嵌入式家用路由器的设计与实现

陈强

【摘要】 随着嵌入式设备的不断普及，嵌入式開发的发展，开发工具的成熟，成本的降低；加上宽带接入的增加带动宽带路由器的需求增加，本文在此背景下对嵌入式宽带路由器的进行研究和设计。路由器的应用和普及随着宽频上网的普及和价格的下降，越来越多的中小企业和家庭使用ADSL或Cable Modem来上网。在此情况下，为使企业或家中多台电脑组成的小型局域网接入互联网，使用路由器是最佳选择。路由器可配置为DHCP服务器，路由器内建的防火墙还可以抵御黑客的入侵。

【关键词】 嵌入式 家用路由器 设计与实现

现阶段的家用电器的发展已经进入到了一个智能时代，智能设备大有井喷之势。无线路由器作为家庭互联网的入口设备，更是不例外的踏入了智能时代。路由器是网络中的核心基础设备，但其面对基于漏洞和后门的攻击时却缺少有效的防御手段。拟态防御机制作为一种创新的主动防御方法引入到路由器的设计架构中，构建了路由器拟态防御原理验证系统。其中，嵌入式Linux系统具有性能优异、软件移植容易以及实时性能、稳定性能、安全性能良好等优点，在许多领域得到了广泛的应用。基于此，本文对基于嵌入式Linux系统的无线路由器设计进行介绍。

一、系统的设计

1.1 路由器整体结构

根据以上所述功能设计的路由器分为输入控制缓存模块、XY路由计算模块、仲裁模块、交叉开关控制模块、输出控制模块5个部分。

路由器的信息处理流程大概如下：若输入为东/西/南/北方向的数据，存储在对应的缓存，若输入为PE的请求则需要组装数据包、存储数据包至相应输入控制缓存；同时将目标PE号发送至路由计算模块；每一个方向对应一个仲裁器，仲裁器仲裁出可以输出的通路；交叉开关负责输入输出方向的对应；输出端口控制输出数据包的发送，如果数据包输出方向为东/西/南/北方向，则按照握手协议输出数据包；若数据包为PE输出方向的数据，则需要解析数据包头信息，根据数据包头信息做不同的操作。

1.2 输入控制模块设计

实现路由器输入模块要处理的请求分为PE给路由的请求和路由给路由的请求。对于PE给路由的请求，路由需要从请求的数据包来判断是什么请求，需要时读取存储或者寄存器，将读取的数据放入fifo中进行缓存，也就是输入缓存，经过仲裁判断后，直接从fifo读取数据，这样可有效提高数据的传输效率。至于路由给路由发送的请求，则接收路由发来的数据包，其中数据包包含有目标PE、指令类型等一系列内容，并且要通信的数据也包含在数据包中。路由只需解析数据包并完成数据的通信即可。在输入模块主要是产生目标PE的ID号，用于XY路由计算模块。在输入控制模块，PE与路由的数据交换是通过读数据的形式。

1.3 数据处理设计

（1）输入输出代理对接收到的外部数据进行识别分流和复制分发，将数据平面的数据送至转发单元进行处理，将控制/管理平面的数据发送至在线执行体（worker和inspectors）进行处理。（2）在线执行体（worker和inspectors）对收到的控制/管理平面的数据进行独立处理，并将结果发送给多模裁决。（3）多模裁决对收到的在线执行体的数据进行裁决，按照系统预设策略选取输出，并将比对结果发送至中央控制器。（4）中央控制器收到多模裁决上报的裁决结果，处理出现异常的执行体。如果只有inspector出现异常，从执行体池中按照既定策略选取等量的执行体替代异常执行体工作，并将异常执行体下线清洗。如果执行体池中剩余执行体数量不足，则将它们全部选取上线，并修改相应的运行状态参数（在线执行体数量）。

二、系统测试

针对传统路由器的测试方法虽然能对路由器的功能、性能、可靠性等指标做出评判，但在评估路由器抵御网络攻击能力方面仍然没有较好的解决方法，而且传统的测试方法也无法对拟态防御机制在路由器中的实施过程进行验证。因此，本文设计了针对拟态防御机制的测试方法以及对防御效果的测试方法，这两种方法综合利用开放内部模块接口、结果对照分析等手段，分别从实现过程和实现效果两个角度对被测对象的防御能力进行评估。按照新的测试思路，可将测试内容分为以下三个部分：

（1）路由器基础性能测试

主要目的是检测拟态路由器在其架构中加入了用于实现拟态防御机制的相关单元和模块后，是否会对系统的转发性能和路由计算等基础能力产生影响。

（2）拟态防御机制测试主要目的是测试实现拟态防御机制的相关模块是否能够按照设计要求正常运行，并能有效地实现拟态防御机制。

（3）防御效果测试主要目的是测试在不消除路由器固有漏洞或后门的前提下，被测系统是否能够：

测试方法可以分为两类：符合型测试和开放配合型测试。对于有标准或设计规范可遵循的内容，按照符合型测试方法，测试被测对象与相关标准、理论框架、设计要求等的一致性。而对于网络攻击，攻击链前一环节的成功是后续环节开展的前提，为突破这一限制，覆盖攻击链的所有环节，评估拟态机制对斩断攻击链各环节的效果，采用开放配合型测试方法。

三、结束语

综上所述，路由器是网络空间中最为重要的基础核心设备，由于其封闭性，导致存在大量未知漏洞和后门，使其成为了攻击者的重要攻击目标。由于传统被动防御方法的局限性，难以应对未知漏洞和后门。并对基于未知后门或漏洞的攻击进行有效阻断和防御，大幅提升了自身的安全防护能力，证明拟态防御机制的有效性。

参 考 文 献

[1] 闫巧，牛军军. 嵌入式3G路由器的设计与实现[J]. 计算机工程与设计，2013，03：868-872.

[2] 程亚丽. 专用型轻量级嵌入式路由器的设计与实现[D]. 武汉轻工大学，2013.

[3] 闫巧，李保广. 嵌入式3G路由器实用功能的设计与实现[J]. 计算机工程与设计，2014，05：1634-1635+1638+1693.