基于IPSec的嵌入式網(wǎng)絡(luò)安全應(yīng)用研究

4.2 結(jié)果分析

　　(1) 系統(tǒng)的可擴(kuò)展性能：

　　測(cè)試的參數(shù)是吞吐量和平均延遲時(shí)間。實(shí)驗(yàn)?zāi)康氖菧y(cè)試在機(jī)器臺(tái)數(shù)增加時(shí)系統(tǒng)的可擴(kuò)展性能。實(shí)驗(yàn)的數(shù)據(jù)結(jié)果如圖5-1和5-2所示。

　　實(shí)驗(yàn)結(jié)果證明該方案具有良好的可擴(kuò)展性。性能提升的主要原因歸于系統(tǒng)采用了基于IPSec的架構(gòu)，并且對(duì)安全策略庫進(jìn)行了優(yōu)化，因?yàn)镾PD和SADB庫的查詢效率是影響本系統(tǒng)性能的一個(gè)重要因素。特別是像家庭網(wǎng)關(guān)這樣的設(shè)備中，實(shí)現(xiàn)安全機(jī)制的網(wǎng)關(guān)要為多個(gè)嵌人式設(shè)備提供轉(zhuǎn)發(fā)IP分組，對(duì)于每個(gè)分組都要在SPD庫查找相應(yīng)的SA,因此可能成為整個(gè)因素的瓶頸。為了解決這個(gè)問題，首先必須考慮到數(shù)據(jù)庫的存儲(chǔ)結(jié)構(gòu)。采用安全策略庫和Cache表來解決。

　　(2) 系統(tǒng)的安全性能：

　　加密的網(wǎng)絡(luò)信息保證了信息內(nèi)容的機(jī)密性。大多數(shù)加密方一法也需要授權(quán)和數(shù)據(jù)完整的服務(wù)。加密技術(shù)可以分成二個(gè)大類:消息摘要、對(duì)稱密鑰密碼系統(tǒng)和不對(duì)稱公開密鑰密碼系統(tǒng)。特別我們的密碼經(jīng)過MD5算法加密以后，保證了它的安全性。

　　MD5的設(shè)計(jì)是面向32比特字的，MD5計(jì)算出的信息摘錄長度為128比特，用4個(gè)字表示，分別記為d0，d1，d2，d3，在計(jì)算開始時(shí)被分別初始化為常數(shù)：

　　d0 =01234567H，d1 =89abcdefH，d2 =fedcba98H，d3=76543210H

　　輸入的信息被分成512比特的等長塊，逐塊處理。每塊包含16個(gè)字，分別記為m0，m1，，m15。每塊的處理分四遍掃描，對(duì)每一遍掃描中的每一個(gè)字都使用不同的常數(shù)，共64個(gè)，用T1，T2，，T64來表示，其中：Ti=[232 | sin ( i ) | ]。輸入的信息應(yīng)是512比特的倍數(shù)，其填充方式，填充位的第一個(gè)比特為1，隨后的填充位都為0;即使原來的信息已是512比特的倍數(shù)，也要進(jìn)行填充。所以填充位的最小長度為1比特，最大長度為512比特。

　　實(shí)驗(yàn)證明運(yùn)行基于IPSec和SSL協(xié)議的嵌入式系統(tǒng)具有良好的可擴(kuò)展性和安全性能。

　　4 結(jié)束語

　　基于網(wǎng)絡(luò)的嵌入式系統(tǒng)安全性是當(dāng)今一大研究熱點(diǎn)，對(duì)該領(lǐng)域的研究既具有很強(qiáng)的理論意義又具備很高的現(xiàn)實(shí)意義。嵌入式系統(tǒng)只有在對(duì)安全性協(xié)議提供很好支持的情況下，才能真正發(fā)揮其巨大價(jià)值，才能對(duì)大型高可靠性服務(wù)提供全面支持。