DOI:10.13878/ j.cnki.jnuist.2017.05.006
郑立新
1,2
Jixin MA
3
姚孝明
1
轻量级 RFID 医疗信息系统安全协议的研究
摘要
针对未来医疗信息系统中采用轻量
级射频识别( RFID) 技 术的安全与隐私
保护问题,构建了医疗信息系统的通用
流程模型,并由此提出了既有安全协议
的改进方案. 新方案利用业务流程中前
导关联信息缩减搜索空间. 安全分析表
明,新方案能够有效平衡不可追踪性与
伸缩性 矛 盾 需 求,抗 击 各类 攻 击, 支 持
RFID 标签复用,且与既有 EPC C1G2 标
准兼容.
关键词
射频识别( RFID);隐私 保 护;不可
追踪性; 通 用 流 程 模 型; 标 签 复 用; 伸
缩性
中图分类号 TP309
文献标志码 A
收稿日期 2017⁃06⁃25
资助项目 国家自然科学基金 (61462023)
作者简介
姚孝明,男,博士,教授,研究方向为隐私
保护、信息隐藏.xiaomingyao@ 163.com
1 海南大学 信息科学技术学院,海口,570228
2 海南大学 医院,海口,570228
3 格林威治大学 计算与信息系统 系,伦敦,
SE10 9LS
0 引言
射频识别(RFID)技术由于能够无接触自动完成多个标签识别读
取而成为物联网核心技术,在包括医疗事故预防、信息处理等领域有
着广泛应用.但是,读卡器与 RFID 标签之间的信道不安全,其中交换
的大量时空数据可能为恶意第三方所截获或偷听并用于数据挖掘或
大数据分析,其安全性及隐私保护成为近 10 年来业界普遍关注的
课题
[1⁃3]
.
由于硬方法如法拉第罩等大多成本高且使用限制多,目前大多
数研究人员都选择采用软方法,即通过相应的认证协议来达到期望
目标.后者又大抵分为两大类:1) 单个标签的双向认证协议
[4]
;2) 群
组标签的双向认证协议
[5⁃9]
.在上述协议方法基础上,一些方法甚至还
考虑了医疗信息系统的特殊要求,如业务场地、纸质表单核查等物理
限制
[10⁃11]
.
RFID 技术应用的总的困难在于
[12]
:1) RFID 标签计算能力极其
有限, 难 以 完 成 复 杂 的 密 码 学 运 算; 2 ) 标 签 的 唯 一 性 ( unique
attribute)或伸缩性( scalability) 与隐私保护所需的不可追踪性 ( un⁃
traceability)之间的平衡.
我们发现,医疗信息系统中数据流具有显著的前导性关联流程
规则特点,即除挂号模块外,其他模块都采用上一模块关联数据作为
本模块的处理依据.例如,患者必须先挂号确定分诊科室,凭挂号单方
可得到相关医师的诊治;住院登记也必须具备相应主治医师的意见
等.这一流程规则能够为相应的匿名空间搜索提供良好的筛选机制,
从而有效地解决伸缩性与不可追踪性之间的平衡问题. 基于这一发
现,本文首先构建了一个包括门诊和住院在内的所有业务的通用数
据流程模型,围绕挂号、诊断、检查、用药等典型模块对既有协议进行
评估,指出其安全漏洞,由此提出了能够弥补那些漏洞并有效解决不
可追踪性与伸缩性平衡问题的改进方案,最后给出了详细的安全性
分析与性能比较讨论.
1 通用数据流程模型
一般而言,患者就诊的基本流程包括:挂号、就诊、检查 / 检验、划
价、缴费、取药、治疗、离开医院 / 住院等.依据文献[13],患者数据流的
基本结构可概要地描述为若干子系统,如图 1 所示.
评论0