醫(yī)院電子病歷安全保障體系構建

姚力，李哲

第四軍醫(yī)大學西京醫(yī)院 信息科，陜西西安 710032

醫(yī)院電子病歷安全保障體系構建

姚力，李哲

第四軍醫(yī)大學西京醫(yī)院 信息科，陜西西安 710032

醫(yī)療領域的特殊性對于網(wǎng)絡信息安全提出了更高要求。本文針對醫(yī)院電子病歷系統(tǒng)患者的隱私安全問題，提出了電子病歷系統(tǒng)認證與授權模型的構建方案，以從根本上提高醫(yī)院信息安全的有效性。

醫(yī)療信息安全；電子病歷；電子病歷系統(tǒng)認證

隨著醫(yī)院信息化建設的推進，以及現(xiàn)代信息技術的飛速發(fā)展，醫(yī)院患者的電子病歷作為信息時代的產(chǎn)物，其發(fā)展和安全日益受到人們的關注。醫(yī)院患者電子病歷系統(tǒng)的應用可以切實提高醫(yī)療工作的整體效率，為醫(yī)院內(nèi)部之間的信息交換與共享提供了便利條件。電子病歷記錄了醫(yī)院患者從就診到出院的全部醫(yī)療信息，也是醫(yī)生合理確定治療方案的重要依據(jù)，同時，電子病歷中包含的數(shù)據(jù)信息屬于患者個人隱私。從醫(yī)院信息化建設的長遠發(fā)展來看，電子病歷將會成為具有法律效應的重要數(shù)據(jù)信息。因此，醫(yī)院電子病歷系統(tǒng)需要一套完善的安全保障體制，防止在系統(tǒng)運行過程中由于人為因素或意外事故造成涉密信息丟失、篡改等事件，這些非法的操作都會對系統(tǒng)穩(wěn)定運行帶來一定影響。為此，本文提出一種采用公開密鑰基礎設施（PKI）技術的醫(yī)院電子病歷系統(tǒng)安全保障體制[1]。

1 電子病歷系統(tǒng)安全認證與授權模型的總體設計

基于PKI技術和公鑰基礎設施（PMI）系統(tǒng)的醫(yī)院電子病歷系統(tǒng)是一個安全認證體系結構完善的應用系統(tǒng)，其認證與授權模型包括認證模塊、授權模塊和用戶訪問控制模塊。其中，認證模塊負責實現(xiàn)用戶身份認證、數(shù)字簽名技術、數(shù)據(jù)信息加密等功能；授權模塊負責實現(xiàn)用戶數(shù)字證書申請、證書審核和證書頒發(fā)等功能；用戶訪問控制模塊負責實現(xiàn)用戶數(shù)字證書和屬性證書的權限控制[2]。

PKI在遵循國際標準的前提下，主要以公鑰技術為基礎，利用公鑰加密技術為電子商務的運營發(fā)展提供安全可靠的技術平臺支持和標準方案規(guī)范。對于數(shù)字簽名技術來說，其技術的核心同樣是創(chuàng)建證書認證中心（Certificate Authority，CA）。CA認證中心負責對公鑰加密過程中所需的密鑰、證書進行生成和管理，其內(nèi)容包括證書持有人的身份信息、基本信息等，這些都是PKI應用中的關鍵組成部分。目前，國際信息安全領域?qū)τ赑KI的重要性日益重視，PKI已經(jīng)成為公認的互聯(lián)網(wǎng)信息安全保障措施。基于PKI架構基礎，本文進一步提出了PMI系統(tǒng)的構建，即采用CA數(shù)字證書技術，向醫(yī)院電子病歷系統(tǒng)提供用戶身份認證服務。同時，PMI系統(tǒng)能夠為醫(yī)院電子病歷系統(tǒng)提供與實際應用處理模式對應的用戶授權訪問控制機制，減少應用系統(tǒng)的開發(fā)設計、維護管理工作，從根本上保障醫(yī)院電子病歷系統(tǒng)用戶身份驗證與訪問控制的有效性。電子病歷系統(tǒng)認證與授權模型總體結構，見圖1。

圖1 醫(yī)院電子病歷系統(tǒng)認證與授權模型總體結構示意圖

當有用戶需要對電子病歷系統(tǒng)資源發(fā)起訪問之前，必須向認證與授權模型中的用戶注冊中心服務器提出身份證書申請，由用戶注冊中心服務器經(jīng)過審批之后確定是否向該用戶發(fā)放相應的數(shù)字證書，并且將用戶提出的申請轉(zhuǎn)給CA認證中心，當CA認證中心完成數(shù)字證書簽發(fā)之后，再將其存儲到證書發(fā)布服務器（LDAP）（輕量級目錄訪問協(xié)議）服務器中，以電子郵件或其他通信方式將結果轉(zhuǎn)給用戶證書的URL，用戶接到通知后，到相應的URL中獲取數(shù)字證書，最后將數(shù)字證書存儲到客戶端的應用程序中[3]。

當用通過向客戶終端向系統(tǒng)信息資源服務器發(fā)出請求時，如果用戶訪問的信息資源需要特殊的訪問權限，服務器則會向用戶發(fā)出索要數(shù)字證書和身份證明的要求，同時對用戶提供的數(shù)字證書進行檢查和驗證，按照預先設定的訪問控制策略對用戶是否具有資源訪問的權限進行檢驗，如果通過合法驗證，用戶則可以對該資源發(fā)起訪問[4]。

2 電子病歷系統(tǒng)安全認證與授權模型的詳細設計

2.1 認證模塊的設計

2.1.1 認證中心

CA認證服務器負責數(shù)字證書的簽發(fā)，也是證書認證機構的核心部分。CA認證中心自身產(chǎn)生公鑰和密鑰，進一步生成數(shù)字證書，并將其傳遞給安全服務器，同時負責數(shù)字證書的撤銷工作。CA認證中心還負責為安全服務器、注冊服務器和系統(tǒng)操作員生成數(shù)字證書。生成的數(shù)字證書和私鑰都需要傳遞給安全服務器。而且，CA認證中心還能為系統(tǒng)提供部分其他服務，包括數(shù)字證書作廢處理、密鑰備份和密鑰恢復等。CA認證中心必須具備良好的安全保證機制，實現(xiàn)用戶權限管理、日志審計、密鑰管理等功能。CA服務器負責存儲數(shù)字證書發(fā)行的腳本文件，因此是整個系統(tǒng)中最為重要的部分。由此，必須將CA服務器與其他服務器相互隔離，并采取人工干預的方式來保證CA認證中心的安全[5]。

2.1.2 注冊中心

注冊中心（Registration Authority，RA）服務器主要是為登記中心提供操作服務，在CA認證中心體系結構中起著中間紐帶的作用，RA注冊中心不但承擔了向安全服務器轉(zhuǎn)發(fā)數(shù)字證書申請的服務，同時，RA注冊中心負責向LDAP服務器轉(zhuǎn)發(fā)數(shù)字證書及其撤銷的信息[6]。

RA注冊中心接受用戶注冊信息和數(shù)字證書申請需求，并且向與之對應的證書服務器頒發(fā)數(shù)字證書。首先，用戶通過RA中心服務器注冊個人基本信息，通過后才可以申請CA數(shù)字證書。而且，在用戶數(shù)字證書申請過程中，是由RA注冊中心服務器將用戶信息傳送到CA數(shù)字證書服務器中，并由其向用戶頒發(fā)CA數(shù)字證書。

2.1.3 LDAP

LDAP[7]可以實現(xiàn)目錄瀏覽功能，并且將RA注冊中心服務器傳來數(shù)字證書存儲到服務器中。當用戶訪問LDAP證書發(fā)布服務器時可以實現(xiàn)數(shù)字證書的查詢和下載功能，以及數(shù)字證書的撤銷功能。

2.1.4 安全服務器

安全服務器主要是面向用戶提供數(shù)字證書的申請、證書瀏覽、證書撤銷和證書列表下載的安全服務。安全服務器采用的通信方式大多是SSL協(xié)議。首先，用戶通過安全服務器獲得CA認證中心頒發(fā)的數(shù)字證書，此時，用戶提出申請、瀏覽公鑰等信息。服務器之間的通信全部實現(xiàn)加密傳輸，只有通過安全服務器中的私鑰才能獲得解密信息，由此，能夠有效保證外界非法入侵者不會竊取到明文信息，真正提高了數(shù)字證書申請和傳輸?shù)陌踩訹8]。

2.2 授權模塊的設計

2.2.1 屬性權威

屬性權威（Attribute Authority，AA）主要負責接收管理員提出的請求，并按照請求執(zhí)行相關操作。為用戶和資源方提供數(shù)字證書簽發(fā)、注銷、發(fā)布等服務。同時，AA屬性權威還負責管理數(shù)字證書的生命周期活動[9]。

2.2.2 注冊申請機構

注冊申請機構（Attribute registration authority，ARA）主要負責接收和審核用戶注冊的基本信息，并且將生成的用戶標識名稱和用戶密碼傳送到用戶身份信息數(shù)據(jù)庫中。ARA注冊申請機構主要是對用戶信息的真?zhèn)芜M行驗證，保證用戶身份與其所屬證書信息的一致性。

為了保證認證體系的安全性，用戶需要向ARA注冊申請機構提供身份信息，并且提供證明用戶身份信息的公鑰數(shù)字證書。用戶可以在線輸入用戶基本信息，將用戶基本信息存儲于用戶數(shù)據(jù)庫中，再利用PKI證書對用戶身份的真?zhèn)芜M行驗證，最后，按照醫(yī)院設定的用戶授權策略允許用戶進入到與之對應的角色數(shù)據(jù)庫中，并對該角色授予訪問權限。

2.2.3 授權策略管理

授權策略管理包括用戶授權管理、策略定義管理等，系統(tǒng)管理員按照醫(yī)院預先制定的授權策略完成用戶授權分配，授權策略包括用戶角色定義策略、用戶權限定義策略、用戶授權管理策略等。

2.3 訪問控制模塊的設計

2.3.1 訪問控制子模塊

根據(jù)用戶提出的操作請求來調(diào)用認證與授權子模塊，用以確定用戶是否擁有相關權限可以對目標資源進行訪問。

2.3.2 身份認證子模塊

身份認證子模塊主要是對用戶身份進行合法驗證，確定用戶公鑰數(shù)字證書是否有效，對用戶屬性證書中的必選擴展項是否含有不支持的選型進行檢查，同時，按照認證模塊中的標準和規(guī)定，對用戶屬性證書的屬性字段進行檢查。

2.3.3 用戶授權子模塊

用戶授權子模塊主要是對用戶所屬角色的數(shù)字證書分配情況進行檢索，角色分配屬性數(shù)字證書的持有人字段應該直接指向公鑰證書，對用戶角色分配屬性數(shù)字證書簽名的正確與否進行驗證；對用戶角色分配的屬性證書是否存在于有效期內(nèi)進行驗證；對用戶屬性證書的屬性權威AA的公鑰數(shù)字證書的有效性進行驗證，用戶屬性證書的屬性權威AA必須是授信的用戶。同時，該模塊還可以對屬性證書的LDAP進行訪問，檢索與用戶角色相對應的屬性證書，并對其有效性進行驗證。

3 電子病歷數(shù)字簽名應用實現(xiàn)

3.1 設備部署說明

系統(tǒng)部署1臺身份認證服務器、1臺簽名驗簽服務器，連接密碼機，提供身份認證識別（證書鑒別）、數(shù)據(jù)加密解密、數(shù)字簽名及驗簽等安全功能，以保證系統(tǒng)數(shù)據(jù)機密性、完整性，防抵賴。

部署1臺時間戳服務器，提供精確的、可信賴的，且不可抵賴的時間戳服務。另外時間戳服務器還提供網(wǎng)絡校時功能，可作為全網(wǎng)校時服務器使用。

部屬1臺服務器密碼機（下稱密碼機）。密碼機是通過國家密碼主管部門鑒定并批準使用的國內(nèi)自主開發(fā)的主機加密設備。服務器密碼機是PKI通用網(wǎng)絡安全服務平臺的高端核心設備，位于PKI安全體系的硬件加密層，具有模塊化設計、安全存儲密鑰等特性，為應用系統(tǒng)提供數(shù)據(jù)加密/解密、數(shù)字簽名/驗證、密鑰管理及身份認證等功能。

針對系統(tǒng)的安全需求，方便系統(tǒng)集成，開發(fā)了系統(tǒng)安全中間件[10]。中間件是以PKI為基礎，遵循國際、國內(nèi)安全標準，面向信息安全應用，提供數(shù)字證書安全服務，符合衛(wèi)生部技術規(guī)范接口。中間件向上為應用系統(tǒng)提供開發(fā)接口，向下提供統(tǒng)一的密碼算法接口以及各種設備驅(qū)動接口。中間件屏蔽了安全技術的復雜性，使開發(fā)人員無須具備專業(yè)的安全知識背景就能夠構造高安全性的應用。

3.2 電子病歷的電子簽名驗證流程

為了保證電子病歷核心數(shù)據(jù)的完整性，防止被篡改，加入電子簽名驗證[10]。客戶端的數(shù)字簽名由電子病歷系統(tǒng)通過PKI安全中間件調(diào)用用戶的USB_KEY數(shù)字證書完成，其實現(xiàn)流程：① 醫(yī)生插入USB_KEY數(shù)字證書進入電子病歷系統(tǒng)，驗證身份；② 醫(yī)生填寫病程記錄，并提交；③ 客戶端程序調(diào)用USB_KEY數(shù)字證書，對醫(yī)生診斷記錄數(shù)據(jù)進行數(shù)字簽名并提交診斷記錄簽名原文和簽名值；④ 簽名驗簽服務器獲取簽名原文和簽名值，驗證簽名值是否正確；⑤ 若驗證成功則保存醫(yī)生診斷記錄數(shù)據(jù)和相應簽名值，進行后續(xù)業(yè)務處理，若驗證失敗提示數(shù)字簽名失敗。電子病歷電子簽名驗證流程，見圖2。

圖2 電子病歷電子簽名驗證流程示意圖

3.3 簽名信息的存儲

在電子病歷系統(tǒng)中增加統(tǒng)一的表，用來記錄系統(tǒng)模塊簽名產(chǎn)生的簽名值，需要解決簽名記錄與簽名值的映射關系，保證可追溯性。表信息包含檢查編號、系統(tǒng)流水號、簽名原文、簽名值等信息。

同時為了保證醫(yī)院的利益，避免在醫(yī)療糾紛時，將簽名信息在認證機構服務器內(nèi)另外保存1份，存儲內(nèi)容包含檢查編號、系統(tǒng)流水號、簽名值等信息。

4 結語

本文根據(jù)醫(yī)院電子病歷系統(tǒng)面臨的實際信息安全問題，利用PKI技術、LDAP技術等提出了醫(yī)院電子病歷系統(tǒng)認證與授權模型的構建方案，安全模型的設計嚴格遵守國家信息安全標準，采用了用戶訪問控制、用戶授權管理等安全保障機制，提高醫(yī)院電子病歷系統(tǒng)的權威性、準確性和公平性。

[1] 徐航龍,馬冠穎,戴明浪．我院電子信息存儲系統(tǒng)配置實施分析[J]．中國醫(yī)療設備,2014,29(6):47-49．

[2] 陳金雄．電子病歷建設與發(fā)展[J]．中國數(shù)字醫(yī)學,2011,6(5):53-55．

[3] 劉海一．醫(yī)院電子病歷應用水平的評價方法探討[J]．中國數(shù)字醫(yī)學,2011,(11):40-42．

[4] 唐雄,張巨發(fā),徐傳新．依托電子病歷的病區(qū)護理質(zhì)控管理系統(tǒng)的開發(fā)及應用[J]．醫(yī)療衛(wèi)生裝備,2012,(7):52-53．

[5] 方堃靖,等．中醫(yī)電子病歷系統(tǒng)接口的設計與實現(xiàn)[J]．中國醫(yī)療設備,2014,29(8):46-48．

[6] 高敏,葉晰,蔣靜,等．電子病歷信息安全共享關鍵技術[J]．計算機系統(tǒng)應用,2012,(12):12-16．

[7] 周耀林,黃靈波．電子病歷檔案安全管理探析[J]．檔案與建設, 2013,(3):20-22,32．

[8] 王琳．電子病歷的安全管理策略分析[J]．當代醫(yī)學,2013,(7): 17-18．

[9] 施榮華,王偉,董健．基于身份密碼體制的電子病歷系統(tǒng)安全方案[J]．計算機應用研究,2013,(7):2140-2143．

[10] 李波．服務器虛擬化技術在醫(yī)院信息系統(tǒng)中的應用[J]．醫(yī)療裝備,2010,(12):15-16．

Construction of an EHR Security System in the Hospital

YAO Li, LI Zhe
Department of Information, Xijing Hospital of the Fourth Military Medical University, Xi’an Shaanxi 710032, China

The particularity of the medical field raised higher requirements pf network information security. In view of the patients’ privacy security issues of the EHR (Electronic Health Record) system in the hospital, this paper proposed a solution to construct an EHR system authentication and authorization model so as to improve the safety of hospital information fundamentally.

medical information security; electronic health records; electronic health record authentication

TP393.08

A

10.3969/j.issn.1674-1633.2015.06.024

1674-1633(2015)06-0092-03

2014-11-11

2015-01-05

國家863課題（2012AA02A613）。

本文作者：姚力，工程師，主要從事網(wǎng)絡維護及安全方面工作。

李哲，副教授，西京醫(yī)院信息科主任。

通訊作者郵箱：xjyykyb@fmmu．edu．cn