陳強(qiáng)

【摘要】 隨著嵌入式設(shè)備的不斷普及，嵌入式開發(fā)的發(fā)展，開發(fā)工具的成熟，成本的降低；加上寬帶接入的增加帶動(dòng)寬帶路由器的需求增加，本文在此背景下對(duì)嵌入式寬帶路由器的進(jìn)行研究和設(shè)計(jì)。路由器的應(yīng)用和普及隨著寬頻上網(wǎng)的普及和價(jià)格的下降，越來越多的中小企業(yè)和家庭使用ADSL或Cable Modem來上網(wǎng)。在此情況下，為使企業(yè)或家中多臺(tái)電腦組成的小型局域網(wǎng)接入互聯(lián)網(wǎng)，使用路由器是最佳選擇。路由器可配置為DHCP服務(wù)器，路由器內(nèi)建的防火墻還可以抵御黑客的入侵。

【關(guān)鍵詞】 嵌入式 家用路由器 設(shè)計(jì)與實(shí)現(xiàn)

現(xiàn)階段的家用電器的發(fā)展已經(jīng)進(jìn)入到了一個(gè)智能時(shí)代，智能設(shè)備大有井噴之勢(shì)。無線路由器作為家庭互聯(lián)網(wǎng)的入口設(shè)備，更是不例外的踏入了智能時(shí)代。路由器是網(wǎng)絡(luò)中的核心基礎(chǔ)設(shè)備，但其面對(duì)基于漏洞和后門的攻擊時(shí)卻缺少有效的防御手段。擬態(tài)防御機(jī)制作為一種創(chuàng)新的主動(dòng)防御方法引入到路由器的設(shè)計(jì)架構(gòu)中，構(gòu)建了路由器擬態(tài)防御原理驗(yàn)證系統(tǒng)。其中，嵌入式Linux系統(tǒng)具有性能優(yōu)異、軟件移植容易以及實(shí)時(shí)性能、穩(wěn)定性能、安全性能良好等優(yōu)點(diǎn)，在許多領(lǐng)域得到了廣泛的應(yīng)用?；诖耍疚膶?duì)基于嵌入式Linux系統(tǒng)的無線路由器設(shè)計(jì)進(jìn)行介紹。

一、系統(tǒng)的設(shè)計(jì)

1.1 路由器整體結(jié)構(gòu)

根據(jù)以上所述功能設(shè)計(jì)的路由器分為輸入控制緩存模塊、XY路由計(jì)算模塊、仲裁模塊、交叉開關(guān)控制模塊、輸出控制模塊5個(gè)部分。

路由器的信息處理流程大概如下：若輸入為東/西/南/北方向的數(shù)據(jù)，存儲(chǔ)在對(duì)應(yīng)的緩存，若輸入為PE的請(qǐng)求則需要組裝數(shù)據(jù)包、存儲(chǔ)數(shù)據(jù)包至相應(yīng)輸入控制緩存；同時(shí)將目標(biāo)PE號(hào)發(fā)送至路由計(jì)算模塊；每一個(gè)方向?qū)?yīng)一個(gè)仲裁器，仲裁器仲裁出可以輸出的通路；交叉開關(guān)負(fù)責(zé)輸入輸出方向的對(duì)應(yīng)；輸出端口控制輸出數(shù)據(jù)包的發(fā)送，如果數(shù)據(jù)包輸出方向?yàn)闁|/西/南/北方向，則按照握手協(xié)議輸出數(shù)據(jù)包；若數(shù)據(jù)包為PE輸出方向的數(shù)據(jù)，則需要解析數(shù)據(jù)包頭信息，根據(jù)數(shù)據(jù)包頭信息做不同的操作。

1.2 輸入控制模塊設(shè)計(jì)

實(shí)現(xiàn)路由器輸入模塊要處理的請(qǐng)求分為PE給路由的請(qǐng)求和路由給路由的請(qǐng)求。對(duì)于PE給路由的請(qǐng)求，路由需要從請(qǐng)求的數(shù)據(jù)包來判斷是什么請(qǐng)求，需要時(shí)讀取存儲(chǔ)或者寄存器，將讀取的數(shù)據(jù)放入fifo中進(jìn)行緩存，也就是輸入緩存，經(jīng)過仲裁判斷后，直接從fifo讀取數(shù)據(jù)，這樣可有效提高數(shù)據(jù)的傳輸效率。至于路由給路由發(fā)送的請(qǐng)求，則接收路由發(fā)來的數(shù)據(jù)包，其中數(shù)據(jù)包包含有目標(biāo)PE、指令類型等一系列內(nèi)容，并且要通信的數(shù)據(jù)也包含在數(shù)據(jù)包中。路由只需解析數(shù)據(jù)包并完成數(shù)據(jù)的通信即可。在輸入模塊主要是產(chǎn)生目標(biāo)PE的ID號(hào)，用于XY路由計(jì)算模塊。在輸入控制模塊，PE與路由的數(shù)據(jù)交換是通過讀數(shù)據(jù)的形式。

1.3 數(shù)據(jù)處理設(shè)計(jì)

（1）輸入輸出代理對(duì)接收到的外部數(shù)據(jù)進(jìn)行識(shí)別分流和復(fù)制分發(fā)，將數(shù)據(jù)平面的數(shù)據(jù)送至轉(zhuǎn)發(fā)單元進(jìn)行處理，將控制/管理平面的數(shù)據(jù)發(fā)送至在線執(zhí)行體（worker和inspectors）進(jìn)行處理。（2）在線執(zhí)行體（worker和inspectors）對(duì)收到的控制/管理平面的數(shù)據(jù)進(jìn)行獨(dú)立處理，并將結(jié)果發(fā)送給多模裁決。（3）多模裁決對(duì)收到的在線執(zhí)行體的數(shù)據(jù)進(jìn)行裁決，按照系統(tǒng)預(yù)設(shè)策略選取輸出，并將比對(duì)結(jié)果發(fā)送至中央控制器。（4）中央控制器收到多模裁決上報(bào)的裁決結(jié)果，處理出現(xiàn)異常的執(zhí)行體。如果只有inspector出現(xiàn)異常，從執(zhí)行體池中按照既定策略選取等量的執(zhí)行體替代異常執(zhí)行體工作，并將異常執(zhí)行體下線清洗。如果執(zhí)行體池中剩余執(zhí)行體數(shù)量不足，則將它們?nèi)窟x取上線，并修改相應(yīng)的運(yùn)行狀態(tài)參數(shù)（在線執(zhí)行體數(shù)量）。

二、系統(tǒng)測(cè)試

針對(duì)傳統(tǒng)路由器的測(cè)試方法雖然能對(duì)路由器的功能、性能、可靠性等指標(biāo)做出評(píng)判，但在評(píng)估路由器抵御網(wǎng)絡(luò)攻擊能力方面仍然沒有較好的解決方法，而且傳統(tǒng)的測(cè)試方法也無法對(duì)擬態(tài)防御機(jī)制在路由器中的實(shí)施過程進(jìn)行驗(yàn)證。因此，本文設(shè)計(jì)了針對(duì)擬態(tài)防御機(jī)制的測(cè)試方法以及對(duì)防御效果的測(cè)試方法，這兩種方法綜合利用開放內(nèi)部模塊接口、結(jié)果對(duì)照分析等手段，分別從實(shí)現(xiàn)過程和實(shí)現(xiàn)效果兩個(gè)角度對(duì)被測(cè)對(duì)象的防御能力進(jìn)行評(píng)估。按照新的測(cè)試思路，可將測(cè)試內(nèi)容分為以下三個(gè)部分：

（1）路由器基礎(chǔ)性能測(cè)試

主要目的是檢測(cè)擬態(tài)路由器在其架構(gòu)中加入了用于實(shí)現(xiàn)擬態(tài)防御機(jī)制的相關(guān)單元和模塊后，是否會(huì)對(duì)系統(tǒng)的轉(zhuǎn)發(fā)性能和路由計(jì)算等基礎(chǔ)能力產(chǎn)生影響。

（2）擬態(tài)防御機(jī)制測(cè)試主要目的是測(cè)試實(shí)現(xiàn)擬態(tài)防御機(jī)制的相關(guān)模塊是否能夠按照設(shè)計(jì)要求正常運(yùn)行，并能有效地實(shí)現(xiàn)擬態(tài)防御機(jī)制。

（3）防御效果測(cè)試主要目的是測(cè)試在不消除路由器固有漏洞或后門的前提下，被測(cè)系統(tǒng)是否能夠：

測(cè)試方法可以分為兩類：符合型測(cè)試和開放配合型測(cè)試。對(duì)于有標(biāo)準(zhǔn)或設(shè)計(jì)規(guī)范可遵循的內(nèi)容，按照符合型測(cè)試方法，測(cè)試被測(cè)對(duì)象與相關(guān)標(biāo)準(zhǔn)、理論框架、設(shè)計(jì)要求等的一致性。而對(duì)于網(wǎng)絡(luò)攻擊，攻擊鏈前一環(huán)節(jié)的成功是后續(xù)環(huán)節(jié)開展的前提，為突破這一限制，覆蓋攻擊鏈的所有環(huán)節(jié)，評(píng)估擬態(tài)機(jī)制對(duì)斬?cái)喙翩湼鳝h(huán)節(jié)的效果，采用開放配合型測(cè)試方法。

三、結(jié)束語(yǔ)

綜上所述，路由器是網(wǎng)絡(luò)空間中最為重要的基礎(chǔ)核心設(shè)備，由于其封閉性，導(dǎo)致存在大量未知漏洞和后門，使其成為了攻擊者的重要攻擊目標(biāo)。由于傳統(tǒng)被動(dòng)防御方法的局限性，難以應(yīng)對(duì)未知漏洞和后門。并對(duì)基于未知后門或漏洞的攻擊進(jìn)行有效阻斷和防御，大幅提升了自身的安全防護(hù)能力，證明擬態(tài)防御機(jī)制的有效性。

參 考 文 獻(xiàn)

[1] 閆巧，牛軍軍. 嵌入式3G路由器的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2013，03：868-872.

[2] 程亞麗. 專用型輕量級(jí)嵌入式路由器的設(shè)計(jì)與實(shí)現(xiàn)[D]. 武漢輕工大學(xué)，2013.

[3] 閆巧，李保廣. 嵌入式3G路由器實(shí)用功能的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2014，05：1634-1635+1638+1693.