答案:
加密只是其中一层防护。身份验证、完整性校验以及安全固件更新也同样关键。如果数据或更新的来源与完整性未得到验证,仅靠加密无法阻止无意义或恶意内容的传输。安全连接意味着要确认通信双方的身份、通信内容,并确保这些内容未被篡改。
摘要
本文介绍ADI公司如何提供安全连接解决方案,以解决居家医疗中使用的各种医疗设备的独特安全要求和患者安全担忧。
引言
本文以“一次性医疗用品的安全认证”中描述的一次性医疗用品安全认证为基础,探讨医疗保健日益从医院转移到患者家中的趋势(图1)。本文讨论了在医疗设施之外提供医疗保健服务的独特安全挑战,并探讨了在网络传输过程中保护数据安全的相关要求。
引导式患者自我护理逐渐普及
在技术创新的推动下,患者得以在舒适的家中管理自己的健康状况,“引导式患者自我护理”模式展现出强劲的发展势头。可穿戴设备、手机健康应用和远程医疗平台等先进工具,通过提供实时健康数据和专业指导,让患者能够监测自己的病情,并对自身的护理做出有理有据的决定。这种向自我护理的转变不仅关乎便利性,也是为了推广可持续的医疗健康应用。引导式自我护理能够让患者保持独立性,保证生活质量,支持长期健康管理,且拓宽了医疗健康护理的途径,同时还能有效减轻医疗机构的负担。
监管和质量要求不断升高
随着居家医疗服务的覆盖面不断扩大,FDA等监管机构正着手实 施更严格的指导方针(FDA-2021-D-1158;《国会法案HR 2617》第 524B条;UL2900-2-1;IEC62443) ,以确保家用医疗设备的安全性和疗效。这些规定对于保护患者和维持高标准护理至关重要。新设备和现有设备的改版,现在必须包含详细的网络安全计划,以解决潜在的漏洞并保护敏感的健康数据。加强对合法合规和质量保证的重视,对于建立人们对居家医疗方案的信任,以及确保患者获得安全、可靠、有效的护理至关重要。
居家医疗的典型工作流程
- 初步评估和设备设定: 居家医疗流程的起点通常是患者前往医院或诊所初诊,由临床医生进行全面评估(图2)。就诊期间,临床医生会评估患者的病情并确定适当的治疗方案。然后,临床医生根据患者的具体需求,将相应的设置写入医疗设备。配置完成后,患者会收到详细说明,介绍如何在家中有效使用设备。
- 开始居家治疗:患者返家后,按照临床医生的指示和医嘱要求,开始使用医疗设备进行治疗。这段时间对于患者适应设备并将其融入日常生活至关重要。提醒、警报和直观易用的界面等特性,有助于患者遵循治疗计划,提升自主管理能力,并改善健康状况。
- 患者数据上传:居家医疗的一个关键部分是持续监测和传输患者数据。这些数据可能包括生命体征、药物依从性和其他相关的健康指标。例如,在设备连接到充电器且患者入睡时,设备可自动将患者的日常活动记录上传到本地网络;设备也可以仅在发生特定事件时发送数据(例如检测到用户操作错误或不良事件);或者由患者手动将数据输入手机应用来实现数据传输。信息的无缝传输确保临床医生能够获得最新的数据,从而在必要时及时干预和调整治疗方案。
- 临床医生评估数据: 经过规定的时间后,临床医生会查看医疗设备收集的数据。通过这种综合分析,临床医生可以评估患者的康复进展,并判断是否需要调整治疗方案。设备提供的详细数据让临床医生能够进行更全面的评估,从而比传统定期检查更能精准地掌握患者的健康状况。这种积极主动的方法有助于及早发现潜在问题,并调整治疗方案以更好地满足患者的需求。
- 临床医生发送更新: 如果临床医生决定需要调整治疗方案,可以远程更新医疗设备的设置。治疗方案的变化可以是调整关键传感参数(如压力传感器的增益),或改变给药/治疗实施的频率。为了实现这些调整,通常需要将新版本的固件安全上传到患者家中的医疗设备。此更新需要安全地发送到设备,确保患者接受最新、最有效的治疗。远程调整能力是现代居家医疗系统的一大优势,不仅减少了频繁亲自就诊的需求,而且提升了医疗护理的灵活性和响应速度。
- 设备更新固件:一旦临床医生发送更新,医疗设备通常会连接到网络,以接收和安装固件更新。此过程通常自动进行,以尽量减少患者干预,确保设备采用最新设置和安全协议运行。更新完成后,患者将继续使用原设备进行后续治疗。数据收集、查看和调整构成一个循环并持续进行,使得医疗环境能够动态响应患者不断变化的需求。
居家医疗的安全挑战
为了确保患者数据和医疗设备的安全,需要解决一些重大挑战。由于对数字平台和联网设备的依赖,敏感的健康信息面临潜在的网络威胁,包括数据泄露和未经授权的访问。解决这些安全挑战对于维护患者信任、确保遵守医疗法规和保护居家医疗服务的完整性至关重要。下一节将说明典型居家医疗工作流程的每个步骤所特有的安全挑战(图3)。
- 初步评估和设备设定:在初次就诊和开始居家治疗期间,必 须解决一些安全担忧。其中一个关键方面是安全引导,目的 是确保设备在启动时只运行受信任的软件。这样,恶意软件 就无法加载,设备的功能和患者的安全也就不会受到影响。 此外,安全数据存储对于防止未经授权的访问和篡改至关重 要。这涉及对设备上存储的数据进行加密,并实施严密的访 问控制,以确保只有授权人员才能修改设备设置。最后,必 须保证固件参数的完整性。例如,对于患者安全而言,必须 确保10 mL/hr的剂量设置不会被错误地改成100 mL/hr。这个要 求可以通过验证固件真实性和完整性的加密算法校验码和数 字签名来实现。
- 患者数据上传和传输:当患者数据从医疗设备上传到临床医生那里时,需要采取多种安全措施来保护传输过程中的数据。真实性是首要考量,必须确保临床医生收到的数据确实来自相应的患者。这可以通过唯一患者标识符和安全身份验真实性是首要考量,必须确保临床医生收到的数据确实来自相应的患者。这可以通过唯一患者标识符和安全身份验证协议来实现。完整性也非常重要,必须确保数据在传输过程中不被更改。可以利用哈希和数字签名等技术来验证数据是否保持不变。临床医生依靠准确可靠的数据来评估患者的病情,并相应地调整治疗方案。如果数据损坏,则可能导致评估不正确。例如,损坏的数据点可能错误地指示患者的血压处于稳定状态,但实际上血压已升高到危险水平。最后,确保机密性对于保护传输过程中的敏感患者信息至关重要。这涉及保护数据免遭未经授权的访问,并确保数据在传输过程中保持私密。机密性可以通过安全通信协议(如传输层安全(TLS)和虚拟专用网络(VPN))实现,此类协议会对传输的数据进行加密。此外,实施严格的访问控制和身份验证机制可确保只有授权人员才能访问患者信息。
- 固件更新: 当临床医生向医疗设备发送更新时,必须确保更新过程的安全。未经授权的访问或更新可能赋予入侵者改变医疗设备行为的权限;在最坏情况下,甚至会让入侵者完全掌控设备。一种常见的攻击方法是恶意软件注入,也就是将恶意代码插入固件更新中。如果攻击者成功安装欺诈性固件,则可能导致严重后果。例如,被入侵的设备可能会在未经授权的情况下开始传输机密和敏感数据,如来自便携式健康监护仪的私人医疗信息。更进一步来说,恶意固件可能会将加密密钥公之于众,以致破坏整个系统的安全。此外,设备可能被迫错误运行,对患者安全和数据完整性造成重大风险。因此,必须验证新固件的真实性 ,确认其来自可信来源。固件来源的真实性可通过数字签名和证书进行验证。就像医疗设备在诊所首次设置时一样,固件更新的完整性至关重要,必须确保所有参数准确且未被篡改。固件的完整性可以通过加密校验码和完整性检查来验证。最后,在固件更新的传输过程中,必须保持机密性以保护敏感数据。加密升级固件可确保其不会被未经授权方拦截和访问。
MAXQ1065如何解决上述安全问题
MAXQ1065是一款安全协处理器,提供整套加密功能,用于信任 根、相互认证、数据机密性和完整性、安全引导、安全固件更 新和安全通信(图4)。表1列出了其主要特性。
表1. MAXQ1065特性
| 特性 | 说明 |
| 基于硬件的加密 | SHA-256和HMAC哈希;AES-128/256 (GCM、CBC、ECB、CCM);ECC (NIST P-256) ECDSA相互认证。 |
| ChipDNA PUF 技术 |
提供对加密密钥和敏感数据的超强保护。保护安全密钥,确保其永远不会静态驻留在寄存器或内存中,也不会离开IC的电气边界。 |
| 安全通信 | 支持通过TLS/DTLS 1.2协议安全传输数据。TLS握手和记录层。X.509证书存储和管理。 |
| 安全存储 | 8 kB的安全存储空间,用于存储用户数据、密钥、证书和计数器。 |
| 篡改检测 | 识别并响应物理篡改企图。 |
| 通信接口 | SPI/I2C |
| 低功耗 | 居家医疗设备通常依赖电池供电,因此能源效率是一个关键因素。MAXQ1065的超低功耗确保设备可以长时间运行,无需频繁更换电池。这对于可穿戴健康监护仪和其他便携式医疗设备尤其有利。 |
安全引导和安全固件更新
在基于非对称加密的安全固件下载过程中,基本原理是固件开发者使用私钥进行签名,并使用医疗设备上存储的对应公钥进行验证。这种方法,尤其是采用椭圆曲线数字签名算法(ECDSA)时,可确保攻击者无法获取用于签署固件和数据的私钥,即使通过复杂的侵入式攻击也不能得逞。攻击者唯一能从医疗设备中获得的信息是公钥;而采用ECDSA时,从公钥推导出私钥在数学上是无法实现的。
当医疗设备的微控制器需要执行固件时,主机MCU引导管理器首先获取固件,并将其传送到MAXQ1065进行SHA-256哈希计算(图 5)。SHA-256哈希计算完成后,处理器提供固件或数据的ECDSA签名;该签名是在开发阶段计算的,并附加到文件中。主处理器随后发送固件或数据文件及其期望的数字签名。安全协处理器验证签名并返回结果,指示验证是否成功或出错。如果签名验证成功,则可以执行固件。
有关此过程的更深入解释,请参阅文章“安全引导和安全下载的基础知识:如何保护嵌入式设备中的固件和数据"。
安全存储和攻击检测::MAXQ1065具有攻击检测功能,可以识别物理攻击企图并作出响应。此功能增加了一层额外的安全保障,确保设备即使在面对潜在入侵时也依然可信。ADI的ChipDNA®嵌入式安全物理不可克隆功能(PUF)技术,在抵御黑客的侵入式攻击和逆向工程攻击方面,安全防护水平取得了指数级提升。如果黑客试图探测或观测ChipDNA的运行情况,系统会触发修改基础电路的特性,防止黑客找到芯片加密函数使用的唯一值。而黑客们费尽心力的反向工程攻击也同样会告于失败,因为要使ChipDNA PUF电路正常运行,必须保持出厂条件。只有在加密操作 需要时,ChipDNA PUF电路才会生成每个器件唯一的密钥,然后立即删除。
传输层安全性(TLS)保护: MAXQ1065支持TLS/DTLS 1.2协议,能够实现安全数据传输,确保数据的机密性和完整性。对于需要将患者数据传送给医疗机构或云系统的居家医疗设备而言,这一点至关重要。
在这种情况下,患者家中的医疗设备使用TLS与云服务器进行安全通信。TLS有两个阶段:握手和安全通信。MAXQ1065等安全IC通过将证书颁发机构(CA)根证书存储在非易失性存储器中来增强TLS,确保只有经过身份验证的管理员才能替换根证书。握手阶段涉及协商安全设置和建立共享密钥,而安全通信阶段会使用这些密钥进行加密和身份验证。在嵌入式设备上实施TLS可能很复杂,存在跳过证书验证或使用弱密码套件等风险。MAXQ1065提供基于硬件的保护,能够防止未经授权的访问并确保TLS进程的完整性。它可以防御中间人攻击和会话密钥泄露等威胁,在不影响设备性能的情况下,维护医疗数据的机密性和完整性。
此外,这款加密控制器允许设备制造商为相连设备建立自己的CA,从而安全地存储根公钥并防止未经授权的修改。ChipDNA技术利用芯片制造过程中自然形成的物理差异生成私钥,使私钥安全性进一步提升,有效防止黑客攻击和逆向工程。
有关使用安全配套IC来保护TLS实现方案的深入介绍,请参阅文章“使用安全配套IC来保护TLS实现方案”。
结语
随着居家医疗需求的不断增长,确保医疗设备的安全性和可靠性变得日益重要。ADI公司的MAXQ1065加密控制器凭借先进的安全功能、低功耗和易于集成的特性,满足了这些需求。通过将这款协处理器整合到家用医疗健康设备中,制造商可以确保患者数据安全无虞,并且设备能够长期可靠地运行。
