بخشی از مقاله
امنیت در شبکه های حسگر بیسیم سطح بدن
چکیده : شبکه حسگر بیسیم سطح بدن یک تکنولوژی کلیدی است که به منظور نظارت بر سلامت بیمار و تشخیص بسیاری از بیماری های تهدید آمیز به صورت بی درنگ ارائه شده است. اخیرا امنیت BAN و مصرف انرژی آن یک موضوع تحقیق جالب برای نظارت بر بدن انسان بوده است که پزشکان را قادر به پیش بینی ، تشخیص و واکنش موثر و به موقع به وضعیت ها و شرایط مختلف می کند. تحقیقات فعلی شبکه های حسگر سطح بدن بر روی ارتباطات قابل اطمینان بیمار، تحرک و جابه جایی بیمار و مسیریابی با انرژی کارا متمرکز است. با این حال به کارگیری فن آوری های جدید در کاربردهای بهداشت و درمان بدون توجه به امنیت ، حریم خصوصی بیمار را در معرض خطر قرار می دهد. علاوه بر این داده های فیزیولوژیکی یک فرد بسیار حساس است. بنابراین امنیت یک نیاز عمده در برنامه های مراقبت بهداشتی است.
کلیدواژه: WBAN شبکه های بی سیم سطح بدن، EKG قلب نگار الکتریکی ،SG گروه امن
1- مقدمه :
شبکه های حسگر بی سیم فن آوری نو ظهوری است که به موضوع مهم در تحقیقات بدل گشته و بخش جدایی ناپذیری از زندگی ما در آینده خواهد بود . این شبکه ها در واقع تجمع تعداد زیادی از گره های حسگر می باشند که در محیظ پراکنده شده اند و هر کدام به طور مختار و با همکاری سایر گره ها هدف خاصی را دنبال می کنند .هدف اصلی در این شبکه ها جمع آوری اطلاعاتی در مورد محیط پیرامون و انتقال آن به یک ایستگاه پایه یا سرور راه دور است. پس از آن داده ها به منظور تجزیه تحلیل دقیق پردازش می شوند. یک حسگر بی سیم کوچکترین واحد یک شبکه است که دارای ویژگی های منحصر به فردی مانند پشتیبانی از استقرار در مقیاس بزرگ ، تحرک پذیری و قابلیت اطمینان است. دامنه کاربردهای وسیع شبکه های حسگر بی سیم موضوعات مهمی از جمله نظارت و کنترل فرایندهای صنعتی ، نظارت بر سلامت دستگاه ها ، نظارت بر محیط زیست ، کنترل ترافیک ، خانه های هوشمند ، کاربردهای نظامی و امنیت ، کاربردهای کشاورزی و غیره را در بر می گیرد. یکی از کاربردهای این گونه شبکه ها مراقبت های بهداشتی و پزشکی است. این امر شامل سنسورهای ارتباطی قابل پوشش است که در شکل ۱ نشان داده شد است . سنسورهایی که به طور وسیع به بدن انسان برای نظارت بر حرکات بدن و اندازه گیری پارامترهای فیزیولوژیکی از قبیل درجه حرارت بدن وضربان قلب (1) متصل است . این سنسورها داده ها را جمع آوری کرده و آن را از طریق شبکه به ایستگاه پایه برای تحلیل و ذخیره و پردازش می فرستند . سپس داده ها به شیوه ای امن به سرور های پزشکی راه دور از طریق اینترنت و یا سایر رسانه های ارتباطی ارسال می شوند. امنیت مهم است چرا که داده ها حاوی اطلاعات حساس به دست آمده از مقادیر فیزیولوژیکی است (۲). در حقیقت ، همه اطلاعات شخصی افراد باید محافظت شود و از دسترسی غیر مجاز ایمن بماند . هدف اصلی BAN ایمنی زندگی افراد است زیرا بدن انسان را در بر میگیرد و مقادیر فیزیولوژیکی آن را برای توزیع کلید رمز نگاری در BAN استفاده می کند و ما را قادر می سازد که مسئولیت رسیدگی به وضعیت اضطراری (رویداد خاص از حمله قلبی را در زمان درست انجام دهیم(۳). در بخش بعد محدودیت های سخت افزاری گره های حسگر را بیان می کنیم ، در بخش سوم به نیازمندی ها و الزامات امنیتی مهم برای چنین برنامه های کاربردی می پردازیم و انواع حملات مطرح برای شبکه های حسگر پزشکی در بخش چهارم بررسی می شود. مکانیسم های امنیتی که باید در این شبکه ها در نظر گرفته شوند ، در بخش پنجم مطرح می شود . در بخش ششم به صورت خلاصه به بررسی تکنیک هایی می پردازیم که به منظور تامین امنیت مطلوب و صرفه جویی در مصرف انرژی (حداقل مصرف انرژی) پیاده سازی شده اند. سپس مقایسه ای بین این روش ها در بخش هفتم انجام شده و در آخر نتیجه گیری ارائه می شود.
۲. محدودیت های سخت افزاری یک گره حسگر
عواملی چون اقتصادی بودن سیستم، قابلیت مورد انتظار، تعداد انبوه گره ها و نهایتا عملی شدن ایده ها در محیط واقعی، موجب گشته هر گره یکسری محدودیت های سخت افزاری داشته باشد. این محدودیت ها در ذیل اشاره شده و در مورد هرکدام توضیحی ارائه شده است :
۱-هزینه پائین: بایستی سیستم نهایی از نظر اقتصادی مقرون به صرفه باشد. چون تعداد گره ها خیلی زیاد بوده و برآورد هزینه هر گره در تعداد زیادی بالغ بر چند هزار) ضرب می گردد، بنابراین هر چه از هزینه هر گره کاسته شود، در سطح کلی شبکه، صرفه جویی زیادی صورت خواهد گرفت و سعی می شود هزینه هر گره به کمتر از یک دلار برسد.۲ حجم کوچک: گره ها به نسبت محدوده ای که زیر نظر دارند، بخشی را به حجم خود اختصاص می دهند. لذا هر چه این نسبت کمتر باشد به همان نسبت کارایی بالاتر می رود و از طرفی در اکثر موارد برای اینکه گره ها جلب توجه نکند و یا بتوانند در برخی مکان ها قرار بگیرند نیازمند داشتن حجم بسیار کوچک می باشند.۳ توان مصرفی پائين: منبع تغذیه در گره ها محدود می باشد و در عمل، امکان تعویض یا شارژ مجدد آن مقدور نیست؛ لذا بایستی از انرژی وجود به بهترین نحو ممکن استفاده گردد.
4 - نرخ بیت پائین: به خاطر وجود سایر محدودیت ها، عملا میزان نرخ انتقال و پردازش اطلاعات در گره ها، نسبتا پایین می باشد. ۵ خودمختار بودن: هر گره ای بایستی از سایر گرهها مستقل باشد و بتواند وظایف خود را طبق تشخیص و شرایط خود، به انجام برساند. قابلیت انطباق: در طول انجام نظارت بر محیط، ممکن است شرایط در هر زمانی دچار تغییر و تحول شود. مثلا برخی از گرهها خراب گردند. لذا هر گره بایستی بتواند وضعیت خود را با شرایط بوجود آمده جدید تطبیق دهد.۷- چگالی بالا در توزیع گره ها در ناحیه عملیاتی ۸۰ وجود استعداد خرابی در گره ها 9- تغییرات توپولوژی بصورت پویا و احيانا متناوب ۱۰ استفاده از روش پخش همگانی در ارتباط بین گرهها در مقابل ارتباط نقطه به نقطه ۱۱- داده محور بودن شبکه به این معنی که گره ها کد شناسایی ندارند.
٣. نیازمندی های امنیتی :
نیازهای امنیتی برنامه های مراقبت پزشکی و بهداشتی با استفاده از شبکه های حسگر سطح بدن به شرح زیر است:
1- محرمانه بودن اطلاعات : اطلاعات سلامت بیمار باید محرمانه باشد و تنها در دسترس پزشکان مجاز و مراقبين
قرار گیرد. بنابراین لازم است اطلاعات سلامت فرد به صورت محرمانه حفظ شود به طوری که نفوذگر نتواند این اطلاعات را استراق سمع کند. استراق سمع داده ها ممکن است به بیمار آسیب برساند زیرا دشمن می تواند اطلاعات مربوط به بیمار را برای اهداف غير قانونی استفاده کرده و حریم خصوصی بیمار تقض شود. بنابراین محرمانگی داده ها یک نیاز بسیار ضروری در برنامه های مراقبت پزشکی با استفاده از WBAN می باشد. ۲ احراز هویت اطلاعات: سرویس تایید و ارائه مجوز برای برنامه های کاربردی پزشکی و غیر پزشکی ضروری است. در کاربردهای مراقبت پزشکی WBAN احراز هویت باید برای هر سنسور و ایستگاه پایه به منظور بررسی اینکه داده های ارسالی توسط یک سنسور مورد اعتماد هست یا نه استفاده شود. ۳ احراز هویت قوی کاربر : مهمترین مسئله در مراقبت های پزشکی بی سیم آسیب پذیری پیام ها توسط کاربران غیر مجاز است. بنابراین تایید هویت قوی کاربران باید در نظر گرفته شود. به موجب آن هر کاربر باید صحت خود را قبل از دسترسی به هر گونه اطلاعات فیزیولوژیک بیمار اثبات کند. 4- جامعیت و یکپارچگی داده ها : جامعیت داده ها تضمین می کند که داده ها در هنگام انتقال توسط دشمن دستکاری نشده و تغییر پیدا نکرده اند. با توجه به ماهیت پخش شبکه های حسگر بی سیم اطلاعات بیمار می تواند توسط دشمن تغییر یافته و برای رویدادهای حیاتی زندگی بیمار خطرناک باشد. به منظور بررسی یکپارچگی داده ها باید توانایی شناسایی هر گونه دستکاری داده ها وجود داشته باشد. بنابراین مکانیزم های بررسی یکپارچگی داده ها باید اطمینان حاصل کنند که داده های دریافتی توسط دشمن تغییر نیافته اند. ۵ دسترس پذیری داده ها : در دسترس بودن تضمین می کند که خدمات و اطلاعات در زمانی که به آن ها نیاز است در دسترس هستند. بنابر این دسترس پذیری گره های حسگر پزشکی اطمینان می دهد که داده های سلامت به طور مداوم برای مراقبت های پزشکی در دسترس هستند. اگر یک گره حسگر توسط دشمن اسیر شده باشد دسترس پذیری داده ها از بین رفته است. بنابراین لازم است در کاربردهای مراقبت پزشکی دسترس پذیری همیشه حفظ شود. 6- تازگی داده ها : در برنامه های مراقبت پزشکی حفظ محرمانگی و جامعیت داده ها به تنهایی کافی نیست بلکه تازگی داده ها نیز باید در نظر گرفته شود. تازگی داده ها نشان دهنده است که اطلاعات فیزیولوژیک ارسالی جدید هستند و تضمین می کند که هیچ دشمنی نمی تواند پیام های قدیمی را دوباره پخش کند.۷- مکان یابی امن : در برنامه های مراقبت پزشکی تشخیص مکان بیمار بسیار مهم است. در کاربردهای بلادرنگ فقدان ردیابی هوشمند بیمار به یک مهاجم اجازه می دهد تا مكان نادرست بیمار را با استفاده از سیگنال های کاذب ارسال کند. ۸- توزیع کلید: اگر لازم است دو طرف تبادل اطلاعات یک کلید نشست را به اشتراک بگذارند این کلید باید از افراد غیر مجاز محافظت شود. یک کلید نشست امن به ارتباطات و تدابیر حفاظتی داده ها در برابر حملات مختلف امنیتی کمک می کند. بنابراین به منظور حفظ حریم خصوصی بیمار طرح توزیع کارآمد کلید یک نیاز اساسی در کاربردهای مراقبت پزشکی است. (4) ۹- محرمانگی رو به جلو و عقب : هنگامی که حسگر های جدید مستقر شده اند و حسگر های قدیمی از کار افتاده اند، ما پیشنهاد می کنیم که محرمانه بودن بعد و قبل بهتر است در نظر گرفته شود. محرمانه بودن رو به جلو یک حسگر نباید قادر به خواندن هر پیامی بعد از ترک شبکه باشد. محرمانه بودن رو به عقب: یک حسگر ملحق شده نباید قادر به خواندن هر پیام منتشر شده قبل باشد.(5)
. تهدیدات امنیتی
در این بخش به بررسی تهدیدات امنیتی که ممکن است برای مراقبت های پزشکی مضر باشد می پردازیم
1-نظارت و استراق سمع علائم حیاتی بیمار: رایج ترین تهدید برای حریم خصوصی بیمار است و از طریق تجسس بر روی علائم حیاتی بیمار دشمن به راحتی می تواند اطلاعات بیمار را از کانال های ارتباطی کشف کند. علاوه براین اگر دشمن یک آنتن گیرنده قوی داشته باشد می تواند به راحتی پیام ها را از شبکه به دست آورد. اگر پیام تصرف شده حاوی مکان فیزیکی بیمار باشد به مهاجم اجازه می دهد که مکان بیمار را به صورت نادرست جایگزین کند و از نظر جسمی بر او آسیب بزند. به علاوه مهاجم می تواند محتویات پیام شامل شناسه پیام ، برچسب های زمانی ، آدرس مبدا و مقصد و غیره را به دست آورد. بنابر این استراق سمع یک تهدید جدی برای حریم خصوصی بیمار است. ۲- تهدید اطلاعات در هنگام انتقال: همانطور که می دانید محدوده ارتباطی شبکه های بی سیم محدود نیست و به راحتی آسیب پذیر است. در برنامه های کاربردی مراقبت پزشکی ،حسگرها اطلاعات بیمار و محیط را به دست آورده و آن را برای پزشک و سرور بیمارستان ارسال می کند. در هنگام ارسال این اطلاعات ممکن است به آن ها حمله شود. به عنوان مثال یک مهاجم می تواند اطلاعات فیزیولوژیک را به دست آورده و تغییر دهد سپس آن ها را به سمت سرور هدایت کرده و از این طریق بیمار را به خطر بیندازد . انواع مختلفی از حمله ارسال وجود دارد . رهگیری : فرض کنید یک شبکه حسگر سطح بدن توسط یک مهاجم هوشمند به خطر بیافتد. بنابراین می تواند به صورت غیرقانونی به داده های حسگر از جمله کلیدهای رمزنگاری ، شناسه سنسور و غیره دسترسی داشته باشد. تغییر پیام: مهاجم داده های پزشکی بیمار را استخراج کرده آنها را تغییر داده و کاربران درگیر مانند پزشک، پرستار و خانواده بیمار را گمراه می کند. به عنوان مثال یک سنسور اطلاعات ضربان قلب نرمال را ارسال می کند در حالی که مهاجم آن را تغییر داده و به کاربران ارسال می کند که ممکن است باعث شود دارویی بیش از اندازه مورد نیاز تجویز شده و سلامت بیمار به خطر بیفتد. علاوه بر این داده های دستکاری شده می تواند سبب تولید هشدار اشتباه شود ، و یا شرایط بیمار را در حالی که غیر طبیعی است مخفی کند. حمله تغییر پیام جامعیت داده ها را تهدید می کند.
۳- تهدیدات مسیریابی در شبکه حسگر بی سیم: یک کاربر بدخواه می تواند به لایه شبکه حمله کند. او می تواند بسته ها را سرقت کرده و یا تغییر دهد و آن ها را به مرکز کنترل راه دور به جلو هدایت کند که باعث یک هشدار اشتباه شود. مهاجم می تواند فیلد آدرس بسته تسخیر شده را قبل از ارسال به گره بعدی تغییر داده و باعث انحراف آن از مسیر درست و یا حتی ایجاد یک حلقه بی پایان مسیر یابی شود.
حملات مسیریابی به شرح زیر است:
حمله ارسال انتخابی: برخی گره های مخرب از هدایت و ارسال پیام های خاص سرباز زده و آن ها را دور می اندازند . بنابراین این بسته ها نمی تواند پخش شود. به عنوان مثال فرض کنید یک حسگر ECG بسته های او ۲ و ۳ الی ۱۰ را به هاپ بعدی ارسال می کند اما اگر یک مهاجم عمدا بعضی از بسته ها را ضبط و حذف کرده و تنها تعدادی از بسته ها مثل عو ہوا و۸ را ارسال کند این می تواند شرایط اورژانسی برای بیمار ایجاد کند.
• حمله حفره : هدف نفوذگر تقریبا جذب همه ترافیک توسط یک گره مخرب است و سعی می کند تمام گره های همسایه بسته های خود را از مسیری عبور دهد که گره مخرب وجود دارد. این حمله می تواند وسیله ای برای حملات دیگر (6)مانند حمله ارسال انتخابی باشد.
حمله سایبل : یک گره مخرب آدرس های شناسایی مختلفی را به دیگر گره ها در شبکه ارائه می دهد. در بسیاری موارد حسگرها در شبکه های بی سیم ممکن است برای انجام یک وظیفه به همکاری یکدیگر نیاز داشته باشند بنابراین آن ها می توانند از توزیع زیر وظایف و افزونگی اطلاعات استفاده کنند. در چنین موقعیتی یک گره می تواند با استفاده از هویت سایر گره ها وانمود کند که بیش از یک گره است و هویت چند گره را جعل کند.
حمله تهدید مکان بیمار: شبکه های حسگر پزشکی از تحرک و جابه جایی بیمار پشتیبانی می کنند. در این شبکه ها تشخیص مکان فیزیکی بیمار مورد نیاز است تا کادر پزشکی بتواند در شرایط اضطراری ،در کوتاهترین زمان ممکن به بیمار خدمات ارائه کند. به طور کلی سیستم های ردیابی مکان مبتنی بر فرکانس رادیویی (۷) بوده و یا بر اساس قدرت سیگنال دریافتی مکان را شناسایی می کنند و یا از تکنولوژی های دیگر بهره می برند(8). اگر یک نفوذگر به طور دائم سیگنال های رادیویی را دریافت و آن ها را تجزیه و تحلیل کند ، با کشف جزییات مکان افراد به طور مستقیم می تواند حریم خصوصی فرد را نقض کند. حمله رهگیری فعالیت : مهاجم می تواند بر اساس داده هایی که از یک گره به دست می آورد فعالیت و تمرینات ورزشی فرد را به دست آورده و راهنمایی ها و حرکات ورزشی نادرستی به بیمار ارائه کند که باعث درد شدید بیمار شود. حمله انکار سرویس : ساده ترین نوع حمله انکار سرویس برای تخلیه منابع موجود در یک گره تلاش می کند. مهاجم با ارسال بیش از حد بسته های غیر ضروری از دسترسی کاربران مشروع شبکه به سرویس ها و منابع مشخص جلوگیری می کند. حملات انکار سرویس ممکن است به شبکه های بی سیم مراقبت های پزشکی آسیب رسانده و منجر به از دست رفتن زندگی بیمار شود. برای بررسی جزییات حملات انکار سرویس ، خوانندگان می توانند به (۱۱و ۱۰ و ۹) مراجعه کنند
5- مکانیسم های امنیتی
مکانیسم های امنیتی فرآیندهایی هستند که به منظور شناسایی و پیشگیری از حملات امنیتی استفاده می شوند. اگر چه مکانیزم های امنیتی شبکه های سنتی وجود دارد (به عنوان مثال، شبکه های سیمی و موردی) ولی به طور مستقیم برای شبکه های حسگر بی سیم پزشکی با توجه به منابع محدود قابل استفاده نیست. بنابراین در این بخش به بحث و بررسی مسائل مربوط به مکانیسم های امنیتی موجود، به شرح زیر می پردازیم:
رمزنگاری شبکه های بی سیم حسگر پزشکی با اطلاعات حساس فیزیولوژیکی سر و کار دارند، بنابراین توابع رمزنگاری قوی یکی از الزامات اساسی این شبکه ها می باشد. این توابع رمزنگاری امنیت و حریم خصوصی بیمار را در برابر حملات مخرب حفظ می کند. رمزنگاری قوی نیاز به محاسبات گسترده و منابع زیاد دارد، بنابراین انتخاب یک رمزنگاری مناسب ، کار چالش برانگیز برای منابع گرسنه گره های حسگر پزشکی است که بتواند حداکثر امنیت را با استفاده از حداقل منابع فراهم کند. علاوه بر این، انتخاب سیستم رمزنگاری مناسب به قابلیت های ارتباطی و محاسباتی گره های حسگر بستگی دارد. برخی استدلال می کنند که سیستم های رمزنگاری نامتقارن برای سنسورهای پزشکی اغلب بیش از حد گران هستند و سیستم های رمزنگاری متقارن به اندازه کافی فراگیر نیستند. (۱۲). با این حال، استفاده از مکانیزم های امنیتی با توجه به منابع محدود حسگرهای پزشکی باید بر اساس ملاحظات زیر انتخاب شود. انرژی: چه مقدار انرژی برای انجام توابع رمزنگاری مورد نیاز است. حافظه: چقدر حافظه (به عنوان مثال، حافظه فقط خواندنی و حافظه با دسترسی تصادفی مورد نیاز است زمان اجرا: چه میزان زمان برای اجرای مکانیسم های امنیتی مورد نیاز است.
مدیریت کلید: در واقع مدیریت کلیدهای نهفته در یک سیستم رمزنگار می باشد و این شامل تولد، مبادله، ذخیره، و استفاده کلیدها می شود . با توجه به اینکه در صورت غیرقابل شکست بودن الگوریتم های رمزنگاری و پروتکل های مورد استفاده ، بکارگیری کلیدهای ضعیف و یا استفاده نامناسب از کلیدهای مورد نیاز می تواند نقاط ضعف بسیاری را برای تحلیل امنیت باقی بگذارد . در دنیای واقعی مدیریت کلید سخت ترین قسمت رمزنگاری محسوب می شود . طراحی الگوریتم های رمزنگاری امن ساده نیست اما با تکیه بر تحقیقات آکادمیک بسیار می توان به نتایج قابل اطمینانی رسید . اما از آنجا که امنیت تمامی ارتباطات باید تنها به کلیدهای بکار رفته داشته باشد ، نگاه داشتن سری کلیدها بسیار سخت تر خواهد بود . بطوریکه بسیاری از تحلیل گرها و رمز شکن ها به سیستم های رمز کلید همگانی و الگوریتم های متقارن از طریق مدیریت کلید آنها حمله می نمایند . از اینرو طراحی مطمئن و قدرتمند روند مدیریت کلید نقش بسزائی در امنیت تبادل ها دارد.
مسیریابی امن: گره های حسگر نیاز به ارسال داده ها به گره های خارج از محدوده رادیویی خود نیاز دارند (۸). بنابر این مسیریابی و انتقال اطلاعات بسیار مهم است. تا کنون پروتکل های مسیریابی بسیاری پیشنهاد شده است اما هیپ یک از آن ها با اهداف امنیتی بالا طراحی نشده اند(۱۳). پروتکل های مسیریابی از حملات انکار سرویس رنج می برند . همپنین یک مهاجم می تواند اطلاعات مسیریابی مخربی را به شبکه تزریق کند و منجر به ناسازگاری و تناقض در مسیریابی شود. علاوه بر این بسیاری از پروتکل های مسیریابی برای شبکه های بی سیم استا طراحی شده اند در حالی که در کاربردهای مراقبت پزشکی این پروتکل ها باید از تحرک و پویایی پشتیبانی کنند. همچنین نیازمندی های امنیتی برنامه های پزشکی بلادرنگ ممکن است این پروتکل ها را پیچیده تر کند. مکان یابی امن : شبکه های حسگر پزشکی جابه جایی و تحرک بیمار را سهولت می بخشد. بنابراین برآورد موقعیت بیمار
