張海波

（大連科技學(xué)院，遼寧 大連 116011）

0 引言

在信息傳播快速發(fā)展的時(shí)代，對(duì)數(shù)據(jù)交換和共享的需求越來(lái)越大，人們使用各種數(shù)據(jù)傳輸技術(shù)來(lái)傳輸和共享數(shù)據(jù)。但是由于發(fā)展過(guò)快，計(jì)算機(jī)網(wǎng)絡(luò)面臨復(fù)雜的安全威脅，不同安全需求場(chǎng)景往往需要進(jìn)行不同方式的劃分。例如，財(cái)政部門(mén)和政府部門(mén)將機(jī)密信息和數(shù)據(jù)與公共網(wǎng)絡(luò)進(jìn)行隔離，這恰恰與數(shù)據(jù)傳輸?shù)谋憷院烷_(kāi)放性相矛盾，因此，如何有效區(qū)分邊界數(shù)據(jù)已成為目前需要解決的主要問(wèn)題，保證數(shù)據(jù)既能方便地流動(dòng)、傳輸和共享，同時(shí)將數(shù)據(jù)限制在一定的范圍內(nèi)，設(shè)置嚴(yán)格的安全邊界。

在數(shù)據(jù)化的21世紀(jì)，我們的大多數(shù)活動(dòng)都依賴于網(wǎng)絡(luò)通信。而一些人受到利益驅(qū)使，在網(wǎng)絡(luò)中非法獲取信息。國(guó)內(nèi)針對(duì)此問(wèn)題，展開(kāi)安全傳輸系統(tǒng)設(shè)計(jì)，希望解決一部分問(wèn)題，保障通信隱私。國(guó)外也提出相應(yīng)的安全協(xié)議，密碼學(xué)和設(shè)施等技術(shù)比國(guó)內(nèi)成熟。目前，RFID融入各個(gè)領(lǐng)域，為我國(guó)帶來(lái)新的契機(jī)。但是RFID存在限制條件，有學(xué)者提出有效的解決方案，為技術(shù)的發(fā)展掃清障礙。本文針對(duì)此問(wèn)題，設(shè)計(jì)基于RFID的通信數(shù)據(jù)安全傳輸系統(tǒng)，通過(guò)軟硬件的設(shè)計(jì)，以期提高信息傳輸?shù)陌踩浴?/p>

1 安全傳輸系統(tǒng)硬件設(shè)計(jì)

1.1 ARM處理器

為了保證設(shè)計(jì)的傳輸系統(tǒng)的安全性，需要使用ARM處理器，該處理器中，具有燁樹(shù)的芯片，這種芯片可以對(duì)數(shù)據(jù)的類型進(jìn)行劃分，保證其在寄存器中具有較高的安全性，基于此，在該處理器中添加寄存器結(jié)構(gòu)，最大限度地縮小芯片尺寸，同時(shí)，ARM 架構(gòu)增加幾個(gè)特殊的特性擴(kuò)展，以該方式使用Thumb指令集，可以將兩條長(zhǎng)的乘法ARM指令相加，增加數(shù)據(jù)傳輸?shù)陌踩浴?/p>

選擇ARM處理器作為系統(tǒng)硬件控制單元。系統(tǒng)設(shè)計(jì)4路模擬量采集接口，用來(lái)進(jìn)行靜電保護(hù)和保證電壓穩(wěn)定性。考慮到電源可以輸出的功率和后端設(shè)備的需要[1]，系統(tǒng)電源采用開(kāi)關(guān)電源，將220VAC轉(zhuǎn)換為穩(wěn)定的直流電壓，電源有兩個(gè)輸出，分別為-15V轉(zhuǎn)0V/2.5A和0V轉(zhuǎn)15V/3A。設(shè)計(jì)兩個(gè)電源模塊，使這兩個(gè)DC 輸出在電路板上成為各種組件的電源。

1.2 CC2430芯片

在數(shù)據(jù)通信時(shí)，為增加數(shù)據(jù)的安全性，在數(shù)據(jù)傳感器中添加CC2430芯片。在傳感器通信中，最重要的就是數(shù)據(jù)傳輸?shù)耐ㄐ虐踩?，因此?shù)據(jù)的接收以及發(fā)送中心有著至關(guān)重要的作用，添加CC2430芯片既能保證通信的效率，又降低通信的成本，因此，在原生2.4GHzISM頻段應(yīng)用該芯片，與ZigBee技術(shù)相結(jié)合。該芯片的工作時(shí)鐘為32MHz。由于CC2430運(yùn)行速度更快，因此需要提前增加該芯片的使用內(nèi)核。

選擇CC2430設(shè)計(jì)傳感器節(jié)點(diǎn)，其具備節(jié)點(diǎn)更小、價(jià)格更低以及更好的抗干擾能力等優(yōu)點(diǎn)。同時(shí)，TI的Z-stack協(xié)議用于實(shí)現(xiàn)基于設(shè)備監(jiān)控系統(tǒng)，其操作簡(jiǎn)單。CC2430內(nèi)部集成一個(gè)8k字節(jié)的靜態(tài)RAM，RAM存儲(chǔ)器的4k字節(jié)部分是一個(gè)低功耗SRAM。CC2430芯片集成16MHRC振蕩器、32MHz晶振、包含IEEE802.15.4CSMA-CA算法和IEEE802.15.4MAC層，可準(zhǔn)確進(jìn)行定時(shí)，保證數(shù)據(jù)傳輸?shù)男省?/p>

2 安全傳輸系統(tǒng)軟件設(shè)計(jì)

2.1 基于RFID設(shè)計(jì)初始化模塊

RFID主要由后臺(tái)服務(wù)器、電子標(biāo)簽和讀寫(xiě)器組成。電子標(biāo)簽用于存儲(chǔ)和計(jì)算。后端處理器用于存儲(chǔ)和管理，進(jìn)行大數(shù)據(jù)分析[2]。在客戶端與服務(wù)器之間建立網(wǎng)絡(luò)連接，將傳輸?shù)臄?shù)據(jù)進(jìn)行壓縮、分割后發(fā)送到客戶端。完成以上步驟后，用驗(yàn)證服務(wù)器的流程驗(yàn)證其準(zhǔn)確性。

數(shù)據(jù)安全傳輸系統(tǒng)由多個(gè)部分組成，即發(fā)送方、接收方、轉(zhuǎn)發(fā)器用戶和系統(tǒng)管理模塊等。其中部分場(chǎng)景需要數(shù)據(jù)和文件進(jìn)行交互，所以需要滿足各個(gè)場(chǎng)景的數(shù)據(jù)傳輸需求。因此，數(shù)據(jù)的加解密、密鑰協(xié)商等在應(yīng)用層進(jìn)行，可以適應(yīng)不同的應(yīng)用場(chǎng)景。用戶庫(kù)用于驗(yàn)證用戶的身份，在驗(yàn)證后，轉(zhuǎn)發(fā)端根據(jù)用戶的規(guī)則進(jìn)行地址的加載和初始化，完成此步驟后，即可轉(zhuǎn)發(fā)數(shù)據(jù)。整個(gè)數(shù)據(jù)傳輸過(guò)程不登陸也不存儲(chǔ)，僅在數(shù)據(jù)傳輸兩端進(jìn)行橋接服務(wù)，接受規(guī)則限制。整個(gè)過(guò)程將數(shù)據(jù)處理、加解密等放在應(yīng)用層，可以在不引入其他環(huán)節(jié)的同時(shí)保證數(shù)據(jù)傳輸?shù)男省?/p>

管理員可以通過(guò)系統(tǒng)管理模塊和人機(jī)界面管理整個(gè)系統(tǒng)，配置和協(xié)調(diào)規(guī)則和用戶之間的關(guān)系。發(fā)送方是數(shù)據(jù)的實(shí)際發(fā)起方，根據(jù)需求在應(yīng)用層進(jìn)行封裝，通過(guò)標(biāo)準(zhǔn)的C/S推送數(shù)據(jù)或?qū)⑵溆米骺蛻舳?。發(fā)送方將數(shù)據(jù)發(fā)送到指定的轉(zhuǎn)發(fā)地址，傳遞數(shù)據(jù)的傳輸請(qǐng)求，對(duì)數(shù)據(jù)流量進(jìn)行加密。接收端是數(shù)據(jù)的實(shí)際目的地，根據(jù)不同的需求封裝在應(yīng)用層，與發(fā)送方進(jìn)行匹配。數(shù)據(jù)可以被動(dòng)接收，也可以從C/S 接收到服務(wù)器。接收方本身是數(shù)據(jù)的接收層，不對(duì)用戶等進(jìn)行權(quán)限判斷，僅需要根據(jù)與發(fā)送方相同的應(yīng)用層協(xié)議對(duì)接收到的數(shù)據(jù)進(jìn)行解析或解密，并將數(shù)據(jù)存儲(chǔ)在本地。轉(zhuǎn)發(fā)端的作用是為其他安全域中的數(shù)據(jù)傳輸提供有限的連接通道，其從發(fā)送方接收數(shù)據(jù)，根據(jù)加載的規(guī)則選擇路由，并且進(jìn)行數(shù)據(jù)控制。

規(guī)則庫(kù)存儲(chǔ)轉(zhuǎn)發(fā)鏈路的數(shù)據(jù)源地址集、目的地址集、對(duì)應(yīng)端口、轉(zhuǎn)發(fā)選擇負(fù)載算法、最大轉(zhuǎn)發(fā)量、超時(shí)時(shí)間、最大連接量等參數(shù)與用戶緊密相連，用戶在其權(quán)限內(nèi)添加、暫停、修改和刪除數(shù)據(jù)。轉(zhuǎn)發(fā)端初始化時(shí)滿載，轉(zhuǎn)發(fā)時(shí)需要實(shí)時(shí)對(duì)比內(nèi)存中的規(guī)則。用戶數(shù)據(jù)庫(kù)存儲(chǔ)用戶信息及其規(guī)則屬性，為用戶提供修改和查看鏈接的信息。系統(tǒng)管理界面為管理員或終端用戶提供人機(jī)界面來(lái)管理轉(zhuǎn)發(fā)鏈路。MVC 架構(gòu)將操作數(shù)據(jù)存儲(chǔ)解耦，保證系統(tǒng)的數(shù)據(jù)安全。

數(shù)據(jù)安全傳輸系統(tǒng)架構(gòu)有效地隔離發(fā)送方和接收方，并允許數(shù)據(jù)通過(guò)轉(zhuǎn)發(fā)進(jìn)行交互。數(shù)據(jù)由發(fā)送方傳輸并通過(guò)轉(zhuǎn)發(fā)端到另一個(gè)安全域中的接收端。所有轉(zhuǎn)發(fā)規(guī)則在轉(zhuǎn)發(fā)端初始化時(shí)加載，可以根據(jù)規(guī)則權(quán)限建立數(shù)據(jù)路徑。在傳輸過(guò)程中不對(duì)數(shù)據(jù)進(jìn)行解析操作，保證數(shù)據(jù)傳輸?shù)男?，也保證數(shù)據(jù)的安全性。

2.2 設(shè)計(jì)密碼組控制模塊

密碼組控制模塊中，讀寫(xiě)器認(rèn)證階段隨機(jī)選擇證書(shū)，將選擇到的整數(shù)發(fā)送給標(biāo)簽，在標(biāo)簽對(duì)整數(shù)U=sQ計(jì)算后，返回到讀寫(xiě)器，根據(jù)讀寫(xiě)器計(jì)算的公鑰，驗(yàn)證數(shù)據(jù)有效性，公式為：

式中，U表示標(biāo)簽隨機(jī)整數(shù)；Q表示讀寫(xiě)器計(jì)算得到的整數(shù)。如果公式1成立，則對(duì)標(biāo)簽認(rèn)證階段進(jìn)行計(jì)算，公式為：

公中，x表示曲線上的坐標(biāo)點(diǎn)；Y表示曲線上的坐標(biāo)點(diǎn)，T表示全部密鑰知識(shí)。標(biāo)簽將計(jì)算結(jié)果發(fā)送給讀寫(xiě)器。如果處于認(rèn)證階段，假設(shè)讀寫(xiě)器行為符合規(guī)則，根據(jù)規(guī)則執(zhí)行，執(zhí)行的驗(yàn)證算法公式為：

公中，tR表示合法認(rèn)證數(shù)值。計(jì)算結(jié)果得出等式成立，標(biāo)簽接收數(shù)值，并且根據(jù)設(shè)定執(zhí)行。

2.3 設(shè)置傳輸過(guò)程對(duì)稱加密

將數(shù)字證書(shū)技術(shù)作為認(rèn)證機(jī)制，將輸入的信息通過(guò)計(jì)算的形式，進(jìn)行鑒定，與存儲(chǔ)器上的結(jié)果比對(duì)。標(biāo)簽追蹤攻擊是典型的消極攻擊狀態(tài)，攻擊者追蹤標(biāo)簽的動(dòng)向，采用多次攻擊標(biāo)簽的方式，獲得信息。為避免冒充，對(duì)標(biāo)簽設(shè)置認(rèn)證通信，則攻擊者獲取信息難度提高，并且通信信息經(jīng)過(guò)隨機(jī)化后，并不能在此識(shí)別標(biāo)簽[3]。同一級(jí)別不同密碼體制所對(duì)應(yīng)的密鑰長(zhǎng)度，具體數(shù)據(jù)如表1所示。

表1 同一級(jí)別不同密碼體制所對(duì)應(yīng)的密鑰長(zhǎng)度

通過(guò)表1可知，在很多情況下，解密鑰匙可以根據(jù)加密鑰匙計(jì)算出來(lái)，傳統(tǒng)系統(tǒng)的問(wèn)題是加密機(jī)制不足，導(dǎo)致無(wú)法保證網(wǎng)絡(luò)環(huán)境的安全。

3 應(yīng)用與分析

3.1 實(shí)驗(yàn)準(zhǔn)備

實(shí)驗(yàn)開(kāi)始前，檢測(cè)文中系統(tǒng)是否正常工作。檢測(cè)結(jié)果如下表所示。

通過(guò)表2可知，本文系統(tǒng)正常工作。檢測(cè)的目的是，避免因?yàn)橄到y(tǒng)的不正常運(yùn)行，影響安全性測(cè)試。

表2 系統(tǒng)測(cè)試計(jì)劃表

3.2 結(jié)果分析

在測(cè)試中使用的是wireshark抓包工具，先對(duì)加密的明文傳輸數(shù)據(jù)進(jìn)行操作，再對(duì)文中系統(tǒng)發(fā)送的數(shù)據(jù)進(jìn)行操作，最后進(jìn)行數(shù)據(jù)對(duì)比，如圖1、圖2所示。

圖1 傳統(tǒng)SSL系統(tǒng)的數(shù)據(jù)包解包分析

圖2 文中系統(tǒng)的數(shù)據(jù)包解包分析

通過(guò)觀察圖1、圖2可知，傳統(tǒng)系統(tǒng)的數(shù)據(jù)解包能夠看到大約28%的內(nèi)容，而本文系統(tǒng)解包后，數(shù)據(jù)全部出現(xiàn)亂碼，看不到通信數(shù)據(jù)，因此得出本文系統(tǒng)優(yōu)于傳統(tǒng)SSL系統(tǒng)。

4 結(jié)束語(yǔ)

本文結(jié)合具體行業(yè)的場(chǎng)景應(yīng)用RFID技術(shù)，設(shè)計(jì)通信數(shù)據(jù)安全傳輸系統(tǒng)。系統(tǒng)設(shè)計(jì)完成后，通過(guò)對(duì)比實(shí)驗(yàn)得出，基于RFID通信數(shù)據(jù)安全傳輸系統(tǒng)，在數(shù)據(jù)傳輸安全性上優(yōu)于傳統(tǒng)SSL系統(tǒng)，但系統(tǒng)功能比較單一，后續(xù)研究計(jì)劃將進(jìn)一步設(shè)計(jì)系統(tǒng)功能，使系統(tǒng)功能多樣化。