基于加密芯片的健康管理高安全系統(tǒng)的構(gòu)建與應(yīng)用

劉亞，蘇皖，楊剛，張龍江，湯黎明，盧光明

中國人民解放軍東部戰(zhàn)區(qū)總醫(yī)院 放射診斷科，江蘇 南京 210002

引言

隨著生物醫(yī)學(xué)圖像設(shè)備和圖像處理技術(shù)的現(xiàn)代化，利用超聲、計算機(jī)斷層掃描、磁共振成像、正電子發(fā)射斷層掃描等技術(shù)，產(chǎn)生了大量患者的醫(yī)學(xué)圖像[1-2]，且圖像數(shù)據(jù)量仍在迅速增長[3]。而國內(nèi)絕大多數(shù)醫(yī)院都還手動或使用自助打印機(jī)打印塑料膠片給患者[4]，且用量還在高速增長。我們使用塑料膠片在給患者帶來好處的同時，也不能忽視其弊端：制造、測試和丟棄的膠片會帶來很多污染；管理大量的膠片和膠片打印機(jī)會增加醫(yī)院支出；病人需要排隊打印膠片，容易形成擁堵現(xiàn)象，影響病人就醫(yī)體驗；病人轉(zhuǎn)診就醫(yī)時需要隨身攜帶膠片和病歷等，非常不便；有時各醫(yī)院的檢查膠片不互認(rèn)，重復(fù)檢查，浪費(fèi)金錢和時間等等。

目前的醫(yī)療條件下，如果患者在原醫(yī)院二次就診間隔超過5年，某些醫(yī)院的影像資料可能自動清除，以保證醫(yī)院醫(yī)學(xué)影像存檔與通信系統(tǒng)（Picture Archiving and Communication System，PACS）有足夠的存儲空間，因此超過5年則可能無法調(diào)閱期限之前的影像資料。

隨著互聯(lián)網(wǎng)技術(shù)的成熟和網(wǎng)絡(luò)安全要求不斷嚴(yán)格，涉及老百姓個人的隱私信息越來越受到重視[5]，各種利用互聯(lián)網(wǎng)技術(shù)的云膠片平臺和遠(yuǎn)程診療的應(yīng)用不斷進(jìn)入市場[6]。但通過開放網(wǎng)絡(luò)傳輸醫(yī)學(xué)圖像是有風(fēng)險的，而且很容易被黑客非法訪問[7-8]，醫(yī)療圖像的安全性受到惡意篡改和隱私泄露的嚴(yán)重挑戰(zhàn)[9]。如果這些私人圖像被偷看或被未經(jīng)授權(quán)的人使用，可能會發(fā)生災(zāi)難性事故[10]，如醫(yī)療營銷和欺詐性保險索賠。為了安全地傳輸和存儲這些醫(yī)學(xué)圖像，需要開發(fā)更多的安全技術(shù)[11-12]。只有當(dāng)醫(yī)療數(shù)據(jù)是高度安全時，才能實現(xiàn)有效的醫(yī)療服務(wù)[13]。本文將詳細(xì)介紹中國人民解放軍東部戰(zhàn)區(qū)總醫(yī)院放射診斷科研發(fā)測試的新型云膠片系統(tǒng)——“檢查檢驗圖像數(shù)據(jù)存儲記錄系統(tǒng)”，一種新型的基于加密芯片的高安全醫(yī)療數(shù)據(jù)健康管理系統(tǒng)，以期解決上述塑料膠片帶來的種種弊端和云存儲數(shù)據(jù)安全性問題，給患者帶來更多便利。

1 系統(tǒng)功能的構(gòu)建

該系統(tǒng)采用內(nèi)外網(wǎng)完全物理隔離的模式，主要包括集成大容量（16～128 G）醫(yī)療信息存儲芯片加密卡（在當(dāng)?shù)匾殉蔀榻】敌畔⒋鎯ǎ⒆灾螺d機(jī)、自助上傳機(jī)、PACS高速緩存服務(wù)器、健康信息處理小程序及健康云平臺軟硬件配套設(shè)施，其實物如圖1所示，技術(shù)路線圖如圖2所示。患者在初次就診時，須在醫(yī)院掛號處或放射科登記臺更換醫(yī)療信息存儲芯片加密卡，并激活（將患者的個人信息寫入，如身份證號、手機(jī)號等）。激活后的健康信息存儲卡，不僅有常規(guī)門診就診的功能，還可以用于患者健康隱私信息存儲、查閱、應(yīng)用及管理個人生命全周期健康資料，實現(xiàn)脫敏信息異地共享、患者跨院跨地區(qū)就診，還具有高度保密的特點(diǎn)。

圖1 內(nèi)網(wǎng)自助下載機(jī)和外網(wǎng)自助上傳機(jī)及其下載、上傳、登錄界面

圖2 系統(tǒng)技術(shù)路線圖

該系統(tǒng)也充分符合國家可信計算3.0標(biāo)準(zhǔn)的架構(gòu)設(shè)計規(guī)范，采用國家密碼管理局認(rèn)證的服務(wù)器PCI可信控制卡、芯片卡內(nèi)置通過USB接口的可信硬件級加密芯片、全系統(tǒng)采用國產(chǎn)硬件電腦和國產(chǎn)操作系統(tǒng)，通過了公安部等保三級標(biāo)準(zhǔn)；為實現(xiàn)離線可跨院共享加密數(shù)據(jù)，采用了雙向密碼認(rèn)證技術(shù)，無需統(tǒng)一的密碼認(rèn)證服務(wù)器，可實現(xiàn)不同醫(yī)院之間密碼相互認(rèn)證。可信計算3.0架構(gòu)如圖3所示。

圖3 可信計算3.0架構(gòu)

2 內(nèi)外網(wǎng)區(qū)系統(tǒng)構(gòu)建

2.1 內(nèi)網(wǎng)區(qū)系統(tǒng)的構(gòu)建

醫(yī)院的內(nèi)網(wǎng)區(qū)如圖4所示，主要包括醫(yī)院內(nèi)網(wǎng)自助機(jī)、高速緩存PACS服務(wù)器。首先構(gòu)建一個高速緩存PACS服務(wù)器，只進(jìn)行數(shù)據(jù)接收，不影響醫(yī)院各類子系統(tǒng)的正常運(yùn)行。以統(tǒng)一對所有病人的醫(yī)學(xué)檢查、檢驗的圖像、電子報告等14大類數(shù)據(jù)進(jìn)行同步傳輸、解析、存儲和管理。病人在各個檢查、檢驗單元做完檢查后，醫(yī)學(xué)圖像和相關(guān)電子報告將被推送至該高速緩存PACS服務(wù)器。該服務(wù)器還通過輪詢方式或者消息隊列的方式同步下載病人RIS信息，包括診斷報告、檢驗報告等，并解析存儲到該緩存服務(wù)器。病人在做完檢查、檢驗后，就可以將醫(yī)療信息存儲芯片加密卡插入內(nèi)網(wǎng)自助機(jī)，下載自己的健康信息到醫(yī)療信息存儲芯片加密卡中。門診就醫(yī)時，醫(yī)生可以用瀏覽器調(diào)取PACS高速緩存服務(wù)器中病人的本院圖像和報告等信息，也可以通過讀取病人上傳到服務(wù)器的外院檢查、檢驗數(shù)據(jù)，準(zhǔn)確高效地做出臨床診斷。

圖4 內(nèi)網(wǎng)區(qū)設(shè)備連接圖

2.2 外網(wǎng)區(qū)系統(tǒng)的構(gòu)建

醫(yī)院的外網(wǎng)區(qū)如圖5所示，包括外網(wǎng)自助機(jī)、健康云平臺。患者可以根據(jù)自己的需求，將醫(yī)療信息存儲芯片加密卡中的健康信息使用自助上傳機(jī)上傳到健康云平臺。再使用任何可連接外網(wǎng)的設(shè)備，如PC、PAD及手機(jī)等通過Web瀏覽器或者小程序端登錄訪問自己的健康信息，無需在客戶端安裝任何插件或驅(qū)動程序。病人在外院就診時，就可以讓醫(yī)生用瀏覽器查看病人各種醫(yī)學(xué)信息，方便快捷；或者患者通過外院自助機(jī)上傳沒有上云的芯片卡內(nèi)數(shù)據(jù)到外院高速服務(wù)器中，讓臨床醫(yī)生像使用醫(yī)院內(nèi)網(wǎng)的方式一樣調(diào)閱病人信息，并可以使用重建手段進(jìn)行重建影像信息。

圖5 外網(wǎng)區(qū)設(shè)備連接圖

3 系統(tǒng)的安全防護(hù)措施

本系統(tǒng)安全性極強(qiáng)，系統(tǒng)完全隔離內(nèi)外網(wǎng)，隔離外網(wǎng)病毒和黑客的侵入，確保信息安全。就診者上云端瀏覽時需要按規(guī)定進(jìn)行注冊和登錄，以防止他人盜用相關(guān)的健康信息。而醫(yī)療機(jī)構(gòu)的外網(wǎng)和內(nèi)網(wǎng)是一般是物理隔離的，因此，外網(wǎng)的數(shù)據(jù)即使受到攻擊，也不會對內(nèi)網(wǎng)及加密存儲芯片上的數(shù)據(jù)造成影響。加密芯片、專用讀卡器、個人條形碼、手機(jī)驗證碼等軟硬件結(jié)合提供多重保護(hù)，避免了通過介質(zhì)（如USB）易感染病毒的風(fēng)險。

3.1 硬件設(shè)備加密，國密級算法標(biāo)準(zhǔn)

醫(yī)療信息存儲芯片加密卡的設(shè)計符合《GMT0016智能密碼鑰匙密碼應(yīng)用接口規(guī)范》，是基于PKI密碼體制的智能密碼鑰匙密碼應(yīng)用接口，加密卡儲存芯片文件系統(tǒng)采用明文區(qū)和私有存儲區(qū)分開的文件系統(tǒng)，醫(yī)療數(shù)據(jù)全部存儲于私有文件區(qū)域，無密鑰環(huán)境下無法看到私有區(qū)，更無法讀取。而芯片卡的金手指采用異形非標(biāo)布局，保障了患者存儲卡保密性，在一定程度上排除了醫(yī)療信息存儲芯片加密卡丟失或被惡意破解帶來的安全隱患。卡加密的流程如圖6所示。患者將醫(yī)療信息存儲芯片加密卡插入一體機(jī)，加密系統(tǒng)將進(jìn)行如下流程：① 客戶端向服務(wù)器發(fā)送認(rèn)證請求需要的信息；② 服務(wù)器向客戶端傳送身份認(rèn)證關(guān)鍵信息；③ 客戶端利用服務(wù)器傳過來的信息驗證合法性，并發(fā)送自己的身份驗證信息；④ 客戶端把加密后的“基礎(chǔ)數(shù)據(jù)”傳送給服務(wù)器端；⑤ 服務(wù)器將用自己的私鑰解開加密的“基礎(chǔ)數(shù)據(jù)”，然后產(chǎn)生相同的通話密鑰；⑥ 此時主客兩端已經(jīng)有相同的通話密鑰，之后主客端的數(shù)據(jù)通信就用這個通話密鑰加密，當(dāng)然收到數(shù)據(jù)后的解密也用這個通話密鑰。這種卡加密方案需要定制開發(fā)帶CPU的TF卡，成本較高，但患者數(shù)據(jù)無需上云也能支持跨院診療，患者數(shù)據(jù)需要經(jīng)過身份驗證的讀取設(shè)備才能讀取，保證了安全性。

圖6 存儲卡身份認(rèn)證及密鑰交換流程圖

3.2 數(shù)據(jù)傳輸不落地，閱后即焚

本系統(tǒng)的網(wǎng)絡(luò)傳輸環(huán)節(jié)安全設(shè)計為數(shù)據(jù)只有在內(nèi)存中是明文狀態(tài)，其他環(huán)節(jié)都是密文狀態(tài)或位于私有文件區(qū)域。保證了數(shù)據(jù)在網(wǎng)上傳輸過程中不被攻擊篡改。系統(tǒng)軟件開發(fā)為數(shù)據(jù)不落地、數(shù)據(jù)不出門，所有數(shù)據(jù)都無法隨意下載，即使臨床醫(yī)生的客戶端在沒有患者授權(quán)下將無法下載相關(guān)數(shù)據(jù)。同時網(wǎng)上分享的模塊設(shè)計有閱后即焚限制，默認(rèn)為7次或24 h的患者數(shù)據(jù)查詢權(quán)限，二者之一達(dá)到就觸發(fā)閾值，關(guān)閉查詢權(quán)限。內(nèi)存中的數(shù)據(jù)也自動銷毀，保證患者共享后的私人數(shù)據(jù)無法被非法截取和傳播。

4 應(yīng)用效果

本系統(tǒng)在三級、二級醫(yī)院規(guī)模測試的結(jié)果，累計通過免費(fèi)和自費(fèi)發(fā)放了400多張醫(yī)療信息存儲芯片加密卡，使用該系統(tǒng)的患者主要需求有以下兩種場景：

（1）一些患者對隱私安全性要求比較高，希望數(shù)據(jù)留在卡內(nèi)而不傳輸?shù)皆贫恕；颊呖梢詮尼t(yī)院內(nèi)網(wǎng)下載到醫(yī)療信息存儲芯片加密卡內(nèi)，跨院就診時只需攜帶該醫(yī)療信息存儲芯片加密卡即可。首先將該卡插入外院自助機(jī)，數(shù)據(jù)會上傳到PACS高速服務(wù)器上，醫(yī)生打開瀏覽器即可觀看其就診醫(yī)學(xué)資料。為了最大限度保障患者隱私，資料不會在醫(yī)生電腦內(nèi)保存，同時存在PACS上的數(shù)據(jù)在達(dá)到讀取限制或時間限制后會自動刪除。

（2）另外一些患者對隱私安全要求相對沒有那么高，他們希望更方便地跨院就診。具體步驟是患者將醫(yī)學(xué)資料從醫(yī)院內(nèi)網(wǎng)下載到醫(yī)療信息存儲芯片加密卡內(nèi)，然后再將此卡插入外網(wǎng)自助機(jī)中，再將資料上傳到云端服務(wù)器。患者在跨院診療時，醫(yī)生在患者的授權(quán)下可以直接從網(wǎng)絡(luò)服務(wù)器調(diào)取患者信息進(jìn)行診斷，大大方便了患者就醫(yī)。

經(jīng)過系統(tǒng)試運(yùn)行之后，發(fā)現(xiàn)該系統(tǒng)相比傳統(tǒng)的自助膠片系統(tǒng)有多種優(yōu)點(diǎn)如表1所示。

表1 傳統(tǒng)自助膠片系統(tǒng)和基于加密芯片的健康管理系統(tǒng)對比表

試用期間我們隨機(jī)對30人使用過這兩種系統(tǒng)的病人進(jìn)行了針對系統(tǒng)安全性和便攜性方面的滿意度調(diào)查，調(diào)查采用5分制，1～5分別為很不滿意、不滿意、一般、滿意和很滿意。使用SPSS 22.0軟件統(tǒng)計并t檢驗后，發(fā)現(xiàn)病人對基于加密芯片的健康管理系統(tǒng)的安全性和便捷性方面的評價都明顯高于傳統(tǒng)自助膠片系統(tǒng)，且差異有統(tǒng)計學(xué)意義（P<0.05）（表 2）。

表2 患者對傳統(tǒng)自助膠片系統(tǒng)和基于加密芯片的健康管理系統(tǒng)的評價（分）

5 討論

本文創(chuàng)新性地提出了使用加密芯片卡與云存儲相結(jié)合的方式，解決了病人信息的安全性和外院診療不方便的痛點(diǎn)。和傳統(tǒng)膠片打印系統(tǒng)相比較來說，基于加密芯片的健康管理系統(tǒng)從檢查信息完整度和豐富度、使用便捷性、信息安全性、經(jīng)濟(jì)性、高效性和環(huán)境安全性等來說都具有相當(dāng)大的優(yōu)勢，同時病人也非常認(rèn)可該系統(tǒng)。在該系統(tǒng)試用期間，我科的PACS曾發(fā)生過宕機(jī)且短時間內(nèi)無法修復(fù)的事故，而各個機(jī)房還新產(chǎn)生大量的數(shù)據(jù)。因為每個機(jī)房都加入了該系統(tǒng)的傳輸節(jié)點(diǎn)，所以該系統(tǒng)就被臨時作為了科室PACS來使用，防止病人圖像丟失情況的發(fā)生。平時該系統(tǒng)相當(dāng)于科室PACS的備份，提高了病人數(shù)據(jù)的安全，保障了科室正常工作的展開，這是傳統(tǒng)膠片系統(tǒng)滿足不了的。

其他的云膠片解決方案[14-15]一般是把病人醫(yī)學(xué)圖像和臨床報告等資料直接上傳云存儲空間，滿足不了有些人不希望將資料上傳云存儲空間而想要便捷和安全地外院就診的訴求。我們的方案是病人將數(shù)據(jù)下載到加密芯片卡，再根據(jù)自己的需要自主選擇是否上傳資料，完美滿足了更多人群的需要，具有一定的創(chuàng)新性。

國家正在以電子病歷為核心推進(jìn)醫(yī)療機(jī)構(gòu)信息化建設(shè)，同時也規(guī)定了病人在醫(yī)療機(jī)構(gòu)產(chǎn)生的醫(yī)療信息享有所有權(quán)、使用權(quán)和隱私權(quán)。基于加密芯片的健康管理系統(tǒng)滿足了病人對醫(yī)療信息享有以上“三權(quán)”的要求。這也是相比其他膠片系統(tǒng)而言其所具有的優(yōu)勢。

對于特殊專業(yè)性很強(qiáng)的職業(yè)人群，如部隊的軍人保障卡，可以直接集成。可以通過系統(tǒng)實現(xiàn)的人群特征分析，后臺可以建立健康體系基線指標(biāo)，通過動態(tài)分析和監(jiān)督職業(yè)病特征指標(biāo)、健康指標(biāo)，為行業(yè)部門提供健康管理的依據(jù)，這是其他云膠片平臺所沒有的。

對于養(yǎng)老行業(yè)和家庭養(yǎng)老的情況，針對老年病的管理可以提供詳細(xì)的長期數(shù)據(jù)支持，能動態(tài)給家人共享老人的日常健康檢查檢驗數(shù)據(jù)，保障老年人的健康狀況及時被子女了解，提前做好預(yù)防和關(guān)愛。

系統(tǒng)還設(shè)計了緊急救援SOS的響應(yīng)機(jī)制。能夠做到在緊急情況下，通過緊急聯(lián)系人授權(quán)，快速在當(dāng)事人昏迷、傷害等緊急情況下，實現(xiàn)即使離線狀態(tài)下通過加密卡的讀取來幫助醫(yī)生快速全面了解情況，做到及時有效的救助。

6 總結(jié)

這種新型硬件加密芯片+健康管理云平臺的搭建，從根本上改變了傳統(tǒng)打印塑料膠片的模式，完善了其他云膠片平臺的數(shù)據(jù)安全隱患、患者數(shù)據(jù)上云隱私保護(hù)、云存儲高成本等綜合問題。大容量加密存儲卡數(shù)據(jù)存儲方式實現(xiàn)了廣義的分布式存儲功能、實現(xiàn)了患者獨(dú)立擁有自己生命周期中完整的、安全的、14大類齊全的可重建健康數(shù)據(jù)，可以做到數(shù)據(jù)完整、數(shù)據(jù)安全、隱私保護(hù)、共享節(jié)約的健康數(shù)據(jù)高安全管理。這種模式缺點(diǎn)是為了病人數(shù)據(jù)的安全性，犧牲了操作的簡便性，雖然對有些老年人來說確實有些繁瑣，但是從全局來講還是利大于弊的。

我們應(yīng)該大力推廣這種模式，不僅可以為醫(yī)院節(jié)省大量支出，在一定程度上也為保護(hù)環(huán)境做出了貢獻(xiàn)。同時使用該平臺的醫(yī)院越多，老百姓越能得到更方便的就診，越能提高醫(yī)院經(jīng)濟(jì)效益和社會價值。