一种应用于数字医疗的系统安全规划方案的制作方法

文档序号:7685077阅读:242来源:国知局
专利名称:一种应用于数字医疗的系统安全规划方案的制作方法
技术领域
本发明主要涉及数字医疗信息领域,为医院信息系统和外部信息系统进行 交互提供的一种安全解决方案,特别是涉及一种应用于数字医疗的系统安全规 划方案。
背景技术
IPSec(IP Security)是网络安全协议的一个工业标准,IPSec主要功能是为IP 通信提供加密和认证,为IP网络通信提供透明的安全服务,保护TCP/IP通信 免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec产生于IPv6 的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行 通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络 提供了安全通信的基础。
IPSec有两种工作模式, 一种是隧道模式,另一种是传输模式。传输模式 只对IP数据包的有效负载进行加密或认证,此时继续使用原始IP头部。传输模 式对IP包的路由支持较好。隧道模式对整个IP数据包进行加密或认证。此时, 需要新产生一个IP头部,原来的IP头被加密,有效地防止"中间人"攻击。
IPSec中的三个主要协议分别是
(1) AH协议(Authentication Header)
AH协议为IP通信提供数据源认证和数据完整性检验,它能保护通信免受 篡改,但并不加密传输内容,不能防止窃听。AH联合数据完整性保护并在发送 接收端使用共享密钥来保证身份的真实性;使用HASH算法在每一个数据包上 添加一个身份验证报头来实现数据完整性检验。需要预约好收发两端的HAS
算法和共享密钥。
(2) ESP协议(Encapsulating Security Payload)
ESP主要区别于AH协议的是它的数据安全性保证,它使用预约好的加密算 法和密钥对IP包进行加密,防止窃听。它也提供AH类似的数据源认证和数据 完整性检验。AH协议与ESP协议可以联合使用,也可以单独使用。 (3 ) Internet密钥交换助、议IKE(Internet Key Exchange)
无论实现AH或ESP还是两者的联合,收发端两台计算机必须首先建立某 种约定,这种约定,称为"安全关联",指双方需要就如何保护信息、交换信息等 公用的安全设置达成一致,更重要的是,必须有一种方法,使那两台计算机安 全地交换一套密钥,以便在它们的连接中使用。IKE协议主要是对密钥交换进行 管理,主要包括对使用的协议、加密算法和密钥进行协商;建立可靠的密钥交 换机制。IKE是一个混合协议,它使用到了三个不同协议的相关部分安全关联 和密钥交换协议ISAKMP,密钥确定协议Oakley和SKEME。
在当前的安全策略上很多时候会使用到SSL和VPN,但作为和传输层无关 的安全策略,WS-Security规范无疑是最具广泛的应用。IBM, BEA, Microsoft 共同制定了 WS-Security规范,解决了安全的三个基本问题机密性、完整性、 身份鉴别,在Web Services使用SOAP (XML格式)作为消息封装协议的背景 下,标准化组织分别制定了 XML Encryption、 XML Digital Signature.与 SAML(XML格式的Security Token)三套规范,WS-Security则是规定了如何将以 上规范组合起来以满足Web Services安全需求的一套规范。
目前技术主要有以下不足之处
(1) IPSec VPN配置部署复杂,需要专门的客户端软件,而且不同提供商之 间的设备很难完全兼容。 (2)网络适应性不佳,由于是IP层的协议,对防火墙等访问控制设备不透 明,对网络地址转换(NAT)和应用代理(Proxy)等穿透性差。

发明内容
本发明的目的在于解决现有技术存在问题,为数字医疗的系统安全提供了 一种规划方案,使医疗信息可以快捷流通和共享,同时保证医疗数据的安全、 保密,以保障信息的安全。
为了实现发明目的,采用的技术方案如下
一种应用于数字医疗的系统安全规划方案,包括具有IPSec的网络安全协议 的防火墙、互联网、短信发送器、短信接收器、医疗数据发送端和医疗数据接 收端,其特征在于包括以下步骤-
a、 所述医疗数据发送端与所述医疗数据接收端在传输层上的连接通过基于 IPSec的VPN(虚拟局域网)实现,在实现层上的连接通过Web-Service实现
b、 VPN的连接上需要身份认证字符串进行认证,所述短信发送器设置在所 述医疗数据发送端上,发送所述的身份认证字符串;
c、 所述短信接收器设置在所述医疗数据接收端上,接收所述短信发送器发 送的所述的身份认证字符串,VPN连接成功;
d、 通过VPN连接后,所述医疗数据发送端产生一个非对称加密的密钥文 件,并通过彩信的方式发送到所述医疗数据接收端;
e、 所述医疗数据接收端通过短信接收回来的所述的身份认证字符串连接到 所述医疗数据发送端;
f、 所述医疗发送端采用WS-Security网络传输协议加密医疗数据,发送给 所述医疗数据接收端;
g、 所述医疗数据接收端利用所述非对称加密的密钥文件对接收到的医疗数
据进行解密,获得医疗数据。
所述的医疗数据发送端具有医疗数据发送的服务功能,通过VPN的技术与 外部服务器连接。
所述的医疗数据接收端通过VPN与所述医疗数据发送端连接,接收所述医 疗数据发送端发送的医疗数据。
在物理连接上,使用所述的具有IPSec的网络安全协议的防火墙和所述短信 发送接收器实现所述身份认证字符串及所述密钥文件通过另外一个网络进行传 送。
通过对所述短信发送接收器的二次开发,实现根据安全级别的不同,在不 同的周期里发送更新的密钥。 本发明的优点主要体现如下
(1) 不需要昂贵的固定线路的租费。
(2) 接入方式灵活。
(3) IPSec VPN的显著特点就是它的安全性,这是它保证内部数据安全的根本。


附图为本发明的结构示意图。
具体实施方式
下面结合附图对本发明做进一步的说明。
如附图所示,本发明是一种实现数字医疗与医院信息系统进行交互的一种 安全解决方案。
本发明是利用了基于IPSec的硬件VPN防火墙来实现传输层,利用了 WS-Security实现了应用层的安全性,来实现医疗数据接收端和医疗数据发送端
的之间的安全连接,由于需要保证医疗数据发送端的VPN用户名和密码的不被 盗窃,本方案利用了无线通信网络(GSM)短信的方式传送医疗数据发送端的 VPN用户名和密码到医疗数据接收端。这是因为在无线通信网络上手机号码是 唯一的,无法复制和虚拟的,加上同时截取Internet和GSM网络的信息基本上 是不可能的,这样我们就可以根据系统的安全级别制定密码和密钥的更新周期, 并通过短信收发器里的密码和密钥更新模块实现服务'端和客户端的密码和密钥 的同时更新。
数据的发送端和接收端中包含每个IPSec数据包中的所有区域的安全关联 信息,能够解读IPSec数据包的报头及明文部分数据。
传递数据路径中的经认证的性能增强中间节点中只包含有安全策略允许的 部分区域的安全关联信息,能够解读IPSec数据包中的部分加密数据。
权利要求
1、一种应用于数字医疗的系统安全规划方案,包括具有IPSec的网络安全协议的防火墙、互联网、短信发送器、短信接收器、医疗数据发送端和医疗数据接收端,其特征在于包括以下步骤a、所述医疗数据发送端与所述医疗数据接收端在传输层上的连接通过基于IPSEC的VPN(虚拟局域网)实现,在实现层上的连接通过Web-Service实现b、VPN的连接上需要身份认证字符串进行认证,所述短信发送器设置在所述医疗数据发送端上,发送所述的身份认证字符串;c、所述短信接收器设置在所述医疗数据接收端上,接收所述短信发送器发送的所述的身份认证字符串,VPN连接成功;d、通过VPN连接后,所述医疗数据发送端产生一个非对称加密的密钥文件,并通过彩信的方式发送到所述医疗数据接收端;e、所述医疗数据接收端通过短信接收回来的所述的身份认证字符串连接到所述医疗数据发送端;f、所述医疗发送端采用WS-Security网络传输协议加密医疗数据,发送给所述医疗数据接收端;g、所述医疗数据接收端利用所述非对称加密的密钥文件对接收到的医疗数据进行解密,获得医疗数据。
2 、根据权利1所述的一种应用于数字医疗的系统安全规划方案,其特征在于所述的医疗数据发送端具有医疗数据发送的服务功能,通过VPN 的技术与外部服务器连接。
3 、根据权利1所述的一种应用于数字医疗的系统安全规划方案,其特征在于所述的医疗数据接收端通过VPN与所述医疗数据发送端连接,接收所述医疗数据发送端发送的医疗数据。
4 、根据权利1所述的一种应用于数字医疗的系统安全规划方案,其特征在于在物理连接上,使用所述的具有IPSec的网络安全协议的防火墙 和所述短信发送接收器实现所述身份认证字符串及所述密钥文件通 过另外一个网络进行传送。
5 、根据权利1所述的一种应用于数字医疗的系统安全规划方案,其特征在于通过对所述短信发送接收器的二次开发,实现根据安全级别的不 同,在不同的周期里发送更新的密钥。
全文摘要
本发明提供了一种应用于数字医疗的系统安全规划方案,主要涉及数字医疗信息领域。该方案包括具有IPSec的网络安全协议的防火墙、互联网、短信发送器、短信接收器、医疗数据发送端和医疗数据接收端,其实现方法分为七个步骤。本发明为数字医疗的系统安全提供了一种规划方案,使医疗信息可以快捷流通和共享,同时保证医疗数据的安全、保密,以保障信息的安全。
文档编号H04L29/06GK101360096SQ200810030099
公开日2009年2月4日 申请日期2008年8月12日 优先权日2008年8月12日
发明者余元龙, 卢林发, 杨泽威, 罗笑南, 胡健新 申请人:中山爱科数字科技有限公司;广东爱科数字科技有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1