收藏
下载资源

一种基于ARM平台的远程internet数据安全传输解决方案

上传人:jiups****uk12 文档编号:40338047 上传时间:2018-05-25 格式:PDF 页数:6 大小:196.09KB
返回 下载 相关 举报
一种基于ARM平台的远程internet数据安全传输解决方案_第1页
第1页 / 共6页
一种基于ARM平台的远程internet数据安全传输解决方案_第2页
第2页 / 共6页
一种基于ARM平台的远程internet数据安全传输解决方案_第3页
第3页 / 共6页
一种基于ARM平台的远程internet数据安全传输解决方案_第4页
第4页 / 共6页
一种基于ARM平台的远程internet数据安全传输解决方案_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《一种基于ARM平台的远程internet数据安全传输解决方案》由会员分享,可在线阅读,更多相关《一种基于ARM平台的远程internet数据安全传输解决方案(6页珍藏版)》请在金锄头文库上搜索。

1、第二届全国信息与电子工程学术交流会暨第十三届四川省电子学会曙光分会学术年会论文集3 4 9一种基于A R M 平台的远程in t e r n e t数据安全传输解决方案孙颖铭唐丹( 中国工程物理研究院电子工程研究所,四川绵阳,6 2 1 9 0 0 )摘要在多点、远程监控的条件下,如何保证监控数据准确、实时的传回监控中心是许多专用系统致力解决的问题通过对各种传输媒介、移动设备、安全协议软件优缺点的分析和对比,提出了一种基于A R M 平台、S S L 安全协议的通过I n t e r n e t 网络传输的监控数据传输系统给出了理论模型和具体实现方案初步测试的结果证明这样的系统可以安全的保证专

2、用数据的传输关键字远程数据安全传输安全套接字协议因特嘲嵌入式操作系统Al o n g d i s t a n c eI n t e r n e ts a f e t yd a t at r a n s m i s s i o ns o l u t i o n b a s e do nA R Mp l a t f o r mS U NY i n g - m i n g ,T A N GD a n , Z H A N GH a i ,C H E NY u - x i a o( I n s t i t u t e o f E l e c t r o n i c a n d E n g i n e e

3、 r i n g , C A E P , M i a n y a n g , S i c h u a n 6 2 1 0 0 0 , C h i n a )A b s t r a c t :I nl o n g - d i s t a n c ea n dm u l t i e a s tc o n d i t i o n , h o wt ot r a n s f e rt h es e c r e td a t at ot h ec o n t z 0 1c e n t e ra c c u r a t e l ya n di n s t a n t l yi sap r o b l e

4、mt h a tm a n yp r i v a t em o n i t o r i n gs y s t e m 时i n gt os o l v e T l u sp a p e rp r o p o s eap r i v a t em o n i t o r i n gd a t at r a n s f e rs y s t e mb yh t e m e t , w h i c hb a s e do l lA R Mp h f f o r ma n dS S Ln e t w o r kp r o t o c o l ,a n dg i v et h et h e o r e

5、t i c a lm o d e la n dp r a c t i c a lr e a l i z a t i o n T h ep r i m a r yt e s tr e s u l tp r o v et h i ss y s t e mc a np r o t e c tt h ep r i v a t ed a t at r a n s m i s s i o ns a f e l ya n de f f e c t i v e l y K e yW o r d s :l o n g - d i s t a n c es a f e t yd a t am m s m i s

6、s i o n ;A R M ;S S L ;I n t e m e t1 引言:在高安全高可靠的特殊监控领域里,需要对一些敏感物品在移动运输的过程中进行2 4 小时严密监控。由于物品的特殊性,不能有人在现场监视,于是监视功能由各种监控设备完成,包括G P S 定位数据、物品状态、温湿度、速度、红外信息等等。原型系统通过如图1 所示路径传输到远程监控中心。考虑到数据的安全性,在采集和传输的过程中不允许被监听,修改和替换。通过对传输路径图分析,认为原型系统在这方面有比较大的隐患,通过对现有的技术手段分析对比,决定采用基于A R M 平台、S S L 安全协议的数据传输系统来对原型系统进行改进。作

7、者简介:孙颖铭( 1 9 8 1 ) 。男,吉林长春,中国工程物理研究院研究生部通信与信息系统,研究生,从事电子学 系统设计。2 4 8 4 5 3 3一种基于A R M 平台的远程i n t e r a c t 数据安全传输解决方案采集到的数据臣固E = ( 固图l 数据传输路径2 系统的设计系统设计是源于对原系统的分析和对现有技术进行比较得出的,分为以下几个阶段。2 1 系统分析软件方面:如图1 所示,从传输路径上看,暴露给攻击者的路径有三个地方:数据采集装置到数据处理装置路径、C D M A 传输路径和I n t e r n e t 传输路径。考虑到扩频通信本身的保密性,将防范的重点放在

8、采集数据传输路径和I n t e r a c t 传输路径。在采集端,由于采集设备与处理设备是分离部件,数据有被替换的可能,所以在采集端应该添加数据认证装置。考虑到采集端没有高处理能力的C P U ,所以不使用烦琐的加密功能,而只提供认证。如果在数据处理端发现认证问题,则停止数据传送并发送报警信息。通过对几种常用的认证算法的对比,决定采用S H A 1 为认证算法。而在I n t e r n e t 传输路径上来看,为满足多点,可靠监视的要求,在现有的安全协议中选用位于传输层的S S L 协议( S e c u r eS o c k e tL a y e rp r o t o c 0 1 )

9、作为数据传输安全认证措施。硬件方面:考虑到采用大量的加密运算,原本的单片机无法满足要求,必须使用性能更高的平台。通过对比,我们决定选用A R M 9 处理器它使用A R b l 9 T D M I 处理器内核,其中包括1 6 位的T h u m b 指令集,可以使1 6 位的系统开销得到3 2 位的性能。A R M 9 包括A R M 9 2 0 T 、A R M 9 2 2 T 和A R b l 9 4 0 T 三种类型,适用于不同的市场需求,广泛应用于下一代无线设备、机顶盒、家庭网关、打印机和数字照相等等。A R M 9 T D M I 内核采用5 级流水线,单一的3 2 位基于先进微控制

10、器总线结构( A M B A ) ,内存保护单元( M P U ) 支持R T O S ,包括各种A R ML m u x 。2 2 对s s L 的分析和应用设计S S L 是目前有线网络使用最广泛的传输层安全协议。它在上个世纪9 0 年代中期由N e t s c a p e 提出并在9 0 年代末由I E T F 正式标准化,在通过了众多著名安全专家的苛刻的审查后应用于各种敏感的交易程序,包括从网上银行到电子交易的广大范围。目前几乎所有的W e b 服务器都支持某个版本的S S L 。大量有效的实验数据表明S S L 连接比普通的T C P 连接慢2 到1 0 0 倍。这主要是由于加密造成

11、第二届全国信息与电子工程学术交流会暨第十三届四川省电子学会曙光分会学术年会论文集的。由于S S L 本身是为桌面机设计的,适用于高处理能力、相对高带宽、低延迟的网络里面,将其原封不动的照搬过来无法适应移动监控设备的要求,所以针对其主要的性能瓶颈进行了改进。( 1 ) S S L 的应用设计:A 模块设计作为传输层的安全协议,将S S L 设计成一个模块,从外部接口来看,S S L 模块要利用下层的T C Ps o c k e t 来为上层的应用程序提供安全服务。而在其内部,将其划分为以下几个模块:A 初始化模块。主要为S S L 连接做准备。主要步骤有初始化S S L 库、加载S S L 错误

12、定义、选择协议、创建上下文、加载自己的证书、私钥和C A 。B 连接模块进行T C P 连接,成功后申请S S Ls o c k e t ,将其绑定在T C Ps o c k e t 上。C 身份验证模块利用服务器的证书,验证服务器身份的有效性。D 密码组控制模块。在服务器和浏览器之间协商使用同一种密码组。E 数据传输模块。在建立的安全连接上进行数据传输。F 资源释放模块。连接完成或数据传输过程中出现错误后,关闭S S Ls o c k e t ,释放系统资源。以上模块完成了一个在台式服务器上的完整S S L 安全连接,但在嵌入式的背景里由于其算法的复杂度太高,每个连接的开销相对于系统资源来说

13、太大,因此要采用各种办法进行精简。在握手和数据传输两个过程来看,由于在握手过程中采用公钥加密,所以开销相对于数据传输比较昂贵。而在握手过程中,服务器超过一半的C P U 时间都花在对私用密钥p r t _ m a s t e rs e c ,r e t 的解密上,排在第二位的是计算主密钥m a s t 日s e c r e t 。所以尽可能的减少握手次数可以减少系统开销。会话重用使用前一次连接的m a s t e r _ s o c 埘,取消了昂贵的公钥加密计算,可以极大减少这种开销。为此在前述的模块中加入会话重用模块。如图2 。会话重用的过程i 客户与服务器第一次会话需要通过一个完整的握手过

14、程来建立一个新的会话,握手结束后双方将该会话保存下来。当客户需要采用会话重用时,如果有就将s e s s i o n _ i d 作为本次会话的s e s s i o ni d ,否则置空。服务器方收到客户方发来的c l i e n t _ h e l l o 消息后察看s e s s i o n i d ,如为空说明不进行会话重用,服务器方生成新的s e s s i o n _ i d ,在s e r v c r h e U o 中发给客户;否则服务器从s e s s i o ni d 中查找s e s s i o ni d 的会话并恢复该会话的参数作为当前的参数使用。客户方收到s e r

15、v e r h e l l o消息后,检验服务器方发来的s e s s i o n , i d 是否与要重用的s e s s i o n _ i d 一致,如果一致说明可以进行会话重用,客户方恢复该会话的参数作为当前会话参数并完成以后的握手过程,否则不能进行会话重用,双方需要重新协商会话参数。会话恢复数据的死亡期为5 分钟。在实现上,主要使用4 个函数来完成会话重用。首先用S S L _ S E S S I O N * S S Lg O 1 _ s e s s i o n ( S S L * s s l ) 来收集前次会话信息,将返回的会话指针保存在上下文的c a c h e 中,以留下次使用

16、。如果下一个连接到来要使用会话重用,则使用i n tS S Ls e ts e s s i o n ( S S L t o ,S S L _ S E S S I O Ns e s s i o n ) 来重用会话。最后当双方都做好准备后,分别使用S S Le o n n e e t ( S S L 黯1 ) 和S S L _ a e c e p t ( S S L + s s l ) 来建立S S L连接。一种基于A R M 平台的远程i n t e r n e t 数据安全传输解决方案图2S S L 模块设计B 算法选择:从另一方面来看,S S L 连接的性能在很大程度上依赖于所使用的算法。在握手阶段它极大地影响握手的开销,同时也可以改变客户端与服务器的相对负载,所以选择合适的算法和相关参数是十分重要的。从公钥算法来看,R S A 是优于D S S D H 的选择。一般来讲在验证的时候l I S A 比D H 要快得多,而在签名的时候速度相当。在长度上来看,1 0 2 4 位的R S A 比5 1 2 位要慢4 倍,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 毕业论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号