IPv6無線傳感網(wǎng)安全測試系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于工業(yè)無線通信技術(shù)領(lǐng)域�����,具體涉及一種基于IPv6無線傳感器網(wǎng)絡(luò)的安全功能測試系統(tǒng)�����。
【背景技術(shù)】
[0002]無線傳感器網(wǎng)絡(luò)是由大量的�����、廉價(jià)的微型傳感器節(jié)點(diǎn)組成�����,并且被部署在一定檢測區(qū)域內(nèi)�����,通過無線通信方式形成的一個(gè)自組織的多跳的網(wǎng)絡(luò)�����;能夠完成協(xié)作地感知、采集和處理網(wǎng)絡(luò)覆蓋區(qū)域中對(duì)象的信息�����,并發(fā)送給觀察者等�����。但由于無線傳感器網(wǎng)絡(luò)的開放性�����,一般部署在無人監(jiān)測的開放式環(huán)境下�����,使其面臨著各種各樣威脅和攻擊�����,其安全問題顯得尤為重要�����。
[0003]在無線傳感網(wǎng)的安全技術(shù)中�����,入網(wǎng)認(rèn)證�����、密鑰管理�����、訪問控制�����、密鑰管理�����、入侵檢測等安全技術(shù)已經(jīng)大量廣泛使用�����,能夠在一定程度上提高網(wǎng)絡(luò)的安全性�����,但是如何快速、有效的測試所添加的安全功能的可靠性�����,是亟待解決的問題�����。
[0004]傳統(tǒng)的安全測試方案�����,往往需要根據(jù)相關(guān)安全功能的開發(fā)文檔�����,來逐步測試其安全功能是否符合要求�����。針對(duì)這些安全功能在傳感網(wǎng)中的可用性�����、規(guī)范性測試�����,仍然沒有一個(gè)統(tǒng)一�����、權(quán)威的測試系統(tǒng)�����,使得安全測試的過程顯得非常復(fù)雜�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明要解決的問題在于�����,針對(duì)IPv6(Internet Protocol Vers1n 6)無線傳感器網(wǎng)絡(luò)中的安全功能�����,提供了一個(gè)可靠的測試系統(tǒng)�����,方便用戶測試IPv6傳感網(wǎng)中安全功能的合理性和網(wǎng)絡(luò)的安全性。
[0006]本發(fā)明中的安全測試系統(tǒng)�����,其組成包括:安全管理端�����,網(wǎng)關(guān)和IPv6傳感網(wǎng)�����。其中�����,安全管理端和網(wǎng)關(guān)共同作為測試管理系統(tǒng)�����,集成了輕量級(jí)的IPSecdP Security)�����、訪問控制�����、密鑰管理�����、AES-CCM*(Advanced Encrypt1n Standard-Counter with CBC-MAC)加密校驗(yàn)等安全功能的測試�����、IPv6傳感網(wǎng)攻擊檢測功能測試加入安全功能后傳感網(wǎng)的性能測試�����。IPv6傳感網(wǎng)中包括普通節(jié)點(diǎn)設(shè)備�����、路由設(shè)備和模擬攻擊節(jié)點(diǎn)�����。
[0007]本發(fā)明中的安全測試系統(tǒng)�����,測試內(nèi)容包括IPv6傳感網(wǎng)的輕量級(jí)IPSec機(jī)制測試,傳感器網(wǎng)絡(luò)AES-CCM*加密校驗(yàn)機(jī)制測試�����,ARM網(wǎng)關(guān)上的密鑰管理測試�����、訪問控制機(jī)制測試�����,攻擊檢測以及添加安全功能后傳感器網(wǎng)絡(luò)的時(shí)延�����、計(jì)算�����、存儲(chǔ)�����、通信開銷等性能測試�����。其中�����,輕量級(jí)IPSec機(jī)制的測試包括頭部壓縮機(jī)制測試�����、IKE(Internet Key Exchange Protocol)安全關(guān)聯(lián)測試�����、單播安全功能測試�����、多播安全功能測試�����;訪問控制功能測試包括注冊授權(quán)功能測試�����、認(rèn)證訪問控制功能、非法用戶登錄測試�����;基于AES-CCM*加密校驗(yàn)機(jī)制測試包括7種等級(jí)下的安全測試�����;ARM網(wǎng)關(guān)上的密鑰管理測試包括密鑰的建立�����、密鑰的更新測試�����;攻擊檢測包括重放攻擊測試�����、中間人攻擊測試�����、DoS (Denial of Service)攻擊測試等。
[0008]本發(fā)明中的安全測試系統(tǒng)所涉及的輕量級(jí)IPSec是一種適用于IPv6傳感網(wǎng)的IPSec�����,與IPv6網(wǎng)絡(luò)采用的IPSec有所異同�����,所以系統(tǒng)測試時(shí)不僅要考慮IPSec的實(shí)現(xiàn)是否符合標(biāo)準(zhǔn)�����,同時(shí)也要考慮是否滿足傳感器低開銷和低儲(chǔ)存等特性�����。其測試機(jī)制�����,主要包括以下四個(gè)方面的內(nèi)容:IKE安全關(guān)聯(lián)(包括密鑰管理和身份鑒別)測試�����、輕量級(jí)單播安全功能測試�����、輕量級(jí)多播安全功能測試以及ESP (Encapsulating Security Payloads)安全頭部壓縮編碼功能測試�����。參考《信息技術(shù)傳感網(wǎng)絡(luò)信息安全通用技術(shù)規(guī)范》標(biāo)準(zhǔn)PG6中基于分組密碼算法的鑒別模型�����,IPv6傳感網(wǎng)的輕量級(jí)IKE安全關(guān)聯(lián)機(jī)制以四次交互的預(yù)共享密鑰鑒別機(jī)制作為唯一協(xié)商策略�����,利用HMAC (Hash-based Message Authenticat1n Code)的密鑰協(xié)商方式替代 ISAKMP (Internet Security Associat1n Key Management Protocol)協(xié)議框架下 ECDH(Elliptic Curve Cryptosystems-Diffie-Hellman)的密鑰協(xié)商方式�����,從而實(shí)現(xiàn)可信的安全關(guān)聯(lián)�����,建立會(huì)話密鑰�����。因此在本安全測試系統(tǒng)中,網(wǎng)關(guān)和安全管理端集成了 PG6中的分組密碼算法�����、HMAC算法和鑒別模型�����,通過采集IPv6傳感器網(wǎng)絡(luò)節(jié)點(diǎn)在入網(wǎng)過程中與測試管理系統(tǒng)進(jìn)行交互的報(bào)文�����,能夠在不影響IPv6傳感網(wǎng)大規(guī)模系統(tǒng)穩(wěn)定性的同時(shí)�����,精確高效地反映IPv6傳感網(wǎng)節(jié)點(diǎn)安全入網(wǎng)過程中四次交互�����,判斷預(yù)共享密鑰鑒別機(jī)制正確性�����,測試出傳感網(wǎng)的IKE安全關(guān)聯(lián)過程是否滿足設(shè)計(jì)要求�����。
[0009]IPv6傳感網(wǎng)內(nèi)部的通信主要為單播和多播兩種方式�����。其中IPv6節(jié)點(diǎn)與網(wǎng)關(guān)通過單播進(jìn)行數(shù)據(jù)傳輸�����,安全網(wǎng)關(guān)通過多播或廣播的方式下發(fā)消息�����。對(duì)于IPv6節(jié)點(diǎn)與網(wǎng)關(guān)的單播數(shù)據(jù)傳輸安全�����,在網(wǎng)絡(luò)層采用單播的ESP傳輸模式封裝�����,實(shí)現(xiàn)網(wǎng)內(nèi)端到端單播�����、多播傳輸安全,采用 ffiEE802.15.4 中定義的 AES-CCM* 安全機(jī)制保障 MAC (Media Access Control)層點(diǎn)到點(diǎn)的傳輸安全�����。IPv6節(jié)點(diǎn)與遠(yuǎn)程用戶通信過程中�����,在IPv6節(jié)點(diǎn)之間采用基于輕量級(jí)ESP傳輸模式�����,網(wǎng)關(guān)與遠(yuǎn)程用戶采用通用算法隧道模式進(jìn)行保護(hù)�����,實(shí)現(xiàn)IPv6節(jié)點(diǎn)到遠(yuǎn)程用戶的傳輸安全�����。
[0010]本發(fā)明中的安全測試系統(tǒng)集成的訪問控制功能測試機(jī)制�����,主要包括以下三部分內(nèi)容:注冊授權(quán)功能測試�����、認(rèn)證訪問控制功能�����、非法用戶登錄測試�����。在用戶注冊功能測試階段�����,安全管理中心與用戶在第一次通信過程中生成通信密鑰�����。已經(jīng)注冊的用戶�����,安全管理中心將對(duì)其進(jìn)行授權(quán)處理�����,并把授權(quán)證書下發(fā)給用戶。將用戶信息以及安全管理中心對(duì)用戶的判定結(jié)果等通過安全管理中心和傳感器網(wǎng)絡(luò)的共享密鑰加密下發(fā)給用戶�����。該信息由安全管理中心和網(wǎng)絡(luò)管理中心共享密鑰加密�����,用戶只能存儲(chǔ)該信息�����,無法得到信息具體內(nèi)容�����,只能由網(wǎng)絡(luò)管理中心解析得到�����。在認(rèn)證訪問控制測試階段�����,用戶在提交訪問請求的同時(shí)�����,必須提交該信息到網(wǎng)絡(luò)管理中心�����。網(wǎng)絡(luò)管理中心解析信息得到合法并授權(quán)的用戶信息�����,根據(jù)該信息判斷用戶身份的合法性�����,進(jìn)而進(jìn)行后續(xù)的訪問控制�����。在非法用戶登錄測試階段�����,本系統(tǒng)能夠模擬未注冊用戶�����、未授權(quán)用戶或授權(quán)用戶非正常訪問對(duì)傳感器網(wǎng)絡(luò)進(jìn)行訪問,測試傳感器網(wǎng)絡(luò)網(wǎng)關(guān)對(duì)非正常訪問是否能夠做出正確響應(yīng)�����。本安全測試系統(tǒng)中集成的訪問控制測試功能�����,其測試的總體流程如圖3所示�����。
[0011]本發(fā)明中的安全測試系統(tǒng)集成的密鑰管理測試機(jī)制�����,主要包括以下兩部分內(nèi)容:密鑰建立和密鑰更新�����。在IPv6傳感網(wǎng)絡(luò)中�����,節(jié)點(diǎn)存儲(chǔ)的密鑰包括加入密鑰�����、個(gè)體密鑰和全網(wǎng)密鑰�����,網(wǎng)關(guān)處存儲(chǔ)全網(wǎng)密鑰�����。密鑰建立在IPSec中的IKE安全關(guān)聯(lián)階段協(xié)商完成�����,測試管理系統(tǒng)與節(jié)點(diǎn)之間的密鑰存儲(chǔ)在網(wǎng)關(guān)上�����。密鑰更新過程則由測試管理系統(tǒng)發(fā)起實(shí)施�����,主要測試IPv6傳感網(wǎng)節(jié)點(diǎn)與網(wǎng)關(guān)之間能否正確進(jìn)行密鑰更新,并依據(jù)《傳感器網(wǎng)絡(luò)信息安全通用技術(shù)規(guī)范》附錄A中對(duì)傳感網(wǎng)密鑰更新的描述對(duì)本協(xié)議棧的密鑰更新功能進(jìn)行測試驗(yàn)證�����。
[0012]本發(fā)明中的安全測試系統(tǒng)集成的攻擊檢測機(jī)制�����,主要包括對(duì)傳感網(wǎng)絡(luò)通信過程中的重放攻擊�����、DoS攻擊和中間人攻擊進(jìn)行檢測�����。傳感器網(wǎng)絡(luò)通信中面臨的惡意攻擊是一種人為的�����、有目的的破壞�����,包括傳播不良信息�����、竊密�����、病毒�����、重放�����、篡改等�����。本發(fā)明中的安全測試系統(tǒng)�����,能夠利用集成的攻擊檢測模塊對(duì)傳感網(wǎng)通信過程中的非法攻擊行為進(jìn)行檢測�����。
[0013]本發(fā)明中的安全測試系統(tǒng),在測試過程中首先要對(duì)系統(tǒng)進(jìn)行規(guī)模和穩(wěn)定性測試�����。對(duì)系統(tǒng)進(jìn)行規(guī)模測試主要是測試IPv6傳感網(wǎng)安全系統(tǒng)整體規(guī)模能否達(dá)到400個(gè)�����,通過搭建IPv6傳感網(wǎng)安全系統(tǒng)�����,并檢查入網(wǎng)設(shè)備數(shù)目與系統(tǒng)運(yùn)行情況判斷該系統(tǒng)是否能達(dá)到要求�����。對(duì)系統(tǒng)穩(wěn)定性測試主要測試系統(tǒng)整體的穩(wěn)定性�����,檢測節(jié)點(diǎn)掉線率以及丟包率是否達(dá)到要求并且能滿足系統(tǒng)正常運(yùn)行的條件�����,通過統(tǒng)計(jì)搭建好的系統(tǒng)在長時(shí)間運(yùn)行過程中掉線設(shè)備比例與在線設(shè)備丟包情況判斷系統(tǒng)是否穩(wěn)定�����。當(dāng)大規(guī)模傳感器網(wǎng)絡(luò)運(yùn)行穩(wěn)定后,對(duì)其進(jìn)行安全功能測試�����。
[0014]本發(fā)明的優(yōu)點(diǎn)及有益效果如下:
[0015]本安全測試系統(tǒng)集成了輕量級(jí)的IPSec�����、訪問控制�����、密鑰管理�����、AES-CCM*加密校驗(yàn)等安全功能�����、IPv6傳感網(wǎng)攻擊檢測功能以及性能的測試機(jī)制�����,能夠根據(jù)RFC4304�����、《傳感器網(wǎng)絡(luò)信息安全通用技術(shù)規(guī)范》�����、《IEEE802.15.4低速無線個(gè)域網(wǎng)(WPAN)媒體訪問控制和物理層規(guī)范》等相關(guān)安全規(guī)范對(duì)基于IPv6的傳感網(wǎng)安全功能進(jìn)行測試�����,該安全測試系統(tǒng)在測試過程中配置簡單�����、易操作�����,能夠依據(jù)安全標(biāo)準(zhǔn)快速精確檢測出被測IPv6傳感網(wǎng)的安全機(jī)制是否滿足相應(yīng)標(biāo)準(zhǔn)規(guī)范�����,同時(shí)能夠分析傳感網(wǎng)添加安全功能前后的計(jì)算�����、存儲(chǔ)、通信和時(shí)延開銷�����,并且能夠以測試結(jié)果為輸入�����,根據(jù)信息技術(shù)安全性評(píng)估準(zhǔn)則(GB/T 18336)判定被測網(wǎng)絡(luò)是否滿足評(píng)估等級(jí)的某一個(gè)級(jí)別�����。
【附圖說明】
[0016]圖1為基于IPv6無線傳感網(wǎng)絡(luò)安全功能測試系統(tǒng)架構(gòu)示意圖�����;
[0017]圖2為IPv6傳感網(wǎng)安全測試系統(tǒng)總體結(jié)構(gòu)圖�����;
[0018]圖3訪問控制功能測試流程�����;
[0019]圖4為時(shí)間窗口結(jié)構(gòu)圖�����。
【具體實(shí)施方式】
[0020]為了使本發(fā)明的目的�����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�����,以下結(jié)合附圖及實(shí)施例�����,對(duì)本發(fā)明進(jìn)行進(jìn)一步的詳細(xì)說明�����。此處所描述的具體實(shí)施例僅用于解釋本發(fā)明�����,并不用于限定本發(fā)明。
[0021]IPv6傳感網(wǎng)安全測試系統(tǒng)如圖2所示�����,系統(tǒng)由IPv6傳感網(wǎng)和測試管理系統(tǒng)組成�����。IPv6傳感網(wǎng)中包括節(jié)點(diǎn)設(shè)備�����、路由設(shè)備和模擬攻擊節(jié)點(diǎn)�����;測試管理系統(tǒng)包括網(wǎng)關(guān)和安全管理端�����。
[0022]一�����、安全功能測試
[0023]1.輕量級(jí)IPSec測試
[0024]本發(fā)明中的安全測試系統(tǒng)�����,能夠?qū)贗Pv6的傳感器網(wǎng)絡(luò)