張澤宇 郭宜家 劉宇航 劉子馨 趙鎧塬

摘要：隨著國內(nèi)“數(shù)字化醫(yī)院”建設(shè)的蓬勃發(fā)展，各醫(yī)療部門對于電子病歷系統(tǒng)的需求也在迅速增長，因此電子病歷的安全性問題也越加突出。根據(jù)該問題對滿足安全性的電子病歷管理系統(tǒng)進行了設(shè)計與實現(xiàn)。文章采用C/S架構(gòu)完成了電子病歷信息管理系統(tǒng)的基本功能，包括數(shù)據(jù)讀寫、查找、分類等。為了保障其安全性，本項目組研究了 XML的相關(guān)安全技術(shù)規(guī)范標準，將電子病歷信息寫入XML文件中進行存儲傳輸。通過AES加密、多重數(shù)字簽名以及權(quán)限管理等方法滿足電子病歷的機密性需求、認證、完整性與抗抵賴性需求。

關(guān)鍵詞：電子病歷系統(tǒng)；信息系統(tǒng)；安全性；加密；解密

電子病歷（Electronic Medical Record，EMR）也叫計算機化的病案系統(tǒng)或基于計算機的患者記錄，是指以電子化方式管理的有關(guān)個人醫(yī)療、保健和健康狀態(tài)的信息，是用電子設(shè)備保存、管理、傳輸和重現(xiàn)數(shù)字的患者醫(yī)療記錄。電子病歷系統(tǒng)是指支持病歷信息的采集、存儲、處理、傳輸、保密的系統(tǒng)。

近年來，IT技術(shù)和電子病歷的研究應(yīng)用發(fā)展較快，通過電子病歷實現(xiàn)醫(yī)療信息的共享，已經(jīng)成為各國醫(yī)院信息化程度的指標之一。我國對于電子病歷應(yīng)用較晚，所以目前的技術(shù)水平仍然處在不斷提高的階段，存在的問題仍然較多。例如我國電子病歷軟件環(huán)境不是很成熟，缺乏統(tǒng)一的電子病歷信息標準等。然而目前最主要的是電子病歷的安全性問題，想使電子病歷擁有足夠的法律效力，其安全性一定要得到保證。電子病歷是技術(shù)性的數(shù)據(jù)信息，屬于電子數(shù)據(jù)的一種，在計算機上篡改或刪除比較容易，且不留痕跡，其證據(jù)效力很難保證，因此電子病歷的安全性就顯得更為重要[1]。

1 電子病歷信息管理系統(tǒng)的實現(xiàn)

1.1 系統(tǒng)架構(gòu)與開發(fā)模型

本系統(tǒng)使用的C/S架構(gòu)進行完成。用戶通過與客戶端的界面進行交互，完成相應(yīng)的需求。系統(tǒng)分為3個主要部分，分別為數(shù)據(jù)顯示部分（客戶端）、業(yè)務(wù)邏輯部分（服務(wù)器端及數(shù)據(jù)訪問層）和數(shù)據(jù)庫，服務(wù)器端使用了Linux語言進行完成。其中數(shù)據(jù)顯示部分用來實現(xiàn)“電子病歷系統(tǒng)”的用戶界面，為用戶操作提供請求平臺，將操作請求發(fā)送給業(yè)務(wù)邏輯部分，將用戶請求的數(shù)據(jù)結(jié)果以文字或表格等形式顯示給用戶，該部分選擇了無需配置使用環(huán)境的C#語言進行編寫。數(shù)據(jù)顯示部分與業(yè)務(wù)邏輯部分的數(shù)據(jù)傳遞使用了安全外殼協(xié)議（Secure Shell， SSH），并且對數(shù)據(jù)進行了安全散列算法（Secure Hash Algorithm， SHA）加密和數(shù)字簽名，保證了數(shù)據(jù)傳輸?shù)陌踩院屯暾?，系統(tǒng)架構(gòu)如圖1所示。

業(yè)務(wù)邏輯部分包括服務(wù)器及數(shù)據(jù)庫連接。服務(wù)器接收到數(shù)據(jù)顯示層（view）發(fā)來的訪問請求后，根據(jù)不同的操作請求，控制跳轉(zhuǎn)，通過數(shù)據(jù)訪問層實現(xiàn)對數(shù)據(jù)庫的增刪查改操作，對數(shù)據(jù)庫返回的信息進行處理，再向數(shù)據(jù)顯示層返回訪問結(jié)果。數(shù)據(jù)庫部分實現(xiàn)對數(shù)據(jù)的存儲，并根據(jù)數(shù)據(jù)訪問層發(fā)來的語句進行相應(yīng)的操作，再將數(shù)據(jù)結(jié)果返回給業(yè)務(wù)邏輯部分，如圖2所示。

1.2 系統(tǒng)需求分析

本系統(tǒng)要對不同數(shù)據(jù)來源的病人信息統(tǒng)一與集成管理。本系統(tǒng)需要做到在保證安全性的情況下對系統(tǒng)進行有序高效的管理，同時要求系統(tǒng)具有良好的易用性、穩(wěn)定性和擴展性。本系統(tǒng)主要需要實現(xiàn)以下幾部分：用戶部分、醫(yī)生部分、電子病歷管理以及檢索與數(shù)據(jù)分析，該系統(tǒng)的具體模塊功能如圖3所示。醫(yī)生模塊主要實現(xiàn)對病人基本信息的改動，增加或刪除病人，改變病人的就診狀態(tài)，并且保證醫(yī)生可以隨時打印病人的病歷。病歷模塊就是含有病人的基本信息以及住院信息，能夠自行按照時間排序，在處理過后進行存檔，以便隨時調(diào)用。在數(shù)據(jù)元素的管理上，為了在現(xiàn)有系統(tǒng)上方便對所有頁面上的數(shù)據(jù)項更好地管理，本系統(tǒng)在數(shù)據(jù)庫表中保存了數(shù)據(jù)項在頁面上的控件ID、數(shù)據(jù)屬性等信息。在安全性方面電子病歷需要滿足機密性、完整性與抗抵賴性，并且可以使其具有法律效益。系統(tǒng)的性能需求需要包括運行時間，系統(tǒng)的安全性，界面的友好性等。對于電子病歷而言，首先要確定系統(tǒng)的容量，確保有足夠的容量處理數(shù)據(jù)。其次要考慮到系統(tǒng)的響應(yīng)時間、處理時間以及高峰期間其允許偏離范圍。同時為提高系統(tǒng)的可靠性必須采用模塊化和結(jié)構(gòu)化設(shè)計以提高系統(tǒng)的容錯能力。最后要有適應(yīng)用戶特點的智能化人機交互界面，以便用戶能夠更加簡便地操作系統(tǒng)[2]。

1.3 系統(tǒng)E-R圖與表結(jié)構(gòu)設(shè)計

本系統(tǒng)的實體類型包括病歷、住院病歷擴展表、病人、醫(yī)生、科室、醫(yī)院。一份病歷擁有多份住院病歷擴展表，包括該住院期間的日常檢查、醫(yī)生查房結(jié)果等，除此之外，每個病歷實體包括該次就診得到的處方、診斷結(jié)果、化驗結(jié)果、影像結(jié)果等，完整記錄了病人的單次就診記錄。醫(yī)生、科室、醫(yī)院3個實體類型在數(shù)據(jù)庫中對應(yīng)醫(yī)生信息表；病人和住院病歷擴展表在數(shù)據(jù)庫中則分別對應(yīng)病人個人信息表和病人住院信息表[3]，系統(tǒng)E-R圖如圖4所示。

本系統(tǒng)主要有3個表，分別為用戶表（user）、病人病歷信息（patient_info）、病人基本信息（patient）。另外還有一些輔助基本信i管理的表如藥物表（Medicine）、西醫(yī)主訴表（West Description）等。其中的病歷信息我們使用病人身份號作為主鍵并與病人基本信息相關(guān)聯(lián)，在病歷信息表中存儲病人信息的XML文件路徑，為了確保安全性服務(wù)器存儲的文件當然也是被加密過的。用戶表則是對使用軟件的用戶進行管理，其中利用數(shù)字代表不同的權(quán)限。表中大部分基本元素是采用int型（自增量或手動增量），有效地節(jié)省了磁盤的存儲空間。

2 電子病歷安全性

2.1 電子病歷加密與解密本系統(tǒng)采取常用“數(shù)字信封”技術(shù)的方式同時在加密技術(shù)上選擇安全性比較高的高級加密標準（Advanced Encryption Standard，AES），加密方式。本文接下來將對如何利用加密方式保證電子病歷的安全進行討論。首先為了保證電子病歷信息的規(guī)范化以及便于后期的傳輸與管理，將電子病歷的相關(guān)信息以XML文檔的方式存儲，接著對XML文件進行加密。RSA加密算法在加密過程中首先對密鑰進行初始化，獲得跟處理密鑰相關(guān)的RSA公鑰和私鑰，使—抓蝴）用KeyPairGenerator類的工廠方法獲得生成RSA密鑰的算法，從中獲取密鑰對放在Map中以便使用。由客戶端使用對稱密鑰Key加密存儲電子病歷信息的XML文件，同時使用和服務(wù)器協(xié)商好的RSA公鑰通過base64解碼后加密該對稱密鑰Key，將這兩個數(shù)據(jù)項通過信道傳送給服務(wù)器。服務(wù)器接收到被加密處理過后的電子病歷信息之后，先用自己的RSA私鑰對對稱密鑰Key解密，再用該對稱密鑰Key解密已被加密的電子病歷文件。加密中首先使用SHA3-512HASH函數(shù)對電子病歷文件內(nèi)容求消息摘要，接著使用AES算法進行加密，密鑰長度為256 bits，使用OFB模式（Output Feedback）即輸出反饋模式：明文模式被隱藏；分組密碼的輸入是隨機的；用不同的IV，一個密鑰可以加密多個消息；明文很容易被控制竄改，任何對密文的改變都會直接影響明文；填充方案選擇了PKCS5Padding，明確定義了Block的大小是8位。解密首先定義對已被加密處理過的文件輸入流和對解密后的電子病歷的文件輸出流，對已被加密處理過的電子病歷文件的文件頭進行檢驗并進行解密。通過對電子病歷的加解密作為保障其安全性的第一步[4]。加解密流程如圖5所示。

2.2 多重數(shù)字簽名

為了保證電子病歷信息傳輸?shù)耐暾?、醫(yī)生的身份認證同時防止交易中的抵賴行為發(fā)生，本系統(tǒng)對電子病歷進行了多重數(shù)字簽名。簽名流程如圖6所示，其工作原理是首先醫(yī)師生成自簽名證書，根據(jù)相應(yīng)用使用的簽名算法生成密鑰對，并將其存在密鑰庫文件中，由客戶端對該醫(yī)生負責的電子病歷文件進行數(shù)字簽名，服務(wù)器進行驗證，來保證在傳輸途中電子病歷沒有被篡改。同時考慮到一份病歷可能需要多個

醫(yī)師進行審閱，同時醫(yī)師的等級有所不同，因此使用結(jié)構(gòu)化多重數(shù)字簽名對電子病歷進行簽名認證。在結(jié)構(gòu)化簽名方案中，不同用戶按照事先指定的簽名結(jié)構(gòu)進行簽名。密鑰庫作為存儲數(shù)字簽名及驗證的公鑰和私鑰的地方，是個受信任機構(gòu)。正式的數(shù)字簽名工作需要從密鑰庫文件中取出私鑰，首先用hash算法求取該電子病歷文件的消息摘要值，使用私鑰加密消息摘要值最后用加密的消息摘要值和源文件組成數(shù)字簽名文件。

驗證工作首先由服務(wù)器從密鑰庫文件中取出公鑰，用hash算法對已被數(shù)字簽名的電子病歷文件重新計算消息摘要，同時把加密后的消息摘要使用公鑰解密，把新生成的消息摘要和解密后的消息摘要進行比對，如果相同，則驗證通過，證明電子病歷未被篡改，反之，則驗證失敗，證明電子病歷被修改過[5]。

2.3 電子病歷權(quán)限管理

最后本文就電子病歷的權(quán)限進行了研究與討論?？紤]到醫(yī)院接觸病人病歷的人員較多，不同等級與不同科室之間的醫(yī)師對不同病人具有的權(quán)限也不同，所以對醫(yī)師的權(quán)限進行明確的劃分也是電子病歷系統(tǒng)的一個主要問題。首先對于不同等級的醫(yī)師而言，實習醫(yī)師對病歷進行的操作需要有主治醫(yī)師的簽名才可以完成，本身只具備讀權(quán)限。住院醫(yī)師對患者住院部分具有讀寫權(quán)限，同時可以對患者出院轉(zhuǎn)院等信息進行修改，對于其他信息包括主治意見等僅具有讀權(quán)限。主治醫(yī)生對于病人的基本病理情況、病情診斷等具有讀寫權(quán)限。最后的主任醫(yī)師對于病人的信息具有讀寫權(quán)限，同時可以對病人的病歷進行管理與整合。對于不同等級的醫(yī)師，在得到上一級醫(yī)師的簽名時才可以進行超過本身權(quán)限的操作，而其他不同科室的醫(yī)生如檢驗等只能針對自己科室的相關(guān)內(nèi)容對病歷進行錄入修改等。明確的權(quán)限保證了病歷能夠保證電子病歷的真實可靠，出現(xiàn)問題后可以根據(jù)權(quán)限追責，避免出現(xiàn)無人負責的醫(yī)療糾紛等問題。

3 結(jié)語

隨著當前時代的發(fā)展，數(shù)字化醫(yī)院已經(jīng)成為醫(yī)院發(fā)展的必由之路，而電子病歷系統(tǒng)的應(yīng)用是數(shù)字化醫(yī)院的標志之一，也是醫(yī)院實現(xiàn)現(xiàn)代化、智能化、科學化、規(guī)范化的管理的必然產(chǎn)物。而電子病歷的安全性問題也將越來越突出，本文通過實現(xiàn)對電子病歷存儲傳輸?shù)募用?，多重?shù)字簽名的驗證以及確定明確的權(quán)限等級來保證電子病歷的安全性，同時保障其法律效益。然而關(guān)于電子病歷的安全性還涉及很多其他方面，隨著技術(shù)的成熟，電子病歷系統(tǒng)將最終應(yīng)用于各大醫(yī)院并實現(xiàn)跨平臺的信息共享，為解決醫(yī)療糾紛和處理醫(yī)患關(guān)系提供巨大的幫助。

[參考文獻]

[1]CHRIS K，STEPHEN M.ASP.NET XML高級編程一C#篇[M].劉爽，譯北京：清華大學出版社，2003.

[2]徐迎曉.JAVA安全性編程實例[M].北京：清華大學出版社，2003.

[3]陳樂君，石銳，李初民.基于XML多重簽名的電子病歷安全機制[J].計算機科學，2007（12）：136-138.

[4]施陽，張海燕，戴德偉.基于JavaEE的畢業(yè)設(shè)計管理系統(tǒng)設(shè)計與實現(xiàn)[J].軟件導刊，2015（2）：86-88.

[5]王延青.電子病歷與醫(yī)院信息化管理[J].中國衛(wèi)生統(tǒng)計，2006（4）：381.