當?shù)貢r間2020年4月10日，蘋果與谷歌宣布將聯(lián)手推出一項方案，利用藍牙技術(shù)幫助政府和衛(wèi)生機構(gòu)減緩病毒蔓延，這項方案也被國內(nèi)媒體解讀為歐美版“健康碼”。對于“健康碼”這個概念，相信在國內(nèi)的大家已經(jīng)很熟悉了，疫情期間成為了防控工作的一個有效工具。當歐美版這個“健康碼”新聞出來的時候，我們第一時間也關(guān)注到了這個新聞，第一反應是美國的互聯(lián)網(wǎng)公司終于“抄作業(yè)”了。不過從我們對蘋果和谷歌的技術(shù)細節(jié)進行深入了解之后，我們發(fā)現(xiàn)這個歐美版的“健康碼”并不是直接抄作業(yè)，而是根據(jù)歐美國家的國情做了很不一樣的設(shè)計，本文也將通過分析這項技術(shù)方案的設(shè)計原則來講解歐美版的“健康碼”到底哪里不一樣。

筆者注：本文的技術(shù)分析基于蘋果和谷歌官方技術(shù)文檔，以及開源項目。DP-3T (Decentralized Privacy-Preserving Proximity Tracing)開源項目跟蘋果和谷歌沒有直接聯(lián)系，DP-3T是由一群歐洲的科學家所發(fā)起的疫情追蹤開放式協(xié)議，不過DP-3T所倡導的大部分設(shè)計思想已被蘋果和谷歌采納，因此本文的大部分內(nèi)容都來源于DP-3T開源項目的白皮書。

國內(nèi)版“健康碼”

首先讓我們來看看國內(nèi)目前健康碼大體的一個技術(shù)架構(gòu)。根據(jù)我們對所見到的健康碼分析研究，我們認為國內(nèi)健康碼大多采取的是中心化的大數(shù)據(jù)收集和分析模式，其具備以下幾個特點：

中心化存儲所有用戶的行程和身份信息，方便統(tǒng)一進行大數(shù)據(jù)分析和調(diào)控。

沒有確診的用戶數(shù)據(jù)也會上傳，確保出現(xiàn)疫情的時候能夠快速通知到密切接觸人群。

收集的用戶信息包含了身份信息，行程信息等敏感數(shù)據(jù)，方便進行數(shù)據(jù)關(guān)聯(lián)分析。

數(shù)據(jù)生命周期不太明確，超過一定天數(shù)的數(shù)據(jù)是否刪除掉沒有統(tǒng)一標準。

基于以上幾個特點，國內(nèi)的健康碼實行起來可以達到高效快速甄別密切接觸人群的目的，不過一定程度上用戶數(shù)據(jù)的隱私?jīng)]有徹底的保護，數(shù)據(jù)被濫用的可能性也存在。那么，讓我們看看國外是怎么設(shè)計的吧。

歐美版“健康碼”

設(shè)計目標

由于歐美國家的對于數(shù)據(jù)隱私保護上有很強的監(jiān)管，因此在設(shè)計疫情監(jiān)控方案的時候，需要充分考慮到數(shù)據(jù)隱私保護的影響。同時，歐美民眾天然對政府和大型企業(yè)缺乏信任，過度中心化的架構(gòu)在做疫情監(jiān)控上也會有不少主力，因此谷歌和蘋果在提出他們的疫情監(jiān)控方案時候，在同時滿足能夠快速確定密切接觸人群的同時，需要滿足一下幾點數(shù)據(jù)隱私保護要求：

最小化收集的數(shù)據(jù)量。疾控部門應該盡可能的減少對數(shù)據(jù)收集的要求，同時確保數(shù)據(jù)匿名化，也就是脫敏。數(shù)據(jù)只保留能夠快速追蹤密切接觸人群的最必要部分，任何機構(gòu)都沒法從這個數(shù)據(jù)里面獲取敏感個人信息。

不上傳沒有確診用戶數(shù)據(jù)。用戶在沒有確診的時候，在沒有征得用戶授權(quán)之前，數(shù)據(jù)不能上傳到疾控部門那里，數(shù)據(jù)會一直留在用戶自己的手機里面。

過期數(shù)據(jù)定期刪除。所有數(shù)據(jù)應該有一個固定的過期時間，超過這個時間數(shù)據(jù)應該刪除，進一步降低數(shù)據(jù)泄露的風險。

盡可能杜絕數(shù)據(jù)濫用。因為收集的數(shù)據(jù)量是極少的，而且在發(fā)送給后端之前已經(jīng)進行了匿名化處理，數(shù)據(jù)被大規(guī)模濫用的可能性也會降到最低。

基于上述數(shù)據(jù)隱私保護要求，我們來看看歐美版的“健康碼”，是如何具體設(shè)計的。

技術(shù)細節(jié)

簡單來講，歐美版的“健康碼”采用藍牙的BLE(Bluetooth Low Energy)廣播技術(shù)，這項技術(shù)可以讓設(shè)備通過低功耗藍牙協(xié)議，向周圍的近距離其他藍牙設(shè)備進行廣播信息。由于目前智能手機基本具備藍牙功能，因此這個技術(shù)方案設(shè)計了一個在近距離接觸其他設(shè)備時候的信息收集方式，讓我們來看看是他們怎么做的。

首先，每個設(shè)備都需要生成Ephemeral IDs(臨時身份標示符)。EphID生成是依賴某種密碼學算法，因此需要一個私鑰SK。這個私鑰為了確保安全，是需要每天進行更換，當天的私鑰是根據(jù)前一天的私鑰的某種哈希值而生成：

另外為了進一步確保EphID的匿名性，該設(shè)計要求每天需要生成若干個新的EphIDs，根據(jù)相應的時間間隔進行輪換。這個輪換的時間間隔是可以按照分鐘進行配置，假如是30分鐘，那么每天需要生成48個EphIDs以供輪換。生成EphIDs的算法如下：

PRF是個偽隨機函數(shù)(例如：HMAC-SHA256)，“broadcast key”是個固定公開的字符串，PRG是一個流加密函數(shù)(例如：AES CTR模式)產(chǎn)生n個16 bytes的EphIDs。然后設(shè)備可以將這個生成的n個EphIDs隨機打亂順序，然后依次進行使用。這些生成的EphIDs都會存在設(shè)備本地，以供后續(xù)使用。

當設(shè)備有了這些EphID來表示自己的身份之后，會在設(shè)備開啟過程中持續(xù)向周圍安裝了同樣服務的設(shè)備廣播自己的EphID，因此這些設(shè)備在運行過程中都會存儲除了自己的 EphID之外的，收到的其他人的EphID，以及一些包含了收到時間的輔助信息。這些設(shè)備本地會有一個數(shù)據(jù)過期時間的配置，例如14天，超過這個時間窗口的數(shù)據(jù)會被自動清除。我們可以算出來，如果一個人每天接觸100個人，每個人每天有100個EphIDs，14天窗口內(nèi)，可能需要存儲140k個EphID，EphID的存儲代價是32bytes，因此總體數(shù)據(jù)量是 4.2 MB，這是一個非常小的數(shù)據(jù)量了。

那么，當一個患者確診之后的流程又是怎樣的呢，我們可以參考上圖：

1.患者主動或者被動(根據(jù)所在國政策)上傳具有傳染性第一天的私鑰信息到后端服務器。這個后端服務器可以是互聯(lián)網(wǎng)公司的云，也可以是政府機構(gòu)的機房。

2.后端服務器在收到信息之后會廣播確診患者的私鑰信息，給所有使用該服務器的設(shè)備。這種廣播可以是通過推送的方式進行，也可以是手機設(shè)備通過定期輪詢抓取的方式進行。

3.手機收到相關(guān)患者私鑰信息之后，會在本地進行一些計算，以確認感染風險，如果感染風險高于閾值，會觸發(fā)手機報警。

4.對于高于風險閾值的密切接觸者，可以選擇將自己與患者的接觸信息，包括次數(shù)，相對時間等脫敏后的匿名數(shù)據(jù)，上傳給疾控部門或者流行病學家。這種上傳可以是定期批量上傳，以節(jié)省手機的資源消耗。當然很重要的一點是，用戶也可以選擇不上傳。

5.確診患者在確保已完成私鑰上傳之后，需要重新隨機生成一個全新的私鑰，這樣的話確保之后的隱私不會被侵犯。

根據(jù)以上的確診患者的數(shù)據(jù)上報流程，我們可以總結(jié)這套設(shè)計方案有以下幾個特點：

后端服務器扮演的是一個通信媒介的作用，本身不做大規(guī)模的數(shù)據(jù)存儲和分析。這樣就算是后端服務器被黑或者被濫用，也可以將隱私泄露的風險降到最低。

對于是否要分享自己的信息給疾控中心相關(guān)人員，用戶有自己的選擇權(quán)。對于不想共享這部分數(shù)據(jù)的用戶，可以在自己的手機上關(guān)閉。

疾控中心收到的所有用戶分享的數(shù)據(jù)全部匿名化脫敏處理，而且數(shù)據(jù)量非常有限。因此無法從收到的數(shù)據(jù)里面探知具體的位置信息，真實身份信息等等。

兩種“健康碼”比較

從上面我們對于兩種“健康碼”技術(shù)架構(gòu)的分析來看，歐美版的“健康碼”在隱私保護上的確有下足功夫，具體可以表現(xiàn)為以下幾個優(yōu)勢：

數(shù)據(jù)收集量很小，每個人每天的數(shù)據(jù)量<1MB。

無敏感數(shù)據(jù)收集，數(shù)據(jù)匿名化處理，用密碼學方法保證隱私性。

超過一定時間的數(shù)據(jù)會被清除。

未確診患者數(shù)據(jù)無需上傳，用戶在數(shù)據(jù)上傳上有選擇權(quán)。

去中心化架構(gòu)為主，中心化服務器只作為通信媒介。

不過，從我們對實際運行情況了解來看，這套方案在現(xiàn)實推廣中也會遇到不少問題，總結(jié)來說我們認為會有以下幾個劣勢：

設(shè)備如果未開啟藍牙、藍牙功能缺失或者遇到手機沒有電，這部分工作就完全無法進行。

藍牙傳輸協(xié)議的安全性有待商榷，已知已有多種針對藍牙傳輸協(xié)議的安全攻擊。

在人口密集區(qū)域，這套廣播協(xié)議對設(shè)備電量損耗和實際傳輸成功效率都會有不少影響。

如果很大一部分用戶不積極主動上傳數(shù)據(jù)給疾控部門，疫情防控工作效率會大打折扣。

如果被不懷好意的人利用這套協(xié)議惡意提交錯誤數(shù)據(jù)，比如提交錯誤的接觸數(shù)據(jù)等，會造成一定程度的錯誤判斷。

所以，具體運行過程中這套協(xié)議是否能夠有效，非常取決于所在地的國情，我們將繼續(xù)觀察這套技術(shù)協(xié)議在落地過程中的情況。