何建明 梁源

【摘 要】隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，移動(dòng)技術(shù)越來(lái)越多地在各個(gè)業(yè)務(wù)系統(tǒng)中得到廣泛使用。在醫(yī)療領(lǐng)域，結(jié)合實(shí)際業(yè)務(wù)場(chǎng)景衍生了移動(dòng)查房系統(tǒng)，醫(yī)院護(hù)士使用手持移動(dòng)終端設(shè)備進(jìn)行查房，查閱相關(guān)記錄，極大地提高了工作效率。但是，在應(yīng)用移動(dòng)化電子查房系統(tǒng)的同時(shí)，也產(chǎn)生了安全性和合規(guī)性問(wèn)題，例如護(hù)士登錄查房/護(hù)理系統(tǒng)時(shí)的強(qiáng)身份認(rèn)證，查房記錄的電子簽名等。文章介紹的應(yīng)用方案基于PKI體系，使用數(shù)字證書(shū)技術(shù)，由CA認(rèn)證機(jī)構(gòu)給查房護(hù)士簽發(fā)數(shù)字證書(shū)，標(biāo)識(shí)護(hù)士的身份，實(shí)現(xiàn)系統(tǒng)登錄的強(qiáng)身份認(rèn)證和移動(dòng)查房/護(hù)理的責(zé)任落實(shí)。

【關(guān)鍵詞】醫(yī)療移動(dòng)查房系統(tǒng)；移動(dòng)數(shù)字證書(shū)；PKI

【中圖分類(lèi)號(hào)】TN925.93；TP399-C8 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1674-0688（2017）05-0097-04

1 背景與需求描述

目前，不少醫(yī)院給護(hù)士發(fā)放了專(zhuān)用移動(dòng)終端（Android系統(tǒng)手機(jī)）用于移動(dòng)查房和護(hù)理，移動(dòng)查房和護(hù)理形成的電子化歸檔數(shù)據(jù)代替紙質(zhì)單據(jù)，不僅可以節(jié)約成本，還可提高工作效率、節(jié)省工作時(shí)間。但是，在應(yīng)用移動(dòng)化電子查房系統(tǒng)的同時(shí)，也產(chǎn)生了安全性和合規(guī)性問(wèn)題，具體如下。

1.1 護(hù)士登錄查房/護(hù)理系統(tǒng)時(shí)的強(qiáng)身份認(rèn)證

需要給護(hù)士發(fā)放強(qiáng)身份認(rèn)證憑證，實(shí)現(xiàn)訪問(wèn)系統(tǒng)的強(qiáng)身份認(rèn)證，防止護(hù)士身份被盜取和系統(tǒng)被非授權(quán)訪問(wèn)。

1.2 查房/護(hù)理記錄電子簽名

針對(duì)護(hù)士在移動(dòng)端提交的電子查房/護(hù)理記錄實(shí)現(xiàn)電子簽名和時(shí)間戳簽名，電子簽名等同于手寫(xiě)簽名，既可以防止電子查房/護(hù)理記錄上傳時(shí)被篡改，又可以落實(shí)記錄上傳者的責(zé)任。

2 設(shè)計(jì)思路

解決護(hù)士強(qiáng)身份認(rèn)證和責(zé)任落實(shí)的問(wèn)題依然需要基于PKI體系使用數(shù)字證書(shū)技術(shù)，由CA認(rèn)證機(jī)構(gòu)給查房護(hù)士簽發(fā)數(shù)字證書(shū)，標(biāo)識(shí)護(hù)士的身份，實(shí)現(xiàn)系統(tǒng)登錄的強(qiáng)身份認(rèn)證和移動(dòng)查房、護(hù)理的責(zé)任落實(shí)。

在數(shù)字證書(shū)載體方面，現(xiàn)有的USBKEY無(wú)法與已經(jīng)發(fā)放的Android移動(dòng)終端相兼容，采用CA認(rèn)證機(jī)構(gòu)的移動(dòng)數(shù)字證書(shū)產(chǎn)品，以查房移動(dòng)終端為證書(shū)載體，通過(guò)產(chǎn)品核心技術(shù)保證證書(shū)密鑰的安全，從安全、易用、兼容等角度作為一種移動(dòng)數(shù)字證書(shū)的優(yōu)選方案。

3 解決方案

3.1 方案目標(biāo)

本方案是基于成熟的PKI/CA公鑰密碼技術(shù)并使用CA認(rèn)證機(jī)構(gòu)的移動(dòng)證書(shū)產(chǎn)品的移動(dòng)數(shù)字證書(shū)解決方案。方案能實(shí)現(xiàn)以下目標(biāo)。

3.1.1 護(hù)士的移動(dòng)端數(shù)字證書(shū)通過(guò)移動(dòng)證書(shū)快速下發(fā)

移動(dòng)查房/護(hù)理護(hù)士開(kāi)通移動(dòng)證書(shū)，通過(guò)移動(dòng)證書(shū)獲得由CA認(rèn)證機(jī)構(gòu)簽發(fā)的用戶實(shí)名身份證書(shū)，并以查房專(zhuān)用移動(dòng)終端為安全的載體保護(hù)用戶密鑰與證書(shū)。護(hù)士的實(shí)名身份證書(shū)是實(shí)現(xiàn)信息完整性、身份真實(shí)性的技術(shù)基礎(chǔ)。

3.1.2 護(hù)士登錄移動(dòng)查房/護(hù)理系統(tǒng)通過(guò)移動(dòng)證書(shū)實(shí)現(xiàn)強(qiáng)身份認(rèn)證

護(hù)士登錄移動(dòng)查房/護(hù)理系統(tǒng)時(shí)，以移動(dòng)證書(shū)代替?zhèn)鹘y(tǒng)的賬號(hào)+口令，實(shí)現(xiàn)登錄者的強(qiáng)身份認(rèn)證。

3.1.3 護(hù)士上傳的查房/護(hù)理記錄通過(guò)移動(dòng)證書(shū)做電子簽名

護(hù)士在移動(dòng)終端編輯的查房/護(hù)理記錄通過(guò)移動(dòng)證書(shū)進(jìn)行電子簽名，保證上傳的記錄的完整性和操作人責(zé)任的落實(shí)。

3.1.4 移動(dòng)護(hù)理終端掃碼實(shí)現(xiàn)對(duì)PC業(yè)務(wù)的電子簽名

護(hù)士使用移動(dòng)查房終端掃描PC端的二維碼調(diào)用移動(dòng)證書(shū)實(shí)現(xiàn)對(duì)PC業(yè)務(wù)的電子簽名與認(rèn)證。

3.2 方案整體架構(gòu)

方案的整體架構(gòu)如圖1所示。

（1）移動(dòng)證書(shū)SDK：由業(yè)務(wù)APP集成，作為安全的軟件載體代替硬件保護(hù)用戶密鑰和證書(shū)的安全，移動(dòng)證書(shū)SDK給業(yè)務(wù)APP提供本地調(diào)用的接口開(kāi)放密碼運(yùn)算和證書(shū)服務(wù)能力。

（2）移動(dòng)證書(shū)應(yīng)用前置：部署在醫(yī)院的內(nèi)部網(wǎng)絡(luò)，包含簽名驗(yàn)簽服務(wù)器、時(shí)間戳服務(wù)器，應(yīng)用前置主要提供簽名驗(yàn)簽和時(shí)間戳的功能。

（3）移動(dòng)證書(shū)云平臺(tái)：由CA認(rèn)證機(jī)構(gòu)運(yùn)營(yíng)，實(shí)現(xiàn)移動(dòng)數(shù)字證書(shū)的安全下發(fā)及移動(dòng)證書(shū)SDK的管理。

（4）CA認(rèn)證機(jī)構(gòu)簽發(fā)系統(tǒng)：簽發(fā)有社會(huì)公信力的實(shí)名身份證書(shū)，醫(yī)院的USBKEY證書(shū)和移動(dòng)證書(shū)都由此系統(tǒng)簽發(fā)。

3.3 業(yè)務(wù)流程

3.3.1 移動(dòng)證書(shū)申請(qǐng)

3.3.1.1 移動(dòng)證書(shū)申請(qǐng)步驟

（1）院方通過(guò)信息錄入門(mén)戶將護(hù)士的身份信息（包括但不限于工號(hào)、身份證、手機(jī)號(hào)）錄入系統(tǒng)中。

（2）院方管理人員通過(guò)業(yè)務(wù)受理門(mén)戶審核業(yè)務(wù)請(qǐng)求信息。

（3）審核通過(guò)后允許請(qǐng)求發(fā)送到移動(dòng)證書(shū)云平臺(tái)完成預(yù)注冊(cè)。

（4）護(hù)士在移動(dòng)終端按照提示激活移動(dòng)證書(shū)安裝數(shù)字證書(shū)。

申請(qǐng)移動(dòng)證書(shū)的具體流程如圖2所示。

3.3.1.2 關(guān)鍵點(diǎn)說(shuō)明

（1）護(hù)士的證書(shū)申請(qǐng)材料由院方在管理門(mén)戶錄入，錄入一次即可，在移動(dòng)證書(shū)云平臺(tái)預(yù)注冊(cè)時(shí)生成10組（數(shù)目可調(diào)，此數(shù)目代表了一位護(hù)士可以同時(shí)在多少移動(dòng)終端上申請(qǐng)證書(shū)）激活碼，護(hù)士在不同終端上激活移動(dòng)證書(shū)使用一組激活碼，這樣實(shí)現(xiàn)了對(duì)于每一位護(hù)士一次申請(qǐng)多次發(fā)證。

（2）院方錄入材料中包含護(hù)士本人的手機(jī)號(hào)碼，護(hù)士激活移動(dòng)證書(shū)時(shí)通過(guò)短信將激活碼發(fā)送到護(hù)士自己的手機(jī)上，護(hù)士再輸入到移動(dòng)終端中，克服了移動(dòng)終端無(wú)短信功能的現(xiàn)實(shí)問(wèn)題。

（3）醫(yī)院信息化系統(tǒng)存儲(chǔ)“護(hù)士—終端—證書(shū)”三者的綁定關(guān)系，這樣在后臺(tái)只有通過(guò)護(hù)士+終端2個(gè)篩選條件才能精確定位一張證書(shū)。移動(dòng)終端編號(hào)也會(huì)簽到證書(shū)擴(kuò)展項(xiàng)中，這樣能適應(yīng)CA為一個(gè)人簽發(fā)多張證書(shū)的場(chǎng)景。

（4）證書(shū)申請(qǐng)數(shù)據(jù)通過(guò)醫(yī)院外網(wǎng)出口和移動(dòng)證書(shū)平臺(tái)對(duì)接，做防火墻策略保證內(nèi)網(wǎng)安全。

3.3.2 移動(dòng)證書(shū)更新

移動(dòng)證書(shū)一般簽發(fā)一年的有效期，快到期或者已到期時(shí)，移動(dòng)終端會(huì)提醒護(hù)士進(jìn)行更新。

3.3.2.1 證書(shū)更新步驟

（1）護(hù)士登錄查房APP后，系統(tǒng)提示護(hù)士證書(shū)即將到期或已到期，需要更新證書(shū)，護(hù)士選擇更新證書(shū)。

（2）院方管理人員通過(guò)業(yè)務(wù)受理門(mén)戶審核業(yè)務(wù)請(qǐng)求信息。

（3）護(hù)士在移動(dòng)終端按照提示重新下載證書(shū)。

證書(shū)更新的流程如圖3所示。

3.3.2.2 關(guān)鍵點(diǎn)說(shuō)明

鑒于證書(shū)更新由護(hù)士發(fā)起后要通過(guò)院方后臺(tái)審核，所以并不能保證更新業(yè)務(wù)能實(shí)時(shí)受理、實(shí)時(shí)更新，在護(hù)士確認(rèn)更新到業(yè)務(wù)審核通過(guò)之前，護(hù)士仍可以使用舊證書(shū)處理業(yè)務(wù)。

3.3.3 登錄身份認(rèn)證

護(hù)士登錄查房APP時(shí)以移動(dòng)證書(shū)代替賬號(hào)口令，增強(qiáng)身份認(rèn)證的強(qiáng)度，防止登錄身份被盜用。登錄身份認(rèn)證流程如圖4所示。

3.3.4 移動(dòng)查房/護(hù)理記錄電子簽名

護(hù)士上傳查房/護(hù)理記錄之前，調(diào)用移動(dòng)終端中的移動(dòng)證書(shū)對(duì)查房/護(hù)理記錄電子簽名、增加時(shí)間戳簽名，防止查房/護(hù)理記錄被篡改，并且落實(shí)了上傳護(hù)士的責(zé)任。移動(dòng)查房/護(hù)理記錄電子簽名流程圖如圖5所示。

3.4 關(guān)鍵問(wèn)題的解決

3.4.1 網(wǎng)絡(luò)問(wèn)題

醫(yī)院終端不能連接外網(wǎng)，但是簽發(fā)移動(dòng)證書(shū)的云平臺(tái)在外網(wǎng)，必須解決移動(dòng)證書(shū)申請(qǐng)和更新時(shí)終端連接移動(dòng)證書(shū)云平臺(tái)的問(wèn)題。

本方案中，通過(guò)醫(yī)院防火墻策略開(kāi)放指定的外網(wǎng)地址，將請(qǐng)求數(shù)據(jù)轉(zhuǎn)發(fā)到外網(wǎng)的移動(dòng)證書(shū)云平臺(tái)上，實(shí)現(xiàn)終端請(qǐng)求的實(shí)時(shí)轉(zhuǎn)發(fā)，24小時(shí)不中斷，同時(shí)通過(guò)防火墻策略設(shè)置，保證內(nèi)網(wǎng)系統(tǒng)的安全。

3.4.2 多位護(hù)士多個(gè)終端的問(wèn)題

一個(gè)病區(qū)配備一個(gè)移動(dòng)終端供多位護(hù)士使用，而護(hù)士存在臨時(shí)被抽調(diào)支援的情況，所以又會(huì)有一個(gè)護(hù)士在多個(gè)病區(qū)使用多個(gè)移動(dòng)終端的情況。這就要求一個(gè)移動(dòng)終端可存放多位護(hù)士的移動(dòng)證書(shū)，同時(shí)一位護(hù)士可在多個(gè)終端上申請(qǐng)自己的證書(shū)。

本方案中，移動(dòng)證書(shū)支持一個(gè)終端多證書(shū)容器來(lái)存放多個(gè)人的證書(shū)。對(duì)于一位護(hù)士使用多個(gè)終端的情況，證書(shū)申請(qǐng)時(shí)，護(hù)士身份資料包括手機(jī)號(hào)碼在管理門(mén)戶錄入完成預(yù)注冊(cè)生成多組激活碼，護(hù)士在移動(dòng)終端通過(guò)自己的手機(jī)接收短信激活碼，每接收一組激活碼即可激活一個(gè)移動(dòng)證書(shū)，后臺(tái)激活碼生成的組數(shù)決定了護(hù)士可申請(qǐng)證書(shū)的數(shù)量，證書(shū)中附帶移動(dòng)設(shè)備編號(hào)信息，證明是護(hù)士在此終端上申請(qǐng)的個(gè)人身份證書(shū)。這樣，當(dāng)護(hù)士換病區(qū)使用新終端時(shí)，通過(guò)工號(hào)在新終端上申請(qǐng)一張證書(shū)。

3.4.3 院方實(shí)現(xiàn)證書(shū)業(yè)務(wù)的審核和證書(shū)管理

移動(dòng)證書(shū)的申請(qǐng)、更新及狀態(tài)變更應(yīng)該在院方的控制和管理之下。在本方案中，醫(yī)院信息化系統(tǒng)開(kāi)發(fā)門(mén)戶，能夠讓院方管理者查看證書(shū)業(yè)務(wù)請(qǐng)求并審核，同時(shí)醫(yī)院信息化系統(tǒng)存儲(chǔ)“護(hù)士賬號(hào)—移動(dòng)終端編號(hào)—移動(dòng)證書(shū)”三者的綁定關(guān)系，院方在管理門(mén)戶可以以護(hù)士賬號(hào)為篩選條件查找到護(hù)士名下的所有移動(dòng)證書(shū)，也可以以移動(dòng)終端編號(hào)為篩選條件查找到某個(gè)終端中的所有移動(dòng)證書(shū)。院方可以在護(hù)士離職時(shí)從后臺(tái)吊銷(xiāo)護(hù)士名下的所有證書(shū)，也可以在移動(dòng)終端丟失或損壞后從后臺(tái)凍結(jié)或吊銷(xiāo)終端中的所有證書(shū)。

4 方案的優(yōu)勢(shì)

從體驗(yàn)和成本角度評(píng)估，移動(dòng)證書(shū)是一種非常適合在移動(dòng)設(shè)備用戶群體中推廣的數(shù)字證書(shū)方案。

4.1 高安全性的移動(dòng)證書(shū)方案

本方案利用移動(dòng)證書(shū)實(shí)現(xiàn)對(duì)用戶密鑰的安全保護(hù)等級(jí)遠(yuǎn)高于一般的軟證書(shū)方案，移動(dòng)證書(shū)作為一種軟件密碼設(shè)備，它已經(jīng)取得了國(guó)密局的密碼產(chǎn)品型號(hào)證書(shū)（SHT1301）。而且，移動(dòng)證書(shū)是以終端為密鑰的安全介質(zhì)，區(qū)別于云端簽名的方案，因此移動(dòng)證書(shū)更符合《衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理辦法》第十八條中要求“證書(shū)持有人妥善保管數(shù)字證書(shū)介質(zhì)”的描述。

4.2 優(yōu)質(zhì)的用戶體驗(yàn)

本方案中，在用戶側(cè)沒(méi)有增加任何硬件設(shè)備，移動(dòng)證書(shū)SDK與APP完全融合在一起，護(hù)士不用再攜帶硬件KEY，移動(dòng)終端就是KEY，體驗(yàn)更優(yōu)。

4.3 低廉的實(shí)施成本

移動(dòng)證書(shū)作為軟件密碼設(shè)備相對(duì)于USBKEY、藍(lán)牙KEY或音頻KEY等硬件設(shè)備，具有天然的成本優(yōu)勢(shì)。

參 考 文 獻(xiàn)

[1]GB 15815—1995，信息技術(shù) 安全技術(shù) 帶消息恢復(fù)的數(shù)字簽名方案[S].

[2]GB 15852—1995，信息技術(shù) 安全技術(shù) 用塊加密算法作校驗(yàn)函數(shù)的數(shù)據(jù)完整性機(jī)制[S].

[3]GB/T 17902.1—1999，信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名（第1部分：概述）[S].

[責(zé)任編輯：鐘聲賢]