安全数据交换技术在HIS中的应用
计 算 机 工 程 第 34 卷 第22期
Vol .34 No.22 Computer Engineering · 安全技术 ·
文章编号:1000—3428(2008)22—0195—03
文献标识码:A
2008年11月
November 2008
中图分类号:TP393.08
安全数据交换技术在HIS 中的应用
杨宏桥1,吴 飞1,刘玉树2
(1. 解放军总医院第二附属医院信息科,北京100091;2. 北京理工大学信息科学技术学院,北京100081)
摘 要:针对医院信息系统(HIS)在网络隔离条件下实现安全信息交换的需求,研究安全数据交换技术在HIS 中的应用,设计并实现基于安全数据交换技术的LIS 检验结果查询系统,以实现通过外网安全发布内网中的检验结果。对安全数据交换技术在HIS 上的深层应用进行了探讨。
关键词:网络隔离;安全数据交换;医院信息系统;LIS 结果查询;数据加密
Application of Secure Data Exchange Technology in HIS
YANG Hong-qiao1, WU Fei1, LIU Yu-shu2
(1. Information Center, the Second Affiliated Hospital of PLA General Hospital, Beijing 100091; 2. School of Information Science & Technology, Beijing Institute of Technology, Beijing 100081)
【Abstract 】Aiming at the requirement of secure information exchange under the condition of network isolation in Hospital InformationSystem(HIS), this paper researches the application on secure data exchange technology in HIS, and realizes a LIS result query system with thetechnology, which solves the problem of secure data publishing through outer network. Expectation about the foreground of using secure dataexchange in HIS is given.
【Key words】network isolation; secure data exchange; Hospital Information System(HIS); LIS result query; data encryption
1 概述
医院信息系统(Hospital Information System, HIS)是现代
医院中最基本的管理信息系统,是计算机技术、网络通信技术和现代管理科学在医院信息管理中的应用,是计算机技术对医院管理、临床医学、医院信息管理长期影响、渗透以及相互结合的产物,它利用计算机网络来传递、保存信息,使信息在大范围内实现实时共享。
目前,考虑到安全和保密的要求,我国的HIS 几乎全部运行于医院内部网络中,与国际互联网和其他公共信息网络没有连接。医院的信息只能在医院内部得到利用,病人还不能通过互联网和短信等公共信息平台合法地获取相关信息,如有时病人要往返多次才能得到检验结果,化验单丢失现象也时有发生。换言之,信息技术并未有效改善病人的就医体验。因此,医院信息系统的发展面临着既要保证安全又要进行信息交换的难题。本文为此设计并实现了基于安全数据交换技术的检验结果查询系统。
2 安全数据交换技术概述
2.1 安全数据交换概念
安全数据交换系统的基本理念是在切断内、外部网络间直接连接的同时,结合访问控制、身份鉴别等安全机制,实现不同安全等级网络间安全的数据交换[1]。其技术特征如下:
(1)通过在切断直接连接的网络间建立对用户透明的逻辑“连接”,把客户/服务器连接划分为2个完全独立的安全连接,并通过特殊协议实现2个连接之间的数据安全交换。
(2)根据RFC 规范对协议进行细粒度检查。
(3)实施多种安全策略和防护措施,包括内容过滤、认证与授权、访问控制等附加安全功能。
通过允许原始应用数据进入的技术手段保证内部网络和
外部网络的安全隔离,主要解决不同安全等级网络间的数据交换问题,防止内网的资源被隔离对象以外的人员访问,并保证交换数据的完整性、实时性。结合网络隔离系统上的网络应用,根据不同的数据服务,对内外网之间通信的内容进行过滤,防止未经允许的内网数据发生泄露[2]。
安全数据交换是一种非常安全的网络安全技术[3],因为: (1)不采用TCP/IP协议或其他通用网络协议传输数据,而是通过专用协议传输特定数据。因此,能有效地阻止基于通用网络协议对内部网络的攻击。
(2)内外网之间没有直接或间接的网络连接。因为互联网是基于TCP/IP协议实现的,而大多数攻击是对基于TCP/IP协议的数据的攻击,所以断开TCP/IP的连接就可以消除目前TCP/IP网络存在的攻击。
(3)安全数据交换技术不依赖操作系统,采用安全数据交换技术的设备运行在专用操作系统。因此,有效地降低了利用操作系统漏洞进行攻击的威胁[4]。
安全数据交换技术交换的是原始数据,这些数据只会传送给特定用户,而且在数据传输到用户之前允许对数据内容进行审查,由此可以达到安全防护的目的。
2.2 安全数据交换系统体系架构
安全数据交换系统由内部网处理单元、外部网处理单元和控制处理单元3个逻辑部件组成。如图1所示,内网单元与内网相连,外网单元与外网相连。控制单元是内网单元与外网单元之间唯一且安全的数据通道,在保证内、外网隔离
作者简介:杨宏桥(1969-) ,男,博士后,主研方向:数据挖掘,人工智能,智能决策支持系统,信息系统设计与分析,复杂系统建模与仿真研究;吴 飞,硕士;刘玉树,教授 收稿日期:2008-01-05 E-mail :[email protected]
—195—
的前提下,负责对要交换的信息进行安全检查,只有符合安全保密策略的信息才能被交换[5]。
图1 安全数据交换系统体系架构
内、外网单元是由独立的硬件设备组成、能独立完成代理网络请求、日志审计、访问控制与授权等功能的处理机[6],应采用安全操作系统或源代码公开且经过安全性增强的操作系统。各网络安全处理单元相互独立,能有效实现内外网的相互隔离,同时协同工作,完成内外网之间授权数据的可靠、高效传输。彼此独立的网络安全处理系统被封装在一个相对安全的物理环境内,通过安全的通信信道完成数据交换[7]。
3 安全数据交换在HIS 中的应用
我国医院的网络布局为典型的内外网完全物理隔离模式,分为HIS, LIS, PACS, OA等内部网络和网站、随访中心、远程挂号等外部网络。在网络建设初期,由于网络可用资源较少,内外网之间基本无数据交换,或单纯通过人工拷贝方式交换数据。但随着HIS 及医院信息化的不断发展,2个物理网络间的信息交换及数据同步需求剧增,由人工拷贝方式完成内外网间的数据交换从效率和可靠性上都是不现实的。采用安全数据交换技术实现内外网之间的通信,避免了内网HIS 成为信息“孤岛”,同时最大限度地保障了信息交换的安全性。目前,医院HIS 积累了大量的信息资源,但这些资源利用率普遍不高。而且医院的信息只能在医院内部得到利用,各个医院之间很难实现数据共享和交换,病人也不能通过公共信息平台合法获取相关信息。采用安全数据交换技术可以有效解决以上问题。
如图2所示,应用安全数据交换技术不仅能够实现远程挂号、检验结果查询等方便病人的功能,而且能够实现各医院HIS 系统之间、医院与医保中心之间、医院与卫生部门之间的信息安全共享和交换。同时有利于医疗数据深层次的数据挖掘、分析和利用,对决策和管理产生重大的影响。安全数据交换技术只要应用得当,在医院信息系统中会有很好的应用前景。
图2 应用安全数据交换的HIS 系统结构
4 检验结果查询系统
应用安全数据交换技术的原理,本文设计并实现了HIS 系统中LIS 检验结果的短信查询系统,使病人可以通过短信查询自己的检验结果。
4.1 检验结果查询系统体系结构
检验结果查询系统包含网络隔离器、内网主机、外网主机和短信收发设备4个部分,如图3所示。
—196
—HIS 数据库短信收发装置
图3 检验结果查询系统体系结构
网络隔离器与两端主机采用串口RS232交叉线连接,内网主机能够访问HIS 数据库中的检验结果记录表;外网主机负责对接收到的短信进行解析,生成数据库查询语句,对查询结果进行短信发送。
4.2 网络隔离器
网络隔离器硬件结构如图4所示,其中,FPGA 作为独立的控制电路保证每个RS232上存在一个开关,而且2个开关K1和K2不能同时闭合。FLASH 上保存嵌入式系统和应用程序,2个RS232分别连接内网和外网主机。ARM9加载嵌入式系统,运行应用程序,对串口数据进行加密处理。
图4 网络隔离器硬件结构
网络隔离器技术的关键是隔离的实现。正常情况下,网络隔离器和外网之间、内网之间、外网和内网之间是完全断开的。当内网需要有数据到达外网时,K1连通,K2断开,数据以明文形式发送到网络隔离器中,ARM9上运行的加密程序对文件进行加密;加密完成后,K1断开,K2连通,加密后的文件被发送到外网主机中,由运行在外网中的应用程序进行解密。由此同时实现了网络隔离和数据的安全交换。 4.3 检验结果查询系统软件
检验结果查询系统软件包含3个部分:内网模块,网络隔离模块和外网模块。
内网模块的主要功能是查询HIS 数据库,生成XML 格式检验结果文件,通过CRC32校验算法发送文件。其工作流程如图5所示。
图5 内网模块工作流程
网络隔离模块的主要功能是接收内网传送的文件,利用
DES 算法加密,通过CRC32校验算法将加密的数据传送给外网。其工作流程如图6所示。
图6 网络隔离模块工作流程
外网模块的主要功能是接收文件,利用DES 算法解密生成XML 文件,将XML 文件存入外网数据库,同时接收短信内容进行解析,生成查询语句,查询数据库并返回结果给短信发送终端。
初始置换和逆置换。采用初始置换对数据进行加密,逆置换对加密数据进行解密。采用DES 算法加密保证了传输的安 全性。
4.4.3 短信格式
由于为病人提供短信查询,因此需要规定病人发送的短信格式,采用“病人ID 号+病人姓名+检验申请时间”作为查询短信的内容格式,由此生成SQL 语句查询检验结果数据库,得到病人检验结果,生成短信发送给病人。若查询失败,发送查询失败短信,记录查询日志,当检验结果数据库更新后,重新查询。若查询数次后仍失败,则删除此查询记录。
5 结束语
本文的检验结果查询系统在应用层面对要交换的数据类型进行了严格的限制,通过私有协议传输,与采用协议净化控制功能的安全网闸相比,其数据安全控制效果更好,成本更低。另外,对系统稍作改动就可以实现远程挂号功能。
参考文献
4.4 通信协议及加密算法的设计 4.4.1 CRC32校验算法
串口通信受外界环境影响较大,在传输数据时必须采用校验算法保证数据传输的完整性,在远距离数据通信中,为确保高效而无差错地传送数据,必须对数据进行校验,即差[1] 何 斌, 郑 东, 黄 征. 安全隔离数据交换系统[J]. 微型电脑
应用, 2005, 21(1): 32-35. 错控制。CRC32校验算法是一种循环冗余校验(Cyclic
[2] 张 震. 网络隔离的技术分析与安全模型的改进方案[J]. 山东Redundancy Check/Code, CRC)。CRC 是一种对一个传送数据
电子, 2004, 2(1): 36-38. 块进行校验的高效的差错控制方法,它采用多项式编码方法。
[3] 赵泽良, 黄庆芳. 关于网络隔离的几点认识[J]. 网络安全技术与
多项式乘除法运算过程与普通代数多项式的乘除法相同。多
应用, 2002, 2(2): 14-16.
项式的加减法运算以2为模,加减时不进、错位,如同逻辑
[4] 卢震宇, 潘 理, 倪佑生. 一种基于USB 的安全隔离与数据交
异或运算[8]。
换的实现方法[J]. 计算机工程, 2006, 32(3): 158-160.
4.4.2 DES加密算法 [5] 周永明, 谭成翔. 基于存储交换的网络隔离系统的设计[J]. 计算
DES(Data Encryption Standard)算法是IBM 公司于 机科学与实践, 2005, 3(12): 276-278. 1975年研究成功并公开发表的数据加密算法。DES 算法的入[6] Michael B. (Un)Bridging the GAP[J]. Information Security, 2000, 口参数有3个:Key, Data, Mode,其中,Key 为8 Byte共 9(4): 35-47.
[7] 何鹏举, 王万诚, 李高盈, 等. 网络隔离器的设计与实现[J]. 控64 bit,是DES 算法的工作密钥;Data 也是8 Byte,是要被
制工程, 2002, 9(6): 52-53. 加密或被解密的数据;Mode 为DES 的工作方式,有加密和
[8] Koc C K, Acar T, Burton S. Analyzing and Comparing Montgomery 解密2种。DES 算法把64 bit的明文输入块变为64 bit的密
Multiplication Algorithms[J]. IEEE Micro, 1996, 16(3): 26-33.
文输出块,它所使用的密钥也是64 bit。算法主要分为2步:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
(上接第194页)
针对EAP-MD5进行中间人攻击的流程如图7所示。
行监听,实现中间人攻击。
4 结束语
本文介绍了针对802.1X 及EAP 认证的中间人攻击的技术细节,描述了中间人攻击需要的一些基本模块的设计方法与功能,包括物理层、数据链路层、网络层和应用层的设计细节等,并给出了针对EAP-MD5进行中间人攻击的可能性和攻击流程的实例。目前,中间人攻击是无线网络中最常用的攻击方式,也是最大的安全隐患,如何从根本上杜绝中间人攻击,将是一个重要的研究课题。
参考文献
[1] IEEE Std. 802.11i/D2.0. Specification for Enhanced Security[S].
2002-03.
[2] IEEE Std. 802.1X. IEEE Standard for Local and Metropolitan Area
Network Port Based Network Access Control[S]. 2001.
[3] Blunk L, Vollbrecht J. PPP Extensible Authentication Protocol[S].
RFC 2284, 1998-03.
[4] Aboba B, Simon D. PPP EAP TLS Authentication Protocol[S].
RFC 2716, 1998-10.
[5] Wang Xiaoyun, Yu Hongbo. How to Break MD5 and Other Hash
Function[C]//Proc. of Advances in EUROCRYPT’05. Santa Barbara, USA: [s. n.], 2005.
图7 针对EAP-MD5的中间人攻击流程
首先,MIM 将自己伪装成合法AP ,并干扰客户端与AP 之间的正常认证过程,将EAP-ID 及Challenge Request发送给客户端。客户端计算EAP-ID 、Challenge Request及口令的MD5散列值,然后将结果回送给攻击者。这样,攻击者就可 以使用字典攻击或暴力破解的方法获得客户端的口令。由于攻击者可以事先指定EAP-ID 及Challenge Request的值,因此可在短时间内破解并获得客户端口令,从而对网络通信进
—197—