МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ В СИСТЕМАХ ДИСТАНЦИОННОГО МОНИТОРИНГА СОСТОЯНИЯ ЧЕЛОВЕКА
Кривошеева Д.А.*
Аннотация. В статье рассмотрена проблема обеспечения защиты данных в системах дистанционного мониторинга. Была проанализирована модель возможных угроз для системы дистанционного мониторинга состояния здоровья человека. Продемонстрировано, что соответствующая обработка биосигналов, полученных с датчиков, дает возможность получить все требующиеся данные для построения криптографических ключей.
Ключевые слова: информационная безопасность, физиологические данные, мобильный комплекс, криптографические ключи, математическая модель.
ВВЕДЕНИЕ
В наши дни идет активное создание виртуальных инфраструктур здравоохранения, объединяющие все составляющие элементы системы охраны здоровья населения на базе единого информационного пространства (ЕИП) [1-3]. Виртуальные инфраструктуры здравоохранения повышают эффективность информационного обмена между органами управления системы здравоохранения и лечебно- профилактическими учреждениями (ЛПУ) и способствуют развитию телемедицинских услуг, что в свою очередь помогает создавать удаленный доступ к медицинским информационным системам (МИС), а также ускоряет и облегчает запись пациентов на прием к врачам. В России наиболее крупные медицинские информационно-аналитические центры используют различные платформы виртуализации (например, VMware уБрИеге) для развертывания площадки своих центров обработки данных, а также создают инфраструктуру виртуальных рабочих мест для работников ЛПУ, предоставляя им прямой доступ к МИС. В первую очередь в виртуальную среду переносятся различные инфраструктурные сервисы и приложения, которые необходимы для обработки биомедицинской информации.
Создаваемые виртуальные инфраструктуры способствуют решению задачи непрерывного дистанционного мониторинга состояния здоровья человека. В свою очередь, возникает вопрос с обеспечением целостности, конфиденциальности и доступности передаваемых физиологических данных.
1. ПРОБЛЕМА ЗАЩИТЫ ДАННЫХ В СИСТЕМАХ МОНИТОРИНГА
Развитие микроэлектроники и телекоммуникаций позволяют сделать человека частью единого информационного пространства системы здравоохранения, в независимости от его местоположения [1-3]. Сделать это можно, например, путём регистрации биосигналов человека с помощью датчиков, вмонтированных в нательную одежду [4-6]. Получаемые биосигналы должны передаваться по защищенным каналам связи в медицинские центры мониторинга и обработки данных (рис. 1), где с помощью математических моделей элементов и подсистем организма создаётся виртуальный физиологический образ пациента, описывающий физиологическую деятельность всех подсистем человека [7, 8].
Для хранения, вычисление и визуализация данных, собранных системой дистанционного мониторинга состояния человека, требуют значительные вычислительные ресурсы, которые могут быть предоставлены виртуальной инфраструктурой с помощью облачных технологий [9, 10]. Существует несколько способов передачи данных от датчика к облаку, датчики могут отправлять данные на облако напрямую, либо через промежуточные базовые станции. Медицинский персонал и пользователь могут просматривать собранную медицинскую информацию непосредственно из облака с помощью смартфона или через Интернет в режиме реального времени и принимать решения в соответствии с текущим функциональным состоянием человека (рис. 2).
* Кривошеева Д.А. студ. кафедры информационной безопасности Московского государственного технического университета имени Н.Э. Баумана, Россия, г. Москва E-mail: d.krivosheeva@npo-echelon.ru
Рис. 1. Дистанционный мониторинг состояния человека на основе ЕИП
Рис. 2. Конфигурации мобильной системы дистанционного мониторинга
В настоящее время существуют различные датчики для мониторинга физического состояния человека. Наиболее распространенными являются датчики ЭКГ, пульсометры и датчики частоты дыхательный движений.
Современные пульсометры обычно состоят из нательного датчика и мобильного телефона (Рис. 3). Принцип работы пульсометра основывается на измерении разности потенциалов в момент сокращения сердечной мышцы. Пульсометр
Рис. 3. Пульсометр
передает электронные сигналы работы сердца. которые возникают из-за сокращения или ударов, непосредственно от самого датчика к принимающему устройству, которое эти сигналы и обрабатывает. В результате на экране мобильного телефона пользователь видит то значение частоты сердечных сокращений, которое у него есть в данный момент.
Мобильные датчики ЭКГ (рис. 4) способны визуализировать ЭКГ в сжатом формате, что дает возможность наглядно показать предсердные нарушения, проанализировать апноэ и сделать обзор аритмии (рис. 5). Форма волн электродиаграммы зависит от электрической активации, которая состоит из Р, Q, Р, Б, Т. Р - электрическая волна (подпись электрического тока) которая создает предсердное сжатие. И левое, и правое сжатие одновременно могут показать аритмию. Имеет отношение к совокупности QRБ, показывающей наличие сердечной блокировки. Совокупность QRБ соответствует электрическому току, который является причиной сжатия левого и правого желудочка, который намного мощнее, чем артерия и влечет за собой работу мышечной массы. Это является результатом наибольшего отклонения ЭКГ. Волна Q представляет собой маленький горизонтальный электрический заряд, который проходит через межжелудочковую перегородку. Очень широкая и глубокая волна Q не имеет отношение к перегородке, но указывает на инфаркт миокарда. Волны Р и Б показывают сжатие сердечной мышцы. Аномалии в совокупности QRБ могут указывать на вентикулярный источник тахикардии, желудочковую гипертрофию или вентикулярные аномалии. Совокупность в перикардите обычно маленькая.
Рис. 4. Нагрудный датчик ЭКГ
Т-волна, показывающая диполляризацию желудочков. Совокупность QRБ затемняет артериальную диполляризацию волны так, что обычно ее не видно. Электрически, сердечно-мускульные клетки напоминают нагруженные пружины. Маленький импульс дает им встать на место, они дипол-ляризуются и затем возникает связь.
Датчик частоты дыхательных движений предназначен для исследования процесса дыхания человека. С его помощью можно определить частоту и период дыхательных движений. Он также может быть использован для оценки продолжительности вдоха и выдоха человека. Датчик частоты дыхательных движений представляет собой пояс из неаллергенного материала. Внутрь пояса встроена полая резиновая камера, к выходам которой подсоединяется датчик давления газа. Объем воздуха в камере регулируется с помощью резиновой груши. Пояс датчика закрепляется вокруг груди человека. При вдохе грудная клетка расширяется, что приводит к увеличению давления воздуха внутри камеры. При выдохе объем грудной клетки уменьшается и, следовательно, уменьшается давление внутри камеры. Изменения давления воздуха в камере за полный период дыхательного движения фиксируются датчиком давления газа. В дальнейшем сигнал от датчика давления может быть обработан и результаты измерений преобразованы в значение частоты и периода дыхательных движений человека.
Рассмотрим возможные угрозы информационной безопасности применительно ко всем составляющим системы мониторинга: - датчики: все датчики, входящие в систему, должны быть надежны, в этом случае злоу-
мышленник не сможет получить доступ к датчику и при этом остаться незамеченным;
- коммуникации: коммуникационная связь в системе является ненадежной. Злоумышленники могут подслушивать все виды разговоров, а также исказить сигналы. При этом не должно быть никаких помех и отказов в обслуживании и взаимодействии устройств, авторизованных в системе;
- базовая станция: даже если злоумышленник не имеет возможности физически воздействовать на датчик, он может повлиять на работу базовую станцию. К примеру, если базовая станция установлена на смартфоне, то злоумышленники могут взломать приложение на нем;
- облако: медицинское облако должно являться надежным. Обслуживающий персонал только после успешной авторизации сможет получить доступ к информации о пациенте;
- обслуживающий персонал или пациент: предполагается, что они не откроют доступ к информации под влиянием злоумышленников;
- тело пациента: допускается, что злоумышленник может иметь физический контакт с пользователем мобильной системы (например, пожать руку пациента), поэтому электрические биосигналы пользователя могут быть искажены сигналами злоумышленника. Однако злоумышленник не может внедрить вредоносные датчики в систему. Кроме того, предполагается, что вся информация о состоянии здоровья пациента в прошлом неизвестна злоумышленнику.
Таким образом, анализ модели угроз показал, что существует проблема обеспечения информационной безопасности данных пациентов, передаваемых от датчика в облако. В мобильной измерительной системе обеспечение безопасности личных медицинских данных при передаче через коммуникационный канал от датчиков к облачной медицинской базе данных имеет решающее значение. В связи с этим для защиты передаваемых персональных данных необходимо выбрать способ распределения криптографических ключей между датчиком и облаком для обеспечения зашифрованное™ и целостности данных.
2. ТРАДИЦИОННЫЕ ПОДХОДЫ К ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ СИСТЕМ ЗДРАВООХРАНЕНИЯ
Канал связи «датчик-облако» является наиболее уязвимым с точки зрения защиты информации.
Часто используемый в таких случаях протокол защиты E2E (end-to-end) работает путем задания и последующего распределения криптографических ключей между датчиками и облаком. Этот протокол обеспечивает конфиденциальность и целостность данных. Этот же ключ в дальнейшем можно будет использовать для взаимной проверки подлинности сообщения. Основной проблемой является возможность конфиденциального распределения ключей для пользователя. Для пациента данная процедура должна быть понятной и несложной. В идеальном случае пациент не должен вообще заботиться о ключе.
Все традиционные подходы к обеспечению безопасности систем здравоохранения основываются на асимметричных криптосистемах.
Асимметричное шифрование использует два разных ключа: один для шифрования (который также называется открытым), другой для дешифрования (называется закрытым или секретным). Не смотря на то, что данный подход является достаточно надежным в вопросе обеспечения конфиденциальности и целостности передаваемых данных, он оказывается дорогим для регулярного обмена данными в режиме реального времени, т.к. требует больших затрат ресурсов и времени. Кроме того, асимметричная криптография умеет некоторые уязвимости и для ее использования необходимы дополнительные механизмы аутентификации. В связи с этим в системах дистанционного мониторинга нецелесообразно использовать асимметричное шифрование.
Альтернативным подходом к защите передаваемых данных является метод создания парных симметричных ключей для датчика и приемника.
В симметричных криптосистемах применяется один и тот же криптографический ключ для шифрования и дешифрования, который никто должен сохраняться в секрете обеими сторонами. В результате получаем, что алгоритмы с закрытым ключом работают на три порядка быстрее алгоритмов с открытым ключом, что очень важно для телемедицинских систем реального времени. Однако существенным недостатком симметричных шифров является невозможность их использования для подтверждения авторства, так как ключ известен каждой стороне.
Для повышения надежности симметричных криптографических ключей и уменьшения нагрузки на пациента в ряде работ предложено использовать регистрируемые датчиками биосигналы, которые отражают физиологические особенности
пациента и могут использоваться для сокрытия информации [10].
Такой подход основывается на следующих положениях:
1. физиологические сигналы сложны, изменчивы, достаточно уникальны. Вместе с тем существуют характеристики, отражающие морфологию сигнала, которые относительно стабильны. Например, исследования показали, что для сигналов ЭКГ (электрокардиограммы) и ФПК (фотопле-тизмограммы) морфологические параметры (в отличие от временных параметров) меняются очень медленно на протяжении жизни человека и, следовательно, могут интерпретироваться как «физиологическая» подпись;
2. физиологические сигналы могут быть искусственно сгенерированы с помощью генератора модельного сигнала при условии, что данная модель верно построена на основе информации о состоянии человека.
Отмеченные свойства биосигналов позволяют использовать их для создания ключей. Необходимая информация (морфологические особенности биосигналов конкретного человека) извлекается при первой регистрации сигналов. Далее необходимо выбрать метод построения модели для генерации искусственных физиологических сигналов.
Разные датчики, регистрируя биосигналы (например, ФПГ и ЭКГ), могут использовать общие физиологические особенности, чтобы скрыть и отобразить секретный ключ. В рассматриваемой системе один датчик (отправитель) генерирует случайный ключ и скрывает его в криптографической конструкции, называемой хранилищем, с помощью частотных сигналов, полученных на основе зарегистрированных биосигналов. В свою очередь хранилище передает данные в другой датчик (приемник), который использует свой собственный набор частотных сигналов. Данный набор частотных сигналов получается в результате одновременного измерения биосигналов «приемника» вместе с «отправителем» с целью сокрытия случайного ключа.
Протокол PEES [10] не требует априорного распределения ключей. Для создания безопасной E2E связи достаточно простой установки датчиков на пользователе. В облаке, внутри хранилища, находится диагностический эквивалент биосигналов в форме временных рядов, созданных с помощью модельного генератора, который должен быть настроен согласно физиологическим данным пользователя (рис. 6).
Датчик 4Ч обмо I
" ®
Инициализация
Полученные
<|жзиологимеские сигналы
Работа PEES
Полученные текущие физиологические сигналь
ЛИаа
Рис. 6. Обеспечение информационной безопасности с использованием протокола PEES
Отметим, что по существу в приведенном примере применялся подбор функциональных зависимостей по виду регистрируемых биосигналов.
ЗАКЛЮЧЕНИЕ
Основным недостатком рассмотренного выше примера является большое количество морфологических параметров, которые надо рассматривать как многомерный характеристический вектор. Изменение даже одного параметра описывает уже другую морфологическую форму. Если учесть, что расчет указанных морфологических параметров с использованием метода наименьших квадратов является плохо обусловленной задачей, то приходим к выводу, что на практике морфологический вектор не отличается необходимой стабильностью.
В связи с этим предлагается в качестве морфологических признаков использовать не отдельные параметры временной кривой, а математическую модель генератора биосигнала в форме системы дифференциальных уравнений. Морфологическими признаками в этом случае
является как сама структура модели, так и ее параметры. Задача определения морфологических признаков в этом случае сводится к задаче реконструкции модели системы, которая генерирует временные ряды, диагностически экви-
Литература
1. Развитие системы электронных услуг муниципальной поликлиники (на основе анализа зарубежных web-ресурсов) / А.В. Ланцберг, К. Тройч, Т.И. Булдакова // Научно-техническая информация. Серия 2: Информационные процессы и системы. 2011. № 4. С. 1-7.
2. Paradiso R., Loriga G., Taccini N. A Wearable Health Care System Based on Knitted Integrated Sensors // IEEE Transactions on Information Technology in Biomedicine. 2005. Vol. 9, No. 3. Pp. 337-344.
3. Winters J., Wang Y. Wearable Sensors and Telerehabilitation // IEEE Engineering in Medicine and Biology Magazine. 2003. No. 3. Pp. 56-65.
4. Prado M., Roa L., Reina-Tosina J. Virtual Center for Renal Support: Technological Approach to Patient Physiological Image // IEEE Transaction on biomedical engineering. 2002. Vol. 49, №12. Pp.1420-1430.
5. Булдакова Т.И., Коблов А.В., Суятинов С.И. Информационно-измерительный комплекс совместной регистрации и обработки биосигналов // Приборы и системы. Управление, контроль, диагностика. 2008. № 6. С. 41-46.
6. Программно-аналитический комплекс модельной обработки биосигналов / Т.И. Булдакова, В.И. Грид-
валентные исходным сигналам. Более детально данный метод рассмотрен в статье «Обеспечение информационной безопасности в телемедицинских системах на основе модельного подхода» [11, 12].
нев, К.И. Кириллов и др. Биомедицинская радиоэлектроника. 2009. № 1. С. 71-78.
7. Моделирование связей в системе «сердце-сосуды» / Н.С Булдаков, Н.С. Самочетова, А.С. Ситников, С.И. Суятинов // Наука и образование: электронное научно-техническое издание. 2013. № 1. С. 123-134.
8. Баевский Р.М. Проблема оценки и прогнозирования функционального состояния организма и ее развитие в космической медицине // Успехи физиологических наук. 2006. Т. 37, № 3. С. 42-57.
9. Методика идентификации сложных систем / А.В. Коблов, А.В. Ланцберг, Н.С. Самочетова, С.И. Суятинов // Вестник СГТУ. 2007. №4 (27). С. 31-37.
10.Banerjee A., Gupta S.K.S., Venkatasubramanian K.K. PEES: Physiology-based End-to-End Security for mHealth // Proceedings of the 4th Conference on Wireless Health. 2013. Article No. 2.
11.Булдакова Т.И., Суятинов С.И., Кривошеева Д.А. Обеспечение информационной безопасности в телемедицинских системах на основе модельного подхода // Вопросы кибербезопасности. 2014. № 5(8). С. 21-29.
12.Булдакова Т.И., Кривошеева Д.А. Угрозы безопасности в системах дистанционного мониторинга // Вопросы кибербезопасности. 2015. № 5(13). С. 45-50.