應用嵌入式芯片構建網(wǎng)絡(luò )安全設備的設計方案

　　伴隨著(zhù)信息產(chǎn)業(yè)的快速發(fā)展，人們對網(wǎng)絡(luò )安全的需求也與日俱增。網(wǎng)絡(luò )安全需要依靠硬件平臺與高質(zhì)量軟件相結合來(lái)實(shí)現，其中硬件平臺是軟件的物理載體和外在表現。如何選擇與高質(zhì)量軟件相匹配的硬件平臺，將會(huì )直接影響網(wǎng)絡(luò )安全產(chǎn)品的可靠性和最終產(chǎn)品的市場(chǎng)定位。

　　嵌入式設備在很多應用場(chǎng)合正在和因特網(wǎng)相連接，比如金融終端、蜂窩電話(huà)、機頂盒、無(wú)線(xiàn)接入點(diǎn)、醫療設備和公共信息電話(huà)亭。當這些能夠上網(wǎng)的設備與因特網(wǎng)連接時(shí)，若是沒(méi)有足夠的安全考慮和措施，它們將會(huì )很容易受到攻擊，這些攻擊包括無(wú)意的訪(fǎng)問(wèn)和惡意攻擊。攻擊可能會(huì )使設備的功能、操作以及包含的信息遭受破壞，所以應該通過(guò)制定安全配置來(lái)加固和保護系統，以及通過(guò)檢測與響應的方法應對侵擾。

　　什么是對快速侵擾的檢測呢?那就是：對侵擾做出響應，把損害減至最小。同時(shí)，提高系統的安全性，幫助應對將來(lái)可能發(fā)生的攻擊。在很多嵌入式設計中，安全方面的設計都集中在如何強化和保護設備以及將損失降到最低方面。設備的功能可以包括標準的網(wǎng)絡(luò )服務(wù)，例如網(wǎng)絡(luò )服務(wù)器、E-mail客戶(hù)端或FTP 接入，以及接收和處理用戶(hù)信息并進(jìn)行授權和訪(fǎng)問(wèn)控制的能力，在它們內部隱含著(zhù)各種類(lèi)型的數據存儲和文件系統。其常用的方法有兩種，即遠程訪(fǎng)問(wèn)方法與密鑰和解密算法。

　　之所以基于密鑰和解密算法，是因為加密的網(wǎng)絡(luò )信息保證了信息內容的機密性。其大多數加密方法也需要授權和數據完整*。而加密技術(shù)可以分成三個(gè)大類(lèi)，即消息摘要、對稱(chēng)(密鑰)密碼系統和不對稱(chēng)(公開(kāi)密鑰)密碼系統。

　　金融終端的網(wǎng)絡(luò )安全問(wèn)題

　　許多嵌入式系統都是由通用計算機構建的。這些計算機基于標準架構，具有經(jīng)過(guò)驗證的設計和代碼繼承性。雖然這些特性可能對設計者很有吸引力，但是這樣的系統構建時(shí)并沒(méi)有考慮到數據安全性。這使其并不適合很大一部分嵌入式系統市場(chǎng)份額，即處理敏感或保密信息的應用。一些嵌入式系統，如金融終端、身份授權以及任何存儲口令和加密密鑰的系統都需要有力措施來(lái)保護它們的數據。另外，像自動(dòng)取款機(ATM)這種物理上暴露的應用都是有風(fēng)險的。顯然存在這樣一種需求，即把數據安全和通用計算機的便利性結合起來(lái)。

　　為通用計算機加入安全機制的最常見(jiàn)辦法，是使用昂貴的物理外殼保護系統。對于大多數應用來(lái)說(shuō)，構建難以攻破的物理屏障是不切實(shí)際的，必須假定在給定時(shí)間內任何級別的物理安全機制都會(huì )被擊潰。數據安全領(lǐng)域的專(zhuān)家們斷言：“對私有數據的唯一有效保護措施就是用加密屏障將其包圍?！贝送?，系統必須能夠探測出物理入侵和密碼入侵，并且作為一種入侵響應，能夠迅速地擦除掉存儲器內容。能對入侵做出反應的加密邊界可以為密鑰、程序和數據提供一個(gè)安全的保護層。