无线传感器网络协议安全性测试系统的制作方法

专利名称：无线传感器网络协议安全性测试系统的制作方法
技术领域：
本发明属于网络信息安全技术领域，涉及到一种无线传感器网络协议的安全性测试系统，更具体地，是一种基于协议一致性测试理论和协议攻击测试方法，利用带攻击对象模型的有限状态机模型形式化描述方法，对无线传感器网络协议进行安全性测试的系统。
背景技术：
无线传感器网络(Wireless Sensor Network,WSN,以下均简称传感网)是当前国际上备受关注的、多学科高度交叉的前沿研究领域。自从20世纪90年代初期，美国、日本、 西欧等许多国家政府和研究机构都投入巨资，启动了大量传感网研究计划，我国的《国家中长期科学和技术发展规划纲要O006-2020年)》中，则将传感网作为优先主体。近年来， 国家973、863计划和国家自然科学基金等均设专项资助该领域的理论、方法和关键技术研究，并取得了一定的研究成果。随着传感网应用需求的不断增加，以及对于传感网研究的逐步深入，研究人员开始意识到安全性对于传感网发展的重要性。进入21世纪以来，国内外研究者以OSI分层结构为基础，对传感网各层面临的安全威胁和各层安全需求进行了大量的研究，并由此提出了众多基于不同环境和应用，安全威胁和需求侧重点不同的安全协议。然而，相对于安全协议主体的研究，传感网协议安全性能的分析和测试方面却缺乏相应的深入的研究。随着网络安全形势越来越严峻，相应的协议安全性测试也越来越受重视。协议安全性测试主要是检测协议是否能抵御各种已知和未知的攻击，进而判断协议的安全性能。因此，可以把协议安全性测试分为两个大的方面，一是针对已知攻击的验证性测试，即协议攻击测试；另一个是旨在发现潜在的安全问题的探索性的测试。作为协议安全性测试的一个重要分支，传统的攻击测试大多是基于黑盒测试的思想，测试者以攻击者的角度和思维对待测协议实施各种攻击，分析测试结果，找出协议存在的安全问题，进而评估协议的安全性能。被测协议本身与其所面临攻击之间相对独立，测试方法缺乏通用性和可移植性，总是具体协议具体分析，制约了协议安全性测试统一化、标准化理论的发展。具体的，国内外针对传感网协议的安全性测试工作和研究还相对较少，研究者更多的对单个协议，分析其能达到的安全性能以及存在的安全漏洞，从而提出相应的改进措施。例如，TinySec是WSN领域中第一个得以完全实现的链路层安全架构，其目标是确保数据完整性和机密性，以及进行访问控制。但是部分研究者发现TinySec提供的安全措施比较随机，有时会搞乱网络布局，并且一个危险节点可能会破坏整个网络。Tieyan Li， Hongjun胁等人基于TinySec系统构架，在文献“knSec Design”中提出了一个新的构架 knSec。knSec提供了默认的安全功能并具有反弹的键控机构，能够反弹危险节点攻击， 弥补了 TinySec的重要缺陷。而如例所示的这种研究方法在一定程度上缺乏通用性，对协议A的分析方法不一定适用于协议B的研究，即缺乏传感网协议安全性测试框架理论层面的研究。也正是由于上述这些原因，2011年工信部国家科技重大专项“新一代宽带无线移动通信网-信息汇聚传感器网络综合测试与验证评估环境(综合感知)”，开始进行传感网协议安全性测试理论框架层面研究，从而搭建统一的、标准的协议安全性测试平台。总体来讲，传感网协议安全性测试还处在研究的初步阶段，缺少理论的支持，也没有统一的测试系统和测试方法，这使得我们在进行协议安全性测试的研究和实践时，可以借鉴已经发展的相当成熟的协议一致性测试理论。虽然二者存在着目的上的根本不同，但一致性测试中的测试框架和部分概念，尤其是一致性测试中的模型化理论，能够给协议安全测试提供理论基础。

发明内容
本发明针对传感网协议安全性测试领域缺乏统一的测试系统问题，基于协议攻击测试方法和协议一致性测试理论，提出了一种传感网协议安全性测试系统，测试系统如图1 所示。系统通过模型化方法对协议主体各参与方行为和协议面临的攻击进行形式化描述， 分别得到形式化结果，再把攻击作为协议的正常输入行为，将相对独立的协议主体形式化结果和攻击行为形式化结果有机的结合在一起，最后根据协议一致性测试方法间接地完成对协议的安全性测试，测试系统由协议主体形式化生成组件、协议攻击面向对象形式化生成组件、综合协议形式化生成组件、安全性测试组件组成，各个组件功能如下1、协议主体形式化生成组件基于有限状态机模型FSM对协议主体进行形式化描述，将协议主体各参与方行为均表示成有限个状态以及这些状态之间的转移和动作行为的有机集合，分别得到协议主体各参与方的形式化结果Party (i) = <S, Ε, Τ, S0, F>，其中i = 1,2……，η，η表示协议主体参与方个数，最终得到协议主体形式化结果Protocol = {Party (1), Party (2),……， Party (η)}。协议主体参与方i的形式化结果Party (i)描述如下(I)S = {s0, S1, ... , sn_J表示有限个状态的集合。在任意一个确定的时刻，协议主体参与方只能处于状态集合中的某一个确定的状态S1，其中O彡i彡n-1 ；(2)E = {e0, ei; ... , em_J表示有限个原子事件的集合。在任意一个确定的时刻， 协议主体参与方只能接收一个确定的原子事件。，其中O彡j彡m-1 ；(3)T:SXE —S是有限状态变迁函数的集合。如果在某个确定的时刻，协议主体参与方处于某一状态Si e S，并接收一个原子事件& e E，那么经过有限状态函数集中函数的运算，参与方将转移到下一个状态s = T(Si，eps。并且，对于任何一个状态s，当输入空的原子事件时，则参与方将不发生任何状态转移，即规定s = T(s，ε)；(4) & e S是协议主体参与方的初始状态，由此开始状态的转移；(5) F^S是协议主体参与方的终止状态的集合，在到达终结状态后不再接收输入事件，也不再发生状态的转移。2、协议攻击面向对象形式化生成组件基于面向对象的攻击描述模型，把一个协议面临的攻击封装成一个攻击对象。将攻击行为具体实施过程作为攻击对象中的一个成员函数，同时把攻击环境、攻击目标、攻击后果等参数封装到对象中，得到形式化结果Attack =〈Name，Attributes, Process, Impact〉。测试系统将Attack和组件1中生成的协议主体形式化结果ftOtocol —起传送给综合协议形式化生成组件，作为其两个输入，用于生成综合协议。
(I)Name 是一个字符串，表示此攻击的名称。(2)Attributes = <Target, Vulnerability, Condition), ^ ^] ^)! 性。①Target =〈Protocol，Device_Type>描述此攻击针对目标的相关基本信息。a)Protocol =〈name，detail)用于描述此攻击针对的协议，其中name是一个字符串，表示协议名称，detail也是一个字符串，是此协议的叙述摘要。b)Devicejype是一个枚举类型，表示当前攻击所针对的网络设备类型，传感网中 Device—Type 包括四禾中取值:EndDevice> Router> Coordinator> BaseStation0②Vulnerability是一个枚举类型，用于表述此攻击所利用的协议漏洞类型，包括六种取值数据保密漏洞、数据实时性漏洞、假冒攻击漏洞、身份认证漏洞、不正当得利漏洞、类型攻击漏洞。③Condition =〈Network，Pre_Attack>是攻击可以实施之前的要求集合，即攻击前提条件。a) Network =〈Vertex，Edge)描述攻击实现时所需网络逻辑结构。<l>Vertex = (V1, V2,……,Vj是节点集合，Vi代表一个网络中的设备，具体描述为一个四元组 Vi = <name，type, ID, relation)i. name是一个字符串，表示设备的标识名称；ii. type是一个枚举类型，是设备在网络中所扮演的角色类型，其值包括 Attributes. Target. Device_Type 中所有值，并且增加了 “Attacker” 一值，即取值为 EndDevice、Router、Coordinator、BaseStation、Attacker ；iii. ID = UD1, ID2，……，ID1J是网络中所有设备的身份标识结合，默认每个设备仅有唯一的标识；iv. relation = (Edge) Vi,是与Vi相连的所有无向边的集合。<2>元组Network的第二个元素是Edge = {E1，E2，……，Em}是一个无向边的集合，其中肚=<Vi，Vj>，表示网络中两节点Vi和Vj(Vi ！ =Vj)在逻辑上是相互连通的。b)Pre_Attack = (Attack1,……，AttackJ是一个攻击对象集合，代表实施此攻击之前需要成功完成的低级别攻击的集合，即此攻击成功实施的必要条件。(3)Process = <State, Event, ^Transform〉，是基于有限状态机思想进行定义的， 用于对攻击实施过程进行形式化的描述。①Mate = (S1, S2,......，，表示攻击状态集合。在任意一个确定的时刻，有限状态机只能处于状态集合中的某一个确定的状态Si，其中0 < i < n-1 ；②Event = (AV1,……，AVj，表示攻击实施中的具体原子操作事件集合；③IYansform是状态变迁函数Transform(State，Event)—冗tate，S卩在 State 中某一状态实施某一原子操作，其将转换倒^ate中另一状态。(4) Impact =〈Type，Value〉用来描述对被测协议实施攻击之后，对被攻击设备或被攻击网络带来的后果。①Type是一个枚举类型，表示攻击的威胁属性类型，取值为破坏数据保密性，破坏数据完整性，破坏实体的认证性，破坏数据的认证性，导致DoS攻击。②Value =〈数据可用性，数据保密性，数据完整性，新鲜性，可认证性，网络可用
7性〉六个参数值总和很等于1。3、综合协议形式化生成组件综合协议形式化生成组件中，根据组件(1)和O)中生成的协议主体形式化结果I^otocol和协议攻击形式化结果Attack，把攻击作为协议的正常输入行为，即攻击者 Attacker也作为协议参与方，生成一个协议+攻击的综合协议Protocol_Attack,并基于FSM模型对其进行形式化描述，较之原协议主体各参与方形式化结果，原子事件集合增加了攻击行为原子事件变为E’，状态集合增加了攻击行为实施后果状态变为S’，最终得到综合协议的形式化结果 Protocol_Attack = {Party (1)，Party (2)，……，Party (η)，
Attacker (1)，Attacker (2)，......，Attacker (m)}，其中η表示原协议主体参与方个数，m表
示攻击者个数，所以m+n即为生成的综合协议所有参与方的个数。ftOtocolAttack将被传送到安全性测试组件，作为其输入，用于对原有协议的安全性测试。4、安全性测试组件安全性测试组件中，对综合协议形式化生成组件生成的综合协议形式化结果 Protocol_Attack按照基于FSM模型的一致性测试方法进行间接的安全性测试，组件包括以下三个模块(1)测试用例生成模块根据综合协议形式化生成组件中生成的综合协议形式化结果，生成相应的测试用例，得到测试用例同时还会给出每个测试输入对应的期望测试输出结果。(2)测试驱动程序运行模块根据测试用例生成模块得到的测试用例输入，生成相应的测试驱动程序，同时运行测试程序，获得每个测试输入所对应的实际测试输出结果。(3)测试结果分析模块首先将测试用例生成模块中生成的期望测试输出结果，与测试驱动程序运行模块中得到的实际测试输出结果进行比较和分析，同时结合I^rotocolAttack形式化结果中状态集合S’，以及面向对象攻击形式化结果中Impact元组值，生成协议对于此攻击的安全性能测试报告。本发明的有益效果是对于不同的无线传感器网络协议，以及其可能面临的多种攻击，测试者可以利用本发明中提出的协议安全性测试系统，采用统一的分析模型对协议主体和攻击分别进行形式化描述，生成测试用例，对待测协议进行安全性能分析。本发明为传感网协议安全性测试领域提出了一种标准化、通用化理论层面的测试系统，相对于现有的安全性测试技术，具有更好的抽象性、普遍性和通用性，为安全性测试工作提供了理论支持。


图1本发明的无线传感器网络协议安全性测试系统体系结构2本发明的实施示例面向对象攻击描述部分攻击实施网络结构图名词解释OSI :0pen System Interconnection 开放式系统互连FSM 模型Finite State Machine，有限状态机模型
CA Center Authentication,认证中ン1>
具体实施例方式基于本发明提出的无线传感器网络协议安全性测试系统，对基于RSA公钥算法的 无线传感器网络身份认证协议Tinyra，抗Sybil攻击能力进行安全性测试，具体实施过程 如下1、协议主体形式化生成组件TinyPK协议采用请求-应答机制，需要一个拥有公私钥对的CA作为可信第三方。 任何两个实体(外部用户EP和网内节点Mote)建立信任关系，必须拥有从CA获得的公私 密钥对和CA的公钥。实体的公钥用CA的私钥签名，做为其数字证书来简历其合法身份。 Tinyra协议主体參与方包括两个，S卩外部用户EP和网内节点Mote，分別得到形式化结果 Party(I)和。(1)外部用户设备EP形式化结果Party(I) = <S，E，T，S0, F>，具体表示如下①状态集合S = {S0, S1, S2, S3, S4, S5IS0 初始空闲状态S1 等待请求响应状态S2 处理响应恢复状态S3 等待认证结果状态S4 认证失败S5 认证成功②原子事件集合E = {e0, e” e2，e3，e4，e5，e6}e0 原子空事件ei 向网内Mote发送消息{ERiK} cAPvt Kev +{nonce, checksum oi e, uK；EPPvtKeye2 接收Mote回复消息e3 提取回复消息中信息{nonce，TinySec key}EMe4 解密消息，成功匹配相关信息e5 信息匹配失败e6:等待回复超时③状态变迁函数集合T
起始状态 终止状态原子事件 ^oSiei
S5e6
；5iS2e2
2S3e3
S3S4G4
03S5e5④初始状态も
⑤终止状态集合F = {S4，SJ(2)网内节点Mote形式化结果Party (2) = <S, Ε, Τ, S0, F>,具体表示如下①状态集合S = {S。，S1, S2, S3, S4, S5IS0 初始空闲状态S1 处理认证请求状态S2 等待认证结果状态S3:向EP回复消息S4 认证失败S5 认证成功②原子事件集合E = {e0, θι, e2, e3, e4, e5, e6}e0 原子空事件θι 接收EP认证请求消息e2 提取信息{ERiK} CA Pvt Key+{nonce，checksum ofEPuK} EP Pvt Keye3 解密消息，成功匹配相关信息e4 向 EP 回复消息{nonce, TinySec key} EPuKe5 验证信息不匹配③状态变迁函数集合T
起始状态
50
51
52
53 S2④初始状态&⑤终止状态集合F = {S4，SJ如上所述，已经得到TinyPK协议主体的两个参与方外部用户EP和网内节点Mote 各自的形式化结果Party (1)和Party (2)，则TinyI3K协议主体的形式化结果为ftOtocol = {Party(1), Party (2)}。2、协议攻击面向对象形式化生成组件作为一种单点认证协议，TinypK具有一个比较明显的缺点，如考虑到传感器节点的布置环境，单一的节点是比较容易被捕获的，如果某个认证节点被捕获了，攻击节点可以实施Sybil攻击，通过此节点执行的认证协议都会非常危险，从而使得整个网络都将变得不安全。按照协议攻击面向对象形式化，得到形式化结果为Attack =〈Name，Attributes， Process, Impact〉，具体表示如下(I)Name = “Sybil Attack”(2)Attributes =〈Target, Vulnerability, Condition)(I) Target =〈Protocol, Device_Type>
终止状态原子事件
51ej
52e2
53e3
54e4
55e50105]a)Protocol = <name, detail)
0106]name = “TinyPK”
0107]detail = “基于RSA公钥算法的身份认证协议”
0108]b)Device_Type = EndDevice
0109]②Vulnerability = “假冒攻击漏洞”
0110]③ Condition =〈Network, Pre_Attack>
0111]a) Network =〈Vertex, Edge)
0112]<l>Vertex = (V1, V2, V3, V4}
0113]V1 = <CA, BaseStation,0000, (E1, E2, E3I >
0114]V2 = <Mote, Attacker, 0001, (E1, E4, E5I >
0115]V3 = <EP 1, EndDevice, 0002, {E2, E4I >
0116]V4 = <EP2, EndDevice,0003, {E3，E5}>
0117]<2>Edge = (E1, E2, E3, E4, E5I
0118]El = <νι V2>
0119]E2 = <νι V3>,
0120]E3 = <νι V4>,
0121]E4 = <V2, V3>,
0122]E5 = <V2, V4>
0123]由此可得出网络结构图如图2所示。
0124]b)Pre_Attack = {Node Compromised Attack}
0125](3)Process = <State, Event,Transform)
0126]① State = {S0, S1, S2, S3}
0127]S。初始空闲状态
0128]S1 处理认证请求状态
0129]S2:拒绝服务状态
0130]S3:同意正常EP加入网络，掌握其一切信息
0131]S4 允许恶意EP加入网络
0132]② Event = {e0, e2, e3, e4, e5}
0133]eQ:原子空事件
0134]θι 接收EP认证请求消息
0135]e2 向恶意EP发送正确的回复消息{nonce，TinySec key}EM
0136]e3 向正常EP发送错误的回复消息
0137]e4:忽略认证请求
0138]e5 向正常EP发送正确的回复消息{nonce，TinySec key}EM
0139](3) Transform
0140]T(Sc^e1)-S1
0141]T (S1, e2) - S4
0142]T (S1, e3) ^ S2
0143]T (S1, e4) - S2
T (S1, e5) - S3(4) Impact = <Type, Value)①Type =破坏实体认证性②Value = <0,0. 4,0,0,0. 4,0. 2>如上所述，已经得到TinyI3K协议面临的Sybil攻击形式化结果Attack，连同协议主体形式化生成组件中生成的Tinyra协议主体形式化结果I^otocol—起传送给综合协议形式化生成组件，作为其两个输入，用于生成综合协议。3、综合协议形式化生成组件对于TinyI3K协议参与方，攻击实施者先捕获了原有网络中的网内节点Mote，使其变成了一个攻击者，图2中记作V2(以下均由V2表示)；攻击者还包括一个恶意的外部用户 EP1,图2中记作V3(以下均由V3表示)；原有正常外部用户EP，图2中记作V4(以下均由V4 表示)。因此得到综合协议参与方有三个，分别是V2，V3，V4。当V2节点被捕获后，攻击者V2 便拥有了网内的合法身份，无论是恶意的还是正常的外部用户都可以向其提出通信要求， 由此发起认证请求，结合了 Sybil攻击行为的综合协议ftOtocolAttack开始运行，协议三个参与方形式化结果如下(I)V3和V4形式化结果协议主体与攻击综合之前，外部用户V3和V4是有恶意和合法之分，但是在综合 Tinyra协议中二者均是协议运行的一个分子，向V2发起认证请求，与原有Tinyra外部用户 EP行为相同，与原有Party(I)相同，即正常外部用户V4的形式化结果Party (1)，和攻击者V3的形式化结果Attacker(I)都等于组件1中生成的Party(I)。(2)攻击者V2的形式化结果AttackeH2) = <S, Ε, Τ, S0, F>，具体表示如下1)状态集合 S = {S。，S1, S2, S3, S4, S5, S6, S7, S8IStl:初始空闲状态S1 处理认证请求状态S2:等待请求认证状态S3 确定发起请求的EP是恶意节点，即自己同伙S4 认证成功，同意恶意节点进入网络S5:认证失败S6 确认认证请求者是正常节点S7:认证成功，允许正常节点进入网络，并且掌握节点的一切秘密信息S8 认证失败，拒绝对于正常节点的接入认证服务2)原子事件集合 E = {e0, e” e2, e3, e4, e5, e6, e7, e8}eQ:原子空事件θι 接收EP认证请求消息e2 提取认证请求信息{EPuK}ca PvtKey+{nonce, checksum ofEPuK} EP Pvt Keye3 匹配信息源是恶意节点，即自己同伙e4 回复正确的请求回复消息{nonce，TinySec key}EMe5:信息不匹配e6 匹配信息源是正常节点
12
e7 向正常节点发送错误的请求回复消息e8:忽略认证请求；3)状态变迁函数集合T
起始状态终止状态原子事件S0SieiSiS2e2S2S3e3S3S4e4S2S5esS2S6eeS6S7e4S6S8e7S6S8eg4)初始状态&5)终止状态集合 F = {S4，S5, S7, S8I如上所述，已经得到的综合协议的三个参与方V2，V3和V4各自的形式化结果 Attacker (2)，Attacker (1)和Party (1)，则本组件内生成的协议主体的形式化结果为 Protocol_Attack = {Party (1), Attacker (1), Attacker (2)}。 Protocol_Attack 将被传送到安全性测试组件，作为其输入，用于对Tinyra协议的安全性测试。4、安全性测试组件(1)测试用例生成模块根据综合协议形式化生成组件中生成的综合协议形式化结果ftx)t0C0l_AttaCk， 生成相应的测试用例，得到测试用例同时还会给出每个测试输入对应的期望测试输出结果，并将此结果传送给测试驱动程序运行模块和测试结果分析模块，分别用于生成测试程序和最终的安全性能测试报告。
测试用例预期测试结果 ei,e2,e3,e4 S4 ei,e2,e5S5
ei,e2,e6,e4 S7 ei,e2,e6,e7 S8 ei,e2,e6,e8 S8(2)测试驱动程序运行模块根据测试用例生成模块得到的测试用例输入，生成相应的测试驱动程序，同时运行测试程序，获得每个测试输入所对应的实际测试输出结果，并将此结果传送给测试结果分析模块，用于生成最终的安全性能测试报告。
测试用例实际测试结果 ei,e2,e3,e4 S4 ei,e2,e5S5
ei,e2,e6,e4 S7 ei,e2,e6,e7 S8 ei,e2,e6，e8 S8(3)测试结果分析模块首先将测试用例生成模块中生成的期望测试输出结果，与测试驱动程序运行模块中得到的实际测试输出结果进行比较和分析，同时结合综合协议形式化结果ftx)t0C0l_ Attack中状态集合S’，以及面向对象攻击形式化结果Attack中Impact元组值，生成 TinyPK协议对于Sybil攻击的安全性能测试报告。1) TinyI3K不能抵御Sybil攻击，可能产生三种恶意后果同意恶意节点进入网络； 允许正常节点进入网络，但同时掌握节点的一切秘密信息；正常节点被恶意拒绝接入认证服务。2) Sybil攻击对于原网络的影响因子如表1所示，攻击对协议数据保密性和可认证性方面影响最大，对于数据可用性、数据完整性和新鲜性方面几乎没有影响。表 权利要求
1.无线传感器网络协议安全性测试系统，其特征在于测试系统由协议主体形式化生成组件、协议攻击面向对象形式化生成组件、综合协议形式化生成组件和安全性测试组件组成，各个组件功能如下(1)协议主体形式化生成组件基于有限状态机模型FSM对协议主体进行形式化描述，将协议主体各参与方行为均表示成有限个状态以及这些状态之间的转移和动作行为的有机集合，分别得到协议主体各参与方的形式化结果Party (i) = <S，E，T，&，F>，其中i = 1,2……，η，η表示协议主体参与方个数，得到协议主体形式化结果Protocol = {Party(1), Party(2),……，Party(n)}；(2)协议攻击面向对象形式化生成组件基于面向对象的攻击描述模型，把一个协议面临的攻击封装成一个攻击对象，将攻击行为具体实施过程作为攻击对象中的一个成员函数，同时把攻击环境、攻击目标和攻击后果参数封装到对象中，得到形式化结果Attack =〈Name，Attributes, Process, Impact〉。 Attack连同协议主体形式化生成组件中生成的协议主体形式化结果I^otocol，一起被传送给综合协议形式化生成组件，作为其两个输入，用于生成综合协议；(3)综合协议形式化生成组件根据协议主体形式化生成组件和协议攻击面向对象形式化生成组件，得到的协议主体形式化结果!Protocol和协议攻击形式化结果Attack，把攻击作为协议的正常输入行为，即攻击者Attacker也作为协议的一个参与方，生成一个协议+攻击的综合协议，并基于FSM模型对其进行形式化描述，得到形式描述结果frotocolAttack = {Party (1),Party (2), ......, Party (η) ,Attacker(I) ,Attacker (2), ......, Attacker (m)},其中 η 表示原协议主体参与方个数，m表示攻击者个数，所以m+n即为生成的综合协议所有参与方的个数，ftOtocolAttack将被传送到安全性测试组件，作为其输入，用于对原有协议的安全性测试；(4)安全性测试组件对综合协议形式化生成组件生成的综合协议形式化结果ftx)t0C0l_AttaCk，按照基于有限状态机模型FSM的协议一致性测试方法进行间接地完成协议安全性测试，得到协议安全性能测试报告。
2.根据权利要求1所述的无线传感器网络协议安全性测试系统，其特征在于协议主体形式化生成组件中生成的协议主体参与方i的形式化结果Party (i)描述如下(1)S=Istl，Sl，. . . , sn_J表示有限个状态的集合，在任意一个确定的时刻，协议主体参与方只能处于状态集合中的某一个确定的状态Si，其中O彡i彡n-1 ；(2)E= IetlA1,. . . ,e^}表示有限个原子事件的集合，在任意一个确定的时刻，协议主体参与方只能接收一个确定的原子事件。，其中O彡j彡m-1 ；(3)T:SXE—S是有限状态变迁函数的集合，如果在某个确定的时刻，协议主体参与方处于某一状态Si e S，并接收一个原子事件& e E，经过有限状态函数集中函数的运算，参与方将转移到下一个状态s = T(Si，eP S，并且，对于任何一个状态s，当输入空的原子事件时，则参与方将不发生任何状态转移，即规定s = T(s，ε)；(4)S0 e S是协议主体参与方的初始状态，由此开始状态的转移；(5)F^S是协议主体参与方的终止状态的集合，在到达终结状态后不再接收输入事件，也不再发生状态的转移。
3.根据权利要求1所述的无线传感器网络协议安全性测试系统，其特征在于协议攻击面向对象形式化生成组件中，生成的协议面临的攻击形式化结果Attack描述如下(1)Name是一个字符串，表示此攻击的名称。(2)Attributes=〈Target，Vulnerability, Condition〉，表示此攻击的基本属性。①Target=〈Protocol，Device_Type>描述此攻击针对目标的相关基本信息。a)Protocol =〈name，detail〉用于描述此攻击针对的协议，其中name是一个字符串， 表示协议名称，detail也是一个字符串，是此协议的叙述摘要。b)Devicejype是一个枚举类型，表示当前攻击所针对的网络设备类型，传感网中 Device_Type 包括四禾中取值EndDevice、Router、Coordinator、BaseStation0②Vulnerability是一个枚举类型，用于表述此攻击所利用的协议漏洞类型，包括六种取值数据保密漏洞、数据实时性漏洞、假冒攻击漏洞、身份认证漏洞、不正当得利漏洞、类型攻击漏洞。③Condition=〈Network，Pre_Attack>是攻击可以实施之前的要求集合，即攻击前提条件。a)Network =〈Vertex，Edge)描述攻击实现时所需网络逻辑结构。<l>Vertex = (V1, V2,……，V1J是节点集合，Vi代表一个网络中的设备，具体描述为一个四元组 V1 = <name, type, ID, relation)i.name是一个字符串，表示设备的标识名称；ii.type是一个枚举类型，是设备在网络中所扮演的角色类型，其值包括Attributes. Target. Device_Type 中所有值，并且增加了 “Attacker” 一值，即取值为EndDevice、 Router、Coordinator、BaseStation、Attacker ；iii.ID= UD1, ID2，……，ID1J是网络中所有设备的身份标识结合，默认每个设备仅有唯一的标识；iv.relation = (Edge) Vi,是与Vi相连的所有无向边的集合。<2>元组Network的第二个元素是Edge = {El, E2，……，Em}是一个无向边的集合， 其中肚=<Vi，Vj>，表示网络中两节点Vi和Vj (Vi ！ = Vj)在逻辑上是相互连通的。b)Pre_Attack= (Attack1,……，AttackJ是一个攻击对象集合，代表实施此攻击之前需要成功完成的低级别攻击的集合，即此攻击成功实施的必要条件。(3)Process= <State, Event, ^Transform〉，是基于有限状态机思想进行定义的，用于对攻击实施过程进行形式化的描述。= (S1, S2,......，&}，表示攻击状态集合。在任意一个确定的时刻，有限状态机只能处于状态集合中的某一个确定的状态Si，其中O < i < n-1 ；②Event= (AV1,……，AV1J，表示攻击实施中的具体原子操作事件集合；③^Transform是状态变迁函数Transform(State，Event)—冗tate，S卩在State 中某一状态实施某一原子操作，其将转换倒^ate中另一状态。(4)Impact =〈Type，Value〉用来描述对被测协议实施攻击之后，对被攻击设备或被攻击网络带来的后果。①Type是一个枚举类型，表示攻击的威胁属性类型，取值为破坏数据保密性，破坏数据完整性，破坏实体的认证性，破坏数据的认证性，导致DoS攻击。②Value =〈数据可用性，数据保密性，数据完整性，新鲜性，可认证性，网络可用性〉 六个参数值总和很等于1。
4.根据权利要求1所述的无线传感器网络协议安全性测试系统，其特征在于安全性测试组件由测试用例生成模块、测试驱动程序运行模块和测试结果分析模块组成，各模块功能如下(1)测试用例生成模块根据综合协议形式化生成组件中生成的综合协议形式化结果，生成相应的测试用例， 得到测试用例同时还会给出每个测试输入对应的期望测试输出结果；(2)测试驱动程序运行模块根据测试用例生成模块得到的测试用例输入，生成相应的测试驱动程序，同时运行测试程序，获得每个测试输入所对应的实际测试输出结果；(3)测试结果分析模块首先将测试用例生成模块中生成的期望测试输出结果，与测试驱动程序运行模块中得到的实际测试输出结果进行比较和分析，同时结合综合协议形式化结果!Protocol Attack 中状态集合S’，以及面向对象攻击形式化结果Attack中Impact元组值，生成协议对于此攻击的安全性能测试报告。
全文摘要
本发明针对无线传感器网络协议安全性测试领域缺乏统一的测试系统问题，基于协议攻击测试思想和协议一致性测试理论，提出了一种无线传感器网络协议安全性测试系统，所述系统由协议主体形式化生成组件、协议攻击面向对象形式化生成组件、综合协议形式化生成组件、安全性测试组件组成。系统通过模型化方法对协议主体各参与方行为和协议面临的攻击进行形式化描述，分别得到形式化结果，再把攻击作为协议的正常输入行为，将相对独立的协议主体形式化结果和攻击行为形式化结果有机的结合在一起，最后根据协议一致性测试方法间接地完成对协议的安全性测试。
文档编号H04W84/18GK102413460SQ20111035601
公开日2012年4月11日 申请日期2011年11月10日 优先权日2011年11月10日
发明者刘晓雷, 吉世瑞, 曾勇, 李国宏, 王祥, 裴庆祺, 齐跃 申请人:西安望海电子科技有限公司, 西安电子科技大学