戴瀅，牛宇，2，鄭紅，楊吉江（.北京第二外國語學(xué)院，北京 00024；2.清華大學(xué)信息技術(shù)研究院，北京 00084）

?

數(shù)字移動醫(yī)療中安全技術(shù)分析

戴瀅1，牛宇1，2，鄭紅1，楊吉江2△
（1.北京第二外國語學(xué)院，北京 100024；2.清華大學(xué)信息技術(shù)研究院，北京 100084）

摘要：數(shù)字移動醫(yī)療通過使用通信技術(shù)如PDA、移動智能手機和衛(wèi)星等移動輔助技術(shù)提供醫(yī)療服務(wù)數(shù)據(jù)。本文從醫(yī)院內(nèi)和醫(yī)院外兩個方面來討論移動醫(yī)療的應(yīng)用以及移動醫(yī)療的隱私安全。著重討論醫(yī)院外移動醫(yī)療中的關(guān)鍵技術(shù)—無線體域網(wǎng)的隱私與安全問題以及現(xiàn)有的解決技術(shù)。

關(guān)鍵詞：移動醫(yī)療；無線體域網(wǎng)；隱私安全

1　引言

在物聯(lián)網(wǎng)背景下，醫(yī)療設(shè)備的數(shù)字化、全系統(tǒng)數(shù)字化、電子化是現(xiàn)在醫(yī)療研究熱點。移動醫(yī)療能夠?qū)崿F(xiàn)醫(yī)療信息資源的智能化、信息共享與互聯(lián)［1］。然而，在推動醫(yī)療數(shù)字化，移動化的同時，關(guān)于醫(yī)療數(shù)據(jù)的隱私保護和數(shù)據(jù)安全不可忽視?，F(xiàn)有醫(yī)學(xué)類文獻(xiàn)中多為對移動醫(yī)療安全技術(shù)的展望，缺乏詳細(xì)的技術(shù)安全研究。另一方面，網(wǎng)絡(luò)安全方面的研究，例如無線傳感網(wǎng)安全協(xié)議和無線體域網(wǎng)安全協(xié)議，并沒有和移動醫(yī)療進(jìn)行很好的結(jié)合。本文首次系統(tǒng)地結(jié)合現(xiàn)有無線傳感網(wǎng)和無線體域網(wǎng)的技術(shù)探討移動醫(yī)療中的安全技術(shù)。

圖1展示了一個典型的醫(yī)療數(shù)據(jù)從采集（Data collection）、管理（Data management）到使用（Data usage）再回到數(shù)據(jù)采集（有可能再匯入新的醫(yī)療數(shù)據(jù)）的完整生命周期。

本文中將主要著重于討論醫(yī)療數(shù)據(jù)收集端，以及從數(shù)據(jù)收集端到后臺數(shù)據(jù)庫數(shù)據(jù)傳輸階段的隱私與安全（生命周期第一階段）。針對醫(yī)療信息的隱私保護研究通常要從法律和技術(shù)兩個方面兼顧［10］。然而，目前我國還未制定出明確單獨的法律法規(guī)來監(jiān)管醫(yī)療數(shù)據(jù)隱私的安全機制。并且因為醫(yī)療數(shù)據(jù)中包含大量個人隱私信息，僅從法律、經(jīng)濟和道德角度來監(jiān)管很難完全保障數(shù)據(jù)安全和患者利益。所以，從技術(shù)角度來探討研究醫(yī)療數(shù)據(jù)隱私安全是推進(jìn)數(shù)字移動醫(yī)療發(fā)展的必經(jīng)之路。

圖1　醫(yī)療數(shù)據(jù)生命周期

2　移動醫(yī)療

國際醫(yī)療衛(wèi)生會員組織HIMSS給出的移動醫(yī)療（Mhealth）定義為：通過使用移動通信技術(shù)，例如PDA、移動電話和衛(wèi)星通信來提供醫(yī)療服務(wù)和信息。移動醫(yī)療業(yè)有助于醫(yī)院內(nèi)推行醫(yī)療數(shù)字化，并且因為移動通信技術(shù)的加入，移動醫(yī)療不僅可以節(jié)約掛號排隊的時間成本而且能夠高效引導(dǎo)人們獲取各種健康相關(guān)咨詢，自主監(jiān)測自自己的身體狀況。本文將移動醫(yī)療分為醫(yī)院內(nèi)和醫(yī)院外兩類應(yīng)用場景。

2.1醫(yī)院內(nèi)

移動醫(yī)療在醫(yī)院內(nèi)的應(yīng)用主要用于院內(nèi)病人資料提取，醫(yī)療物料和資源管理等方面。如護士和醫(yī)生能夠很方便的通過掌上PDA或者是PAD端獲取病人的情況，也可以直接修改電子病歷，可以根據(jù)手持工作站了解患者個體化診治情況［11］。其中關(guān)于保護病人的隱私與安全主要涉及到兩個方面，一是手持工作站的安全，二是醫(yī)院內(nèi)無線網(wǎng)絡(luò)的安全。醫(yī)院物料資源管理通常通過RFID（Radio Frequency IDentification）技術(shù)實現(xiàn)醫(yī)療藥品，設(shè)備，垃圾等的追蹤，審核等安全措施。如今我國醫(yī)院內(nèi)對于移動醫(yī)療這兩方面的使用還處于三甲醫(yī)院嘗試使用階段。推行困難的主要原因是一方面對于數(shù)據(jù)安全保密提出了很高的要求，另一方面，醫(yī)療信息化和原本醫(yī)院診療程序還有較大隔閡和差距，導(dǎo)致精力本身有限的醫(yī)護人員不遠(yuǎn)再花費時間來推行數(shù)字化，移動化醫(yī)療。

2.2醫(yī)院外

移動醫(yī)療在醫(yī)院外的應(yīng)用主要分為家庭內(nèi)和戶外兩方面。家庭內(nèi)相對于戶外來說所要求的安全級要較低。使用者能夠在自己家中，或者在戶外隨時監(jiān)測自己的身體狀態(tài)。而移動醫(yī)療推行的重要一點就是能夠保護用戶在此過程中的采集的個人信息的安全。隱私是每個用戶保證自己的個人健康信息保持私密的權(quán)利；而安全則是移動醫(yī)療設(shè)備應(yīng)該做到能夠保證用戶隱私不被竊取和篡改。

3　無線體域網(wǎng)

無線體域網(wǎng)（Wireless Body Area Network）是附在人體上的一種網(wǎng)絡(luò)，由各個傳感器節(jié)點和一個身體主站所構(gòu)成［2］，它屬于無線傳感網(wǎng)（物聯(lián)網(wǎng)）的一種。每一個傳感器節(jié)點既可以佩戴在身上也可以植入體內(nèi)。通過附在人身體各個關(guān)鍵部位的傳感器來收集用戶的身體狀況信息，再通過各傳感器節(jié)點數(shù)據(jù)聚集節(jié)點向后臺數(shù)據(jù)庫傳送用戶醫(yī)療數(shù)據(jù)信息（圖2）。無線體域網(wǎng)是覆蓋面最小的網(wǎng)絡(luò)，然而無線體域網(wǎng)在醫(yī)療保健方面卻是惠及面特別廣的網(wǎng)絡(luò)。無線體域網(wǎng)是實現(xiàn)移動醫(yī)療的一項重要關(guān)鍵技術(shù)，下文主要探討無線體域網(wǎng)的隱私與安全。

文獻(xiàn)［3］將無線體域網(wǎng)隱私與安全分為7個方面，具體包括數(shù)據(jù)存儲、數(shù)據(jù)訪問、數(shù)據(jù)聚集、數(shù)據(jù)查詢、數(shù)據(jù)傳輸和環(huán)境數(shù)據(jù)。本文以數(shù)據(jù)聚集點為界，將無線體域網(wǎng)的安全分為兩個層次：第一個層次是數(shù)據(jù)收集端的隱私與安全，第二個層次是聚集節(jié)點到后臺數(shù)據(jù)庫的隱私與安全，如圖2所示。

圖2　無線體域網(wǎng)與后臺數(shù)據(jù)

其中數(shù)據(jù)收集端的隱私安全又包括各傳感器節(jié)點、數(shù)據(jù)傳輸（各傳感器節(jié)點到聚集節(jié)點）、聚集節(jié)點（移動智能手機端）和時間與位置的隱私安全。而聚集節(jié)點到后臺數(shù)據(jù)庫的安全主要包括用戶訪問，查詢后臺數(shù)據(jù)庫的隱私安全。

3.1數(shù)據(jù)收集端

3.1.1傳感器節(jié)點上的數(shù)據(jù)安全

通常來說，在無線體域網(wǎng)中各個傳感器節(jié)點所包含的數(shù)據(jù)由于收集到的原始數(shù)據(jù)噪聲較多，所包含的有用信息并不是很多，因此攻擊這些節(jié)點的成本所獲價值較小。然而，對于關(guān)鍵的傳感器節(jié)點，例如收集心臟信息的傳感器節(jié)點所包含的信息仍具有較大價值，并且若是劫持一個傳感器節(jié)點可能造成其它節(jié)點數(shù)據(jù)的泄露，另外也可能造成關(guān)鍵數(shù)據(jù)被篡改。

文獻(xiàn)［3］提出無線體域網(wǎng)節(jié)點數(shù)據(jù)安全隱私保護機制有：基于性質(zhì)加密的ABE（Attribute-Based Encryption）機制［21］，基于RBAC（Role-Based Access Control）［22］的訪問控制機制，和基于匿名訪問的控制機制。而ABE機制由于采用細(xì)顆粒度加密算法，對于僅靠電池供應(yīng)能源的傳感器節(jié)點來說負(fù)載過重，因此不常采用。而基于角色的接入控制RBAC對于單個節(jié)點來說也存在同樣的問題。［4］提出使用匿名訪問，主要運用盲簽名技術(shù)。盲簽名可以使用戶得到簽名者的簽名，而無需給予簽名者關(guān)于實際消息或最終簽名的任何信息。通過將用戶的身份作為公鑰，可得到基于身份的盲簽名。盲簽名即對所簽數(shù)據(jù)的提供者的身份是盲的。當(dāng)前經(jīng)典實現(xiàn)方案是Brands提供的受限盲簽名方案［5］，數(shù)據(jù)提供者將公鑰附在盲化數(shù)據(jù)后作為數(shù)據(jù)的一部分，要求數(shù)據(jù)提供者用私鑰簽名，最后用公鑰驗證。

但是盲簽名機制也有其缺點，即通信開銷較大，對于空間的消耗較大。

3.1.2移動手機端安全

聚集節(jié)點也就是各傳感器節(jié)點信息匯聚的節(jié)點，如今移動醫(yī)療的聚集節(jié)點主要是移動智能手機，通過聚集節(jié)點進(jìn)行數(shù)據(jù)的融合和壓縮。而聚集節(jié)點作為各個傳感器信息匯集處是最容易遭受攻擊的，攻擊者極有可能可以獲取該節(jié)點所有的隱私數(shù)據(jù)，并且可以篡改這些數(shù)據(jù)，因此，聚集節(jié)點的隱私安全是網(wǎng)絡(luò)中的重要環(huán)節(jié)。關(guān)于保護數(shù)據(jù)傳輸和聚集節(jié)點的數(shù)據(jù)安全，文獻(xiàn)［6］提出主要有三類實現(xiàn)策略:逐跳加密機制、端到端加密機制、非加密策略。而根據(jù)無線體域網(wǎng)的現(xiàn)實情況，即不存在多個聚集節(jié)點，因此在無線體域網(wǎng)中不需要使用逐跳加密機制，可以采用端到端加密機制和非加密策略。

（1）端到端加密機制

端到端加密機制是使用同態(tài)加密模式在加密數(shù)據(jù)上實現(xiàn)數(shù)據(jù)聚集。它使用傳感器和基站共享的密鑰加密，而聚集節(jié)點不解密，以此來應(yīng)對來自內(nèi)外部的攻擊。需要在加密數(shù)據(jù)上實現(xiàn)數(shù)據(jù)的聚集，使用同態(tài)加密模式實現(xiàn)在密文上進(jìn)行求和或乘積操作［6］，有效支持加密數(shù)據(jù)的數(shù)據(jù)聚集。聚集節(jié)點的數(shù)據(jù)傳輸?shù)胶笈_數(shù)據(jù)庫之后再進(jìn)行解密，從而觀察被檢測者的身體狀況。常用的隱私安全技術(shù)包括：a）自適應(yīng)同態(tài)加密AHE（Additively Homomorphic Encryption）［23］，通過使用簡單的求和動態(tài)加密函數(shù)實現(xiàn)端到端加密機制的SUM聚集。但是AHE中解密時需要上傳與上傳數(shù)據(jù)對應(yīng)的傳感器ID，需要額外通信開銷，并且不支持聚集結(jié)果的完整性驗證。因此文獻(xiàn)［24］提出了SP密碼擾亂（Secret Perturbation）［24］模式系列，與AHE思路相似，但是不需要上傳節(jié)點ID，也能夠?qū)崿F(xiàn)聚集結(jié)果的完整性驗證。b）隱匿數(shù)據(jù)聚集CDA（Concealed Data Aggregation）［25］采用Domingo-Ferrer提出的同態(tài)加密模式（DF scheme）實現(xiàn)傳感器網(wǎng)絡(luò)中隱私保護數(shù)據(jù)聚集。［6］CDA的通信消耗較小，但是抵御攻擊的能力較弱。c）完整性保護層次隱匿數(shù)據(jù)聚集IPHCDA（Integrity Protecting Hierarchical Concealed Data Aggregation）［26］，采用的是基于橢圓曲線的同態(tài)加密和消息認(rèn)證碼來保護信息竊取和篡改的攻擊以實現(xiàn)分層數(shù)據(jù)集中的隱私保護和完整性驗證。它的缺點就是僅僅支持求和的聚集操作。

（2）非加密策略

非加密策略是指不使用加密策略，而是通過添加偽裝數(shù)據(jù)、數(shù)據(jù)擾動等技術(shù)實現(xiàn)數(shù)據(jù)聚集。分布在人體的傳感器將采集的真實數(shù)據(jù)和偽裝數(shù)據(jù)一起集合，構(gòu)成數(shù)據(jù)消息集，而這個消息集中數(shù)據(jù)的位置是事先安排好的。各個傳感器節(jié)點向聚集節(jié)點上傳遞數(shù)據(jù)集，真實的數(shù)據(jù)并未被加密，因此聚集節(jié)點能夠?qū)⒏鱾€傳感器節(jié)點的數(shù)據(jù)進(jìn)行聚集。而對于攻擊者來說，并不能區(qū)分真實數(shù)據(jù)和偽裝數(shù)據(jù)，因此也就實現(xiàn)了不加密情況下的隱私保護，使得攻擊者不能找出哪些數(shù)據(jù)是被檢測者真實的身體狀況數(shù)據(jù)。

綜合兩種策略來看，采用端到端加密能夠較好應(yīng)對內(nèi)部和外部攻擊，計算代價和時間延時較小，需要同態(tài)加密模式在加密數(shù)據(jù)上實現(xiàn)數(shù)據(jù)聚集，但該機制不能很好地完成MAX/MIN等非線性聚集操作［6］；非加密策略不同于端到端加密，它不需要密鑰分配和加解密操作，節(jié)省了計算和通信代價。它的特點是需要添加偽裝數(shù)據(jù)或數(shù)據(jù)擾動等技術(shù)來實現(xiàn)隱私保護安全，非加密策略的效果性能取決于采用的技術(shù)如何。

3.1.3傳輸

本節(jié)重點討論各傳感器節(jié)點到聚集節(jié)點的數(shù)據(jù)傳輸安全，主要使用技術(shù)有藍(lán)牙和ZigBee［2］。目前，在抵御竊聽攻擊和流量分析方面，常常使用加密技術(shù)保護隱私數(shù)據(jù)。在互聯(lián)網(wǎng)通信時代，密碼技術(shù)是信息安全的核心。在密碼技術(shù)的協(xié)助下，對于無線體域網(wǎng)數(shù)據(jù)傳輸?shù)陌踩c隱私保護技術(shù)大體上分為四類:

（1）密碼與密鑰管理技術(shù)

加密技術(shù)是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無意義的密文，防止非法用戶獲取和理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。明文變成密文的過程稱為加密，由密文還原成明文的過程稱為解密，加密和解密的規(guī)則稱密碼算法。在加密和解密的過程中，由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。

（2）無線體域網(wǎng)安全傳輸隱私保護協(xié)議設(shè)計

傳感器節(jié)點的一大限制在于其低功耗的特點，為了使傳感器節(jié)點能在連接狀態(tài)和睡眠狀態(tài)間自然切換以便實現(xiàn)功耗的節(jié)省。BSN-MAC［13］提出了一種自適應(yīng)超幀結(jié)構(gòu)機制，協(xié)調(diào)器根據(jù)傳感器節(jié)點反饋的信息自適應(yīng)地調(diào)整保護時隙（guaranteed time slot，GTS）和競爭接入期（contention access period，CAP）的長短，實現(xiàn)減少接入沖突和空閑偵聽，達(dá)到節(jié)省功耗的目的。

（3）無線體域網(wǎng)認(rèn)證技術(shù)

身份認(rèn)證是證實通信主體與其所聲稱的身份是否相符的過程。通過這一過程可以實現(xiàn)用戶訪問控制，阻止非法主體對系統(tǒng)資源的訪問。文獻(xiàn)［19］總結(jié)了出了以下三類認(rèn)證技術(shù)：1）基于秘密信息的身份認(rèn)證，例如通過數(shù)字、字母、特殊字符與對方口令對比從而相互認(rèn)證。2）基于信物的身份認(rèn)證，例如通過智能卡中的獨一為二的身份數(shù)據(jù)進(jìn)行認(rèn)證。3）基于生物特征的身份認(rèn)證，具體是指通過用戶指紋、虹膜、聲紋等進(jìn)行身份認(rèn)證。該種方法安全性最高，技術(shù)也相對最為復(fù)雜。

（4）無線體域網(wǎng)安全路由技術(shù)

無線體域網(wǎng)由于其特殊性，需要一種能夠高效利用節(jié)點能量、并且能夠合理分配網(wǎng)絡(luò)整體資源的路由算法。傳統(tǒng)無線傳感器網(wǎng)絡(luò)的路由協(xié)議并不適用于無線體域網(wǎng)。文獻(xiàn)［20］提出了一種用于無線體域網(wǎng)多跳傳輸?shù)穆酚伤惴?，能夠有效均衡各?jié)點的功耗、提高無線傳感器網(wǎng)絡(luò)的整體能量利用率。這種路由算法在保證能量的高效利用的前提下，綜合考慮了節(jié)點剩余能量、路徑能量消耗、多次轉(zhuǎn)發(fā)能耗等因素，從而使無線體域網(wǎng)的能量高效利用，達(dá)到節(jié)能和延長網(wǎng)絡(luò)生存周期的目的。并進(jìn)行了仿真驗證。

3.1.4時間與位置安全

時間與位置指的是傳感器收集數(shù)據(jù)的時間和傳感器的位置。攻擊者可以通過監(jiān)聽無線鏈路獲得傳感器節(jié)點的位置。在家中進(jìn)行醫(yī)療診斷的檢測者一旦被截獲位置信息也就意味著暴露了該檢測者的家庭位置。而在戶外活動還攜帶著植入式傳感器的檢測者也就有可能會被攻擊者通過移動軌跡數(shù)據(jù)來推斷被檢測者的生活規(guī)律和行為習(xí)慣等等的隱私信息。按照現(xiàn)有無線傳感網(wǎng)位置隱私保護成果的算法基本策略分類可以劃分為路徑偽裝、陷阱誘導(dǎo)、通信控制、網(wǎng)絡(luò)匿名4類［7］。而適用于無線體域網(wǎng)的位置隱私保護策略主要是通信控制和網(wǎng)絡(luò)匿名。

（1）通信控制

通信控制策略是指從修改網(wǎng)絡(luò)通信協(xié)議的角度出發(fā)，通過調(diào)整網(wǎng)絡(luò)常用的通信模式來防止攻擊者獲得敏感信息，從而為傳感器網(wǎng)絡(luò)提供位置隱私保護功能［7］。無線體域網(wǎng)中主要采用靜默機制。文獻(xiàn)［9］提出了ALBS（anti-localization by silencing）協(xié)議，當(dāng)網(wǎng)絡(luò)中的某個節(jié)點受到攻擊者攻擊時，節(jié)點保持完全靜默，將數(shù)據(jù)包緩存，直到攻擊者完全離開后再恢復(fù)。

（2）網(wǎng)絡(luò)匿名

網(wǎng)絡(luò)匿名主要是針對ID分析攻擊來進(jìn)行的，在數(shù)據(jù)傳輸?shù)倪^程中隱藏敏感節(jié)點ID的信息來實現(xiàn)傳感器節(jié)點位置的隱私保護。文獻(xiàn)［8］提出了EAC（efficient anonymous communication）協(xié)議來實現(xiàn)源節(jié)點和基站的ID匿名。

在時間隱私安全中，一個傳感器節(jié)點數(shù)據(jù)的發(fā)送時間，密鑰的更新時間，以及傳輸?shù)难舆t，即可能暴露出大量有用信息，可能會和位置數(shù)據(jù)綜合給攻擊者提供被檢測者的行為習(xí)慣和生活規(guī)律，也可能會暴露出哪個節(jié)點是聚集節(jié)點。在抵御攻擊時，可以考慮兩種方式。一種是在數(shù)據(jù)傳輸時引入隨機延遲［27］，另一種是將真實時間隱藏起來，使用虛擬時間［28］。

3.2聚集節(jié)點到后臺數(shù)據(jù)庫

3.2.1用戶查詢

數(shù)據(jù)查詢是用戶具體感知自身健康狀況的重要手段。遠(yuǎn)程終端在收到用戶發(fā)出的查詢請求后，一般都是通過將查詢信息傳輸?shù)骄W(wǎng)絡(luò)中的匯聚節(jié)點，由匯聚節(jié)點完成相應(yīng)的查詢操作。由于傳感器網(wǎng)絡(luò)具有資源受限、以數(shù)據(jù)為中心和應(yīng)用相關(guān)等特征，且大都部署于無人值守、復(fù)雜多變的環(huán)境中，因此在實際使用過程中面臨健康數(shù)據(jù)被竊聽、篡改等威脅。在查詢類型方面，目前主要針對范圍查詢、Top-K［16］查詢和基于類型查詢中隱私保護問題進(jìn)行研究。

（1）隱私保護范圍查詢

范圍查詢是傳感器網(wǎng)絡(luò)事件監(jiān)測和數(shù)據(jù)管理應(yīng)用中的一種常用的數(shù)據(jù)查詢方法。在無線傳感器網(wǎng)絡(luò)的數(shù)據(jù)查詢安全技術(shù)之中，隱私保護范圍查詢是引起較多關(guān)注的研究熱點之一。

a）桶模式協(xié)議

文獻(xiàn)［14］第一次涉及到了傳感器網(wǎng)絡(luò)范圍查詢中隱私保護問題，采用桶模式和加密技術(shù)完成隱私保護范圍查詢，通過添加驗證編碼進(jìn)行完整性驗證。文獻(xiàn)［15］在桶模式技術(shù)的基礎(chǔ)之上，提出時空交叉驗證方法，既保證查詢范圍的隱私保護，也保證查詢結(jié)果的可驗證性。

b）前綴成員驗證技術(shù)協(xié)議

主要思路為：在編碼數(shù)據(jù)上實現(xiàn)查詢范圍而不泄露數(shù)據(jù)值，并使用加密數(shù)據(jù)鏈技術(shù)進(jìn)行完整性驗證。例如文獻(xiàn)［18］提出這樣的方案判斷數(shù)據(jù)項是否與某區(qū)間轉(zhuǎn)換的數(shù)據(jù)項相等，同時使用加密數(shù)據(jù)鏈對有序數(shù)據(jù)進(jìn)行填充冗余數(shù)據(jù)，分段形成數(shù)據(jù)項加密鏈，如果加密鏈中任何項被刪除，解密后可以被檢測出來，保證隱私性與完整性。

（2）隱私保護Top-k查詢

文獻(xiàn)［16］歸納出了一種精確Top-k查詢安全協(xié)議，該協(xié)議采用了安全比較算法［17］，它是基于著名的姚氏百萬富翁問題，具體做法是將原始數(shù)據(jù)加隨機值擾動后的結(jié)果傳送給單元頭節(jié)點，并將隨機值傳送一份給輔助計算節(jié)點，單元頭節(jié)點和輔助計算節(jié)點在均不知道對方數(shù)據(jù)的情況下安全計算出這種算法在計算閾值時存在一個問題一旦攻擊者捕獲了單元頭節(jié)點然后監(jiān)聽各節(jié)點所發(fā)送的隨機數(shù)便能夠獲得相關(guān)原始數(shù)據(jù)，造成敏感信息的泄露，而且在無線網(wǎng)絡(luò)尤其是部署環(huán)境復(fù)雜的傳感器網(wǎng)絡(luò)中，監(jiān)聽信息是很容易做到的。

4　總結(jié)與展望

基于物聯(lián)網(wǎng)背景技術(shù)，本文分析了移動醫(yī)療的現(xiàn)狀，著重介紹了移動醫(yī)療以及醫(yī)院外的移動醫(yī)療的關(guān)鍵技術(shù)無線體域網(wǎng)的隱私保護與安全，分別從數(shù)據(jù)收集端以及數(shù)據(jù)收集端和后臺數(shù)據(jù)庫的交互這兩個方面來探討如何保護醫(yī)療數(shù)據(jù)的隱私安全。

參考文獻(xiàn)

［1］阮曉東，醫(yī)療物聯(lián)網(wǎng)開啟全新醫(yī)療模式 新經(jīng)濟導(dǎo)刊［J］2014.7:36-44

［2］張曉博，基于藍(lán)牙的無線體域網(wǎng)（WBAN）安全方案研究與實現(xiàn)［D］，北京郵電大學(xué)，2013.1.

［3］高鵬，無線體域網(wǎng)的安全與隱私保護策略研究［D］，吉林大學(xué)，2014.4.

［4］崔巍，高效的基于身份的（受限）部分盲簽名，北京郵電大學(xué)學(xué)報［N］2008.8（31，4）.

［5］Brands S.Untraceable Offline Cash in Wallets with Observers［A］Advances in Cryptology-CRYPTO'93 Proceedings［C］Berlin:Springer-Veralg，1994.302-318.

［6］范永健，無線傳感器網(wǎng)絡(luò)數(shù)據(jù)隱私保護技術(shù)，計算機學(xué)報［J］，2012.6:1132-1146.

［7］彭輝，無線傳感器網(wǎng)絡(luò)位置隱私保護技術(shù)，軟件學(xué)報［J］，2014.12:617-639.

［8］Chen J，Du X，F(xiàn)ang B.An efficient anonymous communication protocol for wireless sensor networks.Wireless Communications and Mobile Computing，2012，12（14）:1302-1312.［doi:10.1002/wcm.1205］

［9］Dutta N，Saxena A，Chellappan S.Defending wireless sensor networks against adversarial localization.In:Proc.of the 11th IEEE Int'l Conf.on Mobile Data Management（MDM 2010）.IEEE，2010.336-341.［doi:10.1109/MDM.2010.75］

［10］楊吉江，面向醫(yī)療信息的數(shù)據(jù)隱私保護技術(shù)，中國數(shù)字醫(yī)學(xué)［J］，2010.8:50-54

［11］李源，探究移動醫(yī)療安全問題及解決對策，電腦知識與技術(shù)［J］，2014.11:7847-7848.

［12］張鵬，遠(yuǎn)程醫(yī)療系統(tǒng)的安全性問題研究［D］.華中科技大學(xué)，2006.

［13］戴華，楊庚，肖甫，周強，何瑞良.兩層傳感網(wǎng)中能量高效的隱私保護范圍查詢方法［J］.計算機研究與發(fā)展，2015，04:983-993.

［14］Sheng Bo，Li Qun.Verifiable privacy-preserving range query in two-tiered sensor networks//Proceedings of the 27th IEEE International Conference on Computer Communications（INFOCOM）.Phoenix，USA，2008:46-50

［15］Shi Jing，Zhang Rui，Zhang Yan-Chao.Secure range queries in tiered sensor networks//Proceedings of the 28th IEEE International Conference on Computer Communications（INFOCOM）.Rio de Janciro，2009:945-953

［16］陳偉，許若妹，李玉嶺.基于隱私保護和完整性驗證的Top-k查詢方法［J］.計算機研究與發(fā)展，2014，12:2585-2592.

［17］劉文，王永濱.安全多方信息比較相等協(xié)議及其應(yīng)用［J］.電子學(xué)報，2012，05:871-876.

［18］CHEN Fei ，LIU A X.Safe Q :secure and efficient query processing in sensor networks［C］// Proc of the 29th IEEE International Confer-ence on Computer Communications［S.l.］:IEEE Press，2010:1-9.

［19］朱凱，無線體域網(wǎng)身份認(rèn)證方法研究［D］.西安電子科技大學(xué)，2013.

［20］佟興，基于人體環(huán)境的無線體域網(wǎng)路由算法研究［D］.哈爾濱工業(yè)大學(xué)，2014.

［21］BETHENCOURT J，SAHAI A，Waters B.Ciphertext-policy attribute-based encryption［C］//Security and Privacy，2007.SP'07.IEEE Symposium on.Oakland:IEEE Press，2007:321-334.

［22］MORCHON O G，BALDUS H.Efficient distributed security for wireless medical sensor networks［C］//Intelligent Sensors，Sensor Networks and Information Processing，2008.ISSNIP 2008.International Conference on.Sydney:IEEE Press，2008:249-254.

［23］Claude Castelluccia，Einar Mykletun，Gene Tsudik.Efficient aggregation of encrypted data in wireless sensor networks//Proceedings of the 2nd Annual International Conference on Mobile and Ubiquitous Systems:Computing，Networking and Services（MobiQuitous）.San Diego，CA，USA，2005:109-117

［24］Feng Taiming，Wang Chuang，Zhang Wensheng，Ruan Lu Confidentiality protection for distributed sensor data aggregation//Proceedings of the 27th IEEE International Conferenceon Computer Communications（INFOCOM）.Phoenix，USA，2008:56-60

［25］SAINI K，KUMAR P，SHARMA J.A Survey on Data Aggregation Techniques for Wireless Sensor Networks［J］.International Journal of Advanced Research in Computer Engineering & Technology（IJARCET），2013，2（3）.

［26］OZDEMIR S，XIAO Y.Integrity protecting hierarchical concealed data aggregation for wireless sensor networks［J］.Computer Networks，2011，55（8）:1735-1746.

［27］韓軍，基于時間隨機化的密碼芯片防攻擊方法［J］，計算機工程，2007，1:6-8.

［28］潘新春，金文光，周冬鑫，基于虛擬時間戳的WSN時間同步算法［J］，計算機工程與應(yīng)用，2009，2:87-90.

Analysis on Security Technologies in Mobile Health

DAI Ying1，NIU Yu1，2，ZHENG Hong1，YANG Ji-jiang2
（1.Beijing International Studies University，Beijing，100024，China； 2.RIIT，Tsinghua University，Beijing 100084，China）

Abstract:With the development of wireless communication technology and smart device，mobile healthcare provides more convenient medical service to patient.This paper discusses the application of mobile health care from in-patient and out-patient two areas.The paper focuses on the privacy preserving and security of mobile health data，especially the data security solutions on wireless body area network（WBAN）which is the key technology of mobile healthcare.

Keywords:Mobile healthcare；Wireless body area network；Privacy preserving and security

作者簡介：牛宇，女，博士學(xué)位，現(xiàn)為北京外國語大學(xué)講師，專業(yè)：計算機軟件。

通訊作者：楊吉江。