2007年,美国前副总统迪克•切尼命令医生关闭所有与他的联网起搏器相连的无线信号。切尼后来说,这一决定是为了防止恐怖分子入侵他的心脏起搏器,给他的心脏致命电击。切尼给医生下达的命令也许有点过于谨慎了,但无线连接的医疗设备确实曾有被利用的漏洞。•例如,在2011年和2012年的一系列会议上,新西兰黑客巴纳比•杰克(Barnaby Jack)向人们演示了联网医疗设备可能会受到远程攻击。杰克用高增益天线捕捉到90米外人体模型上的胰岛素泵传输的未加密电磁信号。然后他利用这些信号侵入胰岛素泵,调整泵输送的胰岛素水平。他还入侵了一个心脏起搏器,让它产生致命的电击。
在这些演示完成的8年之后,联网医疗设备依然易受攻击。例如,2020年6月,美国国土安全部召回了一种联网胰岛素泵。这种胰岛素泵在传输敏感信息时没有加密,附近任何想监听的人都可以访问这些数据。
医疗设备只是冰山一角,人体内或身上佩戴的无线设备还有很多,包括无线耳塞、智能手表和虚拟现实头盔等。还有正在开发中的技术也将面临风险,例如可显示信息的智能隐形眼镜、吞咽后可传输传感器数据的数字药片等。
所有这些设备都需要以较低功耗在短距离内安全地传输数据。这就是为什么研究人员把它们看成是人体规模的无线网络——人体局域网——独立组件,由物联网(IoT)引申而来的新概念——“身联网”(IoB)也应运而生。
目前,身联网设备使用成熟的无线技术进行通信,主要是蓝牙。虽然这些技术功耗低、好理解、易实现,但它们不是为身联网设计的。蓝牙的一个典型功能是使相隔几米远的两台设备能够容易地找到对方并相互连接。正是这个功能使假定攻击者能够窥探或攻击人体佩戴的设备。无线技术也可以不以人体为媒介,直接在空气或真空中传播,但效率会低于转为此设计的通信方法。 通过我们在普渡大学的研究,我们开发了一种新的通信方法,它将使医疗设备、可穿戴设备以及身体内或周边的其他设备比使用低功率无线信号进行通信的设备更安全。这个系统利用人体可传导微小无害电信号的固有能力,将整个身体变成了有线通信信道。通过将身体变成网络,我们将使身联网设备更加安全。
医疗信息等敏感的个人数据在传输时都应该进行加密,无论是通过无线方式、电子邮件还是其他渠道。但防止攻击者在本地侵入医疗设备,还有另外3个充足的理由。
首先,医疗数据应该是受控的。你不想设备广播的信息让别人窃听到。其次,人们不希望设备的完整性受到损害。例如,如果你有一台连接到胰岛素泵的葡萄糖监测仪,那么你肯定不希望因为监测仪的数据被损坏而导致胰岛素泵释放更多的葡萄糖。血液中葡萄糖不足会导致头痛、虚弱和头晕,而过量则会导致视力和神经问题,以及肾病和中风。上述任何一种情况都可能导致死亡。再次,设备上的信息需要一直保持处于可用状态。如果攻击者拦截了胰岛素泵或起搏器的信号,设备就无法对身体突然出现的问题做出反应。
所以,如果安全和隐私如此重要,为什么不使用有线方式呢?线缆可以在两台设备之间创建一个专用通道,只有切割搭接线缆才能窃听到有线信号。如果要搭接的线缆在你身上或体内,那么窃听就更难了。
撇开安全和隐私方面的优势不谈,还有一些重要原因使我们不想要线缆进入身体。如果电线绝缘不当,人体自身的生化过程会腐蚀电线中的金属,导致重金属中毒。此外还有便利性的问题。想象一下,如果修理或更换有线的起搏器,重新将线缆穿进身体将是一项非常棘手的任务。 相比在容易被窃听者窥探的无线信号和给身体带来风险的有线信号之间做出选择,何不将两者优点结合起来做第三种选择呢?这就是我们的灵感,将人体作为人体局域网中的设备通信媒介。 我们把直接通过人体发送信号的方法称为“电准静态人体通信”。
这个名字有点拗口,所以我们就把它理解为身体信道吧。其要点是,可以利用人体自身的导电特性,避免有线和无线信道的缺陷。 金属线是电荷的极好导体。通过将1和0编码为不同的电压来传输数据是件很简单的事情。只需要将1定义为某个电压,让电流流过导线,而将0定义为零电压,意味着没有电流流过导线即可。通过测量电线另一端的电压随时间的变化,就能得到原来的1和0序列。但是,人们不希望金属线盘绕或穿过身体,那么我们还能怎么做呢?
按体重算,一个成年人身体中平均约60%都是水。纯水不是一种导电体,但充满了电解质和盐等导电粒子的水却具有更好的导电性。我们的身体充满了一种水溶液,叫做间质液,它位于我们的皮肤下面和身体细胞周围。间质液负责将血液中的营养物质输送到人体细胞中,并充满蛋白质、盐、糖、激素、神经递质和其他各种分子,帮助维持身体健康运转。因为间质液遍布身体各处,所以我们可以在身体的几乎任何地方为两台或更多台通信设备建立一个回路。 假设有一个糖尿病人在腹部绑着胰岛素泵和监测仪来控制血糖,并希望智能手表能够显示当前的血糖水平和胰岛素泵的运行状态。传统上,这些设备必须通过无线连接,这样在理论上,任何人都可以获取和复制用户的个人数据。更糟糕的是,可能会对泵攻击。今天,许多医疗设备仍然没有加密,即使设备加密,加密也不能保证安全。 人体信道的工作方式则是这样的:泵、监测器和智能手表的背面都会带有一个小铜电极,直接与皮肤接触。每台设备还有另一个不与皮肤接触的电极,作为浮动接地,这是本地电接地,不与大地直接相连。
当监测仪测量血糖时,它需要将数据发送给胰岛素泵(必要时调整胰岛素水平)以及智能手表(以便个人能够看到血糖水平)。智能手表还可以存储数据,用于长时间的监测,或者对数据进行加密并发送到用户或医生的计算机,进行远程存储和分析。 监测仪将要传送的血糖测量值数据编码成一系列电压值。然后,它在两个铜电极(一个接触人体,另一个浮动接地)之间施加电压来传输这些数值。 施加的电压稍微改变了整个人体相对于大地的电位。人体和大地之间电位的微小变化只是监测仪两个电极之间电位差的一小部分,在穿过人体后,它还会变得更小,但足以被其他地方的设备接收到。腰部的胰岛素泵和手腕上的智能手表都在身体上,它们可以通过身体上和浮动接地的两个电极来检测这种电位的变化。然后,胰岛素泵和智能手表将这些电位测量值转换回数据。在此过程中,实际的信号都没有在皮肤之外传播。
实现这种人体通信方法的最大挑战之一是为电信号选择最佳波长。我们在这里考虑的电波长比无线通信的射频波长要长得多。 选择频率是一项挑战,因为在一定的频率范围内,人体本身可以成为天线。当交变电流使天线材料中的电子振荡并产生电磁波时,普通无线电天线会产生信号。发射波的频率取决于馈入天线的交变电流的频率。同样,以一定频率的交变电流作用到人体,人体也会发射信号。这个信号虽然很弱,但仍然足以在一段距离内被合适的设备接收到。如果人体充当天线,它还能从外面接收到不需要的信号,这些信号可能会干扰可穿戴或植入设备之间的通话能力。 出于同样的原因,我们不想使用蓝牙这样的技术,我们想把电信号限制在身体内,而不是意外地从身体发射出去或被接收到。所以我们必须避开会使人体变成天线的频率——这个范围是10到100兆赫。这个频率以上是无线频段,我们已经提到了其中的问题。最终的结果是,我们需要使用的频率范围是0.1到10兆赫,在这个范围内,信号将被限制在人体内。
早期试图利用人体进行通信的尝试通常都会避开这些低频,因为低频在人体内的损耗通常很高。换言之,需要更大的功率来保证这些低频信号能够到达目的地。也就是说,如果没有明显的功率提升,腹部的血糖监测仪发出的信号在传输到手腕上的智能手表时,可能就无法读出了。先前的这些尝试损耗高,是因为他们专注于直接发送电信号,而不是电位变化的信息编码。我们发现,设备和人体之间的寄生电容是创建工作信道的关键。 电容是指物体储存电荷的能力。
寄生电容是指两个物体之间无意产生的电容,例如,电路板上两个相近的带电区域,以及人手和手机之间都会产生寄生电容。虽然寄生电容也支持某些应用,如触摸屏,但大多树情况下它并不受欢迎。 聪明的读者可能已经注意到,电路的一个重要方面,我们还没有提到过:只有闭环电路才能实现电子通信。到目前为止,我们的讨论仅限于前向路径,即从发射电极到接收电极的电路部分。但我们还需要一条后向路径。多亏了设备的浮动接地电极和大地之间的寄生电容,我们有这条路径。 下面将描述我们正在使用的电路。首先假设有两个回路。第一个回路从发射设备开始,起点在接触皮肤的电极处。
接下来,电路穿过身体,直通脚部到达实际地面,然后通过空气返回到发射设备上的另一个(浮动)电极。我们应该注意到,这不是一个直流电可以通过的回路。但由于寄生电容存在于任意两个物体之间,比如脚和鞋、鞋和地面之间,所以小的交变电流是存在的。 第二个回路的实现方式类似,从接收设备开始,起点在接触皮肤的电极处。然后它穿过身体,两个回路共用这一段路径,到达地面,再通过空气回到接收设备的浮动接地电极上。 这里的关键是理解电路回路的重要性,不过不是因为我们必须推动电流通过回路,而是因为我们需要一个闭合的电容路径。在电路中,如果一个电容器上的电压发生变化,例如发送设备的两个电极,它就会在回路中产生轻微的交变电流。人体和空气等其他电容器,会“看到”电流,由于它们具有阻抗(即对电流的电阻),因此电压也会发生变化。
带有发射设备的电路回路和带有接收设备的回路共用人体,作为各自回路的一段。由于它们共用这一段,所以接收设备也会对人体电压的微小变化做出反应。组成接收设备电容器的两个电极检测到人体的电压变化,并将测量结果解码为有意义的信息。 我们需要身联网设备有高容量的电容。如果能做到,发射设备产生的较高电压将在人体内产生很低的电流。显然,从安全角度来看,这是有意义的:毕竟,我们不想让高电流通过人体。此外,它也会使通信信道的损耗降低。这是因为高阻抗电容对电流的微小变化特别敏感。关键是,我们可以在保持低电流(和安全)的同时,仍然在接收设备上得到清晰的电压测量结果。我们发现,与先前依赖电流直接通过身体发送电信号,尝试在人体内建立一个无线信道的尝试相比,我们的技术可以使损耗降低两个数量级。
我们将人体转换成通信信道的方法,将信号被截获的距离缩短到了小于15厘米,而对蓝牙和类似信号来说,这个距离是5到10米。换句话说,我们将攻击者拦截和干扰信号的距离减少了两个数量级。使用我们的方法后,攻击者只能在距目标近到无法藏身的距离时才能截获信号。
我们的方法不仅为使用医疗植入物或设备的人提供了更多的隐私和安全保护,而且还有一个额外的好处:更加节能。因为我们已经开发了一种低频低损耗的系统,所以可以以更低的功率在设备之间发送信息。采用我们的方法,传输每比特所需的热量还不到10微微焦耳,这大约是蓝牙所需能量的0.01%。使用256比特加密技术,每秒传输1千比特的数据,功率仅为415纳瓦,比蓝牙(功率为1到10毫瓦)低3个数量级还多。
心脏起搏器和胰岛素泵等医疗设备已经存在了几十年,蓝牙耳塞和智能手表可能更新一些,但无论是拯救生命的医疗设备还是消费类科技都不会很快离开我们的身体。只有尽可能使这两类设备安全才有意义。数据从一个点移动到另一个点时,最容易受到恶意攻击。我们的身联网通信技术可以闭合这个回路,阻止个人数据离开身体。
作者:Shreyas Sen、Shovan Maity、Debayan Das
编辑:黄飞
评论
查看更多