互联网环境下的医疗数据安全交换技术 研究 Study of Secure Medical Data Exchange via Internet 何剑虎。周庆利 【摘要】随着医疗信息系统的应用拓展 ̄1]Internet网络,医疗信息安全成为一个重要的问题,在进 浙江大学医学院附属妇产科医院 行跨域交换医疗数据的 时,需要保障医疗机构内部网络安全以及传输中的医疗数据安全。本研 医学工程科,浙江杭州310006 究综合运用网络安全隔离技术,SSI. (安全套接层)、VPN(安全套接虚拟专用网)技术构建内 外网医疗信息交换安全通道,可有效地阻止来自lnternet的各种威胁,并采用非对称加密 ̄HXM1 (可扩展标记语言)数据签名技术保证医疗文档的完整性,避免敏感信息泄 。 [关键词]互联网;医疗信息系统;XML;SSL;信息安全;数字签名 Abstract:As medical information system applications expanding to the public Internet,information security becomes an important issue.During the exchange of medical data across security domains, medical institutions need to ensure the security of the internal network and transmission of medical data. Technologies,such as network pay sical isolation,SSL,VPN are applied in order to construct a safety channel between intra—net and outer net.Thus,it can efficiently prevent security threats.Moreover, asymmetric cryptographic algorithm and XML digital signature are introduced to safeguard medical documems integrity and to prevent secrets from leaking. HE Jian-hu,ZHOU Qing-Ii Key words:Internet;HIS;XML;SSL;information security;digital signature Medical Engineering Department, Women’S Hospital,Medical School, 【中图分类号】TP393.08【文献标志码】A Zhejiang University,Hangzhou Zhejiang doi 】O.3969/j.issn.1674-1633.2013.04.013 3 10006,China 【文章编号]1674—1633(2013)04—0044—04 0前言 文研究综合运用网络安全隔离技术,SSI (安全套接层)、 VPN(安全套接虚拟专用网)技术,在lnternet【互联网) 随着我国医疗信息化步伐的加快,医疗行业的各种信 应用环境下构建跨安全域医疗信息交换通道,保障医疗机 息系统应用也如雨后春笋般出现。而我国医疗机构的网络 构内部网络与数据安全,并采用XML(可扩展标记语青) 架构,基本遵循内部和外部两套独立网络运行,呈现互相 数据签名技术保证医疗文档的完整性和不可抵赖性。 隔离的状况,其主要原因是当前没有一种足够可信的信息 安全保障措施。在互联网环境下,数据安全问题主要来源 1关键技术 于两个方面:一是计算机软件病毒破坏;二是安全入侵…。 由于医疗数据的特殊性,在保障数据完整性的同时,需要 本文研究,在网络设施和应用数据两个层面采用安全 着重阻止来自互联网的各种攻击,避免非法访问和隐私泄 隔离与加密技术,保护内部网络、数据资源,以及传输巾 露。安全数据交换系统的基本理念是在切断内、外部网络 的医疗数据安全。 问直接连接的同时,结合访问控制、身份鉴别等安全机制, 1.1网络安全隔离技术 实现不同安全等级网络之间数据交换,防止内网设施和 医疗机构内、外网异构系统、数据库之间不能安全流 数据资源被破坏,保证医疗数据的完整性、实时性 l。本 畅地交换数据成为区域信息集成的主要瓶颈之~,阻碍了 收稿日期:2012—11—02 基金项目:浙江省教育厅科研项目(Y201122132);浙江省医药 医疗信息化的发展。需求推动了安全技术的创新,在20世 卫生科技计划项目(2012KYB118)。 作者邮箱:herhu@163 conq 纪90年代,Ry Jones首先提出“AirGap”隔离概念。而后 出现了物理隔离卡,实现网络间的安全隔离。接着又诞生 了专有硬件,实现两个网络在不连通的情况下数据的安全 交换和资源共享,从而使安全隔离技术从单纯实现“网络 隔离禁止交换”发展到“安全隔离信息交换”。目前,物理 安全隔离技术主要应用于军队、跨区域的电子政务和企业 管理等 。已有医院采用上述技术实现网上预约挂号、短信 查询功能 ,但总的来说医疗领域的相关应用还非常少。 物理安全隔离设备的应用主要解决以下问题:①实现 两个互为隔离的网络间的安全、高速、可靠地应用层数据 交换;②除了特别指定允许的数据交换之外,完全隔离其 他的各种网络连接;③有效的身份认证,使用安全隔离网 闸进行数据交换的用户的身份有可靠的认证机制;④对传 输的数据,应当保证其完整性,防止非法篡改;⑤保证授 权实体在需要时可以正常地通过安全隔离网闸进行安全、 可靠的数据交换,保证其可用性;⑥对所有的数据交换行 为,应当保证其不可否认性,能够证明一条信息的发送与 接受,保证发送方和接受方都有能力证明发送和接受操作 确实发生了,并能确定发送和接受者的身份。 由于物理安全隔离设备隔离了医疗机构的内网与互联 网之间所有非授权的数据通道,因此可以有效地阻止来自 互联网的病毒和黑客攻击。 1_2基于XML的数字签名 数字签名(Digital Signature)源于加密技术,目前主要 使用基于公钥密码体制的数字签名,如RSA签名、DSA签 名。一方面可满足随着计算机网络与信息技术的发展产生 的信息安全保障的需要,另一方面它又提供了比纸质签名 更为安全方便的工作方式,具有比传统纸质签名不可比拟 的优点。2005年4月1 13,我国《电子签名法》开始实施, 在法律上明确规定电子签名与纸质签名具有同等法律效率。 为了确保XML文档在信息交换中的安全性和完整性, IETF和W3C共同组建的XML数字签名工作组于2001年 公布了XML数字签名规范。为了加强医疗数据交换中的 安全性,可利用XML模板映射和数字签名技术,在应用 层面实现内外网异构数据库之间的透明互操作,进一步保 证数据的完整性,XML数据签名的优点是可实现灵活的多 重签名。IETF/W3C XMLDSIG(XML—Signature Syntax and Processing)规范的XML数字签名语法结构如下 ]: <Signature ID?> <SignedInfo> <CanonicalizationMethod/> <SignatureMethod/> (<Reference URI?> (<Transforms>)? <DigestMethod> <DigestValue> </Reference>)+ </Signedlnfo> <SignatureValuc> (<Keylnfo>)? f<Object ID?>1 </Signature> 其中,(Signature)是XML签名文档的根元素,它最 多包含signedlnfo、singatureValue、keylnfo、object四个子元 素。Signedlnfo元素描述签名信息,它包含规范和算法元素。 CanonicalizationMethod元素表示规范化算法。SingatureMethod 元素指定将Signedlnfo元素转换为SingatureValue元素所 使用的签名算法。Reference元素指定被签名数据文档。 Transforms指定了在摘要算法所做的转换,DigestMethod子 元素指定签名时使用的散列算法,DigestValue子元素存放摘 要信息。SingatureValue表示数字签名的计算值。可选元素 Keylnfo指定验证签名所使用的公钥信息。 国际上,医疗信息系统集成IHE(Integrating The Heahhcare Enterprises)规范在ITI—TF技术框架提供了 DGS(Digital Signature,数字签名)实施方法,目前仍 处于试验阶段,该技术框架所实现的医疗文档电子签 名,需要遵循ETSI TS 101 903:XAdES(XML Advanced Electronic Signatures)等规范。XAdES是XML数字签名规 范XMLDSIG扩展 “】。 1.3 SSL ̄I:I密传输技术 SSL(Secure Sockets Layer)是Netscape公司开发的应 用于传输层的面向连接的通信安全协议,支持使用X.509 数字认证。SSL协议运行于TCP/IP协议之上而对应用层透 明,使用不对称加密技术在会话双方之间建立身份鉴别、 授权认证、安全的网络传输通道,在互联网传输安全设计 中被广泛使用。HTYPS(Secure Hypertext Transfer Protocol, 安全超文本传输协议)是由HTTP协议结合SSL构建的网 络协议,使用SSL作为HTTP应用层的子层,可进行加密 传输、身份认证。应用HTTPS的Web服务器必须从CA (Certiifcate Authority)申请用于证明服务器用途类型的数字 证书,只有该证书信息与服务器相符合时客户端才对它信 任。数字证书内容包含公钥、加密算法等内容,客户端与 服务器通过SSL协议并利用数字证书实现加密的安全传输。 2跨安全域的医疗信息交换设计 物理隔断的内部网络没有外来攻击,通常认为网内的 工作站、应用系统,操作用户都是已授权并可信的,因此 不采用严格的安全防御措施,这样做的好处是有较高的交 互效率。但在公共的[nternet环境下,医疗信息交换需要跨 越不同级别的安全域,Internet是一个复杂公共应用环境, 中国医疗设备2013年第28卷O4期 VOL.28No.04 45 各种攻击、威胁客观存在,通过Internet交换医疗数据首先 必须解决接入安全和数据安全问题。 2.1系统整体方案 根据当前互联网环境下的医疗信息交换需要,采用物 理安全隔离、SSL、串行口私有通信技术实现安全接人,在 此基础上,利用XML文档交换和数字签名技术保障医疗数 据安全。综合上述技术可行性因素,设计、构建一种安全、 可靠和灵活的医疗数据交换方案。方案结构图,见图1。 图1互联网环境下医院信息交换网络拓朴图 在应用层面,医疗数据中心通过Web服务器向外部 提供数据查询、统计和存储服务,而不直接接入Intemet。 Web服务器配置双路网络通道,一路与数据中心连接,另 路通过防火墙设备接入Internet。基层医疗机构接入 Internet有两种方式:①通过网闸、前置机接人;②通过 私有协议的串行口安全隔离系统、前置机接入。对于医疗 机构,有关医疗数据交换应用需要由前置机直接承担,包 括数据上传、下载。第三方CA机构服务器向Web服务器 发放CA(Certiifcate Authority)证书,用于实现医疗数据巾 心与下属机构之间基于SSL协议的信息交互。 2.2 Internet接入安全 防火墙作为安全域的边缘设备,设置策略屏蔽与业务 需要无关的所有端口,过滤可疑的IP连接。本研究采用集 成SSL VPN功能的思科ASA5520防火墙,通过内置的SSL VPN可在Web服务器与Internet上的终端主机之间形成一 条安全的专用信息通道,可用于服务器远程管理或安全级 别较高的信息交互。 医疗数据中心与对外承担数据接口功能的Web服务器 之间配置网闸,从物理上隔离各种基于TCP/IP通信的网络 病毒和数据访问,仅允许符合预定策略的数据能够通过网 闸。本文研究采用了联想网御SIS一3000 SEII网闸,它可提 供较高的乔吐率,可达百兆bifs。 2.3串行口安全隔离系统 部分医疗机构应用工作站通过串行通信安全隔离器与 接人[nternet的前置机进行医疗数据交换。大量的网络安全 工具都是应用当前Internet通用技术,而通用技术又是基于 公开协议和规范。因此,在我们享受高速便捷的Internet网 46中国医疗设备2013年第28卷04期 VOL28No.04 络资源的同时必将面临潜在的安全风险。 本研究也尝试开 发串行口安全隔离系统,它由内网App、 软件适配器和外 网Proxy组成,其结构见图2。 】q J玛ApF, 矗 I玎 1t 外稿Pl‘,nt RS2 2 软件适配嚣 技件适 ’鬻 图2串行口安全隔离系统 串行口安全隔离系统利用RS一232接口实现物理通信, 为了实现隐密性,参考了Zmodem协议原理设计私有协议 实现内外网的数据交换,并具有连接建立和释放、数据校 验、数据重发等功能。软件适配器在数据链路层承担了串 行口协议通信的功能,仅负责数据流或文件的发送与接收, 而与具体的业务内容无关,适配器程序以动态链接库(DLL) 形式封装,具有相对独立性和通用性。内网App、外网 Proxy负责应用层医疗信息交换,如账号验证、电子文档收 发,它们的功能差别是外网Proxy布署在前置机上,可调 用数据中心Web服务I:传医疗数据,或通过串行口安全隔 离系统获取数据并传送到内网。 串口安全隔离系统受串行口性能限制,适合于小流埴 的数据交换,但具有配置简单和成本低廉的优点。 2.4×ML文档签名与验证 为了增强安全性能,利用XML模板映射和数字签名 技术,在应用层面实现内外网异构数据库之间的透明互操 作,进一步保证数据的安全性和完整性。电子病历、检查 报告等医疗文档数据进行人互联网前封装为XML电子文 梢,经过签名加密后进行传送,对方接受后可方便地进行 安全验证、解读。本文研究主要应用微软.NET Framework 开发工具的System.Security.Cryptography、System.Security. Cryptography.Xml命名空间实现XML数字签名,以及对签 名文档进行验证的功能。 NET Framework实现XML文档数字签名的一般步骤 如下:①加载已准备的XML文档;②创建RSA密钥;③ 用SignedXml类AddReference方法指定待签名数据;④用 SignedXml类c0mputeSignature方法生成XML文档签名; ⑤保存签名为单独文档或将签名插入原XML文档。 NET Framework实现XML文档签名验证的一般步骤 如下:①加载已签名XML文档;②用XmlDoeument类 GetElementsByTa ame方法提取文档签名元素数据;③用 SignedXml类CheckSignature方法验证签名。 3结束语 本文研究采用了物理防火墙、SSL、VPN技术,根据需 要在不同安全等级的Internet与内部业务网之间建立安全屏 障,阻止来自公共网络的各种病毒、木马和未指定应用软 件非法入侵,保护医疗数据交换和内网工作站安全。RS232 [3J黄胜召,赵辉,鲍忠贵,等_网间安全隔离技术分析研究 通信 串行口是目前应用较为广泛的设备通信接口,虽然传输速 技术,2010,43(5):100—102 率较低,但基于RS232的应用软件开发相对容易。以此为 [4】李长河,赵洁,张亚玲,等.一种安全异构数据交换技术的研究 硬件基础采用私有协议设计的安全隔离系统可靠性高,可 与实现[I】_计算机工程,2007,33(2):88-89. 完全隔离当前所有基于TCP/IP的外部安全威胁,并且投入 [5]汪勇,王备战.基@Web service的数据交换平台解决方案U1.微 非常低廉。同时,采用XML文档作为异构系统问信息交 处理机,2007,(4):121—123 换载体是信息化行业的公认选择,通过HTTPS协议结合应 【6】吴飞,杨宏桥,张瞩熹,等 基于安全数据交换的网上预约挂号 用XML数字签名和非对称数据加密技术的应用,可有效地 系统的设计与实现 中国医疗设备,2009,24(1):27-29. 保障医疗文档的完整性和不可抵赖性,并避免交互过程中 [7】杨宏桥,吴飞,刘玉树,等.安全数据交换技术在HIS中的应用 敏感信息被窃取盗用。研究应用信息安全交换技术,保护 计算机工程,2008,34(22):195—197. 患者隐私,防止对医疗信息的非法利用和破坏,有利于实 【8】傅德胜,王强.xML数字签名在工作流系统中的应用U】.计算 现各级医疗机构之间、管理与基层之间的互连互通,促进 机应用,2011,31(3):807—811. 社会医疗信息共享以及社会医疗资源的合理分配。提高医 【9】The Internet Society&W3C,XML—signature syntax and 疗服务质量,减少医疗活动成本,为病患带来实惠。医疗 processing[EB/OL】.http://www.w3.org/TR/2008/REC— 数据安全交换技术是顺利实现与推广区域医疗、远程医疗, xmldsig—core一20080610/.2008—6—10/2012—8—30. 提升院前院后健康服务信息化、网络化的关键。 [1 0】IHE IT Infrastructure(ITI)Technical Framework 【参考文献J Supplement:Document Digital Signature[EB/OL].http://www ihe 【1 J蒋建春,马恒太,任党恩.网络安全入侵检测:研究综述卟软件 net/TechnicSFramework/index.c ̄2009—08—10/2012—9-15 学报,2000,11(11):1460—1466. [1 1】The Internet Society&W3C,XML Advanced Electronic 【2】何斌,郑东,黄征安全隔离数据交换系统【J1.微型电脑应用, Signatures(XAdES)lEB/OL】.http://www.w3.org/TR/2003/ 2005,21(1):32-35 NOTE—XAdES一20030220/,2003—2—20/2012—8—30. 图 上接第51页 4结果分析 定性和安全性的要求,能为后续业务的扩展及升级提供带 根据设计的网络优化方案,我们对医院的网络进行了 宽保障。 部署与实施。首先,对原有的核心交换机进行了更换,采 用性价比更高的核心设备完成升级。其次,对新建成的门 [参考文献】 急诊楼部署了PACS、HIS汇聚层交换机及接人层交换机, 【1】张科学,黄志中,郑万松.医院万兆网络升级改造的设计与实 与升级后核心交换机形成三层网络架构;主、备核心交换 践Ⅱ】l医院数字化,2009,24(6):40-41. 机、PACS汇聚层、HIS汇聚层四者之间的环路采用环网 [2刘文波.2]医院网络规划与交换机的配置研究卟信息与电脑, 保护技术。 2010,(3):85—86. 网络优化方案的实施,规范了医院的网络架构,网络 [3]孙学军.计算机网络[M].北京:电子工业出版社,2003:298—334. 冗余能力、容错能力和稳定性得到提高,加强了网络延伸 【4】常建国,宫延婷,郭凌凌,等.医院万兆网络的设计与实践叭.医 度,实现网络畅通的数据传输。原核心交换机由于CUP利 疗卫生装备,201 1,32(10):68—69. 用率即将达到阈值,网络存在延时和丢包的现象;升级后, 【5】卓一超,高志宏,张群瑜,等.三层网络架构在医院信息系统网 核心设备正常稳定运行,能高效处理网络内流量,医院局 络中的应用卟计算机与网,2004,(3):41. 域网的稳定性、可靠性得到保障。新门急诊大楼网络环形 [6]张红宇.计算机网络优化探讨[『].嘉兴学院学报.2006,18(3): 链路和链路聚合设计,提高了千兆带宽的利用率,降低了 85-87. 建设网络的总体成本,减少了投资浪费。 [7】蔡守玮.我院信息系统的拓展应用U】.中国医疗设备,2012, 5结束语 27(3):46—47. 实际应用表明,优化后的网络系统有效地增强了网络 [8】施文辉.IP城域网优化方案研究与实施案例[M].北京:北京邮 的冗余性、安全性、稳定性、先进性及可扩展性,确保了 电大学,2008:35-37. 我院信息系统的安全、稳定运行。新门急诊大楼网络设计, 【9】姜大庆.网络互联及路由器技术【M].北京:清华大学出版社, 能够满足大楼中的门诊、医技、住院业务对网络性能、稳 2012.105-155 圄 中国医疗设备2013年第28卷O4期 VOL.28No,04 47