可穿戴醫(yī)療設備安全性研究以及策略分析

　　隨著全球人口老齡化加劇，空巢話趨勢明顯，慢病管理帶來的巨大挑戰(zhàn)，大眾對自我運動量化的需求，以及近年來網(wǎng)絡技術和智能感知設備的飛速發(fā)展，都是推動醫(yī)療可穿戴設備興起的動因。健康監(jiān)測類可穿戴設備，如計步器、智能手環(huán)等通過采集個人日常生活、運動的數(shù)據(jù)，通過網(wǎng)絡傳輸?shù)浇y(tǒng)一的平臺進行存儲、共享，便于以后對整體數(shù)據(jù)的分析;專業(yè)輔助診療類設備，如心電監(jiān)測、血糖監(jiān)測等，可實現(xiàn)對佩戴者的生命體征數(shù)據(jù)的實時采集，為醫(yī)生的診療提供客觀的實時的數(shù)據(jù)支持。

　　圖1 可穿戴設備的網(wǎng)絡模型

　　可穿戴設備以前所未有的方式增強我們采集、分析和利用數(shù)據(jù)的廣度和深度，與此同時也產(chǎn)生了巨大的安全隱患?？纱┐髟O備的網(wǎng)絡模型如圖1所示，可穿戴設備采集的個人數(shù)據(jù)通過互聯(lián)網(wǎng)的方式傳遞給云端或者本地的數(shù)據(jù)服務器進行數(shù)據(jù)存儲，不同身份的數(shù)據(jù)用戶，通過不同的權限去訪問服務器的數(shù)據(jù)。該網(wǎng)絡以人為核心，網(wǎng)絡中數(shù)據(jù)涉及到人們的日常生活，如使用者的位置、家庭住址、工作單位、身體健康狀況等一系列的隱私信息，若不對這些數(shù)據(jù)的安全加以保護，將造成嚴重的用戶隱私數(shù)據(jù)泄露。

　　醫(yī)療可穿戴設備用戶安全問題的國內外研究現(xiàn)狀

　　可穿戴設備的網(wǎng)絡模型從傳統(tǒng)的無線傳感器網(wǎng)絡發(fā)展而來，并與云計算技術緊密相關。我們將結合無線傳感器網(wǎng)絡、云計算這兩個領域的安全研究工作，以使用用戶的隱私保護為中心，對可穿戴設備網(wǎng)絡中的關鍵安全點，使用用戶的隱私保護與管理研究(包括用戶的匿名認證、身份隱私保護、運動軌跡隱私保護)的國內外研究現(xiàn)狀進行全面的分析，從理論和技術上深入分析醫(yī)用可穿戴設備面臨的各種安全挑戰(zhàn)。

　　用戶身份信息隱私保護方法研究現(xiàn)狀

　　用戶的身份認證是保護用戶數(shù)據(jù)應用安全的至關重要的措施?？纱┐髟O備數(shù)據(jù)傳輸網(wǎng)絡中的使用用戶身份認證主要包括三個內容：身份認證、匿名性和動態(tài)性。

　　用戶身份認證確保了數(shù)據(jù)存儲服務器能夠區(qū)分合法的參與用戶和不合法參與用戶。此外，為了實現(xiàn)使用用戶的匿名性，又要求數(shù)據(jù)訪問合法的參與用戶之間相互不可區(qū)分。實現(xiàn)匿名身份認證的傳統(tǒng)方法是利用服務器給一群合法的參與用戶分配統(tǒng)一的身份密鑰。這個統(tǒng)一的密鑰可以使得合法參與者通過服務器的身份認證，而服務器又無法得知參與者的具體身份信息。近些年，許多文獻研究了無線傳感網(wǎng)絡的匿名認證問題。Zhu Jian-ming等人在《A new authentication scheme with anonymity for wireless environments》文章中提出了一個針對無線傳感網(wǎng)絡環(huán)境的匿名認證協(xié)議，此協(xié)議無法提供雙向的認證。隨后，Lee CC等人在《Security enhancement on a new authentication scheme with anonymity for wireless environments》文獻中彌補了這一缺陷。一些文獻繼續(xù)提高了匿名認證協(xié)議的安全性和效率。另外一些文獻將研究重心放在身份認證問題上。

　　用戶身份的匿名認證方法研究現(xiàn)狀

　　使用用戶的身份信息不僅僅在身份認證階段需要保護，在數(shù)據(jù)采集、反饋等階段，用戶的身份信息都需要得到保護。匿名技術是一個保護用戶身份信息的重要技術，它保證了參與用戶和服務器通信時，所有的身份信息都應該被移除或者得到保護。在可穿戴設備的網(wǎng)絡模型中，用戶的身份信息易受到推測攻擊(Inference Attacks)和追蹤攻擊(Tracking Attacks)。Christin等人提出了采用假名來保護用戶身份信息的方法。Dingledine等人等研究了如何利用“洋蔥路由”(The Onion Router， TOR)來保護路由信息的匿名性。Xiong等人初步研究了如何高效率地實現(xiàn)群體感知參與用戶的匿名性。

　　用戶位置和運動軌跡的隱私保護方法研究現(xiàn)狀

　　許多醫(yī)用可穿戴設備應用，例如運動量采集，為了為用戶繪制運動路線圖和計算平均運動量，需要參與用戶上傳自己數(shù)據(jù)采集的地理位置和時間點，在上傳一系列時間與地理位置信息時，使用用戶的移動軌跡便暴露給服務器。因此，設計必要的機制來保護參與用戶的移動軌跡十分必要。對于可穿戴設備網(wǎng)絡中傳感器位置隱私的研究的相關方法可以大致分成三類。

　　第一類方法利用參與用戶上傳偽造的位置信息的方法來保護用戶位置隱私。此方法的基本思路是：移動用戶同時發(fā)送正確的位置信息和一系列錯誤的位置信息給服務器。因為服務器無法區(qū)分正確的位置信息和錯誤的位置信息，所以參與用戶的正確位置信息得到保護。

　　第二類方法利用k-匿名性(k-anonymity)來保護移動傳感器的位置隱私。其基本思想是保證參與用戶的位置信息無法和其他參與用戶進行區(qū)分。對于網(wǎng)絡位置隱私保護，Minho等人[18]研究了基于人口密度圖來實現(xiàn)對參與用戶位置隱私保護的方法。此方法利用了概率k-匿名性的思想，本質是對地圖的一個劃分，保證每一個劃分的子區(qū)域在t時間段上至少有1個參與用戶的概率不會小于p。這樣，即便攻擊者知道了參與者來自哪個區(qū)域，也無法與該區(qū)域的其他參與用戶進行區(qū)分。從而實現(xiàn)對參與用戶位置隱私的保護。

　　第三類方法主要用于保護傳感器消息源。防止攻擊者在截獲通信消息后，對消息源的反追蹤。

　　醫(yī)用可穿戴設備用戶安全問題的發(fā)展方向展望

　　穿戴設備網(wǎng)絡中需要大量普通用戶的參與，參與用戶的身份、位置以及其采集的數(shù)據(jù)涉及到用戶的個人隱私。如何既保護用戶的隱私，又能方便用戶完成設備采集數(shù)據(jù)的上傳匯總是該應用面臨的一大挑戰(zhàn)。相關安全技術在未來的發(fā)展中建議考慮以下幾個問題。

　　首先用戶對數(shù)據(jù)服務器之前建立一個統(tǒng)一認證平臺，從新用戶注冊，可穿戴設備采集數(shù)據(jù)的上傳，用戶退出三個用戶使用環(huán)節(jié)，分階段進行用戶安全性審核，只有通過統(tǒng)一認證平臺認證的用戶，才可以對數(shù)據(jù)進行訪問。

　　其次建立相應的用戶安全等級模型，對不同的訪問用戶進行分級別授權管理，嚴格做好不同權限的用戶對數(shù)據(jù)的訪問范圍和讀取權限的控制。

　　最后除了在技術上解決相關安全問題之外，國家要加強對醫(yī)用可穿戴設備的網(wǎng)絡監(jiān)管，在政策法規(guī)和提高使用者的安全意識上面多下功夫，從而進一步避免使用者的隱私數(shù)據(jù)泄露。

　　小結

　　可穿戴設備所面臨的安全焦點問題研究，縱觀國內外相關的研究，已經(jīng)取得了很大的成果，但是在很多方面仍存在欠缺和不足。如何既保護用戶的隱私安全，又能方便用戶，仍是醫(yī)療可穿戴設備廣泛應用前所面臨的一大挑戰(zhàn)。