基于網(wǎng)絡(luò)的嵌入式系統(tǒng)安全性研究

4.2 結(jié)果分析

　　(1) 系統(tǒng)的可擴展性能：

　　測試的參數(shù)是吞吐量和平均延遲時間。實驗?zāi)康氖菧y試在機器臺數(shù)增加時系統(tǒng)的可擴展性能。實驗的數(shù)據(jù)結(jié)果如圖5-1和5-2所示。

　　實驗結(jié)果證明該方案具有良好的可擴展性。性能提升的主要原因歸于系統(tǒng)采用了基于IPSec的架構(gòu)，并且對安全策略庫進行了優(yōu)化，因為SPD和SADB庫的查詢效率是影響本系統(tǒng)性能的一個重要因素。特別是像家庭網(wǎng)關(guān)這樣的設(shè)備中，實現(xiàn)安全機制的網(wǎng)關(guān)要為多個嵌人式設(shè)備提供轉(zhuǎn)發(fā)IP分組，對于每個分組都要在SPD庫查找相應(yīng)的SA,因此可能成為整個因素的瓶頸。為了解決這個問題，首先必須考慮到數(shù)據(jù)庫的存儲結(jié)構(gòu)。采用安全策略庫和Cache表來解決。

　　(2) 系統(tǒng)的安全性能：

　　加密的網(wǎng)絡(luò)信息保證了信息內(nèi)容的機密性。大多數(shù)加密方一法也需要授權(quán)和數(shù)據(jù)完整的服務(wù)。加密技術(shù)可以分成二個大類:消息摘要、對稱密鑰密碼系統(tǒng)和不對稱公開密鑰密碼系統(tǒng)。特別我們的密碼經(jīng)過MD5算法加密以后，保證了它的安全性。

　　MD5的設(shè)計是面向32比特字的，MD5計算出的信息摘錄長度為128比特，用4個字表示，分別記為d0，d1，d2，d3，在計算開始時被分別初始化為常數(shù)：

　　d0 =01234567H，d1 =89abcdefH，d2 =fedcba98H，d3=76543210H

　　輸入的信息被分成512比特的等長塊，逐塊處理。每塊包含16個字，分別記為m0，m1，，m15。每塊的處理分四遍掃描，對每一遍掃描中的每一個字都使用不同的常數(shù)，共64個，用T1，T2，，T64來表示，其中：Ti=[232 | sin ( i ) | ]。輸入的信息應(yīng)是512比特的倍數(shù)，其填充方式，填充位的第一個比特為1，隨后的填充位都為0;即使原來的信息已是512比特的倍數(shù)，也要進行填充。所以填充位的最小長度為1比特，最大長度為512比特。

　　實驗證明運行基于IPSec和SSL協(xié)議的嵌入式系統(tǒng)具有良好的可擴展性和安全性能。

　　4 結(jié)束語

　　基于網(wǎng)絡(luò)的嵌入式系統(tǒng)安全性是當(dāng)今一大研究熱點，對該領(lǐng)域的研究既具有很強的理論意義又具備很高的現(xiàn)實意義。嵌入式系統(tǒng)只有在對安全性協(xié)議提供很好支持的情況下，才能真正發(fā)揮其巨大價值，才能對大型高可靠性服務(wù)提供全面支持。