疫情環境下接觸人跟蹤系統的研究綜述

李超群，陳智罡，宋新霞，周云慧

1.浙江萬里學院 信息與智能工程學院，浙江 寧波315100

2.浙江萬里學院 基礎學院，浙江 寧波315100

3.北京科技大學 計算機與通信工程學院，北京100083

由SARS-COV-2病毒引起的新冠肺炎（COVID-19）成為了全球性流行病，該疾病已蔓延到全球大多數國家，對醫療保健系統和社會經濟均構成了挑戰[1]。截至到2020年12月26日，全球累計確診新冠肺炎102 159 376例，累計死亡2 208 947例[2]。由于2020年初尚無COVID-19疫苗，全球大多數國家實施了非藥物干預（NPIs），即采取嚴格的措施（包括關閉工作場所、學校、社交場所以及旅游等）來降低民眾之間的接觸率，從而減慢疾病傳播[3]。

NPIs在COVID-19大流行中是有效的，以致于死亡率大大降低。但是嚴格地限制對經濟結構造成了威脅，因為經濟本身的下滑會對社會許多方面產生不利影響。Goldman 預測，到2020 年第二季度，美國的經濟可能會萎縮24%，是有史以來下滑最多的一次。基于此原因，各國開始制定新的平衡策略，用以兼顧社會經濟和COVID-19 的反彈。一直以來，接觸跟蹤是公共衛生中應對疾病的有效手段。由于疫苗的研究沒有明顯發展[4]，全球大多數國家的緩解策略更多地集中在接觸跟蹤上。該策略將進一步有助于經濟發展，并且緩解疾病傳播。

過去使用的人工接觸跟蹤被證明是有用的[5]。但隨著感染人數指數級增長，人工接觸跟蹤暴露了眾多缺陷，不足以應對這種傳播迅速，具有高度傳染性和致命性的病毒[6]。但是，基于手機等智能設備實現的自動接觸人跟蹤（Automatic Contact Tracking，ACT）可以彌補人工接觸跟蹤的不足。ACT可以通過追蹤接觸人，檢測他們的感染情況，治療感染者以及依次追蹤他們的接觸人，可以顯著降低人群中疾病的最終感染率。

學術界陸續提出了若干解決方案，世界各國也都嘗試使用接觸人跟蹤系統來防范疫情。最為突出的是泛歐洲隱私保護接觸跟蹤項目（PEPP-PT）提出的DP-3T系統[7]，蘋果&谷歌合作共同開發的曝光通知（AGEN）應用程序接口以及PACT系統。

接觸人跟蹤系統可以分為兩類：（1）中心化的接觸人跟蹤系統。其特點是用戶需要上傳個人信息到中央服務器中進行登記并獲取假名。然后，中央服務器返還與假名相關聯的臨時標識符，并且接觸風險計算也由中央服務器完成。主要有新加坡政府提出的TraceTogether系統，采用Bluetrace協議和藍牙低功耗（Bluetooth Low Energy，BLE）技術以及對稱加密[8]；Recchert等人提出的基于全球定位系統（Global Positioning System，GPS）的接觸人跟蹤系統，利用安全多方計算（Secure Multi-Party Computation，MPC）和遺忘隨機儲存器（Oblivious Random Access Memory，ORAM）進行會話[9]。

（2）去中心化的接觸人跟蹤系統。其特點是密鑰和臨時標識符均由本地設備隨機生成，減少中央服務器在接觸跟蹤過程中的參與度。用戶通過服務器下載感染者上傳的臨時標識符列表，然后在本地設備計算風險。現在，大多數研究工作都集中在設計去中心化接觸人跟蹤系統上，該系統具有兩種不同設計模式。第一種設計模式是上傳用戶廣播過的數據，感染者上傳其發送過的信息到授權服務器與其他用戶共享。主要有DP-3T 系統[7]，該系統提出了不同協議來支持風險檢測和跟蹤：①低成本的接觸跟蹤協議，效率得到提升但減弱了對用戶的隱私保護；②不可鏈接的接觸跟蹤協議，通過布谷鳥過濾器（Cuckoo Filter）增加了成本但提高了用戶的隱私保護；Avitabile 提出的基于公告板、盲簽名和Diffie-Hellman 協議的解決方案[10]。該方案引入了區塊鏈，利用區塊鏈的不可篡改性。另一種設計模式則是上傳用戶接收到的數據，感染者將接收到的臨時標識符列表上傳到授權服務器，然后由其進行共享。主要有Joseph 等人提出的基于組簽名和零知識證明（Zero-Knowledge Proof，ZKP）的接觸人跟蹤系統[11]。衛生當局為用戶提供偽隨機公共密鑰，并且提供ZKP以證明其接觸過的事實。

如今，所有的接觸人跟蹤系統都采用BLE 技術，不僅因為BLE 是短程交互的有效手段[12]，而且GPS、蜂窩基站定位等技術在接近度檢測上都有不足之處：（1）在密集的室外表現不佳，會泄露用戶的敏感信息（例如住所或者工作地址）。（2）工作時提供的精度較低[13]。（3）需要有基礎設施做支撐。另外，區塊鏈技術在接觸人跟蹤系統中也有很大用途。一方面，由于區塊鏈的不可篡改性，可以保證上鏈信息不被篡改。另一方面，用戶只需保存區塊鏈上臨時身份的地址即可，有效解決藍牙信標存儲容量的限制。

圖1 隔離計劃

1 相關工作

1.1 自動接觸人跟蹤（ACT）

相對于SARS-CoV-1，COVID-19 的傳染性更強，并且跟蹤癥狀較輕或無癥狀感染的個體的難度較大，如圖1所示。Ferretti等人分析了COVID-19傳播的四個途徑（癥狀性傳播、癥狀前傳播、無癥狀傳播、環境傳播），使用SARS-CoV-2的可解析模型，得出發生在個體癥狀發作之前2～3天的疾病傳染占總傳播的一半，僅僅隔離癥狀發作后的個體是很難控制流行病的結論[6]。接觸人跟蹤是一種傳染病控制策略，旨在識別可能與感染者接觸過的人。它不是一項新的技術，在過去也都使用過，例如2003 年的SARS 和2009 年的H1N1。由于人工接觸跟蹤在隔離患者和跟蹤他們的接觸人方面既耗時又耗費資源，并且病毒的感染窗口期長達14天，即使進行深入面談，收集到的接觸人列表也是不完整的。因此，ACT的應用是有必要的。ACT可以減輕人工接觸跟蹤的負擔，提高跟蹤精度。現如今，智能手機的普及率很高（到2020年為止，在美國手機普及率為80%）[14]。通過智能手機豐富的感應功能可以在用戶未檢測出感染病毒之前就對用戶進行數據采集，確保在感染期內收集到完整的信息。整個過程不需要專業人員特地去采訪接觸人，而且不像人工接觸跟蹤，會因為人的記憶問題存在信息遺漏現象。但是，要使ACT成功應用，就需要群眾的廣泛采用。有些專家認為不應該將模擬評估ACT使用率的有效性作為硬性限制，因為應用程序在較低的采用率下并不會變得無用[15-16]。而且另一項研究也表明了即使只有20%的人口使用跟蹤應用程序，ACT仍比人工接觸跟蹤更有效[17]。

影響采用的一個因素是公眾的看法。人們普遍認為，被視為監視工具的系統并不值得信賴，并且他們不愿意在其設備上安裝相應的ACT應用程序[18]。因此，有些地方已將使用本地ACT應用程序作為使用公共交通和參與公共生活的要求。對于大多數國家而言，這不是一個選擇，因為此類措施引發了人們對公民自由的嚴重關注，并歧視了沒有現代智能手機的人[19]。

1.2 密碼學技術

在接觸跟蹤過程中，若用戶之間交互信息沒有得以保護，則容易導致用戶的隱私泄露，造成大規模監視。因此專家們會采用多種密碼學技術來設計接觸人跟蹤系統。例如非對稱加密技術，該技術的安全性取決于多個密鑰之間的數學關系，其中分為公鑰與私鑰，只有用戶自身擁有私鑰[20]。又如私有集相交協議（Private Set Intersection，PSI），該協議允許擁有集合的各方共同計算集合的交集，并且各方不會得到除交集以外的任何一方的信息[21]。其次，還有布谷鳥過濾器[22]。布谷鳥過濾器有兩張哈希表，當新的數據插入時，它會計算該數據在兩張表中存放的位置。然后通過往復替換數據在表的位置，最終所有數據都存放在哈希表中。Altuwaiyan等人利用同態加密（Homomorphic Encryption，HE）能對加密數據進行計算并得到一個輸出，然后對這個輸出進行解密的原理，既保護了信息又能讀取數據[8]。Reichert等人利用MPC在互不信任的情況下處理創建用于多方聯合計算的原理，確保了各方的數據安全[9]。如今，密碼學技術在數字生活中愈發普遍，因為它幾乎不需要終端用戶的知識或意識。因此，加密技術的使用在提高接觸人跟蹤系統的安全性上起著至關重要的作用。

1.3 設備感測器

在過去的幾年中，藍牙被廣泛應用于測量設備之間的有效距離。該技術利用藍牙的信號強度指示（Received Signal Strength Indication，RSSI）來測量接收器和發送器的距離，從而確定位置[23-24]。Raghavan 等人證明了藍牙2.0 可用于位置定位，并且誤差小于45 cm[25]。Liu 等人建立了一個使用RSSI 讀數估計的接近度模型，證明了藍牙可以有效檢測人與人之間的互動[26]。隨后在藍牙標準規范4.0中，引入了BLE技術，該技術最大限度地降低了功耗。由于BLE的節能，短距離的特性，BLE被新加坡團隊所采納并實現TraceTogether 系統。BLE 用于接近度檢測和接觸人跟蹤的缺點之一是不同智能手機類型上的傳輸功率差異很大。RSSI讀數必須根據各自的設備進行校準[27]。出于可用性的原因，使用這些技術的ACT可以在后臺運行也很重要。

BLE 技術并不是接觸人跟蹤中使用的唯一技術。像GPS、WiFi、蜂窩基站定位之類的技術也應用于ACT，如表1所示。但是，這些技術都存在缺點。GPS通常會顯示用戶的敏感數據，例如住所和工作地址等。同時，GPS 的精度不夠，不足以檢測人與人之間的互動，特別是在建筑內部。COVID-19 是空氣傳播疾病，因此檢測不到建筑內人的活動是很危險的。所以，使用GPS或蜂窩基站定位時，這種類型的誤報很難緩解。WiFi雖然跟BLE 一樣可以檢測室內活動，但與蜂窩基站定位相似，它需要的基礎設施并非任何地方都可建設，尤其在街道或偏遠地區。因此它也不適用于需要在任何地方都可使用的ACT。與用戶相關的磁力計讀數是另一個適用于ACT 的技術，該技術在工作中消耗的能量很少。通過兩個磁力計讀數在相同時間段內具有相同的變化，可以說明他們記錄了同一個位置。但是，該技術無法推測記錄這些數據的人之間的距離，并且使用磁力計進行共址檢測的研究很少。因此，此方法不足以支持ACT。

BLE 是最適合ACT 的基礎技術。因此，建議大多數系統都基于這種技術來檢測用戶之間的距離。

表1 定位技術比較

1.4 電池消耗

ACT系統的實用性與移動設備連續至少12個小時保持開啟此應用程序的可能性成正比。這意味著，ACT系統要盡可能地消耗很少電量。因此，讓ACT 系統在后臺運行是十分重要的。但是，在后臺運行BLE掃描需要特殊的權限并需要對操作系統進行更改，否則會耗盡電池電量。并且，對于iOS設備，有些ACT的BLE掃描根本無法進行。谷歌和蘋果是全球智能手機操作系統的兩個主要提供商[28]。由于他們已經按照基于廣播的設計實現了自己的后臺API，并且大多數接觸人跟蹤應用程序都采用此API技術。因此任何其他不使用此API的應用程序都將十分消耗電池電量。

2 中心化的接觸人跟蹤系統

2.1 早期的接觸人跟蹤系統

香港推行StayHomeSafe 應用程序[29-30]。抵達香港的用戶需要使用智能手機下載該應用，并且佩戴一個帶有QR碼的電子手環。通過掃描手環上的QR碼和填寫聯系方式來完成首次注冊操作。在隔離期間，應用程序會檢測和分析你的住處環境信號，并且會隨時要求你通過掃描手環上的QR碼來確認你是否在你的住處。如果未經許可離開住所，應用程序會記錄此信息，并且政府會采取進一步措施，例如抽查或起訴。

韓國則有所不同，韓國疾病預防控制中心（KCDC）運行一個COVID-19 智能管理系統[31]，通過使用來自國家警局，信貸金融協會，三個智能手機公司以及22個信用卡公司等28 個組織的數據來跟蹤COVID-19 感染者[32-33]。該系統使用GPS，每10 min 分析一次感染者的活動，并且韓國手機公司要求客戶提供真實姓名和政府登記號碼。

以色列政府推出了一款名為HaMagen 的接觸追蹤應用程序，可以將用戶的數據存儲在設備上，隨后被診斷出COVID-19 的用戶必須決定是否向當局公布他們的位置數據[34]。

上述接觸人跟蹤系統的缺點之一是采集的數據都是基于GPS 的全景圖，涉及接觸人位置范圍過大，容易波及周圍的社區與企業。并且GPS 定位無法采集室內的數據，導致有關接觸人的數據不完整，不利于防范疫情。

2.2 TraceTogether接觸人跟蹤系統

TraceTogether 是由新加坡團隊提出的[35]。該系統不同于早先其他國家提出的接觸人跟蹤系統，它是最先將BLE技術應用于ACT的。TraceTogether采用了由新加坡團隊設計的Bluetrace 協議，通過RSSI 的讀數隨時間變化在設備上產生的信息來估計用戶之間的相遇時間和持續時間。

TraceTogether 可以收集用戶的聯系方式與身份信息，能夠為衛生當局（Health Authority，HA）提供整個新加坡人口的病毒傳染情況。此外，還引入自適應的無線掃描方法來解決手機能耗問題[36]。但是，該系統幾乎沒有為感染者提供隱私安全保障，目前大約180萬用戶下載了該應用程序。

系統執行過程如下：

（1）初始階段。用戶i將電話號碼NUMi發送給HA 并且接收由HA 發回的臨時密鑰IDi，HA 將(NUMi,IDi)存儲在其數據庫中。然后，HA 生成密鑰K，在每[tx,tx+1] 時間間隔內將TIDi,x=Enc(IDi,tx;K)推送給用戶。

（2）廣播階段。用戶i在[tx,tx+1] 的時間間隔內廣播TIDi,x。例如，當用戶i和用戶j在[tx,tx+1] 時刻相遇時，他們將交換TIDi,x和TIDj,x。然后，他們分別在自己的智能手機中本地存儲(TIDi,x,TIDj,x,Sigstren)數據組。其中參數Sigstren表示設備之間的藍牙信號強度。

（3）報告階段。假設用戶i在COVID-19 測試中檢測為陽性，則用戶i必須與HA 共享有關于j的本地存儲對(TIDi,x,TIDj,x),Sigstren以及在該時間間隔內收集的其他用戶數據。

（4）跟蹤階段。HA 在收到用戶i的數據后，解密TIDj,x并獲得IDj，然后與用戶j聯系并且通知對方。如圖2所示。

圖2 TraceTogether接觸跟蹤

TraceTogether要求用戶高度信任HA。由于通知接觸人是否暴露于COVID-19的工作是由HA執行，HA知道用戶的聯系方式以及身份信息。基于這一事實，如果中央服務器是惡意的，那么用戶數據就會被曝光。其次，TraceTogether中的Bluetrace協議很大程度依賴于藍牙交換信息，這使得其容易受到重放和中繼攻擊，攻擊者可以復制交換的信息通過在多個位置重放/中繼它，使它看起來就像感染者與許多其他用戶有密切接觸。但是，與其他接觸人跟蹤系統相比，TraceTogether 的優勢在于它使HA 能夠在已安裝該應用程序的人群中繪制COVID-19的傳輸圖，并且它生成的臨時標識符可以幫助HA識別單個用戶。

2.3 基于MPC的接觸人跟蹤系統

基于MPC 的接觸人跟蹤系統是由Reichert 等人提出的[9]。該系統主要利用GPS 采集用戶帶有時間戳的位置數據，通過MPC 實現多個用戶在互不信任的情況下進行協同計算，并且每個用戶僅獲得屬于自己的信息。此外，還引入了ORAM 來解決MPC 中存在的索引泄露的隱患，它位于與MPC執行操作的單個服務器上，以秘密索引存儲的數據進行讀取和寫入。

但是，該系統只是理論上的解決方案，缺乏計算感染風險的詳細信息。考慮到相關用戶之間存在的多種移動模式，目前尚不清楚如何在時間戳上設置閾值。另外，Tang 等人研究發現當接觸人發起會話時，HA 都要準備亂碼電路，如果感染人數增多，HA將面臨龐大的計算任務的問題[8]。

執行過程如下：

（1）初始階段。HA 準備用于生成亂碼電路的加密密鑰，以備之后使用。

（2）廣播階段。用戶i在設備上存儲自己的地理位置點，用[t0,t1,…] 表示時間間隔。假設在時間tx處，用戶i存儲位置點為(tx,lx,u,lx,v)，其中，lx,u、lx,v分別表示位置的緯度和經度。

（3）報告階段。假如用戶i被檢測為COVID-19 陽性，則他將與HA共享所有位置點(tx,lx,u,lx,v)，HA將用戶i的數據存儲在ORAM中。

（4）跟蹤階段。假設用戶j要檢查自己是否與用戶i有過密切接觸。用戶j向HA發送請求，HA根據用戶i共享的數據點，均舍入為固定在網格中的點，構成一個亂碼電路，并與用戶j會話。用戶j在ORAM中發起二進制搜索，查找是否與用戶i有交集點，根據交集的數量計算風險。如圖3所示。

圖3 用戶會話過程

Reichert等人在研究過程中使用ACK庫中的二進制搜索測試該系統，測試過程在Intel?Core?i7-8565U CPU @ 1.80 GHz和16 GB內存的配置下完成。根據需要存儲的數據量，ACK庫可以在四種不同類型的ORAM中進行選擇。關于測量值，默認使用CPRG（Constant Pseudo-Random Generator）作為Floram（又稱ORAM 構造函數），并采用接觸跟蹤算法O(n×lbm×m)進行計算[37]。最終執行時間需要（26.40±6.63）s（標準偏差）。

2.4 基于PSI的接觸人跟蹤系統

Berke 等人提出了基于PSI 的接觸人跟蹤系統[38]。該系統主要是通過GPS 收集用戶帶有時間戳的位置數據，然后采用劃分地理空間的方法將位置點映射到三維網絡，并對點間隔進行單向哈希函數加密。最后，PSI計算交集。

關于PSI 的大多數工作都是基于半誠實的環境下進行的，如果系統采集的位置數據過多，并且由于將GPS點劃分為點間隔，用戶的應用程序需要對照服務器的點集檢查點間隔，該操作過程過于繁雜。可以考慮讓服務器只保存其地理區域內的數據，減少存儲的數據集。PSI 協議可用于允許用戶了解交集的大小，允許其了解哪些元素出現在服務器上，并且HA不會知道用戶提供了哪些數據，當且僅當交集泄露后，才會暴露出用戶的相遇地點。

執行過程如下：

（1）數據采集和轉換。每分鐘收集用戶帶有時間戳的GPS 點，每個點以經緯度和時間元組構成。例如(tx,lx,u,lx,v)，lx,u、lx,v分別表示位置的緯度和經度。利用H3網格的六角形全球地理空間索引方法劃分地理空間，然后將GPS 點映射到3 維網絡形成點間隔，利用單向哈希函數對點間隔加密，儲存在智能手機中。

（2）數據交換。當用戶檢測為感染者后，將點間隔上傳到中央服務器，接觸人在以PSI與中央服務器進行交互。PSI能使雙方以隱私保護的方式計算其數據的交集，從而僅顯示公共數據值。

Berke 等人使用了Diffie-Hellman PSI 協議算法[39]來說明該系統的運行機制。假設一個點間隔為P，收集到的點間隔序列為P=[P1,P2,…] ，用戶的點間隔存儲在他們的智能手機PU中。當用戶被診斷為陽性后，將手機中的點間隔與服務器PI共享。然后，接觸人通過PSI計算H(PU)和H(PI)的交集。

算法過程如下：

①客戶端使用密鑰a加密用戶的哈希點間隔H(PU)，并將此數據發送到服務器。

②服務器使用密鑰b加密其存儲的哈希點間隔H(PI)，并將此數據發送到客戶端。

③服務器在接收到由用戶客戶端發送的加密的點間隔H(PU)a時，服務器進一步用其密鑰b對該數據進行加密，并將結果發送回客戶端。

圖4 Diffie-Hellman私有集相交協議

（3）風險評估通知。用戶根據共享的點間隔來計算感染風險。如圖5所示。

圖5 接觸人跟蹤過程

Berke 等人考慮擴大系統采用率，即開發為軟件開發套件（SDK），并集成到已經收集了用戶位置的合作應用程序中，例如Google Maps。另外，可以采取中間步驟實現接觸人跟蹤，通過以PSI 設置安全服務器之前，就將已診斷用戶的散列點間隔發布到平面數據文件中，以供其他用戶下載。

3 去中心化的接觸人跟蹤系統

去中心化的接觸人跟蹤與中心化接觸人跟蹤大不相同。該系統將服務器的核心功能轉移到了用戶設備上，從而使服務器在接觸跟蹤過程中參與最少。主要通過在用戶設備上隨機生成臨時標識符，并且驗證感染情況以及暴露通知是在本地設備上進行而不是服務器上，有效增強用戶隱私性。

3.1 隱私保護接觸人跟蹤DP-3T系統

泛歐洲隱私保護近距離追蹤項目（PEPP-PT）提出了DP-3T系統[8]。DP-3T系統有三種協議：（1）低成本設計的接觸人跟蹤協議；（2）不可鏈接的接觸人跟蹤協議；（3）混合式的接觸人跟蹤協議。三種協議共享同一個框架，即智能手機都會在本地生成臨時標識符（EphID），并通過BLE進行廣播。其他智能手機將它們的時間指示和測量結果一起存儲以估計風險。以下只概述前兩種協議。

低成本設計方法的主要問題是在感染前的兩周內，被感染的用戶的EphID可鏈接。該方法具有良好的隱私屬性和較小的帶寬要求，每次工作都需要存儲32 Byte的密鑰，并且該數據是靜態存在的，可以通過內容分發網絡（Content Delivery Network，CDN）有效地提供服務。不可鏈接設計協議以增加帶寬為代價提供了比低成本協議更好的隱私屬性，并且該協議不生成包含陽性患者的臨時密鑰列表，而是將臨時標識符存儲在布谷鳥過濾器中，然后分發給其他用戶。

DP-3T系統中的參與者有：用戶、后端服務器、衛生當局。執行過程如下：

（1）低成本設計的接觸人跟蹤協議

①初始階段。用戶i隨機產生密鑰SKi,x，基于哈希計算，智能手機生成SKi,x=(SKi,x-1) 來輪換當時的密鑰SKi,x。運用HMAC-SHA256生成第x天用戶i的EphID，如下所示：

②廣播階段。用戶i以隨機順序定期通過藍牙將當前EphIDi,x廣播出去。同時，每個用戶將收到的EphID和曝光測量以及接近度存儲在本地設備。

③報告階段。如果用戶i進行COVID-19 核酸檢測，HA將通知用戶將密鑰SKi,x發送給后端服務器，然后用戶以當天為新的日期生成新的臨時密鑰，為以后做準備。

④跟蹤階段。用戶i被檢測為陽性患者，則后端服務器接受衛生當局授權，開始定期廣播密鑰SKi,x。其他用戶到后端服務器下載用戶i的臨時密鑰，用其密鑰重建用戶i的EphIDi,x列表進行匹配，計算風險。如圖6所示。

圖6 低成本設計的接觸跟蹤過程

（2）不可鏈接的接觸人跟蹤協議

不可鏈接的接觸人跟蹤協議是低成本設計的接觸人跟蹤協議的變體。在該設計中不使用系統生成的密鑰列表，而是智能手機在每個時期i內隨機產生一個32字節的seedi，并設置EphID為：

其中，H是加密哈希函數，LEFTMOST128 為接受哈希輸出的最左邊的128位。與低成本設計協議不同的是，在用戶診斷為陽性后，用戶可以編輯與敏感位置、時間或時間段相對應的EphID來避免掉一些自身隱私信息。

后端服務器會每隔兩小時創建一個新的布谷鳥過濾器，將感染者上傳的每對(seedi,i)計算EphIDi，然后插入到布谷鳥過濾器中。為了安全起見，需要外部哈希函數。后端服務器發布布谷鳥過濾器給用戶。所有智能手機都會下載它進行風險估計。

在不可鏈接的接觸人跟蹤系統中，將時期i包含在哈希函數中，以確保在最初廣播的時間之外不會重播EphID，不會導致假冒事件（無論EphID是否對應于后來報告陽性診斷的用戶）。布谷鳥過濾器的誤報率很低，但不是非零。為了避免不必要的警告用戶，通過修改布谷鳥過濾器的參數，使系統在幾年內只產生一個誤報。

Vaudenay 針對DP-3T 解決方案提供了詳細的安全性和隱私分析[40]。他認為分散化會引入針對隱私的新攻擊媒介。例如，低成本設計協議易受到Paparazzi 攻擊，即使用受信任的服務器跟蹤感染者。對手可以鏈接COVID-19 陽性病例報告的EphID，了解哪些藍牙標識符屬于同一設備。再者，DP-3T的白皮書中缺少許多實際細節。例如，目前尚不清楚如何實例化后端服務器；尚不清楚不同國家的衛生當局和后端服務器如何有效地相互協調，以迅速做出響應等問題。

3.2 使用分布式哈希表的接觸人跟蹤系統

Brack 等人提出了使用分布式哈希表（Distributed Hash Table，DHT）的接觸人跟蹤系統，該系統適用于其他的接觸人跟蹤系統（如DP-3T等），是他們的拓展而不是替代[41-42]。該系統主要采用DHT 為用戶構建一個去中心化的“郵箱”系統，每個參與者充當DHT 中的一個節點，都能夠存儲和檢索數據，并且可以實現用戶之間的加密和簽名消息的傳遞。此外，感染者可以通過請求HA 進行盲簽名來證明他們的感染狀態，并且不必透露他們的敏感數據[43]。未來能否使用這一方法，還需要做進一步的評估，才可以充分實施。該系統引入了去中心化思想，中央服務器在其過程中不參與，只有疾病檢測是由中央政府進行。利用DHT解決了感染數據分發問題，用戶之間直接相互通信，比Dingledine 等人的匿名代理訪問中心數據庫更具有伸縮性[44]。再者，使用盲簽名既驗證用戶ID感染狀態，又保證HA不能了解到用戶隱私信息。

執行過程如下：

（1）初始階段。系統為用戶生成非對稱密鑰對，將私鑰sku存儲在設備中，然后將公鑰pku作為臨時密鑰向附近的人進行廣播。同時，手機收集其他用戶發布的臨時密鑰。

（2）發布階段。當用戶診斷患有COVID-19 時，為了不對HA泄露個人歷史數據，感染者將臨時密鑰與一個唯一的隨機數ce相乘，從而盲化他在過去時期使用過的每個密鑰。假設Bob 是Alice 的接觸人之一，Alice 發送他盲化過的b(IDAlice)給HA，HA 用公鑰進行簽名，返還σ(b(IDAlice))給Alice。Alice 對簽名進行去除盲化，得到有效的簽名σ(IDAlice)。由于每個臨時密鑰都是公鑰，則Alice 用Bob 的公鑰對自己的IDAlice進行加密，形成了加密的IDAlice（EBI）。然后Alice將加密的IDAlice（EBI）和簽名σ(IDAlice)存儲在與Bob相對應的DHT地址上。

（3）輪詢階段。Bob 使用IDBob在DHT 里檢索，返回Alice存儲的信息。由于EBI加密原理，Bob可以使用相應私鑰解密Alice 的消息，得到IDAlice和簽名。這個簽名表明Alice的檢測結果。如圖7和圖8所示。

圖7 發布和輪詢機制的示例

圖8 盲簽名過程

使用DHT 雖然可以完全刪除中央服務器，但它也會產生之前沒有的新的攻擊，例如Sybil 攻擊或者試圖獲取特定郵箱控制權的惡意方。在CAUDHT 中，記錄的相遇過程中使用的臨時密鑰是發送出去的消息中的一部分，這意味著感染者可能能夠使用自己的相遇時間來識別出感染他的用戶。另外，應進一步關注DHT 創建的數據流量，在按計量的移動連接完成時，許多用戶將與DHT進行交互。為了確保哈希表不會溢出過時的數據，一旦不再有用的條目就需要刪除。這可以通過在每個數據上添加一個時間戳來指定何時可以安全地刪除它，但是時間戳超過兩周的DHT值將不再使用。

3.3 基于零知識證明的接觸人跟蹤系統

Joseph等人提出了基于ZKP的接觸人跟蹤系統[11]。系統主要采用ZKP協議（即允許一方在不露任何其他消息的情況下，使另一方相信某事是真實的）來確保經過身份驗證記錄他們的密切接觸人，防止任何人發送偽造信息。感染者可以在不必透露敏感信息的情況下，通過請求HA進行組簽名來證明他們的感染狀態。Joseph等人給出了正式的安全模型，為系統提供安全證明。在可擴展性方面，已將該系統實施到Android智能手機中，評估結果表明了該實用性[45]。

（1）注冊階段。政府選擇非對稱密鑰對(SKG,PKG)←KeyGen(λ) 并且發布公共參數(λ,H,PKG,u,u1,u2,g,g1,g2)[46]。每個用戶（假設Alice）在其應用程序中生成密鑰對{SKA,PKA} ，并將公鑰PKA和個人信息上傳至政府（GV）進行注冊，以便將密鑰與用戶身份關聯起來。政府為Alice隨機生成IDA以及σA=(SKG,{“-VE”,PKA,IDA,DATE})，然后返還給Alice。Alice運行Verify(PKG,σA,{“-VE”,PKA,IDA,DATE})檢查簽名是否有效。如果有效，Alice將IDA和σA存儲在智能手機中，每天重復此過程。醫生擁有醫院給予的用戶密鑰（GSK，GPK），用于生成組簽名。

（2）會話階段。用戶（假設Alice）在一定時間間隔向其他用戶廣播hA=H(“-VE”,IDA,PKA,σA)。對于已確診的用戶，將使用“+VE”包來表示已被醫生確認為肯定患者，其他用戶接收到驗證簽名后立即向政府報告。在特定時間段內，Alice 收到相同的哈希廣播的數量達到閾值數，則通過驗證協議確認其他用戶（假設Bob）是否為親密接觸人。

（3）檢測階段。若Alice 檢測出患病后，Alice 告訴醫生在可能傳播期間內她的親密接觸人。為了提供隱私，愛麗絲不會直接給醫生她的親密聯系人的標識符或公鑰。取而代之的是，她將為每個親密接觸人生成偽公共密鑰，然后和零知識證明一起發送給醫生，以證明他/她與其他用戶的密切關系。醫生用組簽名簽署信息，并把偽公鑰發到公告板上。

（4）跟蹤階段。在每天結束時（例如23：59），每個未感染（或未測試為陽性）的用戶都執行以下步驟：假設Bob 在公告板上檢索新信息，對于每個信息都運行Verify(σD,GPK,{h,B,DATE})驗證簽名。如果有效，則用戶已在DATE與確診的患者密切接觸過，如圖9所示。

圖9 接觸人跟蹤過程

該系統已經在Android 8.0 和Android 10.0 上進行了測試。為了描述方案中所需的延遲，在應用程序中測量了三個階段（會議、醫療和跟蹤階段）。Joseph等人執行包括廣播數據，接收和處理數據包的過程100 次，并計算每個階段的延遲。它們的平均延遲和標準偏差分別為94 ms（49），4 829 ms（19）和124 ms（4）。此外，他們還評估醫生驗證所需的時間，觀察到平均經過時間為（515±224）ms（標準偏差）。

為了提高系統的性能，Joseph等人建議可以將協議參數化到市級或州級，通過調整組簽名使得整個城市形成一個組（而不只是醫院），用戶只需檢查那些由醫生簽名的群組城市即可。這樣可以大大減少新感染者的數量。在實際問題上，該系統認為要在接觸跟蹤之后形成群集，以便查看密切接觸人與感染者的更多情況。另外，還考慮將公告板托管給具有訪問控制權力的COVID-19網站。只有授權的醫生可以在此網站上發布信息，并且醫生的信息將被隱藏。

3.4 接觸人跟蹤系統通用框架

為了更好地理解接觸人跟蹤系統的設計思想，通過分析各個系統的接觸跟蹤過程，總結出一個通用框架。如圖10所示。

接觸人跟蹤應用程序主要有四個模塊：設備搜尋模塊、服務器模塊、密碼管理模塊以及實用程序模塊。首次安裝應用程序時，通過一系列操作（密鑰生成、下載公鑰參數等）初始化密碼管理模塊，然后應用程序啟動后臺服務，并與其他模塊進行交互。

（1）密碼管理模塊。封裝了大多數加密算法操作，例如用于生成密鑰SK 的偽隨機數函數，用于生成假名gSK的橢圓曲線算法，衛生機構的盲簽名以及進行接觸風險計算的Diffile-Hellman 協議等。該模塊每天生成密鑰和對應假名(SK,gSK)分配給用戶，用戶在將假名上傳到后端服務器中并用于廣播。

（2）設備搜尋模塊。該模塊是一項后臺服務，用于監聽與用戶物理接近的其他用戶的廣播出來的假名數據包，并且可以自動過濾掉多余的不必要數據。例如在同一時間內多次發送的數據包以及已經曝光過后的數據。每隔一段時間，密碼管理模塊會生成新的假名發送給用戶來進行替換之前的假名，避免被惡意鏈接。用戶通過藍牙信標廣播假名并接收其他用戶的假名。

（3）服務器模塊。在該模塊中，后端服務器用于數據存儲作用，存儲每個用戶上傳的假名和盲簽名，還提供接觸人驗證信息的渠道。感染者獲取醫療機構的認證碼并對其進行盲簽名，然后將盲簽名以及假名等上傳到服務器供接觸人計算風險，盲簽名可以確保上傳的信息的準確性。

（4）實用程序模塊。該模塊處理常規作業，例如用戶界面操作，網絡IO 以及支持該程序的其他模塊。例如感染者與醫療機構的交互，獲取認證碼以及用戶上傳信息到服務器。

圖10 系統通用框架

表2 系統整體比較

4 接觸人跟蹤系統的比較

4.1 中心化系統與去中心化系統的比較

為了更好地了解中心化系統與去中心化系統，下面將從臨時標識符的產生、上傳臨時標識符、臨時標識符的曝光時間、風險計算、安全性、隱私風險、公開社交圖以及數據存儲等方面進行比較[47-48]。具體如表2，表3所示。

從中心化系統與去中心化系統的對比可以看出，兩者各有各的特點。中心化系統的臨時標識符由中央服務器生成，HA可以知道所有用戶的信息。例如，可以快速知道感染者是誰，與哪個人接觸過，在哪接觸。但是，該系統在安全方面存在誤報、中繼和重播攻擊。而去中心化系統注重保護用戶隱私，臨時標識符由本地設備隨機生成，減少了服務器在接觸跟蹤過程中的參與度。從實用角度來看，去中心化系統與中心化系統并不是非此即彼的關系，兩者可以互相協作。通過讓政府發起中心化數據管理系統，如我國的健康碼統一服務平臺，既能發揮數據完整、準確的優勢，也能夠為決策提供實時數據支撐。其次，讓企業以去中心化方式研發接觸人跟蹤系統，以用戶自愿參與為原則，共同發揮數據對于疫情防控的價值。

4.2 接觸人跟蹤系統安全性分析

ACT 系統涉及大量的參與者，除了用戶之外，還有醫療機構，應用程序開發人員等參與其中，并且對系統的安全性產生影響。安全性是確保系統完整性和可用性的同時，限制對手在系統中引入錯誤信息的能力。其進行攻擊的動機各不相同，范圍也是不盡相同。

本文將從衛生當局、感染者以及用戶（未感染COVID-19）三方面對文章中列舉的各個系統進行分析，該分析不同于4.3 節中安全性比較，并不說明系統遭受哪些攻擊，而是說明在這三方面下存在的安全威脅，如表4所示。

4.3 接觸人跟蹤系統整體比較

對文中提到的接觸人跟蹤系統從技術手段、用戶隱私風險、安全性以及系統中存在的不足等方面進行了比較，直觀地了解各個系統之間的特點。如表5所示。

基于MPC和PSI的接觸人跟蹤系統都依賴于GPS，不僅計算精度較差，而且計算過于繁瑣，缺乏實際操作情況；TraceTogether 系統在新加坡的使用率較好，但TraceTogether 是中心化系統，高度依賴政府，可能存在用戶對隱私的考慮；DP-3T系統設計了多種接觸人跟蹤協議，考慮適用于多個場景，但系統還需要解決Orwell攻擊、Matrix 攻擊等攻擊方式；基于DHT 的接觸人跟蹤系統充分利用了分布式哈希表和盲簽名，可以避免隱私泄露和安全攻擊，但是缺乏操作經驗，可能存在其他系統問題；而基于零知識證明的接觸人跟蹤系統是這些系統中表現較好的，即有組簽名和ZKP的技術支撐，而且運行測試結果理想。隨著研究的逐步深入，會有更多接觸人跟蹤系統接踵而來。例如從ROBERT 演變而來的DESIRE系統，該系統是混合式接觸人跟蹤系統，它結合了中心化和去中心化系統中的精華[49]。在該系統中，加密生成的私人令牌（Private Encounter Token，PET）的使用為用戶提供了更多的控制權，避免了收集接觸人數據進行社交圖分析。其次，服務器上存儲的所有數據均使用存儲在本地設備上的密鑰進行加密，如果服務器發生數據泄露，也不會影響到本地設備的數據。最后，風險分析和通知由服務器處理，這限制了其他用戶發起枚舉和鏈接攻擊的可能性。

表4 系統安全性分析

5 結束語

接觸人跟蹤系統在許多國家和地區得到廣泛應用。通常情況下，該系統的下載量是作為用戶可接受性的指標。例如，在澳大利亞首次發布Covid-Safe的兩周內，就有超過500 萬用戶下載了該系統。同樣，印度的Aarogya Setu的下載量突破了1.14億。除此之外，還需要如會話時間長度、應用程序的加載時間等指標來衡量接觸人跟蹤系統的影響和有效性。本文介紹了各個系統的特點，對中心化系統和去中心化系統進行了對比。下面將從用戶的角度提出一些相關問題。概括起來有以下幾個方面：

（1）電池消耗問題。電池消耗過快是系統經常出現的問題。電池的消耗受許多因素的影響，例如系統處理器的利用率，交換的消息數等。大多數接觸跟蹤系統都依賴BLE 通信協議來與對方交換信息，因為BLE 協議可以使系統定期與對方交換少量數據，可以降低電池消耗。但是，有些系統使用的是蜂窩基站三角網定位[50]或GPS來與服務器進行通信。

另一方面，系統與服務器的通信依賴于傳統的安全應用協議，例如HTTP。這些協議對電池利用率的影響與服務器交換信息的數量有關。去中心化系統的上載率低于中心化系統的上載率。但是，中心化系統在設備上的處理性能更好。

（2）自動接觸人跟蹤與人工接觸跟蹤的協調。接觸人跟蹤可以使用技術手段來完成大部分的自動化數據處理，匿名掉不必要的用戶信息，但是系統的最終安全性還是離不開機構和人工的協作。早期將藍牙技術用于接觸人追蹤的新加坡技術專家也認同自動接觸人跟蹤不可能完全取代人工接觸跟蹤。通過人工接觸跟蹤，專業人員可以根據專業知識和用戶分析現狀情況，可以幫助用戶消除不必要的焦慮并提供其他有用的建議。

（3）接觸人跟蹤的透明度問題。系統透明度是用戶廣泛采用的關鍵。公眾真正關心的是信息的收集過程以及各方對系統的使用。發布系統源碼可以提高系統的透明度和信任度，因為研究專家和學術界可以仔細檢查實現的隱私和安全功能。但是這會給系統帶來更多的風險。必須知道的是使用任何系統都需要對其有一定程度的信任。這包括信任開發人員，獨立的測試和驗證團隊，服務運營商以及所有者[51-52]。

（4）接觸人跟蹤的未來發展。經過COVID-19大流行后，各國都出現大規模使用接觸人跟蹤系統的趨勢。如果這些系統在大流行開始之前就已經充分準備，經過多次測試，就能更好地為疾病大流行做準備。全球已經開展大量的研究活動，以開發下一代接觸跟蹤系統，以便在世界面臨類似甚至更危險的疾病大流行時可以立即進行部署[53]。未來需要更多地提高接近精度，只有精確地獲取信息才能做到精準預防。另外，COVID-19 危機暴露的隱藏信息之一是必須解決隱私問題，以使公眾更廣泛地接受它。上述的所有接觸人跟蹤系統都不能被視為完全去中心化結構，它們都以不同的程度使用了中央服務器。未來應當研究使用某種形式的對等網絡以促進用戶設備之間的隱私保護信息共享的去中心化系統。

表5 接觸人跟蹤系統比較