嵌入式設(shè)備網(wǎng)絡(luò)安全的實際解決方案

電子設(shè)計應用2004年第9期

嵌入式設(shè)備在很多應用場合正在和因特網(wǎng)相連接，比如蜂窩電話、機頂盒、無線接入點、醫(yī)療設(shè)備和公共信息電話亭。當這些能夠上網(wǎng)的設(shè)備與因特網(wǎng)連接，但是沒有足夠的安全考慮時，他們將很容易受到攻擊，這些攻擊包括無意的訪問和惡意攻擊。如果沒有一些相應安全措施，這些攻擊可能會使設(shè)備的功能、操作以及包含的信息遭受破壞。
安全風險評估和使用現(xiàn)有可用的COTS嵌入式網(wǎng)絡(luò)安全技術(shù)是實現(xiàn)適當?shù)脑L問控制機制和安全策略的有效工具。因為在系統(tǒng)開發(fā)中安全目標影響關(guān)鍵的早期決策，在實際的資源被提交進行開發(fā)之前，在系統(tǒng)結(jié)構(gòu)級分析網(wǎng)絡(luò)安全的目標對于降低成本和提高效率是非常重要的。對于任何能夠接入因特網(wǎng)的嵌入式設(shè)備，安全方面的考慮應當是設(shè)計中強制要做的一部分。在這方面，強制并不意味著對每一種新的嵌入式設(shè)計都需要安全功能，只是針對那些把安全措施和補救方法考慮作為設(shè)計和開發(fā)過程一部分的設(shè)備。
本文探索了在系統(tǒng)開發(fā)過程中重要的安全策略，包括進行嵌入式安全評估和設(shè)計的框架，定義了一些網(wǎng)絡(luò)安全概念，并提供了一些嵌入式設(shè)備安全方面的建議。

圖1  使用SoC安全加速的模塊化IPSec結(jié)構(gòu)

圖2  嵌入式SSL 客戶端/服務(wù)器實現(xiàn)方案

因特網(wǎng)和設(shè)備安全基本原理
一種設(shè)備安全的方法要綜合考慮物理層、平臺層以及密碼安全三個方面。在最基本的層次上，設(shè)備安全的目標是要保證工作的可信度。并且，與網(wǎng)絡(luò)相連的設(shè)備應當被看作是包含用戶、資源和系統(tǒng)的安全領(lǐng)域內(nèi)的一部分，如果這些設(shè)備受到安全威脅或它的功能遭到破壞，其它設(shè)備可能會受到直接或間接的影響。如果一個設(shè)備對它的域用戶來說是可信的，它有可能變成一個用來危及系統(tǒng)其它部分安全的特洛伊木馬。安全系統(tǒng)依賴于某種形式的用戶和服務(wù)信任的概念，針對不同的風險視圖和減少風險的策略存在不同形式的信任關(guān)系。可以建立的信任有：使用一個安全策略和域?qū)Φ汝P(guān)系；通過傳統(tǒng)的授權(quán)方法；通過交換公開或私有密鑰；通過由第三方權(quán)威機構(gòu)發(fā)布的授權(quán)。
根據(jù)規(guī)定的設(shè)計功能，設(shè)備可以響應和提供信任和不信任關(guān)系的服務(wù)。
因特網(wǎng)安全服務(wù)
網(wǎng)絡(luò)安全可以理解為是一組服務(wù)和功能的集合。這些服務(wù)和功能由不同的機制、以不同的組合、通過權(quán)衡選擇安全協(xié)議和實踐來實現(xiàn)。三個基本的網(wǎng)絡(luò)安全服務(wù)是：
數(shù)據(jù)加密、內(nèi)容完整性、授權(quán)。其它安全功能包括“無丟棄”和保護防止IP欺騙和重演的功能。這些安全服務(wù)用來建立與特定用戶、設(shè)備和處理之間的信任關(guān)系，并且授權(quán)客戶端完成一些操作，比如升級配置、使用FTP或Telnet、瀏覽日志和其它的存儲信息。不同的用戶可能需要不同級別的授權(quán)，并且代表了不同的特權(quán)。
對于即定的嵌入式應用使用哪一種安全服務(wù)是合適的依賴于它的功能、期望的使用和潛在安全風險的評估。

嵌入式設(shè)備的安全設(shè)計
嵌入式設(shè)備風險評估如表1所示。包括因特網(wǎng)應用在內(nèi)的任何可以選擇通過網(wǎng)絡(luò)進行管理和配置的嵌入式應用都可以被開發(fā)和折中考慮。對于企業(yè)，NIST已經(jīng)建立了5個方面的措施，用來減少和管理網(wǎng)絡(luò)安全的脆弱性。
?通過制定安全的配置加固和保護系統(tǒng)；
?通過準備檢測和響應方法應對侵擾；
?快速侵擾檢測；
?對侵擾做出響應，把損害減少至最??；
?提高系統(tǒng)的安全性，幫助應對將來的攻擊。
如果你正在設(shè)計一個防火墻路由器或嵌入式網(wǎng)絡(luò)安全框架結(jié)構(gòu)，你的設(shè)計可能已經(jīng)涉及到很多這方面的實踐。但是，在很多嵌入式設(shè)計中，安全方面的設(shè)計集中在如何強化和保護設(shè)備以及將損失降低到最小。
典型的功能性需求包括提供一套由嵌入式應用定義的服務(wù)的能力。設(shè)備的功能可以包括標準的網(wǎng)絡(luò)服務(wù)，例如網(wǎng)絡(luò)服務(wù)器、E-mail客戶端或FTP接入，以及接收和處理用戶信息并進行授權(quán)和訪問控制的能力，在他們內(nèi)部隱含著一些類型的數(shù)據(jù)存儲和文件系統(tǒng)。另外，設(shè)計中可能還包括通過串行接口、本地網(wǎng)絡(luò)接口、或者通過超越局域網(wǎng)安全范圍的遠程接口管理設(shè)備接收和安裝最新軟件。
遠程訪問方法
沒有一個單一的網(wǎng)絡(luò)安全技術(shù)能夠通用地適合作為針對遠端設(shè)備訪問所有方面的解決方案。最佳的解決方法是根據(jù)設(shè)備的風險視圖、設(shè)備的需求和設(shè)計情況采用一些最適合的技術(shù)。
提供的網(wǎng)絡(luò)安全服務(wù)和協(xié)議構(gòu)成了實現(xiàn)安全因特網(wǎng)設(shè)備達到或超過期望風險視圖要求的資源工具箱。簡要看一下一些最流行的密碼和網(wǎng)絡(luò)安全標準。
加密和解密算法
如以上討論的，加密的網(wǎng)絡(luò)信息保證了信息內(nèi)容的機密性。大多數(shù)加密方法也需要授權(quán)和數(shù)據(jù)完整性服務(wù)。加密技術(shù)可以分成三個大類：消息摘要、對稱(密鑰)密碼系統(tǒng)和不對稱(公開密鑰)密碼系統(tǒng)。
基于IP的虛擬專用網(wǎng)
VPN是一個虛擬專用網(wǎng)，它允許兩個或更多的網(wǎng)絡(luò)設(shè)備跨越一個不安全的網(wǎng)絡(luò)進行安全通信。
在一個基于IPSec實現(xiàn)的VPN中，一個遠端用戶能夠無縫的、透明的和高安全性的訪問遠端設(shè)備上的任何服務(wù)和文件。設(shè)備配置和文件管理工具Telnet和FTP，以及web服務(wù)都可以集成到這個安全框架內(nèi)。IP VPN允許建立雙向任意的、無限制的網(wǎng)絡(luò)層連接，并允許任意的IP網(wǎng)絡(luò)操作。把IPSec加入到嵌入式設(shè)計中需要一個嵌入式的TCP/IP協(xié)議棧，并具有適當?shù)募用?解密入口點和可選的IPSec及IKE安全協(xié)議模塊。當采用“預共享”密碼實現(xiàn)方案時，嵌入式TCP/Ipv4協(xié)議棧、IPSec和IPSec密碼庫的內(nèi)存占用量小于100K字節(jié)。由于編碼是模塊化的，很容易集成到便攜式硬件、加/解密硬件、或者密碼加速器和協(xié)處理器中。圖1為使用SoC安全加速的模塊化IPSec結(jié)構(gòu)。
TLS/SSL
HTTPS是一種加密版本的HTTP協(xié)議。HTTPS不是使用普通文本的套接字(socket)通信方式，而是使用Netscape的SSL(安全套接層協(xié)議)或者TLS(傳輸層安全協(xié)議，它是SSL的IETF標準的后續(xù)版本)加密傳輸數(shù)據(jù)。大多數(shù)知名的Web瀏覽器都支持SSL。SSL協(xié)議駐留在傳輸層，能有效的插入在Web服務(wù)器/瀏覽器和TCP/IP之間，因此它還具有潛在的保護其它的TCP服務(wù)比如FTP、SNMP和Telnet的能力。
如圖2所示，TLS/SSL提供了一個可選的、基于web的遠程訪問安全解決方案。在網(wǎng)絡(luò)上使用TLS/SSL連接到設(shè)備的用戶，當他們使用IPSec協(xié)議時，實際上他們本身不是一個網(wǎng)絡(luò)節(jié)點(在設(shè)備的安全域內(nèi))，而是通過代理訪問設(shè)備資源。通過消除對設(shè)備核心資源的直接網(wǎng)絡(luò)層連接，從而提供了另一層的風險/威脅包容策略。這種基于web的訪問仲裁也允許粒度訪問和資源控制。對于隨機的或輕量級的遠程訪問需求的應用，SSL是一種非常有效的的方法。

結(jié)語
低成本嵌入式SoC設(shè)計和嵌入式網(wǎng)絡(luò)安全軟件解決方案現(xiàn)在能夠使可擴展的安全功能成為可能，它可以嵌入在幾乎任何類型的設(shè)備中。這些新的選擇極大地提高了網(wǎng)絡(luò)安全性，擴大了設(shè)備的可管理能力，并且增加了一些在現(xiàn)有的系統(tǒng)中很難或不可能實現(xiàn)的新功能。■  (于永學譯自IQ)