，，

(上海工程技術(shù)大學(xué) 電子電氣工程學(xué)院，上海 201620)

無線醫(yī)療傳感網(wǎng)的匿名雙向身份認(rèn)證研究

丁邢濤，鐘伯成，朱淑文

(上海工程技術(shù)大學(xué) 電子電氣工程學(xué)院，上海 201620)

針對無線醫(yī)療傳感網(wǎng)系統(tǒng)中通信實(shí)體身份問題，提出了一種雙向身份認(rèn)證方案，包括初始化、用戶注冊、身份認(rèn)證和機(jī)密信息及口令更新4個階段。該方案實(shí)現(xiàn)了用戶、醫(yī)療傳感節(jié)點(diǎn)和個人服務(wù)器三者之間的雙向身份認(rèn)證，保證用戶匿名性的同時能夠抵御多種攻擊。與現(xiàn)有的兩種認(rèn)證方案相比，降低了時間復(fù)雜度，同時具有更高的安全性，適用于無線醫(yī)療傳感網(wǎng)。

無線醫(yī)療傳感網(wǎng)；安全隱私；身份認(rèn)證

引 言

近幾年隨著“互聯(lián)網(wǎng)+”口號的提出，無線醫(yī)療傳感網(wǎng)吸引了眾多研究領(lǐng)域?qū)＜业膹V泛關(guān)注。無線醫(yī)療傳感網(wǎng)中包含許多可穿戴式醫(yī)療傳感節(jié)點(diǎn)，通過這些節(jié)點(diǎn)可以對老人或者病人狀況進(jìn)行遠(yuǎn)程實(shí)時監(jiān)控。無線醫(yī)療傳感網(wǎng)作為一項(xiàng)富有前景的技術(shù)，將會改變傳統(tǒng)的醫(yī)療方式，然而其使用又面臨著病人數(shù)據(jù)與隱私泄露的問題，病人信息在無線信道傳輸過程中可能會被竊聽甚至篡改，導(dǎo)致遠(yuǎn)程服務(wù)器端的醫(yī)生作出錯誤診斷，嚴(yán)重威脅到病人生命安全。通常采用加密算法保證數(shù)據(jù)的安全傳輸，但是僅僅依靠加密技術(shù)還是不夠的，對于用戶想要訪問的傳感節(jié)點(diǎn)信息，既要保證用戶的合法性，同時也要確保節(jié)點(diǎn)的合法性，即兩者之間的身份認(rèn)證?？紤]到醫(yī)療節(jié)點(diǎn)計(jì)算能力有限和電池能源受限，傳統(tǒng)網(wǎng)絡(luò)的身份認(rèn)證算法并不適合無線醫(yī)療傳感網(wǎng)。

[2]基于零知識證明理論和承諾方案提出了BANZKP身份認(rèn)證方案，相比TinyZKP方案[3]和W-ECDSA[4]占用更少的內(nèi)存、消耗更少的能量。然而該方案只是基于兩方通信實(shí)體的雙向認(rèn)證，當(dāng)新的節(jié)點(diǎn)加入或節(jié)點(diǎn)失效時，不能識別這些節(jié)點(diǎn)，即不能很好地滿足無線醫(yī)療傳感動態(tài)網(wǎng)絡(luò)拓?fù)湫浴⒖嘉墨I(xiàn)[5]提出了一種基于無證書簽名方案，實(shí)現(xiàn)了用戶可匿名性，利用雙線性映射密碼體制，能夠抵御多種攻擊，但無法抵抗替換公鑰攻擊，在這種情況下，攻擊者可以任意替換簽名者的密鑰，并偽造消息-簽名對。參考文獻(xiàn)[6]對其提出了改進(jìn)，在同樣資源消耗情況下，能夠抵御更多的攻擊，但該方案存在一定的缺陷：不能對基站的身份進(jìn)行認(rèn)證，一旦有偽造基站進(jìn)入無線醫(yī)療傳感網(wǎng)絡(luò)中，將會對病人造成難以估量的損失。參考文獻(xiàn)[7]把智能卡與用戶密碼結(jié)合起來，使用對稱加密算法和單向哈希函數(shù)，保證合法用戶訪問醫(yī)療數(shù)據(jù)，但由于所有的機(jī)密信息都存儲在網(wǎng)關(guān)節(jié)點(diǎn)中，一旦此節(jié)點(diǎn)被妥協(xié)，所有的秘密信息就都被暴露了，進(jìn)而威脅到病人的生命安全。本文所提出的方案基于參考文獻(xiàn)[7]，但對其作出了改進(jìn)：將網(wǎng)關(guān)節(jié)點(diǎn)代替為個人服務(wù)器(如智能手機(jī))，同時將個人服務(wù)器參與到醫(yī)療節(jié)點(diǎn)、用戶的身份認(rèn)證過程中，彌補(bǔ)了網(wǎng)關(guān)節(jié)點(diǎn)被妥協(xié)的缺陷。

1 基本理論原理

1.1 密鑰管理與身份認(rèn)證

密鑰管理[8-9]是從密鑰產(chǎn)生到密鑰銷毀的一個過程，主要包括管理體制、管理協(xié)議和密鑰的產(chǎn)生、分配、更新、存儲和驗(yàn)證。

通常將身份認(rèn)證與密鑰管理一起使用來實(shí)現(xiàn)病人的數(shù)據(jù)和隱私不被泄露。身份認(rèn)證的目的是檢驗(yàn)傳感器節(jié)點(diǎn)身份的合法性、用戶身份的合法性、信息來源的真實(shí)性和信息的真實(shí)性[10]。身份認(rèn)證的方法有基于共享密鑰和基于公鑰兩種方式。基于公鑰的身份認(rèn)證方式算法簡單、安全性高，是目前主要的身份認(rèn)證方式，主要包括橢圓曲線密碼和雙線性映射。

1.2 橢圓曲線密碼體制

1985年，Neal Koblitz和V. S. Miller分別提出將橢圓曲線用于公開密鑰密碼體制。橢圓曲線密碼體制使用160位密鑰長度達(dá)到的安全等級和其他公鑰密碼體制(如RSA、ElGamal)使用1024位密鑰長度達(dá)到的安全等級一樣。

常用于身份認(rèn)證的橢圓曲線密碼體制[11]如下：給定一個有限域GF(p) , p為其階數(shù)且為素?cái)?shù)。給定有限域GF(p)上的一條橢圓曲線E，一般表現(xiàn)形式為:y2=x3+ax+b，其系數(shù)滿足4a2+27b3≠0。如果P為橢圓曲線E上一點(diǎn)，則2p=p+p，3p=2p+p=p+p+p。對于兩個給定整數(shù)j和k,j×(k×p)=(j×k)×p=k×(j×p)。橢圓曲線離散對數(shù)問題(ECDLP)就是給定點(diǎn)P和Q，確定整數(shù)k，使k×P=Q。ECDLP困難性意味著，給定點(diǎn)P和Q，很難從中確定整數(shù)k。在密碼的使用上，曲線E和其中一個特定的基點(diǎn)G一起被選擇和公布。一個私鑰k被作為隨機(jī)整數(shù)來選擇，值P=k×G被作為公鑰來公布。

2 身份認(rèn)證方案設(shè)計(jì)

圖1 身份認(rèn)證參與實(shí)體

本文提出的身份認(rèn)證方案基本思想是使用智能卡和各種信息摘要值及時間戳進(jìn)行用戶的身份認(rèn)證，主要包括初始化、注冊、登錄認(rèn)證。身份認(rèn)證的三方通信實(shí)體包括醫(yī)療傳感節(jié)點(diǎn)、個人服務(wù)器和用戶，如圖1所示。

2.1 初始化

在醫(yī)療傳感節(jié)點(diǎn)被部署之前，個人服務(wù)器保存自己的主密鑰對(x,y)，并為病人身上所有的醫(yī)療傳感節(jié)點(diǎn)計(jì)算足夠長的密鑰SKgs=h(Sn‖y)，Sn為各自傳感器節(jié)點(diǎn)的身份。對于傳感器節(jié)點(diǎn)，個人服務(wù)器會生成一個隨機(jī)參數(shù)Yi(i=1,2,…,n)，這些隨機(jī)參數(shù)各自存儲在與身份對應(yīng)的醫(yī)療傳感節(jié)點(diǎn)內(nèi)部。而個人服務(wù)器內(nèi)存儲了所有的這些參數(shù)。該方案所用到的參數(shù)如表1所列。

表1 參數(shù)對應(yīng)關(guān)系

2.2 用戶注冊階段

從安全角度來看，用戶需要從個人服務(wù)器那里注冊得到一個合法身份。用戶Uk首先選擇自己的身份IDk和口令PWk，然后生成一個足夠大的隨機(jī)數(shù)r，計(jì)算h(r⊕PWk)，接著用戶Uk向個人服務(wù)器發(fā)出一個注冊請求。收到用戶Uk的請求后，個人服務(wù)器計(jì)算：

Ak=h(IDk⊕l)，Bk=Ex[IDk‖l]，Vk=h(IDk‖h(r⊕PWk))

計(jì)算結(jié)束后，個人服務(wù)器委托控制中心生成一張智能卡，然后將機(jī)密信息{Ak,Bk,Vk,Ekey[],Dkey[]}存儲在智能卡中傳遞給用戶Uk，接收到智能卡后，用戶Uk將自己的隨機(jī)數(shù)r輸?shù)街悄芸ㄖ?這樣智能卡中就存儲了機(jī)密信息{Ak,Bk,Vk,Ekey[],Dkey[],r}。

2.3 身份認(rèn)證階段

(1)階段1

當(dāng)用戶需要訪問傳感器網(wǎng)絡(luò)時，在終端機(jī)插入自己的智能卡，輸入用戶身份和口令，然后進(jìn)行以下操作：

② 用戶通過智能卡計(jì)算Hk=h(Ak)，AIDk=ETkTu[h(IDk)‖Sn‖Xg]。其中TkTu=(Tu‖Hk)，Tu為此時刻的時間戳，Xg在認(rèn)證過程中起輔助作用(它是由用戶Uk生成的臨時隨機(jī)參數(shù))，Sn是用戶Uk要訪問的傳感節(jié)點(diǎn)。

③ 用戶Uk將消息M1={Bk,AIDk,Tu}發(fā)送給傳感節(jié)點(diǎn)Sn，在這里假設(shè)用戶Uk發(fā)來的信息M1傳感器節(jié)點(diǎn)Sn在時間Ts能夠收到。

(2)階段2

節(jié)點(diǎn)Sn收到信息M1后，首先檢查時間戳Tu是否有效。具體步驟是檢查Tu-Ts≤ΔT是否成立，其中ΔT是規(guī)定的一個延遲時延。如果上述不等式成立，則繼續(xù)認(rèn)證過程，否則終止。

(3)階段3

傳感器節(jié)點(diǎn)Sn在認(rèn)證用戶Uk為合法用戶后，生成消息M2={Bk,AIDk,Tu,Ts,Sn}和消息M2的消息驗(yàn)證碼Q=MAC(SKgs‖Yn)(Bk‖AIDk‖Tu‖Ts‖Sn)，Yn為存儲在傳感器節(jié)點(diǎn)Sn內(nèi)部的參數(shù)，完成以上操作后，傳感器節(jié)點(diǎn)Sn把消息{M2,Q}發(fā)送給個人服務(wù)器。

(4)階段4

假設(shè)個人服務(wù)器在時間Tp時刻收到消息{M2,Q}。

① 首先個人服務(wù)器檢查Tp-Ts≤ΔT是否成立，驗(yàn)證時間戳Ts的有效性。如果以上條件均成立，則繼續(xù)認(rèn)證過程，否則終止。

② 個人服務(wù)器計(jì)算得出與傳感節(jié)點(diǎn)Sn共享的長密鑰SKps=h(Sn‖y)，將它與消息M2一起檢索出Yn，并生成Q′=MAC(SKps‖Yn)(Bk‖AIDk‖Tu‖Ts‖Sn)。比較Q′=Q是否成立。如果成立,則個人服務(wù)器認(rèn)證消息{M2,Q}是傳感節(jié)點(diǎn)Sn發(fā)送的，即消息的來源是真實(shí)的,否則結(jié)束認(rèn)證過程。

(5)階段5

(6)階段6

圖2 認(rèn)證過程

2.4 機(jī)密信息和口令更新

3 方案性能分析

3.1 安全性分析

(1)匿名性

當(dāng)合法用戶訪問傳感節(jié)點(diǎn)信息時本方案能夠保證用戶的匿名性，即無法追蹤用戶的身份信息。用戶在注冊階段使用Vk等參數(shù)進(jìn)行認(rèn)證而非身份信息IDk，因此攻擊者或傳感節(jié)點(diǎn)就無法確認(rèn)與其通信的用戶身份。本方案選擇使用單項(xiàng)HASH函數(shù)，攻擊者不可能通過h(IDk)逆向推出IDk。

(2)雙向認(rèn)證

本方案能夠?qū)崿F(xiàn)用戶、醫(yī)療傳感節(jié)點(diǎn)、個人服務(wù)器三方通信實(shí)體的雙向認(rèn)證。在階段4中，當(dāng)個人服務(wù)器收到傳感節(jié)點(diǎn)發(fā)來的信息后，不確定醫(yī)療傳感節(jié)點(diǎn)的身份，于是通過計(jì)算Q′，與收到的Q比對，如果相同，暫時認(rèn)為醫(yī)療傳感節(jié)點(diǎn)身份合法；接著個人服務(wù)器解密AIDk，獲得用戶與之通信的醫(yī)療傳感節(jié)點(diǎn)，與之前醫(yī)療傳感節(jié)點(diǎn)進(jìn)行比較，如果相同，則個人服務(wù)器認(rèn)證醫(yī)療傳感節(jié)點(diǎn)。個人服務(wù)器通過解密Bk獲得用戶身份IDk，計(jì)算h(IDk)，與收到的h(IDk)進(jìn)行比較，如果相同，則認(rèn)證用戶身份合法。醫(yī)療傳感節(jié)點(diǎn)通過與個人服務(wù)器共享的密鑰解密，獲得時間戳，與之前的時間戳進(jìn)行比較，就可以認(rèn)證個人服務(wù)器身份的合法性。

(3)抵御重放攻擊

本方案設(shè)定了一個時延ΔT，當(dāng)用戶、醫(yī)療傳感節(jié)點(diǎn)、個人服務(wù)器收到信息后，首先計(jì)算自己當(dāng)下時間戳與收到的時間戳之差，然后與ΔT比較，如果差值小于ΔT，則認(rèn)為發(fā)來的信息是最新的。

(4)抵御偽裝攻擊

攻擊者不能冒充合法用戶訪問醫(yī)療傳感節(jié)點(diǎn)信息。假設(shè)攻擊者得到了用戶智能卡，并獲得了其中的機(jī)密信息，但是由于用戶身份的匿名性，攻擊者無法獲取用戶的身份及其口令，也就無法登陸系統(tǒng)。

(5)抵御內(nèi)部攻擊

攻擊者無法在系統(tǒng)內(nèi)部進(jìn)行攻擊。因?yàn)樵谡J(rèn)證過程結(jié)束后，終端機(jī)更新用戶的機(jī)密信息及口令，在更新過程中不需要醫(yī)療傳感節(jié)點(diǎn)與個人服務(wù)器的參與。

3.2 復(fù)雜度分析

對于不同的解決方案，所使用的加密算法可能是不相同的，因此每種方案的復(fù)雜度也不同，可以從以下幾個方面來分析方案的時間復(fù)雜度：

① 對稱加密：表示對稱加密算法，例如RC4、AES等。

② 非對稱加密：表示非對稱加密算法，例如RSA、ECC等。

③ HASH：表示哈希函數(shù)，例如MD5。

④ 多項(xiàng)式：表示多項(xiàng)式計(jì)算，例如加法、乘法和模運(yùn)算等。

本文提出的方案與參考文獻(xiàn)[12]、[13]提出的方案進(jìn)行比較，結(jié)果如表2所列。

表2 方案比較

相比其他兩種方案，本文提出的方案在對稱加密次數(shù)方面更理想，且參考文獻(xiàn)[13]還用到了非對稱加密，非對稱加密算法的計(jì)算量和計(jì)算復(fù)雜度都要遠(yuǎn)高于對稱加密算法。雖然本文提出的方案比其他兩種方案多了5次HASH算法，但由于HASH算法快捷、方便，對方案整體復(fù)雜度沒有太大的影響?？梢姳疚奶岢龅姆桨冈跁r間復(fù)雜度上優(yōu)于其他兩種方案。

結(jié) 語

參考文獻(xiàn)

[1] Pardeep Kumar,Hoon-Jae Lee.Security Issues in Healthcare Applications Using Wireless Medical SensorNetworks:A Survey[J].Sensors,2012(12):55-91.

[2] Nesrine KHERNANE,MARIA POTOP-BUTUCARU,Claude CHAUDET.BANZKP:a Secure Authentication Scheme Using Zero Knowledge Proof for WBANs[C]//IEEE 13th International Conference on Mobile Ad Hoc and Sensor Systems,2016.

[3] Ma Limin,Ge Yu,Zhu Yuesheng.Tinyzkp:A lightweight authentication scheme based on zero-knowledge proof for wireless body area network[J].Wireless personal communications,2014,77(2):1077-1090.

[4] Wang Haodong,ShengBo,Tan Chiu C,et al.Public-key basedaccess control in sensornet[J].Wireless Networks,2011,17(5):1217-1234.

[5] Jingwei Liu,Zonghua Zhang,Xiaofeng Chen,et al.Certificateless remote anonymous authentication schemes for wireless body area networks[J].IEEETrans Parallel Distrib Syst,2014,25(2): 332-342.

[6] Daojing He,Sammy Chan,Yan Zhang.Light weight and Confidential Data Discovery and Dissemination for Wireless Body Area Networks[J].IEEE Journal of Biomedical and Health Informatics,2014,18(2):440-448.

[7] Pardeep Kumar,Sang-Gon Lee,Hoon-Jae Lee.A User Authentication for Healthcare Application using WirelessMedical Sensor Networks[C]//IEEE International Conference on High Performance Computing and Communications,2011.

[8] 蘇忠,林闖,封富君,等.無線傳感器網(wǎng)絡(luò)密鑰管理的方案和協(xié)議[J].軟件學(xué)報(bào),2007,18(5):1218-1231.

[9] 張曼君.無證書公鑰密碼體制的理論與應(yīng)用研究[D].西安:西安電子科技大學(xué),2013.

[10] 遲令.基于無線傳感器網(wǎng)絡(luò)的身份認(rèn)證體系的研究[D].長春:吉林大學(xué),2015.

[11] Neal Koblitz,Alfred Menezes,Scott Vanstone.The State of Elliptic Curve Cryptography[J].Designs,Codes and Cryptography,2000,19(2-3):173-193.

[12] H Wang,B Sheng,Q Li.Elliptic curve cryptography-based access control in sensor networks[J].Int.J.Security and Networks,2006(1):127-137.

[13] CC Chang,HC Tsai.An Anonymous and Self-Verified Mobile Authentication with Authenticated Key Agreement for Large-Scale Wireless Networks[J].IEEE Transactions on Wireless Communications,2010,9(11):3346-3353.

MutualUserAuthenticationofWirelessMedicalSensorNetwork

DingXingtao,ZhongBocheng,ZhuShuwen

(Electronic Institute of Electrical Engineering,Shanghai University of Engineering Science,Shanghai 201620,China)

In the paper,a mutual user authentication scheme is proposed,including initialization,user registration,identity authentication,confidential information and password updated.The scheme realizes the mutual user authentication between users,medical sensor nodes and individual servers,which ensures the anonymity of users while resisting multiple attacks.Compared with the two existing authentication schemes,the time complexity is reduced and the scheme is suitable for medical sensor network.

wireless medical sensor network;security and privacy;user authentication

TP393

A

薛士然

2017-09-05)