浅谈密码技术在卫生医疗领域的应用研究

2023-03-21刘磊

科学与信息化 2023年3期

刘磊

南京医科大学附属逸夫医院江苏南京 211112

1 引言

“互联网+医疗”蓬勃发展，智慧医疗应用不断提升，卫生健康领域的大数据应用越来越多，新型业务、应用方式不断出现[1]，随之带来了卫生大数据在卫生诊疗、数据使用的全生命流程各阶段产生了各种各样的数据安全挑战，包括身份仿冒、隐私泄露、机密窃取、数据篡改、越权访问等。在医疗服务逐渐由“封闭式”转变为“开放式”的趋势下，医疗信息安全环境并不乐观。国家对数据安全高度重视，2021年先后颁布了《个人信息保护法》《数据安全法》，其中《数据安全法》明确提出，开展数据活动必须履行数据安全保护义务承担社会责任。在医疗健康领域，数据的安全事关患者生命的安全、个人隐私的安全、公众利益的安全，为了更好地保护医疗数据安全、规范医疗数据共享，全国信息安全标准化技术委员会于2020年底正式发布了《信息安全技术健康医疗数据安全指南》，面向健康医疗数据控制者提出了保密性、完整性和可用性的安全目标。2022年国家卫生健康委发布了《医疗卫生机构网络安全管理办法》，明确提出了“各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作，采取数据脱敏、数据加密、链路加密等防控措施，防止数据收集过程中数据被泄露。”密码是网络信息安全的基础和核心，是国家网络信息建设的重要组成部分。本文将针对基于国产算法的密码技术应用于卫生健康领域以保障医疗数据安全的应用展开讨论。

2 医疗数据安全保护需求概述

2.1 保障用户身份真实性

医院信息系统覆盖各功能科室，其建设具有中心部署、分布应用、分级管理等特点，面向所有的医生、护士、医师、运维人员等不同类型的工作人员，身份角色不同、管理权限不同，为确保对用户进行有效的访问控制，需保证人员身份的真实可信，保障有序开展相关业务和工作[2]。因此，基于医院独特的信息化环境，需建立一套面向全院的身份认证管理体系，基于动态口令、消息鉴别码、数字证书等密码技术，建立用户网络世界的可信身份认证凭证，实现安全、可靠、可信的身份登录认证，保证不同角色用户的身份真实可信。

2.2 医疗数据在传输过程中的机密性、完整性需求

保障互联网医疗、院外远程办公等业务环节中，医疗健康数据在用户端-服务端之间的传输安全；保障传染病信息直报、电子病历共享等业务环节中，医疗健康数据在医院系统-区域平台系统之间的传输安全，在传输过程中对数据进行完整性、机密性的验证，防止医疗数据被窃取或篡改。

2.3 医疗数据在存储和利用过程中的据隐私保护需求

医疗数据涉及大量患者、医疗记录等隐私信息，对隐私数据、重要信息、敏感信息进行隐私保护，动态脱敏，能够根据用户权限进行差异化数据展现，防止用户的身份信息、手机号码、医疗记录等私人或者敏感信息对外泄露。

2.4 保障业务行为抗抵赖、责任认定、合法可信

随着医院信息系统的各项功能逐步取代传统看病诊疗方式的同时，医患双方从对一张纸质诊断书的认可转向对一段数据电文描述内容的认可，数据电文的责任归属是否明确直接关系到信息化流程能否完全取代传统的纸质流程。因此，在医患双方身份真实可信的前提下，需要结合可靠的电子签名技术，建立医院信息系统中的责任认定机制，保障医疗数据明确的责任归属，实现真正意义的无纸化诊疗过程，使信息化的高效率优势充分发挥。

3 密码技术路线

基础密码技术主要包括SM2、SM3、SM4等国产的商用密码算法及基于这些算法的数字签名、数字信封、加密解密和完整性计算、SSL协议等。

3.1 对称密码算法

对称密码算法，加密密钥、解密秘钥“对称”，加密过程与解密过程使用相同密钥[3]。针对不同的数据类型和应用环境，对称密码有两种主要形式：例如SM4密码算法的分组密码，以及ZUC密码算法的流密码。

3.2 公钥密码算法

公钥密码算法，又称非对称密码算法，与对称密码算法不同的是加密和解密使用不同的密钥，解决了对称密码算法中密钥管理的难题。包括了基于公钥的加解密算法、数字签名验签技术、密钥协商等领域。我国颁布了标准的商用密码公钥密码算法为SM2密码算法。公钥加密算法加密和解密使用不同的密钥，成为公钥和私钥，公钥被公开，私钥被保密。数字签名算法也称电子签名算法，可以实现类似于手写签名的功能，但借助数学方法，比手写签名更安全、功能更强。公钥加密算法，结合特定密码协议的密钥协商算法，用于协商通信双方共同使用的密钥。

3.3 杂凑密码算法

杂凑算法是一个函数，它可以将任意长度的信息按照一定的算法压缩成固定长度的短信息，具有防篡改性、不可逆性等性质函数的输出成为摘要值，或称摘要。杂凑算法的作用很多，它可以用于数字签名：先对消息进行压缩后，再对摘要值进行签名；它可检测消息的完整性，由摘要值判断消息是否被篡改；它可用于口令的存储，利用单向性的特点，即使暴露了摘要值也不会暴露口令。SM3算法是我国商用密码标准中的密码杂凑算法。

3.4 密码协议

应用密码算法实现特定安全功能是十分复杂的，不同的使用环境需用不同的密码协议。不同的安全功能，也由不同的密码协议实现。因此，密码技术中存在多种多样的密码协议，如密钥协商协议、身份认证协议等。密码协议的安全性对密码应用至关重要，密码协议不安全，即使密码算法再安全，密码应用仍是不安全的。

3.5 区块链建设

搭建基于司法应用的存证区块链，将医疗机构、CA机构、相关公证处、司法鉴定中心、互联网法院、仲裁等各位机构作为区块链节点，利用区块链多方共识、分布式存储、可追溯、难篡改的特性，与国产密码技术深度融合，结合数字签名技术、可信时间戳、身份认证技术等，保证电子数据的真实完整性、可查验和可追溯及证据关联性。

4 密码技术应用设计

4.1 基于数字证书保障用户身份真实性

基于动态口令、消息鉴别码、数字签名等密码技术，通过多元化的身份凭证保障人员、设备、机构等实体的数字身份真实性。医生、护士、药师具备执业资格，网络身份与执业身份对应，实现网络身份和行业身份的一致性；针对机房等重要区域的进出人员，以及运维人员保障身份可信，有效拦截非授权人员进入。

面向医院全体医护人员，可建立基于国密的数字证书建立统一的、符合卫生行业规范的数字证书服务体系，为医院信息系统解决行为人的身份凭证及凭证认证问题。若是基于PC端访问，则通过使用基于国密算法的USBKey数字证书，基于国密浏览器，调用身份鉴别对USBKey中的国密数字证书进行校验，实现应用和数据方面的身份鉴别；若是基于移动端访问，则在移动终端集成符合GM/T 0028-2014《密码模块安全技术要求》的移动智能终端安全密码模块，调用协同签名功能，发放基于国密算法的移动数字证书，通过终端与服务端的协同签名认证的方式，实现应用和数据方面的身份鉴别。

4.2 医疗数据跨网加密传输

医疗信息系统包括医护技用户、患者、办公人员、运维人员、研究人员等各类角色在局域网、互联网等网络通过PC、APP等终端访问业务应用存在网络通信传输，往往存在于线上挂号、互联网医疗、院外远程办公等场景。

在网络层，使用国密SSL技术建立安全的数据传输通道，实现网络层的身份鉴别，同时实现数据在通信过程中的完整性和机密性保护，防止医疗数据被篡改、泄露、窃取。通常会在医院DMZ区部署基于国密算法，并且符合商用密码产品认证要求的网关，无须与应用系统集成，构建国密安全传输信道。

在应用层，通常在服务区部署基于国密算法，并且符合商用密码产品认证要求的密码设备，对个人隐私信息、患者报告等重要数据通过SM4国密算法进行机密性保护，通过SM2国密算法进行数字签名完整性保护，最终实现应用层的重要数据传输机密性和完整性保护。

4.3 医疗数据存储和利用环节隐私保护

通过隐私保护和动态脱敏技术，保障医疗数据的数据存储安全。对敏感信息、重要数据、隐私字段进行加密保护，防止用户的身份信息、手机号码、医疗记录等私人或者敏感信息对外泄露。

在数据存储环节，根据加密规则配置，通过SM4实现数据机密性存储，执行动态数据加密，将明文转换成密文后存储，有效保障数据存储的机密性，确保存储的重要数据不被泄漏或非法利用。同时通过HMAC-SM3、基于SM4的MAC技术进行数据完整性存储，或基于SM2的数字签名的方式实现存储完整性保护。

在数据利用环节，根据脱敏规则配置，对敏感数据进行实时脱敏化处理，支持保留格式脱敏、扰乱等脱敏算法，保障数据在展示、共享环节的安全，通过内网/手机移动网络访问应用系统、查询医疗数据时，将对涉及敏感信息的数据以脱敏形式展示，能够根据用户权限进行差异化数据展现，避免敏感数据外泄。

4.4 电子签名保障无纸化业务行为抗抵赖、合法可信

基于数字证书，通过可靠的电子签名技术，保障医护人员在关键业务环节的电子签名和时间戳应用，实现医疗数据的完整性保护、可信时间，以及责任认定等安全需求。使用可信的手写数字签名技术解决患者电子签名问题，实现知情同意书无纸化，保障电子知情同意书的合法可信。关键业务保护服务利用密码技术，能够辨识业务流程操作主体及电文签署主体的身份，从而有效保护电文数据完整性、防止任何人对电文做未经授权的篡改、同时确保业务流程中签名行为的不可抵赖。

4.5 医疗应用数据全流程安全“链上化”

在智慧医疗服务、互联网医院、电子处方流转等各业务流程中，产生患者隐私信息、医疗记录、电子病历、医疗文书等数据，通过电子签名和时间戳技术，对各业务流程中的登录认证、协议阅读、身份核验、文件浏览、电子签名、意愿表达、数据流转、文件存储等各个环节各个节点进行采集与固化，加盖时间戳，构造证据链，同时将证据链摘要值在CA机构、区块链、公证处、司法鉴定中心等第三方权威机构进行存证，从第三方的角度有效保全，进一步提高电子数据证明效力，并且在诉讼环境，能够出具相应的第三方权威报告，完整回溯事件过程，支撑电子数据在诉讼环节中的证明力。