嵌入式系統在網絡安全中的應用與研究

0 引言

嵌入式系統早在20世紀70年代初被提出，并逐漸在計算機控制領域得到廣泛的認可與應用。從廣義上說，具備微處理器的自動化控制系統均可以稱為“嵌入式系統”，其主要特征表現為以計算機為核心，通過軟件與硬件的聯合實現對目標功能進行控制，其具有可靠性高、體積小、成本與功耗低等優點。在網絡普及的當下，運用嵌入式系統進行網絡安全的控制成為計算機技術發展的重要方向之一。

嵌入式系統在網絡安全方面的應用主要依托網絡傳輸協議，其通過一定的嵌入式結構提升網絡通訊的靈活性與安全性。文中針對嵌入式系統的特點，以網絡服務的安全訪問要求為研究對象，通過基于密碼學和基于網絡分層結構的安全機制，實現網絡單節點上的嵌入式移植，并設計出一種基于32 位處理器和VxWorks 嵌入式 RTOS 環境下的系統構架，能夠實現多種平臺的網絡安全通訊功能。該設計方案對于縮減研發成本及研發周期有著重要的意義。

1 總體設計方案

1.1 嵌入式系統結構

嵌入式系統的核心為硬件與軟件的靈活性結合，其中硬件為系統結構的基礎，軟件為系統功能的支撐。良好的嵌入式系統具有柔性高、兼容性好等優點，并能夠根據用戶要求實現特定功能，合理的軟件與硬件平臺是嵌入式系統設計的前提。一般地，嵌入式系統可分為四部分：嵌入式處理器、嵌入式外圍設備、嵌入式操作系統以及嵌入式應用軟件等，各個組成部分之間相輔相成，根據主次關系完成自身功能，如圖1所示。

圖1 嵌入式系統總體框架

嵌入式處理器是整個系統的核心部件，與常規的處理器相比，其更具有特定性的功能，因而成本更低。在網絡安全控制中，文中采用的嵌入式處理器為ARM9系列微處理器，屬于32位處理器，該處理器包含ARM920T，ARM922T和ARM940T三種類型內核，對于高頻數據的處理具有一定的優勢。嵌入式系統中的硬件設計需要綜合考慮性價比與兼容性，通過板卡的集成性，可大大減小系統的體積，并增強控制能力及穩定性，因此，文中采用VxWorks 嵌入式 RTOS 環境下的系統構架。

1.2 網絡安全分析

網絡安全主要表現在鏈路層、網絡層、傳輸層以及應用層等，具體表現為：

（1）鏈路層在網絡安全中的作用為保證數據的機密性與完整性，在實際中，其通過局域網的虛擬化、通訊的鏈路加密等方式提升信號的可靠性。鏈路層的加密相對簡單，數據的處理速度較快，對于硬件的加密有著良好的效果。（2）網絡層在網絡安全中的作用主要為防止信息的非法修改、冒充、竊取等，可根據用戶的要求，調整訪問的權限級別，比如防火墻、網絡地址限制等。網絡層能夠有效的保護用戶信息的安全性。（3）UDP協議在網絡安全中的作用為防止重播攻擊，由于其在進行數據連接時具有隨時性，可通過管理員驗證的方式避免一些容易的重播攻擊，對于其他層的數據安全性有著重要的作用。（4）應用層在網絡安全中的作用為提供安全服務，并能夠補充一些下層協議之間的漏洞，提升多樣性系統的安全，比如，身份驗證、數字簽名等，均通過應用層的作用進行。應用層的特點表現在根據網絡協議的情況控制網絡連接。

根據嵌入式系統的特點可知，一些良好的網絡安全加密算法可在系統中得到應用，比如用于數據完整性驗證的摘要算法。目前，對于摘要算法，在各個領域中應用較多的有：MD2、MD4、MD5、SHA、RIPEMD 和 TIGER 等。其中，MD5算法是專家學者對MD2 和MD4 的不斷改進后得到的。根據所查文獻與資料可知，在相同的硬件與軟件平臺中，基于MD5的摘要算法優勢更為明顯，PC控制下能夠在非常少的CPU占用率下得到滿意的運算效率，是近年來一個重要的應用方向。因此，文中的嵌入式系統采用基于MD5的摘要算法，對于數據完整性與安全性驗證具有良好的效果。

1.3 系統構架設計

圖2 網絡安全模塊框架

為了進一步研究嵌入式系統在網絡安全中的應用，文中針對系統的特點以及網絡分層的結構對系統的整體構架進行了設計。對于嵌入式系統中的網絡安全密碼系統研究，文中主要根據SSL網絡安全協議的內容以及安全模塊的應用，對系統進行調試與分析，其中，網絡安全模塊的主體框架如圖2所示，通過功能移植，將網絡安全模塊應用于嵌入式系統。

在嵌入式系統中，網絡安全模塊的硬件與軟件平臺由局域網的環境進行控制。為了便于系統的設計與測試，文中將VxWorks移植到PMI-800為核心的PC104模塊中，并采用編程的方法得到BSP包，獲得了在AR9系列處理器上良好的兼容性。對于SSL協議的移植，文中通過 OpenSSL模塊嵌入的方式進行，在實際控制系統中易于檢驗。在通訊的安全性與可靠性方面，嵌入式系統應用了多種方式的協議，比如密碼互換協議、完整性認證協議、數據通信加密協議等，其中，用戶身份驗證加密運用了非對稱橢圓曲線加密算法，信息的驗證采用了對成算法，數據的完整性測試采用了MD5摘要算法。通過不同協議層的應用，能夠實現多目標下的網絡安全性能。

2 網絡安全模塊設計

2.1 網絡安全模塊組成

在嵌入式系統的網絡安全模塊中，SSL 協議作為最重要的協議之一，其主要功能為通訊數據的分割、加密、壓縮與解壓、數據封裝等。網絡完全模塊的組成基于 SSL 協議，其組成與結構如圖3所示。首先，網絡安全模塊需要用戶進行配置、維護與查詢，數據的輸出模塊需要進行AH處理與ESP處理，并通過一定的算法進行加密。

圖3 網絡安全模塊組成

在完成算法認證與算法加密的處理后，秘鑰參數中將保留數據的運算過程。SSL協議的運算記錄通過壓縮操作后進行數據認證，包括加密性與完整性認證，其中，SSL協議的運算支持諸多加密算法，比如流加密算法、塊加密算法、認證算法等，具有良好的通用性。

數據發送與接收的安全性是網絡安全模塊重點保證的內容。載數據交換時，首先需要通過Handshake Protocol對相應的數據處理方法進行確定，當出現錯誤時，能夠及時停止，避免重要數據流失。數據的傳輸需要發送端與接收端相互的認證，比如對協議版本、加密算法等的認證。

2.2 網絡安全模塊的加密方式

在嵌入式系統中，文中采用 OpenSSL 的安全算法模塊來實現相應的加密方案。在Openssl EVP中，包含了眾多的密碼加密函數，比如對稱算法、摘要算法、簽名算法、驗簽算法等。

EVP函數中的算法具有數據封裝功能，能夠保證數據的可靠性與安全性。在 EVP函數所提供的算法庫中，具有一定的通用性，比如，ENC_CIPHER_CTX結構可通過CREATE函數進行建立并將其完成初始化操作，然后通過INIT函數將具體的算法進行掛載和賦予，從而ENC_CIPHER結構完成算法的初始化操作。

在信號通訊過程中，不連續數據塊的加密一般通過以下方式：首先，采用 UPDATE函數對各個需要加密的數據塊進行定義和調用；然后，基于 FINAL函數將所有的數據塊進行連續性處理，形成一系列的數據密文；最后調用相應的接口函數進行數據通訊。在網絡安全模塊中，數據的加密方式作為最重要的設計內容之一，其對于整個嵌入式系統的工作效率有著重要的影響。

3 結論

嵌入式系統在網絡安全方面的應用能夠提升網絡安全模塊的靈活性與安全性。文中通過對網絡安全的分析，確定了系統的總體框架，其中，網絡安全模塊通過功能移植，將網絡安全模塊應用于嵌入式系統；通過數據的分割、加密、壓縮與解壓、數據封裝等處理，實現了不同協議層下，多目標下的網絡安全性控制，對于提升網絡安全系統的模塊功能和降低設計成本均有著重要的意義。