把身体变成电线

2007年，美国。副总统迪克•切尼(Dick Cheney)命令他的医生关闭所有无线信号他的联网心脏起搏器。切尼后来说，做出这一决定是为了防止恐怖分子侵入他的心脏起搏器，用它来致命地电击他的心脏。在一些人看来，切尼对他的医生的命令可能过于谨慎，但无线连接的医疗设备向来存在漏洞。例如，在2011年和2012年的一系列会议上，新西兰黑客巴纳比杰克展示了连接的医疗设备可能被远程攻击．杰克用高增益天线捕捉90米外人体模型胰岛素泵传输的未加密电磁信号。然后，他利用这些信号侵入泵，并调整泵输送的胰岛素水平。他还侵入了心脏起搏器，让它发出致命的电击。

在这些示威活动过去八年之后，联网医疗设备仍然很脆弱。例如，在2020年6月，美国国土安全部回忆起一种连接胰岛素泵的模型。泵是未经加密传输敏感信息这样，附近任何想要监听的人都可以访问这些数据。

医疗设备只是人们植入或戴在身上的无线设备的冰山一角。其中包括无线耳塞、智能手表和虚拟现实耳机。仍在开发中的技术，例如智能隐形眼镜显示信息和数字药片那些在被吞食后传输传感器数据的昆虫也将面临风险。

所有这些设备都需要在低功耗和短范围内安全地传输数据。这就是为什么研究人员开始认为它们是一个人体大小的无线网络(称为身体区域网络)的单个组件。“身体互联网”(IoB)一词也开始使用，这是受到物联网的启发。

目前，IoB设备主要使用已建立的无线技术蓝牙，沟通。虽然这些技术功耗低、易于理解且易于实现，但它们从来不是为IoB网络设计的。蓝牙的主要特点之一是两个设备能够在几米远的地方轻松找到并连接到另一个设备。正是这一特性让假设的攻击者能够窥探或攻击某人身上的设备。无线技术也被设计成在空气或真空中传播，而不是通过人体媒介，因此它们的效率低于一种从头开始设计的通信方法。

通过我们在普渡大学的研究，我们开发了一种新的通信方法，使医疗设备、可穿戴设备和身体上或附近的任何其他设备比使用低功率无线信号相互通信更安全。该系统利用人体固有的传导微小无害电信号的能力，将整个身体变成有线通信通道。通过将身体转化为网络，我们将使IoB设备更加安全。

敏感个人资料就像医疗信息在传输时应该始终加密一样，无论是通过无线、电子邮件还是其他渠道。但是，还有另外三个特别好的理由来防止攻击者在本地访问医疗设备。

首先，医疗数据应该是可控的。你不希望一个设备广播信息，有人可能会偷听。第二个原因是您不希望设备的完整性受到损害。例如，如果你有一个连接到胰岛素泵的葡萄糖监测器，你不希望泵释放更多的葡萄糖，因为监测器的数据被泄露了。血液中葡萄糖含量不足会导致头痛、虚弱和头晕，而过多会导致视力和神经问题、肾脏疾病和中风。任何一种情况最终都会导致死亡。第三个原因是设备的信息需要始终可用。如果攻击者干扰胰岛素泵或心脏起搏器的信号，这些设备甚至可能不知道它需要对身体的突然问题做出反应。

既然安全和隐私如此重要，为什么不用有线呢?导线在两个设备之间创建了一个专用通道。人们只有在实际敲击电线本身时才能窃听有线信号。如果电线在你身体上或体内，那就很难做到了。

撇开安全和隐私的好处不谈，还有一些重要的原因可以解释为什么你不想让电线交叉在你的身体上。如果电线绝缘不当，人体自身的生化过程会腐蚀电线中的金属，进而导致重金属中毒。这也是一个方便的问题。想象一下，需要用电线修复或更换起搏器。把导线重新穿过身体是一项非常精细的任务。

与其在无线信号(容易被窃听者窥探)和有线信号(会给身体带来风险)之间做出选择，为什么不选择两者兼而有之的第三种选择呢?这就是我们工作背后的灵感，使用人体作为人体区域网络设备的通信媒介。

我们称这种方法为直接通过身体发送信号电准静态人体交流．这有点拗口，我们就把它当做身体通道吧。重要的是，通过利用人体自身的导电特性，我们可以避免有线和无线通道的陷阱。

金属线是电荷的大导体。通过将1和0编码为不同的电压来传输数据是一件简单的事情。你只需要将1s定义为某个电压，这将导致电流流过导线，将0s定义为零电压，这将意味着没有电流流过导线。通过测量导线另一端的电压随时间的变化，就得到了原来的1和0序列。然而，如果你不想让金属线在身体周围或穿过身体，你能做什么呢?

成年人平均体重的60%是水。尽管纯水是一种糟糕的导电体，但充满电解质和盐等导电粒子的水导电效果更好。你的身体充满了一种被称为间质液的水溶液，它位于你的皮肤下面和身体细胞周围。间质液负责将营养物质从血液输送到身体细胞，并充满蛋白质、盐、糖、激素、神经递质和各种其他有助于保持身体运转的分子。因为间质液在体内无处不在，它允许我们在身体任何地方的两个或多个通信设备之间建立一个电路。

想象一下，糖尿病患者使用胰岛素泵和腹部的独立监测器来控制血糖水平。假设他们想要他们的智能手表，在众多其他功能中，显示当前的血糖水平和泵的运行状态。传统上，这些设备必须是无线连接的，从理论上讲，任何人都可以获取用户个人数据的副本。或者更糟，可能会攻击泵本身。今天，许多医疗设备仍然没有加密，即使是那些加密了的，加密也不能保证安全。

下面是它如何与身体通道工作代替。泵、监控器和智能手表的背后都配备了一个小铜电极，与皮肤直接接触。每个设备还有一个不与皮肤接触的第二电极，它的作用是一种漂浮的地面，这是一个局部的电地面，不直接与地球的地面相连。当监控器测量血糖时，它需要将数据发送到泵(以防需要调整胰岛素水平)和智能手表，以便患者能够看到血糖水平。智能手表还可以存储数据以进行长期监测，或将其加密并发送到用户的计算机或医生的计算机上，以进行远程存储和分析。

监控器通过将数据编码为一系列电压值来传达其葡萄糖测量值。然后，它通过在两个铜电极之间施加电压来传输这些值——一个接触人体，一个充当浮动地面。

这个施加的电压非常轻微地改变了整个身体相对于地面的电位。人体与地面之间的微小电位变化只是监控器两个电极之间电位差的一小部分。但穿过身体后被其他地方的设备吸收的比例甚至更小。因为腰部的泵和手腕上的智能手表都在身体上，它们可以通过自己的两个电极(身体上的和漂浮的)检测到电位的变化。然后，泵和智能手表将这些潜在的测量结果转换回数据。所有这些都没有真正的信号穿过皮肤。

其中之一实现这种身体交流方法的最大挑战是为电信号选择最佳波长。像我们在这里考虑的电子波长比无线通信的射频波长长得多。

之所以选择频率是一个挑战，是因为在一定的频率范围内，人体本身可以成为天线。当交流电使材料中的电子振荡并产生电磁波时，普通的无线电天线就会产生信号。发射波的频率取决于馈入天线的交流电的频率。同样地，将特定频率的交流电施加在人体上，会使人体发出信号。这种信号虽然微弱，但用合适的设备在一定距离内仍能接收到。如果身体就像天线一样，它还可以从其他地方接收到不必要的信号，这些信号可能会干扰可穿戴设备和植入物之间的交流能力。

出于同样的原因，你不想使用像蓝牙这样的技术，你想把电信号限制在身体里，而不是意外地从身体里辐射出去。所以你必须避免人体变成天线的电频率，在10到100兆赫的范围内。上面是无线波段，我们已经提到了那里的问题。结果是，你需要使用0.1到10兆赫的频率，在这个频率范围内，信号将被限制在身体内。

早期使用人体进行通信的尝试通常会避开这些较低的频率，因为身体在低频时通常会有很高的损耗。换句话说，这些较低频率的信号需要更大的功率来保证信号能够到达目的地。这意味着腹部的葡萄糖监测器发出的信号在无法读取之前可能无法传输到手腕上的智能手表，因为功率没有显著提高。这些先前的努力损失很大，因为它们专注于发送直接的电信号，而不是编码在潜在变化中的信息。我们发现，器件和人体之间的寄生电容是产生工作通道的关键。

电容是指物体储存电荷的能力。寄生电容是无意中出现在任何两个物体之间的多余电容。例如，电路板上靠近的两个带电区域，或者人的手和手机之间。通常情况下，寄生电容是一个麻烦，尽管它也适用于某些应用，如触摸屏。

精明的读者可能已经注意到，在此之前我们还没有提到电路的一个关键方面:电路需要是一个闭环，才能实现电子通信。到目前为止，我们的讨论仅限于前向路径，即从发射电极到接收电极的电路部分。但我们需要一条回头路。由于器件上的浮动接地电极与地面之间的寄生电容，我们有了一个。

下面是如何描绘我们正在使用的电路。首先，想象两个回路。第一个回路从传输装置开始，在接触皮肤的电极处。然后电路穿过身体，通过脚向下到实际的地面，然后通过空气向上到传输设备上的另一个(浮动的)电极。我们应该注意到，这不是一个直流电可以通过的回路。但是因为寄生电容存在于任何两个物体之间，比如你的脚和你的鞋子，你的鞋子和地面，一个小的交流电可以存在。

第二个回路，以类似的方式，从接收设备开始，在其接触皮肤的电极处。然后它穿过身体——两个回路共享这一段——到达地面，然后通过空气返回到接收设备上的浮动地面电极。

这里的关键是要理解电路回路的重要性，不是因为我们必须推动电流通过它们，而是因为我们需要一个闭合的电容器路径。在电路中，如果一个电容器的电压发生变化——例如，发射装置的两个电极——就会在回路中产生轻微的交流电。其他的电容器，即身体和空气，“看到”电流，由于它们的阻抗或电流电阻，它们的电压也会变化。

请记住，带有发射设备的电路回路和带有接收设备的电路回路共用一个体，作为它们各自回路的一段。因为它们共享这一段，接收设备也会对身体电压的轻微变化做出反应。组成接收设备电容器的两个电极检测身体电压的变化，并将测量结果解码为有意义的信息。

我们发现，我们希望任何IoB设备的电容器具有高电容。如果是这样的话，发射装置产生的相对较高的电压将导致人体本身的极低电流。显然，从安全的角度来看，这是有道理的:毕竟，我们不想让大电流通过身体。同时也使通信信道损耗低。这是因为高阻抗电容器对电流的微小变化特别敏感。结果是我们可以保持低电流(并且安全)，并且仍然可以在接收设备上获得清晰的电压测量。我们发现，与之前在体内创建无线通道的尝试相比，我们的技术减少了两个数量级的损失，之前的尝试依赖于通过电流直接通过身体发送电信号。

我们的方法是将人体变成一个通信通道，将信号可以被截获的距离从蓝牙和类似信号的5- 10米范围缩小到15厘米以下。换句话说，我们已经将攻击者拦截和干扰信号的距离缩短了两个数量级。用我们的方法，攻击者需要离目标非常近，以至于没有办法隐藏。

我们的方法不仅为任何使用医疗植入物或设备的人提供了更多的隐私和安全，而且作为奖励，通信也更加节能。因为我们开发了一种在低频下低损耗的系统，我们可以用更少的功率在设备之间发送信息。我们的方法需要每传输位小于10皮焦耳。作为参考，这大约是蓝牙所需能量的0.01%。使用256位加密技术，每秒传输1千比特需要415纳瓦的功率，比蓝牙(1到10毫瓦)低三个数量级。

像心脏起搏器和胰岛素泵这样的医疗设备已经存在了几十年。蓝牙耳机和智能手表可能比较新，但无论是拯救生命的医疗设备还是消费技术，都不会很快离开我们的身体。只有使这两类设备尽可能安全才有意义。当数据从一个点移动到另一个点时，它总是最容易受到恶意攻击，而我们的IoB通信技术最终可以关闭防止个人数据离开你的身体的循环。

本文发表在2020年12月的印刷版上，题为“为了保护敏感数据，把肉和组织变成安全的无线通道”。

作者简介

Shreyas森他是普渡大学电气与计算机工程副教授。他是IEEE的高级成员。Shovan Maity和Debayan Das是普渡大学森学院的研究生。