CN101473626A

CN101473626A - 分级确定性成对密钥预分发方案

Info

Publication number: CN101473626A
Application number: CNA2007800229644A
Authority: CN
Inventors: O·加西亚; H·巴尔杜斯
Original assignee: Koninklijke Philips Electronics NV
Current assignee: Koninklijke Philips NV
Priority date: 2006-06-22
Filing date: 2007-06-19
Publication date: 2009-07-01
Anticipated expiration: 2027-06-19
Also published as: US20090129599A1; WO2007149850A2; WO2007149850A3; CN101473626B; US8189791B2; EP2036300B1; JP2009542118A; EP2036300A2; JP5276584B2; RU2491748C2; RU2009101908A

Abstract

一种用于分级网络(10)的安全系统，包括L个层次级别和多个本地网络节点(A，B，...，Z)，每个层次级别对应一个安全域级别(16)。密钥材料发生器(24)为每个网络节点生成一个相关密钥材料集合(30)。每个密钥材料集合(30)由L个密钥材料子集(32)组成，一个子集用于一个安全域级别(16)。配置服务器(34)把所述生成的密钥材料集合(30)分发给每个网络节点(A，B，...，Z)，以使得所述网络节点(A，B，...，Z)能够在层次级别k的安全域中通过使用对应的安全密钥材料子集(32)来相互进行通信。

Description

分级确定性成对密钥预分发方案

技术领域

本申请涉及无线网络。本发明能应用于医用无线ad hoc传感器网络系统，并且将以此为特定参照来进行描述。然而，可以理解，本发明还应用于其它网络系统等。

背景技术

典型地，无线移动ad hoc网络被部署在医院和医疗设施中，用于病人医护和监测。通常，在一个病人或一小组病人周围建立的医用移动ad hoc网络形成躯感网(body sensor network，BSN)。典型地，BSN包括被放到病人身上和/或被部署在病人附近的无线传感器或医疗设备。在躯感网中，医疗设备进行对等通信。每个设备提供一套医疗服务并且要求访问其它设备上的一套医疗服务。临床医师也可以访问这种设备，例如，其使用PDA能够触发输液泵对病人施予吗啡。

确保只有正确的实体访问医用移动ad hoc网络，以及确保无线通信的机密性和完整性极为重要。在上述例子中，医生能够触发输液泵对病人施予吗啡，但是应该禁止没有被授权用药的助手有这种行为。为了确保病人的安全和隐私并遵守健康护理上的法定要求(例如USA的HIPAA)，对于这种系统，安全性是强制性要求。

实体认证是后续访问控制和建立受保护通信的基础。典型地被用于基础结构网络中的实体认证协议是基于本领域已知的加密机制的。典型地，在这种系统中，直接把安全密钥分发给该系统已知的所有传感器节点。例如，在部署之前向所有移动节点预分发标记身份的成对(pairwise)对称密钥。所有的密钥具有相同的安全级别。这种密钥分发方案解决平面网络，即每个设备都拥有相同的互相通信的能力。

然而，医院的基础结构本质上是分级的。在某些情况下，传感器节点被用于不同的机构，例如同一医院的不同部门或同一实体的不同医院中。在这种系统中，一个安全性上的破坏就会危及属于该系统的每个传感器的安全性和完整性。

本发明提供了解决上述问题和其它问题的新的装置和方法。

发明内容

根据一个方面，公开了一种用于分级网络的安全系统，包括L个层次级别和多个本地网络节点，每个层次级别对应一个安全域。密钥材料发生器为每个节点生成相关的密钥材料集合。每个相关的密钥材料集合包括L个密钥材料子集，每个子集对应一个关联安全域。配置服务器把所生成的密钥材料集合分发给每个网络节点，以使得网络节点能够在层次级别k的安全域中通过使用对应的密钥材料子集来彼此进行通信。

根据另一个方面，公开了一种分级安全管理方法。为每个网络节点生成相关的密钥材料集合，每个集合包括L个密钥材料子集，每个子集对应一个与多个层次级别L中的一个层次级别相关联的安全域。把所生成的密钥材料集合分发给网络节点。在与层次级别k相关联的公共安全域中，使用对应的密钥材料子集建立网络节点之间的通信。

根据另一个方面，公开了一种网络设备。所述网络设备包括预分发的密钥材料集合，每个集合至少包括与最低级别安全域相关联的最低级别密钥材料子集、和与较高级别安全域相关联的较高级别密钥材料子集。网络设备被编程以便在最低级别公共安全域中验证其它网络设备并且使用与该最低公共安全域相关联的子集来彼此进行通信。

根据另一个方面，公开了一种网络。在第一较低级别安全域中，多个第一网络设备互相通信，并且在较高级别安全域中，所述多个第一网络设备与其它设备进行通信。在与所述第一较低级别安全域不同的第二较低级别安全域中，多个第二网络设备互相通信但不和所述第一网络设备进行通信，并且在所述较高级别安全域中，所述多个第二网络设备与所述第一网络设备进行通信。

一个优点是，对安全域的访问实质上是受限制的。

本领域的技术人员在阅读并理解下列详细说明之后，可以理解本发明的优点。

附图说明

通过各种部件以及部件的安排，以及通过各种步骤以及步骤的安排，本发明可以变得很明显。附图只起到说明优选实施例的目的，而不被解释为限制了本发明。

图1是分级网络系统的图解说明。

图2是分级基础结构的细节的图解说明。

图3是分级基础结构的一个例子的图解说明。

图4是用于图3的系统的密钥材料分发的一个例子。

具体实施方式

参考图1和图2，分级网络系统10包括由单个实体(例如企业12)所拥有的移动节点或设备(A，B，...，Z)，其中移动设备(A，B，...，Z)工作在分级基础结构14中，该分级基础结构具有L个层次或安全级别或域16，例如第一级别(级别1)、第二级别(级别2)和第三级别(级别3)，举例来说，级别的数目等于3。当然，可以预期分级基础结构14能够具有更多或更少数目的安全域16，例如2、4、5个等。每个移动设备(A，B，...，Z)包括一个集合20，其中包含L个设备标识符(ID)22，每个设备标识符对应一个安全域16。最初，在部署之前，密钥材料发生器24为每个移动设备(A，B，...，Z)生成一个相关的密钥材料集合30。每个密钥材料集合30由L个密钥材料子集32组成，每个密钥材料子集32对应一个相关联的安全域16。配置服务器34在移动设备(A，B，...，Z)中预分发密钥材料集合30。每个集合30包括允许移动设备(A，B，...，Z)根据网络系统10的分级结构14进行通信的密钥材料。在工作模式下，每一对移动设备(A，B，...，Z)通过交换它们的设备标识符、搜索最深的公共安全域、并使用对应的密钥材料子集来建立成对密钥。

在示例性的实施例中，移动节点(A，B，...，Z)被默认设定在最低安全域级别上进行通信，并且只有通过特定请求，才能够在较高安全级别上进行通信。更明确地，移动设备(A，B，...，Z)在两种不同的通信模式(例如正常通信模式(NCM)和非常规(unusual)通信模式(UCM))下进行通信。如果最深公共安全域k等于最低安全域L，则发生正常通信模式。当最深公共安全域k是一个比最低级别安全域L更高级别的安全域时，发生非常规通信模式。在上面的例子中，最低安全域是级别3。在级别3将发生正常通信模式。在级别2或级别1将发生非常规通信模式。典型地，在最低级别L上具有公共安全域的移动节点被部署在相邻区域，举例来说，这种节点属于例如同一个医院部门。因此，大多数通信都在正常通信模式下进行处理。如下详细描述，在工作中，每一对移动设备(A，B，...，Z)找到最深级别的公共安全域，交换所找到的公共安全级别的标识符，然后在该公共安全级别上建立成对密钥。例如，如果移动设备从一个位置移到另一个位置，则会发生非常规通信模式。例如，当在同一所医院内把设备从一个部门移到另一个部门时，该设备自己或其它设备通知安全管理装置40并请求许可在较高级别上建立通信。用这种方式，安全管理装置40能够跟踪在最低安全级别之外(例如在非常规通信模式下)进行通信的设备。

继续参考图1和图2，安全级别1标识出属于例如企业12的最高安全域。例如，安全级别2标识出仅次于最高安全域的安全域，例如，属于该企业12的医院或诊所HA、HB、...HZ的安全域。安全级别3，例如，标识出医院HA、HB、...HZ内的n个部门D1、D2、...Dn。因此，移动节点(A，B，...，Z)通过使用特定密钥，能够在部门、医院和企业级别上进行通信，所述特定密钥包括用于对应的安全域的密钥材料。

继续参考图1，每个部门的安全域网络典型地包括多至1000个自组织节点(A，B，...，Z)。通过无线单跳链路，而不需要网络基础结构的支持，可以连接这些节点的任意组合以组成躯感网(BSN)。优选地，移动节点(A，B，...，Z)包括生理监视设备、受控用药设备、类似PDA的设备、嵌入式计算系统或类似设备。例如，一个网络可以包括针对每个生理监护仪、用药设备、基于计算机的病人ID、主治医师的PDA等等(但是明确地排除与其它病人相关的类似设备)的节点。每个移动节点(A，B，...，Z)提供一种或更多网络服务。每个节点(A，B，...，Z)通过发送/接收模块能够在网络系统10中与任意其它节点进行对等通信，以访问一种或更多服务。对等通信优选地是单向的或双向的，并且能够是同步的或异步的。当然，也可以预期医师能够通过使用便携式计算机、PDA等来访问节点(A，B，...，Z)以便向病人提供服务，例如，用药、检查监视设备的状况等等。

在确定性的成对密钥预分发方案(DPKPS)中，在部署节点(A，B，...，Z)之前，用唯一的设备密钥材料对节点(A，B，...，Z)进行初始化。每个设备密钥材料明确地与该设备标识符相关联。在工作中，任意一对具有预分发的密钥材料的设备能够互相进行验证。举例来说，属于同一个安全域的两个设备如果其通过相关联的识别设备明确地识别出彼此，则这两个设备能够使用该预分发的密钥材料来建立成对的对称密钥。

DPKPS密钥材料基于两个概念：对称双变量多项式和有限射影平面(FPP)。对称双变量多项式(BP)是在有限域Fq上的关于两个变量的λ次多项式，具有以下性质：

f(x，y)＝f(y，x)

FPP指的是把n²+n+1个元素组合式分发到n²+n+1个不同的群中。每个群由n+1个不同的元素组成，并且任意一对群共享一个元素，其中在一个实施例中，n是一个素数幂数值。

通过使用上面的两个概念，配置服务器根据阶数为n的FFP生成共n²+n+1个BP，并且，把这些BP分为n²+n+1个区组(block)。因此，任意一对区组共享一个BPf_i(x，y)。然后，配置服务器求每个区组的n+1个BP在x变量为q/n+1(q是有限域的大小)个不同点处的值，根据每个区组生成总计q/(n+1)个集合，其中每个集合包含n+1个单变量多项式(UP)。每个设备的密钥材料由一个UP集合和设备标识符组成，所述设备标识符即从其中派生出该UP的BP的标识符和对BP进行求值的点。

例如，设备A和设备B的密钥材料分别由下列UP组成：

{f₁(ID_A1，y)，f₂(ID_A2，y)，f₄(ID_A4，y)}；

{f₃(ID_B3，y)，f₄(ID_B4，y)，f₆(ID_B6，y)}

设备A和B的设备ID分别是：

{{f₁，f₂，f₄}{ID_A1，ID_A2，ID_A4}}，

{{f₃，f₄，f₆}{ID_B3，ID_B4，ID_B6}}，

其中，f_i标识出初始BP，而ID_Zi标识出针对设备z对多项式f_i求值的点。

为了使设备A和B建立一个成对密钥，这两个设备交换设备ID。每个设备使用在两个不同子相位(sub-phase)中的设备ID。更明确地，一个设备将自己的设备ID与对方的设备ID进行比较，找出根据公共BP生成的UP。在上面的例子中，公共BP是f₄(x，y)。设备A拥有该公共UPf₄(ID_A4，y)，而设备B拥有该公共UPf₄(ID_B4，y)。每个设备通过求其共享UP在对方求值点处的值，来计算出成对密钥，也就是说，设备A求f₄(ID_A4，y)在y＝ID_B4处的值，而设备B求f₄(ID_B4，y)在y＝ID_A4处的值。因为BP的对称性，所以这两个设备得到相同的成对密钥K_AB＝f₄(ID_A4，ID_B4)＝f₄(ID_B4，ID_A4)。

与上述类似，在分级确定性成对密钥预分发案(HDPKPS)中，把唯一的密钥材料预分发给每个设备。密钥材料确定在L个级别的安全域分级基础结构，设备所属的L个安全域。HDPKPS密钥材料是明确地与设备标识符相关联的。在工作中，任意一对设备至少在最高安全级别上，能够使用它们的密钥材料建立成对对称密钥。尤其是，对于任何两个设备来说，如果(i)这两个设备属于级别k上的同一个安全域，并且(ii)这两个设备在级别i，i≤k上能够通过设备标识符明确地识别出彼此，则其能够在安全级别k上建立一个成对密钥。

级别k的HDPKPS密钥材料被称作KM_K，并且其把该级别分成多个与较高安全域和较低安全域相关联的安全域。因此，HDPKPS密钥材料由L个DPKPS密钥材料集合和HDPKS设备标识符组成。HDPKPS设备标识符由L个安全域标识符和L的DPKPS设备标识符集合组成。

例如，级别1的密钥材料(KM₁)由一个安全域构成，并且由参数为λ₁和n₁的DPKPS密钥材料进行定义。假设在级别1上FPP分布的阶数为n₁，则KM₁可以被分成多达

个群。每个群对应FPP分布的一列，即，每个群中的密钥材料是根据同一个BP集合生成的。

例如，级别2的密钥材料(KM₂)由多达

个子安全域构成。在级别2上子安全域i₂被称作

并且由参数为

和的DPKPS密钥材料进行定义。属于子安全域的设备包括级别1的密钥材料，KM₁的列i。通常，级别k(1≤k≤L)上的密钥材料被定义为KM_k，并且由多达

(n_{1}^{2} + n_{1} + 1) (Σ_{i_{2} = 1}^{n_{1}^{2} + n_{1} + 1} (n_{{2 i}_{2}}^{2} + n_{{2 i}_{2}} + 1) \cdot (Σ_{i_{3} = 1}^{n_{{2 i}_{2}}^{2} + n_{{2 i}_{2}} + 1} (n_{{3 i}_{2} i_{3}}^{2} + n_{{3 i}_{2} i_{3}} + 1)) \cdot \cdot \cdot Σ_{i_{k} = 1}^{n_{{k - 1 i}_{k - 1}}^{2} + n_{{k - 1 i}_{k - 1}} + 1} (n_{{ki}_{2} i_{3} \cdot \cdot \cdot i_{k - 1}}^{2} + n_{{ki}_{2} i_{3} \cdot \cdot \cdot i_{k - 1}} + 1))

个子安全域构成。在级别k上的安全域i_k，的子安全域，被称作

并且由参数为

和的DPKPS密钥材料进行定义。属于在级别k上

的设备包括级别r(满足r<k)密钥材料，KM_r的

{SD}_{{ri}_{2} i_{3} \cdot \cdot \cdot i_{r - 1}}

和列i_r。

参考图3，第一医院HA包括第一部门D1和第二部门D2。第二医院HB包括第三部门D3。第一医院HA的第一部门D1包括第一移动设备A和第二移动设备B。第一医院HA的第二部门D2包括第三设备C。第二医院HB的第三部门D3包括第四设备D。在该示例性的实施例中，第一设备A和第二设备B通过使用最低安全级别3的密钥材料，可以建立成对密钥，举例来说，在第一部门D1内部用正常通信模式进行通信。此外，第一设备A和第二设备B中的每个设备都可以通过使用次低安全级别2的密钥材料与第三设备C建立成对密钥，举例来说，在第一医院HA内部用非常规通信模式进行通信。最后，第四设备D只有经由最高安全级别1才能与第一设备A、第二设备B及第三设备C进行通信，举例来说，在企业12内部用非常规通信模式进行通信。

继续参考图4，在最高级别1上，移动设备A、B、C、D拥有相关的DPKPS密钥材料。第一、第二和第三设备A、B、C拥有根据FPP区组100中的双变量多项式F1、F2、F4生成的密钥材料，而第四设备D拥有根据FPP区组102中的双变量多项式F5、F6、F1生成的密钥材料。移动设备A、B、C、D拥有相关的单变量多项式F1，这会允许移动设备A、B、C、D之间在最高级别1上进行通信。在仅次于最高级别的级别2上，分别为第一医院HA和第二医院HB生成第一组DPKPS密钥材料110和第二组DPKPS密钥材料112，在级别2上，110和112在不同的安全域中。第一移动设备A和第二移动设备B拥有根据第一组110的FPP区组114中的双变量多项式F3、F4、F6生成的密钥材料。第三移动设备C拥有根据第一组110的FPP区组116中的双变量多项式F6、F7、F2生成的密钥材料。第一、第二和第三移动设备A、B、C拥有相关的单变量多项式F6，这会允许第一移动设备A、第二移动设备B和第三移动设备C之间在第一医院HA内部在级别2上进行通信。第四设备D拥有根据第二组112的FPP区组118中的双变量多项式F1、F2、F4生成的密钥材料。最后，在最低级别3上，分别为第一部门D1、第二部门D2和第三部门D3生成第一组DPKPS密钥材料120、第二组DPKPS密钥材料122和第三组DPKPS密钥材料124，120、122和124中的每个具有级别为3的不同安全域。因为第一移动设备A和第二移动设备B属于同一个部门，举例来说，属于第一医院HA的第一部门D1，所以第一移动设备A和第二移动设备B分别接收根据双变量多项式F2、F3、F5和F6、F7、F2(第一组120的区组130、132)生成的相关的密钥材料。相关的单变量多项式F2会允许第一移动设备A和第二移动设备B在第一部门D1内部互相通信。第三设备C接收根据第二组122的FPP区组134中的双变量多项式F7、F3、F1生成的密钥材料。第四设备D接收根据第三组124的FPP区组136中的双变量多项式F4、F5、F7生成的密钥材料。

用上述方式，较高的安全级别，例如级别1和2，确保在紧急情况下移动设备的完全互操作性。例如，当在第一医院HA内部，把携带第一设备A和第二设备B的病人从第一部门D1转移到第二部门D2时，通过使用第二安全级别2的密钥材料，即第一医院的密钥材料，安全地进行第一设备A和第二设备B与第二部门D2的其它设备(例如第三设备C)的通信。划分成为不同的安全级别支持根据分级基础结构的完备的设备识别。例如，如果医院设备建立正常通信模式，例如最低级别通信模式，则设备能够自动识别对方的来源。

HDPKPS在正常通信模式和非常规通信模式下均表现出增强的安全性。在正常通信模式下，只有在最低安全级别L(在例子中，级别3)上的设备能通过使用最低级别L的密钥材料来互相通信。因为在这个级别上的设备数目相对说来较小(<1000)，所以在这个级别上相对弹性相对说来较高。因此，在不引起系统报警的情况下，入侵者难以捕获足够数目的设备来危及在级别L上的通信。在非常规通信模式下，设备能够完全地识别出对方，因此设备能够识别出可能存在的对系统的攻击。例如，在上面的例子中，如果入侵者捕获了第二医院HB的第三部门D3的第四设备D，并且试图使用它对第一医院HA的第一部门D1中的第一设备A进行攻击，则第一设备A(或第二设备B)能够检测出第四设备D属于第二医院HB的第三部门D3。在这种情况下，第一设备A(或第二设备B)能够不信任第四设备D存在于第一部门的域中，并且请求第二医院HB的第三部门D3的域来证实第四设备D存在于第一部门的域中。

本发明是参照优选实施例来描述的。其他人在阅读并理解前面的详细说明之后，可以想到许多修改和变化。本发明是要被解释为包括了在其范围内的所有这样的修改和变化，因为这些修改和变化落入所附权利要求或其等价物的范围之内。

Claims

1、一种用于分级网络(10)的安全系统，该安全系统包括L个层次级别，每个层次级别对应一个安全域(16)，所述安全系统包括：

多个本地的网络节点(A，B，...，Z)；

密钥材料发生器(24)，其为每个网络节点(A，B，...，Z)生成相关的密钥材料集合(30)，其中每个密钥材料集合(30)包括L个密钥材料子集(32)，每个密钥材料子集对应一个相关联的安全域(16)；以及

配置服务器(34)，其把所生成的密钥材料集合(30)分发给每个网络节点(A，B，...，Z)，以使得所述网络节点(A，B，...，Z)能够在层次级别k的安全域中通过使用对应的密钥材料子集(32)来相互进行通信。

2、根据权利要求1所述的系统，其中，所述网络(10)包括：

与一个企业(12)相关联的第一级别安全域；

与所述企业内的每个医院(HA，HB，...，HZ)相关联的第二级别安全域；以及

与每个医院(HA，HB，...，HZ)内的每个部门(D1，D2，...，Dn)相关联的第三级别安全域。

3、根据权利要求1所述的系统，其中，所述网络节点(A，B，...，Z)被编程以便在最低级别公共安全域中相互进行通信。

4、根据权利要求1所述的系统，其中，所述网络节点(A，B，...，Z)通过至少正常通信模式和非常规通信模式来相互进行通信。

5、根据权利要求4所述的系统，其中，所述正常通信模式包括利用对应于最低级别安全域L的密钥材料子集(32)进行通信。

6、根据权利要求5所述的系统，其中，所述非常规通信模式包括在与所述最低级别安全域L不同级别的安全域中进行通信。

7、根据权利要求4所述的系统，还包括：

安全管理装置(40)，所述网络节点(A，B，...，Z)被编程以便请求所述安全管理装置允许在所述非常规通信模式下进行通信。

8、根据权利要求1所述的系统，其中，每个网络节点(A，B，...，Z)包括一个包含L个标识符(22)的集合(20)，其中每个标识符(22)包括设备标识符和对应于L级基础结构中相关联的安全域级别的安全域标识符，以便所述网络设备(A，B，...，Z)相互进行验证。

9、根据权利要求1所述的系统，其中，所述网络节点(A，B，...，Z)包括生理状况监护仪、可控用药设备和PDA中的至少一个。

10、一种在权利要求1的系统中使用的网络节点，其具有密钥材料，所述密钥材料支持在多个层次级别上的通信。

11、一种分级安全管理方法，包括：

为每个网络节点(A，B，...，Z)生成相关的密钥材料集合(30)，其中每个集合包括L个密钥材料子集(32)，每个密钥材料子集对应一个与多个层次级别L中的一个层次级别相关联的安全域(16)；

把所生成的密钥材料集合分发给所述网络节点(A，B，...，Z)；并且

在层次级别k的公共安全域中，利用对应的所述密钥材料的子集，建立所述网络节点(A，B，...，Z)之间的通信。

12、根据权利要求11所述的方法，其中，建立通信的步骤包括：

在与最低层次级别L相符的公共安全域级别上建立正常通信。

13、根据权利要求12所述的方法，还包括：

在与所述最低层次级别L不同的公共安全域中建立非常规通信。

14、根据权利要求13所述的方法，还包括：

在建立非常规通信之前，请求获得许可。

15、根据权利要求11所述的方法，其中，每个网络节点包括一个包含L个标识符的集合，其中每个标识符包括设备标识符和对应于相关联的层次级别的安全域标识符，以便所述网络设备相互进行验证。

16、根据权利要求11所述的方法，其中，所述网络节点(A，B，...，Z)包括生理状况监护仪、可控用药设备和PDA中的至少一个。

17、一种网络，具有多个被编程以便执行权利要求11所述的方法的节点(A，B，...，Z)。

18、一种在权利要求11所述的方法中使用的节点(A，B，...，Z)。

19、一种配置服务器(34)，用于在权利要求11所述的方法中分发所述密钥材料集合。

20、一种网络设备(A，B，...，Z)，包括：

预分发的密钥材料集合(30)，每个密钥材料集合至少包括：

与最低级别安全域相关联的最低级别密钥材料子集(32)，以及

与较高级别安全域相关联的较高级别密钥材料子集(32)，

所述网络设备被编程，以便在最低级别公共安全域中验证其它网络设备、并使用与所述最低级别公共安全域相关联的子集(32)来相互进行通信。

21、根据权利要求20所述的网络设备，其中，使用所述最低级别密钥材料子集(32)来在与分级结构(14)的层次中的最低级别L相对应的公共安全域中进行通信。

22、根据权利要求21所述的网络设备，其中，所述网络设备(A，B，...，Z)被编程，以便请求允许在并不与所述分级结构(14)的层次中的最低级别L相对应的安全域级别上进行通信。

23、一种网络，包括多个根据权利要求20所述的网络设备。

24、一种网络，包括：

多个第一网络设备，所述第一网络设备在第一较低级别安全域中相互进行通信，而在较高级别安全域中与其它设备进行通信；以及

多个第二网络设备，所述第二网络设备在与所述第一较低级别安全域不同的第二较低级别安全域中相互进行通信、但不与所述第一网络设备进行通信，而在所述较高级别安全域中与所述第一网络设备进行通信。

25、根据权利要求24所述的网络，其中，所述第一网络设备和所述第二网络设备还能够在与所述第一、第二及较高级别安全域不同的高级别安全域中与其它设备进行通信，并且所述网络还包括：

多个第三网络设备，所述第三网络设备在与所述第一和第二较低级别安全域不同的第三较低级别安全域中相互进行通信、但不与所述第一和第二网络设备进行通信，在第二较高级别安全域中与不同于所述第一和第二网络设备的网络设备进行通信，而在所述高级别安全域中与所述第一和第二网络设备进行通信。

26、根据权利要求24所述的网络，其中：

所述第一网络设备具有预分发的包含与所述第一较低级别安全域相关联的第一较低级别密钥和与所述较高级别安全域相关联的较高级别密钥的集合(30)；

所述第二网络设备具有预分发的包含与所述第二较低级别安全域相关联的第二较低级别密钥和与所述较高级别安全域相关联的较高级别密钥的集合(30)；

所述第一和第二网络设备被编程，以便在最低级别公共安全域中验证其它网络设备、并使用与所述最低级别公共安全域相关联的密钥来相互进行通信。