基于單包授權的零信任架構下5G+醫療的網絡安全研究*

章 俊，張雨恬，胡少文

（1.南昌大學第一附屬醫院，江西 南昌 330006；2.江西中醫藥大學附屬醫院，江西 南昌 330004；3.江西省科技基礎條件平臺中心，江西 南昌 330003）

0 引言

隨著5G 應用的發展，5G 技術賦能醫療行業受到越來越多的關注，它對加快健康中國建設和推動醫療健康產業發展起到重要的支撐作用。如今在開展5G 院前急救和5G 影像診斷應用的同時，易忽視5G 技術帶來的新的網絡安全威脅。5G 網絡使得醫院原有的物理邊界日益模糊和難以固化，因此以邊界防護為中心的傳統安全架構凸顯出巨大的局限性。除此之外，5G 技術具有的高帶寬、低時延和廣連接等特性使得黑客更加便利地開展分布式攻擊。

近年來，隨著醫院信息化的發展，醫院的信息資源逐漸走進了黑客攻擊的視野。不少大型醫院曾遭遇過黑客的勒索攻擊。因醫療行業有著其業務的獨特性，所以醫院的網絡安全問題成為學者和工程師的研究方向，而5G+醫療的安全研究也勢必成為網絡安全的一個子方向。因此本文基于零信任架構，通過單包授權的敲門驗證機制，以期解決5G 技術帶來的網絡安全問題。

1 5G 帶來的網絡安全隱患

近年來，各大醫院如火如荼地開展5G+醫療的試點，并且取得了不少新穎的案例。醫院通過5G醫療專網可以更加便捷、更加智慧地開展醫療服務和醫療管理，提升患者的就醫體驗。然而這種新的模式帶來了新的隱患。

1.1 網絡邊界模糊

醫院內部的網絡與5G 網絡對接后，醫院傳統的邊界安全防護隨即土崩瓦解。5G 網絡的介入將給醫院的網絡安全帶來前所未有的挑戰。醫院的網絡不再局限于互聯網邊界或專線邊界（如醫保、銀聯專線），而是被5G 基站gNodeB 無限延伸了，如圖1 所示。為了節省投資，一般情況下5G 醫院專網建設會與公網共享gNodeB，甚至共享5G 用戶面功能網元（User Plane Function，UPF）、5G核心網控制面網元（5G Core-Control Plane，5GCCP）、統一空間模型（Unified Dimensional Model，UDM）、移動邊緣計算（Mobile Edge Computing，MEC）等。這使得醫院網絡邊界變得日益模糊，從有邊界的網絡變成了無邊界的網絡。

圖1 5G+醫療網絡拓撲

1.2 準入系統的局限性

目前，許多醫療終端（如床旁心電圖、移動推車）不支持5G 模組，不能直接通過5G 信號接入網絡，必須通過客戶前置設備（Customer Premise Equipment，CPE）將接收到的5G 信號轉換成Wi-Fi的形式供終端接入。與此同時，CPE 設備充當了接入層面的代理網關，將終端IP 地址進行了一次地址轉換（Network Address Translation，NAT），如圖2 所示。然而，傳統的準入系統通過802.1x 等協議，常以IP 地址+物理地址（Media Access Control Address，MAC）的方式認證合法終端，因此該方式只能對CPE 設備準入，無法有效管控到CPE 轉換后接入的終端。CPE 發出的Wi-Fi 信號很容易被不法分子惡意利用來非法接入醫院內網，竊取醫療信息。傳統的終端安全準入系統不再具備完全控制終端安全接入的能力。5G 網絡的應用，使醫院網絡暴露了嚴重的安全隱患。

圖2 CPE 設備信號轉換

5G 注冊流程中，通過5G-全球唯一臨時UE 標識（5G-Globally Unique Temporary UE Identity，5G-GUTI）和終端標識（Permanent Equipment Identifier，PEI）來驗證身份的合法性。同時，通過簽約的數據網絡名稱（Data Network Name，DNN）將會話錨定在5G 醫療專網上。5G-GUTI 和DNN 是基于用戶識別卡（Subscriber Identity Module，SIM）上簽約的信息。在使用CPE的場景下，這張5G SIM 卡插在CPE 設備上，驗證的終端標識也同樣是CPE的PEI。因此，在5G 網絡的注冊流程中，接入授權也無法有效管控CPE 轉換后接入的終端。

2 零信任安全體系架構

如何解決5G 網絡帶來的安全隱患成為5G+醫療試點過程中不容忽視的難題。美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）在2019 年發布了零信任架構（Zero Trust Architecture，ZTA）標準草案[1]，其“永遠不信任”的思想可以解決5G 帶來的網絡安全隱患。ZTA 打破了傳統的基于網絡邊界防護的思路，不再是在邊界上配置訪問控制列表（Access Control Lists，ACL）、入侵防御系統（Intrusion Prevention System，IPS）、網站應用級入侵防御系統（Web Application Firewall，WAF）等安全防護設備，而是基于身份的細粒度安全訪問。5G 技術給醫院網絡安全帶來的首要問題就是，網絡邊界模糊導致傳統邊界防護方式失效。ZTA 技術恰好解決了該問題。與此同時，基于身份的動態授權和持續評估可以打破傳統的基于IP 和MAC 地址等方式的局限性，解決經CPE 設備轉換后，終端無法有效準入的問題，從而有效地保護了醫院關鍵性資源，如醫院信息系統（Hospital Information System，HIS）服務器和電子病歷（Electronic Medical Record，EMR）數據庫等。

為解決5G網絡在醫院內部試點中的安全隱患，本文在醫院內部搭建零信任架構平臺。該平臺作為5G 網絡非信任區域通往醫院信任區域的橋梁，負責終端的訪問授權和流量的代理轉發。ZTA 可分為用戶平面和控制平面，如圖3 所示。用戶平面包括策略執行點（Policy Enforcement Point，PEP），它負責終端訪問醫院內部資源（如HIS、EMR）連接的建立、監控和釋放，相當于代理網關。控制平面作為安全大腦，是客戶端訪問資源的持續信任評估和策略決策點?？刂泼鎻倪壿嬌峡煞譃椴呗砸妫≒olicy Engine，PE）和策略管理（Policy Administrator，PA）[2]。PE 負責決策授予終端的資源訪問權限，不同的身份被授予不同的權限范圍。PE 可將威脅情報分析、安全事件分析、行業合規和身份管理系統等信息作為信任算法的輸入，從而輸出對客戶端主體的授予、拒絕或撤銷。而PA 通過下發指令至PEP 來建立和關閉終端與資源之間的通信。PA 生成基于會話的身份驗證票據，作為客戶端訪問醫院資源的有效憑證。如果會話被授權并且請求被認證，則PA 配置PEP 對會話放通，否則PA 向PEP 發出指令關閉連接。

圖3 基于零信任的醫院5G 網絡安全架構

3 零信任關鍵技術——單包授權

ZTA的最佳實踐方式為軟件定義邊界（Software Defined Perimeter，SDP）[3]。SDP的核心思想就是打破傳統以邊界防護為中心的思路，建立基于身份、運行環境和上下文信息的授權訪問機制。SDP 只允許授權的數據包通過，對于非授權的數據包默認丟棄。它不同于傳統交互機制，通過Internet 控制報文協議（Internet Control Message Protocol，ICMP）返回拒絕消息，而拒絕消息響應往往就是攻擊者的利用點。SDP 默認丟棄非授權數據包的機制使得非授權的客戶端無法感知到有效IP 和端口的存在，實現了網絡隱身，起到了保護醫院內部重要資源的作用。

SDP 中的關鍵技術是單包授權（Single Packet Authorization，SPA）協議[4]，它作為端口敲門的演進協議，其核心思路是客戶端只有通過單個數據包敲門認證成功后，才被授權建立安全連接，否則默認丟棄所有請求包。SPA 實現了先認證成功后再建立網絡連接的安全性保障。

3.1 SPA 機制

SPA 將所有必要的身份信息組合起來[5]，通過Hash算法將組合的信息進行編碼，并將編碼結果打包進一個數據包中，作為SPA 端口敲門的認證請求信息。為了保障網絡的安全，敲門的數據包通常為用戶數據報協議（User Datagram Protocol，UDP），而非傳輸控制協議（Transmission Control Protocol，TCP），所有的TCP 端口默認都是關閉狀態。這些必要的信息集合可以由客戶端IP、口令、時間戳（防止重放攻擊）或其他的有效信息組合而成，如表1 所示。Hash算法可以是消息摘要算法第五版（Message-Digest Algorithm 5，MD5）、安全哈希算法（Secure Hash Algorithm，SHA）等摘要算法，帶上了時間戳后，每次請求的Hash 編碼值都是不同的，從而確保每次訪問都需要經過授權認證。

表1 SPA 信息組合簡單示例

表1 為SPA 數據包的簡單舉例。文獻[4]描述了SPA的UDP 報文中包含加密的認證憑據和消息摘要，而消息摘要是將加密后的認證憑據再進行Hash 編碼。通過SPA 敲門認證，實現了流量身份化。

SDP 控制器會同步客戶端的相關算法。在收到SPA的敲門認證請求消息后，SDP 控制器解碼該Hash 值并驗證。如果驗證合法的訪問則暫時開放相應的TCP 業務端口，并返回授權策略和對應的SDP網關信息給客戶端；如果身份驗證未通過，則直接丟棄請求包。SDP 控制器同時將合法的客戶端身份信息和授權策略發給SDP 網關?？蛻舳藢y帶授權信息，向SDP 網關發送訪問請求。SDP 網關將通過SDP 控制器收到的身份信息和授權，來驗證客戶端發送的請求，如驗證通過則建立安全的TCP 連接，整個SPA 端口敲門過程如圖4 所示。

圖4 SPA 端口敲門流程

SPA 敲門驗證過程的優勢在于：

（1）遵守最小授權原則：對客戶端的訪問授權只會開放相應資源的相關端口，非必要的訪問端口保持關閉，實現了最小授權的訪問原則。

（2）形成微隔離：由于客戶端只能由授權建立的TSL 連接來訪問相關資源，邏輯上與其他客戶端形成了微隔離。

（3）動態授權：客戶端驗證通過后，只授權了一段時間的訪問權限，建立的連接并非永久的。

（4）持續監控：SDP 控制器作為安全大腦，會實時對訪問連接監控，一旦發現威脅，將會立刻中斷連接。

因此，該ZTA 下的資源訪問授權是動態控制的，并非只要驗證通過后就永遠安全，而是持續性地監控。

3.2 多因子動態評估

為了進一步提升訪問授權過程的可靠性，零信任平臺需要與其他相關信息結合起來，建立多因子聯合決策訪問機制，如圖5 所示。

圖5 多因子動態信任評估

多因子聯合決策訪問機制具體為：

（1）身份的可信任度：這里的身份不僅僅是登錄賬號，而且還包括需要訪問的服務資源、需要開放的訪問端口等。

（2）環境的可信任度：SDP 控制器可以與醫院已部署的流量探針和態勢感知平臺聯動，形成對網絡環境的持續性評估，一旦發現威脅，立刻中斷不安全的連接。

（3）行為的可信任度：根據客戶端的流量特征、上下文信息分析，刻畫出正常訪問的行為基線，SDP控制器可基于行為基線判斷當前的行為是否可信。

（4）軟件的可信任度：設備的操作系統版本、應用軟件版本等組合作為軟件信息，通過判斷當前版本是否存在已發布的高危漏洞來評估軟件是否可信。

（5）硬件可信任度：終端硬件信息，例如設備制造商，它可由MAC 地址識別出來，并根據設備制造商判斷終端是否為醫院采購的床旁心電圖、護士手持個人數字助手（Personal Digital Assistant，PDA）等物聯網（Internet of Things，IoT）設備，從而評估硬件是否可信。

5 類信任因子（身份、環境、行為、軟件和硬件）組合并作為信任算法的輸入信息，打包在SPA 端口敲門的身份認證中。在授權過程中，SDP 控制器持續性地動態評估，并由信任算法輸出決策，確定該訪問是否可信。如果評估結果可信，客戶端被授權訪問，隨之開放相關TCP 端口，建立安全的訪問連接，否則將敲門的認證請求丟棄，阻斷訪問。

4 安全防御能力

通過SPA 實現的零信任架構體系，可對重要資源實現網絡隱身，在動態地控制合法客戶端安全連接的同時，屏蔽攻擊者的探測從而預防攻擊，如網絡端口嗅探（Network Mapper，nmap），將醫院的HIS、EMR 等重要資源放在SDP 服務之后，使得這些資源從黑客視角中不可見，起到了有效的保護作用，尤其是針對分布式拒絕攻擊（Distributed Denial of Service，DDoS）和高級持續性威脅（Advanced Persistent Threat，APT）有很好的防御效果。

5G網絡與醫院內網對接后網絡邊界變得模糊，而零信任架構下，SDP 以身份認證為核心，超越了邊界防護的思維，該思路與5G+醫療的現狀不謀而合。在零信任架構下，所有終端訪問必須經過授權、鑒權和加密，通過可信接入后才能訪問核心資源。

在5G 信號經CPE 轉換的場景下，零信任架構可有效管控終端訪問醫院內網，即在授權認證之前，關閉所有服務端口，強制性地執行先認證后連接的方式，通過評估身份、環境、行為和設備等因素決定流量是否可信任，從而動態地開啟相應授權的訪問服務，實現動態訪問控制。一旦這些因素存在安全風險，終端將被立刻停止授權，關閉相應服務端口。零信任架構打破了傳統的IP+MAC的準入模式，實現了流量身份化。

5 結語

本文探討了5G 在醫療行業應用過程中面臨的網絡安全新的挑戰，5G的應用對傳統的邊界防護、終端準入等安全防護機制帶來了巨大的沖擊，而本文提出了由醫院建立的一套零信任架構平臺。5G 網絡通過零信任的代理訪問，不僅可以對醫院重要數據資源實現網絡隱身，極大程度地減少網絡暴露面，還可以打破傳統的邊界防護思維，建立以身份認證為基石的動態授權訪問體系。基于零信任永遠不相信的核心思想，實現了在5G 終端對醫院HIS、EMR 等資源的訪問中，對建立、交互、釋放全過程的安全保護。

目前，許多醫院的HIS 和EMR 等重要服務器資源存放在虛擬服務器中，由虛擬擴展局域網（Virtual eXtensible Local Area Network，VxLAN）構建基礎網絡，軟件定義網絡（Software Defined Network，SDN）動態管理，策略自動下發[6]。零信任的SDP 能與SDN 起到很好的互補效果。SDP 可以在動態的SDN 網絡下為終端建立細粒度的訪問控制，隱身非授權的資源，起到更好的安全防護效果。