遠程醫(yī)療和移動健康中信息安全傳輸?shù)牡湫图軜?gòu)

遠程醫(yī)療和移動健康中信息安全傳輸?shù)牡湫图軜?gòu)

0遠程醫(yī)療和移動健康據(jù)預(yù)計，世界65歲的老人人數(shù)超過71億人。全世界范圍內(nèi)的人口老齡化使得越來越多的老年人被各種各樣的慢性疾病困擾并影響他們的健康,而更為嚴重的問題是各種慢性疾病正成為死亡的頭號殺手,到2020年,慢性病致死的人數(shù)將占總死亡人數(shù)的75%。已經(jīng)有研究表明,諸如心血管疾病,高血壓,糖尿病等慢性疾病不再是老年人的專利,而是正逐步向中青年人群蔓延。這些患有慢性病的老年人和中青年人需要被全天候不間斷的實時監(jiān)控,以便讓醫(yī)護人員及時了解他們的身體健康信息和健康狀況,從而在臨床上做到早發(fā)現(xiàn),早診斷,早治療。而隨著計算機,網(wǎng)絡(luò),數(shù)字醫(yī)療設(shè)備的發(fā)展和普及,生物傳感器處理信息的速度越來越快,體積越來越小,可穿戴式醫(yī)療設(shè)備的功能越來越強大,使用生物傳感器和可穿戴式醫(yī)療設(shè)備組成的軀感網(wǎng)可以實時收集被監(jiān)控人的健康信息并通過無線通信設(shè)備將其傳輸至醫(yī)院或社區(qū)醫(yī)療中心的遠程數(shù)據(jù)庫服務(wù)器,從而方便醫(yī)護人員及時迅速的讀取這些信息并采取相應(yīng)的措施和行動?；谲|感網(wǎng)(bodysensornetwork,BSN)的遠程醫(yī)療和移動健康系統(tǒng)在提高健康服務(wù)的質(zhì)量方面有極大的潛力,將會被廣泛應(yīng)用于各種健康監(jiān)護。盡管許多國家的法律或規(guī)定已經(jīng)要求保護基于軀感網(wǎng)的遠程醫(yī)療和移動健康中健康信息在傳輸過程中的安全,比如:在美國,保護健康信息是由《健康保險攜帶和責(zé)任法案》規(guī)定的,而歐盟和我國亦有類似的法律或規(guī)定。然而,如何保護基于軀感網(wǎng)的遠程醫(yī)療和移動健康中健康信息的安全這一難題,尚未被有效解決。(1)遠程醫(yī)療遠程醫(yī)療這一概念已經(jīng)有比較久遠的歷史,是上世紀70年代提出的,它可被定義為使用各種遠程通信的方式由醫(yī)生或醫(yī)療機構(gòu)向病人提供健康護理和醫(yī)療信息。而隨著技術(shù)的發(fā)展,除了護理和信息提供以外,遠程醫(yī)療還可以用于急救,保健,遠距離健康教育等等。遠程醫(yī)療的普及將會有利于改善醫(yī)療服務(wù),提高醫(yī)療的效率和質(zhì)量等。在本文中遠程醫(yī)療特指被監(jiān)控人物理位置基本不變或在極有限范圍內(nèi)變動。(2)移動健康和遠程醫(yī)療比較起來,移動健康是一個相對較新的概念,它可以被認為是遠程醫(yī)療在無線通信技術(shù)的廣泛應(yīng)用之后與之相結(jié)合產(chǎn)生的另一種健康監(jiān)控形式。從某種程度上說,移動健康也是遠程醫(yī)療的一個分支,而其最大特色是被監(jiān)控人只受通信范圍的限制,而不受物理位置的限制。從理論上來說,只要被監(jiān)控人持有具有一定處理能力的可移動的無線通信終端并處于通信范圍內(nèi),就可以享受移動健康服務(wù)。移動健康的出現(xiàn)使傳統(tǒng)的有線遠程醫(yī)療向無線移動健康服務(wù)轉(zhuǎn)變,尤其是手機,個人數(shù)字助理等易于攜帶的,具有一定數(shù)據(jù)處理能力的無線通信終端設(shè)備的大量應(yīng)用,使得移動健康的廣泛應(yīng)用成為可能。鑒于最近5年手機的迅速普及,尤其是處理能力更為強大的智能手機的出現(xiàn)并正在普及,我們有理由相信移動健康在未來10年會被極大的推動,最終使健康監(jiān)控可以隨時隨地的任意進行。1高級加密平臺已經(jīng)有研究人員對基于軀感網(wǎng)的遠程醫(yī)療和移動健康展開了相應(yīng)的研究。比如使用偽隨機數(shù)發(fā)生器產(chǎn)生偽隨機數(shù)對信息進行加密來保證軀感網(wǎng)信息向存儲服務(wù)器傳輸時的安全和基于高級加密標準對軀感網(wǎng)傳輸?shù)慕】敌畔⑦M行加密的平臺,此平臺用于將加密的健康信息傳輸?shù)竭h程數(shù)據(jù)庫中。文獻提出一種基于生理特征的方法用于基于軀感網(wǎng)的遠程醫(yī)療的安全,在實驗中使用12個測試對象的光電容積脈搏波產(chǎn)生128位密鑰,并對密鑰的隨機性和抗攻擊性進行分析,結(jié)果表明這些密鑰可用于遠程醫(yī)療的安全。2健康信息的傳輸根據(jù)文獻中所述的4層PHCH系統(tǒng)以及我國當(dāng)前醫(yī)療行業(yè)的現(xiàn)狀,我們在本文中提出一種3層的用于遠程醫(yī)療和移動健康的健康信息傳輸架構(gòu),如圖1所示。第一層為軀感網(wǎng),按照絕大部分文獻對軀感網(wǎng)的定義,只是把體表或體內(nèi)傳感器和醫(yī)療設(shè)備組成的無線網(wǎng)絡(luò)稱為軀感網(wǎng),但在本文中,我們將傳感器和醫(yī)療設(shè)備以及為其處理和轉(zhuǎn)發(fā)數(shù)據(jù)的處理及通信設(shè)備也納入軀感網(wǎng)的范疇。如圖1所示,傳輸架構(gòu)的第一層由體表和體內(nèi)的傳感器結(jié)點和醫(yī)療設(shè)備及相應(yīng)的數(shù)據(jù)處理和轉(zhuǎn)發(fā)設(shè)備組成。這些傳感器用于實時采集各種健康信息,如:血壓,心率,心電圖,光電容積脈搏波,運動信息等,這些信息由各種終端設(shè)備處理之后轉(zhuǎn)發(fā)到第二層。第二層為社區(qū)醫(yī)療中心或醫(yī)院的遠程數(shù)據(jù)庫服務(wù)器,這些服務(wù)器主要用于數(shù)據(jù)的存儲。第三層是醫(yī)護人員或與被監(jiān)控人及與其有關(guān)系的用戶利用各種終端訪問第二層數(shù)據(jù)庫中的健康信息。遠程醫(yī)療和移動健康的區(qū)別表現(xiàn)為處理設(shè)備的移動性和傳輸介質(zhì)的不同。在傳統(tǒng)遠程醫(yī)療的應(yīng)用中,由于沒有任何可移動的處理設(shè)備,因此在第一層中采集的健康信息通過某些方式傳輸?shù)竭M行數(shù)據(jù)處理和轉(zhuǎn)發(fā)的臺式機上,然后再通過有線網(wǎng)絡(luò)傳輸?shù)降诙舆h程數(shù)據(jù)庫服務(wù)器上,在第三層使用臺式機對第二層的遠程數(shù)據(jù)庫服務(wù)器中健康信息進行訪問;而在移動健康中這些健康信息在第一層主要使用能夠支持移動通信的設(shè)備進行健康信息的處理和轉(zhuǎn)發(fā),并通過無線網(wǎng)絡(luò)傳輸?shù)狡胀ㄊ謾C,智能手機和個人數(shù)字助理中。再由這些支持移動通信的設(shè)備借助于無線通信的方式將健康信息通過有線或無線的傳輸方式轉(zhuǎn)發(fā)到第二層的遠程數(shù)據(jù)庫服務(wù)器中;在第三層無論是醫(yī)護人員還是終端用戶都可以通過無線設(shè)備對第二層遠程數(shù)據(jù)庫服務(wù)器中的健康信息進行訪問。在實際應(yīng)用的系統(tǒng)中,還有可能使用局域網(wǎng),廣域網(wǎng),無線個人域網(wǎng)或無線局域網(wǎng)以及訪問接入點等方式在第一層和第二層及第二層和第三層之間進行健康信息的傳輸。3認證、不可抵賴和完整性控制健康信息在傳輸過中至少需要滿足保密、授權(quán)、認證、不可抵賴和完整性控制5個方面的安全需求。本文中我們將重點介紹健康信息的保密、認證、完整性控制和不可抵賴在每一層的具體實現(xiàn)。3.1用于健康信息接收方的證據(jù)為了敘述方便,我們將軀感網(wǎng)中的生物傳感器及醫(yī)療設(shè)備簡稱為結(jié)點,同時我們將第一層軀感網(wǎng)內(nèi)的保密,認證和完整性控制分為結(jié)點間和結(jié)點與處理及轉(zhuǎn)發(fā)設(shè)備間兩部分。(1)結(jié)點間如圖2所示,軀感網(wǎng)內(nèi)發(fā)送結(jié)點利用采集的生理特征生成密鑰,用于身份認證、不可抵賴、加密和解密?？紤]到軀感網(wǎng)內(nèi)結(jié)點的資源極為有限,我們在此層不采用消息摘要算法(MD5)來計算待發(fā)送的健康信息的摘要,而是計算待發(fā)送健康信息的單向哈希值用于健康信息接收方驗證健康信息在傳輸過程中是否被修改。最后結(jié)點將健康信息及其哈希值和認證信息加密,準備發(fā)送。在發(fā)送結(jié)點將信息傳輸給接收方之前,是需要先進行身份認證的,但由于篇幅的限制我們在圖2中未畫出。我們在傳輸?shù)男畔⒅屑尤胝J證信息則是用于不可抵賴,并不是用于通信前雙方的認證,后續(xù)兩節(jié)亦然。(2)結(jié)點與處理及轉(zhuǎn)發(fā)設(shè)備間因為處理及轉(zhuǎn)發(fā)設(shè)備和結(jié)點相比,資源的限制相對較少。因此在結(jié)點與處理及轉(zhuǎn)發(fā)設(shè)備間的通信過程中,密鑰由處理與轉(zhuǎn)發(fā)設(shè)備生成,這一點與結(jié)點間通信時不同。如圖3所示,處理及轉(zhuǎn)發(fā)設(shè)備收到傳感器結(jié)點傳輸用于產(chǎn)生密鑰的生理特征之后,產(chǎn)生相應(yīng)的密鑰并分發(fā)給傳感器結(jié)點。傳感器結(jié)點將使用這些密鑰對信息進行認證操作,并計算單向哈希值,最后將原始信息,認證信息和哈希值加密后傳給處理及轉(zhuǎn)發(fā)設(shè)備。3.2對稱式密鑰完整性驗證從第一層的軀感網(wǎng)到第二層的遠程數(shù)據(jù)庫服務(wù)器之間傳輸實際上是由第一層中的處理及轉(zhuǎn)發(fā)設(shè)備和第二層的遠程數(shù)據(jù)庫服務(wù)器來協(xié)同工作完成的。如圖4所示,為了方便對稱式密鑰的分發(fā),在通信前,需要事先為軀感網(wǎng)和遠程數(shù)據(jù)庫服務(wù)器生成非稱式密鑰,用于稍后的對稱式密鑰的分發(fā),而在這一通信過程中對稱式密鑰是由遠程數(shù)據(jù)庫服務(wù)器產(chǎn)生的。對于健康信息的完整性控制,根據(jù)處理和轉(zhuǎn)發(fā)設(shè)備的處理能力及內(nèi)存大小等資源情況,可以選擇使用計算哈希值或是摘要值來驗證其完整性。然后再將健康信息,哈希值或摘要值及認證信息進行加密,并發(fā)送給遠程數(shù)據(jù)庫服務(wù)器。3.3健康信息的獲取對于第二層與第三層之間的安全,即遠程數(shù)據(jù)庫服務(wù)器與醫(yī)護人員及普通用戶間的保密、認證、完整性控制和不可抵賴,具體實現(xiàn)時如下圖5所示。首先由醫(yī)護人員或終端用戶向遠程數(shù)據(jù)庫服務(wù)器發(fā)出健康信息的請求,服務(wù)器收到此請求后則利用生理特征產(chǎn)生認證和加密及解密的對稱式密鑰。與第二層的方式一樣,仍使用預(yù)先設(shè)定的非對稱式密鑰來為醫(yī)護人員或普通用戶分發(fā)對稱式密鑰。遠程數(shù)據(jù)庫服務(wù)器計算需要傳輸?shù)慕】敌畔⒌恼?加入認證信息并加密,最后傳輸給請求此信息的醫(yī)護人員或普通用戶。4心電圖數(shù)據(jù)的采集在實現(xiàn)我們提出的安全方案時,我們使用由軀感網(wǎng)采集的心電圖來產(chǎn)生密鑰用于健康信息的加密及解密、認證和不可抵賴操作,并使用單向哈希值和消息摘要來驗證健康信息的完整性。為了測試密鑰的性能,我們使用了20個測試對象的心電圖作為原始數(shù)據(jù)。這些心電圖的采樣頻率為1000Hz,采樣時間為5分鐘。測試對象的平均年齡為25.6歲,年齡的波動范圍為1.4歲,心電圖數(shù)據(jù)被采集時要求測試對象安靜的坐著。我們對這20個心電圖計算心脈搏間隔,然后使用前32個心脈搏間隔產(chǎn)生128位的密鑰。在具體實現(xiàn)時我們使用了一種與文獻中完全不一樣的編碼方法用心脈搏間隔產(chǎn)生20個128位的密鑰。圖6為這20個128位密鑰熵的分布情況,熵的變化范圍從0.9786到1。為了進一步驗證這些128位密鑰的性能,我們使用了由美國國家標準技術(shù)研究所建議的密鑰隨機性評價標準中的適合測試128位密鑰隨機性的其中五項測試來評價這些密鑰的性能,測試結(jié)果如圖7所示。5動態(tài)生物特征的密鑰生成在本文中,我們介紹了一種基于動態(tài)生物特征的保護遠程醫(yī)療和移動健康中健康信息傳輸時安全的信息安全傳輸方案。首先,我們提出了一個典型的遠程醫(yī)療和移動健康傳輸模型,然后基于此模型詳細介紹了如何實現(xiàn)健康信息傳輸時的保密、認證、完整性控制和不可抵賴的安全方案。在實驗中,我們使用了心電圖這一