CN107426229A - 一种医疗物联网中医疗设备与服务器隔离的安全网关 - Google Patents
一种医疗物联网中医疗设备与服务器隔离的安全网关 Download PDFInfo
- Publication number
- CN107426229A CN107426229A CN201710654518.0A CN201710654518A CN107426229A CN 107426229 A CN107426229 A CN 107426229A CN 201710654518 A CN201710654518 A CN 201710654518A CN 107426229 A CN107426229 A CN 107426229A
- Authority
- CN
- China
- Prior art keywords
- module
- medical
- server
- things
- medical devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0246—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
- H04L41/0253—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using browsers or web-pages for accessing management information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明公开了一种医疗物联网中医疗设备与服务器隔离的安全网关,该它包括千兆以太网接口模块,网络数据处理模块,安全规则配置与管理模块,时钟模块与电源模块。本发明用于接入医疗设备的传感子网与医疗物联网网管服务器之间,允许网管服务器单向访问合法的传感子网,并对传感子网的数据进行针对性地过滤和放行,解决了医疗物联网病人数据安全和隐私保护的问题。本发明还可以拦截来自传感子网的攻击,避免攻击者以传感子网中的医疗设备作为切入点来窃取网管服务器中的医疗信息。
Description
技术领域
本发明涉及网络安全技术领域,用于保障医疗物联网环境及医疗信息的安全,尤其是一种医疗物联网中医疗设备与服务器隔离的安全网关。
背景技术
物联网是继计算机、互联网与移动通信网之后的世界信息产业第四次技术革命,指的是将各种信息传感设备,如射频识别 RFID 装置、红外感应器、全球定位系统、激光扫描器等种种装置与互联网结合起来而形成的一个巨大网络,目的是让所有的物品都与网络连接在一起,以便系统可以自动实时地对物体进行识别、定位、追踪、监控并触发相应事件。
现有技术物联网技术涉及到医疗领域的各个环节,从医疗信息化、传染源控制、医院急救、远程监护到家庭护理;从医疗设备管理、药品管理、血液管理到医疗废品的处理。然而,物联网环境下的医疗设备往往成为攻击者入侵医疗网络的切入点,从而侵害任意的医疗设备并在受保护的网络系统中建立后门,进而造成病人的医疗病历以及个人身份信息的泄露。为杜绝攻击者从医疗设备入侵,确保网管服务器的安全,设计一种医疗物联网中医疗设备与网管服务器隔离的安全网关将显得十分必要。
发明内容
本发明的目的是针对现有技术的不足而提供的一种医疗物联网中医疗设备与网管服务器隔离的安全网关,将本发明设置在医疗物联网的网管服务器与医疗设备的传感子网之间,将传感子网与网管服务器隔离,以拦截攻击者,过滤非法数据,通过在安全规则配置与管理模块中设置医疗设备的IP地址、MAC地址及端口,则该医疗设备判定合法并允许网管服务器访问,从而实现杜绝攻击者从医疗设备入侵医疗物联网的目的,具有防止个人身份信息及病人医疗病历的泄露,确保网管服务器的安全等特点。
实现本发明目的的具体技术方案是:
一种医疗物联网中医疗设备与服务器隔离的安全网关,该网关包括千兆以太网接口模块、网络数据处理模块、安全规则配置与管理模块、时钟模块及电源模块,所述千兆以太网接口模块分别与网络数据处理模块、时钟模块及电源模块连接,作为医疗物联网传感子网与网管服务器之间网络数据交互的接口;网络数据处理模块分别与安全规则配置与管理模块、时钟模块及电源模块连接,对网络数据包进行处理,实现过滤,静态NAT,ARP代理;安全规则配置与管理模块分别与时钟模块及电源模块连接;对网关进行安全规则的配置,并对多个传感子网进行管理;时钟模块为各个模块提供参考时钟;电源模块为各个模块供电。
所述千兆以太网接口模块包括两路以太网接口,每路以太网接口包括一个RJ45插座和一片以太网PHY芯片,RJ45插座与以太网PHY芯片连接,两路以太网接口分别用于连接医疗物联网传感子网与网管服务器。
所述网络数据处理模块包括FPGA芯片及串行存储器EPCS64芯片,FPGA芯片与串行存储器EPCS64芯片连接;用于接收一路以太网接口的网络数据,在FPGA芯片中将网络数据处理之后从另一路以太网接口发送出去。
所述安全规则配置与管理模块包括ARM微处理器及存储器,ARM微处理器与存储器连接;在ARM微处理器上移植Linux操作系统并搭建Web服务器,实现对传感子网进行管理以及网关的安全规则配置。
本发明采用一片FPGA芯片及一片串行存储器EPCS64芯片构成网络数据处理模块,使得处理延时降低,处理性能提高,同时发挥了FPGA芯片逻辑控制对大量数据进行高速处理的优势,在安全规则配置与管理模块内设置了ARM微处理器,使得软件编程更为灵活。
本发明通过硬件的手段实现安全网关自身无MAC、IP地址,传感子网的医疗设备无法侦查到网管服务器的任何数据,实现了安全网关自身的透明性以及对外的不可见性。
将本发明连接医疗物联网的网管服务器与医疗设备的传感子网,通过本发明设计的安全规则配置与管理模块对连接的传感子网进行管理,方便网管服务器实时监控各个传感子网的状态。
将本发明设置在医疗物联网的网管服务器与医疗设备的传感子网之间,将传感子网与网管服务器隔离,以拦截攻击者,过滤非法数据,通过在安全规则配置与管理模块中设置医疗设备的IP地址、MAC地址及端口,则该医疗设备判定合法并允许网管服务器访问,从而实现杜绝攻击者从医疗设备入侵医疗物联网的目的,防止个人身份信息及病人医疗病历的泄露,确保网管服务器的安全。
附图说明
图1为本发明结构框图;
图2为本发明使用状态示意图。
具体实施方式
参阅图1,本发明包括千兆以太网接口模块1、网络数据处理模块2、安全规则配置与管理模块3、时钟模块4及电源模块5,所述千兆以太网接口模块1分别与网络数据处理模块2、时钟模块4及电源模块5连接,网络数据处理模块2分别与安全规则配置与管理模块3、时钟模块4及电源模块5连接,安全规则配置与管理模块3分别与时钟模块4及电源模块5连接。
所述千兆以太网接口模块1包括两路以太网接口,每路以太网接口包括一个RJ45插座11和一片以太网PHY芯片12,RJ45插座11与以太网PHY芯片12连接,两路以太网接口分别用于连接医疗物联网传感子网与网管服务器。
所述网络数据处理模块2包括FPGA芯片21及串行存储器EPCS64芯片22,FPGA芯片21与串行存储器EPCS64芯片22连接。
所述安全规则配置与管理模块3包括ARM微处理器31及存储器32,ARM微处理器31与存储器32连接。
实施例
参阅图2,为了防止攻击者以医疗设备的传感子网7作为切入点入侵医疗物联网,以窃取病人的医疗病历以及个人身份信息,甚至将其他医疗设备的传感子网7也置于网络危险的境地,采用在医疗物联网的网管服务器6与医疗设备的传感子网7之间设置本发明,本发明将传感子网7与网管服务器6隔离,以拦截攻击者,过滤非法数据,通过在安全规则配置与管理模块3中设置医疗设备的IP地址、MAC地址及端口,判定该医疗设备是否符合安全规则,确定是否允许网管服务器6访问,从而实现杜绝攻击者从医疗设备的传感子网7入侵医疗物联网的目的。
本发明的构成及各模块的作用:
参阅图1、图2,本发明由千兆以太网接口模块1、网络数据处理模块2、安全规则配置与管理模块3、时钟模块4及电源模块5构成,其中,以太网接口模块1内设有两个RJ45插座11及两片以太网PHY芯片12, RJ45插座11及以太网PHY芯片12连接构成两路以太网接口,分别用于连接医疗设备的传感子网7及网管服务器6。
网络数据处理模块2内设有一片FPGA芯片21及一片串行存储器EPCS64芯片22,FPGA芯片21用于接收一路以太网接口的网络数据,对网络数据进行过滤、NAT静态网络地址转换及ARP协议处理,经FPGA芯片21处理后从另一路以太网接口发送出去。
安全规则配置与管理模块3内设有一片基于ARM微处理器31及存储器32,通过在ARM微处理器31上移植Linux操作系统并搭建Web服务器,实现对医疗设备的传感子网7进行管理以及安全规则配置。
时钟模块4为千兆以太网接口模块1、网络数据处理模块2及安全规则配置与管理模块3提供时间。
电源模块5为千兆以太网接口模块1、网络数据处理模块2、安全规则配置与管理模块3及时钟模块4供电。
本发明是这样工作的:
a)、启动安全规则配置与管理模块3内的ARM微处理器31,通过在ARM微处理器31上移植Linux操作系统并搭建Web服务器,实现对医疗设备的传感子网7的IP地址、MAC地址、端口及ARP协议信息进行配置,并由存储器32存储。
b)、网络数据处理模块2读取安全规则配置与管理模块3中的安全规则,形成一个数据包,用以判定该医疗设备是否符合安全规则,确定是否允许与网管服务器6进行通信访问,并确认是否需要进行NAT静态网络地址转换。
c)、将本发明接入到对应的医疗设备的传感子网7与网管服务器6中。
d)、网管服务器6访问一个医疗设备的传感子网7时,网络数据处理模块2会将数据包中的源IP地址及目的IP地址,源MAC地址及目的MAC地址,源端口及目的端口与安全规则进行匹配。
e)、经安全规则配置与管理模块3中的ARM微处理器31判别,判断不符合安全规则的医疗设备,拦截并丢弃;符合安全规则的医疗设备,再对ARP协议进
行校验,再次符合,则放行,从而保证网管服务器6免受攻击。
本发明与数个传感子网7进行配置:
参阅图2,将本发明设置在医疗物联网的网管服务器6与医疗设备的传感子网7之间,当多台医疗设备的传感子网7处于同一网段时,本发明可通过交换机与该传感子网7的医疗设备进行连接,并接入同一个网管服务器6。
Claims (4)
1.一种医疗物联网中医疗设备与服务器隔离的安全网关,其特征在于它包括千兆以太网接口模块(1)、网络数据处理模块(2)、安全规则配置与管理模块(3)、时钟模块(4)及电源模块(5),所述千兆以太网接口模块(1)分别与网络数据处理模块(2)、时钟模块(4)及电源模块(5)连接,网络数据处理模块(2)分别与安全规则配置与管理模块(3)、时钟模块(4)及电源模块(5)连接,安全规则配置与管理模块(3)分别与时钟模块(4)及电源模块(5)连接。
2.根据权利要求1所述的安全网关,其特征在于所述千兆以太网接口模块(1)包括两路以太网接口,每路以太网接口包括一个RJ45插座(11)和一片以太网PHY芯片(12),RJ45插座(11)与以太网PHY芯片(12)连接,两路以太网接口分别用于连接医疗物联网传感子网与网管服务器。
3.根据权利要求1所述的安全网关,其特征在于所述网络数据处理模块(2)包括FPGA芯片(21)及串行存储器EPCS64芯片(22),FPGA芯片(21)与串行存储器EPCS64芯片(22)连接。
4.根据权利要求1所述的安全网关,其特征在于所述安全规则配置与管理模块(3)包括ARM微处理器(31)及存储器(32),ARM微处理器(31)与存储器(32)连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710654518.0A CN107426229A (zh) | 2017-08-03 | 2017-08-03 | 一种医疗物联网中医疗设备与服务器隔离的安全网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710654518.0A CN107426229A (zh) | 2017-08-03 | 2017-08-03 | 一种医疗物联网中医疗设备与服务器隔离的安全网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107426229A true CN107426229A (zh) | 2017-12-01 |
Family
ID=60436714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710654518.0A Pending CN107426229A (zh) | 2017-08-03 | 2017-08-03 | 一种医疗物联网中医疗设备与服务器隔离的安全网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107426229A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108777693A (zh) * | 2018-06-29 | 2018-11-09 | 华东师范大学 | 一种基于fpga家庭监控视频的安全管理设备 |
| CN110768944A (zh) * | 2018-11-19 | 2020-02-07 | 哈尔滨安天科技集团股份有限公司 | 基于fpga技术的iot设备防护系统及方法 |
| CN110995726A (zh) * | 2019-12-11 | 2020-04-10 | 博依特(广州)工业互联网有限公司 | 一种基于内嵌arm的fpga芯片的网络隔离系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130005973A (ko) * | 2011-07-08 | 2013-01-16 | 유넷시스템주식회사 | 네트워크 보안시스템 및 네트워크 보안방법 |
| CN105490931A (zh) * | 2016-01-12 | 2016-04-13 | 华东师范大学 | 基于fpga的多功能物联网网关设备 |
-
2017
- 2017-08-03 CN CN201710654518.0A patent/CN107426229A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130005973A (ko) * | 2011-07-08 | 2013-01-16 | 유넷시스템주식회사 | 네트워크 보안시스템 및 네트워크 보안방법 |
| CN105490931A (zh) * | 2016-01-12 | 2016-04-13 | 华东师范大学 | 基于fpga的多功能物联网网关设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108777693A (zh) * | 2018-06-29 | 2018-11-09 | 华东师范大学 | 一种基于fpga家庭监控视频的安全管理设备 |
| CN110768944A (zh) * | 2018-11-19 | 2020-02-07 | 哈尔滨安天科技集团股份有限公司 | 基于fpga技术的iot设备防护系统及方法 |
| CN110995726A (zh) * | 2019-12-11 | 2020-04-10 | 博依特(广州)工业互联网有限公司 | 一种基于内嵌arm的fpga芯片的网络隔离系统 |
| CN110995726B (zh) * | 2019-12-11 | 2021-03-30 | 博依特(广州)工业互联网有限公司 | 一种基于内嵌arm的fpga芯片的网络隔离系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105591926B (zh) | 一种流量保护方法及装置 | |
| CN100358280C (zh) | 一种网络安全装置及其实现方法 | |
| CN109842585B (zh) | 面向工业嵌入式系统的网络信息安全防护单元和防护方法 | |
| CN107426229A (zh) | 一种医疗物联网中医疗设备与服务器隔离的安全网关 | |
| CN106027358A (zh) | 一种社会视频网接入视频专网的网络安全管控系统 | |
| CN100594690C (zh) | 一种安全网关中进行安全策略统一处理的方法及装置 | |
| CN109479056B (zh) | 用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统 | |
| US9306953B2 (en) | System and method for secure unidirectional transfer of commands to control equipment | |
| US20050044354A1 (en) | Apparatus and method for implementing spoofing-and replay-attack-resistant virtual zones on storage area networks | |
| JP5411916B2 (ja) | 保護継電器とこれを備えるネットワークシステム | |
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| CN107852359A (zh) | 安全系统、通信控制方法 | |
| CN103763309B (zh) | 基于虚拟网络的安全域控制方法和系统 | |
| CN107612679B (zh) | 一种基于国密算法的以太网桥加扰终端 | |
| CN104168257A (zh) | 基于非网络方式的数据隔离装置及其方法与系统 | |
| US20210203638A1 (en) | Communication security apparatus, control method, and storage medium storing a program | |
| CN107317816A (zh) | 一种基于客户端应用程序鉴别的网络访问控制方法 | |
| CN207039642U (zh) | 一种医疗物联网中医疗设备与服务器隔离的安全网关 | |
| CN210469376U (zh) | 一种基于zynq7020和安全芯片的数据加解密设备 | |
| US11165773B2 (en) | Network device and method for accessing a data network from a network component | |
| BR112012017305B1 (pt) | Processo para pelo menos um dentre o comando, monitoramento ou configuração de um sistema de automatização de uma instalação técnica | |
| CN108989342A (zh) | 一种数据传输的方法及装置 | |
| CN201623727U (zh) | 一种基于网络处理器的小型单机防火墙装置 | |
| CN107169363A (zh) | 一种网络安全终端 | |
| CN106878302A (zh) | 一种云平台系统及设置方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination |