远程实时健康监护系统中数据传输及安全性研究.docx

1、远程实时健康监护系统中数据传输及安全性研究远程实时健康监护系统中数据传输及安全性研究陈苏蓉,朱晓辉,王杰华,石振国(南通大学计算机科学与技术学院,江苏南通226019摘要:随着医疗检测技术的微型化和计算机网络技术的发展,利用微型传感器对人体健康状况进行远程实时监护已成为医学诊疗仪器领域研究的重点。受限于微型传感器体积、功耗、电池、内存、计算能力等限制,如何实现传感器和数据中心间的双向数据传输及保证数据传输过程的可靠性和安全性成为需要重点解决的问题。提出了利用蓝牙、GPRS(WCDMA技术并以智能手机为媒介来实现数据的双向传输,并利用IOCP协议、动态密钥、数据正确性验证、防恶意攻击等多种方法来

2、解决数据传输过程中的可靠性及安全性问题。通过实验模拟及在实际项目中的应用表明,该方法是有效的。关键词:健康监护;数据传输;数据验证;数据安全Research of Data Transmission and Security for RemoteReal-time Health Monitor SystemCHEN Su-rong, ZHU Xiao-hui, WANG Jie-hua, SHI Zheng-guo(College of Computer Science and Technology, Nantong University, Nantong JiangSu 226019,Chi

3、na 【Abstract】With the development of the miniaturization of medical testing technology and computer network technology, monitoring human health by micro sensor remotely and real-timely are becoming the most important research field. However, limited by micro sensors volume, power, battery, memory an

4、d computing ability, it is important to solve the problem of reliability and security for the two-way data transmission between sensor and data center. This paper presents a solution for the reliability and security in data transmission by using IOCP protocol, dynamic encryption key, data validation

5、, anti-malware attacks and smartphone as medium . The experiment and the application show that the solution is effective.【Key words】health monitor; data transmission; data validation; data security0引言传统的健康监护系统主要包括两种124:一是24小时记录心电数据的Holter系统,它可以让病人随身携带,但无法进行实时诊断;另一种是病房使用的床边监护系统,可以进行实时诊断,但只能在医院固定地点使用。

6、随着计算机技术、传感器技术及医疗器械技术的发展,利用微型传感器来对人体进行健康监护成为目前医疗仪器领域研究的重点。美国麻省理工学院研发了指环传感器,可监测心脏活动数据,并利用无线传输数据。但由于其功能单一、造价昂贵,目前还处于实验室阶段。日本东芝公司研发了手表式可穿戴的传感器LifeMinder,可以采集用户生理信号并识别使用者运动状态,通过蓝牙技术把数据传输到PDA来显示和分析数据。但不具有远程数据传输功能,在紧急状态无法向外部报警,请求医疗救护。日本的WIN Human Recorder 公司研制了一种只有7g 重量的体征信号采集系统HRS-I3,包含两电极心电采集,体温信号采集以及一个三

7、轴加速度信号采集,以2.4 G 射频将健康数据发送至Smartphone或PC,采用纽扣电池供电,该系统能够通过两个按扣式电极固定在胸部,十分轻便。但也存在采集数据单一,当生理数据异常时无法自动报警等问题。这些系统目前还处于实验研究阶段,因此,针对生理数据采集后数据远程传输过程中的可靠性及安全性等问题都没有做深入研基金项目:南通市基础应用研究项目(K2010067、江苏省“六大人才高峰”项目(2010-WLW-006、南通市重大科技创新专项计划项目(XA2008004 作者简介:陈苏蓉(1977-,女,讲师、硕士,主要研究方向为计算机应用;朱晓辉,讲师、硕士;王杰华,副教授、硕士;石振国,副教

8、授、博士E-mail:ntuzxh究,目前还没有一套成熟有效并可真正投入商业运营的生理健康数据远程传输的解决方案。目前国内外都在加紧研发更具有智能化、微型化、网络化并具有商业应用前景的远程实时健康监护系统。由希盟(中国科技有限公司与加拿大滑铁卢大学及南通大学经过四年多合作,利用光学传感、光谱分析及微型传感器等技术成功研发了便携式远程实时健康监护系统,较好的解决了设备微型化、多生理参数采集、实时监控、远程数据传输、智能报警等问题。本文重点研究如何实现生理数据的远程传输及传输过程中的可靠性和安全性问题。论文首先给出系统的整体架构,对主要设备做了简要说明;其次针对数据传输中的可靠性及安全性问题,设计

9、和实现了数据传输系统,最后给出了实验测试结果并做了总结。1.系统整体架构系统主要由微型生理信息采集器、数据传输系统和实时服务支撑平台三大部分组成,其架构如图1所示。 图1系统架构系统基本工作流程为:微型生理信息采集器(以下简称Device佩戴于用户耳朵上并采集生理健康数据;数据通过蓝牙发送到用户智能手机(以下简称Unit;Unit通过GPRS或WCDMA(由手机所在的移动网络决定把数据远程传输到Center服务器; Center服务器对数据进行必要的验证后存入数据库;用户及经过授权的医生、家人和朋友可以通过Web来查询个人生理健康数据;当用户生理健康数据异常时,Center端通过数据库服务器向

10、呼叫中心报警,呼叫中心按照一定的优先级别自动依次向用户本人、经授权的家人及朋友甚至用户当前所在当地的120联系,请求及时的帮助和医疗救助。系统中各主要设备功能如下:(1Device:是一个便携式微型传感器,佩戴于用户耳朵上,内部集成了光电传感模块、数据采集与处理模块、蓝牙模块、驱动电池模块及运动传感模块。其中光电传感模块和数据采集与处理模块负责人体生理参数的采集和计算,共有心率、血氧饱和度、体温、呼吸率等20个参数;蓝牙模块负责与智能手机(Unit双向传输数据;驱动电池模块负责为其它模块供电;运动传感模块用于获取人体运动信息并对获得的生理参数做一定修正从而能做出更智能可靠的生理健康状况判断。比

11、如判断人体心率是否正常,除了心率指标外还和该用户的运动状态密切相关。(2Unit:是一个安装有专用数据传输程序的智能手机。考虑到Device是佩戴在人体耳朵上来采集生理参数的,因此必须要尽可能做到微型化和轻型化。所以系统采用智能手机作为媒介来完成数据的发送和接收。首先,Device通过蓝牙和智能手机互联,然后智能手机再通过GPRS(或WCDMA与Center服务器相连,从而建立双向数据传输通道。(3Center服务器:接受Unit传输来的数据,完成对数据的合法性验证后保存到数据库服务器,也可以向Unit发送指令,并由Unit向Device通过蓝牙转发,从而实现双向数据通信。(4数据库服务器:存

12、储Center端接收到的生理参数数据。(5WEB服务器:用户及其经过授权的医生、家人及朋友可以通过访问WEB站点来查看用户生理健康数据信息。(6呼叫中心服务器:当用户生理健康数据发生异常时,Center服务器自动截获并通过数据库服务器向呼叫中心发送报警,呼叫中心自动响应并以一定的优先级别依次与用户本人、用户授权的家人及朋友甚至用户当前所在地的120联系。2.数据传输系统设计整个数据传输系统包括两部分:一是Device 与Unit间的双向数据传输,二是Unit与Center服务程序间的双向数据传输。由于蓝牙芯片具有微型化、低功耗、短距离通信等特点,非常符合传感器微型化、轻量化的要求,并能有效提升

13、Device的电池续航时间,同时大部分智能手机都具有蓝牙功能,而且智能手机已越来越普及,价格也越来越低廉。因此系统中引入了智能手机作为数据传输的媒介,通过为不同类型的智能手机开发不同类型的专用数据传输程序来实现Device与Unit间的蓝牙数据通信,从而建立Device到Unit端的双向数据通信。同时利用手机GPRS(WCDMA技术来现实Unit到Center数据中心间的双向数据通信。2.1数据包格式由于涉及到Device、Unit和Center三方的双向数据通信,因此需要制定统一的数据包格式,数据包分为包头和包体两个部分,包头结构如表1所示。表1 包头结构Byte Description V

14、alue1-3 Start Marker 0XFF00FF4-7 Device ID Depend on Device8 Chunck type9-12 Time Stamp YY:MT:TT:TT13 Total length of Data Chunks14-15 Encrption Num16-19 Checksum前三字节是固定掩码,值为OXFF00FF,表示包头的开始;字节4-7表示Device蓝牙设备号,用来唯一表示一个Device;第8字节表示数据包流向及具体功能;字节9-12记录生理参数采集的时间,其中第9字节的值加上2000后表示年份(范围为2000年-2225年;第10字节

15、前四位表示月份,后四位及后面的11、12两字节表示该日期所在时间点的秒数,这种设计的目的是为了适应Device设备中的时钟芯片的计时规则,减少Device端的计算量,降低电量消耗;第13字节表示包体长度;14-15字节是一个动态产生的随机数,用于对包体数据加密; 16-19字节是包头校验位。考虑到Device端有限的计算能力和降低能耗,在蓝牙传输过程中采用简单的累加校验方法,即把1-15字节内容进行值累加后存入Checksum字段。当Unit获取Device传输来的数据包后即可以通过校验位对包头进行验证。由于Unit具有较强计算能力和更大电池容量,为了能更好的验证数据包的正确性,Unit端在把

16、数据包向Center转发时,需要重新对包头进行Hash运算,最后把Hash运算结果保存到Checksum字段,这样可以进一步提高数据验证能力,提高数据传输的可靠性。包体结构主要包括掩码起始位、数据位及校验位构成,其结构如表2所示:表2 包体结构Byte Description Value1-3 Start Marker 0XFF00FF4 Heart rate5 Body Tempture6 SpO2 24-27 Checksum其中1-3字节是掩码字段,表示包体开始;4-23字节每个字节分别记录心率、体温、血氧饱和度等不同生理参数,共计20个;24-27字节是校验位,其作用与包头中的检验位类

17、似,在Device和Unit 间蓝牙数据传输时采用简单的累加计和方法生成校验位,在Unit和Center间进行数据传输时用Hash 算法生成校验位。2.2数据传输协议由于Device与Unit之间是近距离的一对一通讯,同时考虑到Device的功耗及计算性能的限制,因此采用蓝牙技术来实现数据传输。而Unit与Center间的通讯需要经过GPRS(WCDMA、Internet 等多个网络的传递,因此需要重点考虑数据传输的可靠性和安全性问题,同时还需要尽可能提升Center端服务程序的并发性能,使单个Center端服务程序能接受尽可能多的Unit的并发连接,从而减少服务器物理数量,降低硬件成本。常用

18、的网络传输协议有三种:WINSOCK套接字、重叠端口和IOCP模型。WINSOCK套接字编程实现简单,但需要为每个连接指定连接端口,而且并发性能较低。重叠端口能支持较高的并发,但需要为每个连接都创建一个新线程,当并发连接数越来越多时,导致系统花费大量的时间进行不同线程上下文切换,从而大大降低系统性能。IOCP模型(I/O Completation Port也叫完成端口,是一种高效的I/0模型,它允许服务器程序仅用少量工作线程来处理大量的异步I/O请求6。其最大优点在于用很少的服务器端线程就可以并发处理大量的网络连接和数据传输,大大减少服务器端的线程数和CPU 进行线程切换的工作,因此极大地提高

19、了网络数据传输的并发性7。因此项目中选用IOCP协议来实现Unit和Center间的双向数据传输。3.数据传输系统实现由于数据从Device端采集到传输到Center端接收过的程中需经过蓝牙、GPRS(WCDMA、Internet 等多种不同的通信网络,因此数据传输过程中的可靠性和安全性显得尤为重要。这里通过对数据包进行必要的验证来确保数据传输过程中的可靠性,当验证没有通过时,要求发送方重新发送数据包;同时还采用蓝牙地址确认、动态随机数、生理参数加密等方式来保证通信双方的合法性和数据传输过程中的安全性。3.1 Device与Unit间数据完整性验证受Device计算性能及电池容量限制,在Dev

20、ice 端不适宜做大量的复杂计算。但由于Device与Unit 间采用了近距离的蓝牙通信协议,考虑到蓝牙通信本身的不稳定性和易受干扰性,因此需要通信双方对数据包做基本的数据完整性验证。这里采用对数据包进行累加计和方法来生成校验码,这样既可兼顾数据完整性要求,也充分考虑了Device端的计算性能的限制。Device向Unit发送数据包时的数据完整性验证步骤如下:(1Device采集生理参数,形成数据包,利用累加计方法分别计算包头和包体校验码并填入到各自的Checksum字段,然后向Unit发送数据包。(2Unit接收到数据包后分解成包头和包体,并分别重新计算校验码。(3若新校验码和数据包中原来的

21、校验码一致,则数据在传输过程中没有改变,数据完整性验证结束,否则Unit丢弃该数据包并向Device发送一个请求消息包,请求Device重发数据包。(4若连续三次重发数据包都验证失败,则Unit向用户报警显示错误信息,并把该信息发送到Center,由Center记录到日志文件中。(5重复步骤(1。同理,Unit向Device发送数据包时的验证方法类似,这里不再累述。3.2 Unit与Center间数据完整性验证Unit与Center间的远程数据传输需经过GPRS(WCDMA、Internet等多个网络,因此需进行更严格的数据完整性验证。考虑到智能手机有更强的计算能力和电池续航能力,因此系统采用

22、了Hash 算法来实现更严格的数据完整性验证。从Unit向Center发送数据包时的数据完整性验证步骤如下: (1Unit对Device传递来的数据包完成完整性验证。(2Unit利用Hash算法重新生成包头和包体验证码,并分别填入到各自的Checksum字段。(3Unit向Center发送数据包。(4Center接收到数据包后拆解成包头和包体两个部分,并用相同的Hash算法重新计算新校验码。(5若新校验码和数据包中原来的校验码一致,则说明数据在传输过程中没有改变,数据完整性验证结束,否则Center丢弃该数据包并向Unit发送一请求消息包,请求Unit重发该数据包。(6若连续三次重发数据包都验

23、证失败,则在Unit端向用户报警显示错误信息,并把该信息发送到Center,由Center记录到日志文件中。(7重复步骤(1。Hash算法描述如下:(1定义4字节HASH密码位H=1,整型变量r=4;(2依次取数据包中一个字节B;(3H= (H & 63+r*(uintB+ (H 8;/HASH运算(4返回步骤(2直到取完包中所有字节;(5把H保存到校验位字段;(6结束;同理,Center向Unit发送数据包时的验证方法类似,这里不再累述。3.3 数据加密保护为防止恶意用户窃取数据,必须对用户生理健康数据进行加密保护。由于受Device端计算性能及电池容量等限制,因此不适合在Device端做复

24、杂的加密运算。但由于Device与Unit间采用了近距离的蓝牙通信协议,Device端的数据只能在近距离范围内被捕获,因此本身具有一定的安全性。但Unit 与Center间的数据需要经过多种网络远距离传输,因此必须对数据进行加密。这里采用了AES对称加密算法,同时为了进一步增加数据包被破译的难度,系统采用了动态密钥技术。当Device开机后与Unit 及Center三者间首先建立连接,并由Center进行设备合法性验证,然后由Center动态产生一个2字节随机数保存到包头中的Encrption num字段并发送给Unit。当连接建立后,Unit即以该随机数作为加密密钥,用AES加密算法对包体中

25、的生理健康数据进行加密,当Center接收到Unit传输过来的数据包时,利用同样的密钥对数据进行解密。这样使得用户每次开机时,加密密钥都是动态随机产生的,从而大大增加了破译难度,增强了数据在传输过程中的安全性。3.4 数据防篡改验证数据加密只能限制非法用户获取数据包中内容,但无法限制非法用户截获数据包并对数据包内容做修改后再转发给Center端服务程序,从而形成大量垃圾信息,导致Center端服务器程序因处理这些非法数据而引起系统瘫痪。因此必须在Center端建立鉴别机制来判别数据是否被篡改。在数据完整性验证中,系统采用了Hash算法,因此本质上在对数据完成完整性验证的同时也相应 完成了数据的

26、防篡改验证。因为当非法用户篡改数据包中的某个信息时,必然导致在验证过程中新生成的Hash 结果和数据包中原来的Hash 结果不一致。因此Hash 验证算法在实现了数据完整性验证的同时也实现了数据防篡改的验证。 3.5 恶意攻击处理由于数据远程传输的特性,因此很难避免数据包被恶意窃取。当恶意用户窃取数据包后,一方面可以利用多线程技术复制并向Center 端服务器程序大量发送相同内容的数据包,从而导致Center 服务器程序大量接收重复数据。另一方面也可以对数据包做恶意修改后再大量发送非法数据包,从而导致Center 端服务器因需要对大量非法数据包进行验证而影响正常数据包的接收,甚至引起Cente

27、r 端服务器程序崩溃,这也是DDoS 攻击常用的手段5。因此,需要在Center 端服务器程序设立相应的防范机制。针对第一种情况,首先在Center 服务器内存中保存所有Device 的ID 编号以及该Device 最后一次发送数据包的时间戳,并设定允许Device 连续传送数据的最小时间间隔,同时在内存中保存以前进行过攻击的Device 黑名单信息。为最大程度提高Center 程序对恶意攻击的处理效率,采用HashTable 形式在内存中存放Device 的ID 号以及该Device 最后一次发送数据包的时间戳信息。采用HashTable 结构的好处在于当Center 接收到数据包并获得De

28、vice 的ID 编号时,无需循环遍历整个HashTable 列表就可以直接获得对应的时间戳信息,查找时间戳的时间复杂度为O(1,即查找所耗费的时间与HashTable 中数据量无关,因此可以大大提高数据查找的速度。当前后两个数据包的时间差小于系统允许的最小时间时,则可认为该数据包是一个恶意数据包,系统把该恶意包丢弃,并把该Device 的ID 编号记录到系统黑名单中,最后主动断开与该传感器的网络连接,从而不再接收该ID 所发送过来的数据包。算法流程如图2所示。图2 恶意攻击处理算法流程第二种情况的处理与第一种情况类似,当连续三次判断到同一个Device 的数据包验证错误时,把该Device

29、列入到黑名单中并主动断开与该Device 的连接。以上可以看出,通过这两种方法可以有效阻止恶意用户的攻击,防止大量重复的垃圾信息进入数据库,确保Center 端服务器程序能稳定可靠地运行。 4.应用实例分析本系统中开发的Unit 数据传输程序基于J2ME 平台,Center 服务器程序采用C+及IOCP 模型。实验测试环境如下:Center 服务器的硬件配臵为CPU:Xeon5420/内存:8G/硬盘:RAID5 800G/网络带宽:千兆/操作系统:Windows Server2003 R2;客户端机器硬件配臵为CPU:Intel 酷睿2 /内存:4G/硬盘:ATA 640G/网络带宽:千兆/

30、操作系统:Windows XP 。为了在实验环境中模拟Unit 向Center 高并发的数据传输,开发了基于多线程的客户端测试程序,每个线程模拟一个Unit 向Center 服务器程序发送数据包,并设定数据包发送的最小时间间隔为2秒。图3显示了在发送正常数据包情况下并发连接数和CPU 及内存的之间的关系。 图3 正常数据测试结果从图3看出,随着发送数据包的并发连接数从100 逐渐增加到 3000，由于程序需要开辟额外内存 空间来为每个连接请求缓存并处理数据，因此内存 从 542MB 线性增长到了 1259MB，同时 CPU 资源 占用率也从 12%线性增长到 88%。以上可以看出， Cente

31、r 端 服 务器程序具有较高的并发性能，一 台 Center 服务器即可支持 3000 个左右的 Unit 进行并 发数据的传输。 为了测试 Center 端服务器程序遭受恶意攻击情 况下的系统性能，在两组客户端机器上利用测试程 序分别模拟 2000 个 Unit 发送正常数据包进行正常 数据传输和 3000 个 Unit 发送非法数据包进行恶意 攻击。首先运行正常的模拟程序 10 秒钟，系统处于 稳定的状态后，再向 Center 端发送非法数据包，测 试情况如图 4 所示。 模型来提升 Center 端服务程序的并发性，并利用动 态密钥、数据加密、Hash 算法、防恶意攻击等多种 技 术来解

32、 决数 据传输 过程中 的可 靠性及 安全 性问 题。从实验分析可以看出，本文提出的方法很好的 解决了数据传输过程中的可靠性、安全性问题，并 能有效阻止恶意用户对 Center 的攻击。下一步需要 重点研究在 Center 受到恶意攻击时如何能减小数据 丢包率，从而进一步提升系统的稳定性和可靠性。 参考文献： 1 Zhang, Y., and Xiao, H. Bluetooth-Based Sensor Networks for Remotely Monitoring the Physiological Signals of a Patient. IEEE Transactions on Information Technology in Biomedicine, 2009, 13(6:1040-1048. 2 Cao, H., V. Le