

3.5 可擴(kuò)展性

硬證書的密鑰及加密算法固化在硬件介質(zhì)中，如果證書過期或是因政策修改需要升級(jí)硬件等，則整個(gè)介質(zhì)需要返廠升級(jí)或重新更換，會(huì)額外產(chǎn)生一筆介質(zhì)的費(fèi)用。軟證書的升級(jí)分3種：SIM卡的升級(jí)需要聯(lián)系運(yùn)營商；SD卡的升級(jí)需要聯(lián)系證書授權(quán)中心；機(jī)身內(nèi)存中的證書和私鑰升級(jí)則比較便利，只需要重新下載和安裝升級(jí)版的證書文件即可。硬件介質(zhì)的使用除了物理上的使用限制外，維護(hù)費(fèi)用也是一個(gè)需要重點(diǎn)考慮的因素。

3.6 法律有效性

法律有效性方面，《中華人民共和國電子簽名法》第十七條規(guī)定了提供電子認(rèn)證服務(wù)，應(yīng)當(dāng)具有符合國家安全標(biāo)準(zhǔn)的技術(shù)和設(shè)備，具有國家密碼管理機(jī)構(gòu)同意使用密碼的證明文件。原衛(wèi)生部《衛(wèi)生系統(tǒng)數(shù)字證書介質(zhì)技術(shù)規(guī)范(試行)》對(duì)證書介質(zhì)也做出了各項(xiàng)明確要求?！缎畔踩燃?jí)保護(hù)商用密碼技術(shù)實(shí)施要求》對(duì)3級(jí)及以上密碼安全防護(hù)提出密鑰應(yīng)加密存儲(chǔ)，采用嚴(yán)格的安全防護(hù)措施，防止密鑰被非法獲取，應(yīng)存儲(chǔ)在專用硬件中，且專用硬件應(yīng)具有有效的物理安全保護(hù)措施，滿足相應(yīng)運(yùn)行環(huán)境的可靠性要求。而軟證書在法律方面則無明確的法律條款，無法確認(rèn)軟證書是否屬于有效介質(zhì)。信息安全等級(jí)保護(hù)方面則因?yàn)檐涀C書存儲(chǔ)條件為非專用介質(zhì)，而未能達(dá)到信息安全3級(jí)及以上對(duì)有關(guān)密鑰存儲(chǔ)的硬件要求[11-12]。

3.7 可維護(hù)性

從開發(fā)及可維護(hù)性的角度分析，硬證書由于涉及介質(zhì)的保管，存在著易于丟失、損壞、混淆、不便攜帶等缺點(diǎn)，一旦申請(qǐng)重新補(bǔ)發(fā)，就會(huì)加重醫(yī)院信息科的工作量，而且從目前的實(shí)際情況看，科室往往存在著多人共用一臺(tái)機(jī)器的情況，需要復(fù)核或者輪流工作時(shí)就必須插拔個(gè)人的U盾，效率低下。而軟證書跟隨個(gè)人的手機(jī)，只需要在使用方面對(duì)個(gè)人進(jìn)行培訓(xùn)即可，不涉及硬件的維護(hù)保養(yǎng)等問題，無論是證書的更新、注銷還是忘記PIN碼等，均可以由個(gè)人獨(dú)立完成。在國際上，在政府、金融、商貿(mào)等各個(gè)領(lǐng)域中，軟證書的使用都已經(jīng)非常普遍，隨著移動(dòng)計(jì)算技術(shù)的發(fā)展，軟證書也會(huì)逐漸地在醫(yī)療行業(yè)普及開來[13-14]。

4 結(jié)語

通過對(duì)以上諸點(diǎn)的分析，結(jié)合兄弟醫(yī)院和廣東省中醫(yī)院的推廣經(jīng)驗(yàn)，建議醫(yī)院電子證書的推行可以首先從心電、放射或檢驗(yàn)等醫(yī)技科室開始，從內(nèi)部流程的某一個(gè)環(huán)節(jié)著手，以硬證書為主，對(duì)科主任等具有審批權(quán)的人群在內(nèi)部使用場景推行軟證書作為補(bǔ)充，逐步推開。而臨床科室由于各病種間的差異、醫(yī)生對(duì)于信息技術(shù)的接受程度等因素，暫時(shí)不宜一次性全院實(shí)施。

1 陳相琳. 數(shù)字簽名技術(shù)及算法的研究[D].哈爾濱：哈爾濱理工大學(xué),2007.

2 韓水玲,馬敏,王濤,等. 數(shù)字證書應(yīng)用系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 信息網(wǎng)絡(luò)安全,2012,(9):43-45.

3 徐剛. 基于CA認(rèn)證的醫(yī)院電子病歷安全模型[C].天津： 第二十六屆中國(天津)2012IT、網(wǎng)絡(luò)、信息技術(shù)、電子、儀器儀表創(chuàng)新學(xué)術(shù)會(huì)議,2012.

4 任曉剛. 數(shù)字簽名在醫(yī)院電子病歷中的應(yīng)用研究[J]. 信息技術(shù),2013，(1):118-120.

5 鐘紅霞. 分析電子簽名在醫(yī)院信息化安全中的應(yīng)用與思考[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014，(8):163-164.

6 劉冬,李剛,朱向明. 電子病歷若干關(guān)鍵問題研究[J]. 醫(yī)學(xué)信息學(xué)雜志,2013,34(5):38-41.

7 潘遂壯,楊崇選,張海燕. 時(shí)間戳和手機(jī)短信認(rèn)證數(shù)字簽名技術(shù)在電子病歷中的應(yīng)用[J]. 中國病案,2013，(9):44-45.

8 李紅,金玉子,陳卓. 電子簽名技術(shù)在電子病案中的應(yīng)用與問題[J]. 蘭臺(tái)世界,2014，(S2):125-126.

9 沈亞琴,劉雪梅. 基于電子認(rèn)證服務(wù)的軍隊(duì)醫(yī)院信息安全解決方案[J]. 醫(yī)學(xué)信息學(xué)雜志,2014,35(7):37-41.

10 劉晶,左秀然,歐陽九鴻. 電子簽名在醫(yī)院檢驗(yàn)信息系統(tǒng)中的實(shí)施與應(yīng)用[J]. 醫(yī)學(xué)信息學(xué)雜志,2014,35(11):30-34.

11 魏紅匣. 淺議《電子簽名法》[D].北京：中國社會(huì)科學(xué)院研究生院,2013.

12 王定珠. 醫(yī)院信息化管理中的法律問題[J]. 醫(yī)學(xué)信息學(xué)雜志,2009,30(8):58-61.

13 鄭攀,王暉. 數(shù)字證書在社區(qū)衛(wèi)生服務(wù)管理信息系統(tǒng)中的應(yīng)用[J]. 醫(yī)學(xué)信息學(xué)雜志,2010,30(10):13-16.

14 潘志強(qiáng),吳慶斌. 集成數(shù)字證書的非接觸式醫(yī)院一卡通平臺(tái)設(shè)計(jì)與應(yīng)用[J]. 醫(yī)學(xué)信息學(xué)雜志,2014,35(12):31-34.

Comparison of Soft and Hard Certificate Applying in Hospital Informatization

WANGRui-lei,WANGGuo,WENWei-jie，

GuangdongProvincialTraditionalChineseMedicalHospital,Guangzhou510120,China

Based on introducing digital certificate related concepts, the paper compares the similarities and differences of digital signature soft and hard certificates from the aspects of implementation process, implementation condition, convenience, security, law validity, maintainability, etc. Combining with the actual status of information system, it analyzes the selection of digital signature.

Digital signature; Digital certificate; Hospital informatization

2015-04-08

王瑞磊，工程師,發(fā)表論文2篇。

R-058

A 〔DOI〕10.3969/j.issn.1673-6036.2015.08.008