張 敏，謝 川

（1.西南民族大學(xué)外國(guó)語(yǔ)學(xué)院，四川 成都 610066；2.西南民族大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，四川 成都 610066）

1 研究背景和意義

1.1 研究意義

無(wú)線體域網(wǎng)在遠(yuǎn)程醫(yī)療、健康監(jiān)護(hù)等領(lǐng)域有著廣闊的應(yīng)用前景，通過(guò)無(wú)線體域網(wǎng)對(duì)解決看病難、看病貴等問(wèn)題和我國(guó)面臨的人口老齡化問(wèn)題方面有著非常重要的意義.然而無(wú)線體域網(wǎng)收集到的是與用戶身體健康狀況相關(guān)的隱私信息，因此無(wú)線體域網(wǎng)對(duì)安全性要求更高.如何有效解決無(wú)線體域網(wǎng)面臨的安全問(wèn)題是人們普遍關(guān)心的重要問(wèn)題，而身份認(rèn)證作為無(wú)線體域網(wǎng)安全防護(hù)的第一關(guān)，起到非常重要的作用，值得深入研究.

一個(gè)典型的無(wú)線體域網(wǎng)結(jié)構(gòu)如圖1所示，無(wú)線傳感器網(wǎng)絡(luò)先通過(guò)傳感器收集人體生理數(shù)據(jù)，然后將這些數(shù)據(jù)通過(guò)移動(dòng)智能終端傳輸?shù)竭h(yuǎn)程服務(wù)器.本文身份認(rèn)證研究主要是移動(dòng)智能終端與遠(yuǎn)程服務(wù)器之間 的身份認(rèn)證，基本模型如圖2所示.

圖1 體域網(wǎng)結(jié)構(gòu)圖Fig.1 The Structure of body area network

如圖2所示，現(xiàn)有的無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證有無(wú)線體域網(wǎng)客戶端（移動(dòng)智能終端）、可信第三方、應(yīng)用服務(wù)器三個(gè)部分組成.首先是注冊(cè)階段，用戶和各種應(yīng)用服務(wù)器想要授權(quán)都需要向可信第三方注冊(cè)；然后客戶端向應(yīng)用服務(wù)器發(fā)起身份認(rèn)證并完成會(huì)話秘鑰協(xié)商.無(wú)線體域網(wǎng)從人體傳感器收集人體生理數(shù)據(jù)，然后將這些數(shù)據(jù)發(fā)送到移動(dòng)智能終端再通過(guò)移動(dòng)智能終端經(jīng)由公共網(wǎng)絡(luò)發(fā)送給醫(yī)院服務(wù)器、社保中心、健康護(hù)理中心等其他機(jī)構(gòu).無(wú)線體域網(wǎng)環(huán)境下的身份認(rèn)證方案和協(xié)議需要滿足如下條件:

無(wú)線體域網(wǎng)的身份認(rèn)證協(xié)議需要解決用戶訪問(wèn)多服務(wù)器問(wèn)題:用戶存在只需要一次注冊(cè)便可以訪問(wèn)無(wú)線體域網(wǎng)中多個(gè)服務(wù)器的需求.例如用戶不但需要通過(guò)醫(yī)院服務(wù)器獲取自己個(gè)人健康數(shù)據(jù)，也需要通過(guò)社保中心查詢醫(yī)療報(bào)銷情況以及查詢其他商業(yè)保險(xiǎn)公司服務(wù)器數(shù)據(jù)等等.因此無(wú)線體域網(wǎng)環(huán)境下的身份認(rèn)證只需要用戶注冊(cè)一次，就可以訪問(wèn)這些與無(wú)線體域網(wǎng)相關(guān)的多個(gè)服務(wù)器.

無(wú)線體域網(wǎng)環(huán)境下的身份認(rèn)證安全性要求更高:無(wú)線體域網(wǎng)采集和傳輸?shù)氖巧婕坝脩魝€(gè)人健康的隱私數(shù)據(jù)，身份認(rèn)證協(xié)議必須具有高安全性且能夠?qū)崿F(xiàn)會(huì)話秘鑰協(xié)商.同時(shí)無(wú)線體域網(wǎng)環(huán)境在客戶端以智能終端形式存在，但智能終端的存儲(chǔ)能力和計(jì)算能力有限，無(wú)線體域網(wǎng)環(huán)境下的身份認(rèn)證必須使用輕量級(jí)的算法.

無(wú)線體域網(wǎng)身份認(rèn)證協(xié)議需要解決雙向發(fā)起認(rèn)證問(wèn)題:以往的身份認(rèn)證，客戶端只是數(shù)據(jù)的訪問(wèn)者，不需要提供數(shù)據(jù).而無(wú)線體域網(wǎng)環(huán)境下，醫(yī)院醫(yī)生、病人家屬都需要訪問(wèn)無(wú)線體域網(wǎng)客戶端中的數(shù)據(jù).通常的身份認(rèn)證協(xié)議只需要解決用戶向服務(wù)器單向發(fā)起的認(rèn)證的情況，例如用戶向認(rèn)證服務(wù)器發(fā)起認(rèn)證請(qǐng)求，服務(wù)器不會(huì)向用戶端發(fā)起請(qǐng)求，訪問(wèn)用戶客戶端數(shù)據(jù).但無(wú)線體域網(wǎng)存在雙方都發(fā)起身份認(rèn)證的情形:首先是用戶向醫(yī)院服務(wù)器發(fā)起身份認(rèn)證，來(lái)獲取自己病情；與此同時(shí)，醫(yī)生也需要通過(guò)醫(yī)院服務(wù)器向用戶端發(fā)起身份認(rèn)證以便醫(yī)生可以實(shí)時(shí)查看無(wú)線體域網(wǎng)收集到的用戶生理數(shù)據(jù).實(shí)現(xiàn)無(wú)線體域網(wǎng)環(huán)境下雙向均可發(fā)起認(rèn)證，雙方都可訪問(wèn)彼此數(shù)據(jù)的身份認(rèn)證協(xié)議目前還未相關(guān)研究涉及.

相比傳統(tǒng)的網(wǎng)絡(luò)環(huán)境下身份認(rèn)證，無(wú)線體域網(wǎng)下的身份認(rèn)證具有一定特殊性，如何研究和設(shè)計(jì)滿足無(wú)線體域網(wǎng)需求的高安全性的遠(yuǎn)程身份認(rèn)證協(xié)議是目前身份認(rèn)證領(lǐng)域研究的熱點(diǎn)和亟待解決的科學(xué)問(wèn)題.

1.2 國(guó)內(nèi)外研究現(xiàn)狀

關(guān)于無(wú)線體域網(wǎng)環(huán)境下的遠(yuǎn)程身份認(rèn)證研究，可以分為基于生物信號(hào)、通道、附近環(huán)境和密碼算法的身份認(rèn)證方案.早在2006年P(guān)oon等人[1]就提出無(wú)線體域網(wǎng)設(shè)計(jì)認(rèn)證方案，通過(guò)比較使用諸如心電圖、虹膜和指紋的生物特征值是否相等來(lái)判斷通過(guò)認(rèn)證與否.但文獻(xiàn)[1]所述方案效率較低，文獻(xiàn)[2-3]針對(duì)效率的提升進(jìn)行深入研究.但文獻(xiàn)[2-3]仍然存在安全問(wèn)題，他們并沒(méi)有考慮生物特征的模糊性，也就是同一個(gè)人提取相同部位的生物特征，所提取的身體特征也可能存在細(xì)小的差別，不能將生物特征直接用于哈希運(yùn)算.如果一旦將生物特征直接哈希運(yùn)算，由于細(xì)微的差別其哈希結(jié)果將會(huì)完全不一樣，從而導(dǎo)致拒絕服務(wù)攻擊.因此，文獻(xiàn)[2-3]所描述方案由于沒(méi)有考慮生物特征模糊性，實(shí)際部署中并不可行.

研究人員根據(jù)無(wú)線體域網(wǎng)接受信號(hào)強(qiáng)度會(huì)隨著用戶位置變動(dòng)或通信環(huán)境干擾而存在一定差異的這種情形提出基于通道的身份認(rèn)證方案[4-6].文獻(xiàn)[4]通過(guò)監(jiān)測(cè)臨時(shí)信號(hào)改變而提出方案抵御基于身份的攻擊，但該方案仍然存在一定安全問(wèn)題例如不能實(shí)現(xiàn)用戶身份匿名保護(hù).文獻(xiàn)[5]提出通過(guò)基于設(shè)備配對(duì)實(shí)現(xiàn)身份認(rèn)證，但這種認(rèn)證方式對(duì)環(huán)境要求較高，因?yàn)槠湫枰辽賰蓚€(gè)接收天線才能完成認(rèn)證.還有部分身份認(rèn)證方案是基于密碼學(xué)算法，例如文獻(xiàn)[6]提出的基于擴(kuò)展Diffie-Hellman的密鑰協(xié)商方案來(lái)實(shí)現(xiàn)無(wú)線體域網(wǎng)環(huán)境的身份認(rèn)證.

目前無(wú)線體域網(wǎng)環(huán)境研究熱點(diǎn)是基于密碼學(xué)，因?yàn)榛诿艽a算法的身份認(rèn)證方案較少依賴物理環(huán)境.文獻(xiàn)[6]提出基于傳統(tǒng)公鑰算法實(shí)現(xiàn)無(wú)線體域網(wǎng)用戶和服務(wù)器雙方之間的身份認(rèn)證.但是用戶端設(shè)備的計(jì)算能力和電量都有限，基于公鑰的密碼算法由于需要較大的計(jì)算資源和能量消耗并不能適應(yīng)于無(wú)線體域網(wǎng)環(huán)境.為了進(jìn)一步較少資源消耗，人們將橢圓曲線加密（ECC）算法在無(wú)線體域網(wǎng)環(huán)境下的身份認(rèn)證逐漸成為熱點(diǎn)[7-9].文獻(xiàn)[10]運(yùn)用ECC設(shè)計(jì)新的身份認(rèn)證方案，但文獻(xiàn)[10]所提協(xié)議被指出不能抵御反射攻擊.文獻(xiàn)[11]在此基礎(chǔ)上進(jìn)一步研究設(shè)計(jì)新的身份認(rèn)證方案，但隨后，在文獻(xiàn)[12]就指出文獻(xiàn)[11]所提方案不能抵御拒絕服務(wù)攻擊.這些方案在用戶端都需要較大計(jì)算量，考慮到用戶端的計(jì)算能力有限，這些方案都不能有效部署.隨后文獻(xiàn)[13]進(jìn)一步研究，并在橢圓曲線上基礎(chǔ)上利用雙線性對(duì)設(shè)計(jì)出新的簽名方案，但該方案仍然存在不能實(shí)現(xiàn)用戶身份匿名的安全問(wèn)題，如果攻擊者具有較強(qiáng)計(jì)算力，文獻(xiàn)[13]所提方案還容易遭受身份偽造攻擊.文獻(xiàn)[14]提出新的基于雙線性對(duì)的身份認(rèn)證方案來(lái)解決文獻(xiàn)[13]中面臨的問(wèn)題.文獻(xiàn)[14]所提方案具有較高安全性，但該方案要求在客戶端的計(jì)算量較高同時(shí)沒(méi)有考慮應(yīng)用服務(wù)器存在向用戶端發(fā)起身份認(rèn)證.綜上所述，目前關(guān)于無(wú)線體域網(wǎng)的最新研究[14-16]都是基于雙線性對(duì)，但由于雙線性對(duì)的密碼算法計(jì)算量較大并不符合無(wú)線體域網(wǎng)環(huán)境存儲(chǔ)和計(jì)算能力有限的客觀環(huán)境，需要進(jìn)一步深入研究.

2 現(xiàn)有研究存在的問(wèn)題

綜上所述，針對(duì)無(wú)線體域網(wǎng)環(huán)境下的身份認(rèn)證已經(jīng)取得了一定的研究成果，但仍然存在不少安全和效率問(wèn)題.基于三因素的遠(yuǎn)程身份認(rèn)證具有較高安全性和效率，但目前無(wú)線體域網(wǎng)下基于三因素的身份認(rèn)證方案相關(guān)研究非常少.如何將傳統(tǒng)的三因素身份認(rèn)證理論擴(kuò)展到無(wú)線體域網(wǎng)和移動(dòng)互聯(lián)網(wǎng)等新興網(wǎng)絡(luò)模式值得深入研究，總結(jié)目前無(wú)線體域網(wǎng)環(huán)境下基于三因素的遠(yuǎn)程身份認(rèn)證研究還存在的問(wèn)題如下:

無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證協(xié)議需要實(shí)現(xiàn)雙向發(fā)起認(rèn)證:通常的身份認(rèn)證只存在用戶發(fā)起認(rèn)證的情況，而無(wú)線體域網(wǎng)存在醫(yī)生通過(guò)服務(wù)器訪問(wèn)用戶實(shí)時(shí)健康信息的情況，如何解決服務(wù)器、用戶均能發(fā)起身份認(rèn)證并協(xié)商會(huì)話秘鑰是無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證的特殊性，目前鮮有文獻(xiàn)對(duì)這類問(wèn)題進(jìn)行研究.

無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證協(xié)議需要滿足多服務(wù)器環(huán)境:所謂多服務(wù)環(huán)境下的身份認(rèn)證是指用戶只需要注冊(cè)一次就可以訪問(wèn)醫(yī)院服務(wù)器、社保中心資料、第三方護(hù)理機(jī)構(gòu)等分布在不同區(qū)域的服務(wù)器資源.而目前無(wú)線體域網(wǎng)環(huán)境下多服務(wù)器身份認(rèn)證解決方案并沒(méi)有相關(guān)文獻(xiàn)提出，需要進(jìn)一步深入研究.同時(shí)現(xiàn)有的多服務(wù)器身份認(rèn)證方案絕大部分無(wú)論在注冊(cè)還是認(rèn)證都需要可信第三方參與，但可信第三方存在被攻擊不能正常工作的安全威脅，高健壯的多服務(wù)器身份認(rèn)證方案也是無(wú)線體域網(wǎng)環(huán)境身份認(rèn)證研究重點(diǎn).

無(wú)線體域網(wǎng)環(huán)境身份認(rèn)證協(xié)議需要較高安全性且輕量級(jí)，并能實(shí)現(xiàn)會(huì)話秘鑰協(xié)商:無(wú)線體域網(wǎng)環(huán)境下，都是通過(guò)移動(dòng)智能終端將分布在人體傳感器數(shù)據(jù)通過(guò)公網(wǎng)傳送到遠(yuǎn)程服務(wù)器，移動(dòng)智能終端存儲(chǔ)能力和計(jì)算能力都有限，因此無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證需要實(shí)現(xiàn)輕量級(jí)身份認(rèn)證.

高安全無(wú)線體域網(wǎng)環(huán)境身份認(rèn)證:目前三因素身份認(rèn)證由于具有較高安全性是身份認(rèn)證研究熱點(diǎn).以往的三因素身份認(rèn)證包括三個(gè)方面（密碼、智能卡、生物特征），在無(wú)線體域網(wǎng)環(huán)境下移動(dòng)智能終端作為客戶端不能有效使用智能卡，如何運(yùn)用三因素身份認(rèn)證理論提高無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證安全性也是面臨問(wèn)題之一.

3 解決方案和路線

針對(duì)無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證存在的安全問(wèn)題，本文提出的解決方案和思路如下:

（1）無(wú)線體域網(wǎng)環(huán)境構(gòu)建高安全性且輕量級(jí)的三因素身份認(rèn)證協(xié)議研究

傳統(tǒng)的三因素身份認(rèn)證理論是將密碼、生物特征、智能卡一起實(shí)現(xiàn)身份認(rèn)證，但在無(wú)線體域網(wǎng)環(huán)境無(wú)法使用智能卡，如何將傳統(tǒng)的三因素身份認(rèn)證理論擴(kuò)展到無(wú)線體域網(wǎng)環(huán)境是今后研究的重要內(nèi)容.本文擬通過(guò)移動(dòng)智能終端替代智能卡成為三因素中的一個(gè)因素，因?yàn)橹悄芙K端可以存儲(chǔ)數(shù)據(jù)且具有一定的計(jì)算能力，但是也需要充分考慮移動(dòng)智能終端可能面臨的安全威脅.所設(shè)計(jì)的協(xié)議即使存儲(chǔ)于智能卡中數(shù)據(jù)被攻擊也不影響整個(gè)協(xié)議和會(huì)話秘鑰的安全性.

輕量級(jí)方案在本文中主要涉及三個(gè)方面:通信開(kāi)銷的輕量級(jí)、計(jì)算的輕量級(jí)、生物特征模糊性處理的輕量級(jí).其中計(jì)算量的輕量級(jí)和生物特征模糊性解決算法的輕量級(jí)是研究重要內(nèi)容.

（2）無(wú)線體域網(wǎng)環(huán)境下三因素身份認(rèn)證協(xié)議研究

本文所提無(wú)線體域網(wǎng)的身份認(rèn)證方案如圖3所示.該模型有三個(gè)組成部分，可信第三方，客戶端，多個(gè)應(yīng)用服務(wù)器.可信第三方可以由政府部門建設(shè)，客戶端和多個(gè)應(yīng)用服務(wù)器在使用前都需要向可信第三方發(fā)起注冊(cè)；在無(wú)線體域網(wǎng)環(huán)境下通常將移動(dòng)智能終端作為客戶端，移動(dòng)智能終端主要有兩個(gè)任務(wù)，第一個(gè)是收集和整合分布在人體各項(xiàng)傳感器數(shù)據(jù)，第二個(gè)是用戶可以通過(guò)智能終端訪問(wèn)遠(yuǎn)程應(yīng)用服務(wù)器；第三個(gè)部分是各種應(yīng)用服務(wù)器，比如醫(yī)院、社保中心、保險(xiǎn)公司或相關(guān)科研單位服務(wù)器等等.因此，無(wú)線體域網(wǎng)環(huán)境的身份認(rèn)證方案有所不同.總結(jié)有如下三個(gè)方面的研究?jī)?nèi)容:

圖3 本文無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證模型Fig.3 The authentication model of body area network in this paper

①實(shí)現(xiàn)雙方均可發(fā)起認(rèn)證的三因素身份認(rèn)證協(xié)議:無(wú)線體域網(wǎng)中，需要實(shí)現(xiàn)用戶向服務(wù)器發(fā)起認(rèn)證，也需要實(shí)現(xiàn)服務(wù)器向用戶發(fā)起認(rèn)證的遠(yuǎn)程身份認(rèn)證協(xié)議.

②實(shí)現(xiàn)具有高健壯性的多服務(wù)器身份認(rèn)證方案:在無(wú)線體域網(wǎng)中用戶需要訪問(wèn)多個(gè)服務(wù)器，如何設(shè)計(jì)安全高效的多服務(wù)器身份認(rèn)證方案是無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證研究的重要內(nèi)容.

③身份認(rèn)證協(xié)議需要實(shí)現(xiàn)安全且輕量級(jí):無(wú)線體域網(wǎng)環(huán)境客戶端計(jì)算能力和存儲(chǔ)能力都有限，所設(shè)計(jì)的協(xié)議不單安全性要高而且需要輕量級(jí)，這也是無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證研究的重要內(nèi)容.

（3）無(wú)線體域網(wǎng)環(huán)境下生物特征模糊性解決方案

生物特征模糊性是指每次提取的相同部位的生物特征都仍然存在細(xì)微差別.而傳統(tǒng)密碼學(xué)算法諸如哈希運(yùn)算對(duì)輸入非常敏感，因此不能直接將生物特征用于哈希運(yùn)算，這會(huì)導(dǎo)致注冊(cè)階段和認(rèn)證過(guò)程不能匹配，必須要解決生物特征模糊性和哈希運(yùn)算輸入穩(wěn)定性之間的矛盾.最新三因素身份認(rèn)證主要通過(guò)Fuzzy Vault算法、Biohasing算法、Fuzzy Extractors算法和Secure Sketch算法.由于指紋在生物特征中是目前使用最廣泛的，而且Fuzzy Extractors算法是生物特征模糊性解決方案中最常用的.相關(guān)研究表明，F(xiàn)uzzy Extractors并不適合指紋，錯(cuò)誤率高達(dá)15%，同時(shí)該算法計(jì)算量較大，不符合輕量級(jí)需求.如何找到符合指紋模糊性解決方案的輕量級(jí)算法是下一步研究的主要內(nèi)容.

4 總結(jié)

本文針對(duì)無(wú)線體域網(wǎng)環(huán)境下身份認(rèn)證面臨的安全問(wèn)題進(jìn)行了較為詳細(xì)的敘述，總結(jié)了無(wú)線體域網(wǎng)環(huán)境下的遠(yuǎn)程身份認(rèn)證協(xié)議存在的主要問(wèn)題，并針對(duì)這些問(wèn)題如何解決給出了思路和解決辦法.為下一步研究工作明確了重點(diǎn).