医院电子认证服务应用方案.doc

医院电子认证服务应用方案 19 2020年4月19日 文档仅供参考，不当之处，请联系改正。 兰州市第一人民医院 电子认证服务应用方案 8月 目录 1. 总体架构设计 3 1.1. 设计思路 3 1.2. 总体架构 4 2. 数字证书服务 7 3. 数字证书应用集成方案 8 3.1. CA认证产品 8 3.1.1. 数字签名验证服务器 8 3.1.2. 电子签章系统 9 3.1.3. 时间戳服务系统 9 3.2. 安全登录认证集成 11 3.3. 数字签名和验证 12 3.4. 电子病历可信时间戳 14 3.5. 电子病历电子签章 15 4. 方案特点 17 5. 软硬件清单 18 1. 总体架构设计 1.1. 设计思路 我院信息化建设应坚持“规划自上而下，保证整体性；实施自下而上，保证可行性”的指导思想，按照“顶层设计、分步实施、先易后难”的原则，逐步实现建设目标。本方案依照上述指导思想和建设原则为我院提供一整套基于电子认证服务和电子签名的解决方案，基于数字证书服务、数字签名验证服务器、电子签章和时间戳服务系统为核心产品，提供身份认证、数字签名、数据加密、时间戳、电子签章服务，从“可信身份、可信行为、可信数据和可信时间”四个范畴搭建了医院可信医疗数据平台，从而真正实现医院信息系统的可信业务环境建设需求。 图表 1 医院业务电子病历签名认证应用实现模型 （1） 可信身份服务为我院各信息系统解决行为人的身份凭证及凭证认证问题。医院经过接入第三方数字证书服务，部署数字证书受理点，为医生发放数字证书身份凭证；医护人员使用数字证书登录医院信息系统，医院信息系统经过电子签名客户端，实现强身份认证。 （2） 可信行为服务为医院各信息系统解决医疗行为可追溯问题。医生在电子病历等医院信息系统中所进行的关键操作，经过电子签名客户端完成数字签名。 （3） 可信数据服务为医院信息系统解决医疗数据可信化、合法化问题。 经过在医院信息系统集成数字签名验证服务器，实现处方、医嘱、病程记录等关键医疗数据的可信化转换，使之符合《电子签名法》对可信数据电文的要求。 （4） 可信时间服务为医院信息系统解决医疗行为时间准确性和真实性问题。医院信息系统保存的医疗数据，需要加盖可信时间戳，确保此操作记录的时间可靠性。 1.2. 总体架构 本方案对我院的电子认证服务建设和基于电子认证服务的应用安全建设进行规划，具体包括以下几个方面： (一) 发放数字证书，提供强身份认证和电子签名工具 在我院内部建设数字证书受理点，经过第三方CA机构为相关各方发证书，搭建医院电子签名基础环境；为医护人员提供强身份认证和电子签名工具。 (二) 部署实施电子签名部件，实现电子病历电子签名 提供数字签名验证服务器、时间戳系统和电子签章系统等电子签名部件，供各类医院信息系统调用。实现各信息系统的安全登录、电子签名和可信时间戳等。 结合我院具体网络情况，设计如下系统架构： (一) 在医院建设数字证书受理点 为方便医院用户数字证书的申请、发放和后期服务，须在医院内部设立数字证书受理点，医院需要指定医院内部数字证书管理员。 数字证书管理员使用第三方认证机构提供的数字证书服务管理系统对本院数字证书的发放和使用进行管理。 (二) 利用数字签名验证服务器实现安全登录、数字签名和签名验证 经过部署数字签名验证服务器，实现重要电子病历业务环节的签名和验证，确保数据的完整性和隐私保护。 (三) 在信息系统中集成电子签章系统 经过在电子病历等医院信息系统中集成电子签章系统，可实现电子签名的可视化显示。经过在医院部署电子签章管理系统，方便医院自行进行签章图片的制作，实现医院对签章图片和签章范围的管理。 2. 数字证书服务 为保证证书服务及时可达和医院管理自主化，在我院内部建设证书受理点，指定证书管理员，为内部工作人员发放数字证书，为我院供一整套的服务平台，从而使医院具有证书自助管理能力。 经过证书受理点进行证书发放流程如下： (1) CA在我院建立证书受理点，由医院指派证书管理员，内部用户经过受理点管理员办理数字证书； (2) 证书受理点需要收集用户信息和鉴证用户身份，将证书申请请求提交到数字证书服务管理系统； (3) CA系统签发证书，由受理点证书管理员负责灌制到证书介质中，发放给最终用户。 3. 数字证书应用集成方案 3.1. CA认证产品 3.1.1. 数字签名验证服务器 数字签名验证服务器是由数字签名客户端软件（证书应用中间件）、应用系统API接口、数字签名验证系统（软件系统）和提供独立签名运算的数字签名验证服务硬件平台设备组成，数字签名验证服务器是面向应用系统所面临的认证、签名和加密需求，而提出基于权威数字证书的具有完全自主知识产权的安全系统。该系统在P11、CSP等标准的底层证书调用接口基础上，经过SOAP协议对多个应用服务提供密码运算，实现基于证书的身份认证、数字签名及数字签名验证、数据加密等功能。具体功能描述如下： （1） 提供与业务系统模式、运行平台无关的服务方式，独立运行； （2） 方便地实现与医院电子病历系统和门诊处方系统的结合，具有良好的可用性、可维护性和可扩展性； （3） 可提供双向的加密、签名功能，保证业务系统的安全交互； （4） 提供业务系统的数字证书和私钥在数字签名验证服务系统上统一管理； （5） 提供根证书在数字签名验证服务器上统一的安全存储区，实现对根证书的管理和控制； （6） 数字签名验证服务器支持性能扩展，可经过增加硬件加密引擎或并行负载方式扩展； （7） 支持多种形式的证书介质，数据格式支持pkcs#1、pkcs#7、XMLSign； （8） 提供对管理维护以及运行错误产生的日志进行详细的记录，以方便审计； （9） 支持最多100个证书应用，能够同时为她们提供证书和密码服务，并集中进行管理。 3.1.2. 电子签章系统 经过证书发放，我院用户已获得了标识其在医院信息系统中合法身份的数字证书。在系统中经过电子签章实现基于数字证书的可视化电子签名应用，在处方开具等医疗过程中集成电子签章功能，实现数字签名的可视化、图形化，使可靠电子签名在系统中可形象展现，并提供方便的签章验证辨伪操作界面。 电子签章应用是由电子签章客户端、数字证书及签章图片提供： l 电子签章管理系统：电子签章图片的生成、灌制，与证书进行绑定后生命周期的管理系统。 l 数字证书和签章图片：数字证书和签名图片都保存在证书存储介质中，由受理点证书管理员统一灌制。 l 电子签章客户端：实现在医院信息系统客户端界面上加盖签章图片的工作。 3.1.3. 时间戳服务系统 时间戳服务系统由密码服务、时间戳签发服务、时间戳管理服务和时间戳接口服务组成，负责面向应用系统提供可信的时间服务。如下图所示： 图表 8 时间戳系统示意图 （1）时间戳请求模块 实现应用系统与时间戳服务系统调用的二次开发接口 生成时间戳请求、解析时间戳、验证时间戳、数字摘要生成、验证证书接口 提供COM、JAVA、C等主流开发API （2）时间戳签发模块 接收来自应用系统的时间戳签发请求，并验证时间戳请求的有效性 经过时间读取获取时间源设备标准时间并签发时间戳，将签发的时间戳返回应用系统 （3）时间戳管理模块 时间源管理：配置时间源服务器IP地址、配置时间同步策略 证书管理：配置时间戳服务器证书。产生私钥和证书请求，导入证书 系统管理：系统状态查看、用户管理，备份恢复、系统升级 （4）时间源服务器 为保障医疗数据，如电子病历编写确认在时间上的不可否认性，可经过时间源服务器获取精准的时间源。在本项目中，根据电子病历系统和门诊处方系统业务对时间的精准度要求，建议选择以GPS/北斗信号为时间基准，内嵌国际流行的NTP-SERVER服务，以NTP/SNTP协议同步网络中的所有计算机、控制器等设备，实现网络授时的NTP网络时间服务器，经过时间同步机制校对时间戳服务系统服务器的系统时间。 3.2. 安全登录认证集成 用户（如医生等）使用数字证书登录电子病历客户端，电子病历客户端经过调用客户端控件和数字签名验证服务器实现对存储于射频卡内数字证书的读取、解析、验证和展现，实现基于数字证书的安全登录。具体流程如下： 图表 9 安全登录认证流程 流程说明： Ø 用户在电子病历客户端读取USBKey信息； Ø 客户端获取USBKey中证书用户信息； Ø 经过webservice方式调用数字签名验证服务器验证接口，验证客户端证书； Ø 数字签名验证服务器验证用户证书链，验证吊销列表（CRL）； Ø 验证证书返回值为失败，提示客户端验证失败； Ø 验证证书返回值正确，获取证书唯一标识，并与数据库中用户信息匹配； Ø 根据用户证书唯一标识，查询用户数据库； Ø 查询用户不存在，提示证书用户未注册； Ø 如果用户存在，业务系统权限设置，并登录系统主界面。 3.3. 数字签名和验证 数字签名验证服务器实现基于数字证书的身份认证、数字签名、数据加密等功能，核心是将提交的医疗数据进行数字签名，以保证数据的不可抵赖性、完整性需求，并在查询相关数据时，实现用户对于所查询的数据的有效性验证。经过部署数字签名验证服务器实现电子病历生成等医院内部重要业务环节中的数字签名及验证。 为确保医疗数据具有法律效力，必须按照《电子签名法》要求，基于由国家认可的第三方电子认证服务机构签发的数字证书对其完成数字签名，才能具有法律效力。经过数字签名验证服务器实现电子病历客户端的数字签名，以及医院信息系统的签名验证等功能。具体流程如下图所示： 图表 10 数字签名和验证流程 数字证书签名流程说明如下： Ø 证书用户成功登录； Ø 获取病历内容，即为准备被签名的内容（原文）； Ø 客户端签名，调用第三方认证机构提供签名接口进行数据签名； Ø 调用签名验证服务器签名接口 Ø 验证客户端签名值，原文内容使用服务器证书进行签名，然后将签名值返回； Ø 将原文、客户端签名和服务器端签名入库； Ø 保存原文、客户端签名和服务器端签名值。 Ø 保存成功，签名流程完成。 3.4. 电子病历可信时间戳 经过引入权威可信时间源、第三方电子认证服务以及电子签名技术，面向医院电子病历等信息系统提供时间戳服务，为医院应用系统提供其所需要的可信时间服务，确保业务时间环境的真实可靠和可信。 图表 2 可信时间服务示意 经过集成部署时间戳服务系统，能够有效证明电子数据的有效性及产生时间，将经签名的一个可信赖的日期和时间与特定电子数据绑定在一起，为服务器端应用提供可信的时间证明，为医院提供可信时间服务。实现如下需求： n 时间服务的合法性：系统在提供可信时间服务时，必须确保所签发的时间戳具有权威性、法律效力，一旦发生业务纠纷时，所出示的时间证明能够为司法取证所采信。 n 可信时间的真实可靠：系统所提供的可信时间证明必须确保时间戳在签发、传输和存储过程中的安全可靠，时间证明一旦被修改，系统能够经过验证机制及时发现。 n 可信时间与应用系统集成简单：系统应提供丰富的接口函数供信息系统调用，在可信时间服务集成到信息系统过程中应该对信息系统进行尽可能少的改动，确保可信时间服务很容易集成到具体业务操作环节中。 可信时间戳服务流程如下图所示： 图表 3 可信时间戳服务流程 （1） 医院信息系统调用接口程序经过Hash算法对原文计算出数字摘要； （2） 医院信息系统将数字摘要经过网络发送给时间戳服务器； （3） 时间戳服务系统经过网络时间服务器读取标准时间，利用第三方CA机构签发的证书对应的私钥对数字摘要和可信时间进行签名，产生时间戳； （4） 时间戳经过网络传回医院信息系统，医院信息系统验证经过后进行存储，此后，时间戳和原文绑定在一起成为能够证明某个时间的有效证据。 3.5. 电子病历电子签章 在电子信息世界，数字签名是隐藏在电子文档中的一串字符，不能像现实世界的电子签名一样直接展现给用户，经过依托成熟产品—电子签章系统，在医嘱单、检验单等医疗过程中实现电子签章功能，实现了电子病历中数字签名的可视化、图形化，使可靠电子签名在电子病历中可形象展现，并提供方便的签章验证辨伪操作界面。 电子签章应用流程如下图所示： 图表 4 电子签章处理流程 (1) 医院中心管理员为使用电子签章管理系统为用户生成电子签章，并将电子签章灌入证书介质并和数字证书进行有效绑定，将包括数字证书和电子签章图片的证书介质按照发放流程分配给最终用户； (2) 客户端集成的电子签章软件提供对电子病历相关医疗数据的数字签名和电子签章。 4. 方案特点 一、CA中心的法律保障性 在本方案中，针对我院信息系统的现有安全措施、业务处理流程、技术开发模式进行了全面分析，并在此基础上设计了成熟可靠的证书服务体系和电子签名、加密的业务流程，提出了相应的证书集成方案，能够确保现有业务流程的平滑过渡，具有很强的项目工程实施可行性。 五、全面的证书应用产品支撑 第三方认证机构围绕数字证书应用，已经开发了统一认证平台、电子签章、安全电子桌面等一系列具有自主知识产权的证书应用产品，能够满足不同层面的安全需求。第三方认证机构积累了无数的产品应用案例经验，并提供随需定制的证书应用开发服务。