VPN技术在医院网络建设中的应用及发展前景

摘要：本文对VPN(虚拟专用网)技术进行了简介，详细说明了VPN中采用的隧道技术及其在医疗信息网络中的应用；比较了VPN应用中常用的两种VPN技—IPSec VPN和SSL VPN。同时对VPN的优势及其特点进行了介绍。

关键词：VPN；虚拟专用网； 医院网络建设；IPSec；SSL

中图分类号：TP399

文献标识码：A

文章编号：1006-3315(2010)5-168-002

随着医院建设规模的不断扩大，许多医院都建立了分院区，形成了地理上比较分散的医院格局，由此引发很多问题，如不同院区之间如何安全地进行信息共享和交换；在外出差或学习的职工如何安全访问院内网络资源，进行远程办公等等。

虚拟专用网(VPN，Virtual Private Network)的出现，各分院区可以通过专线或拨号等通过公网实现连接。通过使用VPN技术构建远程虚拟专用网络，则可借助公共互联网，用更低的成本，更安全、更高效地将总院和各分院联结在—起。虚拟专用网是对原医院网的扩展，它可以帮助远程用户、分院间建立可信的安接，并保证数据的安全传输。虚拟专用网VPN正是满足这种要求的解决方案，它代表了internat发展的—个重要方向。

一、VPN简介

1.VPN概念

虚拟专用网(VPN，Virtual Private Network)不是真正的专用网络。却能够实现专用网络的功能。VPN是一种通过对网络数据进行加密和封装，在公网上传输私有数据，同时保证私有网络安全性的技术。它兼备了公网的便捷、经济和专用网的安全，实现了利用公网通过加密等手段来实现单位组织的“专用网”。

2.VPN工作原理

需要进行机密数据传输的两个端点均连接在公共通信网上，当需要进行机密数据传输时，通过端点上的VPN设备在公共网上建立一条虚拟的专用网络通道，并且所有数据均经过加密后再在公网上传输。这样就保证了机密数据的安全传输。

3.VPN的实现主要依赖两种技术：隧道技术与安全技术

3.1　隧道技术。对于构建VFN来说，隧道技术是VPN的关键技术，它是负责将待传输的原始信息经过加密、协议封装和压缩处理后，再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传送。只有该虚拟专用网络授权的用户才能对隧道中的数据包进行解释和处理，而其他用户则无法处理这些信息，从而保证VPN的远程用户或主机和专用网络的安全连接，该技术就像在公用网上为信息交换的双方开辟一条专有的、隐蔽的数据通道一样，隧道由一系列的协议组成。

3.2　安全技术。VPN中的安全技术通常由认证技术、加密技术及密钥交换与管理组成、认证技术防止数据的伪造和被篡改，加密技术防止数据被破译，密钥交换与管理保证了加密密钥的安全传递、VPN系统采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听，使分布在不同地方的专用网络能在不可信任的公共网络上安全地通信。

二、VPN主要技术分析

IPSec VPN、SSL VPN是目前使用主流的Internet远程安全接人技术，它们具有类似功能特性，但也存在很大不同。

IPSec协议(因特网安全协议)是网络层上为保障IP通信而提供的一系列协议族，针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计的一套隧道、加密和认证方案。SSL是保障在Internet上基于Web的通信安全而提供的协议。

从表1可以看出，IIX3EC和SSL VPN各有优缺点，互为补充，目前最好的方式是，采用IPSEC/SSL二合一的VPN安全网关设备，这样能够充分发挥IPSEC和SSL VPN各自的技术优势，而且一机二用，无需分别购买两种网关，节省投资。

三、VPNM网络的优点

1.降低组网费用：VPN利用了现有的Internet组建虚拟专网，不需要使用专用的线路就能实现数据安全的传输，提供了比其他通信方式更低廉的成本。

2.增强了安全性：安全是VPN技术的基础。由于使用了Internet作为连接链路的基础，通过Internet进行数据传送必须考虑由此产生的安全隐患。此VPN方案结合了多种安全技术，在隧道加密、接入用户身份验证、通道协议。

客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份咨询，客户机将加密的响应信息发送到VPN服务端，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问的权限，如果该用户有此权限，VPN服务器将接受此连接。在身份验证的过程中产生的客户机和服务器公有密匙将用来对数据进行加密处理。

3.便于统一管理：通过VPN能够对分散在各地的分院进行安全的统一管理与协调。

4.支持最常用的网络协议，基于IP、IPX、NETBUI协议的网络中的客户机都能很容易的使用VPN。

5.有利于IP地址的安全，VPN是加密的，VPN数据在internet中传输时，internet上的用户只能够看见公共的IP，看不到数据包内包含的专用网络地址。

四、VPN网络应用

现在绝大部分大型医院已使用适合自身情况的HIS系统，但是由于地域上的距离和网络发展的不平衡性，分院、社区服务中心、各医疗卫生分支部门等网络之间缺少互联互通，各网络信息资源不能共享及同步。造成了网络的割裂。目前很多医院采用租用DDN(数字数据网)专线的方案联接各自的分院来传递日常的门诊收费和住院信息。同样也采用专线的方案来联接医保中心传输医保信息，但是这样必然导致高昂的网络通讯及维护费用，而采用拨号线路进入医院局域网的方式又存在着速度慢、容量小、安全性差的弱点。医院信息建设网络化异地连通，不仅带来了管理和安全性的问题，还带来了组网的复杂性。

近年来，VPN以利用公网资源。建立安全、可靠、经济、高效的传输链路的特点引起了人们的广泛注意。在VPN技术的支持下，位于不同地点的医疗部门只需分别联人当地的internet就可以组成—个高效统一的虚拟专用网络。该网络的设计应充分利用现有internet的基础，并考虑到医疗业务及管理特点，对安全的要求主要是网络稳定性和数据安全性。因此，院内各部门之间使用局域网联接，院内与分院、社区卫生服务中心之间采用internet VPN的方式联接(如下图)。

通过这样的VPN连接，社区卫生服务站、分院都可以通过网络进行业务处理，使位于不同区域的服务站、分院感觉就像在同一个医院局域网中一样。这种VPN的应用也就是将医院的局域网扩展成城域网，同时是比较适合目前形势下医院信息化发展要求的。

VPN作为一种新型的网络技术，VPN产品从第一代：VPN路由器、交换机，发展到第二代的VPN集中器。性能不断得到提高，同时也为医院建设计算机网络提供了一种新的思路，可以通过在公共网络上建立虚拟的连接来传输私有数据，再用认证、加密等技术来保证数据的安全，这样不仅极大地降低了用于网络建设的费用，也提高了网络的安全性。

五、小结

目前，医院信息系统主要包括：医院管理信息HIS系统、医学影像PACS系统、联机检验LIS系统和医院数字图书资料数据库系统等。随着医疗体制的改革，分院、杜区卫生服务中心等远距离部门归属整个医院的医疗体系，形成许多远程医疗管理和业务问题。医院迫切需要解决远程联网的技术问题，帮助它们加快信息化建设的步伐，推动医院MIS系统的建设。VPN技术的运用，使具有多个远程分支医疗机构的医院利用公用网络作为其联网的手段，投入少量的资金，便拥有一个安全的、完全专有的适合医院特色的医疗网络。由此可见，随着加密技术的发展和服务质量的完善，VPN技术将在医疗领域的组网中发挥越来越重要的作用。