云密钥及移动签署管理系统在输血信息管理系统中的应用与思考*

钟丽娜，郑新波，莫建坤△，罗志恒，陈 波，易 哲，黄 龙，朱伟杰，冯剑锋，罗焕泉

1.广东省第二人民医院输血科,广东广州 510310；2.广东迈科医学科技股份有限公司，广东广州 510320

随着近几年移动互联网的发展，结合智能手机、5G网络的普及，移动技术在医院输血信息管理系统中的应用越来越广泛。在网络型用血安全数字化、无纸化管理系统的建立及应用过程中发现，输血科(血库)一个人值班时，需要在不同的实验室对输血信息管理系统进行操作，使用硬件型的优盾进行数字签名认证时，则需要在不同的操作电脑间对优盾进行频繁拔插，实属不便；再者如何将临床取血人的证书签证机关(CA)签名信息嵌入到输血科(血库)输血信息管理系统的发血单据上也是需要考虑的关键问题[1-3]。本文依据《临床输血技术规范》《医疗机构临床用血管理办法》《卫生系统电子认证服务管理办法(试行)》及相关标准规范要求，采用双轨制，即按照《临床输血技术规范》要求完成用血安全工作的同时，拟在广东省第二人民医院输血信息管理系统上开展使用云密钥管理系统，并且使用移动签署管理系统在平板电脑上实现电子签章数字认证，确保输血信息管理系统运行的用血安全数字化、无纸化、数据和档案真实可信且合法有效[4-5]。

1 材料与方法

1.1云密钥管理系统

1.1.1总体技术方案 根据《电子签名法》相关要求，以及中华人民共和国国家卫生健康委员会关于医疗卫生系统的相关政策要求和技术要求，搭建符合法律法规要求的电子认证服务体系，体系分为两大部分：数字证书服务体系和安全应用支撑体系，其中数字证书服务体系负责审核医护人员的真实身份，同时为其签发数字证书；安全应用支撑体系负责将数字证书认证和医疗卫生系统进行集成，形成完整、可靠、符合法律、符合政策规范的卫生系统电子认证。

云密钥管理系统使用非实物介质证书，避免出现证书的携带及保管问题，支持基于手机的强身份认证，认证方式采用数字证书，移动终端支持直接调用云端密钥，实现移动终端的可靠身份认证和电子签名；支持对应用数据或文件提供数字签名操作，支持业务端、用户端、云认证签名服务系统协同完成，并且需要用户确认；采用密钥管理云服务，支持密钥由移动终端和云认证服务协商产生。提供密钥生成、存储、销毁的云服务。云密钥管理系统整体架构见图1。

1.1.2云密钥用户认证与数据签名 医院云密钥使用个人身份识别码(PIN)+设备绑定的模式，医院管理部门提交医护人员资料(工号、姓名、身份证、手机号码等)和纸质申请备案，供监管部门审查，CA后台批量审核签发数字证书，短信发送初始密码；医护人员安装云密钥APP，初次登录输入工号和初始密码，通过短信验证码绑定到备案的手机号码，完成设备绑定，绑定后可实现扫码签名。

输血科工作人员登录医院输血信息管理系统，输血信息管理系统通过密钥安全管理系统调用身份认证模块进行身份校验，返回身份校验数据，中间件根据校验数据生成登录专用二维码；用户打开移动终端APP，扫描二维码，第1次签名或登录时需要输入PIN，提交签名给云密钥管理系统身份认证模块进行校验，校验完成后对提交医疗数据进行电子签名并加盖时间戳。

图1 云密钥管理系统整体架构

1.1.3数字签名与验证的关键步骤 见图2。(1)首先检查操作人员是否登录输血信息管理系统。(2)如果已经登录输血信息管理系统，则检查是否过了登录有效期，登录有效期可以由输血信息管理系统来设置。如果过了有效期则提示重新登录流程，没有过有效期则执行图2第1、2、3步骤。(3)操作人员完成数字签名操作。

图2 输血信息管理系统数字签名与验证的步骤

1.1.4云密钥安全管理与密钥生成过程[6-8](1)云密钥管理系统产生随机PIN。(2)使用国产SM3算法计算上一步产生的随机PIN的散列函数值。(3)使用国产KDF算法，利用上一步计算得到的HASH值作为输入，导出一个对称密钥k。(4)云密钥管理系统调用专用密码设备产生签名密钥密文cd1(专用密码设备使用内置密钥对签名密钥加密后的结果)。(5)云密钥管理系统使用(3)中产生的对称密钥k，使用国产SM4对称加密算法，再对上一步产生的签名密钥密文进行加密，得到双重加密的签名密钥密文cd2。(6)云密钥管理系统销毁(3)中产生的对称密钥。(7)云密钥管理系统存储签名密钥对双重加密后的密文cd2。

1.1.5密钥计算过程 (1)云密钥管理系统使用国产KDF算法，利用用户输入的PIN的HASH值作为输入，导出一个对称密钥k1。(2)使用上一步导出的对称密钥k1解密双重加密后的签名密钥密文cd2。(3)如果用户输入的PIN正确，则解密后能得到cd1，否则，解密失败。(4)云密钥管理系统调用专用密码设备提供的接口，将cd1和待签名的数据输入到专用密码设备中，得到正确的计算结果，即签名结果。

1.2移动签署管理系统

1.2.1移动签署管理系统网络拓扑 移动签署管理系统网络拓扑见图3。

1.2.2移动签署管理系统在输血信息管理系统上的应用 输血信息管理系统与移动签署管理系统进行对接，输血科操作人员在输血信息管理系统上用云密钥管理系统对发血单据进行数字签名，然后将该单据发送到移动签署管理系统，临床取血医护人员在平板电脑上用手写笔对发血单据进行签名确认，实现了发血单据签署流程的无纸化。

图3 移动签署管理系统网络拓扑

2 结 果

2.1在操作输血信息管理系统电脑终端时，插入CA输血信息管理系统可全程实时记录操作员动作，可确保输血信息管理系统中输血相容性各种实验报告、电子数据、档案等的安全性和合法性。

2.2在应用输血信息管理系统时，登录云密钥管理系统实现实时电子签名，解决了输血科工作人员操作输血信息管理系统时需要携带硬件电子签章的不便、在网络型输血信息管理系统不同终端电脑操作时需要反复拔插CA的问题，提高了电子签名的方便性、可操作性、安全性和合法性。

2.3通过使用CA签名平板，实现医务人员取血签名合法化、规范化问题。广东省第二人民医院对用血安全输血相容性相关电子报告、档案实现了规范化、标准化管理，工作流程得到了充分优化，减少了用血安全中信息数据实验报告和档案的各种缺项。

3 讨 论

随着科学技术，特别是信息化技术的发展，输血信息化、无纸化管理是用血安全管理的重要课题和必然发展趋势。根据现行《临床输血技术规范》要求，本科室尝试建立临床用血安全资料、档案纸质与数字化、无纸化“双轨制”保存管理方法：按照传统方法手工签署和保存输血相容性相关资料和实验报告，同时根据中国合格评定国家认可委员会ISO15189:2012、纸质档案数字化规范(DA/T31-2017)、电子文档归档与电子档案管理规范、中华人民共和国档案法、无纸化病案的实施与改进的说明[9-12]，开展在输血信息管理系统建立云密钥和CA签名平板电子认证[13]。

输血科工作人员操作输血信息管理系统时，插入工作人员的CA签名操作输血信息管理系统，输血信息管理系统可实时记录操作人员各种动作，可确保输血信息管理系统中的电子数据、档案的安全性和合法性，但是在网络型输血信息管理系统的不同电脑终端操作时必须拔插操作人员的CA签名到正在操作的电脑终端上，这样才能确保操作人员操作实时有效。在登录输血信息管理系统时登录云密钥管理系统，这样就可以解决输血科操作人员在网络型输血信息管理系统的不同电脑终端操作电子签名问题，不存在需要操作人员再登录问题，一次登录云密钥管理系统就可全程实时监控、实现操作人员的电子签名真实可靠，并且具有法律效力。

临床取血医护人员在输血科发血单据上必须签名是临床输血技术规范要求的。本科室曾考虑临床发血时直接使用取血人员个人的CA签名解决取血者的电子签名合法性问题，但综合考虑后使用CA移动签署管理系统并将之嵌合到输血信息管理系统中更为科学合理，它可以很好地解决不同取血人员需要携带CA签名、忘记携带或故障等原因影响电子签名问题。使用CA移动签署平板电子认证，使用优盾在输血信息管理系统中进行电子签名操作，解决了取血者在输血信息管理系统上的电子签名合法性问题。

将云密钥、移动签署管理系统嵌合到输血信息管理系统上，输血科工作人员登录输血信息管理系统时插入操作人员的CA签名或登录云密钥管理系统，当输血科发血时请临床取血者在移动签署平板上进行电子签名，实现了在用血安全全程电子化、无纸化办公的同时，又保证了电子数据的安全性和合法性；在提高医护人员工作效率及电子数据安全保护的同时，又减少了因优盾忘记携带或故障等原因影响医疗业务正常进行的需求,同时在登陆系统的时候,增加如微信扫码、指纹识别等身份验证方式，提高了安全级别。

通过云密钥及移动签署管理系统在输血信息管理系统中的应用，有效解决了电子签名的真实性与唯一性，为电子签名提供了一种有效、安全、合法的方式。