可穿戴醫(yī)療設(shè)備安全性研究以及策略分析
隨著全球人口老齡化加劇,空巢話趨勢明顯,慢病管理帶來的巨大挑戰(zhàn),大眾對自我運動量化的需求,以及近年來網(wǎng)絡(luò)技術(shù)和智能感知設(shè)備的飛速發(fā)展,都是推動醫(yī)療可穿戴設(shè)備興起的動因。健康監(jiān)測類可穿戴設(shè)備,如計步器、智能手環(huán)等通過采集個人日常生活、運動的數(shù)據(jù),通過網(wǎng)絡(luò)傳輸?shù)浇y(tǒng)一的平臺進(jìn)行存儲、共享,便于以后對整體數(shù)據(jù)的分析;專業(yè)輔助診療類設(shè)備,如心電監(jiān)測、血糖監(jiān)測等,可實現(xiàn)對佩戴者的生命體征數(shù)據(jù)的實時采集,為醫(yī)生的診療提供客觀的實時的數(shù)據(jù)支持。
本文引用地址:http://2s4d.com/article/201806/381876.htm圖1 可穿戴設(shè)備的網(wǎng)絡(luò)模型
可穿戴設(shè)備以前所未有的方式增強我們采集、分析和利用數(shù)據(jù)的廣度和深度,與此同時也產(chǎn)生了巨大的安全隱患??纱┐髟O(shè)備的網(wǎng)絡(luò)模型如圖1所示,可穿戴設(shè)備采集的個人數(shù)據(jù)通過互聯(lián)網(wǎng)的方式傳遞給云端或者本地的數(shù)據(jù)服務(wù)器進(jìn)行數(shù)據(jù)存儲,不同身份的數(shù)據(jù)用戶,通過不同的權(quán)限去訪問服務(wù)器的數(shù)據(jù)。該網(wǎng)絡(luò)以人為核心,網(wǎng)絡(luò)中數(shù)據(jù)涉及到人們的日常生活,如使用者的位置、家庭住址、工作單位、身體健康狀況等一系列的隱私信息,若不對這些數(shù)據(jù)的安全加以保護(hù),將造成嚴(yán)重的用戶隱私數(shù)據(jù)泄露。
醫(yī)療可穿戴設(shè)備用戶安全問題的國內(nèi)外研究現(xiàn)狀
可穿戴設(shè)備的網(wǎng)絡(luò)模型從傳統(tǒng)的無線傳感器網(wǎng)絡(luò)發(fā)展而來,并與云計算技術(shù)緊密相關(guān)。我們將結(jié)合無線傳感器網(wǎng)絡(luò)、云計算這兩個領(lǐng)域的安全研究工作,以使用用戶的隱私保護(hù)為中心,對可穿戴設(shè)備網(wǎng)絡(luò)中的關(guān)鍵安全點,使用用戶的隱私保護(hù)與管理研究(包括用戶的匿名認(rèn)證、身份隱私保護(hù)、運動軌跡隱私保護(hù))的國內(nèi)外研究現(xiàn)狀進(jìn)行全面的分析,從理論和技術(shù)上深入分析醫(yī)用可穿戴設(shè)備面臨的各種安全挑戰(zhàn)。
用戶身份信息隱私保護(hù)方法研究現(xiàn)狀
用戶的身份認(rèn)證是保護(hù)用戶數(shù)據(jù)應(yīng)用安全的至關(guān)重要的措施。可穿戴設(shè)備數(shù)據(jù)傳輸網(wǎng)絡(luò)中的使用用戶身份認(rèn)證主要包括三個內(nèi)容:身份認(rèn)證、匿名性和動態(tài)性。
用戶身份認(rèn)證確保了數(shù)據(jù)存儲服務(wù)器能夠區(qū)分合法的參與用戶和不合法參與用戶。此外,為了實現(xiàn)使用用戶的匿名性,又要求數(shù)據(jù)訪問合法的參與用戶之間相互不可區(qū)分。實現(xiàn)匿名身份認(rèn)證的傳統(tǒng)方法是利用服務(wù)器給一群合法的參與用戶分配統(tǒng)一的身份密鑰。這個統(tǒng)一的密鑰可以使得合法參與者通過服務(wù)器的身份認(rèn)證,而服務(wù)器又無法得知參與者的具體身份信息。近些年,許多文獻(xiàn)研究了無線傳感網(wǎng)絡(luò)的匿名認(rèn)證問題。Zhu Jian-ming等人在《A new authentication scheme with anonymity for wireless environments》文章中提出了一個針對無線傳感網(wǎng)絡(luò)環(huán)境的匿名認(rèn)證協(xié)議,此協(xié)議無法提供雙向的認(rèn)證。隨后,Lee CC等人在《Security enhancement on a new authentication scheme with anonymity for wireless environments》文獻(xiàn)中彌補了這一缺陷。一些文獻(xiàn)繼續(xù)提高了匿名認(rèn)證協(xié)議的安全性和效率。另外一些文獻(xiàn)將研究重心放在身份認(rèn)證問題上。
用戶身份的匿名認(rèn)證方法研究現(xiàn)狀
使用用戶的身份信息不僅僅在身份認(rèn)證階段需要保護(hù),在數(shù)據(jù)采集、反饋等階段,用戶的身份信息都需要得到保護(hù)。匿名技術(shù)是一個保護(hù)用戶身份信息的重要技術(shù),它保證了參與用戶和服務(wù)器通信時,所有的身份信息都應(yīng)該被移除或者得到保護(hù)。在可穿戴設(shè)備的網(wǎng)絡(luò)模型中,用戶的身份信息易受到推測攻擊(Inference Attacks)和追蹤攻擊(Tracking Attacks)。Christin等人提出了采用假名來保護(hù)用戶身份信息的方法。Dingledine等人等研究了如何利用“洋蔥路由”(The Onion Router, TOR)來保護(hù)路由信息的匿名性。Xiong等人初步研究了如何高效率地實現(xiàn)群體感知參與用戶的匿名性。
用戶位置和運動軌跡的隱私保護(hù)方法研究現(xiàn)狀
許多醫(yī)用可穿戴設(shè)備應(yīng)用,例如運動量采集,為了為用戶繪制運動路線圖和計算平均運動量,需要參與用戶上傳自己數(shù)據(jù)采集的地理位置和時間點,在上傳一系列時間與地理位置信息時,使用用戶的移動軌跡便暴露給服務(wù)器。因此,設(shè)計必要的機制來保護(hù)參與用戶的移動軌跡十分必要。對于可穿戴設(shè)備網(wǎng)絡(luò)中傳感器位置隱私的研究的相關(guān)方法可以大致分成三類。
第一類方法利用參與用戶上傳偽造的位置信息的方法來保護(hù)用戶位置隱私。此方法的基本思路是:移動用戶同時發(fā)送正確的位置信息和一系列錯誤的位置信息給服務(wù)器。因為服務(wù)器無法區(qū)分正確的位置信息和錯誤的位置信息,所以參與用戶的正確位置信息得到保護(hù)。
第二類方法利用k-匿名性(k-anonymity)來保護(hù)移動傳感器的位置隱私。其基本思想是保證參與用戶的位置信息無法和其他參與用戶進(jìn)行區(qū)分。對于網(wǎng)絡(luò)位置隱私保護(hù),Minho等人[18]研究了基于人口密度圖來實現(xiàn)對參與用戶位置隱私保護(hù)的方法。此方法利用了概率k-匿名性的思想,本質(zhì)是對地圖的一個劃分,保證每一個劃分的子區(qū)域在t時間段上至少有1個參與用戶的概率不會小于p。這樣,即便攻擊者知道了參與者來自哪個區(qū)域,也無法與該區(qū)域的其他參與用戶進(jìn)行區(qū)分。從而實現(xiàn)對參與用戶位置隱私的保護(hù)。
第三類方法主要用于保護(hù)傳感器消息源。防止攻擊者在截獲通信消息后,對消息源的反追蹤。
醫(yī)用可穿戴設(shè)備用戶安全問題的發(fā)展方向展望
穿戴設(shè)備網(wǎng)絡(luò)中需要大量普通用戶的參與,參與用戶的身份、位置以及其采集的數(shù)據(jù)涉及到用戶的個人隱私。如何既保護(hù)用戶的隱私,又能方便用戶完成設(shè)備采集數(shù)據(jù)的上傳匯總是該應(yīng)用面臨的一大挑戰(zhàn)。相關(guān)安全技術(shù)在未來的發(fā)展中建議考慮以下幾個問題。
首先用戶對數(shù)據(jù)服務(wù)器之前建立一個統(tǒng)一認(rèn)證平臺,從新用戶注冊,可穿戴設(shè)備采集數(shù)據(jù)的上傳,用戶退出三個用戶使用環(huán)節(jié),分階段進(jìn)行用戶安全性審核,只有通過統(tǒng)一認(rèn)證平臺認(rèn)證的用戶,才可以對數(shù)據(jù)進(jìn)行訪問。
其次建立相應(yīng)的用戶安全等級模型,對不同的訪問用戶進(jìn)行分級別授權(quán)管理,嚴(yán)格做好不同權(quán)限的用戶對數(shù)據(jù)的訪問范圍和讀取權(quán)限的控制。
最后除了在技術(shù)上解決相關(guān)安全問題之外,國家要加強對醫(yī)用可穿戴設(shè)備的網(wǎng)絡(luò)監(jiān)管,在政策法規(guī)和提高使用者的安全意識上面多下功夫,從而進(jìn)一步避免使用者的隱私數(shù)據(jù)泄露。
小結(jié)
可穿戴設(shè)備所面臨的安全焦點問題研究,縱觀國內(nèi)外相關(guān)的研究,已經(jīng)取得了很大的成果,但是在很多方面仍存在欠缺和不足。如何既保護(hù)用戶的隱私安全,又能方便用戶,仍是醫(yī)療可穿戴設(shè)備廣泛應(yīng)用前所面臨的一大挑戰(zhàn)。
評論