一种针对传染病接触者的远程监控和隐私保护方法*

李泽琛，司广涛，孟 静

(曲阜师范大学 计算机学院，山东 日照276826)

0 引言

传染病的爆发导致健康和经济危机，并将引发社会恐慌。 例如：2020 年的新型冠状病毒，严重影响到全世界人民的正常生活。 为了抑制病毒蔓延，出现了基于网络环境的健康信息监控手段，主要依靠传感器设备采集居民健康数据，并记录其位置信息[1-6]。

目前，基于传感器的网络监控技术已经应用于传染病领域，主要工作是监控患者的健康信息和位置信息。 例如：文献[7]、[8]提出基于无线人体区域网络(Wireless Body Area Network，WBAN)和手机的方式，同时采集身体实时生命体征和动态社会互动信息的方法，从而对传染源进行动态追踪。 文献[9]利用WBAN 采集体温血压等主要参数，实现了对埃博拉感染者的持续检测和远程监测。 然而，上述工作只是实现健康数据和位置信息的采集和分析，并没有考虑被监测者的数据隐私问题。

近年来，多个科研小组已经对传染病监控过程的用户隐私问题进行了研究。 Liu Jianqing 等基于手机上的GPS 和穿戴设备采集位置数据和健康数据，利用键无关的内积加密机制，确保不受信任的实体只获得健康统计数据，而非个人数据，保护了患者的健康和位置信息数据[10]。 Zhang Kuan 等利用手机上的短程通信技术来检测智能手机用户和其他用户的物理距离，实现对密切接触人群的判断，又通过同态加密方法实现了用户的社交网络数据和健康数据保护，但没有关注位置隐私问题[11]。 为实现用户位置隐私，ALTUWAIYAN T 等通过短程无线设备记录用户位置，基于权重分数匹配判断用户是否与传染者接触过[12]。 SOOD S K 等人针对基孔肯雅病，提出一种综合的数据采集和隐私保护方案，针对不同的隐私保护级别，实现了对用户的敏感信息、健康数据和位置数据的采集与保护[13]。

可见，已有研究工作更多地关注受监测者的健康数据采集、分析和寻找密切接触者。 虽然部分工作实现了用户健康数据以及位置信息的保护，但都没有同时实现对监控者的健康数据监测、位置轨迹跟踪、数据隐私保护和疑似收治。此外，现有工作的监测人群是大众，没有直接针对接触者进行跟踪监测的工作。 因此，本文提出一种针对传染病接触者的状态监控与数据采集、隐私保护和疑似病例收治的系统模型。 基于该模型，本文设计了具体的个人信息、健康数据和位置数据的隐私保护方法，并通过建立和医院之间的协同机制，实现疑似患者的及时收治。

1 系统设计

1.1 系统模型

本文设计了一种针对接触者的实时监控系统模型，如图1 所示。 该模型包括三个实体：接触者、健康中心和医院。 系统的运转概括为七个关键步骤：

(1)注册。 接触者在健康中心进行注册，开启自身健康监控。 合法医院在健康中心注册，以便提供服务。

(2)健康和位置信息上传。 受监控者每隔一段时间，通过数据采集设备将自己的健康信息和位置信息发送给健康中心。

(3)数据存储与初步分析。 健康中心收集被监控者健康信息和位置信息，分别存储在健康信息数据库和位置信息数据库，并对健康数据进行初步的诊断。

(4)医院分配。 健康中心一旦发现疑似患者，便为其分配医院。

(5)疑似患者收治。 医院接收到健康中心发送的疑似患者信息后，向患者发送收治请求。同时，疑似患者验证医院的合法性。

(6)医院将诊断结果发送给健康中心。

(7)一旦疑似患者确诊，健康中心相关人员将提取其位置运动轨迹，寻找新的接触者。

图1 针对传染病接触者的远程监控系统模型

1.2 系统威胁模型

系统在接触者监控过程中存在两种隐私泄露风险：一是来自健康中心，二是来自数据传输过程，如图1 中黑色虚线框部分所示。 假定健康中心是半可信的，中心工作人员诚实地执行保密协议，但是内部工作人员可能会出于好奇查看、进一步推理接触者提交的各种信息，导致接触者的敏感信息泄露。 数据传输过程中可能会存在窃听攻击，导致数据传输过程中的信息泄露。

针对上述安全威胁，本文的系统隐私设计应包括对被监测者个人信息、健康信息和位置信息的保护，具体目标包括数据保密性、数据和用户可靠性、数据可用性。

2 隐私保护方法

2.1 个人与健康信息保护

本文设计了基于单纯手机号码作为身份ID 的用户注册方法，实现个人信息保护。 为了便于后续医院分配和家庭住址保护的需求，注册时向健康中心提供一个模糊的家庭住址范围。 注册成功后，健康中心会返回一个伪身份ID 给接触者，用于以后上传数据时的身份验证。 思路如图2 中实线箭头所示， 其中PKhc表示健康中心的公钥，PKc表示接触者的公钥，PKh表示医院的公钥，Ba 表示接触者家庭住址的模糊区域，Tel 表示接触者的电话号码，Hid表示医院的身份信息。接触者通过函数Ereg()实现注册过程中相关数据加密。 健康中心通过函数Eci()实现对疑似患者个人信息数据进行加密。 接触者通过函数Ehi()实现健康数据加密和上传，HI 表示健康信息，Pseudo-ID 表示接触者的伪身份。 接触者通过函数Eadd()实现住址加密传输，Address 表示接触者的家庭住址。

图2 个人信息和健康数据保护框架

为防止健康中心非授权人员对健康数据的窥视，以及数据传输过程中的窃听风险，本文设计了基于非对称加密(Elliptic Curves Cryptography，ECC)的接触者健康数据保护方法。 该方法能够实现接触者上传健康数据到健康中心和健康中心发送接触者的健康信息给匹配医院过程的数据保护，如图2 中虚线所示。 传感器每隔一段时间自动采集接触者的健康数据，并使用健康中心公钥对其加密，上传到健康中心。 健康中心收到健康信息后用私钥解密，获得监控者的健康信息，并进一步分析数据，判断接触者是否异常。

算法1 描述了图2 中对接触者个人信息和健康数据进行保护的伪代码。

算法1 Privacy-protection algorithm on personal information and health data

1.user registration：Ereg(PKhc，(Tel，Ba，PKc))，and obtain the pseudo-ID from health center

2. for each timestamp i of data acquisition

3. Ed(PKhc，(HIi，pseudo-ID))，upload encrypted data to health center

4. if HIiis un-normal

5. Eci(PKh(Tel，HI))

6. hospital send the location request to the contact

with its Hid，contact verify the legality of the hospital by its identity ID.

7. if Hid

8. Einfo(PKh，Address)

9. end if

10. end if

11. end for

2.2 位置信息保护

接触者监控过程中需要每隔一段时间上传一次个人位置信息。 出于对数据安全性的考虑，将用户健康数据和位置数据分离，分别存储在健康数据库和位置数据库内。 用户的位置非常重要，一旦泄露，攻击者容易通过其位置轨迹分析、推断用户身份，带来各种安全隐患。为此，本文设计了基于非对称加密和对称加密相结合的双重加密机制来实现接触者位置信息的保护。

首先， 在接触者上传位置信息到健康中心时，设计了第一层加密机制：利用健康中心的公钥对位置信息进行非对称加密，该层加密能够保证数据传输过程的安全。 其次，为防止健康中心未授权人员对位置信息的窥视，设计了第二层加密机制：利用会话密钥对加密后的位置信息进行再次的对称加密。 此时，健康中心非授权人员因为没有会话密钥，无法解密接触者的位置信息。 具体流程如图3 所示。

图3 用户位置信息保护

图3 中，ksym表示用户会话密钥，LI 表示监控者位置信息，Easym()函数实现位置信息的第一层非对称加密，Esym()函数实现对位置信息的第二层会话密钥对称加密。 一旦疑似患者被确诊，确诊者便将自己的会话密钥用健康中心公钥加密后，传给健康中心授权人员，由函数Ek()实现(虚线所示)。健康中心授权人员联合会话密钥ksym和自己的私钥SKhc，经D2()函数解密确诊者的位置轨迹数据，从而寻找新的接触者。

算法2 给出了上述位置信息保护方法的伪代码。

算法2 Privacy-protection on location information

1. for each timestamp

2. Eli=Esym(ksym，Easym，(PKhc，LI))

3. location database←Eli

4.end for

5.if contact is confirmed in hospital

6. encrypted NCD with PKhc，then send it to health center

7.end if

8.if user receive the NCD

9. Ek(PKhc，ksym)，then send the encrypted ksymto health center

10. LI←D2(SKhc，D1(ksym，Eli))

11.end if

3 安全性分析

3.1 健康中心的数据安全性

首先，接触者在健康中心注册时，仅使用电话号码和一个模糊的家庭区域位置进行注册，因此，在假设健康中心人员没有途径通过电话号码得到监控者其他信息的条件下，健康中心人员无法推断监控者的真实身份信息和家庭地址，同时，也无法获取健康数据的所有人的身份信息。 其次，在位置信息隐私保护方面，设计了双重加密机制。 该种机制下，只有监控者被确诊，需要提取位置信息时，健康中心授权人员才能获得用户会话密钥，提取出位置信息。 可见，该方法有效避免了健康中心工作人员出于好奇对用户位置信息的窥视和身份推断。 再次，无线传感设备自动采集数据、加密和上传，有效防止用户对数据的篡改。 最后，身份验证能够阻挡恶意用户进入系统。

3.2 传输过程的数据安全性

首先，监控者需要上传健康中心的数据，全部使用健康中心的公钥进行加密。 其他人因为没有健康中心私钥，无法解密获取真实数据。其次，当接触者或者健康中心需要传输数据给医院时，都首先用医院的公钥进行数据加密然后再传输，其他人员则因为没有医院的私钥，即使中途获取数据也无法解密。最后，当医院需要发送诊断结果给健康中心时，用健康中心的公钥对数据进行加密再传输，其他用户因为没有健康中心的私钥，所以无法解密接触者的诊断结果。

4 系统性能分析

为评估加密算法的实际性能，本文开展了相关实验。 实验中，用户个人信息数据包含电话号码和模糊家庭地址，大小为26 B，基于ECC 加密方法，加密时间为0.000 964 s。 用户的健康信息可分为两部分：一是接触者每日常规上传到健康中心的健康数据；二是当接触者的健康信息异常时，健康中心打包接触者近些天的健康数据给医院。 本实验中以COVID-19 的采集数据为例，对于第一部分数据，单次采集单独上传，测试数据大小为178 B，包含发烧、呼吸困难等14 项， 实验评估加密时间约为0.001 001 s。第二部分数据实验设置为近14 天的健康信息， 数据量大约为2 505 B，实验评估加密时间为0.002 982 s，对比单次上传，时间略有增加。针对位置信息保护，本实验采用ECC 加密和AES 加密相结合的双重加密方法。 由于目前没有关于传染病接触者位置监控的数据集，因此此处采用常规位置信息数据集进行测试，位置信息中包含数据采集时间、经度、纬度。本文系统设定位置信息采用逐条加密、逐条发送的方式。 此时，单次位置信息大小约为50 B，加密时间为0.003 963 s。 本文实验在PC 上运行：配置2.30 GHz 主频的Intel i5-6200U 处理器和8 GB 内存，编程环境为Python3.7。 可见，虽然加密属于耗时较大的隐私保护方法， 但在本文提出的系统中，加密运算大都是用于单次或少量数据的加密，所需时间少，完全满足实际系统应用需求。

5 结论

本文提出了一个针对传染病接触者的远程监控系统模型，在实现用户健康和位置状态监控、分析的同时，保护了监控用户的个人数据隐私。与已有工作相比，本文兼顾了接触者健康监控、数据保护和确诊收治等多个方面，并适合无症状接触者的长期监控，为抑制疾病蔓延提供了一条新的途径。 为更好理解本文工作，做以下几点说明：(1)本文主要工作是针对接触者进行跟踪监测，寻找新的密切接触者不是本文的工作重点。(2)本文多次使用了数据加密的方法，该方法能高效保证数据在传输和使用过程的安全性，实验分析也表明计算速度能够满足系统实际应用需求。但随着数据量的增加，计算量相对较大。后续研究中，将探索新的方法，进一步降低系统的计算量。(3)本文还没有对提出的监控系统模型开展相应的系统仿真实验。 下一步工作中，将考虑基于手机软件、蓝牙技术和联合数据服务器的多种方法，模拟提出的系统架构，对相关模型和方法进行评估。