社會醫療保障系統網絡安全解決方案

趙 欣，郭建偉

(1.北京科學學研究中心 北京 100044； 2.北京市科學技術情報研究所 北京 100044；3.網絡密碼認證北京市重點實驗室 北京 100044)

0 引 言

某市社會保障信息化系統是該市十大醒目工程之一，自2001年開始進行，已經覆蓋整個城市，共有約1100萬人參加醫保，其中包括城鎮職工300多萬人，城鄉居民700多萬人。市社保醫療機構約700家，其中有500家醫院、200家藥店能夠使用醫?？ň歪t和結算。該市社保信息系統是實時結算，各家機構同社保中心系統采用光纖專線和雙線路備份設計，在一條線路出現問題后可以立即切換備用線路進行補救，保證網絡連接穩定可靠。

該市醫保結算每天實際數量在15萬筆左右(工作時間8h內為主)，在24h內全部完成結算，患者在就醫交費同時，醫院信息系統(Hospital Information System，HIS)即同時完成同醫保中心的實時結算，患者只需繳納自己應交部分，其余社保報銷部分實時結算到醫院賬戶。該市大醫院都有一套HIS，來完成病人與社保中心之間數據交換，藥店則通過連接社保網絡完成對醫保參保人員藥費的實時結算和報銷。

目前，該市社會保障系統體系亟待解決的問題是：保證醫保參保人員醫院就診信息和藥品采購信息的真實可靠以及真正實現患者本人實名制就醫。

1 信息安全保護

社保信息系統在實際運行中，超過千萬的醫保參保人員會去醫院看病、去藥店買藥，在醫院看病購藥時進行實時支付(占總藥費的75%～85%)，實時從網上直接支付給醫院。目前醫保參保人員與醫院、藥店以及社保中心之間的患者信息(醫療費結算單)未做任何保護措施，無法保證醫療結算單的可信性、完整性和不可抵賴性。如醫院和藥店惡意對醫療或購藥的結算單進行修改，從而提高報銷的比例，會給政府的醫保帶來巨大的資金損失。此時應該通過技術手段，保證確實是醫保參保人員本人實際的治療和藥品結算單，防止醫院、黑客或者其他涉及利益的第三方篡改(醫療或購藥的結算單)支付信息而獲取非法利益。醫保參保人員在(醫療或購藥的結算單)結算過程中所產生的數據經過簽名和加密，可以保證信息的完整性和不可抵賴性。利用電子簽名可以對數據完整性及可靠性提供安全保障。同時，對個人的醫療數據進行保密傳輸，有利于個人隱私保護。通過身份認證、數字簽名和加密技術，將合法用戶醫保部分的醫藥費等信息經過簽名和加密后發送，安全、可信、完整、快捷；節省醫藥費報銷審批的成本，保證財務結算安全準確。這就需要在某市社保網絡體系現狀的基礎上，升級信息安全保護系統，增加社保安全認證中心和社保的簽名終端，提高社保信息管理系統和醫院HIS系統的安全等級。

2 實名制就醫

首先，實名制就醫[1]能在一定程度上遏制“倒號”行為，患者掛號及就醫得以有序進行。實行統一規格的實名就診制度不但有利于及時掌握和控制傳染病疫情，對其他普通疾病的病種、發病率、患者情況等數據也能清晰掌握。同時，還可掌握患者看病的費用情況，對于政府制定醫保等政策有指導意義。

其次，在目前醫療糾紛不斷增多的情況下，實名制就醫可為患者保護其合法權益提供有效保障。在實際生活中，個別患者因種種原因，在就醫時并未使用自己的真實姓名。在此種情況下，一旦發生醫療糾紛，患者欲通過司法途徑解決糾紛便會遇到障礙，因為患者需要證明其與該醫療機構之間存在醫療服務合同關系。如果就診資料上的姓名與患者真實身份不符，則患者的訴訟主體資格將會受到質疑，從而影響到其實體權利的實現。

再者，實名制就醫可為醫療保險提供較為有效的監管機制[2]。目前，中國基本醫療存在著政府投入嚴重不足、覆蓋率較低的情形。在醫療保險領域存在著“一人投保，全家受益”的現象，即沒有醫療保險的患者使用享有醫療保險者的保險卡就醫、付費。保險機構為此損失巨大卻缺乏有效的監管機制，因為保險機構不可能對投保者的整個就醫過程進行監管，而且要求醫療機構主動監管也是不現實的。在實行實名制就醫以后，患者就醫須提供相關的身份證明，從而堵住了沒有醫療保險者享用醫療保險就醫、付費之路，為醫療保險提供了較為有效的監管手段。

醫保詐騙[3]是世界性難題，美國每年醫保詐騙損失金額近900億美元。據媒體報道：“杭州市每年不完整統計醫保損失約7000萬元以上。國內各省市的醫保損失也很大，醫療騙保是國內一個社會熱點、焦點和難點。主要原因：一是醫院和藥店等醫療機構由于利益或責任心因素，醫療機構醫生在患者就診時，對比醫?？ㄉ系恼掌徽J真，或根本就不對比就診者的醫?？ǎ欢轻t療機構醫生對比患者多年(或10多年)前身份證上的照片難度大；三是個別醫療機構向醫保中心提供虛假信息“騙保”，騙取社保費。

因此，在我國目前整個社會信用度較低的情況下，在醫療領域內實施實名制就醫，將對整個社會信用體系的建立起到一定的促進作用，這也是一個民主社會、法治社會發展的方向。

通過調研和實驗，目前，某醫保系統采用大唐電信提供的用戶特征識別技術，來杜絕個人就診“張冠李戴”現象，使用指紋對比識別技術來控制患者實名就醫[4]，但是受限于指紋識別認證的速度、實際操作難度及諸多原因，導致指紋認證技術無法切實可行地解決該市實名就醫的難題。

①認證速度：指紋識別受限于其采集方法和比對認證算法，完成指紋采集傳輸對比返回結果的時間較長，占用本就不充足的醫生診治病患的時間，這將嚴重影響醫院的接待病人數量和病人的就診體驗，使得醫患關系更加緊張。

②操作難度：到醫院就診的患者中不乏上年紀的老人，其思維和肢體行動能力都受到一定程度的限制，向其解釋說明如何采集認證指紋，直至正確操作完成整個過程非常困難?；颊叨际菐е不紒淼结t院就診，生理上本來就痛苦，心情肯定煩躁不安，希望能夠盡早得到醫生診治解決病痛，如果還增加指紋認證環節，將使患者情緒更加惡化，不利于診室工作開展，同時也給醫生的工作帶來更多問題。

③指紋特征保護：指紋采集比對涉及患者的隱私權問題。因為指紋識別認證的前提是提取指紋，目前世界各國絕大多數國家都沒有制定提取或采集公民指紋的法律。指紋屬于公民人身的組成部分，國家和政府都沒有權利采集公民指紋，何況醫療機構。如果沒有事先進行信息公開，沒有司法部門的授權，更無相關制度和隱私保護措施，如若發生信息泄露將很難處理?；颊哂胁惶峁┳约褐讣y的權利，醫院不是司法機構，沒有強制執行權，如果不經過患者同意，醫院不能強制提取指紋或對比認證。

3 解決方案

3.1 解決方案及總體構架

在社保信息中心建設社保的安全認證中心，將醫療機構(醫院或藥店)傳輸來的患者就醫信息(醫療費結算單)密文數據，實時進行解密和完整性驗證等，再將驗證“結果”反饋給醫保數據中心。社保的安全認證中心由十余臺認證一體機和密鑰管理機組成，其中包括一定的熱備份設備，保證社保的安全認證中心不間斷運行。

在醫院、藥店等醫療機構增加簽名終端，實時將患者就醫信息(醫療費結算單)進行加密和數字簽名，并通過網絡傳輸給社保信息中心建設的社保安全認證中心。在每臺簽名終端里，將全體醫保參保用戶的標識，與目前個人醫?？?與PSAM卡進行認證)芯片里的標識一一對應，并將用戶的標識與一組“密鑰種子”認證參數的密文一一對應，在簽名終端加密芯片里，寫入組合密鑰算法、簽名和加密協議。一個醫院或藥店配備一臺簽名終端設備，醫院配備的是較高檔簽名終端，藥店配備的是較低檔簽名終端。

在醫療機構架設攝像頭，在每位醫生的電腦或化驗和治療的電腦上，安裝1個攝像頭，用于采集、拍攝人臉圖像識別比對，來實現實名制就醫。

在醫療機構(醫院、藥店)的簽名終端，將部分有嫌疑的就診者現場照片進行數字簽名后，傳輸到醫保數據中心存儲，作為以后進行調查的“證據”。采用高速數字簽名算法保證比對信息不被篡改，保證后期追溯可查詢。為此，每個醫療機構的看病、治療、化驗等科室，或藥店收費點桌子上的電腦，都需要安裝 1個攝像頭。

3.2 實施效果預計

①使用快速、可信的數字簽名和加密技術[5]，保證醫療機構端提交的患者就醫信息(醫療費結算單)可信、完整，不可抵賴，保證數據的機密性。解決醫療機構“作假”提供“虛假”信息騙保的問題，同時，保證患者就醫個人隱私在網絡上保密傳輸。

②使用生物特征的實時對比認證方法，與快速、可信的數字簽名技術結合，保證實名制就醫可行，杜絕就診者“張冠李戴”，尤其是個別照片和本人比對相似率較低的患者也申請就醫，則留下經過數字簽名的患者就診照片，存入醫保中心數據庫，作為以后調查的“證據”。這種“技術”和“管理”相結合的方法能實現實名制就診率達到99%。

4 技術構成

4.1 信息保護系統安全策略

信息保護系統采用對稱密碼算法(輕量級密碼)和組合密鑰技術[6]，將全部用戶的重要認證數據(生成認證/簽名密鑰的“基”，即“密鑰種子”)用芯片來存儲保護，使得基于對稱密碼建立的認證/數字簽名和加密協議不僅理論上可行，而且實際上也能很好運行(圖1)。

圖1 安全策略構架 Fig.1 Security policy framework

采用認證/簽名一體機設備來建立社保的安全認證中心，采用簽名終端來建立醫院和藥店端的用戶簽名和數據加密系統，其中：認證/簽名一體機和簽名終端，內部都采用不同型號的加密卡硬件，與計算設備的接口是標準PCI接口(將多塊加密卡插入工控機里)；2種硬件設備中都采用國內微電子芯片，芯片內寫入對稱密碼算法—SM1算法。采用硬件隨機數發生器產生用戶“密鑰種子”，保證隨機性，每個用戶的密鑰“基”(密鑰種子)都不同；簽名終端和安全認證中心端密鑰管理機全體用戶的“密鑰種子”是以密文方式存儲在數據庫中，是用加密卡中的SM1算法和一組對稱密鑰將全體用戶的“密鑰種子”加密成密文，來保證“密鑰種子”安全存儲；在加密卡的芯片里，根據組合密鑰生成算法對“密鑰種子”組成表中的元素進行選取，將選出的元素合成一組密鑰，實現密鑰組合生成，密鑰的變換率達到每小時264，基本實現認證/簽名密鑰一次一變，不重復使用。

在認證中心端密鑰管理機里，用加密卡芯片里的一組固定密鑰，分別對全體用戶的“密鑰種子”密文數據進行簽名，將簽名的結果存儲對應密鑰種子數據庫記錄的最后一個字段里，作為密鑰種子數據完整性驗證的關鍵數據。

采用“摘要”算法(SM3算法)對社保的安全認證中心端全部用戶“密鑰種子”密文數據，定時進行逐條記錄，在加密卡芯片里將對應記錄密鑰種子數字簽名解密，并對比2次摘要信息是否相同，即：對全部用戶“密鑰種子”進行完整性驗證，實現“密鑰種子”數據定時可信、完整性的安全檢測，防止黑客破壞或篡改認證參數(“密鑰種子”數據)。

4.2 3種安全協議

4.2.1 醫院簽名終端的加密和數字簽名協議

當患者使用個人醫?？ú迦肭爸梅掌鞫说腜SAM卡里，并通過PSAM卡的身份認證后，醫院收費窗口收費員在HIS中填寫患者就診費用結算單，簽名終端(高端設備)調用加密卡芯片里實時產生對應用戶的簽名密鑰，對患者就診費用結算單進行數字簽名和數據加密操作，然后將簽名和加密后的密文數據通過醫院到醫保中心的專網提交給醫保數據中心。其中：執行數字簽名和加密操作時，首先對患者就診費用結算單的數據進行“摘要”運算，調用簽名終端里對應用戶的密鑰種子密文，并在加密卡芯片中解密后，根據密鑰組合生成算法產生一組簽名密鑰，在芯片內用該簽名密鑰加密拼接后的數字摘要和采集數據完成數字簽名操作，用同一組簽名密鑰將患者就診費用結算單加密成密文(圖2)。

4.2.2 藥店簽名終端的加密和數字簽名協議

患者到藥店購藥時，用戶使用個人的醫保卡，插入藥店的前置服務器端PSAM卡里，進行卡對卡的用戶身份認證。藥店的營業員調用藥店的收費系統，填寫購藥結算單，簽名終端(低端設備)自動調用加密和數字簽名系統，將用戶購藥單進行簽名和加密，通過醫保藥店的專網提交給醫保數據中心(圖2)。

4.2.3 解密和簽名驗證協議

醫保數據中心端的認證中心收到醫保機構(醫院或藥店)端提交來的患者就診費用結算單的密文數據和數字簽名后，醫保安全認證中心的簽名驗證系統根據用戶醫?？ǖ臉俗R找到對應用戶的密鑰種子數據，在加密卡芯片里根據組合密鑰生成算法得到對應用戶的簽名驗證密鑰，用該簽名驗證密鑰，將患者就診費用結算單的密文數據解密，再對解密后的數據進行簽名驗證，確定收到的患者就診費用結算單是否可信、完整且不可抵賴，以此來保障500家醫院和 200家藥店提交的患者就診費用結算單和購藥單的可信、完整且不可抵賴(圖2)。

圖2 3種安全協議過程圖 Fig.2 Process diagram of three security protocols

4.3 基于人臉識別技術的人像自動化采集系統

人臉識別系統可自動采集、檢測視頻中出現的人臉信息[7]。該系統檢測不受表情、膚色、適度化妝、眼鏡(深色除外)等條件影響，采集的圖像符合公安部人像采集標準，采集的人臉信息可直接用于人像對比識別，從而極大提高患者身份比對速度(圖3、4)。

圖3 人臉識別 Fig.3 Face recognition

圖4 人臉識別技術的比對過程圖 Fig.4 Comparison process diagram of face recognition technology

4.4 圖像對比信息數字簽名

采集圖像和數據庫存儲的患者證件照片對比后，圖象和比對結果不能直接上傳或者存儲到數據中心，因為這樣無法避免被不良醫生、醫院或者其他第三方篡改圖象比對數據，影響本系統的功能運行。必須通過醫療機構配置的簽名終端，將對比結果進行數字簽名操作，然后將數字簽名通過HIS提交到社保中心數據庫。只有就診患者本人才持有社?？?，同時，對應本人就診時的照片進行數字簽名，這樣防止醫院醫生或者第三方篡改比對結果，影響數據準確性。社保中心將永久存儲這些圖象和對比結果，以備出現問題時查詢。

5 功能及實現

信息安全保護系統采用對稱密碼算法(輕量級密碼)和組合密鑰技術，來建立醫保信息安全架構，主要采用認證/簽名一體機設備來建立社保的安全認證中心，采用簽名終端來建立醫院和藥店端的用戶簽名和數據加密系統，其中：認證/簽名一體機和簽名終端內部，采用不同型號的具有國內微電子芯片的加密卡硬件，芯片內寫入對稱密碼算法SM1算法。

用戶“密鑰種子”由硬件隨機數發生器產生，保證其隨機性，將全部用戶的重要認證數據(生成認證/簽名密鑰的“基”，即“密鑰種子”)用加密卡中的SM1算法和一組對稱密鑰加密成密文后存儲。根據組合密鑰生成算法對“密鑰種子”組成的表中的元素進行選取組合，實現密鑰組合生成，基本實現認證/簽名密鑰一次一變，不重復使用。

采用“摘要”算法(SM3算法)對醫療機構端提交的患者就醫信息(醫療費結算單)進行“摘要”，并使用快速、可信的數字簽名和加密技術，實現對就醫信息的數字簽名和加密，保證醫療機構端提交的患者就醫信息的可信、完整、不可抵賴，保證數據的機密性。解決醫療機構“作假”提供“虛假”信息騙保的問題，同時保證患者就醫個人隱私在網絡上的保密傳輸。

5.1 建立個人醫保就診實名制系統

在門診醫生看病桌上增加人臉檢測和識別設 備[8]，可以自動檢測患者的人臉姿態，自動對患者臉部進行拍照，并且跟社保賬戶中的照片自動進行對比，對明顯不同的照片進行2次預警。若比對相似度達到88%以上，則為用戶本人，醫生可以給患者看病(填寫病例、檢查、開化驗單、治療和開藥方等)；若比對相似度為80%以下，則醫保卡里的照片與患者不是同一個人，不得就診；若比對相似度在80%～88%范圍內，則可能為醫?？ū救?，醫生可以看病并填寫病例。但是，需要留下患者的照片，并使用簽名終端設備中的簽名系統對采集用戶的個人特征信息進行簽名，讓被采集的患者照片不可抵賴，便于追溯、取證，從而解決患者和購藥者實名制就診的行業難題。

①將醫保系統中全部參保人員照片及信息(從公安系統下載的個人身份證照片)導入人臉比對數據庫中，建立醫保用戶人臉圖像的目標數據庫。

②在醫生診室(或化驗、檢查、治療和購藥等科室)計算機上，架設采集攝像頭，根據攝像頭采集的就診人員照片或者實時視頻流，采用人臉檢測和識別技術，提取目標對象人臉特征值?；蛘咭罁€人醫保卡上的照片實時讀取照片，與患者進行比對。

③根據指定條件，在目標數據庫中，對比出與本人社保卡對應目標對象人臉特征值，將對比相似程度顯示在系統中，同時，簽名終端中數字簽名系統使用數字簽名協議，將比對照片結果相似度的數據進行簽名后，保存在社保數據中心的數據庫中。

④如果相似度超過88%，則開啟醫療處方系統，醫生可正常使用系統給患者開具處方或檢查單，完成病情診治工作。如果相似度為80%以下，則鎖定醫療處方系統，同時，提示醫生該就診患者所持醫?？赡懿皇潜救丝?，告知該患者違反實名制就醫制度，停止治療。

如果相似度在80%～88%之間，則正常開啟醫療處方系統，同時也要增加異常標注，標識該患者為存在異常情況人員，將患者的照片簽名并實時傳輸給醫保數據中心數據庫存儲，提示社保中心事后重點檢查和關注的對象。

5.2 優勢

5.2.1 數字簽名驗證速度

社保安全認證中心可以并發數字簽名驗證48000次/min，即數字簽名驗證速度：800次/s，能夠實現每天(按8h計算)簽名驗證2304萬次，比其他使用PKI技術建立的社保安全中心處理速度快 100倍。某醫保就醫每天(按8h計算)處理15萬筆患者就醫費用單數據，2304萬次遠大于15萬次。認證中心建成后能夠滿足今后很長時間內，社保系統不斷增長的數據安全處理需求。

5.2.2 人臉識別認證速度

可以達到患者入座1s內即可完成自動拍照對比的所有工作，對正常的醫療環節不造成效率損失。對單一患者來說，幾乎可以忽略不計，能夠完全避免增加認證環節對醫生診治時間所帶來的影響。

5.2.3 操作難度

數字簽名和數據加密操作對用戶而言是透明的，不增加醫生的操作復雜度就可以對傳輸的患者就診信息(醫療費結算單)進行安全保護。在實名制就醫環節，醫患只需簡單配合，攝像頭距離患者0.3～1m條件下，3s內可以自動完成拍照和對比工作。系統自動拍攝比對認證結果，自動傳輸照片，對患者和醫生都是透明的，不會增加醫生的工作難度，也不影響病人的就診時間。

5.2.4 法律問題

人臉圖像采集和比對不涉及隱私問題，目前很多公共場合都采用視頻監控方式保證社會安全，在醫院采用該系統，不會產生法律問題。

5.2.5 安全性

采用安全、快速、可信的數字簽名系統，保證對比結果的真實可靠，不可能被篡改，可以作為合法證據提交給相關機構。因簽名信息來自醫療機構簽名終端，是簽名終端加密卡芯片里的加密系統，實時將攝像頭采集的患者就診時的照片進行簽名，簽名密鑰采用對應患者實時產生的簽名密鑰，所以只有患者本人才能持卡完成簽名過程，有效防止數據篡改情況的發生。

5.2.6 其他優勢

操作方便，部署維護方便。對原有醫院信息系統無需對接改造，只要獲取社保卡ID信息即可；事前預警，可以將損失限制在就醫配藥前。

6 結 語

總之，使用快速、可信的數字簽名和加密技術，保證醫保機構端提交的患者就醫信息(醫療費結算單)可信、完整，保證數據的機密性，同時可以解決醫療機構“作假”提供“虛假”信息騙保的問題。使用生物特征的實時對比認證方法，與快速、可信的數字簽名技術結合，保證實名制就醫可行，讓比對相似率較低的患者也可以申請就醫，體現了政策的人性化，同時通過留下經簽名的患者就診照片，作為以后調查的“證據”。這種“技術”和“管理”相結合的方法能實現實名制就診率達到99%?！?/p>