基于生物特征的躯感网密钥分发机制*

洪 田，鲍淑娣，张元亭，3

（1.中国科学院健康信息学重点实验室，广东深圳518055;2.中国科学院 深圳先进技术研究院，广东深圳518055;3.香港中文大学生物医学工程联合研究中心，香港）

0 引言

躯域无线传感器网络（躯感网，body sensor network，BSN）是由穿戴于体表或植入于人体内部的小型化、低功耗的生物传感器组成的无线传感器网络，主要应用于医学健康领域，实现患者生理状况的远程监测和治疗信息的及时反馈［1］。它不仅在老年人、新生儿、孕产妇、残疾人和慢性疾病的家庭监护中有着广阔的应用前景［2］，更重要的是为人们提供了一种以预防为主的网络化、低成本、个性化的新型医疗服务模式，对于解决我国目前医疗资源短缺、看病难、看病贵的问题具有重要意义。

BSN中传输的数据多为患者生理信息，关系到个人的生命安全，其安全性和可靠性必须得到满足，因此，必须对生理信息进行加密后传输。由于可用资源受到限制，BSN一般采用对称式加密系统，其安全核心取决于对称密钥的安全分发。一种可行的方案是将生物特征识别与加密技术应用到BSN中以同时实现网内节点的身份认证与密钥的安全分发［3］。该方法的基本思想可以描述为:由于人体具有自身的通信传输系统，如血液循环系统、神经系统等，从人体上不同位置的传感器节点提取的同一生物特征具有高度的相似性，利用在一个节点提取的生物特征对密钥加密保护，分发后，在另外一个节点利用提取的同一生物特征即可解密获得密钥。但是如何克服生物特征的模糊性与密码技术的精确性之间的矛盾，文献［4］提出的模糊承诺方法利用纠错码技术很好地解决了这一问题，但该方法有一个前提，即分别用来加密和解密密钥的2个高度相似的生物特征编码后的二进制序列的汉明距离必须在纠错码的可纠错范围之内。在此基础上，文献［5，6］证明心脏搏动间隔（inter-pulse interval，IPI）能够作为生物特征实现节点认证和密钥的安全分发。但该方案存在2个主要的问题:一是提取IPI信息的时间过长，提取64个IPI需要1 min左右的时间;二是生物特征的模糊性超出了纠错码的纠错能力导致密钥分发时的同网错误拒绝率还不够理想。

本文针对以上2个问题，设计了新的基于IPI的BSN密钥分发机制。

1 基于IPI的BSN密钥分发机制

1.1 IPI信息的提取

IPI能够从任意心血管信号中提取得到，例如:临床常用的心电信号（electrocardiogram，ECG）和光电容积描记信号（photoplethysmogram，PPG）。图1为同步采集的ECG和PPG信号，其中，IPI可由ECG和PPG的峰峰值得到。文献［7］从混沌特性、随机性、相似性等方面证明了IPI能够作为生物特征实现传感器节点认证和保密通信。与现在广泛应用的指纹、人脸、虹膜等生物特征相比，IPI是动态时变的，因此，安全性更好;与文献［8］提出的采用ECG作为生物特征的BSN加密方案相比，IPI能够从多种传感器中提取，而ECG只能从心电传感器中提取，因此，IPI更适用于BSN。

图1 从同步ECG和PPG信号中提取IPI示意图Fig 1 IPI extracted from simultaneous ECG and PPG signals

1.2 个体识别码生成方法

在提取IPI信息后，需要经过量化编码转换为二进制序列后才能够用来进行传感器节点识别和保护密钥的分发，转换后的二进制序列称作个体识别码（entity identifier，EI）。假设BSN内的每个节点都可以采集至少一种心血管信号，基于IPI的个体识别码生成方案如图2所示［7］。主节点首先发出一个同步指令，即表示所有节点同步采集心血管信号并进行EI的生成。每一个节点检测记录一段心血管信号，并计算各自的IPI，如果采样率是1 kHz，则IPI是单位为ms的正整数，假设采集了L个IPI，记为{IPIi|1≤i≤L}。首先对这L个IPI进行连续累加计算

然后对累加IPI进行求模，即mIPIi（mod 2p），再对求模结果进行区间映射f:［0，2p）→［0，2q）

其中，floor函数表示返回最大整数。最后，为减少编码误差，进行格雷编码后将其进行合并即得到EI

其中，Gray表示格雷编码，‖表示串联操作。

采用该方法生成的个体识别码码长n取决于IPI个数L和参数q，即n=L·q。例如:若L=64，q=4，则生成的个体识别码的码长为256。

图2 个体识别码生成框图Fig 2 Block diagram of entity identifier generation

1.3 密钥分发机制

BSN中的任意2个传感器节点同步生成的个体识别码并不完全相同，但是具有高度的相似性，其汉明距离很小，设定一个合适的汉明距离作为判别阈值，以使得同网匹配对EI的汉明距离在阈值之内，而异网非匹配对EI的汉明距离在阈值之外，从而实现对同网节点的认证和保护密钥的安全分发。

模糊承诺方法（fuzzy commitment scheme）是Juels和Wattenberg提出来的一种用于绑定密钥与生物特征的加密方法，该方法将纠错码技术与生物特征结合起来，用2个相近似的生物特征实现密钥的承诺和解承诺，而不需要采用2个完全相同的生物特征即可实现密钥的安全传输。本文采用基于IPI生成的个体识别码，结合模糊承诺方法，设计了一种躯感网的密钥分发机制，见图3。将密钥K表示为:K={0，1}k，密钥K进行的纠错编码表示为g:K→C，g代表从密钥到纠错码的映射，C={0，1}n代表相应的纠错码。发送节点与接收节点同步采集IPI，分别生成个体识别码EI与EI'。EI经冗余编码后得到冗余个体识别码E^I，发送节点将E^I与C的异或结果以及C的单向哈希值发送出去。设hash（）表示单向哈希运算，则发送节点发送F（C，E^I）=（C⊕E^I，hash（C））。接收节点收到F（C，E^I）后，用同步生成的EI'经过冗余编码后得到的E^I'来进行纠错解码（C'，K'）=f（E^I⊕（C⊕E^I）），其中，f代表纠错解码，C'表示解码后的码字，K'表示解码后得到的密钥。如果hash（C'）=hash（C），则K'为正确的密钥，即K'=K;否则，解密失败。

冗余编码是重复利用个体识别码中的部分或全部信息，以扩展个体识别码的长度得到冗余个体识别码，在这过程中信息熵并没有变化，其目的是为了利用更少的IPI信息生成相同长度的冗余个体识别码，以减少采集生理信号所需要的时间。发送节点和接收节点提取的个体识别码各个比特出现不匹配的概率并不相同，当个体识别码生成参数q=4时，经过实验统计与理论分析发现，每个IPI对应生成的4 bit个体识别码出现不匹配的概率比为1∶1∶2∶4，所以，在利用这些比特进行冗余编码时，相应地将其权值设为4∶4∶2∶1，这样经过冗余编码后发送节点和接收节点的冗余个体识别码的汉明距离将会减小很多，从而可以降低密钥分发时的同网错误拒绝率。

图3 两个节点之间的密钥分发框图Fig 3 Block diagram of key distribution between two sensor nodes

2 实验分析与性能评测

实验同步采集了20位健康青年的1路ECG和1路PPG信号，采样率为1 kHz，记录时间持续5 min。并根据前述方法提取IPI信息，分别生成100对长度为255的个体识别码和100对长度为255的冗余个体识别码。在这里，对个体识别码与冗余个体识别码的性能进行比较分析，包括同网错误拒绝率/异网错误接收率、所需生理信号采集时间以及安全性能。

2.1 错误拒绝率/错误接收率

基于生物特征的密钥分发存在两类错误，即错误拒绝和错误接收。错误拒绝率（false rejection rate，FRR）是指当发送节点与接收节点为同网节点时，接收节点解密失败而错误认为发送节点为异网节点的概率;错误接收率（false acceptance rate，FAR）指当发送节点与接收节点为异网节点时，接收节点解密出密钥而错误认为发送节点为同网节点的概率。显然，FRR和FAR越小越好。图4（a）为实验统计的255 bit个体识别码的FRR和FAR随汉明距离的变化曲线图，图4（b）为实验统计的经冗余编码后的255 bit冗余个体识别码的FRR和FAR随汉明距离的变化曲线图。

图4 FRR和FAR随汉明距离的变化曲线图Fig 4 Curves of FRR and FAR change with Hamming distance

由图4（a）可以看出:对于255 bit的个体识别码，若判别阈值设为 80～100，FRR 和 FAR 都很小（FRR=0.02，FAR=0），能够对同网和异网节点进行很好的区分，由图4（b）可看出:经冗余编码后的冗余个体识别码，若判别阈值设为60～80，FRR 和 FAR 足够小（FRR ＜0.02，FAR=0），也能够对同网和异网节点进行很好的区分，并且FRR更小。另外，冗余个体识别码的判别阈值下降了20 bit，这是非常有意义的，因为判别阈值决定了纠错码可纠错能力的选择，最理想的情况就是选取判别阈值作为纠错码的可纠错能力，所以，判别阈值下降20 bit，纠错码的可纠错能力相应的也可以降低20bit。对于纠错码（n，k，t）（其中，n表示纠错码字的长度，k表示密钥的长度，t为可纠错能力）。当n一定时，t的减小将会带来k的增大，即密钥长度变大，系统的安全性将会呈指数增加，见2.3节分析。

2.2 提取IPI信息的时间

密钥分发是在节点进行数据交互之前进行的，提取IPI信息时间的长短不会影响数据的实时交互，但却会影响密钥分发的速度。在实验中需要255 bit的个体识别码，如果直接采用IPI生成的个体识别码，需要64个IPI，提取64个IPI需要约1 min的时间。而采用冗余编码对每一个IPI生成的4 bit个体识别码分别采用4，4，2，1的权值进行冗余扩展，255 bit的冗余个体识别码只需要24个IPI，提取24个IPI只需要约24 s的时间，相比直接采用255 bit的个体识别码，所需的IPI数目减少了40个，相应的IPI信息提取时间减少了36 s，这将很大程度上加快密钥分发的速度。

2.3 安全性分析

有2个因素决定着加密系统的安全性:算法的强度和密钥的长度。在本文的密钥分发方案中，采用了异或运算和单向哈希运算，这2种运算有效地隐藏了密钥信息，攻击者发起攻击的唯一方式就是竭尽全力搜索不同的密钥组合，即暴力攻击。在2.1节中提到，汉明阈值的下降能够增大密钥的长度，这样就增大了攻击者在暴力攻击时需要搜索的密钥组合，从而能够提高系统的安全性。

基于IPI的BSN加密系统采用了密钥和生物特征的双因子加密方法，密钥和由生物特征编码后的个体识别码中信息熵小的一方将决定系统的抗攻击能力，根据Shannon信息熵的定义，二进制随机序列x={0，1}n的信息熵

则密钥K={0，1}k的信息熵

码长为L·q的EI的信息熵

纠错编码和冗余编码并不会改变信息熵，从抗攻击能力来说，系统安全性将取决于密钥和EI当中长度小的一方。所以，只要确保EI的长度大于密钥的长度，冗余编码的引入将不会影响系统的安全性，即

在实验中，冗余编码的引入使得提取的IPI数目由64降到24，EI的长度由255降到96，所以，在密钥长度小于96时，系统的安全性将不会受影响。

对于长为96的密钥，采用暴力攻击需要搜索296个不同的密钥组合，假设计算机在1 s内可以尝试10亿个密钥，这需要3000台计算机并行工作8亿年才能够找到正确的密钥，对于攻击者来说这是不可行的，所以，系统是安全的。

3 结束语

本文设计了一种基于生物特征IPI的BSN密钥分发机制，将经过冗余编码后的生物特征结合模糊承诺方法实现了BSN内密钥的安全有效分发。实验结果表明:该机制具有足够的安全性，并且能够有效提高密钥分发的速度，降低密钥分发时的错误拒绝率和汉明阈值。由于在不影响系统安全性的前提下引入了冗余编码的设计，使得该机制在实际的BSN监护系统中更具有可行性。

［1］Lo B，Yang Guangzhong.Body sensor networks-research challenges and opportunities［C］//2007 IET Seminar on Antennas and Propagation for Body-Centric Wireless Communications，London，England，2007:26 －32.

［2］陈祝荣，刘守斌.基于无线传感器网络的多参数家庭监护系统［J］.传感器与微系统，2009，28（2）:72 －74.

［3］Cherukuri S，Venkatasubramanian K K，Gupta S K S.Biosec:A biometric based approach for securing communication in wireless networks of biosensors implanted in the human body［C］//2003 International Conference on Wireless Security and Privacy，USA，2003:432－439.

［4］Juels A，Wattenberg M.A fuzzy commitment scheme［C］//Proceedings of the 6th ACM Conference on Computer and Communications Security，New York，USA，1999:28 －36.

［5］Bao Shudi，Zhang Yuanting，Shen Lianfeng.Physiological signal based entity authentication for body area sensor networks and mobile healthcare systems［C］//Proceedings of the 2005 IEEE 27th Annual Conference on Medicine and Biology，Shanghai，China，2005:2255－2258.

［6］Poon C C Y，Bao Shudi，Zhang Yuanting.A novel biometrics method to secure wireless body area sensor networks for telemedicine and m-health［J］.IEEE Communications Magazine，2006，44（4）:73－81.

［7］Bao Shudi，Poon C C Y，Zhang Yuanting，et al.Using the timing information of heartbeats as an entity identifier to secure body sensor network［J］.IEEE Transactions on Information Technology in Biomedicine，2008，12（6）:772 －779.

［8］Venkatasubramanian K K，Banerjee A，Gupta S K S.EKG-based key agreement in body sensor networks［C］//IEEE INFOCOM Workshops，USA，2008:1 －6.