基于ZigBee的体育运动体征数据安全传输方案

唐明欢 吴 宁

(北部湾大学 广西 钦州 535011)

0 引 言

随着信息技术的快速发展，体育运动研究逐步由经验型训练、定性分析转向程序化训练和精细化分析[1]。ZigBee[2]是一种短距离无线网络协议，其物理层和MAC层遵循IEEE 802.15.4无线标准，可工作于全球通用的2.4 GHz ISM(Industrial Scientific Medical)频段。由于其低功耗、易组网、高安全性等优势[3]，ZigBee在物联网领域展现出了极大的应用价值，并且已经被广泛应用于运动数据采集、运动模式识别、运动特征分析等体育运动研究场景[4-6]。

由于体育运动体征数据采用无线传输方式，数据传输过程中易遭受隐私窃取、恶意篡改、拦截等攻击[7]。为了保护数据无线传输的安全性，加密、认证和签名等技术被应用于安全方案中。文献[8]提出一种可穿戴设备和终端间的数据安全通信方案，该方案采用了密文策略属性基加密和签名机制，使用了双线性对运算，计算开销较高。文献[9]面向多发送者和多接收者场景，设计了一种无证书安全通信方案，该方案采用拉格朗日插值公式来保证用户隐私信息不会泄露给未授权用户，但基于双线性对运算实现签密机制，计算开销较高，不适用于低成本、低功耗的ZigBee技术。文献[10]提出一种轻量级加密方案，在每个加密回合中不需要非双线性转换，增强了安全性，有效保证了传感节点间数据传输的保密性，但该方案没有考虑节点间认证问题，无法抵御假冒攻击。文献[11]提出一种基于设备物理特征和用户身份特征的双因子认证协议，有效阻止了假冒攻击，但是在体育运动时，用户身份特征是动态变化的，与静止状态采集的用户身份特征并不完全一致，无法有效实现节点间身份认证，因此该方案并不适用于体育运动场景。文献[12]基于无双线性对运算，通过签密机制实现节点间消息认证和身份信息保护，计算性能和通信性能均具有优势，但该方案没有考虑传输数据的保密性问题，攻击者获取公共系统参数后使用公钥可获取通信内容。文献[13]和文献[14]均基于非双线性对提出了消息签密方案，两个方案均具备可认证性、保密性和不可伪造性，但均没有考虑在公开信道下的用户身份隐私保护问题。文献[15]结合物理不可克隆函数(Physical Unclonable Function,PUF)提出一种面向物联网节点间安全通信的消息认证机制，节点设备不需要预先存储密钥参数，同样无需双线性对运算，方案基于设备物理特征和身份特征的唯一性保证了传输过程中不会暴露隐私身份信息，同时保证了通信内容的机密性，但该方案需要额外增加PUF的硬件开销，对于体育运动场景成本较高。因此，设计一个适用于体育运动场景并且能够同时解决节点间消息认证、用户身份隐私保护和数据机密性等问题的安全传输方案仍然是个艰巨挑战。

为了解决这些问题，本文提出一种非双线性对运算的体育运动体征数据安全传输方案。该方案基于椭圆曲线密码实现节点间消息签密机制，从而实现消息认证和体征数据加密保护功能，并在随机预言机模型下证明了该方案的安全性，同时分析了其性能。

1 系统模型

基于ZigBee的体育运动体征数据传输系统模型如图1所示。模型主要由传感节点、汇聚节点和数据处理中心组成。其中：传感节点配置多种传感器(如血压仪、心率仪、表面肌传感器等)，分别穿戴于体育运动员身上各部位，进行体征数据采集，并通过ZigBee网络与汇聚节点进行通信；汇聚节点作为协调器角色组建ZigBee网络，接收各传感节点传送过来的体征数据，并通过有线或者无线方式将数据传输至处理中心；数据处理中心对体育运动者的各部位体征数据进行分析，向体育运动研究人员呈现分析结果。

图1 基于ZigBee的体育运动体征数据传输模型

针对体征数据传输过程，恶意节点可能发动三种攻击：(1) 假冒合法传感节点，向汇聚节点提供错误体征数据，以误导后续数据分析；(2) 假冒合法汇聚节点，收集体育运动员隐私体征数据；(3) 截获合法传感节点发送的体征数据，进行非法篡改。

2 安全传输方案

安全传输方案主要包含初始化设置、传感节点私钥生成和消息签密协议三个部分，如图2所示。初始化设置由汇聚节点生成并公布系统参数；传感节点私钥是由汇聚节点根据传感节点提供的秘密值生成的，并通过人工参与的安全方式传递至传感节点；消息签密协议是传感节点使用私钥对包含体征数据的消息进行加密并签名，汇聚节点收到该签密消息后，进行消息验签并解密获取体征数据。

图2 体征数据安全传输方案

2) 传感节点私钥生成。该过程用于产生传感节点设备的私钥，只需在传感节点设备加入ZigBee网络时执行一次。

3) 消息签密协议。该过程在传感节点向汇聚节点发送数据时执行，可分为加密和签名、验签和解密两个部分。

(2) 验签和解密。当S获得{FIDi,zi,Ui,Ti,Mi}后，首先提取消息中的时间戳Ti，接着进行新鲜度判定，若发现该时间戳在前期已经接收过，则认为此消息不新鲜，验签不通过，否则计算ci=FIDi⊕H1(Ui)、hi=H3(FIDi,Ri,Ui,Ti,Mi)、ziP-Ui=(Ri+ciPs)hi，若验签等式成立，则对体征数据进行解密，计算PDi=di·Ps，最终得到体征数据Di=Mi⊕H1(PDi)。

3 安全性分析

本文提出的安全传输方案包括初始化设置、传感节点私钥生成和消息签密协议三个部分。初始化设置和传感节点私钥生成过程只需要在设备入网时执行一次，并在网络管理员参与的安全环境下进行，而消息签密协议则需要在每次设备通信时执行。因而，本节主要分析消息签密协议的安全性。

定理1本文安全传输方案能够抵抗消息伪造攻击。

证明假设攻击者A可以实现消息伪造攻击，那么攻击者A将与程序B间展开一个挑战查询过程。

设攻击者A的挑战对象为程序B，程序B定义系统公钥Pu=φP,保存私钥φ，同时生成系统参数:〈E/Fp,q,G,P,Pu,H1,H2,H3〉。攻击者A可以在公共信道上获取系统参数。程序B根据攻击者A每次的查询情况，更新列表l1、l2、l3、lsk、lssig。攻击者A可以对H1、H2、H3、传感节点的私钥，以及最后的签密消息进行挑战查询。开始时，每个列表为空。

ziP=Ui+(Ri+FIDi⊕h1·φ·P)h3

(1)

(2)

进一步得到:

推论1本文体征数据安全传输方案可抵抗篡改攻击和重放攻击。

证明采用反证法。假设攻击者可以篡改签密消息{FIDi,zi,Ui,Ti,Mi}，那么攻击者必须使得等式ziP-Ui=(Ri+ciPs)hi成立。在攻击者无法获取系统私钥s的情况下，根据定理1，攻击者无法使得验证等式成立。因此，本文方案可以抵抗篡改攻击。

同时，方案中引进了时间戳T，对签密消息提供了新鲜性保护。因此，方案可抵抗重放攻击。

推论2本文方案具备体育运动员身份隐私保护功能。

证明体育运动员佩戴存储个人身份标识ID的传感节点Ci，Ci通过私密值di和随机数ui生成假身份FIDi。Ri=di·P，FIDi=ID⊕H2(di·Ps,Ri)⊕H1(Ui)，因为ui每次都是随机产生的，传感节点和汇聚节点间每次传输的假身份FIDi及签名信息都不一样。若攻击者想通过FIDi获取体育运动员的真实身份信息，则必须拥有PDi和Ri。依据定理1可知，在系统私钥s受到严格保护的情况下，在多项式时间内攻击者无法获得正确的PDi。因此，本文方案具备体育运动员身份隐私保护功能。

推论3本文方案提供体征数据保密性功能。

证明传感节点保存自己的私密值di并通过安全的方式传送给汇聚节点，传感节点计算PDi=di·Pu，Mi=Di⊕H1(PDi)，对体征数据Di进行加密保护。在传感节点私密值di严格保密的情况下，基于单向散列函数的抗原像性和抗碰撞性，同时方案设计时引入了ECDLP困难问题，因此攻击者是无法通过Mi得到Di。因此，方案提供体征数据保密性功能。

文献[12]、文献[13]和文献[14]均采用了非双线性对运算，与本文方案安全性方面的对比结果如表1所示。文献[12]无法提供数据保密性保护，文献[14]不具备匿名性保护，文献[13]无法提供匿名性和抗重放攻击。结果表明，本文方案安全性更优。

表1 安全性能对比结果

4 实验与性能分析

本节在ZigBee硬件开发平台的基础上实现本文安全方案，并与同类安全方案进行对比分析。

1) 方案实验。实验硬件采用以TI公司CC2530芯片为核心的ZigBee开发平台，在此基础上通过IAR软件编写相应的固件程序来实现安全方案。在实验过程中，将连接USB Dongle抓包工具的电脑作为监测设备，以实现对方案执行过程的观测。具体的实验环境如图3所示。

图3 方案实验环境

在开放环境下对本文方案和同类方案进行10轮次的实验，所得实验结果如图4所示。

图4 签密与验签时延

2) 性能分析。本文方案与文献[12]、文献[13]和文献[14]的计算开销和通信开销对比结果如表2所示。

表2 性能对比结果

(1) 计算开销。利用Tem表示椭圆曲线上标量乘法运算所需的时间，Tea表示椭圆曲线上标量加法运算所需的时间，Th表示单向哈希函数运算所需的时间。通过统计各方案中采用椭圆曲线上标量乘法运算、标量加法运算和单向哈希函数运算的次数，对各方案的计算开销进行比较分析。通过统计，文献[12]的计算开销记为6Tem+3Tea+7Th，文献[13]的计算开销记为6Tem+4Tea+4Th，文献[14]的计算开销记为5Tem+7Tea+9Th，本文方案的计算开销为4Tem+3Tea+6Th。根据MIRACL库[18]提供的各运算执行时间，Tem=0.735 8 ms，Tea=0.004 0 ms，Th=0.000 2 ms，可以知道，本文方案较文献[12]、文献[13]和文献[14]的计算开销更有优势。

(2) 通信开销。采用分析各方案签密消息的长度的方法，其中：|G|代表群元素字节数长度；|H|代表单身散列函数值长度；|m|代表密文长度。经过分析，文献[12]增加的通信开销为3|G|+|H|+|m|,文献[13]增加的通信开销为2|G|+|H|+|m|，文献[14]增加的通信开销为2|G|+|H|+|m|，本文方案增加的通信开销为2|G|+|H|+|m|。结果表明，本文方案的通信开销与同类方案基本持平，没有额外增加通信开销。

5 结 语

体育运动场景的开阔性给体征数据无线安全传输带来了诸多挑战。本文针对用户身份隐私保护、体征数据机密性保护、节点认证等问题，采用椭圆曲线密码体制，设计了体育运动体征数据安全传输方案。安全性分析证明，该方案相较同类方案具有更高的安全性，能够满足体育运动场景下体征数据传输的安全需求。实验与性能分析表明，本文方案同其他方案相比，在不增加通信开销的前提下能够明显降低设备的计算开销。

本文方案具备更高的安全性和较低的计算开销，但方案的适用场景是点对点的单播通信方式，当系统部署大规模数量的节点时，此种通信方式带来的通信开销将明显加大，而广播通信方式将以更低的通信开销占据优势。因此，面向更大规模ZigBee网络的广播通信场景，设计计算开销和通信开销较低的安全传输方案有待进一步研究。