CN115238315A - 一种实现医患共同签章认证电子病历系统的方法 - Google Patents

Abstract

一种实现医患共同签章认证电子病历系统的方法，包括：身份信息采集、签名数据创建；电子签名制作数据‑‑签章的专有化；医方签署、患方签署操作；电子病历安全存储；签署电子病历的验证、公正；电子病历的管理。通过该方法设计了一种安全可靠的电子签名制作数据的‑‑电子印章是专有的、持有人能够自行掌控在电子病历签署留痕；签署过程中产生证据，通过证据的举证、质证不但能够验证印章和签署病历的原始性和完善性，还能根据查询操作证据、追溯到医疗信息泄露点；医患双方同时对电子病历进行签署、签章和认同，能够解决由病历引起的医患矛盾。

Description

一种实现医患共同签章认证电子病历系统的方法

技术领域

本发明涉及信息安全领域的文件签署技术，具体涉及一种实现医患共同签章认证电子病历系统的方法。

背景技术

病历，亦叫病史、病案，是医务人员对病人患病经过和治疗情况所作的文字记录，是医生诊断和治疗疾病的依据，是医学科学研究的很有价值的资料。病历既是临床实践工作的总结，又是探索疾病规律及处理医疗纠纷的法律依据。传统的病历大部分都是以纸张为介质的病历，包括：处方、医嘱单、化验单等手写或机打医务票据单据，以医师的签名或盖章做认定，医师或签名签章者对所开医务票据单据负法律责任。传统纸质病历因为是手写在纸张上的并可根据笔迹、签章来确定其真实性，且鉴定技术成熟可靠，国家亦有相应的技术专家、技术手段和法律、法规保证鉴定结果正确性，由此纸质病历具备了证据的法律效力。

1、电子病历以及电子病历证据功能：

随着计算机技术，网络技术的发展，尤其是信息数字化技术的实施，以前使用纸质文件，大部分以电子文件形式来替代。病历也一样，目前已开始在大中型医院逐步实现了电子病历应用系统，电子病历具有：生成、存储、查阅、使用方便、时效性强、节约纸张绿色环保、成本低廉、可数据共享等优点。但是，和所有电子文件一样，利用计算机技术不但能够生成电子病历，还能够对既往的电子病历进行删减、修改、复制、拷贝的操作，生成新的修改电子病历。修改过的电子病历具有格式规整、完备且不留修改痕迹的特点，在直观情况下是无法识别原版与修改版的区别。

另外，作为纸质/电子版本转换的过渡技术，常用的作法是通过复印、照相将纸质病历转换为电子版病历，PS+复印的技术使得复印电子病历上述修改电子病历一样效果，规整、无痕且无法识别原版和复印件。

由于存在上述识别的原因，降低、削弱了电子病历的证据功能和法律效力，

因此，需要设计在生成、签署、存储、查询、追溯等全过程识别电子病历原始性和完善性的技术手段，从技术上完善电子病历的证据功能，改变以命令方式指定电子病历具有法律效力行政模式。

2、现有技术关于电子病历的安全性措施：

采用区块链技术保证电子病历安全性的例子，例如申请号 20201026126484，发明名称：“一种基于区块链的电子病历共享方法”的专利文献，其公开的技术特征为：“将各医院电子病历系统中的电子病历转换成统一的格式保存在区块链上，针对文档共享中存在的问题使用区块链技术实现电子病历文档共享，保证数据唯一可信，不可篡改，安全可靠”，文献中没有公开医院和医院间电子病历能否共同保存在区块链上而共享的具体解决方案，也没有公开电子病历的知识产权和医患隐私保护的问题。

用数字证书的签章保证技术电子病历安全性，例如申请号 2020115703325，发明名称：“电子病历加密存档方法”的专利文献，其公开的技术特征为：“通过对电子病历进行签名和添加时间信息，且最后加盖电子印章存档管理得到的电子病历具有完整性和不可篡改性。”仅公开在电子病历存档管理环节，用数字证书的签名技术（盖章）实现电子病历的完整性和不可篡改性。没有公开在电子病历更早期的生成、签字认定环节的防伪措施，也没有公开所述的电子印章本身防伪的具体措施。

3、国内外数字化医疗系统的电子版本病历文件需要认证、可靠签名：

国外已有、国内引入或仿照国外的电子病历系统，都能够利用计算机技术、网络技术现代化的医疗设备，实现病历、医务票据单据的电子版本化，能够在医疗诊断过程产生电子版本系统包括：EMR-电子病历系统——生成电子版本的病历文件，HIS-医院信息管理系统——生成电子版本管理文件，PACS-医学影像信息系统——生成电子版本医学影像文件，LIS-系统实验室信息系统——生成电子版本检验报告文件。根据实际考察，这些电子版本病历文件的原始性、完善性、安全性都有在生成、认证、存储、共享等各环节由医患双方进行签名认证的需求，签名认证的应用技术需要符合电子签名法“可靠的数字签名”法规条款的具体技术方法。

4、目前由病历原因引起的亟待解决的问题：

现行纸质或电子病历、病史记录中都存在患者未在病历中签名， 无法体现患者对病历和病史记录认同的意愿，忽略了患者的知情权。 虽然，目前医院规定各种有创检查、治疗、手术、麻醉知情同意书、 输血及特殊药品使用同意书，以及医患沟通记录及病情变化告知沟通 记录等均需经患者签字认同后方有效。在实际执行这些规定的过程中， 医师利用电脑制作成电子病历原始记录，要经由复制、打印后生成的 纸质病历，才能够实施医患双方签字工作，增加了签署过程的工作量 和纸张消耗，还存在医患双方签名不及时、不规范，医师自行修改电 子病历内容不留痕迹的弊端；未经扫描复制成纸件直接以电子版方式 存档的原始电子病历上没有医患双方签字和证据记录，导致病历档案 数据库内记录的内容与纸质病历内容不相符，一方面病案内容难以对 应而失去证据的价值，另一方面医患纠纷中用两种病历举证，如果病 历内容记录存在矛盾，则难以质证判断谁对谁错。因此，由医患双方 直接在原始电子病历上一同签字是亟待解决的问题。

医疗数据泄密：目前的电子病历归档过程是：病历集中--审核--处理--存储的作业环节，其每个环节点上都存在工作人员自己操作的不经意或故意泄密电子医务单据信息的隐患，或者将其中的一个环节的病历系统的账号密码告诉其他医务（或非医务）人员，一旦病历信息数据被人恶意泄露或篡改和利用，不仅侵犯了患者的隐私权，也可能使医院在法律上处于不利位置。然而，就目前状况看，泄露、篡改的这些行为不但存在，而且很难追查到具体的个人。

针对上述问题的存在，相关管理部门也出台了一些政策法规，有针对性的是国家卫健委的《电子病历基本规范》，不但要求病历、处方等医务单据电子化，还提出了对病历、处方等医务单据按照《中华人民共和国电子签名法》的规定，实施“可靠的数字签名”的技术手段，可靠的电子签名，是指同时符合下列条件的电子签名：1.电子签名制作数据--签章用于电子签名时，属于电子签名人专有；2.签署时电子签名制作数据--签章仅由电子签名人控制；3.签署后对电子签名的任何改动能够被发现；4.签署后对数据电文内容和形式的任何改动能够被发现。以保证医务票据单据原始性、真实性和完整性。

发明内容

本发明的目的在于提供一种实现医患共同签章认证电子病历系统的方法，通过该方法设计了一种安全的、可靠的电子签名制作数据--签章（电子印章），这种电子签名制作数据--签章（电子印章）是专有的、持有人能够自行掌控在电子病历签署留痕、签署过程中留存证据，通过证据查询不但可以获知电子签名制作数据--签章（电子印章）的真伪，还可以查询在哪个环节、什么人对病历上的内容进行过什么改动、转载、有无泄漏等情况；医患同时对电子病历进行签署、签章和认同，能够解决由病历引起的医患矛盾。

本发明的技术方案是：

一种实现医患共同签章认证电子病历系统的方法，其特殊之处在于，该方法包括

1-1）身份信息采集、签名数据创建：通过身份信息采集装置采集医患双方法定且可直示的身份信息，利用其信息经数据转换分别创建医方原始电子签名制作数据--签章Ds，患方原始电子签名制作数据--签章Dp；

1-2）电子签名制作数据--签章的专有化：将医方原始电子签名制作数据--签章Ds经由审核、注册后烧录到医方的签署装置Dsd里；将患方原始电子签名制作数据--签章Dp经由审核、注册后烧录到患方的多功能诊疗与签署装置Dpd里；医患双方的原始电子签名制作数据--签章Ds、Dp分别传送到验证公正服务器As，通过注册审核、验证算法实现电子签名制作数据--签章的专有化；

1-3）医方签署：在医方的签署装置Dsd里，将医方原始电子签名制作数据--签章Ds与自取动态变量参数hs或网获动态变量参数hss，经数据融合（Data fusion）运算生成一次一密的医师签署电子签名制作数据--签章Dss：

Dss =Ds（Data fusion）hs

Dss =Ds（Data fusion）hss

医师计算机将医方的签署电子签名制作数据--签章Dss经数据嵌入（Dataembedding）运算加载、固化到待签电子病历Temr上，生成医方签署电子病历Semrs：

Semrs = Dss（Data embedding）Temr

医师计算机将签署时刻的自取动态变量参数hs或网获动态变量参数hss、签署电子签名制作数据--签章Dss、签署电子病历Semrs共同组成电子病历的文件证据链hs+Dss+Semrshs或hss+Dss+Semrs；用文件证据参数经由哈希运算构成的数据证据链Hhs+Hdss+Hsemrs或Hhss+Hdss+Hsemrs，以分布式存储方式将文件证据和数据证据存储于患方的多功能诊疗与签署装置Dpd、医方的签署装置Dsd、数据存储服务器Ab、验证公正数据服务器As；

1-4）患方签署：患方的签署装置Dpd里将患方原始电子签名制作数据--签章Dp参数与自取动态变量参数hp或网获动态变量参数hps,经数据融合（Data fusion）运算生成一次一密的患方签署电子签名制作数据--签章Dps：

Dps =Dp（Data fusion）hp

Dps =Dp（Data fusion）hps

医师计算机将患方的签署电子签名制作数据--签章Dps经数据嵌入（Dataembedding）运算加载、固化到待签电子病历Temr上或医方签署电子病历Semrs上，生成患方签署电子病历Semrp：

Semrp = Dps（Data embedding）Temr

医师计算机将患方自取动态变量参数hp或网获动态变量参数hps、患方签署电子签名制作数据--签章Dps、患方签署电子病历Semrp共同组成电子病历的文件证据hp+Dps+Semrp或hps+Dps+Semrp；用文件证据参数经由哈希运算构成的数据证据参数Hhp+Hdps+Hsemrp或Hhps+Hdps+Hsemrp，以分布式存储方式存储于患方的多功能诊疗与签署装置Dpd、医方的签署装置Dsd、数据存储服务器Ab、验证公正数据服务器As；

所述医方签署和患方签署由双方多环节依据上述流程进行签署，以最终签署的电子病历，为所有签署方认可版，并对其负责；

1-5）电子病历安全存储：系统设置电子病历文件证据、数据证据的数据存储服务器Ab，采用的数据冗余容错、查错及纠错算法，以保证病历数据和证据数据的无损存储；患方、医方和验证公正方还采取了互备份、互监管的方法对文件进行加密的存储，数据的存入、输出授权判别机制以及密钥判断逻辑，禁止单方面改动、未经授权的查阅、复制；

1-6）签署电子病历的验证、公正：系统设置的非第三方的证据验证算法内部验证公证服务器As，借助数据证据参数的举证和质证算法以及智能逻辑推理运算判定电子签名制作数据--签章真伪，结合文件证据参数的验证算法判定电子病历数据的原始性和完善性，并给出判定结果公正文书及通知；

1-7）电子病历的管理：对诊疗过程中产生的电子病历及其它医疗记录、档案进行综合管理，包含利用签署到电子病历上的病历属性章进行自动分类，并按照分类进行加密、输入到对应数据库，以及电子病历授权解密、查阅、下载输出。

上述医方包含医生、护士、医务工作者及医疗机构，专有的医方电子签名制作数据--签章由医方信息采集装置采集的身份和资质信息获得；所述的患方包含患者本人、陪护及其他和患者有关系的关联者，专有的患方原始电子签名制作数据--签章由电子挂号机采集身份信息而获得，亦可由人工挂号获得；

无论是医方或患方，其身份信息中至少有一个具有客观存在或主观授予法律内涵和可信特征属性的且可直示的数据，所述的身份信息的数据被用来做患方挂号和签署注册共用参数；将身份信息的数据转换为可视化的签署标识--签章，并将其分别置入医方的签署装置、患方的签署装置和注册服务器、验证公正数据存储服务器。

上述医方的原始电子签名制作数据--签章、患方的原始电子签名制作数据--签章取自于法定且可读的身份信息的数据，包含文字、图形格式的数据、生物特征码；还可以采用本系统里具有共识和认可的其它类型的数据；医方和患方的原始电子签名制作数据--签章由直读的电子印章的印模，指纹、水印、标识图形；非直读的数字证书的公钥密码，条形码、二维码以及网络ID。

上述的医方的签署装置，是一个微型计算机系统，系统里有一个利用自取动态变量参数对医方原始电子签名制作数据--签章进行数据融合（Data fusion）运算的算法程序，还有医方的原始电子签名制作数据--签章存储区、参与运算的（真随机数）自取动态变量参数、时间、密钥、监管码；还设置了电子病历数据库、电子证据数据库，签署次数、存储容量计数器，以及自动化的离线和重新接入程序和机构；医方的签署装置设计为便携式装置，通过USB或蓝牙通讯与医师计算机接口；

所述患方的多功能诊疗与签署装置，是一个微型计算机系统，完成挂号、医疗费用的结算及账务记录、电子病历签署、签署病历及其证据存储功能；其签署部分包含了一个利用自取动态变量参数对患方原始电子签名制作数据--签章进行数据融合（Data fusion）运算的算法程序，还有患方的原始电子签名制作数据--签章存储区、参与运算的（真随机数）自取动态变量参数、时间、密钥、监管码；还设置了电子病历数据库、电子证据数据库；患方的签署装置设计为便携式装置，通过USB接口、蓝牙接口、以及CPU卡读写装置与医师计算机接口。

上述对原始电子签名制作数据--签章的签署标识加密运算：

1）以签署时从系统网络获取的实时时间数据做网获动态变量参数、或者从签署装置处理器生成的真随机数作为自取动态变量参数，与原始电子签名制作数据--签章经数据融合（Data fusion）运算、关联后，构成可视化隐含加密的签署标识；

2）以签署时从电子病历系统的网络获取的实时时间数据做网获动态变量参数，与原始电子签名制作数据--签章经数据--签章嵌入（Data embedding）运算、关联后构成可视化的明示加密的签署标识；

3）以签署时从电子病历系统的网络获取的实时时间数据做网获动态变量参数，先与原始电子签名制作数据--签章经数据--签章嵌入（Data embedding）运算、关联，再进行数据融合（Data fusion）运算、关联，构成既有明示也有隐含加密的签署标识。

上述数据融合算法其程序是：将原始电子签名制作数据--签章和自取（或网获）动态变量参数数据转换为二进制数据，两种数据在数据位（bye）上进行数学或逻辑运算，运算后获得原始电子签名制作数据--签章和自取（或网获）动态变量参数融为一体且具有差异化的结果，作为签署电子签名制作数据--签章；

所述数据嵌入（Data embedding）运算其程序是：将待签电子病历数据和签署电子签名制作数据--签章以不改变待签电子病历内容含义而实施的加载及固化的操作程序，生成为签署电子病历。

上述的文件证据参数至少包含：自取（或网获）动态变量参数、签署电子签名制作数据--签章参数、签署电子病历文件参数；

所述的数据证据参数至少包含：自取（或网获）动态变量哈希函数、签署电子签名制作数据--签章哈希函数、签署电子病历文件哈希函数。

上述电子签名制作数据--签章原始性的举证、质证验证算法：

1）医方举证：在医方的签署装置Dsd里，将医方原始电子签名制作数据--签章Ds与自取或网获的动态变量参数hp、hps经数据融合（Data fusion）运算生成医师签署电子签名制作数据--签章Dss：

Dss =Ds（Data fusion）hp

Dss =Ds（Data fusion）hps

将Dss和hp、hps打包为Dss+hp或Dss+hps由医师计算机上传到验证公正数据服务器As进行举证；

2）数据存储服务器举证：验证公正数据服务器As接收传来的举证参数Dss+hp或Dss+hps，将hp或hps作为动态变量参数,传送给数据存储服务器Ab，数据存储服务器Ab用hp或hps与存储的医方原始电子签名制作数据--签章Ds经数据融合（Data fusion）运算，生成数据存储服务器Ab签署电子签名制作数据--签章Ads：

Ads =Ds（Data fusion）hp

Ads =Ds（Data fusion）hps

将Ads和hp或hps打包为Ads+hp或Ads+hps由医师计算机上传到验证公正服务器As进行举证；

3）验证公正服务器As接收医方上传的Dss+hp或Dss+hps和数据存储服务器上传的Ads+hp或Dss+hps；做逻辑质证运算：

质证运算：Dss+hp（XOR）Ads+hp

质证运算：Dss+hps（XOR）Ads+hps

Dss+hp（XOR）Ads+hp=1时 :Dss+hp ≠ Ads+hp————（式1）

Dss+hp（XOR）Ads+hp=0时 :Dss+hp = Ads+hp————（式2）

Dss+hps（XOR）Ads+hps=1时：Dss+hps ≠Ads+hps————（式3）

Dss+hps（XOR）Ads+hps=0时：Dss+hps =Ads+hps————（式4）

质证结果：

（式1、式3）：医方传来与数据存储服务器存储的电子签名制作数据--签章不符；

（式2、式4）：医方传来与数据存储服务器存储的电子签名制作数据--签章符合。

上述电子病历原始性验证算法：

1）电子病历证据验证法：计算欲验证电子病历的数据证据Hsemr（x）与签署时存储的同一电子病历的数据证据Hsemr进行逻辑判断运算：

判断运算：Hsemr（x）（XOR）Hsemr

Hsemr（x）（XOR）Hsemr =1时 ：Hsemrx ≠ Hsemr————（式5）

Hsemr（x）（XOR）Hsemr =0时 ：Hsemrx = Hsemr————（式6）

判断运算结果：

（式5）：欲验证数据证据与签署时存储的同一数据证据不同

（式6）：欲验证数据证据与签署时存储的同一数据证据相同

2）电子病历文件比对验证法：将欲验证电子病历Semrpx的文件证据与签署时传送到数据存储服务器的电子病历Semrp文件证据进行内容的比对，将病历文件中不同之处进行标注，并将结果生成验证查询信息。

上述电子病历的管理环节还设置系统堡垒机实现医患身份认证管理、病历操作授权管理，系统运维事件中的事中控制，系统运维事件中的事后审计，记录和管理电子病历系统运行过程产生的所有信息，提供医患双方电子签名全过程数字证据存证、查询、追溯服务，以及电子病历的生命周期管理。

系统里的电子病历包含：包含门诊病历、医嘱单、化验单（检验报告）、医学影像检查资料、体检报告、住院志、体温单、特殊检查同意书、手术同意书、手术及麻醉记录、病理资料、护理记录、医疗费用以及卫生主管部门规定的其他属于病历；医技科室生成LIS、PACS等检查报告出院报告、出院证明，护士准备出院费用结算单据，医患双方签署电子单据；医疗机构整理患者住院诊疗记录形成患者病案等。

本发明的有益效果是：本发明向医患双方提供各自符合签名法、能够实施“可靠的数字签名”的技术手段——电子印章，使得电子病历在签署（签字、盖章）、存储、共享等各环节签署留痕、并生成电子证据；通过对电子证据举证、质证不但能够具备防伪、防篡改、防抵赖、以及查询、追溯的功能；为签署的电子病历符合数据安全法、防泄密、保护医方和患方隐私、保护知识产权提供安全可靠管理的技术手段；医患双方同时对电子病历进行签署和认同，能够有效解决由病历引起的医患矛盾。

附图说明

图1：实现患方诊疗挂号和签名信息的采集、制作的系统

图2：患方的多功能诊疗与签署装置

图3：实现医方签名信息的采集、制作系统

图4：医方的签署装置

图5：电子病历签署过程

具体实施方式

实施例：

患方身份信息采集、签名数据制作单元：患方包含患者本人、陪护及其他和患者有关系的关联者，患方专有的电子签名制作数据--签章由电子挂号机采集身份信息自动获得，亦可由人工挂号获得。

患方信息：参见附图1，实现患方诊疗信息和签名信息的采集、注册和制作的系统，采用主观授予法律内涵和可信特征属性、且可直示的——身份证件数据，身份证件数据被用来做患方挂号和签署注册共用参数。数据采集部分设置了患者和陪护两个身份证读卡器，是根据某些情况下患者和陪护不能同时挂号（例如患者是儿童或行动不便的病人），用其中一人的身份证就能够实现诊疗挂号和签名数据的采集。

诊疗信息挂号：诊疗信息由附图1中的电子挂号机、用户手机构成诊疗挂号信息的采集：用采集的身份证信息生成诊疗挂号单据的二维码，并将其输出到显示屏，再经由用户（患者或陪护）的手机扫描二维码将挂号单据下载到手机上，进行挂号单据填写并反馈给诊疗挂号/签名注册计算机；电子挂号机采集的身份证信息还被用来生成签名注册信息，直接输出到注册计算机。

患方签名信息生成：附图1中注册计算机将身份证上采集的信息进行分类处理：组合生成患者电子病历；注册计算机上的签名注册程序将患方身份证上采集的姓名或照片转换成原始电子签名制作数据--签章--印章，以及印章的验证证据；注册计算机将诊疗挂号信息（电子病历）和原始电子签名制作数据--签章--病患的签署印章等综合注册等信息输送到注册服务器存储；再将诊疗挂号单据和签署标识（印章）等综合注册等信息输入到制作计算机，制作计算机通过卡片录写器的卡片数据写录程序将：患方挂号信息、病患签署印章、为电子病历存储规划的单据存储单元和证据存储单元以及费用信息输入到患方的多功能诊疗与签署装置。注册服务器还将签名注册信息输送到验证服务器，通过注册审核、验证算法实现患方的电子签名制作数据--签章的专有化。

患方的多功能诊疗与签署装置，参见附图2，是一个微型计算机小系统构成的电子诊疗卡/印章签署器，完成挂号、医疗费用的结算及账务记录、电子病历签署、签署病历及其证据存储功能；其签署部分包含了一个利用动态变量参数对患方原始电子签名制作数据--签章Dp进行数据融合运算的算法程序，存储了患方原始电子签名制作数据--签章Dp、参与运算的（真随机数）动态变量参数、时间、密钥、监管码；还设置了电子病历数据库、电子证据数据库；患方的签署装置设计为便携式装置，通过USB接口、蓝牙接口、以及CPU卡读写装置与医师计算机接口。

实施例中患方门诊、体检用的多功能诊疗与签署装置采用了CPU卡，具有携带方便、价格低廉的特点，在患方的多功能诊疗与签署装置设置了信息存储：病患挂号信息、存储患方的原始电子签名制作数据--签章标识--电子印章、存储病患门诊、体检时的电子病历、体检报告等医疗单据和其单据产生的电子证据、以及费用信息。

CPU卡式多功能诊疗与签署装置是通过与制作计算机连接的制作端录写器录入数据，诊疗过程中通过医师端录写器与医师计算机连接，进行患方的病历签署，实际操作只需将卡放在录写器上即可，简洁方便。实施例中患方住院用的多功能诊疗与签署装置采用了蓝牙接口的装置——住院手环，住院手环具备较大的存储容量，能够存储较多数量的医疗票据单据。

医方签名信息的采集的系统，医方包含医生、护士、医务工作者及医疗机构，医方专有的电子签名制作数据--签章由医方信息采集装置采集的身份和资质信息而获得，采用主观授予法律内涵和可信特征属性、且可直示的身份证信息、职务证书的数据，用来做医方签署注册参数，数据采集部分设置了身份证读卡器和职务证书阅读器。

实现医方签名信息的采集、制作系统，参见附图3，医方签名信息生成：通过医方身份信息读入器，和医方职务证书读入器采集到的医师信息传送到注册计算机，注册计算机将医师身份证上采集的信息进行分类处理：提取由身份证上采集的姓名和照片做医师电子印章的印模标识；提取由职务证件信息做职称、预留时间戳空间；注册计算机上传信息到注册服务器包含：医方的注册信息、医方的电子印章印模、经过签署的医务单据及医务单据的证据；注册服务器再将用医方的姓名、照片和职务数据制成的印章传送给制作计算机，制作计算机通过录入装置将医方的签署器信息烧录到医方的电子印章。

医方的签署装置，参见附图4，图4中输入到医方签署装置中的签署印模，用“王大明”姓名和照片制作的医师电子印章图形，用职务证在电子印章图形中标注了“主任医师”，预留了时间戳空间以便在使用时将实时时间嵌入印章之中，输入到医方电子印章签署装置中的还有：（签署的医务单据）数据及证据、通过系统服务器上传来的实时时间、印章监管方置入的授权证书、签署传送过程中的加解密密钥、以及所需的算法程序。

实施例的医方的签署装置，参见附图4中的医方电子印章，是一个微型计算机小系统，系统里有一个利用动态变量参数对医方原始电子签名制作数据--签章Ds进行数据融合运算的算法程序，存储了医方的原始电子签名制作数据--签章区、参与运算的（真随机数）动态变量参数、时间、密钥、监管码、授权证书；还设置了电子病历数据库、电子证据数据库，签署次数、存储容量计数器，以及自动离线和重新接入程序和机构；医方的签署装置设计为便携式装置，通过USB或蓝牙通讯与医师计算机接口。

注册计算机将医方签署标识（电子印章）、综合注册等信息输送到注册信息服务器，注册信息服务器将注册信息存入验证服务器，通过注册审核、验证算法实现医方的电子签名制作数据--签章的专有化，再将医师签署标识（电子印章）、综合注册等信息输入到制作计算机，制作计算机USB接口将：医方注册信息、签署标识（电子印章）、以及为电子病历存储规划的单据存储单元和证据存储单元输入到医方签署装置。

医方的签署装置里设置的安全措施：将签署时间数据与原始电子签名制作数据--签章经数据嵌入运算、关联后构成可视化的明示加密的签署标识，见附图4中人物照片电子印章中嵌入时间的印模。相当于印章戳+时间戳的效果，生成的按次、按时唯一的签署电子签名制作数据--签章（电子印章），由于时间是动态变化的，因此每次生成的电子证据（哈希函数）就不同，实现一签一密的安全可验证证据构成既有明示也有隐含加密的签署标识。

医方的签署装置里设置的签署次数计数器用于数据统计，设置的存储容量计数器保证存储安全及时转存数据的提醒。

医方的签署装置里设置的自动离线和重新接入程序和机构是为了实现签署装置工作结束时自动离线，工作开始前自动接入，防止系统与公共网络联网时，恶意者通过医师计算机对签署装置的数据窃取、病毒攻击。

签章操作：电子病历签署操作：医患双方经过对电子病历内容确认后，各自实施签署操作，其过程：在签署装置里将原始电子签名制作数据--签章参数与（真随机数）动态变量参数经数据融合运算生成的按次唯一的签署电子签名制作数据--签章，再输出到医师计算机；医师计算机将签署电子签名制作数据--签章经数据嵌入运算加载、固化到电子病历上，生成留痕可查的签署电子病历。

证据及存储：医师计算机同时将签署时刻的时间参数、签署电子签名制作数据--签章、签署电子病历共同组成电子病历的文件证据参数、用文件证据参数经由哈希运算构成的数据证据参数，以分布式存储方式存储于患方的多功能诊疗与签署装置、医方的签署装置、验证公正数据存储服务器。

签署过程：在注册且固化了电子签名制作数据--签章的签署装置、医师计算机和验证服务网络系统中，电子签名制作数据--签章的原始性验证过程是：以电子病历签署时刻的时间参数转换成的数据作为变量，与签署装置的原始电子签名制作数据--签章进行数据融合运算，将其数据经由哈希函数运算获得签署装置的电子签名制作数据--签章证据；将签署装置的电子签名制作数据--签章证据和电子病历签署时刻的时间参数存储、加密后由医师计算机传送给数据存储服务器和验证公正服务器。

验证过程：验证公正服务器接收、解密经由网络传来的签署装置的电子签名制作数据--签章证据和电子病历签署时刻的时间参数，将其时间参数转换成的数据作为变量，与验证服务网络系统注册的原始电子签名制作数据--签章进行数据融合运算，再将其数据经由哈希函数运算获得验证系统证据数据。

比较签署装置的电子签名制作数据--签章与验证系统证据数据的一致性，即可判定以电子签名制作数据--签章的原始性。

实施例中电子病历签署操作过程：

参见附图5，患方的签署装置——电子诊疗卡是由制作计算机装载了病患注册信息、病患签署标识（电子印章）、具有病历单据存储单元（数据库）、证据存储单元（数据库）以及医疗费用存储单元的CPU卡；附图中的医师计算机上插接了医方的签署装置——医师电子印章；还有系统里设置的病历数据存储服务器。

电子诊疗单据形成：患方将电子诊疗卡置放在诊疗读卡器——在医师计算机上触发了病患诊疗单（自动填写了部分信息的电子病历）——医师根据诊疗情况填写诊疗单——医师将自己的电子印章加盖在填写好的诊疗单上——医师将签署的诊疗单出示给患方——患方从电子诊疗卡里调出自己的签署标识（电子印章）——签署在诊疗单上——医师计算机将医患双方签署的诊疗单存入患方诊疗卡、存入医师签署装置里的诊疗单据数据库、存入诊疗单据的数据存储服务器——医师计算机还将医患双方签署的诊疗单经过证据运算生成医疗单据电子证据——将医疗单据电子证据存入诊疗卡、存入本机或医师签署装置里的诊疗单据电子证据数据库、存入诊疗单据的数据存储服务器。

系统设置的主要服务器：验证公正服务器As、数据存储服务器Ab、注册信息服务器其它服务器。

服务器上配套的程序：电子病历的管理程序：对诊疗过程中产生的电子病历及其它医疗记录、档案进行综合管理，包含：利用签署到电子病历上的病历属性章进行自动分类，并按照分类进行加密、输入到对应数据库，以及电子病历授权解密、查阅、下载输出。

设置系统堡垒机，其实现的功能：医患身份认证管理、病历操作授权管理，系统运维事件中的事中控制，系统运维事件中的事后审计，记录和管理电子病历系统运行过程产生的所有信息，提供医患双方电子签名全过程数字证据存证、查询、追溯服务，以及电子病历的生命周期管理。

以上的实施例，仅为说明本发明的技术思想和可实施性，不能依此限定本发明的保护范围，凡是按照本发明提出的技术思想，在方案的技术基础上所做的任何改动，均落入本发明专利要求书的保护范围之内。

Claims (10)

1.一种实现医患共同签章认证电子病历系统的方法，其特征在于，该方法包括

1-1）身份信息采集、签名数据创建：通过身份信息采集装置采集医患双方法定且可直示的身份信息，利用其信息经数据转换分别创建医方原始电子签名制作数据--签章Ds，患方原始电子签名制作数据--签章Dp；

1-2）电子签名制作数据--签章的专有化：将医方原始电子签名制作数据--签章Ds经由审核、注册后烧录到医方的签署装置Dsd里；将患方原始电子签名制作数据--签章Dp经由审核、注册后烧录到患方的多功能诊疗与签署装置Dpd里；医患双方的原始电子签名制作数据--签章Ds、Dp分别传送到验证公正服务器As，通过注册审核、验证算法实现电子签名制作数据--签章的专有化；

1-3）医方签署：在医方的签署装置Dsd里，将医方原始电子签名制作数据--签章Ds与自取动态变量参数hs或网获动态变量参数hss，经数据融合（Data fusion）运算生成一次一密的医师签署电子签名制作数据--签章Dss：

Dss =Ds（Data fusion）hs

Dss =Ds（Data fusion）hss

医师计算机将医方的签署电子签名制作数据--签章Dss经数据嵌入（Data embedding）运算加载、固化到待签电子病历Temr上，生成医方签署电子病历Semrs：

Semrs = Dss（Data embedding）Temr

医师计算机将签署时刻的自取动态变量参数hs或网获动态变量参数hss、签署电子签名制作数据--签章Dss、签署电子病历Semrs共同组成电子病历的文件证据链hs+Dss+Semrshs或hss+Dss+Semrs；用文件证据参数经由哈希运算构成的数据证据链Hhs+Hdss+Hsemrs或Hhss+Hdss+Hsemrs，以分布式存储方式将文件证据和数据证据存储于患方的多功能诊疗与签署装置Dpd、医方的签署装置Dsd、数据存储服务器Ab、验证公正数据服务器As；

1-4）患方签署：患方的签署装置Dpd里将患方原始电子签名制作数据--签章Dp参数与自取动态变量参数hp或网获动态变量参数hps,经数据融合（Data fusion）运算生成一次一密的患方签署电子签名制作数据--签章Dps：

Dps =Dp（Data fusion）hp

Dps =Dp（Data fusion）hps

医师计算机将患方的签署电子签名制作数据--签章Dps经数据嵌入（Data embedding）运算加载、固化到待签电子病历Temr上或医方签署电子病历Semrs上，生成患方签署电子病历Semrp：

Semrp = Dps（Data embedding）Temr

医师计算机将患方自取动态变量参数hp或网获动态变量参数hps、患方签署电子签名制作数据--签章Dps、患方签署电子病历Semrp共同组成电子病历的文件证据hp+Dps+Semrp或hps+Dps+Semrp；用文件证据参数经由哈希运算构成的数据证据参数Hhp+Hdps+Hsemrp或Hhps+Hdps+Hsemrp，以分布式存储方式存储于患方的多功能诊疗与签署装置Dpd、医方的签署装置Dsd、数据存储服务器Ab、验证公正数据服务器As；

所述医方签署和患方签署由双方多环节依据上述流程进行签署，以最终签署的电子病历，为所有签署方认可版，并对其负责；

1-5）电子病历安全存储：系统设置电子病历文件证据、数据证据的数据存储服务器Ab，采用的数据冗余容错、查错及纠错算法，以保证病历数据和证据数据的无损存储；患方、医方和验证公正方还采取了互备份、互监管的方法对文件进行加密的存储，数据的存入、输出授权判别机制以及密钥判断逻辑，禁止单方面改动、未经授权的查阅、复制；

1-6）签署电子病历的验证、公正：系统设置的非第三方的证据验证算法内部验证公证服务器As，借助数据证据参数的举证和质证算法以及智能逻辑推理运算判定电子签名制作数据--签章真伪，结合文件证据参数的验证算法判定电子病历数据的原始性和完善性，并给出判定结果公正文书及通知；

1-7）电子病历的管理：对诊疗过程中产生的电子病历及其它医疗记录、档案进行综合管理，包含利用签署到电子病历上的病历属性章进行自动分类，并按照分类进行加密、输入到对应数据库，以及电子病历授权解密、查阅、下载输出。

2.根据权利要求1所述实现医患共同签章认证电子病历系统的方法，其特征在于：

所述医方包含医生、护士、医务工作者及医疗机构，专有的医方电子签名制作数据--签章由医方信息采集装置采集的身份和资质信息获得；所述的患方包含患者本人、陪护及其他和患者有关系的关联者，专有的患方原始电子签名制作数据--签章由电子挂号机采集身份信息而获得，亦可由人工挂号获得；

无论是医方或患方，其身份信息中至少有一个具有客观存在或主观授予法律内涵和可信特征属性的且可直示的数据，所述的身份信息的数据被用来做患方挂号和签署注册共用参数；将身份信息的数据转换为可视化的签署标识，并将其分别置入医方的签署装置、患方的签署装置和注册服务器、验证公正数据存储服务器。

3.根据权利要求1所述实现医患共同认证电子病历系统的方法，其特征在于：

所述医方的原始电子签名制作数据--签章、患方的原始电子签名制作数据--签章取自于法定且可读的身份信息的数据，包含文字、图形格式的数据、生物特征码；还可以采用本系统里具有共识和认可的其它类型的数据；医方和患方的原始电子签名制作数据--签章由直读的电子印章的印模，指纹、水印、标识图形；非直读的数字证书的公钥密码，条形码、二维码以及网络ID。

4.根据权利要求1～3任一所述实现医患共同签章认证电子病历系统的方法，其特征在于：

所述的医方的签署装置，是一个微型计算机系统，系统里有一个利用自取动态变量参数对医方原始电子签名制作数据--签章进行数据融合（Data fusion）运算的算法程序，还有医方的原始电子签名制作数据--签章存储区、参与运算的（真随机数）自取动态变量参数、时间、密钥、监管码；还设置了电子病历数据库、电子证据数据库，签署次数、存储容量计数器，以及自动化的离线和重新接入程序和机构；医方的签署装置设计为便携式装置，通过USB或蓝牙通讯与医师计算机接口；

所述患方的多功能诊疗与签署装置，是一个微型计算机系统，完成挂号、医疗费用的结算及账务记录、电子病历签署、签署病历及其证据存储功能；其签署部分包含了一个利用自取动态变量参数对患方原始电子签名制作数据--签章进行数据融合（Data fusion）运算的算法程序，还有患方的原始电子签名制作数据--签章存储区、参与运算的（真随机数）自取动态变量参数、时间、密钥、监管码；还设置了电子病历数据库、电子证据数据库；患方的签署装置设计为便携式装置，通过USB接口、蓝牙接口、以及CPU卡读写装置与医师计算机接口。

5.根据权利要求4所述实现医患共同签章认证电子病历系统的方法，其特征在于：

所述对原始电子签名制作数据--签章的签署标识加密运算：

1）以签署时从系统网络获取的实时时间数据做网获动态变量参数、或者从签署装置处理器生成的真随机数作为自取动态变量参数，与原始电子签名制作数据--签章经数据融合（Data fusion）运算、关联后，构成可视化隐含加密的签署标识；

2）以签署时从电子病历系统的网络获取的实时时间数据做网获动态变量参数，与原始电子签名制作数据--签章经数据嵌入（Data embedding）运算、关联后构成可视化的明示加密的签署标识；

3）以签署时从电子病历系统的网络获取的实时时间数据做网获动态变量参数，先与原始电子签名制作数据--签章经数据嵌入（Data embedding）运算、关联，再进行数据融合（Data fusion）运算、关联，构成既有明示也有隐含加密的签署标识。

6.根据权利要求5所述实现医患共同签章认证电子病历系统的方法，其特征在于：

所述数据融合算法其程序是：将原始电子签名制作数据--签章和自取（或网获）动态变量参数数据转换为二进制数据，两种数据在数据位（bit）上进行数学或逻辑运算，运算后获得原始电子签名制作数据--签章和自取（或网获）动态变量参数融为一体且具有差异化的结果，作为签署电子签名制作数据--签章；

所述数据嵌入（Data embedding）运算其程序是：将待签电子病历数据和签署电子签名制作数据--签章以不改变待签电子病历内容含义而实施的加载及固化的操作程序，生成为签署电子病历。

7.根据权利要求6所述实现医患共同签章认证电子病历系统的方法，其特征在于：

所述的文件证据参数至少包含：自取（或网获）动态变量参数、签署电子签名制作数据--签章参数、签署电子病历文件参数；

所述的数据证据参数至少包含：自取（或网获）动态变量哈希函数、签署电子签名制作数据--签章哈希函数、签署电子病历文件哈希函数。

8.根据权利要求7所述实现医患共同签章认证电子病历系统的方法，其特征在于：所述电子签名制作数据--签章原始性的举证、质证验证算法：

1）医方举证：在医方的签署装置Dsd里，将医方原始电子签名制作数据--签章Ds与自取或网获的动态变量参数hp、hps经数据融合（Data fusion）运算生成医师签署电子签名制作数据--签章Dss：

Dss =Ds（Data fusion）hp

Dss =Ds（Data fusion）hps

将Dss和hp、hps打包为Dss+hp或Dss+hps由医师计算机上传到验证公正数据服务器As进行举证；

2）数据存储服务器举证：验证公正数据服务器As接收传来的举证参数Dss+hp或Dss+hps，将hp或hps作为动态变量参数,传送给数据存储服务器Ab，数据存储服务器Ab用hp或hps与存储的医方原始电子签名制作数据--签章Ds经数据融合（Data fusion）运算，生成数据存储服务器Ab签署电子签名制作数据--签章Ads：

Ads =Ds（Data fusion）hp

Ads =Ds（Data fusion）hps

将Ads和hp或hps打包为Ads+hp或Ads+hps由医师计算机上传到验证公正服务器As进行举证；

3）验证公正服务器As接收医方上传的Dss+hp或Dss+hps和数据存储服务器上传的Ads+hp或Dss+hps；做逻辑质证运算：

质证运算：Dss+hp（XOR）Ads+hp

质证运算：Dss+hps（XOR）Ads+hps

Dss+hp（XOR）Ads+hp=1时 :Dss+hp ≠ Ads+hp————（式1）

Dss+hp（XOR）Ads+hp=0时 :Dss+hp = Ads+hp————（式2）

Dss+hps（XOR）Ads+hps=1时：Dss+hps ≠Ads+hps————（式3）

Dss+hps（XOR）Ads+hps=0时：Dss+hps =Ads+hps————（式4）

质证结果：

（式1、式3）：医方传来与数据存储服务器存储的电子签名制作数据--签章不符；

（式2、式4）：医方传来与数据存储服务器存储的电子签名制作数据--签章符合。

9.根据权利要求8所述实现医患共同签章认证电子病历系统的方法，其特征在于：所述电子病历原始性验证算法：

1）电子病历证据验证法：计算欲验证电子病历的数据证据Hsemr（x）与签署时存储的同一电子病历的数据证据Hsemr进行逻辑判断运算：

判断运算：Hsemr（x）（XOR）Hsemr

Hsemr（x）（XOR）Hsemr =1时 ：Hsemrx ≠ Hsemr————（式5）

Hsemr（x）（XOR）Hsemr =0时 ：Hsemrx = Hsemr————（式6）

判断运算结果：

（式5）：欲验证数据证据与签署时存储的同一数据证据不同

（式6）：欲验证数据证据与签署时存储的同一数据证据相同

2）电子病历文件比对验证法：将欲验证电子病历Semrpx的文件证据与签署时传送到数据存储服务器的电子病历Semrp文件证据进行内容的比对，将病历文件中不同之处进行标注，并将结果生成验证查询信息。

10.根据权利要求9所述实现医患共同签章认证电子病历系统的方法，其特征在于：

所述电子病历的管理环节还设置系统堡垒机实现医患身份认证管理、病历操作授权管理，系统运维事件中的事中控制，系统运维事件中的事后审计，记录和管理电子病历系统运行过程产生的所有信息，提供医患双方电子签名全过程数字证据存证、查询、追溯服务，以及电子病历的生命周期管理。

Images