区域医疗平台电子认证解决方案.doc

区域医疗信息平台区域医疗信息平台 电子认证安全应用解决方案电子认证安全应用解决方案 二二一九二一九二一九年十月一九年十月 区域医疗信息平台电子认证解决方案 目录目录 1.1.背景背景.1 2.2.需求分析需求分析2 3.3.总体方案总体方案3 3.1.设计思路 3 3.2.建设方案 5 3.3.数字证书发放与管理系统.7 3.3.1. 服务模式.7 3.3.2. 数字证书形态及介质.7 3.3.3. 服务内容.9 3.3.4. 数字证书运行服务方案.11 3.4.电子认证应用系统 15 3.4.1. PKI 应用中间件软件16 3.4.2. 数字签名验证服务器.24 3.4.3. 电子认证应用系统产品建议.29 3.5.时间戳服务器 30 3.5.1. 建设模式.30 3.5.2. 时间戳服务器.33 3.6.电子签章系统 39 3.6.1. 建设模式.39 3.6.2. 电子签章系统.41 3.7.电子签名实现方案 44 3.7.1. 卫生部关于电子病历签名要求.44 3.7.2. 医生客户端中的电子签名.48 3.7.3. 申请单中的电子签名.49 3.7.4. 病历归档中的电子签名.51 3.7.5. 电子病历系统（EMR）的电子签名实现.52 3.7.6. 医嘱系统的电子签名实现.59 区域医疗信息平台电子认证解决方案 3.7.7. 门急诊 HIS 系统的电子签名实现.60 3.7.8. 实验室系统（LIS）的电子签名实现.63 3.7.9. 影像系统（PACS）的电子签名实现.65 3.7.10. 健康体检系统（PEIS）的电子签名实现65 4.4.方案应用效果及优势方案应用效果及优势.67 5.5.医疗卫生领域成功案例集医疗卫生领域成功案例集69 6.6.系统软硬件清单及报价系统软硬件清单及报价 .71 区域医疗信息平台电子认证解决方案 第 1 页 1.1.背景背景 为贯彻电子签名法和电子病历基本规范 ，保障医疗信息 系统的安全，规避医疗行为的法律风险，卫生部于 2010 年 1 月 7 日 发布了卫生系统电子认证服务管理办法（试行） ，从行业角度提 出使用电子认证服务保障卫生信息系统安全，满足卫生信息系统在 身份认证、授权管理、责任认定等方面的信息安全需求身份认证、授权管理、责任认定等方面的信息安全需求。随后，卫 生部于 2010 年 5 月 7 日发布了卫生部办公厅关于做好卫生系统电 子认证服务体系建设工作的通知 ，制定了卫生系统电子认证服务 规范（试行） 等五个电子认证服务技术规范，为卫生系统全面推广 电子认证服务应用提供了政策与技术服务规范保障，以确保我国各 类卫生信息系统都能够实现安全、合法、有序的开展。 为贯彻落实卫生系统电子认证服务管理办法（试行） （卫办 发2009125 号） 、 卫生部办公厅关于做好卫生系统电子认证服务 体系建设工作的通知 （卫办综发201074 号） ，深圳市卫生和人口 计划生育委员会（以下简称市卫人委）已发布关于开展我市卫生 和人口计生系统电子认证服务体系统一建设工作的通知 （深卫人发 2011328 号） ，积极开展了深圳市卫生系统电子认证服务体系的建 设工作。 为更好地推进各区卫生信息化发展，顺应卫生部和市卫人委相 关政策要求，切实保障各区域医疗信息平台系统安全，各区应建设 电子认证服务系统，并依托该系统为各区卫生单位及个体提供统一 的电子认证服务，有利于促进各区卫生系统电子认证服务体系的建 区域医疗信息平台电子认证解决方案 第 2 页 设，具有重要的现实利益。 2.2.需求分析需求分析 根据对各区区域医疗信息平台实际调研情况，分析得出各区区 域医疗信息平台主要存在以下安全需求： 1 1、方便快捷的数字证书发放与管理方便快捷的数字证书发放与管理 区域医疗信息平台所面临的安全威胁，需要使用到数字证书， 涉及到数字证书的申请、发放、更新、吊销等操作，医院业务的特 殊性和连续性，决定了卫生系统中数字证书的使用需要对数字证书 生命周期的管理工作提供便捷化支持，即在鉴别用户的真实身份后， 即可快速提供证书申请、证书下载、证书更新、证书吊销和在线解 锁等服务。 2 2、确保医护人员登录区域医疗信息系统身份的可靠性确保医护人员登录区域医疗信息系统身份的可靠性 区域医疗信息平台涉及医疗机构、公共卫生机构及行政机构等， 平台用户类型多样，包括区域医疗机构、卫生行政部门、患者多类 用户，传统的“用户名+口令码” 的弱认证方式的弊端逐渐凸显， 很容易导致内部重要医疗数据的外泄，甚至导致医院信息系统遭受 破坏性攻击。因此，确保业务参与各方身份真实可靠，建立高安全 性的身份验证机制是保证区域医疗信息平台安全应用的关键。 3 3、确保电子化诊疗数据生成过程中的真实性和完整性确保电子化诊疗数据生成过程中的真实性和完整性 真实性主要体现在实时性和不可篡改性，也就是能够实时记录 从各种临床信息系统采集来的诊疗信息和医护人员记录的主客观信 区域医疗信息平台电子认证解决方案 第 3 页 息，应具备符合电子签名法要求的数字签名，记录的内容应具 备防篡改功能和不可抵赖性，即使因某种原因需要修改，应详细记 录修改人和修改时间。因此，建立医疗数据的完整性保护机制，使 用技术手段保证医疗数据在电子病历等业务系统中产生、存储、再 利用的整个生命周期过程完整、准确。 4 4、实现图形化、可视化的电子签章功能实现图形化、可视化的电子签章功能 在现实医疗业务处理中，各医疗机构在处理医疗业务时均采用 签名或加盖印章的方式来确保纸质病历信息的有效性。而在区域医 疗信息平台中，同样需要医护人员产生的电子签名数据具备图形化、 可视化的效果，并能够对电子签章的有效性进行验证。这样更加符 合人们的日常操作习惯，更加容易被用户接受和认可。 5 5、保证电子病历内容和时间的法律效力保证电子病历内容和时间的法律效力 目前，很多医院和患者都对电子病历持审慎的怀疑态度，关键 问题是纠结于电子病历的法律效力，一旦发生医患纠纷闹上法庭， 都担心电子病历不能成为呈堂证供而败诉。因此，电子病历内容和 时间的合法性已经成为制约电子病历发展的重要因素，有必要从法 律角度出发，依托现有的技术手段确保电子病历内容和时间的法律 效力。 3.3.总体方案总体方案 3.1.3.1. 设计思路设计思路 本方案以卫生部相关法律法规为依据，围绕各区域医疗信息平 Comment He1: 可信行为由电子签章 系统实现。 区域医疗信息平台电子认证解决方案 第 4 页 台实际安全需求，提供一整套基于电子认证服务和电子签名的解决 方案，通过数字证书、电子认证应用系统、时间戳服务器和电子签 章系统为核心产品，提供身份认证、数字签名、数据加密、时间戳、 电子签章服务，从“可信身份、可信行为、可信数据、可信时间” 四个范畴搭建各区可信区域医疗信息平台，从而真正实现区域医疗 信息平台的可信业务环境建设需求。 电 子 认 证 服 务 数字证书服务 数字证书服务管理系统CA/KM/RA系统 医院信息系统 可信身份可信行为可信数据 可信时间 临床医生 药剂师 护士 管理人员 用户 EMRHIS 数字签名验证服务器时间戳服务器 CA应用服务和产品 电子认证服务基础实施 区域医疗信息平台 数字证书服务 电子认证 应用系统 电子签章系统时间戳服务器 图表 1 区域医疗信息平台电子认证实现模型 （1）可信身份服务为区域医疗信息平台解决行为人的身份凭证 及凭证认证问题。区域医疗信息平台通过接入第三方数字证书服务， 部署数字证书受理点，为医生、护士、药剂师、系统管理员等医院 工作者发放数字证书身份凭证；医护人员使用数字证书登录区域医 疗信息平台，区域医疗信息平台通过电子签名客户端，实现强身份 认证。 （2）可信行为服务可信行为服务为区域医疗信息平台解决医疗行为可追溯问 区域医疗信息平台电子认证解决方案 第 5 页 题。医生在电子病历等区域医疗信息平台系统中所进行的关键操作， 通过电子签章系统完成数字签名可视化服务通过电子签章系统完成数字签名可视化服务。 （3）可信数据服务可信数据服务为区域医疗信息平台解决医疗数据可信化、 合法化问题。通过在区域医疗信息平台集成电子认证应用系统集成电子认证应用系统，实 现处方、医嘱、病程记录等关键医疗数据的可信化转换，使之符合 电子签名法对可信数据电文的要求。 （4）可信时间服务为区域医疗信息平台解决医疗行为时间准确 性和真实性问题。区域医疗信息平台系统保存的医疗数据，需要加 盖可信时间戳，确保此操作记录的时间可靠性。 3.2.3.2. 建设方案建设方案 针对各区域医疗信息平台，建设面向辖区统一的数字证书发放 与管理系统、电子认证系统、时间戳服务器以及电子签章系统，为 辖区区域医疗机构提供证书认证、数据加密、时间戳、电子签章等 服务，其总体框图如下所示： 区域医疗信息平台电子认证解决方案 第 6 页 电子认证服务基础设施 可信身份 区域医疗信息平台 证书认证服务数据加密服务电子签章服务 可信数据可信行为 EMRHISLISPACS PEIS 时间戳服务 可信时间 数字证书发放 与管理系统 电子认证 应用系统 电子签章系统时间戳服务器 图表 2 区域医疗信息平台总体框图 1 1、建设数字证书发放与管理系统、建设数字证书发放与管理系统 为方便区域医疗信息平台用户数字证书的申请、发放和后期服 务，需在区域医疗信息平台设立数字证书发放与管理系统。数字证 书管理员使用数字证书发放与管理系统对区域医疗机构医护人员提 供数字证书的发放与管理。 2 2、利用电子认证应用系统实现安全登录、数字签名和签名验证、利用电子认证应用系统实现安全登录、数字签名和签名验证 电子认证应用系统主要为区域医疗信息平台提供数字签名及验 证服务，通过在区域医疗信息平台中集成电子认证应用系统，实现 用户登录应用系统的身份真实性认证、敏感信息加密、数字签名/签 名验证等功能，实现重要医疗业务环节的签名和验证，确保数据的 完整性和隐私保护。 3 3、利用时间戳服务器和标准时间源设备实现区域医疗信息平台、利用时间戳服务器和标准时间源设备实现区域医疗信息平台 区域医疗信息平台电子认证解决方案 第 7 页 信息系统时间同步和可信时间应用信息系统时间同步和可信时间应用 通过部署标准时间源设备，保证区域医疗信息平台获取权威、 统一、精准的时间信息，为实现医疗数据时间认证需求奠定坚实基 础。通过集成时间戳服务器，为诊疗数据提供可信时间戳服务。 4 4、利用电子签章系统实现对各类电子文档的可视化签章、利用电子签章系统实现对各类电子文档的可视化签章 通过在电子病历等区域医疗信息系统中集成电子签章系统，可 实现电子签名的可视化显示,满足了电子病历规范所要求的“医务人 员采用身份标识登录电子病历系统完成各项记录等操作并予确认后， 系统应当显示医务人员电子签名” 。 3.3.3.3. 数字证书发放与管理系统数字证书发放与管理系统 3.3.1.服务模式 为保证数字证书服务及时可达和实现自主化管理，通过在各区 建设证书发放与管理系统，指定证书管理员来为内部工作人员发放 数字证书，同时为区域医疗信息平台提供一整套的服务平台，从而 使区域医疗平具有证书自助管理能力。 通过证书受理点进行证书发放流程如下： (1)在区域医疗信息平台建设数字证书发放与管理系统，用户 通过数字证书发放与管理系统办理数字证书； (2)证书管理员需要收集用户信息和鉴别用户身份，将证书申 请请求提交到数字证书发放与管理系统； (3)CA 系统签发证书，由数字证书发放与管理系统证书管理 区域医疗信息平台电子认证解决方案 第 8 页 员负责灌制到证书介质中，并发放给最终用户。 3.3.2.数字证书形态及介质 1. 证书形态 数字证书具有完善的产品形态，产品包括以下几个方面： 产品包装：便于运输邮件的产品包装盒和使用说明书； 安装光盘：包括证书管理软件以及介质驱动安装文件； 刮刮卡：存放证书介质的初始密码； 证书介质： 存放证书信息等，包括 USBKEY、SDKey、IC 卡等 介质。 图表 3 数字证书形态 2. 证书介质 根据国家相关安全要求，为确保证书的安全性及用户使用的便 利性，数字证书应采用智能化的硬件证书介质，它具有如下优点： 安全强度高：自带密码专用芯片，所有运算操作都在硬件介 质内部进行； 区域医疗信息平台电子认证解决方案 第 9 页 防拷贝：密钥在外部环境无法读取和进行拷贝； 自动锁定：当输入 PIN 错误次数到达指定次数，硬件介质将 被锁定，只有被解锁后才能重新使用； 使用方便：形状小巧，携带方便，操作简单。 根据医生工作站终端设备的不同配置，可提供两类证书介质， 分别为 USBKey、卡证书（射频卡或智能 IC 卡） 。 3.3.3.服务内容 3.3.3.1. 数字证书生命周期服务 设置在区域医疗信息平台的数字证书发放与管理系统提供数字 证书整个生命周期的管理，包括证书的申请、审核、更新、注销、 查询等。 图表 4 数字证书生命周期服务 具体如下： 证书申请：证书申请者到数字证书发放与管理系统申请证书， 区域医疗信息平台电子认证解决方案 第 10 页 由数字证书发放与管理系统工作人员代用户录入用户信息。由数字 证书发放与管理系统工作人员根据证书申请用户所提供的证明材料， 对用户的身份进行审核，并为通过审核的用户签发证书。 证书更新：证书有效期一般为一年，当用户证书到期后，需 要进行更新操作。支持提供在线更新和离线更新两种模式。离线方 式下，用户可到数字证书发放与管理系统进行办理，由证书管理员 在进行身份审核后进行用户证书的更新操作。在线模式下，用户可 持旧证书进行自行登录数字证书发放与管理系统，由系统确认该证 书的更新权限后，自动签发新证书并下载到用户介质中，从而实现 简便高效的自助式证书更新。 证书吊销：由于密钥遗失、人员变动或其它原因，在证书用 户提出申请后，证书管理员可以废除该指定用户的证书，并通过数 字证书发放与管理系统进行作废证书列表的发布，使得该证书不能 再次使用。 证书查询：可根据证书序列号、证书持有人、证书状态、证 书类型、办理时期等查询条件，准确查询处于生命周期各个阶段的 数字证书，及其持有人的详细信息。 3.3.3.2. 数字证书管理 数字证书发放与管理系统管理员通过使用数字证书登录证书 管理模块，实现本区域内用户证书业务管理。业务管理包括管理 员管理、证书统计、查询、报表等功能： 区域医疗信息平台电子认证解决方案 第 11 页 (1) 管理员管理：实现证书发放操作人员的管理，包括增加、 删除、查询，设置操作权限等等； (2) 证书统计功能：提供系统在某段时期内总共签发或注销证 书的数量的统计服务，管理员只要输入统计的起始日期、统计的截 止日期、待统计的证书类型、待统计的证书状态等条件，即可查询 出符合要求的结果，并对结果进行汇合统计。 (3) 报表功能：系统就会提供文字和图表的统计结果，并可以 将统计查询结果打印输出或以文件形式保存。 3.3.4.数字证书运行服务方案 3.3.4.1. 证书申请与发放 用户数字证书发放采用集中制作发放的模式，即在各区设证书 服务点（也可在各医院分别设证书服务点） ，由各区证书管理员收集、 整理和审查用户证书申请信息的真实可靠后，由各区证书管理员集 中制作数字证书后分发到用户手中。 证书发放流程如下图所示： 区域医疗信息平台电子认证解决方案 第 12 页 图表 5 数字证书申请发放流程图 证书申请发放流程描述如下： (1)各医院管理员收集用户信息并鉴证申请资料的真实性； (2)各区证书管理员登录数字证书发放与管理系统提交证书申 请信息，为用户制作数字证书； (3)各区证书管理员将带有数字证书的 USB KEY 转交给各医院 管理员； (4)各医院管理员将 USB KEY 数字证书分发给用户使用。 3.3.4.2. 证书更新 证书的有效期通常为一年，当用户证书到期后，需要进行更新 操作。通过数字证书发放与管理系统，支持用户通过网络自助更新 区域医疗信息平台电子认证解决方案 第 13 页 数字证书，即用户使用旧证书登录 Web 自助服务更新页面，数字签 名证书发起更新请求，证书自动更新。用户自主更新数字证书流程 如下图所示： 图表 6 用户自助更新数字证书流程图 证书更新的具体流程如下： (1)证书用户使用旧证书登录数字证书发放与管理系统； (2)系统验证旧证书的有效性，确认已收费，授予该用户具有证 书更新权限； (3)用户进行新证书下载，完成更新业务。 3.3.4.3. 证书解锁 USBKey 是存放数字证书的物理载体，证书使用者在使用数字证 书时需要输入 USBKey 的保护口令，即证书口令。当使用者连续 10 次（实际情况可能有所不同）输入错误的口令时，USBKey 会自动锁 死，无法使用，此时需要将 USBKey 进行解锁。 各区证书管理员通过数字证书发放与管理系统，支持用户在线 自助进行 USBKEY 介质解锁，即用户登录 Web 自助服务解锁页面，解 答系统询问的私密问题，系统通过电子邮件/短信发送解锁授权码， 区域医疗信息平台电子认证解决方案 第 14 页 用户输入授权码解锁。解锁流程如下图所示： 图表 7 USBKEY 解锁流程图 具体流程如下： (1)证书用户登录数字证书发放与管理系统，提出 USBKey 解锁 请求； (2) 各区证书管理业务人员确认 USBKey 持有人的身份，给予用 户解锁授权码； (3)证书用户登录证书解锁页面，输入授权码，完成 USBKey 解 锁。 3.3.4.4. 证书吊销 由于密钥遗失、人员变动或其它原因，证书不能再继续使用的 需要吊销证书，数字证书吊销支持以下两种模式： a) 用户在线吊销：用户登录 Web 自助服务输入想吊销证书信息， 各区证书管理员鉴证用户身份，系统吊销证书，发布 CRL。 b) 管理员吊销：管理员在系统中吊销证书，发布 CRL。 证书吊销的发起人可以是授权的证书管理员，也可以是证书持 区域医疗信息平台电子认证解决方案 第 15 页 有者本身。授权的证书管理员可以使用自己的管理员证书，直接向 CA 提出吊销其管辖范围内的证书；证书持有者可以通过提交鉴证材 料，证明其证书持有人身份后，提交证书吊销申请。数字证书吊销 流程如下图所示： 图表 8 数字证书吊销流程图 证书吊销具体流程如下： (1)证书管理员可以通过在线或离线方式提交证书吊销请求，或 者证书用户也可以通过在线方式直接提交证书吊销请求； (2)系统鉴别证书吊销人的身份； (3)发布证书撤销列表（CRL） ，并将 CRL 发布到相关应用系统； (4)被吊销的证书无法再访问应用系统。 3.3.4.5. 证书补办 在证书有效期内，证书使用者信息发生变更，证书介质发生损 坏或者证书文件损坏需要为用户进行证书的重新签发。各区证书管 区域医疗信息平台电子认证解决方案 第 16 页 理员通过数字证书发放与管理系统，支持用户在线自助重签发数字 证书，即用户向各区提出重签发请求，各区证书用户寄送鉴证材料， 管理员授权，通过 email/短信发送授权码，用户登录系统 ，输入 授权码，下载证书，同时系统吊销原证书。 3.4.3.4. 电子认证应用系统电子认证应用系统 电子认证应用系统主要为区域医疗信息平台提供数据加解密、 数字签名及验证服务，通过在区域医疗信息平台中集成电子认证应 用系统，实现用户登录应用系统的身份真实性认证、对敏感信息进 行加密、签名保护的数字证书应用产品。 目前,电子认证应用系统有硬件级和软件级两种形态的产品，分 别是 PKI 应用中间件软件和数字签名验证服务器，具体产品介绍如 下： 3.4.1.PKI 应用中间件软件 PKI 应用中间件软件产品是一款利用 X.509 数字证书、数字信 封、数字签名等先进的安全技术，由客户端组件和安全网关组件两 部分组成，分别为客户端和应用服务器提供安全服务。客户端组件 既可以内嵌到 Web 页面或客户端软件中，也可以被专用 Client 程序 调用，对用户的使用是透明的；服务器端接口部署在应用服务器上， 接受并处理由客户端发送过来的安全认证、数据加解密和签名验证 等系列安全处理请求，为应用系统提供安全保护。 区域医疗信息平台电子认证解决方案 第 17 页 3.4.1.1. 系统功能 PKI 应用中间件软件具有加密解密、数字签名、数字信封、时 间戳等安全功能，可以根据用户应用系统的具体安全要求以单独或 组合方式进行系统整合。PKI 应用中间件软件的具体功能如下： 加解密：加解密：采用对称和非对称的加密解密算法，实现对敏感信 息加密操作，防止敏感信息被非法窃取。 数字签名：数字签名：为应用系统提供重要业务数据及关键操作行为的 数字签名，应用系统通过这些数字签名记录，在发生纠纷时对数字 签名进行验证，真正实现重要业务数据和关键操作的完整性和不可 抵赖性； 数字证书解析：数字证书解析：对数字证书域进行解析，将解析后的证书内 容，如证书序列号、用户身份证号码等相关信息提交应用系统供应 用系统使用； 数字信封：数字信封：提供数字信封加密机制，提升数据加密效率和加 密强度； 密钥分割：密钥分割：采用门限算法，可以将加密密钥分割成若干份提 供给多人保管，当需要调取密钥时，根据预先约定的密钥持有策略 在多人在场情况下将完成密钥的重新组装得到原有密钥。 服务端证书管理功能：服务端证书管理功能：在应用服务器上提供 B/S 方式的证书 管理工具，用户可以使用该工具很方便的配置和管理服务器证书。 区域医疗信息平台电子认证解决方案 第 18 页 3.4.1.2. 应用方式 数字证书应用接口在 PKCS#11、CSP 等标准的底层证书调用接口 基础上，进行组件级应用封装，设计成由证书控件和服务端组件两 部分，分别与浏览器和 Web 服务器协同工作，确保具有安全完备、 使用透明、性能高效的特点：浏览器端采用客户端组件，服务器端 的具体调用形式为基于对象的安全证书组件，两者的功能是对称的， 主要有验证证书、数字签名、证书解析、数字信封、随机数、加解 密等功能。 从结构上，该系统由证书控件和服务端组件两部分组成，分别 与浏览器和 Web 服务器协同工作，如下图所示： 图表 9 证书应用方式 证书应用接口客户端组件内嵌到 Web 页面或客户端软件中，当 用户浏览应用系统时自动下载并在浏览器中工作，用户使用是透明 的；服务器端安全网关作为基于对象的证书组件，配置于 WEB 服务 器上，由应用程序进行调用，保护 Web 服务器的应用信息。浏览器 区域医疗信息平台电子认证解决方案 第 19 页 客户端组件和服务端的功能是对称的，主要有验证证书、加/解密、 签名/验证、以及解析证书等功能。 3.4.1.3. 系统集成 1)1) 数字签名与验证签名数字签名与验证签名 在各区区域医疗信息平台中，实现数字签名的集成工作流程如 下图所示： 填写表单，并提交 增加签名新表单， （无则添加、有则清空） 遍历业务表单， 并组xml包 进行签名，并赋值新表单 接收 验证签名 服服务务器器端端客客户户端端 用用户户表表单单提提交交页页面面 提交新表单 表表单单接接收收程程序序 Xml的签名数据 +表单数据 +客户端证书 证证书书控控件件 用用户户操操作作 取XML元素值 取各表单域内容 证证书书 组组件件接接口口 图表 10 数字签名的集成示意图 对需要电子签名的页面的集成工作如下： 1)在用户表单提交页面中加入脚本，通过调用证书控件，实 现对表单信息的加密、签名和组包；（表单中可带有文件附件） 2)后台接受程序中调用相应的证书组件接口，完成解密、验 签等操作； 3)在数据库中保存此次表单的数据及其电子签名。 区域医疗信息平台电子认证解决方案 第 20 页 2)2) 加密与解密加密与解密 加密后的数据如果不需要保存，只是在通信过程中加密，则可 通过配置 SSL 网站，建立 SSL 加密通道即可，不需要额外的开发工 作。 对于加密数据需要保存，一定时间后又需要解密的，则需要使 用 API 接口对数据进行加密。加密和解密过程类似上节的签名与验 证，只是调用的 API 接口函数不同而已。 3.4.1.4. 程序改造关键内容 1 1、数据库改造、数据库改造 应用系统的数据库需要做两个部分的改造。 1)在用户表中增加一个证书用户唯一标识字段，该字段的值 是该用户的数字证书中用户唯一标识。 （SF+身份证号） 2)在各个签名表单对应的数据库表中增加数字签名值字段， 该字段用于存放对表单或者数据的签名值。 2 2、程序改造、程序改造 应用系统登陆模块和签名表单页面需要做改造。 1)应用系统的登陆模块需要做改造，参照 PKI 应用中间件的 集成 Demo，将服务器端和客户端实现相互验证签名、服务端验证客 户端证书有效性和解析客户端证书集成到应用系统中，代替原有的 用户名密码登陆方式。 2)签名表单页面调用客户端的签名方法对表单或数据做电子 区域医疗信息平台电子认证解决方案 第 21 页 签名，然后将签名值及签名证书存放在数据库中。 3.4.1.5. 相关代码示例 证书登陆相关代码，参见“jspdemo” 目录下的 index.jsp 和 login.jsp。 集成代码示例： 2 3 4 1 1 加载证书列表 在登陆页面的OnLoad事件中调用getUserList函数。 GetList(“LoginForm.UserList“); 在服务器端，调用genRandom函数产生随机数。 SecurityEngineDeal sed = null; sed = SecurityEngineDeal.getInstance(“soft”); strRandom = sed. genRandom(); 在服务器端，调用signData对随机数签名。 代码如下： strServerCert = sed.getServerCertificate(); strSignedData = sed. signData(strRandom); 把随机数、签名值等信息发送给客户端。 var strServerSignedData = “; var strServerRan = “; var strServerCert = “; 5 5 验证服务器证书和签名 在登陆提交脚本中添加代码： if(verifySignedData(strServerSignedData,strServerCert,strServerRan)!=0) alert(“验证服务器签名失败！“); return false; 6 6 输入PIN，使用私钥对随机数签名。 在登陆提交脚本中添加代码： if(!bjcactrl.UserLogin(strContainerName,strPin) alert(“登陆失败,请检查密码是否正确处理!“); strClientSignedData = SignedData(strContainerName,strServerRan); var varCert = GetSignCert(strContainerName); 区域医疗信息平台电子认证解决方案 第 22 页 7 7 提交客户端的证书以及签名值。 把数据赋值到form隐藏域中。 objForm.UserCert.value = varCert; objForm.UserSignedData.value = strClientSignedData; 8 验证客户端签名以及证书有效性，获取证书身份标识。 String clientCert = request.getParameter(“UserCert“); String UserSignedData = request.getParameter(“UserSignedData“); String ContainerName = request.getParameter(“ContainerName“); boolean retValue =sed.verifySignedData (clientCert,ranStr, UserSignedData) retValue = sed. validateCert(clientCert); String uniqIdOid = “2.16.840.1.113732.2“; String uniqueIdStr = sed.Certificate_GetExtInfo(clientCert,uniqIdOid); out.println(“证书唯一标识：”); out.println(uniqueIdStr); 备注：蓝色为客户端代码、红色为服务器端代码。详细可参考集 成 demo。 数据签名相关代码，参见“jspdemo” 目录下的 signForm.jsp 和 VerifySignForm.jsp。 集成代码示例： 区域医疗信息平台电子认证解决方案 第 23 页 3.4.1.6. PKI 应用中间件软件性能 PKI 应用中间件软件的性能指标如下： 区域医疗信息平台电子认证解决方案 第 24 页 图表 11 PKI 应用中间件软件性能 3.4.2.数字签名验证服务器 数字签名验证服务器(以下简称 DSVS)是由自主研发，为信息系 统提供数字签名及验证服务的一款多安全功能、高稳定性、高性能， 并且具备跨平台、可扩展和快速部署能力的软硬件集成化安全设备。 数字签名验证服务器实现服务端基于数字证书的身份认证、数字签 名、数据加密等功能，核心是将提交的医疗数据进行数字签名，以 保证数据的不可抵赖性、完整性需求，并在查询相关数据时，实现 用户对于所查询的数据的有效性验证。通过部署数字签名验证服务 接口标准PKCS#11、微软 CSP 等 支持密码算法SSF33、RSA（1024） 、3DES 等 签名 400 次/秒（4*2G CPU 软实现） 2450 次/秒（单主机加密服务器实现） 1024 位 RSA 非对称算 法 验证 2000 次/秒（4*2G CPU 软实现） 10000 次/秒（单主机加密服务器实现） SSF3 3 72.83Mbps 性 性 能对称加密 算法 3DES309Mbps 负载均衡 支持多应用服务器负载均衡方式 支持 SJY 系列主机加密服务器负载均衡方 式 区域医疗信息平台电子认证解决方案 第 25 页 器实现电子病历生成等医院内部重要业务环节中的数字签名及验证。 3.4.2.1. 系统功能 数字签名验证服务器具有数据签名、签名验证、证书验证等功 能，具体功能如下： 应用功能应用功能详细说明详细说明 数据签名与签名验证 提供 PKCS1/ PKCS7 attach/PKCS7 detach/XML Sign 等多种格式的数字签名 和数字签名验证功能 文件签名与验证对文件提供数字签名和数字签名验证功能 证书有效性验证功能 提供 CRL/OCSP 等多种方式的证书有效性 验证 动态黑名单功能 可以自动更新黑名单，采用动态更新方式， 无需重启服务 多证书链功能 可同时配置多条证书链，验证不同 CA 系 统签发的数字证书 获取证书信息功能 提供证书解析功能，获取证书中的任意主 题信息以及扩展项信息 其他功能其他功能详细说明详细说明 系统备份恢复功能 系统可以备份当前所有配置，保证系统瘫 痪时的快速恢复 区域医疗信息平台电子认证解决方案 第 26 页 日志记录和发送功能 系统可以自行记录日志，也可以将日志以 SYSLOG 的方式发送到指定服务器 双机并行、负载均衡功 能 高可靠性、高可用性 3.4.2.2. 应用方式 为确保医疗数据具有法律效力，必须按照电子签名法要求， 基于由国家认可的第三方电子认证服务机构签发的数字证书对其完 成数字签名，才能具有法律效力。通过数字签名验证服务器实现医 生工作站的数字签名，以及区域医疗信息平台的签名验证等功能,具 体流程如下图所示： 图表 12 数字签名及验证流程 3.4.2.3. 系统集成 对于关键业务页面，可根据安全性要求，选择性进行签名和加 区域医疗信息平台电子认证解决方案 第 27 页 密处理，包括： 应用系统根据业务逻辑要求，调用客户端证书应用相关接口， 实现对上传数据的数字签名或加密，并打包上传至应用服务器；服 务器端接收程序应相应修改，调用数字签名验证系统，进行原文签 名验证，并将签名数据入库保存； 对于系统后台的数据库部分，需要在现有数据库中加入数字 签名字段，并建立数字签名和原始明文的一一对应关系，为事后责 任认定提供符合法律要求的电子证据。 3.4.2.4. 相关代码示例 证书登陆相关代码，参见“jspdemo” 目录下的 index.jsp 和 login.jsp。 集成代码示例： 区域医疗信息平台电子认证解决方案 第 28 页 备注：蓝色为客户端代码、红色为服务器端代码。详细可参考集 成 demo。 数据签名相关代码，参见“jspdemo” 目录下的 signForm.jsp 和 VerifySignForm.jsp。 集成代码示例： 区域医疗信息平台电子认证解决方案 第 29 页 3.4.3.电子认证应用系统产品建议 通过以上两类产品的介绍可知，二者功能相同，两类产品都可 以提供基于数字证书的身份认证、数据加密等功能，同时，可以实 现对电子病历系统电子签名的应用功能。 PKI 应用中间件软件已由深圳市卫生和人口计划与委员会统一 采购、统一实施，各区域医疗信息平台可免费使用，但其性能相对 数字签名验证服务器而言稍弱，用户并发数、处理速度不及数字签 名验证服务器，其部署需要与每个医疗信息系统进行集成，部署复 杂、实施周期长。另一方面，数字签名验证服务器属于硬件级服务 器，可以为区域医疗信息平台提供高效率服务，其部署比较简单， 可方便供多个信息系统使用，支持双机热备，保障服务的连续性,具 区域医疗信息平台电子认证解决方案 第 30 页 体比较如下表所示： 图表 13 电子认证应用系统产品比较 根据各区域医疗信息平台的实际需求，其需要为各区多家医疗 机构提供服务。因此，建议各区域医疗信息平台采用性能较好、部 署简单的数字签名验证服务器来为各区域医疗信息平台提供身份认 证、数字签名、数据加密等服务，实现重要医疗业务环节的签名和 验证，确保数据的完整性和隐私保护。 3.5.3.5. 时间戳时间戳服务器服务器 3.5.1.建设模式 根据各区域医疗信息平台情况，时间戳服务系统可以采取两种 模式获取： PKIPKI 应用中间件软件应用中间件软件数字签名验证服务器数字签名验证服务器 采购成本低高 实施周期长短 集成复杂度 需要与每个应用系 统集成 部署简单 性能 软件级产品，性能 低 硬件级产品，性能高 可靠性不支持双机并行 双机并行、负载均衡功 能 区域医疗信息平台电子认证解决方案 第 31 页 采用市统一时间戳服务平台获取时间戳服务采用市统一时间戳服务平台获取时间戳服务 通过市医学信息中心所建设的全市统一时间戳服务平台，获取 区域医疗信息平台所需的时间戳服务。统一时间戳服务平台搭建在 市医学信息中心，面向全市各医疗机构提供统一的时间戳签发服务。 各区域医疗信息平台需要集成简单的时间戳客户端接口，通过时间 戳客户端接口与时间戳服务平台通讯，生成并发送时间戳签发服务 请求，接收时间戳服务平台返回的时间戳服务结果并进行有效性验 证。 这种模式各单位建设周期短，实施难度低，通过远程调用的方 式就可以获取可信时间戳服务。 建设本地时间戳服务系统建设本地时间戳服务系统 即在各区域医疗信息平台本地建设时间戳服务系统，为本区域 信息系统提供时间戳服务。 这种模式需要在各区域信息平台本地部署时间戳服务系统的软 硬件设备，包括时间戳服务器、时间源设备、时间戳软件接口等， 为区域医疗信息系统提供时间戳的签发与验证等功能，其建设成本 较高、集成实施复杂、实施周期长，但其处理效率高。 两种模式的总体结构示意图如下： 区域医疗信息平台电子认证解决方案 第 32 页 图表 14 时间戳服务体系总体结构示意图 两种模式都可以满足区域医疗信息平台对可信时间的需求，各 有其优势，各单位根据自身情况自行选择。 由于采用市统一时间戳服务平台获取时间戳服务的方式，其实 现方式简单，只需集成简单的时间戳客户端接口，就可以获取时间 戳服务，以下将主要介绍如何建设本地时间戳服务系统。 3.5.2.时间戳服务器 时间戳服务器(简称 TSS)是由自主研发，基于国家标准时间源， 采用 PKI 技术，为应用系统提供精准、安全和可信时间认证服务的 一款高性能、高稳定性，并且具备跨平台、易扩展和快速部署能力 的软硬件集成化网络安全设备。 区域医疗信息平台电子认证解决方案 第 33 页 3.5.2.1. 系统架构及功能 时间戳服务器架构如下图所示： 安全操作系统 secure OS 时间戳服务器硬件设备 时间源 设备 时间戳签发子系统时间戳管理子系统 可信 CA中心 业务系统 服务端 时间戳请求子系统 管理终端 加密卡及密码算法加速设备 图表 15 产品架构图 如上图所示，时间戳服务器由时间戳请求子系统、时间戳签发 子系统、时间戳管理子系统组成。其中： 时间戳请求子系统：生成并发送应用系统的时间戳签发服务 请求，时间戳服务请求遵循国际通用的 RFC3161 标准；接收时间戳 服务结果并进行验证； 时间戳签发子系统：验证时间戳请求的有效性、根据请求签 发时间戳、验证时间戳有效性； 时间戳管理子系统：提供时间源管理、时间戳证书管理、系 统日志管理以及系统配置管理等功能。 时间戳服务器的主要功能如下表所示： 功能列表功能列表详细说明详细说明 区域医疗信息平台电子认证解决方案 第 34 页 签发/验证 时间戳 签发可信时间戳、验证时间戳有效性 权威时间同步 基于 SNTP 协议，从指定时间源设备获取标准时间并同 步 系统管理 时间戳证书管理、时间源管理、日志管理、系统配置、 备份与恢复 高可用性支持双机并行、负载均衡 3.5.2.2. 应用方式 时间戳服务器应用流程如下图所示： 图表 16 时间戳应用流程 如上图所示，时间戳服务器的应用流程如下： （1） 区域医疗信息平台信息系统服务端集成时间戳请求子系 统，调用数字摘要接口对待签发时间戳的原文计算出摘要； （2） 信息系统将数字摘要通过网络发送给时间戳服务器； （3） 时间戳服务器读取时间源的标准时间，利用第三方 CA 机 构签发的时间戳服务器证书对应的私钥对数字摘要和可信时间进行 区域医疗信息平台电子认证解决方案 第 35 页 签名，产生时间戳； （4） 时间戳通过网络传回应用系统，通过时间戳验证接口验 证后进行存储，此后，时间戳和原文绑定在一起可以证明某个时间 的有效证据。 3.5.2.3. 系统集成 时间戳服务器实现安全应用集成主要工作如下： 1.提供产品和集成所需要的演示环境 Demo、接口说明、测 试证书等； 2.根据业务需求，应用系统开发商对相应页面进行改造，调 用对应的安全组件接口，实现时间戳签发/验证功能。为应用系统开 发人员提供技术支持，协助完成系统的安全整合。 3.应用集成完成后，需要进行应用系统测试，确保系统集成 时间戳应用功能的可用性和有效性。 应用系统改造： 区域医疗信息平台电子认证解决方案 第 36 页 数据，提交 对数据进行Hash Base64编码的时间 戳请求字符串 接收 解析时间戳请求 时时间间戳戳服服务务器器 业业务务系系统统 时时间间戳戳请请求求 子子系系统统 签名产生时间戳 解析时间戳 图表 17 时间戳服务器集成 1)业务系统程序中调用时间戳请求子系统组件接口，完成原 文数据 Hash、生成时间戳请求，将请求发送到时间戳服务器等操作； 2)时间戳请求子系统接收时间戳服务器返回的结果，解析时 间戳； 3)对于系统后台的数据库部分，在现有数据库中加入时间戳 字段，并建立时间戳和原文的一一对应关系，为事后时效责任认定 提供电子证据。 3.5.2.4. 时间戳实现 在区域医疗信息平台中，对于有意义的诊断等操作或进行数据 和报告的生成保存等，需要加盖时间戳，以确保操作和数据的时间 有效性。为了验证和取证需要，将时间戳与相应的数据和文件存储 区域医疗信息平台电子认证解决方案 第 37 页 到系统数据库中。 医医疗疗信信息息系系统统 系系统统客客户户端端 时时间间戳戳服服务务器器 区区域域医医疗疗平平台台 系系统统服服务务器器端端 A.将时间戳和相应的数 据存储到数据库 1.验证通过进入系统 2.确认诊断结论等一 些关键性操作点 .生成诊断报告 （版式文件等） 4.调用时间戳接口 5.可信时间管理系统 6.接收验证时间戳 F.将时间戳验证操作相 关信息写入log表 图表 18 时间戳应用流程 过程说明如下： (1)登录验证通过后用户安全进入系统。 (2)操作人员在对病人下诊断报告或一些报告确认等关键性操作 时，需要加盖时间戳。 (3)电子病历生成时需要加盖时间戳。 (4)调用接口将需要加盖时间戳的数据传送到时间戳服务器。 (5)时间戳服务系统读取标准时间，利用可信时间管理系统证书 对应的私钥对数字摘要和可信时间进行签名，产生时间戳。 (6)时间戳保存到时间戳服务器中（调用接口时会将系统类型、 医院、检查唯一标识等信息发送给时间戳服务器） ，也可通过网络传 回电子病历系统（可通过调用参数来设置是否将时间戳保存到本地） 。 区域医疗信息平台电子认证解决方案 第 38 页 (7)电子病历系统验证通过后进行存储，此后，时间戳和原文绑 定在一起可以证明某个时间的有效证据。 Log 记录: （1）调用 CA 时间戳接口，成功或失败信息写入 Log。 （2）将时间戳写入相应数据库中是否成功写入 Log。 3.5.2.5. 相关代码示例 集成代码示例： 区域医疗信息平台电子认证解决方案 第 39 页 3.6.3.6. 电子签章系统电子签章系统 3.6.1.建设模式 在电子信息世界，数字签名是隐藏在电子文档中的一串字符， 不能像现实世界的电子签名一样直接展现给用户，通过依托成熟产 品电子签章系统，在处方开具、报告单、检验单等医疗过程中实 现电子签章功能，实现了电子病历中数字签名的可视化、图形化， 使可靠电子签名在电子病历中形象展现，并提供方便的签章验证辨 伪操作界面。 根据各区域医疗信息平台情况，电子签章系统也可以采取两种 建设模式： 建设模式一：统一电子签章服务平台建设模式一：统一电子签章服务平台 即在各区域医疗信息平台建设全区统一电子签章服务平台，面 向区域医疗机构提供统一的电子签章服务。各医疗机构信息系统需 要集成简单的电子签章客户端软件，通过电子签章客户端软件与电 子签章服务平台通讯，统一电子签章服务平台提供对电子病历相关 医疗数据的数字签名和电子签章。 建设模式二：本地电子签章服务系统建设模式二：本地电子签章服务系统 即在各医疗机构本地建设电子签章系统，为本单位信息系统提 供电子签章服务。 其总体结构示意图如下： 区域医疗信息平台电子认证解决方案 第 40 页 以上两种建设模式各有其优势，应该充分发挥各自