УДК 004.056
Т. И. Булдакова, С. И. Суятинов
МОДЕЛЬНЫЙ ПОДХОД К ЗАЩИТЕ ДАННЫХ В ТЕЛЕМЕДИЦИНСКИХ СИСТЕМАХ
Ключевые слова: защита информации, телемедицина, биосигналы, медицинские информационные системы.
Статья посвящена телемедицинским системам мониторинга состояния человека. Рассмотрена проблема обеспечения защиты передаваемых данных в системах дистанционного мониторинга. Наиболее уязвимой является коммуникационная связь между датчиками и медицинской информационной системой, включающей базу данных зарегистрированных биосигналов. Существующие подходы к защите данных в системах дистанционного мониторинга являются недостаточными. Предложено для построения симметричных криптографических ключей использовать регистрируемые датчиками биосигналы, которые отражают физиологические особенности пациента и могут использоваться для сокрытия информации.
Keywords: data protection, telemedicine, biosignals, medicine information system.
The article is dedicated to telemedical monitoring systems of the human state. The problem of the protection of data transmitted to the remote monitoring systems is considered. The most vulnerable is the communication between the sensors and medical information system, including the database of the registered biosignals. Existing approaches to data protection in remote monitoring systems are insufficient. It is proposed for construction of symmetric cryptographic keys to use the biosignals registered by sensors, which reflect the physiological characteristics of the patient and can be used for hiding information.
Введение
В настоящее время в телемедицинских системах дистанционного мониторинга состояния здоровья пациента все большее применение находят технологии «облачных» вычислений. На пациенте устанавливается система нательных датчиков, которые регистрируют физиологическую информацию (в основном, биосигналы) и передают ее по беспроводным каналам связи на сервер. Медицинский персонал может просматривать в режиме реального времени собранную информацию в медицинской информационной системе (МИС), содержащей базу данных биосигналов, и оценивать текущее функциональное состояние пациента.
В отличие от традиционных систем мониторинга состояния человека, где сервер может быть надежно защищен от внешних угроз, в технологии «облачных» вычислений сервер является виртуальным и, по существу, представляет арендованный вычислительный ресурс, доступный через интернет. Информационная уязвимость такого сервера гораздо выше.
Анализ модели угроз для систем дистанционного мониторинга показал [1], что существует проблема обеспечения информационной безопасности физиологических данных пациентов, передаваемых от датчика в хранилище. Более того, нарушение целостности и конфиденциальности информации, кража личных медицинских данных приводят не только к финансовым потерям, но и к нежелательным социальным последствиям, нанося моральный ущерб пациенту. При этом решающее значение имеет защита личных медицинских данных при передаче через коммуникационный канал от датчиков к МИС. В связи с этим для защиты передаваемой персональной информации необходимо выбрать способ распределения криптографических ключей между датчиком и облаком для обеспечения зашифрован-ности и целостности данных.
Существующие подходы
Традиционные подходы к обеспечению безопасности систем здравоохранения основываются на асимметричных криптосистемах (рис. 1). Такой подход является достаточно надежным для обеспечения конфиденциальности и целостности передаваемых данных, но оказывается дорогим для регулярного обмена данными в системе реального времени, поскольку требует больших затрат ресурсов и времени.
Рис. 1 - Передача данных с использованием асимметричной криптосистемы
Альтернативным подходом к защите передаваемых данных является метод создания парных симметричных ключей для датчика и приемника (рис. 2). Однако недостатком симметричных шифров является невозможность их использования для подтверждения авторства, так как ключ известен каждой стороне.
Рис. 2 - Передача данных с использованием симметричной криптосистемы
В ряде работ предложено для сокрытия информации использовать регистрируемые датчиками
биосигналы, которые отражают физиологические особенности пациента [2, 3]. Такой подход основывается на следующих положениях:
1) существуют характеристики, отражающие морфологию биосигнала, которые относительно стабильны (рис. 3). Например, исследования [4] показали, что для сигналов ЭКГ (электрокардиограммы) и ФПК (фотоплетизмограммы) морфологические параметры (в отличие от временных параметров) меняются очень медленно на протяжении жизни человека и, следовательно, могут использоваться для получения модели «физиологической» подписи;
2) физиологические сигналы могут быть искусственно сгенерированы с помощью генератора модельного сигнала при условии, что данная модель адекватно построена на основе информации о состоянии человека.
Рис. 3 - Морфологические РОК5Т-параметры сигнала ЭКГ здорового человека
В работе [5] для защиты данных использованы сигналы ЭКГ и ФПГ. Генератор искусственной ЭКГ описывается выражением
dECG (t) dt '
- X a i (2^hrmean t -0\ )exP
i eP ,Q ,R ,S ,T
-(inhrmeant -0\ )2
2b 2
где hrmean - средняя частота сердечных сокращений человека. Для получения морфологических параметров каждый вид волн Р, О, Р, S и Т на ЭКГ представляется кривой Гаусса. Каждая кривая имеет три параметра, и, следовательно, существует 15 морфологических параметров (аР, ао, ар>, а^ аТ, ЬР, ьо> ьъ bS, ЬТ, Ор, во, вр>, в3, вт).
Кривая фотоплетизмограммы ФПГ получается в результате решения дифференциальных уравнений, основанных на простой модели сосудистой системы человека - модели Виндкесселя [6]. ФПГ разделена на две части - систолу и диастолу. Диастола моделируется с помощью уравнения:
• ооб^^ + ад) .(1)
PPGdias (t )= ai + a2e(- аз t)-
1
*(-a5t - a6 )
а4 +
Для систолы аналитическое выражение формы сигнала имеет вид:
1
PPGsys (t ) =
ag + e
(-a10t-aii)
(2)
Коэффициенты [a1, a2, a11] в уравнениях (1) и (2) являются морфологическими параметрами.
Параметры модели должны быть изначально отправлены на сервер в МИС. Параметризация - это важнейший фактор в использовании моделей. Например, генераторы модельных сигналов ЭКГ и ФПК используют временные и морфологические свойства биосигналов. Они могут быть вычислены в режиме «off-line» и переданы в хранилище, когда модель перейдет в режим «on-line», или можно отправить образец биосигнала на сервер, который затем поможет вычислить морфологические значения сигнала. Таким образом, внутри хранилища находится диагностический эквивалент биосигналов в форме временных рядов, созданных с помощью модельного генератора, который должен быть настроен согласно физиологическим данным пользователя.
По существу в приведенном примере применяется подбор функциональных зависимостей по виду регистрируемых биосигналов, что не очень эффективно. Кроме того, недостатком данного подхода является большое количество морфологических параметров, при этом изменение даже одного параметра описывает уже другую морфологическую форму.
Предлагаемый подход к решению задачи
Предлагаемый подход основан на реконструкции моделей систем в форме дифференциальных уравнений, решением которых являются искомые функциональные зависимости. Для получения морфологических признаков используются не отдельные параметры временной кривой, а математическая модель генератора биосигнала в форме системы дифференциальных уравнений [7]. В результате признаки включают структуру модели, используемой для оценки состояния человека, и ее физиологически значимые параметры. Процесс генерации ключей с использованием морфологических признаков выполняется в соответствии с протоколом PEES и подробно рассмотрен в работе [5].
Модельный подход к анализу систем с использованием реконструкции хорошо зарекомендовал себя при обработке биосигналов человека [8, 9]. Рассмотрим применение указанного подхода на примере использования сфигмограммы, которая регистрирует колебания артериальной стенки сосуда, обусловленные выбросом ударного объема крови в артериальное русло.
В качестве примера используем модельное уравнение пульсации стенки сосуда в форме уравнения Ван-дер-Поля - Релея:
x +
*1l x2 - Г2
+ ^2
•2 2
x - w0
2
x + ax = P t) •
Здесь х - это перемещение стенки кровеносного сосуда, регистрируемое датчиком; Р(^) - воздействие сердечной активности на динамику стенки сосуда. Параметры уравнения, отражающие такие свойства сосуда, как податливость, диссипацию, свойственны любым сосудам и вместе с тем уникальны для отдельного человека. Результаты моделирования представлены на рис. 4, где приведены выходные сигналы объекта и модели.
Рис. 4 - Результаты моделирования
Представленные результаты, демонстрирующие сходство динамического поведения реального объекта и его модели, подтверждают хорошую адекватность модели относительно основных динамических свойств. Кроме того, преимущество представленной модели состоит в том, что параметр а имеет физический смысл: он позволяет оценивать «жесткость» сосудов за счет работы обволакивающих их гладких мышц.
Однако проведенные исследования показали, что данная модель не всегда соответствует регистрируемому биосигналу. Поэтому в зависимости от состояния сосудов, пациенты были разделены на несколько групп, каждой из которых поставлена в соответствие определенная структура модельного уравнения. В результате был создан банк данных моделей. Например, для пожилых пациентов использовалась модель в виде уравнения Ван-дер-Поля - Дуффинга [10].
Для определения параметров модели и оценки адекватности используется расширенный фильтр Калмана. Регистрируемый биосигнал обрабатывается с использованием алгоритма фильтра Калмана, который использует определенную структуру модели. На каждой итерации анализируется ковариационная матрица ошибок. Если значения погрешностей превышают заданные допустимые пределы, то выбирается другая структура модели. В противном случае выбранная модель используется для формирования ключей в системе защиты информации [11]. В отличие от ранее рассмотренных подходов, в нашем случае необходимо анализировать не более трех физиологически значимых параметров, например эластичность сосудов, степень диссипации, время релаксации.
Заключение
Исследования показали, что модель пульсового механизма в виде реконструированной математической модели генератора биосигнала можно использовать в системе защиты для проверки подлинности
сообщения путем сопоставления особенностей исходного и реконструированного сигналов.
Работа выполнена при финансовой поддержке
РФФИ (проект № 16-07-00878).
Литература
1. Булдакова Т.И., Кривошеева Д.А. Угрозы безопасности в системах дистанционного мониторинга // Вопросы кибербезопасности. 2015. № 5. С. 45-50.
2. Venkatasubramanian K.K., Banerjee A., Gupta S.K.S. PSKA: Usable and secure key agreement scheme for body area networks // IEEE Transactions on Information Technology in Biomedicine. 2010. Vol. 14, No 1. Pp. 60-68.
3. Cherukuri S., Venkatasubramanian K., Gupta S.K.S. Bio-Sec: A Biometric Based Approach for Securing Communication in Wireless Networks of Biosensors Implanted in the Human Body // Proceedings of Workshop on Wireless Security and Privacy. 2003. Pp. 432-439.
4. McSharry P.E., Clifford G.D., Tarassenko L., Smith L.A. A dynamical model for generating synthetic electrocardiogram signals // IEEE Transactions on Biomedical Engineering. 2003. Vol. 50, No 3. Pp. 289-294.
5. Banerjee A., Gupta S.K.S., Venkatasubramanian K.K. PEES: Physiology-based End-to-End Security for mHealth // Proceedings of the 4th Conference on Wireless Health. 2013. Article No. 2.
6. Nabar S., Banerjee A., Gupta S.K.S., and Poovendran R. GeM-REM: Generative Model-Driven Resource Efficient ECG Monitoring in Body Sensor Networks // International Conference on Body Sensor Networks (BSN). 2011. Pp. 16.
7. Buldakova T.I., Suyatinov S.I. Reconstruction method for data protection in telemedicine systems // Proceedings of SPIE. 2015. Vol. 9448. Pp. 1-6.
8. Программно-аналитический комплекс модельной обработки биосигналов / Т.И. Булдакова, В.И. Гриднев, К.И. Кириллов, А.В. Ланцберг, С.И. Суятинов // Биомедицинская радиоэлектроника. 2009. № 1. С. 71-77.
9. Информационно-измерительный комплекс совместной регистрации и обработки биосигналов/ Т.И. Булдакова, А.В. Коблов, С.И. Суятинов // Приборы и системы. Управление, контроль, диагностика. 2008. №6. С. 4146.
10. Выявление групп риска у людей с высоким уровнем холестерина: статистический и модельный подходы / Т.И. Булдакова, В.Б. Лифшиц, С.И. Суятинов // Информационные технологии моделирования и управления. 2008. №4 (47). С. 363-368.
11. Булдакова Т.И., Суятинов С.И. Применение биосигналов к зашцте данных в телемедицинских системах // Математические методы в технике и технологиях: сб. трудов XXIX Междунар. науч. конф.: в 12 т. Т.6. Санкт-Петербург: СПбГТИ(ТУ), 2016. С. 87-88.
© Т. И. Булдакова - д.т.н., профессор кафедры «Информационная безопасность» МГТУ имени Н.Э. Баумана, [email protected]; С. И. Суятинов - к.т.н., доцент кафедры «Системы автоматического управления» МГТУ имени Н.Э. Баумана, [email protected].
© T. 1 Buldakova - Dr. Sc., Professor of Department of Information Security of BMSTU. [email protected]; S. 1 Suyatinov -Ph.D., Associate Professor of Department of Automatic Control System of BMSTU. [email protected].