1、ICS 3524080C 07 酋闺中华人民共和国国家标准化指导性技术文件GBZ 2171612008健康信息学 公钥基础设施(PKI)第1部分:数字证书服务综述Health informatics-Public Key Infrastructure(PKI)Part 1:Overview of digital certificate services2008-04-1 1发布丰瞀辫紫瓣訾雠赞星发布中国国家标准化管理委员会仪19目 次前言引言1范围2规范性引用文件3术语和定义-31医疗保健语境术语32安全服务术语33公钥基础设施相关术语4缩略语5医疗保健语境-51医疗保健证书持有方和可依赖方5
2、2参与者示例53医疗保健数字证书的适用性6医疗保健应用中的安全服务需求61医疗保健特征-62卫生领域中的数字证书技术需求-63分离加密和鉴别-64医疗保健数字证书安全管理框架-65医疗保健数字证书发行和使用的策略需求-7公钥密码算法71对称密码算法与非对称密码算法72数字证书一73数字签名74保护私钥8配置数字证书81 必备组件-82使用资质证书建立标识83使用身份证书建立专业和角色84使用属性证书进行授权和访问控制9互操作性要求91概述92配置跨辖区的医疗保健数字证书的选项93选项的用法附录A(资料性附录)使用医疗保健数字证书的剧本A1简介A2剧本说明A3医疗保健剧本中的服务示例A4剧本描述
3、GBZ 217161200800,880omm加u”地地他他MMM:2”Mn博均GBZ 2171612008A41急救部门对记录的访问“19A42临时服务(急救援助)一19A43成员登记19A44远程影像一20A45自动发给医生的结果报告20A46带有医生消息的结果报告20A47医患问讨论治疗方案z1A48患者护理注册总结21A49患者向药荆师咨询z2A410不针对具体诊断的医患间的消息交流22A411远程访问临床信息系统22A412急救访问-z3A413远程转录-23A414电子处方23A415鉴别医生医嘱23A416医疗保健数字签名的潜在应用24参考文献26刖 昌GBZ 217161200
4、8GBZ 21716(健康信息学公钥基础设施(PKI)分为3个部分:第l部分:数字证书服务综述;第2部分:证书轮廓;第3部分:认证机构的策略管理。本部分为GBZ 21716的第1部分。本部分是参照ISO 170901(DIs)健康信息学公钥基础设施(PKI)第1部分:数字证书服务综述而制定的。本部分对ISO 170901(DIS)中的一些错误地方进行了改正,具体如下:原文在324中的注中指出要参见“数据原发鉴别”和“对等实体鉴别”,但是在原文中没有出现“对等实体鉴别”这个术语,因此本部分在3228中增加了术语“对等实体鉴别”。原文在53的最后一段中指出“使用数字证书的剧本详见附录B。”但是本部
5、分没有附录B,根据上下文内容判断应改为“使用数字证书的剧本详见附录A。”原文在83的第三段的最后一句话中指出“在这些情况中,按照IETFRFC 3281和本指导性技术文件第2部分的633的第5条以及715的规定,”,但是第2部分没有715,根据上下文内容判断应改为“在这些情况中,按照IETFRFC 3281和本指导性技术文件第2部分的633的第5条以及725的规定,”,原文在83的第六段的最后一句话中指出“因此,在本指导性技术文件第2部分的41中对PKC身份证书类型给出了称为HCRole的扩展。”但是根据上下文内容判断应改为“因此,在本指导性技术文件第2部分的51中对PKC身份证书类型给出了称
6、为HCRole的扩展。”在原文中,参考文献3、8、9、17、18、20、21、2330并没有标出引用位置,因此根据专家意见将其删除。本部分的附录A为资料性附录。本部分由中国标准化研究院提出。本部分由中国标准化研究院归口。本部分起草单位:中国标准化研究院,中国人民解放军总医院,中国人民武装警察部队指挥学院。本部分主要起草人:任冠华、陈煌、董连续、刘碧松、尹岭、韵力宇。GBZ 2171612008引 言为了降低费用和成本,卫生行业正面临着从纸质处理向自动化电子处理转变的挑战。新的医疗保健模式增加了对专业医疗保健提供者之间和突破传统机构界限来共享患者信息的需求。一般来说,每个公民的健康信息都可以通过
7、电子邮件、远程数据库访问、电子数据交换以及其他应用来进行交换。互联网提供了经济且便于访问的信息交换方式,但它也是一个不安全的媒介,这就要求采取一定的措施来保护信息的私密性和保密性。未经授权的访问,无论是有意的还是无意的,都会增加对健康信息安全的威胁。医疗保健系统有必要使用可靠信息安全服务来降低未经授权访问的风险。卫生行业如何以一种经济实用的方式来对互联网中传输的数据进行适当的保护?针对这个问题,目前人们正在尝试利用公钥基础设施(PKI)和数字证书技术来应对这一挑战。正确配置数字证书要求将技术、策略和管理过程绑定在一起,利用“公钥密码算法”来保护信息,利用“证书”来确认个人或实体的身份,从而实现
8、在不安全的环境中对敏感数据的安全交换。在卫生领域中,这种技术使用鉴别、加密和数字签名等方法来保证对个人健康记录的安全访问和传输,以满足临床和管理方面的需要。通过数字证书配置所提供的服务(包括加密、信息完整性和数字签名)能够解决很多安全问题。为此,世界上许多组织已经开始使用数字证书。比较典型的一种情况就是将数字证书与一个公认的信息安全标准联合使用。如果在不同组织或不同辖区之问(如为同一个患者提供服务的医院和社区医生之间)需要交换健康信息,则数字证书技术及其支撑策略、程序、操作的互操作性是最重要的。实现不同数字证书实施之间的互操作性需要建立一个信任框架。在这个框架下,负责保护个人信息权利的各方要依
9、赖于具体的策略和操作,甚至还要依赖于由其他已有机构发行的数字证书的有效性。许多国家正在采用数字证书来支持国内的安全通信。如果标准的制定活动仅仅局限于国家内部,则不同国家之间的认证机构(cA)和注册机构(RA)在策略和程序上将产生不一致甚至矛盾的地方。数字证书有很多方面并不专门用于医疗保健,它们目前仍处于发展阶段。此外,一些重要的标准化工作以及立法支持工作也正在进行当中。另一方面,很多国家的医疗保健提供者正在使用或准备使用数字证书。因此,本指导性技术文件的目的是为这些迅速发展的国际应用提供指导。本指导性技术文件描述了一般性技术、操作以及策略方面的需求,以便能够使用数字证书来保护健康信息在领域内部
10、、不同领域之间以及不同辖区之间进行交换。本指导性技术文件的最终目的是要建立一个能够实现全球互操作的平台。本指导性技术文件主要支持使用数字证书的跨国通信,但也为配置国家性或区域性的医疗保健数字证书提供指导。互联网作为传输媒介正越来越多地被用于在医疗保健组织间传递健康数据,它也是实现跨国通信的唯一选择。本指导性技术文件的三个部分作为一个整体定义了在卫生行业中如何使用数字证书提供安全服务,包括鉴别、保密性、数据完整性以及支持数字签名质量的技术能力。本指导性技术文件第1部分规定了卫生领域中使用数字证书的基本概念,并给出了使用数字证书进行健康信息安全通信所需的互操作方案。本指导性技术文件第2部分给出了基
11、于国际标准X509的数字证书的健康专用轮廓以及用于不同证书类型的IETFRFC 3280中规定的医疗保健轮廓。本指导性技术文件第3部分用于解决与实施和使用医疗保健数字证书相关的管理问题,规定了证书策略(cP)的结构和最低要求以及关联认证操作声明的结构。该部分以IETFRFC 3647的相关建议为基础,确定了在健康信息跨国通信的安全策略中所需的原则,还规定了健康方面所需的最低级别的安全性。IV健康信息学公钥基础设施(PKI)第1部分:数字证书服务综述GBZ 21716120081范围本部分定义了医疗保健数字证书的基本概念,给出了使用数字证书进行健康信息安全通信所需的互操作方案。本部分还给出了进行
12、健康信息通信的主要利益相关方以及使用数字证书进行健康信息通信所需的主要安全服务。本部分简述了配置医疗保健数字证书所需的公钥密码算法和基本构件,并进一步介绍了不同类型的数字证书(包括标识证书、用于可依赖方的关联属性证书、自签名认证机构(cA)证书)以及CA等级体系与桥接结构。本部分适用于健康信息安全人员、专门从事健康信息应用软件的设计者和开发者的使用。2规范性引用文件下列文件中的条款通过GBZ 21716的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不
13、注日期的引用文件,其最新版本适用于本部分。GBZ 217162 2008健康信息学公钥基础设tif(PKI) 第2部分:证书轮廓GBZ 217163 2008健康信息学公钥基础设施(PKl)第3部分:认证机构的策略管理3术语和定义下列术语和定义适用于本部分。 31 医疗保健语境术语311应用application作为私有加密密钥持有方的、可标识的计算机运行软件程序。注1:在本语境中,应用可以是医疗保健信息系统中使用的任一软件程序。它也包括那些在治疗或诊断中不直接使用的应用。注2:在一定管辖范围内。可以包括正规医疗设备软件程序。312设备device作为私有加密密钥持有方的、可标识的计算机控制仪
14、器或器械。注1:设备包括能够满足上述定义的正规医疗设备。注2:在本语境中,设备指健康信息系统中使用的任一设备。它也包括那些在治疗或诊断中不直接使用的设备。313医疗保健参与者healthcare actor参与与健康相关的通信并对安全服务所用数字证书有需求的正规健康专业人员、非正规健康专业人员、受委托医疗保健提供者、支持组织雇员、患者消费者、医疗保健组织、设备或应用。1GBZ 2171612008314医疗保健组织healthcare organization主要行为与健康服务或健康促进相关的官方注册组织。示例:医院、医疗保健网站提供者和医疗保健研究院所。注1:一般认为,医疗保健组织对其行为负
15、有法律责任,但是不需要在卫生领域中注册具体的角色。注2:按X501所述组织内部的一个部门称为一个组织单元。315非正规健康专业人员non-regulated health professional由医疗保健组织雇佣的、但不是正规健康专业人员的个人。示例:负责安排预约的医疗接待员或帮助进行患者护理的护工。注:当然即使雇员没有被独立于雇主的组织对其专业能力进行的权威认定,也并不意味着这些雇员在提供服务方面是不专业的。316患者patient消费者consumer健康相关服务的接受者和健康信息系统中的参与者。317隐私权privacy防止因不正当或非法收集和使用个人数据而对个人的私生活或私事进行侵犯
16、。GBT 52718一一2001318正规健康专业人员regulated health professional由国家认证组织授权其具有提供特定健康服务资格的个人。示例:内科医生、注册护士和药剂师。注l:在不同的国家针对不同的专业,注册或授权组织的类型是不同的。国家认证组织包括本地或区域政府机构、独立的专业协会和其他正式的国家公证处。它们的领域可能相互独立,也可能存在着交叉。注2:在本定义中,国家认证组织并不一定是指国家控制的专业注册系统,它应是为了便于国际交流而建立的一个公认的健康专业注册组织的全国性目录。319受委托医疗保健提供者sponsored healthcare provider在
17、其操作范围内并不是一个健康专业人员、但由医疗保健组织支持并在社区中开展活动的健康服务提供者。示例:负责特殊群体中毒品和酒精教育的工作官员发展中国家的健康援助人员。3110支持组织supporting organization向医疗保健组织提供服务的经过官方注册的组织,但它不提供健康服务。示例:健康基金组织(如保险机构、药品和其他物品的供应商)。3111支持组织雇员supporting organization employee医疗保健组织或支持组织雇佣的个人。示例:病历打字员、医疗保险索赔裁决人和药品订单登记办事员。32安全服务术语321访问控制 access control一种保证手段,即数
18、据处理系统的资源只能由被授权实体按授权方式进行访问。GBT 52718 20012GBZ 2171612008322可确认性accountability可核查性这样一种性质,它确保对一个实体的操作可以唯一地追踪到该实体。GBT 93872 1995323非对称密码算法asymmetric cryptographic algorithm在执行加密或与之相应的解密中用于加密和解密的密钥是不相同的算法。GBT 1879412002324鉴别 authentication通过将标识符与其鉴别码进行安全关联来可靠识别安全主体的过程。注:也可参_5已“数据原发鉴别”和“对等实体鉴别”。325授权autho
19、rization授予权限,包括允许基于访问权的访问。GBT 93872 1995326可用性availability根据授权实体的请求可被访问与使用。EOBT 93872 1995327密文 ciphertext经加密处理而产生的数据,其语义内容是不可用的。GBT 93872 1995328保密性confidentiality机密性这一性质使信息不泄漏给非授权的个人、实体或进程,不为其所用。GBT 93872 1995329密码学cryptography这门学科包含了对数据进行变换的原理、手段和方法,其目的是掩藏数据的内容,防止对它作了篡改而不被识破或非授权使用。GBT 93872-19953
20、210密码算法cryptographic algorithm加密算法密码cipher一种数据传输方法,用于隐藏其信息内容,防止被漏检修改和或未经授权的使用。3211数据完整性data integrity这一性质表明数据没有遭受以非授权方式所作的篡改或破坏。GBT 93872 19953GeZ 21716120083212数据原发鉴别data origin authentication确认接受到的数据的来源是所要求的。GBT 9387219953213解密decipherment解密处理decryption从密文中获取对应的原始数据的过程。GBT 52718 2001注:可将密文再次加密,这种情
21、况下单次解密不会产生原始明文。3214数字签名digital signature附加在数据单元上的一些数据,或是对数据单元所作的密码变换(见329),这种数据或变换使数据单元的接受者能够确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。GBT 93872 19953215加密encipherment加密处理encryption对数据进行密码变换(见329)以产生密文。GBT 93872 19953216标识identification以使数据处理系统能够识别实体的测试性能。3217标识符identifier在用相应的鉴别码进行进一步确认之前,用于说明身份的信息片段
22、。rENV 1360813218完整性integrity证明在传输过程中没有以任何方式对消息内容进行有意或偶然的改变。GBT 93872 19953219密钥key控制加密和解密操作的一序列符号。GBT 93872 19953220密钥管理key management在一种安全策略指导下密钥的产生、存储、分配、删除、归档及应用。GBT 93872一19953221抗抵赖non-repudiation提供可被任一方验证的数据完整性和来源(都是不可更改的)证据的服务。ASTM,194GBZ 21716卜一20083222私有密钥private key私钥在非对称密码算法中使用的并且其拥有者是受限制
23、(通常只能由一个实体拥有)的密钥。GBT 18794120023。223公共密钥public key公钥在非对称密码算法中使用的并且可以被公开的密钥。GBT 18794120023224角色role与一项任务相关的行为集合。3225安全性security可用性、保密性、完整性和可确认性的组合。ENV 1360813226安全策略security policy为保障计算机安全所采取的行动计划或方针。GBT 52718 200132,27安全服务secarity service由参与通信的开放系统的层所提供的服务,它确保该系统或数据传送具有足够的安全性。GBT 93872 19953228对等实体
24、鉴别peerentity authentication确认有关的对等实体是所需的实体。GBT 93872 199533公钥基础设施相关术语331置性机构attribute authority;AA通过发布属性证书来分配权限的机构。332属性证书attribute certificate由属性机构进行数字签名的数据结构,它将某些属性值与其持有者的标识绑定在一起。333授权机构证书authority certificate发给认证机构或属性机构的证书。334证书 certificate公钥证书。GBZ 2171612008335证书分发certificate distribution向安全主体发布
25、和传输证书的行为。336证书扩展certificate extensionX509证书的扩展域(简称为扩展),提供了将附加属性与用户或公钥关联起来和进行证书层次结构管理的方法。注:证书扩展可以是必要的(即如果使用证书的系统遇到一个不能识别的必要扩展时,则必须拒绝该证书。),也可以是非必要的(即如果使用证书的系统不能识别扩展,则可以将其忽略)。337证书生成certificate generation创建证书的行为。338证书管理certificate management与证书相关的程序,即证书生成、证书分发、证书归档和撤销。339证书轮廓certificate profile关于证书类型的结
26、构和许可内容的规定。3310证书撤销certificate revocation即使证书没有过期,但由于证书不再可信,导致对证书与其持有方(或安全主体持有者)之间所有可靠链接进行删除的行为。3311证书持有方certificate holder有效证书主体的实体。3312证书验证certificate verification验证证书是否可信。3313认证 certification第三方作出保证数据处理系统的全部或部分符合安全要求的过程。GBT 52718 20013314认证机构certification authority;CA证书机构证书认证机构证书发行方certificate iss
27、uer负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。注1:术语“CA”中的机构并不特指政府机构,它只是说明该机构是可信任的。注2:“证书发行方”可能是一个更合适的术语,但广泛使用的是“CA”。GBT 162648 20056GBZ 21716120083315证书策略certificate policy;:CP指定的一组规则,用于指出证书对具有通用安全需求的特定应用组和或类的适用性。IETFRFC 36473316认证操作声明certification practices statement;CPS认证机构在发行证书方面的操作声明。EIETFRFC 36473317
28、公钥证书public key certificate;PKC将身份与公钥绑定的X509公钥证书。在客户端证明它拥有PKC中公钥对应的私钥后,可以使用身份来支持基于身份的访问控制决策。rIETFRFc 328033318公钥基础设施public key infrastructure;PKI在密钥持有方和可依赖方二者的关系中使用的基础设施。它允许可依赖方将与密钥持有方相关的证书用于一个以上的应用,其中该应用使用依赖于公钥的安全服务。PKI包括认证机构、证书数据结构、可依赖方获得证书撤销状态的当前信息的方法、认证策略和验证认证操作的方法。3319资质证书qualified certificate主要
29、目的是在公共抗抵赖服务中标识某人具有高级担保的证书。注:决定一个证书是否应被认为是涉及法规的“资格证书”的有效机制不在本部分规定范围之内。3320注册机构registration authority;RA负责标识和鉴别证书主体的实体,但其不签名或发行证书(即RA受委托代表CA执行特定的任务)。EIETFRFC 36473321可依赖方relying party证书的接收方,它依靠证书和或通过该证书验证的数字签名进行活动。IETFRFC 36473322第三方third party数据发送方和数据接收方之外的另一参与方。它被要求实施通信协议部分的安全功能。3323可信第三方trusted thi
30、rd party;TTP对于安全协议而言被认为是可信第三方。注:本术语被用于许多ISOIEC国际标准和其他主要描述CA服务的文献中。然而,该定义是比较宽泛的,它包括诸如时戳和由第三方保存的契据之类的服务。ENV 1360814缩略语下列缩略语适用于本部分。7GBZ 2171612008AACACPCPSCRLECGEHRPKCPKIRATTP属性机构认证机构证书策略认证操作声明证书撤销列表心电图电子健康记录公钥证书公钥基础设施注册机构可信第三方5医疗保健语境51 医疗保健证书持有方和可依赖方为了便于描述数字证书需求,特对如下的参与者类别进行说明。但这并不意味着其他的类别和定义不适用于其他的语境
31、。此处关注的是健康通信中直接涉及并要求用于安全服务的PKI证书的医疗保健参与者。医疗保健参与者的定义见31。表1给出了医疗保健参与者类别。衰1 医疗保健参与者类别个人 正规健康专业人员非正规健康专业人员患者消费者受委托医疗保健提供者支持组织雇员组织 医疗保健组织支持组织其他实体 设备正规医疗服务应用除了上述参与者外,大规模配置数字证书要求CA和RA必须是整个系统的一部分,并且这些组织应根据自身的权限成为重要的证书持有者。一些医疗保健工作者与多个医疗保健组织有关。卫生行业中的一个基本要求就是通过一致性收费和证书多样性来避免重复或冗余注册。在医疗保健语境中,RA的职能是把参与者标识为一个有效的、执
32、行给定角色的健康专业人员,或把消费者标识为对其信息具有所有权的个人。对于医生工作的支持人员(医疗接待员、收费员、文件管理员等)也需要一种注册方法。这些个人与诸如国家、省市自治区卫生行政部门负责的医院之类的机构无关。52参与者示例521正规健康专业人员正规健康专业人员的例子如内科医生、牙医、注册护士和药剂师。不同的国家官方规定认可的健康专业分类不同。在将来的国际标准化工作,一项重要的任务是创建一个关于健康专业分类的全球映8一一一一一GBZ 2171612008射,但是对于本指导性技术文件的目的而言,需假设只有非常宽泛的分类才能被国际认可。在本指导性技术文件第2部分中提出的数据结构允许同时使用一种
33、宽泛的国际分类和一种更详细的、国家级或是地区级的分类,因为在某些国家,正规健康专业人员是由地方部门进行管理的。52。2非正规健康专业人员非正规健康专业人员是由医疗保健组织雇佣的、不是正规健康专业人员的个人,它包括医疗秘书、档案助理、抄录员(即根据口述录音记录的人)、收费员和助理护士等。对于本部分,安全服务证书中包括雇员与医疗保健组织之间的关系是很重要的。对于健康专业人员,数字证书结构中包括其与健康专业人员注册机构的关系很重要,但其与诸如医生之间可能的雇佣关系或从属关系也很重要。医疗保健雇员的角色或职业有许多类,本部分不提供分类方案。注:雇员没有就其专业能力向雇主之外的组织进行注册并不意味着雇员
34、在服务时不是专业人员。523患者消费者在大多数情况中,接受健康服务的个人称为患者,但在某些情形下,对于健康入而言,当考虑剜其与医疗保健提供者之间的契约关系时,称其为健康服务的消费者更合适。在本语境中,只有当消费者也是健康信息系统的直接用户时才认为其是患者。524受委托医疗保健提供者按照权限,医疗保健提供者中的某些类型人员不是正规的,但他们为社区提供服务,并由已注册的医疗保健组织对其专业角色进行认证和委托。例如,某些国家的助产士(由产科医生或其他医生保证)、不同类型的理疗医生、参与残疾人和老年人社区护理的各类人员(由全科医生或医院保证)。525支持组织雇员支持组织雇员是指为支持组织工作的、且不是
35、正规或非正规健康专业人员的个人。526医疗保健组织主要参与健康服务或健康促进相关的官方注册组织。例如医疗保健提供者、医疗保健资助团体(保险公司或政府公共卫生资助部门)和医疗保健研究院所。527支持组织支持组织为医疗保健组织提供服务,但不直接提供健康服务。528设备设备是指诸如ECG设备、实验室自动化设备和为患者测量各种生理学参数的各种便携式诊断设备之类的装置。它也包括诸如电子邮件服务器、网络服务器和应用服务器之类的计算机设备。529应用应用是指在单个机器和或互联网中运行的计算机软件程序。在医疗保健语境中,依赖于数字证书的应用可能包括临床管理集成系统,EHR应用,急诊信息系统,影像系统,处方及药
36、品管理系统。53医疗保健数字证书的适用性本指导性技术文件既适用于一个辖区内的卫生行业,也适用于不同辖区之问的卫生行业。本指导性技术文件试图覆盖公共(政府)卫生机构、私营和公共医疗保健提供者(医院、社区健康以及全科医生的医疗活动)。本指导性技术文件还适用于医疗保险组织、健康教育机构以及与健康相关的活动(如家庭护理)。本指导性技术文件的主要目的是为健康专业人员、医疗保健组织以及保险公司能够安全地交换健康信息确立一个框架,同时还试图为消费者提供安全访问自己健康信息的能力。在交易中使用CA和RA,可使医疗保健提供者、保险公司和消费者进行安全的信息交换,即使信息的完整性受损,也能很快地被发现。在卫生领域
37、中,数字证书适用于下列情况:a)安全电子邮件。b)利用数字证书,社区健康专业人员对医院信息系统中患者信息的访问请求。GBZ 2171612008c)利用数字证书,医院信息系统内部的访问请求。其中系统应包括患者管理、临床管理、病理、医学影像、饮食以及其他相关的信息系统。d)账单应用:要求具有抗抵赖性、消息完整性、保密性和对患者、健康服务提供者和医疗保险公司的鉴别以及(在某些管辖权限中)防止欺骗。e)远程影像应用:要求将影像与患者身份进行可靠绑定,同时也要求对健康专业人员进行鉴别。f)远程访问控制应用:对验证真实性、保密性和完整性有特殊要求。g) 电子处方应用:要求数字证书提供的所有安全服务对处方
38、是否源自特定健康专业人员(源鉴别)以及是否为该患者开具的处方进行核查。为了保证在传输过程中没有错误,要求数字证书能提供完整性服务;为了保证审计能力,要求数字证书能提供抗抵赖服务。h) 患者同意数字签名的文档。i)跨国界或跨辖区的转录服务。j)符合本地策略的其他系统。本地策略可以排除一个或多个依赖于数字证书或以其他的方式使用数字证书的上述应用。使用数字证书的剧本详见附录A。6医疗保健应用中的安全服务需求61医疗保健特征制定本指导性技术文件的原因是因为卫生行业对安全有特定的需求,需要进行特殊说明。医疗保健的具体特征如下:a)健康信息可重复使用,且其存在的时间同其所对应的个人的寿命一样长,甚至更长。
39、这就要求能够长期保存数字签名以及一种能满足这种要求的时戳技术。b)健康消费者和健康服务提供者都对健康信息的使用非常重视。除非患者本人明确同意,否则其健康信息只有用于健康目的,而不能用于其他目的(如匿名患者数据用于培训和计划编制)。c)具有提高健康服务消费者对健康系统管理其信息能力的信心的需求。d) 具有使健康专业人员和组织履行健康策略语境中安全义务的需求。e)具有确保使用数字证书的健康专业人员、贸易伙伴和可依赖方对保证患者信息的私密性和安全性具有信心的需求。随着越来越多地使用电子信息系统代替纸质文件来存储个人健康信息,卫生领域中的安全性问题也变得越来越显著。卫生行业的首要关注点是保护患者的隐私
40、和安全。特别是对于跨辖区传输的健康信息流,该关注点还要求符合相关的隐私法律法规。如果信息系统将由健康专业人员和患者消费者使用,则它应是可信赖的。因此,对于健康信息系统而言,满足私密性和安全性的需求是非常严格的。62卫生领域中的数字证书技术需求621概要在健康信息与通信系统中,需要处理的大多数安全威胁是未授权访问,这些访问是通过窃取合法证书持有者的私钥后,假冒证书持有者的身份进行的。这样的未授权访问会导致健康信息被篡改、丢失或被复制。与安全标准(如GBT 19716)结合使用的数字证书能够有效降低这种未授权访问的风险。数字证书提供了包含鉴别、完整性、保密性和数字签名等所有服务的策略、程序和技术的
41、唯一组合。在医疗保健语境中,使用数字签名能使互不相识的医疗保健提供者和消费者运用电子手段,并通过信任链来安全放心地进行通信。数字证书能够提供卫生行业特需的安全服务。这些服务及其在卫生行业中的应用将在下面进行详细描述。1 oGBZ 2171612008622鉴别医疗保健是一项多学科联合的工作。当健康专业人员查阅包含个人健康信息的患者记录、会诊报告和其他文档时,需要依赖于其他医疗保健提供者的判断。当访问和更新这些文档和记录时,必须将包含在内的信息与其作者可靠关联起来。非常重要的一点是既要使健康专业人员能够访问各种临床设备中敏感的个人健康信息,也要能防止未经授权的人访问或改变这些信息。对鉴别的进一步
42、讨论见74。623完整性当个人健康信息用于急救时,维护信息的完整性就成为了一个关乎生死的问题。尤其是对于某些类型的个人健康信息(如麻醉药品处方)完整性,应对其可能被破坏的情况给予高度关注。624保密性在一般应用中,个人健康信息通常被认为是最机密的信息。与电子商务中传输的信息不同,个人健康信息的保密性是不能用金钱来衡量的,患者的隐私权一旦被取消,就不能再恢复。625数字签名在审讯听证会、医疗渎职诉讼、专业人员纪律听证会和其他法庭或准法庭中,由于可将电子签名文档作为证据提交,因此在卫生领域中使用的数字签名以及用于确认其完整性的策略和操作最终会引起人们的高度关注。即使证书已过期或已被撤销,仍可对医疗
43、保健文档中的数字签名进行验证。在时戳到期前,该服务可以使用安全时戳技术来实现(参见IETFRFC 3161)。因此建议使用IETFRFC 3126作为长期的签名格式。数字证书也支持基于授权和角色的访问控制服务(见626)。这些服务在医疗保健中非常重要,因为许多特殊性和情况要求根据所涉及的健康专业人员的角色和情形,来对个人健康信息的不同部分采用不同的访问级别。626授权在医疗保健中,有必要只对那些为患者消费者提供医疗保健的实体、或是已获得患者亲自同意的实体授予对个人健康信息访问的权利。627访问控制在医疗保健中,有必要适当采取一些手段,来确保被授权实体只能根据授权目的功能、以授权的方式访问数据处
44、理系统的资源,这是因为未授权访问造成的后果可能是无法补救的。当与合适的安全标准联合使用时,数字证书就能够明显降低未经授权而泄漏患者健康信息的风险。本指导性技术文件的目的是定义数字证书发行和使用的通用元素,这些元素保证传输健康信息的信任链可以按照需求进行扩展,甚至可以超越辖区或国界。63分离加密和鉴别将签名从加密功能中分离出来是卫生行业的一个特殊需求。之所以这样做的原因是因为在急救或其他特殊情况下,当了解患者的急救或特殊情况记录的健康专业人员不在场或无法联系时,被授权的健康专业人员需要访问这些消息。在健康信息安全性方面,一种通用的做法是鉴别时使用个人身份证书,加密时使用组织单元证书。本指导性技术文件推荐在鉴别和加密(确保保密性)中使用独立的证书和关联密钥。本指导性技术文件使用独立的证书建立身份,使用与主体鉴别密钥关联在一起的关联密钥管理访问控制。64 医疗保健数字证书安全管理框架对于支持健康相关信息的安全传输和在国内或辖区内、甚至跨国界或跨辖区的数据访问的数字证书安全基础设施,需要通用安全管理
