区域医疗平台电子认证解决方案.doc

区域医疗信息平台电子认证安全应用解决方案二二三年四月目录1. 背景为贯彻电子签名法和电子病历基本规范，保障医疗信息系统的安全，规避医疗行为的法律风险，卫生部于2010年1月7日发布了卫生系统电子认证服务管理办法（试行），从行业角度提出使用电子认证服务保障卫生信息系统安全，满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求。随后，卫生部于2010年5月7日发布了卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知，制定了卫生系统电子认证服务规范（试行）等五个电子认证服务技术规范，为卫生系统全面推广电子认证服务应用提供了政策与技术服务规范保障，以确保我国各类卫生信息系统都能够实现安全、合法、有序的开展。为贯彻落实卫生系统电子认证服务管理办法（试行）（卫办发2009125号）、卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知（卫办综发201074号），深圳市卫生和人口计划生育委员会（以下简称市卫人委）已发布关于开展我市卫生和人口计生系统电子认证服务体系统一建设工作的通知（深卫人发2011328号），积极开展了深圳市卫生系统电子认证服务体系的建设工作。为更好地推进各区卫生信息化发展，顺应卫生部和市卫人委相关政策要求，切实保障各区域医疗信息平台系统安全，各区应建设电子认证服务系统，并依托该系统为各区卫生单位及个体提供统一的电子认证服务，有利于促进各区卫生系统电子认证服务体系的建设，具有重要的现实利益。2. 需求分析根据对各区区域医疗信息平台实际调研情况，分析得出各区区域医疗信息平台主要存在以下安全需求：1、 方便快捷的数字证书发放与管理区域医疗信息平台所面临的安全威胁，需要使用到数字证书，涉及到数字证书的申请、发放、更新、吊销等操作，医院业务的特殊性和连续性，决定了卫生系统中数字证书的使用需要对数字证书生命周期的管理工作提供便捷化支持，即在鉴别用户的真实身份后，即可快速提供证书申请、证书下载、证书更新、证书吊销和在线解锁等服务。2、 确保医护人员登录区域医疗信息系统身份的可靠性区域医疗信息平台涉及医疗机构、公共卫生机构及行政机构等，平台用户类型多样，包括区域医疗机构、卫生行政部门、患者多类用户，传统的“用户名+口令码” 的弱认证方式的弊端逐渐凸显，很容易导致内部重要医疗数据的外泄，甚至导致医院信息系统遭受破坏性攻击。因此，确保业务参与各方身份真实可靠，建立高安全性的身份验证机制是保证区域医疗信息平台安全应用的关键。3、 确保电子化诊疗数据生成过程中的真实性和完整性真实性主要体现在实时性和不可篡改性，也就是能够实时记录从各种临床信息系统采集来的诊疗信息和医护人员记录的主客观信息，应具备符合电子签名法要求的数字签名，记录的内容应具备防篡改功能和不可抵赖性，即使因某种原因需要修改，应详细记录修改人和修改时间。因此，建立医疗数据的完整性保护机制，使用技术手段保证医疗数据在电子病历等业务系统中产生、存储、再利用的整个生命周期过程完整、准确。4、 实现图形化、可视化的电子签章功能在现实医疗业务处理中，各医疗机构在处理医疗业务时均采用签名或加盖印章的方式来确保纸质病历信息的有效性。而在区域医疗信息平台中，同样需要医护人员产生的电子签名数据具备图形化、可视化的效果，并能够对电子签章的有效性进行验证。这样更加符合人们的日常操作习惯，更加容易被用户接受和认可。5、 保证电子病历内容和时间的法律效力目前，很多医院和患者都对电子病历持审慎的怀疑态度，关键问题是纠结于电子病历的法律效力，一旦发生医患纠纷闹上法庭，都担心电子病历不能成为呈堂证供而败诉。因此，电子病历内容和时间的合法性已经成为制约电子病历发展的重要因素，有必要从法律角度出发，依托现有的技术手段确保电子病历内容和时间的法律效力。3. 总体方案3.1. 设计思路本方案以卫生部相关法律法规为依据，围绕各区域医疗信息平台实际安全需求，提供一整套基于电子认证服务和电子签名的解决方案，通过数字证书、电子认证应用系统、时间戳服务器和电子签章系统为核心产品，提供身份认证、数字签名、数据加密、时间戳、电子签章服务，从“可信身份、可信行为、可信数据、可信时间”四个范畴搭建各区可信区域医疗信息平台，从而真正实现区域医疗信息平台的可信业务环境建设需求。可信行为由电子签章系统实现。图表 1 区域医疗信息平台电子认证实现模型（1） 可信身份服务为区域医疗信息平台解决行为人的身份凭证及凭证认证问题。区域医疗信息平台通过接入第三方数字证书服务，部署数字证书受理点，为医生、护士、药剂师、系统管理员等医院工作者发放数字证书身份凭证；医护人员使用数字证书登录区域医疗信息平台，区域医疗信息平台通过电子签名客户端，实现强身份认证。（2） 可信行为服务为区域医疗信息平台解决医疗行为可追溯问题。医生在电子病历等区域医疗信息平台系统中所进行的关键操作，通过电子签章系统完成数字签名可视化服务。（3） 可信数据服务为区域医疗信息平台解决医疗数据可信化、合法化问题。通过在区域医疗信息平台集成电子认证应用系统，实现处方、医嘱、病程记录等关键医疗数据的可信化转换，使之符合电子签名法对可信数据电文的要求。（4） 可信时间服务为区域医疗信息平台解决医疗行为时间准确性和真实性问题。区域医疗信息平台系统保存的医疗数据，需要加盖可信时间戳，确保此操作记录的时间可靠性。3.2. 建设方案针对各区域医疗信息平台，建设面向辖区统一的数字证书发放与管理系统、电子认证系统、时间戳服务器以及电子签章系统，为辖区区域医疗机构提供证书认证、数据加密、时间戳、电子签章等服务，其总体框图如下所示：图表 2区域医疗信息平台总体框图1、建设数字证书发放与管理系统为方便区域医疗信息平台用户数字证书的申请、发放和后期服务，需在区域医疗信息平台设立数字证书发放与管理系统。数字证书管理员使用数字证书发放与管理系统对区域医疗机构医护人员提供数字证书的发放与管理。2、利用电子认证应用系统实现安全登录、数字签名和签名验证电子认证应用系统主要为区域医疗信息平台提供数字签名及验证服务，通过在区域医疗信息平台中集成电子认证应用系统，实现用户登录应用系统的身份真实性认证、敏感信息加密、数字签名/签名验证等功能，实现重要医疗业务环节的签名和验证，确保数据的完整性和隐私保护。3、利用时间戳服务器和标准时间源设备实现区域医疗信息平台信息系统时间同步和可信时间应用通过部署标准时间源设备，保证区域医疗信息平台获取权威、统一、精准的时间信息，为实现医疗数据时间认证需求奠定坚实基础。通过集成时间戳服务器，为诊疗数据提供可信时间戳服务。4、利用电子签章系统实现对各类电子文档的可视化签章通过在电子病历等区域医疗信息系统中集成电子签章系统，可实现电子签名的可视化显示,满足了电子病历规范所要求的“医务人员采用身份标识登录电子病历系统完成各项记录等操作并予确认后，系统应当显示医务人员电子签名”。3.3. 数字证书发放与管理系统3.3.1. 服务模式为保证数字证书服务及时可达和实现自主化管理，通过在各区建设证书发放与管理系统，指定证书管理员来为内部工作人员发放数字证书，同时为区域医疗信息平台提供一整套的服务平台，从而使区域医疗平具有证书自助管理能力。通过证书受理点进行证书发放流程如下：(1) 在区域医疗信息平台建设数字证书发放与管理系统，用户通过数字证书发放与管理系统办理数字证书；(2) 证书管理员需要收集用户信息和鉴别用户身份，将证书申请请求提交到数字证书发放与管理系统；(3) CA系统签发证书，由数字证书发放与管理系统证书管理员负责灌制到证书介质中，并发放给最终用户。3.3.2. 数字证书形态及介质1. 证书形态数字证书具有完善的产品形态，产品包括以下几个方面：l 产品包装：便于运输邮件的产品包装盒和使用说明书；l 安装光盘：包括证书管理软件以及介质驱动安装文件； l 刮刮卡：存放证书介质的初始密码；l 证书介质： 存放证书信息等，包括USBKEY、SDKey、IC卡等介质。图表 3 数字证书形态2. 证书介质根据国家相关安全要求，为确保证书的安全性及用户使用的便利性，数字证书应采用智能化的硬件证书介质，它具有如下优点：l 安全强度高：自带密码专用芯片，所有运算操作都在硬件介质内部进行；l 防拷贝：密钥在外部环境无法读取和进行拷贝；l 自动锁定：当输入PIN错误次数到达指定次数，硬件介质将被锁定，只有被解锁后才能重新使用；l 使用方便：形状小巧，携带方便，操作简单。根据医生工作站终端设备的不同配置，可提供两类证书介质，分别为USBKey、卡证书（射频卡或智能IC卡）。3.3.3. 服务内容3.3.3.1. 数字证书生命周期服务设置在区域医疗信息平台的数字证书发放与管理系统提供数字证书整个生命周期的管理，包括证书的申请、审核、更新、注销、查询等。图表 4 数字证书生命周期服务具体如下： 证书申请：证书申请者到数字证书发放与管理系统申请证书，由数字证书发放与管理系统工作人员代用户录入用户信息。由数字证书发放与管理系统工作人员根据证书申请用户所提供的证明材料，对用户的身份进行审核，并为通过审核的用户签发证书。 证书更新：证书有效期一般为一年，当用户证书到期后，需要进行更新操作。支持提供在线更新和离线更新两种模式。离线方式下，用户可到数字证书发放与管理系统进行办理，由证书管理员在进行身份审核后进行用户证书的更新操作。在线模式下，用户可持旧证书进行自行登录数字证书发放与管理系统，由系统确认该证书的更新权限后，自动签发新证书并下载到用户介质中，从而实现简便高效的自助式证书更新。 证书吊销：由于密钥遗失、人员变动或其它原因，在证书用户提出申请后，证书管理员可以废除该指定用户的证书，并通过数字证书发放与管理系统进行作废证书列表的发布，使得该证书不能再次使用。 证书查询：可根据证书序列号、证书持有人、证书状态、证书类型、办理时期等查询条件，准确查询处于生命周期各个阶段的数字证书，及其持有人的详细信息。3.3.3.2. 数字证书管理数字证书发放与管理系统管理员通过使用数字证书登录证书管理模块，实现本区域内用户证书业务管理。业务管理包括管理员管理、证书统计、查询、报表等功能：(1) 管理员管理：实现证书发放操作人员的管理，包括增加、删除、查询，设置操作权限等等；(2) 证书统计功能：提供系统在某段时期内总共签发或注销证书的数量的统计服务，管理员只要输入统计的起始日期、统计的截止日期、待统计的证书类型、待统计的证书状态等条件，即可查询出符合要求的结果，并对结果进行汇合统计。(3) 报表功能：系统就会提供文字和图表的统计结果，并可以将统计查询结果打印输出或以文件形式保存。3.3.4. 数字证书运行服务方案3.3.4.1. 证书申请与发放用户数字证书发放采用集中制作发放的模式，即在各区设证书服务点（也可在各医院分别设证书服务点），由各区证书管理员收集、整理和审查用户证书申请信息的真实可靠后，由各区证书管理员集中制作数字证书后分发到用户手中。证书发放流程如下图所示：图表 5 数字证书申请发放流程图证书申请发放流程描述如下：(1)各医院管理员收集用户信息并鉴证申请资料的真实性；(2)各区证书管理员登录数字证书发放与管理系统提交证书申请信息，为用户制作数字证书；(3)各区证书管理员将带有数字证书的USB KEY转交给各医院管理员；(4)各医院管理员将USB KEY数字证书分发给用户使用。3.3.4.2. 证书更新证书的有效期通常为一年，当用户证书到期后，需要进行更新操作。通过数字证书发放与管理系统，支持用户通过网络自助更新数字证书，即用户使用旧证书登录Web自助服务更新页面，数字签名证书发起更新请求，证书自动更新。用户自主更新数字证书流程如下图所示：图表 6 用户自助更新数字证书流程图证书更新的具体流程如下：(1)证书用户使用旧证书登录数字证书发放与管理系统；(2)系统验证旧证书的有效性，确认已收费，授予该用户具有证书更新权限；(3)用户进行新证书下载，完成更新业务。3.3.4.3. 证书解锁USBKey是存放数字证书的物理载体，证书使用者在使用数字证书时需要输入USBKey的保护口令，即证书口令。当使用者连续10次（实际情况可能有所不同）输入错误的口令时，USBKey会自动锁死，无法使用，此时需要将USBKey进行解锁。各区证书管理员通过数字证书发放与管理系统，支持用户在线自助进行USBKEY介质解锁，即用户登录Web自助服务解锁页面，解答系统询问的私密问题，系统通过电子邮件/短信发送解锁授权码，用户输入授权码解锁。解锁流程如下图所示：图表 7 USBKEY解锁流程图具体流程如下：(1)证书用户登录数字证书发放与管理系统，提出USBKey解锁请求；(2) 各区证书管理业务人员确认USBKey持有人的身份，给予用户解锁授权码；(3)证书用户登录证书解锁页面，输入授权码，完成USBKey解锁。3.3.4.4. 证书吊销由于密钥遗失、人员变动或其它原因，证书不能再继续使用的需要吊销证书，数字证书吊销支持以下两种模式：a) 用户在线吊销：用户登录Web自助服务输入想吊销证书信息，各区证书管理员鉴证用户身份，系统吊销证书，发布CRL。b) 管理员吊销：管理员在系统中吊销证书，发布CRL。证书吊销的发起人可以是授权的证书管理员，也可以是证书持有者本身。授权的证书管理员可以使用自己的管理员证书，直接向CA提出吊销其管辖范围内的证书；证书持有者可以通过提交鉴证材料，证明其证书持有人身份后，提交证书吊销申请。数字证书吊销流程如下图所示：图表 8 数字证书吊销流程图证书吊销具体流程如下：(1)证书管理员可以通过在线或离线方式提交证书吊销请求，或者证书用户也可以通过在线方式直接提交证书吊销请求；(2)系统鉴别证书吊销人的身份；(3)发布证书撤销列表（CRL），并将CRL发布到相关应用系统；(4)被吊销的证书无法再访问应用系统。3.3.4.5. 证书补办在证书有效期内，证书使用者信息发生变更，证书介质发生损坏或者证书文件损坏需要为用户进行证书的重新签发。各区证书管理员通过数字证书发放与管理系统，支持用户在线自助重签发数字证书，即用户向各区提出重签发请求，各区证书用户寄送鉴证材料，管理员授权，通过email/短信发送授权码，用户登录系统 ，输入授权码，下载证书，同时系统吊销原证书。3.4. 电子认证应用系统电子认证应用系统主要为区域医疗信息平台提供数据加解密、数字签名及验证服务，通过在区域医疗信息平台中集成电子认证应用系统，实现用户登录应用系统的身份真实性认证、对敏感信息进行加密、签名保护的数字证书应用产品。目前,电子认证应用系统有硬件级和软件级两种形态的产品，分别是PKI应用中间件软件和数字签名验证服务器，具体产品介绍如下：3.4.1. PKI应用中间件软件PKI应用中间件软件产品是一款利用数字证书、数字信封、数字签名等先进的安全技术，由客户端组件和安全网关组件两部分组成，分别为客户端和应用服务器提供安全服务。客户端组件既可以内嵌到Web页面或客户端软件中，也可以被专用Client程序调用，对用户的使用是透明的；服务器端接口部署在应用服务器上，接受并处理由客户端发送过来的安全认证、数据加解密和签名验证等系列安全处理请求，为应用系统提供安全保护。3.4.1.1. 系统功能PKI应用中间件软件具有加密解密、数字签名、数字信封、时间戳等安全功能，可以根据用户应用系统的具体安全要求以单独或组合方式进行系统整合。PKI应用中间件软件的具体功能如下：l 加解密：采用对称和非对称的加密解密算法，实现对敏感信息加密操作，防止敏感信息被非法窃取。l 数字签名：为应用系统提供重要业务数据及关键操作行为的数字签名，应用系统通过这些数字签名记录，在发生纠纷时对数字签名进行验证，真正实现重要业务数据和关键操作的完整性和不可抵赖性；l 数字证书解析：对数字证书域进行解析，将解析后的证书内容，如证书序列号、用户身份证号码等相关信息提交应用系统供应用系统使用；l 数字信封：提供数字信封加密机制，提升数据加密效率和加密强度；l 密钥分割：采用门限算法，可以将加密密钥分割成若干份提供给多人保管，当需要调取密钥时，根据预先约定的密钥持有策略在多人在场情况下将完成密钥的重新组装得到原有密钥。l 服务端证书管理功能：在应用服务器上提供B/S方式的证书管理工具，用户可以使用该工具很方便的配置和管理服务器证书。3.4.1.2. 应用方式数字证书应用接口在PKCS#11、CSP等标准的底层证书调用接口基础上，进行组件级应用封装，设计成由证书控件和服务端组件两部分，分别与浏览器和Web服务器协同工作，确保具有安全完备、使用透明、性能高效的特点：浏览器端采用客户端组件，服务器端的具体调用形式为基于对象的安全证书组件，两者的功能是对称的，主要有验证证书、数字签名、证书解析、数字信封、随机数、加解密等功能。从结构上，该系统由证书控件和服务端组件两部分组成，分别与浏览器和Web服务器协同工作，如下图所示：图表 9 证书应用方式证书应用接口客户端组件内嵌到Web页面或客户端软件中，当用户浏览应用系统时自动下载并在浏览器中工作，用户使用是透明的；服务器端安全网关作为基于对象的证书组件，配置于WEB服务器上，由应用程序进行调用，保护Web服务器的应用信息。浏览器客户端组件和服务端的功能是对称的，主要有验证证书、加/解密、签名/验证、以及解析证书等功能。3.4.1.3. 系统集成1) 数字签名与验证签名在各区区域医疗信息平台中，实现数字签名的集成工作流程如下图所示：图表 10数字签名的集成示意图对需要电子签名的页面的集成工作如下：1) 在用户表单提交页面中加入脚本，通过调用证书控件，实现对表单信息的加密、签名和组包；（表单中可带有文件附件）2) 后台接受程序中调用相应的证书组件接口，完成解密、验签等操作；3) 在数据库中保存此次表单的数据及其电子签名。2) 加密与解密加密后的数据如果不需要保存，只是在通信过程中加密，则可通过配置SSL网站，建立SSL加密通道即可，不需要额外的开发工作。对于加密数据需要保存，一定时间后又需要解密的，则需要使用API接口对数据进行加密。加密和解密过程类似上节的签名与验证，只是调用的API接口函数不同而已。3.4.1.4. 程序改造关键内容1、数据库改造应用系统的数据库需要做两个部分的改造。1) 在用户表中增加一个证书用户唯一标识字段，该字段的值是该用户的数字证书中用户唯一标识。（SF+身份证号）2) 在各个签名表单对应的数据库表中增加数字签名值字段，该字段用于存放对表单或者数据的签名值。2、程序改造应用系统登陆模块和签名表单页面需要做改造。1) 应用系统的登陆模块需要做改造，参照PKI应用中间件的集成Demo，将服务器端和客户端实现相互验证签名、服务端验证客户端证书有效性和解析客户端证书集成到应用系统中，代替原有的用户名密码登陆方式。2) 签名表单页面调用客户端的签名方法对表单或数据做电子签名，然后将签名值及签名证书存放在数据库中。3.4.1.5. 相关代码示例证书登陆相关代码，参见“jspdemo” 目录下的和。集成代码示例：备注：蓝色为客户端代码、红色为服务器端代码。详细可参考集成demo。数据签名相关代码，参见“jspdemo” 目录下的和。集成代码示例：3.4.1.6. PKI应用中间件软件性能PKI应用中间件软件的性能指标如下：接口标准PKCS#11、微软CSP 等支持密码算法SSF33、RSA（1024）、3DES等性性能1024位RSA非对称算法签名>400次/秒（4*2G CPU软实现）>2450次/秒（单主机加密服务器实现）验证>2000次/秒（4*2G CPU软实现）>10000次/秒（单主机加密服务器实现）对称加密算法SSF33>3DES>309Mbps负载均衡支持多应用服务器负载均衡方式支持SJY系列主机加密服务器负载均衡方式图表 11 PKI应用中间件软件性能3.4.2. 数字签名验证服务器数字签名验证服务器(以下简称DSVS)是由自主研发，为信息系统提供数字签名及验证服务的一款多安全功能、高稳定性、高性能，并且具备跨平台、可扩展和快速部署能力的软硬件集成化安全设备。数字签名验证服务器实现服务端基于数字证书的身份认证、数字签名、数据加密等功能，核心是将提交的医疗数据进行数字签名，以保证数据的不可抵赖性、完整性需求，并在查询相关数据时，实现用户对于所查询的数据的有效性验证。通过部署数字签名验证服务器实现电子病历生成等医院内部重要业务环节中的数字签名及验证。3.4.2.1. 系统功能数字签名验证服务器具有数据签名、签名验证、证书验证等功能，具体功能如下：应用功能详细说明数据签名与签名验证提供PKCS1/ PKCS7 attach/PKCS7 detach/XML Sign 等多种格式的数字签名和数字签名验证功能文件签名与验证对文件提供数字签名和数字签名验证功能证书有效性验证功能提供CRL/OCSP 等多种方式的证书有效性验证动态黑名单功能可以自动更新黑名单，采用动态更新方式，无需重启服务多证书链功能可同时配置多条证书链，验证不同CA 系统签发的数字证书获取证书信息功能提供证书解析功能，获取证书中的任意主题信息以及扩展项信息其他功能详细说明系统备份恢复功能系统可以备份当前所有配置，保证系统瘫痪时的快速恢复日志记录和发送功能系统可以自行记录日志，也可以将日志以SYSLOG 的方式发送到指定服务器双机并行、负载均衡功能高可靠性、高可用性3.4.2.2. 应用方式为确保医疗数据具有法律效力，必须按照电子签名法要求，基于由国家认可的第三方电子认证服务机构签发的数字证书对其完成数字签名，才能具有法律效力。通过数字签名验证服务器实现医生工作站的数字签名，以及区域医疗信息平台的签名验证等功能,具体流程如下图所示：图表 12 数字签名及验证流程3.4.2.3. 系统集成对于关键业务页面，可根据安全性要求，选择性进行签名和加密处理，包括：l 应用系统根据业务逻辑要求，调用客户端证书应用相关接口，实现对上传数据的数字签名或加密，并打包上传至应用服务器；服务器端接收程序应相应修改，调用数字签名验证系统，进行原文签名验证，并将签名数据入库保存；l 对于系统后台的数据库部分，需要在现有数据库中加入数字签名字段，并建立数字签名和原始明文的一一对应关系，为事后责任认定提供符合法律要求的电子证据。3.4.2.4. 相关代码示例证书登陆相关代码，参见“jspdemo” 目录下的和。集成代码示例：备注：蓝色为客户端代码、红色为服务器端代码。详细可参考集成demo。数据签名相关代码，参见“jspdemo” 目录下的和。集成代码示例：3.4.3. 电子认证应用系统产品建议通过以上两类产品的介绍可知，二者功能相同，两类产品都可以提供基于数字证书的身份认证、数据加密等功能，同时，可以实现对电子病历系统电子签名的应用功能。PKI应用中间件软件已由深圳市卫生和人口计划与委员会统一采购、统一实施，各区域医疗信息平台可免费使用，但其性能相对数字签名验证服务器而言稍弱，用户并发数、处理速度不及数字签名验证服务器，其部署需要与每个医疗信息系统进行集成，部署复杂、实施周期长。另一方面，数字签名验证服务器属于硬件级服务器，可以为区域医疗信息平台提供高效率服务，其部署比较简单，可方便供多个信息系统使用，支持双机热备，保障服务的连续性,具体比较如下表所示：PKI应用中间件软件数字签名验证服务器采购成本低高实施周期长短集成复杂度需要与每个应用系统集成部署简单性能软件级产品，性能低硬件级产品，性能高可靠性不支持双机并行双机并行、负载均衡功能图表 13 电子认证应用系统产品比较根据各区域医疗信息平台的实际需求，其需要为各区多家医疗机构提供服务。因此，建议各区域医疗信息平台采用性能较好、部署简单的数字签名验证服务器来为各区域医疗信息平台提供身份认证、数字签名、数据加密等服务，实现重要医疗业务环节的签名和验证，确保数据的完整性和隐私保护。3.5. 时间戳服务器3.5.1. 建设模式根据各区域医疗信息平台情况，时间戳服务系统可以采取两种模式获取：l 采用市统一时间戳服务平台获取时间戳服务通过市医学信息中心所建设的全市统一时间戳服务平台，获取区域医疗信息平台所需的时间戳服务。统一时间戳服务平台搭建在市医学信息中心，面向全市各医疗机构提供统一的时间戳签发服务。各区域医疗信息平台需要集成简单的时间戳客户端接口，通过时间戳客户端接口与时间戳服务平台通讯，生成并发送时间戳签发服务请求，接收时间戳服务平台返回的时间戳服务结果并进行有效性验证。这种模式各单位建设周期短，实施难度低，通过远程调用的方式就可以获取可信时间戳服务。l 建设本地时间戳服务系统即在各区域医疗信息平台本地建设时间戳服务系统，为本区域信息系统提供时间戳服务。这种模式需要在各区域信息平台本地部署时间戳服务系统的软硬件设备，包括时间戳服务器、时间源设备、时间戳软件接口等，为区域医疗信息系统提供时间戳的签发与验证等功能，其建设成本较高、集成实施复杂、实施周期长，但其处理效率高。两种模式的总体结构示意图如下：图表 14时间戳服务体系总体结构示意图两种模式都可以满足区域医疗信息平台对可信时间的需求，各有其优势，各单位根据自身情况自行选择。由于采用市统一时间戳服务平台获取时间戳服务的方式，其实现方式简单，只需集成简单的时间戳客户端接口，就可以获取时间戳服务，以下将主要介绍如何建设本地时间戳服务系统。3.5.2. 时间戳服务器时间戳服务器(简称TSS)是由自主研发，基于国家标准时间源，采用PKI技术，为应用系统提供精准、安全和可信时间认证服务的一款高性能、高稳定性，并且具备跨平台、易扩展和快速部署能力的软硬件集成化网络安全设备。3.5.2.1. 系统架构及功能时间戳服务器架构如下图所示：图表 15产品架构图如上图所示，时间戳服务器由时间戳请求子系统、时间戳签发子系统、时间戳管理子系统组成。其中： 时间戳请求子系统：生成并发送应用系统的时间戳签发服务请求，时间戳服务请求遵循国际通用的RFC3161标准；接收时间戳服务结果并进行验证； 时间戳签发子系统：验证时间戳请求的有效性、根据请求签发时间戳、验证时间戳有效性； 时间戳管理子系统：提供时间源管理、时间戳证书管理、系统日志管理以及系统配置管理等功能。时间戳服务器的主要功能如下表所示：功能列表详细说明签发/验证时间戳签发可信时间戳、验证时间戳有效性权威时间同步基于SNTP协议，从指定时间源设备获取标准时间并同步系统管理时间戳证书管理、时间源管理、日志管理、系统配置、备份与恢复高可用性支持双机并行、负载均衡3.5.2.2. 应用方式时间戳服务器应用流程如下图所示：图表 16 时间戳应用流程如上图所示，时间戳服务器的应用流程如下：（1） 区域医疗信息平台信息系统服务端集成时间戳请求子系统，调用数字摘要接口对待签发时间戳的原文计算出摘要；（2） 信息系统将数字摘要通过网络发送给时间戳服务器；（3） 时间戳服务器读取时间源的标准时间，利用第三方CA机构签发的时间戳服务器证书对应的私钥对数字摘要和可信时间进行签名，产生时间戳； （4） 时间戳通过网络传回应用系统，通过时间戳验证接口验证后进行存储，此后，时间戳和原文绑定在一起可以证明某个时间的有效证据。3.5.2.3. 系统集成时间戳服务器实现安全应用集成主要工作如下：1. 提供产品和集成所需要的演示环境Demo、接口说明、测试证书等；2. 根据业务需求，应用系统开发商对相应页面进行改造，调用对应的安全组件接口，实现时间戳签发/验证功能。为应用系统开发人员提供技术支持，协助完成系统的安全整合。 3. 应用集成完成后，需要进行应用系统测试，确保系统集成时间戳应用功能的可用性和有效性。应用系统改造：图表 17 时间戳服务器集成1) 业务系统程序中调用时间戳请求子系统组件接口，完成原文数据Hash、生成时间戳请求，将请求发送到时间戳服务器等操作； 2) 时间戳请求子系统接收时间戳服务器返回的结果，解析时间戳；3) 对于系统后台的数据库部分，在现有数据库中加入时间戳字段，并建立时间戳和原文的一一对应关系，为事后时效责任认定提供电子证据。3.5.2.4. 时间戳实现在区域医疗信息平台中，对于有意义的诊断等操作或进行数据和报告的生成保存等，需要加盖时间戳，以确保操作和数据的时间有效性。为了验证和取证需要，将时间戳与相应的数据和文件存储到系统数据库中。图表 18 时间戳应用流程过程说明如下：(1) 登录验证通过后用户安全进入系统。(2) 操作人员在对病人下诊断报告或一些报告确认等关键性操作时，需要加盖时间戳。(3) 电子病历生成时需要加盖时间戳。(4) 调用接口将需要加盖时间戳的数据传送到时间戳服务器。(5) 时间戳服务系统读取标准时间，利用可信时间管理系统证书对应的私钥对数字摘要和可信时间进行签名，产生时间戳。(6) 时间戳保存到时间戳服务器中（调用接口时会将系统类型、医院、检查唯一标识等信息发送给时间戳服务器），也可通过网络传回电子病历系统（可通过调用参数来设置是否将时间戳保存到本地）。(7) 电子病历系统验证通过后进行存储，此后，时间戳和原文绑定在一起可以证明某个时间的有效证据。 Log记录:（1） 调用CA时间戳接口，成功或失败信息写入Log。（2） 将时间戳写入相应数据库中是否成功写入Log。3.5.2.5. 相关代码示例集成代码示例：3.6. 电子签章系统3.6.1. 建设模式在电子信息世界，数字签名是隐藏在电子文档中的一串字符，不能像现实世界的电子签名一样直接展现给用户，通过依托成熟产品电子签章系统，在处方开具、报告单、检验单等医疗过程中实现电子签章功能，实现了电子病历中数字签名的可视化、图形化，使可靠电子签名在电子病历中形象展现，并提供方便的签章验证辨伪操作界面。根据各区域医疗信息平台情况，电子签章系统也可以采取两种建设模式：l 建设模式一：统一电子签章服务平台即在各区域医疗信息平台建设全区统一电子签章服务平台，面向区域医疗机构提供统一的电子签章服务。各医疗机构信息系统需要集成简单的电子签章客户端软件，通过电子签章客户端软件与电子签章服务平台通讯，统一电子签章服务平台提供对电子病历相关医疗数据的数字签名和电子签章。l 建设模式二：本地电子签章服务系统即在各医疗机构本地建设电子签章系统，为本单位信息系统提供电子签章服务。其总体结构示意图如下：以上两种建设模式各有其优势，应该充分发挥各自优势，各单位根据自身情况自行选择。电子签章系统具体介绍如下：3.6.2. 电子签章系统3.6.2.1. 系统功能电子签章系统总体框架如下：图表 19 电子签章系统总体框架如上图所示， 电子签章系统产品由电子签章管理系统和电子签章软件构成：1、电子签章管理系统：电子印章的生成和生命周期的管理系统，包括电子印章制作、挂失、停用、重新制作、使用控制等管理。2、电子签章软件：在不同应用系统环境下对文档实现电子签章的工具软件，根据产品形态可以分为：文字处理软件文档电子签章软件（如支持微软Office、国产Office等各类文档）和网页电子签章软件等。1、电子签章管理系统电子签章管理系统作为电子签章系统的后台管理系统，是整个电子签章系统的核心，完成对每一个电子印章进行整个生命周期的管理，包括电子印章制作、挂失、停用、重新制作、使用控制等全过程的管理，电子签章管理系统的功能结构如下图所示：电子签章系统功能列表：功能名称详细说明系统管理对组织机构、用户和管理员的维护和管理印章管理包括印章制作、挂失、停用、重新制作等功能临时授权通过对用户临时签章授权，允许用户离线签章使用控制对电子印章的使用进行控制，提供在线验证功能，确保电子印章使用的安全性和严密性日志审计对系统管理和维护进行日志记录和审计，并对电子印章的使用进行详细日志记录和审计电子签章软件常见字处理软件包括Microsoft Office（Word、Excel等）、WPS、RedOffice等软件，其生成的文档格式具有一定的广泛性，如.doc、.xlt等文件,电子签章软件支持对以上主流字处理软件的文档格式进行电子签章。Ø 基于IE内核的浏览器的B/S架构的应用系统Ø 支持与各种Web服务器集成，实现网页签章功能Ø 支持对各类页面中一个或多个表单域的数据完整性保护，实现可视化签章效果、验证信息是否有效3.6.2.2. 应用流程电子签章应用流程如下图所示：图表 20 电子签章应用流程1、印章管理员使用电子签章管理系统为用户生成电子签章，并将电子印章灌入证书介质并和数字证书进行有效绑定，将包括数字证书和电子签章图片的证书介质按照发放流程分配给最终用户；2、医疗信息系统集成电子签章中间件，提供对电子病历相关医疗数据的数字签名和电子签章；3、将带数字签名和电子签名的医疗数据提交到电子病历系统等应用系统。3.6.2.3. 系统集成电子签章中间件须与医院信息系统进行简单集成，在页面中嵌入电子签章接口（控件/组件），实现对网页上敏感数据域的保护。服务器端需要建立一个数据库表，以保存签章数据。在集成过程中，只需要指定印章需要保护的表单域的名称，客户端会自动进行内容的提取和保护。印章信息提交前会进行被保护信息的校验，被保护信息如果未通过校验则不能提交。印章信息使用XML格式存储，应用系统不需关心其内容，只需提供存储空间即可。在电子签章系统所提供组件接口的基础上，通过调用电子签章接口，实现页面签章的功能，并将原文和电子签章保存在数据库中。具体整合工作如下：(1)在web页面中添加电子签章控件域；(2)对签章数据源对象进行组包：把每个元素的值放进数组中。客户端对数组的整合封装，然后把封装后的数据传给签章控件。然后调用控件的接口函数实现电子签章功能。3.7. 电子签名实现方案3.7.1. 卫生部关于电子病历签名要求根据目前卫生部正在制定的电子病历系统应用水平分级评价方法及标准，将电子病历系统应用水平划分为8个等级，将电子病历的数据标准分为四项内容，每一等级的标准包括电子病历系统局部的要求和整体信息系统的要求，同时也对电子认证和签名进行了等