张 炜

（铁科院（北京）工程咨询有限公司，北京 海淀 100081）

1 前言

随着信息技术的飞速发展，物联网技术在人们日常生活中所涉及的应用领域也越来越多[1]。与传统的互联网不同，物联网数据信息泄漏将会给用户带来更为惨重的财产经济损失，为此人们也更加关心物联网数据信息在传输过程中的整体安全性[2]。然而遗憾的是，由于传统入侵检测技术存在着较大的局限性，不仅无法很好地适应现有的网络环境，同时针对一些突发性较强的入侵攻击行为也无法及时地给予处理[3]。基于上述原因，本文将以居家老人综合安全监测系统为研究实例，设计一个可以在复杂环境下正常应对各种安全问题和突发情况的基于入侵检测系统的物联网安全体系，以切实地提高物联网安全体系的整体防护能力。

2 系统背景

居家老人综合安全监测系统主要包含老人生理参数监测和老年公寓智能安防两个子系统。这两个子系统皆由主控芯片为Arduino Uno R3的主控模块进行控制。Arduino Uno R3是一块基于Atmei SAM3X8E CPU的微控制器板（如图1所示），拥有丰富的拓展接口。

老人生理参数监测系统主要是由数据采集部分和无线传输部分组成。数据采集电路通过来获取老人的脉搏、体温、血氧饱和度等生命数据信息。然后由ZigBee传输模块把报警数据信息传送给主控制器Arduino Uno R3。

家居安全防范报警模块主要有报警信息采集电路和无线传输模块组成。其中报警电路信息采集模块包括DHT11和DS18B20数字传感器、NRF24L01无线模块、Zigbee无线传输模块、GP2Y1050AU灰尘传感器等。这些传感模块执行主控芯片Arduino Uno R3所发出的指令。系统架构图如图3所示。

3 建设方案

本文基于上述实例将从主动式入侵检测和物联网数据通信加密两大方面入手，提出一些安全防范措施以构建一个在复杂环境下正常应对各种安全问题和突发情况的物联网安全体系。

（1）主动式入侵检测

传统的物联网安全体系的入侵检测功能基本上都是基于专家知识库中所设定的规则并推理算法检测入侵。而这种检测模式主能检测现有的安全漏洞，对于一些新型的入侵模式往往无能为力。为此本文利用BP神经网络算法对海量的攻击数据样本进行学习训练，以便系统可以有效预测与预防一些攻击行为的效果。考虑到传统的BP神经网络算法存在着收敛速度整体比较缓慢且难以获得全局最优解的问题。本文主要是利用GA遗传算法在获取全局最优解中所具备的优势对BP神经网络的初始连接权值和学习速率进行合理地优化，使得该物联网安全体系在复杂的网络环境下仍然可以有效地抵御各式各样的入侵行为，保护用户的数据信息安全。

BP神经网络算法是一种模拟人脑思考方式的算法。假设BP神经网络存在着k数据样本，那么第k个数据样本的期望输出可以采用下述公式进行描述：

为了方便计算，可以对利用全局误差化简方式对公式（2）进行化简，可以得出下列公式：

GA遗传算法是通过利用遗传规律对遗传因子进行模拟多次组合筛选淘汰以获得最适合环境生存的遗传因子。遗传算法最大的优势在于能够做到均衡搜索，进而得到该问题的最优解。遗传的生存概率可以使用下述公式进行描述

在遗传的过程中，假设变量Pm<<1，那么其变异生存概率为

子代的样本数为

（2）物联网数据通信加密

在物联网数据通信的过程中所传输的数据包往往由两大部分组成：①数据包头；②用户数据。数据包中的用户数据基本上都是采用加密算法进行加密的。因此在传输的过程中即便是被监听窃取缺乏解密密钥也很难将原内容还原解密出来。而数据包头部分主要是提供给数据接收方进行数据的接收处理验证，不便进行加密处理。因此如何确保数据包的数据包头部分不被窃听获取或恶意篡改就成为物联网数据通信加密的重点。为此本文提出一种新型的物联网数据通信加密方法。其实现步骤如下：①网络侧生成随机数，并且随同期标识发送给终端侧；②终端侧生产自己的随机数，连同网络标识和随机数，生成密钥，且密钥对随机数进行签名；③网络侧首先使用其标识、随机数，终端侧的随机数使用和网络侧同样算法生成密钥，然后对终端侧的签名信息进行认证，最后使用期密钥对加密参数进行签名；④终端侧使用其密钥对网络侧签名进行认证，然后对加密参数进行签名，网络侧使用其密钥对终端侧签名进行认证；⑤当上述签名认证都通过的时候，网络侧和终端侧各自保存密钥和随机数，在后续数据的加密解密中使用。

上述过程中网络侧的密钥生成后与报文头、Nonce一起将明文数据进行CCM加密和鉴权，形成密文数据；在终端侧生产相应的密钥与报文头、Nonce一起对密文数据进行解密。密文数据包括加密数据和鉴权信息。Nonce包括安全计数器、标识、终端侧随机数以及网络侧随机数。Nonce为12个字节，其中0-3字节为安全计数器，第4字节为标识，第5-8字节为终端侧随机数，第9-12字节为网络侧随机数；安全计数器关联上行和下行用户数据并控制消息；标识指示传输的数据方向和逻辑信道，是否可靠传输。具体包括传输方向字段、逻辑信号字段、可靠性字段以及数据负载字段，所述的传输方向字段、逻辑信号字段、可靠性字段以及数据负载字段分别对应比特位0位、1位、2位以及3位，4-7比特位为预留位；终端侧随机数，以及网络侧随机数都是给加密过程服务的随机数，随机数通过双向认证机制成对产生。

4 结语

本文将以居家老人综合安全监测系统为研究实例，针对该系统设计一个基于入侵检测系统的物联网安全体系。该物联网安全体系的设计主要是集中在主动式入侵检测和物联网数据通信加密两大方面。将BP神经网络算法引入到物联网安全体系之中以提高其对入侵攻击行为的检测能力，并引入遗传算法优化BP神经网络算法最优解收敛问题。然后提出一种新型的物联网数据通信加密方法对物联网网络通讯中的数据包内容进行加密，以切实地提高物联网安全体系的整体防护能力。