【文章內(nèi)容簡介】 的安全協(xié)議，如 A. Perring 等提出的傳感網(wǎng)絡(luò)的安全協(xié)議 SPINS，主要包括 μ TESLA 和 SNEP 兩種 [9][10]。 為 評估 WSN 的通信情況，人們開始采用各種各樣的方法來對網(wǎng)絡(luò)協(xié)議進(jìn)行測試和評估。然而事實(shí)是，無線傳感網(wǎng)在運(yùn)行過程中，或多或少都會受到周圍環(huán)境的影響，會直接影響網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備導(dǎo)致出現(xiàn)故障。所以，我們需要搭建真實(shí)的 WSN安全測試系統(tǒng)，用來實(shí)時的反映 WSN 的安全是否符合預(yù)期設(shè)定 [11]。 本課題來源于“新一代寬帶無線通信網(wǎng)”科技重大專項(xiàng) —信息匯聚傳感器網(wǎng)絡(luò)綜合測試與驗(yàn)證評估環(huán)境。課題是對無線傳感網(wǎng)安全功能以及安全一致性的測試，為傳感網(wǎng)的安全提供可靠的測試方法，用于測試傳感網(wǎng)的安全功能，驗(yàn)證傳感網(wǎng)的安全功能實(shí)現(xiàn)過程是否符合預(yù)期的要求，并針對最終的測試結(jié)果對系統(tǒng)的安全劃分等級。 國內(nèi)外研究狀況 無線傳感網(wǎng)的研究已經(jīng)越來越受到關(guān)注，很多機(jī)構(gòu)都對其進(jìn)行相關(guān)的研究，隨著時間的推移，傳感節(jié)點(diǎn)的體積相對越來越小，功耗也變得較低，組網(wǎng)起來也相對靈活和穩(wěn)定。例如美國設(shè)計 的“塵埃”傳感器節(jié)點(diǎn)，它只有顆粒那么小，而且能夠保證傳感器節(jié)點(diǎn)一次可以工作 5 年以上 [12]。 在我國，許多高校也加入了研究無線傳感網(wǎng)的大軍。 國外一些著名大學(xué)如麻省理工學(xué)院、加州大學(xué)、俄亥俄州大學(xué)、新加坡國立大學(xué)等髙校都已經(jīng)展開了無線 傳感網(wǎng) 方面的研究 。 一些知名企業(yè)如 Crossbow、 Ti、 Atmd 公司也投入了極大的資金和科研力量 ， 為無線 傳感網(wǎng) 的商業(yè)化打下了基礎(chǔ) [13]。國內(nèi)一些研究機(jī)構(gòu)如中科院研究 所、清華大學(xué) 、北京郵電大學(xué)、哈爾濱工業(yè)大學(xué)和香港科技大學(xué)等都取得了一些成果。 WSN 安全協(xié)議的實(shí)現(xiàn)過程離不開協(xié)議測試 ， 協(xié)議測試是為了對協(xié)議的實(shí)現(xiàn)進(jìn)行檢驗(yàn) ，借此 發(fā)現(xiàn)實(shí)現(xiàn)過程中的 不足 [14]。 當(dāng)前安全需求越來越復(fù)雜，安全協(xié)議也變得尤為重要，如何進(jìn)行安全性的檢測，確保安全的實(shí)現(xiàn)符合預(yù)期目標(biāo)成為了眾多研究者爭相研究的對象。許多的發(fā)達(dá)國家開始致力于對協(xié)議測試的研究。 吉世瑞提出了一種安全協(xié)議的測試方法，基于協(xié)議測試的基礎(chǔ)上，設(shè)計了自適應(yīng)的黑盒測試方法。齊躍提出了傳感網(wǎng)的安全協(xié)議測試框架。它是一種多屬性的模型，主要是通過攻擊測試來對協(xié)議的安全性做定性的分析。 我國的標(biāo)準(zhǔn) GB/T 《信息技術(shù)開放系統(tǒng)互聯(lián)一致性測試方法和 框架》 [15]定義了協(xié)議的一致性測試方法和框架，用于測試一個聲稱實(shí)現(xiàn)了某一個協(xié)議的產(chǎn)品與其協(xié)議標(biāo)準(zhǔn)的一致性，為一致性測試系統(tǒng) 3 的實(shí)現(xiàn)提供了指導(dǎo)。 目前雖然通信協(xié)議的一致性測試已有可參考的測試標(biāo)準(zhǔn)，但是由于無線傳感網(wǎng)的局限性，需要一套專門針對于無線傳感網(wǎng)的測試驗(yàn)證平臺，對傳感網(wǎng)的安全性進(jìn)行相關(guān)的測試和驗(yàn)證，為傳感網(wǎng)的安全協(xié)議測試標(biāo)準(zhǔn)做鋪墊。 研究內(nèi)容和論文結(jié)構(gòu) 論文總共有六章，下面對每一章節(jié)做出簡要的介紹。 第一章主要是緒論部分，主要是介紹了無線 傳感網(wǎng) 的背景和本課題的研究意義。這部分包含無線傳感網(wǎng)應(yīng)用的介 紹以及目前對于無線傳感網(wǎng)的研究現(xiàn)狀，同時對研究無線傳感網(wǎng)安全的必要性做出了簡要的說明，章節(jié)最后給出了本文總體結(jié)構(gòu)。 第二章主要是無線傳感網(wǎng)概述與安全研究。無線傳感網(wǎng)的概述分別從傳感網(wǎng)的特點(diǎn)、傳感網(wǎng)體系結(jié)構(gòu)和傳感網(wǎng)的協(xié)議規(guī)范三方面給出簡要的說明。傳感網(wǎng)安全的介紹分別從安全需求、安全威脅、安全策略三方面給出。最后分析了無線傳感網(wǎng)安全測試的測試需求。 第三章主要是介紹了傳感網(wǎng)的測試?yán)碚摷胺椒?，分別從協(xié)議一致性測試方法和安全性測試方法來進(jìn)行說明。安全測試是在協(xié)議測試的基礎(chǔ)上進(jìn)行的，也可以作為協(xié)議一致性測試的一種。 第四章是在前三章的基礎(chǔ)上，設(shè)計了無線傳感網(wǎng)安全測試系統(tǒng)，首先從系統(tǒng)目標(biāo)出發(fā)，對提出了傳感網(wǎng)安全測試系統(tǒng)的目標(biāo)要求；接著從無線傳感網(wǎng)安全測試系統(tǒng)的總體設(shè)計出發(fā)，對系統(tǒng)平臺的總體設(shè)計、總體功能結(jié)構(gòu)設(shè)計、中心處理模塊以及安全測試模塊流程做出了詳細(xì)的規(guī)劃。在這一章節(jié)中，著重于安全測試抽象集和測試代理軟件的設(shè)計。安全抽象測試集作為安全測試系統(tǒng)的核心部分，因此本文從傳感網(wǎng)安全模型出發(fā)，詳細(xì)闡述了安全抽象測試集的設(shè)計過程以及形式化描述；最后給出了安全測試的序列圖以及系統(tǒng)處理流程。本測試系統(tǒng)在測試完成之后，會形成詳細(xì)的安全 測試報告和安全等級報告，因此在 小節(jié)中，給出了各安全等級劃分要素的具體分級要求。 第五章是對第四章提出的無線傳感網(wǎng)安全測試系統(tǒng)進(jìn)行了測試驗(yàn)證。從軟硬件平臺出發(fā)，對系統(tǒng)網(wǎng)絡(luò)功能測試進(jìn)行了驗(yàn)證分析。本方案的測試是 WIAPA 協(xié)議中安全機(jī)制的實(shí)現(xiàn)，同時給出了實(shí)際應(yīng)用測試過程中幾個典型的安全測試流程，最后給出了整個系統(tǒng)搭建的實(shí)體圖，并通過 Web 界面實(shí)時顯示了系統(tǒng)的測試驗(yàn)證結(jié)果。 第六章主要是對本文工作進(jìn)行了總結(jié)，并且對于下一步的研究進(jìn)行了展望。 4 第二章 無線傳感網(wǎng)以及安全概述 本章結(jié)合 《傳感器網(wǎng)絡(luò) 信息安全通 用技術(shù)規(guī)范》， 從當(dāng)前傳感網(wǎng)的安全威脅、安全策略以及安全目標(biāo)出發(fā)，提出了無線傳感網(wǎng)安全測試需求以及重要意義。 無線傳感網(wǎng)綜述 無線傳感網(wǎng)特點(diǎn) 無線傳感網(wǎng)是一種全分布式的網(wǎng)絡(luò)系統(tǒng)，一般的網(wǎng)絡(luò)由數(shù)目較多的節(jié)點(diǎn)組成，并且隨機(jī)投放， 傳感網(wǎng) 節(jié)點(diǎn)的一般特征是具有通信模塊、能量模塊以及數(shù)據(jù)傳輸模塊，節(jié)點(diǎn)間的通信是靠無線模塊連接，自發(fā)的形成網(wǎng)絡(luò)結(jié)構(gòu)。作為新興網(wǎng)絡(luò)，無線傳感網(wǎng)與自組織多跳 Ad hoc 網(wǎng)絡(luò)有很多共同的特征，另一方面來說，我們可以將無線 傳感網(wǎng) 看成 Ad hoc 網(wǎng)絡(luò)的特例。但是事實(shí)上兩者也有很多不相似的地方。無線 傳感網(wǎng) 有以下主要特征： 分布式。無線 傳感網(wǎng) 節(jié)點(diǎn)間是通過分布式的算法進(jìn)行數(shù)據(jù)通信，節(jié)點(diǎn)能夠通過安全的方式加入和退出網(wǎng)絡(luò)。一般來說，單個節(jié)點(diǎn)的存在對網(wǎng)絡(luò)整體運(yùn)行沒有多大的影響。 以數(shù)據(jù)為中心。無線傳感網(wǎng)的搭建是用戶針對需求進(jìn)行部署的，因此網(wǎng)絡(luò)的運(yùn)行是用戶進(jìn)行操作和指令下發(fā)的。數(shù)據(jù)信息的采集是用戶搭建網(wǎng)絡(luò)的主要目的，節(jié)點(diǎn)間相互合作完成用戶的需求。數(shù)據(jù)融合在無線傳感網(wǎng)絡(luò)的應(yīng)用中被經(jīng)常使用，因此可以說 WSN 是基于數(shù)據(jù)為中心的網(wǎng)絡(luò)。 自組織。傳感網(wǎng)是隨機(jī)形 成網(wǎng)絡(luò)，節(jié)點(diǎn)間的相互關(guān)系是無法準(zhǔn)確預(yù)測的。另一方面，傳感網(wǎng)可以被應(yīng)用到不同的環(huán)境中，節(jié)點(diǎn)的加入、離開或死亡都是無法操縱的。由于這種情況的發(fā)生，就需要 傳感網(wǎng) 具備自組織的能力，在用戶無法干預(yù)的時候，能夠進(jìn)行網(wǎng)絡(luò)資源的分配和管理。 節(jié)點(diǎn)能力有限。無線傳感網(wǎng)節(jié)點(diǎn)體積小、存儲能量有限。通常傳感節(jié)點(diǎn)一旦部署成功之后，由于應(yīng)用環(huán)境的惡劣等原因，能量很容易消耗殆盡，然而節(jié)點(diǎn)能量對于整個網(wǎng)絡(luò)的運(yùn)行來說也是至關(guān)重要的，因此，如何有效的節(jié)約網(wǎng)絡(luò)能量以便于提高節(jié)點(diǎn)的生存周期是非常重要的。 如 UCBerkeley 的 Trio 系統(tǒng) [16]將傳統(tǒng)電池更換為太陽能供電，將運(yùn)行時間整整提高了 3 個多月。 5 無線傳感網(wǎng)體系結(jié)構(gòu) 目前，隨著對 傳感網(wǎng) 不斷深入地研究，基于分層的網(wǎng)絡(luò)協(xié)議體系結(jié)構(gòu)獲得大眾的認(rèn)可。如圖 所示。 網(wǎng) 絡(luò) 服 務(wù) 接 口時 間 同 步 節(jié) 點(diǎn) 定 位傳 輸 控 制路 由信 道接 入拓 撲生 成安全機(jī)制無 限 電 紅 外 線 光 波應(yīng) 用 層傳 輸 層網(wǎng) 絡(luò) 層數(shù) 據(jù) 鏈 路 層物 理 層QoS網(wǎng) 路 管 理 入 口能量管理網(wǎng)絡(luò)管理拓?fù)涔芾?圖 2. 1 網(wǎng)絡(luò)體系結(jié)構(gòu)圖 其中應(yīng)用層用于不同應(yīng)用軟件的管理，并提供接口供給不同的應(yīng)用使用；數(shù)據(jù)鏈路層負(fù)責(zé)數(shù)據(jù)流的多路復(fù)用、數(shù)據(jù)幀檢測、媒體接入和差錯控制。數(shù)據(jù)鏈路層保證了 傳感網(wǎng) 點(diǎn)到點(diǎn)的連接；網(wǎng)絡(luò)層負(fù)責(zé)路由的維護(hù)和發(fā)現(xiàn)；物理層負(fù)責(zé)數(shù)據(jù)的采集、收發(fā)等。 無線傳感網(wǎng)的協(xié)議規(guī)范 標(biāo)準(zhǔn)主要是針對低速 WPAN。該標(biāo)準(zhǔn)以低功耗、低速率傳輸、低成本為目標(biāo)，旨在為個人或者家庭范圍內(nèi)以及不同設(shè)備間的低速互聯(lián)提供了統(tǒng)一的標(biāo)準(zhǔn)，目前正在發(fā)展中 [17]。此標(biāo)準(zhǔn)定義的 LRWPAN 網(wǎng)絡(luò)能夠?qū)崿F(xiàn) 20Kb/s、 40Kb/s、250Kb/s 三種不傳輸速率；地址格式有 16 位短地址和 64 位長地址。前者是網(wǎng)內(nèi)通信使用，后者則是全球唯一的地址，出廠時已經(jīng)設(shè)定好的；標(biāo)準(zhǔn)規(guī)定了兩種拓?fù)漕愋?：分別是星型和點(diǎn)對點(diǎn)；支持 ACK，能夠確保傳輸?shù)目煽啃?[11]。 WIAPA 協(xié)議的設(shè)計和開發(fā)遵循了 ISO/OSI 七層結(jié)構(gòu)模型，在實(shí)際標(biāo)準(zhǔn)的制定中，定義了數(shù)據(jù)鏈路子層、網(wǎng)絡(luò)層以及應(yīng)用層 [18]。針對 WIAPA 網(wǎng)絡(luò)的特點(diǎn)，協(xié)議中對安全機(jī)制提出了說明。主要有： 系統(tǒng)的可用性：已授權(quán)實(shí)體一旦需要就 能夠訪問和使用數(shù)據(jù)和資源。 機(jī)密性：保證網(wǎng)絡(luò)資源等的合法使用。 6 認(rèn)證：設(shè)備之間身份的認(rèn)證。 完整性：重要信息在傳輸和發(fā)送時不被非法用戶的篡改。 《傳感器網(wǎng)絡(luò) 信息安全通用技術(shù)規(guī)范》（接下來將其統(tǒng)一稱為 PG6 標(biāo)準(zhǔn)）給出了傳感網(wǎng)的安全模型，并從威脅出發(fā)，給出了安全目標(biāo)及安全機(jī)制。這部分將在后面的章節(jié)中詳細(xì)介紹。 無線傳感網(wǎng)安全概述 無線傳感網(wǎng)作為計算機(jī)發(fā)展的新型產(chǎn)業(yè)，具有相當(dāng)廣闊的前景，對于無線傳感網(wǎng)的研究，不僅僅是研究它的應(yīng)用，同時需要顧忌到復(fù)雜的應(yīng)用環(huán)境對無線網(wǎng)絡(luò)所帶來的負(fù)面影響，其中最重要的是考慮其安全問題。無線傳感網(wǎng)與傳統(tǒng)網(wǎng)絡(luò)的安全目標(biāo)相一致，都是為了數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)新鮮性、入網(wǎng)認(rèn)證、數(shù)據(jù)融合等，同時，由于無線傳感網(wǎng)的獨(dú)有的特征，例如資源受限、節(jié)點(diǎn)的能量有限等，這些問題導(dǎo)致無線傳感網(wǎng)的安全問題尤為重要。因此在設(shè)計無線傳感網(wǎng)的安全機(jī)制時，需要針對它的獨(dú)有的特點(diǎn)，綜合考慮無線傳感網(wǎng)的安全需求以及安全威脅。 無線傳感網(wǎng)安全目標(biāo) 傳感網(wǎng) 安全目標(biāo)由數(shù)據(jù)安全目標(biāo)、網(wǎng)絡(luò)安全目標(biāo)、節(jié)點(diǎn)安全目標(biāo)構(gòu)成。下面對無線傳感網(wǎng)的安全需求進(jìn)行簡要的說明： ① 數(shù)據(jù)保密性 (Confidentiality) 保密性是傳感網(wǎng)的一個重要的特征。確保在傳輸以及存儲過程中，數(shù)據(jù)信息不能泄露給沒有權(quán)限的用戶。其次，在網(wǎng)絡(luò)通信過程中進(jìn)行交互的敏感信息也需進(jìn)行保密。 ② 數(shù)據(jù)完整性 (Integrity) 根據(jù)國家相關(guān)標(biāo)準(zhǔn)規(guī)定的完整性的機(jī)制，利用兩種完整性策略，包括自主完整性策略和強(qiáng)制完整性策略兩種。在儲存和發(fā)送的過程中保證所有的敏感信息不被篡改和破壞；另一方面，消息的接收方應(yīng)該具備判斷信息是否被更改的功能。 ② 數(shù)據(jù)新鮮性 (Freshness) 保證接收到數(shù)據(jù)的時效性，確保沒有重放過時的數(shù)據(jù)。節(jié)點(diǎn)的重放攻擊是導(dǎo)致新鮮性的一個原因，另一個則是由于網(wǎng)絡(luò)的多路徑造成的延時，因而導(dǎo)致報文收發(fā)的時間順序顛倒造成的 [19]。數(shù)據(jù)的新鮮性一般分為兩種：強(qiáng)新鮮性和弱新鮮性。 ④ 可用性 (Availability) 已授權(quán)實(shí)體一旦 需要就能夠訪問和使用數(shù)據(jù)和資源的特性。 ⑤ 可控性 7 在保障傳感網(wǎng)中數(shù)據(jù)保密性、完整性、可用性的前提下，提供相應(yīng)的安全控制部件，形成整體的控制流程，實(shí)現(xiàn) 傳感網(wǎng) 可控性。 ⑥ 抗干擾性 傳感網(wǎng) 采用適當(dāng)?shù)臋C(jī)制來防止對數(shù)據(jù)發(fā)送、接收和轉(zhuǎn)發(fā)的無線干擾，避免對網(wǎng)絡(luò)的信息傳輸造成嚴(yán)重影響。 ⑦ 可鑒別性 可鑒別性分為數(shù)據(jù)可鑒別和身份可鑒別兩種。數(shù)據(jù)可鑒別主要是確保數(shù)據(jù)信息的來源是可信的，并且數(shù)據(jù)內(nèi)容沒有篡改和偽造。身份可鑒別則是指通信雙方的身份信息的真實(shí)性。目前有多種機(jī)制來鑒別通信雙方的身份，并且這些機(jī)制適用于不同的安全等級。在 進(jìn)行鑒別時， 傳感網(wǎng) 提供有限的主體反饋信息，確保非法主體不能通過反饋數(shù)據(jù)獲得利益 [20]。 ⑧安全管理 無線傳感網(wǎng)是自組織性的網(wǎng)絡(luò)，通過節(jié)點(diǎn)間自發(fā)的組建網(wǎng)絡(luò)構(gòu)建節(jié)點(diǎn)間的信任關(guān)系。安全管理主要有安全引導(dǎo)和安全維護(hù)兩個方面。網(wǎng)絡(luò)的安全引導(dǎo)包含了建立數(shù)據(jù)信息交換的雙方進(jìn)行的密鑰協(xié)商、認(rèn)證等過程，其中安全協(xié)議是網(wǎng)絡(luò)安全的核心部分，安全維護(hù)則主要研究網(wǎng)絡(luò)中密鑰更新等引起的安全變更問題 [21]。 無線傳感網(wǎng)安全威脅 傳感器節(jié)點(diǎn)在實(shí)際的使用中，大部分都部署于無人監(jiān)守的空間，因此 傳感網(wǎng) 各個層面都面臨一定的安全威脅。監(jiān)聽、偽造、阻斷和篡改是網(wǎng)絡(luò)攻擊的四種基本的行為，如圖 所示。 監(jiān) 聽篡 改偽 造阻 斷 圖 2. 2 網(wǎng)絡(luò)基本攻擊行為 為了便于研究者對安全威脅進(jìn)行分析以便于對攻擊采取措施，通常根據(jù)網(wǎng)絡(luò)通信協(xié)議的層次結(jié)構(gòu)對網(wǎng)絡(luò)攻擊進(jìn)行分類。主要有以下幾種形式： 1)物理層攻擊 8 ①傳感節(jié)點(diǎn)的物理俘獲 部署于開放區(qū)域的節(jié)點(diǎn)，一方面很容易受到自然災(zāi)害等不可抗力的破壞，使得節(jié)點(diǎn)無法正常工作；其次單個暴露的節(jié)點(diǎn)都是潛在的危險，很有可能被攻擊者利用，使得攻擊者可以輕易的對節(jié)點(diǎn)進(jìn)行攻擊破壞，造成網(wǎng)絡(luò)癱瘓等。 ②擁塞攻擊 無線傳感網(wǎng)是在無線環(huán)境下進(jìn)行數(shù)據(jù)采集等，攻擊者獲取工作區(qū)域的中心通信頻率，并且利用大功率的電磁不斷干擾此頻段，能夠影響整個網(wǎng)絡(luò)無法正常工作。 2)鏈路層威脅 傳感網(wǎng)中不止一個節(jié)點(diǎn)進(jìn)行數(shù)據(jù)發(fā)送時，信號很可能進(jìn)行累加，這樣容易導(dǎo)致數(shù)據(jù)包字節(jié)的流失，造成網(wǎng)絡(luò)丟包。另一方面，由于節(jié)點(diǎn)能量資源有限，在數(shù)據(jù)鏈路 層上面，攻擊者不間斷地發(fā)送數(shù)據(jù)報文，引起數(shù)據(jù)傳輸過程中的碰撞，導(dǎo)致節(jié)點(diǎn)一直處于工作狀態(tài)，直到資源殆盡。這也是我們常說的耗盡攻擊。 3)網(wǎng)絡(luò)層威脅 無線 傳感網(wǎng) 的路由協(xié)議一般需要考慮節(jié)點(diǎn)能量消耗、路由信息存儲受限、以數(shù)據(jù)為中心等特點(diǎn)，這些特點(diǎn)一方面增加了路由機(jī)