一种医疗物联网中医疗设备与服务器隔离的安全网关的制作方法

本实用新型涉及网络安全技术领域，用于保障医疗物联网环境及医疗信息的安全，尤其是一种医疗物联网中医疗设备与服务器隔离的安全网关。

背景技术：

物联网是继计算机、互联网与移动通信网之后的世界信息产业第四次技术革命，指的是将各种信息传感设备，如射频识别 RFID 装置、红外感应器、全球定位系统、激光扫描器等种种装置与互联网结合起来而形成的一个巨大网络，目的是让所有的物品都与网络连接在一起，以便系统可以自动实时地对物体进行识别、定位、追踪、监控并触发相应事件。

现有技术物联网技术涉及到医疗领域的各个环节，从医疗信息化、传染源控制、医院急救、远程监护到家庭护理；从医疗设备管理、药品管理、血液管理到医疗废品的处理。然而，物联网环境下的医疗设备往往成为攻击者入侵医疗网络的切入点，从而侵害任意的医疗设备并在受保护的网络系统中建立后门，进而造成病人的医疗病历以及个人身份信息的泄露。为杜绝攻击者从医疗设备入侵，确保网管服务器的安全，设计一种医疗物联网中医疗设备与网管服务器隔离的安全网关将显得十分必要。

技术实现要素：

本实用新型的目的是针对现有技术的不足而提供的一种医疗物联网中医疗设备与网管服务器隔离的安全网关，将本实用新型设置在医疗物联网的网管服务器与医疗设备的传感子网之间，将传感子网与网管服务器隔离，以拦截攻击者，过滤非法数据，通过在安全规则配置与管理模块中设置医疗设备的IP地址、MAC地址及端口，则该医疗设备判定合法并允许网管服务器访问，从而实现杜绝攻击者从医疗设备入侵医疗物联网的目的，具有防止个人身份信息及病人医疗病历的泄露，确保网管服务器的安全等特点。

实现本实用新型目的的具体技术方案是：

一种医疗物联网中医疗设备与服务器隔离的安全网关，该网关包括千兆以太网接口模块、网络数据处理模块、安全规则配置与管理模块、时钟模块及电源模块，所述千兆以太网接口模块分别与网络数据处理模块、时钟模块及电源模块连接，作为医疗物联网传感子网与网管服务器之间网络数据交互的接口；网络数据处理模块分别与安全规则配置与管理模块、时钟模块及电源模块连接，对网络数据包进行处理，实现过滤，静态NAT，ARP代理；安全规则配置与管理模块分别与时钟模块及电源模块连接；对网关进行安全规则的配置，并对多个传感子网进行管理；时钟模块为各个模块提供参考时钟；电源模块为各个模块供电。

所述千兆以太网接口模块包括两路以太网接口，每路以太网接口包括一个RJ45插座和一片以太网PHY芯片，RJ45插座与以太网PHY芯片连接，两路以太网接口分别用于连接医疗物联网传感子网与网管服务器。

所述网络数据处理模块包括FPGA芯片及串行存储器EPCS64芯片，FPGA芯片与串行存储器EPCS64芯片连接；用于接收一路以太网接口的网络数据，在FPGA芯片中将网络数据处理之后从另一路以太网接口发送出去。

所述安全规则配置与管理模块包括ARM微处理器及存储器，ARM微处理器与存储器连接；在ARM微处理器上移植Linux操作系统并搭建Web服务器，实现对传感子网进行管理以及网关的安全规则配置。

本实用新型采用一片FPGA芯片及一片串行存储器EPCS64芯片构成网络数据处理模块，使得处理延时降低，处理性能提高，同时发挥了FPGA芯片逻辑控制对大量数据进行高速处理的优势，在安全规则配置与管理模块内设置了ARM微处理器，使得软件编程更为灵活。

本实用新型通过硬件的手段实现安全网关自身无MAC、IP地址，传感子网的医疗设备无法侦查到网管服务器的任何数据，实现了安全网关自身的透明性以及对外的不可见性。

将本实用新型连接医疗物联网的网管服务器与医疗设备的传感子网，通过本实用新型设计的安全规则配置与管理模块对连接的传感子网进行管理，方便网管服务器实时监控各个传感子网的状态。

将本实用新型设置在医疗物联网的网管服务器与医疗设备的传感子网之间，将传感子网与网管服务器隔离，以拦截攻击者，过滤非法数据，通过在安全规则配置与管理模块中设置医疗设备的IP地址、MAC地址及端口，则该医疗设备判定合法并允许网管服务器访问，从而实现杜绝攻击者从医疗设备入侵医疗物联网的目的，防止个人身份信息及病人医疗病历的泄露，确保网管服务器的安全。

附图说明

图1为本实用新型结构框图；

图2为本实用新型使用状态示意图。

具体实施方式

参阅图1，本实用新型包括千兆以太网接口模块1、网络数据处理模块2、安全规则配置与管理模块3、时钟模块4及电源模块5，所述千兆以太网接口模块1分别与网络数据处理模块2、时钟模块4及电源模块5连接，网络数据处理模块2分别与安全规则配置与管理模块3、时钟模块4及电源模块5连接，安全规则配置与管理模块3分别与时钟模块4及电源模块5连接。

所述千兆以太网接口模块1包括两路以太网接口，每路以太网接口包括一个RJ45插座11和一片以太网PHY芯片12，RJ45插座11与以太网PHY芯片12连接，两路以太网接口分别用于连接医疗物联网传感子网与网管服务器。

所述网络数据处理模块2包括FPGA芯片21及串行存储器EPCS64芯片22，FPGA芯片21与串行存储器EPCS64芯片22连接。

所述安全规则配置与管理模块3包括ARM微处理器31及存储器32，ARM微处理器31与存储器32连接。

实施例

参阅图2，为了防止攻击者以医疗设备的传感子网7作为切入点入侵医疗物联网，以窃取病人的医疗病历以及个人身份信息，甚至将其他医疗设备的传感子网7也置于网络危险的境地，采用在医疗物联网的网管服务器6与医疗设备的传感子网7之间设置本实用新型，本实用新型将传感子网7与网管服务器6隔离，以拦截攻击者，过滤非法数据，通过在安全规则配置与管理模块3中设置医疗设备的IP地址、MAC地址及端口，判定该医疗设备是否符合安全规则，确定是否允许网管服务器6访问，从而实现杜绝攻击者从医疗设备的传感子网7入侵医疗物联网的目的。

本实用新型的构成及各模块的作用：

参阅图1、图2，本实用新型由千兆以太网接口模块1、网络数据处理模块2、安全规则配置与管理模块3、时钟模块4及电源模块5构成，其中，以太网接口模块1内设有两个RJ45插座11及两片以太网PHY芯片12， RJ45插座11及以太网PHY芯片12连接构成两路以太网接口，分别用于连接医疗设备的传感子网7及网管服务器6。

网络数据处理模块2内设有一片FPGA芯片21及一片串行存储器EPCS64芯片22，FPGA芯片21用于接收一路以太网接口的网络数据，对网络数据进行过滤、NAT静态网络地址转换及ARP协议处理，经FPGA芯片21处理后从另一路以太网接口发送出去。

安全规则配置与管理模块3内设有一片基于ARM微处理器31及存储器32，通过在ARM微处理器31上移植Linux操作系统并搭建Web服务器，实现对医疗设备的传感子网7进行管理以及安全规则配置。

时钟模块4为千兆以太网接口模块1、网络数据处理模块2及安全规则配置与管理模块3提供时间。

电源模块5为千兆以太网接口模块1、网络数据处理模块2、安全规则配置与管理模块3及时钟模块4供电。

本实用新型是这样工作的：

a)、启动安全规则配置与管理模块3内的ARM微处理器31，通过在ARM微处理器31上移植Linux操作系统并搭建Web服务器，实现对医疗设备的传感子网7的IP地址、MAC地址、端口及ARP协议信息进行配置，并由存储器32存储。

b)、网络数据处理模块2读取安全规则配置与管理模块3中的安全规则，形成一个数据包，用以判定该医疗设备是否符合安全规则，确定是否允许与网管服务器6进行通信访问，并确认是否需要进行NAT静态网络地址转换。

c)、将本实用新型接入到对应的医疗设备的传感子网7与网管服务器6中。

d)、网管服务器6访问一个医疗设备的传感子网7时，网络数据处理模块2会将数据包中的源IP地址及目的IP地址，源MAC地址及目的MAC地址，源端口及目的端口与安全规则进行匹配。

e)、经安全规则配置与管理模块3中的ARM微处理器31判别，判断不符合安全规则的医疗设备，拦截并丢弃；符合安全规则的医疗设备，再对ARP协议进

行校验，再次符合，则放行，从而保证网管服务器6免受攻击。

本实用新型与数个传感子网7进行配置：

参阅图2，将本实用新型设置在医疗物联网的网管服务器6与医疗设备的传感子网7之间，当多台医疗设备的传感子网7处于同一网段时，本实用新型可通过交换机与该传感子网7的医疗设备进行连接，并接入同一个网管服务器6。