醫院無線局域網方案設計及安全性研究

胡素芳，施雅賢，陳 新，陳海鴻

（中國人民解放軍第一七四醫院 信息科，福建 廈門 361003）

伴隨著臨床信息化，醫院正逐步地實現無紙化、無膠片化和無線化。無線局域網技術的不斷成熟和普及，使WLAN在全球醫療行業中的應用已經成為了一種趨勢。無線局域網作為醫院有線局域網的補充，突破了有線網絡的局限性，為以病人為中心和對醫療過程管理的新理念服務，無線局域網與PDA和平板電腦等移動終端相結合，充分發揮醫療信息系統的效能，突出了數字化醫院的技術優勢[1]。

1 醫院無線局域網設計方案

1.1 方案設計原則

醫院是一個特定的領域，信息系統承載著患者各種至關重要的數據，結合醫院的環境特點和系統要求，我們在無線網絡方案設計中應遵循以下原則：

1）可靠性原則

無線傳輸系統的可靠性是具有實用性的前提。在網絡完全覆蓋的前提下，醫生和護士在使用過程中，不得出現如網絡掉線、掉包，覆蓋區域內無信號，出現網絡未覆蓋的死角，網絡延遲大，網速不能達到使用要求等網絡問題。

2）先進性與實用性相結合的原則

既要保證系統設計的先進性，以讓該無線網絡幾年內保持先進，又要保證系統設計盡可能地使用。因此選用的設備必須是經過實踐的成熟產品，同時還要考慮系統的總體成本以及實際的氣候、地理條件。

3）靈活擴展原則

為了使現有的系統在將來能夠得到充分的利用，現有的投資在將來不被浪費，這就需要系統有充分的、靈活的適應能力和擴展的能力。以便于系統將來的擴容與升級。

4）便于維護原則

這是為系統在使用過程中的實際需要考慮的。系統工程實施結束交付使用以后，應該便于各種日常維護工作，能夠方便地進行軟件的重新配置、系統的自檢與恢復、硬件備品備件的更換和軟件系統的升級。

5）安全性原則

安全性一直是網絡及系統管理的薄弱環節之一，而醫院系統用戶對網絡安全的要求又相當高，因此安全性原則非常重要。

1.2 遵循標準

現有無線局域網（WLAN）的標準主要有802.11b、802.11a和802.11g 3個標準，其中802.11b協議支持11 M數據帶寬，802.11a和802.11g協議支持54 M數據帶寬[2]。在實際應用中，802.11b的技術比較成熟，得到了廣泛的應用，設備的可靠性高，無線覆蓋的范圍大。從今后的發展來看，802.11b更容易平滑過渡到802.11g，因此802.11g的使用也越來越廣泛。

因為現有的所有PDA都只支持802.11b協議，而且11 M的數據帶寬在醫院的無線醫護工作站應用中已經足夠了，所以考慮當前實際的技術現狀和今后的發展，筆者選擇802.11b/11g混合模式作為醫院的無線局域網設計標準[3]。

1.3 具體設計方案

我院無線覆蓋目標區域為病房樓3～18層病區，一個病區占用一個樓層，病區結構復雜，房間數量多，需要合理規劃天線數量以及放置地點?；跇菍用娣e和房間數量，采用多個天線輸出信號的方式可以把WIDS基站的無線信號均勻覆蓋到整個樓層。WIDS基站設備放置于樓層弱電設備間，通過饋線把天線延伸至指定地點。WIDS基站通過以太網口于交換機相連，無線施工前要做好220 V交流電源、以太口信息點、設備安裝點防潮防塵等準備工作。

無線網絡信號覆蓋在整體醫療無線解決方案中占有非常重要地位，除此之外，無線網絡的安全接入控制、數據加密和網絡管理對一個成功的醫療無線網絡來說也是十分必要的。我院無線網絡系統主要由以下幾個部分組成：

1）WLAN室內信號分布系統 （WIDS，WLAN Indoor Distribution System）2）無線網絡控制系統（WNC，Wireless Network Controller）3）無線網絡管理系統（WNMS，WirelessNetworkManagement System）

系統結構圖如圖1所示。

圖1 醫院無線局域網系統結構圖Fig.1 Hospital wireless LAN system structure

WLAN室內信號分布系統 （Wireless Indoor Distribution System），簡稱WIDS。在實際應用中一般由多路WIDS組成，每路WIDS負責覆蓋一個物理或邏輯病區，每路WIDS系統包含一個WIDS基站，若干個WIDS天線、WIDS功分器和耦合器。其中 WIDS基站將一個或多個 IEEE802.11b/g或IEEE802.11a標準無線接入點（AP）的獨立信道，經過合路、雙向放大等信號處理后，由一個信號輸出口輸出到WIDS信號分布系統中去，使得一個或多個互不干擾的信道可以獨立或協同工作。當工作在多頻合路模式下時，整個無線網絡都能同時接收到多個互不干擾的獨立信道，從而保證系統整體帶寬，當其中某個信道出現故障時，無線網絡服務不會因此而中斷。當移動終端在一路WLAN室內信號分布系統下移動時，會始終與同一個AP保持良好連接，在移動中始終保持高帶寬和低時延狀態，不存在AP間切換所帶來的種種問題。由于WIDS基站輸出信號采用非重疊信道，所以沒有信道干擾問題。WIDS室內信號分布系統，除WIDS基站外，主要由無源設備組成，它們對運行環境要求不高，耐用、不易出故障。

目標區域通過WIDS設備做無縫無線覆蓋。WIDS 1000通過VLAN交換機匯聚，根據BSSID的不同可以分為內網VLAN（如 SSID=Internal）和外網 VLAN（如 SSID=Guest）。 對于內網SSID，WNC作為安全認證服務器，提供WPA或802.11i（WPA2）認證服務，任何用戶在未得到無線網絡認證通過前都無法接通無線網絡，認證通過后，所有數據都得到嚴格的加密保護，確保數據通訊的安全。我院采用的WNC型號為AC2010M－HA，提供兩套互為備份的硬件系統，解決用戶數據備份問題，提高了系統的可靠性，保證無線網絡不會因為其中一臺WNC的硬件故障而受到影響。

WNMS（無線網絡管理系統）作為網管服務器實現對WNC和WIDS的集中管理，并能針對網絡故障即時發出報警。WNMS可以方便網絡管理人員對物理位置分散的WIDS基站進行統一管理，集中監控WLAN的運行狀況，統一配置WLAN設備參數，及時發現網絡瓶頸和設備故障，系統地優化網絡資源，提高無線局域網的運行效率，降低系統維護成本，保障無線局域網的穩定運行。

2 無線局域網安全性方案

信息安全對于醫院來說至關重要，由于無線網絡的數據都是通過空氣傳輸的，無法屏蔽非法用戶接觸無線網絡介質，所以無線網絡的數據加密和用戶安全認證是十分重要的。安全措施只憑無線基站的簡單MAC地址過濾和靜態WEP來保護是不靈活、過時和不安全的，現在國際最新的WLAN安全標準WPA/WPA2提出了全新的安全協議，如EAP－TTLS，PEAP，TKIP，AES 等等，這些安全協議需要無線基站和WLAN網絡控制器來共同實現[4]。

WPA方式使得無線網絡的安全性很高，使用的是802.1x協議的認證方式，802.1x是一種基于與設備無關的信息 （用戶名和口令）的認證方式，能夠與已有的RADIUS服務器通信，采用的方式是可擴展的認證協議（Extensible Authentication Protocol，EAP），這使得雙向認證成為可能。同時，WEP密鑰在認證過程中動態生成，實現每用戶、每會話擁有自己的密鑰[5]。

這個方案的特點是：

1）無線網絡的安全性最高。實現了用戶身份識別，動態密鑰生成，客戶和服務器端相互驗證，對數據逐包作驗證，預防字典攻擊等功能。解決了其他方案存在的安全性漏洞：全局密鑰問題、身份假冒、盜用網卡、服務器欺詐、數據包欺騙、字典攻擊等。

2）管理更簡單。只需要在RADIUS服務器上對用戶身份進行管理就可以了。

3）可擴展性強。以后新的WLAN安全標準802.11i是以WPA為基礎的，所以可以平滑過渡到新安全標準。

3 結束語

在醫院信息系統建設中，無線網絡作為有線網絡的補充和擴展，使網上的計算機具有可移動性，能夠快速方便的解決有線網絡不易實現的網絡連接問題，能夠在性能、安全、抗干擾方面滿足醫院數據網絡傳輸的需求.從而較好的滿足了醫院醫療、教學、科研和辦公的需要。所以應在醫院盡快推廣，使之在醫院信息化建設方面發揮更大作為[6]。

[1]李文博.無線網絡技術在臨床信息系統中的應用[J].中國數字醫學，2008，3（5）：60-61.LI Wen-bo.Application of wireless technology in clinical information system[J].China Digital Medicine，2008，3 （5）：60-61.

[2]陳金雄，黃麗芬.無線網絡技術在醫院的全面應用[J].醫療衛生裝備，2009，30（2）：52-53.CHEN Jin-xiong，HUANG Li-fen.Applications of wireless network technology in hospital[J].Chinese Medical Equipment Journal，2009，30（2）：52-53.

[3]ChoiJ，Chun J，Lee K，etal.Mobile nurse:hand-held information system for point of nursing care[J].Compute Methods Programs Biomedical，2004，74（3）：245-254.

[4]田利民.無線網絡技術及安全研究 [J].科技信息，2009，4（8）：210-211.TIAN Li-min.Wirelessnetwork technology and security research[J].Technology Information， 2009，4（8）：210-211.

[5]趙偉艇，史玉珍.基于802.11i的無線局域網安全加密技術研究[J].計算機工程與設計，2010，31（4）：760-762.ZHAO Wei-ting，SHIYu-zhen.StudyofwirelessLAN security encryption technology based on IEEE802.11i[J].Computer Engineering and Design，2010，31（4）：760-762.

[6]尹建東，郭啟勇.基于無線網絡拓展現有的醫院信息系統[J].中國醫療設備，2008，23（2）：52-54.YIN Jian-dong，GUO Qi-yong.Expand the present hospital information system based on wireless network technology[J].China Medical Equipment，2008，23（2）：52-54.