面向医院内网访问的安全通讯技术方案设计与实现

发布时间：2020-03-18 04:53

【摘要】：区域医疗信息化被公认为是未来医疗行业的发展方向,它要求在不同机构间共享电子医疗数据,这对医院内网资源的访问提出了迫切需求。虽然目前有一些内网安全访问的解决方案,但是存在诸多局限和缺陷,基于开放端口的方式需要路由器权限,且扩展性较差,内网穿透底层协议实现过程复杂,现有的产品也不能很好的适用于当前业务场景。针对上述问题,本论文提出一种基于反向隧道的内网访问技术方案,并进行系统实现。通过该方案可实现外网终端安全、高效地访问医疗机构内部网络。本论文的主要内容包括:1.对现有内网访问技术进行综述。分析内网访问基本需求,以及对区域内多家医疗机构内网访问所提出的要求;并对现有的内网访问技术底层原理、技术细节以及上层应用现状和局限进行深入剖析,总结各种技术的利弊。2.提出了一种基于反向隧道的内网访问机制。设计了描述通讯节点之间关系及层级角色的网络拓扑图;设计了节点的自动注册、发现以及外网终端与内网主机的交互方式;分析了整个通讯过程中需要关注的安全问题,对节点间的通讯消息进行了完备的定义。3.开发了一套面向医院内网安全访问的通讯组件。实现了命令远程执行、网络请求代理、文件操作、文件传输等七个通讯过程;通过异常处理与恢复、流量整形等机制,保障通讯组件的高可用性;通过身份验证、访问控制以及传输加密等方式确保通讯安全。评估结果表明,该组件具有较高的性能、安全性以及便捷性。4.基于上述通讯组件,开发出一套区域医疗信息集成平台软件,可在确保网络访问安全的前提下,实现任一外网终端对部署在多家医院内网的主机进行远程的集成引擎部署、集成联调和集成监控,避免了以往需要经常出差到现场进行集成实施的问题。目前区域医疗信息集成平台已经在多个区域信息化项目中得到应用,结果表明平台能有效节约成本、提高工作效率。
【图文】：

工作原理,外网,端口

端口建立一对一的静态映射关系。互联网用户通过向ＮＡＴ网关公网ＩＰ地址加上指定端口逡逑号发送请求，ＮＡＴ网关接收到请求之后转发到对应的服务上，实现外网到内网的访问，，如逡逑图１．３所示。这种方式即静态ＮＡＴ，也是全锥型ＮＡＴ类型。逡逑ｍ邋＼邋ｉ；Ｈ邋／逡逑ｉａｉ邋ｌ0８．邋Ｉ．逦２ｔ２．邋１２．３２．９１１邋？２？８邋／邋邋邋２０２．邋Ｉ．邋１．邋１２邋Ｉ逡逑０邋＾邋＾逡逑丨二８Ｕ逦ＷＡ邋Ｍ邋＝逡逑２１２．邋Ｉｆ邋３２．９９逦＼逡逑ｉ邋＼ｓｓ邋\l逡逑＇逦主机３逡逑２０４．邋１．邋１．２逡逑图１．３端口映射原理图逡逑这种方式可以通过路由器配置虚拟服务器实现，需要有路由器管理权限。这时需要做逡逑映射的主机最好指定静态丨Ｐ地址，防止重启后重新分配１Ｐ地址，而进行重新配置，引入逡逑额外的工作量。逡逑端口映射功能虽然实现了外网对内网的访问，但是存在一些问题：逡逑１）安全性低：端口映射将内网服务直接暴露到外网，增加了被攻击的风险。容易被黑逡逑客利用服务器上的漏洞控制主机，进而对局域网内其他主机发起攻击；或者进行逡逑５逡逑

路由器配置,映射原理,虚拟服务器,管理权限

１９２．１６８．０．３逦１７２．３８．１．５逡逑图１．２邋ＮＡＴ工作原理Ｉ９１逡逑针对内网访问的技术研究由来已久，内网访问主要有两大类，端口映射和内网穿逡逑透。逡逑１．３．１端口映射逡逑通过开放网络端口为外界提供服务。将内网的服务（ＩＰ地址＋端口号）与ＮＡＴ网关的逡逑端口建立一对一的静态映射关系。互联网用户通过向ＮＡＴ网关公网ＩＰ地址加上指定端口逡逑号发送请求，ＮＡＴ网关接收到请求之后转发到对应的服务上，实现外网到内网的访问，如逡逑图１．３所示。这种方式即静态ＮＡＴ，也是全锥型ＮＡＴ类型。逡逑ｍ邋＼邋ｉ；Ｈ邋／逡逑ｉａｉ邋ｌ0８．邋Ｉ．逦２ｔ２．邋１２．３２．９１１邋？２？８邋／邋邋邋２０２．邋Ｉ．邋１．邋１２邋Ｉ逡逑０邋＾邋＾逡逑丨二８Ｕ逦ＷＡ邋Ｍ邋＝逡逑２１２．邋Ｉｆ邋３２．９９逦＼逡逑ｉ邋＼ｓｓ邋\l逡逑＇逦主机３逡逑２０４．邋１．邋１．２逡逑图１．３端口映射原理图逡逑这种方式可以通过路由器配置虚拟服务器实现，需要有路由器管理权限。这时需要做逡逑映射的主机最好指定静态丨Ｐ地址，防止重启后重新分配１Ｐ地址，而进行重新配置，引入逡逑额外的工作量。逡逑端口映射功能虽然实现了外网对内网的访问，但是存在一些问题：逡逑１）安全性低：端口映射将内网服务直接暴露到外网，增加了被攻击的风险。容易被黑逡逑客利用服务器上的漏洞控制主机
【学位授予单位】：浙江大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08;R197.32

【相似文献】