论文部分内容阅读
随着计算机技术的发展,嵌入式系统已成为计算机领域的一个重要组成部分,成为近年来研究热点。由于互联网的迅速普及和3C的加速发展,微型化和专业化成为嵌入式系统发展新趋势,具有联网功能的嵌入式系统代替普通计算机在互联网络中将占据主导地位,而联网后的嵌入式系统将面临着与普通计算机网络同样甚至更多的网络安全威胁。
本文针对嵌入式系统本身所受到的计算资源限制,以及联网后所面临的威胁,归纳出解决其网络安全问题的关键是嵌入式IPSec VPN技术,它可以为嵌入式网络的IP及上层协议提供无连接完整性、数据源身份认证、抗重播攻击服务、数据内容机密性和有限通信流量机密性等安全服务。之后针对IPSec VPN技术,对IPSec协议进行了详细分析,包括协议的体系结构、所包含的安全协议、安全关联、安全策略、密钥管理和交换协议,以及IPSec协议的三种实现模型。通过上述基础工作,本文研究并提出了一种嵌入式IPSec VPN实现技术。首先,使用UP-NETARM2410-S搭建了嵌入式基础平台,其硬件核心为S3C2410处理器,操作系统平台采用Linux2.6.12内核。然后,进行了嵌入式IPSec VPN的整体架构设计,该架构的关键模块包括IPSec处理模块和密钥管理模块。针对IPSec处理模块,在对Linux下TCP/IP协议栈深入分析的基础上,利用Netfilter安全框架提供的五个钩子函数,将IPSec处理注册到适当的钩子点。这样,在IPSec数据包经过时,通过钩子函数将数据发送到相应模块进行处理,实现IPSec处理与Linux自身的IP层处理紧密结合,有效缩短IPSec数据包处理时延。针对密钥管理模块,采用4级安全密钥管理模式支撑嵌入式IPSec VPN运行。密钥管理中心负责预共享密钥和安全策略配置信息的安全生成,并写入具有安全保护机制的USBKey,手工分配给系统用户,用户通过安全配置操作导入预共享密钥和安全参数,基于IKE生成会话密钥和工作密钥,传递给IPSec处理模块,用于IPSec数据加密和认证处理。