摘  要： 闡述了網(wǎng)絡(luò)互聯(lián)背景下的嵌入式系統(tǒng)的安全問(wèn)題,，給出二種分析安全問(wèn)題的方法在嵌入式系統(tǒng)中的應(yīng)用,，分析了影響系統(tǒng)安全的三種因素并介紹了幾種有效的防御方法。
關(guān)鍵詞： 嵌入式系統(tǒng)  網(wǎng)絡(luò)安全  防御技術(shù)

　　隨著嵌入式技術(shù)的發(fā)展,，許多嵌入式系統(tǒng)提供了網(wǎng)絡(luò)接口,。隨之帶來(lái)的是廣泛使用的嵌入式系統(tǒng)的安全問(wèn)題,。如果能在系統(tǒng)設(shè)計(jì)之初考慮安全問(wèn)題，可減少系統(tǒng)的安全維護(hù)工作,。本文先通過(guò)實(shí)例講述一些不引人注意的嵌入式系統(tǒng)的安全問(wèn)題,，然后給出一套綜合解決方案。
1  綜合實(shí)例
　　以帶有網(wǎng)絡(luò)控制功能的家用空調(diào)系統(tǒng)為例來(lái)綜合說(shuō)明嵌入式系統(tǒng)引起的安全事故,。當(dāng)你下班前,，從辦公室電腦可以啟動(dòng)家中空調(diào)，設(shè)定其達(dá)到的溫度,。然而,，這種接入因特網(wǎng)的空調(diào)也可能遭受潛在的攻擊。入侵者可以控制家中的空調(diào),。冬天讓室內(nèi)溫度持續(xù)下降使水管凍裂,，夏天讓室內(nèi)溫度持續(xù)升高使寵物中暑而死。再把問(wèn)題擴(kuò)大一步,，假如城市里每家的空調(diào)都聯(lián)網(wǎng)并和電力調(diào)度公司的調(diào)度程序發(fā)生關(guān)聯(lián),，用電高峰時(shí)，電力公司可以強(qiáng)制設(shè)定空調(diào)上調(diào)或下調(diào)溫度,，這樣可以避免高峰拉閘,。這是空調(diào)上網(wǎng)的好處，但被人惡意利用就會(huì)變成壞事,。如電力公司為贏利,，在用電非高峰時(shí)集體調(diào)節(jié)一點(diǎn)空調(diào)的設(shè)定溫度，使電力消費(fèi)增加,，用戶就增加了開銷,。再看隱私方面，如果入侵者設(shè)法從網(wǎng)上查到你家的室內(nèi)溫度,，就可以判斷家里有沒(méi)有人,。
2  原因分析
　　下面的因素是導(dǎo)致嵌入系統(tǒng)安全問(wèn)題的根本原因。
　　(1)價(jià)格因素,。結(jié)構(gòu)簡(jiǎn)單好用,，價(jià)格便宜也是嵌入式設(shè)計(jì)追求目標(biāo)。公司在選擇芯片時(shí),，滿足好用夠用就可以了,。如果從軟硬件上增加過(guò)多的安全措施，成本則會(huì)提高,。而簡(jiǎn)約的嵌入式系統(tǒng)上大量使用的4位和8位機(jī),，也不能運(yùn)行過(guò)多的安全任務(wù)。
　　(2)面廣量大。嵌入式系統(tǒng)在生活,、工作,、娛樂(lè)、教育,、軍事等方面大量使用,。如果系統(tǒng)設(shè)計(jì)有缺陷，則影響面非常大,。若有的嵌入式系統(tǒng)被入侵者利用,，將會(huì)成為多點(diǎn)攻擊的武器。
　　(3)電源的限制,。許多嵌入式系統(tǒng)都是用電池供電,，如果尋找方法將其電力提前耗盡而又沒(méi)有得到及時(shí)的更換， 則該系統(tǒng)將處于癱瘓狀態(tài),，很容易造成安全漏洞,，從而為入侵者開了方便之門。
　　(4)開發(fā)隊(duì)伍和環(huán)境的制約,。許多嵌入式系統(tǒng)都是小團(tuán)隊(duì)做的,。由于缺少安全方面的專家及經(jīng)費(fèi)短缺，設(shè)計(jì)中對(duì)安全問(wèn)題考慮不足,。而用戶往往也只追求嵌入式產(chǎn)品的小巧精致,，方便好用即可。
3  安全分析方法
　　有二種安全性分析技術(shù)：故障模型及后果分析(Failure Mode and Effect Analysis,，F(xiàn)MEA)和故障樹分析(Failure Tree Analysis,，F(xiàn)TA）。安全性分析是對(duì)因果關(guān)系的探討,，“因”即引起安全問(wèn)題的原因，而“果”就是潛在的危害,。
3.1 FMEA和嵌入式應(yīng)用實(shí)例
　　FMEA可以確定某個(gè)部件或組件出現(xiàn)故障之后系統(tǒng)將采取的行為,，例如錯(cuò)誤數(shù)據(jù)或意料之外的行為發(fā)生時(shí)，從軟件及硬件上都可以對(duì)其行為后果加以分析,。
　　圖1為一個(gè)較為典型的FMEA分析技術(shù),。

3.2 FTA及其嵌入式應(yīng)用實(shí)例
　　FTA也是一種用來(lái)分析安全性和可靠性問(wèn)題的技術(shù)。FTA與FMEA分析方法不同,。FTA從所有可能的事件開始,，并圍繞事件的結(jié)果做工作。FTA是用圖示的方法直接從已確定安全事件(處于樹的頂層)開始,，反向找出問(wèn)題發(fā)生的原因,。運(yùn)用邏輯運(yùn)算符，如“與”,、“或”把與頂層事件有關(guān)的中間事件進(jìn)行連接組合,。圖2是應(yīng)用FTA分析嵌入式產(chǎn)品安全問(wèn)題的一個(gè)簡(jiǎn)單示例,。在實(shí)際應(yīng)用中往往二種方法綜合應(yīng)用才能取得較好的效果。

4  嵌入式系統(tǒng)安全問(wèn)題解法方案
　　網(wǎng)絡(luò)安全是使網(wǎng)絡(luò)系統(tǒng)的硬件,、軟件及數(shù)據(jù)受到保護(hù),，避免因意外或惡意的操作而遭到破壞、更改,、泄露,，從而保證系統(tǒng)連續(xù)、可靠,、正常地運(yùn)行,，網(wǎng)絡(luò)服務(wù)不中斷。三個(gè)基本的網(wǎng)絡(luò)安全服務(wù)是：數(shù)據(jù)加密,、內(nèi)容完整性和授權(quán),。在解決網(wǎng)絡(luò)安全性問(wèn)題時(shí)往往要綜合施治。
4.1 嵌入式系統(tǒng)安全的三個(gè)層次
　　嵌入式系統(tǒng)安全要綜合考慮物理層,、平臺(tái)層以及應(yīng)用層三個(gè)方面,。
　　(1)物理層。嵌入式系統(tǒng)物理層的安全問(wèn)題比較容易解決,。就系統(tǒng)本身而言,，根據(jù)系統(tǒng)的工作環(huán)境，在設(shè)計(jì)目標(biāo)和設(shè)計(jì)要求時(shí)選擇符合相關(guān)標(biāo)準(zhǔn)的器件,，進(jìn)行規(guī)范化設(shè)計(jì)和施工就可以了,。但從整個(gè)行業(yè)規(guī)范來(lái)看，由于網(wǎng)絡(luò)系統(tǒng)的脆弱性,，致使電子通信的可靠性下降,，而市場(chǎng)對(duì)安全信任的需求又越來(lái)越迫切，促使一些大型IT公司決定共同解決這個(gè)課題,。為了建立工業(yè)規(guī)范并實(shí)現(xiàn)值得信任的計(jì)算方案,，在1999年建立了“值得信任的計(jì)算平臺(tái)聯(lián)盟”（Trusted Computer Platform Association，TCPA),。其目標(biāo)就是使信息和通信制造符合標(biāo)準(zhǔn),，在系統(tǒng)、子系統(tǒng)和部件中實(shí)現(xiàn)值得信任的計(jì)算規(guī)范,。目前,，TCPA有160多個(gè)成員，其中就有很多的生產(chǎn)硬件的企業(yè),。目前已經(jīng)生產(chǎn)出符合TCPA規(guī)范的嵌入式安全芯片產(chǎn)品,。
　　(2)平臺(tái)層。據(jù)統(tǒng)計(jì)，現(xiàn)有嵌入式產(chǎn)品中,，4位機(jī)沒(méi)有使用操作系統(tǒng)的實(shí)例,，8位機(jī)約有30%使用了操作系統(tǒng)，而16位機(jī)以上的嵌入式產(chǎn)品帶有操作系統(tǒng)的占了70%以上,。嵌入式操作系統(tǒng)的規(guī)模一般都比較小,，不少產(chǎn)品開放了源碼，使得操作系統(tǒng)本身幾乎是透明的,，不會(huì)存在“后門”的情況,。但由于嵌入式操作系統(tǒng)受到系統(tǒng)規(guī)模的限制，不可能像Windows XP SP2那樣使用過(guò)多的安全措施,。其主要作用還是隔離硬件層,，便于產(chǎn)品開發(fā)和維護(hù)。應(yīng)用中常結(jié)合各種安全協(xié)議來(lái)考慮,。
　　(3)應(yīng)用層,。傳統(tǒng)的保證數(shù)據(jù)安全的方法是對(duì)數(shù)據(jù)進(jìn)行加密傳輸。不少嵌入式處理器處理數(shù)據(jù)的能力不高,，浮點(diǎn)運(yùn)算能力不強(qiáng),，若要提供實(shí)時(shí)的數(shù)據(jù)加解密運(yùn)算，處理器的速度往往不能勝任,。根據(jù)系統(tǒng)要求,，優(yōu)先選擇開銷小的安全協(xié)議和算法，或者由硬件來(lái)實(shí)施加解密算法,。
4.2 安全防御技術(shù)
　　網(wǎng)絡(luò)安全防御技術(shù)可分為主動(dòng)防御技術(shù)和被動(dòng)防御技木,。
　　(1)主動(dòng)防御技術(shù)
　　主動(dòng)防御技術(shù)一般有數(shù)據(jù)加密、身份驗(yàn)證,、存取控制,、授權(quán)和虛擬網(wǎng)絡(luò)等技木。下面介紹二種能在嵌入式系統(tǒng)中實(shí)施的,、較新的安全技術(shù),。
　　①虛擬網(wǎng)絡(luò)技術(shù)(Virtual Private Network,，VPN)
　　虛擬專用網(wǎng)絡(luò)是一個(gè)虛擬專用網(wǎng)，它允許二個(gè)或更多的網(wǎng)絡(luò)設(shè)備跨越一個(gè)不安全的網(wǎng)絡(luò)進(jìn)行安全通信,。以Microsoft 公司的IPSec（Internet Protocol Security）協(xié)議為代表的VPN平臺(tái),從網(wǎng)絡(luò)層(IP 層)實(shí)現(xiàn)安全加密,。在一個(gè)基于IPSec實(shí)現(xiàn)的VPN中，一個(gè)遠(yuǎn)端用戶能夠無(wú)縫,、透明和高安全性地訪問(wèn)遠(yuǎn)端設(shè)備上的任何服務(wù)和文件,。在IP上層的應(yīng)用(如Telnet、FTP以及Web服務(wù))都可以集成到這個(gè)安全框架內(nèi)。把IPSec加入到嵌入式設(shè)計(jì)中也需要一個(gè)嵌入式的TCP/IP協(xié)議棧,，并具有適當(dāng)?shù)募用?解密入口點(diǎn)和可選的IPSec及IKE（Internet Key Exchange）安全協(xié)議模塊,。當(dāng)采用“預(yù)共享”密碼實(shí)現(xiàn)方案時(shí)，嵌入式TCP/IPv4協(xié)議棧,、IPSec和IPSec密碼庫(kù)的內(nèi)存占用量小于100KB,。由于編碼是模塊化的，很容易集成到便攜式硬件,、加/解密硬件或者密碼加速器和協(xié)處理器中,。VPN還有一個(gè)顯著優(yōu)點(diǎn)就是可充分利用現(xiàn)有系統(tǒng)快速實(shí)現(xiàn)安全通信。
　?、诿酃藜夹g(shù)（Honeypot）和蜜網(wǎng)技術(shù)（Honeynet）
　　蜜罐是一個(gè)包含漏洞的誘騙系統(tǒng),，它是專門為吸引并“誘騙”那些試圖非法闖入他人計(jì)算機(jī)系統(tǒng)的人設(shè)計(jì)的。它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī),，給攻擊者提供一個(gè)容易受攻擊的目標(biāo),。經(jīng)過(guò)多年的研究發(fā)展，蜜罐技術(shù)已經(jīng)發(fā)展成為誘騙攻擊者的一種非常有效而實(shí)用的方法,其應(yīng)用集中在對(duì)外部威脅的識(shí)別,。蜜罐技術(shù)與防火墻技術(shù),、入侵檢測(cè)技術(shù)、病毒防護(hù)技術(shù),、數(shù)據(jù)加密和認(rèn)證技術(shù)有很大不同,，后者是在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)對(duì)系統(tǒng)進(jìn)行被動(dòng)的防護(hù)，而蜜罐技術(shù)可以采取主動(dòng)的方式,。
　　蜜網(wǎng)(其自由組織網(wǎng)址是http：//www.honeynet.org)可以說(shuō)是更安全,、更強(qiáng)大的蜜罐，它由很多網(wǎng)絡(luò)上“蜜罐”的“陷阱”構(gòu)成,，它以更合理的方式記錄下黑客的行動(dòng),，同時(shí)盡量減少可能對(duì)其他系統(tǒng)造成的危害。成功的案例表明,，蜜網(wǎng)誘使許多黑客白白浪費(fèi)了大量精力,。嵌入式產(chǎn)品面廣量大，如果組織合理,，蜜網(wǎng)技術(shù)將是一種較好的主動(dòng)防御技術(shù),。
　　(2)被動(dòng)防御技術(shù)
　　目前，被動(dòng)防御技術(shù)有防火墻技術(shù),、安全掃描器,、密碼檢查器、記賬服務(wù),、路由過(guò)濾等,。
　?、俜阑饓Γ‵irewall）技術(shù)
　　防火墻是內(nèi)部網(wǎng)與外網(wǎng)之間實(shí)施安全防范的系統(tǒng)，可被認(rèn)為是一種訪問(wèn)控制機(jī)制,，用于確定哪些內(nèi)部服務(wù)允許外部訪問(wèn),，以及哪些外部服務(wù)允許內(nèi)部訪問(wèn)。根據(jù)不同的配置,，防火墻可以分為：數(shù)據(jù)包過(guò)濾防火墻,、代理服務(wù)型防火墻、監(jiān)測(cè)型防火墻,、網(wǎng)絡(luò)地址轉(zhuǎn)換型防火墻,。防火墻技術(shù)是目前用得較多的安全技術(shù)。防火墻大多放在網(wǎng)關(guān)上,，因此在上網(wǎng)的嵌入式設(shè)備上使用非常方便,，效果也較好，并可以減輕嵌入式產(chǎn)品自身的安全設(shè)計(jì)負(fù)擔(dān),。
　?、诎踩珯z測(cè)（Security Detection）
　　安全檢測(cè)功能可自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性，用于觀察網(wǎng)絡(luò)是否在正常工作,，收集主機(jī)的信息,，并提出安全建議。大型操作系統(tǒng)一般都有此功能,，當(dāng)然也可在應(yīng)用級(jí)設(shè)計(jì)安全掃描程序,。另外當(dāng)系統(tǒng)遭受攻擊時(shí)，系統(tǒng)還可以對(duì)攻擊進(jìn)行檢測(cè),，識(shí)別出網(wǎng)絡(luò)攻擊行為,，并讓系統(tǒng)采取相應(yīng)的對(duì)策。安全任務(wù)既可以由嵌入式設(shè)備自身實(shí)施,，也可以由上位機(jī)實(shí)現(xiàn),。
　　③服務(wù)登記(Service Log)
　　在系統(tǒng)中保留一個(gè)日志文件,，與安全相關(guān)的事件可以記錄在日志文件中備查和分析,，用以追查有關(guān)責(zé)任者，發(fā)現(xiàn)系統(tǒng)安全的弱點(diǎn)和可入侵點(diǎn),。嵌入式系統(tǒng)可以將工作日志記錄在其服務(wù)器,。顯然這項(xiàng)功能會(huì)加重處理器和數(shù)據(jù)傳輸?shù)呢?fù)擔(dān)，所以記錄的項(xiàng)目不宜太多太細(xì),。
　?、軘?shù)據(jù)備份(Data Backup)
　　將系統(tǒng)的重要數(shù)據(jù)和過(guò)程實(shí)時(shí)記錄下來(lái)，以便系統(tǒng)遭受損壞后盡快恢復(fù),。嵌入式系統(tǒng)由于資源受限,，往往不可能對(duì)其數(shù)據(jù)進(jìn)行本機(jī)備份，可通過(guò)網(wǎng)絡(luò)進(jìn)行異地備份,。
　　綜合以上的安全因素和防御方法可以看出,，各種方法各有其特點(diǎn)，使用時(shí)要根據(jù)風(fēng)險(xiǎn)級(jí)別,、系統(tǒng)設(shè)計(jì)目標(biāo)和系統(tǒng)造價(jià)進(jìn)行綜合考慮,。對(duì)大量使用的、性能一般的嵌入式微處理系統(tǒng),，防火墻和IPSec技術(shù)具有配置靈活,、性價(jià)比較高等特點(diǎn)，是容易采用且較為成熟的技術(shù),。
5  結(jié)束語(yǔ)
　　由于嵌入系統(tǒng)安全問(wèn)題的復(fù)雜性,，決定了必須采用軟件工程方法來(lái)分析。對(duì)系統(tǒng)防御也必須綜合實(shí)施,，沒(méi)有一個(gè)萬(wàn)全之策,。目前嵌入式方面的安全研究工作國(guó)內(nèi)還做得不多，因此還需要投入大量的研究,。
參考文獻(xiàn)
1   Koopman P.Embedded System Security.Computer,，2004；(6)
2   Kemp A.Embedded systems：the other problem.Computers  & Security,，1997,；16(6)
3   brkekman B，Notenboom E.Testing Embedded Software.北京：電子工業(yè)出版社,，2004
4   Tettero O.Information Security Embedded in the Dsign of  Telematics Systems.computer & security,，1997；16(2)
5   美崎薰(日)著,，王慶譯.圖說(shuō)ITRON/JTRON.北京：科學(xué)出版社,，2003
6   應(yīng)錦鑫，曹元大.利用蜜罐技術(shù)捕捉來(lái)自內(nèi)部的威脅.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,，2005,；(1)
7   李紀(jì)扣，程曉玲,，李雪.IPsec在嵌入式VPN系統(tǒng)中的應(yīng)用.天津科技大學(xué)學(xué)報(bào),，2004；19(3)
8   殷南,，吳灝.嵌入式密碼系統(tǒng)的設(shè)計(jì)及應(yīng)用.計(jì)算機(jī)應(yīng)用,，2004；24(6)
9   吳康.高速安全微控制器發(fā)展與前景.今日電子,，2004,；(10)
10  胡海峰.危險(xiǎn)分析方法及其應(yīng)用.信息安全與通信保密,，2004；(12)
11  盧昱編.網(wǎng)絡(luò)安全技術(shù).北京：中國(guó)物資出版社,，2001
12  張紅旗.信息網(wǎng)絡(luò)安全.北京：清華大學(xué)出版社,，2002