北京航空航天大學

何立民

物聯(lián)網(wǎng)時代的嵌入式系統(tǒng)安全性問題

北京航空航天大學

何立民

傳統(tǒng)電子時代，電子系統(tǒng)的可靠性與安全性是統(tǒng)一的，可靠即安全。智能電子時代有了安全性包容設計，出現(xiàn)了不可靠因素下的安全保障設計。物聯(lián)網(wǎng)時代，幾乎所有嵌入式系統(tǒng)都具有互聯(lián)網(wǎng)接入能力，體系結(jié)構從封閉到開放，形成了互聯(lián)網(wǎng)中非安全因素對嵌入式系統(tǒng)的入侵渠道，物聯(lián)網(wǎng)系統(tǒng)的安全性設計上升到空前高度。

1電子系統(tǒng)的安全性設計變遷

傳統(tǒng)電子系統(tǒng)是純硬件系統(tǒng)，系統(tǒng)正常時可安全使用，系統(tǒng)失效后無安全可言。傳統(tǒng)電子系統(tǒng)用減少元器件的失效率來提高系統(tǒng)的可靠性，這時的元器件有明顯的可靠性等級，如軍用級、工業(yè)級、商業(yè)級、民用級等元器件。為了保證軍工產(chǎn)品的可靠性、安全性，軍工類電子產(chǎn)品設計中，所有的元器件無一例外地使用軍用級產(chǎn)品。我們常常會見到一個奇特現(xiàn)象，即軍工電子系統(tǒng)產(chǎn)品設計中，往往不敢采用一些先進的元器件，因為這些新型元器件通常沒有軍用級產(chǎn)品。

智能電子時代，由于電子系統(tǒng)無一例外地引入了微控制器，系統(tǒng)中的許多功能都體現(xiàn)為硬件基礎上的軟件行為。系統(tǒng)的可靠性因素，除了硬件的本質(zhì)可靠性外，主要是由軟件出錯概率引發(fā)的多值可靠性。此外，微控制器帶來的人工智能設計，可以主動介入系統(tǒng)的可靠性控制設計，以提高系統(tǒng)的可靠性與安全性。

物聯(lián)網(wǎng)電子系統(tǒng)是物聯(lián)網(wǎng)時代智能電子系統(tǒng)的一種常見形式。在物聯(lián)網(wǎng)中，智能電子系統(tǒng)以網(wǎng)絡終端的形式構成物聯(lián)網(wǎng)的感知層與控制層。互聯(lián)網(wǎng)是本質(zhì)不安全的網(wǎng)絡體系，各種網(wǎng)絡罪惡行為威脅網(wǎng)絡安全。物聯(lián)網(wǎng)中的數(shù)據(jù)流可以輕易地與智能電子系統(tǒng)交互，從而將這些威脅引入智能電子系統(tǒng)。因此，與智能電子系統(tǒng)相比，物聯(lián)網(wǎng)電子系統(tǒng)有突出的安全問題，即網(wǎng)絡攻擊型的致命性安全問題。一個高可靠的智能電子系統(tǒng)接入物聯(lián)網(wǎng)后，有可能遭遇網(wǎng)絡的惡意攻擊而失效，在一些有安全性要求的物聯(lián)網(wǎng)電子系統(tǒng)中必須有防止惡意攻擊的安全性設計。

2高境界的嵌入式系統(tǒng)可靠性

從可靠性、安全性視角來看，智能電子系統(tǒng)達到了最高境界。微電子技術的高本質(zhì)可靠性保障、人工智能可靠性管理設計、專家可靠性設計的知識集成、刀槍不入的安全保障這四大因素，保證了智能電子系統(tǒng)有空前的高可靠性與高安全性。

2.1微電子技術的高本質(zhì)可靠性保障

智能電子系統(tǒng)是在集成電路基礎上構建的電子系統(tǒng)。隨著集成度的不斷提高、應用系統(tǒng)的模塊化程度不斷提升、半導體工藝不斷進步，目前，集成電路已具有超長壽命。我們發(fā)現(xiàn)，許多廢棄的電子產(chǎn)品上拆下的集成電路芯片，仍可使用。在微電子集成技術與半導體工藝保證下，智能電子系統(tǒng)是一個具有高本質(zhì)可靠性的電子系統(tǒng)。

2.2人工智能可靠性管理設計

智能電子系統(tǒng)的軟件介入帶來了可靠性的兩大不利因素：一是，不可避免的軟件出錯會造成系統(tǒng)失誤；二是，增加了軟件運行時間，導致系統(tǒng)可能出現(xiàn)非實時響應帶來的可靠性問題。值得慶幸的是，智能電子系統(tǒng)可憑借其智能化的微控制器實現(xiàn)系統(tǒng)的可靠性管理，例如開機后的自檢、運行中的系統(tǒng)冗余與熱備份、數(shù)據(jù)傳輸中的校驗與修復、防外部干擾的屏蔽與無害化處理、程序運行的監(jiān)視與自恢復，以及系統(tǒng)失效后的安全性包容等。

由于智能電子系統(tǒng)中增加了軟件運行時間，給系統(tǒng)帶來了實時性問題。在許多情況下，不會造成明顯的系統(tǒng)可靠性問題，只反映了系統(tǒng)靈敏性帶來的不便。但在不少控制類的系統(tǒng)中，有嚴格的實時性要求，如交通違章監(jiān)視器的攝像系統(tǒng)，必須保證車輛高速行駛下的抓拍效果。

2.3專家可靠性設計的知識集成

經(jīng)歷多年完善的電子系統(tǒng)可靠性設計，積累了眾多的專家知識、技能與方法(如非線性補償、數(shù)據(jù)校驗與修復、粗大誤差剔除)，以及與可靠性設計相關的各種算法等。早期，這些專家知識反映在電子工程師的系統(tǒng)設計中，后來，隨著微電子技術與軟件技術的發(fā)展，這些專家知識以不同的方式集成到芯片之中，如集成電路中的數(shù)字電路、模擬電路的知識集成，數(shù)據(jù)庫的專家知識集成，以及操作系統(tǒng)中各種可靠性設計專家知識集成等。系統(tǒng)中，所有這些專家知識的集成，極大地降低了產(chǎn)品開發(fā)時可靠性設計的難度。

2.4刀槍不入的安全保障

智能電子系統(tǒng)可靠性最高境界的一個重要表現(xiàn)是系統(tǒng)軟件的封閉性。系統(tǒng)中的所有軟件都以代碼固化方式存放在程序存儲器中，數(shù)據(jù)庫中的重要數(shù)據(jù)也被存放在只讀數(shù)據(jù)存儲器中。外部無法修改這些代碼與數(shù)據(jù)，從而對病毒具有天然免疫能力。雖然無法避免外界電磁干擾對數(shù)據(jù)流造成的破壞，但可憑借應用程序及只讀數(shù)據(jù)存儲器中的關鍵數(shù)據(jù)進行實時修復。因此，在網(wǎng)絡病毒對互聯(lián)網(wǎng)肆意攻擊的年代，幾乎所有的智能化工具及其局域網(wǎng)絡系統(tǒng)都能刀槍不入。

3本質(zhì)不安全的互聯(lián)網(wǎng)

互聯(lián)網(wǎng)開放的結(jié)構體系，決定了它是一個先天的不安全體系?；ヂ?lián)網(wǎng)數(shù)據(jù)路由傳輸具有不確定性，人人都可自由出入，互聯(lián)網(wǎng)構筑的虛擬世界中法律法規(guī)總也趕不上虛擬事物的七十二變，所有這些因素都決定了互聯(lián)網(wǎng)是一個本質(zhì)不安全的網(wǎng)絡體系。以互聯(lián)網(wǎng)為基礎的物聯(lián)網(wǎng)不僅繼承了互聯(lián)網(wǎng)的不安全因素，還會殃及作為網(wǎng)絡終端的智能電子系統(tǒng)。

3.1路由傳輸不確定性帶來的安全性問題

互聯(lián)網(wǎng)數(shù)據(jù)流遵循的是路由傳輸協(xié)議，而數(shù)據(jù)傳輸路徑是隨機的。在匿名情況下，數(shù)據(jù)接收方很難查找到發(fā)送方的網(wǎng)址，這就為病毒始作俑者、網(wǎng)絡攻擊者提供了最佳保護，同時也給網(wǎng)絡監(jiān)控帶來諸多困難。

3.2人人可自由出入互聯(lián)網(wǎng)帶來的安全性問題

互聯(lián)網(wǎng)對所有人都開放，有了網(wǎng)絡終端，人人都可以無條件上網(wǎng)。在許多情況下，網(wǎng)絡登錄可實行實名制管理，但眾多的網(wǎng)絡接入方式無須實名，這樣一來，就給犯罪分子帶來可乘之機，因此實名制防君子難防小人。

3.3虛擬世界提供的非安全性土壤

微處理器的數(shù)字化革命，為人類帶來了一個數(shù)字化的虛擬世界。在互聯(lián)網(wǎng)基礎上，人們構筑了眾多與真實世界相對應的虛擬事物，如網(wǎng)上銀行、網(wǎng)上超市、電子商務、電子交易平臺、網(wǎng)上票務系統(tǒng)、電子計費系統(tǒng)等。與真實世界透明的交互相比，虛擬世界事物中的交互(交易、計費)是不透明的，而且制定規(guī)則的非消費方，消費方無法知曉內(nèi)幕，從而導致消費的不安全性。

3.4法律法規(guī)滯后帶來的安全性問題

非本質(zhì)安全的互聯(lián)網(wǎng)帶來物聯(lián)網(wǎng)應用中的諸多安全問題，例如網(wǎng)上的計費安全、財務安全、交易安全等。始作俑者常常利用漏洞實施犯罪行為，這些犯罪常常游走在法律的邊緣處。也有些明顯的交易安全事件，如網(wǎng)上機票票務系統(tǒng)中的假票事件，雖有法律介入但很難奏效，因為犯罪成本低、難發(fā)現(xiàn)，其還可用七十二變快速應對、規(guī)避風險，這樣就會造成法律部門發(fā)現(xiàn)晚、應對遲，待實施時對方已轉(zhuǎn)身規(guī)避，形成了貓捉老鼠的游戲。

4物聯(lián)網(wǎng)時代的安全性危機

智能電子時代，物聯(lián)網(wǎng)電子系統(tǒng)的安全性問題是一種外源性因素引發(fā)的安全性危機。這些安全性危機有惡意攻擊性危機、病毒肆虐性危機、利益驅(qū)駛性危機，以及網(wǎng)絡報復式危機等，它們體現(xiàn)了虛擬世界從老虎到蒼蠅的多樣性危機。

4.1惡意攻擊性危機

物聯(lián)網(wǎng)時代嵌入式系統(tǒng)最大的安全性向題是網(wǎng)絡的惡意攻擊。互聯(lián)網(wǎng)時代，網(wǎng)絡攻擊主要在信息領域；物聯(lián)網(wǎng)時代，網(wǎng)絡攻擊通過底層嵌入式系統(tǒng)的感知與控制進入到經(jīng)濟、文化、民生等實體領域。最著名的惡意攻擊事件就是美國與伊朗的網(wǎng)絡戰(zhàn)爭，美國通過“震網(wǎng)”蠕蟲病毒攻擊伊朗核設施離心機，伊朗則兩次捕獲美國無人機。這些實體的惡意攻擊形式可以多樣化，但常常體現(xiàn)為利用嵌入式系統(tǒng)對網(wǎng)絡開放窗口實施的惡意攻擊。在汽車電子領域，自動駕駛時代即將來臨時，人們最擔心的不僅是汽車電子系統(tǒng)可靠性帶來的安全問題，還有通過網(wǎng)絡對自動系統(tǒng)的控制與攻擊，以各種方式制造的車損及車禍現(xiàn)象。

4.2病毒肆虐性危機

互聯(lián)網(wǎng)中無處不在的病毒經(jīng)常會進入網(wǎng)絡終端?；ヂ?lián)網(wǎng)時代，嵌入式系統(tǒng)不對互聯(lián)網(wǎng)開放，病毒肆虐的危害僅限于網(wǎng)絡終端的桌面系統(tǒng)，人們用各種殺毒軟件來防止病毒的侵害。物聯(lián)網(wǎng)時代，大量的網(wǎng)絡終端是各種智能化工具(如嵌入式系統(tǒng)的工業(yè)控制機、生產(chǎn)線、機器人等)，即使沒有惡意攻擊，一旦感染病毒，也會出現(xiàn)重大安全事故。

4.3利益驅(qū)使性危機

物聯(lián)網(wǎng)的虛擬世界中，有許多商務平臺、交易平臺、服務平臺。平臺構建者是運營商，平臺的使用者是大量的消費者。受利益驅(qū)駛，在平臺構建時，運營商有可能植入一些損害消費者利益的協(xié)議規(guī)則，利用軟件黑箱運行的隱蔽性，廣種薄收地獲取不正當?shù)母哳~壟斷利潤。更有甚者，以欺騙手段獲取不義之財，如旅行社票務系統(tǒng)出售假機票事件，以及各種花樣繁多的網(wǎng)絡詐騙。

4.4網(wǎng)絡報復式危機

收稿日期：(楊迪娜2016-04-25)