唐明歡 吳 寧

(北部灣大學(xué) 廣西 欽州 535011)

0 引 言

隨著信息技術(shù)的快速發(fā)展，體育運(yùn)動研究逐步由經(jīng)驗(yàn)型訓(xùn)練、定性分析轉(zhuǎn)向程序化訓(xùn)練和精細(xì)化分析[1]。ZigBee[2]是一種短距離無線網(wǎng)絡(luò)協(xié)議，其物理層和MAC層遵循IEEE 802.15.4無線標(biāo)準(zhǔn)，可工作于全球通用的2.4 GHz ISM(Industrial Scientific Medical)頻段。由于其低功耗、易組網(wǎng)、高安全性等優(yōu)勢[3]，ZigBee在物聯(lián)網(wǎng)領(lǐng)域展現(xiàn)出了極大的應(yīng)用價(jià)值，并且已經(jīng)被廣泛應(yīng)用于運(yùn)動數(shù)據(jù)采集、運(yùn)動模式識別、運(yùn)動特征分析等體育運(yùn)動研究場景[4-6]。

由于體育運(yùn)動體征數(shù)據(jù)采用無線傳輸方式，數(shù)據(jù)傳輸過程中易遭受隱私竊取、惡意篡改、攔截等攻擊[7]。為了保護(hù)數(shù)據(jù)無線傳輸?shù)陌踩?，加密、認(rèn)證和簽名等技術(shù)被應(yīng)用于安全方案中。文獻(xiàn)[8]提出一種可穿戴設(shè)備和終端間的數(shù)據(jù)安全通信方案，該方案采用了密文策略屬性基加密和簽名機(jī)制，使用了雙線性對運(yùn)算，計(jì)算開銷較高。文獻(xiàn)[9]面向多發(fā)送者和多接收者場景，設(shè)計(jì)了一種無證書安全通信方案，該方案采用拉格朗日插值公式來保證用戶隱私信息不會泄露給未授權(quán)用戶，但基于雙線性對運(yùn)算實(shí)現(xiàn)簽密機(jī)制，計(jì)算開銷較高，不適用于低成本、低功耗的ZigBee技術(shù)。文獻(xiàn)[10]提出一種輕量級加密方案，在每個加密回合中不需要非雙線性轉(zhuǎn)換，增強(qiáng)了安全性，有效保證了傳感節(jié)點(diǎn)間數(shù)據(jù)傳輸?shù)谋Ｃ苄?，但該方案沒有考慮節(jié)點(diǎn)間認(rèn)證問題，無法抵御假冒攻擊。文獻(xiàn)[11]提出一種基于設(shè)備物理特征和用戶身份特征的雙因子認(rèn)證協(xié)議，有效阻止了假冒攻擊，但是在體育運(yùn)動時(shí)，用戶身份特征是動態(tài)變化的，與靜止?fàn)顟B(tài)采集的用戶身份特征并不完全一致，無法有效實(shí)現(xiàn)節(jié)點(diǎn)間身份認(rèn)證，因此該方案并不適用于體育運(yùn)動場景。文獻(xiàn)[12]基于無雙線性對運(yùn)算，通過簽密機(jī)制實(shí)現(xiàn)節(jié)點(diǎn)間消息認(rèn)證和身份信息保護(hù)，計(jì)算性能和通信性能均具有優(yōu)勢，但該方案沒有考慮傳輸數(shù)據(jù)的保密性問題，攻擊者獲取公共系統(tǒng)參數(shù)后使用公鑰可獲取通信內(nèi)容。文獻(xiàn)[13]和文獻(xiàn)[14]均基于非雙線性對提出了消息簽密方案，兩個方案均具備可認(rèn)證性、保密性和不可偽造性，但均沒有考慮在公開信道下的用戶身份隱私保護(hù)問題。文獻(xiàn)[15]結(jié)合物理不可克隆函數(shù)(Physical Unclonable Function,PUF)提出一種面向物聯(lián)網(wǎng)節(jié)點(diǎn)間安全通信的消息認(rèn)證機(jī)制，節(jié)點(diǎn)設(shè)備不需要預(yù)先存儲密鑰參數(shù)，同樣無需雙線性對運(yùn)算，方案基于設(shè)備物理特征和身份特征的唯一性保證了傳輸過程中不會暴露隱私身份信息，同時(shí)保證了通信內(nèi)容的機(jī)密性，但該方案需要額外增加PUF的硬件開銷，對于體育運(yùn)動場景成本較高。因此，設(shè)計(jì)一個適用于體育運(yùn)動場景并且能夠同時(shí)解決節(jié)點(diǎn)間消息認(rèn)證、用戶身份隱私保護(hù)和數(shù)據(jù)機(jī)密性等問題的安全傳輸方案仍然是個艱巨挑戰(zhàn)。

為了解決這些問題，本文提出一種非雙線性對運(yùn)算的體育運(yùn)動體征數(shù)據(jù)安全傳輸方案。該方案基于橢圓曲線密碼實(shí)現(xiàn)節(jié)點(diǎn)間消息簽密機(jī)制，從而實(shí)現(xiàn)消息認(rèn)證和體征數(shù)據(jù)加密保護(hù)功能，并在隨機(jī)預(yù)言機(jī)模型下證明了該方案的安全性，同時(shí)分析了其性能。

1 系統(tǒng)模型

基于ZigBee的體育運(yùn)動體征數(shù)據(jù)傳輸系統(tǒng)模型如圖1所示。模型主要由傳感節(jié)點(diǎn)、匯聚節(jié)點(diǎn)和數(shù)據(jù)處理中心組成。其中：傳感節(jié)點(diǎn)配置多種傳感器(如血壓儀、心率儀、表面肌傳感器等)，分別穿戴于體育運(yùn)動員身上各部位，進(jìn)行體征數(shù)據(jù)采集，并通過ZigBee網(wǎng)絡(luò)與匯聚節(jié)點(diǎn)進(jìn)行通信；匯聚節(jié)點(diǎn)作為協(xié)調(diào)器角色組建ZigBee網(wǎng)絡(luò)，接收各傳感節(jié)點(diǎn)傳送過來的體征數(shù)據(jù)，并通過有線或者無線方式將數(shù)據(jù)傳輸至處理中心；數(shù)據(jù)處理中心對體育運(yùn)動者的各部位體征數(shù)據(jù)進(jìn)行分析，向體育運(yùn)動研究人員呈現(xiàn)分析結(jié)果。

圖1 基于ZigBee的體育運(yùn)動體征數(shù)據(jù)傳輸模型

針對體征數(shù)據(jù)傳輸過程，惡意節(jié)點(diǎn)可能發(fā)動三種攻擊：(1) 假冒合法傳感節(jié)點(diǎn)，向匯聚節(jié)點(diǎn)提供錯誤體征數(shù)據(jù)，以誤導(dǎo)后續(xù)數(shù)據(jù)分析；(2) 假冒合法匯聚節(jié)點(diǎn)，收集體育運(yùn)動員隱私體征數(shù)據(jù)；(3) 截獲合法傳感節(jié)點(diǎn)發(fā)送的體征數(shù)據(jù)，進(jìn)行非法篡改。

2 安全傳輸方案

安全傳輸方案主要包含初始化設(shè)置、傳感節(jié)點(diǎn)私鑰生成和消息簽密協(xié)議三個部分，如圖2所示。初始化設(shè)置由匯聚節(jié)點(diǎn)生成并公布系統(tǒng)參數(shù)；傳感節(jié)點(diǎn)私鑰是由匯聚節(jié)點(diǎn)根據(jù)傳感節(jié)點(diǎn)提供的秘密值生成的，并通過人工參與的安全方式傳遞至傳感節(jié)點(diǎn)；消息簽密協(xié)議是傳感節(jié)點(diǎn)使用私鑰對包含體征數(shù)據(jù)的消息進(jìn)行加密并簽名，匯聚節(jié)點(diǎn)收到該簽密消息后，進(jìn)行消息驗(yàn)簽并解密獲取體征數(shù)據(jù)。

圖2 體征數(shù)據(jù)安全傳輸方案

2) 傳感節(jié)點(diǎn)私鑰生成。該過程用于產(chǎn)生傳感節(jié)點(diǎn)設(shè)備的私鑰，只需在傳感節(jié)點(diǎn)設(shè)備加入ZigBee網(wǎng)絡(luò)時(shí)執(zhí)行一次。

3) 消息簽密協(xié)議。該過程在傳感節(jié)點(diǎn)向匯聚節(jié)點(diǎn)發(fā)送數(shù)據(jù)時(shí)執(zhí)行，可分為加密和簽名、驗(yàn)簽和解密兩個部分。

(2) 驗(yàn)簽和解密。當(dāng)S獲得{FIDi,zi,Ui,Ti,Mi}后，首先提取消息中的時(shí)間戳Ti，接著進(jìn)行新鮮度判定，若發(fā)現(xiàn)該時(shí)間戳在前期已經(jīng)接收過，則認(rèn)為此消息不新鮮，驗(yàn)簽不通過，否則計(jì)算ci=FIDi⊕H1(Ui)、hi=H3(FIDi,Ri,Ui,Ti,Mi)、ziP-Ui=(Ri+ciPs)hi，若驗(yàn)簽等式成立，則對體征數(shù)據(jù)進(jìn)行解密，計(jì)算PDi=di·Ps，最終得到體征數(shù)據(jù)Di=Mi⊕H1(PDi)。

3 安全性分析

本文提出的安全傳輸方案包括初始化設(shè)置、傳感節(jié)點(diǎn)私鑰生成和消息簽密協(xié)議三個部分。初始化設(shè)置和傳感節(jié)點(diǎn)私鑰生成過程只需要在設(shè)備入網(wǎng)時(shí)執(zhí)行一次，并在網(wǎng)絡(luò)管理員參與的安全環(huán)境下進(jìn)行，而消息簽密協(xié)議則需要在每次設(shè)備通信時(shí)執(zhí)行。因而，本節(jié)主要分析消息簽密協(xié)議的安全性。

定理1本文安全傳輸方案能夠抵抗消息偽造攻擊。

證明假設(shè)攻擊者A可以實(shí)現(xiàn)消息偽造攻擊，那么攻擊者A將與程序B間展開一個挑戰(zhàn)查詢過程。

設(shè)攻擊者A的挑戰(zhàn)對象為程序B，程序B定義系統(tǒng)公鑰Pu=φP,保存私鑰φ，同時(shí)生成系統(tǒng)參數(shù):〈E/Fp,q,G,P,Pu,H1,H2,H3〉。攻擊者A可以在公共信道上獲取系統(tǒng)參數(shù)。程序B根據(jù)攻擊者A每次的查詢情況，更新列表l1、l2、l3、lsk、lssig。攻擊者A可以對H1、H2、H3、傳感節(jié)點(diǎn)的私鑰，以及最后的簽密消息進(jìn)行挑戰(zhàn)查詢。開始時(shí)，每個列表為空。

ziP=Ui+(Ri+FIDi⊕h1·φ·P)h3

(1)

(2)

進(jìn)一步得到:

推論1本文體征數(shù)據(jù)安全傳輸方案可抵抗篡改攻擊和重放攻擊。

證明采用反證法。假設(shè)攻擊者可以篡改簽密消息{FIDi,zi,Ui,Ti,Mi}，那么攻擊者必須使得等式ziP-Ui=(Ri+ciPs)hi成立。在攻擊者無法獲取系統(tǒng)私鑰s的情況下，根據(jù)定理1，攻擊者無法使得驗(yàn)證等式成立。因此，本文方案可以抵抗篡改攻擊。

同時(shí)，方案中引進(jìn)了時(shí)間戳T，對簽密消息提供了新鮮性保護(hù)。因此，方案可抵抗重放攻擊。

推論2本文方案具備體育運(yùn)動員身份隱私保護(hù)功能。

證明體育運(yùn)動員佩戴存儲個人身份標(biāo)識ID的傳感節(jié)點(diǎn)Ci，Ci通過私密值di和隨機(jī)數(shù)ui生成假身份FIDi。Ri=di·P，F(xiàn)IDi=ID⊕H2(di·Ps,Ri)⊕H1(Ui)，因?yàn)閡i每次都是隨機(jī)產(chǎn)生的，傳感節(jié)點(diǎn)和匯聚節(jié)點(diǎn)間每次傳輸?shù)募偕矸軫IDi及簽名信息都不一樣。若攻擊者想通過FIDi獲取體育運(yùn)動員的真實(shí)身份信息，則必須擁有PDi和Ri。依據(jù)定理1可知，在系統(tǒng)私鑰s受到嚴(yán)格保護(hù)的情況下，在多項(xiàng)式時(shí)間內(nèi)攻擊者無法獲得正確的PDi。因此，本文方案具備體育運(yùn)動員身份隱私保護(hù)功能。

推論3本文方案提供體征數(shù)據(jù)保密性功能。

證明傳感節(jié)點(diǎn)保存自己的私密值di并通過安全的方式傳送給匯聚節(jié)點(diǎn)，傳感節(jié)點(diǎn)計(jì)算PDi=di·Pu，Mi=Di⊕H1(PDi)，對體征數(shù)據(jù)Di進(jìn)行加密保護(hù)。在傳感節(jié)點(diǎn)私密值di嚴(yán)格保密的情況下，基于單向散列函數(shù)的抗原像性和抗碰撞性，同時(shí)方案設(shè)計(jì)時(shí)引入了ECDLP困難問題，因此攻擊者是無法通過Mi得到Di。因此，方案提供體征數(shù)據(jù)保密性功能。

文獻(xiàn)[12]、文獻(xiàn)[13]和文獻(xiàn)[14]均采用了非雙線性對運(yùn)算，與本文方案安全性方面的對比結(jié)果如表1所示。文獻(xiàn)[12]無法提供數(shù)據(jù)保密性保護(hù)，文獻(xiàn)[14]不具備匿名性保護(hù)，文獻(xiàn)[13]無法提供匿名性和抗重放攻擊。結(jié)果表明，本文方案安全性更優(yōu)。

表1 安全性能對比結(jié)果

4 實(shí)驗(yàn)與性能分析

本節(jié)在ZigBee硬件開發(fā)平臺的基礎(chǔ)上實(shí)現(xiàn)本文安全方案，并與同類安全方案進(jìn)行對比分析。

1) 方案實(shí)驗(yàn)。實(shí)驗(yàn)硬件采用以TI公司CC2530芯片為核心的ZigBee開發(fā)平臺，在此基礎(chǔ)上通過IAR軟件編寫相應(yīng)的固件程序來實(shí)現(xiàn)安全方案。在實(shí)驗(yàn)過程中，將連接USB Dongle抓包工具的電腦作為監(jiān)測設(shè)備，以實(shí)現(xiàn)對方案執(zhí)行過程的觀測。具體的實(shí)驗(yàn)環(huán)境如圖3所示。

圖3 方案實(shí)驗(yàn)環(huán)境

在開放環(huán)境下對本文方案和同類方案進(jìn)行10輪次的實(shí)驗(yàn)，所得實(shí)驗(yàn)結(jié)果如圖4所示。

圖4 簽密與驗(yàn)簽時(shí)延

2) 性能分析。本文方案與文獻(xiàn)[12]、文獻(xiàn)[13]和文獻(xiàn)[14]的計(jì)算開銷和通信開銷對比結(jié)果如表2所示。

表2 性能對比結(jié)果

(1) 計(jì)算開銷。利用Tem表示橢圓曲線上標(biāo)量乘法運(yùn)算所需的時(shí)間，Tea表示橢圓曲線上標(biāo)量加法運(yùn)算所需的時(shí)間，Th表示單向哈希函數(shù)運(yùn)算所需的時(shí)間。通過統(tǒng)計(jì)各方案中采用橢圓曲線上標(biāo)量乘法運(yùn)算、標(biāo)量加法運(yùn)算和單向哈希函數(shù)運(yùn)算的次數(shù)，對各方案的計(jì)算開銷進(jìn)行比較分析。通過統(tǒng)計(jì)，文獻(xiàn)[12]的計(jì)算開銷記為6Tem+3Tea+7Th，文獻(xiàn)[13]的計(jì)算開銷記為6Tem+4Tea+4Th，文獻(xiàn)[14]的計(jì)算開銷記為5Tem+7Tea+9Th，本文方案的計(jì)算開銷為4Tem+3Tea+6Th。根據(jù)MIRACL庫[18]提供的各運(yùn)算執(zhí)行時(shí)間，Tem=0.735 8 ms，Tea=0.004 0 ms，Th=0.000 2 ms，可以知道，本文方案較文獻(xiàn)[12]、文獻(xiàn)[13]和文獻(xiàn)[14]的計(jì)算開銷更有優(yōu)勢。

(2) 通信開銷。采用分析各方案簽密消息的長度的方法，其中：|G|代表群元素字節(jié)數(shù)長度；|H|代表單身散列函數(shù)值長度；|m|代表密文長度。經(jīng)過分析，文獻(xiàn)[12]增加的通信開銷為3|G|+|H|+|m|,文獻(xiàn)[13]增加的通信開銷為2|G|+|H|+|m|，文獻(xiàn)[14]增加的通信開銷為2|G|+|H|+|m|，本文方案增加的通信開銷為2|G|+|H|+|m|。結(jié)果表明，本文方案的通信開銷與同類方案基本持平，沒有額外增加通信開銷。

5 結(jié) 語

體育運(yùn)動場景的開闊性給體征數(shù)據(jù)無線安全傳輸帶來了諸多挑戰(zhàn)。本文針對用戶身份隱私保護(hù)、體征數(shù)據(jù)機(jī)密性保護(hù)、節(jié)點(diǎn)認(rèn)證等問題，采用橢圓曲線密碼體制，設(shè)計(jì)了體育運(yùn)動體征數(shù)據(jù)安全傳輸方案。安全性分析證明，該方案相較同類方案具有更高的安全性，能夠滿足體育運(yùn)動場景下體征數(shù)據(jù)傳輸?shù)陌踩枨?。?shí)驗(yàn)與性能分析表明，本文方案同其他方案相比，在不增加通信開銷的前提下能夠明顯降低設(shè)備的計(jì)算開銷。

本文方案具備更高的安全性和較低的計(jì)算開銷，但方案的適用場景是點(diǎn)對點(diǎn)的單播通信方式，當(dāng)系統(tǒng)部署大規(guī)模數(shù)量的節(jié)點(diǎn)時(shí)，此種通信方式帶來的通信開銷將明顯加大，而廣播通信方式將以更低的通信開銷占據(jù)優(yōu)勢。因此，面向更大規(guī)模ZigBee網(wǎng)絡(luò)的廣播通信場景，設(shè)計(jì)計(jì)算開銷和通信開銷較低的安全傳輸方案有待進(jìn)一步研究。