摘要：本文對VPN(虛擬專用網(wǎng))技術(shù)進(jìn)行了簡介，詳細(xì)說明了VPN中采用的隧道技術(shù)及其在醫(yī)療信息網(wǎng)絡(luò)中的應(yīng)用；比較了VPN應(yīng)用中常用的兩種VPN技—IPSec VPN和SSL VPN。同時對VPN的優(yōu)勢及其特點進(jìn)行了介紹。

關(guān)鍵詞：VPN；虛擬專用網(wǎng)； 醫(yī)院網(wǎng)絡(luò)建設(shè)；IPSec；SSL

中圖分類號：TP399

文獻(xiàn)標(biāo)識碼：A

文章編號：1006-3315(2010)5-168-002

隨著醫(yī)院建設(shè)規(guī)模的不斷擴大，許多醫(yī)院都建立了分院區(qū)，形成了地理上比較分散的醫(yī)院格局，由此引發(fā)很多問題，如不同院區(qū)之間如何安全地進(jìn)行信息共享和交換；在外出差或?qū)W習(xí)的職工如何安全訪問院內(nèi)網(wǎng)絡(luò)資源，進(jìn)行遠(yuǎn)程辦公等等。

虛擬專用網(wǎng)(VPN，Virtual Private Network)的出現(xiàn)，各分院區(qū)可以通過專線或撥號等通過公網(wǎng)實現(xiàn)連接。通過使用VPN技術(shù)構(gòu)建遠(yuǎn)程虛擬專用網(wǎng)絡(luò)，則可借助公共互聯(lián)網(wǎng)，用更低的成本，更安全、更高效地將總院和各分院聯(lián)結(jié)在—起。虛擬專用網(wǎng)是對原醫(yī)院網(wǎng)的擴展，它可以幫助遠(yuǎn)程用戶、分院間建立可信的安接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)VPN正是滿足這種要求的解決方案，它代表了internat發(fā)展的—個重要方向。

一、VPN簡介

1.VPN概念

虛擬專用網(wǎng)(VPN，Virtual Private Network)不是真正的專用網(wǎng)絡(luò)。卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。VPN是一種通過對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密和封裝，在公網(wǎng)上傳輸私有數(shù)據(jù)，同時保證私有網(wǎng)絡(luò)安全性的技術(shù)。它兼?zhèn)淞斯W(wǎng)的便捷、經(jīng)濟(jì)和專用網(wǎng)的安全，實現(xiàn)了利用公網(wǎng)通過加密等手段來實現(xiàn)單位組織的“專用網(wǎng)”。

2.VPN工作原理

需要進(jìn)行機密數(shù)據(jù)傳輸?shù)膬蓚€端點均連接在公共通信網(wǎng)上，當(dāng)需要進(jìn)行機密數(shù)據(jù)傳輸時，通過端點上的VPN設(shè)備在公共網(wǎng)上建立一條虛擬的專用網(wǎng)絡(luò)通道，并且所有數(shù)據(jù)均經(jīng)過加密后再在公網(wǎng)上傳輸。這樣就保證了機密數(shù)據(jù)的安全傳輸。

3.VPN的實現(xiàn)主要依賴兩種技術(shù)：隧道技術(shù)與安全技術(shù)

3.1 隧道技術(shù)。對于構(gòu)建VFN來說，隧道技術(shù)是VPN的關(guān)鍵技術(shù)，它是負(fù)責(zé)將待傳輸?shù)脑夹畔⒔?jīng)過加密、協(xié)議封裝和壓縮處理后，再嵌套裝入另一種協(xié)議的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進(jìn)行傳送。只有該虛擬專用網(wǎng)絡(luò)授權(quán)的用戶才能對隧道中的數(shù)據(jù)包進(jìn)行解釋和處理，而其他用戶則無法處理這些信息，從而保證VPN的遠(yuǎn)程用戶或主機和專用網(wǎng)絡(luò)的安全連接，該技術(shù)就像在公用網(wǎng)上為信息交換的雙方開辟一條專有的、隱蔽的數(shù)據(jù)通道一樣，隧道由一系列的協(xié)議組成。

3.2 安全技術(shù)。VPN中的安全技術(shù)通常由認(rèn)證技術(shù)、加密技術(shù)及密鑰交換與管理組成、認(rèn)證技術(shù)防止數(shù)據(jù)的偽造和被篡改，加密技術(shù)防止數(shù)據(jù)被破譯，密鑰交換與管理保證了加密密鑰的安全傳遞、VPN系統(tǒng)采用復(fù)雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會被竊聽，使分布在不同地方的專用網(wǎng)絡(luò)能在不可信任的公共網(wǎng)絡(luò)上安全地通信。

二、VPN主要技術(shù)分析

IPSec VPN、SSL VPN是目前使用主流的Internet遠(yuǎn)程安全接人技術(shù)，它們具有類似功能特性，但也存在很大不同。

IPSec協(xié)議(因特網(wǎng)安全協(xié)議)是網(wǎng)絡(luò)層上為保障IP通信而提供的一系列協(xié)議族，針對數(shù)據(jù)在通過公共網(wǎng)絡(luò)時的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計的一套隧道、加密和認(rèn)證方案。SSL是保障在Internet上基于Web的通信安全而提供的協(xié)議。

從表1可以看出，IIX3EC和SSL VPN各有優(yōu)缺點，互為補充，目前最好的方式是，采用IPSEC/SSL二合一的VPN安全網(wǎng)關(guān)設(shè)備，這樣能夠充分發(fā)揮IPSEC和SSL VPN各自的技術(shù)優(yōu)勢，而且一機二用，無需分別購買兩種網(wǎng)關(guān)，節(jié)省投資。

三、VPNM網(wǎng)絡(luò)的優(yōu)點

1.降低組網(wǎng)費用：VPN利用了現(xiàn)有的Internet組建虛擬專網(wǎng)，不需要使用專用的線路就能實現(xiàn)數(shù)據(jù)安全的傳輸，提供了比其他通信方式更低廉的成本。

2.增強了安全性：安全是VPN技術(shù)的基礎(chǔ)。由于使用了Internet作為連接鏈路的基礎(chǔ)，通過Internet進(jìn)行數(shù)據(jù)傳送必須考慮由此產(chǎn)生的安全隱患。此VPN方案結(jié)合了多種安全技術(shù)，在隧道加密、接入用戶身份驗證、通道協(xié)議。

客戶機向VPN服務(wù)器發(fā)出請求，VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份咨詢，客戶機將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問的權(quán)限，如果該用戶有此權(quán)限，VPN服務(wù)器將接受此連接。在身份驗證的過程中產(chǎn)生的客戶機和服務(wù)器公有密匙將用來對數(shù)據(jù)進(jìn)行加密處理。

3.便于統(tǒng)一管理：通過VPN能夠?qū)Ψ稚⒃诟鞯氐姆衷哼M(jìn)行安全的統(tǒng)一管理與協(xié)調(diào)。

4.支持最常用的網(wǎng)絡(luò)協(xié)議，基于IP、IPX、NETBUI協(xié)議的網(wǎng)絡(luò)中的客戶機都能很容易的使用VPN。

5.有利于IP地址的安全，VPN是加密的，VPN數(shù)據(jù)在internet中傳輸時，internet上的用戶只能夠看見公共的IP，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。

四、VPN網(wǎng)絡(luò)應(yīng)用

現(xiàn)在絕大部分大型醫(yī)院已使用適合自身情況的HIS系統(tǒng)，但是由于地域上的距離和網(wǎng)絡(luò)發(fā)展的不平衡性，分院、社區(qū)服務(wù)中心、各醫(yī)療衛(wèi)生分支部門等網(wǎng)絡(luò)之間缺少互聯(lián)互通，各網(wǎng)絡(luò)信息資源不能共享及同步。造成了網(wǎng)絡(luò)的割裂。目前很多醫(yī)院采用租用DDN(數(shù)字?jǐn)?shù)據(jù)網(wǎng))專線的方案聯(lián)接各自的分院來傳遞日常的門診收費和住院信息。同樣也采用專線的方案來聯(lián)接醫(yī)保中心傳輸醫(yī)保信息，但是這樣必然導(dǎo)致高昂的網(wǎng)絡(luò)通訊及維護(hù)費用，而采用撥號線路進(jìn)入醫(yī)院局域網(wǎng)的方式又存在著速度慢、容量小、安全性差的弱點。醫(yī)院信息建設(shè)網(wǎng)絡(luò)化異地連通，不僅帶來了管理和安全性的問題，還帶來了組網(wǎng)的復(fù)雜性。

近年來，VPN以利用公網(wǎng)資源。建立安全、可靠、經(jīng)濟(jì)、高效的傳輸鏈路的特點引起了人們的廣泛注意。在VPN技術(shù)的支持下，位于不同地點的醫(yī)療部門只需分別聯(lián)人當(dāng)?shù)氐膇nternet就可以組成—個高效統(tǒng)一的虛擬專用網(wǎng)絡(luò)。該網(wǎng)絡(luò)的設(shè)計應(yīng)充分利用現(xiàn)有internet的基礎(chǔ)，并考慮到醫(yī)療業(yè)務(wù)及管理特點，對安全的要求主要是網(wǎng)絡(luò)穩(wěn)定性和數(shù)據(jù)安全性。因此，院內(nèi)各部門之間使用局域網(wǎng)聯(lián)接，院內(nèi)與分院、社區(qū)衛(wèi)生服務(wù)中心之間采用internet VPN的方式聯(lián)接(如下圖)。

通過這樣的VPN連接，社區(qū)衛(wèi)生服務(wù)站、分院都可以通過網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)處理，使位于不同區(qū)域的服務(wù)站、分院感覺就像在同一個醫(yī)院局域網(wǎng)中一樣。這種VPN的應(yīng)用也就是將醫(yī)院的局域網(wǎng)擴展成城域網(wǎng)，同時是比較適合目前形勢下醫(yī)院信息化發(fā)展要求的。

VPN作為一種新型的網(wǎng)絡(luò)技術(shù)，VPN產(chǎn)品從第一代：VPN路由器、交換機，發(fā)展到第二代的VPN集中器。性能不斷得到提高，同時也為醫(yī)院建設(shè)計算機網(wǎng)絡(luò)提供了一種新的思路，可以通過在公共網(wǎng)絡(luò)上建立虛擬的連接來傳輸私有數(shù)據(jù)，再用認(rèn)證、加密等技術(shù)來保證數(shù)據(jù)的安全，這樣不僅極大地降低了用于網(wǎng)絡(luò)建設(shè)的費用，也提高了網(wǎng)絡(luò)的安全性。

五、小結(jié)

目前，醫(yī)院信息系統(tǒng)主要包括：醫(yī)院管理信息HIS系統(tǒng)、醫(yī)學(xué)影像PACS系統(tǒng)、聯(lián)機檢驗LIS系統(tǒng)和醫(yī)院數(shù)字圖書資料數(shù)據(jù)庫系統(tǒng)等。隨著醫(yī)療體制的改革，分院、杜區(qū)衛(wèi)生服務(wù)中心等遠(yuǎn)距離部門歸屬整個醫(yī)院的醫(yī)療體系，形成許多遠(yuǎn)程醫(yī)療管理和業(yè)務(wù)問題。醫(yī)院迫切需要解決遠(yuǎn)程聯(lián)網(wǎng)的技術(shù)問題，幫助它們加快信息化建設(shè)的步伐，推動醫(yī)院MIS系統(tǒng)的建設(shè)。VPN技術(shù)的運用，使具有多個遠(yuǎn)程分支醫(yī)療機構(gòu)的醫(yī)院利用公用網(wǎng)絡(luò)作為其聯(lián)網(wǎng)的手段，投入少量的資金，便擁有一個安全的、完全專有的適合醫(yī)院特色的醫(yī)療網(wǎng)絡(luò)。由此可見，隨著加密技術(shù)的發(fā)展和服務(wù)質(zhì)量的完善，VPN技術(shù)將在醫(yī)療領(lǐng)域的組網(wǎng)中發(fā)揮越來越重要的作用。