嵌入式設備網(wǎng)絡安全的實際解決方案

電子設計應用2004年第9期

嵌入式設備在很多應用場合正在和因特網(wǎng)相連接，比如蜂窩電話、機頂盒、無線接入點、醫(yī)療設備和公共信息電話亭。當這些能夠上網(wǎng)的設備與因特網(wǎng)連接，但是沒有足夠的安全考慮時，他們將很容易受到攻擊，這些攻擊包括無意的訪問和惡意攻擊。如果沒有一些相應安全措施，這些攻擊可能會使設備的功能、操作以及包含的信息遭受破壞。
安全風險評估和使用現(xiàn)有可用的COTS嵌入式網(wǎng)絡安全技術是實現(xiàn)適當?shù)脑L問控制機制和安全策略的有效工具。因為在系統(tǒng)開發(fā)中安全目標影響關鍵的早期決策，在實際的資源被提交進行開發(fā)之前，在系統(tǒng)結構級分析網(wǎng)絡安全的目標對于降低成本和提高效率是非常重要的。對于任何能夠接入因特網(wǎng)的嵌入式設備，安全方面的考慮應當是設計中強制要做的一部分。在這方面，強制并不意味著對每一種新的嵌入式設計都需要安全功能，只是針對那些把安全措施和補救方法考慮作為設計和開發(fā)過程一部分的設備。
本文探索了在系統(tǒng)開發(fā)過程中重要的安全策略，包括進行嵌入式安全評估和設計的框架，定義了一些網(wǎng)絡安全概念，并提供了一些嵌入式設備安全方面的建議。

圖1  使用SoC安全加速的模塊化IPSec結構

圖2  嵌入式SSL 客戶端/服務器實現(xiàn)方案

因特網(wǎng)和設備安全基本原理
一種設備安全的方法要綜合考慮物理層、平臺層以及密碼安全三個方面。在最基本的層次上，設備安全的目標是要保證工作的可信度。并且，與網(wǎng)絡相連的設備應當被看作是包含用戶、資源和系統(tǒng)的安全領域內的一部分，如果這些設備受到安全威脅或它的功能遭到破壞，其它設備可能會受到直接或間接的影響。如果一個設備對它的域用戶來說是可信的，它有可能變成一個用來危及系統(tǒng)其它部分安全的特洛伊木馬。安全系統(tǒng)依賴于某種形式的用戶和服務信任的概念，針對不同的風險視圖和減少風險的策略存在不同形式的信任關系?？梢越⒌男湃斡校菏褂靡粋€安全策略和域對等關系；通過傳統(tǒng)的授權方法；通過交換公開或私有密鑰；通過由第三方權威機構發(fā)布的授權。
根據(jù)規(guī)定的設計功能，設備可以響應和提供信任和不信任關系的服務。
因特網(wǎng)安全服務
網(wǎng)絡安全可以理解為是一組服務和功能的集合。這些服務和功能由不同的機制、以不同的組合、通過權衡選擇安全協(xié)議和實踐來實現(xiàn)。三個基本的網(wǎng)絡安全服務是：
數(shù)據(jù)加密、內容完整性、授權。其它安全功能包括“無丟棄”和保護防止IP欺騙和重演的功能。這些安全服務用來建立與特定用戶、設備和處理之間的信任關系，并且授權客戶端完成一些操作，比如升級配置、使用FTP或Telnet、瀏覽日志和其它的存儲信息。不同的用戶可能需要不同級別的授權，并且代表了不同的特權。
對于即定的嵌入式應用使用哪一種安全服務是合適的依賴于它的功能、期望的使用和潛在安全風險的評估。

嵌入式設備的安全設計
嵌入式設備風險評估如表1所示。包括因特網(wǎng)應用在內的任何可以選擇通過網(wǎng)絡進行管理和配置的嵌入式應用都可以被開發(fā)和折中考慮。對于企業(yè)，NIST已經(jīng)建立了5個方面的措施，用來減少和管理網(wǎng)絡安全的脆弱性。
?通過制定安全的配置加固和保護系統(tǒng)；
?通過準備檢測和響應方法應對侵擾；
?快速侵擾檢測；
?對侵擾做出響應，把損害減少至最?。?br/>?提高系統(tǒng)的安全性，幫助應對將來的攻擊。
如果你正在設計一個防火墻路由器或嵌入式網(wǎng)絡安全框架結構，你的設計可能已經(jīng)涉及到很多這方面的實踐。但是，在很多嵌入式設計中，安全方面的設計集中在如何強化和保護設備以及將損失降低到最小。
典型的功能性需求包括提供一套由嵌入式應用定義的服務的能力。設備的功能可以包括標準的網(wǎng)絡服務，例如網(wǎng)絡服務器、E-mail客戶端或FTP接入，以及接收和處理用戶信息并進行授權和訪問控制的能力，在他們內部隱含著一些類型的數(shù)據(jù)存儲和文件系統(tǒng)。另外，設計中可能還包括通過串行接口、本地網(wǎng)絡接口、或者通過超越局域網(wǎng)安全范圍的遠程接口管理設備接收和安裝最新軟件。
遠程訪問方法
沒有一個單一的網(wǎng)絡安全技術能夠通用地適合作為針對遠端設備訪問所有方面的解決方案。最佳的解決方法是根據(jù)設備的風險視圖、設備的需求和設計情況采用一些最適合的技術。
提供的網(wǎng)絡安全服務和協(xié)議構成了實現(xiàn)安全因特網(wǎng)設備達到或超過期望風險視圖要求的資源工具箱。簡要看一下一些最流行的密碼和網(wǎng)絡安全標準。
加密和解密算法
如以上討論的，加密的網(wǎng)絡信息保證了信息內容的機密性。大多數(shù)加密方法也需要授權和數(shù)據(jù)完整性服務。加密技術可以分成三個大類：消息摘要、對稱(密鑰)密碼系統(tǒng)和不對稱(公開密鑰)密碼系統(tǒng)。
基于IP的虛擬專用網(wǎng)
VPN是一個虛擬專用網(wǎng)，它允許兩個或更多的網(wǎng)絡設備跨越一個不安全的網(wǎng)絡進行安全通信。
在一個基于IPSec實現(xiàn)的VPN中，一個遠端用戶能夠無縫的、透明的和高安全性的訪問遠端設備上的任何服務和文件。設備配置和文件管理工具Telnet和FTP，以及web服務都可以集成到這個安全框架內。IP VPN允許建立雙向任意的、無限制的網(wǎng)絡層連接，并允許任意的IP網(wǎng)絡操作。把IPSec加入到嵌入式設計中需要一個嵌入式的TCP/IP協(xié)議棧，并具有適當?shù)募用?解密入口點和可選的IPSec及IKE安全協(xié)議模塊。當采用“預共享”密碼實現(xiàn)方案時，嵌入式TCP/Ipv4協(xié)議棧、IPSec和IPSec密碼庫的內存占用量小于100K字節(jié)。由于編碼是模塊化的，很容易集成到便攜式硬件、加/解密硬件、或者密碼加速器和協(xié)處理器中。圖1為使用SoC安全加速的模塊化IPSec結構。
TLS/SSL
HTTPS是一種加密版本的HTTP協(xié)議。HTTPS不是使用普通文本的套接字(socket)通信方式，而是使用Netscape的SSL(安全套接層協(xié)議)或者TLS(傳輸層安全協(xié)議，它是SSL的IETF標準的后續(xù)版本)加密傳輸數(shù)據(jù)。大多數(shù)知名的Web瀏覽器都支持SSL。SSL協(xié)議駐留在傳輸層，能有效的插入在Web服務器/瀏覽器和TCP/IP之間，因此它還具有潛在的保護其它的TCP服務比如FTP、SNMP和Telnet的能力。
如圖2所示，TLS/SSL提供了一個可選的、基于web的遠程訪問安全解決方案。在網(wǎng)絡上使用TLS/SSL連接到設備的用戶，當他們使用IPSec協(xié)議時，實際上他們本身不是一個網(wǎng)絡節(jié)點(在設備的安全域內)，而是通過代理訪問設備資源。通過消除對設備核心資源的直接網(wǎng)絡層連接，從而提供了另一層的風險/威脅包容策略。這種基于web的訪問仲裁也允許粒度訪問和資源控制。對于隨機的或輕量級的遠程訪問需求的應用，SSL是一種非常有效的的方法。

結語
低成本嵌入式SoC設計和嵌入式網(wǎng)絡安全軟件解決方案現(xiàn)在能夠使可擴展的安全功能成為可能，它可以嵌入在幾乎任何類型的設備中。這些新的選擇極大地提高了網(wǎng)絡安全性，擴大了設備的可管理能力，并且增加了一些在現(xiàn)有的系統(tǒng)中很難或不可能實現(xiàn)的新功能?！?nbsp; (于永學譯自IQ)