在本应用说明中,我们研究了实施安全、低成本的认证方法的要求,该方法适用于整个供应链中医用耗材的接触式和非接触式连接。
现在,许多医疗都依赖于使用嵌入到一次性和消耗品中的先进技术。就本应用纪要而言,一次性、消耗品和一次性用品通常是指在丢弃前打算使用有限次数的任何医疗物品。这些产品涵盖了广泛的应用,从手术中使用的先进的基于导管的探头到电外科工具、药物输送笔和药瓶。其中许多耗材在丢弃之前只能使用一次,这种方法受到医疗和患者安全考虑的约束。
现在,许多医疗都依赖于使用嵌入到一次性和消耗品中的先进技术。就本应用纪要而言,一次性、消耗品和一次性用品通常是指在丢弃前打算使用有限次数的任何医疗物品。这些产品涵盖了广泛的应用,从手术中使用的先进的基于导管的探头到电外科工具、药物输送笔和药瓶。其中许多耗材在丢弃之前只能使用一次,这种方法受到医疗和患者安全考虑的约束。
为了保证患者的健康,许多一次性用品需要在受控条件下进行处理、灭菌和操作。对于某些产品,在一次使用后无法保证这些条件。世界各地的政府机构已经认识到需要控制再利用并防止假冒,以解决患者安全的巨大相关风险。医疗器械设计中的认证和安全性是确保有限使用的医疗产品不能重复使用或使用次数过多,以及能够有效和高效地检测假冒产品并将其从供应链中移除的基础。
现在,许多耗材都具有电子功能,有助于提高可用性和准确性。例如,许多脉搏血氧仪传感器包含一个小型存储设备和接口电子设备,可为仪器提供在制造过程中获得的校准数据。传感器或其他类型的一次性产品存储的其他信息有助于将其识别到与其一起使用的仪器。这有助于确保使用正确的传感器,保障质量控制,并跟踪传感器或工具以前是否使用过,如果是,使用过多少次。
到目前为止,政府机构对假药的关注最多。然而,在一次性设备方面采取的一个步骤是美国食品和药物管理局(FDA)引入了唯一设备标识(UDI)。这一要求没有达到破坏高价值设备供应链中遇到的复杂假冒活动所需的条件。
UDI 仅要求商品包含纯文本形式的商品标识符以及批次和序列号以及制造和有效期。如果制造商不采取其他措施来控制使用,则这些标识符可能会被伪造或复制并投入使用。
电子保护为制造商提供了更多的功能和控制,并且可以通过在设备本身中嵌入序列号等数据,为 UDI 和类似法规的要求提供额外的支持。但是,在电子保护中单独使用 UDI 数据并不是有效的保护,因为它可能会被知识渊博的造假者欺骗。
认证解决方案可以通过接触式或非接触式电气接口轻松添加到医用一次性用品中。对于接触式应用,一次性仪器和主机仪器之间的机电连接器接口通常引脚受限,需要非常有效的解决方案。通过单个专用引脚同时操作电源和数据的性能认证产品很好地解决了这一限制。对于非接触式应用,可以使用通过低成本无线接口(如RFID/NFC)运行的认证产品。使用 RFID/NFC 的应用示例包括不需要插入主机仪器的耗材,例如生物识别传感器贴片、化学试剂瓶或用于药物/液体输送的容器。
在协议级别,验证设备的最简单电子方法是设置一个密码,原则上,该密码只有耗材制造商知道,并且任何兼容的主机仪器都能识别。附加后,主机请求密码并根据自己的数据库进行检查。一个关键的缺点是攻击者可以轻松窃听通信。一旦记录,相同的密码可用于验证许多假冒设备。
更好的方法是将秘密识别码保存在设备内,并使用质询-响应协议来确定产品是否为正品。为了维护此类代码的更好安全性,将协议基于广泛使用和仔细分析的加密身份验证机制是重要的一步。这就产生了两种关键类型的质询-响应方法:一种基于对称密码学,另一种基于非对称密码学。
对称(也称为密钥)基于加密的身份验证围绕主机和消耗品共享的密钥展开,在质询-响应协议中,主机向设备发送一个随机数作为质询。作为回报,它期望通过基于该随机数和共享密钥的计算生成的数字签名,该计算使用对称密钥算法(如安全哈希)。主机运行相同的计算,如果来自耗材的响应不同,它可以拒绝该部件。如果两个计算匹配,则设备被视为真实设备。
为了确保黑客不能使用多轮质询和响应来对计算中所做的步骤进行逆向工程,并在这样做时检索存储的代码或密钥,至关重要的是,该函数具有强大的数学属性,并且实际上是一个单向函数。这样的函数在正向方向上很容易计算,但在数学上是不可逆转的。SHA-2 和 SHA-3 安全哈希函数就是此类单向函数的示例。这两种算法都是抗碰撞的——找到多个将产生给定输出的输入是不可行的。另一个特性是它们具有高雪崩效应——输入的任何变化,即使是单个位,都会在结果中产生显着变化。
非对称加密,也称为公钥,基本上使用密钥对进行操作:公钥和私钥。需要保护的私钥通常驻留在一次性物品上使用的身份验证 IC 中。主机系统将使用与此 IC 私钥关联的公钥。顾名思义,公钥可以公开披露,而不会对系统安全实施造成风险。对于身份验证,这消除了对主机系统和一次性密钥建立共享密钥(如对称情况)的要求,但代价是主机系统进行更复杂的数学实现。
质询-响应协议遵循与对称加密相同的广泛方法。但主机将使用来自身份验证器的公钥,通过非对称算法(如 ECDSA)验证响应签名。使用该算法获得的成功结果证明被身份验证的设备知道秘密私钥。同样,该设备在不透露实际密钥的情况下证明其真实性。
最适合身份验证应用程序的算法类型(对称或非对称)取决于几个因素。从安全强度的角度来看,两者在典型情况下是等效的。非对称类型(如 ECDSA)的数学运算比对称类型(如 SHA3)需要更多的计算资源。但是,这可以通过合适的主机处理器或专用的简单协处理器来克服。如果在主机端,身份验证实现将在微型上完成,并且微型没有保护敏感密钥数据的安全功能,则非对称效果很好。如前所述,非对称公钥可以公开披露,而不会对系统安全造成风险。相反,对于对称类型,解决方案的主机端将需要存储一个机密,如果发现该机密,该机密会使安全解决方案面临高风险。而且,与非对称一样,对称专用协处理器可用于解决主机端算法计算或密钥存储需求。那么,应该使用哪一个呢?当存在更严格的密钥基础结构要求时,非对称效果很好。例如,前面介绍的证书是为了证明身份验证器 IC 公钥是可信的。对称在主机系统的深度嵌入边界内以及不需要公钥基础设施的附加一次性或消耗品中运行良好。
有了身份验证解决方案,伪造者可能会试图通过直接探测和攻击身份验证 IC 来检索加密密钥,从而破坏安全性。通过这种类型的攻击,确定的造假者将使用专门的设备侵入设备包,试图探测内部总线并读取或写入内存并注册可能存储密钥的内容。因此,必须在IC中设计对策以击败威胁。
可以使用各种方法来解决这种侵入性攻击。例如,设计在IC中的篡改检测电路可以主动监控探测尝试。如果检测到事件,设备将拒绝正常运行,而是将任何密钥和其他敏感数据清零。最近部署的另一个保护解决方案是物理不可克隆功能 (PUF)。从根本上说,PUF是一种电路,旨在利用半导体制造中存在的电气特性的随机变化来生成随机数。例如,基于Maxim PUF的ChipDNA™安全认证器根据IC本身精确但随机的模拟特性动态生成密钥。PUF非常适合加密密钥/机密目的,因为它为每个IC产生的值是随机的,但不会在所有工作条件下改变,并且无法通过侵入性攻击或逆向工程工作发现或复制。除了加密操作的瞬时持续时间外,PUF 密钥值永远不会以数字形式存在于身份验证器 IC 的电路中。此外,由于密钥是根据电路元件的物理特性按需派生和生成的,因此它永远不会存在于器件的非易失性存储器中。如果探测,构成PUF电路的敏感元件会永久改变其电气特性,从而导致键值发生变化并且不再有效。这有效地使认证IC无法操作,从而对任何破坏安全性的企图具有明确的威慑力。
PUF 技术可以通过多种方式用于安全功能和身份验证。在一个用例中,基于 ChipDNA 的身份验证器在正常制造过程中安装在耗材上。对于此示例,PUF 输出在基于公钥/私钥的实现中充当私钥。之后,在测试或配置阶段,测试设备向硬件和认证IC发送命令,以根据PUF内核生成的私钥计算公钥。实际的PUF输出值本身永远不会从IC中披露或读出。
一旦拥有公钥,医疗一次性制造商就会基于它和他们自己的公司私钥创建证书。此证书写入 ChipDNA 认证器 IC 内的受保护存储器。该证书稍后将证明设备提供的公钥与出厂时计算的公钥相同,因此医疗主机仪器可以信任该公钥 - 如果没有公司私钥,任何人都无法创建有效的证书。在现场使用时,易耗品通过使用 PUF 技术动态生成必要的私钥来对任何消息进行签名。只要主机仪器持有与该设备对应的公钥,它就可以验证耗材是否真实。
除ChipDNA外,Maxim的DeepCover系列安全认证器还支持多种功能,可用于支持防伪策略和安全管理医疗程序的使用。例如,某些 DeepCover 设备包括仅递减计数器。当此类计数器低于设定的阈值时,主机系统可以拒绝运行,直到一次性设备更换为新设备。通过使用Maxim的1-Wire®接口,可以将电源和串行数据提供给安全器件,从而避免了与耗材实现单独的电源和数据连接,并最大限度地降低了任何机电连接器的成本。图3所示为使用1-Wire接口的一次性医疗工具或传感器示例。
支持 NFC 的身份验证器允许与无法实现机电连接器的一次性产品一起使用。它们还为没有固有电子功能但需要向医疗保健专业人员证明它们是真实且经过验证的耗材提供解决方案。许多DeepCover设备的另一个好处是它们能够在伽马或电子束辐射中幸存下来,一些医疗一次性用品会受到伽马或电子束辐射进行灭菌。这些设备可抵抗高达 75kGy 的辐射暴露。
DeepCover技术可以通过多种方式使用。一个例子是智能导管,它使用超声波等技术为外科医生提供更清晰的患者动脉内环境视图。超声换能器嵌入在设备的尖端,它使用串行连接将数据报告回主机仪器。在导管连接器内运行的 DeepCover 设备能够检查其真实性和未使用,因此满足此类关键应用的所有灭菌和质量要求。
嵌入在手术工具中的DeepCover设备可以使用通过低成本电气接口发送的消息来控制身份验证,还可以存储制造过程中需要添加的校准数据,以实现其设计提供的性能。
具有高内在价值的非电子一次性用品,如药瓶或化学试剂瓶,可以嵌入或连接到塑料上,具有支持NFC的小型DeepCover设备。相应的NFC读取器将对瓶子进行身份验证,并对NFC安全IC执行额外的基于使用情况的受保护写入。随着带有嵌入式传感器的一次性用品和耗材变得越来越普遍,除了身份验证之外,加密传输到主机仪器的患者数据的能力将至关重要。这可以通过嵌入式DeepCover IC来支持。
DeepCover系列器件提供的一系列选项和功能,包括Maxim生产基础设施中的可选密钥/秘密个性化服务,还可以实现许多其他用例。
审核编辑:郭婷
-
传感器
+关注
关注
2548文章
50673浏览量
751988 -
接口
+关注
关注
33文章
8497浏览量
150834
发布评论请先 登录
相关推荐
评论