时间戳在电子病历无纸化归档中的应用研究

段文舟 连万民

摘要：本文旨在研究电子病历无纸化归档中数据的真实性和安全性问题。通过分析影响病历电子信息在保存过程中的安全因素和传统电子签名在电子病历防篡改中的不足，引入时间戳，对电子数据进行安全加固，综合考虑安全性和成本，提出了大量电子病历档案长期保存批量合并处理时间戳的方案，推进医院无纸化进程。

关键词：电子病历；无纸化；电子签名；时间戳

随着医院信息化进程，电子病历档案无纸化建设是大势所趋。[1]但是，电子病历作为电子数据，有无形性、多样性和易篡改等特性，是电子病历的真实性、完整性受到质疑，在法律效力上也无法与纸质病历相比，医院对于电子化的档案管理也并不成熟。[2]本文主要分析一下电子病历的安全性影像因素和传统解决方案，并探讨电子时间戳在电子病例档案的安全保护中的作用和实现。

1 电子档案的安全性问题及通常的措施

电子信息存储依赖于的存储介质的可读性，为防止由于存储介质硬件故障导致数据丢失，通常我们会进行多个备份和异地存储；电子信息只有转换为可视化的内容才能供用户阅读理解。电子病历记录必须遵循有记录可查或标准可循的格式，同时备份相应标准文件，以备查验。

为保证电子病历信息的真实性，证明当前信息未被修改，通常通过设定的某种可验证的方法来证明，比如审计或数字签名验证。为保证将来信息也不会被篡改，通常采用数字签名的方法来保证。[3]但传统数字签名随着时间推进和技术进步，有被破解的风险，下面针对电子病历真实性保护进行探讨。

2 电子档案的真实性保护

一般我们在讨论真实性问题时，通常有以下两种情况：

一是在电子信息不加任何技术保护电子信息，为保证其安全，需要从制度上保证电子信息在接收、归档、查阅等过程必须全程记录、全程可控、可追溯，并且实现多人控制，互相牵制，而且是可审计的。也就是说，首先保管场所必须是安全的，具有防入侵、防破坏的措施。其次人员也必须是可靠的，且主观没有篡改电子信息的动机。但对于医院保存的医案来说，从研究的角度看，应该没有篡改档案的动机，但从医患纠纷，也就是从证据上讲，对于保管在医院的电子病历就缺乏可信度，即在对医院不利的情况下有篡改电子病历的动机。

另一种是对电子信息进行加工处理，从技术上给予保护。大家知道，现在不少医院都在推广数字签名，那么已经进行过数字签名的的各种医疗记录是可以防篡改，进入电子档案系统后只要文件原样保存就可以在将来通过技术验证判断是否在档案存储过程被修改过。[4]但问题来了，既然是档案，其保存其可不是一时半会，一般都是几十年或长期性的。但数字签名采用的是密码技术，而现时的密码技术总会在将来的某个时候被破解，也许很短也许很长，反正迟早不安全，况且还有很多医疗档案的形成过程并没有使用过数字签名。如何解决这个问题，这里提出一种电子时间戳的应用来实现。

3 电子时间戳在电子档案长期保存中的应用方案

这里讲的时间戳是指符合RFC3161协议标准的时间戳，它基于X.509的PKI。因为是在互联网上的公开服务，它被认为是可信的时间戳。时间戳其实也是一种数字签名，重要的是它具有两种应用特性：一是证明该电子数据在该时间是存在的，另一个特性就是对电子数据进行安全加固，即保护该电子数据在该时间后不被篡改。[5]

我们就用其第二种特性来保護医院的存档电子档案，这种应用的时间戳通常也称归档时间戳。下面是这种方案的描述。归档时间戳的应用机制如图1：

时间戳工作过程是时间戳请求者将原文进行哈希，然后将哈希值发送给时间戳服务请求时间戳，时间戳服务将接受到的哈希值附上时间标识后进行电子签名，即用时间戳服务的数字证书完成该数字签名后返回给请求者。其安全性取决于哈希算法和签名算法的安全。所以归档时间戳的密码算法要有足够的安全强度。

电子病案资料在归档时进行时间戳处理后进行归档，特别是哪些未经数字签名的电子病历信息更是一种保护，保证归档之后信息的真实性。随着时间的推移，原有归档时间戳使用的哈希算法和签名算法都有可能变得不安全，在预计不安全到来之前，需使用更安全的新的时间戳服务对电子档案进行再处理。比如说，当时（T1）使用SHA1和RSA1024，现在（T2）就要使SHA256和RSA2048，在以后（T3）就需要使用SHA512和RSA4096，以此类推。这样每次进行加盖时间戳处理后，就又变得安全了，如图2：

这里有另外一个问题。随着电子档案的越来越多，要对原来的每个信息进行时间戳处理将是非常大的工作量，除了读取所有档案信息，还要处理时间戳。如果时间戳访问效率不高的话，处理时间也会非常耗时。以下方案可以作为折衷考虑。

（1）每次都使用尽可能安全的算法，目的就是增加使用算法的安全期，从而减少处理次数。

（2）合并多个旧时间戳信息为一个进行时间戳的再处理，从而减少处理量。这可以对信息进行分类，分类方法可以采取按时间段或相关性或者不同介质，如图3：

这里重点分析一下第二种方案的优劣，如果合并的内容越多，则减少的时间戳数量越多，处理效率的越高。但验证时间戳的时候，效率就低了。不管你想验证合并块中那部分信息，都必须读取整个块进行先行验证，才能再验证内嵌的块。所以应合理分类合并进行时间戳，大小亦要折衷处理。另外，一个更有效的办法是采用哈希树的方法来进一步提高这种方法的处理效率，可以进一步减少时间戳的处理量，而且哈希算法足够强的话，可以减少中心哈希的次数，从而可以较长时间内保证处理效率。

4 总结

归档时间戳在医院电子病历档案中的应用具有很好的作用：第一时间保护电子病历档案的真实性；电子档案信息的再处理，可以定期检验信息的各项安全性；为医院提供更好的医疗证据保全；促进医院电子档案的有效管理。

参考文献：

[1]王晓盈，姜国成，白晓忠.医院开展病案无纸化归档系统建设的思考[J].中国病案，2016，17（10）：4042.

[2]孙慧子，董晓明，张淑英，等.《电子病历应用管理规范（试行）》对电子病历法律效力影响[J].中国医院管理，2018，38（04）：6465.

[3]汤钦华，袁骏毅，马群圣.基于电子签名的病案无纸化归档系统的实现与应用[J].中国医疗设备，2018，33（09）：129131.

[4]崔志斌，崔宇璇，王腾飞.基于CA认证的可信电子病案系统设计[J].中国数字医学，2017，12（01）：8385.

[5]邵淼，张妍.基于数字签名和时间戳的电子病历电子证据固化方法[J].信息安全与技术，2016，7（01）：5456.