何建明 梁源
【摘 要】随着移动互联网的发展,移动技术越来越多地在各个业务系统中得到广泛使用。在医疗领域,结合实际业务场景衍生了移动查房系统,医院护士使用手持移动终端设备进行查房,查阅相关记录,极大地提高了工作效率。但是,在应用移动化电子查房系统的同时,也产生了安全性和合规性问题,例如护士登录查房/护理系统时的强身份认证,查房记录的电子签名等。文章介绍的应用方案基于PKI体系,使用数字证书技术,由CA认证机构给查房护士签发数字证书,标识护士的身份,实现系统登录的强身份认证和移动查房/护理的责任落实。
【关键词】医疗移动查房系统;移动数字证书;PKI
【中图分类号】TN925.93;TP399-C8 【文献标识码】A 【文章编号】1674-0688(2017)05-0097-04
1 背景与需求描述
目前,不少医院给护士发放了专用移动终端(Android系统手机)用于移动查房和护理,移动查房和护理形成的电子化归档数据代替纸质单据,不仅可以节约成本,还可提高工作效率、节省工作时间。但是,在应用移动化电子查房系统的同时,也产生了安全性和合规性问题,具体如下。
1.1 护士登录查房/护理系统时的强身份认证
需要给护士发放强身份认证凭证,实现访问系统的强身份认证,防止护士身份被盗取和系统被非授权访问。
1.2 查房/护理记录电子签名
针对护士在移动端提交的电子查房/护理记录实现电子签名和时间戳签名,电子签名等同于手写签名,既可以防止电子查房/护理记录上传时被篡改,又可以落实记录上传者的责任。
2 设计思路
解决护士强身份认证和责任落实的问题依然需要基于PKI体系使用数字证书技术,由CA认证机构给查房护士签发数字证书,标识护士的身份,实现系统登录的强身份认证和移动查房、护理的责任落实。
在数字证书载体方面,现有的USBKEY无法与已经发放的Android移动终端相兼容,采用CA认证机构的移动数字证书产品,以查房移动终端为证书载体,通过产品核心技术保证证书密钥的安全,从安全、易用、兼容等角度作为一种移动数字证书的优选方案。
3 解决方案
3.1 方案目标
本方案是基于成熟的PKI/CA公钥密码技术并使用CA认证机构的移动证书产品的移动数字证书解决方案。方案能实现以下目标。
3.1.1 护士的移动端数字证书通过移动证書快速下发
移动查房/护理护士开通移动证书,通过移动证书获得由CA认证机构签发的用户实名身份证书,并以查房专用移动终端为安全的载体保护用户密钥与证书。护士的实名身份证书是实现信息完整性、身份真实性的技术基础。
3.1.2 护士登录移动查房/护理系统通过移动证书实现强身份认证
护士登录移动查房/护理系统时,以移动证书代替传统的账号+口令,实现登录者的强身份认证。
3.1.3 护士上传的查房/护理记录通过移动证书做电子签名
护士在移动终端编辑的查房/护理记录通过移动证书进行电子签名,保证上传的记录的完整性和操作人责任的落实。
3.1.4 移动护理终端扫码实现对PC业务的电子签名
护士使用移动查房终端扫描PC端的二维码调用移动证书实现对PC业务的电子签名与认证。
3.2 方案整体架构
方案的整体架构如图1所示。
(1)移动证书SDK:由业务APP集成,作为安全的软件载体代替硬件保护用户密钥和证书的安全,移动证书SDK给业务APP提供本地调用的接口开放密码运算和证书服务能力。
(2)移动证书应用前置:部署在医院的内部网络,包含签名验签服务器、时间戳服务器,应用前置主要提供签名验签和时间戳的功能。
(3)移动证书云平台:由CA认证机构运营,实现移动数字证书的安全下发及移动证书SDK的管理。
(4)CA认证机构签发系统:签发有社会公信力的实名身份证书,医院的USBKEY证书和移动证书都由此系统签发。
3.3 业务流程
3.3.1 移动证书申请
3.3.1.1 移动证书申请步骤
(1)院方通过信息录入门户将护士的身份信息(包括但不限于工号、身份证、手机号)录入系统中。
(2)院方管理人员通过业务受理门户审核业务请求信息。
(3)审核通过后允许请求发送到移动证书云平台完成预注册。
(4)护士在移动终端按照提示激活移动证书安装数字证书。
申请移动证书的具体流程如图2所示。
3.3.1.2 关键点说明
(1)护士的证书申请材料由院方在管理门户录入,录入一次即可,在移动证书云平台预注册时生成10组(数目可调,此数目代表了一位护士可以同时在多少移动终端上申请证书)激活码,护士在不同终端上激活移动证书使用一组激活码,这样实现了对于每一位护士一次申请多次发证。
(2)院方录入材料中包含护士本人的手机号码,护士激活移动证书时通过短信将激活码发送到护士自己的手机上,护士再输入到移动终端中,克服了移动终端无短信功能的现实问题。
(3)医院信息化系统存储“护士—终端—证书”三者的绑定关系,这样在后台只有通过护士+终端2个筛选条件才能精确定位一张证书。移动终端编号也会签到证书扩展项中,这样能适应CA为一个人签发多张证书的场景。
(4)证书申请数据通过医院外网出口和移动证书平台对接,做防火墙策略保证内网安全。
3.3.2 移动证书更新
移动证书一般签发一年的有效期,快到期或者已到期时,移动终端会提醒护士进行更新。
3.3.2.1 证书更新步骤
(1)护士登录查房APP后,系统提示护士证书即将到期或已到期,需要更新证书,护士选择更新证书。
(2)院方管理人员通过业务受理门户审核业务请求信息。
(3)护士在移动终端按照提示重新下载证书。
证书更新的流程如图3所示。
3.3.2.2 关键点说明
鉴于证书更新由护士发起后要通过院方后台审核,所以并不能保证更新业务能实时受理、实时更新,在护士确认更新到业务审核通过之前,护士仍可以使用旧证书处理业务。
3.3.3 登录身份认证
护士登录查房APP时以移动证书代替账号口令,增强身份认证的强度,防止登录身份被盗用。登录身份认证流程如图4所示。
3.3.4 移动查房/护理记录电子签名
护士上传查房/护理记录之前,调用移动终端中的移动证书对查房/护理记录电子签名、增加时间戳签名,防止查房/护理记录被篡改,并且落实了上传护士的责任。移动查房/护理记录电子签名流程图如图5所示。
3.4 关键问题的解决
3.4.1 网络問题
医院终端不能连接外网,但是签发移动证书的云平台在外网,必须解决移动证书申请和更新时终端连接移动证书云平台的问题。
本方案中,通过医院防火墙策略开放指定的外网地址,将请求数据转发到外网的移动证书云平台上,实现终端请求的实时转发,24小时不中断,同时通过防火墙策略设置,保证内网系统的安全。
3.4.2 多位护士多个终端的问题
一个病区配备一个移动终端供多位护士使用,而护士存在临时被抽调支援的情况,所以又会有一个护士在多个病区使用多个移动终端的情况。这就要求一个移动终端可存放多位护士的移动证书,同时一位护士可在多个终端上申请自己的证书。
本方案中,移动证书支持一个终端多证书容器来存放多个人的证书。对于一位护士使用多个终端的情况,证书申请时,护士身份资料包括手机号码在管理门户录入完成预注册生成多组激活码,护士在移动终端通过自己的手机接收短信激活码,每接收一组激活码即可激活一个移动证书,后台激活码生成的组数决定了护士可申请证书的数量,证书中附带移动设备编号信息,证明是护士在此终端上申请的个人身份证书。这样,当护士换病区使用新终端时,通过工号在新终端上申请一张证书。
3.4.3 院方实现证书业务的审核和证书管理
移动证书的申请、更新及状态变更应该在院方的控制和管理之下。在本方案中,医院信息化系统开发门户,能够让院方管理者查看证书业务请求并审核,同时医院信息化系统存储“护士账号—移动终端编号—移动证书”三者的绑定关系,院方在管理门户可以以护士账号为筛选条件查找到护士名下的所有移动证书,也可以以移动终端编号为筛选条件查找到某个终端中的所有移动证书。院方可以在护士离职时从后台吊销护士名下的所有证书,也可以在移动终端丢失或损坏后从后台冻结或吊销终端中的所有证书。
4 方案的优势
从体验和成本角度评估,移动证书是一种非常适合在移动设备用户群体中推广的数字证书方案。
4.1 高安全性的移动证书方案
本方案利用移动证书实现对用户密钥的安全保护等级远高于一般的软证书方案,移动证书作为一种软件密码设备,它已经取得了国密局的密码产品型号证书(SHT1301)。而且,移动证书是以终端为密钥的安全介质,区别于云端签名的方案,因此移动证书更符合《卫生系统电子认证服务管理办法》第十八条中要求“证书持有人妥善保管数字证书介质”的描述。
4.2 优质的用户体验
本方案中,在用户侧没有增加任何硬件设备,移动证书SDK与APP完全融合在一起,护士不用再携带硬件KEY,移动终端就是KEY,体验更优。
4.3 低廉的实施成本
移动证书作为软件密码设备相对于USBKEY、蓝牙KEY或音频KEY等硬件设备,具有天然的成本优势。
参 考 文 献
[1]GB 15815—1995,信息技术 安全技术 带消息恢复的数字签名方案[S].
[2]GB 15852—1995,信息技术 安全技术 用块加密算法作校验函数的数据完整性机制[S].
[3]GB/T 17902.1—1999,信息技术 安全技术 带附录的数字签名(第1部分:概述)[S].
[责任编辑:钟声贤]