摘 要： ""針對現(xiàn)有無線體域網(wǎng)（WBANs）中的安全和隱私性問題，為了充分利用生物特征的優(yōu)勢來確保WBANs 內(nèi)數(shù)據(jù)通信的安全性，首次提出了一種具有生物特征的基于身份的隱私保護(hù)技術(shù)，然后利用該技術(shù)在WBANs中提出了一種新的訪問控制方法。在安全性方面，在隨機(jī)預(yù)言機(jī)模型下是可證明安全的，并且具有機(jī)密性、認(rèn)證性、完整性、不可否認(rèn)性和匿名性；在性能方面，與現(xiàn)有方案相比，提出方案在計(jì)算開銷和通信開銷方面都具有優(yōu)勢。

關(guān)鍵詞： "訪問控制； 生物特征； 基于身份的密碼系統(tǒng)； 安全； WBANs

中圖分類號： "TP309.2 """文獻(xiàn)標(biāo)志碼： A

文章編號： "1001-3695（2022）02-044-0577-05

doi：10.19734/j.issn.1001-3695.2021.07.0277

Biometric identity-based access control for wireless body area networks

Jin Chunhua1，2， Xie Run1， Shan Jinsong2， Qiang Hao2

（1.Dept.of Artificial Intelligence amp; Big Data， Yibin University， Yibin Sichuan 644000， China； 2.Faculty of Computer amp; Software Enginee-ring， Huaiyin Institute of Technology， Huai’an Jiangsu 233002， China）

Abstract： "Aiming at the problems of security and privacy in wireless body area networks（WBANs），in order to bring the advantages of biometric characteristics into full play to secure data communication within WBANs，this paper first proposed an identity-based privacy-preserving scheme based on biometrics，and then，presented a new access control approach for WBANs by the proposed design.From a security perspective，the proposed solution achieves confidentiality，authentication，integrity，non-repudiation and anonymity in the random oracle model.Performance analysis shows that the proposed scheme is the most efficient compared with other existing schemes in terms of computational cost and energy consumption.

Key words： "access control； biometrics； identity-based cryptosystem； security； WBANs

0 引言

無線體域網(wǎng)（WBANs）是一項(xiàng)新興技術(shù)，受到了學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。WBANs 是由許多小型智能生物醫(yī)學(xué)傳感器和控制器組成的［1～3］。這些傳感器可以植入或佩戴在人體上，用來收集各種生命數(shù)據(jù)（如溫度、血壓、血糖、心率）以監(jiān)測患者的健康狀況。然后它將所有收集到的數(shù)據(jù)傳輸?shù)娇刂破髦?，比如智能手環(huán)或智能手機(jī)?？刂破鲗⒔邮盏降臄?shù)據(jù)發(fā)送給醫(yī)務(wù)人員或遠(yuǎn)程監(jiān)測站。WBANs 作為醫(yī)療保健系統(tǒng)中的關(guān)鍵技術(shù)，可以使醫(yī)療專家實(shí)時(shí)獲取與患者健康相關(guān)的信息，從而對患者進(jìn)行及時(shí)、適當(dāng)?shù)闹委煛Ｒ虼?，WBANs 成為家庭健康監(jiān)測和診斷的理想候選者，特別適用于慢性疾病的患者［4，5］。

WBANs 涉及了許多與患者有關(guān)的敏感信息，所以只有被授權(quán)的用戶才能訪問這些信息［6，7］。因此，訪問控制是確保WBANs 成功運(yùn)行的關(guān)鍵技術(shù)。一個安全的訪問控制方案應(yīng)該滿足認(rèn)證、授權(quán)和撤銷，以控制用戶的訪問和各種類型的攻擊。此外，針對訪問WBANs 的不同用戶，應(yīng)該設(shè)置不同的訪問權(quán)限。比如，胃腸病專家只能從他的病人那里檢索到相關(guān)數(shù)據(jù)，而不能從其他病人那里檢索到任何數(shù)據(jù)。

Sahai等人［8］首先提出了基于模糊身份的加密方案，該方案使用基于生物特征的屬性而不是任意的字符串作為身份信息，避免了在線公鑰基礎(chǔ)設(shè)施的需求。Zhang等人［9］給出了小空間和大空間格中的兩個方案，小空間格中的第一個方案在標(biāo)準(zhǔn)模型下被證明是安全的，大空間格中的第二個方案在隨機(jī)預(yù)言模型下被證明是安全的。Li等人［10］為云存儲系統(tǒng)引入了一種基于模糊身份的數(shù)據(jù)審計(jì)，并討論了如何使用生物識別信息作為模糊身份。Shan等人［11］設(shè)計(jì)了兩種橢圓曲線上具有生物特征的基于身份的簽名方案，這兩種方案提供了生物特征認(rèn)證和不可偽造性，并且在隨機(jī)預(yù)言模型下是可證明安全的。

混合加密由密鑰封裝機(jī)制（key encapsulation mechanism，KEM）和數(shù)據(jù)封裝機(jī)制（data encapsulation mechanism，DEM）組成。KEM主要用于對會話密鑰進(jìn)行加密；DEM主要用于對實(shí)際傳輸?shù)南⑦M(jìn)行加密?；旌霞用芗夹g(shù)適用于加密長的報(bào)文段。Cramer等人［12］提出了幾種KEM/DEM的混合加密方案，并在標(biāo)準(zhǔn)的困難性假設(shè)下給出了安全性證明。Abe等人［13］介紹了一種選擇密文安全的混合標(biāo)簽加密（tag-KEM/DEM） 方案，其中tag-KEM是選擇密文安全的，DEM 是選擇明文安全的。Sahai等人［14］指出在文獻(xiàn)［15］中，敵手可以通過發(fā)出證明詢問來獲得目標(biāo)密文的明文，并給出了改進(jìn)。Baek等人［16］對具有狀態(tài)的公鑰加密方案進(jìn)行了擴(kuò)展，并基于提出方案構(gòu)造了輕量級的非對稱加密源語。

Cagalaban等人［17］（以下簡稱CK）給出了如何利用基于身份的簽密方案構(gòu)造一個訪問控制方案，其目的是解決數(shù)據(jù)或發(fā)送方身份驗(yàn)證的問題。Li等人［18］設(shè)計(jì)了一個無證書的簽密方案，又給出了如何應(yīng)用所提出的方案來構(gòu)造WBANs中的訪問控制方案，Li等人［19］使用無證書的簽密方案構(gòu)造了一種方法來確保用戶與WBANs之間的通信安全。Omala等人［20］（以下簡稱OMM）提出了一個基于異構(gòu)簽密的訪問控制方案，在該方案中，發(fā)送方處于無證書環(huán)境中，而接收方處于基于身份環(huán)境中。Ullah等人［21］在WBANs環(huán)境下構(gòu)造了一個基于證書的簽密方案，但該方案存在證書管理問題，給系統(tǒng)增加了額外的計(jì)算和通信開銷。Liu等人［22］給出了一個新的訪問控制方案，并采用了基于RSA的無證書簽密技術(shù)，所以該方案在計(jì)算開銷和通信開銷方面都有優(yōu)勢。隨后，很多訪問控制方案［23～25］被提出。

本文設(shè)計(jì)了一種具有生物特征的基于身份的混合加密方案。該方案利用用戶的生物特征信息來構(gòu)造其公鑰，簡化了密鑰生成過程，采用KEM和DEM相結(jié)合的混合加密技術(shù)實(shí)現(xiàn)了匿名性、機(jī)密性、完整性、認(rèn)證性和不可否認(rèn)性。此外，構(gòu)造了一種具有生物特征的基于身份的tag-KEM 簽密方案，并在隨機(jī)預(yù)言模型下給出了安全性證明。性能分析表明，該方案在計(jì)算開銷和通信開銷方面都具有優(yōu)勢。

1 預(yù)備知識

1.1 網(wǎng)絡(luò)模型

圖1描述了由用戶（比如醫(yī)生、護(hù)士或者管理員）、患者所在的WBAN和應(yīng)用程序提供者（AP）三部分組成的網(wǎng)絡(luò)模型。定義的三個參與者描述如下：

a）用戶。希望訪問WBAN的醫(yī)生、護(hù)士或管理員。如果他是一個合法的用戶，那么他可以訪問WBAN，否則不能訪問WBAN。

b）WBAN。由微型傳感器（可穿戴或可植入設(shè)備）和控制器（數(shù)據(jù)接收器或智能設(shè)備）組成。這些傳感器的計(jì)算能力有限，存儲成本和處理能力比較低，其主要作用就是收集生理數(shù)據(jù)并將其發(fā)送給控制器，控制器收到后存儲和處理這些數(shù)據(jù)。另外，當(dāng)一個用戶想要訪問WBAN時(shí)，控制器首先驗(yàn)證該用戶是否有效，如果有效，那么用戶可以訪問WBAN中的數(shù)據(jù)；否則，用戶無權(quán)訪問WBAN中的數(shù)據(jù)。

c）AP?？尚诺牡谌剑饕?fù)責(zé)用戶和WBAN的注冊（以線上或線下的方式），以及充當(dāng)基于身份密碼體制中PKG的角色，為用戶和WBAN生成私鑰。如果用戶想要訪問WBAN，那么需要在AP 上注冊并獲取對應(yīng)的私鑰。此外，AP 還管理WBAN，監(jiān)測患者的生理數(shù)據(jù)和環(huán)境參數(shù)。

1.2 安全性要求

安全對于WBAN的通信至關(guān)重要，本文主要考慮用戶和控制器之間的通信。為了檢測惡意敵手的行為，防止惡意敵手訪問WBAN并獲取患者的生理數(shù)據(jù)，本文方案應(yīng)滿足以下安全性要求：

a）匿名性。在給定的密文中識別出用戶的身份是不可能的。這意味著任何第三方都無法獲取用戶的身份信息。

b）機(jī)密性。敵手得不到病人的生理數(shù)據(jù)。這意味著即使敵手截獲了所傳輸?shù)南ⅲ矡o法獲得所傳輸消息的內(nèi)容，這樣患者的生理數(shù)據(jù)就可以達(dá)到隱私保護(hù)的要求。只有合法的用戶和控制器才能讀取它們。

c）認(rèn)證。只有授權(quán)的用戶才能訪問WBAN。如果敵手修改了所傳輸?shù)南?，則應(yīng)當(dāng)能檢測出惡意的操作。

d）完整性。加密的生理數(shù)據(jù)在傳輸過程中沒有被修改，用戶和控制器只能讀取或修改正確的生理數(shù)據(jù)。

e）不可否認(rèn)性。防止用戶否認(rèn)先前發(fā)送的詢問，如果用戶已經(jīng)訪問了WBAN，則不能否認(rèn)對WBAN的操作。

1.3 設(shè)計(jì)目標(biāo)

在上述網(wǎng)絡(luò)模型和安全要求的前提下，該方案的設(shè)計(jì)目標(biāo)是提出一種高效的具有生物特征的基于身份的訪問控制方法，用于確保WBAN通信的安全性。由于指紋、人臉、虹膜等生物特征信息的唯一性、不可偽造性和不可轉(zhuǎn)移性，將生物特征信息整合到基于身份的簽密中，該方案構(gòu)造了一種具有生物特征的基于身份的簽密方法。該方案利用用戶的生物特征信息作為其身份，從而確保用戶身份的唯一性，這樣敵手就不可能模擬用戶的身份信息。此外，該方案提出的基于生物特征的方法可以避免公鑰證書管理的問題，還可以在隨機(jī)預(yù)言模型下實(shí)現(xiàn)機(jī)密性、認(rèn)證性、完整性和不可否認(rèn)性。性能分析表明，所提方案在計(jì)算開銷和通信開銷方面都具有優(yōu)勢。

1.4 雙線性配對

設(shè) G 1、G 2 分別為加法群和乘法群。 P 是群 G 1 的生成元， G 1 和 G 2 具有相同的素?cái)?shù)階 q 。一個雙線性對是一個映射 e：G 1×G 1→G 2 ，具有以下性質(zhì)：

a）雙線性。 e（aP，bQ）=e（P，Q）ab，任意P，Q∈G 1，a，b∈Z* q 。

b）不可否認(rèn)性。存在 P，Q∈G 1 ，使得 e（P，Q）≠1 。

c）可計(jì)算性。對于任意 P，Q∈G 1 ，存在一種有效的算法可以計(jì)算 e（P，Q） 。

修改后的Weil對和Tate對是可接受的映射（文獻(xiàn)［26］可以提供更多的信息）。方案的安全性取決于處理以下問題的難度。

定義1 ""q -Bilinear Diffie-Hellman inversion problem（ q -BDHIP）。根據(jù)上述雙線性對的基本定義（ G 1，G 2，e ），給定（ P，αP，α2P，…，αnP ），其中 α∈Z* q ， q -BDHIP問題是計(jì)算出 e（P，P）1/α 。

定義2 ""q -Strong Diffie-Hellman problem（ q -SDHP）。根據(jù)上述雙線性對的基本定義（ G 1，G 2，e ），給定（ P，αP，α2P，…，αnP ）， c，α∈Z* q ， q -SDHP是找到一對 （c，P/（a+c））∈Z* q×G 1 。

1.5 模糊提取器技術(shù)

從生物特征中提取關(guān)鍵數(shù)據(jù)，Dodis等人［27］提出了一種模糊提取器技術(shù)，它是目前最流行的生物特征提取方法之一。其主要過程是從生物特征樣本 b 中提取唯一的ID，并允許一個可容忍的閾值。這意味著，如果對來自同一用戶的生物特征樣本 b和b′ 使用模糊提取器技術(shù)，將獲得相同的身份信息ID，但是兩個生物特征樣本 b 和 b′ 的樣本距離必須滿足dis （b、b′）≤t 。具體地說，模糊提取器的定義由 {M、l、t} 和兩種算法Gen、Rep給出，其中 M 是具有生物特征樣本點(diǎn)的度量空間， l 是輸出的身份字符串ID的長度， t 是誤差閾值。

兩種算法Gen、Rep描述如下：

Gen是一個概率性的提取算法，該算法將生物特征數(shù)據(jù) b∈M 作為輸入，輸出身份信息ID和公開的恢復(fù)參數(shù) PAR 。

Rep是一個確定性的檢索算法，該算法將另一個生物特征數(shù)據(jù) b′∈M 和 PAR 作為輸入，如果dis（ b，b′）≤t ，則輸出身份信息ID；如果dis（ b，b′）≥t ，則輸出終止符號⊥。

Burnett等人［28］在上述兩種算法的基礎(chǔ)上提出了一種具有 ［n，k，2t+1］ BCH糾錯碼、漢明距離度量和哈希函數(shù) H：{0，1}n→{0，1}l 的具體模糊提取器技術(shù)。具體算法描述如下：

Gen是一個概率性的提取算法，該算法將生物特征數(shù)據(jù) b∈M 作為輸入，輸出身份信息 ID=H（b） 和公共參數(shù) PAR=b "C e（ID） 。這里， C e 是一個編碼函數(shù)。

Rep是一個確定性的檢索算法，該算法將另一個生物特征數(shù)據(jù) b′∈M 和 PAR 作為輸入，輸出 ID′=C d（b′ "PAR）=C d（b′ "b "C e（ID）） 。當(dāng)且僅當(dāng)dis （b，b′）≤t 時(shí)， ID=ID′ 。身份信息ID被正確恢復(fù)。此處 C d 是與編碼函數(shù) C e 對應(yīng)的解碼函數(shù)。

2 BIO-IBHSC方案的設(shè)計(jì)

本文將BIO-IBSCTK與DEM方案結(jié)合，構(gòu)造一個BIO-IBHSC的混合加密方案。具體過程如下所示：

EI-HSC.Setup：給定一個安全參數(shù) k 。

a） （params，s） =EI-HSC.Setup （k）。

b）返回系統(tǒng)參數(shù) param 和主私鑰 s 。

EI-HSC.Extract：給定主私鑰 s 和一個生物特征數(shù)據(jù) b 。

a） S ID = EI-HSC.Extract （b，s） 。

b）返回私鑰 S ID 。

EI-HSC.Signcrypt：給定一個消息 m∈{0，1}* ，一個發(fā)送者生物特征 b s ，私鑰 S ID s 和一個接收者生物特征 b′ r ，使得dis（ b r，b′ r）≤t 。

a） （K，w） =EI-SCTK.Sym （S ID s，b s，b′ r） 。

b） c =DEM.Enc （K，m） 。

c） φ =EI-SCTK.Encap （ω，c） 。

d）返回密文 σ=（φ，c） 。

EI-HSC.Decrypt：給定一個密文 σ ，發(fā)送者生物特征 b′ s ，使得dis（ b s，b′ s）≤t ，接收者生物特征 b r 和私鑰 S ID r 。

a） K =EI-SCTK.Decap（ φ，c，b′ s，b r，S ID r ）。

b）如果 K=⊥ ，返回 ⊥ 。

c）否則 m =DEM.Dec （K，c） 。

d）返回消息 m 。

這里，DEM輸出的密文就是標(biāo)簽。這樣的設(shè)計(jì)簡化了方案描述，可以產(chǎn)生更好的通用安全性。

定理1 "假設(shè)混合的BIO-IBHSC由BIO-IBSCTK和DEM方案組成。如果BIO-IBSCTK和DEM分別是IND-CCA2安全的和IND-CPA安全的，那么BIO-IBHSC是IND-CCA2安全的。具體來說，本文可得到

AdvIND-CCA2 BIO-IBHSC（"Euclid Math OneFAp

）=2AdvIND-CCA2 BIO-IBSCTK（ C "1）+AdvIND-PA DEM（ C "2）

證明 "定理1的證明請參考文獻(xiàn)［29］。

定理2 ""本文假設(shè)BIO-IBHSC由BIO-IBSCTK和DEM方案組成。如果BIO-IBSCTK是DA-CMA安全的，那么BIO-IBHSC也是DA-CMA安全的。 具體來說，本文可以得到

AdvDA-CMA BIO-IBHSC（"Euclid Math OneFAp

）≤AdvDA-CMA BIO-IBSCTK（ C）

證明 "定理2的證明請參考文獻(xiàn)［29］。

3 BIO-IBSCTK設(shè)計(jì)

本文設(shè)計(jì)了一個高效的BIO-IBSCTK方案。在該方案中，發(fā)送方是需要訪問接收方（控制器）生理數(shù)據(jù)的醫(yī)生或管理員，他們使用生物特征信息作為身份。因此，他們的身份是唯一的。為了方便說明，本文定義所使用的符號如表1所示。

a）系統(tǒng)初始化。給定如1.4節(jié)所示的 G 1、G 2、P和e 。設(shè) k 為安全參數(shù)（ q≥2k ）， "n 為DEM的密鑰長度。 H 1、H 2、H 3、H 4 是四個加密哈希函數(shù)， H 1：{0，1}*→Z* q，H 2：{0，1}*×G 2→Z* q，H 3：G 2→{0，1}*和H 4：b→{0，1}* 。PKG隨機(jī)選擇一個主密鑰 s∈Z* q并計(jì)算P pub=sP和g=e（P，P） 。此外，PKG選擇一個編碼函數(shù) c e 、一個解碼函數(shù) c d 和一個生物特征提取技術(shù) F d 。系統(tǒng)公開參數(shù)為 （G 1，G 2，e，q，n，k，g，P，P pub，H 1，H 2，H 3，H 4，c e，c d，F(xiàn) d） ，主私鑰為 s 。

b）私鑰提取。通過特征提取方法 F d 獲取用戶的生物特征數(shù)據(jù) b ，然后獲取對應(yīng)的身份 ID=H 4（b） 并將其發(fā)送給PKG。最后，PKG計(jì)算出用戶的私鑰 S ID=P/（H 1（ID）+s） ，并通過安全通道發(fā)送給用戶。

c）對稱密鑰生成。給定發(fā)送方的私鑰 S IDs 、生物特征數(shù)據(jù) b s 和接收方的生物特征數(shù)據(jù) b r ，具體算法如下所示：

（a）獲取接收者的生物特征數(shù)據(jù) b′ r （dis（ b r，b′ r）lt;t） 和對應(yīng)的公共參數(shù) PAR r 。

（b）計(jì)算 ID′ r =Rep （b′ r，PAR r） 。

（c）計(jì)算 ID s = H 4（b s） 。

（d）選取 x∈Z* q 。

（e）計(jì)算 r=gx 。

（f）計(jì)算 K=H 3（r）和ω=（x，r，S IDs，b s，b′ r）

d）封裝。給定狀態(tài)信息 ω 和標(biāo)簽 τ ，具體算法如下：

（a）計(jì)算 h=H 2（τ，r） 。

（b）計(jì)算 S=（x+h）S ID 。

（c）計(jì)算 T=x（H 1（ID′ r）P+P pub） 。

（d）計(jì)算 PAR s=b s "C e（ID s） 。

（e）密文是 σ=（S，T，PAR s） 。

e）解封裝。給定標(biāo)簽 τ 、封裝 σ 、發(fā)送方的生物特征數(shù)據(jù) b′ s 、接收方的生物特征數(shù)據(jù) b r 和私鑰 S IDr ，具體算法如下：

（a）獲取發(fā)送方的生物特征數(shù)據(jù) b′ s （dis（ b s，b′ s）lt;t ）和公共參數(shù) PAR S 。

（b）計(jì)算 ID′ S =Rep（ b′ S，PAR S ）。

（c）計(jì)算 ID r=H 4（b r） 。

（d）計(jì)算 r=e（T，S IDr） 。

（e）計(jì)算 h=H 2（τ，r） 。

（f）如果等式 r=e（S，H 2（ID s）P+P pub）g-h 成立，那么輸出 K=H 2（r） ； 否則返回一個符號⊥。

如果dis （b s，b′ s）lt;t 并且dis （b r，b′ r）lt;t ，那么 ID s=ID′ s ， ID r=ID′ r 。解簽密算法的正確性可以驗(yàn)證如下：

r=e（S，H 1（ID s）P+P pub）g-h=e（（x+h）S ID s，H 1（ID s）P+P pub）g-h=

e（（x+h） 1 H 1（ID s）+s P，（H 1（ID s）+s）P）g-h=

e（（x+h）P，P）g-h=e（P，P）x+hg-h=gx+hg-h=gx=r

4 安全性

定理3 "在隨機(jī)預(yù)言機(jī)模型下，如果存在一個IND-CCA2安全的敵手 "Euclid Math OneFAp

，在攻擊所提方案時(shí)具有優(yōu)勢 ε ，當(dāng)運(yùn)行時(shí)，它在時(shí)間 t 內(nèi)最多可以進(jìn)行 q H i 次隨機(jī)預(yù)言機(jī) H i（i=1，2，3，4）詢問（i=1，2，3，4）、q ke次密鑰生成詢問、q gsk次對稱密鑰生成詢問、q ke次密鑰封裝詢問和q kd次密鑰解封裝詢問。那么存在一種算法C在時(shí)間t′lt;t+O（q kd）t p+Oq2 H 1t m+O（q uq H 2）t e 內(nèi)以概率

ε′≥ ε q H 1（2q H 2+q H 3） （1- q kd 2k ）

解出 q -BDHIP問題，其中 q=q H "1 。上式中， t p 表示 G 2 中的雙線性對運(yùn)算， t m 表示 G 1 中的點(diǎn)乘運(yùn)算，而 t e 表示 G 2 中的求冪運(yùn)算。

證明 "定理3的證明請參考文獻(xiàn)［30］。

定理4 "在隨機(jī)預(yù)言機(jī)模型下，如果存在一個EUF-CMA安全的敵手 "Euclid Math OneFAp

，在攻擊所提方案時(shí)具有優(yōu)勢 ε≥10（q ke+1）+（q keq H 2）/2k ，當(dāng)運(yùn)行時(shí)，它在時(shí)間 t 內(nèi)最多可以進(jìn)行 q H i 次隨機(jī)預(yù)言機(jī) H i（i=1，2，3，4） 詢問、 q ke 次密鑰生成詢問、 q gsk 次對稱密鑰生成詢問、 q ke 次密鑰封裝詢問和 q kd 次密鑰解封裝詢問，那么存在一種算法 C 在時(shí)間

t′≤120686q H 1q H 2 t+O（q st p） ε（1-1/2k）（1-q/2k） +O（q2t m）

內(nèi)可以解出 q -SDHP問題，其中 q=q H "1 。上式中， t p 表示 G 2 中的雙線性對運(yùn)算， t m 表示 G 1 中的點(diǎn)乘運(yùn)算。

證明 "定理4的證明請參考文獻(xiàn)［30］。

5 BIO-IBHSC訪問控制方案

本章主要介紹基于所提BIO-IBHSC方案構(gòu)造WBANs訪問控制方案。根據(jù)基于身份的訪問控制模型［31］，本文的訪問控制方案主要包括初始化、注冊、認(rèn)證授權(quán)和撤銷四個階段。具體過程見第2章。

1）初始化階段 在此階段，AP執(zhí)行系統(tǒng)初始化算法并管理WBAN。在該階段中，控制器被分配了一個生物特征信息 b r 和一個私鑰 S IDr （AP可以執(zhí)行密鑰提取算法，身份 ID r 也可以從 b r 中計(jì)算得出）。私鑰可以通過在線或離線的方式傳輸。如果采用在線的方式，那么可以使用安全的套接字協(xié)議來確保私鑰的機(jī)密性。

2）注冊階段 在此階段，每個用戶都需要向AP注冊以獲得WBAN的訪問權(quán)限。用戶首先將其生物特征數(shù)據(jù)發(fā)送給AP，然后AP檢查生物特征數(shù)據(jù)是否有效。如果無效，那么AP拒絕注冊請求；否則，AP設(shè)置過期日期 E d ，并執(zhí)行密鑰提取算法生成私鑰

S IDs= 1 H 1（ID s‖Ed）+s P

其中：‖是一個連接符號； ID s可以由b s計(jì)算得出。用戶可以驗(yàn)證等式e（S ID，H 1（ID s‖Ed）P+P pub）=g 是否成立。如果成立，則 S IDs有效；否則，S IDs 無效。

3）認(rèn)證和授權(quán)階段 當(dāng)擁有生物特征數(shù)據(jù) b s 的用戶想要訪問WBAN的信息時(shí)，其首先產(chǎn)生詢問消息 m 。為了實(shí)現(xiàn)匿名性和避免重放攻擊，用戶把詢問消息 m 、生物特征數(shù)據(jù) b s 和時(shí)間戳 ts 形成一個新的消息 m′=m‖b s‖ts ，然后對新生成的消息 m′ 、發(fā)送方的生物特征數(shù)據(jù) b s 、私鑰 S IDs 和接收方的生物特征數(shù)據(jù) b r 執(zhí)行簽密算法并將密文 σ =（τ，S，T，PAR s） （在這里， τ 為 m‖b s‖ts 的密文）發(fā)送給控制器。當(dāng)控制器收到用戶的訪問請求 m′ 時(shí)，它首先計(jì)算發(fā)送者的身份 ID′ s 和自己的身份 ID r， 然后驗(yàn)證等式 r=e（S，H 1（ID s）P+P pub）g-h 是否成立。如果不成立，則輸出終止符號⊥；否則，計(jì)算對稱密鑰 K=H 2（r） ，恢復(fù)消息 m‖b s‖ts= DEM K （τ） 。

4）撤銷階段 注冊日期截止前自動撤銷。例如，如果截止日期是“2021-06-15”， 那么用戶可以在2021年6月15號之前訪問WBAN。也就是說用戶的私鑰在2021年6月15號之后自動失效。由于某些原因，本文必須在到期日期之前撤銷用戶的訪問權(quán)限，所以AP應(yīng)該向控制器發(fā)送被撤銷的身份信息?？刂破鞅４嬉粋€被撤銷的身份列表，用于驗(yàn)證用戶的有效性。

6 訪問控制方案分析

本章分析所提訪問控制方案的性能和安全性。表2總結(jié)了CK［17］、LHJ［18］、OMM［20］、LWLY［22］和本文方案的主要計(jì)算開銷和通信開銷。在這里， |x| 表示 x 的比特長度。PM、EC、PC分別表示 G 1 中的點(diǎn)乘運(yùn)算， G 2 中的指數(shù)運(yùn)算和 G 2 中的雙線性對運(yùn)算。由于這三種運(yùn)算比較耗時(shí)，所以其他運(yùn)算可以忽略掉。本文在MICA2上采用了文獻(xiàn)［32］的實(shí)驗(yàn)結(jié)果，配備了一個時(shí)鐘頻率為7.372 8 MHz，4 KB RAM，128 KB ROM的ATMega128 8位處理器。從文獻(xiàn)［32］中可以得到，使用160 bit的素?cái)?shù) p 的橢圓曲線表示80 bit的安全級別，在 G 1 中進(jìn)行點(diǎn)乘運(yùn)算需要0.81 s。從文獻(xiàn)［33］中可以得到，在嵌入度為4的 F 2271 上使用超奇異橢圓曲線 y2+y = x3+x 并實(shí)現(xiàn) η T 對，在 G 2 中的指數(shù)運(yùn)算需要0.9 s，配對運(yùn)算需要1.9 s。假設(shè)| hash |=160 bit，| m |=160 bit，| ID |=80 bit。使用在二進(jìn)制域 F 2271 上的一個橢圓曲線， G 1 的素?cái)?shù)階為252 bit。群 G 1 中一個元素的大小為542 bit，采用壓縮技術(shù)，可以壓縮到34 Byte。群 G 2 中每個元素的大小為1 084 bit。從表1中可以看出，對于用戶部分和控制器部分，本文方案的計(jì)算量比OMM［20］略高，但比CK［17］和LHJ［18］的計(jì)算量少。值得注意的是，本文方案的通信開銷最少。

對計(jì)算開銷和通信開銷進(jìn)行了定量分析。由于控制器的資源有限，所以只考慮它的計(jì)算開銷和通信開銷。從文獻(xiàn)［32，33］的結(jié)果來看，CK、LHJ、OMM、LWLY和本文方案在控制器上的計(jì)算時(shí)間分別為6.51 s、6.32 s、2.43 s、5.4 s和3.61 s。對能量消耗而言，假設(shè)數(shù)據(jù)速率為12.4 kbps，MICA2的功率電平為3.0 V，運(yùn)行模式下的電流為8.0 mA，接收模式下的電流為10 mA。根據(jù)文獻(xiàn)［34，35］的方案，一個點(diǎn)乘運(yùn)算消耗的能量為3.0×8.0×0.81=19.44 mJ，一個指數(shù)運(yùn)算消耗的能量為3.0×8.0×0.9=21.6 mJ，一個配對計(jì)運(yùn)算消耗的能量為3.0×8.0×1.9=45.6 mJ。因此，CK、LHJ、OMM、LWLY和本文方案在控制器上的能耗分別為1×19.44+3×45.6=159.24 mJ、2×19.44+21.6+2×45.6=151.68 mJ、3×19.44=58.32 mJ、21.6×6=129.6 mJ、19.44+21.6+2×45.6=132.24 mJ。在這里，為了便于與其他三種方案進(jìn)行比 較，假設(shè)本文方案采用的對稱加密算法為AES，長度為128 bit。因此， |RAR s| =128 bit。由表2可知，CK、LHJ、OMM、LWLY和本文方案中的控制器分別需要接收98 Byte、132 Byte、130 Byte、110 Byte和84 Byte的消息。從文獻(xiàn)［32］可得，控制器使用3×10×8/12400=0.019 mJ來接收1 Byte的消息。因此，CK、LHJ、OMM、LWLY和本文方案中控制器的通信能耗分別為0.019×98=1.86 mJ、0.019×132=2.51 mJ、0.019×130=2.47 mJ、0.019×110=2.09 mJ和0.019×88=1.60 mJ。CK、LHJ、OMM、LWLY和本文方案的總能耗分別為159.24+1.86=161.1 mJ、151.68+2.51=154.19 mJ、58.32+2.47=60.79 mJ、129.6+2.09=131.69 mJ和132.24+1.60=133.84 mJ。

圖2、3分別總結(jié)了控制器的計(jì)算開銷和能量消耗。從這兩張圖中可以看出，由于需要耗時(shí)的雙線性對運(yùn)算，本文方案比OMM和LWLY的計(jì)算成本和能量消耗稍高，但是比CK和 LHJ的計(jì)算成本和能量消耗低。

表3總結(jié)了這四種方案的安全特性。其中，符號×表示方案不滿足該安全性要求，√表示方案滿足該安全性要求。由表3可知，CK不能實(shí)現(xiàn)匿名，CK、LHJ、OMM和LWLY不具備生物特征，本文方案滿足所有的安全特性。

7 結(jié)束語

本文描述了一種適用于無線體域網(wǎng)的EBIAC方案，它既保證了WBANs中消息交換的準(zhǔn)確性，又保證了消息的隱私性。EBIAC方案的新穎之處在于將生物識別技術(shù)和基于身份的簽密技術(shù)的良好集成，因此它可以在隨機(jī)預(yù)言機(jī)模型中有效地實(shí)現(xiàn)機(jī)密性、認(rèn)證性、完整性、不可否認(rèn)性和匿名性。此外，本文還利用所提EBIAC方案構(gòu)造了一種非常適合于實(shí)際應(yīng)用的基于生物特征身份識別的訪問控制方案。該方案和已有的訪問控制方案相比，在計(jì)算開銷和通信開銷方面都具有優(yōu)勢。

參考文獻(xiàn)：

［1］ "Hong Jiaojiao，Liu Bo，Sun Qianyuan， et al. A combined public-key scheme in the case of attribute-based for wireless body area networks［J］. Wireless Networks ，2019， 25 （2）：845-859.

［2］ "Shuai Mengxia，Liu Bin，Yu Nenghai， et al. "Efficient and privacy preserving authentication scheme for wireless body area networks［J］. Journal of Information Security and Applications ，2020， 52 ：102499.

［3］ He Daojing，Chan S，Tang Shaohua.A novel and lightweight system to secure wireless medical sensor networks［J］. IEEE Journal of Biomedical and Health Informatics ，2013， 18 （1）：316-326.

［4］ Nidhya R，Karthik S.Security and privacy issues in remote healthcare systems using wireless body area networks［M］// Maheswar R，Kanagachidambaresan G，Jayaparvathy R， et al. Body Area Network Challenges and Solutions.Cham：Springer，2019：37-53.

［5］ Negra R，Jemili I，Belghith A.Wireless body area networks：applications and technologies［J］. Procedia Computer Science ，2016， 83 （1）：1274-1281.

［6］ "Siva Bharathi K R，Venkateswari R.Security challenges and solutions for wireless body area networks［M］//Iyer B，Nalbalwar S，Pathak N.Computing，Communication and Signal Processing.Singapore：Springer，2019：275-283.

［7］ Wang Changji，Liu Jing.Attribute-based ring signcryption scheme and its application in wireless body area networks［C］//Proc of International Conference on Algorithms and Architectures for Parallel Processing.Berlin：Springer，2015：521-530.

［8］ Sahai A，Waters B.Fuzzy identity-based encryption［C］//Proc of Annual International Conference on the Theory and Applications of Cryptographic Techniques.Berlin：Springer，2005：457-473.

［9］ Zhang Yanhua，Hu Yupu，Gan Yong， et al. "Efficient fuzzy identity-based signature from lattices for identities in a small（or large） universe［J］. Journal of Information Security and Applications ，2019， 47 ：86-93.

［10］ Li Yannan，Yu Yong，Min Geyong， et al. Fuzzy identity-based data integrity auditing for reliable cloud storage systems［J］. IEEE Trans on Dependable and Secure Computing ，2019， 16 （1）：72-83.

［11］ Shan Xiwei，You Lin，Hu Gengran.Two efficient constructions for biometric-based signature in identity-based setting using bilinear pairings［J］. IEEE Access ，2021， 9 ：25973-25983.

［12］ Cramer R，Shoup V.Design and analysis of practical public-key encryption schemes secure against adaptive chosen ciphertext attack［J］. SIAM Journal on Computing ，2003， 33 （1）：167-226.

［13］ "Abe M，Gennaro R，Kurosawa K.Tag-KEM/DEM：a new framework for hybrid encryption［J］. Journal of Cryptology ，2008， 21 （1）：97-130.

［14］ Sakai Y，Hanaoka G.A remark on an identity-based encryption scheme with non-interactive opening［C］//Proc of International Symposium on Information Theory and Its Applications.Piscataway，NJ：IEEE Press，2018：703-706.

［15］ Fan Jia，Tang Xiaohu，Kang Li， et al. "Identity-based encryption with non-interactive opening［J］. Journal of Shanghai Jiaotong University（Science） ，2008， 13 （6）：670-674.

［16］ Baek J，Susilo W，Salah K， et al. Stateful public-key encryption：a security solution for resource-constrained environment［M］//Li K C，Chen X，Susilo W.Advances in Cyber Security：Principles，Techniques，and Applications.Singapore：Springer，2019：1-22.

［17］ Cagalaban G，Kim S.Towards a secure patient information access control in ubiquitous healthcare systems using identity-based signcryption［C］//Proc of the 13th International Conference on Advanced Communication Technology.Piscataway，NJ：IEEE Press，2011：863-867.

［18］ Li Fafen，Han Yanan，Jin Chunhua.Cost-effective and anonymous access control for wireless body area networks［J］. IEEE Systems Journal ，2018， 12 （1）：747-758.

［19］ Li Fafen，Hong Jiaojiao.Efficient certificateless access control for wireless body area networks［J］. IEEE Sensors Journal ，2016， 16 （13）：5389-5396.

［20］ Omala A A，Mbandu A S，Mutiria K D， et al. "Provably secure heterogeneous access control scheme for wireless body area network［J］. Journal of Medical Systems ，2018， 42 （6）：1-14.

［21］ "Ullah I，Alomari A，Amin N U， et al. "An energy efficient and formally secured certificate-based signcryption for wireless body area networks with the Internet of Things［J］. Electronics ，2019， 8 （10）：1171.

［22］ Liu Xiaoguang，Wang Ziqing，Ye Yalan， et al. "An efficient and practical certificateless signcryption scheme for wireless body area networks［J］. Computer Communications ，2020， 162 ：169-178.

［23］ 李莉，楊鴻飛，董秀則.基于身份多條件代理重加密的文件分級訪問控制方案［J/OL］.計(jì)算機(jī)應(yīng)用. （2021-09-01）.http：//kns.cnki.net/kcms/detail/51.1307.TP.20210831.1704.035.html. （Li Li，Yang Hongfei，Dong Xiuze.Hierarchical file access control scheme with identity-based multi-conditional proxy re-encryption［J/OL］. Journal of Computer Applications. （2021-09-01）.http：//kns.cnki.net/ kcms/detail/51.1307.TP.20210831.1704.035.html.）

［24］ 李藝昕，張應(yīng)輝，胡凌云，等.在線問診環(huán)境下細(xì)粒度雙邊訪問控制方案［J/OL］.計(jì)算機(jī)工程與應(yīng)用.（2021-11-11）.http：//kns.cnki.net/ kcms/detail/11.2127.TP.20210721.1616.016.html. （Li Yixin，Zhang Yinghui，Hu Lingyun， et al. Fine-grained bilateral access control scheme in online consultation environment［J］. Computer Engineering and Applications .（2021-11-11）.http：//kns.cnki.net/kcms/detail/11.2127.TP.20210721.1616.016.html.）

［25］ "彭長根，彭宗鳳，丁紅發(fā)，等.具有可撤銷功能的屬性協(xié)同訪問控制方案［J］.通信學(xué)報(bào)，2021， 42 （5）：75-86. （Peng Changgen，Peng Zongfeng，Ding Hongfa， et al. "Attribute-based revocable collaborative access control scheme［J］. Journal on Communications ，2021， 42 （5）：75-86.）

［26］ Boneh D，F(xiàn)ranklin M.Identity-based encryption from the Weil pairing［C］//Proc of Annual International Cryptology Conference.Berlin：Springer，2001：213-229.

［27］ Dodis Y，Reyzin L，Smith A.Fuzzy extractors：how to generate strong keys from biometrics and other noisy data［C］//Proc of International Conference on the Theory and Applications of Cryptographic Techniques.Berlin：Springer，2004：523-540.

［28］ Burnett A，Byrne F，Dowling T， et al. A biometric identity based signature scheme［J］. International Journal of Network Security ，2007， 5 （3）：317-326.

［29］ Li Fagen，Zheng Zhaohui，Jin Chunhua.Identity-based deniable authenticated encryption and its application to e-mail system［J］. Telecommunication Systems ，2016， 62 （4）：625-639.

［30］ "Li Fagen，Khan M K.A biometric identity-based signcryption scheme［J］. Future Generation Computer Systems， 2012， 28 （1）：306-310.

［31］ "Herzberg A，Mass Y，Mihaeli J， et al .Access control meets public key infrastructure，or：assigning roles to strangers［C］//Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ：IEEE Press，2000：2-14.

［32］ Shim K A，Lee Y R，Park C M.EIBAS：an efficient identity-based broadcast authentication scheme in wireless sensor networks［J］. Ad hoc Networks ，2013， 11 （1）：182-189.

［33］ Gura N，Patel A，Wander A， et al. Comparing elliptic curve cryptography and RSA on 8-bit CPUs［C］//Proc of International Workshop on Cryptographic Hardware and Embedded Systems.Berlin：Springer，2004：119-132.

［34］ Ma C，Xue K，Hong P.Distributed access control with adaptive privacy preserving property for wireless sensor networks［J］. Security and Communication Networks ，2014， 7 （4）：759-773.

［35］ Shim K A.S2DRP：secure implementations of distributed reprogramming protocol for wireless sensor networks［J］. Ad hoc Networks ，2014， 19 ：1-8. "