無線醫療傳感網的匿名雙向身份認證研究

，，

(上海工程技術大學 電子電氣工程學院，上海 201620)

無線醫療傳感網的匿名雙向身份認證研究

丁邢濤，鐘伯成，朱淑文

(上海工程技術大學 電子電氣工程學院，上海 201620)

針對無線醫療傳感網系統中通信實體身份問題，提出了一種雙向身份認證方案，包括初始化、用戶注冊、身份認證和機密信息及口令更新4個階段。該方案實現了用戶、醫療傳感節點和個人服務器三者之間的雙向身份認證，保證用戶匿名性的同時能夠抵御多種攻擊。與現有的兩種認證方案相比，降低了時間復雜度，同時具有更高的安全性，適用于無線醫療傳感網。

無線醫療傳感網；安全隱私；身份認證

引 言

近幾年隨著“互聯網+”口號的提出，無線醫療傳感網吸引了眾多研究領域專家的廣泛關注。無線醫療傳感網中包含許多可穿戴式醫療傳感節點，通過這些節點可以對老人或者病人狀況進行遠程實時監控。無線醫療傳感網作為一項富有前景的技術，將會改變傳統的醫療方式，然而其使用又面臨著病人數據與隱私泄露的問題，病人信息在無線信道傳輸過程中可能會被竊聽甚至篡改，導致遠程服務器端的醫生作出錯誤診斷，嚴重威脅到病人生命安全。通常采用加密算法保證數據的安全傳輸，但是僅僅依靠加密技術還是不夠的，對于用戶想要訪問的傳感節點信息，既要保證用戶的合法性，同時也要確保節點的合法性，即兩者之間的身份認證?？紤]到醫療節點計算能力有限和電池能源受限，傳統網絡的身份認證算法并不適合無線醫療傳感網。

[2]基于零知識證明理論和承諾方案提出了BANZKP身份認證方案，相比TinyZKP方案[3]和W-ECDSA[4]占用更少的內存、消耗更少的能量。然而該方案只是基于兩方通信實體的雙向認證，當新的節點加入或節點失效時，不能識別這些節點，即不能很好地滿足無線醫療傳感動態網絡拓撲性。參考文獻[5]提出了一種基于無證書簽名方案，實現了用戶可匿名性，利用雙線性映射密碼體制，能夠抵御多種攻擊，但無法抵抗替換公鑰攻擊，在這種情況下，攻擊者可以任意替換簽名者的密鑰，并偽造消息-簽名對。參考文獻[6]對其提出了改進，在同樣資源消耗情況下，能夠抵御更多的攻擊，但該方案存在一定的缺陷：不能對基站的身份進行認證，一旦有偽造基站進入無線醫療傳感網絡中，將會對病人造成難以估量的損失。參考文獻[7]把智能卡與用戶密碼結合起來，使用對稱加密算法和單向哈希函數，保證合法用戶訪問醫療數據，但由于所有的機密信息都存儲在網關節點中，一旦此節點被妥協，所有的秘密信息就都被暴露了，進而威脅到病人的生命安全。本文所提出的方案基于參考文獻[7]，但對其作出了改進：將網關節點代替為個人服務器(如智能手機)，同時將個人服務器參與到醫療節點、用戶的身份認證過程中，彌補了網關節點被妥協的缺陷。

1 基本理論原理

1.1 密鑰管理與身份認證

密鑰管理[8-9]是從密鑰產生到密鑰銷毀的一個過程，主要包括管理體制、管理協議和密鑰的產生、分配、更新、存儲和驗證。

通常將身份認證與密鑰管理一起使用來實現病人的數據和隱私不被泄露。身份認證的目的是檢驗傳感器節點身份的合法性、用戶身份的合法性、信息來源的真實性和信息的真實性[10]。身份認證的方法有基于共享密鑰和基于公鑰兩種方式?；诠€的身份認證方式算法簡單、安全性高，是目前主要的身份認證方式，主要包括橢圓曲線密碼和雙線性映射。

1.2 橢圓曲線密碼體制

1985年，Neal Koblitz和V. S. Miller分別提出將橢圓曲線用于公開密鑰密碼體制。橢圓曲線密碼體制使用160位密鑰長度達到的安全等級和其他公鑰密碼體制(如RSA、ElGamal)使用1024位密鑰長度達到的安全等級一樣。

常用于身份認證的橢圓曲線密碼體制[11]如下：給定一個有限域GF(p) , p為其階數且為素數。給定有限域GF(p)上的一條橢圓曲線E，一般表現形式為:y2=x3+ax+b，其系數滿足4a2+27b3≠0。如果P為橢圓曲線E上一點，則2p=p+p，3p=2p+p=p+p+p。對于兩個給定整數j和k,j×(k×p)=(j×k)×p=k×(j×p)。橢圓曲線離散對數問題(ECDLP)就是給定點P和Q，確定整數k，使k×P=Q。ECDLP困難性意味著，給定點P和Q，很難從中確定整數k。在密碼的使用上，曲線E和其中一個特定的基點G一起被選擇和公布。一個私鑰k被作為隨機整數來選擇，值P=k×G被作為公鑰來公布。

2 身份認證方案設計

圖1 身份認證參與實體

本文提出的身份認證方案基本思想是使用智能卡和各種信息摘要值及時間戳進行用戶的身份認證，主要包括初始化、注冊、登錄認證。身份認證的三方通信實體包括醫療傳感節點、個人服務器和用戶，如圖1所示。

2.1 初始化

在醫療傳感節點被部署之前，個人服務器保存自己的主密鑰對(x,y)，并為病人身上所有的醫療傳感節點計算足夠長的密鑰SKgs=h(Sn‖y)，Sn為各自傳感器節點的身份。對于傳感器節點，個人服務器會生成一個隨機參數Yi(i=1,2,…,n)，這些隨機參數各自存儲在與身份對應的醫療傳感節點內部。而個人服務器內存儲了所有的這些參數。該方案所用到的參數如表1所列。

表1 參數對應關系

2.2 用戶注冊階段

從安全角度來看，用戶需要從個人服務器那里注冊得到一個合法身份。用戶Uk首先選擇自己的身份IDk和口令PWk，然后生成一個足夠大的隨機數r，計算h(r⊕PWk)，接著用戶Uk向個人服務器發出一個注冊請求。收到用戶Uk的請求后，個人服務器計算：

Ak=h(IDk⊕l)，Bk=Ex[IDk‖l]，Vk=h(IDk‖h(r⊕PWk))

計算結束后，個人服務器委托控制中心生成一張智能卡，然后將機密信息{Ak,Bk,Vk,Ekey[],Dkey[]}存儲在智能卡中傳遞給用戶Uk，接收到智能卡后，用戶Uk將自己的隨機數r輸到智能卡中,這樣智能卡中就存儲了機密信息{Ak,Bk,Vk,Ekey[],Dkey[],r}。

2.3 身份認證階段

(1)階段1

當用戶需要訪問傳感器網絡時，在終端機插入自己的智能卡，輸入用戶身份和口令，然后進行以下操作：

② 用戶通過智能卡計算Hk=h(Ak)，AIDk=ETkTu[h(IDk)‖Sn‖Xg]。其中TkTu=(Tu‖Hk)，Tu為此時刻的時間戳，Xg在認證過程中起輔助作用(它是由用戶Uk生成的臨時隨機參數)，Sn是用戶Uk要訪問的傳感節點。

③ 用戶Uk將消息M1={Bk,AIDk,Tu}發送給傳感節點Sn，在這里假設用戶Uk發來的信息M1傳感器節點Sn在時間Ts能夠收到。

(2)階段2

節點Sn收到信息M1后，首先檢查時間戳Tu是否有效。具體步驟是檢查Tu-Ts≤ΔT是否成立，其中ΔT是規定的一個延遲時延。如果上述不等式成立，則繼續認證過程，否則終止。

(3)階段3

傳感器節點Sn在認證用戶Uk為合法用戶后，生成消息M2={Bk,AIDk,Tu,Ts,Sn}和消息M2的消息驗證碼Q=MAC(SKgs‖Yn)(Bk‖AIDk‖Tu‖Ts‖Sn)，Yn為存儲在傳感器節點Sn內部的參數，完成以上操作后，傳感器節點Sn把消息{M2,Q}發送給個人服務器。

(4)階段4

假設個人服務器在時間Tp時刻收到消息{M2,Q}。

① 首先個人服務器檢查Tp-Ts≤ΔT是否成立，驗證時間戳Ts的有效性。如果以上條件均成立，則繼續認證過程，否則終止。

② 個人服務器計算得出與傳感節點Sn共享的長密鑰SKps=h(Sn‖y)，將它與消息M2一起檢索出Yn，并生成Q′=MAC(SKps‖Yn)(Bk‖AIDk‖Tu‖Ts‖Sn)。比較Q′=Q是否成立。如果成立,則個人服務器認證消息{M2,Q}是傳感節點Sn發送的，即消息的來源是真實的,否則結束認證過程。

(5)階段5

(6)階段6

圖2 認證過程

2.4 機密信息和口令更新

3 方案性能分析

3.1 安全性分析

(1)匿名性

當合法用戶訪問傳感節點信息時本方案能夠保證用戶的匿名性，即無法追蹤用戶的身份信息。用戶在注冊階段使用Vk等參數進行認證而非身份信息IDk，因此攻擊者或傳感節點就無法確認與其通信的用戶身份。本方案選擇使用單項HASH函數，攻擊者不可能通過h(IDk)逆向推出IDk。

(2)雙向認證

本方案能夠實現用戶、醫療傳感節點、個人服務器三方通信實體的雙向認證。在階段4中，當個人服務器收到傳感節點發來的信息后，不確定醫療傳感節點的身份，于是通過計算Q′，與收到的Q比對，如果相同，暫時認為醫療傳感節點身份合法；接著個人服務器解密AIDk，獲得用戶與之通信的醫療傳感節點，與之前醫療傳感節點進行比較，如果相同，則個人服務器認證醫療傳感節點。個人服務器通過解密Bk獲得用戶身份IDk，計算h(IDk)，與收到的h(IDk)進行比較，如果相同，則認證用戶身份合法。醫療傳感節點通過與個人服務器共享的密鑰解密，獲得時間戳，與之前的時間戳進行比較，就可以認證個人服務器身份的合法性。

(3)抵御重放攻擊

本方案設定了一個時延ΔT，當用戶、醫療傳感節點、個人服務器收到信息后，首先計算自己當下時間戳與收到的時間戳之差，然后與ΔT比較，如果差值小于ΔT，則認為發來的信息是最新的。

(4)抵御偽裝攻擊

攻擊者不能冒充合法用戶訪問醫療傳感節點信息。假設攻擊者得到了用戶智能卡，并獲得了其中的機密信息，但是由于用戶身份的匿名性，攻擊者無法獲取用戶的身份及其口令，也就無法登陸系統。

(5)抵御內部攻擊

攻擊者無法在系統內部進行攻擊。因為在認證過程結束后，終端機更新用戶的機密信息及口令，在更新過程中不需要醫療傳感節點與個人服務器的參與。

3.2 復雜度分析

對于不同的解決方案，所使用的加密算法可能是不相同的，因此每種方案的復雜度也不同，可以從以下幾個方面來分析方案的時間復雜度：

① 對稱加密：表示對稱加密算法，例如RC4、AES等。

② 非對稱加密：表示非對稱加密算法，例如RSA、ECC等。

③ HASH：表示哈希函數，例如MD5。

④ 多項式：表示多項式計算，例如加法、乘法和模運算等。

本文提出的方案與參考文獻[12]、[13]提出的方案進行比較，結果如表2所列。

表2 方案比較

相比其他兩種方案，本文提出的方案在對稱加密次數方面更理想，且參考文獻[13]還用到了非對稱加密，非對稱加密算法的計算量和計算復雜度都要遠高于對稱加密算法。雖然本文提出的方案比其他兩種方案多了5次HASH算法，但由于HASH算法快捷、方便，對方案整體復雜度沒有太大的影響?？梢姳疚奶岢龅姆桨冈跁r間復雜度上優于其他兩種方案。

結 語

參考文獻

[1] Pardeep Kumar,Hoon-Jae Lee.Security Issues in Healthcare Applications Using Wireless Medical SensorNetworks:A Survey[J].Sensors,2012(12):55-91.

[2] Nesrine KHERNANE,MARIA POTOP-BUTUCARU,Claude CHAUDET.BANZKP:a Secure Authentication Scheme Using Zero Knowledge Proof for WBANs[C]//IEEE 13th International Conference on Mobile Ad Hoc and Sensor Systems,2016.

[3] Ma Limin,Ge Yu,Zhu Yuesheng.Tinyzkp:A lightweight authentication scheme based on zero-knowledge proof for wireless body area network[J].Wireless personal communications,2014,77(2):1077-1090.

[4] Wang Haodong,ShengBo,Tan Chiu C,et al.Public-key basedaccess control in sensornet[J].Wireless Networks,2011,17(5):1217-1234.

[5] Jingwei Liu,Zonghua Zhang,Xiaofeng Chen,et al.Certificateless remote anonymous authentication schemes for wireless body area networks[J].IEEETrans Parallel Distrib Syst,2014,25(2): 332-342.

[6] Daojing He,Sammy Chan,Yan Zhang.Light weight and Confidential Data Discovery and Dissemination for Wireless Body Area Networks[J].IEEE Journal of Biomedical and Health Informatics,2014,18(2):440-448.

[7] Pardeep Kumar,Sang-Gon Lee,Hoon-Jae Lee.A User Authentication for Healthcare Application using WirelessMedical Sensor Networks[C]//IEEE International Conference on High Performance Computing and Communications,2011.

[8] 蘇忠,林闖,封富君,等.無線傳感器網絡密鑰管理的方案和協議[J].軟件學報,2007,18(5):1218-1231.

[9] 張曼君.無證書公鑰密碼體制的理論與應用研究[D].西安:西安電子科技大學,2013.

[10] 遲令.基于無線傳感器網絡的身份認證體系的研究[D].長春:吉林大學,2015.

[11] Neal Koblitz,Alfred Menezes,Scott Vanstone.The State of Elliptic Curve Cryptography[J].Designs,Codes and Cryptography,2000,19(2-3):173-193.

[12] H Wang,B Sheng,Q Li.Elliptic curve cryptography-based access control in sensor networks[J].Int.J.Security and Networks,2006(1):127-137.

[13] CC Chang,HC Tsai.An Anonymous and Self-Verified Mobile Authentication with Authenticated Key Agreement for Large-Scale Wireless Networks[J].IEEE Transactions on Wireless Communications,2010,9(11):3346-3353.

MutualUserAuthenticationofWirelessMedicalSensorNetwork

DingXingtao,ZhongBocheng,ZhuShuwen

(Electronic Institute of Electrical Engineering,Shanghai University of Engineering Science,Shanghai 201620,China)

In the paper,a mutual user authentication scheme is proposed,including initialization,user registration,identity authentication,confidential information and password updated.The scheme realizes the mutual user authentication between users,medical sensor nodes and individual servers,which ensures the anonymity of users while resisting multiple attacks.Compared with the two existing authentication schemes,the time complexity is reduced and the scheme is suitable for medical sensor network.

wireless medical sensor network;security and privacy;user authentication

TP393

A

薛士然

2017-09-05)