移動醫療系統隱私保護的數據傳輸協議設計

黃　興，張愛清，葉新榮，謝小娟

(安徽師范大學 物理與電子信息學院，安徽 蕪湖 241000)

0　引言

隨著科技發展和生活水平提高，醫療行業也在穩步快速發展，移動醫療系統正在逐步代替傳統的臨床醫療在部分醫院嘗試應用。移動醫療，由智能手機與可穿戴式/植入式醫學傳感器采集患者血壓、血糖、心脈等身體健康信息，然后通過可攜帶式設備將信息通過無線網絡發送至指定醫生或醫療機構。利用醫療傳感器通過無線網實時監測病人身體信息，建立高效率的監測和疾病防治體系，不僅能夠依據用戶身體健康信息制定健康計劃，而且能夠評估健康風險，可以有效避免“病后就醫”而導致錯過最佳治療期，危及病人生命的問題[1-2]。

移動醫療系統的普及給人們帶來了極大便利，但由于該系統通過無線網絡和手機終端傳遞病人健康數據，所以數據傳輸的可靠性和安全性也變得尤為重要。首先，醫療機構需要通過認證以保證其作為一個合法用戶參與醫療服務。其次，為了保護用戶身份隱私，病人的真實身份信息應只對所預約的醫生可見。最后，如果病人健康數據在傳輸過程中遭到泄露或者修改，醫生可能會給出錯誤的治療方案，對病人生命造成嚴重的威脅。所以醫療系統中的安全問題顯得尤為重要[3-4]。

有許多學者針對移動醫療系統提出了隱私保護方案。文獻[5]等實現了用戶PHI(Physical Health Information)隱私保護，存在用戶身份信息泄露問題，文獻[6]中設計的方案計算開銷大，計算復雜度高。對于完善移動醫療系統來說，不論是解決用戶身份隱私或是身體健康信息數據的保護問題，還是降低計算開銷等都是巨大的挑戰。所以基于上述問題，本文提出了移動醫療系統中輕量級的匿名數據安全傳輸方案。

1　相關工作

目前，很多針對移動醫療的隱私保護提出了方案。文獻[7]指出了當前電子病歷的增加與網絡共享所帶來的安全問題，并提出了一個反饋方案，當病人醫療信息遭到非法訪問時系統將會告知患者。文獻[8]設計了一個輕量級的隱私保護代理數據傳輸方案，實現了數據和身份隱私保護，但是其計算復雜度高且存在秘鑰托管問題。文獻[9]基于電子健康服務提出了一個包含有效協議的框架，提出了兩種風險自適應認證技術及與之對應的不同加密算法處理數據，但病人身份隱私沒有得到保護。文獻[10]針對移動健康系統提出了一個可以抵抗多種攻擊的方案，但是該方案僅針對緊急情況而提出，并不適用于實時監測的移動醫療系統。文獻[11]提出了低延遲、低成本的高效遠程健康監測系統，卻沒有考慮數據安全傳輸問題。文獻[12]研究移動健康系統中漸進的隱私要求認證策略在參與實體之間不同的相互作用。文獻[13]針對移動健康系統提出一個輕量級、魯棒性D2D協助數據安全傳輸方案，該方案實現了基本的安全目標。文獻[14]針對患者個人隱私信息問題提出了幾個技術，有效地監測患者和提高遠程醫療系統的功能。文獻[15]針對患有相同癥狀的病人設計了一個握手方案，為病患提供了一個安全的癥狀交流平臺。以上方案中，一些沒有同時實現用戶的健康數據和身份隱私保護，部分方案的計算開銷比較高。

本文基于傳統的無證書數字簽名技術[16]實現移動醫療系統中病人身份隱私和健康數據的保護。

2　系統模型

2.1　系統結構

本文基于文獻[13]中設計的移動醫療系統結構，設計了如下系統模型。如圖1所示，本系統模型由三個實體組成：無線身體局域網客戶端(Wireless Body Area Network Client，WBAN Client)、應用服務提供商(Application Provider,AP)和網絡管理者(Network Manager,NM)。

圖1　系統模型

系統各個組成部分功能描述如下：

WBAN Client：無線身體局域網客戶端是指裝備有無線身體局域網和移動電話的用戶，該終端包括各種可穿戴式傳感器，如溫度傳感器、血壓傳感器等生物傳感器。這些生物傳感器將采集到用戶身體健康信息PHI發送給用戶的移動電話，移動電話將這些信息發送給相應的醫生。

AP：應用服務提供商即醫療服務提供者，如醫院、診所或者醫生，給用戶提供醫療幫助，包括醫療咨詢、用戶狀態監測和醫生會診等。AP給用戶提供醫療服務之前需要通過NM注冊登記，并預先加載參數，最后才有資格提供醫療服務。

NM：網絡管理者主要負責系統初始化、用戶AP和WBAN client注冊登記，以及為用戶分發部分秘鑰。通常被認為是一個商業組織，是一個不完全信任的第三方，通常會有密鑰托管問題存在，所以NM僅為WBAN client生成部分密鑰以此來保證用戶健康信息的安全性。

2.2　威脅模型和安全目標

由于用戶健康信息數據在發送給醫生的過程中會面臨被竊聽或篡改的危險，所以基于給定的系統結構，本系統需要實現以下安全目標：

身份認證：AP和WBAN client需要經過NM注冊登記保證其合法性與真實性，還需要相互認證保證數據的來源和去向。

數據機密性和完整性：PHI數據在傳輸過程中不會被泄露和更改。

匿名性：WBAN client的身份對除了會話AP之外的所有實體保密。

前向安全性和后向安全性：即使當前會話的私鑰被泄露，也可以保證以前和以后會話的數據仍然是安全的。

不可否認性：用戶不能否認自己發送信息的行為以及發送的內容。

不可鏈接性：用戶WBAN client任意次數會話中，攻擊者從外部都無法區分消息是否來自同一個用戶。

3　安全協議

3.1　系統初始化

① 系統建立

NM擔任秘鑰生成中心(PKG)的角色來負責整個系統的登記注冊過程。輸入安全參數k，產生兩個大素數p,q，且q|p-1。P為橢圓曲線上的循環群G中任意一階為q的生成元，定義以下安全哈希函數:

② 用戶注冊登記

WBAN client:用戶Ci(其身份IDci)隨機選擇秘密值sci∈Zq*作為其長期私鑰，計算公鑰Sci=sciP，h1=H1(IDci,Rci,Sci,QNM)，并將公鑰Sci發送給NM注冊登記。NM隨機選擇rapi∈Zq*，計算Rci=rciP，Dci=rci+sNMh1，NM將Dci通過安全通道發送給用戶Ci，并將公鑰對(Rci,Sci)放入公共目錄中。Ci的公鑰:(Rci,Sci)，私鑰(sci,Dci)。

表1用戶Ci在t時刻末記錄表

APt+1時刻對稱秘鑰t+1時刻用戶匿名身份IDAP1ki1t+1IDAP1ci＇IDAP2ki2t+1IDAP2ci＇………IDAPjkint+1IDAPnci＇

表2APj在t時刻末記錄表

clientt+1時刻對稱秘鑰t+1時刻用戶匿名身份IDc1k1jt+1IDAPjc1＇IDc2k2jt+1IDAPjc2＇………IDciknjt+1IDAPjci＇

3.2　數據發送

① 選擇一個隨機數a∈Zq*，計算T=aP,T'=aRAPj，Wci=sci*(XAPj+RAPj)。

④M=Enckey(m)。

3.3　數據接收

① 計算T''=sAPj-1T'，Wci'=Sci*(xAPj+rAPj)；

② 計算T'''=σi(Rci+Sci+h1QNM+h2P)；

④ 解密m'=Deckey'(M)。

正確性證明如下：

① 驗證簽名

h2P)=aP=T，

T''=sAPj-1T'=sAPj-1asAPjP=aP=T。

② 解密

Wci=sci(XAPj+RAPj)=

sci(xAPjP+rAPjP)=

sciP(xAPj+rAPj)=Wci'。

m=m'。

4　安全性分析

本節詳細分析所設場景下的安全協議如何實現第2節所提出的安全目標。

身份認證：WBAN client發送數據時使用己方私鑰和對方公鑰生成對稱密鑰，當AP收到來自WBAN client的數據時，AP通過記錄表查詢對應用戶的真實身份，并利用對方公鑰和己方私鑰協商對稱密鑰，實現了WBAN client和AP相互認證的過程。

數據機密性和完整性：WBAN client通過對稱加密消息為M發送給AP，只有目的AP才能查詢到其對應真實身份并恢復會話秘鑰key，完成數據解密，這樣就保證了數據的機密性；此外通過WBAN client的簽名信息σi和h2保證了數據的完整性。

匿名性：用戶WBAN client通過更新的對稱秘鑰將真實身份進行了hash計算IDci'=H(kt,IDci)得到匿名身份，只有擁有對稱秘鑰kt的AP才能解密其真實身份信息。

前向安全性和后向安全性：由于WBAN client和AP每次通信時用hash函數更新對稱秘鑰，所以即使當前會話的完整秘鑰被泄露也可以保證之前會話的安全性。同時，每次更新時，加入隨機數a，即使攻擊者獲取了當前加密密鑰也不能解密后面接收的數據，從而實現了后向安全性。

不可否認性：WBAN client的簽名σi和h2保證了其不可否認發送消息的行為以及發送的內容。

不可鏈接性：用戶WBAN client不同的會話通過哈希函數更新的匿名身份與對稱秘鑰key保證了攻擊者無法從外部區分消息是否來自同一個用戶。

5　性能分析

5.1　安全性能比較

如表3所示，將本文方案與文獻[5,21,22]在安全性能上進行比較可知(其中文獻[21]中提出了2種方案)，只有本文提出的協議實現了下面7種安全性能。

表3安全性能比較

安全性能方案[21]?1方案[21]?2方案[5]方案[22]本文方案身份認證√√√√√數據完整性與保密性√√√√√匿名性√√√√√前向安全性×√×√√后向安全性××××√不可鏈接性××√√√不可否認性××√×√

5.2　計算開銷

將本文方案與文獻[17-20]的方案在計算開銷上進行比較。相比其他運算，加法運算和哈希運算等基本運算消耗的時間可以忽略不計，本文主要考慮指數運算、橢圓曲線上點乘運算和雙線性對運算的計算開銷。用te表示一個指數運算的運行時間，tm表示一個橢圓曲線上點乘運算的運行時間，tp表示一個雙線性對運算的運行時間。在本文方案中，數據發送階段，需要2次點乘運算計算參數T與T'，還需要1次點乘運算計算Wci。數據接收階段，解密數據需要3次點乘運算計算T''、Wci與T'''，如表4所示。

為了比較各方案中各運算的運行時間，文獻[20]在Linux個人數據助理上安裝624 MHz英特爾PXA270處理器，并執行該算法得到運行時間為：te=53.85 ms,tm=30.67 ms,tp=96.20 ms。用同樣的設置來執行算法，得到的運行時間如圖2所示。由仿真結果可知，相比較其他方案，本文方案在數據加密/解密過程中共用到6次橢圓曲線上的點乘運算，計算復雜度低，時間消耗小。

表4計算復雜度比較

方案簽名/加密驗證簽名/解密方案[17]3tm+te2te+2tp方案[18]2tm+3tetm+te+2tp方案[19]5te6te方案[20]11te+tp3te+8tp本文方案3tm3tm

圖2　算法時間消耗

5.3　通信開銷

表5通信開銷比較

方案WBANclientAP總通信開銷方案[21]2|G|+2|Q|+|E||Q|2|G|+3|Q|+|E|方案[22]4|G|+|E||G|+|Q|5|G|+|Q|+|E|方案[20]|G|+8|Q|+|E||G|+|Q|2|G|+9|Q|+|E|方案[13]4|G|+6|Q|+2|E|04|G|+6|Q|+2|E|本文方案|G|+2|Q|+|E|+|m＇|0|G|+2|Q|+|E|+|m＇|

6　結束語

針對移動醫療系統中面臨的安全問題設計了一個隱私保護的數據安全傳輸協議。綜合考慮當前移動醫療系統的特點，所設計的協議能夠在無需額外硬件的情況下實現所需安全目標。利用數字簽名可以實現身份認證以及數據的不可否認性；利用己方私鑰和對方公鑰協商對稱密鑰，實現了相互間身份認證，通過對稱加密實現了數據機密性。最后，通過單向哈希函數更新用戶匿名身份，保證了移動醫療系統中病人身份的隱私。此外，性能分析表明所設計的協議在保證數據安全和身份隱私的條件下具有低計算開銷的優點。

[1]聶海鑫.移動醫療安全問題及解決方案[J].信息安全與技術,2014(7):83-85.

[2]丁伯新.移動醫療的信息安全保護[J].科技風,2015(22):5.

[3]范亦涵,王魯.移動醫療信息安全保護的研究[J].福建電腦,2015(4):85-86.

[4]羅雪瓊,胡珊,周毅,等.移動醫療安全問題與應對措施[J].中國數字醫學,2015(7):94-97.

[5]Lu R,Lin X,Shen X.SPOC: A Secure and Privacy-Preserving Opportunistic ComputingFramework for Mobile-Healthcare Emergency[J].IEEE Transactions on Parallel & Distributed Systems,2013,24(3):614-624.

[6]Kushwah P,Lai S.An Efcient Identity Based Generalized Signcryption Scheme[DB/OL].Cryptology eprint Archive,Tech.Rep.346,2010.http://eprint.iacr.org/ 2010/346.pdf.

[7]Ahmed M,Ahamad M,Jaiswal T.Augmenting Security and Accountability within the EHealth Exchange[J].Ibm Journal of Research & Development,2014,58(1):1-8.

[8]Jiang S,Zhu X,Hao R,et al.Lightweight andPrivacy-preserving Agent Data Transmission for Mobile Healthcare[C]∥ IEEE International Conference on Communications.IEEE,2015:7322-7327.

[9]Boonyarattaphan A,Bai Y,Chung S.A Security Framework for eHealth Service Authentication and eHealth Data Transmission[C]∥International Conference on Communications and Information Technologies.IEEE Press,2009:1213-1218.

[10] Liang X,Lu R,Chen L,et al.PEC: A Privacy-preserving Emergency Call Scheme for Mobile Healthcare Social Networks[J].Journal of Communications&Networks,2012,13(2):102- 112.

[11] Liang X,Barua M,Chen L,et al.Enabling Pervasive Healthcare Through Continuous Remote Health Monitoring[J].IEEE Wireless Communications,2012,19(6):10-18.

[12] Guo L,Zhang C,Sun J,et al.A Privacy-preserving Attribute-based Authentication System for Mobile Health Networks[J].IEEE Transactions on Mobile Computing,2014,13(9):1927-1941.

[13] Zhang A,Wang L,Ye X,et al.Light-weight and Robust Security-Aware D2D-assist Data Transmission Protocol for Mobile-Health Systems[J].IEEE Transactions on Information Forensics & Security,2017,12(3):662-675.

[14] Ren Y,Werner R,Pazzi N,et al.Monitoring Patients via a Secure and Mobile Healthcare System[J].IEEE Wireless Communications,2010,17(1):59-65.

[15] Lu R,Lin X,Liang X,et al.A Secure Handshake Scheme with Symptoms-Matching for mHealthcare Social Network[J].Mobile Networks & Applications,2011,16(6):683-694.

[16] 劉文浩,許春香.無雙線性配對的無證書簽密方案[J].軟件學報,2011,22(8): 1918-1926.

[17] Yu G,Ma X,Shen Y,et al.Provable Secure Identity Based Generalized Signcryption Scheme[J].Theoretical Computer Science,2012,411:3614-3624.

[18] Ji H,Han W,Zhao L.Certificateless Generalized Signcryption[J].Physics Procedia,2012,33(6):962-967.

[19] Shi W,Kumar N,Gong P,et al.Cryptanalysis and Improvement of a Certificateless Signcryption Scheme without Bilinear Pairing[J].Frontiers of Computer Science Selected Publications from Chinese Universities,2014,8(4):656-666.

[20] Xiong H.Qin Z.Revocable and Scalable Certificateless Remote Authentication Protocol With Anonymity for Wireless Body Area Networks[J].IEEE Transactions on Information Forensics & Security,2015,10(7):1442-1455.

[21] Liu J,Zhang Z,Chen X,et al.Certificateless Remote Anonymous Authentication Schemes for WirelessBody Area Networks[J].IEEE Transactions on Parallel & Distributed Systems,2013,25(2):332-342.

[22] Xiong H.Cost-Effective Scalable and Anonymous Certificateless Remote Authentication Protocol[J].IEEE Transactions on Information Forensics & Security,2014,9(12):2327-2339.