【導(dǎo)讀】對于無線傳感網(wǎng)的研究不僅致力于它的應(yīng)用，同時需要考慮復(fù)雜的。此必須加入安全機制來保障網(wǎng)絡(luò)的正常運行。出了適用于傳感網(wǎng)的安全功能，并對網(wǎng)絡(luò)進行了安全等級的劃分。術(shù)廣泛應(yīng)用于傳感網(wǎng)，但是對于這些安全功能的實現(xiàn)是否達到了預(yù)期的安全目標，預(yù)期要求且符合協(xié)議一致性要求。感網(wǎng)的安全測試系統(tǒng)，制定了安全測試流程。于測試代理實現(xiàn)的，因此對測試代理的設(shè)計和流程也做了詳細的規(guī)劃。本文實現(xiàn)的典型測試案例是在實驗室自主研發(fā)的WIA-PA協(xié)議棧進行的。

　　

【正文】 議一致性測試的有多種方法，一般說來均是使用基于 OSI 參考模型來進行抽象測試。抽象測試方法通過輸入輸出來進行的，其中 輸入是可控制的，而輸出是通過觀察 IUT 來進行的。 抽象測試方法具體分為四種：本地測試法、分布式測試法、協(xié)調(diào)測試法和遠程測試法。接下來對以下四種測試方法進行對比和詳細的介紹。本地測試的 TCP 全部在測試系統(tǒng)內(nèi)部實現(xiàn)，適用于產(chǎn)品的內(nèi)部測試。在其他三種外部測試中， IUT 的下邊界沒有 PCO（控制觀察點），對于 IUT 的激勵與觀察分為外部和本地兩種。本地測試和外部測試的共同點就是 LT 和 IUT 存在于不同的系統(tǒng)。外部測試法不需要對IUT 的下邊界直接訪問，適用于第三方的測試。 ASP 為抽象服務(wù)原語， PDU( Protocol Data Unit)為協(xié)議數(shù)據(jù)單元。 1) 本地測試法 本地測試法適用于有兩個 PCO 的系統(tǒng)。其中一個位于下測試器 LT 下面，另一個在 IUT 的上服務(wù)器邊界。 LT、 UT、和 IUT 在同一系統(tǒng)中實現(xiàn)。本地測試法都有可供訪問的 PCO，在測試過程中，本地測試的顯著特點為不需要底層通信的支撐。如圖 所示。 L TN 1 層 服 務(wù) 提 供 者I U TU TSUTT C PP C O A S P sA S P sL TN 1 層 服 務(wù) 提 供 者I U TP D U sU TT C PT e s t S y s t e mS U TP D U sP C OA S P sP C OA S P sP C O 圖 3. 3 本地測試法 圖 3. 4 分布測 試法 2) 分布測試法 如圖 所示，分布式測試的結(jié)構(gòu)與本地測試結(jié)構(gòu)大致一樣，一個在測試器下面，另一個則在 IUT 的上服務(wù)邊界。 UT 與 IUT 處于一個服務(wù)器，這就要求 IUT 有裸露的上邊界訪問接口。 LT 和 UT 之間的協(xié)調(diào)是通過 IUT 實現(xiàn)，因此測試最終的結(jié)果是查看 LT 觀測到的行為。 3) 協(xié)調(diào)測試法 協(xié)調(diào)測試法只有一個 PCO，位于 LT 下面。協(xié)調(diào)測試法不需要訪問 IUT 上服務(wù) 16 邊界。如圖 所示。 4) 遠程測試法 如圖 所示為遠程測試法。與協(xié)調(diào)測試法類似，遠程測試法也只有一個 PCO，不需要上測試器 UT。遠程測試方法并不需要訪問 IUT 的上邊界，也不需要顯式的TCP。測試判決的依據(jù)是 LT 對 IUT 提供的激勵以及所觀察到的 IUT 的響應(yīng)。 L TN 1 層 服 務(wù) 提 供 者I U TP D U sU TT C PT e s t S y s t e m S U TL TN 1 層 服 務(wù) 提 供 者I U TP D U sU TS U TA S P sP C OT C PT M P D U sA S P sP C O 圖 3. 5 協(xié)調(diào)測試法 圖 3. 6 遠程測試法 協(xié)議一致性測試過程 協(xié)議一致性的測試具有三個階段： ① 靜態(tài)一致性的評估，分析用戶需要的 ICS 等； ② 對用戶輸入進行參數(shù)化處理，并選擇測試集合； ③ 執(zhí)行一個或者多個測試活動。一個測試 活動是由單個 ATS 導(dǎo)出的參數(shù)化的可執(zhí)行測試集（ Parameterized Executable Test Suite， PETS）的執(zhí)行過程，它在測試選擇和參數(shù)化后進行 [46]。所使用的抽象測試集（ Abstract Test Suite，ATS）一般都對應(yīng)一個測試活動。一致性評估過程的流程圖如圖 所示。 17 開 始測 試 準 備靜 態(tài) 一 致 性 要 求 、實 現(xiàn) 一 致 性 聲 明靜 態(tài) 一 致 性 評 估抽 象 測 試 套 件S C S / P I X I T 、 協(xié) 議規(guī) 范S C S測 試 準 備測 試 選 擇 和參 數(shù) 化參 數(shù) 化 的 可 執(zhí) 行 測試 集測 試 活 動結(jié) 果 分 析測 試 結(jié) 果靜 態(tài) 一 致 性 結(jié) 果生 成 測 試 報 告結(jié) 束 圖 3. 7 一致性測試評估流程圖 安全測試理論和方法 上一節(jié)中對協(xié)議一致性測試的理論以及方法作了簡要的介紹。本小節(jié)將對安全測試相關(guān)的理論和方法作進一步的說明。當前，對于安全測試的理論并沒有成熟的理論和標準來做統(tǒng)一的規(guī)定，但是安全協(xié)議測試也屬于協(xié)議測試的一種，因此基本的協(xié)議模型與一致性測試理論對于安全測試同樣有著指導(dǎo)性的意義。 安全協(xié)議測試需求 一個標準化的協(xié)議規(guī)范并不能保證利用不同的方式來實現(xiàn)協(xié)議也能夠確保成功的進行相互之間的通信。目前大多數(shù)的規(guī)范使用的一般都是自然語言的描述，因此在對其的理解上，研究者會有各自不同的理解，這樣容易導(dǎo)致規(guī)范的使用和實 現(xiàn)的過程中出現(xiàn)不同的結(jié)果。因此，如何保證規(guī)范實現(xiàn)的正確性，并且實現(xiàn)的結(jié)果與預(yù)期相一致變得相當重要。 隨著網(wǎng)絡(luò)越來越普遍的應(yīng)用，網(wǎng)絡(luò)的安全威脅也變得越來越嚴峻，與之對應(yīng)實現(xiàn)的安全協(xié)議也越來越受關(guān)注。目前健壯性測試 [47]是安全測試重要的一部分，大多的研究都針對此展開，但是健壯性的測試并不能包含協(xié)議的所有安全性方面。另一 18 方面，現(xiàn)如今對于安全測試的研究，大多都是對于安全性能測試的研究。但是協(xié)議中的所規(guī)定的安全目標以及安全功能的實現(xiàn)在多種場景下應(yīng)用，它的實現(xiàn)方式是否正確、安全目的是否達到我們并沒有一個確切的答案。所以 研究協(xié)議中安全功能的實現(xiàn)以及實現(xiàn)方式是否與預(yù)期一致，對于現(xiàn)如今的傳感網(wǎng)絡(luò)來說也是相當重要。本文搭建一個無線傳感網(wǎng)的安全測試系統(tǒng)，通過對協(xié)議中規(guī)定的安全目標實現(xiàn)所應(yīng)使用的安全機制進行相關(guān)測試，測試安全功能的實現(xiàn)方式與結(jié)果是否與預(yù)期一致。 安全測試方法研究 協(xié)議安全的測試研究的時間相對比較短暫，沒有一個可用的模型，也沒有一個統(tǒng)一規(guī)范的測試框架和方法。因此我們在進行協(xié)議的安全性研究時，需要借鑒其他協(xié)議的測試方法，特別是目前已經(jīng)成熟的協(xié)議一致性方法。在實際的研究中，一致性測試的框架以及模型化的理論，為安 全協(xié)議測試做出了指導(dǎo)。 安全性測試主要是用來驗證協(xié)議的安全性，并且通過驗證過程發(fā)現(xiàn)協(xié)議中的不足。根據(jù)測試的先驗依據(jù)可分為協(xié)議攻擊測試和協(xié)議異常測試 [48]。 協(xié)議攻擊測試是滲透測試的一種。它的測試方法主要是模擬攻擊者，通過已被發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊，模擬攻擊模型對網(wǎng)絡(luò)進行安全測試。通過這種驗證的方法查驗已知的攻擊是否能夠破壞網(wǎng)絡(luò)的安全； 協(xié)議異常測試是對網(wǎng)絡(luò)中未知的安全進行測試，以此發(fā)現(xiàn)網(wǎng)絡(luò)存在的未知的威脅和漏洞等。對于協(xié)議異常測試，目前并沒有公認的標準。常用的軟件安全測試的方法有滲透測試、形式化測試等傳統(tǒng)方 法。加上現(xiàn)在又出現(xiàn)新的測試方法，這些方法為安全性測試提供了新的參考和支撐。協(xié)議異常測試就是從中得到的啟發(fā)，目前有些研究人員認為運用健壯性的測試方法來進行安全測試也是有效的方法。與之相類似的還有語義變異法、擾動測試方法等。 語義 變異法是指根據(jù)協(xié)議的語法通過變異相關(guān)的語法單元產(chǎn)生變異后的測試用例 ，通過這種方法來檢測網(wǎng)絡(luò)系統(tǒng)的不足 [49]。 語法變異的現(xiàn)象在現(xiàn)實生活中也是一種很自然的現(xiàn)象，我們可以對它進行深入研究，并發(fā)現(xiàn)其內(nèi)在的規(guī)律，對于傳感網(wǎng)的安全測試也具有一定的啟發(fā)。截止到目前，有研究人員根據(jù)語義變異法引申出一種新的測試方法，即反向測試方法。 本章小結(jié) 本章主要是介紹了測試的一些理論及方法，從協(xié)議一致性測試的方法出發(fā)，包括了協(xié)議測試的基礎(chǔ)概念和協(xié)議一致性測試方法，接著對安全測試理論和方法進行了相關(guān)研究。 19 第四章 無線傳感網(wǎng)安全測試系統(tǒng)設(shè)計 前面討論了協(xié)議測試的基本概念、協(xié)議一致性測試方法以及安全性測試方法。由于無線傳感網(wǎng)獨有的特性， 在實際的安全測試中，需要一個具體的測試系統(tǒng)來支持測試的執(zhí)行以及測試結(jié)果的判定。因此，本章設(shè)計了一個分布式的傳感網(wǎng)安全測試系統(tǒng)，對系統(tǒng)的總體構(gòu)架、功能模塊和處理流程進行了研究。該系統(tǒng)非常適用于協(xié)議功能測試的開發(fā)和執(zhí)行。 測試系統(tǒng)的目標 本小節(jié)對分布式安全測試系統(tǒng)的設(shè)計目標加以說明。 針對不同的需求設(shè)計的安全測試系統(tǒng)，包括有靈活執(zhí)行不同的安全策略、測試結(jié)果的分析、測試報告的生成及打印。系統(tǒng)的主要功能目標有： 1) 分布式環(huán)境管理 無線傳感網(wǎng)因其獨有的特征，在安全性測試方面也與其他測試有所不同。本文所設(shè)計的安全測試系統(tǒng)主要由一個控制管理中心和多個測試代理設(shè)備構(gòu)成?？刂乒芾碇行呢撠?zé)測試的總體運行，包括測試的所有過程以及測試代理的運行。它能夠同步及協(xié)調(diào)各個測試代理之間的信息交互，并且根據(jù)不同的測試環(huán)境，能夠自動 /被動的選擇適用于當前網(wǎng)絡(luò)的測試代理。測試代理主要負責(zé)與控制管理中心建立連接，配合控制管理中心的命令響應(yīng)相應(yīng)的測試指令。 2) 測試案例的生成 服務(wù)器會生成比較全面的適用于不同安全等級的測試案例供測試者選擇，測試者可根據(jù)測試要求選擇不同的 案例進行安全測試。本文所生成的安全測試案例包含有必選項和可選項兩種。具體的案例生成過程 小節(jié)中詳解。 3) 測試案例的執(zhí)行 用戶一旦確定了所要執(zhí)行的測試案例，測試中心將自動生成測試集。測試代理可根據(jù)控制中心的分配，各自執(zhí)行不同的測試命令，并將測試結(jié)果反饋于控制中心模塊。 4) 測試報告的生成和安全結(jié)果的判定 節(jié)點通過對 IUT 檢測，并結(jié)合測試代理反饋的數(shù)據(jù)信息，在服務(wù)器后臺進行相關(guān)處理可生成安全測試報告。該報告為測試人員進一步分析提供了依據(jù)，并且能夠根據(jù)不同案例的檢測結(jié)果，判斷設(shè)備的安全性。該報告分為安全等級報告和安 全測試結(jié)果報告兩種。安全等級報告可根據(jù)用戶預(yù)先設(shè)定的等級來判斷當前被測設(shè)備是 20 否滿足設(shè)定的安全等級；測試結(jié)果報告可查看當前所選案例的測試結(jié)果。 5) 測試數(shù)據(jù)的保存 每一次的測試數(shù)據(jù)、測試報告及測試結(jié)果都保存于數(shù)據(jù)庫中，可隨時調(diào)取供測試人員查看。 無線傳感網(wǎng)安全測試系統(tǒng)總體設(shè)計 安全測試系統(tǒng)設(shè)計概述 無線傳感網(wǎng)安全測試系統(tǒng)支持 Inter 用戶通過瀏覽器訪問測試平臺，能夠在線完成測試流程。本測試系統(tǒng)的主體部分是一個分布式的測試平臺，主要包括三個模塊的設(shè)計： SICS（ Security Implementation Conformance Statement）設(shè)計模塊、安全測試執(zhí)行模塊和綜合安全評估模塊。測試端作為安全等級和功能設(shè)備類型選擇接口，安全測試服務(wù)器根據(jù)安全等級和設(shè)備類型自動生成安全功能測試套，并接收系統(tǒng)執(zhí)行測試后的結(jié)果。服務(wù)器對功能測試結(jié)果進行分析并生成規(guī)范一致性測試報告，同時結(jié)合功能測試結(jié)果和安全等級強度要求，生成安全等級分析報告。 本測試系統(tǒng)主要是通過一個真實的網(wǎng)絡(luò)運行環(huán)境，測試設(shè)備是否具備所要求的安全功能，并達到預(yù)先要求的安全等級所具備的安全條件，最終完成測試并給出詳細的測試報告。 本測試系統(tǒng)由前端測試和后端測試服務(wù)平臺構(gòu)成，如圖 所示： 其中， 標準測試設(shè)備對被測設(shè) 備進行激勵，模擬攻擊節(jié)點發(fā)送報文對網(wǎng)絡(luò)進行攻擊；被測設(shè)備的響應(yīng)作 為其是否具有預(yù)期的安全功能以及實現(xiàn)方式是否正確的判定條件；安全測試服務(wù)器生成安全測試的 抽象 測試集，并導(dǎo)入測試例信息，測試客戶端作為人機交互的接口，為系統(tǒng)提供安全測試 入口，確認系統(tǒng)測試的測試例集合和一致性測試參考的標準規(guī)范。 本文設(shè)計的安全測試系統(tǒng) 包括安全功能和安全一致性測試，為傳感網(wǎng)的安 全提供了可靠的測試方法，用于測試傳感網(wǎng)的安全功能，包括密鑰管理 、訪問控制、數(shù)據(jù)加密 、安全融合等，用于驗證傳感網(wǎng) 安全功能 的 實現(xiàn)過程是否符合預(yù)期的要求。 21 互 聯(lián) 網(wǎng)交 換 機安 全 測 試 服 務(wù) 器測 試 客 戶 端后端測試服務(wù)平臺前端測試網(wǎng)絡(luò)（ c o o r d )（ r o u t e r )（ S E D )測試路由器全 信 道 安 全 分析 儀數(shù) 據(jù) 偵 聽標 準 測 試 設(shè) 備被 測 設(shè) 備攻 擊 節(jié) 點全 信 道 協(xié) 議 分 析 儀攻 擊 節(jié) 點安 全 測 試 服 務(wù) 器交 換 機前 端 測 試網(wǎng) 絡(luò) 設(shè) 備捕 獲 過 濾 圖 4. 1 測試系統(tǒng)結(jié)構(gòu)圖 其中，前端測試網(wǎng)絡(luò)包括安全測試設(shè)備、模擬攻擊節(jié)點和被測設(shè)備。安全測試設(shè)備包括標準測試設(shè)備和全信道安全分析儀，被測設(shè)備包括被測協(xié)調(diào)器、被測路由器和被測終端設(shè)備。后端測試服務(wù)平臺由測試客戶端、安全測試服務(wù)器組成。 1) 標準測試設(shè)備在測試網(wǎng)絡(luò)中擔任協(xié)調(diào)器、路由器、終端設(shè)備三種角色，具體角色分配根據(jù)被測設(shè)備類型來確定；標準測試設(shè)備對被測設(shè)備進行激勵，轉(zhuǎn)發(fā)測試服務(wù)器測試命令和上傳響應(yīng)報文至測試服務(wù)器。 2) 全信道安全分析儀由全信道協(xié)議分析儀和上位機組成，協(xié)議分析儀實時捕獲測試網(wǎng)絡(luò)中的數(shù)據(jù)包并發(fā)送給上位機，上位機對數(shù)據(jù)包進行分析。協(xié)議分析儀可檢測 433MHz 頻段的一個信道、 470MHz 頻段的一個信道、 780MHz 頻段的 4 個信道和 頻段的 16 個信道的無線數(shù)據(jù)報文。安全分析儀能提供協(xié)議解碼、性能評估、網(wǎng)絡(luò)分析、故障診斷等功能。 22 3) 模擬攻擊節(jié)點用于對網(wǎng)絡(luò)進行攻擊，模擬網(wǎng)絡(luò)受攻擊的環(huán)境。 4) 被測設(shè)備包括被測協(xié)調(diào)器、被測路由器、被測終端設(shè)備等，可以是其中一