您的位置 首页 电源

关于IPSec网络安全协议在嵌入式体系中的使用与完成详解

关于IPSec网络安全协议在嵌入式系统中的应用与实现详解-嵌入式网络技术是近几年随着计算机网络技术的普及和发展而发展起来的一项新兴概念和技术,它通过为现有嵌入式系统增加因特网接入能力来扩展其功能,一般指设备通过嵌入式模块而非PC系统直接接入Internet,以Internet为介质实现信息交互的过程,通常又称为非PC接入。嵌入式Internet解决了终端设备的网络化问题,然而Internet提供的网络环境并不保障接入系统的安全性。可以这样说,嵌入式Internet的安全问题直接关系到嵌入式Internet的发展及其应用前景;因此,在开发和使用嵌入式Internet系统的同时,必须把嵌入式Internet通信的安全问题放到重要的地位考虑。

1 导言

嵌入式网络技能是近几年跟着核算机网络技能的遍及和开展而开展起来的一项新式概念和技能,它通过为现有嵌入式体系添加因特网接入才干来扩展其功用,一般指设备通过嵌入式模块而非PC体系直接接入Internet,以Internet为介质完成信息交互的进程,一般又称为非PC接入。嵌入式Internet处理了终端设备的网络化问题,但是Internet供给的网络环境并不确保接入体系的安全性。能够这样说,嵌入式Internet的安全问题直接关系到嵌入式Internet的开展及其运用远景;因而,在开发和运用嵌入式Internet体系的一同,有必要把嵌入式Internet通讯的安全问题放到重要的位置考虑。

关于确保安全范畴的研讨可分为两大类:一类是怎么确保嵌入式体系本身的安全,使其免病毒、黑客的进犯和人为的损坏,另一类则是怎么确保传输信息内容的安全性、保密性,特别是对安全性要求比较高的服务其重要性显而易见。其间,后者是咱们研讨的首要目标,现在对其选用的技能首要有IPSec技能、SSL/TLS技能、VPN技能等。本文首要研讨IPSec网络安全协议在嵌入式体系中的运用与完成,使嵌入式体系能够对大型高牢靠性服务供给全面支撑,在确保服务质量的一同,在客户和服务器之间树立安全的网络通道,确保敏感数据的安全。

2 嵌入式网络安全特色及关键技能剖析

2.1 嵌入式网络安全特色剖析

由于嵌入式本身的设备体积小,资源有限以及功用相对单一的特色,它的网络安全有本身的特色:存储器较小,处理器处理数据才干较差,更简略收到进犯,安全性更软弱;功用单一,所遭到的进犯也是比较单一;存储才干相对较弱,是的一些常驻存储器的病毒较难存在,一同也使得内存耗费的进犯也简略得手;由于各种嵌入式设备功用、规划差异都很大,对某一种设备的进犯对另一种设备就或许变得无效;还有许多的嵌入式设备和上网设备是别离的,大多数网络进犯都能被上网功用过滤掉,这样就使得对嵌入式设备的进犯变得更难。

依据OSI安全体系结构以及对嵌入式Internet特色剖析,一个有用的嵌入式安全通讯机制有必要供给以下安全服务:数据保密性、数据完好性、认证服务、拜访操控服务和抗狡赖服务。完成这些安全服务需求,能够选用的安全机制为:加密机制、数字签名机制、拜访操控机制、数据完好性机制、辨别交流机制、事务流填充机制、路由操控机制和公证机制。依据嵌入式Internet体系的安全特色,这儿提出的安全机制的拟定首要从下面两个方面来考虑:

(1)完成安全机制的网络层次TCP/IP参阅模型是一个四层网络协议体系,各种安全机制并不都可运用在恣意一层。针对嵌入式Internet的安全服务,也能够参阅四层协议体系进行规划,应该在适宜的层次来完成;(2)依据暗码学理论的安全机制依据暗码学理论,嵌入式网络技能能够运用以下几种算法完成数据保密性和完好性服务:运用对称密钥体系或非对称密钥体系,完成数据保密性服务;运用单向散列函数等办法完成数据完好性服务。

在嵌入式网络中,能够选用以上适宜的暗码协议和算法,完成预期的安全服务要求。

2.2 关键技能剖析

IPSec有两种工作办法:地道形式和传输形式。在地道办法中,整个用户的IP数据包被用来核算ESP包头,整个IP包被加密并和ESP包头一同被封装在一个新的IP包内。这样当数据在Internet上传送时,真实的源地址和意图地址被躲藏起来。在传输形式中,只要高层协议(TCP、UDP、ICMP 等)及数据进行加密。在这种形式下,源地址、意图地址以及一切IP包头的内容都不加密。VPN详细完成是选用地道技能,而地道是通过地道协议完成的,地道协议规矩了地道的树立,维护和删去规矩以及怎样将企业网的数据封装在地道中进行传输。地道协议可分为第二层地道协议PPTP、L2F、L2TP和第三层地道协议IPsec等。关于IPSec安全地道IPSec协议把多种安全技能集合到一同,能够树立一个安全、牢靠的地道。 这些技能包括DiffieHellman 密钥交流技能,DES、RC4、IDEA 数据加密技能,哈希散列算法HMAC、MD5、SHA,数字签名技能等。

在核算机网络里进行认证的意图便是为了在进行网络连线时,确保对方的身份。在此,以下罗列了一些网络上的或许发生的状况以说明为什么在网络上有需求作认证的需求:冒充(Masquerade)、重送(Replay)、修正内容(Content modification)、修正次第(Sequence modificaTIon)、否定(RepudiaTIon)。其间,在咱们的体系中咱们首要运用了Kerberos协议,它是一个三方认证协议,依据称为密匙分配中心(KDC)的第三方服务中心来验证网络中核算机彼此的身份,并树立密匙以确保核算机间安全衔接KDC有两个部分组成:认证服务器AS和收据授权服务器TGS。Kerberos是一种网络认证协议,答应一台核算机通过交流加密音讯在整个非安全网络上与另一台核算机相互证明身份。一旦身份得到验证,Kerberos协议将会给这两台核算机供给密匙,以进行安全通讯对话。

3 新式体系体系规划完成

3.1 完成层次

首要确认安全协议的完成层次,对各种机制完成办法作深入剖析,比较它们的不同完成办法和不同安全特色,规划一个合适嵌入式Internet设备进行网络通讯的安全模型。链路层首要选用区分VLAN、链路加密通讯等手法确保通过网络链路传送数据的机密性、数据完好性等。依据链路层加密与运用程序无关,完成简略,可用硬件设备进行加密,供给较高的处理速度。缺陷是两个加密参加的实体有必要在物理形式上衔接在一同,即不能完成对不同进程进行不同的加密处理。网络层安全性的首要长处是安全服务的供给与运用层的无关性,而且由于多种传输协议和运用程序能够同享由网络层供给的密钥办理结构,使得密钥洽谈的数量也大大减少。网络层安全事务最有用的特性是能够构建VPN。网络层加密的首要缺陷是:对归于不同进程和相应法令的数据包一般不作差异。对一切发往同一地址的包,它将依照相同的加密密钥和拜访操控战略来处理。同网络层安全机制比较,传输层安全机制的首要长处是它供给对进程的安全服务。传输层安全机制的首要缺陷是要对传输层进程间通讯接口和运用程序两头都进行修正;别的,由于SSL和TLS都是树立在TCP协议上的,因而关于UDP的安全通讯就无法确保。在运用层实施加密是最具强制性的挑选。它也是最具灵敏性,由于维护的规模和力度能够裁剪到满意某一运用的特定需求。这一点正契合嵌入式Internet设备灵敏多变的运用的需求。运用层的安全能够补偿基层协议缝隙和缺乏,能够选用多种多样的安全措施来确保体系的安全性。除了选用一些针对运用层协议的安全计划外,其他例如身份认证、数据加密、数字签名等都能够在运用层进行。运用层供给安全服务的长处在于不必考虑网络选用的详细协议和链路状况,一同由于运用程序以用户为布景履行,简略取得用户拜访凭证,而且对用户想维护的数据具有完好的拜访权并有着充沛的了解,这些特性使得在运用层引进安全事务具有特定的优势。在运用程序中实施安全机制,程序要和一个特别的体系集成到一同,运用程序通过改善调用该特别体系完成安全机制。

依据以上比较,为了在嵌入式Internet接入设备和拜访者之间树立起有用的,具有更强壮的适应性和安全性的安全通讯机制,挑选运用层作为完成层次,以确保设备拜访者与嵌入式设备间通讯的信息安全。

3.2 规划完成

在核算机OSI/RM扩展部分,安全体系结构(Security Architecture)是指对网络体系安全功用的笼统描绘,一般从全体上界说网络体系所供给的安全服务和安全机制。一个完好的网络安全结构结构关于网络安全概念的了解、网络体系的安全规划与完成都有重要含义,从另一个含义来说,核算机网络安全结构结构也不完全合适嵌入式体系,笔者从嵌入式体系的实践运用的视点考虑,剖析了网络安全功用需求,给出了描绘核算机网络安全体系结构结构。

IPSec在网络层供给加密和认证服务,IPSec能够维护一切的IP流量。IPSec的安全战略答运用户愈加灵敏的安全战略的操控。所以,这儿以IPSec为根底,融防火墙技能于一体的,树立在IP层的新的嵌人式体系的安全机制。该机制首要特色如下:①它依据分组报的源、宿地址,端口号及协议类型、标志确认是否答应分组报通过;②依据安全战略的安全规矩,对输人、输出的数据实施加/解密、认证、数字签名、完好性校验等安全措施,确保数据传输中的安全; ③支撑虚拟专用网,支撑企业内部网络技能体系VPN。详细完成如图1所示。

关于IPSec网络安全协议在嵌入式体系中的运用与完成详解

中,完成安全机制的网关要为多个嵌入式设备供给转发IP分组,关于每个分组都要在SPD库查找相应的安全战略,在SADB库中查找相应的SA,因而或许会成为整个要素的瓶颈。为了处理这个问题,首要有必要考虑到数据库的存储结构。注意到关于SA来说,协议、SPI、意图地址三要素仅有确认一个SA,咱们用(意图地址十SPI+协议)作为查询条件。关于这样的条件,用HSAH查询:(意图地址+SPI+协议)Mod HASH表宽度作为哈希关键字或许会进步功能,所以决议运用HASH表结构。关于SPD,考虑到这样状况:分组传送是接连的,所以在内存内运用缓存技能来保存最近运用的安全战略,然后防止频频的SPD库查询进程或许会进步体系功能。

4.2 成果剖析

(1) 体系的可扩展功能:

测验的参数是吞吐量和均匀延迟时间。试验意图是测验在机器台数添加时体系的可扩展功能。试验的数据成果如图5-1和5-2所示。

试验成果证明该计划具有杰出的可扩展性。功能提高的首要原因归于体系选用了依据IPSec的架构,而且对安全战略库进行了优化,由于SPD和SADB库的查询功率是影响本体系功能的一个重要要素。特别是像家庭网关这样的设备中,完成安全机制的网关要为多个嵌人式设备供给转发IP分组,关于每个分组都要在SPD库查找相应的SA,因而或许成为整个要素的瓶颈。为了处理这个问题,首要有必要考虑到数据库的存储结构。选用安全战略库和Cache表来处理。

关于IPSec网络安全协议在嵌入式体系中的运用与完成详解

(2) 体系的安全功能:

加密的网络信息确保了信息内容的机密性。大多数加密方一法也需求授权和数据完好的服务。加密技能能够分红二个大类:音讯摘要、对称密钥暗码体系和不对称公开密钥暗码体系。特别咱们的暗码通过MD5算法加密今后,确保了它的安全性。

MD5的规划是面向32比特字的,MD5核算出的信息摘抄长度为128比特,用4个字表明,别离记为d0,d1,d2,d3,在核算开始时被别离初始化为常数:

d0 =01234567H,d1 =89abcdefH,d2 =fedcba98H,d3=76543210H

输入的信息被分红512比特的等长块,逐块处理。每块包括16个字,别离记为m0,m1,⋯,m15。每块的处理分四遍扫描,对每一遍扫描中的每一个字都运用不同的常数,共64个,用T1,T2,⋯,T64来表明,其间:TI=[232 | sin ( i ) | ]。输入的信息应是512比特的倍数,其填充办法,填充位的第一个比特为1,随后的填充位都为0;即便本来的信息已是512比特的倍数,也要进行填充。所以填充位的最小长度为1比特,最大长度为512比特。

试验证明运转依据IPSec和SSL协议的嵌入式体系具有杰出的可扩展性和安全功能。

4 结束语

依据网络的嵌入式体系安全性是当今一大研讨热门,对该范畴的研讨既具有很强的理论含义又具有很高的现实含义。嵌入式体系只要在对安全性协议供给很好支撑的状况下,才干真实发挥其巨大价值,才干对大型高牢靠性服务供给全面支撑。

声明:本文内容来自网络转载或用户投稿,文章版权归原作者和原出处所有。文中观点,不代表本站立场。若有侵权请联系本站删除(kf@86ic.com)https://www.86ic.net/dianyuan/100948.html

为您推荐

联系我们

联系我们

在线咨询: QQ交谈

邮箱: kf@86ic.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

返回顶部