区域医疗平台电子认证解决方案

区域医疗信息平台

电子认证安全应用处理方案

BJCAI北京数字证书认证中心

BEIJINGCERTIFICATEAUTHORITY

二O二四年十二月

目录

1.背景.................................................

2.需求分析............................................

3.总体方案............................................

3.1.设计思绪.......................................

3.2.建设方案.......................................

3.3.数字证书发放与管理系统.......................

3.3.1.服务模式.....................................

3.3.2.数字证书形态及介质.........................

3.3.3.服务内容.....................................

3.3.4.数字证书运行服务方案.......................

3.4.电子认证应用系统..............................

3.4.1.PKI应用中间件软件..........................

3.4.2.数字著名验证服务器.........................

3.4.3.电子认证应用系统产品提议..................

3.5.时间戳服务器...................................

3.5.1.建设模式.....................................

3.5.2.时间戳服务器................................

3.6.电子签章系统...................................

3.6.1.建设模式.....................................

3.6.2.电子签章系统.............................

3.7.电子著名实现方案..............................................

3.7.1.卫生部关于电子病历署名要求..............

3.7.2.医生客户端中电子著名....................

3.7.3.申请单中电子署名.........................

3.7.4.病历'归档中电子署名.......................

3.7.5.电子病历系统(EMR)电子著名实现........

3.7.6.医嘱系统电子著名实现....................

3.7.7.门急诊HIS系统电子著名实现..............

3.7.8.试验室系统(LIS)电子著名实现.........

3.7.9.影像系统(PACS)电子著名实现..........

3.7.10.健康体检系统(PEIS)电子署名实现......

4.方案应用效果及优势..........................

5.医疗卫生领域成功案例集......................

6.系统软硬件清单及报价........................

要现实利血。

2.需求分析

依照对各区区域医疗信息平台实际调研情况，分析得出各区区域

医疗信息平台主要存在以下安全需求：

1、方便快捷数字证书发放与管理

区域医疗信息平台所面临安全威胁，需要使用到数字证书，包括

到数字证书申请、发放、更新、吊销等操作，医院业务特殊性和连续

性，决定了卫生系统中数字证书使用需要对数字证书生命周期管理工

作提供便捷化支持，即在判别用户真实身份后，即可快速提供证书申

请、证书下载、证书更新、证书吊销和在线解锁等服务。

2、确保医护人员登录区域医疗信息系统身份可靠性

区域医疗信息平台包括医疗机构、公共卫生机构及行政机构等，

平台用户类型多样，包含区域医疗机构、卫生行政部门、患者多类用

户，传统“用户名+口令码”弱认证方式弊端逐步凸显，很轻易造成

内部主要医疗数据外泄，甚至造成医院信息系统遭受破坏性攻击。所

以，确保业务参加各方身份真实可靠，建立高安全性身份验证机制是

确保区域医疗信息平台安全应用关键。

3、确保电子化诊疗数据生成过程中真实性和完整性

真实性主要表现在实时性和不可篡改性，也就是能够实时统计从

各种临床信息系统采集来诊疗信息和医护人员统计主客观信息，应具

备符合《电了署名法》要求数字署名，统计内容应具备防篡改功效和

不可抵赖性，即使因某种原因需要修改，应详细统计修改人和修改时

间。所以，建立医疗数据完整性保护机制，使用技术伎俩确保医疗数

据在电子病历等业务系统中产生、存放、再利用整个生命周期过程完

整、准确。

4、实现图形化、可视化电子签章功效

在现实医疗业务处理中，各医疗机构在处理医疗业务时均采取署

名或加盖印章方式来确保纸质病历信息有效性。而在区域医疗信息平

台中，一样需要医护人员产生电子署名数据具备图形化、可视化效果,

并能够对电子签章有效性进行验证。这么愈加符合人们日常操作习

惯，愈加轻易被用户接收和认可。

5、确保电子病历内容和时间法律效力

现在，很多医院和患者都对电子病历持审慎怀疑态度，关键问题

是纠结于电子病历法律效力.一日发生医患纠纷闹上法庭.都担心电

子病历不能成为呈堂证供而败诉。所以，电子病历内容和时间正当性

己经成为制约电子病历发展主要原因，有必要从法律角度出发，依靠

现有技术伎俩确保电子病历内容和时间法律效力。

3.总体方案

3.1.设计思绪

本方案以卫生部相关法律法规为依据丁围绕各区域医疗信息平台

实际安全需求，提供一整套基于电子认证服务和电子署名处理方案，

经过数字证书、电子认证应用系统、时间戳服务器和电子签章系统为

关键产品，提供身份认证、数字著名、数据加密、时间戳、电子签章

服务，从“可信身份、可信行为、可信数据、可信时间”四个范围搭

建各区可信区域医疗信息平台，从而真正实现区域医疗信息平台可信

业务环境建设需求。

用户区域医疗信息平台

护士临床医生

药剂师I管理人员

数字证书服务露辑电子签章系统时间戳服务器

CA应用服务和产品

心痴I荷藏［电子认证服务基础实施数字证书服务管理系统

图表1区域医疗信息平台电子认证实现模型

（1）可信身份服务为区域医疗信息平台处理行为人身份凭证及

凭证认证问题。区域医疗信息平台经过接入第三方数字证书服务，布

署数字证书受理点，为医生、护士、药剂师、系统管理员等医院工作

者发放数字证书身份凭证；医护人员使用数字证书登录区域医疗信息

平台，区域医疗信息平台经过电子署名客户端，实现强身份认证。

（2）可信行为服务为区域医疗信息平台处理医疗行为可追溯问

题。医生在电子病历等区域医疗信息平台系统中所进行关键操作，经

过电子签章系统完成数字署名可视化服务。

（3）可信数据服务为区域医疗信息平台处理医疗数据可信化、

正当化问题。经过在区域医疗信息平台集成电子认证应用系统，实现

处方、医嘱、病程统计等关键医疗数据可信化转换，使之符合《电子

署名法》对可信数据电文要求。

（4）可信时间服务为区域医疗信息平台处理医疗行为时间准确

性和真实性问题。区域医疗信息平台系统保留医疗数据，需要加盖可

信时间戳，确保此操作统计时间可靠性。

3.2.建设方案

针对各区域医疗信息平台，建设面向辖区统一数字证书发放与管

理系统、电子认证系统、时间戳服务器以及电子签章系统，为辖区区

域医疗机构提供证书认证、数据加密、时间戳、电子签章等服务，其

总体框图以下所表示:

电子认证服务基础设施

图表2区域医疗信息平台总体框图

1、建设数字证书发放与管理系统

为方便区域医疗信息平台用户数字证书申请、发放和后期服务，

需在区域医疗信息平台设置数字证书发放与管理系统。数字证书管理

员使用数字证书发放与管理系统对区域医疗机构医护人员提供数字

证书发放与管理。

2、利用电子认证应用系统实现安全登录、数字署名和署名验证

电子认证应用系统主要为区域医疗信息平台提供数字署名及验

证服务，经过在区域医疗信息平台中集成电子认证应用系统，实现用

户登录应用系统身份真实性认证、敏感信息加密、数字署名/署名验

证等功效，实现主要医疗业务步骤署名和验证，确保数据完整性和隐

私保护。

3、利用时间戳服务器和标按时间源设备实现区域医疗信息平台

信息系统时间同时和可信时间应用

经过布署标按时间源设备，确保区域医疗信息平台获取权威、统

一、精准时间信息，为实现医疗数据时间认证需求奠定坚实基础。经

过集成时间戳服务器，为诊疗数据提供可信时间戳服务。

4、利用电子签章系统实现对各类电子文档可视化签章

经过在电子病历等区域医疗信息系统中集成电子签章系统，可实

现电子署名可视化显示,满足了电子病历规范所要求“医务人员采取

身份标识登录电子病历系统完成各项统计等操作并予确认后，系统应

该显示医务人员电子署名二

3.3.数字证书发放与管理系统

3.3.1.服务模式

为确保数字证书服务及时可达和实现自主化管理，经过在各区建

设证书发放与管理系统，指定证书管理员来为内部工作人员发放数字

证书，同时为区域医疗信息平台提供一整套服务平台，从而使区域医

疗平具备证书自助管理能力。

经过证书受理点进行证书发放流程以下：

(1)在区域医疗信息平台建设数字证书发放与管理系统，用户

经过数字证书发放与管理系统办理数字证书；

(2)证书管理员需要搜集用户信息和判别用户身份，将证书申

请请求提交到数字证书发放与管理系统；

(3)CA系统签发证书，由数字证书发放与管理系统证书管理员

负责灌制到证书介质中，并发放给最终用户。

3.3.2,数字证书形态及介质

1.证书形态

数字证书具备完善产品形态，产品包含以下几个方面:

•产品包装：便于运输邮件产品包装盒和使用说明书;

•安装光盘：包含证书管理软件以及介质驱动安装文件;

•刮刮卡：存放证书介质初始密码；

•证书介质：存放证书信息等，包含USBKEY、SDKey、IC卡等

介质。

产品包装安装光盘刮刮卡证书介质

图表3数字证书形态

2.证书介质

依照国家相关安全要求，为确确保书安全性及用户使用便利性,

数字证书应采取智能化硬件证书介质，它具备以下优点:

•安全强度高：自带密码专用芯片，全部运算操作都在硬件介质

内部进行；

•防拷贝：密钥在外部环境无法读取和进行拷贝；

・自动锁定：当输入PIN错误次数抵达指定次数，硬件介质将被

锁定，只有被解锁后才能重新使用：

•使用方便：形状小巧，携带方便，操作简单。

依照医生工作站终端设备不一样配置，可提供两类证书介质，分

别为USBKey、卡证书（射频卡或智能IC卡）。

3.3.3,服务内容

3.3.3.1.数字证书生命周期服务

设置在区域医疗信息平台数字证书发放与管理系统提供数字证

查询等。

图表4数字证书生命周期服务

详细以下:

•证书申请：证书申请者到数字证书发放与管理系统申请证书，

由数字证书发放与管理系统工作人员代用户录入用户信息。由数字证

书发放与管理系统工作人员依照证书申请用户所提供证实材料，对用

户身份进行审核，并为经过审核用户签发证书。

•证书更新：证书使用期通常为一年，当用户证书到期后，需要

进行更新操作。支持提供在线更新和离线更新两种模式。离线方式下,

用户可到数字证书发放与管理系统进行办理，由证书管理员在进行身

份审核后进行用户证书更新操作。在线模式下，用户可持旧证书进行

自行登录数字证书发放与管理系统，由系统确认该证书更新权限后，

自动签发新证书并下载到用户介质中，从而实现简便高效自助式证书

更新。

•证书吊销：因为密钥遗失、人员变动或其它原因，在证书用户

提出申请后，证书管理员能够废除该指定用户证书，并经过数字证书

发放与管理系统进行作废证书列表公布，使得该证书不能再次使用。

•证书查询：可依照证书序列号、证书持有些人、证书状态、证

书类型、办理时期等查询条件，准确查询处于生命周期各个阶段数字

证书，及其持有些人详细信息。

3.3.3.2.数字证书管理

数字证书发放与管理系统管理员经过使用数字证书登录证书

管理模块，实现本区域内用户证书业务管理。'Ik务管理包含管理员

管理、证书统计、查询、报表等功效：

(1)管理员管理：实现证书发放操作人员管理，包含增加、删

除、查询，设置操作权限等等；

(2)证书统计功效：提供系统在某段时期内总共签发或注销证

书数量统计服务，管理员只要输入统计起始日期、统计截止日期、待

统计证书类型、待统计证书状态等条件，即可查询出符合要求结果，

并对结果进行汇合统计。

(3)报表功效：系统就会提供文字和图表统计结果，并能够将

统计查询结果打印输出或以义件形式保留。

3.3.4.数字证书运行服务方案

3.3.4.1.证书申请与发放

用户数字证书发放采取集中制作发放模式，即在各区设证书服务

点(也可在各医院分别设证书服务点)，由各区证书管理员搜集、整

理和审查用户证书申请信息真实可靠后，由各区证书管理员集中制作

数字证书后分发到用户手中。

证书发放流程以下列图所表示:

〈2：提交申请

I信息制

作证书

申请电子义竹

(指电子签名)L

二工一匚”J正书管鳏

医院管羲B___________

证书用户

匕。。证书用户

图表5数字证书申请发放流程图

证书申请发放流程描述以下：

(1)各医院管理员搜集用户信息并鉴证申请资料真实性；

(2)各区证书管理员登录数字证书发放与管理系统提交证书申

请信息，为用户制作数字证书；

(3)各区证书管理员将带有数字证书USBKEY转交给各医院管

理员；

(4)各医院管理员将USBKEY数字证书分发给用户使用。

3.3.4.2.证书更新

证书使用期通常为一年，当用户证书到期后，需要进行更新操作。

经过数字证书发放与管理系统，支持用户经过网络自助更新数字证

书，即用户使用旧证书登录呢b自助服务更新页面，数字署名证书发

起更新请求，证书自动更新。用户自主更新数字证书流程以下列图所

表不：

数

字

证

书

薪

与

管

理

系

统

图表6用户自助更新数字证书流程图

证书更新详细流程以下：

(1)证书用户使用旧证书登录数字证书发放与管理系统；

(2)系统验证IE证书有效性，确认已收费，授予该用户具备证书

更新权限；

(3)用户进行新证书下载，完成更新业务。

3.3.4.3.证书解锁

USBKey是存放数字证书物理载体，证书使用者在使用数字证书

时需要输入USBKey保护口令，即证书口令。当使用者连续10次(实

际情况可能有所不一样)输入错误口令时，USBKey会自动锁死，无

法使用，此时需要将USBKey进行解锁。

各区证书管理员经过数字证书发放与管理系统，支持用户在线自

助进行USBKEY介质解锁，即用户登录％b自助服务解锁页面，解答

系统问询私密问题，系统经过电子邮件/短信发送解锁授权码，用户

输入授权码解锁。解锁流程以下列图所表示:

图表7USBKEY解锁流程图

详细流程以下：

(1)证书用户登录数字证书发放与管理系统，提出USBKey解锁请

求；

(2)各区证书管理业务人员确认USBKey持有些人身份，给予用

户解锁授权码；

⑶证书用户登录证书解锁页面，输入授权码，完成USBKey解锁。

3.3.4.4.证书吊销

因为密钥遗失、人员变动或其它原因，证书不能再继续使用需要

吊销证书，数字证书吊销支持以下两种模式：

a)用户在线吊销：用户登录Web自助服务输入想吊销证书信息，

各区证书管理员鉴证用户身份，系统吊销证书，公布CRL。

b)管理员吊销：管理员在系统中吊销证书，公布CRL。

证书吊销发起人能够是授权证书管理员，也能够是证书持有者本

身。授权证书管理员能够使用自己管理员证书，直接向CA提出吊销

其管辖范围内证书；证书持有者能够经过提交鉴证材料•，证实其证书

持有些人身份后，提交证书吊销申请。数字证书吊销流程以下列图所

表示：

图表8数字证书吊销流程图

证书吊销详细流程以下：

(1)证书管理员能够经过在线或离线方式提交证书吊销请求，或

者证书用户也能够经过在线方式直接提交证书吊销请求；

(2)系统判别证书吊销人身份；

(3)公布证书撤消列表(CRL),并将CRL公布到相关应用系统；

(4)被吊销证书无法再访问应用系统。

3.3.4.5.证书补办

在证书使用期内，证书使用者信息发生变更，证书介质发生损坏

或者证书文件损坏需要为用户进行证书重新签发。各区证书管理员经

过数字证书发放与管理系统，支持用户在线自助重签发数字证书，即

用户向各区提出重签发请求，各区证书用户寄送鉴证材料r管理员授

权，经过email/短信发送授权码，用户登录系统,输入授权码，下

载证书，同时系统吊销原证书。

3.4.电子认证应用系统

电子认证应用系统主要为区域医疗信息平台提供数据加解密、数

字署名及验证服务，经过在区域医疗信息平台中集成电子认证应用系

统，实现用户登录应用系统身份真实性认证、对敏感信息进行加密、

署名保护数字证书应用产品。

现在，电子认证应用系统有硬件级和软件级两种形态产品，分别

是PKI应用中间件软件和数字署名验证服务器，详细产品介绍以下：

3.4.1.PKI应用中间件软件

PKI应用中间件软件产品是一款利用X.509数字证书、数字信封、

数字署名等先进安全技术，由客户端组件和安全网关组件两部分组

成，分别为客户端和应用服务器提供安全赧务。客户端组件既能够内

嵌到Web页面或客户端软件中，也能够被专用Client程序调用，对

用户使用是透明；服务器端接口布署在应用服务器上，接收并处理由

客户端发送过来安全认证、数据加解密和署名验证等系列安全处理请

求，为应用系统提供安全保护。

3.4.1.1.系统功效

PKI应用中间件软件具备加密解密、数字著名、数字信封、时间

戳等安全功效，能够依照用户应用系统详细安全要求以单独或组合方

式进行系统整合。PKI应用中间件软件详细功效以下：

•加解密：采取对称和非对称加密解密算法，实现对敏感信息加

密操作，预防敏感信息被非法窃取。

・数字署名：为应用系统提供主要业务数据及关键操作行为数字

署名，应用系统经过这些数字署名统计，在发生纠纷时对数字署名进

行验证，真正实现主要业务数据和关键操作完整性和不可抵赖性；

・数字证书解析：对数字证书域进行解析，将解析后证书内容，

如证书序列号、用户身份证号码等相关信息提交应用系统供给用系统

使用；

•数字信封：提供数字信封加密机制，提升数据加密效率和加密

强度；

•密钥分割：采取门限算法，能够将加密密钥分割成若干份提供

给多人保管，当需要调取密钥时，依照预先约定密钥持有策略在多人

在场情况下将完成密钥重新组装得到原有监钥c

•服务端证书管理功效：在应用服务器上提供B/S方式证书管理

工具，用户能够使用该工具很方便配置和管理服务器证书。

3.4.1.2.应用方式

数字证书应用接口在PKCSS1KCSP等标准底层证书调用接口基

础上，进行组件级应用封装，设计成由证书控件和服务端组件两部分,

分别与浏览器和Weo服务器协同工作，确俣具备安全完备、使用透明、

性能高效特点：浏览器端采取客户端组件，服务器端详细调用形式为

基于对象安全证书组件，二者功效是对称，主要有验证证书、数字署

名、证书解析、数字信封、随机数、加解密等功效。

从结构上，该系统由证书控件和服务端组件两部分组成，分别与

浏览器和Web服务器协同工作，以下列图所表示：

图表9证书应用方式

证书应用接口客户端组件内嵌到Web页面或客户端软件中，当用

户浏览应用系统时自动下载并在浏览器中工作，用户使用是透明；服

务器端安全网关作为基于对象证书组件，配置于WEB服务器上，由应

用程序进行调用，保护Wob服务器应用信息。浏览器客户端组件和服

务端功效是对称，主要有验证证书、力口/解密、署名/验证、以及解析

证书等功效。

3.4.1.3.系统集成

1）数字署名与验证署名

在各区区域医疗信息平台中，实现数字署名集成工作流程以下列

图所表示：

客户端服务器端

图表io数字署名集成示意图

对需要电子署名页面集成工作以下：

1）在用户表单提交页面中加入脚本，经过调用证书控件，实现

对表单信息加密、署名和组包；（表单中可带有文件附件）

2）后台接收程序中调用对应证书组件接口，完成解密、验签等

操作；

3）在数据库中保留此次表单数据及其电子署名。

2)加密与解密

加密后数据假如不需要保留，只是在通信过程中加密，则可经过

配置SSL网站，建立SSL加密通道即可，不需要额外开发工作。

对于加密数据需要保留，一定时间后又需要解密，则需要使用

API接口对数据进行加密。加密和解密过程类似上节署名与验证，只

是调用API接口函数不一样而已。

3.4.1.4.程序改造关键内容

1、数据库改造

应用系统数据库需要做两个部分改造。

1)在用户表中增加一个证书用户唯一标识字段，该字段值是

该用户数字证书中用户唯一标识。(SF+身份证号)

2)在各个署名表单对应数据库表中增加数字署名值字段，该

字段用于存放对表单或者数据署名值。

2、程序改造

应用系统登陆模块和署名表单页面需要做改造。

1)应用系统登陆模块需要做改造，参考PKI应用中间件集成

Demo,将服务器端和客户端实现相互验证署名、服务端验证客户端证

书有效性和解析客户端证书集成到应用系统中，代替原有用户名密码

登陆方式。

2)署名表单页面调用客户端署名方法对表单或数据做电子署

名，然后将署名值及署名证书存放在数据库中。

3.4.1.5.相关代码示例

证书登陆相关代码，参见“jspdemo”目录下index.jsp和

login,jspo

集成代码示例:

❸加载证书列表

在登陆页面的OnLoad事件中调用getUserList函数。

<SeriptLanguage=HJScript"for=windowevent=OnLoad>

GetList("LoginForm.UserList");

</Script>

在服务器端，调用genRandom函数产生随机数。

SecurityEngineDealsed=null;

sed=SecurityEngineDeal.getlnstance(“soft”)；

strRandom=sed.genRandom();

在服务器端，调用signData对随机数签名。

代码如下：

strServerCert=sed.getServerCertificate();

strSignedData=sed.signData(strRandom);

把随机数、签名值等信息发送给客户端。

varstrServerSignedData="<%=strSignedData%>";

varstrServerRan="<%=strRandom%>";

varstrServerCert="<%=strServerCert%>";

险证服务器证书和签名

e在登陆提交脚本中添加代码：

if(verifySignedData(strServerSignedData,strServerCert,strServerRan)!=O)

{

alert("验证服务部签名失败！");

returnfalse;

)

脩入PIN,使用私钥对随机数签名。

在登陆提交脚本中添加代码：

if(!bjcactrl.UserLogin(strContainerName,strPin))

(

alert("登陆失败，清检杳密码是否正确处理F);

)

strClientSignedData=SignedData(strContainerName,strServerRan);

varvarCert=GetSignCert(strContainerName);

提交客户端的证书以及箓名值。

e把数据赋值到form隐藏城中.

objForm.UserCert.value=varCert;

objForm.UserSignedData.value=strClientSignedData;

验证客户端签名以及证书有效性，获取证书身份标识。

StringclientCert=request.getParameter("UserCert");

StringUserSignedData=request.getParameter("UserSignedData");

StringContainerName=request.getParameter("ContainerName");

boolftanrntValuA=spdvftrifySignftdData(diRntCftrt.ranStr,

UserSignedData))

retValue=sed.validateCert(clientCert);

StringuniqldOid="2.16.840.1.113732.2";

StringuniqueldStr=sed.Certificate_GetExtlnfo(clientCert,uniqldOid);

out.println("证书唯一标识：”)；

out.println(uniqueldStr);

备注：蓝色为客户端代码、红色为服务器端代码。详细可参考集

成demoo

数据著名相关代码，参见“jspdemo”目录下signForm.jsp和

VerifySignForm.jsp。

集成代码示例：

❷访问签名处理页面

❸|在服务器端，检查Session,判断是否登陆

.对数据进行签名.

varSignedValue=signedData(OrData.ContainerName);

Varsigncert=getSignCert(ContainerName);

©把客户端的签名值提交给服务器端，即把签名值赋值到表单域。

TestForm.ODatavalue=OrData力原文

TestForm.SignedData.value=SignedValue〃签名值

TestForm.signCert.value=signcert〃签名者证书

G：

验证客户端签名

StringtormData=request.getParameterf'OData");

StringUserSignedData=request.getParameter("SignedData");

Stringsigncert=request.getParameter("Cert");

Booleanflag=sedverifySignedDatatsigrcert,

formData.

UserSianedDatak

3.4.1.6.PKI应用中间件软件性能

PKI应用中间件软件性能指标以下:

接口标准PKCS#U、微软CSP等

支持密码算法SSF33、RSA(1024)、3DES等

1024位>400次/秒（4*2GCPU软实现）

署名

RSA>2450次/秒（单主机加密服务器实现）

非对称算>次/秒（4*2GCPU软实现）

验证

法>10000次/秒（单主机加密服务器实现）

性

SSF3

能对称加密>72.83Mbps

3

算法

3DES>309Mbps

支持多应用服务器负载均衡方式

负载均衡

支持SJY系列主机加密服务器负载均衡方式

图表11PKI应用中间件软件性能

3.4.2.数字署名验证服务器

数字署名验证服务器（以下简称DSVS）是由自主研发，为信息系

统提供数字署名及验证服务一款多安全功效、高稳定性、高性能，而

且具备跨平台、可扩展和快速布署能力软硬件集成化安全设备。数字

署名验证服务器实现服务端基十数字证书身份认证、数字署名、数据

加密等功效，关键是将提交医疗数据进行数字署名，以确保数据不可

抵赖性、完整性需求，并在查询相关数据时，实现用户对于所查询数

据有效性验证。经过布署数字署名验证服务器实现电子病历生成等医

院内部主要业务步骤中数字署名及验证。

3.4.2.1.系统功效

数字署名验证服务器具备数据署名、署名验证、证书验证等功效,

详细功效以下:

应用功效详细说明

提供PKCS1/PKCS7attach/PKCS7

数据署名与署名验证detach/XMLSign等多个格式数字署名和

数字署名验证功效

文件署名与验证对文件提供数字署名和数字署名验证功效

提供CRL/OCSP等多个方式证书有效性验

证书有效性验证功效

证

能够自动更新黑名单，采取动态更新方式，

动态黑名单功效

无需重启服务

可同时配置多条证书链，验证不一样CA系

多证书链功效

统签发数字证书

提供证书解析功效，获取证书中任意主题

获取证书信息功效

信息以及扩展项信息

其余功效详细说明

系统能够备份当前全部配置，确保系统瘫

系统备份恢复功效

痪时快速恢复

系统能够自行统计日志，也能够将日志以

日志统计和发送功效

SYSLOG方式发送到指定服务器

双机并行、负载均衡功效高可靠性、高可用性

3.4.2.2.应用方式

为确保医疗数据具备法律效力，必须按照《电子署名法》要求，

基于由国家认可第三方电子认证服务机构签发数字证书对其完成数

字署名，才能具备法律效力。经过数字署名验证服务器实现医生工作

站数字署名，以及区域医疗信息平台署名验证等功效,详细流程以下

列图所表示：

。问签名业务页面

已经登陆检查session

判断用户是否已经登陆

图表12数字署名及验证流程

3.4.2.3.系统集成

对于关键业务页面，可依照安全性要求，选择性进行署名和加密

处理，包含：

・应用系统依照业务逻辑要求，调用客户端证书应用相关接口，

实现对上传数据数字署名或加密，并打包上传至应用服务器；服务器

端接收程序应对应修改，调用数字署名验证系统，进行原文署名验证,

并将署名数据入库保留;

•对于系统后台数据库部分，需要在现有数据库中加入数字署名

字段，并建立数字署名和原始明文一一对应关系，为事后责任认定提

供符正当律要求电子证据。

3.4.2.4.相关代码示例

证书登陆相关代码，参见“jspdem。”目录下index,jsp和

login,jspo

集成代码示例:

加装证书列表

在登陆页面的onLoadE件中调用getUserList函数。

<ScriptLanguage=nJScript"for=windowevent=OnLoad>

GetList("LoginForm.UserList");

</Script>

在服务器潴，调用qenRandom函数产生随机数。

SecurityEngineDealsed=null;

sed=SecurityEngineDeal.getInstance(,rwebappNarner,);

strRandom=sed.genRandom(24);

在服务器端，调用signData对随机数签名。

代码如下：

strServerCert=sed.getServerCertificate();

strSignedData=sed.signData(strRandom);

把^机数、签名值等信息发送给客户端。

varstrSen/erSignedData="<%=strSignedData%>";

varstrServerRan=,,<%=strRandom%>";

varstrServerCert="<%=strServerCert%>";

验证能史第证书和釜名

在蹙陆虚交脚本中添加代福：

if（fVerifySignealsta；strServerC2rtzstr2erverRan,.s^rSsrverSicredData：；

ales（”验证校务器端臂息失取!”）；

rez.ucnfalse;

幅入PIN,懊用私铜对他机效釜名.

在登赋提交脚本中添加代福：

if(!bjcactrl.UserLogin(strContainerName.strPin))

{

alert("登陆失败，请检查击码是否正旗处理!)

}

strCIientSignedData=SignedData(strContainerName.strServerRan);

varvarCert=GetSignCert(strContainerName);

提交客户端的证书以及等名值・

把数据晅值到form隐藏城中.

objForm.UserCert.value=varCert;

objForm.UserSignedDatavalue=strClientSignedData;

验证客户端签名以及证书有效性，获取证书身份标识.

StringcliencCert=reqiaest.getParameter(,FUserCertn);

StringUserSignedData-request.getParameter(^UserSignedData*1);

StringContainerName=request.孑ecParamecer("ContainerName");

BooleanretValue=sed.verifySi3nedData(clientCert,ranStr,

UserSignedData);

intretValue=sed.validateCert(clientCert);

StringuniqueOid=.2.1S6.10260.4.1.5,r;

umqueStr=sed.getCertlnfoByOid(cliensCert,uniqueOid);

out.printIn(”证书唯一标识(备用主题通用名)：");

out.printIn(uniqueStr);

备注：蓝色为客户端代码、红色为服务器端代码。详细可参考集

成demoo

数据署名相关代码，参见“jspdemo”目录下signForm.jsp和

VerifySignForm.jsp。

集成代码示例：

•访问签名处理页面

❷|在服务器端，检查Session,判断是否登陆

❸对数据进行签名.

varSignedValue=SignedData(ContainerName,OrData);

varsignCert=GetSignCert(ContainerName);

o揖客户端的签名值提交给服务器端，即把签名值赋值到表单域。

TestForm.ODatavalue=OrData;〃原文

TestForm.SignedData.value=SignedValue〃签名值

TestForm.signCert.value=signcert;〃签名者证书

脸.

验证客户端签名

StringformData=request.getParameterf'OData");

StringUserSignedData二request.getParameter(HSignedData");

Stringsigncert=request.getParameterf'Cert");

Booleanflag=sed.verifySignedData(sigricert,

formData.

UserSianedDatak

3.4.3.电子认证应用系统产品提议

经过以上两类产品介绍可知，二者功效相同，两类产品都能够提

供基于数字证书身份认证、数据加密等功效，同时，能够实现对电子

病历系统电子署名应用功效。

PKI应用中间件软件已由深圳市卫生和人口计划与委员会统一采

购、统一实施，各区域医疗信息平台可无偿使用，但其性能相对数字

署名验证服务器而言稍弱，用户并发数、处理速度不及数字署名验证

服务器，其布署需要与每个医疗信息系统进行集成，布署复杂、实施

周期长。另首先，数字署名验证服务器属于硬件级服务器，能够为区

域医疗信息平台提供高效率服务，其布署比较简单，可方便供多个信

息系统使用，支持双机热备，保障服务连续性,详细比较以下表所表

不：

PKI应用中间件软件数字署名验证服务器

采购成本低高

实施周期长短

需要与每个应用系

集成复杂度布署简单

统集成

性能软件级产品，性能低硬件级产品，性能高

可靠性不支持双机并行双机并行、负载均衡功效

图表13电子认证应用系统产品比较

依照各区域医疗信息平台实际需求，其需要为各区多家医疗机构

提供服务。所以，提议各区域医疗信息平台采取性能很好、布署简单

数字署名验证服务器来为各区域医疗信息平台提供身份认证、数字署

名、数据加密等服务，实现主要医疗业务步骤署名和验证，确保数据

完整性和隐私保护。

3.5.时间戳服务器

3.5.1.建设模式

依照各区域医疗信息平台情况，时间戳服务系统能够采取两种模

式获取：

•采取市统一时间戳服务平台获取时间戳服务

经过市医学信息中心所建设全市统一时间戳服务平台，获取区域

医疗信息平台所需时间戳服务。统一时间戳服务平台搭建在市医学信

息中心，面向全市各医疗机构提供统一时间戳签发服务。各区域医疗

信息平台需要集成简单时间戳客户端接口，经过时间戳客户端接口与

时间戳服务平台通讯，生成并发送时间戳签发服务请求，接收时间戳

服务平台返回时间戳服务结果并进行有效性验证。

这种模式各单位建设周期短，实施难度低，经过远程调用方式就

能够获取可信时间戳服务。

•建设当地时间戳服务系统

即在各区域医疗信息平台当地建设时间戳服务系统，为本区域信

息系统提供时间戳服务。

这种模式需要在各区域信息平台当地布署时间戳服务系统软硬

件设备，包含时间戳服务器、时间源设备、时间戳软件接口等，为区

域医疗信息系统提供时间戳签发与验证等功效，其建设成本较高、集

成实施复杂、实施周期长，但其处理效率高。

两种模式总体结构示意图以下:

时间戳服务平台

时间戳管理时间戳签发

时间源

系统I系统

市医学信息中心

建设模式一

/Z,/

时间舐请志/俞间武签发建设模式二

时间戳请求'、\时间送签发

时间戳服务系统

时间戳签发/

时间戳客户时间戳客户时间源

端接口端接口验证服务系统

XX

区域医疗区域医疗区域医疗

信息系统信息系统信息系统

图表14时间戳服务体系总体结构示意图

两种模式都能够满足区域医疗信息平台对可信时间需求，各有其

优势，各单位依照本身情况自行选择。

因为采取市统一时间戳服务平台获取时间戳服务方式，其实现方

式简单，只需集成简单时间戳客户端接口，就能够获取时间戳服务，

以下将主要介绍怎样建设当地时间戳服务系统。

3.5.2,时间戳服务器

时间戳服务器（简称TSS）是由自主研发，基于国家标按时间源，

采取PKI技术，为应用系统提供精准、安全和可信时间认证服务一款

高性能、高稳定性，而且具备跨平台、易扩展和快速布署能力软硬件

集成化网络安全设备。

3.5.2.1.系统架构及功效

时间戳服务器架构以下列图所表示:

业务系统

服务端

时间酸请求子系统

0

时间戳管理子系统时i釐签发子系统©

可信6时间源

CA中心设备

安全操作系统secureOS

加密卡及密码算法加速设备

时间戳服务器硬件设备

图表15产品架构图

如上图所表示，时间戳服务器由时间戳请求子系统、时间戳签发

子系统、时间戳管理子系统组成。其中：

•时间戳请求子系统：生成并发送应用系统时间戳签发服务请

求，时间戳服务请求遵照国际通用RFC3161标准；接收时间戳服务结

果并进行验证；

•时间戳签发子系统：验证时间戳请求有效性、依照请求签发时

间戳、验证时间戳有效性；

•时间戳管理子系统：提供时间源管理、时间戳证书管理、系统

日志管理以及系统配置管理等功效。

时间戳服务器主要功效以下表所表示：

功效列表详细说明

签发/验证

签发可信时间戳、验证时间戳有效性

时间戳

权威时间同时基于SNTP协议，从指定时间源设备获取标按时间并同时

时间戳证书管理、时间源管理、日志管理、系统配置、

系统管理

备份与恢复

高可用性支持双机并行、负载均衡

3.5.2.2.应用方式

时间戳服务器应用流程以下列图所表示:

区域医疗平台时间戳服务器

信息系统

时间鞋请求子系统

Hash

a原文J数字摘要

图表16时间戳应用流程

如上图所表示，时间戳服务器应用流程以下：

（1）区域医疗信息平台信息系统服务端集成时间戳请求子系

统，调用数字摘要接口对待签发时间戳原文计算出摘要；

（2）信息系统将数字摘要经过网络发送给时间戳服务器；

（3）时间戳服务器读取时间源标按时间，利用第三方CA机构

签发时间戳服务器证书对应私钥对数字摘要和可信时间进行署名，产

生时间戳；

（4）时间戳经过网络传回应用系统,经过时间戳验证接口验证

后进行存放，今后，时间戳和原文绑定在一起能够证实某个时间有效

证据。

3.5.2.3.系统集成

时间戳服务器实现安全应用集成主要工作以下：

1.提供产品和集成所需要演示环境Dem。、接口说明、测试证

书等；

2.依照业务需求，应用系统开发商对对应页面进行改造，调

用对应安全组件接口，实现时间戳签发/验证功效。为应用系统开发

人员提供技术支持，帮助完成系统安全整合。

3.应用集成完成后，需要进行应用系统测试，确保系统集成

时间戳应用功效可用性和有效性。

应用系统改造:

业务系统时间戳服务器

图表18时间戳服务器集成

1)业务系统程序中调用时间戳请求子系统组件接口，完成原

文数据Hash、生成时间戳请求，将请求发送到时间戳服务器等操作;

2)时间戳请求子系统接收时间戳服务器返回结果，解析时间

戳；

3)对于系统后台数据库部分，在现有数据库中加入时间戳字

段，并建立时间戳和原文一一对应关系，为事后时效责任认定提供电

子证据。

3.5.2.4.时间戳实现

在区域医疗信息平台中，对于有意义诊疗等操作或进行数据和汇

报生成保留等，需要加盖时间戳，以确保操作和数据时间有效性。为

了验证和取证需要，将时间戳与对应数据和文件存放到系统数据库

中。

图表18时间戳应用流程

过程说明以下：

⑴登录验证经过后用户安全进入系统。

⑵操作人员在对病人下诊疗汇报或一些汇报确认等关键性操作

时，需要加盖时间戳。

⑶电子病历生成时需要加盖时间戳。

(4)调用接口将需要加盖时间戳数据传送到时间戳服务器。

(5)时间戳服务系统读取标按时间，利用可信时间管理系统证书对

应私钥对数字摘要和可信时间进行署名，产生时间戳。

(6)时间戳保留到时间戳服务器中(调用接口时会将系统类型、医

院、检验唯一标识等信息发送给时间戳服务器)，也可经过网络传回

电子病历系统(可经过调用参数来设置是否将时间戳保留到当地)。

⑺电子病历系统验证经过后进行存放，今后，时间戳和原文绑定

在一起能够证实某个时间有效证据。

Log统计：

(1)调用CA时间戳接口，成功或失败信息写入Log。

(2)将时间戳写入对应数据库中是否成功写入Log。

3.5.2.5,相关代码示例

集成代码示例：

访问签名处理页面

请求时间戳服务器服务，调用时间戳服务器接口

将关键数据的Hash值传到时间戳服务器，进行时间戳签

名，或者请求时间戳服务进行签名

BCACOMLib.S2curityEngineV2Class=null;

bjca=nevBCACCMLib.SecurityEngineV2Class(|;

stringuserwane="test";

stringtimeRequest-bjca.CreateTiroeStampRequesti;

stringOdata=username+timeRequest;

strinasianData,bica.SianData(Odata);

Iccalhost.TimeStampServicets=newlocalhost.TineStampService();

st