基于MPLS VPN的多局域网通信技术在医疗信息化中的应用

万丽蓉

【摘 要】由于地域上的距离和网络发展的不平衡，很多医院都存在分院之间或者院区与其他部门之间信息交换和数据共享的困难。本文应用基于MPLS VPN的多局域网通信技术建设医疗信息化系统，实现了分布于不同的局域网中的子系统之间的数据交换。在保证各个部门对信息安全的高要求的前提下，有效、高效地实现了分布于多个局域网中的多部门之间的业务协作。

【关键字】MPLS VPN 局域网通信 医疗信息化

1 简介

随着信息技术和医疗卫生事业的发展，我国的医疗信息化程度已经取得了显著的成绩，绝大多数三级医院和二级医院以及部分先进的一级医院已经应用信息化系统形成了规范的业务流程和医疗信息储存模式。其中，应用在医疗行业中的信息化系统目前主要是医院信息化系统（HIS），包括医院管理信息系统（MIS）、电子病历系统（EMR）、临床检验管理系统（LIS）、医学图像存档和通信系统（PACS）、体检管理信息系统（PEIS）、办公自动化系统（OA）等。信息化系统的应用十分有效地提高了医疗业务数据的采集、存储、分析的准确率和效率，为医院的业务运行和管理提供了有效的数据共享交换模式，并逐步向医疗数据挖掘方向发展。

在实际应用中，由于地域上的距离和网络发展的不平衡，很多三级医院或者学校、企业的附属医院都存在分院之间或者院区与财务部门、人事部门、社保局之间的信息通信和数据共享困难，每个部门形成了一个信息孤岛。多数医院为了解决这个问题，基于互联网采用了VPN技术建设自己的虚拟专用网络。但是，由于类似社保或财务这样的部门对信息安全的要求较高，这些部门会采用专线建设各自的局域网，使得医院VPN与这些部门之间的数据交换和共享遇到了困难。本文主要针对这个问题，探讨基于MPLS VPN的多局域网通信技术在医疗信息化中的应用。

2 VPN技术在医疗信息化中的应用现状

近年来，VPN因其可以利用公共网络资源建立安全、可靠、经济、高效的传输链路的特点引起了人们的广泛注意。在VPN技术的支持下，位于不同地理位置的院区或部门可以基于Internet组建一个高效统一的虚拟专用网络。但是，在现实应用中，医疗机构的信息化不仅涉及院区之间的医疗业务信息交换，还可能涉及与财务部门、人事部门或者社保局等对信息安全要求非常高的部门之间的信息交换和数据共享。这些部门多数会采用专线模式建设自己的局域网。为了实现与这些部门之间的信息交换和数据共享，许多医疗机构提出了多种解决方案，包括：

（1）使用统一的VPN网络进行P2P模式的信息交换

（2）在业务终端采用多网卡模式进行多局域网之间的信息交换

（3）建立专门的数据交换平台借助中间件系统完成信息交换。

以上三种方案使用不同的策略实现不同部门之间的信息交换和数据共享。其中，使用统一的VPN网络进行P2P模式的信息交换对各个子系统的耦合程度要求高，并且要求各个部门能够处于相同的专线局域网络或共同使用Internet资源。在实际情况中，各个部门对信息安全的要求不同。有些部门如财务部门必须严格防止网络攻击；有些部门如人事部门需要对绝大部分数据进行部门内部加密，能够与其他部门实现信息共享的只是很少的一部分数据；而有些部门如社保局属于独立机构，必须使用独立专线的局域网络。这些不同的要求使得基于VPN网络的P2P模式很难实施。并且，由于这种模式对子系统的耦合程序要求高，使得系统的开发维护的同步性也存在相当大的困难。另外，采用基于VPN网络的P2P模式进行信息交换会大大降低部门内部信息的安全性。

第二种方案在业务终端采用多网卡模式进行多局域网之间的信息交换，该模式有效地解决了各部门之间使用独立专线局域网所产生的信息交换问题，提高了信息安全性。但是这种模式要求每一个业务终端都需要有较大的网络硬件投入，医疗机构通常为了降低投入会采用费用较低的接入方式而影响传输速率。因此，这种模式通常需要复制其他部门的数据库建立本地数据库进行数据共享。这种情况会造成数据同步不及时，数据重复备份等问题。

如果建立专门的数据交换平台借助中间件系统完成信息交换，这种方案会产生较高的中间件开发和维护的投入，并且需要长期投入专门的人力来监控和维护中间件。

基于对以上几种方案的研究，本文提出了一种应用MPLS VPN技术实现分布于多个局域网中的多部门之间的医疗业务协作。

3 MPLS VPN技术解决方案

应用MPLS VPN技术解决多局域网的医疗业务协作问题的方法，是将多种局域网信号接入医疗机构所使用的MPLS VPN虚拟网络中，子系统之间通过视图或接口调用实现分布在多个局域网中的子系统之间的数据交换和业务协作。应用MPLS技术将多个局域网的信号接入同一个VPN网络中是解决方案的关键所在。

3.1 VPN虚拟专用网络

虚拟专用网络（Virtual Private Network，VPN）简单地说就是利用公用网络架设专用网络。传统的VPN一般是通过GRE、L2TP、PPTP、IPSec协议等隧道协议来实现私有网络间数据流在公网上的传送。基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来，形成一个统一的网络。而LSP本身就是公网上的隧道。

3.2 MPLS 技术实现VPN网络

MPLS VPN网络主要由CE、PE和P等3部分组成：

（1）用户网络边缘路由器设备CE（Customer Edge Router），直接与服务提供商网络相连，它“感知”不到VPN的存在。

（2）服務提供商边缘路由器设备PE（Provider Edge Router），与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者；

（3）服务提供商核心路由器设备P（Provider Router），负责快速转发数据，不与CE直接相连。

在整个MPLS VPN中，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。

想要实现MPLS技术应用一共分为三步：

（1）建立LSP。网络可以利用CR-LDP的方法在PE路由器中间先建立LSP，LSP一般包含很多业务。LSP 是每一个沿着从源端到终端的路径上的结点的标签序列。

（2）在PE路由器上实现VPN信息。这一步就是控制VPN数据传输的过程，是实现二层VPN的关键一步。

（3）实现VPN数据的传送。当CE路由器通过某个子接口将一个VPN分组发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过输出接口发送到相应LSP上的第一个P路由器。骨干网中P路由器根据外层标签逐跳转发VPN分组，直至最后一个P路由器弹出外层标签，将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据VPN标签，查找MPLS路由表得到对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。

3.3 多局域网信号接入

基于MPLS的VPN还支持对不同VPN间的互通控制。在MPLS VPN网络中的PE路由器接入不同部门的多个局域网信号，可实现CE端在无察觉的情况下同时访问多个部门的子系统所分布的多个专线局域网或VPN局域网。

例如：医疗机构采用MPLS VPN技术形成逻辑上独立于Internet之外的内部工作网络，可在PE路由器接入社保局的专线网络信号，则内网中的终端可以同时访问医疗机构内网资源和社保局所提供的信息。

3.4 接口调用和视图共享

医疗机构的子系统在访问来自于其他局域网的其他部门子系统的数据时，为保证信息安全和访问效率，可以采用由其他部门子系统提供视图共享数据，由医疗机构子系统通过调用相关接口访问数据的模式，来实现子系统之间的數据交换和业务协作。

4 应用实例

以山东大学校医院为例，医院由分布于不同地理位置的六个校区分院组成，各校区分院子系统通过架设在校园网上的MPLS VPN形成统一的局域内网，各子系统通过不同的前置服务器访问同一个数据库服务器中的信息。医院MPLS VPN网络同时接入了山东省社保部门的局域网信号、济南市社保部门的局域网信号和山东大学校园卡中心的局域网信号。

医院HIS系统运作时，通过调用校园卡中心局域网所提供的接口对持校园卡就诊的校内教职工或学生按照相关流程完成诊疗和结算，分别通过调用省、市社保部门局域网所提供的接口对持省、市医保卡就诊的患者按照相关流程完成诊疗和结算。

5 总结

应用基于MPLS VPN的多局域网通信技术建设医疗信息化系统，在保证了各相关部门的信息安全的基础之上，能够有效、高效地实现分布于不同的局域网中的子系统之间的数据交换和业务协作。

参考文献：

[1]刘雅莉.关于计算机网络中常用VPN技术的分析[J].电子测试，2013（15）：254-255.

[2]陆伟文.医院信息系统集成[J].世界医疗器械，2006，12（3）：60-63.

[3]陈功，于洁，于春兰，等.医疗数据集成平台的扩展功能和设计[J].医疗卫生装备，2009，30（7）：59-61.

[4]白帆.计算机网络中常用VPN技术分析[J].信息通信，2012（2）：216-217.

[5]郑楠.移动IP中IPSec/VPN应用改进研究[J].中国新技术新产品，2009（2）：182-183.