基于SSL安全協議的作物生長環境監測系統設計*

王友釗， 趙海丹， 黃 靜

(1.浙江大學 數字技術及儀器研究所，浙江 杭州 310027；2.浙江理工大學 信息學院，浙江 杭州310018)

?

基于SSL安全協議的作物生長環境監測系統設計*

王友釗1， 趙海丹1， 黃 靜2

(1.浙江大學 數字技術及儀器研究所，浙江 杭州 310027；2.浙江理工大學 信息學院，浙江 杭州310018)

為解決作物生長環境監測數據在采集傳輸過程中缺少安全性保障的問題，提出了以RS—485總線隔離Zig Bee網絡不安全因素，基于SSL協議進行加密網絡傳輸的安全性方案，并在服務器端對SSL安全連接進行了非阻塞和I/O復用擴展。研究結果表明:提出的安全方案能夠有效避免網關認證信息和數據協議格式泄漏，服務器具有穩定的并發處理能力和數據吞吐率。

SSL協議； 網絡安全通信； 服務器； 并發性

0 引 言

現有的作物生長環境監測系統大多局限于本地監測[1～5]，限制了環境監測數據的共享。基于網絡技術構建作物生長環境監測平臺，通過服務器匯聚各監測網點的數據，能夠擴大系統的應用范圍，提高數據資源的利用率。然而,隨著互聯網技術的發展，劫取用戶信息、篡改網絡數據等惡意網絡攻擊事件不斷涌現。因此，設計合理的數據采集網絡結構，利用用戶認證、數據加密等技術手段保障數據在采集傳輸過程中的安全性，具有重要的實際應用意義。

1 系統分析與結構設計

本文構建的作物生長環境監測系統結構如圖1所示，包括傳感器網絡、嵌入式網關和服務器。系統主要針對傳感器網絡數據傳輸安全性、嵌入式網關數據傳輸安全性和服務器并發性進行了設計。

圖1 系統結構框圖

1.1 傳感器網絡數據傳輸安全性

RS—485具有傳輸距離遠、穩定性高、抗干擾能力強的特點[6]。利用RS—485總線傳輸數據，可以隔離網絡不安全因素。農業環境中存在不方便進行布線的特殊作業現場，限制了RS—485的應用。Zig Bee無線通信協議可以解決布線問題，但會受到拒絕服務等網絡攻擊[7]。系統將無線傳感網絡掛載到RS—485總線下，利用總線進行數據上傳，隔離了無線網絡中的不安全因素，保障傳感器網絡與嵌入式網關之間的數據傳輸安全。

1.2 嵌入式網關數據傳輸安全性

嵌入式網關與服務器間采用TCP網絡通信，為避免網關認證信息和數據協議格式泄露，需要對數據進行加密。SSL協議采用非對稱加密機制，當A，B雙方進行通信時，A將公鑰發送給B；B利用該公鑰加密自己的公鑰并發給A；此時A，B均持有對方公鑰，發送數據時利用對方的公鑰進行加密。加密數據必須由私鑰解密，即使竊聽者捕獲了加密數據或A最初發送的公鑰，由于不具備任何一方的私鑰，仍然無法對加密數據進行破解。系統基于SSL協議實現服務器與嵌入式網關間的加密數據通信，有效保障了嵌入式網關與服務器間的數據傳輸安全。

1.3 服務器并發性

作物生長環境監測系統通過服務器實現數據共享，服務器必須滿足多客戶端并發和快速響應的需求。影響服務器并發性和響應速度的主要因素是數據加密和解密。數據加密是CPU密集型操作，其可靠性與加密位數有關，位數越多安全性保障越高，計算時間也相應增長。服務器等待加密解密結果會增長響應時間，導致新客戶端連接請求處理滯后。系統通過I/O復用監測網絡事件，根據SSL處理狀態實現非阻塞握手[8]，并利用不同的任務線程分離客戶端請求處理和數據處理，降低了服務器的響應時間。

2 硬件結構設計

作物生長環境監測系統硬件結構包括有線傳感器節點、無線傳感器節點、嵌入式網關和Zig Bee網關。嵌入式網關硬件結構如圖2所示，以基于ARM11架構的S3C6410芯片為核心處理器，外圍接口模塊包括串口模塊、以太網模塊、存儲器模塊。串口模塊接收RS—485總線數據，并通過以太網模塊與服務器通信。Zig Bee網關結構框圖如圖3所示，由無線收發模塊、RS—232模塊、RS—485模塊及控制器構成。CC2530通過串口將接收到的環境參數發送給控制器，控制器對數據進行協議封裝，通過RS—485模塊發送給嵌入式網關。

圖2 嵌入式網關結構圖

圖3 Zig Bee網關結構圖

3 軟件設計

3.1 嵌入式網關軟件設計

嵌入式網關軟件流程如圖4所示，通過Select模型監聽I/O事件，避免I/O操作阻塞網關執行其他任務。網關初始化后加載培育庫房和傳感器節點地址映射表。軟件檢測到傳感器數據包到達，根據傳感器硬件地址從映射表中獲取庫房編號和傳感器對應的軟件編號，按照服務器數據協議格式重新封裝數據包，并進行數據上傳。

圖4 嵌入式網關軟件流程圖

3.2 服務器端軟件設計

程序主體是一個基于SSL協議的非阻塞Server，軟件流程圖如圖5所示。系統通過關聯SelectableChannel，并利用Selector監測其讀、寫、連接事件，實現非阻塞I/O復用；利用SSLEngineManager管理SSL連接狀態，實現非阻塞SSL握手和數據加密；利用讀、寫、握手、數據處理等任務隊列，實現任務處理與服務器請求處理的分離。

3.3 平臺實現

本文設計的作物生長環境監測系統基于Web技術實現用戶交互操作。Nginx具有系統資源消耗小的特點[9,10]，作為Web服務器接收用戶交互請求，能夠保證交互平臺的穩定運行。為實現業務的快速部署，系統基于MVC設計模式[11,12]，利用Django應用開發框架處理用戶交互請求，并生成HTTP響應。

傳感器實時上傳的環境參數數據，通過服務器篩選后存入到數據庫中，用戶可以查詢歷史數據記錄、環境參數變化趨勢及特定時間環境參數分布特征。圖6所示為1#培養庫中1#空氣溫度傳感器記錄的24 h溫度趨勢。

圖5 SSL服務器軟件流程圖

圖6 24 h溫度變化趨勢

4 實驗驗證

本文對服務器的并發性和安全性進行了測試。利用Tcpdump工具對網絡通信數據包進行抓取，如圖7、圖8所示。

圖7 普通網絡數據包

圖8 加密網絡數據包

劫取者可從普通網絡通信數據包尾部直接獲得網關認證信息和數據協議格式；而對于本文設計系統的加密數據包，由于劫取者沒有私鑰，無法從加密數據中獲得認證信息和數據格式。

本文在不同并發等級下對服務器測試了10 000個連接請求，測試結果如表1所示。在不同的并發等級下，服務器每秒處理請求數能夠較穩定地維持在2 000左右，具有良好的并發處理能力；服務器吞吐率維持在4 700 B/s左右，具有較快的數據傳輸速度。隨著并發請求數的增加，等待的請求數增加，服務器請求處理時間增長。但對于5 000的并發量等級，系統仍能保證在3.5 s內完成請求處理。

表1 系統服務器并發性測試

Tab 1 Test of system server concurrency performance

并發等級每秒處理請求數最長響應時(ms)吞吐率(B/s)1002235.326334898.445002163.2421344856.1410002049.5623924722.0620002216.4635894833.2150002029.7635674713.34

5 結 論

本文設計的作物生長環境監測系統采用RS—485總線進行傳感器網絡與嵌入式網關之間的數據傳輸，隔離了Zig Bee無線網絡的不安全因素；基于SSL協議實現嵌入式網關與服務器之間的加密數據通信，避免了網關認證信息和數據協議格式的泄漏，保障了服務器的數據安全性。服務器端程序對SSL網絡通信進行了非阻塞和I/O復用擴展，提高了服務器的并發處理能力。測試結果表明:本文設計的作物生長環境監測系統能夠有效進行安全數據傳輸，并具有較穩定的并發處理能力和數據吞吐率。

[1] 劉春紅,張 漫,張 帆,等.基于無線傳感器網絡的智慧農業信息平臺開發[J].中國農業大學學報,2011(5):151-156.

[2] 龐 娜,程德福.基于Zig Bee無線傳感器網絡的溫室監測系統設計[J].吉林大學學報：信息科學版,2010(1):55-60.

[3] 李連駿,孫宇瑞,林劍輝.一種太陽能供電的土壤水分無線傳感器[J].江蘇大學學報：自然科學版,2009(6):541-544.

[4] 呂立新,汪 偉,卜天然.基于無線傳感器網絡的精準農業環境監測系統設計[J].計算機系統應用,2009(8):5-9.

[5] 屈利華,趙春江,楊信廷,等.Zig Bee無線傳感器網絡在溫室多源數據采集系統中的應用綜述[J].中國農機化學報,2012(4):179-183.

[6] 馬曉飛,袁永明,張紅燕,等.基于Modbus的水產物聯設備驅動服務系統設計[J].傳感器與微系統,2014,33(10):65-68.

[7] Fouda M M,Fadlullah Z M,Kato N.Assessing attack threat against Zig Bee-based home area network for smart grid communications[C]∥2010 International Conference on Computer Engineering and Systems(ICCES),IEEE,2010:245-250.

[8] Sobh T S,Elgohary A,Zaki M.Performance improvements on the network security protocols[J].International Journal of Network Security,2008,6(1):103-115.

[9] Chi X,Liu B,Niu Q,et al.Web load balance and cache optimization design based nginx under high-concurrency environment[C]∥2012 Third International Conference on Digital Manufacturing and Automation(ICDMA),IEEE,2012:1029-1032.

[10] 陶 輝.深入理解Nginx：模塊開發與架構解析[M].北京：機械工業出版社,2013:183-192.

[11] Pop D P,Altar A.Designing an MVC model for rapid Web application development[J].Procedia Engineering,2014,69:1172-1179.

[12] 孫 瑩,許俊華.MVC 編程模型在Web程序中的應用及Java實現[J].計算機工程與應用,2001,37(17):160-163.

王友釗(1963-)，浙江天臺人，副教授，研究生導師，主要研究方向為嵌入式軟硬件技術、物聯網技術。

Design of crop growth environment monitoring system based on SSL safety protocol*

WANG You-zhao1, ZHAO Hai-dan1, HUANG Jing2

(1.Institute of Digital Technology and Instrument,Zhejiang University,Hangzhou 310027,China； 2.College of Informatics and Electronics,Zhejiang Sci-Tech University,Hangzhou 310018,China)

To solve problem that monitoring datas of crop-growth environment lack of security guarantee in the collection and transmission process,propose a security scheme which uses RS—485 bus to isolate the unsafe factors of Zig Bee network,and transmit data based on SSL protocol,and on the server terminal,non-blocking and I/O multiplexing expansion has been done to the SSL secure connection.Research results show that the proposed security scheme can effectively avoid the leakage of gateway authentication information and data protocol format,and the server has stable concurrent processing capability and data throughput rate.

SSL protocol; network security communication; server; concurrency

2015—03—02

浙江省自然科學基金資助項目(LY12F03012)

10.13873/J.1000—9787(2015)09—0108—03

TP 393

A

1000—9787(2015)09—0108—03