基于CA技術(shù)的無(wú)線傳感網(wǎng)絡(luò)安全自動(dòng)鑒別系統(tǒng)設(shè)計(jì)

丁穎 黃繼海 馬文越

關(guān)鍵詞： CA技術(shù); 無(wú)線傳感網(wǎng)絡(luò); 網(wǎng)絡(luò)安全; 鑒別系統(tǒng); 用戶認(rèn)證; Web

中圖分類號(hào)： TN915.08?34; TP212.9 ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? 文章編號(hào)： 1004?373X（2019）02?0046?03

Design of security auto?identification system based on CA

technology for wireless sensor networks

DING Ying1， HUANG Jihai1， MA Wenyue2

（1. Zhengzhou Institute of Technology， Zhengzhou 450044， China; 2. School of Communications， Hunan University， Changsha 450012， China）

Abstract： The security identification of the wireless sensor network can effectively ensure the stable operation of the network. In allusion to the problems of long identification time delay and low security of the traditional identification system， a security auto?identification system based on CA technology is proposed and designed for wireless sensor networks. The hardware structure and software function are designed according to the overall design framework of the system. The CA server and Web server are added to the architectural diagram of system hardware， so as to improve the transmission speed of user identity information and ensure the rapid authentication of user identity. The system software design mainly consists of the client module， certificate parsing module， access control module and authentication center module. The CA technology is used to authenticate the user certificate according to the software design process， so as to complete the design of security auto?identification system for wireless sensor networks. The experimental results show that the authentication time of the system proposed in this paper is short and its security is 20% higher than that of the traditional system， which can meet the timeliness and security requirements of the system.

Keywords： CA technology; wireless sensor network; network security; authentication system; user authentication; Web

無(wú)線傳感網(wǎng)絡(luò)是一種自組織無(wú)線網(wǎng)絡(luò)，由大量的傳感節(jié)點(diǎn)組織而成。這些組成節(jié)點(diǎn)具備數(shù)量多、成本低、可節(jié)約能量的特點(diǎn)，廣泛應(yīng)用于監(jiān)測(cè)環(huán)境中，用于連接現(xiàn)實(shí)與網(wǎng)絡(luò)，完成監(jiān)測(cè)環(huán)境中的數(shù)據(jù)采集、傳輸、融合等處理功能。因其具備的功能較多，在教育、醫(yī)療、交通等領(lǐng)域得到較多的運(yùn)用[1?2]?？萍几咚侔l(fā)展，迫使著無(wú)線傳感網(wǎng)絡(luò)的安全性也要不斷的完善，應(yīng)具備信息來源鑒別功能和安全鑒別機(jī)制。認(rèn)證中心CA作為公開密鑰基礎(chǔ)設(shè)施的核心技術(shù)，己經(jīng)成為現(xiàn)在信息安全領(lǐng)域的熱門話題，可有效應(yīng)用于無(wú)線傳感網(wǎng)絡(luò)的安全防護(hù)中，對(duì)用戶身份進(jìn)行認(rèn)證，加強(qiáng)無(wú)線傳感網(wǎng)絡(luò)的安全性[3]。

文獻(xiàn)[4]分析了分簇拓?fù)浣Y(jié)構(gòu)情況下的無(wú)線傳感器網(wǎng)絡(luò)信任評(píng)估模型，應(yīng)用模糊理論知識(shí)中的模糊貼進(jìn)度概念，衡量出第三方的可信度，并根據(jù)權(quán)重法來重新進(jìn)行信任融合，不但降低了惡意節(jié)點(diǎn)的詆毀，還降低了哄抬攻擊的影響，但在運(yùn)行過程中存在耗時(shí)較多的問題。文獻(xiàn)[5]提出了一種基于虹膜特征密鑰的數(shù)據(jù)融合加密方案，避免了中間節(jié)點(diǎn)攻擊數(shù)據(jù)融合結(jié)果的問題，但是加密措施不夠完善，加密過程耗時(shí)較多。針對(duì)上述問題，提出并設(shè)計(jì)了一種基于CA技術(shù)的無(wú)線傳感網(wǎng)絡(luò)安全自動(dòng)鑒別系統(tǒng)。

1 ?無(wú)線傳感網(wǎng)絡(luò)安全自動(dòng)鑒別系統(tǒng)設(shè)計(jì)

本文基于CA技術(shù)設(shè)計(jì)無(wú)線傳感網(wǎng)絡(luò)安全自動(dòng)鑒別系統(tǒng)。該系統(tǒng)聯(lián)合使用B/S（Browser/Server）模式和C/S（Client/Server）模式來開展。同時(shí)，為了實(shí)現(xiàn)系統(tǒng)的用戶身份認(rèn)證功能，還要利用CA技術(shù)，通過IEEE 802.1x接入認(rèn)證技術(shù)和winpcap驅(qū)動(dòng)軟件等關(guān)鍵技術(shù)來進(jìn)行操作[6]。本系統(tǒng)主要通過對(duì)用戶身份的認(rèn)證，完成對(duì)無(wú)線傳感網(wǎng)絡(luò)安全的自動(dòng)鑒別。無(wú)線傳感網(wǎng)絡(luò)安全自動(dòng)鑒別系統(tǒng)總體框架設(shè)計(jì)如圖1所示。

1.1 ?系統(tǒng)硬件設(shè)計(jì)

為提高系統(tǒng)的安全性能，在常見的無(wú)線傳感網(wǎng)絡(luò)安全鑒別硬件基礎(chǔ)上進(jìn)行改進(jìn)，在系統(tǒng)的高安全區(qū)添加了CA服務(wù)器，用來完成無(wú)線傳感網(wǎng)路用戶的身份認(rèn)證。添加了Web服務(wù)器，用來完成身份認(rèn)證過程中的信息快速傳遞。系統(tǒng)的基本硬件結(jié)構(gòu)如圖2所示。

在圖2的系統(tǒng)硬件結(jié)構(gòu)圖中，選用Neuron芯片，并配置E2PROM（SST29RR010），對(duì)于收發(fā)器，選擇了ECHLON公司的FT5000智能收發(fā)器芯片。ARM芯片（STM32F103）具有產(chǎn)生時(shí)鐘的功能[7]。在圖2中，Neuron芯片的主要功能是從實(shí)時(shí)時(shí)鐘中獲取時(shí)間信息，以交換機(jī)為介質(zhì)，在指定時(shí)間向各節(jié)點(diǎn)分發(fā)信息。此外，ARM芯片具備存儲(chǔ)功能，可實(shí)時(shí)存儲(chǔ)系統(tǒng)中的節(jié)點(diǎn)信息，保障用戶身份信息的順利分發(fā)。

1.2 ?系統(tǒng)軟件設(shè)計(jì)

在系統(tǒng)設(shè)計(jì)中，服務(wù)端選用Java語(yǔ)言來開發(fā)。由于應(yīng)用C++語(yǔ)言，可以輕松的實(shí)現(xiàn)系統(tǒng)底層驅(qū)動(dòng)數(shù)據(jù)的交互，而且可以提升系統(tǒng)處理數(shù)據(jù)的效率。因此對(duì)于用戶模式中的應(yīng)用程序設(shè)計(jì)中，選取C++語(yǔ)言開發(fā)系統(tǒng)的應(yīng)用程序部分[8]。

CA技術(shù)的主要功能是解決整個(gè)無(wú)線傳感網(wǎng)絡(luò)用戶身份多樣性以及不統(tǒng)一的問題，并能夠?qū)崿F(xiàn)在一定的時(shí)間內(nèi)向網(wǎng)絡(luò)各節(jié)點(diǎn)分發(fā)用戶認(rèn)證信息。運(yùn)用CA技術(shù)，將系統(tǒng)軟件設(shè)計(jì)主要分為客戶端模塊、證書解析模塊、訪問控制模塊以及認(rèn)證中心模塊。各個(gè)模塊的主要功能描述如下：

1） 客戶端模塊?？蛻舳四K主要功能是將用戶證書進(jìn)行保存。對(duì)于用戶身份信息，CA認(rèn)證中心將其與公鑰綁定，通過相關(guān)域內(nèi)容進(jìn)行數(shù)字簽名后，可實(shí)現(xiàn)用戶證書的頒發(fā)。

2） 證書解析模塊。Web是一種應(yīng)用程序集成的新技術(shù)，它提供了一個(gè)標(biāo)準(zhǔn)的方式，用于應(yīng)用模塊之間的信息傳遞。證書解析模塊中，主要運(yùn)用Web服務(wù)器來完成各個(gè)功能的實(shí)現(xiàn)，負(fù)責(zé)服務(wù)器證書的保存以及證書的解析功能，如圖3所示。使用證書解析模塊進(jìn)行用戶證書中身份信息的提取操作，可為訪問控制模塊獲取用戶信息奠定基礎(chǔ)。

3） 訪問控制模塊。訪問控制模塊中存在訪問控制列表，用以存儲(chǔ)用戶對(duì)應(yīng)的權(quán)限。該模塊功能實(shí)現(xiàn)的步驟如下：獲取證書解析模塊中的用戶身份信息，以訪問控制列表為依據(jù)，判斷得到的用戶身份信息是否符合其對(duì)應(yīng)的訪問權(quán)限，若符合，訪問通過，否則不予通過。重復(fù)以上步驟，完成系統(tǒng)軟件的訪問控制功能。

4） 認(rèn)證中心。認(rèn)證中心的核心標(biāo)志是簽發(fā)證書，證書簽發(fā)的完成，表明網(wǎng)絡(luò)安全鑒別的實(shí)現(xiàn)。證書是用以證明用戶身份的關(guān)鍵，憑借證書信息，還可提供用戶公鑰[9]。將證書認(rèn)證中心設(shè)置在數(shù)據(jù)管理區(qū)，并利用防火墻來訪問CA服務(wù)器，來完成數(shù)字證書吊銷、申請(qǐng)以及發(fā)放等操作。同時(shí)，CA也提供密鑰管理及證書失效表等服務(wù)[10?11]。軟件中實(shí)現(xiàn)用戶證書認(rèn)證流程見圖4。

2 ?實(shí) ?驗(yàn)

為了驗(yàn)證無(wú)線傳感網(wǎng)絡(luò)安全自動(dòng)鑒別系統(tǒng)設(shè)計(jì)的合理性，進(jìn)行如下實(shí)驗(yàn)。使用Windows 8的操作系統(tǒng)，選用處理器i3，內(nèi)存4 GB，顯卡為AMD Radeon HD8470，內(nèi)存大小為16 GB。

2.1 ?實(shí)驗(yàn)結(jié)果與分析

采用CA技術(shù)的無(wú)線傳感網(wǎng)絡(luò)安全自動(dòng)鑒別系統(tǒng)可更快地完成用戶身份認(rèn)證，且安全性較好。為增加實(shí)驗(yàn)結(jié)果的可靠性，分別選取用戶身份認(rèn)證時(shí)間和無(wú)線傳感網(wǎng)絡(luò)的安全性為指標(biāo)，對(duì)本文設(shè)計(jì)系統(tǒng)與文獻(xiàn)[4]和文獻(xiàn)[5]系統(tǒng)進(jìn)行對(duì)比。

1） 用戶身份認(rèn)證時(shí)間。進(jìn)行4組用戶身份認(rèn)證時(shí)間測(cè)試實(shí)驗(yàn)，結(jié)果見表1。根據(jù)表1可知，本文系統(tǒng)的用戶身份認(rèn)證時(shí)間平均值在11.5 s左右，文獻(xiàn)[4]系統(tǒng)的認(rèn)證時(shí)間平均值在28 s左右，文獻(xiàn)[5]系統(tǒng)的認(rèn)證時(shí)間平均值在20.5 s左右。通過對(duì)比可以看出，本文設(shè)計(jì)系統(tǒng)的認(rèn)證時(shí)間最短，可快速完成無(wú)線傳感網(wǎng)絡(luò)安全的自動(dòng)鑒別，最大程度上保障無(wú)線傳感網(wǎng)絡(luò)的安全性。

2） 系統(tǒng)安全性。將文獻(xiàn)[4]、文獻(xiàn)[5]設(shè)計(jì)系統(tǒng)和本文系統(tǒng)在安全性能上進(jìn)行對(duì)比分析，其結(jié)果見圖5。由圖5可得，文獻(xiàn)[4]和文獻(xiàn)[5]系統(tǒng)的安全性整體在30%以下，本文系統(tǒng)最小為50%，表明本文系統(tǒng)進(jìn)行傳感網(wǎng)絡(luò)安全鑒別的優(yōu)越性，滿足了系統(tǒng)的安全性需求。

2.2 ?實(shí)驗(yàn)結(jié)論

根據(jù)上述實(shí)驗(yàn)內(nèi)容，可得本文系統(tǒng)的認(rèn)證時(shí)間最短，平均值為11.5 s左右，可快速完成無(wú)線傳感網(wǎng)絡(luò)安全的自動(dòng)鑒別;本文設(shè)計(jì)的鑒別系統(tǒng)安全性能至少高于文獻(xiàn)[4]和文獻(xiàn)[5]系統(tǒng)20%，表明本文系統(tǒng)的安全性較高。

3 ?結(jié) ?論

在無(wú)線傳感網(wǎng)絡(luò)安全自動(dòng)鑒別系統(tǒng)設(shè)計(jì)中，運(yùn)用CA技術(shù)對(duì)用戶身份進(jìn)行認(rèn)證，認(rèn)證不通過的用戶禁止訪問無(wú)線傳感網(wǎng)絡(luò)，對(duì)于認(rèn)證通過的用戶，可簽發(fā)證書。根據(jù)以上步驟完成無(wú)線傳感網(wǎng)絡(luò)安全的自動(dòng)鑒別，有效保障了傳感網(wǎng)絡(luò)的安全。實(shí)驗(yàn)結(jié)果表明，本文鑒別系統(tǒng)的認(rèn)證時(shí)間較短，系統(tǒng)的安全性較好，充分發(fā)揮了及時(shí)性和安全性的優(yōu)勢(shì)。但鑒別系統(tǒng)設(shè)計(jì)中，并未分析用戶類別，對(duì)于網(wǎng)絡(luò)匿名用戶的身份認(rèn)證還有待進(jìn)一步研究。

參考文獻(xiàn)

[1] 西宇.無(wú)線傳感網(wǎng)安全問題分析及測(cè)評(píng)方法[J].微型電腦應(yīng)用，2015，31（11）：77?78.

XI Yu. Security analysis and evaluation method of wireless sensor network [J]. Microcomputer applications， 2015， 31（11）： 77?78.

[2] 朱泉.PKI CA身份認(rèn)證技術(shù)研究[J].網(wǎng)絡(luò)空間安全，2016，7（z1）：37?39.

ZHU Quan. Research of the PKI CA authentication technology [J]. Cyberspace security， 2016， 7（S1）： 37?39.

[3] 宋芹芹，袁泉.PKI/CA系統(tǒng)異地統(tǒng)一身份認(rèn)證研究與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（6）：54?55.

SONG Qinqin， YUAN Quan. Research and implementation of unified identity authentication in PKI/CA system [J]. Network security technology & application， 2017（6）： 54?55.

[4] 楊帆，李虎雄.基于無(wú)線傳感網(wǎng)絡(luò)的校園安全預(yù)警系統(tǒng)設(shè)計(jì)[J].物聯(lián)網(wǎng)技術(shù)，2015，5（3）：10?12.

YANG Fan， LI Huxiong. Design of campus security early warning system based on wireless sensor network [J]. Internet of Things Technologies， 2015， 5（3）： 10?12.

[5] 李敏，王旭，周俊，等.基于虹膜特征密鑰的無(wú)線傳感器網(wǎng)絡(luò)安全數(shù)據(jù)融合[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2017，26（8）：29?34.

LI Min， WANG Xu， ZHOU Jun， et al. New secure data aggregation scheme of wireless sensor networks based on iris features key [J]. Computer systems & applications， 2017， 26（8）： 29?34.

[6] 趙麗潔，杜永峰，李萬(wàn)潤(rùn)，等.小波多分辨率分析時(shí)變系統(tǒng)參數(shù)識(shí)別算法的魯棒性研究[J].地震工程學(xué)報(bào)，2016，38（5）：720?727.

ZHAO Lijie， DU Yongfeng， LI Wanrun， et al. Robustness of a parametric identification algorithm for time?varying systems based on wavelet multi?resolution analysis [J]. China earthquake engineering journal， 2016， 38（5）： 720?727.

[7] 楊齊成，王錦，胡北辰.數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用分析[J].江漢大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，45（3）：278?282.

YANG Qicheng， WANG Jin， HU Beichen. Application of digital certificates in network security [J]. Journal of Jianghan University （Natural science edition）， 2017， 45（3）： 278?282.

[8] 董玉光，吳高騰，李麗.基于CAE技術(shù)的起重機(jī)動(dòng)力傳動(dòng)系統(tǒng)研究分析[J].建設(shè)機(jī)械技術(shù)與管理，2017，30（z1）：124?127.

DONG Yuguang， WU Gaoteng， LI Li. Research and analysis on the power transmission system of the crane based on CAE [J]. Construction machinery technology & management， 2017， 30（S1）： 124?127.

[9] 孫社文，王瑛，林偉杰，等.LonWorks工業(yè)控制網(wǎng)絡(luò)安全鑒別系統(tǒng)設(shè)計(jì)[J].煤炭工程，2016，48（5）：37?39.

SUN Shewen， WANG Ying， LIN Weijie， et al. Security identification system design for LonWorks industrial control network [J]. Coal engineering， 2016， 48（5）： 37?39.

[10] 王偉，王召巴.無(wú)線傳感器網(wǎng)絡(luò)抗Sybil攻擊的MPRR?RSSI定位算法[J].電子測(cè)量與儀器學(xué)報(bào)，2016，30（10）：1599?1605.

WANG Wei， WANG Zhaoba. Anti?Sybil attack MPRR?RSSI localization algorithm in wireless sensor networks [J]. Journal of electronic measurement and instrumentation， 2016， 30（10）： 1599?1605.

[11] 范小鷗，湯兵兵.基于分簇?zé)o線傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型研究[J].吉林建筑大學(xué)學(xué)報(bào)，2016，33（4）：91?93.

FAN Xiaoou， TANG Bingbing. An intrusion detection system model for clustering?based wireless sensor network [J]. Journal of Jilin Jianzhu University， 2016， 33（4）： 91?93.