本科《医学信息安全》医疗短信安全协议专题教学设计

本科《医学信息安全》医疗短信安全协议专题教学设计一、课程基本信息【重要】本节课程属于本科医学信息工程、卫生信息管理、智能医学工程等专业的专业核心课程《医学信息安全》中的一个专题模块。课程设计基于大三或大四学生已具备计算机网络、数据库原理、基础密码学等先修知识的前提。学段定位于本科高年级，旨在培养学生将理论信息安全知识应用于具体、敏感的医疗场景中的综合能力。课程性质为理论与实践结合课，共计3学时（含讲授与模拟演练）。本次专题教学，聚焦于医疗物联网（IoMT）和移动医疗应用中最为普遍却也最为脆弱的环节——医疗短信安全协议。医疗短信并非指普通手机短信，而是指在院内信息系统（如HIS、LIS、PACS）、院前急救系统、分级诊疗平台、患者随访系统以及各类可穿戴医疗设备之间传输的、包含患者身份信息、检验检查结果、医嘱等敏感数据的结构化或非结构化短消息。此类数据一旦泄露、篡改或延迟，将直接威胁患者生命安全与隐私权益，因此，深入理解并设计能够保障其机密性、完整性、可用性（CIA三元组）以及不可否认性的安全协议，是未来医学信息工程师的核心职业素养。二、教学目标设计（一）知识与技能目标【基础】学生能够准确复述医疗短信安全协议的基本概念、核心安全需求（机密性、完整性、可用性、真实性、不可否认性）以及其在医疗信息化中的关键作用。能够清晰区分医疗短信与传统互联网即时通讯消息在安全要求上的本质差异。【重要】学生能够深入理解并解析至少两种主流的轻量级安全协议（如CoAPswithDTLS、MQTTwithTLS/SSL）在医疗短信传输中的应用原理与握手过程。掌握国密算法（SM2/SM3/SM4）在构建符合国内医疗合规要求的安全协议中的基本应用框架。【难点】学生能够运用对称加密（如AES256，SM4）、非对称加密（如RSA2048，SM2）、哈希函数（如SHA256，SM3）以及数字签名技术，针对一个给定的医疗短信传输场景（例如：远程心电监测设备向中心服务器发送报警短信），初步设计出一个具备双向认证和防重放攻击能力的安全协议流程图，并解释每个步骤的密码学作用。（二）过程与方法目标【重要】通过案例分析（如国内外医疗数据泄露事件），引导学生从“攻击者视角”逆向思考医疗短信系统的脆弱点，培养威胁建模的思维方式。【热点】借助Wireshark等网络协议分析工具（或模拟软件），让学生观察加密与未加密医疗短信传输的流量差异，直观感受安全协议的实际防护效果，提升动手实践与分析能力。通过小组协作完成一个简化版医疗短信安全协议的推演与设计任务，锻炼学生在复杂工程问题中的系统性设计与团队沟通能力。（三）情感、态度与价值观目标【非常重要】深刻理解《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及卫生健康行业标准（如WS/T基于电子病历的医院信息平台技术规范）中对医疗数据隐私保护的法律要求，牢固树立依法执业、合规操作的底线思维。【难点】培育“以患者为中心”的伦理意识，认识到每一次安全协议的严谨设计与执行，都是对患者生命尊严与个人隐私的尊重和保护，增强未来职业的责任感与使命感。激发学生对医学信息安全前沿技术（如后量子密码学在医疗中的应用）的探索兴趣，树立终身学习的专业态度。三、教学重难点【重点】医疗短信独特的安全需求（实时性、低功耗、高可靠性、患者生命攸关）；轻量级安全协议（DTLS、TLS）在医疗物联网场景下的适配与握手流程；基于国密算法的医疗数据加密传输体系。【难点】如何在不影响医疗业务实时性的前提下，平衡高强度加密与系统性能开销之间的矛盾；设计具备双向认证和抗重放攻击能力的协议逻辑；理解数字证书与PKI体系在医疗设备身份管理中的具体部署。四、教学方法与资源（一）教学方法案例驱动法：以真实的医疗数据泄露案例为引，激发学生探究需求。问题链教学法：通过一系列层层递进的问题，引导学生自主构建安全协议的知识框架。模拟推演法：分组进行协议交互的纸面推演或使用简易工具模拟，加深对协议流程的理解。对比分析法：对比HTTP与HTTPS、普通TCP与DTLS的流量差异，强化感性认识。（二）教学资源多媒体课件（含协议流程图、动画演示）。Wireshark网络协议分析软件（或PacketTracer等模拟器）。国家信息安全法律法规与行业标准文档（节选）。经典医疗数据泄露案例分析材料。分组讨论用的白板或电子共享文档。五、教学实施过程（一）创设情境，导入新课（约15分钟）1.案例引入：【非常重要】播放一段经过脱敏处理的新闻片段或展示一份公开的医疗数据泄露调查报告摘要。例如，“某医院移动护理系统因使用明文传输，导致大量患者床旁检验数据被非法截获”、“某品牌智能手环因安全协议漏洞，用户心率与定位信息被恶意监听”。直接向学生提问：“在这些案例中，黑客究竟‘看’到了什么？如果这些被窃取的不是普通数据，而是急救中心向急诊室发送的‘急性心肌梗死患者即将到达’的预警短信，后果会是什么？”2.概念界定：由此引出本节课的核心——医疗短信。明确本课程讨论的“医疗短信”定义：是在医疗信息系统、设备与人员之间自动或半自动传输的、包含受保护健康信息的结构化短数据包。举例说明：床边监护仪的危急值报警短信、区域卫生信息平台调阅患者摘要的请求与响应、远程血压计上传的测量数据包等。3.提出核心问题链：【重要】引导学生在思考中进入新课。问题一：这样一个关乎生死的“短信”，在传输过程中，最需要保障哪几个方面的安全？（引导学生思考不仅仅是保密，还有不能被篡改、必须及时送到）。问题二：如果我们只是简单地把它装进一个加密的“信封”（比如直接套用HTTPS），在急救车信号不佳、或者患者随身携带的贴片设备需要几天不充电的情况下，会面临哪些新问题？（引出医疗场景的特殊性）。通过这两个问题，自然过渡到医疗短信安全协议设计的核心矛盾与需求。（二）知识建构：医疗短信安全的基石（约30分钟）1.【基础】重温CIA三元组在医疗场景下的特殊含义。机密性：确保只有授权方（特定的医生、护士、系统）能解读短信内容，防止患者基因信息、HIV状态等极度敏感信息泄露。完整性：确保短信在传输中未被恶意篡改（如将“胰岛素剂量2单位”改为“20单位”）。可用性：确保短信在关键时刻能及时送达，医疗网络拒绝服务攻击可能直接导致延误治疗。2.【难点】引申出医疗场景独有的安全需求。真实性：必须确认短信发送者确实是其所声称的设备或系统，防止假冒设备注入虚假医疗数据。不可否认性：对于具有法律效力的医嘱下达、检验结果确认等短信，发送方不能否认其发送行为，接收方不能否认其收到行为。轻量级与低延迟：考虑到医疗物联网设备（如穿戴式传感器、植入式设备）的计算能力、电量有限，以及急救通信对实时性的极致要求，安全协议必须“瘦身”且高效。3.密码学工具箱速览：【重要】快速回顾本次课程将用到的密码学工具。对称加密（AES，SM4）：效率高，用于加密短信正文。非对称加密（RSA，SM2）：安全性高，用于加密对称密钥（密钥交换）和数字签名。哈希函数（SHA256，SM3）：用于生成数据指纹，验证完整性。数字签名：由发送方私钥对哈希值加密，接收方用发送方公钥验证，实现完整性和不可否认性。数字证书：将公钥与其持有者身份绑定的电子证件，由CA签发，是PKI体系的信任基石。（三）核心精讲：医疗短信安全协议深度剖析（约60分钟）1.【热点】基于TLS/DTLS的医疗物联网安全协议。（1）针对传统TCP/IP环境的TLS协议：讲解TLS握手协议的主要步骤，并映射到医疗场景。ClientHello（医疗设备发起连接，提供支持的加密算法列表）>ServerHello（医院服务器选择算法，并发送其数字证书）>设备验证服务器证书（确认真实的医院系统，防止钓鱼）>密钥交换（设备生成预主密钥，用服务器公钥加密发送）>双方生成会话密钥>开始加密通信（传输加密后的心电数据）。重点强调证书验证环节在防止中间人攻击、确保服务器身份真实性方面的关键作用。（2）【难点】针对UDP环境和低功耗设备的DTLS协议：指出医疗物联网中大量设备使用基于UDP的CoAP协议，传统TLS基于TCP，不适用。引出DTLS。讲解DTLS如何解决UDP的不可靠问题（如处理丢包、重排序），并对TLS协议进行精简，以减少握手开销。以DTLS1.2为例，简要说明其Record层添加显式序列号以应对重放攻击，以及握手状态机对丢包的重传机制。强调DTLS是构建安全的无线医疗传感器网络的核心技术。2.【非常重要】国密算法在医疗短信安全中的应用。结合国家密码管理局的标准和等保2.0、关基保护的要求，介绍国密SM系列算法。SM2（椭圆曲线公钥密码算法）：替代RSA和ECDH，用于数字签名和密钥交换，具有更高的安全强度和性能。SM3（密码杂凑算法）：替代SHA256，用于生成消息摘要，确保完整性。SM4（分组密码算法）：替代AES，用于数据加密。以一个院内无线查房系统为例，讲解医生手持终端（PDA）与院内服务器通信时，如何基于国密SSLVPN或国密TLS协议，实现从设备认证、密钥协商到患者电子病历短信传输的全流程国密改造。强调这是符合我国医疗行业自主可控安全战略的必要举措。3.【高频考点】协议防重放攻击设计。解释重放攻击：攻击者截获一个有效的医疗短信（如“允许给药”指令），稍后再次发送，欺骗系统重复执行。讲解解决方案：在协议中引入新鲜性因素。具体方法：（1）时间戳（Timestamp）：消息中包含精确时间戳，接收方拒绝时间偏差过大的消息，要求系统时钟同步。（2）随机数（Nonce）：发送方在消息中包含一个一次性的随机数，接收方缓存已收到的随机数，拒绝重复。（3）序列号（SequenceNumber）：通信双方维持一个递增的计数器，接收方只接受序列号大于上次接收值的消息。结合医疗场景，分析时间戳在急救车与医院时钟可能不同步时的局限，以及序列号在设备重启后可能重置的风险，强调实际应用中往往组合使用这些技术。（四）能力深化：协议分析与模拟演练（约30分钟）1.【重要】Wireshark抓包对比分析（教师演示或学生跟随）。准备工作：搭建一个简单的模拟环境（如使用Python的socket库模拟一个明文传输的医疗短信服务和一个基于SSL库的加密传输服务）。步骤一：启动明文服务，用Wireshark抓取客户端与服务器通信的包，在“FollowTCPStream”中直接看到明文传输的模拟“血压：140/90”数据。步骤二：启动加密服务，再次抓包，观察Wireshark中数据部分完全不可读的密文状态。引导学生观察TLS/DTLS握手过程的数据包，直观理解协议带来的额外开销与安全保障。2.案例研讨：可穿戴心电设备的安全隐患。提供一个模拟场景：某品牌远程心电监测贴片，可将实时心电数据通过蓝牙连接手机App，再经4G网络上传至。要求学生分组讨论（15分钟）：（1）从设备到手机（蓝牙）、从手机到云（4G/互联网）这两个链路中，分别存在哪些安全威胁？（2）针对这些威胁，应该分别在哪个层面部署什么样的安全协议？（例如：蓝牙链路可采用BLE的安全配对与加密；互联网链路应采用基于TLS/DTLS的MQTT或CoAPs协议）。（3）讨论设备计算能力和电池续航对协议选择的限制。（五）实战设计：构建一个安全的院前急救短信协议（约30分钟）1.任务发布：【难点】“120急救车”在赶往医院途中，随车心电图机自动将一份提示“急性广泛前壁心梗”的12导联心电图摘要和患者基本信息，通过4G网络发送给目标医院的急诊科信息系统。请以小组为单位，基于本节课所学知识，设计一个满足机密性、完整性、双向认证和防重放攻击的安全协议流程。2.分组设计与推演（20分钟）。学生需要：（1）确定采用的密码学算法组合（如选用国密SM2/SM4/SM3或国际算法AES/RSA/SHA256）。（2）明确通信之前的前提条件（如急救车设备是否已预置CA证书？医院服务器证书如何获得？）。（3）画出协议交互步骤图，并注明每一步使用的密码技术和实现的安全目标。例如：Step1:急救车设备>医院服务器:ClientHello（支持SM2,SM4SM3等）Step2:服务器>急救车设备:ServerHello（选择SM2,SM4SM3），ServerCertificate（含服务器公钥的证书），CertificateRequest（请求客户端证书）Step3:急救车设备验证服务器证书，并发送自己的设备证书（双向认证开始）Step4:服务器验证设备证书Step5:急救车设备生成随机数Premaster，用服务器公钥加密发送。双方基于Premaster计算会话密钥。Step6:急救车设备发送Finished消息（包含用会话密钥加密的握手过程哈希）。Step7:服务器发送Finished消息。握手完成。Step8:急救车设备发送加密后的心电数据消息，并在消息中添加一个递增的序列号和一个时间戳，用会话密钥计算MAC以确保完整性。3.小组展示与互评（10分钟）。邀请23个小组简要展示他们的协议设计，其他小组从安全性、可行性、效率等方面进行点评。教师最后进行总结与提升，指出设计中的亮点与潜在漏洞（例如：是否忽略了设备证书的吊销检查？序列号的初始值是否安全？）。（六）课堂总结与拓展（约10分钟）1.知识体系梳理：带领学生回顾从安全需求分析、密码学基础、具体协议剖析到最终模拟设计的完整链路，强调系统性思维的重要性。【重要】再次强调，任何安全协议都不是孤立的技术堆砌，而是法律、伦理、技术与医疗场景深度融合的产物。2.前沿视野拓展：简要介绍后量子密码学（PQC）为何对医疗数据安全至关重要（因为现在的加密医疗数据可能被窃取留存，等到未来量子计算机成熟后再进行破解，即“现在截获，以后解密”），激发学生持续关注技术发展的兴趣。3.职业素养重申：【非常重要】以《希波克拉底誓言》中“首先，不能造成伤害”作为结尾，点明医学信息工程师的责任——通过严谨的技术设计，首先确保医疗信息系统不因安全漏洞而伤害患者。每一次敲击键盘，每一个协议配置，都应与患者的安危息息相关。六、教学评价与反馈（一）形成性评价课堂提问与讨论参与度：评估学生对基本概念和场景问题的理解程度。小组案例分析表现：评估学生团队协作能力和运用知识分析实际问题的能力。协议设计推演环节的成果：作为本次课最重要的形成性评价依据，评估学生综合运用密码学和安全协议知