戴瀅，牛宇，2，鄭紅，楊吉江（.北京第二外國(guó)語(yǔ)學(xué)院，北京 00024；2.清華大學(xué)信息技術(shù)研究院，北京 00084）

?

數(shù)字移動(dòng)醫(yī)療中安全技術(shù)分析

戴瀅1，牛宇1，2，鄭紅1，楊吉江2△
（1.北京第二外國(guó)語(yǔ)學(xué)院，北京 100024；2.清華大學(xué)信息技術(shù)研究院，北京 100084）

摘要：數(shù)字移動(dòng)醫(yī)療通過使用通信技術(shù)如PDA、移動(dòng)智能手機(jī)和衛(wèi)星等移動(dòng)輔助技術(shù)提供醫(yī)療服務(wù)數(shù)據(jù)。本文從醫(yī)院內(nèi)和醫(yī)院外兩個(gè)方面來討論移動(dòng)醫(yī)療的應(yīng)用以及移動(dòng)醫(yī)療的隱私安全。著重討論醫(yī)院外移動(dòng)醫(yī)療中的關(guān)鍵技術(shù)—無(wú)線體域網(wǎng)的隱私與安全問題以及現(xiàn)有的解決技術(shù)。

關(guān)鍵詞：移動(dòng)醫(yī)療；無(wú)線體域網(wǎng)；隱私安全

1　引言

在物聯(lián)網(wǎng)背景下，醫(yī)療設(shè)備的數(shù)字化、全系統(tǒng)數(shù)字化、電子化是現(xiàn)在醫(yī)療研究熱點(diǎn)。移動(dòng)醫(yī)療能夠?qū)崿F(xiàn)醫(yī)療信息資源的智能化、信息共享與互聯(lián)［1］。然而，在推動(dòng)醫(yī)療數(shù)字化，移動(dòng)化的同時(shí)，關(guān)于醫(yī)療數(shù)據(jù)的隱私保護(hù)和數(shù)據(jù)安全不可忽視。現(xiàn)有醫(yī)學(xué)類文獻(xiàn)中多為對(duì)移動(dòng)醫(yī)療安全技術(shù)的展望，缺乏詳細(xì)的技術(shù)安全研究。另一方面，網(wǎng)絡(luò)安全方面的研究，例如無(wú)線傳感網(wǎng)安全協(xié)議和無(wú)線體域網(wǎng)安全協(xié)議，并沒有和移動(dòng)醫(yī)療進(jìn)行很好的結(jié)合。本文首次系統(tǒng)地結(jié)合現(xiàn)有無(wú)線傳感網(wǎng)和無(wú)線體域網(wǎng)的技術(shù)探討移動(dòng)醫(yī)療中的安全技術(shù)。

圖1展示了一個(gè)典型的醫(yī)療數(shù)據(jù)從采集（Data collection）、管理（Data management）到使用（Data usage）再回到數(shù)據(jù)采集（有可能再匯入新的醫(yī)療數(shù)據(jù)）的完整生命周期。

本文中將主要著重于討論醫(yī)療數(shù)據(jù)收集端，以及從數(shù)據(jù)收集端到后臺(tái)數(shù)據(jù)庫(kù)數(shù)據(jù)傳輸階段的隱私與安全（生命周期第一階段）。針對(duì)醫(yī)療信息的隱私保護(hù)研究通常要從法律和技術(shù)兩個(gè)方面兼顧［10］。然而，目前我國(guó)還未制定出明確單獨(dú)的法律法規(guī)來監(jiān)管醫(yī)療數(shù)據(jù)隱私的安全機(jī)制。并且因?yàn)獒t(yī)療數(shù)據(jù)中包含大量個(gè)人隱私信息，僅從法律、經(jīng)濟(jì)和道德角度來監(jiān)管很難完全保障數(shù)據(jù)安全和患者利益。所以，從技術(shù)角度來探討研究醫(yī)療數(shù)據(jù)隱私安全是推進(jìn)數(shù)字移動(dòng)醫(yī)療發(fā)展的必經(jīng)之路。

圖1　醫(yī)療數(shù)據(jù)生命周期

2　移動(dòng)醫(yī)療

國(guó)際醫(yī)療衛(wèi)生會(huì)員組織HIMSS給出的移動(dòng)醫(yī)療（Mhealth）定義為：通過使用移動(dòng)通信技術(shù)，例如PDA、移動(dòng)電話和衛(wèi)星通信來提供醫(yī)療服務(wù)和信息。移動(dòng)醫(yī)療業(yè)有助于醫(yī)院內(nèi)推行醫(yī)療數(shù)字化，并且因?yàn)橐苿?dòng)通信技術(shù)的加入，移動(dòng)醫(yī)療不僅可以節(jié)約掛號(hào)排隊(duì)的時(shí)間成本而且能夠高效引導(dǎo)人們獲取各種健康相關(guān)咨詢，自主監(jiān)測(cè)自自己的身體狀況。本文將移動(dòng)醫(yī)療分為醫(yī)院內(nèi)和醫(yī)院外兩類應(yīng)用場(chǎng)景。

2.1醫(yī)院內(nèi)

移動(dòng)醫(yī)療在醫(yī)院內(nèi)的應(yīng)用主要用于院內(nèi)病人資料提取，醫(yī)療物料和資源管理等方面。如護(hù)士和醫(yī)生能夠很方便的通過掌上PDA或者是PAD端獲取病人的情況，也可以直接修改電子病歷，可以根據(jù)手持工作站了解患者個(gè)體化診治情況［11］。其中關(guān)于保護(hù)病人的隱私與安全主要涉及到兩個(gè)方面，一是手持工作站的安全，二是醫(yī)院內(nèi)無(wú)線網(wǎng)絡(luò)的安全。醫(yī)院物料資源管理通常通過RFID（Radio Frequency IDentification）技術(shù)實(shí)現(xiàn)醫(yī)療藥品，設(shè)備，垃圾等的追蹤，審核等安全措施。如今我國(guó)醫(yī)院內(nèi)對(duì)于移動(dòng)醫(yī)療這兩方面的使用還處于三甲醫(yī)院嘗試使用階段。推行困難的主要原因是一方面對(duì)于數(shù)據(jù)安全保密提出了很高的要求，另一方面，醫(yī)療信息化和原本醫(yī)院診療程序還有較大隔閡和差距，導(dǎo)致精力本身有限的醫(yī)護(hù)人員不遠(yuǎn)再花費(fèi)時(shí)間來推行數(shù)字化，移動(dòng)化醫(yī)療。

2.2醫(yī)院外

移動(dòng)醫(yī)療在醫(yī)院外的應(yīng)用主要分為家庭內(nèi)和戶外兩方面。家庭內(nèi)相對(duì)于戶外來說所要求的安全級(jí)要較低。使用者能夠在自己家中，或者在戶外隨時(shí)監(jiān)測(cè)自己的身體狀態(tài)。而移動(dòng)醫(yī)療推行的重要一點(diǎn)就是能夠保護(hù)用戶在此過程中的采集的個(gè)人信息的安全。隱私是每個(gè)用戶保證自己的個(gè)人健康信息保持私密的權(quán)利；而安全則是移動(dòng)醫(yī)療設(shè)備應(yīng)該做到能夠保證用戶隱私不被竊取和篡改。

3　無(wú)線體域網(wǎng)

無(wú)線體域網(wǎng)（Wireless Body Area Network）是附在人體上的一種網(wǎng)絡(luò)，由各個(gè)傳感器節(jié)點(diǎn)和一個(gè)身體主站所構(gòu)成［2］，它屬于無(wú)線傳感網(wǎng)（物聯(lián)網(wǎng)）的一種。每一個(gè)傳感器節(jié)點(diǎn)既可以佩戴在身上也可以植入體內(nèi)。通過附在人身體各個(gè)關(guān)鍵部位的傳感器來收集用戶的身體狀況信息，再通過各傳感器節(jié)點(diǎn)數(shù)據(jù)聚集節(jié)點(diǎn)向后臺(tái)數(shù)據(jù)庫(kù)傳送用戶醫(yī)療數(shù)據(jù)信息（圖2）。無(wú)線體域網(wǎng)是覆蓋面最小的網(wǎng)絡(luò)，然而無(wú)線體域網(wǎng)在醫(yī)療保健方面卻是惠及面特別廣的網(wǎng)絡(luò)。無(wú)線體域網(wǎng)是實(shí)現(xiàn)移動(dòng)醫(yī)療的一項(xiàng)重要關(guān)鍵技術(shù)，下文主要探討無(wú)線體域網(wǎng)的隱私與安全。

文獻(xiàn)［3］將無(wú)線體域網(wǎng)隱私與安全分為7個(gè)方面，具體包括數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)訪問、數(shù)據(jù)聚集、數(shù)據(jù)查詢、數(shù)據(jù)傳輸和環(huán)境數(shù)據(jù)。本文以數(shù)據(jù)聚集點(diǎn)為界，將無(wú)線體域網(wǎng)的安全分為兩個(gè)層次：第一個(gè)層次是數(shù)據(jù)收集端的隱私與安全，第二個(gè)層次是聚集節(jié)點(diǎn)到后臺(tái)數(shù)據(jù)庫(kù)的隱私與安全，如圖2所示。

圖2　無(wú)線體域網(wǎng)與后臺(tái)數(shù)據(jù)

其中數(shù)據(jù)收集端的隱私安全又包括各傳感器節(jié)點(diǎn)、數(shù)據(jù)傳輸（各傳感器節(jié)點(diǎn)到聚集節(jié)點(diǎn)）、聚集節(jié)點(diǎn)（移動(dòng)智能手機(jī)端）和時(shí)間與位置的隱私安全。而聚集節(jié)點(diǎn)到后臺(tái)數(shù)據(jù)庫(kù)的安全主要包括用戶訪問，查詢后臺(tái)數(shù)據(jù)庫(kù)的隱私安全。

3.1數(shù)據(jù)收集端

3.1.1傳感器節(jié)點(diǎn)上的數(shù)據(jù)安全

通常來說，在無(wú)線體域網(wǎng)中各個(gè)傳感器節(jié)點(diǎn)所包含的數(shù)據(jù)由于收集到的原始數(shù)據(jù)噪聲較多，所包含的有用信息并不是很多，因此攻擊這些節(jié)點(diǎn)的成本所獲價(jià)值較小。然而，對(duì)于關(guān)鍵的傳感器節(jié)點(diǎn)，例如收集心臟信息的傳感器節(jié)點(diǎn)所包含的信息仍具有較大價(jià)值，并且若是劫持一個(gè)傳感器節(jié)點(diǎn)可能造成其它節(jié)點(diǎn)數(shù)據(jù)的泄露，另外也可能造成關(guān)鍵數(shù)據(jù)被篡改。

文獻(xiàn)［3］提出無(wú)線體域網(wǎng)節(jié)點(diǎn)數(shù)據(jù)安全隱私保護(hù)機(jī)制有：基于性質(zhì)加密的ABE（Attribute-Based Encryption）機(jī)制［21］，基于RBAC（Role-Based Access Control）［22］的訪問控制機(jī)制，和基于匿名訪問的控制機(jī)制。而ABE機(jī)制由于采用細(xì)顆粒度加密算法，對(duì)于僅靠電池供應(yīng)能源的傳感器節(jié)點(diǎn)來說負(fù)載過重，因此不常采用。而基于角色的接入控制RBAC對(duì)于單個(gè)節(jié)點(diǎn)來說也存在同樣的問題。［4］提出使用匿名訪問，主要運(yùn)用盲簽名技術(shù)。盲簽名可以使用戶得到簽名者的簽名，而無(wú)需給予簽名者關(guān)于實(shí)際消息或最終簽名的任何信息。通過將用戶的身份作為公鑰，可得到基于身份的盲簽名。盲簽名即對(duì)所簽數(shù)據(jù)的提供者的身份是盲的。當(dāng)前經(jīng)典實(shí)現(xiàn)方案是Brands提供的受限盲簽名方案［5］，數(shù)據(jù)提供者將公鑰附在盲化數(shù)據(jù)后作為數(shù)據(jù)的一部分，要求數(shù)據(jù)提供者用私鑰簽名，最后用公鑰驗(yàn)證。

但是盲簽名機(jī)制也有其缺點(diǎn)，即通信開銷較大，對(duì)于空間的消耗較大。

3.1.2移動(dòng)手機(jī)端安全

聚集節(jié)點(diǎn)也就是各傳感器節(jié)點(diǎn)信息匯聚的節(jié)點(diǎn)，如今移動(dòng)醫(yī)療的聚集節(jié)點(diǎn)主要是移動(dòng)智能手機(jī)，通過聚集節(jié)點(diǎn)進(jìn)行數(shù)據(jù)的融合和壓縮。而聚集節(jié)點(diǎn)作為各個(gè)傳感器信息匯集處是最容易遭受攻擊的，攻擊者極有可能可以獲取該節(jié)點(diǎn)所有的隱私數(shù)據(jù)，并且可以篡改這些數(shù)據(jù)，因此，聚集節(jié)點(diǎn)的隱私安全是網(wǎng)絡(luò)中的重要環(huán)節(jié)。關(guān)于保護(hù)數(shù)據(jù)傳輸和聚集節(jié)點(diǎn)的數(shù)據(jù)安全，文獻(xiàn)［6］提出主要有三類實(shí)現(xiàn)策略:逐跳加密機(jī)制、端到端加密機(jī)制、非加密策略。而根據(jù)無(wú)線體域網(wǎng)的現(xiàn)實(shí)情況，即不存在多個(gè)聚集節(jié)點(diǎn)，因此在無(wú)線體域網(wǎng)中不需要使用逐跳加密機(jī)制，可以采用端到端加密機(jī)制和非加密策略。

（1）端到端加密機(jī)制

端到端加密機(jī)制是使用同態(tài)加密模式在加密數(shù)據(jù)上實(shí)現(xiàn)數(shù)據(jù)聚集。它使用傳感器和基站共享的密鑰加密，而聚集節(jié)點(diǎn)不解密，以此來應(yīng)對(duì)來自內(nèi)外部的攻擊。需要在加密數(shù)據(jù)上實(shí)現(xiàn)數(shù)據(jù)的聚集，使用同態(tài)加密模式實(shí)現(xiàn)在密文上進(jìn)行求和或乘積操作［6］，有效支持加密數(shù)據(jù)的數(shù)據(jù)聚集。聚集節(jié)點(diǎn)的數(shù)據(jù)傳輸?shù)胶笈_(tái)數(shù)據(jù)庫(kù)之后再進(jìn)行解密，從而觀察被檢測(cè)者的身體狀況。常用的隱私安全技術(shù)包括：a）自適應(yīng)同態(tài)加密AHE（Additively Homomorphic Encryption）［23］，通過使用簡(jiǎn)單的求和動(dòng)態(tài)加密函數(shù)實(shí)現(xiàn)端到端加密機(jī)制的SUM聚集。但是AHE中解密時(shí)需要上傳與上傳數(shù)據(jù)對(duì)應(yīng)的傳感器ID，需要額外通信開銷，并且不支持聚集結(jié)果的完整性驗(yàn)證。因此文獻(xiàn)［24］提出了SP密碼擾亂（Secret Perturbation）［24］模式系列，與AHE思路相似，但是不需要上傳節(jié)點(diǎn)ID，也能夠?qū)崿F(xiàn)聚集結(jié)果的完整性驗(yàn)證。b）隱匿數(shù)據(jù)聚集CDA（Concealed Data Aggregation）［25］采用Domingo-Ferrer提出的同態(tài)加密模式（DF scheme）實(shí)現(xiàn)傳感器網(wǎng)絡(luò)中隱私保護(hù)數(shù)據(jù)聚集。［6］CDA的通信消耗較小，但是抵御攻擊的能力較弱。c）完整性保護(hù)層次隱匿數(shù)據(jù)聚集IPHCDA（Integrity Protecting Hierarchical Concealed Data Aggregation）［26］，采用的是基于橢圓曲線的同態(tài)加密和消息認(rèn)證碼來保護(hù)信息竊取和篡改的攻擊以實(shí)現(xiàn)分層數(shù)據(jù)集中的隱私保護(hù)和完整性驗(yàn)證。它的缺點(diǎn)就是僅僅支持求和的聚集操作。

（2）非加密策略

非加密策略是指不使用加密策略，而是通過添加偽裝數(shù)據(jù)、數(shù)據(jù)擾動(dòng)等技術(shù)實(shí)現(xiàn)數(shù)據(jù)聚集。分布在人體的傳感器將采集的真實(shí)數(shù)據(jù)和偽裝數(shù)據(jù)一起集合，構(gòu)成數(shù)據(jù)消息集，而這個(gè)消息集中數(shù)據(jù)的位置是事先安排好的。各個(gè)傳感器節(jié)點(diǎn)向聚集節(jié)點(diǎn)上傳遞數(shù)據(jù)集，真實(shí)的數(shù)據(jù)并未被加密，因此聚集節(jié)點(diǎn)能夠?qū)⒏鱾€(gè)傳感器節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行聚集。而對(duì)于攻擊者來說，并不能區(qū)分真實(shí)數(shù)據(jù)和偽裝數(shù)據(jù)，因此也就實(shí)現(xiàn)了不加密情況下的隱私保護(hù)，使得攻擊者不能找出哪些數(shù)據(jù)是被檢測(cè)者真實(shí)的身體狀況數(shù)據(jù)。

綜合兩種策略來看，采用端到端加密能夠較好應(yīng)對(duì)內(nèi)部和外部攻擊，計(jì)算代價(jià)和時(shí)間延時(shí)較小，需要同態(tài)加密模式在加密數(shù)據(jù)上實(shí)現(xiàn)數(shù)據(jù)聚集，但該機(jī)制不能很好地完成MAX/MIN等非線性聚集操作［6］；非加密策略不同于端到端加密，它不需要密鑰分配和加解密操作，節(jié)省了計(jì)算和通信代價(jià)。它的特點(diǎn)是需要添加偽裝數(shù)據(jù)或數(shù)據(jù)擾動(dòng)等技術(shù)來實(shí)現(xiàn)隱私保護(hù)安全，非加密策略的效果性能取決于采用的技術(shù)如何。

3.1.3傳輸

本節(jié)重點(diǎn)討論各傳感器節(jié)點(diǎn)到聚集節(jié)點(diǎn)的數(shù)據(jù)傳輸安全，主要使用技術(shù)有藍(lán)牙和ZigBee［2］。目前，在抵御竊聽攻擊和流量分析方面，常常使用加密技術(shù)保護(hù)隱私數(shù)據(jù)。在互聯(lián)網(wǎng)通信時(shí)代，密碼技術(shù)是信息安全的核心。在密碼技術(shù)的協(xié)助下，對(duì)于無(wú)線體域網(wǎng)數(shù)據(jù)傳輸?shù)陌踩c隱私保護(hù)技術(shù)大體上分為四類:

（1）密碼與密鑰管理技術(shù)

加密技術(shù)是一種主動(dòng)的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無(wú)意義的密文，防止非法用戶獲取和理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。明文變成密文的過程稱為加密，由密文還原成明文的過程稱為解密，加密和解密的規(guī)則稱密碼算法。在加密和解密的過程中，由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。

（2）無(wú)線體域網(wǎng)安全傳輸隱私保護(hù)協(xié)議設(shè)計(jì)

傳感器節(jié)點(diǎn)的一大限制在于其低功耗的特點(diǎn)，為了使傳感器節(jié)點(diǎn)能在連接狀態(tài)和睡眠狀態(tài)間自然切換以便實(shí)現(xiàn)功耗的節(jié)省。BSN-MAC［13］提出了一種自適應(yīng)超幀結(jié)構(gòu)機(jī)制，協(xié)調(diào)器根據(jù)傳感器節(jié)點(diǎn)反饋的信息自適應(yīng)地調(diào)整保護(hù)時(shí)隙（guaranteed time slot，GTS）和競(jìng)爭(zhēng)接入期（contention access period，CAP）的長(zhǎng)短，實(shí)現(xiàn)減少接入沖突和空閑偵聽，達(dá)到節(jié)省功耗的目的。

（3）無(wú)線體域網(wǎng)認(rèn)證技術(shù)

身份認(rèn)證是證實(shí)通信主體與其所聲稱的身份是否相符的過程。通過這一過程可以實(shí)現(xiàn)用戶訪問控制，阻止非法主體對(duì)系統(tǒng)資源的訪問。文獻(xiàn)［19］總結(jié)了出了以下三類認(rèn)證技術(shù)：1）基于秘密信息的身份認(rèn)證，例如通過數(shù)字、字母、特殊字符與對(duì)方口令對(duì)比從而相互認(rèn)證。2）基于信物的身份認(rèn)證，例如通過智能卡中的獨(dú)一為二的身份數(shù)據(jù)進(jìn)行認(rèn)證。3）基于生物特征的身份認(rèn)證，具體是指通過用戶指紋、虹膜、聲紋等進(jìn)行身份認(rèn)證。該種方法安全性最高，技術(shù)也相對(duì)最為復(fù)雜。

（4）無(wú)線體域網(wǎng)安全路由技術(shù)

無(wú)線體域網(wǎng)由于其特殊性，需要一種能夠高效利用節(jié)點(diǎn)能量、并且能夠合理分配網(wǎng)絡(luò)整體資源的路由算法。傳統(tǒng)無(wú)線傳感器網(wǎng)絡(luò)的路由協(xié)議并不適用于無(wú)線體域網(wǎng)。文獻(xiàn)［20］提出了一種用于無(wú)線體域網(wǎng)多跳傳輸?shù)穆酚伤惴?，能夠有效均衡各?jié)點(diǎn)的功耗、提高無(wú)線傳感器網(wǎng)絡(luò)的整體能量利用率。這種路由算法在保證能量的高效利用的前提下，綜合考慮了節(jié)點(diǎn)剩余能量、路徑能量消耗、多次轉(zhuǎn)發(fā)能耗等因素，從而使無(wú)線體域網(wǎng)的能量高效利用，達(dá)到節(jié)能和延長(zhǎng)網(wǎng)絡(luò)生存周期的目的。并進(jìn)行了仿真驗(yàn)證。

3.1.4時(shí)間與位置安全

時(shí)間與位置指的是傳感器收集數(shù)據(jù)的時(shí)間和傳感器的位置。攻擊者可以通過監(jiān)聽無(wú)線鏈路獲得傳感器節(jié)點(diǎn)的位置。在家中進(jìn)行醫(yī)療診斷的檢測(cè)者一旦被截獲位置信息也就意味著暴露了該檢測(cè)者的家庭位置。而在戶外活動(dòng)還攜帶著植入式傳感器的檢測(cè)者也就有可能會(huì)被攻擊者通過移動(dòng)軌跡數(shù)據(jù)來推斷被檢測(cè)者的生活規(guī)律和行為習(xí)慣等等的隱私信息。按照現(xiàn)有無(wú)線傳感網(wǎng)位置隱私保護(hù)成果的算法基本策略分類可以劃分為路徑偽裝、陷阱誘導(dǎo)、通信控制、網(wǎng)絡(luò)匿名4類［7］。而適用于無(wú)線體域網(wǎng)的位置隱私保護(hù)策略主要是通信控制和網(wǎng)絡(luò)匿名。

（1）通信控制

通信控制策略是指從修改網(wǎng)絡(luò)通信協(xié)議的角度出發(fā)，通過調(diào)整網(wǎng)絡(luò)常用的通信模式來防止攻擊者獲得敏感信息，從而為傳感器網(wǎng)絡(luò)提供位置隱私保護(hù)功能［7］。無(wú)線體域網(wǎng)中主要采用靜默機(jī)制。文獻(xiàn)［9］提出了ALBS（anti-localization by silencing）協(xié)議，當(dāng)網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)受到攻擊者攻擊時(shí)，節(jié)點(diǎn)保持完全靜默，將數(shù)據(jù)包緩存，直到攻擊者完全離開后再恢復(fù)。

（2）網(wǎng)絡(luò)匿名

網(wǎng)絡(luò)匿名主要是針對(duì)ID分析攻擊來進(jìn)行的，在數(shù)據(jù)傳輸?shù)倪^程中隱藏敏感節(jié)點(diǎn)ID的信息來實(shí)現(xiàn)傳感器節(jié)點(diǎn)位置的隱私保護(hù)。文獻(xiàn)［8］提出了EAC（efficient anonymous communication）協(xié)議來實(shí)現(xiàn)源節(jié)點(diǎn)和基站的ID匿名。

在時(shí)間隱私安全中，一個(gè)傳感器節(jié)點(diǎn)數(shù)據(jù)的發(fā)送時(shí)間，密鑰的更新時(shí)間，以及傳輸?shù)难舆t，即可能暴露出大量有用信息，可能會(huì)和位置數(shù)據(jù)綜合給攻擊者提供被檢測(cè)者的行為習(xí)慣和生活規(guī)律，也可能會(huì)暴露出哪個(gè)節(jié)點(diǎn)是聚集節(jié)點(diǎn)。在抵御攻擊時(shí)，可以考慮兩種方式。一種是在數(shù)據(jù)傳輸時(shí)引入隨機(jī)延遲［27］，另一種是將真實(shí)時(shí)間隱藏起來，使用虛擬時(shí)間［28］。

3.2聚集節(jié)點(diǎn)到后臺(tái)數(shù)據(jù)庫(kù)

3.2.1用戶查詢

數(shù)據(jù)查詢是用戶具體感知自身健康狀況的重要手段。遠(yuǎn)程終端在收到用戶發(fā)出的查詢請(qǐng)求后，一般都是通過將查詢信息傳輸?shù)骄W(wǎng)絡(luò)中的匯聚節(jié)點(diǎn)，由匯聚節(jié)點(diǎn)完成相應(yīng)的查詢操作。由于傳感器網(wǎng)絡(luò)具有資源受限、以數(shù)據(jù)為中心和應(yīng)用相關(guān)等特征，且大都部署于無(wú)人值守、復(fù)雜多變的環(huán)境中，因此在實(shí)際使用過程中面臨健康數(shù)據(jù)被竊聽、篡改等威脅。在查詢類型方面，目前主要針對(duì)范圍查詢、Top-K［16］查詢和基于類型查詢中隱私保護(hù)問題進(jìn)行研究。

（1）隱私保護(hù)范圍查詢

范圍查詢是傳感器網(wǎng)絡(luò)事件監(jiān)測(cè)和數(shù)據(jù)管理應(yīng)用中的一種常用的數(shù)據(jù)查詢方法。在無(wú)線傳感器網(wǎng)絡(luò)的數(shù)據(jù)查詢安全技術(shù)之中，隱私保護(hù)范圍查詢是引起較多關(guān)注的研究熱點(diǎn)之一。

a）桶模式協(xié)議

文獻(xiàn)［14］第一次涉及到了傳感器網(wǎng)絡(luò)范圍查詢中隱私保護(hù)問題，采用桶模式和加密技術(shù)完成隱私保護(hù)范圍查詢，通過添加驗(yàn)證編碼進(jìn)行完整性驗(yàn)證。文獻(xiàn)［15］在桶模式技術(shù)的基礎(chǔ)之上，提出時(shí)空交叉驗(yàn)證方法，既保證查詢范圍的隱私保護(hù)，也保證查詢結(jié)果的可驗(yàn)證性。

b）前綴成員驗(yàn)證技術(shù)協(xié)議

主要思路為：在編碼數(shù)據(jù)上實(shí)現(xiàn)查詢范圍而不泄露數(shù)據(jù)值，并使用加密數(shù)據(jù)鏈技術(shù)進(jìn)行完整性驗(yàn)證。例如文獻(xiàn)［18］提出這樣的方案判斷數(shù)據(jù)項(xiàng)是否與某區(qū)間轉(zhuǎn)換的數(shù)據(jù)項(xiàng)相等，同時(shí)使用加密數(shù)據(jù)鏈對(duì)有序數(shù)據(jù)進(jìn)行填充冗余數(shù)據(jù)，分段形成數(shù)據(jù)項(xiàng)加密鏈，如果加密鏈中任何項(xiàng)被刪除，解密后可以被檢測(cè)出來，保證隱私性與完整性。

（2）隱私保護(hù)Top-k查詢

文獻(xiàn)［16］歸納出了一種精確Top-k查詢安全協(xié)議，該協(xié)議采用了安全比較算法［17］，它是基于著名的姚氏百萬(wàn)富翁問題，具體做法是將原始數(shù)據(jù)加隨機(jī)值擾動(dòng)后的結(jié)果傳送給單元頭節(jié)點(diǎn)，并將隨機(jī)值傳送一份給輔助計(jì)算節(jié)點(diǎn)，單元頭節(jié)點(diǎn)和輔助計(jì)算節(jié)點(diǎn)在均不知道對(duì)方數(shù)據(jù)的情況下安全計(jì)算出這種算法在計(jì)算閾值時(shí)存在一個(gè)問題一旦攻擊者捕獲了單元頭節(jié)點(diǎn)然后監(jiān)聽各節(jié)點(diǎn)所發(fā)送的隨機(jī)數(shù)便能夠獲得相關(guān)原始數(shù)據(jù)，造成敏感信息的泄露，而且在無(wú)線網(wǎng)絡(luò)尤其是部署環(huán)境復(fù)雜的傳感器網(wǎng)絡(luò)中，監(jiān)聽信息是很容易做到的。

4　總結(jié)與展望

基于物聯(lián)網(wǎng)背景技術(shù)，本文分析了移動(dòng)醫(yī)療的現(xiàn)狀，著重介紹了移動(dòng)醫(yī)療以及醫(yī)院外的移動(dòng)醫(yī)療的關(guān)鍵技術(shù)無(wú)線體域網(wǎng)的隱私保護(hù)與安全，分別從數(shù)據(jù)收集端以及數(shù)據(jù)收集端和后臺(tái)數(shù)據(jù)庫(kù)的交互這兩個(gè)方面來探討如何保護(hù)醫(yī)療數(shù)據(jù)的隱私安全。

參考文獻(xiàn)

［1］阮曉東，醫(yī)療物聯(lián)網(wǎng)開啟全新醫(yī)療模式 新經(jīng)濟(jì)導(dǎo)刊［J］2014.7:36-44

［2］張曉博，基于藍(lán)牙的無(wú)線體域網(wǎng)（WBAN）安全方案研究與實(shí)現(xiàn)［D］，北京郵電大學(xué)，2013.1.

［3］高鵬，無(wú)線體域網(wǎng)的安全與隱私保護(hù)策略研究［D］，吉林大學(xué)，2014.4.

［4］崔巍，高效的基于身份的（受限）部分盲簽名，北京郵電大學(xué)學(xué)報(bào)［N］2008.8（31，4）.

［5］Brands S.Untraceable Offline Cash in Wallets with Observers［A］Advances in Cryptology-CRYPTO'93 Proceedings［C］Berlin:Springer-Veralg，1994.302-318.

［6］范永健，無(wú)線傳感器網(wǎng)絡(luò)數(shù)據(jù)隱私保護(hù)技術(shù)，計(jì)算機(jī)學(xué)報(bào)［J］，2012.6:1132-1146.

［7］彭輝，無(wú)線傳感器網(wǎng)絡(luò)位置隱私保護(hù)技術(shù)，軟件學(xué)報(bào)［J］，2014.12:617-639.

［8］Chen J，Du X，F(xiàn)ang B.An efficient anonymous communication protocol for wireless sensor networks.Wireless Communications and Mobile Computing，2012，12（14）:1302-1312.［doi:10.1002/wcm.1205］

［9］Dutta N，Saxena A，Chellappan S.Defending wireless sensor networks against adversarial localization.In:Proc.of the 11th IEEE Int'l Conf.on Mobile Data Management（MDM 2010）.IEEE，2010.336-341.［doi:10.1109/MDM.2010.75］

［10］楊吉江，面向醫(yī)療信息的數(shù)據(jù)隱私保護(hù)技術(shù)，中國(guó)數(shù)字醫(yī)學(xué)［J］，2010.8:50-54

［11］李源，探究移動(dòng)醫(yī)療安全問題及解決對(duì)策，電腦知識(shí)與技術(shù)［J］，2014.11:7847-7848.

［12］張鵬，遠(yuǎn)程醫(yī)療系統(tǒng)的安全性問題研究［D］.華中科技大學(xué)，2006.

［13］戴華，楊庚，肖甫，周強(qiáng)，何瑞良.兩層傳感網(wǎng)中能量高效的隱私保護(hù)范圍查詢方法［J］.計(jì)算機(jī)研究與發(fā)展，2015，04:983-993.

［14］Sheng Bo，Li Qun.Verifiable privacy-preserving range query in two-tiered sensor networks//Proceedings of the 27th IEEE International Conference on Computer Communications（INFOCOM）.Phoenix，USA，2008:46-50

［15］Shi Jing，Zhang Rui，Zhang Yan-Chao.Secure range queries in tiered sensor networks//Proceedings of the 28th IEEE International Conference on Computer Communications（INFOCOM）.Rio de Janciro，2009:945-953

［16］陳偉，許若妹，李玉嶺.基于隱私保護(hù)和完整性驗(yàn)證的Top-k查詢方法［J］.計(jì)算機(jī)研究與發(fā)展，2014，12:2585-2592.

［17］劉文，王永濱.安全多方信息比較相等協(xié)議及其應(yīng)用［J］.電子學(xué)報(bào)，2012，05:871-876.

［18］CHEN Fei ，LIU A X.Safe Q :secure and efficient query processing in sensor networks［C］// Proc of the 29th IEEE International Confer-ence on Computer Communications［S.l.］:IEEE Press，2010:1-9.

［19］朱凱，無(wú)線體域網(wǎng)身份認(rèn)證方法研究［D］.西安電子科技大學(xué)，2013.

［20］佟興，基于人體環(huán)境的無(wú)線體域網(wǎng)路由算法研究［D］.哈爾濱工業(yè)大學(xué)，2014.

［21］BETHENCOURT J，SAHAI A，Waters B.Ciphertext-policy attribute-based encryption［C］//Security and Privacy，2007.SP'07.IEEE Symposium on.Oakland:IEEE Press，2007:321-334.

［22］MORCHON O G，BALDUS H.Efficient distributed security for wireless medical sensor networks［C］//Intelligent Sensors，Sensor Networks and Information Processing，2008.ISSNIP 2008.International Conference on.Sydney:IEEE Press，2008:249-254.

［23］Claude Castelluccia，Einar Mykletun，Gene Tsudik.Efficient aggregation of encrypted data in wireless sensor networks//Proceedings of the 2nd Annual International Conference on Mobile and Ubiquitous Systems:Computing，Networking and Services（MobiQuitous）.San Diego，CA，USA，2005:109-117

［24］Feng Taiming，Wang Chuang，Zhang Wensheng，Ruan Lu Confidentiality protection for distributed sensor data aggregation//Proceedings of the 27th IEEE International Conferenceon Computer Communications（INFOCOM）.Phoenix，USA，2008:56-60

［25］SAINI K，KUMAR P，SHARMA J.A Survey on Data Aggregation Techniques for Wireless Sensor Networks［J］.International Journal of Advanced Research in Computer Engineering & Technology（IJARCET），2013，2（3）.

［26］OZDEMIR S，XIAO Y.Integrity protecting hierarchical concealed data aggregation for wireless sensor networks［J］.Computer Networks，2011，55（8）:1735-1746.

［27］韓軍，基于時(shí)間隨機(jī)化的密碼芯片防攻擊方法［J］，計(jì)算機(jī)工程，2007，1:6-8.

［28］潘新春，金文光，周冬鑫，基于虛擬時(shí)間戳的WSN時(shí)間同步算法［J］，計(jì)算機(jī)工程與應(yīng)用，2009，2:87-90.

Analysis on Security Technologies in Mobile Health

DAI Ying1，NIU Yu1，2，ZHENG Hong1，YANG Ji-jiang2
（1.Beijing International Studies University，Beijing，100024，China； 2.RIIT，Tsinghua University，Beijing 100084，China）

Abstract:With the development of wireless communication technology and smart device，mobile healthcare provides more convenient medical service to patient.This paper discusses the application of mobile health care from in-patient and out-patient two areas.The paper focuses on the privacy preserving and security of mobile health data，especially the data security solutions on wireless body area network（WBAN）which is the key technology of mobile healthcare.

Keywords:Mobile healthcare；Wireless body area network；Privacy preserving and security

作者簡(jiǎn)介：牛宇，女，博士學(xué)位，現(xiàn)為北京外國(guó)語(yǔ)大學(xué)講師，專業(yè)：計(jì)算機(jī)軟件。

通訊作者：楊吉江。