姚力，李哲

第四軍醫(yī)大學(xué)西京醫(yī)院 信息科，陜西西安 710032

醫(yī)院電子病歷安全保障體系構(gòu)建

姚力，李哲

第四軍醫(yī)大學(xué)西京醫(yī)院 信息科，陜西西安 710032

醫(yī)療領(lǐng)域的特殊性對于網(wǎng)絡(luò)信息安全提出了更高要求。本文針對醫(yī)院電子病歷系統(tǒng)患者的隱私安全問題，提出了電子病歷系統(tǒng)認證與授權(quán)模型的構(gòu)建方案，以從根本上提高醫(yī)院信息安全的有效性。

醫(yī)療信息安全；電子病歷；電子病歷系統(tǒng)認證

隨著醫(yī)院信息化建設(shè)的推進，以及現(xiàn)代信息技術(shù)的飛速發(fā)展，醫(yī)院患者的電子病歷作為信息時代的產(chǎn)物，其發(fā)展和安全日益受到人們的關(guān)注。醫(yī)院患者電子病歷系統(tǒng)的應(yīng)用可以切實提高醫(yī)療工作的整體效率，為醫(yī)院內(nèi)部之間的信息交換與共享提供了便利條件。電子病歷記錄了醫(yī)院患者從就診到出院的全部醫(yī)療信息，也是醫(yī)生合理確定治療方案的重要依據(jù)，同時，電子病歷中包含的數(shù)據(jù)信息屬于患者個人隱私。從醫(yī)院信息化建設(shè)的長遠發(fā)展來看，電子病歷將會成為具有法律效應(yīng)的重要數(shù)據(jù)信息。因此，醫(yī)院電子病歷系統(tǒng)需要一套完善的安全保障體制，防止在系統(tǒng)運行過程中由于人為因素或意外事故造成涉密信息丟失、篡改等事件，這些非法的操作都會對系統(tǒng)穩(wěn)定運行帶來一定影響。為此，本文提出一種采用公開密鑰基礎(chǔ)設(shè)施（PKI）技術(shù)的醫(yī)院電子病歷系統(tǒng)安全保障體制[1]。

1 電子病歷系統(tǒng)安全認證與授權(quán)模型的總體設(shè)計

基于PKI技術(shù)和公鑰基礎(chǔ)設(shè)施（PMI）系統(tǒng)的醫(yī)院電子病歷系統(tǒng)是一個安全認證體系結(jié)構(gòu)完善的應(yīng)用系統(tǒng)，其認證與授權(quán)模型包括認證模塊、授權(quán)模塊和用戶訪問控制模塊。其中，認證模塊負責(zé)實現(xiàn)用戶身份認證、數(shù)字簽名技術(shù)、數(shù)據(jù)信息加密等功能；授權(quán)模塊負責(zé)實現(xiàn)用戶數(shù)字證書申請、證書審核和證書頒發(fā)等功能；用戶訪問控制模塊負責(zé)實現(xiàn)用戶數(shù)字證書和屬性證書的權(quán)限控制[2]。

PKI在遵循國際標(biāo)準的前提下，主要以公鑰技術(shù)為基礎(chǔ)，利用公鑰加密技術(shù)為電子商務(wù)的運營發(fā)展提供安全可靠的技術(shù)平臺支持和標(biāo)準方案規(guī)范。對于數(shù)字簽名技術(shù)來說，其技術(shù)的核心同樣是創(chuàng)建證書認證中心（Certificate Authority，CA）。CA認證中心負責(zé)對公鑰加密過程中所需的密鑰、證書進行生成和管理，其內(nèi)容包括證書持有人的身份信息、基本信息等，這些都是PKI應(yīng)用中的關(guān)鍵組成部分。目前，國際信息安全領(lǐng)域?qū)τ赑KI的重要性日益重視，PKI已經(jīng)成為公認的互聯(lián)網(wǎng)信息安全保障措施?；赑KI架構(gòu)基礎(chǔ)，本文進一步提出了PMI系統(tǒng)的構(gòu)建，即采用CA數(shù)字證書技術(shù)，向醫(yī)院電子病歷系統(tǒng)提供用戶身份認證服務(wù)。同時，PMI系統(tǒng)能夠為醫(yī)院電子病歷系統(tǒng)提供與實際應(yīng)用處理模式對應(yīng)的用戶授權(quán)訪問控制機制，減少應(yīng)用系統(tǒng)的開發(fā)設(shè)計、維護管理工作，從根本上保障醫(yī)院電子病歷系統(tǒng)用戶身份驗證與訪問控制的有效性。電子病歷系統(tǒng)認證與授權(quán)模型總體結(jié)構(gòu)，見圖1。

圖1 醫(yī)院電子病歷系統(tǒng)認證與授權(quán)模型總體結(jié)構(gòu)示意圖

當(dāng)有用戶需要對電子病歷系統(tǒng)資源發(fā)起訪問之前，必須向認證與授權(quán)模型中的用戶注冊中心服務(wù)器提出身份證書申請，由用戶注冊中心服務(wù)器經(jīng)過審批之后確定是否向該用戶發(fā)放相應(yīng)的數(shù)字證書，并且將用戶提出的申請轉(zhuǎn)給CA認證中心，當(dāng)CA認證中心完成數(shù)字證書簽發(fā)之后，再將其存儲到證書發(fā)布服務(wù)器（LDAP）（輕量級目錄訪問協(xié)議）服務(wù)器中，以電子郵件或其他通信方式將結(jié)果轉(zhuǎn)給用戶證書的URL，用戶接到通知后，到相應(yīng)的URL中獲取數(shù)字證書，最后將數(shù)字證書存儲到客戶端的應(yīng)用程序中[3]。

當(dāng)用通過向客戶終端向系統(tǒng)信息資源服務(wù)器發(fā)出請求時，如果用戶訪問的信息資源需要特殊的訪問權(quán)限，服務(wù)器則會向用戶發(fā)出索要數(shù)字證書和身份證明的要求，同時對用戶提供的數(shù)字證書進行檢查和驗證，按照預(yù)先設(shè)定的訪問控制策略對用戶是否具有資源訪問的權(quán)限進行檢驗，如果通過合法驗證，用戶則可以對該資源發(fā)起訪問[4]。

2 電子病歷系統(tǒng)安全認證與授權(quán)模型的詳細設(shè)計

2.1 認證模塊的設(shè)計

2.1.1 認證中心

CA認證服務(wù)器負責(zé)數(shù)字證書的簽發(fā)，也是證書認證機構(gòu)的核心部分。CA認證中心自身產(chǎn)生公鑰和密鑰，進一步生成數(shù)字證書，并將其傳遞給安全服務(wù)器，同時負責(zé)數(shù)字證書的撤銷工作。CA認證中心還負責(zé)為安全服務(wù)器、注冊服務(wù)器和系統(tǒng)操作員生成數(shù)字證書。生成的數(shù)字證書和私鑰都需要傳遞給安全服務(wù)器。而且，CA認證中心還能為系統(tǒng)提供部分其他服務(wù)，包括數(shù)字證書作廢處理、密鑰備份和密鑰恢復(fù)等。CA認證中心必須具備良好的安全保證機制，實現(xiàn)用戶權(quán)限管理、日志審計、密鑰管理等功能。CA服務(wù)器負責(zé)存儲數(shù)字證書發(fā)行的腳本文件，因此是整個系統(tǒng)中最為重要的部分。由此，必須將CA服務(wù)器與其他服務(wù)器相互隔離，并采取人工干預(yù)的方式來保證CA認證中心的安全[5]。

2.1.2 注冊中心

注冊中心（Registration Authority，RA）服務(wù)器主要是為登記中心提供操作服務(wù)，在CA認證中心體系結(jié)構(gòu)中起著中間紐帶的作用，RA注冊中心不但承擔(dān)了向安全服務(wù)器轉(zhuǎn)發(fā)數(shù)字證書申請的服務(wù)，同時，RA注冊中心負責(zé)向LDAP服務(wù)器轉(zhuǎn)發(fā)數(shù)字證書及其撤銷的信息[6]。

RA注冊中心接受用戶注冊信息和數(shù)字證書申請需求，并且向與之對應(yīng)的證書服務(wù)器頒發(fā)數(shù)字證書。首先，用戶通過RA中心服務(wù)器注冊個人基本信息，通過后才可以申請CA數(shù)字證書。而且，在用戶數(shù)字證書申請過程中，是由RA注冊中心服務(wù)器將用戶信息傳送到CA數(shù)字證書服務(wù)器中，并由其向用戶頒發(fā)CA數(shù)字證書。

2.1.3 LDAP

LDAP[7]可以實現(xiàn)目錄瀏覽功能，并且將RA注冊中心服務(wù)器傳來數(shù)字證書存儲到服務(wù)器中。當(dāng)用戶訪問LDAP證書發(fā)布服務(wù)器時可以實現(xiàn)數(shù)字證書的查詢和下載功能，以及數(shù)字證書的撤銷功能。

2.1.4 安全服務(wù)器

安全服務(wù)器主要是面向用戶提供數(shù)字證書的申請、證書瀏覽、證書撤銷和證書列表下載的安全服務(wù)。安全服務(wù)器采用的通信方式大多是SSL協(xié)議。首先，用戶通過安全服務(wù)器獲得CA認證中心頒發(fā)的數(shù)字證書，此時，用戶提出申請、瀏覽公鑰等信息。服務(wù)器之間的通信全部實現(xiàn)加密傳輸，只有通過安全服務(wù)器中的私鑰才能獲得解密信息，由此，能夠有效保證外界非法入侵者不會竊取到明文信息，真正提高了數(shù)字證書申請和傳輸?shù)陌踩訹8]。

2.2 授權(quán)模塊的設(shè)計

2.2.1 屬性權(quán)威

屬性權(quán)威（Attribute Authority，AA）主要負責(zé)接收管理員提出的請求，并按照請求執(zhí)行相關(guān)操作。為用戶和資源方提供數(shù)字證書簽發(fā)、注銷、發(fā)布等服務(wù)。同時，AA屬性權(quán)威還負責(zé)管理數(shù)字證書的生命周期活動[9]。

2.2.2 注冊申請機構(gòu)

注冊申請機構(gòu)（Attribute registration authority，ARA）主要負責(zé)接收和審核用戶注冊的基本信息，并且將生成的用戶標(biāo)識名稱和用戶密碼傳送到用戶身份信息數(shù)據(jù)庫中。ARA注冊申請機構(gòu)主要是對用戶信息的真?zhèn)芜M行驗證，保證用戶身份與其所屬證書信息的一致性。

為了保證認證體系的安全性，用戶需要向ARA注冊申請機構(gòu)提供身份信息，并且提供證明用戶身份信息的公鑰數(shù)字證書。用戶可以在線輸入用戶基本信息，將用戶基本信息存儲于用戶數(shù)據(jù)庫中，再利用PKI證書對用戶身份的真?zhèn)芜M行驗證，最后，按照醫(yī)院設(shè)定的用戶授權(quán)策略允許用戶進入到與之對應(yīng)的角色數(shù)據(jù)庫中，并對該角色授予訪問權(quán)限。

2.2.3 授權(quán)策略管理

授權(quán)策略管理包括用戶授權(quán)管理、策略定義管理等，系統(tǒng)管理員按照醫(yī)院預(yù)先制定的授權(quán)策略完成用戶授權(quán)分配，授權(quán)策略包括用戶角色定義策略、用戶權(quán)限定義策略、用戶授權(quán)管理策略等。

2.3 訪問控制模塊的設(shè)計

2.3.1 訪問控制子模塊

根據(jù)用戶提出的操作請求來調(diào)用認證與授權(quán)子模塊，用以確定用戶是否擁有相關(guān)權(quán)限可以對目標(biāo)資源進行訪問。

2.3.2 身份認證子模塊

身份認證子模塊主要是對用戶身份進行合法驗證，確定用戶公鑰數(shù)字證書是否有效，對用戶屬性證書中的必選擴展項是否含有不支持的選型進行檢查，同時，按照認證模塊中的標(biāo)準和規(guī)定，對用戶屬性證書的屬性字段進行檢查。

2.3.3 用戶授權(quán)子模塊

用戶授權(quán)子模塊主要是對用戶所屬角色的數(shù)字證書分配情況進行檢索，角色分配屬性數(shù)字證書的持有人字段應(yīng)該直接指向公鑰證書，對用戶角色分配屬性數(shù)字證書簽名的正確與否進行驗證；對用戶角色分配的屬性證書是否存在于有效期內(nèi)進行驗證；對用戶屬性證書的屬性權(quán)威AA的公鑰數(shù)字證書的有效性進行驗證，用戶屬性證書的屬性權(quán)威AA必須是授信的用戶。同時，該模塊還可以對屬性證書的LDAP進行訪問，檢索與用戶角色相對應(yīng)的屬性證書，并對其有效性進行驗證。

3 電子病歷數(shù)字簽名應(yīng)用實現(xiàn)

3.1 設(shè)備部署說明

系統(tǒng)部署1臺身份認證服務(wù)器、1臺簽名驗簽服務(wù)器，連接密碼機，提供身份認證識別（證書鑒別）、數(shù)據(jù)加密解密、數(shù)字簽名及驗簽等安全功能，以保證系統(tǒng)數(shù)據(jù)機密性、完整性，防抵賴。

部署1臺時間戳服務(wù)器，提供精確的、可信賴的，且不可抵賴的時間戳服務(wù)。另外時間戳服務(wù)器還提供網(wǎng)絡(luò)校時功能，可作為全網(wǎng)校時服務(wù)器使用。

部屬1臺服務(wù)器密碼機（下稱密碼機）。密碼機是通過國家密碼主管部門鑒定并批準使用的國內(nèi)自主開發(fā)的主機加密設(shè)備。服務(wù)器密碼機是PKI通用網(wǎng)絡(luò)安全服務(wù)平臺的高端核心設(shè)備，位于PKI安全體系的硬件加密層，具有模塊化設(shè)計、安全存儲密鑰等特性，為應(yīng)用系統(tǒng)提供數(shù)據(jù)加密/解密、數(shù)字簽名/驗證、密鑰管理及身份認證等功能。

針對系統(tǒng)的安全需求，方便系統(tǒng)集成，開發(fā)了系統(tǒng)安全中間件[10]。中間件是以PKI為基礎(chǔ)，遵循國際、國內(nèi)安全標(biāo)準，面向信息安全應(yīng)用，提供數(shù)字證書安全服務(wù)，符合衛(wèi)生部技術(shù)規(guī)范接口。中間件向上為應(yīng)用系統(tǒng)提供開發(fā)接口，向下提供統(tǒng)一的密碼算法接口以及各種設(shè)備驅(qū)動接口。中間件屏蔽了安全技術(shù)的復(fù)雜性，使開發(fā)人員無須具備專業(yè)的安全知識背景就能夠構(gòu)造高安全性的應(yīng)用。

3.2 電子病歷的電子簽名驗證流程

為了保證電子病歷核心數(shù)據(jù)的完整性，防止被篡改，加入電子簽名驗證[10]?？蛻舳说臄?shù)字簽名由電子病歷系統(tǒng)通過PKI安全中間件調(diào)用用戶的USB_KEY數(shù)字證書完成，其實現(xiàn)流程：① 醫(yī)生插入USB_KEY數(shù)字證書進入電子病歷系統(tǒng)，驗證身份；② 醫(yī)生填寫病程記錄，并提交；③ 客戶端程序調(diào)用USB_KEY數(shù)字證書，對醫(yī)生診斷記錄數(shù)據(jù)進行數(shù)字簽名并提交診斷記錄簽名原文和簽名值；④ 簽名驗簽服務(wù)器獲取簽名原文和簽名值，驗證簽名值是否正確；⑤ 若驗證成功則保存醫(yī)生診斷記錄數(shù)據(jù)和相應(yīng)簽名值，進行后續(xù)業(yè)務(wù)處理，若驗證失敗提示數(shù)字簽名失敗。電子病歷電子簽名驗證流程，見圖2。

圖2 電子病歷電子簽名驗證流程示意圖

3.3 簽名信息的存儲

在電子病歷系統(tǒng)中增加統(tǒng)一的表，用來記錄系統(tǒng)模塊簽名產(chǎn)生的簽名值，需要解決簽名記錄與簽名值的映射關(guān)系，保證可追溯性。表信息包含檢查編號、系統(tǒng)流水號、簽名原文、簽名值等信息。

同時為了保證醫(yī)院的利益，避免在醫(yī)療糾紛時，將簽名信息在認證機構(gòu)服務(wù)器內(nèi)另外保存1份，存儲內(nèi)容包含檢查編號、系統(tǒng)流水號、簽名值等信息。

4 結(jié)語

本文根據(jù)醫(yī)院電子病歷系統(tǒng)面臨的實際信息安全問題，利用PKI技術(shù)、LDAP技術(shù)等提出了醫(yī)院電子病歷系統(tǒng)認證與授權(quán)模型的構(gòu)建方案，安全模型的設(shè)計嚴格遵守國家信息安全標(biāo)準，采用了用戶訪問控制、用戶授權(quán)管理等安全保障機制，提高醫(yī)院電子病歷系統(tǒng)的權(quán)威性、準確性和公平性。

[1] 徐航龍,馬冠穎,戴明浪．我院電子信息存儲系統(tǒng)配置實施分析[J]．中國醫(yī)療設(shè)備,2014,29(6):47-49．

[2] 陳金雄．電子病歷建設(shè)與發(fā)展[J]．中國數(shù)字醫(yī)學(xué),2011,6(5):53-55．

[3] 劉海一．醫(yī)院電子病歷應(yīng)用水平的評價方法探討[J]．中國數(shù)字醫(yī)學(xué),2011,(11):40-42．

[4] 唐雄,張巨發(fā),徐傳新．依托電子病歷的病區(qū)護理質(zhì)控管理系統(tǒng)的開發(fā)及應(yīng)用[J]．醫(yī)療衛(wèi)生裝備,2012,(7):52-53．

[5] 方堃靖,等．中醫(yī)電子病歷系統(tǒng)接口的設(shè)計與實現(xiàn)[J]．中國醫(yī)療設(shè)備,2014,29(8):46-48．

[6] 高敏,葉晰,蔣靜,等．電子病歷信息安全共享關(guān)鍵技術(shù)[J]．計算機系統(tǒng)應(yīng)用,2012,(12):12-16．

[7] 周耀林,黃靈波．電子病歷檔案安全管理探析[J]．檔案與建設(shè), 2013,(3):20-22,32．

[8] 王琳．電子病歷的安全管理策略分析[J]．當(dāng)代醫(yī)學(xué),2013,(7): 17-18．

[9] 施榮華,王偉,董健．基于身份密碼體制的電子病歷系統(tǒng)安全方案[J]．計算機應(yīng)用研究,2013,(7):2140-2143．

[10] 李波．服務(wù)器虛擬化技術(shù)在醫(yī)院信息系統(tǒng)中的應(yīng)用[J]．醫(yī)療裝備,2010,(12):15-16．

Construction of an EHR Security System in the Hospital

YAO Li, LI Zhe
Department of Information, Xijing Hospital of the Fourth Military Medical University, Xi’an Shaanxi 710032, China

The particularity of the medical field raised higher requirements pf network information security. In view of the patients’ privacy security issues of the EHR (Electronic Health Record) system in the hospital, this paper proposed a solution to construct an EHR system authentication and authorization model so as to improve the safety of hospital information fundamentally.

medical information security; electronic health records; electronic health record authentication

TP393.08

A

10.3969/j.issn.1674-1633.2015.06.024

1674-1633(2015)06-0092-03

2014-11-11

2015-01-05

國家863課題（2012AA02A613）。

本文作者：姚力，工程師，主要從事網(wǎng)絡(luò)維護及安全方面工作。

李哲，副教授，西京醫(yī)院信息科主任。

通訊作者郵箱：xjyykyb@fmmu．edu．cn