無線體域網高效可追蹤的匿名認證協議

摘要：隨著物聯網的飛速發展，無線體域網在醫療領域有了更加廣泛的應用。針對用戶使用的智能采集設備資源受限，同時在醫療環境中需要保護用戶身份條件隱私等情況，使用無證書在線離線簽名設計可追蹤的匿名認證協議。降低用戶開銷的同時實現特殊情況下對用戶真實身份的可追蹤性，如用戶惡意破壞醫療問診等情況。

關鍵詞：在線離線簽名;可追蹤;匿名認證

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）15-0030-02

隨著物聯網技術的不斷發展和人們對于健康生活質量要求提高，無線體域網醫療應用受到了更多關注，比如老人監護、運動檢測、慢性病監測等，如圖1所示。無線體域網[1]醫療應用通過穿戴設備中的傳感器定時采集用戶生命體征數據，在規定的時間內交由醫療機構進行診斷并返回問診結果，完成一次問診過程。由于醫療應用的特殊性，需要保護用戶身份隱私和問診結果安全。匿名認證協議[2-4]可以滿足其要求?，F有的匿名認證協議存在用戶計算開銷過大、不能實現用戶真實身份可追蹤等問題。

由于用戶端設備資源受限，使用在線/離線簽名[5]設計高效可追蹤的匿名認證協議，通過離線階段計算一部分信息來減輕用戶開銷，同時采用第三方私鑰設計用戶的假名，可以在用戶出現異常行為時揭示其真實身份，滿足可追蹤性。

1 系統模型

如圖2所示，匿名認證協議中存在三個通信方。

1）用戶：用戶持有資源受限的智能設備進行生命體征數據的采集，可以是手機或者運動手環等，用U表示。

2）醫療端：醫療機構或者醫生對采集的數據進行分析并產生問診結果，用TH表示。

3）第三方：半可信的盈利機構，主要為U和TH分發部分私鑰和發布參數，用TP表示。

2 高效可追蹤的匿名認證協議

2.1 系統初始化

TP隨機選擇[s∈Z*q]，計算系統公鑰[Ppub=sP]，定義哈希函數：[?{0，1}?→Z?q]，[h1：{0，1}?×G2→Z*q]，[?2：{0，1}??G3→Z?q]，[h3：G3→{0，1}?]。并公開參數[{E/Fp，Fp，G，P，Ppub，h，h1，h2，h3}]

2.2 生成密鑰階段

1）U密鑰生成：U隨機選擇[ac∈Z?q]，計算[PID1c=acP]。通過安全信道將[{IDc，PID1c}]發送給TP。

TP收到后，計算偽身份[PID2c=IDc⊕?（s?PID1c）]， U的偽身份[PIDc={PID1c，PID2c}]。然后隨機選擇[rc∈Z?q]，計算[Rc=rcP]，[sc=rc+s??1（Rc，PIDc，Ppub）]，通過公共信道將[{PIDc，Rc，sc}]返回給U。

U收到[{PIDc，Rc，sc}]后，首先計算[?1（Rc，PIDC，Ppub）]，然后驗證[scP=Rc+?1（Rc，PIDc，Ppub）?Ppub]是否成立，成立則部分私鑰為[sc]。U隨機選擇[wc∈Z?q]，計算[Wc=wcP]。[{sc，wc}]作為私鑰，[ {Rc，Wc}]作為公鑰。

2）TH密鑰生成：TH隨機選擇[bAP∈Z?q]，計算[BAP=bAPP]。通過安全信道將[{IDAP，BAP}]發送給TP。

TP收到后，隨機選擇[rAP∈Z?q]，計算[RAP=rAPP]，[sAP=rAP+s??1（RAP，IDAP，Ppub）]，返回[{RAP，sAP}]給TH。

TH收到[{RAP，sAP}]后，首先計算[?1（RAP，IDAP，Ppub）]，然后驗證[sAPP=RAP+?1（RAP，IDAP，Ppub）?Ppub]是否成立，成立則[{sAP，bAP}]作為私鑰，[ {RAP，BAP}]作為公鑰。

2.3 相互認證階段

離線階段：在不知道需要發送的具體消息時，可以預先計算離線簽名。

U隨機選擇[xc，yc∈Z?q]，計算[Xc=xcP]，[X'c=xc（RAP+BAP）]， [vc=?（PIDc，Rc，WC）]，[ac=sc+vcxc]，[Yc=ycP]。存儲[yc，ac，Xc，X'c，Yc]

在線階段：在確實發送消息后，使用消息和離線簽名快速生成在線簽名。

U計算[?c=?2（PIDc，?（m），Yc，tc）]， [σc=ycsc+?c]，[Mc=E?（X'c）（PIDc||σc||m||Wc||Rc）]，然后將[{MC，XC，tc}]發送給TH。

TH收到后，計算[X'c=Xc（rAP+bAP）]，解密[Mc]得到[（PIDc||σc||m||Wc||Rc）]，然后驗證[Yc=ycP=σc（sc+?c）P]是否成立，成立則認證完成，否則失敗。

2.4 會話密鑰生成

認證成功后，TH隨機選擇[yAP∈Z?q]，計算[YAP=yAPP]，[Y'AP=yAPXc]，生成會話密鑰[sk=?3（YAP，Y'AP，Xc）]，[MACsk（Y）]。然后將[{MAC，YAP}]發送給U。

U接收[MAC，YAP]后，計算[Y'AP=xcYAP]，[sk=h3（YAP，Y'AP，Xc）]。最后驗證[MACsk（Y）]的有效性。

3 安全性需求證明

協議滿足以下基本安全性需求。

1）匿名性：使用偽身份[PID2c=IDc⊕?（IDc，s?PID1c）]保護U的真實身份，敵手需要[s]揭示U真實身份，而[s]是保密的，保證了匿名性。

2）相互認證：U驗證[MAC，YAP]，TH驗證[{MC，XC，tc}]有效性完成相互認證。9300B54E-E42E-4ED1-BD56-22189056A50C

3）不可鏈接：[{MC，XC，tc}]中使用了隨機數實現不可鏈接性，敵手無法判斷消息的發送方是否同一個U。

4）會話密鑰：相互認證后，建立會話密鑰[sk=?3（YAP，Y'AP，Xc）]保護后續發送數據的安全。敵手需要解決[xyP]難題計算[Y'AP]，才可以計算會話密鑰，保證了會話密鑰的安全性。

5）前向安全：即使AP的私鑰[{sAP，bAP}]泄露，敵手需要計算[Y'AP]，需要解決[xyP]難題，保證前向安全。

6）可追蹤性：當產生醫療糾紛時，TH通過解密[MC]得到[PIDc]后提交給TP，TP通過私鑰計算[IDc=PID2c⊕?（s?PID1c）]揭示其真實身份。

4 計算開銷性能

由于U智能設備的資源受限，要優先考慮U端的計算開銷。表1為提出的協議和文獻[4]認證階段計算開銷的對比。

5 結語

基于在線/離線簽名設計高效的匿名認證協議，在離線階段預執行部分計算以減少在線階段的計算量，在滿足基本安全性需求的基礎上用戶計算開銷和通信開銷都較小，同時在特殊情況下能揭示用戶的真實身份，滿足無線體域網醫療應用需求。

參考文獻：

[1] Zimmerman T G. Personal area networks： Near-field intra body communic-ateon[J].IBM System Journal， 1996， 35（3/4）：609-617.

[2] 鐘成，李興華，宋園園，馬建峰.無線網絡中基于共享密鑰的輕量級匿名認證協議[J].計算機學報，2018，41（05）：1157-1171.

[3] 張順，范鴻麗，仲紅，等.無線體域網中高效可撤銷的無證書遠程匿名認證協議[J].通信學報，2018，39（04）：100-111.

[4] 范鴻麗.無線體域網可追蹤的匿名認證協議[J].電腦知識與技術， 2020， 16 （34）：36-38.

[5] Addobea A A，Hou J，Li Q M.MHCOOS：an offline-online certificateless signature scheme for M-health devices[J].Security and Communication Networks，2020：7085623.

【通聯編輯：代影】9300B54E-E42E-4ED1-BD56-22189056A50C