【正文】 協(xié)議分析儀可檢測 433MHz 頻段的一個信道、 470MHz 頻段的一個信道、 780MHz 頻段的 4 個信道和 頻段的 16 個信道的無線數(shù)據(jù)報文。 本測試系統(tǒng)主要是通過一個真實的網(wǎng)絡(luò)運行環(huán)境，測試設(shè)備是否具備所要求的安全功能，并達到預(yù)先要求的安全等級所具備的安全條件，最終完成測試并給出詳細的測試報告。該報告為測試人員進一步分析提供了依據(jù)，并且能夠根據(jù)不同案例的檢測結(jié)果，判斷設(shè)備的安全性。它能夠同步及協(xié)調(diào)各個測試代理之間的信息交互，并且根據(jù)不同的測試環(huán)境，能夠自動 /被動的選擇適用于當前網(wǎng)絡(luò)的測試代理。由于無線傳感網(wǎng)獨有的特性， 在實際的安全測試中，需要一個具體的測試系統(tǒng)來支持測試的執(zhí)行以及測試結(jié)果的判定。加上現(xiàn)在又出現(xiàn)新的測試方法，這些方法為安全性測試提供了新的參考和支撐。在實際的研究中，一致性測試的框架以及模型化的理論，為安 全協(xié)議測試做出了指導(dǎo)。 隨著網(wǎng)絡(luò)越來越普遍的應(yīng)用，網(wǎng)絡(luò)的安全威脅也變得越來越嚴峻，與之對應(yīng)實現(xiàn)的安全協(xié)議也越來越受關(guān)注。所使用的抽象測試集（ Abstract Test Suite，ATS）一般都對應(yīng)一個測試活動。協(xié)調(diào)測試法不需要訪問 IUT 上服務(wù) 16 邊界。其中一個位于下測試器 LT 下面，另一個在 IUT 的上服務(wù)器邊界。 抽象測試方法具體分為四種：本地測試法、分布式測試法、協(xié)調(diào)測試法和遠程測試法。它定義了協(xié)議實現(xiàn)和外部環(huán)境進行通信時的全部可觀察行為。 協(xié)議一致性測試的要求與類型 協(xié)議一致性測試是所有測試中相對基礎(chǔ)類的測試，它主要是通過設(shè)定測試環(huán)境，來觀察協(xié)議的響應(yīng)是否符合規(guī)范。 當前的數(shù)據(jù)流測試總結(jié)為以下兩種：定義 使用以及分割測試。根據(jù)測試平臺是否與被測實體之間有一定的交互信息，測試方法總共可分為主動和被動兩種測試方法。 對于 PG6 標準安全模型中提出的安全目標以及安全機制，在無線傳感網(wǎng)的實現(xiàn)中普遍應(yīng)用。 可鑒別性和機密性保護 在無線 傳感網(wǎng) 中，身份認證，消息認證通常利用單向散列函數(shù)，如 MD5， SHA1計算消息認證碼、完整性校驗碼進行身份認證、消息認證。安全機制的選擇有密鑰管理機制、訪問控制機制、路由安全、鑒別機制、審計機制、加密機制、協(xié)調(diào)器變換的安全機制等，而所要實現(xiàn)的安全目標有數(shù)據(jù)保密性、 數(shù)據(jù)完整性、數(shù)據(jù)新鮮性、可用性、可控性等。我們應(yīng)該在滿足安全目標的前提下，盡可能的減少能量的消耗，延長網(wǎng)絡(luò)的生存期。但是對于傳感器節(jié)點來說，它的體積小而且節(jié)點資源有限，對于它的策略通常具備身份驗證、消息保密和內(nèi)容新鮮等諸多功能 [28]，確保節(jié)點的安全，以便于更好的為網(wǎng)絡(luò)服務(wù)。 5)應(yīng)用層威脅 無線傳感網(wǎng)的應(yīng)用層威脅通常與具體的應(yīng)用相關(guān)，對于在安全服務(wù)上有可能受到的攻擊有克隆攻擊等。 F / G / HABCDES y b i l 節(jié) 點 圖 2. 3 女巫攻擊示意圖 ② 黑洞攻擊 (Sinkhole Attack) 攻擊者通過部署一個收發(fā)信號強、能量更加充沛的節(jié)點來吸引附近的傳感器節(jié)點向其發(fā)送報文，進而引起報文的丟失，破壞整個網(wǎng)絡(luò)的數(shù)據(jù)流動。 2)鏈路層威脅 傳感網(wǎng)中不止一個節(jié)點進行數(shù)據(jù)發(fā)送時，信號很可能進行累加，這樣容易導(dǎo)致數(shù)據(jù)包字節(jié)的流失，造成網(wǎng)絡(luò)丟包。 ⑧安全管理 無線傳感網(wǎng)是自組織性的網(wǎng)絡(luò)，通過節(jié)點間自發(fā)的組建網(wǎng)絡(luò)構(gòu)建節(jié)點間的信任關(guān)系。 ④ 可用性 (Availability) 已授權(quán)實體一旦 需要就能夠訪問和使用數(shù)據(jù)和資源的特性。下面對無線傳感網(wǎng)的安全需求進行簡要的說明： ① 數(shù)據(jù)保密性 (Confidentiality) 保密性是傳感網(wǎng)的一個重要的特征。 6 認證：設(shè)備之間身份的認證。 無線傳感網(wǎng)的協(xié)議規(guī)范 標準主要是針對低速 WPAN。 節(jié)點能力有限。 以數(shù)據(jù)為中心。 第六章主要是對本文工作進行了總結(jié)，并且對于下一步的研究進行了展望。安全測試是在協(xié)議測試的基礎(chǔ)上進行的，也可以作為協(xié)議一致性測試的一種。 研究內(nèi)容和論文結(jié)構(gòu) 論文總共有六章，下面對每一章節(jié)做出簡要的介紹。 WSN 安全協(xié)議的實現(xiàn)過程離不開協(xié)議測試 ， 協(xié)議測試是為了對協(xié)議的實現(xiàn)進行檢驗 ，借此 發(fā)現(xiàn)實現(xiàn)過程中的 不足 [14]。 本課題來源于“新一代寬帶無線通信網(wǎng)”科技重大專項 —信息匯聚傳感器網(wǎng)絡(luò)綜合測試與驗證評估環(huán)境。 由于無線 傳感網(wǎng) 部署環(huán)境不確定、網(wǎng)絡(luò)的拓撲結(jié)構(gòu)也可隨著節(jié)點的離開與加入不斷的變化。 20 世紀后期人們開始了無線 傳感網(wǎng) 的研究，一開始是由美國 DARPA 推動的，主要是使用于戰(zhàn)場 [3]。本文實現(xiàn)的典型測試案例是在實驗室自主研發(fā)的 WIAPA 協(xié)議棧進行的。對于無線傳感網(wǎng)的研究不僅致力于它的應(yīng)用，同時需要考慮復(fù)雜的應(yīng)用環(huán)境對無線網(wǎng)絡(luò)帶來的負面影響，網(wǎng)絡(luò)的發(fā)展必然會面臨相應(yīng)的安全威脅，因此必須加入安全機制來保障網(wǎng)絡(luò)的正常運行。 深入理解《信息技術(shù) 傳感器網(wǎng)絡(luò)信息安全通用技術(shù)規(guī)范》，設(shè)計了適用于傳感網(wǎng)的安全測試系統(tǒng)，制定了安全測試流程。它可以融合多種學(xué)科、具有知識高度集中的特點，可以直觀的獲取用戶需要的數(shù)據(jù)信息，被稱為是 21 世紀最具影響力的技術(shù)之一。這種推廣給人們的日常生活帶來很大的變化。 為 評估 WSN 的通信情況，人們開始采用各種各樣的方法來對網(wǎng)絡(luò)協(xié)議進行測試和評估。 國外一些著名大學(xué)如麻省理工學(xué)院、加州大學(xué)、俄亥俄州大學(xué)、新加坡國立大學(xué)等髙校都已經(jīng)展開了無線 傳感網(wǎng) 方面的研究 。它是一種多屬性的模型，主要是通過攻擊測試來對協(xié)議的安全性做定性的分析。傳感網(wǎng)安全的介紹分別從安全需求、安全威脅、安全策略三方面給出。 第五章是對第四章提出的無線傳感網(wǎng)安全測試系統(tǒng)進行了測試驗證。無線 傳感網(wǎng) 有以下主要特征： 分布式。傳感網(wǎng)是隨機形 成網(wǎng)絡(luò)，節(jié)點間的相互關(guān)系是無法準確預(yù)測的。如圖 所示。針對 WIAPA 網(wǎng)絡(luò)的特點，協(xié)議中對安全機制提出了說明。無線傳感網(wǎng)與傳統(tǒng)網(wǎng)絡(luò)的安全目標相一致，都是為了數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)新鮮性、入網(wǎng)認證、數(shù)據(jù)融合等，同時，由于無線傳感網(wǎng)的獨有的特征，例如資源受限、節(jié)點的能量有限等，這些問題導(dǎo)致無線傳感網(wǎng)的安全問題尤為重要。 ② 數(shù)據(jù)新鮮性 (Freshness) 保證接收到數(shù)據(jù)的時效性，確保沒有重放過時的數(shù)據(jù)。身份可鑒別則是指通信雙方的身份信息的真實性。 監(jiān) 聽篡 改偽 造阻 斷 圖 2. 2 網(wǎng)絡(luò)基本攻擊行為 為了便于研究者對安全威脅進行分析以便于對攻擊采取措施，通常根據(jù)網(wǎng)絡(luò)通信協(xié)議的層次結(jié)構(gòu)對網(wǎng)絡(luò)攻擊進行分類。 Sybil攻擊中，攻擊節(jié)點偽裝成具有多個 ID 的節(jié)點，達到攻擊的目的。 4)傳輸層威脅 ①泛洪攻擊 傳輸層主要負責網(wǎng)絡(luò)端到端的連接，因此在這一層的協(xié)議很容易受到泛洪攻擊。 我們對 傳感網(wǎng) 的資產(chǎn)類別給出不同的安全策略： 1)基于節(jié)點的安全策略 節(jié)點作為構(gòu)建無線 傳感網(wǎng) 的基石，其安全重要性毋庸置疑。 ③ 可擴展策略 在網(wǎng)絡(luò)的實 際應(yīng)用中，由于傳感節(jié)點不定期的加入和死亡，傳感網(wǎng)的通信區(qū)域也跟著隨時發(fā)生改變，因此需要保證網(wǎng)絡(luò)的安全機制具備可擴展性，動態(tài)的適應(yīng)網(wǎng)絡(luò)規(guī)模的改變，保證節(jié)點的安全退出以及新節(jié)點的順利加入。如圖 所示為傳感網(wǎng)安全參考模型。 路由安全 路由協(xié)議為 WSN 網(wǎng)絡(luò)層提供了非常關(guān)鍵的服務(wù)，如果路由遭受到一些攻擊，可能會導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。其中網(wǎng)絡(luò)層頭部是由 MAC層的載荷的保密性機制來提供的。 13 第三章 測試理論及方法 一個協(xié)議實現(xiàn)是否是正確且有效的，我們通常利用協(xié)議測試的方法進行驗證。 控制流測試在模塊中應(yīng)該對每一條獨立執(zhí)行的路徑進行測試，單元測試的基本任務(wù)是保證模塊中每條語句至少執(zhí)行一次。 協(xié) 議 測 試主 動 性 測 試被 動 性 測 試一 致 性 測 試互 操 作 性 測 試性 能 測 試 圖 3. 2 協(xié)議測試的分類 作為一個成熟的網(wǎng)絡(luò)，或多或少都要遭受安全的威脅，因此我們必然要考慮到安全的需求。 ? 靜態(tài)協(xié)議一致性要求對協(xié)議實體系統(tǒng)框架做出了規(guī)定，其中也規(guī)定了測 試要求的基礎(chǔ)能力。它包括了一個或者多個基礎(chǔ)測試規(guī)范 15 所規(guī)定的動態(tài)一致性要求的全部范圍。外部測試法不需要對IUT 的下邊界直接訪問，適用于第三方的測試。 UT 與 IUT 處于一個服務(wù)器，這就要求 IUT 有裸露的上邊界訪問接口。測試判決的依據(jù)是 LT 對 IUT 提供的激勵以及所觀察到的 IUT 的響應(yīng)。 安全協(xié)議測試需求 一個標準化的協(xié)議規(guī)范并不能保證利用不同的方式來實現(xiàn)協(xié)議也能夠確保成功的進行相互之間的通信。本文搭建一個無線傳感網(wǎng)的安全測試系統(tǒng)，通過對協(xié)議中規(guī)定的安全目標實現(xiàn)所應(yīng)使用的安全機制進行相關(guān)測試，測試安全功能的實現(xiàn)方式與結(jié)果是否與預(yù)期一致。通過這種驗證的方法查驗已知的攻擊是否能夠破壞網(wǎng)絡(luò)的安全； 協(xié)議異常測試是對網(wǎng)絡(luò)中未知的安全進行測試，以此發(fā)現(xiàn)網(wǎng)絡(luò)存在的未知的威脅和漏洞等。截止到目前，有研究人員根據(jù)語義變異法引申出一種新的測試方法，即反向測試方法。系統(tǒng)的主要功能目標有： 1) 分布式環(huán)境管理 無線傳感網(wǎng)因其獨有的特征，在安全性測試方面也與其他測試有所不同。 3) 測試案例的執(zhí)行 用戶一旦確定了所要執(zhí)行的測試案例，測試中心將自動生成測試集。本測試系統(tǒng)的主體部分是一個分布式的測試平臺，主要包括三個模塊的設(shè)計： SICS（ Security Implementation Conformance Statement）設(shè)計模塊、安全測試執(zhí)行模塊和綜合安全評估模塊。后端測試服務(wù)平臺由測試客戶端、安全測試服務(wù)器組成。 4) 被測設(shè)備包括被測協(xié)調(diào)器、被測路由器、被測終端設(shè)備等，可以是其中一。 21 互 聯(lián) 網(wǎng)交 換 機安 全 測 試 服 務(wù) 器測 試 客 戶 端后端測試服務(wù)平臺前端測試網(wǎng)絡(luò)（ c o o r d )（ r o u t e r )（ S E D )測試路由器全 信 道 安 全 分析 儀數(shù) 據(jù) 偵 聽標 準 測 試 設(shè) 備被 測 設(shè) 備攻 擊 節(jié) 點全 信 道 協(xié) 議 分 析 儀攻 擊 節(jié) 點安 全 測 試 服 務(wù) 器交 換 機前 端 測 試網(wǎng) 絡(luò) 設(shè) 備捕 獲 過 濾 圖 4. 1 測試系統(tǒng)結(jié)構(gòu)圖 其中，前端測試網(wǎng)絡(luò)包括安全測試設(shè)備、模擬攻擊節(jié)點和被測設(shè)備。 5) 測試數(shù)據(jù)的保存 每一次的測試數(shù)據(jù)、測試報告及測試結(jié)果都保存于數(shù)據(jù)庫中，可隨時調(diào)取供測試人員查看。本文所生成的安全測試案例包含有必選項和可選項兩種。 測試系統(tǒng)的目標 本小節(jié)對分布式安全測試系統(tǒng)的設(shè)計目標加以說明。 語義 變異法是指根據(jù)協(xié)議的語法通過變異相關(guān)的語法單元產(chǎn)生變異后的測試用例 ，通過這種方法來檢測網(wǎng)絡(luò)系統(tǒng)的不足 [49]。 協(xié)議攻擊測試是滲透測試的一種。但是協(xié)議中的所規(guī)定的安全目標以及安全功能的實現(xiàn)在多種場景下應(yīng)用，它的實現(xiàn)方式是否正確、安全目的是否達到我們并沒有一個確切的答案。本小節(jié)將對安全測試相關(guān)的理論和方法作進一步的說明。與協(xié)調(diào)測試法類似，遠程測試法也只有一個 PCO，不需要上測試器 UT。如圖 所示。在其他三種外部測試中， IUT 的下邊界沒有 PCO（控制觀察點），對于 IUT 的激勵與觀察分為外部和本地兩種。 ? 基本互聯(lián)測試，該類型測試為 IUT 基本符合規(guī)范提供了初步的依據(jù)，它不試圖執(zhí)行所有的測視例。 按照 ISO/IEC 96461 的規(guī)定，一致性的協(xié)議實現(xiàn)應(yīng)該滿足協(xié)議中所規(guī)定的一致性的要求。但是被動測試需要預(yù)先設(shè)計好檢測錯誤的方法，便 14 于測試順利有效的進行。測試序列是起源于不同協(xié)議所應(yīng)該具備的功能，因此測試序列可以依照協(xié)議規(guī)范推導(dǎo)。 本章小結(jié) 本章首先介紹了無線傳感網(wǎng)特點、安全體系等，接著 詳細描述了無線傳感網(wǎng)的安全目標、安全威脅以及安全策略。一般說來，機密性保護運用加密算法生成的密文，使攻擊者無法得到正確的消息報文。 12 訪問控制 在 IEEE MAC 層協(xié)議中， 包括 ACL 模式和安全模式。數(shù)據(jù)融合安全機制以保障數(shù)據(jù)保密性、數(shù)據(jù)傳輸安全性及數(shù)據(jù)融合的準確性為目的， 11 通過加密、安全路由、融合算法的設(shè)計、節(jié)點間的交互證明、節(jié)點采集信息的抽樣、采集信息的簽名等機制達成。 WSN 的安全性和可用性在一定程度上將直接由安全的路由機制決定， 實現(xiàn)安全路由，保證網(wǎng)絡(luò)在攻擊存在的情況下，仍然可以進行路由的發(fā)現(xiàn)以及維護是非常有意義的?；跀?shù)據(jù)的安全策略主要由加密、安全數(shù)據(jù)融合和廣播認證等一系列安全機制實現(xiàn)。對于攻擊者來說，一旦具有強大的發(fā)射功率就會誤導(dǎo)普通節(jié)點將攻擊節(jié)點當成合法的通信方，攻擊者則利用此特性進行另外的攻擊行為 [24]。 3)網(wǎng)絡(luò)層威脅 無線 傳感網(wǎng) 的路由協(xié)議一般需要考慮節(jié)點能量消耗、路由信息存儲受限、以數(shù)據(jù)為中心等特點，這些特點一方面增加了路由機制的實現(xiàn)難度，另一方面使得網(wǎng)絡(luò)面臨更多的安全威脅 [22]。 無線傳感網(wǎng)安全威脅 傳感器節(jié)點在實際的使用中，大部分都部署于無人監(jiān)守的空間，因此 傳感網(wǎng) 各個層面都面臨一定的安全威脅。 ⑦ 可鑒別性 可鑒別性分為數(shù)據(jù)可鑒別和身份可鑒別兩種。 ② 數(shù)據(jù)完整性 (Integrity) 根據(jù)國家相關(guān)標準規(guī)定