景鴻理/JING Hongli，屈偉/QU Wei，劉治平/LIU Zhiping

（ 天融信科技集團股份有限公司，中國 北京 100193 ）

醫(yī)療物聯(lián)網(wǎng)是物聯(lián)網(wǎng)技術(shù)在醫(yī)療行業(yè)的重要應(yīng)用。醫(yī)療物聯(lián)網(wǎng)模糊了傳統(tǒng)的網(wǎng)絡(luò)邊界，通過可穿戴設(shè)備、傳感器和專業(yè)工具等智能醫(yī)療設(shè)備，實時感知環(huán)境信息（包括人和物理環(huán)境等），或?qū)?shù)據(jù)傳輸數(shù)據(jù)給用戶，并在網(wǎng)絡(luò)中完成數(shù)據(jù)加密、數(shù)據(jù)傳輸和數(shù)據(jù)分析等，從而協(xié)助人們完成醫(yī)療物聯(lián)網(wǎng)平臺數(shù)據(jù)采集和數(shù)據(jù)分析等工作[1]。但大量支持物聯(lián)網(wǎng)技術(shù)的智能醫(yī)療設(shè)備數(shù)量激增,容易受到未經(jīng)授權(quán)訪問和其他惡意活動的攻擊[2]；物聯(lián)網(wǎng)技術(shù)的異構(gòu)性和設(shè)備的動態(tài)管理特點，使得醫(yī)療物聯(lián)網(wǎng)系統(tǒng)容易受到不同的動態(tài)環(huán)境攻擊者的數(shù)據(jù)竊取和篡改[3]。從某種意義上講,基于物聯(lián)網(wǎng)的醫(yī)療行業(yè)應(yīng)用放大了安全邊界，帶來了訪問控制和數(shù)據(jù)資源的安全風險。因此，加強醫(yī)療物聯(lián)網(wǎng)的身份管理和邊界防護，提高醫(yī)療物聯(lián)網(wǎng)平臺、用戶、設(shè)備等資產(chǎn)的身份認證和訪問控制安全能力，保護醫(yī)療物聯(lián)網(wǎng)環(huán)境下的應(yīng)用和數(shù)據(jù)資源安全,是當前亟待解決的問題。

隨著數(shù)字化轉(zhuǎn)型的不斷深入，以信任為核心的安全理念迎來發(fā)展機遇，零信任機制成為一種有前景的解決方法，可有效應(yīng)對行業(yè)數(shù)字化轉(zhuǎn)型過程中醫(yī)療物聯(lián)網(wǎng)系統(tǒng)的各種隱私、安全和認證挑戰(zhàn)。醫(yī)療物聯(lián)網(wǎng)與零信任機制的融合，能夠打破網(wǎng)絡(luò)邊界位置和信任間的默認關(guān)系，解決在不可信環(huán)境中可能出現(xiàn)的智能醫(yī)療設(shè)備身份可信和業(yè)務(wù)數(shù)據(jù)動態(tài)管理問題，提升醫(yī)療物聯(lián)網(wǎng)對基礎(chǔ)網(wǎng)絡(luò)層和數(shù)據(jù)中心層的安全管控力度，隱藏被攻擊區(qū)域，減少攻擊面，最大限度保證資源被可信訪問。

本文中，我們主要對醫(yī)療物聯(lián)網(wǎng)建設(shè)中的可信安全防護進行詳細研究，融合新興的零信任架構(gòu)和技術(shù)，結(jié)合醫(yī)療物聯(lián)網(wǎng)的安全風險，分析適用于醫(yī)療物聯(lián)網(wǎng)的動態(tài)身份管理機制設(shè)計，提出零信任-醫(yī)療物聯(lián)網(wǎng)融生安全框架，并解決以下問題：

（1）醫(yī)療物聯(lián)網(wǎng)邊界模糊帶來的安全性問題。隨著移動辦公、萬物互聯(lián)等技術(shù)的廣泛采用，醫(yī)療物聯(lián)網(wǎng)的網(wǎng)絡(luò)邊界越來越模糊，安全防護邊界逐步被打破，已無法清晰定義安全的網(wǎng)絡(luò)。工作方式移動化、數(shù)據(jù)資源集中化、資源訪問云化等，進一步導致業(yè)務(wù)數(shù)據(jù)的訪問超出了傳統(tǒng)的物理邊界，增加威脅暴露面。

（2）醫(yī)療物聯(lián)網(wǎng)傳統(tǒng)安全架構(gòu)缺陷問題。醫(yī)療物聯(lián)網(wǎng)仍然按照傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)受信任，外部網(wǎng)絡(luò)則不受信任，整體安全防護通過靜態(tài)配置來實現(xiàn)。在受信任區(qū)域，大量的移動用戶和設(shè)備接入導致業(yè)務(wù)暴露面擴大，一旦被滲透，受信任區(qū)域所有數(shù)據(jù)資產(chǎn)無法進行有效隔離和防護；內(nèi)部網(wǎng)絡(luò)部署的大量設(shè)備缺少信息共享和安全聯(lián)動，受信任區(qū)域?qū)嵸|(zhì)上處于割裂狀態(tài)下的靜態(tài)安全防護。在不受信任區(qū)域，隨著數(shù)據(jù)資源集中，價值增加，存在大量繞過或攻破網(wǎng)絡(luò)訪問權(quán)限的內(nèi)部橫向攻擊破壞行為；以高級可持續(xù)威脅（APT）為代表的高級攻擊層出不窮，大型組織甚至國家的攻擊者可以利用大量的漏洞“武器”，對重要目標進行攻擊，這類攻擊往往防不勝防[4]。

1 醫(yī)療物聯(lián)網(wǎng)架構(gòu)和安全概述

中國信息通信研究院將醫(yī)療物聯(lián)網(wǎng)定義為Internet of Medical Things（IoMT），是指面向醫(yī)療機構(gòu)全方位的運營和管理，將傳感器、近距離通信、互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等物聯(lián)網(wǎng)相關(guān)技術(shù)與醫(yī)學健康領(lǐng)域技術(shù)相融合，實現(xiàn)醫(yī)療健康服務(wù)智能化的綜合系統(tǒng)。IoMT通過結(jié)合廣域網(wǎng)、局域網(wǎng)、無線網(wǎng)絡(luò)等網(wǎng)絡(luò)領(lǐng)域，使得物聯(lián)網(wǎng)技術(shù)越來越廣泛地應(yīng)用于醫(yī)院信息系統(tǒng)，如人體傳感技術(shù)、醫(yī)療裝備定位、移動醫(yī)療技術(shù)、精準疫情防控等，已形成基于醫(yī)療信息平臺的，具有創(chuàng)新應(yīng)用模式、系統(tǒng)高度集成、數(shù)據(jù)資源高度整合的醫(yī)院管理應(yīng)用生態(tài)鏈[5]。

1.1 醫(yī)療物聯(lián)網(wǎng)架構(gòu)

IoMT架構(gòu)一般沿用通用物聯(lián)網(wǎng)的感知、網(wǎng)絡(luò)、應(yīng)用3層體系，結(jié)合大數(shù)據(jù)、云計算等醫(yī)療實際環(huán)境，把管理和業(yè)務(wù)平臺建設(shè)獨立出來，形成了IoMT的感知層、網(wǎng)絡(luò)層、平臺層和應(yīng)用層4層體系架構(gòu)，如圖1所示。

▲圖1 醫(yī)療物聯(lián)網(wǎng)架構(gòu)

感知層主要通過醫(yī)療健康感知設(shè)備和信息采集設(shè)備，對IoMT中的醫(yī)患人員設(shè)備節(jié)點進行感知識別，并利用多種生理信號采集方式，協(xié)同完成對醫(yī)療信息的采集和數(shù)據(jù)傳輸。

網(wǎng)絡(luò)層實現(xiàn)物聯(lián)組網(wǎng)和控制，利用以太網(wǎng)技術(shù)、移動通信技術(shù)、機器通信（M2M）技術(shù)等，以無線或者有線的通信方式，將感知采集的數(shù)據(jù)信息進行實時、無障礙、高可靠的傳送。

平臺層主要通過設(shè)備管理平臺、信息集成平臺、應(yīng)用服務(wù)平臺、業(yè)務(wù)分析平臺、數(shù)據(jù)支撐平臺等，實現(xiàn)終端設(shè)備和資產(chǎn)的“管理、控制、運營”一體化，向下通過連接管理平臺連接感知層，向上通過開放管理平臺提供面向醫(yī)療應(yīng)用服務(wù)的開發(fā)能力和統(tǒng)一接口管理。

應(yīng)用層面向醫(yī)院業(yè)務(wù)管理、個人健康管理、網(wǎng)絡(luò)運營管控、輔助決策支撐等提供具體的業(yè)務(wù)應(yīng)用[6]，如嬰兒防盜、資產(chǎn)定位、人員定位、移動醫(yī)護、智能輸液、體征監(jiān)控、就診導航、診療診斷、掌上醫(yī)院等。

1.2 醫(yī)療物聯(lián)網(wǎng)安全防護現(xiàn)狀

IoMT安全防護一般參考物聯(lián)網(wǎng)安全架構(gòu)有關(guān)標準要求進行建設(shè)，主要包括對資產(chǎn)標識與配置管理、數(shù)據(jù)加密與保護、邏輯訪問控制、設(shè)備安全狀態(tài)等安全基線控制要求[7]。經(jīng)過多年的信息化建設(shè)，IoMT基本實現(xiàn)了環(huán)境數(shù)據(jù)感知采集、業(yè)務(wù)過程全周期控制、醫(yī)療全程跟蹤追溯、醫(yī)院體系化安全管理等[8]。物聯(lián)網(wǎng)技術(shù)給醫(yī)療行業(yè)帶來網(wǎng)絡(luò)化、智能化、自動化的同時，也存在著物理感知節(jié)點控制偽裝、醫(yī)療信息數(shù)據(jù)可能被破壞或用戶隱私泄露等安全隱患[9]。

目前，IoMT安全防護建設(shè)主要基于網(wǎng)絡(luò)安全等級保護的物聯(lián)網(wǎng)安全擴展要求，采用傳統(tǒng)網(wǎng)絡(luò)隔離的安全模型，用防火墻、入侵檢測系統(tǒng)（IDS）/入侵預(yù)防御系統(tǒng)（IPS）、虛擬專用網(wǎng)（VPN）、行為審計等邊界防護設(shè)備劃分出醫(yī)療內(nèi)網(wǎng)和外網(wǎng)，形成以賬戶管理和邊界防護為核心的防御體系。從防范外部攻擊的角度，防火墻和VPN的模式形成了深度防御態(tài)勢，增加了黑客攻擊的難度，但是對內(nèi)部人員實施的竊密行為無法管控，存在內(nèi)部人員攻擊和繞過邊界防護的APT等攻擊行為；同時，IoMT也模糊了內(nèi)外網(wǎng)的邊界，存在邏輯外部人員實際已在內(nèi)網(wǎng)進行操作，以及邏輯內(nèi)網(wǎng)設(shè)備實際已在外網(wǎng)存在的可能。隨著IoMT對云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)的融合應(yīng)用，IoMT聯(lián)網(wǎng)設(shè)備一般無法配備足夠的存儲空間和計算能力，不能通過部署安全防護軟件來保障自身安全；大量智能設(shè)備不間斷收集數(shù)據(jù)并存儲到云端，會帶來醫(yī)療數(shù)據(jù)泄露、非授權(quán)訪問、隱私泄露等新的安全隱患。醫(yī)療行業(yè)用戶需要面臨醫(yī)療數(shù)據(jù)泄露、應(yīng)用賬號密碼泄露、特權(quán)賬號共享、網(wǎng)絡(luò)終端木馬、內(nèi)部員工違規(guī)操作等內(nèi)部風險，以及APT攻擊、網(wǎng)絡(luò)釣魚郵件等外部威脅?，F(xiàn)有安全防護手段與業(yè)務(wù)結(jié)合不緊密，資產(chǎn)管理、戶身份認證、訪問控制、數(shù)據(jù)資源保護以及終端安全狀態(tài)等安全措施缺乏統(tǒng)一融合管理，亟需優(yōu)化和重構(gòu)。

2 零信任架構(gòu)和關(guān)鍵技術(shù)

零信任是一種建立安全戰(zhàn)略的理念、方法和框架，代表著當前正在演進的網(wǎng)絡(luò)安全最佳實踐，力求通過全新的去中心化安全架構(gòu)，應(yīng)用更細粒度的規(guī)則來解決網(wǎng)絡(luò)中特定數(shù)據(jù)的安全威脅[10]。2020年8月，美國國家標準與技術(shù)研究院（NIST）發(fā)布的《零信任架構(gòu)》指出了傳統(tǒng)安全架構(gòu)基于邊界安全的問題，并將零信任架構(gòu)確定為一種包含身份、憑證、訪問控制、操作、互聯(lián)基礎(chǔ)設(shè)施等所有網(wǎng)絡(luò)要素的端對端安全體系方案[11]。經(jīng)過多年發(fā)展，數(shù)字化時代網(wǎng)絡(luò)安全威脅比以往任何時候都更加復雜和險惡，安全架構(gòu)的薄弱環(huán)節(jié)正是身份安全基礎(chǔ)設(shè)施的缺失。建設(shè)以身份為基石的零信任網(wǎng)絡(luò)安全體系，成為覆蓋云環(huán)境、大數(shù)據(jù)中心、微服務(wù)、萬物互聯(lián)等眾多場景的新一代安全解決方案。

2.1 零信任架構(gòu)

零信任架構(gòu)本質(zhì)就是以身份為中心，根據(jù)受限資源訪問需求，在訪問主體和訪問客體之間，實現(xiàn)臨時、動態(tài)、可信的安全訪問體系，如圖2所示。

▲圖2 零信任安全架構(gòu)

基于零信任建立的網(wǎng)絡(luò)以受限資源安全保護需要為出發(fā)點，將安全能力抽象為可信代理、動態(tài)訪問控制、身份管理、權(quán)限管理及身份分析等功能組件，形成主客體間的動態(tài)可信安全訪問平臺，同時與其他安全分析平臺協(xié)同聯(lián)動，保障主體對客體業(yè)務(wù)、數(shù)據(jù)訪問的安全可信閉環(huán)[4]。

2.2 零信任關(guān)鍵技術(shù)

零信任關(guān)鍵技術(shù)包括身份管理、終端環(huán)境感知、主體行為分析、信任推斷、動態(tài)控制等。

（1）身份管理。身份管理分為認證和授權(quán)兩大組件，可為零信任體系提供身份認證服務(wù)和安全授權(quán)服務(wù)。身份管理可以將用戶身份和訪問權(quán)限做到細粒度對應(yīng)，確定用戶最小訪問權(quán)限。對主客體的身份認證可以為業(yè)務(wù)系統(tǒng)提供統(tǒng)一的身份認證服務(wù)，支持多種常用認證協(xié)議，建立多權(quán)限模型，從而滿足不同業(yè)務(wù)場景[12]。

（2）終端環(huán)境感知。終端環(huán)境感知需要針對業(yè)務(wù)終端進行統(tǒng)一管理和分組，查看所有終端的狀態(tài)，對終端的操作系統(tǒng)版本、核心進程號、指定文件、木馬、蠕蟲、病毒等指定監(jiān)測因子進行持續(xù)監(jiān)控與檢查，并針對終端進行安全策略集中下發(fā)等，為零信任體系提供終端風險狀態(tài)的判定。

（3）主體行為分析。主體行為分析是指對主體的日常訪問行為進行持續(xù)審計和監(jiān)控，構(gòu)建行為模型和綜合評分機制，以形成主體行為訪問基線，對主體訪問偏離基線的程度進行上報，從而為零信任體系提供主體行為偏離度的判定。

（4）信任推斷。信任判斷是指綜合多種判定因子，實現(xiàn)基于身份、權(quán)限、主客體安全等級模型的關(guān)聯(lián)；建立主體訪問客體的信任模型，為動態(tài)訪問模塊提供可信訪問的判斷依據(jù)；實時接收、統(tǒng)計終端環(huán)境風險的評估數(shù)據(jù)，判斷當前用戶風險狀態(tài)。

（5）動態(tài)訪問控制。動態(tài)訪問控制與信任推斷聯(lián)動，將網(wǎng)絡(luò)安全等級與業(yè)務(wù)安全策略進行自動匹配，將最小權(quán)限下發(fā)到相應(yīng)的策略執(zhí)行點。主體行為分析系統(tǒng)提供的風險評估等級，可以提供多因子認證方式的訪問控制策略和執(zhí)行，實現(xiàn)動態(tài)決策授權(quán)?；谠L問主體和訪問客體安全屬性的風險評估結(jié)果可以進行動態(tài)決策。

3 基于零信任架構(gòu)的醫(yī)療物聯(lián)網(wǎng)融生安全框架

3.1 零信任-醫(yī)療物聯(lián)網(wǎng)融合解決思路

結(jié)合IoMT架構(gòu)和安全風險，融合零信任架構(gòu)和技術(shù)，以身份為中心，建立訪問主體（合法設(shè)備、合法用戶等）、運行環(huán)境（通信網(wǎng)絡(luò)和計算環(huán)境）、訪問客體（業(yè)務(wù)應(yīng)用及數(shù)據(jù)資源）之間的安全可信關(guān)系，能夠持續(xù)驗證主體的訪問權(quán)限信任度?；谠O(shè)備代理/網(wǎng)關(guān)部署隱藏互聯(lián)訪問交互，可以實現(xiàn)對醫(yī)療終端到業(yè)務(wù)系統(tǒng)的主體訪問、應(yīng)用訪問、訪問控制3個階段的持續(xù)動態(tài)評估，從而能夠確保訪問主體安全可信和業(yè)務(wù)訪問動態(tài)安全，達到零信任和醫(yī)療物聯(lián)網(wǎng)融合共生安全的效果。零信任-醫(yī)療物聯(lián)網(wǎng)融合解決思路如圖3所示。

▲圖3 零信任-醫(yī)療物聯(lián)網(wǎng)融合解決思路

3.2 零信任-醫(yī)療物聯(lián)網(wǎng)融生安全框架

我們按照零信任-醫(yī)療物聯(lián)網(wǎng)融合解決思路，設(shè)計了零信任-醫(yī)療物聯(lián)網(wǎng)融生安全框架，具體如圖4所示。

零信任-醫(yī)療物聯(lián)網(wǎng)融生安全框架包括零信任控制平臺、物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)、醫(yī)療終端、醫(yī)療業(yè)務(wù)系統(tǒng)、相關(guān)輔助支撐系統(tǒng)5部分，分別部署于醫(yī)療物聯(lián)網(wǎng)的控制平面和數(shù)據(jù)平面。

（1）零信任控制平臺

零信任控制平臺是整個框架的“大腦”和中心控制點，包括信任策略引擎、策略控制中心、物聯(lián)環(huán)境感知、智能身份分析等組件。零信任控制平臺負責醫(yī)療終端身份驗證方的通信，統(tǒng)一協(xié)調(diào)身份驗證和授權(quán)分發(fā)，定義和評估相應(yīng)的訪問策略，動態(tài)調(diào)整醫(yī)療終端的接入權(quán)限。零信任控制平臺通過策略控制中心對用戶和設(shè)備建立或關(guān)閉資源連接，進行自動配置、動態(tài)授權(quán)和策略決策；通過信任策略引擎為給定的主體授予訪問權(quán)限，對策略控制中心下達信任指令和收集評估狀態(tài)；通過物聯(lián)環(huán)境感知識別環(huán)境和設(shè)備，進行風險通報；通過智能身份分析實現(xiàn)訪問控制的日志上報和持續(xù)評估。

（2）物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)

物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)是確保業(yè)務(wù)安全訪問的第一道關(guān)口，是動態(tài)訪問控制能力的策略執(zhí)行點。物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)主要負責監(jiān)視主客體間的訪問連接，建立安全傳輸通道，從零信任控制平臺接收控制信息，并只接受經(jīng)過零信任控制平臺確認的醫(yī)療終端的用戶訪問連接請求，保證只有經(jīng)過授權(quán)的主機才能訪問到受保護的醫(yī)療業(yè)務(wù)系統(tǒng)。

（3）醫(yī)療終端

醫(yī)療終端是訪問主體，在主體實施信任評估前均處于不信任狀態(tài)，通過策略引擎和策略控制中心實施信任評估。

（4）醫(yī)療業(yè)務(wù)系統(tǒng)

醫(yī)療業(yè)務(wù)系統(tǒng)是訪問客體，初始的資源隔離、策略發(fā)現(xiàn)和自動化配置使得醫(yī)療業(yè)務(wù)系統(tǒng)始終處于受保護資源的資源訪問狀態(tài)。

（5）相關(guān)輔助支撐系統(tǒng)

除上述核心組件外，還需要引入輔助支撐系統(tǒng)，包括數(shù)據(jù)訪問、身份驗證、行為分析、ID管理、威脅情報、終端環(huán)境、行業(yè)合規(guī)、安全事件等。這樣能夠為零信任控制平臺的策略生成及安全態(tài)勢提供決策依據(jù)，從而達到安全聯(lián)動效果。

4 零信任-醫(yī)療物聯(lián)網(wǎng)融生安全框架的應(yīng)用

基于零信任-醫(yī)療物聯(lián)網(wǎng)融生安全框架的網(wǎng)絡(luò)安全體系建設(shè)模糊了傳統(tǒng)基于邊界的物理或網(wǎng)絡(luò)位置，而授予用戶或設(shè)備認證和授權(quán)的隱式信任，符合網(wǎng)絡(luò)安全應(yīng)用趨勢，能夠在IoMT安全建設(shè)中支持設(shè)備統(tǒng)一管理、安全準入控制、設(shè)備行為分析3項安全基線應(yīng)用，并實現(xiàn)終端環(huán)境安全檢測、動態(tài)可信接入、安全加密通道3項安全創(chuàng)新應(yīng)用。

（1）設(shè)備統(tǒng)一管理

設(shè)備統(tǒng)一管理需要對所有醫(yī)療終端進行統(tǒng)一分組管理，查看所有醫(yī)療終端的狀態(tài)，并針對終端進行安全策略集中下發(fā)等，為零信任控制平臺提供終端風險狀態(tài)判定依據(jù)。

（2）安全準入控制

安全準入控制網(wǎng)絡(luò)支持在邊緣接入層采用安全隔離技術(shù)，對不同主客體之間建立物聯(lián)網(wǎng)安全通道，設(shè)定必要的分布式安全訪問控制措施，并利用先進的設(shè)備指紋、智能畫像、精準識別等技術(shù)，對接入的設(shè)備進行安全準入控制，基于預(yù)設(shè)安全策略對接入節(jié)點進行安全訪問控制，避免非法仿冒設(shè)備入侵。

（3）設(shè)備行為分析

物聯(lián)網(wǎng)醫(yī)療終端形態(tài)多樣化，地理位置分散，缺少值守，且一般攜帶敏感數(shù)據(jù)，因此容易發(fā)生設(shè)備盜用并以此為跳板侵入到醫(yī)療內(nèi)部核心網(wǎng)絡(luò)，從而造成重大損失。我們可通過智能學習和行為關(guān)聯(lián)分析，構(gòu)建醫(yī)療終端的正常行為模型，以達到安全管控的目標。

（4）終端環(huán)境安全檢測（創(chuàng)新點）

IoMT終端環(huán)境安全檢測具體包括對感知層網(wǎng)關(guān)自身環(huán)境檢測、文件感知、容器感知、通信感知、狀態(tài)感知、設(shè)備感知等，主要從終端環(huán)境出發(fā)，劃分不同的終端安全等級，用于安全探測物聯(lián)感知終端設(shè)備連接狀態(tài)，監(jiān)控設(shè)備數(shù)據(jù)傳輸安全，對終端的控制實現(xiàn)細粒度控制，改變以往的粗放式管理。

（5）動態(tài)可信接入（創(chuàng)新點）

動態(tài)可信接入可以融合零信任技術(shù)和IoMT接入的安全管控能力，將原有的靜態(tài)防御改為動態(tài)防御，全面、動態(tài)、持續(xù)感知醫(yī)療終端和網(wǎng)關(guān)進程，能夠?qū)崟r度量和控制資源訪問行為，實現(xiàn)雙向身份鑒別機制，支撐與業(yè)務(wù)的緊密結(jié)合，從而保證人員和醫(yī)療設(shè)備接入時身份的可信任。

（6）安全加密通道（創(chuàng)新點）

安全加密通道可以將零信任主客體間的動態(tài)可信安全訪問能力賦能到IoMT中，建立醫(yī)療終端和醫(yī)療業(yè)務(wù)系統(tǒng)間的安全可信連接，改變傳統(tǒng)的“先連接后認證”方式，向基于零信任的“先認證后連接”方式轉(zhuǎn)變，實現(xiàn)對IoMT專用傳輸通道的安全加密，從而保障數(shù)據(jù)的傳輸安全。

5 結(jié)束語

零信任-醫(yī)療物聯(lián)網(wǎng)融生安全框架提供了一種全新的安全訪問思路，形成了一種與網(wǎng)絡(luò)位置無關(guān)的動態(tài)訪問控制方案，支持用戶建立全局的安全控制策略。根據(jù)被訪問客體的安全信任狀態(tài)對訪問主體進行授權(quán)，持續(xù)監(jiān)測評估訪問過程安全性和信任狀態(tài)，自動編排更新身份訪問策略配置，動態(tài)調(diào)整訪問權(quán)限，實現(xiàn)基于身份/屬性/權(quán)限等級策略的細粒度訪問控制，滿足醫(yī)療物聯(lián)網(wǎng)創(chuàng)新技術(shù)應(yīng)用安全需求。零信任的深度應(yīng)用將會催生策略智能調(diào)優(yōu)的手段。如何針對目標資產(chǎn)、組件、訪問實體等實現(xiàn)智能化的動態(tài)安全風險評估和策略配置，仍然需要我們在自動化系統(tǒng)、深度學習、智能控制等領(lǐng)域進行深入研究，從而應(yīng)對零信任安全訪問網(wǎng)絡(luò)建設(shè)中的策略自動發(fā)現(xiàn)、有限訪問控制、缺乏高效檢測防御的應(yīng)用挑戰(zhàn)。