趙　巖　劉愛琴

摘要：針對日益流行的家庭網(wǎng)絡(luò)與Intemet連接通信的安全問題，文章對現(xiàn)有對家庭網(wǎng)絡(luò)的安全隱患進(jìn)行了探討，并提出了一個安全體系結(jié)構(gòu)——嵌入式家庭網(wǎng)關(guān)，該模型以嵌入式防火墻以及公鑰加密技術(shù)為核心，在家庭網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間通信提供了一個較為安全的環(huán)境。

關(guān)鍵詞：嵌入式家庭網(wǎng)關(guān)家庭網(wǎng)絡(luò)防火墻Kerberos認(rèn)證公鑰加密

0引言

當(dāng)今社會逐漸進(jìn)入網(wǎng)絡(luò)時代，因特網(wǎng)已成為重要的基礎(chǔ)信息設(shè)施，它是目前覆蓋范圍最大的計算機(jī)網(wǎng)絡(luò)。同時大部分網(wǎng)絡(luò)終端仍以PC形式出現(xiàn)，但是從計算機(jī)應(yīng)用普及的情況來看，嵌入式系統(tǒng)更為普及。嵌入式系統(tǒng)是以應(yīng)用為中心，以計算機(jī)技術(shù)為基礎(chǔ)，并且軟硬件可裁剪，適用于應(yīng)用系統(tǒng)對功能、可靠性、成本、體積、功耗有嚴(yán)格要求的專用計算機(jī)系統(tǒng)。它一般用于實現(xiàn)對其他設(shè)備的控制、監(jiān)視或管理等功能。還有一個較為相近的概念就是嵌入式設(shè)備，它是內(nèi)部有嵌入式系統(tǒng)的產(chǎn)品、設(shè)備，例如，信息家電等。

科學(xué)技術(shù)的進(jìn)步和社會發(fā)展水平的提高，傳統(tǒng)家電已逐漸無法滿足現(xiàn)代家庭的需要，各種家電設(shè)備無法自動獲取外界的信息。大量的嵌入式設(shè)備急需網(wǎng)絡(luò)連接來提升其服務(wù)能力和應(yīng)用價值，PDA、移動電話的GPS、TV機(jī)頂盒、微波爐、空調(diào)、數(shù)碼相機(jī)等嵌入式設(shè)備都要求與Internet相連接以實現(xiàn)家庭網(wǎng)絡(luò)與外界的信息溝通。于是將嵌入式系統(tǒng)與網(wǎng)絡(luò)結(jié)合起來成為必然，它可使微波爐、空調(diào)等嵌入式設(shè)備都通過家庭控制中心與Internet連接，轉(zhuǎn)變?yōu)橐粋€家電網(wǎng)絡(luò)。-

1安全威脅

家電網(wǎng)絡(luò)(E Home)通常是指連接了家庭內(nèi)部多種設(shè)備和電器(目前多都采用嵌入式設(shè)備)的較小地理區(qū)域網(wǎng)絡(luò)，在一個家庭中建立一個通信網(wǎng)絡(luò)，為家庭信息提供必要的通路：在家庭網(wǎng)絡(luò)操作系統(tǒng)的控制下，通過相應(yīng)的硬件和執(zhí)行機(jī)構(gòu)，實現(xiàn)對所有家庭網(wǎng)絡(luò)上家電和設(shè)備的控制和監(jiān)測。

由于要使嵌入式系統(tǒng)具備網(wǎng)絡(luò)功能，即我們所指的家電網(wǎng)絡(luò)與Jntemet連接，就會存在與普通計算機(jī)與Internet相連后相同的安全問題。目前網(wǎng)絡(luò)上存在著一些常見的安全威脅與攻擊，主要有幾下幾種：

1.1網(wǎng)絡(luò)監(jiān)聽，通過監(jiān)聽和分析網(wǎng)絡(luò)數(shù)據(jù)包來獲取有關(guān)重要信息，如用戶名和口令、重要數(shù)據(jù)等：

1.2信息欺騙，通過篡改、刪除或重放數(shù)據(jù)包進(jìn)行信息欺騙；

1.3系統(tǒng)入侵，通過網(wǎng)絡(luò)探測、IP欺騙、緩沖區(qū)溢出、口令破譯等方法非法獲取一個系統(tǒng)的管理員權(quán)限，進(jìn)而安放惡意代碼(如木馬、病毒等)、獲取重要數(shù)據(jù)或?qū)嵤┫到y(tǒng)破壞；

1.4網(wǎng)絡(luò)攻擊，通過拒絕服務(wù)、計算機(jī)病毒等方法攻擊一個系統(tǒng)，使其處于癱瘓或崩潰。

因此連接到Internet上的每一個設(shè)備都需要在其網(wǎng)絡(luò)入口處采取一定的安全措施來阻止和丟棄惡意的通信數(shù)據(jù)，嵌入式設(shè)備也不例外。所以對于有各種嵌入式家電設(shè)備所組成的家電網(wǎng)絡(luò)來講，我們使用嵌入式家庭網(wǎng)關(guān)來解決其安全問題。

2嵌入式家庭網(wǎng)關(guān)

2.1家庭網(wǎng)關(guān)的作用家庭網(wǎng)絡(luò)采用的是輕量級網(wǎng)絡(luò)協(xié)議，要實現(xiàn)它與TCP/JP網(wǎng)絡(luò)之間的互聯(lián)，必須有一個用來完成協(xié)議轉(zhuǎn)換的設(shè)備(或功能部件)作為兩種網(wǎng)絡(luò)連接的橋梁，家庭網(wǎng)關(guān)的作用也就在于此。從安全上看，家庭網(wǎng)關(guān)是對家中設(shè)備進(jìn)行集中管理(包括設(shè)備使用、設(shè)備安全等)，防止家庭網(wǎng)絡(luò)受到外部網(wǎng)絡(luò)的威脅；從結(jié)構(gòu)上看，家庭網(wǎng)關(guān)是家庭外部的TCP/IP網(wǎng)絡(luò)和家庭嵌入式設(shè)備網(wǎng)絡(luò)這兩個網(wǎng)絡(luò)之間的連接點(diǎn)。

一般采用PC來實現(xiàn)家庭網(wǎng)關(guān)，雖然這種方法有很多優(yōu)點(diǎn)(如，軟件支持豐富、TCP/IP網(wǎng)絡(luò)支持較好等)，但它也有諸如體積大、功耗大、成本高等不足，所以我們采用嵌入式網(wǎng)關(guān)來實現(xiàn)家庭網(wǎng)關(guān)。用嵌入式系統(tǒng)來實現(xiàn)家庭網(wǎng)關(guān)稱為嵌入式網(wǎng)關(guān)，因此它同樣具有嵌入式的以應(yīng)用為中心、軟硬件可裁減、功耗低等特點(diǎn)，并且具有模塊化設(shè)計的設(shè)計思想，因此我們可以根據(jù)網(wǎng)絡(luò)的不同需要配置不同的網(wǎng)關(guān)。

此嵌入式家庭網(wǎng)關(guān)不僅具有普通網(wǎng)關(guān)的功能(這里我們不再贅述)，還增加了嵌入式防火墻以及通信中信息加密能力。家庭網(wǎng)關(guān)整體的基本結(jié)構(gòu)如圖2所示。即可將網(wǎng)關(guān)分為三個部分：TCP/IP協(xié)議棧、安全機(jī)制和家庭網(wǎng)絡(luò)協(xié)議棧，三部分之間只需通過簡單的數(shù)據(jù)通信接口即可實現(xiàn)連接通信。

2.2嵌入式防火墻(EF)在家庭網(wǎng)絡(luò)與Internet通信的過程中，防火墻是必不可少的，因此家庭網(wǎng)關(guān)應(yīng)具有防火墻能力，可避免外接網(wǎng)絡(luò)對家庭內(nèi)部設(shè)備的非法訪問和攻擊。家庭嵌入式防火墻是一種提供訪問控制手段的設(shè)備，集成了解決網(wǎng)絡(luò)安全問題的各種應(yīng)用，為家電網(wǎng)絡(luò)以及資源提供了一個可管理的安全的計算環(huán)境，并且它使用了簡化的、基于公鑰的Kerberos協(xié)議已實現(xiàn)透明認(rèn)證。

EF核心系統(tǒng)一般可分為4個主要部件：客戶認(rèn)證代理、嵌入式防火墻代理、票據(jù)授予服務(wù)器(TGS)和認(rèn)證服務(wù)器(AS)。

客戶認(rèn)證代理的主要功能是申請各種服務(wù)前向AS和TGS請求相應(yīng)的票據(jù)，并在申請服務(wù)是發(fā)出相應(yīng)的票據(jù)。在必要場合，它還將負(fù)責(zé)反向驗證服務(wù)器票據(jù)的合法性，實現(xiàn)雙向認(rèn)證。它接受用戶登錄，并透明地實現(xiàn)Kerberos票據(jù)的申請以及轉(zhuǎn)發(fā)，構(gòu)成了Kerberos實體；嵌入式防火器代理主要用于驗證客戶發(fā)送的票據(jù)，以決定是否將TCP連接請求或UDP包送往更高層進(jìn)行處理，它構(gòu)成了Ker-beros的應(yīng)用服務(wù)器實體；TGS和AS的功能與Kerberos協(xié)議中的基本一致，不再贅述，詳細(xì)資料請查閱相關(guān)文獻(xiàn)。

2.3信息加密在家中設(shè)備與外部網(wǎng)絡(luò)通信時，為防范網(wǎng)絡(luò)監(jiān)聽、口令破譯、信息篡改等入侵，還需在家庭網(wǎng)關(guān)中實現(xiàn)密碼保護(hù)功能，對家庭網(wǎng)絡(luò)內(nèi)部嵌入式設(shè)備及其發(fā)送的數(shù)據(jù)進(jìn)行加密。加密這種較強(qiáng)有力的手段，能為數(shù)據(jù)提供保密性、真實性、完整性和限制性訪問。當(dāng)今密碼學(xué)的應(yīng)用已非常廣泛，常見的加密算法有：對稱密碼、非對稱密碼以及消息摘要(單向散列函數(shù))算法。這里，我們?nèi)匀皇褂梅菍ΨQ密碼算法(即公鑰加密)。

2.4其他家庭網(wǎng)關(guān)要連接兩個網(wǎng)絡(luò)，還需要實現(xiàn)與這兩種網(wǎng)絡(luò)相對應(yīng)的協(xié)議?！猅CP/IP協(xié)議棧和家庭網(wǎng)絡(luò)協(xié)議棧?？刹捎媚K化設(shè)計，將功能模塊再組合從而形成新的功能設(shè)備。因為家中設(shè)備只為增添新型功能，對網(wǎng)絡(luò)的要求較為簡單，所以不需要具備完整的協(xié)議棧，因此家庭網(wǎng)絡(luò)協(xié)議棧也可以利用嵌入式技術(shù)，設(shè)計成一個嵌入式家庭網(wǎng)絡(luò)協(xié)議棧，詳細(xì)內(nèi)容不是本文的重點(diǎn)，所以不做過多介紹。

當(dāng)然，我們提出的網(wǎng)關(guān)設(shè)計仍存在諸如協(xié)調(diào)防火墻與加密技術(shù)之間的關(guān)系等需要改進(jìn)和完善的地方，一些關(guān)系還有待進(jìn)一步研究和完善。

3結(jié)束語

本文針對日趨流行和發(fā)展的家庭網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接的要求，對可能出現(xiàn)的安全問題作了簡單說明，并主要在安全層面上利用嵌入式體積小、可裁減、功耗低等特點(diǎn)對家庭網(wǎng)關(guān)進(jìn)行了設(shè)計。可以說這一嵌入式家庭網(wǎng)關(guān)在很大程度上為家庭網(wǎng)絡(luò)提供了一個統(tǒng)一的管理和安全的環(huán)境。