嵌入式家庭网关的安全性设计

发布时间:2010-11-29 阅读量:1985 来源: 发布人:

【中心议题】

  • 分析了家庭网络与Internet连接通信的安全问题
  • 提出了一个安全体系结构——嵌入式家庭网关

【解决方案】

  • 庭网关整体的基本结构分为三个部分
  • 嵌入式防火墙的运用
  • 使用非对称密码算法

0引言

当今社会逐渐进入网络时代,因特网已成为重要的基础信息设施,它是目前覆盖范围最大的计算机网络。同时大部分网络终端仍以PC形式出现,但是从计算机应用普及的情况来看,嵌入式系统更为普及。嵌入式系统是以应用为中心,以计算机技术为基础,并且软硬件可裁剪,适用于应用系统对功能、可靠性、成本、体积、功耗有严格要求的专用计算机系统。它一般用于实现对其他设备的控制、监视或管理等功能。还有一个较为相近的概念就是嵌入式设备,它是内部有嵌入式系统的产品、设备,例如,信息家电等。

科学技术的进步和社会发展水平的提高,传统家电已逐渐无法满足现代家庭的需要,各种家电设备无法自动获取外界的信息。大量的嵌入式设备急需网络连接来提升其服务能力和应用价值,PDA、移动电话的GPSTV机顶盒、微波炉、空调、数码相机等嵌入式设备都要求与Internet相连接以实现家庭网络与外界的信息沟通。于是将嵌入式系统与网络结合起来成为必然,它可使微波炉、空调等嵌入式设备都通过家庭控制中心与Internet连接,转变为一个家电网络。

1安全威胁

家电网络(E-Home)通常是指连接了家庭内部多种设备和电器(目前多都采用嵌入式设备)的较小地理区域网络,在一个家庭中建立一个通信网络,为家庭信息提供必要的通路;在家庭网络操作系统的控制下,通过相应的硬件和执行机构,实现对所有家庭网络上家电和设备的控制和监测。

由于要使嵌入式系统具备网络功能,即我们所指的家电网络与Internet连接,就会存在与普通计算机与Internet相连后相同的安全问题。目前网络上存在着一些常见的安全威胁与攻击,主要有几下几种:

1.1网络监听,通过监听和分析网络数据包来获取有关重要信息,如用户名和口令、重要数据等;

1.2信息欺骗,通过篡改、删除或重放数据包进行信息欺骗;

1.3系统入侵,通过网络探测、IP欺骗、缓冲区溢出、口令破译等方法非法获取一个系统的管理员权限,进而安放恶意代码(如木马、病毒等)、获取重要数据或实施系统破坏;

 

1.4网络攻击,通过拒绝服务、计算机病毒等方法攻击一个系统,使其处于瘫痪或崩溃。

因此连接到Internet上的每一个设备都需要在其网络入口处采取一定的安全措施来阻止和丢弃恶意的通信数据,嵌入式设备也不例外。所以对于有各种嵌入式家电设备所组成的家电网络来讲,我们使用嵌入式家庭网关来解决其安全问题。

2嵌入式家庭网关

2.1家庭网关的作用 家庭网络采用的是轻量级网络协议,要实现它与TCP/IP网络之间的互联,必须有一个用来完成协议转换的设备(或功能部件)作为两种网络连接的桥梁,家庭网关的作用也就在于此。从安全上看,家庭网关是对家中设备进行集中管理(包括设备使用、设备安全等),防止家庭网络受到外部网络的威胁;从结构上看,家庭网关是家庭外部的TCP/IP网络和家庭嵌入式设备网络这两个网络之间的连接点。

一般采用PC来实现家庭网关,虽然这种方法有很多优点(如,软件支持丰富、TCP/IP网络支持较好等),但它也有诸如体积大、功耗大、成本高等不足,所以我们采用嵌入式网关来实现家庭网关。用嵌入式系统来实现家庭网关称为嵌入式网关,因此它同样具有嵌入式的以应用为中心、软硬件可裁减、功耗低等特点,并且具有模块化设计的设计思想,因此我们可以根据网络的不同需要配置不同的网关。

此嵌入式家庭网关不仅具有普通网关的功能(这里我们不再赘述),还增加了嵌入式防火墙以及通信中信息加密能力。家庭网关整体的基本结构可分为三个部分:TCP/IP协议栈、安全机制和家庭网络协议栈,三部分之间只需通过简单的数据通信接口即可实现连接通信。

2.2嵌入式防火墙(EF) 在家庭网络与Internet通信的过程中,防火墙是必不可少的,因此家庭网关应具有防火墙能力,可避免外接网络对家庭内部设备的非法访问和攻击。家庭嵌入式防火墙是一种提供访问控制手段的设备,集成了解决网络安全问题的各种应用,为家电网络以及资源提供了一个可管理的安全的计算环境,并且它使用了简化的、基于公钥的Kerberos协议已实现透明认证。

EF核心系统一般可分为4个主要部件:客户认证代理、嵌入式防火墙代理、票据授予服务器(TGS)和认证服务器(AS)

客户认证代理的主要功能是申请各种服务前向ASTGS请求相应的票据,并在申请服务是发出相应的票据。在必要场合,它还将负责反向验证服务器票据的合法性,实现双向认证。它接受用户登录,并透明地实现Kerberos票据的申请以及转发,构成了Kerberos实体;嵌入式防火器代理主要用于验证客户发送的票据,以决定是否将TCP连接请求或UDP包送往更高层进行处理,它构成了Kerberos的应用服务器实体;TGSAS的功能与Kerberos协议中的基本一致,不再赘述,详细资料请查阅相关文献。

2.3信息加密 在家中设备与外部网络通信时,为防范网络监听、口令破译、信息篡改等入侵,还需在家庭网关中实现密码保护功能,对家庭网络内部嵌入式设备及其发送的数据进行加密。加密这种较强有力的手段,能为数据提供保密性、真实性、完整性和限制性访问。当今密码学的应用已非常广泛,常见的加密算法有:对称密码、非对称密码以及消息摘要(单向散列函数)算法。这里,我们仍然使用非对称密码算法(即公钥加密)。

2.4其他 家庭网关要连接两个网络,还需要实现与这两种网络相对应的协议栈———TCP/IP协议栈和家庭网络协议栈。可采用模块化设计,将功能模块再组合从而形成新的功能设备。因为家中设备只为增添新型功能,对网络的要求较为简单,所以不需要具备完整的协议栈,因此家庭网络协议栈也可以利用嵌入式技术,设计成一个嵌入式家庭网络协议栈,详细内容不是本文的重点,所以不做过多介绍。

 

当然,我们提出的网关设计仍存在诸如协调防火墙与加密技术之间的关系等需要改进和完善的地方,一些关系还有待进一步研究和完善。

3结束语

本文针对日趋流行和发展的家庭网络与互联网连接的要求,对可能出现的安全问题作了简单说明,并主要在安全层面上利用嵌入式体积小、可裁减、功耗低等特点对家庭网关进行了设计。可以说这一嵌入式家庭网关在很大程度上为家庭网络提供了一个统一的管理和安全的环境。

相关资讯
金升阳推出医疗级高可靠性DC/DC电源模块,为医疗设备打造“无忧电源”解决方案

在医疗领域,直接接触人体的电子仪器对电源安全性和可靠性的要求极为严苛。为满足医疗行业对电源的高标准需求,金升阳推出URH_P-3WR3、VRH_P-3WR3、URH_LP-15WR3、VRH_LP-15WR3系列DC/DC电源模块。该系列产品通过2xMOPP EN60601医疗认证和EN62368标准认证,具备8mm爬电距离与电气间隙、漏电流<5μA等核心安全特性,隔离电压高达4400VAC,并集成多重保护功能,致力于为医疗设备提供高可靠、低风险的电源保障,助力应对临床环境中的复杂挑战。

Abracon AVR系列组合式电感:驱动数据中心与AI服务器高效能电压调节的新引擎

在算力需求爆炸式增长的数字化时代,数据中心和人工智能(AI)服务器对电源管理的效率、稳定性和空间利用率提出了前所未有的挑战。Abracon推出的AVR系列组合式电感,凭借其高频磁芯设计、特殊线夹结构及超薄封装,为高压场景下的电压调节提供了创新解决方案。该系列电感通过优化磁芯材料和降低直流电阻(DCR),实现了高功率密度下的低热损耗与高效能输出,尤其适用于多相TLVR(Transinductor Voltage Regulator)拓扑结构,显著提升瞬态负载响应能力。其电感值范围55nH至680nH和高达155A的饱和电流特性,完美适配数据中心、云计算平台及AI/ML服务器的严苛需求,成为下一代高开关频率应用中的核心元件。

Littelfuse推出百万次寿命轻触开关PTS845系列:紧凑设计赋能高端电子设备升级

全球工业技术领导者Littelfuse(NASDAQ: LFUS)近日发布全新C&K开关PTS845系列侧面操作轻触开关,通过技术升级显著提升产品耐用性与工程适配性。该产品以微型化封装、百万次循环寿命及多场景兼容性为核心竞争力,助力工程师突破高密度PCB设计瓶颈。

创新光源引领未来:ROHM推出小型近红外LED实现业界超高光辐射强度

2025年3月,全球半导体领军企业ROHM(日本京都市)宣布成功开发出三款小型顶部发光型表贴近红外(NIR)LED系列产品,包含SML-P14RW、CSL0902RT等6款型号。该系列产品以1.0×0.6mm超薄封装(厚度仅0.2mm)与业界标准尺寸(1.6×0.8mm)双重形态,搭载850nm/940nm双波长选择,通过优化发光层结构实现同类产品1.4倍光辐射强度,功耗降低30%,为VR/AR眼动追踪、工业光学传感器及医疗级生物监测设备提供高精度、低能耗的光源解决方案。目前该产品已在日本、马来西亚及中国生产基地实现月产百万级量产,并通过Ameya360等平台开放采购。

高通收购越南AI新创企业MovianAI 加速布局生成式人工智能赛道

全球通信巨头高通公司4月2日宣布,正式收购越南人工智能企业MovianAI(前身为Vingroup旗下VinAI的生成式AI部门),以强化其在智能手机、汽车等领域的AI技术研发能力。此次交易标志着高通进一步加码生成式人工智能赛道,整合全球优质资源推动创新。