密鑰��;所述單播安全功能測試是對單播安全的封裝格式和所采用對稱密碼算法是否符合標(biāo)準(zhǔn)進(jìn)行測試;所述多播安全功能測試內(nèi)容為網(wǎng)關(guān)是否能夠成功生成多播簽名和被測多播成員節(jié)點成功接收報文���、驗證多播報文�,并成功提取密文的能力�,是否能夠保障一對多傳輸安全的保密性和完整性;所述頭部壓縮機(jī)制測試是測試開啟ESP頭部壓縮機(jī)制是否在完成正常通信的情況下�����,發(fā)送的報文格式更短���,且報文壓縮編碼格式符合方案設(shè)計�; 所述訪問控制模塊的測試內(nèi)容包括注冊授權(quán)功能���、認(rèn)證訪問控制功能和非法用戶登錄功能測試����,用于驗證最終是否能夠?qū)崿F(xiàn)外網(wǎng)用戶的訪問控制過程���; 所述密鑰管理模塊測試內(nèi)容包括密鑰建立�����、密鑰更新功能測試����;密鑰建立在IPSec中的IKE安全關(guān)聯(lián)階段協(xié)商完成,測試管理系統(tǒng)與節(jié)點之間的密鑰存儲在網(wǎng)關(guān)上�,密鑰更新過程則由測試管理系統(tǒng)發(fā)起實施,主要測試IPv6傳感網(wǎng)節(jié)點與網(wǎng)關(guān)之間能否正確進(jìn)行密鑰更新��; 所述AES-CCM*加密校驗?zāi)K測試內(nèi)容包括不同安全等級模式下的加密����、解密和校驗碼生成功能測試,主要測試IPv6傳感網(wǎng)MAC層對流出幀和流入幀的安全處理是否符合標(biāo)準(zhǔn)要求���; 所述攻擊檢測單元是對IPv6無線傳感網(wǎng)中的非法攻擊行為進(jìn)行檢測���,包括對重放攻擊檢測、中間人攻擊檢測和DoS攻擊檢測���; 所述性能測試單元是對IPv6無線傳感網(wǎng)中添加安全功能后的性能進(jìn)行詳細(xì)測試�,包括通信開銷�����、存儲開銷、計算開銷和時延測試��。
2.根據(jù)權(quán)利要求1所述的基于IPv6無線傳感網(wǎng)絡(luò)安全測試系統(tǒng)�,其特征在于:所述訪問控制測試模塊的測試具體步驟如下: 1)用戶在訪問IPv6傳感網(wǎng)前�����,首先在安全管理端進(jìn)行注冊�,用戶User向安全管理端發(fā)送注冊請求消息 Message1= ID u IDs N1 Nonce11 Time11 MIC1,其中 MIC1 =H(IDj IDs N1 Nonce1 I Time1),Message1為注冊請求消息�,ID u為用戶身份,ID 3為管理端身份��,N1為認(rèn)證請求消息標(biāo)示號�,Nonce i為隨機(jī)數(shù)�����,Time i為時間戳�����,MIC 完整性校驗碼���; 2)安全管理端接收到���,計算 MIC2= H(IDU| IDs N1 Nonce1 ITime1)����,判斷皿工仏與11(:2是否相等,若相等則產(chǎn)生隨機(jī)數(shù)Nonce2�����,并利用收到的如此^生成用戶與安全管理端的會話密鑰Ku���,s,回復(fù)響應(yīng)消息并保存至信息庫; 3)使用任意注冊用戶進(jìn)行登錄,安全管理端在信息庫中查找該用戶信息,若信息庫中查找到該用戶注冊信息���,則登陸成功,否則��,登錄失敗���,不能進(jìn)行以下授權(quán)操作; 4)用戶登錄成功后�����,向安全管理端發(fā)送授權(quán)請求消息Message3=IDj IDs N3 E1 Time3 IMIC3, Message3為用戶想管理端發(fā)送的授權(quán)請求消息����,N 3為授權(quán)請求標(biāo)識號,E1為發(fā)送的授權(quán)請求消息����,E 1= E(KU���;S, IDj I IDS| Rs)為���,Rs為網(wǎng)絡(luò)的資源集合����; 5)安全管理端收到Message3后給用戶分配相關(guān)資源信息,同時產(chǎn)生用戶與網(wǎng)關(guān)之間的會話密鑰Ku�����,n,回復(fù)授權(quán)響應(yīng)信息Message= IDs IDn| N4 E2 E3 Time4 MIC4,其中 E2= E(KU�,S,IDj IDs Gac| |Ku��,n| I Time4,其中 Gac為授權(quán)證書結(jié)構(gòu)體�,E3= E(Ks�����,n�����,IDuI IiDsI IgacI Ik1J�,匕消息用于網(wǎng)關(guān)對訪問用戶進(jìn)行認(rèn)證����,其中Ks,n為安全管理端與網(wǎng)關(guān)之間的預(yù)共享密鑰�����,Ga�。是授權(quán)證書結(jié)構(gòu)體; 6)用戶收到安全管理端發(fā)送的訪問響應(yīng)后��,解密E2存儲授權(quán)證書消息Gac和Ku�����,?并保存E3; 7)用戶向網(wǎng)關(guān)發(fā)起訪問請求Message5=IDU| IDn N5 E4 E3 Time5 | MIC5�,其中E4訪問請求消息�����,E4= E(Ku��;n, IDU| IDn |gac| Nonce3)�����; 8)網(wǎng)關(guān)收到1^%865后����,利用Ks��,n解密E3從而認(rèn)證用戶IDu���,得到與用戶的共享密鑰Ku�,n以及授權(quán)證書Gac���,根據(jù)!(^^解密E 4,得到Nonce3W及用戶相關(guān)資源的屬性證書g ac; 9)根據(jù)授權(quán)證書Gac執(zhí)行訪問控制判定��,查詢授權(quán)證書��,確認(rèn)用戶是否已被授權(quán),若判斷合法�,則查詢屬性證書信息庫,判斷其訪問操作是否可行���,若可行�,則網(wǎng)關(guān)回復(fù)訪問請求響應(yīng)消息并發(fā)送給消息至安全管理端��,并在安全管理端顯示訪問控制測試結(jié)果�����。
3.根據(jù)權(quán)利要求1所述的基于IPv6無線傳感網(wǎng)絡(luò)安全測試系統(tǒng)�,其特征在于:所述AES-CCM*加密校驗?zāi)K的測試具體步驟如下: 1)網(wǎng)關(guān)和節(jié)點中同時部署AES算法的CCM*操作模式,在安全管理端中集成的基于AES-CCM* 標(biāo)準(zhǔn)的第三方測試軟件 Wireless HART CCM Security Utility 軟件����; 2)在安全管理端配置需要測試的安全等級,將該等級作為數(shù)據(jù)安全處理命令下發(fā)至節(jié)點和網(wǎng)關(guān)���; 3)被測節(jié)點設(shè)備收到安全處理命令后�,在MAC層選擇安全規(guī)范中定義的安全等級�����,將明文A經(jīng)過AES CCM*操作模式進(jìn)行加密校驗后生成的密文M發(fā)送至網(wǎng)關(guān); 4)網(wǎng)關(guān)收到密文M后首先將該報文轉(zhuǎn)發(fā)至安全管理端�����,安全管理端存儲該密文M; 5)網(wǎng)關(guān)在轉(zhuǎn)發(fā)該密文的同時����,利用網(wǎng)關(guān)中集成的AES算法的CCM*操作模式,將該密文M進(jìn)行校驗����,解密,并將計算出來的明文A1轉(zhuǎn)發(fā)至安全管理端����; 6)安全管理端收到々1后,將A1�����、密鑰材料��、安全等級輸入WirelessHART CCM SecurityUti I ity軟件中���,獲取經(jīng)過該軟件加密校驗的密文M1 ���; 7)安全管理端對比生成的M1和收到的密文M,如果一致�����,則說明傳感網(wǎng)中集成的AES-CCM*符合定義的AES-CCM*算法�;否則,不符合規(guī)范����,并將測試結(jié)果顯示在安全管理端。
4.根據(jù)權(quán)利要求3所述的基于IPv6無線傳感網(wǎng)絡(luò)安全測試系統(tǒng)����,其特征在于:所述基于AES-CCM*標(biāo)準(zhǔn)的第三方測試軟件是Wireless HART CCM Security Utility軟件。
5.根據(jù)權(quán)利要求1所述的基于IPv6無線傳感網(wǎng)絡(luò)安全測試系統(tǒng)���,其特征在于:所述重放攻擊檢測在發(fā)送方添加時間信息���,在網(wǎng)關(guān)和安全管理端處構(gòu)建重放檢測的機(jī)制,實現(xiàn)對重放攻擊的防控���,具體測試步驟如下: (1)發(fā)送方即模擬攻擊節(jié)點構(gòu)建重放攻擊報文�����; (2)在時間同步的基礎(chǔ)上��,發(fā)送方在應(yīng)用層獲取數(shù)據(jù)被創(chuàng)建的時間信息Createtime�����,同時使用與網(wǎng)關(guān)共享的應(yīng)用層數(shù)據(jù)加密密鑰加密時間信息Createtime �; (3)發(fā)送方在MAC層獲取消息發(fā)送時間信息SendTAIttime,同時使用與網(wǎng)關(guān)共享的MAC層數(shù)據(jù)加密密鑰加密時間信息SendTAIttime ��; (4)發(fā)送方利用上述信息構(gòu)建消息完整性校驗碼MIC; (5)接收方即網(wǎng)關(guān)檢測報文: a)接收方構(gòu)建時間窗口�,滑動時間窗口的大小設(shè)定為T,左窗口的值為T_left���,右窗口的值為 T_right�,且 T_left = T_right_T �; b)同時接收方構(gòu)建存儲數(shù)據(jù)包時間信息的二維數(shù)組,該二維數(shù)組用于存儲已經(jīng)接收過的數(shù)據(jù)包的發(fā)送時間信息SendTAITime和構(gòu)建時間信息Createtime ����; c)在時間同步的基礎(chǔ)上�,接收方在收到發(fā)送方發(fā)送的消息后��,在MAC層完成MIC校驗���,若MIC校驗成功,則繼續(xù)進(jìn)行以下步驟�,否則丟棄該消息; d)接收方獲取消息的接收時間信息ReceiveTAITime�����,并通過相應(yīng)的密鑰解密獲取發(fā)送時間信息 SendTAITime��,通過判斷 ReceiveTAITime-SendTAITime TolerantTime��,是否成立����,來初步確定消息的新鮮性,其中TolerantTime為容忍時間信息�,若判斷條件成立,則進(jìn)行以下步驟�����,反之則丟棄該數(shù)據(jù)包; e)接收方依據(jù)滑動時間窗口信息�,判斷數(shù)據(jù)包的發(fā)送時間信息和左窗口時間值T_left的大小,若SendTAITime〈T_left����,則為重放攻擊,反之則進(jìn)行一下步驟���; f)若T_left〈SendTAITime〈T_right���,接收方在滑動時間窗口內(nèi)部尋找是否有與當(dāng)前數(shù)據(jù)包的SendTAITime相同的數(shù)據(jù)包,若沒有相同的數(shù)據(jù)包�,則將當(dāng)前數(shù)據(jù)包的發(fā)送時間信息SendTAITime和構(gòu)建時間信息Createtime按時間值順序存儲在二維數(shù)組中;若存在相同的數(shù)據(jù)包�����,接收方則解密獲取應(yīng)用層的構(gòu)建時間信息Createtime�����,并在二維數(shù)組中查詢是否有與當(dāng)前數(shù)據(jù)包相同的構(gòu)建時間信息CreateTime���,若存在�,則認(rèn)為該數(shù)據(jù)包為重放數(shù)據(jù)包,若沒有則認(rèn)為該數(shù)據(jù)包合法�,并將其時間信息存儲在二維數(shù)組中; g)若T_right〈SendTAITime���,則認(rèn)為該數(shù)據(jù)包一定為新鮮的數(shù)據(jù)�����,將其相應(yīng)的時間值存入二維數(shù)組中,并將這個SendTAITime作為新的窗口的右邊緣���,左邊緣也相對移動�。
【專利摘要】本發(fā)明公開一種基于IPv6無線傳感網(wǎng)絡(luò)的安全測試系統(tǒng)�����,系統(tǒng)包括:安全管理端���,網(wǎng)關(guān)和IPv6傳感網(wǎng)�。其中��,安全管理端和網(wǎng)關(guān)共同作為測試管理系統(tǒng)�,集成輕量級IPSec�、訪問控制�、密鑰管理、AES-CCM*加密校驗等安全測試機(jī)制以及IPv6傳感網(wǎng)攻擊檢測功能�����,并且能夠分析加入安全功能后網(wǎng)絡(luò)的性能�,實現(xiàn)安全測試管理。本發(fā)明中的安全測試系統(tǒng)在測試過程中配置簡單����、易操作,能夠依據(jù)相應(yīng)的安全標(biāo)準(zhǔn)測出IPv6傳感網(wǎng)內(nèi)的安全功能是否實現(xiàn)并滿足要求��,同時本安全測試系統(tǒng)能夠根據(jù)測試結(jié)果判定IPv6傳感網(wǎng)所滿足的信息技術(shù)安全性評估準(zhǔn)則中規(guī)定的評估保證等級級別���。
【IPC分類】H04W24-00
【公開號】CN104837150
【申請?zhí)枴緾N201510299471
【發(fā)明人】王浩, 劉穎, 王平, 王維, 寇偉
【申請人】重慶郵電大學(xué)
【公開日】2015年8月12日
【申請日】2015年6月3日