CN102160324A - 用于在网络中安全通信的方法、用于其的通信设备、网络及计算机程序 - Google Patents

Abstract

本发明涉及用于安全通信的方法和具有通信设备、使用如加密系统那样的安全手段来保护通信的通信网。更具体地，本发明涉及一种用于在网络中从第一节点(N1)到第二节点(N2)的安全通信的方法，第一节点包括第一节点密钥材料(KM^(ID1))，第二节点包括第二节点密钥材料(KM^(ID2))，其中第一节点和第二节点的密钥材料各自包括由密钥根份额分段形成的复数个密钥根份额。所述方法按照可变分配而使用密钥分段来预分配密钥材料，以便增加现有方法的弹性。

Description

用于在网络中安全通信的方法、用于其的通信设备、网络及计算机程序

技术领域

本发明涉及用于安全通信的方法，以及具有通信设备、使用如加密系统那样的安全手段来用于安全通信的通信网。本发明在移动无线传感器与致动器网络(WSN)中，以及更具体地在用于病人监护的医疗无线网中得到有利的应用。

背景技术

由于这些敏感的应用，这类的网络必须配备有安全服务，如机密性、鉴别、完整性和授权。

在传统的通信网中所使用的加密系统典型地实行基于用以保护通信的密码术的加密方法。

更具体地，在包括必须很有成本效益的节点的某些系统中，对称密码术因而通常被应用来使得能实现所需要的安全服务。事实上，在这类的网络中，诸如无线传感器网络中，节点典型地在资源上--即在电池功率、通信带宽、处理能力或存储器方面--受到制约。基于非对称密码术的安全性方法因此通常被认为在这样的节点中是低效的或不可行的。

对称密码术的基本问题在于密钥分配，即，在属于网络的和必须安全地通信的节点中共享秘密的建立。这个问题在WSN中是特别突出的，因为它们的大小可以从几十个节点变化到几万个节点，且它们的性质可以是非常动态的，例如，网络拓扑可能并非是先验已知的。

在WSN中使用的传统的密钥预分配方法是组合的方法，该方法在于：把网络的节点划分成类别，并给每个节点指派一组对应于它的类别的密钥。在本说明书的意义内，类别对应于按照预定的法则，诸如数学、算术或逻辑法则，被聚集在一起的一组单元。在这样的方法中，相同类别中的节点全部共享相同的密钥，以及来自不同类别的节点被保证共享至少一个密钥，以便使得能进行通信。

然而，那些方法在弹性（resilience）方面呈现严重的缺点，由于被敌手俘获节点意味着在被俘获的节点密钥组中的所有密钥受到损害，因此，在那个类别中的所有节点，甚至在使用相同密钥的其它类别中的节点的通信都受到损害。

另外，某些WSN应用情景，诸如在医院中的病人监护，需要以分级的方式被组织的不同安全域。在这样的网络中，传感器节点根据它们的授权级别而属于一个或几个安全域。在现有的分级的密钥分配方案中，每个安全域被链接到密钥分配，因此，在低级别上的安全域--即包括许多节点的安全域--的俘获，即使没有导致对低级别上的其它安全域的密钥材料的损害，也仍旧可破坏在更高级别上的安全性。

发明内容

本发明的目的是提出使用密钥分配思想的方法，以便克服前面提到的缺点。

本发明的另一个目的是提出对于攻击提供更好的弹性的方法。本发明的再一个目的是提供用于以有效的方式进行安全通信的方法。

为此，提出了用于在网络中从第一节点到第二节点的安全通信的方法，第一节点包括第一节点密钥材料，第二节点包括第二节点密钥材料，其中第一节点和第二节点的密钥材料各自包括由密钥根份额（keying root share）分段形成的复数个密钥根份额。

这样的方法包括以下步骤：

确定第二节点的标识符的步骤a)；

确定第二节点的密钥材料的构成的步骤b)，该密钥材料包括由密钥根份额分段形成的复数个密钥根份额，这个确定包括从预分配的密钥材料组中选择该密钥材料的每个第i个密钥根份额分段，这样的密钥材料组至少取决于i和第二节点的标识符；

比较第一节点密钥材料与第二节点密钥材料的步骤c)，用以识别共同的密钥根份额分段，其中第i个共同的密钥根份额分段是通过检索在包括第二节点密钥材料的所有第i个密钥根份额分段的组与包括第一节点密钥材料的所有第i个密钥根份额分段的组之间共同的密钥根份额分段而被确定的；以及

根据所识别的共同的密钥根份额分段、第二节点的标识符和分段标识符i的至少一项，计算在第一节点与第二节点之间的共享的密钥的步骤d)。

在以下的说明中，两个节点m和n将被称为对于密钥分段i属于相同的类别，如果取决于i和m的预分配的密钥材料组与取决于i和n的预分配的密钥材料组相同的话。

按照本发明的方法允许密钥分段多样化（diversification），因为对于密钥单元i属于相同类别的两个节点多半对于另外的密钥根份额分段属于不同的类别。

结果，与传统的方法相比较，共享完全相同的根分段的节点群的大小被极大地减小。因此，俘获对于一个密钥分段属于相同类别的有限数目的节点将只损害对应密钥的那个特定分段而不是全部密钥，因此，增加了这种方法的弹性。

在一个实施例中，步骤d)包括从所识别的密钥根份额分段和从第一节点及第二节点的标识符计算密钥分段的步骤，以及通过级联或组合所计算的密钥分段而生成共享的密钥的步骤。

级联密钥分段以生成共享密钥允许提高本方法的计算效率，因为密钥分段的比特长度小于共享密钥的比特长度，这意味着没有存储或计算开销。这对于其中节点的计算能力有限的WSN来说是特别重要的。

除了级联以外，可能的组合方法之一在于，通过使用异或（XOR）算子来逻辑地组合分段。在这样的情形下，密钥分段的比特长度与最终密钥的比特长度相同，这是有利的，因为小于密钥尺寸的任何数目的分段受到损害并不降低密钥的强度。

在一个实施例中，被使用于确定节点的密钥材料的预分配密钥材料组对应于按照网络中的节点的可变分配而分配的、由该分配的可变参数来索引的、并取决于i和其密钥材料正被确定的节点的标识符的一个或几个有限射影平面的一组元素。

使用用于分配的可变参数有助于增加本方法的弹性，因为它允许在共享密钥的计算中加上另一个变化源。

而且，在有利的实施例中，可变参数的变化法则初始地被保持为秘密的，因此，所述方法包括对于节点的、从包括一个或几个节点的集中式或分布式网络当局（network authority）接收可变参数的值的步骤。

这个接收步骤可以如下地执行：第一节点把请求发送到网络当局，网络当局决定是否允许第一节点生成共享的密钥，以及在肯定的结果后，最终优选地以安全的方式把可变参数的值发送到第一节点。

把可变参数的变化法则保持为秘密的，意味着在预部署阶段期间，即在节点实际上加入特定的网络之前，节点没有被提供以用于可变分配的参数的值，且这样便得到两个主要的优点：

- 第一，接入控制被执行，因为节点首先必须向它们已加入的网络的网络当局报告，该网络当局控制是否允许节点生成密钥，以及

- 由于以下事实，弹性得以增加，即：如果节点在被部署之前，即在加入网络之前被俘获，则攻击者能够检索在节点中的密钥材料，但不能检索到取决于秘密的可变参数的密钥根。

本发明还涉及被设计成被包括在网络中作为第一节点的通信设备，包括：

- 存储装置，用于存储第一节点的密钥材料，该第一节点的密钥材料包括由密钥根份额分段形成的复数个密钥根份额，

- 用于确定网络的第二节点的标识符的装置，

- 控制器，被安排成用于确定第二节点的密钥材料的构成，该密钥材料包括由密钥根份额分段形成的复数个密钥根份额，

该控制器包括选择器，用于从预分配的密钥材料组中选择密钥材料的每个第i个密钥根份额分段，这样的密钥材料组至少取决于i和第二节点的标识符，

- 该控制器还包括比较装置，用于比较第一节点密钥材料与第二节点密钥材料，以便识别出索引共同的密钥根份额分段，

比较装置包括检索装置，用于通过检索在包括对于第二节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组与包括预定的第一节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组之间共同的密钥根份额分段而确定第i个共同的密钥根份额分段，

- 该控制器还包括计算装置，用于根据所识别的共同的密钥根份额分段、第二节点的标识符和分段标识符i的至少一项，来计算在第一节点与第二节点之间共享的密钥。

本发明还涉及包括至少两个如上所述的通信设备的网络，其中一个通信设备代表网络的第一节点，而另一个通信设备代表网络的第二节点，以及其中第一节点与第二节点通过使用共享的密钥而互相通信，以便保护通信。

按照本发明的另一方面，提供了用于实施按照本发明的方法的计算机程序。

本发明在包括以分级的方式分布的不同安全域的某些网络中也找到有利的应用。在这样的网络中，每个安全域通常与不同的且独立的密码信息相链接，且在部署网络时密钥材料的分配以这样一种方式进行，即确保在节点之间的完全安全的互操作性以及分布式接入控制和分级的节点标识。因此，在一个实施例中，按照本发明的方法是使得在包括分级地分布的几个安全域的网络的情形下，节点的密钥材料的确定以这样的方式进行，即：使得在不同节点处的密钥材料份额的相关性和在攻击下受损害的密钥根的量被最小化。

从下文描述的实施例中，本发明的这些和其它方面将是明显的，并将参照这些实施例而得以阐述。

附图说明

现在参照附图，借助例子，更详细地描述本发明，其中：

- 图1表示按照本发明的一个实施例的网络，

- 图2是按照本发明的实施例的、用于从第一节点到第二节点的安全通信的方法的框图，

- 图3是图1所示的方法的一个步骤的详细框图，

- 图4表示分级的密钥分配的例子，以及

- 图5显示具有和不具有密钥分段多样化的系统的对抗聪明攻击者的弹性。

具体实施方式

本发明涉及用于在网络中从第一节点到第二节点的安全通信的方法。本发明更特别地专用于供病人监护使用的无线传感器和致动器网络，例如，包括用于感测病人的身体参数的传感器节点、用于给医护人员提供参数的接收器节点以及致动器节点的网络。

然而，应当指出，本发明并不限于这类的网络，而是本发明可以在供任何技术应用使用的任何类型的网络中被实行。

现在结合图1和2描述按照本发明的一个实施例的方法。

按照本发明的网络包括至少两个节点N1和N2，每个节点配备有一个标识符，分别是ID1和ID2。在实施例中，网络还包括信托中心节点TC，用于网络的配置和给节点N1和N2提供用于生成密码密钥的所有必须的密钥材料信息。这个信托中心节点TC代表前面提到的网络当局的一个可能的实施例。

在运行阶段期间，为了确保在网络的第一节点N1与第二节点N2之间的通信，每个节点通过使用分配的密钥材料信息而生成共享的密钥，并使用这个密钥来保护发送到另一个节点的任何通信或对从这个另外的节点接收的任何通信进行译码。图2描述了让第一节点生成用于与第二节点进行通信的共享密钥所需要的不同步骤。类似的步骤由第二节点执行来生成用来与第一节点进行通信的对应的共享密钥。

为了生成密钥，节点需要被提供以密钥材料份额（keying material share），对于第一节点和第二节点分别是KM^(ID1)和KM^(ID2)，即允许进行密钥建立的某些信息。密钥材料份额通常是在网络的配置阶段期间从信托中心TC接收的。被提供给节点的密钥材料份额是从根密钥材料KM生成的，根密钥材料KM是只有信托中心才知道的密码信息。

上述的方法因此并不打算要被应用到特定的节点，而是可以由网络的任何节点实行。

当在第一节点与第二节点之间要建立通信时，第一节点在步骤a)从第二节点接收第二节点的标识符ID2。

为了发现用于与第二节点进行通信的共享的密钥，第一节点需要在步骤b)确定第二节点的密钥材料份额的构成。

密钥材料份额包括复数个密钥根份额，且在按照本发明的方法中，那些密钥根份额被分段，这意味着，它们是由复数个分段形成的。应当指出，所有的密钥根份额通常包括相同数目的分段。

因此，在按照本发明的一个实施例的方法中，在第一节点与第二节点之间共享的密钥由许多密钥分段构成。

因此，在步骤b)确定密钥材料的构成对应于单独地确定密钥根份额的每个分段。

这样的确定将进一步结合图3进行详述。

在按照本发明的方法的一个实施例中，密钥根份额是被划分成分段的密钥单元。因此，确定密钥根份额的不同分段对应于确定现成的（ready-made）密钥分段，这些密钥分段被进一步组合以便生成在第一节点与第二节点之间的最终共享的密钥。

然而，在有利的实施例中，按照本发明的方法与λ-弹性方法相组合，λ-弹性方法依靠节点不共享现成的密钥的事实。替代地，节点被提供以特定于节点的信息，其允许它们在输入另一个节点的标识符时计算与那个节点共享的密钥。这个特定于节点的信息，被称为密钥根份额，是从密钥根得出的。作为例子，密钥根份额是λ次多项式，因此多项式具有λ+1个系数。

在确定第二节点密钥材料KM^(ID2)的构成后，第一节点在步骤c)比较这个第二节点密钥材料KM^(ID2)与它自己的密钥材料KM^(ID1)。这个比较也是根据密钥材料标识符而进行的。

如前所述，在一个实施例中，每个节点在配置阶段期间被提供以它自己的密钥材料份额。然而，在另一个实施例中，第一节点在运行阶段期间通过使用与将根据图3进一步描述的方法类似的方法确定它自己的密钥材料份额。而且，在一个实施例中，节点密钥材料的确定以这样一种方式实行，即：使得不同的密钥材料分段的相关性最小化。

第一节点密钥材料KM^(ID1)与第二节点密钥材料KM^(ID2)的比较如下地执行：对于每个分段，第一节点找出它们共同具有哪个密钥根分段，这意味着，对于被包括在1与分段数目之间的每个分段i，第一节点找出在包括第一节点密钥材料的每个密钥根份额的第i个分段的组与包括第二节点密钥材料的每个密钥根份额的第i个分段的组之间的共同的单元。

在识别出共同的分段后，第一节点在步骤d)计算与第二节点共享的密钥K。

按照本发明的几个实施例，这种构成可以以几种方式进行。

例如，密钥分段k_i可以被简单地级联，以便得到最终的密钥K:K=k₁‖k₂‖…‖k_t。在被使用于构成密钥K的密钥分段的数目是t的情形下，密钥分段的比特长度是最终密钥K的比特长度的t分之一，这样，没有存储和计算开销。这样的构成使得有可能提高本方法的计算效率。

另一个选项是通过不同密钥分段的数学、算术或逻辑组合而构成K，例如通过对不同的密钥分段进行XOR(异或)而构成K: K=k1                                                

k₂ …

k_t。

对于这种构成，密钥分段的比特长度应当等于K的所需要的比特长度。XOR构成是有利的，因为在攻击的情形下，损害小于t的任何数目的密钥分段并不降低密钥的强度。

可以有用于密钥构成的其它方法，如应用散列函数来得到想要的比特长度的输出和去除在密钥之间的可能的代数关系的方法。

在使用λ-弹性方法的情形下，计算包括在组合步骤之前的以下步骤：通过根据第二节点标识符的输入来评估共同的密钥根密钥根份额分段而确定共同的密钥分段。

现在我们将结合图3描述第一节点的特定的密钥根份额分段i的确定。

首先，我们将描述在执行这样的确定时所遵循的某些一般思想，那些思想在本发明的某些实施例中被使用，但不一定在所有的实施例中被使用。

如在前面所说明的，密钥根份额分段是至少根据第一节点标识符和i而在预分配的密钥材料组中间进行选择的。

在这里描述的实施例中，按照本发明的方法实行用于预分配密钥材料组的组合密钥预分配方法。

典型地，这里所使用的组合的思想是有限射影平面，称为FPP，因此被使用于确定节点密钥材料的预分配密钥材料组对应于FPP的一组元素。

有阶数n和参数(n²+n+1,n+1,1)的FPP被定义为把n²+n+1个不同的元素安排到n²+n+1个块中，以使得：

·每个块正好包含n+1个元素。

·每个元素出现在正好n+1个块中。

·每对块共同具有正好1个元素。

元素组用E={0,…,n²+n}表示，块组用B={B₀,…,B_n}表示，其中块B_i={b_i,0,…,b_i,n}

E。

作为例子，阶数为2（即其中n=2）的FPP定义以下的块：

B₀=(0,2,4); B₄=(0,1,6)；

B₁=(1,3,4); B₅=(2,3,6)；

B₂=(0,3,5); B₆=(4,5,6)；

B₃=(1,2,5);

如前所述，FPP的属性之一是每对块共同具有正好1个元素的事实。因此，当两个节点想要通信时，它们可以使用基于它们的对应FPP块的共同元素的共享密钥单元来商定共同的秘密，并以安全的方式通信。

在典型的聪明分配中，FPP的不同块对应于不同类别的节点j。节点标识符ID可以按照以下的关系式：j≡ID(mod n²+n+1)被映射到节点类别。

来自类别C_j的节点被提供以用块B_j的元素索引的密钥。例如，节点8属于类别C₁，所以它的密钥材料--用KM⁽⁸⁾表示--由以下密钥组给出：

如果这个节点想要与节点14通信，则它们使用FPP属性来发现共享的密钥。这个密钥是k₄，因为这个节点属于类别C₀，所以：

这个分配具有n²+n+1的周期，这意味着，其身份相差n²+n+1的倍数的所有节点是处在相同的类别中。为了增加这个周期，并从而增加本方法的弹性，在一个实施例中，可变分配被使用来预分配密钥材料。

这种可变分配用取决于要被确定的密钥根份额分段的参数v来进行索引，以使得

- 对于密钥根份额的不同分段，节点属于不同类别，以及

- 对于一个分段属于相同类别的两个节点多半对于另一个分段属于不同类别。

有利地，可变分配被定义为如下：节点ID被指派给类别C_jv，其中：

。

参数v取决于要被确定的分段，且看起来v的不同值给出节点的不同的分配。对于0≤v≤n²+n，总共有n²+n+1个不同的分配。对于v的特定的值，分配的周期等于

其中gcd(a,b)是在a与b之间的最大公约数，即，除这两个数而没有余数的最大正整数。

这样，对于gcd(v,n²+n+1)=1，分配的周期是最大值，在这种情形下，周期是(n²+n+1)²。对于n²+n+1质数和v>0，情况总是这样。

因此，共享正好相同的根分段的节点群的大小被减小到（n²+n+1）分之一。所以，每个类别的相对弹性增加到n²+n+1倍。

下面的表1列出在对于n=2的可变分配中，对于具有直到ID=20的标识符的节点的类别C_jv 。

表1：对于n=2的可变分配

我们现在将详细描述属于节点ID的密钥材料的第i个密钥根份额分段的确定。在这个例子中，参数v如下地取决于i：v=i-1。

被标识为ID1的第一节点已经被提供以它自己的密钥材料KM^(ID1)，鉴于要建立与第二节点的通信，它接收这个第二节点标识符ID2。

第一节点也被提供以如上所述的、用于确定v的信息，和被使用于预分配密钥材料组的FPP的阶数n。那些元素是由信托中心节点TC在预部署或部署阶段期间、或在运行阶段期间提供给所述节点的。

在第一步骤(DET C_jv)，对于分段i，第一节点确定第二节点所属于的类别。如前所述，使用可变分配，具有以下关系：

，其中

表示x的整数部分。

因此，通过本说明书的注解，第二节点属于类别C_jv，有

。

然后，在第二步骤(SELECT KM SET（选择KM组）)，使用参数j_v来确定从其中选择密钥根份额分段的预分配的密钥材料组。

对应于类别C_jv的密钥材料组是阶数n的有限射影平面的块B_jv。

此后，在步骤(DET S)，根据先前确定的块B_jv的元素来确定密钥根份额的第i个分段。

块B_jv的元素的数目是n+1，它等于形成节点的密钥材料的密钥根份额的数目。

因此，第l个密钥根份额的第i个分段是根据块B_jv的第l个元素被确定的。

对于每个i，执行按照图3描述的方法，其中i是在1与形成密钥根份额的分段的数目之间的整数。

例如，让我们假设密钥由t个分段构成，有t≤n²+n+1。对于节点ID的密钥材料被如下地构建，其由n+1个KR份额组成，每个具有t个分段。KR份额的第一分段对应于按照具有v=0的分配的、对于ID的FPP块，它是块

。因此，KR份额的这些第一分段由

给出。第二KR份额分段按照v=1进行分配，这样它们从块

取得它们的索引。所以，这些份额是

。类似地，KR份额的第

个分段按照v=

-1进行分配。这导致节点ID的密钥材料的以下的结构：

。

我们现在将完全地描述通过使用按照本发明的方法而确定在两个节点之间共享的密钥的具体例子。

这个例子取以下的参数：

- 节点的标识符是ID1=8和ID2=14，

- FPP的阶数是n＝2，

- 密钥根份额的分段的数目是t=3，以及

- 参数v与分段s之间的依赖关系是v=s-1。

对于节点8，第一分段按照块

、具有j₀=1进行分配，正如从以上显示的表1中对于v=0和ID=8的行中可以看到的。因此，密钥根份额的第一分段具有由B₁={1,3,4}列出的索引。类似地，第二分段对应于B₂={0,3,5}(因为对于ID=8，有j₁=2)，以及第三分段对应于B₃={1,2,5}(因为对于ID=8，有j₂=3)。因此，对于节点8的密钥材料被给出为如下：

。

同样地，对于节点14的分段分别对应于块B₀,B₂和B₄。因此节点14被提供以下的密钥材料：

。

为了计算与节点14共享的密钥，节点8对于每个分段找出它们共同具有哪个密钥根分段。对于第一分段这证实是kr_4,1，而对于第三分段是kr_1,3。

在本情形下，对于第二分段，所有的元素在KM⁽⁸⁾与KM⁽¹⁴⁾之间是共同的。

在本发明的实施例中，在这样的情形下，按照已为所有节点所知的预定法则来选择共同的分段。

让我们假设，在本例中，对于第二分段所选取的被选择共同元素是kr_1,3。

如前所述，在有利的实施例中，按照本发明的方法与λ-弹性方法相组合，这意味着，第一节点和第二节点不直接共享现成的密钥，而是共享某些特定于节点的信息。因此，在这种情形下，共同的分段不直接表示密钥分段，而是表示被使用来评估密钥分段的信息。

典型地，密钥根份额分段表示λ-安全函数，诸如λ次多元多项式。在本情形下，使用二元多项式，即，对于任何的i和j, kr_m,n ⁽ⁱ⁾(j)= kr_m,n ^(j)(j)。

在特定的例子中，节点8在ID=14处评估它的KR份额kr_4,1 ⁽⁸⁾ 、kr_0,2 ⁽⁸⁾和kr_1,3 ⁽⁸⁾的每一个，并使最终得到的t个密钥分段构成在节点8和14之间共享的最终的密钥。

现在参照图4，我们将描述通过可变分配和密钥分段把按照本发明的方法应用到具有分级的密钥分配的系统。

把可变节点分配应用到分级的密钥分配使得有可能减小在不同的级别之间受损害的密钥材料的量。

让我们假设具有2个级别的简单的分级密钥分配方法。在第一级别，有简单的安全域，而在第二级别，有总共m个不同的安全域。在普通的方法（trivial approach）中，在第二级别上属于不同安全域的两个节点可以从级别1上的任意类别得到密钥材料。这意味着，以损害级别2上的特定安全域为目标的攻击者可以从任何类别获得级别1上的密钥材料。所以，攻击者可以通过只俘获来自级别2上的特定安全域的节点而损害级别1上的整个安全域。

可变节点分配的思想允许通过以可变分配的方式把密钥材料指派给节点而使得这个问题最小化。图4针对单个分段或针对不带有分段多样化的分级的密钥分配图示了这一点。在该图上，我们可以观察到具有3个级别的分级的分配，其中属于级别+1上的安全域(SD)index-i的节点载有从级别

上的安全域SD index的第i个FPP块生成的密钥材料。例如，属于SD₁₃₄的节点载有以下的密钥材料：

- 在级别1上的来自SD₁的第三个FPP块的密钥材料。

- 在级别2上的来自SD₁₃的第四个FPP块的密钥材料。

- 在级别3上的来自SD₁₃₄的任何FPP块的密钥材料。

这个系统给出几个优点。一方面，它允许借助于FPP块标识符而编码节点所属于的SD，如此而减小了通信开销。另一方面，这个方法将在入侵者攻击级别

+1上的SD 时在通用级别

上受到损害的密钥材料的量减小到密钥材料的一小部分，即(n+1)/(n²+n+1)，其中n是与级别

上的SD index相链接的SD的FPP阶数。这个解决方案的主要缺点在于，级别

上的SD index可容纳的在级别

+1上的SD index-i的数目被限于n²+n+1。

这样的方法还可以与密钥分段和分段多样化如下地组合：属于级别

上的SD index-i的节点从级别

上的SD index从类别i得到密钥材料。这使得级别

上的SD可容纳的在级别

+1上的子-SD的数目增加到n²+n+1倍。另外，如果在级别

+1上的SD受到损害，则在更高的级别上受到损害的密钥材料的量由于前面所描述的分段多样化的思想而再次被减小。

使用分段多样化思想的可能的级别间分配算法可被如下地设计。在任意级别

上的节点按照指派给安全域的不同的可变分配C_jv从不同的安全域SD得到密钥材料。所有那些节点从相同安全域中的多个类别(n²+n+1)²得到级别

-1上的密钥材料。在级别-1上的安全域中的类别被以这样一种方式分配在级别

上的安全域之间，即层间的密钥材料被随机化，如此使得在级别

上在任何SD中的多个节点的俘获最小化对于在级别

-1上受到损害的密钥材料的影响。为此可以使用不同的方法，例如，可以把级别-1上(n²+n+1)²个可能类别中的那个级别上的Nc个类别(例如，n²+n+1个类别) 指派给属于级别

上的安全域的节点。在级别

-1上的所选取的Nc个类别(例如，n²+n+1个类别)可以具有相继的次序，即，{j,j+1,…,j+Nc}，以使得对其可以应用聪明的分配。

为了指出实行按照本发明的方法的系统的性能，我们现在将分析和比较带有和不带有密钥分段多样化的方案的弹性。在这个分析中，密钥的构成通过密钥分段的级联被规定，以及为了公平的比较，对于让密钥足够强所需要的熵的量引入阈值T。

分析是在λ-弹性方法与组合预分配思想相组合地被使用的情形下执行的。分析将在其中系统被聪明的攻击者攻击的情形下被执行，聪明的攻击者即这样的攻击者，其不随机地损害节点，但是选择性地选取节点，以便通过较少数目的被俘获节点来损害整个密钥材料。

首先考虑不具有多样化的系统。聪明的攻击者首先从相同类别中选择λ+1个节点，由此损害n+1个密钥。接着，他从另外的类别中重复地选择λ+1个节点，每次损害n个另外的密钥，因为这些类别是被聪明地选取的。在n+1个类别后，即，在(λ+1)(n+1)个受损害的节点后，攻击者知道系统中的所有的密钥。因此，作为受损害节点数目N_C的函数的受损害密钥的所占分数是如下的：

。

现在在密钥分段多样化的情形下，当密钥由t≥T/q个分段构成时，密钥在t_r=T/q-t个密钥分段受损害后仍旧是足够强的。所以，敌手需要收集至少t_r+1个分段来破解密钥。如果节点的总数N≥(λ+1)(n²+n+1)²，则聪明的攻击者可重复地损害其标识符等价于模(n²+n+1)²的λ+1个节点。因此，通过每λ+1个节点，对于每个分段，全部FPP块被损害。因此，这可被看作为分开地对于每个分段的聪明的攻击。受损害密钥所占的分数通过从那些受损害块中取至少t_r+1个分段的密钥所占的分数来定义：

。

图5画出对于参数λ=6和n=23(R1)对于不带有多样化的系统和对于参数λ=3和n=31(R2) 对于带有多样化的系统的对抗聪明的攻击者的弹性。在这个图上，横坐标轴代表俘获节点的数目，纵坐标轴代表受损害节点所占的分数。这里，假设节点的总数N小于986049。直到74个俘获节点，带有密钥分段多样化的系统都比不带有密钥分段多样化的系统执行得更好。

因此，看起来按照本发明的方法通过使用密钥分段多样化使得有可能增加在WSN网络中实行的安全系统的弹性。

这样的方法在Zigbee网络中得到作为密钥特征的特定应用，它提高了λ-安全密钥分配方案的安全性。更一般地，按照本发明的方法也可以被应用于在病人监护和分布式无线控制网络中所使用的资源受制约的无线节点中提升安全性。

在本说明书和权利要求中，在单元前面的单词“一”或“一个”（“a”或“an”）并不排除复数个这样的单元的存在。此外，单词“包括” 并不排除与所列出的那些单元或步骤不同的其它单元或步骤的存在。

在权利要求中的括号里包括参考符号是打算帮助理解，而不打算作为限制。

通过阅读本公开内容，本领域技术人员将明白其它修改。这样的修改可能牵涉到在无线电通信领域和发射机功率控制领域中早已公知的特征，并且这些特征可以代替或者附加于这里已描述的特征而被使用。

Claims (14)

1.一种用于在网络中从第一节点(N1)到第二节点(N2)的安全通信的方法，第一节点包括第一节点密钥材料(KM^(ID1))，第二节点(KM^(ID2))包括第二节点密钥材料，其中第一节点(N1)和第二节点(N2)的密钥材料各自包括由密钥根份额分段形成的复数个密钥根份额，所述方法包括对于第一节点的以下步骤：

a) 确定第二节点(N2)的标识符(ID2),

b) 确定第二节点的密钥材料(KM^(ID2))的构成，

这个确定包括从预分配的密钥材料组中选择第二节点密钥材料的每个第i个密钥根份额分段，这样的密钥材料组至少取决于i和第二节点的标识符，

c) 比较第一节点密钥材料(KM^(ID1))与第二节点密钥材料(KM^(ID2))，以便识别共同的密钥根份额分段，其中第i个共同的密钥根份额分段是通过检索在包括第二节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组与包括第一节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组之间共同的密钥根份额分段而被确定的，

d) 根据所识别的共同的密钥根份额分段、第二节点的标识符(ID2)和分段标识符i的至少一项，计算在第一节点(N1)与第二节点(N2)之间共享的密钥(K)。

2.按照权利要求1的方法，包括在步骤a)之前执行的初始步骤，其在于：第一节点(N1)确定第一节点密钥材料(KM^(ID1))的构成，其中所述确定包括从预分配的密钥材料组中选择第一节点密钥材料的每个第i个分段，这样的密钥材料组至少取决于i和第一节点的标识符。

3.按照权利要求1的方法，包括在步骤a)之前执行的初始步骤，其在于：第一节点(N1)确定第一节点密钥材料(KM^(ID1))的构成，其中节点密钥材料的确定被以这样一种方式实行，即使得不同的密钥材料分段的相关性最小化。

4.按照权利要求3的方法，其中所述网络被组织成分级地分布的不同的安全域(SD)，以及其中节点的密钥材料的确定被以这样一种方式实行，即在不同节点中的密钥材料份额的相关性和在攻击下受损害的密钥根的量被最小化。

5.按照权利要求1的方法，其中步骤d)包括从所识别的密钥根分段和从第一节点的标识符(ID1)及第二节点的标识符(ID2)计算密钥分段的步骤，以及通过级联或组合所计算的密钥分段而生成共享的密钥(K)的步骤。

6.按照权利要求1的方法，其中被使用于在步骤b)中选择第i个密钥根份额分段的预定分段组由作为有限射影平面的元素而被生成的元素进行索引。

7.按照权利要求4的方法，其中被使用于确定节点密钥材料的预分配的密钥材料组对应于按照网络中节点的可变分配而分配的、由可变参数索引的、并取决于i和其密钥材料正被确定的节点的标识符的有限射影平面的元素组。

8.按照权利要求7的方法，其中可变分配被定义为如下：节点ID被指派给类别C_jv，其中                                                

，v是可变参数，n是有限射影平面的阶数，以及

是x的整数部分。

9.按照权利要求7或8的方法，其中可变参数取决于i。

10.按照权利要求5的方法，包括在步骤b)之前从包括一个或几个节点的集中式或分布式网络当局接收可变分配的值的步骤，所述接收步骤包括：

- 对于第一节点(N1)的、发送请求到网络当局的步骤，

- 对于网络当局的、决定是否允许第一节点生成共享的密钥的步骤，以及

在该节点被允许生成共享的密钥的情形下，

- 对于网络当局NA的、发送可变参数的值到该节点的步骤。

11.按照权利要求1的方法，其中被使用于得出密钥根份额的密钥根是λ-安全函数，诸如λ-次多元多项式。

12.一种被设计成被包括在网络中作为第一节点(N1)的通信设备，包括：

- 存储装置，用于存储第一节点的密钥材料(KM^(ID1))，第一节点的密钥材料(KM^(ID1))包括由密钥根份额分段形成的复数个密钥根份额，

- 用于确定第二节点的标识符(ID2)的装置，

- 控制器，被安排成用于确定第二节点的密钥材料(KM^(ID2))的构成，第二节点的密钥材料包括由密钥根份额分段形成的复数个密钥根份额，

该控制器还包括确定装置，其包括选择装置，用于从预分配的密钥材料组中选择密钥材料的每个第i个密钥根份额分段，这样的密钥材料组取决于i和第二节点的标识符，

- 该控制器还包括比较装置，用于比较第一节点密钥材料(KM^(ID1))与第二节点密钥材料(KM^(ID2))，以便识别共同的密钥根份额分段，

比较装置包括检索装置，用于通过检索在包括第二节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组与包括预定的第一节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组之间共同的密钥根份额分段而确定第i个共同的密钥根份额分段，

- 该控制器还包括计算装置，用于根据所识别的共同的密钥根份额分段、第二节点的标识符和分段标识符的至少一项，计算在第一节点与第二节点之间共享的密钥(K)。

13.一种包括至少两个按照权利要求8的通信设备的网络，其中一个通信设备代表网络的第一节点(N1)，而另一个通信设备代表网络的第二节点(N2)，以及其中第一节点与第二节点通过使用按照权利要求1的方法而互相通信。

14.一种用于实施按照权利要求1的方法的计算机程序。

Images