交大附屬醫(yī)院CA系統(tǒng)培訓

1、西安交通大學醫(yī)學院第一附屬醫(yī)院 ca系統(tǒng)培訓 2012 shannxi digital certificate authority co.,ltd. 2014年年1月月 1什么是什么是ca? 目錄目錄 2 ca認證的必要性認證的必要性 常見問題及解決辦法常見問題及解決辦法 3應用系統(tǒng)中使用應用系統(tǒng)中使用 ca認證又叫電子認證。 ca認證是以密碼技術為基礎，通過身份認證、信息加密、 電子簽名、電子簽章、時間戳等手段為信息系統(tǒng)提供安全保 障。 ca中心是承擔和提供ca相關業(yè)務的專門機構，由國家相關 部門依據相關法律依法設立。 ca認證提供的安全手段在有效保護信息安全的同時，能夠 做到法律認可、責任

2、界定。 每個省一家。陜西ca是我省唯一ca認證機構。 什么是什么是ca 私鑰 cos 證書 按照國家規(guī)定，ca采用e-key作為數字證書的存儲介質， e-key具有如下的特點： 1、雙因子認證 每一個每一個e-keye-key都具有硬件介質及都具有硬件介質及pinpin碼。碼。 用戶只有同時取得了用戶只有同時取得了e-keye-key和和pinpin碼，才可以登陸系統(tǒng)。即碼，才可以登陸系統(tǒng)。即 所謂所謂“雙因子認證雙因子認證” 2、帶有安全存儲空間 e-keye-key具有具有8k8k-128k128k的安全數據存儲空間，可以存儲數字的安全數據存儲空間，可以存儲數字 證書、用戶密鑰等秘密數據證

3、書、用戶密鑰等秘密數據 3、硬件的加解密算法 內置內置cpucpu或智能卡芯片，可以實現加解密和簽名的各種算法?；蛑悄芸ㄐ酒梢詫崿F加解密和簽名的各種算法。 證書的版本信息；證書的版本信息； 證書的序列號，每個證書都有一個唯證書的序列號，每個證書都有一個唯 一的證書序列號；一的證書序列號； 證書的發(fā)行機構名稱；證書的發(fā)行機構名稱； 證書的有效期；證書的有效期； 證書所有人的名稱；證書所有人的名稱； 證書所有人的公開密鑰；證書所有人的公開密鑰； 證書發(fā)行者對證書的簽名。證書發(fā)行者對證書的簽名。 數字證書，又叫數字證書，又叫“數字身份證數字身份證”、“網絡身份證網絡身份證”，是，是經證書授權中心

4、經證書授權中心 數字簽名的，數字簽名的，包含用戶信息和密鑰的，包含用戶信息和密鑰的，可以用來證明持有者真實身份的一種可以用來證明持有者真實身份的一種 電子文件電子文件。 1什么是什么是ca? 目錄目錄 2 ca認證的必要性認證的必要性 常見問題及解決辦法常見問題及解決辦法 3應用系統(tǒng)中使用應用系統(tǒng)中使用 ( (一一) )技術技術是保障信息安全的基礎是保障信息安全的基礎 ca認證技術可從根本上解決信息安全保障，有效解決各業(yè)務應用信息系 統(tǒng)的身份真實性、隱私保護、責任界定等安全問題。 ca認證的必要性認證的必要性 ca認證的必要性認證的必要性 ( (二二) ) 法規(guī)法規(guī)是作為法律證據的依據是作為法

5、律證據的依據 2005年4月1日，中華人民共和國電子簽名法中華人民共和國電子簽名法正式實施，在法律層面 確立了電子簽名的效力，解決了電子簽名的合法性問題。 n第七條明確規(guī)定“數據電文不得僅因為其是以電子、光學、磁或者類似手 段生成、發(fā)送、接收或者儲存的而被拒絕作為證據使用”。 n第十四條明確規(guī)定了“可靠的電子簽名與手寫簽名或者蓋章具有同等的法 律效力”。 按照電子簽名法規(guī)定，電子公文作為政府文件長期保存并保證真實性必按照電子簽名法規(guī)定，電子公文作為政府文件長期保存并保證真實性必 須采用合法須采用合法caca機構提供的電子簽名。機構提供的電子簽名。 ca認證的必要性認證的必要性 ( (三三) )

6、 合法合法的的caca機構是符合法律要求的基礎機構是符合法律要求的基礎 2003年11月27日 陜辦字【2003】76號文件中共陜西省委辦公廳關于進關于進 一步推動全省數字證書認證應用業(yè)務的意見一步推動全省數字證書認證應用業(yè)務的意見的通知 第二條明確了“陜西省數 字證書認證中心（snca）是經國家密碼管理部門批準建立的區(qū)域性認證機構， 建有獨立密鑰管理中心，根認證在陜西根認證在陜西。” 陜西省信息化領導小組辦公室和陜西省國家密碼管理委員會辦公室印發(fā)的 關于進一步推廣數字證書應用保障信息安全工作的通知（陜信化辦200436 號文件）第三條指出“三、積極支持陜西省數字證書認證中心推廣應用業(yè)務。陜

7、西省數字證書認證中心（snca），是我省唯一經過國家有關部門批準建設我省唯一經過國家有關部門批準建設、根 認證在本地和建有密鑰管理中心的區(qū)域性認證機構，是全省信息安全保障體系中 的技術支撐機構?！?陜西省人民政府辦公廳印發(fā)的關于加快我省網絡信任體系建設意見的通知關于加快我省網絡信任體系建設意見的通知 （陜政辦發(fā)2007124號）第三條的第一項的第一點指出“省信息辦要進一步 加強電子認證整體規(guī)劃和發(fā)展戰(zhàn)略研究，加快完善已建電子認證基礎設施，逐步 建設市(區(qū))級數字證書注冊機構，各市(區(qū))、各部門要按照有關規(guī)定，依法使用 根認證在省內的區(qū)域性電子認證機構頒發(fā)的數字證書，實現省內統(tǒng)一認證實現省內統(tǒng)一

8、認證，為推 進全國電子認證互通互認全國電子認證互通互認創(chuàng)造條件。 ca認證的必要性認證的必要性 ( (四四) ) 效益效益提高也是基本前提提高也是基本前提 陜西ca的各項網絡安全技術，包括身份認證、數字簽名等，尤其是 電子簽章技術實現了真正的無紙化辦公，有利于社會環(huán)境保護，顯著 地減少減少了對自然資源的浪費;提高提高了運作效率，為信息化的進一步深化 提供了必備手段和安全保障。 1什么是什么是ca? 目錄目錄 2 ca認證的必要性認證的必要性 常見問題及解決辦法常見問題及解決辦法 3具體的系統(tǒng)應用具體的系統(tǒng)應用 1 1、設計目標設計目標 全面引入由合法第三方電子認證服務機構頒發(fā)的數字證書，實現醫(yī)

9、 院關鍵崗位的醫(yī)務人員持證上崗醫(yī)務人員持證上崗，通過數字證書為醫(yī)院醫(yī)務人員在 應用系統(tǒng)中的身份進行標識和確認； 在醫(yī)院現有醫(yī)院信息系統(tǒng)框架下，搭建本地本地caca安全認證平臺安全認證平臺，部署 證書在線查詢系統(tǒng)證書在線查詢系統(tǒng)（ocsp）、認證與簽名驗簽系統(tǒng)認證與簽名驗簽系統(tǒng)、時間戳系統(tǒng)時間戳系統(tǒng)等， 為醫(yī)院數字醫(yī)療信息系統(tǒng)提供數字證書身份認證和可靠電子簽名等 功能，解決電子病歷系統(tǒng)醫(yī)療數據電文的數據安全數據安全和責任歸屬責任歸屬問題， 保證醫(yī)院系統(tǒng)電子數據的合法性、有效性。 2 2、安全認證平臺設計、安全認證平臺設計 依托西安交通大學醫(yī)學院第一附屬醫(yī)院目前已建的醫(yī)院信息系統(tǒng)（hishis）、

10、 實驗室信息管理系統(tǒng)（lislis）、影像和通信系統(tǒng)（pacspacs）和電子病歷系統(tǒng) （emremr）等信息網絡，搭建ca安全支撐平臺，以電子認證和電子簽名為手段， 以完善的技術體系為保障，保證用戶身份真實性、電子病歷的隱私性、醫(yī)療 行為責任認定以及確保醫(yī)療行為時間的可信需求。 3 3、設備部署和功能說明、設備部署和功能說明 在西安交通大學醫(yī)學院第一附屬醫(yī)院搭建的數字證書安全認證平臺包含 本地證書狀態(tài)在線查詢系統(tǒng)、認證與簽名驗簽系統(tǒng)、時間戳系統(tǒng)，為醫(yī)院應 用系統(tǒng)提供全方位、高可用的安全保障。 系統(tǒng)功能說明圖：系統(tǒng)功能說明圖： 數字認證部署圖：數字認證部署圖： 雙機備份方雙機備份方 式部署身份

11、式部署身份 認證與簽名認證與簽名 驗簽服務器驗簽服務器 電子印章客電子印章客 戶端和證書戶端和證書 受理與管理受理與管理 系統(tǒng)軟件系統(tǒng)軟件 本地證書在本地證書在 線狀態(tài)查詢線狀態(tài)查詢 系統(tǒng)系統(tǒng) 衛(wèi)生系統(tǒng)安衛(wèi)生系統(tǒng)安 全中間件全中間件 時間戳時間戳 服務系統(tǒng)服務系統(tǒng) 雙機備份方式部署身份認證與簽名驗簽服務 器，連接密碼機,提供身份認證識別（證書鑒 別）、數據加密解密、數字簽名及驗簽等安 全功能，為應用系統(tǒng)提供數據機密性、數據 完整性、身份認證、防抵賴等功能。 本地證書在線狀態(tài)查詢系統(tǒng)，主要服務于應 用系統(tǒng)的數字證書實時驗證，證明證書是否 合法和有效。該服務器需要與陜西ca提供的 在互聯網上的ocsp信息同步。 時間戳服務系統(tǒng)，為用戶提供精確的、可信 賴的且不可抵賴的時間戳服務。對重要的業(yè) 務數據，可以通過時間戳的方法記錄下來， 所有操作員的操作情況都在加簽時間戳后備 存下來，實現不可抵賴的應用系統(tǒng)操作日志。 安裝衛(wèi)生系統(tǒng)安全中間件。衛(wèi)生系