物聯網時代的嵌入式系統安全性問題

北京航空航天大學

何立民

物聯網時代的嵌入式系統安全性問題

北京航空航天大學

何立民

傳統電子時代，電子系統的可靠性與安全性是統一的，可靠即安全。智能電子時代有了安全性包容設計，出現了不可靠因素下的安全保障設計。物聯網時代，幾乎所有嵌入式系統都具有互聯網接入能力，體系結構從封閉到開放，形成了互聯網中非安全因素對嵌入式系統的入侵渠道，物聯網系統的安全性設計上升到空前高度。

1電子系統的安全性設計變遷

傳統電子系統是純硬件系統，系統正常時可安全使用，系統失效后無安全可言。傳統電子系統用減少元器件的失效率來提高系統的可靠性，這時的元器件有明顯的可靠性等級，如軍用級、工業級、商業級、民用級等元器件。為了保證軍工產品的可靠性、安全性，軍工類電子產品設計中，所有的元器件無一例外地使用軍用級產品。我們常常會見到一個奇特現象，即軍工電子系統產品設計中，往往不敢采用一些先進的元器件，因為這些新型元器件通常沒有軍用級產品。

智能電子時代，由于電子系統無一例外地引入了微控制器，系統中的許多功能都體現為硬件基礎上的軟件行為。系統的可靠性因素，除了硬件的本質可靠性外，主要是由軟件出錯概率引發的多值可靠性。此外，微控制器帶來的人工智能設計，可以主動介入系統的可靠性控制設計，以提高系統的可靠性與安全性。

物聯網電子系統是物聯網時代智能電子系統的一種常見形式。在物聯網中，智能電子系統以網絡終端的形式構成物聯網的感知層與控制層。互聯網是本質不安全的網絡體系，各種網絡罪惡行為威脅網絡安全。物聯網中的數據流可以輕易地與智能電子系統交互，從而將這些威脅引入智能電子系統。因此，與智能電子系統相比，物聯網電子系統有突出的安全問題，即網絡攻擊型的致命性安全問題。一個高可靠的智能電子系統接入物聯網后，有可能遭遇網絡的惡意攻擊而失效，在一些有安全性要求的物聯網電子系統中必須有防止惡意攻擊的安全性設計。

2高境界的嵌入式系統可靠性

從可靠性、安全性視角來看，智能電子系統達到了最高境界。微電子技術的高本質可靠性保障、人工智能可靠性管理設計、專家可靠性設計的知識集成、刀槍不入的安全保障這四大因素，保證了智能電子系統有空前的高可靠性與高安全性。

2.1微電子技術的高本質可靠性保障

智能電子系統是在集成電路基礎上構建的電子系統。隨著集成度的不斷提高、應用系統的模塊化程度不斷提升、半導體工藝不斷進步，目前，集成電路已具有超長壽命。我們發現，許多廢棄的電子產品上拆下的集成電路芯片，仍可使用。在微電子集成技術與半導體工藝保證下，智能電子系統是一個具有高本質可靠性的電子系統。

2.2人工智能可靠性管理設計

智能電子系統的軟件介入帶來了可靠性的兩大不利因素：一是，不可避免的軟件出錯會造成系統失誤；二是，增加了軟件運行時間，導致系統可能出現非實時響應帶來的可靠性問題。值得慶幸的是，智能電子系統可憑借其智能化的微控制器實現系統的可靠性管理，例如開機后的自檢、運行中的系統冗余與熱備份、數據傳輸中的校驗與修復、防外部干擾的屏蔽與無害化處理、程序運行的監視與自恢復，以及系統失效后的安全性包容等。

由于智能電子系統中增加了軟件運行時間，給系統帶來了實時性問題。在許多情況下，不會造成明顯的系統可靠性問題，只反映了系統靈敏性帶來的不便。但在不少控制類的系統中，有嚴格的實時性要求，如交通違章監視器的攝像系統，必須保證車輛高速行駛下的抓拍效果。

2.3專家可靠性設計的知識集成

經歷多年完善的電子系統可靠性設計，積累了眾多的專家知識、技能與方法(如非線性補償、數據校驗與修復、粗大誤差剔除)，以及與可靠性設計相關的各種算法等。早期，這些專家知識反映在電子工程師的系統設計中，后來，隨著微電子技術與軟件技術的發展，這些專家知識以不同的方式集成到芯片之中，如集成電路中的數字電路、模擬電路的知識集成，數據庫的專家知識集成，以及操作系統中各種可靠性設計專家知識集成等。系統中，所有這些專家知識的集成，極大地降低了產品開發時可靠性設計的難度。

2.4刀槍不入的安全保障

智能電子系統可靠性最高境界的一個重要表現是系統軟件的封閉性。系統中的所有軟件都以代碼固化方式存放在程序存儲器中，數據庫中的重要數據也被存放在只讀數據存儲器中。外部無法修改這些代碼與數據，從而對病毒具有天然免疫能力。雖然無法避免外界電磁干擾對數據流造成的破壞，但可憑借應用程序及只讀數據存儲器中的關鍵數據進行實時修復。因此，在網絡病毒對互聯網肆意攻擊的年代，幾乎所有的智能化工具及其局域網絡系統都能刀槍不入。

3本質不安全的互聯網

互聯網開放的結構體系，決定了它是一個先天的不安全體系。互聯網數據路由傳輸具有不確定性，人人都可自由出入，互聯網構筑的虛擬世界中法律法規總也趕不上虛擬事物的七十二變，所有這些因素都決定了互聯網是一個本質不安全的網絡體系。以互聯網為基礎的物聯網不僅繼承了互聯網的不安全因素，還會殃及作為網絡終端的智能電子系統。

3.1路由傳輸不確定性帶來的安全性問題

互聯網數據流遵循的是路由傳輸協議，而數據傳輸路徑是隨機的。在匿名情況下，數據接收方很難查找到發送方的網址，這就為病毒始作俑者、網絡攻擊者提供了最佳保護，同時也給網絡監控帶來諸多困難。

3.2人人可自由出入互聯網帶來的安全性問題

互聯網對所有人都開放，有了網絡終端，人人都可以無條件上網。在許多情況下，網絡登錄可實行實名制管理，但眾多的網絡接入方式無須實名，這樣一來，就給犯罪分子帶來可乘之機，因此實名制防君子難防小人。

3.3虛擬世界提供的非安全性土壤

微處理器的數字化革命，為人類帶來了一個數字化的虛擬世界。在互聯網基礎上，人們構筑了眾多與真實世界相對應的虛擬事物，如網上銀行、網上超市、電子商務、電子交易平臺、網上票務系統、電子計費系統等。與真實世界透明的交互相比，虛擬世界事物中的交互(交易、計費)是不透明的，而且制定規則的非消費方，消費方無法知曉內幕，從而導致消費的不安全性。

3.4法律法規滯后帶來的安全性問題

非本質安全的互聯網帶來物聯網應用中的諸多安全問題，例如網上的計費安全、財務安全、交易安全等。始作俑者常常利用漏洞實施犯罪行為，這些犯罪常常游走在法律的邊緣處。也有些明顯的交易安全事件，如網上機票票務系統中的假票事件，雖有法律介入但很難奏效，因為犯罪成本低、難發現，其還可用七十二變快速應對、規避風險，這樣就會造成法律部門發現晚、應對遲，待實施時對方已轉身規避，形成了貓捉老鼠的游戲。

4物聯網時代的安全性危機

智能電子時代，物聯網電子系統的安全性問題是一種外源性因素引發的安全性危機。這些安全性危機有惡意攻擊性危機、病毒肆虐性危機、利益驅駛性危機，以及網絡報復式危機等，它們體現了虛擬世界從老虎到蒼蠅的多樣性危機。

4.1惡意攻擊性危機

物聯網時代嵌入式系統最大的安全性向題是網絡的惡意攻擊。互聯網時代，網絡攻擊主要在信息領域；物聯網時代，網絡攻擊通過底層嵌入式系統的感知與控制進入到經濟、文化、民生等實體領域。最著名的惡意攻擊事件就是美國與伊朗的網絡戰爭，美國通過“震網”蠕蟲病毒攻擊伊朗核設施離心機，伊朗則兩次捕獲美國無人機。這些實體的惡意攻擊形式可以多樣化，但常常體現為利用嵌入式系統對網絡開放窗口實施的惡意攻擊。在汽車電子領域，自動駕駛時代即將來臨時，人們最擔心的不僅是汽車電子系統可靠性帶來的安全問題，還有通過網絡對自動系統的控制與攻擊，以各種方式制造的車損及車禍現象。

4.2病毒肆虐性危機

互聯網中無處不在的病毒經常會進入網絡終端。互聯網時代，嵌入式系統不對互聯網開放，病毒肆虐的危害僅限于網絡終端的桌面系統，人們用各種殺毒軟件來防止病毒的侵害。物聯網時代，大量的網絡終端是各種智能化工具(如嵌入式系統的工業控制機、生產線、機器人等)，即使沒有惡意攻擊，一旦感染病毒，也會出現重大安全事故。

4.3利益驅使性危機

物聯網的虛擬世界中，有許多商務平臺、交易平臺、服務平臺。平臺構建者是運營商，平臺的使用者是大量的消費者。受利益驅駛，在平臺構建時，運營商有可能植入一些損害消費者利益的協議規則，利用軟件黑箱運行的隱蔽性，廣種薄收地獲取不正當的高額壟斷利潤。更有甚者，以欺騙手段獲取不義之財，如旅行社票務系統出售假機票事件，以及各種花樣繁多的網絡詐騙。

4.4網絡報復式危機

收稿日期：(楊迪娜2016-04-25)