【導讀】第1章XX醫(yī)院WLAN應用需求以及智博通醫(yī)療解決方案優(yōu)勢..............3. 增強無線網(wǎng)絡吞吐量的智博通5G優(yōu)先技術...............31. 隨著醫(yī)院網(wǎng)絡信息化的普及，以及無線技術的大力發(fā)展，在醫(yī)療行業(yè)各種無。線終端迅速普及，比如PDA移動醫(yī)護終端、Wifi無線電話、無線平板電腦、無。線條碼掃描槍、WifiRFID標簽等，醫(yī)護人員越來越要求盡可能方便、快速、移。動式的使用網(wǎng)絡，通過移動終端便捷地在病區(qū)進行移動查房、移動護理、輸液管。理、病區(qū)訂餐、心電數(shù)據(jù)回傳等服務。醫(yī)療人員可以大大節(jié)省時間、提高工作效

　　

【正文】 國醫(yī)療行業(yè)無線局域網(wǎng)部署規(guī)程，也 沒有對國外的相關標準進行認可。受中華人民共和國衛(wèi)生部醫(yī)院管理研究所和中國醫(yī)院協(xié)會信息管理專業(yè)委員會的委托，由中日友好醫(yī)院和智博通系統(tǒng) (中國 )網(wǎng)絡技術有限公司聯(lián)合組成了無線局域網(wǎng)對醫(yī)療設備潛在干擾測試研究。測試研究結果表明：在正確部署符合國家無線核準標準的無線局域網(wǎng)時，未發(fā)現(xiàn)無線局域網(wǎng)對已測試的醫(yī)療設備產(chǎn)生不良干擾。根據(jù)測試過程和結果，制定了《醫(yī)院無線局域網(wǎng)部署規(guī)程（草案）》。 智博通無線網(wǎng)絡贏得美國醫(yī)院協(xié)會的認可，該協(xié)會有５０００多家會員醫(yī)院，他們對各家無線產(chǎn)品進行測試后，智博通無線網(wǎng)絡憑借卓越的安全性、可 靠性、業(yè)界領先的客戶支持以及對醫(yī)院環(huán)境適應的總體部署戰(zhàn)略脫穎而出，成為獨家認可的無線網(wǎng)絡解決方案。 根據(jù)中國國家無線電管理委員會的規(guī)定，在部署無線網(wǎng)絡信號輻射不得超過100mw，以避免 和 5GHz 對人體的影響。同樣的原因，在通常情況下，終端使用 5mw 左右的發(fā)射功率，以避免大功率長期輻射對人體的影響。無線接入點即 AP 隨著終端和 AP 之間的信號的強弱， AP 和終端會自動協(xié)商根據(jù)信號的衰減程度，自動降低傳輸速率和增大傳輸功率。 本次 無線系統(tǒng)部署的型號統(tǒng)一都根據(jù)國家規(guī)定最大為 100mw，功率智能調節(jié)。 智博通最低 無線發(fā)射功率可以調到 1mw。個別廠家使用大功率放大器結合天饋系統(tǒng)的方式，實際上無線發(fā)射功率高達 12W，這種方式?jīng)]有遵循國家無委會對無線局域網(wǎng)絡設備 100mw 要求，存在巨大的風險。 方便部署的無線信道和功率自動調整 RRM 技術 對于 系統(tǒng)，我們知道可用的不重疊的信道只有 3 個，分別是 11，見下圖 如果只有 頻點進行部署，那么建議信道規(guī)劃形式如下圖所示，蜂窩間的重疊不得小于 20% 對于 5G 頻段范圍，有多達 20 多個可用頻點，其規(guī)劃方法可以類似于 進行蜂窩 系統(tǒng)的規(guī)劃方法，當然同時我們也需要考慮 3 維的設計覆蓋，如下圖所示 在中國只有 5 個不重疊信道可用，分別是 Channel 14 15 15 16165，但對于大多無線設備廠商來說，在 的信道上只支持前 4 個信道。 所以要求，信道間必須進行合理分配，最大化避免同信道沖突。 智博通的無線網(wǎng)絡通過 RRM( Radio Resource Management)自動調整 AP的工作信道和功率 , 這樣省掉了手工配置 AP 信道和功率的繁瑣步驟 , 大大簡化了無線網(wǎng)絡的實施。同時在無線網(wǎng)絡發(fā)生 故障時 , 相鄰 AP 能自動增加發(fā)生功率 , 彌補無線覆蓋盲區(qū)。 高安全的智博通無線網(wǎng)絡 由于無線信號的空間泄漏特性，以及 技術的普及，隨之而來的無線網(wǎng)絡安全問題也被廣大用戶普遍關注。如何在保證 的高帶寬，便利訪問的同時，增加強有力的安全特性？業(yè)界的廠商紛紛研究發(fā)展了 技術，增強了無線局域網(wǎng)安全的各個方面，并促成了諸如 ， ，WPA/WPA2 等標準的誕生，以及后續(xù)標準（如 ）的制定。 智博通在無線局域網(wǎng)安全技術和標準制定方面，扮演了極 為重要的角色，是 ，并在無線安全標準工作組中占據(jù)領導地位。 與其他網(wǎng)絡一樣， WLAN 的安全性主要集中于訪問控制和隱私保護。健全的WLAN 訪問控制――也被稱為身份驗證――可以防止未經(jīng)授權的用戶通過接入點收發(fā)信息。嚴格的 WLAN 訪問控制措施有助于確保合法的客戶端基站只與可靠的接入點――而不是惡意的或者未經(jīng)授權的接入點――建立聯(lián)系。 WLAN 隱私保護有助于確保只有預定的接收者才能了解所傳輸?shù)臄?shù)據(jù)。在數(shù)據(jù)通過一個只供數(shù)據(jù)的預定接收者使用的密鑰進行加密時，所傳輸?shù)?WLAN 數(shù) 據(jù)的隱私才視為得到了妥善保護。數(shù)據(jù)加密有助于確保數(shù)據(jù)在收發(fā)傳輸過程中不會遭到破壞。 但是，無線局域網(wǎng)的安全并不僅僅局限于接入認證和數(shù)據(jù)加密。無線接入設備 AP 的物理安全性， AP 連接到有線網(wǎng)絡交換機的安全認證，基于無線訪問位置的物理防護手段，如何避免攻擊，如何快速發(fā)現(xiàn)非法 /假冒 AP，對一個網(wǎng)絡系統(tǒng)來講也是十分重要的。 同時，隨著最新的無線安全技術的發(fā)展，新的 標準也被提上了議事日程， 是對無線信號的管理幀進行安全管理的一種標準，智博通已經(jīng)在無線網(wǎng)絡接入點和控制器以及 CCX 的計劃上支持了 MFP。 在部署 Mesh 網(wǎng)絡的時候，由于所有信令和數(shù)據(jù)的傳輸都是通過 的Backhaul 進行回傳，那么對于 11a 上的數(shù)據(jù)加密也是我們需要關心的安全問題。 智博通無線網(wǎng)絡的解決方案支持高效、多級別、多種類、多級的認證方式和加密技術，具體如下： ? 無線終端用戶的用戶認證（用戶名 /密碼，數(shù)字證書） ? 無線終端用戶的數(shù)據(jù)加密（ WEP， TKIP， AES） ? 無線接入點的接入認證 ? 無線控制幀的安全管理（ MFP） ? 基于 27 層內容的入侵檢測系統(tǒng)（無線 IPS、 IDS 系統(tǒng)） ? 支持精確的非法 AP 定位和隔離 ? 射頻干擾的檢測和 辨別 ? 終端的安全接入保證（ NAC） ? Mesh 回傳鏈路數(shù)據(jù)的安全加密 ? 終端快速、安全漫游機制的實現(xiàn)（ CCKM） ? 獨特的訪客隔離機制，保證跨地區(qū)漫游用戶與無線網(wǎng)內部用戶的隔離。將訪客和無線網(wǎng)絡完全邏輯隔離，在允許訪客跨地區(qū)無線網(wǎng)絡漫游訪問互聯(lián)網(wǎng)的同時保證內部無線用戶的安全 ? 網(wǎng)絡的安全管理 所以，智博通提供了基于有線無線集成的統(tǒng)一的端到端的安全架構，系統(tǒng)構架如下 Secure W irele ss S olu tio n A r chi tect ureW C SCS MA R SA S A 5 5 0 0 w / I PS Mo d u l eIn t e r n e tEn te r p r i s eG u e s t A n c h o r C o n tr o l l e rNAC A p p l i a n c eNAC Ma n a g e rG u e s tSSCW PA 28 0 2 . 1 X MF PC SA Se r v e rC i s c o Se c u r i ty A g e n tTrustedUntrustedWirelessWiredPublic? Host in t r u sio n p r e ve n tio n? E n d p o i n t m a l w a r e m itiga tio nEn d p o i n t Pr o te c ti o n? Device p o stu r e a sse ssm e n t ? D y n a m ic, r o l e b a se d n e t wor k a cce s s a n d m a n a g e d co n n e ctivit y? W L A N th r e a t m itiga tio n w ith IP S / I DST ra ff i c a n d Ac c e s s C o n tro l? S tr o n g u se r a u t h e n ti ca tio n? S tr o n g t r a n sp o r t e n cr y p ti o n? RF M o n ito r ing? S e cu r e G u e st A cc e ssW L AN S e c u ri ty F u n d a m e n ta l s 下面我們詳細討論智博通無線安全系統(tǒng)在各方面的實現(xiàn)情況， 用戶的認證和加密 WLAN可能會遭受多種類型的攻擊。智博通無線網(wǎng)絡系統(tǒng)在使用 、TKIP 或 AES 時，可以防止網(wǎng)絡遭受多種網(wǎng)絡攻擊的影響。如下表所示： 新的安全技術有助于制止網(wǎng)絡攻擊 攻擊類型 安全改進 身份驗證： 開放 身份驗證： 智博通 LEAP，EAPFAST， EAPTLS 或身份驗證： 智博通 LEAP，EAPFAST， EAPTLS 或者加密： 靜態(tài)WEP 者 PEAP 加密： 動態(tài) WEP PEAP 加密： TKIP/MIC， AES 中間人 不安全 不安全 安全 身份偽裝 不安全 安全 安全 薄弱 IV攻擊（ AirSnort） 不安全 不安全 安全 分組偽裝（重復攻擊） 不安全 不安全 安全 暴力攻擊 不安全 安全 安全 字典攻擊 不安全 安全 安全 在現(xiàn)有的無線網(wǎng)絡數(shù)據(jù)加密技術中，除了要考慮加密算法外，還應當考慮傳輸密鑰的管理。智博通已經(jīng)在產(chǎn)品方案上實施了 TKIP/AES 加密技術，可以有效改善無線鏈路的通訊安全。 TKIP 主要包括兩個關鍵的對 WEP 的增強部分： 1，在所有 WEP 加密的數(shù)據(jù)包上采用報文完整性檢測 (MIC) 功能，以更有效的保證數(shù)據(jù)幀的完整性； 2，針對所有的 WEP 加密的包實行 基于每個數(shù)據(jù)包密匙的方式。 MIC 主要是用來改善 低效率 的 Integrity check function (ICV)，主要解決兩個主要的不足： MIC 對每個無線數(shù)據(jù)幀增加序列號，而 AP 將丟棄順序錯誤的幀；另外在無線幀上增加 MIC 段， MIC 段則提供了更高量級的幀的完整性檢查。 有很多報告顯示 WEP 密匙方式的弱點，報告了 WEP 在數(shù)據(jù)私密和加密上的很低功效性。在 的重認證中采用 WEP 密匙旋轉的辦法可以減輕可能經(jīng)受的網(wǎng)絡攻擊，但沒有根本解決這些問題。 的標準中 WEP 增強機制已經(jīng)采納了針對每個分組的 WEP 密匙。并且這些技術已經(jīng)在 zbt 的 WLAN 設備 中得以實施。 AES 是一種旨在替代 TKIP 和 WEP 中使用的 RC4 加密的加密機制。 AES 不存在任何已知攻擊，而且加密強度遠遠高于 TKIP 和 WEP。 AES 是一種極為安全的密碼算法，目前的分析表明，需要 2 的 120 次方次計算才能破解一個 AES 密鑰――還沒有人真正做到這一點。 AES 是一種區(qū)塊加密法。這是一種對稱性加密方法，加密和解密都使用同一個密鑰，而且使用一組固定長度的比特――即所謂的“區(qū)塊”。與使用一個密鑰流對一個文本數(shù)據(jù)輸入流進行加密的 WEP 不同， AES 會獨立地加密文本數(shù)據(jù)中的各個區(qū)塊。 AES 標準規(guī)定了三種可 選的密碼長度（ 12 192 和 256 比特），每個AES 區(qū)塊的大小為 128 比特。 WPA2/ 使用 128 比特密鑰長度。一輪WAP2/ AES 加密包括四個階段。對于 WPA2/，每輪會重復 10 次。 為了保護數(shù)據(jù)的保密性和真實性， AES 采用了一種名為CounterMode/CBCMac (CCM)的新型結構模式。 CCM 會在 Counter 模式（ CTR）下使用 AES，以保護數(shù)據(jù)保密性，而 AES 采用 CBCMAC 來提供數(shù)據(jù)完整性。這種對兩種模式（ CTR 和 CBCMAC）使用同一個 密鑰的新型結構模式已經(jīng)被 NIST（特殊聲明 80038C）和標準化組織（ IETF RFC3610）所采用。 CCM 采用了一種 48 比特的 IV。與 TKIP 一樣， AES 使用 IV 的方式與 WEP 加密模式有所不同。在 CCM 中， IV 被用作用于制止重復攻擊的加密和解密流程的輸入信息。而且，因為 IV 空間被擴展到 48 比特，發(fā)生一次 IV 沖突所需的時間會以指數(shù)形式增長。這可以提供進一步的數(shù)據(jù)保護。 由于 WEP 與 TKIP 均采用統(tǒng)一加密算法 RC4 算法實現(xiàn)，可不幸的是， RC4 算法已經(jīng)被破解，雖然 TKIP 依然采用了動態(tài)密鑰交換技術，但是 由于算法的破解，TKIP 還是可以破解，只是相對 WEP 破解難度稍大。 目前足夠強壯和安全的算法只有 AES，所以對于網(wǎng)絡要求極高的用戶，強烈建議采用 AES 的方式進行加密。由于 AES 算法的嚴密性和強壯性，他對設備的消耗極大，所以我們也必須考慮到 AES 對于設備和系統(tǒng)的消耗，在設備選用時，需要完全考慮 AES 加密后的轉發(fā)性能。 無線接入點的接入認證 在集中化無線網(wǎng)絡架構下，無線控制器完全控制和管理無線接入點，那么無線接入點是否為一個合法接入網(wǎng)絡的設備值得我們探討。 如上面的圖例所示，智博通無線控制器和無線接入點系統(tǒng) 中，都內嵌了 證書，通過證書，無線控制器和無線接入點之間可以互相認證對方的合法性，保證網(wǎng)絡中的設備的合法性。 Camp u s Net w o rkA u t ho ri z e dU s e rs / D e v i c e sAAA / DHCP 除此之外，智博通還能提供關于 AP接入點更高級的特征 AP的 。如上圖所示，無論是最終用戶或者是智博通的輕量級 AP 都可以通過 的方式進行認證接入，智博通的輕量級 AP 設備可做為 的被認證點，通過在后臺 AAA 服務器內用戶名和密碼的比對，有線交換機決定允不允許開放連接 AP 的交換機端口。這樣，可以更進一步的