5G醫(yī)療行業(yè)專(zhuān)網(wǎng)安全的閉環(huán)解決方案
本文從5G醫(yī)療專(zhuān)網(wǎng)建設(shè)需求和專(zhuān)網(wǎng)架構(gòu)出發(fā),分析醫(yī)療專(zhuān)網(wǎng)的安全問(wèn)題,再?gòu)亩说蕉私嵌忍岢?a href="http://www.powerye.cn/product/113.html" class="tag-link">5G醫(yī)療行業(yè)專(zhuān)網(wǎng)安全的閉環(huán)解決方案,為現(xiàn)網(wǎng)建設(shè)提供指導(dǎo)。
引用本文:畢敏,王亮,石遠(yuǎn)兵.5G智慧醫(yī)院安全醫(yī)療專(zhuān)網(wǎng)研究[J].通信技術(shù),2020,53(11):2705-2712.
摘要
醫(yī)療服務(wù)關(guān)乎人們的生命健康。醫(yī)療信息化和醫(yī)療專(zhuān)網(wǎng)是實(shí)現(xiàn)優(yōu)質(zhì)醫(yī)療服務(wù)共享與延伸的重要手段。鏈接萬(wàn)物的5G商用化,使得醫(yī)療專(zhuān)網(wǎng)建設(shè)在全國(guó)各地井噴式發(fā)展。然而,對(duì)于承載大量敏感數(shù)據(jù)和隱私數(shù)據(jù)的醫(yī)療行業(yè),網(wǎng)絡(luò)安全性非常重要。因此,從5G醫(yī)療專(zhuān)網(wǎng)建設(shè)需求和專(zhuān)網(wǎng)架構(gòu)出發(fā),分析醫(yī)療專(zhuān)網(wǎng)的安全問(wèn)題,再?gòu)亩说蕉私嵌忍岢?G醫(yī)療行業(yè)專(zhuān)網(wǎng)安全的閉環(huán)解決方案,為現(xiàn)網(wǎng)建設(shè)提供指導(dǎo)。
關(guān)鍵詞:5G醫(yī)療專(zhuān)網(wǎng);安全;編排;重構(gòu)
內(nèi)容目錄:
0 引 言
1 5G醫(yī)療行業(yè)專(zhuān)網(wǎng)建設(shè)分析
2 端到端的5G安全醫(yī)療專(zhuān)網(wǎng)解決方案
3 結(jié)語(yǔ)
推薦產(chǎn)品:
FCU2302嵌入式控制單元-5G工業(yè)網(wǎng)關(guān) >> 點(diǎn)擊查看詳情
5G工業(yè)網(wǎng)關(guān) FCU2302嵌入式控制單元,支持邊緣計(jì)算,具有高帶寬、低時(shí)延、移動(dòng)性的優(yōu)勢(shì),更強(qiáng)的運(yùn)算能力、穩(wěn)定性和可擴(kuò)展性。集數(shù)據(jù)智能采集、多種通信協(xié)議轉(zhuǎn)換、5G無(wú)線通信、VPN虛擬專(zhuān)網(wǎng)、本地存儲(chǔ)、WIFI覆蓋、數(shù)據(jù)多中心傳輸?shù)裙δ苡谝惑w,具有強(qiáng)大的設(shè)備接入能力、聯(lián)動(dòng)控制能力。
飛凌提供的5G工業(yè)網(wǎng)關(guān)可為各種醫(yī)療診斷設(shè)備、醫(yī)療機(jī)器人等提供安全可靠醫(yī)療數(shù)據(jù)傳輸,滿足4K/8K 遠(yuǎn)程高清會(huì)診和醫(yī)學(xué)影像數(shù)據(jù)的共享,解決醫(yī)院專(zhuān)線建設(shè)難度大、成本高,及院內(nèi) WiFi 數(shù)據(jù)傳輸不安全等問(wèn)題。關(guān)注智慧醫(yī)療解決方案,關(guān)注5G+醫(yī)療,飛凌嵌入式提供多種5G工業(yè)網(wǎng)關(guān)解決方案,支持項(xiàng)目定制,詳細(xì)資料您可聯(lián)系在線客服索取。
正文開(kāi)始:
0、引言
醫(yī)療服務(wù)關(guān)乎人們的生命健康,其發(fā)展水平和速度備受世界各國(guó)關(guān)注。進(jìn)入21世紀(jì),我國(guó)在醫(yī)療服務(wù)建設(shè)上取得了舉世矚目的成績(jī),但和人民日益增長(zhǎng)的對(duì)美好健康生活的需求相比,醫(yī)療資源不足的瓶頸依舊凸顯,各地區(qū)醫(yī)療水平發(fā)展不均衡的矛盾仍然存在。如何加速醫(yī)療產(chǎn)業(yè)健康發(fā)展,補(bǔ)齊各地區(qū)不平衡發(fā)展的短板,提高整體運(yùn)作效率值得全行業(yè)思考。隨著社會(huì)的進(jìn)步,人們對(duì)醫(yī)療信息化的要求已經(jīng)從簡(jiǎn)單的數(shù)據(jù)匯集應(yīng)用發(fā)展到對(duì)數(shù)據(jù)的利用階段,由傳統(tǒng)的單體醫(yī)院服務(wù)模式邁入?yún)^(qū)域醫(yī)療、醫(yī)聯(lián)體服務(wù)模式,實(shí)現(xiàn)了優(yōu)質(zhì)服務(wù)的共享與延伸。這些相關(guān)的互聯(lián)網(wǎng)+應(yīng)用,均需要極高的網(wǎng)絡(luò)帶寬支撐和極低時(shí)延的數(shù)據(jù)響應(yīng)。
所以,5G網(wǎng)絡(luò)一問(wèn)世就引起了醫(yī)療界的重點(diǎn)關(guān)注。它的大帶寬、高可靠、低時(shí)延的網(wǎng)絡(luò)特性輔以邊緣計(jì)算平臺(tái),借助SDN、云計(jì)算、大數(shù)據(jù)以及人工智能等技術(shù),成為醫(yī)療行業(yè)建立行業(yè)專(zhuān)網(wǎng)的有力抓手。
1、5G醫(yī)療行業(yè)專(zhuān)網(wǎng)建設(shè)分析
1.1 5G醫(yī)療專(zhuān)網(wǎng)建設(shè)需求
結(jié)合醫(yī)療行業(yè)網(wǎng)絡(luò)現(xiàn)狀,5G醫(yī)療專(zhuān)網(wǎng)建設(shè)有兩方面需求。一方面,目前醫(yī)療行業(yè)內(nèi)部利用以太網(wǎng)、WiFi以及4G等網(wǎng)絡(luò)技術(shù)已經(jīng)建設(shè)了醫(yī)療信息化系統(tǒng),醫(yī)療企業(yè)希望與運(yùn)營(yíng)商合作,將5G平滑融入現(xiàn)有業(yè)務(wù)系統(tǒng),最好做到“即插即用”,即對(duì)現(xiàn)有業(yè)務(wù)流程不做大的修改,從而實(shí)現(xiàn)現(xiàn)有業(yè)務(wù)提質(zhì)增效,同時(shí)期望能夠與通信服務(wù)企業(yè)合作探索新興業(yè)務(wù)類(lèi)型。企業(yè)希望利用本身的站址、網(wǎng)絡(luò)傳輸?shù)荣Y源與運(yùn)營(yíng)商合作構(gòu)建5G,實(shí)現(xiàn)企業(yè)現(xiàn)有的網(wǎng)絡(luò)及業(yè)務(wù)管理系統(tǒng)與5G網(wǎng)絡(luò)無(wú)縫融合。此外,在獲得5G網(wǎng)絡(luò)運(yùn)營(yíng)權(quán)的同時(shí),期望降低企業(yè)自身的網(wǎng)絡(luò)及運(yùn)營(yíng)成本。另一方面,保障企業(yè)核心業(yè)務(wù)數(shù)據(jù)安全,不出園區(qū)。
1.25G醫(yī)療專(zhuān)網(wǎng)架構(gòu)
如圖1所示,5G醫(yī)療行業(yè)專(zhuān)網(wǎng)是新型ICT基礎(chǔ)設(shè)施,通過(guò)標(biāo)準(zhǔn)化的專(zhuān)網(wǎng)構(gòu)建面向行業(yè)客戶服務(wù)的市場(chǎng),同時(shí)以“基礎(chǔ)網(wǎng)絡(luò)服務(wù)+行業(yè)增值服務(wù)”的運(yùn)營(yíng)模式,滿足不同醫(yī)院標(biāo)準(zhǔn)化和定制化的業(yè)務(wù)需求。在基礎(chǔ)網(wǎng)絡(luò)服務(wù)方面,結(jié)合5G網(wǎng)絡(luò)的覆蓋情況,打通多級(jí)云和多級(jí)醫(yī)療單位之間的連接,通過(guò)行業(yè)專(zhuān)用網(wǎng)關(guān)和專(zhuān)網(wǎng)分片隔離等技術(shù),滿足企業(yè)數(shù)據(jù)存儲(chǔ)和傳輸?shù)陌踩€(gè)人業(yè)務(wù)和企業(yè)業(yè)務(wù)的高效融合以及各類(lèi)應(yīng)用場(chǎng)景低時(shí)延、高帶寬的網(wǎng)絡(luò)需求。
圖1 5G醫(yī)療行業(yè)專(zhuān)網(wǎng)基本架構(gòu)
整個(gè)5G行業(yè)專(zhuān)網(wǎng)組網(wǎng)架構(gòu)主要涉及行業(yè)終端、5G無(wú)線網(wǎng)絡(luò)覆蓋、端到端網(wǎng)絡(luò)切片、行業(yè)專(zhuān)網(wǎng)網(wǎng)關(guān)以及邊緣計(jì)算平臺(tái)等[1]。
1.2.1 5G行業(yè)終端
5G行業(yè)終端主要分為普通行業(yè)終端和雙域安全終端兩類(lèi)。普通行業(yè)終端即醫(yī)療行業(yè)各種終端設(shè)備,這些終端或通過(guò)網(wǎng)線或通過(guò)無(wú)線連接到醫(yī)院網(wǎng)絡(luò);雙域安全終端實(shí)現(xiàn)一個(gè)手機(jī)可同時(shí)接入公網(wǎng)和醫(yī)院專(zhuān)網(wǎng),進(jìn)而實(shí)現(xiàn)公網(wǎng)數(shù)據(jù)與行業(yè)客戶數(shù)據(jù)的同時(shí)訪問(wèn)。
1.2.2 無(wú)線網(wǎng)絡(luò)覆蓋
基于客戶的覆蓋需求,提供5G宏站與5G小站的部署位置與方案,保障企業(yè)院區(qū)內(nèi)5G無(wú)線覆蓋的完整性和連續(xù)性。同時(shí),考慮客戶已有的網(wǎng)絡(luò)連接的整合,包括WiFi、有線、園區(qū)自有網(wǎng)絡(luò)和光纖等,實(shí)現(xiàn)院內(nèi)固移融合的全連接無(wú)線網(wǎng)絡(luò)覆蓋,從而滿足不同類(lèi)別的生產(chǎn)需求。
1.2.3 端到端網(wǎng)絡(luò)切片
針對(duì)具體業(yè)務(wù)安全等級(jí),劃分不同的切片級(jí)承載,對(duì)應(yīng)不同等級(jí)的專(zhuān)網(wǎng)資源,滿足行業(yè)客戶對(duì)專(zhuān)屬網(wǎng)絡(luò)服務(wù)的差異化需求。
1.2.4 行業(yè)專(zhuān)網(wǎng)網(wǎng)關(guān)
提供企業(yè)數(shù)據(jù)本地分流能力,保障數(shù)據(jù)不出院區(qū);保證正常的公網(wǎng)用戶訪問(wèn)數(shù)據(jù)不受任何影響;借助網(wǎng)關(guān)的統(tǒng)一接入與認(rèn)證能力,實(shí)現(xiàn)不同網(wǎng)絡(luò)接入類(lèi)型(WiFi、光纖)的統(tǒng)一連接。
1.2.5 邊緣計(jì)算平臺(tái)
邊緣計(jì)算平臺(tái)(Multi-Access Edge Computing,MEC)[2]提供本地?cái)?shù)據(jù)處理、第三方APP能力以及行業(yè)安全解決方案服務(wù),是建設(shè)智慧院區(qū)的關(guān)鍵設(shè)備節(jié)點(diǎn)。
1.2.6 醫(yī)療業(yè)務(wù)平臺(tái)
醫(yī)療業(yè)務(wù)平臺(tái)包括HIS系統(tǒng)、PACS系統(tǒng)、EMR系統(tǒng)以及DB系統(tǒng)等。
1.3 5G醫(yī)療專(zhuān)網(wǎng)安全問(wèn)題分析
1.3.1 基于專(zhuān)網(wǎng)組件的角度分析安全問(wèn)題
基于上述架構(gòu)及需求,5G醫(yī)療安全專(zhuān)網(wǎng)安全問(wèn)題從網(wǎng)絡(luò)組件的角度來(lái)看主要涉及以下方面,如圖2所示。
圖2 5G專(zhuān)網(wǎng)安全問(wèn)題
(1)行業(yè)終端安全。在醫(yī)療網(wǎng)絡(luò)中,終端可以分為普通患者或醫(yī)院往來(lái)人員使用的終端設(shè)備、醫(yī)護(hù)人員使用的終端和院區(qū)的IoT設(shè)備3種。海量終端接入網(wǎng)絡(luò),一旦失控將導(dǎo)致網(wǎng)絡(luò)后臺(tái)癱瘓,難以恢復(fù)和排查。因此,終端安全最基本的做法是對(duì)其進(jìn)行分類(lèi),根據(jù)類(lèi)型設(shè)置權(quán)限后再進(jìn)行訪問(wèn)。
當(dāng)終端失控時(shí),把安全事件控制在一定范圍內(nèi)。普通患者和醫(yī)院來(lái)往人員的終端設(shè)備一般為移動(dòng)設(shè)備,可以訪問(wèn)醫(yī)院普通應(yīng)用系統(tǒng),如掛號(hào)系統(tǒng)、咨詢系統(tǒng)等,也可以進(jìn)一步與外部互聯(lián)網(wǎng)系統(tǒng)通信。醫(yī)護(hù)人員的終端有移動(dòng)終端也有固定臺(tái)式終端,根據(jù)人員分工不同,這些終端設(shè)備訪問(wèn)權(quán)限不同。其中,雙域終端可同時(shí)接入公網(wǎng)和醫(yī)院專(zhuān)網(wǎng),實(shí)現(xiàn)公網(wǎng)數(shù)據(jù)與醫(yī)院專(zhuān)網(wǎng)數(shù)據(jù)的同時(shí)訪問(wèn)。這類(lèi)終端是醫(yī)院行業(yè)專(zhuān)網(wǎng)中最容易失控的終端,病毒數(shù)據(jù)通過(guò)這類(lèi)終端偷溜入醫(yī)院專(zhuān)網(wǎng)數(shù)據(jù)庫(kù),竊取數(shù)據(jù)到互聯(lián)網(wǎng)。
因此,雙域終端必須嚴(yán)格控制使用人及使用安全,同時(shí)制定終端安全方案及終端訪問(wèn)安全方案,做好終端數(shù)據(jù)安全隔離,保證行業(yè)數(shù)據(jù)在終端側(cè)的安全。采用雙域的云終端可以很好地解決這個(gè)問(wèn)題,且專(zhuān)網(wǎng)數(shù)據(jù)在終端上不留痕。
特別的,雙域終端在離開(kāi)園區(qū)覆蓋時(shí),也可以根據(jù)其安全需求,接入相應(yīng)安全等級(jí)的網(wǎng)絡(luò)切片中使用。普通專(zhuān)網(wǎng)移動(dòng)或者固定終端僅在園區(qū)內(nèi)使用,離開(kāi)園區(qū)覆蓋范圍則不能用。這類(lèi)終端失控將影響專(zhuān)網(wǎng)的正常運(yùn)行。
(2)接入安全。5G行業(yè)專(zhuān)網(wǎng)接入安全主要源于多種接入終端以及接入網(wǎng)絡(luò)采用的多種接入?yún)f(xié)議導(dǎo)致的協(xié)議匯聚、協(xié)議交互、協(xié)議轉(zhuǎn)換過(guò)程中引入的安全漏洞。此外,5G為主要接入手段的無(wú)線專(zhuān)網(wǎng)部署,簡(jiǎn)化了光纖部署的施工步驟,為專(zhuān)網(wǎng)接入帶來(lái)極大便利,但同時(shí)增加了空口被竊聽(tīng)的風(fēng)險(xiǎn)。
(3)云上數(shù)據(jù)安全。邊緣計(jì)算平臺(tái)作為5G專(zhuān)網(wǎng)的云業(yè)務(wù)平臺(tái),區(qū)別于傳統(tǒng)的中心云的部署,通常部署在專(zhuān)網(wǎng)客戶機(jī)房,極端情況下(業(yè)務(wù)回環(huán)時(shí)延要求極小)也可以與園區(qū)內(nèi)基站共站址,與基站聯(lián)合部署。應(yīng)用網(wǎng)絡(luò)下沉到邊緣,極大地提高了業(yè)務(wù)響應(yīng)速度,解決了5G應(yīng)用中的低時(shí)延問(wèn)題;業(yè)務(wù)更貼近用戶,提供本地化服務(wù),從而提升了用戶體驗(yàn),發(fā)揮了邊緣網(wǎng)絡(luò)的更多價(jià)值。
然而,僅是應(yīng)用網(wǎng)絡(luò)下沉到客戶端,核心保護(hù)措施由于成本和網(wǎng)絡(luò)架構(gòu)等因素考慮并未完全下沉,因此邊緣網(wǎng)絡(luò)是一個(gè)極其脆弱的存在,一旦被攻擊,則將導(dǎo)致整個(gè)行業(yè)應(yīng)用網(wǎng)絡(luò)的不安全,通過(guò)核心網(wǎng)元的傳遞將導(dǎo)致整個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)的不安全。
邊緣云上的安全包括傳統(tǒng)云上的安全,如租戶身份假冒、非授權(quán)訪問(wèn)、非法應(yīng)用部署以及數(shù)據(jù)安全隔離。針對(duì)醫(yī)療行業(yè),專(zhuān)網(wǎng)上有很多敏感數(shù)據(jù)和個(gè)人隱私數(shù)據(jù),因此數(shù)據(jù)不出園區(qū)和數(shù)據(jù)分等級(jí)訪問(wèn)極其重要。
此外,邊緣網(wǎng)絡(luò)也是一個(gè)能力開(kāi)放的網(wǎng)絡(luò),甚至網(wǎng)絡(luò)能力對(duì)某些應(yīng)用都會(huì)開(kāi)放。外聯(lián)安全,調(diào)用網(wǎng)絡(luò)能力的應(yīng)用者身份及權(quán)限管理非常重要,否則將帶來(lái)整個(gè)運(yùn)營(yíng)網(wǎng)絡(luò)的崩潰及個(gè)人用戶隱私數(shù)據(jù)的暴露危險(xiǎn)。
(4)管理安全。管理安全包括權(quán)限管理、權(quán)限關(guān)聯(lián)管理和生命周期管理,還涉及資源組建、使用、回收以及過(guò)程中的安全問(wèn)題等。管理安全是保障邊緣云安全的重要手段。
1.3.2 基于醫(yī)療專(zhuān)網(wǎng)應(yīng)用的角度分析安全問(wèn)題
按照醫(yī)療專(zhuān)網(wǎng)的應(yīng)用場(chǎng)景,安全問(wèn)題在如下幾種場(chǎng)景中集中體現(xiàn)。
(1)園區(qū)內(nèi)本地組網(wǎng)場(chǎng)景,如圖3所示,是醫(yī)院園區(qū)各個(gè)樓棟之間的典型應(yīng)用場(chǎng)景?;?、行業(yè)網(wǎng)關(guān)以及用戶面功能(User Plane Function,UPF)[3]在園區(qū)內(nèi)部署,本地業(yè)務(wù)的數(shù)據(jù)流不出園區(qū)。基本安全策略是園區(qū)內(nèi)本地業(yè)務(wù)在本地邊緣云和邊緣數(shù)據(jù)中心上終結(jié)。這種場(chǎng)景下,需要特別關(guān)注如下的安全問(wèn)題。
第一,醫(yī)護(hù)人員的雙域終端安全問(wèn)題。終端需要根據(jù)業(yè)務(wù)的不同采用不同的控制資源、信令資源以及數(shù)據(jù)資源,防止不同應(yīng)用的數(shù)據(jù)互操作。特別的,復(fù)用空間被釋放或重新分配前可得到完全清除,防止互聯(lián)網(wǎng)病毒通過(guò)終端入侵內(nèi)網(wǎng)終端。
第二,園區(qū)內(nèi)包括基于多種接入?yún)f(xié)議的終端及網(wǎng)絡(luò)、固移結(jié)合的網(wǎng)絡(luò)等,而不同協(xié)議間的轉(zhuǎn)換也容易出現(xiàn)安全問(wèn)題。
第三,園區(qū)邊緣網(wǎng)絡(luò)。核心網(wǎng)網(wǎng)元UPF下沉到邊緣,更接近用戶端,大大減小了時(shí)延,也更加容易被攻擊。嚴(yán)重時(shí),通過(guò)下沉的核心網(wǎng)網(wǎng)元攻擊運(yùn)營(yíng)商整個(gè)網(wǎng)絡(luò),會(huì)導(dǎo)致整網(wǎng)癱瘓。
圖3 5G醫(yī)療專(zhuān)網(wǎng)園區(qū)本地網(wǎng)絡(luò)
(2)園區(qū)間協(xié)同組網(wǎng)場(chǎng)景,如圖4所示。5G醫(yī)療行業(yè)專(zhuān)網(wǎng),實(shí)現(xiàn)醫(yī)院及其他醫(yī)療機(jī)構(gòu)、醫(yī)聯(lián)體間的聯(lián)合組網(wǎng),實(shí)現(xiàn)優(yōu)質(zhì)醫(yī)療資源的延伸。這種情況下的專(zhuān)網(wǎng)是一個(gè)廣域?qū)>W(wǎng),醫(yī)療服務(wù)由5G廣域?qū)>W(wǎng)核心平臺(tái)統(tǒng)一協(xié)調(diào)處理,通過(guò)建立多層級(jí)的專(zhuān)網(wǎng)邊緣服務(wù)平臺(tái),級(jí)聯(lián)的專(zhuān)網(wǎng)網(wǎng)關(guān)實(shí)現(xiàn)數(shù)據(jù)重定位到特定的服務(wù)專(zhuān)網(wǎng)。
它可以分為本地跨院區(qū)廣域?qū)>W(wǎng)和跨省廣域?qū)>W(wǎng)兩種場(chǎng)景。這些網(wǎng)絡(luò)有的通過(guò)切片分組網(wǎng)接入,而在切片分組網(wǎng)絡(luò)沒(méi)有覆蓋的地方,則通過(guò)普通移動(dòng)網(wǎng)絡(luò)或第三方網(wǎng)絡(luò)接入。這種場(chǎng)景下,需要特別關(guān)注4方面安全問(wèn)題:①多級(jí)邊緣云數(shù)據(jù)的相互訪問(wèn)安全問(wèn)題;②多級(jí)數(shù)據(jù)在中心云匯聚時(shí)的數(shù)據(jù)合并、存儲(chǔ)時(shí)的安全問(wèn)題;③多級(jí)數(shù)據(jù)間傳輸?shù)陌踩珕?wèn)題;④多種網(wǎng)絡(luò)接入方式及多種網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換時(shí)的安全。
圖4 5G醫(yī)療專(zhuān)網(wǎng)廣域網(wǎng)絡(luò)
(3)園區(qū)外移動(dòng)組網(wǎng)場(chǎng)景,如圖5所示。該場(chǎng)景主要應(yīng)用在醫(yī)院園區(qū)的急救車(chē)駛出院外的場(chǎng)景。它分為有醫(yī)療專(zhuān)網(wǎng)覆蓋的場(chǎng)景和無(wú)醫(yī)療專(zhuān)網(wǎng)覆蓋的場(chǎng)景兩種情況。這種場(chǎng)景下,需要特別關(guān)注5方面的安全問(wèn)題:①移動(dòng)終端的安全管控問(wèn)題;②移動(dòng)終端接入專(zhuān)網(wǎng)身份安全問(wèn)題;③無(wú)專(zhuān)網(wǎng)覆蓋且采用常規(guī)網(wǎng)絡(luò)接入的情況下,終端及所采用的無(wú)線資源和有限資源的安全問(wèn)題;④移動(dòng)終端通過(guò)普通網(wǎng)絡(luò)接入到園區(qū)網(wǎng)絡(luò)時(shí)的安全問(wèn)題;⑤不同運(yùn)營(yíng)商間接入的安全問(wèn)題等。
圖5 5G醫(yī)療專(zhuān)網(wǎng)移動(dòng)網(wǎng)絡(luò)
2 端到端的5G安全醫(yī)療專(zhuān)網(wǎng)解決方案
5G商用化利用切片技術(shù)實(shí)現(xiàn)垂直行業(yè)對(duì)差異化網(wǎng)絡(luò)能力的需求。對(duì)于醫(yī)療行業(yè)來(lái)說(shuō),不同的應(yīng)用場(chǎng)景對(duì)網(wǎng)絡(luò)管道傳輸能力要求不同。例如:對(duì)于遠(yuǎn)程手術(shù),需要高清視頻業(yè)務(wù)的支持,重點(diǎn)關(guān)注帶寬與傳輸時(shí)延;對(duì)于醫(yī)院固定環(huán)境,醫(yī)療設(shè)備接入則重點(diǎn)關(guān)注功耗;對(duì)于醫(yī)院等敏感數(shù)據(jù)的行業(yè)來(lái)說(shuō),專(zhuān)網(wǎng)還需要提供差異化可重構(gòu)的安全能力。因此,在醫(yī)療行業(yè)領(lǐng)域,由于業(yè)務(wù)需求的不同,可以有不同的網(wǎng)絡(luò)管道切片、不同的業(yè)務(wù)安全等級(jí)以及采用不同的密碼算法給予支撐。
5G醫(yī)療專(zhuān)網(wǎng)業(yè)務(wù)開(kāi)展解決方案如圖6所示。
圖65G醫(yī)療安全專(zhuān)網(wǎng)整體解決方案
2.1 統(tǒng)一編排、動(dòng)態(tài)重構(gòu)
行業(yè)專(zhuān)網(wǎng)安全問(wèn)題涉及到“云-管-邊-端”各方面。網(wǎng)絡(luò)切片也是一個(gè)端到端閉環(huán)的虛擬資源組合。根據(jù)業(yè)務(wù)性能、網(wǎng)絡(luò)性能等動(dòng)態(tài)的變化,專(zhuān)網(wǎng)安全也能夠動(dòng)態(tài)重構(gòu)。因此,5G醫(yī)療專(zhuān)網(wǎng)中,利用網(wǎng)絡(luò)安全屬性與網(wǎng)絡(luò)資源屬性的可以統(tǒng)一編排、可重構(gòu)的特點(diǎn),從終端、傳輸管道、邊緣云以及中心云端采用統(tǒng)一的安全策略,保障同一層級(jí)的業(yè)務(wù)安全進(jìn)行,保障不同層級(jí)業(yè)務(wù)間的資源隔離。
2.2 軟件定義的5G醫(yī)療專(zhuān)網(wǎng)安全架構(gòu)
5G醫(yī)療專(zhuān)網(wǎng)通過(guò)應(yīng)用需求和終端類(lèi)型需求,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)組網(wǎng)的深度參與,真正實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)架構(gòu)(Software Defined Network,SDN)。如圖7所示,利用5G移動(dòng)網(wǎng)絡(luò)的資源編排能力和開(kāi)放安全能力,將業(yè)務(wù)安全需求轉(zhuǎn)化為對(duì)網(wǎng)絡(luò)資源的安全防護(hù)策略,從而實(shí)現(xiàn)對(duì)安全資源的按需動(dòng)態(tài)分配和調(diào)度,并將業(yè)務(wù)應(yīng)用的共性安全能力抽象封裝為業(yè)務(wù)安全支撐服務(wù),實(shí)現(xiàn)業(yè)務(wù)安全能力的快速部署和擴(kuò)展。
此外,終端在接入網(wǎng)絡(luò)時(shí),通過(guò)能力上報(bào)和資源請(qǐng)求,也會(huì)將其安全需求上報(bào)給網(wǎng)絡(luò)。由此,網(wǎng)絡(luò)統(tǒng)一編排系統(tǒng)可構(gòu)建一個(gè)動(dòng)態(tài)可重構(gòu)的業(yè)務(wù)安全防護(hù)框架,實(shí)現(xiàn)垂直行業(yè)差異性安全能力需求的業(yè)務(wù)安全保障架構(gòu)。
2.3 第三方能力參與的5G醫(yī)療專(zhuān)網(wǎng)建設(shè)
網(wǎng)絡(luò)能力開(kāi)放,因此運(yùn)營(yíng)商可通過(guò)能力開(kāi)放機(jī)制使垂直行業(yè)的第三方能力通過(guò)編排參與到5G網(wǎng)絡(luò)切片的能力構(gòu)建中,從而更好地服務(wù)應(yīng)用業(yè)務(wù)。第三方安全服務(wù)參與5G網(wǎng)絡(luò)能力模式,如圖7所示。
圖7 第三方安全服務(wù)參與5G網(wǎng)絡(luò)能力模式
2.4 由終端發(fā)起的安全醫(yī)療業(yè)務(wù)
圖8是終端側(cè)主動(dòng)發(fā)起的安全醫(yī)療業(yè)務(wù)。首先終端需要向網(wǎng)絡(luò)端提交申請(qǐng)的業(yè)務(wù)種類(lèi)、參與方安全等級(jí)等,網(wǎng)絡(luò)權(quán)衡全網(wǎng)資源后,按需編排相應(yīng)的資源支撐該業(yè)務(wù)[4]。
圖8 終端側(cè)主動(dòng)發(fā)起的安全醫(yī)療業(yè)務(wù)
(1)救護(hù)車(chē)開(kāi)展移動(dòng)救護(hù)工作,需要接入醫(yī)療專(zhuān)網(wǎng)獲取相關(guān)醫(yī)療數(shù)據(jù)及指導(dǎo);向網(wǎng)絡(luò)發(fā)送接入請(qǐng)求,同時(shí)攜帶終端能力和安全業(yè)務(wù)需求。
(2)5G網(wǎng)絡(luò)根據(jù)業(yè)務(wù)請(qǐng)求重定位業(yè)務(wù)到5G邊緣醫(yī)療網(wǎng)絡(luò)。
(3)邊緣網(wǎng)絡(luò)中管理編排(Management and Orchestration,MANO)[5]接收到接入信息后,根據(jù)業(yè)務(wù)請(qǐng)求及相關(guān)參數(shù)確定業(yè)務(wù)安全等級(jí),分配邊緣轉(zhuǎn)網(wǎng)絡(luò)虛擬資源(如基礎(chǔ)資源、計(jì)算資源、存儲(chǔ)資源以及密碼資源等)。
(4)邊緣云資源分配完成后,通知5G網(wǎng)絡(luò)。
(5)5G承載網(wǎng)絡(luò)根據(jù)業(yè)務(wù)需求、QoS以及安全需求等,分配切片資源、傳輸資源和無(wú)線資源。
(6)5G網(wǎng)絡(luò)將終端發(fā)起業(yè)務(wù)所用的無(wú)線資源通過(guò)空口通知給終端。
(7)終端采用網(wǎng)絡(luò)統(tǒng)一分配的資源接入網(wǎng)絡(luò),開(kāi)展端到端統(tǒng)一安全策略的5G醫(yī)療專(zhuān)網(wǎng)業(yè)務(wù)。
2.5 由網(wǎng)絡(luò)發(fā)起的安全醫(yī)療業(yè)務(wù)
圖9是網(wǎng)絡(luò)側(cè)主動(dòng)發(fā)起的安全醫(yī)療業(yè)務(wù)。業(yè)務(wù)發(fā)起時(shí),網(wǎng)絡(luò)已經(jīng)知道業(yè)務(wù)的種類(lèi)及安全等級(jí)。它主動(dòng)規(guī)劃?rùn)?quán)衡全網(wǎng)資源,并分配相應(yīng)的資源支撐該業(yè)務(wù)。
圖9 網(wǎng)絡(luò)側(cè)主動(dòng)發(fā)起的安全醫(yī)療業(yè)務(wù)
(1)醫(yī)院內(nèi)網(wǎng)開(kāi)展遠(yuǎn)程醫(yī)療教學(xué)業(yè)務(wù)和內(nèi)部培訓(xùn),主要針對(duì)主任級(jí)人員。MANO根據(jù)業(yè)務(wù)信息確定業(yè)務(wù)安全等級(jí),分配邊緣網(wǎng)絡(luò)上的業(yè)務(wù)資源、存儲(chǔ)資源及安全資源保障云上業(yè)務(wù)安全。此外,MANO會(huì)查詢終端數(shù)據(jù)庫(kù),選擇此高級(jí)安全業(yè)務(wù)承載終端設(shè)備,并選擇相應(yīng)的基站設(shè)備進(jìn)行通知(尋呼)。
(2)通知5G承載網(wǎng)絡(luò)醫(yī)療安全業(yè)務(wù)開(kāi)展、網(wǎng)絡(luò)需要達(dá)到的安全等級(jí)及網(wǎng)絡(luò)QoS等。
(3)5G承載網(wǎng)絡(luò)根據(jù)需求分配切片資源、傳輸資源以及無(wú)線資源。
(4)5G承載網(wǎng)絡(luò)利用重配置消息(尋呼消息)通知參與終端,建立端到端的專(zhuān)網(wǎng)數(shù)據(jù)切片通道,保障業(yè)務(wù)安全的進(jìn)行。
(5)安全醫(yī)療業(yè)務(wù)進(jìn)行。
3 結(jié)語(yǔ)
醫(yī)療專(zhuān)網(wǎng)是醫(yī)院最重要的信息化基礎(chǔ)設(shè)施。5G智慧醫(yī)療安全專(zhuān)網(wǎng)整合醫(yī)療資源,助力分級(jí)診療,實(shí)現(xiàn)醫(yī)療互助,同時(shí)借助第三方安全需求及能力,加以移動(dòng)網(wǎng)絡(luò)切片功能,構(gòu)建統(tǒng)一編排、動(dòng)態(tài)重構(gòu)的網(wǎng)絡(luò)。本文結(jié)合5G醫(yī)療專(zhuān)網(wǎng)的應(yīng)用場(chǎng)景,對(duì)5G醫(yī)療安全專(zhuān)網(wǎng)建設(shè)做了深入分析和研究,對(duì)現(xiàn)網(wǎng)建設(shè)具有重要的參考價(jià)值。
作者簡(jiǎn)介
畢敏(1978—),女,碩士,工程師,主要研究方向?yàn)橐苿?dòng)邊緣計(jì)算安全技術(shù);
王亮(1970—),男,學(xué)士,工程師,主要研究方向?yàn)?a href="http://www.powerye.cn/wulianwang.html" class="tag-link">物聯(lián)網(wǎng)安全;
石遠(yuǎn)兵(1978—),男,碩士,高級(jí)工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全。
選自《通信技術(shù)》2020年第11期(為便于排版,已省去原文參考文獻(xiàn))
聲明:本文來(lái)自信息安全與通信保密雜志社,版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn),轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請(qǐng)聯(lián)系luan@forlinx.com。
相關(guān)產(chǎn)品 >
-
FCU2303嵌入式控制單元
5G智能網(wǎng)關(guān)|FCU2303嵌入式控制單元5G智能網(wǎng)關(guān)3.0是高度集成的新一代5G智能通信網(wǎng)關(guān)。5G智能網(wǎng)關(guān)高算力CPU,采用無(wú)風(fēng)扇設(shè)計(jì),提供強(qiáng)大的邊緣計(jì)算能力的同時(shí)保證系統(tǒng)長(zhǎng)時(shí)間穩(wěn)定運(yùn)行。5G網(wǎng)關(guān)支持全網(wǎng)通5G模組可為用戶提供高帶寬、低延時(shí)、大連接的服務(wù)。5G智能網(wǎng)關(guān)配有8個(gè)獨(dú)立MAC地址的千兆以太網(wǎng)和8個(gè)RS485。5G智能網(wǎng)關(guān)廣泛適用于智慧城市、智慧工廠、智慧電力、智慧水務(wù)、智慧農(nóng)業(yè)、安防監(jiān)控等行業(yè)。 軟件采用Ubuntu18.04系統(tǒng),集成豐富的第三方組件Samba、Lighttpd、虛擬化技術(shù)(Docker、LXC、QEMU)、IPSEC、OpenSSL等。提供開(kāi)放的系統(tǒng)API,方便用戶二次開(kāi)發(fā)。 了解詳情 -
FCU2201嵌入式控制單元
高性價(jià)比5G工業(yè)網(wǎng)關(guān) |FCU2201嵌入式控制單元搭載NXP LS1012A-C網(wǎng)絡(luò)處理器開(kāi)發(fā)設(shè)計(jì),是一款工業(yè)級(jí)的高性價(jià)比5G網(wǎng)關(guān)產(chǎn)品,采用無(wú)風(fēng)扇散熱設(shè)計(jì);CPU主頻1GHz,RAM 512MB,滿足一般邊緣計(jì)算和數(shù)據(jù)轉(zhuǎn)發(fā)的能力;并支持Ubuntu18.04和OpenWRT系統(tǒng),方便用戶二次開(kāi)發(fā)設(shè)計(jì);5G模組采用M.2封裝可插拔方式,可更換為4G模組做成本優(yōu)化;以及支持5個(gè)RS485接口,其中4個(gè)可拆卸做成本優(yōu)化;產(chǎn)品適用于智慧工廠、智慧農(nóng)業(yè)、智慧城市、智慧醫(yī)療等領(lǐng)域,關(guān)于傳感器數(shù)據(jù)采集、網(wǎng)絡(luò)攝像頭圖像采集、數(shù)據(jù)的處理、存儲(chǔ)、5G上傳等應(yīng)用。
了解詳情