方 亮，劉豐年，苗付友

1.中國(guó)科學(xué)技術(shù)大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，合肥 230027

2.三門峽職業(yè)技術(shù)學(xué)院，河南 三門峽 472000

1 引言

密鑰協(xié)商是確保網(wǎng)絡(luò)信息機(jī)密性的基礎(chǔ)，也是無(wú)線傳感器網(wǎng)絡(luò)（WSNs）信息安全研究的熱點(diǎn)之一[1-2]。然而，無(wú)線傳感器節(jié)點(diǎn)具有計(jì)算能力弱、存儲(chǔ)容量小、能量有限[1]等基本特征。進(jìn)一步的，由于節(jié)點(diǎn)能量有限，節(jié)點(diǎn)自身的電能耗盡或損壞會(huì)導(dǎo)致節(jié)點(diǎn)的退出，從而需要不斷補(bǔ)充新的節(jié)點(diǎn)，因此WSNs具有節(jié)點(diǎn)動(dòng)態(tài)加入和退出的特點(diǎn)；由于在線第三方對(duì)計(jì)算能力和存儲(chǔ)能力的要求，以及WSNs節(jié)點(diǎn)通信能力的限制，往往不適合在WSNs中部署可信在線第三方。因此，如何在節(jié)點(diǎn)計(jì)算、存儲(chǔ)和能量有限，節(jié)點(diǎn)動(dòng)態(tài)加入以及缺乏在線可信第三方的WSNs環(huán)境下，建立適合的密鑰協(xié)商方案具有很大的挑戰(zhàn)性。

Eschenauer and Gligor在2002年[3]較早提出WSNs中的密鑰分發(fā)方案：每個(gè)節(jié)點(diǎn)攜帶擁有P個(gè)密鑰的密鑰池，需要通信的兩個(gè)節(jié)點(diǎn)各自隨機(jī)選擇k個(gè)密鑰，如果兩個(gè)k-密鑰子集包含相同的密鑰，即實(shí)現(xiàn)了密鑰的協(xié)議。不過，該方案很難應(yīng)對(duì)節(jié)點(diǎn)被攻陷的情況。為了解決這一問題，Chan[4]提出“q-composite random key”的方案，在這個(gè)方案中，兩個(gè)相鄰節(jié)點(diǎn)至少需要Q個(gè)密鑰才能建立安全信道。隨后有很多方案提出在每對(duì)節(jié)點(diǎn)之間使用單個(gè)甚至更少的密鑰建立安全信道的方法[5-7]。在一個(gè)網(wǎng)絡(luò)中，如果每對(duì)節(jié)點(diǎn)之間都擁有一個(gè)私有的密鑰，則n個(gè)節(jié)點(diǎn)一共需要n(n+1)/2個(gè)密鑰。每個(gè)節(jié)點(diǎn)需要存儲(chǔ)n個(gè)密鑰，在大規(guī)模WSNs中，對(duì)節(jié)點(diǎn)的存儲(chǔ)容量提出了非常高的要求。為此，Ruj[7]將每個(gè)節(jié)點(diǎn)所需的存儲(chǔ)容量減少為O(n)級(jí)別，即使如此，在擁有大量節(jié)點(diǎn)的WSN中，仍然存在所需密鑰存儲(chǔ)容量過大問題。而使用組密鑰的方案，使系統(tǒng)中需要通信的節(jié)點(diǎn)形成一個(gè)通信組，并共享相同的組密鑰可以有效解決上述節(jié)點(diǎn)密鑰存儲(chǔ)容量問題。此外，一個(gè)發(fā)送節(jié)點(diǎn)使用組密鑰進(jìn)行多播、組播時(shí)僅需加密一次數(shù)據(jù)，即可實(shí)現(xiàn)對(duì)所有接收節(jié)點(diǎn)的數(shù)據(jù)發(fā)送。不僅如此，在多跳通信時(shí)，中間節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)無(wú)需再次加解密，能夠減少通信的計(jì)算開銷。故使用組密鑰通信有利于降低數(shù)據(jù)通信過程中的計(jì)算開銷。

Shamir[8]在1979年首先提出了(t,n)門限秘密共享概念，即將一個(gè)秘密分成n個(gè)share，只有t或多于t個(gè)share才能恢復(fù)秘密，而少于t個(gè)share則無(wú)法獲得秘密的任何信息。門限秘密共享可以用來(lái)實(shí)現(xiàn)組密鑰的協(xié)商。Wu等人[9]基于秘密共享提出了ad-hoc網(wǎng)絡(luò)下的組密鑰協(xié)商方案，其優(yōu)點(diǎn)是擁有share更新機(jī)制。Harn等人[10]提出基于秘密共享的可認(rèn)證組密鑰方案，使用在線可信第三方廣播信息進(jìn)行組密鑰的驗(yàn)證。這些基于秘密共享的組密鑰協(xié)商方案優(yōu)勢(shì)在于每個(gè)節(jié)點(diǎn)只需很少的存儲(chǔ)容量，而且即使一定數(shù)量的節(jié)點(diǎn)被攻破，系統(tǒng)仍然是安全的。隨著WSNs中分層及簇類結(jié)構(gòu)的研究，這些基于秘密共享的方案得到廣泛應(yīng)用[11-13]。然而，傳統(tǒng)的秘密共享方案[8，10-14]要求在密鑰恢復(fù)階段的節(jié)點(diǎn)間通信必須是安全的，因而節(jié)點(diǎn)間需要事先存在安全的通信連接；否則一旦通信內(nèi)容被外部攻擊者截獲，會(huì)造成密鑰的泄露。而使用對(duì)稱多項(xiàng)式可以有效解決節(jié)點(diǎn)間預(yù)先安全連接問題[15]。目前，已經(jīng)有很多基于對(duì)稱多項(xiàng)式的WSNs密鑰協(xié)商方案[15-17]，如Liu在2013年[15]提出了一種基于對(duì)稱多項(xiàng)式可驗(yàn)證密鑰分發(fā)方案。該方案使用對(duì)稱多項(xiàng)式及組合值作為share，每對(duì)用戶可以在無(wú)需協(xié)商的情況下生成相互通信的密鑰，即可解決安全連接問題。但是這些基于對(duì)稱多項(xiàng)式的方案都是用于實(shí)現(xiàn)每對(duì)用戶之間的密鑰協(xié)商，而非組密鑰協(xié)商。

綜上所述，本文擬針對(duì)無(wú)線傳感器網(wǎng)絡(luò)的特點(diǎn)，提出一種基于秘密共享的組密鑰協(xié)商方案，該方案不僅支持新用戶的動(dòng)態(tài)加入，無(wú)需在線可信第三方支持，而且消除了對(duì)節(jié)點(diǎn)間的預(yù)先安全連接的依賴。

2 相關(guān)知識(shí)

2.1 對(duì)稱多項(xiàng)式的特性

對(duì)稱多項(xiàng)式是滿足 f(x,y)=f(y,x)的二元變量多項(xiàng)式，可以使用對(duì)稱矩陣表示。t-1階對(duì)稱多項(xiàng)式可以表示為 f(x,y)=a00+a10x+a11xy+…+at-1,t-1xt-1yt-1。假設(shè)每個(gè)用戶都有唯一公開標(biāo)識(shí)符Uk,k為正整數(shù)。對(duì)于每對(duì)用戶(Ui,Uj)，對(duì)稱多項(xiàng)式 f(x,y)滿足 f(Ui,Uj)=f(Uj,Ui)，故可以利用這一特性建立每對(duì)用戶的共享密鑰。

Liu在2013年[15]提出了一種基于對(duì)稱多項(xiàng)式的可驗(yàn)證密鑰分發(fā)方案。通過服務(wù)器S選取t-1階對(duì)稱多項(xiàng)式 f(x,y)后，為每個(gè)用戶計(jì)算share如下：f(U1,y),f(U2,y),…,f(Un,y)，再通過安全信道將share發(fā)送給用戶。用戶Uk獲取的share為單變量多項(xiàng)式 f(Uk,y)。對(duì)于每對(duì)用戶(Ui,Uj)，Ui將Uj代入自己的單變量多項(xiàng)式share中，得出結(jié)果即為 f(Ui,Uj)。Uj也將Ui代入自己的單變量多項(xiàng)式share中，得出結(jié)果即為 f(Uj,Ui)。由于對(duì)稱多項(xiàng)式的特性，故雙方得出的值相同且不為別的用戶所知?？梢允褂迷撝底鳛槎咄ㄐ诺臅?huì)話密鑰，實(shí)現(xiàn)雙方的安全通信。

2.2 基于多項(xiàng)式的秘密共享

Shamir在1979年[8]中提出了基于多項(xiàng)式的(t,n)門限秘密共享方案：將一個(gè)秘密s分割為n個(gè)share，使得任意t個(gè)或t個(gè)以上的share可以恢復(fù)秘密s，而少于t個(gè)share無(wú)法恢復(fù)該秘密。方案包含一個(gè)系統(tǒng)發(fā)起方Dealer和n個(gè)用戶，并包含以下兩個(gè)階段：

（1）Share分發(fā)階段：該階段主要由Dealer向用戶發(fā)送share。Dealer首先在GF(p)上秘密選擇一個(gè)t-1次多項(xiàng)式，f(x,y)=a0+a1x+a2x2+…at-1xt-1(mod p)，其中p為大素?cái)?shù)，秘密s=f()0；然后Dealer利用每個(gè)用戶公開的標(biāo)識(shí)符Ui(i=1,2,…,n)計(jì)算 f(Ui)作為share秘密分發(fā)給用戶Ui。

（2）秘密重構(gòu)階段：k(k≥t)個(gè)用戶相互交換share，并按如下方式恢復(fù)秘密：

3 基于秘密共享的可更新組密鑰協(xié)商方案

首先介紹組密鑰協(xié)商方案的實(shí)體與安全模型；接著詳細(xì)說明本文的方案，包括組內(nèi)安全通信的建立，新用戶的加入和組密鑰更新機(jī)制。

3.1 實(shí)體與安全模型

（1）KM（Key Manager）

即密鑰管理中心，在本方案中是可信安全的share分發(fā)管理實(shí)體。KM選取大素?cái)?shù)p以及對(duì)稱多項(xiàng)式等基本參數(shù)，同時(shí)計(jì)算并公布用于認(rèn)證的單向Hash值H及哈希函數(shù)Hash(x)。本文假定用戶可以在初始階段安全獲取share及H等信息。由于WSNs的特點(diǎn)，KM在向用戶分發(fā)share后，不能保證與用戶的通信。新用戶加入前，最少有m個(gè)用戶參與協(xié)商組密鑰并建立了安全的組內(nèi)通信。當(dāng)新用戶需要加入該組時(shí)，其與原先組內(nèi)m個(gè)用戶進(jìn)行一次相互通信后，即可成為該組用戶并更新組密鑰，保證前向安全性。

（2）參與用戶

即擁有有效share的用戶。它們可以相互通信但部分通信信道有可能被截獲。參與用戶分為組內(nèi)和組外兩種用戶：組內(nèi)用戶即已協(xié)商并共享組密鑰的一組合法用戶，組外用戶指當(dāng)前不屬于該組的用戶。所有參與用戶需要通過share計(jì)算Component。本文的方案中包括兩個(gè)階段，第一個(gè)階段是建立至少包含t個(gè)用戶的初始安全組，共享一個(gè)組密鑰；第二個(gè)階段是新用戶加入的階段。新用戶可以是原有持有share的組外用戶，也可以是完全新加入的用戶。這兩個(gè)階段都包括身份認(rèn)證的功能，第一個(gè)階段是對(duì)于所有用戶的一次性認(rèn)證；第二個(gè)階段則原有組內(nèi)用戶會(huì)先接收新用戶的Component并認(rèn)證，通過后再發(fā)送自己的Component，以防止非法用戶利用虛假信息獲取Component相關(guān)信息。本文的方案中發(fā)送Component的過程無(wú)需同步進(jìn)行。

（3）攻擊者

主要考慮外部攻擊者和內(nèi)部攻擊者兩種情形。

外部攻擊是指無(wú)合法share的用戶截取相關(guān)信息進(jìn)行破解或冒充新加入用戶，最終達(dá)到獲取組密鑰的目的。

內(nèi)部攻擊主要有以下兩種情況：①多個(gè)組內(nèi)用戶合謀獲取組密鑰，不向其他合法組內(nèi)用戶發(fā)送Component，從而將其他合法組內(nèi)用戶排除在組外，假定合謀者最多不超過t-1個(gè)；②多個(gè)組外合法擁有share的用戶密謀獲取KM選取的初始對(duì)稱多項(xiàng)式的相關(guān)參數(shù)，通過不斷加入組內(nèi)獲取足夠多的Component，從而解出相關(guān)參數(shù)，進(jìn)而偽造大量非法用戶，并獲取每對(duì)用戶之間的私有通信密鑰Sij。本文的方案限制新加入用戶數(shù)最多為即最大用戶數(shù)為其中m為初始的組內(nèi)用戶數(shù)，

3.2 組密鑰協(xié)商方案

階段1建立包含m個(gè)用戶的初始組密鑰

準(zhǔn)備期：KM選取大素?cái)?shù) p、GF(p)上不相等的正整數(shù)c,d以及r0；在GF(p)上選取t-1次二元變量對(duì)稱多項(xiàng)式F(x,y)和單向哈希函數(shù)Hash(x)；初始參與用戶數(shù)為m，滿足KM為每個(gè)用戶選取唯一標(biāo)識(shí)符Ui。其中p,Ui,c,d都是公開的參數(shù)。

步驟1 KM為每個(gè)參與用戶Ui計(jì)算share并安全發(fā)送：SHi=F(Ui,y)mod p；并將r0附在消息中。公布用于驗(yàn)證的單向哈希函數(shù)Hash(x)及哈希函數(shù)值：H=Hash(F(c,d ))mod p。

步驟2所有用戶相互發(fā)送通信密鑰加密過的Component。其中用戶(Ui,Uj)之間的通信密鑰Sij=F(Ui,Uj)mod p。Component記為Ci,Ci=F(Ui,c)mod p。

步驟3解密接收到的內(nèi)容，獲取所有人的Component后，恢復(fù)多項(xiàng)式F(x,c)：

步驟4代入d值，得到F(c,d)mod p，計(jì)算其Hash值H′i。若H′i≠H 則協(xié)商失??；H′i=H 則通過驗(yàn)證，最終協(xié)商的組密鑰S=(F(c,d)+r0)mod p。

階段2新用戶加入

準(zhǔn)備期：新用戶Uk的share為SHk=F(Uk,y)mod p。Uk并向組內(nèi)所有用戶發(fā)送使用通信密鑰加密的Component：Ck=F(Uk,c)mod p；其中它與組內(nèi)用戶Uj的通信密鑰Skj=F(Uk,Uj)mod p。

步驟1組內(nèi)原有用戶解密獲取新用戶的Component，結(jié)合階段1中取得的所有原組內(nèi)用戶的Component再次恢復(fù)多項(xiàng)式F(x,c)：

步驟2組內(nèi)原有用戶代入d值，得到F(c,d)mod p，計(jì)算其Hash值H″i。若H″i≠H 則新用戶認(rèn)證失敗，拒絕加入；若H″i=H則身份認(rèn)證成功，再將自己的Component加密后發(fā)送給新用戶，并將r1=Hash(r0)附在消息中。新用戶同理恢復(fù)多項(xiàng)式F(x,c)，進(jìn)而得到F(c,d)mod p。最終協(xié)商的組密鑰S=(F(c,d)+r1)mod p。

階段3組密鑰更新

為了阻止新加入用戶獲得之前通信的內(nèi)容，保證組密鑰的前向安全性，方案需要組密鑰更新的機(jī)制。由于本文的方案在新用戶加入時(shí)先恢復(fù)F(c,d)mod p，所以更新組密鑰僅需在此基礎(chǔ)上做處理即可。

KM選取并公開單向函數(shù)Hash(x)。在階段1初始m個(gè)成員協(xié)商組密鑰時(shí)，可以在準(zhǔn)備階段由KM選取任意初始隨機(jī)值r0,最終協(xié)商的組密鑰S=(F(c,d)+r0)mod p。對(duì)于新加入的用戶，將r1=Hash(r0)附在原有組內(nèi)成員發(fā)給新成員的消息內(nèi)。這種解決方案并沒有增加額外的通信次數(shù)，當(dāng)?shù)趇個(gè)用戶加入時(shí)將ri附在消息中即可。其中ri=Hash(ri-1)，新的組密鑰為S=(F(c,d)+ri)mod p。

4 安全性，通信開銷分析及方案特性總結(jié)

4.1 安全性分析

對(duì)于安全性分析，以假設(shè)攻擊模型為主要方法，其中主要考慮外部攻擊和內(nèi)部攻擊兩種情形。

4.1.1 外部攻擊

在方案的階段1，用戶(Ui,Uj)之間相互發(fā)送的Component通過私有密鑰Sij進(jìn)行加密，故即使外部攻擊者截取了相關(guān)信息，仍需要破解Sij才能獲取Component，而Sij本質(zhì)上是由KM秘密選取的對(duì)稱多項(xiàng)式生成的，攻擊者無(wú)法獲得的。

外部攻擊者可能冒充新加入的用戶，但是由于無(wú)法通過原有用戶的身份認(rèn)證，所以得不到原有用戶的回應(yīng)，獲取不了任何相關(guān)信息。

4.1.2 內(nèi)部攻擊

（1）多個(gè)組內(nèi)用戶合謀獲取組密鑰，不向其他合法組內(nèi)用戶發(fā)送Component，從而將其他合法組內(nèi)用戶排除在組外，假定合謀者最多不超過t-1個(gè)。與(t,n)門限秘密共享的原理相同，本方案可以抵御t-1個(gè)用戶對(duì)組密鑰的合謀攻擊[8]。

定理1在本文方案中，即使t-1個(gè)內(nèi)部合謀也無(wú)法獲得組密鑰。

證明 假設(shè)有t-1個(gè)內(nèi)部用戶μt-1={Ui|i=1,2,…,t-1}合謀獲得組密鑰。則此t-1個(gè)內(nèi)部用戶μt-1相互發(fā)送信息共享彼此的Component，隨后使用方案中的方法恢復(fù)多項(xiàng)式F(x,c)mod p，嘗試獲得F(c,d)mod p的值。要恢復(fù)多項(xiàng)式F(x,c)=r0+r1x+r2x2+…+rt-1xt-1(mod p)，μt-1必須計(jì)算得到 ri(i=0,1,…,t-1)的值?，F(xiàn)在 μt-1利用 t-1個(gè)Component的值F(Ui,c)(i=0,1,…,t-1)求解 F(x,c)的系數(shù) ri(i=0,1,…,t-1)如下：

由于矩陣是t×(t-1)的，故矩陣的秩為t-1。而系數(shù)ri共有t個(gè)，故解是無(wú)窮多的。因此無(wú)法求解ri(i=0,1,…,t-1)的具體值，所以無(wú)法合謀獲得組密鑰。

所以，即使t-1個(gè)內(nèi)部用戶合謀也無(wú)法獲得組密鑰。

（2）多個(gè)組外擁有合法share的用戶密謀獲取KM的初始對(duì)稱多項(xiàng)式。每個(gè)組外用戶的Component實(shí)質(zhì)上就是一個(gè)包含初始對(duì)稱多項(xiàng)式參數(shù)的方程，如果組外用戶能夠構(gòu)造足夠多的Component，就可能解出對(duì)稱多項(xiàng)式的所有參數(shù)。從而擁有和KM相同的能力，能夠偽造大量非法用戶，并能夠獲取每對(duì)用戶間的私有通信密鑰Sij。本方案假定最多加入用戶數(shù)為其中m為初始的組內(nèi)用戶數(shù)，定理2表明，即使個(gè)用戶的Component也無(wú)法恢復(fù)初始對(duì)稱多項(xiàng)式F(x,y)mod p。

定理2在本文方案中，即使個(gè)用戶的Component也無(wú)法解出F(x,y)mod p。

證明 假設(shè)有個(gè)用戶共享彼此的Component，要恢復(fù)多項(xiàng)式 f(x,y)=a00+a10x+a11xy+…+at-1,t-1xt-1yt-1(mod p),必須求解aij(i,j=0,1,…,t-1)的值。現(xiàn)在這些用戶利用個(gè)Component的值F(Ui,c)可以得到如下方程組：

由于對(duì)稱多項(xiàng)式的特性，滿足aij=aji。故在上式左邊共有個(gè)未知系數(shù)。與（1）中證明類似，-1個(gè)Component無(wú)法解出對(duì)稱多項(xiàng)式F(x,y)mod p的所有參數(shù)。

所以-1個(gè)用戶合謀無(wú)法解出F(x,y)modp。

4.2 通信與計(jì)算開銷

本文的方案及其他基于秘密共享的方案[11，14-15]都要求m個(gè)用戶在秘密恢復(fù)階段相互發(fā)送信息，故通信次數(shù)均為m(m-1)次。但是當(dāng)新用戶加入時(shí)，由于現(xiàn)有方案缺乏有效的動(dòng)態(tài)加入機(jī)制，需重新協(xié)商組密鑰，此時(shí)需要m(m+1)次通信；而本文的方案僅需新用戶同原組內(nèi)m個(gè)用戶各發(fā)送和接收一次消息即可，總的通信次數(shù)僅為2m。

表1 方案特點(diǎn)對(duì)比表

在通信的計(jì)算開銷上，主要考慮數(shù)據(jù)的加密和解密次數(shù)。相較于WSNs中成對(duì)密鑰協(xié)商方案[5-6，15]，組密鑰方案在一對(duì)n的多播時(shí)，僅需使用組密鑰加密一次數(shù)據(jù)即可。而成對(duì)密鑰方案則需加密數(shù)據(jù)n次。此外多跳通信時(shí)（一對(duì)一），成對(duì)密鑰方案要求每個(gè)接收節(jié)點(diǎn)解密并重新加密數(shù)據(jù)，n跳時(shí)共需分別加密和解密n次；而使用組鑰方案僅需加解密一次。故本文的組密鑰方案能夠極大地減少多播通信以及多跳通信時(shí)的計(jì)算開銷。

4.3 方案特性總結(jié)

本文方案具有以下特點(diǎn)：

（1）允許新用戶的動(dòng)態(tài)加入。本方案可以增加新的用戶進(jìn)入組內(nèi)，并且僅需和原有用戶進(jìn)行一次相互通信過程即可，也可以認(rèn)證新用戶身份的合法性，解決了應(yīng)用場(chǎng)景中所需要面臨的問題。

（2）無(wú)需在線可信第三方。本方案能夠在無(wú)在線可信第三方參與情況下完成組密鑰的協(xié)商，并且可以一次性認(rèn)證組內(nèi)所有其他用戶的合法性。KM僅需只是存在與方案的初始階段，系統(tǒng)中用戶從KM接收share后，無(wú)需再與KM進(jìn)行任何交互。

（3）不需要提前保證通信信道安全。本方案應(yīng)用對(duì)稱多項(xiàng)式的特性，確保在組密鑰協(xié)商階段可以利用share與任何其他用戶建立臨時(shí)的安全連接，確保發(fā)送內(nèi)容的保密性。

表1是和以前方案的對(duì)比，其中n是用戶總數(shù)，t為基于秘密共享的門限，—表示不確定。

5 結(jié)束語(yǔ)

本文針對(duì)WSNs中節(jié)點(diǎn)動(dòng)態(tài)加入和無(wú)在線可信第三方的需求，建立了基于秘密共享的組密鑰協(xié)商方案。在本方案中，由KM選取share等基本信息，并在初始階段安全地分發(fā)給參與用戶。主要協(xié)商過程分為兩個(gè)階段，第一階段是初始的m個(gè)用戶通過share計(jì)算自己的Component并加密發(fā)送，隨后通過恢復(fù)機(jī)制獲取并認(rèn)證組密鑰，建立安全的組內(nèi)通信環(huán)境。第二階段是由新用戶向組內(nèi)用戶發(fā)送加密后的Component，通過認(rèn)證后獲取組內(nèi)用戶的Component，并與組內(nèi)用戶協(xié)商建立新的組密鑰。方案具有以下特點(diǎn)：（1）允許新用戶的動(dòng)態(tài)加入；（2）無(wú)需在線可信第三方；（3）不需要提前保證通信信道安全。在安全性上，由于使用了秘密共享的思想，可以抵御t-1個(gè)用戶內(nèi)部攻擊。

[1]Shaikh F K，Zeadally S.Energy harvesting in wireless sensor networks：A comprehensive review[J].Renewable and Sustainable Energy Reviews，2016，55：1041-1054.

[2]Butun I，Morgera S D，Sankar R.A survey of intrusion detection systems in wireless sensor networks[J].IEEE Communications Surveys&Tutorials，2014，16（1）：266-282.

[3]Eschenauer L，Gligor V.A key management scheme for distributed sensor networks[C]//Proc 9th ACM Conf Comp and Commun Sec，Nov 2002：41-47.

[4]Chan H，Perrig A，Song D.Random key predistribution schemesfor sensor networks[C]//Proc IEEE Sec and Privacy Symp，2003：197-213.

[5]Nirmala M B，Manjunath A S.Framework for pairwise key establishment in wireless sensor networks[C]//2014 InternationalConferenceon Contemporary Computing and Informatics（IC3I），2014：1070-1075.

[6]Rahman M，Sampalli S.An efficient pairwise and group key management protocol for wireless sensor network[J].Wireless Personal Communications，2015，84（3）：2035-2053.

[7]Ruj S，Nayak A，Stojmenovic I.Pairwise and triple key distribution in wireless sensor networks with applications[J].IEEE Transactions on Computers，2013，62（11）：2224-2237.

[8]Shamir A.How to share a secret[J].Communications of the ACM，1979，22（11）：612-613.

[9]Wu B，Wu J，F(xiàn)ernandez E B，et al.Secure and efficient key management in mobile ad hoc networks[J].Journal of Network and Computer Applications，2007，30（3）：937-954.

[10]Harn L，Lin Changlu.Authenticated group key transfer protocol based on secret sharing[J].IEEE Transactions on Computers，2010，59（6）：842-846.

[11]Wu C，Li S，Zhang Y.Key management scheme based on secret sharing for wireless sensor networks[J].InternationalJournalofInformation and Communication Technology，2015，7（2/3）：126-140.

[12]Hsu C F，Harn L，He T，et al.Efficient group key transfer protocol for WSNs[J].IEEE Sensors Journal，2016，16（11）：4515-4520.

[13]Zhang Y，Wu C，Cao J，et al.A secret sharing-based key management in hierarchical wireless sensor network[J].International Journal of Distributed Sensor Networks，2013：1-7.

[14]Miao Fuyou，Xiong Yan.Randomized component and its application to（t，m，n）-group oriented secret sharing[J].IEEE Transactions on Information Forensics and Security，2015，10（5）：889-899.

[15]Liu Y，Zhang Y，Harn L，et al.Verifiable symmetric polynomial-based key distribution schemes[J].Security and Communication Networks，2013，6（8）：1028-1034.

[16]Haijun L，Chao W.An energy efficient dynamic key management scheme based on polynomial and cluster in wireless sensor networks[J].Journal of Convergence Information Technology，2011，6（5）：321-328.

[17]Robinson Y H，Rajaram M.Establishing pairwise keys using key predistribution schemes for sensor networks[J].International Journal of Computer，Electrical，Automation，Control and Information Engineering，2015，9（2）：608-612.