（计算机应用技术专业论文）互联网上电子病历系统安全机制.pdf

硕士学位论文 m a s t e r st h e s l s 中文摘要 目前，医院信息系统的应用，处在一个非常重要的升级换代和变革时期。由最 早的以费用管理为中心的管理信息系统，到以病人医嘱为中心的业务支持系统( 联 机事务处理，o l r p ) ，现在正向以病人为中心的大规模信息系统和以数据挖掘为技 术支撑的d s s ( 决策支持系统) 发生系统而深刻的变化。电子病历，无疑成为大规 模信息系统的核心和d s s 的重要数据支持。电子病历( d 删e c 昀l l i cm e d i c a l r e c o r d ) 也叫计算机化的病案系统或称基于计算机的病人记( c p c o m p l t 睡b a s e d p a t i e n tr e c o r d ) ，它是用电子设备( 计算机、健康卡等) 保存、管理、传输和重现 的数字化的病人的医疗记录，取代手写纸张病历。实现了电子病历，这些病历数据 的安全性就凸现在一个重要的位置。电子病历的动态数据安全主要是在运行电子病 历软件时的数据安全，如身份识别、权限分配、痕迹管理等等，电子病历的数据， 无论是对病人，还是对医院，都要求真实、准确。当然，电子病历的隐私性保护、 医疗责任性监控及界定也都是必须解决的问题，保证病历数据的安全也需要有一整 套的技术和管理做支撑。技术措施的到位，才能保证电子病历的正常使用和有效发 挥作用。 本文正是在数字权利管理( d r m ) 技术的对于网络数字产品的强大的保护、分 发传递、使用方面的优势基础上，在对现在的数字权利管理技术及数字权利管理系 统的研究基础上，结合笔者导师的研究成果透明的版权原子技术，实现了可内容监 控的透明的电子病历安全机制，提出了一个基于透明版权原子技术的扩展的电子病 历安全方案，该方案中引入扩充的基于p 动态身份认证、数字时间戳、基于切【l 的电子病历多重签名几个安全机制，同时给出了一个可信的密钥管理方案，并对其 安全机制给出了较严密的分析论证。结合讨论结果，介绍最后本文对该方案给出了 一个可行的概要设计。本文采用d i u m c 技术为解决电子病历存储和传输过程中的 信息安全及权利明确、责任界定清晰提供了一种动态的保护办法，有效地解决了电 子病历的非法复制和传播问题，避免了电子病历中敏感内容的泄密。与其它同类系 统相比，我们研制的d i 己m 系统在安全性、易用性、与平台无关性等方面具有一定 的特色。 本文的研究成果对电子病历的推广使用有积极意义，但是在电子病历系统的智 能化、标准化、集成性、实时性、自助性等方面还需要进一步的研究和探讨，这是 下一步的工作。 关键词：数字权利管理，电子病历，透明版权原子，多重签名，时间戳，身份认证 硕士学位论文 m a s t e r st h e s l s a b s t r a c t a tp r e s 锄乞t h eh o s p i t a li n f 0 册撕0 ns y s t 锄a p p 胁i o 船i si nav e r ) ri m p 硎a n t p e r i o do f 的粥f 0 瑚喊i o n 锄du p 黟洲吨f r o m 廿地e a d i e s tf 托sm 舡嘲萨m e n t o f i n f o m 均：i i o n $ s t a n s ，t 0t h ed 0 渤r i sa d v i c ct 0p a t i 锄晦舔也ec 白盱0 fb u s i m s ss i l p p o r t s y s t c m s ( 0 n 1 i n e 仃j 明删o np l d c e s s i n 舀o l i p ) ，i sb e i n g 嬲也ec e n ：t c ro ft 1 1 el a r g e s c a l e i 响珊血0 ns y s t e ：嘟锄dd a t a 血i r 喀蛐1 0 盯f o rs u p p o n0 fn 圮d s s e c i s i o n s u p p o r ts y s 勺锄) i ns y s t e ma n dp r o f o u n dc h 趾g e s e l e c 昀n i cm e d i c a l 飑c o r j d s ，硒l l u n ( 1 0 u h e d l yb e c o m e 也ec o r eo f1 a r g e s c a l ei i l f o 咖a d o ns ) r s t e m s 龃di m p o r t a ：n t 讹t 0 s u p p o r tt h ed s s e 1 e c 仃d n i cm e d i c a lr c c o r d s ( e m e 1 c c 觚m i cm e d i c a li k c o r d ) i sa l s o c a l l e dac 0 m p 删z e dm e d i c a lr e c o r ds y s c e i n s0 rc 0 m p 劬囝b a s e dp 撕咖删( c p r c o m p u t 昏b 舔e dp a t i e n tr e c o r d ：，i tu s e se l 删ce q 吨腿e n t 珊p 嘶璐，h e a l 心c 耐s ， e t c ) p r e r v 撕o n m 龇卿孚e m e n t ，纽妯s m i s s i o na n dt h e 托s i ：哦，匝c eo fm ed i 西t a lp 蕊e n r s m e d i c a lr e c o r d s ，t 0r e p l a c eh a n d 、i t t e np a p e rm e d i c a lr e r d s b 嬲e do nm ec u m n td i g i t a lr i g l l t sm a n a g e m e n tt e c h o l o g ) ra n dd i 百t a lr i g h t s m 融l 弼；e m e n ts y s t e m ， t h er e s e a r c h c o p y t i g h t 扛唧a 瑚ta t o m i ct e c h n o l o g c a n a c h i c l 旧也ec o n t c n to ft h e 馏a l 】印a f e n tm 幽r i n go fe l e c 删cm e d i c a lr e c o f d ss e c u r 蚵 m e c h a i l i s m ，p r o p o s e da 仃如s p a r c n tc o p y r i g h to n t 1 1 ee ) 【p a 璐i o no fa t o m i ct c c h n o l o g yo f e l e c t r o n i cm e d i c a lr e c o r d s 训够p | d 毋锄n m e ，i n 舡0 ( 1 l l c e di nm ed l m a m i ce ) ( p a n s i o no f m ep k i _ b 笛e di d e i i t 时a u t l l c n d c a 虹o n ，d i g i t a lt i i m s t ：m l p ，m 广b 勰e de l e c 仃1 ) n i cm e d i c a l l r e c o r d sm u l _ t i s i 盟a ：t l l r e 鼹谢t ) rm e c h 觚i s i n ，a l s og i v e sac 愆d i ：b l ep r o 舀劲n m eo fl 【e y m a 彻g e m e 心a n d 廿l es c c u r i 锣m c c h a n i s m sa r c 舀v 吼am o 心r i 9 0 m l l s 锄a l y s i so ft 1 1 e d e 】d n s 嘶o n mt l l i sp a p e r ，d r m ct e c h n o l o g ya d d f e s s 也ee l e c t r 砌cm e d i c a 王r 鲫r d 蛐 a n dt r a m m i s s i o no fi n 】研m a t i 衄s c c 埘t ) ra n d 也i er i g h t 协c l e 龃锄dc l 翩】姆由缸耐 r e s p o n 5 i b i l i 够t op r 0 、r i d ea 由，n a m i cw a yt 0 也ep r o t e c t i o n 雒de 彘c t i v es o l u 垃o nt 01 h e i l l e g a lc o p 咖go fe l e c 仃o n i cm e d i c a l 眦o r d s 锄dc 0 咖n l l l l i c 撕o n sp r o b l e m s ，t 0a v o i d 地 e l e c 昀面cm e d i c a lr e c o r d si i l 廿1 el e a ko fs 锄s i t i v cc 0 n t e n t c 伽叩a r e d 、i t ho m e rs i m i l 缸 s y s 锄n s ，w ed e v e l o p e dt h ed i 泓s y s t c i ni nm es e c 嘣锣，e a s e0 f l l s e ，h 药蛐gt od 0 、砸mt l l ep l a t f o 皿o fs u 6 ha r e 嬲h a ：v ec e 加c h 甜a c t e r i s t i c s t l l i sp a p e ro nm er e s c a r c h r e s u l t st 0p r o m o t e 也el l s eo fe l e c t n i cm e d i c a lr e c o r bo fp o s i t i v es i g i l i f i c 孤c e ，b mi n t h ei n 钯l l i g e n te l e c t r o n i cm e d i c a lr e c o r d ss y s t e m ，s t a r l d a r m z a l i o 坞i n t e 弹t i o n r e a l - t i l l l e ， l f 二h e l pi ns u c ha r e 弱n e e df 证t 1 1 e rg t l l d ya n de x p l o r 撕o n ，缸si st h ew a yf o r v 棚 k e yw o r d s ：d i 西t a lc o p 州g mm 砸l a g 锄e n t ，缸m l s p a r e n tc o p i r i g h ta t o m i c ，e m r 硕士学位论文 m a s t e r st h e s i s 华中师范大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作 所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本声明的法律结果由本人承担。 作槲：氯鲁卅压 魄肿月多日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中师范大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同时授权 中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据库，并通 过网络向社会公众提供信息服务。 鬟拳t 音之日期：阚年么月g 日 导一荔 日期：沙舡 日 本人已经认真阅读“c a l i s 高校学位论文全文数据库发布章程 ，同意将本人的 学位论文提交“c a l i s 高校学位论文全文数据库”中全文发布，并可按“章程 中的 规定享受相关权益。回意i 金塞握交卮澄厦；旦坐生；旦= 生；旦三生发查。 言篓礞隽岁日 廷幻 硕士学位论文 m a s t e r st h e s l s 第一章绪论 1 1 引言 电子病历( e 乙e l e c 仃o n i cm e d i c a lr e m ) 也叫计算机化的病案系统或称基 于计算机的病人记录( c p rc o m p l 她b 嬲c dp 撕e i i tr e ：c o r d ) ，涉及病人信息的采集、 存储、传输、处理和重现的数字化的病人的医疗记录。可以在医疗中作为主要的 信息源取代纸张病历，提供优于纸张病历的服务，最大程度的满足医疗、法律和管 理需求。而电子病历系统是指为人们提供各种医疗卫生服务过程中采集、存储、传 输、提取和处理卫生信息的计算机与通讯处理系统，包括各种医疗知识获取和辅助 诊断决策等功能【l 】。随着医院信息化的不断深入，对于具有高安全性、高可靠性、 高实效性及存贮、查阅方便的电子病历系统越来越受到广大医院信息化及医务人员 的重视。电子病历系统作为医务人员的“外脑 ，它已经不再是早期的纸制的静态 电子病历，而是对临床诊断决策具有强大支持的动态电子病历系统。一个好而易用 的电子病历系统不仅只实现病人信息共享、提高医疗工作效率，还担负着提高医疗 工作质量、为医院管理服务；加强环节管理、为宏观医疗管理服务。对个人、临床 应用及医院内的各个环节都具有非常重要的意义【2 】。 近几年来，我国医院的信息化建设取得长足进步，不少医院已从以财务管理为 核心的管理信息系统向以病人为中心的临床信息系统方向发展，并逐步建成了临床 医生工作站、p a c s 和l i s 等具有临床性质的信息系统。在此基础上，电子病历研 究正在逐渐成为目前国内外医学信息学研究的热门课题，电子病历，即 c p 脚u t e r - b 删p a ：t i e n tr e c o r d ) 、e 加l 咖n i cm c d i c a l 舢r d ) ，是一种计算机 化的数字病历，记录病人在就医过程中的全过程数字化信息。根据通行标准【3 】规范 的电子病历所记录的内容如下： ( a ) 病人基本信息，如姓名、性别、住址、电话等。 ( b ) 门诊记录信息，如就诊时间、科别、医生以及医嘱、诊断、用药等处置明细 等。 ( c ) 检验、检查信息，如生化、病理检验报告和医学影像诊断报告等。 ( d ) 住院记录信息，如病情进展记录、护理记录、手术等特殊处置记录等。 要承认电子病历的合法性，必须保证电子病历信息的有效性、安全性及不可否 认性【4 j 。如果不能保障电子病历带来的效率和效益，将直接影响到整个医疗系统健 康、有序地运行。黑客攻击、计算机病毒、人为篡改、管理漏洞等都可能对电子病 硕士学位论文 m a s t e r ? st h e s i s 历的有效性、不可篡改性及不可否认性产生极大的影响并随之带来巨大的风险。所 以，推行电子病历，首先必须有技术手段加以保证，如果相应的风险防范手段不能 跟上计算机网络技术的发展速度，电子病历的推广势必受到制约。同时，还必须有 电子病历安全管理手段配合使用，从管理角度堵住电子病历实行过程中的安全漏 洞。当前我国电子病历的安全形势不容乐观。这里既有技术因素，又有管理和法规 方面的因素。主要表现在电子病历系统中尚未引入数字认证机制【5 】，管理上普遍缺 乏安全意识；电子病历管理体制尚不健全，在医疗信息资源管理和安全的监管方面 职责不够明确；电子病历的立法还没有起步，电子病历证据的提取等关键性的专门法 律尚未出台。此外，电子病历如何体现患者的知情权，是否侵犯当事人的隐私权等 问题也是值得关注的问题【6 】。丽电子病历又是我国卫生工作信息化的核心问题，而 它的普及与否主要取决于存储与传递的安全及保密性能否得到切实可靠的保证。特 别是其中的面向保护患者隐私的数字权利管理问题能否得到有效的解决r 7 1 。 1 2 研究的目的和意义 综合各种信息的多媒体电子病历具有便于存储、查询、统计、交换等传统病历 不可比拟的优势。由于电子病历便于修改，人为对电子病历内容的涂改、删节、剪接 等操作难以在技术上进行界定。然而电子病历同传统病历一样，作为病人就医情况的 一种记录，在发生医疗纠纷时是必须提交的重要证据【8 】，在此条件下必须防止医疗 机构对作为电子证据的电子病历的修改。以上这些都是我国的医疗卫生信息现代化 的重要环节电子病历能否得以顺利推广实施的关键之处，本文所讨论的基于透明 版权原子技术【9 】的电子病历安全体系以其严密性，操作灵活性而比现常见的通用技 术有了较大的优势。 1 3 目前研究的现状 1 3 1电子病历的研究现状 随着医疗卫生事业的发展，对医院信息化的要求越来越高，传统的医院信息系 统已经不能满足医院需求，电子病历系统就随之出现，而电子病历系统作为新型医 院信息系统的核心，也是一个重要的研究课题【l o 】。目前，全国范围内已经形成共识： 电子病历系统不前进，就会直接影响医院信息系统的开发和使用。 电子病历作为医院综合信息系统的重要组成部分，其使用已成为一种趋势。电 子病历不仅仅是对病人综合医疗信息电子文件集合，更重要的是其具有许多目前广 2 硕士学位论文 m a s t e r st h e s i s 泛使用的病历运作和管理方式不可比拟的优势，在病历生成、病历管理、病历存储、 教学、科学研究方面有着极强的生命力【1 l 】。在发达国家，无论是政府机构还是民间 团体均纷纷投入资金展开这一领域的研究工作。我国随着医院m s 系统在全国大医 院的逐步展开，电子病历的研究和应用也如雨后春笋般蓬勃发展；与此同时，民间的 标准化机构也正在开展电子病历标准制订的工作，政府部门也积极参与到这一进程 中来，采取各种措施推动电子病历的发展【1 2 1 。由于电子病历涉及医院的方方面面， 具有高度复杂性，加之行业之间、行业内部对电子病历缺乏统一性的认识，所以完 整的、能够得到不同行业共同认可的电子病历系统目前为空白【1 3 】。 1 3 2 电子病历发展现状 由于我国屯子病历的研究起步较晚，临床和科研界仅仅是对电子病历进行局部 性的实验性电子病历工作。目前国内的电子病历只是将传统的纸病历通过相关的医 疗信息资料知识数据库完成电子化的病历管理模式【1 4 1 。也就是说目前使用的只是纸 病历的电子版，只能称纸病历的电子版，是向e 胀迈进的第一步，它有可拷贝、书 写快、文字清晰可辨，不易涂改或缺漏某些内容等优点，大大提高了医生的工作效 率，但又有在缺乏特定文本编辑语法、知识库、关键词等辅助编辑功能软件以及缺 乏完善的实时智能医疗质量监控系统时容易出现拷贝垃圾过多、病历内容重复、时 间内涵颠倒等病历质量问题【1 5 1 。因此，e 腿的应用、推广、普及尚需多层面、多技 术的开发研究、改进和完善，以利于e 凇的发展与应用。 1 4 应用现状分析 目前在实际运用中电子病历出现了几个典型的问题，而这些问题相比较以前基 本有所解决。以下仅对结构化的情况进行分析。其他的解决方法各个公司情况基本 相同。 1 4 1 结构化 电子病历在是否结构化与半结构化曾展开过激烈的讨论；电子病历不仅包括现 有的文本病历的内容，而且还包括了来自所有与临床相关的系统的信息，现有的病 历中大概将近一半来自其它系统的信息，电子病历中这个比例将扩大，这一部分信 息由于来自其它系统，大多已经结构化了，所以关键在系统间的集成和整合，在信 息的标准化；另一部分是由医护人员输入的文本内容，文本内容的结构化的难点体 现在多个方面，况且病历格式多种多样，传统病案设计上存在缺陷【1 6 】。 3 硕士学位论文 m a s t e r st h e s i s 目前国内产品在结构化电子病历方面，国内已有的电子病历系统基本上作为于自 封闭的系统的子系统存在其安全性和真实性无法由使用系统的s ，医疗机构自我 证明【1 7 】。这里介绍一个安全可靠的第三方电子病历系统模型，现有的电子病历安全 体系以一个基于第三方的c p r 模型为例，其由三个主体构成，即提供c p r 系统的 独立第三方认证机构( c e r t i 丘c a t ea l i 山谢戗c a ) 、c p r 提交医院与所属患者，应用 m e t 网络技术，就可以建立一种基于中心c p r 数据库的c p r 应用系统模型， 其基于i n t i e r i 蛾的第三方交易流程可以描述为： ( 1 ) 病人向第三方机构c a 申请个人c p r 为其分配唯一的c p r 标识码并办理 存储个人信息的i c 卡。 ( 2 ) 医院和医务人员向第三方机构c a 申请使用证书，第三方授予其使用证书 并注册登记该医务人员所在责任医院，系统确保持有证书的医务人员才能登录进入 第三方c p r 系统作业。 ( 3 ) 病人持卡到医院就诊持有证书的医务人员刷卡进入该病人的c p r 系统。 医务人员可从中心数据库中查询该病人历史病历信息，也可根据病人病情增添病历 记录，并在该记录提交之前可修改、提交之后可作废。系统需确保病人就诊完成之 后，医务人员无权增、删、改病历的任何记录。 ( 4 ) 病人本人可通过蛐i e n l e t 网络，查询自己的c p r 记录等。显然，上述体系 结构中，c p r 数据必须通过网络全部存储于中心服务器，对于多媒体c p r 数据而言， 一个市级中心服务器每天接收到的数据可能高达t b 数量级，这对于网络带宽和 服务器存储容量都是无法承受的。而如果只接收文本c p r 信息，则医学影像数据等 信息则无法进行认证【1 8 j 。 比较突出的厂商是南京海泰、仰德思特，安博维，广州陆总等，这几个公司的 产品均提出了一些独特的功能，特别是在文本病历的输入上，但也存在问题，主要 体现在：一、文本内容并不是完全结构化的，屈从于为加快病历输入采用了半结构 化，甚至使用大段文字的复制粘贴，这样的信息无法为下一步实现临床决策支持提 供内容支持，二、与相关系统的集成不足1 1 9 1 。特别是前一点，将不能为下一步电子 病历的高级应用打下基础，即使实现电子病历，今后的信息也无法充分利用。 1 4 2 存储形式 电子病历的存储格式也引起行业内极大的争论，目前的存储格式就有舭、 二进制流、大文本字段、结构化存储等【2 0 j 。最有效的是以) 嘶l 文件保存，病历的 数据元素来源于h i s 数据库，在病历完成后病历就以订l 格式保存，包括其表现 4 形式。 1 4 3 安全及法律效力 电子病历的复制引发的问题；电子病历的痕迹保留问题；电子病历质控问题； 电子病历的打印问题；电子病历法律效力的问题。 1 5 论文的主要工作和组织结构 本文主要是在对作者导师的关于透明版权原子技术研究的基础上，结合对我国 的电子病历的研究、应用现状的充分调查、分析，提出了一种基于该技术的扩展的 电子病历系统安全控制体系的模型框架。并从信息完整性，保密性，抗抵赖性等安 全角度给出了严密完整的分析论证，最后针对r 这个安全体系，给出了电子病历系统 的这部分安全机制的实现方法。 第一章首先介绍了论文的研究背景和研究目的，论述了电子病历的应用情景和 意义。然后对国内外关于电子病历的现状做了简要的综述。最后说明了本文的主要 工作以及本论文的组织结构； 第二章根据相关文献，详细介绍了透明版权原子技术原理的基本概念、主要功 能和主要的安全技术，以及一个典型的安全分发系统系统的组成和工作流程； 第三章提出了一个基于扩展的透明版权原子技术的电子病历安全体系模型框 架，并做了详细介绍及简要分析； 第四章对以上的的安全模型框架的安全机制分类进行了详细的分析； 第五章对该安全模型框架的安全机制给出了实现方法； 第六章对本文进行了总结并对今后的工作进行了展望。 5 第二章透明的版权原子理论概述 2 1 数字权利管理的概念 数字权利管理( d i g i t a lr i g h t sm a n a g e m e n t ，简称d r m ) 概念的提出最早出 现在2 0 世纪9 0 年代中期，当时主要的技术是i n t e r t r u s t 的d i g i b o x 跚1 和i 删的 c r y p t 0 1 0 p e 嘲技术，以及后来国内笔者导师庄超博士提出的基于权能内核的内容控 制双重认证通道访问控制机制。d 蹦定义是指对数字作品在网络中创建、传播和使 用流程中所涉及的各方权利进行定义描述、保护和监控的整体机制。其初始目标是 运用技术手段遏制盗版，保护数字作品的知识产权，保证数字作品市场交易渠道的 畅通，保障作者、出版商、分销商的利益和用户的合法使用权利，从而求得各方利 益的实现与平衡，促进数字作品出版发行业的繁荣，现在也用于电子病历的隐私保 护。 2 2 数字权利管理的研究现状 目前国内外对d r m 的研究主要集中在三个领域：法律界主要研究如何通过法 律手段来保护数字产品的使用权利：计算机领域则主要研究d 脚的技术问题；图 书情报领域主要研究d r m 在实际中的应用问题，其中大部分集中在数字图书馆的 应用上。 d 跚的模式分两种，一种是强加密的版权保护模式嘲，另一种是弱加密的版权 保护模式。强加密的d 瑚模式主要利用网络安全和加密认证等方法来解决非法复 制问题，目标是将数字内容的发布锁定和限制在合法用户的范围内，国i n t e r t r u s t 公司的d i g i b o x 和i b m 的c r y p t 0 1 0 p e 技术以及在国内，1 9 9 9 年由中科院计算技 术研究所庄超博士提出的基于s k c c 体系结构的d 跚授权分发模型洲正是基于 这种模式。弱加密的版权保护模式则包括了定义、描述、认证、交易保护、监控 和跟踪记录数字作品发布流程中的各种权利和使用形式，其中也包括对流程各参与 方之间关系的管理，用来维系作者、出版方、发行方、用户等数字作品分发各方所 组成生态系统的平衡。 目前国外大多数d r m 解决方案基于这种模式思想，如著名的微软m i c r o s o f t 的m e d i ad r m 嘲、c o n t e n t g u a r d 公司的x r m l 蚓技术、m p e g 的m p e g - 2 1r e l 冽解 决方案等，以及在国内，笔者的导师庄超博士所提出的透明版权原子、互联网图书 6 顾士学位论文 m a s t e r st h e s i s 技术生态系统安全技术框架、版权银行等专利和学术论文也是基于这种模式。本文 的研究也是基于这种权利管理模式，使得电子病历生态系统各个人和物的角色取得 共生，达到生态平衡。 2 3 数字权利管理的技术体系 d l u 需要各种相关技术的支持，我们用图2 1 来表示： 唯一标志符 信息格式l 元数据 加密技术l 数字签名l数字水印 权利描述语言l权利传递机制 安全封装l安全存储i安全支付i安全通信 数字证书i身份认证l 使用控制l 使用审计报告 图2 一ld 麟的总体框架 1 ，唯一标识符技术解决在网络环境下唯一、持久地确认数字信息产品的问题； 2 ，信息格式技术通过开放格式( 如沮，、p d f 、卵e g 、m p e g 、c s s 、x s l 、 p n g 及基于咀。的o e b ) 支持多种信息内容形态的表示、交换和解析； 3 ，元数据支持对数字信息产品内容的定义和描述； 4 ，加密技术( 包括对称密钥和非对称密钥技术) 、数字签名和数字水印技术支持 对数字信息产品的加密、校验和来源认证；其中，加密技术是数字内容保护的基础， 一般使用对称密钥技术对实际信息内容加密，使用非对称密钥( 公钥私钥) 技术来传 递对称密钥( 作为解密密钥) 并对有关数字摘要、数字证书或许可证等加密。数字水 印( d i g i t a l 嗽m m 血g ) 技术是信息隐藏术1 2 8 1 ( s t e g a n 0 鲫h y ) 的一个分支，通常是隐 蔽地将特定信息( 例如版权信息、出版者身份、出版物唯一标识符、甚至元数据或权 限控制信息) 嵌入到公开数字内容中，可通过特别软件或硬件析取、识别和显现，从 而鉴别出版物原始作者或提取其它控制信息。 5 ，权限描述语言【2 9 】和权限传递机制负责对数字信息交易使用过程涉及的复杂 对象的复杂权利进行定义、描述、以计算机可识别方式标记、传递并检验，这是本 文的重点： 7 硕士学位论文 m a s t e r st h e s i s 6 ，安全封装技术负责将多个数字信息对象及元数据封装在单一文件内以便传 递，有时甚至封装到特定物理载体上( 例如智能卡、光盘、存储卡等) ，封装过程可 能涉及压缩和加密处理； 7 ，安全通信、支付和存储技术利用s s l 和s e t 等技术保障数字信息产品的 可靠交易、安全传递和可靠存储； 8 ，数字证书及身份认证技术通过x 5 0 9 数字证书和p 认证体系来确立准 入控制、验证双方身份、保障交易或传递的不可抵赖性和可审计性，建立交易与利 用各方的信任体系刚； 9 ，使用控制与审计技术则在身份验证和权益规定的基础上实施交易或利用授 权，并统计报告交易或使用情况。这些技术经过一定集成形成相对完整的技术机制， 并在相关法律、管理、审计、教育措施支持下实施数字权限管理。 2 4电子病历安全管理的生态系统 基于弱加密版权保护模式的d r m 系统在网络出版应用中，其核心理念是维系 作者、出版方、发行方、分销商、消费者等数字作品分发各方所组成生态系统的平 衡，同样在对于电子病历保护也存在这样一个生态系统。我们从人、物和环境三 个方面来考虑电子病历d r m 技术生态系统。参考第2 2 章中的d i u m 总体框架， 在我们设想的技术生态系统中涉及经济、法律和技术等多方面的因素，对于在网络 上的电子病历产品分发过程，如果不是按照一个完整的技术生态链来考虑多方利益 平衡和多方安全，则总有一方的利益在技术生态链上无法保证。 图2 - 2 电子病历的生态系统 8 2 5d r m 透明版权原子系统安全性要求 身份认证：包括服务方对客户进行的身份认证和客户对服务方进行的认证。 内容的安全传输：防止被攻击者中途窃取。 内容认证：对数字作品的认证，防止被篡改伪造。 内容的受控使用：用户只能进行授权许可范围内的行为，防止内容被非法复制、 打印等。 不同的安全级别：对不同的要求和环境采用不同安全级别。 隐私性：尽量确保用户权利使用行为和信息隐私性。 2 6 典型的d r m 透明版权原子系统组成 尽管d 跚系统所侧重的保护对象以及所采用的技术方面都不尽相同，但是他 们的核心思想却大致相同，基本上都是通过使用数字许可证来保护数字内容的版 权。用户得到数字内容后，必须获得相应的数字许可证才可以使用该内容。 透明的版权原子是面向可内容监控的加密内容容器，这是通过可归档的文件 格式( 如z i p 、c a r 格式) 聚集各部分数字内容。这是整个数字版权系统的中心。透 明的版权原子将以前封闭的版权原子同时变得透明，并可以通过内容监控服务器， 通过支持向量机技术，对于随机抽取的数字图书中的文本页面或者图像的类别进行 归类。我们可以根据先设定敏感领域的内容类型特征进行归类并审核判断。 一个典型的d r m 透明版权原子系统至少由三部分组成：内容服务器、许可证 服务器、内容监控服务器和客户端，如图2 3 所示。 图2 3典型的透明舨权原子体系结构 9 硕士学位论文 m a s t e r st h e s i s 在这个典型的d r m 系统组成中涉及两个概念； ( 1 ) 数字内容包：包含原始信息内容和描述内容的元数据，以加密形式存在； ( 2 ) 许可证书：包括打开某个“数字内容包”所需的密钥和使用其中内容的相 应权限，证书内容也需加密。 内容服务器通常包括存储数字内容的内容仓库、存储产品信息的产品信息库和 对数字内容进行安全处理的d 慢u 讧打包工具。该模块主要实现对数字内容的加密、 插入数字水印等处理，并将处理结果和内容标识元数据等信息一起打包成可以安全 分发销售的数字内容。另外一个重要功能就是创建数字内容的使用权利。数字内容 密钥和使用权利信息发送给许可证服务器。 许可证服务器包含权利数据库、内容密钥库、用户身份标识库和d r m 许可证 生成器，经常由一个可信的第三方清算中心负责。该模块主要用来生成并分发 数字许可证，还可以实现用户身份认证等安全事务。数字许可证是一个包含数字内 容使用权利( 包括使用权限、使用次数、使用期限和使用条件等) 、许可证颁发者 及其拥有者信息的计算机文件，用来描述数字内容授权信息，由权利描述语言描述。 大多数d r m 系统中，数字内容本身经过加密处理。因此，数字许可证通常还包括 数字内容解密密钥等信息。 2 7 本章小结 由于本文讨论的是基于d i u m 的透明版权原子技术的电子病历安全机制，因此 在这一章我们对d r m 的相关概念、主要保护技术、基于d r m 的透明版权原子技 术系统的主要组成以及一般的工作流程做了简要的介绍。 1 0 硕士学位论文 m a s t e r st h e s i s 第三章扩展的基于d 跚透明版权原子技术的电子病历系统 电子病历的优点是传统纸质病历无法比拟的，但目前其安全性问题也亟待解决， 原因在于电子病历文档易于复制，而且复制后不留任何痕迹，容易造成敏感信息特 别是个人隐私信息的泄密，给病人的信息安全带来严重的威胁，有可能损害个人的 隐私权利，对于电子病历文档安全，需要解决两方面的问题：一是防范未经授权的用 户对电子文档的非法获取和使用：二是防范合法用户非法复制和传播电子文档，造 成的敏感个人信息泄密。传统的信息安全技术大都是针对前者的，它们主要依靠用 户口令来识别系统用户身份，依靠用户的访问控制列表o 妃l ) 来控制用户对不同资 源的访问权限。这种安全保护机制不仅安全性低，管理员必须花费大量的精力来维 护这些a c l 表及对应数据，而且很难证明病历数据内容的真实性、记录入的身份， 保证数据在传输过程中的保密性，根本不能防范合法用户非法复制和传播电子文 档。数字权利管理d i 己m ( d i 酉t a lm 曲皓m 锄椰e n t ) 技术是近年来发展起来的一种新 的信息安全技术，通过借鉴数字产品版权管理和防复制技术d r m c 透明版权原子机 制可实现对数字内容的保护，维护版权人的合法权益。下面我们就引入基于带内容 监控的数字权利管理技术( d i u c ) 机制的网络数字权利管理系统，并加以扩展将 它应用在电子病历的使用上。 3 1 框架模型介绍 根据前面介绍的技术需求，我们设计的电子病历安全传递系统的基本需求是不 同角色的用户( 医务工作者或患者) 需要通过互联网得到需要的电子病历，内容提 供者采用内容服务器和许可证服务器提供相关的服务。而相关的审查机构提供对内 容的责任性的相关数字化检查。我们知道，在对于内容责任性要求较高的医疗领域， 对于内容的即时审核就显得非常必要。 如果数字化检查没有通过，内容提供者也不能提供授权。整个过程是在网络上 进行。在这个机制里面主要包括以下几个方面： 1 ) 电子病历的防复制的传递：电子病历到用户的手上，用户不能非法的复制。 2 ) 电子病历的受限使用，其使用受到固定的时间的限制。 3 ) 在用户向服务器请求了使用病历的权利之后，内容提供者以许可证的形式发放 给用户。 4 ) 用户可以下载加密的许可证，并将其存放在机器之上。 硕士学位论文 m a s t e r st h e s l s 5 ) 在客户方的电子病历被第三方的内容监控服务器检测内容的责任性，完整性。 如图1 ，我们给出了带内容监控的电子病历权利管理模型。在电子病历的计算模 型建立在互联网网络环境之上，在这个模型之中，首先医师通过上传病历模块将电 子病历加密打包，由内容监控服务器自动审核电子病历的合法性和责任性，同时打包 服务器还把生成加密密钥的两个种子分别用内容服务器和许可证服务器的公钥加密 后发送给它们；审核内容后，发送消息通知客户端相关医师并将加密的数据包传到 w r e b 服务器上；而对于普通用户则将加密电子病历的数据包在w 曲浏览时直接下载， 同时也还需要去网络的许可证服务器取得解开电子病历内容容器的许可证；在获得 了电子病历内容容器的许可证之后，电子病历才可以在可信浏览设备上按照权利要 求阅读、打印、编辑、转换用户权利；用户在打开电子病历进行初次预备查看的时 候，需要和许可证服务器通过网络联系，主要是用户将其权利要求传送给网络许可 证服务器，许可证服务器及时发送许可证给用户。用户需要去网络的许可证服务器 取得解开电子病历内容容器的含内容的解密的密钥的许可证，这里密钥管理措施是 将用户设备数据包g 与许可证数据包异或加密，再将运算结果由许可证服务器传给 用户，用户在硬盘上保留这个异或结果。 可信电子病历前端设 备b 打包服务器( 上 传电子病历模 块) c 许篡服b务器卜卜o h 电子病历内 容服务器 p d 内容监控 服务器 x 5 0 9 证 书公钥 基础设 施 f 图3 1 带内容监控的电子病历数字权利管理系统整体框架 内容监控服务器自动审核医师通过前端授权终端的上传模块发送的电子病 历数据包p 及内容摘要包d 时，从电子病历内容文摘中随机抽取页面，逐页处 1 2 薪 引湖赭端墨瑚或户 理电子病历页面中内容，抽取页面中内容对象与表示错误内容的敏感词串库与 敏感图片库通过支持向量机技术进行内容审核比较，如果有不合理内容发消息 包f 给相关责任医师处理，这是事前审核监控；还可以定期如一个月对当月新 增的病历进行检查评比，通过抽取每个病历文件的内容摘要包d 对其质量进行 评估，并将消息包f 发送本院或上级卫生行政监督部门，这是事后监控。鉴于 医疗系统对责任性的要求很高，这部分功能可以适当加强，如可通过建立知识 库，对监控实行智能化处理，以知识表示的形式对结果进行界面很友好的提示。 我们设计的互联网上带内容监控的网络电子病历的安全框架( 见图1 ) 包括： 客户方采用可信电子病历阅读设备个人计算机、或移动计算设备；服务器方提供内 容的内容服务器计算机( 包含w e b 服务器和信息服务器) ，发布许可证的许可证服务 器计算机和提供内容审核的内容监控服务器计算机；面向用户的公钥基础设施服务 器c a 服务器；电子病历压缩包p ：用户数据包a ；许可证数据包b ；内容容器包 c ( 格式见图2 ) ；内容摘要包d ( 格式见图3 ) ；请求查询消息包e ；审核消息包f ； 用户设备数据包g ；内容密钥包h ；许可证服务器公钥证书和时间戳数据包i ；用 硕士学位论文 m a s t e r st h e s l s 户的公钥证书j 及联系上述各部份的因特网，其电子病历内容容器包加密放到内容 服务器计算机w e b 服务器用户向许可证服务器注册；用户向许可证服务器传送用 户数据包申请许可证，下载内容或浏览本地内容目录；许可证服务器对用户的身份 认证；再生成许可证数据包，发给合法的用户，激活可信阅读设备上的内容浏览程 序，按照许可证上的权利要求使用电子病历。 图3 - 3内容摘要包的结构 客户方程序采用在可信阅读设备上添加有许可证认证协议模块，用户端主控模 块，硬件参数及用户信息接口模块，电子病历内容浏览模块，电子病历内容上传模 块，权利处理模块，许可证管理模块。 打包服务器主要生成基于加密的内容容器包，内容容器之中保护电子病历，处 理内容加密的基本函数库，实现d e s 、a e s 、d e a 对称密钥加密算法加密电子病 历内容处理模块；存放对称密钥的密钥文件库；按照内容容器格式的要求生成内容 容器的内容容器生成工具模块；从证书c a 服务器取得许可证服务器和内容服务器 的公钥证书，分别用这些公钥加密对称密钥k 的密钥种子并分别传送到相应的服务 器。 内容服务器的内容容器存放在内容服务器w 曲服务器；其上设有生成的内容容 器总控程序；执行内容要求处理和相关约束条件处理的内容约束条件库；访问和检 1 4 索已有的内容容器文件的存储处理模块，存放加密电子病历内容容器包，形成内容 种子密钥包h 传送给许可证服务器，并提供对用户的信息服务。 许可证服务器计算机上设有实现用户身份认证协议或内容认证协议模块的开 发的认证协议模块；协议处理及其所有权服务控制的服务器控制模块；实现许可证 的管理和存放的权限管理模块；许可证统计模块；生成许可证的许可证生成模块；密 钥存放和管理的密钥管理模块；用户信息模块。并附加上权利描述，形成许可证数 据包，将许可证数据包与用户设备数据包异或运算之后的结果传送给用户。 内容监控服务器计算机设有接受客户方电子病历内容文摘的通信模块，电子病 历内容文摘分析模块。 面向出版的) ( 5 0 9 证书公钥基础设旌服务器c a 服务器是树状信任层次的目 录服务器。证书采用x 5 0 9 公钥证书格式，一c a 服务器为用户可信电子病历浏览设 备终端，许可证服务器以及内容服务器提供公钥证书。其上设有的证书类型包括如 下3 种证书类型：打包服务器公钥证书：打包服务器名、打包服务器的公钥、其 它项目和用c a 的私钥对其公钥的签名的公钥证书；内容服务器的公钥证书：内容 服务器的名称、内容服务器的公开密钥、其它项目和用c a 的私钥对此公钥签名的 内容服务器的公钥证书；许可证服务器的公钥证书：名称、许可证服务器的公开 密钥、其它项目和用c a 的私钥对此公钥签名许可证服务器的公开密钥证书。d r m 终端的公钥证书则是由打包服务器发放的，因为该安全框架系统中只允许打包服务 器和合法的d r m 终端才能拥有内容包的解密密钥，只有这样打包服务器才能更好 更方便的验证d r m 终端的合法身份。 3 2 模型系统安全协议机制分析说明 我们用符号表示该框架的d r m c 安全协议和处理过程： d c ：可信客户 p s ：打包服务器 d s ：内容服务器 m s ：内容监控服务器 l s ：许可证服务器 用户数据包a ：是可