解决联网医疗设备的安全挑战

在物联网中连接胰岛素泵、心率监测器和其他医疗设备已经改变了患者护理。但在很多情况下，这些解决方案的安全性并没有得到足够仔细的考虑。更糟糕的是，一些解决方案提供商认为安全根本无法经济有效地实施。随着行业转向使用商业智能手机的命令和控制模式，这种想法变得特别危险，其内置的安全机制对于安全关键型应用程序来说通常不够强大。

这些挑战可以通过三层“设计安全”策略来解决，该策略保护所有系统通信，为每个系统元素带来信任，并确保智能手机应用程序与物联网设备和云之间的“永远在线”连接。

危险正在增长 2019 年 5 月，当一名 1 型糖尿病患者重新编程他的胰岛素泵以定制他的治疗时，第一个例子表明连接健康威胁可能发生多么危险。这名男子最终住进了医院，他利用了他市售的 FDA 授权设备中的一个安全漏洞，根据 FDA 的安全警告，如果患者没有正确实施他们自己的治疗定制，可能会带来重大风险。

更糟糕的是，这种相同类型的安全漏洞为黑客打开了大门，使他们能够访问设备以造成伤害或窃取敏感的健康信息。例如，未经授权访问起搏器的黑客可以通过截取设备的遥测数据来扰乱患者的心律或获取敏感的健康信息。

随着解决方案提供商接受使用智能手机来控制连接健康解决方案的便利性，并错误地认为蓝牙无线连接提供了足够的安全性，这种危险越来越大。虽然蓝牙、NFC、LTE、以太网和其他协议确实可以缓解一些违规行为，但它们并不能抵御所有威胁。缓解这些威胁需要采用多层安全设计方法，在简化部署的同时最大限度地降低成本。

设计的多层安全性 强大的安全性始于应用程序层，保护智能手机应用程序、医疗设备和云之间的通信通道免受各种恶意软件和无线通道网络安全攻击。该保护层在发送者和接收者之间创建了一条安全隧道，本质上使应用程序能够在本地构建自己的安全性，而不是仅仅依赖于该服务的较低堆栈级别。

这与典型的第 4 层安全性形成对比，后者仅在消息有效负载在发送端向下移动到 OSI 堆栈并在接收端备份时才保护该层或低于该层的消息有效负载。会话经过身份验证，所有消息在离开应用程序之前都经过加密，应用程序与接收者交换密钥，以便其应用程序可以解密消息。这些保护措施中的每一项都增强了现有的 Android 和 iOS 安全机制，同时还克服了其通信协议中固有的安全漏洞。

第二个安全层有助于保护应用程序和运行应用程序的平台，通过连接到解决方案的云服务、智能手机应用程序和其他物联网设备来降低攻击风险。该层处理智能手机应用程序、云以及连接到解决方案通信系统的任何相关设备的身份验证，验证它们的完整性，同时确保黑客无法获得“root访问”权限，从而使他们能够修改设备的软件代码或安装其他软件。

所有系统元素都具有唯一的数字密码身份，每个元素都具有证明能力，以验证其他元素的权限和特权。这在系统中的所有组件内部和之间创建了信任根，确保智能手机没有受到损害或被植根，并且没有运行易受最新威胁影响的过时版本的 *** 作系统。该层确保只有授权和受信任的来源才能发送信息和发布命令，混淆应用程序代码以对抗逆向工程，并保护应用程序免受智能手机上任何其他应用程序的干扰。

理想情况下，此身份验证层的信任根应该使用像安全元件 （SE） 一样运行的硬件安全模块 （HSM） 来实现。HSM 在工厂为每个医疗设备提供配置，存储和管理加密密钥和数字证书，并被可信云用于验证所有智能手机应用程序和医疗设备的完整性和真实性。云通过无线方式颁发数字证书，将应用程序和设备标识为可信，并处理解决方案的所有身份生命周期管理。图 1说明了这个身份验证层，使用 SE 或提供保护但程度与硬件版本不同的软件等效。

图 1：在应用层创建安全隧道，保护患者信息的隐私和完整性，克服底层传输机制安全漏洞。

这种安全架构的第三层也是最后一层提高了物联网设备向云发送数据并在需要“始终在线”连接的应用程序中接收来自云的命令的能力。这可确保系统始终可以获取最新的设备数据并立即更改设备性能。

这与完全依赖手持设备或智能手机来提供这种云连接的解决方案形成鲜明对比，并且不能始终实现关键任务应用程序所需的高水平连续数据可用性和设备控制。该层的安全软件运行在智能手机的 iOS 或 Android OS 后台，只要智能手机用户启动应用程序一次并对其进行配置以使其连续运行，它将留在后台并从物联网设备中获取数据，无需任何进一步每当设备靠近智能手机时，用户干预。

此外，当物联网设备的主要网络连接（通过 LTE 或 Wi-Fi）不可用时，使用灵活的多桥技术为物联网设备创建了与云通信的辅助路径。这种小型桥接器使用一种通信协议与物联网设备交互（其中大多数仅具有个人区域覆盖），并使用另一种通信协议与云进行通信。

简化部署 虽然以前从头开始创建连接健康安全解决方案，但今天的产品可以使用第三方软件开发工具包 （SDK） 来实施，这些工具包提供了一种构建块方法，以更低的成本和高度的灵活性来增加安全性。 强大的安全措施可以根据需要有效地改装到传统设计和基础设施中，并且有一条简单的途径可以持续改进，这对于良好的安全实践至关重要，包括在解决方案的生命周期后期结合使用 HSM 以提高安全性需要。

借助当今用于连接健康应用的第三方物联网解决方案，安全性只会使患者的胰岛素泵或其他系统的成本增加几美分。此类解决方案还提供了以低增量额外成本区分基于高价值安全性的互联健康产品的机会。进行这项投资还使医疗保健提供者能够保护自己免受违规造成的额外成本以及受伤或死亡的风险。　　

      审核编辑：彭静