CN104837150A - IPv6无线传感网安全测试系统 - Google Patents
IPv6无线传感网安全测试系统 Download PDFInfo
- Publication number
- CN104837150A CN104837150A CN201510299471.1A CN201510299471A CN104837150A CN 104837150 A CN104837150 A CN 104837150A CN 201510299471 A CN201510299471 A CN 201510299471A CN 104837150 A CN104837150 A CN 104837150A
- Authority
- CN
- China
- Prior art keywords
- test
- message
- safety
- gateway
- management end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于IPv6无线传感网络的安全测试系统,系统包括:安全管理端,网关和IPv6传感网。其中,安全管理端和网关共同作为测试管理系统,集成轻量级IPSec、访问控制、密钥管理、AES-CCM*加密校验等安全测试机制以及IPv6传感网攻击检测功能,并且能够分析加入安全功能后网络的性能,实现安全测试管理。本发明中的安全测试系统在测试过程中配置简单、易操作,能够依据相应的安全标准测出IPv6传感网内的安全功能是否实现并满足要求,同时本安全测试系统能够根据测试结果判定IPv6传感网所满足的信息技术安全性评估准则中规定的评估保证等级级别。
Description
技术领域
本发明属于工业无线通信技术领域,具体涉及一种基于IPv6无线传感器网络的安全功能测试系统。
背景技术
无线传感器网络是由大量的、廉价的微型传感器节点组成,并且被部署在一定检测区域内,通过无线通信方式形成的一个自组织的多跳的网络;能够完成协作地感知、采集和处理网络覆盖区域中对象的信息,并发送给观察者等。但由于无线传感器网络的开放性,一般部署在无人监测的开放式环境下,使其面临着各种各样威胁和攻击,其安全问题显得尤为重要。
在无线传感网的安全技术中,入网认证、密钥管理、访问控制、密钥管理、入侵检测等安全技术已经大量广泛使用,能够在一定程度上提高网络的安全性,但是如何快速、有效的测试所添加的安全功能的可靠性,是亟待解决的问题。
传统的安全测试方案,往往需要根据相关安全功能的开发文档,来逐步测试其安全功能是否符合要求。针对这些安全功能在传感网中的可用性、规范性测试,仍然没有一个统一、权威的测试系统,使得安全测试的过程显得非常复杂。
发明内容
本发明要解决的问题在于,针对IPv6(Internet Protocol Version 6)无线传感器网络中的安全功能,提供了一个可靠的测试系统,方便用户测试IPv6传感网中安全功能的合理性和网络的安全性。
本发明中的安全测试系统,其组成包括:安全管理端,网关和IPv6传感网。其中,安全管理端和网关共同作为测试管理系统,集成了轻量级的IPSec(IPSecurity)、访问控制、密钥管理、AES-CCM*(Advanced EncryptionStandard-Counter with CBC-MAC)加密校验等安全功能的测试、IPv6传感网攻击检测功能测试加入安全功能后传感网的性能测试。IPv6传感网中包括普通节点设备、路由设备和模拟攻击节点。
本发明中的安全测试系统,测试内容包括IPv6传感网的轻量级IPSec机制测试,传感器网络AES-CCM*加密校验机制测试,ARM网关上的密钥管理测试、访问控制机制测试,攻击检测以及添加安全功能后传感器网络的时延、计算、存储、通信开销等性能测试。其中,轻量级IPSec机制的测试包括头部压缩机制测试、IKE(Internet Key Exchange Protocol)安全关联测试、单播安全功能测试、多播安全功能测试;访问控制功能测试包括注册授权功能测试、认证访问控制功能、非法用户登录测试;基于AES-CCM*加密校验机制测试包括7种等级下的安全测试;ARM网关上的密钥管理测试包括密钥的建立、密钥的更新测试;攻击检测包括重放攻击测试、中间人攻击测试、DoS(Denial of Service)攻击测试等。
本发明中的安全测试系统所涉及的轻量级IPSec是一种适用于IPv6传感网的IPSec,与IPv6网络采用的IPSec有所异同,所以系统测试时不仅要考虑IPSec的实现是否符合标准,同时也要考虑是否满足传感器低开销和低储存等特性。其测试机制,主要包括以下四个方面的内容:IKE安全关联(包括密钥管理和身份鉴别)测试、轻量级单播安全功能测试、轻量级多播安全功能测试以及ESP(Encapsulating Security Payloads)安全头部压缩编码功能测试。参考《信息技术传感网络信息安全通用技术规范》标准PG6中基于分组密码算法的鉴别模型,IPv6传感网的轻量级IKE安全关联机制以四次交互的预共享密钥鉴别机制作为唯一协商策略,利用HMAC(Hash-based Message Authentication Code)的密钥协商方式替代ISAKMP(Internet Security Association Key ManagementProtocol)协议框架下ECDH(Elliptic Curve Cryptosystems-Diffie-Hellman)的密钥协商方式,从而实现可信的安全关联,建立会话密钥。因此在本安全测试系统中,网关和安全管理端集成了PG6中的分组密码算法、HMAC算法和鉴别模型,通过采集IPv6传感器网络节点在入网过程中与测试管理系统进行交互的报文,能够在不影响IPv6传感网大规模系统稳定性的同时,精确高效地反映IPv6传感网节点安全入网过程中四次交互,判断预共享密钥鉴别机制正确性,测试出传感网的IKE安全关联过程是否满足设计要求。
IPv6传感网内部的通信主要为单播和多播两种方式。其中IPv6节点与网关通过单播进行数据传输,安全网关通过多播或广播的方式下发消息。对于IPv6节点与网关的单播数据传输安全,在网络层采用单播的ESP传输模式封装,实现网内端到端单播、多播传输安全,采用IEEE802.15.4中定义的AES-CCM*安全机制保障MAC(Media Access Control)层点到点的传输安全。IPv6节点与远程用户通信过程中,在IPv6节点之间采用基于轻量级ESP传输模式,网关与远程用户采用通用算法隧道模式进行保护,实现IPv6节点到远程用户的传输安全。
本发明中的安全测试系统集成的访问控制功能测试机制,主要包括以下三部分内容:注册授权功能测试、认证访问控制功能、非法用户登录测试。在用户注册功能测试阶段,安全管理中心与用户在第一次通信过程中生成通信密钥。已经注册的用户,安全管理中心将对其进行授权处理,并把授权证书下发给用户。将用户信息以及安全管理中心对用户的判定结果等通过安全管理中心和传感器网络的共享密钥加密下发给用户。该信息由安全管理中心和网络管理中心共享密钥加密,用户只能存储该信息,无法得到信息具体内容,只能由网络管理中心解析得到。在认证访问控制测试阶段,用户在提交访问请求的同时,必须提交该信息到网络管理中心。网络管理中心解析信息得到合法并授权的用户信息,根据该信息判断用户身份的合法性,进而进行后续的访问控制。在非法用户登录测试阶段,本系统能够模拟未注册用户、未授权用户或授权用户非正常访问对传感器网络进行访问,测试传感器网络网关对非正常访问是否能够做出正确响应。本安全测试系统中集成的访问控制测试功能,其测试的总体流程如图3所示。
本发明中的安全测试系统集成的密钥管理测试机制,主要包括以下两部分内容:密钥建立和密钥更新。在IPv6传感网络中,节点存储的密钥包括加入密钥、个体密钥和全网密钥,网关处存储全网密钥。密钥建立在IPSec中的IKE安全关联阶段协商完成,测试管理系统与节点之间的密钥存储在网关上。密钥更新过程则由测试管理系统发起实施,主要测试IPv6传感网节点与网关之间能否正确进行密钥更新,并依据《传感器网络信息安全通用技术规范》附录A中对传感网密钥更新的描述对本协议栈的密钥更新功能进行测试验证。
本发明中的安全测试系统集成的攻击检测机制,主要包括对传感网络通信过程中的重放攻击、DoS攻击和中间人攻击进行检测。传感器网络通信中面临的恶意攻击是一种人为的、有目的的破坏,包括传播不良信息、窃密、病毒、重放、篡改等。本发明中的安全测试系统,能够利用集成的攻击检测模块对传感网通信过程中的非法攻击行为进行检测。
本发明中的安全测试系统,在测试过程中首先要对系统进行规模和稳定性测试。对系统进行规模测试主要是测试IPv6传感网安全系统整体规模能否达到400个,通过搭建IPv6传感网安全系统,并检查入网设备数目与系统运行情况判断该系统是否能达到要求。对系统稳定性测试主要测试系统整体的稳定性,检测节点掉线率以及丢包率是否达到要求并且能满足系统正常运行的条件,通过统计搭建好的系统在长时间运行过程中掉线设备比例与在线设备丢包情况判断系统是否稳定。当大规模传感器网络运行稳定后,对其进行安全功能测试。
本发明的优点及有益效果如下:
本安全测试系统集成了轻量级的IPSec、访问控制、密钥管理、AES-CCM*加密校验等安全功能、IPv6传感网攻击检测功能以及性能的测试机制,能够根据RFC4304、《传感器网络信息安全通用技术规范》、《IEEE802.15.4低速无线个域网(WPAN)媒体访问控制和物理层规范》等相关安全规范对基于IPv6的传感网安全功能进行测试,该安全测试系统在测试过程中配置简单、易操作,能够依据安全标准快速精确检测出被测IPv6传感网的安全机制是否满足相应标准规范,同时能够分析传感网添加安全功能前后的计算、存储、通信和时延开销,并且能够以测试结果为输入,根据信息技术安全性评估准则(GB/T 18336)判定被测网络是否满足评估等级的某一个级别。
附图说明
图1为基于IPv6无线传感网络安全功能测试系统架构示意图;
图2为IPv6传感网安全测试系统总体结构图;
图3访问控制功能测试流程;
图4为时间窗口结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。此处所描述的具体实施例仅用于解释本发明,并不用于限定本发明。
IPv6传感网安全测试系统如图2所示,系统由IPv6传感网和测试管理系统组成。IPv6传感网中包括节点设备、路由设备和模拟攻击节点;测试管理系统包括网关和安全管理端。
一、安全功能测试
1.轻量级IPSec测试
本发明中的安全测试系统,能够对基于IPv6的传感器网络中运用的轻量级IPSec功能进行测试,测试内容主要包括IKE安全关联测试、单播安全测试、多播安全测试、头部压缩测试这四部分。
(1)IKE安全关联测试
IPSec中的IKE安全关联指实体之间协商采用何种认证模式、密钥生成方式以及加密校验算法来保护数据通信,并建立会话密钥的过程。本发明中的安全测试系统能够依据《传感器网络信息安全通用技术规范》中对节点鉴别的描述和《IPSec协议应用测试内容规范与测试步骤》对传感网进行测试,主要测试IPSec关联是否有安全功能,实现可信的IKE安全关联并建立会话密钥。IKE安全关联测试的具体步骤如下所述:
1)启动网关和安全管理端,初始化IKE安全关联测试模块;
2)启动IPv6传感网设备,设备入网的过程中,网关捕获交互报文;
3)网关捕获传感器设备后的第一条入网请求报文后,首先将该请求报文转发到安全管理端,安全管理端解析出报文中的随机数Ni、节点标识符IDii、协商计数器Counter和I-Cookie,利用集成的HMAC算法,计算I-Cookie1的值,I-Cookie1=Hash(IDii||PSK||Counter),比较I-Cookie与I-Cookie1是否一致;
4)网关在向安全管理端转发入网请求报文的同时,对收到的入网请求报文中的I-Cookie进行校验,如果校验成功,则将计算出的I-Cookie2转发到安全管理端,安全管理端比较I-Cookie、I-Cookie1、I-Cookie2,并显示出比较结果,如果三者相同,则说明传感网中IKE安全关联第一条报文符合规范;
5)网关校验I-Cookie成功后,向入网节点返回第二条报文,并将此报文转发到安全管理端,安全管理端解析第二条报文中的R-Cookie、随机数Nr、测试管理系统的标识符IDir和认证码AUTH_R,利用集成的HMAC算法计算AUTH_R1=HMAC(k,R-Cookie||Nr||IDir)、k=HMAC(PSK,Ni|Nr)、R-Cookie1=Hash(IDir||PSK||Counter),比较AUTH_R1与AUTH_R,R-Cookie与R-Cookie1的值是否一致,并显示比较结果,如果相同,则说明传感网中IKE安全关联第二条报文符合规范;
6)入网节点收到测试管理系统的入网响应后发送第三条报文,网关接收到第三条后首先向安全管理端转发,安全管理端解析出报文中的I-Cookie、认证码AUTH_I,比较I-Cookie与鉴别第一条报文时计算的I-Cookie1是否一致,如果相同则表示入网节点身份合法;
7)网关在向安全管理端转发第三条报文的同时,解析报文中的I-Cookie、AUTH_I、IDii,利用集成的HMAC算法计算AUTH_I2,AUTH_I2=HMAC(k,I-Cookie||IDii),如果AUTH_I2=AUTH_I,网关向入网节点返回成功响应报文,并向安全管理端发送AUTH_I2和入网成功响应报文;
8)安全管理端比较收到的AUTH_I2、和AUTH_I,并显示比较结果,如果相同,则说明传感网IKE安全关联第三条报文符合规范;同时查看网关转发上来的第四条报文是否是入网成功响应报文,如果符合成功响应报文格式,则表示IKE安全关联成功,在安全管理端显示安全关联测试结果。
(2)IPSec单播安全功能测试
IPSec单播安全采用基于AES-CCM*算法的ESP传输模式封装,保证IPv6传感网节点之间的单播通信安全。该安全测试系统能够依据RFC4304定义的ESP封装格式并参考《IPSec协议应用测试内容规范与测试步骤指南》对IPSec单播安全传输功能进行测试,主要对单播安全的封装格式和所采用对称密码算法是否符合标准进行测试。IPSec的单播安全功能具体测试步骤如下:
1)在节点完成IKE安全关联过程后,获取网关下发的会话密钥k;
2)被测节点设备,在未开启报文压缩机制的情况下,每秒向网关发送一个安全处理后的报文;
3)网关首先将收到的安全处理后的报文转发至安全管理端,安全管理端存储该报文;
4)网关在向安全管理端转发该报文的同时,利用IKE阶段协商的会话密钥,通过网关内部集成的AES-CCM*机制对该安全报文解密、认证,并将会话密钥以及解密出的明文转发至安全管理端;
5)安全管理端在收到明文和密钥后,利用安全管理端中集成的基于AES-CCM*标准的第三方测试软件Wireless HART CCM Security Utility,重新对该明文进行加密校验;
6)安全管理端比较网关转发上来的安全处理后的报文和Wireless HART CCMSecurity Utility重新计算出来的密文,如果一致,说明传感网中的AES-CCM*机制符合IEEE802.15.4标准;
7)安全管理端解析网关转发上来的安全处理后的IPv6报文,分析出IPv6报文各字段域,包括IPv6报头、ESP头、实际载荷、ESP报文和认证码部分,与RFC4304标准中定义的ESP封装格式进行对比,如果一致,则说明单播过程中的安全处理机制符合标准要求,并将测试结果在安全管理端显示。
(3)IPSec多播安全功能测试
IPSec多播安全功能主要是在广播消息认证码中嵌入多播保密消息,在实现广播认证的同时完成保密消息到多播组内节点的保密传输。测试系统对IPSec多播安全功能进行测试,主要测试内容为网关是否能够成功生成多播签名和被测多播成员节点成功接收报文、验证多播报文,并成功提取密文的能力,是否能够保障一对多传输安全的保密性和完整性。该测试系统主要依据RFC3740对多播传输安全完整性,源认证和保密性的要求并参考《IPSec协议应用测试内容规范与测试步骤指南》对IPSec多播安全传输功能进行测试。IPSec多播安全功能具体测试步骤如下:
1)安全管理端构造明文c,将该明文下发至网关后,利用IKE过程中得到的会话密钥,通过Wireless HART CCM Security Utility软件计算密文m;
2)网关收到安全管理端下发的明文c后,将该明文作为隐匿消息,嵌入到多播的报文中,并将该报文广播出去;
3)被测节点设备i收到多播报文后,首先对网关身份进行鉴别,鉴别成功后,根据多播用到的阈下信道机制,恢复出隐匿消息mi;
4)被测节点设备i恢复出隐匿消息后ci,利用IKE过程中得到的会话密钥进行AES-CCM*处理,将得到的密文mi发送至网关;
5)网关收到密文mi后直接将报文转发至安全管理端,安全管理端比较接收的mi与计算出来的m是否一致,如果一致,则说明多播过程中采用的剩余定理、阈下信道、加密校验等安全机制符合标准规范,并将测试结果在安全管理端显示出来;
(4)IPSec头部压缩机制测试
针对引入IPSec安全封装机制,ESP扩展首部负载较大的问题,IPSec头部压缩机制对ESP扩展首部可能存在的冗余部分进行分析,对ESP扩展首部进行编码,降低ESP扩展首部带来的负载。该测试系统主要测试开启ESP头部压缩机制是否在完成正常通信的情况下,发送的报文格式更短,且报文压缩编码格式符合方案设计。测试过程依照RFC6268对ESP扩展首部压缩的要求并参考《IPSec协议应用测试内容规范与测试步骤指南》对IPSec头部压缩功能进行测试。IPSec头部压缩机制具体测试步骤如下:
1)在开启压缩编码机制的传感网中,开启节点向网关发送报文,并由网关将接收到的报文转发至安全管理端;
2)在未开启压缩编码机制的传感网中,开启相同的被测设备向网关发送相同的报文载荷,并转发至安全管理端;
3)在确保解析载荷相同的情况下,安全管理端首先解析在步骤1和2中抓取的报文,依据RFC4304定义的ESP封装格式分析并比较报文各字段域是否符合标准定义,判断是开启压缩编码机制的标志位是否正确;
4)ESP封装格式符合标准后,通过对比开启压缩编码机制的报文和未开启压缩编码机制的报文,提取被压缩的内容;
5)依照RFC6268对ESP扩展首部压缩的要求,对压缩报文编码格式和压缩内容进行对比测试,判断压缩机制是否合理,并将测试结果显示在安全管理端;
2.访问控制测试
访问控制机制用以控制用户对传感器网络访问为目的,防止未授权用户访问传感器网络的节点和数据。当传感器网络的外部用户需要访问传感器网络的资源时,首先需要在安全管理端完成注册过程,得到由测试管理系统分配的访问权限后,才可对传感网资源进行访问。本测试依据《传感器网络信息安全通用技术规范》附录B中对传感网访问控制的描述对本协议栈的访问控制功能进行测试验证,主要测试用户的注册、授权和访问控制功能,验证最终是否能够实现外网用户的访问控制过程。访问控制测试具体步骤如下:
1)用户在访问IPv6传感网前,首先在安全管理端进行注册,用户User向安全管理端发送注册请求消息Message=IDu||IDs||N1||Nonce1||Time1||MIC1,其中MIC1=H(IDu||IDs||N1||Nonce1||Time1),Message1为注册请求消息,IDu为用户身份,IDs为管理端身份,N1为认证请求消息标示号,Nonce1为随机数,Time1为时间戳,MIC1为完整性校验码;
2)安全管理端接收到Message1后,计算MIC2=H(IDu||IDs||N1||Nonce1||Time1),判断MIC1与MIC2是否相等,若相等则产生随机数Nonce2,并利用收到的Nonce1生成用户与安全管理端的会话密钥Ku,s,回复响应消息并保存至信息库;
3)使用任意注册用户进行登录,安全管理端在信息库中查找该用户信息,若信息库中查找到该用户注册信息,则登陆成功,否则,登录失败,不能进行以下授权操作;
4)用户登录成功后,向安全管理端发送授权请求消息Message3=IDu||IDs||N3||E1||Time3||MIC3,E1=E(Ku,s,IDu||IDs||Rs)为授权请求消息,N3为授权请求标识号,E1为发送的授权请求消息,E1=E(Ku,s,IDu||IDs||Rs)为,Rs为网络的资源集合;
5)安全管理端收到Message3后给用户分配相关资源信息,同时产生用户与网关之间的会话密钥Ku,n,回复授权响应信息Message4=IDs||IDn||N4||E2||E3||Time4||MIC4,其中E2=E(Ku,s,IDu||IDs||GAC||Ku,n||Time4),E3=E(Ks,n,IDu||IDs||GAC||Ku,n),其中Ks,n为安全管理端与网关之间的预共享密钥,GAC是授权证书结构体;
6)用户收到安全管理端发送的访问响应后,解密E2存储授权证书消息GAC和Ku,n并保存E3;
7)用户向网关发起访问请求Message5=IDu||IDn||N5||E4||E3||Time5||MIC5,其中E4访问请求消息,E4=E(Ku,n,IDu||IDn||gac||Nonce3);
8)网关收到Message5后,利用Ks,n解密E3从而认证用户IDu,得到与用户的共享密钥Ku,n以及授权证书GAC,根据Ku,n解密E4,得到Nonce3以及用户相关资源的属性证书gac;
9)根据授权证书GAC执行访问控制判定,查询授权证书,确认用户是否已被授权,若判断合法,则查询属性证书信息库,判断其访问操作是否可行,若可行,则网关回复访问请求响应消息并发送给消息至安全管理端,并在安全管理端显示访问控制测试结果。
3.密钥管理测试
IPv6传感网中,节点存储的密钥包括加入密钥、个体密钥和全网密钥,网关处存储全网密钥。密钥建立在IPSec中的IKE安全关联阶段协商完成,测试管理系统与节点之间的密钥存储在网关上,密钥更新过程则由测试管理系统发起实施,所以该测试系统对网关的功能进行的测试。
(1)密钥建立功能测试
本部分主要测试IPv6传感网节点在完成IKE安全关联过程后能否成功与网关建立正确密钥,依据《传感器网络信息安全通用技术规范》附录A中对传感网密钥建立的描述对本协议栈的密钥建立功能进行测试验证。密钥建立功能测试具体步骤如下:
1)安全管理端构造密钥获取请求命令分别下发至网关和节点;
2)网关和节点收到密钥获取请求命令后对其进行解析,并将当前的会话密钥作为载荷构造密钥获取响应发送至安全管理端;
3)安全管理端收到节点和网关密钥获取响应后对其进行解析,对比两者的密钥信息,检查是否一致,若一致,则在安全管理端上显示密钥获取成功,若长时间未收到节点或网关返回的密钥获取响应、响应信息解析错误或解析后节点与网关返回的对密钥信息不一致,则显示密钥获取失败。
(2)密钥更新功能测试
本部分主要测试IPv6传感网节点与网关之间能否正确进行密钥更新。依据《传感器网络信息安全通用技术规范》附录A中对传感网密钥更新的描述对本协议栈的密钥更新功能进行测试验证。密钥更新功能测试具体步骤如下:
1)安全管理端构造密钥获取请求命令下发至网关;
2)网关收到密钥获取请求后对其进行解析,将当前与对应节点之间的对密钥作为载荷构造成密钥获取请求响应发送至安全管理端,安全管理端得到网关和节点之前的对密钥KEY-1;
3)安全管理端构造密钥更新请求命令并发送至网关;
4)网关收到密钥更新命令后对其进行解析,利用密钥更新算法生成新的密钥信息,并将密钥更新命令下发到对应节点;
5)节点将更新的密钥作为密钥更新请求响应返回至网关,网关对比先前更新的密钥与节点更新的密钥是否一致,如果一致,记为KEY-2,否则,重新下发网关的密钥更新命令;
6)安全管理端构造密钥获取请求命令下发至网关;
7)网关解析密钥获取请求后,将当前对应节点之间的对密钥KEY-2作为载荷构造成密钥获取响应发送至安全管理端;
8)安全管理端解析网关返回的密钥获取响应,与之前的对密钥KEY-1进行对比,若KEY-1与KEY-2相同,则更新密钥失败,否则成功,并在安全管理端上显示密钥更新功能测试结果。
4. AES-CCM*加密校验功能测试
MAC层安全功能主要依据IEEE802.15.4中AES算法的CCM*模式对MAC层的流出帧、流入帧进行加解密校验,从而保障IPv6无线传感网点到点的通信安全。该测试系统主要为了测试IPv6传感网MAC层对流出帧和流入帧的安全处理是否符合标准要求。根据《IEEE802.15.4低速无线个域网(WPAN)媒体访问控制和物理层规范》中安全规范对传感网数据安全的描述对本协议栈的MAC层加/解密校验进行测试验证。MAC层安全功能测试具体步骤如下:
1)网关和节点中同时部署AES算法的CCM*操作模式,在安全管理端中集成的基于AES-CCM*标准的第三方测试软件Wireless HART CCM Security Utility软件;
2)在安全管理端配置需要测试的安全等级,在本测试案例中选择MAC层安全级别为0x05,安全属性为ENC-MIC-32,将该等级作为数据安全处理命令下发至节点和网关;
3)被测节点设备收到安全处理命令后,在MAC层选择《IEEE802.15.4低速无线个域网(WPAN)媒体访问控制和物理层规范》中安全规范中定义的安全等级,将明文A经过AES CCM*操作模式进行加密校验后生成的密文M发送至网关;
4)网关收到密文M后首先将该报文转发至安全管理端,安全管理端存储该密文M;
5)网关在转发该密文的同时,利用网关中集成的AES算法的CCM*操作模式,将该密文M进行校验,解密,并将计算出来的明文A1转发至安全管理端;
6)安全管理端收到A1后,将A1、密钥材料、安全等级输入Wireless HART CCMSecurity Utility软件中,获取经过该软件加密校验的密文M1;
7)安全管理端对比生成的M1和收到的密文M,如果一致,则说明传感网中集成的AES-CCM*符合《IEEE802.15.4低速无线个域网(WPAN)媒体访问控制和物理层规范》定义的AES-CCM*算法;否则,不符合规范,并将测试结果显示在安全管理端。
安全功能测试结果分析:
在安全功能测试过程中,若第一个测试步骤结果成功,则继续进行下一个测试步骤,直到所测功能测试结束;若测试过程中出现测试失败,则立即结束该功能测试,并将测试结果发送给安全管理端。安全管理端对测试结果进行分析,自动生成一份测试报告发送给客户端供用户参考。
二、攻击检测
1.重放攻击
重放攻击检测指接收方通过检测接收的信息包,判断信息包是否为已经接收过的信息包,若接收方发现信息包重复,则认为网络中存在重放攻击者,并产生报警信息;若接收方未发现信息包重复,则该信息包为非重放信息。以往的重放攻击检测方案主要采用时间戳和挑战-应答机制,但是只在关键信息加上单个时间戳,这样并不能保证所遵循的协议可以抵抗重放攻击,本系统在结合以往对重放攻击检测方法的基础上进行了一定的改进,并提出一种在发送方添加时间信息,在网关和安全管理端处构建重放检测的机制,实现对重放攻击的防控。具体测试步骤如下所示:
(1)发送方(模拟攻击节点)构建重放攻击报文;
(2)在时间同步的基础上,发送方在应用层获取数据被创建的时间信息Createtime,同时使用与网关共享的应用层数据加密密钥加密时间信息Createtime;
(3)发送方在MAC层获取消息发送时间信息SendTAIttime,同时使用与网关共享的MAC层数据加密密钥加密时间信息SendTAIttime;
(4)发送方利用上述信息构建消息完整性校验码MIC。
(5)接收方(网关)检测报文
a)接收方构建时间窗口结构如图4所示,滑动时间窗口的大小设定为T,左窗口的值为T_left,右窗口的值为T_right,且T_left=T_right-T。
b)同时接收方构建存储数据包时间信息的二维数组,该二维数组用于存储已经接收过的数据包的发送时间信息SendTAITime和构建时间信息Createtime。
c)在时间同步的基础上,接收方在收到发送方发送的消息后,在MAC层完成MIC校验,若MIC校验成功,则继续进行以下步骤,否则丢弃该消息;
d)接收方获取消息的接收时间信息ReceiveTAITime,并通过相应的密钥解密获取发送时间信息SendTAITime,通过判断ReceiveTAITime-SendTAITime≤TolerantTime,是否成立,来初步确定消息的新鲜性,其中TolerantTime为容忍时间信息,若判断条件成立,则进行以下步骤,反之则丢弃该数据包;
e)接收方依据滑动时间窗口信息,判断数据包的发送时间信息和左窗口时间值T_left的大小,若SendTAITime<T_left,则为重放攻击,反之则进行一下步骤;
f)若T_left<SendTAITime<T_right,接收方在滑动时间窗口内部寻找是否有与当前数据包的SendTAITime相同的数据包,若没有相同的数据包,则将当前数据包的发送时间信息SendTAITime和构建时间信息Createtime按时间值顺序存储在二维数组中;若存在相同的数据包,接收方则解密获取应用层的构建时间信息Createtime,并在二维数组中查询是否有与当前数据包相同的构建时间信息CreateTime,若存在,则认为该数据包为重放数据包,若没有则认为该数据包合法,并将其时间信息存储在二维数组中;
g)若T_right<SendTAITime,则认为该数据包一定为新鲜的数据,将其相应的时间值存入二维数组中,并将这个SendTAITime作为新的窗口的右边缘,左边缘也相对移动。
2.中间人攻击
中间人攻击是路由在转发数据包的同时,篡改包内容的一种隐蔽性攻击行为。本方案中的攻击检测模块,能够在IKE关联阶段检测出攻击节点在转发数据包的过程中篡改的标识符ID。以路由作为中间人攻击节点,具体测试步骤如下:
(1)开启中间人攻击路由设备,让其正常入网;
(2)开启多个被测节点设备,使其通过路由转发成功入网;
(3)安全管理端配置中间人攻击测试功能,构造攻击测试请求报文下发至网关,网关收到该请求后向路由节点广播中间人攻击测试请求报文;
(4)被测节点i收到中间人攻击测试请求报文后,将自己的设备信息IDi加密后作为载荷,仍然按照先前发送负载时的封装格式将报文通过路由转发至网关;
(5)网关解析各个节点转发上来的数据,按照标准帧格式解析报文,将报文中的源地址、目的地址、经过的路由地址信息、报头的设备ID、以及加密的负载解析出来,转发至安全管理端;
(6)安全管理端对比报头中的设备ID和利用负载解密出的设备IDi,如果两者完全一致,则表示不存在中间人攻击,否则,说明转发该报文的路由设备在转发数据包的同时,篡改了报文中的ID信息,即为中间人攻击节点,在安全管理端产生中间人攻击报警响应,并显示该路由节点的设备信息以及地址信息。
3. DoS攻击
DoS攻击是指任何未经授权的试图窃取目标信息、破坏目标资源完整性、机密性和可访问性的活动。它一种常见的破坏性极强的攻击,主要包括对无线通信链路的拥塞攻击、耗尽资源攻击、对数据包进行错误路由三种形式。本发明中的安全测试系统,能够有效检测传感网中存在的DoS攻击。其检测的具体步骤如下:
(1)在安全管理端的管理控制台设定有效时间内的最大请求数N,以检测用户DoS攻击的行为;
(2)用户在访问控制阶段,连续向测试管理系统发起读请求;
(3)如果访问用户单位时间内发起的读请求个数超过N,则测试管理系统判定该用户正在进行DoS攻击,在安全管理端显示DoS攻击的报警响应,并限制该用户的访问权限。
攻击检测结果分析:
在攻击检测过程中,若第一个检测步骤结果成功,则继续进行下一个检测步骤,直到检测结束;若检测过程中出现测试失败,则立即结束该检测,并将检测结果发送给安全管理端。安全管理端对测试结果进行分析,自动生成一份检测报告发送给客户端供用户参考。
三、性能测试
对所采用的传感器节点所具备通信、计算与存储能力,对IPv6传感网协议栈内所加入的安全机制以及系统整体性能进行性能测试与评估,要求设计并实施的安全功能所带来的开销在传感器节点能力允许范围内,且集成安全功能后的IPv6传感网系统能够维持正常运行,并保证系统的安全通信。
1.通信开销
本部分主要测试IPv6无线传感网系统中各安全机制的通信开销。通信开销的大小主要取决于各安全机制实现过程所增加的数据包交互次数、各安全机制所增加的负载。通信开销测试具体步骤如下:
1)用安全管理端安全管理端统计各安全机制所增加的数据包交互次数n;
2)在安全管理端安全管理端上分析计算各安全机制所增加的数据负载E’,设备发送和接收数据无线通信模型分别为:加入安全机制增加负载E’=n(Etx+Erx)+m(ESec tx-Etx)+m(ESec rx-Erx),其中,E’为增加的通信开销,n为增加的数据包交互次数,m为原有数据包交互次数,ESec tx为加入了安全机制后的发送开销,ESec rx为加入了安全机制后的接收开销。
2.存储开销
本部分主要测试协议栈加入安全功能后所增加的存储空间。存储开销主要包括代码存储开销和数据存储开销,在测试过程中需通过查看变异后的数据存储量和代码存储量计算加入安全功能所需的存储空间。存储开销测试具体步骤如下:
1)采用在安全管理端安全管理段端集成的IAR Embedded Workbench软件编译开发的6LoWSN协议栈,在IAR Embedded Workbench软件中,将Tools中Options选项中的Show Building Message设置成ALL,编译程序查看代码存储空间C1和数据存储空间R1;
2)在6LoWSN协议栈的基础上加载基于IPv6安全功能的代码,将Tools中Options选项中的Show Building Message设置成ALL,编译程序查看代码存储空间C2和数据存储空间R2;
3)通过步骤1和2后,可得到协议栈软件在加入安全功能代码前后协议栈中代码存储空间的对比情况和数据存储空间的对比情况;
4)通过对协议栈所测得的数据计算,可得到加入安全功能后所需要的代码存储空间为C=C2-C1,所需数据存储空间为R=R2-R1。
3.计算开销
本部分主要测试各安全机制的计算开销。计算开销的大小取决于安全算法的复杂性,在算法具体实现时主要以计算时间来体现,为不影响正常通信,各安全机制的计算开销需控制在毫秒级。计算开销测试具体步骤如下:
1)利用IAR Embedded Workbench软件在协议栈中实现安全功能函数的前后加入时间读取函数,记录时间信息;
2)运行协议栈,记录进入安全机制功能函数时的时间T1;
3)记录跳出安全功能函数时的时间T2;
4)通过所测得的数据计算系统中实现安全机制所需的计算开销ΔT=T2-T1。
4.时延
本部分主要测试协议栈加入安全机制前、后的时延差。时延的测试点主要包括AES软件加密算法以及相关扩展算法的运算时延、协议栈数据安全处理时延。时延测试具体步骤如下:
1)在协议栈中加入安全机制的入口点加入时间读取函数,并在安全机制的结束点加入时间读取函数,记录时间戳t1。
2)在没有加入安全机制的协议栈相同的位置加入读取函数,并在相同的结束点加入时间读取函数,记录时间戳t2。
3)运行协议栈,比较两个协议栈记录的时间戳。
4)通过所测得的数据计算系统中实现安全机制所需的时延大小Δt=t2-t1。
性能测试结果分析:
在安全管理端对添加安全功能后的网络性能进行计算,将计算结果进行保存,与未添加安全功能的性能参数进行对比,并对测试结果进行分析自动生成测试报告,为测试用户提供参考。
Claims (5)
1.一种IPv6无线传感网络安全测试系统,由IPv6传感网和测试管理系统组成;IPv6传感网中包括节点设备、路由设备和模拟攻击节点;其特征在于,测试管理系统包括网关和安全管理端,具有安全功能测试单元、攻击检测单元和性能测试单元;
所述安全功能测试单元是对IPv6无线传感网络中的安全功能进行测试,判断其安全功能是否符合标准规范,包括轻量级IPSec模块、访问控制模块、密钥管理模块、AES-CCM*加密校验模块;
所述轻量级IPSec功能模块的测试内容包括:IKE安全关联、单播安全功能、多播安全功能和头部压缩机制测试;所述IKE安全关联是测试IPSec关联是否有安全功能,实现可信的IKE安全关联并建立会话密钥;所述单播安全功能测试是对单播安全的封装格式和所采用对称密码算法是否符合标准进行测试;所述多播安全功能测试内容为网关是否能够成功生成多播签名和被测多播成员节点成功接收报文、验证多播报文,并成功提取密文的能力,是否能够保障一对多传输安全的保密性和完整性;所述头部压缩机制测试是测试开启ESP头部压缩机制是否在完成正常通信的情况下,发送的报文格式更短,且报文压缩编码格式符合方案设计;
所述访问控制模块的测试内容包括注册授权功能、认证访问控制功能和非法用户登录功能测试,用于验证最终是否能够实现外网用户的访问控制过程;
所述密钥管理模块测试内容包括密钥建立、密钥更新功能测试;密钥建立在IPSec中的IKE安全关联阶段协商完成,测试管理系统与节点之间的密钥存储在网关上,密钥更新过程则由测试管理系统发起实施,主要测试IPv6传感网节点与网关之间能否正确进行密钥更新;
所述AES-CCM*加密校验模块测试内容包括不同安全等级模式下的加密、解密和校验码生成功能测试,主要测试IPv6传感网MAC层对流出帧和流入帧的安全处理是否符合标准要求;
所述攻击检测单元是对IPv6无线传感网中的非法攻击行为进行检测,包括对重放攻击检测、中间人攻击检测和DoS攻击检测;
所述性能测试单元是对IPv6无线传感网中添加安全功能后的性能进行详细测试,包括通信开销、存储开销、计算开销和时延测试。
2.根据权利要求1所述的基于IPv6无线传感网络安全测试系统,其特征在于:所述访问控制测试模块的测试具体步骤如下:
1)用户在访问IPv6传感网前,首先在安全管理端进行注册,用户User向安全管理端发送注册请求消息Message1=IDu||IDs||N1||Nonce1||Time1||MIC1,其中MIC1=H(IDu||IDs||N1||Nonce1||Time1),Message1为注册请求消息,IDu为用户身份,IDs为管理端身份,N1为认证请求消息标示号,Nonce1为随机数,Time1为时间戳,MIC1为完整性校验码;
2)安全管理端接收到Message1后,计算MIC2=H(IDu||IDs||N1||Nonce1||Time1),判断MIC1与MIC2是否相等,若相等则产生随机数Nonce2,并利用收到的Nonce1生成用户与安全管理端的会话密钥Ku,s,回复响应消息并保存至信息库;
3)使用任意注册用户进行登录,安全管理端在信息库中查找该用户信息,若信息库中查找到该用户注册信息,则登陆成功,否则,登录失败,不能进行以下授权操作;
4)用户登录成功后,向安全管理端发送授权请求消息Message3=IDu||IDs||N3||E1||Time3||MIC3,Message3为用户想管理端发送的授权请求消息,N3为授权请求标识号,E1为发送的授权请求消息,E1=E(Ku,s,IDu||IDs||Rs)为,Rs为网络的资源集合;
5)安全管理端收到Message3后给用户分配相关资源信息,同时产生用户与网关之间的会话密钥Ku,n,回复授权响应信息Message4=IDs||IDn||N4||E2||E3||Time4||MIC4,其中E2=E(Ku,s,IDu||IDs||GAC||Ku,n||Time4,其中GAC为授权证书结构体,E3=E(Ks,n,IDu||IDs||GAC||Ku,n),E3消息用于网关对访问用户进行认证,其中Ks,n为安全管理端与网关之间的预共享密钥,GAC是授权证书结构体;
6)用户收到安全管理端发送的访问响应后,解密E2存储授权证书消息GAC和Ku,n并保存E3;
7)用户向网关发起访问请求Message5=IDu||IDn||N5||E4||E3||Time5||MIC5,其中E4访问请求消息,E4=E(Ku,n,IDu||IDn||gac||Nonce3);
8)网关收到Message5后,利用Ks,n解密E3从而认证用户IDu,得到与用户的共享密钥Ku,n以及授权证书GAC,根据Ku,n解密E4,得到Nonce3以及用户相关资源的属性证书gac;
9)根据授权证书GAC执行访问控制判定,查询授权证书,确认用户是否已被授权,若判断合法,则查询属性证书信息库,判断其访问操作是否可行,若可行,则网关回复访问请求响应消息并发送给消息至安全管理端,并在安全管理端显示访问控制测试结果。
3.根据权利要求1所述的基于IPv6无线传感网络安全测试系统,其特征在于:所述AES-CCM*加密校验模块的测试具体步骤如下:
1)网关和节点中同时部署AES算法的CCM*操作模式,在安全管理端中集成的基于AES-CCM*标准的第三方测试软件Wireless HART CCM Security Utility软件;
2)在安全管理端配置需要测试的安全等级,将该等级作为数据安全处理命令下发至节点和网关;
3)被测节点设备收到安全处理命令后,在MAC层选择安全规范中定义的安全等级,将明文A经过AES CCM*操作模式进行加密校验后生成的密文M发送至网关;
4)网关收到密文M后首先将该报文转发至安全管理端,安全管理端存储该密文M;
5)网关在转发该密文的同时,利用网关中集成的AES算法的CCM*操作模式,将该密文M进行校验,解密,并将计算出来的明文A1转发至安全管理端;
6)安全管理端收到A1后,将A1、密钥材料、安全等级输入Wireless HART CCMSecurity Utility软件中,获取经过该软件加密校验的密文M1;
7)安全管理端对比生成的M1和收到的密文M,如果一致,则说明传感网中集成的AES-CCM*符合定义的AES-CCM*算法;否则,不符合规范,并将测试结果显示在安全管理端。
4.根据权利要求3所述的基于IPv6无线传感网络安全测试系统,其特征在于:所述基于AES-CCM*标准的第三方测试软件是Wireless HART CCM SecurityUtility软件。
5.根据权利要求1所述的基于IPv6无线传感网络安全测试系统,其特征在于:所述重放攻击检测在发送方添加时间信息,在网关和安全管理端处构建重放检测的机制,实现对重放攻击的防控,具体测试步骤如下:
(1)发送方即模拟攻击节点构建重放攻击报文;
(2)在时间同步的基础上,发送方在应用层获取数据被创建的时间信息Createtime,同时使用与网关共享的应用层数据加密密钥加密时间信息Createtime;
(3)发送方在MAC层获取消息发送时间信息SendTAIttime,同时使用与网关共享的MAC层数据加密密钥加密时间信息SendTAIttime;
(4)发送方利用上述信息构建消息完整性校验码MIC;
(5)接收方即网关检测报文:
a)接收方构建时间窗口,滑动时间窗口的大小设定为T,左窗口的值为T_left,右窗口的值为T_right,且T_left=T_right-T;
b)同时接收方构建存储数据包时间信息的二维数组,该二维数组用于存储已经接收过的数据包的发送时间信息SendTAITime和构建时间信息Createtime;
c)在时间同步的基础上,接收方在收到发送方发送的消息后,在MAC层完成MIC校验,若MIC校验成功,则继续进行以下步骤,否则丢弃该消息;
d)接收方获取消息的接收时间信息ReceiveTAITime,并通过相应的密钥解密获取发送时间信息SendTAITime,通过判断ReceiveTAITime-SendTAITime≤TolerantTime,是否成立,来初步确定消息的新鲜性,其中TolerantTime为容忍时间信息,若判断条件成立,则进行以下步骤,反之则丢弃该数据包;
e)接收方依据滑动时间窗口信息,判断数据包的发送时间信息和左窗口时间值T_left的大小,若SendTAITime<T_left,则为重放攻击,反之则进行一下步骤;
f)若T_left<SendTAITime<T_right,接收方在滑动时间窗口内部寻找是否有与当前数据包的SendTAITime相同的数据包,若没有相同的数据包,则将当前数据包的发送时间信息SendTAITime和构建时间信息Createtime按时间值顺序存储在二维数组中;若存在相同的数据包,接收方则解密获取应用层的构建时间信息Createtime,并在二维数组中查询是否有与当前数据包相同的构建时间信息CreateTime,若存在,则认为该数据包为重放数据包,若没有则认为该数据包合法,并将其时间信息存储在二维数组中;
g)若T_right<SendTAITime,则认为该数据包一定为新鲜的数据,将其相应的时间值存入二维数组中,并将这个SendTAITime作为新的窗口的右边缘,左边缘也相对移动。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510299471.1A CN104837150B (zh) | 2015-06-03 | 2015-06-03 | IPv6无线传感网安全测试系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510299471.1A CN104837150B (zh) | 2015-06-03 | 2015-06-03 | IPv6无线传感网安全测试系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104837150A true CN104837150A (zh) | 2015-08-12 |
CN104837150B CN104837150B (zh) | 2018-01-05 |
Family
ID=53814728
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510299471.1A Active CN104837150B (zh) | 2015-06-03 | 2015-06-03 | IPv6无线传感网安全测试系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104837150B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107040483A (zh) * | 2017-03-28 | 2017-08-11 | 北京汽车集团有限公司 | 一种汽车通信系统和汽车通信系统的信息发送方法 |
CN107197475A (zh) * | 2016-03-14 | 2017-09-22 | 重庆邮电大学 | 一种基于多线程的传感节点标识符解析测试方法及系统 |
CN109451501A (zh) * | 2018-12-17 | 2019-03-08 | 重庆邮电大学 | 基于广播签密的IPv6工业无线网络数据安全传输方法 |
CN109639735A (zh) * | 2019-01-24 | 2019-04-16 | 重庆邮电大学 | 一种IPv6工业无线网络安全等级的测试方法 |
CN113765851A (zh) * | 2020-06-03 | 2021-12-07 | 华为技术有限公司 | 一种数据处理方法及其设备 |
CN115396335A (zh) * | 2022-08-11 | 2022-11-25 | 重庆邮电大学 | 基于微服务的工业无线网络设备接入IPv6测试系统及方法 |
TWI813214B (zh) * | 2022-03-22 | 2023-08-21 | 中華電信股份有限公司 | IPv6資安檢測系統、方法及電腦可讀媒介 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101764822A (zh) * | 2010-01-29 | 2010-06-30 | 北京天地互连信息技术有限公司 | 一种IPv6源地址认证测试方法 |
WO2013159048A1 (en) * | 2012-04-21 | 2013-10-24 | International Business Machines Corporation | Method and apparatus for providing a test network as an ip accessible cloud service |
CN103701825A (zh) * | 2013-12-31 | 2014-04-02 | 工业和信息化部电子第五研究所 | 面向移动智能终端IPv6协议及其应用的安全测试系统 |
CN104518929A (zh) * | 2014-12-26 | 2015-04-15 | 北京航天测控技术有限公司 | 一种IPv6协议综合自动测试系统 |
-
2015
- 2015-06-03 CN CN201510299471.1A patent/CN104837150B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101764822A (zh) * | 2010-01-29 | 2010-06-30 | 北京天地互连信息技术有限公司 | 一种IPv6源地址认证测试方法 |
WO2013159048A1 (en) * | 2012-04-21 | 2013-10-24 | International Business Machines Corporation | Method and apparatus for providing a test network as an ip accessible cloud service |
CN103701825A (zh) * | 2013-12-31 | 2014-04-02 | 工业和信息化部电子第五研究所 | 面向移动智能终端IPv6协议及其应用的安全测试系统 |
CN104518929A (zh) * | 2014-12-26 | 2015-04-15 | 北京航天测控技术有限公司 | 一种IPv6协议综合自动测试系统 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107197475A (zh) * | 2016-03-14 | 2017-09-22 | 重庆邮电大学 | 一种基于多线程的传感节点标识符解析测试方法及系统 |
CN107040483A (zh) * | 2017-03-28 | 2017-08-11 | 北京汽车集团有限公司 | 一种汽车通信系统和汽车通信系统的信息发送方法 |
CN107040483B (zh) * | 2017-03-28 | 2020-04-28 | 北京汽车集团有限公司 | 一种汽车通信系统和汽车通信系统的信息发送方法 |
CN109451501A (zh) * | 2018-12-17 | 2019-03-08 | 重庆邮电大学 | 基于广播签密的IPv6工业无线网络数据安全传输方法 |
CN109639735A (zh) * | 2019-01-24 | 2019-04-16 | 重庆邮电大学 | 一种IPv6工业无线网络安全等级的测试方法 |
CN109639735B (zh) * | 2019-01-24 | 2021-12-17 | 重庆邮电大学 | 一种IPv6工业无线网络安全等级的测试方法 |
CN113765851A (zh) * | 2020-06-03 | 2021-12-07 | 华为技术有限公司 | 一种数据处理方法及其设备 |
CN113765851B (zh) * | 2020-06-03 | 2022-11-08 | 华为技术有限公司 | 一种数据处理方法及其设备 |
TWI813214B (zh) * | 2022-03-22 | 2023-08-21 | 中華電信股份有限公司 | IPv6資安檢測系統、方法及電腦可讀媒介 |
CN115396335A (zh) * | 2022-08-11 | 2022-11-25 | 重庆邮电大学 | 基于微服务的工业无线网络设备接入IPv6测试系统及方法 |
CN115396335B (zh) * | 2022-08-11 | 2023-05-16 | 重庆邮电大学 | 基于微服务的工业无线网络设备接入IPv6测试系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104837150B (zh) | 2018-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Noura et al. | LoRaWAN security survey: Issues, threats and possible mitigation techniques | |
CN104837150B (zh) | IPv6无线传感网安全测试系统 | |
Qiu et al. | A mutual authentication and key establishment scheme for M2M communication in 6LoWPAN networks | |
Fan et al. | Security analysis of zigbee | |
Pereira et al. | An authentication and access control framework for CoAP-based Internet of Things | |
US8467532B2 (en) | System and method for secure transaction of data between a wireless communication device and a server | |
Yoshigoe et al. | Overcoming invasion of privacy in smart home environment with synthetic packet injection | |
Vanhoef et al. | Practical verification of WPA-TKIP vulnerabilities | |
US20180124600A1 (en) | Anonymity authentication method for wireless sensor networks | |
CN104580233A (zh) | 一种物联网智能家居安全网关系统 | |
CN105530253B (zh) | 基于CA证书的Restful架构下的无线传感器网络接入认证方法 | |
Tanveer et al. | RUAM-IoD: A robust user authentication mechanism for the Internet of Drones | |
Naoui et al. | Trusted third party based key management for enhancing LoRaWAN security | |
CN103023911A (zh) | 可信网络设备接入可信网络认证方法 | |
Ashrif et al. | Survey on the authentication and key agreement of 6LoWPAN: Open issues and future direction | |
Naoui et al. | Novel enhanced LoRaWAN framework for smart home remote control security | |
Krishna et al. | Software-driven secure framework for mobile healthcare applications in IoMT | |
Musa et al. | Secure security model implementation for security services and related attacks base on end-to-end, application layer and data link layer security | |
Khalid et al. | An improved biometric based user authentication and key agreement scheme for intelligent sensor based wireless communication | |
Liu et al. | WSN node access authentication protocol based on trusted computing | |
Abdeljebbar et al. | Security Improvements of EPS-AKA Protocol. | |
Singh | Privacy-preserving authentication and key exchange mechanisms in internet of things applications | |
Cherukuri et al. | Integrity of IoT network flow records in encrypted traffic analytics | |
Jiang et al. | Formal verification and improvement of the PKMv3 protocol using CSP | |
Pahlevi et al. | Secure mqtt puf-based key exchange protocol for smart healthcare |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |