CN101674179A - 一种传感器网络密钥预分发与密钥建立方法 - Google Patents

Abstract

本发明涉及一种传感器网络的密钥预分发和密钥建立方法，包括：1.1)网络部署前，部署服务器生成密钥池KP，该密钥池KP包含多个密钥及其密钥标识，密钥池中密钥个数记为|KP|，|KP|足够大，并假设部署服务器安全；1.2)假定预设的网络连通度为P_c，网络中的节点数为n，每个节点均有对应的标识ID，根据经典随机图理论计算节点的度d＝(n－1)*(lnn－ln(－lnP_c))/n；1.3)根据节点的度d以及期望的网络部署后节点的邻居节点数n’，计算相邻节点间两两预共享密钥的概率p＝d/n’；1.4)部署服务器为节点预分发密钥；2.1)对密钥的建立；2.2)组密钥的建立。本发明提供了一种既支持身份鉴别、开销又相对较低且具有很好的抗毁性和扩展性并能够适用大规模传感器网络的密钥预分发和密钥建立方法。

Description

一种传感器网络密钥预分发与密钥建立方法

技术领域

本发明属网络安全技术领域，尤其涉及一种传感器网络的密钥预分发和密钥建立方法，其能够适用于大规模传感器网络。

背景技术

传感器网络是由大量体积小、价格便宜、电池供电、具有无线通信和监测能力的传感器节点组成。这些节点被稠密部署在监测区域，以达到监测物理世界的目的。无线传感器网络是信息技术中的一个新领域，在环境监测、军事、国土安全、交通管制、社区安防、森林防火、目标定位等方面具有广泛的应用前景。

密钥管理机制是传感器网络安全的基础，应具备以下特性：

1)可扩展性。随传感器网络节点规模的扩大，密钥协商过程所需的计算、存储和通信开销都会随之增大，密钥管理机制必须能够适应不同规模的传感器网络；

2)有效性。由于传感器节点的存储、计算和通信能力严格受限，在设计传感器网络密钥管理机制时应考虑以下几个方面：存储复杂度，用于保存通信密钥的存储空间使用情况；计算复杂度，为生成通信密钥而必须进行的计算量情况；通信复杂度，在通信密钥协商过程中需要传送的信息量情况；

3)密钥连接性。密钥连接性是指节点之间直接建立通信密钥的概率。保持足够高的密钥连接概率是传感器网络发挥其功能的必要条件。因传感器节点不可能与距离较远的其他节点直接通信，因此无需保证节点能够与其他所有节点保持安全连接，仅需确保相邻节点之间保持较高的密钥连接即可；

4)抗毁性。抗毁性是指密钥管理机制抵御节点受损的能力。抗毁性可表示为当部分节点受损后，未受损节点的密钥被暴露的概率。抗毁性越好，则链路受损程度越低。

由于传感器节点易遭受捕获攻击，一旦被捕获，节点中加载的秘密信息将会被泄漏，因此所有节点均共享一个主密钥的密钥管理方式已不能够满足传感器网络的安全需求。每对节点共享一个密钥的密钥管理方式在为节点间提供保密通信的同时能够提供身份鉴别服务，但此方式不支持新节点的加入，因此不具备扩展性，而且对于存在n个节点的大规模网络来说，该方式需要每个节点保存n-1个密钥，消耗大量的节点存储空间，较难适用于大规模传感器网络。目前，传感器网络中广泛采用随机密钥预分发方式的密钥管理方法，该方法仅产生较小的开销，且较为实用，但其所分发的密钥不支持节点间点到点的身份鉴别，因为该方法密钥池中的密钥可能会被多次分发给不同的节点，即使两个节点间共享密钥也无法实现基于预共享密钥的点到点的身份鉴别。举例来说，假设节点A与节点B共享密钥K，由于随机密钥预分发方法中密钥池的同一密钥可能会被多次取出分发给不同的节点，那么节点C也可能被分发了密钥K，此时，节点A是无法基于密钥K确定对方节点的身份的。由此造成的后果是：在通信时，节点A无法确定是与节点B还是与节点C通信，在不能确认对方身份的情况下与之通信存在很大的安全隐患。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种既支持身份鉴别、开销又相对较低且具有很好的抗毁性和扩展性并能够适用大规模传感器网络的密钥预分发和密钥建立方法。

本发明的技术解决方案是：本发明提供了一种传感器网络的密钥预分发和密钥建立方法，其特殊之处在于：所述方法包括以下步骤：

1)密钥预分发，其具体实现方式是：

1.1)网络部署前，部署服务器生成密钥池KP，该密钥池KP包含多个密钥及其密钥标识，密钥池中密钥个数记为|KP|，|KP|足够大，并假设部署服务器安全；

1.2)假定预设的网络连通度为P_c，网络中的节点数为n，每个节点均有对应的标识ID，根据经典随机图理论计算节点的度d＝(n-1)*(lnn-ln(-lnP_c))/n；

1.3)根据节点的度d以及期望的网络部署后节点的邻居节点数n’，计算相邻节点间两两预共享密钥的概率p＝d/n’；

1.4)部署服务器为节点预分发密钥；

2)密钥建立，其具体实现方式是：

2.1)对密钥的建立；

2.2)组密钥的建立。

上述步骤1.4)的具体实现方式是：

1.4.1)对于节点N_i，部署服务器首先为N_i构造ID列表，ID列表中包括：N_ID字段、K_ID字段、K_STA字段、K_ATTR字段、K_ATTR_EX字段以及K_VAL字段；

其中：

N_ID字段：节点ID，表示与节点N_i共享密钥的节点身份标识值；

K_ID字段：密钥ID，表示节点N_i与N_ID字段所标识的节点之间共享密钥的标识值；

K_STA字段：密钥状态，表示K_ID字段所标识的密钥的状态，当节点N_i与N_ID字段所标识的节点已建立对密钥时，K_STA字段的值为已建立，否则为未建立，该字段的初值为未建立；

K_ATTR字段：密钥属性，当K_STA字段中的值为已建立时，该字段的取值有意义，表示K_ID字段所标识的密钥是共享密钥还是路径密钥，该字段的缺省表示共享密钥；

K_ATTR_EX字段：密钥属性扩展，当K_ATTR字段表示的密钥为路径密钥时，该字段的值有意义，用于表示路径密钥是直连密钥还是多跳相连密钥，该字段的缺省表示密钥为直连密钥；

K_VAL字段：密钥值，用于存储K_ID字段标识的密钥值；

在N_i上建立ID列表后，部署服务器从剩余n-1个节点中随机选择n*p个节点，分别将其节点ID插入到N_i的ID列表中；然后，部署服务器从密钥池KP中为ID列表中的每一项不重复的选择一个密钥，并将这些密钥标识以及相应的密钥值分别插入N_i的ID列表中对应的K_ID字段和K_VAL字段中，并从密钥池KP中删除这些密钥及标识；最后，部署服务器生成t(t＜n’)个备用的密钥ID，这里的备用密钥ID与密钥池KP中的密钥ID不重复，也加载到N_i中；部署服务器记录节点N_i的ID列表中的所有信息；此处的备用的密钥ID后续用于标识节点间独立协商建立的、非KP中的对密钥；

1.4.2)对于节点N_j，部署服务器在为节点N_i预分发密钥后，开始为节点N_j预分发密钥：首先，部署服务器从剩余n-1个节点中随机选择n*p个节点，分别将其节点ID插入到N_j的ID列表中；然后，部署服务器从密钥池KP中为N_j的ID列表中的每一项不重复的选择一个密钥，并将这些密钥标识以及相应的密钥值分别插入N_j的ID列表中对应的K_ID字段和K_VAL字段中，但当为N_j随机选择的n*p个节点中包括N_i时，则不再为N_j与N_i重新分配密钥，而是为其分配之前已为N_i分配的二者之间的共享密钥，并在N_j的ID列表中与N_i对应的项的K_ID字段和K_VAL字段中分别插入该共享密钥的ID和密钥值；部署服务器生成t(t＜n’)个与密钥池KP中的密钥ID以及N_i的备用密钥ID不重复的密钥ID，也加载到N_j中；部署服务器记录节点N_j的ID列表中的所有信息；

1.4.3)对于剩余节点，部署服务器在为N_j分发密钥后，为剩余所有节点依次分发密钥，分发方法与节点N_j相同；部署服务器记录所有剩余节点的ID列表信息。

上述步骤2.1)的具体实现方式是：

2.1.1)共享密钥的建立；

2.1.2)路径密钥的建立。

上述步骤2.1.1)的具体实现方式是：

2.1.1.1)网络部署后，每个节点均向其邻居节点广播自己的身份标识信息；

2.1.1.2)邻居节点收到2.1.1.1)的广播消息后，根据其中的身份标识信息判断是否与该广播节点共享密钥，如果自己的ID列表中的N_ID字段中存在相同的ID，表明自己与该节点共享密钥，即对密钥；该邻居节点将对应ID列表对应项中的K_STA字段置为已建立，标识已与2.1.1.1)中的广播节点建立对密钥，即已建立直接安全连接。

上述步骤2.1.2)在没有共享密钥但存在多跳安全连接的节点间建立对密钥的过程如下：

2.1.2.1)当源节点与目的节点间存在一条由两两间均存在共享密钥的多个节点构成的安全路径时，源节点生成一个路径密钥PK并从备用的路径密钥ID中不重复的选择一个ID，通过与目的节点之间的安全路径，将该路径密钥PK和对应的密钥ID以及自己的ID和目的节点的ID通过安全路径上节点的逐跳加解密传输发送给目的节点；

2.1.2.2)目的节点收到源节点的密钥消息并解密获得路径密钥PK后，通过与源节点之间的安全路径向源节点发送密钥建立成功消息，表明与源节点之间已建立安全连接；此时，源节点和目的节点分别将对方的身份标识ID作为新条目插入到自己的ID列表中，并将PK的ID以及PK的值插入对应的K_ID字段和K_VAL字段中，并将对应的K_STA字段置为已建立，将K_ATTR字段置为路径密钥，如果源节点和目的节点之间在建立路径密钥时的路径为单跳，即表明源节点和目的节点均在对方的直接通信范围内，则将相应的K_ATTR_EX字段置为直连密钥；否则，将相应的K_ATTR_EX字段置为多跳相连密钥。

上述步骤2.2)的具体实现方式是：

2.2.1)直接组密钥的建立，用于在直连节点间建立组密钥；

2.2.2)间接组密钥的建立，用于在多跳相连节点间建立组密钥。

上述步骤2.2.1)的具体实现方式是：

2.2.1.1)组播节点生成组密钥MSK，利用与邻居节点即组播消息接收节点之间的共享密钥或直连密钥将MSK加密后发送给组播消息接收节点；

2.2.1.2)组播消息接收节点成功解密MSK后，将其保存并向组播节点发送组密钥建立成功消息，直接组密钥建立过程结束。

上述步骤2.2.2)的具体实现方式是：

2.2.2.1)组播节点生成组密钥MSK，利用与其多跳相连的节点之间共享的多跳相连密钥，将MSK加密后发送给与该组播节点多跳相连的组播消息接收节点；

2.2.2.2)该组播消息接收节点成功解密MSK后，将其保存并利用与其组内成员即组播消息接收节点之间的直连密钥或共享密钥将MSK加密后发送给组内成员，然后向组播节点发送组密钥建立成功消息。

本发明的优点是：传感器节点通信能力严格受限，节点在部署后只能与其邻居节点通信，因此在保证节点与其邻居节点间能以一定的概率共享密钥时，就能确保整个网络的安全连接性。基于传感器网络的这项特性，本发明通过将每对节点共享一个密钥和随机密钥预分发两种密钥管理方法进行结合，采用密钥与节点绑定的方式，提出一种传感器网络密钥管理方法，使得网络在部署后既能达到预设的网络连通度，又能够支持节点间端到端的身份鉴别且仅产生较小的节点开销。与每对节点均共享一个密钥的密钥管理方法相比，本发明能够为节点节省约n*(1-p)倍密钥尺寸的存储空间；本发明中所有密钥仅被不重复的分发给两个节点，即使某个节点受损，也不会暴露其他节点之间的共享密钥，具有很好的抗毁性；本发明在实现传感器网络密钥管理的同时，能够支持端到端的鉴别，具有增强节点抗捕获攻击能力、实现分布式的节点撤销、抵抗节点复制攻击的特性。此外，本发明还能够支持新节点的加入，具有较好的扩展性。

具体实施方式

本发明基于经典随机图理论，通过将每对节点共享一个密钥和随机密钥预分发两种传感器网络密钥管理方法进行结合，采用将密钥与节点标识绑定的方式，提出一种能够适用于大规模传感器网络的密钥预分发和密钥建立方法。根据本发明的优选实施例，该方法包括以下步骤：

1)密钥预分发

网络部署前，部署服务器将用于建立节点间安全连接的通信密钥预分发给所有节点，其具体实现方式是：

1.1)网络部署前，部署服务器生成密钥池KP，该密钥池KP包含若干个密钥及其密钥标识。密钥池中密钥个数记为|KP|，|KP|足够大，并假设部署服务器是安全的；

1.2)假定预设的网络连通度为P_c，网络中的节点数为n，每个节点均有对应的标识ID。根据经典随机图理论，计算节点的度d＝(n-1)*(lnn-ln(-lnP_c))/n。为保证具有较好的扩展性，通常预设的网络节点数n要比实际的网络节点数略大；

1.3)根据节点的度d以及期望的网络部署后节点的邻居节点数n’，计算相邻节点间两两预共享密钥的概率p＝d/n’；

1.4)为节点预分发密钥；

部署服务器为所有节点分配密钥，具体实现方式是：

1.4.1)对于节点N_i，部署服务器首先为N_i构造ID列表，列表中包括：N_ID字段、K_ID字段、K_STA字段、K_ATTR字段和K_ATTR_EX字段；

N_ID

K_ID

K_STA

K_ATTR

K_ATTR_EX

K_VAL

其中：

N_ID字段：节点ID，表示与节点N_i共享密钥的节点身份标识值；

K_ID字段：密钥ID，表示节点N_i与N_ID字段所标识的节点之间共享密钥的标识值；

K_STA字段：密钥状态，表示K_ID字段所标识的密钥的状态。当节点N_i与N_ID字段所标识的节点已建立对密钥时，K_STA字段的值为“已建立”，否则为“未建立”。该字段的初值为“未建立”；

K_ATTR字段：密钥属性，当K_STA字段中的值为“已建立”时，该字段的取值有意义，表示K_ID字段所标识的密钥是共享密钥还是路径密钥。该字段的缺省表示共享密钥；

K_ATTR_EX字段：密钥属性扩展，当K_ATTR字段表示的密钥为路径密钥时，该字段的值有意义，用于表示路径密钥是直连密钥还是多跳相连密钥。该字段的缺省表示密钥为直连密钥；

K_VAL字段：密钥值，用于存储K_ID字段标识的密钥值。

在N_i上建立ID列表后，部署服务器从剩余n-1个节点中随机选择n*p个节点，分别将其节点ID插入到N_i的ID列表中；然后，部署服务器从密钥池KP中为ID列表中的每一项不重复的选择一个密钥，并将这些密钥标识以及相应的密钥值分别插入N_i的ID列表中对应的K_ID字段和K_VAL字段中，并从密钥池中删除这些密钥及标识。最后，部署服务器生成t(t＜n’)个备用的密钥ID，这里的备用密钥ID与密钥池KP中的密钥ID不重复，也加载到N_i中。部署服务器记录节点N_i的ID列表中的所有信息。此处的备用的密钥ID后续用于标识节点间独立协商建立的、非KP中的对密钥；

1.4.2)对于节点N_j，部署服务器在为节点N_i预分发密钥后，开始为节点N_j预分发密钥。首先，部署服务器从剩余n-1个节点中随机选择n*p个节点，分别将其节点ID插入到N_j的ID列表中；然后，部署服务器从密钥池KP中为N_j的ID列表中的每一项不重复的选择一个密钥，并将这些密钥标识以及相应的密钥值分别插入N_j的ID列表中对应的K_ID字段和K_VAL字段中，但当为N_j随机选择的n*p个节点中包括N_i时，则不再为N_j与N_i重新分配密钥，而是为其分配之前已为N_i分配的二者之间的共享密钥，并在N_j的ID列表中与N_i对应的项的K_ID字段和K_VAL字段中分别插入该共享密钥的ID和密钥值。部署服务器生成t(t＜n’)个与密钥池KP中的密钥ID以及N_i的备用密钥ID不重复的密钥ID，也加载到N_j中。部署服务器记录节点N_j的ID列表中的所有信息；

1.4.3)对于剩余节点，部署服务器在为N_j分发密钥后，为剩余所有节点依次分发密钥，分发方法与节点N_j相同。同样地，部署服务器记录所有剩余节点的ID列表信息。

2)密钥建立

网络部署后，节点间建立用于进行安全连接的对密钥和组密钥，具体实现方式是：

2.1)对密钥的建立

用于在节点间建立成对密钥，具体实现方式是：

2.1.1)共享密钥的建立

在存在共享密钥的邻居节点间建立对密钥的具体实现方式是：

2.1.1.1)网络部署后，每个节点均向其邻居节点广播自己的身份标识信息；

2.1.1.2)邻居节点收到2.1.1.1)的广播消息后，根据其中的身份标识信息判断是否与该广播节点共享密钥，如果自己的ID列表中的N_ID字段中存在相同的ID，表明自己与该节点共享密钥，即对密钥；该邻居节点将对应ID列表对应项中的K_STA字段置为“已建立”，标识已与2.1.1.1)中的广播节点建立对密钥，即已建立直接安全连接。

2.1.2)路径密钥的建立

在没有共享密钥但存在多跳安全连接的节点间建立对密钥的具体实现方式是：

2.1.2.1)当源节点与目的节点间存在一条由两两间均存在共享密钥的多个节点构成的安全路径时，对于该路径的确立方法本发明不做讨论，源节点生成一个路径密钥PK并从备用的路径密钥ID中不重复的选择一个ID，通过与目的节点之间的安全路径，将该路径密钥PK和对应的密钥ID以及自己的ID和目的节点的ID通过安全路径上节点的逐跳加解密传输发送给目的节点。

2.1.2.2)目的节点收到源节点的密钥消息并解密获得路径密钥PK后，通过与源节点之间的安全路径向源节点发送密钥建立成功消息，表明与源节点之间已建立安全连接。此时，源节点和目的节点分别将对方的身份标识ID作为新条目插入到自己的ID列表中，并将PK的ID以及PK的值插入对应的K_ID字段和K_VAL字段中，并将对应的K_STA字段置为“已建立”，将K_ATTR字段置为“路径密钥”，如果源节点和目的节点之间在建立路径密钥时的路径为单跳，即表明双方均在对方的直接通信范围内，则将相应的K_ATTR_EX字段置为“直连密钥”；否则，将相应的K_ATTR_EX字段置为“多跳相连密钥”；

2.2)组密钥的建立

当节点需要组播通信时，需要建立组密钥，包括两种建立方式：直接组密钥建立和间接组密钥建立，具体实现方式是：

2.2.1)直接组密钥建立，用于在邻居节点间建立组密钥：

2.2.1.1)组播节点生成组密钥MSK，利用与邻居节点即组播消息接收节点之间的共享密钥或直连密钥将MSK加密后发送给组播消息接收节点；

2.2.1.2)组播消息接收节点成功解密MSK后，将其保存并向组播节点发送组密钥建立成功消息，直接组密钥建立过程结束。

2.2.2)间接组密钥建立，用于在多跳节点间建立组密钥：

2.2.2.1)组播节点生成组密钥MSK，利用与其多跳相连的节点之间共享的多跳相连密钥，将MSK加密后发送给与该组播节点多跳相连的组播消息接收节点；

2.2.2.2)该组播消息接收节点成功解密MSK后，将其保存并利用与其组内成员即组播消息接收节点之间的直连密钥或共享密钥将MSK加密后发送给组内成员，然后向组播节点发送组密钥建立成功消息。

本发明中所述节点泛指传感器网络中的各种网络实体，包括部署服务器、基站、簇头节点、普通节点等。

本发明提供一种传感器网络密钥预分发和密钥建立方法的执行流程，基于随机密钥预分发和每对节点共享一个密钥的密钥预分发方法，提出适用于大规模传感器网络的密钥预分发和密钥建立方法。此方法通过将节点ID与密钥ID绑定，能够在帮助节点建立对密钥的同时支持节点间实现端到端的身份鉴别。本发明还能够提供组密钥建立服务，支持节点间的安全组播通信。

Claims (8)

1、一种传感器网络密钥预分发与密钥建立方法，其特征在于：所述方法包括以下步骤：

1)密钥预分发，其具体实现方式是：

1.1)网络部署前，部署服务器生成密钥池KP，该密钥池KP包含多个密钥及其密钥标识，密钥池中密钥个数记为|KP|，|KP|足够大，并假设部署服务器安全；

1.2)假定预设的网络连通度为P_c，网络中的节点数为n，每个节点均有对应的标识ID，根据经典随机图理论计算节点的度d＝(n-1)*(1nn-1n(-1nP_c))/n；

1.3)根据节点的度d以及期望的网络部署后节点的邻居节点数n’，计算相邻节点间两两预共享密钥的概率p＝d/n’；

1.4)部署服务器为节点预分发密钥；

2)密钥建立，其具体实现方式是：

2.1)对密钥的建立；

2.2)组密钥的建立。

2、根据权利要求1所述的传感器网络密钥预分发与密钥建立方法，其特征在于：所述步骤1.4)的具体实现方式是：

1.4.1)对于节点N_i，部署服务器首先为N_i构造ID列表，ID列表中包括：N_ID字段、K_ID字段、K_STA字段、K_ATTR字段、K_ATTR_EX字段以及K_VAL字段；

其中：

N_ID字段：节点ID，表示与节点N_i共享密钥的节点身份标识值；

K_ID字段：密钥ID，表示节点N_i与N_ID字段所标识的节点之间共享密钥的标识值；

K_STA字段：密钥状态，表示K_ID字段所标识的密钥的状态，当节点N_i与N_ID字段所标识的节点已建立对密钥时，K_STA字段的值为已建立，否则为未建立，该字段的初值为未建立；

K_ATTR字段：密钥属性，当K_STA字段中的值为已建立时，该字段的取值有意义，表示K_ID字段所标识的密钥是共享密钥还是路径密钥，该字段的缺省表示共享密钥；

K_ATTR_EX字段：密钥属性扩展，当K_ATTR字段表示的密钥为路径密钥时，该字段的值有意义，用于表示路径密钥是直连密钥还是多跳相连密钥，该字段的缺省表示密钥为直连密钥；

K_VAL字段：密钥值，用于存储K_ID字段标识的密钥值；

在N_i上建立ID列表后，部署服务器从剩余n-1个节点中随机选择n*p个节点，分别将其节点ID插入到N_i的ID列表中；然后，部署服务器从密钥池KP中为ID列表中的每一项不重复的选择一个密钥，并将这些密钥标识以及相应的密钥值分别插入N_i的ID列表中对应的K_ID字段和K_VAL字段中，并从密钥池KP中删除这些密钥及标识；最后，部署服务器生成t(t＜n’)个备用的密钥ID，这里的备用密钥ID与密钥池KP中的密钥ID不重复，也加载到N_i中；部署服务器记录节点N_i的ID列表中的所有信息；此处的备用的密钥ID后续用于标识节点间独立协商建立的、非KP中的对密钥；

1.4.2)对于节点N_j，部署服务器在为节点N_i预分发密钥后，开始为节点N_j预分发密钥：首先，部署服务器从剩余n-1个节点中随机选择n*p个节点，分别将其节点ID插入到N_j的ID列表中；然后，部署服务器从密钥池KP中为N_j的ID列表中的每一项不重复的选择一个密钥，并将这些密钥标识以及相应的密钥值分别插入N_j的ID列表中对应的K_ID字段和K_VAL字段中，但当为N_j随机选择的n*p个节点中包括N_i时，则不再为N_j与N_i重新分配密钥，而是为其分配之前已为N_i分配的二者之间的共享密钥，并在N_j的ID列表中与N_i对应的项的K_ID字段和K_VAL字段中分别插入该共享密钥的ID和密钥值；部署服务器生成t(t＜n’)个与密钥池KP中的密钥ID以及N_i的备用密钥ID不重复的密钥ID，也加载到N_j中；部署服务器记录节点N_j的ID列表中的所有信息；

1.4.3)对于剩余节点，部署服务器在为N_j分发密钥后，为剩余所有节点依次分发密钥，分发方法与节点N_j相同；部署服务器记录所有剩余节点的ID列表信息。

3、根据权利要求1或2所述的传感器网络密钥预分发与密钥建立方法，其特征在于：所述步骤2.1)的具体实现方式是：

2.1.1)共享密钥的建立；

2.1.2)路径密钥的建立。

4、根据权利要求3所述的传感器网络密钥预分发与密钥建立方法，其特征在于：所述步骤2.1.1)的具体实现方式是：

2.1.1.1)网络部署后，每个节点均向其邻居节点广播自己的身份标识信息；

2.1.1.2)邻居节点收到2.1.1.1)的广播消息后，根据其中的身份标识信息判断是否与该广播节点共享密钥，如果自己的ID列表中的N_ID字段中存在相同的ID，表明自己与该节点共享密钥，即对密钥；该邻居节点将对应ID列表对应项中的K_STA字段置为已建立，标识已与2.1.1.1)中的广播节点建立对密钥，即已建立直接安全连接。

5、根据权利要求3所述的传感器网络密钥预分发与密钥建立方法，其特征在于：所述步骤2.1.2)在没有共享密钥但存在多跳安全连接的节点间建立对密钥的过程如下：

2.1.2.1)当源节点与目的节点间存在一条由两两间均存在共享密钥的多个节点构成的安全路径时，源节点生成一个路径密钥PK并从备用的路径密钥ID中不重复的选择一个ID，通过与目的节点之间的安全路径，将该路径密钥PK和对应的密钥ID以及自己的ID和目的节点的ID通过安全路径上节点的逐跳加解密传输发送给目的节点；

2.1.2.2)目的节点收到源节点的密钥消息并解密获得路径密钥PK后，通过与源节点之间的安全路径向源节点发送密钥建立成功消息，表明与源节点之间已建立安全连接；此时，源节点和目的节点分别将对方的身份标识ID作为新条目插入到自己的ID列表中，并将PK的ID以及PK的值插入对应的K_ID字段和K_VAL字段中，并将对应的K_STA字段置为已建立，将K_ATTR字段置为路径密钥，如果源节点和目的节点之间在建立路径密钥时的路径为单跳，即表明源节点和目的节点均在对方的直接通信范围内，则将相应的K_ATTR_EX字段置为直连密钥；否则，将相应的K_ATTR_EX字段置为多跳相连密钥。

6、根据权利要求1或2所述的传感器网络密钥预分发与密钥建立方法，其特征在于：所述步骤2.2)的具体实现方式是：

2.2.1)直接组密钥的建立，用于在直连节点间建立组密钥；

2.2.2)间接组密钥的建立，用于在多跳相连节点间建立组密钥。

7、根据权利要求6所述的传感器网络密钥预分发与密钥建立方法，其特征在于：所述步骤2.2.1)的具体实现方式是：

2.2.1.1)组播节点生成组密钥MSK，利用与邻居节点即组播消息接收节点之间的共享密钥或直连密钥将MSK加密后发送给组播消息接收节点；

2.2.1.2)组播消息接收节点成功解密MSK后，将其保存并向组播节点发送组密钥建立成功消息，直接组密钥建立过程结束。

8、根据权利要求6所述的传感器网络密钥预分发与密钥建立方法，其特征在于：所述步骤2.2.2)的具体实现方式是：

2.2.2.1)组播节点生成组密钥MSK，利用与其多跳相连的节点之间共享的多跳相连密钥，将MSK加密后发送给与该组播节点多跳相连的组播消息接收节点；

2.2.2.2)该组播消息接收节点成功解密MSK后，将其保存并利用与其组内成员即组播消息接收节点之间的直连密钥或共享密钥将MSK加密后发送给组内成员，然后向组播节点发送组密钥建立成功消息。