蒙云番，孫光昊，邢 杰，萬海斌，覃團發(fā)，＊＊

(1.廣西大學 計算機與電子信息學院，南寧530004;2.廣西大學 廣西多媒體通信與網(wǎng)絡技術重點實驗室培育基地，南寧530004;3.廣西大學 廣西高校多媒體通信與信息處理重點實驗室，南寧530004)

1 引 言

隨著無線體域網(wǎng)(Wireless Body Area Network，WBAN)［1］在各個領域應用的日漸廣泛，其安全問題越來越不可忽視。與一般無線傳感器網(wǎng)絡以物理環(huán)境為主要監(jiān)控對象不同，無線體域網(wǎng)以人為監(jiān)測中心，網(wǎng)絡中數(shù)據(jù)更加敏感，傳感器移動性更強，潛在的攻擊威脅更大。為保證無線體域網(wǎng)的安全需求，許多學者展開了研究，提出了多種安全機制。Poon等人［2］提出了一種新穎的基于生物測量學的方案，該方案以脈搏間隔為生物特征，能夠保證主控節(jié)點和其他傳感器節(jié)點間的數(shù)據(jù)傳輸?shù)陌踩?。類似地，Ramli 等人［3］以心電圖作為生物特征提出一種基于生物測量學的數(shù)據(jù)簽名機制，該方案以生物信息取代傳統(tǒng)簽名系統(tǒng)的密鑰分配，極大降低了簽名成本。除此之外，Latre 等人［4］提出了一種輕量級模塊化無線體域網(wǎng)框架，有助于提高網(wǎng)絡的靈活性和能量效率;Tan 等人［5］提出了一種基于身份加密的密鑰協(xié)議，該協(xié)議通過靈活的數(shù)據(jù)訪問控制為無線體域網(wǎng)提供安全和隱私保障;Jang 等人［6］提出了一種混合安全協(xié)議，該協(xié)議同時采用對稱密碼算法和非對稱密碼算法，為無線體域網(wǎng)絡提供強有力的安全保障;Mare 等人［7］提出了一種自適應安全機制，一旦監(jiān)測到有可能會發(fā)生偽造攻擊時，網(wǎng)絡節(jié)點可以動態(tài)地調(diào)節(jié)數(shù)據(jù)負載的大小。

網(wǎng)絡編碼［8］在網(wǎng)絡吞吐量、負載均衡性以及節(jié)能等方面擁有優(yōu)異的性能，如何在無線體域網(wǎng)中有效應用網(wǎng)絡編碼逐漸成為研究的熱點問題［9－10］。本文在引入隨機網(wǎng)絡編碼［11］以提高網(wǎng)絡性能的基礎上，結合橢圓曲線密碼(Elliptic Curve Cryptography，ECC)同態(tài)哈希函數(shù)［12］和Elgamal 等人［13］簽名方案，設計了一種無線體域網(wǎng)安全簽名方案，并從理論上證明了該方案是安全的，實現(xiàn)了過濾被污染信息與確定被污染節(jié)點的功能。

2 背景知識

2.1 無線體域網(wǎng)安全問題

圖1所示是一個典型的無線體域網(wǎng)網(wǎng)絡架構。生物傳感器(穿戴式或植入式)被放置在人體的特定位置上，用于監(jiān)測不同的生命體征信號(如體溫、血壓、心率、血樣濃度等)，并將監(jiān)測結果發(fā)送到鄰近的個人設備上。個人設備擁有更高的處理功，在接收到生物傳感器的監(jiān)測數(shù)據(jù)后，根據(jù)需要發(fā)送到醫(yī)護人員的個人設備、住宅或病房的監(jiān)測預警設備、本地服務器(本地服務器通過無線訪問點或基站與因特網(wǎng)相連，醫(yī)療專家、救護中心、政府部門等用戶通過授權訪問病人的生理數(shù)據(jù))等。

圖1 無線體域網(wǎng)網(wǎng)絡架構Fig.1 A general architecture of WBAN

近年來，隨著可穿戴生物傳感器和無線通信技術的快速發(fā)展，無線體域網(wǎng)的應用價值愈發(fā)明顯。通過無線體域網(wǎng)，醫(yī)生能夠隨時獲取病患的生理數(shù)據(jù)，進而做出正確的醫(yī)療診斷和進一步的治療方案。即使是沒有出現(xiàn)健康問題的正常人，同樣可以借助無線體域網(wǎng)隨時監(jiān)測自己的健康狀況，改善和管理人體的功能，讓身體以更加協(xié)調(diào)有序的節(jié)奏運作。

然而，無線通信方式的脆弱性使得無線體域網(wǎng)在數(shù)據(jù)傳輸過程中極易受到非法攻擊。為了能有效地抵抗安全威脅，在無線體域網(wǎng)中建立一個保障數(shù)據(jù)傳輸安全的機制至關重要［14］。

2.2 隨機網(wǎng)絡編碼

假設G=(V，E)表示一個有向圖，其中V 是節(jié)點的集合，E 是邊的集合。信源節(jié)點將信息向量[X1X2… Xm]傳輸給信宿節(jié)點TV。在隨機網(wǎng)絡編碼中，各鏈路上的系數(shù)在有限域Fp中隨機選取，而且鏈路上的系數(shù)與該鏈路的線性組合均需要傳輸至下一個節(jié)點。每條鏈路i 上傳輸?shù)木幋a信息有一個全局編碼向量與信源發(fā)送的原始信息相對應，即

假設信宿節(jié)點的m 條輸入鏈路分別為1，2，…，m，并且各條鏈路上傳輸?shù)木幋a信息構成向量[Y1Y2… Ym]，則可根據(jù)式(2)解碼得到原始數(shù)據(jù):

式中，gij(i=1，2，…，m;j=1，2，…，m)為信宿節(jié)點得到的編碼系數(shù)，亦即全局編碼向量。

2.3 ECC 算法簡介

橢圓曲線密碼(ECC)體制，即基于橢圓曲線離散對數(shù)問題的公鑰密碼體制，是利用有限域上的橢圓曲線有限群代替基于離散對數(shù)密碼體制中的有限循環(huán)群后所得到的一類密碼體制。由于與現(xiàn)有的其他公鑰密碼體制(比如RSA)相比，ECC 具有安全性好、計算量小、處理速度快等優(yōu)勢，逐漸成為無線網(wǎng)絡安全領域的研究熱點。

橢圓曲線指的是韋爾斯特拉斯(Weierstrass)方程所確定的平面曲線，記為E:

式中a，b，c，d，e∈Fp;Fp為有限域。滿足式(3)的(x，y)稱為Fp域上的點。此外，橢圓曲線還定義了一個特殊的無窮點O (O" (0，1，0))。

ECC 感興趣的是模p橢圓群，即給定一個素數(shù)p，在有限域Fp中選擇兩個小于p 的非負整數(shù)，使得4a3+27b2(modp)≠0，那么這個群中的數(shù)偶(x，y)均滿足如下方程且是小于p 的非負整數(shù)(外加無窮點O):

3 簽名方案

由于生物傳感器到鄰近個人設備的通信屬于超短距離通信，本文假設此通信過程中的數(shù)據(jù)傳輸是安全的，轉(zhuǎn)而把網(wǎng)絡安全問題集中在個人設備在收到病人的生理數(shù)據(jù)后轉(zhuǎn)發(fā)給各個用戶的通信過程上。根據(jù)隨機網(wǎng)絡編碼的思想，這部分通信過程完全可以看作是一個單源多播的有向無環(huán)網(wǎng)絡，如圖2所示。

圖2 無線體域網(wǎng)多播網(wǎng)絡模型Fig.2 Multicast network model in WBAN

該網(wǎng)絡以一有向圖G=(V，E)表示，其中V 是節(jié)點的集合，E 是邊的集合。信源節(jié)點(個人設備)將接收到的生理數(shù)據(jù)直接或間接(通過中繼節(jié)點，即圖中v1、v2、v3、v4)傳輸給信宿節(jié)點集合(共享生理數(shù)據(jù)的各個用戶，即圖中t1、t2)TV。假設有向圖中有一個可信節(jié)點——認證中心(Certification Authority，CA)，其能量與傳輸功率無限，并且所有節(jié)點間都擁有一條穩(wěn)定的信道以傳輸數(shù)字簽名信息。

本文通過將Elgamal 簽名方案與ECC 同態(tài)哈希函數(shù)相結合的方法，以普通節(jié)點驗證信息的完整性，以CA 驗證信息的真實性，從而保證網(wǎng)絡不被污染攻擊破壞，最大限度地保證網(wǎng)絡的安全傳輸。本文簽名方案劃分為三個階段，即創(chuàng)建、簽名、驗證。

3.1 創(chuàng)建階段

創(chuàng)建階段用來建立網(wǎng)絡參數(shù)和密鑰的生成與分發(fā)。選取某一橢圓曲線y2≡x3+ax +b mod()p ，記為E(a，b)。該橢圓曲線通過一組參數(shù)(p，a，b，G，q，h)唯一確定，其中p 為域的大小，一般取一個足夠大的素數(shù)，表示一個有限域Fp;a，b∈Fp為橢圓曲線方程的參數(shù)，滿足方程G(x，y)為橢圓曲線上的一個點，稱為基點，階為大素數(shù)q，q＜＜p，且q ＞2160和為了抵御MOV和FR 攻擊，應當滿足q 不能整除pk－1，1≤k≤C，一般取C 為20。整數(shù)h 為橢圓曲線群的階與G 的階的商，即h=#E(Fp)/q，稱為橢圓曲線伴隨因子。為了抵御一些已知的橢圓曲線攻擊算法，應使得隨機生成的曲線滿足#E(Fp)能被一個大素數(shù)整除，即滿足以上條件的橢圓曲線幾乎可以認為是安全的。除了需要確定橢圓曲線以外，還需再確定Z*p 的一個生成元α。最后，CA 將生成的參數(shù)(p，a，b，G，q，h)、α 公開到整個網(wǎng)絡，作為本次傳輸?shù)墓矃?shù)。

在網(wǎng)絡節(jié)點都收到以上參數(shù)后執(zhí)行下列步驟。

(1)源節(jié)點

假設無線體域網(wǎng)中數(shù)據(jù)信息向量V∈Fp，隨機選擇橢圓曲線上的一組基點集R:(R1，R2，…，Rm)，且Ri(i =1，2，…，m)的階均為q。根據(jù)文獻［12］，此無線體域網(wǎng)數(shù)據(jù)信息的同態(tài)哈希函數(shù)為

根據(jù)文獻［13］的簽名方案，源節(jié)點隨機選取x∈Z*p作為私鑰，計算β =αxmod p 作為公鑰，并選擇k (∈Z*p－1)作為一個秘密隨機數(shù)。

(2)中間節(jié)點

與源節(jié)點一樣，中間節(jié)點隨機選取xid∈Z*p 作為私鑰(id=1，2，…，l，l 為中間節(jié)點的數(shù)量)，計算β=αxidmod p 作為公鑰，并選取作為一個秘密隨機數(shù)(id=1，2，…，l(l 為中間節(jié)點的數(shù)量))。另外，所有中間節(jié)點均有全網(wǎng)唯一固化的身份ID∈{0，1}*，用以標識網(wǎng)絡身份。

3.2 簽名階段

簽名階段用來實現(xiàn)源節(jié)點及中間節(jié)點的簽名。由于在源節(jié)點與中間節(jié)點都要進行簽名，在本文中，定義SignV、SignW 分別表示源節(jié)點和中間節(jié)點的簽名函數(shù):

式中，ID0為當前節(jié)點的身份ID 以及該節(jié)點所有入邊節(jié)點的身份ID。

(1)源節(jié)點的簽名過程

源節(jié)點隨機生成全局編碼向量 μ =(μ1，μ2，…，μm)對原始信息進行編碼組合W =并計算編碼信息向量W 的哈希值:

根據(jù)Elgamal 簽名方案計算簽名:

簽名完成后，源節(jié)點選取的k 將會立即銷毀。輸出簽名SignV= γ，()δ 。

(2)中間節(jié)點的簽名過程

中間節(jié)點隨機生成局部編碼向量ηid=(η1，η2，…，ηn)對收到的信息向量Wi進行編碼組合并計算編碼信息向量ω 的哈希值:

根據(jù)Elgamal 簽名方案計算簽名:

簽名完成后，中間節(jié)點選取的kid將會立即銷毀。輸出簽名SignW = (γid，δid，ηid，ID0)，源節(jié)點與中間節(jié)點所生成的消息簽名SignV 與SignW 均傳輸給CA，所生成的輸出向量ω、哈希值h 及本節(jié)點ID則傳輸給下一跳節(jié)點。

3.3 驗證階段

驗證階段用來實現(xiàn)對簽名函數(shù)的驗證。本文以VerN(Wi，hi，R)、VerCA(γ，δ，h，，PK，α)分別表示中間節(jié)點與CA 的驗證函數(shù)，其中，VerN 函數(shù)用來驗證消息的完整性，VerCA 函數(shù)用來驗證消息的真實性。驗證過程如下:

(1)中間節(jié)點處使用驗證函數(shù)VerN 驗證消息是否完整，進行驗證:

若VerN=true，則認為消息完整，在傳輸過程中無錯誤;若VerN=false，則認為消息不完整，該數(shù)據(jù)包丟棄;

(2)完整性驗證結束后，向CA 發(fā)送ID 節(jié)點的哈希值h，VerN 驗證結果，并且當VerN =true 時等待CA 返回VerCA 驗證結果;

(3)CA 接收到中間節(jié)點發(fā)送的數(shù)據(jù)后，使用驗證函數(shù)VerCA 驗證消息是否被篡改。在CA 收到節(jié)點簽名后，根據(jù)參數(shù)ID0選出對應的k +1 個節(jié)點(k個入邊對應的k 個節(jié)點，還有當前節(jié)點)的參數(shù)(γj，δj，PKj)，j = 1，2，…，k + 1，其 中(γk+1，δk+1，PKk+1)為當前節(jié)點的參數(shù)，則該節(jié)點驗證函數(shù)的所有參數(shù)為

然后進行驗證:

若VerCA=true，則認為消息真實，沒有被惡意篡改，然后將該節(jié)點的VerN 驗證結果與VerCA 驗證結果進行保存。該函數(shù)的正確性將在第4.2 節(jié)中進行證明;

(4)返回對ID 的VerCA 驗證結果(若VerN =true)，中間節(jié)點收到的VerCA 驗證結果若為true 則該數(shù)據(jù)包驗證通過;若為false 則驗證失敗，數(shù)據(jù)包丟棄，若CA 查詢不到ID，則認為該節(jié)點是非法節(jié)點，該數(shù)據(jù)包同樣丟棄;

(5)通信結束后，CA 觀察所有ID 節(jié)點的VerN驗證結果和VerCA 驗證結果，若驗證均通過，則該節(jié)點是安全節(jié)點;若VerN 驗證失敗而VerCA 驗證通過，則該節(jié)點的通信可能受到干擾，極有可能在傳輸過程中發(fā)生了錯誤;若VerN 驗證通過但VerCA驗證失敗，則該節(jié)點可能受到了污染攻擊，并且信息受到了惡意篡改;若VerN 與VerCA 均驗證失敗，則該節(jié)點可能受到嚴重干擾或已損壞。網(wǎng)絡拓撲結構可根據(jù)以上信息進行適當調(diào)整，避開受污染的節(jié)點。

4 方案的效率與安全性分析

4.1 效率分析

本簽名方案采用了ECC 同態(tài)哈希函數(shù)以及El-Gamal 簽名方案相結合的方式，保證了網(wǎng)絡的安全傳輸。由于沒有指數(shù)運算，相比于其他簽名方案，本簽名方案運算速度更快，計算長度更小，有利于在資源嚴重受限的無線體域網(wǎng)中應用。

其次，在本文簽名方案中，消息的完整性驗證和真實性驗證進行了分別處理，將運算量較小、需要參數(shù)較多的完整性檢驗由能量有限的中間節(jié)點進行，而將運算量較大、需要參數(shù)較少的真實性驗證由能量無限的CA 進行，有效地降低了網(wǎng)絡節(jié)點的運算負擔。

此外，本簽名方案不僅能夠?qū)ξ廴竟暨M行檢測，還能有效確定受污染攻擊節(jié)點的位置。這有助于動態(tài)調(diào)整網(wǎng)絡拓撲結構，避開被污染的節(jié)點，有利于增強網(wǎng)絡的魯棒性。

4.2 安全性分析

4.2.1 哈希函數(shù)同態(tài)性證明

設m 維向量組Vi，i =(1，2，…，k)經(jīng)線性編碼后生成向量W，編碼向量為αi，i=(1，2，…，k)，則有

4.2.2 VerCA 函數(shù)正確性證明

已知:

式中，x 為私鑰，k 為隨機數(shù)，則

因此，該節(jié)點的第i 個入邊節(jié)點所對應的簽名向量βi、γi、δi可計算得到

同理，該節(jié)點的簽名β、γ、δ 可計算得到

因此，驗證函數(shù)VerCA 在所有輸入?yún)?shù)均未受到任何攻擊篡改或偽造的情況下有此時驗證通過。

4.2.3 方案安全性證明

在本文方案中，為防止簽名被偽造或加入不合法信息，在編碼過程中造成數(shù)據(jù)的污染，設計在每次轉(zhuǎn)發(fā)時由轉(zhuǎn)發(fā)節(jié)點進行一次簽名，在接收時接收節(jié)點與CA 共同進行一次驗證，該過程的安全性由ECC 同態(tài)哈希函數(shù)的安全性與ElGamal 簽名方案的安全性共同保證。假設攻擊者可以攻擊任意中間節(jié)點，且攻破該節(jié)點后攻擊者可以得到所有的公共信息與該節(jié)點的私有信息，下面我們將證明攻擊者在這樣的情況下要偽造可以通過驗證的信息可以歸類到求解離散對數(shù)難題與橢圓曲線難題，保證了網(wǎng)絡的安全傳輸不受到污染攻擊的影響。

這類情況屬于哈希函數(shù)的碰撞問題。根據(jù)文獻［12］，可以證明哈希碰撞在本簽名方案發(fā)生的概率小于(p 是一個很大的素數(shù))。

(2)根據(jù)驗證函數(shù)VerCA 可知，方式二的攻擊等價于尋找 珘(≠h)使得=αhmod p，又等價于在上的離散對數(shù)問題:給定一個素數(shù)，在等式αx≡β mod p 中，已知α 和β，求解x。根據(jù)Elgamal 簽名方案，該問題在多項式時間內(nèi)不可解。

綜上所述，本簽名方案是安全的。

5 結束語

本文首先討論了當前無線體域網(wǎng)存在的安全問題，為保證網(wǎng)絡數(shù)據(jù)的安全傳輸，提出了一種結合網(wǎng)絡編碼和ECC 的無線體域網(wǎng)簽名方案。該方案引入隨機網(wǎng)絡編碼構造網(wǎng)絡模型，采用結合ECC 同態(tài)哈希函數(shù)和Elgamal 簽名方案的方法保證無線體域網(wǎng)中關鍵生理數(shù)據(jù)的傳輸安全。從理論上證明了在現(xiàn)存的簽名攻擊模式下本文提出的方案是安全的，可以對消息進行完整性和真實性驗證，并且確定受攻擊節(jié)點的位置，對及時動態(tài)調(diào)整網(wǎng)絡拓撲有一定參考意義。下一步將重點研究本方案在實際應用中的可行性。

［1］ Latre B，Braem B，Moerman I，et al.A Survey on Wireless Body Area Networks［J］. Wireless Networks，2011，17(1):1－18.

［2］ Poon C C Y，Zhang Y T，Bao S D. A novel biometrics method to secure wireless body area sensor networks for telemedicine and m－ health［J］. IEEE Communications Magazine，2006，44(4):73－81.

［3］ Ramli S N，Ahmad R，Abdollah M F，et al.A biometricbased security for data authentication in wireless body area network (WBAN)［C］//Proceedings of 15th International Conference on Advanced Communication Technology.Pyeongchang，Korea:IEEE，2013:998－1001.

［4］ Latre B，De Poorter E，Moerman I，et al. MOFBAN:A lightweight modular framework for body area networks［M］//Embedded and Ubiquitous Computing. Berlin:Springer Berlin Heidelberg，2007:610－622.

［5］ Tan C C，Wang H，Zhong S，et al.IBE－lite:a lightweight identity－ based cryptography for body sensor networks［J］.IEEE Transactions on Information Technology in Biomedicine，2009，13(6):926－932.

［6］ Jang C S，Lee D G，Han J，et al.Hybrid security protocol for wireless body area networks［J］.Wireless Communications and Mobile Computing，2011，11(2):277－288.

［7］ Mare S，Sorber J，Shin M，et al.Adaptive security and privacy for mHealth sensing［C］//Proceedings of the 2nd USENIX Workshop on Health Security and Privacy.Berkeley，CA，USA:IEEE，2011:1－5.

［8］ Ahlswede R，Cai N，Li S Y R，et al. Network information flow［J］.IEEE Transactions on Information Theory，2000，46(4):1204－1216.

［9］ Arrobo G A，Gitlin R D. Improving the Reliability of Wireless Body Area Networks［C］// Proceedings of 33rd Annual International Conference of the IEEE Engineering in Medicine and Biology Society. Boston，MA:IEEE，2011:2192－2195.

［10］ 閆龍，覃團發(fā)，李亮亮，等.基于網(wǎng)絡編碼的無線體域網(wǎng)多中繼協(xié)作節(jié)能策略［J］.電訊技術，2014，54(3):355－360.YAN Long，QIN Tuanfa，LI Liangliang，et al.A Multi－relay Cooperative Energy－ saving Strategy Based on Network Coding in Wireless Body Area Networks［J］.Telecommunication Engineering，2014，54(3):355－360.(in Chinese)

［11］ Tracey H，Medard M，Koetter R，et al.A random linear network coding approach to multicast［J］.IEEE Transactions on Information Theory，2006，52(10):4413－4430.

［12］ Charles D，Jain K，Lauter K.Signatures for network coding［C］//Proceedings of 2009 40th Annual Conference on Information Sciences and Systems. Princeton，NJ:IEEE，2009:857－863.

［13］ Elgamal T. A public key cryptosystem and a signature scheme based on discrete logarithms［J］.IEEE Transactions on Information Theory，1985，31(4):469－472.

［14］ Mohammed M，Mohammed F，Boucif A B. SEKEBAN(secure and efficient key exchange for wireless body area network)［J］.International Journal of Advanced Science and Technology，2009，12(3):45－60.