基于IPSec的嵌入式網(wǎng)絡(luò )安全應用研究

4.2 結果分析

　　(1) 系統的可擴展性能：

　　測試的參數是吞吐量和平均延遲時(shí)間。實(shí)驗目的是測試在機器臺數增加時(shí)系統的可擴展性能。實(shí)驗的數據結果如圖5-1和5-2所示。

　　實(shí)驗結果證明該方案具有良好的可擴展性。性能提升的主要原因歸于系統采用了基于IPSec的架構，并且對安全策略庫進(jìn)行了優(yōu)化，因為SPD和SADB庫的查詢(xún)效率是影響本系統性能的一個(gè)重要因素。特別是像家庭網(wǎng)關(guān)這樣的設備中，實(shí)現安全機制的網(wǎng)關(guān)要為多個(gè)嵌人式設備提供轉發(fā)IP分組，對于每個(gè)分組都要在SPD庫查找相應的SA,因此可能成為整個(gè)因素的瓶頸。為了解決這個(gè)問(wèn)題，首先必須考慮到數據庫的存儲結構。采用安全策略庫和Cache表來(lái)解決。

　　(2) 系統的安全性能：

　　加密的網(wǎng)絡(luò )信息保證了信息內容的機密性。大多數加密方一法也需要授權和數據完整的服務(wù)。加密技術(shù)可以分成二個(gè)大類(lèi):消息摘要、對稱(chēng)密鑰密碼系統和不對稱(chēng)公開(kāi)密鑰密碼系統。特別我們的密碼經(jīng)過(guò)MD5算法加密以后，保證了它的安全性。

　　MD5的設計是面向32比特字的，MD5計算出的信息摘錄長(cháng)度為128比特，用4個(gè)字表示，分別記為d0，d1，d2，d3，在計算開(kāi)始時(shí)被分別初始化為常數：

　　d0 =01234567H，d1 =89abcdefH，d2 =fedcba98H，d3=76543210H

　　輸入的信息被分成512比特的等長(cháng)塊，逐塊處理。每塊包含16個(gè)字，分別記為m0，m1，，m15。每塊的處理分四遍掃描，對每一遍掃描中的每一個(gè)字都使用不同的常數，共64個(gè)，用T1，T2，，T64來(lái)表示，其中：Ti=[232 | sin ( i ) | ]。輸入的信息應是512比特的倍數，其填充方式，填充位的第一個(gè)比特為1，隨后的填充位都為0;即使原來(lái)的信息已是512比特的倍數，也要進(jìn)行填充。所以填充位的最小長(cháng)度為1比特，最大長(cháng)度為512比特。

　　實(shí)驗證明運行基于IPSec和SSL協(xié)議的嵌入式系統具有良好的可擴展性和安全性能。

　　4 結束語(yǔ)

　　基于網(wǎng)絡(luò )的嵌入式系統安全性是當今一大研究熱點(diǎn)，對該領(lǐng)域的研究既具有很強的理論意義又具備很高的現實(shí)意義。嵌入式系統只有在對安全性協(xié)議提供很好支持的情況下，才能真正發(fā)揮其巨大價(jià)值，才能對大型高可靠性服務(wù)提供全面支持。