摘要：隨著物聯(lián)網(wǎng)的飛速發(fā)展，無線體域網(wǎng)在醫(yī)療領(lǐng)域有了更加廣泛的應用。針對用戶使用的智能采集設備資源受限，同時在醫(yī)療環(huán)境中需要保護用戶身份條件隱私等情況，使用無證書在線離線簽名設計可追蹤的匿名認證協(xié)議。降低用戶開銷的同時實現(xiàn)特殊情況下對用戶真實身份的可追蹤性，如用戶惡意破壞醫(yī)療問診等情況。

關(guān)鍵詞：在線離線簽名;可追蹤;匿名認證

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）15-0030-02

隨著物聯(lián)網(wǎng)技術(shù)的不斷發(fā)展和人們對于健康生活質(zhì)量要求提高，無線體域網(wǎng)醫(yī)療應用受到了更多關(guān)注，比如老人監(jiān)護、運動檢測、慢性病監(jiān)測等，如圖1所示。無線體域網(wǎng)[1]醫(yī)療應用通過穿戴設備中的傳感器定時采集用戶生命體征數(shù)據(jù)，在規(guī)定的時間內(nèi)交由醫(yī)療機構(gòu)進行診斷并返回問診結(jié)果，完成一次問診過程。由于醫(yī)療應用的特殊性，需要保護用戶身份隱私和問診結(jié)果安全。匿名認證協(xié)議[2-4]可以滿足其要求?，F(xiàn)有的匿名認證協(xié)議存在用戶計算開銷過大、不能實現(xiàn)用戶真實身份可追蹤等問題。

由于用戶端設備資源受限，使用在線/離線簽名[5]設計高效可追蹤的匿名認證協(xié)議，通過離線階段計算一部分信息來減輕用戶開銷，同時采用第三方私鑰設計用戶的假名，可以在用戶出現(xiàn)異常行為時揭示其真實身份，滿足可追蹤性。

1 系統(tǒng)模型

如圖2所示，匿名認證協(xié)議中存在三個通信方。

1）用戶：用戶持有資源受限的智能設備進行生命體征數(shù)據(jù)的采集，可以是手機或者運動手環(huán)等，用U表示。

2）醫(yī)療端：醫(yī)療機構(gòu)或者醫(yī)生對采集的數(shù)據(jù)進行分析并產(chǎn)生問診結(jié)果，用TH表示。

3）第三方：半可信的盈利機構(gòu)，主要為U和TH分發(fā)部分私鑰和發(fā)布參數(shù)，用TP表示。

2 高效可追蹤的匿名認證協(xié)議

2.1 系統(tǒng)初始化

TP隨機選擇[s∈Z*q]，計算系統(tǒng)公鑰[Ppub=sP]，定義哈希函數(shù)：[?{0，1}?→Z?q]，[h1：{0，1}?×G2→Z*q]，[?2：{0，1}??G3→Z?q]，[h3：G3→{0，1}?]。并公開參數(shù)[{E/Fp，F(xiàn)p，G，P，Ppub，h，h1，h2，h3}]

2.2 生成密鑰階段

1）U密鑰生成：U隨機選擇[ac∈Z?q]，計算[PID1c=acP]。通過安全信道將[{IDc，PID1c}]發(fā)送給TP。

TP收到后，計算偽身份[PID2c=IDc⊕?（s?PID1c）]， U的偽身份[PIDc={PID1c，PID2c}]。然后隨機選擇[rc∈Z?q]，計算[Rc=rcP]，[sc=rc+s??1（Rc，PIDc，Ppub）]，通過公共信道將[{PIDc，Rc，sc}]返回給U。

U收到[{PIDc，Rc，sc}]后，首先計算[?1（Rc，PIDC，Ppub）]，然后驗證[scP=Rc+?1（Rc，PIDc，Ppub）?Ppub]是否成立，成立則部分私鑰為[sc]。U隨機選擇[wc∈Z?q]，計算[Wc=wcP]。[{sc，wc}]作為私鑰，[ {Rc，Wc}]作為公鑰。

2）TH密鑰生成：TH隨機選擇[bAP∈Z?q]，計算[BAP=bAPP]。通過安全信道將[{IDAP，BAP}]發(fā)送給TP。

TP收到后，隨機選擇[rAP∈Z?q]，計算[RAP=rAPP]，[sAP=rAP+s??1（RAP，IDAP，Ppub）]，返回[{RAP，sAP}]給TH。

TH收到[{RAP，sAP}]后，首先計算[?1（RAP，IDAP，Ppub）]，然后驗證[sAPP=RAP+?1（RAP，IDAP，Ppub）?Ppub]是否成立，成立則[{sAP，bAP}]作為私鑰，[ {RAP，BAP}]作為公鑰。

2.3 相互認證階段

離線階段：在不知道需要發(fā)送的具體消息時，可以預先計算離線簽名。

U隨機選擇[xc，yc∈Z?q]，計算[Xc=xcP]，[X'c=xc（RAP+BAP）]， [vc=?（PIDc，Rc，WC）]，[ac=sc+vcxc]，[Yc=ycP]。存儲[yc，ac，Xc，X'c，Yc]

在線階段：在確實發(fā)送消息后，使用消息和離線簽名快速生成在線簽名。

U計算[?c=?2（PIDc，?（m），Yc，tc）]， [σc=ycsc+?c]，[Mc=E?（X'c）（PIDc||σc||m||Wc||Rc）]，然后將[{MC，XC，tc}]發(fā)送給TH。

TH收到后，計算[X'c=Xc（rAP+bAP）]，解密[Mc]得到[（PIDc||σc||m||Wc||Rc）]，然后驗證[Yc=ycP=σc（sc+?c）P]是否成立，成立則認證完成，否則失敗。

2.4 會話密鑰生成

認證成功后，TH隨機選擇[yAP∈Z?q]，計算[YAP=yAPP]，[Y'AP=yAPXc]，生成會話密鑰[sk=?3（YAP，Y'AP，Xc）]，[MACsk（Y）]。然后將[{MAC，YAP}]發(fā)送給U。

U接收[MAC，YAP]后，計算[Y'AP=xcYAP]，[sk=h3（YAP，Y'AP，Xc）]。最后驗證[MACsk（Y）]的有效性。

3 安全性需求證明

協(xié)議滿足以下基本安全性需求。

1）匿名性：使用偽身份[PID2c=IDc⊕?（IDc，s?PID1c）]保護U的真實身份，敵手需要[s]揭示U真實身份，而[s]是保密的，保證了匿名性。

2）相互認證：U驗證[MAC，YAP]，TH驗證[{MC，XC，tc}]有效性完成相互認證。9300B54E-E42E-4ED1-BD56-22189056A50C

3）不可鏈接：[{MC，XC，tc}]中使用了隨機數(shù)實現(xiàn)不可鏈接性，敵手無法判斷消息的發(fā)送方是否同一個U。

4）會話密鑰：相互認證后，建立會話密鑰[sk=?3（YAP，Y'AP，Xc）]保護后續(xù)發(fā)送數(shù)據(jù)的安全。敵手需要解決[xyP]難題計算[Y'AP]，才可以計算會話密鑰，保證了會話密鑰的安全性。

5）前向安全：即使AP的私鑰[{sAP，bAP}]泄露，敵手需要計算[Y'AP]，需要解決[xyP]難題，保證前向安全。

6）可追蹤性：當產(chǎn)生醫(yī)療糾紛時，TH通過解密[MC]得到[PIDc]后提交給TP，TP通過私鑰計算[IDc=PID2c⊕?（s?PID1c）]揭示其真實身份。

4 計算開銷性能

由于U智能設備的資源受限，要優(yōu)先考慮U端的計算開銷。表1為提出的協(xié)議和文獻[4]認證階段計算開銷的對比。

5 結(jié)語

基于在線/離線簽名設計高效的匿名認證協(xié)議，在離線階段預執(zhí)行部分計算以減少在線階段的計算量，在滿足基本安全性需求的基礎上用戶計算開銷和通信開銷都較小，同時在特殊情況下能揭示用戶的真實身份，滿足無線體域網(wǎng)醫(yī)療應用需求。

參考文獻：

[1] Zimmerman T G. Personal area networks： Near-field intra body communic-ateon[J].IBM System Journal， 1996， 35（3/4）：609-617.

[2] 鐘成，李興華，宋園園，馬建峰.無線網(wǎng)絡中基于共享密鑰的輕量級匿名認證協(xié)議[J].計算機學報，2018，41（05）：1157-1171.

[3] 張順，范鴻麗，仲紅，等.無線體域網(wǎng)中高效可撤銷的無證書遠程匿名認證協(xié)議[J].通信學報，2018，39（04）：100-111.

[4] 范鴻麗.無線體域網(wǎng)可追蹤的匿名認證協(xié)議[J].電腦知識與技術(shù)， 2020， 16 （34）：36-38.

[5] Addobea A A，Hou J，Li Q M.MHCOOS：an offline-online certificateless signature scheme for M-health devices[J].Security and Communication Networks，2020：7085623.

【通聯(lián)編輯：代影】9300B54E-E42E-4ED1-BD56-22189056A50C