CN101194459B - 用于移动躯体传感器网络的预分配确定性密钥 - Google Patents

Abstract

一种用于监测病人的无线网络(2，150)包括躯体传感器网络(22，24，26，172，174，176)，该躯体传感器网络包括一个或多个操作时连接到病人的无线传感器(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)，所述无线传感器收集与病人的健康状况有关的信息并且将这些信息传送到所述无线网络(2，150)。设置服务器(4，154)在所述一个或多个传感器(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)被部署到所述无线网络(2，150)之前用密钥资料对所述一个或多个无线传感器(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)进行配置。基站(178，180)将密钥证书分配给与所述躯体传感器网络(22，24，26，172，174，176)关联的所述一个或多个传感器(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)，使得两个传感器至少部分地根据所述预分配密钥资料和由该基站(178，180)分配的密钥证书来生成唯一对偶密钥。

Description

用于移动躯体传感器网络的预分配确定性密钥

发明背景

下文涉及无线网络。它在无线躯体传感器网络中建立信息的安全通信方面有着特殊的用途。然而，应当理解的是，本发明也可应用于在其他无线设备和其他无线转发器之间提供安全的通信。

移动躯体传感器网络(BSN)在医疗应用中已经得到关注，并且一般用于病人护理和监测。BSN包括数据收集节点并且可选地包括控制节点。传感器节点是电池供电的，具有有限的计算能力和存储容量，并且依赖于通过无线电频率的间歇无线通信。传统上，一大群(例如数千个)可互操作节点被部署在例如医院的医疗区，然后通过不同的手段自发连接形成不同的非连通BSN。BSN通常由所有节点的小子集(从2到50个节点)组成，例如这些节点分配了医疗区中单独的病人。从先验上，BSN的大小和隶属关系是未知的：BSN节点可能在BSN形成之时就存在，或者可能在后来被添加和删除。一些节点在BSN形成之后灵活性有限，其他节点则具有高度灵活性并且经常在相同区域中形成的不同的独立BSN间漫游(例如使用人员携带的数据收集和控制节点，个人佩戴的传感器，等等)。一些节点可能是无人值守的。BSN的寿命限于数天、数周、数月，等等。传感器节点的寿命典型地要长于BSN实例的寿命。BSN形成于公共的或不利的区域，在这些区域中通信可能会被不法分子所监控，传感器节点易受不法分子的捕获和操控。与不同病人关联的BSN节点间的串扰可能会损害被感知数据的医疗效力。

这些挑战性的操作要求对BSN设计提出了具有同等挑战性的安全性约束。用于BSN的安全性服务包括鉴定和通信保密。典型地，密钥管理服务提供并且管理用于满足前述安全性服务的基本安全性资料。BSN传感器节点的计算和通信约束使得使用任何基于公开密钥密码术的安全性解决方案都是不可行的。BSN的特别(ad hoc)属性以及BSN的操作要求使得典型的基于服务器的在线解决方案并不合适。

基于密钥预分配方案(KPS)的密钥管理是针对BSN的一个选项。由于需要独特的节点鉴定和密钥建立，与BSN隶属关系和大小无关地，给用于BSN的KPS施加了严格的要求。然而，现有的KPS方案对于BSN而言是功能有限的。首先，网络宽密钥预分配并没有提供足够的安全性或者不能在BSN中进行管理。第二，平常的KPS在BSN中既不可进行扩展又不可加以管理。第三，Blundo的KPS(Perfectly Secure KeyDistribution for Dynamic Conferences.In Advances inCryptology-CRYPTO’92，Springer-Verlag，Berlin，1993，pp.471-486)的弹性和可扩展性受限于传感器节点的存储容量和计算能力。第四，随机密钥预分配对于具有有限个数节点的BSN而言并没有提供良好的连通性质。最后，Camtepe和Yener基于组合设计理论的确定性KPS(Combinatorial Design of Key DistributionMechanisms for Wireless Sensor Networks.In Proc.of ComputerSecurity-ESORICS，Springer-Verlag，LNCS 3193，2004，pp293-308)对于BSN而言具有可兼容连通性质和适度的弹性，但是并没有提供唯一的对偶密钥。

Basagni等人(Secure pebblenets.In Proc.of the 2^nd ACMInternational Symposium on Mobile Ad Hoc Networking andComputing，pp.156-163.2001)提出一种密钥管理方案来通过周期性更新由所有传感器节点共享的组对称密钥而对传感器通信进行保护。这种方案采取抗干扰传感器和分布式传感器网络(DSN)宽连接管理底层结构，这并不适用于BSN(大规模DSN可被视作具有异常操作和联网差别的多个BSN的互连。可替换地，将BSN视为大规模DSN的多个非连通拆分)。

Perrig等人(SPINS：Security protocols for sensor networks.In Proc.of MOBICOM，2001)提出SPINS，即一种专门针对传感器网络设计的安全性体系结构。在SPINS中，每个传感器节点与基站共享一个私钥。两个传感器节点不能直接建立一个私钥。但是，它们可以使用基站作为受信任第三方来设置私钥。在BSN中，基站在密钥建立时刻可能并不可得。

Blundo等人提出基于多项式的KPS来导出组密钥。对于两用户的各个组，Blundo的密钥预分配方案可用来在BSN中建立对偶密钥。设置服务器在有限域Fq上随机地生成对称二元λ次多项式 $f(x,y)={\mathrm{\Σ}}_{i,j=0}^{\mathrm{\λ}}{a}_{\mathrm{ij}}{x}^i{y}^j$ ，其中q是个大得足以供应加密密钥的素数。根据对称性，f(x，y)＝f(y，x)。设置服务器为每个传感器u计算f(x，y)的多项式份额(即f(x，y))并将其分配给每个传感器u。每个传感器u具有唯一的标识符。在部署阶段之后，对于两个任意的节点u和v而言，节点u可以通过估算点v处的f(u，y)来计算公用密钥K_uv＝f(u，v)，并且节点v可以通过估算点u处的f(v，y)来计算同一密钥K_uv＝f(v，u)＝f(u，v)。

Blundo的KPS的弹性α是α＝λ+1，即攻击者需要损害α个传感器以便能够生成未受损传感器的对偶密钥。每个传感器节点u要求存储λ次多项式份额f(u，y)，其占用的存储空间为(λ+1)log q。应当理解的是，λ受限于传感器上可用的存储容量m，即m≥λ+1密钥。在对偶密钥建立过程中不存在通信开销。为了建立对偶密钥，两个传感器节点需要估算其他传感器节点的ID处的多项式。这要求在F_q中进行λ次模乘和λ次模加运算，其在CPU能力有限的传感器中可能是代价昂贵的。

Liu等人( Establishing pairwise keys in distributed sensornetworks.In Proc.of the 10th ACM Conference on Computer andCommunications Security(CCS)，2003，pp.52-61)介绍了多项式估算的一种改进算法，以便适应不带除法指令的低比特CPU引起的限制，从而降低了对传感器的计算要求。这是通过将λ次二元多项式系数以比特为单位的长度减小到log q′并且通过选择形如q′＝2^k+1的q′来实现的。

Liu等人证明了可以通过级联用t个含Fq’上的系数的λ次二元多项式份额{f_i(u，y)}_{i＝1，...，t}生成的t个部分密钥来复合log q比特的密钥，而不会显著降低安全性，即得到的log q比特密钥与用含Fq上的系数的λ次二元多项式生成的该密钥具有相似的熵，其中t＝

log q/log q′」。t个含Fq’上的系数的λ次二元多项式{f_i(x，y)}_{i＝1，...，t}的联合集合称为t多项式集F_i(x，y)。u点处估算的t多项式集F_i(u，y)此后是个t多项式集份额(t-polynomisl-set share)。

这种技术的不利方面在于，Fq’上的多项式最多只能供应q’-1(而不是q-1)个传感器。特别地，并联结合的Fq’上的多项式(即t多项式集)最多只能供应N’＝q’-1个节点。例如，对于8比特CPU而言，q’＝2⁸+1提供了最优的计算性能，但是，最大节点数N’因此为256。仍然成立的一个性质是，Fq’上的每个二元多项式{f_i(x，y)}_{i＝1，...，t}，从而t多项式集，是防λ串通的。在由基于多项式的KPS使用的Fq’上的多项式个数、q和q’施加到λ上的一定下限下，可将多项式分解技术应用到任何这种KPS。

一种平衡的不完整块设计(BIBD)是将v个不同的目标布置到b个块中，使得每个块刚好包含k个不同的目标，每个目标刚好出现在r个不同的块中，并且每对不同的目标刚好一起出现在t个块中。这种设计可以表示成(v，k，t)，或者等价地表示成(v，b，r，k，t)，式中t(v-1)＝r(k-1)并且bk＝vr。

在对称BIBD(SPIBD)中，b＝v，从而k＝r。SPIBD具有四个性质：每个块包含k＝r个元素；每个元素出现在k＝r个块中；每对元素出现在t个块中；以及每对块在t个元素上相交。

给定具有|S|＝v个目标的集合S以及|B|＝b个块的集合B＝{B₁，B₂，...，B_b}的块设计D＝(v，k，t)，其中每个块刚好包含k个目标，那么对于1≤i≤b而言，互补设计

以互补块 $\stackrel{\‾}{B_i}=S-B_i$ 作为它的块。

是个具有参数(v，b，b-r，v-k，b-2r+t)的BIBD，其中b-2r+t＞0。如果D＝(v，k，t)是个SBIBD，那么

也是个SBIBD。

有限投影平面(FPP)是个对于密钥预分配具有特殊意义的SPIBD子集。FPP是具有参数(n²+n+1，n+1，1)的SPIBD。FPP对于任何素数幂n都存在，其中n≥2。N阶FPP具有四个性质：(i)每个块刚好包含n+1个点；(ii)每个点刚好出现在n+1个块上；(iii)刚好存在n²+n+1个点；以及(iv)刚好存在n²+n+1个块。Camtepe和Yener(Combinatorial Design of Key Distribution Mechanisms forWireless Sensor Networks.In Proc.of Computer Security-ESORICS，Spfinger.Verlag，LNCS 3193，2004，pp 293-308)将SBIBD设计应用于SN中的密钥预分配。

假设FPP具有参数(n²+n+1，n+1，1)，其元素属于集合S，其中|S|＝n²+n+1。使用Eschenauer和Gligor(A key-management scheme fordistributed sensor networks.In Proc.of the 9^th ACM conferenceon Computer and communications security，pp.41-47，2002)的术语，S与密钥池关联，即S中的每个元素与不同的随机密钥关联。此外，FPP的每个块与密钥环关联。FPP的性质保证了任何一对密钥环(块)具有1个公共的随机密钥(元素)。

对于N节点的传感器网络(SN)而言，总共有N个密钥环，具有n²+n+1≥N个块的FPP需要通过使用集合S来构造。这提供了n²+n+1≥N个密钥环，每个密钥环具有K＝n+1个密钥和一个公共的密钥。节点上要求的存储容量大小因此为(n+1)×logq(等价于m＝n+1)。狡猾的攻击者需要捕获α＝K＝n+1个节点才能够损害所述SN。

总数为N的SN的每个传感器节点接收不同的密钥环。注意到每两个节点共享一个特定的密钥。实际上，根据FPP的性质，每n+1个传感器共享同一个特定的密钥。因此，该KPS的密钥不能用于节点唯一鉴定。第二个相关的问题是，并不总是可能找到这样的FPP，其中(i)n是个素数幂并且(ii)n²+n+1≥N，限制条件为m≥n+1。

Camtepe和Yener通过构造一种混合设计来解决上述问题，该混合设计包括FPP(n²+n+1，n+1，1)的n²+n+1个块以及

(n²+n+1，n²，n²-n)的N-n²+n+1个任意选取的(n+1)元素子块，其中n＜m-1(即密钥环的大小现在为m≥K＞n+1)。其副效应是：(i)K＞n+1；(ii)一些特定密钥由不止n+1个节点共享；(iii)一些节点对有可能共享多达n²-n个节点；以及(iv)至少N-n²+n+1个块没有公共的密钥。因此，由于(iv)，至少N-n²+n+1不能直接建立公共密钥，并且由于(i)、(ii)和(iii)，α≤n+1＜K≤m，即网络弹性降低了。

近年来，提出了许多基于密钥预分配的随机密钥管理方案，以便保护大规模DSN的通信底层结构。这些管理方案基于如下假设而假定DSN宽连通性：传感器节点能够无线连接到最小程度的相邻节点(例如无线通信范围内的节点)，并且在部署之后传感器节点具有非常有限的灵活性。这些方案旨在追求最大的DSN宽安全连通性和网络弹性，同时满足DSN的操作约束。在随机密钥预分配方案中，每个节点在部署之前接收来自大的密钥池的随机密钥子集。为了决定用于以一定概率进行安全通信的密钥，两个邻节点在其子集内寻找一个公共的密钥并且使用该密钥作为其共享私钥。没有找到公共密钥的两个传感器节点利用其邻域内的其他受信任节点，甚至跳开几步以便帮助建立公共密钥。基于Blom(An optimal class of symmetric key generationsystems.In Proc.of the EUROCRYPT 84 workshop on Advances incrytology：theory and application of cryptographic techniques，pp.335-338，1985)的随机对偶密钥预分配方案或者Blundo的方案通过增加网络弹性和附加地规定节点鉴定来增强前者。

但是，随机密钥预分配方案并不适合于保护BSN。首先，由于邻节点的度小，BSN并不总能允许两个任意的节点直接或间接地建立公共密钥。其次，由于节点捕获的可能性，节点鉴定必须不经过任何中间阶段直接进行。

由于独立的BSN并不互连，推荐用于DSN或特设网络的集中式或分布式全局入侵检测系统(IDS)不能用在BSN中。在BSN中可能能检测到受损的节点，但是传统的系统和方法不能有效地将这种信息发送到其他BSN中的其余节点。因此，BSN远比大规模DSN容易受到节点复制攻击。例如，在医院中，来自聪明的攻击者的攻击是针对BSN安全性的最大威胁。尽管在文献中没有进行明确说明，但是针对先前密钥预分配方案的节点捕获和节点复制而言，网络弹性高度依赖于DSN宽有效IDS的存在。网络的弹性(iresiliency)定义为攻击者需要捕获以损害总的DSN通信的一部分的节点数λ。聪明的攻击者不必捕获和篡改λ个节点来发动攻击。聪明的攻击者只要捕获一个或一小部分节点并且使用受损的密钥来攻击网络。实际上，为了不被检测到，攻击者不会试图打断网络的网络操作，而是尽力读取或修改机密信息或者甚至注入虚假消息。通过这种方式，攻击者在甚至不必浪费自身资源来损害其他网络通信的情况下就可以获取和/或注入所希望的信息。

最后，在某些方案中需要通过邻居帮助的密钥建立机制以实现高度的安全DSN连通性。具有合适密钥的攻击者能够获得来自一个或多个邻近节点、这些节点的邻近节点(以此类推)的帮助以建立具有完整邻域的密钥。如果通过限制对节点邻居的密钥建立帮助以牺牲安全连通性来提高安全性，那么攻击者仍然能够移动并且试图攻击尽可能多的邻居。有效而安全的密钥管理方案尤其是在BSN设置中必须考虑到聪明的攻击者。

所需要的是这样的密钥预分配方案，其允许鉴定、机密性和完整性服务，并且提供增进的网络安全连通性、弹性和可扩展性以及最优的执行效率。还需要这样的密钥管理方案，其控制预分配密钥的使用，适合BSN的操作条件。本发明考虑的是克服了前述缺陷和其他缺陷的改进的设备和方法。

发明概述

依照一个方面，用于监测病人的无线网络包括由一个或多个无线传感器组成的躯体传感器网络，所述一个或多个无线传感器操作时连接到病人，收集与病人身体状况有关的信息并将这些信息传送到无线网络。设置服务器在所述一个或多个传感器被部署到无线网络之前用密钥资料对所述一个或多个无线传感器进行配置。移动基站将密钥证书分配给与躯体传感器网络关联的一个或多个传感器，其中两个传感器至少部分地根据预分配密钥资料和由基站分配的密钥证书来生成唯一对偶密钥(pairwise key)。

依照另一方面，无线网络包括由一个或多个无线节点组成的网络和设置服务器，所述设置服务器在所述一个或多个节点被部署到无线网络之前用密钥资料对所述一个或多个无线节点进行配置。基站将密钥证书分配给与所述网络关联的一个或多个传感器，其中两个节点至少部分地根据预分配密钥资料和由基站分配的密钥证书来生成唯一对偶密钥。

依照又一个方面，一种方法使用组合分配来估算和分配t多项式集份额以便最大化无线系统的可扩展性、弹性和执行效率，其包括经由设置服务器将安全性密钥预分配到在该无线系统上通信的传感器节点u和传感器节点v。

依照再一个方面，一种方法识别移动传感器系统中的传感器u，其包括从n-1个互相正交的n阶拉丁方(Latin square)的集合形成有限投影平面(n²+n+1，n+1，1)，其中n是个素数幂(prime power)。根据u的传感器标识符，传感器v快速有效地发现公共t多项式集份额并且快速有效地导出t多项式集份额估算点。

本发明的一个优点是，它将安全性密钥提供给一大群传感器节点，从而使得电池、CPU能力和存储容量受限的节点上的通信、计算和存储效率最优化。

另一个优点是，它给分配到一大群传感器节点的预分配安全性密钥提供了增强的安全性强度。

还有一个优点是，提供的安全性对于所述无线网络的用户是透明的。

又一个优点是，提供的安全性允许对(一大群传感器的)无论什么样的任意成对传感器节点进行唯一身份鉴定并且允许建立与传感器无线邻域密度或大小无关的信任关系，

再一个优点是，所述安全性减轻了无线网络可能受损的程度。

在阅读完优选实施例的下述详细说明之后，许多额外的优点和好处对于本领域普通技术人员而言将是显而易见的。

附图说明

本发明具体化为不同的部件和部件配置，以及不同的步骤和步骤配置。附图仅用于图解说明优选的实施例，不应当被视为限制了本发明。

图1示出一种移动传感器系统，该移动传感器系统采用设置服务器来在预部署阶段期间在多个传感器中配置密钥资料。

图2示出利用唯一对偶密钥在成对无线传感器之间提供安全通信的一套方法。

图3还显示了如何在诸如图1中的系统的移动传感器系统中使用传感器标识符。

图4示出在诸如图1中的系统的移动传感器系统中识别传感器的另一套方法。图4也显示了在诸如图1中的系统的移动传感器系统中如何使用传感器标识符。

图5示出发现公共t多项式集份额的一套方法。

图6示出导出t多项式集份额估算点的一套方法。

图7示出一种移动传感器系统，该移动传感器系统采用设置服务器在预部署阶段期间在多个传感器中配置密钥资料。

图8示出一种移动传感器系统，该移动传感器系统采用安全服务器和基站以便允许在后部署阶段期间在该移动传感器系统中的多个传感器和相应的躯体传感器网络之间进行安全的通信。

图9示出一种采用Blom对称密钥预分配方案的密钥预分配方法。

图10示出一种采用用于密钥预分配的Blundo方案的密钥预分配方法。

图11示出一种证实预分配密钥的方法。

图12示出一种管理预分配密钥的方法。

图13示出一种管理预分配密钥的方法。

图14示出一种管理预分配密钥的方法。

图15示出一种管理预分配密钥的方法。

具体实施方式

确定性对偶密钥预分配系统(DPKPS)和方法

图1示出一种移动传感器系统2，该移动传感器系统2包括设置服务器4、多个无线传感器6，8，10，12，14，16，18，20以及多个躯体传感器网络22，24，26。设置服务器4是专用于安全性的服务器，其仅在部署传感器之前主动参与安全性操作。无线传感器6-20在传感器6-20被使用前的初始配置阶段(例如预部署)中连接到设置服务器4。设置服务器4典型地驻留在物理上受保护的范围内，只有已授权的职员才能访问。在部署阶段期间，无线传感器没有任何途径来联系设置服务器。部署区域典型地可被公众访问。无线传感器6-20是负责收集和传送病人医疗数据的节点。传感器6-20中的任何一个都与传感器6-20中的一个或多个建立无线连接。传感器节点受限于存储容量、电池和CPU。躯体传感器网络(BSN)22-26是无线联网传感器节点的集合，其可以连接到一个或多个病人(未示出)。由于系统中存在大量的节点，因而BSN典型地是受限于带宽的。例如，在医院环境中，可能存在数百或者数千BSN(例如一个病人一个BSN)。

BSN的应用要求logq比特的密钥。依照一个实施例，t＝

log q/log q′」，t≥1。将q固定为所要求的安全级别(例如64比特)，可以计算Fq’上的多项式，并且应用Liu等人的多项式最优化来获得logq比特的密钥。t个含Fq’上的系数的λ次二元多项式{f_i(x，y)}_{i＝1，...，t}的联合集合称为t多项式集F_i(x，y)。u点处估算的t多项式集F_i(u，y)此后是个t多项式集份额。

图2示出一套方法30，该套方法30由设置方法32、密钥预部署方法34、t多项式集份额发现方法36和密钥建立方法38组成，所述密钥建立方法38被采用来建立传感器之间的唯一对偶密钥，如同上面的系统2的情况一样。在32中，设置服务器生成t多项式集份额和组合设计，其可被用来供应N个传感器，其中N是可互操作节点组的大小，并且是个大于或等于1的整数。在34中，设置服务器依照组合分配将t多项式集份额分配给每个传感器。一旦部署完毕，在36中，两个任意的传感器u和v找出它们共同拥有哪个t多项式集份额。在38中，所述两个任意的传感器u和v通过估算其公共的t多项式集份额来生成唯一的对偶密钥K_uv。

本实施例的一个方面增大了基于t多项式集的KPS的可扩展性而没有降低其弹性，同时保持了最优的节点执行效率。在一种途径中，沿FPP-(n²+n+1，n+1，1)(即通过将每个t多项式集F_bi，j(x，y)的N’/(n+1)个不同的份额与属于FPP的块B_i，i＝n²+n+1的每个元素b_ij，j＝1...n+1关联)将n+1个t多项式集分配给每个节点u。由于FPP的性质，带有各自依照不同块B_i，B_j∈FPP，i≠j的元素分配的n+1个t多项式集份额的两个任意的节点u和v，共享一个t多项式集F_k(x，y)，它们可以使用该t多项式集来计算logq比特的唯一对偶密钥。类似地，带有各自依照相同块B_i∈FPP的元素分配的n+1个t多项式集份额的两个节点共享n+1个t多项式集份额。通过这种方式，这些节点可以使用n+1个t多项式集份额中的任一个来计算logq比特的唯一对偶密钥。

这种技术允许增大Blundo等人以及Camtepe和Yener的KPS的可扩展性而不损失任何网络弹性，同时保持最优的计算性能以及共享唯一对偶密钥的可能性。此外，这种途径解决了Camtepe和Yener的KPS的FPP存在性问题而不降低网络弹性或者直接信任连通性。

在32中，设置服务器随机地生成Fq’上t×(n²+n+1)个λ次二元多项式{f_j ⁱ(x，y)_{j＝1...n2+n+1} ^i＝1...t的集合η。随后，对于j＝1...n²+n+1，设置服务器顺序地从η中挑选出t个多项式并且形成n²+n+1个t多项式集F_j(x，y)。然后，它生成FPP-(n²+n+1，n+1，1)，其元素属于集合S，其中|S|＝n²+n+1。集合S与多项式池关联，即S中的每个元素j与不同的t多项式集F_j(x，y)关联。此外，FPP的每个块与多项式环关联。FPP的性质保证了任何一对多项式环(FPP的块)共同拥有一个t多项式集F_k(x，y)(元素k)。

在34中，每个传感器节点u从设置服务器接收n+1个t多项式集份额F_bi，j(p_u，j，y)，其中p_u，j∈Fq’，b_i，j∈B_i∈FPP并且j＝1...n+1。点p_u，j必须取自有限域Fq’。这将p_u，j限制为q’-1个不同的可能值。但是，要供应的传感器数量N可能大于q’-1。为了保证对偶密钥的唯一性，两个不同的传感器u和v不能具有在同一点p_k估算的同一个t多项式集F_k(x，y)。由于每个t多项式集F_j(x，y)，j＝1...n²+n+1，可以在N’＝q’-1个不同的点进行估算，并且F_j(x，y)的标号j出现在n+1个FPP块中，从而(j出现处的)这些块中的每一个应当被用来将F_j(x，y)的不同份额预分配给不超过N’/(n+1)个不同的传感器。供应N≤N’n(1-1/(n+1))+N’个节点的密钥预分配过程采用了如下的步骤：

1.从带有元素{b_1，1，...b_1，n+1}的FPP的第一块B₁开始，第一节点(u₁)接收在Fq’的点p₁处估算的t多项式集份额F_b1，1(p₁，y)到F_b1，n-1(p₁，y)；第二传感器(u₂)接收在点p₂处估算的F_b1，1(p₂，y)到F_b1，n+1(p₂，y)，以此类推；直到第N’/(n+1)个传感器(u_N’/(n+1))接收在点p_N’/(n+1)处估算的F_b1，1(p_N′(n+1)，y)到F_b1，n+1(p_N′/(n+1)，y)，

2.接下来处理带有元素{b_2，1，...b_2，n+1}的FPP的第二块B₂，假设b_1，1＝b_2，1，传感器接收在点p_1+N’/(n+1)处估算的F_b1，1(p_1+N′/(n+1)，y)(对于传感器u₁...u_N’/(n+1)，已经在较低点估算了F_b1，1(x，y))，和在点p₁处估算的F_b2，2(p₁，y)到F_b2，n-1(p₁，y)；以此类推，以及

3.使用FPP的所有块重复步骤1和2以便供应系统的N个节点。

在36中，发现t多项式集份额。部署完成后，在建立对偶密钥之前，每个传感器节点u必须发现它与它的伙伴节点v共享哪个t多项式集。为此，节点u和v交换其ID，所述ID隐式包含了它们携带的n+1个t多项式集份额的标号以及点p_u1...p_un+1，p_v1...p_vn+1，在这些点处估算各自的n+1个t多项式集份额。最后，它们找到标号k(对应公共的t多项式集F_k(x，y))以及各自的估算点p_u和p_v。

在38中，建立密钥。为了计算对偶密钥K_uv，节点u在点p_v处估算所述t个(包含在F_k(p_u，y)中的)λ次二元多项式f_k ⁱ(p_u，y)，i＝1...t(即f_k ⁱ(p_u，p_v))以便获得t个部分密钥。然后，节点u将所述t个部分密钥截断成logq’比特并且连接这t个密钥片断以形成最终的logq比特的对偶密钥K_uv。

简单传感器ID

图3示出一种识别DPKPS中的传感器u的方法50。在52中，它携带的n+1个t多项式集份额的n+1个标号b_i，1，...b_i，n+1与n+1个点p_u1...p_un+1连接，所述t多项式集份额在这些点处进行估算。在54中，这样的ID唯一识别出传感器u，而在56中，它允许非常简单地发现公共t多项式集份额和t多项式集份额估算点。

在58中，通过使用简单传感器ID来发现公共的t多项式集份额。两个传感器u和v找出在各自的ID中共有哪个标号，例如标号k。在60中，通过获取包含在简单传感器ID中的第k个点导出t多项式集份额估算点。

最优化的传感器ID

由于当n增加时，使用简单传感器ID显著地增大了DPKPS的存储和通信成本，因此可以通过利用基于互相正交拉丁方(MOLS)的FPP的性质来采用一种可替换的最优化传感器ID方法。对于实际的n值，这种最优化方法构造出长度非常短的传感器ID。

图4显示了用来在诸如上面的系统2的移动传感器系统中识别传感器的一套方法70。

FPP(n²+n+1，n+1，1)由n-1个n阶互相正交拉丁方(MOLS)形成。拉丁方是n×n方阵L，其项目(entry)由n个符号组成，使得每个符号在每行和每列刚好出现一次。这些符号用作从1到n的整数。构造L的一种非常简单的方式是将整数1，2，...n按照其自然顺序置于第一行，并且对于连续行，向右周期性循环前一行。

在72中，形成互相正交拉丁方(MOLS)。n个符号1，2，...n上的两个拉丁方 $L^1=\left|l_{\mathrm{ij}}^1\right|$ 和 $L^2=\left|l_{\mathrm{ij}}^2\right|$ ，如果叠加时n²对符号(l_ij ¹，l_ij ²)，i＝1，2...n；j＝1，2...n中的每一对刚好出现一次，那么这两个拉丁方是正交的。具有相同阶n的拉丁方集合L¹，L²，...L^t称为MOLS集，所述拉丁方集合中的每个是其余拉丁方中的每个的正交副(orthogonal mate)。n-1个n阶MOLS的集合是个完备集合。

给定一对正交拉丁方 $L^1=\left|l_{\mathrm{ij}}^1\right|$ 和 $L^2=\left|l_{\mathrm{ij}}^2\right|$ ，第一方阵中的单元(cell)包含一个特定的符号l¹。由于拉丁方的性质，在每一个行和列中只存在这些单元中的一个。根据正交性，与第一方阵中的单元对应的正交副的单元中的n个项目形成正交副中的截线(transversal)，例如这n个项目正好包含每个符号，这些单元中的一个和每个位于不同的行和列。

对于n为素数幂的情况，形如f_a(x，y)＝ax+y，a≠0∈F_n的多项式的集合代表n-1个n阶MOLS的完备集合。这导致非常简单的构造方法：令e₁，e₂，...e_n为F_n(即整数1...n)的元素。然后，对于每个元素e_m，m＝1，2，...n，按下式顺序计算矩阵 $L^{e_m}=\left|l_{\mathrm{ij}}^{e_m}\right|$ 的元素l_ij ^em：

$l_{\mathrm{ij}}^{e_m}=(e_m\×e_l)+e_j---\left(1\right)$

参数n和e_m足以构造特定的正交拉丁方 $L^{e_m}=\left|l_{\mathrm{ij}}^{e_m}\right|.$

在74中，根据MOLS构造有限投影平面(FPP)。令L¹，L²，...L^n-1为n阶MOLS的完备集合，且M为n×n矩阵。首先，从第一行到第n行通过按其自然顺序放置n²个整数1...n²来构造矩阵M。其次，根据所述MOLS如下生成n阶仿射平面AG(2，n)：(i)前n个块是M的行；(ii)次n个块是M的列；以及(iii)通过将每个L^em顺序叠加到M上并且将与每个L^em中单个符号l^em对应的M的元素看作块来形成剩余的n²-n个块。由于每个L^em包含n个不同的符号，每个L^em:M叠加产生n个块。最后，为了得到FPP(n²+n+1，n+1，1)，(i)将新整数n²+1添加到所述仿射平面的前n个块，(ii)将新整数n²+2添加到所述次n个块，(iii)将整数n²+2+e_m添加到从每个L^em构造的n个块，并且(iv)将新块添加到该设计中，其包含n+1个新添加的整数。

给定n和i，容易重构出块B_i∈FPP，1＜i≤2n。例如，对于n＝3，由M^3×3的第一列和整数11构造块B₄，即B₄＝(1，4，7，11)。对于块B_i∈FPP，2n＜i≤n²+n而言，标号i还隐含标识了拉丁方L^em的标号e_m，1≤e_m≤n-1，据此生成B_i。例如，对于n＝3，从L²生成块B₁₂。为了重构这些块B_i(2n＜i≤n²+n)中的一个，附加地需要元素l^em。

在76中，识别出连接了三个数i，i_p和l^em的传感器u，其中1≤i≤n²+n+1，1≤i_p≤N’/(n+1)并且1≤e_m≤n。第一个数i识别出块B_i∈FPP，据此选择u的t多项式集份额，第二个数识别出B_i内t多项式集份额分配给u的次序i_p，并且第三个数识别出拉丁方L_i的元素，据此导出B_i。这种ID唯一地识别出传感器u并且允许比简单ID更有效得多地发现公共t多项式集份额和t多项式集份额估算点。

在78中，为最优化传感器ID发现t多项式集份额。在80中，为最优化传感器ID导出t多项式份额估算点。

图5显示了通过使用包含在最优化传感器ID中的信息来发现公共t多项式集份额的方法100。在102中，最优化传感器ID允许传感器节点u计算其本身以及伙伴节点v的t多项式集份额的标号。在104中，通过比较这种信息，节点u可以导出与节点v的公共t多项式集份额F_k(p_u，y)的标号k，1≤k≤n²+n+1。

传感器u携带的t多项式集份额F_bi，j(p_uj，y)，j＝1...n+1的标号与B_i∈FPP的元素{b_i，1，b_i，2，...b_i，n+1}成一对一映射。如上面所指出的，给定n、B_i的标号i和整数l^em，那么可能唯一地重构出{b_i，1，b_i，2，...b_i，n+1}＝B_i。这里，必须区分两种情况：在106中，决B_i，1≤i≤2n和B_n2+n-1，其重构是容易的。可替换地，在108中，块B_i，2n＜i≤n²+n，其重构也简单，但是要求进行下面的分析。在108中，根据构造仿射平面的步骤(iii)(在来自图3a的步骤54中)可知，B_i的元素{b_i，1，b_i，2，...b_i，n+1}取自M中由2n个坐标{(i₁，j₁)，(i₂，j₂)，...(i_n，j_n)}标记的位置，其中l^em出现在L^em内。这样，确定这些坐标时，得到B_i的元素。在110中，根据标号i直接导出e_m，其识别出用来选取B_i的元素中的n个的拉丁方L^em。在112中，元素l^em的位置决定了L^em中的截线，从而l^em在L^em的每行中出现一次。这样，l^em出现在位置{(1，j₁)，(2，j₂)，...(n，j_n)}处。假定l^em和e_m已知，利用方程1，可得：

$l^{e_m}=(e_m\×1)+e_{j_1},e_{i_1}=1$

$l^{e_m}=(e_m\×2)+e_{j_2},e_{i_2}=2$

$l^{e_m}=(e_m\×n)+e_{j_n},e_{i_n}=n$

在114中，求解这些方程，这产生具有n个不同值 $(e_{j_1},e_{j_2},e_{j_n})\∈F_n$ 的矢量V。如已经指出的，来自F_n的元素e₁，e₂，...e_n按顺序用于计算矩阵 $L^{e_m}=\left|l_{\mathrm{ij}}^{e_m}\right|$ 的每个元素l_ij ^em，即元素e₁用于计算位置{(1，1)，(2，1)，(3，1)，...(n，1)}处的元素，元素e₂用于计算位置{(1，2)，(2，2)，(3，2)，...(n，2)}处的元素，以此类推。换句话说，每个值 $(e_{j_1},e_{j_2},e_{j_n}){\∈F}_n$ 确定l^em出现处的坐标{(1，j₁)，(2，j₂)，...(n，j_n)}，例如，如果对于i₃＝3， $e_{j_3}=2,$ 那么j₃＝2(l^em出现在{(1，j₁)，(2，j₂)，(3，2)...(n，j_n)}处)。

最后，在116中，将这些坐标映射到矩阵M的元素，这样从B_i的n+1个元素中直接确定出n个元素。现在，得到仿射平面的块。将整数n²+2+e_m添加到该块，得到块{b_i，1，b_i，2，...b_i，n+1}＝B_i。用这种方法生成FPP的块(至多)需要F_n中的n次加法和n次乘法。

图6示出导出t多项式集份额估算点的方法130。为了导出点p_v，节点u必须遵循FPP的性质所允许的简单过程，在所述点p_v处节点u估算其份额F_k(p_u，y)以便生成密钥K_uv。

如上面所指出的，i_p是节点v在依照块B_i∈FPP，1≤i≤n²+n+1，的t多项式集份额的分配中的顺序。假定已将t多项式集F_k(x，y)的份额分配给v。以下描述的过程允许导出点p_v∈Fq’，在该点处估算v的份额F_k(p_v，y)。假设p_v＝s_k N′/(n+1)

+i_p，其中s_k量化F_k(x，y)在块B_j∈FPP，j＝1...i中出现的数目。

在132中，由于FPP从MOLS构造，其开始的n²个元素在每组n个后续的块B_1+t，B_2+t，...B_n+t，t＝0，n，2n，3n...n×n中出现一次。然后，在134中，给定块标号i，1≤i≤n²+n，以及t多项式集标号k，k≤n²，容易导出其发生计数器s_k，即s_k＝

i/n

。形如k＝n²+j，j＝1...n+1的每个元素在所述块B_i+n(j-1)，i＝1...n的组中出现n次。在这种情况下，s_k＝i-n(j-1)。在136中，块B_n2+n+1的元素k＝n²+j，j＝1...n+1第n+1次出现在FPP内。因此，给定t多项式集标号k、块标号i和FPP的阶n，节点u可直接导出点p_v以便估算出它与节点v的公共份额F_k(p_u，y)。

不同于在先的随机密钥预分配方法的是，这些实施例允许两个随机选择的传感器节点直接找到公共密钥以便与BSN的(或者DSN术语中的邻域的)大小和密度无关地进行鉴定。附加地，传感器节点可以在不同的BSN间漫游并且仍然进行鉴定和/或建立安全的通信。BSN的安全性在不需要BSN使用人员的主动或有意识参与的情况下是成立的。

操作密钥管理

图7和8示出一种系统150，其包括安全服务器152、设置服务器154、多个无线传感器156，158，160，162，164，166，168，170、多个躯体传感器网络172，174，176以及移动基站178和180。图7显示了在传感器156-170被部署之前的系统150。图8显示了在所述传感器已被部署之后的系统150。在一个实例中，安全服务器152和/或设置服务器154是用于安全性的专用服务器。安全服务器152是专用于安全性的服务器，其在部署传感器前后都主动参与安全性操作。设置服务器154是专用于安全性的服务器，其仅在部署传感器之前主动参与安全性操作。在部署完传感器156-170和基站178，180之后，其继续或者偶尔排他性地连接到基站。如图8所示，一旦部署完毕，传感器156-170并不连接到安全服务器152。如图7所示，移动基站178，180和传感器156-170仅在预部署阶段中(即在这些设备被使用前的初始配置中)才能连接到设置服务器154。

无线传感器156-170负责收集和传送病人医疗数据。在一个实例中，传感器156可以建立到第二个任意传感器158和/或到基站180的无线连接。传感器节点受限于存储容量、电池和CPU。在一个医院中，可能存在数千个传感器。一个或多个BSN是无线联网传感器节点的集合。BSN的节点可以连接到一个或多个病人。BSN典型地受到带宽的限制。在一个医院中，可能存在数百或数千个BSN(例如一个病人一个BSN)。移动基站(BS)178，180是用来访问BSN上的数据和配置BSN的移动设备。BS典型地是中等资源和功率设备。在一个医院中，可能存在数百或者数千个BS。

操作密钥管理解决方案由以下方法组成：

1.密钥预分配。设置/安全服务器按照基本的密钥预分配方案将基本的密钥资料分配给每个传感器，并且通过不同的途径分配给每个移动基站。这是在传感器或基站在例如医院中被部署之前的配置阶段中完成的。

2.预分配密钥认证。一个任意的BS访问若干形成任意的BSN的传感器以便分配密钥证书KC_l，其使前一步骤中预分配的密钥资料在给定的未来间隔I_l内有效。

3.密钥建立。两个任意的传感器u和v通过使用预分配的密钥资料和有效密钥证书来生成唯一的对偶密钥K_uv。

基本的密钥预分配方案

可以采用不同的成套方法来实现对称密钥预分配方案(例如Blom、Blundo等人的方案或者DPKPS)，所述对称密钥预分配方案可用作下述方案的基本框架。

图9示出了一种采用了Blom的对称密钥预分配方案的密钥预分配方法230。Blom方案允许网络中的任意一对节点导出对偶密钥。基于Du等人的工作(A pairwise key pre-distribution scheme forwireless sensor networks.In Proc.of the 10th ACM Conferenceon Computer and Communications Security(CCS)，2003，pp.42-51)，依照本实施例加入了对于Blom原始方案的轻微修改以便使其适用于BSN。

可以如下使用Blom的方案。在预部署阶段期间，在232中，设置服务器在有限域Fq上构造(λ+1)×N矩阵G，其中N为在不同BSN中可能遇到的可互操作节点组的大小，q是个大得足以供应加密密钥的数字。G被看作公开信息，即包括潜在不法用户在内的任何传感器都可以知道G的内容。在234中，设置服务器在Fq上创建随机秘密的(λ+1)×(λ+1)对称矩阵D，并且在236中，计算N×(λ+1)矩阵A＝(DG)^T，其中(DG)^T为DG矩阵的转置。由于D是对称的，所以K＝AG是个对称矩阵。因此，K_uv＝K_vu，其中K_uv是位于K中第u行和第v列的元素。K_uv(或者K_vu)用作节点u和节点v之间的对偶密钥。最后，对于k＝1，2，...N，设置服务器分配：

1.在238中，矩阵A的第k行给节点k，以及

2.在240中，矩阵G的第k列给节点k。可替换地，为了节省对存储容量的需要，可将生成矩阵G的第k列的种子G(k)分配给节点k。

在242中，确定种子是否被分配。如果没有，那么在部署阶段之后，在242中，当节点u和v需要在它们之间找出对偶密钥时，它们首先交换它们的G中的列。可替换地，在244中，如果已经分配了种子，那么节点u和v交换种子并且计算其他节点的G的列。然后，在246中，节点u和v通过使用它们的A中的私有行可以分别计算K_uv和K_vu。因为G是公开信息，所以可以用明文发送它的列(或种子)。

可替换地，如图10所示，方法250利用Blundo方案进行密钥预分配。Blundo等人提出基于多项式的密钥预分配协议以导出组密钥。对于两用户组，Blundo的方案是Blom的方案的特例，具有非凡的优点：在对偶密钥建立过程中没有通信开销。下面讨论在BSN上下文中建立基于多项式的对偶密钥的特殊情况。

在252中，设置服务器在有限域Fq上随机生成二元λ次多项式 $f(x,y)=\underset{i,j=0}{\overset{\mathrm{\λ}}{\mathrm{\Σ}}}{a}_{\mathrm{ij}}{x}^i{y}^j$ ，使得其具有性质f(x，y)＝f(y，x)，其中q是个大得足以供应加密密钥的素数。假定每个传感器具有唯一标识符(ID)。在254中，设置服务器为每个传感器u计算f(x，y)的多项式份额(即f(x，y))并将其分配给每个传感器u。

在256中，对于任何两个传感器节点u和v而言，节点u可以通过估算点v处的f(u，y)来计算公共密钥K_uv＝f(u，v)，并且节点v可以通过估算点u处的f(v，y)来计算同一密钥K_vu＝f(v，u)＝f(u，v)。Blundo等人的文献中的安全性证明保证了这个方案是无条件安全并且防λ串通的。换句话说，不超过λ个受损传感器节点的串通并不知道任何两个未受损节点之间的对偶密钥。

作为优选的备选项，可将DPKPS用于初始预分配对偶密钥给传感器。

主动方法被用来增进对密钥的信任和控制对密钥的使用，从而减小受损节点的影响，所述密钥用任何基本的密钥预分配方案进行预分配。

应当假定的是，所有传感器节点的寿命都划分成n+1个持续时间为T的公共长间隔，记为I₀，I₁，I₂，...I_n，即传感器节点都与全局参考时间松散同步，即使当这些传感器在不同的BSN中连接时，情况也是如此。

图11示出用来认证预分配密钥的一套方法260，并且是下面的图12-15中的密钥认证方法的总结。在262中，在每个时间间隔I_l-1期间，(不管传感器位于何处，)移动基站(BS)均偶尔联系传感器，在264中，检验传感器的完整性之后，在266中，将密钥证书KC_l分配给每个未受损的传感器节点。在268中，密钥证书KC_l使传感器预分配密钥的完整性在单个间隔I_l内有效，即预分配密钥在时间间隔I_l内有效。类似地，在270中，受损节点u没有接收密钥证书KC_l，因而其预分配密钥被撤销。

在下文中，给出一系列方法280，310，330和370；每个靠后的方案都是通过解决靠前方案的某些不足来改进靠前方案的。方法280，310，330和370之间的差别在于基站中以及基站与安全服务器间的连通性级别。这些方法在如何生成或者达成密钥证书方面也是有区别的。

图12示出了用来集中发布全局密钥证书的一套方法280。在这一部分，安全服务器驻留在不同于BSN部署区的安全位置。如上面所指出的，安全服务器是专用于安全性的服务器，其在部署传感器前后都主动参与安全性操作。设置服务器是专用于安全性的服务器，其仅在部署传感器之前主动参与安全性操作。因此，设置服务器在传感器被部署完之后保持离线状态。另外假定，一个或多个移动基站偶尔并且短暂地存在于BSN中。基站也偶尔与安全服务器发生联系。由于基站是昂贵的节点，它们采用了防篡改硬件并且在计算能力或存储容量方面没有限制。这样，移动基站的数量远小于传感器节点的数量。因为基站典型地不是无人值守的并且它们仅仅偶尔存在于BSN部署区域中，所以它们并不容易受到捕获或损害。

由于传感器节点是可移动的，因此不能假定基站总在BSN的无线范围内(例如身上连接了一些传感器的病人穿过医院花园散步)。但是，既然BSN的目的是收集待发送到终端用户的数据，因而假定BSN将偶尔处于基站的无线范围内。这是对BSN的重要要求，否则由于传感器节点中存储容量的限制可能引起传感器节点收集的信息的丢失。将静态专用服务器用于传感器网络安全性的缺点是众所周知的。例如，不法分子可能试图对专用服务器发起拒绝服务(DoS)攻击。如果专用服务器是经过复制的、可移动的以及并不总存在于BSN中，那么这些缺点就不复存在。在BSN环境中，假定存在移动基站。例如，医生通过一种途径下载来自花园中病人BSN的数据。在下文中，术语基站指的是移动基站，其可以用于安全性目的。

在282中，在部署前按照所述基本的密钥预分配方案(例如Blom、Blundo等人的方案、DPKPS)中的任一种，用唯一标识符和安全性资料初始化传感器节点。并不采用基本的密钥预分配方案来提供传感器节点和基站之间的对偶密钥，以避免发生λ个受损节点的串通可能冒充基站的风险。此外，并不建议在基站BSi和传感器节点之间共享组密钥，因为单个节点的受损会损害其余节点的安全性，从而使得基站BSi不可用于安全性操作。相反，在284中，对于每个基站BSi＝1，...，M和每个传感器节点u＝1，...，N，N＞＞M，安全服务器按照平常的密钥预分配方案随机挑选和分配对偶密钥K_u，BSi。该方案允许每个传感器节点与基站BSi安全地通信。它是无条件安全的，并且节点中所需的额外存储容量仅为M×logq。最后，在286中，安全服务器通过随机挑选密文K_n和生成K_k＝F(K_k+1)，k＝0，1，...，n-1来产生具有n+1个元素K₀，K₁，...，K_n的密钥链，其中F是个伪随机函数。在288中，安全服务器将该密钥链的起始元素K₀分配给每个传感器节点u＝1，...，N。利用伪随机函数F，给定所述密钥链中的K_k，任何传感器节点都能计算在先的密钥K_m；0≤m≤k，但是不能计算在后的密钥K_m；k+1≤m≤n。因此，利用起始密钥K₀的知识，传感器节点仅仅通过执行伪随机函数运算就可以鉴定所述密钥链中的任何密钥。所述密钥链中的第二个元素K₁起初被分配给每个基站BSi。

基站具有类似于公开密钥底层结构的委托认证授权的作用，安全服务器作为受信根。在290中，基站将密钥证书(KC)发布给未受损节点，该密钥证书使得它的预分配密钥在有限时间段T内有效。时间段T过后，节点的预分配密钥不再有效。所述密钥链的元素K₀，K₁，...，K_n按顺序用作对应每个时间间隔I₁，I₂，...，I_n的密钥证书。在下文中，所述密钥链的元素称为密钥证书KC₀，KC₁，...，KC_n。

在292中，在时间间隔I_l期间，每个基站BSi将偶尔与安全服务器联系。由于基站和安全服务器是功能强大的节点，它们能够使用公开密钥加密术来保护其通信。安全服务器将把下一个密钥证书KC_i+1分给每个基站BSi，BSi＝1，...，M。应当注意，如果出现基站受损这样的罕见事件，只有一个证书受到损害，不会危及进一步的密钥证书的公开，即受损基站本身不能计算下一个密钥证书。由于在下一个时间间隔I_l+1内基站不会与安全服务器联系，因而容易检测到基站的受损。因此，在受损间隔的后继间隔内，受损基站将不会获得密钥证书。不过，在这种情况下，其余基站应当向所有传感器节点通告受损基站BSi的标识。每个传感器节点u将擦除它与BSi的共享密钥K_u，BSi，从而将BSi从它的受信任基站列表中删除。

在294中，在时间间隔I_l期间，至少一个任意的基站BSi将偶尔并且短暂地与BSN联系。在296中，通过使用合适的密钥K_u，BSi，基站BSi将鉴定并且建立与形成BSN一部分的每个未受损传感器节点的安全通信。在298中，基站将把与时间间隔I_l+1对应的密钥证书KC_l+1分配给每个已鉴定的传感器节点。第三，传感器节点将检验h(K_l+1)等于已存储的K_l。在不利的情况下，传感器节点能够可靠地推断基站BSi已经受损，从而拒绝伪造的密钥证书KC’_l+1。

在300中，建立密钥。如果两个节点需要建立对偶密钥，它们首先如上面所解释的导出对偶密钥。然后，它们检查两者都具有来自基站BSi的有效密钥证书。由两个传感器节点u和v执行的密钥证书验证过程必须是安全的，以便防止不法用户获得有效密钥证书。因此，这个过程不能要求通过内部检查各自密钥证书是针对当前时间间隔Il而发布的并且检查这些密钥证书可以被所述密钥链的起始密钥K0鉴定(或者是导出的已鉴定密钥Km；m＜1)，来首先交换各自密钥证书，然后验证这些密钥证书。相反，两个传感器节点都运行零知识(ZK)协议来证明两者都具有有效的证书，而不需实际地披露该证书。ZK协议给出如下：

U→V：Nu	(1)
		V→U：Nv	(2)
U：KZNPuv＝MACKCl(Nu||Nv)	(3)
		V：KZNPvu＝MAC KCl(Nv||Nu)	(4)
U：MACKuv(KZNPuv)	(5)
		U：MACKvu(KZNPvu)	(6)
U→V：MACKuv(KZNPuv)	(7)
		V→U：MACKvu(KZNPvu)	(8)

在(1)中，节点u将自生成的现时(nonce)Nu发送给节点v。在(2)中，节点v将自生成的现时Nv发送给节点u。在(3)中，u使用密钥证书KCl以及两个现时Nu和Nv来计算消息鉴定码(MAC：message authentication code)。两个现时必须包含在消息(3)和(4)中以避免反射攻击，即v在不知道KCl的情况下欺骗u计算KZNP，然后v能够使用该KZNP来与第三节点w成功地运行ZK协议。利用相似的程序，在(4)中v计算同一ZK协议密钥KZNPvu。应当注意，KZNPuv≠KZNPvu。两个ZK协议密钥必须不同，以避免v在不知道KCl的情况下只是重播消息(7)以便成功地运行ZK协议。在(5)中，u使用对偶密钥Kuv计算KZNPuv的MAC。在(6)中，v使用对偶密钥Kvu计算KZNPvu的MAC。这两个步骤是必不可少的，以便将KCl的知识分别与u和v关联起来。它们还防止攻击者窃听在(7)和(8)中交换的消息。最后，u验证v知道KCl：按照v在(4)和(7)中执行的步骤，u能够计算出一段信息来与在(8)中从v接收的信息进行比较。节点v能够按照相似的程序来验证u的KCl知识。应当注意，因为(7)和(8)交换的消息是用分别由节点u和v内部存储的信息进行计算的MAC，并且没有公开进一步的信息，因此有关KCl的信息没有被披露。

图13示出了用来提供中心一致全局密钥证书的一套方法310。来自图12的方法对于一些应用存在严重的缺陷：在这些应用中要求基站BSi与安全服务器联系可能是不可行的。但是在许多应用中，基站在下一次访问BSN之前的一段时间中将具有相互的偶然的互连。例如，对不同BSN中收集的信息进行全局交换。在方法310中，利用了这一事实。

在方法310中，假定离线设置服务器驻留在不同于BSN部署区的安全位置。还假定偶尔并且短暂地出现在BSN中的大量移动基站BSi，BSi＝1，...，M的存在。但是在方法310中，这些基站在部署阶段过后并不与设置服务器进行偶然的联系。相反，它们偶尔并且短暂地彼此互连。在方法280中讨论的针对基站的其他假定在方法310中也成立。

在312中，在部署之前按照所述基本的密钥预分配方案中的任何一个方案用唯一标识符和安全性资料对传感器节点进行初始化。在314中，对于每个基站BSi＝1，...，M和每个传感器节点u＝1，...，N，N＞＞M，安全服务器按照平常的密钥预分配方案随机地挑选和分配对偶密钥K_u，BSi。

基站具有类似于公开密钥底层结构的交叉连接认证授权的作用。在316中，基站向未受损节点发布密钥证书，该密钥证书使得其预分配密钥在有限的时间段T内有效。时间段T过后，节点的预分配密钥不再有效。在318中，在时间间隔I_l-1期间，每个基站将偶尔彼此互连。由于基站是功能强大的节点，所以它们能够使用公开密钥加密术来保护它们的通信。在320中，基站将就对应时间间隔I_l+1的密钥证书KC_l+1达成一致。

在时间间隔I_l期间，至少一个任意的基站BSi将偶尔并且短暂地与BSN联系。在322中，基站BSi将通过使用合适的密钥K_uBSi来鉴定和建立与形成BSN一部分的每个未受损传感器节点的安全通信。在324中，基站将把与时间间隔I_l+1对应的密钥证书KC_l+1分配给每个已鉴定传感器节点。

时间间隔I_l过后，每个基站BSi忽略密钥证书KC_l+1。因此，基站BSi至多在两个时间间隔I_l-1和I_l保持密钥证书KC_l+1。应当注意，在基站受损的罕见情况下，只有两个密钥证书KC_l和KC_l+1受到损害，不会危及进一步的密钥证书的公开，即受损基站不能预知KC_l+1的下一个密钥证书。由于在下一个时间间隔I_l+1内基站不会与安全服务器联系，因而容易检测到基站的受损。不过，在这种情况下，其余基站应当向所有传感器节点通告受损基站BSi的标识，并且如果可能的话，分配对应现在当前时间间隔I_l+1的更新的密钥证书KC^renewed _l+1。每个传感器节点u将擦除它与BSi的共享密钥K_u，BSi，从而将BSi从它的受信任基站列表中删除。

在326中，建立密钥。如果两个节点需要建立对偶密钥，它们首先如上面所解释的导出对偶密钥。然后，它们如方法280中所解释的通过运行ZK协议来检查两者都具有有效的密钥证书。

图14示出了允许全局密钥证书局部达成一致的一套方法330。对于一些应用而言，方法300具有严重的缺陷：在这些应用中要求所有基站BSi在时间间隔I_l期间彼此互连可能是不可行的。还有，基站在下一次访问BSN之前的一段时间中无疑将成小组地偶尔互连。例如，对不同BSN中收集的信息进行交换。在方法330中，利用了这一事实。

在332中，在部署之前按照所述基本的密钥预分配方案中的任何一个方案用唯一标识符和安全性资料对传感器节点进行初始化。在334中，对于每个基站BSi＝1，...，M和每个传感器节点u＝1，...，N，N＞＞M，设置服务器按照平常的密钥预分配方案随机地挑选和分配对偶密钥K_u，BSi。在336中，安全服务器生成密文S。在338中，设置服务器按照(t，M)阈值方案(t≤M)从密文S中生成M个份额S₁，S₂，...，S_M，并且将S_i安全地分配给每个基站BSi。任何汇集其份额的t个或更多的基站能轻易地复原出S，但是任何仅仅知道t-1个或者更少的份额的基站组则不能。应当注意，在t＝1的特殊情况下，每个基站BSi持有实际的密文S。

按照这种特定的途径，基站具有类似于公开密钥底层结构的交叉连接认证授权的作用。在340中，基站向未受损节点发布密钥证书，该密钥证书使得其预分配密钥在有限的时间段T内有效。时间段T过后，节点的预分配密钥不再有效。

在342中，在时间间隔I_l-1中，每个基站BSi将偶尔进行安全的互连，形成小的非互连组G_g，G₁，G₂...g＜M。每个基站BSi连接到至少一个组G_g。因此，每个组的成员的数量为|G_g|≥

M/g

，其中

x

为小于或等于x的最大自然数y。组G_g可以表示为G_g＝{G_g1，...，G_gk；k＝|G_g|}。例如，M＝7个基站以及g＝3时，那么|G_g|≥2并且组的布置可能是G₁＝{BS2，BS3，BS6}和G₂＝{BS1，BS4，BS5}和G₃＝{BS1，BS7}。应当注意，对于组G₃，|G₃|＝2并且G_g1＝BS1以及G_g2＝BS7。现在引出的一个必要条件是，对于所有g，|G_g|≥t。在344中，组G_g的成员G_gl，...，G_gk汇集其份额S_Gg1...S_Ggk来计算S。然后，每个组成员通过求解KC_l+1＝F(S，l+1)来独立计算对应间隔I_l+1的密钥证书KC_l+1。最后，每个组成员忽略S。

在时间间隔I_l期间，至少一个任意的基站BSi将偶尔并且短暂地与BSN联系。在346中，基站BSi将通过使用合适的密钥K_u，BSi来鉴定和建立与形成BSN一部分的每个未受损传感器节点的安全通信。在348中，基站将把与时间间隔I_l+1对应的密钥证书KC_l+1分配给每个已鉴定传感器节点。与方法300中一样，在时间间隔I_l过后，每个基站BSi都忽略密钥证书KC_l+1。

在350中，建立密钥。如果两个节点需要建立对偶密钥，它们首先如方法300中所解释的导出对偶密钥。然后，它们如方法270中所解释的通过运行ZK协议来检查两者都具有有效的密钥证书。

图15示出了允许不同的密钥证书达成局部一致的一套方法370。方法330相对于方法270和300具有显著的操作上的进步：基站的每一小部分能够独立地管理密钥证书，而不必与设置服务器联系。而且，在基站受损的罕见情况下，所有BSN的安全性在剩余时间间隔内不会受到损害。

在先的方案的重要优点在于：在时间间隔I_l期间，所有传感器节点都能够与其可移动性无关地鉴定和/或建立安全的通信，即在时间间隔I_l期间，传感器节点能够穿过不同的BSN进行漫游，并且仍然能够在它们的全体之中进行安全的通信。换句话说，方法270，300和330允许不同BSN中的节点穿过单一安全域进行逻辑安全互连。这反过来给安全性带来起冲突的效果：未检测到的受损节点在受损间隔I_l的剩余时间内仍然能够连接到BSN，因为它持有KC_l，并且如果它已经持有KC_l+1，那么在下一个间隔I_l+1内也可能这样。应当理解的是，受损节点不能够欺骗基站。这样，受损节点获得K_l+1的唯一方式是在受损之前接收它。

不过，在一些传感器应用中，系统的脆弱性不那么严重。此处考虑其中传感器具有非常低的可移动性的应用。设想一下，例如一组传感器连接到人体。自然其情况下人体是可移动的，但是连接的传感器彼此不发生相对移动。

在方法370中，BSN并不通过全部共享同一密钥证书KC_l来在逻辑上安全地互连。相反，在这个实施例中，不同的BSN可以具有不同的密钥证书KC¹ _l，KC² ₁...KC^m _l，将属于某BSN的传感器节点与属于具有不同密钥证书KCⁱ _l和KC^j _l，i≠j的BSN的其余节点分开。换句话说，全体传感器现在属于不同的以及动态的安全域，每个安全域由一组基站无异议同意的密钥证书所决定。在给定的时间间隔I_l内，两个传感器节点当且仅当属于同一安全域时才能安全地通信。

在372中，如方法330中所述的预分配密钥。在374中，预分配密钥证书。基站具有类似于公开密钥底层结构的根认证授权的作用。在376中，基站向未受损节点发布密钥证书，该密钥证书使得其预分配密钥在有限的时间段T内有效。时间段T过后，节点的预分配密钥不再有效。来自不同基站BSi和BSj，i≠j的密钥证书KC^BSi _l和KC^BSj _l可能并不相等。

在378中，在时间间隔I_l-1中，每个基站BSi将偶尔进行安全的互连，形成小的非互连组G_g，G₁，G₂...g＜M。每个基站BSi连接到至少一个组G_g。在380中，组G_g的成员G_g1，...，G_gk汇集其份额S_Gg1...S_Ggk来计算S。在382中，每个组成员通过求解KC^g _l+1＝F(S，N_Ggl)来独立计算对应间隔I_l+1的密钥证书KC^g _l+1，其中NG_g1是对应间隔I_l+1的专属于组G_g的现时。在384中，每个组成员忽略S。

在386中，在时间间隔I_l期间，至少一个任意的基站BSi将偶尔并且短暂地与BSN联系。在388中，基站BSi将通过使用合适的密钥K_u，BSi来鉴定和建立与形成BSN一部分的每个未受损传感器节点的安全通信。在390中，基站将把与时间间隔I_l+1对应的密钥证书KC^g _l+1分配给每个已鉴定传感器节点。与在先的方案中一样，在时间间隔I_l过后，每个基站BSi都忽略密钥证书KC^g _l+1。

在方法370中存在三种特殊情况：首先，如果允许每个基站BSi仅一次地加入组G_g，那么它就导出单一密钥证书K^g _l+1。其效果是具有与组G_g一样多的不同安全域。在t＝1的特殊情况下，每个基站BSi形成自己的组G_i，因而其效果是具有与基站BSi一样多的不同安全域。其次，如果允许基站BSi加入n个不同的组G₁，G₂...G_n，1＜n≤g，那么它就导出n个不同的密钥证书KC¹ _l+1，KC² _l+1...KCⁿ _l+1。其效果是具有不同的安全域，有些安全域在逻辑上连接。第三，如果所有的基站都互连到相同且唯一的组，那么它们都同意同一密钥证书，从而其效果是如方法330中的全局安全域。

在392中，建立密钥。如果两个节点需要建立对偶密钥，它们首先如方法300中所解释的导出对偶密钥。然后，它们如方法270中所解释的通过运行ZK协议来检查两者都具有有效的密钥证书。具有不同密钥证书的两个传感器节点不能建立密钥。

在方法370中，受损传感器节点不能用来攻击具有与该受损节点持有的密钥证书不同的密钥证书的传感器。但是，利用方法370，具有不同密钥证书的传感器节点不能在同一BSN中进行安全的通信。这种密钥管理系统具有改进的抗节点捕获的弹性，而不必依赖对应BSN的任何全局ID，并且使用的传感器存储容量比基本的密钥预分配方案所需的存储容量稍多一些。

上面已经参照优选的实施例对本发明进行了描述。其他人员一旦阅读和理解了前面详细的描述之后可能会想到一些修改和改进。需要指出的是，只要这些修改和改进落入所附的权利要求或其等价物的范围之内，本发明应当被视为包括了所有这些修改和改进。

Claims (24)

1.一种用于监测病人的无线网络系统(2，150)，该无线网络系统(2，150)包括：

躯体传感器网络(22，24，26，172，174，176)，该躯体传感器网络包括两个或多个操作时连接到病人的无线传感器(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)，所述无线传感器收集与病人的健康状况有关的信息并且将这些信息传送到所述无线网络系统(2，150)；

设置服务器(4，154)，该设置服务器在所述两个或多个无线传感器(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)被部署到所述无线网络系统(2，150)之前用密钥资料对所述两个或多个无线传感器(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)进行配置；以及

基站(178，180)，该基站将密钥证书分配给与所述躯体传感器网络(22，24，26，172，174，176)关联的所述两个或多个无线传感器(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)，使得所述两个或者多个无线传感器中的两个无线传感器至少部分地根据由所述设置服务器(4，154)配置的密钥资料和由该基站(178，180)分配的密钥证书来生成唯一对偶密钥。

2.依照权利要求1所述的系统，其中所述设置服务器(4，154)随机地生成Fq’上的t×(n²+n+1)个λ次二元多项式

的集合

并且对于j＝1...n²+n+1，该设置服务器顺序地从

中挑选出这些多项式中的t个多项式并且形成n²+n+1个t多项式集F_j(x，y)，其中λ是所述无线网络中的节点个数并且是个大于1的整数，n是个素数幂，q是大到足够供应加密密钥的素数，q’是具有形式q’＝2^K+1的素数且k是整数，t是个大于或等于1的整数而且t＝[logq/logq’]，以及Fq’是个与q’相关的有限域。

3.依照权利要求2所述的系统，其中所述设置服务器(4，154)生成有限投影平面，(n²+n+1，n+1，1)，其元素属于集合S，其中|S|＝n²+n+1，并且该集合S是关联的，使得S中的每个元素与所述t多项式集F_j(x，y)中的不同的一个多项式关联，而且所述有限投影平面中的每个块与多项式环相关联。

4.依照权利要求3所述的系统，其中每个传感器节点从所述设置服务器(4，154)接收n²+n+1个t多项式集F_j(x，y)中的n+1个t多项式集份额

其中p_u，l∈Fq’，b_i，l∈B_i∈所述有限投影平面(n²+n+1，n+1，1)，并且l＝1...n+1。

5.依照权利要求4所述的系统，其中所述有限投影平面的第一块B₁具有元素{b_1，1，...b_1，n+1}，并且传感器节点u_a接收在Fq’的点p_a处估算的t多项式集份额

到

其中a在1和N’/(n+1)之间，其中N’＝q’-1。

6.依照权利要求5所述的系统，其中有限投影平面的第二块B₂具有元素{b_2，1，...b_2，n+1}，b_1，1＝b_2，1，并且传感器节点u_1+N’/(n+1)接收在点p_1+N’/(n+1)处估算的t多项式集份额

和在点p₁处估算的t多项式集份额到

。

7.依照权利要求6所述的系统，其中所述传感器节点交换其ID，这些ID中的每一个都包含由该ID携带的n+1个t多项式集份额的标号以及点

在这些点处各自的n+1个t多项式集份额被估算。

8.依照权利要求7所述的系统，其中每个传感器节点找到与公共t多项式集F_k(x，y)对应的标号k以及各自的估算点p_u和p_v。

9.依照权利要求8所述的系统，传感器节点u在点p_v处估算所述t个λ次二元多项式i＝1...t以便获得t个部分密钥并且将所述t个部分密钥截断成logq’比特并且连接这t个密钥片断以形成最终的logq比特的对偶密钥K_uv。

10.依照权利要求1所述的系统，其中分配密钥证书包括：

初始化所述无线传感器中的两个或多个；

将对偶密钥分配给所述基站和所述两个或多个无线传感器；

生成具有密钥元素的链；

将该密钥链的起始元素分配给所述两个或多个无线传感器；

发布有效密钥证书并且使得密钥在一个时间段内有效，在该时间段期间与安全服务器联系；

在该时间段期间与躯体传感器网络联系；

鉴定并且建立与所述两个或多个无线传感器中的每一个的安全通信；

将密钥证书分配给每个已鉴定传感器节点；以及

建立所述无线传感器中的两个或多个之间的对偶密钥。

11.依照权利要求1所述的系统，其中所述设置服务器用唯一标识符和安全性资料初始化所述无线传感器中的两个或多个，为所述基站和所述两个或多个无线传感器随机选取和分配对偶密钥，并且所述基站向未受损节点发布密钥证书，该密钥证书使得所述未受损节点的预分配密钥在有限的时间段内有效。

12.依照权利要求11所述的系统，其中在时间间隔I_l-1期间，所述基站偶尔与一个或多个其他基站彼此互连并且同意与时间间隔I_l+1对应的密钥证书，其中l是个正整数，其中在时间间隔I_l过后，每个基站忽略该密钥证书，并且在所述两个或多个无线传感器之间建立密钥。

13.依照权利要求1所述的系统，其中所述两个或多个无线传感器用唯一标识符和安全性资料进行初始化，随机选取并且分配对偶密钥给所述两个或多个无线传感器，所述系统进一步包括：

安全服务器，其生成密文S，根据阈值方案从该密文S生成M个份额S₁，S₂，...，S_M，并且安全地将该密文S分配给所述基站和所述网络中的一个或多个其他基站，其中M是个正整数。

14.依照权利要求13所述的系统，所述基站包括超过一个基站，并且在时间间隔I_l-1期间，所述超过一个基站偶尔安全地互连，形成小的非互连组G_g，G₁，G₂...g＜M，其中M是基站的数目，以及其中每个基站连接到至少一个组G_g，其中g和l是正整数，并且每个组成员通过求解KC^g _l+1＝F(S，N_Ggl)来独立计算对应间隔I_l+1的密钥证书KC^g _l+1，然后每个组成员忽略S，其中N_Ggl是对应间隔I_l+1的专属于组G_g的随机数，以及F(S，N_Ggl)是伪随机函数。

15.依照权利要求14所述的系统，在时间间隔I_l期间，至少一个基站：

偶尔并且短暂地与所述躯体传感器网络联系，

通过使用至少一个密钥来鉴定并且建立与形成所述躯体传感器网络一部分的每个未受损无线传感器的安全通信，以及

将对应时间间隔I_l+1的密钥证书KC_l+1分配给每个已鉴定传感器节点并且建立所述两个或多个无线传感器之间的密钥。

16.一种无线网络系统(2，150)，包括：

无线节点网络(22，24，26，172，174，176)，该无线节点网络包括两个或多个无线节点(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)；

设置服务器(4，154)，该设置服务器在所述两个或多个无线节点(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)被部署到所述无线网络系统(2，150)之前用密钥资料对所述两个或多个无线节点(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)进行配置；以及

基站(178，180)，该基站将密钥证书分配给与所述无线节点网络(22，24，26，172，174，176)关联的所述两个或多个无线节点(6，8，10，12，14，16，18，20，156，158，160，162，164，166，168，170)，使得两个无线节点至少部分地根据由所述设置服务器(4，154)配置的密钥资料和由该基站(178，180)分配的密钥证书来生成唯一对偶密钥。

17.一种在移动传感器系统中进行操作密钥管理的方法，该移动传感器系统包括多个无线传感器、设置服务器以及基站，其中该方法包括：

在所述多个无线传感器被部署到无线网络中之前，所述设置服务器向所述多个无线传感器分配密钥资料；

所述基站向与无线网络相关联的所述多个无线传感器分配密钥证书；以及

所述无线网络中的多个无线传感器中的两个无线传感器至少部分地根据所述密钥资料和由所述基站分配的密钥证书来生成唯一对偶密钥。

18.依照权利要求17所述的方法，其中所述设置服务器向所述多个无线传感器分配密钥资料的步骤包括：

从n-1个互相正交的n阶拉丁方的集合形成有限投影平面(n²+n+1，n+1，1)，其中n是个素数幂，以及

所述无线网络中的两个传感器生成唯一对偶密钥的步骤包括：

所述两个传感器中的第一传感器v和第二传感器u使用包含在所述第一传感器v和第二传感器u每个的标识符中的信息来根据该有限投影平面发现公共t多项式集份额，其中所述标识符中包含的信息包括三个数：i，i_p和l^em，其中i标识块B_i∈所述有限投影平面，据此选择传感器的t多项式集份额，并且1≤i≤n²+n+1，1≤i_p≤N’/(n+1)并且l≤e_m≤n，i_p标识所述传感器在依照所述块B_i的t多项式集份额的分配中的顺序，并且l^em标识出互相正交的n阶拉丁方中的元素，据所述元素导出所述块B_i；以及

根据所述第一传感器v的标识符由所述第二传感器u导出t多项式集份额估算点。

19.依照权利要求18所述的方法，其中对于所述互相正交的n阶拉丁方的正交副

的单元中的n个项目，对于整数1，...，n中的每个元素e_m，m＝1，2，...n，顺序地计算该正交副中的元素

。

20.依照权利要求18所述的方法，其中所述有限投影平面是通过构造矩阵M来构造的，所述矩阵M的构造通过从第一行到第n行按其自然顺序放置n²个整数1...n²来实现的。

21.依照权利要求18所述的方法，进一步包括：

在根据所述互相正交的n阶拉丁方的集合构造所述有限投影平面时，使得该有限投影平面的前n²个元素在包括n个后继块B_1+t，B_2+t，...B_n+t，t＝0，n，2n，3n，...n×n的每一组中出现一次；以及

根据第一传感器v的块标号i，以及t多项式集标号k，k≤n²，其中k是个正整数，导出发生计数器s_k，其中以及

根据

来导出估算点p_v，在该点处，第二传感器u估算它的t多项式集份额F_k(p_v，y)以便生成密钥K_uv其中N’＝q’-1，q’是具有形式q’＝2^L+1的素数且L是整数。

22.依照权利要求19所述的方法，其中第二传感器u携带的t多项式集份额

的标号与B_i∈所述有限投影平面的元素{b_i，1，b_i，2，...b_i，n+1}成一对一映射，其中1≤i≤n²+n+1。

23.依照权利要求20所述的方法，其中根据所述互相正交的拉丁方生成n阶的仿射平面AG^(2，n)，其中(i)前n个块B_i是所述矩阵M的行，(ii)次n个块是所述矩阵M的列，以及(iii)通过将每个矩阵

顺序叠加到M上并且将与每个矩阵中单个元素

对应的所述矩阵M的元素看作块来形成剩余的n²-n个块。

24.依照权利要求17所述的方法，其中所述设置服务器向所述多个无线传感器分配密钥资料的步骤包括：

估算与该移动传感器系统中的传感器关联的t多项式集份额；

将t多项式集份额分配给该移动传感器系统中的已估算传感器；以及

经由设置服务器向未受损的并且在该移动传感器系统上通信的第一传感器和第二传感器预分配安全性密钥。

Images