移動證書在醫療移動查房系統的應用

何建明 梁源

【摘 要】隨著移動互聯網的發展，移動技術越來越多地在各個業務系統中得到廣泛使用。在醫療領域，結合實際業務場景衍生了移動查房系統，醫院護士使用手持移動終端設備進行查房，查閱相關記錄，極大地提高了工作效率。但是，在應用移動化電子查房系統的同時，也產生了安全性和合規性問題，例如護士登錄查房/護理系統時的強身份認證，查房記錄的電子簽名等。文章介紹的應用方案基于PKI體系，使用數字證書技術，由CA認證機構給查房護士簽發數字證書，標識護士的身份，實現系統登錄的強身份認證和移動查房/護理的責任落實。

【關鍵詞】醫療移動查房系統；移動數字證書；PKI

【中圖分類號】TN925.93；TP399-C8 【文獻標識碼】A 【文章編號】1674-0688（2017）05-0097-04

1 背景與需求描述

目前，不少醫院給護士發放了專用移動終端（Android系統手機）用于移動查房和護理，移動查房和護理形成的電子化歸檔數據代替紙質單據，不僅可以節約成本，還可提高工作效率、節省工作時間。但是，在應用移動化電子查房系統的同時，也產生了安全性和合規性問題，具體如下。

1.1 護士登錄查房/護理系統時的強身份認證

需要給護士發放強身份認證憑證，實現訪問系統的強身份認證，防止護士身份被盜取和系統被非授權訪問。

1.2 查房/護理記錄電子簽名

針對護士在移動端提交的電子查房/護理記錄實現電子簽名和時間戳簽名，電子簽名等同于手寫簽名，既可以防止電子查房/護理記錄上傳時被篡改，又可以落實記錄上傳者的責任。

2 設計思路

解決護士強身份認證和責任落實的問題依然需要基于PKI體系使用數字證書技術，由CA認證機構給查房護士簽發數字證書，標識護士的身份，實現系統登錄的強身份認證和移動查房、護理的責任落實。

在數字證書載體方面，現有的USBKEY無法與已經發放的Android移動終端相兼容，采用CA認證機構的移動數字證書產品，以查房移動終端為證書載體，通過產品核心技術保證證書密鑰的安全，從安全、易用、兼容等角度作為一種移動數字證書的優選方案。

3 解決方案

3.1 方案目標

本方案是基于成熟的PKI/CA公鑰密碼技術并使用CA認證機構的移動證書產品的移動數字證書解決方案。方案能實現以下目標。

3.1.1 護士的移動端數字證書通過移動證書快速下發

移動查房/護理護士開通移動證書，通過移動證書獲得由CA認證機構簽發的用戶實名身份證書，并以查房專用移動終端為安全的載體保護用戶密鑰與證書。護士的實名身份證書是實現信息完整性、身份真實性的技術基礎。

3.1.2 護士登錄移動查房/護理系統通過移動證書實現強身份認證

護士登錄移動查房/護理系統時，以移動證書代替傳統的賬號+口令，實現登錄者的強身份認證。

3.1.3 護士上傳的查房/護理記錄通過移動證書做電子簽名

護士在移動終端編輯的查房/護理記錄通過移動證書進行電子簽名，保證上傳的記錄的完整性和操作人責任的落實。

3.1.4 移動護理終端掃碼實現對PC業務的電子簽名

護士使用移動查房終端掃描PC端的二維碼調用移動證書實現對PC業務的電子簽名與認證。

3.2 方案整體架構

方案的整體架構如圖1所示。

（1）移動證書SDK：由業務APP集成，作為安全的軟件載體代替硬件保護用戶密鑰和證書的安全，移動證書SDK給業務APP提供本地調用的接口開放密碼運算和證書服務能力。

（2）移動證書應用前置：部署在醫院的內部網絡，包含簽名驗簽服務器、時間戳服務器，應用前置主要提供簽名驗簽和時間戳的功能。

（3）移動證書云平臺：由CA認證機構運營，實現移動數字證書的安全下發及移動證書SDK的管理。

（4）CA認證機構簽發系統：簽發有社會公信力的實名身份證書，醫院的USBKEY證書和移動證書都由此系統簽發。

3.3 業務流程

3.3.1 移動證書申請

3.3.1.1 移動證書申請步驟

（1）院方通過信息錄入門戶將護士的身份信息（包括但不限于工號、身份證、手機號）錄入系統中。

（2）院方管理人員通過業務受理門戶審核業務請求信息。

（3）審核通過后允許請求發送到移動證書云平臺完成預注冊。

（4）護士在移動終端按照提示激活移動證書安裝數字證書。

申請移動證書的具體流程如圖2所示。

3.3.1.2 關鍵點說明

（1）護士的證書申請材料由院方在管理門戶錄入，錄入一次即可，在移動證書云平臺預注冊時生成10組（數目可調，此數目代表了一位護士可以同時在多少移動終端上申請證書）激活碼，護士在不同終端上激活移動證書使用一組激活碼，這樣實現了對于每一位護士一次申請多次發證。

（2）院方錄入材料中包含護士本人的手機號碼，護士激活移動證書時通過短信將激活碼發送到護士自己的手機上，護士再輸入到移動終端中，克服了移動終端無短信功能的現實問題。

（3）醫院信息化系統存儲“護士—終端—證書”三者的綁定關系，這樣在后臺只有通過護士+終端2個篩選條件才能精確定位一張證書。移動終端編號也會簽到證書擴展項中，這樣能適應CA為一個人簽發多張證書的場景。

（4）證書申請數據通過醫院外網出口和移動證書平臺對接，做防火墻策略保證內網安全。

3.3.2 移動證書更新

移動證書一般簽發一年的有效期，快到期或者已到期時，移動終端會提醒護士進行更新。

3.3.2.1 證書更新步驟

（1）護士登錄查房APP后，系統提示護士證書即將到期或已到期，需要更新證書，護士選擇更新證書。

（2）院方管理人員通過業務受理門戶審核業務請求信息。

（3）護士在移動終端按照提示重新下載證書。

證書更新的流程如圖3所示。

3.3.2.2 關鍵點說明

鑒于證書更新由護士發起后要通過院方后臺審核，所以并不能保證更新業務能實時受理、實時更新，在護士確認更新到業務審核通過之前，護士仍可以使用舊證書處理業務。

3.3.3 登錄身份認證

護士登錄查房APP時以移動證書代替賬號口令，增強身份認證的強度，防止登錄身份被盜用。登錄身份認證流程如圖4所示。

3.3.4 移動查房/護理記錄電子簽名

護士上傳查房/護理記錄之前，調用移動終端中的移動證書對查房/護理記錄電子簽名、增加時間戳簽名，防止查房/護理記錄被篡改，并且落實了上傳護士的責任。移動查房/護理記錄電子簽名流程圖如圖5所示。

3.4 關鍵問題的解決

3.4.1 網絡問題

醫院終端不能連接外網，但是簽發移動證書的云平臺在外網，必須解決移動證書申請和更新時終端連接移動證書云平臺的問題。

本方案中，通過醫院防火墻策略開放指定的外網地址，將請求數據轉發到外網的移動證書云平臺上，實現終端請求的實時轉發，24小時不中斷，同時通過防火墻策略設置，保證內網系統的安全。

3.4.2 多位護士多個終端的問題

一個病區配備一個移動終端供多位護士使用，而護士存在臨時被抽調支援的情況，所以又會有一個護士在多個病區使用多個移動終端的情況。這就要求一個移動終端可存放多位護士的移動證書，同時一位護士可在多個終端上申請自己的證書。

本方案中，移動證書支持一個終端多證書容器來存放多個人的證書。對于一位護士使用多個終端的情況，證書申請時，護士身份資料包括手機號碼在管理門戶錄入完成預注冊生成多組激活碼，護士在移動終端通過自己的手機接收短信激活碼，每接收一組激活碼即可激活一個移動證書，后臺激活碼生成的組數決定了護士可申請證書的數量，證書中附帶移動設備編號信息，證明是護士在此終端上申請的個人身份證書。這樣，當護士換病區使用新終端時，通過工號在新終端上申請一張證書。

3.4.3 院方實現證書業務的審核和證書管理

移動證書的申請、更新及狀態變更應該在院方的控制和管理之下。在本方案中，醫院信息化系統開發門戶，能夠讓院方管理者查看證書業務請求并審核，同時醫院信息化系統存儲“護士賬號—移動終端編號—移動證書”三者的綁定關系，院方在管理門戶可以以護士賬號為篩選條件查找到護士名下的所有移動證書，也可以以移動終端編號為篩選條件查找到某個終端中的所有移動證書。院方可以在護士離職時從后臺吊銷護士名下的所有證書，也可以在移動終端丟失或損壞后從后臺凍結或吊銷終端中的所有證書。

4 方案的優勢

從體驗和成本角度評估，移動證書是一種非常適合在移動設備用戶群體中推廣的數字證書方案。

4.1 高安全性的移動證書方案

本方案利用移動證書實現對用戶密鑰的安全保護等級遠高于一般的軟證書方案，移動證書作為一種軟件密碼設備，它已經取得了國密局的密碼產品型號證書（SHT1301）。而且，移動證書是以終端為密鑰的安全介質，區別于云端簽名的方案，因此移動證書更符合《衛生系統電子認證服務管理辦法》第十八條中要求“證書持有人妥善保管數字證書介質”的描述。

4.2 優質的用戶體驗

本方案中，在用戶側沒有增加任何硬件設備，移動證書SDK與APP完全融合在一起，護士不用再攜帶硬件KEY，移動終端就是KEY，體驗更優。

4.3 低廉的實施成本

移動證書作為軟件密碼設備相對于USBKEY、藍牙KEY或音頻KEY等硬件設備，具有天然的成本優勢。

參 考 文 獻

[1]GB 15815—1995，信息技術 安全技術 帶消息恢復的數字簽名方案[S].

[2]GB 15852—1995，信息技術 安全技術 用塊加密算法作校驗函數的數據完整性機制[S].

[3]GB/T 17902.1—1999，信息技術 安全技術 帶附錄的數字簽名（第1部分：概述）[S].

[責任編輯：鐘聲賢]