嵌入式系统的网络安全问题的解析

嵌入式是一种专用的计算机系统，作为装置或设备的一部分。通常，嵌入式系统是一个控制程序存储在ROM中的嵌入式处理器控制板。事实上，所有带有数字接口的设备，如手表、微波炉、录像机、汽车等，都使用嵌入式系统，有些嵌入式系统还包含操作系统，但大多数嵌入式系统都是是由单个程序实现整个控制逻辑。如果能在系统设计之初考虑广泛使用的嵌入式系统的安全问题，可减少系统的安全维护工作。

1 综合实例

嵌入式系统在医疗仪器中的应用普及率极高。在设计过程中，根据需要对嵌入式系统重新编程，可避免前端流片（NRE）成本，减少和ASIC相关的订量，降低芯片多次试制的巨大风险。此外，随着标准的发展或者当需求出现变化时，还可以在现场更新，而且设计人员能够反复使用公共硬件平台，在一个基本设计基础上，建立不同的系统，支持各种功能，从而大大降低生产成本。使产品具有较长的生命周期，可以保护医疗仪器不会太快过时，医疗行业的产品生命周期比较长，因此这一特性非常重要。现代数字医疗仪器设备不但包括诊疗设备，而且还有数据存储服务器和接口软件。嵌入式系统可为医疗仪器设备设计、生产和使用提供先进的技术支持。

2 原因分析

（1）价格因素。结构简单好用，价格便宜也是嵌入式设计追求目标。公司在选择芯片时，满足好用够用就可以了。如果从软硬件上增加过多的安全措施，成本则会提高。而简约的嵌入式系统上大量使用的4位和8位机，也不能运行过多的安全任务。

（2）面广量大。嵌入式系统在生活、工作、娱乐、教育、军事等方面大量使用。如果系统设计有缺陷，则影响面非常大。若有的嵌入式系统被入侵者利用，将会成为多点攻击的武器。

（3）电源的限制。许多嵌入式系统都是用电池供电，如果寻找方法将其电力提前耗尽而又没有得到及时的更换， 则该系统将处于瘫痪状态，很容易造成安全漏洞，从而为入侵者开了方便之门。

（4）开发队伍和环境的制约。许多嵌入式系统都是小团队做的。由于缺少安全方面的专家及经费短缺，设计中对安全问题考虑不足。而用户往往也只追求嵌入式产品的小巧精致，方便好用即可。

3 安全分析方法

有二种安全性分析技术：故障模型及后果分析（Failure Mode and Effect Analysis，FMEA）和故障树分析（Failure Tree Analysis，FTA）。安全性分析是对因果关系的探讨，“因”即引起安全问题的原因，而“果”就是潜在的危害。

3.1 FMEA和嵌入式应用实例

FMEA是一种可靠性设计的重要方法。它实际上是FMA（故障模式分析）和FEA（故障影响分析）的组合。它对各种可能的风险进行评价、分析，以便在现有技术的基础上消除这些风险或将这些风险减小到可接受的水平。

图1为一个较为典型的FMEA分析技术。

3.2 FTA及其嵌入式应用实例

FTA也是一种用来分析安全性和可靠性问题的技术。FTA与FMEA分析方法不同。FTA从所有可能的事件开始，并围绕事件的结果做工作。FTA是用图示的方法直接从已确定安全事件（处于树的顶层）开始，反向找出问题发生的原因。设计FMEA（也记为d-FMEA）应在一个设计概念形成之时或之前开始，并且在产品开发各阶段中，当设计有变化或得到其他信息时及时不断地修改，并在图样加工完成之前结束。其评价与分析的对象是最终的产品以及每个与之相关的系统、子系统和零部件，图2是应用FTA分析嵌入式产品安全问题的一个简单示例。

4 嵌入式系统安全问题解法方案

网络安全是使网络系统的硬件、软件及数据受到保护，避免因意外或恶意的操作而遭到破坏、更改、泄露，从而保证系统连续、可靠、正常地运行，网络服务不中断。三个基本的网络安全服务是：数据加密、内容完整性和授权。

4.1 嵌入式系统安全的三个层次

嵌入式系统安全要综合考虑物理层、平台层以及应用层三个方面。

（1）物理层。嵌入式系统物理层的安全问题比较容易解决。就系统本身而言，根据系统的工作环境，在设计目标和设计要求时选择符合相关标准的器件，进行规范化设计和施工就可以了。但从整个行业规范来看，由于网络系统的脆弱性，致使电子通信的可靠性下降，而市场对安全信任的需求又越来越迫切，促使一些大型IT公司决定共同解决这个课题。为了建立工业规范并实现值得信任的计算方案，在1999年建立了“值得信任的计算平台联盟”（Trusted Computer Platform Association，TCPA）。其目标就是使信息和通信制造符合标准，在系统、子系统和部件中实现值得信任的计算规范。目前，TCPA有160多个成员，其中就有很多的生产硬件的企业。

（2）平台层。据统计，现