基于生物特征的軀感網密鑰分發機制*

洪 田，鮑淑娣，張元亭，3

（1.中國科學院健康信息學重點實驗室，廣東深圳518055;2.中國科學院 深圳先進技術研究院，廣東深圳518055;3.香港中文大學生物醫學工程聯合研究中心，香港）

0 引言

軀域無線傳感器網絡（軀感網，body sensor network，BSN）是由穿戴于體表或植入于人體內部的小型化、低功耗的生物傳感器組成的無線傳感器網絡，主要應用于醫學健康領域，實現患者生理狀況的遠程監測和治療信息的及時反饋［1］。它不僅在老年人、新生兒、孕產婦、殘疾人和慢性疾病的家庭監護中有著廣闊的應用前景［2］，更重要的是為人們提供了一種以預防為主的網絡化、低成本、個性化的新型醫療服務模式，對于解決我國目前醫療資源短缺、看病難、看病貴的問題具有重要意義。

BSN中傳輸的數據多為患者生理信息，關系到個人的生命安全，其安全性和可靠性必須得到滿足，因此，必須對生理信息進行加密后傳輸。由于可用資源受到限制，BSN一般采用對稱式加密系統，其安全核心取決于對稱密鑰的安全分發。一種可行的方案是將生物特征識別與加密技術應用到BSN中以同時實現網內節點的身份認證與密鑰的安全分發［3］。該方法的基本思想可以描述為:由于人體具有自身的通信傳輸系統，如血液循環系統、神經系統等，從人體上不同位置的傳感器節點提取的同一生物特征具有高度的相似性，利用在一個節點提取的生物特征對密鑰加密保護，分發后，在另外一個節點利用提取的同一生物特征即可解密獲得密鑰。但是如何克服生物特征的模糊性與密碼技術的精確性之間的矛盾，文獻［4］提出的模糊承諾方法利用糾錯碼技術很好地解決了這一問題，但該方法有一個前提，即分別用來加密和解密密鑰的2個高度相似的生物特征編碼后的二進制序列的漢明距離必須在糾錯碼的可糾錯范圍之內。在此基礎上，文獻［5，6］證明心臟搏動間隔（inter-pulse interval，IPI）能夠作為生物特征實現節點認證和密鑰的安全分發。但該方案存在2個主要的問題:一是提取IPI信息的時間過長，提取64個IPI需要1 min左右的時間;二是生物特征的模糊性超出了糾錯碼的糾錯能力導致密鑰分發時的同網錯誤拒絕率還不夠理想。

本文針對以上2個問題，設計了新的基于IPI的BSN密鑰分發機制。

1 基于IPI的BSN密鑰分發機制

1.1 IPI信息的提取

IPI能夠從任意心血管信號中提取得到，例如:臨床常用的心電信號（electrocardiogram，ECG）和光電容積描記信號（photoplethysmogram，PPG）。圖1為同步采集的ECG和PPG信號，其中，IPI可由ECG和PPG的峰峰值得到。文獻［7］從混沌特性、隨機性、相似性等方面證明了IPI能夠作為生物特征實現傳感器節點認證和保密通信。與現在廣泛應用的指紋、人臉、虹膜等生物特征相比，IPI是動態時變的，因此，安全性更好;與文獻［8］提出的采用ECG作為生物特征的BSN加密方案相比，IPI能夠從多種傳感器中提取，而ECG只能從心電傳感器中提取，因此，IPI更適用于BSN。

圖1 從同步ECG和PPG信號中提取IPI示意圖Fig 1 IPI extracted from simultaneous ECG and PPG signals

1.2 個體識別碼生成方法

在提取IPI信息后，需要經過量化編碼轉換為二進制序列后才能夠用來進行傳感器節點識別和保護密鑰的分發，轉換后的二進制序列稱作個體識別碼（entity identifier，EI）。假設BSN內的每個節點都可以采集至少一種心血管信號，基于IPI的個體識別碼生成方案如圖2所示［7］。主節點首先發出一個同步指令，即表示所有節點同步采集心血管信號并進行EI的生成。每一個節點檢測記錄一段心血管信號，并計算各自的IPI，如果采樣率是1 kHz，則IPI是單位為ms的正整數，假設采集了L個IPI，記為{IPIi|1≤i≤L}。首先對這L個IPI進行連續累加計算

然后對累加IPI進行求模，即mIPIi（mod 2p），再對求模結果進行區間映射f:［0，2p）→［0，2q）

其中，floor函數表示返回最大整數。最后，為減少編碼誤差，進行格雷編碼后將其進行合并即得到EI

其中，Gray表示格雷編碼，‖表示串聯操作。

采用該方法生成的個體識別碼碼長n取決于IPI個數L和參數q，即n=L·q。例如:若L=64，q=4，則生成的個體識別碼的碼長為256。

圖2 個體識別碼生成框圖Fig 2 Block diagram of entity identifier generation

1.3 密鑰分發機制

BSN中的任意2個傳感器節點同步生成的個體識別碼并不完全相同，但是具有高度的相似性，其漢明距離很小，設定一個合適的漢明距離作為判別閾值，以使得同網匹配對EI的漢明距離在閾值之內，而異網非匹配對EI的漢明距離在閾值之外，從而實現對同網節點的認證和保護密鑰的安全分發。

模糊承諾方法（fuzzy commitment scheme）是Juels和Wattenberg提出來的一種用于綁定密鑰與生物特征的加密方法，該方法將糾錯碼技術與生物特征結合起來，用2個相近似的生物特征實現密鑰的承諾和解承諾，而不需要采用2個完全相同的生物特征即可實現密鑰的安全傳輸。本文采用基于IPI生成的個體識別碼，結合模糊承諾方法，設計了一種軀感網的密鑰分發機制，見圖3。將密鑰K表示為:K={0，1}k，密鑰K進行的糾錯編碼表示為g:K→C，g代表從密鑰到糾錯碼的映射，C={0，1}n代表相應的糾錯碼。發送節點與接收節點同步采集IPI，分別生成個體識別碼EI與EI'。EI經冗余編碼后得到冗余個體識別碼E^I，發送節點將E^I與C的異或結果以及C的單向哈希值發送出去。設hash（）表示單向哈希運算，則發送節點發送F（C，E^I）=（C⊕E^I，hash（C））。接收節點收到F（C，E^I）后，用同步生成的EI'經過冗余編碼后得到的E^I'來進行糾錯解碼（C'，K'）=f（E^I⊕（C⊕E^I）），其中，f代表糾錯解碼，C'表示解碼后的碼字，K'表示解碼后得到的密鑰。如果hash（C'）=hash（C），則K'為正確的密鑰，即K'=K;否則，解密失敗。

冗余編碼是重復利用個體識別碼中的部分或全部信息，以擴展個體識別碼的長度得到冗余個體識別碼，在這過程中信息熵并沒有變化，其目的是為了利用更少的IPI信息生成相同長度的冗余個體識別碼，以減少采集生理信號所需要的時間。發送節點和接收節點提取的個體識別碼各個比特出現不匹配的概率并不相同，當個體識別碼生成參數q=4時，經過實驗統計與理論分析發現，每個IPI對應生成的4 bit個體識別碼出現不匹配的概率比為1∶1∶2∶4，所以，在利用這些比特進行冗余編碼時，相應地將其權值設為4∶4∶2∶1，這樣經過冗余編碼后發送節點和接收節點的冗余個體識別碼的漢明距離將會減小很多，從而可以降低密鑰分發時的同網錯誤拒絕率。

圖3 兩個節點之間的密鑰分發框圖Fig 3 Block diagram of key distribution between two sensor nodes

2 實驗分析與性能評測

實驗同步采集了20位健康青年的1路ECG和1路PPG信號，采樣率為1 kHz，記錄時間持續5 min。并根據前述方法提取IPI信息，分別生成100對長度為255的個體識別碼和100對長度為255的冗余個體識別碼。在這里，對個體識別碼與冗余個體識別碼的性能進行比較分析，包括同網錯誤拒絕率/異網錯誤接收率、所需生理信號采集時間以及安全性能。

2.1 錯誤拒絕率/錯誤接收率

基于生物特征的密鑰分發存在兩類錯誤，即錯誤拒絕和錯誤接收。錯誤拒絕率（false rejection rate，FRR）是指當發送節點與接收節點為同網節點時，接收節點解密失敗而錯誤認為發送節點為異網節點的概率;錯誤接收率（false acceptance rate，FAR）指當發送節點與接收節點為異網節點時，接收節點解密出密鑰而錯誤認為發送節點為同網節點的概率。顯然，FRR和FAR越小越好。圖4（a）為實驗統計的255 bit個體識別碼的FRR和FAR隨漢明距離的變化曲線圖，圖4（b）為實驗統計的經冗余編碼后的255 bit冗余個體識別碼的FRR和FAR隨漢明距離的變化曲線圖。

圖4 FRR和FAR隨漢明距離的變化曲線圖Fig 4 Curves of FRR and FAR change with Hamming distance

由圖4（a）可以看出:對于255 bit的個體識別碼，若判別閾值設為 80～100，FRR 和 FAR 都很?。‵RR=0.02，FAR=0），能夠對同網和異網節點進行很好的區分，由圖4（b）可看出:經冗余編碼后的冗余個體識別碼，若判別閾值設為60～80，FRR 和 FAR 足夠?。‵RR ＜0.02，FAR=0），也能夠對同網和異網節點進行很好的區分，并且FRR更小。另外，冗余個體識別碼的判別閾值下降了20 bit，這是非常有意義的，因為判別閾值決定了糾錯碼可糾錯能力的選擇，最理想的情況就是選取判別閾值作為糾錯碼的可糾錯能力，所以，判別閾值下降20 bit，糾錯碼的可糾錯能力相應的也可以降低20bit。對于糾錯碼（n，k，t）（其中，n表示糾錯碼字的長度，k表示密鑰的長度，t為可糾錯能力）。當n一定時，t的減小將會帶來k的增大，即密鑰長度變大，系統的安全性將會呈指數增加，見2.3節分析。

2.2 提取IPI信息的時間

密鑰分發是在節點進行數據交互之前進行的，提取IPI信息時間的長短不會影響數據的實時交互，但卻會影響密鑰分發的速度。在實驗中需要255 bit的個體識別碼，如果直接采用IPI生成的個體識別碼，需要64個IPI，提取64個IPI需要約1 min的時間。而采用冗余編碼對每一個IPI生成的4 bit個體識別碼分別采用4，4，2，1的權值進行冗余擴展，255 bit的冗余個體識別碼只需要24個IPI，提取24個IPI只需要約24 s的時間，相比直接采用255 bit的個體識別碼，所需的IPI數目減少了40個，相應的IPI信息提取時間減少了36 s，這將很大程度上加快密鑰分發的速度。

2.3 安全性分析

有2個因素決定著加密系統的安全性:算法的強度和密鑰的長度。在本文的密鑰分發方案中，采用了異或運算和單向哈希運算，這2種運算有效地隱藏了密鑰信息，攻擊者發起攻擊的唯一方式就是竭盡全力搜索不同的密鑰組合，即暴力攻擊。在2.1節中提到，漢明閾值的下降能夠增大密鑰的長度，這樣就增大了攻擊者在暴力攻擊時需要搜索的密鑰組合，從而能夠提高系統的安全性。

基于IPI的BSN加密系統采用了密鑰和生物特征的雙因子加密方法，密鑰和由生物特征編碼后的個體識別碼中信息熵小的一方將決定系統的抗攻擊能力，根據Shannon信息熵的定義，二進制隨機序列x={0，1}n的信息熵

則密鑰K={0，1}k的信息熵

碼長為L·q的EI的信息熵

糾錯編碼和冗余編碼并不會改變信息熵，從抗攻擊能力來說，系統安全性將取決于密鑰和EI當中長度小的一方。所以，只要確保EI的長度大于密鑰的長度，冗余編碼的引入將不會影響系統的安全性，即

在實驗中，冗余編碼的引入使得提取的IPI數目由64降到24，EI的長度由255降到96，所以，在密鑰長度小于96時，系統的安全性將不會受影響。

對于長為96的密鑰，采用暴力攻擊需要搜索296個不同的密鑰組合，假設計算機在1 s內可以嘗試10億個密鑰，這需要3000臺計算機并行工作8億年才能夠找到正確的密鑰，對于攻擊者來說這是不可行的，所以，系統是安全的。

3 結束語

本文設計了一種基于生物特征IPI的BSN密鑰分發機制，將經過冗余編碼后的生物特征結合模糊承諾方法實現了BSN內密鑰的安全有效分發。實驗結果表明:該機制具有足夠的安全性，并且能夠有效提高密鑰分發的速度，降低密鑰分發時的錯誤拒絕率和漢明閾值。由于在不影響系統安全性的前提下引入了冗余編碼的設計，使得該機制在實際的BSN監護系統中更具有可行性。

［1］Lo B，Yang Guangzhong.Body sensor networks-research challenges and opportunities［C］//2007 IET Seminar on Antennas and Propagation for Body-Centric Wireless Communications，London，England，2007:26 －32.

［2］陳祝榮，劉守斌.基于無線傳感器網絡的多參數家庭監護系統［J］.傳感器與微系統，2009，28（2）:72 －74.

［3］Cherukuri S，Venkatasubramanian K K，Gupta S K S.Biosec:A biometric based approach for securing communication in wireless networks of biosensors implanted in the human body［C］//2003 International Conference on Wireless Security and Privacy，USA，2003:432－439.

［4］Juels A，Wattenberg M.A fuzzy commitment scheme［C］//Proceedings of the 6th ACM Conference on Computer and Communications Security，New York，USA，1999:28 －36.

［5］Bao Shudi，Zhang Yuanting，Shen Lianfeng.Physiological signal based entity authentication for body area sensor networks and mobile healthcare systems［C］//Proceedings of the 2005 IEEE 27th Annual Conference on Medicine and Biology，Shanghai，China，2005:2255－2258.

［6］Poon C C Y，Bao Shudi，Zhang Yuanting.A novel biometrics method to secure wireless body area sensor networks for telemedicine and m-health［J］.IEEE Communications Magazine，2006，44（4）:73－81.

［7］Bao Shudi，Poon C C Y，Zhang Yuanting，et al.Using the timing information of heartbeats as an entity identifier to secure body sensor network［J］.IEEE Transactions on Information Technology in Biomedicine，2008，12（6）:772 －779.

［8］Venkatasubramanian K K，Banerjee A，Gupta S K S.EKG-based key agreement in body sensor networks［C］//IEEE INFOCOM Workshops，USA，2008:1 －6.