跨平台嵌入式安全网关的研究与实现

　　0 引言

　　随着企业的发展壮大和跨国化，对安全性的要求也约来越高，各机构中安全设备也在不断增多。另外，随着嵌入式系统在安全领域的应用价值的不断提升，其也被广泛使用于各安全设备如防火墙、入侵检测系统、防病毒网关、邮件网关、VPN网关[1]的设计中。然而，网络中看似部署了各种 安全设备，其实并不安全。由于嵌入式系统本身的特点――基于不同硬件和软件平台的，这就给进行统一管理和控制带来了困难，在实际的使用过程中并不能完全发 挥各设备实际功能，并且管理员为了配置维护各安全设备需要在不同的空间和时间来完成，不但要熟悉不同的平台，而且工作量相当巨大，同时随着硬件和软件的升级，原来的控制程序都需要进行相应的升级调整，这也给安全设备的管理带来的不变，更重要的是这样很可能会产生新的安全漏洞。所以本文的目的是使它们成为一 个基于策略的[2]并可以进行远程集中控制的安全系统，以完全发挥各设备的安全效能，减少管理及维护的工作量。本文设计的控制系统是由以虚拟机为核心的系统与主控机组成。在确定了系统整体模型的前提下，进行了各任务模块间的逻辑结构设计。本系统构建了适合于嵌入式系统的64位汇编指 令集(便于扩展)，并设计了相应的汇编系统，将指令生成通用代码，并且构建跨平台虚拟机，对通用代码进行解释执行，而且设计出虚拟机的机器级调试器，对指令进行调试跟踪。

　　1 系统总体设计

　　本系统是设计一个目标代码级的跨平台系统，底层是进行可执行代码解释的系统。关键模块包括：运行通用代码的虚拟机，进行程序设计的调试器和进行程序编译的汇编器。它们是整个系统设计的核心，一切设计围绕着它们来进行。系统设计的项目网络图如图1所示。

　　图1 系统设计网络图

　　Fig.1 Network diagram of the system design

　　系统设计的过程可以按照如下步骤进行[2]：首先，必须建立一套系统基本规则，也就是确定执行环境(是基于堆栈，还是基于寄 存器)和虚拟机将使用什么样的地址空间，还必须创建一个指令集。然后可以进行虚拟机或者汇编器的设计[3]。但由于虚拟机的设计工 作相对于汇编器的设计更加复杂，另外，先设计好虚拟机就可以有的放矢地进行汇编器的设计，故本系统的设计过程中是先进行虚拟机的设计。在设计过程中，可以手工建立一个字节码可执行文件，分步进行虚拟机设计，对其中的字码进行解释，这种设计方式更加简单。在虚拟机设计完成后，可以进行汇编器的设计，由于这时 已经用手工进行过字节码可执行文件的编写，汇编器的设计相对简单。而对于调试器的设计可以在虚拟机完成后进行，这时虚拟机已经可以正确地进行程序的解释工作，调试器只要能将运行过程正确的显示即可。