用于在网络中安全通信的方法、用于其的通信设备、网络及计算机程序的制作方法

专利名称：用于在网络中安全通信的方法、用于其的通信设备、网络及计算机程序的制作方法
技术领域：
本发明涉及用于安全通信的方法，以及具有通信设备、使用如加密系统那样的安全手段来用于安全通信的通信网。本发明在移动无线传感器与致动器网络(WSN)中，以及更具体地在用于病人监护的医疗无线网中得到有利的应用。
背景技术：
由于这些敏感的应用，这类的网络必须配备有安全服务，如机密性、鉴别、 完整性和授权。在传统的通信网中所使用的加密系统典型地实行基于用以保护通信的密码术的加密方法。更具体地，在包括必须很有成本效益的节点的某些系统中，对称密码术因而通常被应用来使得能实现所需要的安全服务。事实上，在这类的网络中，诸如无线传感器网络中，节点典型地在资源上一即在电池功率、通信带宽、处理能力或存储器方面一受到制约。 基于非对称密码术的安全性方法因此通常被认为在这样的节点中是低效的或不可行的。对称密码术的基本问题在于密钥分配，S卩，在属于网络的和必须安全地通信的节点中共享秘密的建立。这个问题在WSN中是特别突出的，因为它们的大小可以从几十个节点变化到几万个节点，且它们的性质可以是非常动态的，例如，网络拓扑可能并非是先验已知的。在WSN中使用的传统的密钥预分配方法是组合的方法，该方法在于把网络的节点划分成类别，并给每个节点指派一组对应于它的类别的密钥。在本说明书的意义内，类别对应于按照预定的法则，诸如数学、算术或逻辑法则，被聚集在一起的一组单元。在这样的方法中，相同类别中的节点全部共享相同的密钥，以及来自不同类别的节点被保证共享至少一个密钥，以便使得能进行通信。然而，那些方法在弹性(resilience)方面呈现严重的缺点，由于被敌手俘获节点意味着在被俘获的节点密钥组中的所有密钥受到损害，因此，在那个类别中的所有节点，甚至在使用相同密钥的其它类别中的节点的通信都受到损害。另外，某些WSN应用情景，诸如在医院中的病人监护，需要以分级的方式被组织的不同安全域。在这样的网络中，传感器节点根据它们的授权级别而属于一个或几个安全域。 在现有的分级的密钥分配方案中，每个安全域被链接到密钥分配，因此，在低级别上的安全域一即包括许多节点的安全域一的俘获，即使没有导致对低级别上的其它安全域的密钥材料的损害，也仍旧可破坏在更高级别上的安全性。

发明内容
本发明的目的是提出使用密钥分配思想的方法，以便克服前面提到的缺点。本发明的另一个目的是提出对于攻击提供更好的弹性的方法。本发明的再一个目的是提供用于以有效的方式进行安全通信的方法。为此，提出了用于在网络中从第一节点到第二节点的安全通信的方法，第一节点包括第一节点密钥材料，第二节点包括第二节点密钥材料，其中第一节点和第二节点的密钥材料各自包括由密钥根份额(keying root share)分段形成的复数个密钥根份额。这样的方法包括以下步骤 确定第二节点的标识符的步骤a)；
确定第二节点的密钥材料的构成的步骤b)，该密钥材料包括由密钥根份额分段形成的复数个密钥根份额，这个确定包括从预分配的密钥材料组中选择该密钥材料的每个第i个密钥根份额分段，这样的密钥材料组至少取决于i和第二节点的标识符；
比较第一节点密钥材料与第二节点密钥材料的步骤c)，用以识别共同的密钥根份额分段，其中第i个共同的密钥根份额分段是通过检索在包括第二节点密钥材料的所有第i个密钥根份额分段的组与包括第一节点密钥材料的所有第i个密钥根份额分段的组之间共同的密钥根份额分段而被确定的；以及
根据所识别的共同的密钥根份额分段、第二节点的标识符和分段标识符i的至少一项，计算在第一节点与第二节点之间的共享的密钥的步骤d)。在以下的说明中，两个节点m和η将被称为对于密钥分段i属于相同的类别，如果取决于i和m的预分配的密钥材料组与取决于i和η的预分配的密钥材料组相同的话。按照本发明的方法允许密钥分段多样化(diversification)，因为对于密钥单元 i属于相同类别的两个节点多半对于另外的密钥根份额分段属于不同的类别。结果，与传统的方法相比较，共享完全相同的根分段的节点群的大小被极大地减小。因此，俘获对于一个密钥分段属于相同类别的有限数目的节点将只损害对应密钥的那个特定分段而不是全部密钥，因此，增加了这种方法的弹性。在一个实施例中，步骤d)包括从所识别的密钥根份额分段和从第一节点及第二节点的标识符计算密钥分段的步骤，以及通过级联或组合所计算的密钥分段而生成共享的密钥的步骤。级联密钥分段以生成共享密钥允许提高本方法的计算效率，因为密钥分段的比特长度小于共享密钥的比特长度，这意味着没有存储或计算开销。这对于其中节点的计算能力有限的WSN来说是特别重要的。除了级联以外，可能的组合方法之一在于，通过使用异或(XOR)算子来逻辑地组合分段。在这样的情形下，密钥分段的比特长度与最终密钥的比特长度相同，这是有利的，因为小于密钥尺寸的任何数目的分段受到损害并不降低密钥的强度。在一个实施例中，被使用于确定节点的密钥材料的预分配密钥材料组对应于按照网络中的节点的可变分配而分配的、由该分配的可变参数来索引的、并取决于i和其密钥材料正被确定的节点的标识符的一个或几个有限射影平面的一组元素。使用用于分配的可变参数有助于增加本方法的弹性，因为它允许在共享密钥的计算中加上另一个变化源。而且，在有利的实施例中，可变参数的变化法则初始地被保持为秘密的，因此， 所述方法包括对于节点的、从包括一个或几个节点的集中式或分布式网络当局(network authority)接收可变参数的值的步骤。
这个接收步骤可以如下地执行第一节点把请求发送到网络当局，网络当局决定是否允许第一节点生成共享的密钥，以及在肯定的结果后，最终优选地以安全的方式把可变参数的值发送到第一节点。把可变参数的变化法则保持为秘密的，意味着在预部署阶段期间，即在节点实际上加入特定的网络之前，节点没有被提供以用于可变分配的参数的值，且这样便得到两个主要的优点
“第一，接入控制被执行，因为节点首先必须向它们已加入的网络的网络当局报告，该网络当局控制是否允许节点生成密钥，以及
“由于以下事实，弹性得以增加，即如果节点在被部署之前，即在加入网络之前被俘获，则攻击者能够检索在节点中的密钥材料，但不能检索到取决于秘密的可变参数的密钥根。本发明还涉及被设计成被包括在网络中作为第一节点的通信设备，包括
“存储装置，用于存储第一节点的密钥材料，该第一节点的密钥材料包括由密钥根份额分段形成的复数个密钥根份额，
“用于确定网络的第二节点的标识符的装置，
“控制器，被安排成用于确定第二节点的密钥材料的构成，该密钥材料包括由密钥根份额分段形成的复数个密钥根份额，
该控制器包括选择器，用于从预分配的密钥材料组中选择密钥材料的每个第i个密钥根份额分段，这样的密钥材料组至少取决于i和第二节点的标识符，
“该控制器还包括比较装置，用于比较第一节点密钥材料与第二节点密钥材料，以便识别出索引共同的密钥根份额分段，
比较装置包括检索装置，用于通过检索在包括对于第二节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组与包括预定的第一节点密钥材料的每个密钥根份额的第i 个密钥根份额分段的组之间共同的密钥根份额分段而确定第i个共同的密钥根份额分段， “该控制器还包括计算装置，用于根据所识别的共同的密钥根份额分段、第二节点的标识符和分段标识符i的至少一项，来计算在第一节点与第二节点之间共享的密钥。本发明还涉及包括至少两个如上所述的通信设备的网络，其中一个通信设备代表网络的第一节点，而另一个通信设备代表网络的第二节点，以及其中第一节点与第二节点通过使用共享的密钥而互相通信，以便保护通信。按照本发明的另一方面，提供了用于实施按照本发明的方法的计算机程序。本发明在包括以分级的方式分布的不同安全域的某些网络中也找到有利的应用。 在这样的网络中，每个安全域通常与不同的且独立的密码信息相链接，且在部署网络时密钥材料的分配以这样一种方式进行，即确保在节点之间的完全安全的互操作性以及分布式接入控制和分级的节点标识。因此，在一个实施例中，按照本发明的方法是使得在包括分级地分布的几个安全域的网络的情形下，节点的密钥材料的确定以这样的方式进行，即使得在不同节点处的密钥材料份额的相关性和在攻击下受损害的密钥根的量被最小化。从下文描述的实施例中，本发明的这些和其它方面将是明显的，并将参照这些实施例而得以阐述。


现在参照附图，借助例子，更详细地描述本发明，其中 “图1表示按照本发明的一个实施例的网络，
“图2是按照本发明的实施例的、用于从第一节点到第二节点的安全通信的方法的框 图，
-图3是图1所示的方法的一个步骤的详细框图， -图4表示分级的密钥分配的例子，以及
-图5显示具有和不具有密钥分段多样化的系统的对抗聪明攻击者的弹性。
具体实施例方式本发明涉及用于在网络中从第一节点到第二节点的安全通信的方法。本发明更特别地专用于供病人监护使用的无线传感器和致动器网络，例如，包括用于感测病人的身体参数的传感器节点、用于给医护人员提供参数的接收器节点以及致动器节点的网络。然而，应当指出，本发明并不限于这类的网络，而是本发明可以在供任何技术应用使用的任何类型的网络中被实行。现在结合图1和2描述按照本发明的一个实施例的方法。按照本发明的网络包括至少两个节点W和N2，每个节点配备有一个标识符，分别是IDl和ID2。在实施例中，网络还包括信托中心节点TC，用于网络的配置和给节点m和 N2提供用于生成密码密钥的所有必须的密钥材料信息。这个信托中心节点TC代表前面提到的网络当局的一个可能的实施例。在运行阶段期间，为了确保在网络的第一节点m与第二节点N2之间的通信，每个节点通过使用分配的密钥材料信息而生成共享的密钥，并使用这个密钥来保护发送到另一个节点的任何通信或对从这个另外的节点接收的任何通信进行译码。图2描述了让第一节点生成用于与第二节点进行通信的共享密钥所需要的不同步骤。类似的步骤由第二节点执行来生成用来与第一节点进行通信的对应的共享密钥。为了生成密钥，节点需要被提供以密钥材料份额(keying material share)，对于第一节点和第二节点分别是km(id1)和KM(ID2)，即允许进行密钥建立的某些信息。密钥材料份额通常是在网络的配置阶段期间从信托中心TC接收的。被提供给节点的密钥材料份额是从根密钥材料KM生成的，根密钥材料KM是只有信托中心才知道的密码信息。上述的方法因此并不打算要被应用到特定的节点，而是可以由网络的任何节点实行。当在第一节点与第二节点之间要建立通信时，第一节点在步骤a)从第二节点接收第二节点的标识符ID2。为了发现用于与第二节点进行通信的共享的密钥，第一节点需要在步骤b)确定第二节点的密钥材料份额的构成。密钥材料份额包括复数个密钥根份额，且在按照本发明的方法中，那些密钥根份额被分段，这意味着，它们是由复数个分段形成的。应当指出，所有的密钥根份额通常包括相同数目的分段。因此，在按照本发明的一个实施例的方法中，在第一节点与第二节点之间共享的密钥由许多密钥分段构成。因此，在步骤b)确定密钥材料的构成对应于单独地确定密钥根份额的每个分段。这样的确定将进一步结合图3进行详述。在按照本发明的方法的一个实施例中，密钥根份额是被划分成分段的密钥单元。 因此，确定密钥根份额的不同分段对应于确定现成的(ready-made)密钥分段，这些密钥分段被进一步组合以便生成在第一节点与第二节点之间的最终共享的密钥。然而，在有利的实施例中，按照本发明的方法与λ-弹性方法相组合，λ-弹性方法依靠节点不共享现成的密钥的事实。替代地，节点被提供以特定于节点的信息，其允许它们在输入另一个节点的标识符时计算与那个节点共享的密钥。这个特定于节点的信息，被称为密钥根份额，是从密钥根得出的。作为例子，密钥根份额是λ次多项式，因此多项式具有λ+1个系数。在确定第二节点密钥材料KMgd2)的构成后，第一节点在步骤C)比较这个第二节点密钥材料km(ID2)与它自己的密钥材料KM(ID1)。这个比较也是根据密钥材料标识符而进行的。如前所述，在一个实施例中，每个节点在配置阶段期间被提供以它自己的密钥材料份额。然而，在另一个实施例中，第一节点在运行阶段期间通过使用与将根据图3进一步描述的方法类似的方法确定它自己的密钥材料份额。而且，在一个实施例中，节点密钥材料的确定以这样一种方式实行，即使得不同的密钥材料分段的相关性最小化。第一节点密钥材料KM(ID1)与第二节点密钥材料KMgd2)的比较如下地执行对于每个分段，第一节点找出它们共同具有哪个密钥根分段，这意味着，对于被包括在1与分段数目之间的每个分段i，第一节点找出在包括第一节点密钥材料的每个密钥根份额的第i个分段的组与包括第二节点密钥材料的每个密钥根份额的第i个分段的组之间的共同的单兀。在识别出共同的分段后，第一节点在步骤d)计算与第二节点共享的密钥K。按照本发明的几个实施例，这种构成可以以几种方式进行。例如，密钥分段Ici可以被简单地级联，以便得到最终的密钥K = K=Ic1 Il k2 Il…Il kt。 在被使用于构成密钥K的密钥分段的数目是t的情形下，密钥分段的比特长度是最终密钥 K的比特长度的t分之一，这样，没有存储和计算开销。这样的构成使得有可能提高本方法的计算效率。另一个选项是通过不同密钥分段的数学、算术或逻辑组合而构成K，例如通过对不同的密钥分段进行XOR(异或)而构成K: Pk1 k2 …
kto对于这种构成，密钥分段的比特长度应当等于K的所需要的比特长度。XOR构成是有利的，因为在攻击的情形下，损害小于t的任何数目的密钥分段并不降低密钥的强度。可以有用于密钥构成的其它方法，如应用散列函数来得到想要的比特长度的输出和去除在密钥之间的可能的代数关系的方法。在使用λ-弹性方法的情形下，计算包括在组合步骤之前的以下步骤通过根据第二节点标识符的输入来评估共同的密钥根密钥根份额分段而确定共同的密钥分段。现在我们将结合图3描述第一节点的特定的密钥根份额分段i的确定。
首先，我们将描述在执行这样的确定时所遵循的某些一般思想，那些思想在本发明的某些实施例中被使用，但不一定在所有的实施例中被使用。如在前面所说明的，密钥根份额分段是至少根据第一节点标识符和i而在预分配的密钥材料组中间进行选择的。在这里描述的实施例中，按照本发明的方法实行用于预分配密钥材料组的组合密钥预分配方法。典型地，这里所使用的组合的思想是有限射影平面，称为FPP，因此被使用于确定节点密钥材料的预分配密钥材料组对应于FPP的一组元素。

有阶数η和参数(η2+η+1，η+1, 1)的FPP被定义为把η2+η+1个不同的元素安排到 η2+η+1个块中，以使得
每个块正好包含η+1个元素。·每个元素出现在正好η+1个块中。·每对块共同具有正好1个元素。元素组用E= {0，…，η2+η}表示，块组用B= {Β。，…，Bj表示，其中块Bi= {\。，… ，b ！ C E作为例子，阶数为2 (即其中n=2)的FPP定义以下的块 B0= (0, 2,4) ； B4= (0，1,6)；
B^d, 3, 4) ； B5= (2, 3,6)； B2= (0, 3, 5) ； B6= (4, 5,6)； B3= (1,2, 5)；
如前所述，FPP的属性之一是每对块共同具有正好1个元素的事实。因此，当两个节点想要通信时，它们可以使用基于它们的对应FPP块的共同元素的共享密钥单元来商定共同的秘密，并以安全的方式通信。在典型的聪明分配中，FPP的不同块对应于不同类别的节点j。节点标识符ID可以按照以下的关系式j ε ID (mod n2+n+l)被映射到节点类别。来自类别q的节点被提供以用块B」的元素索引的密钥。例如，节点8属于类别 C1，所以它的密钥材料一用KM 表示一由以下密钥组给出
/CM,K) = {kKt:t, klh t s 2} = {k},k,,k4}
如果这个节点想要与节点14通信，则它们使用FPP属性来发现共享的密钥。这个密钥是&，因为这个节点属于类别Ctl，所以
XMiU) - ik k k I —I- L· ^
这个分配具有η2+η+1的周期，这意味着，其身份相差η2+η+1的倍数的所有节点是处在相同的类别中。为了增加这个周期，并从而增加本方法的弹性，在一个实施例中，可变分配被使用来预分配密钥材料。这种可变分配用取决于要被确定的密钥根份额分段的参数ν来进行索引，以使得 “对于密钥根份额的不同分段，节点属于不同类别，以及
“对于一个分段属于相同类别的两个节点多半对于另一个分段属于不同类别。
有利地，可变分配被定义为如下节点ID被指派给类别C>，其中
权利要求
1.一种用于在网络中从第一节点(Ni)到第二节点(N2)的安全通信的方法，第一节点包括第一节点密钥材料(KM(ID1))，第二节点(KM(ID2))包括第二节点密钥材料，其中第一节点 (Ni)和第二节点(拟)的密钥材料各自包括由密钥根份额分段形成的复数个密钥根份额， 所述方法包括对于第一节点的以下步骤a)确定第二节点(N2)的标识符(ID2),b)确定第二节点的密钥材料(KM(ID2))的构成，这个确定包括从预分配的密钥材料组中选择第二节点密钥材料的每个第i个密钥根份额分段，这样的密钥材料组至少取决于i和第二节点的标识符，c)比较第一节点密钥材料(KMain))与第二节点密钥材料(KM(ID2))，以便识别共同的密钥根份额分段，其中第i个共同的密钥根份额分段是通过检索在包括第二节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组与包括第一节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组之间共同的密钥根份额分段而被确定的，d)根据所识别的共同的密钥根份额分段、第二节点的标识符(1拟)和分段标识符i的至少一项，计算在第一节点(Ni)与第二节点(N2)之间共享的密钥(K)。
2.按照权利要求1的方法，包括在步骤a)之前执行的初始步骤，其在于第一节点 (Ni)确定第一节点密钥材料(KMara))的构成，其中所述确定包括从预分配的密钥材料组中选择第一节点密钥材料的每个第i个分段，这样的密钥材料组至少取决于i和第一节点的标识符。
3.按照权利要求1的方法，包括在步骤a)之前执行的初始步骤，其在于第一节点 (Ni)确定第一节点密钥材料(KMara))的构成，其中节点密钥材料的确定被以这样一种方式实行，即使得不同的密钥材料分段的相关性最小化。
4.按照权利要求3的方法，其中所述网络被组织成分级地分布的不同的安全域(SD)， 以及其中节点的密钥材料的确定被以这样一种方式实行，即在不同节点中的密钥材料份额的相关性和在攻击下受损害的密钥根的量被最小化。
5.按照权利要求1的方法，其中步骤d)包括从所识别的密钥根分段和从第一节点的标识符(IDl)及第二节点的标识符(1拟)计算密钥分段的步骤，以及通过级联或组合所计算的密钥分段而生成共享的密钥(K)的步骤。
6.按照权利要求1的方法，其中被使用于在步骤b)中选择第i个密钥根份额分段的预定分段组由作为有限射影平面的元素而被生成的元素进行索引。
7.按照权利要求4的方法，其中被使用于确定节点密钥材料的预分配的密钥材料组对应于按照网络中节点的可变分配而分配的、由可变参数索引的、并取决于i和其密钥材料正被确定的节点的标识符的有限射影平面的元素组。
8.按照权利要求7的方法，其中可变分配被定义为如下节点ID被指派给类别C>，其中Jv=V 7 ID^ +IDOiiodii2+ + y ,V是可变参数，η是有限射影平面的阶L,i +η+1_数，以及I X I是X的整数部分。
9.按照权利要求7或8的方法，其中可变参数取决于i。
10.按照权利要求5的方法，包括在步骤b)之前从包括一个或几个节点的集中式或分布式网络当局接收可变分配的值的步骤，所述接收步骤包括-对于第一节点(Ni)的、发送请求到网络当局的步骤， -对于网络当局的、决定是否允许第一节点生成共享的密钥的步骤，以及在该节点被允许生成共享的密钥的情形下， -对于网络当局NA的、发送可变参数的值到该节点的步骤。
11.按照权利要求1的方法，其中被使用于得出密钥根份额的密钥根是λ-安全函数， 诸如λ-次多元多项式。
12.—种被设计成被包括在网络中作为第一节点(Ni)的通信设备，包括-存储装置，用于存储第一节点的密钥材料(KM(ID1))，第一节点的密钥材料(KMgdi))包括由密钥根份额分段形成的复数个密钥根份额， -用于确定第二节点的标识符(ID2)的装置，-控制器，被安排成用于确定第二节点的密钥材料(KM(ID2))的构成，第二节点的密钥材料包括由密钥根份额分段形成的复数个密钥根份额，该控制器还包括确定装置，其包括选择装置，用于从预分配的密钥材料组中选择密钥材料的每个第i个密钥根份额分段，这样的密钥材料组取决于i和第二节点的标识符，-该控制器还包括比较装置，用于比较第一节点密钥材料(KMara))与第二节点密钥材料(KMai12))，以便识别共同的密钥根份额分段，比较装置包括检索装置，用于通过检索在包括第二节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组与包括预定的第一节点密钥材料的每个密钥根份额的第i个密钥根份额分段的组之间共同的密钥根份额分段而确定第i个共同的密钥根份额分段，-该控制器还包括计算装置，用于根据所识别的共同的密钥根份额分段、第二节点的标识符和分段标识符的至少一项，计算在第一节点与第二节点之间共享的密钥(K)。
13.—种包括至少两个按照权利要求8的通信设备的网络，其中一个通信设备代表网络的第一节点(附)，而另一个通信设备代表网络的第二节点(N2)，以及其中第一节点与第二节点通过使用按照权利要求1的方法而互相通信。
14.一种用于实施按照权利要求1的方法的计算机程序。
全文摘要
本发明涉及用于安全通信的方法和具有通信设备、使用如加密系统那样的安全手段来保护通信的通信网。更具体地，本发明涉及一种用于在网络中从第一节点(N1)到第二节点(N2)的安全通信的方法，第一节点包括第一节点密钥材料(KM(ID1))，第二节点包括第二节点密钥材料(KM(ID2))，其中第一节点和第二节点的密钥材料各自包括由密钥根份额分段形成的复数个密钥根份额。所述方法按照可变分配而使用密钥分段来预分配密钥材料，以便增加现有方法的弹性。
文档编号H04L9/08GK102160324SQ200980136662
公开日2011年8月17日 申请日期2009年9月9日 优先权日2008年9月19日
发明者M·马斯, O·加西亚莫尔乔恩 申请人:皇家飞利浦电子股份有限公司