摘  要： 物聯(lián)網(wǎng)技術(shù)在醫(yī)療領(lǐng)域的應用一直備受國內(nèi)外的廣泛關(guān)注。而這一應用的前提是物聯(lián)網(wǎng)網(wǎng)絡在醫(yī)院安全、完整的敷設。著重介紹了物聯(lián)網(wǎng)網(wǎng)絡工程在我院的規(guī)劃設計及具體實施情況。
關(guān)鍵詞： 物聯(lián)網(wǎng)；AP；信道規(guī)劃；IP規(guī)劃；無線安全

1 項目背景
    浙江大學醫(yī)學院附屬第一醫(yī)院(浙江省第一醫(yī)院)系三級甲等綜合性醫(yī)院，是浙江省醫(yī)療、教學、科研指導中心之一。醫(yī)院現(xiàn)有職工3 780余人，其中高級職稱醫(yī)護專家430余人，有中國工程院院士2名、長江特聘教授2名、長江講座教授2名、“千人計劃”1名，國家杰出基金獲得者2名，求是特聘教授2名，占地面積150余畝，分為慶春、城站、大學路和良渚四個院區(qū)，核定床位2 500張。
    醫(yī)院設有傳染病診治國家重點實驗室、衛(wèi)生部多器官聯(lián)合移植研究重點實驗室、國家中醫(yī)藥科研三級實驗室（分子生物學、腎病、血液）等國家級實驗室，以及浙江省的40余個重點實驗室。近年來，醫(yī)院積極探索公立醫(yī)院改革之路借助主持的“十一五”重大科技攻關(guān)項目——“國家數(shù)字衛(wèi)生關(guān)鍵技術(shù)和區(qū)域示范應用研究”，構(gòu)建“省、縣（區(qū)）、鄉(xiāng)三級醫(yī)療服務網(wǎng)絡”，成功使優(yōu)質(zhì)醫(yī)療資源垂直延伸到基層。目前，醫(yī)院已擁有1家托管醫(yī)院、3家合作醫(yī)院、89家協(xié)作醫(yī)院及網(wǎng)絡服務單位和1家對口基層醫(yī)院，提供了上萬次的遠程會診服務。
    醫(yī)院敷設物聯(lián)網(wǎng)網(wǎng)絡，主要應用于藥品管理、遠程監(jiān)護和護理、輸液管理、移動護理、醫(yī)生電子病歷移動醫(yī)療、消毒供應中心質(zhì)量追溯系統(tǒng)、醫(yī)療設備的跟蹤與管理、醫(yī)療垃圾的處理、醫(yī)療手術(shù)中的跟蹤監(jiān)控、血液制品的管理與監(jiān)控、病人的定位跟蹤及管理、醫(yī)院感染控制等各方面涉及醫(yī)療安全的物聯(lián)網(wǎng)應用。
    本項目工程主要覆蓋醫(yī)院本部1、2、3、5、6、7、9、10號樓及入院服務中心等樓的物聯(lián)網(wǎng)網(wǎng)絡。
2 基本概念
2.1 物聯(lián)網(wǎng)的概念
    所謂“物聯(lián)網(wǎng)”，即是指利用條碼、射頻識別(RFID)、紅外感應器、全球定位系統(tǒng)、激光掃描器等信息傳感設備，按約定的協(xié)議，完成任何物品間在任何時間、任何地點的連接，進行信息交換和通信，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡[1-2]。
2.2 物聯(lián)網(wǎng)在醫(yī)療領(lǐng)域的應用
    在醫(yī)療領(lǐng)域，物聯(lián)網(wǎng)在條碼化病人身份管理、移動醫(yī)囑、診療體征錄入、藥物管理、檢驗標本管理、病案管理數(shù)據(jù)保存及調(diào)用、護理流程、臨床路徑、傳染病感染等管理中，均能發(fā)揮重要作用[3]。例如：通過物聯(lián)網(wǎng)技術(shù)，可以將消毒器械包和手術(shù)器械包的名稱、品種、批次及清洗、滅菌、存儲、運輸?shù)拳h(huán)節(jié)的有關(guān)時間、操作員、各種儀器的運作狀態(tài)等信息，都存于電子標簽中，當出現(xiàn)問題時可以追溯整個消毒清洗過程。
3 物聯(lián)網(wǎng)網(wǎng)絡工程的實施
    本物聯(lián)網(wǎng)網(wǎng)絡工程項目需要實現(xiàn)我院1、2、3、5、6、7、9、10號樓、入院服務中心等樓的全方位物聯(lián)網(wǎng)網(wǎng)絡的覆蓋。無線網(wǎng)絡解決方案基于802.11a/b/g傳輸標準，采取無線控制器加瘦AP的架構(gòu)，所有AP都通過無線控制器進行統(tǒng)一管理，通過不同的服務集標識來定義各種結(jié)構(gòu)。采用的物聯(lián)網(wǎng)無線設備為：物聯(lián)網(wǎng)控制器 WNAC9505-2臺，做雙機熱備。物聯(lián)網(wǎng)AP：WNDAP350-ER-258臺，WNDAP356-316臺。POE物聯(lián)網(wǎng)供電交換機：GA724TP-55臺。對于物聯(lián)網(wǎng)AP布線要求，由于物聯(lián)網(wǎng)AP集成了無線網(wǎng)（WIFI）與傳感網(wǎng)（RFID）功能，所以每個AP需要兩根網(wǎng)絡線，分別用于傳輸無線網(wǎng)與傳感網(wǎng)。
3.1 無線網(wǎng)絡規(guī)劃設計
    該無線網(wǎng)絡的主要目的是通過真實的使用環(huán)境和實際效果，來滿足和保證未來醫(yī)療網(wǎng)絡系統(tǒng)和資源有良好的使用感受。未來無線移動網(wǎng)絡在醫(yī)院病區(qū)的實際效果主要是應用于病區(qū)移動查房、移動護理、質(zhì)量追溯、輸液管理、病區(qū)訂餐、心電數(shù)據(jù)回傳、物聯(lián)網(wǎng)等功能。作為有線網(wǎng)絡應用的補充方式，在每個區(qū)域使用的移動終端個數(shù)將在10~15個左右。如圖1所示。

3.1.1 WLAN AP部署設計
    該項目總共有582個物聯(lián)網(wǎng)AP。按照一棟大樓的WLAN AP部署方法，即要根據(jù)建筑樓層房間的分布基本一致性，充分利用無線信號對單體墻壁和天花板的信號穿透性，將WLAN AP交叉擺放，這樣可以充分利用上、下層AP穿越樓板的信號，以起到上下、左右間無線信號的互補和利用；既節(jié)省了WLAN建設成本，也最大化地有利于信號的充分覆蓋和利用。
    以6號樓B區(qū)的一層為例，根據(jù)建筑自身特點，為了保證每個房間的信號有效覆蓋，共部署了6個AP，以802.11a/n和g/n覆蓋區(qū)域信號最強化為目標，只有信號足夠強，無線高速率才有保證。
    在每個樓層的井道內(nèi)，放置一臺NETGEAR GS724TP千兆802.3af POE交換機，提供6臺AP以太網(wǎng)線遠程供電和數(shù)據(jù)的傳輸；GS724TP的一個千兆端口通過以太網(wǎng)線上連至有線網(wǎng)絡內(nèi)。
3.1.2 無線信道及漫游規(guī)劃
    雖然2.4 GHz~2.483 GHz之間的802.11標準的無線頻點有13個，但由于設計為相互重疊，所以只有3個不重疊頻點(一般設計工作在1、6、11這3個完全不重疊的頻點)，這樣使得頻點配置工程十分必要。合理地進行信道規(guī)劃，降低同頻干擾，同時樓層之間的泄漏信號干擾也要考慮在內(nèi)。信道采用手動靜態(tài)設置。如圖2所示。

    漫游需求的規(guī)劃一是要確定漫游的范圍，二是要確保覆蓋范圍內(nèi)無線信號的無縫覆蓋。
3.1.3 無線發(fā)射功率自動選擇及覆蓋故障自動修復
    AP在默認情況下，會按照相鄰AP的發(fā)射功率自動調(diào)節(jié)自身的發(fā)射功率，使之能實現(xiàn)相鄰AP間的全覆蓋。當其中1個AP發(fā)生故障不能正常工作時，與之相鄰的AP就會自動增強發(fā)射功能，從而彌補因為AP故障而導致的覆蓋缺失。
3.2 實施方案
3.2.1 物聯(lián)網(wǎng)整體網(wǎng)絡拓撲結(jié)構(gòu)圖
    為了方便網(wǎng)絡管理、減輕有線網(wǎng)絡承載負擔，也為了避免當無線物聯(lián)網(wǎng)絡出現(xiàn)問題時累及有線網(wǎng)絡，有線網(wǎng)絡的匯聚交換與物聯(lián)網(wǎng)絡的匯聚交換機實現(xiàn)物理隔離。即有線網(wǎng)與物聯(lián)網(wǎng)各自單獨使用匯聚交換機，通過各自的匯聚交換機再與醫(yī)院的有線核心交換機相連。
    整體網(wǎng)絡拓撲圖如圖3所示。

3.2.2 IP地址的規(guī)劃
    AP的管理IP地址及RFID傳感網(wǎng)的管理IP地址在網(wǎng)絡中添加新的網(wǎng)段，按照網(wǎng)絡的IP規(guī)劃來給AP及RFID分配IP。保證AP及RFID獲取到的IP地址與AC、RFID獲取到的IP地址與AC、RFID服務器之間能夠三層可達。為了方便管理及安全考慮，采用固定IP地址的方式實現(xiàn)AC與AP、RFID與RFID服務器之間的三層部署。一幢樓啟用一個全新的VLAN。
    客戶端接入端IP規(guī)劃：每幢樓為一個接入單元，采用同一個SSID實現(xiàn)三層漫游，并采用動態(tài)IP分配方式。
3.3 無線與RFID安全接入規(guī)劃
    為了保證無線的安全接入，采用目前較為流行的MAC認證與WPA2認證結(jié)合的方式來確保無線網(wǎng)和傳感網(wǎng)的網(wǎng)絡安全。
3.3.1 MAC認證方式
    MAC地址認證是一種基于端口和MAC地址對用戶訪問網(wǎng)絡的權(quán)限進行控制的認證方法，它不需要用戶安裝任何客戶端軟件，AC控制器在首次監(jiān)測到用戶的MAC地址以后，即啟動對該用戶的認證操作。在控制器上設置白名單，把允許進入網(wǎng)絡的合法用戶列入名單中，而一旦發(fā)現(xiàn)有可疑的非法用戶，則將其列入黑名單。
3.3.2 WPA2認證方式
    無線數(shù)據(jù)的加密采用WPA2安全架構(gòu)的AES-CCMP（高級加密標準-計數(shù)器模式密碼區(qū)塊鏈接消息身份驗證代碼協(xié)議）。CCMP采用AES加密模塊，AES既可以實現(xiàn)數(shù)據(jù)的機密性(加密)，又可以實現(xiàn)數(shù)據(jù)的完整性。這是在IEEE802.11i標準中指定的用于無線傳輸隱私保護的一個新辦法。AES-CCMP是面向大眾的最高級無線安全協(xié)議。總體來說，CCMP提供了加密、認證、完整性檢查和重放保護四重功能。CCMP使用128位AES加密算法實現(xiàn)機密性，使用其他CCMP協(xié)議組件實現(xiàn)其余3種服務。CCMP基于CCM方式，該方式使用了AES加密算法，所以AES-CCMP加密協(xié)議也稱AES-CCM加密協(xié)議。從名稱可以看出，CCM配備了兩種運算模式，即計數(shù)器模式和密碼區(qū)塊鏈信息認證模式，其中計數(shù)器模式用于數(shù)據(jù)流的加密/解密，而密碼區(qū)塊鏈信息認證碼模式用于身份認證及數(shù)據(jù)完整性校驗。CCM保護MPDU數(shù)據(jù)和IEEE802.11 MPDU幀頭部分域的完整性。AES定義在FIPS PUB197,所有在CCMP中用到的AES處理都使用一個128位的密鑰和一個128位大小的數(shù)據(jù)塊；CCM方式定義在RFC3610。CCM是一種通用模式，可以用于任意面向塊的加密算法。
    加密和認證可以相互結(jié)合，整體保證無線接入的安全性。
3.3.3 RFID安全性規(guī)劃
    因為RFID采用UDP發(fā)包方式，而且RFID芯片本身也具有加密功能，所以安全性得以保障。
    認證的流程可以分為以下幾個步驟：
    (1)應用程序通過RFID讀寫器向RFID電子標簽發(fā)送認證請求；
(上接第58頁)
    (2)RFID電子標簽收到請求后向讀寫器發(fā)送一個隨機數(shù)B；
    (3)讀寫器收到隨機數(shù)B后，向RFID電子標簽發(fā)送使用要驗證的密鑰加密B的數(shù)據(jù)包，其中包含了讀寫器生成的另一個隨機數(shù)A；
    (4)RFID電子標簽收到數(shù)據(jù)包后，使用芯片內(nèi)部存儲的密鑰進行解密，解出隨機數(shù)B并校驗與之發(fā)出的隨機數(shù)B是否一致；
    (5)如果一致，則RFID使用芯片內(nèi)部存儲的密鑰對A進行加密并發(fā)送給讀寫器；
    (6)讀寫器收到此數(shù)據(jù)包后，進行解密，解出A并與前述的A比較是否一致。
    物聯(lián)網(wǎng)技術(shù)在醫(yī)療領(lǐng)域的應用一直備受國內(nèi)外的廣泛關(guān)注。本文詳細討論了物聯(lián)網(wǎng)在醫(yī)療領(lǐng)域應用的基礎(chǔ)架構(gòu)——物聯(lián)網(wǎng)網(wǎng)絡工程的構(gòu)建，及在我院的一個實施情況，借此能給兄弟醫(yī)院提供一個有益的參考。
參考文獻
[1] 馮杰，郗家貞.對物聯(lián)網(wǎng)組網(wǎng)架構(gòu)的探究[J].信息與電腦，2010(8)：87.
[2] 李航，陳后金.物聯(lián)網(wǎng)的關(guān)鍵技術(shù)及應用前景[J].中國科技論壇，2011(1)：81-85.
[3] 俞磊，陸陽，朱曉玲，等.物聯(lián)網(wǎng)技術(shù)在醫(yī)療領(lǐng)域的研究進展[J].計算機應用研究，2012，29(1)：1-7.