基于IPSec的嵌入式網(wǎng)絡(luò )安全應用研究

1 引言

　　嵌入式網(wǎng)絡(luò )技術(shù)是近幾年隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)的普及和發(fā)展而發(fā)展起來(lái)的一項新興概念和技術(shù)，它通過(guò)為現有嵌入式系統增加因特網(wǎng)接入能力來(lái)擴展其功能，一般指設備通過(guò)嵌入式模塊而非PC系統直接接入Internet，以Internet為介質(zhì)實(shí)現信息交互的過(guò)程，通常又稱(chēng)為非PC接入。嵌入式Internet解決了終端設備的網(wǎng)絡(luò )化問(wèn)題,然而Internet提供的網(wǎng)絡(luò )環(huán)境并不保障接入系統的安全性?？梢赃@樣說(shuō),嵌入式Internet的安全問(wèn)題直接關(guān)系到嵌入式Internet的發(fā)展及其應用前景;因此,在開(kāi)發(fā)和使用嵌入式Internet系統的同時(shí),必須把嵌入式Internet通信的安全問(wèn)題放到重要的地位考慮。

　　對于保證安全領(lǐng)域的研究可分為兩大類(lèi)：一類(lèi)是如何保證嵌入式系統自身的安全，使其免病毒、黑客的攻擊和人為的破壞，另一類(lèi)則是如何保證傳輸信息內容的安全性、保密性，特別是對安全性要求比較高的服務(wù)其重要性不言而喻。其中，后者是我們研究的主要對象，目前對其采用的技術(shù)主要有IPSec技術(shù)、SSL/TLS技術(shù)、VPN技術(shù)等。本文主要研究IPSec網(wǎng)絡(luò )安全協(xié)議在嵌入式系統中的應用與實(shí)現，使嵌入式系統能夠對大型高可靠性服務(wù)提供全面支持，在保證服務(wù)質(zhì)量的同時(shí)，在客戶(hù)和服務(wù)器之間建立安全的網(wǎng)絡(luò )通道，保證敏感數據的安全。

　　2 嵌入式網(wǎng)絡(luò )安全特點(diǎn)及關(guān)鍵技術(shù)分析

　　2.1 嵌入式網(wǎng)絡(luò )安全特點(diǎn)分析

　　由于嵌入式自身的設備體積小，資源有限以及功能相對單一的特點(diǎn)，它的網(wǎng)絡(luò )安全有自身的特點(diǎn)：存儲器較小，處理器處理數據能力較差，更容易收到攻擊，安全性更脆弱;功能單一，所受到的攻擊也是比較單一;存儲能力相對較弱，是的一些常駐存儲器的病毒較難存在，同時(shí)也使得內存消耗的攻擊也容易得手;由于各種嵌入式設備功能、設計區別都很大，對某一種設備的攻擊對另一種設備就可能變得無(wú)效;還有很多的嵌入式設備和上網(wǎng)設備是分離的，大多數網(wǎng)絡(luò )攻擊都能被上網(wǎng)功能過(guò)濾掉，這樣就使得對嵌入式設備的攻擊變得更難。

　　根據OSI安全體系結構以及對嵌入式Internet特點(diǎn)分析,一個(gè)有效的嵌入式安全通信機制必須提供以下安全服務(wù):數據保密性、數據完整性、認證服務(wù)、訪(fǎng)問(wèn)控制服務(wù)和抗抵賴(lài)服務(wù)。實(shí)現這些安全服務(wù)需求,可以采用的安全機制為:加密機制、數字簽名機制、訪(fǎng)問(wèn)控制機制、數據完整性機制、鑒別交換機制、業(yè)務(wù)流填充機制、路由控制機制和公證機制。根據嵌入式Internet系統的安全特點(diǎn),這里提出的安全機制的制定主要從下面兩個(gè)方面來(lái)考慮：

　　(1)實(shí)現安全機制的網(wǎng)絡(luò )層次TCP/IP參考模型是一個(gè)四層網(wǎng)絡(luò )協(xié)議系統,各種安全機制并不都可應用在任意一層。針對嵌入式Internet的安全服務(wù),也可以參考四層協(xié)議系統進(jìn)行規劃,應該在合適的層次來(lái)實(shí)現;(2)基于密碼學(xué)理論的安全機制基于密碼學(xué)理論,嵌入式網(wǎng)絡(luò )技術(shù)可以使用以下幾種算法實(shí)現數據保密性和完整性服務(wù):使用對稱(chēng)密鑰體制或非對稱(chēng)密鑰體制,實(shí)現數據保密性服務(wù);使用單向散列函數等方法實(shí)現數據完整性服務(wù)。

　　在嵌入式網(wǎng)絡(luò )中,可以選用以上合適的密碼協(xié)議和算法,實(shí)現預期的安全服務(wù)要求。

　　2.2 關(guān)鍵技術(shù)分析

　　IPSec有兩種工作方式：隧道模式和傳輸模式。在隧道方式中，整個(gè)用戶(hù)的IP數據包被用來(lái)計算ESP包頭，整個(gè)IP包被加密并和ESP包頭一起被封裝在一個(gè)新的IP包內。這樣當數據在Internet上傳送時(shí)，真正的源地址和目的地址被隱藏起來(lái)。在傳輸模式中，只有高層協(xié)議(TCP、UDP、ICMP 等)及數據進(jìn)行加密。在這種模式下，源地址、目的地址以及所有IP包頭的內容都不加密。VPN具體實(shí)現是采用隧道技術(shù)，而隧道是通過(guò)隧道協(xié)議實(shí)現的，隧道協(xié)議規定了隧道的建立，維護和刪除規則以及怎樣將企業(yè)網(wǎng)的數據封裝在隧道中進(jìn)行傳輸。隧道協(xié)議可分為第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議IPsec等。對于IPSec安全隧道IPSec協(xié)議把多種安全技術(shù)集合到一起，可以建立一個(gè)安全、可靠的隧道。 這些技術(shù)包括DiffieHellman 密鑰交換技術(shù)，DES、RC4、IDEA 數據加密技術(shù)，哈希散列算法HMAC、MD5、SHA，數字簽名技術(shù)等。

1 引言

　　嵌入式網(wǎng)絡(luò )技術(shù)是近幾年隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)的普及和發(fā)展而發(fā)展起來(lái)的一項新興概念和技術(shù)，它通過(guò)為現有嵌入式系統增加因特網(wǎng)接入能力來(lái)擴展其功能，一般指設備通過(guò)嵌入式模塊而非PC系統直接接入Internet，以Internet為介質(zhì)實(shí)現信息交互的過(guò)程，通常又稱(chēng)為非PC接入。嵌入式Internet解決了終端設備的網(wǎng)絡(luò )化問(wèn)題,然而Internet提供的網(wǎng)絡(luò )環(huán)境并不保障接入系統的安全性?？梢赃@樣說(shuō),嵌入式Internet的安全問(wèn)題直接關(guān)系到嵌入式Internet的發(fā)展及其應用前景;因此,在開(kāi)發(fā)和使用嵌入式Internet系統的同時(shí),必須把嵌入式Internet通信的安全問(wèn)題放到重要的地位考慮。

　　對于保證安全領(lǐng)域的研究可分為兩大類(lèi)：一類(lèi)是如何保證嵌入式系統自身的安全，使其免病毒、黑客的攻擊和人為的破壞，另一類(lèi)則是如何保證傳輸信息內容的安全性、保密性，特別是對安全性要求比較高的服務(wù)其重要性不言而喻。其中，后者是我們研究的主要對象，目前對其采用的技術(shù)主要有IPSec技術(shù)、SSL/TLS技術(shù)、VPN技術(shù)等。本文主要研究IPSec網(wǎng)絡(luò )安全協(xié)議在嵌入式系統中的應用與實(shí)現，使嵌入式系統能夠對大型高可靠性服務(wù)提供全面支持，在保證服務(wù)質(zhì)量的同時(shí)，在客戶(hù)和服務(wù)器之間建立安全的網(wǎng)絡(luò )通道，保證敏感數據的安全。

　　2 嵌入式網(wǎng)絡(luò )安全特點(diǎn)及關(guān)鍵技術(shù)分析

　　2.1 嵌入式網(wǎng)絡(luò )安全特點(diǎn)分析

　　由于嵌入式自身的設備體積小，資源有限以及功能相對單一的特點(diǎn)，它的網(wǎng)絡(luò )安全有自身的特點(diǎn)：存儲器較小，處理器處理數據能力較差，更容易收到攻擊，安全性更脆弱;功能單一，所受到的攻擊也是比較單一;存儲能力相對較弱，是的一些常駐存儲器的病毒較難存在，同時(shí)也使得內存消耗的攻擊也容易得手;由于各種嵌入式設備功能、設計區別都很大，對某一種設備的攻擊對另一種設備就可能變得無(wú)效;還有很多的嵌入式設備和上網(wǎng)設備是分離的，大多數網(wǎng)絡(luò )攻擊都能被上網(wǎng)功能過(guò)濾掉，這樣就使得對嵌入式設備的攻擊變得更難。

　　根據OSI安全體系結構以及對嵌入式Internet特點(diǎn)分析,一個(gè)有效的嵌入式安全通信機制必須提供以下安全服務(wù):數據保密性、數據完整性、認證服務(wù)、訪(fǎng)問(wèn)控制服務(wù)和抗抵賴(lài)服務(wù)。實(shí)現這些安全服務(wù)需求,可以采用的安全機制為:加密機制、數字簽名機制、訪(fǎng)問(wèn)控制機制、數據完整性機制、鑒別交換機制、業(yè)務(wù)流填充機制、路由控制機制和公證機制。根據嵌入式Internet系統的安全特點(diǎn),這里提出的安全機制的制定主要從下面兩個(gè)方面來(lái)考慮：

　　(1)實(shí)現安全機制的網(wǎng)絡(luò )層次TCP/IP參考模型是一個(gè)四層網(wǎng)絡(luò )協(xié)議系統,各種安全機制并不都可應用在任意一層。針對嵌入式Internet的安全服務(wù),也可以參考四層協(xié)議系統進(jìn)行規劃,應該在合適的層次來(lái)實(shí)現;(2)基于密碼學(xué)理論的安全機制基于密碼學(xué)理論,嵌入式網(wǎng)絡(luò )技術(shù)可以使用以下幾種算法實(shí)現數據保密性和完整性服務(wù):使用對稱(chēng)密鑰體制或非對稱(chēng)密鑰體制,實(shí)現數據保密性服務(wù);使用單向散列函數等方法實(shí)現數據完整性服務(wù)。

　　在嵌入式網(wǎng)絡(luò )中,可以選用以上合適的密碼協(xié)議和算法,實(shí)現預期的安全服務(wù)要求。

　　2.2 關(guān)鍵技術(shù)分析

　　IPSec有兩種工作方式：隧道模式和傳輸模式。在隧道方式中，整個(gè)用戶(hù)的IP數據包被用來(lái)計算ESP包頭，整個(gè)IP包被加密并和ESP包頭一起被封裝在一個(gè)新的IP包內。這樣當數據在Internet上傳送時(shí)，真正的源地址和目的地址被隱藏起來(lái)。在傳輸模式中，只有高層協(xié)議(TCP、UDP、ICMP 等)及數據進(jìn)行加密。在這種模式下，源地址、目的地址以及所有IP包頭的內容都不加密。VPN具體實(shí)現是采用隧道技術(shù)，而隧道是通過(guò)隧道協(xié)議實(shí)現的，隧道協(xié)議規定了隧道的建立，維護和刪除規則以及怎樣將企業(yè)網(wǎng)的數據封裝在隧道中進(jìn)行傳輸。隧道協(xié)議可分為第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議IPsec等。對于IPSec安全隧道IPSec協(xié)議把多種安全技術(shù)集合到一起，可以建立一個(gè)安全、可靠的隧道。 這些技術(shù)包括DiffieHellman 密鑰交換技術(shù)，DES、RC4、IDEA 數據加密技術(shù)，哈希散列算法HMAC、MD5、SHA，數字簽名技術(shù)等。

　　在計算機網(wǎng)絡(luò )里進(jìn)認證的目的就是為在進(jìn)網(wǎng)絡(luò )連線(xiàn)時(shí)，確保對方的身份。在此，以下列舉一些網(wǎng)絡(luò )上的可能發(fā)生的情況以說(shuō)明為么在網(wǎng)絡(luò )上有需要作認證的需求：假冒(Masquerade)、重送(Replay)、修改內容(Content modification)、修改次序(Sequence modification)、否認(Repudiation)。其中，在我們的系統中我們主要使用了Kerberos協(xié)議，它是一個(gè)三方認證協(xié)議，根據稱(chēng)為密匙分配中心(KDC)的第三方服務(wù)中心來(lái)驗證網(wǎng)絡(luò )中計算機相互的身份，并建立密匙以保證計算機間安全連接KDC有兩個(gè)部分組成：認證服務(wù)器AS和票據授權服務(wù)器TGS。Kerberos是一種網(wǎng)絡(luò )認證協(xié)議，允許一臺計算機通過(guò)交換加密消息在整個(gè)非安全網(wǎng)絡(luò )上與另一臺計算機互相證明身份。一旦身份得到驗證，Kerberos協(xié)議將會(huì )給這兩臺計算機提供密匙，以進(jìn)行安全通訊對話(huà)。

3 新型系統體系設計實(shí)現

　　3.1 實(shí)現層次

　　首先確定安全協(xié)議的實(shí)現層次,對各種機制實(shí)現方法作深入分析,比較它們的不同實(shí)現方法和不同安全特點(diǎn),設計一個(gè)適合嵌入式Internet設備進(jìn)行網(wǎng)絡(luò )通信的安全模型。鏈路層主要采用劃分VLAN、鏈路加密通信等手段保證通過(guò)網(wǎng)絡(luò )鏈路傳送數據的機密性、數據完整性等?；阪溌穼蛹用芘c應用程序無(wú)關(guān),實(shí)現簡(jiǎn)單,可用硬件設備進(jìn)行加密,提供較高的處理速度。缺點(diǎn)是兩個(gè)加密參與的實(shí)體必須在物理形式上連接在一起,即不能實(shí)現對不同進(jìn)程進(jìn)行不同的加密處理。網(wǎng)絡(luò )層安全性的主要優(yōu)點(diǎn)是安全服務(wù)的提供與應用層的無(wú)關(guān)性,而且由于多種傳輸協(xié)議和應用程序可以共享由網(wǎng)絡(luò )層提供的密鑰管理框架,使得密鑰協(xié)商的數量也大大削減。網(wǎng)絡(luò )層安全業(yè)務(wù)最有用的特性是能夠構建VPN。網(wǎng)絡(luò )層加密的主要缺點(diǎn)是:對屬于不同進(jìn)程和相應條例的數據包一般不作區別。對所有發(fā)往同一地址的包,它將按照同樣的加密密鑰和訪(fǎng)問(wèn)控制策略來(lái)處理。同網(wǎng)絡(luò )層安全機制相比,傳輸層安全機制的主要優(yōu)點(diǎn)是它提供對進(jìn)程的安全服務(wù)。傳輸層安全機制的主要缺點(diǎn)是要對傳輸層進(jìn)程間通信接口和應用程序兩端都進(jìn)行修改;另外,由于SSL和TLS都是建立在TCP協(xié)議上的,因此對于UDP的安全通信就無(wú)法保證。在應用層實(shí)施加密是最具強制性的選擇。它也是最具靈活性,因為保護的范圍和力度可以裁剪到滿(mǎn)足某一應用的特定需要。這一點(diǎn)正符合嵌入式Internet設備靈活多變的應用的需求。應用層的安全可以彌補下層協(xié)議漏洞和不足,可以采用多種多樣的安全措施來(lái)保證系統的安全性。除了采用一些針對應用層協(xié)議的安全方案外,其他例如身份認證、數據加密、數字簽名等都可以在應用層進(jìn)行。應用層提供安全服務(wù)的優(yōu)點(diǎn)在于不用考慮網(wǎng)絡(luò )采用的具體協(xié)議和鏈路情況,同時(shí)由于應用程序以用戶(hù)為背景執行,容易獲得用戶(hù)訪(fǎng)問(wèn)憑據,而且對用戶(hù)想保護的數據具有完整的訪(fǎng)問(wèn)權并有著(zhù)充分的理解,這些特性使得在應用層引入安全業(yè)務(wù)具有特定的優(yōu)勢。在應用程序中實(shí)施安全機制,程序要和一個(gè)特殊的系統集成到一起,應用程序通過(guò)改進(jìn)調用該特殊系統實(shí)現安全機制。

　　基于以上比較,為了在嵌入式Internet接入設備和訪(fǎng)問(wèn)者之間建立起有效的,具有更強大的適應性和安全性的安全通信機制,選擇應用層作為實(shí)現層次,以保證設備訪(fǎng)問(wèn)者與嵌入式設備間通信的信息安全。

　　3.2 設計實(shí)現

　　在計算機OSI/RM擴展部分，安全體系結構(Security Architecture)是指對網(wǎng)絡(luò )系統安全功能的抽象描述，一般從整體上定義網(wǎng)絡(luò )系統所提供的安全服務(wù)和安全機制。一個(gè)完整的網(wǎng)絡(luò )安全框架結構對于網(wǎng)絡(luò )安全概念的理解、網(wǎng)絡(luò )系統的安全設計與實(shí)現都有重要意義，從另一個(gè)意義來(lái)說(shuō)，計算機網(wǎng)絡(luò )安全框架結構也不完全適合嵌入式系統，筆者從嵌入式系統的實(shí)際應用的角度考慮，分析了網(wǎng)絡(luò )安全功能需求，給出了描述計算機網(wǎng)絡(luò )安全體系結構結構。

　　IPSec在網(wǎng)絡(luò )層提供加密和認證服務(wù)，IPSec能夠保護所有的IP流量。IPSec的安全策略允許用戶(hù)更加靈活的安全策略的控制。所以，這里以IPSec為基礎，融防火墻技術(shù)于一體的，建立在IP層的新的嵌人式系統的安全機制。該機制主要特點(diǎn)如下:①它根據分組報的源、宿地址，端口號及協(xié)議類(lèi)型、標志確定是否允許分組報通過(guò);②根據安全策略的安全規則，對輸人、輸出的數據施行加/解密、認證、數字簽名、完整性校驗等安全措施，保證數據傳輸中的安全; ③支持虛擬專(zhuān)用網(wǎng)，支持企業(yè)內部網(wǎng)絡(luò )技術(shù)體系VPN。具體實(shí)現如圖1所示。

　SPD庫和SADB庫的查詢(xún)效率時(shí)影響本系統性能的一個(gè)重要因素。特別是在象家庭網(wǎng)關(guān)這樣的設備