郑静，金新政，沈丽宁，林德南⋆

（1. 深圳市医学信息中心，广东 深圳 518000； 2.华中科技大学同济医学院医药卫生管理学院，湖北 武汉 430030）

基于云签名的居民健康档案隐私保护应用研究

郑静1，金新政2，沈丽宁2，林德南1⋆

（1. 深圳市医学信息中心，广东 深圳 518000； 2.华中科技大学同济医学院医药卫生管理学院，湖北 武汉 430030）

居民健康档案信息涉及个人隐私，且在居民进行相关信息查询时，数据要通过开放性的互联网进行传输，因此保障这些数据的安全尤为重要。基于此，本文首先对电子健康档案隐私保护需求展开分析，接着提出基于云签名的居民隐私保护认证的总体架构，并阐述移动设备APP云签名安全认证实现环节， 以有效解决医疗数据的安全性问题，实现居民健康档案隐私保护。

电子健康档案；隐私保护；云签名

0 引言

卫生信息化是现代医学模式发展的必然选择，也是深化医药卫生体制改革的迫切需要。在卫生信息化发展过程中，通过收集各阶段卫生服务和管理信息，以数字化方式存储、交换，实现加强卫生服务管理、优化卫生服务模式从而实现提高居民健康水平的根本目的[1]。电子健康档案的设计、建设、应用是卫生信息化的重要支撑之一。为向广大的居民提供更好的卫生服务，深圳市卫计委特进行电子健康档案系统的建设，为用户提供基于网络的健康档案查询平台，保证居民能在任何时间、地点方便的查询获取到自己的以往健康档案，无论到哪家医院就诊或体检，都能及时提取到相关信息，为进一步的诊疗提供可靠的依据，最终实现卫生信息化为民所用。

电子健康档案信息系统是医疗卫生机构为居民提供服务过程中的规范记录，是以居民健康为中心、贯穿整个生命过程、涵盖各种健康相关因素的系统化记录文件，这些文件记录每个人从出生到死亡的所有生命体征的变化，以及自身所从事过的与健康相关的一切行为与事件的档案[2]。这些信息涉及个人隐私，因此保障这些数据的安全尤为重要。随着移动互联网的发展，用户健康档案通过手机在线化和移动化的查询需求日益增多，传统的基于手机的安全解决方案很难满足新技术和移动新业务模式下的安全需求。

1 电子健康档案隐私保护需求分析

电子健康档案中所记录的数据包含既往病史、诊治情况、家族病史、现病史、体检结果及疾病的发生、发展、治疗和转归的过程等，特别是涉及有传染、艾滋、精神等特殊疾病的，涉及用户个人隐私，极具敏感性[3]。并且居民是通过互联网查阅健康档案，互联网的开放性和协议安全性，都导致了用户个人隐私被泄露的隐患。另外，我国涉及患者个人信息隐私保护的规定只有对医护人员工作范畴内的隐私保护行为规范，但并不具备法律效力，让个别单位或个人对健康档案信息的侵害有机可乘[4]。因此，如何解决身份被冒用，数据被非法窃取或使用等安全问题已经成为居民健康档案安全建设中的当务之急。据此，得出以下安全需求。

1.1 安全的身份认证需求

用户访问健康档案系统时，需要采取安全强度较高的用户认证技术，保证用户的身份真实性，只有通过身份安全认证的用户才有权查阅自己的健康档案。一方面要解决终端用户传统用户/口令的弱认证方式。另一方面，由于大众用户的特点，身份认证要可以支持多种终端设备，兼容传统PC、平板电脑、手机终端等[5-6]。

1.2 业务数据真实性需求

真实性主要体现在实时性和不可篡改性。也就是能够实时记录健康档案系统收集来的健康信息，应具备符合“电子签名法”要求的电子签名，记录的内容应具备防篡改功能和不可抵赖性。因此，需要建立电子健康档案数据的完整性保护机制，使用技术手段保证业务数据在系统中产生、传输、再利用的整个生命周期过程完整、准确。

1.3 健康档案数据传输的安全需求

确保身份认证安全的同时，还应该确保个人健康信息通过互联网访问时，保障数据不会被恶意拦截和非授权获取。

另外，健康档案系统面向大众用户提供服务，需要用户可以随时访问，系统的操作简单方便，在保证安全性的同时应综合考虑应用推广的成本。传统的强身份认证方案，大多基于硬件密码介质。但终端用户为大众群体，使用密码介质成本过高，同时要保证用户在移动端设备上进行访问时的操作要简单易用。因此，业务需要一种成本低廉、使用便捷、且同时具备安全性的认证方案。

2 总体架构与实现环节

围绕健康档案业务系统安全需求，依据《中华人民共和国电子签名法》、《卫生系统电子认证服务管理办法》及相关标准规范要求等，提出采用基于PKI/CA机制的电子签名技术的隐私保护方案[7-8]。同时，在此技术基础上，将传统基于硬件介质的电子签名方式转化为将用户密钥安全的保存在云端的云签名方式以满足经济易用性需求。用户只需要在手机上安装签名APP软件，输入签名口令即可完成数字签名操作，实现系统和用户之间传输的数据信息的安全性、完整性以及彼此身份的真实性与合法性。

2.1 总体架构

基于BJCA云签名的安全认证，为居民健康档案系统登录认证提供基于移动设备的身份认证、电子签名等服务。总体架构如图1所示。

图1 基于云签名的安全认证总体架构

如上图所示，总体架构设计分为四大部分：

（1）云服务系统

云服务系统包括健康档案系统业务端和移动客户端两部分，提供基于数字证书的身份鉴别方式，通过服务端组件和客户端中间件实现具体的功能。在健康档案业务系统服务端部署签名设备，实现对数据或文件的云签名和签名验证。通过在移动客户端安装云签名APP，实现用户注册登录及签名确认等功能。

（2）云签名平台

健康档案业务系统接入云签名平台，平台端的所有云端服务由BJCA运营，为健康档案系统提供认证和签名等安全服务，主要功能包括数据签名、密钥管理、证书管理、用户管理、安全审计等。

（3）BJCA数字证书服务平台

云签名平台后台通过合法可信的第三方BJCA中心为系统为用户提供数字证书服务，如鉴证服务、身份认证服务、证书更新服务、证书注销服务等证书生命周期管理服务。

（4）SSL安全传输通道

系统间的数据交互，全部使用标准的SSL/ TLS协议进行加密保护，并且网络间传输的数据均为密文数据，双重加密能够为健康数据在网络中的传输提供可靠地隐私安全保障。

2.2 移动设备APP云签名安全认证实现

居民健康档案系统通过应用云安全服务，完成业务APP安全登录和签名的业务场景。基于标准的PKI安全登录和签名流程，相对传统方案签名数据会以更安全的方式通过客户端发送给云服务端，增强了系统的安全性。客户端只需调用“签名”接口，并将结果发送给服务端来完成安全登录和签名，具体流程为：用户绑定手机激活—通过云签名平台发送请求给BJCA数字证书服务平台—BJCA系签发数字证书后将证书返回给用户—用户通过APP登录健康档案系统—客户端APP调用签名接口，用户通过在页面上输入密码，确认签名操作—云服务端签名验证—安全认证流程完成。

通过引入了电子认证服务体系，将电子健康档案与云签名技术有效结合，这种安全的、便捷的认证授权方式可以实现用户可靠的身份认证与电子签名，保证用户使用手机互联网进行查询获取自己的健康档案信息的安全。

3 结论

我国的居民健康档案在信息技术支持下，伴随社区卫生服务的发展会被予以更多关注。然而，我们更应对由健康档案所产生的隐私保护方面的问题予以重视[9]。在健康档案系统中引入BJCA提供的云签名电子认证服务，不仅有效解决了广大用户在登录查询本人健康档案信息时的安全问题，并且这一举措对整个医疗卫生行业的信息化安全建设具有示范性意义。医疗信息行业需要在居民健康档案隐私保护方面继续努力，政府应逐渐建立和完善针对健康档案的相关制度，使得健康信息主体的隐私权得到更好的保护，为广大居民提供便捷安全的卫生服务[10]。

[1] 张涛, 田国栋, 蔡佳慧,等. 电子健康档案隐私保护相关问题的思考[J]. 中国卫生信息管理杂志, 2011, 08(4):79-82.

[2] 刘鑫. 基于云计算的健康档案的隐私保护研究[D]. 中南大学, 2014.

[3] 那旭, 郭珉江, 谢莉琴,等. 国外居民电子健康档案共享服务体系建设及启示[J]. 中华医学图书情报杂志, 2015, 24(10):18-21.

[4] 高昭昇, 冯东雷, 徐静,等. 基于区域卫生信息平台的隐私和安全保护措施[J]. 中国数字医学, 2016, 11(1):109-112.

[5] 迟晨阳, 毛华坚, 孟海滨,等. 电子健康档案信息安全和隐私保护的关键问题和研究进展[J]. 中华医学图书情报杂志, 2015, 24(11):22-26.

[6] 高玉平, 李冰华, 黄刊迪,等. 区域医疗信息共享中健康档案安全与隐私保护的领域分析[J]. 中国数字医学, 2013(11):69-72.

[7] 杨晨. 中华人民共和国电子签名法[M]. 法律出版社, 2004.

[8] 赵士洁. 卫生部印发《卫生系统电子认证服务管理办法(试行)》通知[J]. 中国数字医学, 2010, 5(2):5-5.

[9] 李静, 夏洪图. 保护居民电子健康档案信息的意义和建议[J].中国病案, 2010, 11(6):49-50.

[10] 谢莉琴, 代涛, 胡红濮,等. 区域卫生信息化环境下信息安全与隐私保护策略研究[C]// 中华医学会第十七次全国医学信息学术会议. 2011:41-43.

Research of the Application of Privacy Protection for Health Records of Residents Based on E-signature

ZHENG Jing, JIN Xin-zheng , SHEN Li-ning ，LIN DE-nan
(1. Shenzhen Medical Information Centr e, Guangdong 518000, Shenzhen, China;2. School of Medicine and Health Management，Tongji Medical College of Huazhong University of Science & Technology, Hubei 430030, Wuhan, China)

Since health records of residents involve personal privacy, and the data is transmitted through the open Internet when residents search for information related to their health, it is particularly important to secure these data. Therefore in this thesis, the authors will first analyze the demand of privacy protection for electronic health records and then put forward an overallstructure of e-signature based on protection and authentication of personal privacy. The authors will also expound on the authentication of e-signature on mobile applications so as to efficiently address the security issues of medical data and protect residents’ privacy in their health records.

Electronic health records; Privacy protection, e-signature

10.19335/j.cnki.2096-1219.2017.04.01

广东省医学科学技术研究基金项目（编号：C2016033）;深圳市卫生计生系统科研项目（编号：201504005）

郑静，深圳市医学信息中心副主任，高级工程师，博士，研究方向：卫生信息管理。

林德南。