黄　兴，张爱清，叶新荣，谢小娟

(安徽师范大学 物理与电子信息学院，安徽 芜湖 241000)

0　引言

随着科技发展和生活水平提高，医疗行业也在稳步快速发展，移动医疗系统正在逐步代替传统的临床医疗在部分医院尝试应用。移动医疗，由智能手机与可穿戴式/植入式医学传感器采集患者血压、血糖、心脉等身体健康信息，然后通过可携带式设备将信息通过无线网络发送至指定医生或医疗机构。利用医疗传感器通过无线网实时监测病人身体信息，建立高效率的监测和疾病防治体系，不仅能够依据用户身体健康信息制定健康计划，而且能够评估健康风险，可以有效避免“病后就医”而导致错过最佳治疗期，危及病人生命的问题[1-2]。

移动医疗系统的普及给人们带来了极大便利，但由于该系统通过无线网络和手机终端传递病人健康数据，所以数据传输的可靠性和安全性也变得尤为重要。首先，医疗机构需要通过认证以保证其作为一个合法用户参与医疗服务。其次，为了保护用户身份隐私，病人的真实身份信息应只对所预约的医生可见。最后，如果病人健康数据在传输过程中遭到泄露或者修改，医生可能会给出错误的治疗方案，对病人生命造成严重的威胁。所以医疗系统中的安全问题显得尤为重要[3-4]。

有许多学者针对移动医疗系统提出了隐私保护方案。文献[5]等实现了用户PHI(Physical Health Information)隐私保护，存在用户身份信息泄露问题，文献[6]中设计的方案计算开销大，计算复杂度高。对于完善移动医疗系统来说，不论是解决用户身份隐私或是身体健康信息数据的保护问题，还是降低计算开销等都是巨大的挑战。所以基于上述问题，本文提出了移动医疗系统中轻量级的匿名数据安全传输方案。

1　相关工作

目前，很多针对移动医疗的隐私保护提出了方案。文献[7]指出了当前电子病历的增加与网络共享所带来的安全问题，并提出了一个反馈方案，当病人医疗信息遭到非法访问时系统将会告知患者。文献[8]设计了一个轻量级的隐私保护代理数据传输方案，实现了数据和身份隐私保护，但是其计算复杂度高且存在秘钥托管问题。文献[9]基于电子健康服务提出了一个包含有效协议的框架，提出了两种风险自适应认证技术及与之对应的不同加密算法处理数据，但病人身份隐私没有得到保护。文献[10]针对移动健康系统提出了一个可以抵抗多种攻击的方案，但是该方案仅针对紧急情况而提出，并不适用于实时监测的移动医疗系统。文献[11]提出了低延迟、低成本的高效远程健康监测系统，却没有考虑数据安全传输问题。文献[12]研究移动健康系统中渐进的隐私要求认证策略在参与实体之间不同的相互作用。文献[13]针对移动健康系统提出一个轻量级、鲁棒性D2D协助数据安全传输方案，该方案实现了基本的安全目标。文献[14]针对患者个人隐私信息问题提出了几个技术，有效地监测患者和提高远程医疗系统的功能。文献[15]针对患有相同症状的病人设计了一个握手方案，为病患提供了一个安全的症状交流平台。以上方案中，一些没有同时实现用户的健康数据和身份隐私保护，部分方案的计算开销比较高。

本文基于传统的无证书数字签名技术[16]实现移动医疗系统中病人身份隐私和健康数据的保护。

2　系统模型

2.1　系统结构

本文基于文献[13]中设计的移动医疗系统结构，设计了如下系统模型。如图1所示，本系统模型由三个实体组成：无线身体局域网客户端(Wireless Body Area Network Client，WBAN Client)、应用服务提供商(Application Provider,AP)和网络管理者(Network Manager,NM)。

图1　系统模型

系统各个组成部分功能描述如下：

WBAN Client：无线身体局域网客户端是指装备有无线身体局域网和移动电话的用户，该终端包括各种可穿戴式传感器，如温度传感器、血压传感器等生物传感器。这些生物传感器将采集到用户身体健康信息PHI发送给用户的移动电话，移动电话将这些信息发送给相应的医生。

AP：应用服务提供商即医疗服务提供者，如医院、诊所或者医生，给用户提供医疗帮助，包括医疗咨询、用户状态监测和医生会诊等。AP给用户提供医疗服务之前需要通过NM注册登记，并预先加载参数，最后才有资格提供医疗服务。

NM：网络管理者主要负责系统初始化、用户AP和WBAN client注册登记，以及为用户分发部分秘钥。通常被认为是一个商业组织，是一个不完全信任的第三方，通常会有密钥托管问题存在，所以NM仅为WBAN client生成部分密钥以此来保证用户健康信息的安全性。

2.2　威胁模型和安全目标

由于用户健康信息数据在发送给医生的过程中会面临被窃听或篡改的危险，所以基于给定的系统结构，本系统需要实现以下安全目标：

身份认证：AP和WBAN client需要经过NM注册登记保证其合法性与真实性，还需要相互认证保证数据的来源和去向。

数据机密性和完整性：PHI数据在传输过程中不会被泄露和更改。

匿名性：WBAN client的身份对除了会话AP之外的所有实体保密。

前向安全性和后向安全性：即使当前会话的私钥被泄露，也可以保证以前和以后会话的数据仍然是安全的。

不可否认性：用户不能否认自己发送信息的行为以及发送的内容。

不可链接性：用户WBAN client任意次数会话中，攻击者从外部都无法区分消息是否来自同一个用户。

3　安全协议

3.1　系统初始化

① 系统建立

NM担任秘钥生成中心(PKG)的角色来负责整个系统的登记注册过程。输入安全参数k，产生两个大素数p,q，且q|p-1。P为椭圆曲线上的循环群G中任意一阶为q的生成元，定义以下安全哈希函数:

② 用户注册登记

WBAN client:用户Ci(其身份IDci)随机选择秘密值sci∈Zq*作为其长期私钥，计算公钥Sci=sciP，h1=H1(IDci,Rci,Sci,QNM)，并将公钥Sci发送给NM注册登记。NM随机选择rapi∈Zq*，计算Rci=rciP，Dci=rci+sNMh1，NM将Dci通过安全通道发送给用户Ci，并将公钥对(Rci,Sci)放入公共目录中。Ci的公钥:(Rci,Sci)，私钥(sci,Dci)。

表1用户Ci在t时刻末记录表

APt+1时刻对称秘钥t+1时刻用户匿名身份IDAP1ki1t+1IDAP1ci＇IDAP2ki2t+1IDAP2ci＇………IDAPjkint+1IDAPnci＇

表2APj在t时刻末记录表

clientt+1时刻对称秘钥t+1时刻用户匿名身份IDc1k1jt+1IDAPjc1＇IDc2k2jt+1IDAPjc2＇………IDciknjt+1IDAPjci＇

3.2　数据发送

① 选择一个随机数a∈Zq*，计算T=aP,T'=aRAPj，Wci=sci*(XAPj+RAPj)。

④M=Enckey(m)。

3.3　数据接收

① 计算T''=sAPj-1T'，Wci'=Sci*(xAPj+rAPj)；

② 计算T'''=σi(Rci+Sci+h1QNM+h2P)；

④ 解密m'=Deckey'(M)。

正确性证明如下：

① 验证签名

h2P)=aP=T，

T''=sAPj-1T'=sAPj-1asAPjP=aP=T。

② 解密

Wci=sci(XAPj+RAPj)=

sci(xAPjP+rAPjP)=

sciP(xAPj+rAPj)=Wci'。

m=m'。

4　安全性分析

本节详细分析所设场景下的安全协议如何实现第2节所提出的安全目标。

身份认证：WBAN client发送数据时使用己方私钥和对方公钥生成对称密钥，当AP收到来自WBAN client的数据时，AP通过记录表查询对应用户的真实身份，并利用对方公钥和己方私钥协商对称密钥，实现了WBAN client和AP相互认证的过程。

数据机密性和完整性：WBAN client通过对称加密消息为M发送给AP，只有目的AP才能查询到其对应真实身份并恢复会话秘钥key，完成数据解密，这样就保证了数据的机密性；此外通过WBAN client的签名信息σi和h2保证了数据的完整性。

匿名性：用户WBAN client通过更新的对称秘钥将真实身份进行了hash计算IDci'=H(kt,IDci)得到匿名身份，只有拥有对称秘钥kt的AP才能解密其真实身份信息。

前向安全性和后向安全性：由于WBAN client和AP每次通信时用hash函数更新对称秘钥，所以即使当前会话的完整秘钥被泄露也可以保证之前会话的安全性。同时，每次更新时，加入随机数a，即使攻击者获取了当前加密密钥也不能解密后面接收的数据，从而实现了后向安全性。

不可否认性：WBAN client的签名σi和h2保证了其不可否认发送消息的行为以及发送的内容。

不可链接性：用户WBAN client不同的会话通过哈希函数更新的匿名身份与对称秘钥key保证了攻击者无法从外部区分消息是否来自同一个用户。

5　性能分析

5.1　安全性能比较

如表3所示，将本文方案与文献[5,21,22]在安全性能上进行比较可知(其中文献[21]中提出了2种方案)，只有本文提出的协议实现了下面7种安全性能。

表3安全性能比较

安全性能方案[21]⁃1方案[21]⁃2方案[5]方案[22]本文方案身份认证√√√√√数据完整性与保密性√√√√√匿名性√√√√√前向安全性×√×√√后向安全性××××√不可链接性××√√√不可否认性××√×√

5.2　计算开销

将本文方案与文献[17-20]的方案在计算开销上进行比较。相比其他运算，加法运算和哈希运算等基本运算消耗的时间可以忽略不计，本文主要考虑指数运算、椭圆曲线上点乘运算和双线性对运算的计算开销。用te表示一个指数运算的运行时间，tm表示一个椭圆曲线上点乘运算的运行时间，tp表示一个双线性对运算的运行时间。在本文方案中，数据发送阶段，需要2次点乘运算计算参数T与T'，还需要1次点乘运算计算Wci。数据接收阶段，解密数据需要3次点乘运算计算T''、Wci与T'''，如表4所示。

为了比较各方案中各运算的运行时间，文献[20]在Linux个人数据助理上安装624 MHz英特尔PXA270处理器，并执行该算法得到运行时间为：te=53.85 ms,tm=30.67 ms,tp=96.20 ms。用同样的设置来执行算法，得到的运行时间如图2所示。由仿真结果可知，相比较其他方案，本文方案在数据加密/解密过程中共用到6次椭圆曲线上的点乘运算，计算复杂度低，时间消耗小。

表4计算复杂度比较

方案签名/加密验证签名/解密方案[17]3tm+te2te+2tp方案[18]2tm+3tetm+te+2tp方案[19]5te6te方案[20]11te+tp3te+8tp本文方案3tm3tm

图2　算法时间消耗

5.3　通信开销

表5通信开销比较

方案WBANclientAP总通信开销方案[21]2|G|+2|Q|+|E||Q|2|G|+3|Q|+|E|方案[22]4|G|+|E||G|+|Q|5|G|+|Q|+|E|方案[20]|G|+8|Q|+|E||G|+|Q|2|G|+9|Q|+|E|方案[13]4|G|+6|Q|+2|E|04|G|+6|Q|+2|E|本文方案|G|+2|Q|+|E|+|m＇|0|G|+2|Q|+|E|+|m＇|

6　结束语

针对移动医疗系统中面临的安全问题设计了一个隐私保护的数据安全传输协议。综合考虑当前移动医疗系统的特点，所设计的协议能够在无需额外硬件的情况下实现所需安全目标。利用数字签名可以实现身份认证以及数据的不可否认性；利用己方私钥和对方公钥协商对称密钥，实现了相互间身份认证，通过对称加密实现了数据机密性。最后，通过单向哈希函数更新用户匿名身份，保证了移动医疗系统中病人身份的隐私。此外，性能分析表明所设计的协议在保证数据安全和身份隐私的条件下具有低计算开销的优点。

[1]聂海鑫.移动医疗安全问题及解决方案[J].信息安全与技术,2014(7):83-85.

[2]丁伯新.移动医疗的信息安全保护[J].科技风,2015(22):5.

[3]范亦涵,王鲁.移动医疗信息安全保护的研究[J].福建电脑,2015(4):85-86.

[4]罗雪琼,胡珊,周毅,等.移动医疗安全问题与应对措施[J].中国数字医学,2015(7):94-97.

[5]Lu R,Lin X,Shen X.SPOC: A Secure and Privacy-Preserving Opportunistic ComputingFramework for Mobile-Healthcare Emergency[J].IEEE Transactions on Parallel & Distributed Systems,2013,24(3):614-624.

[6]Kushwah P,Lai S.An Efcient Identity Based Generalized Signcryption Scheme[DB/OL].Cryptology eprint Archive,Tech.Rep.346,2010.http://eprint.iacr.org/ 2010/346.pdf.

[7]Ahmed M,Ahamad M,Jaiswal T.Augmenting Security and Accountability within the EHealth Exchange[J].Ibm Journal of Research & Development,2014,58(1):1-8.

[8]Jiang S,Zhu X,Hao R,et al.Lightweight andPrivacy-preserving Agent Data Transmission for Mobile Healthcare[C]∥ IEEE International Conference on Communications.IEEE,2015:7322-7327.

[9]Boonyarattaphan A,Bai Y,Chung S.A Security Framework for eHealth Service Authentication and eHealth Data Transmission[C]∥International Conference on Communications and Information Technologies.IEEE Press,2009:1213-1218.

[10] Liang X,Lu R,Chen L,et al.PEC: A Privacy-preserving Emergency Call Scheme for Mobile Healthcare Social Networks[J].Journal of Communications&Networks,2012,13(2):102- 112.

[11] Liang X,Barua M,Chen L,et al.Enabling Pervasive Healthcare Through Continuous Remote Health Monitoring[J].IEEE Wireless Communications,2012,19(6):10-18.

[12] Guo L,Zhang C,Sun J,et al.A Privacy-preserving Attribute-based Authentication System for Mobile Health Networks[J].IEEE Transactions on Mobile Computing,2014,13(9):1927-1941.

[13] Zhang A,Wang L,Ye X,et al.Light-weight and Robust Security-Aware D2D-assist Data Transmission Protocol for Mobile-Health Systems[J].IEEE Transactions on Information Forensics & Security,2017,12(3):662-675.

[14] Ren Y,Werner R,Pazzi N,et al.Monitoring Patients via a Secure and Mobile Healthcare System[J].IEEE Wireless Communications,2010,17(1):59-65.

[15] Lu R,Lin X,Liang X,et al.A Secure Handshake Scheme with Symptoms-Matching for mHealthcare Social Network[J].Mobile Networks & Applications,2011,16(6):683-694.

[16] 刘文浩,许春香.无双线性配对的无证书签密方案[J].软件学报,2011,22(8): 1918-1926.

[17] Yu G,Ma X,Shen Y,et al.Provable Secure Identity Based Generalized Signcryption Scheme[J].Theoretical Computer Science,2012,411:3614-3624.

[18] Ji H,Han W,Zhao L.Certificateless Generalized Signcryption[J].Physics Procedia,2012,33(6):962-967.

[19] Shi W,Kumar N,Gong P,et al.Cryptanalysis and Improvement of a Certificateless Signcryption Scheme without Bilinear Pairing[J].Frontiers of Computer Science Selected Publications from Chinese Universities,2014,8(4):656-666.

[20] Xiong H.Qin Z.Revocable and Scalable Certificateless Remote Authentication Protocol With Anonymity for Wireless Body Area Networks[J].IEEE Transactions on Information Forensics & Security,2015,10(7):1442-1455.

[21] Liu J,Zhang Z,Chen X,et al.Certificateless Remote Anonymous Authentication Schemes for WirelessBody Area Networks[J].IEEE Transactions on Parallel & Distributed Systems,2013,25(2):332-342.

[22] Xiong H.Cost-Effective Scalable and Anonymous Certificateless Remote Authentication Protocol[J].IEEE Transactions on Information Forensics & Security,2014,9(12):2327-2339.