發布日期:2022-07-14 點擊率:55
TCP/IP是當今絕大多數網絡的核心。它不僅靈活,而且具有強大的功能,很好地滿足了十年來網絡發展的需要。此外,它還易于使用和理解,這促成了聯網產品的爆炸性增長。現在,自動售賣機、工業和樓宇控制設備以及POS終端等傳統產品都可以通過以太網和TCP/IP互聯。
隨著這種趨勢的蔓延,更多系統正在連接到互聯網上,相應地,對網絡安全性的要求也將提高。隨著更多交易轉到網絡上處理,以及公眾對電子威脅(身份竊取、黑客攻擊和計算機病毒)的認知程度增加,對安全性的需求也將增長。為此,嵌入式系統將越來越多地采用網絡安全技術。但由于需要計算密集型加密算法和大量的存儲器空間,這些安全技術會降低設備的性能。為了克服這類障礙,業界正在專門為嵌入式系統設計軟件協議,并開發硬件加速技術,使處理器能快速執行這些加密算法。
IP網絡的公開特性和IP分組路由機制使得TCP/IP網絡容易產生安全漏洞。IP分組路由機制不是為了安全目的而設計的,其目標旨在盡可能簡單地實現路由,并方便日后擴展網絡。這些特性允許TCP/IP被迅速采用并廣泛普及。但它們也引發了安全問題:IP的路由過程會將數據包暴露給沿其路由線路的任何人,使他們看到包的內容或源地址及目的地址。此外,由于數據包到其目的地的路由線路并不固定,在互聯網上傳送的包有可能被連接到網絡上的任何人截取、重新路由或復制。VSPACE=12 HSPACE=12 ALT="圖1:一個樓宇安全系統的各單元之間通過建筑物的以太網LAN進行通信,并由IPSec協議確保安全。">
這些問題限制了使用大型IP網絡進行敏感的通信。為了解決TCP/IP易受攻擊的問題,人們開發了幾種協議。最常見的是IP安全協議(IPsec)和安全套接層(SSL),它們已經被廣泛應用在個人電腦、高端網絡服務器、路由設備以及其它系統中。
隨著聯網的嵌入式設備繼續增多,我們有必要為這些非傳統的連網系統增加安全功能。對于制造樓宇控制系統、遠程監視站和POS終端等產品的公司來說,TCP/IP的優勢顯而易見。它允許用戶通過網絡控制這些系統,或者從遠程設備向它們發送即時信息,從而提高這些系統的效率。然而,外部人員也有可能訪問這些聯網設備。為了降低風險,需要引入IPsec和SSL等原本用于網絡設備領域的安全協議,但它們在嵌入系統中的應用受到限制。這些協議的實現方式需要為低功耗、存儲器有限的嵌入式設備而特別設計。
為嵌入式系統設計安全方案面臨諸多困難。特別地,兩個關鍵挑戰是性能問題和存儲器問題。IPsec 和 SSL等網絡安全協議涉及復雜的加密和驗證算法,如數據加密標準(DES)、高級加密標準(AES)和安全散列算法(SHA)。這些算法用于保護數據的完整性和機密性,并確認數據創建者的身份。但因為這些加密算法需要密集型計算,它們會嚴重影響在低功耗嵌入式處理器上運行的應用程序的性能。
為了解決性能問題,ARC等供應商正在將硬件指令集成到他們的嵌入式處理器內核中,從而加快算法的執行速度。類似地,摩托羅拉已經發布新系列的PowerQuicc處理器,它集成了針對加密和認證算法的片上硬件加速單元。
與安全有關的第二個問題是嵌入式系統的存儲器容量。簡單來說,嵌入式系統需要添加的軟件越多,它需要的存儲容量就越大。安全軟件最初是為PC和高端網絡設備,而不是為低耗能、存儲器有限的嵌入式系統設計的。對于嵌入系統的開發者而言,這些軟件的規模龐大,而且包含太多他們不需要的內容。盡管我們有可能把高端安全軟件移植到嵌入式處理器中,并縮減它們的代碼規模和功能集,但這個過程非常耗時而且難度很大。
因此,用于IPsec和SSL等協議的軟件棧適時出現了,它們設計用于把需要使用的存儲器容量維持在最低水平。這種軟件還被設計成可擴展的,允許開發者為特定應用選擇他們需要的功能集,而且根據應用的特定需求,還支持僅限于客戶端或僅限于服務器端的設置。
為嵌入式系統設計的網絡安全協議棧以及集成到嵌入處理器內核中的硬件加速單元為嵌入式系統開發者提供了一個能將安全特性引入到聯網應用中的環境。硬件加速器提供了額外的性能來處理加密算法,從而可以在不顯著影響處理器性能的前提下,使連網性能維持在一個合理的水平。為嵌入系統設計的安全協議棧能滿足嵌入式軟件應用的小規模和可伸縮需求。
以前,嵌入式系統開發者為了實現網絡安全同時維持性能的唯一選擇是使用更快、更昂貴、存儲器容量更大的處理器,盡管這在多數情況下并不具有可行性。針對嵌入式處理器的片上硬件加速器和網絡安全軟件包使得開發者可以為接入邊緣網絡的嵌入式設備增加網絡安全功能。
作者:Graham Morphew
