基于网络的嵌入式系统安全性研究

权服务器TGS。Kerberos是一种网络认证协议，允许一台计算机通过交换加密消息在整个非安全网络上与另一台计算机互相证明身份。一旦身份得到验证，Kerberos协议将会给这两台计算机提供密匙，以进行安全通讯对话。

3 新型系统体系设计实现

3.1 实现层次

首先确定安全协议的实现层次,对各种机制实现方法作深入分析,比较它们的不同实现方法和不同安全特点,设计一个适合嵌入式Internet设备进行网络通信的安全模型。链路层主要采用划分VLAN、链路加密通信等手段保证通过网络链路传送数据的机密性、数据完整性等。基于链路层加密与应用程序无关,实现简单,可用硬件设备进行加密,提供较高的处理速度。缺点是两个加密参与的实体必须在物理形式上连接在一起,即不能实现对不同进程进行不同的加密处理。网络层安全性的主要优点是安全服务的提供与应用层的无关性,而且由于多种传输协议和应用程序可以共享由网络层提供的密钥管理框架,使得密钥协商的数量也大大削减。网络层安全业务最有用的特性是能够构建VPN。网络层加密的主要缺点是:对属于不同进程和相应条例的数据包一般不作区别。对所有发往同一地址的包,它将按照同样的加密密钥和访问控制策略来处理。同网络层安全机制相比,传输层安全机制的主要优点是它提供对进程的安全服务。传输层安全机制的主要缺点是要对传输层进程间通信接口和应用程序两端都进行修改;另外,由于SSL和TLS都是建立在TCP协议上的,因此对于UDP的安全通信就无法保证。在应用层实施加密是最具强制性的选择。它也是最具灵活性,因为保护的范围和力度可以裁剪到满足某一应用的特定需要。这一点正符合嵌入式Internet设备灵活多变的应用的需求。应用层的安全可以弥补下层协议漏洞和不足,可以采用多种多样的安全措施来保证系统的安全性。除了采用一些针对应用层协议的安全方案外,其他例如身份认证、数据加密、数字签名等都可以在应用层进行。应用层提供安全服务的优点在于不用考虑网络采用的具体协议和链路情况,同时由于应用程序以用户为背景执行,容易获得用户访问凭据,而且对用户想保护的数据具有完整的访问权并有着充分的理解,这些特性使得在应用层引入安全业务具有特定的优势。在应用程序中实施安全机制,程序要和一个特殊的系统集成到一起,应用程序通过改进调用该特殊系统实现安全机制。

基于以上比较,为了在嵌入式Internet接入设备和访问者之间建立起有效的,具有更强大的适应性和安全性的安全通信机制,选择应用层作为实现层次,以保证设备访问者与嵌入式设备间通信的信息安全。

3.2 设计实现

在计算机OSI/RM扩展部分，安全体系结构(Security Architecture)是指对网络系统安全功能的抽象描述，一般从整体上定义网络系统所提供的安全服务和安全机制。一个完整的网络安全框架结构对于网络安全概念的理解、网络系统的安全设计与实现都有重要意义，从另一个意义来说，计算机网络安全框架结构也不完全适合嵌入式系统，笔者从嵌入式系统的实际应用的角度考虑，分析了网络安全功能需求，给出了描述计算机网络安全体系结构结构。

IPSec在网络层提供加密和认证服务，IPSec能够保护所有的IP流量。IPSec的安全策略允许用户更加灵活的安全策略的控制。所以，这里以IPSec为基础，融防火墙技术于一体的，建立在IP层的新的嵌人式系统的安全机制。该机制主要特点如下:①它根据分组报的源、宿地址，端口号及协议类型、标志确定是否允许分组报通过;②根据安全策略的安全规则，对输人、输出的数据施行加/解密、认证、数字签名、完整性校验等安全措施，保证数据传输中的安全; ③支持虚拟专用网，支持企业内部网络技术体系VPN。具体实现如图1所示。

　SPD库和SADB库的查询效率时影响本系统性能的一个重要因素。特别是在象家庭网关这样的设备中，实现安全机制的网关要为多个嵌入式设备提供转发IP分组，对于每个分组都要在SPD库查找相应的安全策略，在SADB库中查找相应的SA，因此可能会成为整个因素的瓶颈。为了解决这个问题，首先必须考虑到数据库的存储结构。注意到对于SA来说，协议、SPI、目的地址三要素唯一确定一个SA，我们用(目的地址十SPI+协议)作为查询条件。对于这样的条件，用HSAH查询:(目的地址+SPI+协议)Mod HASH表宽度作为哈希关键字可能会提高性能，所以决定使用HASH表结构。对于SPD，考虑到这样情况:分组传送是连续的，所以在内存内使用缓存技术来保存最近使用的安全策略，从而避免频繁的SPD库查询过程可能会提高系统性能。

4.2 结果分析

(1) 系统的可扩展性能：

测试的参数是吞吐量和平均延迟