基于區(qū)塊鏈的健康醫(yī)療從業(yè)人員身份標識技術(shù)規(guī)范第1部分：存證與應(yīng)用模型范圍T/CHIAxx.1的本部分規(guī)定了基于區(qū)塊鏈的健康醫(yī)療從業(yè)人員身份標識存證與應(yīng)用技術(shù)模型。本部分適用于指導(dǎo)基于區(qū)塊鏈的健康醫(yī)療從業(yè)人員的身份標識存證與應(yīng)用系統(tǒng)的開發(fā)應(yīng)用。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語GB/T2261.2-2003個人基本信息分類與代碼第2部分：婚姻狀況代碼GB/T2261.4-2003個人基本信息分類與代碼第4部分：職業(yè)類別代碼GB/T3304-1991中國各民族名稱的羅馬字母拼寫法和代碼YD/T3203-2016網(wǎng)絡(luò)電子身份標識eID術(shù)語和定義WS218-2002衛(wèi)生機構(gòu)（組織）分類與代碼WS364.3-2011衛(wèi)生信息數(shù)據(jù)元值域代碼第3部分：人口學(xué)及社會經(jīng)濟學(xué)特征T/CESA1048-2018區(qū)塊鏈存證應(yīng)用指南T/CESA1049-2018區(qū)塊鏈隱私保護規(guī)范術(shù)語和定義GB/T25069-2010、YD/T3203-2016、T/CESA1048-2018、T/CESA1049-2018界定的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重復(fù)列出GB/T25069-2010、T/CESA1048-2018、T/CESA1049-2018中的某些術(shù)語和定義。區(qū)塊鏈blockchain一種在對等網(wǎng)絡(luò)環(huán)境下，通過透明和可信規(guī)則，構(gòu)建不可偽造、不可篡改和可追溯的塊鏈式數(shù)據(jù)結(jié)構(gòu)，實現(xiàn)和管理事務(wù)處理的模式。事務(wù)處理包括但不限于可信數(shù)據(jù)的產(chǎn)生、存取和使用等。[T/CESA1048-2018，定義3.1.3]。身份標識identification標識identification對從業(yè)人員身份進行標識和認定。身份信息identifiableinformation可識別個人身份的信息，主要包括個人唯一標識、個人基本信息、醫(yī)師執(zhí)業(yè)證書、醫(yī)師資格證書、護士執(zhí)業(yè)證書等。區(qū)塊鏈存證blockchainproofofexistence存證proofofexistence為了保證存證信息（電子數(shù)據(jù)）的完整性和真實性，采用區(qū)塊鏈技術(shù)實現(xiàn)多節(jié)點共識的存證服務(wù)。[T/CESA1048-2018，定義3.1.4]加密encipherment；encryption對數(shù)據(jù)進行密碼變換以產(chǎn)生密文的過程。一般包含一個變換集合，該變換使用一套算法和一套輸入?yún)⒘?。輸入?yún)⒘客ǔ１环Q為密鑰。[GB/T25069-2010，定義2.1.4]非對稱密鑰對asymmetrickeypair一對相關(guān)的密鑰，其中私有密鑰規(guī)定私有變換，公開密鑰規(guī)定公開變換。[GB/T25069-2010，定義2.2.2.33]本規(guī)范中，私有密鑰簡稱為私鑰，公有密鑰簡稱為公鑰。摘要算法digestalgorithm摘要計算digestcalculation哈希算法hashalgorithm通常通過將任意長度的消息輸入變成固定長度的短消息輸出來保障數(shù)據(jù)的完整性。[T/CESA1048-2018，定義3.1.7]哈希值hashvalue通過摘要算法計算的結(jié)果值。數(shù)字簽名digitalsignature附加在數(shù)據(jù)單元上的數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和完整性，并保護數(shù)據(jù)防止被人（例如接收者）偽造或抵賴。[GB/T25069-2010，定義2.1.2]鑒權(quán)機制authenticationmechanism鑒權(quán)機制authenticationmechanism驗證用戶是否擁有訪問系統(tǒng)權(quán)限的機制。[T/CESA1048-2018，定義3.1.2]存證過程proofofexistenceprocess在區(qū)塊鏈網(wǎng)絡(luò)中，電子數(shù)據(jù)生成、收集、存儲、傳輸?shù)倪^程。[T/CESA1048-2018，定義3.1.15]共識機制consensusmechanism通過特殊節(jié)點投票，完成對交易的驗證和確認。。[T/CESA1048-2018，定義3.1.16]智能合約smartcontract以數(shù)字形式定義的能夠自動執(zhí)行條款的合約。[T/CESA1048-2018，定義3.1.17]角色role一組服務(wù)于共同目的的活動集合。[GB/T32399-2015,定義2.1.9]活動action為完成業(yè)務(wù)目標所進行的業(yè)務(wù)操作。活動由目的、動機和動作構(gòu)成,具有完整的結(jié)構(gòu)體系?？s略語下列縮略語適用于本文件。API：應(yīng)用程序接口（ApplicationProgramInterface）DSA：數(shù)據(jù)簽名算法（DigitalSignatureAlgorithm）eID：網(wǎng)絡(luò)電子身份標識（Electronicidentity）SNTP:簡單網(wǎng)絡(luò)時間協(xié)議（SimpleNetworkTimeProtocol）標識信息與活動5.1概述健康醫(yī)療從業(yè)人員在網(wǎng)絡(luò)化應(yīng)用系統(tǒng)中的個人電子身份標識及信息，并通過區(qū)塊鏈注冊存證獲得有效性的證明；身份標識持有者可進一步公示所持有的個人信息，以及醫(yī)療相關(guān)身份證件，如醫(yī)師資格證、醫(yī)師執(zhí)業(yè)證書等；身份標識監(jiān)管者可對所持有的身份信息進行驗證、或頒發(fā)新的身份信息證件。5.2編碼要求標識信息相關(guān)編碼應(yīng)遵循GB/T2261.2、GB/T2261.4、GB/T3304、WS218、WS364.3要求。5.3角色健康醫(yī)療從業(yè)人員身份標識建立、管理與應(yīng)用角色包括：a)標識持有者：標識所代表的個人，注冊、更新、公示標識及身份信息；b)身份證件頒發(fā)者：頒發(fā)個人身份信息相關(guān)的電子證件，包括個人身份證（eID）、執(zhí)業(yè)資格證書、執(zhí)業(yè)證書等；c)標識信息審核者：負責(zé)對標識相關(guān)的信息的真實性進行審核，包括個人信息審核者、執(zhí)業(yè)資格信息審核者、執(zhí)業(yè)信息審核者等；d)標識信息驗證者：對標識的有效性進行驗證；e)標識應(yīng)用授權(quán)者：對經(jīng)驗證的標識持有者進行授權(quán)；f)標識信息審計者：對標識創(chuàng)建、更新、審核、訪問、應(yīng)用操作過程進行審計、追溯。5.4活動5.4.1存證健康醫(yī)療從業(yè)人員或通過代理可在指定的區(qū)塊鏈網(wǎng)絡(luò)，通過健康醫(yī)療從業(yè)人員標識注冊系統(tǒng)注冊身份標識，注冊的同時，包含通過DSA對健康醫(yī)療從業(yè)人員標識信息的數(shù)字簽名以及在指定區(qū)塊鏈的存證，并成為該身份標識的持有者。5.4.2更新身份標識持有者可修改、補充更新身份信息，更新信息自動存證，但不可變更身份標識。5.4.3公示身份標識持有者可在區(qū)塊鏈網(wǎng)絡(luò)中公示身份信息，公示信息自動存證。5.4.4頒發(fā)身份證件 身份證件頒發(fā)者可向身份標識持有者頒發(fā)電子身份證件，包括個人身份證（eID）、執(zhí)業(yè)資格證書、執(zhí)業(yè)證書等電子證明。5.4.5審核監(jiān)管機構(gòu)可對個人申明的身份信息進行審核，包括：a)個人身份信息審核者對個人基本身份信息進行審核；b)執(zhí)業(yè)資格信息審核者對個人身份標識持有者的執(zhí)業(yè)資格進行審核；c)執(zhí)業(yè)信息審核者對個人身份標識持有者的執(zhí)業(yè)信息進行審核。5.4.6驗證標識信息驗證者可對標識的有效性進行驗證。5.4.7鑒權(quán)標識信息驗證者可甑別身份標識持有者的身份信息的類別、級別、可信等級、證書狀態(tài)等信息，以及在應(yīng)用系統(tǒng)中所擁有的權(quán)限。5.4.8審計對標識創(chuàng)建、更新、審核、訪問、應(yīng)用操作過程進行審計、追溯，判斷過程的合規(guī)性A。標識存證與應(yīng)用存證與應(yīng)用模型健康醫(yī)療從業(yè)人員身份標識存證系統(tǒng)模型應(yīng)符合T/CESA1048-2018區(qū)塊鏈存證應(yīng)用模型定義，包含有效性原則、相關(guān)方和區(qū)塊鏈存證識別關(guān)鍵過程，見圖1。圖SEQ圖\*ARABIC1健康醫(yī)療從業(yè)人員身份存證識別模型有效性原則包括存證識別業(yè)務(wù)系統(tǒng)、電子數(shù)據(jù)存取的有效性、時間有效性、存證證明機構(gòu)的有效性以及存證核驗的有效性。相關(guān)方分為健康醫(yī)療從業(yè)人員身份識別存證業(yè)務(wù)相關(guān)方、區(qū)塊鏈存證系統(tǒng)支持相關(guān)方。健康醫(yī)療從業(yè)人員身份識別存證系統(tǒng)關(guān)鍵過程包括定義區(qū)塊鏈網(wǎng)絡(luò)及共識機制、健康醫(yī)療從業(yè)人員相關(guān)身份信息預(yù)處理、摘要計算及數(shù)據(jù)簽名、健康醫(yī)療從業(yè)人員身份存證、存證公示和查詢、標識驗證、審核與鑒權(quán)、標識信息應(yīng)用與監(jiān)管。有效性原則有效性原則應(yīng)符合T/CESA1048-2018要求，保障標識存證應(yīng)用系統(tǒng)的有效性、標識信息存取的有效性、時間的有效性、存證證明機構(gòu)的有效性、存證審核驗證的有效性。標識存證應(yīng)用系統(tǒng)有效性標識存證應(yīng)用系統(tǒng)應(yīng)：具備完善的標識生成與存證業(yè)務(wù)邏輯，提供全網(wǎng)唯一的存證人識別號，記錄完整的電子數(shù)據(jù)，可提供存證信息查詢功能；具備完善的身份驗證、驗證鑒權(quán)機制和身份認證功能，可對存證人的身份真實性進行認證和校驗，可完整記錄用戶操作日志；具備存證數(shù)據(jù)完整性、機密性的技術(shù)機制，如運用哈希校驗、電子簽名、密碼加密等技術(shù)手段防止存證數(shù)據(jù)被篡改，確保存證數(shù)據(jù)在存儲、傳輸過程中的安全，密碼強度不宜低于256位；標識信息存取的有效性電子數(shù)據(jù)存取的有效性需考慮：存證過程中電子數(shù)據(jù)的哈希值具備唯一性；取證全過程可驗證；多方存證、取證和相互驗證。時間的有效性時間的有效性需考慮：避免電子數(shù)據(jù)中證明性時間的本地化采集；應(yīng)采用國家授時中心提供兩種計算機網(wǎng)絡(luò)時間服務(wù)：SNTP校時軟件服務(wù)和“時間精靈”服務(wù)；引入獨立授時機構(gòu)，為電子數(shù)據(jù)提供可信、可查驗、可追溯的時間戳核驗服務(wù)；電子數(shù)據(jù)時間戳、區(qū)塊鏈系統(tǒng)記錄時間可被核驗；取證過程滿足多個時間點的認證核驗。存證證明機構(gòu)的有效性存證證明機構(gòu)的有效性需考慮：區(qū)塊鏈存證系統(tǒng)引入中立的、具有公信力的機構(gòu)節(jié)點，如公安機關(guān)、司法鑒定中心、授時服務(wù)機構(gòu)、審計機構(gòu)及數(shù)字身份認證中心等；引入機構(gòu)的節(jié)點存證數(shù)據(jù)與其他節(jié)點存證數(shù)據(jù)保持實時同步；機構(gòu)節(jié)點與其他節(jié)點的通信通道做加密處理；機構(gòu)節(jié)點提供的對外服務(wù)接口做加密處理。存證審核驗證的有效性存證審核驗證的有效性需考慮：標識信息的元數(shù)據(jù)信息可被審核驗證；審核驗證按時間順序執(zhí)行；審核驗證支持聯(lián)線狀態(tài)或脫機狀態(tài)。標識信息存證業(yè)務(wù)相關(guān)方內(nèi)部相關(guān)方標識信息區(qū)塊鏈存證系統(tǒng)內(nèi)部相關(guān)方可包括身份標識信息的持有者和使用者、標識信息區(qū)塊鏈存證系統(tǒng)的開發(fā)者、標識信息區(qū)塊鏈存證系統(tǒng)的運行維護者、最終用戶及協(xié)助完成區(qū)塊鏈存證過程的其他成員。身份識別存證業(yè)務(wù)的使用者包含但不限于：存證人（標識信息持有者）：對自身的身份信息進行管理，存證。審核證明機構(gòu)：可對醫(yī)師、護士或其它健康醫(yī)療從業(yè)人員基本信息、執(zhí)業(yè)證書、資格證書等身份信息進行審核、鑒權(quán)；監(jiān)管機構(gòu)：可對從業(yè)人員的身份信息及使用情況進行監(jiān)管。外部相關(guān)方標識信息區(qū)塊鏈存證系統(tǒng)可以依據(jù)業(yè)務(wù)需求引入外部參與者作為鑒證節(jié)點，以對電子數(shù)據(jù)內(nèi)容有效性做出獨立判斷。外部相關(guān)方包括：公安機關(guān)：可對人個信息的真實性進行鑒證；仲裁機構(gòu)：通過仲裁方式解決民事爭議，作出仲裁裁決的機構(gòu)；授時服務(wù)機構(gòu)：承擔(dān)標準時間的產(chǎn)生、保持與發(fā)播，提供標準時間授時服務(wù)的機構(gòu)；數(shù)字身份認證中心：提供數(shù)字證書的頒發(fā)、核驗服務(wù)的機構(gòu)。區(qū)塊鏈存證應(yīng)用支持相關(guān)方標識信息區(qū)塊鏈存證應(yīng)用支持相關(guān)方包括：標識信息區(qū)塊鏈存證服務(wù)提供方：向標識應(yīng)用參與者提供標識信息注冊存證、標識驗證、標識審核、標識應(yīng)用、標識監(jiān)管提供API應(yīng)用接口；標識信息監(jiān)管方：獲取標識信息區(qū)塊鏈存證服務(wù)API,對個人信息的真實性、應(yīng)用安全提供監(jiān)管；標識信息應(yīng)用提供方：通過標識信息區(qū)塊鏈存證服務(wù)API獲取對應(yīng)用程序用戶的身份信息的驗證。關(guān)鍵過程定義區(qū)塊鏈網(wǎng)絡(luò)及共識機制在建立存證系統(tǒng)時，可按需要定義或選擇區(qū)塊鏈網(wǎng)絡(luò)的共識機制。存證的共識機制包括基于工作量的共識機制、基于投票的共識機制、基于公信力節(jié)點的共識機制和其他共識機制。具體內(nèi)容如下：基于工作量的共識機制：基于行為量化等特定算法來確定記賬節(jié)點的共識機制；基于投票的共識機制：基于資源量化等特定算法來確定記賬節(jié)點的共識機制；基于公信力節(jié)點的共識機制：由單個或多個具備公信力的節(jié)點進行鑒證，通過該節(jié)點執(zhí)行強制校驗的共識機制；其他共識機制。健康醫(yī)療從業(yè)人員相關(guān)身份證明數(shù)據(jù)預(yù)處理寫入?yún)^(qū)塊鏈數(shù)據(jù)預(yù)處理時宜：檢查標識信息是否滿足存證要求；檢查標識信息內(nèi)容是否符合法律法規(guī)要求；檢查標識信息的隱私內(nèi)容是否已脫敏，是否涉及其他隱私內(nèi)容；對標識信息進行有效性驗證。電子數(shù)據(jù)簽名對標識信息存證內(nèi)容進行數(shù)據(jù)簽名時：宜使用合法授權(quán)的身份數(shù)字證書；用戶不宜使用被確認泄漏或因其他原因失效的私鑰；用戶宜使用本人的私鑰進行數(shù)字簽名；已簽名的數(shù)據(jù)可在區(qū)塊鏈網(wǎng)絡(luò)內(nèi)驗證。健康醫(yī)療從業(yè)人員標識信息存證存證過程中宜：確保標識信息生成、收集、存儲、傳輸所依賴的計算機系統(tǒng)的硬件、軟件環(huán)境安全、可靠；明確標識信息存儲、介質(zhì)保管的方式和手段；通過節(jié)點向區(qū)塊鏈存證系統(tǒng)發(fā)起標識信息注冊或存證請求進行存證。存證公示和查詢存證數(shù)據(jù)可利用多種方式進行公示和查詢，確保所有區(qū)塊鏈網(wǎng)絡(luò)參與者可查詢存證公示信息。包括：公示可采用網(wǎng)站或公共接口方式；查詢等功能可使用區(qū)塊鏈瀏覽器完成；公示宜體現(xiàn)真實的存證數(shù)據(jù)，并可通過區(qū)塊鏈網(wǎng)絡(luò)中的節(jié)點進行查詢驗證；標識信息驗證與審核標識信息驗證取證時，應(yīng)從區(qū)塊鏈網(wǎng)絡(luò)上直接獲取。提取存證信息時宜：確保取證過程所依賴的計算機系統(tǒng)的硬件、軟件環(huán)境安全、可靠；可重現(xiàn)、提取過程的記錄是連續(xù)的；取證后的驗證、審核信息包括原始存證信息、存證參與者身份信息、存證時間信息、必要的數(shù)