医疗自组身体传感器网络的先进的访问控制

摘要

一种安全无线网络(2)包括一种网络(22、24、26)，该网络包括一个或多个无线节点(7、8、10、12、14、16、18、20)。一种列表(5)包括安全元数据，该安全元数据描述了对无线网络(2)中的一个实体或无线网络(2)中的多个实体授予的多个访问权限或多组访问权限。

说明书

本发明涉及无线网络。其具体运用于在无线身体传感器网络中设置信 息的安全通信。然而，可以看出，本发明还运用于在其它无线设备和其它 无线收发机之间进行安全通信。

身体传感器网络(BSN)在医疗上的应用已经受到了关注，通常，身 体传感器网络用于患者护理和监视。BSN包括数据收集节点并可选地包括 控制节点。传感器节点是电池供电的，具有有限的计算能力和存储器，并 且依赖于通过射频的间歇无线通信或身体耦合通信(BCC)。通常，在诸如 医院之类的医疗区域中部署很多(例如，数千个)互连并可互操作的节点。 将多个传感器节点子集相结合，以便形成多个不同的单独BSN。

通常，每个BSN由全部节点中的一个小的子集(通常为2到50个节 点)组成。例如，创建特定的BSN来监视医疗区域中的个别病人。BSN的 大小和组成是先验未知的：BSN节点可在BSN形成的时候即存在或可在随 后添加或删除。在BSN形成之后，一些节点的移动性是有限的，而其他节 点可能具有很好的移动性并且通常属于在相同区域中形成的各个不同的 BSN(例如，由人类用户携带的数据收集和控制节点、由人们所佩戴的传 感器等)。所述的其他节点为无人照管的。按照特定的功能服务和患者的需 求的指示，BSN的使用期限可以是几天、几周或甚至数月。

BSN常常是在公共(例如，医院区域)或不利区域中形成的，在这些 区域中，系统中特别是在BSN中的节点之间的通信会受到不道德的个人的 秘密监视。因此，对访问BSN进行限制，以便仅允许经授权的临床医生访 问BSN，是至关重要的。此外，根据诸如1996年的美国健康保险流通与责 任法案(HIPAA)之类的各种政府法规，必须要维护安全性，HIPAA要求 各可识别的、受保护的健康信息的安全性和机密性。

通常，BSN的安全服务包括：对请求设备是否具有加入网络所需的正 确的相应密钥或其他密码进行鉴别。一旦设备加入网络，该设备就可访问 所有节点。由于使用BSN的环境不断变化，已授权可访问BSN的多个个人 (或多组个人)也不断变化。因此，BSN的自组特性以及BSN的操作需求 使得本领域公知的常规的基于服务器的在线解决方案不适用。

本申请旨在获得一种能够克服上述和其他局限的改进的设备和方法。

根据一方面，本申请公开了一种使用安全节点网络的方法。该方法对 请求方实体具有访问安全节点网络的至少一部分的适当访问权限进行验 证。根据密钥预分配方案对该请求方实体进行鉴别。对包括安全元数据的 列表进行查询，以便判断请求方实体是否具有适当的访问权限。如果查询 结果是肯定的，则准许请求方实体进行访问。

根据另一方面，本申请公开了一种安全无线网络。该安全无线网络包 括：一个或多个无线节点和包括安全元数据的列表，该元数据描述对无线 网络中的一个实体或无线网络中的实体组授予的多个访问权限或多组访问 权限。

根据另一方面，本申请公开了一种对医疗环境中的患者进行无线监视 的方法。向患者提供一个或多个传感器，以便收集要监视的医疗数据，所 述一个或多个传感器构成一个身体传感器网络。允许根据多个角色定义的 不同群体来访问身体传感器网络，这些不同角色的群体具有不同的访问权 限。在允许访问身体传感器网络之前，对群体中的每个成员和相关联的角 色进行鉴别。

本申请的一个优势是自动建立和管理一个安全域，以防止未授权地访 问身体传感器网络(BSN)。

本申请的另一个优势是提供了根据角色来授予临床医生多组访问权限 的能力，这提高了系统的效率。

参照下文对优选实施例的详细描述，本申请的各种其他优势和优点对 于本领域的普通技术人员将是显而易见的。

本申请可实现为各种组件以及组件的排列，和各种步骤以及步骤的排 列。附图仅以说明优选实施例为目的，而不应理解为对本申请的限制。

图1示出了移动传感器系统；

图2示出了对默认角色的进行初始设置的方法，在该方法中，对多个 角色授予多种权限，以使其能够访问身体系统网络中的资源；

图3示出了对个别的临床医生账号进行初始设置的方法，其中，对个 别的临床医生账号授权，以使其能够访问身体系统网络中的资源；

图4示出了对横向授权以使其能访问身体系统网络中的资源的方法， 横向授权就是根据特定临床医生的权限对属于该特定临床医生的小组的其 他经授权的临床医生授权；

图5示出了进行身体传感器网络访问的方法。

先进的访问控制系统和方法

图1示出了无线网络系统2的一个实施例，其包括：设置服务器4，经 授权的临床医生列表(ACL)5，访问权限服务器6，诸如医疗监视器、传 感器、计算机、PDA等等的多个无线节点或无线设备7、8、10、12、14、 16、18和20，诸如身体传感器网络之类的多个网络22、24和26，安全服 务器27以及移动基站27和28。

在图1的例子中，示出了具有全部可能互连的系统2。不是所有的互连 都一直是激活的。例如，一些互连(例如，在设置服务器4和节点7、8、 10、12、14、16、18和20之间的互连)在节点部署之前是激活的，而其他 互连(例如，移动基站27、28和访问权限服务器6之间的互连)在节点部 署之后是激活的。

设置服务器4是专注于安全的服务器，其对基于安全的工作进行协调。 在初始配置阶段(例如，预部署时)，在节点7、8、10、12、14、16、18 和20能够投入使用之前，节点7、8、10、12、14、16、18和20与设置服 务器4相连接。通常，设置服务器4位于物理保护区域内，并且只有经授 权的人员才可访问。设置服务器4向节点7、8、10、12、14、16、18和20 分配使每个网络中的多个节点能够安全地相互通信的对称密钥或其他密 码。其他设置功能包括：向各个节点之一提供患者标识号、日期或时间信 息、诸如传感信息报告频率或标准的初始设置，等等。

例如，移动节点包括：生理监视设备、受控的药物管控设备、PDA式 的设备、嵌入式计算系统或类似设备。例如，一个网络包括：每个生理监 视器、药物管控设备、基于计算机的患者ID、主治医师的PDA等等的节点。 每个移动节点7、8、10、12、14、16、18和20提供一种或多种网络服务。 每个节点可通过发射/接收模块与网络系统10中的任意其他节点进行点对 点通信，以访问一种或多种服务。在优选情况下，点对点通信是单向的和 双向的，并且可以是同步的和异步的。医师通过使用便携式计算机、PDA 等等访问节点7、8、10、12、14、16、18和20，以便为患者提供服务，例 如，管控药物、检查监视设备的状态等等。

例如，节点7、8、10、12、14、16、18和20包括用于收集和转送患 者医疗数据(诸如脉率、血氧水平、血压等等)的传感器。再举一个例子， 节点7、8、10、12、14、16、18和20包括用于从传感器收集数据并将数 据或其中选定的部分传送到医院网络的节点。再举一个例子，节点与诸如 输液泵之类的医疗仪器合并，以便监视和控制药物剂量。节点7、8、10、 12、14、16、18和20中的任何一个或几个都可以和节点7、8、10、12、 14、16、18和20中其他节点的一个或几个建立无线连接。在很多情况下， 节点7、8、10、12、14、16、18和20是CPU、存储器和电池受限型的。

身体传感器网络(BSN)22、24和26包括无线网络节点，无线网络节 点与一个或多个患者29连接。由于系统2中的节点数量大，因此BSN 22、 24和26的带宽通常是受限的。例如，在医院环境中，可能存在成百上千的 这种节点和成百上千的BSN 22、24和26(例如，每个患者有一个或多个)。 移动基站(MBS)或设备27、28用于访问BSN的数据并配置BSN。

经授权的临床医生列表(ACL)5包括已被授权可以访问系统2的特定 部分(诸如，特定BSN，具体地说，BSN中的特定节点)的临床医生的列 表。在一个实施例中，经授权的临床医生列表5是一种包括经授权的临床 医生列表的查找表或对照表。例如，在一些实施例中，经授权的临床医生 列表5实现为平面文件，而在其他实施例中，经授权的临床医生列表5实 现为关系数据库中的一个表格(或图表中编组的表格系列)。

访问权限服务器(ARS)6是系统2中专注于安全的服务器，其根据节 点7、8、10、12、14、16、18和20的请求，通过移动基站27、28对经授 权的临床医生列表进行查找。一旦接收到请求，就对相应的经授权的临床 医生列表进行查找，并经由相应的移动基站27、28将结果返给请求节点7、 8、10、12、14、16、18和20。在一些实施例中，经授权的临床医生列表5 与访问权限服务器6合并在一起，而在其他实施例中，经授权的临床医生 列表5与其他适当的服务器(例如，设置服务器4)合并在一起。因此，在 没有访问权限服务器6的环境中，通过经授权的临床医生列表5直接对经 授权的临床医生列表进行查找。在一个实施例中，经授权的临床医生列表5 与每个患者或一组患者相关联。例如，经授权的临床医生列表5和关联于 每个患者的控制设备30合并在一起。

在一个实施例中，多个节点和/或移动身体设备27、28之间的安全通信 是通过使用确定性成对密钥预分配方案(DPKPS)实现的，其产生强大有 效的密钥系统，以提供对系统中节点(如，医院里的传感器、医疗移动设 备和临床医生)的标识和鉴别。在确定性成对密钥预先分配方案(DPKPS) 中，在对节点7、8、10、12、14、16、18和20(移动身体设备27、28) 进行部署之前，使用唯一设备密钥资料对节点7、8、10、12、14、16、18 和20(移动身体设备27、28)进行初始化。每个设备密钥资料明确地与这 个设备标识符相关联。在操作中，设备7、8、10、12、14、16、18、20、 27、28中具有预先分配的密钥资料的任一对设备可以相互鉴别。

在一个实施例中，在将唯一的密钥资料预先分配给每个设备7、8、10、 12、14、16、18、20、27、28的情况下，使用层级式的确定性成对密钥预 分配方案(HDPKPS)。密钥资料决定了在多个安全域构成的L层层级式基 础结构中一个设备所属的L个安全域。HDPKPS密钥资料明确地与设备标 识符相关联。在操作中，至少在最高安全层，任一对设备使用他们的密钥 资料来建立成对的对称密钥。具体而言，如果下面的条件成立，则任何两 个设备可建立在安全层k的成对密钥，(i)两个设备属于k层上的相同安全域， 并且(ii)两个设备能够通过i层上的设备标识符明确地相互识别，其中i≤k。

在其他实施例中，使用其他合适的对称密钥预分配方案(例如，Blom、 Blundo等人)作为安全网络通信的基础框架。

在一个实施例中，为系统2中的一个临床医生或临床医生组授予一组 特权或一个角色，以便使其访问节点7、8、10、12、14、16、18和20。如 下文中的详细描述，因为临床医生通常以小组的形式工作，所以使用角色 是很有益的。当一个特定的小组成员接收到访问特定BSN 22、24和26的 权限时，对系统2进行配置，使得对属于该小组的所有临床医生也授予相 同的访问权限。此外，使用角色提高了在系统2的节点和其他存储受限设 备中存储面向安全的元数据的效率。此外，不同的角色可具有不同的访问 权限。例如，医师具有读取数据、改变监视或报告进度表、改变药物剂量 等等的权限。护士只具有读取数据的权限。技术员具有读取电池电量、读 取监视器自身诊断输出、运行节点诊断程序等等的权限，但是拒绝其访问 医疗数据。

先进的访问控制系统的初始配置

本文中使用的术语“角色”用于标识一组执行类似任务、具有相似的 属性或责任的个人。例如，在医院中，用角色“医生”标识一些临床医生。 角色结合访问权限的概念用于加强基于角色的访问控制，而不只是个人访 问控制，或者对个人访问控制的补充，例如，这种先进的访问控制系统使 基于角色的访问控制和个人访问控制都得到加强。在系统2中，对人类用 户施加角色，例如，临床医生。由系统2的多个特定组件(例如，节点) 或多组组件(例如，BSN)来加强访问权限。将访问节点、BSN等等的特 定访问权限授予给角色。

根据一个实施例的各个方面，创建角色，以便反映医院中的临床医生 的类别。例如，角色包括“医生”角色、“护士”角色和“医疗技师”角色， 表示在常规医院中的临床医生的三个类别。考虑三种分别类别的相关职责， 例如，医生角色与最大的权限集合相关，而护士与不同的权限集相关联， 医疗技师与最小的权限集相关联。

在另一个实施例中，存在表示关于医院的不同部门的子类别的角色， 并且其对应BSN。例如，该角色包括“心脏病专家”角色和内科医生角色， “心脏病专家”角色向对应于涉及心脏病患者的BSN(例如，用于监视心 脏的BSN)的适当临床医生提供权限，内科医生角色为内科医生提供对适 当的内科BSN进行访问的权限。在另一个实施例中，角色是基于每个患者 来定义的。例如，诸如由患者佩戴的控制设备之类的节点存储经授权的用 户的身份信息。例如，对于一个患者而言，一个临床医生具有“理疗师” 角色，而对于另一个患者而言，该临床医生具有“诊断师”角色。对于每 个角色，提供不同组的访问权限。

图2示出了对默认角色进行初始设置的方法31，其中，对角色授权， 以提供对BSN 22、24和26中的资源的访问。在步骤32，使用DPKPS密 钥或其他密钥预分配方案来配置密钥资料。

在步骤34，定义初始角色，并且新定义的角色与作为角色标签的DPKPS 标识符相关联。例如，给角色医生分配DPKPS标识符100，或者，给医生 “Joe Doe”分配DPKPS标识符23。根据对应的DPKPS标识符，对各个角 色进行标识、鉴别和授权。在步骤36，每个角色与默认权限相关联，以便 与系统2的组件相通信。

在一个实施例中，为每个临床医生提供一个设备(通常为个人数字助 理(PDA))，其配置有用于访问系统2中的节点7、8、10、12、14、16、 18和20的DPKPS。通常，PDA是由临床医生携带的手持计算机，并且用 于提供对系统2中的节点7、8、10、12、14、16、18和20以及BSN 22、 24和26的无线访问。数据在PDA和系统2中的其他服务器之间是同步的 (如下文中的详细描述)。此外，PDA也可以提供电子邮件、网页浏览和蜂 窝电话服务的功能。文中使用的术语“PDA”也可以是由临床医生用于访 问系统2中的BSN 22、24和26的任何其他合适的设备，包括便携设备和 可佩带设备。当然，也可以预期使用允许与PDA进行对接通信的其他设备。

为了对PDA丢失或被盗的发生进行处理，在一个实施例中，PDA的操 作系统能够自锁定设备并要求特定的密码才能访问该PDA。另外，系统2 的各种服务器和节点可配置有本领域公知的另外的安全特征，以便限制对 个人服务器和节点进行未授权的访问。

再参照图2，在步骤38，DPKPS或其他密钥资料(例如成对密钥的一 部分)与每个角色ID相关联，并存储在(即，存储在存储器中或写到磁盘 上)临床医生的PDA中。在步骤39，初始角色ID和其相关的默认权限存 储在每个节点7、8、10、12、14、16、18和20中。存储在节点7、8、10、 12、14、16、18和20中的关于初始角色的数据对应于存储在PDA中的面 向角色的数据。

图3示出了对个人临床医生账号进行初始设置的方法40，其中，对个 人账号授权，以便提供对资源(特别是BSN 22、24和26中的资源)的访 问。在步骤42，对DPKPS或其他密钥的正确设置进行验证。在步骤44， 使用DPKPS或其他标识符对访问系统2的每个临床医生进行单独标识。对 于每个已标识的临床医生，在步骤46，对特定个人的相关权限进行标识。 在步骤48，新确定的个人相关权限和相关DPKPS或其他密钥资料存储在临 床医生的PDA中。

先进的访问控制系统的继续配置

临床医生通常以小组的方式工作，小组包括相似职责的其他临床医生 (例如，一组医生，或一组护士)。通常，以下做法是有益的，即允许对特 定临床医生小组的全部经授权的成员自动地授予全部适当的特权，以访问 全部适当的BSN 22、24和26。在一些例子中，可根据授予小组成员的共 同角色来标识该小组的成员。例如，如果一个特定的临床医生是心脏病专 家，则这个特定临床医生所属小组的经授权的成员都是心脏病专家，他们 都可授予“心脏病专家”角色。根据一些实施例，根据队友的权限，对分 配为心脏病专家角色的全部临床医生都自动授予权限一这一方案称为横向 授权。

图4示出了进行横向授权以便访问BSN 22、24和26中资源的方法50， 其中，将特定的临床医生的授权推广到属于该特定临床医生小组的其他经 授权的临床医生。在步骤52，属于经授权的临床医生小组的临床医生的ID 存储在该临床医生的PDA中。

在步骤54，根据对经授权的临床医生列表5的查找，确定与属于该小 组的每个临床医生的ID相关联的访问权限。这些权限已经授予临床医生， 作为直接授予的个人权限或作为授予一个角色再授予临床医生的权限。最 后，在步骤56，新确定的权限存储在临床医生的PDA中，所述的临床医生 是获得了横向授权的临床医生。

先进的访问控制系统的继续配置

一些实施例提供了用于管理系统2中的变化的手段，这些变化是由于人 员变化(例如，临床医生小组变化)或节点变化(例如，添加、去除或修 改节点7、8、10、12、14、16、18和20)或其他变化而引起的。例如，如 果特定的临床医生决定从特定的医院辞职，就将该临床医生的访问权限从 系统2中取消。或者，将新的临床医生加入该临床医生小组并且(通过个 人访问权限和角色)建立适当的访问权限。另外，如果其他临床医生获得 了另外的专业技术，则他/她的访问权限可相应提高。

使用经授权的临床医生列表5中的最新变化对临床医生的PDA(或用 于访问BSN 22、24和26的其他这类设备)进行定期的更新。在一个方面， 经由与访问权限服务器6的定期连接，多个临床医生的PDA进行“同步” 操作，在此期间请求针对经授权的临床医生列表5进行查找，(或者，在不 使用访问权限服务器6的实施例中，直接对经授权的临床医生列表5进行 查找)。

下文是在同步操作期间执行的一些示例性任务：

1、对存储在PDA中的访问权限进行升级和降级，以便反映出对小组 中每个现有临床医生的相关ID授予的最新权限。

2、将ID(不包括关联的密钥资料)存储到新加入小组的临床医生的 PDA中。

3、在PDA中存储与每个新加入小组的临床医生相关联的访问权限。

4、取消与离开小组的每个临床医生的ID相关联的PDA访问权限。

采用这种方式，对访问权限进行及时地监视和自动更新。由于医院环 境的不断发展(例如在住院医师轮换的情况下)，所以这一点特别重要。

节点到身体传感器网络的受监控的关联

在患者设置过程中，为了准备对患者进行监视，临床医生将节点7、8、 10、12、14、16、18和20中的两个或多个连接到患者。节点7、8、10、 12、14、16、18和20中的两个或多个节点的对称密钥和关联形成了BSN 22、 24和26。

在部署阶段，BSN 22、24和26的创建包括两个步骤。在第一步中， 对进行患者设置的临床医生角色进行标识。在第二步中，对临床医生的标 识角色的对应角色ID是否得到授权以设置新的BSN 22、24和26进行判断。 在上述的每个步骤中，都查找经授权的临床医生列表5，以便检索合适的数 据。同时，也可以预期的是，通过验证存储在每个节点中的信息(例如， 密钥资料和标识符)来关联各个节点。或者通过可由患者29佩戴的控制设 备30来关联各个节点。

身体传感器网络安全域

在特定的BSN 22、24和26形成之后，只能由具有被分配为“设置” 角色(也称为“特级”角色)的账号的个人对特定的BSN进行访问和重新 配置。在一个实施例中，将设置角色分配给信息技术管理员或医院管理员。 在另一个实施例中，将设置角色分配给特定的临床医生，例如，小组领导 或主管临床医生。除了具有访问BSN 22、24和26的权限之外，设置角色 还可按照需求对BSN 22、24和26进行重新配置，例如，添加节点、删除 节点、改变节点设置等等。

在操作中，由设置节点执行的功能至少包括以下各项：首先，允许其 选择一组角色和个别临床医生ID，并使访问权限与各个角色和ID相关联。 其次，为BSN 22、24和26中的适当节点7、8、10、12、14、16、18和 20下载对应于所选角色和ID的授权信息。

身体传感器网络访问控制

图5示出了进行受控的身体传感器网络访问的方法60。在步骤62，根 据发出请求的临床医生的ID对经授权的临床医生列表5进行查找，以便确 保该临床医生已访问BSN 22、24和26。另外，根据分配给发出请求的临 床医生的角色进行查找。接下来，在步骤64，对发出请求的临床医生的ID 和任何已分配给临床医生的角色进行鉴别。一旦上述步骤成功完成，则在 步骤66，对发出请求的临床医生授予访问权限，使其能够访问已得到授权 的BSN 22、24和26中的那些资源。

如上所述，移动传感器和设备在网络中完成自组式的监管关联。授权 用户的自组列表是受保护的。外部用户在受控方式下访问网络和网络设备。

上面参照优选实施例对本申请进行了描述。根据对上文中详细描述的 阅读和理解，可以对本申请进行修改和变化。可以对本申请做出这些修改 和变化，而不脱离权利要求书及其等同物界定的本申请精神和保护范围。