KR20110039264A - 유비쿼터스 환자 모니터링을 위한 개인 보안 관리자 - Google Patents

Abstract

본 발명은 환자의 신체에 부착되어 서로 통신하여 하나 이상의 인체 센서 네트워크를 포함하는 무선 의료 센서 네트워크 내에 인체 센서 네트워크를 형성하도록 구성된 하나 이상의 무선 의료 센서, 무선 의료 센서 사이의 보안 통신을 가능화하기 위해 각각의 무선 의료 센서의 내에 통합되는

-보안 키 수단, 및 인체 센서 네트워크 내의 무선 의료 센서와 통신하는 인체 센서 네트워크 내의 개인 보안 관리자로서, 이 개인 보안 관리자는 백엔드 서비스와의 보안 통신을 제공하고

-보안 키 수단에 의해 인체 센서 네트워크 내에 보안 관계를 제공하는 개인 보안 관리자를 포함하고,

-보안 키 수단은 단지

절충된 무선 의료 센서의 연합만이 임의의 2개의 절충되지 않은 무선 의료 센서 사이의 페어와이즈 키를 은폐하고,

+1 무선 의료 센서가 절충될 때까지 노드 절충에 대한 보호를 제공하도록 이루어지는 보안 종단간 환자 건강 관리 시스템 및 대응 방법에 관한 것이다.

Description

유비쿼터스 환자 모니터링을 위한 개인 보안 관리자{PERSONAL SECURITY MANAGER FOR UBIQUITOUS PATIENT MONITORING}

본 발명은 전자 보안 시스템에 관한 것이다. 더 구체적으로는, 본 발명은 보안 건강 관리 접근 및 모니터링을 위한 장치 및 대응 방법에 관한 것이다.

무선 센서 네트워크는 건강 모니터링을 위해 증가적으로 전개되어, 유비쿼터스(ubiquitous) 환자 모니터링 시스템을 유도한다. 이들 시스템에서, 각각의 환자는 가정에서, 병원에서, 또는 실질적으로 임의의 장소에서 그의 활력 징후의 모니터링을 가능하게 하는 인체 센서 네트워크(BSN)를 휴대한다. 이러한 개념에서, 환자는 매우 상이한 시나리오에서 상이한 세트의 의학 센서 노드 또는 디바이스로 모니터링될 수 있다.

센서 및 무선 통신 기술은 건강 관리와 같은 급속하게 진화하고 정복되는 새로운 응용 영역이다. 무선 의학 센서(WMS)는 더 소형이고 더 강력해져서, 만성 질병 관리와 같은 광범위한 의료 용례를 위한 유비쿼터스 사용을 허용한다. 통상의 건강 관리 설정에서, 예를 들어 ECG, SpO₂ 및 혈압과 같은 다양한 파라미터의 측정을 제공하는 WMS의 세트는 사용자의 인체 센서 네트워크(BSN)를 형성하여, 건강 모니터링을 허용하고, 사용자의 활력 징후를 측정하여 휴대폰과 같은 게이트웨이에 그의 전자 건강 정보(EHI)를 포워딩한다. 게이트웨이는 사용자가 그의 EHI에 직접 접근하여 처리하게 하고, 더욱이 이를 예를 들어 건강 관리 서비스 공급자에 전송하여, 여기서 저장되고 의료 직원, 가족 또는 스포츠 트레이너와 같은 인증된 집단에 의해 접근되거나 수정될 수 있다.

BSN의 유비쿼터스 사용은 사용자의 규칙적인 환경에서 예를 들어 가정에서 또는 훈련 중에 건강 모니터링을 가능화하고, 따라서 사용자의 웰빙 및 건강 관리 품질을 향상시키고, 또한 건강 관리 분야에서 비용 감소를 허용한다. 이들 다양한 상황 및 위치에서의 건강 모니터링은 의료 센서 네트워크(MSN)에 의해 수술실, 피트니스 센터(fitness center), 병원 또는 양로원(retirement home)과 같은 상이한 조직에 의해 수행된다. MSN은 질병 특정 센서 및 알고리즘을 갖는 소수 또는 복수의 사용자의 활력 징후를 모니터링하는데 사용된 큰 WMS의 풀(pool)을 포함한다. 따라서, MSN은 이들의 크기, 용량 또는 응용 분야에 대해 상이한 작업 요건을 갖는다. MSN에서, WMS의 임의의 서브세트는 그의 BSN을 형성하고 실시간으로 건강의 상태를 모니터링하기 위해 환자와 연계될 수 있다. 사용자의 측정된 EHI는 BSN의 WMS에 의해 또는 임상의 PDA에 의해 처리될 수 있고, 또는 추가의 처리를 위해 로컬 MSN 데이터베이스 또는 백엔드(back-end) 건강 관리 서비스, 예를 들어 건강 관리 서비스 공급자, 질병 관리 서비스, 개인 건강 기록 서비스 또는 임플란트 모니터링 서비스에 게이트웨이를 경유하여 송신될 수 있다.

편재형 MSN은 이들이 상이한 조직에 속할 수 있기 때문에 서로로부터 분리된다. 따라서, 상이한 MSN으로부터의 WMS는 기술적인 비호환성에 기인하여 하드웨어 및 소프트웨어 레벨 상에서 또는 상이한 보안 정책에 기인하여 편성 레벨에서 상호 작동할 수 없을 수도 있다. 그러나, 편재형 건강 관리의 비전은, 사용자가 MSN을 가로질러 이동하고 건강 상태가 병원 또는 보험 회사를 포함하는 상이한 조직의 승인된 요원에 의해 모니터링될 수 있는 것을 보장하기 위해 모든 MSN 적용 시나리오가 함께 동작하고 백엔드 서비스에 접속되는 것을 요구한다.

사용자의 의료 데이터 인트라(intra) 및 인터(inter) MSN의 교환은 기본 보안 서비스, 예를 들어 기밀 및 인증을 요구하는 프라이버시 및 보안 문제를 유도한다. 이들 보안 서비스는 HITRUST와 같은 건강 관리 연합에 의해 요구되는 바와 같이 환자의 안전 및 프라이버시를 보장해야 하고, 미국 및 유럽의 지침(directive) 95/46 데이터 보호의 건강 보험 양도 및 책임에 관한 법률(HIPAA)과 같은 법적 지침에 순응해야 한다. 특히, 사용자의 EHI는 인증되지 않은 집단이 이들의 의료 데이터에 접근하는 것을 방지하기 위해 종단으로부터 종단으로, 즉 그의 BSN의 WMS로부터 MSN 데이터베이스 및 백엔드 건강 관리 서비스로 보호되어야 한다. 그러나, 이러한 환경에서 프라이버시를 제공하는 것은 (i) 인터 및 인트라 MSN 사용자 이동도, (ii) WMS의 자원 제약 성질, (iii) MSN의 WMS 풀의 WMS의 임의의 서브세트가 사용자의 건강 상태를 모니터링하는데 사용된 BSN을 형성할 수 있다는 사실, 및 (iv) 편재형 MSN의 전체 시스템 내의 명백한 사용자 및 BSN 식별의 요구를 포함하는 MSN 특징에 기인하여 과제가 된다.

보안 및 프라이버시 과제는 중앙 백엔드 서비스 및 격리된 MSN 적용 시나리오 양자 모두에 대해 접근되어 왔다. 예를 들어, XML 보안 인프라구조는 백엔드 인프라구조 내의 EHI에 접근 제어를 제공하도록 도입되었다. 격리된 건강 관리 용례에서 무선 센서 네트워크에 대한 보안 과제가 분석되었다. 자립형 임상 정보 시스템용 보안 요건 및 인프라구조가 제시되어 왔다. 그러나, 당 기술 분야는 환자의 BSN이 편재형 MSN의 전체 시스템에서 명백하게 식별될 수 있고, WMS가 보안 및 효율적인 방식으로 환자의 환자 영역 네트워크(PAN) 또는 BSN에 연계될 수 있고, 종단간 보안이 유효 키 분배 접근법에 의해 제공될 수 있는 포괄적인 보안 시스템의 정의가 결여되어 있다.

HIPAA와 같은 지침에 의해 법적으로 요구되는 의료 용례를 위한 엄격한 보안 요건에 부합하는 것이 과제이다. 사용자의 의료 데이터의 안전 및 프라이버시가 종단간에, 즉 개별 센서 노드로부터 백엔드 건강 관리 서비스로 보장되어야 한다. 이는 (i) 환자 인트라 및 인터 MSN 이동도의 지원, (ii) 의료 센서의 자원 제약 성질의 고려, (iii) 무선 의료 센서의 의료 센서 네트워크의 풀의 임의의 서브세트로부터 사용자의 인체 센서 네트워크 형성, 및 (iv) 명백한 사용자 및 인체 센서 네트워크 식별의 제공과 같은 편재형 의료 센서 네트워크(MSN)의 특징에 기인하는 특정 과제이다.

편재형 건강 관리 시스템은 광범위한 건강 관리 시나리오에 적용 가능하고 다양한 기술을 조합한다. 편성 레벨에서, 편재형 건강 관리 시스템은 상이한 시설, 예를 들어 병원, 피트니스 센터, 수술 센터 또는 가정 기반에 의해 제어된 MSN으로 분할될 수 있다. 일반적으로, MSN은 자립형 방식으로 작동하는 분배형의 대형 애드혹 네트워크이다. MSN은 상이한 환자 및 BSN과 연계된 복수의 WMS를 포함할 수 있다. 일반적으로, 단지 동일한 환자와 연계된 WMS만이 서로 통신하여, BSN이 분리되게 된다. 환자 및 노드 이동도의 양자 모두는 MSN 형태학을 매우 동적이 되게 한다. 종래에는, 구현 레벨에서, 상이한 MSN에 사용된 WMS는 상호 작동 가능하지 않고, 기술 및 보안 관점으로부터 이들은 호환성 기술에 기초하지 않을 수 있고 상이한 보안 도메인에 속할 수 있다.

WMS를 착용 가능하게 하고 사용자의 일상 생활에 짐이 되는 것을 방지하기 위해, WMS는 소형 및 경량이어야 한다. 이들 치수 및 중량 제약의 결과로서, WMS는 또한 배터리 수명, 이용 가능 메모리 및 연산 파워에 관련하여 제약된다. 이와 관련하여, IEEE 802.15.4 및 지그비(ZigBee)가 낮은 전송율 무선 개인 영역 네트워크(PAN) 또는 BSN 용례에 적합하는 이들의 낮은 에너지, 메모리 및 연산 요구에 기인하여 2개의 주요한 표준이다.

BSN을 형성하는 WMS의 제한된 무선 범위에 기인하여, WMS는 환자의 의료 데이터를 관리하고, 저장하고, 그에 대한 접근을 제공하는 원격 백엔드 건강 관리 서비스로의 지속적인 접속성을 보장하기 위해 게이트웨이 디바이스에 의존할 필요가 있다. 게이트웨이와 건강 관리 서비스 사이의 통신은 이동 BSN을 위한 무선 수단, 또는 제한된 폐쇄된 환경, 예를 들어 병원에서의 적용을 위한 유선 수단에 의해 성취될 수 있다. WLAN, GSM, UMTS 또는 이더넷과 같은 공지의 기술이 이들 목적으로 사용된다. 백엔드 건강 관리 서비스는 중앙 성질, 예를 들어 건강 관리 공급자 서비스, 개인 건강 관리 기록 서비스 또는 건강 관리 보안 서비스를 가질 수 있다. 그러나, 이들 건강 관리 서비스는 또한 다양한 건강 관리 시설 또는 보험 회사 중에 분배될 수 있다.

의료 용례에 사용된 WMS의 기술적인 특징 뿐만 아니라 MSN이 작업 요건은, 특히 전통적인 컴퓨터 네트워크 또는 정적 자립형 무선 센서 네트워크와 비교할 때 보안 시스템의 정의에 새로운 과제를 부여한다.

먼저, WMS는 자원 제약형 디바이스이다. 예를 들어, MICAz 플랫폼이 WMS의 디자인의 복수의 연구 시설에 의해 사용되어 왔다. MICAz는 128 Kbytes의 프로그램 플래시 메모리, 4 Kbytes의 RAM을 구비한다. 무선 칩, CC2420이 하드웨어 내에 AES를 구현하고, 250 kbps로 통신한다. CPU는 8 MHz의 클럭 주파수에서 작동하고 분할 작동은 결여되어 있다. 따라서, 보안 해결책은 에너지 효율적이어야 하고, 메모리 요건, 특히 RAM을 최소화해야 하고, DoS(서비스 거부) 공격을 회피하기 위해 무시할만한 양의 연산 및 통신 자원을 소비해야 한다.

의료 용례에 요건을 부여하는 다른 양태는 의료 정보의 전송시의 최대 허용된 지연 시간 뿐만 아니라 BSN 셋업 시간에 관련된다. 예를 들어, ECG는 250 msec의 최대 지연 시간을 필요로 하고, 네트워크 셋업은 1초 미만으로 수행되어야 한다. 따라서, 보안 절차의 실행 시간은 예를 들어 의사의 감독 중에와 같은 매일의 정상적인 작업을 제약하지 않고 공격자가 DoS 공격을 런칭하는 것을 방지하기 위해 최소화되어야 한다.

추가로, 보안 시스템은 MSN 및 WSN 레벨의 양자 모두에서 스케일 가능해야 한다. 한편, 편재형 건강 관리 아키텍처는 편재형 건강 관리 시스템에서 예를 들어 새로운 양로원과 같은 새로운 MSN을 추가하고 통합하는 것이 가능해야 한다. 다른 한편, 자립형 MSN은 예를 들어 병원 내에서 수천개의 WMS를 포함할 수 있다. 따라서, 보안 서비스, 뿐만 아니라 이들의 설치는 복수의 MSN 및 환자를 위한 진정하게 명백한 보안 건강 관리 시스템을 가능화하기 위해 이들 레벨의 양자 모두에서 스케일 가능해야 한다.

MSN의 사용자를 갖는 WMS 및 사용자 사이의 이동도는 BSN 연계 및 구성 뿐만 아니라 키 분배 접근법에 대한 추가의 요건을 부여한다. 먼저, 매우 빈번하게 발생할 수 있는 BSN 연계는 환자 관리로부터 주의 산만을 회피하기 위해 의료 직원에 대해 조심성 있고, 자동이고, 촉진 가능하고, 보안성이 있고, 투명해야 한다. 각각의 BSN은 WMS가 임의의 시간에 결합되고 떠날 수 있는, 예를 들어 병원의 MSN의 신규한 WMS가 환자에 부착되어 그의 BSN에 연계될 수 있는 MSN 내의 동적인 독립적인 보안 도메인으로서 고려될 수 있다. 다른 한편, 환자 및 간병인의 이동도는 MSN 형태학을 동적이게 하고 네트워크 분할 및 네트워크 병합을 유도한다. 예를 들어, 병원 설정 내에서의 환자의 BSN은 예를 들어 병원의 뜰 내에서 산책할 때 병원의 MSN 및 인프라구조로부터 분리될 수 있다. 의료 응급 상황과 같은 상황은 의사에 의한 즉각적인 치료를 필요로 할 수 있다. 따라서, 임의의 의사는 애드혹 방식으로 보안 통신을 설정하고 몇몇 키 보안 프로토콜을 사용하는 것을 방지하는 보안 방식으로 환자의 활력 징후를 모니터링할 수 있어야 한다.

마지막으로, 건강 관리 시스템은 상이한 WMS에 의해 상이한 MSN에서 발생될 수 있는 사용자의 EHI에 명백하게 링크하기 위해 상이한 MSN 내의 사용자 및 BSN의 고유한 식별을 허용해야 한다.

보안 과제

포괄적 보안 시스템을 규정하기 위해 다루어져야 할 필요가 있는 3개의 메인 보안 과제, 즉 편재형 MSN 내의 키 분배, 보안 BSN 연계 및 명백한 고유의 사용자 식별이 존재한다.

키 분배는 이것이 어떠한 방식으로 WMS가 인트라 및 인터 MSN의 양자 모두의 기밀 및 인증과 같은 가장 기본적인 보안 요건을 가능화하는데 사용된 암호화키를 수신하고 취급하는지를 규정하기 때문에 자립형 MSN 및 상호 접속된 MSN의 보안 초석이다. 공개키, 중앙(온라인) 공인 인증 센터 또는 키 공유에 기초하는 다양한 매우 상이한 키 분배 기술이 존재한다. 일반적으로, 일 접근법 또는 다른 접근법의 실행 가능성은 각각의 특정 의료 설정의 작업 요건 및 기술적 제약에 의존한다. 예를 들어, 대칭 암호화키는 소형 MSN 내의 정적 BSN에 속하는 WMS 상에 미리 구성될 수 있다. 그러나, 이 구성은 BSN 멤버쉽이 예측 불가능한 노드 이동도에 기인하여 예를 들어 병원과 같은 매우 동적 환경에서는 불가능하다. 연산적으로 복잡한 작동을 수행하는 것은 배터리 소모 및 통신 지연을 증가시키고, 의료 데이터의 요구된 처리를 가능하게 차단할 수 있는 DoS 공격에 통신 프로토콜이 민감하게 할 수 있다. 타원형 곡선 암호화에 기초하는 공개키 시스템의 가장 효율적인 구현은 단일 점 곱셈, 즉 공개키를 설정하기 위한 기본 연산에 대해 여전히 0.81초를 필요로 한다. 이 사실은 이들 키 설정 프로토콜이 연산 및 에너지 자원을 목표로하는 자원 고갈 공격을 받기 쉽게 한다. 따라서, MSN의 공개키 암호화의 사용은 가능한 한 최소화되어야 한다. 온라인 공인 인증 센터(TC)에 기초하는 키 설정은 예를 들어 지그비(ZigBee)와 같은 WMS에 키를 분배하기 위해 TC에 의존한다. 이 접근법은 이들 노드의 배터리를 소모하는 TC로의 경로 상의 노드에 대한 증가된 트래픽 부하 및 TC의 파괴 성질의 단일점을 특징으로 한다. DoS 공격 및 패킷 충돌은 또한 WMS가 초기 키 동의 핸드셰이크(handshake)를 성공하는 것을 방지하고, 따라서 이들이 의료 데이터를 전송하는 것을 방지할 수 있다. 추가로, TC로의 접속성은 의료 응급 상황 및 재난 응답과 같은 복수의 상황에서 보장될 수 없다. 이들 이유로, 해시 함수 또는 다항식과 같은 직접 키 동의를 가능화하는 연산적으로 저가의 대칭키 암호화 해결책이 자립형 MSN에서 바람직한 옵션이다.

보안 BSN 연계는 BSN의 형성과 어떠한 방식으로 BSN의 WMS가 식별되어 특정 사용자에 연계되는지를 칭한다. 단지 무선 센서의 고정된 세트만이 통신하고 있는 정적 시나리오에서, BSN 연계는 간단한 쌍 형성 절차에 의해 단지 1회만 수행된다. 그러나, 사용자의 BSN이 MSN의 WMS 풀로부터 취해지는 WMS의 임의의 세트로 이루어질 수 있는 양로원 또는 병원과 같은 더 복잡한 설정에서, WMS는 환자에 보안 방식으로 연계되어야 한다. MSN의 보안 도메인 내에서, BSN은 보안 관계가 자동 방식으로 취급되는 완전히 독립적인 보안 서브 도메인으로서 이해되어야 한다.

BSN 연계의 문제점은 적외선을 경유하여 BSN 식별자를 의료 노드에 분배하기 위해 셋업 펜을 사용하는 발더스(Baldus) 등의 "의료 인체 센서 네트워크의 신뢰적인 셋업(Reliable Set-Up of Medical Body-Sensor Network)", EWSN 2004와 같은 상이한 방식으로 최근에 다루어져 왔다. BLIG 접근법[제이. 앤더슨(J. Anderson) 및 제이. 이. 바드램(J. E. Bardram)의 "BLIG: 인체 센서 네트워크에서의 센서 식별, 그룹화 및 승인을 위한 신규한 접근법(BLIG: A New Approach for Sensor Identification, Grouping and Authorization in Body Sensor Networks)", 착용 가능 및 이식 가능한 인체 센서 네트워크의 4차 국제 워크샵, (BSN 2007) 2007년 3월 26일~28일, 독일 아첸]은 신체에 부착된 특정 노드를 사용한다. 다른 노드는 이들이 단범위 통신 기술에 의해 이에 근접하게 될 때 사용자 식별자를 수신한다. 팔크(Falck) 등의 "무선 의료 인체 센서용 플러그 앤 플레이 단순성(Plug 'n Play Simplicity for Wireless Medical Body Sensors), 편재형 건강 협회 및 워크샵, 2006년, vol., no., pp.1-5, 2006년 11월 29일~2006년 12월 1일은 사용자 및 BSN ID를 분배하기 위한 인체 결합 통신(BCC) 기술의 사용을 제안하고 있다. 이 접근법에서, 각각의 환자는 BCC에 의해 환자의 신체에 부착된 WMS에 환자의 ID 및 다른 구성 정보를 자동으로 분배하는 식별 토큰을 휴대한다. 따라서, 이 접근법은 BSN 셋업 중에 임상의 개입을 필요로 하지 않는다. 그러나, 보안 BSN 연계 프로토콜은 이들 접근법이 기본 보안 서비스를 지원하지 않고 또한 이들이 BSN을 독립적인 보안 도메인으로 변환하는 것을 허용하지 않기 때문에 요구된다.

명백한 고유의 사용자 식별은 개인이 전술된 바와 같이 상이한 의료 장비를 갖는 상이한 MSN에 참석할 수 있다는 사실을 칭한다. 측정된 의료 정보는 독립적인 편재형 MSN 사이의 상호 작동성을 가능화하기 위해 전체 건강 관리 시스템 내에서 인식된 마스터 환자 식별자에 자동 방식으로 링크되어야 한다. 이들 식별자는 상이한 행정 및 건강 관리 시설 사이의 상호 작동성을 보장하기 위해 규제되어야 한다. 동적 세션 식별자는 환자의 프라이버시를 보장하고 상황에 따라 상이한 방식으로 환자를 식별하는데 사용될 수 있다.

전술된 모든 3개의 요건에 대한 통합적인 해결책은 보안 BSN 및 MSN 뿐만 아니라 WMS와 백엔드 건강 관리 서비스 사이의 종단간 보안의 전개를 가능화한다. 이러한 시스템의 디자인은 사용자가 상이한 MSN 조직을 가로질러 이동하고 몇몇 용례에서 사용자의 BSN이 WMS의 MSN의 풀로부터 임의로 취출된 WMS의 서브세트를 포함할 수 있기 때문에 과제가 되고 복잡하다.

추가의 보안 요건

시스템의 보안 구성을 보장하는 것을 목적으로 하는 주 보안 과제에 추가하여, 추가의 보안 서비스가 필요하다. 복수의 이들 전통적인 보안 서비스의 제공은 암호화 키 및 식별자에 기초한다는 것을 주목하라. 우리는 이들의 개요를 간략하게 제공할 것이다.

a) 프라이버시 및 기밀은 공격자가 통신을 도청하는 것을 방지하기 위한 데이터, 신분 및 상황 정보의 보호를 칭한다. 예를 들어, 데이터 기밀은 고급 암호 표준(AES)과 같은 암호화 알고리즘에 의해 성취된다.

b) 데이터 완전성은 예를 들어 메시지 인증 코드에 의한 미인증된 조작으로부터의 데이터의 보호를 칭한다.

c) 식별 및 인증은 상이한 의료 이벤트, 사용자 신분 및 교환된 데이터의 유효성을 보장하기 위해 사용된 기술을 다룬다. 식별자는 HIPAA에 의해 요구된 바와 같은 상호 작동성 및 명백한 식별을 보장하기 위해 규제되고 표준화되어야 한다. 식별자는 인증을 보장하기 위해 몇몇 암호화 키 재료에 링크되어야 한다.

d) 감사(auditing)는 모든 데이터 접근을 기록하는데 사용되는 기술을 칭하고, 책임에 대한 HIPAA 요건을 충족하도록 요구되고, 오용의 경우에 추적 가능한 기록을 제공한다.

e) 접근 제어 기술은 환자의 EHI 및 BSN에 대한 접근을 승인할 필요가 있다. 게다가, 접근 제어 정책은 알. 제이. 앤더슨(R. J. Anderson)의 "임상 정보 시스템을 위한 보안 정책 모델(A security policy model for clinical information systems)", sp, p.0030, 1996년 보안 및 프라이버시의 IEEE 심포지엄, 1996년과, 케이. 소어(K. Sohr), 엠. 드로우이노드(M. Drouineaud), 지. 안(G. Ahn)의 "임상 정보 시스템을 위한 역할 기반 보안 정책의 형식적인 사양(Formal specification of role-based security policies for clinical information systems)" 응용 컴퓨팅의 ACM 심포지엄, 2005년 미국 뉴멕시코주 산타페, 2005년 3월 13일~17일에 규정된 바와 같은 접근 제어 정책 및 위임과 같은 규정된 처리 과제이어야 한다.

보안 및 프라이버시는 미국의 HIPAA 또는 유럽의 유럽 지침 95/46 데이터 보호와 같은 법적 요건을 충족하기 위해 의료 도메인에서 본질적이다. 이와 관련하여, 의료 센서 노드(또는 디바이스)와 병원의 백엔드 건강 관리 서비스 사이의 종단간 보안이 현재 해결되지 않은 매우 중요한 문제점이다. 종단간 보안은 환자를 모니터링하기 위해 사용된 센서 노드의 세트로부터 독립적이고, 관리 사이클 중에 사용된 건강 관리 서비스로부터 독립적이어야 한다. 이 요건은 (i) 인체 센서 네트워크의 보안 연계, (ii) 인체 센서 네트워크 내의 의료 관련 정보의 보안 저장, (iii) 전체 시스템 내의 환자의 명백하지만 동시에 프라이버시 인식 식별, 및 (iv) 센서 노드와 건강 관리 서비스 사이의 환자 정보의 보안 전송을 포함한다.

관련 공지의 종래 기술은 이들 문제점을 해결하지 않는다.

US 특허 출원 2007/0043594호는 (i) NFC(근거리 통신) 제어기 칩, (ii) 스마트 카드 제어기 칩, (iii) 무선 피어-투-피어 통신 프로토콜 등을 포함하는 전자 건강 관리 전달 시스템을 설명한다. 이 시스템의 목표는 편재형 건강 관리를 가능화하는 것이지만, 이 종래 기술 내에 몇몇 기본적인 차이 및 단점이 있다. 먼저, 이 시스템은 NFC 기술에 의존한다는 것을 지적해야 한다. 중요하게, 이 특허 출원은 예를 들어 편재형 건강 관리에서 키 분배, 인체 센서 네트워크 연계, 종단간 보안과 같은 보안 과제를 전혀 다루고 있지 않다. 마찬가지로, 이 특허 출원은 무선 센서 네트워크 및 인체 센서 네트워크를 전혀 개시하고 있지 않다.

DE 20008602 U호는 환자에 의해 휴대되는 ECG 센서의 세트에 의해 측정된 환자의 활력 징후가 환자의 신분에 링크되는 시스템을 개시한다. 이 특허 출원은 환자 식별을 가능화하는 카드 판독기를 개시한다. 그러나, 이 시스템은 종단간 보안 및 보안 인체 센서 네트워크 연계를 개시하고 있지 않다.

US 2005/10245995 A1호는 전자 의료 임플란트 및 데이트 취득 및 평가 센터와 무선 통신을 위한 데이터 전송 유닛을 개시한다. 이 시스템은 인체 센서 네트워크 내에 키 분배를 포함하는 의료 센서 네트워크로부터 종단간 보안 프로토콜, 인체 센서 네트워크 연계, 인체 센서 네트워크 식별 및 종단간 보안을 개시하고 있지 않다.

US 2003/10229518 A1호는 환자 동작의 기록을 위한 방법을 개시한다. 시스템은 의료 장비의 사용 중에 얻어진 데이터가 환자에 귀착되도록 환자를 식별하기 위한 의료 장비를 제공한다. 이 시스템은 인체 센서 네트워크를 식별하고 인체 센서 네트워크로부터 백엔드 의료 시스템으로 종단간 보안을 가능화하기 위한 시스템을 개시하고 있지 않다.

US 6,564,056 B1호는 제어기에 등록되어 있는 디바이스를 관리하는 제어기를 설명한다. 각각의 디바이스는 제어기의 카드 판독기 내에 메모리를 삽입함으로써 제어기에 등록한다. 제어기와 디바이스 사이의 통신은 암호화키로서 디바이스의 식별자를 사용함으로써 보안된다. 이 출원은 인체 센서 네트워크 디바이스를 식별하고 등록하지만 인체 센서 네트워크 사용자를 식별하는 카드 판독기를 개시하지 않고 있다.

US 200210188473호는 환자 식별을 포함하고 사용자가 환자의 의료 이력으로의 접근을 갖게 하는 시스템을 설명한다. 시스템은 스마트 카드에 기초한다. 이 시스템은 무선 센서 네트워크 및 인체 센서 네트워크, 인체 센서 네트워크 식별, 센서 노드 식별, 보안 인체 센서 네트워크 연계, 및 센서 노드와 의료 백엔드 시스템 사이의 종단간 보안을 다루는데 실패하였다.

WO 2007/149850 A2호는 병원 내의 임의의 쌍의 디바이스가 분배 방식으로 공통키에 동의하는 것을 허용하는 키 분배 방법을 설명한다. 이 방식으로, 이 특허 출원은 센서 노드들 사이 또는 센서 노드와 병상 모니터 사이의 기본 보안 서비스를 보장한다. 그러나, 종단간 보안의 중요한 보안 갭이 여전히 미해결되고 있다.

WO 2008/014432 A2호는 인체 결합 통신(BCC)에 기초하는 환자 식별을 가능화하는 방법을 설명한다. 이 특허 출원에서, 모든 환자는 인체 결합 통신 태그를 휴대한다. 환자가 특정 의료 디바이스 등의 사용을 원할 때, 의료 디바이스는 환자 ID를 수신하기 위해 인체 결합 통신에 의해 인체 결합 통신 태그와 통신한다. 이 방식으로, 의료 디바이스는 그 측정치를 개인화하거나 환자의 식별을 의사에 포워딩하기 전에 측정된 활력 징후에 부착하기 위해 환자의 식별 정보를 사용할 수 있다. 이 접근법은 매우 간단한 방식의 환자의 식별을 허용하지만, 시스템에 대한 보안 위협이 고려되지 않는다. 예를 들어, 침입자, 밥(Bob)은 앨리스(Alice)의 태그를 훔치고 앨리스의 식별 정보를 판독할 수 있다. 그 후에, 밥은 앨리스인체 할 수 있고 또는 앨리스의 개인 의료 정보에 접근을 얻을 수 있다. 이 출원은 인체 센서 네트워크 노드와 백엔드 건강 관리 서비스 사이의 종단간 보안의 문제점을 처리한다. 이를 위해, 이 출원은 이하의 보안 과제를 해결한다:

1. 인체 센서 네트워크의 보안 셋업 - 인체 센서 네트워크 내의 모든 디바이스들 사이의 모든 통신이 인증 및 기밀성에 대해 보안성이라는 점에서,

2. 환자의 명백한 식별 - 환자가 인체 센서 네트워크, 백엔드 보안 서비스 등을 포함하는 전체 시스템 내에서 명백하게 식별되는 점에서,

3. 단지 인증된 개인만이 이에 접근을 가질 수 있도록 하는 의료 관련 정보의 보안 저장.

보안 종단간 환자 건강 관리 시스템은 환자의 정보, 예를 들어 식별자 및/또는 의료 관련 정보를 보안 방식으로 전달하는 인체 센서 네트워크(BSN) 내의 개인 보안 관리자(PSM)의 사용에 기초한다. 개인 보안 관리자는 예를 들어 의료 센서 노드 또는 모니터링 디바이스와 같은 인체 센서 네트워크 내의 센서 노드(WMS)의 나머지와 보안 방식으로 통신할 수 있고, 인체 결합 통신(BCC)에 의해 백엔드 시스템을 포함하는 전체 시스템 내에서 인식되는 실제 환자 식별자를 전송할 수 있다. BCC는 바람직한 기술이지만, 근거리 통신(NFC) 등과 같은 다른 기술이 마찬가지로 사용될 수 있다. 추가로, 개인 보안 관리자는 또한 개인 보안 관리자가 환자의 신분을 인증하도록 허용하고 백엔드 시스템과의 종단간 보안을 가능화하는 환자 식별자, 공개키 등을 포함하는 보안 정보를 휴대한다. PSM과 백엔드 시스템 사이의 보안은 공개키 인프라구조에 기초하거나 신뢰적인 제 3 집단[커베로스(Kerberos) 컴퓨터 네트워크 인증 프로토콜과 같은] 또는 다른 조합에 기초할 수 있다.

사용자의 EHI를 전송하기 위해 사용되는 전술된 기술 이외에, 종단간 보안 시스템은 2개의 추가의 기술, 즉 BSN의 보안 및 투명한 식별 및 형성을 위한, 뿐만 아니라 보안 재료 및 EHI의 보안 저장을 위한 인체 결합 통신(BCC) 및 스마트 카드를 사용한다. BCC는 환자의 신체에 직접 부착된 디바이스들 사이에 데이터를 전송하기 위한 물리적 네트워킹 레이어로서 인체를 사용하는 저에너지 인체상 통신이다. 이 기술은 에너지 및 스펙트럼의 양자 모두를 절약하고, 통신 상의 도청을 더 어렵게 하는 저 에너지 요건 및 인체상 통신 성질에 기인하여 전통적인 무선 통신과 비교할 때 보안 레벨을 향상시킨다. 따라서, 이는 민감한 데이터를 교환하고, BSN 연계를 가능화하는, 즉 WMS를 BSN에 할당하거나 의료 데이터를 교환하기 위해 동일한 환자에 속하는 WMS에 의해 사용될 수 있다. 스마트 카드 기술은 보안 방식으로 중대한 정보를 저장할 뿐만 아니라 사용자 인증을 위한 보안 매체를 제공한다. 스마트 카드는 인증 및 안전한 데이터 저장을 허용하기 위한 암호화 능력을 제공한다.

BCC와 스마트 카드 기술의 조합은 강력한 인증 및 식별 메커니즘을 제공한다. PIN 기반 접근 제어 또는 매립형 암호화 알고리즘과 같은 스마트 카드의 강력한 보안 특징은 예를 들어 패스워드와 같은 개인 정보의 보안 저장을 허용한다. BCC의 고유의 프라이버시 인식 통신 특성은 도청을 어렵게 하는 보안 전송 매체를 제공한다. 예를 들어, 우리는 사용자가 BCC 및 스마트 카드 능력의 양자 모두를 갖는 식별 토큰을 휴대하는 것을 가정할 수 있다. 사용자는 패스워드 또는 개인 데이터와 같은 정보를 스마트 카드 상에 저장할 수도 있다. 이 정보는 예를 들어 성공적인 식별 및 인증 후에 BCC 링크를 경유하여 단지 스마트 카드로부터만 검색될 수 있다.

건강 관리 카드(HCC), 예를 들어 스마트 카드는 상기 보안 문제를 해결하는 인체 센서 네트워크와 백엔드 보안 도메인 사이의 링크를 제공하도록 개인 보안 관리자(PSM) 내에 플러깅될 수 있다. 개인 보안 관리자는 환자의 정보, 예를 들어 성명, 의료 관련 정보, 패스워드 등을 보안 방식으로 건강 관리 카드 상에 휴대하는데, 이 건강 관리 카드는,

i) 인체 센서 네트워크 노드의 보안 연계를 가능화하고 전술된 바와 같이 보안 방식으로 인체 결합 통신(BCC)에 의해 전체 건강 관리 시스템 내에서 인식되는 규제된 환자 식별자를 전송하기 위한 기능을 포함하는데, 단지 동일한 BSN에 연계되고 필수 증명서를 보유하는 무선 의료 디바이스만이 BCC 링크를 경유하여 PSM 내에 플러깅된 HCC로부터 개인 정보를 검색할 수 있고,

ii) 개인 보안 관리자가 환자의 신분을 인증하고 인체 센서 네트워크 노드와 건강 관리 서비스 사이의 종단간 보안을 가능화하게 하는 예를 들어 환자 식별자, 환자의 공개키 등과 같은 환자 정보를 휴대하는데, 개인 보안 관리자는 무선 및 인체 결합 통신 인터페이스를 갖는 노드 상에 구현될 수 있고, 인터 및 인트라 인체 센서 네트워크 통신에서 보안 기능을 가능화하기 위한 보안 모듈을 포함할 수 있다.

보안 기능의 일부는 시스템 내의 다른 구성 요소로부터 물리적으로 분리되고, 건강 관리 카드 상에 저장되어 시스템의 탄력성 및 가치의 양자 모두를 증가시킬 수 있다.

본 발명에 개시된 원리는 관리 사이클과 같은 유비쿼터스 환자 모니터링 시스템 내의 종단간 보안을 가능화하기 위해 의료 인체 센서 네트워크 및 디바이스에 적용될 수 있다.

인체 센서 네트워크(BSN)는 환자의 신체에 부착되도록 구성된 무선 센서(WMS)로 구성된 특정 무선 애드혹 네트워크이고, 도 1에 도시된 바와 같이 매우 근접한 복수의 무선 의료 디바이스를 포함할 수 있다. 무선 센서 노드, 예를 들어 무선 의료 센서(WMS)는 환자의 활력 징후를 측정하고, 이들 활력 징후를 표시하고 중앙 저장 유닛 등에 포워딩하는 PDA 또는 병상 모니터에 이들 활력 징후를 전송한다.

이 포괄적인 보안 시스템은 이전의 과제를 극복하고, 편재형(pervasive) 의료 센서 네트워크 내의 게인 의료 데이터로의 효율적인 보안 접근을 가능화한다. 시스템은 인체 결합 통신 및 디지털 건강 관리 카드의 개념과 같은 현존하는 기술을 분배형 보안 해결책과 조합하여, 보안 인체 센서 네트워크 연계, 인체 센서 네트워크 내의 효율적인 분배형 키 동의 및 접근 제어, 유비쿼터스 환자 식별 및 편재형 건강 관리 시나리오를 가로지르는 종단간 보안을 가능화한다. 이 시스템은 자원 구속형 무선 의료 센서에 특히 적합한 사용자 친화형 성능 및 보안을 제공한다.

본 발명의 목적은 인체 센서 네트워크의 개별 무선 의료 센서로부터 백엔드 서비스로 건강 관리를 위한 통신 네트워크의 모든 부품들 사이의 보안 종단간 통신을 제공하는 장치 및 방법을 제공하는 것이다.

본 발명의 제 1 양태에 따르면, 보안 종단간 환자 건강 관리 시스템은,

- 환자의 신체에 부착되어 서로 통신하여 하나 이상의 인체 센서 네트워크를 포함하는 무선 의료 센서 네트워크 내에 인체 센서 네트워크를 형성하도록 구성된 하나 이상의 무선 의료 센서,

- 상기 무선 의료 센서 사이의 보안 통신을 가능화하기 위해 상기 무선 의료 센서의 각각 내에 통합되는

-보안 키 수단, 및

- 상기 인체 센서 네트워크 내의 하나 이상의 무선 의료 센서와 통신하는 인체 센서 네트워크 내의 개인 보안 관리자로서, 상기 개인 보안 관리자는 백엔드 서비스와의 보안 통신을 제공하고 상기

-보안 키 수단에 의해 상기 인체 센서 네트워크 내에 보안 관계를 제공하는 개인 보안 관리자를 포함하고,

상기

-보안 키 수단은 단지

절충된 무선 의료 센서의 연합만이 임의의 2개의 절충되지 않은 무선 의료 센서 사이의 페어와이즈(pairwise) 키를 은폐하고,

+1 무선 의료 센서가 절충될 때까지 노드 절충에 대한 보호를 제공하도록 이루어진다.

무선 의료 센서 및 개인 보안 관리자는 인체 결합 통신에 의해 통신하도록 구성될 수 있다.

시스템은 개인 보안 관리자 내에 플러깅되는 건강 관리 카드를 추가로 포함할 수 있고, 건강 관리 카드는 백엔드 건강 관리 서비스와 보안 통신을 위한 명백한 사용자 식별을 위한 정보 및 보안 정보를 포함하고, 개인 보안 관리자는 로컬 공인 인증 센터에 의해 발행된 인증서를 포함하고, 시스템은 감사, 접근 제어 및 프라이버시 보호, 및 건강 관리 카드와 개인 보안 관리자의 상호 인증을 실행하기 위한 보안 프로토콜을 실행하도록 구성된다.

인체 센서 네트워크로부터의 정보는 환자의 신분에 링크될 수 있고, 상기 환자 건강 관리 카드(HCC) 및 상기 개인 보안 관리자(PSM)는 편재형 건강 관리 시스템에 복수의 무선 의료 센서 네트워크 보안 도메인을 접속하기 위한 확장형 개인 보안 관리자(PSMx)를 형성한다(도 2 참조). 확장형 개인 보안 관리자는,

- 로컬 공인 인증 센터에 의해 발행된 인증서를 저장하고,

- 중앙 건강 관리 서비스에 의해 발행된 종단간 보안 통신을 설정하기 위해

-보안 키 수단을 저장하고,

- 확장형 개인 보안 관리자와 건강 관리 카드의 상호 인증, 종단간 보안, 감사, 및 상황 접근 제어 및 프라이버시 정책의 관리를 가능화하기 위해 보안 프로토콜을 구현하기 위해 구성될 수 있다.

확장형 개인 보안 관리자는 환자가 의료 센서 네트워크에 결합할 때 환자와 환자의 건강 관리 카드의 개인 보안 관리자를 인증하기 위해 구성될 수 있다.

개인 보안 관리자는 건강 관리 카드를 수용하도록 구성된 스마트 카드 판독기를 포함할 수 있고, 건강 관리 카드는 개인 식별 정보 및/또는 의료 정보 및/또는 보안 재료 및/또는 보안 정책을 포함할 수 있다.

개인 보안 관리자는 상이한 의료 센서 네트워크에 대한 사용자의 성명, 식별자, 보안 재료, 의료 기록 또는 접근 제어 정책을 포함할 수 있다.

확장형 개인 보안 관리자는 글로벌 사용자, 환자 영역 네트워크 및 개별 전자 건강 관리 정보(EHI)를 포함할 수 있다. 전자 건강 관리 정보(EHI)는 환자 영역 네트워크로부터 도래할 수 있다.

건강 관리 케어 상에 저장된 보안 정보는 사용자를 식별하고 인증하기 위해, 그리고 환자의 인체 센서 네트워크와 중앙 또는 백엔드 건강 관리 서비스 사이의 브리지로서 작용하기 위해 제공될 수 있다. 인체 센서 네트워크는 환자 영역 네트워크와 동일할 수도 있다.

확장형 개인 보안 관리자는 건강 관리 카드를 위한 추가의 스마트 카드 슬롯을 갖는 휴대폰일 수 있다.

보안 종단간 환자 건강 관리 시스템은 환자 영역 네트워크와 연계된 무선 의료 센서에 의해 형성된 자율 보안 도메인을 추가로 포함할 수 있고, 확장형 개인 보안 관리자는 환자 영역 네트워크의 공인 인증 센터이고, 환자 영역 네트워크의 멤버의 보안 연계 또는 폐기를 제어하기 위해 구성된다.

확장형 개인 보안 관리자 및 무선 의료 센서는 의료 센서 네트워크 공인 인증 센터로의 접속성이 손실되더라도 환자의 건강 관리 카드 상의 인체 센서 네트워크 내에서 수행된 동작 및 교환 정보를 보안 저장하기 위해 구성될 수 있다.

본 발명의 제 2 양태에 따르면, 종단간 환자 건강 관리 시스템에서의 보안 종단간 환자 건강 관리 통신을 위한 방법은 개인 보안 관리자 상의 로컬 의료 센서 네트워크 공인 인증 센터에 의해 발행된 인증서를 저장하는 단계, 중앙 건강 관리 서비스에 의해 발행된 종단간 보안 통신을 설정하기 위해 개인 보안 관리자 상에 보안 수단을 저장하는 단계, 및 개인 보안 관리자와 건강 관리 카드의 상호 인증, 종단간 보안, 감사, 및/또는 상황 접근 제어 및 프라이버시 정책의 관리를 가능화하기 위해 보안 프로토콜을 구현하는 단계를 포함한다.

본 발명의 제 3 양태에 따르면, 보안 종단간 환자 건강 관리 시스템용 개인 보안 관리자로서, 개인 보안 관리자는 인체 센서 네트워크 내에 있고 인체 센서 네트워크 내의 하나 이상의 무선 의료 센서와 통신하고, 개인 보안 관리자는 백엔드 서비스와의 보안 통신을 제공하고

-보안 키 수단에 의해 인체 센서 네트워크 내에 보안 관계를 제공하고, 하나 이상의 무선 의료 센서는 환자의 신체에 부착되어 서로 통신하여 하나 이상의 인체 센서 네트워크를 포함하는 무선 의료 센서 네트워크 내에 인체 센서 네트워크를 형성하도록 구성되고,

-보안 키 수단이 무선 의료 센서들 사이의 보안 통신을 가능화하기 위해 무선 의료 센서의 각각 내에 통합되고,

-보안 키 수단은 단지

절충된 무선 의료 센서의 연합만이 임의의 2개의 절충되지 않은 무선 의료 센서 사이의 페어와이즈 키를 은폐하고, 예를 들어 아무것도 드러내지 않고,

+1 무선 의료 센서가 절충될 때까지 노드 절충에 대한 보호를 제공하도록 이루어진다.

-보안 키 설정은

-보안 특성을 나타내는 키 설정 핸드셰이크를 칭한다. 일반적인 예는 q가 암호화키를 수용하도록 충분히 큰 경우에 유한 필드(Fq)에 걸쳐 정도(

)의 대칭 2변수 다항식[f(x,y)]으로 이루어진다. 이 다항식은

-보안 시스템 내의 루트 키 재료이다. 이 루트 키 재료로부터, 시스템의 중앙 기관은

-보안 키 재료 몫을 유도할 수 있다. 시스템 내의 각각의 엔티티(예를 들어, 센서 노드)는

-보안 키 재료 몫을 휴대할 것이다. 예를 들어, 상기 루트 키 재료[f(x,y)]로부터, 식별자(ID)를 갖는 엔티티가

-보안 키 재료 몫[f(ID,y)], 즉 x=ID에서 값을 구한 원래 2변수 다항식을 휴대할 것이다.

시스템 내의 임의의 쌍의 엔티티, 예를 들어 f(ID_A,y) 및 f(ID_B,y)를 각각 휴대하는 ID_A 및 ID_B는 이하와 같이 공통의 페어와이즈 키에 동의할 수 있다:

- 이들은 이들의 식별자를 교환함.

- 이들은 식별자와 함께 이들의 알파-보안 키 재료를 이용함. 이 특정 경우에, 엔티티 A는 그의 알파-보안 키 재료[f(ID_A,y)]를 취하고, y=ID_B에서, 즉 다른 집단의 식별자에서 이를 평가함. 결과는 f(ID_A,ID_B)임.

- 엔티티 B는 그 알파-보안 키 재료 몫 및 다른 집단의 식별자를 갖는 것과 정확히 동일함. 결과는 f(ID_B,ID_A)임.

- 루트 키 재료는 대칭 다항식이기 때문에, 양 엔티티에 의해 얻어진 결과는 동일한데, 즉 f(ID_A,ID_B)=f(ID_B,ID_A)=K임. K는 양 집단에 의해 공유된 공통키임. 이 키는 다른 보안 서비스를 제공하는데 사용됨.

시스템은 다른

-보안 키 설정 프로토콜, 즉

-보안 특성을 갖는 다른 암호화 프로토콜을 사용할 수 있다. 이는 또한 예를 들어 전개 모델에 의존하는 그 탄력성과 같은 향상될 다른 특징을 가져, 접근 제어와 같은 더 진보된 보안 서비스 또는 더 효율적인 성능을 제공하는 다항식에 기초할 수 있다. 예를 들어, (다중) 계층적 구조체를 갖는 전개 모델이 의료 도메인에 사용되도록 제안되어 왔다. 이들 체계는 예를 들어 이들이 시스템 내에 더 많은 양의 키 재료를 도입하고 또는 2개의 엔티티 사이의 페어와이즈 키가 복수의 독립적인

-보안 보안 도메인으로부터 생성된 키의 조합으로서 연산되기 때문에 더 높은 보안 레벨을 제공한다. 종단간 보안 시스템 내에 사용된

-보안 체계는 접근 제어 또는 (프라이버시-인식) 식별과 같은 다른 보안 서비스를 제공하도록 마찬가지로 구성될 수 있다. 이는 식별 정보 또는 접근 제어 역할을

-보안 키 재료와 링크함으로써 성취된다.

-보안 체계는 예를 들어 유한 투영 평면, 키 분할 기술 또는 식별자 분할 기술에 기초하여 조합 기술을 사용함으로써 연산 요건을 최소화하도록 또한 구성될 수 있다.

-보안 기술의 사용은 2개의 엔티티가 페어와이즈 키, 즉 2개의 엔티티 사이에 공유된 키 상에서 동의하게 한다. 예를 들어, 대칭키를 공유하는 2명의 사람, 앨리스와 밥을 가정한다. 앨리스가 밥에게 기밀 방식으로 메시지를 송신하기를 원하면, 앨리스는 키(K)로 메시지를 암호화하기 위해 대칭 암호화 알고리즘을 사용한다. 밥은 동일한 키로 이를 복호화할 수 있다. 이 경우에, 이 키는 앨리스 및 밥에 의해서만 공유되기 때문에 페어와이즈이다.

청구된 방법은 종속 청구항에 규정된 바와 같은 장치와 유사한 및/또는 동일한 바람직한 실시예를 갖는다.

본 발명의 이들 및 다른 양태는 이하에 설명된 실시예(들)를 참조하여 명백해지고 명료해질 것이다.

도 1은 본 발명의 실시예에 따른 보안 종단간 환자 건강 관리 시스템용 인체 센서 네트워크를 도시하는 도면.
도 2는 본 발명의 실시예에 따른 보안 종단간 환자 건강 관리 시스템용 구성 요소를 도시하는 도면.
도 3은 본 발명의 실시예에 따른 보안 종단간 환자 건강 관리 시스템용 개인 보안 관리자 내의 보안 배열을 도시하는 도면.
도 4a 내지 도 4c는 본 발명의 실시예에 따른 인체 센서 네트워크 내의 보안 프로토콜 배열을 도시하는 도면.
도 5a 내지 도 5e는 본 발명의 실시예에 따른 환자 건강 관리 시스템 내의 종단간 보안용 보안 프로토콜 배열을 도시하는 도면.
도 6은 본 발명의 실시예에 따른 보안 종단간 환자 건강 관리 시스템을 구비하는 시설을 도시하는 도면.
도 7은 본 발명의 실시예에 따른 보안 종단간 환자 건강 관리 시스템용 통신 링크를 도시하는 도면.
도 8은 본 발명의 실시예에 따른 특정 의료 센서 네트워크의 무선 의료 센서에 의해 전달되는 정보를 도시하는 도면.
도 9는 본 발명의 실시예에 따른 동일한 의료 센서 네트워크에 속하는 2개의 무선 의료 센서 사이의 보안 통신 채널의 유효 설정을 도시하는 도면.
도 10은 본 발명의 실시예에 따른 무선 의료 센서와 개인 보안 관리자 사이의 보안 인체 센서 네트워크 연계를 가능화하기 위한 방법을 도시하는 도면.
도 11은 본 발명의 실시예에 따른 확장형 개인 보안 관리자의 구조를 도시하는 도면.
도 12는 본 발명의 실시예에 따른 백엔드 건강 관리 서비스의 중앙 건강 관리 인증 기관과 확장형 개인 보안 관리자 사이의 통신을 도시하는 도면.
도 13은 본 발명의 실시예에 따른 MICAz 및 uPD789828 상의 몇몇 보안 프리미티브의 성능 비교를 도시하는 테이블.
도 14는 본 발명의 실시예에 따른 다차원

-보안 키 설정의 서브-보안 도메인 내의 메모리 자원 할당을 도시하는 테이블.

보안 종단간 환자 건강 관리 시스템은 보안 방식으로 환자의 정보, 예를 들어 식별자, 의료 관련 정보를 전달하는 개인 보안 관리자(PSM) 또는 인체 센서 네트워크(BSN) 제어기의 사용에 기초한다. 개인 보안 관리자는 예를 들어 의료 센서 노드 또는 모니터링 디바이스와 같은 인체 센서 네트워크 내의 센서 노드의 나머지와 보안 방식으로 통신할 수 있고, 인체 결합 통신(BCC)에 의해 백엔드 시스템을 포함하는 전체 시스템 내에서 인식되는 실제 환자 식별자를 전송할 수 있다. 추가로, 개인 보안 관리자는 또한 개인 보안 관리자가 환자의 신분을 인증하게 하고 백엔드 시스템을 갖는 종단간 보안을 가능화하게 하는 환자 식별 정보, 공개키 등을 포함하기 위해 정보를 전달한다.

보안 아키텍처는 도 1 및 도 2에 도시된 바와 같이 복수의 물리적 요소를 포함하는데, 센서 노드, 예를 들어 WMS가 환자 활력 징후를 모니터링하는데 사용되고, 2개 이상의 상이한 유형으로 구별될 수 있다. 한편, 몇몇 의료 센서 노드가 환자의 활력 징후를 감지하여 전송하는데 사용된다. 다른 한편으로는, PDA 또는 모니터와 같은 모니터링 디바이스가 의료 센서 노드와 통신하고 환자의 활력 징후를 표시한다. 통신은 무선 인터페이스에 의해 수행될 수 있다. 추가로, 몇몇 센서 노드는 인체 결합 통신 또는 유도성 능력을 가질 수 있다.

건강 관리 서비스는 백엔드 서비스(BS), 예를 들어 건강 관리 공급자 서비스(HPS), 개인 건강 관리 기록 서비스(PHRS) 및/또는 건강 관리 보안 공급자(HSP)이다. 이들 서비스들은 환자의 의료 데이터를 관리하고, 저장하고, 그에 대한 접근을 제공하여, 의료 데이터가 1년 내내 이용 가능하게 된다.

개인 보안 관리자는 의료 센서 노드, 모니터링 디바이스 및 건강 관리 서비스 사이의 보안 관계를 편성한다. 따라서, 개인 보안 관리자는 특별히 중요한 역할을 한다. 보안 인프라구조는 모든 이들 물리적 요소를 포함하지 않을 수 있는데, 즉 보안 서비스 또는 모니터링 디바이스의 일부가 누락될 수도 있다는 것을 주목하라.

도 2에는, 건강 관리 서비스와의 통신이 선을 통한 묘사에 의해 지시되어 있고, BCC 통신 또는 유도성 통신이 파선에 의해 지시되어 있고, 무선 통신이 점선에 의해 지시되어 있다.

보안 아키텍처에 포함된 암호화 요소

보안 아키텍처는 이하에 설명되는 상이한 요소를 필요로 한다. 이들 요소 및 기능의 대부분은 보안의 관점으로부터 센서 노드와 건강 관리 서비스(도 3 참조) 사이의 링크로서 사용되는 바와 같이 개인 보안 관리자에서 구현된다.

1. 활성화 PIN이 사용 전에 사용자를 인증하는데 사용된다. 이 기능은 개인 보안 관리자(PSM)에 대해 특정하고, 인증되지 않은 사람이 개인 보안 관리자에 접근하는 것을 방지하는데 사용된다.

2. 키 재료(KM)가 센서 노드들 사이, 또는 센서 노드와 개인 보안 관리자 사이의 보안 통신을 가능화한다.

3. 환자의 식별 정보(디지털 신분)가 환자를 식별하는데 사용되고, 이하의 것을 포함한다.

a. 환자의 식별자,

b. 환자의 식별자에 링크된 암호화 정보. 가능한 실시예는 환자의 신분에 속박된 한 쌍의 공용/사설키의 사용이다. 이들 키의 인증 및 유효성은 공개키 인프라구조에 의존한다. 다른 실시예는 제 3 공인 인증 집단의 사용일 수 있다. 이 경우, 환자에 링크된 고유의 대칭 비밀키가 온라인 공인 인증 센터에 기초하여 다른 보안 관계를 설정하는데 사용될 수 있다.

c. 디지털 신분 제어기(디지털 신분 관리자)가 환자의 디지털 신분의 발표를 취급하는데 사용될 수 있다. 환자의 식별자 및 관련 암호화 정보, 예를 들어 공개키의 유효성은 전체 시스템 내의 보안 관계를 관리하는 건강 관리 보안 서버에 의존한다. 따라서, 이들 기능은 개인 보안 관리자 및 건강 관리 보안 서버의 양자 모두에서 구현될 수 있다. 디지털 신분 제어기는 개인 보안 관리자에 상주한다.

특정 실시예에 따라, 상기 요소의 일부는 존재하지 않을 수도 있다. 본 발명의 상이한 실시예는 예를 들어 생물 측정 식별 기술과 같은 다른 식별 요소를 필요로 할 수 있다.

4. 개인 보안 관리자는 또한 의료 관련 정보, 환자의 디지털 신분, 접근 제어 권리, 환자의 패스워드 등과 같은 정보의 보안 저장을 허용하기 위한 보안 메모리(MEM)를 가질 수 있다. 보안 메모리(MEM)는 PSM 자체 내에 또는 HCC 내에 매립될 수 있다.

개인 보안 관리자의 기능은 도 3에 상세히 도시된다. 다양한 실시예는 복수의 고유의 특징, 예를 들어 사용자의 PIN의 성공적인 입력 후에만 활성화될 수 있는 개인 보안 관리자(PSM)를 포함할 수 있고, 개인 보안 관리자는 보안 프로토콜의 설명을 포함하는 몇몇 지능, 즉 논리 블록을 가질 수 있고, 개인 보안 관리자는 센서 노드와 보안 통신을 가능화하기 위한 키 재료(KM)를 포함할 수 있고, 개인 보안 관리자는 환자의 디지털 신분, 의료 정보, 접근 제어 권리 또는 패스워드를 포함하는 환자 관련 정보를 저장할 수 있고, 키 재료 및 논리가 개인 보안 관리자 내에 매립될 수 있지만, 환자 관련 정보는 스마트 카드, 예를 들어 건강 관리 카드(HCC)에 저장될 수 있다. 이 방식으로, 동일한 개인 보안 관리자가 개인 보안 관리자 내의 환자의 건강 관리 케어를 교체함으로써 상이한 환자에 의해 사용될 수 있다.

보안 아키텍처의 기능

다음에, 센서 노드와 건강 관리 케어 서비스 사이의 보안 관계를 관리하기 위해 어떠한 방식으로 개인 보안 관리자가 이전의 보안 프리미티브를 이용하는지가 설명된다. 이들 기능 및 상이한 물리적 요소 사이의 관계의 일부가 도 4 및 도 5에 도시된다.

1. 사용자 인증 - 개인 보안 관리자가 활성화되기 전에, 사용자는 사용자 PIN에 의해 그 자신을 인증해야 한다. PIN은 사용자 인터페이스(UI) 등에 의해 입력된다. 이는 인체 센서 네트워크 제어기(PSM)가 휴대폰 등에 구현되는 경우 용이하게 구현될 수 있다. 인체 센서 네트워크 제어기 기능의 나머지는 단지 성공적인 사용자 인증 후에만 작동할 수 있다. 실시예에 따라, PSM의 활성화는 단지 HCC가 플러그인 되는 경우에만 가능할 수 있는데, 이는 HCC가 사용자 인증 기능을 구현하기 때문이다.

2. 인체 센서 네트워크의 보안 자동 셋업 - 활성화 후에, 개인 보안 관리자는 보안 방식으로 인체 센서 네트워크를 셋업하는데 사용될 수 있다. 이를 위해, 환자가 병원 등에 도착할 때, 환자는 전술된 기능을 갖는 개인 보안 관리자를 수신할 수 있다. 환자 인체 센서 네트워크에 대한 접근 권한을 갖는 의사, 간호사 등의 식별자가 또한 수납 중에 로딩될 수 있다. 추가로, 환자 관련 정보, 예를 들어 식별자, 의료 관련 정보가 수동으로 또는 병원 서버로부터 로딩될 수 있다. 이 경우, 개인 보안 관리자는 단일 디바이스에서 도 3에 도시된 모든 기능을 구현할 수 있다.

게다가, 개인 보안 관리자는 스마트 카드와 같은 건강 관리 카드용 카드 판독기를 포함할 수 있다. 이 경우, 모든 환자의 의료 관련 정보, 예를 들어 환자 디지털 신분, 의료 관련 정보, 공개 및 사설키, 패스워드 등이 스마트 카드(HCC)에 저장될 수 있다. 이 정보는 개인 보안 관리자 내에 환자의 건강 관리 카드를 삽입한 후에만 접근될 수 있다. 이 정보의 일부는 항상 이용 가능할 수 있지만, 다른 정보로의 접근은 예를 들어 상이한 PIN과 같은 상이한 인증의 레벨을 필요로 할 수도 있다. 일단, 환자가 그녀의 개인 보안 관리자를 휴대하면, 환자는 진료를 받을 수 있다. 이를 위해, 의사는 복수의 센서 노드, 예를 들어 ECG, SpO₂, 뿐만 아니라 모니터링 디바이스를 환자의 신체에 부착할 수 있다. 센서 노드와 모니터링 디바이스를 환자의 인체 센서 네트워크와 연계하기 위해, 의사는 도 4 및 도 5에 설명된 바와 같이 개인 보안 관리자를 사용할 수 있다. 이 개인 보안 관리자와 인체 센서 네트워크 사이의 연계는 인체 결합 통신(BCC), 유도성 통신, 예를 들어 근거리 통신 등을 사용할 수 있다. BCC의 사용은 단지 동일한 신체에 부착된 디바이스만이 서로 통신할 수 있기 때문에 고유의 장점을 갖는다. 도 4 및 도 5에 설명된 연계 특징에 추가하여, 설명된 메커니즘은 이하의 특정 양태에 기인하여 보안성이다.

도 4a - 개인 보안 관리자(PSM) 및 센서 노드(WMS)는 공통 비밀을 동의하기 위해 키 재료(KM)를 사용하고 서로 인증한다. 이 방식으로, 개인 보안 관리자는 단지 인증된 의료 디바이스 PDA만이 환자 인체 센서 네트워크에 결합되도록 하는 것을 보장한다. PSM(또는 PSM에 플러깅된 HCC) 상에 저장된 접근 제어 정책이 또한 센서 노드가 BSN에 결합되도록 인증되었는지 여부를 판단하는데 사용될 수도 있다.

도 4b - 개인 보안 관리자는 식별자 또는 개인 건강 기록을 포함하는 환자의 관련 정보에 접근할 수 있다. 따라서, 개인 보안 관리자는 명백한 형태로 인체 센서 네트워크를 식별하고 관리 사이클을 단순화하기 위해 실제 환자 정보를 사용한다. 특히, 개인 보안 관리자는,

(1) 인체 센서 네트워크를 식별하는데 사용된 환자에 대한 일시적인 환자 식별자(환자 ID)를 유도할 수 있는데, 일시적인 환자 식별자는 사용자의 프라이버시 스피어(privacy sphere)를 방지하고 추적을 방지하기 위해 주기적으로 변경되고,

(2) BSN 보안 도메인 내의 통신을 위해 사용된 BSN 네트워크 키(K)를 설정할 수 있는데, BSN 멤버 사이의 모든 통신은 방송을 허용하는 이 키에 기초하여 보안될 수 있고,

(3) 키 재료에 기초하여 보안 방식으로 의료 센서 노드에 환자의 정보를 전송할 수 있고(요청에 응답하여), 전송된 정보는 의료 정보에 대한 접근을 갖는 일시적인 환자의 식별자 또는 의사, 간호사 또는 다른 개인 PDA의 식별자를 포함할 수 있다.

도 4c - 마지막으로, 의료 센서 노드는 기본 보안 서비스를 가능화하기 위해, 개인 보안 관리자에 의해 미리 분배되어 있는 키(K)를 사용함으로써 보안 방식으로 모니터링 디바이스에 환자의 활력 징후를 전송할 수 있다.

3. 명백한 환자 식별 및 백엔드 건강 관리 서비스로의 접근은 종래의 시스템에 대한 문제점을 표현하는데, 이는 예를 들어 서버 내에 저장된 개인 건강 기록과 같은, 센서 노드의 랜덤 세트에 의해 측정된 활력 징후를 갖는 일시적인 환자 식별자를 이러한 백엔드 시스템에 속박하는 것이 어렵기 때문이다.

본 발명은 개인 보안 관리자가 센서 노드와 백엔드 시스템 사이의 보안 링크로서 작용하기 때문에 이 문제점을 극복한다. 한편, 개인 보안 관리자는 센서 노드와 보안 통신을 가능화하는 키 재료를 갖는다. 다른 한편, 개인 보안 관리자는 또한 환자를 식별하기 위해 요구되는 정보를 가질 수 있다. 이 정보는 환자 수납 중에 또는 개인 보안 관리자 판독기 내로 환자의 건강 카드를 플러깅한 후에 로딩될 수 있다.

도 5a 내지 도 5e는 환자를 모니터링하는데 사용될 수 있는 센서 노드의 세트로부터 독립적으로 종단간 보안 및 명백한 환자 식별을 성취하기 위해 센서 노드, 개인 보안 관리자 및 백엔드 시스템에 의해 수행되는 프로토콜을 도시한다. 도 5a는 개인 보안 관리자의 메모리 내에 저장된 공개키에 기초하여 환자의 신분을 인증하기 위한 건강 관리 보안 공급자(HSP)로의 개인 보안 관리자의 연결을 도시한다. 도 5b는 예를 들어 종단간 보안을 가능화하는데 사용될 수 있는 대칭키(K)와 같은 상이한 보안 파라미터의 협상을 표현한다. 그 후에, 도 5c 및 도 5d는 전술된 바와 같이 환자의 인체 센서 네트워크로의 센서 노드의 보안 연계 및 HSP와 BS 사이의 보안 연계를 도시한다. 도 5e는 어떠한 방식으로 환자의 활력 징후가 모니터링 디바이스 PDA에 뿐만 아니라 보안 방식으로 건강 관리 서비스에 송신되는지를 도시한다.

4. 전술된 작동 논점에 추가하여, 보안 아키텍처는 예를 들어 이하와 같은 다른 보안 서비스를 가능화할 수 있다.

보안 메모리 - 패스워드 또는 의료 관련 정보와 같은 기밀 정보를 저장하는데 사용될 수 있음. 이 정보에 대한 접근은 인증된 사용자에 제한될 수 있다. 상이한 레벨의 인증이 상이한 PIN에 의해 가능하다. 개인 보안 관리자를 휴대하는 사용자는 보안 방식으로 패스워드를 저장하기 위해 이를 사용할 수 있다.

보안 로그인 - BCC 능력을 갖고 PSM을 수행하는 사용자에 의해 사용될 수 있음. 예를 들어, 사용자가 웹 상에서 그 건강 관리 기록을 점검하기를 원한다고 가정하자. 로그인 정보(예를 들어, 사용자명 + 패스워드)가 PSM 상에 저장된다. 건강 관리 기록을 조사하는데 사용된 퍼스널 컴퓨터는 BCC 인터페이스를 구비할 수 있다. PC가 BCC를 스위치 온할 때, PSM은 분배된 키 재료에 기초하여 PC를 인증할 수 있다. 그 후에, 사용자는 그 사용자명 및 패스워드를 수동으로 입력하지 않고 그의 건강 관리 기록을 점검할 수 있다. PSM 상에 저장된 이 정보는 BCC를 경유하여 PC에 직접 전송된다. 동일한 접근법이 개인 이메일에 접근하고, 홈에 입장하는데 사용될 수 있다.

디지털 신분 - 사용자는 식별 목적으로 개인 보안 관리자를 사용할 수 있고, 따라서 보안 모듈이 서브 모듈을 구현한다. 일반적으로, 환자 또는 개인의 디지털 신분이 공개/사설키에 링크될 수 있다.

네트워크 제어 - 개인 보안 관리자는 이하와 같은 유용한 정보를 저장하는데 사용될 수 있다.

i. 인체 센서 네트워크를 포함하는 센서 노드,

ii. 환자의 활력 징후를 모니터링하는 모니터링 디바이스,

iii. 센서 노드의 비일상적인 거동과 같은 환자의 모니터링 중에 발생하는 다른 이벤트. 이 정보는 결함이 있는 또는 손상된 센서 노드를 검출하는데 사용될 수 있다. 이러한 이벤트에서, 손상된 디바이스는 식별자와 같은 BSN 및 BSN/사용자의 정보로부터 제거되어야 하거나 BSN 네트워크 키(K)가 사용자의 프라이버시를 보호하기 위해 업데이트되어야 한다.

편재형 MSN 내의 키 분배

키 분배는 종단간 보안을 가능화하기 위한 기본이다. 그러나, 최선의 키 분배 접근법의 선택은 MSN 및 건강 관리 시스템의 양자 모두의 기술적인 제약 및 작업 요건에 의존한다.

MSN 내의 임의의 쌍의 WMS들 사이의 신뢰적인 보안 통신은 전술된 바와 같이 온라인 공인 인증 센터 또는 공개키 인프라구조에 의존하지 않고 페어와이즈 키를 직접 설정하는 WMS의 능력을 필요로 한다. 본 시스템은 원하는 건강 관리 용례의 작동 요건에 의존하여 암호화키를 취급하기 위해 2개의 상이한 유형의 키 분배 접근법을 사용할 수 있다. 한편, 우리는 이들이 항상 예를 들어 가정에서 동일한 사용자에 의해 사용되기 때문에 동일한 WMS의 세트를 항상 포함하는 소위 개인 BSN을 갖는다. 이들 개인 BSN을 위한 키 분배는 대역외 채널에 의해 또는 보안 환경 내의 모든 노드들 사이에 페어와이즈 키를 분배함으로써 용이하게 해결될 수 있다. 따라서, n개의 노드를 갖는 BSN에서, 각각의 노드는 n-1개의 키를 저장한다.

다른 한편, 병원, 양로원 또는 피트니스 센터에서, MSN은 복수의 WSN을 포함할 수 있다. WMS의 서브세트는 BSN을 포함하기 위해 WMS의 MSN의 풀로부터 랜덤하게 취출될 수 있다. 이 상황에서, 블룬도 다항식(Blundo polynomials)과 같은

-보안 키 분배 시스템에 기초하는 키 분배 시스템은, 이들이 소수의 연산 자원을 요구하고 임의의 쌍의 노드들 사이의 완전한 접속성을 가능하게 하기 때문에, 효율적인 키 분배를 위한 효율적이고 가능한 해결책을 제공한다. 이와 관련하여, 동일한 MSN에 속하는 모든 노드(z)는 노드에 의해 휴대되는 상이하지만 상관된 키 재료의 세트(KM_z)에 링크된 고유 식별자(ID_z)를 갖는다. 상이한 노드에 대한 키 재료의 상이한 세트는 키 재료 루트(KM^root)로부터 공인 인증 센터에 의해 오프라인으로 생성된다. 한 쌍의 노드가 공통 키 상에서의 동의를 요구할 때마다, 이들은 이들의 노드 ID를 교환하고 이들의 각각의 키 재료를 사용하여 추가의 보안 서비스를 가능화하기 위해 페어와이즈 키 상에서 동의한다. 일 접근법에서, KM^root는 암호화키를 수용하기 위해 충분히 큰 q를 갖는 유한 필드(F_q)에 걸친 정도

의 단일의 2변수 다항식[f(x,y)]이다. 각각의 WMS(z)는 예를 들어 x=z에서 원래 2변수 다항식의 값을 구함으로써 생성된 다항식 몫[f(z,y)]으로 구성된 KM^root로부터 유도된 키 재료의 세트(KM_z)를 MSN 공인 인증 센터로부터 수신한다. 이 키 재료의 세트(KM_z)는 WMS(z)의 전체 수명 중에 휴대되고, 식별자(ID_z)는 MSN 내의 각각의 노드를 식별하는 시리얼 넘버로서 보여질 수 있다. KM^root가 2변수 다항식인 이 접근법은

-보안 키 분배 시스템 내의 시스템의 성능 및 탄력성을 향상시키기 위해 키 분할 또는 조합 기술과 조합될 수 있다. 간단화를 위해, 우리는 WMS에 의해 휴대된 각각의 KM_z가 다항식 몫[f(z,y)]으로 구성되는 것을 고려한다.

이 접근법은 효율적인 분배형 키 응답을 허용하지만, MSN 내의 접근 제어와 같은 보안 서비스의 경량 구현, 즉 의료 용례에서의 주요한 보안 과제를 가능하게 한다. 이는 각각의 노드(z)에 의해 휴대된 KM_z에 링크되고 접근 제어 리스트를 저장하기 위해 대량의 메모리를 필요로 하는 고유의 식별자(z)에 기인한다. 더욱이, 단일의

-보안 보안 도메인(SD)의 사용은 MSN SD 내의

WMS의 포착이 공격자가 전체 MSN의 보안을 손상시키는 것을 허용하는 것을 암시한다.

양 문제점을 극복하기 위해, 스마트한 방식으로 추가의

-보안 KM을 WMS에 분배하기 위해 타겟 MSN의 전개 모델을 고려하는 것이 가능하다. 이를 이해하기 위해, MSN에 속하는 WMS가 소유권, 작업 구역 또는 의료 전문 분야와 같은 상이한 특징에 따라 복수의 서브-SD로 세분될 수 있는 것이 관찰된다. 예를 들어, 병원 MSN의 WMS는 (i) 위치(의료 MSN은 복수의 병원을 포함할 수 있고, 이들 병원의 각각은 상이한 과로 분할될 수 있음), (ii) 상이한 병원 내에 위치된 과가 동일한 의료 전문 분야를 공유할 수 있을 때의 의료 전문 분야, 또는 (iii) 특정 질병을 겪는 환자가 상이한 의료과에서 치료될 수 있을 때의 작업 구역에 따라 분류될 수 있다. MSN 공인 인증 센터(TC)(도 6 참조)는 전술된 서브-SD들 중 WMS가 이산 방식으로 속하는 것을 식별하여 인증하기 위해 WMS에 추가의

-보안 키 재료를 할당할 수 있다. 1≤j≤n을 갖는 각각의 특징(j)은 편평한 SD 또는 SD의 계층적 인프라구조를 설명할 수 있다. 편평한 SD는 예를 들어 동일한 작업 구역 내에 사용된 WMS와 같은 동일한 확률(p)과 통신할 수 있는 MSN의 WMS의 서브세트를 포함한다. SD의 계층적 인프라구조는 예를 들어 WMS 위치에 기인하여 노드들 사이의 관계를 설명한다. 예를 들어, 노드의 위치는 병원 및/또는 과로 분할될 수 있다. 이 예에서, 병원 내의 모든 WMS는 서로 통신할 수 있어야 하지만, 또한 주어진 과에 속하는 WMS들 사이의 통신은 이들이 동일한 위치에서 발생하기 때문에 더 빈번하다는 것이 명백하다. 실제로, 상이한 과로부터 WMS들 사이의 통신은 거의 발생하지 않을 수 있고, 단지 예를 들어 환자가 다른 과로 이동하는 경우에만 발생한다. 이하의 식은 식별자 ID를 갖는 WMS로 서브-SD를 위한 서브-식별자(ID_ij)를 할당하는데 사용될 수 있다: ID_ji=h(ID｜j｜i).

이 식에서, h(*)는 암호화 해시 함수이고, j는 위치 또는 소유권과 같은 WMS 특징을 식별하고, i는 SD의 계층 내의 레벨을 칭하고, 예를 들어 위치에 있어서 병원은 레벨 1에 위치되고, 과는 레벨 2에 위치된다. 각각의 이들 서브-SD에 링크된 키 재료는 예를 들어 상이한 2변수 다항식[f_ij(x,y)]과 같은 상이한 KM_ij ^root로부터 생성될 수 있지만, 각각의 서브-SD에 사용된 식별자는 (1)에 의해 링크되어 공격자가 임의의 특징을 갖는 임의의 신분을 생성하는 것을 방지한다는 것을 주목하라. 상기 명명 규약은 용이하게 적응되거나 수정되거나 간단화될 수 있다는 것을 주목하라.

도 8은 특정 MSN 내의 WMS에 의해 전달된 정보를 도시한다. WMS는 키 재료(KM_MSN)에 링크된 고유의 MSN 식별자(ID_MSN)를 갖는다. 이 정보는 동일한 MSN 내의 임의의 쌍의 WMS 사이의 완전한 상호 작동성을 가능하게 한다. ID_MSN은 이들의 디지털 신분에 의존하는 방식으로 상이한 디바이스 또는 의료 직원에 할당될 수 있다는 것을 주목하라. 추가로, WMS는 또한 3개의 상이한 특징, 즉 위치(건물 및 바닥), 작업 구역 및 의료 전문 분야에 따라 그 자신을 식별하여 인증하는 키 재료를 휴대한다.

이 정보에 기초하여, 동일한 MSN에 속하는 2개의 WMS는 효율적인 방식으로 보안 통신 채널을 설정할 수 있다(도 9 참조). 제 1 단계에서, WMS₁, 예를 들어 임상의 PDA는 WMS₂, 예를 들어 환자에 부착된 ECG WMS에 통신 요청을 송신한다. WMS₂는 MSN에 속하는 것으로서 PDA의 식별을 요청한다. 추가로, 이 환자의 접근 제어 정책은 임상의가 특정 디지털 신분(ID_MSN)을 갖거나 또는 동일한 병원 및 작업 구역 서브-SD(요구된 역할)에 속하는 것을 필요로 할 수 있다. 일반적으로, 서브-SD의 임의의 서브세트는 명령을 수행하기 위해 인증되도록 요구될 수도 있다. 이 접근법은 암호화학적으로 실시된 접근 제어를 허용한다. 셋째로, 양 WMS는 키 동의 핸드셰이크를 수행한다. 이를 위해, 각각의 WMS는 인증되도록 각각 요구된 (서브-)SD, ji, KM_ji에 링크된 키 재료로부터 부분 키(K_ji)를 연산한다. K_ji는 이 (서브-)SD를 위한 다른 집단의 식별자 내의 KM_ji, 즉 다항식 몫[f_ji(h(ID＼j＼i),y)를 값을 구함으로써 연산된다. 양 노드는 동일한 차수의 모든 부분 키를 해시함으로써 마스터키(K)를 생성할 수 있다. 마스터키(K)는 각각의 부분 키가 동일하면 양 WMS에 공통일 수 있다. 이 키는 도전-응답 인증 핸드셰이크에 의해 양 WMS를 인증하기 위해 이후에 사용된다. 성공적인 인증은 또한 임상의가 환자를 위한 접근 제어 정책을 충족시키는 것을 암시한다. 이 예의 기본 키 분배 접근법은 메인 ID가 디바이스의 디지털 신분을 인코딩하고 서브-SD가 디바이스의 역할을 표현하는 서브-SD ji의 임의의 수를 갖는 일반적인 다차원

-보안 키 설정(m

KE)으로 용이하게 확장될 수 있다는 것을 주목하라. 더욱이, ID는 당 기술 분야에 설명된 바와 같이 ID=h(디지털 신분)를 계산함으로써 접근 제어 역할과 같은 다른 정보 또는 엔티티의 디지털 신분을 인코딩하는데 사용될 수 있다.

WMS들 사이의 보안 통신을 보장하는 것에 부가하여, 개시된 보안 시스템은 BSN 내의 WMS와 백엔드 건강 관리 서비스 사이의 종단간 보안을 가능화해야 한다. 이 시스템은 사용자가 보안 방식으로 MSN을 가로질러 이동하게 하고 따라서 상호 작동성을 보장하기 때문에 이를 위한 공개키 인프라구조(PKI) 기반 해결책을 사용한다. 예를 들어 신뢰적인 제 3 집단에 기초하는 다른 접근법, 예를 들어 커베로스가 또한 동일한 목표를 성취하기 위해 적용될 수 있다. 공개키 기반 접근법에서, 시스템 내의 각각의 사용자는 건강 관리 인증 기관(HSP)(중앙 또는 분배형)(도 6 참조)에 의해 발행되어 사용자의 신분에 링크된 한 쌍의 공개/사설키를 필요로 한다. 이 키의 쌍은 이하에 설명되는 바와 같이 사용자가 MSN에 도착할 때에 발생하는 초기 구성 절차 중에만 사용되어, 자원 요건이 최소화되게 한다(도 6 및 도 12 참조). 그러나, 사용자의 BSN이 항상 이 키의 쌍을 포함하는 것을 보장하는 것은 전술된 바와 같이 BSN의 멤버쉽이 예측 불가능하기 때문에 어려운 작업이다. 이들 과제에 대한 해결책이 이하에 제시된다.

보안 BSN 연계

개시된 시스템은 도 10에 도시된 바와 같이, 보안 BSN 연계를 가능화하기 위해 전술된 BSN 연계 프로토콜에 기초하고 이에 연장된다. 개인 보안 관리자(PSM) 또는 확장형 개인 보안 관리자(PSMx)(도 7, 도 10 및 도 11 참조)라 칭하는 특정 WMS는 환자의 식별자를 환자에 부착된 다른 WMS에 전송하고 따라서 WMS를 사용자의 신분에 링크하는데 사용되는 바와 같이 개인 식별자의 역할을 한다. PSM과 WMS 사이의 통신은 인체 결합 통신에 기초할 수 있고, 따라서 환자의 신체에 직접 부착된 디바이스에 한정될 수 있다.

먼저, 환자의 ID를 WMS에 전달하거나 또는 BSN 내의 WMS를 수락하기 전에(도 10, 단계 1), PSM은 전술된

-보안 방법에 따라 WMS를 인증하고 승인한다. 이를 위해, PSM 및 WMS는 마스터키(K_{PSM - WMS})를 생성하기 위해 양 노드가 휴대하는

-보안 키 재료를 사용할 수 있다. 이 키에 기초하여, 양 노드는 서로 효율적으로 인증하고 승인하고, 추가의 정보, 예를 들어 사용자 ID를 보안 방식으로 전송할 수 있다. 추가로, PSM은 BSN 키(K_BSN)를 생성하여 모든 BSN 멤버에 분배하는 BSN의 공인 인증 센터의 역할을 할 수 있다. K_BSN은 BSN의 보안 도메인의 네트워크 키이고, BSN 내의 방송을 가능화하고 MSN SD 내에서 사용자의 BSN에 의해 제어되는 독립 SD 내의 BSN을 변환하는데 사용될 수 있다.

네트워크 키(K_BSN)는 BCC와 조합하여 또한 WMS 폐기 절차의 쉬운 구현을 가능하게 할 수 있다. 이는 노드가 포착되거나 환자의 BSN을 남겨둘 때 필요하다. 이를 위해, PSM은 BCC를 통해 BSN의 각각의 멤버에 주기적인 요청을 송신한다. PSM이 이들 중 임의의 것으로부터 응답을 수신하지 않으면, PSM은 사용자의 프라이버시를 보호하기 위해 사용자 식별자와 BSN 키(K'_BSN)의 양자 모두를 업데이트한다. 새로운 식별자 및 BSN 키는 인체 결합 통신 및 대응 페어와이즈 키를 사용함으로써 보안 방식으로 BSN 부재에 송신된다. 마지막으로, PSM은 BSN 내의 모든 WMS에 랜덤 시퀀스를 전송할 수도 있다. WMS는 임상의가 간단한 방식으로 모든 WMS의 정확한 BSN 연계를 점검하는 것을 허용하기 위해 이 랜덤 시퀀스를 따라 동기적으로 점멸할 수 있다.

명백한 고유의 사용자 식별

BSN은 다른 MSN의 WMS 및 사용자와의 보안 상호 작용이 PSM에 의해 취급되는 MSN 내의 완전히 독립적인 SD로서 보여져야 한다. 추가로, PSM은 글로벌 사용자 및 사용자의 전자 건강 관리 정보(EHI) 식별, 뿐만 아니라 추가의 보안 서비스, 예를 들어 감사, 접근 제어 정책의 관리 또는 종단간 보안을 제공해야 한다.

사용자가 특정 순간에 위치되어 있는 MSN에 독립적인 사용자의 고유 식별자에 사용자의 활력 징후를 링크하기 위해, 개시된 보안 시스템은 확장된 개인 보안 관리자(PSMx)를 형성하기 위해 PSM과 조합하여 건강 관리 카드(HCC)를 사용할 수 있다. PSMx는 상이한 MSN 보안 도메인을 편재형 건강 관리 시스템과 연결하는데, 즉 PSMx는 편재형 MSN 내의 명백한 고유의 사용자 식별을 성취하기 위해 특정 MSN 내의 사용자의 BSN을 포함하는 WMS와 및 백엔드 건강 관리 서비스 사이의 보안 관계를 편성한다.

PSMx는 복수의 독립적인 기능 블록으로 이루어질 수 있다(도 11 참조). 먼저, 이는 전술된 바와 같이, MSN의 WMS와 보안 통신을 가능화하기 위해

-보안 키 재료(KM)를 저장할 수 있다. PSMx는

-보안 KM을 갖고 미리 구성될 수 있고, 또는 셋업 단계 중에 보안 환경에서 그 동적 구성을 가능화할 수 있다. PSMx는 또한 로컬 MSN 공인 인증 센터에 의해 발행된 인증서를 저장할 수 있다. 이 인증서의 용도는 사용자가 MSN에 결합될 때 사용자 및 사용자의 HCC가 PSM의 확실성을 인증하게 하는 것이다. 둘째로, PSMx는 사용자의 건강 관리 카드가 플러그인 될 수 있도록 스마트 카드 판독기(HCC 슬롯)를 구현할 수 있다. 개시된 시스템은 의료 용례에 사용을 위한 식별 목적을 갖는 HCC를 사용한다. 편재형 건강 관리용 보안 시스템은 이와 완전히 호환 가능해야 한다. 일 실시예에서, 가장 관련이 있는 사용자 의료 정보, 예를 들어 사용자 성명, 식별자 및 의료 기록 또는 상이한 MSN에 대한 접근 제어 AC 정책이 HCC 상에 저장될 수 있다. 추가로, HCC는 또한 글로벌 건강 관리 CA에 의해 발행된 사용자의 공개/사설키를 저장할 수 있다. 마지막으로, PSMx는 PSMx 및 HCC의 상호 인증, 종단간 보안, 감사 및 상황 접근 제어 및 프라이버시 정책의 관리를 가능화하기 위한 보안 프로토콜을 구현할 수 있다.

PSMx를 생성하기 위한 PSM과 HCC의 조합은 상이한 MSN과 백엔드 시스템 사이의 상호 작동성을 보장한다. 한편, HCC 상에 저장된 보안 정보는 사용자를 식별하고 인증하여, 사용자가 위치되는 장소마다 중앙 건강 관리 서비스와 사용자의 BSN 사이의 브리지로서 작용한다. 이는 다양한 응용 시나리오에 걸쳐 명백한 사용자 식별을 성취하기 위해 전체 시스템에 사용된 규제된 사용자 ID의 사용 또는 규제된 절차에 따른 식별자로부터 유도된 일시적인 익명의 사용을 포함한다. 사용자의 공개키는 사용자 ID를 인증하고 BSN과 백엔드 건강 관리 서비스 사이의 보안 통신을 셋업하는데 사용된다. 다른 한편, HCC가 삽입되는 PSMx는 동일한 MSN 내의 WMS와 보안 통신을 가능화하는

-보안 KM을 저장한다. 따라서, 이 구성은 환자가 하나의 MSN으로부터 다른 MSN으로 이동하더라도, 사용자의 BSN을 포함하는 WMS와 중앙 편재형 건강 관리 서비스 사이의 종단간 보안 링크의 생성을 허용한다. 추가로, PSMx는 HCC를 교환함으로써 새로운 환자를 수용하도록 스위칭될 수 있다(도 6, 도 7 및 도 11 참조). PSMx의 실시예는 HCC를 위한 추가의 스마트 카드 슬롯을 갖는 휴대폰으로부터 병원 내에서 환자에 의해 휴대된 팔찌의 범위일 수도 있다.

추가로, PSMx는 또한 환자를 위한 접근 제어 정책(도 10 참조)을 동적으로 관리할 수 있다. 이들 접근 제어 정책은 전술된 바와 같은

-보안 접근 제어 기술과 조합될 수도 있다. 이와 관련하여, PSMx는 백엔드 건강 관리 서비스에 의해 제어된 글로벌 AC 정책으로 현재의 MSN 내의 로컬 AC 정책을 취급할 수 있다. 상황 인식 기술이 접근 제어 정책을 향상하는데, 예를 들어 응급 상황이 검출될 때 임의의 임상의에 환자의 BSN으로의 접근을 가능하게 하는데 사용될 수 있다.

마지막으로, 본 출원인의 보안 시스템의 중요한 특징은 PSMx가 사용자의 공인 인증 센터인 경우에 BSN이 자율 보안 도메인(SD)을 형성한다는 것이다. 따라서, BSN 내에서 수행된 모든 동작은 MSN 공인 인증 센터로의 접속성이 손실되더라도 사용자의 HCC 상에 기록될 수 있다. 이는 사용자의 HCC가 사용자의 BSN으로의 접근을 갖도록 시도하거나 접근을 가졌던 모든 디바이스 및 사용자의 기록을 유지할 수 있기 때문에, 의료 동작의 감사를 보장한다. 더욱이, 스마트 카드의 기술적인 특성은 이 정보로의 인증되지 않은 접근을 방지한다.

시스템 평가

MSN용 보안 아키텍처의 평가는 3개의 직교점의 관점으로부터, 즉 전문적인 의료 설정, 시스템 성능 및 보안 분석의 실용적인 가능성으로부터 수행될 수 있다.

실용적 가능성: 구성 및 전개

MSN용 보안 시스템은 비용을 최소화하기 위해 구성되고 전개되기에 간단해야 한다. 추가로, 의료 직원 및 기술적 배경이 없는 사용자가 이들에 제공된 기구를 직관적으로 취급할 수 있어야 한다.

양 특성을 나타내기 위해, 우리는 이제 나이가 많은 사용자 로버트가 전문 의료 절차를 위해 병원에 갈 때 시스템 구성에 우리의 주의를 집중할 것이다(도 6 참조). 로버트가 병원의 수납 데스크에 도착할 때, 로버트는 그의 신분 및 지불을 위해 그의 HCC를 사용한다. 그 후에, HCC는 PSMx를 생성하기 위해 PSM 내에 삽입되고, 상호 인증 핸드셰이크가 수행된다. PSMx는 WMS와의 보안 통신을 가능화하기 위한 대응

-보안 KM, 뿐만 아니라 이 환자에 대한 로컬 접근 제어 정책을 갖고 구성된다. 이 로컬 정책은 환자의 HCC 및 환자의 백엔드 건강 관리 기록에 저장된다.

수납 후에, 환자는 그의 활력 징후를 모니터링하기 위해 진단시에 WMS의 세트를 수신한다. 각각의 WMS는 인체 결합 통신(BCC)을 경유하여 키 동의, 인증 및 인증 핸드셰이크를 수행함으로써 환자의 PSMx와 통신한다. 이 단계를 성공적으로 완료한 각각의 WMS는 환자의 BSN의 멤버가 되고, BSN 네트워크 키 및 환자의 식별자를 수신한다. 각각의 모든 WMS의 식별자는 환자를 모니터링하거나 치료하는데 사용된 임상의의 PDA의 디지털 식별자를 포함하는 환자의 HCC 상에 저장된다. 병원의 MSN(MSN_HOSP)은 복수의 BSN(BSN_xHosp)을 포함할 수 있다.

시스템은 예를 들어 의사가 환자의 활력 징후를 모니터링하기를 원할 때 의사가 간단히 환자에 접촉하여 PSMx와 PDA 사이에 BCC 채널을 설정하게 하는 것과 같이 보안 방식으로 BSN을 자동으로 시작하는 것을 허용한다. 임상의의 PDA는 접근 제어 정책에 따른 키 동의, 인증 및 승인을 통해 보안 방식으로 로버트의 BSN에 자동으로 결합하고, 환자의 익명 및 K_BSN을 수신한다. 환자의 BSN의 WMS의 나머지는 PSMx로부터 PDA의 어드레스를 수신하여 이들이 보안 방식으로 환자의 활력 징후를 PDA에 전송하는 것을 시작하게 할 수 있다.

시스템은 또한 접근 제어 규칙의 동적 적응을 허용하는 동적 상황 인식 프라이버시 및 접근 제어 정책을 구현할 수 있다. 예를 들어, 환자가 심장 마비를 겪게 되면, WMS는 PSMx에 경보를 송신할 수 있어, PSMx가 임의의 임상의가 환자를 돌보도록 인증할 수 있다. MSN 내의 모든 WMS가 메인 MSN SD로부터 상관된 KM을 공유하기 때문에 m

KE는 여전히 이들 상황에서 보안 통신을 보장하고, 따라서 MSN 내의 임의의 쌍의 WMS가 공통 페어와이즈 키에서 동의할 수 있다.

시스템 성능

개시된 보안 시스템의 성능은 이들이 시스템의 병목을 표현하기 때문에, 자원 제약형 디바이스, 즉 WMS, PSM 및 HCC 상에서 분석된다. WMS 플랫폼은 전술된 바와 같이 MICAz의 특징을 포함할 수 있다. 총 2 Kbytes가

-보안 KM을 위해 보존되고 64 비트의 키가 사용되는 것으로 가정되었다. 마지막으로, 우리는 HCC의 암호화 능력 및 성능이 예를 들어 NEC의 uPD789828과 유사하다고 가정하였다. 표 1(도 13)은 MICAz 및 uPD789828 상의 몇몇 보안 프리미티브의 성능을 비교한다.

이제, 우리는 블룬도 다항식에 기초하여 무선 센서 네트워크를 위한 복수의 키 설정 프로토콜의 성능에 따라 m

KE의 효율을 개략 설명할 수 있다. 차수

및 64 비트의 키의 다항식의 값을 구하는 것은 8 MHz에서 0.0625-

msec를 소요하는 500-

CPU 사이클을 필요로 한다. 키 분배 접근법은 전술된 바와 같이 최대 2 Kbytes의 최대 크기, 즉 상이한 다항식들 사이에 분배된 총 256개의 계수를 갖는 복수의 다항식의 값을 구하는 것을 필요로 한다. 따라서,

로서 256을 사용할 때, 다항식 값을 구하는 시간은 16 msec로 근사될 수 있다. MSN, 마스터키의 서브-SD의 각각에 대한 식별자의 연산, 세션 키의 생성 또는 인증 핸드셰이크는 해시 함수의 사용을 필요로 한다. 그러나, 해시 함수는 MICAz에 이용 가능한 AES 하드웨어 구현을 사용하여 효율적으로 구현될 수 있다. 예를 들어, 지그비에 또한 사용되는 마트야스-마이어-오세아스(Matyas-Meyer-Oseas) 해시 함수를 적용하면, 16 bytes의 해시 연산은 12 μsec 미만을 소요한다. 따라서, 특정 예에서 총 연산 시간은 16 msec로 근사될 수 있다. 이 값은 이 접근법이 공개키 해결책보다 훨씬 빠르다는 것을 지시한다. 더욱이, 이는 2개의 추가의 장점을 갖는데, 먼저 한 쌍의 WMS는 단지 인증될 이들의 MSN 식별자(2 bytes) 및 서브-SD 식별자를 교환하기만 하면 된다. 이는 기다란 공개키의 교환과 비교하여 통신 비용을 감소시키고, 이는 WMS의 배터리 수명을 연장시키는 것을 돕는다. 둘째로, 이 접근법은 기다란 접근 제어 리스트를 저장하지 않고 또는 고가의 공개키를 필요로 하는 디지털 서명의 사용을 필요로 하지 않고 접근 제어 정책의 구현을 가능화한다. 따라서, BSN이 대략 10 WMS를 포함한다고 가정하면, 개시된 시스템은 단일 공개키 연산보다 훨씬 더 빠른[비교를 위해 표 1(도 13) 참조] 키 동의 및 고유의 접근 제어를 포함하는 대략 160 msec의 시간에 보안 BSN 연계를 가능화하고, ECG 전송 및 BSN 셋업을 위한 지연 시간 요건에 부합한다.

빈번한 작업에 대해 경량의 암호화 프리미티브를 사용하여, 개시된 시스템은 연산 집약적인 작업으로부터 WMS를 자유롭게 하고 PSMx를 구성하기 위한 HCC, PSM과 중앙 건강 관리 공인 인증 센터 사이의 단지 이들 보안 핸드셰이크로 공개키 암호화의 사용을 감소시킨다. 이들 핸드셰이크는 초기 PSMx 구성 중에 보안 환경에서만 산발적으로 발생한다. 따라서, 시스템은 DoS 공격을 쉽게 받지 않는다.

보안 분석

다차원

-보안 키 설정(m

KE)은 분산형 키 분배 접근법을 사용함으로써 신속한 키 동의를 가능화한다. 그러나,

-보안 키 분배 시스템은

독립적인 키 재료 세트의 조합이 공격자가 시스템의 보안을 파괴하게 하는, 즉 원래 KM^root를 복원하게 하는 결점을 겪게 된다. 이 섹션에서, 우리는 어떠한 방식으로 개시된 다차원

-보안 키 분배 접근법이 분배된 접근 제어를 가능화할 뿐만 아니라 시스템의 탄력성을 최적화하여, 높은 보안 레벨을 성취하는 것을 가능하게 하는지를 분석한다. 이하에서, 용어 탄력성(α)은

-보안 키 분배 시스템에 기초하여 SD(보안 도메인) 내에 k개의 노드를 포착한 후에 손상되어 있는 통신의 부분을 표현한다. 0≤α≤1, k==

일 때 단일 다항식이 SD에 사용되면 α=1이 관찰된다. 우리는 SD_ij 내의 WMS의 총 수(n_ji)와 α=1, 즉

가 되게 하는 손상된 노드의 수 사이의 비를 상대 탄력성(α_r)이라 명명한다. 1보다 큰 α_r을 갖는

-보안 시스템은 완벽하게 보안되고 동일한 탄력성을 갖는 2개의

-보안 SD가 제공되면 1에 근접한 α_r을 갖는 것은 침입자가 WMS의 더 작은 풀로부터 동일한 양의 노드를 포착해야 하기 때문에 더 보안성이 있는 것으로 고려될 수 있다. 따라서, 탄력성은 노드 손상에 대한 시스템의 저항 및 보호의 척도이다.

m

KE를 크랙하기 위해, 공격자는 각각의 (서브-)SD를 손상시켜야 한다. 마찬가지로, WMS와의 통신의 보안을 파괴하기 위해, 공격자는 WMS가

-보안 KM을 갖는

-보안 SD의 전체를 파괴해야 한다. 따라서, 도 8에 도시된 KM에서, 공격자는 통신을 손상하기 위해 총 5개의 SD를 크랙해야 한다. 단일의

-보안 SD, 예를 들어 MSN SD는 모든 디바이스가 그로부터 KM의 세트를 휴대하고 공격자가 이들의 작은 부분을 비교적 작은 노력으로 획득할 수 있기 때문에 비교적 파괴가 용이하다는 사실에도 불구하고, 서브-SD의 나머지를 크랙하는 것은 훨씬 더 어렵다. 이는 이들 SD의 상대 탄력성이 높고 단지 MSN 내의 몇몇 노드만이 상관된 KM을 소유하기 때문이다. 따라서, 공격자가 동일한 (서브-)SD 내의 복수의 WMS를 제거하려고 시도하면, 이는 용이하게 검출될 수 있다. 추가로, 공격자가 모든 통신을 파괴하기 위해 얻어야 하는

-보안 정보의 양은 다중

-보안 SD가 사용됨에 따라 증가하고, 이들 중 하나가 손상되더라도 나머지는 보안 유지된다.

일반적으로, 복수의

-보안 SD(SD_ji)으로부터 발생된 복수의 부분키의 해시(K_ji)로서 마스터키(K)가 계산되는 경우에 m

KE의 탄력성 및 상대 탄력성은 각각 식 (2) 및 (3)에 의해 제공된다.

식 (2)

식 (3)

예 - 우리는 총 1,000 WMS(~100개의 환자의 BSN), 각각 5층으로 분할되어 있는 2개의 건물 및 총 10개의 작동 구역 및 8개의 상이한 의료 전문 분야를 포함하는 병원 MSN을 가정한다. 우리는 또한

-보안 KM을 할당하기 위해 2 Kbyte의 메모리의 사용을 가정한다. 각각의 서브-SD가 표 2(도 14)에 설명된 바와 같이 메모리의 양이 할당되고 서브-SD로의 WMS의 균일한 분배를 가정하여, 우리는 각각의 서브-SD에 대해 탄력성 및 상대 탄력성을 계산할 수 있다. 이들 값으로부터, 우리는 이 특정 시스템을 크랙하기 위해 공격자가 385개의 노드, 즉 WSN의 풀의 38.5%를 손상시켜야 하는 것을 결론지을 수 있다.

본 발명이 도면 및 상기 설명에 상세히 도시되고 설명되었지만, 이러한 도시 및 설명은 한정적인 것이 아니라 예시적이거나 설명적인 것으로 고려되어야 하고, 본 발명은 개시된 실시예에 한정되는 것은 아니다. 개시된 실시예의 다른 변형이 도면, 명세서 및 첨부된 청구범위의 연구로부터 청구된 발명을 실시할 때 당 기술 분야의 숙련자들에 의해 이해되고 실행될 수 있다.

청구범위에서, 용어 "포함하는"은 다른 요소들 또는 단계들을 배제하는 것은 아니고, 단수 형태의 표현은 복수 형태를 배제하는 것은 아니다. 단일의 요소 또는 다른 유닛이 청구범위에 인용된 복수의 항목들의 기능을 충족시킬 수 있다. 단지 특정 수단이 서로 상이한 종속 청구항에 인용되어 있다는 사실은 이들 수단의 조합이 장점을 갖고 사용될 수 없다는 것을 지시하는 것은 아니다.

청구범위에서 임의의 도면 부호는 범주를 한정하는 것으로서 해석되어서는 안된다.

Claims (14)

1. 보안 종단간 환자 건강 관리 시스템으로서,
   - 환자의 신체에 부착되어 서로 통신하여 하나 이상의 인체 센서 네트워크를 포함하는 무선 의료 센서 네트워크 내에 인체 센서 네트워크를 형성하도록 구성된 하나 이상의 무선 의료 센서(들);
   - 상기 무선 의료 센서들 사이의 보안 통신을 가능화하기 위해 각각의 상기 무선 의료 센서들 내에 통합되는

   

   -보안 키 수단; 및
   - 상기 인체 센서 네트워크 내의 상기 하나 이상의 무선 의료 센서(들)와 통신하는 상기 인체 센서 네트워크 내의 개인 보안 관리자로서, 상기 개인 보안 관리자는 백엔드 서비스들과의 보안 통신을 제공하고 또한 상기

   

   -보안 키 수단에 의해 상기 인체 센서 네트워크 내에 보안 관계를 제공하는, 상기 개인 보안 관리자를 포함하고,
   상기

   

   -보안 키 수단은 단지

   

   절충된 무선 의료 센서들의 연합만이 임의의 2개의 절충되지 않은 무선 의료 센서들 사이의 페어와이즈 키(pairwise key)를 은폐하고,

   

   +1 무선 의료 센서들이 절충될 때까지 노드 절충에 대한 보호를 제공하도록 이루어지는 보안 종단간 환자 건강 관리 시스템.
2. 제 1 항에 있어서, 상기 무선 의료 센서들 및 상기 개인 보안 관리자는 인체 결합 통신에 의해 통신하도록 구성되는 보안 종단간 환자 건강 관리 시스템.
3. 제 1 항에 있어서, 상기 개인 보안 관리자 내에 플러깅되는 건강 관리 카드를 추가로 포함하고, 상기 건강 관리 카드는 백엔드 건강 관리 서비스들과 보안 통신을 위한 식별 정보 및 보안 정보를 포함하고, 상기 개인 보안 관리자는 로컬 공인 인증 센터에 의해 발행된 인증서를 포함하고, 상기 시스템은 감사 및/또는 접근 제어 및/또는 프라이버시 보호, 및/또는 상기 건강 관리 카드와 상기 개인 보안 관리자의 상호 인증을 위한 보안 프로토콜을 실행하도록 구성되는 보안 종단간 환자 건강 관리 시스템.
4. 제 2 항 또는 제 3 항에 있어서,
   상기 인체 센서 네트워크로부터의 정보는 상기 환자의 신분에 링크되고,
   상기 환자 건강 관리 카드(HCC) 및 상기 개인 보안 관리자(PSM)는 편재형(pervasive) 건강 관리 시스템에 복수의 무선 의료 센서 네트워크 보안 도메인들을 접속하기 위한 확장형 개인 보안 관리자(PSMx)를 형성하고, 상기 확장형 개인 보안 관리자는,
   - 상기 로컬 공인 인증 센터에 의해 발행된 상기 인증서를 저장하고,
   - 중앙 건강 관리 서비스들에 의해 발행된 종단간 보안 통신을 설정하기 위해 상기

   

   -보안 키 수단을 저장하고,
   - 상기 확장형 개인 보안 관리자와 상기 건강 관리 카드의 상호 인증, 종단간 보안 및/또는 감사, 및/또는 상황 접근 제어 및 프라이버시 정책들의 관리를 가능화하기 위해 상기 보안 프로토콜을 구현하도록 구성되는 보안 종단간 환자 건강 관리 시스템.
5. 제 4 항에 있어서, 상기 확장형 개인 보안 관리자는 환자가 의료 센서 네트워크와 결합될 때 환자와 환자의 건강 관리 카드의 개인 보안 관리자를 인증하도록 구성되는 보안 종단간 환자 건강 관리 시스템.
6. 제 4 항에 있어서, 상기 개인 보안 관리자는 상기 건강 관리 카드를 수용하도록 구성된 스마트 카드 판독기를 포함하고, 상기 건강 관리 카드는 개인 식별 정보 및/또는 의료 정보 및/또는 보안 재료 및/또는 보안 정책들을 포함하는 보안 종단간 환자 건강 관리 시스템.
7. 제 6 항에 있어서, 상기 개인 보안 관리자는 다른 의료 센서 네트워크들에 대한 사용자의 성명, 식별자, 보안 재료, 의료 기록 또는 접근 제어 정책들을 포함하는 보안 종단간 환자 건강 관리 시스템.
8. 제 6 항에 있어서, 상기 확장형 개인 보안 관리자는 글로벌 사용자, 환자 영역 네트워크 및 개별 전자 건강 관리 정보(EHI)를 포함하고, 상기 전자 건강 관리 정보(EHI)는 상기 환자 영역 네트워크로부터 도래하는 보안 종단간 환자 건강 관리 시스템.
9. 제 4 항에 있어서, 건강 관리 케어 상에 저장된 보안 정보는 사용자를 식별 및 인증하고 또한 환자의 인체 센서 네트워크와 중앙 또는 백엔드 건강 관리 서비스들 사이의 브리지로서 작용하기 위해 제공되는 보안 종단간 환자 건강 관리 시스템.
10. 제 4 항에 있어서, 상기 확장형 개인 보안 관리자는 상기 건강 관리 카드를 위한 추가의 스마트 카드 슬롯을 갖는 휴대폰인 보안 종단간 환자 건강 관리 시스템.
11. 제 4 항에 있어서, 인체 센서 네트워크와 연계된 상기 무선 의료 센서에 의해 형성된 자율 보안 도메인을 추가로 포함하고, 상기 확장형 개인 보안 관리자는 상기 인체 센서 네트워크의 공인 인증 센터이고 또한 상기 인체 센서 네트워크의 멤버들의 보안 연계 또는 폐기를 제어하도록 구성되는 보안 종단간 환자 건강 관리 시스템.
12. 제 11 항에 있어서, 상기 확장형 개인 보안 관리자 및 상기 무선 의료 센서들은 상기 의료 센서 네트워크 공인 인증 센터로의 접속성이 손실되더라도 상기 환자의 건강 관리 카드 상의 상기 인체 센서 네트워크 내에서 수행된 동작들 및 교환 정보를 보안 저장하도록 구성되는 보안 종단간 환자 건강 관리 시스템.
13. 제 1 항에 따른 종단간 환자 건강 관리 시스템에서의 보안 종단간 환자 건강 관리 통신을 위한 방법으로서,
    - 개인 보안 관리자 상의 로컬 의료 센서 네트워크 공인 인증 센터에 의해 발행된 인증서를 저장하는 단계;
    - 무선 의료 센서들과 중앙 건강 관리 서비스들 사이에 종단간 보안 통신을 설정하기 위해 상기 개인 보안 관리자 상에 보안 수단을 저장하는 단계; 및
    - 상기 개인 보안 관리자와 건강 관리 카드의 상호 인증, 종단간 보안, 감사, 및/또는 상황 접근 제어 및 프라이버시 정책의 관리를 가능화하기 위해 보안 프로토콜을 구현하는 단계를 포함하는 방법.
14. 보안 종단간 환자 건강 관리 시스템용 개인 보안 관리자로서,
    상기 개인 보안 관리자는 인체 센서 네트워크 내에 있고 상기 인체 센서 네트워크 내의 하나 이상의 무선 의료 센서(들)와 통신하고, 상기 개인 보안 관리자는 백엔드 서비스들과의 보안 통신을 제공하고 또한

    

    -보안 키 수단에 의해 상기 인체 센서 네트워크 내에 보안 관계를 제공하고,
    상기 하나 이상의 무선 의료 센서(들)는 환자의 신체에 부착되어 서로 통신하여 하나 이상의 인체 센서 네트워크(들)를 포함하는 무선 의료 센서 네트워크 내에 상기 인체 센서 네트워크를 형성하도록 구성되고,
    상기

    

    -보안 키 수단은 상기 무선 의료 센서들 사이의 보안 통신을 가능화하기 위해 각각의 상기 무선 의료 센서들 내에 통합되고,
    상기

    

    -보안 키 수단은 단지

    

    절충된 무선 의료 센서들의 연합만이 임의의 2개의 절충되지 않은 무선 의료 센서들 사이의 페어와이즈 키를 은폐하고, 또한

    

    +1 무선 의료 센서들이 절충될 때까지 노드 절충에 대한 보호를 제공하도록 이루어지는 개인 보안 관리자.

Images