陳強

【摘要】 隨著嵌入式設備的不斷普及，嵌入式開發(fā)的發(fā)展，開發(fā)工具的成熟，成本的降低；加上寬帶接入的增加帶動寬帶路由器的需求增加，本文在此背景下對嵌入式寬帶路由器的進行研究和設計。路由器的應用和普及隨著寬頻上網(wǎng)的普及和價格的下降，越來越多的中小企業(yè)和家庭使用ADSL或Cable Modem來上網(wǎng)。在此情況下，為使企業(yè)或家中多臺電腦組成的小型局域網(wǎng)接入互聯(lián)網(wǎng)，使用路由器是最佳選擇。路由器可配置為DHCP服務器，路由器內(nèi)建的防火墻還可以抵御黑客的入侵。

【關鍵詞】 嵌入式 家用路由器 設計與實現(xiàn)

現(xiàn)階段的家用電器的發(fā)展已經(jīng)進入到了一個智能時代，智能設備大有井噴之勢。無線路由器作為家庭互聯(lián)網(wǎng)的入口設備，更是不例外的踏入了智能時代。路由器是網(wǎng)絡中的核心基礎設備，但其面對基于漏洞和后門的攻擊時卻缺少有效的防御手段。擬態(tài)防御機制作為一種創(chuàng)新的主動防御方法引入到路由器的設計架構中，構建了路由器擬態(tài)防御原理驗證系統(tǒng)。其中，嵌入式Linux系統(tǒng)具有性能優(yōu)異、軟件移植容易以及實時性能、穩(wěn)定性能、安全性能良好等優(yōu)點，在許多領域得到了廣泛的應用。基于此，本文對基于嵌入式Linux系統(tǒng)的無線路由器設計進行介紹。

一、系統(tǒng)的設計

1.1 路由器整體結構

根據(jù)以上所述功能設計的路由器分為輸入控制緩存模塊、XY路由計算模塊、仲裁模塊、交叉開關控制模塊、輸出控制模塊5個部分。

路由器的信息處理流程大概如下：若輸入為東/西/南/北方向的數(shù)據(jù)，存儲在對應的緩存，若輸入為PE的請求則需要組裝數(shù)據(jù)包、存儲數(shù)據(jù)包至相應輸入控制緩存；同時將目標PE號發(fā)送至路由計算模塊；每一個方向?qū)粋€仲裁器，仲裁器仲裁出可以輸出的通路；交叉開關負責輸入輸出方向的對應；輸出端口控制輸出數(shù)據(jù)包的發(fā)送，如果數(shù)據(jù)包輸出方向為東/西/南/北方向，則按照握手協(xié)議輸出數(shù)據(jù)包；若數(shù)據(jù)包為PE輸出方向的數(shù)據(jù)，則需要解析數(shù)據(jù)包頭信息，根據(jù)數(shù)據(jù)包頭信息做不同的操作。

1.2 輸入控制模塊設計

實現(xiàn)路由器輸入模塊要處理的請求分為PE給路由的請求和路由給路由的請求。對于PE給路由的請求，路由需要從請求的數(shù)據(jù)包來判斷是什么請求，需要時讀取存儲或者寄存器，將讀取的數(shù)據(jù)放入fifo中進行緩存，也就是輸入緩存，經(jīng)過仲裁判斷后，直接從fifo讀取數(shù)據(jù)，這樣可有效提高數(shù)據(jù)的傳輸效率。至于路由給路由發(fā)送的請求，則接收路由發(fā)來的數(shù)據(jù)包，其中數(shù)據(jù)包包含有目標PE、指令類型等一系列內(nèi)容，并且要通信的數(shù)據(jù)也包含在數(shù)據(jù)包中。路由只需解析數(shù)據(jù)包并完成數(shù)據(jù)的通信即可。在輸入模塊主要是產(chǎn)生目標PE的ID號，用于XY路由計算模塊。在輸入控制模塊，PE與路由的數(shù)據(jù)交換是通過讀數(shù)據(jù)的形式。

1.3 數(shù)據(jù)處理設計

（1）輸入輸出代理對接收到的外部數(shù)據(jù)進行識別分流和復制分發(fā)，將數(shù)據(jù)平面的數(shù)據(jù)送至轉發(fā)單元進行處理，將控制/管理平面的數(shù)據(jù)發(fā)送至在線執(zhí)行體（worker和inspectors）進行處理。（2）在線執(zhí)行體（worker和inspectors）對收到的控制/管理平面的數(shù)據(jù)進行獨立處理，并將結果發(fā)送給多模裁決。（3）多模裁決對收到的在線執(zhí)行體的數(shù)據(jù)進行裁決，按照系統(tǒng)預設策略選取輸出，并將比對結果發(fā)送至中央控制器。（4）中央控制器收到多模裁決上報的裁決結果，處理出現(xiàn)異常的執(zhí)行體。如果只有inspector出現(xiàn)異常，從執(zhí)行體池中按照既定策略選取等量的執(zhí)行體替代異常執(zhí)行體工作，并將異常執(zhí)行體下線清洗。如果執(zhí)行體池中剩余執(zhí)行體數(shù)量不足，則將它們?nèi)窟x取上線，并修改相應的運行狀態(tài)參數(shù)（在線執(zhí)行體數(shù)量）。

二、系統(tǒng)測試

針對傳統(tǒng)路由器的測試方法雖然能對路由器的功能、性能、可靠性等指標做出評判，但在評估路由器抵御網(wǎng)絡攻擊能力方面仍然沒有較好的解決方法，而且傳統(tǒng)的測試方法也無法對擬態(tài)防御機制在路由器中的實施過程進行驗證。因此，本文設計了針對擬態(tài)防御機制的測試方法以及對防御效果的測試方法，這兩種方法綜合利用開放內(nèi)部模塊接口、結果對照分析等手段，分別從實現(xiàn)過程和實現(xiàn)效果兩個角度對被測對象的防御能力進行評估。按照新的測試思路，可將測試內(nèi)容分為以下三個部分：

（1）路由器基礎性能測試

主要目的是檢測擬態(tài)路由器在其架構中加入了用于實現(xiàn)擬態(tài)防御機制的相關單元和模塊后，是否會對系統(tǒng)的轉發(fā)性能和路由計算等基礎能力產(chǎn)生影響。

（2）擬態(tài)防御機制測試主要目的是測試實現(xiàn)擬態(tài)防御機制的相關模塊是否能夠按照設計要求正常運行，并能有效地實現(xiàn)擬態(tài)防御機制。

（3）防御效果測試主要目的是測試在不消除路由器固有漏洞或后門的前提下，被測系統(tǒng)是否能夠：

測試方法可以分為兩類：符合型測試和開放配合型測試。對于有標準或設計規(guī)范可遵循的內(nèi)容，按照符合型測試方法，測試被測對象與相關標準、理論框架、設計要求等的一致性。而對于網(wǎng)絡攻擊，攻擊鏈前一環(huán)節(jié)的成功是后續(xù)環(huán)節(jié)開展的前提，為突破這一限制，覆蓋攻擊鏈的所有環(huán)節(jié)，評估擬態(tài)機制對斬斷攻擊鏈各環(huán)節(jié)的效果，采用開放配合型測試方法。

三、結束語

綜上所述，路由器是網(wǎng)絡空間中最為重要的基礎核心設備，由于其封閉性，導致存在大量未知漏洞和后門，使其成為了攻擊者的重要攻擊目標。由于傳統(tǒng)被動防御方法的局限性，難以應對未知漏洞和后門。并對基于未知后門或漏洞的攻擊進行有效阻斷和防御，大幅提升了自身的安全防護能力，證明擬態(tài)防御機制的有效性。

參 考 文 獻

[1] 閆巧，牛軍軍. 嵌入式3G路由器的設計與實現(xiàn)[J]. 計算機工程與設計，2013，03：868-872.

[2] 程亞麗. 專用型輕量級嵌入式路由器的設計與實現(xiàn)[D]. 武漢輕工大學，2013.

[3] 閆巧，李保廣. 嵌入式3G路由器實用功能的設計與實現(xiàn)[J]. 計算機工程與設計，2014，05：1634-1635+1638+1693.