1 系統(tǒng)設計

　　在工業(yè)控制領域，利用ZigBee和傳感器網絡，使得數據的自動采集、分析和處理變得更加容易，作為決策輔助系統(tǒng)的重要組成部分，ZigBee無線傳感器網絡在無線數據采集及監(jiān)控等領域得到了廣泛應用。無線傳感器數據采集都需通過網關傳輸至控制中心，在這個過程中信息傳輸的安全性逐漸成為人們關注的焦點。因此，設計一種安全可靠的通信解決方案顯得尤為重要。

　　信息安全的解決方案目前主要集中于采取單一的措施來保證信息的安全性，針對各種攻擊手段，防范措施主要集中于信息加密技術、安全交換機技術、防火墻技術、認證技術，入侵檢測技術等，這些技術從不同的方面對安全性提供了較好的保障，但各有缺點和不足，這將成為網絡防護的軟肋，因此，本文也嘗試性地提出了一種集數據加密技術和訪問控制策略于一體的信息安全解決方案。

　　1.1 加密算法的分析

　　AES加密算法作為新一代的分組迭代加密算法，其采取對稱密鑰，數據塊的分組長度和密鑰長度分別可選擇128位、192位、256位。AES加密算法具有安全性，靈活性等特點。RSA算法是第一個能同時用于加密和數字簽名的算法，也易于理解和操作。但RSA加密算法的缺點主要有：密鑰的產生繁瑣，受到素數產生技術的限制，因而難以做到一次一密?；煦缂用芩惴ㄒ话阕鳛閿底终Z音信息等的加密，在實際加密應用過程中其精度和保密性方面都存在著缺陷，因此，不適宜于該系統(tǒng)的加解密算法選擇。

　　1.2 加密算法的抗攻擊能力分析

　　在高級加密算法的選擇過程中，算法本身的安全性能將是一個重要的評判依據。因此，我們針對目前已有的各種密碼攻擊手段，分析了AES加密算法的抗攻擊能力等性能指標。

　　強力攻擊是一種常見的攻擊策略，主要包括窮盡密鑰搜索攻擊、字典攻擊、查表攻擊等手段，這些攻擊的復雜度只依賴于分組長度和密鑰長度，且它們的復雜程度是隨著密鑰長度增加成指數增長的。對于AES加密算法，密鑰長度最小為128位，若每秒鐘能夠完成2個密鑰的搜索，則要完成AES的密鑰搜索，至少需要時間大約為149萬億年，在時間上就無法攻擊AES加密算法，因此，AES加密算法在很長一段時間還將對強力攻擊保持很好的安全性。

　　代數計算攻擊是一種新的分組密碼攻擊方法，在代數計算攻擊中，攻擊者利用密碼的輸入，輸出對來構造多項式。用簡單的代數表達式對整個Rijndael算法進行描述,引用表達式如下:

代數計算攻擊的基本思想是用足夠多的明密文對利用拉格朗日插值公式得到密碼算法的一個近似多項式逼近,因此要想對Rijndael算法進行代數計算攻擊等價于將式(1-1)用多項式來展開,而在式(1-1)中要想消去一層子結構,就涉及到構造S - 盒的所有運算,由S - 盒表達式的復雜性可知,想通過對式(1-1)的多項式展開后進行攻擊是不可行的。

　　1.3 支撐硬件選擇

　　鑒于AES加密算法的特點以及算法的抗攻擊性能，因此，本文選用其作為加密應用技術。加密算法可以通過軟硬件實現，由于算法本身的靈活性，效率高，用軟件實現比較簡單、方便，但同時也帶來一些問題，使算法的速度、安全性等都在某種程度上受到了影響。AES算法的硬件實現不僅具有快的速度而且占用的資源也將減少。因此，AES加密算法硬件實現能夠提供更快的速度和安全性。

　　XILINX作為全球領先的FPGA提供商，其生產的Spartan系列FPGA具有高性價比，能夠實現低成本的嵌入式處理平臺，支持商用串行(SPI)和并行(BPI)Flash 存儲器與平臺 Flash，每秒高達 91 億次的乘累加(MAC)運算，因此采用Spartan系列FPGA作為AES加密算法實現的硬件載體。因此，基于Spartan-3e平臺能夠很好的構建一個SOC系統(tǒng)。

　　1.4 支撐硬件選擇

　　本系統(tǒng)主要的目標在于“針對ZigBee無線傳感器網絡中，端到端控制過程中存在的安全隱患和信息邪路問題，自主設計了一套基于FPGA平臺的高可靠通信系統(tǒng)”。該系統(tǒng)主要由三部分組成：ZigBee無線傳感器網絡，服務器端，客戶端。如圖1.1所示。

　　服務器端采用XILINX公司的Spartan-3e開發(fā)平臺，在該平臺上構建基于MicrBlaze處理器和Xilkernel操作系統(tǒng)的嵌入式系統(tǒng)。當服務器端收到經過AES加密的請求IP數據包時，在服務器端，信息需要經過AES解密處理，根據解密后信息分析并提取請求方的ID信息和IP信息，客戶端的ID信息是唯一的授權證號。

　　客戶端同樣采用XILINX公司的Spartan-3e開發(fā)平臺，但該系統(tǒng)中只需要定制AES加解密IP、鍵盤IP、LCD IP并添加EDK中自帶的網絡控制器IP?？蛻舳俗鳛檎麄€系統(tǒng)的控制中心，當需要采集信息時，客戶端通過鍵盤把自己的授權ID信息經md5加密后形成自己的加密ID，指令信息和加密ID信息經過AES加密后發(fā)送至服務器端，當服務器端響應其請求后，視其身份權限做出相應處理。