移動(dòng)醫(yī)療系統(tǒng)隱私保護(hù)的數(shù)據(jù)傳輸協(xié)議設(shè)計(jì)

黃　興，張愛清，葉新榮，謝小娟

(安徽師范大學(xué) 物理與電子信息學(xué)院，安徽 蕪湖 241000)

0　引言

隨著科技發(fā)展和生活水平提高，醫(yī)療行業(yè)也在穩(wěn)步快速發(fā)展，移動(dòng)醫(yī)療系統(tǒng)正在逐步代替?zhèn)鹘y(tǒng)的臨床醫(yī)療在部分醫(yī)院嘗試應(yīng)用。移動(dòng)醫(yī)療，由智能手機(jī)與可穿戴式/植入式醫(yī)學(xué)傳感器采集患者血壓、血糖、心脈等身體健康信息，然后通過(guò)可攜帶式設(shè)備將信息通過(guò)無(wú)線網(wǎng)絡(luò)發(fā)送至指定醫(yī)生或醫(yī)療機(jī)構(gòu)。利用醫(yī)療傳感器通過(guò)無(wú)線網(wǎng)實(shí)時(shí)監(jiān)測(cè)病人身體信息，建立高效率的監(jiān)測(cè)和疾病防治體系，不僅能夠依據(jù)用戶身體健康信息制定健康計(jì)劃，而且能夠評(píng)估健康風(fēng)險(xiǎn)，可以有效避免“病后就醫(yī)”而導(dǎo)致錯(cuò)過(guò)最佳治療期，危及病人生命的問(wèn)題[1-2]。

移動(dòng)醫(yī)療系統(tǒng)的普及給人們帶來(lái)了極大便利，但由于該系統(tǒng)通過(guò)無(wú)線網(wǎng)絡(luò)和手機(jī)終端傳遞病人健康數(shù)據(jù)，所以數(shù)據(jù)傳輸?shù)目煽啃院桶踩砸沧兊糜葹橹匾?。首先，醫(yī)療機(jī)構(gòu)需要通過(guò)認(rèn)證以保證其作為一個(gè)合法用戶參與醫(yī)療服務(wù)。其次，為了保護(hù)用戶身份隱私，病人的真實(shí)身份信息應(yīng)只對(duì)所預(yù)約的醫(yī)生可見。最后，如果病人健康數(shù)據(jù)在傳輸過(guò)程中遭到泄露或者修改，醫(yī)生可能會(huì)給出錯(cuò)誤的治療方案，對(duì)病人生命造成嚴(yán)重的威脅。所以醫(yī)療系統(tǒng)中的安全問(wèn)題顯得尤為重要[3-4]。

有許多學(xué)者針對(duì)移動(dòng)醫(yī)療系統(tǒng)提出了隱私保護(hù)方案。文獻(xiàn)[5]等實(shí)現(xiàn)了用戶PHI(Physical Health Information)隱私保護(hù)，存在用戶身份信息泄露問(wèn)題，文獻(xiàn)[6]中設(shè)計(jì)的方案計(jì)算開銷大，計(jì)算復(fù)雜度高。對(duì)于完善移動(dòng)醫(yī)療系統(tǒng)來(lái)說(shuō)，不論是解決用戶身份隱私或是身體健康信息數(shù)據(jù)的保護(hù)問(wèn)題，還是降低計(jì)算開銷等都是巨大的挑戰(zhàn)。所以基于上述問(wèn)題，本文提出了移動(dòng)醫(yī)療系統(tǒng)中輕量級(jí)的匿名數(shù)據(jù)安全傳輸方案。

1　相關(guān)工作

目前，很多針對(duì)移動(dòng)醫(yī)療的隱私保護(hù)提出了方案。文獻(xiàn)[7]指出了當(dāng)前電子病歷的增加與網(wǎng)絡(luò)共享所帶來(lái)的安全問(wèn)題，并提出了一個(gè)反饋方案，當(dāng)病人醫(yī)療信息遭到非法訪問(wèn)時(shí)系統(tǒng)將會(huì)告知患者。文獻(xiàn)[8]設(shè)計(jì)了一個(gè)輕量級(jí)的隱私保護(hù)代理數(shù)據(jù)傳輸方案，實(shí)現(xiàn)了數(shù)據(jù)和身份隱私保護(hù)，但是其計(jì)算復(fù)雜度高且存在秘鑰托管問(wèn)題。文獻(xiàn)[9]基于電子健康服務(wù)提出了一個(gè)包含有效協(xié)議的框架，提出了兩種風(fēng)險(xiǎn)自適應(yīng)認(rèn)證技術(shù)及與之對(duì)應(yīng)的不同加密算法處理數(shù)據(jù)，但病人身份隱私?jīng)]有得到保護(hù)。文獻(xiàn)[10]針對(duì)移動(dòng)健康系統(tǒng)提出了一個(gè)可以抵抗多種攻擊的方案，但是該方案僅針對(duì)緊急情況而提出，并不適用于實(shí)時(shí)監(jiān)測(cè)的移動(dòng)醫(yī)療系統(tǒng)。文獻(xiàn)[11]提出了低延遲、低成本的高效遠(yuǎn)程健康監(jiān)測(cè)系統(tǒng)，卻沒(méi)有考慮數(shù)據(jù)安全傳輸問(wèn)題。文獻(xiàn)[12]研究移動(dòng)健康系統(tǒng)中漸進(jìn)的隱私要求認(rèn)證策略在參與實(shí)體之間不同的相互作用。文獻(xiàn)[13]針對(duì)移動(dòng)健康系統(tǒng)提出一個(gè)輕量級(jí)、魯棒性D2D協(xié)助數(shù)據(jù)安全傳輸方案，該方案實(shí)現(xiàn)了基本的安全目標(biāo)。文獻(xiàn)[14]針對(duì)患者個(gè)人隱私信息問(wèn)題提出了幾個(gè)技術(shù)，有效地監(jiān)測(cè)患者和提高遠(yuǎn)程醫(yī)療系統(tǒng)的功能。文獻(xiàn)[15]針對(duì)患有相同癥狀的病人設(shè)計(jì)了一個(gè)握手方案，為病患提供了一個(gè)安全的癥狀交流平臺(tái)。以上方案中，一些沒(méi)有同時(shí)實(shí)現(xiàn)用戶的健康數(shù)據(jù)和身份隱私保護(hù)，部分方案的計(jì)算開銷比較高。

本文基于傳統(tǒng)的無(wú)證書數(shù)字簽名技術(shù)[16]實(shí)現(xiàn)移動(dòng)醫(yī)療系統(tǒng)中病人身份隱私和健康數(shù)據(jù)的保護(hù)。

2　系統(tǒng)模型

2.1　系統(tǒng)結(jié)構(gòu)

本文基于文獻(xiàn)[13]中設(shè)計(jì)的移動(dòng)醫(yī)療系統(tǒng)結(jié)構(gòu)，設(shè)計(jì)了如下系統(tǒng)模型。如圖1所示，本系統(tǒng)模型由三個(gè)實(shí)體組成：無(wú)線身體局域網(wǎng)客戶端(Wireless Body Area Network Client，WBAN Client)、應(yīng)用服務(wù)提供商(Application Provider,AP)和網(wǎng)絡(luò)管理者(Network Manager,NM)。

圖1　系統(tǒng)模型

系統(tǒng)各個(gè)組成部分功能描述如下：

WBAN Client：無(wú)線身體局域網(wǎng)客戶端是指裝備有無(wú)線身體局域網(wǎng)和移動(dòng)電話的用戶，該終端包括各種可穿戴式傳感器，如溫度傳感器、血壓傳感器等生物傳感器。這些生物傳感器將采集到用戶身體健康信息PHI發(fā)送給用戶的移動(dòng)電話，移動(dòng)電話將這些信息發(fā)送給相應(yīng)的醫(yī)生。

AP：應(yīng)用服務(wù)提供商即醫(yī)療服務(wù)提供者，如醫(yī)院、診所或者醫(yī)生，給用戶提供醫(yī)療幫助，包括醫(yī)療咨詢、用戶狀態(tài)監(jiān)測(cè)和醫(yī)生會(huì)診等。AP給用戶提供醫(yī)療服務(wù)之前需要通過(guò)NM注冊(cè)登記，并預(yù)先加載參數(shù)，最后才有資格提供醫(yī)療服務(wù)。

NM：網(wǎng)絡(luò)管理者主要負(fù)責(zé)系統(tǒng)初始化、用戶AP和WBAN client注冊(cè)登記，以及為用戶分發(fā)部分秘鑰。通常被認(rèn)為是一個(gè)商業(yè)組織，是一個(gè)不完全信任的第三方，通常會(huì)有密鑰托管問(wèn)題存在，所以NM僅為WBAN client生成部分密鑰以此來(lái)保證用戶健康信息的安全性。

2.2　威脅模型和安全目標(biāo)

由于用戶健康信息數(shù)據(jù)在發(fā)送給醫(yī)生的過(guò)程中會(huì)面臨被竊聽或篡改的危險(xiǎn)，所以基于給定的系統(tǒng)結(jié)構(gòu)，本系統(tǒng)需要實(shí)現(xiàn)以下安全目標(biāo)：

身份認(rèn)證：AP和WBAN client需要經(jīng)過(guò)NM注冊(cè)登記保證其合法性與真實(shí)性，還需要相互認(rèn)證保證數(shù)據(jù)的來(lái)源和去向。

數(shù)據(jù)機(jī)密性和完整性：PHI數(shù)據(jù)在傳輸過(guò)程中不會(huì)被泄露和更改。

匿名性：WBAN client的身份對(duì)除了會(huì)話AP之外的所有實(shí)體保密。

前向安全性和后向安全性：即使當(dāng)前會(huì)話的私鑰被泄露，也可以保證以前和以后會(huì)話的數(shù)據(jù)仍然是安全的。

不可否認(rèn)性：用戶不能否認(rèn)自己發(fā)送信息的行為以及發(fā)送的內(nèi)容。

不可鏈接性：用戶WBAN client任意次數(shù)會(huì)話中，攻擊者從外部都無(wú)法區(qū)分消息是否來(lái)自同一個(gè)用戶。

3　安全協(xié)議

3.1　系統(tǒng)初始化

① 系統(tǒng)建立

NM擔(dān)任秘鑰生成中心(PKG)的角色來(lái)負(fù)責(zé)整個(gè)系統(tǒng)的登記注冊(cè)過(guò)程。輸入安全參數(shù)k，產(chǎn)生兩個(gè)大素?cái)?shù)p,q，且q|p-1。P為橢圓曲線上的循環(huán)群G中任意一階為q的生成元，定義以下安全哈希函數(shù):

② 用戶注冊(cè)登記

WBAN client:用戶Ci(其身份IDci)隨機(jī)選擇秘密值sci∈Zq*作為其長(zhǎng)期私鑰，計(jì)算公鑰Sci=sciP，h1=H1(IDci,Rci,Sci,QNM)，并將公鑰Sci發(fā)送給NM注冊(cè)登記。NM隨機(jī)選擇rapi∈Zq*，計(jì)算Rci=rciP，Dci=rci+sNMh1，NM將Dci通過(guò)安全通道發(fā)送給用戶Ci，并將公鑰對(duì)(Rci,Sci)放入公共目錄中。Ci的公鑰:(Rci,Sci)，私鑰(sci,Dci)。

表1用戶Ci在t時(shí)刻末記錄表

APt+1時(shí)刻對(duì)稱秘鑰t+1時(shí)刻用戶匿名身份IDAP1ki1t+1IDAP1ci＇IDAP2ki2t+1IDAP2ci＇………IDAPjkint+1IDAPnci＇

表2APj在t時(shí)刻末記錄表

clientt+1時(shí)刻對(duì)稱秘鑰t+1時(shí)刻用戶匿名身份IDc1k1jt+1IDAPjc1＇IDc2k2jt+1IDAPjc2＇………IDciknjt+1IDAPjci＇

3.2　數(shù)據(jù)發(fā)送

① 選擇一個(gè)隨機(jī)數(shù)a∈Zq*，計(jì)算T=aP,T'=aRAPj，Wci=sci*(XAPj+RAPj)。

④M=Enckey(m)。

3.3　數(shù)據(jù)接收

① 計(jì)算T''=sAPj-1T'，Wci'=Sci*(xAPj+rAPj)；

② 計(jì)算T'''=σi(Rci+Sci+h1QNM+h2P)；

④ 解密m'=Deckey'(M)。

正確性證明如下：

① 驗(yàn)證簽名

h2P)=aP=T，

T''=sAPj-1T'=sAPj-1asAPjP=aP=T。

② 解密

Wci=sci(XAPj+RAPj)=

sci(xAPjP+rAPjP)=

sciP(xAPj+rAPj)=Wci'。

m=m'。

4　安全性分析

本節(jié)詳細(xì)分析所設(shè)場(chǎng)景下的安全協(xié)議如何實(shí)現(xiàn)第2節(jié)所提出的安全目標(biāo)。

身份認(rèn)證：WBAN client發(fā)送數(shù)據(jù)時(shí)使用己方私鑰和對(duì)方公鑰生成對(duì)稱密鑰，當(dāng)AP收到來(lái)自WBAN client的數(shù)據(jù)時(shí)，AP通過(guò)記錄表查詢對(duì)應(yīng)用戶的真實(shí)身份，并利用對(duì)方公鑰和己方私鑰協(xié)商對(duì)稱密鑰，實(shí)現(xiàn)了WBAN client和AP相互認(rèn)證的過(guò)程。

數(shù)據(jù)機(jī)密性和完整性：WBAN client通過(guò)對(duì)稱加密消息為M發(fā)送給AP，只有目的AP才能查詢到其對(duì)應(yīng)真實(shí)身份并恢復(fù)會(huì)話秘鑰key，完成數(shù)據(jù)解密，這樣就保證了數(shù)據(jù)的機(jī)密性；此外通過(guò)WBAN client的簽名信息σi和h2保證了數(shù)據(jù)的完整性。

匿名性：用戶WBAN client通過(guò)更新的對(duì)稱秘鑰將真實(shí)身份進(jìn)行了hash計(jì)算IDci'=H(kt,IDci)得到匿名身份，只有擁有對(duì)稱秘鑰kt的AP才能解密其真實(shí)身份信息。

前向安全性和后向安全性：由于WBAN client和AP每次通信時(shí)用hash函數(shù)更新對(duì)稱秘鑰，所以即使當(dāng)前會(huì)話的完整秘鑰被泄露也可以保證之前會(huì)話的安全性。同時(shí)，每次更新時(shí)，加入隨機(jī)數(shù)a，即使攻擊者獲取了當(dāng)前加密密鑰也不能解密后面接收的數(shù)據(jù)，從而實(shí)現(xiàn)了后向安全性。

不可否認(rèn)性：WBAN client的簽名σi和h2保證了其不可否認(rèn)發(fā)送消息的行為以及發(fā)送的內(nèi)容。

不可鏈接性：用戶WBAN client不同的會(huì)話通過(guò)哈希函數(shù)更新的匿名身份與對(duì)稱秘鑰key保證了攻擊者無(wú)法從外部區(qū)分消息是否來(lái)自同一個(gè)用戶。

5　性能分析

5.1　安全性能比較

如表3所示，將本文方案與文獻(xiàn)[5,21,22]在安全性能上進(jìn)行比較可知(其中文獻(xiàn)[21]中提出了2種方案)，只有本文提出的協(xié)議實(shí)現(xiàn)了下面7種安全性能。

表3安全性能比較

安全性能方案[21]?1方案[21]?2方案[5]方案[22]本文方案身份認(rèn)證√√√√√數(shù)據(jù)完整性與保密性√√√√√匿名性√√√√√前向安全性×√×√√后向安全性××××√不可鏈接性××√√√不可否認(rèn)性××√×√

5.2　計(jì)算開銷

將本文方案與文獻(xiàn)[17-20]的方案在計(jì)算開銷上進(jìn)行比較。相比其他運(yùn)算，加法運(yùn)算和哈希運(yùn)算等基本運(yùn)算消耗的時(shí)間可以忽略不計(jì)，本文主要考慮指數(shù)運(yùn)算、橢圓曲線上點(diǎn)乘運(yùn)算和雙線性對(duì)運(yùn)算的計(jì)算開銷。用te表示一個(gè)指數(shù)運(yùn)算的運(yùn)行時(shí)間，tm表示一個(gè)橢圓曲線上點(diǎn)乘運(yùn)算的運(yùn)行時(shí)間，tp表示一個(gè)雙線性對(duì)運(yùn)算的運(yùn)行時(shí)間。在本文方案中，數(shù)據(jù)發(fā)送階段，需要2次點(diǎn)乘運(yùn)算計(jì)算參數(shù)T與T'，還需要1次點(diǎn)乘運(yùn)算計(jì)算Wci。數(shù)據(jù)接收階段，解密數(shù)據(jù)需要3次點(diǎn)乘運(yùn)算計(jì)算T''、Wci與T'''，如表4所示。

為了比較各方案中各運(yùn)算的運(yùn)行時(shí)間，文獻(xiàn)[20]在Linux個(gè)人數(shù)據(jù)助理上安裝624 MHz英特爾PXA270處理器，并執(zhí)行該算法得到運(yùn)行時(shí)間為：te=53.85 ms,tm=30.67 ms,tp=96.20 ms。用同樣的設(shè)置來(lái)執(zhí)行算法，得到的運(yùn)行時(shí)間如圖2所示。由仿真結(jié)果可知，相比較其他方案，本文方案在數(shù)據(jù)加密/解密過(guò)程中共用到6次橢圓曲線上的點(diǎn)乘運(yùn)算，計(jì)算復(fù)雜度低，時(shí)間消耗小。

表4計(jì)算復(fù)雜度比較

方案簽名/加密驗(yàn)證簽名/解密方案[17]3tm+te2te+2tp方案[18]2tm+3tetm+te+2tp方案[19]5te6te方案[20]11te+tp3te+8tp本文方案3tm3tm

圖2　算法時(shí)間消耗

5.3　通信開銷

表5通信開銷比較

方案WBANclientAP總通信開銷方案[21]2|G|+2|Q|+|E||Q|2|G|+3|Q|+|E|方案[22]4|G|+|E||G|+|Q|5|G|+|Q|+|E|方案[20]|G|+8|Q|+|E||G|+|Q|2|G|+9|Q|+|E|方案[13]4|G|+6|Q|+2|E|04|G|+6|Q|+2|E|本文方案|G|+2|Q|+|E|+|m＇|0|G|+2|Q|+|E|+|m＇|

6　結(jié)束語(yǔ)

針對(duì)移動(dòng)醫(yī)療系統(tǒng)中面臨的安全問(wèn)題設(shè)計(jì)了一個(gè)隱私保護(hù)的數(shù)據(jù)安全傳輸協(xié)議。綜合考慮當(dāng)前移動(dòng)醫(yī)療系統(tǒng)的特點(diǎn)，所設(shè)計(jì)的協(xié)議能夠在無(wú)需額外硬件的情況下實(shí)現(xiàn)所需安全目標(biāo)。利用數(shù)字簽名可以實(shí)現(xiàn)身份認(rèn)證以及數(shù)據(jù)的不可否認(rèn)性；利用己方私鑰和對(duì)方公鑰協(xié)商對(duì)稱密鑰，實(shí)現(xiàn)了相互間身份認(rèn)證，通過(guò)對(duì)稱加密實(shí)現(xiàn)了數(shù)據(jù)機(jī)密性。最后，通過(guò)單向哈希函數(shù)更新用戶匿名身份，保證了移動(dòng)醫(yī)療系統(tǒng)中病人身份的隱私。此外，性能分析表明所設(shè)計(jì)的協(xié)議在保證數(shù)據(jù)安全和身份隱私的條件下具有低計(jì)算開銷的優(yōu)點(diǎn)。

[1]聶海鑫.移動(dòng)醫(yī)療安全問(wèn)題及解決方案[J].信息安全與技術(shù),2014(7):83-85.

[2]丁伯新.移動(dòng)醫(yī)療的信息安全保護(hù)[J].科技風(fēng),2015(22):5.

[3]范亦涵,王魯.移動(dòng)醫(yī)療信息安全保護(hù)的研究[J].福建電腦,2015(4):85-86.

[4]羅雪瓊,胡珊,周毅,等.移動(dòng)醫(yī)療安全問(wèn)題與應(yīng)對(duì)措施[J].中國(guó)數(shù)字醫(yī)學(xué),2015(7):94-97.

[5]Lu R,Lin X,Shen X.SPOC: A Secure and Privacy-Preserving Opportunistic ComputingFramework for Mobile-Healthcare Emergency[J].IEEE Transactions on Parallel & Distributed Systems,2013,24(3):614-624.

[6]Kushwah P,Lai S.An Efcient Identity Based Generalized Signcryption Scheme[DB/OL].Cryptology eprint Archive,Tech.Rep.346,2010.http://eprint.iacr.org/ 2010/346.pdf.

[7]Ahmed M,Ahamad M,Jaiswal T.Augmenting Security and Accountability within the EHealth Exchange[J].Ibm Journal of Research & Development,2014,58(1):1-8.

[8]Jiang S,Zhu X,Hao R,et al.Lightweight andPrivacy-preserving Agent Data Transmission for Mobile Healthcare[C]∥ IEEE International Conference on Communications.IEEE,2015:7322-7327.

[9]Boonyarattaphan A,Bai Y,Chung S.A Security Framework for eHealth Service Authentication and eHealth Data Transmission[C]∥International Conference on Communications and Information Technologies.IEEE Press,2009:1213-1218.

[10] Liang X,Lu R,Chen L,et al.PEC: A Privacy-preserving Emergency Call Scheme for Mobile Healthcare Social Networks[J].Journal of Communications&Networks,2012,13(2):102- 112.

[11] Liang X,Barua M,Chen L,et al.Enabling Pervasive Healthcare Through Continuous Remote Health Monitoring[J].IEEE Wireless Communications,2012,19(6):10-18.

[12] Guo L,Zhang C,Sun J,et al.A Privacy-preserving Attribute-based Authentication System for Mobile Health Networks[J].IEEE Transactions on Mobile Computing,2014,13(9):1927-1941.

[13] Zhang A,Wang L,Ye X,et al.Light-weight and Robust Security-Aware D2D-assist Data Transmission Protocol for Mobile-Health Systems[J].IEEE Transactions on Information Forensics & Security,2017,12(3):662-675.

[14] Ren Y,Werner R,Pazzi N,et al.Monitoring Patients via a Secure and Mobile Healthcare System[J].IEEE Wireless Communications,2010,17(1):59-65.

[15] Lu R,Lin X,Liang X,et al.A Secure Handshake Scheme with Symptoms-Matching for mHealthcare Social Network[J].Mobile Networks & Applications,2011,16(6):683-694.

[16] 劉文浩,許春香.無(wú)雙線性配對(duì)的無(wú)證書簽密方案[J].軟件學(xué)報(bào),2011,22(8): 1918-1926.

[17] Yu G,Ma X,Shen Y,et al.Provable Secure Identity Based Generalized Signcryption Scheme[J].Theoretical Computer Science,2012,411:3614-3624.

[18] Ji H,Han W,Zhao L.Certificateless Generalized Signcryption[J].Physics Procedia,2012,33(6):962-967.

[19] Shi W,Kumar N,Gong P,et al.Cryptanalysis and Improvement of a Certificateless Signcryption Scheme without Bilinear Pairing[J].Frontiers of Computer Science Selected Publications from Chinese Universities,2014,8(4):656-666.

[20] Xiong H.Qin Z.Revocable and Scalable Certificateless Remote Authentication Protocol With Anonymity for Wireless Body Area Networks[J].IEEE Transactions on Information Forensics & Security,2015,10(7):1442-1455.

[21] Liu J,Zhang Z,Chen X,et al.Certificateless Remote Anonymous Authentication Schemes for WirelessBody Area Networks[J].IEEE Transactions on Parallel & Distributed Systems,2013,25(2):332-342.

[22] Xiong H.Cost-Effective Scalable and Anonymous Certificateless Remote Authentication Protocol[J].IEEE Transactions on Information Forensics & Security,2014,9(12):2327-2339.