CC BY
28
Приборостроение, метрология и информационно-измерительные приборы и системы
23
УДК 621.382
А. О. Гасников, М. И. Ершов, С. Б. Калинин, К. К. Кондрашов, В. В. Лучинин, И. М. Садовая
Обеспечение безопасности передачи медицинской информации с помошью RFID-технологий
Ключевые слова: медицинская информация, радиочастотная идентификация, шифрование, безопасность информационных технологий.
Keywords: medical information, radio frequency identification, encryption, security, information technology.
В статье рассмотрены перспективные направления применения RFID-технологии в медицине. Приводится анализ угроз несанкционированного доступа к системам, использующим для обмена информацией RFID-технологию. Сформулированы основные направления атак и описаны методы противодействия.
Введение. Применение RFID-технологии в медико-биологической практике
В настоящее время в различных медицинских системах начинают активно внедрять технологию радиочастотной идентификации (КИБ). Кроме уже ставшего стандартным для данной технологии применения систем контроля и управления доступом в палаты, лаборатории, больничные блоки и другие помещения, КИБ используют для маркировки лекарственных препаратов и анализов, что обеспечивает их надежную идентификацию и позволяет отождествлять с конкретным пациентом.
Донорская кровь на специализированных станциях разделяется на отдельные компоненты. Одновременно в одном помещении могут сдавать кровь несколько (3—5) человек. Сама процедура разделения крови занимает примерно 30—40 мин. Разумеется, все емкости, используемые в процессе переливания крови, тщательным образом маркируются. Персонал станции неоднократно сверяет эти данные. Однако даже такой подход не может гарантировать полного исключения человеческой ошибки. Применение КИБ-маркировки для таких емкостей обеспечивает дополнительную автоматическую проверку, тем самым повышает надежность этой процедуры. Аналогичная ситуация наблюдается и при маркировке назначаемых в условиях стационаров лекарственных препаратов.
Другим перспективным направлением применения КИБ-технологии в медицине является идентификация врача-оператора роботизированных
хирургических систем. В настоящее время такие системы активно внедряются в практическое использование. Пока их количество, к сожалению, измеряется единицами. По этой причине возникает необходимость автоматической настройки оборудования для различных операторов. Речь идет о таких параметрах, как положение манипуляторов, их чувствительность, яркость и другие характеристики визуализации информации. Единые стандартные параметры настройки для каждого оператора сильно снижают удобство использования, а ручная подготовка оборудования перед каждым использованием отнимает много времени. Решение проблемы — автоматическое распознавание оператора (идентификация) по средствам КИБ-технологии. Такой подход позволяет настраивать отдельно для каждого пользователя не только описанные выше параметры, но и уровень доступа к оборудованию, а также систематизировать данные работы оператора в электронный журнал для последующего анализа и использования полученных материалов в целях совершенствования мастерства врачей-операторов и обучения новых пользователей.
Цель работы — анализ угроз несанкционированного доступа к информационно-управляющим системам, используемым в медико-биологической практике, обмен информацией о применении КИБ-технологии.
Атаки на информационные системы в условиях RFID-технологии
Угрозы несанкционированного доступа к системам, использующим для контроля и управления КИБ-технологию, могут существенно снизить преимущества от использования радиочастотных идентификаторов и ограничить область их применения.
Проблемы безопасности связаны с особенностями КИБ-технологии:
• беспроводная передача между идентификатором и считывателем провоцирует атаки, осно-
24
Приборостроение, метрология и информационно-измерительные приборы и системы
Идентификатор
т
Рис. 1 | ВГЮ-система
ванные на использовании радиочастотного интерфейса;
• аппаратная реализация алгоритмов шифрования позволяет методами реинжиниринга получить доступ к ключевой информации;
• ограниченные аппаратные ресурсы идентификатора определяют невозможность широкого комплекса мер по обеспечению безопасности;
• небольшие размеры радиочастотных меток делают их почти незаметными, что может быть использовано для несанкционированного наблюдения за объектами, использующими КЕГО-технологию.
Возможные направления атаки на системы, использующие КЕГО-технологию, разделяются по целям (рис. 1):
• атаки на идентификатор;
• атаки на считыватель;
• атаки на канал связи.
Наибольшую угрозу безопасности представляет комплексное использование атак.
А т а к и н а к а н а л с в я з и. Прослушивание — пассивный вид атаки, при которой происходит перехват данных сеанса взаимодействия идентификатора со считывателем без их модификации или подавления. Основное противодействие прослушиванию — шифрование данных.
Ретрансляция — активный вид атаки, при котором обмен данными между меткой и считывателем происходит через перехватывающее устройство. Возможна модификация данных.
Перепроигрывание — атака методом записи и повторной передачи сигнала. Атакующее устройство обращается к метке, имитируя считыватель, записывает ответный сигнал, а затем передает его на считыватель, выдавая себя за метку. Такая уязвимость характерна для слабых протоколов аутентификаций без использования временных меток.
Отказ в обслуживании — атака на КЕГО-си-стему с целью довести ее до отказа, т. е. создание таких условий, при которых нарушается или полностью блокируется обслуживание легитимных пользователей. Противодействие - обнаружение и выведение из системы физически или при помощи программных средств атакующих устройств.
Активное радиоэлектронное подавление — генерация активных радиопомех, препятствующих работе КЕГО-системы. Как и для предыдущей ата-
ки, противодействием являются обнаружение и удаление источника помех.
Имитация соединения — при атаке используются клонирование идентификаторов и имитация соединения со считывателем. В качестве защиты используются усиленные криптографические алгоритмы.
А т а к и н а с ч и т ы в а т е л ь. Обычно считыватель располагается в контролируемой зоне (охрана, видеонаблюдение), что сильно ограничивает возможность атаки. Наиболее продуктивным является подход воссоздания макета RFID-системы атакуемого объекта в лабораторных условиях в целях разработки и отладки механизма атаки. Так, могут быть разработаны:
• фальшивые метки, воспринимаемые системой для доступа к защищенной информации;
• различные вредоносные программные коды, разрушающие или меняющие режим работы системы.
В качестве противодействия рекомендуется удалять или скрывать все видимые признаки, по которым может быть определена принадлежность считывателя к той или иной RFID-системе, а также изменять стандартные настройки, такие как пароль администратора.
А т а к и н а и д е н т и ф и к а т о р. Физическое разрушение —механическое, химическое разрушение, облучение сильным электромагнитным воздействием, отсечение микрочипа от антенны.
Экранирование — использование фольги вокруг антенны, разрегулировка транспондера — диэлектрическое расстраивание UHF-антенн (уменьшение диапазона чтения).
Физическое разрушение и экранирование являются особыми проблемами в случаях, когда RFID-метки используются не только для идентификации, но и, например, для подсчета количества оставшегося на складе лекарства.
Манипуляция данными, хранящимися на идентификаторе — изменение, копирование, модификация — преднамеренное изменение содержимого метки, искажение атрибутов элементов описания. Возможно внедрение вредоносного программного обеспечения. Например, данные на идентификаторе могут быть модифицированы таким образом, что они будут интерпретироваться системой как команды.
Используя специальное оборудование, например FIB-станцию, сфокусированным ионным пучком можно изменить содержимое памяти (EEPROM или ROM) в неперезаписываемых метках [1]. Эта техника может быть использована для установки «секретного» ключа в известное (например, нулевое) значение. Для этого необходимо предварительно определить местоположение ключа в памяти. Применение подобных трудоемких методов требует использования дорогостоящего оборудования и высокого уровня знаний.
Меры противодействия соответствуют методам противодействия обратному проектированию (за-
Канал связи
Считыватель
№ 3-4(45-46) 2016 |
биотехносфера
Приборостроение, метрология и информационно-измерительные приборы и системы
щитные слои, датчики внешних несанкционированных воздействий) и шифрованию данных памяти [2].
Особенности обеспечения безопасности RFID-технологии
В связи с наличием радиоканала в медико-биологических системах с радиочастотной идентификацией для их защиты должны быть приняты дополнительные меры, так как сессии информационного обмена могут быть достаточно просто перехвачены.
1. Передача данных должна быть организована таким образом, чтобы атакующая сторона, даже при возможности вмешательства в информационную сессию в целях прослушивания или ввода посторонних блоков данных, не могла достичь желаемой цели, однако низкие вычислительная мощность и скорость информационного обмена в таких системах не позволяют применять ряд надежных механизмов и процедур защиты сообщений, используемых в технике передачи данных.
2. Анализ прослушивания канала связи идентификатора и считывателя в сочетании с возможностью реинжиниринга кристалла интегральной микросхемы (ИС) значительно повышают уязвимость системы. Аппаратная реализация алгоритмов шифрования позволяет методами реинжиниринга получить информации о секретных криптоключах и функционировании криптосистемы. На кристалле блоки, реализующие криптоалгоритм, легко выявляются благодаря наличию характерных элементов в соответствующем блоке:
• ЛЭ «исключающее ИЛИ»;
• ряд триггеров — регистров сдвига с линейной обратной связью, позволяющих получать псевдослучайную последовательность векторов;
• сумматоры.
3. Ограниченность ресурсов метки и, как следствие, невозможность реализовать многие защитные меры по предотвращению несанкционированного доступа, в частности комплекс активных методов по предотвращению проникновения к кристаллу.
Заключение
Обеспечение требуемого уровня безопасности КИБ-технологий связано со следующими направлениями:
• усиление аппаратно-программных механизмов криптографической защиты данных идентификатора и коммутационного протокола с применением как симметричных, так и ассиметричных алгоритмов шифрования;
• физическая защита кристалла ИС метки (использование различных подходов к реализации защитных слоев кристалла);
• «запутывание» топологии кристалла («визуальное шифрование» логики) в целях обеспечения невозможности методами реинжиниринга проводить восстановление криптосистемы кристалла и затруднить определение сигнальных шин при зон-довых атаках.
Эффективное решение проблем по организации механизма защиты систем радиочастотной идентификации в условиях аппаратуры и средств меди-цинско-биологических назначений связано с ограничениями, определяемыми невозможностью из-за аппаратных ограничений реализовать мощные криптографические алгоритмы и использовать весь спектр активных методов противодействия несанкционированному доступу к кристаллу ИС. В общем комплексе задач по обеспечению защиты систем, использующих КИБ-технологии, одной из самых актуальных является противодействие применению средств и методов реинжиниринга, позволяющих обеспечить физический доступ непосредственно к самому блоку шифрования и получить данные в незашифрованном виде.
Литература
1. Гасников А. О., Ершов М. И., Кондрашов К. К., Лучи-
нин В. В. Информационная защита микроконтроллеров при использовании в системах медицинского назначения // Биотехносфера. 2016. № 1 (43). С. 56-58.
2. Лучинин В. В., Садовая И. М. Информационная безопасность смарт-микросистем и технологий. СПб.: СПбГЭТУ «ЛЭТИ», 2015. 157 с.
2
