世界各地的医疗机构和监管机构都认识到,需要能够以电子方式跟踪医用耗材,以防止意外的重复使用和伪造行为。在这篇来自 Analog Devices 的文章中,了解实施一种安全、低成本的认证方法的要求,这种方法适用于整个供应链中医疗耗材的接触式和非接触式连接。
现在,许多医疗手段都依赖于嵌入到一次性耗材中的先进技术。在本应用笔记中,一次性、耗材和一次性使用通常都是指在丢弃前使用次数受限制的任何医疗物品。这些物品涵盖广泛的应用,从手术中使用的高级导管探头到电子外科工具、药物输送笔和药瓶。在这些耗材中,许多只能使用一次就被丢弃,这出于医疗和患者安全考虑。
为保证患者健康,许多一次性用品需要在受控条件下进行处理、消毒和操作。对于某些产品,使用一次后,这些条件就无法再得以保证。世界各地的政府机构已经认识到,为解决与患者安全相关的巨大风险,需要控制重复使用和防止伪造问题。为确保使用次数有限的医疗产品不被重复使用或使用太多次,医疗设备设计中的认证和安全性必不可少,并且可以高效地从供应链中检测和剔除假冒产品。
现在许多耗材都具有电子功能,有助于提高可用性和准确性。例如,许多脉搏血氧仪传感器包含小型存储器件和接口电子装置,为仪器提供制造过程中获得的校准数据。由传感器或其他类型的一次性产品所存储的其他信息,有助于使用传感器的仪器对其进行识别。这有助于确保使用正确的传感器,保障质量控制,并跟踪传感器或工具之前是否曾被使用过,如果使用过,则使用过多少次。
到目前为止,政府机构对假药的关注度最高。然而,美国食品药品监督管理局 (FDA) 推出了医疗设备唯一标识 (UDI) 系统,这是在一次性设备方面迈出的一步。这一要求不足以瓦解高价值医疗设备供应链中遇到的复杂伪造活动。图 1 显示了一个 UDI 标签的示例。
图 1.UDI 标签示例。(来源:Meditronic)
UDI 仅要求物品包含明文形式的产品标识符,以及批号、序列号、生产日期和有效期。如果制造商不采取额外的措施来控制使用,这些标识符可能会被伪造或复制并投入使用。
电子保护措施可为制造商提供更多的功能和控制,并通过在设备本身嵌入序列号等数据,为 UDI 和类似法规要求提供额外的支持。然而,在电子保护措施中只使用 UDI 数据不是一种有效的保护,因为它可能被懂行的伪造者模仿。
通过接触式或非接触式电气接口,可以轻松地将认证解决方案添加到一次性医疗用品中。对于接触式应用,一次性产品和主机仪器之间的机电连接器接口通常受引脚限制,需要非常高效的解决方案。通过单个专用引脚同时处理电源和数据的认证产品可出色地解决这一限制。对于非接触式应用,可以利用 RFID/NFC 等低成本无线接口的认证产品。使用 RFID/NFC 的应用示例包括不需要插入主机仪器的耗材,例如生物识别传感器贴片、化学试剂瓶或用于药物/流体输送的容器。
在协议层面,认证设备最简单的电子方法是设置一个密码,原则上只有耗材制造商知道该密码,且任何兼容的主机仪器都可以识别该密码。连接后,主机请求提供密码,并与自己的数据库核对。这种方法一个关键的缺点是,攻击者可以轻松窃听通信。被记录下来后,同一个密码可以用来认证许多伪造的设备。
更好的方法是在设备内部保留秘密识别码,并使用质询-响应协议来确定产品的真伪。为保持这种代码更好的安全性,将协议建立在广泛使用和仔细分析的加密认证机制上是一个重要步骤。这就产生了两种关键类型的质询-响应方法:一种基于对称密码,另一种基于非对称密码。
对称(也称为密钥)密码式认证以主机和耗材共享的密钥为中心,如图 2 所示。在质询-响应协议中,主机向设备发送一个随机数作为其质询。回复应是一个数字签名,该签名使用对称密钥算法(如安全散列)基于该随机数和共享密钥计算生成。主机运行相同的计算,如果耗材的响应不同,它可以拒绝该部件。如果两个计算结果匹配,则认为该设备是可信的。
图 2. 在各种类型的加密算法中执行的认证。
为确保黑客无法使用多轮质询和响应来对计算中的步骤进行逆向工程,并在此过程中检索存储的代码或密钥,函数必须具有强大的数学特性,并且实际上是单向函数。这种函数在正向上很容易计算,但在反向上不具有数学可行性。SHA-2 和 SHA-3 安全散列函数就是这种单向函数的例子。这两种算法都是无碰撞散列函数,不可能找到一个以上的输入来产生给定的输出。另一个特性是,它们具有很高的雪崩效应,即输入的任何变化,哪怕是一个比特,都会对结果产生重大影响。
非对称加密,也称为公钥,基本上是用一对密钥操作的:一个公钥和一个私钥。需要保护的私钥通常存放在一次性设备上使用的认证 IC 中。主机系统将使用与该 IC 私钥相关联的公钥。顾名思义,公钥可以公开披露,不会给系统安全实现带来风险。对于认证来说,这消除了对主机系统和一次性设备建立类似于对称情况下的共享密钥要求,但代价是主机系统的数学实现要复杂得多。
质询-响应协议采用与对称加密相同的广泛方法。但主机将使用来自认证器的公钥,通过 ECDSA 之类的非对称算法来验证响应签名。使用该算法获得的成功结果可证明被认证的设备知道秘密私钥。同样,该设备在不公开实际密钥的情况下证明了其真实性。
最适合认证应用的对称或非对称算法类型取决于几个因素。从安全强度角度来看,两者在通常情况下是等效的。非对称类型(如 ECDSA)的数学运算比对称类型(如 SHA3)需要更多的计算资源。然而,这可以通过合适的主处理器或专用的简单协处理器来克服。如果在主机端,认证的实施将在微处理器上完成,并且该微处理器没有保护敏感密钥数据的安全特性,那么非对称类型就很不错。如所讨论的那样,非对称公钥可以公开披露,而不会给系统安全带来风险。相反,对于对称类型,解决方案的主机端需要存储一个密钥,如果被发现,会使安全解决方案处于高风险中。同时,与非对称类型一样,对称类型的专用协处理器可用于解决主机端算法计算或密钥存储需求。那么,应该用哪一个呢?当存在更严格的密钥基础设施需求时,非对称类型的效果很好。例如,前面提到的证书用于证明认证器 IC 公钥是可信的。在不需要公钥基础设施的情况下,对称类型在主机系统和附加的一次性用品或耗材的深度嵌入边界内效果非常好。
实施认证解决方案后,也存在着以下风险:伪造者会试图通过直接探测和攻击认证 IC 来检索密钥,从而破坏安全性。利用这种类型的攻击,坚定的伪造者将使用专门的设备侵入设备封装,试图探查内部总线并读取或写入可能存储密钥的存储器和寄存器内容。因此,必须在 IC 中设计反制措施来击败这一威胁。
这种入侵性攻击可以使用各种方法来应对。例如,IC 中设计的篡改检测电路可以主动监控探测企图。如果检测到探测事件,设备将拒绝正常运行,且将所有密钥和其他敏感数据清零。另一个最近部署的保护解决方案是物理不可克隆功能 (PUF)。从根本上说,PUF 是一种电路,旨在利用半导体制造中存在的电气特性的随机变化来产生随机数。例如,基于 Maxim PUF 的 ChipDNA™ 安全认证器根据 IC 本身精确但随机的模拟特性,即时生成密钥。当 PUF 为每个 IC 产生的值是随机的,但在所有操作条件下都不会发生变化,并且不能通过入侵性攻击或逆向工程工作被发现或复制时,PUF 非常适合于加密密钥/秘密目的。除了加密操作的瞬时持续时间,PUF 密钥值从不以数字形式存在于认证器 IC 的电路中。此外,因为密钥是根据电路元件的物理特性按需导出和产生的,所以它从不存在于设备的非易失性存储器中。如果被探测到,构成 PUF 电路的敏感元件会永久改变其电气特性,导致密钥值改变并不再有效。这能够有效地令认证 IC 失去可操作性,从而对任何破坏安全性的企图形成明确的威慑。
PUF 技术可通过多种方式用于安全功能和认证。在一个使用案例中,基于 ChipDNA 的认证器在正常制造过程中安装在耗材上。对于这个例子,PUF 输出可以作为公钥/私钥实施方案中的私钥。之后,在测试或供应阶段,测试设备向硬件和认证 IC 发送命令,以根据由 PUF 核心生成的私钥来计算公钥。实际的 PUF 输出值本身从未被披露或从 IC 中读出。
一旦获得公钥,一次性医疗用品制造商就会根据公钥和他们自己的公司私钥创建一个证书。该证书被写入 ChipDNA 认证器 IC 内的受保护存储器。该证书随后将证明设备提供的公钥与工厂计算的公钥相同,因此可以被医疗主机仪器所信任——没有公司私钥,任何人都无法创建有效的证书。在现场使用时,耗材通过使用 PUF 技术即时生成必要的私钥来签署任何消息。只要主机持有与该设备相对应的公钥,它就可以验证耗材是正品。
除支持 ChipDNA 外,Maxim 的 DeepCover® 系列中的安全认证器还支持许多功能,这些功能对于支持防伪策略和安全管理医疗程序的使用非常有用。例如,一些 DeepCover 器件包括仅递减计数器。当这种计数器低于设定的阈值时,主机系统可以拒绝运行,直到用新产品替换掉一次性用品。通过使用 Maxim 的 1-Wire® 接口,可以向安全设备提供电源和串行数据,因而无需对耗材实施单独的电源和数据连接,并最大限度地降低任何机电连接器的成本。图 3 显示了一些使用 1-Wire 接口的一次性医疗工具或传感器的例子。
图 3. Maxim 的 1-Wire 接口用于医疗传感器和设备。
支持 NFC 的认证器允许与无法实现机电连接器的一次性用品一起使用。它们还为那些没有固有电子功能,但需要向医疗保健专业人员证明真实性和使用情况验证的耗材提供解决方案。许多 DeepCover 器件的另一个好处是它们能够经受伽马射线或电子束辐照,而有些医用一次性用品会使用这些辐照进行消毒。这些器件可耐受高达 75kGy 的辐照。
DeepCover 技术有多种使用方式。一个例子是智能导管,使用超声波等技术为外科医生提供患者动脉内部环境的更清晰视图。超声波传感器嵌入在设备的顶端,使用串行连接将数据报告回主机。在导管连接器内部运行的 DeepCover 器件能够检查其是否属于正品且未使用过,因此满足这种关键应用的所有灭菌和质量要求。
嵌入手术工具的 DeepCover 器件可以使用通过低成本电气接口发送的消息来控制认证,还可以存储制造过程中需要添加的校准数据,以实现其设计性能。
具有较高内在价值的非电子一次性用品,如药瓶或化学试剂瓶,可以在塑料中嵌入或附着一个支持 NFC 的小型 DeepCover 器件。相应的 NFC 读取器将对瓶子进行认证,并对 NFC 安全 IC 执行额外的基于使用情况的保护性写入。随着具有嵌入式传感器的一次性用品和耗材变得越来越普遍,除认证外,对传输到主机设备的患者数据进行加密的能力也将变得至关重要。这可以通过嵌入式 DeepCover IC 来支持。
许多其他使用案例也是可能的,并通过 DeepCover 系列器件提供的一系列选项和功能来实现,包括 Maxim 生产基础设施中的可选密钥/保密个性化服务。