1、ICS 35.110L 80DB 37山 东 省 地 方 标 准DB37/T XXXXXXXXX传感器网络 信息安全网络传输安全测评规范Sensor network Information security Network transmission security evaluation specificationXXXX-XX-XX 发布 XXXX-XX-XX 实施山 东 省 质 量 技 术 监 督 局 发 布DB37/T XXXXXXXXXI前 言本标准按照GB/T 1.12009给出的规则起草。本标准由山东省信息标准化技术委员会提出并归口。本标准起草单位:山东省标准化研究院、山东微分电子
2、科技有限公司、山东省电子信息产品检验院、枣庄市标准计量情报所。本标准主要起草人:王庆升、公伟、王曙光、刘美丽、石秀芳、许立前、刘育伯、崔春明、宫法明、刘新平、孙向群、李宁宁、毕小强。DB37/T XXXXXXXXXII引 言作为新一代信息技术中物联网技术的典型代表,传感器网络技术已在电力、环境监测、军事、国土安全、物流交通等国民经济重要领域得到广泛应用,应用模式逐步成熟。但在传感器网络大规模应用的同时,也面临着许多新的安全威胁,而对传感器网络系统进行安全测评是解决这些威胁的重要途径。开展传感器网络领域安全保障及安全测试相关技术研究,形成测评指标和测评方法,可以为传感器网络技术的大范围应用提供支
3、撑,同时提升该领域安全性评估技术能力。本标准开展传感器网络传输安全测评研究,形成传感器网络传输安全测评指标和测评方法,从而保障传感器网络传输安全,满足传感器网络安全需求,有助于传感器网络系统的大范围推广应用。DB37/T XXXXXXXXX1传感器网络 信息安全 网络传输安全测评规范1 范围本标准规定了传感器网络传输安全的测评指标、测评方法、测评实施过程及结果判定。本标准适用于传感器网络的制造商、建设者、使用者、第三方安全测评及风险评估机构、信息安全认证机构。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最
4、新版本(包括所有的修改单)适用于本文件。GB/T 183362008 信息技术 安全技术 信息技术安全性评估准则GB/T 202702006 信息安全技术 网络基础安全技术要求GB/T 250692010 信息安全技术 术语GB/T 30269.22013 信息技术 传感器网络 第2部分:术语3 术语和定义GB/T 202702006、GB/T 183362008、GB/T 250692010、GB/T 30269.22013界定的以及下列术语和定义适用于本文件。3.1 传感器网络 sensor network利用传感器网络节点及其它网络基础设施,对物理世界进行信息采集并对采集的信息进行传输和
5、处理,并为用户提供服务的网络化信息系统。简称传感网。3.2 新鲜性 freshness保证接收到的数据的时效性,确保没有重放过时的数据。3.3 保密性 confidentiality使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。3.4 完整性 integrityDB37/T XXXXXXXXX2使信息没有遭受未授权方式所作的更改或破坏的特性。3.5 可用性 availability已授权实体一旦需要就可访问和使用的数据和资源的特性。3.6 数据融合 data convergence进行数据的收集、处理和传送,去除数据中的冗余信息。4 缩略语下列缩略语适用于本文件:APS:应用支持
6、子层(application support sublayer)IPSec:IP层协议安全结构(security architecture for IP network)MAC:介质访问控制层(medium access control)NWK:网络层(network layer)5 总则5.1 测评原则5.1.1 客观性和公正性原则按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。5.1.2 经济性和可重用性原则鼓励测评工作充分利用以前的测评结果。所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态。5.1.3 可重复性和可再现性原则不论谁
7、执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。5.1.4 结果完善性原则测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。5.2 测评指标传感器网络传输安全测评指标主要包括传感器网络传输过程中数据保密性、数据完整性、数据新鲜性、数据可用性、网络层帧安全机制、路由安全、协调器变换的安全机制等。DB37/T XXXXXXXXX35.3 测评方法测评方法指测评人员在测评实施过程
8、中使用的方法,主要包括访谈、测试二种。其中,访谈是指测评人员通过引导相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得信息的过程,测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程,共分为如下四种测试方法:特定信道数据捕获方法,即通过捕获器设备捕获特定一路信道数据,以及将设定信道的所有节点信息接收并传送的方法;传感器网络传输协议解析方法,即对捕获器获取的数据,重点是 MAC/NWK/APS 帧格式的数据进行解析,以实现实时存储、管理、展示和网络拓扑生成的方法;渗透性测试方法,即运用攻击检测器,进行入侵、仿冒等攻击,并通过
9、多次测试获取结果进行安全性分析的方法;模拟方法,即模拟协议或算法的运行过程,检查协议或算法的运行结果是否正确。5.4 测评环境传感器网络测评环境主要包含:传感器网络系统的基本构成和具有的一些保护机制;被测系统的基本信息和被测系统所处的运行环境及面临的威胁;检查被测系统相关的各种组件、调试测评工具,如漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。 6 传感器网络传输安全测评6.1 概述传感器网络传输安全测评的对象覆盖了传感器网络传输所涉及主要对象,主要是数据和网络,采用5.3中所提到的方法来检测传感器网络传输是否安全。测评工作表详见附录A。6.2 数据保密性测评6.2.1 保密性存
10、在测评6.2.1.1 测评项传感器网络传输过程中数据是否具有保密性。6.2.1.2 测评实施按如下步骤进行:a) 访谈传感器网络用户,询问是否对数据进行了加密;b) 利用特定信道数据捕获方法通过检测设备截获被测传感器网络网络层传输的数据;c) 利用传感器网络传输协议解析方法剥离网络层的字头后,得到网络层传输数据中的帧的辅助帧头,查看辅助帧头 sec 字段,判断数据段数据是否具有随机性。6.2.1.3 结果判定如果6.2.1.2 c)为肯定,则可以判断通过本项测评,否则不符合或部分符合本项测评要求。DB37/T XXXXXXXXX46.2.2 保密性正确性测评6.2.2.1 测评项传感器网络传输
11、过程中数据保密性的正确性。6.2.2.2 测评实施按如下步骤进行:a) 访谈用户,要求用户提供明文和主密钥,利用主密钥生成会话密钥(网络密钥);b) 利用检查方法模拟协议对明文进行加密,比较密文与网络设备传输的密文是否一致。6.2.2.3 结果判定如果6.2.2.2 b)为肯定,则可以判断通过本项测评,否则不符合或部分符合本项测评要求。6.3 数据完整性测评6.3.1 完整性存在测评6.3.1.1 测评项传感器网络传输过程中数据是否具有完整性。6.3.1.2 测评实施按如下步骤进行:a) 利用检测设备从合法网络中选取一个合法目标感知节点,并利用特定信道数据捕获方法捕获该节点通信过程中的数据包;
12、b) 利用传感器网络传输协议解析方法对数据包进行解析,根据相应的协议规范找出完整性检验字段是否存在。6.3.1.3 结果判定如果6.3.1.2 b)为肯定,则可以判断通过本项测评,否则不符合或部分符合本项测评要求。6.3.2 完整性正确性测评6.3.2.1 测评项传感器网络传输过程中数据完整性的正确性。6.3.2.2 测评实施按如下步骤进行:a) 访谈用户,要求用户提供明文和密钥;b) 利用检查方法模拟协议中完整性校验的生成方式加密生成完整性校验字段,查看两次的完整性校验字段是否相同;c) 利用传感器网络传输协议解析方法解析帧结构中完整性校验字段是否具有随机性。6.3.2.3 结果判定DB37
13、/T XXXXXXXXX5如果6.3.2.2 b)或c)有一项或两项为肯定,则可以判断通过本项测评,否则不符合或部分符合本项测评要求。6.4 数据新鲜性测评6.4.1 新鲜性存在测评6.4.1.1 测评项传感器网络传输过程中数据是否具有新鲜性。6.4.1.2 测评实施按如下步骤进行:a) 利用特定信道数据捕获方法捕获节点通信过程中的数据包;b) 利用传感器网络传输协议解析方法对数据包进行解析,根据响应的协议规范查看是否存在新鲜性字段即一种新鲜性机制,如 ZigBee 中的帧计数器。6.4.1.3 结果判定如果6.4.1.2 b)为肯定,则可以判断通过本项测评,否则不符合或部分符合本项测评要求。
14、6.4.2 新鲜性真实性测评(抗重放攻击测评)6.4.2.1 测评项传感器网络传输过程中数据新鲜性的真实性,即能否抵抗抗重放攻击。6.4.2.2 测评实施按如下步骤进行:a) 利用特定信道数据捕获方法捕获传感器网络中传输的数据;b) 将数据再次发送或修改后发送,查看接收到的数据与原数据是否一致。6.4.2.3 结果判定如果6.4.2.2 b) 为否定,则可以判断通过本项测评,否则不符合或部分符合本项测评要求。6.5 数据可用性测评6.5.1 测评项传感器网络传输过程中数据是否可用。6.5.2 测评实施按如下步骤进行:a) 利用特定信道数据捕获方法捕获传感器网络中传输的数据;b) 利用检查方法,
15、检查传感器网络是否能够向系统中的合法用户提供信息访问服务;c) 利用检查方法,检查传感器网络是否能够向系统中的非法用户提供信息访问服务。6.5.3 结果判定DB37/T XXXXXXXXX6如果6.5.2 b)为肯定且c)为否定,则可以判断通过本项测评,否则不符合或部分符合本项测评要求。6.6 网络层帧安全机制测评6.6.1 测评项传感器网络网络层帧辅助帧头格式中安全控制域是否符合要求,帧计数器域、源地址域、密钥序列号域是否存在。6.6.2 测评实施按如下步骤进行:a) 利用传感器网络传输协议解析方法,对帧格式进行解析;b) 检查安全控制域中安全级别、密钥标识符和扩展的临时子域,查看安全级别,
16、是否存在密钥标识符和扩展的临时子域;c) 检查帧头的帧计数器域,查看是否存在;d) 检查源地址域,查看是否存在;e) 检查密钥序列号域,查看是否存在。6.6.3 结果判定如果6.6.2 b)安全级别达到2级以上,且6.6.2 b)密钥标识符、扩展的临时子域和6.6.2 c)、6.6.2 d)、6.6.2 e)判定结果为肯定,则可以判断通过本项测评,否则不符合或部分符合本项测评要求。6.7 路由安全测评6.7.1 测评项传感器网络能否有效抵抗现有路由安全攻击如洪拒绝服务攻击。6.7.2 测评实施按如下步骤进行:a) 访谈用户传感器网络是否有效抵抗了路由安全攻击,是否采取了安全措施;b) 利用渗透
17、性测试方法构造(或重放)某个数据帧(合法的或非法的),不断连续发送(如每秒发送 10 次)给路由节点处理,观测路由节点是否有反映,看得到路由节点反映的数据帧数量。6.7.3 结果判定如果6.7.2 b)为否定即节点无反映,则可以判定能有效抵抗现有路由安全攻击,同时,如果6.7.2 b)为肯定但得到节点反映的数据帧数量为少数,则可以判定虽然存在攻击,但攻击效果不好或无效即满足测评项,否则,不符合或部分符合本项测评要求。6.8 协调器变换的安全机制测评6.8.1 测评项传感器网络传输过程中是否有协调器变换的安全机制。DB37/T XXXXXXXXX76.8.2 测评实施按如下步骤进行:a) 访谈用
18、户传感器网络传输过程中是否有协调器变换的安全机制;b) 利用检测设备从合法网络中选取一个协调器;c) 利用渗透性测试方法假冒这个协调器(伪装其身份)试图入网,看入网或组网是否成功。6.8.3 结果判定如果6.8.2 c)为否定,则可以判断通过本项测评,否则不符合或部分符合本项测评要求。DB37/T XXXXXXXXX8A A附 录 A(规范性附录)测评工作表表 A.1 测评工作表测评指标 测评方法 结果判定访谈特定信道数据捕获方法保密性存 在测评传感器网络传输协议解析方法利用传感器网络传输协议解析方法检查协议字段符合要求,通过测评,否则不通过。访谈保密性测评保密性正确性测评 检查方法利用模拟协
19、议运行过程的方法,如果两次结果一致,通过测评,否则不通过。访谈特定信道数据捕获方法完整性存 在测评传感器网络传输协议解析方法利用传感器网络传输协议解析方法检查协议字段符合要求,通过测评,否则不通过。访谈检查方法完整性测评完整性正确性测评 传感器网络传输协议解析方法利用传感器网络传输协议解析方法检查协议字段符合要求,通过测评,否则不通过。特定信道数据捕获方法新鲜性存在测评 传感器网络传输协议解析方法利用传感器网络传输协议解析方法检查协议字段符合要求,通过测评,否则不通过。新鲜性测评新鲜性真实性测评 渗透性测试方法利用渗透性测试方法未成功重放数据,通过测评,否则不通过。数据安全测评可用性测评 检查方法 利用检查方法查看数据对合法用户是否可用,对非法用户是否可用,如果对合法可用,非法不可用,则通过测评,否则不通过。网络层帧安全机制测评传感器网络传输协议解析方法利用传感器网络传输协议解析方法检查帧格式符合要求,通过测评,否则不通过。访谈路由安全测评渗透性测试方法利用渗透性测试方法成功抵抗现有路由攻击,通过测评,否则不通过。访谈渗透性测试方法网络安全测评协调器变换的安全机制测评渗透性测试方法利用渗透性测试方法未进入传感器网络或组网不成功,通过测评,否则不通过。_
