無線醫療傳感網數據安全與隱私保護問題研究*

丁邢濤，鐘伯成，方旋

(上海工程技術大學 電子電氣工程學院，上海 201620)

無線醫療傳感網數據安全與隱私保護問題研究*

丁邢濤，鐘伯成，方旋

(上海工程技術大學 電子電氣工程學院，上海 201620)

本文對無線醫療傳感網的數據安全與隱私保護進行了綜述，描述了無線醫療傳感網的網絡結構，著重分析了它的特性及安全需求，并詳細討論了無線醫療傳感網所面臨的網絡攻擊。從無線醫療傳感網的機密性、訪問控制、身份認證、隱私保護等安全需求方面進行了相應的研究，最后指出了對無線醫療傳感網安全與隱私可能的未來研究方向。

醫療傳感網；訪問控制；隱私保護；密碼學

引 言

隨著可穿戴生物傳感器和無線通信技術的飛速發展，無線醫療傳感器網絡(Wireless Medical Sensor Networks, WMSNs)已成為一個富有前景的技術，它將徹底革新在家里、醫院尋求醫療的方式 。與傳統醫療面對面檢查病人身體方式不同，在無線醫療傳感器網絡里,患者健康相關的數據可以實現持續和實時的遠程監控，然后進行數據處理，繼而轉移到醫療數據庫。這個醫療信息可以由醫療人員、研究人員、政府機構、保險公司和病人共享和訪問。醫療傳感網在緊急電子醫療、家庭監測、醫療數據的傳播、遠程手術和虛擬醫院中都有許多成功的案例。然而發展醫療傳感網新技術不能忽略病人的數據安全和隱私所面臨的種種威脅。病人的身體特征參數具有敏感性，一旦病患信息泄露有可能使他丟失工作，亦或是得不到保險公司的理賠。無線醫療傳感網中的病人信息可以被醫生、親人訪問，然而當未授權的用戶訪問這些隱私數據后，一方面出于商業利益他們會與保險公司進行交易；另一方面對這些醫療數據進行篡改，然后發送給醫生，醫生通過錯誤的醫療信息對病人進行錯誤的診斷，會對病人的生命健康造成極大威脅。因此無線醫療傳感網安全與隱私問題就變得極為重要。

1 無線醫療傳感網網絡結構

醫療傳感網的典型結構如圖1所示。大規模的MSN可以容納數萬病人局域網絡(PAN)。每一個PAN由一些生物傳感器節點和一個本地處理單元(如平板電腦、智能手機或筆記本電腦)構成。傳感器節點(無論是植入或可穿戴)定期收集病人健康信息，并將其轉發給本地處理單元，然后本地處理單元將收集到的個人健康信息上傳到網絡服務器。因此，用戶可以發出命令以訪問所收集的病人健康信息。需要注意的是，傳感器節點只與相應的本地處理單元進行通信。這是因為在一個大的醫療機構，對于資源有限的傳感器節點要對數百個用戶進行身份驗證無疑是困難的。因此，由本地處理單元(或網絡服務器)認證用戶身份，并由本地處理單元節點向生物傳感器節點發出命令。

圖1 無線醫療傳感網網絡結構

因為收集到的數據涉及病人的隱私信息，且這些信息在醫療診斷和治療中發揮著至關重要的作用。為了確保病人數據安全和保護他們的隱私，必須嚴格限制對這些數據的訪問，只有授權用戶才有資格訪問。否則將會出現以下問題：由于傳輸信息的敏感性及無線網本身的特性，醫療數據在傳輸及存儲過程中的不當操作可能會引起安全問題。由于醫療數據包含病人的各種生理數據及所處位置等情況，如果攻擊者對數據竊聽或竄改，將可能造成誤診，對病人造成生命危險；如果這些數據被保險公司竊取，可能會引發病人的醫療保險問題；關于病人隱私的醫療數據(如病人患敏感疾病) 的泄露可能會引起病人的隱私問題。

2 醫療傳感網特點及安全需求

2.1 無線醫療傳感網的特點

(1) 數據傳輸速率

許多無線移動網絡(MANET)和無線傳感網絡(WSN)被用于基于事件的監控，其中事件也許發生在不規則的時間間隔。相比之下，醫療傳感網被用于監控人體的生理活動和行為，這些活動和行為發生更有周期性，進而使得數據流顯得相對穩定。

(2) 移動性

醫療傳感網中的節點要么靜止(例如在走廊中的傳感節點)，要么相對靜止(例如在同一個人身上的所有傳感節點)。

(3) 高效性和有效性

人體傳感器收集的信號能被有效地處理，來獲得可靠準確的生理評估。

(4) 延 遲

盡管節省能量是很重要的，但在醫療傳感網中更換電池比在WSN中換電池更容易，因為WSN中的節點在部署后不容易重新獲取。

(5) 效益和效率

節點收集的信號可以被有效處理得到精確生理數據。

2.2 無線醫療傳感網的安全需求

(1) 數據機密性(data confidentiality)

為防止患者的醫療數據不被泄露，數據需要保護，保證隱私信息只能被已經授權的用戶訪問。

(2) 數據完整性(data integrity)

防止數據的篡改是至關重要的，一旦病人數據被泄露將會造成災難性的后果。所以這就需要保證數據的完整性，而且完整性的安全方案需要考慮到數據的動態更新。

(3) 訪問控制(access control)

在醫療傳感網中需要加強對病人醫療數據的訪問控制，這樣就能避免非授權用戶訪問病人醫療信息。參考文獻[4]針對數據安全訪問的需求進行了詳細分析，首先需要設計良好的細粒度數據訪問控制機制來保證數據不被未授權者獲取；其次，安全訪問隱私數據的合法授權者要有相關的記錄信息，具有訪問可追溯性；然后訪問者的數據訪問權限隨時可以更改、替換與撤銷；最后要保證數據訪問可以抵御重放攻擊。

(4) 身份認證(user authentication)

無線醫療傳感網中要保證合法使用者發送和接收聲明的數據。醫療數據在無線信道傳輸過程中很容易被非授權用戶訪問與竊取，所以考慮無線醫療傳感網的用戶身份認證對于解決其安全問題是切實可行的。

(5) 隱私保護(privacy protection)

確保用戶在無線體域網中的信息受到保護，不受到非法攻擊，包括生理體征數據、地理位置信息以及用戶個人的身份識別碼信息等。

(6) 數據新鮮性(data freshness)

確保無線體域網中的節點收到的數據是最新的，不是重發之后的舊消息，可以避免重放攻擊。

3 醫療傳感網面臨的網絡攻擊

網絡安全威脅和攻擊給無線醫療傳感網的安全與隱私帶來了巨大的挑戰。醫療傳感器采集到病人敏感的生理數據并在開放的無線信道上進行傳輸，與有線網絡相比更容易受到攻擊。因此對病人敏感的生理信息必須采取安全措施，最大程度減少這些攻擊。

3.1 對病人生命特征的監測與竊聽攻擊

對于病人隱私來說最為常見的威脅是攻擊者在無線信道上竊聽數據包，獲得傳輸的數據。此外攻擊者還可能偵測到病人信息內容，包括信息ID、時間戳、原地址、目標地址和其他相關信息。

3.2 信息傳輸攻擊

眾所周知，無線通信沒有距離限制，這也導致了開放的無線信道易受攻擊。醫療傳感器將病人和環境信息發送給醫師或醫院服務器。攻擊者先從無線信道上截獲這些生理數據，并修改某些參數。然后把這些修改過的數據發送給醫師或遠程服務器，醫生根據這些修改過的醫療信息可能對病人做出錯誤診斷，繼而威脅病人的生命安全。信息傳輸攻擊分為兩類：①阻塞：當無線醫療傳感網節點向攻擊者妥協時，攻擊者就會非法訪問傳感節點數據(密鑰、傳感器類型)。②篡改：攻擊者從無線信道俘獲傳感節點并提取出病人的醫療數據，然后篡改病人信息，導致醫生、護士、親屬家人得到病人虛假的醫療數據。

3.3 路由攻擊

路由攻擊是在網絡層進行的，而且是多跳網絡。當攻擊者偷竊到數據進行篡改后有選擇性地將這些數據包轉發到遠程服務器，從而導致錯誤警報。參考文獻[1]通過ADMR路由協議把傳感數據發送到遠端，攻擊者可能會篡改俘獲數據包的地址字段，然后轉發給下一節點。這樣一來就會破壞路由途徑，甚至會造成無線循環路由問題。路由攻擊可以分為4類：

(1) 選擇性轉發攻擊(Selective Forwarding attack)

圖2 選擇性轉發攻擊

在多跳網絡環境中，正常情況下節點會將數據包全部發送到基站或遠程服務器，然而某些惡意節點拒絕轉發數據包，簡單丟棄一些數據包，同時會選擇性發一些數據包或將一些報文修改后再轉發。選擇性轉發攻擊如圖2所示。

(2) 黑洞攻擊(Sinkhole attack)

攻擊者引誘其他節點向它發包，從而創造以攻擊者為中心的一個黑洞。比較典型的攻擊方法是攻擊者讓其他節點根據路由算法相信它是最好的轉發選擇，從而吸引其他節點向它發包。圖3說明了黑洞攻擊，一旦攻擊者進行黑洞攻擊得手后，整個網絡也就處于其他攻擊之內,例如竊聽攻擊、選擇轉發攻擊和黑洞攻擊，而黑洞攻擊往往不容易被檢測到。

(3) 女巫攻擊(Sybil attack)

一個惡意節點冒充多個合法節點的身份。女巫攻擊能有效地降低容錯機制性能，對基于位置的路由協議的安全也能產生很大的威脅。因為基于位置的路由需要交換彼此的位置信息，一個女巫攻擊節點可以使得其他節點相信很多位置上有它存在，從而導致路由混亂。圖4是女巫攻擊示意圖。參考文獻[5]、[6]討論了更多的路由攻擊，主要包括睡眠攻擊(Sleep attack)、公平攻擊(Fairness attack)、蟲洞攻擊(Wormhole attack)。

圖3 黑洞攻擊

圖4 女巫攻擊

(4) 拒絕服務攻擊(Denial-of-Service attack)

[7]指出拒絕服務攻擊可以減弱無線醫療傳感網預期性能，從而對病人生命安全造成一定威脅，同時也介紹了無線醫療傳感網在物理層、數據鏈路層、網絡和路由層以及傳輸層受到的拒絕服務攻擊，如表1所列。

表1 無線醫療傳感網在各層受到的拒絕服務攻擊

① 物理層：物理層最常見的攻擊是阻塞和篡改。阻塞是指無線電頻率干擾，攻擊者可以使用很少的節點來阻塞整個網絡。這種方法不能阻塞規模較大的網絡，由于無線醫療傳感網是一個小型網絡，所以網絡阻塞的機率較高。有時攻擊者從物理上進行篡改醫療傳感節點，一個篡改攻擊者可能會損壞或者更換節點來獲取病人的信息。

② 數據鏈路層：這類攻擊主要分為沖突、不公正和耗盡攻擊。沖突攻擊是指當敵手在相同頻率下同時與發送者發送數據包，導致數據包沖突和整個網絡性能退化。不公正攻擊指的是介質訪問控制層的優先級機制被打破，從而影響整個網絡性能。耗盡攻擊是指當一個自我犧牲的節點一直使信道繁忙，正常節點的電池就會耗盡。

③ 網絡和路由層：路由破壞在多跳網絡中易造成DOS攻擊，最常見的路由攻擊就是電子欺騙，這時攻擊者通過創建路由循環使網絡變得復雜或是重發數據包。此類攻擊還包括Sinkhole攻擊、Sybil攻擊、Wormhole攻擊等。

④ 傳輸層：傳輸層的主要攻擊是泛洪和重編程。泛洪就是攻擊者反復發送控制信息來耗盡存儲資源。重編程指攻擊者破壞兩個終端合法節點的鏈接，使得節點請求重傳丟失的數據幀，結果它破壞了網絡通信，耗盡了網絡資源。

4 研究進展

傳統的安全策略僅引入密碼技術來實現醫療傳感網的安全，然而由于無線醫療傳感網的特性和其容易受到節點各種不當行為影響，傳統的密碼技術無法滿足安全與隱私要求。惡意或被妥協節點可能會在病人隱私上發動攻擊，失效的節點可能由于一個軟件錯誤以至于影響它正常運行。顯然，行為不當的節點并不能僅僅靠密碼技術解決。醫療數據被攻擊者自由修改，被妥協的節點可能注入錯誤信息。參考文獻[2]基于此問題使用信任值來識別惡意/失效的節點，進而把它們從醫療傳感網中排除出去。分布式網絡的個人實體信任信息可以用來進行數據聚合、輔助路由惡意節點檢測，甚至時間同步。信任管理已成為一個重要的互補函數加密機制。

參考文獻[2]提出一種抗攻擊的信任管理機制，命名為ReTrust，介紹了ReTrust協議的信任計算過程，包括：抗攻擊的直接信任管理、抗攻擊的推薦信任管理、抗攻擊的非直接信任管理。通過惡意節點檢測對抗攻擊信任管理方案作出了性能評估。引入MND度量標準來描述惡意節點檢測過程。對于間歇性(on-off)攻擊和詆毀(bad-mouthing)攻擊都有很好的效果。實驗表明，隨著惡意節點的增多，ReTrust系統能夠保持穩定。除此之外，用ReTrust還能實現CTP來評估網絡吞吐量的提高。

參考文獻[4]提出了無線體域網安全存儲及數據訪問控制的要求，總結了無線體域網的安全及隱私保護的各種方法。無線局域域網中的用戶眾多，且通常分屬不同的群體或角色，因此其訪問控制應具有可擴展性，以滿足用戶的動態加入與退出；應支持細粒度的訪問政策，為不同的用戶制定和執行不同的訪問權限。無線體域網可能會面臨多種不同的情況，過于嚴格和不靈活的數據訪問控制可能會妨礙醫護等授權用戶及群體及時獲取病人的醫療數據，在病人已經無意識或無法回應的緊急情況下，這一問題尤為嚴重。因此無線體域網的訪問控制應具有靈活性，允許病人按照自己的意愿，靈活地指定其數據訪問策略；應允許訪問策略動態適應環境，如隨時間、地點或與患者相關的某些事件發生而改變。

參考文獻[8]提出了MAACE協議，該協議能夠保證專業人員訪問病人數據。該安全機制基于橢圓曲線密碼算法，支持相互認證和訪問控制。除此之外，提出的安全方案能夠抵抗實時攻擊，如重放攻擊(Replay attacks)，拒絕服務攻擊(Denial of Service)。MAACE結構由三層構成，分別是傳感器網絡層、協調網絡層、數據訪問層。該安全方案的工作過程如下：首先傳感器網絡層將病人數據發送到協調網絡層(如掌上電腦、筆記本電腦、智能手機)，然后由網絡協調層把數據發送到數據訪問層。該安全方案雖然提供了足夠的安全，但容易受到信息泄露的影響，從而使病人隱私處于危險之中。

參考文獻[9]為病人監護系統提供了高效的安全方案，此方案使用了基于公鑰的基礎設施。該安全方案由三部分組成：病人、醫療服務系統和安全基站。使用偽逆矩陣得到一對共享密鑰，通過雙邊密鑰握手方法在醫療服務系統和安全基站或是病人和安全基站建立安全通信。因為安全基站擁有病人和醫療服務系統的密鑰先驗知識，所以病人身上的任意一個節點都可以提供從病人到安全基站的通信策略。除此之外，該安全方案能夠滿足數據機密性安全需求。

參考文獻[10]在智能家居環境中基于ZigBee技術提出了一個實時安全架構。此框架有如下特點：①在身體區域傳感器網絡中無線監測信號的能力；②低功率以及數據傳輸可靠；③通過體域網實現醫療數據安全傳輸；④無線網絡高效的信道分配；⑤使用最適結構實現最優數據分析，使處理和計算能力最大化。本文使用安全的密鑰管理協議能夠在體域網中建立安全會話密鑰，這是因為密鑰管理協議能夠提供增強安全服務的加密密鑰，比如數據機密性、身份認證和數據完整性。

參考文獻[3] 就無線醫療傳感網的安全與隱私問題提出了一套新穎、輕量級的系統。這個系統的基本思想是：當一個用戶登錄服務器后，根據這個用戶的特權允許發布命令并訪問個人的健康信息或者控制傳感節點。為了實現這個目的，提出的這套系統引用了可證明的受保護的代理簽名(proxy-protected signature by warrant(PSW))。PSW是一種特殊的數字簽名，它包括兩方參與者：原始簽名者和代理簽名者。系統包含4個階段：系統初始化階段、用戶加入階段、常規使用階段、用戶命令階段。作者從存儲開銷、執行時間、能量消耗三個方面評估了提出的系統的安全性能。傳感器節點程序分別運行在TelosB和MicaZ節點上。

參考文獻[11] 從加密算法、分組密碼工作模式和消息認證算法三個方面研究了無線傳感網絡安全問題。沒有認證機制的加密算法是不安全的。消息認證算法既能保證數據的完整性，還能解決身份認證問題。文獻基于TinySec通信平臺，分別從加密算法、工作模式和消息認證算法三個方面分別在MicaZ和TelosB兩個節點進行了實驗評價分析。通過實驗數據文章細致研究了分組密碼以及分組密碼參數的改變對于無線傳感網能量消耗的影響，提出了各種算法的結合來為無線傳感網提供足夠強度的安全等級。

5 未來可能的研究方向

由于無線醫療傳感網的節點收集的都是有關于病人敏感的生理信息，所以設計出各種機制實現對病人數據的保護是很有必要的。對于訪問控制的隱私保護，可以設計一種自適應數據安全訪問算法，例如與神經網絡算法的結合。在不同的環境中，它能夠偵測出環境危險“級別”的高低：在公共環境中(如醫院、學校)，要求數據的訪問權限高；而在家里就可以降低這種訪問權限。病人的生理信息與他們的其他信息(如姓名、聯系電話)是聯系在一起的，考慮到病人的隱私性，可以將這些信息分離開來，可以仿照居民身份證號碼的形式將病人的姓名以數字編號代替，這樣醫生在訪問病人信息時就看不到病人的其他身份信息。

考慮到無線醫療傳感節點能量嚴格受限，在提出一種針對解決無線醫療傳感網安全與隱私問題的安全方案時，必須考慮到該安全協議所產生的能量開銷、存儲開銷和執行時間。每一種安全方案都不可避免地會產生通信和計算開銷，因此安全協議應該具有低成本、高效益。

關于無線醫療傳感網安全與隱私問題還有待于進一步研究，未來可能的研究方面總結如下：

① 公鑰密碼體制(public key cryptography)：最近研究表明公鑰密碼算法對醫療傳感器是可行的。但是在時間復雜度方面，公鑰密碼算法花費昂貴，因此對公鑰密碼算法需要進一步的探究。

② 對稱密碼體制(symmetric key cryptography)：在時間復雜度能量消耗方面，對稱密碼易實施且比非對稱密碼優越。但是對于無線醫療傳感網來說，對稱密碼不適合密鑰分發。因此在無線醫療傳感網中設計高效且靈活的密鑰分發協議是很有必要的。

③ 安全路由(secure routing)：通常情況下，當前大多數的安全路由協議都是為靜止網絡設計的。然而由于醫療傳感網中病人的活動性，醫療傳感網需要支持可移動性多跳網絡協議。此外公鑰的真實性也需要進一步的研究。

④ 安全和服務質量(quality-of-service)：大多數醫療傳感網的應用只考慮到病人數據安全和隱私保護，然而我們在考慮安全問題的同時也要對服務質量給予足夠重視。未來需要從安全和服務質量兩個方面共同評價無線醫療傳感網。

對于無線醫療傳感網安全與隱私問題[42]，不僅要從技術上著手，政府機構還需要做出努力，每個國家根據自身發展情況制定出相應的法律法規，使無線醫療傳感網的使用能夠真正惠及大眾。

結 語

無線醫療傳感網被認為是富有前景的醫療技術，通過無線醫療傳感網病人的一切信息都在掌控之中。考慮到無線醫療傳感網極易受到攻擊，而且病人的數據都是高度敏感的，其安全與隱私問題亟待解決。本文闡述了醫療傳感網的特性及其安全需求，分析了無線醫療傳感網所面臨的網絡攻擊，分別從醫療傳感網中的機密性、訪問控制和隱私保護等安全需求方面總結無線醫療傳感網安全與隱私研究進展，并對無線醫療傳感網的訪問控制方面的研究進行了展望，指出了未來的研究方向。

參考文獻

[1] Dimitriou T,Loannis K.Security Issues in Biomedical Wireless Sensor Networks.In Proceedings of 1st International Symposium on Applied Sciences on Biomedical and Communication Technologies (ISABEL’08)[C]//Aalborg,Denmark,2008.

[2] Daojing He,Chun Chen,Sammy Chan,et al.ReTrust:Attack-Resistant and Lightweight Trust Management for Medical Sensor Networks[J].IEEE Transactions on Information Technology in Biomedicine,2012,16(4):623-632.

[3] Daojing He,Sammy Chan,and Shaohua Tang.A Novel and Lightweight System to Secure Wireless Medical Sensor Networks[J].IEEE JOURNAL OF BIOMEDICAL AND HEALTH INFORMATICS,2014,18(1).

[4] Ming Li,Wenjing Lou,Kui Ren.Data security and privacy in wireless body area networks[J].Wireless Communications,2010,17(1):51-58.

[5] Muraleedharan R,Osadciw L A.Secure Healthcare Monitoring Network Against Denial-of-Service Attacks Using Cognitive Intelligence[C]//In Proceedings of Communication Networks and Services Research Conference,Halifax,NS,Canada,2008.

[6] Misic J,Amini F, Khan M.On Security Attacks in Healthcare WSNs Implemented on 802.15.4 Beacon Enabled Clusters[C]//In Proceedings of IEEE Consumer Communication and Networking Conference (CCNC’07),Las Vegas,NV,USA,2007.

[7] Wood A D,Stankovic J A.Denial of Service in Sensor Networks[J].IEEE Comput,2002(35):54-62.

[8] Le X H,Khalid M,Sankar R,et al.An Efficient Mutual Authentication and Access Control Scheme for Wireless Sensor Network[J].Healthcare,2011(27):355-364.

[9] Haque M M,Pathan A S K,Hong C S.Securing u-Healthcare Sensor Networks Using PublicKey Based Scheme[C]//In Proceedings of 10th International Conference of Advance Communication Technology,Pyeongchang,Korea,2008.

[10] Dagtas S,Pekhteryev G,Sahinoglu Z,et al.Real-Time and Secure Wireless Health Monitoring[J].Int. J. Telemed. Appl,2008.

[11] Jongdeog Lee,Krasimira Kapitanova,Sang H Son.The price of security in wireless sensor networks[J].Computer Networks,2010(5):2967-2978.

丁邢濤(研究生)，主要從事無線醫療傳感網隱私與安全問題研究。

Research on Data Security and Privacy Protection of Wireless Medical Sensor Network

Ding Xingtao,Zhong Bocheng,Fang Xuan

(Electronic Institute of Electrical Engineering,Shanghai University of Engineering Science,Shanghai 201620,China)

In the paper,the security and privacy of the wireless medical sensor network are reviewed,the network structure of wireless medical sensor network is described,its characteristics and security requirements are analyzed,and the network attack of the wireless medical sensor network is discussed in detail.Based on confidentiality,access control,identity authentication,privacy protection and safety requirements,the corresponding research is analyzed.Finally the security and privacy of the wireless medical sensor network possible future research directions are pointed out.

medical sensor network; access control;privacy protection;cryptography

上海高校青年教師培養資助計劃專項基金(ZZGCD15088)。

TP393

A

士然

2016-12-22)