物聯網時代的嵌入式系統安全性問題

摘 要：網絡安全是全世界高度關注的重要問題。嵌入式系統作為物聯網的核心組成，正面臨著各種各樣的安全威脅，這也為嵌入式系統的研發與設計帶來新的挑戰。在物聯網時代，如何降低嵌入式系統的安全風險，消除來自網絡的威脅，并將物聯網的成本降至最低，成為目前亟待解決的重要課題。

關鍵詞：網絡安全；嵌入式系統；風險；物聯網時代

DOI：10.16640/j.cnki.37-1222/t.2018.17.126

隨著物聯網時代的到來，社會中的許多金融交易、商業行為、數據通信在很大程度上都依賴于互聯網，并且有越來越多的設備連接到物聯網中，導致人們的生活及企業的經營運行對互聯網的依賴性逐漸的增大，由此也產生了一系列的安全問題。嵌入式系統作為物聯網時代的核心技術，如果設備不安全，將會導致互聯網產生重大的安全漏洞，進而造成不可估量的損失。因此，加強保護措施，提高嵌入式系統安全性，是保障物聯網時代健康發展的重要途徑。

1 物聯網概念

物聯網是一個以互聯網為基礎，將物體組建到網站上的虛幻世界。與傳統的互聯網相比，第一，物聯網通過連接物品，賦予物品智能化，從而實現對物品的全面感知；第二，物聯網通過各種傳感設備獲得各環節的信息，并對數據信息進行監控；第三，物聯網將收集到的信息進行智能的處理，然后通過可靠的傳輸網站重新傳遞出去。

2 物聯網時代的嵌入式系統安全風險及應對策略

嵌入式系統是物聯網的核心技術，由一個或幾個預先編輯好的程序用來執行少數幾項任務的微型處理器或單片機組成。通常只針對一項特殊的任務。隨著物聯網時代的到來，由于嵌入式系統的漏洞無處不在，且暫時缺乏有效的補丁修復程序，給人們生活與工作帶來便利的同時，也帶來了安全風險。

2.1 軟件自身缺陷

目前，物聯網設備大都是以嵌入式Linux系統為核心，其軟件自身存在系統漏洞、軟件bug、信息泄露、弱口令等缺陷，而攻擊者可以針對這些漏洞進行攻擊，進而獲取系統相關服務的認證口令。比如，嵌入式系統開發人員的編碼能力欠缺，對系統參數沒有經過嚴格的校驗與過濾，從而導致在調用危險函數時遠程命令注入；又如，很多物聯網的設備廠商由于忽視了信息安全的重要性，從而導致信息極為容易泄露，這也給攻擊者帶來方便。針對這些問題，在嵌入式系統開發過程中要加強產品的安全開發流程與管理，嚴格遵循安全編碼規范，減少系統自身的漏洞問題，從而降低安全風險。

2.2 硬件接口

物聯網設備中的調試接口、通訊接口、數據接口、認證方式、存儲介質、外設接口等都容易成為被攻擊的對象。尤其是目前在很多物聯網設備中，廠商都保留了硬件調試接口，給系統安全帶來了潛在風險。比如，可以查看系統信息和對應用程序進行調試的串口、可以調試系統代碼的JTAG接口，由于它們都具有系統較高的訪問權限，容易帶來重大的安全隱患。為此，在嵌入式系統設計之初，就必須充分考慮系統的安全性問題，要確保供給者無法獲取或篡改相關代碼或數據信息。

2.3 暴力攻擊

目前，大部分的物聯網設備都是由CPU、傳感器和通訊三個模塊組成，而通常在設計軟件時都只需要滿足級別的功能。也就是說根密鑰和啟動安全是所有物聯網設備安全的根本，所有處于物聯網中的交易與業務，都是基于根密鑰和啟動安全。而攻擊者可能會對根密鑰和啟動安全進行暴力攻擊，從而獲取相關信息與數據。因此，可以使用安全芯片SE來保證根密鑰和安全啟動的安全性，這也是確保物聯網安全性的最有效的方式之一。

2.4 通訊方式

由于物聯網設備的通訊接口需要與云端后臺、傳感器網絡等設備進行聯網通信，攻擊者可以針對通訊接口的驅動程序代碼或底層通信實現的固件進行攻擊，比如，對于無線網絡接口的一些已知安全問題，攻擊者可以對無線芯片進行攻擊；又如，中間人攻擊可以在通訊設備兩端的鏈路中間，充當數據的交換角色，這樣就能以中間人的方式獲得設備的相關控制信息與用戶的認證信息。為此，在物聯網終端設備中可以內置安全機制，增加漏洞的利用難度，并且定時的向用戶推送補丁及軟件更新，提醒用戶及時進行升級與漏洞修補。

2.5 互聯網

互聯網具有開放性，這也就決定了它本身是一個不安全的體系。首先，在互聯網的數據傳輸中主要遵循的是路由傳輸協議，而由于這種數據的傳輸路徑是隨機的，為此，數據的接收方難以查找到發送方的地址，這就給攻擊者惡意散播病毒、網絡攻擊帶來了便利，同時也給互聯網絡的實時監控帶來了極大困難。而在物聯網設備的終端大都是各種智能化的工具，比如機器人、生產線、嵌入式系統的工業控制機等設備，一旦感染病毒，都會帶來重大的安全事故。

其次，在互聯網開放的環境下，人人都可以無條件的連接互聯網，雖然，現在有很多網絡采取了實名登錄的形式，但攻擊者通過暴力攻擊依然可以獲取部分數據，進而造成個人信息的泄露。最后，在物聯網時代，網上交易、購物、消費等模式成為人們生活中的重要部分，而由此帶來的交易安全、財產安全、計費安全和個人信息安全等諸多問題，由于國家現有的法律法規介入也很難奏效，從而導致一些不法分子常常利用漏洞實施犯罪。比如利用軟件黑箱運行的隱蔽性，給一些交易平臺植入一些損害消費者利益的協議規則；又如，旅行社的票務系統提供虛假機票、火車票等，各式各樣的網絡詐騙行為層出不窮。為此，應從互聯網系統自身的結構體系與特點出發，采取有針對性的措施，提高互聯網系統的安全性，此外，國家應完善相應的法律法規，對互聯網的安全問題給予法律的保障。

3 結語

嵌入式系統是物聯網的重要組成部分，在物聯網時代，越來越多的“物體”相互連接在一起，這就使得物體連接后非常容易受到黑客的攻擊，為了真正的實現物聯網的功能，利用嵌入式軟件、工具和芯片等多種手段，保障嵌入式系統的安全性是降低物聯網設備安全風險，為人們提供安全性的遠程管理的關鍵。

參考文獻：

[1]段純爽.淺析嵌入式系統在物聯網時代的應用[J].中小企業管理與科技旬刊，2015（32）：265.

[2]何立民.物聯網時代嵌入式系統的安全性設計[J].單片機與嵌入式系統應用，2016，16（07）：82-83.

作者簡介：王典（1989-），男，四川遂寧人，本科，助教，研究方向：應用電子技術。