嵌入式系統(tǒng)在網絡安全中的應用與研究

0 引言

嵌入式系統(tǒng)早在20世紀70年代初被提出，并逐漸在計算機控制領域得到廣泛的認可與應用。從廣義上說，具備微處理器的自動化控制系統(tǒng)均可以稱為“嵌入式系統(tǒng)”，其主要特征表現為以計算機為核心，通過軟件與硬件的聯合實現對目標功能進行控制，其具有可靠性高、體積小、成本與功耗低等優(yōu)點。在網絡普及的當下，運用嵌入式系統(tǒng)進行網絡安全的控制成為計算機技術發(fā)展的重要方向之一。

嵌入式系統(tǒng)在網絡安全方面的應用主要依托網絡傳輸協議，其通過一定的嵌入式結構提升網絡通訊的靈活性與安全性。文中針對嵌入式系統(tǒng)的特點，以網絡服務的安全訪問要求為研究對象，通過基于密碼學和基于網絡分層結構的安全機制，實現網絡單節(jié)點上的嵌入式移植，并設計出一種基于32 位處理器和VxWorks 嵌入式 RTOS 環(huán)境下的系統(tǒng)構架，能夠實現多種平臺的網絡安全通訊功能。該設計方案對于縮減研發(fā)成本及研發(fā)周期有著重要的意義。

1 總體設計方案

1.1 嵌入式系統(tǒng)結構

嵌入式系統(tǒng)的核心為硬件與軟件的靈活性結合，其中硬件為系統(tǒng)結構的基礎，軟件為系統(tǒng)功能的支撐。良好的嵌入式系統(tǒng)具有柔性高、兼容性好等優(yōu)點，并能夠根據用戶要求實現特定功能，合理的軟件與硬件平臺是嵌入式系統(tǒng)設計的前提。一般地，嵌入式系統(tǒng)可分為四部分：嵌入式處理器、嵌入式外圍設備、嵌入式操作系統(tǒng)以及嵌入式應用軟件等，各個組成部分之間相輔相成，根據主次關系完成自身功能，如圖1所示。

圖1 嵌入式系統(tǒng)總體框架

嵌入式處理器是整個系統(tǒng)的核心部件，與常規(guī)的處理器相比，其更具有特定性的功能，因而成本更低。在網絡安全控制中，文中采用的嵌入式處理器為ARM9系列微處理器，屬于32位處理器，該處理器包含ARM920T，ARM922T和ARM940T三種類型內核，對于高頻數據的處理具有一定的優(yōu)勢。嵌入式系統(tǒng)中的硬件設計需要綜合考慮性價比與兼容性，通過板卡的集成性，可大大減小系統(tǒng)的體積，并增強控制能力及穩(wěn)定性，因此，文中采用VxWorks 嵌入式 RTOS 環(huán)境下的系統(tǒng)構架。

1.2 網絡安全分析

網絡安全主要表現在鏈路層、網絡層、傳輸層以及應用層等，具體表現為：

（1）鏈路層在網絡安全中的作用為保證數據的機密性與完整性，在實際中，其通過局域網的虛擬化、通訊的鏈路加密等方式提升信號的可靠性。鏈路層的加密相對簡單，數據的處理速度較快，對于硬件的加密有著良好的效果。（2）網絡層在網絡安全中的作用主要為防止信息的非法修改、冒充、竊取等，可根據用戶的要求，調整訪問的權限級別，比如防火墻、網絡地址限制等。網絡層能夠有效的保護用戶信息的安全性。（3）UDP協議在網絡安全中的作用為防止重播攻擊，由于其在進行數據連接時具有隨時性，可通過管理員驗證的方式避免一些容易的重播攻擊，對于其他層的數據安全性有著重要的作用。（4）應用層在網絡安全中的作用為提供安全服務，并能夠補充一些下層協議之間的漏洞，提升多樣性系統(tǒng)的安全，比如，身份驗證、數字簽名等，均通過應用層的作用進行。應用層的特點表現在根據網絡協議的情況控制網絡連接。

根據嵌入式系統(tǒng)的特點可知，一些良好的網絡安全加密算法可在系統(tǒng)中得到應用，比如用于數據完整性驗證的摘要算法。目前，對于摘要算法，在各個領域中應用較多的有：MD2、MD4、MD5、SHA、RIPEMD 和 TIGER 等。其中，MD5算法是專家學者對MD2 和MD4 的不斷改進后得到的。根據所查文獻與資料可知，在相同的硬件與軟件平臺中，基于MD5的摘要算法優(yōu)勢更為明顯，PC控制下能夠在非常少的CPU占用率下得到滿意的運算效率，是近年來一個重要的應用方向。因此，文中的嵌入式系統(tǒng)采用基于MD5的摘要算法，對于數據完整性與安全性驗證具有良好的效果。

1.3 系統(tǒng)構架設計

圖2 網絡安全模塊框架

為了進一步研究嵌入式系統(tǒng)在網絡安全中的應用，文中針對系統(tǒng)的特點以及網絡分層的結構對系統(tǒng)的整體構架進行了設計。對于嵌入式系統(tǒng)中的網絡安全密碼系統(tǒng)研究，文中主要根據SSL網絡安全協議的內容以及安全模塊的應用，對系統(tǒng)進行調試與分析，其中，網絡安全模塊的主體框架如圖2所示，通過功能移植，將網絡安全模塊應用于嵌入式系統(tǒng)。

在嵌入式系統(tǒng)中，網絡安全模塊的硬件與軟件平臺由局域網的環(huán)境進行控制。為了便于系統(tǒng)的設計與測試，文中將VxWorks移植到PMI-800為核心的PC104模塊中，并采用編程的方法得到BSP包，獲得了在AR9系列處理器上良好的兼容性。對于SSL協議的移植，文中通過 OpenSSL模塊嵌入的方式進行，在實際控制系統(tǒng)中易于檢驗。在通訊的安全性與可靠性方面，嵌入式系統(tǒng)應用了多種方式的協議，比如密碼互換協議、完整性認證協議、數據通信加密協議等，其中，用戶身份驗證加密運用了非對稱橢圓曲線加密算法，信息的驗證采用了對成算法，數據的完整性測試采用了MD5摘要算法。通過不同協議層的應用，能夠實現多目標下的網絡安全性能。

2 網絡安全模塊設計

2.1 網絡安全模塊組成

在嵌入式系統(tǒng)的網絡安全模塊中，SSL 協議作為最重要的協議之一，其主要功能為通訊數據的分割、加密、壓縮與解壓、數據封裝等。網絡完全模塊的組成基于 SSL 協議，其組成與結構如圖3所示。首先，網絡安全模塊需要用戶進行配置、維護與查詢，數據的輸出模塊需要進行AH處理與ESP處理，并通過一定的算法進行加密。

圖3 網絡安全模塊組成

在完成算法認證與算法加密的處理后，秘鑰參數中將保留數據的運算過程。SSL協議的運算記錄通過壓縮操作后進行數據認證，包括加密性與完整性認證，其中，SSL協議的運算支持諸多加密算法，比如流加密算法、塊加密算法、認證算法等，具有良好的通用性。

數據發(fā)送與接收的安全性是網絡安全模塊重點保證的內容。載數據交換時，首先需要通過Handshake Protocol對相應的數據處理方法進行確定，當出現錯誤時，能夠及時停止，避免重要數據流失。數據的傳輸需要發(fā)送端與接收端相互的認證，比如對協議版本、加密算法等的認證。

2.2 網絡安全模塊的加密方式

在嵌入式系統(tǒng)中，文中采用 OpenSSL 的安全算法模塊來實現相應的加密方案。在Openssl EVP中，包含了眾多的密碼加密函數，比如對稱算法、摘要算法、簽名算法、驗簽算法等。

EVP函數中的算法具有數據封裝功能，能夠保證數據的可靠性與安全性。在 EVP函數所提供的算法庫中，具有一定的通用性，比如，ENC_CIPHER_CTX結構可通過CREATE函數進行建立并將其完成初始化操作，然后通過INIT函數將具體的算法進行掛載和賦予，從而ENC_CIPHER結構完成算法的初始化操作。

在信號通訊過程中，不連續(xù)數據塊的加密一般通過以下方式：首先，采用 UPDATE函數對各個需要加密的數據塊進行定義和調用；然后，基于 FINAL函數將所有的數據塊進行連續(xù)性處理，形成一系列的數據密文；最后調用相應的接口函數進行數據通訊。在網絡安全模塊中，數據的加密方式作為最重要的設計內容之一，其對于整個嵌入式系統(tǒng)的工作效率有著重要的影響。

3 結論

嵌入式系統(tǒng)在網絡安全方面的應用能夠提升網絡安全模塊的靈活性與安全性。文中通過對網絡安全的分析，確定了系統(tǒng)的總體框架，其中，網絡安全模塊通過功能移植，將網絡安全模塊應用于嵌入式系統(tǒng)；通過數據的分割、加密、壓縮與解壓、數據封裝等處理，實現了不同協議層下，多目標下的網絡安全性控制，對于提升網絡安全系統(tǒng)的模塊功能和降低設計成本均有著重要的意義。