摘  要： 物聯網技術在醫(yī)療領域的應用一直備受國內外的廣泛關注。而這一應用的前提是物聯網網絡在醫(yī)院安全、完整的敷設。著重介紹了物聯網網絡工程在我院的規(guī)劃設計及具體實施情況。
關鍵詞： 物聯網；AP；信道規(guī)劃；IP規(guī)劃；無線安全

1 項目背景
    浙江大學醫(yī)學院附屬第一醫(yī)院(浙江省第一醫(yī)院)系三級甲等綜合性醫(yī)院，是浙江省醫(yī)療、教學、科研指導中心之一。醫(yī)院現有職工3 780余人，其中高級職稱醫(yī)護專家430余人，有中國工程院院士2名、長江特聘教授2名、長江講座教授2名、“千人計劃”1名，國家杰出基金獲得者2名，求是特聘教授2名，占地面積150余畝，分為慶春、城站、大學路和良渚四個院區(qū)，核定床位2 500張。
    醫(yī)院設有傳染病診治國家重點實驗室、衛(wèi)生部多器官聯合移植研究重點實驗室、國家中醫(yī)藥科研三級實驗室（分子生物學、腎病、血液）等國家級實驗室，以及浙江省的40余個重點實驗室。近年來，醫(yī)院積極探索公立醫(yī)院改革之路借助主持的“十一五”重大科技攻關項目——“國家數字衛(wèi)生關鍵技術和區(qū)域示范應用研究”，構建“省、縣（區(qū)）、鄉(xiāng)三級醫(yī)療服務網絡”，成功使優(yōu)質醫(yī)療資源垂直延伸到基層。目前，醫(yī)院已擁有1家托管醫(yī)院、3家合作醫(yī)院、89家協(xié)作醫(yī)院及網絡服務單位和1家對口基層醫(yī)院，提供了上萬次的遠程會診服務。
    醫(yī)院敷設物聯網網絡，主要應用于藥品管理、遠程監(jiān)護和護理、輸液管理、移動護理、醫(yī)生電子病歷移動醫(yī)療、消毒供應中心質量追溯系統(tǒng)、醫(yī)療設備的跟蹤與管理、醫(yī)療垃圾的處理、醫(yī)療手術中的跟蹤監(jiān)控、血液制品的管理與監(jiān)控、病人的定位跟蹤及管理、醫(yī)院感染控制等各方面涉及醫(yī)療安全的物聯網應用。
    本項目工程主要覆蓋醫(yī)院本部1、2、3、5、6、7、9、10號樓及入院服務中心等樓的物聯網網絡。
2 基本概念
2.1 物聯網的概念
    所謂“物聯網”，即是指利用條碼、射頻識別(RFID)、紅外感應器、全球定位系統(tǒng)、激光掃描器等信息傳感設備，按約定的協(xié)議，完成任何物品間在任何時間、任何地點的連接，進行信息交換和通信，以實現智能化識別、定位、跟蹤、監(jiān)控和管理的一種網絡[1-2]。
2.2 物聯網在醫(yī)療領域的應用
    在醫(yī)療領域，物聯網在條碼化病人身份管理、移動醫(yī)囑、診療體征錄入、藥物管理、檢驗標本管理、病案管理數據保存及調用、護理流程、臨床路徑、傳染病感染等管理中，均能發(fā)揮重要作用[3]。例如：通過物聯網技術，可以將消毒器械包和手術器械包的名稱、品種、批次及清洗、滅菌、存儲、運輸等環(huán)節(jié)的有關時間、操作員、各種儀器的運作狀態(tài)等信息，都存于電子標簽中，當出現問題時可以追溯整個消毒清洗過程。
3 物聯網網絡工程的實施
    本物聯網網絡工程項目需要實現我院1、2、3、5、6、7、9、10號樓、入院服務中心等樓的全方位物聯網網絡的覆蓋。無線網絡解決方案基于802.11a/b/g傳輸標準，采取無線控制器加瘦AP的架構，所有AP都通過無線控制器進行統(tǒng)一管理，通過不同的服務集標識來定義各種結構。采用的物聯網無線設備為：物聯網控制器 WNAC9505-2臺，做雙機熱備。物聯網AP：WNDAP350-ER-258臺，WNDAP356-316臺。POE物聯網供電交換機：GA724TP-55臺。對于物聯網AP布線要求，由于物聯網AP集成了無線網（WIFI）與傳感網（RFID）功能，所以每個AP需要兩根網絡線，分別用于傳輸無線網與傳感網。
3.1 無線網絡規(guī)劃設計
    該無線網絡的主要目的是通過真實的使用環(huán)境和實際效果，來滿足和保證未來醫(yī)療網絡系統(tǒng)和資源有良好的使用感受。未來無線移動網絡在醫(yī)院病區(qū)的實際效果主要是應用于病區(qū)移動查房、移動護理、質量追溯、輸液管理、病區(qū)訂餐、心電數據回傳、物聯網等功能。作為有線網絡應用的補充方式，在每個區(qū)域使用的移動終端個數將在10~15個左右。如圖1所示。

3.1.1 WLAN AP部署設計
    該項目總共有582個物聯網AP。按照一棟大樓的WLAN AP部署方法，即要根據建筑樓層房間的分布基本一致性，充分利用無線信號對單體墻壁和天花板的信號穿透性，將WLAN AP交叉擺放，這樣可以充分利用上、下層AP穿越樓板的信號，以起到上下、左右間無線信號的互補和利用；既節(jié)省了WLAN建設成本，也最大化地有利于信號的充分覆蓋和利用。
    以6號樓B區(qū)的一層為例，根據建筑自身特點，為了保證每個房間的信號有效覆蓋，共部署了6個AP，以802.11a/n和g/n覆蓋區(qū)域信號最強化為目標，只有信號足夠強，無線高速率才有保證。
    在每個樓層的井道內，放置一臺NETGEAR GS724TP千兆802.3af POE交換機，提供6臺AP以太網線遠程供電和數據的傳輸；GS724TP的一個千兆端口通過以太網線上連至有線網絡內。
3.1.2 無線信道及漫游規(guī)劃
    雖然2.4 GHz~2.483 GHz之間的802.11標準的無線頻點有13個，但由于設計為相互重疊，所以只有3個不重疊頻點(一般設計工作在1、6、11這3個完全不重疊的頻點)，這樣使得頻點配置工程十分必要。合理地進行信道規(guī)劃，降低同頻干擾，同時樓層之間的泄漏信號干擾也要考慮在內。信道采用手動靜態(tài)設置。如圖2所示。

    漫游需求的規(guī)劃一是要確定漫游的范圍，二是要確保覆蓋范圍內無線信號的無縫覆蓋。
3.1.3 無線發(fā)射功率自動選擇及覆蓋故障自動修復
    AP在默認情況下，會按照相鄰AP的發(fā)射功率自動調節(jié)自身的發(fā)射功率，使之能實現相鄰AP間的全覆蓋。當其中1個AP發(fā)生故障不能正常工作時，與之相鄰的AP就會自動增強發(fā)射功能，從而彌補因為AP故障而導致的覆蓋缺失。
3.2 實施方案
3.2.1 物聯網整體網絡拓撲結構圖
    為了方便網絡管理、減輕有線網絡承載負擔，也為了避免當無線物聯網絡出現問題時累及有線網絡，有線網絡的匯聚交換與物聯網絡的匯聚交換機實現物理隔離。即有線網與物聯網各自單獨使用匯聚交換機，通過各自的匯聚交換機再與醫(yī)院的有線核心交換機相連。
    整體網絡拓撲圖如圖3所示。

3.2.2 IP地址的規(guī)劃
    AP的管理IP地址及RFID傳感網的管理IP地址在網絡中添加新的網段，按照網絡的IP規(guī)劃來給AP及RFID分配IP。保證AP及RFID獲取到的IP地址與AC、RFID獲取到的IP地址與AC、RFID服務器之間能夠三層可達。為了方便管理及安全考慮，采用固定IP地址的方式實現AC與AP、RFID與RFID服務器之間的三層部署。一幢樓啟用一個全新的VLAN。
    客戶端接入端IP規(guī)劃：每幢樓為一個接入單元，采用同一個SSID實現三層漫游，并采用動態(tài)IP分配方式。
3.3 無線與RFID安全接入規(guī)劃
    為了保證無線的安全接入，采用目前較為流行的MAC認證與WPA2認證結合的方式來確保無線網和傳感網的網絡安全。
3.3.1 MAC認證方式
    MAC地址認證是一種基于端口和MAC地址對用戶訪問網絡的權限進行控制的認證方法，它不需要用戶安裝任何客戶端軟件，AC控制器在首次監(jiān)測到用戶的MAC地址以后，即啟動對該用戶的認證操作。在控制器上設置白名單，把允許進入網絡的合法用戶列入名單中，而一旦發(fā)現有可疑的非法用戶，則將其列入黑名單。
3.3.2 WPA2認證方式
    無線數據的加密采用WPA2安全架構的AES-CCMP（高級加密標準-計數器模式密碼區(qū)塊鏈接消息身份驗證代碼協(xié)議）。CCMP采用AES加密模塊，AES既可以實現數據的機密性(加密)，又可以實現數據的完整性。這是在IEEE802.11i標準中指定的用于無線傳輸隱私保護的一個新辦法。AES-CCMP是面向大眾的最高級無線安全協(xié)議?？傮w來說，CCMP提供了加密、認證、完整性檢查和重放保護四重功能。CCMP使用128位AES加密算法實現機密性，使用其他CCMP協(xié)議組件實現其余3種服務。CCMP基于CCM方式，該方式使用了AES加密算法，所以AES-CCMP加密協(xié)議也稱AES-CCM加密協(xié)議。從名稱可以看出，CCM配備了兩種運算模式，即計數器模式和密碼區(qū)塊鏈信息認證模式，其中計數器模式用于數據流的加密/解密，而密碼區(qū)塊鏈信息認證碼模式用于身份認證及數據完整性校驗。CCM保護MPDU數據和IEEE802.11 MPDU幀頭部分域的完整性。AES定義在FIPS PUB197,所有在CCMP中用到的AES處理都使用一個128位的密鑰和一個128位大小的數據塊；CCM方式定義在RFC3610。CCM是一種通用模式，可以用于任意面向塊的加密算法。
    加密和認證可以相互結合，整體保證無線接入的安全性。
3.3.3 RFID安全性規(guī)劃
    因為RFID采用UDP發(fā)包方式，而且RFID芯片本身也具有加密功能，所以安全性得以保障。
    認證的流程可以分為以下幾個步驟：
    (1)應用程序通過RFID讀寫器向RFID電子標簽發(fā)送認證請求；
(上接第58頁)
    (2)RFID電子標簽收到請求后向讀寫器發(fā)送一個隨機數B；
    (3)讀寫器收到隨機數B后，向RFID電子標簽發(fā)送使用要驗證的密鑰加密B的數據包，其中包含了讀寫器生成的另一個隨機數A；
    (4)RFID電子標簽收到數據包后，使用芯片內部存儲的密鑰進行解密，解出隨機數B并校驗與之發(fā)出的隨機數B是否一致；
    (5)如果一致，則RFID使用芯片內部存儲的密鑰對A進行加密并發(fā)送給讀寫器；
    (6)讀寫器收到此數據包后，進行解密，解出A并與前述的A比較是否一致。
    物聯網技術在醫(yī)療領域的應用一直備受國內外的廣泛關注。本文詳細討論了物聯網在醫(yī)療領域應用的基礎架構——物聯網網絡工程的構建，及在我院的一個實施情況，借此能給兄弟醫(yī)院提供一個有益的參考。
參考文獻
[1] 馮杰，郗家貞.對物聯網組網架構的探究[J].信息與電腦，2010(8)：87.
[2] 李航，陳后金.物聯網的關鍵技術及應用前景[J].中國科技論壇，2011(1)：81-85.
[3] 俞磊，陸陽，朱曉玲，等.物聯網技術在醫(yī)療領域的研究進展[J].計算機應用研究，2012，29(1)：1-7.