一种基于安全保障和分布式技术的医学数据交换装置的制作方法

本实用新型涉及计算机设备领域，具体涉及一种基于安全保障和分布式技术的医学数据交换装置。

背景技术：

目前在区域内已经建成电子健康档案中心的医院，会按国家卫健委发布的电子病历共享文档规范以及健康档案共享文档规范将医学共享文档标准化后上传到区域电子健康档案中心，实现健康档案在区域范围内的共享。在医院端，医学共享文档上传通过前置服务器完成。前置服务器作为网关，会提供院内外信息传输的通道。其中，院内互联互通技术方面，集成交换平台一直是医院信息平台的重要部分，院内系统都是依赖其作为底层核心的支撑作用实现互联互通，这种方案是针对院内集成环境设计，考虑在医院内网环境下的系统互联，在安全性方面存在先天的不足，数据基本上是在“裸奔”；而医院对外互联互通技术方面的方案基本上都是通过前置服务器完成，前置服务器作为网关，提供内外信息传输的通道，实现院内院外互联互通，医院端的前置服务器实现了简单的安全措施来保护信息安全，缺乏系统性的安全考虑。

技术实现要素：

针对上述技术问题，本实用新型提供一种基于安全保障和分布式技术的医学数据交换装置。

本实用新型解决上述技术问题的技术方案如下：一种基于安全保障和分布式技术的医学数据交换装置，包括主机设备、密码卡、前面板控制部件和网卡，其中，所述主机设备包括机箱、主板、cpu、内存、硬盘和电源；所述前面板控制部件设置在所述机箱的前面板，包括ic卡读卡器、指示灯、密钥销毁按钮和安全状态锁；所述密码卡和网卡均安装在所述主板上且与所述主板连接，所述前面板控制部件均与所述密码卡连接。

本实用新型的有益效果是：采用密码卡实现相关的密码运算和设备主密钥的安全存储，保证了医学数据交换装置的算法安全和密钥安全，并且通过连接在密码卡上的密钥销毁按钮，实现紧急情况下的密钥销毁功能，另外还通过ic卡读卡器提供ic卡读写功能，便于进行设备管理或密钥管理安全控制的身份认证，从而为院内外文档的共享交换过程提供安全保障。

在上述技术方案的基础上，本实用新型还可以做如下改进。

进一步，所述机箱的后面板设置电源接口、电源开关和网络接口。

进一步，所述网络接口的数量为两个，均为千兆网络接口。

进一步，还包括串口，所述串口设置在所述机箱的后面板，与所述主板连接。

进一步，所述串口的数量为两个，且均为rs232串口。

进一步，所述指示灯包括电源指示灯、工作指示灯、安全指示灯、ic卡指示灯和告警指示灯。

进一步，所述安全状态锁包括钥匙开关和两位置电子开关。

附图说明

图1为本实施例提供的一种基于安全保障和分布式技术的医学数据交换装置的连接结构图；

图2为设备上电服务启动总体流程图；

图3为开机卡认证流程图；

图4为上电自检流程图；

图5为工作状态转换原理图。

具体实施方式

以下结合附图对本实用新型的原理和特征进行描述，所举实例只用于解释本实用新型，并非用于限定本实用新型的范围。

本实用新型实施例提供的一种基于安全保障和分布式技术的医学数据交换装置包括主机设备、密码卡、前面板控制部件和网卡，其中，所述主机设备包括机箱、主板、cpu、内存、硬盘和电源；所述前面板控制部件设置在所述机箱的前面板，包括ic卡读卡器、指示灯、密钥销毁按钮和安全状态锁；所述密码卡和网卡均安装在所述主板上且与所述主板连接，所述前面板控制部件均与所述密码卡连接。

具体的，本实施例提供的一种基于安全保障和分布式技术的医学数据交换装置的连接结构图如图1所示，其中，密码卡采用自主研发的sjk1557pci-e密码卡，提供各类密码算法，并保障设备主密钥的安全存储。sjk1557pci-e密码卡是北京江南天安科技有限公司研制的具有高运算性、高安全性、高性价比的pci-e密码设备。采用支持多种国密局批准的密码算法和采用经国密局批准的专用密码芯片构成的新一代密码卡。此密码卡适用于pki系统及各类应用系统进行高速的密码运算，可以满足应用系统数据的签名/验证、加密/解密的要求，同时提供安全、完善的密钥管理机制。同时采用了专用的硬件算法芯片，实现了高速密码运算。sjk1557pci-e密码卡主要使用宏思hs32u2(国密批号：ssx0912)、华大is32u256a(国密批号：ssx1014)实现密钥安全存储和密码算法的高效计算。

主机设备的构成元件中，机箱采用2u工业级机箱，支持2个硬盘位，带机箱盖锁，箱体尺寸为88.1mm(高)×482.6mm(宽)×550mm(深)，包装尺寸为280mm(高)×550mm(宽)×740mm(深)，重量19kg，颜色为黑色，外壳结构为高强度进口铝合金面板，表面拉丝氧化处理，安装方式为19″上架式；主板采用supermicrox10sll+-f主板；cpu采用intelcoretmi3-4170，双核四线程，主频3.7ghz；内存采用kingstonddr13334g；硬盘采用atasatadom-sv3se，4g盘；电源为500wfsp。

网卡采用板载inteli210gigabit双千兆网卡。

前面板控制部件中，指示灯包括电源指示灯、工作指示灯、安全指示灯、ic卡指示灯和告警指示灯。安全状态锁包括钥匙开关和两位置电子开关。

可选地，在该实施例中，所述机箱的后面板设置电源接口、电源开关和网络接口。

其中，所述网络接口的数量为两个，均为千兆网络接口。

可选地，在该实施例中，还包括串口，所述串口设置在所述机箱的后面板，与所述主板连接。

其中，所述串口的数量为两个，且均为rs232串口。

本实施例提供一种基于安全保障和分布式技术的医学数据交换装置在硬件上所采用的安全性设计包括以下几个方面：

(1)密码卡的安全使用机制

采用sjk1557pci-e密码卡实现相关的密码运算和设备主密钥的安全存储，进一步保证了产品的算法安全和密钥安全。

(2)密码运算单元的安全设计

密码运算单元为sjk1557pci-e密码卡，在硬件设计时可以考虑以下几个方面的安全性：印制电路板设计、防探测设计、元器件选型、密钥存储部件、机箱设计。以上安全措施，能保证该装置具有较好的物理安全性。

(3)物理通信接口设计

提供必要的物理通信接口，包括：管理串口、主机服务网口、ic卡插口。

其中，管理串口，用于连接设备管理服务客户端，提供设备管理配置和设备诊断等功能；

主机服务网口，用于连接业务系统主机，提供tcp/ip协议的主机密码服务；

ic卡插口，提供ic卡读写功能，进行设备管理或密钥管理安全控制的身份认证。

(4)密钥销毁机制设计

通过连接在密码卡上的密钥销毁按钮，实现紧急情况下的密钥销毁功能。在紧急情况下，管理员需要长按密钥销毁按钮，服务器通过由慢变快的蜂鸣器警示，10秒后进行密钥销毁，清除内部存储的所有密钥数据。

以下说明本实施例提供的装置的工作流程，需要说明的是，以下内容仅作为示例，并不用以限制本装置，本领域技术人员可根据实际需要采用其他现有的软件流程来实现。

该装置从开机到进入工作状态，需要安装设备主密钥和用户密钥，才能正常工作，具体启动流程如图2所示，服务器上电后，首先完成操作系统的启动，然后运行密码模块服务启动脚本，依次启动：

(1)系统初始化，根据配置文件进行网络端口的配置；

(2)加密卡服务进程，为了高效并发调用加密卡，密码卡采用内部socket服务形式对服务器软件服务层提供密码运算等功能接口；

(3)运行环境初始化，创建内部服务所需要的各类系统ipc，共享内存、队列、信号量，并初始化共享内存；

(4)启动串口管理服务进程，打开所需ipc，连接密钥库，调用密码卡进行开机卡认证合成设备保护密钥，将密钥库中存储的密钥装载到共享内存中，打开管理串口设备，循环接收管理客户端请求，处理后返回应答；

(5)启动tcp/ip主机服务进程，打开所需ipc，连接密钥库，以epoll机制处理客户端连接和业务请求，处理后返回应答；

(6)启动设备监控进程，首先初始化前面板各指示灯/蜂鸣器的状态，然后进行内部关键模块自检，包括物理噪声源、算法模块、密钥库，若自检失败则告警灯以不同的频率闪动报警，通过后蜂鸣器响1秒标识设备服务已准备好；循环检测设备运行状态并以指示灯蜂鸣器等提示。

其中，关于开机卡认证方面，系统启动过程中，在完成系统环境的初始化后，串口管理服务中将进行开机卡认证，若是认证失败则仅提供与密码运算、密钥管理无关的设备配置服务。开机卡认证流程通过调用密码卡完成，具体流程如图3所示，包括：

(1)通过与ic卡间的双向认证后，读取ic卡中数据，获得管理密钥分量2；

(2)加密卡内读取芯片flash中管理密钥分量1和校验值；

(3)将两个分量异或运算获得管理密钥，重新计算出新的校验值；

(4)比较两个校验值，一致则认证通过，否则报错，并由设备监控程序控制前面板告警灯亮，标识开机卡认证失败。

上电自检流程如图4所示。

随机数自检方面，服务器每次开机上电时的随机数合规性检测主要工作过程为：

a)通过内部命令向密码卡发送生产随机数命令，每次获取125000字节(1000000比特)随机数，依据gm/t0005-2012《随机性检测规范》进行检测，15项全部通过为本次测试通过，任一项未通过，视为本次检测测试失败。

b)重复步骤a)20次。

c)20次随机数检测20次通过后认为上电随机数自检通过。否则重新产生再全部测试一次，如仍未通过，开机自检失败，告警灯闪，蜂鸣器间歇告警(10次响声)，服务器不提供密码服务并记录日志。

算法有效性自检主要包括：sm2、sm3、sm4算法的自检。

其中，sm2算法自检的流程包括：

采用预置私钥对预置密文进行解密，将运算结果与预置明文进行比对，相同则继续，否则失败退出；

采用预置公钥对预置签名值进行验签，验签通过则继续，否则失败退出。

采用预置公钥对预置明文加密，使用预置私钥对加密的数据结果进行解密，将解密后的结果与预置明文进行比对，相同则继续，否则失败退出；

采用预置私钥对预置待签名数据进行签名，采用预置公钥对签名值验签，验签通过则继续，否则失败退出；

重复上述步骤5次(5次使用相同数据)，如5次全部通过则自检通过，否则自检失败并记录日志。

sm3算法自检的流程包括：

调用sjk1557pci-e密码卡的sm3摘要算法，对预置明文进行摘要运算，如失败则判定自检失败，比较产生的摘要值是否和预置的明文一致，不一致则自检失败；

重复上述步骤5次(5次使用相同数据)，如5次全部通过则自检通过，否则自检失败并记录日志。

sm4算法单元有效性检测的流程包括：

调用sjk1557pci-e密码卡的sm4-ecb加密算法，对预置明文进行加密运算，如失败则判定自检失败，比较产生的密文是否和预置的密文一致，不一致则自检失败；调用sjk1557pci-e密码卡的sm4-ecb解密算法，对预置密文进行解密运算，如失败则判定自检失败，比较解密后的结果是否和预置明文一致，不一致则自检失败；

调用sjk1557pci-e密码卡的sm4-cbc加密算法，对预置明文和iv值进行加密运算，如失败则判定自检失败，比较产生的密文是否和预置的密文一致，不一致则自检失败；调用sjk1557pci-e密码卡的sm4-cbc解密算法，对预置密文和iv值进行解密运算，如失败则判定自检失败，比较解密后的结果是否和预置明文一致，不一致则自检失败；

重复上述步骤5次(5次使用相同数据)，如5次全部通过则自检通过，否则自检失败并记录日志。

综上所述，如果sm2、sm3、sm4三种算法的自检都成功，则算法有效性自检成功，否则自检失败。

密钥库完整性自检方面，服务器启动时，读取密钥库文件，计算整个密钥库文件的sm3摘要，将结果与存储的密钥库摘要比对，一致则认为密钥库完整有效，否则自检失败并记录日志，前面板的告警灯闪烁告警，1秒闪1次。

工作状态转换方面，工作状态分两种，初始状态和就绪状态，状态机模型如图5所示，设备按照是否能够执行密码运算划分“初始状态”和“就绪状态”。在初始状态下，未安装设备密钥，不对外提供主机服务；在就绪状态下，已安装设备密钥，可对外提供主机服务。初始状态下的功能是除可读取设备信息，设备密钥生成、恢复操作外，不能执行任何操作；就绪状态的功能是可执行任何操作，并对外提供主机服务。使用设备管理软件，完成设备初始化过程，生成或恢复设备密钥，则初始状态转换为就绪状态，在下面两种情况下则由就绪状态转换为初始化状态：(1)使用设备管理软件，初始化操作时，擦除内部所有密钥。(2)通过长按密钥销毁按钮，擦除内部所有密钥。

以上所述仅为本实用新型的较佳实施例，并不用以限制本实用新型，凡在本实用新型的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本实用新型的保护范围之内。