[硕士论文精品]ipv6下嵌入式linux防火墙的设计与实现

摘要随着网络技术与嵌入式技术的迅速发展，将嵌入式系统连接进入INTEMET网络成为发展的必然，这样有利于嵌入式设备与信息网络彼此互连，一方面扩大了设备的可控范围，另方面拓展了信息网路的信息资源。INTERNET网络现在所采用的大多是IPV4协议，但由于口V4协议存在口地址不足等缺点，INTEMET网络向IPV6过渡势在必行，嵌入式系统连接IPV6网络成为发展的必然趋势。既然IPV6将成为今后INTERNET的主导。那么IPV6的网络安全问题也摆在人们面前。防火墙这一强有力的网络安全工具己在IPV4网络得到广泛的应用，但在IPV6网络中防火墙工具还很少，尤其在嵌入式设备中，由于其设备的特殊性、资源的有限性防火墙的设计更加显得重要，亟待人们研究。其关键技术就是防火墙的设计和移植。如何设计一个稳定、灵活、高效的嵌入式防火墙成为本文研究的难点。LINUX作为一种开放源代码的操作系统，在世界各地有着广泛的应用。LINUX内核版本26中己采用了NETFILTER的防火墙框架，并且已支持IPV6协议栈。目前LINUX防火墙作为一种包过滤防火墙在IPV4下的应用稳定可靠，在LPV6下的应用尚未得到重视。这主要是由于很多地方IPV6地址接入INTEMET还不是那么方便，但是随着IPV6的逐渐普及，IPV6技术会越来越成熟。本文探讨了嵌入式系统的发展趋势和当今各种网络协议的特点，介绍了嵌入式LINUX的广泛应用和发展趋势，阐述了防火墙在嵌入式系统的重要作用和基于IPV6协议防火墙的发展趋势，主要研究了NETFILTER框架防火墙的设计、实现以及其在嵌入式LINUX中的移植。通过提出一个基于IPV6的防火墙的总体设计方案，实现了个简单、稳定、高效、灵活的嵌入式防火墙。关键词IPV6；防火墙嵌入式；LINUXIABSTRACTWITHTHEDEVELOPMENTOFTHEINTERNETANDTHEEMBEDDEDSYSTEM，EMBEDDEDSYSTEMWILLBEEQUIPPEDWITHINTEMETACCESSINTHENEARFUTURETHECOMBINATIONOFEMBEDDEDSYSTEMANDINTERACTCANMAKETHEEMBEDDEDDEVICEANDTHEINFORMATIONNETWORKTOGETHERONTHEONEHAND，ITCAILBROADENTHEREGIONOFTHECONTROLLEDDEVICE，ONTHEOTHER,ITCALLBROADENINFORMATIONOFTHENETWORKASWEKNOW,MOSTOFTHEINTEMETNOWADAYSBASESONTHEPV4PROTOCOL，WHICHHASSOMEIMPERFECTSUCHASINSUFFICIENTIPADDRESSANDSOON，SOTHEINTERNETISDEVELOPINGFROMDV4TOIPV6，ANDIPV6WILLBETHENECESSARYDEVELOPEDFOREMBEDDEDSYSTEMSSINCEIPV6WILLLEADTAKETHEDOMINANTPOSITIONINTHEDEVELOPMENTOFINTERNET，THESECURITYOFTHENEXTGENERATIONNETWORKHASBECOMETHEPROBLEMDEMANDINGPROMPTSOLUTIONFIREWALL，勰APOWERFULTOOLINTHESECURITYOFNETWORK，HASBEENWIDELYUSEDINIPV4NETWORKHOWEVER,THISPOWERFULTOOLISSELDOMUSEDINIPV6NETOWORK,ESPECIALLYINEMBEDDEDSYSTEM，BECAUSEITSSPECIALTIESOFTHEDEVICEANDTHEEXIGUITYOFTHERESOURCE，ITSMUCHMOREIMPORTANTTODESIGNTHEFIREWALLITISURGENTTORESEARCHBYPEOPLEITSCRITICALTECHNOLOGYISTHEDESIGNINGANDTRANSPLANTINGOFTHEFIREWALLTHEDIFFICULTPOINTOFTHISARTICLEISHOWTODESIGNASTABLE、FLEXIBLEANDEFFICIENTFIREWALLINEMBEDDEDSYSTEMASANOPENSOURCEOPERATIONSYSTEM，LINUXHASBEENWIDELYUSEDONALLKINDSOFPLATFORMSNETFILTERFRAMEWORKWHICHISTHEMIDDLELEVELOFLINUXOPERATIONSYSTEMANDFIREWALLAPPLICATIONS，HASBEENINTEGRATEDINTOLINUXKERNEL26LINUXKERNEL26HASALSOSUPPORTEDIPV6PROTOCOLSTACKLINUXFIREWALLISAKINDOFPACKETFILTERFIREWALLOFSTABILITYANDRELIABILITYIN口V4NETWORK，BUTITSNOUSEINIPV6NETWORKTHEREASONISITSNOTCONVENIENTTOACCESSTOTHEINTEMETFORIPV6ADDRESSINMANYPLACESBUTTHETECHNOLOGYOFIPV6WILLBEMOREANDMOREMATUREWHENTHEIPV6BECOMESMOREANDMOREPOPULARATTHEBEGINOFTHEDISSERTATION，WEHASDISCUSSEDTHEEMBEDDEDSYSTEM，ANALYZEDTHETENDENCYOFTHEDEVELOPMENTINTHEEMBEDDEDSYSTEMANDTHECHARACTERISTICOFMANYOFINTEMETPROTOCOLSNOWADAYS，INTRODUCETHEBROADAPPLICATIONANDDEVELOPINGTENDENCYOFTHEEMBEDDEDSYSTEM，EXPLAINTHEIMPORTANTFUNCTIONOFTHEFIREWALLINTHEEMBEDDEDSYSTEMANDTHETENDENCYOFTHEFIREWALLBYIPV6PROTOCOL，DESIGNEDANDCOMPLETEDTHISFIREWALLSYSTEMFINALLY,RESEARCHEDTHEDESIGNING、COMPLETIONANDTRANSPLANTINGOFTHENETFILTERFRAMEWORKFIREWALLCOMPLETINGASIMPLE、STABLE、IIEFFICIENT、FLEXIBLEFIREWALLINERNBEDDEDSYSTEMBYPRESENTINGAGENERALDESIGNSCHEMEOF口V6N舐ORKFIREWALLKEYWORDSIPV6；FIREWALL；EMBEDDED；LINUXIII独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。学位论文作者签名签字EL期年月日学位论文版权使用授权书本学位论文作者完全了解江西师范大学研究生院有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权江西师范大学研究生院可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。保密的学位论文在解密后适用本授权书学位论文作者签名签字ET期年月日导师签名签字日期年月日IPV6下嵌入式LINUX防火墙的设计与实现第一章绪论11研究课题背景111嵌入式系统及其发展趋势微电子技术、计算机技术的迅猛发展使得嵌入式系统广泛地融入人类的生活。嵌入式系统是以应用为中心，以计算机技术为基础，并且软硬件可裁减，适用于应用系统对功能、可靠性、成本、体积、功耗等有严格要求的专用计算机系统。嵌入式系统主要由嵌入式处理器、相关支撑硬件、嵌入式操作系统及应用软件系统等组成，是集软硬件于一体的可独立工作的专用计算机系统，它具有系统小，指令精简，调用速度快，稳定性好的优点。嵌入式硬件系统主要由嵌入式处理器及相关支撑硬件和外围电路等组成。其中，嵌入式处理器在嵌入式硬件系统中处于核心地位，按照功能和用途划分，它可以进一步细分为以下几种类型嵌入式微控制器MCUEMBEDDEDMICROCONTROLLERUNIT、嵌入式微处理器MPUEMBEDDEDMICROPROCESSORUNIT、嵌入式数字信号处理器DSPEMBEDDEDDIGITALSIGNALPROCESSOR和片上系统SOCSYSTEMONCHIP【11。嵌入式系统发展至今已经有30多年的历史，其大致经历了四个发展阶段1以单芯片为核心的可编程控制器系统，同时具有检测、伺服、指示设备相配合的功能；2以嵌入式中央处理器CPU为基础，以简单操作系统为核心的嵌入式系统；3以嵌入式操作系统为标志的嵌入式系统4以基于网络操作为标志的嵌入式系统。嵌入式技术已成为新世纪最有生命力的技术之一，得到了飞速的发展和广泛应用。它通过在各个行业的具体应用渗透到社会的各个角落，从日常用品到工业生产、军事国防、医疗卫生、科学教育及至商业服务等方方面面，小到个人身上的手机、MP3、PDA，大到汽车、飞机、导弹等，嵌入式系统的身影已经无处不在。随着技术的发展，嵌入式技术也出现一些新的发展趋势，主要体现在以下几个方面【Z】1嵌入式应用软件的开发需要强大的开发工具和操作系统的支持2联网成为必然趋势3支持小型电子设备实现小尺寸、微功耗和低成本4提供精巧的多媒体人机界面硕士学1_奇论文目前大多数嵌入式系统还孤立于INTERNET之外，但随着INTEMET的发展以及INTEMET技术与信息家电、工业控制技术等结合日益密切，嵌入式技术与INTEMET技术的结合正推动嵌入式技术的快速发展。工业计算机发展到今天已经出现了多元化应用的发展趋势，尤其是随着网络技术和应用的发展，使网络设备已经成为计算机平台的标准配置，对网络应用的需求同时也促进了嵌入式应用的发展，这种发展趋势甚至拓展了传统工控技术的应用范围。嵌入式产品本身自有的体积小、可靠稳定、长期连续工作等特点也正是网络安全服务内在的要求，这使得两者有先天的密切联系。嵌入式技术与网络和通信的融合必将帮助人类进一步跨越时间与空间的障碍。随着各种各样新型嵌入式设备的涌现，人们获得了摆脱PC机访问互联网的能力，不仅可以使用PC机上网，同时也可以使用手机、PDA和机顶盒等嵌入式设备上网访问与处理信息。嵌入式设备与通信尤其是无线通信的结合对嵌入式系统的发展产生了深远的影响。随着网络、通信和多媒体技术与嵌入式技术的相互融合、互相促进与发展，种类繁多的新型嵌入式设备必将给人类带来各种各样新的体验。112IPV6技术IPV6协议是INTEMET协议族中关于网络层的一个最新的版本，它的设计被认为是对LPV4革命性的一步。IPV6的出现没有推翻现有口V4的思路和结构，而是继承、保留、修改、完善和扩充了口V4协议。口协议的变化也使TCPIP协议堆栈中的许多协议也做了相应的修改，到目前为止，TCPIP中已经有58个以上的标准为符合IPV6而做了修改【31。世界各国对IPV6技术的研究十分重视。目前对IPV6的研究范围主要涉及用于主机的单独IPV6协议栈软件、用于主机的支持IPV6的操作系统、独立的路由协议软件、用于路由器的支持IPV6的操作系统、应用程序实现以及硬件支持IPV6的路由器产品。中国教育和科研计算机网CERNET于1998年建立了我国第一个IPV6实验床，并与国际6BONE连接，同年11月成为6BONE的骨干成员。2003年8月，CERNETZ计划被纳入由国家发改委等八部委联合领导的中国下一代互联网示范工程CNGI。2004年3月，CERNETZ试验网正式向用户提供IPV6下一代互联网服务。2007年1月“中国下一代互联网示范工程CNGI“被565名中国科学院院士、中国工程院院士投票评选为2006年中国十大科技进展新闻第一位。随着计算机技术的发展，价格低廉、体积小巧的各种嵌入式设备得到广泛应用，这些应用对网络连接的需求也日益增长。大量嵌入式设备接入网络使得IPV4地址不足的问题愈加突出。IPV6协议不但很好的解决了地址短缺问题，而且具备无状态地址自动配置、服务质量、安全性等多方面的优点，成为嵌入式设备进行网络互连的首选。2IPV6下嵌入式LINUX防火墙的设计与实现IPV6取代口V4是必然的趋势，在嵌入式系统中实现IPV6具有重要的意义，嵌入式系统可以跟外部网络直接通信，而且IPV6的海量地址也为嵌入式系统的全球唯一化标识成为可能【4】。113嵌入式防火墙随着计算机网络在政治、经济、文化等诸多方面的飞速发展，网络已经逐渐成为我们日常生活中不可少的重要组成部分。与此同时，网络安全问题也随之凸现出来，并逐渐成为企业网络应用所面临的主要问题，网络安全技术也越来越受到前所未有的广泛重视。防火墙技术作为实现网络安全的重要方法之一，渐渐成为研究网络安全技术的一个重要的研究方向。防火墙是指在两个网络之间执行的一个系统，它按照事先约定的协议，控制着网络间相互访问的级别，从而保证系统及数据的安全。近几年对计算机通讯网络的攻击屡见不鲜，这些攻击大都可分为以下三类【5】1利用系统管理配置不当或用户本身的误操作等造成的漏洞对系统进行攻击。2另一类更复杂的攻击是利用目前采用的计算机通讯网络协议中的内在漏洞或者应用程序的漏洞对系统进行攻击。3利用恶意代码或者计算机病毒等手段进行基于内容的攻击。对于这些安全问题，网络防火墙是一个很好的解决方法。防火墙作为最早发展起来的安全技术，目前仍然是防御网络入侵者最有效的机制，也是最成熟、最早产品化的技术。由于防火墙技术的针对性很强，它已成为实现INTEMET网络安全最重要的保障之一。而目前绝大部分防火墙还是基于IPV4网络创建的，随着IPV6协议的日渐完善，IPV6网络已经从实验阶段走向应用，其安全问题也随即提上日程。传统安全设备如防火墙等都需要重新设计以适应新的网络环境【6】。随着网络应用的不断发展，市场对于防火墙产品的需求不断增加，现有X86架构的防火墙产品已经无法很好的满足不同用户的需求，诸多的厂商已经将开始尝试采用基于嵌入式技术进行防火墙产品【7】开发。嵌入式防火墙产品在性能、成本、功耗、体积、稳定性等各方面较之PCBASED的防火墙产品都有较大的优势。12防火墙国内外研究现状自从1986年美国DIGITAL公司在INTEMET上安装了全球第一个商用防火墙系统后，提出了防火墙的概念，防火墙技术得到了飞速的发展。根据防火墙的发展过程，目前主要可以将防火墙的发展分为4代1第一代防火墙包过滤防火墙包过滤技术是在网络层中对数据包检查并有选择的通过。依据系统内事先设定的过滤规则，检查数据流中每个数据包，根据数据包的源地址、目的地址、源端口号、目的端口号以及数据包头中的各种标志位等来确定是否允许数据包通3硕十学位论文过。2第二代防火墙代理服务器防火墙代理服务器也叫应用层网关防火墙。这种防火墙通过一种代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外网卡一样，从而可以达到隐藏内部网络的作用。这种类型的防火墙被网络安全专家认为是最安全的防火墙。它的核心技术就是代理服务器技术，并在外部网络向内部网络申请服务时发挥中间转接的作用。代理服务防火墙最突出的优点就是安全，而最大缺点就是速度相对比较慢。3第三代防火墙监控功能防火墙监控功能防火墙有效地提高了防火墙的安全性，它可以对每一层的数据包进行检测和监控。采用这种技术的防火墙通过建立并维护一张连接表来跟踪每一个连接，数据包在匹配规则表之前，先检查连接状态表，如果连接存在并且合法则直接通过防火墙而不必匹配规则表；如果是个新连接请求，则需要匹配规则表，合法后才能建立该连接。4第四代防火墙基于专用操作系统的防火墙防火墙本身作为一种网络软件，一般都运行在一个网络操作系统之上，如果操作系统本身无法提供对防火墙的安全保护，则防火墙无法解决各种针对操作系统平台的攻击行为和针对防火墙本身的网络攻击行为。这种防火墙设计原则正好符合了硬件专用防火墙的设想，主要是加强操作系统的强制访问机制，从防火墙本身的安全性上进行改进和提高。这个阶段的防火墙已超出了原来传统意义上防火墙的范畴，已经演变成一个全方位的安全技术集成系统，它可以抵御目前常见的网络攻击手段，如口地址欺骗、特洛伊木马攻击、INTEMET蠕虫、口令探寻攻击、邮件攻击等等。随着嵌入式设备和网络的迅猛发展，在嵌入式设备中实现防火墙功能也成了一种趋势，并有加速发展的趋势。目前国内外很多厂商都在研究嵌入式防火墙。像思科的CISCOPIX515防火墙、3COM的3CR010STRPS197B防火墙、华恒科技的HHARM9FIREWALLR1防火墙。4P埔卜L捉入式LINUX防火墙的设计与实现图11华恒AR_M9系列中端防火墙HHARM9一FIREWALLR13研究意义131网络安全在嵌入式系统中的重要性和必要性随着计算机科学技术和微电予技术的发展，嵌入式在近几年获得了长足的进步。嵌入式联网作为嵌入式发展的个趋势正在蓬勃发展。如今，在嵌入式设备中添加网络通信功能成为一种勿容置疑的趋势。嵌入式系统已经成为INTEMET终端的一个重要组成部分。然而在通信技术发展的同时，嵌入式系统不可避免地会遇到网络安全问题。以带有网络控制功能的家用空调系统来说明嵌入式系统很可能引起的安全事故。当你下班前，从办公室电脑可以启动家中空调，设定其达到的温度。然而，这种接入冈特网的空调也可能遭受潜在的攻击。入侵者可以控制家中的空调。冬天让市内温度持续下降使水管冻裂。夏天让室内温度持续升高使宠物中暑而死。如果安全问题没有基本的保障，它们就可能会失去其在市场发展中的动力。再把问题扩太一步，假如城市里每家的空调都联网并和电力调度公司的调度程序发生关联，用电高峰时，电力公司可以强制设定空调上调或下调温度，这样可以避免高峰拉闸。这是空调上网的好处，但被人恶意利用就会变成坏事。如电力公司为赢利，在用电非高峰时集体调节点空调的设定温度使电力消费增加用户就增加了开销。再看隐私方面，如果入侵者设法从网上查到你家的室内温度，就可以判断家里有投有人。由于嵌入系统安全问题的复杂性，决定了必须采用软件工程方法来分析。对系统防御也必须综合实施，没有一个万全之策。目前嵌入式方面的安全研究工作国内还做得不多，因此还需要投入大量的研究E8I。硕十学位论文132IPV6协议的应用前景目前计算机网络的主干网是基于PV4协议的INTERNET，在INTEMET的发展过程中，IPV4的局限逐渐暴露出来，像地址资源日益稀缺，路由表迅速膨胀等等，这些局限性严重制约了P技术的应用和未来网络的发展。为解决这些问题，IETF工作组于1995年12月公布了RFC2460标准协议规范，即我们现在所说的V6，它是下一代互联网的核心通信协议。随着IPV6的发展，基于IPV6的网络已经在一定范围内存在，从IPV4向IPV6过度成为不争的事实。IPV6协议作为下一代网络的基础以其鲜明的技术优势得到广泛的认可，世界各国都投入大量资金对其进行研究，以领先占领该技术，并且IPV6技术也已经在一些国家开始进行推广应用。在这样的背景下，对基于IPV6技术的应用进行研究有着十分重要的理论和实用价值。这也是本论文选择将防火墙在IPV6协议中实现的原因。133基于IPV6网络协议的嵌入式防火墙防火墙FIREWALL是指企业内部网INTRANET与外部网INTEMET之间所设立的一种由计算机软硬件所组成的安全系统。从本质上讲是一种保护装置，它既可以阻止外界对内部资源非法访问，也可以阻止内部网对外部网的不安全访问PJ。防火墙技术作为实现网络安全的重要方法之一，渐渐成为研究网络安全技术的一个重要的研究方向。一方面，随着INTEMET的发展，PV4的局限越来越暴露出来，这些局限性严重制约了口技术的应用和未来网络的发展。IPV6作为下一代网络的基础以其鲜明的技术优势得到广泛的认可。IPV6所实现的是网络层的安全性。网络层安全性的主要优点是它的透明性，也就是说，安全服务的提供不需要应用程序。其通信层次和网络部件不用做任何改动。IPSCC10】在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSCC时无需更改用户或服务器系统中的软件设置。各种应用程序可以享用口层提供的安全服务和密钥管理而不必设计和实现自己的安全机制。因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。然而，这种安全并不是绝对的。由于IPV6的安全机制，给当前的网络安全体系带来了新的挑战，致使许多在现有的网络中对保护网络安全中起着重要作用的工具受到巨大的冲击。虽然IPV6有很好的安全功能，但它替代不了防火墙，原因在于【11】1防火墙仅允许服务器接入到认为安全的站点上。它是用来保护服务器程序上的漏洞的而IPV6不具备这样的保护。2防火墙可以保护管理员工作的疏忽或错误，但IPV6不能做到这一点。3IPV6不能控制用户的行为，用户可能把密码告诉自己的朋友，或将自己知道的数据、信息泄露出去。由此可见，虽然IPV6有很好的安全功能，但它不能代替防火墙，防火墙还是必6IPV6下嵌入式LINUX防火墙的设计与实现需的。另一方面，嵌入式联网作为嵌入式发展的一个趋势正在蓬勃发展，难免会碰到网络安全问题。然而由于嵌入系统安全问题的复杂性，决定了必须采用相关有效的软件工程方法来分析。对系统防御也必须综合考虑，没有一个万全之策。目前嵌入式方面的安全研究工作国内还做得不多，因此还需要投入大量的研究。防火墙技术是实现网络安全的重要方法之一，将它加入到嵌入式系统中来保护系统的安全也成了今后发展的趋势。从以上两方面分析得出对设计一个支持IPV6协议的防火墙在嵌入式系统中的实现进行研究是很有必要的。14本文研究主要内容及组织结构由于网络安全技术在嵌入式系统中的重要性和IPV6在未来INTONET发展中的广泛前景，因此本文将“在嵌入式系统中实现一个基于IPV6协议的防火墙”作为主要研究内容。本文首先研究了防火墙的载体嵌入式硬软件相关基础。由于LINUX的开源、免费、安全等特性，本文选择了LINUX作为嵌入式操作系统。接下来研究了LINUX中防火墙的存在的软件相关基础IPV6技术和LINUX中的NETFILTO“防火墙框架。然后在嵌入式LINUX中设计一个防火墙以达到安全和可实用的平衡，并利用DOS攻击等功能对它进行了测试，经测试达到了预期的效果。总后总结了此防火墙的优缺点并展望了它下一步的研究方向。论文的主要内容包括以下几个部分。第一章绪论，阐明了嵌入式网络化的发展趋势及IPV6协议的发展前景，同时说明了课题的背景、意义。第二章嵌入式系统与嵌入式LINUX，介绍了嵌入式系统的相关概念、发展趋势和嵌入式LINUX，并介绍了如何将LINUX移植到嵌入式系统中。第三章IPV6网络，介绍了PV4的不足和IPV6的优点，同时介绍了IPV6的安全机制。第四章LINUX中NETFILTCL“防火墙，详细描述了防火墙的概念、功能，重点介绍了LINUX中的NETFILTCR防火墙的工作原理。第五章在嵌入式LINUX上实现基于IPV6的防火墙，介绍了课题中防火墙的软、硬件环境。在防火墙普遍设计原则的基础上，提出了一个设计方案，使得防火墙简单、稳定、灵活、高效。并介绍了实现此防火墙的具体方法包括IPTABLES的移植、防火墙过滤脚步的编写、设置从U盘自动启动防火墙等等。第六章防火墙测试，介绍了测试目的、方案和结果。第七章总结与展望，在总结全文的基础上展望了嵌入式IPV6防火墙下一步的研究方向。7硕十学位论文第二章嵌入式系统与嵌入式LIFLUX本章主要介绍嵌入式系统和嵌入式LINUX的相关概念和技术。从嵌入式系统开始，分别介绍了嵌入式系统的相关概念、嵌入式LINUX以及如何将LINUX操作系统移植到嵌入式中。21嵌入式系统211嵌入式系统的定义随着现计算机技术的迅猛发展，逐渐形成了计算机系统的两大分支通用计算机系统和嵌入式计算机系统。通用计算机系统的硬件以标准化形态出现，它通过安装不同的软件满足各种不同的要求。而嵌入式计算机系统则是根据具体应用对象，软硬件采用量体裁衣方法定制的，不以一般计算机形态出现的专用计算机系统。嵌入式系统是以微处理器为核心的，嵌入在其他设备中的专用计算机系统。它被定义为以应用为中心和以计算机技术为基础的，并且软硬件是可裁剪，能够满足应用系统对功能、可靠性、成本、体积、功耗等指标严格要求的专用计算机系统【121。随着信息技术的发展和数字化产品的普及，嵌入式系统得到了广泛深入的应用，从消费电器到工业设备，从民用产品到军用器材，嵌入式系统被应用到网络、手持通信设备、国防军事、消费电子和自动化控制等各个领域。嵌入式系统的广泛应用前景和发展潜力使其成为21世纪的应用热点之一。J212嵌入式系统的特点嵌入式计算机技术面临的挑战源于基础技术的迅速发展及用户需求的不断提高。嵌入式技术要求将计算机内装于专用设备或系统中，它的反应速度快，自动化程度高。而且，大多数嵌入式系统是实时系统，该系统要求能在指定的时间内对各种事件，尤其是异步事件，做出正确响应。与通用台式计算机系统相比，嵌入式系统有以下特点1嵌入式系统通常是面向特定应用的。嵌入式系统的专用性很强，其中的软件系统和硬件的结合非常紧密，一般需要针对硬件进行系统的移植。同时针对不同的任务，往往需要对系统进行较大更改，程序的编译下载要和系统相结合，这种修改和通用软件的“升级”是完全不同的概念。2系统精简。嵌入式系统一般没有系统软件和应用软件的明显区分，不要8IPV6下嵌入式LINUX防火墙的设计与实现求其功能设计及实现上过于复杂，这样一方面利于控制系统成本，同时也利于实现系统安全。3高实时性嵌入式操作系统。这是嵌入式软件的基本要求，而且软件要求固态存储，以提高速度。软件代码要求高质量和高可靠性、实时性。4为了提高执行速度和系统可靠性，嵌入式系统中的软件一般都固化在存储器芯片或单片机本身中，而不是存贮于磁盘等载体中。5嵌入式软件开发走向标准化。为了合理地调度多任务、利用系统资源、系统函数以及和专家库函数接口，用户必须自行选配RTOSREALTIMEOPERATINGSYSTEM开发平台，这样才能保证程序执行的实时性、可靠性，并减少开发时间，保障软件质量。6嵌入式系统本身不具备自举开发能力，即使设计完成以后用户通常也是不能对其中的程序功能进行修改的，必须有一套开发工具和环境才能进行开发。开发时往往有主机和目标机的概念，主机用于程序的开发，目标机作为最后的执行机，开发时需要交替结合进行。213嵌入式系统的组成嵌入式系统是量身定做的专用计算机应用系统，实际应用的嵌入式系统硬件配置非常精简，除了微处理器和基本的外围电路以外，其余的电路都可根据需要和成本进行裁剪、定制，非常经济、可靠【L31。作为计算机系统，嵌入式系统也分软件和硬件两部分。嵌入式系统的硬件部分是以嵌入式处理器为中心，由存储器、IO设备、通信模块以及电源等必要的辅助模块组成，其中嵌入式处理器在嵌入式硬件系统中处于核心地位，按照功能和用途划分，它可以进一步细分为以下几种类型嵌入式微控制器EMBEDDEDMICROCONTROLLER、嵌入式微处理器EMBEDDEDMICROPROCESSOR和嵌入式数字信号处理器EMBEDDEDDIGITALSIGNALPROCESSORT141。嵌入式软件系统主要是指控制和操作硬件实现系统功能的指令集合。它是实现嵌入式系统功能的关键。嵌入式软件进一步划分为操作系统和应用程序。操作系统处于上层软件与嵌入式硬件系统的中间，在整个嵌入式系统中处于重要的地位，起着至关重要的作用。它负责控制与管理嵌入式硬件系统，将硬件的复杂性隐藏起来，为上层软件设计提供一个统一易用的应用程序编程接口，以降低应用软件开发的负责性。同时，作为嵌入式系统软硬件资源的管理者，它负责系统软硬件资源的调度与分配，保证系统资源被有效合理地使用。本论所设计的系统的硬件采用的是尤龙公司生产的FS2410开发板，其CPU是ARM9处理器，软件采用的LINUX操作系统。具体的将在后面的章节中介绍。9硕士学位论文214嵌入式系统的应用21世纪是嵌入式计算系统的时代，人们日常生活和工作中所接触的仪器与设备中，都将嵌入具有强大计算能力的微处理器。据统计，目前每年只有1020的微处理器芯片用于台式计算机或笔记本电脑，80左右的微处理器芯片是为嵌入式计算系统设计和制作的。嵌入式计算系统已广泛应用到工业控制系统、信息家电、通信设备、医疗仪器、军事设备等众多领域中。尤其是最近几年，嵌入式计算系统不断进入到新的应用领域，如PDA、手持设备、智能家庭设备、智能电话等【15】。22嵌入式LINUX221嵌入式操作系统嵌入式操作系统是一种支持嵌入式系统应用的操作系统，它是嵌入式系统包括软、硬件系统极为重要的组成部分。嵌入式操作系统具有通用操作系统的基本特点，例如，能够有效管理越来越复杂的系统资源；能够把硬件虚拟化，使得开发人员从繁忙的驱动程序移植和维护中解脱出来；能够提供库函数、驱动程序、工具集等。与通用操作系统相比较，嵌入式操作系统在系统实时高效性、硬件的相互依赖性、软件固态化以及应用的专一性等方面具有较为突出的特点。嵌入式操作系统有很多，像MICROSOFTWINDOWSCE、PSOS、VXWORKS、QNX、THREADX、UCOSII、PALMOS、SYMBIAN、LINUX等等。其中VXWORKS是目前嵌入式系统领域中使用最广泛，市场占有率最高的系统，但是由于其昂贵的费用，很多中小企业只能对它望而止步。相反LINUX由于其开源、开发、可裁剪、免费等特点使得它越来越受到人们的称赞。222目前主流嵌入式操作系统介绍嵌入式操作系统非常之多，目前世界主流的嵌入式操作系统主要有以下几种，下面分别介绍1、VXWORKS。VXWORKS是目前嵌入式系统领域中使用最广泛、市场占有率最高的操作系统。它支持多种处理器，如X86，I960，SUNSPARE，MOTOROLAMC58XXX，MIPS，POWERPC等等。大多数的VXWORKSAPI是专有的。采用GNU的编译和调试器。VXWORKS的实时性和稳定性在嵌入式操作系统中是第一流的。已经十多年没有发现BUG。被广泛的用于航空航天，武器，通讯等实时性稳定性要求高的领域。缺点是价格贵，一般一套正版的VXWORKS需要几十万美金。另外它不提供内核源码。如果选用的芯片不支持VXWORKS，用户一般无能为力。2、PSOS。ISI公司己经被WINRIVER公司兼并，现在PSOS属于WINDRIVER10IPV6下嵌入式LINUX防火墙的设计与实现公司的产品。这个系统是一个模块化、高性能的实时操作系统，专为嵌入式微处理器设计，提供一个完全多任务环境，在定制的或是商业化的硬件上提供高性能和高可靠性。可以让开发者根据操作系统的功能和内存需求定制成每一个应用所需的系统。开发者可以利用它来实现从简单的单个独立设备到复杂的、网络化的多处理器系统。它提供的模块很多，如文件系统，网络系统，分布式管理等等。可以按照不同的需求裁减，编译。北京华为的路由器，UT的小灵通手机里面选用的就是PSOS。它的缺点也是价格贵，且内核不公开【16】。3、IICOSII。IICOSII适合小型控制系统，具有执行效率高、占用空间小、实时性能优良和可扩展性强等特点，最小内核可编译至2KB这样的内核没有太大实用性。UCOSII是一种免费公开源代码、结构小巧、具有可剥夺实时调度的实时操作系统。其内核提供任务调度与管理、时间管理、任务间同步与通信、内存管理和中断服务等功能。作为实时操作系统，|LCOSII采用可剥夺型实时多任务内核。可剥夺型的实时内核在任何时候都运行就绪了的最高优先级的任务。UCOSII内核是针对实时系统得要求来设计实现的，相对简单，可以满足较高的实时性要求。4、WINCE。MICROSOFT公司的WINDOWSCE嵌入式操作系统是支持多线程的嵌入式操作系统，主要用于PDA、SMARTPHONE等个人手持终端上。WINDOWSCE是有优先级的多任务操作系统，但它不是一个硬实时操作系统。WINDOWSCE操作系统的基本核心需要至少200KB的ROM，支持WIN32API子集，支持多种的用户界面硬件，包括可以达到32位像素颜色深度的彩色显示器，支持多种的串行和网络通信技术，支持COMOLE和其他的进程间通信的先进方法。MICROSOFT公司同时提供了方便的EMBEDDEDVISUALSTUDIO开发工具。它最大的特点是能提供与PC机类似的图形界面和主要的应用程序。WINDOWSCE嵌入式操作系统的界面显示大多数在WINDOWS里出现的标准部件。包括桌面、任务栏、窗口、图表和控件等。然后它不是免费的操作系统，而且很昂贵，因此一些中小企业在选择它前还是会认真考虑。5、LINUX。LINUX类似于UNIX，是免费的，源代码开放的，符合POSIX标准规范的操作系统。LINUX拥有现代操作系统的所具有的内容，例如真正的抢先式多任务处理、支持多用户、内存保护、虚拟内存、支持对称多处理机SMPSYMMETRICMULTIPROCESSING、符合POSIX标准、支持TCPIP、支持绝大多数的32位和64位CPU。具体的特点将在下节介绍。223嵌入式LINUXLINUX自1991年LO月5日问世至今，仅有十几年的时间，而它在全球计算机产业界的影响却超过了之前的任何一个操作系统。LINUX是一个成熟、稳定的网络操作系统，把它作为嵌入式操作系统具有很多显著的优点硕士学位论文1LINUX是遵循GPL协议的开放源码软件，任何人都可以从互联网上得到，不需要许可证费用，开发成本低。2LINUX的核心代码是开发的。所有人都可以根据自己的意图修改和定制开发适合自己的产品3LINUX内核代码易于裁剪，可以根据应用具体需要增加或裁剪某些功能，以适应产品的需求。4LINUX核心代码采用移植性比较好的C语言编写，可以很容易地移植到其他处理器上，可支持的处理器种类众多。5LINUX应用软件众多，在开发嵌入式产品时，有许多公开的代码可以参考和移植，可加快开发进程。6多任务支持。LINUX支持多进程同时执行。进程之间完全独立。7多用户支持。LINUX允许多个用户同时在系统上工作。8多处理器支持。从20起，LINUX可以在多处理器体系结构上运行，即操作系统可以将任务分布在多个处理器上。9跨平台支持。LINUX可以在几乎所有常见的硬件体系结构上运行，从PC机到ALPHA工作站。这样的广泛的跨平台功能在其他的操作系统中很少见。10按需调入执行。只有实际执行中需要的程序快才会被装入到内存中。在一个进程刚刚建立时，并不对其分配内存，而是令其使用父进程的内存。直到需要对内存出现写操作的时候，才将该进程的内存段复制出来，即“写时复制“。11分页机制。虽然LINUX中用缓存技术最大化地应用了物理内存，但仍然会出现内存不够的现象。在这种情况下，LINUX将一个不常使用的4K字节大小内存页面中的数据置换到外存上，并将需要的数据页面由外存调入内存中。与早期UNIX版本中的对换机制即将整个进程的数据换入换出相比，分页机制明显在效率上占优势。12动态外存缓存。在内存中保留一块空间作为外存操作的缓存，是从MSDOS时代就已经存在的技术。LINUX中可以动态地调整缓存的大小。如果内存紧缺，则缓存将自动缩小以节省内存。当内存紧缺缓解以后，缓存又会自动调整到原来大小。13共享库支持。库是应用程序运行时所需要调用的子程序集合。一些库可能被很多应用程序所同时使用，然而如果每次使用时都将其调入内存，则内存中将同时存在多个相同的版本，这对于内存空间是极大的浪费。于是LINUX中引入了共享库的概念，或者称做动态链接库，即库文件只被读入内存一次，但可以被若干个应用程序共享应用。14POSIXL0031支持。POSIXL0031标准定义了一个UNIX类操作的最小化界面。LINUX自从12版本起就开始完全支持POSIXL0031。与国际标准接轨12IPV6下嵌入式LINUX防火墙的设计与实现使得LINUX在界面上具有很强的通用性。一15多种不同格式可执行文件支持。LINUX可以支持所有UNIX系统中的可执行文件格式，只要它们遵循IBCS2标准。比如，SCOUNIX中的许多商用程序都可以不需要特别的移植工作而直接在LINUX上运行。16内存保护模式。LINUX中使用处理器提供的内存保护模式来防止用户企图进入内核，从而保证内核程序的安全可靠性。17支持不同种类的文件系统。LINUX支持各种各样的文件系统。在LINUX中最常使用的是其系统自带的EXT2EXT3文件系统。该系统支持255字节长文件名，并沿用了UNIX系统中的一些安全规则。此外，MSDOS，VFAT，NTFS，AFF，HPFS以及网络文件系统NFS等各种文件系统也都被LINUX所支持【171。18TCPIP。SLIP和PPP支持。LINUX操作系统可以加入到UNIX局域网之中去。理论上所有网络协议包括NFS和远程登入等都在LINUX所支持的范围之内。对SLIP和PPP的支持使得可以在电话线上建立TCPIP连接，从而通过电话线连入INTERNET。、简而言之，嵌入式LINUX系统稳定，功能强大，支持多种硬件平台，应用软件多，简单易用且开放源代码，可广泛用于网络产品、PDA、MP3、MP4、手机等信息家电领域。23将LINOX移植到嵌入式中231嵌入式系统开发的特点嵌入式系统的开发与通常PC机上的软件开发有很大的区别，原有的PC机的软件开发过程从编写程序、编译和运行等过程全在同一个PC机平台上完成NATIVE模式；嵌入式开发的程序编写和编译还是在PC机HOA上完成，但编译产生的结果要在嵌入式目标平台TARGET上运行。通常将这种在主机上开发编译，在目标平台上调试运行的开发模式称为交叉开发。一个嵌入式系统的开发环境般包括嵌入式目标板、开发用的宿主PC机和硬件调试器，它们之间通过串口、JTAG或BDM等调试接口和网络等接口互相连接。其中嵌入式软件系统运行于嵌入式目标板上，这些软件所对应的程序开发和编译在宿主机上运行，程序的调试则有宿主机通过硬件调试器控制目标机执行相应的操作实现。以下图21是一个嵌入式交叉开发环境的示意图。13硕十学位论文图21嵌入式开发环境示意图232嵌入式中移植LINUX的关键要素将LINUX移植到嵌入式中主要有以下几个关键要素1交叉编译。前面提到过嵌入式系统得开发必须采用交叉开发的模式。因此，首先就应该在宿主机上建立交叉开发所需的交叉编译环境。交叉编译环境的建立主要是在宿主机上安装交叉编译工具CROSSGEE。2裁剪内核。在建立好交叉编译环境之后，就可以在宿主机上利用交叉编译环境构造一个嵌入式LINUX系统。嵌入式LINUX内核的开发主要是根据实际需要进行内核裁剪和配置，然后用交叉编译器编译生成内核的二进制文件映像。3根文件系统的构造。除了内核之外，LINUX操作系统的另外一个重要组成部分就是应用程序。这些应用程序通常都放在LINUX的根文件系统中。根文件系统主要存放了嵌入式系统的配置文件、设备文件、应用程序、动态链接库以及其他一些相关的程序和文件。通常最初的根文件系统只是一个基本的根文件系统，只包含了一些必要的系统支撑程序例如SHELL、IS等。用户特定的应用将在后继的开发过程中逐步加入这个基本系统。4烧入嵌入式硬件系统。将裁剪好的内核和制作好的根文件系统通过BOOTLOADCR或JTAG烧入FLASH。其中BOOTLOADER是内核的引导加载程序。BOOTLOADER可以自己开发也可以使用一些开源免费的BOOTLOADCR，如REDBOOT、LJBOOT和ANNBOOT等。14IPV6下嵌入式LINUX防火墙的设计与实现24本章小结本章首先介绍嵌入式系统的定义、特点、组成。接下来介绍了嵌入式操作系统的概念及当前主流嵌入式操作系统。重点介绍了本课题将要用到的嵌入式操作系统嵌入式LINUX。最后介绍了LINUX操作系统的移植和嵌入式系统开发的特点，为下文做铺垫。15硕士学位论文31IPV6协议第三章IPV6网络311IPV6协议简介在过去的十多年中，基于MV4的INTEMET发展非常迅猛，己经深入到人们生活的每一个角落。实践证明，IPV4是一个非常成功的协议，它本身也经受住了INTEMET上从数量很少的计算机发展到目前上亿台计算机互联的考验。它极大的满足了数据通信的需要，促进了INTERACT的飞速发展。但是，由于互联网超出预想的全球范围内应用和最初PV4地址分配的不合理性，IPV4渐渐出现了许多问题，其中最重要的就是口地址的枯竭。目前剩余的IPV4地址数目己不充足，在可以预见的有限时间内将被耗尽。根据权威人士计算到2010年之间IPV4地址将会被分配完毕。另外，由于IPV4协议自身在设计方面的缺陷，其渐渐无法满足当今各种新型的网络应用网络流媒体、网格计算、移动P等以及安全性能等在可扩展性方面的要求【L81。总的说来MV4主要有以下几个方面的局限性1地址空间不足，P地址空间的危机由来已久，并正是升级的主要动力。2包头复杂，难以实现扩充或选择机制。3对包头服务数量有限制。4缺少安全与保密方法，安全性一直被认为是由网络层以上的层负责，但它现在已经成为口的下一个版本可以发挥作用的地方。5性能，尽管DV4表现得不错，但一些源自20年甚至更早以前的设计还能够进一步改进。正因为IPV4有以上的不足，因此MTF在RFCL752一文中提出了IPV6。IPV6作为下一代互联网协议便逐步得到了各方的广泛认同，可以说未来互联网的发展是离不开IPV6的支持和应用，对IPV6的研究甚至被认为是网络“发展中“国家追赶网络“发达”国家的一个良好契机。因此，目前各个国家都在加紧进行基于1PV6技术的研究和开发应用。但是，IPV6技术的发展还应当主要得益于政府和厂商双方面的支持【19】。为保持INTEMET的持续发展而设计的IPV6协议继承了IPV4协议的优点，同时又解决了目前IPV4阻碍INTERNET发展的几个关键问题。IPV6与IPV4相比较有如下新特性【20】【2111IPV6具备巨大的地址空间，有2128个地址可用。更关键的是IPV6认识到，没有规划，再多的地址也不够用。IPV6借鉴了IPV4在地址分配方面的经验，设计了周密的地址管理方案。16IPV6下嵌入式LINUX防火墙的