无线医疗传感网数据安全与隐私保护问题研究*

丁邢涛，钟伯成，方旋

(上海工程技术大学 电子电气工程学院，上海 201620)

无线医疗传感网数据安全与隐私保护问题研究*

丁邢涛，钟伯成，方旋

(上海工程技术大学 电子电气工程学院，上海 201620)

本文对无线医疗传感网的数据安全与隐私保护进行了综述，描述了无线医疗传感网的网络结构，着重分析了它的特性及安全需求，并详细讨论了无线医疗传感网所面临的网络攻击。从无线医疗传感网的机密性、访问控制、身份认证、隐私保护等安全需求方面进行了相应的研究，最后指出了对无线医疗传感网安全与隐私可能的未来研究方向。

医疗传感网；访问控制；隐私保护；密码学

引 言

随着可穿戴生物传感器和无线通信技术的飞速发展，无线医疗传感器网络(Wireless Medical Sensor Networks, WMSNs)已成为一个富有前景的技术，它将彻底革新在家里、医院寻求医疗的方式 。与传统医疗面对面检查病人身体方式不同，在无线医疗传感器网络里,患者健康相关的数据可以实现持续和实时的远程监控，然后进行数据处理，继而转移到医疗数据库。这个医疗信息可以由医疗人员、研究人员、政府机构、保险公司和病人共享和访问。医疗传感网在紧急电子医疗、家庭监测、医疗数据的传播、远程手术和虚拟医院中都有许多成功的案例。然而发展医疗传感网新技术不能忽略病人的数据安全和隐私所面临的种种威胁。病人的身体特征参数具有敏感性，一旦病患信息泄露有可能使他丢失工作，亦或是得不到保险公司的理赔。无线医疗传感网中的病人信息可以被医生、亲人访问，然而当未授权的用户访问这些隐私数据后，一方面出于商业利益他们会与保险公司进行交易；另一方面对这些医疗数据进行篡改，然后发送给医生，医生通过错误的医疗信息对病人进行错误的诊断，会对病人的生命健康造成极大威胁。因此无线医疗传感网安全与隐私问题就变得极为重要。

1 无线医疗传感网网络结构

医疗传感网的典型结构如图1所示。大规模的MSN可以容纳数万病人局域网络(PAN)。每一个PAN由一些生物传感器节点和一个本地处理单元(如平板电脑、智能手机或笔记本电脑)构成。传感器节点(无论是植入或可穿戴)定期收集病人健康信息，并将其转发给本地处理单元，然后本地处理单元将收集到的个人健康信息上传到网络服务器。因此，用户可以发出命令以访问所收集的病人健康信息。需要注意的是，传感器节点只与相应的本地处理单元进行通信。这是因为在一个大的医疗机构，对于资源有限的传感器节点要对数百个用户进行身份验证无疑是困难的。因此，由本地处理单元(或网络服务器)认证用户身份，并由本地处理单元节点向生物传感器节点发出命令。

图1 无线医疗传感网网络结构

因为收集到的数据涉及病人的隐私信息，且这些信息在医疗诊断和治疗中发挥着至关重要的作用。为了确保病人数据安全和保护他们的隐私，必须严格限制对这些数据的访问，只有授权用户才有资格访问。否则将会出现以下问题：由于传输信息的敏感性及无线网本身的特性，医疗数据在传输及存储过程中的不当操作可能会引起安全问题。由于医疗数据包含病人的各种生理数据及所处位置等情况，如果攻击者对数据窃听或窜改，将可能造成误诊，对病人造成生命危险；如果这些数据被保险公司窃取，可能会引发病人的医疗保险问题；关于病人隐私的医疗数据(如病人患敏感疾病) 的泄露可能会引起病人的隐私问题。

2 医疗传感网特点及安全需求

2.1 无线医疗传感网的特点

(1) 数据传输速率

许多无线移动网络(MANET)和无线传感网络(WSN)被用于基于事件的监控，其中事件也许发生在不规则的时间间隔。相比之下，医疗传感网被用于监控人体的生理活动和行为，这些活动和行为发生更有周期性，进而使得数据流显得相对稳定。

(2) 移动性

医疗传感网中的节点要么静止(例如在走廊中的传感节点)，要么相对静止(例如在同一个人身上的所有传感节点)。

(3) 高效性和有效性

人体传感器收集的信号能被有效地处理，来获得可靠准确的生理评估。

(4) 延 迟

尽管节省能量是很重要的，但在医疗传感网中更换电池比在WSN中换电池更容易，因为WSN中的节点在部署后不容易重新获取。

(5) 效益和效率

节点收集的信号可以被有效处理得到精确生理数据。

2.2 无线医疗传感网的安全需求

(1) 数据机密性(data confidentiality)

为防止患者的医疗数据不被泄露，数据需要保护，保证隐私信息只能被已经授权的用户访问。

(2) 数据完整性(data integrity)

防止数据的篡改是至关重要的，一旦病人数据被泄露将会造成灾难性的后果。所以这就需要保证数据的完整性，而且完整性的安全方案需要考虑到数据的动态更新。

(3) 访问控制(access control)

在医疗传感网中需要加强对病人医疗数据的访问控制，这样就能避免非授权用户访问病人医疗信息。参考文献[4]针对数据安全访问的需求进行了详细分析，首先需要设计良好的细粒度数据访问控制机制来保证数据不被未授权者获取；其次，安全访问隐私数据的合法授权者要有相关的记录信息，具有访问可追溯性；然后访问者的数据访问权限随时可以更改、替换与撤销；最后要保证数据访问可以抵御重放攻击。

(4) 身份认证(user authentication)

无线医疗传感网中要保证合法使用者发送和接收声明的数据。医疗数据在无线信道传输过程中很容易被非授权用户访问与窃取，所以考虑无线医疗传感网的用户身份认证对于解决其安全问题是切实可行的。

(5) 隐私保护(privacy protection)

确保用户在无线体域网中的信息受到保护，不受到非法攻击，包括生理体征数据、地理位置信息以及用户个人的身份识别码信息等。

(6) 数据新鲜性(data freshness)

确保无线体域网中的节点收到的数据是最新的，不是重发之后的旧消息，可以避免重放攻击。

3 医疗传感网面临的网络攻击

网络安全威胁和攻击给无线医疗传感网的安全与隐私带来了巨大的挑战。医疗传感器采集到病人敏感的生理数据并在开放的无线信道上进行传输，与有线网络相比更容易受到攻击。因此对病人敏感的生理信息必须采取安全措施，最大程度减少这些攻击。

3.1 对病人生命特征的监测与窃听攻击

对于病人隐私来说最为常见的威胁是攻击者在无线信道上窃听数据包，获得传输的数据。此外攻击者还可能侦测到病人信息内容，包括信息ID、时间戳、原地址、目标地址和其他相关信息。

3.2 信息传输攻击

众所周知，无线通信没有距离限制，这也导致了开放的无线信道易受攻击。医疗传感器将病人和环境信息发送给医师或医院服务器。攻击者先从无线信道上截获这些生理数据，并修改某些参数。然后把这些修改过的数据发送给医师或远程服务器，医生根据这些修改过的医疗信息可能对病人做出错误诊断，继而威胁病人的生命安全。信息传输攻击分为两类：①阻塞：当无线医疗传感网节点向攻击者妥协时，攻击者就会非法访问传感节点数据(密钥、传感器类型)。②篡改：攻击者从无线信道俘获传感节点并提取出病人的医疗数据，然后篡改病人信息，导致医生、护士、亲属家人得到病人虚假的医疗数据。

3.3 路由攻击

路由攻击是在网络层进行的，而且是多跳网络。当攻击者偷窃到数据进行篡改后有选择性地将这些数据包转发到远程服务器，从而导致错误警报。参考文献[1]通过ADMR路由协议把传感数据发送到远端，攻击者可能会篡改俘获数据包的地址字段，然后转发给下一节点。这样一来就会破坏路由途径，甚至会造成无线循环路由问题。路由攻击可以分为4类：

(1) 选择性转发攻击(Selective Forwarding attack)

图2 选择性转发攻击

在多跳网络环境中，正常情况下节点会将数据包全部发送到基站或远程服务器，然而某些恶意节点拒绝转发数据包，简单丢弃一些数据包，同时会选择性发一些数据包或将一些报文修改后再转发。选择性转发攻击如图2所示。

(2) 黑洞攻击(Sinkhole attack)

攻击者引诱其他节点向它发包，从而创造以攻击者为中心的一个黑洞。比较典型的攻击方法是攻击者让其他节点根据路由算法相信它是最好的转发选择，从而吸引其他节点向它发包。图3说明了黑洞攻击，一旦攻击者进行黑洞攻击得手后，整个网络也就处于其他攻击之内,例如窃听攻击、选择转发攻击和黑洞攻击，而黑洞攻击往往不容易被检测到。

(3) 女巫攻击(Sybil attack)

一个恶意节点冒充多个合法节点的身份。女巫攻击能有效地降低容错机制性能，对基于位置的路由协议的安全也能产生很大的威胁。因为基于位置的路由需要交换彼此的位置信息，一个女巫攻击节点可以使得其他节点相信很多位置上有它存在，从而导致路由混乱。图4是女巫攻击示意图。参考文献[5]、[6]讨论了更多的路由攻击，主要包括睡眠攻击(Sleep attack)、公平攻击(Fairness attack)、虫洞攻击(Wormhole attack)。

图3 黑洞攻击

图4 女巫攻击

(4) 拒绝服务攻击(Denial-of-Service attack)

[7]指出拒绝服务攻击可以减弱无线医疗传感网预期性能，从而对病人生命安全造成一定威胁，同时也介绍了无线医疗传感网在物理层、数据链路层、网络和路由层以及传输层受到的拒绝服务攻击，如表1所列。

表1 无线医疗传感网在各层受到的拒绝服务攻击

① 物理层：物理层最常见的攻击是阻塞和篡改。阻塞是指无线电频率干扰，攻击者可以使用很少的节点来阻塞整个网络。这种方法不能阻塞规模较大的网络，由于无线医疗传感网是一个小型网络，所以网络阻塞的机率较高。有时攻击者从物理上进行篡改医疗传感节点，一个篡改攻击者可能会损坏或者更换节点来获取病人的信息。

② 数据链路层：这类攻击主要分为冲突、不公正和耗尽攻击。冲突攻击是指当敌手在相同频率下同时与发送者发送数据包，导致数据包冲突和整个网络性能退化。不公正攻击指的是介质访问控制层的优先级机制被打破，从而影响整个网络性能。耗尽攻击是指当一个自我牺牲的节点一直使信道繁忙，正常节点的电池就会耗尽。

③ 网络和路由层：路由破坏在多跳网络中易造成DOS攻击，最常见的路由攻击就是电子欺骗，这时攻击者通过创建路由循环使网络变得复杂或是重发数据包。此类攻击还包括Sinkhole攻击、Sybil攻击、Wormhole攻击等。

④ 传输层：传输层的主要攻击是泛洪和重编程。泛洪就是攻击者反复发送控制信息来耗尽存储资源。重编程指攻击者破坏两个终端合法节点的链接，使得节点请求重传丢失的数据帧，结果它破坏了网络通信，耗尽了网络资源。

4 研究进展

传统的安全策略仅引入密码技术来实现医疗传感网的安全，然而由于无线医疗传感网的特性和其容易受到节点各种不当行为影响，传统的密码技术无法满足安全与隐私要求。恶意或被妥协节点可能会在病人隐私上发动攻击，失效的节点可能由于一个软件错误以至于影响它正常运行。显然，行为不当的节点并不能仅仅靠密码技术解决。医疗数据被攻击者自由修改，被妥协的节点可能注入错误信息。参考文献[2]基于此问题使用信任值来识别恶意/失效的节点，进而把它们从医疗传感网中排除出去。分布式网络的个人实体信任信息可以用来进行数据聚合、辅助路由恶意节点检测，甚至时间同步。信任管理已成为一个重要的互补函数加密机制。

参考文献[2]提出一种抗攻击的信任管理机制，命名为ReTrust，介绍了ReTrust协议的信任计算过程，包括：抗攻击的直接信任管理、抗攻击的推荐信任管理、抗攻击的非直接信任管理。通过恶意节点检测对抗攻击信任管理方案作出了性能评估。引入MND度量标准来描述恶意节点检测过程。对于间歇性(on-off)攻击和诋毁(bad-mouthing)攻击都有很好的效果。实验表明，随着恶意节点的增多，ReTrust系统能够保持稳定。除此之外，用ReTrust还能实现CTP来评估网络吞吐量的提高。

参考文献[4]提出了无线体域网安全存储及数据访问控制的要求，总结了无线体域网的安全及隐私保护的各种方法。无线局域域网中的用户众多，且通常分属不同的群体或角色，因此其访问控制应具有可扩展性，以满足用户的动态加入与退出；应支持细粒度的访问政策，为不同的用户制定和执行不同的访问权限。无线体域网可能会面临多种不同的情况，过于严格和不灵活的数据访问控制可能会妨碍医护等授权用户及群体及时获取病人的医疗数据，在病人已经无意识或无法回应的紧急情况下，这一问题尤为严重。因此无线体域网的访问控制应具有灵活性，允许病人按照自己的意愿，灵活地指定其数据访问策略；应允许访问策略动态适应环境，如随时间、地点或与患者相关的某些事件发生而改变。

参考文献[8]提出了MAACE协议，该协议能够保证专业人员访问病人数据。该安全机制基于椭圆曲线密码算法，支持相互认证和访问控制。除此之外，提出的安全方案能够抵抗实时攻击，如重放攻击(Replay attacks)，拒绝服务攻击(Denial of Service)。MAACE结构由三层构成，分别是传感器网络层、协调网络层、数据访问层。该安全方案的工作过程如下：首先传感器网络层将病人数据发送到协调网络层(如掌上电脑、笔记本电脑、智能手机)，然后由网络协调层把数据发送到数据访问层。该安全方案虽然提供了足够的安全，但容易受到信息泄露的影响，从而使病人隐私处于危险之中。

参考文献[9]为病人监护系统提供了高效的安全方案，此方案使用了基于公钥的基础设施。该安全方案由三部分组成：病人、医疗服务系统和安全基站。使用伪逆矩阵得到一对共享密钥，通过双边密钥握手方法在医疗服务系统和安全基站或是病人和安全基站建立安全通信。因为安全基站拥有病人和医疗服务系统的密钥先验知识，所以病人身上的任意一个节点都可以提供从病人到安全基站的通信策略。除此之外，该安全方案能够满足数据机密性安全需求。

参考文献[10]在智能家居环境中基于ZigBee技术提出了一个实时安全架构。此框架有如下特点：①在身体区域传感器网络中无线监测信号的能力；②低功率以及数据传输可靠；③通过体域网实现医疗数据安全传输；④无线网络高效的信道分配；⑤使用最适结构实现最优数据分析，使处理和计算能力最大化。本文使用安全的密钥管理协议能够在体域网中建立安全会话密钥，这是因为密钥管理协议能够提供增强安全服务的加密密钥，比如数据机密性、身份认证和数据完整性。

参考文献[3] 就无线医疗传感网的安全与隐私问题提出了一套新颖、轻量级的系统。这个系统的基本思想是：当一个用户登录服务器后，根据这个用户的特权允许发布命令并访问个人的健康信息或者控制传感节点。为了实现这个目的，提出的这套系统引用了可证明的受保护的代理签名(proxy-protected signature by warrant(PSW))。PSW是一种特殊的数字签名，它包括两方参与者：原始签名者和代理签名者。系统包含4个阶段：系统初始化阶段、用户加入阶段、常规使用阶段、用户命令阶段。作者从存储开销、执行时间、能量消耗三个方面评估了提出的系统的安全性能。传感器节点程序分别运行在TelosB和MicaZ节点上。

参考文献[11] 从加密算法、分组密码工作模式和消息认证算法三个方面研究了无线传感网络安全问题。没有认证机制的加密算法是不安全的。消息认证算法既能保证数据的完整性，还能解决身份认证问题。文献基于TinySec通信平台，分别从加密算法、工作模式和消息认证算法三个方面分别在MicaZ和TelosB两个节点进行了实验评价分析。通过实验数据文章细致研究了分组密码以及分组密码参数的改变对于无线传感网能量消耗的影响，提出了各种算法的结合来为无线传感网提供足够强度的安全等级。

5 未来可能的研究方向

由于无线医疗传感网的节点收集的都是有关于病人敏感的生理信息，所以设计出各种机制实现对病人数据的保护是很有必要的。对于访问控制的隐私保护，可以设计一种自适应数据安全访问算法，例如与神经网络算法的结合。在不同的环境中，它能够侦测出环境危险“级别”的高低：在公共环境中(如医院、学校)，要求数据的访问权限高；而在家里就可以降低这种访问权限。病人的生理信息与他们的其他信息(如姓名、联系电话)是联系在一起的，考虑到病人的隐私性，可以将这些信息分离开来，可以仿照居民身份证号码的形式将病人的姓名以数字编号代替，这样医生在访问病人信息时就看不到病人的其他身份信息。

考虑到无线医疗传感节点能量严格受限，在提出一种针对解决无线医疗传感网安全与隐私问题的安全方案时，必须考虑到该安全协议所产生的能量开销、存储开销和执行时间。每一种安全方案都不可避免地会产生通信和计算开销，因此安全协议应该具有低成本、高效益。

关于无线医疗传感网安全与隐私问题还有待于进一步研究，未来可能的研究方面总结如下：

① 公钥密码体制(public key cryptography)：最近研究表明公钥密码算法对医疗传感器是可行的。但是在时间复杂度方面，公钥密码算法花费昂贵，因此对公钥密码算法需要进一步的探究。

② 对称密码体制(symmetric key cryptography)：在时间复杂度能量消耗方面，对称密码易实施且比非对称密码优越。但是对于无线医疗传感网来说，对称密码不适合密钥分发。因此在无线医疗传感网中设计高效且灵活的密钥分发协议是很有必要的。

③ 安全路由(secure routing)：通常情况下，当前大多数的安全路由协议都是为静止网络设计的。然而由于医疗传感网中病人的活动性，医疗传感网需要支持可移动性多跳网络协议。此外公钥的真实性也需要进一步的研究。

④ 安全和服务质量(quality-of-service)：大多数医疗传感网的应用只考虑到病人数据安全和隐私保护，然而我们在考虑安全问题的同时也要对服务质量给予足够重视。未来需要从安全和服务质量两个方面共同评价无线医疗传感网。

对于无线医疗传感网安全与隐私问题[42]，不仅要从技术上着手，政府机构还需要做出努力，每个国家根据自身发展情况制定出相应的法律法规，使无线医疗传感网的使用能够真正惠及大众。

结 语

无线医疗传感网被认为是富有前景的医疗技术，通过无线医疗传感网病人的一切信息都在掌控之中。考虑到无线医疗传感网极易受到攻击，而且病人的数据都是高度敏感的，其安全与隐私问题亟待解决。本文阐述了医疗传感网的特性及其安全需求，分析了无线医疗传感网所面临的网络攻击，分别从医疗传感网中的机密性、访问控制和隐私保护等安全需求方面总结无线医疗传感网安全与隐私研究进展，并对无线医疗传感网的访问控制方面的研究进行了展望，指出了未来的研究方向。

参考文献

[1] Dimitriou T,Loannis K.Security Issues in Biomedical Wireless Sensor Networks.In Proceedings of 1st International Symposium on Applied Sciences on Biomedical and Communication Technologies (ISABEL’08)[C]//Aalborg,Denmark,2008.

[2] Daojing He,Chun Chen,Sammy Chan,et al.ReTrust:Attack-Resistant and Lightweight Trust Management for Medical Sensor Networks[J].IEEE Transactions on Information Technology in Biomedicine,2012,16(4):623-632.

[3] Daojing He,Sammy Chan,and Shaohua Tang.A Novel and Lightweight System to Secure Wireless Medical Sensor Networks[J].IEEE JOURNAL OF BIOMEDICAL AND HEALTH INFORMATICS,2014,18(1).

[4] Ming Li,Wenjing Lou,Kui Ren.Data security and privacy in wireless body area networks[J].Wireless Communications,2010,17(1):51-58.

[5] Muraleedharan R,Osadciw L A.Secure Healthcare Monitoring Network Against Denial-of-Service Attacks Using Cognitive Intelligence[C]//In Proceedings of Communication Networks and Services Research Conference,Halifax,NS,Canada,2008.

[6] Misic J,Amini F, Khan M.On Security Attacks in Healthcare WSNs Implemented on 802.15.4 Beacon Enabled Clusters[C]//In Proceedings of IEEE Consumer Communication and Networking Conference (CCNC’07),Las Vegas,NV,USA,2007.

[7] Wood A D,Stankovic J A.Denial of Service in Sensor Networks[J].IEEE Comput,2002(35):54-62.

[8] Le X H,Khalid M,Sankar R,et al.An Efficient Mutual Authentication and Access Control Scheme for Wireless Sensor Network[J].Healthcare,2011(27):355-364.

[9] Haque M M,Pathan A S K,Hong C S.Securing u-Healthcare Sensor Networks Using PublicKey Based Scheme[C]//In Proceedings of 10th International Conference of Advance Communication Technology,Pyeongchang,Korea,2008.

[10] Dagtas S,Pekhteryev G,Sahinoglu Z,et al.Real-Time and Secure Wireless Health Monitoring[J].Int. J. Telemed. Appl,2008.

[11] Jongdeog Lee,Krasimira Kapitanova,Sang H Son.The price of security in wireless sensor networks[J].Computer Networks,2010(5):2967-2978.

丁邢涛(研究生)，主要从事无线医疗传感网隐私与安全问题研究。

Research on Data Security and Privacy Protection of Wireless Medical Sensor Network

Ding Xingtao,Zhong Bocheng,Fang Xuan

(Electronic Institute of Electrical Engineering,Shanghai University of Engineering Science,Shanghai 201620,China)

In the paper,the security and privacy of the wireless medical sensor network are reviewed,the network structure of wireless medical sensor network is described,its characteristics and security requirements are analyzed,and the network attack of the wireless medical sensor network is discussed in detail.Based on confidentiality,access control,identity authentication,privacy protection and safety requirements,the corresponding research is analyzed.Finally the security and privacy of the wireless medical sensor network possible future research directions are pointed out.

medical sensor network; access control;privacy protection;cryptography

上海高校青年教师培养资助计划专项基金(ZZGCD15088)。

TP393

A

士然

2016-12-22)