某医院电子认证服务应用方案.doc

兰州市第一人民医院

电子认证效劳应用方案

2012年8月

目录

TOC\o"1-4"\h\z\u1.总体架构设计3

1.1.设计思路3

1.2.总体架构4

2.数字证书效劳7

3.数字证书应用集成方案8

3.1.CA认证产品8

3.1.1.数字签名验证效劳器8

3.1.2.电子签章系统9

3.1.3.时间戳效劳系统9

3.2.平安登录认证集成11

3.3.数字签名和验证12

3.4.电子病历可信时间戳14

3.5.电子病历电子签章15

4.方案特点17

5.软硬件清单18

总体架构设计

设计思路

我院信息化建设应坚持“规划自上而下，保证整体性；实施自下而上，保证可行性”的指导思想，按照“顶层设计、分步实施、先易后难”的原那么，逐步实现建设目标。本方案依照上述指导思想和建设原那么为我院提供一整套基于电子认证效劳和电子签名的解决方案，基于数字证书效劳、数字签名验证效劳器、电子签章和时间戳效劳系统为核心产品，提供身份认证、数字签名、数据加密、时间戳、电子签章效劳，从“可信身份、可信行为、可信数据和可信时间”四个范畴搭建了医院可信医疗数据平台，从而真正实现医院信息系统的可信业务环境建设需求。

图表SEQ图表\*ARABIC2医院业务电子病历签名认证应用实现模型

可信身份效劳为我院各信息系统解决行为人的身份凭证及凭证认证问题。医院通过接入第三方数字证书效劳，部署数字证书受理点，为医生发放数字证书身份凭证；医护人员使用数字证书登录医院信息系统，医院信息系统通过电子签名客户端，实现强身份认证。

可信行为效劳为医院各信息系统解决医疗行为可追溯问题。医生在电子病历等医院信息系统中所进行的关键操作，通过电子签名客户端完成数字签名。

可信数据效劳为医院信息系统解决医疗数据可信化、合法化问题。通过在医院信息系统集成数字签名验证效劳器，实现处方、医嘱、病程记录等关键医疗数据的可信化转换，使之符合《电子签名法》对可信数据电文的要求。

可信时间效劳为医院信息系统解决医疗行为时间准确性和真实性问题。医院信息系统保存的医疗数据，需要加盖可信时间戳，确保此操作记录的时间可靠性。

总体架构

本方案对我院的电子认证效劳建设和基于电子认证效劳的应用平安建设进行规划，具体包括以下几个方面：

发放数字证书，提供强身份认证和电子签名工具

在我院内部建设数字证书受理点，通过第三方CA机构为相关各方发证书，搭建医院电子签名根底环境；为医护人员提供强身份认证和电子签名工具。

部署实施电子签名部件，实现电子病历电子签名

提供数字签名验证效劳器、时间戳系统和电子签章系统等电子签名部件，供各类医院信息系统调用。实现各信息系统的平安登录、电子签名和可信时间戳等。

结合我院具体网络情况，设计如下系统架构：

在医院建设数字证书受理点

为方便医院用户数字证书的申请、发放和后期效劳，须在医院内部设立数字证书受理点，医院需要指定医院内部数字证书管理员。

数字证书管理员使用第三方认证机构提供的数字证书效劳管理系统对本院数字证书的发放和使用进行管理。

利用数字签名验证效劳器实现平安登录、数字签名和签名验证

通过部署数字签名验证效劳器，实现重要电子病历业务环节的签名和验证，确保数据的完整性和隐私保护。

在信息系统中集成电子签章系统

通过在电子病历等医院信息系统中集成电子签章系统，可实现电子签名的可视化显示。通过在医院部署电子签章管理系统，方便医院自行进行签章图片的制作，实现医院对签章图片和签章范围的管理。

数字证书效劳

为保证证书效劳及时可达和医院管理自主化，在我院内部建设证书受理点，指定证书管理员，为内部工作人员发放数字证书，为我院供一整套的效劳平台，从而使医院具有证书自助管理能力。

通过证书受理点进行证书发放流程如下：

CA在我院建立证书受理点，由医院指派证书管理员，内部用户通过受理点管理员办理数字证书；

证书受理点需要收集用户信息和鉴证用户身份，将证书申请请求提交到数字证书效劳管理系统；

CA系统签发证书，由受理点证书管理员负责灌制到证书介质中，发放给最终用户。

数字证书应用集成方案

CA认证产品

数字签名验证效劳器

数字签名验证效劳器是由数字签名客户端软件〔证书应用中间件〕、应用系统API接口、数字签名验证系统〔软件系统〕和提供独立签名运算的数字签名验证效劳硬件平台设备组成，数字签名验证效劳器是面向应用系统所面临的认证、签名和加密需求，而提出基于权威数字证书的具有完全自主知识产权的平安系统。该系统在P11、CSP等标准的底层证书调用接口根底上，通过SOAP协议对多个应用效劳提供密码运算，实现基于证书的身份认证、数字签名及数字签名验证、数据加密等功能。具体功能描述如下：

提供与