嵌入式系統(tǒng)在網(wǎng)絡安全中的應用與研究

0 引言

嵌入式系統(tǒng)早在20世紀70年代初被提出，并逐漸在計算機控制領(lǐng)域得到廣泛的認可與應用。從廣義上說，具備微處理器的自動化控制系統(tǒng)均可以稱為“嵌入式系統(tǒng)”，其主要特征表現(xiàn)為以計算機為核心，通過軟件與硬件的聯(lián)合實現(xiàn)對目標功能進行控制，其具有可靠性高、體積小、成本與功耗低等優(yōu)點。在網(wǎng)絡普及的當下，運用嵌入式系統(tǒng)進行網(wǎng)絡安全的控制成為計算機技術(shù)發(fā)展的重要方向之一。

嵌入式系統(tǒng)在網(wǎng)絡安全方面的應用主要依托網(wǎng)絡傳輸協(xié)議，其通過一定的嵌入式結(jié)構(gòu)提升網(wǎng)絡通訊的靈活性與安全性。文中針對嵌入式系統(tǒng)的特點，以網(wǎng)絡服務的安全訪問要求為研究對象，通過基于密碼學和基于網(wǎng)絡分層結(jié)構(gòu)的安全機制，實現(xiàn)網(wǎng)絡單節(jié)點上的嵌入式移植，并設計出一種基于32 位處理器和VxWorks 嵌入式 RTOS 環(huán)境下的系統(tǒng)構(gòu)架，能夠?qū)崿F(xiàn)多種平臺的網(wǎng)絡安全通訊功能。該設計方案對于縮減研發(fā)成本及研發(fā)周期有著重要的意義。

1 總體設計方案

1.1 嵌入式系統(tǒng)結(jié)構(gòu)

嵌入式系統(tǒng)的核心為硬件與軟件的靈活性結(jié)合，其中硬件為系統(tǒng)結(jié)構(gòu)的基礎(chǔ)，軟件為系統(tǒng)功能的支撐。良好的嵌入式系統(tǒng)具有柔性高、兼容性好等優(yōu)點，并能夠根據(jù)用戶要求實現(xiàn)特定功能，合理的軟件與硬件平臺是嵌入式系統(tǒng)設計的前提。一般地，嵌入式系統(tǒng)可分為四部分：嵌入式處理器、嵌入式外圍設備、嵌入式操作系統(tǒng)以及嵌入式應用軟件等，各個組成部分之間相輔相成，根據(jù)主次關(guān)系完成自身功能，如圖1所示。

圖1 嵌入式系統(tǒng)總體框架

嵌入式處理器是整個系統(tǒng)的核心部件，與常規(guī)的處理器相比，其更具有特定性的功能，因而成本更低。在網(wǎng)絡安全控制中，文中采用的嵌入式處理器為ARM9系列微處理器，屬于32位處理器，該處理器包含ARM920T，ARM922T和ARM940T三種類型內(nèi)核，對于高頻數(shù)據(jù)的處理具有一定的優(yōu)勢。嵌入式系統(tǒng)中的硬件設計需要綜合考慮性價比與兼容性，通過板卡的集成性，可大大減小系統(tǒng)的體積，并增強控制能力及穩(wěn)定性，因此，文中采用VxWorks 嵌入式 RTOS 環(huán)境下的系統(tǒng)構(gòu)架。

1.2 網(wǎng)絡安全分析

網(wǎng)絡安全主要表現(xiàn)在鏈路層、網(wǎng)絡層、傳輸層以及應用層等，具體表現(xiàn)為：

（1）鏈路層在網(wǎng)絡安全中的作用為保證數(shù)據(jù)的機密性與完整性，在實際中，其通過局域網(wǎng)的虛擬化、通訊的鏈路加密等方式提升信號的可靠性。鏈路層的加密相對簡單，數(shù)據(jù)的處理速度較快，對于硬件的加密有著良好的效果。（2）網(wǎng)絡層在網(wǎng)絡安全中的作用主要為防止信息的非法修改、冒充、竊取等，可根據(jù)用戶的要求，調(diào)整訪問的權(quán)限級別，比如防火墻、網(wǎng)絡地址限制等。網(wǎng)絡層能夠有效的保護用戶信息的安全性。（3）UDP協(xié)議在網(wǎng)絡安全中的作用為防止重播攻擊，由于其在進行數(shù)據(jù)連接時具有隨時性，可通過管理員驗證的方式避免一些容易的重播攻擊，對于其他層的數(shù)據(jù)安全性有著重要的作用。（4）應用層在網(wǎng)絡安全中的作用為提供安全服務，并能夠補充一些下層協(xié)議之間的漏洞，提升多樣性系統(tǒng)的安全，比如，身份驗證、數(shù)字簽名等，均通過應用層的作用進行。應用層的特點表現(xiàn)在根據(jù)網(wǎng)絡協(xié)議的情況控制網(wǎng)絡連接。

根據(jù)嵌入式系統(tǒng)的特點可知，一些良好的網(wǎng)絡安全加密算法可在系統(tǒng)中得到應用，比如用于數(shù)據(jù)完整性驗證的摘要算法。目前，對于摘要算法，在各個領(lǐng)域中應用較多的有：MD2、MD4、MD5、SHA、RIPEMD 和 TIGER 等。其中，MD5算法是專家學者對MD2 和MD4 的不斷改進后得到的。根據(jù)所查文獻與資料可知，在相同的硬件與軟件平臺中，基于MD5的摘要算法優(yōu)勢更為明顯，PC控制下能夠在非常少的CPU占用率下得到滿意的運算效率，是近年來一個重要的應用方向。因此，文中的嵌入式系統(tǒng)采用基于MD5的摘要算法，對于數(shù)據(jù)完整性與安全性驗證具有良好的效果。

1.3 系統(tǒng)構(gòu)架設計

圖2 網(wǎng)絡安全模塊框架

為了進一步研究嵌入式系統(tǒng)在網(wǎng)絡安全中的應用，文中針對系統(tǒng)的特點以及網(wǎng)絡分層的結(jié)構(gòu)對系統(tǒng)的整體構(gòu)架進行了設計。對于嵌入式系統(tǒng)中的網(wǎng)絡安全密碼系統(tǒng)研究，文中主要根據(jù)SSL網(wǎng)絡安全協(xié)議的內(nèi)容以及安全模塊的應用，對系統(tǒng)進行調(diào)試與分析，其中，網(wǎng)絡安全模塊的主體框架如圖2所示，通過功能移植，將網(wǎng)絡安全模塊應用于嵌入式系統(tǒng)。

在嵌入式系統(tǒng)中，網(wǎng)絡安全模塊的硬件與軟件平臺由局域網(wǎng)的環(huán)境進行控制。為了便于系統(tǒng)的設計與測試，文中將VxWorks移植到PMI-800為核心的PC104模塊中，并采用編程的方法得到BSP包，獲得了在AR9系列處理器上良好的兼容性。對于SSL協(xié)議的移植，文中通過 OpenSSL模塊嵌入的方式進行，在實際控制系統(tǒng)中易于檢驗。在通訊的安全性與可靠性方面，嵌入式系統(tǒng)應用了多種方式的協(xié)議，比如密碼互換協(xié)議、完整性認證協(xié)議、數(shù)據(jù)通信加密協(xié)議等，其中，用戶身份驗證加密運用了非對稱橢圓曲線加密算法，信息的驗證采用了對成算法，數(shù)據(jù)的完整性測試采用了MD5摘要算法。通過不同協(xié)議層的應用，能夠?qū)崿F(xiàn)多目標下的網(wǎng)絡安全性能。

2 網(wǎng)絡安全模塊設計

2.1 網(wǎng)絡安全模塊組成

在嵌入式系統(tǒng)的網(wǎng)絡安全模塊中，SSL 協(xié)議作為最重要的協(xié)議之一，其主要功能為通訊數(shù)據(jù)的分割、加密、壓縮與解壓、數(shù)據(jù)封裝等。網(wǎng)絡完全模塊的組成基于 SSL 協(xié)議，其組成與結(jié)構(gòu)如圖3所示。首先，網(wǎng)絡安全模塊需要用戶進行配置、維護與查詢，數(shù)據(jù)的輸出模塊需要進行AH處理與ESP處理，并通過一定的算法進行加密。

圖3 網(wǎng)絡安全模塊組成

在完成算法認證與算法加密的處理后，秘鑰參數(shù)中將保留數(shù)據(jù)的運算過程。SSL協(xié)議的運算記錄通過壓縮操作后進行數(shù)據(jù)認證，包括加密性與完整性認證，其中，SSL協(xié)議的運算支持諸多加密算法，比如流加密算法、塊加密算法、認證算法等，具有良好的通用性。

數(shù)據(jù)發(fā)送與接收的安全性是網(wǎng)絡安全模塊重點保證的內(nèi)容。載數(shù)據(jù)交換時，首先需要通過Handshake Protocol對相應的數(shù)據(jù)處理方法進行確定，當出現(xiàn)錯誤時，能夠及時停止，避免重要數(shù)據(jù)流失。數(shù)據(jù)的傳輸需要發(fā)送端與接收端相互的認證，比如對協(xié)議版本、加密算法等的認證。

2.2 網(wǎng)絡安全模塊的加密方式

在嵌入式系統(tǒng)中，文中采用 OpenSSL 的安全算法模塊來實現(xiàn)相應的加密方案。在Openssl EVP中，包含了眾多的密碼加密函數(shù)，比如對稱算法、摘要算法、簽名算法、驗簽算法等。

EVP函數(shù)中的算法具有數(shù)據(jù)封裝功能，能夠保證數(shù)據(jù)的可靠性與安全性。在 EVP函數(shù)所提供的算法庫中，具有一定的通用性，比如，ENC_CIPHER_CTX結(jié)構(gòu)可通過CREATE函數(shù)進行建立并將其完成初始化操作，然后通過INIT函數(shù)將具體的算法進行掛載和賦予，從而ENC_CIPHER結(jié)構(gòu)完成算法的初始化操作。

在信號通訊過程中，不連續(xù)數(shù)據(jù)塊的加密一般通過以下方式：首先，采用 UPDATE函數(shù)對各個需要加密的數(shù)據(jù)塊進行定義和調(diào)用；然后，基于 FINAL函數(shù)將所有的數(shù)據(jù)塊進行連續(xù)性處理，形成一系列的數(shù)據(jù)密文；最后調(diào)用相應的接口函數(shù)進行數(shù)據(jù)通訊。在網(wǎng)絡安全模塊中，數(shù)據(jù)的加密方式作為最重要的設計內(nèi)容之一，其對于整個嵌入式系統(tǒng)的工作效率有著重要的影響。

3 結(jié)論

嵌入式系統(tǒng)在網(wǎng)絡安全方面的應用能夠提升網(wǎng)絡安全模塊的靈活性與安全性。文中通過對網(wǎng)絡安全的分析，確定了系統(tǒng)的總體框架，其中，網(wǎng)絡安全模塊通過功能移植，將網(wǎng)絡安全模塊應用于嵌入式系統(tǒng)；通過數(shù)據(jù)的分割、加密、壓縮與解壓、數(shù)據(jù)封裝等處理，實現(xiàn)了不同協(xié)議層下，多目標下的網(wǎng)絡安全性控制，對于提升網(wǎng)絡安全系統(tǒng)的模塊功能和降低設計成本均有著重要的意義。