摘 要: 物聯網技術在醫療領域的應用一直備受國內外的廣泛關注。而這一應用的前提是物聯網網絡在醫院安全、完整的敷設。著重介紹了物聯網網絡工程在我院的規劃設計及具體實施情況。
關鍵詞: 物聯網;AP;信道規劃;IP規劃;無線安全
1 項目背景
浙江大學醫學院附屬第一醫院(浙江省第一醫院)系三級甲等綜合性醫院,是浙江省醫療、教學、科研指導中心之一。醫院現有職工3 780余人,其中高級職稱醫護專家430余人,有中國工程院院士2名、長江特聘教授2名、長江講座教授2名、“千人計劃”1名,國家杰出基金獲得者2名,求是特聘教授2名,占地面積150余畝,分為慶春、城站、大學路和良渚四個院區,核定床位2 500張。
醫院設有傳染病診治國家重點實驗室、衛生部多器官聯合移植研究重點實驗室、國家中醫藥科研三級實驗室(分子生物學、腎病、血液)等國家級實驗室,以及浙江省的40余個重點實驗室。近年來,醫院積極探索公立醫院改革之路借助主持的“十一五”重大科技攻關項目——“國家數字衛生關鍵技術和區域示范應用研究”,構建“省、縣(區)、鄉三級醫療服務網絡”,成功使優質醫療資源垂直延伸到基層。目前,醫院已擁有1家托管醫院、3家合作醫院、89家協作醫院及網絡服務單位和1家對口基層醫院,提供了上萬次的遠程會診服務。
醫院敷設物聯網網絡,主要應用于藥品管理、遠程監護和護理、輸液管理、移動護理、醫生電子病歷移動醫療、消毒供應中心質量追溯系統、醫療設備的跟蹤與管理、醫療垃圾的處理、醫療手術中的跟蹤監控、血液制品的管理與監控、病人的定位跟蹤及管理、醫院感染控制等各方面涉及醫療安全的物聯網應用。
本項目工程主要覆蓋醫院本部1、2、3、5、6、7、9、10號樓及入院服務中心等樓的物聯網網絡。
2 基本概念
2.1 物聯網的概念
所謂“物聯網”,即是指利用條碼、射頻識別(RFID)、紅外感應器、全球定位系統、激光掃描器等信息傳感設備,按約定的協議,完成任何物品間在任何時間、任何地點的連接,進行信息交換和通信,以實現智能化識別、定位、跟蹤、監控和管理的一種網絡[1-2]。
2.2 物聯網在醫療領域的應用
在醫療領域,物聯網在條碼化病人身份管理、移動醫囑、診療體征錄入、藥物管理、檢驗標本管理、病案管理數據保存及調用、護理流程、臨床路徑、傳染病感染等管理中,均能發揮重要作用[3]。例如:通過物聯網技術,可以將消毒器械包和手術器械包的名稱、品種、批次及清洗、滅菌、存儲、運輸等環節的有關時間、操作員、各種儀器的運作狀態等信息,都存于電子標簽中,當出現問題時可以追溯整個消毒清洗過程。
3 物聯網網絡工程的實施
本物聯網網絡工程項目需要實現我院1、2、3、5、6、7、9、10號樓、入院服務中心等樓的全方位物聯網網絡的覆蓋。無線網絡解決方案基于802.11a/b/g傳輸標準,采取無線控制器加瘦AP的架構,所有AP都通過無線控制器進行統一管理,通過不同的服務集標識來定義各種結構。采用的物聯網無線設備為:物聯網控制器 WNAC9505-2臺,做雙機熱備。物聯網AP:WNDAP350-ER-258臺,WNDAP356-316臺。POE物聯網供電交換機:GA724TP-55臺。對于物聯網AP布線要求,由于物聯網AP集成了無線網(WIFI)與傳感網(RFID)功能,所以每個AP需要兩根網絡線,分別用于傳輸無線網與傳感網。
3.1 無線網絡規劃設計
該無線網絡的主要目的是通過真實的使用環境和實際效果,來滿足和保證未來醫療網絡系統和資源有良好的使用感受。未來無線移動網絡在醫院病區的實際效果主要是應用于病區移動查房、移動護理、質量追溯、輸液管理、病區訂餐、心電數據回傳、物聯網等功能。作為有線網絡應用的補充方式,在每個區域使用的移動終端個數將在10~15個左右。如圖1所示。
3.1.1 WLAN AP部署設計
該項目總共有582個物聯網AP。按照一棟大樓的WLAN AP部署方法,即要根據建筑樓層房間的分布基本一致性,充分利用無線信號對單體墻壁和天花板的信號穿透性,將WLAN AP交叉擺放,這樣可以充分利用上、下層AP穿越樓板的信號,以起到上下、左右間無線信號的互補和利用;既節省了WLAN建設成本,也最大化地有利于信號的充分覆蓋和利用。
以6號樓B區的一層為例,根據建筑自身特點,為了保證每個房間的信號有效覆蓋,共部署了6個AP,以802.11a/n和g/n覆蓋區域信號最強化為目標,只有信號足夠強,無線高速率才有保證。
在每個樓層的井道內,放置一臺NETGEAR GS724TP千兆802.3af POE交換機,提供6臺AP以太網線遠程供電和數據的傳輸;GS724TP的一個千兆端口通過以太網線上連至有線網絡內。
3.1.2 無線信道及漫游規劃
雖然2.4 GHz~2.483 GHz之間的802.11標準的無線頻點有13個,但由于設計為相互重疊,所以只有3個不重疊頻點(一般設計工作在1、6、11這3個完全不重疊的頻點),這樣使得頻點配置工程十分必要。合理地進行信道規劃,降低同頻干擾,同時樓層之間的泄漏信號干擾也要考慮在內。信道采用手動靜態設置。如圖2所示。
漫游需求的規劃一是要確定漫游的范圍,二是要確保覆蓋范圍內無線信號的無縫覆蓋。
3.1.3 無線發射功率自動選擇及覆蓋故障自動修復
AP在默認情況下,會按照相鄰AP的發射功率自動調節自身的發射功率,使之能實現相鄰AP間的全覆蓋。當其中1個AP發生故障不能正常工作時,與之相鄰的AP就會自動增強發射功能,從而彌補因為AP故障而導致的覆蓋缺失。
3.2 實施方案
3.2.1 物聯網整體網絡拓撲結構圖
為了方便網絡管理、減輕有線網絡承載負擔,也為了避免當無線物聯網絡出現問題時累及有線網絡,有線網絡的匯聚交換與物聯網絡的匯聚交換機實現物理隔離。即有線網與物聯網各自單獨使用匯聚交換機,通過各自的匯聚交換機再與醫院的有線核心交換機相連。
整體網絡拓撲圖如圖3所示。
3.2.2 IP地址的規劃
AP的管理IP地址及RFID傳感網的管理IP地址在網絡中添加新的網段,按照網絡的IP規劃來給AP及RFID分配IP。保證AP及RFID獲取到的IP地址與AC、RFID獲取到的IP地址與AC、RFID服務器之間能夠三層可達。為了方便管理及安全考慮,采用固定IP地址的方式實現AC與AP、RFID與RFID服務器之間的三層部署。一幢樓啟用一個全新的VLAN。
客戶端接入端IP規劃:每幢樓為一個接入單元,采用同一個SSID實現三層漫游,并采用動態IP分配方式。
3.3 無線與RFID安全接入規劃
為了保證無線的安全接入,采用目前較為流行的MAC認證與WPA2認證結合的方式來確保無線網和傳感網的網絡安全。
3.3.1 MAC認證方式
MAC地址認證是一種基于端口和MAC地址對用戶訪問網絡的權限進行控制的認證方法,它不需要用戶安裝任何客戶端軟件,AC控制器在首次監測到用戶的MAC地址以后,即啟動對該用戶的認證操作。在控制器上設置白名單,把允許進入網絡的合法用戶列入名單中,而一旦發現有可疑的非法用戶,則將其列入黑名單。
3.3.2 WPA2認證方式
無線數據的加密采用WPA2安全架構的AES-CCMP(高級加密標準-計數器模式密碼區塊鏈接消息身份驗證代碼協議)。CCMP采用AES加密模塊,AES既可以實現數據的機密性(加密),又可以實現數據的完整性。這是在IEEE802.11i標準中指定的用于無線傳輸隱私保護的一個新辦法。AES-CCMP是面向大眾的最高級無線安全協議??傮w來說,CCMP提供了加密、認證、完整性檢查和重放保護四重功能。CCMP使用128位AES加密算法實現機密性,使用其他CCMP協議組件實現其余3種服務。CCMP基于CCM方式,該方式使用了AES加密算法,所以AES-CCMP加密協議也稱AES-CCM加密協議。從名稱可以看出,CCM配備了兩種運算模式,即計數器模式和密碼區塊鏈信息認證模式,其中計數器模式用于數據流的加密/解密,而密碼區塊鏈信息認證碼模式用于身份認證及數據完整性校驗。CCM保護MPDU數據和IEEE802.11 MPDU幀頭部分域的完整性。AES定義在FIPS PUB197,所有在CCMP中用到的AES處理都使用一個128位的密鑰和一個128位大小的數據塊;CCM方式定義在RFC3610。CCM是一種通用模式,可以用于任意面向塊的加密算法。
加密和認證可以相互結合,整體保證無線接入的安全性。
3.3.3 RFID安全性規劃
因為RFID采用UDP發包方式,而且RFID芯片本身也具有加密功能,所以安全性得以保障。
認證的流程可以分為以下幾個步驟:
(1)應用程序通過RFID讀寫器向RFID電子標簽發送認證請求;
(上接第58頁)
(2)RFID電子標簽收到請求后向讀寫器發送一個隨機數B;
(3)讀寫器收到隨機數B后,向RFID電子標簽發送使用要驗證的密鑰加密B的數據包,其中包含了讀寫器生成的另一個隨機數A;
(4)RFID電子標簽收到數據包后,使用芯片內部存儲的密鑰進行解密,解出隨機數B并校驗與之發出的隨機數B是否一致;
(5)如果一致,則RFID使用芯片內部存儲的密鑰對A進行加密并發送給讀寫器;
(6)讀寫器收到此數據包后,進行解密,解出A并與前述的A比較是否一致。
物聯網技術在醫療領域的應用一直備受國內外的廣泛關注。本文詳細討論了物聯網在醫療領域應用的基礎架構——物聯網網絡工程的構建,及在我院的一個實施情況,借此能給兄弟醫院提供一個有益的參考。
參考文獻
[1] 馮杰,郗家貞.對物聯網組網架構的探究[J].信息與電腦,2010(8):87.
[2] 李航,陳后金.物聯網的關鍵技術及應用前景[J].中國科技論壇,2011(1):81-85.
[3] 俞磊,陸陽,朱曉玲,等.物聯網技術在醫療領域的研究進展[J].計算機應用研究,2012,29(1):1-7.