1 系統(tǒng)設(shè)計(jì)

　　在工業(yè)控制領(lǐng)域，利用ZigBee和傳感器網(wǎng)絡(luò)，使得數(shù)據(jù)的自動(dòng)采集、分析和處理變得更加容易，作為決策輔助系統(tǒng)的重要組成部分，ZigBee無(wú)線傳感器網(wǎng)絡(luò)在無(wú)線數(shù)據(jù)采集及監(jiān)控等領(lǐng)域得到了廣泛應(yīng)用。無(wú)線傳感器數(shù)據(jù)采集都需通過(guò)網(wǎng)關(guān)傳輸至控制中心，在這個(gè)過(guò)程中信息傳輸?shù)陌踩灾饾u成為人們關(guān)注的焦點(diǎn)。因此，設(shè)計(jì)一種安全可靠的通信解決方案顯得尤為重要。

　　信息安全的解決方案目前主要集中于采取單一的措施來(lái)保證信息的安全性，針對(duì)各種攻擊手段，防范措施主要集中于信息加密技術(shù)、安全交換機(jī)技術(shù)、防火墻技術(shù)、認(rèn)證技術(shù)，入侵檢測(cè)技術(shù)等，這些技術(shù)從不同的方面對(duì)安全性提供了較好的保障，但各有缺點(diǎn)和不足，這將成為網(wǎng)絡(luò)防護(hù)的軟肋，因此，本文也嘗試性地提出了一種集數(shù)據(jù)加密技術(shù)和訪問(wèn)控制策略于一體的信息安全解決方案。

　　1.1 加密算法的分析

　　AES加密算法作為新一代的分組迭代加密算法，其采取對(duì)稱密鑰，數(shù)據(jù)塊的分組長(zhǎng)度和密鑰長(zhǎng)度分別可選擇128位、192位、256位。AES加密算法具有安全性，靈活性等特點(diǎn)。RSA算法是第一個(gè)能同時(shí)用于加密和數(shù)字簽名的算法，也易于理解和操作。但RSA加密算法的缺點(diǎn)主要有：密鑰的產(chǎn)生繁瑣，受到素?cái)?shù)產(chǎn)生技術(shù)的限制，因而難以做到一次一密?；煦缂用芩惴ㄒ话阕鳛閿?shù)字語(yǔ)音信息等的加密，在實(shí)際加密應(yīng)用過(guò)程中其精度和保密性方面都存在著缺陷，因此，不適宜于該系統(tǒng)的加解密算法選擇。

　　1.2 加密算法的抗攻擊能力分析

　　在高級(jí)加密算法的選擇過(guò)程中，算法本身的安全性能將是一個(gè)重要的評(píng)判依據(jù)。因此，我們針對(duì)目前已有的各種密碼攻擊手段，分析了AES加密算法的抗攻擊能力等性能指標(biāo)。

　　強(qiáng)力攻擊是一種常見(jiàn)的攻擊策略，主要包括窮盡密鑰搜索攻擊、字典攻擊、查表攻擊等手段，這些攻擊的復(fù)雜度只依賴于分組長(zhǎng)度和密鑰長(zhǎng)度，且它們的復(fù)雜程度是隨著密鑰長(zhǎng)度增加成指數(shù)增長(zhǎng)的。對(duì)于AES加密算法，密鑰長(zhǎng)度最小為128位，若每秒鐘能夠完成2個(gè)密鑰的搜索，則要完成AES的密鑰搜索，至少需要時(shí)間大約為149萬(wàn)億年，在時(shí)間上就無(wú)法攻擊AES加密算法，因此，AES加密算法在很長(zhǎng)一段時(shí)間還將對(duì)強(qiáng)力攻擊保持很好的安全性。

　　代數(shù)計(jì)算攻擊是一種新的分組密碼攻擊方法，在代數(shù)計(jì)算攻擊中，攻擊者利用密碼的輸入，輸出對(duì)來(lái)構(gòu)造多項(xiàng)式。用簡(jiǎn)單的代數(shù)表達(dá)式對(duì)整個(gè)Rijndael算法進(jìn)行描述,引用表達(dá)式如下:

代數(shù)計(jì)算攻擊的基本思想是用足夠多的明密文對(duì)利用拉格朗日插值公式得到密碼算法的一個(gè)近似多項(xiàng)式逼近,因此要想對(duì)Rijndael算法進(jìn)行代數(shù)計(jì)算攻擊等價(jià)于將式(1-1)用多項(xiàng)式來(lái)展開,而在式(1-1)中要想消去一層子結(jié)構(gòu),就涉及到構(gòu)造S - 盒的所有運(yùn)算,由S - 盒表達(dá)式的復(fù)雜性可知,想通過(guò)對(duì)式(1-1)的多項(xiàng)式展開后進(jìn)行攻擊是不可行的。

　　1.3 支撐硬件選擇

　　鑒于AES加密算法的特點(diǎn)以及算法的抗攻擊性能，因此，本文選用其作為加密應(yīng)用技術(shù)。加密算法可以通過(guò)軟硬件實(shí)現(xiàn)，由于算法本身的靈活性，效率高，用軟件實(shí)現(xiàn)比較簡(jiǎn)單、方便，但同時(shí)也帶來(lái)一些問(wèn)題，使算法的速度、安全性等都在某種程度上受到了影響。AES算法的硬件實(shí)現(xiàn)不僅具有快的速度而且占用的資源也將減少。因此，AES加密算法硬件實(shí)現(xiàn)能夠提供更快的速度和安全性。

　　XILINX作為全球領(lǐng)先的FPGA提供商，其生產(chǎn)的Spartan系列FPGA具有高性價(jià)比，能夠?qū)崿F(xiàn)低成本的嵌入式處理平臺(tái)，支持商用串行(SPI)和并行(BPI)Flash 存儲(chǔ)器與平臺(tái) Flash，每秒高達(dá) 91 億次的乘累加(MAC)運(yùn)算，因此采用Spartan系列FPGA作為AES加密算法實(shí)現(xiàn)的硬件載體。因此，基于Spartan-3e平臺(tái)能夠很好的構(gòu)建一個(gè)SOC系統(tǒng)。

　　1.4 支撐硬件選擇

　　本系統(tǒng)主要的目標(biāo)在于“針對(duì)ZigBee無(wú)線傳感器網(wǎng)絡(luò)中，端到端控制過(guò)程中存在的安全隱患和信息邪路問(wèn)題，自主設(shè)計(jì)了一套基于FPGA平臺(tái)的高可靠通信系統(tǒng)”。該系統(tǒng)主要由三部分組成：ZigBee無(wú)線傳感器網(wǎng)絡(luò)，服務(wù)器端，客戶端。如圖1.1所示。

　　服務(wù)器端采用XILINX公司的Spartan-3e開發(fā)平臺(tái)，在該平臺(tái)上構(gòu)建基于MicrBlaze處理器和Xilkernel操作系統(tǒng)的嵌入式系統(tǒng)。當(dāng)服務(wù)器端收到經(jīng)過(guò)AES加密的請(qǐng)求IP數(shù)據(jù)包時(shí)，在服務(wù)器端，信息需要經(jīng)過(guò)AES解密處理，根據(jù)解密后信息分析并提取請(qǐng)求方的ID信息和IP信息，客戶端的ID信息是唯一的授權(quán)證號(hào)。

　　客戶端同樣采用XILINX公司的Spartan-3e開發(fā)平臺(tái)，但該系統(tǒng)中只需要定制AES加解密IP、鍵盤IP、LCD IP并添加EDK中自帶的網(wǎng)絡(luò)控制器IP。客戶端作為整個(gè)系統(tǒng)的控制中心，當(dāng)需要采集信息時(shí)，客戶端通過(guò)鍵盤把自己的授權(quán)ID信息經(jīng)md5加密后形成自己的加密ID，指令信息和加密ID信息經(jīng)過(guò)AES加密后發(fā)送至服務(wù)器端，當(dāng)服務(wù)器端響應(yīng)其請(qǐng)求后，視其身份權(quán)限做出相應(yīng)處理。

2 系統(tǒng)實(shí)現(xiàn)

　　2.1 ZigBee無(wú)線傳感器網(wǎng)絡(luò)的實(shí)現(xiàn)

　　ZigBee無(wú)線傳感器基于IEEE802.15.4技術(shù)標(biāo)準(zhǔn)和ZigBee網(wǎng)絡(luò)協(xié)議而設(shè)計(jì)的無(wú)線數(shù)據(jù)傳輸網(wǎng)路，該網(wǎng)絡(luò)由若干個(gè)ZigBee終端節(jié)點(diǎn)和一個(gè)中心節(jié)點(diǎn)構(gòu)成一個(gè)星型網(wǎng)絡(luò)，終端節(jié)點(diǎn)主要負(fù)責(zé)各個(gè)傳感器模塊的信息采集和傳送，ZigBee終端節(jié)點(diǎn)采用CC2430模塊，傳感器模塊采用51單片機(jī)控制，通過(guò)擴(kuò)展串口與采集模塊相連，其主要負(fù)責(zé)接收和處理采集數(shù)據(jù)。中心節(jié)點(diǎn)主要用于接收各個(gè)終端節(jié)點(diǎn)的上傳數(shù)據(jù)，并對(duì)其進(jìn)行壓縮處理后通過(guò)擴(kuò)展接口傳送至服務(wù)器端。

　　2.2 系統(tǒng)服務(wù)器端、客戶端的實(shí)現(xiàn)

　　AES加解密算法通過(guò)硬件描述語(yǔ)言來(lái)實(shí)現(xiàn)，在該系統(tǒng)中采用VHDL語(yǔ)言編寫代碼。根據(jù)AES加解密算法的相似性，很多電路模塊可以共用。根據(jù)系統(tǒng)的需要，采用對(duì)字符加密，因此，每一個(gè)字符都將對(duì)應(yīng)其ASCII值輸入。AES實(shí)現(xiàn)框圖如圖2.2圖所示。

                      圖2.2 AES加解密實(shí)現(xiàn)框圖

　　2.2.2 監(jiān)測(cè)及報(bào)警實(shí)現(xiàn)

　　服務(wù)器端通過(guò)添加EDK中網(wǎng)絡(luò)控制器IP核，移植LwIP網(wǎng)絡(luò)協(xié)議棧，實(shí)現(xiàn)基于SOCKET的網(wǎng)絡(luò)通信。服務(wù)器端收到客戶端請(qǐng)求時(shí)，對(duì)接收到的IP數(shù)據(jù)包進(jìn)行解密，對(duì)請(qǐng)求的IP數(shù)據(jù)包進(jìn)行分析，提取對(duì)應(yīng)的ID信息和IP信息，由于該ID信息是經(jīng)過(guò)md5加密算法加密的，因此該ID作為授權(quán)客戶的唯一ID，根據(jù)ID信息與授權(quán)的ID列表進(jìn)行比較，若為授權(quán)ID，則根據(jù)客戶請(qǐng)求把相應(yīng)的信息加密處理后發(fā)送至客戶端;若為非授權(quán)ID，則說(shuō)明該網(wǎng)絡(luò)已存在非授權(quán)ID用戶，此網(wǎng)絡(luò)已經(jīng)存在不安全性，則把提取的IP信息通過(guò)GSM網(wǎng)絡(luò)發(fā)送至指定接收端手機(jī)，達(dá)到網(wǎng)絡(luò)的實(shí)時(shí)檢測(cè)和報(bào)警功能。

　　2.2.3 應(yīng)用軟件的實(shí)現(xiàn)

　　服務(wù)器端的應(yīng)用程序的設(shè)計(jì)主要包括系統(tǒng)的初始化、系統(tǒng)對(duì)客戶端請(qǐng)求的處理、網(wǎng)絡(luò)安全監(jiān)測(cè)及報(bào)警等。整個(gè)服務(wù)器端的軟件設(shè)計(jì)流程圖如圖2.3圖所示?？蛻舳说膽?yīng)用程序的設(shè)計(jì)也包括系統(tǒng)的初始化，客戶請(qǐng)求的處理及解密處理，服務(wù)器端返回的信息處理?？蛻舳塑浖鞒虉D如圖2.4圖所示。

　　3 系統(tǒng)測(cè)試及分析

　　系統(tǒng)整體測(cè)試，根據(jù)系統(tǒng)的可能應(yīng)用領(lǐng)域進(jìn)行綜合測(cè)試。系統(tǒng)初始化后，根據(jù)LCD顯示的提示信息，輸入加解密鑰16個(gè)字符，在密鑰確認(rèn)信息提示后再次輸入加解密密鑰，在本次通信過(guò)程中將采用該密鑰對(duì)信息進(jìn)行加解密處理。當(dāng)客戶端需要采集信息時(shí)，發(fā)送采集指令，服務(wù)器端響應(yīng)請(qǐng)求把傳感器網(wǎng)絡(luò)采集的信息加密后發(fā)送至客服端，客戶端把信息解密后顯示在LCD液晶顯示屏上，這一次的采集任務(wù)正確完成，當(dāng)需要再次采集時(shí)，客戶端只要發(fā)送指令就可以再次采集了。

　　系統(tǒng)分別在實(shí)驗(yàn)室和戶外進(jìn)行測(cè)試，每隔1分鐘采集一次數(shù)據(jù)，表4.1記錄了10次數(shù)據(jù)采集的處理情況。經(jīng)過(guò)多次測(cè)試和接收數(shù)據(jù)表明：該系統(tǒng)具有良好的穩(wěn)定性和高可靠性。