支持软件安全在线升级的网络设备的产品映象设计方法

1、一种支持软件安全在线升级的网络设备的产品映象设计方法，其特 征在于，将产品映象分为引导产品映象模块和包含网络设备应用、可 下载执行的产品映象模块，引导产品映象模块保存在网络设备存储单 元，可下载执行的产品映象模块保存在FTP服务器；引导产品映象模块 包含安全文件下载模块，该模块实现以下作用：FTP服务器通过共享的 身份认证密钥，完成对网络设备的连接身份认证，防止身份冒充攻击； 通过身份认证后，在FTP服务器和网络设备之间所有交互信息都通过共 享的传输加密密钥和分组加密算法进行加密保护，防止可下载执行的产 品映象文件传输泄密；将与网络设备应用功能紧密相关的微引擎微码映 象模块、StrongARM核执行代码模块与VxWorks操作系统链接，生成可 下载执行的产品映象文件，通过网络更新该文件；利用VxWorks操作系 统提供应用模块自动执行编程接口，编程调用VxWorks操作系统核心内 存中的StrongARM核执行代码模块和微引擎微码映象模块；利用微码下 载器编程接口，实现微码映象的下载和执行。
2、根据权利要求1支持软件安全在线升级的网络设备的产品映象设计 方法，其特征在于，本发明的产品映象的各模块间自动调用关系如下： 网络设备加电后，StrongARM核自动执行位于网络设备存储单元的引导 产品映象，由该映象中的安全文件下载模块打通安全秘密通信信道，将 可下载执行的产品映象从FTP服务器下载到内存后；然后直接运行该 映象，通过操作系统模块中提供的应用自动执行编程接口，调用 StrongARM核执行代码模块，最终将微引擎微码映象模块下载到微引擎 并执行。

技术领域\n本发明涉及计算机网络通信技术领域，特别是一种支持软件安全在线 升级的网络设备的产品映象设计方法。\n背景技术\n基于通用处理器体系结构和基于ASIC/RSIC(ASIC，Application Specific Integrated Circuit，专用集成电路；RSIC，Reduced Instruct Set Compute， 精简指令集计算)体系结构是网络设备的两种主流体系结构。前者能软件 编程，灵活性好，但网络处理性能差；后者采用ASIC硬件技术，灵活性 差，但网络处理性能好。基于网络处理器的网络设备设计技术是下一代网 络的核心技术。网络处理器是一种面向网络分组处理的特殊处理器，具有 软件编程能力和硬件优化性能，兼容未来网络对设备灵活性、高性能的要 求。\n网络发展对网络边缘设备带来巨大影响：首先要求网络边缘设备的网 络处理性能大幅提高；其次传统网络终端和网络核心实施的网络服务逐步 转移到网络边缘设备，网络协议和网络应用的变化发展非常迅速，这些因 素要求网络边缘设备具有网络服务在线升级能力。在这种情况下，只有采 用网络处理器，才能构建满足网络需求的下一代网络边缘设备。\nVxWorks操作系统是一种主流的嵌入式操作系统，在许多领域获得广 泛应用。VxWorks操作系统需要针对用户设计的不同硬件主板作相应模块 修改，然后和用户应用程序结合在一起，形成二进制文件，称之为VxWorks 产品映象。关于VxWorks产品映象的设计一直让设计工程师头痛，典型 的VxWorks产品映象设计主要针对基于单个32位CPU(CPU，Central Processing Unit，中央处理器)构成的硬件主板。采用网络处理器构成的 硬件平台则是截然不同的硬件体系结构。与基于单个CPU的典型VxWorks 产品映象设计相比，在设计基于网络处理器的硬件平台的VxWorks产品 映象设计时，需要考虑以下新问题：如何让VxWorks产品映象支持基于 多CPU结构的网络处理器；如何充分利用网络处理器在线编程能力，构 建支持软件在线升级的VxWorks产品映象；如何保障软件在线升级过程 的安全性。\n本发明方法针对基于IXP1200网络处理器的网络设备硬件平台，就网 络设备研制的最后关键技术环节——VxWorks产品映象设计，提出一种支 持IXP1200网络处理器、支持软件在线升级、保障软件在线升级安全的 VxWorks产品映象设计方法。该方法已经在实际研制的网络设备中得到应 用。\n发明内容\n本发明的目的在于提供一种支持软件安全在线升级的网络设备的产品 映象设计方法。\n一种支持软件安全在线升级的网络设备的产品映象设计方法，其特征 在于充分利用网络处理器在线编程能力，通过软件在线安全保障机制，构 建支持软件在线升级的VxWorks产品映象。本发明技术方案如下：\n将产品映象分为引导产品映象模块和包含网络设备应用、可下载执行 的产品映象模块，引导产品映象模块保存在网络设备存储单 元，可下载执行的产品映象模块保存在FTP服务器；引导产品映象模块包 含安全文件下载模块，该模块实现以下作用：FTP服务器通过共享的身份 认证密钥，完成对网络设备的连接身份认证，防止身份冒充攻击；通过身 份认证后，在FTP服务器和网络设备之间所有交互信息都通过共享的传输 加密密钥和分组加密算法进行加密保护，防止可下载执行的产品映象文件 传输泄密；将与网络设备应用功能紧密相关的微引擎微码映象模块、 StrongARM核执行代码模块与VxWorks操作系统链接，生成可下载执行的 产品映象文件，通过网络更新该文件；利 用VxWorks操作系统提供应用模块自动执行 编程接口，编程调用VxWorks操作系统核心内存中的StrongARM核执行代 码模块和微引擎微码映象模块；利用微码下载器编程接口，实现微码映象 的下载和执行。\n本发明的产品映象的各软件模块间自动调用关系如下：网络设备加电 后，StrongARM核自动执行位于Flash芯片中的引导产品映象，由该映象 中的安全文件下载模块打通安全秘密通信信道，将可下载执行的产品映象 从FTP服务器下载到内存后；然后直接运行该映象，通过OS模块中提供的 应用自动执行编程接口，调用StrongARM核执行代码模块，最终将微引 擎微码映象模块下载到微引擎并执行。\n1、概述\n本发明涉及的网络设备体系结构如下：选用VxWorks操作系统，以 IXP1200网络处理器为核心处理单元，以Flash芯片(Flash芯片，一种断 电后能够保存存储内容的存储芯片)作为存储单元，生成的VxWorks产 品映象保存在Flash芯片和FTP服务器中。针对这种网络设备体系结构设 计，提出支持IXP1200网络处理器，支持软件安全在线升级的VxWorks 产品映象设计方法。\nIXP1200网络处理器采用多CPU内核结构，计算单元由一个StrongARM 核(StrongARM核，一种32位的CPU处理器)和六个微引擎组成，每个 微引擎包括4个独立硬件线程。StrongARM核和六个微引擎共享内存和总 线资源，机会均等。IXP1200网络处理器的应用程序由两个模块组成： StrongARM核执行代码模块和微引擎微码映象模块。StrongARM核执行 代码模块负责协议控制层面和微引擎管理。微引擎微码映象模块负责数据 层面的高速数据分组处理。\nVxWorks产品映象通常包括BSP(BSP，Board Support Packet，板支持 包)模块、OS(OS，Operation System，操作系统)模块、应用模块。针 对IXP1200网络处理器，应用模块又可划分为StrongARM核执行代码模 块和微引擎微码映象模块。\n2、技术要点设计\n2.1VxWorks映象类型设计\nVxWorks操作系统的集成开发环境生成可以生成四种类型的VxWorks 映象：VxWorks Boot映象、VxWorks Downloadable映象、ROM-Resident 映象、ROM-Based映象。本方法通过VxWorks的集成开发环境生成两 种映象(部分)：VxWorks Boot映象和VxWorks Downloadable映象。这两 种VxWorks映象保存在不同地方：引导产品映象模块块VxWorks Boot映 象保存在Flash芯片上，包含网络设备应用功能的、可下载执行的产品映 象模块VxWorks Downloadable映象保存在FTP服务器上(FTP，File Transfer Protocol，文件传送协议)。\n网络设备加电后，StrongARM核自动执行位于Flash芯片中的VxWorks Boot映象，由该映象打通网络传输安全通道。通过该网络传输安全通道， 将VxWorks Downloadable映象从FTP服务器下载到系统内存后，然后直 接运行该映象。\n2.2VxWorks应用模块链接\n微引擎微码映象模块和StrongARM核执行代码模块从VxWorks操作系 统视图看，都属于应用模块。VxWorks操作系统提供了应用模块的静态链 接模式和动态链接模式。本方法选择静态链接模式，首先将微引擎微码映 象模块和StrongARM核执行代码模块通过编译工具链接生成一个应用目 标模块，然后采用静态链接方法将应用目标模块、BSP模块、OS模块链 接生成一个VxWorks Downloadable映象。\n在这种方式下，应用目标模块的调用过程如下：VxWorks Boot映象将 VxWorks Downloadable映象从FTP服务器下载到内存，然后利用VxWorks 提供的应用模块自动执行编程接口，直接调用操作系统核心内存中的应用 模块——StrongARM核执行代码模块和微引擎微码映象模块。\n2.3VxWorks应用模块自动执行\n基于IXP1200网络处理器的VxWorks产品映象设计与基于单个32位 CPU的典型VxWorks产品映象设计的最主要区别在于：除了要将微引擎 微码映象模块静态链接到VxWorks操作系统，还必须将微码下载到微引 擎，并启动执行。在微引擎代码调试过程中，由微码开发工具负责微码的 下载、执行管理工作。在VxWorks产品映象设计阶段，必须解决微引擎 的微码运行管理。\n利用StrongARM核软件开发库中提供的微引擎管理编程接口，便可实 现微码映象的下载和执行。微引擎的微码运行管理模块执行如下：微码下 载器库初始化、微引擎初始化、微码映象文件载入内存、停止微引擎线程、 微码映象写入微引擎、激活微引擎及对应端口、释放微码对象索引。\n本方法提出：利用VxWorks Downloadable映象提供的应用模块自动执 行编程接口，首先调用StrongARM核执行代码模块中的相关初始化函数， 配置微引擎微码程序运行的初始化环境，然后执行微引擎的微码运行管理 模块。\n2.4软件在线升级安全机制设计\n由于VxWorks Downloadable映象中包括了微引擎微码映象模块和 StrongARM核执行代码模块，属于核心处理软件模块，所以从FTP服务 器下载VxWorks Downloadable映象时，应该采取安全保护机制，防止网 络通信中的传输泄密和假冒身份升级。\n软件在线升级安全体制由以下几个部分组成：\n(1)共享秘密对生成\n为每一台设备分配唯一设备标识编号，同时生成一个密钥组。密钥组 中包括两个密钥，身份认证密钥，传输加密密钥。身份认证密钥用于FTP 服务器核实设备身份；传输加密密钥用于对通信过程的所有分组进行加 密。密钥组、设备标识编号、设备之间一一对应。身份认证、传输加密采 用统一分组加密算法。\n(2)身份认证\n设备与FTP服务器之间建立连接时，FTP服务器利用三次握手协议对 设备进行身份认证。当设备向FTP服务器发送认证请求后，开始三次握 手认证：FTP服务器认证请求后，向设备传递一个随机数；设备用共享的 身份认证密钥对该随机数进行加密，然后将加密后结果和设备标识编号发 送给FTP服务器；FTP服务器根据设备标识编号，查找设备的密钥组，用 共享的身份认证密钥解密检查该结果，并向客户发送认证成功或失败的消 息。加密算法采用分组加密算法。\n(3)VxWorks Downloadable映象文件下载\n当设备收到FTP服务器的认证通过消息后，设备和FTP服务器之间所 有通信都将采用双方共享的传输加密密钥进行加密保护，在设备和FTP 服务器之间建立安全秘密通信信道。加密数据报文中应该含有未加密的设 备标识编号信息，供FTP服务器选择相应设备的传输加密密钥对设备发 送的密文数据进行解密。VxWorks Downloadable映象通过安全秘密通信信 道从FTP服务器下载到设备。\n3、实现技术方案\n在前面技术要点实现分析基础上，发明人认为基于IXP1200网络处理 器、具有安全保障、可在线升级的VxWorks产品映象实现方法包括以下 关键要素及其步骤：\n●通过VxWorks的集成开发环境生成两种映象：VxWorks Boot映象 和VxWorks Downloadable映象。将VxWorks Boot映象保存在Flash 芯片上。将VxWorks Downloadable映象保存在FTP服务器上。\n●安全文件下载模块设计：事先生成共享秘密密钥；FTP服务器通过 共享的身份认证密钥，完成对网络设备的连接身份认证，防止身份 冒充攻击；通过身份认证后，在网络FTP服务器和网络设备之间 所有交互信息都通过共享的传输加密密钥和分组加密算法进行加密 保护，防止VxWorks Downloadable映象传输泄密。安全文件下载 模块包含在VxWorks Boot映象。\n●VxWorks Downloadable映象生成：首先将微引擎微码映象模块和 StrongARM核执行代码模块通过编译工具链接生成应用目标模块， 然后采用静态链接方法将应用目标模块和VxWorks的BSP模块、 OS模块链接生成一个VxWorks Downloadable映象。\n●利用VxWorks提供应用模块自动执行编程接口，直接调用VxWorks 操作系统核心内存中的应用模块——StrongARM核执行代码模块和 微引擎微码映象模块。\n●利用微码下载器编程接口，实现微码映象的下载和执行。微引擎的 微码运行管理模块执行如下：微码下载器库初始化、微引擎初始化、 微码映象文件载入内存、停止微引擎线程、微码映象写入微引擎、 激活微引擎及对应端口、释放微码对象索引。\n●本发明的产品映象的各软件模块调用关系如下：网络设备加电后， StrongARM核自动执行位于Flash芯片中的VxWorks Boot映象， 由该映象中的安全文件下载模块打通安全秘密通信信道，将 VxWorks Downloadable映象从FTP服务器下载到内存后；然后直 接运行该映象。通过OS模块中提供的应用自动执行编程接口，调 用StrongARM核执行代码模块，最终将微引擎微码映象模块下载 到微引擎并执行。\n4、结语\n本发明为一种支持软件安全在线升级、基于IXP1200网络处理器的 VxWorks产品映象设计方法。典型的VxWorks产品映象设计主要针对基 于单个32位CPU构成的硬件主板。采用网络处理器构成的硬件平台则是 截然不同的硬件体系结构。在设计基于网络处理器的硬件平台的VxWorks 产品映象设计时，需要考虑以下新问题：如何让VxWorks产品映象支持 基于多CPU结构的网络处理器；如何充分利用网络处理器在线编程能力， 构建支持软件在线升级的VxWorks产品映象；如何保障软件在线升级过 程的安全性。本方法针对基于IXP1200网络处理器和VxWorks操作系统 的网络设备，综合解决了上述三个技术问题，并在实际网络设备中得到应 用。本发明的技术领域是计算机网络通信。