可穿戴医疗设备安全易用是趋势

随着全球人口老龄化加剧，空巢话趋势明显，慢病管理带来的巨大挑战，大众对自我运动量化的需求，以及近年来网络技术和智能感知设备的飞速发展，都是推动医疗可穿戴设备兴起的动因。健康监测类可穿戴设备，如计步器、智能手环等通过采集个人日常生活、运动的数据，通过网络传输到统一的平台进行存储、共享，便于以后对整体数据的分析;专业辅助诊疗类设备，如心电监测、血糖监测等，可实现对佩戴者的生命体征数据的实时采集，为医生的诊疗提供客观的实时的数据支持。

图1 可穿戴设备的网络模型

可穿戴设备以前所未有的方式增强我们采集、分析和利用数据的广度和深度，与此同时也产生了巨大的安全隐患。可穿戴设备的网络模型如图1所示，可穿戴设备采集的个人数据通过互联网的方式传递给云端或者本地的数据服务器进行数据存储，不同身份的数据用户，通过不同的权限去访问服务器的数据。该网络以人为核心，网络中数据涉及到人们的日常生活，如使用者的位置、家庭住址、工作单位、身体健康状况等一系列的隐私信息，若不对这些数据的安全加以保护，将造成严重的用户隐私数据泄露。

医疗可穿戴设备用户安全问题的国内外研究现状

可穿戴设备的网络模型从传统的无线传感器网络发展而来，并与云计算技术紧密相关。我们将结合无线传感器网络、云计算这两个领域的安全研究工作，以使用用户的隐私保护为中心，对可穿戴设备网络中的关键安全点，使用用户的隐私保护与管理研究(包括用户的匿名认证、身份隐私保护、运动轨迹隐私保护)的国内外研究现状进行全面的分析，从理论和技术上深入分析医用可穿戴设备面临的各种安全挑战。

用户身份信息隐私保护方法研究现状

用户的身份认证是保护用户数据应用安全的至关重要的措施。可穿戴设备数据传输网络中的使用用户身份认证主要包括三个内容：身份认证、匿名性和动态性。

用户身份认证确保了数据存储服务器能够区分合法的参与用户和不合法参与用户。此外，为了实现使用用户的匿名性，又要求数据访问合法的参与用户之间相互不可区分。实现匿名身份认证的传统方法是利用服务器给一群合法的参与用户分配统一的身份密钥。这个统一的密钥可以使得合法参与者通过服务器的身份认证，而服务器又无法得知参与者的具体身份信息。近些年，许多文献研究了无线传感网络的匿名认证问题。Zhu Jian-ming等人在《A new authentication scheme with anonymity for wireless environments》文章中提出了一个针对无线传感网络环境的匿名认证协议，此协议无法提供双向的认证。随后，Lee CC等人在《Security enhancement on a new authentication scheme with anonymity for wireless environments》文献中弥补了这一缺陷。一些文献继续提高了匿名认证协议的安全性和效率。另外一些文献将研究重心放在身份认证问题上。

用户身份的匿名认证方法研究现状

使用用户的身份信息不仅仅在身份认证阶段需要保护，在数据采集、反馈等阶段，用户的身份信息都需要得到保护。匿名技术是一个保护用户身份信息的重要技术，它保证了参与用户和服务器通信时，所有的身份信息都应该被移除或者得到保护。在可穿戴设备的网络模型中，用户的身份信息易受到推测攻击(Inference Attacks)和追踪攻击(Tracking Attacks)。Christin等人提出了采用假名来保护用户身份信息的方法。Dingledine等人等研究了如何利用“洋葱路由”(The Onion Router， TOR)来保护路由信息的匿名性。Xiong等人初步研究了如何高效率地实现群体感知参与用户的匿名性。

用户位置和运动轨迹的隐私保护方法研究现状

许多医用可穿戴设备应用，例如运动量采集，为了为用户绘制运动路线图和计算平均运动量，需要参与用户上传自己数据采集的地理位置和时间点，在上传一系列时间与地理位置信息时，使用用户的移动轨迹便暴露给服务器。因此，设计必要的机制来保护参与用户的移动轨迹十分必要。对于可穿戴设备网络中传感器位置隐私的研究的相关方法可以大致分成三类。

第一类方法利用参与用户上传伪造的位置信息的方法来保护用户位置隐私。此方法的基本思路是：移动用户同时发送正确的位置信息和一系列错误的位置信息给服务器。因为服务器无法区分正确的位置信息和错误的位置信息，所以参与用户的正确位置信息得到保护。

第二类方法利用k-匿名性(k-anonymity)来保护移动传感器的位置隐私。其基本思想是保证参与用户的位置信息无法和其他参与用户进行区分。对于网络位置隐私保护，Minho等人[18]研究了基于人口密度图来实现对参与用户位置隐私保护的方法。此方法利用了概率k-匿名性的思想，本质是对地图的一个划分，保证每一个划分的子区域在t时间段上至少有1个参与用户的概率不会小于p。这样，即便攻击者知道了参与者来自哪个区域，也无法与该区域的其他参与用户进行区分。从而实现对参与用户位置隐私的保护。

第三类方法主要用于保护传感器消息源。防止攻击者在截获通信消息后，对消息源的反追踪。

医用可穿戴设备用户安全问题的发展方向展望

穿戴设备网络中需要大量普通用户的参与，参与用户的身份、位置以及其采集的数据涉及到用户的个人隐私。如何既保护用户的隐私，又能方便用户完成设备采集数据的上传汇总是该应用面临的一大挑战。相关安全技术在未来的发展中建议考虑以下几个问题。

首先用户对数据服务器之前建立一个统一认证平台，从新用户注册，可穿戴设备采集数据的上传，用户退出三个用户使用环节，分阶段进行用户安全性审核，只有通过统一认证平台认证的用户，才可以对数据进行访问。

其次建立相应的用户安全等级模型，对不同的访问用户进行分级别授权管理，严格做好不同权限的用户对数据的访问范围和读取权限的控制。

最后除了在技术上解决相关安全问题之外，国家要加强对医用可穿戴设备的网络监管，在政策法规和提高使用者的安全意识上面多下功夫，从而进一步避免使用者的隐私数据泄露。

可穿戴设备所面临的安全焦点问题研究，纵观国内外相关的研究，已经取得了很大的成果，但是在很多方面仍存在欠缺和不足。如何既保护用户的隐私安全，又能方便用户，仍是医疗可穿戴设备广泛应用前所面临的一大挑战。