嵌入式設(shè)備網(wǎng)絡(luò)安全的實(shí)際解決方案

電子設(shè)計(jì)應(yīng)用2004年第9期

嵌入式設(shè)備在很多應(yīng)用場(chǎng)合正在和因特網(wǎng)相連接，比如蜂窩電話、機(jī)頂盒、無(wú)線接入點(diǎn)、醫(yī)療設(shè)備和公共信息電話亭。當(dāng)這些能夠上網(wǎng)的設(shè)備與因特網(wǎng)連接，但是沒(méi)有足夠的安全考慮時(shí)，他們將很容易受到攻擊，這些攻擊包括無(wú)意的訪問(wèn)和惡意攻擊。如果沒(méi)有一些相應(yīng)安全措施，這些攻擊可能會(huì)使設(shè)備的功能、操作以及包含的信息遭受破壞。
安全風(fēng)險(xiǎn)評(píng)估和使用現(xiàn)有可用的COTS嵌入式網(wǎng)絡(luò)安全技術(shù)是實(shí)現(xiàn)適當(dāng)?shù)脑L問(wèn)控制機(jī)制和安全策略的有效工具。因?yàn)樵谙到y(tǒng)開(kāi)發(fā)中安全目標(biāo)影響關(guān)鍵的早期決策，在實(shí)際的資源被提交進(jìn)行開(kāi)發(fā)之前，在系統(tǒng)結(jié)構(gòu)級(jí)分析網(wǎng)絡(luò)安全的目標(biāo)對(duì)于降低成本和提高效率是非常重要的。對(duì)于任何能夠接入因特網(wǎng)的嵌入式設(shè)備，安全方面的考慮應(yīng)當(dāng)是設(shè)計(jì)中強(qiáng)制要做的一部分。在這方面，強(qiáng)制并不意味著對(duì)每一種新的嵌入式設(shè)計(jì)都需要安全功能，只是針對(duì)那些把安全措施和補(bǔ)救方法考慮作為設(shè)計(jì)和開(kāi)發(fā)過(guò)程一部分的設(shè)備。
本文探索了在系統(tǒng)開(kāi)發(fā)過(guò)程中重要的安全策略，包括進(jìn)行嵌入式安全評(píng)估和設(shè)計(jì)的框架，定義了一些網(wǎng)絡(luò)安全概念，并提供了一些嵌入式設(shè)備安全方面的建議。

圖1  使用SoC安全加速的模塊化IPSec結(jié)構(gòu)

圖2  嵌入式SSL 客戶端/服務(wù)器實(shí)現(xiàn)方案

因特網(wǎng)和設(shè)備安全基本原理
一種設(shè)備安全的方法要綜合考慮物理層、平臺(tái)層以及密碼安全三個(gè)方面。在最基本的層次上，設(shè)備安全的目標(biāo)是要保證工作的可信度。并且，與網(wǎng)絡(luò)相連的設(shè)備應(yīng)當(dāng)被看作是包含用戶、資源和系統(tǒng)的安全領(lǐng)域內(nèi)的一部分，如果這些設(shè)備受到安全威脅或它的功能遭到破壞，其它設(shè)備可能會(huì)受到直接或間接的影響。如果一個(gè)設(shè)備對(duì)它的域用戶來(lái)說(shuō)是可信的，它有可能變成一個(gè)用來(lái)危及系統(tǒng)其它部分安全的特洛伊木馬。安全系統(tǒng)依賴于某種形式的用戶和服務(wù)信任的概念，針對(duì)不同的風(fēng)險(xiǎn)視圖和減少風(fēng)險(xiǎn)的策略存在不同形式的信任關(guān)系。可以建立的信任有：使用一個(gè)安全策略和域?qū)Φ汝P(guān)系；通過(guò)傳統(tǒng)的授權(quán)方法；通過(guò)交換公開(kāi)或私有密鑰；通過(guò)由第三方權(quán)威機(jī)構(gòu)發(fā)布的授權(quán)。
根據(jù)規(guī)定的設(shè)計(jì)功能，設(shè)備可以響應(yīng)和提供信任和不信任關(guān)系的服務(wù)。
因特網(wǎng)安全服務(wù)
網(wǎng)絡(luò)安全可以理解為是一組服務(wù)和功能的集合。這些服務(wù)和功能由不同的機(jī)制、以不同的組合、通過(guò)權(quán)衡選擇安全協(xié)議和實(shí)踐來(lái)實(shí)現(xiàn)。三個(gè)基本的網(wǎng)絡(luò)安全服務(wù)是：
數(shù)據(jù)加密、內(nèi)容完整性、授權(quán)。其它安全功能包括“無(wú)丟棄”和保護(hù)防止IP欺騙和重演的功能。這些安全服務(wù)用來(lái)建立與特定用戶、設(shè)備和處理之間的信任關(guān)系，并且授權(quán)客戶端完成一些操作，比如升級(jí)配置、使用FTP或Telnet、瀏覽日志和其它的存儲(chǔ)信息。不同的用戶可能需要不同級(jí)別的授權(quán)，并且代表了不同的特權(quán)。
對(duì)于即定的嵌入式應(yīng)用使用哪一種安全服務(wù)是合適的依賴于它的功能、期望的使用和潛在安全風(fēng)險(xiǎn)的評(píng)估。

嵌入式設(shè)備的安全設(shè)計(jì)
嵌入式設(shè)備風(fēng)險(xiǎn)評(píng)估如表1所示。包括因特網(wǎng)應(yīng)用在內(nèi)的任何可以選擇通過(guò)網(wǎng)絡(luò)進(jìn)行管理和配置的嵌入式應(yīng)用都可以被開(kāi)發(fā)和折中考慮。對(duì)于企業(yè)，NIST已經(jīng)建立了5個(gè)方面的措施，用來(lái)減少和管理網(wǎng)絡(luò)安全的脆弱性。
?通過(guò)制定安全的配置加固和保護(hù)系統(tǒng)；
?通過(guò)準(zhǔn)備檢測(cè)和響應(yīng)方法應(yīng)對(duì)侵?jǐn)_；
?快速侵?jǐn)_檢測(cè)；
?對(duì)侵?jǐn)_做出響應(yīng)，把損害減少至最??；
?提高系統(tǒng)的安全性，幫助應(yīng)對(duì)將來(lái)的攻擊。
如果你正在設(shè)計(jì)一個(gè)防火墻路由器或嵌入式網(wǎng)絡(luò)安全框架結(jié)構(gòu)，你的設(shè)計(jì)可能已經(jīng)涉及到很多這方面的實(shí)踐。但是，在很多嵌入式設(shè)計(jì)中，安全方面的設(shè)計(jì)集中在如何強(qiáng)化和保護(hù)設(shè)備以及將損失降低到最小。
典型的功能性需求包括提供一套由嵌入式應(yīng)用定義的服務(wù)的能力。設(shè)備的功能可以包括標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)，例如網(wǎng)絡(luò)服務(wù)器、E-mail客戶端或FTP接入，以及接收和處理用戶信息并進(jìn)行授權(quán)和訪問(wèn)控制的能力，在他們內(nèi)部隱含著一些類型的數(shù)據(jù)存儲(chǔ)和文件系統(tǒng)。另外，設(shè)計(jì)中可能還包括通過(guò)串行接口、本地網(wǎng)絡(luò)接口、或者通過(guò)超越局域網(wǎng)安全范圍的遠(yuǎn)程接口管理設(shè)備接收和安裝最新軟件。
遠(yuǎn)程訪問(wèn)方法
沒(méi)有一個(gè)單一的網(wǎng)絡(luò)安全技術(shù)能夠通用地適合作為針對(duì)遠(yuǎn)端設(shè)備訪問(wèn)所有方面的解決方案。最佳的解決方法是根據(jù)設(shè)備的風(fēng)險(xiǎn)視圖、設(shè)備的需求和設(shè)計(jì)情況采用一些最適合的技術(shù)。
提供的網(wǎng)絡(luò)安全服務(wù)和協(xié)議構(gòu)成了實(shí)現(xiàn)安全因特網(wǎng)設(shè)備達(dá)到或超過(guò)期望風(fēng)險(xiǎn)視圖要求的資源工具箱。簡(jiǎn)要看一下一些最流行的密碼和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
加密和解密算法
如以上討論的，加密的網(wǎng)絡(luò)信息保證了信息內(nèi)容的機(jī)密性。大多數(shù)加密方法也需要授權(quán)和數(shù)據(jù)完整性服務(wù)。加密技術(shù)可以分成三個(gè)大類：消息摘要、對(duì)稱(密鑰)密碼系統(tǒng)和不對(duì)稱(公開(kāi)密鑰)密碼系統(tǒng)。
基于IP的虛擬專用網(wǎng)
VPN是一個(gè)虛擬專用網(wǎng)，它允許兩個(gè)或更多的網(wǎng)絡(luò)設(shè)備跨越一個(gè)不安全的網(wǎng)絡(luò)進(jìn)行安全通信。
在一個(gè)基于IPSec實(shí)現(xiàn)的VPN中，一個(gè)遠(yuǎn)端用戶能夠無(wú)縫的、透明的和高安全性的訪問(wèn)遠(yuǎn)端設(shè)備上的任何服務(wù)和文件。設(shè)備配置和文件管理工具Telnet和FTP，以及web服務(wù)都可以集成到這個(gè)安全框架內(nèi)。IP VPN允許建立雙向任意的、無(wú)限制的網(wǎng)絡(luò)層連接，并允許任意的IP網(wǎng)絡(luò)操作。把IPSec加入到嵌入式設(shè)計(jì)中需要一個(gè)嵌入式的TCP/IP協(xié)議棧，并具有適當(dāng)?shù)募用?解密入口點(diǎn)和可選的IPSec及IKE安全協(xié)議模塊。當(dāng)采用“預(yù)共享”密碼實(shí)現(xiàn)方案時(shí)，嵌入式TCP/Ipv4協(xié)議棧、IPSec和IPSec密碼庫(kù)的內(nèi)存占用量小于100K字節(jié)。由于編碼是模塊化的，很容易集成到便攜式硬件、加/解密硬件、或者密碼加速器和協(xié)處理器中。圖1為使用SoC安全加速的模塊化IPSec結(jié)構(gòu)。
TLS/SSL
HTTPS是一種加密版本的HTTP協(xié)議。HTTPS不是使用普通文本的套接字(socket)通信方式，而是使用Netscape的SSL(安全套接層協(xié)議)或者TLS(傳輸層安全協(xié)議，它是SSL的IETF標(biāo)準(zhǔn)的后續(xù)版本)加密傳輸數(shù)據(jù)。大多數(shù)知名的Web瀏覽器都支持SSL。SSL協(xié)議駐留在傳輸層，能有效的插入在Web服務(wù)器/瀏覽器和TCP/IP之間，因此它還具有潛在的保護(hù)其它的TCP服務(wù)比如FTP、SNMP和Telnet的能力。
如圖2所示，TLS/SSL提供了一個(gè)可選的、基于web的遠(yuǎn)程訪問(wèn)安全解決方案。在網(wǎng)絡(luò)上使用TLS/SSL連接到設(shè)備的用戶，當(dāng)他們使用IPSec協(xié)議時(shí)，實(shí)際上他們本身不是一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)(在設(shè)備的安全域內(nèi))，而是通過(guò)代理訪問(wèn)設(shè)備資源。通過(guò)消除對(duì)設(shè)備核心資源的直接網(wǎng)絡(luò)層連接，從而提供了另一層的風(fēng)險(xiǎn)/威脅包容策略。這種基于web的訪問(wèn)仲裁也允許粒度訪問(wèn)和資源控制。對(duì)于隨機(jī)的或輕量級(jí)的遠(yuǎn)程訪問(wèn)需求的應(yīng)用，SSL是一種非常有效的的方法。

結(jié)語(yǔ)
低成本嵌入式SoC設(shè)計(jì)和嵌入式網(wǎng)絡(luò)安全軟件解決方案現(xiàn)在能夠使可擴(kuò)展的安全功能成為可能，它可以嵌入在幾乎任何類型的設(shè)備中。這些新的選擇極大地提高了網(wǎng)絡(luò)安全性，擴(kuò)大了設(shè)備的可管理能力，并且增加了一些在現(xiàn)有的系統(tǒng)中很難或不可能實(shí)現(xiàn)的新功能?！?nbsp; (于永學(xué)譯自IQ)