朱鹏志赵嘉宁许于春刘启方

1 广东省医疗器械质量监督检验所 （广州 510062）

2 广州七喜医疗设备有限公司 （广州 510530）

基于IP欺骗技术的最大设备数测试方法研究

朱鹏志1赵嘉宁1许于春1刘启方2

1 广东省医疗器械质量监督检验所 （广州 510062）

2 广州七喜医疗设备有限公司 （广州 510530）

基于TCP/IP传输协议的输液信息管理系统在医疗领域的应用越来越广泛，支持的最大设备数是系统的关键性能指标，但其测试方法尚未统一。IP欺骗技术能够较好利用少量的硬件资源，模拟多台终端设备与输液信息管理系统的中央服务器进行通讯，从而进行最大设备数的测试。

输液信息管理系统 最大设备数 IP欺骗 测试方法

目前，临床上大量使用的单个自动化输注设备（包括输液泵和注射泵），在一定程度上解决了输注控制的难题，但是各自独立的输液系统的设置、观察和监测给医护工作带来了较大负担。因此，对多台输注设备的流速、输液压力及报警等状态进行集中化监控和管理的输液信息管理系统得到了广泛的应用。

对于输液信息管理系统而言，支持的最大设备数是其关键的性能指标。目前，制造商在医疗器械产品技术要求中声称系统所支持的设备数往往能够达到几十甚至上百台，其测试方法一般有两种：一种是仅通过查看软件界面中的最大显示数量，这种方法仅为软件功能性的理论验证，没有实际终端设备的支持，无法对系统运行于最大支持设备数时的状态（包括CPU占用率、响应时间等）进行监控，不能真正反应系统的实际运行情况；另一种方法则是使用实际终端设备进行测试，这种方法虽然能够解决前一种方法的缺陷，但需要的硬件资源十分庞大，在检验过程中较难实现。

使用软件模拟多台输注终端设备的方法能够较好的解决这个问题。然而，不同制造商所采用的输注终端与中央服务器的物理连接方式及传输协议不尽相同，主要包括TCP/IP协议（有线+无线），ZigBee协议（无线），CAN总线协议（有线）等。其中，基于TCP/IP传输协议的输液信息管理系统因其物理连接方式灵活，理论上可支持的设备数较多，且技术相对成熟，所以得到了较为广泛的应用。本文主要针对此类输液信息管理系统的最大支持设备数的测试方法进行讨论和研究。

1.IP欺骗技术简介

IP欺骗技术起源于1985年Rober t T. Morris的一篇关于BSD UNIX中TCP/IP软件缺陷的文章[1]。这一发现表明，TCP/IP连接和传输不完全可靠的，攻击者可以利用协议本身的漏洞来进行攻击，达到入侵目标主机的目的。因此，IP欺骗技术广泛应用于各种黑客攻击中。

IP欺骗主要是指通过伪造的源IP地址向目标主机发送IP数据包，以冒充其他系统或发件人的身份。其表现形式主要有以下两种：

一种是攻击者伪造的IP地址不可达或者根本不存在。这种形式的IP欺骗，主要用于迷惑目标主机上的入侵检测系统，或者是对目标主机进行DOS攻击。这种攻击形式，步骤十分简单，效果有限，对目标系统本身不会造成破坏[2]。

另一种IP欺骗着眼于目标主机和其他主机之间的信任关系。攻击者通过在自己发出的IP包中填入被目标主机所信任的主机的IP地址来进行冒充。一旦攻击者和目标主机之间建立了一条TCP连接(在目标主机看来，是它和它所信任的主机之间的连接。事实上，它是把目标主机

和被信任主机之间的双向TCP连接分解成了两个单向的TCP连接，攻击者就可以获得对目标主机的访问权，并可以进一步进行攻击[2]。

对于这种IP欺骗攻击，整个过程由四个步骤组成：第一，在确定目标主机之后，要找到目标主机所采用的信任模式。第二，找到被目标主机信任的主机。第三，使被信任的主机丧失工作能力，同时“破译”目标主机与信任主机间传输的数据包格式。第四，伪装成被信任的主机，建立起与目标主机基于地址验证的应用连接。

在黑客攻击中，因以上所有步骤中的信息对于黑客而言处于“黑盒状态”，因此整个过程需要使用一些比较特殊和的方法，如使用湮没法让被信任主机丧失工作能力，又如确定信任模式时，黑客需要经过大量统计加猜测的方法来得到目标主机的变化规律。

然而，在输液信息管理系统的检验过程中，整个系统对检验人员而言属于“白盒状态”，中央服务器（目标主机）的信任模式、输注终端（被信任主机）的IP地址、传输协议等均可由制造商提供，因此，可使用简化的第二种IP欺骗方法来对支持的最大设备数进行检测，即通过软件伪造输注终端设备的IP地址与中央服务器进行通讯。

2.试验方法的设计与实现

以下通过实例测试来对此方法进行验证。制造商声称其输液信息管理系统最多可支持64个床边站（即为前文所提的输注终端设备）。被测试系统的正常运行界面如图1所示。

该指标的测试思路主要是通过在一台计算机上设计一个基于IP欺骗技术的软件来模拟最大数目的输注终端设备，与中央服务器进行通讯，其物理拓扑图如图2（图中中央站即为前文中中央服务器）所示。

图1. 输液信息管理系统运行界面

图2. 测试方法的物理拓扑图

图3. 程序流程图

图4 软件界面

图5. 测试结果界面

其中，该系统为每一个床边站都分配了固定的IP地址，该IP地址段（即被信任主机的IP地址）、以及与中央站的数据包格式均可由制造商辅助提供。程序的基本流程如图3所示。其中软件界面如图4所示，床边站的信息（编号、IP地址、报警、输注速度及输注压力），通过手动编辑输入模拟软件，点击“设置完成”按钮，实现单个床边站信息的编辑，依次输入64个床边站信息后（或通过“导入”按钮将已设置过的信息文件导入程序当中），点击“发送”按钮，将所有床边站信息发往中央站。

发送信息后，可通过“导出”按钮将所有输入的床边站信息保存为.csv文件，与实际测试结果（如图5所示）中的信息进行比较，应能全部显示并保持一致。

3.小结与展望

通过基于IP欺骗技术的模拟软件来模拟输注终端设备，能够大大减少测试输液信息管理系统最大支持设备数的硬件成本。然而，在本试验中，仅对系统支持最大支持设备数进行了功能性验证，仍缺少对典型性配置下的资源占用率及响应时间的监控。在今后的检测过程中，可通过使用专业的软件性能测试工具LoadRunner来进行相关测试。

[1] Morris RT. A Weakness in the 4.2BSD UNIX TCP/IP Software[R]. AT&T Bell Laboratories, Murray Hill, N J:1985.

[2] 蒋卫华, 李卫华, 杜君. IP欺骗攻击技术原理、方法、工具及对策[J]. 西北工业大学学报, 2002,20(4):544-548.

The Research of the Test Method of the Maximum Number of Equipments Based on IP Spoofng Technology

ZHU Peng-zhi1Zhao JIA-ning1XU Yu-chun1LIU Qi-fang2
1 Guang dong Medical Devices Quality Surveillance and Test Institute (Guangzhou 510062)
2 HEDY Medical Device Co., Ltd. (Guangzhou 510530)

The infusion information management system based on TCP/IP transport protocol is widely used in medical feld. The maximum number of equipment support is the key performance indicators of the system, But the test method has not been unifed. IP spoofng technology can use a small amount of hardware resources to simulate the communication between the terminal equipments and the center server of infusion information management system. Then test the maximum number of equipment .

infusion information management system, maximum number of equipment, IP spoofng, test method

1006-6586(2017)07-0088-03

R197.39

A

2017-01-12

许于春，通讯作者。