嵌入式IoMT設備的安全設計

醫療行業(yè)對連接設備的日益依賴(lài)使其易受網(wǎng)絡(luò )攻擊，排名僅次于小型企業(yè)。為了防止潛在的災難，美國食品藥品監督管理局（FDA）已經(jīng)制定了可供醫療設備制造商遵循的嵌入式設備安全實(shí)現指南。這份指南涵蓋了設計、開(kāi)發(fā)、產(chǎn)品發(fā)布、售后支持和停產(chǎn)等各個(gè)階段。盡管FDA指南中的信息對于設計人員來(lái)說(shuō)是必讀的，但它通常以高層級角度編寫(xiě)，最常見(jiàn)的是闡述應當實(shí)現哪些功能，而沒(méi)有說(shuō)明如何實(shí)現。為了幫助醫療設備設計人員深入研究，本文提供了一些缺失的細節。

自2014年以來(lái)，FDA一直在發(fā)布關(guān)于醫療行業(yè)網(wǎng)絡(luò )安全的建議，每一項都在更新之前的要求以應對快速演變的威脅態(tài)勢。最新指南包含在2022年4月發(fā)布的“醫療設備中的網(wǎng)絡(luò )安全：質(zhì)量體系考慮因素和售前提交內容：行業(yè)和食品藥品監督管理局員工的草案指南”中。它主要有三個(gè)部分：

一般原則：

如何以及為什么網(wǎng)絡(luò )安全應該是設備安全、質(zhì)量體系規定的一部分，如何為安全進(jìn)行設計，為什么提供透明度至關(guān)重要，以及提交文檔。

安全產(chǎn)品開(kāi)發(fā)框架：

如何使用威脅模型和包含安全控制、全局系統和多模式傷害視圖的安全架構來(lái)管理和評估安全風(fēng)險，以及更新和補丁的需要。這部分還提供了關(guān)于網(wǎng)絡(luò )安全測試的詳細信息。

網(wǎng)絡(luò )安全透明度：

通過(guò)貼標簽和建立漏洞管理計劃來(lái)傳達，它承認用戶(hù)具有不同的緩解能力，并且解決方案應適合每一個(gè)人。

不過(guò)，對于嵌入式系統設計人員來(lái)說(shuō)，最有用的信息在最后的附錄1中，包括關(guān)于身份驗證、授權、加密技術(shù)、執行完整性、事件檢測、記錄彈性、固件和軟件更新的信息。

有必要單獨涵蓋每個(gè)主題，以填補FDA廣泛指南中缺失的細節。

首先，身份驗證對于安全模型而言必不可少。公鑰/私鑰對和關(guān)聯(lián)的證書(shū)鏈將醫療設備連接到網(wǎng)絡(luò )。需要將私鑰與可能包含漏洞并使密鑰容易獲取的設備固件隔離。FDA建議將加密密鑰置于類(lèi)似于Microchip的CryptoAuthentication?安全IC的防篡改安全密鑰存儲中。

必須通過(guò)信任彼此的設備和云來(lái)驗證到云服務(wù)器的連接。雖然可以對每個(gè)會(huì )話(huà)都進(jìn)行驗證，但這可能會(huì )在電池供電的物聯(lián)網(wǎng)（IoT）設備中消耗大量電能。硬件加密加速器和安全密鑰存儲的組合顯著(zhù)緩解了這個(gè)問(wèn)題，因為它可在休眠模式下保持納安級的極低電流。

用戶(hù)身份驗證允許管理員、技術(shù)人員和其他人員進(jìn)行特權設備訪(fǎng)問(wèn)，這引入了密鑰認證的概念。這類(lèi)用例是通過(guò)預定義的CryptoAuthentication集成電路（IC）配置利用Trust Platform Design Suite（TPDS）開(kāi)發(fā)工具提供的。

信息真實(shí)性對于在嵌入式系統中為消息簽名并驗證其可信度必不可少。雖然密碼認證IC本質(zhì)上處理加密或未加密的消息驗證，但也可以使用采用對稱(chēng)的相關(guān)加密加速器的消息驗證代碼（MAC）。

授權是FDA指南的另一個(gè)重要貢獻，因為它建立了最小特權原則，即在可信執行區和應用區之間設置權限和許可來(lái)管理關(guān)鍵代碼。每個(gè)模塊只能訪(fǎng)問(wèn)實(shí)現其目的所需的信息和資源。

加密技術(shù)顯然是確保安全的另一個(gè)關(guān)鍵因素。FDA明智地建議使用標準加密算法，因為在大量社區用戶(hù)輸入的幫助下，公共組織不斷對它們進(jìn)行測試和更新。加密密鑰將驗證數據的完整性，但不會(huì )驗證有效性，因此設計人員必須驗證所有來(lái)自外部源的數據是否結構良好并符合相應的規范或協(xié)議。

機密性與身份驗證和授權有關(guān)，如果加密密鑰在硬件中未被保密，則可能發(fā)生未經(jīng)授權的使用。制造商應確保對所有可能被黑客利用，從而對患者造成傷害的數據的機密性提供支持。在處理和存儲用于身份驗證的加密密鑰時(shí)，必須確保機密性，因為披露可能導致對設備功能的未經(jīng)授權使用或濫用。

FDA文件提供了正確實(shí)現授權和身份驗證方案的信息，這些方案通常會(huì )確保機密性。不過(guò)，設計人員應當在威脅建模期間評估是否為這種情況，并對系統進(jìn)行必要的更改以確保采取適當的控制措施。

此外，FDA還說(shuō)明了事件檢測和記錄，同時(shí)建議將它們存儲下來(lái)以供取證發(fā)現使用。這涉及保留和恢復可信的默認設備配置，設計人員必須確定如何使用安全密鑰存儲來(lái)實(shí)現這一點(diǎn)。

可以合理地假設，現在所有物聯(lián)網(wǎng)（IoT）設備都允許進(jìn)行無(wú)線(xiàn)（OTA）固件和軟件更新，但事實(shí)是許多這樣的設備沒(méi)有這種能力。沒(méi)有適當的固件，便無(wú)法快速部署系統更新來(lái)應對最新的威脅。代碼更新也應符合已建立的用戶(hù)權限，因為擁有公鑰的人員可以控制OTA更新并注入有害代碼。

幸運的是，CryptoAuthentication  IC讓這個(gè)過(guò)程變得既簡(jiǎn)單又自動(dòng)化，并且可以確保更新得到執行。單個(gè)CryptoAuthentication  IC可以安全地存儲FDA提到的大部分（如果不是全部）用例的加密密鑰。

總結

對于醫療設備制造商而言，FDA的最新指南涵蓋的范圍十分全面，目的是推動(dòng)醫療系統網(wǎng)絡(luò )安全領(lǐng)域的發(fā)展。這些指南以可納入立法的形式編寫(xiě)，而不是作為嵌入式系統設計人員的“操作指南”，這就是為什么基準級別的討論只包含在附錄中。

Microchip花費多年時(shí)間開(kāi)發(fā)出一套安全設備和工具的可信生態(tài)系統，在開(kāi)始開(kāi)發(fā)將包含在下一代醫療產(chǎn)品中的系統之前，它是一個(gè)很好的起點(diǎn)。