医疗物联网（MIoT）中的数据安全和隐私问题的解决方案及未来工作开展

关注我们，学习更多隐私合规讯息

医疗物联网是连接到互联网的一组设备，用于执行支持医疗保健的流程和服务。MIoT 已成为一种电子医疗保健新技术，可收集患者的重要身体参数，并通过小型可穿戴设备或植入式传感器监测其病理细节。 

MIoT在为人们的健康提供更好的保障方面展现出了巨大的潜力，并支持从植入式医疗设备到无线体域网（WBAN）的广泛应用。

一般来说，MIoT结构由三层组成：感知层、网络层和应用层，如图1所示。感知层的主要任务是通过各种设备收集医疗数据。网络层由有线、无线系统和中间件组成，处理和传输技术平台支持的感知层获得的输入。

设计良好的传输协议不仅能提高传输效率、降低能耗，还能保证安全和隐私。应用层根据目标人群的实际情况和服务需求，整合医疗信息资源，提供个性化医疗服务，满足最终用户的需求。

图1 医疗物联网的结构

患者相关数据的安全性和隐私性是两个不可或缺的概念。数据安全是指数据被安全地存储和传输，保证数据的完整性、有效性和真实性；数据隐私是指数据只能由有权查看和使用的人访问。

根据不同的目的和要求，可以制定更合理的保护策略。MIoT设备的广泛使用为人们的健康提供了更好的保障；然而，这也给信息安全和隐私保护带来了很大的压力。

MIoT的成功发展必须以安全和隐私作为核心考虑。本文的进展如下：

• 在第2节中，我们讨论医疗数据的安全和隐私要求

• 在第3节中，我们讨论了有关安全和隐私问题的几种技术解决方案和研究现状

• 在第4节中，我们比较了4种匿名性，以验证数据集的划分是否对隐私数据的安全性产生影响。实验结果证明了聚类匿名性的有效性

• 在第5节中，我们讨论了未来的研究挑战，并在第6节中总结了调查

尽管大多数医疗保健组织没有花费足够的资源来保护安全和隐私，但毫无疑问，安全和隐私在 MIoT 中发挥着关键作用。 

MIoT 设备产生越来越多、越来越多样化的实时数据，这些数据非常敏感。一方面，破坏医疗系统或网络的安全可能会造成灾难性的后果。另一方面，患者的隐私信息存在于数据采集、数据传输、云存储、数据发布的各个阶段。在开发医疗互联网安全和隐私系统时，应考虑以下四个要求。

数据完整性是指所有数据值都满足语义标准，不会被未经授权的篡改。它包括准确性和可靠性两个级别。

数据完整性可以分为四类，即实体完整性、域完整性、参照完整性和用户定义完整性，可以通过外键、约束、规则和触发器来维护。

数据可用性是保证数据或数据系统能够被授权用户使用。大数据不仅带来了巨大的好处，也带来了严峻的挑战，例如脏数据和非标准数据。

此外，未经授权的访问导致的数据损坏或数据丢失也进一步破坏了数据的可用性。

医疗数据访问审计是监控资源使用情况的有效手段，也是发现和跟踪异常事件的常用措施。

此外，云服务提供商通常扮演不可信的角色，需要合理的审计方法。审计内容一般包括用户、云服务提供商、访问、操作记录等。

患者信息可分为两类：一般记录和敏感数据。敏感数据也可称为患者隐私，包括精神状态、性取向、性功能、传染病、生育状况、毒瘾、遗传信息和身份信息。

我们需要确保敏感数据不会泄露给未经授权的用户，或者即使数据被拦截，所表达的信息也无法被未经授权的用户理解。

由于MIoT设备没有足够的内存、计算和通信能力，因此需要强大且可扩展的高性能计算和海量存储基础设施来进行实时处理和数据存储。

目前，大多数MIoT机构将收集到的医疗数据存储起来，并将其应用服务器部署在云端。

这些设备可以相应地将其医疗保健任务转移到云端。云服务通过其弹性和便利性以无处不在的方式访问共享资源和公共基础设施，为有效管理普遍的医疗保健数据提供了一个有前景的解决方案。

密码学是一种按照约定的规则进行信息交换和通信的安全技术[ 15 ]。如图2所示，明文也称为原始消息，通过加密算法加密为密文。通过公共通道，消息从发送者传输到接收者。然后该消息被解密为明文。

数据加密和解密的通用模型

一般的数据加密可以在通信的三个层面上实现：链路加密、节点加密、端到端加密。对于链路加密中的任何中间节点，从前一个链路接收到的消息将被解密为明文，然后使用下一个链路的密钥将明文加密为密文。

然而，与链路加密不同，节点加密不允许网络节点中存在明文形式的消息。因此，节点加密可以为网络数据提供较高的安全性。

使用端到端加密时，消息在传输到目的地之前不会被解密。由于消息在整个传输过程中始终以密文形式出现，因此即使节点损坏，也不会泄漏信息。

为了确保电子医疗通信的安全，密钥管理协议在安全过程中发挥着至关重要的作用。

然而，复杂的加密算法或传输协议会极大地影响传输速率，甚至无法进行数据传输。此外，他们还需要占用宝贵的医疗资源，而这些资源是无法获得的。

安全防护与系统能耗之间的艰难平衡需要科学、谨慎的步骤来解决。

由于可用资源有限和隐私问题，安全问题一直是为老年人和体弱人群提供不显眼支持的电子医疗应用的主要障碍。

在他们的提议中，网络是异构的，结合了具有不同能力的节点。采用强加密方法和认证手段为资源高度受限的节点建立会话密钥。

拟议的协议基于协作，将繁重的非对称加密操作卸载给一组第三方。通过安全分析，该方案可以提供较强的安全特性，以及资源的稀缺性。

考虑到物联网和隐私保护的特点，Gong等人讨论了当前智慧医疗系统的主要问题。然后他们设计并完成了一个基于轻量级私有同态算法和从DES改进的加密算法的原型系统。

最后，基于上述工作，他们设计并完成了基于软硬件的原型系统

李等人提出了一种使用扩展混沌映射的云辅助WBAN系统的安全认证和密钥协商方案，如图3所示。

切比雪夫混沌映射的设计基于Diffie-Hellman密钥交换的概念，可以为系统参与者注册时创建安全的方式或通道。从WBAN的身体传感器收集的测量健康项目在传输之前将被加密。

为了支持流式健康项目的实时分析和持续远程监测，被监测的患者可以授权医疗护理人员访问其存储在云端的健康项目，不仅提供家庭护理，还提高了生活质量。

安全性和性能分析表明，所提出的机制可以有效解决移动紧急医疗系统中参与者身份验证的挑战。

图3 移动急救医疗系统云辅助无线体域网架构

访问控制是数据系统定义用户身份和防止未经授权的用户访问资源的预定义策略的手段。访问控制中应用了多种加密方法，包括对称密钥加密（SKE）、非对称密钥加密（AKE）和基于属性的加密（ABE）。

根据常识，密码学依赖于密钥。密钥的大小和生成机制直接影响密码系统的安全性。因此，对于一个密码系统来说，密钥管理机制决定了安全系统的生命周期。

由于可扩展的密钥管理和灵活的访问控制策略，ABE逐渐成为一种主流方法。

在健康信息交换（HIE）中，患者健康信息可以以电子方式共享，并以可审核的方式明确授权信息交换。

然而，现有的卫生信息系统授权方法在满足 HIE 的需求方面存在一些缺陷，非加密方法缺乏安全可靠的访问策略执行机制，而加密方法过于昂贵、复杂且在指定策略方面受到限制。 

提出了一种基于云的HIE的授权协议，它填补了加密和非加密方法之间的空白。该系统由三个主要组件组成：HIE 云、医疗机构 (HCO) 和患者，如图4所示。

他们开发了一种新颖的基于代理签名的协议，该协议基于一种新颖的基于离散日志的陷门哈希方案，能够通过基于云的 HIE 对患者健康信息进行身份验证和授权的选择性共享。

根据他们详细的安全性和性能分析，所提出的协议使用基于陷门哈希的代理签名方案，在可证明安全的同时实现了最佳的全面性能。

图4 系统组件

卢尼斯等人提出了一种基于属性加密（ABE）的架构，如图5所示。由于紧急访问是暂时的，因此撤销授予的访问权限至关重要。然而，撤销是 ABE 方案中的一个难题，并且可能会产生较高的开销。应用整数值和整数比较来解决紧急密钥的撤销问题。

此外，他们还提出了一个数字属性，该属性具有一个数据值来表示紧急密钥的有效性数据。对三种场景的仿真表明，该方案可以降低撤销成本并缩短紧急响应时间，这意味着该方案可以提供高效、细粒度的访问控制。

图5 紧急干预的例子

卢尼斯等人提出了一种新的基于云的医疗无线传感器网络架构，并开发了一种支持复杂和动态安全策略的访问控制，该策略依赖于基于密文策略属性的加密（CP-ABE）。

仿真结果表明，他们的访问控制是高效的、细粒度的、可扩展的。提出了一种新颖的以患者为中心的框架和一套对存储在半可信服务器中的 PHR 进行数据访问控制的机制。

为了实现 PHR 的细粒度和可扩展的数据访问控制，他们利用基于属性的加密 (ABE) 技术来加密每个患者的 PHR 文件，并利用多权限 ABE 来保证高度的患者隐私。

云服务器不完全受信任。如果未经用户许可发生数据损坏甚至删除，则存储在云中的医疗数据的完整性和一致性可能会受到损害。出于安全原因，数据规则通常由用户指定，使得服务器提供商不直接接触源数据。

此外，可以适当引入信誉良好、提供公正审计结果的可信第三方（TTP），以追究云服务提供商的责任，保护云用户的合法利益。TTP的研究问题包括动态审计、批量审计和性能指标审计。

在过去的几十年里，出现了许多审计方法。几种监督机器学习方法，例如逻辑回归和支持向量机，已被应用于检测可疑访问。然而，过于依赖预期判断和预定义标签限制了其大规模推广。目前，无监督方法逐渐引起更多关注。

陈等人扩展了Malin及其同事的关系学习方法，构建了部门互动的全球网络。基于网络结构，他们提出了两种刻画部门关系的方法。

首先，他们运用确定性来描述部门之间互动的强度随时间的变化，旨在评估网络的变化在多大程度上影响部门之间的亲和力。其次，他们运用互惠来衡量部门之间表现出相似行为的程度。

戈瓦尔特等人对审计与运营成本之间的关系进行初步审查。根据他们的研究，手术审核可以作为一种质量工具，因此可以作为一种降低成本的工具，并且应该进行进一步的研究以进行调查。

为了保护数据隐私，敏感数据在外包之前必须进行加密，这已经淘汰了基于明文关键字搜索的传统数据利用。因此，启用加密的云数据搜索服务至关重要。

可搜索加密的主要方法包括可搜索对称加密（SSE）和带关键字搜索的公钥加密（PEKS）。并且需要注意的是，加密措施越复杂，数据的搜索难度就越大，搜索结果的一致性检查也就越困难。如果搜索结果不能及时应用，那么所有的安全和隐私措施都失去了意义。

为了实现对加密数据的丰富查询功能，Bezawada 等人。开发了一种基于对称密钥的方法来支持云计算中的隐私保护字符串匹配。

他们开发了一种高效、准确的索引结构，即模式感知安全搜索（PASS）树，这是一种高度平衡的二叉树，不会泄露关键字的任何内容相似性。PASS树的动作流程如图6所示。

此外，他们还描述了一种相关性排名算法，可根据模式查询将最相关的文档返回给用户。对包含多达 100000 个关键词的大型现实数据的实验表明，所提出的算法可以在不到几毫秒的时间内实现模式搜索，并且准确率达到 100%。

图6 PASS 树示例

为了享受弹性资源和减轻课程计算负担，个人健康记录（PHR）逐渐转移到云存储 

设计了一种安全加密原语，称为基于属性的多关键字搜索，对多所有者设置中的加密个人健康记录进行搜索，以通过基于密文策略属性的加密（CP-ABE）支持细粒度访问控制和多关键字搜索。

图7提供了 m2-ABKS 方案的概述。对真实世界数据集进行了实证实验，以证明其在广泛的实际场景中的可行性和实用性。

图7 m2-ABKS方案的系统模型

基于核回归的方法可以以较低的计算成本从下采样版本恢复图像，但边缘周围的质量较低。 

提出了拉普拉斯引导核回归方法（LKR），其中使用新颖的加权拉普拉斯图来细化KR中的平滑核，LKR的关键见解是基于KR的方法在使用平滑核时可以更好地估计边缘带有边缘信息。 

制定并解决了云计算环境中加密个人健康记录的授权私人关键字搜索（APKS）问题。

它们允许用户根据自己的属性从本地可信机构获取查询能力。除了文档隐私和查询隐私之外，我们方案的其他显着特征包括通过简单的范围查询有效支持多维和多关键字搜索，并允许搜索功能的委托和撤销。

患者敏感数据可分为三类：显式标识符、准标识符和隐私属性。显式标识符可以唯一地指示患者，例如 ID 号、姓名、手机号码。准标识符的组合还可以唯一地指示患者，例如年龄、出生数据和地址。隐私信息是指患者的敏感属性，包括疾病和收入。

在数据发布过程中，在考虑原始数据分布特征的同时，需要保证新数据集的个体属性得到妥善处理，从而保护患者的隐私。

目前，通常采用随机扰动技术和数据匿名技术来解决匿名性、多样性和置信界限等问题。尤其是传统的匿名方式被广泛应用。

但其缺点是没有对敏感数据做任何约束，攻击者可以利用一致性攻击和背景知识攻击来识别敏感数据和个人联系人，从而导致隐私泄露。

第一种适应最大限度地保留了用于分类分析的信息，第二种适应最大限度地减少了一般数据分析中匿名数据的失真。这两种算法在两个现实数据集“血液”和“成人”上实现。

结果表明，所提出的算法足够灵活和可扩展，可以处理大量具有数值属性的输血数据。

许多聚类算法可以应用于匿名数据的数据匿名化。在纵向数据的背景下，挑战是定义轨迹的距离度量。图8概述了纵向数据匿名化过程。冯等人。 

选择了平均向量最大距离（MDAV）算法，这是一种有效的匿名启发式算法，来开发他们的聚类算法。

所提出的算法迭代地选择纵向数据集中最频繁的轨迹，并在后者周围形成至少由记录组成的簇。此外，他们将两条轨迹之间的距离定义为匿名化的成本。

对来自范德比尔特大学医学中心 EMR 系统的几个患者队列进行的实验表明，所提出的方法可以使用受序列比对和聚类方法启发的启发式生成匿名数据，从而进行有效的生物医学分析。

图8 纵向数据匿名化过程的通用架构

Liu 和 Li 引入了一种基于匿名算法的聚类方法，作为医疗可穿戴设备隐私保护的构建块。聚类匿名会将相似的记录分配到相同的等效集合中，而这些记录之间的相似性使得区分不同身份比以前更困难。

然后，它们通过泛化和抑制操作将准标识符统一在同一簇中。该算法的输出是一个满足匿名原则的表。同一等效集中的所有记录都彼此相似。这样，在一个等价集合中识别用户的身份就会更加困难，并且这些主体的隐私也会更加安全。

随着医疗可穿戴设备的广泛部署，安全问题也随之出现。最严重的威胁是医疗可穿戴设备数据的隐私泄露。

医疗可穿戴设备的数据持有者在从智能终端收集数据后，愿意与应用程序开发者共享数据，以丰富其服务或获取金钱利益。收集到的数据包含丰富的隐私信息。

此外，在共享人体携带的可穿戴传感器记录的数据时，一些个人信息，例如年龄、身高、体重等也可能会在授权的情况下提交。

因此，尽管数据共享的初衷总是积极的，但不受控制的个人信息可能会增加隐私泄露的风险。

在本节中，我们比较了 4 种-anonymity，包括 Partial Datafly -anonymity、Overall Datafly -anonymity [ 28 ]、-Argus -anonymity [ 29 ] 和 clustering -anonymity，它们在数据集的划分上有所不同。

我们想要验证数据集的划分是否对隐私数据的安全性产生影响。数据是从真实的医院数据库收集的。实验结果证明了聚类匿名性的有效性。

例如，如表4所示，Alice 是医疗可穿戴设备的所有者，该设备的制造商收集该设备产生的数据以及有关她的年龄、身高和体重的信息。然后数据持有者共享一个包含 Alice 数据的数据集（如表4所示）。

对手Evil得到了这些信息，他知道Alice身高178厘米，体重75公斤，年龄34岁。因此，Evil通过将数据集与背景知识相结合，可以轻松获取Alice的敏感数据。

表4 原始数据

数据持有者在根据匿名性共享之前，通过泛化准标识符来切断身份和敏感数据之间的联系。表5显示了表4的2-匿名结果。在表5中，通过链路攻击很难识别Alice的身份。

然而，敏感数据中包含的数据仍然可能泄露Alice的身份。具体来说，如果我们提取这些数据的适当特征并将其放入合适的分类器中，就可以识别身份。

表5原始数据的匿名结果

图9显示了每个等效集合中身份的辨别率。数据集按照2-匿名原则进行划分。很明显，聚类2-匿名的判别率相对低于其他2-匿名。因此，我们可以声称聚类 2-匿名性是四种考虑的方法中最安全的方法。

图9 2-匿名的判别率

在本实验中，所有记录的敏感数据保持不变。由于等价集的组合不同，每个等价集的判别率也会不同。记录的合理分配提高了集群匿名的安全级别。

任何开发者在开发MIoT安全和隐私系统时都会考虑到各种因素的影响，以在它们之间得到更好的平衡。为了实现更好的安全环境，有几个挑战需要特别关注。

由于方便且成本低廉，许多设备和软件服务严重依赖无线网络，例如 WiFi，众所周知，无线网络容易受到各种入侵，包括未经授权的路由器访问、中间人攻击、欺骗、拒绝服务攻击、暴力攻击和流量注入。此外，大多数公共场所的免费无线网络未经认证，属于不可信网络。

基于传感器的低成本设备和软件应用程序应遵循特定的策略和代理规则来提供服务。目前，如果要为传感器提供高等级的安全性，就必须采用高成本的解决方案。这是MIoT系统中的冲突。

根据应用场景开发不同级别的安全协议，特别是轻量级安全协议，是未来安全防护的主要任务。

尽管医疗信息技术快速发展，但信息孤岛现象日益严重。不同厂家设备采集的数据标准差异较大，难以统一管理。然而，MIoT异构系统之间的信息协作和共享是未来的必然趋势。

患者信息的私有化可能对 MIoT 系统的安全非常不利。采用通用数据策略来组合不同的数据可以提供更易于理解的信息，并通过分层安全模型增强安全性和隐私性。

各种医疗设备和软件应用程序的应用提高了医疗服务的质量，同时也产生了大量的数据。当前，数据的重要性不言而喻。如何有效保护数据流动各个阶段的数据安全和隐私，将在未来的相关研究中占据重要地位。