嵌入式系統安全專題——物聯網時代，嵌入式系統該如何揮拳？

?

嵌入式系統安全專題
——物聯網時代，嵌入式系統該如何揮拳？

本刊編輯部

引言

網絡安全是全球普遍關注的重要問題，在網絡安全的世界里面，有兩個部分與嵌入式系統密切相關：一個是物聯網，另一個是信息安全。物聯網時代的嵌入式設備正面臨著各種各樣的安全威脅，這也成為嵌入式系統設計面臨的重要挑戰。如何充分地利用芯片、嵌入式軟件和工具來實現全面的系統安全保護，消除來自網絡的威脅，成為目前亟待解決的重大課題。同時，提供安全性的遠程管理和維護也成為當前物聯網設備的迫切需求。

我們有幸邀請到物聯網和嵌入式系統產業鏈上有代表性的業內專家和高校學者，為讀者深入解讀面向物聯網應用的嵌入式系統安全技術和應用。

物聯網中的嵌入式安全

嵌入式系統聯誼會秘書長 何小慶

最近幾年，物聯網(IoT)風起云涌，隨之而來的是，聯網后的嵌入式系統安全性問題更加嚴峻。歸納起來，物聯網嵌入式安全設計應考慮以下幾個方面：

第一，容易被攻擊的對象顯著增多。比如家電聯網變成智能家居，汽車聯網變成車聯網，那么汽車和家電就成為了可以被攻擊的對象。這里的汽車是指廣義的交通工具，包括了公共交通和飛機等，未來的無人駕駛汽車也是可能受到攻擊的對象。我最近乘坐美聯航和Bluejet航空公司的飛機，均已提供機內Wi-Fi服務，這就給攻擊者提供了乘機而入的機會。

第二，越來越多的日?；顒涌赡芤驗槭芄舳袛唷３似嚭图译娨酝?，大量可穿戴式醫療健康設備，都能夠通過智能手機接入互聯網，攻擊可能導致設備發生故障，危害人們的健康甚至生命。

第三，互聯網和大數據通過傳感器收集到了大量物(Things)的信息，其內容更加廣泛，一旦重要信息泄漏，后果不堪設想。我們駕駛的汽車的位置、個人信息和疾病信息，以及智慧城市的建筑和交通等管理信息，都可能遭到泄漏。

第四，電網、交通運輸和管理、核電站和環境監測等關鍵系統，若遭到黑客的攻擊，將造成毀滅性的危害。

第五，新的開放的標準與傳統私有的標準之間的轉換帶來的安全隱患。比如，如果物聯網設備中使用的ZigBee、Z-Wave、Thread和ANT協議，與互聯網IP協議之間需要轉換，就必須考慮安全性的問題。國際性標準組織IETF、ITU，以及民間企業聯盟OIC和AllJoyn等，正在架構層做有關安全性的研究工作，期望降低安全風險，但是因為大量的設備已經存在，所以還需要一段時間才能完善。

物聯網安全已經開始引起計算機科學、通信技術等學科的專家學者，以及半導體、IT和嵌入式系統產業界人士的高度重視。哥倫比亞大學計算機專業2015年春天講授的網絡安全課程已經加入了IoT 安全性方面的內容，很多相關企業也在加緊推出物聯網安全方面的產品。2015年6月，我在舊金山一個嵌入式會議上遇到一家網絡軟件公司-Icon lab的創始人和CEO Alan Gran，會上他們介紹了公司面向工業物聯網(IIoT)嵌入式網絡安全軟件技術。著名開源技術咨詢公司Blackduck公司的開源策略總監Bill Weinberg,在其《物聯網與開源軟件》一文中詳細討論了物聯網端點和邊緣節點設備的安全問題，ARM、NXP、飛思卡爾、谷歌和微軟也在芯片和物聯網操作系統層面，布局物聯網系統安全技術和解決方案。可見，物聯網安全正在快速發展中。

嵌入式系統的可靠性與安全性設計

北京航空航天大學 何立民教授

嵌入式系統的可靠性與安全性設計是一個全新的課題。與傳統電子系統相比，由大規模集成電路與計算機軟件構成的嵌入式系統，其集成電路的超長壽命與可能會出錯的軟件，構成了嵌入式系統獨特的可靠性、安全性問題。集成電路的超長壽命，保證了嵌入式系統不易出現不可逆轉的失效，而軟件將成為嵌入式系統不可靠的主要因素。因此，嵌入式系統的可靠性與安全性問題，主要表現在系統的出錯概率上。

嵌入式系統的可靠性與安全性設計的主要任務是，在保證硬件系統安全、可靠的基礎上，盡可能降低軟件的出錯概率。在硬件設計中，有芯片選擇、電路板設計、加工工藝、系統總體設計中的結構冗余、定時復位電路、電源管理系統(及時關斷非工作區域供電，使其噪聲失敏)等。在軟件設計中，除了可靠的軟件設計方法，如盡可能使用商用操作系統與廠家提供的集成開發環境外，還要充分利用軟件的智慧特點，主動實施對系統的可靠性控制與安全性包容技術?？煽啃钥刂剖侵柑岣呦到y可靠性的各種手段，如系統自檢、實時監測與系統切換、數據校驗與修復；安全性包容技術，是指系統出錯后的無害化處理。

就一個具體的嵌入式應用系統而言，可靠性、安全性設計不是越高越好，它涉及財力、物力、精力的投入，能滿足要求即可。因此，在可靠性、安全性設計之前，要對產品系統的可靠性等級進行評估，按照系統可靠性要求等級來規劃相應的項目與內容。

目前，幾乎所有的電子產品都是內含MCU的嵌入式應用系統，即智能電子系統。與傳統電子系統相比，智能電子系統有完全不同的可靠性概念、可靠性與安全性設計方法。

傳統電子系統，是以系統中電子元器件的失效概率來判斷系統的可靠性，具有“非好即壞”的二值特征。集成電路超長壽命的智能電子產品系統的可靠性則取決于軟件的出錯概率，而軟件出錯時，可以借助各種手段使系統恢復，因此具有多值可靠性特征。

智能電子系統具有智慧功能，不僅保證了產品系統的智慧功能，還可用來實現產品的可靠性、安全性控制與系統運行的功耗管理。因此，一個完整的智能產品系統設計，應該包含功能性設計、可靠性設計與功耗管理設計三個部分。

可靠性設計包括本質可靠性設計與可靠性控制設計。本質可靠性設計保證系統的先天可靠性；可靠性控制設計通過采取一些措施來減少系統出錯，如數據校驗、噪聲失敏、系統自檢與修復等。

在安全性設計中，要保證系統少出錯與出錯時的無害化處理。高水平的本質可靠性設計與可靠性控制設計，能夠保證系統實現最小的出錯概率。當系統出錯后，能迅速進入安保狀態，如為機器人設定安全禁區、異常情況的關停處理等。

特定用途LAMP服務器為物聯網應用保駕護航

e絡盟亞太區技術市場經理 陳嘉偉

我們當前的生活中充斥著各種連接設備，不間斷地傳輸著龐大的數據，而這些我們剛剛開始著力挖掘的數據卻承載著無數秘密。交通、醫療保健、農業、點對點通信及娛樂等領域，已經獲取了10年前根本無法想象的信息量。將這些海量信息運用于解決真正的全球化問題，進而改善人類生活的技術就是物聯網(IoT)，它集成了設備、網絡及處理能力，具有強大的應用潛能。

嵌入式系統是物聯網的重要組成部分。在嵌入式世界里，越來越多“物體”實現了相互連接，但同時也讓我們面臨一個兩難選擇：因物體互連而具備的易訪問性，也使得這一系列全新“物體”非常容易受到攻擊。因此，家庭自動化節點、電能計量及支付解決方案等應用領域的嵌入式開發人員都需要竭力解決大量的主動威脅問題。

為了真正實現物聯網的功能，我們需要從系統的角度思考，而不能簡單地將物聯網看作是由各種自主、分布式智能設備直接連接至開放互聯網而形成的一個松散集合。

事實上，大多數嵌入式設備制造商都會設計并管理一個子網絡，用于監測并管理其設備。雖然移動手機和平板電腦可以直接連接至應用商店，但是大多數設備制造商仍然偏向于在其設備生態系統當中嵌入其自主研發的特定用途服務器。在這種情況下，功能強大且高效的低成本LAMP(Linux、Apache、MySQL及PHP)服務器便進入了人們的視線當中，LAMP服務器可以收集、存儲、處理并分析分布式設備的數據，同時控制、管理并維護設備本身。它具備多項優點，包括完全控制與可配置性、新功能直接升級、模塊或安全性修復、高性能及可擴展性等。

雖然保證設備的設計安全性很重要，但從PC及手機的更新頻度來看，設備的更新性能同樣甚至更加重要，尤其是當新的威脅出現或者現有威脅進一步升級的時候。這意味著您的架構需要具備一項重要性能，即能夠推送邊緣設備進行安全及軟件更新。由于當前許多制造并部署的嵌入式設備運行的都不是iOS和安卓系統，同時許多低成本邊緣設備采用微控制器(MCU)配置且運行裸機代碼，最多運行配置TCP/IP協議棧的RTOS，因此定制化軟件升級服務器成為必要。特定用途LAMP服務器也就應運而生，而且將在物聯網領域發揮重要作用。

一種基于可信計算的嵌入式系統信息安全防護架構的“安全魔盒”

北京旋極信息技術股份有限公司 王薪達

近年來，以震網病毒、Flame火焰病毒、Duqu病毒為代表的嵌入式信息安全事件大規模涌現，帶來的危害性遠超普通信息安全事件，各國政府、相關企業和用戶由此深刻地認識到嵌入式系統信息安全的重要性。

嵌入式系統作為現代工業控制系統的核心，在裝備和工業設備中應用數量巨大。然而，長期以來，嵌入式系統產品的開發都以追求性能、功能和成本為主，鮮有考慮安全性問題，這造成了嵌入式系統產品在開發時就未考慮安全因素。問題暴露出來時，“打補丁”的方式并不能從根本上解決問題。即使有安全方面的考慮，也是防火墻、入侵監測和病毒防范“老三樣”的方式，同樣不能從根本上解決信息安全的問題。為此，我們設計了一種全新的安全防護架構，目的是從根本上來解決信息安全問題。

“安全魔盒”是一種應用于嵌入式系統和設備中，對其運行環境安全進行實時監測和恢復的產品，在系統出現故障時可自動或手功恢復設備原始狀態，以保證設備隨時可用，不會由于受到破壞和攻擊等因素的影響導致設備功能部分或全部失效。

“安全魔盒”采用總線檢測技術、面向故障與效率的數據智能分析技術等，基于全生命周期管理、PHM技術、可信計算、測試性、人工智能、大數據和物聯網等多種技術，結合相關理論及模型實現。

多重自主安全防護機制架構示意圖

“安全魔盒”能夠對設備運行狀態實時監測，并通過多重防護機制提高嵌入式系統的可靠性。其具有如下特點：主動、被動加自恢復多重自主安全防護措施；設備狀態實時監測；可選擇多種恢復方式(完全恢復、部分恢復、比對恢復)。

“安全魔盒”工作原理示意圖

ISA100.11a的安全架構

橫河電機(北京)研究開發中心 胡榮才部長

現場總線是“物聯網”一詞出現之前就存在的物聯網形態。出于可用性、完整性和機密性三大要素的考慮，IT系統和控制系統有著本質的不同。

IT系統和控制系統安全性級別

由于工業控制系統的封閉性，信息安全的重要性一直沒有得到相應的重視。隨著工業系統走向開放以及外在的威脅變得愈加尖銳，工業系統的信息安全被提升到相當的高度，而工業無線標準ISA100.11a則是在維持高可用性和完整性的前提下，充分滿足機密性要求的工業無線網絡標準。

ISA100.11a工業無線網絡標準是由ISA協會制定的面向過程工業的開放標準，并于2014年9月被IEC接納為國際標準(IEC62734)。制定標準的專家團隊具有廣泛的代表性：既包括橫河電機、霍尼韋爾、艾默生等大的自動化廠商代表，也有來自BP、ExxonMobil等大的行業用戶代表。ISA100.11a是第一個基于IPv6的標準，可以很好地與互聯網融合，同時也保證了良好的可擴展性和可管理性。此外，為了保證用戶生產數據的安全，ISA100.11a引入了一系列的安全策略。

圖4　ISA100.11a的安全模型

ISA100.11a安全模型在數據鏈路層(DL)和傳輸層(TL)提供了安全機制。這兩層中都提供了數據加密和完整性校驗功能，以防止數據泄露和非法篡改，保證數據的發送和接收方都是合法的設備。數據鏈路層提供在空口上的點到點的安全，而傳輸層則提供端到端的安全性。另外，ISA100.11a不允許關閉安全功能，從而避免了由于設置錯誤導致的安全性降低。

除了數據加密和完整性校驗，ISA100.11a還提供了其他相應的安全功能，以確保整個安全架構沒有漏洞。這些功能包括：用戶設備的授權，提供了基于非對稱加密的在線授權機制；加入網絡時的用戶與網絡的互相認證；通信用密鑰的分發和定時失效；采用標準的AES-128算法；采用與時間相關的NONCE。

本專題由第五屆深圳國際嵌入式系統展冠名贊助8月2426日深圳會展中心