赵 欣，郭建伟

(1.北京科学学研究中心 北京 100044； 2.北京市科学技术情报研究所 北京 100044；3.网络密码认证北京市重点实验室 北京 100044)

0 引 言

某市社会保障信息化系统是该市十大醒目工程之一，自2001年开始进行，已经覆盖整个城市，共有约1100万人参加医保，其中包括城镇职工300多万人，城乡居民700多万人。市社保医疗机构约700家，其中有500家医院、200家药店能够使用医保卡就医和结算。该市社保信息系统是实时结算，各家机构同社保中心系统采用光纤专线和双线路备份设计，在一条线路出现问题后可以立即切换备用线路进行补救，保证网络连接稳定可靠。

该市医保结算每天实际数量在15万笔左右(工作时间8h内为主)，在24h内全部完成结算，患者在就医交费同时，医院信息系统(Hospital Information System，HIS)即同时完成同医保中心的实时结算，患者只需缴纳自己应交部分，其余社保报销部分实时结算到医院账户。该市大医院都有一套HIS，来完成病人与社保中心之间数据交换，药店则通过连接社保网络完成对医保参保人员药费的实时结算和报销。

目前，该市社会保障系统体系亟待解决的问题是：保证医保参保人员医院就诊信息和药品采购信息的真实可靠以及真正实现患者本人实名制就医。

1 信息安全保护

社保信息系统在实际运行中，超过千万的医保参保人员会去医院看病、去药店买药，在医院看病购药时进行实时支付(占总药费的75%～85%)，实时从网上直接支付给医院。目前医保参保人员与医院、药店以及社保中心之间的患者信息(医疗费结算单)未做任何保护措施，无法保证医疗结算单的可信性、完整性和不可抵赖性。如医院和药店恶意对医疗或购药的结算单进行修改，从而提高报销的比例，会给政府的医保带来巨大的资金损失。此时应该通过技术手段，保证确实是医保参保人员本人实际的治疗和药品结算单，防止医院、黑客或者其他涉及利益的第三方篡改(医疗或购药的结算单)支付信息而获取非法利益。医保参保人员在(医疗或购药的结算单)结算过程中所产生的数据经过签名和加密，可以保证信息的完整性和不可抵赖性。利用电子签名可以对数据完整性及可靠性提供安全保障。同时，对个人的医疗数据进行保密传输，有利于个人隐私保护。通过身份认证、数字签名和加密技术，将合法用户医保部分的医药费等信息经过签名和加密后发送，安全、可信、完整、快捷；节省医药费报销审批的成本，保证财务结算安全准确。这就需要在某市社保网络体系现状的基础上，升级信息安全保护系统，增加社保安全认证中心和社保的签名终端，提高社保信息管理系统和医院HIS系统的安全等级。

2 实名制就医

首先，实名制就医[1]能在一定程度上遏制“倒号”行为，患者挂号及就医得以有序进行。实行统一规格的实名就诊制度不但有利于及时掌握和控制传染病疫情，对其他普通疾病的病种、发病率、患者情况等数据也能清晰掌握。同时，还可掌握患者看病的费用情况，对于政府制定医保等政策有指导意义。

其次，在目前医疗纠纷不断增多的情况下，实名制就医可为患者保护其合法权益提供有效保障。在实际生活中，个别患者因种种原因，在就医时并未使用自己的真实姓名。在此种情况下，一旦发生医疗纠纷，患者欲通过司法途径解决纠纷便会遇到障碍，因为患者需要证明其与该医疗机构之间存在医疗服务合同关系。如果就诊资料上的姓名与患者真实身份不符，则患者的诉讼主体资格将会受到质疑，从而影响到其实体权利的实现。

再者，实名制就医可为医疗保险提供较为有效的监管机制[2]。目前，中国基本医疗存在着政府投入严重不足、覆盖率较低的情形。在医疗保险领域存在着“一人投保，全家受益”的现象，即没有医疗保险的患者使用享有医疗保险者的保险卡就医、付费。保险机构为此损失巨大却缺乏有效的监管机制，因为保险机构不可能对投保者的整个就医过程进行监管，而且要求医疗机构主动监管也是不现实的。在实行实名制就医以后，患者就医须提供相关的身份证明，从而堵住了没有医疗保险者享用医疗保险就医、付费之路，为医疗保险提供了较为有效的监管手段。

医保诈骗[3]是世界性难题，美国每年医保诈骗损失金额近900亿美元。据媒体报道：“杭州市每年不完整统计医保损失约7000万元以上。国内各省市的医保损失也很大，医疗骗保是国内一个社会热点、焦点和难点。主要原因：一是医院和药店等医疗机构由于利益或责任心因素，医疗机构医生在患者就诊时，对比医保卡上的照片不认真，或根本就不对比就诊者的医保卡；二是医疗机构医生对比患者多年(或10多年)前身份证上的照片难度大；三是个别医疗机构向医保中心提供虚假信息“骗保”，骗取社保费。

因此，在我国目前整个社会信用度较低的情况下，在医疗领域内实施实名制就医，将对整个社会信用体系的建立起到一定的促进作用，这也是一个民主社会、法治社会发展的方向。

通过调研和实验，目前，某医保系统采用大唐电信提供的用户特征识别技术，来杜绝个人就诊“张冠李戴”现象，使用指纹对比识别技术来控制患者实名就医[4]，但是受限于指纹识别认证的速度、实际操作难度及诸多原因，导致指纹认证技术无法切实可行地解决该市实名就医的难题。

①认证速度：指纹识别受限于其采集方法和比对认证算法，完成指纹采集传输对比返回结果的时间较长，占用本就不充足的医生诊治病患的时间，这将严重影响医院的接待病人数量和病人的就诊体验，使得医患关系更加紧张。

②操作难度：到医院就诊的患者中不乏上年纪的老人，其思维和肢体行动能力都受到一定程度的限制，向其解释说明如何采集认证指纹，直至正确操作完成整个过程非常困难。患者都是带着疾患来到医院就诊，生理上本来就痛苦，心情肯定烦躁不安，希望能够尽早得到医生诊治解决病痛，如果还增加指纹认证环节，将使患者情绪更加恶化，不利于诊室工作开展，同时也给医生的工作带来更多问题。

③指纹特征保护：指纹采集比对涉及患者的隐私权问题。因为指纹识别认证的前提是提取指纹，目前世界各国绝大多数国家都没有制定提取或采集公民指纹的法律。指纹属于公民人身的组成部分，国家和政府都没有权利采集公民指纹，何况医疗机构。如果没有事先进行信息公开，没有司法部门的授权，更无相关制度和隐私保护措施，如若发生信息泄露将很难处理。患者有不提供自己指纹的权利，医院不是司法机构，没有强制执行权，如果不经过患者同意，医院不能强制提取指纹或对比认证。

3 解决方案

3.1 解决方案及总体构架

在社保信息中心建设社保的安全认证中心，将医疗机构(医院或药店)传输来的患者就医信息(医疗费结算单)密文数据，实时进行解密和完整性验证等，再将验证“结果”反馈给医保数据中心。社保的安全认证中心由十余台认证一体机和密钥管理机组成，其中包括一定的热备份设备，保证社保的安全认证中心不间断运行。

在医院、药店等医疗机构增加签名终端，实时将患者就医信息(医疗费结算单)进行加密和数字签名，并通过网络传输给社保信息中心建设的社保安全认证中心。在每台签名终端里，将全体医保参保用户的标识，与目前个人医保卡(与PSAM卡进行认证)芯片里的标识一一对应，并将用户的标识与一组“密钥种子”认证参数的密文一一对应，在签名终端加密芯片里，写入组合密钥算法、签名和加密协议。一个医院或药店配备一台签名终端设备，医院配备的是较高档签名终端，药店配备的是较低档签名终端。

在医疗机构架设摄像头，在每位医生的电脑或化验和治疗的电脑上，安装1个摄像头，用于采集、拍摄人脸图像识别比对，来实现实名制就医。

在医疗机构(医院、药店)的签名终端，将部分有嫌疑的就诊者现场照片进行数字签名后，传输到医保数据中心存储，作为以后进行调查的“证据”。采用高速数字签名算法保证比对信息不被篡改，保证后期追溯可查询。为此，每个医疗机构的看病、治疗、化验等科室，或药店收费点桌子上的电脑，都需要安装 1个摄像头。

3.2 实施效果预计

①使用快速、可信的数字签名和加密技术[5]，保证医疗机构端提交的患者就医信息(医疗费结算单)可信、完整，不可抵赖，保证数据的机密性。解决医疗机构“作假”提供“虚假”信息骗保的问题，同时，保证患者就医个人隐私在网络上保密传输。

②使用生物特征的实时对比认证方法，与快速、可信的数字签名技术结合，保证实名制就医可行，杜绝就诊者“张冠李戴”，尤其是个别照片和本人比对相似率较低的患者也申请就医，则留下经过数字签名的患者就诊照片，存入医保中心数据库，作为以后调查的“证据”。这种“技术”和“管理”相结合的方法能实现实名制就诊率达到99%。

4 技术构成

4.1 信息保护系统安全策略

信息保护系统采用对称密码算法(轻量级密码)和组合密钥技术[6]，将全部用户的重要认证数据(生成认证/签名密钥的“基”，即“密钥种子”)用芯片来存储保护，使得基于对称密码建立的认证/数字签名和加密协议不仅理论上可行，而且实际上也能很好运行(图1)。

图1 安全策略构架 Fig.1 Security policy framework

采用认证/签名一体机设备来建立社保的安全认证中心，采用签名终端来建立医院和药店端的用户签名和数据加密系统，其中：认证/签名一体机和签名终端，内部都采用不同型号的加密卡硬件，与计算设备的接口是标准PCI接口(将多块加密卡插入工控机里)；2种硬件设备中都采用国内微电子芯片，芯片内写入对称密码算法—SM1算法。采用硬件随机数发生器产生用户“密钥种子”，保证随机性，每个用户的密钥“基”(密钥种子)都不同；签名终端和安全认证中心端密钥管理机全体用户的“密钥种子”是以密文方式存储在数据库中，是用加密卡中的SM1算法和一组对称密钥将全体用户的“密钥种子”加密成密文，来保证“密钥种子”安全存储；在加密卡的芯片里，根据组合密钥生成算法对“密钥种子”组成表中的元素进行选取，将选出的元素合成一组密钥，实现密钥组合生成，密钥的变换率达到每小时264，基本实现认证/签名密钥一次一变，不重复使用。

在认证中心端密钥管理机里，用加密卡芯片里的一组固定密钥，分别对全体用户的“密钥种子”密文数据进行签名，将签名的结果存储对应密钥种子数据库记录的最后一个字段里，作为密钥种子数据完整性验证的关键数据。

采用“摘要”算法(SM3算法)对社保的安全认证中心端全部用户“密钥种子”密文数据，定时进行逐条记录，在加密卡芯片里将对应记录密钥种子数字签名解密，并对比2次摘要信息是否相同，即：对全部用户“密钥种子”进行完整性验证，实现“密钥种子”数据定时可信、完整性的安全检测，防止黑客破坏或篡改认证参数(“密钥种子”数据)。

4.2 3种安全协议

4.2.1 医院签名终端的加密和数字签名协议

当患者使用个人医保卡插入前置服务器端的PSAM卡里，并通过PSAM卡的身份认证后，医院收费窗口收费员在HIS中填写患者就诊费用结算单，签名终端(高端设备)调用加密卡芯片里实时产生对应用户的签名密钥，对患者就诊费用结算单进行数字签名和数据加密操作，然后将签名和加密后的密文数据通过医院到医保中心的专网提交给医保数据中心。其中：执行数字签名和加密操作时，首先对患者就诊费用结算单的数据进行“摘要”运算，调用签名终端里对应用户的密钥种子密文，并在加密卡芯片中解密后，根据密钥组合生成算法产生一组签名密钥，在芯片内用该签名密钥加密拼接后的数字摘要和采集数据完成数字签名操作，用同一组签名密钥将患者就诊费用结算单加密成密文(图2)。

4.2.2 药店签名终端的加密和数字签名协议

患者到药店购药时，用户使用个人的医保卡，插入药店的前置服务器端PSAM卡里，进行卡对卡的用户身份认证。药店的营业员调用药店的收费系统，填写购药结算单，签名终端(低端设备)自动调用加密和数字签名系统，将用户购药单进行签名和加密，通过医保药店的专网提交给医保数据中心(图2)。

4.2.3 解密和签名验证协议

医保数据中心端的认证中心收到医保机构(医院或药店)端提交来的患者就诊费用结算单的密文数据和数字签名后，医保安全认证中心的签名验证系统根据用户医保卡的标识找到对应用户的密钥种子数据，在加密卡芯片里根据组合密钥生成算法得到对应用户的签名验证密钥，用该签名验证密钥，将患者就诊费用结算单的密文数据解密，再对解密后的数据进行签名验证，确定收到的患者就诊费用结算单是否可信、完整且不可抵赖，以此来保障500家医院和 200家药店提交的患者就诊费用结算单和购药单的可信、完整且不可抵赖(图2)。

图2 3种安全协议过程图 Fig.2 Process diagram of three security protocols

4.3 基于人脸识别技术的人像自动化采集系统

人脸识别系统可自动采集、检测视频中出现的人脸信息[7]。该系统检测不受表情、肤色、适度化妆、眼镜(深色除外)等条件影响，采集的图像符合公安部人像采集标准，采集的人脸信息可直接用于人像对比识别，从而极大提高患者身份比对速度(图3、4)。

图3 人脸识别 Fig.3 Face recognition

图4 人脸识别技术的比对过程图 Fig.4 Comparison process diagram of face recognition technology

4.4 图像对比信息数字签名

采集图像和数据库存储的患者证件照片对比后，图象和比对结果不能直接上传或者存储到数据中心，因为这样无法避免被不良医生、医院或者其他第三方篡改图象比对数据，影响本系统的功能运行。必须通过医疗机构配置的签名终端，将对比结果进行数字签名操作，然后将数字签名通过HIS提交到社保中心数据库。只有就诊患者本人才持有社保卡，同时，对应本人就诊时的照片进行数字签名，这样防止医院医生或者第三方篡改比对结果，影响数据准确性。社保中心将永久存储这些图象和对比结果，以备出现问题时查询。

5 功能及实现

信息安全保护系统采用对称密码算法(轻量级密码)和组合密钥技术，来建立医保信息安全架构，主要采用认证/签名一体机设备来建立社保的安全认证中心，采用签名终端来建立医院和药店端的用户签名和数据加密系统，其中：认证/签名一体机和签名终端内部，采用不同型号的具有国内微电子芯片的加密卡硬件，芯片内写入对称密码算法SM1算法。

用户“密钥种子”由硬件随机数发生器产生，保证其随机性，将全部用户的重要认证数据(生成认证/签名密钥的“基”，即“密钥种子”)用加密卡中的SM1算法和一组对称密钥加密成密文后存储。根据组合密钥生成算法对“密钥种子”组成的表中的元素进行选取组合，实现密钥组合生成，基本实现认证/签名密钥一次一变，不重复使用。

采用“摘要”算法(SM3算法)对医疗机构端提交的患者就医信息(医疗费结算单)进行“摘要”，并使用快速、可信的数字签名和加密技术，实现对就医信息的数字签名和加密，保证医疗机构端提交的患者就医信息的可信、完整、不可抵赖，保证数据的机密性。解决医疗机构“作假”提供“虚假”信息骗保的问题，同时保证患者就医个人隐私在网络上的保密传输。

5.1 建立个人医保就诊实名制系统

在门诊医生看病桌上增加人脸检测和识别设 备[8]，可以自动检测患者的人脸姿态，自动对患者脸部进行拍照，并且跟社保账户中的照片自动进行对比，对明显不同的照片进行2次预警。若比对相似度达到88%以上，则为用户本人，医生可以给患者看病(填写病例、检查、开化验单、治疗和开药方等)；若比对相似度为80%以下，则医保卡里的照片与患者不是同一个人，不得就诊；若比对相似度在80%～88%范围内，则可能为医保卡本人，医生可以看病并填写病例。但是，需要留下患者的照片，并使用签名终端设备中的签名系统对采集用户的个人特征信息进行签名，让被采集的患者照片不可抵赖，便于追溯、取证，从而解决患者和购药者实名制就诊的行业难题。

①将医保系统中全部参保人员照片及信息(从公安系统下载的个人身份证照片)导入人脸比对数据库中，建立医保用户人脸图像的目标数据库。

②在医生诊室(或化验、检查、治疗和购药等科室)计算机上，架设采集摄像头，根据摄像头采集的就诊人员照片或者实时视频流，采用人脸检测和识别技术，提取目标对象人脸特征值。或者依据个人医保卡上的照片实时读取照片，与患者进行比对。

③根据指定条件，在目标数据库中，对比出与本人社保卡对应目标对象人脸特征值，将对比相似程度显示在系统中，同时，签名终端中数字签名系统使用数字签名协议，将比对照片结果相似度的数据进行签名后，保存在社保数据中心的数据库中。

④如果相似度超过88%，则开启医疗处方系统，医生可正常使用系统给患者开具处方或检查单，完成病情诊治工作。如果相似度为80%以下，则锁定医疗处方系统，同时，提示医生该就诊患者所持医保卡可能不是本人卡，告知该患者违反实名制就医制度，停止治疗。

如果相似度在80%～88%之间，则正常开启医疗处方系统，同时也要增加异常标注，标识该患者为存在异常情况人员，将患者的照片签名并实时传输给医保数据中心数据库存储，提示社保中心事后重点检查和关注的对象。

5.2 优势

5.2.1 数字签名验证速度

社保安全认证中心可以并发数字签名验证48000次/min，即数字签名验证速度：800次/s，能够实现每天(按8h计算)签名验证2304万次，比其他使用PKI技术建立的社保安全中心处理速度快 100倍。某医保就医每天(按8h计算)处理15万笔患者就医费用单数据，2304万次远大于15万次。认证中心建成后能够满足今后很长时间内，社保系统不断增长的数据安全处理需求。

5.2.2 人脸识别认证速度

可以达到患者入座1s内即可完成自动拍照对比的所有工作，对正常的医疗环节不造成效率损失。对单一患者来说，几乎可以忽略不计，能够完全避免增加认证环节对医生诊治时间所带来的影响。

5.2.3 操作难度

数字签名和数据加密操作对用户而言是透明的，不增加医生的操作复杂度就可以对传输的患者就诊信息(医疗费结算单)进行安全保护。在实名制就医环节，医患只需简单配合，摄像头距离患者0.3～1m条件下，3s内可以自动完成拍照和对比工作。系统自动拍摄比对认证结果，自动传输照片，对患者和医生都是透明的，不会增加医生的工作难度，也不影响病人的就诊时间。

5.2.4 法律问题

人脸图像采集和比对不涉及隐私问题，目前很多公共场合都采用视频监控方式保证社会安全，在医院采用该系统，不会产生法律问题。

5.2.5 安全性

采用安全、快速、可信的数字签名系统，保证对比结果的真实可靠，不可能被篡改，可以作为合法证据提交给相关机构。因签名信息来自医疗机构签名终端，是签名终端加密卡芯片里的加密系统，实时将摄像头采集的患者就诊时的照片进行签名，签名密钥采用对应患者实时产生的签名密钥，所以只有患者本人才能持卡完成签名过程，有效防止数据篡改情况的发生。

5.2.6 其他优势

操作方便，部署维护方便。对原有医院信息系统无需对接改造，只要获取社保卡ID信息即可；事前预警，可以将损失限制在就医配药前。

6 结 语

总之，使用快速、可信的数字签名和加密技术，保证医保机构端提交的患者就医信息(医疗费结算单)可信、完整，保证数据的机密性，同时可以解决医疗机构“作假”提供“虚假”信息骗保的问题。使用生物特征的实时对比认证方法，与快速、可信的数字签名技术结合，保证实名制就医可行，让比对相似率较低的患者也可以申请就医，体现了政策的人性化，同时通过留下经签名的患者就诊照片，作为以后调查的“证据”。这种“技术”和“管理”相结合的方法能实现实名制就诊率达到99%。■