黃　興，張愛清，葉新榮，謝小娟

(安徽師范大學(xué) 物理與電子信息學(xué)院，安徽 蕪湖 241000)

0　引言

隨著科技發(fā)展和生活水平提高，醫(yī)療行業(yè)也在穩(wěn)步快速發(fā)展，移動醫(yī)療系統(tǒng)正在逐步代替?zhèn)鹘y(tǒng)的臨床醫(yī)療在部分醫(yī)院嘗試應(yīng)用。移動醫(yī)療，由智能手機(jī)與可穿戴式/植入式醫(yī)學(xué)傳感器采集患者血壓、血糖、心脈等身體健康信息，然后通過可攜帶式設(shè)備將信息通過無線網(wǎng)絡(luò)發(fā)送至指定醫(yī)生或醫(yī)療機(jī)構(gòu)。利用醫(yī)療傳感器通過無線網(wǎng)實時監(jiān)測病人身體信息，建立高效率的監(jiān)測和疾病防治體系，不僅能夠依據(jù)用戶身體健康信息制定健康計劃，而且能夠評估健康風(fēng)險，可以有效避免“病后就醫(yī)”而導(dǎo)致錯過最佳治療期，危及病人生命的問題[1-2]。

移動醫(yī)療系統(tǒng)的普及給人們帶來了極大便利，但由于該系統(tǒng)通過無線網(wǎng)絡(luò)和手機(jī)終端傳遞病人健康數(shù)據(jù)，所以數(shù)據(jù)傳輸?shù)目煽啃院桶踩砸沧兊糜葹橹匾Ｊ紫?，醫(yī)療機(jī)構(gòu)需要通過認(rèn)證以保證其作為一個合法用戶參與醫(yī)療服務(wù)。其次，為了保護(hù)用戶身份隱私，病人的真實身份信息應(yīng)只對所預(yù)約的醫(yī)生可見。最后，如果病人健康數(shù)據(jù)在傳輸過程中遭到泄露或者修改，醫(yī)生可能會給出錯誤的治療方案，對病人生命造成嚴(yán)重的威脅。所以醫(yī)療系統(tǒng)中的安全問題顯得尤為重要[3-4]。

有許多學(xué)者針對移動醫(yī)療系統(tǒng)提出了隱私保護(hù)方案。文獻(xiàn)[5]等實現(xiàn)了用戶PHI(Physical Health Information)隱私保護(hù)，存在用戶身份信息泄露問題，文獻(xiàn)[6]中設(shè)計的方案計算開銷大，計算復(fù)雜度高。對于完善移動醫(yī)療系統(tǒng)來說，不論是解決用戶身份隱私或是身體健康信息數(shù)據(jù)的保護(hù)問題，還是降低計算開銷等都是巨大的挑戰(zhàn)。所以基于上述問題，本文提出了移動醫(yī)療系統(tǒng)中輕量級的匿名數(shù)據(jù)安全傳輸方案。

1　相關(guān)工作

目前，很多針對移動醫(yī)療的隱私保護(hù)提出了方案。文獻(xiàn)[7]指出了當(dāng)前電子病歷的增加與網(wǎng)絡(luò)共享所帶來的安全問題，并提出了一個反饋方案，當(dāng)病人醫(yī)療信息遭到非法訪問時系統(tǒng)將會告知患者。文獻(xiàn)[8]設(shè)計了一個輕量級的隱私保護(hù)代理數(shù)據(jù)傳輸方案，實現(xiàn)了數(shù)據(jù)和身份隱私保護(hù)，但是其計算復(fù)雜度高且存在秘鑰托管問題。文獻(xiàn)[9]基于電子健康服務(wù)提出了一個包含有效協(xié)議的框架，提出了兩種風(fēng)險自適應(yīng)認(rèn)證技術(shù)及與之對應(yīng)的不同加密算法處理數(shù)據(jù)，但病人身份隱私?jīng)]有得到保護(hù)。文獻(xiàn)[10]針對移動健康系統(tǒng)提出了一個可以抵抗多種攻擊的方案，但是該方案僅針對緊急情況而提出，并不適用于實時監(jiān)測的移動醫(yī)療系統(tǒng)。文獻(xiàn)[11]提出了低延遲、低成本的高效遠(yuǎn)程健康監(jiān)測系統(tǒng)，卻沒有考慮數(shù)據(jù)安全傳輸問題。文獻(xiàn)[12]研究移動健康系統(tǒng)中漸進(jìn)的隱私要求認(rèn)證策略在參與實體之間不同的相互作用。文獻(xiàn)[13]針對移動健康系統(tǒng)提出一個輕量級、魯棒性D2D協(xié)助數(shù)據(jù)安全傳輸方案，該方案實現(xiàn)了基本的安全目標(biāo)。文獻(xiàn)[14]針對患者個人隱私信息問題提出了幾個技術(shù)，有效地監(jiān)測患者和提高遠(yuǎn)程醫(yī)療系統(tǒng)的功能。文獻(xiàn)[15]針對患有相同癥狀的病人設(shè)計了一個握手方案，為病患提供了一個安全的癥狀交流平臺。以上方案中，一些沒有同時實現(xiàn)用戶的健康數(shù)據(jù)和身份隱私保護(hù)，部分方案的計算開銷比較高。

本文基于傳統(tǒng)的無證書數(shù)字簽名技術(shù)[16]實現(xiàn)移動醫(yī)療系統(tǒng)中病人身份隱私和健康數(shù)據(jù)的保護(hù)。

2　系統(tǒng)模型

2.1　系統(tǒng)結(jié)構(gòu)

本文基于文獻(xiàn)[13]中設(shè)計的移動醫(yī)療系統(tǒng)結(jié)構(gòu)，設(shè)計了如下系統(tǒng)模型。如圖1所示，本系統(tǒng)模型由三個實體組成：無線身體局域網(wǎng)客戶端(Wireless Body Area Network Client，WBAN Client)、應(yīng)用服務(wù)提供商(Application Provider,AP)和網(wǎng)絡(luò)管理者(Network Manager,NM)。

圖1　系統(tǒng)模型

系統(tǒng)各個組成部分功能描述如下：

WBAN Client：無線身體局域網(wǎng)客戶端是指裝備有無線身體局域網(wǎng)和移動電話的用戶，該終端包括各種可穿戴式傳感器，如溫度傳感器、血壓傳感器等生物傳感器。這些生物傳感器將采集到用戶身體健康信息PHI發(fā)送給用戶的移動電話，移動電話將這些信息發(fā)送給相應(yīng)的醫(yī)生。

AP：應(yīng)用服務(wù)提供商即醫(yī)療服務(wù)提供者，如醫(yī)院、診所或者醫(yī)生，給用戶提供醫(yī)療幫助，包括醫(yī)療咨詢、用戶狀態(tài)監(jiān)測和醫(yī)生會診等。AP給用戶提供醫(yī)療服務(wù)之前需要通過NM注冊登記，并預(yù)先加載參數(shù)，最后才有資格提供醫(yī)療服務(wù)。

NM：網(wǎng)絡(luò)管理者主要負(fù)責(zé)系統(tǒng)初始化、用戶AP和WBAN client注冊登記，以及為用戶分發(fā)部分秘鑰。通常被認(rèn)為是一個商業(yè)組織，是一個不完全信任的第三方，通常會有密鑰托管問題存在，所以NM僅為WBAN client生成部分密鑰以此來保證用戶健康信息的安全性。

2.2　威脅模型和安全目標(biāo)

由于用戶健康信息數(shù)據(jù)在發(fā)送給醫(yī)生的過程中會面臨被竊聽或篡改的危險，所以基于給定的系統(tǒng)結(jié)構(gòu)，本系統(tǒng)需要實現(xiàn)以下安全目標(biāo)：

身份認(rèn)證：AP和WBAN client需要經(jīng)過NM注冊登記保證其合法性與真實性，還需要相互認(rèn)證保證數(shù)據(jù)的來源和去向。

數(shù)據(jù)機(jī)密性和完整性：PHI數(shù)據(jù)在傳輸過程中不會被泄露和更改。

匿名性：WBAN client的身份對除了會話AP之外的所有實體保密。

前向安全性和后向安全性：即使當(dāng)前會話的私鑰被泄露，也可以保證以前和以后會話的數(shù)據(jù)仍然是安全的。

不可否認(rèn)性：用戶不能否認(rèn)自己發(fā)送信息的行為以及發(fā)送的內(nèi)容。

不可鏈接性：用戶WBAN client任意次數(shù)會話中，攻擊者從外部都無法區(qū)分消息是否來自同一個用戶。

3　安全協(xié)議

3.1　系統(tǒng)初始化

① 系統(tǒng)建立

NM擔(dān)任秘鑰生成中心(PKG)的角色來負(fù)責(zé)整個系統(tǒng)的登記注冊過程。輸入安全參數(shù)k，產(chǎn)生兩個大素數(shù)p,q，且q|p-1。P為橢圓曲線上的循環(huán)群G中任意一階為q的生成元，定義以下安全哈希函數(shù):

② 用戶注冊登記

WBAN client:用戶Ci(其身份IDci)隨機(jī)選擇秘密值sci∈Zq*作為其長期私鑰，計算公鑰Sci=sciP，h1=H1(IDci,Rci,Sci,QNM)，并將公鑰Sci發(fā)送給NM注冊登記。NM隨機(jī)選擇rapi∈Zq*，計算Rci=rciP，Dci=rci+sNMh1，NM將Dci通過安全通道發(fā)送給用戶Ci，并將公鑰對(Rci,Sci)放入公共目錄中。Ci的公鑰:(Rci,Sci)，私鑰(sci,Dci)。

表1用戶Ci在t時刻末記錄表

APt+1時刻對稱秘鑰t+1時刻用戶匿名身份IDAP1ki1t+1IDAP1ci＇IDAP2ki2t+1IDAP2ci＇………IDAPjkint+1IDAPnci＇

表2APj在t時刻末記錄表

clientt+1時刻對稱秘鑰t+1時刻用戶匿名身份IDc1k1jt+1IDAPjc1＇IDc2k2jt+1IDAPjc2＇………IDciknjt+1IDAPjci＇

3.2　數(shù)據(jù)發(fā)送

① 選擇一個隨機(jī)數(shù)a∈Zq*，計算T=aP,T'=aRAPj，Wci=sci*(XAPj+RAPj)。

④M=Enckey(m)。

3.3　數(shù)據(jù)接收

① 計算T''=sAPj-1T'，Wci'=Sci*(xAPj+rAPj)；

② 計算T'''=σi(Rci+Sci+h1QNM+h2P)；

④ 解密m'=Deckey'(M)。

正確性證明如下：

① 驗證簽名

h2P)=aP=T，

T''=sAPj-1T'=sAPj-1asAPjP=aP=T。

② 解密

Wci=sci(XAPj+RAPj)=

sci(xAPjP+rAPjP)=

sciP(xAPj+rAPj)=Wci'。

m=m'。

4　安全性分析

本節(jié)詳細(xì)分析所設(shè)場景下的安全協(xié)議如何實現(xiàn)第2節(jié)所提出的安全目標(biāo)。

身份認(rèn)證：WBAN client發(fā)送數(shù)據(jù)時使用己方私鑰和對方公鑰生成對稱密鑰，當(dāng)AP收到來自WBAN client的數(shù)據(jù)時，AP通過記錄表查詢對應(yīng)用戶的真實身份，并利用對方公鑰和己方私鑰協(xié)商對稱密鑰，實現(xiàn)了WBAN client和AP相互認(rèn)證的過程。

數(shù)據(jù)機(jī)密性和完整性：WBAN client通過對稱加密消息為M發(fā)送給AP，只有目的AP才能查詢到其對應(yīng)真實身份并恢復(fù)會話秘鑰key，完成數(shù)據(jù)解密，這樣就保證了數(shù)據(jù)的機(jī)密性；此外通過WBAN client的簽名信息σi和h2保證了數(shù)據(jù)的完整性。

匿名性：用戶WBAN client通過更新的對稱秘鑰將真實身份進(jìn)行了hash計算IDci'=H(kt,IDci)得到匿名身份，只有擁有對稱秘鑰kt的AP才能解密其真實身份信息。

前向安全性和后向安全性：由于WBAN client和AP每次通信時用hash函數(shù)更新對稱秘鑰，所以即使當(dāng)前會話的完整秘鑰被泄露也可以保證之前會話的安全性。同時，每次更新時，加入隨機(jī)數(shù)a，即使攻擊者獲取了當(dāng)前加密密鑰也不能解密后面接收的數(shù)據(jù)，從而實現(xiàn)了后向安全性。

不可否認(rèn)性：WBAN client的簽名σi和h2保證了其不可否認(rèn)發(fā)送消息的行為以及發(fā)送的內(nèi)容。

不可鏈接性：用戶WBAN client不同的會話通過哈希函數(shù)更新的匿名身份與對稱秘鑰key保證了攻擊者無法從外部區(qū)分消息是否來自同一個用戶。

5　性能分析

5.1　安全性能比較

如表3所示，將本文方案與文獻(xiàn)[5,21,22]在安全性能上進(jìn)行比較可知(其中文獻(xiàn)[21]中提出了2種方案)，只有本文提出的協(xié)議實現(xiàn)了下面7種安全性能。

表3安全性能比較

安全性能方案[21]?1方案[21]?2方案[5]方案[22]本文方案身份認(rèn)證√√√√√數(shù)據(jù)完整性與保密性√√√√√匿名性√√√√√前向安全性×√×√√后向安全性××××√不可鏈接性××√√√不可否認(rèn)性××√×√

5.2　計算開銷

將本文方案與文獻(xiàn)[17-20]的方案在計算開銷上進(jìn)行比較。相比其他運算，加法運算和哈希運算等基本運算消耗的時間可以忽略不計，本文主要考慮指數(shù)運算、橢圓曲線上點乘運算和雙線性對運算的計算開銷。用te表示一個指數(shù)運算的運行時間，tm表示一個橢圓曲線上點乘運算的運行時間，tp表示一個雙線性對運算的運行時間。在本文方案中，數(shù)據(jù)發(fā)送階段，需要2次點乘運算計算參數(shù)T與T'，還需要1次點乘運算計算Wci。數(shù)據(jù)接收階段，解密數(shù)據(jù)需要3次點乘運算計算T''、Wci與T'''，如表4所示。

為了比較各方案中各運算的運行時間，文獻(xiàn)[20]在Linux個人數(shù)據(jù)助理上安裝624 MHz英特爾PXA270處理器，并執(zhí)行該算法得到運行時間為：te=53.85 ms,tm=30.67 ms,tp=96.20 ms。用同樣的設(shè)置來執(zhí)行算法，得到的運行時間如圖2所示。由仿真結(jié)果可知，相比較其他方案，本文方案在數(shù)據(jù)加密/解密過程中共用到6次橢圓曲線上的點乘運算，計算復(fù)雜度低，時間消耗小。

表4計算復(fù)雜度比較

方案簽名/加密驗證簽名/解密方案[17]3tm+te2te+2tp方案[18]2tm+3tetm+te+2tp方案[19]5te6te方案[20]11te+tp3te+8tp本文方案3tm3tm

圖2　算法時間消耗

5.3　通信開銷

表5通信開銷比較

方案WBANclientAP總通信開銷方案[21]2|G|+2|Q|+|E||Q|2|G|+3|Q|+|E|方案[22]4|G|+|E||G|+|Q|5|G|+|Q|+|E|方案[20]|G|+8|Q|+|E||G|+|Q|2|G|+9|Q|+|E|方案[13]4|G|+6|Q|+2|E|04|G|+6|Q|+2|E|本文方案|G|+2|Q|+|E|+|m＇|0|G|+2|Q|+|E|+|m＇|

6　結(jié)束語

針對移動醫(yī)療系統(tǒng)中面臨的安全問題設(shè)計了一個隱私保護(hù)的數(shù)據(jù)安全傳輸協(xié)議。綜合考慮當(dāng)前移動醫(yī)療系統(tǒng)的特點，所設(shè)計的協(xié)議能夠在無需額外硬件的情況下實現(xiàn)所需安全目標(biāo)。利用數(shù)字簽名可以實現(xiàn)身份認(rèn)證以及數(shù)據(jù)的不可否認(rèn)性；利用己方私鑰和對方公鑰協(xié)商對稱密鑰，實現(xiàn)了相互間身份認(rèn)證，通過對稱加密實現(xiàn)了數(shù)據(jù)機(jī)密性。最后，通過單向哈希函數(shù)更新用戶匿名身份，保證了移動醫(yī)療系統(tǒng)中病人身份的隱私。此外，性能分析表明所設(shè)計的協(xié)議在保證數(shù)據(jù)安全和身份隱私的條件下具有低計算開銷的優(yōu)點。

[1]聶海鑫.移動醫(yī)療安全問題及解決方案[J].信息安全與技術(shù),2014(7):83-85.

[2]丁伯新.移動醫(yī)療的信息安全保護(hù)[J].科技風(fēng),2015(22):5.

[3]范亦涵,王魯.移動醫(yī)療信息安全保護(hù)的研究[J].福建電腦,2015(4):85-86.

[4]羅雪瓊,胡珊,周毅,等.移動醫(yī)療安全問題與應(yīng)對措施[J].中國數(shù)字醫(yī)學(xué),2015(7):94-97.

[5]Lu R,Lin X,Shen X.SPOC: A Secure and Privacy-Preserving Opportunistic ComputingFramework for Mobile-Healthcare Emergency[J].IEEE Transactions on Parallel & Distributed Systems,2013,24(3):614-624.

[6]Kushwah P,Lai S.An Efcient Identity Based Generalized Signcryption Scheme[DB/OL].Cryptology eprint Archive,Tech.Rep.346,2010.http://eprint.iacr.org/ 2010/346.pdf.

[7]Ahmed M,Ahamad M,Jaiswal T.Augmenting Security and Accountability within the EHealth Exchange[J].Ibm Journal of Research & Development,2014,58(1):1-8.

[8]Jiang S,Zhu X,Hao R,et al.Lightweight andPrivacy-preserving Agent Data Transmission for Mobile Healthcare[C]∥ IEEE International Conference on Communications.IEEE,2015:7322-7327.

[9]Boonyarattaphan A,Bai Y,Chung S.A Security Framework for eHealth Service Authentication and eHealth Data Transmission[C]∥International Conference on Communications and Information Technologies.IEEE Press,2009:1213-1218.

[10] Liang X,Lu R,Chen L,et al.PEC: A Privacy-preserving Emergency Call Scheme for Mobile Healthcare Social Networks[J].Journal of Communications&Networks,2012,13(2):102- 112.

[11] Liang X,Barua M,Chen L,et al.Enabling Pervasive Healthcare Through Continuous Remote Health Monitoring[J].IEEE Wireless Communications,2012,19(6):10-18.

[12] Guo L,Zhang C,Sun J,et al.A Privacy-preserving Attribute-based Authentication System for Mobile Health Networks[J].IEEE Transactions on Mobile Computing,2014,13(9):1927-1941.

[13] Zhang A,Wang L,Ye X,et al.Light-weight and Robust Security-Aware D2D-assist Data Transmission Protocol for Mobile-Health Systems[J].IEEE Transactions on Information Forensics & Security,2017,12(3):662-675.

[14] Ren Y,Werner R,Pazzi N,et al.Monitoring Patients via a Secure and Mobile Healthcare System[J].IEEE Wireless Communications,2010,17(1):59-65.

[15] Lu R,Lin X,Liang X,et al.A Secure Handshake Scheme with Symptoms-Matching for mHealthcare Social Network[J].Mobile Networks & Applications,2011,16(6):683-694.

[16] 劉文浩,許春香.無雙線性配對的無證書簽密方案[J].軟件學(xué)報,2011,22(8): 1918-1926.

[17] Yu G,Ma X,Shen Y,et al.Provable Secure Identity Based Generalized Signcryption Scheme[J].Theoretical Computer Science,2012,411:3614-3624.

[18] Ji H,Han W,Zhao L.Certificateless Generalized Signcryption[J].Physics Procedia,2012,33(6):962-967.

[19] Shi W,Kumar N,Gong P,et al.Cryptanalysis and Improvement of a Certificateless Signcryption Scheme without Bilinear Pairing[J].Frontiers of Computer Science Selected Publications from Chinese Universities,2014,8(4):656-666.

[20] Xiong H.Qin Z.Revocable and Scalable Certificateless Remote Authentication Protocol With Anonymity for Wireless Body Area Networks[J].IEEE Transactions on Information Forensics & Security,2015,10(7):1442-1455.

[21] Liu J,Zhang Z,Chen X,et al.Certificateless Remote Anonymous Authentication Schemes for WirelessBody Area Networks[J].IEEE Transactions on Parallel & Distributed Systems,2013,25(2):332-342.

[22] Xiong H.Cost-Effective Scalable and Anonymous Certificateless Remote Authentication Protocol[J].IEEE Transactions on Information Forensics & Security,2014,9(12):2327-2339.