基于加密芯片的健康管理高安全系統的構建與應用

劉亞，蘇皖，楊剛，張龍江，湯黎明，盧光明

中國人民解放軍東部戰區總醫院 放射診斷科，江蘇 南京 210002

引言

隨著生物醫學圖像設備和圖像處理技術的現代化，利用超聲、計算機斷層掃描、磁共振成像、正電子發射斷層掃描等技術，產生了大量患者的醫學圖像[1-2]，且圖像數據量仍在迅速增長[3]。而國內絕大多數醫院都還手動或使用自助打印機打印塑料膠片給患者[4]，且用量還在高速增長。我們使用塑料膠片在給患者帶來好處的同時，也不能忽視其弊端：制造、測試和丟棄的膠片會帶來很多污染；管理大量的膠片和膠片打印機會增加醫院支出；病人需要排隊打印膠片，容易形成擁堵現象，影響病人就醫體驗；病人轉診就醫時需要隨身攜帶膠片和病歷等，非常不便；有時各醫院的檢查膠片不互認，重復檢查，浪費金錢和時間等等。

目前的醫療條件下，如果患者在原醫院二次就診間隔超過5年，某些醫院的影像資料可能自動清除，以保證醫院醫學影像存檔與通信系統（Picture Archiving and Communication System，PACS）有足夠的存儲空間，因此超過5年則可能無法調閱期限之前的影像資料。

隨著互聯網技術的成熟和網絡安全要求不斷嚴格，涉及老百姓個人的隱私信息越來越受到重視[5]，各種利用互聯網技術的云膠片平臺和遠程診療的應用不斷進入市場[6]。但通過開放網絡傳輸醫學圖像是有風險的，而且很容易被黑客非法訪問[7-8]，醫療圖像的安全性受到惡意篡改和隱私泄露的嚴重挑戰[9]。如果這些私人圖像被偷看或被未經授權的人使用，可能會發生災難性事故[10]，如醫療營銷和欺詐性保險索賠。為了安全地傳輸和存儲這些醫學圖像，需要開發更多的安全技術[11-12]。只有當醫療數據是高度安全時，才能實現有效的醫療服務[13]。本文將詳細介紹中國人民解放軍東部戰區總醫院放射診斷科研發測試的新型云膠片系統——“檢查檢驗圖像數據存儲記錄系統”，一種新型的基于加密芯片的高安全醫療數據健康管理系統，以期解決上述塑料膠片帶來的種種弊端和云存儲數據安全性問題，給患者帶來更多便利。

1 系統功能的構建

該系統采用內外網完全物理隔離的模式，主要包括集成大容量（16～128 G）醫療信息存儲芯片加密卡（在當地已成為健康信息存儲卡）、自助下載機、自助上傳機、PACS高速緩存服務器、健康信息處理小程序及健康云平臺軟硬件配套設施，其實物如圖1所示，技術路線圖如圖2所示。患者在初次就診時，須在醫院掛號處或放射科登記臺更換醫療信息存儲芯片加密卡，并激活（將患者的個人信息寫入，如身份證號、手機號等）。激活后的健康信息存儲卡，不僅有常規門診就診的功能，還可以用于患者健康隱私信息存儲、查閱、應用及管理個人生命全周期健康資料，實現脫敏信息異地共享、患者跨院跨地區就診，還具有高度保密的特點。

圖1 內網自助下載機和外網自助上傳機及其下載、上傳、登錄界面

圖2 系統技術路線圖

該系統也充分符合國家可信計算3.0標準的架構設計規范，采用國家密碼管理局認證的服務器PCI可信控制卡、芯片卡內置通過USB接口的可信硬件級加密芯片、全系統采用國產硬件電腦和國產操作系統，通過了公安部等保三級標準；為實現離線可跨院共享加密數據，采用了雙向密碼認證技術，無需統一的密碼認證服務器，可實現不同醫院之間密碼相互認證。可信計算3.0架構如圖3所示。

圖3 可信計算3.0架構

2 內外網區系統構建

2.1 內網區系統的構建

醫院的內網區如圖4所示，主要包括醫院內網自助機、高速緩存PACS服務器。首先構建一個高速緩存PACS服務器，只進行數據接收，不影響醫院各類子系統的正常運行。以統一對所有病人的醫學檢查、檢驗的圖像、電子報告等14大類數據進行同步傳輸、解析、存儲和管理。病人在各個檢查、檢驗單元做完檢查后，醫學圖像和相關電子報告將被推送至該高速緩存PACS服務器。該服務器還通過輪詢方式或者消息隊列的方式同步下載病人RIS信息，包括診斷報告、檢驗報告等，并解析存儲到該緩存服務器。病人在做完檢查、檢驗后，就可以將醫療信息存儲芯片加密卡插入內網自助機，下載自己的健康信息到醫療信息存儲芯片加密卡中。門診就醫時，醫生可以用瀏覽器調取PACS高速緩存服務器中病人的本院圖像和報告等信息，也可以通過讀取病人上傳到服務器的外院檢查、檢驗數據，準確高效地做出臨床診斷。

圖4 內網區設備連接圖

2.2 外網區系統的構建

醫院的外網區如圖5所示，包括外網自助機、健康云平臺。患者可以根據自己的需求，將醫療信息存儲芯片加密卡中的健康信息使用自助上傳機上傳到健康云平臺。再使用任何可連接外網的設備，如PC、PAD及手機等通過Web瀏覽器或者小程序端登錄訪問自己的健康信息，無需在客戶端安裝任何插件或驅動程序。病人在外院就診時，就可以讓醫生用瀏覽器查看病人各種醫學信息，方便快捷；或者患者通過外院自助機上傳沒有上云的芯片卡內數據到外院高速服務器中，讓臨床醫生像使用醫院內網的方式一樣調閱病人信息，并可以使用重建手段進行重建影像信息。

圖5 外網區設備連接圖

3 系統的安全防護措施

本系統安全性極強，系統完全隔離內外網，隔離外網病毒和黑客的侵入，確保信息安全。就診者上云端瀏覽時需要按規定進行注冊和登錄，以防止他人盜用相關的健康信息。而醫療機構的外網和內網是一般是物理隔離的，因此，外網的數據即使受到攻擊，也不會對內網及加密存儲芯片上的數據造成影響。加密芯片、專用讀卡器、個人條形碼、手機驗證碼等軟硬件結合提供多重保護，避免了通過介質（如USB）易感染病毒的風險。

3.1 硬件設備加密，國密級算法標準

醫療信息存儲芯片加密卡的設計符合《GMT0016智能密碼鑰匙密碼應用接口規范》，是基于PKI密碼體制的智能密碼鑰匙密碼應用接口，加密卡儲存芯片文件系統采用明文區和私有存儲區分開的文件系統，醫療數據全部存儲于私有文件區域，無密鑰環境下無法看到私有區，更無法讀取。而芯片卡的金手指采用異形非標布局，保障了患者存儲卡保密性，在一定程度上排除了醫療信息存儲芯片加密卡丟失或被惡意破解帶來的安全隱患。卡加密的流程如圖6所示。患者將醫療信息存儲芯片加密卡插入一體機，加密系統將進行如下流程：① 客戶端向服務器發送認證請求需要的信息；② 服務器向客戶端傳送身份認證關鍵信息；③ 客戶端利用服務器傳過來的信息驗證合法性，并發送自己的身份驗證信息；④ 客戶端把加密后的“基礎數據”傳送給服務器端；⑤ 服務器將用自己的私鑰解開加密的“基礎數據”，然后產生相同的通話密鑰；⑥ 此時主客兩端已經有相同的通話密鑰，之后主客端的數據通信就用這個通話密鑰加密，當然收到數據后的解密也用這個通話密鑰。這種卡加密方案需要定制開發帶CPU的TF卡，成本較高，但患者數據無需上云也能支持跨院診療，患者數據需要經過身份驗證的讀取設備才能讀取，保證了安全性。

圖6 存儲卡身份認證及密鑰交換流程圖

3.2 數據傳輸不落地，閱后即焚

本系統的網絡傳輸環節安全設計為數據只有在內存中是明文狀態，其他環節都是密文狀態或位于私有文件區域。保證了數據在網上傳輸過程中不被攻擊篡改。系統軟件開發為數據不落地、數據不出門，所有數據都無法隨意下載，即使臨床醫生的客戶端在沒有患者授權下將無法下載相關數據。同時網上分享的模塊設計有閱后即焚限制，默認為7次或24 h的患者數據查詢權限，二者之一達到就觸發閾值，關閉查詢權限。內存中的數據也自動銷毀，保證患者共享后的私人數據無法被非法截取和傳播。

4 應用效果

本系統在三級、二級醫院規模測試的結果，累計通過免費和自費發放了400多張醫療信息存儲芯片加密卡，使用該系統的患者主要需求有以下兩種場景：

（1）一些患者對隱私安全性要求比較高，希望數據留在卡內而不傳輸到云端。患者可以從醫院內網下載到醫療信息存儲芯片加密卡內，跨院就診時只需攜帶該醫療信息存儲芯片加密卡即可。首先將該卡插入外院自助機，數據會上傳到PACS高速服務器上，醫生打開瀏覽器即可觀看其就診醫學資料。為了最大限度保障患者隱私，資料不會在醫生電腦內保存，同時存在PACS上的數據在達到讀取限制或時間限制后會自動刪除。

（2）另外一些患者對隱私安全要求相對沒有那么高，他們希望更方便地跨院就診。具體步驟是患者將醫學資料從醫院內網下載到醫療信息存儲芯片加密卡內，然后再將此卡插入外網自助機中，再將資料上傳到云端服務器。患者在跨院診療時，醫生在患者的授權下可以直接從網絡服務器調取患者信息進行診斷，大大方便了患者就醫。

經過系統試運行之后，發現該系統相比傳統的自助膠片系統有多種優點如表1所示。

表1 傳統自助膠片系統和基于加密芯片的健康管理系統對比表

試用期間我們隨機對30人使用過這兩種系統的病人進行了針對系統安全性和便攜性方面的滿意度調查，調查采用5分制，1～5分別為很不滿意、不滿意、一般、滿意和很滿意。使用SPSS 22.0軟件統計并t檢驗后，發現病人對基于加密芯片的健康管理系統的安全性和便捷性方面的評價都明顯高于傳統自助膠片系統，且差異有統計學意義（P<0.05）（表 2）。

表2 患者對傳統自助膠片系統和基于加密芯片的健康管理系統的評價（分）

5 討論

本文創新性地提出了使用加密芯片卡與云存儲相結合的方式，解決了病人信息的安全性和外院診療不方便的痛點。和傳統膠片打印系統相比較來說，基于加密芯片的健康管理系統從檢查信息完整度和豐富度、使用便捷性、信息安全性、經濟性、高效性和環境安全性等來說都具有相當大的優勢，同時病人也非常認可該系統。在該系統試用期間，我科的PACS曾發生過宕機且短時間內無法修復的事故，而各個機房還新產生大量的數據。因為每個機房都加入了該系統的傳輸節點，所以該系統就被臨時作為了科室PACS來使用，防止病人圖像丟失情況的發生。平時該系統相當于科室PACS的備份，提高了病人數據的安全，保障了科室正常工作的展開，這是傳統膠片系統滿足不了的。

其他的云膠片解決方案[14-15]一般是把病人醫學圖像和臨床報告等資料直接上傳云存儲空間，滿足不了有些人不希望將資料上傳云存儲空間而想要便捷和安全地外院就診的訴求。我們的方案是病人將數據下載到加密芯片卡，再根據自己的需要自主選擇是否上傳資料，完美滿足了更多人群的需要，具有一定的創新性。

國家正在以電子病歷為核心推進醫療機構信息化建設，同時也規定了病人在醫療機構產生的醫療信息享有所有權、使用權和隱私權。基于加密芯片的健康管理系統滿足了病人對醫療信息享有以上“三權”的要求。這也是相比其他膠片系統而言其所具有的優勢。

對于特殊專業性很強的職業人群，如部隊的軍人保障卡，可以直接集成。可以通過系統實現的人群特征分析，后臺可以建立健康體系基線指標，通過動態分析和監督職業病特征指標、健康指標，為行業部門提供健康管理的依據，這是其他云膠片平臺所沒有的。

對于養老行業和家庭養老的情況，針對老年病的管理可以提供詳細的長期數據支持，能動態給家人共享老人的日常健康檢查檢驗數據，保障老年人的健康狀況及時被子女了解，提前做好預防和關愛。

系統還設計了緊急救援SOS的響應機制。能夠做到在緊急情況下，通過緊急聯系人授權，快速在當事人昏迷、傷害等緊急情況下，實現即使離線狀態下通過加密卡的讀取來幫助醫生快速全面了解情況，做到及時有效的救助。

6 總結

這種新型硬件加密芯片+健康管理云平臺的搭建，從根本上改變了傳統打印塑料膠片的模式，完善了其他云膠片平臺的數據安全隱患、患者數據上云隱私保護、云存儲高成本等綜合問題。大容量加密存儲卡數據存儲方式實現了廣義的分布式存儲功能、實現了患者獨立擁有自己生命周期中完整的、安全的、14大類齊全的可重建健康數據，可以做到數據完整、數據安全、隱私保護、共享節約的健康數據高安全管理。這種模式缺點是為了病人數據的安全性，犧牲了操作的簡便性，雖然對有些老年人來說確實有些繁瑣，但是從全局來講還是利大于弊的。

我們應該大力推廣這種模式，不僅可以為醫院節省大量支出，在一定程度上也為保護環境做出了貢獻。同時使用該平臺的醫院越多，老百姓越能得到更方便的就診，越能提高醫院經濟效益和社會價值。