CN110418338A - 可植入医疗设备的轻量级rfid无线认证协议及其系统 - Google Patents

Abstract

本发明公开了一种可植入医疗设备的轻量级RFID无线认证协议及其系统，所述系统包括区块链，所述区块链分别与区块链云仓库以及异构数据库通讯连接，所述异构数据库与用户认证层通讯连接。该系统调用上述协议并在区块链上写入所有事件的记录，该系统通过向患者和医疗程序人员发送通知来支持实时患者监测和医疗干预，同时还保存活动发起者的安全记录。本发明通过完善区块链系统模型，保证医疗数据的安全性和隐私性，实现了医生端、检验端、科研机构端和患者端的数据的安全共享。

Description

可植入医疗设备的轻量级RFID无线认证协议及其系统

技术领域

本发明涉及一种可植入医疗设备的轻量级RFID无线认证协议及其系统，属于信息安全认证技术领域。

背景技术

以往的研究使用集中式数据库的RFID系统标记、扫描患者的医疗信息添加到数据库中，以便开始追踪定位及时反馈患者随访的生理信号信息。但是这样的系统不具有可伸缩性，将这些同步信息共享反馈给医生比较困难。

发明内容

本发明所要解决的技术问题是，提供一种通过完善区块链系统模型，保证医疗数据的安全性和隐私性的可植入医疗设备的轻量级RFID无线认证协议。

同时，本发明提供一种使用本发明的可植入医疗设备的轻量级RFID无线认证协议的系统，实现了医生端、检验端、科研机构端和患者端的数据的安全共享。

为解决上述技术问题，本发明采用的技术方案为：

可植入医疗设备的轻量级RFID无线认证协议，包括紧急模式下的互认证协议，紧急模式下的互认证协议包括如下步骤：

第一步，读卡器向WISP发送同步请求，紧急模式启动；同步请求中包含读卡器生成的随机数N_R，读卡器的标识ID_R，以及设置为1的一位标志flag；flag是1-bit，设置为1表示使用紧急模式完成本协议认证；计算A＝N_R⊕ID_R；读卡器发送第一次响应消息M₁＝<N_R,A,flag>给WISP；

其中，A代表使用N_R加密ID_R的信息；

第二步，WISP在接收到读卡器发来的响应消息后，比较ID_R，如果ID_R≠A⊕N_R，那么终止进程；否则创建库V＝RandPermute(F_W∪F′_W)；WISP将库V中的信息M₂发送给读卡器；

其中，F_W代表WISP端记录的特征向量，WISP获得特征向量F_W后，生成一组随机点，表示为F'_W，F'_W与F_W的范围相同；库V将生成的随机点F'_W与计算得到的特征向量F_W随机转置，这样F'_W与F_W就无法区分；

第三步，读卡器接收到库V时，用读卡器所计算得到的特征向量F_R与库V中的每一个点进行比较，如果存在库V中的点满足条件则认为读卡器和标签相互匹配；使用匹配特征集Q和索引集I进行匹配；读卡器端计算生物识别密钥K_bio,K_bio＝H(Q||N_R)，读卡器将单项散列函数HMAC应用于匹配特征集Q和索引集I；并将以下消息发送回WISP：M₃＝<I,HMAC(K_bio,I|Q|ID_R)>；

其中，代表读卡器记录的特征向量F_R的第i个值；HMAC(.)代表基于哈希的消息认证码；

第四步，WISP接收到读卡器在第三步发来的消息后，计算WISP端生物识别密钥K′_bio；WISP首先根据I中的一组索引来识别一组匹配特征集Q；如果该匹配特征集中的匹配特征的数量超过预定义的阈值 Th_CF，则WISP计算K′_bio＝H(Q||N_R)；之后，WISP验证WISP计算出的生物特征密钥K′_bio是否与读卡器计算的生物特征密钥K_bio相同，即是否K′_bio＝K_bio；并在I|Q|ID_R上应用基于哈希的消息认证码HMAC(.)函数，验证所获得的值是否等于第三步中所接收消息的第二部分，即是否HMAC(K′_bio,I|Q|ID_R)＝HMAC(K_bio, I|Q|ID_R)；如果验证成功，则生成随机数N_W，并计算主密钥K，K＝H(K_bio|N_W)；还将第一个会话密钥K’设置成K’＝H(K|N_W)；之后，WISP发送响应消息M₄给读卡器，M₄发送的响应消息内容记做S1，S1＝HMAC(K_bio,N_R|N_W|ID_W)；

M₄＝<{N_W,(B＝N_W⊕ID_W)}_Kbio,HMAC(K_bio,N_R|N_W|ID_W)>；

其中K具有对称密码函数功能；ID_W代表标签的标识；预定义的阈值Th_CF为F_R设定的特征值；

第五步，读卡器接收到WISP发送回的M₄后，比较读卡器端的生物识别密钥K_bio和标签端的生物识别密钥K_bio，如果K_bio读卡器＝K_bio标签，那么获取N_W和ID_W的值，并计算S2＝HMAC(K_bio,N_R|N_W|ID_W)；

如果S2＝S1，那么计算主密钥K和会话密钥K’，其中K＝H(K_bio|N_W)，K’＝H(K|N_W)；并发送响应消息M₅给WISP，M₅＝<Seq₁,HMAC(K’,N_W|Seq₁)>；

其中，Seq₁代表第一个序列号；

第六步，基于接收到的HMAC，WISP验证两侧，即WISP和读卡器计算的会话密钥K’的相等性，如果两侧计算的会话密钥K’是相等，WISP在双端口存储器记录一个请求<K’，Seq₁>来唤醒IMD天线；当IMD检测到请求时，开始收集会话密钥K’，第一个序列号Seq₁，并使用它们启动与程序员的安全数据交换。

可植入医疗设备的轻量级RFID无线认证协议，还包括常规模式下的互认证协议，常规模式下的互认证协议包括如下步骤：

第一步，读卡器生成随机数N_R，读卡器标识ID_R，以及设置为0的一位标志flag；设置为0表示使用常规模式完成本协议认证；计算A＝ID_R⊕N_R，常规主密钥K_常规＝H(N_R|ID_R)；读卡器发送第一次响应消息M′₁＝<N_R,A,flag,HMAC(K_常规,N_R|ID_R)>给WISP，WISP收到M′₁后，计算ID_R＝A⊕N_R，并验证常规主密钥K_常规是否过期，并检查已从常规主密钥K_常规派生的常规会话密钥数是否超过预定义的阈值Th_CF；t 代表当前时间与常规主密钥K_常规生成时间差，T代表常规主密钥K_常规使用期限，如果t<T，那么常规主密钥K_常规未过期，接收访问；如果t≥T，则常规主密钥K_常规过期，拒绝访问；

第二步，WISP认证成功后，生成一个随机数N_W；计算出常规会话密钥K’_常规＝H(K_常规|N_W)，B＝ID_W⊕N_W；发送第二次响应消息HMAC(K_常规,N_R|N_W|ID_W)>给读卡器；并计算S1＝ HMAC(K_常规,N_R|N_W|ID_W)；

第三步，读卡器接收到这条消息后，通过常规主密钥K_常规开始对消息的第一部分进行解析得到Nbr， N_W和ID_W；并计算S2＝HMAC(K_常规,N_R|N_W|ID_W)；如果S2＝S1，那么消息真实；并计算常规会话密钥K’_常规＝ H(K_常规|N_W)；发送第三次响应消息M′₃＝<Seq₁,HMAC(K’_常规,N_W|Seq₁)>给WISP；

第四步，基于HMAC值，WISP验证消息的时效性以及两边计算的常规会话密钥的相等性；成功验证之后，计算Nbr’，Nbr’＝Nbr+1；然后WISP在双端口存储器中记录一个请求<K’_常规,Seq₁,Nbr>以唤醒IMD天线；当IMD检测到请求时，开始收集常规会话密钥K’_常规，第一个序列号Seq₁，并使用它们启动与程序员的安全数据交换；

其中，Nbr’代表递增的Nbr；Nbr代表从常规主密钥K_常规派生的常规会话密钥K’_常规的总数。

可植入医疗设备的轻量级RFID无线认证协议的系统，该系统调用上述协议并在区块链上写入所有事件的记录，该系统通过向患者和医疗程序人员发送通知来支持实时患者监测和医疗干预，同时还保存活动发起者的安全记录。

所述系统包括区块链，所述区块链分别与区块链云仓库以及异构数据库通讯连接，所述异构数据库与用户认证层通讯连接。

所述用户认证层包括医生端、检验端、科研机构端和患者端。

所述异构数据库包括患者住院ID数据库，患者的医学信号数据库和患者的医学图像数据库。

所述患者的医学信号数据库包括心率。

所述患者的医学图像数据库包括磁共振成像图和心电图。

所述区块链通过不同的协议把电子医疗记录中的患者住院ID与合约地址、数据指针、访问权限、提供者ID联系起来，病历记录提供者可以修改数据，但需要征得患者的同意，患者可以分配访问病历数据的权限。

所述区块链上设置有个人信用行为信息，个人信用行为信息加密使用两个密钥，即公钥和私钥，个人信用行为信息使用公钥加密后，只能使用相应的私钥才可以解密，反之，如果私钥用于加密，则只能使用相应的公钥才能解密。本发明的有益效果是：

因为现有技术中基于紧急模式或常规模式下的认证协议采用明文传递读卡器ID会造成隐私泄露，生物特征密钥通过哈希函数计算H(Q)求得，生物特征密钥易被攻破。

明文泄露攻击：ID_R所携带的信息即是当前读卡器的标识，原协议第一步在执行过程中直接明文发送 ID_R会带来隐私泄露的问题，本发明的解决方法是将读卡器生成的随机数N_R与ID_R进行异或操作，对读卡器的标识进行加密操作，封装原读卡器标识并以A代替。以后再执行相同操作时A的值将不再固定，有效解决明文泄露问题。

追踪攻击：原始协议中的追踪攻击分为三个阶段：

1)测试阶段：攻击者选择目的标签T^*，然后开始监视第一轮过程(¹M₁,¹M₂,¹M₃,¹M₄),获得输出密钥(¹ID_R,¹ID_W)；

2)追踪攻击阶段：我们假设标签设置为(,,……,)，其中包含目的标签，以及假标签T’。攻击再一次进行第二轮监视，得到输出密钥(²ID_R,²ID_W)；

3)决策阶段，攻击者获得(¹ID_R,¹ID_W)和(²ID_R,²ID_W)。如果(¹ID_R,¹ID_W)≠(²ID_R,²ID_W)，攻击者证实标签不是T’，如果两者的值相等，攻击者不能确保是目的标签还是T’。因此，现有技术中的协议不满足弱不可分辨的性质，容易遭受追踪攻击。

本发明的解决追踪攻击的方法:

A代表使用N_R异或加密ID_R的信息(A＝N_R⊕ID_R)，防止明文传递ID_R；

B代表使用N_W异或加密ID_W的信息(B＝N_W⊕ID_W)，防止明文传递ID_W。

本发明提供的可植入医疗设备的轻量级RFID无线认证协议的系统，实现了医生端、检验端、科研机构端和患者端的数据的安全共享。

附图说明

图1是本发明在紧急模式下的认证协议图；

图2是本发明在常规模式下的认证协议图；

图3为本发明的系统图；

图4为发明的系统工作流程图。

具体实施方式

下面结合附图对本发明作更进一步的说明。

区块链技术作为一种新型的分布式分散替代技术正在迅速崛起，它提供了更高的数据保护、可靠性、不变性、透明性和更低的管理成本。如产品状态之间的不同各方与自己的中央数据库或增加更多的合作伙伴的供应链生态系统变得非常困难。此外，医院，医疗机构，研究机构和患者之间采用有智能合约来共享收集医疗数据。

慢性疾病患者使用可植入医疗设备(IMD)用于植入患者体内用于持续监测患者的生理参数，由医疗保健专业人员使用外部编程器无线配置IMD。针对无线网络远程访问IMD出现的安全问题，首先对威胁IMD 的攻击进行分类，然后引入扩展的基于区块链技术的IMD架构射频识别(RFID)系统，IMD和程序员之间生成和分配主密钥。协议实现了常规模式和紧急模式。程序员启动常规模式，程序员与IMD共享秘钥。

紧急模式在以下三种情况下启动：

1)程序员不与IMD共享凭据。这种情况发生在程序员第一次尝试访问IMD时；

2)由于其严重的健康状况，患者无法传达共享凭证；

3)配置的凭据已过期(共享密钥超出其有效期，或者已充分用于派生会话密钥)。

分布式区块链技术保证了更高的数据保护、可靠性、不变性、透明性和更低的管理成本。将RFID 和区块链技术融合可以很好的提高医疗系统供应链管理系统管理的效率。本项目提出了医疗系统的基于区块链的可扩展的认证RFID协议。使用传统安全分析方法证明新协议在密钥公开、重放、中间人、反同步和追踪攻击方面是安全的。新设计的两个协议在存储、计算和通信成本方面被证明是有效的。通过完善区块链系统的模型，进一步保证医疗数据的安全性和隐私性。

区块链有利于解决医学数据收集存储交易过程中产生的各种安全存储，不信任问题。因为区块链完整记录了医学数据收集存储交易过程中的所有数据往来，且这些信息在全网达成了共识，不可篡改。区块链可以利用智能合约来帮助电子交易快速顺利的完成，整个交易过程不需人工监督就可以自动顺利的按照预定的程序走下去，且安全准确，不会出错，也不会中断执行，对医疗数据交易细节进行全程可信溯源追踪，防止假冒伪劣问题。

区块链在医疗发展中通过使用设备、用品、病人护理、实验室结果的唯一标识符，以及时间和地理位置戳，可以快速、准确地展示所执行的服务和所取得的进展。医学领域的应用包括电子健康记录、健康保险、生物医学研究、药物供应和采购流程以及医学教育。

基于区块链技术的可植入医疗设备的RFID协议方法，包括紧急模式下的互认证协议方法，紧急模式下的互认证协议方法包括如下步骤：

第一步，读卡器向WISP发送同步请求，紧急模式启动；同步请求中包含读卡器生成的随机数N_R，读卡器的标识ID_R，以及设置为1的一位标志flag；flag是1-bit，设置为1表示使用紧急模式完成本协议认证；

第二步，WISP在接收到读卡器发来的同步请求时，WISP和读卡器开始对患者身体的ECG信号进行采样以分别计算读卡器记录的特征向量F_R和WISP端记录的特征向量F_W；WISP获得特征向量F_W后，生成一组随机点，表示为F_W’，F_W’与F_W的范围相同；为了形成库V，将生成的随机点F_W’与计算得到的特征向量F_W随机转置，即V＝RandPermute(F_W∪F_W’)，这样F_W’与F_W就无法区分；之后，WISP将库V发送给读卡器；

第三步，读卡器接收到库V时，用读卡器所计算得到的特征向量F_R与库V中的每一个点进行比较，基于一个预定义的阈值Th_CF；如果存在库V中的点满足条件则认为彼此相互匹配；如果和之间的差小于Th_CF，即，则认为彼此相互匹配；匹配特征及其索引分为两组集合，分别为匹配特征集Q和索引集I,使用匹配特征集Q和索引集I进行匹配,匹配特征集Q和索引集I 分别是系统提前预先存储的,；计算生物识别密钥K_bio,计算公式为K_bio＝H(Q)，读卡器将单项散列函数 HMAC应用于匹配特征集和索引集，并将以下消息发送回WISP：

<ID_R,I,HMAC(K_bio,I|Q|ID_R)>；

其中，Th_CF为F_R设定的特征值；代表读卡器记录的特征向量F_R的第i个值；代表WISP端的特征向量F_W的第j个值；HMAC(.)代表基于哈希的消息认证码；

第四步，WISP接收到读卡器在第三步发来的消息后，计算出相同的生物识别密钥K_bio；为了能够计算出相同的生物识别密钥K_bio，WISP首先根据I中的一组索引来识别一组匹配特征集Q；如果该匹配特征集中的匹配特征的数量超过预定义的阈值Th_CF，则WISP计算K′_bio＝H(Q)；之后，WISP验证WISP计算出的生物特征密钥K′_bio是否与读卡器计算的生物特征密钥相同，即K′_bio＝K_bio；并在I|Q|ID_R上应用基于哈希的消息认证码HMAC(.)函数，验证所获得的值是否等于第三步中所接收消息的第二部分，即， HMAC(K_bio,I|Q|ID_R)；如果生物识别密钥验证成功，则会生成随机的数N_W，并计算主密钥K，K＝H(K_bio|N_W)；还将第一个会话密钥K’设置成K’＝H(K|N_W)；之后，WISP通过发送以下信息来确认读卡器：

<{N_W,ID_W}_Kbio,HMAC(K_bio,N_R|N_W|ID_W)>；

其中K具有对称密码函数功能；ID_W代表标签的标识；

第五步，为了确定N_W和ID_W，读卡器使用第三步计算的K_bio解密消息的第一部分，即ID_R,I；然后，通过在N_R|N_W|ID_W上应用基于哈希的消息认证码HMAC(.)函数来检查N_W和ID_W的真实性，并将检查结果与接收到的消息的第二部分，即HMAC(K_bio,I|Q|ID_R)进行比较；如果它们相等，读卡器计算主密钥K＝H (K_bio|N_W)和会话密钥K’＝H(K|N_W)，随后读卡器发送两条消息，第一条消息<Seq₁,HMAC(K’,N_W|seq₁)> 发送到WISP，第二条消息<K’,Seq₁>发送到读卡器，读卡器将会话密钥K’和第一个序列号Seq₁告知程序员，用于通信数据使用；

第六步，基于接收到的HMAC，WISP验证两侧，即WISP和读卡器，计算会话密钥K’的相等性；如果两侧计算的会话密钥K’是相等的，WISP在双端口存储器记录一个请求来唤醒IMD天线；该请求包含会话密钥K’和第一个序列号Seq₁；当检测到这样的更新时，IMD收集会话密钥和相关的序列号，以在启动与程序员的安全通信时使用它们，以使IMD和程序员之间建立安全通信；IMD为可植入医疗设备。

上述原始协议主要存在以下问题，并提出相应的解决方案：

1.前向追踪攻击问题：假设攻击者破解Q并且知道协议采用的哈希计算函数H，攻击者自己可以计算生物特征密钥K′_bio，通过哈希函数计算H(Q)求得，下一轮的生物特征密钥K′_bio可以被攻击者计算出来而破解出生物特征密钥K′_bio。

本发明的解决前向追踪攻击问题的方法:WISP使用随机数N_R来计算生物特征密钥K′_bio＝H(Q||N_R)，使得下一轮的生物特征密钥具有随机性，攻击者不能破解出生物特征密钥K′_bio。

2.明文密钥泄露攻击：ID_R所携带的信息即是当前读卡器的标识，原协议第一步在执行过程中直接明文发送ID_R会带来隐私泄露的问题。

本发明的解决明文泄露攻击的方法:将读卡器生成的随机数N_R与ID_R进行异或操作，对读卡器的标识进行加密操作，封装原读卡器标识并以A代替。以后再执行相同操作时A的值将不再固定，有效解决明文泄露问题。

3.追踪攻击：

原始协议中的追踪攻击分为三个阶段：

1)测试阶段：攻击者选择目的标签¹T，然后开始监视第一轮过程(¹M₁,¹M₂,¹M₃,¹M₄),获得输出密钥 (¹ID_R,¹ID_W)；

2)追踪攻击第二轮监听阶段：我们假设n个标签集合设置为(¹T,²T,……,ⁿT)，其中包含目的标签¹T，以及假冒标签²T。攻击再一次进行第二轮监视，得到输出密钥(²ID_R,²ID_W)；

3)决策阶段：攻击者获得(¹ID_R,¹ID_W)和(²ID_R,²ID_W)。如果(¹ID_R,¹ID_W)≠(²ID_R,²ID_W)，攻击者证实目标标签¹T不是假冒标签²T；如果两者的值相等(¹ID_R,¹ID_W)＝(²ID_R,²ID_W)，攻击者可以一概判断目标标签¹T就是假冒标签²T。因此原始协议不满足弱不可分辨的性质，容易遭受追踪攻击。

本发明的解决追踪攻击的方法:

A代表使用N_R异或加密ID_R的信息(A＝N_R⊕ID_R)，防止明文传递ID_R；

B代表使用N_W异或加密ID_W的信息(B＝N_W⊕ID_W)，防止明文传递ID_W。

本发明重新设计的协议采用以下技术解决上述问题，如图1所示，可植入医疗设备的轻量级RFID 无线认证协议，包括紧急模式下的互认证协议，紧急模式下的互认证协议包括如下步骤：

第一步，读卡器向WISP发送同步请求，紧急模式启动；同步请求中包含读卡器生成的随机数N_R，读卡器的标识ID_R，以及设置为1的一位标志flag；flag是1-bit，设置为1表示使用紧急模式完成本协议认证；计算A＝N_R⊕ID_R；读卡器发送第一次响应消息M₁＝<N_R,A,flag>给WISP；

其中，A代表使用N_R加密ID_R的信息；

第二步，WISP在接收到读卡器发来的响应消息后，比较ID_R，如果ID_R≠A⊕N_R，那么终止进程；否则创建库V＝RandPermute(F_W∪F′_W)；WISP将库V中的信息M₂发送给读卡器；

其中，F_W代表WISP端记录的特征向量，WISP获得特征向量F_W后，生成一组随机点，表示为F'_W，F'_W与F_W的范围相同；库V将生成的随机点F'_W与计算得到的特征向量F_W随机转置，这样F'_W与F_W就无法区分；

第三步，读卡器接收到库V时，用读卡器所计算得到的特征向量F_R与库V中的每一个点进行比较，如果存在库V中的点满足条件则认为读卡器和标签相互匹配；使用匹配特征集Q和索引集I进行匹配；匹配特征集Q和索引集I分别是系统提前预先存储的,读卡器端计算生物识别密钥K_bio, K_bio＝H(Q||N_R)，读卡器将单项散列函数HMAC应用于匹配特征集Q和索引集I；并将以下消息发送回WISP： M₃＝<I,HMAC(K_bio,I|Q|ID_R)>；

其中，代表读卡器记录的特征向量F_R的第i个值；HMAC(.)代表基于哈希的消息认证码；

第四步，WISP接收到读卡器在第三步发来的消息后，计算WISP端生物识别密钥K′_bio；WISP首先根据I中的一组索引来识别一组匹配特征集Q；如果该匹配特征集中的匹配特征的数量超过预定义的阈值 Th_CF，则WISP计算K′_bio＝H(Q||N_R)；之后，WISP验证WISP计算出的生物特征密钥K′_bio是否与读卡器计算的生物特征密钥K_bio相同，即是否K′_bio＝K_bio；并在I|Q|ID_R上应用基于哈希的消息认证码HMAC(.)函数，验证所获得的值是否等于第三步中所接收消息的第二部分，即是否HMAC(K′_bio,I|Q|ID_R)＝HMAC(K_bio, I|Q|ID_R)；如果验证成功，则生成随机数N_W，并计算主密钥K，K＝H(K_bio|N_W)；还将第一个会话密钥K’设置成K’＝H(K|N_W)；之后，WISP发送响应消息M₄给读卡器，M₄发送的响应消息内容记做S1，S1＝HMAC(K_bio,N_R|N_W|ID_W)；

M₄＝<{N_W,(D＝N_W⊕ID_W)}_Kbio,HMAC(K_bio,N_R|N_W|ID_W)>；

其中K具有对称密码函数功能；ID_W代表标签的标识；预定义的阈值Th_CF为F_R设定的特征值；

第五步，读卡器接收到WISP发送回的M₄后，比较读卡器端的生物识别密钥K_bio和标签端的生物识别密钥K_bio，如果K_bio读卡器＝K_bio标签，那么获取N_W和ID_W的值，并计算S2＝HMAC(K_bio,N_R|N_W|ID_W)；

如果S2＝S1，那么计算主密钥K和会话密钥K’，其中K＝H(K_bio|N_W)，K’＝H(K|N_W)；并发送响应消息M₅给WISP，M₅＝<Seq₁,HMAC(K’,N_W|Seq₁)>；

其中，Seq₁代表第一个序列号；

第六步，基于接收到的HMAC，WISP验证两侧，即WISP和读卡器计算的会话密钥K’的相等性，如果两侧计算的会话密钥K’是相等，WISP在双端口存储器记录一个请求<K’，Seq₁>来唤醒IMD天线；当IMD检测到请求时，开始收集会话密钥K’，第一个序列号Seq₁，并使用它们启动与程序员的安全数据交换。

另外，现有技术中，基于区块链技术的可植入医疗设备的RFID协议方法，还包括常规模式下的互认证协议方法，

第一步，读卡器向WISP发送初始化请求，初始化请求消息为<N_R,ID_R,flag,HMAC(K,N_R|ID_R)>，其中N_R是读卡器生成的随机数，ID_R是读卡器的标识，flag设置为0表示使用常规模式完成访问，HMAC 函数的值使用共享的常规主密钥K_常规基于N_R|ID_R上计算得到；

第二步，由于HMAC的值是在初始化请求消息发送过程中生成的，因此WISP可以验证接收请求的时效性和读卡器的真实性；收到请求时，WISP首先验证常规主密钥K_常规是否过期，并检查已从常规主密钥 K_常规派生的常规会话密钥数是否超过预定阈值；WISP通过访问双端口存储器，检查生成的时间与配置的常规主密钥K_常规相关的使用计数器；如果使用计数器配置的常规主密钥K_常规尚未到期，则WISP将从常规主密钥K_常规开始验证收到的请求；反之，WISP发送一条消息来拒绝访问；

第三步，WISP认证成功后，生成一个随机数N_W，计算出常规会话密钥数K’_常规＝H(K_常规|N_W)，并发送以下消息：

<{Nbr,N_W,ID_W}_K常规,HMAC(K_常规,N_R|N_W|ID_W)>；

第四步，读卡器接收到这条消息后，开始对消息的第一部分进行解析得到Nbr，N_W和ID_W，通过执行HMAC函数将其输出与消息的第二部分进行比较，检查这些值的真实性；

其中，N_W代表WISP生成的随机数；ID_W代表WISP的标识；

第五步，RFID读卡器对接收到的消息认证成功后，由N_W计算常规会话密钥K’_常规，并发送一条消息 <Seq₁,HMAC(K’_常规,N_W|Seq₁)>给WISP反馈；

第六步，基于接收到的HMAC值，WISP能够验证消息的时效性以及两边计算的常规会话密钥的相等性；成功验证之后，WISP将递增Nbr参数的值，Nbr参数表示从常规主密钥K_常规派生的常规会话密钥K’_常规的总数；

第七步，WISP在双端口存储器中记录一个请求<K’_常规,Seq₁,Nbr>以唤醒IMD天线，请求包含第一个常规会话密钥K’_常规，序列号Seq₁和更新后的Nbr；当IMD检测到修改时，开始收集常规会话密钥K’_常规，序列号Seq₁，并使用它们启动与程序员的安全数据交换；

通过运行所提出的常规模式下的互认证协议，避免了频繁计算新的常规主密钥K_常规，该模式仅程序员与IMD共享有效主密钥时启用。

上述原始协议主要存在以下问题，并提出相应的解决方案：

1.明文密钥泄露攻击：ID_R所携带的信息即是当前读卡器的标识，原协议第一步在执行过程中直接明文发送ID_R会带来隐私泄露的问题。

本发明的解决明文泄露攻击的方法:将读卡器生成的随机数N_R与ID_R进行异或操作，对读卡器的标识进行加密操作，封装原读卡器标识并以A代替。以后再执行相同操作时A的值将不再固定，有效解决明文泄露问题。

2.追踪攻击：

原始协议中的追踪攻击分为三个阶段：

1)测试阶段：攻击者选择目的标签¹T，然后开始监视第一轮过程(¹M₁,¹M₂,¹M₃,¹M₄),获得输出密钥 (¹ID_R,¹ID_W)；

2)追踪攻击第二轮监听阶段：我们假设n个标签集合设置为(¹T,²T,……,ⁿT)，其中包含目的标签¹T，以及假冒标签²T。攻击再一次进行第二轮监视，得到输出密钥(²ID_R,²ID_W)；

3)决策阶段：攻击者获得(¹ID_R,¹ID_W)和(²ID_R,²ID_W)。如果(¹ID_R,¹ID_W)≠(²ID_R,²ID_W)，攻击者证实目标标签¹T不是假冒标签²T；如果两者的值相等(¹ID_R,¹ID_W)＝(²ID_R,²ID_W)，攻击者可以一概判断目标标签¹T就是假冒标签²T。因此原始协议不满足弱不可分辨的性质，容易遭受追踪攻击。

本发明的解决追踪攻击的方法:

A代表使用N_R异或加密ID_R的信息(A＝N_R⊕ID_R)，防止明文传递ID_R；

B代表使用N_W异或加密ID_W的信息(B＝ID_W⊕N_W)，防止明文传递ID_W。

本发明采用以下技术解决上述问题，如图2所示，可植入医疗设备的轻量级RFID无线认证协议，还包括常规模式下的互认证协议，常规模式下的互认证协议包括如下步骤：

第一步，读卡器生成随机数N_R，读卡器标识ID_R，以及设置为0的一位标志flag；设置为0表示使用常规模式完成本协议认证；计算A＝ID_R⊕N_R，常规主密钥K_常规＝H(N_R|ID_R)；读卡器发送第一次响应消息M₁’＝<N_R,A,flag,HMAC(K_常规,N_R|ID_R)>给WISP，WISP收到M₁’后，计算ID_R＝A⊕N_R，并验证常规主密钥K_常规是否过期，并检查已从常规主密钥K_常规派生的常规会话密钥数是否超过预定义的阈值Th_CF；t 代表当前时间与常规主密钥K_常规生成时间差，T代表常规主密钥K_常规使用期限，如果t<T，那么常规主密钥K_常规未过期，接收访问；如果t≥T，则常规主密钥K_常规过期，拒绝访问；

第二步，WISP认证成功后，生成一个随机数N_W；计算出常规会话密钥K’_常规＝H(K_常规|N_W)，B＝ID_W⊕N_W；发送第二次响应消息HMAC(K_常规,N_R|N_W|ID_W)>给读卡器；并计算S1＝HMAC(K _常规,N_R|N_W|ID_W)；

第三步，读卡器接收到这条消息后，通过常规主密钥K_常规开始对消息的第一部分进行解析得到Nbr， N_W和ID_W；并计算S2＝HMAC(K_常规,N_R|N_W|ID_W)；如果S2＝S1，那么消息真实；并计算常规会话密钥K’_常规＝ H(K_常规|N_W)；发送第三次响应消息M₃’＝<Seq₁,HMAC(K’_常规,N_W|Seq₁)>给WISP；

第四步，基于HMAC值，WISP验证消息的时效性以及两边计算的常规会话密钥的相等性；成功验证之后，计算Nbr’，Nbr’＝Nbr+1；然后WISP在双端口存储器中记录一个请求<K’_常规,Seq₁,Nbr>以唤醒IMD天线；当IMD检测到请求时，开始收集常规会话密钥K’_常规，第一个序列号Seq₁，并使用它们启动与程序员的安全数据交换；

其中，Nbr’代表递增的Nbr；Nbr代表从常规主密钥K_常规派生的常规会话密钥K’_常规的总数。

本发明中的标签、读卡器、IMD可植入医疗设备和WISP相互独立，他们之间相互通信和传递信息。

如图3所示，使用本发明的可植入医疗设备的轻量级RFID无线认证协议的系统，其特征在于，该系统调用上述协议并在区块链上写入所有事件的记录，该系统通过向患者和医疗程序人员发送通知来支持实时患者监测和医疗干预，同时还保存活动发起者的安全记录。

所述系统包括区块链，所述区块链分别与区块链云仓库以及异构数据库通讯连接，所述异构数据库与用户认证层通讯连接。

所述用户认证层包括医生端、检验端、科研机构端和患者端。

所述异构数据库包括患者住院ID数据库，患者的医学信号数据库和患者的医学图像数据库。

所述患者的医学信号数据库包括心率。

所述患者的医学图像数据库包括磁共振成像图和心电图。

所述区块链通过不同的协议把电子医疗记录中的患者住院ID与合约地址、数据指针、访问权限、提供者ID联系起来，病历记录提供者可以修改数据，但需要征得患者的同意，患者可以分配访问病历数据的权限。

所述区块链上设置有个人信用行为信息，个人信用行为信息加密使用两个密钥，即公钥和私钥，个人信用行为信息使用公钥加密后，只能使用相应的私钥才可以解密，反之，如果私钥用于加密，则只能使用相应的公钥才能解密。

本发明利用基于区块链的智能合约来促进图1和图2协议中的数据收集的安全分析和管理，使用基于以太网协议的私有区块链，智能设备调用智能合约并在区块链上写入所有事件的记录。这种智能合约系统将通过向患者和医疗程序人员发送通知来支持实时患者监测和医疗干预，同时还保存活动发起者的安全记录。

在区块链技术中通过不同的智能合约把电子医疗记录中的病人ID与合约地址、数据指针和访问权限、提供者ID等联系起来，病历记录提供者可以修改数据，但需要征得病人的同意，病人可以分配访问病历数据的权限。

并将个人信用行为信息放在区块链平台上，这种非对称信息的加密需要使用两个密钥:公钥和私钥，数据使用公钥加密后，只能使用相应的私钥才可以解密，反之，如果私钥用于加密，则只能使用相应的公钥才能解密。如果区块链可以能共享到科研机构能更精准了解疾病发生的概率、意外发生的情况、医院管理水平、理赔病例等实际情况。

本发明的系统具有以下优点：

1.本发明使用基于云的区块链云仓库来存储医学数据：

(1)每个研究所属的医学研究和患者的列表；

(2)患者授权访问每个研究的实体集。所有这些实体都由非对称密钥对的公共部分在区块链上表示。

2.定义研究：此事务建立一个源作为创建者，一个患者作为具有特定唯一标识符UID的所有者。存储在区块链中的元组是双重签名的交易，类似于带有患者和医院代表签名的文档。患者声称他或她在医院接受了医学诊断，该医院确认了这一声明，并承诺在其在前一个块中定义的端点上提供该研究。通过移动应用程序获取患者的签名声明，该应用程序还将共享保存将来允许访问事务所需的值。然后医院将共同签署患者的随访信息，并将交易广播到区块链中。

3.允许访问：此事务允许医学信息研究的所有者授权另一方从源端点URL检索其医学数据。患者P 签署了一个事务，将此功能授予程序员D。把签署的验证块嵌入区块链。如图3所示，患者在与医生通过APP平台验证密钥之后发布此事务。以这种方式去匿名化后，患者可以授权给合法医生或者机构，并且医生可以将接收到的任何医学信息与正确的本地医疗记录编号相关联。

区块链医学数据共享序列，中间一列描述了每个阶段的实体和判断之间的交互过程反映了支持分布式的区块链和块外事务的医学信息共享。

如图4所示，实际的医学数据传输要求医学数据接收者向创建研究的医学源的URL端点发送一个签名请求，请求和响应都通过传输层安全链接传输，以防止窃听。在医学数据共享的设置中，必须特别考虑块创建和验证的过程。生成一个访问权限的分布式数据库，以某种方式激励块生成器，以确保以一种及时的方式生成有效的块，并确保任何分支都是由单个链快速控制的。只有建立了安全保证金的节点才可以参与链的扩展，任何行为不端的节点都将被迫放弃其投资。区块链的性质提供了对每个节点活动的直接审计，包括生成的块的数量，以及在符合条件时生成块的失败状态。节点操作符只需使用与该节点的标识公钥对应的私钥对消息进行签名，就可以证明其对该节点的所有权，构建了医学数据共享区块链。

综上所述，本发明公开了植入式医疗设备在常规模式和紧急模式下的互认证协议，并针对IMD的主要安全威胁进行分类。在指出协议存在的不足后，从安全性角度出发，对协议最了改进。新公开的两个协议防止了阻塞攻击(IMD电池耗尽攻击)、反同步攻击和重放攻击；改进后的协议还可以抵抗前向追踪攻击，明文密钥泄露攻击，抵抗追踪攻击等。并公开了基于区块链的认证协议实现了医疗数据共享。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.可植入医疗设备的轻量级RFID无线认证协议，其特征在于，包括紧急模式下的互认证协议，紧急模式下的互认证协议包括如下步骤：

第一步，读卡器向WISP发送同步请求，紧急模式启动；同步请求中包含读卡器生成的随机数N_R，读卡器的标识ID_R，以及设置为1的一位标志flag；flag是1-bit，设置为1表示使用紧急模式完成本协议认证；计算A＝N_R⊕ID_R；读卡器发送第一次响应消息M₁＝<N_R,A,flag>给WISP；

其中，A代表使用N_R加密ID_R的信息；

第二步，WISP在接收到读卡器发来的响应消息后，比较ID_R，如果ID_R≠A⊕N_R，那么终止进程；否则创建库V＝RandPermute(F_W∪F′_W)；WISP将库V中的信息M₂发送给读卡器；

其中，F_W代表WISP端记录的特征向量，WISP获得特征向量F_W后，生成一组随机点，表示为F′_W，F′_W与F_W的范围相同；库V将生成的随机点F′_W与计算得到的特征向量F_W随机转置，这样F′_W与F_W就无法区分；

第三步，读卡器接收到库V时，用读卡器所计算得到的特征向量F_R与库V中的每一个点进行比较，如果存在库V中的点满足条件则认为读卡器和标签相互匹配；使用匹配特征集Q和索引集I进行匹配；读卡器端计算生物识别密钥K_bio,K_bio＝H(Q||N_R)，读卡器将单项散列函数HMAC应用于匹配特征集Q和索引集I；并将以下消息发送回WISP：M₃＝<I,HMAC(K_bio,I|Q|ID_R)>；

其中，代表读卡器记录的特征向量F_R的第i个值；HMAC(.)代表基于哈希的消息认证码；

第四步，WISP接收到读卡器在第三步发来的消息后，计算WISP端生物识别密钥K′_bio；WISP首先根据I中的一组索引来识别一组匹配特征集Q；如果该匹配特征集中的匹配特征的数量超过预定义的阈值Th_CF，则WISP计算K′_bio＝H(Q||N_R)；之后，WISP验证WISP计算出的生物特征密钥K′_bio是否与读卡器计算的生物特征密钥K_bio相同，即是否K′_bio＝K_bio；并在I|Q|ID_R上应用基于哈希的消息认证码HMAC(.)函数，验证所获得的值是否等于第三步中所接收消息的第二部分，即是否HMAC(K′_bio,I|Q|ID_R)＝HMAC(K_bio,I|Q|ID_R)；如果验证成功，则生成随机数N_W，并计算主密钥K，K＝H(K_bio|N_W)；还将第一个会话密钥K’设置成K’＝H(K|N_W)；之后，WISP发送响应消息M₄给读卡器，M₄发送的响应消息内容记做S1，S1＝HMAC(K_bio,N_R|N_W|ID_W)；

M₄＝<{N_W,(B＝N_W⊕ID_W)}_Kbio,HMAC(K_bio,N_R|N_W|ID_W)>；

其中K具有对称密码函数功能；ID_W代表标签的标识；预定义的阈值Th_CF为F_R设定的特征值；

第五步，读卡器接收到WISP发送回的M₄后，比较读卡器端的生物识别密钥K_bio和标签端的生物识别密钥K_bio，如果K_bio读卡器＝K_bio标签，那么获取N_W和ID_W的值，并计算S2＝HMAC(K_bio,N_R|N_W|ID_W)；

如果S2＝S1，那么计算主密钥K和会话密钥K’，其中K＝H(K_bio|N_W)，K’＝H(K|N_W)；并发送响应消息M₅给WISP，M₅＝<Seq₁,HMAC(K’,N_W|Seq₁)>；

其中，Seq₁代表第一个序列号；

第六步，基于接收到的HMAC，WISP验证两侧，即WISP和读卡器计算的会话密钥K’的相等性，如果两侧计算的会话密钥K’是相等，WISP在双端口存储器记录一个请求<K’，Seq₁>来唤醒IMD天线；当IMD检测到请求时，开始收集会话密钥K’，第一个序列号Seq₁，并使用它们启动与程序员的安全数据交换。

2.根据权利要求1所述的可植入医疗设备的轻量级RFID无线认证协议，其特征在于，还包括常规模式下的互认证协议，常规模式下的互认证协议包括如下步骤：

第一步，读卡器生成随机数N_R，读卡器标识ID_R，以及设置为0的一位标志flag；设置为0表示使用常规模式完成本协议认证；计算A＝ID_R⊕N_R，常规主密钥K_常规＝H(N_R|ID_R)；读卡器发送第一次响应消息M′₁＝<N_R,A,flag,HMAC(K_常规,N_R/ID_R)>给WISP，WISP收到M′₁后，计算ID_R＝A⊕N_R，并验证常规主密钥K_常规是否过期，并检查已从常规主密钥K_常规派生的常规会话密钥数是否超过预定义的阈值Th_CF；t代表当前时间与常规主密钥K_常规生成时间差，T代表常规主密钥K_常规使用期限，如果t<T，那么常规主密钥K_常规未过期，接收访问；如果t≥T，则常规主密钥K_常规过期，拒绝访问；

第二步，WISP认证成功后，生成一个随机数N_W；计算出常规会话密钥K’_常规＝H(K_常规|N_W)，B＝ID_W⊕N_W；发送第二次响应消息HMAC(K_常规,N_R/N_W/ID_W)>给读卡器；并计算S1＝HMAC(K_常规,N_R/N_W/ID_W)；

第三步，读卡器接收到这条消息后，通过常规主密钥K_常规开始对消息的第一部分进行解析得到Nbr，N_W和ID_W；并计算S2＝HMAC(K_常规,N_R/N_W/ID_W)；如果S2＝S1，那么消息真实；并计算常规会话密钥K’_常规＝H(K_常规|N_W)；发送第三次响应消息M′₃＝<Seq₁,HMAC(K’_常规,N_W|Seq₁)>给WISP；

第四步，基于HMAC值，WISP验证消息的时效性以及两边计算的常规会话密钥的相等性；成功验证之后，计算Nbr’，Nbr’＝Nbr+1；然后WISP在双端口存储器中记录一个请求<K’_常规,Seq₁,Nbr>以唤醒IMD天线；当IMD检测到请求时，开始收集常规会话密钥K’_常规，第一个序列号Seq₁，并使用它们启动与程序员的安全数据交换；

其中，Nbr’代表递增的Nbr；Nbr代表从常规主密钥K_常规派生的常规会话密钥K’_常规的总数。

3.使用根据权利要求1或2所述的可植入医疗设备的轻量级RFID无线认证协议的系统，其特征在于，该系统调用上述协议并在区块链上写入所有事件的记录，该系统通过向患者和医疗程序人员发送通知来支持实时患者监测和医疗干预，同时还保存活动发起者的安全记录。

4.根据权利要求3所述的系统，其特征在于，所述系统包括区块链，所述区块链分别与区块链云仓库以及异构数据库通讯连接，所述异构数据库与用户认证层通讯连接。

5.根据权利要求4所述的系统，其特征在于，所述用户认证层包括医生端、检验端、科研机构端和患者端。

6.根据权利要求4所述的系统，其特征在于，所述异构数据库包括患者住院ID数据库，患者的医学信号数据库和患者的医学图像数据库。

7.根据权利要求6所述的系统，其特征在于，所述患者的医学信号数据库包括心率。

8.根据权利要求6所述的系统，其特征在于，所述患者的医学图像数据库包括磁共振成像图和心电图。

9.根据权利要求6所述的系统，其特征在于，所述区块链通过不同的协议把电子医疗记录中的患者住院ID与合约地址、数据指针、访问权限、提供者ID联系起来，病历记录提供者可以修改数据，但需要征得患者的同意，患者可以分配访问病历数据的权限。

10.根据权利要求9所述的系统，其特征在于，所述区块链上设置有个人信用行为信息，个人信用行为信息加密使用两个密钥，即公钥和私钥，个人信用行为信息使用公钥加密后，只能使用相应的私钥才可以解密，反之，如果私钥用于加密，则只能使用相应的公钥才能解密。