趙 欣，郭建偉

(1.北京科學(xué)學(xué)研究中心 北京 100044； 2.北京市科學(xué)技術(shù)情報研究所 北京 100044；3.網(wǎng)絡(luò)密碼認(rèn)證北京市重點實驗室 北京 100044)

0 引 言

某市社會保障信息化系統(tǒng)是該市十大醒目工程之一，自2001年開始進(jìn)行，已經(jīng)覆蓋整個城市，共有約1100萬人參加醫(yī)保，其中包括城鎮(zhèn)職工300多萬人，城鄉(xiāng)居民700多萬人。市社保醫(yī)療機(jī)構(gòu)約700家，其中有500家醫(yī)院、200家藥店能夠使用醫(yī)?？ň歪t(yī)和結(jié)算。該市社保信息系統(tǒng)是實時結(jié)算，各家機(jī)構(gòu)同社保中心系統(tǒng)采用光纖專線和雙線路備份設(shè)計，在一條線路出現(xiàn)問題后可以立即切換備用線路進(jìn)行補(bǔ)救，保證網(wǎng)絡(luò)連接穩(wěn)定可靠。

該市醫(yī)保結(jié)算每天實際數(shù)量在15萬筆左右(工作時間8h內(nèi)為主)，在24h內(nèi)全部完成結(jié)算，患者在就醫(yī)交費(fèi)同時，醫(yī)院信息系統(tǒng)(Hospital Information System，HIS)即同時完成同醫(yī)保中心的實時結(jié)算，患者只需繳納自己應(yīng)交部分，其余社保報銷部分實時結(jié)算到醫(yī)院賬戶。該市大醫(yī)院都有一套HIS，來完成病人與社保中心之間數(shù)據(jù)交換，藥店則通過連接社保網(wǎng)絡(luò)完成對醫(yī)保參保人員藥費(fèi)的實時結(jié)算和報銷。

目前，該市社會保障系統(tǒng)體系亟待解決的問題是：保證醫(yī)保參保人員醫(yī)院就診信息和藥品采購信息的真實可靠以及真正實現(xiàn)患者本人實名制就醫(yī)。

1 信息安全保護(hù)

社保信息系統(tǒng)在實際運(yùn)行中，超過千萬的醫(yī)保參保人員會去醫(yī)院看病、去藥店買藥，在醫(yī)院看病購藥時進(jìn)行實時支付(占總藥費(fèi)的75%～85%)，實時從網(wǎng)上直接支付給醫(yī)院。目前醫(yī)保參保人員與醫(yī)院、藥店以及社保中心之間的患者信息(醫(yī)療費(fèi)結(jié)算單)未做任何保護(hù)措施，無法保證醫(yī)療結(jié)算單的可信性、完整性和不可抵賴性。如醫(yī)院和藥店惡意對醫(yī)療或購藥的結(jié)算單進(jìn)行修改，從而提高報銷的比例，會給政府的醫(yī)保帶來巨大的資金損失。此時應(yīng)該通過技術(shù)手段，保證確實是醫(yī)保參保人員本人實際的治療和藥品結(jié)算單，防止醫(yī)院、黑客或者其他涉及利益的第三方篡改(醫(yī)療或購藥的結(jié)算單)支付信息而獲取非法利益。醫(yī)保參保人員在(醫(yī)療或購藥的結(jié)算單)結(jié)算過程中所產(chǎn)生的數(shù)據(jù)經(jīng)過簽名和加密，可以保證信息的完整性和不可抵賴性。利用電子簽名可以對數(shù)據(jù)完整性及可靠性提供安全保障。同時，對個人的醫(yī)療數(shù)據(jù)進(jìn)行保密傳輸，有利于個人隱私保護(hù)。通過身份認(rèn)證、數(shù)字簽名和加密技術(shù)，將合法用戶醫(yī)保部分的醫(yī)藥費(fèi)等信息經(jīng)過簽名和加密后發(fā)送，安全、可信、完整、快捷；節(jié)省醫(yī)藥費(fèi)報銷審批的成本，保證財務(wù)結(jié)算安全準(zhǔn)確。這就需要在某市社保網(wǎng)絡(luò)體系現(xiàn)狀的基礎(chǔ)上，升級信息安全保護(hù)系統(tǒng)，增加社保安全認(rèn)證中心和社保的簽名終端，提高社保信息管理系統(tǒng)和醫(yī)院HIS系統(tǒng)的安全等級。

2 實名制就醫(yī)

首先，實名制就醫(yī)[1]能在一定程度上遏制“倒號”行為，患者掛號及就醫(yī)得以有序進(jìn)行。實行統(tǒng)一規(guī)格的實名就診制度不但有利于及時掌握和控制傳染病疫情，對其他普通疾病的病種、發(fā)病率、患者情況等數(shù)據(jù)也能清晰掌握。同時，還可掌握患者看病的費(fèi)用情況，對于政府制定醫(yī)保等政策有指導(dǎo)意義。

其次，在目前醫(yī)療糾紛不斷增多的情況下，實名制就醫(yī)可為患者保護(hù)其合法權(quán)益提供有效保障。在實際生活中，個別患者因種種原因，在就醫(yī)時并未使用自己的真實姓名。在此種情況下，一旦發(fā)生醫(yī)療糾紛，患者欲通過司法途徑解決糾紛便會遇到障礙，因為患者需要證明其與該醫(yī)療機(jī)構(gòu)之間存在醫(yī)療服務(wù)合同關(guān)系。如果就診資料上的姓名與患者真實身份不符，則患者的訴訟主體資格將會受到質(zhì)疑，從而影響到其實體權(quán)利的實現(xiàn)。

再者，實名制就醫(yī)可為醫(yī)療保險提供較為有效的監(jiān)管機(jī)制[2]。目前，中國基本醫(yī)療存在著政府投入嚴(yán)重不足、覆蓋率較低的情形。在醫(yī)療保險領(lǐng)域存在著“一人投保，全家受益”的現(xiàn)象，即沒有醫(yī)療保險的患者使用享有醫(yī)療保險者的保險卡就醫(yī)、付費(fèi)。保險機(jī)構(gòu)為此損失巨大卻缺乏有效的監(jiān)管機(jī)制，因為保險機(jī)構(gòu)不可能對投保者的整個就醫(yī)過程進(jìn)行監(jiān)管，而且要求醫(yī)療機(jī)構(gòu)主動監(jiān)管也是不現(xiàn)實的。在實行實名制就醫(yī)以后，患者就醫(yī)須提供相關(guān)的身份證明，從而堵住了沒有醫(yī)療保險者享用醫(yī)療保險就醫(yī)、付費(fèi)之路，為醫(yī)療保險提供了較為有效的監(jiān)管手段。

醫(yī)保詐騙[3]是世界性難題，美國每年醫(yī)保詐騙損失金額近900億美元。據(jù)媒體報道：“杭州市每年不完整統(tǒng)計醫(yī)保損失約7000萬元以上。國內(nèi)各省市的醫(yī)保損失也很大，醫(yī)療騙保是國內(nèi)一個社會熱點、焦點和難點。主要原因：一是醫(yī)院和藥店等醫(yī)療機(jī)構(gòu)由于利益或責(zé)任心因素，醫(yī)療機(jī)構(gòu)醫(yī)生在患者就診時，對比醫(yī)?？ㄉ系恼掌徽J(rèn)真，或根本就不對比就診者的醫(yī)?？?；二是醫(yī)療機(jī)構(gòu)醫(yī)生對比患者多年(或10多年)前身份證上的照片難度大；三是個別醫(yī)療機(jī)構(gòu)向醫(yī)保中心提供虛假信息“騙?！?，騙取社保費(fèi)。

因此，在我國目前整個社會信用度較低的情況下，在醫(yī)療領(lǐng)域內(nèi)實施實名制就醫(yī)，將對整個社會信用體系的建立起到一定的促進(jìn)作用，這也是一個民主社會、法治社會發(fā)展的方向。

通過調(diào)研和實驗，目前，某醫(yī)保系統(tǒng)采用大唐電信提供的用戶特征識別技術(shù)，來杜絕個人就診“張冠李戴”現(xiàn)象，使用指紋對比識別技術(shù)來控制患者實名就醫(yī)[4]，但是受限于指紋識別認(rèn)證的速度、實際操作難度及諸多原因，導(dǎo)致指紋認(rèn)證技術(shù)無法切實可行地解決該市實名就醫(yī)的難題。

①認(rèn)證速度：指紋識別受限于其采集方法和比對認(rèn)證算法，完成指紋采集傳輸對比返回結(jié)果的時間較長，占用本就不充足的醫(yī)生診治病患的時間，這將嚴(yán)重影響醫(yī)院的接待病人數(shù)量和病人的就診體驗，使得醫(yī)患關(guān)系更加緊張。

②操作難度：到醫(yī)院就診的患者中不乏上年紀(jì)的老人，其思維和肢體行動能力都受到一定程度的限制，向其解釋說明如何采集認(rèn)證指紋，直至正確操作完成整個過程非常困難。患者都是帶著疾患來到醫(yī)院就診，生理上本來就痛苦，心情肯定煩躁不安，希望能夠盡早得到醫(yī)生診治解決病痛，如果還增加指紋認(rèn)證環(huán)節(jié)，將使患者情緒更加惡化，不利于診室工作開展，同時也給醫(yī)生的工作帶來更多問題。

③指紋特征保護(hù)：指紋采集比對涉及患者的隱私權(quán)問題。因為指紋識別認(rèn)證的前提是提取指紋，目前世界各國絕大多數(shù)國家都沒有制定提取或采集公民指紋的法律。指紋屬于公民人身的組成部分，國家和政府都沒有權(quán)利采集公民指紋，何況醫(yī)療機(jī)構(gòu)。如果沒有事先進(jìn)行信息公開，沒有司法部門的授權(quán)，更無相關(guān)制度和隱私保護(hù)措施，如若發(fā)生信息泄露將很難處理?；颊哂胁惶峁┳约褐讣y的權(quán)利，醫(yī)院不是司法機(jī)構(gòu)，沒有強(qiáng)制執(zhí)行權(quán)，如果不經(jīng)過患者同意，醫(yī)院不能強(qiáng)制提取指紋或?qū)Ρ日J(rèn)證。

3 解決方案

3.1 解決方案及總體構(gòu)架

在社保信息中心建設(shè)社保的安全認(rèn)證中心，將醫(yī)療機(jī)構(gòu)(醫(yī)院或藥店)傳輸來的患者就醫(yī)信息(醫(yī)療費(fèi)結(jié)算單)密文數(shù)據(jù)，實時進(jìn)行解密和完整性驗證等，再將驗證“結(jié)果”反饋給醫(yī)保數(shù)據(jù)中心。社保的安全認(rèn)證中心由十余臺認(rèn)證一體機(jī)和密鑰管理機(jī)組成，其中包括一定的熱備份設(shè)備，保證社保的安全認(rèn)證中心不間斷運(yùn)行。

在醫(yī)院、藥店等醫(yī)療機(jī)構(gòu)增加簽名終端，實時將患者就醫(yī)信息(醫(yī)療費(fèi)結(jié)算單)進(jìn)行加密和數(shù)字簽名，并通過網(wǎng)絡(luò)傳輸給社保信息中心建設(shè)的社保安全認(rèn)證中心。在每臺簽名終端里，將全體醫(yī)保參保用戶的標(biāo)識，與目前個人醫(yī)保卡(與PSAM卡進(jìn)行認(rèn)證)芯片里的標(biāo)識一一對應(yīng)，并將用戶的標(biāo)識與一組“密鑰種子”認(rèn)證參數(shù)的密文一一對應(yīng)，在簽名終端加密芯片里，寫入組合密鑰算法、簽名和加密協(xié)議。一個醫(yī)院或藥店配備一臺簽名終端設(shè)備，醫(yī)院配備的是較高檔簽名終端，藥店配備的是較低檔簽名終端。

在醫(yī)療機(jī)構(gòu)架設(shè)攝像頭，在每位醫(yī)生的電腦或化驗和治療的電腦上，安裝1個攝像頭，用于采集、拍攝人臉圖像識別比對，來實現(xiàn)實名制就醫(yī)。

在醫(yī)療機(jī)構(gòu)(醫(yī)院、藥店)的簽名終端，將部分有嫌疑的就診者現(xiàn)場照片進(jìn)行數(shù)字簽名后，傳輸?shù)结t(yī)保數(shù)據(jù)中心存儲，作為以后進(jìn)行調(diào)查的“證據(jù)”。采用高速數(shù)字簽名算法保證比對信息不被篡改，保證后期追溯可查詢。為此，每個醫(yī)療機(jī)構(gòu)的看病、治療、化驗等科室，或藥店收費(fèi)點桌子上的電腦，都需要安裝 1個攝像頭。

3.2 實施效果預(yù)計

①使用快速、可信的數(shù)字簽名和加密技術(shù)[5]，保證醫(yī)療機(jī)構(gòu)端提交的患者就醫(yī)信息(醫(yī)療費(fèi)結(jié)算單)可信、完整，不可抵賴，保證數(shù)據(jù)的機(jī)密性。解決醫(yī)療機(jī)構(gòu)“作假”提供“虛假”信息騙保的問題，同時，保證患者就醫(yī)個人隱私在網(wǎng)絡(luò)上保密傳輸。

②使用生物特征的實時對比認(rèn)證方法，與快速、可信的數(shù)字簽名技術(shù)結(jié)合，保證實名制就醫(yī)可行，杜絕就診者“張冠李戴”，尤其是個別照片和本人比對相似率較低的患者也申請就醫(yī)，則留下經(jīng)過數(shù)字簽名的患者就診照片，存入醫(yī)保中心數(shù)據(jù)庫，作為以后調(diào)查的“證據(jù)”。這種“技術(shù)”和“管理”相結(jié)合的方法能實現(xiàn)實名制就診率達(dá)到99%。

4 技術(shù)構(gòu)成

4.1 信息保護(hù)系統(tǒng)安全策略

信息保護(hù)系統(tǒng)采用對稱密碼算法(輕量級密碼)和組合密鑰技術(shù)[6]，將全部用戶的重要認(rèn)證數(shù)據(jù)(生成認(rèn)證/簽名密鑰的“基”，即“密鑰種子”)用芯片來存儲保護(hù)，使得基于對稱密碼建立的認(rèn)證/數(shù)字簽名和加密協(xié)議不僅理論上可行，而且實際上也能很好運(yùn)行(圖1)。

圖1 安全策略構(gòu)架 Fig.1 Security policy framework

采用認(rèn)證/簽名一體機(jī)設(shè)備來建立社保的安全認(rèn)證中心，采用簽名終端來建立醫(yī)院和藥店端的用戶簽名和數(shù)據(jù)加密系統(tǒng)，其中：認(rèn)證/簽名一體機(jī)和簽名終端，內(nèi)部都采用不同型號的加密卡硬件，與計算設(shè)備的接口是標(biāo)準(zhǔn)PCI接口(將多塊加密卡插入工控機(jī)里)；2種硬件設(shè)備中都采用國內(nèi)微電子芯片，芯片內(nèi)寫入對稱密碼算法—SM1算法。采用硬件隨機(jī)數(shù)發(fā)生器產(chǎn)生用戶“密鑰種子”，保證隨機(jī)性，每個用戶的密鑰“基”(密鑰種子)都不同；簽名終端和安全認(rèn)證中心端密鑰管理機(jī)全體用戶的“密鑰種子”是以密文方式存儲在數(shù)據(jù)庫中，是用加密卡中的SM1算法和一組對稱密鑰將全體用戶的“密鑰種子”加密成密文，來保證“密鑰種子”安全存儲；在加密卡的芯片里，根據(jù)組合密鑰生成算法對“密鑰種子”組成表中的元素進(jìn)行選取，將選出的元素合成一組密鑰，實現(xiàn)密鑰組合生成，密鑰的變換率達(dá)到每小時264，基本實現(xiàn)認(rèn)證/簽名密鑰一次一變，不重復(fù)使用。

在認(rèn)證中心端密鑰管理機(jī)里，用加密卡芯片里的一組固定密鑰，分別對全體用戶的“密鑰種子”密文數(shù)據(jù)進(jìn)行簽名，將簽名的結(jié)果存儲對應(yīng)密鑰種子數(shù)據(jù)庫記錄的最后一個字段里，作為密鑰種子數(shù)據(jù)完整性驗證的關(guān)鍵數(shù)據(jù)。

采用“摘要”算法(SM3算法)對社保的安全認(rèn)證中心端全部用戶“密鑰種子”密文數(shù)據(jù)，定時進(jìn)行逐條記錄，在加密卡芯片里將對應(yīng)記錄密鑰種子數(shù)字簽名解密，并對比2次摘要信息是否相同，即：對全部用戶“密鑰種子”進(jìn)行完整性驗證，實現(xiàn)“密鑰種子”數(shù)據(jù)定時可信、完整性的安全檢測，防止黑客破壞或篡改認(rèn)證參數(shù)(“密鑰種子”數(shù)據(jù))。

4.2 3種安全協(xié)議

4.2.1 醫(yī)院簽名終端的加密和數(shù)字簽名協(xié)議

當(dāng)患者使用個人醫(yī)?？ú迦肭爸梅?wù)器端的PSAM卡里，并通過PSAM卡的身份認(rèn)證后，醫(yī)院收費(fèi)窗口收費(fèi)員在HIS中填寫患者就診費(fèi)用結(jié)算單，簽名終端(高端設(shè)備)調(diào)用加密卡芯片里實時產(chǎn)生對應(yīng)用戶的簽名密鑰，對患者就診費(fèi)用結(jié)算單進(jìn)行數(shù)字簽名和數(shù)據(jù)加密操作，然后將簽名和加密后的密文數(shù)據(jù)通過醫(yī)院到醫(yī)保中心的專網(wǎng)提交給醫(yī)保數(shù)據(jù)中心。其中：執(zhí)行數(shù)字簽名和加密操作時，首先對患者就診費(fèi)用結(jié)算單的數(shù)據(jù)進(jìn)行“摘要”運(yùn)算，調(diào)用簽名終端里對應(yīng)用戶的密鑰種子密文，并在加密卡芯片中解密后，根據(jù)密鑰組合生成算法產(chǎn)生一組簽名密鑰，在芯片內(nèi)用該簽名密鑰加密拼接后的數(shù)字摘要和采集數(shù)據(jù)完成數(shù)字簽名操作，用同一組簽名密鑰將患者就診費(fèi)用結(jié)算單加密成密文(圖2)。

4.2.2 藥店簽名終端的加密和數(shù)字簽名協(xié)議

患者到藥店購藥時，用戶使用個人的醫(yī)?？?，插入藥店的前置服務(wù)器端PSAM卡里，進(jìn)行卡對卡的用戶身份認(rèn)證。藥店的營業(yè)員調(diào)用藥店的收費(fèi)系統(tǒng)，填寫購藥結(jié)算單，簽名終端(低端設(shè)備)自動調(diào)用加密和數(shù)字簽名系統(tǒng)，將用戶購藥單進(jìn)行簽名和加密，通過醫(yī)保藥店的專網(wǎng)提交給醫(yī)保數(shù)據(jù)中心(圖2)。

4.2.3 解密和簽名驗證協(xié)議

醫(yī)保數(shù)據(jù)中心端的認(rèn)證中心收到醫(yī)保機(jī)構(gòu)(醫(yī)院或藥店)端提交來的患者就診費(fèi)用結(jié)算單的密文數(shù)據(jù)和數(shù)字簽名后，醫(yī)保安全認(rèn)證中心的簽名驗證系統(tǒng)根據(jù)用戶醫(yī)?？ǖ臉?biāo)識找到對應(yīng)用戶的密鑰種子數(shù)據(jù)，在加密卡芯片里根據(jù)組合密鑰生成算法得到對應(yīng)用戶的簽名驗證密鑰，用該簽名驗證密鑰，將患者就診費(fèi)用結(jié)算單的密文數(shù)據(jù)解密，再對解密后的數(shù)據(jù)進(jìn)行簽名驗證，確定收到的患者就診費(fèi)用結(jié)算單是否可信、完整且不可抵賴，以此來保障500家醫(yī)院和 200家藥店提交的患者就診費(fèi)用結(jié)算單和購藥單的可信、完整且不可抵賴(圖2)。

圖2 3種安全協(xié)議過程圖 Fig.2 Process diagram of three security protocols

4.3 基于人臉識別技術(shù)的人像自動化采集系統(tǒng)

人臉識別系統(tǒng)可自動采集、檢測視頻中出現(xiàn)的人臉信息[7]。該系統(tǒng)檢測不受表情、膚色、適度化妝、眼鏡(深色除外)等條件影響，采集的圖像符合公安部人像采集標(biāo)準(zhǔn)，采集的人臉信息可直接用于人像對比識別，從而極大提高患者身份比對速度(圖3、4)。

圖3 人臉識別 Fig.3 Face recognition

圖4 人臉識別技術(shù)的比對過程圖 Fig.4 Comparison process diagram of face recognition technology

4.4 圖像對比信息數(shù)字簽名

采集圖像和數(shù)據(jù)庫存儲的患者證件照片對比后，圖象和比對結(jié)果不能直接上傳或者存儲到數(shù)據(jù)中心，因為這樣無法避免被不良醫(yī)生、醫(yī)院或者其他第三方篡改圖象比對數(shù)據(jù)，影響本系統(tǒng)的功能運(yùn)行。必須通過醫(yī)療機(jī)構(gòu)配置的簽名終端，將對比結(jié)果進(jìn)行數(shù)字簽名操作，然后將數(shù)字簽名通過HIS提交到社保中心數(shù)據(jù)庫。只有就診患者本人才持有社?？?，同時，對應(yīng)本人就診時的照片進(jìn)行數(shù)字簽名，這樣防止醫(yī)院醫(yī)生或者第三方篡改比對結(jié)果，影響數(shù)據(jù)準(zhǔn)確性。社保中心將永久存儲這些圖象和對比結(jié)果，以備出現(xiàn)問題時查詢。

5 功能及實現(xiàn)

信息安全保護(hù)系統(tǒng)采用對稱密碼算法(輕量級密碼)和組合密鑰技術(shù)，來建立醫(yī)保信息安全架構(gòu)，主要采用認(rèn)證/簽名一體機(jī)設(shè)備來建立社保的安全認(rèn)證中心，采用簽名終端來建立醫(yī)院和藥店端的用戶簽名和數(shù)據(jù)加密系統(tǒng)，其中：認(rèn)證/簽名一體機(jī)和簽名終端內(nèi)部，采用不同型號的具有國內(nèi)微電子芯片的加密卡硬件，芯片內(nèi)寫入對稱密碼算法SM1算法。

用戶“密鑰種子”由硬件隨機(jī)數(shù)發(fā)生器產(chǎn)生，保證其隨機(jī)性，將全部用戶的重要認(rèn)證數(shù)據(jù)(生成認(rèn)證/簽名密鑰的“基”，即“密鑰種子”)用加密卡中的SM1算法和一組對稱密鑰加密成密文后存儲。根據(jù)組合密鑰生成算法對“密鑰種子”組成的表中的元素進(jìn)行選取組合，實現(xiàn)密鑰組合生成，基本實現(xiàn)認(rèn)證/簽名密鑰一次一變，不重復(fù)使用。

采用“摘要”算法(SM3算法)對醫(yī)療機(jī)構(gòu)端提交的患者就醫(yī)信息(醫(yī)療費(fèi)結(jié)算單)進(jìn)行“摘要”，并使用快速、可信的數(shù)字簽名和加密技術(shù)，實現(xiàn)對就醫(yī)信息的數(shù)字簽名和加密，保證醫(yī)療機(jī)構(gòu)端提交的患者就醫(yī)信息的可信、完整、不可抵賴，保證數(shù)據(jù)的機(jī)密性。解決醫(yī)療機(jī)構(gòu)“作假”提供“虛假”信息騙保的問題，同時保證患者就醫(yī)個人隱私在網(wǎng)絡(luò)上的保密傳輸。

5.1 建立個人醫(yī)保就診實名制系統(tǒng)

在門診醫(yī)生看病桌上增加人臉檢測和識別設(shè) 備[8]，可以自動檢測患者的人臉姿態(tài)，自動對患者臉部進(jìn)行拍照，并且跟社保賬戶中的照片自動進(jìn)行對比，對明顯不同的照片進(jìn)行2次預(yù)警。若比對相似度達(dá)到88%以上，則為用戶本人，醫(yī)生可以給患者看病(填寫病例、檢查、開化驗單、治療和開藥方等)；若比對相似度為80%以下，則醫(yī)?？ɡ锏恼掌c患者不是同一個人，不得就診；若比對相似度在80%～88%范圍內(nèi)，則可能為醫(yī)?？ū救耍t(yī)生可以看病并填寫病例。但是，需要留下患者的照片，并使用簽名終端設(shè)備中的簽名系統(tǒng)對采集用戶的個人特征信息進(jìn)行簽名，讓被采集的患者照片不可抵賴，便于追溯、取證，從而解決患者和購藥者實名制就診的行業(yè)難題。

①將醫(yī)保系統(tǒng)中全部參保人員照片及信息(從公安系統(tǒng)下載的個人身份證照片)導(dǎo)入人臉比對數(shù)據(jù)庫中，建立醫(yī)保用戶人臉圖像的目標(biāo)數(shù)據(jù)庫。

②在醫(yī)生診室(或化驗、檢查、治療和購藥等科室)計算機(jī)上，架設(shè)采集攝像頭，根據(jù)攝像頭采集的就診人員照片或者實時視頻流，采用人臉檢測和識別技術(shù)，提取目標(biāo)對象人臉特征值。或者依據(jù)個人醫(yī)?？ㄉ系恼掌瑢崟r讀取照片，與患者進(jìn)行比對。

③根據(jù)指定條件，在目標(biāo)數(shù)據(jù)庫中，對比出與本人社?？▽?yīng)目標(biāo)對象人臉特征值，將對比相似程度顯示在系統(tǒng)中，同時，簽名終端中數(shù)字簽名系統(tǒng)使用數(shù)字簽名協(xié)議，將比對照片結(jié)果相似度的數(shù)據(jù)進(jìn)行簽名后，保存在社保數(shù)據(jù)中心的數(shù)據(jù)庫中。

④如果相似度超過88%，則開啟醫(yī)療處方系統(tǒng)，醫(yī)生可正常使用系統(tǒng)給患者開具處方或檢查單，完成病情診治工作。如果相似度為80%以下，則鎖定醫(yī)療處方系統(tǒng)，同時，提示醫(yī)生該就診患者所持醫(yī)?？赡懿皇潜救丝?，告知該患者違反實名制就醫(yī)制度，停止治療。

如果相似度在80%～88%之間，則正常開啟醫(yī)療處方系統(tǒng)，同時也要增加異常標(biāo)注，標(biāo)識該患者為存在異常情況人員，將患者的照片簽名并實時傳輸給醫(yī)保數(shù)據(jù)中心數(shù)據(jù)庫存儲，提示社保中心事后重點檢查和關(guān)注的對象。

5.2 優(yōu)勢

5.2.1 數(shù)字簽名驗證速度

社保安全認(rèn)證中心可以并發(fā)數(shù)字簽名驗證48000次/min，即數(shù)字簽名驗證速度：800次/s，能夠?qū)崿F(xiàn)每天(按8h計算)簽名驗證2304萬次，比其他使用PKI技術(shù)建立的社保安全中心處理速度快 100倍。某醫(yī)保就醫(yī)每天(按8h計算)處理15萬筆患者就醫(yī)費(fèi)用單數(shù)據(jù)，2304萬次遠(yuǎn)大于15萬次。認(rèn)證中心建成后能夠滿足今后很長時間內(nèi)，社保系統(tǒng)不斷增長的數(shù)據(jù)安全處理需求。

5.2.2 人臉識別認(rèn)證速度

可以達(dá)到患者入座1s內(nèi)即可完成自動拍照對比的所有工作，對正常的醫(yī)療環(huán)節(jié)不造成效率損失。對單一患者來說，幾乎可以忽略不計，能夠完全避免增加認(rèn)證環(huán)節(jié)對醫(yī)生診治時間所帶來的影響。

5.2.3 操作難度

數(shù)字簽名和數(shù)據(jù)加密操作對用戶而言是透明的，不增加醫(yī)生的操作復(fù)雜度就可以對傳輸?shù)幕颊呔驮\信息(醫(yī)療費(fèi)結(jié)算單)進(jìn)行安全保護(hù)。在實名制就醫(yī)環(huán)節(jié)，醫(yī)患只需簡單配合，攝像頭距離患者0.3～1m條件下，3s內(nèi)可以自動完成拍照和對比工作。系統(tǒng)自動拍攝比對認(rèn)證結(jié)果，自動傳輸照片，對患者和醫(yī)生都是透明的，不會增加醫(yī)生的工作難度，也不影響病人的就診時間。

5.2.4 法律問題

人臉圖像采集和比對不涉及隱私問題，目前很多公共場合都采用視頻監(jiān)控方式保證社會安全，在醫(yī)院采用該系統(tǒng)，不會產(chǎn)生法律問題。

5.2.5 安全性

采用安全、快速、可信的數(shù)字簽名系統(tǒng)，保證對比結(jié)果的真實可靠，不可能被篡改，可以作為合法證據(jù)提交給相關(guān)機(jī)構(gòu)。因簽名信息來自醫(yī)療機(jī)構(gòu)簽名終端，是簽名終端加密卡芯片里的加密系統(tǒng)，實時將攝像頭采集的患者就診時的照片進(jìn)行簽名，簽名密鑰采用對應(yīng)患者實時產(chǎn)生的簽名密鑰，所以只有患者本人才能持卡完成簽名過程，有效防止數(shù)據(jù)篡改情況的發(fā)生。

5.2.6 其他優(yōu)勢

操作方便，部署維護(hù)方便。對原有醫(yī)院信息系統(tǒng)無需對接改造，只要獲取社?？↖D信息即可；事前預(yù)警，可以將損失限制在就醫(yī)配藥前。

6 結(jié) 語

總之，使用快速、可信的數(shù)字簽名和加密技術(shù)，保證醫(yī)保機(jī)構(gòu)端提交的患者就醫(yī)信息(醫(yī)療費(fèi)結(jié)算單)可信、完整，保證數(shù)據(jù)的機(jī)密性，同時可以解決醫(yī)療機(jī)構(gòu)“作假”提供“虛假”信息騙保的問題。使用生物特征的實時對比認(rèn)證方法，與快速、可信的數(shù)字簽名技術(shù)結(jié)合，保證實名制就醫(yī)可行，讓比對相似率較低的患者也可以申請就醫(yī)，體現(xiàn)了政策的人性化，同時通過留下經(jīng)簽名的患者就診照片，作為以后調(diào)查的“證據(jù)”。這種“技術(shù)”和“管理”相結(jié)合的方法能實現(xiàn)實名制就診率達(dá)到99%?！?/p>