電子發燒友App
?
2007年,美國前副總統迪克?切尼命令醫生關閉所有與他的聯網起搏器相連的無線信號。切尼后來說,這一決定是為了防止恐怖分子入侵他的心臟起搏器,給他的心臟致命電擊。切尼給醫生下達的命令也許有點過于謹慎了,但無線連接的醫療設備確實曾有被利用的漏洞。?例如,在2011年和2012年的一系列會議上,新西蘭黑客巴納比?杰克(Barnaby Jack)向人們演示了聯網醫療設備可能會受到遠程攻擊。杰克用高增益天線捕捉到90米外人體模型上的胰島素泵傳輸的未加密電磁信號。然后他利用這些信號侵入胰島素泵,調整泵輸送的胰島素水平。他還入侵了一個心臟起搏器,讓它產生致命的電擊。
在這些演示完成的8年之后,聯網醫療設備依然易受攻擊。例如,2020年6月,美國國土安全部召回了一種聯網胰島素泵。這種胰島素泵在傳輸敏感信息時沒有加密,附近任何想監聽的人都可以訪問這些數據。
醫療設備只是冰山一角,人體內或身上佩戴的無線設備還有很多,包括無線耳塞、智能手表和虛擬現實頭盔等。還有正在開發中的技術也將面臨風險,例如可顯示信息的智能隱形眼鏡、吞咽后可傳輸傳感器數據的數字藥片等。
所有這些設備都需要以較低功耗在短距離內安全地傳輸數據。這就是為什么研究人員把它們看成是人體規模的無線網絡——人體局域網——獨立組件,由物聯網(IoT)引申而來的新概念——“身聯網”(IoB)也應運而生。
目前,身聯網設備使用成熟的無線技術進行通信,主要是藍牙。雖然這些技術功耗低、好理解、易實現,但它們不是為身聯網設計的。藍牙的一個典型功能是使相隔幾米遠的兩臺設備能夠容易地找到對方并相互連接。正是這個功能使假定攻擊者能夠窺探或攻擊人體佩戴的設備。無線技術也可以不以人體為媒介,直接在空氣或真空中傳播,但效率會低于轉為此設計的通信方法。 通過我們在普渡大學的研究,我們開發了一種新的通信方法,它將使醫療設備、可穿戴設備以及身體內或周邊的其他設備比使用低功率無線信號進行通信的設備更安全。這個系統利用人體可傳導微小無害電信號的固有能力,將整個身體變成了有線通信信道。通過將身體變成網絡,我們將使身聯網設備更加安全。
?
醫療信息等敏感的個人數據在傳輸時都應該進行加密,無論是通過無線方式、電子郵件還是其他渠道。但防止攻擊者在本地侵入醫療設備,還有另外3個充足的理由。
首先,醫療數據應該是受控的。你不想設備廣播的信息讓別人竊聽到。其次,人們不希望設備的完整性受到損害。例如,如果你有一臺連接到胰島素泵的葡萄糖監測儀,那么你肯定不希望因為監測儀的數據被損壞而導致胰島素泵釋放更多的葡萄糖。血液中葡萄糖不足會導致頭痛、虛弱和頭暈,而過量則會導致視力和神經問題,以及腎病和中風。上述任何一種情況都可能導致死亡。再次,設備上的信息需要一直保持處于可用狀態。如果攻擊者攔截了胰島素泵或起搏器的信號,設備就無法對身體突然出現的問題做出反應。
所以,如果安全和隱私如此重要,為什么不使用有線方式呢?線纜可以在兩臺設備之間創建一個專用通道,只有切割搭接線纜才能竊聽到有線信號。如果要搭接的線纜在你身上或體內,那么竊聽就更難了。
撇開安全和隱私方面的優勢不談,還有一些重要原因使我們不想要線纜進入身體。如果電線絕緣不當,人體自身的生化過程會腐蝕電線中的金屬,導致重金屬中毒。此外還有便利性的問題。想象一下,如果修理或更換有線的起搏器,重新將線纜穿進身體將是一項非常棘手的任務。 相比在容易被竊聽者窺探的無線信號和給身體帶來風險的有線信號之間做出選擇,何不將兩者優點結合起來做第三種選擇呢?這就是我們的靈感,將人體作為人體局域網中的設備通信媒介。 我們把直接通過人體發送信號的方法稱為“電準靜態人體通信”。
這個名字有點拗口,所以我們就把它理解為身體信道吧。其要點是,可以利用人體自身的導電特性,避免有線和無線信道的缺陷。 金屬線是電荷的極好導體。通過將1和0編碼為不同的電壓來傳輸數據是件很簡單的事情。只需要將1定義為某個電壓,讓電流流過導線,而將0定義為零電壓,意味著沒有電流流過導線即可。通過測量電線另一端的電壓隨時間的變化,就能得到原來的1和0序列。但是,人們不希望金屬線盤繞或穿過身體,那么我們還能怎么做呢?
按體重算,一個成年人身體中平均約60%都是水。純水不是一種導電體,但充滿了電解質和鹽等導電粒子的水卻具有更好的導電性。我們的身體充滿了一種水溶液,叫做間質液,它位于我們的皮膚下面和身體細胞周圍。間質液負責將血液中的營養物質輸送到人體細胞中,并充滿蛋白質、鹽、糖、激素、神經遞質和其他各種分子,幫助維持身體健康運轉。因為間質液遍布身體各處,所以我們可以在身體的幾乎任何地方為兩臺或更多臺通信設備建立一個回路。 假設有一個糖尿病人在腹部綁著胰島素泵和監測儀來控制血糖,并希望智能手表能夠顯示當前的血糖水平和胰島素泵的運行狀態。傳統上,這些設備必須通過無線連接,這樣在理論上,任何人都可以獲取和復制用戶的個人數據。更糟糕的是,可能會對泵攻擊。今天,許多醫療設備仍然沒有加密,即使設備加密,加密也不能保證安全。 人體信道的工作方式則是這樣的:泵、監測器和智能手表的背面都會帶有一個小銅電極,直接與皮膚接觸。每臺設備還有另一個不與皮膚接觸的電極,作為浮動接地,這是本地電接地,不與大地直接相連。
當監測儀測量血糖時,它需要將數據發送給胰島素泵(必要時調整胰島素水平)以及智能手表(以便個人能夠看到血糖水平)。智能手表還可以存儲數據,用于長時間的監測,或者對數據進行加密并發送到用戶或醫生的計算機,進行遠程存儲和分析。 監測儀將要傳送的血糖測量值數據編碼成一系列電壓值。然后,它在兩個銅電極(一個接觸人體,另一個浮動接地)之間施加電壓來傳輸這些數值。 施加的電壓稍微改變了整個人體相對于大地的電位。人體和大地之間電位的微小變化只是監測儀兩個電極之間電位差的一小部分,在穿過人體后,它還會變得更小,但足以被其他地方的設備接收到。腰部的胰島素泵和手腕上的智能手表都在身體上,它們可以通過身體上和浮動接地的兩個電極來檢測這種電位的變化。然后,胰島素泵和智能手表將這些電位測量值轉換回數據。在此過程中,實際的信號都沒有在皮膚之外傳播。
?
實現這種人體通信方法的最大挑戰之一是為電信號選擇最佳波長。我們在這里考慮的電波長比無線通信的射頻波長要長得多。 選擇頻率是一項挑戰,因為在一定的頻率范圍內,人體本身可以成為天線。當交變電流使天線材料中的電子振蕩并產生電磁波時,普通無線電天線會產生信號。發射波的頻率取決于饋入天線的交變電流的頻率。同樣,以一定頻率的交變電流作用到人體,人體也會發射信號。這個信號雖然很弱,但仍然足以在一段距離內被合適的設備接收到。如果人體充當天線,它還能從外面接收到不需要的信號,這些信號可能會干擾可穿戴或植入設備之間的通話能力。 出于同樣的原因,我們不想使用藍牙這樣的技術,我們想把電信號限制在身體內,而不是意外地從身體發射出去或被接收到。所以我們必須避開會使人體變成天線的頻率——這個范圍是10到100兆赫。這個頻率以上是無線頻段,我們已經提到了其中的問題。最終的結果是,我們需要使用的頻率范圍是0.1到10兆赫,在這個范圍內,信號將被限制在人體內。
早期試圖利用人體進行通信的嘗試通常都會避開這些低頻,因為低頻在人體內的損耗通常很高。換言之,需要更大的功率來保證這些低頻信號能夠到達目的地。也就是說,如果沒有明顯的功率提升,腹部的血糖監測儀發出的信號在傳輸到手腕上的智能手表時,可能就無法讀出了。先前的這些嘗試損耗高,是因為他們專注于直接發送電信號,而不是電位變化的信息編碼。我們發現,設備和人體之間的寄生電容是創建工作信道的關鍵。 電容是指物體儲存電荷的能力。
寄生電容是指兩個物體之間無意產生的電容,例如,電路板上兩個相近的帶電區域,以及人手和手機之間都會產生寄生電容。雖然寄生電容也支持某些應用,如觸摸屏,但大多樹情況下它并不受歡迎。 聰明的讀者可能已經注意到,電路的一個重要方面,我們還沒有提到過:只有閉環電路才能實現電子通信。到目前為止,我們的討論僅限于前向路徑,即從發射電極到接收電極的電路部分。但我們還需要一條后向路徑。多虧了設備的浮動接地電極和大地之間的寄生電容,我們有這條路徑。 下面將描述我們正在使用的電路。首先假設有兩個回路。第一個回路從發射設備開始,起點在接觸皮膚的電極處。
接下來,電路穿過身體,直通腳部到達實際地面,然后通過空氣返回到發射設備上的另一個(浮動)電極。我們應該注意到,這不是一個直流電可以通過的回路。但由于寄生電容存在于任意兩個物體之間,比如腳和鞋、鞋和地面之間,所以小的交變電流是存在的。 第二個回路的實現方式類似,從接收設備開始,起點在接觸皮膚的電極處。然后它穿過身體,兩個回路共用這一段路徑,到達地面,再通過空氣回到接收設備的浮動接地電極上。 這里的關鍵是理解電路回路的重要性,不過不是因為我們必須推動電流通過回路,而是因為我們需要一個閉合的電容路徑。在電路中,如果一個電容器上的電壓發生變化,例如發送設備的兩個電極,它就會在回路中產生輕微的交變電流。人體和空氣等其他電容器,會“看到”電流,由于它們具有阻抗(即對電流的電阻),因此電壓也會發生變化。
帶有發射設備的電路回路和帶有接收設備的回路共用人體,作為各自回路的一段。由于它們共用這一段,所以接收設備也會對人體電壓的微小變化做出反應。組成接收設備電容器的兩個電極檢測到人體的電壓變化,并將測量結果解碼為有意義的信息。 我們需要身聯網設備有高容量的電容。如果能做到,發射設備產生的較高電壓將在人體內產生很低的電流。顯然,從安全角度來看,這是有意義的:畢竟,我們不想讓高電流通過人體。此外,它也會使通信信道的損耗降低。這是因為高阻抗電容對電流的微小變化特別敏感。關鍵是,我們可以在保持低電流(和安全)的同時,仍然在接收設備上得到清晰的電壓測量結果。我們發現,與先前依賴電流直接通過身體發送電信號,嘗試在人體內建立一個無線信道的嘗試相比,我們的技術可以使損耗降低兩個數量級。
?
我們將人體轉換成通信信道的方法,將信號被截獲的距離縮短到了小于15厘米,而對藍牙和類似信號來說,這個距離是5到10米。換句話說,我們將攻擊者攔截和干擾信號的距離減少了兩個數量級。使用我們的方法后,攻擊者只能在距目標近到無法藏身的距離時才能截獲信號。
我們的方法不僅為使用醫療植入物或設備的人提供了更多的隱私和安全保護,而且還有一個額外的好處:更加節能。因為我們已經開發了一種低頻低損耗的系統,所以可以以更低的功率在設備之間發送信息。采用我們的方法,傳輸每比特所需的熱量還不到10微微焦耳,這大約是藍牙所需能量的0.01%。使用256比特加密技術,每秒傳輸1千比特的數據,功率僅為415納瓦,比藍牙(功率為1到10毫瓦)低3個數量級還多。
心臟起搏器和胰島素泵等醫療設備已經存在了幾十年,藍牙耳塞和智能手表可能更新一些,但無論是拯救生命的醫療設備還是消費類科技都不會很快離開我們的身體。只有盡可能使這兩類設備安全才有意義。數據從一個點移動到另一個點時,最容易受到惡意攻擊。我們的身聯網通信技術可以閉合這個回路,阻止個人數據離開身體。
作者:Shreyas Sen、Shovan Maity、Debayan Das
編輯:黃飛
?
工商網監
評論