【正文】 安全測(cè)試設(shè)備包括標(biāo)準(zhǔn)測(cè)試設(shè)備和全信道安全分析儀，被測(cè)設(shè)備包括被測(cè)協(xié)調(diào)器、被測(cè)路由器和被測(cè)終端設(shè)備。具體的案例生成過(guò)程 小節(jié)中詳解。 語(yǔ)法變異的現(xiàn)象在現(xiàn)實(shí)生活中也是一種很自然的現(xiàn)象，我們可以對(duì)它進(jìn)行深入研究，并發(fā)現(xiàn)其內(nèi)在的規(guī)律，對(duì)于傳感網(wǎng)的安全測(cè)試也具有一定的啟發(fā)。所以 研究協(xié)議中安全功能的實(shí)現(xiàn)以及實(shí)現(xiàn)方式是否與預(yù)期一致，對(duì)于現(xiàn)如今的傳感網(wǎng)絡(luò)來(lái)說(shuō)也是相當(dāng)重要。遠(yuǎn)程測(cè)試方法并不需要訪問(wèn) IUT 的上邊界，也不需要顯式的TCP。本地測(cè)試和外部測(cè)試的共同點(diǎn)就是 LT 和 IUT 存在于不同的系統(tǒng)。該標(biāo)準(zhǔn)將一致性要求分為兩種：動(dòng)態(tài)一致性要求和靜態(tài)一致性要求。再者，協(xié)議本身是數(shù)據(jù)描述以及作用于上述數(shù)據(jù)描述的行為描述的抽象，所以協(xié)議一致性的測(cè)試又能分為兩種：對(duì)數(shù)據(jù)流的測(cè)試和控制流的測(cè)試。 幀安全機(jī)制 幀安全機(jī)制主要是描述網(wǎng)絡(luò)層幀結(jié)構(gòu)載荷的保密性。 無(wú)線傳感網(wǎng)安全測(cè)試需求 小節(jié) 參考 PG6 標(biāo)準(zhǔn)中對(duì)于傳感網(wǎng)遭受安全威脅時(shí)，可根據(jù)不同的安全策略選取不同的安全機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)的安全目標(biāo)。網(wǎng)絡(luò)通信為上層應(yīng)用提供服務(wù)，基于網(wǎng)絡(luò)的安全策略主要由安全路由、密鑰管理和訪問(wèn)控制等一系列安全機(jī)制實(shí)現(xiàn) 。 ① 女巫攻擊 (Sybil Attack) Sybil攻擊是在 P2P 網(wǎng)絡(luò)中第一次被 Douceur 提出來(lái)的 [23]。數(shù)據(jù)可鑒別主要是確保數(shù)據(jù)信息的來(lái)源是可信的，并且數(shù)據(jù)內(nèi)容沒有篡改和偽造。 無(wú)線傳感網(wǎng)安全概述 無(wú)線傳感網(wǎng)作為計(jì)算機(jī)發(fā)展的新型產(chǎn)業(yè)，具有相當(dāng)廣闊的前景，對(duì)于無(wú)線傳感網(wǎng)的研究，不僅僅是研究它的應(yīng)用，同時(shí)需要顧忌到復(fù)雜的應(yīng)用環(huán)境對(duì)無(wú)線網(wǎng)絡(luò)所帶來(lái)的負(fù)面影響，其中最重要的是考慮其安全問(wèn)題。 5 無(wú)線傳感網(wǎng)體系結(jié)構(gòu) 目前，隨著對(duì) 傳感網(wǎng) 不斷深入地研究，基于分層的網(wǎng)絡(luò)協(xié)議體系結(jié)構(gòu)獲得大眾的認(rèn)可。但是事實(shí)上兩者也有很多不相似的地方。無(wú)線傳感網(wǎng)的概述分別從傳感網(wǎng)的特點(diǎn)、傳感網(wǎng)體系結(jié)構(gòu)和傳感網(wǎng)的協(xié)議規(guī)范三方面給出簡(jiǎn)要的說(shuō)明。 在我國(guó)，許多高校也加入了研究無(wú)線傳感網(wǎng)的大軍。包括智能家居、環(huán)境檢測(cè)等。 闡述了安全測(cè)試方法原則，通過(guò)對(duì)抽象測(cè)試集的形 式化描述和結(jié)構(gòu)分析以及傳感網(wǎng)安全模型中安全目標(biāo)、安全機(jī)制等的分析，詳細(xì)制定和設(shè)計(jì)了適用于無(wú)線傳感網(wǎng)的安全測(cè)試抽象集。 測(cè)試結(jié)果表明，本系統(tǒng)能夠測(cè)試安全功能的實(shí)現(xiàn)過(guò) 程是否與預(yù)期目標(biāo)一樣，并且 在測(cè)試結(jié)束之后，能夠根據(jù)測(cè)試結(jié)果對(duì)測(cè)試系統(tǒng)的安全等級(jí)給出明確的劃分，對(duì)傳感網(wǎng)的安全測(cè)試有指導(dǎo)性的意義。另一方面，節(jié)點(diǎn)在通信方面、存儲(chǔ)力、數(shù)據(jù)運(yùn)算、物理安全方面的局限性，因此 它的 分析報(bào)文的能力、資源分配能力等都相對(duì)薄弱，有限的 通訊能力使得安全問(wèn)題的解決成為一個(gè)巨大的挑戰(zhàn)。 當(dāng)前安全需求越來(lái)越復(fù)雜，安全協(xié)議也變得尤為重要，如何進(jìn)行安全性的檢測(cè)，確保安全的實(shí)現(xiàn)符合預(yù)期目標(biāo)成為了眾多研究者爭(zhēng)相研究的對(duì)象。 第四章是在前三章的基礎(chǔ)上，設(shè)計(jì)了無(wú)線傳感網(wǎng)安全測(cè)試系統(tǒng)，首先從系統(tǒng)目標(biāo)出發(fā)，對(duì)提出了傳感網(wǎng)安全測(cè)試系統(tǒng)的目標(biāo)要求；接著從無(wú)線傳感網(wǎng)安全測(cè)試系統(tǒng)的總體設(shè)計(jì)出發(fā)，對(duì)系統(tǒng)平臺(tái)的總體設(shè)計(jì)、總體功能結(jié)構(gòu)設(shè)計(jì)、中心處理模塊以及安全測(cè)試模塊流程做出了詳細(xì)的規(guī)劃。無(wú)線傳感網(wǎng)的搭建是用戶針對(duì)需求進(jìn)行部署的，因此網(wǎng)絡(luò)的運(yùn)行是用戶進(jìn)行操作和指令下發(fā)的。該標(biāo)準(zhǔn)以低功耗、低速率傳輸、低成本為目標(biāo)，旨在為個(gè)人或者家庭范圍內(nèi)以及不同設(shè)備間的低速互聯(lián)提供了統(tǒng)一的標(biāo)準(zhǔn)，目前正在發(fā)展中 [17]。確保在傳輸以及存儲(chǔ)過(guò)程中，數(shù)據(jù)信息不能泄露給沒有權(quán)限的用戶。安全管理主要有安全引導(dǎo)和安全維護(hù)兩個(gè)方面。這就在整個(gè)網(wǎng)絡(luò)中形成一個(gè)路由黑洞，對(duì)網(wǎng)絡(luò)的破壞 能力相當(dāng)大。 2)基于網(wǎng)絡(luò)的安全策略 由節(jié)點(diǎn)構(gòu)成的無(wú)線 傳感網(wǎng) ，其安全策略傾向于保障整體網(wǎng)絡(luò)的可用性，故其安全策略包括以下內(nèi)容： ① 安全路由 路由協(xié)議主要是服務(wù)于 WSN 網(wǎng)絡(luò)層 。 安 全 目 標(biāo)安 全 機(jī) 制密 鑰 管 理 機(jī) 制訪 問(wèn) 控 制 機(jī) 制鑒 別 機(jī) 制路 由 安 全安 全 數(shù) 據(jù) 融 合加 密 機(jī) 制審 計(jì) 機(jī) 制幀 安 全 機(jī) 制協(xié) 調(diào) 器 變 換 的 安 全機(jī) 制面 向 節(jié) 點(diǎn) 的 安 全策 略面 向 數(shù) 據(jù) 的 安 全策 略面 向 網(wǎng) 絡(luò) 的 安 全策 略數(shù) 據(jù) 保 密 性數(shù) 據(jù) 完 整 性數(shù) 據(jù) 新 鮮 性可 用 性可 控 性抗 干 擾 性可 鑒 別 性數(shù)據(jù)威脅網(wǎng)絡(luò)威脅節(jié)點(diǎn)威脅 安 全 威 脅安 全 策 略傳 感 網(wǎng) 安 全 環(huán) 境 圖 2. 4 傳感網(wǎng)安全參考模型 以下是對(duì)傳感網(wǎng)幾個(gè)主要安全機(jī)制的介紹： 密鑰管理 密鑰管理 機(jī)制 是 無(wú)線 傳感網(wǎng) 安全機(jī)制的基礎(chǔ) ，也是實(shí)現(xiàn)傳感網(wǎng)安全的重要的基礎(chǔ) 。但是對(duì)于安全機(jī)制的實(shí)現(xiàn)是否符合預(yù)期目標(biāo)，并且實(shí)現(xiàn)的方式是否正確并沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)。 不同于主動(dòng)測(cè)試，被動(dòng)測(cè)試是通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行采集數(shù)據(jù)，通過(guò)分析數(shù)據(jù)報(bào)文來(lái)判斷協(xié)議是否存在錯(cuò)誤。 ISO/IEC 96461 將測(cè)試區(qū)分為四種類型： ? 能力測(cè)試，是用來(lái)檢測(cè) IUT 可觀察的 行為是否與靜態(tài)一致性要求和實(shí)現(xiàn)一致性聲明（ ICS）的能力相符合，以弄清能觀察到的 ICS 陳述能力。 LT、 UT、和 IUT 在同一系統(tǒng)中實(shí)現(xiàn)。一致性評(píng)估過(guò)程的流程圖如圖 所示。 安全性測(cè)試主要是用來(lái)驗(yàn)證協(xié)議的安全性，并且通過(guò)驗(yàn)證過(guò)程發(fā)現(xiàn)協(xié)議中的不足。因此，本章設(shè)計(jì)了一個(gè)分布式的傳感網(wǎng)安全測(cè)試系統(tǒng)，對(duì)系統(tǒng)的總體構(gòu)架、功能模塊和處理流程進(jìn)行了研究。該報(bào)告分為安全等級(jí)報(bào)告和安 全測(cè)試結(jié)果報(bào)告兩種。安全分析儀能提供協(xié)議解碼、性能評(píng)估、網(wǎng)絡(luò)分析、故障診斷等功能。服務(wù)器對(duì)功能測(cè)試結(jié)果進(jìn)行分析并生成規(guī)范一致性測(cè)試報(bào)告，同時(shí)結(jié)合功能測(cè)試結(jié)果和安全等級(jí)強(qiáng)度要求，生成安全等級(jí)分析報(bào)告?？刂乒芾碇行呢?fù)責(zé)測(cè)試的總體運(yùn)行，包括測(cè)試的所有過(guò)程以及測(cè)試代理的運(yùn)行。常用的軟件安全測(cè)試的方法有滲透測(cè)試、形式化測(cè)試等傳統(tǒng)方 法。因此，如何保證規(guī)范實(shí)現(xiàn)的正確性，并且實(shí)現(xiàn)的結(jié)果與預(yù)期相一致變得相當(dāng)重要。 3) 協(xié)調(diào)測(cè)試法 協(xié)調(diào)測(cè)試法只有一個(gè) PCO，位于 LT 下面。抽象測(cè)試方法通過(guò)輸入輸出來(lái)進(jìn)行的，其中 輸入是可控制的，而輸出是通過(guò)觀察 IUT 來(lái)進(jìn)行的。 協(xié)議的安全性研究還處于初級(jí)階段，一方面沒有成熟的理論，另一方面也沒有一個(gè)統(tǒng)一的測(cè)試標(biāo)準(zhǔn)，所以協(xié)議安全測(cè)試方法的研究還有很長(zhǎng)的一段路要走。 一致性測(cè)試概述 協(xié)議測(cè)試的概念 協(xié)議測(cè)試一般包括一致性測(cè)試、互操作性測(cè)試以及性能測(cè)試 [14]。 安全數(shù)據(jù)融合 數(shù)據(jù)融合安全機(jī)制以保障數(shù)據(jù)保密性、數(shù)據(jù)傳輸安全性及數(shù)據(jù)融合的準(zhǔn)確性為目的，通過(guò)加密、安全路由、融合算法的設(shè)計(jì)、節(jié)點(diǎn)間的交互證明、節(jié)點(diǎn)采集信息的抽樣、采集信息的簽名等機(jī)制達(dá)成。 ⑤ 能量策略 因?yàn)闊o(wú)線傳感器節(jié)點(diǎn)體積微小，通常采用功率較小的電池供電，因此能量是WSN 最為受限的資源 [29]。 ③ 同步 去同步指的就是攻擊者利用已經(jīng)建立好的連接，發(fā)送虛假有錯(cuò)的報(bào)文給接收端，接收端接收到之后，會(huì)浪費(fèi)資源去檢查原本沒有錯(cuò)誤的報(bào)文，甚至可能會(huì)直接丟棄報(bào)文。 ②擁塞攻擊 無(wú)線傳感網(wǎng)是在無(wú)線環(huán)境下進(jìn)行數(shù)據(jù)采集等，攻擊者獲取工作區(qū)域的中心通信頻率，并且利用大功率的電磁不斷干擾此頻段，能夠影響整個(gè)網(wǎng)絡(luò)無(wú)法正常工作。數(shù)據(jù)的新鮮性一般分為兩種：強(qiáng)新鮮性和弱新鮮性。 機(jī)密性：保證網(wǎng)絡(luò)資源等的合法使用。由于這種情況的發(fā)生，就需要 傳感網(wǎng) 具備自組織的能力，在用戶無(wú)法干預(yù)的時(shí)候，能夠進(jìn)行網(wǎng)絡(luò)資源的分配和管理。本方案的測(cè)試是 WIAPA 協(xié)議中安全機(jī)制的實(shí)現(xiàn)，同時(shí)給出了實(shí)際應(yīng)用測(cè)試過(guò)程中幾個(gè)典型的安全測(cè)試流程，最后給出了整個(gè)系統(tǒng)搭建的實(shí)體圖，并通過(guò) Web 界面實(shí)時(shí)顯示了系統(tǒng)的測(cè)試驗(yàn)證結(jié)果。 目前雖然通信協(xié)議的一致性測(cè)試已有可參考的測(cè)試標(biāo)準(zhǔn)，但是由于無(wú)線傳感網(wǎng)的局限性，需要一套專門針對(duì)于無(wú)線傳感網(wǎng)的測(cè)試驗(yàn)證平臺(tái)，對(duì)傳感網(wǎng)的安全性進(jìn)行相關(guān)的測(cè)試和驗(yàn)證，為傳感網(wǎng)的安全協(xié)議測(cè)試標(biāo)準(zhǔn)做鋪墊。所以，我們需要搭建真實(shí)的 WSN安全測(cè)試系統(tǒng)，用來(lái)實(shí)時(shí)的反映 WSN 的安全是否符合預(yù)期設(shè)定 [11]。 和傳統(tǒng)網(wǎng)絡(luò)有所不同的是，無(wú)線傳感網(wǎng)有自己獨(dú)特的特征，它的節(jié)點(diǎn)較多、網(wǎng)絡(luò)拓?fù)淇勺儭⒐?jié)點(diǎn)資源較少等 [2]。 大學(xué)碩士學(xué)位論文 論文題目 無(wú)線傳感網(wǎng)安全測(cè)試技術(shù)研究與系統(tǒng)設(shè)計(jì) 英文題目 Study of Testing Technology for WSN Security and Design of The Testing Systems I 摘 要 作為計(jì)算機(jī)發(fā)展的新型產(chǎn)業(yè)，無(wú)線 傳感網(wǎng) 有著廣闊的應(yīng)用前景，是目前備受關(guān)注的研究領(lǐng)域。 研究背景及意義 無(wú)線 傳感網(wǎng) （ Wireless Sensor Network， WSN）是 由眾多傳感器節(jié)點(diǎn)組成的，這些節(jié)點(diǎn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是可以變化的，它們自發(fā)的或者利用多跳方式構(gòu)成無(wú)線網(wǎng)絡(luò)，無(wú)線傳感網(wǎng)的目標(biāo) 是 相互協(xié)調(diào)的感應(yīng)、收集、分析 和傳輸 傳感器節(jié)點(diǎn)負(fù)責(zé)監(jiān)控區(qū)域的數(shù)據(jù)信息 ，并 將檢測(cè)信息上傳給服務(wù)器提供給觀測(cè)者使用 。然而事實(shí)是，無(wú)線傳感網(wǎng)在運(yùn)行過(guò)程中，或多或少都會(huì)受到周圍環(huán)境的影響，會(huì)直接影響網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備導(dǎo)致出現(xiàn)故障。 我國(guó)的標(biāo)準(zhǔn) GB/T 《信息技術(shù)開放系統(tǒng)互聯(lián)一致性測(cè)試方法和 框架》 [15]定義了協(xié)議的一致性測(cè)試方法和框架，用于測(cè)試一個(gè)聲稱實(shí)現(xiàn)了某一個(gè)協(xié)議的產(chǎn)品與其協(xié)議標(biāo)準(zhǔn)的一致性，為一致性測(cè)試系統(tǒng) 3 的實(shí)現(xiàn)提供了指導(dǎo)。從軟硬件平臺(tái)出發(fā)，對(duì)系統(tǒng)網(wǎng)絡(luò)功能測(cè)試進(jìn)行了驗(yàn)證分析。另一方面，傳感網(wǎng)可以被應(yīng)用到不同的環(huán)境中，節(jié)點(diǎn)的加入、離開或死亡都是無(wú)法操縱的。主要有： 系統(tǒng)的可用性：已授權(quán)實(shí)體一旦需要就 能夠訪問(wèn)和使用數(shù)據(jù)和資源。節(jié)點(diǎn)的重放攻擊是導(dǎo)致新鮮性的一個(gè)原因，另一個(gè)則是由于網(wǎng)絡(luò)的多路徑造成的延時(shí)，因而導(dǎo)致報(bào)文收發(fā)的時(shí)間順序顛倒造成的 [19]。主要有以下幾種形式： 1)物理層攻擊 8 ①傳感節(jié)點(diǎn)的物理俘獲 部署于開放區(qū)域的節(jié)點(diǎn)，一方面很容易受到自然災(zāi)害等不可抗力的破壞，使得節(jié)點(diǎn)無(wú)法正常工作；其次單個(gè)暴露的節(jié)點(diǎn)都是潛在的危險(xiǎn)，很有可能被攻擊者利用，使得攻擊者可以輕易的對(duì)節(jié)點(diǎn)進(jìn)行攻擊破壞，造成網(wǎng)絡(luò)癱瘓等。泛洪攻擊主要是攻擊者不斷發(fā)起連接請(qǐng)求，這樣導(dǎo)致另一端接收節(jié)點(diǎn)的資源很快損耗殆盡或者達(dá)到最大限度的接收數(shù)目，最終導(dǎo)致合法的請(qǐng)求被忽略。 ④ 負(fù)載均衡策略 在保障網(wǎng)絡(luò)連接能力以及網(wǎng)絡(luò)區(qū)域范圍一定的前提下，通過(guò)均衡有效的使用資源可以提高網(wǎng)絡(luò)的通信效率，最大限度的延長(zhǎng)網(wǎng)絡(luò)生存周期。 WSN 的安全性和可用性在一定程度上將直接由安全的路由機(jī)制決定， 實(shí)現(xiàn)安全路由，保證網(wǎng)絡(luò)在攻擊存在的情況下，仍然可以進(jìn)行路由的發(fā)現(xiàn)、維護(hù)是非常有意義的。目前協(xié)議測(cè)試主要是對(duì)功能的測(cè)試。協(xié)議的安全測(cè)試主要是用來(lái)驗(yàn)證協(xié)議的安全是否符合標(biāo)準(zhǔn)，另一方面來(lái)說(shuō)通過(guò)安全測(cè)試，也可以發(fā)現(xiàn)協(xié)議中沒有被發(fā)覺的錯(cuò)誤。 協(xié)議一致性測(cè)試方法 協(xié)議一致性測(cè)試的有多種方法，一般說(shuō)來(lái)均是使用基于 OSI 參考模型來(lái)進(jìn)行抽象測(cè)試。 LT 和 UT 之間的協(xié)調(diào)是通過(guò) IUT 實(shí)現(xiàn)，因此測(cè)試最終的結(jié)果是查看 LT 觀測(cè)到的行為。目前大多數(shù)的規(guī)范使用的一般都是自然語(yǔ)言的描述，因此在對(duì)其的理解上，研究者會(huì)有各自不同的理解，這樣容易導(dǎo)致規(guī)范的使用和實(shí) 現(xiàn)的過(guò)程中出現(xiàn)不同的結(jié)果。對(duì)于協(xié)議異常測(cè)試，目前并沒有公認(rèn)的標(biāo)準(zhǔn)。本文所設(shè)計(jì)的安全測(cè)試系統(tǒng)主要由一個(gè)控制管理中心和多個(gè)測(cè)試代理設(shè)備構(gòu)成。測(cè)試端作為安全等級(jí)和功能設(shè)備類型選擇接口，安全測(cè)試服務(wù)器根據(jù)安全等級(jí)和設(shè)備類型自動(dòng)生成安全功能測(cè)試套，并接收系統(tǒng)執(zhí)行測(cè)試后的結(jié)果。 22 3) 模擬攻擊節(jié)點(diǎn)用于對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，模擬網(wǎng)絡(luò)受攻擊的環(huán)境。安全等級(jí)報(bào)告可根據(jù)用戶預(yù)先設(shè)定的等級(jí)來(lái)判斷當(dāng)前被測(cè)設(shè)備是 20 否滿足設(shè)定的安全等級(jí)；測(cè)試結(jié)果報(bào)告可查看當(dāng)前所選案例的測(cè)試結(jié)果。該系統(tǒng)非常適用于協(xié)議功能測(cè)試的開發(fā)和執(zhí)行。根據(jù)測(cè)試的先驗(yàn)依據(jù)可分為協(xié)議攻擊測(cè)試和協(xié)議異常測(cè)試 [48]。 17 開 始測(cè) 試 準(zhǔn) 備靜 態(tài) 一 致 性 要 求 、實(shí) 現(xiàn) 一 致 性 聲 明靜 態(tài) 一 致 性 評(píng) 估抽 象 測(cè) 試 套 件S C S / P I X I T 、 協(xié) 議規(guī) 范S C S測(cè) 試 準(zhǔn) 備測(cè) 試 選 擇 和參 數(shù) 化參 數(shù) 化 的 可 執(zhí) 行 測(cè)試 集測(cè) 試 活 動(dòng)結(jié) 果 分 析測(cè) 試 結(jié) 果靜 態(tài) 一 致 性 結(jié) 果生 成 測(cè) 試 報(bào) 告結(jié) 束 圖 3. 7 一致性測(cè)試評(píng)估流程圖 安全測(cè)試?yán)碚摵头椒? 上一節(jié)中對(duì)協(xié)議一致性測(cè)試的理論以及方法作了簡(jiǎn)要的介紹。本地測(cè)試法都有可供訪問(wèn)的 PCO，在測(cè)試過(guò)程中，本地測(cè)試的顯著特點(diǎn)為不需要底層通信的支撐。 ? 一致性解析測(cè)試，該類型是一種非標(biāo)準(zhǔn)化的，針對(duì)某種可能存在的專用系統(tǒng)的測(cè)試。被動(dòng)測(cè)試相對(duì)比較簡(jiǎn)單，它不需要建立測(cè)試集，并且支持在線測(cè)試而無(wú)需人工干預(yù) [43]。因此，需要一個(gè)適用于無(wú)線傳感網(wǎng)的安全測(cè)試系統(tǒng)，來(lái)檢測(cè)安全功能的實(shí)現(xiàn)是否達(dá)到要求。 分析現(xiàn)有密鑰管理機(jī)制主要有，由安全管理分發(fā)的密鑰管理機(jī)制 [31][32][33]，密鑰預(yù)存儲(chǔ) [34][35][36][37]，動(dòng)態(tài)密鑰管理機(jī)制 [38][39]和公鑰體制