中，实现安全机制的网关要为多个嵌入式设备提供转发IP分组，对于每个分组都要在SPD库查找相应的安全策略，在SADB库中查找相应的SA，因此可能会成为整个因素的瓶颈。为了解决这个问题，首先必须考虑到数据库的存储结构。注意到对于SA来说，协议、SPI、目的地址三要素唯一确定一个SA，我们用(目的地址十SPI+协议)作为查询条件。对于这样的条件，用HSAH查询:(目的地址+SPI+协议)Mod HASH表宽度作为哈希关键字可能会提高性能，所以决定使用HASH表结构。对于SPD，考虑到这样情况:分组传送是连续的，所以在内存内使用缓存技术来保存最近使用的安全策略，从而避免频繁的SPD库查询过程可能会提高系统性能。

4.2 结果分析

　　(1) 系统的可扩展性能：

　　测试的参数是吞吐量和平均延迟时间。实验目的是测试在机器台数增加时系统的可扩展性能。实验的数据结果如图5-1和5-2所示。

　　实验结果证明该方案具有良好的可扩展性。性能提升的主要原因归于系统采用了基于IPSec的架构，并且对安全策略库进行了优化，因为SPD和SADB库的查询效率是影响本系统性能的一个重要因素。特别是像家庭网关这样的设备中，实现安全机制的网关要为多个嵌人式设备提供转发IP分组，对于每个分组都要在SPD库查找相应的SA,因此可能成为整个因素的瓶颈。为了解决这个问题，首先必须考虑到数据库的存储结构。采用安全策略库和Cache表来解决。

　　

　　(2) 系统的安全性能：

　　加密的网络信息保证了信息内容的机密性。大多数加密方一法也需要授权和数据完整的服务。加密技术可以分成二个大类:消息摘要、对称密钥密码系统和不对称公开密钥密码系统。特别我们的密码经过MD5算法加密以后，保证了它的安全性。

　　MD5的设计是面向32比特字的，MD5计算出的信息摘录长度为128比特，用4个字表示，分别记为d0，d1，d2，d3，在计算开始时被分别初始化为常数：

　　d0 =01234567H，d1 =89abcdefH，d2 =fedcba98H，d3=76543210H

　　输入的信息被分成512比特的等长块，逐块处理。每块包含16个字，分别记为m0，m1，⋯，m15。每块的处理分四遍扫描，对每一遍扫描中的每一个字都使用不同的常数，共64个，用T1，T2，⋯，T64来表示，其中：Ti=[232 | sin ( i ) | ]。输入的信息应是512比特的倍数，其填充方式，填充位的第一个比特为1，随后的填充位都为0;即使原来的信息已是512比特的倍数，也要进行填充。所以填充位的最小长度为1比特，最大长度为512比特。

　　实验证明运行基于IPSec和SSL协议的嵌入式系统具有良好的可扩展性和安全性能。

　　4 结束语

　　基于网络的嵌入式系统安全性是当今一大研究热点，对该领域的研究既具有很强的理论意义又具备很高的现实意义。嵌入式系统只有在对安全性协议提供很好支持的情况下，才能真正发挥其巨大价值，才能对大型高可靠性服务提供全面支持。