专利名称:分级确定性成对密钥预分发方案的制作方法
技术领域:
本申请涉及无线网络。本发明能应用于医用无线adhoc传感器网络系 统,并且将以此为特定参照来进行描述。然而,可以理解,本发明还应用 于其它网络系统等。
背景技术:
典型地,无线移动adhoc网络被部署在医院和医疗设施中,用于病人 医护和监测。通常,在一个病人或一小组病人周围建立的医用移动adhoc 网络形成躯感网(body sensor network, BSN)。典型地,BSN包括被放到病 人身上和/或被部署在病人附近的无线传感器或医疗设备。在躯感网中,医 疗设备进行对等通信。每个设备提供一套医疗服务并且要求访问其它设备 上的一套医疗服务。临床医师也可以访问这种设备,例如,其使用PDA 能够触发输液泵对病人施予吗啡。
确保只有正确的实体访问医用移动ad hoc网络,以及确保无线通信的 机密性和完整性极为重要。在上述例子中,医生能够触发输液泵对病人施 予吗啡,但是应该禁止没有被授权用药的助手有这种行为。为了确保病人 的安全和隐私并遵守健康护理上的法定要求(例如USA的HIPAA),对于这 种系统,安全性是强制性要求。
实休认证是后续访问控制和建立受保护通信的基础。典型地被用于基 础结构网络中的实体认证协议是基于本领域己知的加密机制的。典型地, 在这种系统中,直接把安全密钥分发给该系统已知的所有传感器节点。例 如,在部署之前向所有移动节点预分发标记身份的成对(pairwise)对称密 钥。所有的密钥具有相同的安全级别。这种密钥分发方案解决平面网络, 即每个设备都拥有相同的互相通信的能力。
然而,医院的基础结构本质上是分级的。在某些情况下,传感器节点 被用于不同的机构,例如同一医院的不同部门或同一实体的不同医院中。
6在这种系统中, 一个安全性上的破坏就会危及属于该系统的每个传感器的 安全性和完整性。
本发明提供了解决上述问题和其它问题的新的装置和方法。
发明内容
根据一个方面,公开了一种用于分级网络的安全系统,包括L个层次 ^S幼l壬n汔^N女"Wi丽么夂书占 赵水巨X^E记il甜r^一水々A+^ 率车貝划-划.发牛
器为每个节点生成相关的密钥材料集合。每个相关的密钥材料集合包括L 个密钥材料子集,每个子集对应一个关联安全域。配置服务器把所生成的 密钥材料集合分发给每个网络节点,以使得网络节点能够在层次级别k的 安全域中通过使用对应的密钥材料子集来彼此进行通信。
根据另一个方面,公开了一种分级安全管理方法。为每个网络节点生 成相关的密钥材料集合,每个集合包括L个密钥材料子集,每个子集对应 一个与多个层次级别L中的一个层次级别相关联的安全域。把所生成的密 钥材料集合分发给网络节点。在与层次级别k相关联的公共安全域中,使 用对应的密钥材料子集建立网络节点之间的通信。
根据另一个方面,公开了一种网络设备。所述网络设备包括预分发的 密钥材料集合,每个集合至少包括与最低级别安全域相关联的最低级别密 钥材料子集、和与较高级别安全域相关联的较高级别密钥材料子集。网络 设备被编程以便在最低级别公共安全域中验证其它网络设备并且使用与该 最低公共安全域相关联的子集来彼此进行通信。
根据另一个方面,公开了一种网络。在第一较低级别安全域中,多个 第一网络设备互相通信,并且在较高级别安全域中,所述多个第一网络设 备与其它设备进行通信。在与所述第一较低级别安全域不同的第二较低级 别安全域中,多个第二网络设备互相通信但不和所述第一网络设备进行通 信,并且在所述较高级别安全域中,所述多个第二网络设备与所述第一网 络设备进行通信。
一个优点是,对安全域的访问实质上是受限制的。
本领域的技术人员在阅读并理解下列详细说明之后,可以理解本发明 的优点。
通过各种部件以及部件的安排,以及通过各种步骤以及步骤的安排,
本发明可以变得很明显。附图只起到说明优选实施例的目的,而不被解释
为限制了本发明。
图l是分级网络系统的图解说明。
阅,县XV々B;M:7^丝Mi的细贫的圆奋2"itt昍
图3是分级基础结构的一个例子的图解说明。图4是用于图3的系统的密钥材料分发的一个例子。
具体实施例方式
参考图1和图2,分级网络系统IO包括由单个实体(例如企业12)所拥 有的移动节点或设备(A, B,..., Z),其中移动设备(A, B,..., Z)工作在分级基础 结构14中,该分级基础结构具有L个层次或安全级别或域16,例如第一 级别(级别l)、第二级别(级别2)和第三级别(级别3),举例来说,级别的数 目等于3。当然,可以预期分级基础结构14能够具有更多或更少数目的安 全域16,例如2、 4、 5个等。每个移动设备(入8,...,2)包括一个集合20, 其中包含L个设备标识符(ID)22,每个设备标识符对应一个安全域16。最 初,在部署之前,密钥材料发生器24为每个移动设备(八,8,...,2)生成一个 相关的密钥材料集合30。每个密钥材料集合30由L个密钥材料子集32组 成,每个密钥材料子集32对应一个相关联的安全域16。配置服务器34在 移动设备(A, B,..., Z)中预分发密钥材料集合30。每个集合30包括允许移动 设备(A, B,..., Z)根据网络系统10的分级结构14进行通信的密钥材料。在 工作模式下,每一对移动设备(A, B,..., Z)通过交换它们的设备标识符、搜 索最深的公共安全域、并使用对应的密钥材料子集来建立成对密钥。
在示例性的实施例中,移动节点(A, B,..., Z)被默认设定在最低安全域 级别上进行通信,并且只有通过特定请求,才能够在较高安全级别上进行 通信。更明确地,移动设备(A,B,...,Z)在两种不同的通信模式(例如正常通 信模式(NCM)和非常规(unusual)通信模式(UCM》下进行通信。如果最深公 共安全域k等于最低安全域L,则发生正常通信模式。当最深公共安全域k是一个比最低级别安全域L更高级别的安全域时,发生非常规通信模式。 在上面的例子中,最低安全域是级别3。在级别3将发生正常通信模式。 在级别2或级别1将发生非常规通信模式。典型地,在最低级别L上具有 公共安全域的移动节点被部署在相邻区域,举例来说,这种节点属于例如 同一个医院部门。因此,大多数通信都在正常通信模式下进行处理。如下 详细描述,在工作中,每一对移动设备(A, B,..., Z)找到最深级别的公共安 全域,交换所找到的公共安全级别的标识符,然后在该公共安全级别上建 立成对密钥。例如,如果移动设备从一个位置移到另一个位置,则会发生 非常规通信模式。例如,当在同一所医院内把设备从一个部门移到另一个 部门时,该设备自己或其它设备通知安全管理装置40并请求许可在较高级 别上建立通信。用这种方式,安全管理装置40能够跟踪在最低安全级别之 外(例如在非常规通信模式下)进行通信的设备。
继续参考图1和图2,安全级别1标识出属于例如企业12的最高安全 域。例如,安全级别2标识出仅次于最高安全域的安全域,例如,属于该 企业12的医院或诊所HA、 HB、 ...HZ的安全域。安全级别3,例如,标 识出医院HA、 HB、 ...HZ内的n个部门Dl、 D2、 ...Dn。因此,移动节 点(A, B,.,., Z)通过使用特定密钥,能够在部门、医院和企业级别上进行通 信,所述特定密钥包括用于对应的安全域的密钥材料。
继续参考图1,每个部门的安全域网络典型地包括多至1000个自组织 节点(A, B,..., Z)。通过无线单跳链路,而不需要网络基础结构的支持,可 以连接这些节点的任意组合以组成躯感网(BSN)。优选地,移动节点(A, B,.." Z)包括生理监视设备、受控用药设备、类似PDA的设备、嵌入式计算系统 或类似设备。例如, 一个网络可以包括针对每个生理监护仪、用药设备、 基于计算机的病人ID、主治医师的PDA等等(但是明确地排除与其它病人 相关的类似设备)的节点。每个移动节点(A, B,..., Z)提供一种或更多网络服 务。每个节点(A, 8,...,2)通过发送/接收模块能够在网络系统10中与任意其 它节点进行对等通信,以访问一种或更多服务。对等通信优选地是单向的 或双向的,并且能够是同步的或异步的。当然,也可以预期医师能够通过 使用便携式计算机、PDA等来访问节点(A, B,..., Z)以便向病人提供服务, 例如,用药、检查监视设备的状况等等。在确定性的成对密钥预分发方案(DPKPS)中,在部署节点(A, B,..., Z) 之前,用唯一的设备密钥材料对节点(A, B,..., Z)进行初始化。每个设备密 钥材料明确地与该设备标识符相关联。在工作中,任意一对具有预分发的 密钥材料的设备能够互相进行验证。举例来说,属于同一个安全域的两个 设备如果其通过相关联的识别设备明确地识别出彼此,则这两个设备能够 使用该预分发的密钥材料来建立成对的对称密钥。
DPKPS密钥材料基于两个概念对称双变量多项式和有限射影平面 (FPP)。对称双变量多项式(BP)是在有限域Fq上的关于两个变量的;i次多项 式,具有以下性质
/(^力=/&力
FPP指的是把个元素组合式分发到个不同的群中。每 个群由"+7个不同的元素组成,并且任意一对群共享一个元素,其中在一 个实施例中,n是一个素数幂数值。
通过使用上面的两个概念,配置服务器根据阶数为"的FFP生成共 "2+w+7个BP,并且,把这些BP分为"2+w+7个区组(block)。因此,任意 一对区组共享一个BP力&"。然后,配置服务器求每个区组的"+7个BP 在x变量为q/n+l(q是有限域的大小)个不同点处的值,根据每个区组生成 总计q/(n+l)个集合,其中每个集合包含"+7个单变量多项式(UP)。每个设 备的密钥材料由一个UP集合和设备标识符组成,所述设备标识符即从其 中派生出该UP的BP的标识符和对BP进行求值的点。
例如,设备A和设备B的密钥材料分别由下列UP组成
{/}(/仏7,力,力(/仏2,力,刀(/A^力};
{力(/^3,力,刀(/D似力,/6(/D加'力}
设备A和B的设备ID分别是
{{f3,f4,f6}{IDB3, IDB4, IDB6}}, 其中,fi标识出初始BP,而IDzi标识出针对设备z对多项式fi求值的点。
为了使设备A和B建立一个成对密钥,这两个设备交换设备ID。每 个设备使用在两个不同子相位(sub-phase)中的设备ID。更明确地, 一个设备将自己的设备ID与对方的设备ID进行比较,找出根据公共BP生成的 UP。在上面的例子中,公共BP是力(x,力。设备A拥有该公共UP力, 而设备B拥有该公共UP力(7Z)^,"。每个设备通过求其共享UP在对方求 值点处的值,来计算出成对密钥,也就是说,设备八求///£^,"在^=//)^ 处的值,而设备8求///2)^,^在;;=//)/^处的值。因为BP的对称性,所以 这两个设备得到相同的成对密钥/QB=ZDW=/A(》。
tr "+来乂1、1 女Zk你E&e^M" nft^rf说々H琉A必七右/T—nnawno、rh 加他_ "^丄xn;A: l%, th力狄"HAt)/t i工AtXj力'j Tii下"」>;力/x乂j沐、rxLyrivro乂t , ]L^tc
的密钥材料预分发给每个设备。密钥材料确定在L个级别的安全域分级基 础结构,设备所属的L个安全域。HDPKPS密钥材料是明确地与设备标识 符相关联的。在工作中,任意一对设备至少在最高安全级别上,能够使用 它们的密钥材料建立成对对称密钥。尤其是,对于任何两个设备来说,如 果(i)这两个设备属于级别A:上的同一个安全域,并且(ii)这两个设备在级别 /, 上能够通过设备标识符明确地识别出彼此,则其能够在安全级别A: 上建立一个成对密钥。
级别A的HDPKPS密钥材料被称作尺Mp并且其把该级别分成多个与 较高安全域和较低安全域相关联的安全域。因此,HDPKPS密钥材料由L 个DPKPS密钥材料集合和HDPKS设备标识符组成。HDPKPS设备标识符 由L个安全域标识符和L的DPKPS设备标识符集合组成。
例如,级别1的密钥材料(《M》由一个安全域构成,并且由参数为^和 ",的DPKPS密钥材料进行定义。假设在级别1上FPP分布的阶数为",,则 "K可以被分成多达",2+A+1个群。每个群对应FPP分布的一列,g卩,每 个群中的密钥材料是根据同一个BP集合生成的。
例如,级别2的密钥材料C^M》由多达^+w,+l个子安全域构成。在级
别2上子安全域/2被称作^)2,2 ,并且由参数为、和 的DPKPS密钥材料 进行定义。属于子安全域幼2,2的设备包括级别1的密钥材料,尺M;的列/。 通常,级别A: (1W^丄)上的密钥材料被定义为幻14,并且由多达
'2=1 、 —1
'一 乂乂
11个子安全域构成。在级别A:上的安全域4,叫,3,—,的子安全域,被称作 叫,2,,.,",并且由参数为l...,^和"《2,3..."的DPKPS密钥材料进行定义。 属于在级别A上5^2,,力—,的设备包括级别r (满足r<Q密钥材料,iOi的
幼 3.."和列"
参考图3,第一医院HA包括第一部门D1和第二部门D2。第二医院 HB包括第三部门D3。第一医院HA的第一部门Dl包括第一移动设备A 和第二移动设备B。第一医院HA的第二部门D2包括第三设备C。第二医 院HB的第三部门D3包括第四设备D。在该示例性的实施例中,第一设 备A和第二设备B通过使用最低安全级别3的密钥材料,可以建立成对密 钥,举例来说,在第一部门Dl内部用正常通信模式进行通信。此外,第 一设备A和第二设备B中的每个设备都可以通过使用次低安全级别2的密 钥材料与第三设备C建立成对密钥,举例来说,在第一医院HA内部用非 常规通信模式进行通信。最后,第四设备D只有经由最高安全级别l才能 与第一设备A、第二设备B及第三设备C进行通信,举例来说,在企业 12内部用非常规通信模式进行通信。
继续参考图4,在最高级别l上,移动设备A、 B、 C、 D拥有相关的 DPKPS密钥材料。第一、第二和第三设备A、 B、 C拥有根据FPP区组100 中的双变量多项式F1、 F2、 F4生成的密钥材料,而第四设备D拥有根据 FPP区组102中的双变量多项式F5、 F6、 Fl生成的密钥材料。移动设备A、 B、 C、 D拥有相关的单变量多项式Fl,这会允许移动设备A、 B、 C、 D 之间在最高级别1上进行通信。在仅次于最高级别的级别2上,分别为第 一医院HA和第二医院HB生成第一组DPKPS密钥材料110和第二组 DPKPS密钥材料112,在级别2上,110和112在不同的安全域中。第一 移动设备A和第二移动设备B拥有根据第一组110的FPP区组114中的双 变量多项式F3、 F4、 F6生成的密钥材料。第三移动设备C拥有根据第一 组110的FPP区组116中的双变量多项式F6、 F7、 F2生成的密钥材料。 第一、第二和第三移动设备A、 B、 C拥有相关的单变量多项式F6,这会 允许第一移动设备A、第二移动设备B和第三移动设备C之间在第一医院HA内部在级别2上进行通信。第四设备D拥有根据第二组112的FPP区 组U8中的双变量多项式F1、 F2、 F4生成的密钥材料。最后,在最低级 别3上,分别为第一部门Dl、第二部门D2和第三部门D3生成第一组 DPKPS密钥材料120、第二组DPKPS密钥材料122和第三组DPKPS密钥 材料124, 120、 122和124中的每个具有级别为3的不同安全域。因为第 一移动设备A和第二移动设备B属于同一个部门,举例来说,属于第一医 院HA的第一部门Dl ,所以第一移动设备A和第二移动设备B分别接收 根据双变量多项式F2、 F3、 F5和F6、 F7、 F2 (第一组120的区组130、 132) 生成的相关的密钥材料。相关的单变量多项式F2会允许第一移动设备A 和第二移动设备B在第一部门D1内部互相通信。第三设备C接收根据第 二组122的FPP区组134中的双变量多项式F7、 F3、 Fl生成的密钥材料。 第四设备D接收根据第三组124的FPP区组136中的双变量多项式F4、 F5、 F7生成的密钥材料。
用上述方式,较高的安全级别,例如级别1和2,确保在紧急情况下 移动设备的完全互操作性。例如,当在第一医院HA内部,把携带第一设 备A和第二设备B的病人从第一部门Dl转移到第二部门D2时,通过使 用第二安全级别2的密钥材料,即第一医院的密钥材料,安全地进行第一 设备A和第二设备B与第二部门D2的其它设备(例如第三设备C)的通信。 划分成为不同的安全级别支持根据分级基础结构的完备的设备识别。例如, 如果医院设备建立正常通信模式,例如最低级别通信模式,则设备能够自 动识别对方的来源。
HDPKPS在正常通信模式和非常规通信模式下均表现出增强的安全 性。在正常通信模式下,只有在最低安全级别L(在例子中,级别3)上的设 备能通过使用最低级别L的密钥材料来互相通信。因为在这个级别上的设 备数目相对说来较小(<1000),所以在这个级别上相对弹性相对说来较高。 因此,在不引起系统报警的情况下,入侵者难以捕获足够数目的设备来危 及在级别L上的通信。在非常规通信模式下,设备能够完全地识别出对方, 因此设备能够识别出可能存在的对系统的攻击。例如,在上面的例子中, 如果入侵者捕获了第二医院HB的第三部门D3的第四设备D,并且试图 使用它对第一医院HA的第一部门D1中的第一设备A进行攻击,则第一
13设备A (或第二设备B)能够检测出第四设备D属于第二医院HB的第三部 门D3。在这种情况下,第一设备A(或第二设备B)能够不信任第四设备D 存在于第一部门的域中,并且请求第二医院HB的第三部门D3的域来证 实第四设备D存在于第一部门的域中。
本发明是参照优选实施例来描述的。其他人在阅读并理解前面的详细 说明之后,可以想到许多修改和变化。本发明是要被解释为包括了在其范 围内的所有这样的修改和变化,因为这些修改和变化落入所附权利要求或 其等价物的范围之内。
1权利要求
1、一种用于分级网络(10)的安全系统,该安全系统包括L个层次级别,每个层次级别对应一个安全域(16),所述安全系统包括多个本地的网络节点(A,B,...,Z);密钥材料发生器(24),其为每个网络节点(A,B,...,Z)生成相关的密钥材料集合(30),其中每个密钥材料集合(30)包括L个密钥材料子集(32),每个密钥材料子集对应一个相关联的安全域(16);以及配置服务器(34),其把所生成的密钥材料集合(30)分发给每个网络节点(A,B,...,Z),以使得所述网络节点(A,B,...,Z)能够在层次级别k的安全域中通过使用对应的密钥材料子集(32)来相互进行通信。
2、 根据权利要求1所述的系统,其中,所述网络(10)包括 与一个企业(12)相关联的第一级别安全域;与所述企业内的每个医院(HA, HB,...,HZ)相关联的第二级别安全域;以及与每个医院(HA, HB,..., HZ)内的每个部门(Dl, D2,..., Dn)相关联的第 三级别安全域。
3、 根据权利要求l所述的系统,其中,所述网络节点(A,B,...,Z)被编程以便在最低级别公共安全域中相互进行通信。
4、 根据权利要求1所述的系统,其中,所述网络节点(A,B,...,Z)通过至少正常通信模式和非常规通信模式来相互进行通信。
5、 根据权利要求4所述的系统,其中,所述正常通信模式包括利用对 应于最低级别安全域Z的密钥材料子集(32)进行通信。
6、 根据权利要求5所述的系统,其中,所述非常规通信模式包括在与 所述最低级别安全域丄不同级别的安全域中进行通信。
7、 根据权利要求4所述的系统,还包括安全管理装置(40),所述网络节点(A, B,..., Z)被编程以便请求所述安全 管理装置允许在所述非常规通信模式下进行通信。
8、 根据权利要求1所述的系统,其中,每个网络节点(A,B,...,Z)包括 一个包含Z个标识符(22)的集合(20),其中每个标识符(22)包括设备标识符 和对应于£级基础结构中相关联的安全域级别的安全域标识符,以便所述 网络设备(A, B,..., Z)相互进行验证。
9、 根据权利要求1所述的系统,其中,所述网络节点(A,B,...,Z)包括 生理状况监护仪、可控用药设备和PDA中的至少一个。
10、 一种在权利要求l的系统中使用的网络节点,其具有密钥材料, 所述密钥材料支持在多个层次级别上的通信。
11、 一种分级安全管理方法,包括为每个网络节点(A, B,..., Z)生成相关的密钥材料集合(30),其中每个集 合包括丄个密钥材料子集(32),每个密钥材料子集对应一个与多个层次级 别丄中的一个层次级别相关联的安全域(16);把所生成的密钥材料集合分发给所述网络节点(A, B,..., Z);并且 在层次级别A的公共安全域中,利用对应的所述密钥材料的子集,建 立所述网络节点(A,B,…,Z)之间的通信。
12、 根据权利要求ll所述的方法,其中,建立通信的步骤包括 在与最低层次级别£相符的公共安全域级别上建立正常通信。
13、 根据权利要求12所述的方法,还包括 在与所述最低层次级别丄不同的公共安全域中建立非常规通信。
14、 根据权利要求13所述的方法,还包括 在建立非常规通信之前,请求获得许可。
15、 根据权利要求ll所述的方法,其中,每个网络节点包括一个包含丄个标识符的集合,其中每个标识符包括设备标识符和对应于相关联的层 次级别的安全域标识符,以便所述网络设备相互进行验证。
16、 根据权利要求ll所述的方法,其中,所述网络节点(A,B,...,Z)包 括生理状况监护仪、可控用药设备和PDA中的至少一个。
17、 一种网络,具有多个被编程以便执行权利要求11所述的方法的节 点(A,B,…,Z)。
18、 一种在权利要求11所述的方法中使用的节点(A,B,…,Z)。
19、 一种配置服务器(34),用于在权利要求ll所述的方法中分发所述 密钥材料集合。
20、 一种网络设备(A,B,...,Z),包括 预分发的密钥材料集合(30),每个密钥材料集合至少包括与最低级别安全域相关联的最低级别密钥材料子集(32),以及 与较高级别安全域相关联的较高级别密钥材料子集(32), 所述网络设备被编程,以便在最低级别公共安全域中验证其它网络设 备、并使用与所述最低级别公共安全域相关联的子集(32沐相互进行通信。
21、 根据权利要求20所述的网络设备,其中,使用所述最低级别密钥 材料子集(32沐在与分级结构(14)的层次中的最低级别丄相对应的公共安 全域中进行通信。
22、 根据权利要求21所述的网络设备,其中,所述网络设备(A, B,..., Z)被编程,以便请求允许在并不与所述分级结构(14)的层次中的最低级别丄 相对应的安全域级别上进行通信。
23、 一种网络,包括多个根据权利要求20所述的网络设备。
24、 一种网络,包括多个第一网络设备,所述第一网络设备在第一较低级别安全域中相互 进行通信,而在较高级别安全域中与其它设备进行通信;以及多个第二网络设备,所述第二网络设备在与所述第一较低级别安全域 不同的第二较低级别安全域中相互进行通信、但不与所述第一网络设备进 行通信,而在所述较高级别安全域中与所述第一网络设备进行通信。
25、 根据权利要求24所述的网络,其中,所述第一网络设备和所述第 二网络设备还能够在与所述第一、第二及较高级别安全域不同的高级别安 全域中与其它设备进行通信,并且所述网络还包括多个第三网络设备,所述第三网络设备在与所述第一和第二较低级别 安全域不同的第三较低级别安全域中相互进行通信、但不与所述第一和第 二网络设备进行通信,在第二较高级别安全域中与不同于所述第一和第二 网络设备的网络设备进行通信,而在所述高级别安全域中与所述第一和第 二网络设备进行通信。
26、 根据权利要求24所述的网络,其中所述第一网络设备具有预分发的包含与所述第一较低级别安全域相关 联的第一较低级别密钥和与所述较高级别安全域相关联的较高级别密钥的集合(30);所述第二网络设备具有预分发的包含与所述第二较低级别安全域相关 联的第二较低级别密钥和与所述较高级别安全域相关联的较高级别密钥的集合(30);所述第一和第二网络设备被编程,以便在最低级别公共安全域中验证 其它网络设备、并使用与所述最低级别公共安全域相关联的密钥来相互进 行通信。
全文摘要
一种用于分级网络(10)的安全系统,包括L个层次级别和多个本地网络节点(A,B,...,Z),每个层次级别对应一个安全域级别(16)。密钥材料发生器(24)为每个网络节点生成一个相关密钥材料集合(30)。每个密钥材料集合(30)由L个密钥材料子集(32)组成,一个子集用于一个安全域级别(16)。配置服务器(34)把所述生成的密钥材料集合(30)分发给每个网络节点(A,B,...,Z),以使得所述网络节点(A,B,...,Z)能够在层次级别k的安全域中通过使用对应的安全密钥材料子集(32)来相互进行通信。
文档编号H04L29/06GK101473626SQ200780022964
公开日2009年7月1日 申请日期2007年6月19日 优先权日2006年6月22日
发明者H·巴尔杜斯, O·加西亚 申请人:皇家飞利浦电子股份有限公司