吉林大學(xué)電子科學(xué)與工程學(xué)院　胡冬雪

嵌入式系統(tǒng)互聯(lián)網(wǎng)接入的研究

吉林大學(xué)電子科學(xué)與工程學(xué)院胡冬雪

隨著移動終端種類的多樣化發(fā)展，傳統(tǒng)通信方式已經(jīng)難以滿足互聯(lián)網(wǎng)高端應(yīng)用對通信可靠性和通信速度的要求，在此背景下，結(jié)合TCP/IP協(xié)議棧、ARP協(xié)議、UDP協(xié)議、TCP協(xié)議等規(guī)定，進行嵌入式系統(tǒng)互聯(lián)網(wǎng)接入研究已經(jīng)成為必然，本文為對嵌入式系統(tǒng)互聯(lián)網(wǎng)接入產(chǎn)生更加全面的認識，對其軟硬件體系架構(gòu)、實現(xiàn)設(shè)計以及整體性能展開研究。

嵌入式系統(tǒng)；互聯(lián)網(wǎng)接入；通信協(xié)議

一、前言

嵌入式系統(tǒng)即基于計算機技術(shù)的，可通過軟硬件剪裁滿足應(yīng)用系統(tǒng)對成本、功能、體積、功耗、可靠性等方面要求的專用計算機系統(tǒng)，其通常由嵌入式微處理器、外圍硬件設(shè)備、嵌入式操作系統(tǒng)以及特定的應(yīng)用程序構(gòu)成，具有專用性強、系統(tǒng)內(nèi)核小、對開發(fā)工具和環(huán)境依賴程度高等特點，為達到高性能微處理器和嵌入式操作系統(tǒng)可以在高端應(yīng)用場合產(chǎn)生理想性能/價格比的效果，需要對嵌入式系統(tǒng)互聯(lián)網(wǎng)接入進行優(yōu)化設(shè)計。

二、嵌入式系統(tǒng)互聯(lián)網(wǎng)接入的軟硬件架構(gòu)

（一）嵌入式系統(tǒng)互聯(lián)網(wǎng)接入的硬件架構(gòu)

首先，考慮到ISA總線標(biāo)準(zhǔn)可以滿足16位數(shù)據(jù)總線寬度且組成結(jié)構(gòu)相對簡單，所以選擇其作為TCP/IP協(xié)議軟件運行的硬件平臺，達到數(shù)據(jù)傳輸效率較高同時橋接電路環(huán)節(jié)被舍去的效果。圖1為嵌入式計算機系統(tǒng)的結(jié)構(gòu)簡圖，在其運作的過程中會通過NIC與以太網(wǎng)絡(luò)連接，由于RTL8019控制器的總線接口采用ISA標(biāo)準(zhǔn)，滿足雙絞線、同軸電纜等接口需要，并集成了數(shù)據(jù)儲備器等結(jié)構(gòu)功能，在應(yīng)用的過程中，只通過外接隔離變壓器即可滿足以太網(wǎng)接入的硬件要求，而且通過DMA數(shù)據(jù)傳輸方式可以極大的縮減處理器占用率，所以選用其作為嵌入式系統(tǒng)互聯(lián)網(wǎng)接入的NIC硬件結(jié)構(gòu)。在接入過程中處理器的選擇，要結(jié)合應(yīng)用的具體領(lǐng)域進行，以此滿足性能/價格比較高的要求，通常情況下，高端、低端領(lǐng)域分別應(yīng)用處理能力非常強，具有32K字存儲器和100MHz時鐘頻率的TMS320VC5409 DSP和P89C5lUBPN，而介于兩者之間的領(lǐng)域則以C8051F020和MSP430為主，需要注意的是，在TCP/IP協(xié)議棧運行中，要針對具體選用的處理器配置相應(yīng)的存儲器，保證各控制器存儲功能的實際需要。

圖1　嵌入式計算機系統(tǒng)的結(jié)構(gòu)簡圖

（二）嵌入式系統(tǒng)互聯(lián)網(wǎng)接入的軟件架構(gòu)

普通PC機中軟件系統(tǒng)架構(gòu)通常由應(yīng)用、應(yīng)用程序接口、TCP/ IP協(xié)議棧、硬件驅(qū)動程序和硬件控制器構(gòu)成，而在簡單嵌入式設(shè)備中軟件系統(tǒng)直接由應(yīng)用和硬件控制器構(gòu)成，后者雖然看似簡單，但這對軟件的復(fù)雜性以及與底層硬件的相似性提出了更高的要求，其要同時完成應(yīng)用層和TCP/IP協(xié)議棧的任務(wù)，并對底層硬件控制器進行有效的驅(qū)動，所以在嵌入式系統(tǒng)互聯(lián)網(wǎng)接入軟件設(shè)計的過程中，一方面要將TCP/IP協(xié)議分層封裝于對應(yīng)的函數(shù)中，并通過函數(shù)調(diào)用實現(xiàn)協(xié)議層間的聯(lián)系，以此在區(qū)分協(xié)議各層功能的同時避免任務(wù)切換，另一方面要通過全局數(shù)組方式，使協(xié)議軟件對數(shù)據(jù)存儲區(qū)資源共享，以此降低提升數(shù)據(jù)傳輸?shù)男?，這種方式雖然在一定程度上會降低整體的吞吐率，但對保證應(yīng)用運行的可靠性和協(xié)議棧數(shù)據(jù)處理的連續(xù)性具有較好的效果。

三、嵌入式系統(tǒng)互聯(lián)網(wǎng)接入的實現(xiàn)

由于每個TCP/IP協(xié)議棧對應(yīng)的應(yīng)用場合并不一致，所以其既要具有協(xié)議規(guī)定的功能，又要具有特定場合下的特殊功能，所以要保證協(xié)議棧目標(biāo)功能的實現(xiàn)，要保證其網(wǎng)絡(luò)接口層、UDP層、IP層、TCP層等均能滿足TCP/IP協(xié)議棧功能實現(xiàn)的要求，筆者以網(wǎng)絡(luò)接口層的實現(xiàn)為例，網(wǎng)絡(luò)接口層作為協(xié)議軟件和底層硬件接口的定義，可以對網(wǎng)絡(luò)硬件進行管理，使映射過程得以完成，并實現(xiàn)數(shù)據(jù)的輸出和接收，在設(shè)計的過程中，首先，保證硬件驅(qū)動模塊初始化網(wǎng)絡(luò)控制器、查詢并取回主機輸送數(shù)據(jù)幀、與控制器通信等功能實現(xiàn)，通過聯(lián)合類型保證數(shù)據(jù)存儲區(qū)被共享，降低內(nèi)存的消耗，并按照以太網(wǎng)絡(luò)數(shù)據(jù)幀的儲存限值確定具體的聯(lián)合類型占用字節(jié)數(shù)量，以此保證緩沖區(qū)的容量定義滿足以太網(wǎng)數(shù)據(jù)幀傳輸?shù)膶嶋H需要，舍去IP層分包、重組等過程，在進行硬件驅(qū)動模塊設(shè)計的過程中，要對選用的控制器進行初始化設(shè)置，此時其必須定位合適的MAC地址和緩存數(shù)據(jù)的具體結(jié)構(gòu)，為判斷控制器接收的數(shù)據(jù)是否需要保留提供依據(jù)，保證控制器功能的實現(xiàn)。由于硬件驅(qū)動模塊中ReceivePacket函數(shù)是協(xié)議棧輸入來源，對寄存器中存儲的數(shù)據(jù)具有讀取的功能，所以要保證協(xié)議棧功能的實現(xiàn)，需要對其進行反復(fù)的調(diào)用，實踐證明調(diào)用的頻率與協(xié)議棧吞吐率之間具有較顯著的正相關(guān)性，這決定在設(shè)計的過程中要以環(huán)形接受隊列的形式存在，對出現(xiàn)的異常指示進行針對性的處理，而SendPacket作為硬件驅(qū)動模塊中網(wǎng)絡(luò)控制器發(fā)送數(shù)據(jù)包的唯一入口，在設(shè)計的過程中，要多次反復(fù)的對未發(fā)送成功的數(shù)據(jù)進行重新發(fā)送，并將一直發(fā)送失敗的數(shù)據(jù)以報告的形式向上級進行發(fā)送，使調(diào)用的所有數(shù)據(jù)包均處于被處理的狀態(tài)。其次，在分組分路設(shè)計的過程中，為保證每個分組均由對應(yīng)的協(xié)議進行有效處理，需要在對應(yīng)的函數(shù)中存放分錄程序代碼或通過表格使分組類型和處理過程建立對應(yīng)關(guān)系，在分組分路設(shè)計完成后，硬件驅(qū)動模塊生成的數(shù)據(jù)會被分組配置，并對應(yīng)的進行處理。再次，在ARP協(xié)議設(shè)計中，為保證上層協(xié)議與下層硬件驅(qū)動之間的成功轉(zhuǎn)換，要將其劃分成輸出模塊、輸入模塊、高速緩存管理模塊三部分，前者要在數(shù)據(jù)發(fā)送的過程中完成IP地址向物理地址的綁定，并在綁定后實現(xiàn)封裝和發(fā)送分組，而輸入模塊要對APR分組數(shù)據(jù)進行處理并進行二次綁定，使其高速緩存的內(nèi)容滿足入網(wǎng)的需要，后者為輸入模塊的高速緩存內(nèi)容替換提供策略支持。

四、結(jié)論

通過上述分析可以發(fā)現(xiàn)，對嵌入式系統(tǒng)互聯(lián)網(wǎng)接入展開研究，是微處理器性能不斷提升、嵌入式操作系統(tǒng)愈加復(fù)雜情況下，保證其性能/價格比的必然選擇，在進行設(shè)計的過程中，要結(jié)合嵌入式系統(tǒng)的特點以及互聯(lián)網(wǎng)通信協(xié)議等方面進行。

［1］鄔明罡.物聯(lián)網(wǎng)技術(shù)體系初步成熟［N］.人民郵電報，2015-07-29（007）.

［2］劉曉慧.物聯(lián)網(wǎng)與嵌入式技術(shù)［J］.電腦學(xué)習(xí)，2011，4（2）：27-28.

［3］何克麗.物聯(lián)網(wǎng)時代下的嵌入式系統(tǒng)［J］.信息技術(shù)學(xué)報，2015，12：12-26.

［4］UylessB.TCP/IP及相關(guān)協(xié)議［M］.良友翻譯組譯.北京：機械工業(yè)出版，2013：67-68.

［5］GaryR，WrightW，RichardS.TCP/IP詳解［M］.陸雪瑩，蔣慧譯.北京：機械工業(yè)出版社，2014：2，11-47，162-266.

探究互聯(lián)網(wǎng)數(shù)據(jù)中心的基本結(jié)構(gòu)、安全隱患與防護方案

鎮(zhèn)江高等專科學(xué)校 鄭 恒

【摘要】計算機技術(shù)、網(wǎng)絡(luò)技術(shù)等現(xiàn)代信息技術(shù)的飛速發(fā)展，使得互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)受到了越來越多的關(guān)注，在為人們提供便利的信息服務(wù)的同時，隨之而來的安全問題對于信息安全造成了巨大的威脅。本文結(jié)合互聯(lián)網(wǎng)數(shù)據(jù)中心的基本結(jié)構(gòu)，分析了其所面臨的安全隱患，并提出了切實有效的安全防護方案。

【關(guān)鍵詞】互聯(lián)網(wǎng)數(shù)據(jù)中心 基本結(jié)構(gòu) 安全隱患 防護方案

前言

在當(dāng)前知識與技術(shù)持續(xù)創(chuàng)新的背景下，互聯(lián)網(wǎng)得到了迅猛發(fā)展，逐漸向著“互聯(lián)網(wǎng)+”的領(lǐng)域邁進，其不僅推動了社會經(jīng)濟形態(tài)的持續(xù)演變，充分激活社會經(jīng)濟實體本身的生命力，也為改革發(fā)展和創(chuàng)新提供相應(yīng)的網(wǎng)絡(luò)平臺。而伴隨而來的各種安全隱患，對于互聯(lián)網(wǎng)數(shù)據(jù)中心的安全防護能力提出了更高的要求，也受到了運營單位的高度重視。

1.互聯(lián)網(wǎng)數(shù)據(jù)中心的基本結(jié)構(gòu)

互聯(lián)網(wǎng)數(shù)據(jù)中心（Internet Data Center，IDC），是為了滿足互聯(lián)網(wǎng)業(yè)務(wù)以及政府部門、企事業(yè)單位信息服務(wù)需求而構(gòu)建的應(yīng)用基礎(chǔ)設(shè)施，可以通過與互聯(lián)網(wǎng)的連接，能夠憑借豐富的計算、網(wǎng)絡(luò)及應(yīng)用資源，向客戶提供各類增值服務(wù)，如主機托管、網(wǎng)絡(luò)帶寬租用、企業(yè)網(wǎng)站建設(shè)等，其服務(wù)具有良好的安全性和可靠性。

IDC的架構(gòu)是非常復(fù)雜的，可以大致將其分為四個不同的層次，一是互聯(lián)網(wǎng)接入層，主要負責(zé)與INTERNET的相互連接，確保IDC內(nèi)部網(wǎng)絡(luò)能夠?qū)崿F(xiàn)對互聯(lián)網(wǎng)的高速訪問，同時也可以對網(wǎng)絡(luò)匯聚層的交換機進行管理，實現(xiàn)對內(nèi)網(wǎng)及外網(wǎng)路由信息的轉(zhuǎn)換和維護工作；二是匯聚層，向上負責(zé)與核心路由器的互聯(lián)，向下則負責(zé)對多個業(yè)務(wù)區(qū)業(yè)務(wù)接入層交換機的匯聚［1］。在匯聚層中設(shè)置有相應(yīng)的安全設(shè)備，能夠?qū)崿F(xiàn)對內(nèi)部網(wǎng)絡(luò)的安全防范，一些重點業(yè)務(wù)或者大客戶也可以直接接入到匯聚層的交換機中；三是業(yè)務(wù)接入層，主要負責(zé)各個業(yè)務(wù)區(qū)內(nèi)部主機和網(wǎng)絡(luò)設(shè)備的接入等，而且能夠根據(jù)業(yè)務(wù)需求，提供類型多樣的QoS及安全策略；四是運維管理層，負責(zé)對IDC系統(tǒng)的日常運行維護。在該層應(yīng)該獨立建網(wǎng)，與IDC業(yè)務(wù)網(wǎng)絡(luò)隔離開來，以避免相互之間的影響。

2.互聯(lián)網(wǎng)數(shù)據(jù)中心面臨的安全威脅

2.1環(huán)境的安全威脅

主要指在對IDC系統(tǒng)進行建構(gòu)的過程中，缺乏全面細致的考慮，從而引發(fā)的安全威脅，如設(shè)備的人為損壞或者盜竊、服務(wù)器及存儲機制的老化、電磁輻射的影響、斷電威脅以及自然災(zāi)害的威脅等。其會直接導(dǎo)致物理層面的破壞，引發(fā)非常嚴重的后果。

2.2設(shè)備的安全威脅

一是設(shè)備本身存在缺陷或者沒有能夠及時修復(fù)的安全缺陷，在使用中影響IDC業(yè)務(wù)的可靠性和安全性；二是設(shè)備系統(tǒng)出現(xiàn)故障，導(dǎo)致IDC系統(tǒng)無法正常運行；三是設(shè)備系統(tǒng)存在錯誤的配置或者操作，引發(fā)信息泄露等問題［2］。

2.3網(wǎng)絡(luò)的安全威脅

一是來自互聯(lián)網(wǎng)或者數(shù)據(jù)中心內(nèi)部的各種網(wǎng)絡(luò)攻擊，包括DDOS攻擊、系統(tǒng)漏洞攻擊等；二是病毒以及惡意軟件的威脅，輕則導(dǎo)致數(shù)據(jù)的泄露和丟失，重則導(dǎo)致系統(tǒng)整體的癱瘓；三是黑客定點攻擊，使得IDC內(nèi)部資源和數(shù)據(jù)信息被竊取或者破壞。

2.4數(shù)據(jù)的安全威脅

數(shù)據(jù)安全威脅主要體現(xiàn)在兩個方面，一是網(wǎng)管數(shù)據(jù)，其所面臨的威脅包括了數(shù)據(jù)在傳輸環(huán)節(jié)遭到竊取、破壞、篡改或者越權(quán)訪問，導(dǎo)致數(shù)據(jù)的丟失，或者由于介質(zhì)損壞、誤操作等導(dǎo)致的數(shù)據(jù)丟失及泄露問題；二是內(nèi)部業(yè)務(wù)數(shù)據(jù)，面臨的安全威脅包括了病毒、木馬的入侵，惡意軟件的破壞等，也包括賬號密碼的丟失、數(shù)據(jù)權(quán)限管理問題等。

3.互聯(lián)網(wǎng)數(shù)據(jù)中心的安全防護方案

針對上述安全威脅，想要保證IDC業(yè)務(wù)的安全性，就必須從實際需求出發(fā)，采取有效的安全防護措施，降低乃至消除安全威脅對于IDC的影響，保證良好的運營效果［3］。

3.1樹立安全防護意識

管理人員應(yīng)該正視IDC業(yè)務(wù)中存在的各種安全威脅，樹立起相應(yīng)的安全防護意識，充分認識到互聯(lián)網(wǎng)數(shù)據(jù)信息安全的重要性，強化安全意識和責(zé)任意識，在日常工作中嚴格依照相關(guān)標(biāo)準(zhǔn)和規(guī)范進行操作，約束自身行為，對于一些重要的業(yè)務(wù)信息，必須強化監(jiān)管工作，構(gòu)建起完善的信息網(wǎng)絡(luò)安全防范體系，確保IDC業(yè)務(wù)的安全性。

3.2強化物理安全防護

一方面，應(yīng)該做好設(shè)備的防盜防破壞工作，安排專人進行定期巡查，強化監(jiān)管工作；另一方面，必須保證設(shè)備運行環(huán)境的安全。具體來講，應(yīng)該將網(wǎng)絡(luò)設(shè)備放置在一個相對安全的環(huán)境中，做好電源保護；建立機房環(huán)境報警系統(tǒng)，對機房電力、溫濕度等異常情況進行預(yù)警；對于與系統(tǒng)連接的存儲設(shè)備，需要進行妥善保管，防止出現(xiàn)數(shù)據(jù)的損壞或者信息的泄露；應(yīng)該強化安全防護策略，完善網(wǎng)絡(luò)本身的物理防御，設(shè)置主機防御和邊界防御，利用防火墻對網(wǎng)絡(luò)接入點進行保護，提升其對于意外事故的抵御能力。

3.3落實安全防護部署

對于不同的業(yè)務(wù)層，需要采取不同的安全防護策略，以確保良好的防護效果。

（1）接入層：作為IDC與互聯(lián)網(wǎng)相互連接的出口，接入層可以提供高速穩(wěn)定的網(wǎng)絡(luò)連接，也可以實現(xiàn)路由選擇及分發(fā)功能，可以對來自外網(wǎng)的安全威脅進行過濾。對于比較常見的DDOS攻擊，可以在接入層中部署異常流量監(jiān)測系統(tǒng)以及過濾系統(tǒng)等，系統(tǒng)能夠?qū)φＡ髁亢彤惓Ａ髁窟M行智能區(qū)分，當(dāng)發(fā)現(xiàn)異常流量后，會自動對齊進行過濾和阻截，然后將經(jīng)過過濾后的正常流量加注到網(wǎng)絡(luò)中。同時，也可以實現(xiàn)對內(nèi)網(wǎng)數(shù)據(jù)的監(jiān)控，在完成異常流量的攔截和清洗后，在傳輸?shù)酵饩W(wǎng)中去［4］。

（2）匯聚層：在匯聚層，一方面可以部署防火墻，實現(xiàn)對病毒以及惡意軟件、黑客攻擊的防護。這里采用雙重異構(gòu)防火墻，可以實現(xiàn)對于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的相互隔離，外層防火墻強調(diào)粗粒度訪問控制，內(nèi)層防火墻則主要是針對具體系統(tǒng)的細粒度訪問控制；另一方面，應(yīng)該布設(shè)入侵監(jiān)測系統(tǒng)，通常是利用端口鏡像技術(shù)將其布設(shè)在匯聚交換機上，可以對來住互聯(lián)網(wǎng)的攻擊行為以及內(nèi)部系統(tǒng)之間的相互攻擊進行監(jiān)測，保證系統(tǒng)的運行效果。

（3）業(yè)務(wù)層：可以細分為自有業(yè)務(wù)以及第三方業(yè)務(wù)，包括了接入交換機、業(yè)務(wù)系統(tǒng)服務(wù)器以及存儲設(shè)備等。其中，自有業(yè)務(wù)的主機系統(tǒng)具備較高的可控權(quán)限，為了保證網(wǎng)絡(luò)的可靠性和安全性，可以通過設(shè)置雙層異構(gòu)防火墻的方式，將其與第三方業(yè)務(wù)隔離開來，結(jié)合入侵檢測系統(tǒng)、防病毒系統(tǒng)、WEB漏洞掃描系統(tǒng)等，形成一體化的安全防護體系；第三方業(yè)務(wù)主要是為第三方客戶提供業(yè)務(wù)服務(wù)，對于主機以及系統(tǒng)并沒有較高的管控權(quán)限，因此可以根據(jù)實際需求，設(shè)置防火墻、漏洞掃描、病毒防護等措施。

（4）維護層：主要是維護人員針對數(shù)據(jù)中心系統(tǒng)進行管理和維護，需要重點加強安全認證工作，確保維護人員在對數(shù)據(jù)中心設(shè)備及資源進行訪問時，必須具備一定的操作權(quán)限，強化安全認證以及訪問控制，結(jié)合系統(tǒng)日志的審計功能，對病毒以及漏洞攻擊等進行防范。具體來講，可以在維護層交換機和數(shù)據(jù)中心的匯聚交換機之間部署防火墻以及安全管控系統(tǒng)，通過訪問控制、賬號密碼管理、權(quán)限管理以及安全審計等，保證設(shè)備以及系統(tǒng)數(shù)據(jù)的安全［5］。

4.結(jié)語

互聯(lián)網(wǎng)數(shù)據(jù)中心可以為企業(yè)、公司等提供多樣化的增值服務(wù)，關(guān)系著企業(yè)的切身利益，因此，網(wǎng)絡(luò)環(huán)境的安全性直接決定了用戶的系統(tǒng)運營以及IDC業(yè)務(wù)的發(fā)展，必須得到足夠的重視。本文結(jié)合IDC的基本架構(gòu)，對其現(xiàn)階段面臨的安全隱患進行了分析，并從多個方面對IDC的安全防護措施部署進行了討論，希望能夠為IDC網(wǎng)絡(luò)安全體系的建設(shè)提供一些參考。

參考文獻

［1］欒俊廷.互聯(lián)網(wǎng)數(shù)據(jù)中心安全防護技術(shù)研究［J］.移動信息，2015（6）：9-10.

［2］朱偉.黑洞防護系統(tǒng)在互聯(lián)網(wǎng)數(shù)據(jù)中心的應(yīng)用研究［J］.金融電子化，2012（12）：66-67.

［3］汪芳，陳清金，房秉毅.互聯(lián)網(wǎng)數(shù)據(jù)中心安全管理［J］.中興通訊技術(shù)，2012，18（4）：23-26.

［4］劉佳，杜雪濤，朱文濤，張高山.互聯(lián)網(wǎng)數(shù)據(jù)中心安全解決方案［J］.電信工程技術(shù)與標(biāo)準(zhǔn)化，2010，23（2）：25-29.

［5］彭凱.面向云內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的安全防護機制研究［D］.北京郵電大學(xué)，2014.