CN1977513A

CN1977513A - 用于有效认证医疗无线自组网节点的系统和方法

Info

Publication number: CN1977513A
Application number: CNA2005800217116A
Authority: CN
Inventors: H·巴尔杜斯; D·桑切斯桑切斯
Original assignee: Koninklijke Philips Electronics NV
Current assignee: Koninklijke Philips NV
Priority date: 2004-06-29
Filing date: 2005-06-07
Publication date: 2007-06-06
Anticipated expiration: 2025-06-07
Also published as: EP1763946B1; US20070214357A1; US7965845B2; EP1763946A1; DE602005011290D1; WO2006003532A1; ATE415772T1; JP2008504782A; CN1977513B

Abstract

医疗自组无线网络(10)被运用在个体病人周围的保健医疗设施中，其包括无线节点(A，B，...，Z)。在运用之前，每个节点(A，B，...，Z)使用公用密钥证书(22)预初始化并且提供信任和对称密钥分配服务(32)。加入该自组网(10)中的节点(B)通过使用被鉴定的公用密钥(20)来认证和登记一个随机自选节点(A)。这样的节点(A)成为节点(B)的信任入口(TPA)。节点(B)在它的旧TP节点离开该自组网(10)时动态登记一个新的自选TP节点。网络(10)支持被登记到同一TP节点的节点之间的对称密钥认证。此外，它支持被登记到不同TP节点的节点之间的对称密钥认证。

Description

用于有效认证医疗无线自组网节点的系统和方法

技术领域

本发明涉及网络系统和方法中的安全。它找到了结合医疗无线自组网系统的特定应用，并且将使用对其的特定参考来加以描述。然而，应当理解本发明还找到了结合其它短范围网络系统等等的应用。

背景技术

典型地，无线移动自组网被运用在医院和医疗设施中，用于医疗的病人看护和监控。通常，医疗移动自组网建立在一个病人或一小群病人周围。在医疗移动自组网中，医疗设备对等通信。每个设备提供一组医疗服务并且要求访问在其它设备上的一组医疗服务。临床医生也可以对这样的设备进行访问，如他们可以通过使用PDA来启动注射推进，以给病人注射吗啡。

必需保证只有正确的实体才能访问医疗移动自组网，并且保证无线通信的机密性和完整性。在上面讨论的例子中，医生可以启动注射推进以给病人注射吗啡，但是必需制止病人的探视人做这样的动作。

实体认证是随后的访问控制和建立受保护的通信的基础。通常用于基础结构网络中的实体认证协议基于公用密钥或对称密钥密码学。然而，这些协议不适合于移动自组网。在公用密钥密码学认证协议中，节点A验证与节点B公用密钥相关的私钥的节点B知识。节点B公用密钥必须由对A和B来说共同的一个信任第三方(TTP)来保证并且与节点B身份相关。公用密钥密码学包括大量的计算能力。研究表明在133MHz时，RSA私钥加密花费大约18秒。因此，使用由所述自组网系统运用的中等计算能力设备，用户对服务的访问被延迟并且电池电量被耗尽。典型的对称密钥密码学认证协议的问题在于缺乏在线基础结构的支持。因此，在线信任第三方(TTP)不可用于分配公共对称密钥给两个认证节点。一个可选方案是在运用之前预分配标示身份的成对方式的对称密钥给所有移动节点。然而，对称密钥密码学限于可伸缩性和安全管理。密钥管理非常复杂，例如当更新节点之一中的密钥或者增加一个新节点时，其余节点必须也被更新来与该新节点共享密钥。存在许多对需要被管理的密钥。对具有大量节点的系统进行管理在实际上变得不可行，因为系统的存储要求以N²增长。

因此，需要一种适用于低功率移动设备的有效认证系统。本发明提供克服了以上提到的问题的一种新系统和方法。

发明内容

根据本发明的一个方面，公开了一种用于自组无线网络的安全系统。该安全系统包括多个本地无线网络节点。一种装置在自组网节点之间分配信任与对称密钥。

根据本发明的另一个方面，公开了一种密钥管理方法。信任与对称密钥在自组网的节点之间分配。

本发明的一个优势在于提供计算上有效的认证协议，其适用于低计算能力和电池供电的移动设备。

另一个优势在于认证系统，该系统无需来自基础结构网络或中心服务器的在线支持。

另一个优势在于基于由管理实体管制的被鉴定的节点身份的节点认证。

另一个优势在于在自组网内分配对称密钥而无需联系外部的密钥分配服务器。

另一个优势在于在自组网节点之间随机和动态地分配密钥分配功能。因此，优化了安全系统的可用性和坚固性。

另一个优势在于安全分配安全材料、病人数据和其它的机密信息。

对于本领域的技术人员来说，一旦阅读和理解了以下对优选实施例的详细描述，本发明的另外的优势和好处是显而易见的。

附图说明

本发明可以采用各种部件和部件的各种安排的方式，也可以采用各种步骤和步骤的各种安排。附图仅用于示例优选实施例的目的并且不被视作限制本发明。

图1是一个自组无线网络的示意图；

图2A-B示意性示出了自组网的第一移动节点建立与第一信任入口的信任关系和创建第一TP域；

图3是自组无线网络的一部分的功能模块的示意图；

图4A-B示意性示出了网络系统的第二移动节点建立与相同第一信任入口的信任关系和加入所述第一TP域；

图5A-B示意性示出了当两个节点属于同样的TP域时第一移动节点建立与第二移动节点的信任关系；

图6是自组无线网络的另一部分的功能模块示意图；

图7A-B示意性示出了当两个节点属于不同的TP域时第一移动节点建立与第二移动节点的信任关系；以及

图8是自组无线网络的另一部分的功能模块示意图。

具体实施例

参照图1，每个近程自组无线网络10包括由单个管理实体例如医院、企业、工厂等等拥有的移动节点(A，B，...，Z)。典型地，每个自组网10包括由无线单跳链路连接的无固定网络基础结构支持的十至二十个自行组织的节点(A，B，...，Z)。优选地，移动节点(A，B，...，Z)包括生理监控设备、受控的药物管理设备、类似PDA的设备、嵌入式计算系统，或具有中等计算能力的类似设备。优选地，许多独立的近程自组网10随机地散布在很有限的运用区域中。各个自组网10的无线覆盖区域范围达四十米，如此延伸经常超出运用区域。例如，一个网络可以包括用于各个生理监控器、药物管理设备、基于计算机的病人ID、主治医师的PDA等等的节点，但是特别地排除与其它病人相关的类似设备。

优选地，新节点(A，B，...，Z)零星地加入或离开所述自组网10，即网络10的拓扑结构是事先不知道的。优选地，所述节点在通信范围内在没有不希望的中断情况下执行安全机制。每个移动节点(A，B，...，Z)提供一个或多个网络服务。每个节点(A，B，...，Z)可以与网络系统10中的任何其它节点通过发送/接收装置14对等通信以访问一个或多个服务。对等通信优选地可以是单向的或双向的，并且可以是同步的或异步的。当然，还可以让一个医师访问节点(A，B，...，Z)以提供服务给病人，例如通过使用便携式计算机、PDA等等执行药物治疗、检查监控设备的状况等等。

优选地，节点(A，B，...，Z)是防篡改的，这样无任何信息可以被知道并篡改。此外，网络系统10的节点(A，B，...，Z)适当地运转并且不发布假主张或声明。

最初，在运用节点(A，B，...，Z)之前，节点(A，B，...，Z)使用公用密钥基础结构(PKI)的安全材料来初始化，所述PKI通过离线鉴定权利机构(CA)(未示出)来工作。在安全范围内，离线CA发布数字的公用密钥证书、私钥和CA公用密钥给每个节点(A，B，...，Z)。每个公用密钥证书使被鉴定的唯一节点的身份绑定其相应的公用密钥。每个节点(A，B，...，Z)安全地持有其在安全数据库24中的私钥18、CA公用密钥20、以及公用密钥证书22。

节点(A，B，...，Z)可以担当所述自组网10中的本地安全服务器和安全客户机的角色。作为安全客户机，节点可以充当请求者或认证者的角色。在一个节点到节点的通信中，请求者是要求访问第二个节点的节点。认证者是所述第二个节点，其需要验证访问节点的身份。作为安全服务器，节点可以充当信任入口(TP)的角色。信任入口提供在线信任第三方服务给其TP域内的信任节点，如下面将更具体地讨论的。

安全系统基于节点的协作和节点对TP的绝对信任，在此假定所有节点属于相同的管理(或PKI)域并且运用了物理的安全保护。

继续参照图1并且还参照图2A-B和图3，每个节点(A，B，...，Z)包括密钥管理装置或中心或过程32_A，32_B，...，32_Z，其提供了在节点(A，B，...，Z)之间的信任建立和长期对称密钥的分配以使得节点(A，B，...，Z)从那时开始认证每一个。信任初始化装置或过程34_A，34_B使得节点A不知道的节点B，以在所述自组网10中通过任意自选节点A作为其信任入口和发送服务请求给节点A来建立信任入口(TP)。

更特别地，节点B信任初始化装置34_B，其发布一个安全服务请求给节点A信任初始化装置34_A。节点A的节点认证装置36_A通过使用CA公用密钥20_A、节点B公用密钥证书22_B以及节点B私钥18_B来认证节点B。这样的认证在本技术领域是众所周知的。(例如，参见TheHandbook of Applied Cryptography，by A.Menezes，P.Van Oorschot和S.Vanstone，CRC Press，2001.(CRC出版社2001年出版的由A.Menezes，P.Van Oorschot和S.Vanstone著的应用密码学手册))接下来，节点B的节点认证装置36_B通过使用CA公用密钥20_B、节点A公用密钥证书22_A以及节点A私钥18_A来认证节点A。一旦节点A和B使用被鉴定的公用密钥20_A、20_B彼此相互认证，则节点B设置节点A为其信任入口TP_A，并且得到会话密钥。

对称密钥计算装置38_A，计算一个长期对称密钥K_AB，该密钥允许节点A从现在开始识别一个登记节点B。对称密钥K_AB还用于保护在节点A和B之间下一次通信的消息内容。对称密钥K_AB的计算例如基于本技术领域熟知的Lotus Notes Session Resumption的共享密钥的计算。例如，对称密钥计算装置38_A通过计算长期自行计算的保密S_A与节点B身份ID_B联系的散列来计算密钥K_AB，S_A仅对节点A已知。

K_AB＝h(S_A，ID_B)

散列算法在本技术领域中是众所周知的。例如，散列函数h(m)为单向数学变换，其利用任意长度的消息m并且从其计算出一个固定长度的短数字h(m)。给定m，计算h(m)相对容易。给定h(m)，计算m在计算上不可行。此外，使用同样的h(m)得到两个消息m1和m2在计算上不可行。

继续参照图3，加密装置40_A加密并且完整保护对称密钥K_AB。一个密钥分配装置42_A使用会话密钥发送加密的对称密钥K′_AB给节点B。节点B解密装置44_B解密被加密的密钥K′_AB。

对称密钥K_AB被存储在相应的对称密钥存储器46_A、46_B中。至此，节点B被登记为节点A的一个信任节点。

在一个实施例中，节点A不存储对称密钥K_AB而是仅存储保密S_A在保密存储器48_A中。节点A可以在任何时候从保密S_A和在信任初始化过程期间由节点B提供的节点B身份ID_B重新计算密钥K_AB。节点A安全数据库24_A的妥协不泄漏关于登记节点B的任何信息。存储要求保持不变，不取决于登记节点的数量。

节点B可以与其在自组网10中选择的任何节点建立一个初始信任。初始化过程34_A、34_B要求节点A、B仅具有中等计算能力和有效的公用密钥证书。

再次参照图2B，作为信任初始化、认证和对称密钥分配的结果，创建了一个节点A TP域D_A，该域包含作为信任节点的节点B，即D_A＝{ID_B}。信任入口TP_A向其它信任节点担保信任节点B的身份。

参照图4A-B，尽管起初节点A不是网络系统10中的任何其它节点的一个信任入口，在由节点B建立了初始信任之后，节点A也可以当作网络系统10中的其它节点的信任入口TP_A。建立与TP_A信任的所有节点形成了节点A的TP域D_A。例如，当节点C建立对节点A的初始被鉴定的信任并且获得一个共享对称密钥K_AC时，TP域D_A随之增长。节点A为其自己的TP域D_A的TP域管理者，即节点A决定何时接受其TP域D_A中的一个节点或何时结束一个信任关系。

再参照图3，一个取消登记装置或过程50_A，通过由保密S_A的使用年限来调整节点A的TP域D_A的使用期限(即节点A保持与保密S_A同样值的时间)来增强安全性。在预指定时间周期T₁之后，取消登记装置50_A通过计算成为第二保密S² _A的随机数R来取消当前保密S¹ _A的值。结果，所有以前建立的信任节点自动地被取消登记。例如，当保密值S¹ _A变成S² _A时，先前已分配给节点B的对称密钥K_AB不匹配S² _A，因此不再是一个节点A认证节点B的有效共享密钥。这使得节点B成为节点A的最新未知节点。优选地，当无论何时信任入口TP_A从自组网10离开，则执行取消登记过程50_A。在取消登记之后，重复上述登记以建立一个新的TP域。特别地，如果节点A已经离开网络10，其它节点之将承担主要职责。

参照图5A-B和6，通过安全地分配一个共享对称密钥K_BC给节点B和C，信任入口TP_A担当一个在线信任第三方，其中节点B和C是TP域D_A的成员，其与节点A共享对应的对称密钥K_AB、K_AC。域内信任和密钥分配(ITKD)装置或过程或协议52_A，当节点B和C都包括在信任TP域D_A时，允许参考节点A发送与信任节点B的身份相关的密钥给另一个信任节点C。

更特别地，节点B信任初始化装置34_B发送给节点C信任初始化装置34_C一个访问请求。节点C信任初始化装置34_C确定节点B属于信任入口TP_A的同一TP域D_A。节点C域内装置52_C告知节点B域内装置52_B节点C属于同一TP域D_A。

节点B的域内装置52_B联系信任入口TP_A的域内装置52_A并且请求一个对称密钥给节点C。该请求在密钥K_AB下被加密以保证过程的机密性和信任入口TP_A的匿名。节点A的对称密钥计算装置38_A为节点B、C生成一个被加密并且分配给节点B、C的随机认证对称密钥K_BC。更特别地，节点A加密装置40_A使用密钥K_AB加密并且完整保护密钥K_BC和节点C标识符ID_C。密钥分配装置42_A发送加密的密钥K′_BC给节点B。接下来，节点A加密装置40_A使用密钥K_AC加密并且完整保护密钥K_BC和节点B标识符ID_B。节点A密钥分配装置42_A发送加密的密钥K″_BC给节点C。可选地，为了优化ITKD过程的效率，请求者或节点B启动ITKD过程52_A并且信任入口TP_A专有地与节点B进行通信。密钥分配装置42_A分配加密的密钥K′_BC、K″_BC给节点B。节点B密钥分配装置42_B转发加密的密钥K′_BC给节点C。对应的解密装置44_B、44_C解密加密的密钥K′_BC、K″_BC。共享对称密钥K_BC被存储在对应的对称密钥存储器46_B、46_C中。节点C认证装置36_C使用对称密钥K_BC来认证节点B。当然，还可以让节点B认证装置36_B通过使用对称密钥K_BC认证节点C。

如果节点B、C不具有与节点A的已建立的关系，则节点B、C将不接受一个由节点A分配的密钥。同样地，节点A不直接分配密钥给未知节点，即给不属于节点A TP域D_A的节点。

每次一个新节点加入自组网10或一个信任入口消失，都利用了信任初始化过程32。例如，如果信任入口TP_A离开自组网10，则节点B和C需要建立一个新的信任入口。以这种方式建立自组网10的节点(A，B，...，Z)之间的信任，信任入口的一个随机路径相互连接自组网10中的所有节点(A，B，...，Z)。如以下将会更详细讨论的，不同信任入口之间的协作使得可以为由不同信任入口信任的节点担保。不同TP域的信任入口通过安全地分配一个共同的对称密钥给不同TP域中的节点来相互协调，其担当了被信任的第三方的角色。

参照图7A-B和8，交叉域信任装置或协议或过程60_A、60_B、60_D、60_E使得两个或多个信任入口TP_A、TP_D以发送与包括在信任入口TP_A的TP域D_A中的节点B的身份相关的密钥给包括在信任入口TP_D的TP域D_D内的节点E，例如节点D，其是节点A的一个信任节点，其已经如上所述地被初始化了。

更特别地，节点B信任初始化装置34_B发送给节点E信任初始化装置34_E一个访问请求。节点E信任初始化装置34_E确定节点B属于不同的TP域。节点E交叉域装置60_E告知节点B交叉域装置60_B节点E属于不同的TP域。优选地，节点E交叉域装置60_E告知节点B交叉域装置60_B节点E属于信任入口TP_D的TP域D_D。由于信任TP域分等级建立，所以两个不同的信任入口通过一个直接信任关系或通过一组信任关系来互相连接。在一个实施例中，交叉域装置60_A确定到目的节点的最短路径。

节点B交叉域信任装置60_B联系信任入口TP_A的交叉域信任装置60_A并且请求一个密钥以传送给节点E。该请求在密钥K_AB下被加密以保证过程的机密性和信任入口TP_A的匿名。节点A对称密钥计算装置38_A为节点B、E随机生成一个新的认证对称密钥K_BE。加密装置40_A使用密钥K_AB加密并且完整保护密钥K_BE和节点E标识符ID_E。密钥分配装置42_A发送被加密的密钥K′_BE给节点B。接下来，加密装置40_A使用密钥K_AD加密密钥K_BE和节点B标识符ID_B。密钥分配装置42_A发送被加密的密钥K″_BE给信任入口TP_D。节点D解密装置44_D解密被加密的密钥K″_BE以获得密钥K_BE。节点D加密装置40_D通过使用密钥K_DE加密并且完整保护密钥K_BE。节点D密钥分配装置42_D转发被加密的密钥K_BE给节点E。在一个实施例中，密钥分配装置42_A安全地转发被加密的密钥K′_BE、K″_BE给节点D。节点D解密装置44_D解密被加密的密钥K″_BE以获得密钥K_BE。节点D加密装置40_D通过使用密钥K_DE加密并且完整保护密钥K_BE。密钥分配装置42_D转发被加密的密钥K′_BE、K_BE给节点E。节点E的密钥分配装置42_E转发被加密的密钥K′_BE给节点B。对应的解密装置44_B、44_E解密被加密的密钥K′_BE、K_BE。使用对称密钥K_BE作为认证协议，节点E认证装置36_E认证节点B。可选地，节点B认证装置36_B认证节点E。对称密钥K_BE被存储在对应的节点B、E的对应的对称密钥存储器46_B、46_E中。

交叉域信任过程对于更大数量的中间信任入口以类似的方式工作。

在一个实施例中，为了防止重放攻击，加密消息被另外地完整保护，例如通过包括时间标记或周期地重新生成加密密码以及重新建立网络。

本发明已经参照优选实施例进行了描述。阅读和理解了前面的详细说明，可以进行各种修改和变化。本发明应当视作包括落入所附权利要求或其等价物的范围之内的所有这样的修改和变化。

Claims

1.一种用于自组无线网络(10)的安全系统，包括：

多个本地无线网络节点(A，B，…，Z)；以及

装置(32_A，32_B，…，32_Z)，用于在本地网络节点(A，B，…，Z)之间分配信任及对称密钥。

2.如权利要求1所述的系统，还包括：

信任初始化装置(34_A，34_B，…，34_Z)，用于建立自组网(10)的节点(A，B，…，Z)之间的信任关系。

3.如权利要求2所述的系统，其中信任初始化装置(34_A，34_B)建立节点(A，B)之间的信任关系，所述节点(A)由节点(B)从节点(A，B，…，Z)任意选择以成为自组网(10)的一个信任入口(TP_A)，并且还包括：

认证装置(36_A，36_B)，用于执行节点(A)和节点(B)之间的认证；以及

对称密钥装置(38_A)，用于计算一个对称密钥(K_AB)，其建立了信任入口(TP_A)和节点(B)之间的长期信任关系。

4.如权利要求3所述的系统，其中认证通过使用被鉴定的公用密钥(20_A，20_B)来相互执行，所述公用密钥由离线证书权利机构在建立信任入口(TP_A)之前发布给节点(A，B)。

5.如权利要求3所述的系统，其中信任关系装置(34_C，34_D，…，34_Z)建立节点(A)和一个或多个节点(C，D，…，Z)之间的信任关系，这样信任入口(TP_A)的TP域(D_A)增长。

6.如权利要求3所述的系统，还包括：

域内信任和密钥分配装置(52)，用于分配信任信息给先前已经建立与信任入口(TP_A)的信任关系的两个或多个节点(B，C)。

7.如权利要求6所述的系统，其中，响应节点(B)的请求，对称密钥计算装置(38_A)计算与节点(B)和(C)的身份相关的对称密钥(K_BC)。

8.如权利要求7所述的系统，其中认证装置(36_B，36_C)使用计算的对称密钥(K_BC)以相互认证节点(B)和(C)。

9.如权利要求3所述的系统，还包括：

交叉域信任和密钥分配装置(60)，用于分配信任信息给先前已经建立与不同的对应信任入口(TP_A，TP_D)的信任关系的两个或多个节点(B，E)。

10.如权利要求9所述的系统，其中，响应节点(B)对信任入口(TP_A)的请求，对称密钥计算装置(38_A)计算与节点(B)和(E)的身份相关的对称密钥(K_BE)，该密钥(K_BE)被安全地加密以从信任入口(TP_A)发送到节点(B)以及经由至少信任入口(TP_D)发送到节点(E)。

11.如权利要求10所述的系统，其中认证装置(36_B，36_E)使用对称密钥(K_BE)以相互认证节点(B)和(E)。

12.如权利要求1所述的系统，还包括：

多个设备，包括生理状况监控器、可控药物治疗计量设备、以及PDA中的至少一个，每个设备与节点(A，B，…，Z)之一相关。

13.一种密钥管理方法，包括：

在自组网(10)的节点(A，B，…，Z)中分配信任及对称密钥。

14.如权利要求13所述的方法，还包括：

建立第一信任入口(TP_A)，其由节点(B)从网络(10)的节点(A，C，…，Z)中任意选择；

执行第一信任入口(TP_A)和节点(B)之间的初始认证；并且

计算建立了第一信任入口(TP_A)和节点(B)之间的长期信任关系的对称密钥(K_AB)。

15.如权利要求14所述的方法，其中认证步骤包括：

通过使用被鉴定的公用密钥来执行认证，该公用密钥由离线证书权利机构在建立信任入口(TP_A)之前被发布给自组网(10)的每个节点。

16.如权利要求14所述的方法，还包括：

在先前建立与同一信任入口的信任关系的节点(B，C)之间分配对称密钥(K_BC)。

17.如权利要求16所述的方法，还包括：

响应节点(B)的请求，计算与节点(B)和(C)的身份相关的对称密钥(K_BC)；以及

使用计算的对称密钥(K_BC)认证节点(B)和(C)。

18.如权利要求14所述的方法，还包括：

在先前已建立与不同的对应第一和第二信任入口(TP_A，TP_D)的信任关系的节点(B，E)之间分配对称密钥。

19.如权利要求18所述的方法，还包括：

响应节点(B)到第一信任入口(TP_A)的请求，计算对称密钥(K_BE)；

从第一信任入口(TP_A)发送对称密钥(K_BE)到节点(B)，该对称密钥(K_BE)被安全地加密和完整保护；

从第一信任入口(TP_A)发送对称密钥(K_BE)到第二信任入口(TP_D)，该对称密钥(K_BE)被安全地加密和完整保护；

从第二信任入口(TP_D)发送对称密钥(K_BE)到节点(E)，该对称密钥(K_BE)被安全地加密和完整保护；以及

使用对称密钥(K_BE)认证节点(B)和(E)。

20.一种具有多个节点(A，B，…，Z)的网络，所述节点被编程以执行权利要求13的方法。