物联网时代的嵌入式系统安全性问题

北京航空航天大学

何立民

物联网时代的嵌入式系统安全性问题

北京航空航天大学

何立民

传统电子时代，电子系统的可靠性与安全性是统一的，可靠即安全。智能电子时代有了安全性包容设计，出现了不可靠因素下的安全保障设计。物联网时代，几乎所有嵌入式系统都具有互联网接入能力，体系结构从封闭到开放，形成了互联网中非安全因素对嵌入式系统的入侵渠道，物联网系统的安全性设计上升到空前高度。

1电子系统的安全性设计变迁

传统电子系统是纯硬件系统，系统正常时可安全使用，系统失效后无安全可言。传统电子系统用减少元器件的失效率来提高系统的可靠性，这时的元器件有明显的可靠性等级，如军用级、工业级、商业级、民用级等元器件。为了保证军工产品的可靠性、安全性，军工类电子产品设计中，所有的元器件无一例外地使用军用级产品。我们常常会见到一个奇特现象，即军工电子系统产品设计中，往往不敢采用一些先进的元器件，因为这些新型元器件通常没有军用级产品。

智能电子时代，由于电子系统无一例外地引入了微控制器，系统中的许多功能都体现为硬件基础上的软件行为。系统的可靠性因素，除了硬件的本质可靠性外，主要是由软件出错概率引发的多值可靠性。此外，微控制器带来的人工智能设计，可以主动介入系统的可靠性控制设计，以提高系统的可靠性与安全性。

物联网电子系统是物联网时代智能电子系统的一种常见形式。在物联网中，智能电子系统以网络终端的形式构成物联网的感知层与控制层。互联网是本质不安全的网络体系，各种网络罪恶行为威胁网络安全。物联网中的数据流可以轻易地与智能电子系统交互，从而将这些威胁引入智能电子系统。因此，与智能电子系统相比，物联网电子系统有突出的安全问题，即网络攻击型的致命性安全问题。一个高可靠的智能电子系统接入物联网后，有可能遭遇网络的恶意攻击而失效，在一些有安全性要求的物联网电子系统中必须有防止恶意攻击的安全性设计。

2高境界的嵌入式系统可靠性

从可靠性、安全性视角来看，智能电子系统达到了最高境界。微电子技术的高本质可靠性保障、人工智能可靠性管理设计、专家可靠性设计的知识集成、刀枪不入的安全保障这四大因素，保证了智能电子系统有空前的高可靠性与高安全性。

2.1微电子技术的高本质可靠性保障

智能电子系统是在集成电路基础上构建的电子系统。随着集成度的不断提高、应用系统的模块化程度不断提升、半导体工艺不断进步，目前，集成电路已具有超长寿命。我们发现，许多废弃的电子产品上拆下的集成电路芯片，仍可使用。在微电子集成技术与半导体工艺保证下，智能电子系统是一个具有高本质可靠性的电子系统。

2.2人工智能可靠性管理设计

智能电子系统的软件介入带来了可靠性的两大不利因素：一是，不可避免的软件出错会造成系统失误；二是，增加了软件运行时间，导致系统可能出现非实时响应带来的可靠性问题。值得庆幸的是，智能电子系统可凭借其智能化的微控制器实现系统的可靠性管理，例如开机后的自检、运行中的系统冗余与热备份、数据传输中的校验与修复、防外部干扰的屏蔽与无害化处理、程序运行的监视与自恢复，以及系统失效后的安全性包容等。

由于智能电子系统中增加了软件运行时间，给系统带来了实时性问题。在许多情况下，不会造成明显的系统可靠性问题，只反映了系统灵敏性带来的不便。但在不少控制类的系统中，有严格的实时性要求，如交通违章监视器的摄像系统，必须保证车辆高速行驶下的抓拍效果。

2.3专家可靠性设计的知识集成

经历多年完善的电子系统可靠性设计，积累了众多的专家知识、技能与方法(如非线性补偿、数据校验与修复、粗大误差剔除)，以及与可靠性设计相关的各种算法等。早期，这些专家知识反映在电子工程师的系统设计中，后来，随着微电子技术与软件技术的发展，这些专家知识以不同的方式集成到芯片之中，如集成电路中的数字电路、模拟电路的知识集成，数据库的专家知识集成，以及操作系统中各种可靠性设计专家知识集成等。系统中，所有这些专家知识的集成，极大地降低了产品开发时可靠性设计的难度。

2.4刀枪不入的安全保障

智能电子系统可靠性最高境界的一个重要表现是系统软件的封闭性。系统中的所有软件都以代码固化方式存放在程序存储器中，数据库中的重要数据也被存放在只读数据存储器中。外部无法修改这些代码与数据，从而对病毒具有天然免疫能力。虽然无法避免外界电磁干扰对数据流造成的破坏，但可凭借应用程序及只读数据存储器中的关键数据进行实时修复。因此，在网络病毒对互联网肆意攻击的年代，几乎所有的智能化工具及其局域网络系统都能刀枪不入。

3本质不安全的互联网

互联网开放的结构体系，决定了它是一个先天的不安全体系。互联网数据路由传输具有不确定性，人人都可自由出入，互联网构筑的虚拟世界中法律法规总也赶不上虚拟事物的七十二变，所有这些因素都决定了互联网是一个本质不安全的网络体系。以互联网为基础的物联网不仅继承了互联网的不安全因素，还会殃及作为网络终端的智能电子系统。

3.1路由传输不确定性带来的安全性问题

互联网数据流遵循的是路由传输协议，而数据传输路径是随机的。在匿名情况下，数据接收方很难查找到发送方的网址，这就为病毒始作俑者、网络攻击者提供了最佳保护，同时也给网络监控带来诸多困难。

3.2人人可自由出入互联网带来的安全性问题

互联网对所有人都开放，有了网络终端，人人都可以无条件上网。在许多情况下，网络登录可实行实名制管理，但众多的网络接入方式无须实名，这样一来，就给犯罪分子带来可乘之机，因此实名制防君子难防小人。

3.3虚拟世界提供的非安全性土壤

微处理器的数字化革命，为人类带来了一个数字化的虚拟世界。在互联网基础上，人们构筑了众多与真实世界相对应的虚拟事物，如网上银行、网上超市、电子商务、电子交易平台、网上票务系统、电子计费系统等。与真实世界透明的交互相比，虚拟世界事物中的交互(交易、计费)是不透明的，而且制定规则的非消费方，消费方无法知晓内幕，从而导致消费的不安全性。

3.4法律法规滞后带来的安全性问题

非本质安全的互联网带来物联网应用中的诸多安全问题，例如网上的计费安全、财务安全、交易安全等。始作俑者常常利用漏洞实施犯罪行为，这些犯罪常常游走在法律的边缘处。也有些明显的交易安全事件，如网上机票票务系统中的假票事件，虽有法律介入但很难奏效，因为犯罪成本低、难发现，其还可用七十二变快速应对、规避风险，这样就会造成法律部门发现晚、应对迟，待实施时对方已转身规避，形成了猫捉老鼠的游戏。

4物联网时代的安全性危机

智能电子时代，物联网电子系统的安全性问题是一种外源性因素引发的安全性危机。这些安全性危机有恶意攻击性危机、病毒肆虐性危机、利益驱驶性危机，以及网络报复式危机等，它们体现了虚拟世界从老虎到苍蝇的多样性危机。

4.1恶意攻击性危机

物联网时代嵌入式系统最大的安全性向题是网络的恶意攻击。互联网时代，网络攻击主要在信息领域；物联网时代，网络攻击通过底层嵌入式系统的感知与控制进入到经济、文化、民生等实体领域。最著名的恶意攻击事件就是美国与伊朗的网络战争，美国通过“震网”蠕虫病毒攻击伊朗核设施离心机，伊朗则两次捕获美国无人机。这些实体的恶意攻击形式可以多样化，但常常体现为利用嵌入式系统对网络开放窗口实施的恶意攻击。在汽车电子领域，自动驾驶时代即将来临时，人们最担心的不仅是汽车电子系统可靠性带来的安全问题，还有通过网络对自动系统的控制与攻击，以各种方式制造的车损及车祸现象。

4.2病毒肆虐性危机

互联网中无处不在的病毒经常会进入网络终端。互联网时代，嵌入式系统不对互联网开放，病毒肆虐的危害仅限于网络终端的桌面系统，人们用各种杀毒软件来防止病毒的侵害。物联网时代，大量的网络终端是各种智能化工具(如嵌入式系统的工业控制机、生产线、机器人等)，即使没有恶意攻击，一旦感染病毒，也会出现重大安全事故。

4.3利益驱使性危机

物联网的虚拟世界中，有许多商务平台、交易平台、服务平台。平台构建者是运营商，平台的使用者是大量的消费者。受利益驱驶，在平台构建时，运营商有可能植入一些损害消费者利益的协议规则，利用软件黑箱运行的隐蔽性，广种薄收地获取不正当的高额垄断利润。更有甚者，以欺骗手段获取不义之财，如旅行社票务系统出售假机票事件，以及各种花样繁多的网络诈骗。

4.4网络报复式危机

收稿日期：(杨迪娜2016-04-25)