醫(yī)院電子病歷安全保障體系構(gòu)建

姚力，李哲

第四軍醫(yī)大學(xué)西京醫(yī)院 信息科，陜西西安 710032

醫(yī)院電子病歷安全保障體系構(gòu)建

姚力，李哲

第四軍醫(yī)大學(xué)西京醫(yī)院 信息科，陜西西安 710032

醫(yī)療領(lǐng)域的特殊性對(duì)于網(wǎng)絡(luò)信息安全提出了更高要求。本文針對(duì)醫(yī)院電子病歷系統(tǒng)患者的隱私安全問題，提出了電子病歷系統(tǒng)認(rèn)證與授權(quán)模型的構(gòu)建方案，以從根本上提高醫(yī)院信息安全的有效性。

醫(yī)療信息安全；電子病歷；電子病歷系統(tǒng)認(rèn)證

隨著醫(yī)院信息化建設(shè)的推進(jìn)，以及現(xiàn)代信息技術(shù)的飛速發(fā)展，醫(yī)院患者的電子病歷作為信息時(shí)代的產(chǎn)物，其發(fā)展和安全日益受到人們的關(guān)注。醫(yī)院患者電子病歷系統(tǒng)的應(yīng)用可以切實(shí)提高醫(yī)療工作的整體效率，為醫(yī)院內(nèi)部之間的信息交換與共享提供了便利條件。電子病歷記錄了醫(yī)院患者從就診到出院的全部醫(yī)療信息，也是醫(yī)生合理確定治療方案的重要依據(jù)，同時(shí)，電子病歷中包含的數(shù)據(jù)信息屬于患者個(gè)人隱私。從醫(yī)院信息化建設(shè)的長(zhǎng)遠(yuǎn)發(fā)展來看，電子病歷將會(huì)成為具有法律效應(yīng)的重要數(shù)據(jù)信息。因此，醫(yī)院電子病歷系統(tǒng)需要一套完善的安全保障體制，防止在系統(tǒng)運(yùn)行過程中由于人為因素或意外事故造成涉密信息丟失、篡改等事件，這些非法的操作都會(huì)對(duì)系統(tǒng)穩(wěn)定運(yùn)行帶來一定影響。為此，本文提出一種采用公開密鑰基礎(chǔ)設(shè)施（PKI）技術(shù)的醫(yī)院電子病歷系統(tǒng)安全保障體制[1]。

1 電子病歷系統(tǒng)安全認(rèn)證與授權(quán)模型的總體設(shè)計(jì)

基于PKI技術(shù)和公鑰基礎(chǔ)設(shè)施（PMI）系統(tǒng)的醫(yī)院電子病歷系統(tǒng)是一個(gè)安全認(rèn)證體系結(jié)構(gòu)完善的應(yīng)用系統(tǒng)，其認(rèn)證與授權(quán)模型包括認(rèn)證模塊、授權(quán)模塊和用戶訪問控制模塊。其中，認(rèn)證模塊負(fù)責(zé)實(shí)現(xiàn)用戶身份認(rèn)證、數(shù)字簽名技術(shù)、數(shù)據(jù)信息加密等功能；授權(quán)模塊負(fù)責(zé)實(shí)現(xiàn)用戶數(shù)字證書申請(qǐng)、證書審核和證書頒發(fā)等功能；用戶訪問控制模塊負(fù)責(zé)實(shí)現(xiàn)用戶數(shù)字證書和屬性證書的權(quán)限控制[2]。

PKI在遵循國(guó)際標(biāo)準(zhǔn)的前提下，主要以公鑰技術(shù)為基礎(chǔ)，利用公鑰加密技術(shù)為電子商務(wù)的運(yùn)營(yíng)發(fā)展提供安全可靠的技術(shù)平臺(tái)支持和標(biāo)準(zhǔn)方案規(guī)范。對(duì)于數(shù)字簽名技術(shù)來說，其技術(shù)的核心同樣是創(chuàng)建證書認(rèn)證中心（Certificate Authority，CA）。CA認(rèn)證中心負(fù)責(zé)對(duì)公鑰加密過程中所需的密鑰、證書進(jìn)行生成和管理，其內(nèi)容包括證書持有人的身份信息、基本信息等，這些都是PKI應(yīng)用中的關(guān)鍵組成部分。目前，國(guó)際信息安全領(lǐng)域?qū)τ赑KI的重要性日益重視，PKI已經(jīng)成為公認(rèn)的互聯(lián)網(wǎng)信息安全保障措施。基于PKI架構(gòu)基礎(chǔ)，本文進(jìn)一步提出了PMI系統(tǒng)的構(gòu)建，即采用CA數(shù)字證書技術(shù)，向醫(yī)院電子病歷系統(tǒng)提供用戶身份認(rèn)證服務(wù)。同時(shí)，PMI系統(tǒng)能夠?yàn)獒t(yī)院電子病歷系統(tǒng)提供與實(shí)際應(yīng)用處理模式對(duì)應(yīng)的用戶授權(quán)訪問控制機(jī)制，減少應(yīng)用系統(tǒng)的開發(fā)設(shè)計(jì)、維護(hù)管理工作，從根本上保障醫(yī)院電子病歷系統(tǒng)用戶身份驗(yàn)證與訪問控制的有效性。電子病歷系統(tǒng)認(rèn)證與授權(quán)模型總體結(jié)構(gòu)，見圖1。

圖1 醫(yī)院電子病歷系統(tǒng)認(rèn)證與授權(quán)模型總體結(jié)構(gòu)示意圖

當(dāng)有用戶需要對(duì)電子病歷系統(tǒng)資源發(fā)起訪問之前，必須向認(rèn)證與授權(quán)模型中的用戶注冊(cè)中心服務(wù)器提出身份證書申請(qǐng)，由用戶注冊(cè)中心服務(wù)器經(jīng)過審批之后確定是否向該用戶發(fā)放相應(yīng)的數(shù)字證書，并且將用戶提出的申請(qǐng)轉(zhuǎn)給CA認(rèn)證中心，當(dāng)CA認(rèn)證中心完成數(shù)字證書簽發(fā)之后，再將其存儲(chǔ)到證書發(fā)布服務(wù)器（LDAP）（輕量級(jí)目錄訪問協(xié)議）服務(wù)器中，以電子郵件或其他通信方式將結(jié)果轉(zhuǎn)給用戶證書的URL，用戶接到通知后，到相應(yīng)的URL中獲取數(shù)字證書，最后將數(shù)字證書存儲(chǔ)到客戶端的應(yīng)用程序中[3]。

當(dāng)用通過向客戶終端向系統(tǒng)信息資源服務(wù)器發(fā)出請(qǐng)求時(shí)，如果用戶訪問的信息資源需要特殊的訪問權(quán)限，服務(wù)器則會(huì)向用戶發(fā)出索要數(shù)字證書和身份證明的要求，同時(shí)對(duì)用戶提供的數(shù)字證書進(jìn)行檢查和驗(yàn)證，按照預(yù)先設(shè)定的訪問控制策略對(duì)用戶是否具有資源訪問的權(quán)限進(jìn)行檢驗(yàn)，如果通過合法驗(yàn)證，用戶則可以對(duì)該資源發(fā)起訪問[4]。

2 電子病歷系統(tǒng)安全認(rèn)證與授權(quán)模型的詳細(xì)設(shè)計(jì)

2.1 認(rèn)證模塊的設(shè)計(jì)

2.1.1 認(rèn)證中心

CA認(rèn)證服務(wù)器負(fù)責(zé)數(shù)字證書的簽發(fā)，也是證書認(rèn)證機(jī)構(gòu)的核心部分。CA認(rèn)證中心自身產(chǎn)生公鑰和密鑰，進(jìn)一步生成數(shù)字證書，并將其傳遞給安全服務(wù)器，同時(shí)負(fù)責(zé)數(shù)字證書的撤銷工作。CA認(rèn)證中心還負(fù)責(zé)為安全服務(wù)器、注冊(cè)服務(wù)器和系統(tǒng)操作員生成數(shù)字證書。生成的數(shù)字證書和私鑰都需要傳遞給安全服務(wù)器。而且，CA認(rèn)證中心還能為系統(tǒng)提供部分其他服務(wù)，包括數(shù)字證書作廢處理、密鑰備份和密鑰恢復(fù)等。CA認(rèn)證中心必須具備良好的安全保證機(jī)制，實(shí)現(xiàn)用戶權(quán)限管理、日志審計(jì)、密鑰管理等功能。CA服務(wù)器負(fù)責(zé)存儲(chǔ)數(shù)字證書發(fā)行的腳本文件，因此是整個(gè)系統(tǒng)中最為重要的部分。由此，必須將CA服務(wù)器與其他服務(wù)器相互隔離，并采取人工干預(yù)的方式來保證CA認(rèn)證中心的安全[5]。

2.1.2 注冊(cè)中心

注冊(cè)中心（Registration Authority，RA）服務(wù)器主要是為登記中心提供操作服務(wù)，在CA認(rèn)證中心體系結(jié)構(gòu)中起著中間紐帶的作用，RA注冊(cè)中心不但承擔(dān)了向安全服務(wù)器轉(zhuǎn)發(fā)數(shù)字證書申請(qǐng)的服務(wù)，同時(shí)，RA注冊(cè)中心負(fù)責(zé)向LDAP服務(wù)器轉(zhuǎn)發(fā)數(shù)字證書及其撤銷的信息[6]。

RA注冊(cè)中心接受用戶注冊(cè)信息和數(shù)字證書申請(qǐng)需求，并且向與之對(duì)應(yīng)的證書服務(wù)器頒發(fā)數(shù)字證書。首先，用戶通過RA中心服務(wù)器注冊(cè)個(gè)人基本信息，通過后才可以申請(qǐng)CA數(shù)字證書。而且，在用戶數(shù)字證書申請(qǐng)過程中，是由RA注冊(cè)中心服務(wù)器將用戶信息傳送到CA數(shù)字證書服務(wù)器中，并由其向用戶頒發(fā)CA數(shù)字證書。

2.1.3 LDAP

LDAP[7]可以實(shí)現(xiàn)目錄瀏覽功能，并且將RA注冊(cè)中心服務(wù)器傳來數(shù)字證書存儲(chǔ)到服務(wù)器中。當(dāng)用戶訪問LDAP證書發(fā)布服務(wù)器時(shí)可以實(shí)現(xiàn)數(shù)字證書的查詢和下載功能，以及數(shù)字證書的撤銷功能。

2.1.4 安全服務(wù)器

安全服務(wù)器主要是面向用戶提供數(shù)字證書的申請(qǐng)、證書瀏覽、證書撤銷和證書列表下載的安全服務(wù)。安全服務(wù)器采用的通信方式大多是SSL協(xié)議。首先，用戶通過安全服務(wù)器獲得CA認(rèn)證中心頒發(fā)的數(shù)字證書，此時(shí)，用戶提出申請(qǐng)、瀏覽公鑰等信息。服務(wù)器之間的通信全部實(shí)現(xiàn)加密傳輸，只有通過安全服務(wù)器中的私鑰才能獲得解密信息，由此，能夠有效保證外界非法入侵者不會(huì)竊取到明文信息，真正提高了數(shù)字證書申請(qǐng)和傳輸?shù)陌踩訹8]。

2.2 授權(quán)模塊的設(shè)計(jì)

2.2.1 屬性權(quán)威

屬性權(quán)威（Attribute Authority，AA）主要負(fù)責(zé)接收管理員提出的請(qǐng)求，并按照請(qǐng)求執(zhí)行相關(guān)操作。為用戶和資源方提供數(shù)字證書簽發(fā)、注銷、發(fā)布等服務(wù)。同時(shí)，AA屬性權(quán)威還負(fù)責(zé)管理數(shù)字證書的生命周期活動(dòng)[9]。

2.2.2 注冊(cè)申請(qǐng)機(jī)構(gòu)

注冊(cè)申請(qǐng)機(jī)構(gòu)（Attribute registration authority，ARA）主要負(fù)責(zé)接收和審核用戶注冊(cè)的基本信息，并且將生成的用戶標(biāo)識(shí)名稱和用戶密碼傳送到用戶身份信息數(shù)據(jù)庫(kù)中。ARA注冊(cè)申請(qǐng)機(jī)構(gòu)主要是對(duì)用戶信息的真?zhèn)芜M(jìn)行驗(yàn)證，保證用戶身份與其所屬證書信息的一致性。

為了保證認(rèn)證體系的安全性，用戶需要向ARA注冊(cè)申請(qǐng)機(jī)構(gòu)提供身份信息，并且提供證明用戶身份信息的公鑰數(shù)字證書。用戶可以在線輸入用戶基本信息，將用戶基本信息存儲(chǔ)于用戶數(shù)據(jù)庫(kù)中，再利用PKI證書對(duì)用戶身份的真?zhèn)芜M(jìn)行驗(yàn)證，最后，按照醫(yī)院設(shè)定的用戶授權(quán)策略允許用戶進(jìn)入到與之對(duì)應(yīng)的角色數(shù)據(jù)庫(kù)中，并對(duì)該角色授予訪問權(quán)限。

2.2.3 授權(quán)策略管理

授權(quán)策略管理包括用戶授權(quán)管理、策略定義管理等，系統(tǒng)管理員按照醫(yī)院預(yù)先制定的授權(quán)策略完成用戶授權(quán)分配，授權(quán)策略包括用戶角色定義策略、用戶權(quán)限定義策略、用戶授權(quán)管理策略等。

2.3 訪問控制模塊的設(shè)計(jì)

2.3.1 訪問控制子模塊

根據(jù)用戶提出的操作請(qǐng)求來調(diào)用認(rèn)證與授權(quán)子模塊，用以確定用戶是否擁有相關(guān)權(quán)限可以對(duì)目標(biāo)資源進(jìn)行訪問。

2.3.2 身份認(rèn)證子模塊

身份認(rèn)證子模塊主要是對(duì)用戶身份進(jìn)行合法驗(yàn)證，確定用戶公鑰數(shù)字證書是否有效，對(duì)用戶屬性證書中的必選擴(kuò)展項(xiàng)是否含有不支持的選型進(jìn)行檢查，同時(shí)，按照認(rèn)證模塊中的標(biāo)準(zhǔn)和規(guī)定，對(duì)用戶屬性證書的屬性字段進(jìn)行檢查。

2.3.3 用戶授權(quán)子模塊

用戶授權(quán)子模塊主要是對(duì)用戶所屬角色的數(shù)字證書分配情況進(jìn)行檢索，角色分配屬性數(shù)字證書的持有人字段應(yīng)該直接指向公鑰證書，對(duì)用戶角色分配屬性數(shù)字證書簽名的正確與否進(jìn)行驗(yàn)證；對(duì)用戶角色分配的屬性證書是否存在于有效期內(nèi)進(jìn)行驗(yàn)證；對(duì)用戶屬性證書的屬性權(quán)威AA的公鑰數(shù)字證書的有效性進(jìn)行驗(yàn)證，用戶屬性證書的屬性權(quán)威AA必須是授信的用戶。同時(shí)，該模塊還可以對(duì)屬性證書的LDAP進(jìn)行訪問，檢索與用戶角色相對(duì)應(yīng)的屬性證書，并對(duì)其有效性進(jìn)行驗(yàn)證。

3 電子病歷數(shù)字簽名應(yīng)用實(shí)現(xiàn)

3.1 設(shè)備部署說明

系統(tǒng)部署1臺(tái)身份認(rèn)證服務(wù)器、1臺(tái)簽名驗(yàn)簽服務(wù)器，連接密碼機(jī)，提供身份認(rèn)證識(shí)別（證書鑒別）、數(shù)據(jù)加密解密、數(shù)字簽名及驗(yàn)簽等安全功能，以保證系統(tǒng)數(shù)據(jù)機(jī)密性、完整性，防抵賴。

部署1臺(tái)時(shí)間戳服務(wù)器，提供精確的、可信賴的，且不可抵賴的時(shí)間戳服務(wù)。另外時(shí)間戳服務(wù)器還提供網(wǎng)絡(luò)校時(shí)功能，可作為全網(wǎng)校時(shí)服務(wù)器使用。

部屬1臺(tái)服務(wù)器密碼機(jī)（下稱密碼機(jī)）。密碼機(jī)是通過國(guó)家密碼主管部門鑒定并批準(zhǔn)使用的國(guó)內(nèi)自主開發(fā)的主機(jī)加密設(shè)備。服務(wù)器密碼機(jī)是PKI通用網(wǎng)絡(luò)安全服務(wù)平臺(tái)的高端核心設(shè)備，位于PKI安全體系的硬件加密層，具有模塊化設(shè)計(jì)、安全存儲(chǔ)密鑰等特性，為應(yīng)用系統(tǒng)提供數(shù)據(jù)加密/解密、數(shù)字簽名/驗(yàn)證、密鑰管理及身份認(rèn)證等功能。

針對(duì)系統(tǒng)的安全需求，方便系統(tǒng)集成，開發(fā)了系統(tǒng)安全中間件[10]。中間件是以PKI為基礎(chǔ)，遵循國(guó)際、國(guó)內(nèi)安全標(biāo)準(zhǔn)，面向信息安全應(yīng)用，提供數(shù)字證書安全服務(wù)，符合衛(wèi)生部技術(shù)規(guī)范接口。中間件向上為應(yīng)用系統(tǒng)提供開發(fā)接口，向下提供統(tǒng)一的密碼算法接口以及各種設(shè)備驅(qū)動(dòng)接口。中間件屏蔽了安全技術(shù)的復(fù)雜性，使開發(fā)人員無須具備專業(yè)的安全知識(shí)背景就能夠構(gòu)造高安全性的應(yīng)用。

3.2 電子病歷的電子簽名驗(yàn)證流程

為了保證電子病歷核心數(shù)據(jù)的完整性，防止被篡改，加入電子簽名驗(yàn)證[10]?？蛻舳说臄?shù)字簽名由電子病歷系統(tǒng)通過PKI安全中間件調(diào)用用戶的USB_KEY數(shù)字證書完成，其實(shí)現(xiàn)流程：① 醫(yī)生插入U(xiǎn)SB_KEY數(shù)字證書進(jìn)入電子病歷系統(tǒng)，驗(yàn)證身份；② 醫(yī)生填寫病程記錄，并提交；③ 客戶端程序調(diào)用USB_KEY數(shù)字證書，對(duì)醫(yī)生診斷記錄數(shù)據(jù)進(jìn)行數(shù)字簽名并提交診斷記錄簽名原文和簽名值；④ 簽名驗(yàn)簽服務(wù)器獲取簽名原文和簽名值，驗(yàn)證簽名值是否正確；⑤ 若驗(yàn)證成功則保存醫(yī)生診斷記錄數(shù)據(jù)和相應(yīng)簽名值，進(jìn)行后續(xù)業(yè)務(wù)處理，若驗(yàn)證失敗提示數(shù)字簽名失敗。電子病歷電子簽名驗(yàn)證流程，見圖2。

圖2 電子病歷電子簽名驗(yàn)證流程示意圖

3.3 簽名信息的存儲(chǔ)

在電子病歷系統(tǒng)中增加統(tǒng)一的表，用來記錄系統(tǒng)模塊簽名產(chǎn)生的簽名值，需要解決簽名記錄與簽名值的映射關(guān)系，保證可追溯性。表信息包含檢查編號(hào)、系統(tǒng)流水號(hào)、簽名原文、簽名值等信息。

同時(shí)為了保證醫(yī)院的利益，避免在醫(yī)療糾紛時(shí)，將簽名信息在認(rèn)證機(jī)構(gòu)服務(wù)器內(nèi)另外保存1份，存儲(chǔ)內(nèi)容包含檢查編號(hào)、系統(tǒng)流水號(hào)、簽名值等信息。

4 結(jié)語

本文根據(jù)醫(yī)院電子病歷系統(tǒng)面臨的實(shí)際信息安全問題，利用PKI技術(shù)、LDAP技術(shù)等提出了醫(yī)院電子病歷系統(tǒng)認(rèn)證與授權(quán)模型的構(gòu)建方案，安全模型的設(shè)計(jì)嚴(yán)格遵守國(guó)家信息安全標(biāo)準(zhǔn)，采用了用戶訪問控制、用戶授權(quán)管理等安全保障機(jī)制，提高醫(yī)院電子病歷系統(tǒng)的權(quán)威性、準(zhǔn)確性和公平性。

[1] 徐航龍,馬冠穎,戴明浪．我院電子信息存儲(chǔ)系統(tǒng)配置實(shí)施分析[J]．中國(guó)醫(yī)療設(shè)備,2014,29(6):47-49．

[2] 陳金雄．電子病歷建設(shè)與發(fā)展[J]．中國(guó)數(shù)字醫(yī)學(xué),2011,6(5):53-55．

[3] 劉海一．醫(yī)院電子病歷應(yīng)用水平的評(píng)價(jià)方法探討[J]．中國(guó)數(shù)字醫(yī)學(xué),2011,(11):40-42．

[4] 唐雄,張巨發(fā),徐傳新．依托電子病歷的病區(qū)護(hù)理質(zhì)控管理系統(tǒng)的開發(fā)及應(yīng)用[J]．醫(yī)療衛(wèi)生裝備,2012,(7):52-53．

[5] 方堃靖,等．中醫(yī)電子病歷系統(tǒng)接口的設(shè)計(jì)與實(shí)現(xiàn)[J]．中國(guó)醫(yī)療設(shè)備,2014,29(8):46-48．

[6] 高敏,葉晰,蔣靜,等．電子病歷信息安全共享關(guān)鍵技術(shù)[J]．計(jì)算機(jī)系統(tǒng)應(yīng)用,2012,(12):12-16．

[7] 周耀林,黃靈波．電子病歷檔案安全管理探析[J]．檔案與建設(shè), 2013,(3):20-22,32．

[8] 王琳．電子病歷的安全管理策略分析[J]．當(dāng)代醫(yī)學(xué),2013,(7): 17-18．

[9] 施榮華,王偉,董?。谏矸菝艽a體制的電子病歷系統(tǒng)安全方案[J]．計(jì)算機(jī)應(yīng)用研究,2013,(7):2140-2143．

[10] 李波．服務(wù)器虛擬化技術(shù)在醫(yī)院信息系統(tǒng)中的應(yīng)用[J]．醫(yī)療裝備,2010,(12):15-16．

Construction of an EHR Security System in the Hospital

YAO Li, LI Zhe
Department of Information, Xijing Hospital of the Fourth Military Medical University, Xi’an Shaanxi 710032, China

The particularity of the medical field raised higher requirements pf network information security. In view of the patients’ privacy security issues of the EHR (Electronic Health Record) system in the hospital, this paper proposed a solution to construct an EHR system authentication and authorization model so as to improve the safety of hospital information fundamentally.

medical information security; electronic health records; electronic health record authentication

TP393.08

A

10.3969/j.issn.1674-1633.2015.06.024

1674-1633(2015)06-0092-03

2014-11-11

2015-01-05

國(guó)家863課題（2012AA02A613）。

本文作者：姚力，工程師，主要從事網(wǎng)絡(luò)維護(hù)及安全方面工作。

李哲，副教授，西京醫(yī)院信息科主任。

通訊作者郵箱：xjyykyb@fmmu．edu．cn