传感网安全测试技术研究与系统设计硕士学位论文(编辑修改稿)

传感网安全测试技术研究与系统设计硕士学位论文(编辑修改稿)内容摘要：

的安全协议，如 A. Perring 等提出的传感网络的安全协议 SPINS，主要包括 μ TESLA 和 SNEP 两种 [9][10]。 为 评估 WSN 的通信情况，人们开始采用各种各样的方法来对网络协议进行测试和评估。 然而事实是，无线传感网在运行过程中，或多或少都会受到周围环境的影响，会直接影响网络节点设备导致出现故障。 所以，我们需要搭建真实的 WSN安全测试系统，用来实时的反映 WSN 的安全是否符合预期设定 [11]。 本课题来源于“新一代宽带无线通信网”科技重大专项 —信息汇聚传感器网络综合测试与验证评估环境。 课题是对无线传感网安全功能以及安全一致性的测试，为传感网的安全提供可靠的测试方法，用于测试传感网的安全功能，验证传感网的安全功能实现过程是否符合预期的要求，并针对最终的测试结果对系统的安全划分等级。 国内外研究状况 无线传感网的研究已经越来越受到关注，很多机构都对其进行相关的研究，随着时间的推移，传感节点的体积相对越来越小，功耗也变得较低，组网起来也相对灵活和稳定。 例如美国设计 的“尘埃”传感器节点，它只有颗粒那么小，而且能够保证传感器节点一次可以工作 5 年以上 [12]。 在我国，许多高校也加入了研究无线传感网的大军。 国外一些著名大学如麻省理工学院、加州大学、俄亥俄州大学、新加坡国立大学等髙校都已经展开了无线 传感网 方面的研究。 一些知名企业如 Crossbow、 Ti、 Atmd 公司也投入了极大的资金和科研力量 ， 为无线 传感网 的商业化打下了基础 [13]。 国内一些研究机构如中科院研究 所、清华大学 、北京邮电大学、哈尔滨工业大学和香港科技大学等都取得了一些成果。 WSN 安全协议的实现过程离不开协议测试 ， 协议测试是为了对协议的实现进行检验 ，借此 发现实现过程中的 不足 [14]。 当前安全需求越来越复杂，安全协议也变得尤为重要，如何进行安全性的检测，确保安全的实现符合预期目标成为了众多研究者争相研究的对象。 许多的发达国家开始致力于对协议测试的研究。 吉世瑞提出了一种安全协议的测试方法，基于协议测试的基础上，设计了自适应的黑盒测试方法。 齐跃提出了传感网的安全协议测试框架。 它是一种多属性的模型，主要是通过攻击测试来对协议的安全性做定性的分析。 我国的标准 GB/T 《信息技术开放系统互联一致性测试方法和 框架》 [15]定义了协议的一致性测试方法和框架，用于测试一个声称实现了某一个协议的产品与其协议标准的一致性，为一致性测试系统 3 的实现提供了指导。 目前虽然通信协议的一致性测试已有可参考的测试标准，但是由于无线传感网的局限性，需要一套专门针对于无线传感网的测试验证平台，对传感网的安全性进行相关的测试和验证，为传感网的安全协议测试标准做铺垫。 研究内容和论文结构 论文总共有六章，下面对每一章节做出简要的介绍。 第一章主要是绪论部分，主要是介绍了无线 传感网 的背景和本课题的研究意义。 这部分包含无线传感网应用的介 绍以及目前对于无线传感网的研究现状，同时对研究无线传感网安全的必要性做出了简要的说明，章节最后给出了本文总体结构。 第二章主要是无线传感网概述与安全研究。 无线传感网的概述分别从传感网的特点、传感网体系结构和传感网的协议规范三方面给出简要的说明。 传感网安全的介绍分别从安全需求、安全威胁、安全策略三方面给出。 最后分析了无线传感网安全测试的测试需求。 第三章主要是介绍了传感网的测试理论及方法，分别从协议一致性测试方法和安全性测试方法来进行说明。 安全测试是在协议测试的基础上进行的，也可以作为协议一致性测试的一种。 第四章是在前三章的基础上，设计了无线传感网安全测试系统，首先从系统目标出发，对提出了传感网安全测试系统的目标要求；接着从无线传感网安全测试系统的总体设计出发，对系统平台的总体设计、总体功能结构设计、中心处理模块以及安全测试模块流程做出了详细的规划。 在这一章节中，着重于安全测试抽象集和测试代理软件的设计。 安全抽象测试集作为安全测试系统的核心部分，因此本文从传感网安全模型出发，详细阐述了安全抽象测试集的设计过程以及形式化描述；最后给出了安全测试的序列图以及系统处理流程。 本测试系统在测试完成之后，会形成详细的安全 测试报告和安全等级报告，因此在 小节中，给出了各安全等级划分要素的具体分级要求。 第五章是对第四章提出的无线传感网安全测试系统进行了测试验证。 从软硬件平台出发，对系统网络功能测试进行了验证分析。 本方案的测试是 WIAPA 协议中安全机制的实现，同时给出了实际应用测试过程中几个典型的安全测试流程，最后给出了整个系统搭建的实体图，并通过 Web 界面实时显示了系统的测试验证结果。 第六章主要是对本文工作进行了总结，并且对于下一步的研究进行了展望。 4 第二章 无线传感网以及安全概述 本章结合 《传感器网络 信息安全通 用技术规范》， 从当前传感网的安全威胁、安全策略以及安全目标出发，提出了无线传感网安全测试需求以及重要意义。 无线传感网综述 无线传感网特点 无线传感网是一种全分布式的网络系统，一般的网络由数目较多的节点组成，并且随机投放， 传感网 节点的一般特征是具有通信模块、能量模块以及数据传输模块，节点间的通信是靠无线模块连接，自发的形成网络结构。 作为新兴网络，无线传感网与自组织多跳 Ad hoc 网络有很多共同的特征，另一方面来说，我们可以将无线 传感网 看成 Ad hoc 网络的特例。 但是事实上两者也有很多不相似的地方。 无线 传感网 有以下主要特征： 分布式。 无线 传感网 节点间是通过分布式的算法进行数据通信，节点能够通过安全的方式加入和退出网络。 一般来说，单个节点的存在对网络整体运行没有多大的影响。 以数据为中心。 无线传感网的搭建是用户针对需求进行部署的，因此网络的运行是用户进行操作和指令下发的。 数据信息的采集是用户搭建网络的主要目的，节点间相互合作完成用户的需求。 数据融合在无线传感网络的应用中被经常使用，因此可以说 WSN 是基于数据为中心的网络。 自组织。 传感网是随机形 成网络，节点间的相互关系是无法准确预测的。 另一方面，传感网可以被应用到不同的环境中，节点的加入、离开或死亡都是无法操纵的。 由于这种情况的发生，就需要 传感网 具备自组织的能力，在用户无法干预的时候，能够进行网络资源的分配和管理。 节点能力有限。 无线传感网节点体积小、存储能量有限。 通常传感节点一旦部署成功之后，由于应用环境的恶劣等原因，能量很容易消耗殆尽，然而节点能量对于整个网络的运行来说也是至关重要的，因此，如何有效的节约网络能量以便于提高节点的生存周期是非常重要的。 如 UCBerkeley 的 Trio 系统 [16]将传统电池更换为太阳能供电，将运行时间整整提高了 3 个多月。 5 无线传感网体系结构 目前，随着对 传感网 不断深入地研究，基于分层的网络协议体系结构获得大众的认可。 如图 所示。 网 络 服 务 接 口时 间 同 步 节 点 定 位传 输 控 制路 由信 道接 入拓 扑生 成安全机制无 限 电 红 外 线 光 波应 用 层传 输 层网 络 层数 据 链 路 层物 理 层QoS网 路 管 理 入 口能量管理网络管理拓扑管理 图 2. 1 网络体系结构图 其中应用层用于不同应用软件的管理，并提供接口供给不同的应用使用；数据链路层负责数据流的多路复用、数据帧检测、媒体接入和差错控制。 数据链路层保证了 传感网 点到点的连接；网络层负责路由的维护和发现；物理层负责数据的采集、收发等。 无线传感网的协议规范 标准主要是针对低速 WPAN。 该标准以低功耗、低速率传输、低成本为目标，旨在为个人或者家庭范围内以及不同设备间的低速互联提供了统一的标准，目前正在发展中 [17]。 此标准定义的 LRWPAN 网络能够实现 20Kb/s、 40Kb/s、250Kb/s 三种不传输速率；地址格式有 16 位短地址和 64 位长地址。 前者是网内通信使用，后者则是全球唯一的地址，出厂时已经设定好的；标准规定了两种拓扑类型 ：分别是星型和点对点；支持 ACK，能够确保传输的可靠性 [11]。 WIAPA 协议的设计和开发遵循了 ISO/OSI 七层结构模型，在实际标准的制定中，定义了数据链路子层、网络层以及应用层 [18]。 针对 WIAPA 网络的特点，协议中对安全机制提出了说明。 主要有： 系统的可用性：已授权实体一旦需要就 能够访问和使用数据和资源。 机密性：保证网络资源等的合法使用。 6 认证：设备之间身份的认证。 完整性：重要信息在传输和发送时不被非法用户的篡改。 《传感器网络 信息安全通用技术规范》（接下来将其统一称为 PG6 标准）给出了传感网的安全模型，并从威胁出发，给出了安全目标及安全机制。 这部分将在后面的章节中详细介绍。 无线传感网安全概述 无线传感网作为计算机发展的新型产业，具有相当广阔的前景，对于无线传感网的研究，不仅仅是研究它的应用，同时需要顾忌到复杂的应用环境对无线网络所带来的负面影响，其中最重要的是考虑其安全问题。 无线传感网与传统网络的安全目标相一致，都是为了数据完整性、数据保密性、数据新鲜性、入网认证、数据融合等，同时，由于无线传感网的独有的特征，例如资源受限、节点的能量有限等，这些问题导致无线传感网的安全问题尤为重要。 因此在设计无线传感网的安全机制时，需要针对它的独有的特点，综合考虑无线传感网的安全需求以及安全威胁。 无线传感网安全目标 传感网 安全目标由数据安全目标、网络安全目标、节点安全目标构成。 下面对无线传感网的安全需求进行简要的说明： ① 数据保密性 (Confidentiality) 保密性是传感网的一个重要的特征。 确保在传输以及存储过程中，数据信息不能泄露给没有权限的用户。 其次，在网络通信过程中进行交互的敏感信息也需进行保密。 ② 数据完整性 (Integrity) 根据国家相关标准规定的完整性的机制，利用两种完整性策略，包括自主完整性策略和强制完整性策略两种。 在储存和发送的过程中保证所有的敏感信息不被篡改和破坏；另一方面，消息的接收方应该具备判断信息是否被更改的功能。 ② 数据新鲜性 (Freshness) 保证接收到数据的时效性，确保没有重放过时的数据。 节点的重放攻击是导致新鲜性的一个原因，另一个则是由于网络的多路径造成的延时，因而导致报文收发的时间顺序颠倒造成的 [19]。 数据的新鲜性一般分为两种：强新鲜性和弱新鲜性。 ④ 可用性 (Availability) 已授权实体一旦 需要就能够访问和使用数据和资源的特性。 ⑤ 可控性 7 在保障传感网中数据保密性、完整性、可用性的前提下，提供相应的安全控制部件，形成整体的控制流程，实现 传感网 可控性。 ⑥ 抗干扰性 传感网 采用适当的机制来防止对数据发送、接收和转发的无线干扰，避免对网络的信息传输造成严重影响。 ⑦ 可鉴别性 可鉴别性分为数据可鉴别和身份可鉴别两种。 数据可鉴别主要是确保数据信息的来源是可信的，并且数据内容没有篡改和伪造。 身份可鉴别则是指通信双方的身份信息的真实性。 目前有多种机制来鉴别通信双方的身份，并且这些机制适用于不同的安全等级。 在 进行鉴别时， 传感网 提供有限的主体反馈信息，确保非法主体不能通过反馈数据获得利益 [20]。 ⑧安全管理 无线传感网是自组织性的网络，通过节点间自发的组建网络构建节点间的信任关系。 安全管理主要有安全引导和安全维护两个方面。 网络的安全引导包含了建立数据信息交换的双方进行的密钥协商、认证等过程，其中安全协议是网络安全的核心部分，安全维护则主要研究网络中密钥更新等引起的安全变更问题 [21]。 无线传感网安全威胁 传感器节点在实际的使用中，大部分都部署于无人监守的空间，因此 传感网 各个层面都面临一定的安全威胁。 监听、伪造、阻断和篡改是网络攻击的四种基本的行为，如图 所示。 监 听篡 改伪 造阻 断 图 2. 2 网络基本攻击行为 为了便于研究者对安全威胁进行分析以便于对攻击采取措施，通常根据网络通信协议的层次结构对网络攻击进行分类。 主要有以下几种形式： 1)物理层攻击 8 ①传感节点的物理俘获 部署于开放区域的节点，一方面很容易受到自然灾害等不可抗力的破坏，使得节点无法正常工作；其次单个暴露的节点都是潜在的危险，很有可能被攻击者利用，使得攻击者可以轻易的对节点进行攻击破坏，造成网络瘫痪等。 ②拥塞攻击 无线传感网是在无线环境下进行数据采集等，攻击者获取工作区域的中心通信频率，并且利用大功率的电磁不断干扰此频段，能够影响整个网络无法正常工作。 2)链路层威胁 传感网中不止一个节点进行数据发送时，信号很可能进行累加，这样容易导致数据包字节的流失，造成网络丢包。 另一方面，由于节点能量资源有限，在数据链路 层上面，攻击者不间断地发送数据报文，引起数据传输过程中的碰撞，导致节点一直处于工作状态，直到资源殆尽。 这也是我们常说的耗尽攻击。 3)网络层威胁 无线 传感网 的路由协议一般需要考虑节点能量消耗、路由信息存储受限、以数据为中心等特点，这些特点一方面增加了路由机。