周渝霞，杜凤霞，王 浩，王 东，何 欣

1 CA电子签名系统实现背景与目的

医院每天会产生大量的医学文档，日常工作中每一个医疗环节如医嘱、处方、患者知情同意书等都须要医务工作者或患者手工签名认可，加以保存。病历不仅是病程记录，也是具有重要法律效力的文件，传统的手工签字易丢失、易感染，随着信息技术的发展，病历的无纸化存储成为趋势。《中华人民共和国电子签名法》中明确了数据电文的法律效力，电子签名具有与手写签名同样的法律效力，能解决纸质病历容易被破坏的特性，保证电子病历的真实性和完整性[1]。因此，从医院实际出发，引入可靠的CA电子签名技术，在每个需要签名的医疗场景，保证电子签名的真实性及防篡改性，对实现医疗数据的完整可信具有重要意义。

2 基本概念与相关技术原理

电子签名是一种应用数据加密的方法来产生与文件内容关联的签名，加密的签名数据在现有的条件下无法破解或伪造，同时这种签名又可以被特定的机构进行验证。电子签名涉及3个实体：签名者、验证者和电子论证服务者。医务人员使用电子签名产生模块必须采用安全的签名流程。验证者使用的电子签名验证模块、环境和流程必须满足一定的安全要求，保证安全正确地验证电子签名结果[2-3]。

电子签名的基本原理是利用非对称加密技术对电子文件进行加密运算产生签名，用签名数据还原的文件（或摘要）与原文（或摘要）进行比对来确认原文是否被修改。非对称加密技术是一种数学方法，这种方法对文件的加密和解密使用不同的密钥。签名时使用的加密密钥是私钥，仅由签名人掌握；验证文件时使用的解密密钥是公钥，可以在公开场合传输。应用数学方法保证无法通过解密公钥推算出加密私钥的内容。

通常用于签名的加密私钥也存储在签名人掌握的存储介质中，因而其他人无法掌握和使用签名的私钥。为防止存有私钥的介质丢失后被他人利用，在使用私钥进行签名时还须要签名人输入个人识别码，来确保是本人在进行操作。

图1所示为电子签名过程与验证过程示意图，通常在医院电子病历各系统中使用的是电子签名的过程，通过这个过程产生的签名密文文件保存在系统中。当须要进行验证时，将原文文件、签名密文文件及签名人的数字证书一同提交，由权威机构或经过认证的验证系统进行验证处理，通过比对验证中产生的2个摘要信息的一致性，来判断原文是否被篡改。

图1 电子签名过程与验证过程示意图Figure 1 Diagram of digital signature processes and verification processes

医疗记录的产生时间对于举证有非常重要的作用，因此电子病历中的电子签名包含时间戳是医疗文件签名的一项重要要求。医务人员使用个人控制的私钥对医嘱、病历、检查报告、检验记录、治疗记录等进行签名，解决了这些医疗记录的责任认定问题。但是基本的数字签名并没有包含签名的时间。一个完整的签名还应该在对内容进行基本签名后及时对产生这些签名的时间再进行可信的认证，即用一个时间戳来可信地记录这些签名产生的时间。这个时间戳的产生需要3个基本内容：首先是须要包含医务人员的签名；其次是有不受医院控制的标准时间源；第三基于以上两点实现医务人员签名与签名时间的数字认证。

3 电子签名系统设计与实施

3.1 电子签名系统设计

3.1.1 建立统一的电子认证服务体系 面向医院医护工作人员，统一数字证书发放与管理，提供优质、符合卫生行业规范的数字证书生命周期服务，满足医院的实际需要。

3.1.2 电子病历各环节电子签名 电子病历主要包括病案首页、医嘱单、病程记录、护理记录、手术资料、产科记录等内容，为满足各类医护人员签名需求，针对不同存储类型数据设计签名实施方案，包括多级医生签名集成方案、医嘱批量签名处理技术、签名数据优化存储方案等，解决了电子签名效率低下、签名数据占用存储空间过大、签名技术集成复杂等实际问题。

3.1.3 患者/家属电子签名 针对患者/家属对电子病情文书的签名需求，结合患者手写签字或按压指纹等个性化特征，实现对电子知情同意书的可靠电子签名，保证院方和患者的权益，并保留手写签名的业务模式，简化操作流程。

3.1.4 多样化移动医疗终端电子签名方案 当前医院移动医疗业务发展迅速，根据移动医疗终端的多样性以及护理文书的签名需求，设计支持不同终端设备的双接口证书介质，实现“一人一钥”，满足医院多类移动终端的身份认证签名需求。

3.1.5 电子病历归档安全 电子病历归档数据的真实性及不可抵赖性，是医院能否彻底实现无纸化的关键因素。根据医疗事故的司法举证流程，研发可信的电子病历系统，收集电子病历归档数据和医疗事故产生的封存病历数据，为医院提供更安全可信的电子病历管理，并为证据查询提供方便、安全的途径。

3.2 电子签名系统实施

3.2.1 电子签名系统环境搭建 电子签名系统环境搭建主要是部署电子签名软硬件集成化安全设备，为信息系统提供数据签名、签名验证、证书验证等功能。电子签名系统，接收信息系统发送的签名服务请求，并返回签名或验证服务结果，利用可靠的电子签名技术保证数据在产生、传输、存储、再利用的整个生命周期过程的真实、完整、准确，保证“数出有源”。

3.2.2 时间戳系统环境搭建 时间戳系统环境搭建主要是部署时间戳软硬件集成化安全设备，该时间设备调试是基于国家标准时间源，为信息系统提供精准、安全和可信时间认证服务。时间戳系统接收信息系统发送的时间戳，签发、验证时间戳请求，并返回时间戳签发或验证服务结果，实现责任人签名和准确的时间记录，保证数据记录中时间的公正、可信。

3.2.3 电子签章系统环境搭建 电子签章系统以控件的方式安装于应用端，为应用端提供数据的电子签名和电子签章服务。电子签章管理系统为用户生成电子签章，并将电子签章灌入证书介质中和数字证书匹配，将包含数字证书和电子签章图片的证书介质分配给医务人员，实现医务人员在信息系统中数字签名的可视化、图形化，使可靠电子签名在信息系统中能够形象展现。

3.2.4 电子签名系统与信息系统的集成 为了实现电子认证服务与医院各业务应用的有机结合，解决医院电子病历系统等系统的身份认证、授权管理、责任认定以及电子病历的真实性、完整性、有效性等问题，建立安全可信的医院医疗业务环境，分别与各个业务厂商理清集成的业务环节和业务流程等，在合适的时机，完成电子签名系统与医院信息管理系统、电子病历系统、检验信息系统、图像存储和传输系统等的应用集成[4-5]，满足医院对业务安全、应急处理和业务连续性的要求。在各个系统应用场景，采用基于数字签名和时间戳的电子病历证据固化模型，当医疗纠纷发生后，一方面根据事件型数字证书中记录的电子病历摘要信息，能够验证从医院方取证所得的电子病历相关信息有无篡改的痕迹；另一方面根据签名过程中形成的时间戳文件，验证电子病历生成的时间，以及关联性，形成能够足以还原事实真相的电子病历证据链条[6]。见图2。

图2 电子签名拓扑图EMR系统.电子病历系统；HIS系统.医院信息管理系统；PACS系统.图像存储和传输系统；LIS系统.检验信息系统Figure 2 Topology of electronic signature

3.2.5 数字证书服务 数字证书是个人身份的有效数据文件，面向医院医护/医技人员提供数字证书的全生命周期管理。数字证书服务内容主要包括医院医护/医技人员的信息收集、手写签章采集、数字证书制作、数字证书发放、受理点建设、证书生命周期服务等。组织工作人员进行“证书环境”安装工作，明确证书管理员人选及职责，进行证书受理点的日常工作，包括发证、吊销、丢失补办、证书介质解锁等。

3.2.6 用户培训 数字签名培训的对象，主要包括信息系统开发商、系统管理员、证书管理员、数字证书使用者，培训内容包括以下几点：

一、针对医院信息系统开发商的接口对接、签名验证等技术培训；

二、对系统管理员的培训，包括对数字签名服务系统使用及维护，使其能排除一般性故障，保障系统的稳定运行；

三、证书管理员日常证书管理工作的培训，主要是使用数字证书在线服务平台的功能；

四、数字证书使用者培训，主要是日常数字签名操作培训，包括数字证书产品的业务操作、使用流程、注意事项等方面。

3.2.7 系统试运行 建立数字签名有关的管理制度，与医疗科制定数字证书发放和使用管理制度、数字签名操作业务流程规范，选择2～3个临床科室信息系统进入试运行阶段，建立健全运行操作和系统维护规范，为系统投入实际运行和完善提供实际运行数据和依据。通过既定时间段的试运行，论证系统实施进程，通过试运行发现信息系统存在的问题，进一步完善信息系统建设内容，确保信息系统平稳运行，再逐步推广到全院。

4 总 结

通过全面实施CA电子签名技术，建立医院统一的身份认证平台，实现所有临床科室以及医院信息管理系统、检验信息系统、图像存储与传输系统及电子病历等系统全面应用电子论证产品，简化医护人员操作，优化工作流程，实现业务环节可靠的电子签名，保障了系统的业务安全。在确保电子病历的真实性、合法性和有效性基础上，减少各业务环节医护人员受感染的风险，推进医院无纸化进程[7]，降低医疗成本，提升医院管理效率，同时也将在电子病历的法律效力、医疗过程的监督管理、医疗服务精细化管理等方面发挥更积极的作用。