0 引言

21世紀(jì)是一個信息技術(shù)高速發(fā)展的世紀(jì)，計算機技術(shù)和網(wǎng)絡(luò)技術(shù)徹底改變了人們的生活和生產(chǎn)方式，特別是嵌入式操作系統(tǒng)被廣泛應(yīng)用于各個領(lǐng)域。但是由于計算機系統(tǒng)和網(wǎng)絡(luò)協(xié)議本身存在的問題導(dǎo)致計算機網(wǎng)絡(luò)的安全性成為限制計算機應(yīng)用的主要問題，因此必須要采取各種措施提高計算機網(wǎng)絡(luò)安全性。隨著計算機技術(shù)的不斷發(fā)展，嵌入式操作系統(tǒng)在計算機系統(tǒng)中的應(yīng)用越來越多，成為各種關(guān)鍵設(shè)備的主要控制系統(tǒng)。但是由于嵌入式操作系統(tǒng)本身存在的一些安全性問題，一旦這些設(shè)備被非法入侵，就會給企業(yè)和用戶個人帶來不可估量的損失。因此加強對嵌入式操作系統(tǒng)的安全性設(shè)計，成為擺在系統(tǒng)開發(fā)人員和系統(tǒng)維護人員面臨的主要問題。

1 嵌入式操作系統(tǒng)面臨的問題

對于嵌入式操作系統(tǒng)來說，其對計算機的存儲大小和性能都有比較嚴(yán)格的要求，且不能夠直接將原有系統(tǒng)中的安全機制復(fù)制到嵌入式系統(tǒng)中進行使用。下面我們就傳統(tǒng)計算機系統(tǒng)和嵌入式操作系統(tǒng)進行對比，介紹其嵌入式操作系統(tǒng)在安全方面所面臨的問題。

（1）資源，傳統(tǒng)計算機系統(tǒng)具有較強的適用性，其安全性不會受計算機本身性能因素的影響；但是對于嵌入式操作系統(tǒng)來說，它對計算機的內(nèi)存空間以及運算速度都有了較高的要求。

（2）物理層安全性能，由于嵌入式操作系統(tǒng)具有較強的可移動性，設(shè)備物理層中的數(shù)據(jù)信息安全性較差，容易遭受來自外界的干擾和破壞，導(dǎo)致設(shè)備中存儲的信息出現(xiàn)大量泄漏現(xiàn)象。

（3）工作環(huán)境，對于嵌入式操作系統(tǒng)對環(huán)境具有較強的環(huán)境適應(yīng)性，不受運行環(huán)境安全性的影響，哪怕是不信任或者不合理的環(huán)境都能夠正常進行工作。

2 嵌入式網(wǎng)絡(luò)面臨的安全問題

嵌入式操作系統(tǒng)的出現(xiàn)，使原來的TCP/IP協(xié)議受到了較大的威脅，使原有系統(tǒng)的網(wǎng)絡(luò)應(yīng)用安全性難以得到保證。如嵌入式操作系統(tǒng)中采用了最新的IPV6協(xié)議，該協(xié)議中將IPsec作為必選項進行執(zhí)行，這就導(dǎo)致 IP協(xié)議和防火墻技術(shù)出現(xiàn)了沖突，為了確保計算機的正常數(shù)據(jù)傳輸，需要將防火墻技術(shù)禁用，給計算機的運行帶來了較大的安全隱患，具體體現(xiàn)在以下幾個方面：

（1）數(shù)據(jù)竊取

計算機聯(lián)網(wǎng)之后，一些不法分子通過遠程網(wǎng)絡(luò)主機或者網(wǎng)絡(luò)設(shè)備竊取網(wǎng)絡(luò)中傳輸?shù)母鞣N數(shù)據(jù)信息。特別是嵌入式操作系統(tǒng)中的TCP/IP協(xié)議在數(shù)據(jù)傳輸過程中采用了明文傳輸方案，導(dǎo)致數(shù)據(jù)信息在傳輸過程中被竊聽和篡改的幾率較大，影響了數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和安全性。

（2）假冒攻擊

這種類型的網(wǎng)絡(luò)問題主要表現(xiàn)在兩個方面，其中一個是不法分子冒充遠程主機向用戶發(fā)送相應(yīng)的控制信息；另一種則是不法分子冒充客戶端向主機發(fā)送虛假信息。這是由TCP/IP本身的協(xié)議所決定的，由于遠程主機通過 IP地址鑒別用戶身份，沒有實現(xiàn)對用戶連接點的認(rèn)證，因此造成各種攻擊現(xiàn)象的產(chǎn)生。

（3）重播攻擊

重播攻擊和假冒攻擊相似，分別是針對網(wǎng)絡(luò)設(shè)備和主機。不法分子通過對網(wǎng)絡(luò)運行過程中某個時刻中通信信息的截取，實現(xiàn)對網(wǎng)絡(luò)設(shè)備和主機的欺騙。

（4）病毒攻擊

該攻擊方式是向通過網(wǎng)絡(luò)向用戶電腦中植入病毒完成的，病毒在嵌入是操作系統(tǒng)中會一直進行自我復(fù)制，從而占用嵌入式系統(tǒng)的大部分資源，導(dǎo)致系統(tǒng)不能夠正常工作，甚至是癱瘓。特別是網(wǎng)絡(luò)技術(shù)應(yīng)用之后，所有計算機通過網(wǎng)絡(luò)連接在一起，病毒通過垃圾郵件或其他方式通過網(wǎng)絡(luò)進行傳播，導(dǎo)致受影響計算機的范圍較大，造成的損失比較嚴(yán)重。

3 網(wǎng)絡(luò)安全技術(shù)和協(xié)議

為了確保計算機使用過程中的安全性，防止數(shù)據(jù)信息被竊取或者盜用，國內(nèi)外專家和學(xué)者花費了較大的時間和精力進行網(wǎng)絡(luò)安全技術(shù)的開發(fā)，比較常見的有：

（1）加密

該技術(shù)是通過對網(wǎng)絡(luò)中進行傳輸?shù)母鞣N數(shù)據(jù)信息的加密處理，從而保障嵌入式操作系統(tǒng)中網(wǎng)絡(luò)傳輸?shù)目煽啃裕凑掌浼用苓^程中采用的原則不同，分為對稱加密處理、不對稱加密處理以及不可逆加密三種。每種加密方式都有其自身的優(yōu)缺點，在使用過程中可以根據(jù)所要傳輸數(shù)據(jù)類型的不同選擇合適的加密算法。

（2）認(rèn)證

該技術(shù)是通過在兩個傳輸主體之間進行身份認(rèn)證，從而確定二者是否能夠進行數(shù)據(jù)傳輸，認(rèn)證方式可以是口令、指紋或者聲音等。目前常用的認(rèn)證方式包括了實體認(rèn)證和數(shù)據(jù)認(rèn)證兩種，其中前者只對進行數(shù)據(jù)傳輸?shù)膬蓚€主體身份進行認(rèn)證，不對其內(nèi)容進行認(rèn)證；后者則是數(shù)據(jù)發(fā)送端在進行數(shù)據(jù)傳輸過程中將其身份信息一起發(fā)送給數(shù)據(jù)接收端。

（3）訪問控制

該方式是通過對用戶授權(quán)實現(xiàn)對網(wǎng)絡(luò)信息傳輸安全性的控制技術(shù)，即根據(jù)用戶角色不同，對其分配不同的防護權(quán)限，實現(xiàn)對網(wǎng)絡(luò)中數(shù)據(jù)不同深度的訪問。只有具有相應(yīng)權(quán)限的用戶才能夠訪問網(wǎng)絡(luò)系統(tǒng)，其他用戶不能夠進行訪問。

（4）防火墻

防火墻是目前計算機內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中存在的一個簡單安全技術(shù)，能夠拒絕所有沒有經(jīng)過授權(quán)用戶對計算機內(nèi)部網(wǎng)絡(luò)的訪問，只允許具有合法權(quán)限的用戶對網(wǎng)絡(luò)系統(tǒng)中的資源進行訪問。同時防火墻還能夠?qū)崿F(xiàn)對各種非法侵入的追蹤和警報，為系統(tǒng)管理員提供可以參考的依據(jù)。

（5）定期殺毒

該方式是通過在計算機中安裝殺毒軟件從而實現(xiàn)對計算機保護的方法，安裝完成之后殺毒軟件能夠?qū)崿F(xiàn)對計算機的實時防護，避免病毒的入侵。另外用戶還要定時更新殺毒軟件，確保其病毒庫中數(shù)據(jù)的最新性。殺毒軟件具有較好的記憶功能，當(dāng)發(fā)現(xiàn)新的病毒后它能夠?qū)⑵漕愋秃腿肭中问降扔洃浽诓《編熘校瑸楹罄m(xù)的實時防護提供保障。

4 提高嵌入式操作系統(tǒng)安全性的措施

為了確保嵌入式操作系統(tǒng)在使用過程中的安全性，可以采取以下幾個措施：

（1）軟件方式

該方式是通過軟件技術(shù)的優(yōu)化實現(xiàn)對嵌入式操作系統(tǒng)性能的改善，即開發(fā)適用于嵌入式操作系統(tǒng)的安全協(xié)議。即對網(wǎng)絡(luò)中需要傳輸?shù)母鞣N數(shù)據(jù)信息進行加密處理，從而提高數(shù)據(jù)在網(wǎng)絡(luò)中進行傳輸?shù)陌踩?。目前常用的加密算法有RSA、對稱加密以及哈希算法等，其中RSA的應(yīng)用應(yīng)用最為廣泛。但是由于經(jīng)過RSA加密后系統(tǒng)的分解難度增大，占用了計算機系統(tǒng)中的大部分運算資源和電量，因此對嵌入式操作系統(tǒng)的設(shè)備硬件的要求較高，否則就會嚴(yán)重影響計算機的反應(yīng)速度。

另外還要加強對操作系統(tǒng)本身安全性的設(shè)計，如果系統(tǒng)的運行環(huán)境較差，即便設(shè)計再好的網(wǎng)絡(luò)傳輸協(xié)議也不能夠確保數(shù)據(jù)傳輸?shù)陌踩?。對于嵌入式操作系統(tǒng)來說，其安全性主要靠防火墻來保證，但是由于防火墻技術(shù)和IVP6協(xié)議本身的兼容性問題，導(dǎo)致嵌入式操作系統(tǒng)的安全性較差，因此可在IPV6協(xié)議中添加相應(yīng)的報頭信息實現(xiàn)二者之間的兼容。

（2）硬件方式

硬件方式是指通過提高計算機硬件設(shè)備的性能提高系統(tǒng)的安全性，如采用比較先進的集成電路。特別是一些新的協(xié)議或者安全標(biāo)準(zhǔn)推行之后，必須要通過提高設(shè)備的性能才能夠充分體現(xiàn)新協(xié)議或者標(biāo)準(zhǔn)的優(yōu)勢。

（3）軟件和硬件結(jié)合的方式

該方式是通過軟件和硬件的共同優(yōu)化來確保嵌入式操作系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩裕绮捎眉用芩惴ㄌ幚砗蟮臄?shù)據(jù)，在傳輸過程中需要消耗的時間較長，導(dǎo)致計算機的反映比較遲緩，這時可以為其配置相應(yīng)的加速芯片來提高硬件設(shè)備的計算速度，如采用可編程門陣列。目前部分用戶已經(jīng)將注意力集中到計算機安全防護中來，如金融、軍事和航天等領(lǐng)域已經(jīng)采用軟件和硬件相結(jié)合的方式，實現(xiàn)了對其部門中所有計算機的保護。

但是由于不同領(lǐng)域或者部門對計算機安全性能的要求不同，所以對于嵌入式操作系統(tǒng)來說其開發(fā)難度較大，既不能完全采用一樣的最高級別，也不能夠采用最低級別，因此在未來發(fā)展過程中必須要制定一個完善的安全標(biāo)準(zhǔn)，為嵌入式系統(tǒng)中的安全防護提供一個明確的指導(dǎo)。另外，未來開發(fā)過程中，研發(fā)人員可以逐漸將其精力從加密算法的研發(fā)轉(zhuǎn)移到硬件安全技術(shù)的開發(fā)上來，通過硬件設(shè)備性能的提升實現(xiàn)對計算機更好的保護。

5 結(jié)論

防火墻是計算機網(wǎng)絡(luò)中常用的安全防護技術(shù)，具有操作簡單和安全性高的特點，對于傳統(tǒng)計算機來說，防火墻技術(shù)基本上能夠保證系統(tǒng)的安全運行。但是對于嵌入式操作系統(tǒng)來說，由于其本身存在的一些問題導(dǎo)致數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全性較差，容易受到各種類型的攻擊，如數(shù)據(jù)竊取、假冒攻擊、重播攻擊以及病毒攻擊等。為此本文分別介紹了嵌入式操作系統(tǒng)和網(wǎng)絡(luò)傳輸中存在的問題，并且給出了嵌入式操作系統(tǒng)網(wǎng)絡(luò)傳輸安全的解決措施，如采用加密、認(rèn)證、訪問控制技術(shù)、防火墻技術(shù)以及定期殺毒等，確保了嵌入式系統(tǒng)的安全運行。