【正文】 在攻擊存在的情況下，仍然可以進(jìn)行路由的發(fā)現(xiàn)以及維護(hù)是非常有意義的。 ⑤ 能量策略 因?yàn)闊o(wú)線傳感器節(jié)點(diǎn)體積微小，通常采用功率較小的電池供電，因此能量是WSN 最為受限的資源 [29]。數(shù)據(jù)融合安全機(jī)制以保障數(shù)據(jù)保密性、數(shù)據(jù)傳輸安全性及數(shù)據(jù)融合的準(zhǔn)確性為目的， 11 通過加密、安全路由、融合算法的設(shè)計(jì)、節(jié)點(diǎn)間的交互證明、節(jié)點(diǎn)采集信息的抽樣、采集信息的簽名等機(jī)制達(dá)成。安全策略分為面向數(shù)據(jù)的安全策略、面向網(wǎng)絡(luò)的安全策略以及面向節(jié)點(diǎn)的安全策略三種。 12 訪問控制 在 IEEE MAC 層協(xié)議中， 包括 ACL 模式和安全模式。 安全數(shù)據(jù)融合 數(shù)據(jù)融合安全機(jī)制以保障數(shù)據(jù)保密性、數(shù)據(jù)傳輸安全性及數(shù)據(jù)融合的準(zhǔn)確性為目的，通過加密、安全路由、融合算法的設(shè)計(jì)、節(jié)點(diǎn)間的交互證明、節(jié)點(diǎn)采集信息的抽樣、采集信息的簽名等機(jī)制達(dá)成。一般說來(lái)，機(jī)密性保護(hù)運(yùn)用加密算法生成的密文，使攻擊者無(wú)法得到正確的消息報(bào)文。 WIAPA 中定義了數(shù)據(jù)鏈路層以及應(yīng)用層安全格式。 本章小結(jié) 本章首先介紹了無(wú)線傳感網(wǎng)特點(diǎn)、安全體系等，接著 詳細(xì)描述了無(wú)線傳感網(wǎng)的安全目標(biāo)、安全威脅以及安全策略。 一致性測(cè)試概述 協(xié)議測(cè)試的概念 協(xié)議測(cè)試一般包括一致性測(cè)試、互操作性測(cè)試以及性能測(cè)試 [14]。測(cè)試序列是起源于不同協(xié)議所應(yīng)該具備的功能，因此測(cè)試序列可以依照協(xié)議規(guī)范推導(dǎo)?，F(xiàn)有的常用控制流測(cè)試方法基本上都是基于有限狀態(tài)機(jī)（ Finite State Machine， FSM） [42]模型的。但是被動(dòng)測(cè)試需要預(yù)先設(shè)計(jì)好檢測(cè)錯(cuò)誤的方法，便 14 于測(cè)試順利有效的進(jìn)行。 協(xié)議的安全性研究還處于初級(jí)階段，一方面沒有成熟的理論，另一方面也沒有一個(gè)統(tǒng)一的測(cè)試標(biāo)準(zhǔn)，所以協(xié)議安全測(cè)試方法的研究還有很長(zhǎng)的一段路要走。 按照 ISO/IEC 96461 的規(guī)定，一致性的協(xié)議實(shí)現(xiàn)應(yīng)該滿足協(xié)議中所規(guī)定的一致性的要求。 ? 動(dòng)態(tài)一致性要求 [45]改造于靜態(tài)一致性要求的基礎(chǔ)下。 ? 基本互聯(lián)測(cè)試，該類型測(cè)試為 IUT 基本符合規(guī)范提供了初步的依據(jù)，它不試圖執(zhí)行所有的測(cè)視例。抽象測(cè)試方法通過輸入輸出來(lái)進(jìn)行的，其中 輸入是可控制的，而輸出是通過觀察 IUT 來(lái)進(jìn)行的。在其他三種外部測(cè)試中， IUT 的下邊界沒有 PCO（控制觀察點(diǎn)），對(duì)于 IUT 的激勵(lì)與觀察分為外部和本地兩種。 1) 本地測(cè)試法 本地測(cè)試法適用于有兩個(gè) PCO 的系統(tǒng)。如圖 所示。 3) 協(xié)調(diào)測(cè)試法 協(xié)調(diào)測(cè)試法只有一個(gè) PCO，位于 LT 下面。與協(xié)調(diào)測(cè)試法類似，遠(yuǎn)程測(cè)試法也只有一個(gè) PCO，不需要上測(cè)試器 UT。一個(gè)測(cè)試 活動(dòng)是由單個(gè) ATS 導(dǎo)出的參數(shù)化的可執(zhí)行測(cè)試集（ Parameterized Executable Test Suite， PETS）的執(zhí)行過程，它在測(cè)試選擇和參數(shù)化后進(jìn)行 [46]。本小節(jié)將對(duì)安全測(cè)試相關(guān)的理論和方法作進(jìn)一步的說明。因此，如何保證規(guī)范實(shí)現(xiàn)的正確性，并且實(shí)現(xiàn)的結(jié)果與預(yù)期相一致變得相當(dāng)重要。但是協(xié)議中的所規(guī)定的安全目標(biāo)以及安全功能的實(shí)現(xiàn)在多種場(chǎng)景下應(yīng)用，它的實(shí)現(xiàn)方式是否正確、安全目的是否達(dá)到我們并沒有一個(gè)確切的答案。因此我們?cè)谶M(jìn)行協(xié)議的安全性研究時(shí)，需要借鑒其他協(xié)議的測(cè)試方法，特別是目前已經(jīng)成熟的協(xié)議一致性方法。 協(xié)議攻擊測(cè)試是滲透測(cè)試的一種。常用的軟件安全測(cè)試的方法有滲透測(cè)試、形式化測(cè)試等傳統(tǒng)方 法。 語(yǔ)義 變異法是指根據(jù)協(xié)議的語(yǔ)法通過變異相關(guān)的語(yǔ)法單元產(chǎn)生變異后的測(cè)試用例 ，通過這種方法來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的不足 [49]。 19 第四章 無(wú)線傳感網(wǎng)安全測(cè)試系統(tǒng)設(shè)計(jì) 前面討論了協(xié)議測(cè)試的基本概念、協(xié)議一致性測(cè)試方法以及安全性測(cè)試方法。 測(cè)試系統(tǒng)的目標(biāo) 本小節(jié)對(duì)分布式安全測(cè)試系統(tǒng)的設(shè)計(jì)目標(biāo)加以說明?？刂乒芾碇行呢?fù)責(zé)測(cè)試的總體運(yùn)行，包括測(cè)試的所有過程以及測(cè)試代理的運(yùn)行。本文所生成的安全測(cè)試案例包含有必選項(xiàng)和可選項(xiàng)兩種。 4) 測(cè)試報(bào)告的生成和安全結(jié)果的判定 節(jié)點(diǎn)通過對(duì) IUT 檢測(cè)，并結(jié)合測(cè)試代理反饋的數(shù)據(jù)信息，在服務(wù)器后臺(tái)進(jìn)行相關(guān)處理可生成安全測(cè)試報(bào)告。 5) 測(cè)試數(shù)據(jù)的保存 每一次的測(cè)試數(shù)據(jù)、測(cè)試報(bào)告及測(cè)試結(jié)果都保存于數(shù)據(jù)庫(kù)中，可隨時(shí)調(diào)取供測(cè)試人員查看。服務(wù)器對(duì)功能測(cè)試結(jié)果進(jìn)行分析并生成規(guī)范一致性測(cè)試報(bào)告，同時(shí)結(jié)合功能測(cè)試結(jié)果和安全等級(jí)強(qiáng)度要求，生成安全等級(jí)分析報(bào)告。 21 互 聯(lián) 網(wǎng)交 換 機(jī)安 全 測(cè) 試 服 務(wù) 器測(cè) 試 客 戶 端后端測(cè)試服務(wù)平臺(tái)前端測(cè)試網(wǎng)絡(luò)（ c o o r d )（ r o u t e r )（ S E D )測(cè)試路由器全 信 道 安 全 分析 儀數(shù) 據(jù) 偵 聽標(biāo) 準(zhǔn) 測(cè) 試 設(shè) 備被 測(cè) 設(shè) 備攻 擊 節(jié) 點(diǎn)全 信 道 協(xié) 議 分 析 儀攻 擊 節(jié) 點(diǎn)安 全 測(cè) 試 服 務(wù) 器交 換 機(jī)前 端 測(cè) 試網(wǎng) 絡(luò) 設(shè) 備捕 獲 過 濾 圖 4. 1 測(cè)試系統(tǒng)結(jié)構(gòu)圖 其中，前端測(cè)試網(wǎng)絡(luò)包括安全測(cè)試設(shè)備、模擬攻擊節(jié)點(diǎn)和被測(cè)設(shè)備。 2) 全信道安全分析儀由全信道協(xié)議分析儀和上位機(jī)組成，協(xié)議分析儀實(shí)時(shí)捕獲測(cè)試網(wǎng)絡(luò)中的數(shù)據(jù)包并發(fā)送給上位機(jī)，上位機(jī)對(duì)數(shù)據(jù)包進(jìn)行分析。 4) 被測(cè)設(shè)備包括被測(cè)協(xié)調(diào)器、被測(cè)路由器、被測(cè)終端設(shè)備等，可以是其中一。安全分析儀能提供協(xié)議解碼、性能評(píng)估、網(wǎng)絡(luò)分析、故障診斷等功能。后端測(cè)試服務(wù)平臺(tái)由測(cè)試客戶端、安全測(cè)試服務(wù)器組成。 本測(cè)試系統(tǒng)由前端測(cè)試和后端測(cè)試服務(wù)平臺(tái)構(gòu)成，如圖 所示： 其中， 標(biāo)準(zhǔn)測(cè)試設(shè)備對(duì)被測(cè)設(shè) 備進(jìn)行激勵(lì)，模擬攻擊節(jié)點(diǎn)發(fā)送報(bào)文對(duì)網(wǎng)絡(luò)進(jìn)行攻擊；被測(cè)設(shè)備的響應(yīng)作 為其是否具有預(yù)期的安全功能以及實(shí)現(xiàn)方式是否正確的判定條件；安全測(cè)試服務(wù)器生成安全測(cè)試的 抽象 測(cè)試集，并導(dǎo)入測(cè)試?yán)畔ⅲ瑴y(cè)試客戶端作為人機(jī)交互的接口，為系統(tǒng)提供安全測(cè)試 入口，確認(rèn)系統(tǒng)測(cè)試的測(cè)試?yán)虾鸵恢滦詼y(cè)試參考的標(biāo)準(zhǔn)規(guī)范。本測(cè)試系統(tǒng)的主體部分是一個(gè)分布式的測(cè)試平臺(tái)，主要包括三個(gè)模塊的設(shè)計(jì)： SICS（ Security Implementation Conformance Statement）設(shè)計(jì)模塊、安全測(cè)試執(zhí)行模塊和綜合安全評(píng)估模塊。該報(bào)告分為安全等級(jí)報(bào)告和安 全測(cè)試結(jié)果報(bào)告兩種。 3) 測(cè)試案例的執(zhí)行 用戶一旦確定了所要執(zhí)行的測(cè)試案例，測(cè)試中心將自動(dòng)生成測(cè)試集。測(cè)試代理主要負(fù)責(zé)與控制管理中心建立連接，配合控制管理中心的命令響應(yīng)相應(yīng)的測(cè)試指令。系統(tǒng)的主要功能目標(biāo)有： 1) 分布式環(huán)境管理 無(wú)線傳感網(wǎng)因其獨(dú)有的特征，在安全性測(cè)試方面也與其他測(cè)試有所不同。因此，本章設(shè)計(jì)了一個(gè)分布式的傳感網(wǎng)安全測(cè)試系統(tǒng)，對(duì)系統(tǒng)的總體構(gòu)架、功能模塊和處理流程進(jìn)行了研究。截止到目前，有研究人員根據(jù)語(yǔ)義變異法引申出一種新的測(cè)試方法，即反向測(cè)試方法。協(xié)議異常測(cè)試就是從中得到的啟發(fā)，目前有些研究人員認(rèn)為運(yùn)用健壯性的測(cè)試方法來(lái)進(jìn)行安全測(cè)試也是有效的方法。通過這種驗(yàn)證的方法查驗(yàn)已知的攻擊是否能夠破壞網(wǎng)絡(luò)的安全； 協(xié)議異常測(cè)試是對(duì)網(wǎng)絡(luò)中未知的安全進(jìn)行測(cè)試，以此發(fā)現(xiàn)網(wǎng)絡(luò)存在的未知的威脅和漏洞等。 安全性測(cè)試主要是用來(lái)驗(yàn)證協(xié)議的安全性，并且通過驗(yàn)證過程發(fā)現(xiàn)協(xié)議中的不足。本文搭建一個(gè)無(wú)線傳感網(wǎng)的安全測(cè)試系統(tǒng)，通過對(duì)協(xié)議中規(guī)定的安全目標(biāo)實(shí)現(xiàn)所應(yīng)使用的安全機(jī)制進(jìn)行相關(guān)測(cè)試，測(cè)試安全功能的實(shí)現(xiàn)方式與結(jié)果是否與預(yù)期一致。目前健壯性測(cè)試 [47]是安全測(cè)試重要的一部分，大多的研究都針對(duì)此展開，但是健壯性的測(cè)試并不能包含協(xié)議的所有安全性方面。 安全協(xié)議測(cè)試需求 一個(gè)標(biāo)準(zhǔn)化的協(xié)議規(guī)范并不能保證利用不同的方式來(lái)實(shí)現(xiàn)協(xié)議也能夠確保成功的進(jìn)行相互之間的通信。一致性評(píng)估過程的流程圖如圖 所示。測(cè)試判決的依據(jù)是 LT 對(duì) IUT 提供的激勵(lì)以及所觀察到的 IUT 的響應(yīng)。如圖 所示。 UT 與 IUT 處于一個(gè)服務(wù)器，這就要求 IUT 有裸露的上邊界訪問接口。 LT、 UT、和 IUT 在同一系統(tǒng)中實(shí)現(xiàn)。外部測(cè)試法不需要對(duì)IUT 的下邊界直接訪問，適用于第三方的測(cè)試。接下來(lái)對(duì)以下四種測(cè)試方法進(jìn)行對(duì)比和詳細(xì)的介紹。它包括了一個(gè)或者多個(gè)基礎(chǔ)測(cè)試規(guī)范 15 所規(guī)定的動(dòng)態(tài)一致性要求的全部范圍。 ISO/IEC 96461 將測(cè)試區(qū)分為四種類型： ? 能力測(cè)試，是用來(lái)檢測(cè) IUT 可觀察的 行為是否與靜態(tài)一致性要求和實(shí)現(xiàn)一致性聲明（ ICS）的能力相符合，以弄清能觀察到的 ICS 陳述能力。 ? 靜態(tài)協(xié)議一致性要求對(duì)協(xié)議實(shí)體系統(tǒng)框架做出了規(guī)定，其中也規(guī)定了測(cè) 試要求的基礎(chǔ)能力。一致性測(cè)試通常是在黑盒環(huán)境中實(shí)現(xiàn)的。 協(xié) 議 測(cè) 試主 動(dòng) 性 測(cè) 試被 動(dòng) 性 測(cè) 試一 致 性 測(cè) 試互 操 作 性 測(cè) 試性 能 測(cè) 試 圖 3. 2 協(xié)議測(cè)試的分類 作為一個(gè)成熟的網(wǎng)絡(luò)，或多或少都要遭受安全的威脅，因此我們必然要考慮到安全的需求。 不同于主動(dòng)測(cè)試，被動(dòng)測(cè)試是通過監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行采集數(shù)據(jù)，通過分析數(shù)據(jù)報(bào)文來(lái)判斷協(xié)議是否存在錯(cuò)誤。 控制流測(cè)試在模塊中應(yīng)該對(duì)每一條獨(dú)立執(zhí)行的路徑進(jìn)行測(cè)試，單元測(cè)試的基本任務(wù)是保證模塊中每條語(yǔ)句至少執(zhí)行一次。 主動(dòng)測(cè)試 [41]方法是由測(cè)試者主動(dòng)的執(zhí)行測(cè)試序列，這些測(cè)試序列是事先設(shè)定的，然后通過觀察被測(cè)對(duì)象的輸出，對(duì)比輸出與預(yù)先的輸出是否一致，通過這種方法來(lái)判定待測(cè)協(xié)議的實(shí)現(xiàn)是否符合標(biāo)準(zhǔn)一致性。 13 第三章 測(cè)試?yán)碚摷胺椒? 一個(gè)協(xié)議實(shí)現(xiàn)是否是正確且有效的，我們通常利用協(xié)議測(cè)試的方法進(jìn)行驗(yàn)證。但是對(duì)于安全機(jī)制的實(shí)現(xiàn)是否符合預(yù)期目標(biāo)，并且實(shí)現(xiàn)的方式是否正確并沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)。其中網(wǎng)絡(luò)層頭部是由 MAC層的載荷的保密性機(jī)制來(lái)提供的。在 WIAPA 中采用 AES加密算法的 CBC 模式。 路由安全 路由協(xié)議為 WSN 網(wǎng)絡(luò)層提供了非常關(guān)鍵的服務(wù)，如果路由遭受到一些攻擊，可能會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。 安 全 目 標(biāo)安 全 機(jī) 制密 鑰 管 理 機(jī) 制訪 問 控 制 機(jī) 制鑒 別 機(jī) 制路 由 安 全安 全 數(shù) 據(jù) 融 合加 密 機(jī) 制審 計(jì) 機(jī) 制幀 安 全 機(jī) 制協(xié) 調(diào) 器 變 換 的 安 全機(jī) 制面 向 節(jié) 點(diǎn) 的 安 全策 略面 向 數(shù) 據(jù) 的 安 全策 略面 向 網(wǎng) 絡(luò) 的 安 全策 略數(shù) 據(jù) 保 密 性數(shù) 據(jù) 完 整 性數(shù) 據(jù) 新 鮮 性可 用 性可 控 性抗 干 擾 性可 鑒 別 性數(shù)據(jù)威脅網(wǎng)絡(luò)威脅節(jié)點(diǎn)威脅 安 全 威 脅安 全 策 略傳 感 網(wǎng) 安 全 環(huán) 境 圖 2. 4 傳感網(wǎng)安全參考模型 以下是對(duì)傳感網(wǎng)幾個(gè)主要安全機(jī)制的介紹： 密鑰管理 密鑰管理 機(jī)制 是 無(wú)線 傳感網(wǎng) 安全機(jī)制的基礎(chǔ) ，也是實(shí)現(xiàn)傳感網(wǎng)安全的重要的基礎(chǔ) 。如圖 所示為傳感網(wǎng)安全參考模型。 3)基于數(shù)據(jù)的安全策略 ① 數(shù)據(jù)鑒別 保證數(shù)據(jù)的真實(shí)性和有效性。 ③ 可擴(kuò)展策略 在網(wǎng)絡(luò)的實(shí) 際應(yīng)用中，由于傳感節(jié)點(diǎn)不定期的加入和死亡，傳感網(wǎng)的通信區(qū)域也跟著隨時(shí)發(fā)生改變，因此需要保證網(wǎng)絡(luò)的安全機(jī)制具備可擴(kuò)展性，動(dòng)態(tài)的適應(yīng)網(wǎng)絡(luò)規(guī)模的改變，保證節(jié)點(diǎn)的安全退出以及新節(jié)點(diǎn)的順利加入。 2)基于網(wǎng)絡(luò)的安全策略 由節(jié)點(diǎn)構(gòu)成的無(wú)線 傳感網(wǎng) ，其安全策略傾向于保障整體網(wǎng)絡(luò)的可用性，故其安全策略包括以下內(nèi)容： ① 安全路由 路由協(xié)議主要是服務(wù)于 WSN 網(wǎng)絡(luò)層 。 我們對(duì) 傳感網(wǎng) 的資產(chǎn)類別給出不同的安全策略： 1)基于節(jié)點(diǎn)的安全策略 節(jié)點(diǎn)作為構(gòu)建無(wú)線 傳感網(wǎng) 的基石，其安全重要性毋庸置疑。 無(wú)線傳感網(wǎng)安全策略 參考 PG6標(biāo)準(zhǔn)對(duì) 傳感網(wǎng) 資產(chǎn)的劃分， 從 傳感網(wǎng) 資產(chǎn)的角度將安全策略分為基于數(shù)據(jù)、基于網(wǎng)絡(luò)和基于節(jié)點(diǎn)的安全策略，每類安全策略由一系列的安全機(jī)制實(shí)現(xiàn)。 4)傳輸層威脅 ①泛洪攻擊 傳輸層主要負(fù)責(zé)網(wǎng)絡(luò)端到端的連接，因此在這一層的協(xié)議很容易受到泛洪攻擊。這就在整個(gè)網(wǎng)絡(luò)中形成一個(gè)路由黑洞，對(duì)網(wǎng)絡(luò)的破壞 能力相當(dāng)大。 Sybil攻擊中，攻擊節(jié)點(diǎn)偽裝成具有多個(gè) ID 的節(jié)點(diǎn)，達(dá)到攻擊的目的。另一方面，由于節(jié)點(diǎn)能量資源有限，在數(shù)據(jù)鏈路 層上面，攻擊者不間斷地發(fā)送數(shù)據(jù)報(bào)文，引起數(shù)據(jù)傳輸過程中的碰撞，導(dǎo)致節(jié)點(diǎn)一直處于工作狀態(tài)，直到資源殆盡。 監(jiān) 聽篡 改偽 造阻 斷 圖 2. 2 網(wǎng)絡(luò)基本攻擊行為 為了便于研究者對(duì)安全威脅進(jìn)行分析以便于對(duì)攻擊采取措施，通常根據(jù)網(wǎng)絡(luò)通信協(xié)議的層次結(jié)構(gòu)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行分類。安全管理主要有安全引導(dǎo)和安全維護(hù)兩個(gè)方面。身份可鑒別則是指通信雙方的身份信息的真實(shí)性。 ⑤ 可控性 7 在保障傳感網(wǎng)中數(shù)據(jù)保密性、完整性、可用性的前提下，提供相應(yīng)的安全控制部件，形成整體的控制流程，實(shí)現(xiàn) 傳感網(wǎng) 可控性。 ② 數(shù)據(jù)新鮮性 (Freshness) 保證接收到數(shù)據(jù)的時(shí)效性，確保沒有重放過時(shí)的數(shù)據(jù)。確保在傳輸以及存儲(chǔ)過程中，數(shù)據(jù)信息不能泄露給沒有權(quán)限的用戶。無(wú)線傳感網(wǎng)與傳統(tǒng)網(wǎng)絡(luò)的安全目標(biāo)相一致，都是為了數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)新鮮性、入網(wǎng)認(rèn)證、數(shù)據(jù)融合等，同時(shí)，由于無(wú)線傳感網(wǎng)的獨(dú)有的特征，例如資源受限、節(jié)點(diǎn)的能量有限等，這些問題導(dǎo)致無(wú)線傳感網(wǎng)的安全問題尤為重要。 完整性：重要信息在傳輸和發(fā)送時(shí)不被非法用戶的篡改。針對(duì) WIAPA 網(wǎng)絡(luò)的特點(diǎn)，協(xié)議