如何轻松保护医疗可穿戴设备–第1部分

Georgios Selimis，高级安全工程师|

可穿戴设备正在医疗保健领域创造越来越大的足迹。 对远程监测和诊断的需求增加的部分原因是医疗保健成本膨胀和发达国家内的全球人口老龄化 - 预测表明，20 [65]预计2030的美国人口百分比将达到1或更高年龄。 因此，这些设备提供的效率和便利性优势是显而易见的。

不那么清楚的是，效率和便利是否值得安全权衡。 远程心脏监护仪和想要阅读结果的医生之间可能会发生很多事情。

医疗可穿戴设备：挑战

远程人体监控允许用户跟踪自己的状况，无需重复访问医生，并支持定制的治疗计划。 广泛的生理信号，包括脉搏/心电图，运动和方向，血糖水平，血压，温度，大脑活动和皮肤电导都可以通过附着在人体上的微小医疗可穿戴设备来测量。 这些设备将传感输入数字化，执行数字信号处理并将结果传输到诸如智能手机，平板电脑和计算机之类的网关。 然后，网关将数据转发到云服务，授权用户（患者，医疗服务提供商，保险公司等）通过仪表板远程访问数据。 此通信方案如图1所示。

 

在目前医疗可穿戴设备的概念中，安全性仅限于保护从医疗设备到“应用程序/数据消费者”的数据流。但它是否安全？

考虑一种常见情况：医疗可穿戴设备使用低范围/低速率连接协议连接到患者的智能手机。 蓝牙低功耗（BLE）连接技术因其低能耗性能及其在医疗保健行业的广泛采用而成为一种流行的选择。 BLE具有数据安全性（数据机密性和数据完整性），并且在设备和智能手机之间使用基于配对（或绑定）的身份验证方案。

正如我们在图2中看到的那样，从医疗设备到应用程序的流程缺乏端到端的数据通信安全机制。 虽然在每个单独的链接中提供数据保护，但是信息通过中间参与者未加密地传送，并且如果它们中的一些在信任链（例如，云）之外，则他们可以访问未加密的数据，或者可以修改它。 这一漏洞点是医疗可穿戴设备监控生态系统的关键之一。

缺乏端到端安全机制–数据保护和数据认证

图2强调了从设备到应用程序的端到端安全机制缺失。 这意味着数据暴露给未经授权的用户，并且可以轻松操作。 此外，数据接收者（例如医生）不能验证真实的医疗设备是数据的来源，并且必须假设整个链接是可信的 - 根本不是理想的情况。 一个真实的例子是医生决定根据潜在的伪造数据开出某种治疗计划或药物剂量。 此外，接收者可以为了自己的利益而操纵信息。 例如，健康保险公司可能会根据潜在的伪造数据强加更高的保费 - 或者甚至更糟的是否认索赔。

除了缺乏端到端安全性之外，还必须解决另外两个关键安全问题，即设备安全性和设备认证机制。

弱设备安全

在本文中，设备安全性是指保护软件程序，敏感医疗数据，软件知识产权和物联网平台上的密钥的所有设计对策。

微软的2017报告“高度安全设备的七个属性”[2]说：“按照定义，安全性应基于信任框架，系统中的所有内容最终都同意系统中的某些根点可以信任，提供一个安全的基础，系统的其余部分可以安全地构建。“大多数医疗可穿戴设备都缺少安全启动，这允许有人入侵设备并用包含恶意软件的软件替换现有软件。 系统可能会运行恶意代码，因此结果是设备受损。

有些人会声称这是一种极端情况，因为物理攻击很难，但大规模的远程攻击非常实用。 由于这些设备具有通信接口，因此它们连接到Internet，并且它们是更大的互连设备生态系统的一部分。 这一事实使他们对攻击者具有吸引力，因为黑客可以远程窃取数据或进行大规模DDoS攻击。

现实世界的例子包括攻击者向世界公开患者医疗数据，或持有赎金。 更糟糕的是，他们可以通过威胁关闭或以其他方式破坏心脏起搏器和胰岛素泵等医疗植入物的操作来保持健康/生命赎金。

除了安全启动之外，强烈要求是软件的知识产权保护和反克隆机制。 医疗设备配备了用于处理人体信号的复杂算法，并且它们在嵌入式设备上的集成使得它们容易受到克隆或未经授权的过度生产的知识产权窃取的攻击。

最后，医疗设备应配备密钥管理，可以访问多个应用程序提供商，而不会向竞争对手泄露敏感信息，并保护存储，以保护敏感信息，如加密密钥和医疗数据。

易受攻击的设备身份验证方法

随着医疗可穿戴技术在应用程序和数量上的迅速扩展，越来越需要在设备之间进行强大，可扩展且具有成本效益的身份验证：机器对机器（M2M）身份验证。 采取紧急行动有多种原因。 首先，所讨论的数据具有高度的敏感性和私密性。 其次，M2M通信不能依赖于用户可以进行24×7认证。 设备应该对用户无缝运行，并且在进行关键步骤（例如安全软件更新）之前，无需进行任何人工操作即可对自己进行身份验证。 最后，基于共享机密的密码或其他身份验证机制可能会被设备用户窃取甚至伪造。

通过INSTET项目验证

内在ID和 马斯特里赫特仪器 正在一起工作 在欧洲项目INSTET的背景下 在医疗可穿戴设备中增加高级安全性，并以简单的方式解决医疗可穿戴设备的安全挑战。 作为加强安全性的参考设计，我们选择了马斯特里赫特仪器公司 MOX2，24×7的体育锻炼监视器。 MOX2使用芯片组STM32L496QGI6 32位Cortex M4微控制器。

Intrinsic ID的安全解决方案围绕公司的核心技术构建， SRAM物理不可克隆功能 (PUF)。 SRAM 的PUF 使用任何数字芯片中可用的未初始化标准 SRAM 单元的不可预测的启动行为来区分芯片。 SRAM 可以在任何微处理器 (MPU) 或微控制器 (MCU) 中找到，它们实际上是无法复制或预测的。 此方法是 ROM、OTP、闪存和 安全元素 (SE) 需要特定的芯片上硬件和单独的熵源。 SRAM PUF 技术已被证明更安全。 闪存、电子熔断器和其他存储器是在芯片上存储密钥的传统方法。

与现任方法有关的问题有两个非常严重的安全问题。 首先，即使芯片没有上电，也可以由对手读出存储器中的数据。 其次，在外部SE芯片的情况下，必须将暴露的密钥传输到MCU芯片。 MCU中的嵌入式SRAM PUF可以迈向更便宜，更强大的安全性。

如您所见，安全风险以多种形式存在，具有显着的负面潜在结果。 现在我们已经确定了问题场景和提高安全性的动机，在本博客系列的第2部分中，我们将学习使用Intrinsic ID的SRAM PUF技术使医疗可穿戴设备安全的步骤。

 

_________________________

参考资料

[1] 医疗保健中的互联可穿戴设备：按设备类型、身体部位、解决方案类型（预防、监测和治疗）和健康问题划分的医疗、健康和健身市场中的可穿戴设备 2019 年至 2024 年。ResearchAndMarkets.com [2] Hunt , G., Letey, G., & Nightingale, E. (2017)。 高度安全设备的七项特性。 技术。 报告 MSR-TR-2017-16。

---

Georgios Selimis是Intrinsic ID的高级安全工程师，从事嵌入式安全项目，并担任一系列研发项目的技术负责人。 他的专长包括应用密码学，PKI，嵌入式系统安全性和IoT安全连接性。 先前的经验包括在埃因霍温的Imec / Holst研发中心担任研发工程师，从事物联网项目，包括用于安全连接，PUF和数字信号处理的轻量级实施。 他曾在希腊的帕特雷大学学习电气和计算机工程，后来又从同一所大学获得博士学位。