无线体域网高效可追踪的匿名认证协议

摘要：随着物联网的飞速发展，无线体域网在医疗领域有了更加广泛的应用。针对用户使用的智能采集设备资源受限，同时在医疗环境中需要保护用户身份条件隐私等情况，使用无证书在线离线签名设计可追踪的匿名认证协议。降低用户开销的同时实现特殊情况下对用户真实身份的可追踪性，如用户恶意破坏医疗问诊等情况。

关键词：在线离线签名;可追踪;匿名认证

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）15-0030-02

随着物联网技术的不断发展和人们对于健康生活质量要求提高，无线体域网医疗应用受到了更多关注，比如老人监护、运动检测、慢性病监测等，如图1所示。无线体域网[1]医疗应用通过穿戴设备中的传感器定时采集用户生命体征数据，在规定的时间内交由医疗机构进行诊断并返回问诊结果，完成一次问诊过程。由于医疗应用的特殊性，需要保护用户身份隐私和问诊结果安全。匿名认证协议[2-4]可以满足其要求。现有的匿名认证协议存在用户计算开销过大、不能实现用户真实身份可追踪等问题。

由于用户端设备资源受限，使用在线/离线签名[5]设计高效可追踪的匿名认证协议，通过离线阶段计算一部分信息来减轻用户开销，同时采用第三方私钥设计用户的假名，可以在用户出现异常行为时揭示其真实身份，满足可追踪性。

1 系统模型

如图2所示，匿名认证协议中存在三个通信方。

1）用户：用户持有资源受限的智能设备进行生命体征数据的采集，可以是手机或者运动手环等，用U表示。

2）医疗端：医疗机构或者医生对采集的数据进行分析并产生问诊结果，用TH表示。

3）第三方：半可信的盈利机构，主要为U和TH分发部分私钥和发布参数，用TP表示。

2 高效可追踪的匿名认证协议

2.1 系统初始化

TP随机选择[s∈Z*q]，计算系统公钥[Ppub=sP]，定义哈希函数：[?{0，1}?→Z?q]，[h1：{0，1}?×G2→Z*q]，[?2：{0，1}??G3→Z?q]，[h3：G3→{0，1}?]。并公开参数[{E/Fp，Fp，G，P，Ppub，h，h1，h2，h3}]

2.2 生成密钥阶段

1）U密钥生成：U随机选择[ac∈Z?q]，计算[PID1c=acP]。通过安全信道将[{IDc，PID1c}]发送给TP。

TP收到后，计算伪身份[PID2c=IDc⊕?（s?PID1c）]， U的伪身份[PIDc={PID1c，PID2c}]。然后随机选择[rc∈Z?q]，计算[Rc=rcP]，[sc=rc+s??1（Rc，PIDc，Ppub）]，通过公共信道将[{PIDc，Rc，sc}]返回给U。

U收到[{PIDc，Rc，sc}]后，首先计算[?1（Rc，PIDC，Ppub）]，然后验证[scP=Rc+?1（Rc，PIDc，Ppub）?Ppub]是否成立，成立则部分私钥为[sc]。U随机选择[wc∈Z?q]，计算[Wc=wcP]。[{sc，wc}]作为私钥，[ {Rc，Wc}]作为公钥。

2）TH密钥生成：TH随机选择[bAP∈Z?q]，计算[BAP=bAPP]。通过安全信道将[{IDAP，BAP}]发送给TP。

TP收到后，随机选择[rAP∈Z?q]，计算[RAP=rAPP]，[sAP=rAP+s??1（RAP，IDAP，Ppub）]，返回[{RAP，sAP}]给TH。

TH收到[{RAP，sAP}]后，首先计算[?1（RAP，IDAP，Ppub）]，然后验证[sAPP=RAP+?1（RAP，IDAP，Ppub）?Ppub]是否成立，成立则[{sAP，bAP}]作为私钥，[ {RAP，BAP}]作为公钥。

2.3 相互认证阶段

離线阶段：在不知道需要发送的具体消息时，可以预先计算离线签名。

U随机选择[xc，yc∈Z?q]，计算[Xc=xcP]，[X'c=xc（RAP+BAP）]， [vc=?（PIDc，Rc，WC）]，[ac=sc+vcxc]，[Yc=ycP]。存储[yc，ac，Xc，X'c，Yc]

在线阶段：在确实发送消息后，使用消息和离线签名快速生成在线签名。

U计算[?c=?2（PIDc，?（m），Yc，tc）]， [σc=ycsc+?c]，[Mc=E?（X'c）（PIDc||σc||m||Wc||Rc）]，然后将[{MC，XC，tc}]发送给TH。

TH收到后，计算[X'c=Xc（rAP+bAP）]，解密[Mc]得到[（PIDc||σc||m||Wc||Rc）]，然后验证[Yc=ycP=σc（sc+?c）P]是否成立，成立则认证完成，否则失败。

2.4 会话密钥生成

认证成功后，TH随机选择[yAP∈Z?q]，计算[YAP=yAPP]，[Y'AP=yAPXc]，生成会话密钥[sk=?3（YAP，Y'AP，Xc）]，[MACsk（Y）]。然后将[{MAC，YAP}]发送给U。

U接收[MAC，YAP]后，计算[Y'AP=xcYAP]，[sk=h3（YAP，Y'AP，Xc）]。最后验证[MACsk（Y）]的有效性。

3 安全性需求证明

协议满足以下基本安全性需求。

1）匿名性：使用伪身份[PID2c=IDc⊕?（IDc，s?PID1c）]保护U的真实身份，敌手需要[s]揭示U真实身份，而[s]是保密的，保证了匿名性。

2）相互认证：U验证[MAC，YAP]，TH验证[{MC，XC，tc}]有效性完成相互认证。9300B54E-E42E-4ED1-BD56-22189056A50C

3）不可链接：[{MC，XC，tc}]中使用了随机数实现不可链接性，敌手无法判斷消息的发送方是否同一个U。

4）会话密钥：相互认证后，建立会话密钥[sk=?3（YAP，Y'AP，Xc）]保护后续发送数据的安全。敌手需要解决[xyP]难题计算[Y'AP]，才可以计算会话密钥，保证了会话密钥的安全性。

5）前向安全：即使AP的私钥[{sAP，bAP}]泄露，敌手需要计算[Y'AP]，需要解决[xyP]难题，保证前向安全。

6）可追踪性：当产生医疗纠纷时，TH通过解密[MC]得到[PIDc]后提交给TP，TP通过私钥计算[IDc=PID2c⊕?（s?PID1c）]揭示其真实身份。

4 计算开销性能

由于U智能设备的资源受限，要优先考虑U端的计算开销。表1为提出的协议和文献[4]认证阶段计算开销的对比。

5 结语

基于在线/离线签名设计高效的匿名认证协议，在离线阶段预执行部分计算以减少在线阶段的计算量，在满足基本安全性需求的基础上用户计算开销和通信开销都较小，同时在特殊情况下能揭示用户的真实身份，满足无线体域网医疗应用需求。

参考文献：

[1] Zimmerman T G. Personal area networks： Near-field intra body communic-ateon[J].IBM System Journal， 1996， 35（3/4）：609-617.

[2] 钟成，李兴华，宋园园，马建峰.无线网络中基于共享密钥的轻量级匿名认证协议[J].计算机学报，2018，41（05）：1157-1171.

[3] 张顺，范鸿丽，仲红，等.无线体域网中高效可撤销的无证书远程匿名认证协议[J].通信学报，2018，39（04）：100-111.

[4] 范鸿丽.无线体域网可追踪的匿名认证协议[J].电脑知识与技术， 2020， 16 （34）：36-38.

[5] Addobea A A，Hou J，Li Q M.MHCOOS：an offline-online certificateless signature scheme for M-health devices[J].Security and Communication Networks，2020：7085623.

【通联编辑：代影】9300B54E-E42E-4ED1-BD56-22189056A50C