电子病历与数字证书对接

1、电子病历与数字证书的对接电子病历与数字证书的对接刘平数字证书的作用 证明公钥属于谁 说明公钥的有效期和验证链 使用该公钥和对应的私钥，可以做到： 机密性：信息不能泄露 真实性：身份不能假冒 完整性：数据不可篡改 抗抵赖：行为不能否认 通过密码服务，实现上述安全保证数字签名签名数字签名签名 文档文档Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文档文档Plain text DocumentPlain text DocumentPlain text Doc

2、umentPlain text DocumentPlain text Document文档文档Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document数字签名数字签名将签名附加在文档之后将签名附加在文档之后文档文档Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文档文档Plain text DocumentPlain te

3、xt DocumentPlain text DocumentPlain text DocumentPlain text Document文档文档Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document信息摘要信息摘要压缩压缩用户用户B B的私钥的私钥 数字签名验签名数字签名验签名信息摘要信息摘要信息摘要信息摘要文档文档Plain text DocumentPlain text DocumentPlain text DocumentPlain text Docum

4、entPlain text Document文档文档Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document文档文档Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document数字签名数字签名比较两个比较两个摘要信息摘要信息是否一致是否一致压缩压缩用户用户B B的公钥的公钥用户用户B B真的在文件上签了名（真实性）真的在文件上签了名（

5、真实性）用户用户B B真的发送了信息（非否认性）。真的发送了信息（非否认性）。如果信息有了任何改动，摘要就会不匹配（完整性）。如果信息有了任何改动，摘要就会不匹配（完整性）。假如摘要相互匹配就可以有三种安全保证假如摘要相互匹配就可以有三种安全保证信息信息摘要摘要压缩压缩用户用户B B的私钥的私钥 文档文档Plain text DocumentPlain text文档文档Plain text DocumentPlain text文档文档Plain text DocumentPlain text数字数字签名签名文档文档Plain text DocumentPlain text文档文档Plain t

6、ext DocumentPlain text文档文档Plain text DocumentPlain text信息信息摘要摘要信息信息摘要摘要比较两个摘要比较两个摘要信息是否一致信息是否一致压缩压缩数字数字签名签名文档文档Plain text DocumentPlain text文档文档Plain text DocumentPlain text文档文档Plain text DocumentPlain text用户用户B B的公钥的公钥数字签名的作用 许多安全需求要用数字签名来解决 数字签名基本用途是： 真实性 完整性 抗抵赖 要根据不同安全需求设计签名方法 谁来签名 对什么签名 签在哪里 签了

7、干什么用 数字签名机制 不同的签名方法可以满足不同的安全需求 真实性：对验证方发来的挑战数据签名 完整性：对被保护数据的哈希值签名 抗抵赖：由行为人对确定的内容签名 保持关联关系：对关联数据的哈希链签名 指定受理/所有人：待签数据中包括该人证书 指定后续操作：待签数据中包括操作指示 逐级审批：待签数据中包括前者的签名卫生部的电子病历的规范 电子病历基本规范电子病历基本规范 总则 电子病历基本要求 实施电子病历基本条件 电子病历的管理 附则 2010年4月1日起试行 规范中涉及的安全问题规范中涉及的安全问题 电子病历系统应当为患者建立个人信息数据库，授予唯一标识号码并确保与患者的医疗记录相对应

8、电子病历系统应当满足国家信息安全等级保护制度与标准。严禁篡改、伪造、隐匿、抢夺、窃取和毁坏电子病历。 规范中涉及的安全问题规范中涉及的安全问题（续） 电子病历系统应当为操作人员提供专有的身份标识和识别手段，并设置有相应权限；操作人员对本人身份标识的使用负责 医务人员采用身份标识登录电子病历系统完成各项记录等操作并予确认后，系统应当显示医务人员电子签名。 规范中涉及的安全问题规范中涉及的安全问题（续） 电子病历系统应当设置医务人员审查、修改的权限和时限。 实习医务人员、试用期医务人员记录的病历，应当经过在本医疗机构合法执业的医务人员审阅、修改并予电子签名确认。 医务人员修改时，电子病历系统应当进

9、行身份识别、保存历次修改痕迹、标记准确的修改时间和修改人信息。 使用密码技术可以解决安全问题 加密，解决隐私和知识保护问题 签名， 解决病历完整性问题 解决病历的管理问题 鉴别操作者身份真实性 明确操作者责任 证明病历有效性 证明业务流程合法性电子病历与密码服务的关系医疗业务系统密码基础设施电子病历管理系统电子病历医务人员医务人员面对的系统医务人员在此系统上操作相对独立的系统通过标准接口提供病历服务统一的密码服务平台通过标准接口提供密码服务电子病历 基本结构 安全需求 安全机制电子病历 基本结构基本结构 安全需求 安全机制电子病历的基本结构患者电子病历病历概要门（急）诊病历记录住院病历记录健康

10、体检记录医疗机构信息业务域（业务域（7 7项）项）业务活动记录业务活动记录电子病历的基本结构（续） 来自于卫生部电子病历数据结构规范 业务内容遵循电子病历数据结构规范 横向可链接记录 纵向可添加记录 记录由标识表示用途电子病历 基本结构 安全需求安全需求 安全机制电子病历的安全需求 病历自带安全机制 安全机制应保证： 确保完整、明确责任 保护隐私、保护知识 具有权限、安全共享 安全机制应做到： 与记录的医疗内容无关 与医疗业务和流程无关 与医疗业务系统无关目的是目的是使病例成为独立的安全对象使病例成为独立的安全对象可以跨系统安全共享可以跨系统安全共享离开本系统时，安全性不被破坏离开本系统时，安

11、全性不被破坏电子病历的安全需求（续） 横向记录间保持链接关系，前后顺序不可变 纵向记录间保持族群关系，先后顺序不可变 记录只能创建、添加，不能抽取、删除 记录不能修改，修改等于添加 医务人员对记录签名 管理系统对病历签名 所有签名不可撤销对应规范中关于修改的规定对应规范中关于修改的规定保留修改痕迹，原始的签名应保留保留修改痕迹，原始的签名应保留修改者要签名，等于添加新纪录修改者要签名，等于添加新纪录电子病历 基本结构 安全需求 安全机制安全机制电子病历的安全机制 每条记录都应由行为人签名 待签内容应包括： 内容属性：医疗行为产生的结果、数据或链接 时间属性：签名的时间或时间戳、修改审查的时限

12、签名属性：签名者信息，如职称、职务等 关联属性：与前记录的关系，如治疗、修改等 状态属性：可否链接、是否归档等 隐私属性：隐私所有者的加密证书 权限属性：谁能看到/修改/处理/拥有/本记录 审批属性：本记录是否应审批，批准者的证书 完整性属性：纵横向哈希链接到本记录的哈希值电子病历的安全机制（续） 对横向记录的哈希链签名，保持链接关系 用于后续记录链或者修改记录链 每链接一条记录改签一次，原顺序不能改变 由病历管理系统签名 对纵向记录的哈希链签名，保持族群关系 记录许进不许出 每添加一条记录改签一次，原次序不能改变 由病历管理系统签名病历管理系统 安全需求 安全要求病历管理系统 安全需求安全需

13、求 安全要求病历管理系统的安全需求 为患者建立个人信息数据库，授予唯一标识号码并确保与患者的医疗记录相对应 具有严格的复制管理功能。同一患者的相同信息可以复制，复制内容必须校对，不同患者的信息不得复制 应当满足国家信息安全等级保护制度与标准。严禁篡改、伪造、隐匿、抢夺、窃取和毁坏电子病历 病历管理系统的安全需求（续） 门诊电子病历中的门（急）诊病历记录以接诊医师录入确认即为归档，归档后不得修改 住院电子病历随患者出院经上级医师于患者出院审核确认后归档，归档后由电子病历管理部门统一管理 医务人员修改时，电子病历系统应当进行身份识别、保存历次修改痕迹、标记准确的修改时间和修改人信息 病历管理系统

14、安全需求 安全要求安全要求病历管理系统的安全要求 与密码算法、密码设备、密钥管理无关， 通过标准接口为业务系统提供病历服务 创建、添加、修改、阅读、打印、查询、统计等 不接受医务人员的直接访问 按照病历的安全机制管理病历 对病历进行的操作应有日志记录 应有数据备份机制 病历管理系统的安全要求（续） 管理人员登录系统应验证身份 管理人员应按权限进行检索、统计、复印、检验等操作 管理人员不能对病历进行访问操作 管理人员的操作行为应有日志记录医疗业务系统 安全需求 安全要求医疗业务系统 安全需求安全需求 安全要求医疗业务系统安全需求 应当为操作人员提供专有的身份标识和识别手段，并设置有相应权限；操作

15、人员对本人身份标识的使用负责 医务人员采用身份标识登录电子病历系统完成各项记录等操作并予确认后，系统应当显示医务人员电子签名。医疗业务系统安全需求（续） 电子病历系统应当设置医务人员审查、修改的权限和时限。 实习医务人员、试用期医务人员记录的病历，应当经过在本医疗机构合法执业的医务人员审阅、修改并予电子签名确认。 医务人员修改时，电子病历系统应当进行身份识别、保存历次修改痕迹、标记准确的修改时间和修改人信息医疗业务系统 安全需求 安全要求安全要求医疗业务系统的安全要求 操作者登录系统应验证身份 操作者应按权限操作，权限应分等级 操作者审查、修改的权限应设置时限 操作者的行为应有日志记录，可追溯

16、 系统把操作的结果转化为对病历管理系统的访问操作密码基础设施 密码基础设施提供的服务 密码基础设施简要介绍密码基础设施 密码基础设施提供的服务密码基础设施提供的服务 密码基础设施简要介绍密码基础设施提供的服务 提供通用密码服务 数字签名、验签 数据加密、解密 提供典型密码服务 身份鉴别 权限管理 证书解析、验证 时间戳 证据采集与管理密码基础设施 密码基础设施提供的服务 密码基础设施简要介绍密码基础设施简要介绍密码基础设施框架时间戳系统属性证书系统证书认证系统身份鉴别责任认定单点登录访问控制时间戳典型密码服务层通用密码服务层密码设备管理通用密码服务密码设备服务层密码设备应用 1 应用 N公钥密

17、码基础设施应用技术体系框架基础设施安全支撑平台密码基础设施框架（续） 密码设备服务层密码设备服务层 由密码机、密码卡、智能密码终端等设备组成，通过标准的密码设备应用接口向通用密码服务层提供基础密码服务。 基础密码服务包括密钥生成、单一的密码运算、文件管理等服务。 密码设备通过统一的设备管理接口来接受通用密码服务层的密码设备管理。密码基础设施框架（续） 通用密码服务层通用密码服务层 由通用密码服务和密码设备管理服务组成，为上层应用提供与底层具体密码设备透明的密码服务和设备管理服务。 通用密码服务层通过统一的密码服务接口向典型密码服务层和应用层提供证书解析、证书认证、信息的机密性、完整性和不可否认

18、性等通用密码服务。 将上层的密码服务请求转化为具体的基础密码操作请求，通过统一的密码设备应用接口调用相应密码设备实现具体的密码运算和密钥操作。 密码设备管理向上层管理应用提供统一的设备管理应用接口，为实现远程密钥管理、设备维护、设备监控等上层管理应用提供设备管理功能，将上层管理应用的管理请求转换为标准的消息调用，通过安全通道实现管理应用与密码设备间的消息传递。密码基础设施框架（续）典型密码服务层典型密码服务层 由责任认定、身份鉴别、单点登录、访问控制和时间戳等服务组成，为上层应用提供对应的密码功能服务。责任认定通过标准接口为上层应用提供证据采集服务，为责任认定应用系统提供可信证据，实现证据的存储、归档、查询和使用审计等管理功能。身份鉴别通过标准接口为上层应用提供身份查询、身份解析、身份验证等身份鉴别服务。单点登录通过标准接口为上层应用提供登录凭据的产生、获取、验证等服务，在相互间存在信任关系的应用系统之间实现单点登录和单点注销。访问控制通过标准接口为上层应用提供系统资源的访问控制，实现用户管理，资源管理、访问控制策略管理和用户授权等功能。时间戳通过标准接口为上层应用和典型密码服务层其它组成部