張 煒

（鐵科院（北京）工程咨詢有限公司，北京 海淀 100081）

1 前言

隨著信息技術(shù)的飛速發(fā)展，物聯(lián)網(wǎng)技術(shù)在人們?nèi)粘Ｉ钪兴婕暗膽?yīng)用領(lǐng)域也越來越多[1]。與傳統(tǒng)的互聯(lián)網(wǎng)不同，物聯(lián)網(wǎng)數(shù)據(jù)信息泄漏將會給用戶帶來更為慘重的財產(chǎn)經(jīng)濟損失，為此人們也更加關(guān)心物聯(lián)網(wǎng)數(shù)據(jù)信息在傳輸過程中的整體安全性[2]。然而遺憾的是，由于傳統(tǒng)入侵檢測技術(shù)存在著較大的局限性，不僅無法很好地適應(yīng)現(xiàn)有的網(wǎng)絡(luò)環(huán)境，同時針對一些突發(fā)性較強的入侵攻擊行為也無法及時地給予處理[3]?；谏鲜鲈?，本文將以居家老人綜合安全監(jiān)測系統(tǒng)為研究實例，設(shè)計一個可以在復(fù)雜環(huán)境下正常應(yīng)對各種安全問題和突發(fā)情況的基于入侵檢測系統(tǒng)的物聯(lián)網(wǎng)安全體系，以切實地提高物聯(lián)網(wǎng)安全體系的整體防護(hù)能力。

2 系統(tǒng)背景

居家老人綜合安全監(jiān)測系統(tǒng)主要包含老人生理參數(shù)監(jiān)測和老年公寓智能安防兩個子系統(tǒng)。這兩個子系統(tǒng)皆由主控芯片為Arduino Uno R3的主控模塊進(jìn)行控制。Arduino Uno R3是一塊基于Atmei SAM3X8E CPU的微控制器板（如圖1所示），擁有豐富的拓展接口。

老人生理參數(shù)監(jiān)測系統(tǒng)主要是由數(shù)據(jù)采集部分和無線傳輸部分組成。數(shù)據(jù)采集電路通過來獲取老人的脈搏、體溫、血氧飽和度等生命數(shù)據(jù)信息。然后由ZigBee傳輸模塊把報警數(shù)據(jù)信息傳送給主控制器Arduino Uno R3。

家居安全防范報警模塊主要有報警信息采集電路和無線傳輸模塊組成。其中報警電路信息采集模塊包括DHT11和DS18B20數(shù)字傳感器、NRF24L01無線模塊、Zigbee無線傳輸模塊、GP2Y1050AU灰塵傳感器等。這些傳感模塊執(zhí)行主控芯片Arduino Uno R3所發(fā)出的指令。系統(tǒng)架構(gòu)圖如圖3所示。

3 建設(shè)方案

本文基于上述實例將從主動式入侵檢測和物聯(lián)網(wǎng)數(shù)據(jù)通信加密兩大方面入手，提出一些安全防范措施以構(gòu)建一個在復(fù)雜環(huán)境下正常應(yīng)對各種安全問題和突發(fā)情況的物聯(lián)網(wǎng)安全體系。

（1）主動式入侵檢測

傳統(tǒng)的物聯(lián)網(wǎng)安全體系的入侵檢測功能基本上都是基于專家知識庫中所設(shè)定的規(guī)則并推理算法檢測入侵。而這種檢測模式主能檢測現(xiàn)有的安全漏洞，對于一些新型的入侵模式往往無能為力。為此本文利用BP神經(jīng)網(wǎng)絡(luò)算法對海量的攻擊數(shù)據(jù)樣本進(jìn)行學(xué)習(xí)訓(xùn)練，以便系統(tǒng)可以有效預(yù)測與預(yù)防一些攻擊行為的效果。考慮到傳統(tǒng)的BP神經(jīng)網(wǎng)絡(luò)算法存在著收斂速度整體比較緩慢且難以獲得全局最優(yōu)解的問題。本文主要是利用GA遺傳算法在獲取全局最優(yōu)解中所具備的優(yōu)勢對BP神經(jīng)網(wǎng)絡(luò)的初始連接權(quán)值和學(xué)習(xí)速率進(jìn)行合理地優(yōu)化，使得該物聯(lián)網(wǎng)安全體系在復(fù)雜的網(wǎng)絡(luò)環(huán)境下仍然可以有效地抵御各式各樣的入侵行為，保護(hù)用戶的數(shù)據(jù)信息安全。

BP神經(jīng)網(wǎng)絡(luò)算法是一種模擬人腦思考方式的算法。假設(shè)BP神經(jīng)網(wǎng)絡(luò)存在著k數(shù)據(jù)樣本，那么第k個數(shù)據(jù)樣本的期望輸出可以采用下述公式進(jìn)行描述：

為了方便計算，可以對利用全局誤差化簡方式對公式（2）進(jìn)行化簡，可以得出下列公式：

GA遺傳算法是通過利用遺傳規(guī)律對遺傳因子進(jìn)行模擬多次組合篩選淘汰以獲得最適合環(huán)境生存的遺傳因子。遺傳算法最大的優(yōu)勢在于能夠做到均衡搜索，進(jìn)而得到該問題的最優(yōu)解。遺傳的生存概率可以使用下述公式進(jìn)行描述

在遺傳的過程中，假設(shè)變量Pm<<1，那么其變異生存概率為

子代的樣本數(shù)為

（2）物聯(lián)網(wǎng)數(shù)據(jù)通信加密

在物聯(lián)網(wǎng)數(shù)據(jù)通信的過程中所傳輸?shù)臄?shù)據(jù)包往往由兩大部分組成：①數(shù)據(jù)包頭；②用戶數(shù)據(jù)。數(shù)據(jù)包中的用戶數(shù)據(jù)基本上都是采用加密算法進(jìn)行加密的。因此在傳輸?shù)倪^程中即便是被監(jiān)聽竊取缺乏解密密鑰也很難將原內(nèi)容還原解密出來。而數(shù)據(jù)包頭部分主要是提供給數(shù)據(jù)接收方進(jìn)行數(shù)據(jù)的接收處理驗證，不便進(jìn)行加密處理。因此如何確保數(shù)據(jù)包的數(shù)據(jù)包頭部分不被竊聽獲取或惡意篡改就成為物聯(lián)網(wǎng)數(shù)據(jù)通信加密的重點。為此本文提出一種新型的物聯(lián)網(wǎng)數(shù)據(jù)通信加密方法。其實現(xiàn)步驟如下：①網(wǎng)絡(luò)側(cè)生成隨機數(shù)，并且隨同期標(biāo)識發(fā)送給終端側(cè)；②終端側(cè)生產(chǎn)自己的隨機數(shù)，連同網(wǎng)絡(luò)標(biāo)識和隨機數(shù)，生成密鑰，且密鑰對隨機數(shù)進(jìn)行簽名；③網(wǎng)絡(luò)側(cè)首先使用其標(biāo)識、隨機數(shù)，終端側(cè)的隨機數(shù)使用和網(wǎng)絡(luò)側(cè)同樣算法生成密鑰，然后對終端側(cè)的簽名信息進(jìn)行認(rèn)證，最后使用期密鑰對加密參數(shù)進(jìn)行簽名；④終端側(cè)使用其密鑰對網(wǎng)絡(luò)側(cè)簽名進(jìn)行認(rèn)證，然后對加密參數(shù)進(jìn)行簽名，網(wǎng)絡(luò)側(cè)使用其密鑰對終端側(cè)簽名進(jìn)行認(rèn)證；⑤當(dāng)上述簽名認(rèn)證都通過的時候，網(wǎng)絡(luò)側(cè)和終端側(cè)各自保存密鑰和隨機數(shù)，在后續(xù)數(shù)據(jù)的加密解密中使用。

上述過程中網(wǎng)絡(luò)側(cè)的密鑰生成后與報文頭、Nonce一起將明文數(shù)據(jù)進(jìn)行CCM加密和鑒權(quán)，形成密文數(shù)據(jù)；在終端側(cè)生產(chǎn)相應(yīng)的密鑰與報文頭、Nonce一起對密文數(shù)據(jù)進(jìn)行解密。密文數(shù)據(jù)包括加密數(shù)據(jù)和鑒權(quán)信息。Nonce包括安全計數(shù)器、標(biāo)識、終端側(cè)隨機數(shù)以及網(wǎng)絡(luò)側(cè)隨機數(shù)。Nonce為12個字節(jié)，其中0-3字節(jié)為安全計數(shù)器，第4字節(jié)為標(biāo)識，第5-8字節(jié)為終端側(cè)隨機數(shù)，第9-12字節(jié)為網(wǎng)絡(luò)側(cè)隨機數(shù)；安全計數(shù)器關(guān)聯(lián)上行和下行用戶數(shù)據(jù)并控制消息；標(biāo)識指示傳輸?shù)臄?shù)據(jù)方向和邏輯信道，是否可靠傳輸。具體包括傳輸方向字段、邏輯信號字段、可靠性字段以及數(shù)據(jù)負(fù)載字段，所述的傳輸方向字段、邏輯信號字段、可靠性字段以及數(shù)據(jù)負(fù)載字段分別對應(yīng)比特位0位、1位、2位以及3位，4-7比特位為預(yù)留位；終端側(cè)隨機數(shù)，以及網(wǎng)絡(luò)側(cè)隨機數(shù)都是給加密過程服務(wù)的隨機數(shù)，隨機數(shù)通過雙向認(rèn)證機制成對產(chǎn)生。

4 結(jié)語

本文將以居家老人綜合安全監(jiān)測系統(tǒng)為研究實例，針對該系統(tǒng)設(shè)計一個基于入侵檢測系統(tǒng)的物聯(lián)網(wǎng)安全體系。該物聯(lián)網(wǎng)安全體系的設(shè)計主要是集中在主動式入侵檢測和物聯(lián)網(wǎng)數(shù)據(jù)通信加密兩大方面。將BP神經(jīng)網(wǎng)絡(luò)算法引入到物聯(lián)網(wǎng)安全體系之中以提高其對入侵攻擊行為的檢測能力，并引入遺傳算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)算法最優(yōu)解收斂問題。然后提出一種新型的物聯(lián)網(wǎng)數(shù)據(jù)通信加密方法對物聯(lián)網(wǎng)網(wǎng)絡(luò)通訊中的數(shù)據(jù)包內(nèi)容進(jìn)行加密，以切實地提高物聯(lián)網(wǎng)安全體系的整體防護(hù)能力。