面向醫院內網訪問的安全通訊技術方案設計與實現

趙旭 劉賢蒙 韓曉龍

摘要：區域醫療信息化被公認為是未來醫療行業的發展方向，它要求在不同機構間共享電子醫療數據，這對醫院內網資源的訪問提出了迫切需求。雖然目前有一些內網安全訪問的解決方案，但是存在諸多局限和缺陷，基于開放端口的方式需要路由器權限，且擴展性較差，內網穿透底層協議實現過程復雜，現有的產品也不能很好的適用于當前業務場景。

關鍵詞：內網訪問；安全通訊；設計

前言

區域醫療信息化，指在一定區域范圍內，利用現代化計算機網絡和通訊技術，實現各家醫療機構各種信息系統的互聯互通和數據共享，一方面為衛生管理機構、患者以及醫療支付方等提供業務和技術平臺，另一方面為公共衛生、醫療服務以及衛生行政管理提供支持。應用實踐表明，區域醫療信息化可有效提升醫療服務效率、質量和安全并且降低醫療費用，被公認為未來醫療行業的發展方向。

1內網訪問需求分析

1.1保證安全

實現遠程訪問的前提是保證信息安全，一方面要保證已有業務正常運行，不被攻擊，另一方面保證數據安全，不能被竊取、篡改、惡意刪除。要想保證信息安全，首先需要了解有哪些威脅存在。計算機網路上的通訊面臨以下兩大類威脅，即主動攻擊和被動攻擊。被動攻擊指攻擊者從網絡上竊聽他人的通訊內容，通常把這類攻擊稱為截獲。通過觀察協議數據單元（PDU）的協議控制信息部分，了解正在通訊的協議實體的地址和身份。

主動攻擊的方式有很多，列舉幾種最常見的攻擊方式：

>篡改：篡改網絡上傳送的報文；

>惡意程序：種類繁多，常見計算機病毒、計算機蠕蟲、特洛伊木馬、邏輯炸彈等；

>拒絕服務：指攻擊者想因特網上的某個服務器不停地發送大量分組，導致服務器無法正常服務。

結合上述攻擊方式，企業內部網絡訪問技術需具備以下基本安全特性：

1）身份認證

首先需要對操作者身份進行鑒別，確定當前用戶是否具有內網資源的訪問權限。只有通過身份驗證才可以訪問內網終端。

2）傳輸安全

數據在傳輸的過程中可能被第三方竊聽、篡改。通常的做法是進行加密處理，即使據被截獲，也沒有辦法解密。目前加密有兩種密碼體制，對稱秘鑰密碼體制和非對稱秘鑰密碼體制。

3）權哏控制

針對不同級別的用戶需要有細致的權限劃分，根據訪問者身份有嚴格的訪問控制，有些敏感數據是不能被訪問，或者針對不同用戶開放，因而要透明的權限控制，將誤操作或者系統漏洞帶來的損失降到最低。

1.2使用便捷

安裝配置方面，接入醫院內部網絡應該盡量避免對醫院網絡環境的改動，安裝配置盡量簡化。醫院網絡環境復雜，要求醫院在網絡配置上有較大改動是不合理的。用戶使用方面，將更多的細節隱藏，暴露給用戶的配置盡量少，降低使用難度，使用戶關注業務本身。

1.3易于擴展

業務擴展方面，盡量減小業務的增加擴展對當前的配置的影響。不能因為業務的橫向擴展導致龐大的配置體系，增加維護的難度。技術擴展方面，參考之前協議棧設計，應該采用分層設計，對技術本身的維護和擴展友好。技術組件的升級應保持向下兼容。

1.4區域醫療信息化建設場景下的內網訪問要求

區域醫療信息化建設場景下的醫療機構內網訪問技術相較于普通企業內網訪問要求更高。

1.4.1適應復雜網絡環境

由于技術上參差不齊，醫院的網絡環境比一般的企業內網要復雜許多。醫院內外網邊界安全防護上采取保護內部網絡安全的方式有很多，比如硬件上采用物理隔離、低密級到高密級網絡的單向光閘、安全隔離網閘等方式。軟件上有各種防火墻和殺毒軟件的防護。保證信息安全的同時也失去了網絡的便捷性，為內網訪問增加了難度。因此訪問技術需要屏蔽這些細節差異，普適于這些網絡環境。

1.4.2支持多個子網的訪問

只進行一次身份認證即可通過一個終端對多個子網內服務進行訪問。因為有很多應用場景需要對多家醫療機構進行遠程訪問。頻繁的切換認證對用戶來說是不友好的，而且增加安全隱患，故而需要提供這個功能的支持。如圖1所示。

2通訊機制設計及組件開發

2.1技術選型

RTIA實現技術需要綜合考量性能、實現復雜度、可用性等多方面因素。每一次信息交換，信息需要在多個節點之間跳轉，整個過程中存在很多技術挑戰。因為實時性要求很強，須盡可能的降低延遲，提高性能。技術選型對RTIA的實現方案和性能的影響都至關重要。不同的技術選型可能導致截然不同的實現方式，每個細節設計到的關鍵技術都會對性能產生很大影響。以下將從幾點關鍵技術點的技術選型上進行闡述，有助于對整個實現過程的理解。

2.1.1I/O線程模型選取

通訊節點之間信息通過持久連接的陳道傳輸，postoffice須承載眾多postMan的連接，同樣postMan會承載眾多Recipient的連接，都需要同時處理多個處于監聽狀態或者多個連接狀態的套接字。服務器承載連接的壓力來自于兩方面，一方面是處理連接的過程，即建立?道連接，完成身份驗證等過程，另一方面來自于處理業務的過程，即讀取消息、解碼、處理、編碼到最后寫出消息。因而實現方案需要盡量減小服務器資源消耗，提高資源利用率，通過高效的I/O線程模型可以很好解決處理這個問題。傳統多線程模型傳統多線程模型為每一個連接建立一條獨立的線程處理連接以及消息讀寫、編解碼等一系列處理。即有多少個連接，就要建立多少線程處理。系統需要維護線程的運行，在沒有消息讀入時，通常大多數線程處于阻塞狀態，造成內存資源的浪費；處理大量請求時，CPU大量開銷用于線程上下文之間頻繁切換，分配給真正業務處理的機會少很多，造成CPU吞吐量下降，嚴重可導致程序響應變慢，運行不穩定。2.2核心組織

下面對核心組件進行簡要介紹。

>Certificate，身份認證，并建立安全的傳輸遂道。

>Modelnfo，收集節點信息，部署于postMan和Recipient。

>tNodelis，節點注冊中心，合并存儲下級節點的相關信息，部署于postMan和postoffice。

>Broker，實現消息的接收、暫儲和分發，部署于postoffice和postMan。

>Excutor，負責消息的最終執行并返回響應結果，具體包括消息的審查、執行，以及響應的封裝。部署于postoffice、postMan和Recipient。Excutor中包含三種模式的實現組件，分別為commend-Excutor、file-Excutor以及proxy_Excutor。

3結語

針對區域醫療信息化建設中遇到的內網訪問的安全以及便捷性上存在的諸多問題，本論文提出一種內網訪問技術，并進行系統實現。通過該技術可實現外網終端安全、高效地訪問醫療機構內部網絡。

參考文獻

[1]鐘世鎮，傅征，梁銘會.數字醫學概論[M].北京：人民衛生出版社，2019

[2]萬曉文，武媛，石應康.我國區域醫療信息化發展中存在的問題及對策[J].醫學與哲學（A），2012，07）：31-32.

（作者單位：1.山東省郵電規劃設計院有限公司；2.山東省建筑設計研究院有限公司）