基于IPSec的嵌入式網絡安全應用研究

4.2 結果分析

　　(1) 系統(tǒng)的可擴展性能：

　　測試的參數是吞吐量和平均延遲時間。實驗目的是測試在機器臺數增加時系統(tǒng)的可擴展性能。實驗的數據結果如圖5-1和5-2所示。

　　實驗結果證明該方案具有良好的可擴展性。性能提升的主要原因歸于系統(tǒng)采用了基于IPSec的架構，并且對安全策略庫進行了優(yōu)化，因為SPD和SADB庫的查詢效率是影響本系統(tǒng)性能的一個重要因素。特別是像家庭網關這樣的設備中，實現安全機制的網關要為多個嵌人式設備提供轉發(fā)IP分組，對于每個分組都要在SPD庫查找相應的SA,因此可能成為整個因素的瓶頸。為了解決這個問題，首先必須考慮到數據庫的存儲結構。采用安全策略庫和Cache表來解決。

　　(2) 系統(tǒng)的安全性能：

　　加密的網絡信息保證了信息內容的機密性。大多數加密方一法也需要授權和數據完整的服務。加密技術可以分成二個大類:消息摘要、對稱密鑰密碼系統(tǒng)和不對稱公開密鑰密碼系統(tǒng)。特別我們的密碼經過MD5算法加密以后，保證了它的安全性。

　　MD5的設計是面向32比特字的，MD5計算出的信息摘錄長度為128比特，用4個字表示，分別記為d0，d1，d2，d3，在計算開始時被分別初始化為常數：

　　d0 =01234567H，d1 =89abcdefH，d2 =fedcba98H，d3=76543210H

　　輸入的信息被分成512比特的等長塊，逐塊處理。每塊包含16個字，分別記為m0，m1，，m15。每塊的處理分四遍掃描，對每一遍掃描中的每一個字都使用不同的常數，共64個，用T1，T2，，T64來表示，其中：Ti=[232 | sin ( i ) | ]。輸入的信息應是512比特的倍數，其填充方式，填充位的第一個比特為1，隨后的填充位都為0;即使原來的信息已是512比特的倍數，也要進行填充。所以填充位的最小長度為1比特，最大長度為512比特。

　　實驗證明運行基于IPSec和SSL協(xié)議的嵌入式系統(tǒng)具有良好的可擴展性和安全性能。

　　4 結束語

　　基于網絡的嵌入式系統(tǒng)安全性是當今一大研究熱點，對該領域的研究既具有很強的理論意義又具備很高的現實意義。嵌入式系統(tǒng)只有在對安全性協(xié)議提供很好支持的情況下，才能真正發(fā)揮其巨大價值，才能對大型高可靠性服務提供全面支持。