一、需求描述

    大型医院（三甲医院）对为其提供医疗器械和药品等供货商通常有6个月左右的账期，考虑到三甲医院的运营状态和付款能力，银行可以将医院开出的应付账单作为医院耗材供应商贷款具备偿还能力的凭证。本平台用于医院、供应商、银行之间的对接，为耗材供应商向银行贷款和银行放款风险评估作为参考，主要解决此凭证（应付账单）的身份认证、机密性保护、有效性和不可篡改性的验证功能。

(1) 医院通过MIS或者手工导出应付账单，操作员-财务-主管院长签名认证；

(2) 医院的应付账单通过系统，可发送给相应银行，同时每份单据在系统有存档（医院和银行可具备N对N的机制，提供给供货商更多贷款选择）；

(3) 供货商可根据单据，向银行协商贷款；

(4) 医院的应付账单在签名审批后在传输过程中，具备身份认证功能，数据机密性、不可篡改性需要保证，同时凭证具备可验证性。

二、系统方案

本方案用来处理医院生成的凭据，由医院产生，银行使用，平台运营者有存档，客户可查询。该系统需要具备数字签名技术、身份认证、加密、完整性认证等功能。系统在WORD、EXCEL文件格式上实现电子签名，移动终端上的安全芯片进行身份认证，可将签章和文件绑定在一起；系统通过密码验证、签名验证、数字证书确保文档有效性、性和不可抵赖性。

1、数字签名基本原理       

数字签名基于对称加密算法、非对称加密算法以及单向散列算法（Hash函数），其原理如下：

(1) 医院先预设一个对称密钥并生成账单明文；

(2) 医院用Hash函数对账单明文进行摘要，并用自己的私钥加密该摘要以及预设的对称密钥；

(3) 医院使用预设的对称密钥对账单明文进行加密，得到账单密文；

(4) 医院将账单密文、私钥加密后的摘要和对称密钥进行绑定发送给银行；

(5) 银行用医院提供的公钥解密接收到的加密摘要和对称密钥，并得到摘要和对称密钥；

(6) 银行使用对称密钥对接收到的账单密文解密得到账单明文；

(7) 银行对账单明文用同一Hash函数进行摘要；

(8) 银行需要对两次所得的摘要进行对比，如果相同，即可通过验证。

2、 CA数字证书认证

CA数字证书受理系统有两种选择：自建CA数字证书系统和采用基于权威第三方CA数字证书受理系统。两者优缺点如下表所示：

从表中可以得知：

Ø 若用户数量不多且需要在较短的时间内完成项目，可选择第三方CA数字认证服务。

Ø 若用户数量众多、有充分项目时间、对长期的成本来算，自建CA数字认证受理系统较好

1）使用第三方CA数字证书受理系统如图2

2）自建CA证书受理业务流程如图3

3、系统总体架构

系统的总体架构如图4所示，主要由业务系统、数字签名认证系统、CA数字证书受理系统三大部分组成。

利用CA证书验证签名数据时，都遵循相同的验证流程，一个完整的验证过程由以下几步：

（1） 将接收的数据分为原始数据流、签名数据和用户证书三部分；

（2） 用CA根证书验证用户证书的签名完整性；

（3） 检查用户证书是否有效（当前时间在证书的有效期内为有效）；

（4） 检查用户证书是否作废 (OCSP方式或证书撤销列表CRL方式)；

（5） 验证用户证书结构中的证书用途；

（6） 用户证书验证原始数据的签名完整性。

如果上述各项均验证通过，则接受该数据；只要有一项未通过，则验证失败。

三、 硬件方案

1. 证书下载到专用的安全存储卡内，安全存储卡内置SE单元，此SE芯片可装载证书，内嵌的用于安全应用的32位ARM核，可利用RSA 1024/2048完成签名和密钥对生成等功能，同时支持AES/DES/3DES等分组加密功能，可生成数据摘要。此安全芯片可以有效防止温度、电压、频率攻击。上述操作均在安全存储卡内安全芯片完成，有效避免了基带处理器的运行敏感程序带来的风险。

2. 可通过医院发放此专用安全存储卡来进行授权，进行凭据的生成、签名、审批、发送等操作。上述过程可通过手机APP完成，也可通过PAD插安全存储卡进行，也可设计专门的硬件，只需留下ISO7816接口和卡槽即可。后续设计中，如果能结合指纹来设计授权访问，则安全性有更高的保障。

3. 银行端可类似的利用PAD+安全存储卡的方式来进行，数据的解密、签名认证、数据完整性检查等功能。医院端数据进行加密+签名摘要，即打包数据这个在银行端是无法生成，可能的风险在于凭据解密后数据的篡改，因此为保障银行端的人为的数据完整性，可增加层级审批，即不止一个人可看到医院的数据，并进行审批。