ES2602855T3 - Administrador de seguridad personal para la monitorización omnipresente de los pacientes - Google Patents

Abstract

Un sistema integral de asistencia sanitaria al paciente, que comprende: - uno o más sensores médicos inalámbricos adaptados para acoplarse al cuerpo de un paciente y en comunicación entre sí formando una red de sensores corporales dentro de una red de sensores médicos inalámbrica que incluye una o más redes de sensores corporales; - medios de creación de claves λ seguras incorporados en cada uno de dichos sensores médicos inalámbricos para habilitar las comunicaciones seguras entre dichos sensores médicos inalámbricos, y - un administrador de seguridad personal dentro de la red de sensores corporales y en comunicación con dicho uno o más sensores médicos inalámbricos dentro de dicha red de sensores corporales, con dicho administrador de seguridad personal proporcionando comunicaciones seguras con los servicios finales y proporcionando relaciones de seguridad dentro de dicha red de sensores corporales mediante medios de creación de claves λ seguras En el que dichos medios de creación de claves λ seguras son tales que una coalición de no más de λ sensores médicos inalámbricos comprometidos esconde una clave de pares entre dos sensores médicos no comprometidos inalámbricos y proporciona protección contra compromiso de nodo hasta que λ+1 sensores médicos inalámbricos se han comprometido, - una tarjeta de asistencia sanitaria conectada al administrador de seguridad personal para formar un administrador de seguridad personal extendido (PSMx), en el que la tarjeta de asistencia sanitaria (HCC) incluye información de identificación e información de seguridad para la comunicación segura con los servicios de asistencia sanitaria finales, en el que el administrador de seguridad personal incluye una certificado expedido por un centro de confianza a nivel local, y en el que el sistema está adaptado para ejecutar un protocolo de seguridad para la auditoría y/o control de acceso y/o protección de la privacidad, y/o una autentificación mutua del administrador de seguridad personal con la tarjeta de asistencia sanitaria.

Description

5

10

15

20

25

30

35

40

45

50

55

60

65

DESCRIPCION

Administrador de seguridad personal para la monitorizacion omnipresente de los pacientes

La presente invencion se refiere a sistemas de seguridad electronicos. Mas particularmente, la invencion se refiere a un aparato y un procedimiento correspondiente para el acceso y la monitorizacion seguros de la asistencia sanitaria.

Antecedentes de la invencion

Las redes de sensores inalambricos se despliegan cada vez mas para la monitorizacion de la salud, lo cual lleva a los sistemas de monitorizacion de pacientes omnipresentes. En estos sistemas, cada paciente lleva una red de sensores corporales (BSN), que permite la monitorizacion de sus signos vitales en el hogar, los hospitales, o practicamente en cualquier lugar. En este contexto, un paciente puede monitorizarse en muy diferentes escenarios y con diferentes conjuntos de dispositivos o nodos de sensores medicos.

Las tecnologfas de sensores y comunicacion inalambrica estan evolucionando rapidamente y conquistan nuevas areas de aplicacion, tales como la asistencia sanitaria. Los sensores medicos inalambricos (WMS) son cada vez mas pequenos y potentes, lo que permite un uso omnipresente para una amplia gama de aplicaciones medicas, tales como la gestion de enfermedades cronicas. En un entorno sanitario tfpico, un conjunto de WMS que proporcionan mediciones de una variedad de parametros, por ejemplo, ECG, SpO 2 y la presion arterial, forma la red de sensores corporales del usuario (BSN), lo cual permite la monitorizacion de la salud, la medicion de los signos vitales de un usuario y el envfo de su informacion de salud electronica (EHI) a una puerta, como un telefono movil. La puerta de entrada permite al usuario acceder directamente y procesar su EHI, y por otra parte, lo transmite, por ejemplo, a un proveedor de servicios de asistencia sanitaria, donde se almacena y se puede acceder a la misma o ser modificada por las partes autorizadas, tales como personal medico, familia, o entrenadores deportivos.

El uso omnipresente de BSN permite la monitorizacion de la salud en los entornos habituales de los usuarios, por ejemplo, en casa o durante el entrenamiento, y por lo tanto, mejora la calidad de la asistencia sanitaria y el bienestar de los usuarios, y al mismo tiempo permite una reduccion de costes en el sector sanitario. La monitorizacion de la salud sanitaria en estas diversas situaciones y lugares se lleva a cabo por parte de diferentes organizaciones, tales como consultorios, gimnasios, hospitales o residencias de ancianos por medio de redes de sensores medicos (MSN). Una MSN comprende un gran numero de WMS utilizados para monitorear los signos vitales de unos cuantos o muchos usuarios con sensores y algoritmos espedficos de la enfermedad. Por lo tanto, las MSN tienen diferentes requisitos de funcionamiento con respecto a su tamano, capacidades, o campo de aplicacion. En una MSN, un subconjunto arbitrario de WMS puede estar asociado a un paciente para formar su BSN y supervisar su estado de salud en tiempo real. La EHI medida del usuario puede ser procesada por los WMS de la BSN o mediante un PDA clmico, o puede ser enviada a traves de una puerta a una base de datos de MSN local o a los servicios de asistencia sanitaria finales, por ejemplo, el proveedor de servicios de asistencia sanitaria, el servicio de gestion de enfermedades, el servicio de registro de salud personal o el servicio de monitorizacion de implantes, para su posterior procesamiento.

Las MSN omnipresentes estan desconectadas unas de otras, ya que pueden pertenecer a diferentes organizaciones. En consecuencia, los WMS que son diferentes de las MSN tal vez no sean interoperables a niveles de hardware y software debido a incompatibilidades tecnicas, o a nivel de la organizacion debido a las diferentes poltticas de seguridad. Sin embargo, la vision de la asistencia sanitaria omnipresente exige que todos los escenarios de aplicacion MSN trabajen conjuntamente y esten conectados a servicios finales con el fin de permitir que los usuarios se muevan a traves de MSN y para asegurar que su estado de salud puede ser monitoreado por personal autorizado de diferentes organizaciones, incluyendo hospitales o compares de seguros.

El intercambio de datos medicos de los usuarios intra- e inter-MSN conlleva preocupaciones de privacidad y la seguridad que exigen servicios basicos de seguridad, por ejemplo, confidencialidad y autentificacion. Estos servicios de seguridad deben garantizar la seguridad y privacidad de los pacientes, como es requerido por las alianzas de asistencia sanitaria como HITRUST, y deben cumplir con las directivas legales, como la Ley de Portabilidad y Responsabilidad de Seguros Medicos (HIPAA) en los Estados Unidos y la directiva europea 95/46 sobre proteccion de datos. En particular, una EHI de usuario debe estar protegida de forma integral, es decir, de los WMS de su BSN a las bases de datos de MSN y servicios de asistencia sanitaria finales con el fin de evitar que personas no autorizadas tengan acceso a sus datos medicos. Sin embargo, proporcionar privacidad en un ambiente asf es un reto debido a las caractensticas de MSN que incluyen: (I) movilidad inter e intra-MSN de los usuarios; (Ii) la naturaleza de recursos limitados de los WMS; (Iii) el hecho de que cualquier subconjunto de WMS de un conjunto de WMS de una MSN puede formar la BSN utiliza para controlar el estado de salud de un usuario; (Iv) y el requisito de identificacion de BSN y usuario inequvoca en todo el sistema de MSN omnipresentes.

Los problemas de seguridad y privacidad se han abordado tanto para los servicios finales centralizados como para los escenarios de aplicacion MSN aislados. Por ejemplo, se introdujo una infraestructura de seguridad XML para proporcionar control de acceso a EHI en la infraestructura de servicios finales. Se analizaron los problemas de

5

10

15

20

25

30

35

40

45

50

55

60

65

seguridad para redes de sensores inalambricos en aplicaciones de asistencia sanitaria aisladas. Se han presentado los requisitos de seguridad y la infraestructura de los sistemas de informacion clmicos independientes. Sin embargo, el estado de la tecnica carece de la definicion de un sistema de seguridad integral, donde la BSN de un paciente se puede identificar de forma ineqmvoca en todo el sistema de las MSN omnipresentes, donde WMS se puede asociar a una red de area de paciente (PAN) de un paciente BSN de una manera segura y eficiente, y donde la seguridad integral puede proporcionarse mediante un enfoque de distribucion de claves eficiente.

Es un reto cumplir con los estrictos requisitos de seguridad para aplicaciones medicas que son requeridos legalmente por las directivas como HIPAA. La seguridad y la privacidad de los datos medicos de un usuario deben garantizarse de forma integral, es decir, desde los nodos de sensores individuales hasta los servicios de asistencia sanitaria finales. Esto es particularmente diffcil debido a las caractensticas de las redes de sensores medicos (MSN) omnipresentes, tales como: (I) soportar la movilidad intra- e inter-MSN de los pacientes (li) tener en cuenta la naturaleza de recursos limitados de sensores medicos; (lii) formar una red de sensores corporales de un usuario a partir de cualquier subconjunto del conjunto de una red de sensores medicos de sensores medicos inalambricos; y (iv) proporcionar una identificacion de la red de sensores corporales y de usuarios ineqmvoca.

Un sistema de asistencia sanitaria omnipresente es aplicable a una amplia gama de escenarios de asistencia sanitaria y combina diversas tecnologfas. A nivel organizativo, el sistema de asistencia sanitaria omnipresente puede dividirse en MSN controladas por diferentes instituciones, por ejemplo, hospitales, gimnasios, consultorios, o basadas en el hogar. En general, las MSN son redes distribuidas, a gran escala, ad hoc que funcionan de forma independiente. Las MSN pueden comprender un gran numero de WMS asociados con diferentes pacientes y BSN. En general, solo los WMS asociados con el mismo paciente se comunican entre sf, de modo que las BSN estan desconectadas. La movilidad tanto de nodos como de pacientes hace que la topologfa de MSN sea altamente dinamica. En la tecnica anterior, a nivel de implementacion, los WMS utilizados en diferentes MSN no son interoperables, y desde un punto de vista tecnico y de seguridad, ya que tal vez no esten basados en tecnologfas compatibles y pueden pertenecer a diferentes dominios de seguridad.

Con el fin de hacer que los WMS sean portatiles y para evitar que sean una carga para la vida diaria de un usuario, los WMS tienen que ser pequenos y ligeros. Como resultado de estas limitaciones de tamano y peso, los WMS tambien estan limitados en cuanto a vida util de la batena, la memoria disponible y la potencia de calculo. En este contexto, IEEE 802.15.4 y ZigBee son dos estandares clave debido a su bajo consumo de energfa, la memoria y los requisitos computacionales, encajando con aplicaciones de red de area personal inalambricas (PAN) o BSN de baja velocidad.

Debido a la gama de radio restringida de los WMSs que forman una BSN, los WMS tienen que contar con un dispositivo de puerta de enlace para garantizar la conectividad permanente a servicios de asistencia sanitaria finales remotos que gestionan, almacenan y dan acceso a los datos medicos del paciente. La comunicacion entre puertas y servicios de asistencia sanitaria se puede lograr con medios inalambricos para BSN moviles o con medios de cable para aplicaciones en un entorno restringido, cerrado, por ejemplo, un hospital. Se utilizan tecnologfas conocidas como WLAN, GSM, UMTS o Ethernet para estos fines. Los servicios de asistencia sanitaria finales pueden ser de naturaleza centralizada, por ejemplo, el servicio de proveedor de asistencia sanitaria, el servicio de registro de asistencia sanitaria personal, o el servicio de seguridad de la asistencia sanitaria. Sin embargo, estos servicios de asistencia sanitaria tambien podnan distribuirse entre varias instituciones de asistencia sanitaria o compares de seguros.

Las caractensticas tecnicas de los WMS utilizados en aplicaciones medicas, asf como los requisitos de funcionamiento de las MSN imponen nuevos desaffos para la definicion de un sistema de seguridad, especialmente en comparacion con las redes de ordenadores tradicionales o redes de sensores inalambricas independientes estaticas.

En primer lugar, los WMS son dispositivos con recursos limitados. Por ejemplo, la plataforma MicaZ ha sido utilizado por muchas instituciones de investigacion en el diseno de WMS. MicaZ esta equipado con una memoria flash de programa de 128 Kbytes, una memoria RAM de 4 Kbytes. El chip de radio, el CC2420, implementa el AES en hardware y se comunica a 250 kbps. La CPU funciona a una frecuencia de reloj de 8 MHz y carece de operacion de division. Por lo tanto, las soluciones de seguridad deben tener alta eficiencia energetica, reducir al mmimo los requisitos de memoria, especialmente memoria RAM, y consumir una cantidad insignificante de recursos computacionales y de comunicacion para evitar ataques de DoS (denegacion de servicio).

Otro aspecto que impone requisitos a las aplicaciones medicas se refiere a la latencia maxima permitida en la transmision de informacion medica, asf como el tiempo de configuracion de BSN. Por ejemplo, ECG requiere una latencia maxima de 250 mseg, y la configuracion de la red debe llevarse a cabo en menos de 1 segundo. Por lo tanto, el tiempo de ejecucion de los procedimientos de seguridad debe minimizarse con el fin de no restringir el funcionamiento normal de todos los dfas, por ejemplo, durante las visitas de un medico, y para evitar que los atacantes lanzar ataques de denegacion de servicio.

5

10

15

20

25

30

35

40

45

50

55

60

65

Ademas, el sistema de seguridad debe ser escalable tanto a nivel de MSN como a nivel de WSN. Por un lado, la arquitectura de la asistencia sanitaria omnipresente debe permitir la incorporacion y la integracion de nuevas MSNs, por ejemplo, en una nueva residencia de ancianos, en el sistema de asistencia sanitaria omnipresente. Por otro lado, una MSN independiente puede comprender miles de WMS, por ejemplo, en un hospital. Por lo tanto, los servicios de seguridad, asf como su aprovisionamiento, deben ser escalables en estos dos niveles para permitir un sistema de asistencia sanitaria verdaderamente omnipresente y seguro para un gran numero de MSN y pacientes.

La movilidad de WMS con y entre los usuarios de una MSN impone requisitos adicionales sobre la asociacion y configuracion de BSN, asf como en los enfoques de distribucion de clave. En primer lugar, la asociacion de BSN, que puede llevarse a cabo con mucha frecuencia, debe ser discreta, automatica, palpable, segura y transparente para el personal medico, para evitar la distraccion de la atencion al paciente. Cada BSN puede considerarse un dominio de seguridad independiente dinamico dentro de una MSN, donde WMS pueden unirse y salir en cualquier momento, por ejemplo, un nuevo WMS de una MSN de un hospital puede unirse a un paciente, y se asociarse con su BSN. Por otro lado, la movilidad de los pacientes y cuidadores hace que una topologfa de mSn sea dinamica y ocasiona la segmentacion de la red y las fusiones de red. Por ejemplo, la BSN de los pacientes en un hospital pueden desconectarse de la MSN y la infraestructura del hospital, por ejemplo, al ir a dar un paseo en el jardm del hospital. Situaciones como las emergencias medicas pueden requerir tratamiento inmediato por un medico. Por lo tanto, cualquier medico debe ser capaz de establecer una comunicacion segura de una manera ad hoc y monitorear los signos vitales del paciente de una manera segura, impidiendo el uso de algunos protocolos de distribucion de claves.

Por ultimo, el sistema de asistencia sanitaria debe permitir la identificacion unica de los usuarios y BSN en diferentes MSN con el fin de vincular ineqmvocamente EHI de usuarios que pueda generarse en diferentes MSN por diferentes WMS.

Desafios de seguridad

Hay tres principales desaffos de seguridad que deben abordarse para definir un sistema de seguridad integral: la distribucion de claves en las MSN omnipresentes, la asociacion de BSN segura, y la identificacion de usuario inequvoca y unica.

La DISTRIBUCION DE CLAVES es la piedra angular de la seguridad tanto de las MSN independientes como de las MSN interconectadas, ya que esto define como los WMS reciben y manejan las claves criptograficas utilizadas para permitir los requisitos de seguridad mas basicos, como la confidencialidad y la autentificacion tanto intra- como inter- MSN. Hay una variedad de tecnicas muy diferentes de distribucion de claves en base a la clave publica, centros de confianza centralizados (en lmea) o intercambio de claves. En general, la viabilidad de un enfoque u otro depende de los requisitos operativos y las restricciones tecnicas de cada configuracion medica espedfica. Por ejemplo, las claves criptograficas simetricas pueden pre-configurarse en el WMS que pertenece a una BSN estatica en una pequena MSN. Sin embargo, esta configuracion es imposible en entornos altamente dinamicos, por ejemplo, hospitales, debido a la movilidad de nodo, donde la afiliacion a la BSN es impredecible. La realizacion de las operaciones computacionalmente complejas aumenta la descarga de la batena y el retardo de las comunicaciones y podra hacer que los protocolos de comunicacion sean susceptibles a los ataques de denegacion de servicio que podnan bloquear el procesamiento requerido de los datos medicos. Las implementaciones mas eficientes de los sistemas de clave publica basados en criptograffa de curva elfptica todavfa requieren 0,81 s. para una multiplicacion de un solo punto, es decir, la operacion basica para establecer una clave comun. Este hecho hace que estos protocolos de establecimiento de claves sean propensos a ataques de agotamiento de los recursos destinados a recursos computacionales y de energfa. Por lo tanto, el uso de la criptograffa de clave publica en las MSN debe reducirse al mmimo posible. El establecimiento de claves basado en un centro de confianza (TC) en lmea se basa en el TC para distribuir las claves al WMS, por ejemplo, ZigBee. Este enfoque cuenta con el unico punto de la naturaleza de fallo del TC y el aumento de la carga de trafico de los nodos de la ruta del TC que drena las batenas de estos nodos. Los ataques de DoS y las colisiones de paquetes tambien podnan evitar que los WMS tengan exito en el protocolo de intercambio de acuerdo de clave inicial, y por lo tanto, evitando su la transmision de datos medicos. Ademas, la conectividad a un TC no puede garantizarse en muchas situaciones, como emergencias medicas y respuesta a los desastres. Por estas razones, las soluciones de criptograffa de claves simetricas baratas computacionalmente que permiten un acuerdo de claves directas, tales como las funciones de hash o polinomios, son la opcion preferible en MSN independientes.

ASOCIACION DE BSN SEGURA se refiere a la formacion de una BSN y como el WMS de una BSN se identifica y asocia con un usuario particular. En escenarios estaticos, en los que solo conjuntos fijos de sensores inalambricos se comunican, la asociacion de BSN se lleva a cabo solo una vez a traves de un simple proceso de emparejamiento. Sin embargo, en los entornos mas complejos, como en residencias de ancianos u hospitales, donde la bSn de un usuario puede consistir en conjuntos arbitrarios de WMS tomadas del conjunto de WMS de la MSN, los WMS debe estar asociados de forma segura a un paciente. Dentro del dominio de seguridad de una MSN, una BSN debe entenderse como un subdominio de seguridad completamente independiente en el que las relaciones de seguridad se manejan de manera autonoma.

5

10

15

20

25

30

35

40

45

50

55

60

65

El problema de la asociacion de BSN ha sido recientemente abordado de diferentes maneras. Baldus et al., "Configuracion fiable de redes de sensores corporales medicas", EWSN 2004, utilizo una unidad de configuracion para distribuir el identificador BSN a los nodos medicos a traves de infrarrojos. El enfoque BLIG (J. Andersen, y J.E. Bardram. "BLIG: Un nuevo enfoque para la identificacion, agrupamiento y autorizacion de sensores en redes de sensores corporales ". 4th Int. Taller sobre redes de sensores corporales usables e implantables, (BSN 2007), 26-28 de marzo de 2007, Aachen, Alemania), hace uso de un nodo especial unido al cuerpo. Los otros nodos reciben el identificador de usuario cuando se ponen cerca del mismo por medio de una tecnologfa de comunicacion de corto alcance. Falck et al. "Simplicidad Plug & Play para los sensores corporales medicos inalambricos", Conferencia y Talleres de Salud Omnipresente, 2006, vol., n.°, pp.1-5 29 de Nov. 2006 - dic. 1, 2006, propone el uso de la tecnologfa de comunicacion acoplada al cuerpo (BCC) para distribuir la ID de BSN y usuario. En este enfoque, cada paciente lleva un token de identificacion que distribuye automaticamente la ID del paciente, y otra informacion de configuracion, a WMS unidos al cuerpo del paciente por medio de BCC. Por lo tanto, este enfoque no requiere la intervencion medica durante la configuracion de la BSN. Sin embargo, los protocolos de asociacion BSN seguros son necesarios ya que estos enfoques no son compatibles con los servicios de seguridad basicos ni permiten transformar una BSN en un dominio de seguridad independiente.

La identificacion de usuario inequvoca y unica se refiere al hecho de que un individuo puede ser atendido en diferentes MSN con diferente equipo medico como se describio anteriormente. La informacion medica medida debe estar vinculada de forma automatica a un identificador del paciente principal reconocido en todo el sistema de asistencia sanitaria con el fin de permitir la interoperabilidad entre las MSN omnipresentes independientes. Estos identificadores deben estar regulados con el fin de garantizar la interoperabilidad entre diferentes instituciones administrativas y de asistencia sanitaria. Pueden utilizarse identificadores de sesion dinamicos para garantizar la privacidad del paciente y para identificar a un paciente de una manera diferente en funcion del contexto.

Una solucion integrada para los tres requisitos descritos anteriormente permite el despliegue de BSN seguras y MSN, asf como la seguridad integral entre WMS y servicios de asistencia sanitaria finales. El diseno de un sistema de este tipo es diffcil y complejo, ya que los usuarios pueden moverse a traves de diferentes organizaciones de MSN, y en algunas aplicaciones, las BSN de los usuarios pueden comprender subconjuntos de WMS arbitrariamente recogidos del conjunto de WMS de la MSN.

Requisitos adicionales de seguridad

Ademas del asunto de seguridad principal destinado a garantizar la configuracion segura del sistema, se necesitan servicios de seguridad adicionales. Tenga en cuenta que la prestacion de muchos de estos servicios de seguridad tradicionales se basa en claves criptograficas e identificadores. Vamos a proporcionar una vision general de los mismos en breve.

a) La privacidad y confidencialidad se refiere a la proteccion de datos, la identidad y la informacion de contexto para evitar que los atacantes espfen la comunicacion. Por ejemplo, la confidencialidad de datos se consigue por medio de algoritmos de criptograficos, tales como el estandar criptografico de antelacion (AES).

b) Integridad de datos se refiere a la proteccion de datos contra la manipulacion no autorizada por medio de, por ejemplo, un codigo de autentificacion de mensajes.

c) La identificacion y la autentificacion se ocupa de las tecnicas utilizadas para garantizar la validacion de los diferentes eventos medicos, las identidades de los usuarios, y los datos intercambiados. Los identificadores deben estar regulados y estandarizados con el fin de garantizar la interoperabilidad y la identificacion sin ambiguedad como lo requiere la HIPAA. Las identidades deben estar vinculados a algun material de creacion de claves criptograficas con el fin de garantizar la autentificacion.

d) Auditona se refiere a las tecnicas utilizadas para registrar todos los accesos a datos y es necesaria para cumplir con los requisitos de la HIPAA sobre la responsabilidad y proporcionar un registro rastreable en caso de mal uso.

e) Las tecnicas de control de acceso son necesarias para autorizar el acceso a EHI del paciente y BSN. Ademas, hay que definir poltticas de control de acceso para abordar asuntos tales como las prioridades de control de acceso y la delegacion como se define en R.J. Anderson, "Un modelo de polttica de seguridad para los sistemas clmicos de informacion", sp, p. 0030, 1996 Simposio de IEEE sobre Seguridad y Privacidad, 1996; y K. Sohr, M. Drouineaud, G. Ahn. "Memoria descriptiva formal de las poltticas de seguridad basadas en roles para los sistemas de informacion clmica" Simposio ACM sobre Informatica Aplicada, 2005, Santa Fe, Nuevo Mexico, 13 -17 de marzo, 2005.

La seguridad y la privacidad son esenciales en el ambito medico con el fin de cumplir con los requisitos legales, tales como HIPAA en Ee.UU. o la Directiva Europea 95/46 sobre proteccion de datos en Europa. En este contexto, la seguridad integral entre nodos de sensores medicos (o dispositivos) y los servicios de asistencia sanitaria finales en los hospitales es un problema de suma importancia que se encuentra actualmente sin resolver. La seguridad integral debe ser independiente del conjunto de nodos de sensores usados para monitorizar a un paciente, e independiente

5

10

15

20

25

30

35

40

45

50

55

60

65

del servicio de asistencia sanitaria utilizado durante el ciclo de cuidados. Este requisito incluye (i) la asociacion segura de la red de sensores corporales s, (ii) el almacenamiento seguro de informacion relacionada con la medicina en la red de sensores corporales, (iii) la ineqmvoca, pero al mismo tiempo privada, identificacion de los pacientes en el todo el sistema, y (iv) la transmision segura de la informacion del paciente entre los nodos de sensores y servicios de asistencia sanitaria.

Las tecnologfas conocidas relacionadas con la tecnica anterior no resuelven estos problemas:

La solicitud de patente de EE.UU. 2007/0043594 describe un sistema electronico de suministro de asistencia sanitaria que comprende: (I) un chip controlador de NFC (comunicaciones de campo cercano; (Ii) un chip controlador de tarjeta inteligente; (Iii) un protocolo de comunicacion peer-to-peer inalambrica; etc. Aunque el objetivo de este sistema es permitir la asistencia sanitaria omnipresente, hay algunas diferencias basicas y deficiencias dentro de esta tecnica anterior. En primer lugar, hay que senalar que este sistema se basa en la tecnologfa NFC. Es importante destacar que esta solicitud de patente no aborda los problemas de seguridad, por ejemplo, la distribucion de claves, la asociacion de redes de sensores corporales, la seguridad integral en la asistencia sanitaria omnipresente en absoluto. Del mismo modo, esta solicitud de patente no divulga las redes de sensores inalambricas y redes de sensores corporales en absoluto.

DE 20008602 U divulga un sistema en el que los signos vitales del paciente, medidos por un conjunto de sensores de ECG que lleva un paciente, estan vinculados a la identidad del paciente. La solicitud de patente describe un lector de tarjetas para permitir la identificacion del paciente. Sin embargo, este sistema no divulga la seguridad integral y la asociacion a la red de sensores corporales segura.

US 2005/10245995 A1 divulga una unidad de transmision de datos para la comunicacion inalambrica con un implante electro-medico y un centro de adquisicion y evaluacion de datos. Este sistema no divulga un protocolo de seguridad integral de las redes de sensores medicos que incluye la distribucion de claves en redes de sensores corporales, asociacion a la red de sensores corporales, identificacion de red de sensores corporales y la seguridad integral.

US 2003/10229518 A1 divulga un procedimiento para registrar las acciones de los pacientes. El sistema proporciona un equipo medico para identificar a un paciente de modo que los datos obtenidos durante el uso del equipo medico se atribuyan al paciente. Este sistema no divulga un sistema para identificar las redes de sensores corporales y habilitar la seguridad integral de las redes de sensores corporales para los sistemas medicos finales.

US 6.564.056 B1 describe un controlador que administra los dispositivos que estan registrados en el controlador. Cada dispositivo se registra en el controlador mediante la insercion de una memoria en el lector de tarjetas del controlador. Las comunicaciones entre el controlador y los dispositivos estan aseguradas mediante el uso de identificadores de los dispositivos como las claves criptograficas. Esta aplicacion no divulga un lector de tarjetas que identifica y registra los dispositivos de la red de sensores corporales, sino que identifica el usuario de la red de sensores corporales.

US 200210188473 describe un sistema que incluye la identificacion del paciente y permite que el usuario tenga acceso a la historia medica del paciente. El sistema esta basado en una tarjeta inteligente. Este sistema no tiene en cuenta las redes de sensores inalambricas y las redes de sensores corporales, la identificacion de la red de sensores corporales, identificacion de los nodos de sensores, asociacion de redes de sensores corporales seguras, y seguridad integral entre nodos de sensores y sistemas medicos finales.

WO2007 / 149850 A2 describe un procedimiento de distribucion de claves que permite a cualquier par de dispositivos en un hospital acordar una clave comun de una manera distribuida. De esta manera, esta solicitud de patente garantiza servicios basicos de seguridad entre nodos de sensores o entre un nodo de sensores y un monitor de cabecera. Sin embargo, la brecha de seguridad importante de la seguridad integral esta aun sin resolver.

WO2008/014432 A2 describe un procedimiento para permitir la identificacion del paciente en base a las comunicaciones acopladas al cuerpo (BCC). En esta solicitud de patente, cada paciente lleva una etiqueta de comunicaciones acoplado al cuerpo. Cuando un paciente quiere hacer uso de un dispositivo medico espedfico o similar, el dispositivo medico se comunica con la etiqueta de comunicaciones acoplada al cuerpo por medio de comunicaciones acopladas al cuerpo para recibir el iD de paciente. De esta manera el dispositivo medico puede hacer uso de la informacion de identificacion del paciente para personalizar sus mediciones o para adjuntar la identificacion del paciente a los signos vitales medidos antes de enviarlos a un medico. Aunque este enfoque permite la identificacion de los pacientes de una manera muy simple, las amenazas a la seguridad en el sistema no se tienen en cuenta. Por ejemplo, un intruso, Bob, podna robar la etiqueta de Alice y leer la informacion de identificacion de Alice. Posteriormente, Bob podna hacerse pasar por Alice o incluso tener acceso a la informacion medica personal de Alice. Esta solicitud se refiere al problema de la seguridad integral entre nodos de la red de sensores corporales y servicios de asistencia sanitaria finales. Con este fin, la presente solicitud resuelve los siguientes temas de seguridad:

5

10

15

20

25

30

35

40

45

50

55

60

65

1. La disposicion segura de una red de sensores corporales - en el sentido de que todas las comunicaciones entre todos los dispositivos de una red de sensores corporales son seguras con respecto a la autentificacion y la confidencialidad;

2. La identificacion ineqmvoca del paciente - en el sentido de que un paciente se identifica de forma ineqmvoca en todo el sistema, incluyendo redes de sensores corporales, servicios de seguridad finales, etc.; y

3. El almacenamiento seguro de informacion medica, de manera que solo personal autorizado pueda tener acceso a ella.

Sumario de la invencion

El sistema seguro integral de asistencia sanitaria al paciente se basa en el uso de PSM de administrador de seguridad personal en una BSN de red de sensores corporales que lleva la informacion de un paciente, por ejemplo, informacion medica o relacionada con el identificador, de una manera segura. El administrador de seguridad personal puede comunicarse de una manera segura con el resto de los nodos de sensores WMS dentro de la red de sensores corporales, por ejemplo, los nodos de sensores medicos o dispositivos de monitorizacion, y transmitir identificadores de pacientes reales, que son reconocidos en todo el sistema, incluyendo los sistemas finales, por medio de comunicaciones acopladas al cuerpo (BCC). BCC es la tecnologfa preferida, pero otras, como comunicaciones de campo cercano (NFC) o similares, se podnan utilizar tambien. Ademas, el administrador de seguridad personal tambien lleva la informacion de seguridad incluida la identificacion del paciente, clave publica, etc., que permite al administrador de seguridad personal para autentificar la identidad del paciente y activar la seguridad integral con el sistema final. La seguridad entre los sistemas PSM y finales podna estar basada en una infraestructura de clave publica o basada en terceros de confianza (como el protocolo de autentificacion de red informatica Kerberos) o combinaciones adicionales.

Ademas de las tecnologfas mencionadas anteriormente que se utilizan para la transmision de EHI de los usuarios, el sistema de seguridad integral hace uso de dos tecnologfas adicionales, a saber, la comunicacion acoplada al cuerpo BCC y las tarjetas inteligentes, para la identificacion segura y transparente y la formacion de una BSN, asf como para el almacenamiento seguro de material de seguridad y eHi. La BCC es una comunicacion en el cuerpo de baja energfa que utiliza el cuerpo humano como capa de red ffsica para la transmision de datos entre los dispositivos unidos directamente al cuerpo de un paciente. Esta tecnologfa ahorra energfa y espectro y mejora el nivel de seguridad en comparacion con la comunicacion inalambrica tradicional debido a los bajos requisitos de energfa y la naturaleza de comunicacion en el cuerpo que hace que sea mas diffcil escuchar a escondidas las comunicaciones. Por lo tanto, puede utilizarse por WMS que pertenezcan al mismo paciente para el intercambio de datos sensibles, la activacion de la asociacion de BSN, es decir, la asignacion de un WMS a una BSN, o el intercambio de datos medicos. La tecnologfa de tarjetas inteligentes proporciona un medio seguro para almacenar informacion cntica de una manera segura, asf como la autentificacion de usuario. Una tarjeta inteligente proporciona las capacidades criptograficas para permitir la autentificacion y el almacenamiento seguro de los datos.

La combinacion de BCC y la tecnologfa de tarjeta inteligente proporciona un solido mecanismo de autentificacion e identificacion. Las buenas caractensticas de seguridad de una tarjeta inteligente, como el control de acceso basado en PIN o algoritmos criptograficos integrados permiten el almacenamiento seguro de informacion privada, por ejemplo, contrasenas. Las propiedades de comunicacion privadas inherentes de BCC proporcionan un medio de transmision seguro que hace diffcil espiar. Por ejemplo, podemos imaginar un usuario que lleva un token de identificacion con capacidades de tarjetas inteligentes y BCC. El usuario puede almacenar en la tarjeta inteligente informacion como contrasenas o datos privados. Esta informacion solo puede ser recuperada de la tarjeta inteligente, por ejemplo, a traves de un enlace BCC despues de la identificacion y autentificacion con exito.

Una tarjeta de asistencia sanitaria HCC, por ejemplo, una tarjeta inteligente, puede conectarse a un administrador de seguridad personal PSM para proporcionar una conexion entre la red de sensores corporales y dominios de seguridad finales que resuelve los problemas de seguridad anteriores. El administrador de seguridad personal lleva la informacion del paciente, por ejemplo, nombre, informacion medica, contrasenas, etc. en una tarjeta de asistencia sanitaria de una manera segura que

i) incluye funcionalidades que permitan la asociacion segura de nodos de red de sensores corporales y transmite identificadores de pacientes reguladas que son reconocidos en todo el sistema de asistencia sanitaria por medio de comunicacion de comunicaciones acopladas al cuerpo BCC de una forma segura como se describe anteriormente. Solo los dispositivos medicos inalambricos asociados a la misma BSN y contar con las credenciales necesarias permiten recuperar la informacion privada de la HCC conectada en el PSM a traves del enlace BCC, y

ii) lleva la informacion del paciente, por ejemplo, identificacion del paciente, la clave publica del paciente, etc., que permite al administrador de seguridad personal autentificar la identidad del paciente y habilitar la seguridad integral entre nodos de la red de sensores corporales y servicios de asistencia sanitaria. El administrador de seguridad personal puede implementarse en un nodo con interfaces de comunicacion inalambricos y acoplados del cuerpo y

5

10

15

20

25

30

35

40

45

50

55

60

65

puede incluir un modulo de seguridad para habilitar funcionalidades de seguridad en las comunicaciones de red de sensores inter- e intra-corporales.

Algunas de las funcionalidades de seguridad estan separadas ffsicamente de otros componentes dentro del sistema y se pueden almacenar en la tarjeta de asistencia sanitaria, aumentando tanto la flexibilidad como el valor del sistema.

Los principios descritos en esta invencion se pueden aplicar a los dispositivos y redes de sensores corporales medicos para activar la seguridad integral en los sistemas de monitoreo de pacientes omnipresentes, como el ciclo de cuidados.

Una red de sensores corporales BSN es una red inalambrica particular, ad hoc compuesta de sensores inalambricos WMS adaptados para unirse al cuerpo de un paciente y tambien puede incluir un numero de dispositivos medicos inalambricos en estrecha proximidad, como se muestra en la fig. 1. Los nodos de sensores inalambricos, por ejemplo, los sensores medicos inalambricos WMS, miden los signos vitales de un paciente y los transmiten a un monitor de PDA o a un monitor al lado de la cama que los muestra y los envfa a una unidad de almacenamiento central o similar.

Este sistema de seguridad integral supera los retos anteriores y permite el acceso eficaz y seguro a los datos medicos personales en redes de sensores medicos omnipresentes. El sistema combina las tecnologfas existentes, tales como la comunicacion acoplada al cuerpo y el concepto de la tarjeta de asistencia sanitaria digital, con soluciones de seguridad distribuidas para permitir una asociacion de red de sensores corporales segura, un acuerdo de claves distribuido eficiente y control de acceso en redes de sensores corporales, la identificacion ineqrnvoca del paciente, y la seguridad integral a traves de los escenarios de asistencia sanitaria omnipresentes. Este sistema proporciona la facilidad de uso, rendimiento y seguridad, que son especialmente adecuados para sensores medicos inalambricos con recursos limitados.

Es un objeto de la presente invencion proporcionar un aparato y un procedimiento que proporcionen comunicaciones seguras integrales entre todas las partes de una red de comunicaciones para la asistencia sanitaria, desde los sensores medicos inalambricos individuales de una red de sensores corporales a los servicios finales.

Segun un primer aspecto de la presente invencion, un sistema seguro integral de asistencia sanitaria al paciente incluye:

- uno o mas sensores medicos inalambricos adaptados para acoplarse al cuerpo de un paciente y en comunicacion entre sf formando una red de sensores corporales dentro de una red de sensores medicos inalambrica que incluye una o mas redes de sensores corporales;

- medios de creacion de claves A seguras incorporados en cada uno de dichos sensores medicos inalambricos para habilitar las comunicaciones seguras entre dichos sensores medicos inalambricos, y

- un administrador de seguridad personal dentro de la red de sensores corporales y en comunicacion con dichos uno o mas sensores medicos inalambricos dentro de dicha red de sensores corporales, con dicho administrador de seguridad personal proporcionando comunicaciones seguras con los servicios finales y proporcionando relaciones de seguridad dentro de dicha red de sensores corporales por medio de dichos medios de creacion de claves A seguras,

en el que dichos medios de creacion de claves A seguras son tales que una coalicion de no mas de A sensores medicos inalambricos comprometidos oculta, por ejemplo, no revela nada, acerca de una tecla de pares entre dos sensores medicos no comprometidos inalambricas y proporciona una capacidad de recuperacion perfecta para el compromiso de nodos hasta A +1 sensores medicos inalambricos han sido comprometidos.

La sensores medicos y administrador de seguridad personal inalambrica pueden adaptarse para comunicarse por medio de comunicaciones acopladas al cuerpo.

El sistema puede incluir ademas una tarjeta de asistencia sanitaria conectada al administrador de seguridad personal, en el que la tarjeta de asistencia sanitaria incluye informacion para la identificacion del usuario ineqrnvoca y la informacion de seguridad para la comunicacion segura con los servicios finales de la asistencia sanitaria, en la que el administrador de seguridad personal incluye un certificado emitido por un centro de confianza a nivel local, y en el que el sistema esta adaptado para ejecutar un protocolo de seguridad para la auditona, control de acceso y proteccion de la privacidad, y la autentificacion mutua del administrador de seguridad personal con la tarjeta de asistencia sanitaria.

La informacion de la red de sensores corporales puede estar vinculada a la identidad del paciente, en la que dicha tarjeta de asistencia sanitaria del paciente HCC y dicho administrador de seguridad personal PSM forman un

5

10

15

20

25

30

35

40

45

50

55

60

65

administrador de seguridad personal extendido PSMx, ver fig. 2, para conectar una serie de dominios de seguridad de redes de sensores medicos inalambricos a un sistema de asistencia sanitaria omnipresente. El administrador de seguridad personal extendido puede adaptarse para:

- almacenar el certificado expedido por el centro de confianza a nivel local,

- almacenar los medios de creacion de claves A para establecer una comunicacion de seguridad integral emitida por los servicios de asistencia sanitaria centralizados y

- aplicar el protocolo de seguridad para habilitar la autentificacion mutua del administrador de seguridad personal extendido y la tarjeta de asistencia sanitaria, seguridad final, auditona y gestion integral de las poltticas de privacidad y control de acceso de contexto.

El administrador de seguridad personal extendido puede adaptarse para autentificar el administrador de seguridad personal del paciente y de la tarjeta de asistencia sanitaria del paciente cuando este se une a la red de sensores medicos.

El administrador de seguridad personal puede incluir un lector de tarjetas inteligentes adaptado para recibir la tarjeta de asistencia sanitaria, y en el que la tarjeta de asistencia sanitaria puede incluir informacion de identificacion individual y/o informacion medica y/o material de seguridad y/o poltticas de seguridad.

El administrador de seguridad personal puede incluir un nombre de usuario, identificador, materiales de seguridad, registros medicos o polfticas de control de acceso para diferentes redes de sensores medicos.

El administrador de seguridad personal extendido puede incluir la identificacion de un usuario global, red de area del paciente y la informacion de asistencia sanitaria electronica individual EHI. La informacion de asistencia sanitaria electronica EHI puede provenir de la red de area de paciente.

La informacion de seguridad almacenada en la asistencia sanitaria puede proporcionarse para la identificacion y autentificacion del usuario y para actuar como un puente entre la red de sensores corporales del paciente y los servicios de asistencia sanitaria centralizados o finales. La red de sensores corporales puede ser la misma que la red de area de paciente.

El administrador de seguridad personal extendido puede ser un telefono movil con una ranura de tarjeta inteligente adicional para la tarjeta de asistencia sanitaria.

El sistema de asistencia sanitaria integral del paciente seguro integral puede incluir ademas un dominio seguro autonomo formado por el sensor medico inalambrico asociado con una red de area de paciente, en el que el administrador de seguridad personal extendido es el centro de confianza de la red de area de paciente y esta adaptado para controlar la asociacion o revocacion segura de los miembros de la red de area de paciente.

El administrador de seguridad personal extendido y los sensores medicos inalambricos se pueden adaptar para el almacenamiento seguro de informacion y las acciones llevadas a cabo en la red de sensores corporales de la tarjeta de asistencia sanitaria del paciente, incluso si se pierde la conexion con el centro de confianza de la red de sensores medicos intercambiada.

Segun un segundo aspecto de la presente invencion, un procedimiento para la comunicacion de asistencia sanitaria con el paciente integral segura en un sistema de asistencia sanitaria integral del paciente incluye los pasos de: almacenar un certificado expedido por un centro de confianza de la red local de sensores medicos en el administrador de seguridad personal; almacenar los medios de seguridad en el administrador de seguridad personal para establecer una comunicacion de seguridad integral emitida por los servicios de asistencia sanitaria centralizados; e implementar un protocolo de seguridad para habilitar la autentificacion mutua del administrador de seguridad personal y una tarjeta de asistencia sanitaria, seguridad integral, auditona, y/o la gestion de las polfticas de privacidad de control de acceso de contexto.

Segun un tercer aspecto de la presente invencion, un administrador de seguridad personal para un sistema de asistencia sanitaria integral del paciente seguro, en el que el administrador de seguridad personal se encuentra dentro de una red de sensores corporales y en comunicacion con uno o mas sensores medicos inalambricos dentro de la red de sensores corporales, en el que el administrador de seguridad personal proporciona comunicaciones seguras con servicios de finales y proporciona relaciones de seguridad dentro de la red de sensores corporales por medio de medios de creacion de claves A seguras, donde uno o mas sensores medicos inalambricos estan adaptados para acoplarse al cuerpo de un paciente y en comunicacion entre sf para formar la red de sensores corporales dentro de una red de sensores medicos inalambricos que incluye una o mas redes de sensores corporales; medios de creacion de claves A seguras incorporados en cada uno de los sensores medicos inalambricos para habilitar las comunicaciones seguras entre los sensores medicos inalambricos, y en el que los

5

10

15

20

25

30

35

40

45

50

55

60

65

medios de creacion de claves A seguras son tales que una coalicion de no mas de A sensores medicos inalambricos comprometidos oculta, por ejemplo, no revela nada, acerca de una clave de pares entre dos sensores medicos inalambricos no comprometidos y proporciona la capacidad de recuperacion perfecta al compromiso de nodos hasta que A+1 sensores medicos inalambricos han sido comprometidos.

Un establecimiento de claves A seguras se refiere a un protocolo de intercambio de establecimiento de claves que presenta la propiedad de A seguras. Un ejemplo tfpico consiste en un polinomio de dos variables simetrico f (x, y) de grado A sobre un campo finito Fq donde q es lo suficientemente grande para dar cabida a una clave criptografica. Este polinomio es el material de creacion de claves de de origen en el sistema de A seguras. A partir de este material de creacion de claves, la autoridad central del sistema puede obtener cuota de material de creacion de claves A seguras. Cada entidad (por ejemplo, el nodo de sensores) en el sistema llevara una cuota de material de creacion de claves A seguras. Por ejemplo, a partir del material de creacion de claves de origen anterior f (x, y) una entidad con identificador ID llevana el material de creacion de claves A seguras f (ID, y), es decir, el polinomio de dos variables originales evaluado en x = ID.

Cualquier par de entidades en el sistema, por ejemplo, ID_A y ID_B que lleve f (ID_A, y) yf (ID_B, y), respectivamente, puede ponerse de acuerdo sobre una clave comun de pares de la siguiente manera:

- intercambian sus identificadores

- explotan a sus materiales de creacion de claves alfa seguras junto con los identificadores. En este caso concreto, la entidad A toma el material clave de creacion de claves alfa seguras (f (ID_A, y)) y lo evalua en y= ID_B, es decir, el identificador de la otra parte. El resultado es f (ID_A, ID_B).

- La entidad B hace exactamente lo mismo con su cuota de material de creacion de claves alfa seguras y el identificador de la otra parte. El resultado es f (ID_B, ID_A).

- Dado que el material de creacion de claves de origen es un polinomio simetrico, el resultado obtenido por ambas entidades es identico, es decir,

f (ID_A, ID_B) = f (ID_B, ID_A) = K. K es la clave comun compartida por ambas partes. Esta clave se utiliza para proporcionar mas servicios de seguridad.

El sistema puede hacer uso de otros protocolos de establecimiento de claves A seguras, es decir, otros protocolos criptograficos con la propiedad A segura. Tambien puede basarse en polinomios, pero con otras caractensticas para mejorar, por ejemplo, su capacidad de recuperacion en funcion de los modelos de despliegue, proporcionando mas servicios de seguridad mas avanzados como el control de acceso o el rendimiento mas eficiente. Por ejemplo, se ha propuesto la utilizacion de modelos de despliegue con una estructura jerarquica (multiple) en el ambito medico. Estos esquemas ofrecen un nivel de seguridad mas alto, ya que, por ejemplo, introducen una mayor cantidad de material de creacion de claves en el sistema o una clave de pares entre dos entidades se calcula como una combinacion de las claves generadas a partir de varios dominios de seguridad de A seguras independientes. Los esquemas de A seguras utilizados en el sistema de seguridad integral se pueden adaptar tambien para proporcionar otros servicios de seguridad como el control de acceso o identificacion (privada). Esto se logra mediante la vinculacion del material de creacion claves A seguras con informacion de identificacion o funciones de control de acceso. Los esquemas de A seguras tambien pueden adaptarse para minimizar los requisitos de calculo, por ejemplo, mediante el uso de tecnicas combinatorias basadas en planos proyectivos finitos, tecnicas de clave de segmentacion, o tecnicas de segmentacion de identificador.

El uso de tecnicas de A seguras permite que dos entidades se pongan de acuerdo sobre una clave por pares, es decir, una clave compartida entre dos entidades. Por ejemplo, imaginemos dos personas, Alice y Bob, intercambiando la clave simetrica, K. Si Alice quiere enviar un mensaje a Bob de manera confidencial, Alice utiliza un algoritmo criptografico simetrico para encriptar el mensaje con la clave K. Bob es capaz de desencriptarlo con la misma clave. En este caso, esta clave es por parejas, ya que solo es compartida por Alice y Bob.

Se entendera que el procedimiento reivindicado tiene modos de realizacion preferidos, similares y/o identicos a los del aparato y segun lo definido en las reivindicaciones dependientes.

Breve descripcion de los dibujos

Estos y otros aspectos de la invencion seran evidentes a partir de, y se esclareceran con referencia a, el (los) modo(s) de realizacion descritos a continuacion. En los siguientes dibujos:

La figura 1 ilustra una red de sensores corporales para un sistema seguro integral de asistencia sanitaria al paciente segun un modo de realizacion de la presente invencion;

5

10

15

20

25

30

35

40

45

50

55

60

65

La figura 2 ilustra los componentes de un sistema seguro integral de asistencia sanitaria al paciente segun un modo de realizacion de la presente invencion;

La figura 3 ilustra las disposiciones de seguridad dentro de un administrador de seguridad personal para un sistema seguro integral de asistencia sanitaria al paciente segun un modo de realizacion de la presente invencion;

Las figs. 4A-4C ilustran las disposiciones de protocolo de seguridad dentro de una red de sensores corporales segun un modo de realizacion de la presente invencion;

Las figs. 5A-5E ilustran las disposiciones de un protocolo de seguridad para la seguridad integral dentro de un sistema de asistencia sanitaria del paciente segun un modo de realizacion de la presente invencion;

La figura 6 ilustra una instalacion que incorpora el sistema de asistencia sanitaria del paciente seguro integral segun un modo de realizacion de la presente invencion;

La figura 7 ilustra los enlaces de comunicaciones para un sistema seguro integral de asistencia sanitaria al paciente segun un modo de realizacion de la presente invencion;

La figura 8 representa la informacion transportada por un sensor medico inalambrico en una red de sensores medicos en particular segun un modo de realizacion de la presente invencion;

La figura 9 ilustra el establecimiento eficiente de un canal de comunicacion seguro entre dos sensores medicos inalambricos que pertenecen a la misma red de sensor medico segun un modo de realizacion de la presente invencion;

La figura 10 ilustra el procedimiento para permitir la asociacion de la red de sensores corporales segura entre un sensor medico inalambrico y el administrador de seguridad personal segun un modo de realizacion de la invencion;

La figura 11 ilustra la estructura del administrador de seguridad personal extendido segun un modo de realizacion de la invencion;

La figura 12 ilustra las comunicaciones entre el administrador de seguridad personal extendido y la autoridad de certificacion de la asistencia sanitaria central de los servicios de asistencia sanitaria finales segun un modo de realizacion de la invencion;

La figura 13 proporciona una tabla que ilustra la comparacion de rendimiento de algunas primitivas de seguridad en MICAz y uPD789828 segun un modo de realizacion de la invencion; y

La figura 14 proporciona una tabla que ilustra las asignaciones de recursos de memoria en los dominios sub-seguros de un establecimiento de claves A seguras multidimensional segun un modo de realizacion de la invencion.

Descripcion detallada de la invencion

El sistema seguro integral de asistencia sanitaria al paciente se basa en el uso de un administrador de seguridad personal PSM o un controlador de BSN de red de sensores corporales que lleva la informacion de un paciente, por ejemplo, el identificador, la informacion relacionada medico, de una manera segura. El administrador de seguridad personal puede comunicarse de una manera segura con el resto de los nodos de sensores dentro de la red de sensores corporales, por ejemplo, los nodos de sensores medicos o dispositivos de monitorizacion, y transmitir identificadores de pacientes reales, que son reconocidos en todo el sistema, incluyendo los sistemas finales, por medio de BCC de comunicaciones acopladas al cuerpo. Ademas, el administrador de seguridad personal tambien lleva la informacion, que incluye informacion de identificacion del paciente, clave publica, etc, que permite al administrador de seguridad personal autentificar la identidad del paciente y activar la seguridad integral con el sistema final.

La arquitectura de seguridad comprende varios elementos ffsicos, como se muestra en las figs. 1 y 2: Los nodos de sensores, por ejemplo, WMS, se utilizan para controlar los signos vitales del paciente, y pueden dividirse en dos o mas tipos diferentes. Por un lado, algunos nodos de sensores medicos se utilizan para detectar y transmitir los signos vitales de un paciente. Por otro lado, los dispositivos de monitorizacion, tales como PDAs o monitores, se comunican con los nodos de sensores medicos y muestran signos vitales del paciente. Las comunicaciones pueden llevarse a cabo por medio de una interfaz inalambrica. Ademas, algunos nodos de sensores pueden tener comunicaciones o capacidades inductivas acopladas al cuerpo.

Los servicios de asistencia sanitaria son servicios finales BS, por ejemplo, un HPS de servicio de proveedor de asistencia sanitaria, un servicio de registro de asistencia sanitaria personal PHRS y/o un proveedor de seguridad de la asistencia sanitaria HSP. Estos servicios administran, almacenar y proporcionar acceso a los datos medicos del

5

10

15

20

25

30

35

40

45

50

55

60

65

paciente, de manera que los datos medicos estan disponibles 24/7.

El administrador de seguridad personal organiza las relaciones de seguridad entre los nodos de sensores medicos, los dispositivos de control y los servicios de asistencia sanitaria. Por lo tanto, el administrador de seguridad personal juega un papel de especial importancia. Tenga en cuenta que la infraestructura de seguridad podna no incluir todos estos elementos ffsicos, es decir, algunos de los servicios de seguridad o dispositivos de monitorizacion podnan no estar presentes.

En la fig. 2, la comunicacion con los servicios de asistencia sanitaria se indica mediante una lmea trazada; la comunicacion BCC o comunicacion inductiva se indica mediante una lmea discontinua, y la comunicacion inalambrica se indica mediante una lmea de puntos.

Elementos criptograficos implicados en la arquitectura de seguridad

La arquitectura de seguridad requiere diferentes elementos que se describen a continuacion. La mayona de estos elementos y funcionalidades son implementadas en el administrador de seguridad personal ya que se utiliza como un enlace entre los nodos de los sensores y los servicios de asistencia sanitaria (vease la fig. 3) desde el punto de vista de la seguridad.

1. Se utiliza un PIN de activacion para autentificar al usuario antes de su uso. Esta funcionalidad es espedfica para el administrador de seguridad personal PSM y se utiliza para evitar que personas no autorizadas tengan acceso al administrador de la seguridad personal.

2. El material de creacion de claves KM permite comunicaciones seguras entre los nodos de sensores, o entre los nodos de sensores y el administrador de seguridad personal.

3. Se utiliza la informacion de identificacion del paciente (identidad digital) para identificar un paciente y comprende:

a. Un identificador de paciente;

b. Informacion criptografica relacionada con el identificador del paciente. Un posible modo de realizacion es el uso de un par de claves publicas / privadas unidas a la identidad del paciente. La autenticidad y la validez de estas claves se basa en una infraestructura de clave publica. Otro modo de realizacion sena el uso de un tercero de confianza. En este caso, un secreto simetrico unico vinculado al paciente se utilizana para establecer mas relaciones de seguridad basados en el centro de confianza en lmea.

c. El controlador de identidad digital (administrador de identidad digital) se puede utilizar para manejar la divulgacion de la identidad digital del paciente. La validez de identificador del paciente y la informacion criptografica relacionada, por ejemplo, la clave publica, se basa en un servidor de seguridad de la asistencia sanitaria que gestiona las relaciones de seguridad en todo el sistema. Por lo tanto, estas funcionalidades pueden implementarse tanto en el administrador de seguridad personal como en el servidor de seguridad de asistencia sanitaria. El controlador de la identidad digital reside en el administrador de seguridad personal.

Dependiendo del modo de realizacion particular, algunos de los elementos anteriores no pueden estar presentes. Diferentes modos de realizacion de la invencion pueden requerir otros elementos de identificacion, por ejemplo, tecnicas de identificacion biometrica.

4. El administrador de seguridad personal tambien puede tener una memoria MEM seguro para permitir el almacenamiento seguro de informacion, tal como: informacion medica relacionada, identidad digital de un paciente, derechos de control de acceso, contrasenas del paciente, etc ... La memoria segura MEM puede estar integrada en el propio PSM o en la HCC.

Las funcionalidades del administrador de seguridad personal se representan en detalle en la fig. 3. Varios modos de realizacion pueden incluir una serie de caractensticas unicas, por ejemplo, el administrador de seguridad personal PSM, que puede activarse solo despues de la entrada con exito de PIN del usuario; el administrador de seguridad personal puede tener algo de inteligencia, es decir, un bloque logico, incluyendo la descripcion de los protocolos de seguridad; el administrador de seguridad personal puede incluir material de creacion de claves KM para permitir la comunicacion segura con nodos de sensores; el administrador de seguridad personal puede almacenar informacion relacionada con el paciente, incluyendo: identidad digital del paciente, informacion medica, derechos de control de acceso o contrasenas; y el material de creacion de claves y la logica se pueden integrar en el administrador de seguridad personal; Sin embargo, la informacion relacionada con el paciente se puede almacenar en una tarjeta inteligente, por ejemplo, una tarjeta de asistencia sanitaria HCC. De esta manera, el mismo administrador de seguridad personal puede ser utilizado por diferentes pacientes mediante la sustitucion de la asistencia sanitaria del paciente en el administrador de seguridad personal.

5

10

15

20

25

30

35

40

45

50

55

60

65

Funcionalidades de la arquitectura de seguridad

A continuacion, se describe como el administrador de seguridad personal explota primitivas de seguridad anteriores para gestionar las relaciones de seguridad entre los nodos de sensores y los servicios de asistencia sanitaria. Algunas de estas funcionalidades y relaciones entre los diferentes elementos ffsicos se ilustran en las figs. 4 y 5.

1. Autentificacion del usuario - antes de activar un administrador de seguridad personal, un usuario debe autentificarse a sf mismo por medio de un PIN de usuario. El PIN se introduce por medio de una interfaz de usuario (UI) o similar. Esto se puede implementar facilmente si el PSM del controlador de red de sensores corporales se implementa en un telefono movil o similar. El resto de funcionalidades del controlador de red de sensores corporales puede ser operativo solo despues de la autentificacion de usuario exitosa. Dependiendo del modo de realizacion, la activacion del PSM podna ser solo posible si la HCC esta conectado, ya que la HCC implementa las funcionalidades de autentificacion de usuario.

2. Fije la configuracion automatica de una red de sensores corporales - despues de la activacion, el administrador de seguridad personal puede utilizarse para configurar una red de sensores corporales de una manera segura. Con este fin, cuando un paciente llega a un hospital o similar, el paciente puede recibir un administrador de seguridad personal con las funcionalidades descritas anteriormente. Identificadores de los medicos, enfermeras, etc., que tienen derechos de acceso a la red de sensores corporales del paciente tambien pueden cargarse durante el ingreso. Ademas, la informacion relacionada con el paciente, por ejemplo, identificadores, informacion medica, pueden cargarse manualmente o desde el servidor del hospital. En este caso, el administrador de seguridad personal puede implementar todas las funcionalidades representadas en la fig. 3 en un unico dispositivo.

Ademas, el administrador de seguridad personal puede incluir un lector de tarjetas para las tarjetas de asistencia sanitaria, como una tarjeta inteligente. En este caso, toda la informacion medica de un paciente, por ejemplo, la identidad digital del paciente, la informacion medica relacionada, las claves publica y privada, las contrasenas, etc, se pueden almacenar en la tarjeta inteligente HCC. Se puede acceder a esta informacion solo despues de insertar la tarjeta de asistencia sanitaria del paciente en el administrador de seguridad personal. Parte de esta informacion puede estar siempre disponible, mientras que el acceso a otra informacion podna requerir diferentes niveles de autorizacion, por ejemplo, diferentes numeros PIN. Una vez que el paciente lleva su administrador de seguridad personal, puede ser atendido. Con este fin, los medicos pueden unir varios nodos de sensores, por ejemplo, ECG, Sp0 2, a su cuerpo, asf como un dispositivo de monitorizacion. Para asociar los nodos de sensores y dispositivos de monitorizacion a la red de sensores corporales del paciente, el medico puede hacer uso del administrador de seguridad personal como se describe en las figs. 4 y 5. Esta asociacion entre el administrador de seguridad personal y la red de sensores corporales puede hacer uso de las comunicaciones acoplada cuerpo BCC, comunicaciones inductivas, por ejemplo, comunicaciones de campo cercano, o similares. El uso de BCC tiene ventajas inherentes, ya que solo los dispositivos conectados al mismo cuerpo pueden comunicarse entre sr Ademas de las caractensticas de asociacion descritas en las figs. 4 y 5, el mecanismo descrito es seguro debido a los siguientes aspectos espedficos:

Fig. 4A - El administrador de seguridad personal PSM y los nodos de sensores WMS utilizan el material de creacion de claves KM para ponerse de acuerdo sobre un secreto comun y autentificarse entre sf. De esta manera, el administrador de seguridad personal garantiza que solo a las PDA de dispositivos medicos autentificados se les permite unirse a la red de sensores corporales del paciente. Las polfticas de control de acceso almacenadas en el PSM (o HCC conectado al PSM) tambien podnan utilizarse para decidir si un nodo de sensores esta autorizado para unirse a la BSN o no.

Fig..4B - El administrador de seguridad personal puede acceder a informacion relacionada con la del paciente, incluyendo el identificador o el registro personal de salud. Por lo tanto, el administrador de seguridad personal hace uso de informacion real del paciente para identificar la red de sensores corporales de una forma inequvoca y simplifica el ciclo de atencion. En particular, el administrador de seguridad personal puede

(1) obtener un identificador temporal del paciente (ID del paciente) para el paciente utilizado para identificar la red de sensores corporales. Los identificadores temporales de pacientes se cambian periodicamente para evitar la esfera de la privacidad del usuario y evitar el seguimiento,

(2) establecer una clave de red BSN K que se utiliza para las comunicaciones dentro del dominio de seguridad de BSN. Toda la comunicacion entre los miembros de BSN podna asegurarse en base a esta clave que permite la emision.

(3) transmitir la informacion del paciente (en respuesta a una solicitud) a los nodos de sensores medicos de una manera segura sobre la base del material de creacion de claves. La informacion transmitida puede incluir el identificador temporal del paciente o los identificadores de los medicos, enfermeras u otra PDA de personal que tenga acceso a la informacion medica (vease la figura 4B).

5

10

15

20

25

30

35

40

45

50

55

60

65

Fig. 4C - Por ultimo, los nodos de sensores medicos pueden transmitir senales vitales del paciente al dispositivo de control de una manera segura mediante el uso de la clave K, que fue distribuida por el administrador de seguridad personal previamente, para habilitar los servicios de seguridad basicos.

3. La identificacion del paciente inequvoca y el acceso a servicios de asistencia sanitaria finales representa un problema para los sistemas de la tecnica anterior, ya que es diffcil conectar un identificador de paciente temporal con los signos vitales medidos por un conjunto aleatorio de nodos de sensores a tales sistemas finales, por ejemplo, el registro de salud personal almacenado en un servidor.

Esta invencion resuelve este problema, ya que el administrador de seguridad personal actua como la relacion de seguridad entre los nodos de sensores y los sistemas finales. Por una parte, un administrador de seguridad personal tiene material de creacion de claves que permite comunicaciones seguras con los nodos de sensores. Por otro lado, el administrador de seguridad personal tambien puede tener la informacion necesaria para identificar a un paciente. Esta informacion puede cargarse durante el ingreso del paciente o despues de conectar la tarjeta de asistencia sanitaria del paciente en el lector de administrador de seguridad personal.

Las figs. 5A-5E representan el protocolo llevado a cabo por los nodos de sensores, el administrador de seguridad personal y los sistemas finales para lograr la seguridad integral y la identificacion ineqmvoca del paciente independientemente del conjunto de nodos de sensores que puedan ser usados para monitorear a un paciente. La figura 5A ilustra la conexion del administrador de seguridad personal a un proveedor de seguridad de asistencia sanitaria HSP para autentificar la identidad del paciente en base a la clave publica almacenada en la memoria del administrador de seguridad personal. La figura 5B representa la negociacion de diferentes parametros de seguridad, por ejemplo, una clave simetrica K que se puede utilizar para activar la seguridad integral. Despues, las figs. 5C y 5D ilustran la asociacion segura de los nodos de sensores a la red de sensores corporales del paciente, como se describe anteriormente, y entre la HSP y la BS. Finalmente, la fig. 5E ilustra como los signos vitales del paciente no solo se envfan a las PDA de los dispositivos de monitorizacion, sino tambien a servicios de asistencia sanitaria de una manera segura.

4. Ademas de los problemas de funcionamiento que se detallan anteriormente, la arquitectura de seguridad puede permitir otros servicios de seguridad, por ejemplo:

Memoria segura - que puede ser utilizada para almacenar informacion confidencial como contrasenas o informacion relacionada con la medicina. El acceso a esta informacion puede estar restringido a usuarios autorizados. Son posibles diferentes niveles de autorizacion a traves de diferentes numeros PIN. Un usuario que lleva un administrador de seguridad personal puede hacer uso del mismo para almacenar contrasenas de forma segura.

Conexion segura - puede ser utilizada por un usuario que lleva un PSM con capacidades BCC. Por ejemplo, imaginemos que el usuario desea comprobar su registro de asistencia sanitaria por internet. La informacion de acceso (por ejemplo, nombre de usuario + contrasena) se almacena en el PSM. El ordenador personal utilizado para consultar el registro sanitario puede incorporar una interfaz de BCC. Cuando el PC activa la BCC, el PSM puede autentificar el PC en base al material de creacion de claves distribuido. A continuacion, el usuario puede comprobar su registro de asistencia sanitaria sin introducir manualmente su nombre de usuario y contrasena. Esta informacion, que se almacena en el PSM, se transmite directamente al PC a traves de la BCC. El mismo enfoque podna ser utilizado para acceder al correo electronico personal, entrar en la casa, etc.

Identidad digital - Un usuario puede hacer uso de un administrador de seguridad personal para fines de identificacion, y por lo tanto, el modulo de seguridad implementa un sub-modulo. En general, la identidad digital de un paciente o persona puede estar vinculada a una clave publica / privada.

Control de la red - El administrador de seguridad personal puede utilizarse para almacenar informacion util, como:

i. nodos de sensores que comprenden la red de sensores corporales;

ii. dispositivos de monitorizacion que monitorizan los signos vitales del paciente;

iii. otros eventos que se producen durante la monitorizacion del paciente tales como el comportamiento inusual de los nodos de sensores. Esta informacion puede utilizarse para detectar los nodos de sensores defectuosos o comprometidos. En tal caso, el dispositivo comprometido debe retirarse de la BSN y la informacion de la BSN / el usuario como el identificador o la clave de red de BSN K debe actualizarse con el fin de proteger la privacidad del usuario.

Distribucion de claves en las MSN omnipresentes

La distribucion de claves es fundamental para activar la seguridad integral. Sin embargo, la eleccion del mejor enfoque de distribucion clave depende de las restricciones tecnicas y requisitos de funcionamiento de la MSN y el

5

10

15

20

25

30

35

40

45

50

55

60

65

sistema de asistencia sanitaria.

La comunicacion fiable y segura entre cualquier par de WMS en una MSN requiere la capacidad de los WMS para establecer directamente una clave por parejas sin depender de un centro de confianza en lmea o infraestructura de clave publica segun lo descrito anteriormente. El presente sistema puede utilizar dos tipos diferentes de enfoques de distribucion de claves para manejar las claves criptograficas en funcion de los requisitos de funcionamiento de la aplicacion de asistencia sanitaria deseada. Por un lado, tenemos las llamadas bSn personales que comprenden siempre el mismo conjunto de WMS, ya que siempre son utilizados por el mismo usuario, por ejemplo, en casa. La distribucion de claves para estos BSN personales puede resolverse facilmente mediante la distribucion de claves por pares entre todos los nodos por medio de un canal fuera de banda o en un entorno seguro. Por lo tanto, en una BSN con n nodos, cada nodo almacena n-1 claves.

Por otro lado, en los hospitales, las residencias de ancianos o los centros de fitness, las MSN pueden comprender un gran numero de WSN. Un subconjunto de WMS puede recogerse al azar a partir del conjunto de WMS de la MSN para comprender una BSN. En esta situacion, los sistemas de distribucion de claves basados en sistemas de distribucion de claves A seguras, tales como los polinomios Blundo, ofrecen una solucion eficiente y factible para la distribucion de claves eficiente debido a que requieren pocos recursos computacionales y permiten una conectividad total entre cualquier par de nodos. En este contexto, cada nodo, z, que pertenece a la misma MSN tiene un unico z identificador ID vinculado a un conjunto diferente pero correlacionado de material de creacion de claves, KM z, transportado por el nodo. Los diferentes conjuntos de material de creacion de claves para diferentes nodos son generados fuera de lmea por un centro de confianza a partir de un material original de creacion de claves (KM°ri3en). Siempre que un par de nodos tiene que ponerse de acuerdo sobre una clave comun, intercambian sus IDs de nodo y usan sus respectivos materiales de creacion de claves para ponerse de acuerdo sobre una clave de pares para permitir otros servicios de seguridad. En un enfoque, elKMde or'3en es un polinomio de dos variables unico f (x,y) de grados A sobre un campo finito F ,, con una q suficientemente grande para acomodar una clave criptografica. Cada WMS, z, recibe del centro de confianza MSN un conjunto de material de creacion de claves obtenido de la KMde ori3en, KM z, por ejemplo, compuesto de una parte polinomio, f (z, y), generada mediante la evaluacion del polinomio de dos variables original en x = z . Este conjunto de material de creacion de claves, KM Zi se realiza durante toda la vida de WMS z, y el identificador, z ID puede ser visto como un numero de serie que identifica a cada nodo en la MSN. Este enfoque donde la KMde or'3en es un polinomio de dos variables se puede combinarse con la segmentacion tecla o tecnicas combinatorias para mejorar el rendimiento y la capacidad de recuperacion del sistema en los sistemas de distribucion de claves A seguras. Para simplificar, se considera que cada KMz llevado por un WMS se compone de una parte polinomio f (z, y).

Este enfoque permite un acuerdo de claves distribuidas eficiente, pero no permite la implementacion ligera de los servicios de seguridad como el control de acceso en las MSN, un asunto importante de seguridad en aplicaciones medicas. Esto se debe al identificador unico, z, vinculado al KMz llevado por cada nodo z, y que requiere una gran cantidad de memoria para almacenar listas de control de acceso. Por otra parte, el uso de un unico dominio seguro SD de A seguras implica que la captura de A WMS en un SD MSN permite a un atacante comprometer la seguridad de toda la MSN.

Para superar ambos problemas, es posible tener en cuenta el modelo de implementacion de las MSN objetivo para distribuir KM de A seguras adicional para WMS de una manera inteligente. Para entender esto, observe que un WMS que pertenece a una MSN pueden subdividirse en varias sub-SD estandar segun diferentes caractensticas, tales como la propiedad, la zona de operaciones o la especialidad medica. Por ejemplo, el WMS de una MSN de hospital se puede clasificar segun (i) ubicacion (una MSN medica puede comprender varios hospitales, y cada uno de estos hospitales puede ser dividido en diferentes departamentos); (li) la especialidad medica como los departamentos ubicados en diferentes hospitales puede compartir la misma especialidad medica; o (iii) la zona operativa como los pacientes que sufren de una enfermedad espedfica puede ser tratada en diferentes departamentos medicos. El TC del centro de confianza de MSN (ver la fig. 6) puede asignar material de creacion de claves A seguras adicional a WMS con el fin de identificar y autentificar a cual de los sub-SD y WMS previamente mencionados pertenece de una manera discreta. Cada caractenstica, j con 1<j<n, puede describir un Sd plana o una infraestructura jerarquica de SD. Un SD plana comprende un subconjunto de wMs de la MSN que puede comunicarse con la misma probabilidad p, por ejemplo, el WMS utilizado en la misma zona de operaciones. Una infraestructura jerarquica de SDs describe las relaciones entre los nodos, por ejemplo, debido a la ubicacion WMS. Por ejemplo, la ubicacion de un nodo se puede dividir en hospital y/o departamento. En este ejemplo, esta claro que todos los WMS en un hospital deben poder comunicarse entre sf, pero tambien que las comunicaciones entre WMS pertenecientes a un departamento dado son mas frecuentes ya que se producen en la misma ubicacion. De hecho, la comunicacion entre WMS de diferentes departamentos rara vez puede ocurrir, y se producen solo si, por ejemplo, un paciente se traslada a otro departamento. La siguiente formula puede utilizarse para asignar los sub-identificadores de IDj, para la sub-SDS hasta un WMS con identificador ID: iDi = h (ID\j\i).

En esta expresion, h (•) es una funcion de hash criptografica, j identifica una caractenstica WMS como la ubicacion o la propiedad, e i se refiere al nivel en la jerarqrna de SD, por ejemplo, para la ubicacion, el hospital se encuentra en el nivel 1, y el departamento en el nivel 2. Tenga en cuenta que el material de creacion de claves vinculadas a cada

5

10

15

20

25

30

35

40

45

50

55

60

KM-root

una de estos sub-SDs se puede generar a partir de una ,jf diferente, como, por ejemplo, un polinomio fj(x, y)de dos variables diferentes pero que los identificadores utilizados en cada sub-SD estan unidos por medio de (1) para evitar que un atacante cree identidades arbitrarias con caractensticas arbitrarias. Tenga en cuenta que la convencion de nomenclature anterior podna facilmente adaptarse o modificarse o simplificarse.

La figura 8 representa la informacion transportada por un WMS en una MSN particular. El WMS tiene un identificador de MSN unico ID de msn vinculado al material de creacion de claves KM msn. Esta informacion permite la plena interoperabilidad entre cualquier par de WMS en el mismo MSN. Tenga en cuenta que IDmsn puede asignarse a diferentes dispositivos o personal medico, de tal manera que depende de su identidad digital. Ademas, el WMS tambien lleva el material de creacion de claves que se identifica y autentifica a sf mismo segun tres funciones diferentes, a saber la ubicacion (edificio y planta), la zona de funcionamiento, y la especialidad medica.

Basandose en esta informacion, dos WMS pertenecientes a la misma MSN pueden establecer un canal de comunicacion seguro de una manera eficiente (vea la fig. 9). En un primer paso, un WMS 1, por ejemplo, un PDA clrnico, envfa una solicitud de comunicacion para WMS 2, por ejemplo, un WMS de ECG conectado a un paciente. WMS 2 solicita la identificacion del PDA como perteneciente al MSN. Adicionalmente, las polfticas de control de acceso de ese paciente pueden requerir que el medico tenga una identidad digital espedfica IDmsn o pertenezca al mismo hospital y los mismos sub-SD de zona de funcionamiento (funciones necesarias). En general, podna ser necesario autorizar cualquier subconjunto de sub-SDS para llevar a cabo una instruccion. Este enfoque permite el control de acceso criptograficamente forzado. En tercer lugar, los dos WMS llevan a cabo un protocolo de intercambio acuerdo de claves. Para este fin, cada WMS calcula una clave parcial, Kji, desde el material de creacion de claves vinculado a cada (sub-) SD requerida, ji, ji KM, para ser autentificado. K ji se calcula mediante la evaluacion de KM ji, es decir, la cuota de polinomio ij(h(ID\j\i), en el identificador de la otra parte para que (sub-)SD. Ambos nodos pueden generar una clave principal K mediante hashing de todas las claves parciales en el mismo orden. La clave principal K sera comun a ambos WMS, si cada una de las claves parciales es identica. Esta clave se utiliza posteriormente para autentificar los dos WMS por medio de un protocolo de autentificacion de desaffo - respuesta. La autentificacion exitosa tambien implica que el medico cumple con las polfticas de control de acceso para el paciente. Tenga en cuenta que el enfoque de distribucion de claves de base de este ejemplo se puede extender facilmente a un establecimiento de claves A seguras general multidimensional mAKE con un numero arbitrario de sub-SDs ji donde la principal ID codifica la identidad digital de un dispositivo y los sub-SDs representan las funciones del dispositivo. Ademas, la ID puede utilizarse para codificar la identidad digital de la entidad u otra informacion, como las funciones de control de acceso mediante el calculo de ID=h (identidad digital) como se describe en el estado de la tecnica

Ademas de garantizar una comunicacion segura entre WMS, el sistema de seguridad divulgado debe habilitar la seguridad integral entre WMS en BSN y los servicios de asistencia sanitaria finales. Este sistema utiliza una solucion basada en la infraestructura de clave publica PKI para esto ya que permite a los usuarios moverse a traves de MSN de una manera segura, y por lo tanto, garantiza la interoperabilidad. Observar que otros enfoques, por ejemplo, sobre la base de un tercero de confianza, por ejemplo, Kerberos, podnan tambien aplicarse para lograr el mismo objetivo. En un enfoque basado en clave publica, cada usuario en el sistema requiere un par de claves publicas / privadas emitidas por una autoridad de certificacion de asistencia sanitaria HSP (centralizado o distribuido) (vea la fig. 6) y vinculadas a la identidad del usuario. Este par de claves solo se utiliza durante el procedimiento de configuracion inicial que tiene lugar cuando un usuario llega a una MSN, como se describe a continuacion, de modo que se reduzcan al mmimo las necesidades de recursos (vease la figura 6 y la fig. 12). Sin embargo, lo que garantiza que BSN de un usuario siempre contenga este par de claves es una tarea diffcil ya que la pertenencia a una BSN es impredecible, como se ha descrito anteriormente. La solucion a estos problemas se presenta a continuacion.

Asociacion de BSN segura

El sistema divulgado se basa en y extiende el protocolo de asociacion BSN descrito anteriormente para permitir la asociacion BSN segura, tal como se representa en la figura 10. Un WMS especial, llamado administrador de seguridad personal PSM o administrador seguridad personal extendido PSMx, (vea las figuras. 7, 10 y 11) juega el papel de un identificador personal, ya que se utiliza para transmitir el identificador del paciente a otros WMS conectados al paciente, y por lo tanto, vinculando los wMs a la identidad del usuario. La comunicacion entre PSM y WMS puede basarse en la comunicacion acoplada al cuerpo, y por lo tanto, se puede restringir a los dispositivos acoplados directamente al cuerpo de un paciente.

En primer lugar, antes de transferir la ID del paciente a un WMS o aceptar un WMS en de la BSN (Fig. 10, paso 1), el PSM autentifica y autoriza los WMS segun los procedimientos de A seguras descritos anteriormente. Para este fin, el PSM y el WMS pueden utilizar el material de creacion de claves A seguras que ambos nodos llevan para generar una clave principal K psm-wms.. Sobre la base de esta clave, ambos nodos pueden autentificar y autorizar de manera eficiente entre sf y transmitir mas informacion, por ejemplo, ID de usuario, de una manera segura. Ademas, el PSM puede desempenar el papel de centro de confianza de la BSN que genera y distribuye una clave BSN, Kbsn, a todos

5

10

15

20

25

30

35

40

45

50

55

60

65

los miembros de BSN. K bsn es la clave de red de dominio de seguridad de la BSN y se puede utilizar para permitir la emision dentro de la BSN y para convertir de la BSN en un SD independiente, que es controlado por la BSN del usuario, dentro del SD de MSN.

La clave de red K bsn en combinacion con BCC tambien puede permitir la implementacion sin esfuerzo de un procedimiento de revocacion de WMS. Esto es necesario cuando se captura un nodo o se deja una BSN de un paciente. Para este fin, el PSM envfa solicitudes periodicas a cada miembro de la BSN por la BCC. Si el PSM no recibe una respuesta de ninguna de ellas, el PSM actualiza tanto el identificador de usuario como la clave de BSN, K bsn con el fin de proteger la privacidad del usuario. El nuevo identificador y la clave de BSN se envfan a los miembros de BSN de una manera segura mediante el uso de las comunicaciones acopladas al cuerpo y la clave de pares correspondiente. Por ultimo, el PSM podna transmitir una secuencia aleatoria de todos los WMS en la BSN. El WMS puede sincronicamente parpadear despues de esta secuencia aleatoria con el fin de permitir a los medicos comprobar la asociacion de BSN correcta de todos los WMS de una manera simple.

Identificacion de usuario inequivoca y unica

Las BSN deben verse como SDS completamente independientes en una MSN, donde las interacciones de seguridad con WMS y usuarios de otros MSN se manejan por medio del PSM. Ademas, el PSM debe proveer informacion de asistencia sanitaria electronica (EHI) de usuarios y usuarios globales, asf como otros servicios de seguridad, por ejemplo, auditona, gestion de las polfticas de control de acceso, o seguridad integral.

Con el fin de enlazar los signos vitales del usuario con el identificador unico del usuario, que es independiente de la MSN en el que se encuentra el usuario en un momento espedfico, el sistema de seguridad divulgado puede utilizar la HCC de tarjeta de asistencia sanitaria en combinacion con el PSM para formar un administrador de seguridad personal extendido PSMx. El PSMx conecta los diferentes dominios de seguridad de MSN con el sistema de asistencia sanitaria omnipresente, es decir, el PSMx organiza las relaciones de seguridad entre los WMS que componen BSN del usuario en una MSN espedfica y servicios de asistencia sanitaria finales para lograr la identificacion del usuario inequivoca y unica en MSN omnipresentes.

El PSMx puede consistir en varios bloques funcionales independientes (ver la fig. 11). En primer lugar, puede almacenar la KM de material de creacion de claves A seguras para habilitar la comunicacion segura con WMS de la MSN, como se ha descrito anteriormente. El PSMx puede estar preconfigurado con KM de A seguras o activar su configuracion dinamica en un entorno seguro durante la fase de instalacion. El PSMx tambien puede almacenar un certificado expedido por el centro de confianza MSN local. El proposito de este certificado es permitir que el usuario y la HCC de usuario autentifiquen la autenticidad del PSM cuando se une a una MSN. En segundo lugar, el PSMx puede implementar un lector de tarjetas inteligentes (ranura HCC) de manera que la tarjeta de asistencia sanitaria del usuario puede ser conectarse. El sistema divulgado utiliza la HCC con fines de identificacion para su uso en aplicaciones medicas. Los sistemas de seguridad de la asistencia sanitaria omnipresente deben ser totalmente compatibles con el. En un modo de realizacion, la informacion medica mas relevante de usuario se almacenara en la HCC, por ejemplo, nombre, identificador, y registro medico o polfticas de AC control de acceso de usuario para diferentes MSN. Ademas, la HCC tambien puede almacenar claves publicas / privadas emitidas por la cA de asistencia sanitaria global Por ultimo, el PSMx puede implementar un protocolo de seguridad para habilitar la autentificacion mutua de PSMx y HCC, seguridad integral, auditona y gestion de las polfticas de privacidad de control de acceso de contexto.

La combinacion de la HCC con el PSM para crear el PSMx garantiza la interoperabilidad entre diferentes MSN y sistemas finales. Por un lado, la informacion de seguridad almacenada en la HCC identifica y autentifica al usuario, actuando como puente entre BSN del usuario y los servicios de asistencia sanitaria centralizados donde se encuentra el usuario. Esto incluye el uso de un ID de usuario regulado, o un seudonimo temporal obtenido a partir del identificador segun un procedimiento regulado, que se utiliza en todo el sistema para lograr la identificacion de usuario inequivoca a traves de una variedad de escenarios de aplicacion.

La clave publica del usuario se utiliza para autentificar el ID de usuario y configurar una comunicacion segura entre de la BSN y los servicios de asistencia sanitaria finales. Por otro lado, el PSMx, en el que se inserta la HCC, almacena la KM de A seguras que permite comunicaciones seguras con WMS en el mismo MSN. Por lo tanto, esta construccion permite la creacion de un enlace seguro integral entre los WMS que comprenden una BSN de un usuario y los servicios de asistencia sanitaria omnipresentes centralizados, incluso si los pacientes se mueven de una MSN a otra. Ademas, un PSMx puede conmutarse para dar cabida a un nuevo paciente mediante el intercambio de HCC (vea las figs. 6, 7 y 11). Los modos de realizacion del PSMx pueden variar desde un telefono movil con una ranura para tarjeta inteligente adicional para la HCC a una pulsera llevada por los pacientes en un hospital.

Ademas, el PSMx tambien puede gestionar dinamicamente las polfticas de CA de control de acceso (vea la fig. 10) para un paciente. Estas polfticas de control de acceso pueden combinarse con tecnicas de control de acceso A seguras como se explico anteriormente. En este contexto, el PSMx puede manejar las polfticas de CA locales en la MSN actual con las polfticas de CA globales controladas por los servicios de asistencia sanitaria finales. Las tecnicas

5

10

15

20

25

30

35

40

45

50

55

60

65

sensibles al contexto se pueden utilizar para mejorar las poltticas de control de acceso, por ejemplo, para permitir el acceso a la BSN de un paciente a cualquier medico cuando se detecta una situacion de emergencia.

Por ultimo, una caractenstica importante de nuestro sistema de seguridad es que de la BSN forma un dominio seguro SD autonomo donde el PSMx es el centro de la confianza del usuario. Por lo tanto, todas las acciones llevadas a cabo en de la BSN se pueden grabar en HCC del usuario incluso si se pierde la conectividad con el centro de confianza para MSN. Esto garantiza la auditona de acciones medicas ya que la HCC del usuario puede mantener un registro de todos los dispositivos y los usuarios que lo han intentado tener, o tenido acceso a la BSN del usuario. Por otra parte, las propiedades tecnicas de las tarjetas inteligentes evitan el acceso no autorizado a dicha informacion.

Evaluacion del sistema

La evaluacion de la arquitectura de seguridad para MSN puede llevarse a cabo a partir de tres puntos de vista ortogonales, a saber, la viabilidad practica en entornos medicos profesionales, el rendimiento del sistema, y el analisis de seguridad.

Viabilidad practica: Configuracion y despliegue

Un sistema de seguridad para MSN debe ser simple de configurar y desplegar con el fin de minimizar los costos. Ademas, el personal y los usuarios medicos sin antecedentes tecnicos deben ser capaces de manejar de forma intuitiva los aparatos que se les da.

Con el fin de mostrar ambas propiedades, ahora vamos a centrar nuestra atencion en la configuracion del sistema cuando un usuario de edad avanzada, Robert, va al hospital para un procedimiento medico profesional (ver fig. 6). Cuando Robert llega al mostrador de admision del hospital, utiliza su HCC para la identificacion y el pago. Posteriormente, la HCC se inserta en un PSM para crear un PSMx y se lleva a cabo un protocolo de intercambio de autentificacion mutua. El PSMx se configura con la correspondiente KM A seguras para permitir comunicaciones seguras con WMS, asf como con la polftica de control de acceso local para ese paciente. Esta directiva local se almacena en la HCC del paciente, y en el registro de asistencia sanitaria final del paciente.

Despues de la admision, el paciente recibe un conjunto de WMS, en el diagnostico, para la monitorizacion de sus signos vitales. Cada uno de los WMS se comunica con el PSMx del paciente llevando a cabo un protocolo de intercambio de acuerdo de claves, autentificacion y autentificacion a traves de BCC de comunicaciones acopladas al cuerpo. Cada uno de los WMS que termina con exito este paso se convierte en un miembro de la BSN del paciente, y recibe la clave de red BSN y el identificador del paciente. Las identidades de todos y cada uno de los WMS se almacenan en la HCC del paciente, incluyendo las identidades digitales de PDA para medicos usadas para controlar o tratar a los pacientes. La MSN del hospital (MSN hosp) puede incluir un numero de BSN (BSN x Hosp),

El sistema permite iniciar automaticamente una BSN de una manera segura; por ejemplo, cuando un medico quiere monitorizar los signos vitales de un paciente, el medico toca brevemente el paciente para establecer un canal de BCC entre el PSMx y PDA. El PDA de los medicos se une automaticamente a la BSN de Robert de una manera segura, a traves de acuerdo de claves, la autentificacion y autorizacion segun las polfticas de control de acceso, y recibe el seudonimo del paciente y K bsn. El resto de WMS de la BSN del paciente recibe la direccion del PDA desde el PSMx para que puedan comenzar a transmitir signos vitales del paciente al PDA de una manera segura.

El sistema tambien puede implementar polfticas de privacidad y control de acceso sensibles al contexto dinamicas que permiten la adaptacion dinamica de las reglas de control de acceso. Por ejemplo, si un paciente sufre un ataque al corazon, el WMS puede enviar una alarma al PSMx, de modo que el PSMx puede autorizar a un medico para cuidar del paciente. Tenga en cuenta que la mAKE todavfa garantiza una comunicacion segura en estas situaciones, ya que todos los WMS en la MSN comparten KM correlacionada del SD de MSN principal, y por lo tanto cualquier par de WMS en la MSN puede ponerse de acuerdo sobre una clave comun de pares.

Rendimiento de sistema

El rendimiento del sistema de seguridad divulgado se analizo en los dispositivos con recursos limitados, es decir, WMS, PSM y la HCC, ya que representan los cuellos de botella del sistema. La plataforma WMS puede incluir las caractensticas de MicaZ como se describe anteriormente. Se supone que un total de 2 Kbytes estan reservados para KM de A seguras y se utilizan claves de 64 bits. Por ultimo, se supone que las capacidades y el rendimiento criptograficos de la HCC son similares a, por ejemplo, la uPD789828 de NEC. La tabla 1 (fig. 13) compara el rendimiento de algunas primitivas de seguridad en MicaZ y uPD789828.

Ahora podemos describir la eficiencia de la mAKE, segun el modo de realizacion de diversos protocolos de establecimiento de claves para redes de sensores inalambricos basados en polinomios Blundo. La evaluacion de un polinomio de orden A y una clave de 64 bits requiere 500^A ciclos de CPU que a 8 MHz tarda 0,0625 • A mseg. El

5

10

15

20

25

30

35

40

45

50

55

60

enfoque clave de distribucion, como se describe mas arriba, requiere la evaluacion de varios polinomios con un tamano maximo de hasta 2 Kbytes, es decir, un total de 256 coeficientes distribuido entre los diferentes polinomios. Por lo tanto, cuando se utiliza 256 como A, el tiempo de evaluacion de polinomio se puede aproximar a 16 mseg. El computo de los identificadores para cada uno de los sub-SD de una MSN, la clave principal, la generacion de una clave de sesion o el protocolo de enlace de autentificacion requiere el uso de una funcion hash. Sin embargo, una funcion hash puede implementarse de manera eficiente mediante la implementacion de hardware de AES disponible en el MicaZ. Por ejemplo, la aplicacion de la funcion de hash Matyas-Meyer-Oseas, tambien usado en ZigBee, un calculo de hash de 16 bytes tarda menos de 12 microsegundos. Por lo tanto, el tiempo total de calculo en este ejemplo espedfico se puede aproximar a 16 mseg. Este valor indica que este enfoque es mucho mas rapido que las soluciones de clave publica. Por otra parte, tiene dos ventajas adicionales: En primer lugar, un par de WMS solo necesita intercambiar sus identificadores de MSN (2 bytes) y los identificadores de sub-SDS hasta ser autentificados. Esto reduce la sobrecarga de comunicacion en comparacion con el intercambio de claves publicas largas, lo cual ayuda a prolongar la vida util de la batena del WMS. En segundo lugar, este enfoque permite a la aplicacion de las poltticas de control de acceso sin almacenar las listas de control de acceso largas o que requieren el uso de firmas digitales que requieren una clave publica cara. En consecuencia, y suponiendo que una BSN comprenda alrededor de 10 WMS, el sistema descrito permite la asociacion BSN segura en un tiempo de alrededor de 160 mseg. incluyendo el acuerdo de clave y de control de acceso inherente, que es mucho mas rapido que un solo calculo de clave publica (vease la tabla 1 (fig. 13) para la comparacion) y cumple con los requisitos de latencia de transmision de ECG y configuracion de BSN.

Utilizando primitivas criptograficas ligeras para las operaciones frecuentes, el sistema descrito libera WMS de las operaciones computacionalmente intensivas y reduce el uso de la criptograffa de clave publica solo a los protocolos de intercambio de seguridad entre la HCC, PSM y el centro de confianza de asistencia sanitaria central para configurar el PSMx. Estos protocolos de intercambio ocurren solo esporadicamente en entornos seguros durante la configuracion de PSMx inicial. Por lo tanto, el sistema no es propenso a los ataques de DoS.

Analisis de seguridad

El establecimiento de claves A seguras multidimensionales mAKE permite un rapido acuerdo de claves mediante el uso de enfoques descentralizados de distribucion de claves. Sin embargo, un sistema de distribucion de claves A seguras adolece del inconveniente de que la combinacion de los conjuntos de material de creacion de claves independientes A permite a los atacantes romper la seguridad del sistema, es decir, recuperar la KM18or'9en original. En esta seccion, se analiza como el enfoque divulgado de distribucion de claves seguras A multidimensionales no solo permite distribuir el control de acceso, sino que tambien optimiza la capacidad de recuperacion del sistema, por lo que es posible alcanzar un nivel de seguridad alto. A partir de aqrn, el termino capacidad de recuperacion, a, representa la fraccion de comunicaciones que se ve comprometida despues de capturar k nodos en un Sd (dominio seguro) en base a un sistema de distribucion de claves A seguras. Observe que 0<a<1, y que a = 1 cuando k = A si un solo polinomio se utiliza en un SD. Denominamos capacidad de recuperacion relativa, a r, a la relacion entre el numero de nodos comprometidos para hacer a=1, es decir, A, y el numero total de WMSs, nj, en SD'j Observese que un sistema de A seguras con a r mayor que 1 es perfectamente seguro y que dados dos SD de A seguras con igual capacidad de recuperacion, el que tiene a r mas cerca de 1 puede ser considerado mas seguro ya que un intruso debe capturar la misma cantidad de los nodos de un conjunto mas pequena de WMS. Por lo tanto la resistencia es una medida de la resistencia de los sistemas para, y para protegerse de, compromiso de nodo.

Para descifrar el mAke, un atacante debe comprometer cada uno de los (sub-)SD. Del mismo modo, para romper la seguridad de las comunicaciones con un WMS, un atacante debe romper todos los SDs de A seguras desde los cuales el WMS tiene KM A seguras. De este modo, para la KM representada en la fig. 8, un atacante debe romper un total de 5 SD estandar para comprometer las comunicaciones. A pesar del hecho de que un solo SD de A seguras, por ejemplo, el SD de MSN, es relativamente facil de romper debido a que todos los dispositivos llevan un conjunto de kM del mismo y un atacante puede adquirir con un esfuerzo relativamente pequeno una pequena fraccion de los mismos, romper el resto de sub- SD es mucho mas diffcil. Esto se debe a que la capacidad de recuperacion relativa de estos SD es mas alta y solo algunos nodos en la KM correlacionado de la propia MSN. Por lo tanto, si un atacante intenta eliminar muchos de los WMS en el mismo (sub-)SD, se puede detectar facilmente. Ademas, la cantidad de informacion de A seguras que un atacante tiene que obtener con el fin de romper todos los incrementos de comunicacion cuando se utilizan multiples SDs de A seguras e incluso si uno de ellos se ve comprometida el resto permanecen seguros.

En general, la resistencia y la capacidad de recuperacion relativa del mAKE donde una clave K principal se calcula como el hash de varias claves parciales, K j, generada a partir de varias desviaciones estandar A seguras, ' SD, viene dada por las formulas (2) y (3 ), respectivamente:

Formula (2) amX*£ = Afoc|v{«;.,.'a;, } ■

Formula (3) a^XK£ - Max^aj.,..,^}

Ejemplo - suponemos una MSN de hospital que comprende un total de 1.000 WMS (~ 100 BSN de pacientes); dos edificios, cada edificio dividido en 5 plantas; y un total de 10 zonas de operaciones y 8 especialidades medicas 5 diferentes. Tambien suponemos el uso de 2 Kbytes de memoria para asignar KM de A seguras. A cada sub-SD se le asigna una cantidad de memoria como se describe en la tabla 2 (fig. 14) y suponiendo una distribucion uniforme de WMS para los SD, se puede calcular la capacidad de recuperacion y capacidad de recuperacion relativa para cada sub-SD. A partir de estos valores, se puede concluir que un atacante debe comprometer 385 nodos, es decir, el 38,5% del conjunto de WSN, para romper este sistema espedfico.

10

Aunque la invencion se ha ilustrado y descrito en detalle en los dibujos y la descripcion anterior, dicha ilustracion y descripcion han de considerarse ilustrativas o como ejemplo y no restrictivas; la invencion no se limita a los modos de realizacion divulgados. Los expertos en la tecnica pueden entender y efectuar otras variantes de los modos de realizacion divulgados al poner en practica la invencion reivindicada, a partir de un estudio de los dibujos, de la 15 divulgacion y de las reivindicaciones adjuntas.

En las reivindicaciones, las palabras "que comprende" no excluyen otros elementos o pasos, y el artfculo indefinido "un" o "una" no excluye una pluralidad. Un unico elemento, u otra unidad, puede cumplir las funciones de varios elementos citados en las reivindicaciones. El mero hecho de que ciertas medidas se citen en reivindicaciones 20 dependientes diferentes entre sf no indica que no pueda utilizarse una combinacion de estas medidas de manera mas ventajosa.

Cualquier signo de referencia en las reivindicaciones no se interpretara como una limitacion del alcance.

Claims (13)

1. 5

   10

   15

   20

   25

   30

   35

   40

   45

   50

   55

   60

   65

   REIVINDICACIONES

   1. Un sistema integral de asistencia sanitaria al paciente, que comprende:

   - uno o mas sensores medicos inalambricos adaptados para acoplarse al cuerpo de un paciente y en comunicacion entre sf formando una red de sensores corporales dentro de una red de sensores medicos inalambrica que incluye una o mas redes de sensores corporales;

   - medios de creacion de claves A seguras incorporados en cada uno de dichos sensores medicos inalambricos para habilitar las comunicaciones seguras entre dichos sensores medicos inalambricos, y

   - un administrador de seguridad personal dentro de la red de sensores corporales y en comunicacion con dicho uno o mas sensores medicos inalambricos dentro de dicha red de sensores corporales, con dicho administrador de seguridad personal proporcionando comunicaciones seguras con los servicios finales y proporcionando relaciones de seguridad dentro de dicha red de sensores corporales mediante medios de creacion de claves A seguras

   En el que dichos medios de creacion de claves A seguras son tales que una coalicion de no mas de A sensores medicos inalambricos comprometidos esconde una clave de pares entre dos sensores medicos no comprometidos inalambricos y proporciona proteccion contra compromiso de nodo hasta que A+1 sensores medicos inalambricos se han comprometido,

   - una tarjeta de asistencia sanitaria conectada al administrador de seguridad personal para formar un administrador de seguridad personal extendido (PSMx), en el que la tarjeta de asistencia sanitaria (HCC) incluye informacion de identificacion e informacion de seguridad para la comunicacion segura con los servicios de asistencia sanitaria finales, en el que el administrador de seguridad personal incluye una certificado expedido por un centro de confianza a nivel local, y en el que el sistema esta adaptado para ejecutar un protocolo de seguridad para la auditona y/o control de acceso y/o proteccion de la privacidad, y/o una autentificacion mutua del administrador de seguridad personal con la tarjeta de asistencia sanitaria.
2. 2. El sistema seguro integral de asistencia sanitaria al paciente de la reivindicacion 1, en el que dichos sensores medicos inalambricos y dicho administrador de seguridad personal estan adaptados para comunicarse por medio de comunicaciones acopladas al cuerpo.
3. 3. El sistema seguro integral de asistencia sanitaria al paciente de la reivindicacion 1 o 2, en el que la informacion de la red de sensores corporales esta vinculada a la identidad del paciente,

   en el que dicha tarjeta de asistencia sanitaria del paciente (HCC) y dicho administrador de seguridad personal (PSM) forman un administrador de seguridad personal extendido (PSMx) para conectar una serie de dominios de seguridad de redes de sensores medicos inalambricos a un sistema de asistencia sanitaria omnipresente, estando dicho administrador de seguridad personal extendido adaptado para:

   - almacenar dicho certificado expedido por dicho centro de confianza a nivel local,

   - almacenar dichos medios de creacion de claves de A seguras para el establecimiento de una comunicacion de seguridad integral emitida por los servicios de asistencia sanitaria centralizados y

   - la implementacion de dicho protocolo de seguridad para habilitar la autentificacion mutua de dicho administrador de seguridad personal extendido y dicha tarjeta de asistencia sanitaria, seguridad integral y/o auditona, y/o la gestion de las poltticas de privacidad y control de acceso de contexto.
4. 4. El sistema seguro integral de asistencia sanitaria al paciente de la reivindicacion 3, en el que dicho administrador de seguridad personal extendido esta adaptado para autentificar el administrador de seguridad personal del paciente y la tarjeta de asistencia sanitaria del paciente cuando el paciente se une a la red de sensores medicos.
5. 5. El sistema seguro integral de asistencia sanitaria al paciente de la reivindicacion 3, en el que dicho administrador de seguridad personal comprende un lector de tarjetas inteligentes adaptado para recibir dicha tarjeta de asistencia sanitaria, y en el que dicha tarjeta de asistencia sanitaria incluye informacion individual de identificacion y/o informacion medica y/o material de seguridad y/o poltticas de seguridad.
6. 6. El sistema seguro integral de asistencia sanitaria al paciente de la reivindicacion 5, en el que dicho administrador de seguridad personal incluye un nombre de usuario, identificador, materiales de seguridad, registros medicos o poltticas de control de acceso para diferentes redes de sensores medicos.

   5

   10

   15

   20

   25

   30

   35

   40

   45

   50

   55

   60

   65
7. 7. El sistema seguro integral de asistencia sanitaria al paciente de la reivindicacion 5, en el que dicho administrador de seguridad personal extendido incluye la identificacion de un usuario global, red de area de paciente, e informacion de asistencia sanitaria electronica (EHI) individual, con la informacion de asistencia sanitaria electronica (EHI) procedente de dicha red de area de paciente.
8. 8. El sistema seguro integral de asistencia sanitaria al paciente de la reivindicacion 3, en el que se proporciona la informacion de seguridad almacenada en la tarjeta de asistencia sanitaria para identificar y autentificar al usuario y que actua como un puente entre la red de sensores corporales del paciente y los servicios de asistencia sanitaria centralizados o finales.
9. 9. El sistema seguro integral de asistencia sanitaria al paciente de la reivindicacion 3, en el que dicho administrador de seguridad personal extendido es un telefono movil con una ranura para tarjeta inteligente adicional para la tarjeta de asistencia sanitaria.
10. 10. El sistema seguro integral de asistencia sanitaria al paciente de la reivindicacion 4, que comprende ademas un dominio seguro autonomo formado por el sensor medico inalambrico asociado con una red de sensores corporales, en el que dicho administrador de seguridad personal extendido es el centro de confianza de la red de sensores corporales y esta adaptado para el control de la asociacion o revocacion segura de los miembros de la red de sensores corporales.
11. 11. El sistema seguro integral de asistencia sanitaria al paciente de la reivindicacion 10, en el que dicho administrador de seguridad personal extendido y dichos sensores medicos inalambricos estan adaptados para almacenar de forma segura informacion intercambiada y las acciones llevadas a cabo en la red de sensores corporales en la tarjeta de asistencia sanitaria del paciente, incluso si se pierde la conectividad del centro de confianza de la red de sensores medicos.
12. 12. Un procedimiento para la comunicacion con el paciente de la asistencia sanitaria integral segura en un sistema seguro integral de asistencia sanitaria al paciente, segun la reivindicacion 1, que comprende los pasos de:

    - almacenar un certificado emitido por un centro de confianza de red de sensores medicos local en el administrador de la seguridad personal;

    - formar un administrador de seguridad personal extendido mediante el uso de una tarjeta de asistencia sanitaria en combinacion con un administrador de seguridad personal

    - proporcionar informacion de identificacion y e informacion de seguridad mediante el uso de la tarjeta de asistencia sanitaria para el establecimiento de una comunicacion de seguridad integral entre sensores medicos inalambricos y servicios de asistencia sanitaria centralizados; e

    - implementar de un protocolo de seguridad para habilitar la autentificacion mutua del administrador de seguridad personal y una tarjeta de asistencia sanitaria, seguridad integral, auditona, y/o la gestion de las poltticas de privacidad de control de acceso y contexto.
13. 13. Un administrador de seguridad personal para un sistema seguro integral de asistencia sanitaria al paciente, en el que el administrador de seguridad personal se encuentra dentro de una red de sensores corporales y en comunicacion con uno o mas sensores medicos inalambricos dentro de dicha red de sensores corporales, con dicho administrador de seguridad personal que proporciona comunicaciones seguras con servicios finales y proporciona relaciones de seguridad dentro de dicha red de sensores corporales por medio de dichos medios de creacion de claves A seguras, en el que dichos uno o mas sensores medicos inalambricos estan adaptados para acoplarse al cuerpo de un paciente y en comunicacion entre sf para formar dicha red de sensores dentro de una red de sensores medicos inalambricos que incluye una o mas redes de sensores corporales;

    Medios de creacion de claves A seguras incorporadas en cada uno de dichos sensores medicos inalambricos para habilitar las comunicaciones seguras entre dichos sensores medicos inalambricos, y

    En el que dichos medios de creacion de claves A seguras son tales que una coalicion de no mas de A sensores medicos inalambricos comprometidos esconde una clave de pares entre cualquier par de sensores medicos inalambricos no comprometidos y proporciona proteccion contra compromiso de nodos hasta que A+1 sensores medicos inalambricos han sido comprometidos

    - una tarjeta de asistencia sanitaria conectada al administrador de seguridad personal para formar un administrador de seguridad personal extendido (PSMx), en el que la tarjeta de asistencia sanitaria (HCC) incluye informacion de identificacion e informacion de seguridad para la comunicacion segura con los servicios de asistencia sanitaria finales, en el que el administrador de seguridad personal incluye una certificado expedido por un centro de confianza a nivel local, y en el que el sistema esta adaptado para ejecutar un protocolo de seguridad para la auditona y/o control de acceso y/o proteccion de la privacidad, y/o una autentificacion mutua del administrador de seguridad personal con la tarjeta de asistencia sanitaria.