物联网时代的嵌入式系统安全性问题
2018-10-27王典
摘 要:网络安全是全世界高度关注的重要问题。嵌入式系统作为物联网的核心组成,正面临着各种各样的安全威胁,这也为嵌入式系统的研发与设计带来新的挑战。在物联网时代,如何降低嵌入式系统的安全风险,消除来自网络的威胁,并将物联网的成本降至最低,成为目前亟待解决的重要课题。
关键词:网络安全;嵌入式系统;风险;物联网时代
DOI:10.16640/j.cnki.37-1222/t.2018.17.126
随着物联网时代的到来,社会中的许多金融交易、商业行为、数据通信在很大程度上都依赖于互联网,并且有越来越多的设备连接到物联网中,导致人们的生活及企业的经营运行对互联网的依赖性逐渐的增大,由此也产生了一系列的安全问题。嵌入式系统作为物联网时代的核心技术,如果设备不安全,将会导致互联网产生重大的安全漏洞,进而造成不可估量的损失。因此,加强保护措施,提高嵌入式系统安全性,是保障物联网时代健康发展的重要途径。
1 物联网概念
物联网是一个以互联网为基础,将物体组建到网站上的虚幻世界。与传统的互联网相比,第一,物联网通过连接物品,赋予物品智能化,从而实现对物品的全面感知;第二,物联网通过各种传感设备获得各环节的信息,并对数据信息进行监控;第三,物联网将收集到的信息进行智能的处理,然后通过可靠的传输网站重新传递出去。
2 物联网时代的嵌入式系统安全风险及应对策略
嵌入式系统是物联网的核心技术,由一个或几个预先编辑好的程序用来执行少数几项任务的微型处理器或单片机组成。通常只针对一项特殊的任务。随着物联网时代的到来,由于嵌入式系统的漏洞无处不在,且暂时缺乏有效的补丁修复程序,给人们生活与工作带来便利的同时,也带来了安全风险。
2.1 软件自身缺陷
目前,物联网设备大都是以嵌入式Linux系统为核心,其软件自身存在系统漏洞、软件bug、信息泄露、弱口令等缺陷,而攻击者可以针对这些漏洞进行攻击,进而获取系统相关服务的认證口令。比如,嵌入式系统开发人员的编码能力欠缺,对系统参数没有经过严格的校验与过滤,从而导致在调用危险函数时远程命令注入;又如,很多物联网的设备厂商由于忽视了信息安全的重要性,从而导致信息极为容易泄露,这也给攻击者带来方便。针对这些问题,在嵌入式系统开发过程中要加强产品的安全开发流程与管理,严格遵循安全编码规范,减少系统自身的漏洞问题,从而降低安全风险。
2.2 硬件接口
物联网设备中的调试接口、通讯接口、数据接口、认证方式、存储介质、外设接口等都容易成为被攻击的对象。尤其是目前在很多物联网设备中,厂商都保留了硬件调试接口,给系统安全带来了潜在风险。比如,可以查看系统信息和对应用程序进行调试的串口、可以调试系统代码的JTAG接口,由于它们都具有系统较高的访问权限,容易带来重大的安全隐患。为此,在嵌入式系统设计之初,就必须充分考虑系统的安全性问题,要确保供给者无法获取或篡改相关代码或数据信息。
2.3 暴力攻击
目前,大部分的物联网设备都是由CPU、传感器和通讯三个模块组成,而通常在设计软件时都只需要满足级别的功能。也就是说根密钥和启动安全是所有物联网设备安全的根本,所有处于物联网中的交易与业务,都是基于根密钥和启动安全。而攻击者可能会对根密钥和启动安全进行暴力攻击,从而获取相关信息与数据。因此,可以使用安全芯片SE来保证根密钥和安全启动的安全性,这也是确保物联网安全性的最有效的方式之一。
2.4 通讯方式
由于物联网设备的通讯接口需要与云端后台、传感器网络等设备进行联网通信,攻击者可以针对通讯接口的驱动程序代码或底层通信实现的固件进行攻击,比如,对于无线网络接口的一些已知安全问题,攻击者可以对无线芯片进行攻击;又如,中间人攻击可以在通讯设备两端的链路中间,充当数据的交换角色,这样就能以中间人的方式获得设备的相关控制信息与用户的认证信息。为此,在物联网终端设备中可以内置安全机制,增加漏洞的利用难度,并且定时的向用户推送补丁及软件更新,提醒用户及时进行升级与漏洞修补。
2.5 互联网
互联网具有开放性,这也就决定了它本身是一个不安全的体系。首先,在互联网的数据传输中主要遵循的是路由传输协议,而由于这种数据的传输路径是随机的,为此,数据的接收方难以查找到发送方的地址,这就给攻击者恶意散播病毒、网络攻击带来了便利,同时也给互联网络的实时监控带来了极大困难。而在物联网设备的终端大都是各种智能化的工具,比如机器人、生产线、嵌入式系统的工业控制机等设备,一旦感染病毒,都会带来重大的安全事故。
其次,在互联网开放的环境下,人人都可以无条件的连接互联网,虽然,现在有很多网络采取了实名登录的形式,但攻击者通过暴力攻击依然可以获取部分数据,进而造成个人信息的泄露。最后,在物联网时代,网上交易、购物、消费等模式成为人们生活中的重要部分,而由此带来的交易安全、财产安全、计费安全和个人信息安全等诸多问题,由于国家现有的法律法规介入也很难奏效,从而导致一些不法分子常常利用漏洞实施犯罪。比如利用软件黑箱运行的隐蔽性,给一些交易平台植入一些损害消费者利益的协议规则;又如,旅行社的票务系统提供虚假机票、火车票等,各式各样的网络诈骗行为层出不穷。为此,应从互联网系统自身的结构体系与特点出发,采取有针对性的措施,提高互联网系统的安全性,此外,国家应完善相应的法律法规,对互联网的安全问题给予法律的保障。
3 结语
嵌入式系统是物联网的重要组成部分,在物联网时代,越来越多的“物体”相互连接在一起,这就使得物体连接后非常容易受到黑客的攻击,为了真正的实现物联网的功能,利用嵌入式软件、工具和芯片等多种手段,保障嵌入式系统的安全性是降低物联网设备安全风险,为人们提供安全性的远程管理的关键。
参考文献:
[1]段纯爽.浅析嵌入式系统在物联网时代的应用[J].中小企业管理与科技旬刊,2015(32):265.
[2]何立民.物联网时代嵌入式系统的安全性设计[J].单片机与嵌入式系统应用,2016,16(07):82-83.
作者简介:王典(1989-),男,四川遂宁人,本科,助教,研究方向:应用电子技术。