丁邢濤，鐘伯成，方旋

(上海工程技術(shù)大學(xué) 電子電氣工程學(xué)院，上海 201620)

無(wú)線醫(yī)療傳感網(wǎng)數(shù)據(jù)安全與隱私保護(hù)問(wèn)題研究*

丁邢濤，鐘伯成，方旋

(上海工程技術(shù)大學(xué) 電子電氣工程學(xué)院，上海 201620)

本文對(duì)無(wú)線醫(yī)療傳感網(wǎng)的數(shù)據(jù)安全與隱私保護(hù)進(jìn)行了綜述，描述了無(wú)線醫(yī)療傳感網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，著重分析了它的特性及安全需求，并詳細(xì)討論了無(wú)線醫(yī)療傳感網(wǎng)所面臨的網(wǎng)絡(luò)攻擊。從無(wú)線醫(yī)療傳感網(wǎng)的機(jī)密性、訪問(wèn)控制、身份認(rèn)證、隱私保護(hù)等安全需求方面進(jìn)行了相應(yīng)的研究，最后指出了對(duì)無(wú)線醫(yī)療傳感網(wǎng)安全與隱私可能的未來(lái)研究方向。

醫(yī)療傳感網(wǎng)；訪問(wèn)控制；隱私保護(hù)；密碼學(xué)

引 言

隨著可穿戴生物傳感器和無(wú)線通信技術(shù)的飛速發(fā)展，無(wú)線醫(yī)療傳感器網(wǎng)絡(luò)(Wireless Medical Sensor Networks, WMSNs)已成為一個(gè)富有前景的技術(shù)，它將徹底革新在家里、醫(yī)院尋求醫(yī)療的方式 。與傳統(tǒng)醫(yī)療面對(duì)面檢查病人身體方式不同，在無(wú)線醫(yī)療傳感器網(wǎng)絡(luò)里,患者健康相關(guān)的數(shù)據(jù)可以實(shí)現(xiàn)持續(xù)和實(shí)時(shí)的遠(yuǎn)程監(jiān)控，然后進(jìn)行數(shù)據(jù)處理，繼而轉(zhuǎn)移到醫(yī)療數(shù)據(jù)庫(kù)。這個(gè)醫(yī)療信息可以由醫(yī)療人員、研究人員、政府機(jī)構(gòu)、保險(xiǎn)公司和病人共享和訪問(wèn)。醫(yī)療傳感網(wǎng)在緊急電子醫(yī)療、家庭監(jiān)測(cè)、醫(yī)療數(shù)據(jù)的傳播、遠(yuǎn)程手術(shù)和虛擬醫(yī)院中都有許多成功的案例。然而發(fā)展醫(yī)療傳感網(wǎng)新技術(shù)不能忽略病人的數(shù)據(jù)安全和隱私所面臨的種種威脅。病人的身體特征參數(shù)具有敏感性，一旦病患信息泄露有可能使他丟失工作，亦或是得不到保險(xiǎn)公司的理賠。無(wú)線醫(yī)療傳感網(wǎng)中的病人信息可以被醫(yī)生、親人訪問(wèn)，然而當(dāng)未授權(quán)的用戶訪問(wèn)這些隱私數(shù)據(jù)后，一方面出于商業(yè)利益他們會(huì)與保險(xiǎn)公司進(jìn)行交易；另一方面對(duì)這些醫(yī)療數(shù)據(jù)進(jìn)行篡改，然后發(fā)送給醫(yī)生，醫(yī)生通過(guò)錯(cuò)誤的醫(yī)療信息對(duì)病人進(jìn)行錯(cuò)誤的診斷，會(huì)對(duì)病人的生命健康造成極大威脅。因此無(wú)線醫(yī)療傳感網(wǎng)安全與隱私問(wèn)題就變得極為重要。

1 無(wú)線醫(yī)療傳感網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)

醫(yī)療傳感網(wǎng)的典型結(jié)構(gòu)如圖1所示。大規(guī)模的MSN可以容納數(shù)萬(wàn)病人局域網(wǎng)絡(luò)(PAN)。每一個(gè)PAN由一些生物傳感器節(jié)點(diǎn)和一個(gè)本地處理單元(如平板電腦、智能手機(jī)或筆記本電腦)構(gòu)成。傳感器節(jié)點(diǎn)(無(wú)論是植入或可穿戴)定期收集病人健康信息，并將其轉(zhuǎn)發(fā)給本地處理單元，然后本地處理單元將收集到的個(gè)人健康信息上傳到網(wǎng)絡(luò)服務(wù)器。因此，用戶可以發(fā)出命令以訪問(wèn)所收集的病人健康信息。需要注意的是，傳感器節(jié)點(diǎn)只與相應(yīng)的本地處理單元進(jìn)行通信。這是因?yàn)樵谝粋€(gè)大的醫(yī)療機(jī)構(gòu)，對(duì)于資源有限的傳感器節(jié)點(diǎn)要對(duì)數(shù)百個(gè)用戶進(jìn)行身份驗(yàn)證無(wú)疑是困難的。因此，由本地處理單元(或網(wǎng)絡(luò)服務(wù)器)認(rèn)證用戶身份，并由本地處理單元節(jié)點(diǎn)向生物傳感器節(jié)點(diǎn)發(fā)出命令。

圖1 無(wú)線醫(yī)療傳感網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)

因?yàn)槭占降臄?shù)據(jù)涉及病人的隱私信息，且這些信息在醫(yī)療診斷和治療中發(fā)揮著至關(guān)重要的作用。為了確保病人數(shù)據(jù)安全和保護(hù)他們的隱私，必須嚴(yán)格限制對(duì)這些數(shù)據(jù)的訪問(wèn)，只有授權(quán)用戶才有資格訪問(wèn)。否則將會(huì)出現(xiàn)以下問(wèn)題：由于傳輸信息的敏感性及無(wú)線網(wǎng)本身的特性，醫(yī)療數(shù)據(jù)在傳輸及存儲(chǔ)過(guò)程中的不當(dāng)操作可能會(huì)引起安全問(wèn)題。由于醫(yī)療數(shù)據(jù)包含病人的各種生理數(shù)據(jù)及所處位置等情況，如果攻擊者對(duì)數(shù)據(jù)竊聽或竄改，將可能造成誤診，對(duì)病人造成生命危險(xiǎn)；如果這些數(shù)據(jù)被保險(xiǎn)公司竊取，可能會(huì)引發(fā)病人的醫(yī)療保險(xiǎn)問(wèn)題；關(guān)于病人隱私的醫(yī)療數(shù)據(jù)(如病人患敏感疾病) 的泄露可能會(huì)引起病人的隱私問(wèn)題。

2 醫(yī)療傳感網(wǎng)特點(diǎn)及安全需求

2.1 無(wú)線醫(yī)療傳感網(wǎng)的特點(diǎn)

(1) 數(shù)據(jù)傳輸速率

許多無(wú)線移動(dòng)網(wǎng)絡(luò)(MANET)和無(wú)線傳感網(wǎng)絡(luò)(WSN)被用于基于事件的監(jiān)控，其中事件也許發(fā)生在不規(guī)則的時(shí)間間隔。相比之下，醫(yī)療傳感網(wǎng)被用于監(jiān)控人體的生理活動(dòng)和行為，這些活動(dòng)和行為發(fā)生更有周期性，進(jìn)而使得數(shù)據(jù)流顯得相對(duì)穩(wěn)定。

(2) 移動(dòng)性

醫(yī)療傳感網(wǎng)中的節(jié)點(diǎn)要么靜止(例如在走廊中的傳感節(jié)點(diǎn))，要么相對(duì)靜止(例如在同一個(gè)人身上的所有傳感節(jié)點(diǎn))。

(3) 高效性和有效性

人體傳感器收集的信號(hào)能被有效地處理，來(lái)獲得可靠準(zhǔn)確的生理評(píng)估。

(4) 延 遲

盡管節(jié)省能量是很重要的，但在醫(yī)療傳感網(wǎng)中更換電池比在WSN中換電池更容易，因?yàn)閃SN中的節(jié)點(diǎn)在部署后不容易重新獲取。

(5) 效益和效率

節(jié)點(diǎn)收集的信號(hào)可以被有效處理得到精確生理數(shù)據(jù)。

2.2 無(wú)線醫(yī)療傳感網(wǎng)的安全需求

(1) 數(shù)據(jù)機(jī)密性(data confidentiality)

為防止患者的醫(yī)療數(shù)據(jù)不被泄露，數(shù)據(jù)需要保護(hù)，保證隱私信息只能被已經(jīng)授權(quán)的用戶訪問(wèn)。

(2) 數(shù)據(jù)完整性(data integrity)

防止數(shù)據(jù)的篡改是至關(guān)重要的，一旦病人數(shù)據(jù)被泄露將會(huì)造成災(zāi)難性的后果。所以這就需要保證數(shù)據(jù)的完整性，而且完整性的安全方案需要考慮到數(shù)據(jù)的動(dòng)態(tài)更新。

(3) 訪問(wèn)控制(access control)

在醫(yī)療傳感網(wǎng)中需要加強(qiáng)對(duì)病人醫(yī)療數(shù)據(jù)的訪問(wèn)控制，這樣就能避免非授權(quán)用戶訪問(wèn)病人醫(yī)療信息。參考文獻(xiàn)[4]針對(duì)數(shù)據(jù)安全訪問(wèn)的需求進(jìn)行了詳細(xì)分析，首先需要設(shè)計(jì)良好的細(xì)粒度數(shù)據(jù)訪問(wèn)控制機(jī)制來(lái)保證數(shù)據(jù)不被未授權(quán)者獲??；其次，安全訪問(wèn)隱私數(shù)據(jù)的合法授權(quán)者要有相關(guān)的記錄信息，具有訪問(wèn)可追溯性；然后訪問(wèn)者的數(shù)據(jù)訪問(wèn)權(quán)限隨時(shí)可以更改、替換與撤銷；最后要保證數(shù)據(jù)訪問(wèn)可以抵御重放攻擊。

(4) 身份認(rèn)證(user authentication)

無(wú)線醫(yī)療傳感網(wǎng)中要保證合法使用者發(fā)送和接收聲明的數(shù)據(jù)。醫(yī)療數(shù)據(jù)在無(wú)線信道傳輸過(guò)程中很容易被非授權(quán)用戶訪問(wèn)與竊取，所以考慮無(wú)線醫(yī)療傳感網(wǎng)的用戶身份認(rèn)證對(duì)于解決其安全問(wèn)題是切實(shí)可行的。

(5) 隱私保護(hù)(privacy protection)

確保用戶在無(wú)線體域網(wǎng)中的信息受到保護(hù)，不受到非法攻擊，包括生理體征數(shù)據(jù)、地理位置信息以及用戶個(gè)人的身份識(shí)別碼信息等。

(6) 數(shù)據(jù)新鮮性(data freshness)

確保無(wú)線體域網(wǎng)中的節(jié)點(diǎn)收到的數(shù)據(jù)是最新的，不是重發(fā)之后的舊消息，可以避免重放攻擊。

3 醫(yī)療傳感網(wǎng)面臨的網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)安全威脅和攻擊給無(wú)線醫(yī)療傳感網(wǎng)的安全與隱私帶來(lái)了巨大的挑戰(zhàn)。醫(yī)療傳感器采集到病人敏感的生理數(shù)據(jù)并在開放的無(wú)線信道上進(jìn)行傳輸，與有線網(wǎng)絡(luò)相比更容易受到攻擊。因此對(duì)病人敏感的生理信息必須采取安全措施，最大程度減少這些攻擊。

3.1 對(duì)病人生命特征的監(jiān)測(cè)與竊聽攻擊

對(duì)于病人隱私來(lái)說(shuō)最為常見的威脅是攻擊者在無(wú)線信道上竊聽數(shù)據(jù)包，獲得傳輸?shù)臄?shù)據(jù)。此外攻擊者還可能偵測(cè)到病人信息內(nèi)容，包括信息ID、時(shí)間戳、原地址、目標(biāo)地址和其他相關(guān)信息。

3.2 信息傳輸攻擊

眾所周知，無(wú)線通信沒有距離限制，這也導(dǎo)致了開放的無(wú)線信道易受攻擊。醫(yī)療傳感器將病人和環(huán)境信息發(fā)送給醫(yī)師或醫(yī)院服務(wù)器。攻擊者先從無(wú)線信道上截獲這些生理數(shù)據(jù)，并修改某些參數(shù)。然后把這些修改過(guò)的數(shù)據(jù)發(fā)送給醫(yī)師或遠(yuǎn)程服務(wù)器，醫(yī)生根據(jù)這些修改過(guò)的醫(yī)療信息可能對(duì)病人做出錯(cuò)誤診斷，繼而威脅病人的生命安全。信息傳輸攻擊分為兩類：①阻塞：當(dāng)無(wú)線醫(yī)療傳感網(wǎng)節(jié)點(diǎn)向攻擊者妥協(xié)時(shí)，攻擊者就會(huì)非法訪問(wèn)傳感節(jié)點(diǎn)數(shù)據(jù)(密鑰、傳感器類型)。②篡改：攻擊者從無(wú)線信道俘獲傳感節(jié)點(diǎn)并提取出病人的醫(yī)療數(shù)據(jù)，然后篡改病人信息，導(dǎo)致醫(yī)生、護(hù)士、親屬家人得到病人虛假的醫(yī)療數(shù)據(jù)。

3.3 路由攻擊

路由攻擊是在網(wǎng)絡(luò)層進(jìn)行的，而且是多跳網(wǎng)絡(luò)。當(dāng)攻擊者偷竊到數(shù)據(jù)進(jìn)行篡改后有選擇性地將這些數(shù)據(jù)包轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器，從而導(dǎo)致錯(cuò)誤警報(bào)。參考文獻(xiàn)[1]通過(guò)ADMR路由協(xié)議把傳感數(shù)據(jù)發(fā)送到遠(yuǎn)端，攻擊者可能會(huì)篡改俘獲數(shù)據(jù)包的地址字段，然后轉(zhuǎn)發(fā)給下一節(jié)點(diǎn)。這樣一來(lái)就會(huì)破壞路由途徑，甚至?xí)斐蔁o(wú)線循環(huán)路由問(wèn)題。路由攻擊可以分為4類：

(1) 選擇性轉(zhuǎn)發(fā)攻擊(Selective Forwarding attack)

圖2 選擇性轉(zhuǎn)發(fā)攻擊

在多跳網(wǎng)絡(luò)環(huán)境中，正常情況下節(jié)點(diǎn)會(huì)將數(shù)據(jù)包全部發(fā)送到基站或遠(yuǎn)程服務(wù)器，然而某些惡意節(jié)點(diǎn)拒絕轉(zhuǎn)發(fā)數(shù)據(jù)包，簡(jiǎn)單丟棄一些數(shù)據(jù)包，同時(shí)會(huì)選擇性發(fā)一些數(shù)據(jù)包或?qū)⒁恍﹫?bào)文修改后再轉(zhuǎn)發(fā)。選擇性轉(zhuǎn)發(fā)攻擊如圖2所示。

(2) 黑洞攻擊(Sinkhole attack)

攻擊者引誘其他節(jié)點(diǎn)向它發(fā)包，從而創(chuàng)造以攻擊者為中心的一個(gè)黑洞。比較典型的攻擊方法是攻擊者讓其他節(jié)點(diǎn)根據(jù)路由算法相信它是最好的轉(zhuǎn)發(fā)選擇，從而吸引其他節(jié)點(diǎn)向它發(fā)包。圖3說(shuō)明了黑洞攻擊，一旦攻擊者進(jìn)行黑洞攻擊得手后，整個(gè)網(wǎng)絡(luò)也就處于其他攻擊之內(nèi),例如竊聽攻擊、選擇轉(zhuǎn)發(fā)攻擊和黑洞攻擊，而黑洞攻擊往往不容易被檢測(cè)到。

(3) 女巫攻擊(Sybil attack)

一個(gè)惡意節(jié)點(diǎn)冒充多個(gè)合法節(jié)點(diǎn)的身份。女巫攻擊能有效地降低容錯(cuò)機(jī)制性能，對(duì)基于位置的路由協(xié)議的安全也能產(chǎn)生很大的威脅。因?yàn)榛谖恢玫穆酚尚枰粨Q彼此的位置信息，一個(gè)女巫攻擊節(jié)點(diǎn)可以使得其他節(jié)點(diǎn)相信很多位置上有它存在，從而導(dǎo)致路由混亂。圖4是女巫攻擊示意圖。參考文獻(xiàn)[5]、[6]討論了更多的路由攻擊，主要包括睡眠攻擊(Sleep attack)、公平攻擊(Fairness attack)、蟲洞攻擊(Wormhole attack)。

圖3 黑洞攻擊

圖4 女巫攻擊

(4) 拒絕服務(wù)攻擊(Denial-of-Service attack)

[7]指出拒絕服務(wù)攻擊可以減弱無(wú)線醫(yī)療傳感網(wǎng)預(yù)期性能，從而對(duì)病人生命安全造成一定威脅，同時(shí)也介紹了無(wú)線醫(yī)療傳感網(wǎng)在物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)和路由層以及傳輸層受到的拒絕服務(wù)攻擊，如表1所列。

表1 無(wú)線醫(yī)療傳感網(wǎng)在各層受到的拒絕服務(wù)攻擊

① 物理層：物理層最常見的攻擊是阻塞和篡改。阻塞是指無(wú)線電頻率干擾，攻擊者可以使用很少的節(jié)點(diǎn)來(lái)阻塞整個(gè)網(wǎng)絡(luò)。這種方法不能阻塞規(guī)模較大的網(wǎng)絡(luò)，由于無(wú)線醫(yī)療傳感網(wǎng)是一個(gè)小型網(wǎng)絡(luò)，所以網(wǎng)絡(luò)阻塞的機(jī)率較高。有時(shí)攻擊者從物理上進(jìn)行篡改醫(yī)療傳感節(jié)點(diǎn)，一個(gè)篡改攻擊者可能會(huì)損壞或者更換節(jié)點(diǎn)來(lái)獲取病人的信息。

② 數(shù)據(jù)鏈路層：這類攻擊主要分為沖突、不公正和耗盡攻擊。沖突攻擊是指當(dāng)敵手在相同頻率下同時(shí)與發(fā)送者發(fā)送數(shù)據(jù)包，導(dǎo)致數(shù)據(jù)包沖突和整個(gè)網(wǎng)絡(luò)性能退化。不公正攻擊指的是介質(zhì)訪問(wèn)控制層的優(yōu)先級(jí)機(jī)制被打破，從而影響整個(gè)網(wǎng)絡(luò)性能。耗盡攻擊是指當(dāng)一個(gè)自我犧牲的節(jié)點(diǎn)一直使信道繁忙，正常節(jié)點(diǎn)的電池就會(huì)耗盡。

③ 網(wǎng)絡(luò)和路由層：路由破壞在多跳網(wǎng)絡(luò)中易造成DOS攻擊，最常見的路由攻擊就是電子欺騙，這時(shí)攻擊者通過(guò)創(chuàng)建路由循環(huán)使網(wǎng)絡(luò)變得復(fù)雜或是重發(fā)數(shù)據(jù)包。此類攻擊還包括Sinkhole攻擊、Sybil攻擊、Wormhole攻擊等。

④ 傳輸層：傳輸層的主要攻擊是泛洪和重編程。泛洪就是攻擊者反復(fù)發(fā)送控制信息來(lái)耗盡存儲(chǔ)資源。重編程指攻擊者破壞兩個(gè)終端合法節(jié)點(diǎn)的鏈接，使得節(jié)點(diǎn)請(qǐng)求重傳丟失的數(shù)據(jù)幀，結(jié)果它破壞了網(wǎng)絡(luò)通信，耗盡了網(wǎng)絡(luò)資源。

4 研究進(jìn)展

傳統(tǒng)的安全策略僅引入密碼技術(shù)來(lái)實(shí)現(xiàn)醫(yī)療傳感網(wǎng)的安全，然而由于無(wú)線醫(yī)療傳感網(wǎng)的特性和其容易受到節(jié)點(diǎn)各種不當(dāng)行為影響，傳統(tǒng)的密碼技術(shù)無(wú)法滿足安全與隱私要求。惡意或被妥協(xié)節(jié)點(diǎn)可能會(huì)在病人隱私上發(fā)動(dòng)攻擊，失效的節(jié)點(diǎn)可能由于一個(gè)軟件錯(cuò)誤以至于影響它正常運(yùn)行。顯然，行為不當(dāng)?shù)墓?jié)點(diǎn)并不能僅僅靠密碼技術(shù)解決。醫(yī)療數(shù)據(jù)被攻擊者自由修改，被妥協(xié)的節(jié)點(diǎn)可能注入錯(cuò)誤信息。參考文獻(xiàn)[2]基于此問(wèn)題使用信任值來(lái)識(shí)別惡意/失效的節(jié)點(diǎn)，進(jìn)而把它們從醫(yī)療傳感網(wǎng)中排除出去。分布式網(wǎng)絡(luò)的個(gè)人實(shí)體信任信息可以用來(lái)進(jìn)行數(shù)據(jù)聚合、輔助路由惡意節(jié)點(diǎn)檢測(cè)，甚至?xí)r間同步。信任管理已成為一個(gè)重要的互補(bǔ)函數(shù)加密機(jī)制。

參考文獻(xiàn)[2]提出一種抗攻擊的信任管理機(jī)制，命名為ReTrust，介紹了ReTrust協(xié)議的信任計(jì)算過(guò)程，包括：抗攻擊的直接信任管理、抗攻擊的推薦信任管理、抗攻擊的非直接信任管理。通過(guò)惡意節(jié)點(diǎn)檢測(cè)對(duì)抗攻擊信任管理方案作出了性能評(píng)估。引入MND度量標(biāo)準(zhǔn)來(lái)描述惡意節(jié)點(diǎn)檢測(cè)過(guò)程。對(duì)于間歇性(on-off)攻擊和詆毀(bad-mouthing)攻擊都有很好的效果。實(shí)驗(yàn)表明，隨著惡意節(jié)點(diǎn)的增多，ReTrust系統(tǒng)能夠保持穩(wěn)定。除此之外，用ReTrust還能實(shí)現(xiàn)CTP來(lái)評(píng)估網(wǎng)絡(luò)吞吐量的提高。

參考文獻(xiàn)[4]提出了無(wú)線體域網(wǎng)安全存儲(chǔ)及數(shù)據(jù)訪問(wèn)控制的要求，總結(jié)了無(wú)線體域網(wǎng)的安全及隱私保護(hù)的各種方法。無(wú)線局域域網(wǎng)中的用戶眾多，且通常分屬不同的群體或角色，因此其訪問(wèn)控制應(yīng)具有可擴(kuò)展性，以滿足用戶的動(dòng)態(tài)加入與退出；應(yīng)支持細(xì)粒度的訪問(wèn)政策，為不同的用戶制定和執(zhí)行不同的訪問(wèn)權(quán)限。無(wú)線體域網(wǎng)可能會(huì)面臨多種不同的情況，過(guò)于嚴(yán)格和不靈活的數(shù)據(jù)訪問(wèn)控制可能會(huì)妨礙醫(yī)護(hù)等授權(quán)用戶及群體及時(shí)獲取病人的醫(yī)療數(shù)據(jù)，在病人已經(jīng)無(wú)意識(shí)或無(wú)法回應(yīng)的緊急情況下，這一問(wèn)題尤為嚴(yán)重。因此無(wú)線體域網(wǎng)的訪問(wèn)控制應(yīng)具有靈活性，允許病人按照自己的意愿，靈活地指定其數(shù)據(jù)訪問(wèn)策略；應(yīng)允許訪問(wèn)策略動(dòng)態(tài)適應(yīng)環(huán)境，如隨時(shí)間、地點(diǎn)或與患者相關(guān)的某些事件發(fā)生而改變。

參考文獻(xiàn)[8]提出了MAACE協(xié)議，該協(xié)議能夠保證專業(yè)人員訪問(wèn)病人數(shù)據(jù)。該安全機(jī)制基于橢圓曲線密碼算法，支持相互認(rèn)證和訪問(wèn)控制。除此之外，提出的安全方案能夠抵抗實(shí)時(shí)攻擊，如重放攻擊(Replay attacks)，拒絕服務(wù)攻擊(Denial of Service)。MAACE結(jié)構(gòu)由三層構(gòu)成，分別是傳感器網(wǎng)絡(luò)層、協(xié)調(diào)網(wǎng)絡(luò)層、數(shù)據(jù)訪問(wèn)層。該安全方案的工作過(guò)程如下：首先傳感器網(wǎng)絡(luò)層將病人數(shù)據(jù)發(fā)送到協(xié)調(diào)網(wǎng)絡(luò)層(如掌上電腦、筆記本電腦、智能手機(jī))，然后由網(wǎng)絡(luò)協(xié)調(diào)層把數(shù)據(jù)發(fā)送到數(shù)據(jù)訪問(wèn)層。該安全方案雖然提供了足夠的安全，但容易受到信息泄露的影響，從而使病人隱私處于危險(xiǎn)之中。

參考文獻(xiàn)[9]為病人監(jiān)護(hù)系統(tǒng)提供了高效的安全方案，此方案使用了基于公鑰的基礎(chǔ)設(shè)施。該安全方案由三部分組成：病人、醫(yī)療服務(wù)系統(tǒng)和安全基站。使用偽逆矩陣得到一對(duì)共享密鑰，通過(guò)雙邊密鑰握手方法在醫(yī)療服務(wù)系統(tǒng)和安全基站或是病人和安全基站建立安全通信。因?yàn)榘踩緭碛胁∪撕歪t(yī)療服務(wù)系統(tǒng)的密鑰先驗(yàn)知識(shí)，所以病人身上的任意一個(gè)節(jié)點(diǎn)都可以提供從病人到安全基站的通信策略。除此之外，該安全方案能夠滿足數(shù)據(jù)機(jī)密性安全需求。

參考文獻(xiàn)[10]在智能家居環(huán)境中基于ZigBee技術(shù)提出了一個(gè)實(shí)時(shí)安全架構(gòu)。此框架有如下特點(diǎn)：①在身體區(qū)域傳感器網(wǎng)絡(luò)中無(wú)線監(jiān)測(cè)信號(hào)的能力；②低功率以及數(shù)據(jù)傳輸可靠；③通過(guò)體域網(wǎng)實(shí)現(xiàn)醫(yī)療數(shù)據(jù)安全傳輸；④無(wú)線網(wǎng)絡(luò)高效的信道分配；⑤使用最適結(jié)構(gòu)實(shí)現(xiàn)最優(yōu)數(shù)據(jù)分析，使處理和計(jì)算能力最大化。本文使用安全的密鑰管理協(xié)議能夠在體域網(wǎng)中建立安全會(huì)話密鑰，這是因?yàn)槊荑€管理協(xié)議能夠提供增強(qiáng)安全服務(wù)的加密密鑰，比如數(shù)據(jù)機(jī)密性、身份認(rèn)證和數(shù)據(jù)完整性。

參考文獻(xiàn)[3] 就無(wú)線醫(yī)療傳感網(wǎng)的安全與隱私問(wèn)題提出了一套新穎、輕量級(jí)的系統(tǒng)。這個(gè)系統(tǒng)的基本思想是：當(dāng)一個(gè)用戶登錄服務(wù)器后，根據(jù)這個(gè)用戶的特權(quán)允許發(fā)布命令并訪問(wèn)個(gè)人的健康信息或者控制傳感節(jié)點(diǎn)。為了實(shí)現(xiàn)這個(gè)目的，提出的這套系統(tǒng)引用了可證明的受保護(hù)的代理簽名(proxy-protected signature by warrant(PSW))。PSW是一種特殊的數(shù)字簽名，它包括兩方參與者：原始簽名者和代理簽名者。系統(tǒng)包含4個(gè)階段：系統(tǒng)初始化階段、用戶加入階段、常規(guī)使用階段、用戶命令階段。作者從存儲(chǔ)開銷、執(zhí)行時(shí)間、能量消耗三個(gè)方面評(píng)估了提出的系統(tǒng)的安全性能。傳感器節(jié)點(diǎn)程序分別運(yùn)行在TelosB和MicaZ節(jié)點(diǎn)上。

參考文獻(xiàn)[11] 從加密算法、分組密碼工作模式和消息認(rèn)證算法三個(gè)方面研究了無(wú)線傳感網(wǎng)絡(luò)安全問(wèn)題。沒有認(rèn)證機(jī)制的加密算法是不安全的。消息認(rèn)證算法既能保證數(shù)據(jù)的完整性，還能解決身份認(rèn)證問(wèn)題。文獻(xiàn)基于TinySec通信平臺(tái)，分別從加密算法、工作模式和消息認(rèn)證算法三個(gè)方面分別在MicaZ和TelosB兩個(gè)節(jié)點(diǎn)進(jìn)行了實(shí)驗(yàn)評(píng)價(jià)分析。通過(guò)實(shí)驗(yàn)數(shù)據(jù)文章細(xì)致研究了分組密碼以及分組密碼參數(shù)的改變對(duì)于無(wú)線傳感網(wǎng)能量消耗的影響，提出了各種算法的結(jié)合來(lái)為無(wú)線傳感網(wǎng)提供足夠強(qiáng)度的安全等級(jí)。

5 未來(lái)可能的研究方向

由于無(wú)線醫(yī)療傳感網(wǎng)的節(jié)點(diǎn)收集的都是有關(guān)于病人敏感的生理信息，所以設(shè)計(jì)出各種機(jī)制實(shí)現(xiàn)對(duì)病人數(shù)據(jù)的保護(hù)是很有必要的。對(duì)于訪問(wèn)控制的隱私保護(hù)，可以設(shè)計(jì)一種自適應(yīng)數(shù)據(jù)安全訪問(wèn)算法，例如與神經(jīng)網(wǎng)絡(luò)算法的結(jié)合。在不同的環(huán)境中，它能夠偵測(cè)出環(huán)境危險(xiǎn)“級(jí)別”的高低：在公共環(huán)境中(如醫(yī)院、學(xué)校)，要求數(shù)據(jù)的訪問(wèn)權(quán)限高；而在家里就可以降低這種訪問(wèn)權(quán)限。病人的生理信息與他們的其他信息(如姓名、聯(lián)系電話)是聯(lián)系在一起的，考慮到病人的隱私性，可以將這些信息分離開來(lái)，可以仿照居民身份證號(hào)碼的形式將病人的姓名以數(shù)字編號(hào)代替，這樣醫(yī)生在訪問(wèn)病人信息時(shí)就看不到病人的其他身份信息。

考慮到無(wú)線醫(yī)療傳感節(jié)點(diǎn)能量嚴(yán)格受限，在提出一種針對(duì)解決無(wú)線醫(yī)療傳感網(wǎng)安全與隱私問(wèn)題的安全方案時(shí)，必須考慮到該安全協(xié)議所產(chǎn)生的能量開銷、存儲(chǔ)開銷和執(zhí)行時(shí)間。每一種安全方案都不可避免地會(huì)產(chǎn)生通信和計(jì)算開銷，因此安全協(xié)議應(yīng)該具有低成本、高效益。

關(guān)于無(wú)線醫(yī)療傳感網(wǎng)安全與隱私問(wèn)題還有待于進(jìn)一步研究，未來(lái)可能的研究方面總結(jié)如下：

① 公鑰密碼體制(public key cryptography)：最近研究表明公鑰密碼算法對(duì)醫(yī)療傳感器是可行的。但是在時(shí)間復(fù)雜度方面，公鑰密碼算法花費(fèi)昂貴，因此對(duì)公鑰密碼算法需要進(jìn)一步的探究。

② 對(duì)稱密碼體制(symmetric key cryptography)：在時(shí)間復(fù)雜度能量消耗方面，對(duì)稱密碼易實(shí)施且比非對(duì)稱密碼優(yōu)越。但是對(duì)于無(wú)線醫(yī)療傳感網(wǎng)來(lái)說(shuō)，對(duì)稱密碼不適合密鑰分發(fā)。因此在無(wú)線醫(yī)療傳感網(wǎng)中設(shè)計(jì)高效且靈活的密鑰分發(fā)協(xié)議是很有必要的。

③ 安全路由(secure routing)：通常情況下，當(dāng)前大多數(shù)的安全路由協(xié)議都是為靜止網(wǎng)絡(luò)設(shè)計(jì)的。然而由于醫(yī)療傳感網(wǎng)中病人的活動(dòng)性，醫(yī)療傳感網(wǎng)需要支持可移動(dòng)性多跳網(wǎng)絡(luò)協(xié)議。此外公鑰的真實(shí)性也需要進(jìn)一步的研究。

④ 安全和服務(wù)質(zhì)量(quality-of-service)：大多數(shù)醫(yī)療傳感網(wǎng)的應(yīng)用只考慮到病人數(shù)據(jù)安全和隱私保護(hù)，然而我們?cè)诳紤]安全問(wèn)題的同時(shí)也要對(duì)服務(wù)質(zhì)量給予足夠重視。未來(lái)需要從安全和服務(wù)質(zhì)量?jī)蓚€(gè)方面共同評(píng)價(jià)無(wú)線醫(yī)療傳感網(wǎng)。

對(duì)于無(wú)線醫(yī)療傳感網(wǎng)安全與隱私問(wèn)題[42]，不僅要從技術(shù)上著手，政府機(jī)構(gòu)還需要做出努力，每個(gè)國(guó)家根據(jù)自身發(fā)展情況制定出相應(yīng)的法律法規(guī)，使無(wú)線醫(yī)療傳感網(wǎng)的使用能夠真正惠及大眾。

結(jié) 語(yǔ)

無(wú)線醫(yī)療傳感網(wǎng)被認(rèn)為是富有前景的醫(yī)療技術(shù)，通過(guò)無(wú)線醫(yī)療傳感網(wǎng)病人的一切信息都在掌控之中?？紤]到無(wú)線醫(yī)療傳感網(wǎng)極易受到攻擊，而且病人的數(shù)據(jù)都是高度敏感的，其安全與隱私問(wèn)題亟待解決。本文闡述了醫(yī)療傳感網(wǎng)的特性及其安全需求，分析了無(wú)線醫(yī)療傳感網(wǎng)所面臨的網(wǎng)絡(luò)攻擊，分別從醫(yī)療傳感網(wǎng)中的機(jī)密性、訪問(wèn)控制和隱私保護(hù)等安全需求方面總結(jié)無(wú)線醫(yī)療傳感網(wǎng)安全與隱私研究進(jìn)展，并對(duì)無(wú)線醫(yī)療傳感網(wǎng)的訪問(wèn)控制方面的研究進(jìn)行了展望，指出了未來(lái)的研究方向。

參考文獻(xiàn)

[1] Dimitriou T,Loannis K.Security Issues in Biomedical Wireless Sensor Networks.In Proceedings of 1st International Symposium on Applied Sciences on Biomedical and Communication Technologies (ISABEL’08)[C]//Aalborg,Denmark,2008.

[2] Daojing He,Chun Chen,Sammy Chan,et al.ReTrust:Attack-Resistant and Lightweight Trust Management for Medical Sensor Networks[J].IEEE Transactions on Information Technology in Biomedicine,2012,16(4):623-632.

[3] Daojing He,Sammy Chan,and Shaohua Tang.A Novel and Lightweight System to Secure Wireless Medical Sensor Networks[J].IEEE JOURNAL OF BIOMEDICAL AND HEALTH INFORMATICS,2014,18(1).

[4] Ming Li,Wenjing Lou,Kui Ren.Data security and privacy in wireless body area networks[J].Wireless Communications,2010,17(1):51-58.

[5] Muraleedharan R,Osadciw L A.Secure Healthcare Monitoring Network Against Denial-of-Service Attacks Using Cognitive Intelligence[C]//In Proceedings of Communication Networks and Services Research Conference,Halifax,NS,Canada,2008.

[6] Misic J,Amini F, Khan M.On Security Attacks in Healthcare WSNs Implemented on 802.15.4 Beacon Enabled Clusters[C]//In Proceedings of IEEE Consumer Communication and Networking Conference (CCNC’07),Las Vegas,NV,USA,2007.

[7] Wood A D,Stankovic J A.Denial of Service in Sensor Networks[J].IEEE Comput,2002(35):54-62.

[8] Le X H,Khalid M,Sankar R,et al.An Efficient Mutual Authentication and Access Control Scheme for Wireless Sensor Network[J].Healthcare,2011(27):355-364.

[9] Haque M M,Pathan A S K,Hong C S.Securing u-Healthcare Sensor Networks Using PublicKey Based Scheme[C]//In Proceedings of 10th International Conference of Advance Communication Technology,Pyeongchang,Korea,2008.

[10] Dagtas S,Pekhteryev G,Sahinoglu Z,et al.Real-Time and Secure Wireless Health Monitoring[J].Int. J. Telemed. Appl,2008.

[11] Jongdeog Lee,Krasimira Kapitanova,Sang H Son.The price of security in wireless sensor networks[J].Computer Networks,2010(5):2967-2978.

丁邢濤(研究生)，主要從事無(wú)線醫(yī)療傳感網(wǎng)隱私與安全問(wèn)題研究。

Research on Data Security and Privacy Protection of Wireless Medical Sensor Network

Ding Xingtao,Zhong Bocheng,Fang Xuan

(Electronic Institute of Electrical Engineering,Shanghai University of Engineering Science,Shanghai 201620,China)

In the paper,the security and privacy of the wireless medical sensor network are reviewed,the network structure of wireless medical sensor network is described,its characteristics and security requirements are analyzed,and the network attack of the wireless medical sensor network is discussed in detail.Based on confidentiality,access control,identity authentication,privacy protection and safety requirements,the corresponding research is analyzed.Finally the security and privacy of the wireless medical sensor network possible future research directions are pointed out.

medical sensor network; access control;privacy protection;cryptography

上海高校青年教師培養(yǎng)資助計(jì)劃專項(xiàng)基金(ZZGCD15088)。

TP393

A

士然

2016-12-22)