<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          關(guān) 閉

          新聞中心

          EEPW首頁(yè) > 安全與國(guó)防 > 設(shè)計(jì)應(yīng)用 > 嵌入式設(shè)備網(wǎng)絡(luò)安全的實(shí)際解決方案

          嵌入式設(shè)備網(wǎng)絡(luò)安全的實(shí)際解決方案

          作者:InterNiche公司 Brian Ramsey 時(shí)間:2004-10-18 來(lái)源:電子設(shè)計(jì)應(yīng)用2004年第9期 收藏

          電子設(shè)計(jì)應(yīng)用2004年第9期

          本文引用地址:http://www.ex-cimer.com/article/3498.htm

          設(shè)備在很多應(yīng)用場(chǎng)合正在和因特網(wǎng)相連接,比如蜂窩電話、機(jī)頂盒、無(wú)線接入點(diǎn)、醫(yī)療設(shè)備和公共信息電話亭。當(dāng)這些能夠上網(wǎng)的設(shè)備與因特網(wǎng)連接,但是沒(méi)有足夠的安全考慮時(shí),他們將很容易受到攻擊,這些攻擊包括無(wú)意的訪問(wèn)和惡意攻擊。如果沒(méi)有一些相應(yīng)安全措施,這些攻擊可能會(huì)使設(shè)備的功能、操作以及包含的信息遭受破壞。
          安全風(fēng)險(xiǎn)評(píng)估和使用現(xiàn)有可用的COTS網(wǎng)絡(luò)安全技術(shù)是實(shí)現(xiàn)適當(dāng)?shù)脑L問(wèn)控制機(jī)制和安全策略的有效工具。因?yàn)樵谙到y(tǒng)開(kāi)發(fā)中安全目標(biāo)影響關(guān)鍵的早期決策,在實(shí)際的資源被提交進(jìn)行開(kāi)發(fā)之前,在系統(tǒng)結(jié)構(gòu)級(jí)分析網(wǎng)絡(luò)安全的目標(biāo)對(duì)于降低成本和提高效率是非常重要的。對(duì)于任何能夠接入因特網(wǎng)的設(shè)備,安全方面的考慮應(yīng)當(dāng)是設(shè)計(jì)中強(qiáng)制要做的一部分。在這方面,強(qiáng)制并不意味著對(duì)每一種新的嵌入式設(shè)計(jì)都需要安全功能,只是針對(duì)那些把安全措施和補(bǔ)救方法考慮作為設(shè)計(jì)和開(kāi)發(fā)過(guò)程一部分的設(shè)備。
          本文探索了在系統(tǒng)開(kāi)發(fā)過(guò)程中重要的安全策略,包括進(jìn)行嵌入式安全評(píng)估和設(shè)計(jì)的框架,定義了一些網(wǎng)絡(luò)安全概念,并提供了一些嵌入式設(shè)備安全方面的建議。

          圖1  使用SoC安全加速的模塊化IPSec結(jié)構(gòu)

          圖2  嵌入式SSL 客戶端/服務(wù)器實(shí)現(xiàn)方案

          因特網(wǎng)和設(shè)備安全基本原理
          一種設(shè)備安全的方法要綜合考慮物理層、平臺(tái)層以及密碼安全三個(gè)方面。在最基本的層次上,設(shè)備安全的目標(biāo)是要保證工作的可信度。并且,與網(wǎng)絡(luò)相連的設(shè)備應(yīng)當(dāng)被看作是包含用戶、資源和系統(tǒng)的安全領(lǐng)域內(nèi)的一部分,如果這些設(shè)備受到安全威脅或它的功能遭到破壞,其它設(shè)備可能會(huì)受到直接或間接的影響。如果一個(gè)設(shè)備對(duì)它的域用戶來(lái)說(shuō)是可信的,它有可能變成一個(gè)用來(lái)危及系統(tǒng)其它部分安全的特洛伊木馬。安全系統(tǒng)依賴于某種形式的用戶和服務(wù)信任的概念,針對(duì)不同的風(fēng)險(xiǎn)視圖和減少風(fēng)險(xiǎn)的策略存在不同形式的信任關(guān)系??梢越⒌男湃斡校菏褂靡粋€(gè)安全策略和域?qū)Φ汝P(guān)系;通過(guò)傳統(tǒng)的授權(quán)方法;通過(guò)交換公開(kāi)或私有密鑰;通過(guò)由第三方權(quán)威機(jī)構(gòu)發(fā)布的授權(quán)。
          根據(jù)規(guī)定的設(shè)計(jì)功能,設(shè)備可以響應(yīng)和提供信任和不信任關(guān)系的服務(wù)。
          因特網(wǎng)安全服務(wù)
          網(wǎng)絡(luò)安全可以理解為是一組服務(wù)和功能的集合。這些服務(wù)和功能由不同的機(jī)制、以不同的組合、通過(guò)權(quán)衡選擇安全協(xié)議和實(shí)踐來(lái)實(shí)現(xiàn)。三個(gè)基本的網(wǎng)絡(luò)安全服務(wù)是:
          數(shù)據(jù)加密、內(nèi)容完整性、授權(quán)。其它安全功能包括“無(wú)丟棄”和保護(hù)防止IP欺騙和重演的功能。這些安全服務(wù)用來(lái)建立與特定用戶、設(shè)備和處理之間的信任關(guān)系,并且授權(quán)客戶端完成一些操作,比如升級(jí)配置、使用FTP或Telnet、瀏覽日志和其它的存儲(chǔ)信息。不同的用戶可能需要不同級(jí)別的授權(quán),并且代表了不同的特權(quán)。
          對(duì)于即定的嵌入式應(yīng)用使用哪一種安全服務(wù)是合適的依賴于它的功能、期望的使用和潛在安全風(fēng)險(xiǎn)的評(píng)估。

          嵌入式設(shè)備的安全設(shè)計(jì)
          嵌入式設(shè)備風(fēng)險(xiǎn)評(píng)估如表1所示。包括因特網(wǎng)應(yīng)用在內(nèi)的任何可以選擇通過(guò)網(wǎng)絡(luò)進(jìn)行管理和配置的嵌入式應(yīng)用都可以被開(kāi)發(fā)和折中考慮。對(duì)于企業(yè),NIST已經(jīng)建立了5個(gè)方面的措施,用來(lái)減少和管理網(wǎng)絡(luò)安全的脆弱性。
          ?通過(guò)制定安全的配置加固和保護(hù)系統(tǒng);
          ?通過(guò)準(zhǔn)備檢測(cè)和響應(yīng)方法應(yīng)對(duì)侵?jǐn)_;
          ?快速侵?jǐn)_檢測(cè);
          ?對(duì)侵?jǐn)_做出響應(yīng),把損害減少至最?。?br/>?提高系統(tǒng)的安全性,幫助應(yīng)對(duì)將來(lái)的攻擊。
          如果你正在設(shè)計(jì)一個(gè)防火墻路由器或嵌入式網(wǎng)絡(luò)安全框架結(jié)構(gòu),你的設(shè)計(jì)可能已經(jīng)涉及到很多這方面的實(shí)踐。但是,在很多嵌入式設(shè)計(jì)中,安全方面的設(shè)計(jì)集中在如何強(qiáng)化和保護(hù)設(shè)備以及將損失降低到最小。
          典型的功能性需求包括提供一套由嵌入式應(yīng)用定義的服務(wù)的能力。設(shè)備的功能可以包括標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù),例如網(wǎng)絡(luò)服務(wù)器、E-mail客戶端或FTP接入,以及接收和處理用戶信息并進(jìn)行授權(quán)和訪問(wèn)控制的能力,在他們內(nèi)部隱含著一些類型的數(shù)據(jù)存儲(chǔ)和文件系統(tǒng)。另外,設(shè)計(jì)中可能還包括通過(guò)串行接口、本地網(wǎng)絡(luò)接口、或者通過(guò)超越局域網(wǎng)安全范圍的遠(yuǎn)程接口管理設(shè)備接收和安裝最新軟件。
          遠(yuǎn)程訪問(wèn)方法
          沒(méi)有一個(gè)單一的網(wǎng)絡(luò)安全技術(shù)能夠通用地適合作為針對(duì)遠(yuǎn)端設(shè)備訪問(wèn)所有方面的解決方案。最佳的解決方法是根據(jù)設(shè)備的風(fēng)險(xiǎn)視圖、設(shè)備的需求和設(shè)計(jì)情況采用一些最適合的技術(shù)。
          提供的網(wǎng)絡(luò)安全服務(wù)和協(xié)議構(gòu)成了實(shí)現(xiàn)安全因特網(wǎng)設(shè)備達(dá)到或超過(guò)期望風(fēng)險(xiǎn)視圖要求的資源工具箱。簡(jiǎn)要看一下一些最流行的密碼和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
          加密和解密算法
          如以上討論的,加密的網(wǎng)絡(luò)信息保證了信息內(nèi)容的機(jī)密性。大多數(shù)加密方法也需要授權(quán)和數(shù)據(jù)完整性服務(wù)。加密技術(shù)可以分成三個(gè)大類:消息摘要、對(duì)稱(密鑰)密碼系統(tǒng)和不對(duì)稱(公開(kāi)密鑰)密碼系統(tǒng)。
          基于IP的虛擬專用網(wǎng)
          VPN是一個(gè)虛擬專用網(wǎng),它允許兩個(gè)或更多的網(wǎng)絡(luò)設(shè)備跨越一個(gè)不安全的網(wǎng)絡(luò)進(jìn)行安全通信。
          在一個(gè)基于IPSec實(shí)現(xiàn)的VPN中,一個(gè)遠(yuǎn)端用戶能夠無(wú)縫的、透明的和高安全性的訪問(wèn)遠(yuǎn)端設(shè)備上的任何服務(wù)和文件。設(shè)備配置和文件管理工具Telnet和FTP,以及web服務(wù)都可以集成到這個(gè)安全框架內(nèi)。IP VPN允許建立雙向任意的、無(wú)限制的網(wǎng)絡(luò)層連接,并允許任意的IP網(wǎng)絡(luò)操作。把IPSec加入到嵌入式設(shè)計(jì)中需要一個(gè)嵌入式的TCP/IP協(xié)議棧,并具有適當(dāng)?shù)募用?解密入口點(diǎn)和可選的IPSec及IKE安全協(xié)議模塊。當(dāng)采用“預(yù)共享”密碼實(shí)現(xiàn)方案時(shí),嵌入式TCP/Ipv4協(xié)議棧、IPSec和IPSec密碼庫(kù)的內(nèi)存占用量小于100K字節(jié)。由于編碼是模塊化的,很容易集成到便攜式硬件、加/解密硬件、或者密碼加速器和協(xié)處理器中。圖1為使用SoC安全加速的模塊化IPSec結(jié)構(gòu)。
          TLS/SSL
          HTTPS是一種加密版本的HTTP協(xié)議。HTTPS不是使用普通文本的套接字(socket)通信方式,而是使用Netscape的SSL(安全套接層協(xié)議)或者TLS(傳輸層安全協(xié)議,它是SSL的IETF標(biāo)準(zhǔn)的后續(xù)版本)加密傳輸數(shù)據(jù)。大多數(shù)知名的Web瀏覽器都支持SSL。SSL協(xié)議駐留在傳輸層,能有效的插入在Web服務(wù)器/瀏覽器和TCP/IP之間,因此它還具有潛在的保護(hù)其它的TCP服務(wù)比如FTP、SNMP和Telnet的能力。
          如圖2所示,TLS/SSL提供了一個(gè)可選的、基于web的遠(yuǎn)程訪問(wèn)安全解決方案。在網(wǎng)絡(luò)上使用TLS/SSL連接到設(shè)備的用戶,當(dāng)他們使用IPSec協(xié)議時(shí),實(shí)際上他們本身不是一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)(在設(shè)備的安全域內(nèi)),而是通過(guò)代理訪問(wèn)設(shè)備資源。通過(guò)消除對(duì)設(shè)備核心資源的直接網(wǎng)絡(luò)層連接,從而提供了另一層的風(fēng)險(xiǎn)/威脅包容策略。這種基于web的訪問(wèn)仲裁也允許粒度訪問(wèn)和資源控制。對(duì)于隨機(jī)的或輕量級(jí)的遠(yuǎn)程訪問(wèn)需求的應(yīng)用,SSL是一種非常有效的的方法。

          結(jié)語(yǔ)
          低成本嵌入式SoC設(shè)計(jì)和嵌入式網(wǎng)絡(luò)安全軟件解決方案現(xiàn)在能夠使可擴(kuò)展的安全功能成為可能,它可以嵌入在幾乎任何類型的設(shè)備中。這些新的選擇極大地提高了網(wǎng)絡(luò)安全性,擴(kuò)大了設(shè)備的可管理能力,并且增加了一些在現(xiàn)有的系統(tǒng)中很難或不可能實(shí)現(xiàn)的新功能?!?nbsp; (于永學(xué)譯自IQ)



          關(guān)鍵詞: 嵌入式

          評(píng)論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();