嵌入式家用路由器的設(shè)計與實現(xiàn)現(xiàn)階段的家用電器的進展已經(jīng)進入到了一個智能時代，智能設(shè)備大有井噴之勢。無線路由器作為家庭互聯(lián)XX的入口設(shè)備，更是不例外的踏入了智能時代。路由器是XX絡(luò)中的核心基礎(chǔ)設(shè)備，但其面對基于漏洞和后門的攻擊時卻缺少有效的防備手段。擬態(tài)防備機制作為一種創(chuàng)新的主動防備方法引入到路由器的設(shè)計架構(gòu)中，構(gòu)建了路由器擬態(tài)防備原理驗證系統(tǒng)。其中，嵌入式Linux系統(tǒng)具有性能優(yōu)異、軟件移植容易以及實時性能、穩(wěn)定性能、安全性能良好等優(yōu)點，在許多領(lǐng)域得到了廣泛的應(yīng)用?；诖?，本文對基于嵌入式Linux系統(tǒng)的無線路由器設(shè)計進行介紹。一、系統(tǒng)的設(shè)計路由器整體結(jié)構(gòu)根據(jù)以上所述功能設(shè)計的路由器分為輸入操縱緩存模塊、XY路由計算模塊、仲裁模塊、交叉開關(guān)操縱模塊、輸出操縱模塊5個部分。路由器的信息處理流程大概如下：若輸入為東/西/南/北方向的數(shù)據(jù)，存儲在對應(yīng)的緩存，若輸入為PE的請求則需要組裝數(shù)據(jù)包、存儲數(shù)據(jù)包至相應(yīng)輸入操縱緩存；同時將目標PE號發(fā)送至路由計算模塊；每一個方向?qū)?yīng)一個仲裁器，仲裁器仲裁出可以輸出的通路；交叉開關(guān)負責(zé)輸入輸出方向的對應(yīng)；輸出端口操縱輸出數(shù)據(jù)包的發(fā)送，如果數(shù)據(jù)包輸出方向為東/西/南/北方向，則按照握手協(xié)議輸出數(shù)據(jù)包；若數(shù)據(jù)包為PE輸出方向的數(shù)據(jù)，則需要解析數(shù)據(jù)包頭信息，根據(jù)數(shù)據(jù)包頭信息做不同的操作。輸入操縱模塊設(shè)計實現(xiàn)路由器輸入模塊要處理的請求分為PE給路由的請求和路由給路由的請求。對于PE給路由的請求，路由需要從請求的數(shù)據(jù)包來推斷是什么請求，需要時讀取存儲或者寄存器，將讀取的數(shù)據(jù)放入fifo中進行緩存，也就是輸入緩存，經(jīng)過仲裁推斷后，直接從fifo讀取數(shù)據(jù)，這樣可有效提高數(shù)據(jù)的傳輸效率。至于路由給路由發(fā)送的請求，則接收路由發(fā)來的數(shù)據(jù)包，其中數(shù)據(jù)包包含有目標PE、指令類型等一系列內(nèi)容，并且要通信的數(shù)據(jù)也包含在數(shù)據(jù)包中。路由只需解析數(shù)據(jù)包并完成數(shù)據(jù)的通信即可。在輸入模塊主要是產(chǎn)生目標PE的ID號，用于XY路由計算模塊。在輸入操縱模塊，PE與路由的數(shù)據(jù)交換是通過讀數(shù)據(jù)的形式。數(shù)據(jù)處理設(shè)計（1）輸入輸出代理對接收到的外部數(shù)據(jù)進行識別分流和復(fù)制分發(fā)，將數(shù)據(jù)平面的數(shù)據(jù)送至轉(zhuǎn)發(fā)單元進行處理，將操縱/治理平面的數(shù)據(jù)發(fā)送至在線執(zhí)行體（worker和inspectors）進行處理。（2）在線執(zhí)行體（worker和inspectors）對收到的操縱/治理平面的數(shù)據(jù)進行獨立處理，并將結(jié)果發(fā)送給多模裁決。（3）多模裁決對收到的在線執(zhí)行體的數(shù)據(jù)進行裁決，按照系統(tǒng)預(yù)設(shè)策略選取輸出，并將比對結(jié)果發(fā)送至ZY操縱器。（4）ZY操縱器收到多模裁決上報的裁決結(jié)果，處理出現(xiàn)異常的執(zhí)行體。如果只有inspector出現(xiàn)異常，從執(zhí)行體池中按照既定策略選取等量的執(zhí)行體替代異常執(zhí)行體工作，并將異常執(zhí)行體下線清洗。如果執(zhí)行體池中剩余執(zhí)行體數(shù)量不足，則將它們?nèi)窟x取上線，并修改相應(yīng)的運行狀態(tài)參數(shù)（在線執(zhí)行體數(shù)量）。二、系統(tǒng)測試針對傳統(tǒng)路由器的測試方法雖然能對路由器的功能、性能、可靠性等指標做出評判，但在評估路由器抵御XX絡(luò)攻擊能力方面仍然沒有較好的解決方法，而且傳統(tǒng)的測試方法也無法對擬態(tài)防備機制在路由器中的實施過程進行驗證。因此，本文設(shè)計了針對擬態(tài)防備機制的測試方法以及對防備效果的測試方法，這兩種方法綜合利用開放內(nèi)部模塊接口、結(jié)果對比分析等手段，分別從實現(xiàn)過程和實現(xiàn)效果兩個角度對被測對象的防備能力進行評估。按照新的測試思路，可將測試內(nèi)容分為以下三個部分：（1） 路由器基礎(chǔ)性能測試主要目的是檢測擬態(tài)路由器在其架構(gòu)中加入了用于實現(xiàn)擬態(tài)防備機制的相關(guān)單元和模塊后，是否會對系統(tǒng)的轉(zhuǎn)發(fā)性能和路由計算等基礎(chǔ)能力產(chǎn)生影響。（2） 擬態(tài)防備機制測試主要目的是測試實現(xiàn)擬態(tài)防備機制的相關(guān)模塊是否能夠按照設(shè)計要求正常運行，并能有效地實現(xiàn)擬態(tài)防備機制。（3）防備效果測試主要目的是測試在不消除路由器固有漏洞或后門的前提下，被測系統(tǒng)是否能夠：測試方法可以分為兩類：符合型測試和開放配合型測試。對于有標準或設(shè)計規(guī)范可遵循的內(nèi)容，按照符合型測試方法，測試被測對象與相關(guān)標準、理論框架、設(shè)計要求等的一致性。而對于XX絡(luò)攻擊，攻擊鏈前一環(huán)節(jié)的成功是后續(xù)環(huán)節(jié)開展的前提，為突破這一限制，覆蓋攻擊鏈的所有環(huán)節(jié)，評估擬態(tài)機制對斬斷攻擊鏈各環(huán)節(jié)的效果，采納開放配合型測試方法。三、結(jié)束語綜上所述路由器是XX絡(luò)空間中最為重要的基礎(chǔ)核心設(shè)備，由于其封閉性，導(dǎo)致存在大量未知漏洞和后門，使其成為了攻擊者的重要攻擊目標。由于傳統(tǒng)被動防備方法的局限性，難以應(yīng)對未知漏洞和后門。并對基于未知后門或漏洞的攻擊進行有效阻斷和防備，大幅提升了自身的安全防護能力，證明擬態(tài)防備機制的有效性。參考文獻閆巧，牛軍軍.嵌入式3G路由器的設(shè)計與實現(xiàn)[j]?計算機工程與設(shè)計，20XX，03:868-872