Оптимизация безопасности встроенных сетевых устройств: применение и улучшение протокола TLS в средах с ограниченными ресурсами

С быстрым развитием Интернета вещей (IoT) и встроенных систем риски безопасности, связанные с прозрачной передачей данных по сети, становятся все более заметными. Встроенные сетевые устройства должны предотвращать такие проблемы, как утечка информации, подмена личности и подделка данных во время передачи данных. Протокол TLS с его развитыми механизмами шифрования и аутентификации является предпочтительным решением для решения этих проблем. Однако накладные расходы на вычисления и память протокола TLS создают проблемы для встроенных устройств с ограниченными ресурсами, что часто приводит к тому, что некоторые устройства выбирают менее безопасную прозрачную передачу. Чтобы решить эту проблему, в этой статье предлагается несколько стратегий оптимизации, которые помогут встроенным устройствам обеспечить безопасную сетевую связь в условиях ограничений ресурсов.

I.  Применение оптимизированных библиотек TLS

 В отличие от библиотек общего назначения, таких как OpenSSL и JSSE, которые работают на высокопроизводительных платформах, встроенные устройства требуют облегченных решений. Такие библиотеки, как OpenSSL, предлагают комплексную функциональность и поддерживают широкий спектр стандартов и протоколов шифрования, но потребляют значительные ресурсы, что делает их непригодными для устройств с ограниченной памятью и возможностями обработки. Выбор оптимизированной библиотеки TLS — это эффективный способ оптимизировать безопасность встроенных устройств.

mbedTLS
Разработанный специально для встроенных сред, mbedTLS поддерживает протоколы TLS/DTLS, является легким и эффективным. Разработчики могут при необходимости удалять ненужные компоненты, чтобы эффективно уменьшить использование памяти и размер кода.
Репозиторий mbedTLS

wolfSSL Еще одна библиотека TLS, оптимизированная для встраиваемых систем. wolfSSL поддерживает новейшие версии протокола TLS и совместима с различными аппаратными ускорителями для повышения эффективности шифрования и дешифрования. Репозиторий wolfSSL

tinydtls tinydtls — это минималистичная библиотека шифрования, ориентированная на протокол DTLS, идеальная для устройств с чрезвычайно ограниченной памятью и вычислительной мощностью и широко используемая в средах Интернета вещей. Репозиторий tinydtls

Использование этих облегченных библиотек TLS позволяет встроенным устройствам поддерживать безопасность, сводя к минимуму требования к системным ресурсам.

II. Оптимизация управления сертификатами

Управление сертификатами в протоколе TLS является основой безопасности связи, но его требования к памяти могут быть слишком высокими для устройств с ограниченными ресурсами. Стандартному сертификату TLS обычно требуется 1–2 КБ хранилища, а полная цепочка сертификатов может значительно увеличить эту потребность. Следующие стратегии оптимизации могут решить эту проблему:

Сжатое хранилище Сертификаты хранилища хранятся в сжатой форме с использованием таких алгоритмов, как gzip или zlib, и распаковываются только при необходимости. Этот метод значительно снижает требования к объему памяти, но увеличивает вычислительные затраты во время распаковки.

Блочная загрузка. Для больших цепочек сертификатов загружайте сертификаты блоками, чтобы избежать переполнения памяти за счет балансировки нагрузки на память и обеспечения эффективного использования сертификатов.

Доступ только для чтения. Храните сертификаты непосредственно во встроенном хранилище с доступом только для чтения, чтобы избежать их копирования в ОЗУ, экономя память и уменьшая количество ненужных операций ввода-вывода.

Оптимизируя методы хранения и загрузки сертификатов, встроенные устройства могут более эффективно использовать ограниченные ресурсы хранилища, сохраняя при этом безопасность системы.

III. Введение аппаратного ускорения

Сложность алгоритмов шифрования обычно связана с высокой вычислительной нагрузкой, особенно когда встроенные устройства обрабатывают большое количество одновременных безопасных запросов. Использование исключительно ЦП для задач шифрования может не соответствовать требованиям к производительности. Таким образом, встроенные устройства могут повысить эффективность шифрования и снизить энергопотребление за счет внедрения модулей аппаратного ускорения.

Аппаратное ускорение AES AES, широко используемый алгоритм симметричного шифрования, может получить преимущества от аппаратных ускорителей, которые значительно увеличивают скорость шифрования и дешифрования. Это особенно важно в сценариях, требующих обработки данных в реальном времени, таких как потоковое видео и беспроводная связь.

Ускорение хеширования. Хэш-функции (например, SHA-256) играют решающую роль в проверке целостности данных и цифровых подписей. Аппаратные ускорители хеширования могут значительно увеличить скорость вычислений хэша, оптимизируя весь процесс связи.

Ускорение RSA Шифрование RSA имеет решающее значение для обмена ключами во время установления связи TLS, но оно включает в себя сложные вычисления больших целых чисел. Выделенные аппаратные ускорители RSA могут сократить время вычислений, повышая эффективность квитирования.

Генератор случайных чисел (ГСЧ) Высококачественные случайные числа необходимы для безопасности алгоритма шифрования. Аппаратные ГСЧ могут генерировать более безопасные случайные числа, одновременно снижая вычислительную нагрузку программных реализаций.

Модули аппаратного ускорения не только улучшают возможности шифрования встроенных устройств, но и снижают общее энергопотребление, позволяя системе работать эффективно, одновременно соблюдая требования безопасности.

IV. Заключение

Чтобы устранить узкие места производительности и ограничения ресурсов встроенных устройств, использующих протокол TLS, в этой статье предлагаются стратегии оптимизации, такие как использование оптимизированных библиотек TLS, оптимизация управления сертификатами и внедрение аппаратного ускорения. Эти методы могут повысить эффективность работы встроенных устройств, обеспечивая при этом безопасную сетевую связь. В будущем, по мере развития аппаратных технологий и дальнейшей оптимизации алгоритмов шифрования, встроенные устройства будут демонстрировать более высокую производительность в безопасной связи, обеспечивая надежную поддержку распространению Интернета вещей и интеллектуальных устройств.
Для получения подробной информации нажмите: https://www.nicerf.com/products/
Для получения подробной информации нажмите: https://www.nicerf.com/news/