嵌入式系统安全专题——物联网时代，嵌入式系统该如何挥拳？



嵌入式系统安全专题
——物联网时代，嵌入式系统该如何挥拳？

本刊编辑部

引言

网络安全是全球普遍关注的重要问题，在网络安全的世界里面，有两个部分与嵌入式系统密切相关：一个是物联网，另一个是信息安全。物联网时代的嵌入式设备正面临着各种各样的安全威胁，这也成为嵌入式系统设计面临的重要挑战。如何充分地利用芯片、嵌入式软件和工具来实现全面的系统安全保护，消除来自网络的威胁，成为目前亟待解决的重大课题。同时，提供安全性的远程管理和维护也成为当前物联网设备的迫切需求。

我们有幸邀请到物联网和嵌入式系统产业链上有代表性的业内专家和高校学者，为读者深入解读面向物联网应用的嵌入式系统安全技术和应用。

物联网中的嵌入式安全

嵌入式系统联谊会秘书长 何小庆

最近几年，物联网(IoT)风起云涌，随之而来的是，联网后的嵌入式系统安全性问题更加严峻。归纳起来，物联网嵌入式安全设计应考虑以下几个方面：

第一，容易被攻击的对象显著增多。比如家电联网变成智能家居，汽车联网变成车联网，那么汽车和家电就成为了可以被攻击的对象。这里的汽车是指广义的交通工具，包括了公共交通和飞机等，未来的无人驾驶汽车也是可能受到攻击的对象。我最近乘坐美联航和Bluejet航空公司的飞机，均已提供机内Wi-Fi服务，这就给攻击者提供了乘机而入的机会。

第二，越来越多的日常活动可能因为受攻击而中断。除了汽车和家电以外，大量可穿戴式医疗健康设备，都能够通过智能手机接入互联网，攻击可能导致设备发生故障，危害人们的健康甚至生命。

第三，互联网和大数据通过传感器收集到了大量物(Things)的信息，其内容更加广泛，一旦重要信息泄漏，后果不堪设想。我们驾驶的汽车的位置、个人信息和疾病信息，以及智慧城市的建筑和交通等管理信息，都可能遭到泄漏。

第四，电网、交通运输和管理、核电站和环境监测等关键系统，若遭到黑客的攻击，将造成毁灭性的危害。

第五，新的开放的标准与传统私有的标准之间的转换带来的安全隐患。比如，如果物联网设备中使用的ZigBee、Z-Wave、Thread和ANT协议，与互联网IP协议之间需要转换，就必须考虑安全性的问题。国际性标准组织IETF、ITU，以及民间企业联盟OIC和AllJoyn等，正在架构层做有关安全性的研究工作，期望降低安全风险，但是因为大量的设备已经存在，所以还需要一段时间才能完善。

物联网安全已经开始引起计算机科学、通信技术等学科的专家学者，以及半导体、IT和嵌入式系统产业界人士的高度重视。哥伦比亚大学计算机专业2015年春天讲授的网络安全课程已经加入了IoT 安全性方面的内容，很多相关企业也在加紧推出物联网安全方面的产品。2015年6月，我在旧金山一个嵌入式会议上遇到一家网络软件公司-Icon lab的创始人和CEO Alan Gran，会上他们介绍了公司面向工业物联网(IIoT)嵌入式网络安全软件技术。著名开源技术咨询公司Blackduck公司的开源策略总监Bill Weinberg,在其《物联网与开源软件》一文中详细讨论了物联网端点和边缘节点设备的安全问题，ARM、NXP、飞思卡尔、谷歌和微软也在芯片和物联网操作系统层面，布局物联网系统安全技术和解决方案。可见，物联网安全正在快速发展中。

嵌入式系统的可靠性与安全性设计

北京航空航天大学 何立民教授

嵌入式系统的可靠性与安全性设计是一个全新的课题。与传统电子系统相比，由大规模集成电路与计算机软件构成的嵌入式系统，其集成电路的超长寿命与可能会出错的软件，构成了嵌入式系统独特的可靠性、安全性问题。集成电路的超长寿命，保证了嵌入式系统不易出现不可逆转的失效，而软件将成为嵌入式系统不可靠的主要因素。因此，嵌入式系统的可靠性与安全性问题，主要表现在系统的出错概率上。

嵌入式系统的可靠性与安全性设计的主要任务是，在保证硬件系统安全、可靠的基础上，尽可能降低软件的出错概率。在硬件设计中，有芯片选择、电路板设计、加工工艺、系统总体设计中的结构冗余、定时复位电路、电源管理系统(及时关断非工作区域供电，使其噪声失敏)等。在软件设计中，除了可靠的软件设计方法，如尽可能使用商用操作系统与厂家提供的集成开发环境外，还要充分利用软件的智慧特点，主动实施对系统的可靠性控制与安全性包容技术。可靠性控制是指提高系统可靠性的各种手段，如系统自检、实时监测与系统切换、数据校验与修复；安全性包容技术，是指系统出错后的无害化处理。

就一个具体的嵌入式应用系统而言，可靠性、安全性设计不是越高越好，它涉及财力、物力、精力的投入，能满足要求即可。因此，在可靠性、安全性设计之前，要对产品系统的可靠性等级进行评估，按照系统可靠性要求等级来规划相应的项目与内容。

目前，几乎所有的电子产品都是内含MCU的嵌入式应用系统，即智能电子系统。与传统电子系统相比，智能电子系统有完全不同的可靠性概念、可靠性与安全性设计方法。

传统电子系统，是以系统中电子元器件的失效概率来判断系统的可靠性，具有“非好即坏”的二值特征。集成电路超长寿命的智能电子产品系统的可靠性则取决于软件的出错概率，而软件出错时，可以借助各种手段使系统恢复，因此具有多值可靠性特征。

智能电子系统具有智慧功能，不仅保证了产品系统的智慧功能，还可用来实现产品的可靠性、安全性控制与系统运行的功耗管理。因此，一个完整的智能产品系统设计，应该包含功能性设计、可靠性设计与功耗管理设计三个部分。

可靠性设计包括本质可靠性设计与可靠性控制设计。本质可靠性设计保证系统的先天可靠性；可靠性控制设计通过采取一些措施来减少系统出错，如数据校验、噪声失敏、系统自检与修复等。

在安全性设计中，要保证系统少出错与出错时的无害化处理。高水平的本质可靠性设计与可靠性控制设计，能够保证系统实现最小的出错概率。当系统出错后，能迅速进入安保状态，如为机器人设定安全禁区、异常情况的关停处理等。

特定用途LAMP服务器为物联网应用保驾护航

e络盟亚太区技术市场经理 陈嘉伟

我们当前的生活中充斥着各种连接设备，不间断地传输着庞大的数据，而这些我们刚刚开始着力挖掘的数据却承载着无数秘密。交通、医疗保健、农业、点对点通信及娱乐等领域，已经获取了10年前根本无法想象的信息量。将这些海量信息运用于解决真正的全球化问题，进而改善人类生活的技术就是物联网(IoT)，它集成了设备、网络及处理能力，具有强大的应用潜能。

嵌入式系统是物联网的重要组成部分。在嵌入式世界里，越来越多“物体”实现了相互连接，但同时也让我们面临一个两难选择：因物体互连而具备的易访问性，也使得这一系列全新“物体”非常容易受到攻击。因此，家庭自动化节点、电能计量及支付解决方案等应用领域的嵌入式开发人员都需要竭力解决大量的主动威胁问题。

为了真正实现物联网的功能，我们需要从系统的角度思考，而不能简单地将物联网看作是由各种自主、分布式智能设备直接连接至开放互联网而形成的一个松散集合。

事实上，大多数嵌入式设备制造商都会设计并管理一个子网络，用于监测并管理其设备。虽然移动手机和平板电脑可以直接连接至应用商店，但是大多数设备制造商仍然偏向于在其设备生态系统当中嵌入其自主研发的特定用途服务器。在这种情况下，功能强大且高效的低成本LAMP(Linux、Apache、MySQL及PHP)服务器便进入了人们的视线当中，LAMP服务器可以收集、存储、处理并分析分布式设备的数据，同时控制、管理并维护设备本身。它具备多项优点，包括完全控制与可配置性、新功能直接升级、模块或安全性修复、高性能及可扩展性等。

虽然保证设备的设计安全性很重要，但从PC及手机的更新频度来看，设备的更新性能同样甚至更加重要，尤其是当新的威胁出现或者现有威胁进一步升级的时候。这意味着您的架构需要具备一项重要性能，即能够推送边缘设备进行安全及软件更新。由于当前许多制造并部署的嵌入式设备运行的都不是iOS和安卓系统，同时许多低成本边缘设备采用微控制器(MCU)配置且运行裸机代码，最多运行配置TCP/IP协议栈的RTOS，因此定制化软件升级服务器成为必要。特定用途LAMP服务器也就应运而生，而且将在物联网领域发挥重要作用。

一种基于可信计算的嵌入式系统信息安全防护架构的“安全魔盒”

北京旋极信息技术股份有限公司 王薪达

近年来，以震网病毒、Flame火焰病毒、Duqu病毒为代表的嵌入式信息安全事件大规模涌现，带来的危害性远超普通信息安全事件，各国政府、相关企业和用户由此深刻地认识到嵌入式系统信息安全的重要性。

嵌入式系统作为现代工业控制系统的核心，在装备和工业设备中应用数量巨大。然而，长期以来，嵌入式系统产品的开发都以追求性能、功能和成本为主，鲜有考虑安全性问题，这造成了嵌入式系统产品在开发时就未考虑安全因素。问题暴露出来时，“打补丁”的方式并不能从根本上解决问题。即使有安全方面的考虑，也是防火墙、入侵监测和病毒防范“老三样”的方式，同样不能从根本上解决信息安全的问题。为此，我们设计了一种全新的安全防护架构，目的是从根本上来解决信息安全问题。

“安全魔盒”是一种应用于嵌入式系统和设备中，对其运行环境安全进行实时监测和恢复的产品，在系统出现故障时可自动或手功恢复设备原始状态，以保证设备随时可用，不会由于受到破坏和攻击等因素的影响导致设备功能部分或全部失效。

“安全魔盒”采用总线检测技术、面向故障与效率的数据智能分析技术等，基于全生命周期管理、PHM技术、可信计算、测试性、人工智能、大数据和物联网等多种技术，结合相关理论及模型实现。

多重自主安全防护机制架构示意图

“安全魔盒”能够对设备运行状态实时监测，并通过多重防护机制提高嵌入式系统的可靠性。其具有如下特点：主动、被动加自恢复多重自主安全防护措施；设备状态实时监测；可选择多种恢复方式(完全恢复、部分恢复、比对恢复)。

“安全魔盒”工作原理示意图

ISA100.11a的安全架构

横河电机(北京)研究开发中心 胡荣才部长

现场总线是“物联网”一词出现之前就存在的物联网形态。出于可用性、完整性和机密性三大要素的考虑，IT系统和控制系统有着本质的不同。

IT系统和控制系统安全性级别

由于工业控制系统的封闭性，信息安全的重要性一直没有得到相应的重视。随着工业系统走向开放以及外在的威胁变得愈加尖锐，工业系统的信息安全被提升到相当的高度，而工业无线标准ISA100.11a则是在维持高可用性和完整性的前提下，充分满足机密性要求的工业无线网络标准。

ISA100.11a工业无线网络标准是由ISA协会制定的面向过程工业的开放标准，并于2014年9月被IEC接纳为国际标准(IEC62734)。制定标准的专家团队具有广泛的代表性：既包括横河电机、霍尼韦尔、艾默生等大的自动化厂商代表，也有来自BP、ExxonMobil等大的行业用户代表。ISA100.11a是第一个基于IPv6的标准，可以很好地与互联网融合，同时也保证了良好的可扩展性和可管理性。此外，为了保证用户生产数据的安全，ISA100.11a引入了一系列的安全策略。

图4　ISA100.11a的安全模型

ISA100.11a安全模型在数据链路层(DL)和传输层(TL)提供了安全机制。这两层中都提供了数据加密和完整性校验功能，以防止数据泄露和非法篡改，保证数据的发送和接收方都是合法的设备。数据链路层提供在空口上的点到点的安全，而传输层则提供端到端的安全性。另外，ISA100.11a不允许关闭安全功能，从而避免了由于设置错误导致的安全性降低。

除了数据加密和完整性校验，ISA100.11a还提供了其他相应的安全功能，以确保整个安全架构没有漏洞。这些功能包括：用户设备的授权，提供了基于非对称加密的在线授权机制；加入网络时的用户与网络的互相认证；通信用密钥的分发和定时失效；采用标准的AES-128算法；采用与时间相关的NONCE。

本专题由第五届深圳国际嵌入式系统展冠名赞助8月2426日深圳会展中心