成大研發快訊 - 文摘 成大研發快訊 第十四卷 第三期 - 2010年六月四日 [ http://research.ncku.edu.tw/re/articles/c/20100604/3.html ]
一個支援適應性安全機制的醫療看護系統
黃悅民
1*、謝孟諺
2、趙涵捷
3、洪淑惠
1 成功大學工程科學系1 靜宜大學資訊工程系2 宜蘭大學電機資訊學院3 huang@mail.ncku.edu.tw IEEE JSAC 27(4) May 2009由
於科技的發達,醫療看護系統藉由無線網路的技術已可以遠端監控老年人和 慢性病患者。本研究採用一個以感測為基礎的安全醫療看護架構,建構在三個異質 的無線網路環境。適應性的安全機制被設計和建置在此架構,以保護透過不同無線 技術傳輸的感測資料。我們使用提出的架構來實作出原型範例,亦有效驗證所提出 的安全機制。 圖(一):應用在醫療看護系統的安全策略 以感測為基礎的安全醫療看護 架構,共分三個不同異質網路。第一層為感測網路 層,由兩種不同的感測系統形成。可穿戴式感測系 統,稱做WSS,使用布料的腰帶和胸帶以舒適患者的 身體,其包覆藍牙傳輸元件和多個生物感測節點,收 集捉病患的生理感測信號。環境無線感測節點,稱做 WSM,是分散安置在病患居住的建築物,用來採集環 境物理參數。WSS和WSM要被認證後,才能安全地傳 送環境物理和生理感測參數,並合法的存取其它網路 層。第二層為行動運算網路層,由多個行動計算裝置 (MCD, 如PDA和Notebook),形成無線區域網路, 使用隨意路由的方式進行多點跳躍連接至固定的無線 區域基地站上。一個MCD雖有足夠的計算能力,捕獲 和分析來自WSS或WSM的物理感測資料,但沒有大量 儲存容量,所以無法記錄長期時間(如數月或數年)的 感測數據。透過以基礎建設的區域網路模式,MCD可以將感測資料路由至連接後端的基地站。第三層為後 端網際網路層,有固定的伺服器提供應用服務,加工和儲存來自MCD的各種感測數據。後端伺服器的資料 庫,可長期和大量儲存病患的生理感測資料和環境感測數據。第三方認證中心應設立在第三層上可信任的 開放領域,如醫院或療養院的醫療監控應用程式。中心可透過基地台,以提供有效金鑰和證書給需要的 MCDs。圖(一)為適應性安全機制應用在此架構,保護以不同無線傳輸的感測資料。 安全協定在WSS和MCD之間:一個MCD可使用PicoNet技術連接多個WSS,由MCD的識別碼和PicoNet的頻 道存取碼進行雜湊值計算,得到一個以群組基礎的會議識別值GSIDMCD: GSIDMCD = Hash(MCDindex CACp)。
透過SAFER+密碼演算法,雖然藍芽規格定義出認證性、機密性和金鑰產生,然而還是會產生中間人攻擊 和重複攻擊造成MCD接收藍芽的資料不正確。WSS採用AES加密技術來修改驗證程序,以增強藍牙傳輸的 安全,而安全機制是設計在藍芽HCI(Host Controller Interface)標準協定上。將128-bit AES區塊加密和訊息 驗證碼的方式應用在藍芽實體層的資料傳輸上,可以有四種可調整的情況,分別為None模式、CBC-MAC 模式、AES-CTR模式和AES-CCM模式。各模式做法如下:
成大研發快訊 - 文摘 多項式為基礎的對稱式加密方式在WSM和MCD之間:兩個WSM利用多項式的加密技術,來達到點對點之 間的安全通訊。考慮環境的感測資料不重要於病患生理感測資料,再者環境感測節點計算和儲存能力有 限。所以採用t-階層多項式對稱式的加密技巧是比較適合在WSM和MCD之間建立共同密鑰進行安全資料傳 輸。由於3-degree多項式對稱式的定義如下: 其中x1、x2、和x3表達變數。固定一變數值代表位置LOC,當MCD和WSM進行辨識碼ID的交換,使用t-階 層二元多項式,即可產生共同分享的對稱式密鑰。 對稱式加密方式在兩個合法的MCD之間:合法的MCD必須被後端網路第三方認證中心驗證後,才能獲得 一個與中心共同分享的密鑰,和一對公/私金鑰。多個MCD形成無線隨意網路,需要安全路由協議才能使 任兩個MCD互相安全的傳送資料。任兩個MCD想要進行資料交換必須先建立共同的一把密鑰,如病患持 有的MCDi裝置傳送敏感的生理感測資料至護士持有的MCDj裝置。假設任一個被認證的MCD與第三方認證 中心分享共同一把密鑰,已知兩個MCD已知路由能互相連結,則兩個他們建立共同密鑰過程如下: 若兩個MCD裝置需透過找路(Routing)動作,ARAN的安全找路協定為適當的解決方案。假設MCDi 要找一 條路由到MCDj (Route: MCDi → A → B → MCDj)。透過路由要求封包(RREQ),認證路由的找尋(Route Request)程序如下: 認證路由的回覆程序(Route Reply)如下 2 of 3
成大研發快訊 - 文摘 圖(二):(左)群組監控;(右)病患個人生理和環境的 感測數據 軟體實作 MCD的應用程式發展成有圖形化介面,來顯示生理和 環境的感測資料。應用程式主要透過Java提供的API進 行開發,並支援HTTP協定連結。如圖(二)所示,左圖 為暫時性的群組監控,當心跳太快或溫度太低時,被 監控病患的圖樣就會從綠色變為紅色。使用者可選擇 螢幕中某病患,觀看其個人的感測資料。如圖(二)的 右圖,個人感測資料包括心跳(HR)、體溫(BT)、室內 溫度(IT)、室內相對濕度(IH)、和室內相對光線值 (IL)。當感測數據在不穩定情況達到一個臨界點,應 用程式會執行緊急求救撥號功能和發出警報簡訊,透 過GSM/GPRS傳送至後端網路的伺服器中。伺服器應 用程式以ASP.NET進行開發,連結資料庫支持大量和 長期感測數據的儲存。 系統安全分析 使用以群組基礎的會議識別值和硬體加速的AES加密法,來替代SAFER+加密演算法可以加強藍牙的認證 和安全性傳輸,降低WSS被竊聽和惡意節點的入侵。使用以位置LOC為基礎的t-階層二元多項式,達到兩 WSM的密鑰協議。其中WSM在某個LOC需要(t+1) log2q bits記憶體,來儲存t+1係數,當每個係數需要花費
log2q bits。然而為了不能重新建WSM內部的多項式,需滿足下列條件: 0≤N-2≤t ;其中N 是在同一個LOC
的節點數量。由於分怖在節點內的多項式,有 個不同的係數,因此最小t-階層多項式,必需滿足不 等式: ;其中N2代表在網路上所有LOC中,WSM最多的數量。在行動運算層 中,兩個合法MCD透過ARAN,可建立一對稱的共同分享密鑰。然而假設MCD被入侵控制的機率為p,在 MCDi和MCDj之間有m個參與路由的其它MCD,則無法建立共同分享密鑰密鑰的機率為 Pc=1-(1-p)m。 總結,本研究提出適應性的安全機制,應用在以感測為基礎的醫療看護系統,保護病患隱私的感測資料, 能安全在異質的無線網路上進行傳輸。未來將會發展系統支援安全性的IPv6網路,以達到系統能夠普及性 的被存取。 3 of 3
