瘦AP技术在医院信息系统中的应用研究-028

1、瘦AP技术在医院信息系统中的应用研究随着医院临床信息化系统的发展，无线应用逐渐开始普及。传统的无线部署方式作为电子查房的一部分，已经逐渐不能日新月异的技术发展需要。原因主要有以下三点：1、随着医疗应用的不断推进，需要高吞吐率的无线解决方案随着电子病历在医院的普及，医疗影像和心电图等也逐步变为数字化图像，PACS系统(Picture Archivi ng & Commu ni catio n System)，即医学影像的存储和传输系统，将医学图像资料转化为计算机数字形式。因此，无线解决方案需要能够进行高吞吐率的数据传输，以适应高清的PACS图片在其传输，但传统的胖AP方案和基站式部署存在以下问题

2、：胖AP方案存在信号串扰问题。为了提高 WLAN网络的容量，常用方法是增加接入点。然而，接入点的数量增长带来了新的问题。无线频谱的分配就是一个典型问题。WLAN无线频谱是一种固定资源一一802.11b/g标准只支持三个非重叠信道，为了避免相邻接入点出现同频干扰，需要让相邻AP尽量使用不同的信道，随着AP数量的增多，避免相邻接入点使用相同的信道变得十分困难。特别是密集部署时，如果要保证覆盖效果，必须减少AP的发射功率，在传统胖 AP方案中，需要手工配置，当网络规模达到一定量时，这种手工配置的方法基本不可用。基站式部署AP存在隐藏节点问题，单台设备接入吞吐量下降。所谓基站式部署就是通过室内分布式系

3、统的馈线，把大功率胖AP的信号传到多个房间的多个天线上。802.11协议规定的 WLAN的 54M资源是所有连上此 AP的终端共享该 AP的 资源，在通过基站式部署时，如下图所示，很容易产生隐藏节点的问题。图1隐藏节点示意图所谓隐藏节点，如上图所示，节点A、B、C都工作在同一个信道上，当节点 A向节点B发送分组时，载波侦听机制无法阻止节点C发送数据，造成信号在节点 B处冲突。节点C是隐藏在节点A的覆盖范围之外的、却又能对节点 A的发送形成冲突的节点， 这种在发送节 点覆盖范围以外的、 存在着潜在冲突的节点问题就是信道访问中的隐藏节点问题。 隐藏节点 问题会大大降低信道的通信能力。图2基站式部署

4、示意图如果在医院部署基站式系统，如上图所示，病房A、病房B和病房C三用户互为隐藏节点，当病房A用户使用PACS系统时，占用大量无线带宽资源，造成其他用户访问网络速 度缓慢；如果此时病房B用户也使用ACS系统进行图片传输，就有可能造成病房C使用速度 明显下降，甚至出现不能和 AP连接、掉线、失去IP地址等问题。2、患者对隐私保护越来越重视，无线查房系统如果不能构建一个安全的网络体系， 医院面临信息安全和法律风险。医疗过程中患者隐私的保护和保护的限度在现代法律和审判实践中都是备受关注的一个话题。而在医院部署无线查房同样会面临信息安全的问题：如何保证患者的隐私不被泄露？如何在无线查房系统中实现整网安

5、全？如何保证医护人员的平板电脑不被误接入非法AP？医院的HIS、PACS系统保存了大量的病人私密信息， 必须防止无关人员通过无线查房 系统进行非法的访问甚至破坏， 这就需要对无线网络进行访问授权； 其次就是无线网络数据 信号在空口进行传播，任何人都可以窃听到患者信息，需要对无线链路进行加密。还有一种无线入侵的方案称为 Rogue AP又可称为非法AP,这种Rogue AP广播和医院 内部系统一样的 SSID,使用者会误认为是合法 AP,如果一个合法用户与非法 AP建立连接， 就意味着医院内部网络向外部开放了，这会导致重要数据和信息外泄。3、需要内部采用 Wi-Fi语音以避免手机信号的医疗器械的

6、干扰日本权威机构最新公布的一份关于手机电波辐射实验报告指出，医院内六成的医疗仪器会受到手机电波的干扰。这份测试报告指出， 在受干扰的医疗仪器中，轻等程度的虽仍然能运作，但运作不顺畅，如读针出现微量振动，有噪音等；中等程度的会出现错误的量度， 使仪器不适宜再使用；最严重的会导致仪器工作紊乱以致危及病人生命。对于医生来说，在住院区一般来说是禁止使用手机。中国工程院院士巴德年也认为， 医生在医院里最好不要使用手机，以对患者的生命安全负责，这是医生应该有的医德。但是一旦有紧急情况需要联系医生，则需要有一种和手机一样随时可以联系的方式， Wi-Fi语音就成了最好的替代方式。南京军区总医院基于以上问题的详

7、细考虑，采用基于瘦AP+AC（无线控制器）的集中型管理方式的无线解决方案，很好的解决了以上三大问题。“瘦” AP+AC勺集中管理型架构，对传统 WLAN设备的功能做了重新划分，将密集型的 无线网络和安全处理功能转移到集中的WLAN交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、 RF监测、无缝漫游以及 QoS使得无线局域网的 网络性能、网络管理和安全管理能力得以大幅提高。1、集中管理架构，实现高吞吐量、高稳定性的无线网络瘦AP的无线资源管理特性提供了一套系统化的，实时智能射频管理方案，使无线网 络能够自动适应无线射频环境的变化，同时保持最优的射频资源状态。它采用了

8、分布式方法学习周围环境，进行集中式评估，可以有效地控制和分配无线资源，降低用户的操作成本。 最终的结果就是提升了整个系统的吞吐量。系统模型如下：图 3 实时无线资源管理系统模型1. 扫描每个接入点启动后，通过CAPWAF协议与无线控制器建立隧道，并从无线控制器获取基本的配置。 无线控制器负责协调网络中的无线接入点执行扫描过程。通过定期的信道扫描，系统能够分析和了解信道的质量、 干扰情况、 邻居接入点的分布等。 为了不影响用户的接入 业务和产生不必要的干扰，系统将采用优化的算法来调度扫描过程，比如避免相邻AP同时进行扫描，动态地控制每个扫描的时隙。2. 分析 无线控制器将对无线接入点定期上报的数

9、据进行聚合分析。这些数据包括： 干扰：其他工作在 802.11 频段的无线网络对无线介质的影响。 噪音：非 802.11 信号，如雷达、蓝牙、无绳电话、微波等等对信号的影响。 丢包率：包差错率（由于隐藏的节点或信号变形） 信道负载：用来衡量媒介的繁忙程度。有效信号强度：在一定时间内观察到的每个邻居的信号强度和整个信道的平均信 号强度。这些数据将帮助无线控制器构建无线网络的完整视图，为管理控制提供决策数据。3. 决策 利用前期分析的数据，无线控制器将采用智能的算法对射频资源进行优化和调整，以 适应无线环境的变化。 系统使用了优化的信道和功率选择算法、 加权判断以及抑制限度， 自 动评估资源调整的

10、影响，能够确保系统的控制是可靠的。4. 执行 无线控制器将新的发射功率，信道分配等决策发送到接入点，接入点负责使能这些配 置。系统提供了两种控制模式： 参考模式和立即模式，增加了系统使用的灵活性。 参考模式 下，系统不进行实际的控制策略执行，只是给出建议的功率、 信道的设定值，管理员可以决 定是否执行这些配置， 确保了用户控制的灵活性。 立即模式下， 将根据系统计算出的信道等 参数进行立即的设置。上述过程是闭环过程，一旦配置下发以后，控制器将持续监视网络环境。任何无线环 境的变化与波动都会被定期记录下来，为下一轮的优化作准备。2、采用802.11i确保认证和链路安全，WIDS入侵检测防止 Ro

11、gue AP接入IEEE 802.11i 协议采用了 802.1X 认证方法，实现对用户进行认证，保证了数据链路和用户接入的安全性。终端通过802.1X协议，与Radius服务器生成的PMK（主密钥，长度为256位），然后和 AP进行四次握手交互，最终生成GTK（组临时密钥）进行数据链路的加密。而802.1X认证需要和Radius服务器交互，因此每次的时间都需要花费几秒钟的时间。但是由于医生需要使用手提电脑和平板车在各个病房进行漫游，如果每次都要花上几秒中重新连接、重新认证，无线查房的效率会非常低。在瘦AP+AC架构中，AP不保留任何信息，所有加密工作都由 AC来完成，实际上 PMK通过Rad

12、ius服务器在AC中生成，终端在从AP1漫游到AP2时，PMK都是由一个 AC生成。AP在漫游过程中，发起 Reassociation请求，进行快速的四次握手协议，就可以生成新的GTK，如下是802.1X认证过程中利用 Keycaching实现的快速漫游技术的过程:PMK CacheSTA1PMK CacheXXXXXXXAPXXXXXXXtNew APSTAPMK CacheXXXXXXX图4快速漫游技术1. STA第一次接入时（接入 Old AP）采用正常的802.1X认证过程2. 认证通过后STA把使用的PMK信息保存在Cache中3. STA向New AP发起Reassociation

13、 时协商使用 PMK Cache方式做认证4. STA利用在Cache中保存的在 Old AP中使用的PMK和新AP发起4次握手协商过程5. 协商成功，STA开始传送数据报文这样用户在漫游过程中，既不会发生断线的问题，也不会出现非法用户接入和信息窃听的问题。此外，瘦 AP+AC的无线网络解决方案支持WIDS/WIPS能实时扫描到非法的客户和Rogue AP的存在，并拒绝非法用户和Rogue AP的接入。3、瘦AP架构能够对Wi-Fi语音起到良好的支持无线网络设备的输出功率在60mW100mV之间，比手机发射功率要小很多，对医疗设医院的电磁干扰也备更不会产生响。研究表明，无线局域网设备不会与医疗

14、设备产生影响, 不会影响无线网络的正常运行。鉴于WLAN网络可以作为 GSM替代，因此在军区总医院计划部署Wi-Fi语音网络，以便实现内部低成本的通话，避免对医疗器械的干扰。瘦AP加上AC的架构，可以在 AP设备启用无线 QoS(WMM)确保数据业务背景流下， 语音业务流能优先传输，从而有效保障语音的通话质量。也可以采用单独的SSID保证固定的带宽，另外在 AC上可以设置无线优先级和有线优先级互相映射，保证端到端的优先级。 从无线控制器发往 Wi-Fi终端的语音流在 AC上做流识别，通过 RTP端口号打优先级标记， 对UDP端口在20000以上业务流标记 WMI优先级。虽然部署了 WLAN网络

15、，我们仍然需要通过计算得到话务量对带宽的影响，下表描述 了一个802.11报文的实际传输带宽开销(不包括802.11报文载荷部分)。FieldLqiiij FonnShort FormPi eamhle，h14472Hdikr (niicfosirond)4K24Sliori Tuter-Frame Spiire (SIFS) f mjcrs-eciind10出LXlributc Intel Frame Space (DIFS (microseconds5V50Ackni1414Backotl bytest3232Slot i micrubecundii纫20表1 802.11报文实际开销Hi

16、nder TypePacket Lencjtli111惘諭Tiaiiituissiou Rnte11 MbpsM IpS2 Mbps1 MbpsLan! hidci小1J5J.6251.O12.5S5709 144&2.1092561.047.034650J71Short hendci1281 472.0331.219,889817.891Not ppliable2562.596,5HM2,036,8LI 60.997Not Applicable表2 802.11b理论吞吐量报文开销理论最大吞吐量(只考虑1个终端接入的理想情况)=(Packet Length*8*1000000) / (Pre

17、amble + Header + (Packet Length + 28) *8/*Rate)+ SIFS + Preamble + Header + (ACK8 / Rate) + DIFS + (Backoff /2)*Slot)计算网络的容量必须要考虑协议为了支持多设备接入使用的回退算法对网络利用 率的影响，在多个终端接入时，由于冲突的影响，实际带宽利用率要比理论值低。对VoIP报文解析，有如下结果：RTP 报文包含 20-byte IP header, 8-byte UDP header, 12-byte RTP header,以及RTP数据。RTP报文打包时长为 20mso对于G.7

18、29报文长度是20 bytes;对G.711报文长度是 160 bytes，整个 VOIP 包是 200 bytes（ IP+UDP+RTP）。802.11 报文头是 24 bytes，帧校验字段是 4字节，因此总的包长是228字节。RTP流单向发送速率是 50pps，双向（一个呼叫）是 100pps.因此通过理论吞吐量可计算出G.711编码格式下每个呼叫的带宽占用情况：Usingthe 11 ?理论包长 256-byte packet size = 2,596,588 bps = 324,573 bytes per secondG.711 呼叫占用带宽 =100 pps *228 bytes/packet = 22,800 bytes/seco nd 理论802.11b每个信道的最大呼叫数=324,573 / 22,800 = 14.235按照RTP流带宽占用不超过总带宽的60%十算，每个AP最大容纳的并发呼叫为：最大并发