支持软件安全在线升级的网络设备的产品映象设计方法

摘要

本发明涉及计算机网络通信技术领域，充分利用网络处理器在线编程能力，通过软件在线安全保障机制，构建支持软件在线升级的VxWorks产品映象。与基于单CPU的典型VxWorks产品映象设计相比，基于网络处理器的VxWorks产品映象设计需要解决以下问题：如何让VxWorks产品映象支持基于多内核CPU结构的网络处理器；如何利用网络处理器在线编程能力，构建支持软件在线升级的VxWorks产品映象；软件在线升级过程的安全性问题。新方法针对基于IXP1200网络处理器和VxWorks操作系统的网络设备，综合解决了上述问题，并在实际网络设备中得到应用。

说明书

技术领域

本发明涉及计算机网络通信技术领域，特别是一种支持软件安全在线升级的网络设备的产品映象设计方法。

背景技术

基于通用处理器体系结构和基于ASIC/RSIC(ASIC，ApplicationSpecific Integrated Circuit，专用集成电路；RSIC，Reduced InstructSet Compute，精简指令集计算)体系结构是网络设备的两种主流体系结构。前者能软件编程，灵活性好，但网络处理性能差；后者采用ASIC硬件技术，灵活性差，但网络处理性能好。基于网络处理器的网络设备设计技术是下一代网络的核心技术。网络处理器是一种面向网络分组处理的特殊处理器，具有软件编程能力和硬件优化性能，兼容未来网络对设备灵活性、高性能的要求。

网络发展对网络边缘设备带来巨大影响：首先要求网络边缘设备的网络处理性能大幅提高；其次传统网络终端和网络核心实施的网络服务逐步转移到网络边缘设备，网络协议和网络应用的变化发展非常迅速，这些因素要求网络边缘设备具有网络服务在线升级能力。在这种情况下，只有采用网络处理器，才能构建满足网络需求的下一代网络边缘设备。

VxWorks操作系统是一种主流的嵌入式操作系统，在许多领域获得广泛应用。VxWorks操作系统需要针对用户设计的不同硬件主板作相应模块修改，然后和用户应用程序结合在一起，形成二进制文件，称之为VxWorks产品映象。关于VxWorks产品映象的设计一直让设计工程师头痛，典型的VxWorks产品映象设计主要针对基于单个32位CPU(CPU，Central Processing Unit，中央处理器)构成的硬件主板。采用网络处理器构成的硬件平台则是截然不同的硬件体系结构。与基于单个CPU的典型VxWorks产品映象设计相比，在设计基于网络处理器的硬件平台的VxWorks产品映象设计时，需要考虑以下新问题：如何让VxWorks产品映象支持基于多CPU结构的网络处理器；如何充分利用网络处理器在线编程能力，构建支持软件在线升级的VxWorks产品映象；如何保障软件在线升级过程的安全性。

本发明方法针对基于IXPl200网络处理器的网络设备硬件平台，就网络设备研制的最后关键技术环节——VxWorks产品映象设计，提出一种支持IXP1200网络处理器、支持软件在线升级、保障软件在线升级安全的VxWorks产品映象设计方法。该方法已经在实际研制的网络设备中得到应用。

发明内容

本发明的目的在于提供一种支持软件安全在线升级的网络设备的产品映象设计方法。

一种支持软件安全在线升级的网络设备的产品映象设计方法，其特征在于充分利用网络处理器在线编程能力，通过软件在线安全保障机制，构建支持软件在线升级的VxWorks产品映象。本发明技术方案如下：

充分利用网络处理器在线编程能力，通过软件在线安全保障机制，构建支持软件在线升级的VxWorks产品映象。

将产品映象分成两个部分，保存在不同地方；分为引导产品映象模块和包含网络设备应用、可下载执行的产品映象模块；引导产品映象模块保存在Flash芯片上，可下载执行的产品映象模块保存在FTP服务器；通过引导产品映象模块将包含网络设备应用、可下载执行的产品映象模块经过网络下载到设备并执行。

在引导产品映象模块包含安全文件下载模块，该模块实现以下作用：通过共享的身份认证密钥，FTP服务器和网络设备之间进行连接身份认证，以防止身份冒充攻击；通过身份认证后，在FTP服务器和网络设备之间所有交互信息都通过共享的传输加密密钥和分组加密算法进行加密保护，防止可下载执行的产品映象文件传输泄密。

将与网络设备应用功能紧密相关的微引擎微码映象模块、StrongARM核执行代码模块通过编译工具链接生成一个应用目标模块，然后采用静态链接方法将应用目标模块和VxWorks操作系统链接，生成一个可下载执行的产品映象文件；通过网络更新该文件，实现网络产品的软件升级。

利用VxWorks操作系统提供的应用模块自动执行编程接口，编程调用VxWorks操作系统核心内存中的应用模块——StrongARM核执行代码模块和微引擎微码映象模块；利用微码下载器编程接口，实现微码映象的下载和执行。

本发明的产品映象的各软件模块间自动调用关系如下：网络设备加电后，StrongARM核自动执行位于Flash芯片中的引导产品映象，由该映象中的安全文件下载模块打通安全秘密通信信道，将可下载执行的产品映象从FTP服务器下载到内存后；然后直接运行该映象，通过OS模块中提供的应用自动执行编程接口，调用StrongARM核执行代码模块，最终将微引擎微码映象模块下载到微引擎并执行。

1、概述

本发明涉及的网络设备体系结构如下：选用VxWorks操作系统，以IXP1200网络处理器为核心处理单元，以Flash芯片(Flash芯片，一种断电后能够保存存储内容的存储芯片)作为存储单元，生成的VxWorks产品映象保存在Flash芯片和FTP服务器中。针对这种网络设备体系结构设计，提出支持IXP1200网络处理器，支持软件安全在线升级的VxWorks产品映象设计方法。

IXP1200网络处理器采用多CPU内核结构，计算单元由一个StrongARM核(StrongARM核，一种32位的CPU处理器)和六个微引擎组成，每个微引擎包括4个独立硬件线程。StrongARM核和六个微引擎共享内存和总线资源，机会均等。IXP1200网络处理器的应用程序由两个模块组成：StrongARM核执行代码模块和微引擎微码映象模块。StrongARM核执行代码模块负责协议控制层面和微引擎管理。微引擎微码映象模块负责数据层面的高速数据分组处理。

VxWorks产品映象通常包括BSP(BSP，Board Support Packet，板支持包)模块、OS(OS，Operation System，操作系统)模块、应用模块。针对IXP1200网络处理器，应用模块又可划分为StrongARM核执行代码模块和微引擎微码映象模块。

2、技术要点设计

2.1 VxWorks映象类型设计

VxWorks操作系统的集成开发环境生成可以生成四种类型的VxWorks映象：VxWorks Boot映象、VxWorks Downloadable映象、ROM-Resident映象、ROM-Based映象。本方法通过VxWorks的集成开发环境生成两种映象(部分)：VxWorks Boot映象和VxWorks Downloadable映象。这两种VxWorks映象保存在不同地方：引导产品映象模块块VxWorks Boot映象保存在Flash芯片上，包含网络设备应用功能的、可下载执行的产品映象模块VxWorks Downloadable映象保存在FTP服务器上(FTP，FileTransfer Protocol，文件传送协议)。

网络设备加电后，StrongARM核自动执行位于Flash芯片中的VxWorksBoot映象，由该映象打通网络传输安全通道。通过该网络传输安全通道，将VxWorks Downloadable映象从FTP服务器下载到系统内存后，然后直接运行该映象。

2.2 VxWorks 应用模块链接

微引擎微码映象模块和StrongARM核执行代码模块从VxWorks操作系统视图看，都属于应用模块。VxWorks操作系统提供了应用模块的静态链接模式和动态链接模式。本方法选择静态链接模式，首先将微引擎微码映象模块和StrongARM核执行代码模块通过编译工具链接生成一个应用目标模块，然后采用静态链接方法将应用目标模块、BSP模块、OS模块链接生成一个VxWorks Downloadable映象。

在这种方式下，应用目标模块的调用过程如下：VxWorks Boot映象将VxWorks Downloadable映象从FTP服务器下载到内存，然后利用VxWorks提供的应用模块自动执行编程接口，直接调用操作系统核心内存中的应用模块——StrongARM核执行代码模块和微引擎微码映象模块。

2.3 VxWorks应用模块自动执行

基于IXP1200网络处理器的VxWorks产品映象设计与基于单个32位CPU的典型VxWorks产品映象设计的最主要区别在于：除了要将微引擎微码映象模块静态链接到VxWorks操作系统，还必须将微码下载到微引擎，并启动执行。在微引擎代码调试过程中，由微码开发工具负责微码的下载、执行管理工作。在VxWorks产品映象设计阶段，必须解决微引擎的微码运行管理。

利用StrongARM核软件开发库中提供的微引擎管理编程接口，便可实现微码映象的下载和执行。微引擎的微码运行管理模块执行如下：微码下载器库初始化、微引擎初始化、微码映象文件载入内存、停止微引擎线程、微码映象写入微引擎、激活微引擎及对应端口、释放微码对象索引。

本方法提出：利用VxWorks Downloadable映象提供的应用模块自动执行编程接口，首先调用StrongARM核执行代码模块中的相关初始化函数，配置微引擎微码程序运行的初始化环境，然后执行微引擎的微码运行管理模块。

2.4 软件在线升级安全机制设计

由于VxWorks Downloadable映象中包括了微引擎微码映象模块和StrongARM核执行代码模块，属于核心处理软件模块，所以从FTP服务器下载VxWorks Downloadable映象时，应该采取安全保护机制，防止网络通信中的传输泄密和假冒身份升级。

软件在线升级安全体制由以下几个部分组成：

(1)共享秘密对生成

为每一台设备分配唯一设备标识编号，同时生成一个密钥组。密钥组中包括两个密钥，身份认证密钥，传输加密密钥。身份认证密钥用于FTP服务器核实设备身份；传输加密密钥用于对通信过程的所有分组进行加密。密钥组、设备标识编号、设备之间一一对应。身份认证、传输加密采用统一分组加密算法。

(2)身份认证

设备与FTP服务器之间建立连接时，FTP服务器利用三次握手协议对设备进行身份认证。当设备向FTP服务器发送认证请求后，开始三次握手认证：FTP服务器认证请求后，向设备传递一个随机数；设备用共享的身份认证密钥对该随机数进行加密，然后将加密后结果和设备标识编号发送给FTP服务器；FTP服务器根据设备标识编号，查找设备的密钥组，用共享的身份认证密钥解密检查该结果，并向客户发送认证成功或失败的消息。加密算法采用分组加密算法。

(3) VxWorks Downloadable映象文件下载

当设备收到FTP服务器的认证通过消息后，设备和FTP服务器之间所有通信都将采用双方共享的传输加密密钥进行加密保护，在设备和FTP服务器之间建立安全秘密通信信道。加密数据报文中应该含有未加密的设备标识编号信息，供FTP服务器选择相应设备的传输加密密钥对设备发送的密文数据进行解密。VxWorks Downloadable映象通过安全秘密通信信道从FTP服务器下载到设备。

3、实现技术方案

在前面技术要点实现分析基础上，发明人认为基于IXP1200网络处理器、具有安全保障、可在线升级的VxWorks产品映象实现方法包括以下关键要素及其步骤：

●通过VxWorks的集成开发环境生成两种映象：VxWorks Boot映象和VxWorks Downloadable映象。将VxWorks Boot映象保存在Flash芯片上。将VxWorks Downloadable映象保存在FTP服务器上。

●安全文件下载模块设计：事先生成共享秘密密钥；FTP服务器通过共享的身份认证密钥，完成对网络设备的连接身份认证，防止身份冒充攻击；通过身份认证后，在网络FTP服务器和网络设备之间所有交互信息都通过共享的传输加密密钥和分组加密算法进行加密保护，防止VxWorks Downloadable映象传输泄密。安全文件下载模块包含在VxWorks Boot映象。

●VxWorks Downloadable映象生成：首先将微引擎微码映象模块和StrongARM核执行代码模块通过编译工具链接生成应用目标模块，然后采用静态链接方法将应用目标模块和VxWorks的BSP模块、OS模块链接生成一个VxWorks Downloadable映象。

●利用VxWorks提供应用模块自动执行编程接口，直接调用VxWorks操作系统核心内存中的应用模块——StrongARM核执行代码模块和微引擎微码映象模块。

●利用微码下载器编程接口，实现微码映象的下载和执行。微引擎的微码运行管理模块执行如下：微码下载器库初始化、微引擎初始化、微码映象文件载入内存、停止微引擎线程、微码映象写入微引擎、激活微引擎及对应端口、释放微码对象索引。

●本发明的产品映象的各软件模块调用关系如下：网络设备加电后，StrongARM核自动执行位于Flash芯片中的VxWorks Boot映象，由该映象中的安全文件下载模块打通安全秘密通信信道，将VxWorks Downloadable映象从FTP服务器下载到内存后；然后直接运行该映象。通过OS模块中提供的应用自动执行编程接口，调用StrongARM核执行代码模块，最终将微引擎微码映象模块下载到微引擎并执行。

4、结语

本发明为一种支持软件安全在线升级、基于IXP1200网络处理器的VxWorks产品映象设计方法。典型的VxWorks产品映象设计主要针对基于单个32位CPU构成的硬件主板。采用网络处理器构成的硬件平台则是截然不同的硬件体系结构。在设计基于网络处理器的硬件平台的VxWorks产品映象设计时，需要考虑以下新问题：如何让VxWorks产品映象支持基于多CPU结构的网络处理器；如何充分利用网络处理器在线编程能力，构建支持软件在线升级的VxWorks产品映象；如何保障软件在线升级过程的安全性。本方法针对基于IXP1200网络处理器和VxWorks操作系统的网络设备，综合解决了上述三个技术问题，并在实际网络设备中得到应用。本发明的技术领域是计算机网络通信。