可穿戴醫(yī)療設(shè)備安全性研究以及策略分析

　　隨著全球人口老齡化加劇，空巢話趨勢明顯，慢病管理帶來的巨大挑戰(zhàn)，大眾對自我運(yùn)動(dòng)量化的需求，以及近年來網(wǎng)絡(luò)技術(shù)和智能感知設(shè)備的飛速發(fā)展，都是推動(dòng)醫(yī)療可穿戴設(shè)備興起的動(dòng)因。健康監(jiān)測類可穿戴設(shè)備，如計(jì)步器、智能手環(huán)等通過采集個(gè)人日常生活、運(yùn)動(dòng)的數(shù)據(jù)，通過網(wǎng)絡(luò)傳輸?shù)浇y(tǒng)一的平臺(tái)進(jìn)行存儲(chǔ)、共享，便于以后對整體數(shù)據(jù)的分析;專業(yè)輔助診療類設(shè)備，如心電監(jiān)測、血糖監(jiān)測等，可實(shí)現(xiàn)對佩戴者的生命體征數(shù)據(jù)的實(shí)時(shí)采集，為醫(yī)生的診療提供客觀的實(shí)時(shí)的數(shù)據(jù)支持。

　　圖1 可穿戴設(shè)備的網(wǎng)絡(luò)模型

　　可穿戴設(shè)備以前所未有的方式增強(qiáng)我們采集、分析和利用數(shù)據(jù)的廣度和深度，與此同時(shí)也產(chǎn)生了巨大的安全隱患。可穿戴設(shè)備的網(wǎng)絡(luò)模型如圖1所示，可穿戴設(shè)備采集的個(gè)人數(shù)據(jù)通過互聯(lián)網(wǎng)的方式傳遞給云端或者本地的數(shù)據(jù)服務(wù)器進(jìn)行數(shù)據(jù)存儲(chǔ)，不同身份的數(shù)據(jù)用戶，通過不同的權(quán)限去訪問服務(wù)器的數(shù)據(jù)。該網(wǎng)絡(luò)以人為核心，網(wǎng)絡(luò)中數(shù)據(jù)涉及到人們的日常生活，如使用者的位置、家庭住址、工作單位、身體健康狀況等一系列的隱私信息，若不對這些數(shù)據(jù)的安全加以保護(hù)，將造成嚴(yán)重的用戶隱私數(shù)據(jù)泄露。

　　醫(yī)療可穿戴設(shè)備用戶安全問題的國內(nèi)外研究現(xiàn)狀

　　可穿戴設(shè)備的網(wǎng)絡(luò)模型從傳統(tǒng)的無線傳感器網(wǎng)絡(luò)發(fā)展而來，并與云計(jì)算技術(shù)緊密相關(guān)。我們將結(jié)合無線傳感器網(wǎng)絡(luò)、云計(jì)算這兩個(gè)領(lǐng)域的安全研究工作，以使用用戶的隱私保護(hù)為中心，對可穿戴設(shè)備網(wǎng)絡(luò)中的關(guān)鍵安全點(diǎn)，使用用戶的隱私保護(hù)與管理研究(包括用戶的匿名認(rèn)證、身份隱私保護(hù)、運(yùn)動(dòng)軌跡隱私保護(hù))的國內(nèi)外研究現(xiàn)狀進(jìn)行全面的分析，從理論和技術(shù)上深入分析醫(yī)用可穿戴設(shè)備面臨的各種安全挑戰(zhàn)。

　　用戶身份信息隱私保護(hù)方法研究現(xiàn)狀

　　用戶的身份認(rèn)證是保護(hù)用戶數(shù)據(jù)應(yīng)用安全的至關(guān)重要的措施?？纱┐髟O(shè)備數(shù)據(jù)傳輸網(wǎng)絡(luò)中的使用用戶身份認(rèn)證主要包括三個(gè)內(nèi)容：身份認(rèn)證、匿名性和動(dòng)態(tài)性。

　　用戶身份認(rèn)證確保了數(shù)據(jù)存儲(chǔ)服務(wù)器能夠區(qū)分合法的參與用戶和不合法參與用戶。此外，為了實(shí)現(xiàn)使用用戶的匿名性，又要求數(shù)據(jù)訪問合法的參與用戶之間相互不可區(qū)分。實(shí)現(xiàn)匿名身份認(rèn)證的傳統(tǒng)方法是利用服務(wù)器給一群合法的參與用戶分配統(tǒng)一的身份密鑰。這個(gè)統(tǒng)一的密鑰可以使得合法參與者通過服務(wù)器的身份認(rèn)證，而服務(wù)器又無法得知參與者的具體身份信息。近些年，許多文獻(xiàn)研究了無線傳感網(wǎng)絡(luò)的匿名認(rèn)證問題。Zhu Jian-ming等人在《A new authentication scheme with anonymity for wireless environments》文章中提出了一個(gè)針對無線傳感網(wǎng)絡(luò)環(huán)境的匿名認(rèn)證協(xié)議，此協(xié)議無法提供雙向的認(rèn)證。隨后，Lee CC等人在《Security enhancement on a new authentication scheme with anonymity for wireless environments》文獻(xiàn)中彌補(bǔ)了這一缺陷。一些文獻(xiàn)繼續(xù)提高了匿名認(rèn)證協(xié)議的安全性和效率。另外一些文獻(xiàn)將研究重心放在身份認(rèn)證問題上。

　　用戶身份的匿名認(rèn)證方法研究現(xiàn)狀

　　使用用戶的身份信息不僅僅在身份認(rèn)證階段需要保護(hù)，在數(shù)據(jù)采集、反饋等階段，用戶的身份信息都需要得到保護(hù)。匿名技術(shù)是一個(gè)保護(hù)用戶身份信息的重要技術(shù)，它保證了參與用戶和服務(wù)器通信時(shí)，所有的身份信息都應(yīng)該被移除或者得到保護(hù)。在可穿戴設(shè)備的網(wǎng)絡(luò)模型中，用戶的身份信息易受到推測攻擊(Inference Attacks)和追蹤攻擊(Tracking Attacks)。Christin等人提出了采用假名來保護(hù)用戶身份信息的方法。Dingledine等人等研究了如何利用“洋蔥路由”(The Onion Router， TOR)來保護(hù)路由信息的匿名性。Xiong等人初步研究了如何高效率地實(shí)現(xiàn)群體感知參與用戶的匿名性。

　　用戶位置和運(yùn)動(dòng)軌跡的隱私保護(hù)方法研究現(xiàn)狀

　　許多醫(yī)用可穿戴設(shè)備應(yīng)用，例如運(yùn)動(dòng)量采集，為了為用戶繪制運(yùn)動(dòng)路線圖和計(jì)算平均運(yùn)動(dòng)量，需要參與用戶上傳自己數(shù)據(jù)采集的地理位置和時(shí)間點(diǎn)，在上傳一系列時(shí)間與地理位置信息時(shí)，使用用戶的移動(dòng)軌跡便暴露給服務(wù)器。因此，設(shè)計(jì)必要的機(jī)制來保護(hù)參與用戶的移動(dòng)軌跡十分必要。對于可穿戴設(shè)備網(wǎng)絡(luò)中傳感器位置隱私的研究的相關(guān)方法可以大致分成三類。

　　第一類方法利用參與用戶上傳偽造的位置信息的方法來保護(hù)用戶位置隱私。此方法的基本思路是：移動(dòng)用戶同時(shí)發(fā)送正確的位置信息和一系列錯(cuò)誤的位置信息給服務(wù)器。因?yàn)榉?wù)器無法區(qū)分正確的位置信息和錯(cuò)誤的位置信息，所以參與用戶的正確位置信息得到保護(hù)。

　　第二類方法利用k-匿名性(k-anonymity)來保護(hù)移動(dòng)傳感器的位置隱私。其基本思想是保證參與用戶的位置信息無法和其他參與用戶進(jìn)行區(qū)分。對于網(wǎng)絡(luò)位置隱私保護(hù)，Minho等人[18]研究了基于人口密度圖來實(shí)現(xiàn)對參與用戶位置隱私保護(hù)的方法。此方法利用了概率k-匿名性的思想，本質(zhì)是對地圖的一個(gè)劃分，保證每一個(gè)劃分的子區(qū)域在t時(shí)間段上至少有1個(gè)參與用戶的概率不會(huì)小于p。這樣，即便攻擊者知道了參與者來自哪個(gè)區(qū)域，也無法與該區(qū)域的其他參與用戶進(jìn)行區(qū)分。從而實(shí)現(xiàn)對參與用戶位置隱私的保護(hù)。

　　第三類方法主要用于保護(hù)傳感器消息源。防止攻擊者在截獲通信消息后，對消息源的反追蹤。

　　醫(yī)用可穿戴設(shè)備用戶安全問題的發(fā)展方向展望

　　穿戴設(shè)備網(wǎng)絡(luò)中需要大量普通用戶的參與，參與用戶的身份、位置以及其采集的數(shù)據(jù)涉及到用戶的個(gè)人隱私。如何既保護(hù)用戶的隱私，又能方便用戶完成設(shè)備采集數(shù)據(jù)的上傳匯總是該應(yīng)用面臨的一大挑戰(zhàn)。相關(guān)安全技術(shù)在未來的發(fā)展中建議考慮以下幾個(gè)問題。

　　首先用戶對數(shù)據(jù)服務(wù)器之前建立一個(gè)統(tǒng)一認(rèn)證平臺(tái)，從新用戶注冊，可穿戴設(shè)備采集數(shù)據(jù)的上傳，用戶退出三個(gè)用戶使用環(huán)節(jié)，分階段進(jìn)行用戶安全性審核，只有通過統(tǒng)一認(rèn)證平臺(tái)認(rèn)證的用戶，才可以對數(shù)據(jù)進(jìn)行訪問。

　　其次建立相應(yīng)的用戶安全等級模型，對不同的訪問用戶進(jìn)行分級別授權(quán)管理，嚴(yán)格做好不同權(quán)限的用戶對數(shù)據(jù)的訪問范圍和讀取權(quán)限的控制。

　　最后除了在技術(shù)上解決相關(guān)安全問題之外，國家要加強(qiáng)對醫(yī)用可穿戴設(shè)備的網(wǎng)絡(luò)監(jiān)管，在政策法規(guī)和提高使用者的安全意識(shí)上面多下功夫，從而進(jìn)一步避免使用者的隱私數(shù)據(jù)泄露。

　　小結(jié)

　　可穿戴設(shè)備所面臨的安全焦點(diǎn)問題研究，縱觀國內(nèi)外相關(guān)的研究，已經(jīng)取得了很大的成果，但是在很多方面仍存在欠缺和不足。如何既保護(hù)用戶的隱私安全，又能方便用戶，仍是醫(yī)療可穿戴設(shè)備廣泛應(yīng)用前所面臨的一大挑戰(zhàn)。