CN101360096B - 一种应用于数字医疗的系统安全规划方法 - Google Patents
一种应用于数字医疗的系统安全规划方法 Download PDFInfo
- Publication number
- CN101360096B CN101360096B CN 200810030099 CN200810030099A CN101360096B CN 101360096 B CN101360096 B CN 101360096B CN 200810030099 CN200810030099 CN 200810030099 CN 200810030099 A CN200810030099 A CN 200810030099A CN 101360096 B CN101360096 B CN 101360096B
- Authority
- CN
- China
- Prior art keywords
- medical data
- medical
- transmitting terminal
- receiving terminal
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 229940079593 drug Drugs 0.000 title 1
- 239000003814 drug Substances 0.000 title 1
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 claims description 3
- 238000011161 development Methods 0.000 claims description 2
- 238000000034 method Methods 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 8
- 238000009472 formulation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种应用于数字医疗的系统安全规划方案,主要涉及数字医疗信息领域。该方案包括具有IPSec的网络安全协议的防火墙、互联网、短信发送器、短信接收器、医疗数据发送端和医疗数据接收端,其实现方法分为七个步骤。本发明为数字医疗的系统安全提供了一种规划方案,使医疗信息可以快捷流通和共享,同时保证医疗数据的安全、保密,以保障信息的安全。
Description
技术领域
本发明主要涉及数字医疗信息领域,为医院信息系统和外部信息系统进行交互提供的一种安全解决方案,特别是涉及一种应用于数字医疗的系统安全规划方法。
技术背景
IPSec(IP Security)是网络安全协议的一个工业标准,IPSec主要功能是为IP通信提供加密和认证,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。
IPSec有两种工作模式,一种是隧道模式,另一种是传输模式。传输模式只对IP数据包的有效负载进行加密或认证,此时继续使用原始IP头部。传输模式对IP包的路由支持较好。隧道模式对整个IP数据包进行加密或认证。此时,需要新产生一个IP头部,原来的IP头被加密,有效地防止“中间人”攻击。
IPSec中的三个主要协议分别是:
(1)AH协议(Authentication Header)
AH协议为IP通信提供数据源认证和数据完整性检验,它能保护通信免受篡改,但并不加密传输内容,不能防止窃听。AH联合数据完整性保护并在发送接收端使用共享密钥来保证身份的真实性;使用HASH算法在每一个数据包上添加一个身份验证报头来实现数据完整性检验。需要预约好收发两端的HASH 算法和共享密钥。
(2)ESP协议(Encapsulating Security Payload)
ESP主要区别于AH协议的是它的数据安全性保证,它使用预约好的加密算法和密钥对IP包进行加密,防止窃听。它也提供AH类似的数据源认证和数据完整性检验。AH协议与ESP协议可以联合使用,也可以单独使用。
(3)Internet密钥交换协议IKE(Internet Key Exchange)
无论实现AH或ESP还是两者的联合,收发端两台计算机必须首先建立某种约定,这种约定,称为″安全关联″,指双方需要就如何保护信息、交换信息等公用的安全设置达成一致,更重要的是,必须有一种方法,使那两台计算机安全地交换一套密钥,以便在它们的连接中使用。IKE协议主要是对密钥交换进行管理,主要包括对使用的协议、加密算法和密钥进行协商;建立可靠的密钥交换机制。IKE是一个混合协议,它使用到了三个不同协议的相关部分:安全关联和密钥交换协议ISAKMP,密钥确定协议Oakley和SKEME。
在当前的安全策略上很多时候会使用到SSL和VPN,但作为和传输层无关的安全策略,WS-Security规范无疑是最具广泛的应用。IBM,BEA,Microsoft共同制定了WS-Security规范,解决了安全的三个基本问题:机密性、完整性、身份鉴别,在Web Services使用SOAP(XML格式)作为消息封装协议的背景下,标准化组织分别制定了XML Encryption、XML Digital Signature、与SAML(XML格式的Security Token)三套规范,WS-Security则是规定了如何将以上规范组合起来以满足Web Services安全需求的一套规范。
目前技术主要有以下不足之处:
(1)IPSec VPN配置部署复杂,需要专门的客户端软件,而且不同提供商之间的设备很难完全兼容。
(2)网络适应性不佳,由于是IP层的协议,对防火墙等访问控制设备不透明,对网络地址转换(NAT)和应用代理(Proxy)等穿透性差。
发明内容
本发明的目的在于解决现有技术存在问题,为数字医疗的系统安全提供了一种规划方法,使医疗信息可以快捷流通和共享,同时保证医疗数据的安全、保密,以保障信息的安全。
为了实现发明目的,采用的技术方案如下:
一种应用于数字医疗的系统安全规划方法,包括具有IPSec的网络安全协议的防火墙、互联网、短信发送器、短信接收器、医疗数据发送端和医疗数据接收端,其特征在于包括以下步骤:
a、所述医疗数据发送端与所述医疗数据接收端在传输层上的连接通过基于IPSec的VPN实现,在实现层上的连接通过Web-Service实现:
b、VPN的连接上需要身份认证字符串进行认证,所述短信发送器设置在所述医疗数据发送端上,发送所述的身份认证字符串;
c、所述短信接收器设置在所述医疗数据接收端上,接收所述短信发送器发送的所述的身份认证字符串,VPN连接成功;
d、通过VPN连接后,所述医疗数据发送端产生一个非对称加密的密钥文件,并通过彩信的方式发送到所述医疗数据接收端;
e、所述医疗数据接收端通过短信接收回来的所述的身份认证字符串连接到所述医疗数据发送端;
f、所述医疗数据发送端采用WS-Security网络传输协议加密医疗数据,发送给所述医疗数据接收端;
g、所述医疗数据接收端利用所述非对称加密的密钥文件对接收到的医疗数 据进行解密,获得医疗数据。
所述的医疗数据发送端具有医疗数据发送的服务功能,通过VPN的技术与外部服务器连接。
所述的医疗数据接收端通过VPN与所述医疗数据发送端连接,接收所述医疗数据发送端发送的医疗数据。
在物理连接上,使用所述的具有IPSec的网络安全协议的防火墙和所述短信发送器和短信接收器实现所述身份认证字符串及所述密钥文件通过一个互联网以外的网络进行传送。
通过对所述短信发送器和短信接收器的二次开发,实现根据安全级别的不同,在不同的周期里发送更新的密钥。
本发明的优点主要体现如下:
(1)不需要昂贵的固定线路的租费。
(2)接入方式灵活。
(3)IPSec VPN的显著特点就是它的安全性,这是它保证内部数据安全的根本。
附图说明
附图为本发明的结构示意图。
具体实施方式
下面结合附图对本发明做进一步的说明。
如附图所示,本发明是一种实现数字医疗与医院信息系统进行交互的一种安全解决方案。
本发明是利用了基于IPSec的硬件VPN防火墙来实现传输层,利用了WS-Security实现了应用层的安全性,来实现医疗数据接收端和医疗数据发送端的之间的安全连接,由于需要保证医疗数据发送端的VPN用户名和密码的不被盗窃,本方案利用了无线通信网络(GSM)短信的方式传送医疗数据发送端的VPN用户名和密码到医疗数据接收端。这是因为在无线通信网络上手机号码是唯一的,无法复制和虚拟的,加上同时截取Internet和GSM网络的信息基本上是不可能的,这样我们就可以根据系统的安全级别制定密码和密钥的更新周期,并通过短信收发器里的密码和密钥更新模块实现服务端和客户端的密码和密钥的同时更新。
数据的发送端和接收端中包含每个IPSec数据包中的所有区域的安全关联信息,能够解读IPSec数据包的报头及明文部分数据。
传递数据路径中的经认证的性能增强中间节点中只包含有安全策略允许的部分区域的安全关联信息,能够解读IPSec数据包中的部分加密数据。
Claims (5)
1.一种应用于数字医疗的系统安全规划方法,包括具有IPSec的网络安全协议的防火墙、互联网、短信发送器、短信接收器、医疗数据发送端和医疗数据接收端,其特征在于包括以下步骤:
a、所述医疗数据发送端与所述医疗数据接收端在传输层上的连接通过基于IPSec的VPN实现,在实现层上的连接通过Web-Service实现:
b、VPN的连接上需要身份认证字符串进行认证,所述短信发送器设置在所述医疗数据发送端上,发送所述的身份认证字符串;
c、所述短信接收器设置在所述医疗数据接收端上,接收所述短信发送器发送的所述的身份认证字符串,VPN连接成功;
d、通过VPN连接后,所述医疗数据发送端产生一个非对称加密的密钥文件,并通过彩信的方式发送到所述医疗数据接收端;
e、所述医疗数据接收端通过短信接收回来的所述的身份认证字符串连接到所述医疗数据发送端;
f、所述医疗数据发送端采用WS-Security网络传输协议加密医疗数据,发送给所述医疗数据接收端;
g、所述医疗数据接收端利用所述非对称加密的密钥文件对接收到的医疗数据进行解密,获得医疗数据。
2.根据权利1所述的一种应用于数字医疗的系统安全规划方法,其特征在于所述的医疗数据发送端具有医疗数据发送的服务功能,通过VPN的技术与外部服务器连接。
3.根据权利1所述的一种应用于数字医疗的系统安全规划方法,其特征在于所述的医疗数据接收端通过VPN与所述医疗数据发送端连接,接收所述医疗数据发送端发送的医疗数据。
4.根据权利1所述的一种应用于数字医疗的系统安全规划方法,其特征在于在物理连接上,使用所述的具有IPSec的网络安全协议的防火墙和所述短信发送器和短信接收器实现所述身份认证字符串及所述密钥文件通过一个互联网以外的网络进行传送。
5.根据权利1所述的一种应用于数字医疗的系统安全规划方法,其特征在于通过对所述短信发送器和短信接收器的二次开发,实现根据安全级别的不同,在不同的周期里发送更新的密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810030099 CN101360096B (zh) | 2008-08-12 | 2008-08-12 | 一种应用于数字医疗的系统安全规划方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810030099 CN101360096B (zh) | 2008-08-12 | 2008-08-12 | 一种应用于数字医疗的系统安全规划方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101360096A CN101360096A (zh) | 2009-02-04 |
| CN101360096B true CN101360096B (zh) | 2012-05-30 |
Family
ID=40332437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810030099 Expired - Fee Related CN101360096B (zh) | 2008-08-12 | 2008-08-12 | 一种应用于数字医疗的系统安全规划方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101360096B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103686717B (zh) * | 2013-12-23 | 2016-09-07 | 江苏物联网研究发展中心 | 一种物联网传感系统的密钥管理方法 |
| US10305869B2 (en) * | 2016-01-20 | 2019-05-28 | Medicom Technologies, Inc. | Methods and systems for transferring secure data and facilitating new client acquisitions |
| CN107566507A (zh) * | 2017-09-19 | 2018-01-09 | 四川省电科互联网加产业技术研究院有限公司 | 一种移动互联网医疗系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1952946A (zh) * | 2005-10-19 | 2007-04-25 | 杜若平 | 一对一有针对性的体检自动咨询系统实现方法 |
| CN101018259A (zh) * | 2006-02-08 | 2007-08-15 | 中国电信股份有限公司 | 电信综合信息系统及方法 |
| CN101226607A (zh) * | 2007-06-29 | 2008-07-23 | 广东医卫互动信息科技有限公司 | 医院客户关系管理系统 |
-
2008
- 2008-08-12 CN CN 200810030099 patent/CN101360096B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1952946A (zh) * | 2005-10-19 | 2007-04-25 | 杜若平 | 一对一有针对性的体检自动咨询系统实现方法 |
| CN101018259A (zh) * | 2006-02-08 | 2007-08-15 | 中国电信股份有限公司 | 电信综合信息系统及方法 |
| CN101226607A (zh) * | 2007-06-29 | 2008-07-23 | 广东医卫互动信息科技有限公司 | 医院客户关系管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101360096A (zh) | 2009-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11283772B2 (en) | Method and system for sending a message through a secure connection | |
| KR101585936B1 (ko) | 가상 사설 망 관리 시스템 및 그 방법 | |
| Aboba et al. | RADIUS (remote authentication dial in user service) support for extensible authentication protocol (EAP) | |
| JP5492856B2 (ja) | パーティ間の通信におけるプライバシーを確保する方法及び装置 | |
| US7188365B2 (en) | Method and system for securely scanning network traffic | |
| CN109428867B (zh) | 一种报文加解密方法、网路设备及系统 | |
| Vanhoef et al. | Practical verification of WPA-TKIP vulnerabilities | |
| US7536719B2 (en) | Method and apparatus for preventing a denial of service attack during key negotiation | |
| KR100948604B1 (ko) | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 | |
| US20080072033A1 (en) | Re-encrypting policy enforcement point | |
| CN101360096B (zh) | 一种应用于数字医疗的系统安全规划方法 | |
| Navaz et al. | Security Aspects of Mobile IP | |
| EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| Kleberger et al. | Securing vehicle diagnostics in repair shops | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
| Aboba et al. | RFC3579: RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP) | |
| Alhaj | Performance Evaluation of Secure Data Transmission Mechanism (SDTM) for Cloud Outsourced Data and Transmission Layer Security (TLS) | |
| Kedarnath | IPSEC: Internet Protocol Security | |
| Sánchez-Chaparro et al. | Testing Topologies for the Evaluation of IPSec implementations | |
| Reimers | On the security of TLS and IPsec: Mitigation through physical constraints | |
| Niculescu et al. | Mobile IP security in VPNs | |
| Bob | Internet Technology | |
| Kołodziejczyk | Applying of security mechanisms to low layers of OSI/ISO network model | |
| Balitanas et al. | IPV6 Mobile Network Protocol Weaknesses and a Cryptosystem Approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: ZHONGSHAN IKER DIGITAL TECHNOLOGY CO., LTD. Free format text: FORMER NAME: ZHONGSHAN AIKE DIGITAL TECHNOLOGY CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 528400 108B building, Kangle Road, Zhongshan Development Zone, Guangdong, China Co-patentee after: Zhongshan Iker Digital Technology Co., Ltd. Patentee after: Zhongshan Iker Digital Technology Co., Ltd. Address before: 528400 108B building, Kangle Road, Zhongshan Development Zone, Guangdong, China Co-patentee before: Zhongshan Iker Digital Technology Co., Ltd. Patentee before: Zhongshan Aike Digital Technology Co., Ltd. |
|
| ASS | Succession or assignment of patent right |
Free format text: FORMER OWNER: ZHONGSHAN IKER DIGITAL TECHNOLOGY CO., LTD. Effective date: 20130802 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20130802 Address after: 528400 108B building, Kangle Road, Zhongshan Development Zone, Guangdong, China Patentee after: Zhongshan Iker Digital Technology Co., Ltd. Address before: 528400 108B building, Kangle Road, Zhongshan Development Zone, Guangdong, China Patentee before: Zhongshan Iker Digital Technology Co., Ltd. Patentee before: Zhongshan Iker Digital Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120530 Termination date: 20170812 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |