無(wú)線體域網(wǎng)中具有生物特征的基于身份的 訪問(wèn)控制方案

摘 要： ""針對(duì)現(xiàn)有無(wú)線體域網(wǎng)（WBANs）中的安全和隱私性問(wèn)題，為了充分利用生物特征的優(yōu)勢(shì)來(lái)確保WBANs 內(nèi)數(shù)據(jù)通信的安全性，首次提出了一種具有生物特征的基于身份的隱私保護(hù)技術(shù)，然后利用該技術(shù)在WBANs中提出了一種新的訪問(wèn)控制方法。在安全性方面，在隨機(jī)預(yù)言機(jī)模型下是可證明安全的，并且具有機(jī)密性、認(rèn)證性、完整性、不可否認(rèn)性和匿名性；在性能方面，與現(xiàn)有方案相比，提出方案在計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)方面都具有優(yōu)勢(shì)。

關(guān)鍵詞： "訪問(wèn)控制； 生物特征； 基于身份的密碼系統(tǒng)； 安全； WBANs

中圖分類號(hào)： "TP309.2 """文獻(xiàn)標(biāo)志碼： A

文章編號(hào)： "1001-3695（2022）02-044-0577-05

doi：10.19734/j.issn.1001-3695.2021.07.0277

Biometric identity-based access control for wireless body area networks

Jin Chunhua1，2， Xie Run1， Shan Jinsong2， Qiang Hao2

（1.Dept.of Artificial Intelligence amp; Big Data， Yibin University， Yibin Sichuan 644000， China； 2.Faculty of Computer amp; Software Enginee-ring， Huaiyin Institute of Technology， Huai’an Jiangsu 233002， China）

Abstract： "Aiming at the problems of security and privacy in wireless body area networks（WBANs），in order to bring the advantages of biometric characteristics into full play to secure data communication within WBANs，this paper first proposed an identity-based privacy-preserving scheme based on biometrics，and then，presented a new access control approach for WBANs by the proposed design.From a security perspective，the proposed solution achieves confidentiality，authentication，integrity，non-repudiation and anonymity in the random oracle model.Performance analysis shows that the proposed scheme is the most efficient compared with other existing schemes in terms of computational cost and energy consumption.

Key words： "access control； biometrics； identity-based cryptosystem； security； WBANs

0 引言

無(wú)線體域網(wǎng)（WBANs）是一項(xiàng)新興技術(shù)，受到了學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。WBANs 是由許多小型智能生物醫(yī)學(xué)傳感器和控制器組成的［1～3］。這些傳感器可以植入或佩戴在人體上，用來(lái)收集各種生命數(shù)據(jù)（如溫度、血壓、血糖、心率）以監(jiān)測(cè)患者的健康狀況。然后它將所有收集到的數(shù)據(jù)傳輸?shù)娇刂破髦校热缰悄苁汁h(huán)或智能手機(jī)。控制器將接收到的數(shù)據(jù)發(fā)送給醫(yī)務(wù)人員或遠(yuǎn)程監(jiān)測(cè)站。WBANs 作為醫(yī)療保健系統(tǒng)中的關(guān)鍵技術(shù)，可以使醫(yī)療專家實(shí)時(shí)獲取與患者健康相關(guān)的信息，從而對(duì)患者進(jìn)行及時(shí)、適當(dāng)?shù)闹委煛Ｒ虼耍琖BANs 成為家庭健康監(jiān)測(cè)和診斷的理想候選者，特別適用于慢性疾病的患者［4，5］。

WBANs 涉及了許多與患者有關(guān)的敏感信息，所以只有被授權(quán)的用戶才能訪問(wèn)這些信息［6，7］。因此，訪問(wèn)控制是確保WBANs 成功運(yùn)行的關(guān)鍵技術(shù)。一個(gè)安全的訪問(wèn)控制方案應(yīng)該滿足認(rèn)證、授權(quán)和撤銷(xiāo)，以控制用戶的訪問(wèn)和各種類型的攻擊。此外，針對(duì)訪問(wèn)WBANs 的不同用戶，應(yīng)該設(shè)置不同的訪問(wèn)權(quán)限。比如，胃腸病專家只能從他的病人那里檢索到相關(guān)數(shù)據(jù)，而不能從其他病人那里檢索到任何數(shù)據(jù)。

Sahai等人［8］首先提出了基于模糊身份的加密方案，該方案使用基于生物特征的屬性而不是任意的字符串作為身份信息，避免了在線公鑰基礎(chǔ)設(shè)施的需求。Zhang等人［9］給出了小空間和大空間格中的兩個(gè)方案，小空間格中的第一個(gè)方案在標(biāo)準(zhǔn)模型下被證明是安全的，大空間格中的第二個(gè)方案在隨機(jī)預(yù)言模型下被證明是安全的。Li等人［10］為云存儲(chǔ)系統(tǒng)引入了一種基于模糊身份的數(shù)據(jù)審計(jì)，并討論了如何使用生物識(shí)別信息作為模糊身份。Shan等人［11］設(shè)計(jì)了兩種橢圓曲線上具有生物特征的基于身份的簽名方案，這兩種方案提供了生物特征認(rèn)證和不可偽造性，并且在隨機(jī)預(yù)言模型下是可證明安全的。

混合加密由密鑰封裝機(jī)制（key encapsulation mechanism，KEM）和數(shù)據(jù)封裝機(jī)制（data encapsulation mechanism，DEM）組成。KEM主要用于對(duì)會(huì)話密鑰進(jìn)行加密；DEM主要用于對(duì)實(shí)際傳輸?shù)南⑦M(jìn)行加密。混合加密技術(shù)適用于加密長(zhǎng)的報(bào)文段。Cramer等人［12］提出了幾種KEM/DEM的混合加密方案，并在標(biāo)準(zhǔn)的困難性假設(shè)下給出了安全性證明。Abe等人［13］介紹了一種選擇密文安全的混合標(biāo)簽加密（tag-KEM/DEM） 方案，其中tag-KEM是選擇密文安全的，DEM 是選擇明文安全的。Sahai等人［14］指出在文獻(xiàn)［15］中，敵手可以通過(guò)發(fā)出證明詢問(wèn)來(lái)獲得目標(biāo)密文的明文，并給出了改進(jìn)。Baek等人［16］對(duì)具有狀態(tài)的公鑰加密方案進(jìn)行了擴(kuò)展，并基于提出方案構(gòu)造了輕量級(jí)的非對(duì)稱加密源語(yǔ)。

Cagalaban等人［17］（以下簡(jiǎn)稱CK）給出了如何利用基于身份的簽密方案構(gòu)造一個(gè)訪問(wèn)控制方案，其目的是解決數(shù)據(jù)或發(fā)送方身份驗(yàn)證的問(wèn)題。Li等人［18］設(shè)計(jì)了一個(gè)無(wú)證書(shū)的簽密方案，又給出了如何應(yīng)用所提出的方案來(lái)構(gòu)造WBANs中的訪問(wèn)控制方案，Li等人［19］使用無(wú)證書(shū)的簽密方案構(gòu)造了一種方法來(lái)確保用戶與WBANs之間的通信安全。Omala等人［20］（以下簡(jiǎn)稱OMM）提出了一個(gè)基于異構(gòu)簽密的訪問(wèn)控制方案，在該方案中，發(fā)送方處于無(wú)證書(shū)環(huán)境中，而接收方處于基于身份環(huán)境中。Ullah等人［21］在WBANs環(huán)境下構(gòu)造了一個(gè)基于證書(shū)的簽密方案，但該方案存在證書(shū)管理問(wèn)題，給系統(tǒng)增加了額外的計(jì)算和通信開(kāi)銷(xiāo)。Liu等人［22］給出了一個(gè)新的訪問(wèn)控制方案，并采用了基于RSA的無(wú)證書(shū)簽密技術(shù)，所以該方案在計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)方面都有優(yōu)勢(shì)。隨后，很多訪問(wèn)控制方案［23～25］被提出。

本文設(shè)計(jì)了一種具有生物特征的基于身份的混合加密方案。該方案利用用戶的生物特征信息來(lái)構(gòu)造其公鑰，簡(jiǎn)化了密鑰生成過(guò)程，采用KEM和DEM相結(jié)合的混合加密技術(shù)實(shí)現(xiàn)了匿名性、機(jī)密性、完整性、認(rèn)證性和不可否認(rèn)性。此外，構(gòu)造了一種具有生物特征的基于身份的tag-KEM 簽密方案，并在隨機(jī)預(yù)言模型下給出了安全性證明。性能分析表明，該方案在計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)方面都具有優(yōu)勢(shì)。

1 預(yù)備知識(shí)

1.1 網(wǎng)絡(luò)模型

圖1描述了由用戶（比如醫(yī)生、護(hù)士或者管理員）、患者所在的WBAN和應(yīng)用程序提供者（AP）三部分組成的網(wǎng)絡(luò)模型。定義的三個(gè)參與者描述如下：

a）用戶。希望訪問(wèn)WBAN的醫(yī)生、護(hù)士或管理員。如果他是一個(gè)合法的用戶，那么他可以訪問(wèn)WBAN，否則不能訪問(wèn)WBAN。

b）WBAN。由微型傳感器（可穿戴或可植入設(shè)備）和控制器（數(shù)據(jù)接收器或智能設(shè)備）組成。這些傳感器的計(jì)算能力有限，存儲(chǔ)成本和處理能力比較低，其主要作用就是收集生理數(shù)據(jù)并將其發(fā)送給控制器，控制器收到后存儲(chǔ)和處理這些數(shù)據(jù)。另外，當(dāng)一個(gè)用戶想要訪問(wèn)WBAN時(shí)，控制器首先驗(yàn)證該用戶是否有效，如果有效，那么用戶可以訪問(wèn)WBAN中的數(shù)據(jù)；否則，用戶無(wú)權(quán)訪問(wèn)WBAN中的數(shù)據(jù)。

c）AP。可信的第三方，主要負(fù)責(zé)用戶和WBAN的注冊(cè)（以線上或線下的方式），以及充當(dāng)基于身份密碼體制中PKG的角色，為用戶和WBAN生成私鑰。如果用戶想要訪問(wèn)WBAN，那么需要在AP 上注冊(cè)并獲取對(duì)應(yīng)的私鑰。此外，AP 還管理WBAN，監(jiān)測(cè)患者的生理數(shù)據(jù)和環(huán)境參數(shù)。

1.2 安全性要求

安全對(duì)于WBAN的通信至關(guān)重要，本文主要考慮用戶和控制器之間的通信。為了檢測(cè)惡意敵手的行為，防止惡意敵手訪問(wèn)WBAN并獲取患者的生理數(shù)據(jù)，本文方案應(yīng)滿足以下安全性要求：

a）匿名性。在給定的密文中識(shí)別出用戶的身份是不可能的。這意味著任何第三方都無(wú)法獲取用戶的身份信息。

b）機(jī)密性。敵手得不到病人的生理數(shù)據(jù)。這意味著即使敵手截獲了所傳輸?shù)南ⅲ矡o(wú)法獲得所傳輸消息的內(nèi)容，這樣患者的生理數(shù)據(jù)就可以達(dá)到隱私保護(hù)的要求。只有合法的用戶和控制器才能讀取它們。

c）認(rèn)證。只有授權(quán)的用戶才能訪問(wèn)WBAN。如果敵手修改了所傳輸?shù)南ⅲ瑒t應(yīng)當(dāng)能檢測(cè)出惡意的操作。

d）完整性。加密的生理數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被修改，用戶和控制器只能讀取或修改正確的生理數(shù)據(jù)。

e）不可否認(rèn)性。防止用戶否認(rèn)先前發(fā)送的詢問(wèn)，如果用戶已經(jīng)訪問(wèn)了WBAN，則不能否認(rèn)對(duì)WBAN的操作。

1.3 設(shè)計(jì)目標(biāo)

在上述網(wǎng)絡(luò)模型和安全要求的前提下，該方案的設(shè)計(jì)目標(biāo)是提出一種高效的具有生物特征的基于身份的訪問(wèn)控制方法，用于確保WBAN通信的安全性。由于指紋、人臉、虹膜等生物特征信息的唯一性、不可偽造性和不可轉(zhuǎn)移性，將生物特征信息整合到基于身份的簽密中，該方案構(gòu)造了一種具有生物特征的基于身份的簽密方法。該方案利用用戶的生物特征信息作為其身份，從而確保用戶身份的唯一性，這樣敵手就不可能模擬用戶的身份信息。此外，該方案提出的基于生物特征的方法可以避免公鑰證書(shū)管理的問(wèn)題，還可以在隨機(jī)預(yù)言模型下實(shí)現(xiàn)機(jī)密性、認(rèn)證性、完整性和不可否認(rèn)性。性能分析表明，所提方案在計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)方面都具有優(yōu)勢(shì)。

1.4 雙線性配對(duì)

設(shè) G 1、G 2 分別為加法群和乘法群。 P 是群 G 1 的生成元， G 1 和 G 2 具有相同的素?cái)?shù)階 q 。一個(gè)雙線性對(duì)是一個(gè)映射 e：G 1×G 1→G 2 ，具有以下性質(zhì)：

a）雙線性。 e（aP，bQ）=e（P，Q）ab，任意P，Q∈G 1，a，b∈Z* q 。

b）不可否認(rèn)性。存在 P，Q∈G 1 ，使得 e（P，Q）≠1 。

c）可計(jì)算性。對(duì)于任意 P，Q∈G 1 ，存在一種有效的算法可以計(jì)算 e（P，Q） 。

修改后的Weil對(duì)和Tate對(duì)是可接受的映射（文獻(xiàn)［26］可以提供更多的信息）。方案的安全性取決于處理以下問(wèn)題的難度。

定義1 ""q -Bilinear Diffie-Hellman inversion problem（ q -BDHIP）。根據(jù)上述雙線性對(duì)的基本定義（ G 1，G 2，e ），給定（ P，αP，α2P，…，αnP ），其中 α∈Z* q ， q -BDHIP問(wèn)題是計(jì)算出 e（P，P）1/α 。

定義2 ""q -Strong Diffie-Hellman problem（ q -SDHP）。根據(jù)上述雙線性對(duì)的基本定義（ G 1，G 2，e ），給定（ P，αP，α2P，…，αnP ）， c，α∈Z* q ， q -SDHP是找到一對(duì) （c，P/（a+c））∈Z* q×G 1 。

1.5 模糊提取器技術(shù)

從生物特征中提取關(guān)鍵數(shù)據(jù)，Dodis等人［27］提出了一種模糊提取器技術(shù)，它是目前最流行的生物特征提取方法之一。其主要過(guò)程是從生物特征樣本 b 中提取唯一的ID，并允許一個(gè)可容忍的閾值。這意味著，如果對(duì)來(lái)自同一用戶的生物特征樣本 b和b′ 使用模糊提取器技術(shù)，將獲得相同的身份信息ID，但是兩個(gè)生物特征樣本 b 和 b′ 的樣本距離必須滿足dis （b、b′）≤t 。具體地說(shuō)，模糊提取器的定義由 {M、l、t} 和兩種算法Gen、Rep給出，其中 M 是具有生物特征樣本點(diǎn)的度量空間， l 是輸出的身份字符串ID的長(zhǎng)度， t 是誤差閾值。

兩種算法Gen、Rep描述如下：

Gen是一個(gè)概率性的提取算法，該算法將生物特征數(shù)據(jù) b∈M 作為輸入，輸出身份信息ID和公開(kāi)的恢復(fù)參數(shù) PAR 。

Rep是一個(gè)確定性的檢索算法，該算法將另一個(gè)生物特征數(shù)據(jù) b′∈M 和 PAR 作為輸入，如果dis（ b，b′）≤t ，則輸出身份信息ID；如果dis（ b，b′）≥t ，則輸出終止符號(hào)⊥。

Burnett等人［28］在上述兩種算法的基礎(chǔ)上提出了一種具有 ［n，k，2t+1］ BCH糾錯(cuò)碼、漢明距離度量和哈希函數(shù) H：{0，1}n→{0，1}l 的具體模糊提取器技術(shù)。具體算法描述如下：

Gen是一個(gè)概率性的提取算法，該算法將生物特征數(shù)據(jù) b∈M 作為輸入，輸出身份信息 ID=H（b） 和公共參數(shù) PAR=b "C e（ID） 。這里， C e 是一個(gè)編碼函數(shù)。

Rep是一個(gè)確定性的檢索算法，該算法將另一個(gè)生物特征數(shù)據(jù) b′∈M 和 PAR 作為輸入，輸出 ID′=C d（b′ "PAR）=C d（b′ "b "C e（ID）） 。當(dāng)且僅當(dāng)dis （b，b′）≤t 時(shí)， ID=ID′ 。身份信息ID被正確恢復(fù)。此處 C d 是與編碼函數(shù) C e 對(duì)應(yīng)的解碼函數(shù)。

2 BIO-IBHSC方案的設(shè)計(jì)

本文將BIO-IBSCTK與DEM方案結(jié)合，構(gòu)造一個(gè)BIO-IBHSC的混合加密方案。具體過(guò)程如下所示：

EI-HSC.Setup：給定一個(gè)安全參數(shù) k 。

a） （params，s） =EI-HSC.Setup （k）。

b）返回系統(tǒng)參數(shù) param 和主私鑰 s 。

EI-HSC.Extract：給定主私鑰 s 和一個(gè)生物特征數(shù)據(jù) b 。

a） S ID = EI-HSC.Extract （b，s） 。

b）返回私鑰 S ID 。

EI-HSC.Signcrypt：給定一個(gè)消息 m∈{0，1}* ，一個(gè)發(fā)送者生物特征 b s ，私鑰 S ID s 和一個(gè)接收者生物特征 b′ r ，使得dis（ b r，b′ r）≤t 。

a） （K，w） =EI-SCTK.Sym （S ID s，b s，b′ r） 。

b） c =DEM.Enc （K，m） 。

c） φ =EI-SCTK.Encap （ω，c） 。

d）返回密文 σ=（φ，c） 。

EI-HSC.Decrypt：給定一個(gè)密文 σ ，發(fā)送者生物特征 b′ s ，使得dis（ b s，b′ s）≤t ，接收者生物特征 b r 和私鑰 S ID r 。

a） K =EI-SCTK.Decap（ φ，c，b′ s，b r，S ID r ）。

b）如果 K=⊥ ，返回 ⊥ 。

c）否則 m =DEM.Dec （K，c） 。

d）返回消息 m 。

這里，DEM輸出的密文就是標(biāo)簽。這樣的設(shè)計(jì)簡(jiǎn)化了方案描述，可以產(chǎn)生更好的通用安全性。

定理1 "假設(shè)混合的BIO-IBHSC由BIO-IBSCTK和DEM方案組成。如果BIO-IBSCTK和DEM分別是IND-CCA2安全的和IND-CPA安全的，那么BIO-IBHSC是IND-CCA2安全的。具體來(lái)說(shuō)，本文可得到

AdvIND-CCA2 BIO-IBHSC（"Euclid Math OneFAp

）=2AdvIND-CCA2 BIO-IBSCTK（ C "1）+AdvIND-PA DEM（ C "2）

證明 "定理1的證明請(qǐng)參考文獻(xiàn)［29］。

定理2 ""本文假設(shè)BIO-IBHSC由BIO-IBSCTK和DEM方案組成。如果BIO-IBSCTK是DA-CMA安全的，那么BIO-IBHSC也是DA-CMA安全的。 具體來(lái)說(shuō)，本文可以得到

AdvDA-CMA BIO-IBHSC（"Euclid Math OneFAp

）≤AdvDA-CMA BIO-IBSCTK（ C）

證明 "定理2的證明請(qǐng)參考文獻(xiàn)［29］。

3 BIO-IBSCTK設(shè)計(jì)

本文設(shè)計(jì)了一個(gè)高效的BIO-IBSCTK方案。在該方案中，發(fā)送方是需要訪問(wèn)接收方（控制器）生理數(shù)據(jù)的醫(yī)生或管理員，他們使用生物特征信息作為身份。因此，他們的身份是唯一的。為了方便說(shuō)明，本文定義所使用的符號(hào)如表1所示。

a）系統(tǒng)初始化。給定如1.4節(jié)所示的 G 1、G 2、P和e 。設(shè) k 為安全參數(shù)（ q≥2k ）， "n 為DEM的密鑰長(zhǎng)度。 H 1、H 2、H 3、H 4 是四個(gè)加密哈希函數(shù)， H 1：{0，1}*→Z* q，H 2：{0，1}*×G 2→Z* q，H 3：G 2→{0，1}*和H 4：b→{0，1}* 。PKG隨機(jī)選擇一個(gè)主密鑰 s∈Z* q并計(jì)算P pub=sP和g=e（P，P） 。此外，PKG選擇一個(gè)編碼函數(shù) c e 、一個(gè)解碼函數(shù) c d 和一個(gè)生物特征提取技術(shù) F d 。系統(tǒng)公開(kāi)參數(shù)為 （G 1，G 2，e，q，n，k，g，P，P pub，H 1，H 2，H 3，H 4，c e，c d，F(xiàn) d） ，主私鑰為 s 。

b）私鑰提取。通過(guò)特征提取方法 F d 獲取用戶的生物特征數(shù)據(jù) b ，然后獲取對(duì)應(yīng)的身份 ID=H 4（b） 并將其發(fā)送給PKG。最后，PKG計(jì)算出用戶的私鑰 S ID=P/（H 1（ID）+s） ，并通過(guò)安全通道發(fā)送給用戶。

c）對(duì)稱密鑰生成。給定發(fā)送方的私鑰 S IDs 、生物特征數(shù)據(jù) b s 和接收方的生物特征數(shù)據(jù) b r ，具體算法如下所示：

（a）獲取接收者的生物特征數(shù)據(jù) b′ r （dis（ b r，b′ r）lt;t） 和對(duì)應(yīng)的公共參數(shù) PAR r 。

（b）計(jì)算 ID′ r =Rep （b′ r，PAR r） 。

（c）計(jì)算 ID s = H 4（b s） 。

（d）選取 x∈Z* q 。

（e）計(jì)算 r=gx 。

（f）計(jì)算 K=H 3（r）和ω=（x，r，S IDs，b s，b′ r）

d）封裝。給定狀態(tài)信息 ω 和標(biāo)簽 τ ，具體算法如下：

（a）計(jì)算 h=H 2（τ，r） 。

（b）計(jì)算 S=（x+h）S ID 。

（c）計(jì)算 T=x（H 1（ID′ r）P+P pub） 。

（d）計(jì)算 PAR s=b s "C e（ID s） 。

（e）密文是 σ=（S，T，PAR s） 。

e）解封裝。給定標(biāo)簽 τ 、封裝 σ 、發(fā)送方的生物特征數(shù)據(jù) b′ s 、接收方的生物特征數(shù)據(jù) b r 和私鑰 S IDr ，具體算法如下：

（a）獲取發(fā)送方的生物特征數(shù)據(jù) b′ s （dis（ b s，b′ s）lt;t ）和公共參數(shù) PAR S 。

（b）計(jì)算 ID′ S =Rep（ b′ S，PAR S ）。

（c）計(jì)算 ID r=H 4（b r） 。

（d）計(jì)算 r=e（T，S IDr） 。

（e）計(jì)算 h=H 2（τ，r） 。

（f）如果等式 r=e（S，H 2（ID s）P+P pub）g-h 成立，那么輸出 K=H 2（r） ； 否則返回一個(gè)符號(hào)⊥。

如果dis （b s，b′ s）lt;t 并且dis （b r，b′ r）lt;t ，那么 ID s=ID′ s ， ID r=ID′ r 。解簽密算法的正確性可以驗(yàn)證如下：

r=e（S，H 1（ID s）P+P pub）g-h=e（（x+h）S ID s，H 1（ID s）P+P pub）g-h=

e（（x+h） 1 H 1（ID s）+s P，（H 1（ID s）+s）P）g-h=

e（（x+h）P，P）g-h=e（P，P）x+hg-h=gx+hg-h=gx=r

4 安全性

定理3 "在隨機(jī)預(yù)言機(jī)模型下，如果存在一個(gè)IND-CCA2安全的敵手 "Euclid Math OneFAp

，在攻擊所提方案時(shí)具有優(yōu)勢(shì) ε ，當(dāng)運(yùn)行時(shí)，它在時(shí)間 t 內(nèi)最多可以進(jìn)行 q H i 次隨機(jī)預(yù)言機(jī) H i（i=1，2，3，4）詢問(wèn)（i=1，2，3，4）、q ke次密鑰生成詢問(wèn)、q gsk次對(duì)稱密鑰生成詢問(wèn)、q ke次密鑰封裝詢問(wèn)和q kd次密鑰解封裝詢問(wèn)。那么存在一種算法C在時(shí)間t′lt;t+O（q kd）t p+Oq2 H 1t m+O（q uq H 2）t e 內(nèi)以概率

ε′≥ ε q H 1（2q H 2+q H 3） （1- q kd 2k ）

解出 q -BDHIP問(wèn)題，其中 q=q H "1 。上式中， t p 表示 G 2 中的雙線性對(duì)運(yùn)算， t m 表示 G 1 中的點(diǎn)乘運(yùn)算，而 t e 表示 G 2 中的求冪運(yùn)算。

證明 "定理3的證明請(qǐng)參考文獻(xiàn)［30］。

定理4 "在隨機(jī)預(yù)言機(jī)模型下，如果存在一個(gè)EUF-CMA安全的敵手 "Euclid Math OneFAp

，在攻擊所提方案時(shí)具有優(yōu)勢(shì) ε≥10（q ke+1）+（q keq H 2）/2k ，當(dāng)運(yùn)行時(shí)，它在時(shí)間 t 內(nèi)最多可以進(jìn)行 q H i 次隨機(jī)預(yù)言機(jī) H i（i=1，2，3，4） 詢問(wèn)、 q ke 次密鑰生成詢問(wèn)、 q gsk 次對(duì)稱密鑰生成詢問(wèn)、 q ke 次密鑰封裝詢問(wèn)和 q kd 次密鑰解封裝詢問(wèn)，那么存在一種算法 C 在時(shí)間

t′≤120686q H 1q H 2 t+O（q st p） ε（1-1/2k）（1-q/2k） +O（q2t m）

內(nèi)可以解出 q -SDHP問(wèn)題，其中 q=q H "1 。上式中， t p 表示 G 2 中的雙線性對(duì)運(yùn)算， t m 表示 G 1 中的點(diǎn)乘運(yùn)算。

證明 "定理4的證明請(qǐng)參考文獻(xiàn)［30］。

5 BIO-IBHSC訪問(wèn)控制方案

本章主要介紹基于所提BIO-IBHSC方案構(gòu)造WBANs訪問(wèn)控制方案。根據(jù)基于身份的訪問(wèn)控制模型［31］，本文的訪問(wèn)控制方案主要包括初始化、注冊(cè)、認(rèn)證授權(quán)和撤銷(xiāo)四個(gè)階段。具體過(guò)程見(jiàn)第2章。

1）初始化階段 在此階段，AP執(zhí)行系統(tǒng)初始化算法并管理WBAN。在該階段中，控制器被分配了一個(gè)生物特征信息 b r 和一個(gè)私鑰 S IDr （AP可以執(zhí)行密鑰提取算法，身份 ID r 也可以從 b r 中計(jì)算得出）。私鑰可以通過(guò)在線或離線的方式傳輸。如果采用在線的方式，那么可以使用安全的套接字協(xié)議來(lái)確保私鑰的機(jī)密性。

2）注冊(cè)階段 在此階段，每個(gè)用戶都需要向AP注冊(cè)以獲得WBAN的訪問(wèn)權(quán)限。用戶首先將其生物特征數(shù)據(jù)發(fā)送給AP，然后AP檢查生物特征數(shù)據(jù)是否有效。如果無(wú)效，那么AP拒絕注冊(cè)請(qǐng)求；否則，AP設(shè)置過(guò)期日期 E d ，并執(zhí)行密鑰提取算法生成私鑰

S IDs= 1 H 1（ID s‖Ed）+s P

其中：‖是一個(gè)連接符號(hào)； ID s可以由b s計(jì)算得出。用戶可以驗(yàn)證等式e（S ID，H 1（ID s‖Ed）P+P pub）=g 是否成立。如果成立，則 S IDs有效；否則，S IDs 無(wú)效。

3）認(rèn)證和授權(quán)階段 當(dāng)擁有生物特征數(shù)據(jù) b s 的用戶想要訪問(wèn)WBAN的信息時(shí)，其首先產(chǎn)生詢問(wèn)消息 m 。為了實(shí)現(xiàn)匿名性和避免重放攻擊，用戶把詢問(wèn)消息 m 、生物特征數(shù)據(jù) b s 和時(shí)間戳 ts 形成一個(gè)新的消息 m′=m‖b s‖ts ，然后對(duì)新生成的消息 m′ 、發(fā)送方的生物特征數(shù)據(jù) b s 、私鑰 S IDs 和接收方的生物特征數(shù)據(jù) b r 執(zhí)行簽密算法并將密文 σ =（τ，S，T，PAR s） （在這里， τ 為 m‖b s‖ts 的密文）發(fā)送給控制器。當(dāng)控制器收到用戶的訪問(wèn)請(qǐng)求 m′ 時(shí)，它首先計(jì)算發(fā)送者的身份 ID′ s 和自己的身份 ID r， 然后驗(yàn)證等式 r=e（S，H 1（ID s）P+P pub）g-h 是否成立。如果不成立，則輸出終止符號(hào)⊥；否則，計(jì)算對(duì)稱密鑰 K=H 2（r） ，恢復(fù)消息 m‖b s‖ts= DEM K （τ） 。

4）撤銷(xiāo)階段 注冊(cè)日期截止前自動(dòng)撤銷(xiāo)。例如，如果截止日期是“2021-06-15”， 那么用戶可以在2021年6月15號(hào)之前訪問(wèn)WBAN。也就是說(shuō)用戶的私鑰在2021年6月15號(hào)之后自動(dòng)失效。由于某些原因，本文必須在到期日期之前撤銷(xiāo)用戶的訪問(wèn)權(quán)限，所以AP應(yīng)該向控制器發(fā)送被撤銷(xiāo)的身份信息。控制器保存一個(gè)被撤銷(xiāo)的身份列表，用于驗(yàn)證用戶的有效性。

6 訪問(wèn)控制方案分析

本章分析所提訪問(wèn)控制方案的性能和安全性。表2總結(jié)了CK［17］、LHJ［18］、OMM［20］、LWLY［22］和本文方案的主要計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)。在這里， |x| 表示 x 的比特長(zhǎng)度。PM、EC、PC分別表示 G 1 中的點(diǎn)乘運(yùn)算， G 2 中的指數(shù)運(yùn)算和 G 2 中的雙線性對(duì)運(yùn)算。由于這三種運(yùn)算比較耗時(shí)，所以其他運(yùn)算可以忽略掉。本文在MICA2上采用了文獻(xiàn)［32］的實(shí)驗(yàn)結(jié)果，配備了一個(gè)時(shí)鐘頻率為7.372 8 MHz，4 KB RAM，128 KB ROM的ATMega128 8位處理器。從文獻(xiàn)［32］中可以得到，使用160 bit的素?cái)?shù) p 的橢圓曲線表示80 bit的安全級(jí)別，在 G 1 中進(jìn)行點(diǎn)乘運(yùn)算需要0.81 s。從文獻(xiàn)［33］中可以得到，在嵌入度為4的 F 2271 上使用超奇異橢圓曲線 y2+y = x3+x 并實(shí)現(xiàn) η T 對(duì)，在 G 2 中的指數(shù)運(yùn)算需要0.9 s，配對(duì)運(yùn)算需要1.9 s。假設(shè)| hash |=160 bit，| m |=160 bit，| ID |=80 bit。使用在二進(jìn)制域 F 2271 上的一個(gè)橢圓曲線， G 1 的素?cái)?shù)階為252 bit。群 G 1 中一個(gè)元素的大小為542 bit，采用壓縮技術(shù)，可以壓縮到34 Byte。群 G 2 中每個(gè)元素的大小為1 084 bit。從表1中可以看出，對(duì)于用戶部分和控制器部分，本文方案的計(jì)算量比OMM［20］略高，但比CK［17］和LHJ［18］的計(jì)算量少。值得注意的是，本文方案的通信開(kāi)銷(xiāo)最少。

對(duì)計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)進(jìn)行了定量分析。由于控制器的資源有限，所以只考慮它的計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)。從文獻(xiàn)［32，33］的結(jié)果來(lái)看，CK、LHJ、OMM、LWLY和本文方案在控制器上的計(jì)算時(shí)間分別為6.51 s、6.32 s、2.43 s、5.4 s和3.61 s。對(duì)能量消耗而言，假設(shè)數(shù)據(jù)速率為12.4 kbps，MICA2的功率電平為3.0 V，運(yùn)行模式下的電流為8.0 mA，接收模式下的電流為10 mA。根據(jù)文獻(xiàn)［34，35］的方案，一個(gè)點(diǎn)乘運(yùn)算消耗的能量為3.0×8.0×0.81=19.44 mJ，一個(gè)指數(shù)運(yùn)算消耗的能量為3.0×8.0×0.9=21.6 mJ，一個(gè)配對(duì)計(jì)運(yùn)算消耗的能量為3.0×8.0×1.9=45.6 mJ。因此，CK、LHJ、OMM、LWLY和本文方案在控制器上的能耗分別為1×19.44+3×45.6=159.24 mJ、2×19.44+21.6+2×45.6=151.68 mJ、3×19.44=58.32 mJ、21.6×6=129.6 mJ、19.44+21.6+2×45.6=132.24 mJ。在這里，為了便于與其他三種方案進(jìn)行比 較，假設(shè)本文方案采用的對(duì)稱加密算法為AES，長(zhǎng)度為128 bit。因此， |RAR s| =128 bit。由表2可知，CK、LHJ、OMM、LWLY和本文方案中的控制器分別需要接收98 Byte、132 Byte、130 Byte、110 Byte和84 Byte的消息。從文獻(xiàn)［32］可得，控制器使用3×10×8/12400=0.019 mJ來(lái)接收1 Byte的消息。因此，CK、LHJ、OMM、LWLY和本文方案中控制器的通信能耗分別為0.019×98=1.86 mJ、0.019×132=2.51 mJ、0.019×130=2.47 mJ、0.019×110=2.09 mJ和0.019×88=1.60 mJ。CK、LHJ、OMM、LWLY和本文方案的總能耗分別為159.24+1.86=161.1 mJ、151.68+2.51=154.19 mJ、58.32+2.47=60.79 mJ、129.6+2.09=131.69 mJ和132.24+1.60=133.84 mJ。

圖2、3分別總結(jié)了控制器的計(jì)算開(kāi)銷(xiāo)和能量消耗。從這兩張圖中可以看出，由于需要耗時(shí)的雙線性對(duì)運(yùn)算，本文方案比OMM和LWLY的計(jì)算成本和能量消耗稍高，但是比CK和 LHJ的計(jì)算成本和能量消耗低。

表3總結(jié)了這四種方案的安全特性。其中，符號(hào)×表示方案不滿足該安全性要求，√表示方案滿足該安全性要求。由表3可知，CK不能實(shí)現(xiàn)匿名，CK、LHJ、OMM和LWLY不具備生物特征，本文方案滿足所有的安全特性。

7 結(jié)束語(yǔ)

本文描述了一種適用于無(wú)線體域網(wǎng)的EBIAC方案，它既保證了WBANs中消息交換的準(zhǔn)確性，又保證了消息的隱私性。EBIAC方案的新穎之處在于將生物識(shí)別技術(shù)和基于身份的簽密技術(shù)的良好集成，因此它可以在隨機(jī)預(yù)言機(jī)模型中有效地實(shí)現(xiàn)機(jī)密性、認(rèn)證性、完整性、不可否認(rèn)性和匿名性。此外，本文還利用所提EBIAC方案構(gòu)造了一種非常適合于實(shí)際應(yīng)用的基于生物特征身份識(shí)別的訪問(wèn)控制方案。該方案和已有的訪問(wèn)控制方案相比，在計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)方面都具有優(yōu)勢(shì)。

參考文獻(xiàn)：

［1］ "Hong Jiaojiao，Liu Bo，Sun Qianyuan， et al. A combined public-key scheme in the case of attribute-based for wireless body area networks［J］. Wireless Networks ，2019， 25 （2）：845-859.

［2］ "Shuai Mengxia，Liu Bin，Yu Nenghai， et al. "Efficient and privacy preserving authentication scheme for wireless body area networks［J］. Journal of Information Security and Applications ，2020， 52 ：102499.

［3］ He Daojing，Chan S，Tang Shaohua.A novel and lightweight system to secure wireless medical sensor networks［J］. IEEE Journal of Biomedical and Health Informatics ，2013， 18 （1）：316-326.

［4］ Nidhya R，Karthik S.Security and privacy issues in remote healthcare systems using wireless body area networks［M］// Maheswar R，Kanagachidambaresan G，Jayaparvathy R， et al. Body Area Network Challenges and Solutions.Cham：Springer，2019：37-53.

［5］ Negra R，Jemili I，Belghith A.Wireless body area networks：applications and technologies［J］. Procedia Computer Science ，2016， 83 （1）：1274-1281.

［6］ "Siva Bharathi K R，Venkateswari R.Security challenges and solutions for wireless body area networks［M］//Iyer B，Nalbalwar S，Pathak N.Computing，Communication and Signal Processing.Singapore：Springer，2019：275-283.

［7］ Wang Changji，Liu Jing.Attribute-based ring signcryption scheme and its application in wireless body area networks［C］//Proc of International Conference on Algorithms and Architectures for Parallel Processing.Berlin：Springer，2015：521-530.

［8］ Sahai A，Waters B.Fuzzy identity-based encryption［C］//Proc of Annual International Conference on the Theory and Applications of Cryptographic Techniques.Berlin：Springer，2005：457-473.

［9］ Zhang Yanhua，Hu Yupu，Gan Yong， et al. "Efficient fuzzy identity-based signature from lattices for identities in a small（or large） universe［J］. Journal of Information Security and Applications ，2019， 47 ：86-93.

［10］ Li Yannan，Yu Yong，Min Geyong， et al. Fuzzy identity-based data integrity auditing for reliable cloud storage systems［J］. IEEE Trans on Dependable and Secure Computing ，2019， 16 （1）：72-83.

［11］ Shan Xiwei，You Lin，Hu Gengran.Two efficient constructions for biometric-based signature in identity-based setting using bilinear pairings［J］. IEEE Access ，2021， 9 ：25973-25983.

［12］ Cramer R，Shoup V.Design and analysis of practical public-key encryption schemes secure against adaptive chosen ciphertext attack［J］. SIAM Journal on Computing ，2003， 33 （1）：167-226.

［13］ "Abe M，Gennaro R，Kurosawa K.Tag-KEM/DEM：a new framework for hybrid encryption［J］. Journal of Cryptology ，2008， 21 （1）：97-130.

［14］ Sakai Y，Hanaoka G.A remark on an identity-based encryption scheme with non-interactive opening［C］//Proc of International Symposium on Information Theory and Its Applications.Piscataway，NJ：IEEE Press，2018：703-706.

［15］ Fan Jia，Tang Xiaohu，Kang Li， et al. "Identity-based encryption with non-interactive opening［J］. Journal of Shanghai Jiaotong University（Science） ，2008， 13 （6）：670-674.

［16］ Baek J，Susilo W，Salah K， et al. Stateful public-key encryption：a security solution for resource-constrained environment［M］//Li K C，Chen X，Susilo W.Advances in Cyber Security：Principles，Techniques，and Applications.Singapore：Springer，2019：1-22.

［17］ Cagalaban G，Kim S.Towards a secure patient information access control in ubiquitous healthcare systems using identity-based signcryption［C］//Proc of the 13th International Conference on Advanced Communication Technology.Piscataway，NJ：IEEE Press，2011：863-867.

［18］ Li Fafen，Han Yanan，Jin Chunhua.Cost-effective and anonymous access control for wireless body area networks［J］. IEEE Systems Journal ，2018， 12 （1）：747-758.

［19］ Li Fafen，Hong Jiaojiao.Efficient certificateless access control for wireless body area networks［J］. IEEE Sensors Journal ，2016， 16 （13）：5389-5396.

［20］ Omala A A，Mbandu A S，Mutiria K D， et al. "Provably secure heterogeneous access control scheme for wireless body area network［J］. Journal of Medical Systems ，2018， 42 （6）：1-14.

［21］ "Ullah I，Alomari A，Amin N U， et al. "An energy efficient and formally secured certificate-based signcryption for wireless body area networks with the Internet of Things［J］. Electronics ，2019， 8 （10）：1171.

［22］ Liu Xiaoguang，Wang Ziqing，Ye Yalan， et al. "An efficient and practical certificateless signcryption scheme for wireless body area networks［J］. Computer Communications ，2020， 162 ：169-178.

［23］ 李莉，楊鴻飛，董秀則.基于身份多條件代理重加密的文件分級(jí)訪問(wèn)控制方案［J/OL］.計(jì)算機(jī)應(yīng)用. （2021-09-01）.http：//kns.cnki.net/kcms/detail/51.1307.TP.20210831.1704.035.html. （Li Li，Yang Hongfei，Dong Xiuze.Hierarchical file access control scheme with identity-based multi-conditional proxy re-encryption［J/OL］. Journal of Computer Applications. （2021-09-01）.http：//kns.cnki.net/ kcms/detail/51.1307.TP.20210831.1704.035.html.）

［24］ 李藝昕，張應(yīng)輝，胡凌云，等.在線問(wèn)診環(huán)境下細(xì)粒度雙邊訪問(wèn)控制方案［J/OL］.計(jì)算機(jī)工程與應(yīng)用.（2021-11-11）.http：//kns.cnki.net/ kcms/detail/11.2127.TP.20210721.1616.016.html. （Li Yixin，Zhang Yinghui，Hu Lingyun， et al. Fine-grained bilateral access control scheme in online consultation environment［J］. Computer Engineering and Applications .（2021-11-11）.http：//kns.cnki.net/kcms/detail/11.2127.TP.20210721.1616.016.html.）

［25］ "彭長(zhǎng)根，彭宗鳳，丁紅發(fā)，等.具有可撤銷(xiāo)功能的屬性協(xié)同訪問(wèn)控制方案［J］.通信學(xué)報(bào)，2021， 42 （5）：75-86. （Peng Changgen，Peng Zongfeng，Ding Hongfa， et al. "Attribute-based revocable collaborative access control scheme［J］. Journal on Communications ，2021， 42 （5）：75-86.）

［26］ Boneh D，F(xiàn)ranklin M.Identity-based encryption from the Weil pairing［C］//Proc of Annual International Cryptology Conference.Berlin：Springer，2001：213-229.

［27］ Dodis Y，Reyzin L，Smith A.Fuzzy extractors：how to generate strong keys from biometrics and other noisy data［C］//Proc of International Conference on the Theory and Applications of Cryptographic Techniques.Berlin：Springer，2004：523-540.

［28］ Burnett A，Byrne F，Dowling T， et al. A biometric identity based signature scheme［J］. International Journal of Network Security ，2007， 5 （3）：317-326.

［29］ Li Fagen，Zheng Zhaohui，Jin Chunhua.Identity-based deniable authenticated encryption and its application to e-mail system［J］. Telecommunication Systems ，2016， 62 （4）：625-639.

［30］ "Li Fagen，Khan M K.A biometric identity-based signcryption scheme［J］. Future Generation Computer Systems， 2012， 28 （1）：306-310.

［31］ "Herzberg A，Mass Y，Mihaeli J， et al .Access control meets public key infrastructure，or：assigning roles to strangers［C］//Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ：IEEE Press，2000：2-14.

［32］ Shim K A，Lee Y R，Park C M.EIBAS：an efficient identity-based broadcast authentication scheme in wireless sensor networks［J］. Ad hoc Networks ，2013， 11 （1）：182-189.

［33］ Gura N，Patel A，Wander A， et al. Comparing elliptic curve cryptography and RSA on 8-bit CPUs［C］//Proc of International Workshop on Cryptographic Hardware and Embedded Systems.Berlin：Springer，2004：119-132.

［34］ Ma C，Xue K，Hong P.Distributed access control with adaptive privacy preserving property for wireless sensor networks［J］. Security and Communication Networks ，2014， 7 （4）：759-773.

［35］ Shim K A.S2DRP：secure implementations of distributed reprogramming protocol for wireless sensor networks［J］. Ad hoc Networks ，2014， 19 ：1-8. "