摘要：隨著遠(yuǎn)程醫(yī)療和無線技術(shù)的快速發(fā)展，無線體域網(wǎng)的通信研究成為熱點。考慮無線通信設(shè)備的限制性和用戶身份的保密性，提出一種可追蹤的匿名認(rèn)證協(xié)議，保護(hù)用戶的真實身份，并在醫(yī)療糾紛時第三方可以揭露用戶的真實身份。用戶端的計算開銷較小，適用于無線體域網(wǎng)的環(huán)境。

關(guān)鍵詞：無證書;可追蹤;匿名認(rèn)證

中圖分類號：TP393 ? ? ? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）34-0036-03

Abstract： With the rapid development of telemedicine and wireless technology， wireless body area network communication research has become a hot spot. Considering the limitations of wireless communication equipment and the confidentiality of user identities， a traceable anonymous authentication protocol is proposed to protect the users true identity， and a third party can reveal the users true identity during medical disputes. The computing overhead of the user side is relatively small， which is suitable for the environment of wireless body area network.

Key words： certificateless; traceable; anonymous authentication

1 緒論

隨著無線技術(shù)和移動智能設(shè)備的高速發(fā)展，無線體域網(wǎng)成為研究熱點。無線體域網(wǎng)[1]由一系列嵌入式或穿戴式的傳感器和智能設(shè)備組成，通過傳感器采集用戶的身體特征信息，然后智能設(shè)備將這些身體特征信息傳送給遠(yuǎn)程醫(yī)療端，由遠(yuǎn)程醫(yī)療端分析數(shù)據(jù)之后將結(jié)果返回。由于診斷結(jié)果和用戶身份的隱私性，在無線體域網(wǎng)中需要設(shè)計匿名認(rèn)證協(xié)議。

基于無證書的密碼體制中[2]中用戶的私鑰由第三方和用戶共同決定，避免了用戶私鑰的泄露。基于無證書匿名認(rèn)證協(xié)議[3-7]成為目前匿名認(rèn)證協(xié)議的研究重點。文獻(xiàn)[3-4]使用無證書技術(shù)提出了保護(hù)隱私的匿名認(rèn)證協(xié)議，協(xié)議中醫(yī)療端需要存儲驗證信息，敵手可以通過攻擊獲取驗證信息從而偽造合法的用戶。同時協(xié)議使用了開銷較大的雙線性對操作，也不滿足前向安全性。文獻(xiàn)[5]基于無證書加密方案提出了保護(hù)隱私的匿名認(rèn)證協(xié)議，但該協(xié)議在資源受限的客戶端使用較多的點乘操作并且沒有考慮多醫(yī)療端的模型，同時匿名身份的客戶如果存在異常行為不能及時揭示客戶的真實身份。

基于以上無證書匿名認(rèn)證協(xié)議中存在的問題，本文提出了可追蹤的匿名認(rèn)證協(xié)議，可以保護(hù)用戶的身份隱私，并在產(chǎn)生醫(yī)療糾紛時可以通過第三方揭露用戶的真實身份。在此協(xié)議中，用戶端和醫(yī)療端的計算代價相對于現(xiàn)有協(xié)議有更好的表現(xiàn)。

2 相關(guān)知識

在本節(jié)中介紹本協(xié)議使用的系統(tǒng)模型圖和困難性假設(shè)問題。

2.1 系統(tǒng)模型

如圖1所示，在本協(xié)議中有三個實體：

（1）病患設(shè)備：收集病患身體特征數(shù)據(jù)的智能設(shè)備，如可便攜手機、手環(huán)等，該設(shè)備具有能力有限的特點，通常用C表示;

（2）遠(yuǎn)程醫(yī)療端：對病患設(shè)備發(fā)送的體征數(shù)據(jù)進(jìn)行分析并返回結(jié)果，一般是醫(yī)療結(jié)構(gòu)或醫(yī)生，通常用AP表示;

（3）第三方：一般由中間機構(gòu)承擔(dān)第三方角色，由于機構(gòu)的營利性，第三方是半可信的。其主要作用是為病患和遠(yuǎn)程醫(yī)療端分發(fā)部分私鑰和公開公共數(shù)。通常用KCC表示。

2.2 困難性假設(shè)

（1）離散對數(shù)問題DL：給定元組[{P，xP}∈G]，在概率多項式時間內(nèi)找到整數(shù)[x]是困難的。

（2）計算Diffie-Hellman問題CDH：給定元組[{P，xP，yP}∈G]，其中[x，y]是[Z*q]中未知的整數(shù)。在概率多項式時間內(nèi)計算[xyP]是困難的。

3 可追蹤匿名認(rèn)證協(xié)議

3.1 初始化

KGC隨機選擇[s∈Z*q]，生成系統(tǒng)公鑰[Ppub=sP]，定義[hash]函數(shù)：[h：{0，1}?×G→Z*q]，[h1：{0，1}?×G2→Z*q]，[h2：G3→Z*q]，[h3：G3→{0，1}?]。KGC公布公開參數(shù)[{E/Fp，F(xiàn)p，G，P，Ppub，h，h1，h2，h3}]

3.2 私鑰生成

（1）用戶端C的密鑰生成：C隨機選[dc∈Z*q]，計算[PID1c=dcP]。然后將[{IDc，PID1c}]通過安全信道發(fā)送給KGC。

KGC收到消息后，計算部分偽身份[PID2c=IDc⊕h（IDc，s?PID1c）]，則C的偽身份[PIDc={PID1c，PID2c}]。然后隨機選擇[ac∈Z*q]，計算[Ac=acP]，[sc=ac+s?h1（Ac，PIDc，Ppub）]。將[{PIDc，Ac，sc}]返回給C。

C收到后，首先計算[h1（Ac，PID，Ppub）]，驗證[scP=Ac+h1（Ac，PIDc，Ppub）?Ppub]是否成立，成立則接受[sc]作為部分私鑰。最后C隨機選擇[fc∈Z*q]，計算[Fc=fcP]。C的私鑰為[{sc，fc}]，C的公鑰為[{Ac，F(xiàn)c}]。

（2）醫(yī)療端AP的密鑰生成：AP隨機選擇[fAP∈Z*q]，計算[FAP=fAPP]。然后將[{IDAP，F(xiàn)AP}]通過安全信道發(fā)送給KGC。

KGC收到消息后，隨機選擇[zAP∈Z*q]，計算[ZAP=zAPP]，[sAP=zAP+s?h1（ZAP，IDAP，Ppub）]。將[{ZAP，sAP}]返回給AP。

AP收到后，首先計算[h1（ZAP，IDAP，Ppub）]，然后驗證[sAPP=ZAP+h1（ZAP，IDAP，Ppub）?Ppub]是否成立，成立則接受[sAP]作為部分私鑰。AP的私鑰為[{sAP，fAP}]，C的公鑰為[{FAP，ZAP}]。

3.3 認(rèn)證過程

C隨機選擇[x∈Z*q]，計算[X=xP]，[X'=xFAP]，[ec=x+fc?h2（X，F(xiàn)c，Ac）+sc]，[Ec=Eh2（X'）（ec⊕PIDc）]。然后C將[{Ec，X}]通過公共信道發(fā)送給AP。

AP收到[{Ec，X}]之后，首先計算[X'=fAP?X]，解密[Ec]得到[ec]和[PIDc]，然后驗證[ecP=X+h2（X，F(xiàn)c，Ac）?Fc+Ac+h1（Ac，PIDc，Ppub）?Ppub]是否成立，成立則認(rèn)證成功，否則認(rèn)證失敗。

3.4 會話密鑰生成

認(rèn)證成功后，AP隨機選擇[y∈Z*q]，計算[Y=yP]，[Y'=yX]，生成會話密鑰[sk=h3（Y，Y'，X）]，[MACsk（Y）]。然后將[{MAC，Y}]發(fā)送給C。

C接收到 [{MAC，Y}]之后，首先計算[Y'=xY]，[sk=h3（Y，Y'，X）]。最后驗證[MACsk（Y）]的有效性。

4 安全性證明

本節(jié)通過分析證實協(xié)議滿足以下的安全性需求。

（1）用戶匿名性。C的真實身份包含在偽身份[PID2c=IDc⊕h（IDc，s?PID1c）]中，敵手想要獲取用戶的真實身份，需要獲取KGC的私鑰，而私鑰是KGC私有的，所以本協(xié)議保證匿名性。

（2）相互認(rèn)證。在協(xié)議通過中C和AP完成了認(rèn)證消息[{Ec，X}]和應(yīng)答消息[{MAC，Y}]的發(fā)送，通過檢驗認(rèn)證消息和應(yīng)答消息的有效性可以完成認(rèn)證。

（3）不可鏈接。由于[{Ec，X}]中使用了隨機數(shù)，即使敵手獲取到兩條信息[{Ec1，X1}]和[{Ec2，X2}]，也無法判斷兩條信息是否來自同一個C，保證了信息的不可鏈接性。

（4）會話密鑰建立。在C和AP進(jìn)行相互認(rèn)證后，需要建立會話密鑰[sk=h（Y，Y'，X）]保證后續(xù)通信。在會話密鑰中[Y，X]是公共參數(shù)，敵手想要獲得會話密鑰需要計算[Y']，即需要解決CDH難題。所以本協(xié)議滿足會話密鑰安全性。

（5）前向安全。認(rèn)證之后C和 AP生成會話密鑰[sk=h（Y，Y'，X）]，即使AP的長期私鑰泄露，敵手也無法計算出[Y']，保證了前向安全性。

（6）可追蹤性。當(dāng)C的行為或身份異常時，AP解密[Ec]得到C的偽身份[PIDc]后提交給KGC，KGC計算[IDc=PID2c⊕h（IDc，s?PID1c）]來揭示C的真實身份。

5 功能和性能比較

5.1 功能分析

本節(jié)進(jìn)行本文協(xié)議與協(xié)議[5]的功能比較。具體對比如表1所示。根據(jù)表可知，本文協(xié)議滿足基本的安全性需求，而協(xié)議[5]不滿足可追蹤性。

5.2 性能分析

本節(jié)從計算開銷評估協(xié)議的效率。通過計算使用的操作數(shù)的時間計算協(xié)議的計算開銷。[Tm]表示一次橢圓曲線中的模乘時間，解密操作，MAC碼以及普通hash函數(shù)操作由于計算時間較短[8]，可以忽略不計。計算開銷對比如表2所示，可以看出本文協(xié)議在滿足可追蹤的條件下計算代價也較小。

6 總結(jié)

本文基本用戶匿名性需求，使用橢圓曲線提出了可追蹤的認(rèn)證協(xié)議，在用戶行為或者數(shù)據(jù)異常的情況下可以揭露其真實身份。同時通過功能和性能分析，本協(xié)議的代價較小，滿足各種安全性需求，更適用于資源受限的無線體域網(wǎng)環(huán)境。

參考文獻(xiàn)：

[1] ZIMMERMAN T G. Personal area networks： Near-field intra body communicateon[J].IBM System Journal， 1996， 35（3/4）：609-617.

[2] Al-Riyami S S， Paterson K G. Certificateless Public Key Cryptography[A].International Conference on the Theory and Application of Cryptology and Information Security （ASIACRYPT）[C].2003：452-473.

[3] Liu J， Zhang Z， Sun R. An efficient certificateless remote anonymous authentication scheme for wireless body area networks[A]. Proceedings of IEEE International Conference on Communications （ICC）[C]， 2012：3404-3408.

[4] Liu J， Zhang Z， Chen X， et al. Certificateless remote anonymous authentication schemes for wireless body area networks[J].IEEE Transactions on Parallel and Distributed Systems， 2014， 25（2）：332-342.

[5] Xiong H. Cost-effective scalable and anonymous certificateless remote authentication protocol[J].IEEE Transactions on Information Forensics and Security， 2014， 9（12）： 2327-2339.

[6] 趙艷，蔣烈輝.面向遠(yuǎn)程醫(yī)療信息系統(tǒng)的安全高效匿名認(rèn)證協(xié)議[J].信息工程大學(xué)學(xué)報，2019，20（4）：100-106.

[7] 張順，范鴻麗，仲紅，等.無線體域網(wǎng)中高效可撤銷的無證書遠(yuǎn)程匿名認(rèn)證協(xié)議[J].通信學(xué)報，2018，39（4）：100-111.

[8] Chatterjee S， Das A， and Sing J. An enhanced access control scheme in wireless sensor networks[J]. Ad-Hoc Sensor Wireless Network， 2014，21（1-2）：121-149.

【通聯(lián)編輯：代影】