嵌入式系统的安全隧道的场景使用与原理分析.docx

?

?

嵌入式系统的安全隧道的场景使用与原理分析

?

?

吴鹏程李孝成

摘要：随着网络技术和嵌入式系统的发展，嵌入式系统对网络安全的要求也在逐步提升。对此，本文分析了一种解决网络安全的网络隧道方案的原理，并针对嵌入式系统的特性和嵌入式网络环境的特性，提出了一套基于安全隧道且适合嵌入式系统使用的虚拟专属网络工具KidVPN的设计。全文从其组成的三个方面对KidVPN进行了详细设计介绍，并针对其使用场景等，进行了模拟环境测试与最终的报文分析验证。

关键词：嵌入式系统，安全网络隧道，虚拟专属网络，KidVPN

：TP311.1?????：A

引言

隧道技术指的是利用一种网络协议来传输另一种网络协议的技术。他可以利用公共网络来实现某些使用特别通信协议的网络或用户之间的连接和通信，或在不改变网络标准的条件下，在公共网络中建立某种固定连接。网络隧道是虚拟专用网络VPN技术（virtualprivatenetwork）实现的基础[1]。VPN技术是一种在公共网络上（主要是Internet网）将多个私有专用网络或网络节点采用加密、身份验证、隧道协议等技术连接起来，为用户提供可通过公用网络安全地对私有专用网络进行远程访问服务的虚拟专用网络构建技术[2]。目前许多嵌入式操作系统也开始对VPN技术提供了良好的支持，本文借助基于SylixOS的一款轻量型VPN—KidVPN来阐述安全隧道在嵌入式系统中的场景使用与原理分析。

1.网络隧道简介

1.1网络隧道的原理

一帧网络报文由两部分组成，分别为报头与载荷。整个网络报文通信时，只有报头起作用，而真正的报文数据存在载荷内，在传输过程中不会被分析和处理。如图1所示。

如果在传输过程中，将一个完成的网络报文封装在另一个网络报文的载荷中，作为另一个网络报文的数据字段在网络中进行传送，那个这个传送的报文所经过的路径就是网络隧道。如图2所示。隧道转变了在报文头部中协议严格分层的思路，通过隧道的建立，可实现将数据强制送到特定的地址、隐藏私有的网络地址、在IP网络上传递非IP数据包、提供数据安全支持等功能。

1.2网络隧道协议

为了在通信两端建立隧道，通信双方（一般角色为客户端和服务器）需要使用相同的网络协议，这类协议就成为隧道协议。这类协议主要有两类，一类是以OSI模型中以第二层数据链路层为基础的，还有一类是以第三层网络网络层为基础的。

第一类是以帧作为数据交换的单位，主要有：

●PPTP（点对点隧道协议）

●L2TP（第二层隧道协议）

●L2F（第二层转发协议）

第二类是以数据包作为数据交换的单位，主要有：

●IPsec;

●IPinIP

1.3网络隧道的形成

如1.1中原理介绍所说，形成网络隧道的方法只有一种，就是报文封装。报文封装是借助上文提到的隧道协议将上层的数据进行打包封装，但此时这部分数据此时仍然是明文的，在网络传输中无法收到保护，很不安全，不符合网络隧道安全的这一特性。因此在形成隧道时，除了会用到报文封装外，还会使用到另一种技术，就是隧道加密。隧道加密与报文封装是相关的，光有隧道加密不无法形成隧道的，只有将数据先经过隧道加密后，再次进行封装传输，这样才可以形成加密隧道。如图3所示。

2.嵌入式系统中的网络隧道

嵌入式系统指的是一个以应用为中心、以计算机技术为基础、软件硬件可裁剪、适应应用系统对功能、可靠性、体积、功耗严格要求的专用计算机系统。

在嵌入式系统中，有如下几个特点：

●专用性强

●嵌入式硬件性能较低

●嵌入式软件操作系统的内核小

●嵌入式系统需要较高的实时性

●嵌入式系统需要较高的安全性

随着技术的发展，嵌入式系统的复杂程度逐渐提高，对网络功能的需求也日趋上升。尤其是物联网的发展与普及，网络隧道技术也被应用到各个嵌入式行业中。各种嵌入式终端设备在接入网络时，常常会借助网络隧道技术实现嵌入式设备与网络设备的安全通信。在嵌入式系统中，网络隧道通常需要满足如下条件：

●网络隧道搭建与开发容易

●网络隧道使用便捷

●网络隧道对资源的消耗低

●基于网络隧道的通信安全

●基于網络隧道的通信能满足实时性的要求

3.嵌入式轻量型VPN（KidVPN）设计

VPN技术通过对网络数据进行封包和加密，在Internet网络或其他公共网络中建立一条虚拟的专用通道，在公网上传输私有数据，同时，保证私有网络安全性，将公共网络的便捷性与专用，网络的安全性结合起来，实现公网私用[3]。本文将论述一款符合上文描述的嵌入式系统网络隧道特性的一款轻量型VPN—

KidVPN的设计。KidVPN一款开源的，体量轻，操作便捷，极其适合嵌入式系统下使用的虚拟专属网络工具。KidVPN支持SylixOS和Linux操作系统。同时，KidVPN也符合虚拟性，专用性的V