普适卫生保健系统中包含访问控制的信息传输方法

摘要

一种计算机安全技术领域的普适卫生保健系统中包含访问控制的信息传输方法，通过对普适卫生保健系统的网络构建及初始化后将系统参与用户之间的信息传递及双方身份的认证，完成用户对系统资源进行操作时的访问控制，再进行安全的传感器节点更新。本发明实现参与者对系统资源及操作的访问控制和新传感器节点加入系统的过程，保证系统的用户及资源的安全性。

说明书

技术领域

本发明涉及的是一种计算机安全技术领域的方法，具体涉及一种普适卫生保健系统中包含访问控制的信息传输方法。

背景技术

目前，低功率无线通信和手持设备的迅速发展加速了应用于卫生保健中普适系统的发展。普适卫生系统通常由多个生物传感器和执行器以及一个便携式处理设备组成，生物传感器能够持续地监控心率、体温、氧饱和度等生理参数，并将这些信息用于医疗。普适卫生系统使得病人在医院范围外时也能够被有效地监控，能够为医护人员提供更好的病人信息，使得有限的医疗资源得到更加高效的利用。

卫生保健产业中对普适计算系统的运用逐步增多。大量研究已经研究了不同个人传感器网络之间的服务质量和数据通信的协同工作能力。自主计算是一种可用于解决大规模计算机网络和普适系统中复杂性的有效的方法，它能够实现复杂系统中的自我配置、自我恢复、自我优化和自我保护。

普适卫生系统中多种异构的设备和大量不同种类的软件造成它在配置及操作上的难度。在病人的环境产生变化时需要对他的传感器节点进行重新配置，在需要新种类的监控数据时，需要有效并安全地将新的传感器加入系统。在各种医疗应用中，由于对病人生理数据保密的需求，需要在系统中提供安全机制，实现对系统中参与者的认证，避免各种对系统安全产生威胁的行为。此外，医护人员需要对系统中的资源进行访问或者执行某些操作，为了避免不正确的行为产生严重的后果或者非法用户进行恶意操作，只有经过认证的合法用户才能对系统进行访问，并且需要对不同的合法用户设置各自的访问权限，控制他们能够有效进行的行为。

经过对现有技术的检索发现，健康医疗领域中普适计算技术会议在2007年发表的论文″使用之前的握手：基于加速数据的认证″运用同步握手时双方产生的类似加速数据为一对小型设备间的无线通信提供了一种设备到设备的认证方法，该现有技术虽然简便，但它依赖于加速度计的存在，并且不能够完全阻止主动袭击者对新设备的攻击。普适计算和通信国际会议在2008年发表的论文″安全的人体传感器网络：传感器关联和密钥管理″提出了一种传感器发现协议，该协议当所有的医护人员都被授权进行传感器关联操作，并当每个传感器都预先配置了一对公有和私有密钥，该现有技术增加了对传感器的管理复杂度，而且在资源受限的传感器节点中使用的解密操作非常浪费时间。

本发明从系统认证和访问控制及安全的传感器发现方面考虑，为健康医疗领域中的普适系统提出了更加合理的方法，满足了它的资源受限制的特点，并保证了系统的安全性。

发明内容

本发明针对现有技术存在的上述不足，提供一种普适卫生保健系统中包含访问控制的信息传输方法，实现参与者对系统资源及操作的访问控制和新传感器节点加入系统的过程，保证系统的用户及资源的安全性。

本发明是通过以下技术方案实现的，本发明包括以下步骤：

第一步、普适卫生保健系统的网络构建及初始化，具体步骤包括：

1.1)当普适卫生保健系统中存在一个认证机构(Certificate Authority(CA))，管理着合法用户各自的公共密钥证书；

1.2)所述系统的认证机构给予每个用户各自的公共密钥证书，其中包含了公共密钥以及用户名字和标识符等用户信息；

1.3)为控制来自于一个医护人员的访问，当系统对医护人员的合法性检测后，病人的系统创建一个适配器来表示参与通信的医护人员；适配器代表系统中的资源或者参与者，用来接收和转发事件总线上的事件以及个人控制器和设备间的数据包；

1.4)为实现系统中用户的细粒度访问控制，使用策略系统来实现访问过程的控制；

1.5)需要管理的参与者和资源被表示成可管理对象。从一个可管理对象到另一个的调用通过认证策略的控制，认证策略表示在某个事件发生时满足特定条件的行为才可以被允许执行。可管理对象被分组成为可以嵌套的域的形式。每个用户创建和维持一个属于自己的域结构，表示出自己在系统中相关的资源及交互用户；

1.6)在病人的个人控制器中，传感器发现服务负责发现新的服务和设备，在新的生理参数需要被监控的时候，新的生物传感器节点需要加入到病人的网络中，传感器发现服务与请求加入的设备进行信息交互，并对新的设备进行控制；

1.7)成员管理服务持续地监视系统中成员的可用性。当某个成员离开了系统，适配器等资源将被适当地释放掉，系统中的其他成员也会得到某个成员已经离开的通知。

第二步、通信传输：普适卫生保健系统参与用户之间的信息传递及双方身份的认证，完成用户对系统资源进行操作时的访问控制，具体步骤包括：

2.1)通信双方身份的认证，具体包括以下步骤：

i)为了令其他用户感知到自己的存在，用户的控制器周期性地向周围广播消息；

ii)收到其他用户广播的消息后，系统用户会初始化与其他用户之间相互的认证过程，使用一个“请求”消息回应其他用户的广播消息，并由这一“请求”初始化认证的过程；

iii)用户之间交换彼此的证书，并验证过程证书的有效性，当用户证书无效，结束此次认证，当双方证书有效，继续下一步；

iv)采用Diffie-Hellman(DH)密钥交换算法参数的交换为参与认证的双方生成一对密钥，用户完成对彼此合法性的认证，并利用得到的密钥在系统中交互并执行操作。

认证过程中，在步骤iii)初始化认证过程后认证双方各自设置定时器，当定时器超时，认证的双方将重置认证过程，并开始一个新的认证。

为了适应一名医护人员可能会跟多个病人在同时进行交互，当医护人员发现一个新的病人时，会为每个病人初始化一个单独的认证过程，用以保证不同的病人在与相同的医护人员进行认证的过程中不会对彼此的认证过程产生干扰。

第一步网络构建的过程能够保证只有系统承认的用户才会得到合法的证书，认证过程交换并验证参与双方的证书，密钥交换算法为合法的用户生成交互时的密钥，从而保证了认证过程的完整与正确性，进而保证认证过后所进行的通信的安全与完整。

2.2)用户进行资源操作时的访问控制，具体包括以下步骤：

a)在相互认证过程完成后，在病人的系统中，相应的适配器被创建并且添加到系统的已关联域中，该适配器在病人的系统中作为一个可管理对象，并且代表着已经认证并关联的医护人员；

b)在医护人员的域结构中，创建了一个镜像对象，它作为病人系统中被关联自身对象的代理；

c)为了执行对病人资源的访问，医护人员直接调用自身结构中相应的镜像代理；

d)医护人员对镜像代理的请求将被转发到病人一端的对应于自身的适配器中；

e)适配器代表医护人员调用执行对病人的请求操作，病人系统中的认证策略管理该请求操作，当执行该操作的人员拥有访问相应资源的权限，这一操作被真正地执行，完成对病人的请求，否则，此操作将被拒绝。

医护人员对资源的访问通过被访问对象中的适配器对象执行，当没有相应的适配器，则表示该人员未完成与被访问者的认证过程，能够保证只有通过认证的人员才能通过访问控制过程访问资源，当已经通过认证的人员没有相应的权限执行请求的操作，他对资源的请求也会被拒绝。访问控制过程保证了只有通过了系统认证并且拥有对应于请求的权限的用户才可能真正地操作被请求的资源，避免了非法用户或者未授权用户对资源的恶意访问，保证了系统中资源的安全及有效。

第三步、安全的传感器节点更新，具体步骤包括：

3.1)医护人员发送一个关联请求到目标病人；

3.2)关联请求被转发到病人系统的发现管理者，并由发现管理者通过认证策略对请求关联新传感器的用户进行认证，当该用户已经被授权可以进行相应的关联操作，发现管理者将打开病人个人控制器的添加端口，并进行下一步骤，否则，拒绝关联；

3.3)个人控制器的添加端口被打开后，医护人员将新的传感器插入病人控制器的端口；

3.4)传感器通过USB端口给病人的发现管理者发送一个加入请求消息；

3.5)发现管理者接收到加入请求消息后将会感知到新的传感器，准备一对会话密钥和组密钥，并将其与网络ID等系统信息结合起生成一个确认消息；

3.6)发现管理者将确认消息发送到新关联的传感器中，并为刚加入的传感器创建一个新的适配器，将该新适配器作为新加入的传感器与系统中的其他组件进行通信的中介；

3.7)传感器接收到确认消息后，将信息保存在非易失的存储器中；

3.8)传感器从USB端口上取下并且使用自身的电池进行供电，对病人的生理信息进行监控，同时利用无线方式将数据传送到控制器。

在传感器发现的过程初始阶段，新的传感器已经被关联到了特定的控制器，从而被关联到了特定的病人网络中。传感器关联过程中的通信都是通过利用USB端口模拟的串行通信信道进行的，而且这一信道是新的传感器添加至系统中的唯一的途径。生成的组密钥和成对的通信密钥定义了传感器与系统的成员关系，并且只有通过安全的加入过程才能获得这两个密钥，保证了传感器以后与系统中的其他组件进行通信的过程都是安全的。

本发明的有益效果是，构建了可用于普适卫生保健系统的信息传输方法，其中实现了系统用户的认证及细粒度的访问控制，实现了安全且易用的传感器发现过程，实现了对普适卫生保健系统的安全保证和自主管理，满足了系统中的自主、安全和自适应需求。

附图说明

图1为实施例应用体系结构示意图。

图2为实施例认证过程示意图。

图3为实施例域结构图。

图4为实施例传感器添加流程图。

具体实施方式

下面对本发明的实施例作详细说明，实施例在本发明技术方案的前提下，以医院病房系统为基础进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

第一步、网络构建及初始化：

本步骤完成对系统相关资源及模块的初始化操作，根据图1，具体步骤包括：

1.系统的认证机构给予护士和病人各自的公共密钥证书，其中包含了公共密钥以及护士与病人名字和标识符等用户信息；

2.为控制来自于一个医护人员的访问，当系统对医护人员的合法性检测后，病人的系统创建一个适配器来表示参与通信的医护人员；

3.需要管理的参与者和资源被表示成可管理对象。从一个可管理对象到另一个的调用通过认证策略的控制。可管理对象被分组成为可以嵌套的域的形式。每个用户创建和维持一个属于自己的域结构，表示出自己在系统中相关的资源及交互用户；

4.在病人的个人控制器中，传感器发现服务负责发现新的服务和设备，在新的生理参数需要被监控的时候，新的生物传感器节点需要加入到病人的网络中，传感器发现服务与请求加入的设备进行信息交互，并对新的设备进行控制；

第二步、通信传输，具体步骤包括：

1.如图2所示，以护士和病人之间的认证为例说明用户之间的相互认证过程。

系统用户的相互认证过程包括以下步骤：

1)为了令病人感知到护士的存在，护士的控制器周期性地向周围广播消息；

2)在收到护士广播的消息后，病人会初始化与护士之间相互的认证过程。病人使用一个“请求”消息回应护士的广播消息，并由这一“请求”初始化认证的过程；

3)护士发送自己的证书给病人；

4)病人检测护士发送的证书有效性，当该证书是有效的，病人将会发送自己的证书给正在通信的护士，当证书无效，病人结束这一认证过程；

5)护士检查由病人发送来的证书有效性，当该证书有效继续下一步骤，当证书无效，护士结束这一认证过程；

6)采用Diffie-Hellman(DH)密钥交换算法参数的交换为病人和护士之间通信的安全信道生成一对密钥；

7)完成密钥的创建后，通信的双方都已经认证了彼此的合法性。

为了降低通信中的消息有在数据包的交换过程中丢失或损坏造成的影响，在步骤2)初始化认证过程后认证双方各自设置定时器，当在认证的过程中定时器超时，认证的双方将重置认证过程，并开始一个新的认证。

2.如图3所示，下面以一个护士对病人心率传感器的操作为例说明访问控制的过程。

护士对心率传感器进行操作时的访问控制包括以下步骤：

1)为了控制来自于一个护士的访问，病人的系统使用一个适配器来表示护士。在相互认证过程完成后，在病人的系统中，相应的适配器被创建并且添加到系统的“已关联的护士域”中；

2)在护士一侧的“镜像域”中，创建了一个镜像对象，它作为病人系统中“已关联护士域”中自身的代理；

3)为了执行对病人心率传感器的操作，护士直接调用自身镜像域中相应的镜像代理；

4)护士对镜像代理的请求将被转发到病人一端的对应于自身的适配器中；

5)适配器代表护士调用执行对病人心率传感器的请求操作；

6)病人系统中的认证策略管理该请求操作，当执行该操作的护士拥有对心率传感器的权限，这一操作被真正地执行到传感器，完成护士对病人中该传感器的请求，当护士没有相应的权限，此操作将被拒绝。

第三步、安全的传感器节点的更新：

下面是由护士关联一个新的传感器到病人网络中的步骤，传感器添加流程如图4所示：

1)想要关联新的传感器到病人系统中的护士发送一个关联请求到目标病人；

2)关联请求被转发到病人系统的发现管理者；

3)发现管理者通过认证策略对请求关联新传感器的护士进行认证，当该护士已经被授权可以进行相应的关联操作，发现管理者将打开病人个人控制器的添加端口，并进行下一步骤，当护士未被授权，该请求将被拒绝，结束关联的过程；

4)添加端口被打开后，护士将新的传感器插入病人控制器的端口；

5)传感器通过USB端口给病人的发现管理者发送一个加入请求消息；

6)发现管理者接收到加入请求消息后将会感知到新的传感器，准备一对会话密钥和组密钥，并将其与网络ID等系统信息结合起生成一个确认消息；

7)病人的发现管理者将确认消息发送到新关联的传感器中；

8)发现管理者为刚加入的传感器创建一个新的适配器，作为传感器与系统中的其他组件进行通信的中介；

9)传感器接收到确认消息后，它将信息保存在非易失的存储器中；

10)传感器从USB端口上取下并且使用自身的电池进行供电，对病人的生理信息进行监控，同时利用无线方式将数据传送到控制器。

经过在两台个人电脑上实现病人和护士各自的系统，本实施例得出了相关的实验数据。表1是实验过程中对不同的操作过程的时间统计。

表1

从实验数据中得知除系统启动过程外，大多数的过程都非常高效，保证了系统的短处理延迟特性，对系统中受限的资源和较低的计算功率做到了有效利用。

本实施例在有效利用系统的受限资源的情况下，能够利用较短的处理延迟提供高效的认证方法和访问控制方法，保证了新的传感器添加过程的安全有效。