輕量級IPsec在嵌入式系統(tǒng)中的設計與實現.pdf

1、隨著網絡技術在嵌入式系統(tǒng)中的成功應用，越來越多的嵌入式設備連接到Internet。因為嵌入式系統(tǒng)資源受限的特點，當前廣泛應用的輕量級TCP/IP協(xié)議棧并沒有考慮到網絡安全因素，特別是在較低端的嵌入式設備中更是如此，這使得相應的嵌入式系統(tǒng)完全暴露在安全威脅之中。因此，在連接到Internet的嵌入式系統(tǒng)上實現IPsec安全協(xié)議勢在必行。
　　考慮到低端嵌入式系統(tǒng)主要應用于控制領域，一般不涉及大量信息的傳遞，且部分嵌入式平臺對網絡數據

2、傳遞的速率要求并不十分明顯，這些特點使得在嵌入式系統(tǒng)上應用IPsec實現網絡安全保護成為可能。
　　本論文重點討論如何在較低端的嵌入式平臺上實現輕量級的IPsec協(xié)議棧，將其嵌入到現有的嵌入式網絡設備上，或者添加到新的嵌入式設備中，使之無縫銜接。本論文以lwIP協(xié)議棧為支撐，對標準的IPsec進行裁剪，在設計SPD和SAD數據庫查找時采用靜態(tài)添加方案，在內存管理上采用零拷貝技術和動態(tài)調整數據包大小的方案，在算法設計上采用就地處理的

3、方案來提高代碼的執(zhí)行效率和內存空間的利用率。為了能夠應用于現有設備，采用IPsec虛擬設備的方式將整個代碼嵌入式到現有軟件系統(tǒng)中。
　　整個系統(tǒng)實現了IPsec的隧道模式下的ESP和AH數據包封裝方法、并提供了SHA1和MD5認證算法和DES和3DES加密算法實現代碼，整個IPsec代碼大小在120KB以內。最后在以硬件平臺為S3C2440（ARM9內核）為CPU和PIC16F877（16位單片機）為CPU，操作系統(tǒng)為ucOSII

4、V2.80的嵌入式平臺上進行整體測試。在10M以太網接口、CPU主頻設置為20M時使用 AH封裝的數據包（最大為1280byte）往返回時間在120ms以內，使用ESP封裝的數據包（最大為1280byte）往返時間為1000ms以內，因此，基本滿足特定的嵌入式設備對網絡傳輸效率和數據處理能力的需求。
　　基于以上討論，本論文所設計的IPsec協(xié)議棧能夠嵌入到現有的部分嵌入式系統(tǒng)中，并能夠應用于新型嵌入式設備中，為其提供網絡安全服務