可穿戴醫療設備的安全性研究以及策略分析

1 引言

隨著全球人口老齡化加劇，空巢話趨勢明顯，慢病管理帶來的巨大挑戰，大眾對自我運動量化的需求，以及近年來網路技術和智能感知設備的飛速發展，都是推動醫療可穿戴設備興起的動因。健康監測類可穿戴設備，如計步器、智能手環等通過採集個人日常生活、運動的數據，通過網路傳輸到統一的平台進行存儲、共享，便於以後對整體數據的分析；專業輔助診療類設備，如心電監測、血糖監測等，可實現對佩戴者的生命體征數據的實時採集，為醫生的診療提供客觀的實時的數據支持。

圖1 可穿戴設備的網路模型

可穿戴設備以前所未有的方式增強我們採集、分析和利用數據的廣度和深度，與此同時也產生了巨大的安全隱患。可穿戴設備的網路模型如圖1所示，可穿戴設備採集的個人數據通過互聯網的方式傳遞給雲端或者本地的數據伺服器進行數據存儲，不同身份的數據用戶，通過不同的許可權去訪問伺服器的數據。該網路以人為核心，網路中數據涉及到人們的日常生活，如使用者的位置、家庭住址、工作單位、身體健康狀況等一系列的隱私信息，若不對這些數據的安全加以保護，將造成嚴重的用戶隱私數據泄露。

2 醫療可穿戴設備用戶安全問題的國內外研究現狀

可穿戴設備的網路模型從傳統的無線感測器網路發展而來，並與雲計算技術緊密相關。我們將結合無線感測器網路、雲計算這兩個領域的安全研究工作，以使用用戶的隱私保護為中心，對可穿戴設備網路中的關鍵安全點，使用用戶的隱私保護與管理研究（包括用戶的匿名認證、身份隱私保護、運動軌跡隱私保護）的國內外研究現狀進行全面的分析，從理論和技術上深入分析醫用可穿戴設備面臨的各種安全挑戰。

2.1 用戶身份信息隱私保護方法研究現狀 用戶的身份認證是保護用戶數據應用安全的至關重要的措施。可穿戴設備數據傳輸網路中的使用用戶身份認證主要包括三個內容：身份認證、匿名性和動態性。

用戶身份認證確保了數據存儲伺服器能夠區分合法的參與用戶和不合法參與用戶。此外，為了實現使用用戶的匿名性，又要求數據訪問合法的參與用戶之間相互不可區分。實現匿名身份認證的傳統方法是利用伺服器給一群合法的參與用戶分配統一的身份密鑰。這個統一的密鑰可以使得合法參與者通過伺服器的身份認證，而伺服器又無法得知參與者的具體身份信息。近些年，許多文獻研究了無線感測網路的匿名認證問題。Zhu Jian-ming等人在《A new authentication scheme with anonymity for wireless environments》文章中提出了一個針對無線感測網路環境的匿名認證協議，此協議無法提供雙向的認證。隨後，Lee CC等人在《Security enhancement on a new authentication scheme with anonymity for wireless environments》文獻中彌補了這一缺陷。一些文獻繼續提高了匿名認證協議的安全性和效率。另外一些文獻將研究重心放在身份認證問題上。

2.2 用戶身份的匿名認證方法研究現狀 使用用戶的身份信息不僅僅在身份認證階段需要保護，在數據採集、反饋等階段，用戶的身份信息都需要得到保護。匿名技術是一個保護用戶身份信息的重要技術，它保證了參與用戶和伺服器通信時，所有的身份信息都應該被移除或者得到保護。在可穿戴設備的網路模型中，用戶的身份信息易受到推測攻擊（Inference Attacks）和追蹤攻擊（Tracking Attacks）。Christin等人提出了採用假名來保護用戶身份信息的方法。Dingledine等人等研究了如何利用「洋蔥路由」（The Onion Router, TOR）來保護路由信息的匿名性。Xiong等人初步研究了如何高效率地實現群體感知參與用戶的匿名性。

2.3 用戶位置和運動軌跡的隱私保護方法研究現狀 許多醫用可穿戴設備應用，例如運動量採集，為了為用戶繪製運動路線圖和計算平均運動量，需要參與用戶上傳自己數據採集的地理位置和時間點，在上傳一系列時間與地理位置信息時，使用用戶的移動軌跡便暴露給伺服器。因此，設計必要的機制來保護參與用戶的移動軌跡十分必要。對於可穿戴設備網路中感測器位置隱私的研究的相關方法可以大致分成三類。

第一類方法利用參與用戶上傳偽造的位置信息的方法來保護用戶位置隱私。此方法的基本思路是：移動用戶同時發送正確的位置信息和一系列錯誤的位置信息給伺服器。因為伺服器無法區分正確的位置信息和錯誤的位置信息，所以參與用戶的正確位置信息得到保護。

第二類方法利用k-匿名性（k-anonymity）來保護移動感測器的位置隱私。其基本思想是保證參與用戶的位置信息無法和其他參與用戶進行區分。對於網路位置隱私保護，Minho等人[18]研究了基於人口密度圖來實現對參與用戶位置隱私保護的方法。此方法利用了概率k-匿名性的思想，本質是對地圖的一個劃分，保證每一個劃分的子區域在t時間段上至少有1個參與用戶的概率不會小於p。這樣，即便攻擊者知道了參與者來自哪個區域，也無法與該區域的其他參與用戶進行區分。從而實現對參與用戶位置隱私的保護。

第三類方法主要用於保護感測器消息源。防止攻擊者在截獲通信消息后，對消息源的反追蹤。

3 醫用可穿戴設備用戶安全問題的發展方向展望

穿戴設備網路中需要大量普通用戶的參與，參與用戶的身份、位置以及其採集的數據涉及到用戶的個人隱私。如何既保護用戶的隱私，又能方便用戶完成設備採集數據的上傳匯總是該應用面臨的一大挑戰。相關安全技術在未來的發展中建議考慮以下幾個問題。

首先用戶對數據伺服器之前建立一個統一認證平台，從新用戶註冊，可穿戴設備採集數據的上傳，用戶退出三個用戶使用環節，分階段進行用戶安全性審核，只有通過統一認證平台認證的用戶，才可以對數據進行訪問。

其次建立相應的用戶安全等級模型，對不同的訪問用戶進行分級別授權管理，嚴格做好不同許可權的用戶對數據的訪問範圍和讀取許可權的控制。

最後除了在技術上解決相關安全問題之外，國家要加強對醫用可穿戴設備的網路監管，在政策法規和提高使用者的安全意識上面多下功夫，從而進一步避免使用者的隱私數據泄露。

4 小結

可穿戴設備所面臨的安全焦點問題研究，縱觀國內外相關的研究，已經取得了很大的成果，但是在很多方面仍存在欠缺和不足。如何既保護用戶的隱私安全，又能方便用戶，仍是醫療可穿戴設備廣泛應用前所面臨的一大挑戰。