可穿戴醫療設備安全性研究以及策略分析

　　隨著(zhù)全球人口老齡化加劇，空巢話(huà)趨勢明顯，慢病管理帶來(lái)的巨大挑戰，大眾對自我運動(dòng)量化的需求，以及近年來(lái)網(wǎng)絡(luò )技術(shù)和智能感知設備的飛速發(fā)展，都是推動(dòng)醫療可穿戴設備興起的動(dòng)因。健康監測類(lèi)可穿戴設備，如計步器、智能手環(huán)等通過(guò)采集個(gè)人日常生活、運動(dòng)的數據，通過(guò)網(wǎng)絡(luò )傳輸到統一的平臺進(jìn)行存儲、共享，便于以后對整體數據的分析;專(zhuān)業(yè)輔助診療類(lèi)設備，如心電監測、血糖監測等，可實(shí)現對佩戴者的生命體征數據的實(shí)時(shí)采集，為醫生的診療提供客觀(guān)的實(shí)時(shí)的數據支持。

　　圖1 可穿戴設備的網(wǎng)絡(luò )模型

　　可穿戴設備以前所未有的方式增強我們采集、分析和利用數據的廣度和深度，與此同時(shí)也產(chǎn)生了巨大的安全隱患?？纱┐髟O備的網(wǎng)絡(luò )模型如圖1所示，可穿戴設備采集的個(gè)人數據通過(guò)互聯(lián)網(wǎng)的方式傳遞給云端或者本地的數據服務(wù)器進(jìn)行數據存儲，不同身份的數據用戶(hù)，通過(guò)不同的權限去訪(fǎng)問(wèn)服務(wù)器的數據。該網(wǎng)絡(luò )以人為核心，網(wǎng)絡(luò )中數據涉及到人們的日常生活，如使用者的位置、家庭住址、工作單位、身體健康狀況等一系列的隱私信息，若不對這些數據的安全加以保護，將造成嚴重的用戶(hù)隱私數據泄露。

　　醫療可穿戴設備用戶(hù)安全問(wèn)題的國內外研究現狀

　　可穿戴設備的網(wǎng)絡(luò )模型從傳統的無(wú)線(xiàn)傳感器網(wǎng)絡(luò )發(fā)展而來(lái)，并與云計算技術(shù)緊密相關(guān)。我們將結合無(wú)線(xiàn)傳感器網(wǎng)絡(luò )、云計算這兩個(gè)領(lǐng)域的安全研究工作，以使用用戶(hù)的隱私保護為中心，對可穿戴設備網(wǎng)絡(luò )中的關(guān)鍵安全點(diǎn)，使用用戶(hù)的隱私保護與管理研究(包括用戶(hù)的匿名認證、身份隱私保護、運動(dòng)軌跡隱私保護)的國內外研究現狀進(jìn)行全面的分析，從理論和技術(shù)上深入分析醫用可穿戴設備面臨的各種安全挑戰。

　　用戶(hù)身份信息隱私保護方法研究現狀

　　用戶(hù)的身份認證是保護用戶(hù)數據應用安全的至關(guān)重要的措施?？纱┐髟O備數據傳輸網(wǎng)絡(luò )中的使用用戶(hù)身份認證主要包括三個(gè)內容：身份認證、匿名性和動(dòng)態(tài)性。

　　用戶(hù)身份認證確保了數據存儲服務(wù)器能夠區分合法的參與用戶(hù)和不合法參與用戶(hù)。此外，為了實(shí)現使用用戶(hù)的匿名性，又要求數據訪(fǎng)問(wèn)合法的參與用戶(hù)之間相互不可區分。實(shí)現匿名身份認證的傳統方法是利用服務(wù)器給一群合法的參與用戶(hù)分配統一的身份密鑰。這個(gè)統一的密鑰可以使得合法參與者通過(guò)服務(wù)器的身份認證，而服務(wù)器又無(wú)法得知參與者的具體身份信息。近些年，許多文獻研究了無(wú)線(xiàn)傳感網(wǎng)絡(luò )的匿名認證問(wèn)題。Zhu Jian-ming等人在《A new authentication scheme with anonymity for wireless environments》文章中提出了一個(gè)針對無(wú)線(xiàn)傳感網(wǎng)絡(luò )環(huán)境的匿名認證協(xié)議，此協(xié)議無(wú)法提供雙向的認證。隨后，Lee CC等人在《Security enhancement on a new authentication scheme with anonymity for wireless environments》文獻中彌補了這一缺陷。一些文獻繼續提高了匿名認證協(xié)議的安全性和效率。另外一些文獻將研究重心放在身份認證問(wèn)題上。

　　用戶(hù)身份的匿名認證方法研究現狀

　　使用用戶(hù)的身份信息不僅僅在身份認證階段需要保護，在數據采集、反饋等階段，用戶(hù)的身份信息都需要得到保護。匿名技術(shù)是一個(gè)保護用戶(hù)身份信息的重要技術(shù)，它保證了參與用戶(hù)和服務(wù)器通信時(shí)，所有的身份信息都應該被移除或者得到保護。在可穿戴設備的網(wǎng)絡(luò )模型中，用戶(hù)的身份信息易受到推測攻擊(Inference Attacks)和追蹤攻擊(Tracking Attacks)。Christin等人提出了采用假名來(lái)保護用戶(hù)身份信息的方法。Dingledine等人等研究了如何利用“洋蔥路由”(The Onion Router， TOR)來(lái)保護路由信息的匿名性。Xiong等人初步研究了如何高效率地實(shí)現群體感知參與用戶(hù)的匿名性。

　　用戶(hù)位置和運動(dòng)軌跡的隱私保護方法研究現狀

　　許多醫用可穿戴設備應用，例如運動(dòng)量采集，為了為用戶(hù)繪制運動(dòng)路線(xiàn)圖和計算平均運動(dòng)量，需要參與用戶(hù)上傳自己數據采集的地理位置和時(shí)間點(diǎn)，在上傳一系列時(shí)間與地理位置信息時(shí)，使用用戶(hù)的移動(dòng)軌跡便暴露給服務(wù)器。因此，設計必要的機制來(lái)保護參與用戶(hù)的移動(dòng)軌跡十分必要。對于可穿戴設備網(wǎng)絡(luò )中傳感器位置隱私的研究的相關(guān)方法可以大致分成三類(lèi)。

　　第一類(lèi)方法利用參與用戶(hù)上傳偽造的位置信息的方法來(lái)保護用戶(hù)位置隱私。此方法的基本思路是：移動(dòng)用戶(hù)同時(shí)發(fā)送正確的位置信息和一系列錯誤的位置信息給服務(wù)器。因為服務(wù)器無(wú)法區分正確的位置信息和錯誤的位置信息，所以參與用戶(hù)的正確位置信息得到保護。

　　第二類(lèi)方法利用k-匿名性(k-anonymity)來(lái)保護移動(dòng)傳感器的位置隱私。其基本思想是保證參與用戶(hù)的位置信息無(wú)法和其他參與用戶(hù)進(jìn)行區分。對于網(wǎng)絡(luò )位置隱私保護，Minho等人[18]研究了基于人口密度圖來(lái)實(shí)現對參與用戶(hù)位置隱私保護的方法。此方法利用了概率k-匿名性的思想，本質(zhì)是對地圖的一個(gè)劃分，保證每一個(gè)劃分的子區域在t時(shí)間段上至少有1個(gè)參與用戶(hù)的概率不會(huì )小于p。這樣，即便攻擊者知道了參與者來(lái)自哪個(gè)區域，也無(wú)法與該區域的其他參與用戶(hù)進(jìn)行區分。從而實(shí)現對參與用戶(hù)位置隱私的保護。

　　第三類(lèi)方法主要用于保護傳感器消息源。防止攻擊者在截獲通信消息后，對消息源的反追蹤。

　　醫用可穿戴設備用戶(hù)安全問(wèn)題的發(fā)展方向展望

　　穿戴設備網(wǎng)絡(luò )中需要大量普通用戶(hù)的參與，參與用戶(hù)的身份、位置以及其采集的數據涉及到用戶(hù)的個(gè)人隱私。如何既保護用戶(hù)的隱私，又能方便用戶(hù)完成設備采集數據的上傳匯總是該應用面臨的一大挑戰。相關(guān)安全技術(shù)在未來(lái)的發(fā)展中建議考慮以下幾個(gè)問(wèn)題。

　　首先用戶(hù)對數據服務(wù)器之前建立一個(gè)統一認證平臺，從新用戶(hù)注冊，可穿戴設備采集數據的上傳，用戶(hù)退出三個(gè)用戶(hù)使用環(huán)節，分階段進(jìn)行用戶(hù)安全性審核，只有通過(guò)統一認證平臺認證的用戶(hù)，才可以對數據進(jìn)行訪(fǎng)問(wèn)。

　　其次建立相應的用戶(hù)安全等級模型，對不同的訪(fǎng)問(wèn)用戶(hù)進(jìn)行分級別授權管理，嚴格做好不同權限的用戶(hù)對數據的訪(fǎng)問(wèn)范圍和讀取權限的控制。

　　最后除了在技術(shù)上解決相關(guān)安全問(wèn)題之外，國家要加強對醫用可穿戴設備的網(wǎng)絡(luò )監管，在政策法規和提高使用者的安全意識上面多下功夫，從而進(jìn)一步避免使用者的隱私數據泄露。

　　小結

　　可穿戴設備所面臨的安全焦點(diǎn)問(wèn)題研究，縱觀(guān)國內外相關(guān)的研究，已經(jīng)取得了很大的成果，但是在很多方面仍存在欠缺和不足。如何既保護用戶(hù)的隱私安全，又能方便用戶(hù)，仍是醫療可穿戴設備廣泛應用前所面臨的一大挑戰。