Optimización de la seguridad de dispositivos de red integrados: aplicación y mejora del protocolo TLS en entornos con recursos limitados

Con el rápido desarrollo del Internet de las cosas (IoT) y los sistemas integrados, los riesgos de seguridad asociados con la transmisión transparente de la red se han vuelto cada vez más prominentes. Los dispositivos de red integrados deben evitar problemas como la fuga de información, la suplantación de identidad y la manipulación de datos durante la transmisión de datos. El protocolo TLS, con sus mecanismos maduros de cifrado y autenticación, es la solución preferida para abordar estas preocupaciones. Sin embargo, la sobrecarga computacional y de memoria del protocolo TLS presenta desafíos para los dispositivos integrados con recursos limitados, lo que a menudo lleva a algunos dispositivos a optar por una transmisión transparente menos segura. Para abordar este problema, este artículo propone varias estrategias de optimización para ayudar a los dispositivos integrados a lograr una comunicación de red segura bajo limitaciones de recursos.

I.  Aplicación de bibliotecas TLS optimizadas

 A diferencia de las bibliotecas de uso general como OpenSSL y JSSE, que se ejecutan en plataformas de alto rendimiento, los dispositivos integrados requieren soluciones livianas. Las bibliotecas como OpenSSL ofrecen una funcionalidad integral y admiten una amplia gama de estándares y protocolos de cifrado, pero consumen recursos importantes, lo que las hace inadecuadas para dispositivos con memoria y capacidades de procesamiento limitadas. Elegir una biblioteca TLS optimizada es una forma eficaz de optimizar el rendimiento de la seguridad para dispositivos integrados.

mbedTLS
Diseñado específicamente para entornos integrados, mbedTLS admite protocolos TLS/DTLS y es liviano y eficiente. Los desarrolladores pueden recortar componentes innecesarios según sea necesario para reducir el uso de memoria y el tamaño del código de manera efectiva.
Repositorio mbedTLS

wolfSSL Otra biblioteca TLS optimizada para sistemas integrados, wolfSSL admite las últimas versiones del protocolo TLS y es compatible con varios aceleradores de hardware para mejorar la eficiencia del cifrado y descifrado. Repositorio wolfSSL

tinydtls tinydtls es una biblioteca de cifrado minimalista centrada en el protocolo DTLS, ideal para dispositivos con memoria y potencia de procesamiento extremadamente limitadas, y ampliamente utilizada en entornos de IoT. Repositorio tinydtls

El uso de estas bibliotecas TLS livianas permite que los dispositivos integrados mantengan la seguridad y al mismo tiempo minimicen las demandas de recursos del sistema.

II. Optimización de la gestión de certificados

La gestión de certificados en el protocolo TLS es fundamental para proteger la comunicación, pero sus requisitos de memoria pueden ser demasiado exigentes para dispositivos con recursos limitados. Un certificado TLS estándar normalmente requiere entre 1 y 2 KB de almacenamiento, y una cadena de certificados completa puede aumentar esta demanda significativamente. Las siguientes estrategias de optimización pueden abordar este problema:

Almacenamiento comprimido Almacene certificados en forma comprimida utilizando algoritmos como gzip o zlib, descomprimiéndolos solo cuando sea necesario. Este método reduce significativamente los requisitos de almacenamiento pero aumenta la sobrecarga computacional durante la descompresión.

Carga de bloques Para cadenas de certificados grandes, cargue los certificados en bloques para evitar el desbordamiento de la memoria equilibrando la carga de la memoria y garantizando al mismo tiempo el uso efectivo de los certificados.

Acceso de solo lectura Almacene los certificados directamente en el almacenamiento en el chip con acceso de solo lectura para evitar copiarlos en la RAM, ahorrar memoria y reducir operaciones de E/S innecesarias.

Al optimizar los métodos de almacenamiento y carga de certificados, los dispositivos integrados pueden utilizar de manera más eficiente recursos de almacenamiento limitados mientras mantienen la seguridad del sistema.

III. Introducción de la aceleración de hardware

La complejidad de los algoritmos de cifrado suele conllevar una alta carga computacional, especialmente cuando los dispositivos integrados manejan una gran cantidad de solicitudes seguras simultáneas. Es posible que depender únicamente de la CPU para las tareas de cifrado no cumpla con los requisitos de rendimiento. Por lo tanto, los dispositivos integrados pueden mejorar la eficiencia del cifrado y reducir el consumo de energía mediante la introducción de módulos de aceleración de hardware.

Aceleración de hardware AES AES, un algoritmo de cifrado simétrico ampliamente utilizado, puede beneficiarse de aceleradores de hardware que aumentan significativamente la velocidad de cifrado y descifrado. Esto es especialmente importante en escenarios que requieren procesamiento de datos en tiempo real, como transmisión de video y comunicación inalámbrica.

Aceleración de hash Las funciones hash (por ejemplo, SHA-256) desempeñan un papel fundamental en las comprobaciones de integridad de datos y firmas digitales. Los aceleradores de hash de hardware pueden aumentar significativamente la velocidad de cálculo de hash, optimizando todo el proceso de comunicación.

Aceleración RSA El cifrado RSA es crucial para el intercambio de claves durante el protocolo de enlace TLS, pero implica cálculos complejos de números enteros grandes. Los aceleradores de hardware RSA dedicados pueden reducir el tiempo de cálculo y mejorar la eficiencia del protocolo de enlace.

Generador de números aleatorios (RNG) Los números aleatorios de alta calidad son esenciales para la seguridad del algoritmo de cifrado. Los RNG de hardware pueden generar números aleatorios más seguros y al mismo tiempo reducir la carga computacional de las implementaciones basadas en software.

Los módulos de aceleración de hardware no solo mejoran las capacidades de cifrado de los dispositivos integrados, sino que también reducen el consumo general de energía, lo que permite que el sistema funcione de manera eficiente y al mismo tiempo cumpla con los requisitos de seguridad.

IV. Conclusión

Para abordar los cuellos de botella de rendimiento y las limitaciones de recursos de los dispositivos integrados que utilizan el protocolo TLS, este artículo propone estrategias de optimización como el uso de bibliotecas TLS optimizadas, la optimización de la gestión de certificados y la introducción de la aceleración de hardware. Estos métodos pueden mejorar la eficiencia operativa de los dispositivos integrados y al mismo tiempo garantizar una comunicación de red segura. En el futuro, a medida que avance la tecnología de hardware y se optimicen aún más los algoritmos de cifrado, los dispositivos integrados exhibirán un mayor rendimiento en comunicaciones seguras, brindando un fuerte apoyo a la proliferación de IoT y dispositivos inteligentes.
Para obtener más detalles, haga clic en: https://www.nicerf.com/products/
Para obtener más detalles, haga clic en: https://www.nicerf.com/news/