家庭医疗数据的端到端加密方案

家庭医疗数据的端到端加密方案演讲人01家庭医疗数据的端到端加密方案02引言：家庭医疗数据的安全之痛与加密的必然选择引言：家庭医疗数据的安全之痛与加密的必然选择作为一名长期深耕医疗信息化领域的从业者，我曾见证过太多因数据泄露导致的家庭悲剧：一位退休教师的慢性病病历被不法分子窃取后，其家人接到精准诈骗电话，险些造成财产损失；某社区家庭健康云平台因传输环节加密缺失，导致上百户居民的体检报告和用药记录在公网裸奔，最终引发群体性隐私焦虑。这些案例让我深刻意识到：家庭医疗数据——这一包含个人基因信息、病历记录、用药史、生命体征等高度敏感信息的“数字生命体征”，正成为数据黑灰产觊觎的“新富矿”。而传统加密手段在“端到端”场景下的能力短板，让家庭医疗数据的安全防线亟需一次系统性重构。家庭医疗数据的“端到端加密”，绝非简单的技术叠加，而是从数据产生、传输、存储到销毁的全生命周期闭环保护——确保数据仅被授权的“端”（如患者本人、家庭成员、合作医疗机构）访问，中间环节（云服务商、网络运营商、设备厂商）均无法获取明文。引言：家庭医疗数据的安全之痛与加密的必然选择这种模式不仅能满足《个人信息保护法》《数据安全法》对敏感医疗数据的合规要求，更能从根本上重建家庭对医疗数字化的信任。本文将从家庭医疗数据的现状与风险出发，系统拆解端到端加密的技术架构、场景挑战、实施路径，并展望未来发展趋势，为构建“安全可及、隐私可控”的家庭医疗数据生态提供一套完整的解决方案。03家庭医疗数据的现状：价值凸显与风险并存1家庭医疗数据的范畴与核心价值家庭医疗数据是家庭成员在健康管理、疾病诊疗过程中产生的各类信息的总和，其范畴远超传统医疗记录的边界，具体可分为四类：-基础健康数据：包括身高、体重、血压、血糖、心率等可穿戴设备实时采集的生命体征数据，以及体检报告、疫苗接种记录等静态健康档案；-诊疗过程数据：门诊病历、住院记录、手术方案、用药清单、影像报告（CT、MRI等）由医疗机构产生的结构化与非结构化数据；-行为与环境数据：家庭成员的运动轨迹、饮食记录、睡眠质量、居家环境监测（如空气质量、温湿度）等关联健康行为的数据；-遗传与基因数据：家族病史、基因检测结果、遗传病风险预测等具有终身标识性的高敏感数据。321451家庭医疗数据的范畴与核心价值这些数据的核心价值在于“全周期健康管理”：对个人而言，可形成从“预防-诊断-治疗-康复”的连续健康画像；对家庭而言，能为老人、儿童、慢性病患者提供精准照护支持；对社会而言，大数据脱敏分析后可为公共卫生政策制定提供底层支撑。例如，通过分析区域家庭糖尿病患者的用药数据与血糖监测数据，可优化社区慢病管理资源配置；通过家族遗传数据的聚合，可提升遗传病的早期筛查率。2家庭医疗数据泄露的典型案例与危害家庭医疗数据的敏感性远超普通个人信息，一旦泄露，其危害具有“长期性、精准性、连锁性”三大特征：-精准诈骗与财产损失：不法分子通过获取患者的慢性病史、用药信息，冒充“专家”进行“靶向诈骗”。如2022年某省破获的“医疗数据黑产案”中，犯罪团伙通过非法购买10万条家庭糖尿病患者的胰岛素使用记录，精准伪造“特效药”广告，导致300余名老人被骗，涉案金额超2000万元；-就业与保险歧视：基因数据、精神疾病史等敏感信息若被泄露，可能导致个人在求职、投保时遭遇隐性歧视。某互联网公司员工因抑郁症病史被公司“优化”，后查证其病历信息通过家庭共享云盘泄露；2家庭医疗数据泄露的典型案例与危害-家庭关系与心理创伤：家庭成员的健康隐私泄露可能引发家庭矛盾。如某家庭云盘被攻破，未成年子女的先天疾病记录被邻里传播，导致孩子遭受校园霸凌，母亲出现重度抑郁。-公共卫生安全风险：疫情期间，部分家庭健康监测APP因未加密传输用户核酸数据，导致数据被爬虫抓取，引发区域疫情传播链溯源困难。3现有安全机制的局限性当前家庭医疗数据的安全防护多依赖“传输加密”“存储加密”等单一环节措施，存在明显短板：-传输加密的“伪安全”：多数健康设备采用HTTPS传输加密，仅保障数据在网络传输过程中的安全，但服务器端仍可获取明文，且存在中间人攻击风险（如伪造证书）；-存储加密的“中心化信任”：传统云存储服务多采用“服务商保管密钥”模式，用户无法确信服务商是否合规使用数据，且内部人员权限过大易导致数据泄露（如2021年某云服务商员工违规导出用户健康数据事件）；-权限管理的“粗放化”：家庭数据共享多依赖“账号密码”或“简单授权”，无法实现“按数据类型、时间、场景”的精细化权限控制，例如子女能否查看父母的用药记录？临时保姆能否访问孩子的健康数据？现有机制难以回答这类问题；3现有安全机制的局限性-跨平台兼容的“碎片化”：不同品牌健康设备（如小米手环、AppleWatch）、医疗APP（如平安好医生、微医）采用不同的加密标准，数据无法在家庭场景下安全互通，形成“数据孤岛”。04端到端加密的核心原理与技术架构端到端加密的核心原理与技术架构端到端加密（End-to-EndEncryption,E2EE）的核心是“密钥分置”与“数据脱敏”——数据仅在发送端加密，在接收端解密，中间环节始终以密文形态存在。要实现家庭医疗数据的端到端保护，需从“加密算法、密钥管理、协议设计、数据生命周期”四个维度构建完整技术栈。1端到端加密的定义与核心特征1与“传输加密”“端到端安全”等概念不同，端到端加密的“端”特指“数据主权端”，即数据产生者（如患者本人）与合法接收者（如家庭成员、医疗机构），其核心特征可概括为“三权分立”与“全程可控”：2-数据主权归属用户：加密密钥仅由用户或其授权方持有，服务商、设备厂商等第三方无法获取，用户拥有数据的绝对控制权；3-中间环节无法解密：从设备采集到云端存储，从数据传输到第三方调用，全程以密文形态存在，即使服务器被攻击或网络被监听，攻击者也无法获取原始数据；4-可验证的安全透明：用户可通过公开的加密算法（如AES-256、RSA-4096）验证加密过程，服务商无法“后门”操作，实现“安全可审计”。2关键技术支撑：从算法到协议的底层逻辑端到端加密的实现依赖于四大核心技术，这些技术的协同作用，构成了家庭医疗数据的安全“护城河”：2关键技术支撑：从算法到协议的底层逻辑2.1对称加密与非对称加密的协同应用对称加密（如AES-256）与非对称加密（如ECC、RSA）是端到端加密的“双引擎”：-对称加密：用于数据的bulk加密，具有加解密速度快、效率高的优点，适合生命体征等高频数据的实时加密。例如，智能手环采集的心率数据在本地通过AES-256加密后传输，确保数据采集与传输环节的效率；-非对称加密：用于密钥交换与身份认证，其“公钥加密、私钥解密”的特性解决了对称加密的密钥分发难题。例如，家庭成员A要向家庭成员B共享血糖数据，A使用B的公钥加密数据密钥，B用自己的私钥解密，全程无需明文传输密钥。在家庭场景中，二者需协同工作：设备采集数据后，用对称加密生成数据密钥（DK），再用家庭成员的公钥加密DK（称为“封装密钥”EK），传输时同时发送密文数据与EK，接收端用私钥解密EK后得到DK，再解密数据。这种模式兼顾了效率与安全。2关键技术支撑：从算法到协议的底层逻辑2.2密钥管理：端到端加密的“生命线”密钥管理是端到端加密的核心难点，其复杂度远超传统加密场景，需遵循“全生命周期管控”原则：-密钥生成：采用硬件级随机数生成器（TRNG）生成密钥，避免伪随机数带来的可预测风险。例如，支持TEE（可信执行环境）的智能手表可在安全芯片中生成AES密钥，防止密钥被软件窃取；-密钥存储：采用“分散存储+硬件隔离”策略。私钥存储在TEE或SE（安全元件）中，与操作系统隔离；家庭成员密钥可分散存储在各自的终端设备（如手机、平板）上，通过“家庭密钥环”统一管理，避免单点泄露风险；-密钥轮换：建立动态密钥轮换机制。高频数据（如心率）采用“每日轮换”，低频敏感数据（如基因数据）采用“每轮换”，密钥泄露时可通过“吊销-重发”机制快速更新，减少影响范围；2关键技术支撑：从算法到协议的底层逻辑2.2密钥管理：端到端加密的“生命线”-密钥备份与恢复：支持“家庭成员互助备份”与“秘密分片”技术。例如，父母密钥可由子女、家庭医生分片持有，需多方授权才能恢复，避免遗忘或单点故障导致数据丢失。2关键技术支撑：从算法到协议的底层逻辑2.3零知识证明：隐私保护的“利器”零知识证明（Zero-KnowledgeProof,ZKP）允许证明者向验证者证明某个论断为真，无需泄露任何额外信息，在家庭医疗场景中可用于“数据可用不可见”：-健康数据共享验证：子女向父母证明“本周运动达标”却不共享具体运动轨迹，可通过ZKP生成“运动量达标”的证明，父母验证证明即可，无需获取原始数据；-医疗机构数据调用验证：医院需调取患者的既往病史，但患者不希望完整病历泄露，可通过ZKP证明“患者无过敏史”或“疫苗接种完整”，医院仅获取验证结果而非原始数据；-隐私计算协同：结合联邦学习，家庭成员可在不共享原始数据的情况下，共同训练健康预测模型。例如，10个家庭共享糖尿病饮食管理模型，每个家庭本地训练模型参数，仅上传加密后的参数聚合，最终得到全局模型且不泄露个体数据。2关键技术支撑：从算法到协议的底层逻辑2.4端到端加密协议：标准化的安全沟通语言端到端加密需依赖统一协议确保不同设备、平台间的兼容性，家庭医疗场景推荐采用以下开源协议：-SignalProtocol：最初为即时通讯设计，但其“双棘轮算法”（DoubleRatchet）能实现“前向保密”与“后向保密”——即使某轮密钥泄露，历史与未来通信仍安全。适配家庭健康设备后，可保障远程诊疗、实时数据传输的安全性；-OMEMO协议：基于SignalProtocol扩展，支持多设备多端加密，适合家庭多设备场景（如父母的手机、智能音箱、子女的平板均可接收加密数据）；-HL7FHIR标准：医疗数据交换的通用标准，结合端到端加密后，可在FHIR资源（如Observation、Medication）中嵌入密文与密钥元数据，确保跨机构数据调用的安全。3端到端加密的完整生命周期流程家庭医疗数据的端到端加密需覆盖“采集-传输-存储-访问-销毁”全流程，每个环节的加密策略需适配数据类型与场景需求：3端到端加密的完整生命周期流程3.1数据采集端：本地加密与身份绑定-设备层加密：可穿戴设备（血压计、血糖仪）在传感器采集数据后，立即通过本地TEE模块加密，生成“设备ID+时间戳”的密文标识，防止设备被物理篡改（如替换芯片伪造数据）；-用户身份绑定：通过生物识别（指纹、面部）或硬件密钥（如Ukey）绑定用户身份，确保只有本人或授权家庭成员可启动数据采集，避免设备被盗用导致数据泄露。3端到端加密的完整生命周期流程3.2数据传输端：安全通道与协议校验-端到端加密通道：采用TLS1.3+SignalProtocol构建传输层，TLS保障网络传输安全，SignalProtocol确保数据端到端加密，防止中间人攻击；-协议完整性校验：每条数据传输附加HMAC（哈希消息认证码）签名，接收端校验签名确保数据未被篡改，例如智能手环向手机传输心率数据时，数据包中包含“密文+HMAC签名”，手机解密后校验签名，若签名不匹配则丢弃数据。3端到端加密的完整生命周期流程3.3数据存储端：密文存储与访问隔离-云存储密文化：家庭医疗数据上传云端时，以“密文+元数据”形式存储，元数据仅包含数据类型、加密算法、密钥索引等非敏感信息，原始数据始终加密；-存储隔离：采用“数据分级存储”策略，基础健康数据（如步数）存储在低成本对象存储，敏感数据（如基因数据）存储在加密文件系统（如LUKS），且不同家庭成员数据逻辑隔离，避免越权访问。3端到端加密的完整生命周期流程3.4数据访问端：动态授权与细粒度控制-基于属性的访问控制（ABE）：实现“谁在何时何地可访问何种数据”的精细化授权。例如，子女仅在“工作日9:00-18:00”且“定位在公司”时可访问父母的“用药提醒”，其他时段自动失效；-临时授权机制：对于临时照护者（如保姆、护工），可生成“一次性访问令牌”，授权其访问“儿童体温记录”等特定数据，令牌使用后自动销毁，避免长期权限滥用。3端到端加密的完整生命周期流程3.5数据销毁端：安全擦除与不可恢复-主动销毁：用户发起数据删除请求后，系统通过“覆写+物理销毁”方式彻底删除密钥与密文：对存储设备进行3次以上随机覆写，防止数据恢复；对硬件安全模块中的密钥，执行“熔断”指令使其永久失效；-被动销毁：数据达到法定保存期限（如病历保存30年）后，系统自动触发销毁流程，同时生成销毁日志，确保数据可追溯、无残留。05家庭场景下的特殊挑战与解决方案家庭场景下的特殊挑战与解决方案家庭医疗数据的端到端加密并非简单的技术移植，需直面家庭场景的“人、机、环、法”四大特殊性：多设备协同、权限复杂、用户群体差异大、合规边界模糊。这些挑战决定了端到端加密方案必须“以人为本”，在安全与易用性间找到平衡。1多设备协同与跨平台兼容性挑战家庭场景中，健康设备往往呈现“多品牌、多系统、多协议”的特征：父亲用华为手表监测心率，母亲用小米手环记录睡眠，孩子用AppleWatch定位，医疗数据存储在家庭NAS中。这种“碎片化”环境导致端到端加密面临“协议不兼容”“密钥难同步”“数据无法聚合”三大难题。1多设备协同与跨平台兼容性挑战解决方案：构建“加密中间件+统一协议”的协同架构-加密中间件：在家庭网络中部署轻量级“家庭加密网关”（如基于树莓派的本地服务器），作为数据中转枢纽。各设备通过标准化API（如MQTT）将加密数据传输至网关，网关统一转换为SignalProtocol密文，再分发给家庭成员终端，实现“异构设备加密协同”；-跨平台兼容层：基于HL7FHIR标准开发“家庭健康数据模型”，将不同设备的原始数据映射为统一的FHIR资源（如Observation、Device），并在资源中嵌入加密元数据，确保不同平台（iOS、Android、Windows）能解析密文并正确展示；-密钥同步机制：采用“家庭密钥服务器”管理共享密钥，支持设备加入/退出时的密钥分发。新设备加入家庭时，需通过家庭成员的生物识别验证，获取解密密钥；设备退出时，密钥自动吊销，确保“人走密销”。2家庭成员权限精细化管理需求家庭场景的权限管理远超企业“最小权限原则”，需考虑“亲情代际”“临时应急”“数据敏感性”等多重因素：-代际差异：父母需查看未成年子女的完整健康数据，但子女成年后需对父母部分隐私（如精神健康记录）设限；-临时需求：子女临时出差时，需授权保姆访问老人的“用药提醒”，但不希望其看到“病历详情”；-数据敏感度：基础健康数据（如步数）可全家庭共享，而基因数据、传染病记录需严格限制访问范围。2家庭成员权限精细化管理需求解决方案：基于“角色-数据-场景”的三维权限模型-角色定义：将家庭成员划分为“数据所有者”（如本人）、“一级亲属”（父母、子女）、“二级亲属”（配偶、兄弟姐妹）、“临时照护者”（保姆、护工）四类角色，每类角色预设基础权限；12-场景化授权：通过“时间+地点+行为”三要素动态调整权限。例如，“一级亲属”在“夜间23:00-次日6:00”访问“敏感级”数据时，需额外验证“紧急联系人”身份；临时照护者仅在“老人用药时间”可访问“用药提醒”数据，其他时段自动锁定。3-数据分级：按敏感度将数据分为“公开级”（如步数、运动记录）、“敏感级”（如血压、用药记录）、“核心级”（如基因数据、传染病记录），不同级别对应不同权限策略；3老年用户与低技术接受群体的易用性平衡老年人是家庭医疗数据的核心使用者，但其对加密技术的接受度低、操作能力弱，易出现“因繁琐放弃加密”“误操作导致数据无法访问”等问题。例如，某老年患者因忘记密钥备份，导致智能手环数据无法同步至子女手机，延误了慢性病管理。3老年用户与低技术接受群体的易用性平衡解决方案：“无感加密+辅助工具”的双轨设计-无感加密：在终端设备中预设“默认加密策略”，老年用户无需手动设置，设备自动完成数据采集、加密、传输。例如，智能血压计测量后自动加密数据并同步至家庭云，用户仅需查看APP中的明文结果，无需接触加密操作；-辅助工具：-生物识别替代密码：支持指纹、面部识别解锁密钥，避免记忆复杂密码；-亲情助解机制：当用户忘记密钥时，可通过“亲情验证”（如子女视频确认+短信验证码）申请临时密钥，同时记录访问日志；-语音交互引导：通过智能音箱提供语音操作指引，如“您想查看今天的血压数据，请对设备说‘打开血压记录’”。4合规性与伦理边界：法律与情感的双重考量家庭医疗数据涉及个人隐私与家庭伦理，端到端加密方案需在“合规”与“伦理”间找到平衡：-合规边界：根据《个人信息保护法》，家庭医疗数据属于“敏感个人信息”，处理需取得“单独同意”，且应“最小必要”。例如，基因数据需本人单独授权，不得默认共享给家庭成员；-伦理困境：当家庭成员（如老年痴呆症患者）无法自主授权时，其健康数据的管理需兼顾“照护需求”与“隐私保护”。例如，子女可代理管理数据，但需设置“访问告警”，每次查看敏感数据时向患者推送提醒（如“您的子女正在查看用药记录”）。06解决方案：合规框架下的“伦理优先”设计解决方案：合规框架下的“伦理优先”设计1-合规流程嵌入：在数据采集、共享环节嵌入“同意管理平台”，用户可通过“家庭数据授权中心”可视化管理授权范围，支持随时撤销；2-伦理决策机制：针对无民事行为能力人，设置“家庭伦理委员会”（由配偶、成年子女、社区医生组成），共同决策数据管理规则，避免单一成员滥用权限；3-跨境数据合规：若涉及跨国医疗机构协作，需采用“本地化存储+跨境脱敏”模式，敏感数据（如基因数据）不得出境，非敏感数据出境前通过差分隐私技术脱敏。07实施路径与最佳实践：从技术方案到落地应用实施路径与最佳实践：从技术方案到落地应用端到端加密方案在家庭场景的落地，需遵循“小步快跑、试点验证、生态协同”的原则，避免“一蹴而就”的技术冒进。结合过往项目经验，本文提出“技术选型-分阶段实施-用户培训-场景应用”四步实施路径。1技术选型与方案设计原则技术选型优先级：开源优先、国密合规、硬件级安全-开源框架：优先采用SignalProtocol、OMEMO等开源加密协议，避免闭源后门风险；-国密算法：加密算法需符合GM/T0002-2012《SM2椭圆曲线公钥密码算法》、GM/T0003-2012《SM4分组密码算法》等国家标准，满足国内合规要求；-硬件级安全：终端设备需支持TEE或SE安全芯片，密钥存储与运算均在硬件隔离环境中进行，防止软件攻击。方案设计原则：最小权限、零信任、透明加密-最小权限：严格控制数据访问范围，默认“无授权不访问”，按需逐步开放权限；-零信任：不信任任何内部或外部主体，每次数据访问均需重新验证身份与权限；1技术选型与方案设计原则技术选型优先级：开源优先、国密合规、硬件级安全-透明加密：用户无需理解加密原理，系统在后台自动完成加密/解密，确保“易用性不妥协安全性”。2分阶段实施路线图：从试点到规模化：单设备试点（1-3个月）-目标：验证端到端加密在单一设备场景的可行性，解决“设备-手机”端到端加密问题；-实施内容：选择某品牌智能手环作为试点设备，集成AES-256对称加密与ECC非对称加密，实现手环数据加密传输至手机APP，家庭成员通过手机查看明文数据；-关键指标：加密传输成功率≥99.9%，用户操作步骤≤3步，数据泄露事件为0。第二阶段：家庭场景扩展（4-6个月）-目标：构建“多设备-家庭云-成员终端”的端到端加密网络，实现家庭数据共享与权限管理；-实施内容：部署家庭加密网关，支持血压计、血糖仪、智能手表等多设备接入，开发家庭权限管理平台，实现“角色-数据-场景”三维授权；2分阶段实施路线图：从试点到规模化：单设备试点（1-3个月）-关键指标：支持设备类型≥5种，权限配置响应时间≤1秒，用户对权限管理满意度≥90%。第三阶段：机构协同对接（7-12个月）-目标：打通家庭端与医疗机构的端到端加密通道，实现“家庭-医院”数据安全共享；-实施内容：与社区医院合作，基于HL7FHIR标准开发接口，支持家庭健康数据加密传输至医院电子病历系统，医院通过零知识验证获取必要信息；-关键指标：数据跨机构传输成功率≥98%，验证时间≤5秒，医生对数据可用性满意度≥95%。3家庭用户操作指南与培训操作指南：“三步走”实现家庭加密管理-第一步：创建家庭组：在家庭健康APP中创建“家庭组”，邀请成员通过二维码加入，设置“家庭管理员”（负责初始权限配置）；-第二步：配置权限：管理员进入“权限中心”，为每个成员分配角色与数据访问权限，支持“一键复制权限”至相似角色；-第三步：备份密钥：家庭成员需将密钥备份至“亲情密钥环”（如子女备份父母密钥），同时开启“密钥找回助手”（通过邮箱+安全问题找回）。培训策略：“线上+线下”分层培训-老年用户：社区线下讲座+短视频教程，重点讲解“如何查看数据”“如何授权”“如何求助”；-年轻用户：线上APP内置引导手册，设置“加密知识闯关游戏”，提升操作熟练度；3家庭用户操作指南与培训操作指南：“三步走”实现家庭加密管理-家庭管理员：专业认证培训，掌握权限配置、应急处理（如密钥泄露）、合规审计等技能。4典型场景应用案例：慢性病家庭管理场景描述：王先生（65岁，高血压患者）与子女异地居住，需远程监测其血压数据，同时保障数据不被泄露。端到端加密方案应用：-数据采集：王先生使用支持TEE的智能血压计测量血压，数据本地加密后通过SignalProtocol传输至家庭加密网关；-权限管理：子女被设置为“一级亲属”，仅可在“工作日9:00-21:00”访问“血压记录”，且每次访问需验证面部识别；-数据共享：若血压异常（如≥160/100mmHg），系统自动加密异常数据并推送至子女手机，同时触发“家庭医生”权限，医生通过零知识验证获取异常数据详情，无需查看完整病历；4典型场景应用案例：慢性病家庭管理-应急处理：王先生忘记血压计开机密码时，通过子女视频确认+社区医生短信验证，申请临时密钥，24小时内自动失效。效果：运行1年来，王先生的血压数据传输成功率99.99%，子女未发生数据泄露事件，医生通过加密数据调整用药方案3次，血压控制达标率提升至85%。08未来展望：技术演进与生态协同未来展望：技术演进与生态协同端到端加密在家庭医疗数据领域的应用仍处于发展初期，随着人工智能、量子计算、区块链等技术的兴起，其安全边界与能力将不断拓展，同时需构建“技术-标准-生态”三位一体的协同体系，才能应对未来的复杂挑战。1人工智能与隐私计算的融合联邦学习+端到端加密：家庭成员可在本地训练健康预测模型（如糖尿病风险预测），仅上传加密后的模型参数至云端聚合，得到全局模型后下发至各终端，实现“数据不出家、模型共训练”。例如，某社区100个家庭通过联邦学习共享慢病管理模型，预测准确率提升20%，且无原始数据泄露风险。差分隐私+端到端加密：在健康数据统计分析中，通过差分隐私技术向数据集中添加“可控噪声”，确保个体数据不被识别，同时保留群体统计价值。例如，分析家庭运动数据时，可得出“本社区日均步数8000步”的结论，但无法定位具体个人的步数。2区块链技术增强密钥管理与数据溯源基于区块链的密钥管理：将家庭密钥的生成、分发、轮换记录上链，利用区块链的“不可篡改”特性确保密钥操作可追溯。例如，子女申