2信息技術基礎_電子簽名

1、網絡技術教研室,新課引入,如何確認紙質病歷書寫者和所屬單位？紙質病歷修改后，如何確認修改者？復印紙質病歷時，如何確認身份？全面使用電子病歷和健康檔案后，如何解決以上問題？如何保證電子醫(yī)療文書的法律效力、不可否認、不被篡改？,網絡技術教研室,醫(yī)療機構法律相關問題,《最高人民法院關于民事訴訟證據的若干規(guī)定》，明確“由醫(yī)療機構就醫(yī)療行為與損害結果之間不存在因果關系及不存在醫(yī)療過錯承擔舉證責任”。 《中華人民共和國民事訴訟法》規(guī)定“書證

2、應當提交原件”。,網絡技術教研室,醫(yī)療機構法律相關問題,2010年7月1日起實施《中華人民共和國侵權責任法》,規(guī)定"根據法律規(guī)定推定行為人有過錯,行為人不能證明自己沒有過錯的,應當承擔侵權責任.偽造篡改或銷毀病歷,推定醫(yī)療機構有過錯."由于電子病歷具有易偽造、易篡改和易銷毀的脆弱性，在醫(yī)患糾紛案件舉證時，如果醫(yī)療機構不能證明舉證的電子病歷是未被偽造或篡改的原件，普通的電子病歷得不到法院的支持，容易被醫(yī)患雙方否認和抵

3、賴。,網絡技術教研室,醫(yī)療機構法律相關問題,基于以上情況，電子病歷具有法律效力的關鍵要素是通過技術手段，確定什么內容、什么時間、由誰完成，從而使診療數據具有醫(yī)患雙方都不可否認和抵賴的特性。2005年4月1日起施行的《中華人民共和國電子簽名法》明確“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”。,網絡技術教研室,電子簽名技術,HospitalInformationSystem,基本概念數字簽名的技術實現衛(wèi)生系統(tǒng)數字證書應用集

4、成規(guī)范數字證書服務管理平臺接入規(guī)范,網絡技術教研室,對稱密鑰算法,加密和解密使用相同的密鑰，常用的是DES算法。,網絡技術教研室,非對稱密鑰算法,非對稱密碼算法：加密與解密使用不同的密鑰，即個人持有的私鑰和可公開的公鑰,網絡技術教研室,直接對原文數字簽名,不足：原文數據位數多，加密運算耗時長,網絡技術教研室,哈希運算及數字摘要,264bit以內的原文經hash運算，都可生成160bit的數字摘要，因此可提高加密速度。文件內容不同，其

5、哈希運算值也不同。,網絡技術教研室,哈希運算后的數字簽名,網絡技術教研室,衛(wèi)生系統(tǒng)電子認證服務,電子認證服務機構按照衛(wèi)生系統(tǒng)電子認證服務體系相關技術標準和服務規(guī)范，為使用方提供數字證書的頒發(fā)、更新、吊銷、密碼解鎖、密鑰恢復以及證書應用等服務，從而滿足衛(wèi)生信息系統(tǒng)在身份認證、授權管理、責任認定等方面的信息安全需求。,網絡技術教研室,衛(wèi)生系統(tǒng)電子認證服務體系系列規(guī)范,1衛(wèi)生系統(tǒng)電子認證服務規(guī)范2衛(wèi)生系統(tǒng)數字證書應用集成規(guī)范3衛(wèi)生系統(tǒng)數字

6、證書格式規(guī)范4衛(wèi)生系統(tǒng)數字證書介質技術規(guī)范5衛(wèi)生系統(tǒng)數字證書服務管理平臺接入規(guī)范,網絡技術教研室,什么是電子簽名,在傳統(tǒng)商務活動中，一份書面合同要由當事人簽字和蓋章，以保證簽字人或蓋章方認可合同的內容，具有法律效力。在電子商務活動中，合同或文件以電子文件的形式表現和傳遞。電子簽名用于識別雙方交易人的真實身份，保證真實性和不可抵賴性，起到與手寫簽名同等效力。,網絡技術教研室,什么是電子簽名,網絡技術教研室,什么是電子簽名,網絡技術教

7、研室,中華人民共和國電子簽名法,本法所稱電子簽名，是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。本法所稱數據電文，是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息，即電子病歷或電子合同。,網絡技術教研室,什么是數字簽名,電子簽名法中提到的簽名一般是指數字簽名，它是目前比較成熟和普遍使用的電子簽名技術。 利用一套規(guī)則和一個參數對數據計算所得的結果，以此能夠確認簽名者的身份和數據的完整

8、性。,網絡技術教研室,什么是PKI,PKI是Public Key Infrastructure的縮寫,即公鑰基礎設施.PKI的核心執(zhí)行機構是電子認證服務提供者，即CA（Certificate Authority）PKI的核心元素是CA簽發(fā)的數字證書。PKI服務主要提供數據完整性、數據保密性和不可否認性認證。,網絡技術教研室,認證機構CA,認證機構是PKI的核心執(zhí)行機構,是具有權威性、可信任性和公正性的第三方機構。 認證機構CA的

9、建設要根據國家市場準入政策由國家主管部門批準，具有權威性；認證機構CA采用的密碼算法及技術保障是高度安全的，具有可信任性; 認證機構CA是不參與交易雙方利益的第三方機構，具有公正性。,網絡技術教研室,認證機構CA的組成,網絡技術教研室,數字證書及其結構,數字證書是PKI的核心元素，由權威的CA進行數字簽名的，包含擁有者信息、擁有者公開密鑰、簽發(fā)者信息、有效期以及一些擴展信息的數字文件。,網絡技術教研室,數字證書基本域,網絡技術教研室

10、,衛(wèi)生系統(tǒng)數字證書擴展域,實體唯一標識擴展域1@1001SF0342222197205053618,網絡技術教研室,CA對基本證書域簽名,表明CA對其所簽發(fā)證書內容的完整性、準確性負責，并證明該證書的合法性和有效性，將網上身份與證書綁定。,網絡技術教研室,數字證書介質,證書介質是指能夠執(zhí)行密碼運算，能夠生成公鑰和私鑰密鑰對、存儲密鑰、證書和其它安全敏感信息的設備，如智能IC卡及智能密碼鑰匙 (即UsbKey)?，F行PKI一般為雙證書

11、機制，一個是加密證書，另一個是簽名證書。,,網絡技術教研室,電子簽名技術,HospitalInformationSystem,基本概念數字簽名的技術實現衛(wèi)生系統(tǒng)數字證書應用集成規(guī)范數字證書服務管理平臺接入規(guī)范,網絡技術教研室,數字簽名技術實現過程,首先要在網上進行身份認證然后再進行簽名最后是對簽名的驗證。,網絡技術教研室,認證,PKI提供的服務首先是認證，即身份識別與鑒別。認證的前提是甲乙雙方都具有第三方CA所簽發(fā)的證書.,網

12、絡技術教研室,數字證書登錄認證示意圖,,網絡技術教研室,數字簽名與驗證過程,網上通信的雙方，在互相認證身份之后，即可發(fā)送簽名的數據電文。數字簽名的全過程分兩大部分，即簽名與驗證。,網絡技術教研室,數字簽名的操作過程,網絡技術教研室,數字簽名的驗證過程,網絡技術教研室,原文保密的數字簽名的實現方法,網絡技術教研室,數字簽名的作用,如果接收方對發(fā)方數字簽名驗證成功，就可以說明以下三個實質性的問題： 該電子文件確實是由簽名者的發(fā)方所發(fā)出的，

13、電子文件來源于該發(fā)送者。因為，簽署時電子簽名數據由電子簽名人所控制。 被簽名的電子文件確實是經發(fā)方簽名后發(fā)送的，說明發(fā)方用了自己的私鑰做的簽名，并得到驗證，達到不可否認的目的。 接收方收到的電子文件在傳輸中沒有被篡改，保持了數據的完整性，因為，簽署后對電子簽名的任何改動都能夠被發(fā)現。,網絡技術教研室,電子簽名技術,HospitalInformationSystem,基本概念數字簽名的技術實現衛(wèi)生系統(tǒng)數字證書應用集成規(guī)范數字證書

14、服務管理平臺接入規(guī)范,網絡技術教研室,衛(wèi)生系統(tǒng)電子認證服務證書分類及產品,內部機構證書代表衛(wèi)生機構的身份內部工作人員證書代表個人的身份內部設備證書外部機構證書、外部個人證書外部設備證書證書產品應包括證書介質、證書初始保護口令、證書使用說明書以及證書管理工具等。,網絡技術教研室,衛(wèi)生系統(tǒng)電子認證服務模式,集中服務模式 分級服務模式認證機構直接服務模式,網絡技術教研室,衛(wèi)生系統(tǒng)電子認證服務內容,證書業(yè)務服務是指電子認證服務機構

15、為衛(wèi)生系統(tǒng)用戶提供的證書申請、發(fā)放、更新、吊銷、解鎖、密鑰恢復、證書查詢等證書業(yè)務辦理服務。技術支持服務是指電子認證服務機構在用戶使用證書過程中，提供的各種方式的咨詢、培訓、應急等服務內容。,網絡技術教研室,衛(wèi)生系統(tǒng)數字證書應用集成目標,在衛(wèi)生信息系統(tǒng)普遍使用的用戶名/口令認證方式基礎上，建立基于數字證書的身份認證機制，確保系統(tǒng)訪問控制高安全性和高可靠性；對衛(wèi)生信息系統(tǒng)的重要操作環(huán)節(jié)和重要數據實現基于數字證書的數字簽名功能，保護數據

16、的完整性，并為后期糾紛處理及責任認定提供合法電子證據；對衛(wèi)生信息系統(tǒng)的敏感信息實現基于數字證書的數據加密功能，確保敏感信息在傳輸和存儲階段的安全性。,網絡技術教研室,衛(wèi)生系統(tǒng)數字證書應用集成要求,衛(wèi)生信息系統(tǒng)在集成數字證書的安全功能時，首先應實現基于數字證書的身份認證功能；對有操作行為責任認定、證據保存需求的衛(wèi)生信息系統(tǒng)，應實現基于數字證書的數字簽名的功能；對于具有數據加密和解密需求的衛(wèi)生信息系統(tǒng)，應實現基于數字證書的信息加密、信

17、息解密功能；對有可信時間需求的系統(tǒng)，應集成時間戳功能；對于具有信息共享需求的多個應用系統(tǒng)，可采用統(tǒng)一的身份認證模式，實現統(tǒng)一的身份認證管理、用戶信息共享和單點登錄等功能。,網絡技術教研室,證書應用綜合服務接口,供應用系統(tǒng)直接調用的高級證書應用接口，分成客戶端接口和服務器端接口?？蛻舳私涌诠孟到y(tǒng)客戶端調用，包括DLL動態(tài)庫、ActiveX控件、Applet插件等多種產品形態(tài)，支持B/S和C/S應用系統(tǒng)。 服務器端接口供應用系統(tǒng)

18、服務器端調用，包括COM組件、JAVA組件等多種形態(tài) 。,網絡技術教研室,簽名驗證示意圖,,,網絡技術教研室,電子簽名技術,HospitalInformationSystem,基本概念數字簽名的技術實現衛(wèi)生系統(tǒng)數字證書應用集成規(guī)范數字證書服務管理平臺接入規(guī)范,網絡技術教研室,醫(yī)療衛(wèi)生行業(yè)使用電子簽名注意事項,USBKEY保存持有人數字證書和私鑰,用于簽名或加密后,由持有人承擔責任.因此,不要為了方便就借給他人使用.保管好PIN碼