嵌入式网络接入的安全通信机制研究
发布时间:2007/8/30 0:00:00 访问次数:390
作者:上海师范大学 王芬 赵梗明
摘要 嵌入式设备接入Internet是当今嵌入式系统发展的一个重要趋势,但是Internet提供的开放性网络环境并不保障接入嵌入式系统的安全性。为了保证系统的安全性,以目前广泛采用的32位处理嚣加TCP/IP协议栈接入Interner的方案为实现平台,通过选择基于密码学的安全机制,设计并实现嵌入式Internet安全通信机制EISCM。它提供一个相对安全的平台,可以使系统放心地接入Internet。
关键词 嵌入式系统 网络接入 安全通信机制 加密
引 言
Internet已经成为人们获取信息、相互交流的重要渠道。将嵌入式系统和Internet相结合,使嵌入式设备接入Internet是当今嵌入式系统发展的一个重要趋势,因此就有了嵌入式Internet的说法。利用该技术可以实现基于Internet的远程数据采集、远程控制、自动报警等功能,大大扩展嵌入式设备的应用范围;同时充分利用网络资源,实现更广泛的信息共享和更多信息服务。
嵌入式Internet解决了终端设备的网络化问题,然而Internet提供的网络环境并不保障接入系统的安全性。可以这样说,嵌入式Internet的安全问题直接关系到嵌入式Internet的发展及其应用前景;因此,在开发和使用嵌入式Internet系统的同时,必须把嵌入式Internet通信的安全问题放到重要的地位考虑。在这种背景下,本文选择了嵌入式Internet通信安全作为主要的研究方向,基于0SI安全体系架构,设计并实现嵌入式Interet安全通信机制EISCM(Embedded Internet Security Commumcation Mechanism)。主要通过密码协议和嵌入式数据库来实现数据保密性服务、数据完整性服务和认证服务。
1 嵌入式Intemet的安全需求分析
根据OSI安全体系结构以及对嵌入式Internet特点分析,一个有效的嵌入式安全通信机制必须提供以下安全服务:数据保密性、数据完整性、认证服务、访问控制服务和抗抵赖服务。实现这些安全服务需求,可以采用的安全机制为:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、路由控制机制和公证机制。根据嵌入式Internet系统的安全特点,这里提出的安全机制的制定主要从下面两个方面来考虑。
(1)实现安全机制的网络层次
TCP/IP参考模型是一个四层网络协议系统,各种安全机制并不都可应用在任意一层。针对嵌入式Internet的安全服务,也可以参考四层协议系统进行规划,应该在合适的层次来实现。
(2)基于密码学理论的安全机制
基于密码学理论,嵌入式Internet技术可以使用以下几种算法实现数据保密性和完整性服务:
◆使用对称密钥体制或非对称密钥体制,实现数据保密性服务;
◆使用单向散列函数等方法实现数据完整性服务。在嵌入式Internet中,可以选用以上合适的密码协议和算法,实现预期的安全服务要求。
2 网络接入的安全通信机制
2.1 实现层次
首先确定安全协议的实现层次,对各种机制实现方法作深入分析,比较它们的不同实现方法和不同安全特点,设计一个适合嵌入式Intemet设备进行网络通信的安全模型。
链路层主要采用划分VLAN、链路加密通信等手段保证通过网络链路传送数据的机密性、数据完整性等。基于链路层加密与应用程序无关,实现简单,可用硬件设备进行加密,提供较高的处理速度。缺点是两个加密参与的实体必须在物理形式上连接在一起,即不能实现对不同进程进行不同的加密处理。网络层安全性的主要优点是安全服务的提供与应用层的无关性,而且由于多种传输协议和应用程序可以共享由网络层提供的密钥管理框架,使得密钥协商的数量也大大削减。网络层安全业务最有用的特性是能够构建VPN。网络层加密的主要缺点是:对属于不同进程和相应条例的数据包一般不作区别。对所有发往同一地址的包,它将按照同样的加密密钥和访问控制策略来处理。同网络层安全机制相比,传输层安全机制的主要优点是它提供对进程的安全服务。传输层安全机制的主要缺点是要对传输层进程间通信接口和应用程序两端都进行修改;另外,由于SSL_和TLS都是建立在TCP协议上的,因此对于UDP的安全通信就无法保证。在应用层实施加密是最具强制性的选择。它也是最具灵活性,因为保护的范围和力度可以裁剪到满足某一应用的特定需要。这一点正符合嵌入式Internet设备灵活多变的应用的需求。应用层的安全可以弥补下层协议漏洞和不足,可以采用多种多样的安全措施来保证系统的安全性。除了采用一些针对应用层协议的安全方案外,其他例如身份认证、数据加密、数字签名等都可以在应用层进行。应用层提供安全服务的优点在于不用考虑网络采用的具体协议和链路情况,同时由于应用程序以用户为背景执行,容易获得用户访问凭据,而且对用户想保护的数据具有完整的访问权并有着充分的理解,这些特性使得在应用层引入
作者:上海师范大学 王芬 赵梗明
摘要 嵌入式设备接入Internet是当今嵌入式系统发展的一个重要趋势,但是Internet提供的开放性网络环境并不保障接入嵌入式系统的安全性。为了保证系统的安全性,以目前广泛采用的32位处理嚣加TCP/IP协议栈接入Interner的方案为实现平台,通过选择基于密码学的安全机制,设计并实现嵌入式Internet安全通信机制EISCM。它提供一个相对安全的平台,可以使系统放心地接入Internet。
关键词 嵌入式系统 网络接入 安全通信机制 加密
引 言
Internet已经成为人们获取信息、相互交流的重要渠道。将嵌入式系统和Internet相结合,使嵌入式设备接入Internet是当今嵌入式系统发展的一个重要趋势,因此就有了嵌入式Internet的说法。利用该技术可以实现基于Internet的远程数据采集、远程控制、自动报警等功能,大大扩展嵌入式设备的应用范围;同时充分利用网络资源,实现更广泛的信息共享和更多信息服务。
嵌入式Internet解决了终端设备的网络化问题,然而Internet提供的网络环境并不保障接入系统的安全性。可以这样说,嵌入式Internet的安全问题直接关系到嵌入式Internet的发展及其应用前景;因此,在开发和使用嵌入式Internet系统的同时,必须把嵌入式Internet通信的安全问题放到重要的地位考虑。在这种背景下,本文选择了嵌入式Internet通信安全作为主要的研究方向,基于0SI安全体系架构,设计并实现嵌入式Interet安全通信机制EISCM(Embedded Internet Security Commumcation Mechanism)。主要通过密码协议和嵌入式数据库来实现数据保密性服务、数据完整性服务和认证服务。
1 嵌入式Intemet的安全需求分析
根据OSI安全体系结构以及对嵌入式Internet特点分析,一个有效的嵌入式安全通信机制必须提供以下安全服务:数据保密性、数据完整性、认证服务、访问控制服务和抗抵赖服务。实现这些安全服务需求,可以采用的安全机制为:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、路由控制机制和公证机制。根据嵌入式Internet系统的安全特点,这里提出的安全机制的制定主要从下面两个方面来考虑。
(1)实现安全机制的网络层次
TCP/IP参考模型是一个四层网络协议系统,各种安全机制并不都可应用在任意一层。针对嵌入式Internet的安全服务,也可以参考四层协议系统进行规划,应该在合适的层次来实现。
(2)基于密码学理论的安全机制
基于密码学理论,嵌入式Internet技术可以使用以下几种算法实现数据保密性和完整性服务:
◆使用对称密钥体制或非对称密钥体制,实现数据保密性服务;
◆使用单向散列函数等方法实现数据完整性服务。在嵌入式Internet中,可以选用以上合适的密码协议和算法,实现预期的安全服务要求。
2 网络接入的安全通信机制
2.1 实现层次
首先确定安全协议的实现层次,对各种机制实现方法作深入分析,比较它们的不同实现方法和不同安全特点,设计一个适合嵌入式Intemet设备进行网络通信的安全模型。
链路层主要采用划分VLAN、链路加密通信等手段保证通过网络链路传送数据的机密性、数据完整性等。基于链路层加密与应用程序无关,实现简单,可用硬件设备进行加密,提供较高的处理速度。缺点是两个加密参与的实体必须在物理形式上连接在一起,即不能实现对不同进程进行不同的加密处理。网络层安全性的主要优点是安全服务的提供与应用层的无关性,而且由于多种传输协议和应用程序可以共享由网络层提供的密钥管理框架,使得密钥协商的数量也大大削减。网络层安全业务最有用的特性是能够构建VPN。网络层加密的主要缺点是:对属于不同进程和相应条例的数据包一般不作区别。对所有发往同一地址的包,它将按照同样的加密密钥和访问控制策略来处理。同网络层安全机制相比,传输层安全机制的主要优点是它提供对进程的安全服务。传输层安全机制的主要缺点是要对传输层进程间通信接口和应用程序两端都进行修改;另外,由于SSL_和TLS都是建立在TCP协议上的,因此对于UDP的安全通信就无法保证。在应用层实施加密是最具强制性的选择。它也是最具灵活性,因为保护的范围和力度可以裁剪到满足某一应用的特定需要。这一点正符合嵌入式Internet设备灵活多变的应用的需求。应用层的安全可以弥补下层协议漏洞和不足,可以采用多种多样的安全措施来保证系统的安全性。除了采用一些针对应用层协议的安全方案外,其他例如身份认证、数据加密、数字签名等都可以在应用层进行。应用层提供安全服务的优点在于不用考虑网络采用的具体协议和链路情况,同时由于应用程序以用户为背景执行,容易获得用户访问凭据,而且对用户想保护的数据具有完整的访问权并有着充分的理解,这些特性使得在应用层引入
相关技术资料- 5-14高精度智能磁性传感器芯片KTM5900
- 5-14新一代全光纤工业光总线技术应用前景
- 5-14通感控一体全光网芯片TS-PON Gen2
- 5-14Sub-GHz/Wi-SUN 收发器技术参数设计
- 5-14低功耗 8 位和 16 位微控制器(MCU)
- 5-14双 LVDS (OpenLDI) LCD 视频处理器
- 5-13业界新型“Dauerpower”逆变器SiC MOS
- 5-13电源管理芯片 (PMIC)应用详解
- 5-13 Power Management Buck/降压转换器̴
- 5-13AI GPU 和 TPU的超高功率密度电源模块
- 5-13高性能CMOS图像传感器芯片参数设计
- 5-13四丛集架构10核心方案SS1101处理器
- 相关IC型号
公网安备44030402000607
