电子病历数字证书应用技术白皮书-V10-20110816

电子病历数字证书应用技术白皮书电子病历数字证书应用技术白皮书东方中讯数字证书认证有限公司2011年8月目录1 需求分析 12 设计方针 32.1 设计目标 32.2 设计原则 32.3 设计依据 42.3.1 国家法规 42.3.2 卫生行业法规 53 架构设计 63.1 卫生部数字证书服务管理系统 63.2 东方中讯CA中心 63.3 医院安全可信电子病历系统 64 部署设计 84.1 整体网络部署结构 84.2 产品清单 95 产品介绍 105.1 第三方电子认证服务机构 105.2 LRA 105.3 USBKEY 115.4 签名验签服务器 115.5 时间戳服务器 125.6 标准时间源服务器 135.7 电子签章系统 135.8 客户端安全接口模块 145.9 服务端安全接口模块 14需求分析当前医院中以病人为中心的EMR系统（电子病历系统）在应用过程中存在一些不安全因素：登陆系统的身份合法性、电子病历的法律有效性、电子病历的正式性、电子病历信息的隐私保护、责任确定、时间取证的公正性、医院之间电子病历共享的安全等问题，这些不安全的因素阻碍着信息化的进一步发展。虽然部分医院的信息化系统建设已经走在前面，但依然保留着传统病案管理方式，不仅没有解脱传统作业方式，还增加了医生的工作量，从而降低诊疗效率。若不解决上述的问题，尤其是因电子病历引起的医疗纠纷时，无法站在第三方公正机构角度证明电子病历的真实合法性，无法起到公正性作用。这些安全问题愈来愈被卫生管理部门关注，随着卫生部出台卫生部电子认证相关法规（包括《卫生系统电子认证服务管理办法》、《卫生系统电子认证服务规范》等），以及电子病历相关规范（包括《病历书写基本规范》、《电子病历基本规范》等），营造安全可信的电子医疗卫生环境已成为大势所趋，在电子病历系统中采用数字证书技术进行安全认证能够保证其安全可信。通过对医院业务特点、IT现状及安全风险的分析，医院在安全认证方面的安全需求总结如下：1、医院信息系统的用户身份真实性需求医院信息系统所处环境的封闭性导致其对身份认证强度的弱化，目前，医院医护人员登录信息系统普遍采用“用户名＋口令”的方式。随着医院对信息系统的依赖程度逐步加深，这种弱认证方式的弊端逐渐凸显，它直接导致医生之间冒名顶替、实习医生代替主治医生出具诊断报告等情况，同时这种弱认证方式破解极为简单，很容易导致内部重要医疗数据的外泄，甚至导致医院信息系统遭受破坏性攻击。因此，建设具备高安全性、高可靠性的医院信息系统身份认证机制，保证登录医院信息系统用户身份的真实性，在目前医院信息系统建设过程中显得尤为迫切。2、医疗数据的责任归属问题随着医院信息系统的各项功能逐步取代医院传统看病诊疗方式的同时，医护人员从对一张纸质诊断书的负责转向对一段数据电文描述内容的认可，数据电文的责任归属是否明确直接关系到信息化流程能否完全取代传统的纸质流程。因此，在用户身份真实可信的前提下，需要结合可靠的电子签名，建立医院信息系统中的责任认定机制，保障医疗数据明确的责任归属，从而消除医疗数据人工打印、手工签字的模式，实现真正意义的无纸化诊疗过程，使信息化的高效率优势充分发挥。3、医疗行为的时间可信需求医疗管理中电子病历的生成、修改及访问等时间敏感性极高，然而，目前，这些事件均由信息系统服务器时间产生，很容易在场时间的记录不准确，从而导致医疗行为时间缺乏公信力，因此在保证时间源可信的前提下，需要对所有关键行为操作进行时间戳处理并记录，确保提供可信的时间服务。4、数据在网络中完整传输问题医院信息系统多数运行在医院内的局域网上，局域网上的医院信息系统终端与服务器间的信息传输安全往往被忽视，因此，信息有可能被窃取并篡改，无法保障医务人员在系统终端上输入和浏览的电子病历信息的正确性。设计方针设计目标医院安全认证项目的总体设计目标是：引入第三方电子认证服务机构的数字证书技术，实现对医院信息系统访问实体（包括医护人员、所属机构、医院科室及各类设备）的身份认证，确保系统访问控制的高安全性和高可靠性；利用数字证书技术提供的安全服务，实现电子病历的完整性及签名时间的准确与可信，为后期纠纷处理及责任认定提供合法电子证据；利用数字证书技术提供的安全服务，实现敏感信息的安全性和电子签名的可视化管理。医院电子病历电子安全认证项目本着“先试点、后推广”的指导思想进行建设，建设具体目标是：1、引入数字证书技术，实现对医院信息系统访问实体（包括医护人员、医疗卫生机构、医院科室及各类设备）的身份认证，确保系统访问控制的高安全性和高可靠性；2、利用电子签名技术，实现电子病历等数据的完整性和抗抵赖性，为后期纠纷处理及责任认定提供合法电子证据；3、利用时间戳技术，实现可靠的标准时间源，确保电子签名时间的准确和可信4、利用电子签章技术，实现电子签名的可视化管理，方便用户查看、审阅和可验证设计原则1、合规性原则项目建设必须符合相关法律、卫生部相关法规的要求。2、标准化原则项目总体业务系统设计应遵循相关标准，所有的证书格式都应符合X.509v3的标准，并且证书系统的相关设计要既符合国际标准，又符合我国工信部《电子认证服务管理办法》及国家密码管理局《电子认证服务密码管理办法》，同时要符合卫生部《卫生系统电子认证服务规范（试行）》、《卫生系统数字证书应用集成规范（试行）》、《卫生系统数字证书格式规范（试行）》、《卫生系统数字证书介质技术规范（试行）》、《卫生系统数字证书服务管理平台接入规范（试行）》等电子认证服务技术规范，同时本系统集成应具有良好的开放性。3、先进性原则系统的设计在遵循采用相关国际、国内标准的基础上，应充分利用国家自主知识产权开发成果，保证系统所采用的技术达到国内国际先进水平。4、成熟性原则系统的设计应采用成熟的产品，保证快速实施及部署；采用成熟开发工具包－证书开发套件，在短时间周期内实现电子认证对应用系统的安全支持。5、兼容性原则系统的设计应以不影响医院现有应用系统的正常运行为前提，不改变医务人员现有的操作习惯，进行相关流程的优化。设计依据根据医院安全认证系统的设计目标，在设计医院安全认证系统技术方案时遵循了相关的国家标准、卫生行业标准以及相应的国际标准。国家法规《中华人民共和国电子签名法》，2004年8月28日中华人民共和国第十届全国人民代表大会常务委员会第十一次会议通过；《电子认证服务管理办法》，工业和信息化部令2009年第1号《电子认证服务密码管理办法》，国密局公告第17号《证书认证系统密码及其相关安全技术规范》，国密局公告第3号《电子政务电子认证体系建设总体规划》，国密局联字[2007]2号《电子政务电子认证服务管理办法》，国密局发[2009]7号《智能IC卡及智能密码钥匙密码应用接口规范》，国密局公告第19号《公钥密码基础设施应用技术体系密码设备应用接口规范》《公钥密码基础设施应用技术体系通用密码服务接口规范》《信息安全技术公钥基础设施数字证书格式》，GB/T20518-2006卫生行业法规《电子病历基本规范（试行）》，卫医政发〔2010〕24号《电子病历基本架构与数据标准（试行）》，卫办发〔2009〕130号《电子病历系统功能规范（试行）》，卫医政发〔2010〕114号《基于电子病历的医院信息平台建设技术解决方案》，卫办综发〔2011〕39号《卫生系统电子认证服务管理办法（试行）》，卫生部印发(2009年)《卫生系统电子认证服务规范（试行）》，卫办综发〔2010〕74号《卫生系统数字证书应用集成规范（试行）》，卫办综发〔2010〕74号《卫生系统数字证书格式规范（试行）》，卫办综发〔2010〕74号《卫生系统数字证书介质技术规范（试行）》，卫办综发〔2010〕74号《卫生系统数字证书服务管理平台接入规范（试行）》，卫办综发〔2010〕74号架构设计电子病历电子认证系统总体架构主要由三部分组成：卫生部数字证书服务管理系统根据《卫生系统电子认证服务管理办法（试行）》的规定，卫生部将建设集中的数字证书服务管理系统，用于卫生系统内所有证书用户信息的收集、查询、统计和分析，以及进行用户意见收集、服务质量监督等管理工作。卫生部通过数字证书服务管理系统对在卫生系统领域开展电子认证服务的CA机构实行接入控制及服务管理。拟为卫生系统领域提供服务的电子认证服务机构，须符合《卫生系统电子认证服务管理办法（试行）》的相关要求，将电子认证系统接入到卫生部数字证书服务管理系统。东方中讯CA中心东方中讯CA中心为医院电子病历提供电子认证服务，主要包括证书业务服务和技术支持服务。证书业务服务主要包括用户管理、证书管理、证书查询和黑名单查询等。用户管理主要包括用户信息、单位信息的注册、更新等；证书管理主要包括证书申请、证书发放、证书更新、证书吊销、证书解锁、密钥恢复等业务服务；证书查询主要包括LDAP目录访问服务、OCSP证书在线状态查询服务及CRL证书黑名单列表下载服务。技术支持服务主要包括使用帮助、应用咨询培训、应急保障和应用集成支持等。东方中讯CA中心将数字证书申请、更新和吊销等相关信息同步到卫生部数字证书服务管理系统的功能。数据同步时，遵循和调用证书服务管理系统的证书信息同步接口。医院安全可信电子病历系统医院安全可信电子病历系统主要由电子病历业务系统、签名认证系统、LRA与证书管理员、医护人员和科室机构证书等构成。证书管理员通过LRA为医护人员、科室机构和内部设备发放数字证书。签名认证系统主要包括签名验证服务器及设备证书、时间戳服务器、标准时间源服务器、电子签章系统等模块组成。电子病历电子认证系统总体架构如下图所示：部署设计整体网络部署结构部署LRA系统，通过互联网与东方中讯CA中心实现实时互联；为医院证书管理员颁发数字证书，介质为USBKey，进行各种证书业务操作，如证书申请、证书发放、证书更新、证书吊销等。部署安全认证系统，配置签名验签服务器、电子签章系统、时间戳服务器、标准时间源服务器；在电子病历服务端系统部署并应用集成服务端安全接口模块；在电子病历客户端部署并应用集成客户端安全接口模块；为医护人员和科室机构签发数字证书，介质为USBKey；为内部设备签发数字证书，介质为硬件密码设备。具体部署如下图所示：产品清单名称单位数量备注签名验证服务器台1-2用于病历归档或存储时代表医院身份进行签名，以及对已有签名进行验证软硬一体化设备，内置加密卡建议采用2台进行热备时间戳服务器台1-2用于对电子病历签发时间戳软硬一体化设备，内置加密卡如需热备则配2台标准时间源台1用于从GPS卫星获取准确时间硬件电子签章系统套--用于对文档图表等进行可信签章，服务器端软件1套，客户端根据项目情况确定数量LRA系统套1实体信息和证书信息管理USBKey个N用于存储个人证书和机构证书个人证书张N证明个人身份机构证书张N证明机构身份设备证书张2+N用于时间戳服务器和签名验证服务器等设备产品介绍第三方电子认证服务机构东方中讯作为第三方认证服务机构于2005年通过资格审查，获得了《电子认证服务许可证》、《电子认证服务使用密码许可证》;2010年9月通过国密局审查,获得了电子政务电子认证服务许可资格；2010年9月29日通过卫生部电子认证接入测试。LRALRA是“第三方电子认证服务机构”的下级机构，用于实现人员和数字证书的医院属地化管理。系统逻辑结构如下所示：该系统主要功能如下：提供增加用户、修改用户、删除用户的相关功能。支持批量申请、批量制证。提供用户身份审核、证书申请、作废、更新、查询和下载功能。提供证书发放数量和情况统计，系统日志查询、分析、审计等功能。当LRA发生故障不可用时，更换的LRA软件可立即从服务器中中还原已有信息，避免信息的丢失，实现数据的快速恢复。USBKEY智能电子密码钥匙（USBKEY）是集智能卡和USB接口技术于一体的安全设备。它具有数字签名、数据加解密和证书存储等功能，适用于电子政务、电子商务、信息保密、网上银行等应用领域。主要功能如下：可用于用户身份认证；可用于安全存储数字证书、私钥和密码等信息；可用于数据签名/验证、加密/解密等操作；可用于访问SSL加密站点；支持邮件的加解密和签名验证；签名验签服务器签名验证服务器可以通过控件(按照卫生部标准开发)在客户端调用个人、机构证书进行签名，同时提供服务器端的服务器证书签名。验证模块用于验证证书的有效性、并验证签名数据的签名正确性。系统主要功能如下：功能说明数据签名功能提供P1、普通格式P7、attachP7detach、XML等多种格式的数字签名功能签名验证功能提供P1、普通格式P7attachP7detach、XML等多种格式的数字签名验证功能文件签名功能对文件提供数字签名功能文件验证签名功能对文件提供数字签名验证功能证书有效性验证功能提供黑名单OCSP等多种方式的证书有效性验证动态黑名单功能系统可以自动更新黑名单、动态更新，不需要重新启动服务多证书链功能可同时配置多条证书链，验证不同CA的用户证书获取证书信息功能提供证书解析功能，获取证书中的任意主题信息以及扩展项信息多种证书支持功能支持多种CA中心数字证书系统备份恢复功能系统可以备份当前所有配置，保证系统瘫痪时的快速恢复日志发送功能系统将日志以SYSLOG的方式发送到指定服务器。双机热备功能高可靠性多种开发接口支持客户端提供C开发API，COM方式API，Java开发API时间戳服务器时间戳是一套基于PKI技术的时间戳权威（TSA）系统软件，对外提供精确可信的时间戳服务。它采用精确的时间源、高强度高标准的安全机制，以确认系统处理数据在某一时间（之前）的存在性和相关操作的相对时间顺序，为实现系统数据处理的防抵赖性提供基础。利用时间戳服务器实现对内部信息传递时可信的时间确认，防止用户抵赖，确保内部信息的不可否定。在医院的医疗卫生业务系统中，时间是十分重要的信息。业务产生的时间、文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。系统主要功能如下：签发时间戳：用户将需要加盖时间戳的数据经过消息摘要后发送至服务器，由服务器返回包含时间元素的信息包。系统管理：进行系统管理的角色是系统管理员。系统管理员负责服务器的安装与部署、启动和停止系统服务。在系统出现问题时，在保证系统正常运行的情况下，设定进入/退出诊断状态，帮助客户进行快速准确的故障诊断。完成系统的备份与恢复，适时监控日志信息。密钥管理：提供专用的密钥管理工具，保证时间戳服务器签名证书的密钥安全保存、恢复和使用。日志管理：时间戳日志分为两类，分别是访问日志和系统日志。在访问日志中主要记录访问时间戳的详细信息，包括：服务器的操作类型、操作时间和其他的描述。在系统日志中记录了服务器的启动与停止情况、各服务模块的加载与运行情况及服务器发生的内部系统错误情况（例如在运行过程中，数据发生意外停止等。）标准时间源服务器标准时间源用于连接国际授时中心，从授时中心获取标准直接供时间戳模块进行调用。电子签章系统随着办公自动化中对文档的安全性、真实性的要求不断的提高，特别是针对手写签名、电子印章需求更加严格，要求在Word/Excel/Html/GDF版式文档上签名、盖章，需要实现多人会签、签章可验证、可认证、防抵赖等功能。本解决方案中所采用的电子签章系统由数字证书