[发明专利]一种医疗物联网中医疗设备与服务器隔离的安全网关

说明书

技术领域

本发明涉及网络安全技术领域，用于保障医疗物联网环境及医疗信息的安全，尤其是一种医疗物联网中医疗设备与服务器隔离的安全网关。

背景技术

物联网是继计算机、互联网与移动通信网之后的世界信息产业第四次技术革命，指的是将各种信息传感设备，如射频识别 RFID 装置、红外感应器、全球定位系统、激光扫描器等种种装置与互联网结合起来而形成的一个巨大网络，目的是让所有的物品都与网络连接在一起，以便系统可以自动实时地对物体进行识别、定位、追踪、监控并触发相应事件。

现有技术物联网技术涉及到医疗领域的各个环节，从医疗信息化、传染源控制、医院急救、远程监护到家庭护理；从医疗设备管理、药品管理、血液管理到医疗废品的处理。然而，物联网环境下的医疗设备往往成为攻击者入侵医疗网络的切入点，从而侵害任意的医疗设备并在受保护的网络系统中建立后门，进而造成病人的医疗病历以及个人身份信息的泄露。为杜绝攻击者从医疗设备入侵，确保网管服务器的安全，设计一种医疗物联网中医疗设备与网管服务器隔离的安全网关将显得十分必要。

发明内容

本发明的目的是针对现有技术的不足而提供的一种医疗物联网中医疗设备与网管服务器隔离的安全网关，将本发明设置在医疗物联网的网管服务器与医疗设备的传感子网之间，将传感子网与网管服务器隔离，以拦截攻击者，过滤非法数据，通过在安全规则配置与管理模块中设置医疗设备的IP地址、MAC地址及端口，则该医疗设备判定合法并允许网管服务器访问，从而实现杜绝攻击者从医疗设备入侵医疗物联网的目的，具有防止个人身份信息及病人医疗病历的泄露，确保网管服务器的安全等特点。

实现本发明目的的具体技术方案是：

一种医疗物联网中医疗设备与服务器隔离的安全网关，该网关包括千兆以太网接口模块、网络数据处理模块、安全规则配置与管理模块、时钟模块及电源模块，所述千兆以太网接口模块分别与网络数据处理模块、时钟模块及电源模块连接，作为医疗物联网传感子网与网管服务器之间网络数据交互的接口；网络数据处理模块分别与安全规则配置与管理模块、时钟模块及电源模块连接，对网络数据包进行处理，实现过滤，静态NAT，ARP代理；安全规则配置与管理模块分别与时钟模块及电源模块连接；对网关进行安全规则的配置，并对多个传感子网进行管理；时钟模块为各个模块提供参考时钟；电源模块为各个模块供电。

所述千兆以太网接口模块包括两路以太网接口，每路以太网接口包括一个RJ45插座和一片以太网PHY芯片，RJ45插座与以太网PHY芯片连接，两路以太网接口分别用于连接医疗物联网传感子网与网管服务器。

所述网络数据处理模块包括FPGA芯片及串行存储器EPCS64芯片，FPGA芯片与串行存储器EPCS64芯片连接；用于接收一路以太网接口的网络数据，在FPGA芯片中将网络数据处理之后从另一路以太网接口发送出去。

所述安全规则配置与管理模块包括ARM微处理器及存储器，ARM微处理器与存储器连接；在ARM微处理器上移植Linux操作系统并搭建Web服务器，实现对传感子网进行管理以及网关的安全规则配置。

本发明采用一片FPGA芯片及一片串行存储器EPCS64芯片构成网络数据处理模块，使得处理延时降低，处理性能提高，同时发挥了FPGA芯片逻辑控制对大量数据进行高速处理的优势，在安全规则配置与管理模块内设置了ARM微处理器，使得软件编程更为灵活。

本发明通过硬件的手段实现安全网关自身无MAC、IP地址，传感子网的医疗设备无法侦查到网管服务器的任何数据，实现了安全网关自身的透明性以及对外的不可见性。

将本发明连接医疗物联网的网管服务器与医疗设备的传感子网，通过本发明设计的安全规则配置与管理模块对连接的传感子网进行管理，方便网管服务器实时监控各个传感子网的状态。

将本发明设置在医疗物联网的网管服务器与医疗设备的传感子网之间，将传感子网与网管服务器隔离，以拦截攻击者，过滤非法数据，通过在安全规则配置与管理模块中设置医疗设备的IP地址、MAC地址及端口，则该医疗设备判定合法并允许网管服务器访问，从而实现杜绝攻击者从医疗设备入侵医疗物联网的目的，防止个人身份信息及病人医疗病历的泄露，确保网管服务器的安全。

附图说明

图1为本发明结构框图；

图2为本发明使用状态示意图。

具体实施方式