基于云簽名的居民健康檔案隱私保護應用研究

鄭靜，金新政，沈麗寧，林德南?

（1. 深圳市醫學信息中心，廣東 深圳 518000； 2.華中科技大學同濟醫學院醫藥衛生管理學院，湖北 武漢 430030）

基于云簽名的居民健康檔案隱私保護應用研究

鄭靜1，金新政2，沈麗寧2，林德南1?

（1. 深圳市醫學信息中心，廣東 深圳 518000； 2.華中科技大學同濟醫學院醫藥衛生管理學院，湖北 武漢 430030）

居民健康檔案信息涉及個人隱私，且在居民進行相關信息查詢時，數據要通過開放性的互聯網進行傳輸，因此保障這些數據的安全尤為重要。基于此，本文首先對電子健康檔案隱私保護需求展開分析，接著提出基于云簽名的居民隱私保護認證的總體架構，并闡述移動設備APP云簽名安全認證實現環節， 以有效解決醫療數據的安全性問題，實現居民健康檔案隱私保護。

電子健康檔案；隱私保護；云簽名

0 引言

衛生信息化是現代醫學模式發展的必然選擇，也是深化醫藥衛生體制改革的迫切需要。在衛生信息化發展過程中，通過收集各階段衛生服務和管理信息，以數字化方式存儲、交換，實現加強衛生服務管理、優化衛生服務模式從而實現提高居民健康水平的根本目的[1]。電子健康檔案的設計、建設、應用是衛生信息化的重要支撐之一。為向廣大的居民提供更好的衛生服務，深圳市衛計委特進行電子健康檔案系統的建設，為用戶提供基于網絡的健康檔案查詢平臺，保證居民能在任何時間、地點方便的查詢獲取到自己的以往健康檔案，無論到哪家醫院就診或體檢，都能及時提取到相關信息，為進一步的診療提供可靠的依據，最終實現衛生信息化為民所用。

電子健康檔案信息系統是醫療衛生機構為居民提供服務過程中的規范記錄，是以居民健康為中心、貫穿整個生命過程、涵蓋各種健康相關因素的系統化記錄文件，這些文件記錄每個人從出生到死亡的所有生命體征的變化，以及自身所從事過的與健康相關的一切行為與事件的檔案[2]。這些信息涉及個人隱私，因此保障這些數據的安全尤為重要。隨著移動互聯網的發展，用戶健康檔案通過手機在線化和移動化的查詢需求日益增多，傳統的基于手機的安全解決方案很難滿足新技術和移動新業務模式下的安全需求。

1 電子健康檔案隱私保護需求分析

電子健康檔案中所記錄的數據包含既往病史、診治情況、家族病史、現病史、體檢結果及疾病的發生、發展、治療和轉歸的過程等，特別是涉及有傳染、艾滋、精神等特殊疾病的，涉及用戶個人隱私，極具敏感性[3]。并且居民是通過互聯網查閱健康檔案，互聯網的開放性和協議安全性，都導致了用戶個人隱私被泄露的隱患。另外，我國涉及患者個人信息隱私保護的規定只有對醫護人員工作范疇內的隱私保護行為規范，但并不具備法律效力，讓個別單位或個人對健康檔案信息的侵害有機可乘[4]。因此，如何解決身份被冒用，數據被非法竊取或使用等安全問題已經成為居民健康檔案安全建設中的當務之急。據此，得出以下安全需求。

1.1 安全的身份認證需求

用戶訪問健康檔案系統時，需要采取安全強度較高的用戶認證技術，保證用戶的身份真實性，只有通過身份安全認證的用戶才有權查閱自己的健康檔案。一方面要解決終端用戶傳統用戶/口令的弱認證方式。另一方面，由于大眾用戶的特點，身份認證要可以支持多種終端設備，兼容傳統PC、平板電腦、手機終端等[5-6]。

1.2 業務數據真實性需求

真實性主要體現在實時性和不可篡改性。也就是能夠實時記錄健康檔案系統收集來的健康信息，應具備符合“電子簽名法”要求的電子簽名，記錄的內容應具備防篡改功能和不可抵賴性。因此，需要建立電子健康檔案數據的完整性保護機制，使用技術手段保證業務數據在系統中產生、傳輸、再利用的整個生命周期過程完整、準確。

1.3 健康檔案數據傳輸的安全需求

確保身份認證安全的同時，還應該確保個人健康信息通過互聯網訪問時，保障數據不會被惡意攔截和非授權獲取。

另外，健康檔案系統面向大眾用戶提供服務，需要用戶可以隨時訪問，系統的操作簡單方便，在保證安全性的同時應綜合考慮應用推廣的成本。傳統的強身份認證方案，大多基于硬件密碼介質。但終端用戶為大眾群體，使用密碼介質成本過高，同時要保證用戶在移動端設備上進行訪問時的操作要簡單易用。因此，業務需要一種成本低廉、使用便捷、且同時具備安全性的認證方案。

2 總體架構與實現環節

圍繞健康檔案業務系統安全需求，依據《中華人民共和國電子簽名法》、《衛生系統電子認證服務管理辦法》及相關標準規范要求等，提出采用基于PKI/CA機制的電子簽名技術的隱私保護方案[7-8]。同時，在此技術基礎上，將傳統基于硬件介質的電子簽名方式轉化為將用戶密鑰安全的保存在云端的云簽名方式以滿足經濟易用性需求。用戶只需要在手機上安裝簽名APP軟件，輸入簽名口令即可完成數字簽名操作，實現系統和用戶之間傳輸的數據信息的安全性、完整性以及彼此身份的真實性與合法性。

2.1 總體架構

基于BJCA云簽名的安全認證，為居民健康檔案系統登錄認證提供基于移動設備的身份認證、電子簽名等服務。總體架構如圖1所示。

圖1 基于云簽名的安全認證總體架構

如上圖所示，總體架構設計分為四大部分：

（1）云服務系統

云服務系統包括健康檔案系統業務端和移動客戶端兩部分，提供基于數字證書的身份鑒別方式，通過服務端組件和客戶端中間件實現具體的功能。在健康檔案業務系統服務端部署簽名設備，實現對數據或文件的云簽名和簽名驗證。通過在移動客戶端安裝云簽名APP，實現用戶注冊登錄及簽名確認等功能。

（2）云簽名平臺

健康檔案業務系統接入云簽名平臺，平臺端的所有云端服務由BJCA運營，為健康檔案系統提供認證和簽名等安全服務，主要功能包括數據簽名、密鑰管理、證書管理、用戶管理、安全審計等。

（3）BJCA數字證書服務平臺

云簽名平臺后臺通過合法可信的第三方BJCA中心為系統為用戶提供數字證書服務，如鑒證服務、身份認證服務、證書更新服務、證書注銷服務等證書生命周期管理服務。

（4）SSL安全傳輸通道

系統間的數據交互，全部使用標準的SSL/ TLS協議進行加密保護，并且網絡間傳輸的數據均為密文數據，雙重加密能夠為健康數據在網絡中的傳輸提供可靠地隱私安全保障。

2.2 移動設備APP云簽名安全認證實現

居民健康檔案系統通過應用云安全服務，完成業務APP安全登錄和簽名的業務場景。基于標準的PKI安全登錄和簽名流程，相對傳統方案簽名數據會以更安全的方式通過客戶端發送給云服務端，增強了系統的安全性。客戶端只需調用“簽名”接口，并將結果發送給服務端來完成安全登錄和簽名，具體流程為：用戶綁定手機激活—通過云簽名平臺發送請求給BJCA數字證書服務平臺—BJCA系簽發數字證書后將證書返回給用戶—用戶通過APP登錄健康檔案系統—客戶端APP調用簽名接口，用戶通過在頁面上輸入密碼，確認簽名操作—云服務端簽名驗證—安全認證流程完成。

通過引入了電子認證服務體系，將電子健康檔案與云簽名技術有效結合，這種安全的、便捷的認證授權方式可以實現用戶可靠的身份認證與電子簽名，保證用戶使用手機互聯網進行查詢獲取自己的健康檔案信息的安全。

3 結論

我國的居民健康檔案在信息技術支持下，伴隨社區衛生服務的發展會被予以更多關注。然而，我們更應對由健康檔案所產生的隱私保護方面的問題予以重視[9]。在健康檔案系統中引入BJCA提供的云簽名電子認證服務，不僅有效解決了廣大用戶在登錄查詢本人健康檔案信息時的安全問題，并且這一舉措對整個醫療衛生行業的信息化安全建設具有示范性意義。醫療信息行業需要在居民健康檔案隱私保護方面繼續努力，政府應逐漸建立和完善針對健康檔案的相關制度，使得健康信息主體的隱私權得到更好的保護，為廣大居民提供便捷安全的衛生服務[10]。

[1] 張濤, 田國棟, 蔡佳慧,等. 電子健康檔案隱私保護相關問題的思考[J]. 中國衛生信息管理雜志, 2011, 08(4):79-82.

[2] 劉鑫. 基于云計算的健康檔案的隱私保護研究[D]. 中南大學, 2014.

[3] 那旭, 郭珉江, 謝莉琴,等. 國外居民電子健康檔案共享服務體系建設及啟示[J]. 中華醫學圖書情報雜志, 2015, 24(10):18-21.

[4] 高昭昇, 馮東雷, 徐靜,等. 基于區域衛生信息平臺的隱私和安全保護措施[J]. 中國數字醫學, 2016, 11(1):109-112.

[5] 遲晨陽, 毛華堅, 孟海濱,等. 電子健康檔案信息安全和隱私保護的關鍵問題和研究進展[J]. 中華醫學圖書情報雜志, 2015, 24(11):22-26.

[6] 高玉平, 李冰華, 黃刊迪,等. 區域醫療信息共享中健康檔案安全與隱私保護的領域分析[J]. 中國數字醫學, 2013(11):69-72.

[7] 楊晨. 中華人民共和國電子簽名法[M]. 法律出版社, 2004.

[8] 趙士潔. 衛生部印發《衛生系統電子認證服務管理辦法(試行)》通知[J]. 中國數字醫學, 2010, 5(2):5-5.

[9] 李靜, 夏洪圖. 保護居民電子健康檔案信息的意義和建議[J].中國病案, 2010, 11(6):49-50.

[10] 謝莉琴, 代濤, 胡紅濮,等. 區域衛生信息化環境下信息安全與隱私保護策略研究[C]// 中華醫學會第十七次全國醫學信息學術會議. 2011:41-43.

Research of the Application of Privacy Protection for Health Records of Residents Based on E-signature

ZHENG Jing, JIN Xin-zheng , SHEN Li-ning ，LIN DE-nan
(1. Shenzhen Medical Information Centr e, Guangdong 518000, Shenzhen, China;2. School of Medicine and Health Management，Tongji Medical College of Huazhong University of Science & Technology, Hubei 430030, Wuhan, China)

Since health records of residents involve personal privacy, and the data is transmitted through the open Internet when residents search for information related to their health, it is particularly important to secure these data. Therefore in this thesis, the authors will first analyze the demand of privacy protection for electronic health records and then put forward an overallstructure of e-signature based on protection and authentication of personal privacy. The authors will also expound on the authentication of e-signature on mobile applications so as to efficiently address the security issues of medical data and protect residents’ privacy in their health records.

Electronic health records; Privacy protection, e-signature

10.19335/j.cnki.2096-1219.2017.04.01

廣東省醫學科學技術研究基金項目（編號：C2016033）;深圳市衛生計生系統科研項目（編號：201504005）

鄭靜，深圳市醫學信息中心副主任，高級工程師，博士，研究方向：衛生信息管理。

林德南。