何建明 梁源

【摘 要】隨著移動互聯(lián)網(wǎng)的發(fā)展，移動技術(shù)越來越多地在各個業(yè)務(wù)系統(tǒng)中得到廣泛使用。在醫(yī)療領(lǐng)域，結(jié)合實際業(yè)務(wù)場景衍生了移動查房系統(tǒng)，醫(yī)院護士使用手持移動終端設(shè)備進行查房，查閱相關(guān)記錄，極大地提高了工作效率。但是，在應(yīng)用移動化電子查房系統(tǒng)的同時，也產(chǎn)生了安全性和合規(guī)性問題，例如護士登錄查房/護理系統(tǒng)時的強身份認證，查房記錄的電子簽名等。文章介紹的應(yīng)用方案基于PKI體系，使用數(shù)字證書技術(shù)，由CA認證機構(gòu)給查房護士簽發(fā)數(shù)字證書，標識護士的身份，實現(xiàn)系統(tǒng)登錄的強身份認證和移動查房/護理的責(zé)任落實。

【關(guān)鍵詞】醫(yī)療移動查房系統(tǒng)；移動數(shù)字證書；PKI

【中圖分類號】TN925.93；TP399-C8 【文獻標識碼】A 【文章編號】1674-0688（2017）05-0097-04

1 背景與需求描述

目前，不少醫(yī)院給護士發(fā)放了專用移動終端（Android系統(tǒng)手機）用于移動查房和護理，移動查房和護理形成的電子化歸檔數(shù)據(jù)代替紙質(zhì)單據(jù)，不僅可以節(jié)約成本，還可提高工作效率、節(jié)省工作時間。但是，在應(yīng)用移動化電子查房系統(tǒng)的同時，也產(chǎn)生了安全性和合規(guī)性問題，具體如下。

1.1 護士登錄查房/護理系統(tǒng)時的強身份認證

需要給護士發(fā)放強身份認證憑證，實現(xiàn)訪問系統(tǒng)的強身份認證，防止護士身份被盜取和系統(tǒng)被非授權(quán)訪問。

1.2 查房/護理記錄電子簽名

針對護士在移動端提交的電子查房/護理記錄實現(xiàn)電子簽名和時間戳簽名，電子簽名等同于手寫簽名，既可以防止電子查房/護理記錄上傳時被篡改，又可以落實記錄上傳者的責(zé)任。

2 設(shè)計思路

解決護士強身份認證和責(zé)任落實的問題依然需要基于PKI體系使用數(shù)字證書技術(shù)，由CA認證機構(gòu)給查房護士簽發(fā)數(shù)字證書，標識護士的身份，實現(xiàn)系統(tǒng)登錄的強身份認證和移動查房、護理的責(zé)任落實。

在數(shù)字證書載體方面，現(xiàn)有的USBKEY無法與已經(jīng)發(fā)放的Android移動終端相兼容，采用CA認證機構(gòu)的移動數(shù)字證書產(chǎn)品，以查房移動終端為證書載體，通過產(chǎn)品核心技術(shù)保證證書密鑰的安全，從安全、易用、兼容等角度作為一種移動數(shù)字證書的優(yōu)選方案。

3 解決方案

3.1 方案目標

本方案是基于成熟的PKI/CA公鑰密碼技術(shù)并使用CA認證機構(gòu)的移動證書產(chǎn)品的移動數(shù)字證書解決方案。方案能實現(xiàn)以下目標。

3.1.1 護士的移動端數(shù)字證書通過移動證書快速下發(fā)

移動查房/護理護士開通移動證書，通過移動證書獲得由CA認證機構(gòu)簽發(fā)的用戶實名身份證書，并以查房專用移動終端為安全的載體保護用戶密鑰與證書。護士的實名身份證書是實現(xiàn)信息完整性、身份真實性的技術(shù)基礎(chǔ)。

3.1.2 護士登錄移動查房/護理系統(tǒng)通過移動證書實現(xiàn)強身份認證

護士登錄移動查房/護理系統(tǒng)時，以移動證書代替?zhèn)鹘y(tǒng)的賬號+口令，實現(xiàn)登錄者的強身份認證。

3.1.3 護士上傳的查房/護理記錄通過移動證書做電子簽名

護士在移動終端編輯的查房/護理記錄通過移動證書進行電子簽名，保證上傳的記錄的完整性和操作人責(zé)任的落實。

3.1.4 移動護理終端掃碼實現(xiàn)對PC業(yè)務(wù)的電子簽名

護士使用移動查房終端掃描PC端的二維碼調(diào)用移動證書實現(xiàn)對PC業(yè)務(wù)的電子簽名與認證。

3.2 方案整體架構(gòu)

方案的整體架構(gòu)如圖1所示。

（1）移動證書SDK：由業(yè)務(wù)APP集成，作為安全的軟件載體代替硬件保護用戶密鑰和證書的安全，移動證書SDK給業(yè)務(wù)APP提供本地調(diào)用的接口開放密碼運算和證書服務(wù)能力。

（2）移動證書應(yīng)用前置：部署在醫(yī)院的內(nèi)部網(wǎng)絡(luò)，包含簽名驗簽服務(wù)器、時間戳服務(wù)器，應(yīng)用前置主要提供簽名驗簽和時間戳的功能。

（3）移動證書云平臺：由CA認證機構(gòu)運營，實現(xiàn)移動數(shù)字證書的安全下發(fā)及移動證書SDK的管理。

（4）CA認證機構(gòu)簽發(fā)系統(tǒng)：簽發(fā)有社會公信力的實名身份證書，醫(yī)院的USBKEY證書和移動證書都由此系統(tǒng)簽發(fā)。

3.3 業(yè)務(wù)流程

3.3.1 移動證書申請

3.3.1.1 移動證書申請步驟

（1）院方通過信息錄入門戶將護士的身份信息（包括但不限于工號、身份證、手機號）錄入系統(tǒng)中。

（2）院方管理人員通過業(yè)務(wù)受理門戶審核業(yè)務(wù)請求信息。

（3）審核通過后允許請求發(fā)送到移動證書云平臺完成預(yù)注冊。

（4）護士在移動終端按照提示激活移動證書安裝數(shù)字證書。

申請移動證書的具體流程如圖2所示。

3.3.1.2 關(guān)鍵點說明

（1）護士的證書申請材料由院方在管理門戶錄入，錄入一次即可，在移動證書云平臺預(yù)注冊時生成10組（數(shù)目可調(diào)，此數(shù)目代表了一位護士可以同時在多少移動終端上申請證書）激活碼，護士在不同終端上激活移動證書使用一組激活碼，這樣實現(xiàn)了對于每一位護士一次申請多次發(fā)證。

（2）院方錄入材料中包含護士本人的手機號碼，護士激活移動證書時通過短信將激活碼發(fā)送到護士自己的手機上，護士再輸入到移動終端中，克服了移動終端無短信功能的現(xiàn)實問題。

（3）醫(yī)院信息化系統(tǒng)存儲“護士—終端—證書”三者的綁定關(guān)系，這樣在后臺只有通過護士+終端2個篩選條件才能精確定位一張證書。移動終端編號也會簽到證書擴展項中，這樣能適應(yīng)CA為一個人簽發(fā)多張證書的場景。

（4）證書申請數(shù)據(jù)通過醫(yī)院外網(wǎng)出口和移動證書平臺對接，做防火墻策略保證內(nèi)網(wǎng)安全。

3.3.2 移動證書更新

移動證書一般簽發(fā)一年的有效期，快到期或者已到期時，移動終端會提醒護士進行更新。

3.3.2.1 證書更新步驟

（1）護士登錄查房APP后，系統(tǒng)提示護士證書即將到期或已到期，需要更新證書，護士選擇更新證書。

（2）院方管理人員通過業(yè)務(wù)受理門戶審核業(yè)務(wù)請求信息。

（3）護士在移動終端按照提示重新下載證書。

證書更新的流程如圖3所示。

3.3.2.2 關(guān)鍵點說明

鑒于證書更新由護士發(fā)起后要通過院方后臺審核，所以并不能保證更新業(yè)務(wù)能實時受理、實時更新，在護士確認更新到業(yè)務(wù)審核通過之前，護士仍可以使用舊證書處理業(yè)務(wù)。

3.3.3 登錄身份認證

護士登錄查房APP時以移動證書代替賬號口令，增強身份認證的強度，防止登錄身份被盜用。登錄身份認證流程如圖4所示。

3.3.4 移動查房/護理記錄電子簽名

護士上傳查房/護理記錄之前，調(diào)用移動終端中的移動證書對查房/護理記錄電子簽名、增加時間戳簽名，防止查房/護理記錄被篡改，并且落實了上傳護士的責(zé)任。移動查房/護理記錄電子簽名流程圖如圖5所示。

3.4 關(guān)鍵問題的解決

3.4.1 網(wǎng)絡(luò)問題

醫(yī)院終端不能連接外網(wǎng)，但是簽發(fā)移動證書的云平臺在外網(wǎng)，必須解決移動證書申請和更新時終端連接移動證書云平臺的問題。

本方案中，通過醫(yī)院防火墻策略開放指定的外網(wǎng)地址，將請求數(shù)據(jù)轉(zhuǎn)發(fā)到外網(wǎng)的移動證書云平臺上，實現(xiàn)終端請求的實時轉(zhuǎn)發(fā)，24小時不中斷，同時通過防火墻策略設(shè)置，保證內(nèi)網(wǎng)系統(tǒng)的安全。

3.4.2 多位護士多個終端的問題

一個病區(qū)配備一個移動終端供多位護士使用，而護士存在臨時被抽調(diào)支援的情況，所以又會有一個護士在多個病區(qū)使用多個移動終端的情況。這就要求一個移動終端可存放多位護士的移動證書，同時一位護士可在多個終端上申請自己的證書。

本方案中，移動證書支持一個終端多證書容器來存放多個人的證書。對于一位護士使用多個終端的情況，證書申請時，護士身份資料包括手機號碼在管理門戶錄入完成預(yù)注冊生成多組激活碼，護士在移動終端通過自己的手機接收短信激活碼，每接收一組激活碼即可激活一個移動證書，后臺激活碼生成的組數(shù)決定了護士可申請證書的數(shù)量，證書中附帶移動設(shè)備編號信息，證明是護士在此終端上申請的個人身份證書。這樣，當護士換病區(qū)使用新終端時，通過工號在新終端上申請一張證書。

3.4.3 院方實現(xiàn)證書業(yè)務(wù)的審核和證書管理

移動證書的申請、更新及狀態(tài)變更應(yīng)該在院方的控制和管理之下。在本方案中，醫(yī)院信息化系統(tǒng)開發(fā)門戶，能夠讓院方管理者查看證書業(yè)務(wù)請求并審核，同時醫(yī)院信息化系統(tǒng)存儲“護士賬號—移動終端編號—移動證書”三者的綁定關(guān)系，院方在管理門戶可以以護士賬號為篩選條件查找到護士名下的所有移動證書，也可以以移動終端編號為篩選條件查找到某個終端中的所有移動證書。院方可以在護士離職時從后臺吊銷護士名下的所有證書，也可以在移動終端丟失或損壞后從后臺凍結(jié)或吊銷終端中的所有證書。

4 方案的優(yōu)勢

從體驗和成本角度評估，移動證書是一種非常適合在移動設(shè)備用戶群體中推廣的數(shù)字證書方案。

4.1 高安全性的移動證書方案

本方案利用移動證書實現(xiàn)對用戶密鑰的安全保護等級遠高于一般的軟證書方案，移動證書作為一種軟件密碼設(shè)備，它已經(jīng)取得了國密局的密碼產(chǎn)品型號證書（SHT1301）。而且，移動證書是以終端為密鑰的安全介質(zhì)，區(qū)別于云端簽名的方案，因此移動證書更符合《衛(wèi)生系統(tǒng)電子認證服務(wù)管理辦法》第十八條中要求“證書持有人妥善保管數(shù)字證書介質(zhì)”的描述。

4.2 優(yōu)質(zhì)的用戶體驗

本方案中，在用戶側(cè)沒有增加任何硬件設(shè)備，移動證書SDK與APP完全融合在一起，護士不用再攜帶硬件KEY，移動終端就是KEY，體驗更優(yōu)。

4.3 低廉的實施成本

移動證書作為軟件密碼設(shè)備相對于USBKEY、藍牙KEY或音頻KEY等硬件設(shè)備，具有天然的成本優(yōu)勢。

參 考 文 獻

[1]GB 15815—1995，信息技術(shù) 安全技術(shù) 帶消息恢復(fù)的數(shù)字簽名方案[S].

[2]GB 15852—1995，信息技術(shù) 安全技術(shù) 用塊加密算法作校驗函數(shù)的數(shù)據(jù)完整性機制[S].

[3]GB/T 17902.1—1999，信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名（第1部分：概述）[S].

[責(zé)任編輯：鐘聲賢]