淺談密碼技術在衛生醫療領域的應用研究

劉磊

南京醫科大學附屬逸夫醫院 江蘇 南京 211112

1 引言

“互聯網+醫療”蓬勃發展，智慧醫療應用不斷提升，衛生健康領域的大數據應用越來越多，新型業務、應用方式不斷出現[1]，隨之帶來了衛生大數據在衛生診療、數據使用的全生命流程各階段產生了各種各樣的數據安全挑戰，包括身份仿冒、隱私泄露、機密竊取、數據篡改、越權訪問等。在醫療服務逐漸由“封閉式”轉變為“開放式”的趨勢下，醫療信息安全環境并不樂觀。國家對數據安全高度重視，2021年先后頒布了《個人信息保護法》《數據安全法》，其中《數據安全法》明確提出，開展數據活動必須履行數據安全保護義務承擔社會責任。在醫療健康領域，數據的安全事關患者生命的安全、個人隱私的安全、公眾利益的安全，為了更好地保護醫療數據安全、規范醫療數據共享，全國信息安全標準化技術委員會于2020年底正式發布了《信息安全技術健康醫療數據安全指南》，面向健康醫療數據控制者提出了保密性、完整性和可用性的安全目標。2022年國家衛生健康委發布了《醫療衛生機構網絡安全管理辦法》，明確提出了“各醫療衛生機構應加強數據收集、存儲、傳輸、處理、使用、交換、銷毀全生命周期安全管理工作，采取數據脫敏、數據加密、鏈路加密等防控措施，防止數據收集過程中數據被泄露。”密碼是網絡信息安全的基礎和核心，是國家網絡信息建設的重要組成部分。本文將針對基于國產算法的密碼技術應用于衛生健康領域以保障醫療數據安全的應用展開討論。

2 醫療數據安全保護需求概述

2.1 保障用戶身份真實性

醫院信息系統覆蓋各功能科室，其建設具有中心部署、分布應用、分級管理等特點，面向所有的醫生、護士、醫師、運維人員等不同類型的工作人員，身份角色不同、管理權限不同，為確保對用戶進行有效的訪問控制，需保證人員身份的真實可信，保障有序開展相關業務和工作[2]。因此，基于醫院獨特的信息化環境，需建立一套面向全院的身份認證管理體系，基于動態口令、消息鑒別碼、數字證書等密碼技術，建立用戶網絡世界的可信身份認證憑證，實現安全、可靠、可信的身份登錄認證，保證不同角色用戶的身份真實可信。

2.2 醫療數據在傳輸過程中的機密性、完整性需求

保障互聯網醫療、院外遠程辦公等業務環節中，醫療健康數據在用戶端-服務端之間的傳輸安全；保障傳染病信息直報、電子病歷共享等業務環節中，醫療健康數據在醫院系統-區域平臺系統之間的傳輸安全，在傳輸過程中對數據進行完整性、機密性的驗證，防止醫療數據被竊取或篡改。

2.3 醫療數據在存儲和利用過程中的據隱私保護需求

醫療數據涉及大量患者、醫療記錄等隱私信息，對隱私數據、重要信息、敏感信息進行隱私保護，動態脫敏，能夠根據用戶權限進行差異化數據展現，防止用戶的身份信息、手機號碼、醫療記錄等私人或者敏感信息對外泄露。

2.4 保障業務行為抗抵賴、責任認定、合法可信

隨著醫院信息系統的各項功能逐步取代傳統看病診療方式的同時，醫患雙方從對一張紙質診斷書的認可轉向對一段數據電文描述內容的認可，數據電文的責任歸屬是否明確直接關系到信息化流程能否完全取代傳統的紙質流程。因此，在醫患雙方身份真實可信的前提下，需要結合可靠的電子簽名技術，建立醫院信息系統中的責任認定機制，保障醫療數據明確的責任歸屬，實現真正意義的無紙化診療過程，使信息化的高效率優勢充分發揮。

3 密碼技術路線

基礎密碼技術主要包括SM2、SM3、SM4等國產的商用密碼算法及基于這些算法的數字簽名、數字信封、加密解密和完整性計算、SSL協議等。

3.1 對稱密碼算法

對稱密碼算法，加密密鑰、解密秘鑰“對稱”，加密過程與解密過程使用相同密鑰[3]。針對不同的數據類型和應用環境，對稱密碼有兩種主要形式：例如SM4密碼算法的分組密碼，以及ZUC密碼算法的流密碼。

3.2 公鑰密碼算法

公鑰密碼算法，又稱非對稱密碼算法，與對稱密碼算法不同的是加密和解密使用不同的密鑰，解決了對稱密碼算法中密鑰管理的難題。包括了基于公鑰的加解密算法、數字簽名驗簽技術、密鑰協商等領域。我國頒布了標準的商用密碼公鑰密碼算法為SM2密碼算法。公鑰加密算法加密和解密使用不同的密鑰，成為公鑰和私鑰，公鑰被公開，私鑰被保密。數字簽名算法也稱電子簽名算法，可以實現類似于手寫簽名的功能，但借助數學方法，比手寫簽名更安全、功能更強。公鑰加密算法，結合特定密碼協議的密鑰協商算法，用于協商通信雙方共同使用的密鑰。

3.3 雜湊密碼算法

雜湊算法是一個函數，它可以將任意長度的信息按照一定的算法壓縮成固定長度的短信息，具有防篡改性、不可逆性等性質函數的輸出成為摘要值，或稱摘要。雜湊算法的作用很多，它可以用于數字簽名：先對消息進行壓縮后，再對摘要值進行簽名；它可檢測消息的完整性，由摘要值判斷消息是否被篡改；它可用于口令的存儲，利用單向性的特點，即使暴露了摘要值也不會暴露口令。SM3算法是我國商用密碼標準中的密碼雜湊算法。

3.4 密碼協議

應用密碼算法實現特定安全功能是十分復雜的，不同的使用環境需用不同的密碼協議。不同的安全功能，也由不同的密碼協議實現。因此，密碼技術中存在多種多樣的密碼協議，如密鑰協商協議、身份認證協議等。密碼協議的安全性對密碼應用至關重要，密碼協議不安全，即使密碼算法再安全，密碼應用仍是不安全的。

3.5 區塊鏈建設

搭建基于司法應用的存證區塊鏈，將醫療機構、CA機構、相關公證處、司法鑒定中心、互聯網法院、仲裁等各位機構作為區塊鏈節點，利用區塊鏈多方共識、分布式存儲、可追溯、難篡改的特性，與國產密碼技術深度融合，結合數字簽名技術、可信時間戳、身份認證技術等，保證電子數據的真實完整性、可查驗和可追溯及證據關聯性。

4 密碼技術應用設計

4.1 基于數字證書保障用戶身份真實性

基于動態口令、消息鑒別碼、數字簽名等密碼技術，通過多元化的身份憑證保障人員、設備、機構等實體的數字身份真實性。醫生、護士、藥師具備執業資格，網絡身份與執業身份對應，實現網絡身份和行業身份的一致性；針對機房等重要區域的進出人員，以及運維人員保障身份可信，有效攔截非授權人員進入。

面向醫院全體醫護人員，可建立基于國密的數字證書建立統一的、符合衛生行業規范的數字證書服務體系，為醫院信息系統解決行為人的身份憑證及憑證認證問題。若是基于PC端訪問，則通過使用基于國密算法的USBKey數字證書，基于國密瀏覽器，調用身份鑒別對USBKey中的國密數字證書進行校驗，實現應用和數據方面的身份鑒別；若是基于移動端訪問，則在移動終端集成符合GM/T 0028-2014《密碼模塊安全技術要求》的移動智能終端安全密碼模塊，調用協同簽名功能，發放基于國密算法的移動數字證書，通過終端與服務端的協同簽名認證的方式，實現應用和數據方面的身份鑒別。

4.2 醫療數據跨網加密傳輸

醫療信息系統包括醫護技用戶、患者、辦公人員、運維人員、研究人員等各類角色在局域網、互聯網等網絡通過PC、APP等終端訪問業務應用存在網絡通信傳輸，往往存在于線上掛號、互聯網醫療、院外遠程辦公等場景。

在網絡層，使用國密SSL技術建立安全的數據傳輸通道，實現網絡層的身份鑒別，同時實現數據在通信過程中的完整性和機密性保護，防止醫療數據被篡改、泄露、竊取。通常會在醫院DMZ區部署基于國密算法，并且符合商用密碼產品認證要求的網關，無須與應用系統集成，構建國密安全傳輸信道。

在應用層，通常在服務區部署基于國密算法，并且符合商用密碼產品認證要求的密碼設備，對個人隱私信息、患者報告等重要數據通過SM4國密算法進行機密性保護，通過SM2國密算法進行數字簽名完整性保護，最終實現應用層的重要數據傳輸機密性和完整性保護。

4.3 醫療數據存儲和利用環節隱私保護

通過隱私保護和動態脫敏技術，保障醫療數據的數據存儲安全。對敏感信息、重要數據、隱私字段進行加密保護，防止用戶的身份信息、手機號碼、醫療記錄等私人或者敏感信息對外泄露。

在數據存儲環節，根據加密規則配置，通過SM4實現數據機密性存儲，執行動態數據加密，將明文轉換成密文后存儲，有效保障數據存儲的機密性，確保存儲的重要數據不被泄漏或非法利用。同時通過HMAC-SM3、基于SM4的MAC技術進行數據完整性存儲，或基于SM2的數字簽名的方式實現存儲完整性保護。

在數據利用環節，根據脫敏規則配置，對敏感數據進行實時脫敏化處理，支持保留格式脫敏、擾亂等脫敏算法，保障數據在展示、共享環節的安全，通過內網/手機移動網絡訪問應用系統、查詢醫療數據時，將對涉及敏感信息的數據以脫敏形式展示，能夠根據用戶權限進行差異化數據展現，避免敏感數據外泄。

4.4 電子簽名保障無紙化業務行為抗抵賴、合法可信

基于數字證書，通過可靠的電子簽名技術，保障醫護人員在關鍵業務環節的電子簽名和時間戳應用，實現醫療數據的完整性保護、可信時間，以及責任認定等安全需求。使用可信的手寫數字簽名技術解決患者電子簽名問題，實現知情同意書無紙化，保障電子知情同意書的合法可信。關鍵業務保護服務利用密碼技術，能夠辨識業務流程操作主體及電文簽署主體的身份，從而有效保護電文數據完整性、防止任何人對電文做未經授權的篡改、同時確保業務流程中簽名行為的不可抵賴。

4.5 醫療應用數據全流程安全“鏈上化”

在智慧醫療服務、互聯網醫院、電子處方流轉等各業務流程中，產生患者隱私信息、醫療記錄、電子病歷、醫療文書等數據，通過電子簽名和時間戳技術，對各業務流程中的登錄認證、協議閱讀、身份核驗、文件瀏覽、電子簽名、意愿表達、數據流轉、文件存儲等各個環節各個節點進行采集與固化，加蓋時間戳，構造證據鏈，同時將證據鏈摘要值在CA機構、區塊鏈、公證處、司法鑒定中心等第三方權威機構進行存證，從第三方的角度有效保全，進一步提高電子數據證明效力，并且在訴訟環境，能夠出具相應的第三方權威報告，完整回溯事件過程，支撐電子數據在訴訟環節中的證明力。

5 密碼技術應用安全自主可控

國產算法：采用SM2、SM3、SM4等國產密碼算法，建立以國產密碼為主要支撐的衛生領域信息安全保障體系，實現密碼應用的安全自主可控。

信創生態：基于國產芯片、國產操作系統、國產數據庫、國產中間件、國產文檔處理軟件等信創生態環境，實現衛生密碼安全應用的全面自主可控。

符合密評：嚴格按照密碼應用安全性評估標準GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》設計，符合密評要求，同時為各機構信息系統通過密評提供必要的密碼支撐。

6 結束語

在衛生醫療領域深入應用基于國產算法的密碼技術，為院內外數據傳輸交換提供安全通道，保障醫院對外業務正常有序開展，有效避免臨床試驗、醫療科研等重要成果被外部不法分子竊取，防范內部信息外泄，保護患者隱私、保障個人信息的合理利用，并且實現醫療數據的安全存證。