章 俊，張雨恬，胡少文

（1.南昌大學第一附屬醫(yī)院，江西 南昌 330006；2.江西中醫(yī)藥大學附屬醫(yī)院，江西 南昌 330004；3.江西省科技基礎條件平臺中心，江西 南昌 330003）

0 引言

隨著5G 應用的發(fā)展，5G 技術賦能醫(yī)療行業(yè)受到越來越多的關注，它對加快健康中國建設和推動醫(yī)療健康產(chǎn)業(yè)發(fā)展起到重要的支撐作用。如今在開展5G 院前急救和5G 影像診斷應用的同時，易忽視5G 技術帶來的新的網(wǎng)絡安全威脅。5G 網(wǎng)絡使得醫(yī)院原有的物理邊界日益模糊和難以固化，因此以邊界防護為中心的傳統(tǒng)安全架構凸顯出巨大的局限性。除此之外，5G 技術具有的高帶寬、低時延和廣連接等特性使得黑客更加便利地開展分布式攻擊。

近年來，隨著醫(yī)院信息化的發(fā)展，醫(yī)院的信息資源逐漸走進了黑客攻擊的視野。不少大型醫(yī)院曾遭遇過黑客的勒索攻擊。因醫(yī)療行業(yè)有著其業(yè)務的獨特性，所以醫(yī)院的網(wǎng)絡安全問題成為學者和工程師的研究方向，而5G+醫(yī)療的安全研究也勢必成為網(wǎng)絡安全的一個子方向。因此本文基于零信任架構，通過單包授權的敲門驗證機制，以期解決5G 技術帶來的網(wǎng)絡安全問題。

1 5G 帶來的網(wǎng)絡安全隱患

近年來，各大醫(yī)院如火如荼地開展5G+醫(yī)療的試點，并且取得了不少新穎的案例。醫(yī)院通過5G醫(yī)療專網(wǎng)可以更加便捷、更加智慧地開展醫(yī)療服務和醫(yī)療管理，提升患者的就醫(yī)體驗。然而這種新的模式帶來了新的隱患。

1.1 網(wǎng)絡邊界模糊

醫(yī)院內(nèi)部的網(wǎng)絡與5G 網(wǎng)絡對接后，醫(yī)院傳統(tǒng)的邊界安全防護隨即土崩瓦解。5G 網(wǎng)絡的介入將給醫(yī)院的網(wǎng)絡安全帶來前所未有的挑戰(zhàn)。醫(yī)院的網(wǎng)絡不再局限于互聯(lián)網(wǎng)邊界或?qū)＞€邊界（如醫(yī)保、銀聯(lián)專線），而是被5G 基站gNodeB 無限延伸了，如圖1 所示。為了節(jié)省投資，一般情況下5G 醫(yī)院專網(wǎng)建設會與公網(wǎng)共享gNodeB，甚至共享5G 用戶面功能網(wǎng)元（User Plane Function，UPF）、5G核心網(wǎng)控制面網(wǎng)元（5G Core-Control Plane，5GCCP）、統(tǒng)一空間模型（Unified Dimensional Model，UDM）、移動邊緣計算（Mobile Edge Computing，MEC）等。這使得醫(yī)院網(wǎng)絡邊界變得日益模糊，從有邊界的網(wǎng)絡變成了無邊界的網(wǎng)絡。

圖1 5G+醫(yī)療網(wǎng)絡拓撲

1.2 準入系統(tǒng)的局限性

目前，許多醫(yī)療終端（如床旁心電圖、移動推車）不支持5G 模組，不能直接通過5G 信號接入網(wǎng)絡，必須通過客戶前置設備（Customer Premise Equipment，CPE）將接收到的5G 信號轉(zhuǎn)換成Wi-Fi的形式供終端接入。與此同時，CPE 設備充當了接入層面的代理網(wǎng)關，將終端IP 地址進行了一次地址轉(zhuǎn)換（Network Address Translation，NAT），如圖2 所示。然而，傳統(tǒng)的準入系統(tǒng)通過802.1x 等協(xié)議，常以IP 地址+物理地址（Media Access Control Address，MAC）的方式認證合法終端，因此該方式只能對CPE 設備準入，無法有效管控到CPE 轉(zhuǎn)換后接入的終端。CPE 發(fā)出的Wi-Fi 信號很容易被不法分子惡意利用來非法接入醫(yī)院內(nèi)網(wǎng)，竊取醫(yī)療信息。傳統(tǒng)的終端安全準入系統(tǒng)不再具備完全控制終端安全接入的能力。5G 網(wǎng)絡的應用，使醫(yī)院網(wǎng)絡暴露了嚴重的安全隱患。

圖2 CPE 設備信號轉(zhuǎn)換

5G 注冊流程中，通過5G-全球唯一臨時UE 標識（5G-Globally Unique Temporary UE Identity，5G-GUTI）和終端標識（Permanent Equipment Identifier，PEI）來驗證身份的合法性。同時，通過簽約的數(shù)據(jù)網(wǎng)絡名稱（Data Network Name，DNN）將會話錨定在5G 醫(yī)療專網(wǎng)上。5G-GUTI 和DNN 是基于用戶識別卡（Subscriber Identity Module，SIM）上簽約的信息。在使用CPE的場景下，這張5G SIM 卡插在CPE 設備上，驗證的終端標識也同樣是CPE的PEI。因此，在5G 網(wǎng)絡的注冊流程中，接入授權也無法有效管控CPE 轉(zhuǎn)換后接入的終端。

2 零信任安全體系架構

如何解決5G 網(wǎng)絡帶來的安全隱患成為5G+醫(yī)療試點過程中不容忽視的難題。美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）在2019 年發(fā)布了零信任架構（Zero Trust Architecture，ZTA）標準草案[1]，其“永遠不信任”的思想可以解決5G 帶來的網(wǎng)絡安全隱患。ZTA 打破了傳統(tǒng)的基于網(wǎng)絡邊界防護的思路，不再是在邊界上配置訪問控制列表（Access Control Lists，ACL）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）、網(wǎng)站應用級入侵防御系統(tǒng)（Web Application Firewall，WAF）等安全防護設備，而是基于身份的細粒度安全訪問。5G 技術給醫(yī)院網(wǎng)絡安全帶來的首要問題就是，網(wǎng)絡邊界模糊導致傳統(tǒng)邊界防護方式失效。ZTA 技術恰好解決了該問題。與此同時，基于身份的動態(tài)授權和持續(xù)評估可以打破傳統(tǒng)的基于IP 和MAC 地址等方式的局限性，解決經(jīng)CPE 設備轉(zhuǎn)換后，終端無法有效準入的問題，從而有效地保護了醫(yī)院關鍵性資源，如醫(yī)院信息系統(tǒng)（Hospital Information System，HIS）服務器和電子病歷（Electronic Medical Record，EMR）數(shù)據(jù)庫等。

為解決5G網(wǎng)絡在醫(yī)院內(nèi)部試點中的安全隱患，本文在醫(yī)院內(nèi)部搭建零信任架構平臺。該平臺作為5G 網(wǎng)絡非信任區(qū)域通往醫(yī)院信任區(qū)域的橋梁，負責終端的訪問授權和流量的代理轉(zhuǎn)發(fā)。ZTA 可分為用戶平面和控制平面，如圖3 所示。用戶平面包括策略執(zhí)行點（Policy Enforcement Point，PEP），它負責終端訪問醫(yī)院內(nèi)部資源（如HIS、EMR）連接的建立、監(jiān)控和釋放，相當于代理網(wǎng)關?？刂破矫孀鳛榘踩竽X，是客戶端訪問資源的持續(xù)信任評估和策略決策點。控制面從邏輯上可分為策略引擎（Policy Engine，PE）和策略管理（Policy Administrator，PA）[2]。PE 負責決策授予終端的資源訪問權限，不同的身份被授予不同的權限范圍。PE 可將威脅情報分析、安全事件分析、行業(yè)合規(guī)和身份管理系統(tǒng)等信息作為信任算法的輸入，從而輸出對客戶端主體的授予、拒絕或撤銷。而PA 通過下發(fā)指令至PEP 來建立和關閉終端與資源之間的通信。PA 生成基于會話的身份驗證票據(jù)，作為客戶端訪問醫(yī)院資源的有效憑證。如果會話被授權并且請求被認證，則PA 配置PEP 對會話放通，否則PA 向PEP 發(fā)出指令關閉連接。

圖3 基于零信任的醫(yī)院5G 網(wǎng)絡安全架構

3 零信任關鍵技術——單包授權

ZTA的最佳實踐方式為軟件定義邊界（Software Defined Perimeter，SDP）[3]。SDP的核心思想就是打破傳統(tǒng)以邊界防護為中心的思路，建立基于身份、運行環(huán)境和上下文信息的授權訪問機制。SDP 只允許授權的數(shù)據(jù)包通過，對于非授權的數(shù)據(jù)包默認丟棄。它不同于傳統(tǒng)交互機制，通過Internet 控制報文協(xié)議（Internet Control Message Protocol，ICMP）返回拒絕消息，而拒絕消息響應往往就是攻擊者的利用點。SDP 默認丟棄非授權數(shù)據(jù)包的機制使得非授權的客戶端無法感知到有效IP 和端口的存在，實現(xiàn)了網(wǎng)絡隱身，起到了保護醫(yī)院內(nèi)部重要資源的作用。

SDP 中的關鍵技術是單包授權（Single Packet Authorization，SPA）協(xié)議[4]，它作為端口敲門的演進協(xié)議，其核心思路是客戶端只有通過單個數(shù)據(jù)包敲門認證成功后，才被授權建立安全連接，否則默認丟棄所有請求包。SPA 實現(xiàn)了先認證成功后再建立網(wǎng)絡連接的安全性保障。

3.1 SPA 機制

SPA 將所有必要的身份信息組合起來[5]，通過Hash算法將組合的信息進行編碼，并將編碼結果打包進一個數(shù)據(jù)包中，作為SPA 端口敲門的認證請求信息。為了保障網(wǎng)絡的安全，敲門的數(shù)據(jù)包通常為用戶數(shù)據(jù)報協(xié)議（User Datagram Protocol，UDP），而非傳輸控制協(xié)議（Transmission Control Protocol，TCP），所有的TCP 端口默認都是關閉狀態(tài)。這些必要的信息集合可以由客戶端IP、口令、時間戳（防止重放攻擊）或其他的有效信息組合而成，如表1 所示。Hash算法可以是消息摘要算法第五版（Message-Digest Algorithm 5，MD5）、安全哈希算法（Secure Hash Algorithm，SHA）等摘要算法，帶上了時間戳后，每次請求的Hash 編碼值都是不同的，從而確保每次訪問都需要經(jīng)過授權認證。

表1 SPA 信息組合簡單示例

表1 為SPA 數(shù)據(jù)包的簡單舉例。文獻[4]描述了SPA的UDP 報文中包含加密的認證憑據(jù)和消息摘要，而消息摘要是將加密后的認證憑據(jù)再進行Hash 編碼。通過SPA 敲門認證，實現(xiàn)了流量身份化。

SDP 控制器會同步客戶端的相關算法。在收到SPA的敲門認證請求消息后，SDP 控制器解碼該Hash 值并驗證。如果驗證合法的訪問則暫時開放相應的TCP 業(yè)務端口，并返回授權策略和對應的SDP網(wǎng)關信息給客戶端；如果身份驗證未通過，則直接丟棄請求包。SDP 控制器同時將合法的客戶端身份信息和授權策略發(fā)給SDP 網(wǎng)關?？蛻舳藢y帶授權信息，向SDP 網(wǎng)關發(fā)送訪問請求。SDP 網(wǎng)關將通過SDP 控制器收到的身份信息和授權，來驗證客戶端發(fā)送的請求，如驗證通過則建立安全的TCP 連接，整個SPA 端口敲門過程如圖4 所示。

圖4 SPA 端口敲門流程

SPA 敲門驗證過程的優(yōu)勢在于：

（1）遵守最小授權原則：對客戶端的訪問授權只會開放相應資源的相關端口，非必要的訪問端口保持關閉，實現(xiàn)了最小授權的訪問原則。

（2）形成微隔離：由于客戶端只能由授權建立的TSL 連接來訪問相關資源，邏輯上與其他客戶端形成了微隔離。

（3）動態(tài)授權：客戶端驗證通過后，只授權了一段時間的訪問權限，建立的連接并非永久的。

（4）持續(xù)監(jiān)控：SDP 控制器作為安全大腦，會實時對訪問連接監(jiān)控，一旦發(fā)現(xiàn)威脅，將會立刻中斷連接。

因此，該ZTA 下的資源訪問授權是動態(tài)控制的，并非只要驗證通過后就永遠安全，而是持續(xù)性地監(jiān)控。

3.2 多因子動態(tài)評估

為了進一步提升訪問授權過程的可靠性，零信任平臺需要與其他相關信息結合起來，建立多因子聯(lián)合決策訪問機制，如圖5 所示。

圖5 多因子動態(tài)信任評估

多因子聯(lián)合決策訪問機制具體為：

（1）身份的可信任度：這里的身份不僅僅是登錄賬號，而且還包括需要訪問的服務資源、需要開放的訪問端口等。

（2）環(huán)境的可信任度：SDP 控制器可以與醫(yī)院已部署的流量探針和態(tài)勢感知平臺聯(lián)動，形成對網(wǎng)絡環(huán)境的持續(xù)性評估，一旦發(fā)現(xiàn)威脅，立刻中斷不安全的連接。

（3）行為的可信任度：根據(jù)客戶端的流量特征、上下文信息分析，刻畫出正常訪問的行為基線，SDP控制器可基于行為基線判斷當前的行為是否可信。

（4）軟件的可信任度：設備的操作系統(tǒng)版本、應用軟件版本等組合作為軟件信息，通過判斷當前版本是否存在已發(fā)布的高危漏洞來評估軟件是否可信。

（5）硬件可信任度：終端硬件信息，例如設備制造商，它可由MAC 地址識別出來，并根據(jù)設備制造商判斷終端是否為醫(yī)院采購的床旁心電圖、護士手持個人數(shù)字助手（Personal Digital Assistant，PDA）等物聯(lián)網(wǎng)（Internet of Things，IoT）設備，從而評估硬件是否可信。

5 類信任因子（身份、環(huán)境、行為、軟件和硬件）組合并作為信任算法的輸入信息，打包在SPA 端口敲門的身份認證中。在授權過程中，SDP 控制器持續(xù)性地動態(tài)評估，并由信任算法輸出決策，確定該訪問是否可信。如果評估結果可信，客戶端被授權訪問，隨之開放相關TCP 端口，建立安全的訪問連接，否則將敲門的認證請求丟棄，阻斷訪問。

4 安全防御能力

通過SPA 實現(xiàn)的零信任架構體系，可對重要資源實現(xiàn)網(wǎng)絡隱身，在動態(tài)地控制合法客戶端安全連接的同時，屏蔽攻擊者的探測從而預防攻擊，如網(wǎng)絡端口嗅探（Network Mapper，nmap），將醫(yī)院的HIS、EMR 等重要資源放在SDP 服務之后，使得這些資源從黑客視角中不可見，起到了有效的保護作用，尤其是針對分布式拒絕攻擊（Distributed Denial of Service，DDoS）和高級持續(xù)性威脅（Advanced Persistent Threat，APT）有很好的防御效果。

5G網(wǎng)絡與醫(yī)院內(nèi)網(wǎng)對接后網(wǎng)絡邊界變得模糊，而零信任架構下，SDP 以身份認證為核心，超越了邊界防護的思維，該思路與5G+醫(yī)療的現(xiàn)狀不謀而合。在零信任架構下，所有終端訪問必須經(jīng)過授權、鑒權和加密，通過可信接入后才能訪問核心資源。

在5G 信號經(jīng)CPE 轉(zhuǎn)換的場景下，零信任架構可有效管控終端訪問醫(yī)院內(nèi)網(wǎng)，即在授權認證之前，關閉所有服務端口，強制性地執(zhí)行先認證后連接的方式，通過評估身份、環(huán)境、行為和設備等因素決定流量是否可信任，從而動態(tài)地開啟相應授權的訪問服務，實現(xiàn)動態(tài)訪問控制。一旦這些因素存在安全風險，終端將被立刻停止授權，關閉相應服務端口。零信任架構打破了傳統(tǒng)的IP+MAC的準入模式，實現(xiàn)了流量身份化。

5 結語

本文探討了5G 在醫(yī)療行業(yè)應用過程中面臨的網(wǎng)絡安全新的挑戰(zhàn)，5G的應用對傳統(tǒng)的邊界防護、終端準入等安全防護機制帶來了巨大的沖擊，而本文提出了由醫(yī)院建立的一套零信任架構平臺。5G 網(wǎng)絡通過零信任的代理訪問，不僅可以對醫(yī)院重要數(shù)據(jù)資源實現(xiàn)網(wǎng)絡隱身，極大程度地減少網(wǎng)絡暴露面，還可以打破傳統(tǒng)的邊界防護思維，建立以身份認證為基石的動態(tài)授權訪問體系。基于零信任永遠不相信的核心思想，實現(xiàn)了在5G 終端對醫(yī)院HIS、EMR 等資源的訪問中，對建立、交互、釋放全過程的安全保護。

目前，許多醫(yī)院的HIS 和EMR 等重要服務器資源存放在虛擬服務器中，由虛擬擴展局域網(wǎng)（Virtual eXtensible Local Area Network，VxLAN）構建基礎網(wǎng)絡，軟件定義網(wǎng)絡（Software Defined Network，SDN）動態(tài)管理，策略自動下發(fā)[6]。零信任的SDP 能與SDN 起到很好的互補效果。SDP 可以在動態(tài)的SDN 網(wǎng)絡下為終端建立細粒度的訪問控制，隱身非授權的資源，起到更好的安全防護效果。