醫(yī)療網絡中無證書并行密鑰隔離聚合簽名方案

蒙 彤，郭 瑞，王翊丞，劉穎菲

1.西安郵電大學 網絡空間安全學院，西安 710121

2.西安郵電大學 無線網絡安全技術國家工程實驗室，西安 710121

隨著物聯(lián)網的興起以及傳感器技術的發(fā)展，大量醫(yī)療數據在網絡邊緣產生，這些醫(yī)療數據傳輸需要實時處理，并且對實時性的要求較高。由于云服務器的壓力比較大，則將醫(yī)療數據的計算和處理遷移到邊緣設備上來進行。而邊緣設備不具備充足的計算能力，限制了醫(yī)療服務的性能和效率，故采用邊-云協(xié)同的方式[1]。邊-云協(xié)同，即通過將網絡轉發(fā)、存儲、計算、智能化數據分析等工作放在邊緣處理，將超大規(guī)模計算、存儲和非時延敏感等任務放在云端，云計算與邊緣計算的相互配合實現邊-云協(xié)同、全網算力調度和全網統(tǒng)一管控等能力，將二者的優(yōu)勢互補實現計算的協(xié)同[2]。因此，使用邊-云協(xié)同的方式不僅可以減輕醫(yī)療云服務器的壓力，而且可以提高醫(yī)療系統(tǒng)的效率，更加方便服務患者，滿足實時性需求。

傳感器節(jié)點被植入或佩戴在患者身上，檢測人體參數，可遠程實時監(jiān)測患者的心率、血壓、心電圖、心音等生理參數，通過互聯(lián)網將患者的健康數據傳輸到監(jiān)測中心進行及時處理和反饋。利用無線傳感器網絡收集人體生理數據，有助于了解人體健康狀況，研究人類疾病[3]。Yuce 等人[4]提出了醫(yī)療無線傳感器網絡（healthcare wireless sensor networks，HWSNs）系統(tǒng)。該系統(tǒng)由傳感器節(jié)點、患者、中央控制單元（central control unit，CCU）、云服務器和醫(yī)療專業(yè)人員組成。傳感器被植入患者體內，將傳感器節(jié)點檢測到的患者健康數據發(fā)送到CCU 進行進一步處理，處理后的數據通過互聯(lián)網傳輸給醫(yī)療專業(yè)人員。醫(yī)療專業(yè)人員根據這些數據為患者反饋醫(yī)療報告。然而，由于患者的醫(yī)療數據是通過公共通信信道進行傳輸，容易受到攔截、竊聽、修改等攻擊，導致患者發(fā)生嚴重的隱私數據泄露事故[5]。因此，醫(yī)療數據的真實性和患者的隱私保護是HWSNs系統(tǒng)中一個重要的問題。

數字簽名技術可以提供數據的完整性、真實性和不可偽造性，可以用來解決HWSNs 中的隱私數據被破壞問題。然而，傳感器節(jié)點的資源有限，患者的大量醫(yī)療數據在線傳輸時，計算和通信成本顯著增加。因此，將聚合的方法引入到數字簽名中，減少計算和通信成本，從而可以更加高效地解決問題。但是在無證書聚合簽名中，若其中任何一個簽名者的密鑰泄露，則此簽名者生成的聚合簽名都將面臨安全問題。為了減少密鑰泄露帶來的危害，將系統(tǒng)的整個周期劃分為若干個時間片段，再引入協(xié)助器幫助用戶在每一個時間片段更新密鑰。而在聚合簽名方案中，只有聚合簽名被傳輸和驗證，而不是所有參與聚合的單個簽名都被傳輸和驗證。但驗證者希望通過聚合簽名來驗證所有簽名的有效性。為了滿足驗證者需求，聚合簽名方案應該保證聚合簽名的有效性等同于所有單個簽名的有效性。故一種完全選擇密鑰攻擊被提出，攻擊者被允許持有所有簽名者的私鑰，其目標不是偽造聚合簽名，而是輸出無效的單個簽名，從而來破壞等價有效性。因此，研究了邊-云協(xié)同下用于醫(yī)療無線傳感器網絡環(huán)境的可抵御完全選擇密鑰攻擊的無證書并行密鑰隔離聚合簽名。

1 相關工作

1.1 無證書聚合簽名

Boneh等人[6]提出了聚合簽名的概念，在簽名中n個簽名者對n個消息m1,m2,…,mn分別進行簽署，得到n個簽名σ1,σ2,…,σn，而驗證者只需要驗證聚合后的簽名，便可以確定n個簽名者是否簽署了n個消息。Shen等人[7]提出了一個基于身份的聚合簽名方案，適用于醫(yī)療無線傳感器網絡，但是此方案存在固有的問題是密鑰托管。Xiong 等人[8]提出了一個驗證只需要三次配對，不需要時鐘同步的高效率無證書聚合簽名方案。但是，研究人員發(fā)現文獻[8]可以通過公鑰替換攻擊偽造一個有效的簽名。Tu等人[9]和Cheng等人[10]通過改進文獻[8]的漏洞，抵御敵手的攻擊提出了改進的無證書聚合簽名。王竹等人[11]提出了高效可證明安全的無證書有序聚合簽名方案。

近年來，研究人員逐漸將關注點放在了無證書聚合簽名與應用環(huán)境結合。Kumar等人[12]提出了用于HWSNs的無證書聚合簽名，其驗證也需要三次配對，該方案證明了能夠實現消息認證和完整性驗證功能，同時還可實現不可否認性和保密性。但是，Wu等人[13]和Zhan等人[14]發(fā)現文獻[12]容易受到惡意但被動的KGC 的簽名偽造攻擊。Xie等人[15]也證明了文獻[12]的不足，通過改進提出了一個基于橢圓曲線密碼體制的無證書聚合簽名方案，不僅可以保護數據隱私，還降低了HWSNs的通信成本和存儲成本。為了進一步提高HWSNs 的安全性，減少計算執(zhí)行時間和帶寬，Gayathri 等人[16]提出了一種用于HWSNs的無雙線性配對方案。但是，Liu等人[17]發(fā)現文獻[16]無法抵御內外部攻擊，并且提出了改進的方案。Hashimoto等人[18]提出了一個基于雙線性對的無證書聚合簽名方案，證明了該方案在計算Diffie-Hellman問題和橢圓曲線離散對數困難問題的嚴格假設下是安全的。但是，Shim等人[19]證明了該方案對于內外部攻擊都是不安全的。Ye 等人[20]提出了一種用于車聯(lián)網的具有許多安全屬性的高級無證書聚合簽名方案，但該方案只在隨機諭言機模型下進行了安全性證明。Wang 等人[21]提出了在標準模型下用于車聯(lián)網的條件隱私保護的無證書聚合簽名方案，該方案采用全聚合技術來減少計算量和帶寬資源。

1.2 密鑰隔離簽名

在傳統(tǒng)的聚合簽名方案中，攻擊者在n個用戶中最多持有n-1 個私鑰。Yang等人[22]提出了一種完全選擇密鑰攻擊，攻擊者被允許持有所有簽名者的私鑰，其目標不是偽造聚合簽名，而是輸出無效的單個簽名，從而來破壞等價有效性。而且在聚合簽名方案中，只有聚合簽名被傳輸和驗證，而不是所有參與聚合的單個簽名都被傳輸和驗證。但驗證者希望通過聚合簽名來驗證所有簽名的有效性。為了滿足驗證者需求，聚合簽名方案應該保證聚合簽名的有效性等同于所有單個簽名的有效性。Wu等人[23]提出了一種可以抵御完全選擇密鑰攻擊的無證書聚合簽名方案。

但是在無證書聚合簽名中，若其中任何一個簽名者的密鑰泄露，則此簽名者生成的聚合簽名都將面臨安全問題。為了減少密鑰泄露帶來的危害，Dodis 等人[24]介紹了密鑰隔離安全機制，將系統(tǒng)的整個周期劃分為若干個時間片段。在整個系統(tǒng)生命周期內，用戶公鑰不變，用戶的密鑰被分為兩種類型，分別是用戶密鑰和助手密鑰。用戶密鑰隨著時間的推移而更新，用來執(zhí)行簽名操作。助手密鑰由物理安全設備（稱為協(xié)助器，helper）發(fā)布，用于在每一個時間片段協(xié)助用戶更新密鑰。當用戶一些時間片段的私鑰泄露時，協(xié)助器密鑰安全的情況下就不會危害到其他時間片段的私鑰安全性。Dodis 等人[25]提出了一個密鑰隔離簽名方案。Wan等人[26]把密鑰隔離功能和無證書簽名結合起來，提出了無證書密鑰隔離簽名方案。Reddy等人[27]提出了一個在橢圓曲線上的基于身份的高效雙線性對密鑰隔離簽名方案。然而，上述方案只適用于僅有單個協(xié)助器，若用戶和協(xié)助器的密鑰都暴露，則方案還是會受到攻擊。為了解決這個問題，Hanaoka等人[28]提出了新的并行密鑰隔離方案，在此方案中使用兩個獨立的協(xié)助器交替更新用戶的密鑰，減少了協(xié)助器密鑰暴露的機會，從而提高了該方案安全性。Hou 等人[29]提出了一個基于證書的并行密鑰隔離聚合簽名方案（CB-PKIAS），該方案雖然解決了密鑰暴露問題，但其證書管理問題仍未解決。

為了解決證書管理問題，抵御完全選擇密鑰攻擊并實現并行密鑰隔離特性，本文在邊-云協(xié)同下基于醫(yī)療無線傳感器網絡提出了一種可抵御完全選擇密鑰攻擊的無證書并行密鑰隔離聚合簽名方案。具體貢獻如下：

（1）本文將邊-云協(xié)同方式應用于醫(yī)療無線傳感器網絡環(huán)境下，滿足醫(yī)療無線傳感器網絡的及時性需求，解決了高延遲問題，使得患者可以得到及時的救助，為患者提供了一定的便利，同時也緩解了醫(yī)療云服務器的壓力。

（2）本文提出了一個可抵御完全選擇密鑰攻擊的無證書并行密鑰隔離聚合簽名方案，該方案在適應性選擇消息攻擊下是存在性不可偽造的，同時利用并行密鑰隔離解決了密鑰暴露問題，并利用哈希的抗碰撞性抵御完全選擇密鑰攻擊。

（3）本方案為用戶提供假名，利用不可鏈接性保護用戶的隱私。基于區(qū)塊鏈技術對用戶進行追蹤和信譽評分，以防止惡意用戶的攻擊，并將醫(yī)療報告存入區(qū)塊鏈中，實現數據共享，方便醫(yī)療專業(yè)人員和患者的使用。

（4）對本方案和其他方案進行了性能對比分析。本方案未使用雙線性對和點映射哈希運算，提高了聚合簽名的效率。通過具體的實驗仿真和性能比較，結果表明在計算和通信成本方面本方案更有優(yōu)勢。

2 預備知識

2.1 困難問題假設

DL 假設：定義概率多項式時間算法A解決DL 問題的優(yōu)勢為AdvDL(A)=Pr[A(P,bP)=b]。對于任意的多項式時間算法A，優(yōu)勢AdvDL(A) 是可忽略的，則稱之為滿足DL假設。其中，概率來源于b在上的隨機選取和算法A的隨機選擇。

2.2 符號說明

本文所使用的基本符號和縮寫的含義如表1所示。

3 模型設計

3.1 算法模型

本文的并行密鑰隔離聚合簽名方案包含9個算法，具體如下所示：

（1）初始化算法（Setup）：密鑰生成中心KGC輸入安全參數k，生成主密鑰s和系統(tǒng)公共參數params。

（2）假名生成算法（Pseudonym Generation）：用戶DO和KGC進行交互，KGC為DO生成假名并返回給相應的DO。

（3）部分私鑰提取算法（Extract Partial Private key）：KGC 將用戶假名IDi(i=1,2,…,n)和系統(tǒng)公鑰Ppub輸入，生成部分私鑰發(fā)送給相應的用戶。

（8）聚合簽名算法（Aggregate Sign）：MES 輸入params，IDi，mi，σi和醫(yī)療云服務器的驗證公鑰pkver，生成聚合簽名σ。

（9）聚合驗證算法（Aggregate Verify）：MCS 輸入params，IDi，mi，σ和skver，當簽名σ有效時，返回true，否則，返回false。

3.2 安全模型

本文抵御完全選擇攻擊的并行密鑰隔離聚合簽名方案將面臨敵手A1和A2的不可偽造性攻擊和密鑰隔離性攻擊，敵手A3的完全選擇密鑰攻擊。這些敵手的特點和相應的游戲具體如下：

敵手A1：第一類敵手，這類敵手為惡意的用戶，可以替換合法用戶公鑰，但無法獲得系統(tǒng)主密鑰。

敵手A2：第二類敵手，這類敵手為惡意但被動的KGC，可以擁有系統(tǒng)主密鑰，但無法進行用戶公鑰替換。

敵手A3：這類敵手為內部攻擊者，持有所有簽名者的私鑰，其目標不是偽造聚合簽名，而是輸出無效的單個簽名，從而來破壞等價有效性。

游戲1假設第一類敵手A1和挑戰(zhàn)者C 執(zhí)行以下交互。

（1）初始化：C 運行初始化算法生成主密鑰s和系統(tǒng)公開參數params，然后返回params給A1。

（2）詢問：A1執(zhí)行以下操作：

①哈希詢問：當收到此詢問時，C 將哈希值返回給A1。

⑤協(xié)助器密鑰詢問：當收到這個詢問時，C 返回兩個協(xié)助器的公私鑰給A1。

⑦簽名詢問：當收到此詢問時，C 將σi返回給A1。

（3）偽造：當完成上述詢問時，A1將生成偽造簽名σj，并滿足以下條件：

①A1不能用IDj執(zhí)行部分私鑰和簽名密鑰詢問。

②A1不能用(IDj,mj,t*)執(zhí)行簽名詢問。

③A1可以通過輸入式（1）來偽造有效的簽名。

游戲2假設第二類敵手A2和挑戰(zhàn)者C 執(zhí)行以下交互。

（1）初始化：C 運行初始化算法生成主密鑰s和系統(tǒng)公開參數params，然后返回params和s給A2。

（2）詢問：除了公鑰替換詢問和部分私鑰詢問以外，在詢問階段A2與A1執(zhí)行相同操作。

（3）偽造：當完成上述詢問時，A2將生成偽造簽名sj，并滿足除了①以外和A1相同的條件：

①A2不能用IDj執(zhí)行簽名密鑰詢問。

定義1在隨機諭言機模型下，假設上述2個游戲中敵手在概率多項式時間內都不能獲勝，則本方案在適應性選擇攻擊下具有不可偽造性和強密鑰隔離性。

游戲3假設存在一個完全選擇密鑰攻擊敵手A3與挑戰(zhàn)者C 執(zhí)行以下交互：

（1）初始化：與A1執(zhí)行相同的初始化過程。

（2）詢問：除了①以外，A3執(zhí)行與A1相同的操作：

（3）偽造：當完成上述詢問時，A3將產生一個偽造的聚合簽名，并滿足以下條件：

①聚合簽名是所有單個簽名的聚合。

②上述的聚合簽名是有效的。

③至少有一個簽名σj不能通過驗證等式。

定義2如果不存在游戲3中的敵手A3在概率多項式時間內獲勝，則稱本方案可以抵御完全選擇密鑰攻擊。

4 方案設計

4.1 系統(tǒng)模型

本方案系統(tǒng)模型如圖1 所示，由六個實體組成：用戶（data owner，DO）、n個醫(yī)療傳感節(jié)點（sensor node，SN）、醫(yī)療邊緣服務器（medical edge server，MES）、醫(yī)療云服務器（medical cloud server，MCS）、密鑰生成中心（key generation center，KGC）和醫(yī)療中心（healthcare authority，HA）。

（1）用戶（DO）：是醫(yī)療患者，通過KGC注冊生成自己的公私鑰對，同時KGC 為DO 生成假名，利用信用評分機制和區(qū)塊鏈技術監(jiān)管追蹤用戶的身份信息。

（2）醫(yī)療傳感節(jié)點（SN）：是資源有限的小型設備，每個DO都有n個醫(yī)療傳感節(jié)點進行數據的收集，并將數據傳輸給MES。

（3）醫(yī)療邊緣服務器（MES）：位于SN 附近，是連接SN和MCS的橋梁，收集SN的單個簽名生成一個聚合簽名，并傳輸給MCS。

（4）醫(yī)療云服務器（MCS）：具有很強的計算能力和大量的存儲空間，能處理分析MES發(fā)送的聚合數據，處理后將其數據傳輸到HA 并將結果發(fā)送給KGC，同時，還充當預期驗證者身份。

（5）密鑰生成中心（KGC）：對系統(tǒng)進行初始化生成系統(tǒng)參數，負責DO的注冊，為用戶生成部分私鑰和假名，并將假名和真名上傳到區(qū)塊鏈上實行信譽評分機制。

（6）醫(yī)療中心（HA）：經授權的醫(yī)療中心具有一定的計算和通信能力，對數據進行分析并為病人反饋診療報告。

4.2 可抵御完全選擇密鑰攻擊的無證書并行密鑰隔離聚合簽名方案

本文提出的方案包括以下9個算法。

4.2.1 初始化算法

輸入安全參數k，KGC執(zhí)行以下操作：

4.2.2 假名生成算法

用戶選擇一個唯一的身份標識符RIDi，將RIDi發(fā)送給KGC。隨機選擇αi∈Zq*，KGC計算：

對用戶進行信用評分，將假名IDi、用戶身份RIDi和信用評分C以List形式存入區(qū)塊鏈中。

4.2.3 部分私鑰生成算法

4.2.4 密鑰生成算法

4.2.5 更新消息生成算法

協(xié)助器收到用戶發(fā)來的Hskj，其中j=(t-1) mod 2，表示第j個協(xié)助器，與時間片段參數t相對應，隨后計算更新信息，將其發(fā)送給用戶。

4.2.6 臨時私鑰生成算法

4.2.7 簽名算法

4.2.8 聚合簽名算法

邊緣服務器收到簽名σi=(Ui,Vi)后，進行以下操作：

（1）通過檢查|Ti-tsi|≤ΔT來確定tsi的時效性，其中Ti代表數據傳輸時間，tsi代表接收時間，ΔT代表網絡傳輸時延。

4.2.9 驗證算法

醫(yī)療云服務器收到σ=(V,U1,U2,…,Un,B)后，進行以下操作：

（1）通過計算式（5）、式（6）、式（7）、式（8）和式（10）計算Bi。

（2）驗證式（11）和（12）是否成立。

若等式成立，醫(yī)療云服務器接收此聚合簽名σ=(V,U1,U2,…,Un,B)并將其醫(yī)療數據發(fā)送給醫(yī)療中心，醫(yī)療中心反饋診療報告給用戶。若不成立，則可能存在惡意用戶，將其反饋給KGC，KGC進行信譽評分操作，追蹤并懲罰惡意用戶。KGC 可通過等式RIDi=IDi⊕H1(αiPpub)追蹤獲得惡意患者身份信息，根據公式C=C×b(0＜b＜1) 來降低惡意患者的聲譽評分。當患者的聲譽評分C小于某一閾值Y時，將患者從List 中刪除，并將其添加至黑名單。

5 安全性分析

5.1 正確性證明

5.1.1 部分私鑰的有效性驗證

5.1.2 簽名驗證

5.1.3 聚合簽名驗證

5.2 安全性證明

定理1在隨機諭言機模型下，由于橢圓曲線上的離散對數問題是困難的，則本文方案在適應性選擇攻擊下具有強密鑰隔離性和不可偽造性。

引理1在隨機諭言機模型下，若第一類敵手A1能在概率多項式時間內以不可忽略的優(yōu)勢ε攻破本文聚合簽名方案的不可偽造性和強密鑰隔離性，則存在算法C 能在概率多項式時間內，以不可忽略的優(yōu)勢Adv(τ1)≥成功解決離散對數問題（其中，A1最多進行qs次簽名詢問、qpsk次部分私鑰詢問和qsk次私鑰詢問，聚合簽名的用戶數為n，e是自然對數底數）。

證明

2）詢問：敵手A1進行以下詢問：

（5）部分私鑰詢問：當A1以身份IDi進行詢問時，C 先檢索列表L，再進行以下操作：

（6）公鑰詢問：當A1以身份IDi進行公鑰詢問時，C 先檢索列表L，再進行以下操作：

（7）秘密值詢問：當A1以身份IDi進行秘密值詢問時，C 檢索列表L，再進行以下操作：

（10）簽名密鑰詢問：當A1用元組(IDi,t)進行簽名密鑰詢問時，C 維護列表Lh=(IDi,Hsk0,Hsk1,Hpk0,Hpk1)，檢索IDi是否存在于Lh中。

②否則，C放棄，模擬終止。

（13）簽名驗證詢問：當A1用元組(IDi,mi,σi)進行驗證詢問時，C查詢列表L中是否存在IDi所對應的元組。

3）偽造：通過以上詢問，A1輸出(IDi,mi,pkIDi)(1 ≤i≤n)的聚合簽名σ，其中至少有一個IDi(i∈[1,n])沒有進行部分私鑰詢問和私鑰詢問，同時至少有一個mi(i∈[1,n])沒有進行簽名詢問。

（1）如果所有的IDi(i∈[1,n])都有IDi≠IDj，則C將模擬終止。

（2）若有一個IDi=IDj，則在列表L,L1,L2,L3,L4,Lh中查詢身份IDi(i∈[1,n])所對應的值，并驗證式（10）是否成立。若等式成立，則C將b作為離散問題的有效解。

綜上，因為ε是不可忽略的，所以C 能以不可忽略的概率解決離散對數問題。因此，本方案在語義上是安全的，不會受到敵手A1的偽造攻擊。

引理2在隨機諭言機模型下，若第二類敵手A2能在概率多項式時間內以不可忽略的優(yōu)勢ε攻破本文聚合簽名方案的不可偽造性和強密鑰隔離性，則存在算法C，能在概率多項式時間內以不可忽略的優(yōu)勢Adv(τ2)≥成功解決離散對數問題（其中，A2最多進行qs次簽名詢問、qpsk次部分密鑰詢問和qsk次私鑰詢問，聚合簽名的用戶數為n，e 是自然對數底數）。

證明

1）初始化：假設算法C 是一個橢圓曲線上離散對數問題的解決者，輸入元組(P,bP)，其中，且未知，任務是計算b。C 使用A2充當挑戰(zhàn)者，C 執(zhí)行初始化算法，生成公開參數Params和主密鑰s。發(fā)送Params和s給A2；同時，C 管理列表L,L1,L2,L3,L4,Lh，將各列表置空。C 選擇IDj作為其猜測的挑戰(zhàn)身份，則C 選擇IDj的概率為

2）詢問：敵手A2對諭言機H1、諭言機H2、諭言機H3、諭言機H4、諭言機H5、公鑰、私鑰、協(xié)助器密鑰、簽名密鑰、簽名、聚合簽名、簽名驗證詢問的執(zhí)行過程與引理1中的相應詢問相同。

（1）部分私鑰詢問：當A2以身份IDi進行查詢時，C 先檢索列表L，再進行以下操作：

3）偽造：通過上述詢問，A2輸出(IDi,mi,pkIDi)(1 ≤i≤n)的聚合簽名σ，其中至少有一個IDi(i∈[1,n])沒有進行部分私鑰詢問和私鑰詢問，同時至少有一個mi(i∈[1,n])沒有進行簽名詢問。

（1）若對于所有的IDi(i∈[1,n])都有IDi≠IDj，則C 將模擬終止。

（2）若有一個IDi=IDj，則在列表L,L1,L2,L3,L4,Lh中查詢身份IDi(i∈[1,n])所對應的值，并驗證式（10）是否成立。若等式成立，C 計算b作為離散問題的有效解。

若等式不成立，則C 不能解決此離散對數問題。由引理1 可知，模擬過程中C 不終止的概率至少為，因為ε是不可忽略的，所以C 能以不可忽略的概率解決離散對數問題。因此，本方案在語義上是安全的，不會受到敵手A2的偽造攻擊。由引理1和引理2的證明可知，定理1成立。

定理2假設H5是一個抗碰撞的哈希函數的情況下，本文提出的聚合簽名算法抵御內部攻擊是有效的，即本文聚合簽名方案可以抵御完全選擇密鑰攻擊。

證明假設A3是一個內部攻擊者，它能以不可忽略的優(yōu)勢ε攻破本文的聚合簽名算法，即挑戰(zhàn)者C 能以不可忽略的優(yōu)勢攻破哈希函數H5的抗碰撞性。A3和C 之間的交互如下：

1）初始化：與A1執(zhí)行相同的初始化過程。

2）詢問：A3執(zhí)行與A1執(zhí)行除（1）以外相同的詢問。

（1）簽名驗證詢問：A3用元組進行聚合簽名詢問，C 用預期驗證者的驗證密鑰skver=y來運行聚合驗證算法，若驗證通過，則返回True給A3，否則返回False給A3。

（3）在元組{σ1,σ2,…,σn} 中，至少有一個簽名是無效的。令σi′為無效的那一個，則有：

顯然，由于上式，基于兩個不同的輸入，有：

因此，C 針對哈希函數H5找到一對碰撞，即(V1pkver,V2pkver,…,Vn pkver)和

在上面的模擬中，挑戰(zhàn)者C 持有主密鑰msk和每個用戶的私鑰，并且能夠回答攻擊者A3的所有查詢。因此，A3不能將模擬與真實方案區(qū)分開來。這很明顯A3和C 的成功概率相同。而哈希函數是抗碰撞的，故本方案的聚合算法是可以抵御完全選擇密鑰攻擊的。

5.3 其他安全需求

（1）匿名性：在醫(yī)療系統(tǒng)中，用戶隨機選擇一個唯一的身份標識符RIDi，將RIDi發(fā)送給KGC。隨機選擇，KGC 計算式（2）、式（3）和式（4），并將假名IDi、用戶身份RIDi以List形式存入區(qū)塊鏈中。由于敵手無法通過假名信息識別傳感器節(jié)點的真實身份，因此本文方案具有身份匿名性。

（2）數據可驗證和完整性：由定理1可知，在隨機諭言機模型下，基于橢圓曲線困難問題假設，在多項式時間內敵手不能偽造一個有效的簽名。因此，邊緣服務器通過判斷式（13）是否成立驗證醫(yī)療數據的有效性和完整性。因此本方案的數據是可驗證的且可提供數據完整性。

（4）可追蹤性：由于用戶假名的生成方式為式（2）、式（3）和式（4），則KGC 可以利用自己的隨機數恢復出用戶的真實身份：RIDi=PIDi,2⊕H(αiPpub)。因此，本方案具有身份可追蹤性，且通過信用評分C對用戶信用度進行管理，可防止惡意用戶攻擊。因此本方案具有身份可追蹤性。

6 性能分析

在本章中，將本方案與方案[7，13，15，23]進行比較。硬件平臺包括一個Intel i5-8500 處理器，主頻3.00 GHz，內存8 GB，運行Windows 10 操作系統(tǒng)。具體的密碼操作所需運行時間如表2。

表2 密碼操作的符號說明和運行時間Table 2 Symbols instructions and runtime of cryptographic operations

6.1 計算成本

在簽名過程中，SN 只需要1 次橢圓曲線標量乘法。對于單個簽名驗證，只需要5次橢圓曲線標量乘法和5次橢圓曲線點加法。為了聚合所有的簽名，MES需要n次橢圓曲線標量乘法。對于MCS 的聚合驗證，需要(6n+1) 橢圓曲線標量乘法和(5n+1) 橢圓曲線點加法。由表3可知，本方案是唯一使用基于無證書在無配對環(huán)境中實現密鑰隔離的方案，且可以抵御完全選擇攻擊。表4 中列出了本方案相對于其他方案在百分比方面的改進情況。本方案與方案[7]相比在總計算成本方面的性能效率提高了約為70.70%。同樣，本文方案比方案[13]的改進率約為42.09%，與方案[15]改進率約為21.96%，與方案[23]的改進率約為70.88%。還通過條形圖表示了不同階段的計算成本比較，如圖2 所示，圖中清楚地顯示了本文方案相對于其他方案的性能更高效。

圖2 不同階段計算成本圖Fig.2 Calculation cost chart of different stages

表3 本方案與相關方案比較Table 3 Comparison of proposed scheme with other schemes

表4 計算成本比較Table 4 Computational cost comparison

6.2 通信成本

在本節(jié)中，將本文方案與四個方案的通信成本進行比較。為方便表示，本文考慮到基于雙線性對e:G1×G1→G2的方案，其中P是加法群G1的生成元，其群的階數q，定義在超奇異橢圓曲線E:y2=x3+xmodp上，|G1|表示雙線性循環(huán)群G1中一個元素的長度，為1 024 bit。基于橢圓曲線的方案，使用一個加法群G，其群的階數為q，該群定義在E:y2=x3+ax+bmodp上，|G|表示橢圓曲線群G中的一個元素的長度，為320 bit。表示中一個元素的長度，為160 bit。n表示聚合簽名的個數。因此，在發(fā)送單個消息時，方案[7，13，23]包含G1中的2 個元素，都為2 048 bit。方案[15]和本方案包含G中一個元素和中一個元素，都為480 bit。在發(fā)送n個消息時，令n=10 計算通信成本，方案[7，13]都為11 264 bit，方案[23]為11 424 bit，方案[15]和本方案都為3 360 bit，如表5所示。同時，也通過條形圖表示了通信成本的比較，如圖3所示。雖然本方案的通信成本與文獻[15]的效率相同，但本方案具有密鑰隔離功能且可抵御完全選擇密鑰攻擊。

圖3 總通信成本圖Fig.3 Total communication cost chart

表5 通信成本比較Table 5 Communication cost comparison 單位：bit

7 結束語

為了克服用戶隱私數據被破壞，增強聚合簽名系統(tǒng)抵御密鑰泄露的能力，在低延遲的情況下提高效率，本文提出了一個新的應用于醫(yī)療無線傳感器網絡的無證書并行密鑰隔離聚合簽名方案。本方案沒有使用雙線性配對，而是利用橢圓曲線群來設計聚合方案，可提高醫(yī)療無線傳感器網絡系統(tǒng)的傳輸效率。利用邊緣計算的實時化來減緩醫(yī)療云服務器的壓力，有效解決醫(yī)療無線傳感器網絡系統(tǒng)的高延遲問題。安全性分析表明，本方案滿足醫(yī)療無線傳感器網絡系統(tǒng)的安全要求，同時也滿足密鑰隔離和密鑰更新，可抵御完全選擇密鑰攻擊。因此，通過對方案進行安全性分析和性能分析證明本方案適用于醫(yī)療無線傳感器網絡系統(tǒng)。