ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΠΡΟΓΡΑΜΜΑ ΜΕΤΑΠΤΥΧΙΑΚΩΝ ΣΠΟΥ ΩΝ ΣΤΗΝ ΕΠΙΣΤΗΜΗ ΤΩΝ ΥΠΟΛΟΓΙΣΤΩΝ ιπλωµατική Εργασία Μεταπτυχιακού ιπλώµατος Ειδίκευσης «End-to-End Information Security in Archangel» Βασιλική Καρυώτη Επιβλέπων: Ιωάννης Μαριάς 2 ος Αξιολογητής: Γεώργιος Ξυλωµένος ΑΘΗΝΑ, ΙΟΥΝΙΟΣ 2009
Περίληψη Σύµφωνα µε αποτελέσµατα δηµογραφικών µελετών ο πληθυσµός του πλανήτη µας «γερνάει». Όλο και περισσότεροι άνθρωποι ανήκουν στην οµάδα της τρίτης ηλικίας µε αναπόφευκτο αποτέλεσµα να χρήζουν φροντίδας και παρακολούθησης. Με στόχο την ιατρική φροντίδα ατόµων, που δεν υποφέρουν από σοβαρές ασθένειες, αλλά από συνηθισµένες παθήσεις της τρίτης ηλικίας, το πρόγραµµα Αρχάγγελος επιτρέπει την παρακολούθηση τους µέσα από ένα δίκτυο ασύρµατων αισθητήρων, τεχνολογίας RFID, µέσα στο ίδιο τους το σπίτι, χωρίς να παρεµβαίνει στην καθηµερινότητα και τις δραστηριότητες τους. Η καταγραφή των κινήσεων και των συµβάντων µέσα στα πλαίσια του σπιτιού, θα ακολουθείται από προώθηση και στην ανάλυση για εξαγωγή συµπερασµάτων από τρίτους φορείς προς λήψη των ιατρικών αποφάσεων. Σηµαντικός παράγοντας στην οµαλή λειτουργία του εγχειρήµατος είναι η υποστήριξη ασφαλούς διακίνησης των δεδοµένων, ιδιαίτερα εξαιτίας του ευαίσθητου και πιθανώς επείγοντος περιεχοµένου τους. Με τον όρο ασφάλεια αναφερόµαστε σε τρεις παράγοντες: την εµπιστευτικότητα (confidentiality), την ακεραιότητα (integrity) και την αυθεντικοποίηση (authenticity) των ιατρικών πληροφοριών που συλλέγονται και διακινούνται. Θα εξετάσουµε τους πιθανούς κινδύνους που απειλούν µια τέτοια αρχιτεκτονική και θα παρουσιάσουµε λύσεις και τακτικές που τους αντιµετωπίζουν ή ελαχιστοποιούν την επίδραση τους.
Περιεχόµενα 1. Εισαγωγή...1 2. Αρχάγγελος (Archangel)...3 3. Το δίκτυο του Αρχάγγελου...8 3.1. Προδιαγραφές και επισηµάνσεις...9 3.2. Ασφάλεια ασύρµατου δικτύου...10 4. Ασφάλεια στο δίκτυο του Αρχάγγελου...13 4.1. Από τον παθητικό αισθητήρα ως τον ενεργό αναγνώστη...14 4.2. Από τον ενεργό αναγνώστη στο Access Point...21 4.3. Από το Access Point στον Broker...29 4.4. Από τον Broker στο ιατρικονοσηλευτικό ίδρυµα παρακολούθησης...32 4.5. Από το ιατρικονοσηλευτικό ίδρυµα παρακολούθησης στο υπεύθυνο οικογενειακό µέλος...34 5. Εφαρµογές συστηµάτων ασύρµατων αισθητήρων RFID στον τοµέα της παροχής νοσηλείας...37 6. Συµπεράσµατα...40 7. Παράρτηµα...42 8. Αναφορές...45
1. Εισαγωγή Σύµφωνα µε αποτελέσµατα δηµογραφικών ερευνών και µελετών ο πληθυσµός του πλανήτη µας «γερνάει». [1] Περισσότεροι άνθρωποι ανήκουν στην οµάδα της τρίτης ηλικίας και όλο και λιγότεροι ανήκουν στους νέους, µε ρυθµούς µάλιστα ανησυχητικά αυξανόµενους. Ως αναπόφευκτο αποτέλεσµα, όλο και περισσότεροι άνθρωποι θα χρήζουν φροντίδας και όλο και περισσότερα περιστατικά παθήσεων που αφορούν ηλικιωµένους θα απαιτούν αντιµετώπιση. 1 Πέρα από τα άτοµα που είναι απαραίτητο να βρίσκονται σε νοσοκοµειακά και θεραπευτικά ιδρύµατα, αλλά είτε ακόµα και στην οικία τους, υπό στενή και συνεχή παρακολούθηση, µεγάλο τµήµα του «ηλικιωµένου» πληθυσµού δεν απαιτεί κάτι τέτοιο. Αυτό το µέρος του κοινωνικού συνόλου χρειάζεται µια πιο χαλαρή εποπτεία, όπως να εξασφαλίζεται η συνεπής χορήγηση φαρµάκων, η αποφυγή µικροατυχηµάτων µέσα στο σπίτι, η οµαλή λειτουργία των οικιακών συσκευών, η ασφαλής πραγµατοποίηση του καθηµερινού προγράµµατος του ατόµου και των δραστηριοτήτων του ελεύθερα και αβίαστα και φυσικά η διαγωγή αξιοπρεπούς βίου. Σε αυτά τα πλαίσια µπορεί να είναι χρονοβόρο, δαπανηρό, ανέφικτο, ή ακόµα και ενοχλητικό να επιβάλλεται συνεχής παρακολούθηση του ατόµου από κάποιο νοσηλευτή ή οικογενειακό µέλος. Σε αυτό ακριβώς το σηµείο στηρίζεται η ιδέα ενός «έξυπνου σπιτιού» για την παροχή ιατρικής και νοσηλευτικής παρακολούθησης, χωρίς την φυσική παρουσία προσωπικού 24 ώρες το εικοσιτετράωρο. Ο Αρχάγγελος είναι µια εφαρµογή που προσπαθεί να πετύχει την οµαλή λειτουργία ενός τέτοιου σπιτιού. Ένα σύνολο από τοποθετηµένους στο 1
σπίτι ασύρµατους αισθητήρες* παρακολουθεί και καταγράφει τις κινήσεις και τα συµβάντα κατά τη διάρκεια του εικοσιτετραώρου, τα οποία µεταφέρονται σε έναν εγκεκριµένο φορέα, όπου πραγµατοποιούνται η επεξεργασία, η ανάλυση των δεδοµένων και η εξαγωγή των συµπερασµάτων. Παρακάτω, στη 2 η Ενότητα υπάρχει πιο αναλυτική περιγραφή του συστήµατος. Σηµαντικός παράγοντας στην οµαλή λειτουργία του εγχειρήµατος είναι η εξασφάλιση της ασφάλειας των δεδοµένων. Κάθε είδος δεδοµένων που µεταδίδονται σε ένα δίκτυο χρήζουν προστασίας, πόσο µάλλον ευαίσθητα ιατρικά και προσωπικά δεδοµένα που µεταφέρονται πάνω από ασύρµατους συνδέσµους. Με τον όρο ασφάλεια αναφερόµαστε σε τρεις παράγοντες: την εµπιστευτικότητα (confidentiality), την ακεραιότητα (integrity) και την αυθεντικοποίηση (authenticity). Στην 3 η Ενότητα θα παρουσιαστούν τα είδη των απειλών και των κινδύνων που συναντώνται σε ασύρµατα δίκτυα, και στο δεδοµένο σχήµα ειδικότερα, και θα µελετήσουµε διάφορες µεθόδους και ιδέες που τους αντιµετωπίζουν στην 4 η Ενότητα. Ανάλογες δουλειές που έχουν υλοποιηθεί και η αξιολόγηση των αποτελεσµάτων τους θα δοθούν στην 5 η Ενότητα, ενώ τα συµπεράσµατα της µελέτης µας παρουσιάζονται στην 6 η Ενότητα. 2
2. Αρχάγγελος (Archangel) Η εφαρµογή του Αρχάγγελου στηρίζεται ακριβώς στην ιδέα ενός έξυπνου σπιτιού που παρέχει βοήθεια και διευκόλυνση στην παρακολούθηση ατόµων τρίτης ηλικίας, χωρίς αυτά να είναι υποχρεωµένα να εγκαταλείψουν την οικία τους και τις καθηµερινές τους δραστηριότητες. Αφορά άτοµα που δεν πάσχουν από σοβαρές παθήσεις που απαιτούν συνεχή ιατρική παρακολούθηση ή άτοµα κλινήρη, παρά ηλικιωµένους µε τα συνήθη προβλήµατα που παρουσιάζονται στην πλειοψηφία του πληθυσµού, και απλά είναι καλό να έχουν µια περιοδική παρακολούθηση, που γίνεται από οικογενειακά µέλη συνήθως ή και νοσηλευτικό προσωπικό κατ οίκον, για την επιβεβαίωση της συνεπής λήψης φαρµάκων και της καλής κατάστασης της υγείας τους µέρα µε τη µέρα. Σε αυτά τα άτοµα πρέπει να δίνεται η δυνατότητα ελευθερίας και ανεξαρτησίας µέσα στην καθηµερινότητα, και να αποφεύγεται η επιβάρυνση, συναισθηµατική και οικονοµική, εντατικής παρακολούθησης από τρίτους. Παράλληλα µε την καλλιέργεια του αισθήµατος της αυτονοµίας και της ενεργούς προσφοράς των ηλικιωµένων, διευκολύνεται η ζωή οικογενειακών µελών και συγγενών που επιφορτίζονται µε την ευθύνη της συνεχής επίβλεψης των ηλικιωµένων µελών τους, και όσον αφορά από πλευράς χρόνου, αλλά και από πλευράς οικονοµικής επιβάρυνσης. Στα πλεονεκτήµατα προστίθεται και το αίσθηµα ασφάλειας και εφησυχασµού για την κατάσταση του ηλικιωµένου. Η δοµή του συστήµατος αποτελείται από τα παρακάτω συστατικά µέρη. Ένα σύνολο ασύρµατων αισθητήρων, τεχνολογίας RFID (Radio Frequency Identification), τοποθετηµένων πάνω σε συσκευές, έπιπλα και 3
τοίχους του σπιτιού, παθητικούς και σταθερούς. Έναν (ή περισσότερους) ενεργό αισθητήρα ενσωµατωµένο στην κινητή συσκευή του ηλικιωµένου που φέρει πάνω του (είτε κάποιο άλλο είδος συσκευής ή µηχανισµού, εδώ δεχόµαστε το κινητό τηλέφωνο). Όλα τα δεδοµένα του δικτύου θα συλλέγονται από τον ενεργό αισθητήρα ως ανάδραση από παθητικούς και θα προωθούνται από αυτόν στο ασύρµατο σηµείο πρόσβασης του σπιτιού (Access Point). Σε επόµενο βήµα, τα δεδοµένα θα αποστέλλονται στον Broker, στον οποίο θα «ανήκουν» όλα τα σηµεία πρόσβασης της περιοχής (Regional Broker). Οι περιοχές θα ορίζονται είτε γεωγραφικά είτε µε κριτήριο την πυκνότητα των χρηστών για την καλύτερη απόδοση του δικτύου και εξυπηρέτηση τους. Ο Broker θα προωθεί τα πακέτα σε ένα ή περισσότερα Ιατρικά και Νοσηλευτικά Ιδρύµατα (Health Care Institution), τα οποία θα είναι εξουσιοδοτηµένοι από τον ηλικιωµένο ή/και την οικογένεια του φορείς υγείας. Το ποια ακριβώς πακέτα θα καταλήγουν σε ποιο ίδρυµα θα προσδιορίζεται από τα αντίστοιχα πεδία των µηνυµάτων που θα αναφέρουν τον εξουσιοδοτηµένο φορέα κάθε φορά. Οι φορείς αυτοί θα συγκεντρώνουν τα δεδοµένα, θα τα επεξεργάζονται, θα τα αναλύουν και θα εξάγουν τα ανάλογα συµπεράσµατα, όπως: o επιβεβαίωση ότι όλα βαίνουν καλώς o επιβεβαίωση λήψης προβλεπόµενου φαρµάκου o επιβεβαίωση λήψης µη προβλεπόµενου φαρµάκου o σήµανση για παρέλευση του χρόνου λήψης ενός φαρµάκου o σήµανση για απουσία κίνησης για δεδοµένο χρονικό διάσηµα o σήµανση για επικίνδυνα επίπεδα βιολογικών µετρήσεων (π.χ. καρδιακοί χτύποι, αρτηριακή πίεση, οξυγόνο κλπ ) o ένδειξη κίνησης εκτός του χώρου του σπιτιού (για άτοµα µε προβλήµατα µνήµης ή προσανατολισµού) 4
o κλπ µέσα από ένα σύστηµα µηχανικής µάθησης, στο οποίο θα έχουν εισαχθεί αρχικά κάποια στοιχεία και στη συνέχεια αυτό θα εκπαιδεύεται από την συµπεριφορά του ηλικιωµένου. Και έπειτα θα πραγµατοποιούνται οι κατάλληλες ενέργειες: o ενηµέρωση του συστήµατος για την νέα κατάσταση του υπό παρακολούθηση ατόµου o ενηµέρωση ιατρικονοσηλευτικού προσωπικού o ενηµέρωση οικογενειακών µελών o κλπ Στη συνέχεια, και αν το επιθυµεί ο ίδιος ο ηλικιωµένος (ή η οικογένεια του σε περίπτωση που ο ίδιος δεν είναι σε θέση να αποφασίσει) υπάρχει η δυνατότητα να αποστέλλονται ενηµερώσεις σε κάποιο/κάποια οικογενειακά µέλη σε σχέση µε την κατάσταση του ηλικιωµένου. Μηνύµατα σε περιοδικά χρονικά διαστήµατα για την κατάσταση του και φυσικά σηµάνσεις όταν κάποιο κρίσιµο γεγονός προκύψει. Τόσο η διάρκεια των περιοδικών χρονικών διαστηµάτων όσο και ο προσδιορισµός των «κρίσιµων» συµβάντων θα προκύψει µέσα από την ιατρική κατάσταση του ηλικιωµένου, τη µορφή του καθηµερινού του προγράµµατος και των δραστηριοτήτων του, αλλά και τις εισηγήσεις των ιατρών του. Και σε αυτή την περίπτωση τα οικογενειακά µέλη που θα έχουν πρόσβαση σε αυτές τις ενηµερώσεις θα είναι συγκεκριµένα και ανάλογα εξουσιοδοτηµένα. Οι ενηµερώσεις µπορούν να έχουν τη µορφή σύντοµων µηνυµάτων σε κινητά τηλέφωνα ή µηνύµατα ηλεκτρονικού ταχυδροµείου. Η δοµή του συστήµατος που µόλις περιγράψαµε απεικονίζεται στο παρακάτω σχήµα. 5
Εικόνα 1. Το σπίτι του Αρχάγγελου Η δεδοµένη αρχιτεκτονική επελέγη έτσι ώστε να είναι όσο το δυνατόν πιο λειτουργικό και ασφαλές το σύστηµα, µέσα στα πλαίσια των αιτήσεων της εφαρµογής. Λόγω κόστους και του περιορισµένου των λειτουργιών τους οι αισθητήρες που τοποθετήθηκαν µέσα στο σπίτι είναι παθητικοί, ενώ ο κατέληξε να είναι ενεργός µόνο ο αισθητήρας που φέρει ο ηλικιωµένος, ο οποίος, σύµφωνα µε την ιδέα του σχήµατος, έχει αυξηµένες απαιτήσεις σε επεξεργασία και µνήµη. Ο παράγων Οικογενειακό Μέλος τοποθετήθηκε µετά το Ίδρυµα, έτσι ώστε να 6
φιλτράρονται η ποσότητα και η ποιότητα των πληροφοριών που αποστέλλονται. εν είναι ούτε πρακτικό ούτε οικονοµικό, αλλά και ασφαλές όπως θα εξηγήσουµε παρακάτω, να λαµβάνει η οικογένεια όλα τα µηνύµατα που διαχειρίζεται το σύστηµα και προέρχονται από το σπίτι του ηλικιωµένου. Περιεκτικές, περιοδικές, και µόνο οι απαραίτητες, πρέπει να είναι οι ενηµερώσεις αυτές. Στη διαµόρφωση του περιεχοµένου των µηνυµάτων πρέπει να λαµβάνεται υπόψη και το είδος των ανθρώπων στους οποίους απευθύνεται: άτοµα ανειδίκευτα ή µε περιορισµένες γνώσεις ιατρικής. 7
3. Το δίκτυο του Αρχάγγελου Αν ακολουθήσουµε την διαδροµή που πραγµατοποιούν τα δεδοµένα στο προτεινόµενο σχήµα που περιγράφηκε στην προηγούµενη ενότητα, διαπιστώνουµε πως έχουµε να κάνουµε µε ένα ασύρµατο δίκτυο στον τοµέα απόληξης, και µε σταθερό δίκτυο στον τοµέα πρόσβασης και κορµού. Έχουµε µεν ένα ασύρµατο δίκτυο αισθητήρων µέσα στα πλαίσια της οικίας, αλλά υπάρχουν και ασύρµατοι σύνδεσµοι στη συνέχεια. Κάποιοι από αυτούς µπορούν να αντικατασταθούν και µε ενσύρµατες υποδοµές µε την ίδια ακριβώς λειτουργικότητα. Το µονοπάτι (Εικόνα 2) που διανύει ένα µήνυµα ξεκινά από τον παθητικό αισθητήρα t i, ο οποίος βρίσκεται τοποθετηµένος πάνω σε κάποια συσκευή, τοίχο ή φάρµακο, και στη συνέχεια πηγαίνει στον ενεργό αισθητήρα που φέρει ο χρήστης/ηλικιωµένος r j. Μετά προωθείται στο Access Point (A ho ) του σπιτιού και ακολούθως στον Regional Broker (RB l ). Εκεί γίνεται η διαλογή των µηνυµάτων ώστε το κάθε ένα να αποσταλεί στον σωστό παραλήπτη, δηλαδή το αντίστοιχο εξουσιοδοτηµένο ίδρυµα (I k ). Και τέλος, εφόσον υπάρχει επιθυµία των χρηστών, υπάρχει άλλο ένα βήµα προς το εξουσιοδοτηµένο οικογενειακό µέλος (F m ), το οποίο λαµβάνει µηνύµατα από το ίδρυµα σχετικά µε την κατάσταση του ηλικιωµένου. t i r j A ho RB l I k F m Εικόνα 2 8
3.1 Προδιαγραφές και επισηµάνσεις Μέσα στην οικία του ηλικιωµένου, όπως αναφέρθηκε, θα αναπτυχθεί ένα δίκτυο παθητικών αισθητήρων τεχνολογίας RFID. Οι παθητικοί αισθητήρες είναι µικροί, απλοί, χωρίς ενσωµατωµένη πηγή ενέργειας (η µπαταρία συναντάται σε ενεργούς ή ηµι-παθητικούς αισθητήρες). Αντλούν την απαιτούµενη ενέργεια για την µετάδοση των µηνυµάτων από το σήµα του reader που «διαβάζει» (interrogating reader) την ετικέτα (tag). Αποτελούνται από ένα µικροτσίπ και µια µικρή µεταλλική περιέλιξη, που έχει το ρόλο κεραίας. Μπορούν να λειτουργήσουν σε διάφορες µπάντες συχνοτήτων και µεγέθη εµβέλειας, ανάλογα µε τις απαιτήσεις της εκάστοτε εφαρµογής. Η Ονοµαστική Εµβέλεια Ανάγνωσης (Nominal Read Range) είναι η µέγιστη απόσταση από την οποία µπορεί να «διαβαστεί» ένα tag και προσδιορίζεται από τα διάφορα πρότυπα και τις προδιαγραφές των προϊόντων. Βέβαια, η εµβέλεια ενός αισθητήρα επηρεάζεται και από περιβαλλοντικούς παράγοντες. [2] Ανάλογα µε την ονοµαστική εµβέλεια ανάγνωσης που επιδιώκεται, προσδιορίζεται και η συχνότητα στην οποία θα εκπέµπει ο αισθητήρας, και αντίστροφα. Οι αισθητήρες Χαµηλών Συχνοτήτων (Low Frequency) λειτουργούν µεταξύ 124 khz 135 khz, µε ονοµαστική εµβέλεια µέχρι και µισό µέτρο. Οι αισθητήρες Υψηλών Συχνοτήτων (High Frequency) λειτουργούν στα 13,56 khz, µε εµβέλεια µέχρι και ένα µέτρο (ή και περισσότερο), και οι αισθητήρες Υπερ-υψηλών Συχνοτήτων (Ultra High Frequency) που λειτουργούν στα 860 MHz 960 MHz (µέχρι και 2.45 GHz) µε εµβέλεια µέχρι και δεκάδες µέτρα. [3] Στην δική µας 9
περίπτωση, επιλέγονται αισθητήρες της πρώτης κατηγορίας, µε εµβέλεια µερικών εκατοστών. Η µεταφορά των µηνυµάτων από τον reader του ηλικιωµένου στο Access Point του σπιτιού, και από το Access Point στον Broker της περιοχής, θα γίνεται πάνω από τυπικό δίκτυο 802.11. Από τον Broker και έπειτα, η µεταφορά µπορεί να πραγµατοποιηθεί τόσο πάνω από ασύρµατους όσο και πάνω από ενσύρµατους συνδέσµους. Θα εξεταστούν οι βασικές περιπτώσεις απειλών που είναι κοινές για την περίπτωση που εξετάζουµε. 3.2 Ασφάλεια ασύρµατου δικτύου Όταν αναφερόµαστε στην ασφάλεια των (ασύρµατων) δικτύων µας απασχολούν τρία πράγµατα: Εµπιστευτικότητα (Confidentiality) Ακεραιότητα (Integrity) Αυθεντικοποίηση (Authentication) το γνωστό ακρωνύµιο CIA [4]. Η Εµπιστευτικότητα των δεδοµένων εξασφαλίζει την µυστικότητα τους, δηλαδή πέραν των εµπλεκοµένων µερών, κανείς άλλος να µην µπορεί να δει το περιεχόµενο των δεδοµένων αυτών. Η Ακεραιότητα αφορά στην αποτροπή της αλλοίωσης των δεδοµένων από τρίτους κατά τη διάρκεια της µετάδοσης τους. 10
Η Αυθεντικοποίηση επιβεβαιώνει την ταυτότητα των εµπλεκοµένων οντοτήτων, ώστε να αποτρέπεται η πρόσβαση σε µη εξουσιοδοτηµένες οντότητες. Αυτές οι τρεις συνιστώσες πρέπει να καλυφθούν ώστε να εξασφαλιστεί η οµαλή λειτουργία του δικτύου. Οι κίνδυνοι και οι απειλές για ένα ασύρµατο δίκτυο µπορούν να κατηγοριοποιηθούν µε διάφορα κριτήρια. [4][5] o Εσωτερικές ή εξωτερικές, όσον αφορά το αν ο επιτιθέµενος έχει καταφέρει ή όχι να πείσει το δίκτυο ότι είναι νόµιµος κόµβος του. o Παθητικές ή ενεργητικές, αν ο επιτιθέµενος απλά «ακούει» την κίνηση του δικτύου, ή εµπλέκεται ενεργά µε εισαγωγή, τροποποίηση ή επανάληψη πακέτων. o Με βάση το είδος των επιθέσεων, όπως: 1. Φυσικές επιθέσεις. Επέµβαση στον ίδιο τον κόµβο του δικτύου, αλλοίωση των χαρακτηριστικών του, πρόσβαση στις πληροφορίες που βρίσκονται αποθηκευµένες ή και καταστροφή του. (Πιο συχνή απειλή σε δίκτυα που αναπτύσσονται σε εχθρικά περιβάλλοντα.) 2. Spoofing. Προσωποποίηση ενός επιτιθέµενου ως νόµιµου κόµβου του δικτύου προς εξαπάτηση του. Π.χ. Man-in-the-middle attack. 3. Eavesdropping. Μη εξουσιοδοτηµένοι παραλήπτες καταφέρνουν να παρεµβληθούν και να διαβάσουν µηνύµατα. 4. Ανάλυση Κίνησης (Traffic analysis). Η διαδικασία παρακολούθησης και συγκέντρωσης των ανταλλασσόµενων µηνυµάτων µε σκοπό την εξαγωγή πληροφοριών από το είδος και τα µοτίβα επικοινωνίας. Η αποκρυπτογράφηση των µηνυµάτων δεν είναι απαραίτητη καθώς αυτό που έχει σηµασία είναι ο όσο το δυνατόν µεγαλύτερος όγκος ανταλλασσόµενων µηνυµάτων, για την ανάλυση 11
και την εξαγωγή συµπερασµάτων για τη δοµή του δικτύου, τη συχνότητα και το είδος της επικοινωνίας, κλπ. 5. Εισαγωγή παράνοµης κίνησης στο δίκτυο (False Injections). Το σύστηµα του Αρχάγγελου έχει να αντιµετωπίσει τις συνήθεις απειλές των ασύρµατων δικτύων και δικτύων αισθητήρων, και ως επί το πλείστον να λάβει υπόψιν του την ευαίσθητη φύση των δεδοµένων που χειρίζεται: ιατρικά δεδοµένα, άκρως προσωπικά, απόρρητα, κρίσιµα. Στην επόµενη ενότητα θα αναλύσουµε τους τρόπους που µπορούµε να αντιµετωπίσουµε κακόβουλες προσπάθειες και τακτικές που θα προστατέψουν τα δεδοµένα που διακινούνται στο δίκτυο ή τουλάχιστον θα ελαττώσουν τις συνέπειες αυτών των προσπαθειών, προσαρµόζοντας τις προτάσεις στα πλαίσια και την αρχιτεκτονική που έχουµε εδώ. Θα επιδιώξουµε την απ άκρο εις άκρον ασφαλή µετάδοση των δεδοµένων (end-to-end) από τον αισθητήρα, σε µια συσκευή του σπιτιού π.χ., έως και το οικογενειακό µέλος, στο τέλος του µονοπατιού (Εικόνα 2). 12
4. Ασφάλεια στο δίκτυο του Αρχάγγελου Θα εξετάσουµε τα θέµατα της ασφάλειας ξεχωριστά σε κάθε επίπεδο της αρχιτεκτονικής. Σύµφωνα µε την Εικόνα 2, εύκολα διακρίνονται στα παρακάτω επίπεδα: o t i r j o r j A ho o A ho RB l o RB l I k o I k F m 13
4.1 Από τον παθητικό αισθητήρα ως τον ενεργό αναγνώστη Εικόνα 3 Στο πρώτο αυτό επίπεδο αποστέλλεται ένα µήνυµα d ij από τον παθητικό αισθητήρα t i, που βρίσκεται τοποθετηµένος κάπου µέσα στο σπίτι, στον ενεργό αισθητήρα της συσκευής που φέρει ο ηλικιωµένος r j. Αυτό το µήνυµα µπορεί να είναι το άνοιγµα ενός ντουλαπιού ή µιας πόρτας, η είσοδος σε ένα χώρο, η εγγύτητα σε µια συσκευή ή η χρήση της, η χορήγηση ενός φαρµάκου, κλπ. Εδώ απαιτείται η αναγνώριση και πιστοποίηση του t i από τον r j ως νόµιµο κόµβο του δικτύου αισθητήρων. ιαφορετικά, ο r j θα πρέπει να απορρίψει το µήνυµα του t i και να µην επιτρέψει την περαιτέρω επικοινωνία µαζί του. Επίσης, θέλουµε να πετύχουµε εµπιστευτικότητα και ακεραιότητα για τα δεδοµένα d ij που µεταφέρονται πάνω από τον σύνδεσµο που µελετάµε εδώ. Ο προγραµµατισµός των tags θα γίνει αρχικά, κατά την εγκατάσταση του συστήµατος, και για λόγους κόστους δεν θα επαναπρογραµµατιστούν όπως θα ήθελαν διάφορα σχήµατα ασφάλειας. Και δεδοµένου ότι έχουµε να κάνουµε µε παθητικούς αισθητήρες, δεν 14
υπάρχει δυνατότητα υπολογιστικής ισχύος, οπότε και δεν υπάρχει περιθώριο διεξαγωγής υπολογισµών πάνω στον αισθητήρα. Άρα, κατά την τοποθέτηση του δικτύου θα εισάγονται τα δεδοµένα στα tags, δηλαδή το αναγνωριστικό που θα στέλνει ως απάντηση στην «ανάγνωση» του reader. Αυτά τα δεδοµένα θα περιέχουν όλες τις απαραίτητες πληροφορίες και στην κατάλληλη µορφή, που θα αναλύσουµε ακολούθως. Το ότι ο t i είναι νόµιµο µέλος του δικτύου που αναπτύσσεται µέσα στο σπίτι είναι το πρώτο πράγµα που πρέπει να ελεγχθεί από την συσκευή που φέρει ο ηλικιωµένος, πριν την οποιαδήποτε επικοινωνία µεταξύ τους. Η πιο απλή λύση, που εφαρµόζεται σε ανάλογα ασύρµατα δίκτυα, είναι η ενσωµάτωση µέσα στο αποστελλόµενο µήνυµα του MAC (Message Authentication Code), ενός µικρού κωδικοποιηµένο µηνύµατος που πιστοποιεί την ταυτότητα του αποστολέα. Το MAC συνήθως υπολογίζεται µέσω µια συνάρτησης κατακερµατισµού (hash function), στην οποία δίνουµε ως είσοδο την αλληλουχία (concatenation) του µηνύµατος µε ένα κλειδί. [5] Μια άλλη επιλογή είναι να χρησιµοποιηθούν ψηφιακές υπογραφές. Όπως οι υπογραφές στον φυσικό κόσµο έχουν την ιδιότητα να πιστοποιούν την ταυτότητα ενός προσώπου ή τη γνησιότητα ενός εγγράφου, µε την ίδια λογική χρησιµοποιούνται υπογραφές και στα «ψηφιακά έγγραφα». Μια ψηφιακή υπογραφή είναι αποτέλεσµα της επεξεργασίας του µηνύµατος µε τη χρήση µιας συνάρτησης (ενός αλγορίθµου), έτσι ώστε να παράγεται υπογραφή σ(m) για το µήνυµα m. Ο παραλήπτης, λαµβάνοντας τόσο το µήνυµα m όσο και την υπογραφή σ(m), προσπαθεί να διευκρινίσει εάν αντιστοιχεί η υπογραφή στο µήνυµα, και κατά συνέπεια στον αποστολέα. Πέραν των παραπάνω λύσεων, µε το σκεπτικό ότι το δίκτυο µέσα στο σπίτι είναι σταθερό, µπορεί να δηµιουργηθεί ένας χάρτης της αρχιτεκτονικής των αισθητήρων στη συσκευή του ηλικιωµένου. Μετά 15
την ανάπτυξη του δικτύου, µπορεί να περιηγηθεί η συσκευή στους χώρους του σπιτιού και να κάνει µια αναγνώριση του χώρου σε σχέση µε τους τοποθετηµένους αισθητήρες. Θα αναγνωρίζει λοιπόν το σύνολο των tags που συναντά σε κάθε χώρο και θα αποθηκεύει αυτό το σύνολο συνδέοντας το µε τον αντίστοιχο χώρο που ανήκουν κάθε φορά. Έτσι, κάθε φορά που θα δέχεται µήνυµα από ένα tag, εφόσον ο ηλικιωµένος (άρα και η συσκευή µε τον reader) βρίσκεται στο δωµάτιο Χ, θα ελέγχει αν αυτό το tag ανήκει στο σύνολο Tag X, το σύνολο των tags του δωµατίου Χ. Θα συνδέει το που βρίσκεται µε το ποιους µπορεί να επικοινωνήσει. Μια ιδέα που δεν θα έβρισκε έδαφος σε περίπτωση δυναµικού δικτύου. Θα µπορούσε ακόµα να κρατά ένα αρχείο των tags που προσπαθούν να επικοινωνήσουν χωρίς να ανήκουν στο νόµιµο σύνολο Tag X, και να ενηµερώνει το σύστηµα περιοδικά, ή όταν οι προσπάθειες αυτές παρουσιάζονται σε µεγάλη συχνότητα, για τις κακόβουλες προσπάθειες επικοινωνίας. Προς βελτίωση της ιδέας αυτής, µπορούν στο δίκτυο του σπιτιού κάποιοι αισθητήρες να αποκτήσουν έναν ιδιαίτερο ρόλο, να λειτουργούν ως αισθητήρες αναφοράς, reference tags. Τα reference tags θα αποτελούν σηµεία αναφοράς για την συσκευή του ηλικιωµένου ως προς το ποιο χώρο βρίσκεται, πού πλησιάζει, ή πού προβλέπεται ότι θα βρίσκεται µε βάση την κίνηση του. Η χρήση τους θα διευκολύνει και την ανάδειξη του συνόλου των νόµιµων tags, µετά την αναγνώριση του χώρου. Τα reference tags, που θα είναι άµεσα συσχετισµένα µε φυσικούς χώρους και φυσικές οντότητες, θα πρέπει να τοποθετηθούν σε προσεκτικά επιλεγµένα σηµεία, για να εξυπηρετούν το σκοπό τους, όπως π.χ. πόρτες. Θα πρέπει αριθµητικά να είναι αρκετά, ώστε να καλύπτουν τον προβλεπόµενο χώρο (ανάλογα µε τους περιβαλλοντικούς παράγοντες κάθε φορά, όπως µέγεθος δωµατίου, ογκώδη έπιπλα, κλπ), αλλά όχι περισσότερα από τα υπόλοιπα tags. Βέβαια, δεν αγνοούµε ότι τα reference tags εξακολουθούν να είναι 16
αισθητήρες όπως και οι υπόλοιποι στο σπίτι, απλά επιφορτισµένοι µε έναν επιπλέον ρόλο. Την περίπτωση της φυσικής επίθεσης των αισθητήρων τη θεωρούµε απίθανη και αµελητέα στο εγχείρηµα, καθώς η φυσική πρόσβαση κακόβουλων ατόµων και για αρκετό χρονικό διάστηµα στους αισθητήρες είναι κάτι πολύ δύσκολο έως και απίθανο να συµβεί. Και σε περίπτωση που όντως συµβεί, η εχθρική οντότητα θα καταφέρει είτε να καταστρέψει τον αισθητήρα (κάτι που ακόµα και αν δεν υποπέσει στην αντίληψη του ηλικιωµένου δεν αποτελεί αδυναµία του δικτύου προς εξωτερικούς εχθρούς) είτε να υποκλέψει την αποστελλόµενη πληροφορία, κάτι που δεν θα καταφέρει να αξιοποιήσει εκτός σπιτιού, λόγω της µικρής εµβέλειας των tags. Σε περίπτωση όµως µη αποδεκτής λειτουργίας ενός tag, δίνεται η δυνατότητα να τεθεί εκτός λειτουργίας µε την εντολή µόνιµης απενεργοποίησης από τον reader (Kill Command) [5][8]. Ένας κωδικός που καθορίζεται από τον κατασκευαστή του αισθητήρα, είναι αυτός που λειτουργεί ως εντολή απενεργοποίησης: µε την αποστολή του κωδικού από τον reader ο αισθητήρας τίθεται εκτός λειτουργίας για πάντα. Μία απειλή συνηθισµένη για ασύρµατα δίκτυα είναι η περίπτωση µια κακόβουλη οντότητα, να παρακολουθεί την ανταλλαγή των µηνυµάτων, να υποκλέπτει µηνύµατα και να τα ξαναεισάγει αυτούσια στο δίκτυο σε διάφορες χρονικές στιγµές, µε την ελπίδα να γίνουν αποδεκτά ως νόµιµα, εφόσον και τα αναγνωριστικά και όλη η πληροφορία τους, αντιστοιχούν σε νόµιµους κατόχους και έχουν υποστεί γνήσιες µορφές επεξεργασίας. Αυτού του είδους οι επιθέσεις είναι γνωστές ως Replay Attacks. Στην περίπτωση του επιπέδου που εξετάζουµε, κάτι τέτοιο θα σήµαινε την υποκλοπή του αναγνωριστικού που στέλνει ένα tag µετά την διέλευση του ηλικιωµένου. Επειδή η εµβέλεια των χρησιµοποιούµενων αισθητήρων είναι της τάξης των 17
µερικών εκατοστών, η «υποκλοπή» προϋποθέτει την είσοδο στο σπίτι και την εγγύτητα σε µια σειρά από συσκευές και αντικείµενα (ακόµα και προσωπικά, όπως φάρµακα) του ηλικιωµένου. Εκτός από το γεγονός της περιοριστικής εµβέλειας, υπάρχει µεγάλη πιθανότητα τα µηνύµατα που θα υποκλαπούν να µην έχουν µεγάλη αξία εκµετάλλευσης, δηλαδή ο κακόβουλος παράγοντας να µην µπορεί να βλάψει την οµαλή λειτουργία του συστήµατος ή να µην αξίζει ο κόπος για το αποτέλεσµα που πετυχαίνει η υποκλοπή. Για τους λόγους αυτούς η απειλή της επανεισαγωγής των πακέτων είναι µικρής σηµασίας στο δεδοµένο επίπεδο, ενώ µπορούµε να το ανάγουµε και στην ακεραιότητα των πακέτων που εξετάζεται παρακάτω και να δώσουµε εκεί µια λύση µε την εισαγωγή συγκεκριµένων τιµών στα µηνύµατα που αποστέλλονται. Μια ευρύτατα διαδεδοµένη τακτική για την αντιµετώπιση των Replay Attacks είναι η χρήση ειδικά κατασκευασµένων τιµών, nonces, που εισάγονται µέσα στο πακέτο που προορίζεται για αποστολή, και µεταβάλλονται µε κάθε πακέτο µε ένα συγκεκριµένο τρόπο. Θα αναφερθούµε πιο αναλυτικά σε αυτές σε παρακάτω επίπεδα, όπου τα Replay Attacks αποτελούν µεγαλύτερο κίνδυνο. Στο δεδοµένο επίπεδο, και σε αυτό το σηµείο, αξίζει επίσης να προσέξουµε την τοποθέτηση και εγκατάσταση του δικτύου. Η στρατηγική και προσεκτική τοποθέτηση των αισθητήρων θα παίξει πολύ σηµαντικό ρόλο στην ασφάλεια, πέρα από την αποτελεσµατικότητα της εφαρµογής. Οι αισθητήρες θα πρέπει να είναι τοποθετηµένοι λαµβάνοντας υπόψιν τους µια σειρά από µεταβλητές. Πρώτον, για αισθητήρες που ο ρόλος τους και οι προδιαγραφές τους απαιτούν εµβέλεια λίγο µεγαλύτερη από την αθώα των λίγων εκατοστών, θα πρέπει να εκτιµάται αν αυτή η εµβέλεια ξεπερνά τα όρια του σπιτιού, έστω και λίγο, δίνοντας τη δυνατότητα σε οντότητες εκτός των ορίων της οικία να µπορούν να ακούν την επικοινωνία εντός της οικίας. Είναι 18
λογικό ότι λόγω της υποδοµής, των απαιτήσεων της εφαρµογής και της αρχιτεκτονικής του χώρου, αυτό να µην επιτυγχάνεται πάντα. Βασικό µέληµα όµως πρέπει να είναι ο παραπάνω περιορισµός να ισχύει πάντα για τους αισθητήρες αναφοράς, τα reference tags, έστω και αν δεν επιτυγχάνεται για όλους τους υπόλοιπους. εύτερον, πρέπει να ληφθούν υπόψιν περιβαλλοντικοί παράγοντες, όπως τοίχοι αλλά και ογκώδη έπιπλα ή συσκευές που µπορεί να µεταβάλλουν την διαρρύθµιση του χώρου και να επηρεάζουν την απόδοση του δικτύου. Για παράδειγµα στο σύστηµα LANDMARC [7], στην αναζήτηση των πλησιέστερων κόµβων ως προς έναν δεδοµένο κόµβο τα αποτελέσµατα διαφοροποιούνται όταν υπάρχει φυσικό εµπόδιο στο χώρο. (Το πρωτότυπο σύστηµα στηρίζεται στη χρήση ενεργών αισθητήρων, αλλά αναφέρεται εδώ για να υποδείξουµε την επιρροή ενός απλού φυσικού χωρίσµατος.) 2 Και τρίτον, θα ληφθούν υπόψιν συσκευές που µπορεί να προκαλούν παρεµβολές ή να εµποδίζουν τη λειτουργία των αισθητήρων και του reader. Θέµα ακεραιότητας τίθεται µε την εισαγωγή πακέτων στο δίκτυο τα οποία έχουν τροποποιηθεί από κακόβουλες οντότητες, µε σκοπό να ξεγελάσουν τον reader και να περάσουν αλλοιωµένες πληροφορίες στο σύστηµα. Η ψηφιακή υπογραφή, ένα µικρό κωδικοποιηµένο µήνυµα ελέγχου και οι µέθοδοι κρυπτογράφησης των µηνυµάτων που εφαρµόζονται στο κοµµάτι της εµπιστευτικότητας είναι συνήθεις τεχνικές αντιµετώπισης, καθώς και ο συνδυασµός των µεθόδων εξασφάλισης της αυθεντικοποίησης. Γιατί κάθε προσπάθεια προσβολής της ακεραιότητας ενός µηνύµατος αποτελεί ταυτόχρονα και απειλή της εγκυρότητας της ταυτότητας του αποστολέα, αλλά και της διατήρησης της εµπιστευτικότητας των δεδοµένων του µηνύµατος. Για να τροποποιηθούν δεδοµένα, και να προκύψει ένα αποδεκτό αποτέλεσµα, θα πρέπει να υπάρχει γνώση των µεθόδων και των κλειδιών κρυπτογράφησης, των αναγνωριστικών, των αλγορίθµων παραγωγής 19
ψηφιακών υπογραφών και των συναρτήσεων δηµιουργίας των ειδικών τιµών, των nonces. Όσο περισσότερα από τα παραπάνω συντρέχουν, τόσο πιο ισχυρή θα είναι η προστασία του συστήµατος. Η εµπιστευτικότητα επιτυγχάνεται µέσω της κρυπτογράφησης των µηνυµάτων. εδοµένου ενός µηνύµατος προς αποστολή, µιας προσυµφωνηµένης µεθόδου κρυπτογράφησης και του συνόλου των κλειδιών της µεθόδου, παράγεται ένα κωδικοποιηµένο µήνυµα, από το οποίο µπορεί να προκύψει το αρχικό µόνο εάν ο παραλήπτης κατέχει την κατάλληλη γνώση: την µέθοδο και τα κλειδιά που αναφέραµε παραπάνω (και φυσικά το κωδικοποιηµένο µήνυµα). Υπάρχει ένα µεγάλο σύνολο κρυπτογραφικών µεθόδων από τις οποίες µπορεί κανείς να επιλέξει, ανάλογα µε το είδος και τις απαιτήσεις της εκάστοτε εφαρµογής, την επιθυµητή ισχύ της µεθόδου κρυπτογράφησης, την υπολογιστική ισχύ και της δυνατότητες µνήµης και αποθήκευσης των κόµβων. Στο επίπεδο που εξετάζουµε,την επικοινωνία του tag t i µε τον reader r j, δεν εκτελούνται κρυπτογραφικοί υπολογισµοί, καθώς έχουµε να κάνουµε µε παθητικούς αισθητήρες. Η κρυπτογράφηση εκτελείται αρχικά, και το αποτέλεσµα ενσωµατώνεται στους αισθητήρες. Αρχικοποιούνται δηλαδή, οι αισθητήρες αµέσως µετά την εγκατάσταση τους, µε την κωδικοποιηµένη πληροφορία, την οποία και αποστέλλουν στον r j κάθε φορά που αυτός τους διαβάζει. Αυτή η κωδικοποιηµένη πληροφορία είναι ένα σύνολο από δεδοµένα που έχουν κρυπτογραφηθεί µε την επιλεγµένη µέθοδο. Τα δεδοµένα αυτά µπορεί να είναι το αναγνωριστικό του αισθητήρα, µηνύµατα ελέγχου και αυθεντικοποίησης. Ως κλειδί για την κρυπτογράφηση µπορεί να χρησιµοποιηθεί το, µοναδικό για τον κάθε αισθητήρα, αναγνωριστικό (id-based), ή πληροφορίες σχετικά µε την θέση του στο χώρο (location-based). Τέτοιες µέθοδοι έχουν αποδειχθεί ως αρκετά ισχυρές κρυπτογραφικά, ενώ δεν έχουν να αντιµετωπίσουν το πρόβληµα διανοµής κλειδιών, καθώς και στις δυο περιπτώσεις τα κλειδιά 20
αποτελούν δηµόσια γνωστή πληροφορία. Βασικός περιορισµός θα είναι το µέγεθος του κρυπτογραφηµένου µηνύµατος που θα αποθηκευτεί στο tag και θα αποτελεί το αναγνωριστικό που θα στέλνει ως απάντηση. Τα είδη και οι επιλογές στις µεθόδους κρυπτογράφησης θα παρουσιαστούν σε µεγαλύτερη έκταση στα επόµενα επίπεδα, καθώς εκεί οι εµπλεκόµενοι κόµβοι έχουν υπολογιστικές δυνατότητες σε αντίθεση µε τα παθητικά t i. 4.2 Από τον ενεργό αναγνώστη στο Access Point Εικόνα 4 Στο επόµενο επίπεδο έχουµε τη µεταφορά του µηνύµατος από τον reader του ηλικιωµένου στο σηµείο πρόσβασης του σπιτιού του, µε το οποίο έχει πρόσβαση σε δίκτυο (και επικοινωνία µε τον «έξω κόσµο»). Εδώ έχουµε να κάνουµε µε µια συσκευή που έχει και υπολογιστική ισχύ αλλά και αποθηκευτικές δυνατότητες (περιορισµένες µεν, αλλά υπάρχουν). 21
Σχέσεις εµπιστοσύνης πρέπει να δηµιουργηθούν και σε αυτό το ζεύγος. O reader r j πρέπει να πιστοποιεί τον «εαυτό» του στο σηµείο πρόσβασης, το οποίο πρέπει να αντιµετωπίζεται ως άλλος ένας κόµβος στο δίκτυο. Το κάθε σπίτι δεχόµαστε ότι θα διαθέτει ένα access point, οπότε ο r j θα στέλνει τα µηνύµατα του στο συγκεκριµένο access point το οποίο θα ελέγχει ότι ο r j που προσπαθεί να του στείλει δεδοµένα είναι ο προβλεπόµενος. Σε αντίθετη περίπτωση, όπου έχει εισέλθει στο σπίτι κάποιος µε διαφορετική συσκευή και προσπαθεί να οικειοποιηθεί τον ρόλο του r j, θα πρέπει να απορρίπτεται η επικοινωνία µαζί του. Όλες οι τεχνικές και οι µέθοδοι αυθεντικοποίησης που αναφέρθηκαν όταν εξετάζαµε το προηγούµενο επίπεδο, ισχύουν και εδώ. Και µάλιστα εδώ (συγκεκριµένα από εδώ και πέρα στα υπόλοιπα επίπεδα) βρίσκουν πιο πρόσφορο έδαφος καθώς στο προηγούµενο υπήρχαν αρκετοί περιορισµοί λόγω των παθητικών αισθητήρων. Στην περίπτωση χρήσης ψηφιακών υπογραφών και κάθε είδους πιστοποιητικών, εισέρχεται ο ρόλος µιας κεντρικής αρχής πιστοποίησης. Μια κεντρική αρχή, έµπιστη και έγκυρη, που επιβεβαιώνει ότι ένα δεδοµένο πιστοποιητικό ταυτότητας ή µια ψηφιακή υπογραφή ανήκει όντως στην οντότητα η οποία τα φέρει. Μια τέτοια αρχή, ενισχύει την ασφάλεια, καθώς παρέχει εγγυήσεις που δεν µπορούν να παρέχουν οι απλοί κόµβοι του συστήµατος, είναι αποδεκτή και αναγνωρίσιµη από όλους τους µετέχοντες, και µετατρέπει δυσάρεστους ελέγχους αυθεντικοποίησης σε απλές αναζητήσεις και επιβεβαιώσεις µέσα από µια βάση. Βέβαια, από την άλλη όψη του νοµίσµατος, αποτελεί σηµείο συνωστισµού, µε µείωση της εξυπηρέτησης των αιτήσεων του δικτύου, και πιθανό µειονέκτηµα για ολόκληρη την εφαρµογή, σε περίπτωση κατάρρευσης του (single point of failure) αφού θα τεθούν όλα εκτός λειτουργίας. Εάν χρησιµοποιηθεί η κατανεµηµένη εκδοχή αυτής της ιδέας, δηλαδή, περισσότερες από µια αρχές πιστοποίησης, οµότιµες και 22
σε συνεργασία µεταξύ τους, αποτρέπεται ο συνωστισµός των αιτήσεων και το ενδεχόµενο να καταρρεύσει το δίκτυο αν τεθεί εκτός λειτουργίας µια τέτοια οντότητα, αλλά εισέρχεται ο φόρτος συγχρονισµού και επικοινωνίας µεταξύ των αρχών, των οποίων τα δεδοµένα πρέπει να είναι απόλυτα ενηµερωµένα ανά πάσα στιγµή. Το ενδεχόµενο φυσικών επιθέσεων κατά του reader προϋποθέτει την κλοπή ή τουλάχιστον την προσωρινή κατοχή της συσκευής από τρίτους. Αυτή η περίπτωση, πρώτον, δύσκολα δεν θα γίνει αντιληπτή από τον ηλικιωµένο, αλλά και από το σύστηµα, καθώς µέσα στις προϋποθέσεις της εφαρµογής είναι η συσκευή να φέρεται από τον χρήστη και να βρίσκεται σε λειτουργία συνεχώς. Οποιαδήποτε διακοπή, ή µη προσδοκώµενη µεταφορά της συσκευής, θα ενεργοποιήσει την ανάλογη σήµανση στο σύστηµα, ακόµα και αν πρόκειται για αθώα περιστατικά. Για τα replay attacks, όπου εξωτερικές οντότητες έχουν «κρυφακούσει» την ανταλλαγή νόµιµων πακέτων, τα έχουν αντιγράψει και εισάγει στο δίκτυο, ξεκινήσαµε να µιλάµε και πιο πάνω. Καθώς και για την τεχνική αντιµετώπισης τους τα nonces, τις ειδικά κατασκευασµένες τιµές, που έχουν ως στόχο τη διαφοροποίηση των πακέτων µεταξύ τους. Η µέθοδος αναπαραγωγής των nonces πρέπει να προσδιορίζει µια διάταξη των µηνυµάτων στο χρόνο, έτσι ώστε να ξεχωρίζουν µηνύµατα που έχουν ήδη αποσταλεί και να προσδιορίζεται ένα σύνολο µηνυµάτων που αναµένεται να ληφθεί. Μια απλή µέθοδος µπορεί να είναι η αρίθµηση των πακέτων. Η απλότητα της όµως είναι και το µειονέκτηµα της, καθώς εύκολα µπορεί να γίνει κατανοητό το σχήµα, και να αναπαραχθεί από τρίτους. Αν έχει αποκαλυφθεί δηλαδή ο τρόπος παραγωγής των τιµών, είναι γνωστός ο αριθµός του πακέτου που έχει υποκλαπεί, και κατά συνέπεια και η µέθοδος κρυπτογράφησης για να µπορούν να είναι γνωστές οι παραπάνω πληροφορίες, τότε η εχθρική 23
οντότητα µπορεί να στείλει το πακέτο αλλάζοντας την αρίθµηση του µε ένα µεγαλύτερο αριθµό από αυτόν που έχει (προσεγγιστικά). Άλλοι τρόποι να παραχθούν αυτές οι τιµές είναι σε συνάρτηση µε το χρόνο (time-dependent). Μπορεί να επιλεχθεί ή να κατασκευαστεί µια συνάρτηση, µε ανεξάρτητη µεταβλητή το χρόνο. Εδώ έχει µεγάλη σηµασία ο συγχρονισµός των ρολογιών των κόµβων, για την αποφυγή απόρριψης έγκυρων µηνυµάτων ή την αποδοχή µηνυµάτων που έχουν παρέλθει χρονικά. Για την παραγωγή των τιµών µπορούν να χρησιµοποιηθούν χρονικές συναρτήσεις, και γενικά, η ιδέα είναι η αναπαραγωγή τιµών σε σχέση µε µια συνιστώσα που µεταβάλλεται µε την πάροδο του χρόνου. Εφόσον ο reader είναι κινητός κόµβος του δικτύου, µπορεί αυτή η συνιστώσα να είναι και ο χώρος. Οπότε, µπορεί αναλόγως να κατασκευαστεί µια συνάρτηση παραγωγής τιµών εξαρτώµενων από το χώρο (location-dependent). Ή ο συνδυασµός των παραπάνω, σε µια συνάρτηση δυο µεταβλητών, του χρόνου και του χώρου. Ακόµα, µπορούν να παραχθούν τιµές µε ένα τυχαίο µοτίβο (pseudo-random values). Οι ψηφιακές υπογραφές, το ενσωµατωµένο MAC µήνυµα, οι παραπάνω µέθοδοι αυθεντικοποίησης, καθώς και η ενίσχυση της εµπστευτικότητας µε την κρυπτογράφηση του αποστελλόµενου περιεχοµένου, όλα συµβάλλουν στην εξασφάλιση της ακεραιότητας και σε αυτό το ζεύγος επικοινωνίας. Όλες οι τεχνικές που περιγράφηκαν πιο πριν εφαρµόζονται και εδώ, καθώς θέλουµε να διασφαλίσουµε ότι τα µηνύµατα του reader παραδίδονται αυτούσια στο access point του σπιτιού. Η εµπιστευτικότητα του περιεχοµένου των µηνυµάτων επιτυγχάνεται µε τη χρήση κρυπτογραφικών µεθόδων. Οι µέθοδοι κρυπτογράφησης συµπεριλαµβάνουν τη χρήση κλειδιών. Ο αλγόριθµος κρυπτογράφησης, εκτός από το κείµενο που προορίζεται για 24
κρυπτογράφηση, δέχεται ως είσοδο και αυτό το κλειδί. Ανάλογα µε το είδος του κλειδιού που χρησιµοποιείται, οι µέθοδοι κρυπτογράφησης διακρίνονται σε συµµετρικού κλειδιού και ασύµµετρου ή δηµόσιου κλειδιού. Όλο το νόηµα της κρυπτογράφησης είναι να διατηρηθούν µυστικά και ασφαλή τα κλειδιά που χρησιµοποιούνται. Σε µια µέθοδο συµµετρικού κλειδιού, αποστολέας και παραλήπτης µοιράζονται το ίδιο κλειδί, ο πρώτος για να κρυπτογραφήσει το µήνυµα και ο δεύτερος για να το αποκρυπτογραφήσει. Η διαχείριση και διανοµή των κλειδιών µπορεί να πραγµατοποιηθεί µε πολλούς τρόπους, ανάλογα µε το είδος, το µέγεθος και τις απαιτήσεις του δικτύου. Μια απλή λύση είναι να τοποθετηθούν τα κλειδιά στους κόµβους από την αρχή, κατά την αρχικοποίηση του συστήµατος. Όµως αυτό δεν είναι εφικτό όταν έχουµε να κάνουµε µε µεγάλο αριθµό κόµβων στο δίκτυο (ή µε δίκτυα των οποίων οι κόµβοι προβλέπεται ότι θα αυξηθούν στο µέλλον), καθώς θα πρέπει κάθε κόµβος να αποθηκεύει ένα κλειδί για κάθε άλλο κόµβο µε τον οποίο επικοινωνεί, στην χειρότερη περίπτωση µε όλους τους υπόλοιπους κόµβους του δικτύου. Η ύπαρξη µιας κεντρικής, έµπιστης οντότητας για την ανάθεση κλειδιών, αντιµετωπίζει το πρόβληµα του συνωστισµού σε περίπτωση µεγάλου δικτύου, και του µοναδικού σηµείου κατάρρευσης της εφαρµογής σε περίπτωση που τεθεί εκτός λειτουργίας. Άλλη τεχνική γα την ανάθεση και διαχείριση των κλειδιών είναι η τυχαία προ-ανάθεση κλειδιών (random key pre-distribution), όπου σε κάθε κόµβο αποθηκεύεται ένα τυχαίο υποσύνολο κλειδιών, έτσι ώστε για κάθε πιθανό γειτονικό κόµβο µε τον οποίο θα υπάρχει επικοινωνία, να αντιστοιχεί ένα τουλάχιστον κλειδί από το υποσύνολο. Σε αντίθεση µε την τυχαία ανάθεση, αναπτύχθηκαν και ντετερµινιστικές µέθοδοι, στηριζόµενες σε πλήρεις γράφους (complete graphs) και πολυδιάστατα πλέγµατα (multi-dimensional grids). Για να εξασφαλιστεί η ασφαλής διασύνδεση των κόµβων τοπικά, κάτι το οποίο δεν εγγυώνται οι 25
παραπάνω µέθοδοι, µια άλλη προσέγγιση είναι η διανοµή κλειδιών µε βάση την τοποθεσία (location-based key distribution). Όλο το δίκτυο χωρίζεται σε υποπεριοχές, οι οποίες διαχειρίζονται τη διανοµή των κλειδιών µέσα στα τοπικά αυτά πλαίσια. Αν κάποιος κόµβος παραβιαστεί, ή αν κάποιο κλειδί διαρρεύσει, τότε οι κόµβοι που κινδυνεύουν επίσης να παραβιαστούν από τον επιτιθέµενο είναι µόνο αυτοί της ίδιας υποπεριοχής. Τόσο στην τυχαία ανάθεση όσο και στις ντετερµινιστικές, ένας κόµβος ανταλλάζει πληροφορίες κλειδιών µε κόµβους που βρίσκονται οµοιόµορφα σε όλο το δίκτυο. Άρα, σε περίπτωση παραβίασης αυτού του κόµβου, κινδυνεύουν πολύ περισσότεροι κόµβοι σε διάφορα σηµεία του δικτύου. Στην περίπτωση ασύµµετρου/δηµόσιου κλειδιού, κάθε κόµβος έχει ένα ζεύγος κλειδιών {K s, K p }, ένα ιδιωτικό (K s private) και ένα δηµόσιο κλειδί (K p public). Το ιδιωτικό του κλειδί το κρατά για τον ίδιο, ενώ το δηµόσιο το γνωστοποιεί σε όλους. Κάθε κόµβος που επιθυµεί να στείλει ένα µήνυµα σε αυτόν, το κρυπτογραφεί χρησιµοποιώντας το δηµόσιο κλειδί του κόµβου-παραλήπτη. Ο παραλήπτης αποκρυπτογραφεί το µήνυµα χρησιµοποιώντας το ιδιωτικό του κλειδί, και είναι ο µόνος που µπορεί να το χρησιµοποιήσει. Αυτή η κατηγορία έχει πολύ µεγαλύτερες υπολογιστικές απαιτήσεις, αλλά έχει ευκολότερη διαχείριση και παρέχει µεγαλύτερη ανθεκτικότητα σε παραβιάσεις κόµβων του δικτύου. Γι αυτό αποτελεί σωστή επιλογή σε δίκτυα που έχουν µεγάλες απαιτήσεις ασφάλειας, αποτελούνται από κόµβους µε µεγάλες δυνατότητες επεξεργασίας και µνήµης, όπου και φυσικά δικαιολογείται το προβλεπόµενο µεγάλο κόστος. Σε αυτή την κατηγορία υπάρχουν πολλές επιλογές µεθόδων. Ενδεικτικά, µερικές από αυτές στηρίζουν την παραγωγή των κλειδιών σε στοιχεία ταυτότητας των κόµβων (id-based), στοιχεία γεωγραφικά ή περιοχής τοποθέτησης τους (geographically or 26
location-based), ενώ άλλες χρησιµοποιούν δεντρικές δοµές (π.χ. Merkle Tree). Εδώ, δεδοµένου ότι τα άκρα της επικοινωνίας δεν είναι απλοί παθητικοί κόµβοι, µπορεί να χρησιµοποιηθεί κρυπτογράφηση ασύµµετρου κλειδιού (σηµειώνουµε ότι η επικοινωνία είναι µονόδροµη, καθώς το access point δεν στέλνει µηνύµατα στον reader). Προβλήµατα µε την ανάθεση των κλειδιών δεν υπάρχουν καθώς δεν έχουµε να κάνουµε µε µεγάλο πλήθος κόµβων που επιβαρύνουν το δίκτυο και την ασφάλεια της ανάθεσης. Τα κλειδιά µπορούν να αποθηκευτούν εξ αρχής, είτε να δοθούν κάποια αρχικά κλειδιά και να αποφασιστούν τα κανονικά µέσω µιας συνεννόησης των κόµβων µεταξύ τους. Ανανέωση κλειδιών µπορεί να πραγµατοποιηθεί εάν προκύψει κάποιο πρόβληµα ασφάλειας, είτε µετά την παρέλευση ενός χρονικού διαστήµατος, αν π.χ. κριθεί ότι υπάρχουν περιβαλλοντικοί παράγοντες που επιβαρύνουν την ασφάλεια στο δεδοµένο σπίτι/περιοχή. Για όλα όσα αναφέρθηκαν σχετικά µε τις µεθόδους κρυπτογράφησης, αναλυτικότερες αναφορές και πηγές, ο αναγνώστης µπορεί να ανατρέξει στο άρθρο [5]. Αντίστοιχα, για RFID κόµβους στο [2]. Πέρα από τις παραπάνω συνιστώσες της ασφάλειας που εξετάσαµε, ένα ακόµα σηµαντικό σηµείο που πρέπει να ελέγξουµε είναι και το πλήθος των µηνυµάτων. Όσο περισσότερα µηνύµατα ανταλλάζονται, τόσο πιο ευάλωτο είναι το δίκτυο σε επιθέσεις, καθώς αυξάνονται οι ευκαιρίες επίθεσης και οι πιθανότητες παραβίασης των µέτρων που λαµβάνονται για να προστατέψουν την εφαρµογή και τα δεδοµένα της. Ένα τέχνασµα για να αποφύγουµε αυτή την εκδοχή είναι η οµαδοποίηση των µηνυµάτων και η προσωρινή τους αποθήκευση ώστε να µεταδοθούν σε ένα µπλοκ µηνυµάτων. Ας σκεφτούµε το εξής παράδειγµα. Εάν ο ηλικιωµένος βρίσκεται στην κουζίνα του και 27
µαγειρεύει, περιµένουµε ότι για ένα αρκετό χρονικό διάστηµα θα βρίσκεται σε αυτό το δωµάτιο, και για αυτό το διάστηµα ο reader θα δέχεται µια ακολουθία από µηνύµατα της µορφής: -... - άνοιξε το ντουλάπι Α - άνοιξε το ψυγείο - πλησίασε τη συσκευή Χ - πλησίασε τη συσκευή Υ - άνοιξε το ντουλάπι Β - άνοιξε το ντουλάπι Α - άνοιξε το ψυγείο - πλησίασε τον αισθητήρα Ζ - άνοιξε το ντουλάπι Α -... Εφόσον υπάρχει έντονη δραστηριότητα στο χώρο, χωρίς ανησυχητικές ενδείξεις, τα παραπάνω µηνύµατα µπορούν να αποθηκευτούν προσωρινά, να οµαδοποιηθούν σε σύνολα ενός δεδοµένου µεγέθους και να αποσταλούν όταν συµπληρωθεί αυτό το µέγεθος, ως ένα µπλοκ (group transmission) παρά να σταλούν ένα-ένα. Οι απαιτήσεις επεξεργασίας του µπλοκ αυξάνονται µεν, σε αντίθεση µε το απλό µήνυµα, αλλά δεν είναι υπολογίσιµου µεγέθους, και µειώνεται και ο φόρτος του δικτύου. Για δικλείδα ασφαλείας, µπορεί να προστεθεί και ένας µετρητής χρόνου, έτσι ώστε αν µετά τον µηδενισµό του δεν έχει συµπληρωθεί ο αριθµός των µηνυµάτων προς οµαδική µετάδοση (απουσία δραστηριότητας για αυτό το χρονικό διάστηµα), να αποστέλλονται ούτως ή άλλως. Ακόµα και αν είναι αθώα αυτή η ξαφνική 28
παύση καταγραφόµενων κινήσεων, το σύστηµα να είναι έτοιµο να αντιµετωπίσει την αντίθετη περίπτωση. 4.3 Από το Access Point στον Broker Εικόνα 5 Όλα όσα µελετήθηκαν στις προηγούµενες ενότητες σχετικά µε την αυθεντικοποίηση, την ακεραιότητα και την εµπιστευτικότητα των δεδοµένων που µεταφέρονται µεταξύ των κόµβων, ισχύουν και εδώ. Με την διαφορά ότι ο broker είναι σε πολύ καλύτερη θέση όσον αφορά τις δυνατότητες του, µπορούν να εφαρµοστούν πιο απαιτητικές υπολογιστικά µέθοδοι που παρέχουν και µεγαλύτερο επίπεδο ασφάλειας. Το εκάστοτε access point θα πρέπει να πιστοποιεί τον εαυτό του στον regional broker. Ο regional broker, έχει υπό την δικαιοδοσία του ένα συγκεκριµένο σύνολο από access points, αυτά που ανήκουν σε σπίτια της περιοχής δικαιοδοσίας του. Οπότε, και αυτά έχουν δικαίωµα επικοινωνίας µαζί του. Γι αυτό πριν από κάθε προσπάθεια αποστολής ενός πακέτου, θα πρέπει να πείθουν τον broker ότι ανήκουν στη 29
δικαιοδοσία του. Ο broker θα απορρίπτει και θα µπλοκάρει κάθε παράνοµη αποστολή από access point, και θα δέχεται µόνο τα έγκυρα µηνύµατα. Έργο του broker είναι η διαλογή και προώθηση των µηνυµάτων στον κατάλληλο παραλήπτη/ίδρυµα. Ο broker δεν έχει καµία απολύτως πρόσβαση στο περιεχόµενο των µηνυµάτων και καµία δυνατότητα να το καταφέρει. ηλαδή, όπως ορίζεται στην αρχιτεκτονική, αποσπά από τα µηνύµατα µόνο την απαραίτητη για την δροµολόγηση πληροφορία και δεν τον αφορά το περιεχόµενο του µηνύµατος. Πέραν της απλότητας του σχήµατος, έχει µεγάλη σηµασία και για την ασφάλεια να µην εµπλέκεται ενεργά στο περιεχόµενο οποιαδήποτε οντότητα δεν είναι απαραίτητο, γιατί έτσι απλά δηµιουργεί περισσότερα παράθυρα προς εξωτερικές οντότητες να εκµεταλλευτούν για να εισχωρήσουν στο σύστηµα. ιαδεδοµένη µέθοδος είναι η κρυπτογράφηση ενός πακέτου σε πολλαπλά επίπεδα, σαν «κρεµµύδι» (onion routing). Κάθε κόµβος από τον οποίο διέρχεται ένα µήνυµα, το κρυπτογραφεί µε τη δική του µέθοδο και το δικό του κλειδί, και προσθέτει ένα πεδίο µε το αναγνωριστικό του (αλλά και ένα επίπεδο/περίβληµα κρυπτογράφησης). Το ίδιο επαναλαµβάνεται σε όλους τους ενδιάµεσους κόµβους, προσθέτοντας κι από ένα επίπεδο κρυπτογράφησης κάθε φορά. Ένα παράδειγµα φαίνεται στην εικόνα 6. Εικόνα 6. Onion routing 30
Ξεκινώντας από το εσωτερικό προς τα έξω, βλέπουν στο πρώτο επίπεδο τα δεδοµένα DATA, το αναγνωριστικό του reader r και το αναγνωριστικό του ιδρύµατος στο οποίο προορίζεται. Όλα αυτά κρυπτογραφούνται µε το δηµόσιο κλειδί του ιδρύµατος και προστίθεται το αναγνωριστικό του, ώστε να εξακολουθεί να φαίνεται ο προορισµός του πακέτου. Έπειτα όλα αυτά κρυπτογραφούνται µε το ιδιωτικό κλειδί του reader και τοποθετείται στην αρχή το αναγνωριστικό του. Στο access point αφαιρείται από το πακέτο ένα επίπεδο (το εξωτερικό) µε την αντίστροφη διαδικασία της αποκρυπτογράφησης, αλλά όταν φτάσει το πακέτο στον broker, τα δεδοµένα DATA δεν θα είναι ορατά, καθώς ο broker δεν γνωρίζει το ιδιωτικό κλειδί του ιδρύµατος. Οπότε αρκείται στο να βλέπει το αναγνωριστικό του ιδρύµατος και να µπορεί να δροµολογήσει κατάλληλα το, έστω και άγνωστο, περιεχόµενο. Το παραπάνω παράδειγµα είναι ενδεικτικό για να φανεί η σκέψη πίσω από την τεχνική του onion routing. 31
4.4 Από τον Broker στο ιατρικονοσηλευτικό ίδρυµα παρακολούθησης Εικόνα 7 Από τη στιγµή που το µήνυµα έχει φτάσει στον broker, δροµολογείται στο επόµενο βήµα, και αυτό είναι η αποστολή του στο κατάλληλο νοσηλευτικό ίδρυµα υπεύθυνο για τον ηλικιωµένο. Όσο ανεβαίνουµε επίπεδα έχουµε να κάνουµε µε πιο κρίσιµες οντότητες ως προς τις συνέπειες σε περίπτωση επιτυχούς επίθεσης, αλλά από την άλλη έχουµε και ισχυρότερα µέτρα προστασίας. εν υπάρχει ο περιορισµός πόρων που συναντάµε σε χαµηλότερα επίπεδα. Ισχυρή σχέση εµπιστοσύνης πρέπει να υπάρχει και εδώ, ανάµεσα στον broker και τα νοσηλευτικά ιδρύµατα, µε τα οποία «συνεργάζεται». Το ίδρυµα, για κάθε µήνυµα που δέχεται, θα πρέπει να ελέγχει εάν προέρχεται από νόµιµο broker, από έναν δηλαδή broker από το σύνολο αυτών µε τους οποίους έχει νόµιµη επικοινωνία το ίδρυµα. Προφανώς, ένας broker δροµολογεί µηνύµατα σε πολλά ιδρύµατα, και ένα ίδρυµα µπορεί να δέχεται µηνύµατα από πολλούς brokers. Για κάθε µια από 32
αυτές τις σχέσεις, έχουν εδραιωθεί τα αντίστοιχα πιστοποιητικά και κλειδιά. Για την ακεραιότητα και την εµπιστευτικότητα εφαρµόζονται κατά τον ανάλογο τρόπο οι τεχνικές που έχουν αναφερθεί µέχρι τώρα. εδοµένου ότι ο broker δεν έρχεται σε επαφή µε τα δεδοµένα που αποστέλλει ο reader στο επίπεδο του σπιτιού, το µόνο που ελέγχει και µπορεί να ελέγξει είναι το πεδίο µε το αναγνωριστικό του ιδρύµατος, τον παραλήπτη του µηνύµατος. Εφόσον είµαστε σε αυτό σηµείο έχει ήδη ελεγχθεί η εγκυρότητα της προέλευσης του µηνύµατος. Τώρα µένει να προωθηθεί και να πιστοποιήσει ο broker την ταυτότητα του στο εκάστοτε ίδρυµα για να πετύχει την παράδοση του πακέτου. Στο άρθρο [13] αναπτύσσεται ένα σύστηµα για την ασφαλή ανταλλαγή µηνυµάτων προς το προσωπικό του ιδρύµατος., που στηρίζεται σε ρόλους. Τα στοιχεία των παραληπτών των µηνυµάτων (αναγνωριστικά, κλειδιά, κωδικοί, κλπ) συνδέονται µε κάποιους ρόλους, σχετικούς µε κάποιο χώρο του ιδρύµατος (π.χ. χειρουργεία) ή κάποια ειδικότητα. Ένας παραλήπτης µπορεί να έχει έναν ή και περισσότερους ρόλους, αλλά και να αλλάζει ρόλους, αρκεί ο τρέχων ρόλος του κάθε φορά να είναι συσχετισµένος µε τα στοιχεία του. Κάθε µήνυµα προς αποστολή σφραγίζεται µε έναν ρόλο, τον οποίο και πρέπει να έχει ο παραλήπτης. Χρησιµοποιείται δηλαδή ως µέσο «κλειδώµατος», έτσι ώστε µόνο κάτοχοι του συγκριµένου ρόλου να µπορούν να έχουν πρόσβαση στο περιεχόµενο του. Και έτσι εξασφαλίζεται η εµπιστευτικότητα των µηνυµάτων και η αυθεντικοποίηση του παραλήπτη. Με αυτή την τεχνική δεν χρειάζεται να δηµιουργούνται κλειδιά και κωδικοί για κάθε ζεύγος επικοινωνίας, παρά µόνο για κάθε ρόλο, καθώς και το κλειδί αποκρυπτογράφησης δηµιουργείται κάθε φόρου απαιτείται (on the fly) και όχι εκ των προτέρων. Επίσης δίνεται η ευκαιρία να διαβαστεί το µήνυµα από περισσότερους από έναν 33
παραλήπτες και να προχωρά η ροή του συστήµατος. Αν το µήνυµα απαιτούσε συγκεκριµένο παραλήπτη ο οποίος δεν µπορούσε τη δεδοµένη στιγµή να το λάβει και να ενεργήσει αναλόγως, θα µειωνόταν η απόδοση του δικτύου, ενώ µπορεί να κινδύνευε κάποιο από τα άτοµα υπό παρακολούθηση. Αυτή η ιδέα µπορεί να βρει ακόµα µεγαλύτερη εφαρµογή και στην ενδονοσοκοµειακή επικοινωνία. 4.5 Από το ιατρικονοσηλευτικό ίδρυµα παρακολούθησης στο υπεύθυνο οικογενειακό µέλος Εικόνα 8 Αν και το ουσιαστικό µονοπάτι ασφαλούς µεταφοράς των µηνυµάτων σταµατά στο υπεύθυνο νοσηλευτικό ίδρυµα, εξετάζουµε για χάριν ολοκληρωµένης προσέγγισης και το επόµενο βήµα, την αποστολή των ενηµερώσεων στα οικογενειακά µέλη. Ποια θα είναι αυτά 34
καθορίζεται εξ αρχής, αν και τα στοιχεία τους µπορούν να τροποποιηθούν κατά την πορεία του προγράµµατος. Το σύστηµα επισυνάπτει τις σχέσεις εµπιστοσύνης που απαιτούνται µε βάση τα στοιχεία αυτά. Ένα ίδρυµα µπορεί να στέλνει ενηµερώσεις σε περισσότερους από έναν για τον ίδιο ηλικιωµένο. Όπως αναφέρθηκε στην αρχή, οι ενηµερώσεις µπορούν να έχουν µορφή µηνύµατος είτε στο κινητό είτε στο ηλεκτρονικό ταχυδροµείο του µέλους. Και στις δυο περιπτώσεις χρησιµοποιείται η συνηθισµένη, υπάρχουσα υποδοµή. Λόγω της υποδοµής ενός ολόκληρου νοσηλευτικού ιδρύµατος, όλες οι κρίσιµες πληροφορίες σχετικές µε την αυθεντικοποίηση των οντοτήτων-µελών και την πιστοποίηση τους, µπορούν να βρίσκονται αποθηκευµένες σε µια βάση του ιδρύµατος, στην οποία και θα ανατρέχουν για αναζήτηση κάθε φορά. Αντικαθιστώντας µια εξωτερική αρχή πιστοποίησης, αυτό το ρόλο µπορεί να τον αναλάβει η βάση και ένα κοµµάτι του πληροφοριακού συστήµατος του ιδρύµατος. Η ανανέωση των κλειδιών, των αναγνωριστικών και άλλων στοιχείων που χρησιµοποιούνται στην αυθεντικοποίηση των συµµετεχόντων οντοτήτων και την εµπιστευτικότητα των δεδοµένων που ανταλλάσσουν, είναι µια επιπλέον πρακτική. Η ανανέωση µπορεί να πραγµατοποιείται µε διάφορα µοτίβα. Μπορεί να χρησιµοποιείται µια προκαθορισµένη λίστα κλειδιών ή αναγνωριστικών, τα οποία να χρησιµοποιούνται µε κυλιόµενη σειρά. ιαφορετικά, αλγόριθµοι και συναρτήσεις παραγωγής κλειδιών ή αναγνωριστικών µπορούν να τα κατασκευάζουν κάτω από ένα δεδοµένο σχήµα, ή και φυσικά να γίνεται τυχαία επιλογή ή παραγωγή των στοιχείων αυτών. Στη βάση θα διατηρούνται στοιχεία για την αντιστοίχηση παλαιών και νέων τιµών, ώστε να είναι δυνατό αν χρειαστεί να ανατρέξουν προς τα πίσω για να ανασυρθούν οποιαδήποτε δεδοµένα και να διορθωθούν τυχών λάθη. Αυτά τα δεδοµένα χρίζουν ιδιαίτερης προστασίας επίσης, καθώς 35