基于單包授權(quán)的零信任架構(gòu)下5G+醫(yī)療的網(wǎng)絡(luò)安全研究*

章 俊，張雨恬，胡少文

（1.南昌大學(xué)第一附屬醫(yī)院，江西 南昌 330006；2.江西中醫(yī)藥大學(xué)附屬醫(yī)院，江西 南昌 330004；3.江西省科技基礎(chǔ)條件平臺(tái)中心，江西 南昌 330003）

0 引言

隨著5G 應(yīng)用的發(fā)展，5G 技術(shù)賦能醫(yī)療行業(yè)受到越來(lái)越多的關(guān)注，它對(duì)加快健康中國(guó)建設(shè)和推動(dòng)醫(yī)療健康產(chǎn)業(yè)發(fā)展起到重要的支撐作用。如今在開(kāi)展5G 院前急救和5G 影像診斷應(yīng)用的同時(shí)，易忽視5G 技術(shù)帶來(lái)的新的網(wǎng)絡(luò)安全威脅。5G 網(wǎng)絡(luò)使得醫(yī)院原有的物理邊界日益模糊和難以固化，因此以邊界防護(hù)為中心的傳統(tǒng)安全架構(gòu)凸顯出巨大的局限性。除此之外，5G 技術(shù)具有的高帶寬、低時(shí)延和廣連接等特性使得黑客更加便利地開(kāi)展分布式攻擊。

近年來(lái)，隨著醫(yī)院信息化的發(fā)展，醫(yī)院的信息資源逐漸走進(jìn)了黑客攻擊的視野。不少大型醫(yī)院曾遭遇過(guò)黑客的勒索攻擊。因醫(yī)療行業(yè)有著其業(yè)務(wù)的獨(dú)特性，所以醫(yī)院的網(wǎng)絡(luò)安全問(wèn)題成為學(xué)者和工程師的研究方向，而5G+醫(yī)療的安全研究也勢(shì)必成為網(wǎng)絡(luò)安全的一個(gè)子方向。因此本文基于零信任架構(gòu)，通過(guò)單包授權(quán)的敲門驗(yàn)證機(jī)制，以期解決5G 技術(shù)帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題。

1 5G 帶來(lái)的網(wǎng)絡(luò)安全隱患

近年來(lái)，各大醫(yī)院如火如荼地開(kāi)展5G+醫(yī)療的試點(diǎn)，并且取得了不少新穎的案例。醫(yī)院通過(guò)5G醫(yī)療專網(wǎng)可以更加便捷、更加智慧地開(kāi)展醫(yī)療服務(wù)和醫(yī)療管理，提升患者的就醫(yī)體驗(yàn)。然而這種新的模式帶來(lái)了新的隱患。

1.1 網(wǎng)絡(luò)邊界模糊

醫(yī)院內(nèi)部的網(wǎng)絡(luò)與5G 網(wǎng)絡(luò)對(duì)接后，醫(yī)院傳統(tǒng)的邊界安全防護(hù)隨即土崩瓦解。5G 網(wǎng)絡(luò)的介入將給醫(yī)院的網(wǎng)絡(luò)安全帶來(lái)前所未有的挑戰(zhàn)。醫(yī)院的網(wǎng)絡(luò)不再局限于互聯(lián)網(wǎng)邊界或?qū)＞€邊界（如醫(yī)保、銀聯(lián)專線），而是被5G 基站gNodeB 無(wú)限延伸了，如圖1 所示。為了節(jié)省投資，一般情況下5G 醫(yī)院專網(wǎng)建設(shè)會(huì)與公網(wǎng)共享gNodeB，甚至共享5G 用戶面功能網(wǎng)元（User Plane Function，UPF）、5G核心網(wǎng)控制面網(wǎng)元（5G Core-Control Plane，5GCCP）、統(tǒng)一空間模型（Unified Dimensional Model，UDM）、移動(dòng)邊緣計(jì)算（Mobile Edge Computing，MEC）等。這使得醫(yī)院網(wǎng)絡(luò)邊界變得日益模糊，從有邊界的網(wǎng)絡(luò)變成了無(wú)邊界的網(wǎng)絡(luò)。

圖1 5G+醫(yī)療網(wǎng)絡(luò)拓?fù)?/p>

1.2 準(zhǔn)入系統(tǒng)的局限性

目前，許多醫(yī)療終端（如床旁心電圖、移動(dòng)推車）不支持5G 模組，不能直接通過(guò)5G 信號(hào)接入網(wǎng)絡(luò)，必須通過(guò)客戶前置設(shè)備（Customer Premise Equipment，CPE）將接收到的5G 信號(hào)轉(zhuǎn)換成Wi-Fi的形式供終端接入。與此同時(shí)，CPE 設(shè)備充當(dāng)了接入層面的代理網(wǎng)關(guān)，將終端IP 地址進(jìn)行了一次地址轉(zhuǎn)換（Network Address Translation，NAT），如圖2 所示。然而，傳統(tǒng)的準(zhǔn)入系統(tǒng)通過(guò)802.1x 等協(xié)議，常以IP 地址+物理地址（Media Access Control Address，MAC）的方式認(rèn)證合法終端，因此該方式只能對(duì)CPE 設(shè)備準(zhǔn)入，無(wú)法有效管控到CPE 轉(zhuǎn)換后接入的終端。CPE 發(fā)出的Wi-Fi 信號(hào)很容易被不法分子惡意利用來(lái)非法接入醫(yī)院內(nèi)網(wǎng)，竊取醫(yī)療信息。傳統(tǒng)的終端安全準(zhǔn)入系統(tǒng)不再具備完全控制終端安全接入的能力。5G 網(wǎng)絡(luò)的應(yīng)用，使醫(yī)院網(wǎng)絡(luò)暴露了嚴(yán)重的安全隱患。

圖2 CPE 設(shè)備信號(hào)轉(zhuǎn)換

5G 注冊(cè)流程中，通過(guò)5G-全球唯一臨時(shí)UE 標(biāo)識(shí)（5G-Globally Unique Temporary UE Identity，5G-GUTI）和終端標(biāo)識(shí)（Permanent Equipment Identifier，PEI）來(lái)驗(yàn)證身份的合法性。同時(shí)，通過(guò)簽約的數(shù)據(jù)網(wǎng)絡(luò)名稱（Data Network Name，DNN）將會(huì)話錨定在5G 醫(yī)療專網(wǎng)上。5G-GUTI 和DNN 是基于用戶識(shí)別卡（Subscriber Identity Module，SIM）上簽約的信息。在使用CPE的場(chǎng)景下，這張5G SIM 卡插在CPE 設(shè)備上，驗(yàn)證的終端標(biāo)識(shí)也同樣是CPE的PEI。因此，在5G 網(wǎng)絡(luò)的注冊(cè)流程中，接入授權(quán)也無(wú)法有效管控CPE 轉(zhuǎn)換后接入的終端。

2 零信任安全體系架構(gòu)

如何解決5G 網(wǎng)絡(luò)帶來(lái)的安全隱患成為5G+醫(yī)療試點(diǎn)過(guò)程中不容忽視的難題。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）在2019 年發(fā)布了零信任架構(gòu)（Zero Trust Architecture，ZTA）標(biāo)準(zhǔn)草案[1]，其“永遠(yuǎn)不信任”的思想可以解決5G 帶來(lái)的網(wǎng)絡(luò)安全隱患。ZTA 打破了傳統(tǒng)的基于網(wǎng)絡(luò)邊界防護(hù)的思路，不再是在邊界上配置訪問(wèn)控制列表（Access Control Lists，ACL）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）、網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)（Web Application Firewall，WAF）等安全防護(hù)設(shè)備，而是基于身份的細(xì)粒度安全訪問(wèn)。5G 技術(shù)給醫(yī)院網(wǎng)絡(luò)安全帶來(lái)的首要問(wèn)題就是，網(wǎng)絡(luò)邊界模糊導(dǎo)致傳統(tǒng)邊界防護(hù)方式失效。ZTA 技術(shù)恰好解決了該問(wèn)題。與此同時(shí)，基于身份的動(dòng)態(tài)授權(quán)和持續(xù)評(píng)估可以打破傳統(tǒng)的基于IP 和MAC 地址等方式的局限性，解決經(jīng)CPE 設(shè)備轉(zhuǎn)換后，終端無(wú)法有效準(zhǔn)入的問(wèn)題，從而有效地保護(hù)了醫(yī)院關(guān)鍵性資源，如醫(yī)院信息系統(tǒng)（Hospital Information System，HIS）服務(wù)器和電子病歷（Electronic Medical Record，EMR）數(shù)據(jù)庫(kù)等。

為解決5G網(wǎng)絡(luò)在醫(yī)院內(nèi)部試點(diǎn)中的安全隱患，本文在醫(yī)院內(nèi)部搭建零信任架構(gòu)平臺(tái)。該平臺(tái)作為5G 網(wǎng)絡(luò)非信任區(qū)域通往醫(yī)院信任區(qū)域的橋梁，負(fù)責(zé)終端的訪問(wèn)授權(quán)和流量的代理轉(zhuǎn)發(fā)。ZTA 可分為用戶平面和控制平面，如圖3 所示。用戶平面包括策略執(zhí)行點(diǎn)（Policy Enforcement Point，PEP），它負(fù)責(zé)終端訪問(wèn)醫(yī)院內(nèi)部資源（如HIS、EMR）連接的建立、監(jiān)控和釋放，相當(dāng)于代理網(wǎng)關(guān)。控制平面作為安全大腦，是客戶端訪問(wèn)資源的持續(xù)信任評(píng)估和策略決策點(diǎn)?？刂泼鎻倪壿嬌峡煞譃椴呗砸妫≒olicy Engine，PE）和策略管理（Policy Administrator，PA）[2]。PE 負(fù)責(zé)決策授予終端的資源訪問(wèn)權(quán)限，不同的身份被授予不同的權(quán)限范圍。PE 可將威脅情報(bào)分析、安全事件分析、行業(yè)合規(guī)和身份管理系統(tǒng)等信息作為信任算法的輸入，從而輸出對(duì)客戶端主體的授予、拒絕或撤銷。而PA 通過(guò)下發(fā)指令至PEP 來(lái)建立和關(guān)閉終端與資源之間的通信。PA 生成基于會(huì)話的身份驗(yàn)證票據(jù)，作為客戶端訪問(wèn)醫(yī)院資源的有效憑證。如果會(huì)話被授權(quán)并且請(qǐng)求被認(rèn)證，則PA 配置PEP 對(duì)會(huì)話放通，否則PA 向PEP 發(fā)出指令關(guān)閉連接。

圖3 基于零信任的醫(yī)院5G 網(wǎng)絡(luò)安全架構(gòu)

3 零信任關(guān)鍵技術(shù)——單包授權(quán)

ZTA的最佳實(shí)踐方式為軟件定義邊界（Software Defined Perimeter，SDP）[3]。SDP的核心思想就是打破傳統(tǒng)以邊界防護(hù)為中心的思路，建立基于身份、運(yùn)行環(huán)境和上下文信息的授權(quán)訪問(wèn)機(jī)制。SDP 只允許授權(quán)的數(shù)據(jù)包通過(guò)，對(duì)于非授權(quán)的數(shù)據(jù)包默認(rèn)丟棄。它不同于傳統(tǒng)交互機(jī)制，通過(guò)Internet 控制報(bào)文協(xié)議（Internet Control Message Protocol，ICMP）返回拒絕消息，而拒絕消息響應(yīng)往往就是攻擊者的利用點(diǎn)。SDP 默認(rèn)丟棄非授權(quán)數(shù)據(jù)包的機(jī)制使得非授權(quán)的客戶端無(wú)法感知到有效IP 和端口的存在，實(shí)現(xiàn)了網(wǎng)絡(luò)隱身，起到了保護(hù)醫(yī)院內(nèi)部重要資源的作用。

SDP 中的關(guān)鍵技術(shù)是單包授權(quán)（Single Packet Authorization，SPA）協(xié)議[4]，它作為端口敲門的演進(jìn)協(xié)議，其核心思路是客戶端只有通過(guò)單個(gè)數(shù)據(jù)包敲門認(rèn)證成功后，才被授權(quán)建立安全連接，否則默認(rèn)丟棄所有請(qǐng)求包。SPA 實(shí)現(xiàn)了先認(rèn)證成功后再建立網(wǎng)絡(luò)連接的安全性保障。

3.1 SPA 機(jī)制

SPA 將所有必要的身份信息組合起來(lái)[5]，通過(guò)Hash算法將組合的信息進(jìn)行編碼，并將編碼結(jié)果打包進(jìn)一個(gè)數(shù)據(jù)包中，作為SPA 端口敲門的認(rèn)證請(qǐng)求信息。為了保障網(wǎng)絡(luò)的安全，敲門的數(shù)據(jù)包通常為用戶數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol，UDP），而非傳輸控制協(xié)議（Transmission Control Protocol，TCP），所有的TCP 端口默認(rèn)都是關(guān)閉狀態(tài)。這些必要的信息集合可以由客戶端IP、口令、時(shí)間戳（防止重放攻擊）或其他的有效信息組合而成，如表1 所示。Hash算法可以是消息摘要算法第五版（Message-Digest Algorithm 5，MD5）、安全哈希算法（Secure Hash Algorithm，SHA）等摘要算法，帶上了時(shí)間戳后，每次請(qǐng)求的Hash 編碼值都是不同的，從而確保每次訪問(wèn)都需要經(jīng)過(guò)授權(quán)認(rèn)證。

表1 SPA 信息組合簡(jiǎn)單示例

表1 為SPA 數(shù)據(jù)包的簡(jiǎn)單舉例。文獻(xiàn)[4]描述了SPA的UDP 報(bào)文中包含加密的認(rèn)證憑據(jù)和消息摘要，而消息摘要是將加密后的認(rèn)證憑據(jù)再進(jìn)行Hash 編碼。通過(guò)SPA 敲門認(rèn)證，實(shí)現(xiàn)了流量身份化。

SDP 控制器會(huì)同步客戶端的相關(guān)算法。在收到SPA的敲門認(rèn)證請(qǐng)求消息后，SDP 控制器解碼該Hash 值并驗(yàn)證。如果驗(yàn)證合法的訪問(wèn)則暫時(shí)開(kāi)放相應(yīng)的TCP 業(yè)務(wù)端口，并返回授權(quán)策略和對(duì)應(yīng)的SDP網(wǎng)關(guān)信息給客戶端；如果身份驗(yàn)證未通過(guò)，則直接丟棄請(qǐng)求包。SDP 控制器同時(shí)將合法的客戶端身份信息和授權(quán)策略發(fā)給SDP 網(wǎng)關(guān)。客戶端將攜帶授權(quán)信息，向SDP 網(wǎng)關(guān)發(fā)送訪問(wèn)請(qǐng)求。SDP 網(wǎng)關(guān)將通過(guò)SDP 控制器收到的身份信息和授權(quán)，來(lái)驗(yàn)證客戶端發(fā)送的請(qǐng)求，如驗(yàn)證通過(guò)則建立安全的TCP 連接，整個(gè)SPA 端口敲門過(guò)程如圖4 所示。

圖4 SPA 端口敲門流程

SPA 敲門驗(yàn)證過(guò)程的優(yōu)勢(shì)在于：

（1）遵守最小授權(quán)原則：對(duì)客戶端的訪問(wèn)授權(quán)只會(huì)開(kāi)放相應(yīng)資源的相關(guān)端口，非必要的訪問(wèn)端口保持關(guān)閉，實(shí)現(xiàn)了最小授權(quán)的訪問(wèn)原則。

（2）形成微隔離：由于客戶端只能由授權(quán)建立的TSL 連接來(lái)訪問(wèn)相關(guān)資源，邏輯上與其他客戶端形成了微隔離。

（3）動(dòng)態(tài)授權(quán)：客戶端驗(yàn)證通過(guò)后，只授權(quán)了一段時(shí)間的訪問(wèn)權(quán)限，建立的連接并非永久的。

（4）持續(xù)監(jiān)控：SDP 控制器作為安全大腦，會(huì)實(shí)時(shí)對(duì)訪問(wèn)連接監(jiān)控，一旦發(fā)現(xiàn)威脅，將會(huì)立刻中斷連接。

因此，該ZTA 下的資源訪問(wèn)授權(quán)是動(dòng)態(tài)控制的，并非只要驗(yàn)證通過(guò)后就永遠(yuǎn)安全，而是持續(xù)性地監(jiān)控。

3.2 多因子動(dòng)態(tài)評(píng)估

為了進(jìn)一步提升訪問(wèn)授權(quán)過(guò)程的可靠性，零信任平臺(tái)需要與其他相關(guān)信息結(jié)合起來(lái)，建立多因子聯(lián)合決策訪問(wèn)機(jī)制，如圖5 所示。

圖5 多因子動(dòng)態(tài)信任評(píng)估

多因子聯(lián)合決策訪問(wèn)機(jī)制具體為：

（1）身份的可信任度：這里的身份不僅僅是登錄賬號(hào)，而且還包括需要訪問(wèn)的服務(wù)資源、需要開(kāi)放的訪問(wèn)端口等。

（2）環(huán)境的可信任度：SDP 控制器可以與醫(yī)院已部署的流量探針和態(tài)勢(shì)感知平臺(tái)聯(lián)動(dòng)，形成對(duì)網(wǎng)絡(luò)環(huán)境的持續(xù)性評(píng)估，一旦發(fā)現(xiàn)威脅，立刻中斷不安全的連接。

（3）行為的可信任度：根據(jù)客戶端的流量特征、上下文信息分析，刻畫(huà)出正常訪問(wèn)的行為基線，SDP控制器可基于行為基線判斷當(dāng)前的行為是否可信。

（4）軟件的可信任度：設(shè)備的操作系統(tǒng)版本、應(yīng)用軟件版本等組合作為軟件信息，通過(guò)判斷當(dāng)前版本是否存在已發(fā)布的高危漏洞來(lái)評(píng)估軟件是否可信。

（5）硬件可信任度：終端硬件信息，例如設(shè)備制造商，它可由MAC 地址識(shí)別出來(lái)，并根據(jù)設(shè)備制造商判斷終端是否為醫(yī)院采購(gòu)的床旁心電圖、護(hù)士手持個(gè)人數(shù)字助手（Personal Digital Assistant，PDA）等物聯(lián)網(wǎng)（Internet of Things，IoT）設(shè)備，從而評(píng)估硬件是否可信。

5 類信任因子（身份、環(huán)境、行為、軟件和硬件）組合并作為信任算法的輸入信息，打包在SPA 端口敲門的身份認(rèn)證中。在授權(quán)過(guò)程中，SDP 控制器持續(xù)性地動(dòng)態(tài)評(píng)估，并由信任算法輸出決策，確定該訪問(wèn)是否可信。如果評(píng)估結(jié)果可信，客戶端被授權(quán)訪問(wèn)，隨之開(kāi)放相關(guān)TCP 端口，建立安全的訪問(wèn)連接，否則將敲門的認(rèn)證請(qǐng)求丟棄，阻斷訪問(wèn)。

4 安全防御能力

通過(guò)SPA 實(shí)現(xiàn)的零信任架構(gòu)體系，可對(duì)重要資源實(shí)現(xiàn)網(wǎng)絡(luò)隱身，在動(dòng)態(tài)地控制合法客戶端安全連接的同時(shí)，屏蔽攻擊者的探測(cè)從而預(yù)防攻擊，如網(wǎng)絡(luò)端口嗅探（Network Mapper，nmap），將醫(yī)院的HIS、EMR 等重要資源放在SDP 服務(wù)之后，使得這些資源從黑客視角中不可見(jiàn)，起到了有效的保護(hù)作用，尤其是針對(duì)分布式拒絕攻擊（Distributed Denial of Service，DDoS）和高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）有很好的防御效果。

5G網(wǎng)絡(luò)與醫(yī)院內(nèi)網(wǎng)對(duì)接后網(wǎng)絡(luò)邊界變得模糊，而零信任架構(gòu)下，SDP 以身份認(rèn)證為核心，超越了邊界防護(hù)的思維，該思路與5G+醫(yī)療的現(xiàn)狀不謀而合。在零信任架構(gòu)下，所有終端訪問(wèn)必須經(jīng)過(guò)授權(quán)、鑒權(quán)和加密，通過(guò)可信接入后才能訪問(wèn)核心資源。

在5G 信號(hào)經(jīng)CPE 轉(zhuǎn)換的場(chǎng)景下，零信任架構(gòu)可有效管控終端訪問(wèn)醫(yī)院內(nèi)網(wǎng)，即在授權(quán)認(rèn)證之前，關(guān)閉所有服務(wù)端口，強(qiáng)制性地執(zhí)行先認(rèn)證后連接的方式，通過(guò)評(píng)估身份、環(huán)境、行為和設(shè)備等因素決定流量是否可信任，從而動(dòng)態(tài)地開(kāi)啟相應(yīng)授權(quán)的訪問(wèn)服務(wù)，實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制。一旦這些因素存在安全風(fēng)險(xiǎn)，終端將被立刻停止授權(quán)，關(guān)閉相應(yīng)服務(wù)端口。零信任架構(gòu)打破了傳統(tǒng)的IP+MAC的準(zhǔn)入模式，實(shí)現(xiàn)了流量身份化。

5 結(jié)語(yǔ)

本文探討了5G 在醫(yī)療行業(yè)應(yīng)用過(guò)程中面臨的網(wǎng)絡(luò)安全新的挑戰(zhàn)，5G的應(yīng)用對(duì)傳統(tǒng)的邊界防護(hù)、終端準(zhǔn)入等安全防護(hù)機(jī)制帶來(lái)了巨大的沖擊，而本文提出了由醫(yī)院建立的一套零信任架構(gòu)平臺(tái)。5G 網(wǎng)絡(luò)通過(guò)零信任的代理訪問(wèn)，不僅可以對(duì)醫(yī)院重要數(shù)據(jù)資源實(shí)現(xiàn)網(wǎng)絡(luò)隱身，極大程度地減少網(wǎng)絡(luò)暴露面，還可以打破傳統(tǒng)的邊界防護(hù)思維，建立以身份認(rèn)證為基石的動(dòng)態(tài)授權(quán)訪問(wèn)體系?；诹阈湃斡肋h(yuǎn)不相信的核心思想，實(shí)現(xiàn)了在5G 終端對(duì)醫(yī)院HIS、EMR 等資源的訪問(wèn)中，對(duì)建立、交互、釋放全過(guò)程的安全保護(hù)。

目前，許多醫(yī)院的HIS 和EMR 等重要服務(wù)器資源存放在虛擬服務(wù)器中，由虛擬擴(kuò)展局域網(wǎng)（Virtual eXtensible Local Area Network，VxLAN）構(gòu)建基礎(chǔ)網(wǎng)絡(luò)，軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）動(dòng)態(tài)管理，策略自動(dòng)下發(fā)[6]。零信任的SDP 能與SDN 起到很好的互補(bǔ)效果。SDP 可以在動(dòng)態(tài)的SDN 網(wǎng)絡(luò)下為終端建立細(xì)粒度的訪問(wèn)控制，隱身非授權(quán)的資源，起到更好的安全防護(hù)效果。