1、电子病历与数字证书的对接,刘平,数字证书的作用,证明公钥属于谁说明公钥的有效期和验证链使用该公钥和对应的私钥,可以做到:机密性:信息不能泄露真实性:身份不能假冒完整性:数据不可篡改抗抵赖:行为不能否认通过密码服务,实现上述安全保证,数字签名签名,数字签名,将签名附加在文档之后,文档Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document,文档Plain text DocumentPlain text DocumentPlain text DocumentPlai
2、n text DocumentPlain text Document,文档Plain text DocumentPlain text DocumentPlain text DocumentPlain text DocumentPlain text Document,信息摘要,压缩,数字签名验签名,信息摘要,信息摘要,数字签名,比较两个摘要信息是否一致,压缩,用户B的公钥,用户B真的在文件上签了名(真实性)用户B真的发送了信息(非否认性)。如果信息有了任何改动,摘要就会不匹配(完整性)。,假如摘要相互匹配就可以有三种安全保证,数字签名的作用,许多安全需求要用数字签名来解决数字签名基本用途是:真实
3、性完整性抗抵赖 要根据不同安全需求设计签名方法谁来签名对什么签名签在哪里签了干什么用,数字签名机制,不同的签名方法可以满足不同的安全需求真实性:对验证方发来的挑战数据签名完整性:对被保护数据的哈希值签名抗抵赖:由行为人对确定的内容签名保持关联关系:对关联数据的哈希链签名指定受理/所有人:待签数据中包括该人证书指定后续操作:待签数据中包括操作指示逐级审批:待签数据中包括前者的签名,卫生部的电子病历的规范,电子病历基本规范 总则电子病历基本要求 实施电子病历基本条件 电子病历的管理 附则 2010年4月1日起试行,规范中涉及的安全问题,电子病历系统应当为患者建立个人信息数据库,授予唯一标识号码并确
4、保与患者的医疗记录相对应电子病历系统应当满足国家信息安全等级保护制度与标准。严禁篡改、伪造、隐匿、抢夺、窃取和毁坏电子病历。,规范中涉及的安全问题(续),电子病历系统应当为操作人员提供专有的身份标识和识别手段,并设置有相应权限;操作人员对本人身份标识的使用负责医务人员采用身份标识登录电子病历系统完成各项记录等操作并予确认后,系统应当显示医务人员电子签名。,规范中涉及的安全问题(续),电子病历系统应当设置医务人员审查、修改的权限和时限。实习医务人员、试用期医务人员记录的病历,应当经过在本医疗机构合法执业的医务人员审阅、修改并予电子签名确认。医务人员修改时,电子病历系统应当进行身份识别、保存历次修
5、改痕迹、标记准确的修改时间和修改人信息。,使用密码技术可以解决安全问题,加密,解决隐私和知识保护问题签名,解决病历完整性问题解决病历的管理问题鉴别操作者身份真实性明确操作者责任证明病历有效性证明业务流程合法性,电子病历与密码服务的关系,医疗业务系统,密码基础设施,电子病历管理系统,电子病历,医务人员,医务人员面对的系统医务人员在此系统上操作,相对独立的系统通过标准接口提供病历服务,统一的密码服务平台通过标准接口提供密码服务,电子病历,基本结构安全需求安全机制,电子病历,基本结构安全需求安全机制,电子病历的基本结构,电子病历的基本结构(续),来自于卫生部电子病历数据结构规范业务内容遵循电子病历数
6、据结构规范横向可链接记录纵向可添加记录记录由标识表示用途,电子病历,基本结构安全需求安全机制,电子病历的安全需求,病历自带安全机制安全机制应保证:确保完整、明确责任保护隐私、保护知识具有权限、安全共享 安全机制应做到:与记录的医疗内容无关与医疗业务和流程无关与医疗业务系统无关,目的是使病例成为独立的安全对象可以跨系统安全共享离开本系统时,安全性不被破坏,电子病历的安全需求(续),横向记录间保持链接关系,前后顺序不可变纵向记录间保持族群关系,先后顺序不可变记录只能创建、添加,不能抽取、删除记录不能修改,修改等于添加 医务人员对记录签名管理系统对病历签名 所有签名不可撤销,对应规范中关于修改的规定
7、保留修改痕迹,原始的签名应保留修改者要签名,等于添加新纪录,电子病历,基本结构安全需求安全机制,电子病历的安全机制,每条记录都应由行为人签名待签内容应包括:内容属性:医疗行为产生的结果、数据或链接时间属性:签名的时间或时间戳、修改审查的时限签名属性:签名者信息,如职称、职务等关联属性:与前记录的关系,如治疗、修改等状态属性:可否链接、是否归档等隐私属性:隐私所有者的加密证书权限属性:谁能看到/修改/处理/拥有/本记录审批属性:本记录是否应审批,批准者的证书完整性属性:纵横向哈希链接到本记录的哈希值,电子病历的安全机制(续),对横向记录的哈希链签名,保持链接关系用于后续记录链或者修改记录链每链接
8、一条记录改签一次,原顺序不能改变由病历管理系统签名对纵向记录的哈希链签名,保持族群关系记录许进不许出每添加一条记录改签一次,原次序不能改变由病历管理系统签名,病历管理系统,安全需求安全要求,病历管理系统,安全需求安全要求,病历管理系统的安全需求,为患者建立个人信息数据库,授予唯一标识号码并确保与患者的医疗记录相对应具有严格的复制管理功能。同一患者的相同信息可以复制,复制内容必须校对,不同患者的信息不得复制 应当满足国家信息安全等级保护制度与标准。严禁篡改、伪造、隐匿、抢夺、窃取和毁坏电子病历,病历管理系统的安全需求(续),门诊电子病历中的门(急)诊病历记录以接诊医师录入确认即为归档,归档后不得
9、修改 住院电子病历随患者出院经上级医师于患者出院审核确认后归档,归档后由电子病历管理部门统一管理医务人员修改时,电子病历系统应当进行身份识别、保存历次修改痕迹、标记准确的修改时间和修改人信息,病历管理系统,安全需求安全要求,病历管理系统的安全要求,与密码算法、密码设备、密钥管理无关, 通过标准接口为业务系统提供病历服务创建、添加、修改、阅读、打印、查询、统计等不接受医务人员的直接访问按照病历的安全机制管理病历对病历进行的操作应有日志记录应有数据备份机制,病历管理系统的安全要求(续),管理人员登录系统应验证身份管理人员应按权限进行检索、统计、复印、检验等操作管理人员不能对病历进行访问操作管理人员
10、的操作行为应有日志记录,医疗业务系统,安全需求安全要求,医疗业务系统,安全需求安全要求,医疗业务系统安全需求,应当为操作人员提供专有的身份标识和识别手段,并设置有相应权限;操作人员对本人身份标识的使用负责 医务人员采用身份标识登录电子病历系统完成各项记录等操作并予确认后,系统应当显示医务人员电子签名。,医疗业务系统安全需求(续),电子病历系统应当设置医务人员审查、修改的权限和时限。实习医务人员、试用期医务人员记录的病历,应当经过在本医疗机构合法执业的医务人员审阅、修改并予电子签名确认。医务人员修改时,电子病历系统应当进行身份识别、保存历次修改痕迹、标记准确的修改时间和修改人信息,医疗业务系统,
11、安全需求安全要求,医疗业务系统的安全要求,操作者登录系统应验证身份操作者应按权限操作,权限应分等级操作者审查、修改的权限应设置时限 操作者的行为应有日志记录,可追溯系统把操作的结果转化为对病历管理系统的访问操作,密码基础设施,密码基础设施提供的服务密码基础设施简要介绍,密码基础设施,密码基础设施提供的服务密码基础设施简要介绍,密码基础设施提供的服务,提供通用密码服务数字签名、验签数据加密、解密提供典型密码服务身份鉴别权限管理证书解析、验证时间戳证据采集与管理,密码基础设施,密码基础设施提供的服务密码基础设施简要介绍,密码基础设施框架,密码基础设施框架(续),密码设备服务层由密码机、密码卡、智能
12、密码终端等设备组成,通过标准的密码设备应用接口向通用密码服务层提供基础密码服务。基础密码服务包括密钥生成、单一的密码运算、文件管理等服务。密码设备通过统一的设备管理接口来接受通用密码服务层的密码设备管理。,密码基础设施框架(续),通用密码服务层 由通用密码服务和密码设备管理服务组成,为上层应用提供与底层具体密码设备透明的密码服务和设备管理服务。通用密码服务层通过统一的密码服务接口向典型密码服务层和应用层提供证书解析、证书认证、信息的机密性、完整性和不可否认性等通用密码服务。将上层的密码服务请求转化为具体的基础密码操作请求,通过统一的密码设备应用接口调用相应密码设备实现具体的密码运算和密钥操作。
13、密码设备管理向上层管理应用提供统一的设备管理应用接口,为实现远程密钥管理、设备维护、设备监控等上层管理应用提供设备管理功能,将上层管理应用的管理请求转换为标准的消息调用,通过安全通道实现管理应用与密码设备间的消息传递。,密码基础设施框架(续),典型密码服务层 由责任认定、身份鉴别、单点登录、访问控制和时间戳等服务组成,为上层应用提供对应的密码功能服务。责任认定通过标准接口为上层应用提供证据采集服务,为责任认定应用系统提供可信证据,实现证据的存储、归档、查询和使用审计等管理功能。身份鉴别通过标准接口为上层应用提供身份查询、身份解析、身份验证等身份鉴别服务。单点登录通过标准接口为上层应用提供登录凭据的产生、获取、验证等服务,在相互间存在信任关系的应用系统之间实现单点登录和单点注销。访问控制通过标准接口为上层应用提供系统资源的访问控制,实现用户管理,资源管理、访问控制策略管理和用户授权等功能。时间戳通过标准接口为上层应用和典型密码服务层其它组成部分提供与时间戳系统无关的时间戳加盖、验证等时间认证服务。,几点建议,对电子病历、管理系统和业务系统进行顶层设计确定相互关系明确各自功能提出安全要求设计电子病历的安全机制病历的签名机制病历的管理机制制定电子病历相关标准电子病历密码应用技术规范电子病历管理系统技术规范,个人观点欢迎批评谢谢大家,
