基于CA 认证的病案网上分发系统的设计与实现

苏玉成，张亚娜，尹风英，陈 帆，张泽琳，高 荷，蒋 昆*

（1.空军军医大学第一附属医院信息科，西安 710032；2.空军军医大学第一附属医院门诊部，西安 710032）

0 引言

2017 年3 月22 日，国家卫生和计划生育委员会办公厅、国家中医药管理局办公室联合下发《关于印发电子病历应用管理规范（试行）的通知》（国卫办医发〔2017〕8 号）[1]，指出：“有条件的医疗机构电子病历系统可以使用电子签名进行身份认证，可靠的电子签名与手写签名或盖章具有同等的法律效力。”2021 年6 月4 日，国务院办公厅下发的《关于推动公立医院高质量发展的意见》（国办发〔2021〕18 号）文件[2]中指出：“推进电子病历、智慧服务、智慧管理‘三位一体’的智慧医院建设和医院信息标准化建设。”而对于医院来说，如何根据上级要求做好病案复印工作，提升患者就医满意度，一直是我院信息化建设的主攻方向。

对于患者复印病案，目前各大医院大多依靠第三方公司建立专门的病案预约申请网站，由患者在线申请，第三方公司人员或医院用户对患者申请信息进行审核后，再由医院打印出纸质病案邮寄给患者。该模式存在以下两点不足：一是业务整体依托第三方平台，稳定性和安全性不可估量，可能导致业务中断、患者个人信息泄露和资金安全风险；二是患者需要向第三方平台支付预付款，存在沉淀资金风险。

我院病案复印业务年均复印量超15 万份，按每份病案平均60 页计算，每年打印量约900 万页，直接成本约270 万元。由于物价局规定每张病案用纸收费最高0.3 元，且费用长期未调价，加上打印机损耗成本和人力成本，导致目前医院病案打印业务入不敷出[3-4]。同时，患者需要在离院7 d 后再次回到医院病案室获取病历复印件，对患者来说存在不便和感染风险。鉴于此，本文设计基于CA 认证的病案网上分发系统，在保障病案数据安全的前提下为患者建立多渠道病案获取途径。

1 设计思路

为解决纸质病案所带来的各种风险与问题，我院拟通过“互联网+”思路，结合《电子签名法》的相关规定，建设一种医院自行运营的病案在线分发系统[5]。通过在系统中集成第三方合法CA 认证服务机构提供的可靠电子签名服务，使电子病案具有与纸质病案同等的法律效力，实现患者真实身份在线鉴别、电子病案在线申请、电子病案在线审核签章及签章验证、电子病案在线下载、电子病案打印件验证等病案复印业务全流程网上服务[6-7]。另一方面，为了保障电子病案在互联网服务器上存储时的数据安全，拟通过数字加密手段保障数据在互联网上的安全存储[8]。

2 系统设计

2.1 开发环境及系统架构

病案网上分发系统采用浏览器/服务器（Browser/Server，B/S）架构，通过C#语言开发[9]；采用单库单应用架构，通过服务器虚拟化技术搭建服务。其业务主要由2 台服务器、CA 认证支撑平台和病案网上分发系统进行支撑。

医院CA 认证支撑平台为病案网上分发系统提供电子签章、数据加密、数据解密等技术支持。该平台不仅用于支撑病案网上分发系统，还支撑医院其他医技系统中CA 认证相关服务。同时为了保障业务稳定性，CA 认证支撑平台采用全双机热备模式组网[10]。系统整体架构如图1 所示。

图1 系统整体架构示意图

病案翻拍系统和CA 认证支撑平台2 个部分部署在医院内网区。其中病案翻拍系统是所有电子病案的数据源头，它将纸质病案翻拍为电子病案，为病案网上分发系统提供基础业务数据；CA 认证支撑平台包括认证服务器、签名验签服务器、时间戳服务器、电子签章系统、密码机、证书查询系统以及日志查询系统，为病案网上分发系统以及院内其他医技系统提供CA 认证服务支持。

病案网上分发系统和签名病案数据存储部署在医院隔离区（demilitarized zone，DMZ）。其中病案网上分发系统部署于应用区，用于对外提供业务服务；签名病案数据存储部署于数据区，仅能与病案网上分发系统进行数据交互，用于存放加密的病案数据，最大限度地保障患者数据安全。

2.2 业务流程

为了满足患者在线上、线下获取病案的需求，系统通过集成相应电子签章安全应用服务，一方面满足患者在线申请电子病案的需求，另一方面也满足患者线上申请邮寄或自取纸质病案的需求。系统业务流程如图2 所示。

图2 系统业务流程图

2.3 文件加密存储

在解决病案文件本身的安全性和可证明性问题后，如何保障病案在医院服务器上不被非法下载和篡改是医院下一步面临的主要问题。通过建设CA认证支撑平台对文件进行对称加密和对密钥进行非对称加密，最大限度地保障电子病案在服务器上的安全存储需求。互联网电子病案安全加密存储示意图如图3 所示。

图3 带有水印、签章的电子病案文件的加密保护服务流程示意图

CA 认证支撑平台运用非对称加密技术，在获取到带水印电子签章的电子病案PDF 文件后，通过对称密钥对文件进行加密形成密文文件。再使用非对称主密钥对对称密钥进行加密，形成密钥密文，最后将密钥密文作为文件头部与密文文件一并保存，保障病案数据即使被窃取也无法获得病案明文数据。同时该加密的病案文件将在DMZ 存储服务器上保存一段时间，从而满足患者或家属一定时间内多次重复下载的需求。

在患者申请下载病案文件时，需先对存储在系统中的密文文件的对称密钥密文进行解密，取得密钥明文，再使用密钥明文对文件进行解密获得电子病案明文文件，最后将电子病案明文文件提供给患者下载。

3 系统实现

病案网上分发系统主要包含注册、提报申请、验证、电子病案签章和病案加密存储5 个部分。对于用户和管理人员来说可感受的主要为注册、提报申请和验证3 个部分，电子病案签章和病案加密存储是依靠CA认证支撑平台对最终的PDF 版电子病案进行签章和加密存储，属于后台服务业务，在实际业务流程中并不体现。

患者或患者家属实名注册后，登录病案网上分发系统，并根据系统业务流程提交电子病案获取申请。业务申请流程如图4 所示。

图4 业务申请流程图

病案网上分发系统结合患者住院ID 信息、住院时间等信息，从病案翻拍系统中获取相应的电子病案文件。病案审核人员在系统后台对电子病案文件内容进行审核确认。在审核人员审核确认之后，系统先调用CA认证支撑平台提供的电子签章服务接口，完成对电子病案添加水印和电子签章的工作，再调用加密服务对文件进行加密存储。当用户下载电子病案时，系统对加密文件进行解密后将文件提交给患者，患者最终获得的是带水印的PDF版电子病案（如图5所示）。

图5 患者获得的PDF 版电子病案示意图

对于病案验证，主要有患者自行验证和第三方验证2种方案。（1）患者自行验证：患者获得病案后，可登录病案网上分发系统，通过病案验证扫码接口扫描病案首页上的二维码，获得电子病案验证信息，如图6 所示。（2）第三方验证：医院可通过第三方CA 认证服务提供商，对电子病案的篡改情况给出权威认证。具体模式为：利用电子签章的唯一性，在第三方CA 认证中心网页上传电子病案，对病案文件进行重新验签，将验签结果与之前的签章结果进行对比，如不同则可以确定病案文件被篡改。当然也可以从数据库中重新调取经过CA 认证的原病案，与需要验证的病案进行全文对比，如图7 所示。

图6 通过电子病案网上分发系统二维码扫描后电子病案验证信息

图7 电子病案第三方数字签名验证

对于线下领取病案流程，由于系统中仅涉及简单的数据交互，本文不另行介绍。

4 应用效果

本系统自2021 年10 月启用以来，截止到2022年9 月已经完成线上签发电子病案超15 000 份。针对近期11 个月全院病案分发情况进行分析，使用病案网上分发系统的用户数量逐步稳定增加（如图8所示），基本满足业务初期既定目标。

图8 2021 年11 月至2022 年9 月系统分发电子病案数量统计结果

本系统的上线可使患者足不出户获得电子病案，并将本地患者的复印业务（包括从患者来院、审核资料、划价缴费、打印病案到病案盖章所消耗的时间）从2～3 h 优化至10～15 min。同时医院工作人员的工作量也减少至原来的1/4，无需进行划价缴费、打印病案、病案盖章等工作。同时本系统完全满足患者足不出户线上领取电子病案的需要，以及患者前往其他医院就诊时医生查阅之前就诊病案的需要[11-12]。

但本系统还存在一些不足：一是为了验证身份需要上传身份证信息，流程较为烦琐；二是在电子病案互认配合方面，部分省份医保部门尚未认可电子病案打印后的法律效力，要求提供纸质病案，导致患者必须重新来医院领取纸质病案；三是PDF 文件仍存在被恶意修改的问题，虽然电子病案能被认证出被修改，但是仍然存在认证过程较为复杂必须经由第三方处理的问题；四是现有电子病案基于纸质病案翻拍，没有从源头上建设基于CA 认证的电子病案[13-14]。

5 结语

本系统依据《中华人民共和国电子签名法》相关要求，依托第三方认证机构的电子认证服务，将可靠的电子签名技术应用于电子病案的CA 认证过程中，实现了在保障病案数据的安全性、真实性、可靠性、完整性、不可抵赖性和合法性的同时满足了医院、患者和其他医疗相关机构对于电子病案数据的交互需求[15-16]。同时系统对病案网上存储的安全性进行了安全防护，一方面通过定期删除机制控制了可盗取病案的数量，另一方面通过非对称数据加密技术，使得即使部分病案加密数据被盗，也不易被别有用心者直接利用[17-18]。本系统的上线优化了病案管理的最后一步业务流程，扩大了病案利用的方式和内涵，提升了患者满意度，也为下一步实现全院病案无纸化提供了参考[19-20]。