公开/公告号CN102077545A
专利类型发明专利
公开/公告日2011-05-25
原文格式PDF
申请/专利权人 皇家飞利浦电子股份有限公司;
申请/专利号CN200980123066.7
申请日2009-06-10
分类号H04L29/06;H04W12/04;A61B5/00;
代理机构永新专利商标代理有限公司;
代理人赵腾飞
地址 荷兰艾恩德霍芬
入库时间 2023-12-18 02:30:29
法律状态公告日
法律状态信息
法律状态
2014-01-08
授权
授权
2011-08-10
实质审查的生效 IPC(主分类):H04L29/06 申请日:20090610
实质审查的生效
2011-05-25
公开
公开
技术领域
本发明涉及电子安全系统。更具体地,本发明涉及用于安全的健康监护(healthcare)访问和监测的装置和相应的方法。
背景技术
无线传感器网络日益地被部署用来进行健康监测,导致无处不在式(ubiquitous)的病人监测系统。在这些系统中,每个病人携带身体传感器网络(Body sensor network,BSN),BSN能够实现在家、在医院或几乎是在任何地方监测该病人的生命体征。在此背景下,可以按照极为不同的方案并且利用医疗传感器节点或设备的不同集合来监测病人。
传感器和无线通信技术正在快速地发展,并在诸如健康监护的新的应用领域获得成功。无线医疗传感器(WMS)正在变得越来越小和越来越强大,这允许广泛范围的医疗应用的无处不在的使用,例如慢性病管理。在典型的健康监护环境中,WMS集合提供了诸如ECG、SpO2和血压的多种参数的测量值,构成了用户的身体传感器网络(BSN),其允许进行健康监测,测量用户的生命体征,并将其电子健康信息(EHI)转发至网关,例如移动电话。网关允许用户直接访问并处理其EHI,并且进而发送该EHI,例如,发送到健康监护服务提供方,在健康监护服务提供方处,存储该EHI,并且可以由被授权方进行访问或修改,该被授权方例如医务人员、家人或运动教练。
BSN的无处不在的使用能够实现在用户的常规环境中进行健康监测,例如在家里或在训练过程中,并且因而提高了用户的保健(welling-being)和健康监护质量,还允许在健康监护部门中减少成本。借助于医疗传感器网络(MSN),不同的机构,例如外科诊所、健身中心、医院或养老院,在这些互异的情况和位置中进行健康监测。MSN包括较大的WMS池,用来以疾病专用的传感器和算法监测少数几个或许多用户的生命体征。因而,MSN具有关于其大小、能力或应用领域的不同的操作要求。在MSN中,可以使任意的WMS子集与病人关联,来构成该病人的BSN,并实时监测该病人的健康状态。所测量的用户的EHI可以由BSN的WMS或临床PDA来处理,或者可以经由网关发送到本地MSN数据库或后端健康监护服务设施(service),以进行进一步的处理,所述后端健康监护服务设施例如健康监护服务提供方、疾病管理服务、个人健康记录服务设施或移植物监测服务设施。
遍布式(pervasive)MSN由于属于不同的机构而相互不相关。因此,来自不同的MSN的WMS可能由于技术的不兼容性而无法在硬件和软件层次上互操作,或者由于不同的安全策略而无法在组织层次上互操作。然而,遍布式健康监护的观点要求所有MSN应用方案一起工作,并连接到后端服务设施,以允许用户在MSN中移动,并确保可以由不同机构的被授权人员监测该用户的健康状态,所述机构包括医院和保险公司。
在MSN内和MSN间交换用户的医疗数据引起隐私和安全的考虑,其要求基本的安全服务,例如机密性和验证。这些安全服务必须按照诸如HITRUST的健康监护联盟的要求来确保病人的安全和隐私,而且必须遵守关于数据保护的在美国的诸如健康保险携带和责任法案(HIPAA)的法令和欧盟法令95/46。特别是,用户EHI必须受到从端到端上的保护,即,从该用户的BSN的WMS到MSN数据库和后端健康监护服务设施上的保护,以防止未被授权方访问用户的医疗数据。然而,在此环境中提供隐私性是富有挑战性的,这是由于包括以下的MSN特征:(i)MSN间和MSN内的用户移动性;(ii)WMS的资源受限本质;(iii)MSN的WMS池中任何一个WMS子集皆可构成用来监测用户的健康状态的BSN的事实;以及(iv)关于在遍布式MSN的整个系统中的明确的用户和BSN的识别的要求。
对于集中式后端服务设施和孤立式MSN应用方案两者都已经解决了隐私和安全的问题。例如,引入了XML安全基础设施来提供对后端基础设施中的EHI的访问控制。已经分析了孤立式健康监护应用中关于无线传感器网络的安全问题。已经提出了对独立的临床信息系统的安全性要求和基础设施。然而,现有技术缺少对于综合性安全系统的定义,在该综合性安全系统中,在遍布式MSN的整个系统中可以明确地识别病人的BSN,在该综合性安全系统中,WMS可以按照安全和高效的方式与病人的病人局域网(PAN)或BSN关联,并且在该综合性安全系统中,可以通过高效的密钥分发方案提供端到端的安全性。
满足由诸如HIPAA的法令在法律上所要求的、对医疗应用的严格的安全性要求是一种挑战。必须从端到端上,即,从单个传感器节点到后端健康监护服务设施,确保用户的医疗数据的安全和隐私。由于遍布式医疗传感器网络(MSN)的诸如以下的特征,所以这是特别富有挑战性的:(i)支持病人的MSN内和MSN间的移动性;(ii)考虑到医疗传感器的资源受限本质;(iii)由医疗传感器网络的无线医疗传感器池中任何一个子集构成用户的身体传感器网络;以及(iv)提供明确的用户和身体传感器网络识别。
遍布式健康监护系统适用于广泛范围的健康监护方案并组合了不同的技术。在组织的层次上,可以将遍布式健康监护系统划分成由不同机构控制的MSN,这些机构例如医院、健身中心、外科中心或是基于家庭的。一般来说,MSN是以独立的方式运行的分发式大型ad hoc网络。MSN可以包括与不同的病人和BSN关联的大量WMS。一般来说,只有与同一病人关联的WMS相互进行通信,从而使得各个BSN是不连接的。病人和节点移动性二者都使得MSN的拓扑变得高度动态。在现有技术中,在实现的层次上,在不同MSN中所使用的WMS是不能互操作的,而且从技术和安全的角度来看,在不同MSN中所使用的WMS可能并不基于可兼容的技术,而且会属于不同的安全域。
为了使WMS可佩戴,并防止它们增加用户日常生活的负担,WMS必需小而轻量化。作为这些尺寸和重量的约束结果,还可以在电池寿命、可用的存储器和计算能力方面对WMS进行约束。在此背景下,IEEE 802.15.4和ZigBee是两种密钥标准,这是由于它们较低的能量、存储器和计算要求适合低速的无线个人局域网(PAN)或BSN应用。
由于构成BSN的WMS受限的无线电范围,所以WMS需要依靠网关设备来确保与远程后端健康监护服务设施的持久的连接性,所述远程后端健康监护服务设施用于对病人的医疗数据进行管理、存储以及提供对其的访问。在诸如医院的受限的闭合环境中,可以通过移动BSN的无线方式或有线的应用方式实现网关与健康监护服务设施之间的通信。众所周知的诸如WLAN、GSM、UMTS或以太网之类的技术被用于这些目的。后端健康监护服务设施在本质上可以是集中式的,例如,健康监护提供方服务设施、个人健康监护记录服务设施或健康监护安全服务设施。然而,这些健康监护服务设施还可以分布在各个健康监护机构或保险公司中。
用在医疗应用中的WMS的技术特征以及MSN的操作要求对安全系统的定义提出了新的挑战,尤其是在与传统的计算机网络或固定的独立的无线传感器网络进行比较时。
首先,WMS是资源受限的设备。例如,许多研究机构在设计WMS时使用了MICAz平台。MICAz配有128千字节(Kbyte)的程序闪存、4千字节的RAM。无线电芯片CC2420以硬件实现AES,并以250kbps进行通信。CPU以8MHz的时钟频率运行,并缺少除法运算。因此,安全解决方案必须是高能效的,具有最小的存储器要求(尤其是RAM),并消耗数量可忽略的计算和通信资源,以避免DoS(拒绝服务)攻击。
对医疗应用施加要求的另一个方面关注于在医疗信息的传输上以及BSN建立时间上的最大可允许延迟。例如,ECG需要250毫秒的最大延迟,并且必须在小于1秒内执行完网络建立。因此,必须最小化安全程序的执行时间,以便不限制每日的常规操作,例如,在医生查房期间,并且防止攻击者发动DoS攻击。
另外,安全系统必须在MSN和WSN层次上都是可伸缩性的。一方面,遍布式健康监护架构必须能够添加和集成新的MSN,例如,在新的养老院中、在遍布式健康监护系统中。另一方面,独立的MSN可以包括成千上万的WMS,例如,在医院中。因此,安全服务设施及其配置必须在这些层次上都是可伸缩性的,以实现用于大量MSN和病人的确实无处不在且安全的健康监护系统。
MSN用户的WMS的移动性以及在MSN用户之间的WMS的移动性提出对BSN关联和配置以及密钥分发方案的其它要求。首先,能够非常频繁发生的BSN关联必须对于医护人员而言是不触目的、自动的、可触知的、安全和透明的,以避免分散对病人护理的注意力。每个BSN皆可被认为是在MSN内的一个动态的独立的安全域,其中,WMS可以随时加入和离开,例如,可以将医院的MSN的新的WMS附着于病人,并使其与病人的BSN关联。另一方面,病人和照料者的移动性使MSN拓扑不断变化,导致网络分割和网络合并。例如,病人在医院环境中的BSN可能与医院的MSN和基础设施断开连接,例如,当在医院的花园中散步时。诸如急诊的情况会要求医生进行及时处理。因而,任何医生必须能够以ad hoc方式建立安全通信,并以安全的方式监测病人的生命体征,而避免使用某些密钥分发协议。
最后,健康监护系统应该允许对在不同的MSN中的用户和BSN进行唯一性的识别,以便明确地与可能在不同的MSN中由不同的WMS产生的用户EHI相关联。
安全性挑战
为了定义综合性安全系统,存在三个必须要解决的主要的安全性挑战:遍布式MSN中的密钥分发、安全的BSN关联和明确且唯一性的用户身份识别。
密钥分发(KEY DISTRIBUTION)是独立的MSN以及互连的MSN的安全基石,因为其定义了WMS如何接收和处理用来实现最基本的安全性要求的密钥,所述最基本的安全性要求例如MSN内和MSN间的机密性和验证。存在多种极为不同的密钥分发技术,这些技术基于公钥、集中式(在线)信任中心或密钥共享。一般来说,一种或另一种方案的可行性取决于每个具体医疗环境的操作要求和技术限制。例如,可以在属于在小型MSN中的固定BSN的WMS上预先配置对称的密钥。然而,由于节点的移动性,在其中的BSN成员是不可预测的高度动态的环境中(例如,医院),此配置是不可行的。执行在计算上复杂的操作增加了电池消耗和通信延迟,而且会致使通信协议易受到DoS攻击的影响,DoS攻击可能会阻塞所要求的医疗数据处理。基于椭圆曲线密码学的公钥系统的最高效的执行方式仍然需要0.81秒来进行单点乘法,亦即,用于建立公共密钥的基本操作。这个事实使得这些密钥建立协议易于遭受以计算资源和能源资源为目标的资源消耗型攻击。因而,在MSN中应该尽可能最小化对公钥密码术的使用。基于在线信任中心(TC)的密钥建立依靠TC来向WMS分发密钥,例如ZigBee。此方案的特征在于TC的单点故障本质和通往TC的路径上的节点的递增的流量载荷,该流量载荷消耗了这些节点的电池。DoS攻击和分组冲突同样会阻碍WMS成功地进行初始密钥协商握手,并且由此阻止了WMS发送医疗数据。另外,在许多情况下无法保证与TC的连接性,例如急诊或灾害应急。由于这些原因,能够实现直接密钥协商(例如哈希函数或多项式)的计算量不大的对称密钥密码学解决方案在独立的MSN上是优选项。
安全的BSN关联(SECURE BSN ASSOCIATION)指的是BSN的构成以及如何识别BSN中的WMS并使其与特定的用户关联。在只有固定的无线传感器集合进行通信的固定方案中,仅借助于简单配对过程将BSN关联执行一次。然而,在更复杂的环境中,例如在养老院或医院中,用户的BSN可由取自MSN的WMS池中的任意WMS集合构成,在此类环境中,WMS必须以安全的方式与病人关联。在MSN的安全域中,BSN必须被理解成完全独立的安全子域,其中,以自主的方式处理安全关系。
近来已经按照不同的方式处理了BSN关联的问题。Baldus等人在EWSN 2004的“Reliable Set-up of Medical Body-Sensor Networks”中使用创建笔(setup pen),通过红外线向医疗节点分发BSN标识符。BILG方案(J.Andersen和J.E.Bardram于2007年3月26-28日在德国亚琛市的第4届关于可佩戴和可移植的身体传感器网网(BSN 2007)的国际研讨会上的“BLIG:A New Approach for Sensor Identification,Grouping and Authorization in Body Sensor Networks”)中使用了附在身体上的专用节点。其它节点在接近它时借助于短距离通信技术接收用户标识符。Falck等人在2006.11.29-12.1的2006年健康普及会议和研讨会第1-5页,vol.,no.的“Plug’n Play Simplicity for Wireless Medical Body Sensor”中提出使用身体耦合式通信(body-coupled communication,BCC)技术来分发用户和BSN ID。在此方案中,每个病人携带身份标签,该身份标签通过BCC自动地向附在该病人身体上的WMS分发病人ID和其它配置信息。因此,此方案在BSN建立期间不需要临床医师干预。然而,由于这些方案不支持基本的安全服务而且它们也不允许将BSN转变成独立的安全域,因此需要安全的BSN关联协议。
明确且唯一性的用户身份识别指的是以下事实,即,个人可以参加如之前所描述的具有不同医疗设备的不同MSN。必须按照自动的方式将所测量的医疗信息与在整个健康监护系统中认可的主病人标识符相关联,以便在独立的遍布式MSN之间实现互操作性。为了确保不同的行政机构与健康监护机构之间的互操作性,这些标识符应该受管理。动态会话标识符可以被用来确保病人的隐私,并基于背景(context)而以不同的方式识别病人。
针对上述所有的三个要求的集成解决方案使得能够部署安全的BSN和MSN,以及能够在WMS与后端健康监护服务设施之间实现端到端的安全性。此类系统的设计方案是富有挑战性和复杂的,因为用户可能会在不同的MSN组织之间移动,并且在某些应用中,用户的BSN可能包括从MSN的WMS池中随意拾取的WMS子集。
其它安全性要求
除了以确保系统的安全配置为目标的主要安全问题之外,其它安全服务也是必要的。注意,这些传统安全服务之中的许多安全服务的提供是基于密钥和标识符的。将简短地提供对这些安全服务的概述:
a)隐私和机密性(privacy and confidentiality)指的是保护数据、身份和背景信息,以防止攻击者对通信进行窃听。例如,借助于诸如高级加密标准(AES)的加密算法来实现数据机密性。
b)数据完整性(data integrity)指的是借助于例如消息验证码来保护数据免于非法操作。
c)身份识别和验证(identification and authentication)致力于用来保证对不同的医疗事件、用户身份和所交换的数据的有效性的技术。为了确保HIPAA所要求的互操作性和明确的身份识别,应该对标识符进行管理和标准化。为了确保验证,应将身份与某种密钥建立资料(keying material)相关联。
d)审核(auditing)指的是用来以日志方式记录所有数据访问的技术,要求满足关于责任的HIPAA要求,并且在滥用的情况下提供可追踪的记录。
e)访问控制技术是授权对病人的EHI和BSN的访问所必需的。另外,访问控制策略要被定义来解决诸如访问控制优先权和授权之类的问题,如R.J.Anderson于1996年在关于安全和隐私的1996IEEE专题论文集第0030页的“A security policy model for clinical information systems”和K.Sohr、M.Drouineaud、G.Ahn.于2005年3月13-17日在新墨西哥州圣达菲市的2005年关于应用计算的ACM专题研讨会上的“Formal specification of role-based security policies for clinical information systems”中定义的。
为了满足法定要求,例如美国的HIPAA或欧洲关于数据保护的欧盟法令95/46,安全性和隐私在医疗领域中是必不可少的。在此背景下,医疗传感器节点(或设备)与医院中的后端健康监护服务设施之间的端到端的安全性是目前尚未解决的极为重要的问题。端到端的安全性必须独立于用来监测病人的传感器节点集合,并独立于在全程看护(care cycle)内所使用的健康监护服务设施。此要求包括:(i)身体传感器网络的安全关联;(ii)对身体传感器网络中与医疗相关的信息的安全存储;(iii)在整个系统中明确但同时注意隐私的病人身份识别;以及(iv)在传感器节点与健康监护服务设施之间的病人信息的安全传输。
已知的相关现有技术并未解决这些问题:
美国专利申请2007/0043594描述了一种电子健康监护传送系统,包括:(i)NFC(近距离通信)控制芯片;(ii)智能卡控制芯片;(iii)无线对等通信协议;等等。尽管此系统的目的是能够实现遍布式健康监护,但是在此现有技术中存在某些基本的差异和缺点。首先,必须指出此系统依赖于NFC技术。重要的是,此专利申请根本没有解决遍布式健康监护中的安全问题,例如,密钥分发、身体传感器网络关联、端到端的安全性。同样地,此专利申请根本没有公开无线传感器网络和身体传感器网络。
DE 20008602U公开了一种系统,在该系统中,将由病人携带的ECG传感器集合所测量的病人的生命体征与病人身份相关联。此专利申请公开了一种能够实现病人身份识别的读卡器。然而,此系统未能公开端到端的安全性和安全的身体传感器网络关联。
US 2005/10245995A1公开了用于与电子医疗移植物进行无线通信的数据传输单元以及数据采集和评价中心。此系统未能公开来自医疗传感器网络的端到端的安全协议,包括在身体传感器网络中的密钥分发、身体传感器网络关联、身体传感器网络身份识别和端到端的安全性。
US 2003/10229518A1公开了一种用于记录病人行为的方法。该系统提供了一种用来识别病人的医疗设备,以便把在该医疗设备使用过程中获得的数据归因于该病人。此系统未能公开用于识别身体传感器网络和能够实现从身体传感器网络到后端医疗系统的端到端的安全性的系统。
US 6,564,056B1描述了一种控制器,其对注册到该控制器的设备进行管理。通过将存储器插入该控制器的读卡器,将每个设备注册到该控制器。通过将设备的标识符用作密钥,对该控制器与设备之间的通信进行安全保护。此申请未能公开用于识别和注册身体传感器网络设备的读卡器,而是识别身体传感器网络的用户。
US 200210188473描述了一种系统,包括病人身份识别和允许用户访问病人的医疗历史。该系统是基于智能卡的。此系统未能解决无线传感器网络和身体传感器网络、身体传感器网络识别、传感器节点识别、安全的身体传感器网络关联以及传感器节点与医疗后端系统之间的端到端的安全性。
WO 2007/149850A2描述了一种密钥分发方法,其允许医院中任何一对设备以分布式方式就公共密钥达成一致。照此方式,此专利申请保证了在传感器节点之间或在传感器节点与床边监测器之间的基本的安全服务。然而,仍然未解决端到端的安全性的重要安全间隙。
WO 2008/014432A2描述了一种能够基于身体耦合式通信(BCC)实现病人身份识别的方法。在此专利申请中,每个病人携带身体耦合式通信标签。当病人想要使用特定的医疗设备等时,该医疗设备借助于身体耦合式通信来与该身体耦合式通信标签进行通信,以接收病人ID。照此方式,医疗设备可以利用病人的身份识别信息来使其测量值个人化,或在将测量值向前发送给医生之前,将病人的身份标识附着到所测量的生命体征上。尽管此方案允许以非常简单的方式对病人进行身份识别,但是没有考虑到对该系统的安全威胁。例如,侵入者Bob可能偷取Alice的标签并读出Alice的身份识别信息。然后,Bob可能假冒Alice或甚至访问Alice的个人医疗信息。此申请解决了身体传感器网络节点与后端健康监护服务之间的端到端的安全性问题。为此,此申请解决了以下安全性问题:
1、安全地建立身体传感器网络—就以下意义而言:在身体传感器网络中的所有设备之间的所有通信相对于验证和机密性是安全的。
2、对病人进行明确的身份识别—就以下意义而言:在包括身体传感器网络、后端安全性服务设施等的整个系统中明确地识别病人。
3、对与医疗相关的信息的安全存储,从而只有被授权人员可以对其进行访问。
发明内容
安全的端到端病人健康监护系统基于在身体传感器网络BSN中使用个人安全管理器PSM,其以安全的方式携带病人信息,例如,标识符和/或与医疗相关的信息。个人安全管理器能够以安全的方式与该身体传感器网络内其它传感器节点WMS进行通信,例如,医疗传感器节点或监测设备,并借助于身体耦合式通信BCC发送在包括后端系统的整个系统中认可的真实的病人标识符。BCC是优选的技术,但同样可以使用诸如近距离通信NFC等其它技术。另外,个人安全管理器还携带包括病人标识符、公钥等的安全信息,该安全信息允许个人安全管理器对病人的身份进行验证,并且能够实现与后端系统的端到端的安全性。在PSM与后端系统之间的安全性可以基于公钥基础设施或基于受信任第三方(例如,Kerberos计算机网络验证协议)或其它组合。
除了上述用于发送用户的EHI的技术之外,端到端的安全系统还使用了两种额外的技术,即身体耦合式通信BCC和智能卡,用来对BSN进行安全和透明的身份识别和构成,以及对安全资料和EHI进行安全存储。BCC是一种低能量的身体上通信(on-body communication),其将身体用作物理联网层,来在直接附在病人身体上的设备之间传输数据。相比于传统的无线通信,此技术节省了能量和频谱并提高了安全级别,这归因于较低的能量要求以及使得更难以在通信上进行窃听的身体上通信本质。因而,其可由属于同一病人的WMS使用来交换感测数据,实现BSN关联(即向BSN分配WMS)或交换医疗数据。智能卡技术提供了一种安全的介质来以安全的方式存储关键信息,并进行用户验证。智能卡提供了允许进行验证和安全的数据存储的加密能力。
BCC和智能卡技术的组合提供了一种强健的验证和身份识别机制。智能卡的强健的安全特征,诸如基于PIN的访问控制或嵌入式密码算法,允许对私人信息(例如密码)进行安全存储。BCC固有的注意隐私的通信性能提供了使窃听变得困难的安全的传输介质。例如,可以设想用户携带具有BCC和智能卡两种能力的身份标签。用户可以在智能卡上存储诸如密码或私人数据之类的信息。该信息仅能够例如在成功进行身份识别和验证之后经由BCC链路从智能卡检索。
可以将健康监护卡HCC(例如,智能卡)插入个人安全管理器PSM,以提供在身体传感器网络和后端安全域之间的链路,这解决了以上安全问题。个人安全管理器以安全的方式在健康监护卡上携带病人信息,例如,姓名、与医疗相关的信息、密码等,此举:
i)包括能够实现身体传感器网络节点的安全关联以及按照上述安全的方式借助于身体耦合式通信BCC来发送在整个健康监护系统中认可的受管理的病人标识符的功能。只有与同一BSN关联和保存了必要的证书的无线医疗设备可以经由该BCC链路从插入PSM内的HCC中检索私人信息,以及
ii)携带病人信息,例如,病人标识符、病人的公钥等,所述病人信息允许个人安全管理器对病人的身份进行验证,并且能够实现身体传感器网络节点与健康监护服务设施之间的端到端的安全性。个人安全管理器可以被实现在具有无线和身体耦合式通信接口的节点上,并且可以包括能够在身体传感器网络间通信与身体传感器网络内通信中实现安全功能的安全模块。
所述安全功能中的一些在物理上与该系统内其它组件分离,并且可以存储在健康监护卡上,提高了系统的灵活性和价值。
在此发明中公开的原理可以应用于医疗身体传感器网络和设备,以在无处不在式的病人监测系统(例如全程看护)中实现端到端的安全性。
身体传感器网络BSN是由适于被附在病人身体上的无线传感器WMS组成的特定的无线ad hoc网络,并且还可以包括比邻的多个无线医疗设备,如图1所示。无线传感器节点(例如,无线医疗传感器WMS)测量病人的生命体征并将其发送到PDA或床边监测器,PDA或床边监测器显示所测量的生命体征并将其转发到中央存储单元等。
此综合性安全系统克服了之前的挑战,并且能够在遍布式医疗传感器网络中实现对个人医疗数据的高效且安全的访问。该系统将诸如身体耦合式通信和数字健康监护卡概念的现有技术与分布式安全解决方案组合在一起,以能够实现安全的身体传感器网络关联、身体传感器网络中高效的分布式密钥协商和访问控制、明确的病人身份识别,以及遍布式健康监护方案之间的端到端的安全性。此系统提供了用户友好性、高性能和安全性,特别适用于资源受限的无线医疗传感器。
本发明的一个目的在于,提供用于在健康监护通信网络的所有部分之间提供安全的端到端通信的装置和方法,所述端到端通信是从身体传感器网络中的各个无线医疗传感器到后端服务设施的。
根据本发明的第一个方面,一种安全的端到端病人健康监护系统包括:
-一个或多个无线医疗传感器,其适于被附在病人的身体上,并且相互进行通信以在无线医疗传感器网络中构成身体传感器网络,所述无线医疗传感器网络包括一个或多个身体传感器网络;
-安全系数为λ(λ-secure)的密钥建立模块,其被包含在所述无线医疗传感器的每一个内,用于在所述无线医疗传感器之间实现安全通信,以及
-个人安全管理器,其在所述身体传感器网络内,并与所述身体传感器网络内的所述一个或多个无线医疗传感器进行通信,所述个人安全管理器提供与后端服务设施的安全通信,并借助于所述安全系数为λ的密钥建立模块在所述身体传感器网络内提供安全关系,
其中,所述安全系数为λ的密钥建立模块使得不超过λ个受危害的无线医疗传感器的联合(coalition)隐藏(例如,什么也不透露)任何两个未受危害的无线医疗传感器之间的成对密钥并提供针对节点危害的完美弹性,直到有λ+1个无线医疗传感器被危害为止。
所述无线医疗传感器和个人安全管理器可以适于借助于身体耦合式通信来进行通信。
该系统还可以包括被插入所述个人安全管理器中的健康监护卡,其中,所述健康监护卡包括用于明确的用户身份识别的信息和用于与后端健康监护服务设施进行安全通信的安全信息,其中,所述个人安全管理器包括由本地信任中心发布的证书,并且其中,所述系统适用于执行安全协议来进行审核/访问控制和隐私保护,以及所述个人安全管理器与所述健康监护卡的相互验证。
来自所述身体传感器网络的信息可以与病人的身份相关联,其中,所述病人的健康监护卡HCC和所述个人安全管理器PSM构成扩展的个人安全管理器PSMx,见图2,用于将多个无线医疗传感器网络安全域连接到遍布式健康监护系统。所述扩展的个人安全管理器可以适用于:
-存储由所述本地信任中心发布的证书,
-存储由集中式健康监护服务设施发布的、用于建立端到端安全通信的安全系数为λ的密钥建立模块,以及
-执行安全协议,以实现所述扩展的个人安全管理器与所述健康监护卡的相互验证、端到端的安全性、审核和对背景(context)访问控制和隐私策略的管理。
所述扩展的个人安全管理器可以适用于在病人加入所述医疗传感器网络时验证病人的个人安全管理器和病人的健康监护卡。
所述个人安全管理器可以包括适于接收健康监护卡的智能卡读卡器,并且其中,所述健康监护卡可以包括个人身份识别信息和/或医疗信息和/或安全材料和/或安全策略。
所述个人安全管理器可以包括用户姓名、标识符、安全材料、医疗记录或对不同的医疗传感器网络的访问控制策略。
所述扩展的个人安全管理器可以包括全局用户、病人局域网和个人电子健康监护信息EHI的身份识别。电子健康监护信息EHI可以来自于病人局域网。
所述健康监护卡上存储的安全信息可以被提供来识别和验证用户,以及用于充当在病人的身体传感器网络与集中式或后端健康监护服务设施之间的桥梁。所述身体传感器网络可以与所述病人局域网相同。
所述扩展的个人安全管理器可以是带有用于所述健康监护卡的额外智能卡槽的移动电话。
该安全的端到端病人健康监护系统还可以包括由与病人局域网关联的无线医疗传感器构成的自主的安全域,其中,所述扩展的个人安全管理器是所述病人局域网的信任中心,并适用于对所述病人局域网的成员的安全关联或撤销进行控制。
所述扩展的个人安全管理器和无线医疗传感器可以适用于在病人的健康监护卡上安全地存储所交换的信息和在身体传感器网络中进行的动作,即使是丢失了与医疗传感器网络信任中心的连接。
根据本发明的第二个方面,一种用于在端到端病人健康监护系统中进行安全的端到端病人健康监护通信的方法包括以下步骤:在个人安全管理器上存储由本地医疗传感器网络信任中心发布的证书;在个人安全管理器上存储由集中式健康监护服务设施发布的、用于端到端安全通信的安全模块;以及执行安全协议,以实现所述个人安全管理器与健康监护卡的相互验证、端到端的安全性、审核和/或对背景访问控制和隐私策略的管理。
根据本发明的第三个方面,一种用于安全的端到端病人健康监护系统的个人安全管理器,其中,所述个人安全管理器在身体传感器网络内,并与所述身体传感器网络内的一个或多个无线医疗传感器进行通信,其中,所述个人安全管理器提供与后端服务设施的安全通信,并借助于安全系数为λ的密钥建立模块在所述身体传感器网络内提供安全关系,其中,所述一个或多个无线医疗传感器适于被附在病人身体上并相互进行通信以在无线医疗传感器网络内构成所述身体传感器网络,所述无线医疗传感器网络包括一个或多个身体传感器网络;安全系数为λ的密钥建立模块,其包含在每一个所述无线医疗传感器内,用于在所述无线医疗传感器之间实现安全通信,其中,所述安全系数为λ的密钥建立模块使得不超过λ个受危害的无线医疗传感器的联合隐藏(例如,什么也不透露)任何两个未受危害的无线医疗传感器之间的成对密钥并提供针对节点危害的完美弹性,直到有λ+1个无线医疗传感器被危害为止。
安全系数为λ的密钥的建立指的是展现安全系数为λ的性能的密钥建立握手。典型的示例包括在有限域Fq上的λ次对称双变量多项式f(x,y),其中q足够大以能够容纳密钥。此多项式是安全系数为λ的系统中的根密钥建立资料。根据此根密钥建立资料,该系统的中心机构可以导出安全系数为λ的密钥建立资料份额(share)。该系统中的每个实体(例如,传感器节点)将携带一安全系数为λ的密钥建立资料份额。例如,根据以上的根密钥建立资料f(x,y),具有标识符ID的实体将携带安全系数为λ的密钥建立资料份额f(ID,y),即,在x=ID情况下得到的原始双变量多项式的值。
该系统中任何一对实体,例如分别携带f(ID_A,y)和f(ID_B,y)的ID_A和ID_B,能够按照如下就公共成对密钥达成一致:
-它们交换它们的标识符
-它们利用它们的安全系数为α的密钥建立资料以及所述标识符。在此特定情况下,实体A采用其安全系数为α的密钥建立资料(f(ID_A,y)),并求其在y=ID_B(即,另一方的标识符)时的值,结果是f(ID_A,ID_B)。
-实体B采用其安全系数为α的密钥建立资料份额以及另一方的标识符进行完全相同的过程。结果是f(ID_B,ID_A)。
-由于根密钥建立资料是对称多项式,因此两个实体所获得的结果是相同的,即f(ID_A,ID_B)=f(ID_B,ID_A)=K。K是由双方共享的公共密钥。此密钥用来提供进一步的安全服务。
该系统可以使用其它的安全系数为λ的密钥建立协议,即,具有安全系数为λ的性能的其它密码协议。其还可以基于多项式,但采用其它特征来改善例如其取决于部署模型的弹性,提供了诸如访问控制的更高级安全服务或更高效的性能。例如,已经提出了用于医疗领域中的具有(多)层次结构的部署模型。这些方案提供了更高的安全级别,例如,这是因为它们在该系统中引入更大数量的密钥建立资料或者将两个实体之间的成对密钥计算为从几个独立的安全系数为λ的安全域生成的密钥的组合。用于该端到端安全系统的安全系数为λ的方案同样可以适于提供进一步的安全服务,诸如访问控制或(注意隐私的)身份识别。这是通过将安全系数为λ的密钥建立资料与身份识别信息或访问控制角色相关联来实现的。安全系数为λ的方案还可以适于最小化计算要求,例如,通过使用基于有限投影平面的组合技术,密钥分割技术或标识符分割技术。
使用安全系数为λ的技术允许两个实体就成对密钥,即,在两个实体之间共享的密钥,达成一致。例如,设想Alice和Bob两个人共享对称密钥K。如果Alice想要以保密的方式向Bob发送消息,Alice使用对称加密算法利用密钥K对该消息进行加密。Bob能够用同一密钥对其进行解密。在此情况下,由于此密钥仅由Alice和Bob共享,因此该密钥是成对的。
应理解请求保护的方法具有与该装置相似和/或相同的优选实施例,以及与从属权利要求所定义的相似和/或相同的优选实施例。
附图说明
本发明的这些和其它方面从以下描述的实施例中显而易见,并参照以下描述的实施例得以阐明。在以下附图中:
图1表示根据本发明的实施例的安全的端到端病人健康监护系统的身体传感器网络;
图2表示根据本发明的实施例的安全的端到端病人健康监护系统的组件;
图3表示根据本发明的实施例的安全的端到端病人健康监护系统的个人安全管理器内的安全布置;
图4A-4C表示根据本发明的实施例的身体传感器网络内的安全性协议布置;
图5A-5E表示根据本发明的实施例的病人健康监护系统内用于端到端安全性的安全协议布置;
图6表示根据本发明的实施例的结合了安全的端到端病人健康监护系统的机构;
图7表示根据本发明的实施例的安全的端到端病人健康监护系统的通信链路;
图8描述了根据本发明的实施例由特定的医疗传感器网络中的无线医疗传感器携带的信息;
图9表示根据本发明的实施例在属于同一医疗传感器网络的两个无线医疗传感器之间的安全的通信信道的高效建立;
图10表示根据本发明的实施例用于在无线医疗传感器与个人安全管理器之间实现安全的身体传感器网络关联的方法;
图11表示根据本发明的实施例的扩展的个人安全管理器的结构;
图12表示根据本发明的实施例在扩展的个人安全管理器与后端健康监护服务设施的中心健康监护验证机构之间的通信;
图13提供了根据本发明的实施例用于示出对MICAz和uPD789828上某些安全基元(primitive)的性能对比的表格;以及
图14提供了根据本发明的实施例用于示出在多维的安全系数为λ的密钥建立的子安全域中的存储器资源分配的表格。
具体实施方式
安全的端到端病人健康监护系统基于对以安全的方式传递病人信息(例如,标识符、与医疗相关的信息)的个人安全管理器PSM和身体传感器网络BSN控制器的使用。个人安全管理器可以以安全的方式与身体传感器网络内其它传感器节点进行通信,例如,医疗传感器节点或监测设备,并借助于身体耦合式通信BCC发送在包括后端系统的整个系统中认可的真实的病人标识符。另外,个人安全管理器还携带用以包括病人身份识别信息、公钥等的信息,其允许个人安全管理器对病人的身份进行验证,并且能够实现与后端系统的端到端的安全性。
该安全架构包括几个物理元件,如图1和2所示:传感器节点(例如,WMS)用于监测病人的生命体征并且可以分成两种或更多种不同的类型。一方面,某些医疗传感器节点用于感测和发送病人的生命体征。另一方面,诸如PDA或监视器之类的监测设备与医疗传感器节点进行通信并显示病人的生命体征。可以借助于无线接口来进行通信。另外,某些传感器节点可以具有身体耦合式通信或感应能力。
健康监护服务设施是后端服务设施BS,例如,健康监护提供方服务设施HPS、个人健康监护记录服务设施PHRS和/或健康监护安全提供方HSP。这些服务设施管理、存储病人的医疗数据并提供对其的访问,以使得该医疗数据是高效的24/7。
个人安全管理器对医疗传感器节点、监测设备和健康监护服务设施之间的安全关系进行组织。因此,个人安全管理器扮演了特别重要的角色。注意,安全基础设施可能不会包括所有的这些物理元件,即,其中某些安全服务设施或监测设备可以被忽略。
在图2中,通过绘制的实线指示与健康监护服务设施的通信,用虚线来指示BCC通信或感应通信,并用点线来指示无线通信。
安全架构内包含的密码元件
该安全架构需要以下描述的不同元件。从安全角度看,这些元件和功能中的大多数被实现在个人安全管理器中,因为个人安全管理器被用作在传感器节点和健康监护服务设施之间的链路(见图3)。
1、使用前,利用激活PIN来验证用户。此功能专用于个人安全管理器PSM,并用于防止未被授权人员访问个人安全管理器。
2、密钥建立资料KM能够在传感器节点之间或在传感器节点与个人安全管理器之间实现安全通信。
3、病人的身份识别信息(数字身份)用来识别病人,并包括:
a.病人的标识符;
b.与病人的标识符相关联的密码信息。可能的实施例是使用与病人的身份绑定的一对公/私钥。这些密钥的可靠性和合法性依赖于公钥基础设施。另一个实施例将会是使用信任第三方。在此情况下,与病人相关联的唯一性的对称秘密将被用来基于在线信任中心建立进一步的安全关系。
c.数字身份控制器(数字身份管理器)可以用来处理病人的数字身份的公开。病人的标识符以及诸如公钥之类的相关密码信息的合法性依赖于用以管理整个系统中的安全关系的健康监护安全服务器。因此这些功能可以在个人安全管理器和健康监护安全服务器两者中实现。数字身份控制器位于个人安全管理器中。
根据特定的实施例,以上的某些元件可能并不出现。本发明的不同实施例会要求另外的身份识别元件,例如,生物识别技术。
4、个人安全管理器还可以包括安全存储器MEM,以允许对信息进行安全的存储,所述信息诸如:与医疗相关的信息。病人的数字身份、访问控制权限、病人的密码等等。该安全存储器MEM可以被嵌入PSM自身中或HCC内。
在图3中详细地描述了个人安全管理器的功能。各个实施例可以包括多个唯一性特征,例如,只有在成功输入用户的PIN之后才可被激活的个人安全管理器PSM;个人安全管理器会具有某种智能,即,包含对安全协议的描述的逻辑块;个人安全管理器可以包括密钥建立资料KM,以实现与传感器节点的安全通信;个人安全传感器可以存储与病人相关的信息,包括:病人的数字身份、医疗信息、访问控制权限或密码;并且所述密钥建立资料和逻辑可以被嵌入该个人安全传感器中;然而,与病人相关的信息可以存储在智能卡上,例如,健康监护卡HCC。照此方式,可以通过在个人安全管理器中更换病人的健康监护卡来由不同的病人使用同一个人安全管理器。
安全架构的功能
接下来,描述了个人安全管理器如何利用之前的安全基元来管理传感器节点与健康监护护理服务设施之间的安全关系。在图4和5中图示说明了在不同的物理元件之间的这些功能和关系中的一些。
1、用户验证—在激活个人安全管理器之前,用户必须借助于用户PIN验证其自身。PIN借助于用户接口(UI)等来输入。这在身体传感器网络控制器PSM被实现在移动电话等等中时能够轻易地实现。其它的身体传感器网络控制器功能可以只有在用户验证成功之后才可操作。根据实施例,可以只有在插入HCC的情况下才可能激活PSM,这是因为HCC实现用户验证功能。
2、身体传感器网络的安全的自动建立—在激活后,个人安全管理器可以被用来以安全的方式建立身体传感器网络。为此,当病人到达医院等等处时,该病人会收到具有上述功能的个人安全管理器。在接纳病人(admission)过程中还可以载入有权访问该病人的身体传感器网络的医生、护士等等的标识符。另外,可以手工地或从医院服务器载入与病人相关的信息,例如,标识符、与医疗相关的信息。在此情况下,个人安全管理器可以在单个设备中实现图3中所述的全部功能。
另外,个人安全管理器可以包括用于诸如智能卡之类的健康监护卡的读卡器。在此情况下,可以在智能卡HCC中存储病人所有的与医疗相关的信息,例如,病人的数字身份、与医疗相关的信息、公钥和私钥、密码等。只有在个人安全管理器中插入病人的健康监护卡后,才可以访问此信息。此信息中的某些信息可以总是可获得的,而对其它信息的访问会要求不同的授权级别,例如,不同的PIN。一旦病人佩戴了其个人安全管理器,其就可以被关注。为此,医生可以将几个传感器节点(例如ECG、SpO2)附在其身体上以及连接到监测设备。为了将传感器节点和监测设备与病人的身体传感器网络关联,医生可以使用如图4和5中描述的个人安全管理器。个人安全管理器与身体传感器网络之间的这种关联可以使用身体耦合式通信BCC、感应通信(例如,近距离通信)等。使用BCC具有固有的优势,因为只有附在同一个人身上的设备才可以相互进行通信。除了在图4和5中描述的关联特征之外,由于以下特定方面而使得所述的机制是安全的:
图4A—个人安全管理器PSM和传感器节点WMS利用密钥建立资料KM来就公共秘密达成一致并相互进行验证。照此方式,个人安全管理器保证只允许经过验证的医疗设备PDA加入病人的身体传感器网络。还可以利用存储在PSM(或PSM内插入的HCC)上的访问控制策略来判断是否授权某个传感器节点加入该BSN。
图4B—个人安全管理器可以访问与病人相关的信息,包括标识符或个人健康记录。因此,个人安全管理器使用真实的病人信息以明确的方式识别身体传感器网络,并简化了全程看护。特别是,个人安全管理器可以:
(1)导出病人的临时病人标识符(病人ID),用来识别身体传感器网络。可以周期性地改变临时病人标识符,以保护用户的隐私范围和防止跟踪,
(2)设置用于在BSN安全域内进行通信的BSN网络密钥K。BSN成员之间所有的通信可以基于此密钥而受到保护,此密钥允许广播。
(3)基于密钥建立资料,以安全的方式向医疗传感器节点发送病人的信息(响应于请求)。发送的信息可以包括临时的病人标识符或者医生、护士或访问该医疗信息的其它个人PDA的标识符(见图4B)。
图4C—最后,医疗传感器节点可以利用之前由个人安全管理器分发的密钥K,以安全的方式向监测设备发送病人的生命体征,以实现基本的安全服务。
3、明确的病人身份识别和对后端健康监护服务设施的访问代表了现有技术系统的问题,因为难以将与由随机的传感器节点集合测量的生命体征在一起的临时病人标识符绑定到此后端系统,例如,在服务器中存储的个人健康记录。
本发明克服了此问题,因为个人安全管理器充当传感器节点与后端系统之间的安全链路。一方面,个人安全管理器具有密钥建立资料,其能够实现与传感器节点的安全通信。另一方面,个人安全管理器还可以具有识别病人所需要的信息。可以在病人接纳过程中或是在将病人的健康监护卡插入个人安全管理器读卡器之后加载此信息。
图5A-5E描述了由传感器节点、个人安全管理器和后端系统执行,来独立于可被用来监测病人的传感器节点集合而实现端到端安全性和明确的病人身份识别的协议。图5A图示说明了将个人安全管理器连接到健康监护安全提供方HSP,以基于存储在个人安全管理器的存储器中的公钥来验证病人的身份。图5B图示说明了对不同安全参数的协商,例如,可被用来实现端到端的安全性的对称密钥K。然后,图5C和5D图示说明了传感器节点与病人的身体传感器网络的安全关联,如上所述,以及在HSP与BS之间的安全关联。最后,图5E图示说明了如何以安全的方式不仅向监测设备PDA还向健康监护服务设施发送病人的生命体征。
4、除了之前具体说明的操作问题之外,该安全架构还能实现进一步的安全服务,例如:
安全的存储器——其可以被用来存储机密信息,例如密码或与医疗相关的信息。对此信息的访问可以被限制于被授权用户。借助于不同的PIN可以实现不同授权级别。携带个人安全管理器的用户可以使用其来以安全的方式存储密码。
安全的登录—其可以由携带具有BCC能力的PSM的用户使用。例如,设想用户想要在网上查看其健康监护纪录。在PSM上存储了登录信息(例如,用户名+密码)。用来查找健康监护记录的个人计算机可以包含BCC接口。当PC开启BCC时,PSM可以基于分发的密钥建立资料来验证该PC。然后,用户可以检查其健康监护记录而无需手工输入其用户名和密码。此信息被存储在PSM上,并经由BCC直接发送到PC。可以使用相同的解决方案来访问个人电子邮件、进入房间等。
数字身份—用户可以将个人安全管理器用于身份识别目的,并且由此该安全模块实现子模块。一般来说,病人或人员的数字身份可以与公/私钥相关联。
网络控制—可以使用个人安全管理器来存储有用的信息,例如:
i.构成身体传感器网络的传感器节点;
ii.监测设备,其监测病人的生命体征;
iii.在监测病人期间发生的其它事件,例如,传感器节点的异常行为。此信息可被用来检测有缺陷或受到危害的传感器节点。在此事件中,应该从BSN中移除受危害的设备,并且应该更新BSN/用户的诸如标识符或BSN网络密钥K之类的信息,以便保护用户的隐私。
在遍布式MSN中的密钥分发
密钥分发对于实现端到端的安全性是基本性的。然而,对最佳密钥分发方案的选择依赖于MSN和健康监护系统的技术限制和操作要求。
在MSN中任何一对WMS之间的可靠且安全的通信要求WMS具有直接建立成对密钥而无需依赖于上述在线信任中心或公钥基础设施的能力。本系统可以使用两种不同类型的密钥分发方案,以基于所需要的健康监护应用的操作要求来处理密钥。一方面,我们具有所谓的个人BSN,其始终包含同一WMS集合,因为它们总是由同一用户使用,例如,在家里。通过借助于带外信道或是在安全环境中在所有节点之间分发成对密钥,来轻易地解决这些个人BSN的密钥分发。因而,在一个具有n个节点的BSN中,每个节点存储n-1个密钥。
另一方面,在医院、养老院和健身中心中,MSN可以包括大量WMS。可以从MSN的WMS池中随机拾取WMS子集,以构成BSN。在此情况下,基于安全系数为λ的密钥分发系统(例如,Blundo多项式)的密钥分发系统提供了一种高效和可行的解决方案来进行高效的密钥分发,这是因为它们需要很少的计算资源,而且能够在任何一对节点之间实现全连接。在此背景下,属于同一MSN的每个节点z具有唯一性的标识符IDz,标识符IDz与由该节点携带的一不同但相关的密钥建立资料集合KMz相关联。信任中心根据密钥建立资料根(KMroot)离线产生用于不同节点的不同密钥建立资料集合。无论何时一对节点需要就公共密钥达成一致,它们就交换它们的节点ID,并使用它们各自的密钥建立资料来就用以实现进一步的安全服务的成对密钥达成一致。在一种解决方案中,KMroot是在有限域Fq上单个的λ次双变量多项式f(x,y),其中q足够大以能够容纳密钥。每个WMSz从MSN信任中心接收从KMroot导出的密钥建立资料集合KMz,其例如由通过求原始的双变量多项式在x=z时的值生成的多项式份额f(z,y)组成。在WMSz的总寿命期间携带此密钥建立资料集合KMz,并且标识符IDz可以被视为用以标识MSN中的每个节点的序列号。其中这个KMroot是双变量多项式的解决方案可以结合密钥分割或组合技术来提高该安全系数为λ的密钥分发系统中的系统性能和弹性。为了简单起见,我们认为WMS携带的每个KMz由多项式份额f(z,y)组成。
此解决方案允许高效的分布式密钥协商,但无法实现对诸如MSN中的访问控制、医疗应用中的密钥安全问题之类的安全服务的轻量化实现方式。这是由于每个节点z携带的KMz与唯一性的标识符z相关联并且这需要大量存储器来存储访问控制列表。此外,使用单个安全系数为λ的安全域SD暗示了,在MSN SD中捕获到λ个WMS则允许攻击者危害整个MSN的安全性。
为了克服这两个问题,可以将目标MSN的部署模型考虑在内,来以聪明的方式向WMS分发额外的安全系数为λ的KM。为了对此进行理解,观察到可以根据诸如所有权、操作区或医疗专业之类的不同特征来将属于一个MSN的WMS细分为几个子-SD。例如,可以根据以下特征对一个医院MSN的WMS进行分类:(i)位置(医疗MSN可以包括几个医院,这些医院中的每一个医院可以被划分为不同的部门);(ii)医疗专业,因为位于不同医院中的部门可以共享相同的医疗专业;或(iii)操作区,因为患有特定疾病的病人可能在不同的医疗部门进行治疗。MSN信任中心TC(见图6)可以向WMS分配额外的安全系数为λ的密钥建立资料,以便以分立的方式识别和验证某个WMS属于先前描述的子-SD中的哪一个。每个特征j(1≤j≤n)可以描述扁平SD或SD的分层基础设施。扁平SD包括MSN的能够以相同的概率p进行通信的WMS子集,例如,在同一操作区中使用的WMS。SD的分层基础设施描述了节点之间的关系,例如,由于WMS位置造成的节点之间的关系。例如,可以将节点的位置分成医院和/或部门。在此示例中明确的是,在医院中所有的WMS必须能够相互进行通信,而属于某个指定部门的WMS由于其出现在相同的位置,所以相互之间的通信更加频繁。实际上,来自不同部门的WMS之间很少会进行通信,例如,只有在病人被移到另一个部门时才会进行通信。以下公式可以用来将用于子-SD的子标识符IDij分发给具有标识符ID:IDji=h(ID|j|i),的WMS。
在此表达式中,h(·)是密码哈希函数,j标识了WMS特性,例如位置或所有权,而i指的是在SD分层中的级别,例如,对于位置而言,医院位于级别1,且部门位于级别2。注意,可以根据不同的KMijroot,例如不同的双变量多项式fij(x,y),来产生与这些子-SD中的每一个子-SD相关联的密钥建立资料,但是借助于(1)来关联在每个子-SD中所使用的标识符,以防止攻击者创建具有任意特征的任意身份。注意,可以容易地对以上的命名约定进行改变、修改或简化。
图8描述了在特定的MSN中的WMS所携带的信息。WMS具有唯一性的MSN标识符IDMSN,其与密钥建立资料KMMSN相关联。此信息能够在同一MSN中任何一对WMS之间实现完全互操作性。注意,可以按照依据不同设备或医护人员的数字身份的方式来向该不同设备或医护人员分配IDMSN。另外,WMS还携带了密钥建立资料,其根据三种不同的特征,即位置(建筑物和楼层)、操作区和医疗专业,来识别和验证自身。
基于此信息,属于同一MSN的两个WMS可以用高效的方式来建立安全的通信信道(见图9)。在第一步中,WMS1(例如,临床医师PDA)向WMS2(例如,附着于病人的ECG WMS)发送通信请求。WMS2要求该PDA的针对属于该MSN的身份识别。另外,该病人的访问控制策略可以要求该临床医师具有特定的数字身份IDMSN或属于同一医院和操作区子-SD(所要求的角色)。一般来说,子-SD的任何子集可能需要被授权来执行命令。此方案允许以密码学增强的访问控制。第三,两个WMS执行密钥协商握手。为此,每个WMS根据与要被验证的每个要求的(子-)SDji相关联的密钥建立资料KMji计算部分密钥(partial key)Kji。通过求KMji,即多项式份额fji(h(ID|j|i),y),在此(子-)SD的另一方的标识符处的值来计算Kji。两个节点都可以通过按照相同的顺序对所有的部分密钥进行哈希运算来生成主密钥K。如果其中每一个部分密钥皆相同,则主密钥K对这两个WMS将会是公共的。然后,用此密钥来借助于“请求-应答”验证握手对两个WMS进行验证。成功的验证还暗示了该临床医师满足该病人的访问控制策略。注意,此示例中基本的密钥分发方案可以被轻易地扩展到具有任意数量的子-SDji的一般性的多维的安全系数为λ的密钥建立mλKE,其中,主ID对设备的数字身份进行编码,并且子-SD代表了该设备的角色。此外,通过如现有技术所述地计算ID=h(数字身份),该ID还可以被用来对实体的数字身份或诸如访问控制角色之类的其它信息进行编码。
除了确保WMS之间的安全通信之外,所公开的安全系统必须能够在BSN的WMS与后端健康监护服务设施之间实现端到端的安全性。此系统为此使用了基于公钥基础设施PKI的解决方案,因为它允许用户以安全的方式在MSN间移动,并且由此确保了互操作性。观察到有其它方案,例如,基于信任第三方的方案,例如,Kerberos,也可被用来实现相同的目的。在基于公钥的方案中,系统中的每个用户需要由健康监护认证机构HSP(集中式的或分布式的)发布并与该用户的身份相关联的一对公/私钥(见图6)。如以下描述的,这一对密钥仅在用户到达MSN时发生的初始化配置过程期间使用,以便最小化资源要求(见图6和图12)。然而,确保用户的BSN总是包含这一对密钥是富有挑战性的任务,因为BSN的成员是不可预测的,如上所述。以下提出了对这些问题的解决方案。
安全的BSN关联
所公开的系统基于并扩展了上述BSN关联协议,以实现安全的BSN关联,如图10所述。被称为个人安全管理器PSM或扩展的个人安全管理器PSMx的特定的WMS(见图7、10和11)充当个人标识符,因为该特定的WMS用来向附着于病人的其它WMS发送病人的标识符,并且由此将WMS与该用户的身份相关联。PSM与WMS之间的通信可以基于身体耦合式通信,并且由此可以被限制于直接附在病人身体上的设备。
首先,在向某个WMS传送病人ID或在BSN中接受某个WMS之前(图10,步骤1),PSM根据之前描述的安全系数为λ的方法对该WMS进行验证和授权。为此,PSM和WMS可以使用这两个节点都携带的安全系数为λ的密钥建立资料来生成主密钥KPSM-WMS。基于此密钥,这两个节点可以相互进行高效的验证和授权,并以安全的方式发送进一步的信息,例如,用户ID。另外,PSM可以充当BSN的信任中心,其生成BSN密钥KBSN并向所有BSN成员分发。KBSN是BSN的安全域的网络密钥,而且可以被用来在BSN内实现广播,以及用来将该BSN转换为在MSN SD中的由该用户的BSN控制的独立的SD。
与BCC结合的网络密钥KBSN还可以毫不费力地实现WMS撤销过程。这在某个节点被捕获或离开病人的BSN时是必不可少的。为此,PSM在BCC上向BSN中的每个成员发送周期性的请求。如果PSM从当中任何一个BSN成员没有收到应答,则PSM就同时更新用户标识符和BSN密钥K’BSN,以便保护用户的隐私。通过利用身体耦合式通信和对应的成对密钥,以安全的方式向BSN成员发送新的标识符和BSN密钥。最后,PSM可以向BSN中所有的WMS发送随机序列。WMS可以依据此随机序列进行同步的闪烁传输(blink),以便允许临床医师以简单的方式检查所有WMS的正确的BSN关联。
明确且唯一性的用户身份识别
BSN必须被视为是在MSN中的完全独立的SD,其中,借助于PSM来处理与其它MSN的WMS和用户的安全交互。另外,PSM必须提供全局用户和用户的电子健康监护信息(EHI)身份识别以及进一步的安全服务,例如,审核、对访问控制策略的管理、或端到端的安全性。
为了使用户的生命体征与独立于用户在一特定时刻所处的MSN的用户的唯一性标识符相关联,所公开的安全系统可以结合PSM来使用健康监护卡HCC,从而构成扩展的个人安全管理器PSMx。PSMx连接不同的MSN安全域与遍布式健康监护系统,即,PSMx对在特定的MSN中构成用户的BSN的WMS与后端健康监护服务设施之间的安全关系进行组织,以便在遍布式MSN中实现明确且唯一性的用户身份识别。
PSMx可以包括几个独立的功能块(见图11)。首先,PSMx可以存储安全系数为λ的密钥建立资料KM,以实现与MSN中的WMS的安全通信,如上所述。在建立阶段,PSMx可以预先配置有以安全系数为λ的KM,或者PSMx能够在安全的环境中实现其动态配置。PSMx还可以存储由本地MSN信任中心发布的证书。此证书的目的是在用户加入MSN时,允许该用户和该用户的HCC对PSM的可靠性进行验证。其次,PSMx可以实现智能卡读取器(HCC槽),以便可以插入用户的健康监护卡。所公开的系统使用具有身份识别目的的HCC以便在医疗应用中使用。用于遍布式健康监护的安全系统应该完全与之兼容。在一个实施例中,最相关的用户医疗信息将被存储在HCC上,例如,用户名、标识符和医疗记录或是对不同MSN的访问控制AC策略。另外,HCC还可以存储由全局健康监护CA发布的用户的公/私钥。最后,PSMx可以实现用以进行PSMx和HCC的相互验证、端到端的安全性、审核以及对背景访问控制和隐私策略的管理的安全协议。
组合HCC与PSM来创建PSMx确保了不同的MSN与后端系统之间的互操作性。一方面,无论用户在何处,存储在HCC上的安全信息都对用户进行识别和验证,充当用户的BSN与集中式健康监护服务设施之间的桥梁。这包括利用在整个系统中所使用的受管理的用户ID或者根据受管理的过程而从标识符导出的临时假名,来在各种应用场景之间实现明确的用户身份识别。用户的公钥被用来验证用户ID,和在BSN与后端健康监护服务设施之间建立安全通信。另一方面,其中插入了HCC的PSMx存储了安全系数为λ的KM,其能够实现与同一MSN中的WMS的安全通信。因此,此构造允许在构成用户的BSN的WMS与集中式的遍布式健康监护服务设施之间创建端到端的安全链路,即使是在病人从一个MSN移到另一个MSN的情况下。另外,可以通过更换HCC来切换PSMx以适应新的病人(见图6、7和11)。PSMx的实施例的范围可以从具有用于HCC的额外智能卡槽的移动电话到医院中的病人所携带的手环。
另外,PSMx还可以动态地管理病人的访问控制AC策略(见图10)。这些访问控制策略可以与以上所解释的安全系数为λ的访问控制技术相组合。在此背景下,PSMx可以利用由后端健康监护服务设施所控制的全局AC策略来处理当前MSN中的本地AC策略。关注背景(context-aware)的技术可以用来改进访问控制策略,例如,以便能够在检测到紧急情况时实现任何临床医师对病人的BSN的访问。
最后,我们的安全系统的一个重要特征是,BSN构成了自主的安全域SD,其中,PSMx是用户的信任中心。因此,在BSN中进行的所有动作都可以被记录在用户的HCC上,即使在失去了与MSN信任中心的连接的情况下。这保证了对医疗行为的审核,因为用户的HCC能够保存对试图或已经访问用户的BSN的所有设备和用户的记录。此外,智能卡的技术特性防止非法访问此信息。
系统评价
可以从三个正交的角度对MSN的安全架构进行评价,即,在专业医疗环境中的实践可行性、系统性能和安全性分析。
实践可行性:配置和部署
MSN的安全系统必须易于配置和部署,以便最小化成本。另外,没有技术背景的医护人员和用户必须能够依靠直觉处理为他们提供的设备。
为了显示这两种特性,现在我们将把注意力集中在当年长的用户Robert到医院进行专业医疗过程时的系统配置上(见图6)。当Robert到达医院的接纳处(admission desk)时,他用他的HCC进行身分识别和付款。随后,将HCC插入PSM以创建PSMx,并进行相互验证握手。该PSMx被配置具有对应的安全系数为λ的KM以实现与WMS的安全通信,并且还被配置具有用于此病人的本地访问控制策略。此本地策略存储在病人的HCC上,以及存储在病人的后端健康监护记录内。
在接纳之后,病人收到一组诊断用的WMS,用于监测他的生命体征。其中每一个WMS通过经由身体耦合式通信BCC进行密钥协商、验证和验证握手,来与病人的PSMx通信。每一个成功完成此步骤的WMS变成病人的BSN的成员,并接收BSN网络密钥和病人的标识符。在病人的HCC上存储每个以及所有WMS的标识符,包括用来监测或治疗病人的临床医师的PDA的数字身份。医院的MSN(MSNHOSP)可以包括多个BSN(BSNx Hosp)。
该系统允许以安全的方式自动地对BSN进行初始化,例如,当医生想要监测病人的生命体征时,医生简单地触碰病人以在PSMx与PDA之间建立BCC信道。临床医师的PDA通过根据访问控制策略进行密钥协商、验证和授权来以安全的方式自动加入Robert的BSN,并接收病人的假名和KBSN。病人的BSN中的其它WMS从PSMx接收PDA的地址,以便它们可以按照安全的方式开始向该PDA发送病人的生命体征。
该系统还可以实现动态的关注背景的隐私和访问控制策略,其允许动态地改写访问控制规则。例如,如果病人遭受心脏病发作,WMS可以向PSMx发送警报,以便PSMx可以授权任何一个临床医师照顾该病人。注意,mλKE仍然确保在这些情况下进行安全通信,因为MSN中所有的WMS共享来自主MSN SD的相关KM,并且由此该MSN中任何一对WMS可以就公共成对密钥达成一致。
系统性能
在资源受限的设备上,即,WMS、PSM和HCC上,分析所公开的安全系统的性能,因为它们代表了系统的瓶颈。WMS平台可以包括上述MICAz的特征。假设为安全系数为λ的KM总共预留2千字节(Kbyte),并使用64比特的密钥。最后,假设HCC的密码能力和性能类似于例如NEC的uPD789828。表1(图13)比较了在MICAz和uPD789828上某些安全基元的性能。
现在,根据基于Blundo多项式的、用于无线传感器网络的几种密钥建立协议的性能,来略述mλKE的效率。求λ阶多项式的值和64比特的密钥需要500·λ个CPU周期,这在8MHz时用了0.0625·λ毫秒。上述密钥分发方案要求求具有多达2千字节的最大尺寸的几个多项式的值,即,在不同多项式中分布了总共256个系数。因此,当使用256作为λ时,多项式求值时间可以接近于16毫秒。计算MSN的每一个子-SD的标识符、主密钥,生成会话密钥或验证握手需要使用哈希函数。然而,可以使用在MICAz上可用的AES硬件实施方式来高效地实现哈希函数。例如,应用Matyas-Meyer-Oseas哈希算法(其也在ZigBee中使用),进行16字节的哈希算法花费不到12微秒。因此,在此特定示例中,总计算时间可以接近于16毫秒。这个值表示此方案比公钥解决方案快得多。此外,此方案具有两个另外的优势:首先,一对WMS仅需要交换它们的MSN标识符(2字节)和子-SD标识符来进行验证。相比于交换较长的公钥,这减少了通信开销,有助于延长WMS的电池寿命。其次,此方案能够实现访问控制策略而无需存储较长的访问控制列表或要求使用需要花费较大的公钥的数字签名。因此,假设BSN包括大约10个WMS,所公开的系统能够在大约160毫秒的时间内实现安全的BSN关联,包括密钥协商和固有的访问控制,这比单个公钥计算快得多(见用于进行比较的表1(图13)),而且满足ECG传输和BSN建立的延迟要求。
利用轻量化的密码基元进行频繁的操作,所公开的系统使WMS免于高计算强度的操作,将公钥密码术的使用减少到仅针对在HCC、PSM和中央健康监护信任中心之间的用于配置PSMx的那些安全握手。这些握手仅在初始的PSMx配置过程中偶尔发生在安全环境中。因而,该系统不容易受到DoS攻击。
安全性分析
多维的安全系数为λ的密钥建立mλKE能够通过利用分散式密钥分发方案来实现快速密钥协商。然而,安全系数为λ的密钥分发系统的缺点在于,λ个独立的密钥建立资料集合的组合允许攻击者破坏系统的安全性,即,恢复原始的KMroot。在这部分中,我们分析所公开的多维的安全系数为λ的密钥分发方案如何不仅能够实现分布式访问控制,而且还能够优化系统的弹性,使得可以实现较高的安全级别。以下,术语“弹性”α表示在基于安全系数为λ的密钥分发系统的SD(安全域)中捕获到k个节点之后受到危害的通信的分数(fraction)。观察到0≤α≤1,并且如果在SD中使用单个多项式,则当k=λ时α=1。我们将使得α=1的受危害的节点数量,即λ,与SDij中的WMS总数量nji的比值命名为相对弹性αr。注意到,αr大于1的安全系数为λ的系统是最安全的,并且给定两个具有相同弹性的安全系数为λ的SD,具有接近1的αr的SD可以被认为是更安全的,因为入侵者必须从较小的WMS池中捕获数量相同的节点。因此,弹性是系统对节点危害的抵抗力以及保护性的测量。
为了破坏mλKE,攻击者必须危害每一个(子-)SD。同样地,为了破坏与WMS的通信的安全性,攻击者必须破坏WMS从中获得安全系数为λ的KM的所有的安全系数为λ的SD。因而,对于图8中描述的KM,攻击者必须破坏总共5个SD才能够危害通信。不管单个安全系数为λ的SD(例如,MSN SD)由于所有的设备携带来自该SD的KM集合并攻击者可通过相对小的努力获取它们的一小部分而相对易于破坏的事实,破坏其余的子-SD要困难得多。这是因为这些SD的相对弹性较高,而且只有MSN中的某些节点拥有相关的KM。因而,如果攻击者试图移除同一(子-)SD中的许多WMS,就会被轻易地检测到。另外,攻击者为了破坏所有通信而必须获得的安全系数为λ的信息量随着使用多个安全系数为λ的SD而递增,并且即使是它们中的一个被危害,剩余的仍然会保持安全。
一般来说,分别由公式(2)和(3)给出mλKE的弹性和相对弹性,其中,主密钥K被计算为从几个安全系数为λ的SD,即SDji,生成的几个部分密钥Kji的哈希函数:
公式(2)
公式(3)
示例—我们假设医院的MSN包括总共1000个WMS(~100个病人BSN);两个建筑物,每个建筑物分为5层;以及总共10个操作区和8个不同的医疗专业。我们还假设使用2千字节的存储器来分配安全系数为λ的KM。每个子-SD被分配的存储器数量如表2(图14)所述,并且假设均匀地向子-SD分发WMS,我们可以计算每个子-SD的弹性和相对弹性。根据这些值,我们可以作出结论:为了破坏此特定的系统,攻击者必须危害WSN池中的385个节点,即38.5%。
虽然在附图和前面的描述中详细地说明和描述了本发明,但是这种说明和描述将被认为是说明性或示范性的,而不是限制性的;本发明并不局限于公开的实施例。本领域技术人员在实现该请求保护的发明时,通过研究附图、公开内容和附加的权利要求,可以理解和实现该公开的实施例的其它变化。
在权利要求中,术语“包括”并不排除其它元件或步骤,而且不定冠词“一”(“a”或“an”)也不排除多个。单个元件或其它元件可以满足权利要求中阐述的若干项的功能。仅仅是在相互不同的从属权利要求中阐述的特定手段并非指示不能使用这些手段的组合来获得优势。
权利要求中所有的参考符号不应构成对其范围的限制。
机译: 泛型患者监测的个人安全管理器
机译: 泛型患者监测的个人安全管理器
机译: 泛型患者监测的个人安全管理器
