淺談嵌入式網絡安全技術

0 引言

21世紀是一個信息技術高速發(fā)展的世紀，計算機技術和網絡技術徹底改變了人們的生活和生產方式，特別是嵌入式操作系統被廣泛應用于各個領域。但是由于計算機系統和網絡協議本身存在的問題導致計算機網絡的安全性成為限制計算機應用的主要問題，因此必須要采取各種措施提高計算機網絡安全性。隨著計算機技術的不斷發(fā)展，嵌入式操作系統在計算機系統中的應用越來越多，成為各種關鍵設備的主要控制系統。但是由于嵌入式操作系統本身存在的一些安全性問題，一旦這些設備被非法入侵，就會給企業(yè)和用戶個人帶來不可估量的損失。因此加強對嵌入式操作系統的安全性設計，成為擺在系統開發(fā)人員和系統維護人員面臨的主要問題。

1 嵌入式操作系統面臨的問題

對于嵌入式操作系統來說，其對計算機的存儲大小和性能都有比較嚴格的要求，且不能夠直接將原有系統中的安全機制復制到嵌入式系統中進行使用。下面我們就傳統計算機系統和嵌入式操作系統進行對比，介紹其嵌入式操作系統在安全方面所面臨的問題。

（1）資源，傳統計算機系統具有較強的適用性，其安全性不會受計算機本身性能因素的影響；但是對于嵌入式操作系統來說，它對計算機的內存空間以及運算速度都有了較高的要求。

（2）物理層安全性能，由于嵌入式操作系統具有較強的可移動性，設備物理層中的數據信息安全性較差，容易遭受來自外界的干擾和破壞，導致設備中存儲的信息出現大量泄漏現象。

（3）工作環(huán)境，對于嵌入式操作系統對環(huán)境具有較強的環(huán)境適應性，不受運行環(huán)境安全性的影響，哪怕是不信任或者不合理的環(huán)境都能夠正常進行工作。

2 嵌入式網絡面臨的安全問題

嵌入式操作系統的出現，使原來的TCP/IP協議受到了較大的威脅，使原有系統的網絡應用安全性難以得到保證。如嵌入式操作系統中采用了最新的IPV6協議，該協議中將IPsec作為必選項進行執(zhí)行，這就導致 IP協議和防火墻技術出現了沖突，為了確保計算機的正常數據傳輸，需要將防火墻技術禁用，給計算機的運行帶來了較大的安全隱患，具體體現在以下幾個方面：

（1）數據竊取

計算機聯網之后，一些不法分子通過遠程網絡主機或者網絡設備竊取網絡中傳輸的各種數據信息。特別是嵌入式操作系統中的TCP/IP協議在數據傳輸過程中采用了明文傳輸方案，導致數據信息在傳輸過程中被竊聽和篡改的幾率較大，影響了數據傳輸的準確性和安全性。

（2）假冒攻擊

這種類型的網絡問題主要表現在兩個方面，其中一個是不法分子冒充遠程主機向用戶發(fā)送相應的控制信息；另一種則是不法分子冒充客戶端向主機發(fā)送虛假信息。這是由TCP/IP本身的協議所決定的，由于遠程主機通過 IP地址鑒別用戶身份，沒有實現對用戶連接點的認證，因此造成各種攻擊現象的產生。

（3）重播攻擊

重播攻擊和假冒攻擊相似，分別是針對網絡設備和主機。不法分子通過對網絡運行過程中某個時刻中通信信息的截取，實現對網絡設備和主機的欺騙。

（4）病毒攻擊

該攻擊方式是向通過網絡向用戶電腦中植入病毒完成的，病毒在嵌入是操作系統中會一直進行自我復制，從而占用嵌入式系統的大部分資源，導致系統不能夠正常工作，甚至是癱瘓。特別是網絡技術應用之后，所有計算機通過網絡連接在一起，病毒通過垃圾郵件或其他方式通過網絡進行傳播，導致受影響計算機的范圍較大，造成的損失比較嚴重。

3 網絡安全技術和協議

為了確保計算機使用過程中的安全性，防止數據信息被竊取或者盜用，國內外專家和學者花費了較大的時間和精力進行網絡安全技術的開發(fā)，比較常見的有：

（1）加密

該技術是通過對網絡中進行傳輸的各種數據信息的加密處理，從而保障嵌入式操作系統中網絡傳輸的可靠性，按照其加密過程中采用的原則不同，分為對稱加密處理、不對稱加密處理以及不可逆加密三種。每種加密方式都有其自身的優(yōu)缺點，在使用過程中可以根據所要傳輸數據類型的不同選擇合適的加密算法。

（2）認證

該技術是通過在兩個傳輸主體之間進行身份認證，從而確定二者是否能夠進行數據傳輸，認證方式可以是口令、指紋或者聲音等。目前常用的認證方式包括了實體認證和數據認證兩種，其中前者只對進行數據傳輸的兩個主體身份進行認證，不對其內容進行認證；后者則是數據發(fā)送端在進行數據傳輸過程中將其身份信息一起發(fā)送給數據接收端。

（3）訪問控制

該方式是通過對用戶授權實現對網絡信息傳輸安全性的控制技術，即根據用戶角色不同，對其分配不同的防護權限，實現對網絡中數據不同深度的訪問。只有具有相應權限的用戶才能夠訪問網絡系統，其他用戶不能夠進行訪問。

（4）防火墻

防火墻是目前計算機內部網絡和外部網絡中存在的一個簡單安全技術，能夠拒絕所有沒有經過授權用戶對計算機內部網絡的訪問，只允許具有合法權限的用戶對網絡系統中的資源進行訪問。同時防火墻還能夠實現對各種非法侵入的追蹤和警報，為系統管理員提供可以參考的依據。

（5）定期殺毒

該方式是通過在計算機中安裝殺毒軟件從而實現對計算機保護的方法，安裝完成之后殺毒軟件能夠實現對計算機的實時防護，避免病毒的入侵。另外用戶還要定時更新殺毒軟件，確保其病毒庫中數據的最新性。殺毒軟件具有較好的記憶功能，當發(fā)現新的病毒后它能夠將其類型和入侵形式等記憶在病毒庫中，為后續(xù)的實時防護提供保障。

4 提高嵌入式操作系統安全性的措施

為了確保嵌入式操作系統在使用過程中的安全性，可以采取以下幾個措施：

（1）軟件方式

該方式是通過軟件技術的優(yōu)化實現對嵌入式操作系統性能的改善，即開發(fā)適用于嵌入式操作系統的安全協議。即對網絡中需要傳輸的各種數據信息進行加密處理，從而提高數據在網絡中進行傳輸的安全性。目前常用的加密算法有RSA、對稱加密以及哈希算法等，其中RSA的應用應用最為廣泛。但是由于經過RSA加密后系統的分解難度增大，占用了計算機系統中的大部分運算資源和電量，因此對嵌入式操作系統的設備硬件的要求較高，否則就會嚴重影響計算機的反應速度。

另外還要加強對操作系統本身安全性的設計，如果系統的運行環(huán)境較差，即便設計再好的網絡傳輸協議也不能夠確保數據傳輸的安全性。對于嵌入式操作系統來說，其安全性主要靠防火墻來保證，但是由于防火墻技術和IVP6協議本身的兼容性問題，導致嵌入式操作系統的安全性較差，因此可在IPV6協議中添加相應的報頭信息實現二者之間的兼容。

（2）硬件方式

硬件方式是指通過提高計算機硬件設備的性能提高系統的安全性，如采用比較先進的集成電路。特別是一些新的協議或者安全標準推行之后，必須要通過提高設備的性能才能夠充分體現新協議或者標準的優(yōu)勢。

（3）軟件和硬件結合的方式

該方式是通過軟件和硬件的共同優(yōu)化來確保嵌入式操作系統網絡數據傳輸的安全性，如采用加密算法處理后的數據，在傳輸過程中需要消耗的時間較長，導致計算機的反映比較遲緩，這時可以為其配置相應的加速芯片來提高硬件設備的計算速度，如采用可編程門陣列。目前部分用戶已經將注意力集中到計算機安全防護中來，如金融、軍事和航天等領域已經采用軟件和硬件相結合的方式，實現了對其部門中所有計算機的保護。

但是由于不同領域或者部門對計算機安全性能的要求不同，所以對于嵌入式操作系統來說其開發(fā)難度較大，既不能完全采用一樣的最高級別，也不能夠采用最低級別，因此在未來發(fā)展過程中必須要制定一個完善的安全標準，為嵌入式系統中的安全防護提供一個明確的指導。另外，未來開發(fā)過程中，研發(fā)人員可以逐漸將其精力從加密算法的研發(fā)轉移到硬件安全技術的開發(fā)上來，通過硬件設備性能的提升實現對計算機更好的保護。

5 結論

防火墻是計算機網絡中常用的安全防護技術，具有操作簡單和安全性高的特點，對于傳統計算機來說，防火墻技術基本上能夠保證系統的安全運行。但是對于嵌入式操作系統來說，由于其本身存在的一些問題導致數據在網絡傳輸過程中的安全性較差，容易受到各種類型的攻擊，如數據竊取、假冒攻擊、重播攻擊以及病毒攻擊等。為此本文分別介紹了嵌入式操作系統和網絡傳輸中存在的問題，并且給出了嵌入式操作系統網絡傳輸安全的解決措施，如采用加密、認證、訪問控制技術、防火墻技術以及定期殺毒等，確保了嵌入式系統的安全運行。