改进的基于zigbee协议MAC层边界检测算法的研究

1、改进的基于zigbee协议mac层边界检测算 法的研究摘要：zigbee拚议山于其低功耗、低成木、高安全等优点，广泛应用于生产生活环境中，但 针对该协议的安全研究还比较少。本文深入研究了 zigbee协议mac层安全机制，在边界值 测试算法基础上进行了算法改进，使用改进的检测算法不仅能够提窩测试用例町用比例，还 可以提高测试川例的路径覆盖度，使川该测试算法既能够人幅度提高fuzzing测试效率，又 能进行较为全面的fuzzing检测。木文以该改进算法为基础，设计研发了 fuzzing测试工具， 并对zigbcc网络进行动态安全检测。实验证明该算法的检测效率和测试路径覆盖度冇很大 提高。关键词:

2、zigbcc： fuzzing测试；边界值分析 中图分类号:tp393.0an improved algorithm locating mac layer to detectzigbee vulnerabilityli jing, cui baojiang(school of computer, beijing university of posts and telecommunications, beijing 100876) abstract: due to the quality of low power consumption, low cost and high security,

3、zigbee protocol is widely used in production and living environment, but research on its safety is still blank. in this paper, the security of the mechanism on the layer of mac is deeply investigated based on the bva fuzzing test, a kind of improved detection algorithm is put forward. according to t

4、he testing results, we can conclude that this algorithm would largely increase the efficiency of fuzzing test. in order to lest the risks of zigbee network on the mac layer, a fuzzing test tool is designed and developed which uses the improved fuzzing algorithm and in the experiment, this algorithm

5、is proved more efficiency.keywords: zigbee protocol; fuzzing test; bva0引言及协议现状zigbee协议是美国电器和电子工程师协会(ieee)于2003年5月制定的基于ieee 802.15.4标准的个人网络的短程无线通信协议。它因为其低功耗、低成木、短延时，髙容 ffi,高安全等优点己经成为无线传感器网络的最热门技术。随着物联网产品的普及，基于 zigbee技术的产品将越來越多的进入聲通家庭，其安全性也成为越來越多的人关注的目标。虽然zigbee协议在数据保密性、数据朿放检测及访问控制等方面都做了规定，但因其 存储能力、计算

6、能力及供电能力有限，它在安全方面，仍会让攻击者有机可乘。最近，ft 治亚州立大学的研究人员利用zigbee协议主协调:器不会对节点发送的gts请求进行id认 证的缺陷，通过节点伪造技术，成功进行了 dos攻击。除此z外，针对zigbee协议安全 性的研究目前仍然较少。忖前国内外机构研究协议及软件安全性时人多采川fuzzing技术，并得到了很好的结果 151,形成了不少成熟的测试模型。木文采用fuzzing技术主要对zigbee协议的mac层进 行安全性检测。传统的纯fuzzing测试会生成海量的测试用例i7i,有效测试用例比例很低，效率低下。基于边界值分析的测试方法能够有效的减少测试用例的数量

7、，提高测试效果，本 文在文献岡的基础上对该测试方法进行了改进，并对算法进行了验证，实验证明，使用该改 进的算法进行fuzzing测试时，测试用例対于测试路径具有较高的覆盖度，能够比较全血的 対zigbee协议mac层进行检测。1协议描述maow：尾部zigbee协议mac层主要丁作包括：正确收发物理层数据;维护一个存储mac层协议状 态信息的数据库。根据zigbee协汉观定，mac层数据帧由帧控制域、序列号域、地址域、 有效载荷、及fcs校验组成，其结构如图1所示。21w20wr32w2/r0/h22械腔制域序列号目的pan目的地 址掠pan源地址加密佰总数据我荷fcsmac帧头部人字节mac

8、层林陶杯i（w34567-910-11124314-15安仝口的*址比徐帧控制娩图1 mac层数据帧结构由图1可知，数据的发送节点与接收节点的地址信息填充在mac层数据帧包头，物理 层会接收网络屮所有数据，并提交至mac层进行解析。因此，zigbcc协议mac层定义一 系列过滤规则，从大量数据帧屮提取属于木节点的数据包。首先，mac层处理模块计算数 据帧头及载荷的fcs值，与帧尾部fcs进行比较进行。计算所得fcs值若与数据帧携带的 fcs值不同，数据帧会被丢弃。该规则保证数据在传输过程屮没冇遭到破坏。如果节点不处 于混杂模式，mac层会对控制域中帧类型的合法性、h的地址模式及源地址模式与目的

9、地 址、源地址信息是否匹配、帧的目的pan id是否为节点所处网络、口的地址是否为当前设 备等进行查看。只有通过全部过滤规则的数据帧所携带的冇效载荷才会将数据提交至上层协 议，否则被丢弃冋。2算法分析假设需耍随机化的序列长度为m （单位：字节，不包含fcs）,以ni衣示生成的随机 化测试用例的数量。使用传统fuzzing对随机序列的每种情况进行遍历，生成的测试用例数量为：no = 2s.no通过对mac层数据帧结构进行分析，我们对测试川例的输入域进行等价类划分g,根 据其不同字段的含义，测试用例可分为2947个不同的等价类，这些不同的等价类覆盖了 zigbee协议mac层输入的所有情况。2.1

10、边界条件测试边界条件测试是一种黑盒测试方法g,在长期的测试经验中得知，大量的漏洞出现在 输入或者输出的边界上，由丁对边界条件没冇做完全的过滤和检测，造成了系统漏洞。进行 边界条件测试时，根据协议内容，将需要随机化的序列分为若干个子域，每个子域至少为一 个字节。对于每一个子域确定输入的值的范围，测试数据取刚达到这个范围的边界值，以及 刚刚超过这个范围边界的值。依据边界条件测试的思想，在随机化测试用例的值时，对于每个子域按照如下五种方式赋值，生成的测试用例数量为：nl = 5mo表1边界测试赋值示例typevalue1min2max3min-14max+15mid radom山于在进行边界测试时，

11、对于随机化的子域划分粒度过于粗略，在实际测试过程中测试 用例的实际覆盖范禺实际上并不窩，对于mac层进行精确规定的部分，等价类的划分并不 全血，经过分析得到，约为：9%2.2 比较表2各个测试原理比较算法覆盖范围随机化包数量优点缺点传统 fuzzing100%no = 28mh动化程度高， 容易实现效率很低边界测试9%ni = 5，n对于边界条件上 的漏洞有很好的检测 效果，生成的测试用 例较少，测试效率比 较高对于其他类型的协 议漏洞（如：设计上的 缺陷等）不能够有效地 进行检测。待测域划分 粗略，测试效率有待提 咼。2.3改进算法描述结合以上测试思想的测试方法所产生的随机化数据包数量以及测

12、试用例覆盖度，我们希 望在测试川例对丁测试路径的覆盖度上有较人提高。基于这一 11的，我们结合了边界值分析法的主要思想，具体分析了 mac层协议的各个 字段具体含义，将待测的数据包根据每个字段的具体含义进-步细化，提出了针対zigbee 协议mac层安全的改进的边界检测算法。经过该改进算法对mac层帧结构细化后，划分 的最小子域为3比特（帧类型部分），莫他部分子域为1-8字节不等，根据mac层的基本 过滤规则排除能够被确定抛弃的随机化数据包。然后对各个子域，以及没有明确规定处理方 案的字段如地址模式、命令帧字段及其他预留字段进行边界测试，并且保证使用的测试用例 能够覆盖对其划分的所有有效等价域

13、和无效等价域。尤其是对于其中的地址域部分，由于完 全随机化的终端地址大部分都町以划分为无效等价类，在此选取冇代表性的地址进行随机选 取。使用此方法进行随机化测试时，产生的随机化数据包数量为=,但是对于划分的测试等价域覆盖范围达到了将近100%。3测试框架3.1测试工具网络协议的fuzzing测试，是指使用fuzzing测试工具对发送数据进行模糊化处理，通 过监测目标设备能否正确解析畸形数据，判断网络协议是否存在安全隐患的过程。针对 zigbee协议mac层的fuzzing测试架构如图2所示。zigbee协议栈测试节点nwk、aps,apl层、安全层等改试据 修测数nwk、aps, apl层、安

14、全层等mac层接收 检测 处理aphy层待测节点群图2 fuzzing工具测试原理fuzzing测试工具在mac层拦截由上层交付的数据，对英根据测试算法修改数据，生11() 成测试用例。然后将生成的随机化数据替换了原始数据后，再发送到物埋层，由物理层广播 到待测网络中。待测节点收到测试节点发送来的数据包，依次山物理层提交给mac层进行 处理和安全检测，然后交付给上层协议栈。3.2网络拓扑根据我们的测试思想，搭建了如下网络进行了实际测试，图3中(p=3,q=1)所显示的:主协调器115为测试网络的拓扑图，其中虚线框内的部分为实际测试使用的节点：&终端节点r路由节点(f救试工具s监听工具图

15、3测试模拟网络拓扑图该网络是主协调器建立的树形网络。网络中有两个终端节点与一个路由节点与主协调器120和连接，选择被测网络环境屮的主协调器和终端节点作为被测对彖。同时，为了实时监控被测对象及整个网络的通信情况，在网络中加入sniffer监听模块。同时fuzzing节点作为测试 工具在网络内发送随机化数据包。以上构成了对zigbee协议进行安全缺陷检测所必须的网 络结构。4实验结果4.1测试效率fuzzing测试工具向h标节点发送畸形数据，大-部分数据不符合zigbee协议规范，触发 过滤规则，将被抛弃，造成了测试用例的浪费。分别使用纯fuzzing算法、皋于边界测试的 fuzzing算法，以及

16、基于边界检测的改进算法生成测试用例，rfl fuzzing测试工具发送给被 测节点，测试者对被测模块接收数据包的情况进行监测，可得到如下图4的测试结果。图4各算法测试结果比较柱状图4.2 结果分析在验证算法有效性和效率时，除了牛-成的有效测试川例率，测试川例覆盖度之外，还引 进了另外一个概念：测试川例贡献度。即：相对丁以划分的耍测试的全部等价类來说，牛-成 的单个测试用例对于要覆盖的测试域的贡献。图4为使用三种测试方法对zigbee协议进行随机化测试时，产生的测试用例个数，测 试用例覆盖度，以及测试用例贡献度的数量关系。其屮使用纯随机化测试时，产牛的测试用 例个数最多，测试用例的覆盖度也最广，

17、能够包倉测试的全部路径，但是山于冗余测试用例 过多，测试效率极低，且单一测试用例的贡献也很低；使用边界测试的思想进行随机化测试 时，能够极人的减少测试川例的数呈，但是由丁对边界测试子域划分过为粗略，生成的测试 用例在测试路径覆盖度上人人降低，导致测试川例的贡献度未能冇显著捉高；而使用改进的 边界检测算法时，虽然在测试用例数量上提高了很多，但是能够通过mac层过滤的有效数 据包数量的比例增长更加明显，基本上覆盖了划分的所有等价域，平均每个测试用例的测试 贡献度在三种算法中是最髙的。不难看出，不考虑协议结构，使用随机数据变异算法进行fuzzing测试虽然貝有很好的 通用性，但是其生成数据量巨大，消

18、耗资源多，并-ii.生成的大部分为无效数据，效率低下。 基于边界测试的数据变界算法虽然対能够有效的减少测试川例数量，但是対协议结构造成了 比较人的破坏，造成测试结果不够全面，与传统随机fuzzing测试和比，测试效果堆加比较 微弱。而改进后的测试算法在mac层帧结构的基础上进行随机化测试，虽然増加了测试用 例数量，但也大大提高了测试的全而性，增加了测试用例的测试范由，具有更好的测试效果。5总结及后续工作本文在对zigbee协议mac层数据帧进行深入分析后，基于传统随机fuzzing的测试方 法，改进了基于边界检测的fuzzing测试算法。实验和分析表明，新的检测算法不仅能够优 化测试用例数量，

19、还能够显著地提高测试用例对于测试路径的覆盖度。由于该改进算法的设计思想是皋于mac层数据帧结构各字段含义的，在mac处理数 据时能够避免无效数据包被抛弃造成的数据浪费。但是对于各个字段z间的组合关联关系考 虑的较少，今后的测试工具设计和改进重点主耍放在如何在测试过程中考虑到各个字段之间 的关联关系，以检测zigbee协议mac处理组合界常数据包的安全性能。参考文献(references)1 j ieee 802.15.4. wireless medium access control (mac) and physical layer (phy) specifications forlow-ra

20、te personal area networks (wpans)lsj. new york:lan/man standards committee, 20062 任秀丽，丁-海斌.zigbee技术的无线传感器网络的安全性研究j.仪器仪衣学报,2007,28(12):2132-2138.3 javier lopez, rodrigo roman, cristina alcaraz. analysis of security threats, requirements, technologies and standards in wireless sensor networks!j. lectu

21、re notes in computer science, 2009, 5705: 289-33&4 naveen sastry, david wagner. security considerations for ieee 802.15.4 networksaj. proceedings of 2004 acm workshop on wireless security. philadelphia: association for computing machineryc, 2004: 32-42.5 junjie xiong, edith c.-h. ngai, yangfan z

22、hou, michael r. lyu. realproct: reliable protocol conformance testing with real nodes for wireless sensor networksaj proc. 10th ieee int. conf, on trust, security and privacy in computing and communications, trustcom 2011,8th ieee int. conf, on embedded software and systems, icess 2011, 6th int. conf, on fcst 2011c. changsha: ieee computer society, 2011: 5712-581.|61李伟明，张爱芳,刘建财网络协议的自动化模糊测试漏洞挖掘方法j计算机学报,2011,34(2): 242-255,7 shahin farahani. zigbee wireless networks and transceivers ml，elsevier ltd, 2008