周渝霞，杜鳳霞，王 浩，王 東，何 欣

1 CA電子簽名系統(tǒng)實(shí)現(xiàn)背景與目的

醫(yī)院每天會(huì)產(chǎn)生大量的醫(yī)學(xué)文檔，日常工作中每一個(gè)醫(yī)療環(huán)節(jié)如醫(yī)囑、處方、患者知情同意書(shū)等都須要醫(yī)務(wù)工作者或患者手工簽名認(rèn)可，加以保存。病歷不僅是病程記錄，也是具有重要法律效力的文件，傳統(tǒng)的手工簽字易丟失、易感染，隨著信息技術(shù)的發(fā)展，病歷的無(wú)紙化存儲(chǔ)成為趨勢(shì)。《中華人民共和國(guó)電子簽名法》中明確了數(shù)據(jù)電文的法律效力，電子簽名具有與手寫(xiě)簽名同樣的法律效力，能解決紙質(zhì)病歷容易被破壞的特性，保證電子病歷的真實(shí)性和完整性[1]。因此，從醫(yī)院實(shí)際出發(fā)，引入可靠的CA電子簽名技術(shù)，在每個(gè)需要簽名的醫(yī)療場(chǎng)景，保證電子簽名的真實(shí)性及防篡改性，對(duì)實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的完整可信具有重要意義。

2 基本概念與相關(guān)技術(shù)原理

電子簽名是一種應(yīng)用數(shù)據(jù)加密的方法來(lái)產(chǎn)生與文件內(nèi)容關(guān)聯(lián)的簽名，加密的簽名數(shù)據(jù)在現(xiàn)有的條件下無(wú)法破解或偽造，同時(shí)這種簽名又可以被特定的機(jī)構(gòu)進(jìn)行驗(yàn)證。電子簽名涉及3個(gè)實(shí)體：簽名者、驗(yàn)證者和電子論證服務(wù)者。醫(yī)務(wù)人員使用電子簽名產(chǎn)生模塊必須采用安全的簽名流程。驗(yàn)證者使用的電子簽名驗(yàn)證模塊、環(huán)境和流程必須滿足一定的安全要求，保證安全正確地驗(yàn)證電子簽名結(jié)果[2-3]。

電子簽名的基本原理是利用非對(duì)稱(chēng)加密技術(shù)對(duì)電子文件進(jìn)行加密運(yùn)算產(chǎn)生簽名，用簽名數(shù)據(jù)還原的文件（或摘要）與原文（或摘要）進(jìn)行比對(duì)來(lái)確認(rèn)原文是否被修改。非對(duì)稱(chēng)加密技術(shù)是一種數(shù)學(xué)方法，這種方法對(duì)文件的加密和解密使用不同的密鑰。簽名時(shí)使用的加密密鑰是私鑰，僅由簽名人掌握；驗(yàn)證文件時(shí)使用的解密密鑰是公鑰，可以在公開(kāi)場(chǎng)合傳輸。應(yīng)用數(shù)學(xué)方法保證無(wú)法通過(guò)解密公鑰推算出加密私鑰的內(nèi)容。

通常用于簽名的加密私鑰也存儲(chǔ)在簽名人掌握的存儲(chǔ)介質(zhì)中，因而其他人無(wú)法掌握和使用簽名的私鑰。為防止存有私鑰的介質(zhì)丟失后被他人利用，在使用私鑰進(jìn)行簽名時(shí)還須要簽名人輸入個(gè)人識(shí)別碼，來(lái)確保是本人在進(jìn)行操作。

圖1所示為電子簽名過(guò)程與驗(yàn)證過(guò)程示意圖，通常在醫(yī)院電子病歷各系統(tǒng)中使用的是電子簽名的過(guò)程，通過(guò)這個(gè)過(guò)程產(chǎn)生的簽名密文文件保存在系統(tǒng)中。當(dāng)須要進(jìn)行驗(yàn)證時(shí)，將原文文件、簽名密文文件及簽名人的數(shù)字證書(shū)一同提交，由權(quán)威機(jī)構(gòu)或經(jīng)過(guò)認(rèn)證的驗(yàn)證系統(tǒng)進(jìn)行驗(yàn)證處理，通過(guò)比對(duì)驗(yàn)證中產(chǎn)生的2個(gè)摘要信息的一致性，來(lái)判斷原文是否被篡改。

圖1 電子簽名過(guò)程與驗(yàn)證過(guò)程示意圖Figure 1 Diagram of digital signature processes and verification processes

醫(yī)療記錄的產(chǎn)生時(shí)間對(duì)于舉證有非常重要的作用，因此電子病歷中的電子簽名包含時(shí)間戳是醫(yī)療文件簽名的一項(xiàng)重要要求。醫(yī)務(wù)人員使用個(gè)人控制的私鑰對(duì)醫(yī)囑、病歷、檢查報(bào)告、檢驗(yàn)記錄、治療記錄等進(jìn)行簽名，解決了這些醫(yī)療記錄的責(zé)任認(rèn)定問(wèn)題。但是基本的數(shù)字簽名并沒(méi)有包含簽名的時(shí)間。一個(gè)完整的簽名還應(yīng)該在對(duì)內(nèi)容進(jìn)行基本簽名后及時(shí)對(duì)產(chǎn)生這些簽名的時(shí)間再進(jìn)行可信的認(rèn)證，即用一個(gè)時(shí)間戳來(lái)可信地記錄這些簽名產(chǎn)生的時(shí)間。這個(gè)時(shí)間戳的產(chǎn)生需要3個(gè)基本內(nèi)容：首先是須要包含醫(yī)務(wù)人員的簽名；其次是有不受醫(yī)院控制的標(biāo)準(zhǔn)時(shí)間源；第三基于以上兩點(diǎn)實(shí)現(xiàn)醫(yī)務(wù)人員簽名與簽名時(shí)間的數(shù)字認(rèn)證。

3 電子簽名系統(tǒng)設(shè)計(jì)與實(shí)施

3.1 電子簽名系統(tǒng)設(shè)計(jì)

3.1.1 建立統(tǒng)一的電子認(rèn)證服務(wù)體系 面向醫(yī)院醫(yī)護(hù)工作人員，統(tǒng)一數(shù)字證書(shū)發(fā)放與管理，提供優(yōu)質(zhì)、符合衛(wèi)生行業(yè)規(guī)范的數(shù)字證書(shū)生命周期服務(wù)，滿足醫(yī)院的實(shí)際需要。

3.1.2 電子病歷各環(huán)節(jié)電子簽名 電子病歷主要包括病案首頁(yè)、醫(yī)囑單、病程記錄、護(hù)理記錄、手術(shù)資料、產(chǎn)科記錄等內(nèi)容，為滿足各類(lèi)醫(yī)護(hù)人員簽名需求，針對(duì)不同存儲(chǔ)類(lèi)型數(shù)據(jù)設(shè)計(jì)簽名實(shí)施方案，包括多級(jí)醫(yī)生簽名集成方案、醫(yī)囑批量簽名處理技術(shù)、簽名數(shù)據(jù)優(yōu)化存儲(chǔ)方案等，解決了電子簽名效率低下、簽名數(shù)據(jù)占用存儲(chǔ)空間過(guò)大、簽名技術(shù)集成復(fù)雜等實(shí)際問(wèn)題。

3.1.3 患者/家屬電子簽名 針對(duì)患者/家屬對(duì)電子病情文書(shū)的簽名需求，結(jié)合患者手寫(xiě)簽字或按壓指紋等個(gè)性化特征，實(shí)現(xiàn)對(duì)電子知情同意書(shū)的可靠電子簽名，保證院方和患者的權(quán)益，并保留手寫(xiě)簽名的業(yè)務(wù)模式，簡(jiǎn)化操作流程。

3.1.4 多樣化移動(dòng)醫(yī)療終端電子簽名方案 當(dāng)前醫(yī)院移動(dòng)醫(yī)療業(yè)務(wù)發(fā)展迅速，根據(jù)移動(dòng)醫(yī)療終端的多樣性以及護(hù)理文書(shū)的簽名需求，設(shè)計(jì)支持不同終端設(shè)備的雙接口證書(shū)介質(zhì)，實(shí)現(xiàn)“一人一鑰”，滿足醫(yī)院多類(lèi)移動(dòng)終端的身份認(rèn)證簽名需求。

3.1.5 電子病歷歸檔安全 電子病歷歸檔數(shù)據(jù)的真實(shí)性及不可抵賴(lài)性，是醫(yī)院能否徹底實(shí)現(xiàn)無(wú)紙化的關(guān)鍵因素。根據(jù)醫(yī)療事故的司法舉證流程，研發(fā)可信的電子病歷系統(tǒng)，收集電子病歷歸檔數(shù)據(jù)和醫(yī)療事故產(chǎn)生的封存病歷數(shù)據(jù)，為醫(yī)院提供更安全可信的電子病歷管理，并為證據(jù)查詢提供方便、安全的途徑。

3.2 電子簽名系統(tǒng)實(shí)施

3.2.1 電子簽名系統(tǒng)環(huán)境搭建 電子簽名系統(tǒng)環(huán)境搭建主要是部署電子簽名軟硬件集成化安全設(shè)備，為信息系統(tǒng)提供數(shù)據(jù)簽名、簽名驗(yàn)證、證書(shū)驗(yàn)證等功能。電子簽名系統(tǒng)，接收信息系統(tǒng)發(fā)送的簽名服務(wù)請(qǐng)求，并返回簽名或驗(yàn)證服務(wù)結(jié)果，利用可靠的電子簽名技術(shù)保證數(shù)據(jù)在產(chǎn)生、傳輸、存儲(chǔ)、再利用的整個(gè)生命周期過(guò)程的真實(shí)、完整、準(zhǔn)確，保證“數(shù)出有源”。

3.2.2 時(shí)間戳系統(tǒng)環(huán)境搭建 時(shí)間戳系統(tǒng)環(huán)境搭建主要是部署時(shí)間戳軟硬件集成化安全設(shè)備，該時(shí)間設(shè)備調(diào)試是基于國(guó)家標(biāo)準(zhǔn)時(shí)間源，為信息系統(tǒng)提供精準(zhǔn)、安全和可信時(shí)間認(rèn)證服務(wù)。時(shí)間戳系統(tǒng)接收信息系統(tǒng)發(fā)送的時(shí)間戳，簽發(fā)、驗(yàn)證時(shí)間戳請(qǐng)求，并返回時(shí)間戳簽發(fā)或驗(yàn)證服務(wù)結(jié)果，實(shí)現(xiàn)責(zé)任人簽名和準(zhǔn)確的時(shí)間記錄，保證數(shù)據(jù)記錄中時(shí)間的公正、可信。

3.2.3 電子簽章系統(tǒng)環(huán)境搭建 電子簽章系統(tǒng)以控件的方式安裝于應(yīng)用端，為應(yīng)用端提供數(shù)據(jù)的電子簽名和電子簽章服務(wù)。電子簽章管理系統(tǒng)為用戶生成電子簽章，并將電子簽章灌入證書(shū)介質(zhì)中和數(shù)字證書(shū)匹配，將包含數(shù)字證書(shū)和電子簽章圖片的證書(shū)介質(zhì)分配給醫(yī)務(wù)人員，實(shí)現(xiàn)醫(yī)務(wù)人員在信息系統(tǒng)中數(shù)字簽名的可視化、圖形化，使可靠電子簽名在信息系統(tǒng)中能夠形象展現(xiàn)。

3.2.4 電子簽名系統(tǒng)與信息系統(tǒng)的集成 為了實(shí)現(xiàn)電子認(rèn)證服務(wù)與醫(yī)院各業(yè)務(wù)應(yīng)用的有機(jī)結(jié)合，解決醫(yī)院電子病歷系統(tǒng)等系統(tǒng)的身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定以及電子病歷的真實(shí)性、完整性、有效性等問(wèn)題，建立安全可信的醫(yī)院醫(yī)療業(yè)務(wù)環(huán)境，分別與各個(gè)業(yè)務(wù)廠商理清集成的業(yè)務(wù)環(huán)節(jié)和業(yè)務(wù)流程等，在合適的時(shí)機(jī)，完成電子簽名系統(tǒng)與醫(yī)院信息管理系統(tǒng)、電子病歷系統(tǒng)、檢驗(yàn)信息系統(tǒng)、圖像存儲(chǔ)和傳輸系統(tǒng)等的應(yīng)用集成[4-5]，滿足醫(yī)院對(duì)業(yè)務(wù)安全、應(yīng)急處理和業(yè)務(wù)連續(xù)性的要求。在各個(gè)系統(tǒng)應(yīng)用場(chǎng)景，采用基于數(shù)字簽名和時(shí)間戳的電子病歷證據(jù)固化模型，當(dāng)醫(yī)療糾紛發(fā)生后，一方面根據(jù)事件型數(shù)字證書(shū)中記錄的電子病歷摘要信息，能夠驗(yàn)證從醫(yī)院方取證所得的電子病歷相關(guān)信息有無(wú)篡改的痕跡；另一方面根據(jù)簽名過(guò)程中形成的時(shí)間戳文件，驗(yàn)證電子病歷生成的時(shí)間，以及關(guān)聯(lián)性，形成能夠足以還原事實(shí)真相的電子病歷證據(jù)鏈條[6]。見(jiàn)圖2。

圖2 電子簽名拓?fù)鋱DEMR系統(tǒng).電子病歷系統(tǒng)；HIS系統(tǒng).醫(yī)院信息管理系統(tǒng)；PACS系統(tǒng).圖像存儲(chǔ)和傳輸系統(tǒng)；LIS系統(tǒng).檢驗(yàn)信息系統(tǒng)Figure 2 Topology of electronic signature

3.2.5 數(shù)字證書(shū)服務(wù) 數(shù)字證書(shū)是個(gè)人身份的有效數(shù)據(jù)文件，面向醫(yī)院醫(yī)護(hù)/醫(yī)技人員提供數(shù)字證書(shū)的全生命周期管理。數(shù)字證書(shū)服務(wù)內(nèi)容主要包括醫(yī)院醫(yī)護(hù)/醫(yī)技人員的信息收集、手寫(xiě)簽章采集、數(shù)字證書(shū)制作、數(shù)字證書(shū)發(fā)放、受理點(diǎn)建設(shè)、證書(shū)生命周期服務(wù)等。組織工作人員進(jìn)行“證書(shū)環(huán)境”安裝工作，明確證書(shū)管理員人選及職責(zé)，進(jìn)行證書(shū)受理點(diǎn)的日常工作，包括發(fā)證、吊銷(xiāo)、丟失補(bǔ)辦、證書(shū)介質(zhì)解鎖等。

3.2.6 用戶培訓(xùn) 數(shù)字簽名培訓(xùn)的對(duì)象，主要包括信息系統(tǒng)開(kāi)發(fā)商、系統(tǒng)管理員、證書(shū)管理員、數(shù)字證書(shū)使用者，培訓(xùn)內(nèi)容包括以下幾點(diǎn)：

一、針對(duì)醫(yī)院信息系統(tǒng)開(kāi)發(fā)商的接口對(duì)接、簽名驗(yàn)證等技術(shù)培訓(xùn)；

二、對(duì)系統(tǒng)管理員的培訓(xùn)，包括對(duì)數(shù)字簽名服務(wù)系統(tǒng)使用及維護(hù)，使其能排除一般性故障，保障系統(tǒng)的穩(wěn)定運(yùn)行；

三、證書(shū)管理員日常證書(shū)管理工作的培訓(xùn)，主要是使用數(shù)字證書(shū)在線服務(wù)平臺(tái)的功能；

四、數(shù)字證書(shū)使用者培訓(xùn)，主要是日常數(shù)字簽名操作培訓(xùn)，包括數(shù)字證書(shū)產(chǎn)品的業(yè)務(wù)操作、使用流程、注意事項(xiàng)等方面。

3.2.7 系統(tǒng)試運(yùn)行 建立數(shù)字簽名有關(guān)的管理制度，與醫(yī)療科制定數(shù)字證書(shū)發(fā)放和使用管理制度、數(shù)字簽名操作業(yè)務(wù)流程規(guī)范，選擇2～3個(gè)臨床科室信息系統(tǒng)進(jìn)入試運(yùn)行階段，建立健全運(yùn)行操作和系統(tǒng)維護(hù)規(guī)范，為系統(tǒng)投入實(shí)際運(yùn)行和完善提供實(shí)際運(yùn)行數(shù)據(jù)和依據(jù)。通過(guò)既定時(shí)間段的試運(yùn)行，論證系統(tǒng)實(shí)施進(jìn)程，通過(guò)試運(yùn)行發(fā)現(xiàn)信息系統(tǒng)存在的問(wèn)題，進(jìn)一步完善信息系統(tǒng)建設(shè)內(nèi)容，確保信息系統(tǒng)平穩(wěn)運(yùn)行，再逐步推廣到全院。

4 總 結(jié)

通過(guò)全面實(shí)施CA電子簽名技術(shù)，建立醫(yī)院統(tǒng)一的身份認(rèn)證平臺(tái)，實(shí)現(xiàn)所有臨床科室以及醫(yī)院信息管理系統(tǒng)、檢驗(yàn)信息系統(tǒng)、圖像存儲(chǔ)與傳輸系統(tǒng)及電子病歷等系統(tǒng)全面應(yīng)用電子論證產(chǎn)品，簡(jiǎn)化醫(yī)護(hù)人員操作，優(yōu)化工作流程，實(shí)現(xiàn)業(yè)務(wù)環(huán)節(jié)可靠的電子簽名，保障了系統(tǒng)的業(yè)務(wù)安全。在確保電子病歷的真實(shí)性、合法性和有效性基礎(chǔ)上，減少各業(yè)務(wù)環(huán)節(jié)醫(yī)護(hù)人員受感染的風(fēng)險(xiǎn)，推進(jìn)醫(yī)院無(wú)紙化進(jìn)程[7]，降低醫(yī)療成本，提升醫(yī)院管理效率，同時(shí)也將在電子病歷的法律效力、醫(yī)療過(guò)程的監(jiān)督管理、醫(yī)療服務(wù)精細(xì)化管理等方面發(fā)揮更積極的作用。