可穿戴设备数据安全及隐私保护概论

第1章 绪论

本章首先介绍了面向可穿戴设备安全认证与隐私数据发布的研究背景和意义,其次介绍了本书相关研究内容并对其进行了分析，再次给出了本书的技术路线和关键技术,最后介绍了本书的组织结构。

1.1 基本概念

无线体域网：

由置于人体周围、体表和体内的传感器节点和一个中心节点构成。传感器节点能够对人体的一些重要的生理参数（如体温、血压、心率、血氧浓度等）或者人体周围的一些环境参数（如温度、湿度等）进行感知和采集，并通过无线传输的方式发送给中心节点。中心节点大多安置在胸部或者腰部等相对稳定的位置，在接受到这些信息后通过WiFi或者移动蜂窝网将其发送到远程服务器（如医院、数据中心等）供专业人员进行后续处理。

安全认证：

安全认证是确保可穿戴设备中用户数据安全的重要手段,但是传统认证机制通常基于密钥和证书。密钥存储空间过大、协商过程复杂目不灵活,在资源受限的可穿戴设备环境下，直接应用
传统认证机制不可行。为此，针对可穿戴设备资源受限特点，如何设计—种轻量级安全认证机制，并确保数据安全是值得研究的问题。

匿名化：

匿名化是确保用户隐私的常用方法,传统基于匿名模型的数据隐私保护方案被大量提出。例如,k-anonymity和l-diversity，这类方案主要是基于限制发布技术。然而,基于匿名的方案也存在隐私泄露的风险，需要不断针对新泄露的风险提出修补方案。例如,de Montjoye等证明，仅需四条购买记录的时间和位置信息就能识别110万匿名信用卡消费数据集中90%的用户。

差分隐私：

差分隐私（differential privacy）是一种基于数据加噪扰动的隐私保护技术，具有隐私可量化、攻击能力可界定的良好性质,针对用户隐私安全,基于差分隐私的隐私数据发布是值得研究的问题。

1.2 安全认证及隐私保护

1.2.1 可穿戴设备安全认证

安全认证是确保可穿戴设备用户数据和人身安全的重要手段，可穿戴设备资源受限，直接应用传统认证机制不可行。
WBAN环境下针对可穿戴设备的认证研究起步较晚，结合可穿戴设备In-body 和On-body易于获取生物特征的应用特点，很多认证采用了新型的生物特征认证方法。生物特征以其私有属性的唯一性， 具有较强的安全性，在可穿戴设备安全防护上应用前景广阔。
2006年，Poon等指出心率的间歇信号( interpulse interval, IPI) 是一种良好的用户生物特征，适用于WBAN环境下的安全认证。2014 年，Zheng 等提出通过心率特征提取密钥的方法，用于数据安全加密。2015年，Thang等从步伐生物特征中模糊提取特征码，通过特征码进行认证。2015年，Chen 等针对移动设备，提出了一种基于行为节奏特征的认证方案，从用户有节奏的轻敲界面中提取特征与设备中存储的特征进行度量。然而，上述这些认证方案仅考虑了认证方私有属性的唯一性， 而没有考虑设备的物理唯一性，易受到假冒攻击

近年来，由于物理不可克隆函数( physical unclonable function, PUF)具有简便、安全
的优势，被广泛应用于资源受限环境下的安全认证。早期，基于PUF的认证采用存储的激励/响应对( challenge response pair, CRP)实现。 此方案需要存储大量CRP，资源占用多。2012 年，Bassil等提出了一种基于PUF与循环移位操作的射频识别( radio frequency identification, RFID)安全认证方案，该方案也需存储大量的CRP。2014年，Rostami等提出了一种基于多PUF并联建模的轻量级认证协议，该方案通过建模进行匹配认证。2015 年，Akgun和Caglayan提出了一种基于PUF的可扩展认证协议，此协议能在常数时间复杂度下完成认证。然而，上述认证方案仅考虑了认证方设备物理属性的唯一性，而没有考虑用户私有属性的唯一性， 存在假冒、妥协攻击的威胁。

以上方法中，单纯基于生物特征的认证，虽然可以保证私有属性的唯一性， 但是容易受到假冒攻击，不能保证节点真实可信;单纯基于PUF的认证，虽然能够保证节点的物理唯一性， 但不能保证节点一定属于本WBAN环境。为了同时保证设备物理属性和用户私有属性双重唯一性，我们认为，结合生物特征与PUF技术的认证方法，为WBAN环境中设备节点安全认证提供了一种新思路。

1.2.2 健康服务数据隐私保护

面向健康服务可穿戴设备数据的高敏感性，使可穿戴设备从诞生之日起，便遭到用户隐私泄漏的质疑。而随着网络化、信息化的不断深人，用户隐私泄漏的风险越来越大。 基于隐私泄露的担忧，研究者提出了一系列隐私保护的用户数据共享方案。

基于传统密码学的隐私保护方案或使用假名ID来替换用户记录真实ID，或使用访问控制策略来确保用户记录仅能被特定用户组访问。这些方法要么被现有去匿名化攻击证明十分脆弱，要么过程复杂

为确保用户信息的安全，提出大量基于k-anonymity模型的数据隐私保护方案。这类方案主要是基于限制发布技术，其基本思想是通过对记录数据的准标示符进行泛化或截取处理。将数据集根据不同的泛化标示符进行划分，泛化标识符相同的记录数据归为一个等价类，并且使得每一个等价类中的记录数据不少于k个。 换句话说，即将某一个用户的记录数据“ 隐藏”在对应等价类的k个记录当中，从而保护用户隐私。然而，基于匿名模型的方法缺乏对隐私保护程度的量化和对攻击者能力的清楚界定，仍然存在隐私泄露风险

基于概率模型的差分隐私改变了这一局面。 差分隐私要求，单个记录数据对数据集查询结果的影响从概率上微小可控。同时差分隐私给出了攻击者的攻击能力上限，即假定在最差情况下，攻击者拥有除当前用户记录以外的所有记录数据，因此，能够抵御差分攻击即表明可以抵御所有已知和未知的隐私攻击。由于差分隐私具有上述隐私可量化、攻击能力可界定的良好性质，它被迅速地引人诸多数据查询与发布应用领域。近年来，已有研究者将差分隐私成功引入智能仪表应用领域和安全位置服务领域，亦有研究者探讨了差分隐私引入健康数据上的可行性。

差分隐私是一种严格证明和安全可控的隐私保护技术，能够保护用户敏感信息不被泄露。发布数据中添加噪声越大，数据越安全，然而，数据可用性越低。差分隐私具有良好的应用前景，但是，如何保护数据隐私的同时提高数据可用性是我们关注的问题。本书分别针对健康服务数据中涉及的空间位置数据和健康状态统计时序数据，研究一种新型的差分隐私保护模型。

1.3 技术路线及关键技术

1.3.1 技术路线

面向健康服务的可穿戴设备的用户数据至关重要，轻则涉及个人隐私,重则关乎人身安危，解决可穿戴设备安全问题迫在眉睫。但可穿戴设备资源受限，在安全认证方面，现有研究成果虽有超轻量化认证机制，但这些机制只针对设备的物理属性进行认证，保证不了用户的私有属性;在隐私保护方面，现有研究成果没有针对可穿戴设备数据特点,在数据安全性与可用性上达不到理想效果。因此,针对可穿戴设备及其数据特点，研究安全认证和隐私保护的新机制，对推动可穿戴设备的深度推广和普及应用具有重要理论意义及应用价值。以下研究内容关系和技术路线分别如图1-2和图1-3所示。

组织结构：

1.可穿戴设备安全认证

一方面，根据WBAN 中节点物理特征，针对可穿戴设备自身特点，利用“物理指纹”PUF技术认证时，结合IPI生物特征和 PUF 技术,将人和设备绑定，作为一个整体认证单元，实现设备物理属性和人私有属性的双重唯一性安全认证。另一方面，认证协议中,PUF 安全性事关认证协议安全.PUF 的安全为上层应用提供了安全保障。PUF的输出响应随机性越高，即其熵测试值越大,PUF 安全性越高。如何实现基于PUF和 IPl的可穿戴设备双因子认证协议，并进一步提高PUF电路的对称性，减少PUF电路非对称带来的输出响应偏异性,是本书的研究内容。

2.健康服务隐私数据发布

(1) 空间位置数据的差分隐私发布
可穿戴设备服务商发布用户位置统计数据时，需保护用户位置隐私。促进用户共享数据的关键在于保证用户的个人隐私不被攻击者侵犯。但由于数据共享的开放性，攻击者可以开展各类隐私攻击。虽然差分隐私相对传统隐私保护模型具有巨大的优势，但满足差分隐私的同时必须牺牲一定数据可用性。针对健康服务共享发布中静态空间位置数据,研究以同时满足用户数据隐私性和可用性为目标，研究适用于空间位置数据的差分隐私发布方案。

(2) 流数据的差分隐私发布
健康服务共享发布时序数据主要句括可穿戴设备实时采集的用户生理、健康状态数据，如对血糖、血压、血氧等的检测数据。此类数据具有实时性，如果不考虑数据的实时性，对不同类型数据进行相同的处理，会降低共享发布数据的可用性。针对健康统计动态流数据，研究适用于流数据的差分隐私发布方案，保证数据隐私性的同时，提高数据可用性。

1.3.2 关键技术

面向健康服务的可穿戴设备与人紧密相连,决定了它更有可能面临安全威胁。它自身的资源条件决定了其采取的安全措施是受限的,同时,其健康服务数据既敏感又有公开价值,保证隐私安全前提下的数据发布是必要的。本书研究可穿戴设备安全保护机制中的两个关键技术，包括结合生物特征和物理特征的设备安全认证与可穿戴设备数据安全发布。
研究的关键技术在于以下3个方面。
(1）现有基于设备物理特征的认证忽略了用户生物特征的唯一性，使这些协议易受妥协攻击,而基于用户生物特征的认证易受假冒攻击。本研究提出一种基于生物特征IPI和设备物理特征PUF的双因子安全认证机制,使用生物属性IPI和设备物理属性PUF的双重唯一性进行安全认证，将设备和人绑定为一个整体单元，并通过平衡D触发器仲裁器改善PUF 电路非对称性带来的输出偏向，更好地确保认证安全。
(2)可穿戴设备涉及空间数据和流数据，发布用户位置统计数据时，需保护用户位置隐私。现有基于差分隐私空间分解的数据发布算法常采用均匀隐私预算分配策略，每一个划分单元格分配相同隐私预算，未根据数据查询实际情况讲行合理预算分配。研究针对可穿戴设备中空间位置数据，提出一种基于斐波拉契预算分配策略的差分隐私空间数据发布方案。此方案优化了隐私预算的分配,降低了数据发布误差并通讨限制推理和阈值判断的方法进一步增强扰动数据的可用性，以较小的隐私预算满足较高的发布数据精度。
(3）可穿戴设备流数据发布为数据挖掘分析中的决策制定与疾病预测提供了坚实的基础，然而，流数据直接发布带来了隐私泄露的风险。为解决此问题,差分隐私被应用于流数据发布。扰动数据直接影响挖掘分析的结果，为提高数据可用性,现有差分隐私流数据发布方法常采用卡尔曼滤波进行数据可用性优化，然而，卡尔曼滤波不适应于非线性系统。针对可穿戴设备中的健康时序数据，提出一种基于无迹卡尔曼滤波的差分隐私流数据发布方案。此方案利用抽样的方式近似非线性分布，保护数据隐私的同时增强了数据可用性,既满足用户隐私需求,又保证流数据的高可用性。