基于故障树的服务机器人信息安全测评系统模型

李梦玮 赵晓飞 巩潇

摘   要： 为了有效开展服务机器人的信息安全测评工作，从受侵害对象、应用场景出发，总结服务机器人信息安全问题所带来的应用风险，提出一种基于故障树的服务机器人信息安全分析方法。对服务机器人本体系统、云网系统架构进行分析，应用故障树分析法，构造服务机器人信息安全测评系统模型架构，对硬件接入、数据采集、数据分析和操作展示进行详细设计，以兼具在线与离线信息安全测评功能。以某迎宾导引服务机器人为例，模拟各类攻击手段，对测评系统模型进行了验证实现，发现了服务机器人通信数据未加密、弱口令漏洞等信息安全问题，为后续服务机器人安全应用研究奠定了基础。

关键词： 服务机器人;信息安全;故障树分析法;测评系统模型;云网系统

引言

当前，我国服务机器人市场规模快速扩大[1]，服务机器人新兴应用场景拓展迅速，产品体系逐渐丰富，在家庭生活、物品配送、健康服务等领域得以快速落地，越来越多地渗入到人们的日常生活中。

服务机器人接入到网络环境中，不可避免地带来了许多安全问题。据相关研究机构披露，在服务机器人、工业机器人等领域数十款机器人中，已发现近50个安全漏洞，利用这些漏洞，攻击者可以实现对用户的监听及对机器人安全运动范围的篡改，以窃取用户隐私、商业机密或对用户实施身体攻击[2]。某安全软件公司发现某一款扫地机器人存在的安全漏洞“HomeHack”可以获得机器人控制权以及内置摄像头的访问权，偷录用户家中视频[3]。可见，服务机器人信息安全问题所带来的安全风险涉及到多个方面。

区别于传统IT系统，服务机器人结构更为复杂，传统的信息收集、漏洞扫描、漏洞利用、提升权限等信息安全测评方法虽然已较为成熟，但很难完全适用。

本文提出了一种基于故障树的服务机器人信息安全测评系统模型架构，采用信息安全故障树分析法，设计了一种兼具在线与离线信息安全测评功能的系统模型，并在服务机器人上进行了验证实现。

1  服务机器人信息安全风险分析

由于服务机器人存在的安全漏洞可能会被攻击者利用，而造成人员伤害、隐私泄露等问题，因此确保服务机器人的安全性和隐私性至关重要。目前，已有许多科研机构和学者陆续参与到机器人安全性研究工作中。例如，采用影响及危害性分析方法，基于机器人元器件的故障模式、故障影响及故障原因进行安全性评估[4]。Khalil等对一种机器人攻击工具进行了研究，采用面向结果导向的分析方法来评估攻击结果[5]。Wojciech等从网络物理系统层面出发，分析了移动服务机器人可能面临的攻击来源、威胁及后果[6]。李颖等从网络安全、主机安全、终端安全等方面探讨了变电站机器人巡检系统的信息安全隐患[7]。随着服务机器人的普及应用，其安全性问题必将成为今后的研究重点。

1.1  服务机器人安全问题

根据受侵害对象的不同，服务机器人信息安全问题所导致的危害可以分为人身安全、环境安全、业务安全和个人隐私，贯穿服务机器人全生命周期。以下结合不同危害层面对服务机器人安全性进行分析。

（1）人身安全：使用者通过人机交互的方式使服务机器人执行相应工作。由于使用者大部分为非专业人员，因此误操作、信号干扰等问题可能导致服务机器人发生误动作，对人身安全造成直接的危害。如果少数不法分子通过技术手段对机器人进行劫持、诱骗和操控，所导致的危害不可估量。

（2）环境安全：对于巡检、配送等公共服务机器人，环境安全是最主要的安全风险。

（3）业务安全：迎宾导引类服务机器人已不仅局限于接待功能，为了提高落地应用效果，它们已与银行、税务、海关、交易等多种业务系统进行了深度对接，实现业务办理功能。一台服务机器人的信息安全问题可能影响整条业务系统，反之信息安全防护的复杂性也制约了服务机器人与业务系统的進一步融合。

（4）个人隐私：个人隐私泄露是服务机器人信息安全问题中最容易爆发的安全风险问题，大量的数据交互所引发的个人隐私安全越来越受到人们的重视。

通过分析受侵害对象及服务场景，总结服务机器人可能存在的信息安全风险点，如表1所示。

1.2  服务机器人信息安全故障树生成

故障树分析是一种自上而下的分析方法，通过对可能造成系统故障的软件、硬件、人为因素、环境等进行分析，生成故障原因的各种可能的组合方式以及产生的概率，由总体至部分，按树状结构逐层细化的一种分析方法[8]。故障树分析法是信息安全领域的一种典型方法。相比于传统信息系统，服务机器人复杂性更高，所面临的攻击手段和类型更多，因此故障树分析法不仅可以反映各类安全事件的内在逻辑关系，而且可以综合反映服务机器人存在的安全隐患。

生成故障树的过程是以服务机器人的信息安全需求为目标，研究系统故障和导致故障的诸多因素之间的逻辑关系的过程。服务机器人信息安全风险点可看作是故障树的重大风险事件，称之为“顶事件”，顶事件的发生是由若干“中间事件”的逻辑组合所导致的，“中间事件”是各个“底事件”逻辑组成所导致的。顶事件表示结果，顶事件的发生意味着服务机器人极有可能被攻击;底事件表示原因，可能包含各类漏洞、版本缺陷、误操作、正常操作等;中间事件既是下一层事件的结果，也是上一层事件的原因。服务机器人故障树典型结构如图1所示。

考虑到服务机器人系统的复杂性，以及各类安全攻击手段的不确定性，对于当前阶段的服务机器人信息安全测评，应更多采用定性分析，具备一定经验积累后，再进行定量分析。

2  服务机器人信息安全测评系统模型设计

2.1  服务机器人典型架构分析

2.1.1  服务机器人本体系统架构

常见的服务机器人本体系统架构如图2所示，控制系统、通信接口、执行模块、各类传感器、外设部件及应用软件是其核心组成部分。控制系统一般分为主控制模块和底盘控制模块，其中主控制模块作为服务器端，主要实现与底盘控制模块的通信，并对其所完成的任务进行管理和控制;底盘控制模块主要实现传感器信息的采集分析、机器人运动控制等。目前控制系统搭载的主流机器人操作系统是Ubuntu、Android和ROS，其中ROS是专门为机器人设计的一套开源操作系统[9]，充当通信中间件的角色。通信接口通常包括串口、USB、LAN、无线通信接口等。执行模块主要是驱动器、电机，实现机器人的运动。服务机器人集成了激光雷达、深度相机、超声波传感器等各类传感器，以及语音模块、摄像头、显示屏等外设部件，实现环境感知与信息交互。应用软件部署在服务机器人本体及远程操作终端，支持人机交互功能与操作。

2.1.2  服务机器人云网系统架构

随着云计算、无线网络技术的发展，机器人逐渐与云网系统实现互连，一方面给服务机器人提供了“远程大脑”，增强了机器人自我学习能力，降低了本体的运算消耗;另一方面给服务机器人的多机协同和物联网接入提供了更多的便利。本文以目前应用较多的RSI（Robot Service Initiative）模型为研究对象，该模型包括机器人、服务提供商、用户和环境。通过该模型，可以实现控制机器人、咨询服务提供商、与环境互动并提供机器人服务[10]。基于云的服务机器人系统架构如图3所示。

2.2  服务机器人信息安全测评系统模型

2.2.1  信息安全测评系统物理架构设计

根据应用场景和企业产品技术路线的不同，服务机器人可能工作在离线状态或在线状态，同时考虑到信息安全测评内容繁多，无法仅仅在离线或在线状态下单独完成测评，因此系统需满足在线和离线两种情况下交替工作。基于此，本文设计一种兼具在线与离线信息安全测评功能的系统模型，测评系统物理架构如图4所示。

信息安全测评系统基本符合传统C/S架构系统，并可满足分布式和实时在线的特点，能够在网络环境下完成全局数据同步和版本控制。系统由一个中心服务器和若干个测评系统节点组成，在离线环境下，测评人员可以在测评实施过程中离线记录数据，可以对节点形成的数据集进行维护，并将其更新至节点数据库，完成离线数据和版本控制操作。通过创建相同版本的测评数据，采用数据协同存储的思路，将数据同步至中心服务器。中心服务器也可将版本下发至各个测评系统节点，完成全局数据同步和版本管理。

2.2.2  信息安全测评系统模型接口设计

服务机器人信息安全测评系统需要与目标机器人进行数据交互，该模型在设计阶段需充分考虑接口的丰富性和可操作性，系统支持数据通信接口类型包括串口、USB、Wi-Fi和有线网口，能够满足大部分服务机器人信息安全测评需求。

（1）串口接口：串口是嵌入式系统中最常见的调试接口，由于接口类型和电平不同，该接口无法与测评系统直接相连，需要进行接口转换。测评系统侧使用USB转串口模块，支持TTL连接USB、RS-232连接USB、USB连接USB等串口连接。

（2）USB接口：面向消费级市场的服务机器人绝大多数采用Android操作系统，其调试接口ADB一般采用使用USB接口，所以USB接口属于信息安全测评中的重要接口。测评系统可根据机器人侧不同的USB接口类型，选择匹配的连接线进行连接。

（3）Wi-Fi接口：服务机器人通过Wi-Fi连接互联网与管理后台进行通信，实现数据上报、指令下发等操作。通过定制路由设备提供Wi-Fi连接，使服务机器人接入，测评系统即可实现网络数据流量捕获、分析等操作。

（4）有线网络接口：对于相对大型的机器人系统来说，经常使用有线网络进行控制和数据交互。定制路由接入设备提供RJ45接口，服务机器人和安全测评系统均可使用网线接入，继而实现网络连通、数据捕获等操作。

2.2.3  信息安全测评系统模型架构设计

服务机器人信息安全测评系统模型架构如图5所示，分为硬件接入层、数据采集层、数据分析层和操作展示层四个层级。硬件接入层提供各硬件接入及转换设备，连通测评系统和待测服务机器人。数据采集层实现安全测试模块的定制开发与集成，并从机器人中提取所需的数据。数据分析层基于硬件接入和数据采集两部分，执行具体的安全检测任务。操作展示层提供可视化的数据展示以及操作接口，可以直观地对检测过程进行查看和控制，并对检测结果提供报表生成和预览下载等功能。

测评系统模型覆盖多种硬件接口，可根据实际情况与服务机器人相连接，后端通过测评系统执行具体的检测任务。此外，提供用户界面展示后台检测任务状态，用户通过下发指令到测评系统，对具体的检测过程进行控制。

表2给出了服务机器人信息安全测评系统所具备的核心功能，包含一级功能和二级功能。

3  服务机器人信息安全测评系统模型验证

以国内某迎宾导引服务机器人系统产品为试验环境，通过模拟各类攻击手段，对该测评系统模型进行了技术验证。模型验证技术路线如图6所示。

通过开展模型验证的试验工作，发现服务机器人产品存在部分安全隐患。考虑到数据涉及产品关键参数信息，本文只分析其中部分安全问题，如下：

（1）被测机器人在进行数据通信时采用了明文方式传输数据，没有加密措施。攻击者可以轻易获得数据报文格式，伪造或篡改控制报文。

（2）被测机器人内置无线AP用于手动控制。攻击者利用其弱口令漏洞，可以获得控制报文进而实现非法控制。

（3）被测机器人没有身份校验机制，通过其开放的端口可以获取配置文件信息，包括机器人Wi-Fi用户名、密码、hostname等关键信息，并可直接访问企业的管理后台地址。

（4）被测机器人基于Windows平台开发人机交互系统，攻击者可直接通过未禁用的接口进入Windows系统，查看Web服务器配置信息。通过源代码审计发现，产品未对机器人控制指令做代码混淆，攻击者能提取出控制指令，且产品缺乏身份校验机制，攻击者可以直接实现对机器人的劫持。

结合故障树分析法，生成系统信息安全故障树，如图7所示。本次试验以非法访问和控制劫持为“顶事件”P3;以操作系统漏洞、身份校验机制为“中间事件”P1和P2;以操作系统版本、内核版本、接口状态、用户密码、验证机制为“底事件”V1、V2、V3、V4、V5，代表系統漏洞。根据事件发生的严重程度和概率估计，故障树共存在2个与门和1个或门，则系统发生非法访问和控制劫持的最小割集有（V1、V3、V4、V5）、（V2、V3、V4、V5）、（V1、V2、V3、V4、V5）。最小割集对应了攻击者可选择的攻击路径。由于底事件发生概率估值浮动较大，因此本文不做定量分析。

4  结论与展望

本文对服务机器人的安全现状、安全风险、信息安全风险点、典型架构进行了阐述，提出了一种结合故障树分析方法的测评系统模型，并进行了验证，为后续服务机器人信息安全研究提供了参考。

服务机器人信息安全测评系统是集合多种安全技术、IT技术、互联网技术于一体的综合平台系统，未来将会继续向集成化、自动化、智能化趋勢发展，但是大而全的测评系统往往不具有较好的操作性。随着我国服务机器人安全测评技术、测评体系的日趋完善，相应的测评系统应能够满足多数核心功能，从根本上保障服务机器人产品开发及应用安全。

参考文献

[1] 马良， 尹传昊， 张佑辉， 等. 2019年中国机器人产业发展报告[R].

[2] Hacking Robots Before Skynet [OL]. （2017-03-01） [2020-04-14]. https：//ioactive.com/hacking-robots-before-skynet/.

[3] HomeHack： How Hackers Could Have Taken Control of LGs IoT Home Appliances [OL]. （2017-10-26） [2020-04-14]. https：//blog.checkpoint.com/2017/10/26/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/.

[4] 付煜茗. 机电设备可靠性理论研究与应用[D]. 北京： 北京邮电大学， 2014.

[5] Khalil A Y ， Anas A M ， Salah G ， et al. Analyzing Cyber-Physical Threats on Robotic Platforms[J]. Sensors， 2018， 18（5）：1643-.

[6] Dudek W， Szynkiewicz W. Cyber-security for Mobile Service Robots – Challenges for Cyber-physical System Safety[J]. Journal of Telecommunications and Information Technology， 2019， 2： 29-36.

[7] 李颖， 陈纪海， 刘昊. 变电站机器人巡检系统信息安全问题的研究与探讨[J]. 信息技术与信息化， 2017（1-2）： 147-150.

[8] 张涛， 胡铭曾， 云晓春. 基于故障树的计算机安全性分析模型[J]. 高技术通讯， 2005， 15（7）： 18-23.

[9] 朱东晟. 基于ROS室内服务机器人控制系统的设计与实现[D]. 南京： 南京邮电大学， 2019.

[10] 张恒， 刘艳丽， 刘大勇. 云机器人的研究进展[J]. 计算机应用研究， 2014， 31（9）： 2567-2574.