【正文】 一個統(tǒng)一的測試標準，所以協(xié)議安全測試方法的研究還有很長的一段路要走。 ? 動態(tài)一致性要求 [45]改造于靜態(tài)一致性要求的基礎下。抽象測試方法通過輸入輸出來進行的，其中 輸入是可控制的，而輸出是通過觀察 IUT 來進行的。 1) 本地測試法 本地測試法適用于有兩個 PCO 的系統(tǒng)。 3) 協(xié)調測試法 協(xié)調測試法只有一個 PCO，位于 LT 下面。一個測試 活動是由單個 ATS 導出的參數(shù)化的可執(zhí)行測試集（ Parameterized Executable Test Suite， PETS）的執(zhí)行過程，它在測試選擇和參數(shù)化后進行 [46]。因此，如何保證規(guī)范實現(xiàn)的正確性，并且實現(xiàn)的結果與預期相一致變得相當重要。因此我們在進行協(xié)議的安全性研究時，需要借鑒其他協(xié)議的測試方法，特別是目前已經成熟的協(xié)議一致性方法。常用的軟件安全測試的方法有滲透測試、形式化測試等傳統(tǒng)方 法。 19 第四章 無線傳感網安全測試系統(tǒng)設計 前面討論了協(xié)議測試的基本概念、協(xié)議一致性測試方法以及安全性測試方法?？刂乒芾碇行呢撠煖y試的總體運行，包括測試的所有過程以及測試代理的運行。 4) 測試報告的生成和安全結果的判定 節(jié)點通過對 IUT 檢測，并結合測試代理反饋的數(shù)據(jù)信息，在服務器后臺進行相關處理可生成安全測試報告。服務器對功能測試結果進行分析并生成規(guī)范一致性測試報告，同時結合功能測試結果和安全等級強度要求，生成安全等級分析報告。 2) 全信道安全分析儀由全信道協(xié)議分析儀和上位機組成，協(xié)議分析儀實時捕獲測試網絡中的數(shù)據(jù)包并發(fā)送給上位機，上位機對數(shù)據(jù)包進行分析。安全分析儀能提供協(xié)議解碼、性能評估、網絡分析、故障診斷等功能。 本測試系統(tǒng)由前端測試和后端測試服務平臺構成，如圖 所示： 其中， 標準測試設備對被測設 備進行激勵，模擬攻擊節(jié)點發(fā)送報文對網絡進行攻擊；被測設備的響應作 為其是否具有預期的安全功能以及實現(xiàn)方式是否正確的判定條件；安全測試服務器生成安全測試的 抽象 測試集，并導入測試例信息，測試客戶端作為人機交互的接口，為系統(tǒng)提供安全測試 入口，確認系統(tǒng)測試的測試例集合和一致性測試參考的標準規(guī)范。該報告分為安全等級報告和安 全測試結果報告兩種。測試代理主要負責與控制管理中心建立連接，配合控制管理中心的命令響應相應的測試指令。因此，本章設計了一個分布式的傳感網安全測試系統(tǒng)，對系統(tǒng)的總體構架、功能模塊和處理流程進行了研究。協(xié)議異常測試就是從中得到的啟發(fā)，目前有些研究人員認為運用健壯性的測試方法來進行安全測試也是有效的方法。 安全性測試主要是用來驗證協(xié)議的安全性，并且通過驗證過程發(fā)現(xiàn)協(xié)議中的不足。目前健壯性測試 [47]是安全測試重要的一部分，大多的研究都針對此展開，但是健壯性的測試并不能包含協(xié)議的所有安全性方面。一致性評估過程的流程圖如圖 所示。如圖 所示。 LT、 UT、和 IUT 在同一系統(tǒng)中實現(xiàn)。接下來對以下四種測試方法進行對比和詳細的介紹。 ISO/IEC 96461 將測試區(qū)分為四種類型： ? 能力測試，是用來檢測 IUT 可觀察的 行為是否與靜態(tài)一致性要求和實現(xiàn)一致性聲明（ ICS）的能力相符合，以弄清能觀察到的 ICS 陳述能力。一致性測試通常是在黑盒環(huán)境中實現(xiàn)的。 不同于主動測試，被動測試是通過監(jiān)測網絡運行采集數(shù)據(jù)，通過分析數(shù)據(jù)報文來判斷協(xié)議是否存在錯誤。 主動測試 [41]方法是由測試者主動的執(zhí)行測試序列，這些測試序列是事先設定的，然后通過觀察被測對象的輸出，對比輸出與預先的輸出是否一致，通過這種方法來判定待測協(xié)議的實現(xiàn)是否符合標準一致性。但是對于安全機制的實現(xiàn)是否符合預期目標，并且實現(xiàn)的方式是否正確并沒有一個統(tǒng)一的標準。在 WIAPA 中采用 AES加密算法的 CBC 模式。 安 全 目 標安 全 機 制密 鑰 管 理 機 制訪 問 控 制 機 制鑒 別 機 制路 由 安 全安 全 數(shù) 據(jù) 融 合加 密 機 制審 計 機 制幀 安 全 機 制協(xié) 調 器 變 換 的 安 全機 制面 向 節(jié) 點 的 安 全策 略面 向 數(shù) 據(jù) 的 安 全策 略面 向 網 絡 的 安 全策 略數(shù) 據(jù) 保 密 性數(shù) 據(jù) 完 整 性數(shù) 據(jù) 新 鮮 性可 用 性可 控 性抗 干 擾 性可 鑒 別 性數(shù)據(jù)威脅網絡威脅節(jié)點威脅 安 全 威 脅安 全 策 略傳 感 網 安 全 環(huán) 境 圖 2. 4 傳感網安全參考模型 以下是對傳感網幾個主要安全機制的介紹： 密鑰管理 密鑰管理 機制 是 無線 傳感網 安全機制的基礎 ，也是實現(xiàn)傳感網安全的重要的基礎 。 3)基于數(shù)據(jù)的安全策略 ① 數(shù)據(jù)鑒別 保證數(shù)據(jù)的真實性和有效性。 2)基于網絡的安全策略 由節(jié)點構成的無線 傳感網 ，其安全策略傾向于保障整體網絡的可用性，故其安全策略包括以下內容： ① 安全路由 路由協(xié)議主要是服務于 WSN 網絡層 。 無線傳感網安全策略 參考 PG6標準對 傳感網 資產的劃分， 從 傳感網 資產的角度將安全策略分為基于數(shù)據(jù)、基于網絡和基于節(jié)點的安全策略，每類安全策略由一系列的安全機制實現(xiàn)。這就在整個網絡中形成一個路由黑洞，對網絡的破壞 能力相當大。另一方面，由于節(jié)點能量資源有限，在數(shù)據(jù)鏈路 層上面，攻擊者不間斷地發(fā)送數(shù)據(jù)報文，引起數(shù)據(jù)傳輸過程中的碰撞，導致節(jié)點一直處于工作狀態(tài)，直到資源殆盡。安全管理主要有安全引導和安全維護兩個方面。 ⑤ 可控性 7 在保障傳感網中數(shù)據(jù)保密性、完整性、可用性的前提下，提供相應的安全控制部件，形成整體的控制流程，實現(xiàn) 傳感網 可控性。確保在傳輸以及存儲過程中，數(shù)據(jù)信息不能泄露給沒有權限的用戶。 完整性：重要信息在傳輸和發(fā)送時不被非法用戶的篡改。該標準以低功耗、低速率傳輸、低成本為目標，旨在為個人或者家庭范圍內以及不同設備間的低速互聯(lián)提供了統(tǒng)一的標準，目前正在發(fā)展中 [17]。無線傳感網節(jié)點體積小、存儲能量有限。無線傳感網的搭建是用戶針對需求進行部署的，因此網絡的運行是用戶進行操作和指令下發(fā)的。 4 第二章 無線傳感網以及安全概述 本章結合 《傳感器網絡 信息安全通 用技術規(guī)范》， 從當前傳感網的安全威脅、安全策略以及安全目標出發(fā)，提出了無線傳感網安全測試需求以及重要意義。 第四章是在前三章的基礎上，設計了無線傳感網安全測試系統(tǒng)，首先從系統(tǒng)目標出發(fā)，對提出了傳感網安全測試系統(tǒng)的目標要求；接著從無線傳感網安全測試系統(tǒng)的總體設計出發(fā)，對系統(tǒng)平臺的總體設計、總體功能結構設計、中心處理模塊以及安全測試模塊流程做出了詳細的規(guī)劃。 第一章主要是緒論部分，主要是介紹了無線 傳感網 的背景和本課題的研究意義。 當前安全需求越來越復雜，安全協(xié)議也變得尤為重要，如何進行安全性的檢測，確保安全的實現(xiàn)符合預期目標成為了眾多研究者爭相研究的對象。課題是對無線傳感網安全功能以及安全一致性的測試，為傳感網的安全提供可靠的測試方法，用于測試傳感網的安全功能，驗證傳感網的安全功能實現(xiàn)過程是否符合預期的要求，并針對最終的測試結果對系統(tǒng)的安全劃分等級。另一方面，節(jié)點在通信方面、存儲力、數(shù)據(jù)運算、物理安全方面的局限性，因此 它的 分析報文的能力、資源分配能力等都相對薄弱，有限的 通訊能力使得安全問題的解決成為一個巨大的挑戰(zhàn)。無線 傳感網 最初的 研究主要是集中于研究節(jié)點與節(jié)點之間相對復雜的通信。 測試結果表明，本系統(tǒng)能夠測試安全功能的實現(xiàn)過 程是否與預期目標一樣，并且 在測試結束之后，能夠根據(jù)測試結果對測試系統(tǒng)的安全等級給出明確的劃分，對傳感網的安全測試有指導性的意義。 《信息技術 傳感器網絡信息安全通用技術規(guī)范》從傳感網的安全威脅出發(fā)，提出了適用于 傳感網 的安全功能，并對網絡進行了安全等級的劃分。 闡述了安全測試方法原則，通過對抽象測試集的形 式化描述和結構分析以及傳感網安全模型中安全目標、安全機制等的分析，詳細制定和設計了適用于無線傳感網的安全測試抽象集。物聯(lián)網是以無線 傳感網 技術為基礎來實現(xiàn)的，無線 傳感網 以其廣泛的應用前景，是目前在國際上最為矚目的研究領域。包括智能家居、環(huán)境檢測等。 目前經過眾多研究者的不懈努力，出現(xiàn)了多種算法和協(xié)議來保證無線傳感網的安全，在密碼算法的方面一般使用的是 對稱密碼算法，但是為了更安全的保護密碼安全，也可以 2 使用低開銷的非對稱密碼算法 [6][7][8]，再者，針對無線傳感網獨有的特點，研究者提出了專門的安全協(xié)議，如 A. Perring 等提出的傳感網絡的安全協(xié)議 SPINS，主要包括 μ TESLA 和 SNEP 兩種 [9][10]。 在我國，許多高校也加入了研究無線傳感網的大軍。齊躍提出了傳感網的安全協(xié)議測試框架。無線傳感網的概述分別從傳感網的特點、傳感網體系結構和傳感網的協(xié)議規(guī)范三方面給出簡要的說明。本測試系統(tǒng)在測試完成之后，會形成詳細的安全 測試報告和安全等級報告，因此在 小節(jié)中，給出了各安全等級劃分要素的具體分級要求。但是事實上兩者也有很多不相似的地方。 自組織。 5 無線傳感網體系結構 目前，隨著對 傳感網 不斷深入地研究，基于分層的網絡協(xié)議體系結構獲得大眾的認可。 WIAPA 協(xié)議的設計和開發(fā)遵循了 ISO/OSI 七層結構模型，在實際標準的制定中，定義了數(shù)據(jù)鏈路子層、網絡層以及應用層 [18]。 無線傳感網安全概述 無線傳感網作為計算機發(fā)展的新型產業(yè)，具有相當廣闊的前景，對于無線傳感網的研究，不僅僅是研究它的應用，同時需要顧忌到復雜的應用環(huán)境對無線網絡所帶來的負面影響，其中最重要的是考慮其安全問題。在儲存和發(fā)送的過程中保證所有的敏感信息不被篡改和破壞；另一方面，消息的接收方應該具備判斷信息是否被更改的功能。數(shù)據(jù)可鑒別主要是確保數(shù)據(jù)信息的來源是可信的，并且數(shù)據(jù)內容沒有篡改和偽造。監(jiān)聽、偽造、阻斷和篡改是網絡攻擊的四種基本的行為，如圖 所示。 ① 女巫攻擊 (Sybil Attack) Sybil攻擊是在 P2P 網絡中第一次被 Douceur 提出來的 [23]。 ④ 選擇性轉發(fā) 惡意節(jié)點可以概率性的轉發(fā)和丟棄特定消息，使數(shù)據(jù)包不能到達目的地，導致網絡陷入混亂狀態(tài) [25]。網絡通信為上層應用提供服務，基于網絡的安全策略主要由安全路由、密鑰管理和訪問控制等一系列安全機制實現(xiàn) 。 ② 容侵容錯 主要是指受到攻擊時，網絡能夠容忍故障，對網絡的整體運行沒有較大的改變，保障網絡中的關鍵信息的完整性以及保密性，使網絡不因為入侵而導致整體的癱瘓。 無線傳感網安全測試需求 小節(jié) 參考 PG6 標準中對于傳感網遭受安全威脅時，可根據(jù)不同的安全策略選取不同的安全機制實現(xiàn)網絡的安全目標。所以，在無線 傳感網 中，路由節(jié)點和協(xié)調器節(jié)點具有較強的資源與處理能力 。 幀安全機制 幀安全機制主要是描述網絡層幀結構載荷的保密性。對于 PG6 標準中定義的安全機制，盡管這些機制能夠在一定程度上保證網絡的安全，但是實現(xiàn)方式是否正確，功能是否完備還需要進一步驗證，這便是安全測試的目的，也是本文系統(tǒng)設計的主要目標。再者，協(xié)議本身是數(shù)據(jù)描述以及作用于上述數(shù)據(jù)描述的行為描述的抽象，所以協(xié)議一致性的測試又能分為兩種：對數(shù)據(jù)流的測試和控制流的測試。如圖 所示為測試的幾種分類。該標準將一致性要求分為兩種：動態(tài)一致性要求和靜態(tài)一致性要求。 ? 行為測試提供了盡可能全面的測試。本地測試和外部測試的共同點就是 LT 和 IUT 存在于不同的系統(tǒng)。 L TN 1 層 服 務 提 供 者I U TU TSUTT C PP C O A S P sA S P sL TN 1 層 服 務 提 供 者I U TP D U sU TT C PT e s t S y s t e mS U TP D U sP C OA S P sP C OA S P sP C O 圖 3. 3 本地測試法 圖 3. 4 分布測 試法 2) 分布測試法 如圖 所示，分布式測試的結構與本地測試結構大致一樣，一個在測試器下面，另一個則在 IUT 的上服務邊界。遠程測試方法并不需要訪問 IUT 的上邊界，也不需要顯式的TCP。當前，對于安全測試的理論并沒有成熟的理論和標準來做統(tǒng)一的規(guī)定，但是安全協(xié)議測試也屬于協(xié)議測試的一種，因此基本的協(xié)議模型與一致性測試理論對于安全測試同樣有著指導性的意義。所以 研究協(xié)議中安全功能的實現(xiàn)以及實現(xiàn)方式是否與預期一致，對于現(xiàn)如今的傳感網絡來說也是相當重要。它的測試方法主要是模擬攻擊者，通過已被發(fā)現(xiàn)的網絡攻擊，模擬攻擊模型對網絡進行安全測試。 語法變異的現(xiàn)象在現(xiàn)實生活中也是一種很自然的現(xiàn)象，我們可以對它進行深入研究，并發(fā)現(xiàn)其內在的規(guī)律，對于傳感網的安全測試也具有一定的啟發(fā)。 針對不同的需求設計的安全測試系統(tǒng)，包括有靈活執(zhí)行不同的安全策略、測試結果的分析、測試報告的生成及打印。具體的案例生成過程 小節(jié)中詳解。 無線傳感網安全測試系統(tǒng)總體設計 安全測試系統(tǒng)設計概述 無線傳感網安全測試系統(tǒng)支持 Inter 用戶通過瀏覽器訪問測試平臺，能夠在線完成測試流程。安全測試設備包括標準測試設備和全信道安全分析儀，被測設備包括被測協(xié)調器、被測路由器和被測終端