基于故障樹的服務機器人信息安全測評系統(tǒng)模型

李夢瑋 趙曉飛 鞏瀟

摘? ?要： 為了有效開展服務機器人的信息安全測評工作，從受侵害對象、應用場景出發(fā)，總結(jié)服務機器人信息安全問題所帶來的應用風險，提出一種基于故障樹的服務機器人信息安全分析方法。對服務機器人本體系統(tǒng)、云網(wǎng)系統(tǒng)架構(gòu)進行分析，應用故障樹分析法，構(gòu)造服務機器人信息安全測評系統(tǒng)模型架構(gòu)，對硬件接入、數(shù)據(jù)采集、數(shù)據(jù)分析和操作展示進行詳細設(shè)計，以兼具在線與離線信息安全測評功能。以某迎賓導引服務機器人為例，模擬各類攻擊手段，對測評系統(tǒng)模型進行了驗證實現(xiàn)，發(fā)現(xiàn)了服務機器人通信數(shù)據(jù)未加密、弱口令漏洞等信息安全問題，為后續(xù)服務機器人安全應用研究奠定了基礎(chǔ)。

關(guān)鍵詞： 服務機器人;信息安全;故障樹分析法;測評系統(tǒng)模型;云網(wǎng)系統(tǒng)

引言

當前，我國服務機器人市場規(guī)模快速擴大[1]，服務機器人新興應用場景拓展迅速，產(chǎn)品體系逐漸豐富，在家庭生活、物品配送、健康服務等領(lǐng)域得以快速落地，越來越多地滲入到人們的日常生活中。

服務機器人接入到網(wǎng)絡環(huán)境中，不可避免地帶來了許多安全問題。據(jù)相關(guān)研究機構(gòu)披露，在服務機器人、工業(yè)機器人等領(lǐng)域數(shù)十款機器人中，已發(fā)現(xiàn)近50個安全漏洞，利用這些漏洞，攻擊者可以實現(xiàn)對用戶的監(jiān)聽及對機器人安全運動范圍的篡改，以竊取用戶隱私、商業(yè)機密或?qū)τ脩魧嵤┥眢w攻擊[2]。某安全軟件公司發(fā)現(xiàn)某一款掃地機器人存在的安全漏洞“HomeHack”可以獲得機器人控制權(quán)以及內(nèi)置攝像頭的訪問權(quán)，偷錄用戶家中視頻[3]。可見，服務機器人信息安全問題所帶來的安全風險涉及到多個方面。

區(qū)別于傳統(tǒng)IT系統(tǒng)，服務機器人結(jié)構(gòu)更為復雜，傳統(tǒng)的信息收集、漏洞掃描、漏洞利用、提升權(quán)限等信息安全測評方法雖然已較為成熟，但很難完全適用。

本文提出了一種基于故障樹的服務機器人信息安全測評系統(tǒng)模型架構(gòu)，采用信息安全故障樹分析法，設(shè)計了一種兼具在線與離線信息安全測評功能的系統(tǒng)模型，并在服務機器人上進行了驗證實現(xiàn)。

1? 服務機器人信息安全風險分析

由于服務機器人存在的安全漏洞可能會被攻擊者利用，而造成人員傷害、隱私泄露等問題，因此確保服務機器人的安全性和隱私性至關(guān)重要。目前，已有許多科研機構(gòu)和學者陸續(xù)參與到機器人安全性研究工作中。例如，采用影響及危害性分析方法，基于機器人元器件的故障模式、故障影響及故障原因進行安全性評估[4]。Khalil等對一種機器人攻擊工具進行了研究，采用面向結(jié)果導向的分析方法來評估攻擊結(jié)果[5]。Wojciech等從網(wǎng)絡物理系統(tǒng)層面出發(fā)，分析了移動服務機器人可能面臨的攻擊來源、威脅及后果[6]。李穎等從網(wǎng)絡安全、主機安全、終端安全等方面探討了變電站機器人巡檢系統(tǒng)的信息安全隱患[7]。隨著服務機器人的普及應用，其安全性問題必將成為今后的研究重點。

1.1? 服務機器人安全問題

根據(jù)受侵害對象的不同，服務機器人信息安全問題所導致的危害可以分為人身安全、環(huán)境安全、業(yè)務安全和個人隱私，貫穿服務機器人全生命周期。以下結(jié)合不同危害層面對服務機器人安全性進行分析。

（1）人身安全：使用者通過人機交互的方式使服務機器人執(zhí)行相應工作。由于使用者大部分為非專業(yè)人員，因此誤操作、信號干擾等問題可能導致服務機器人發(fā)生誤動作，對人身安全造成直接的危害。如果少數(shù)不法分子通過技術(shù)手段對機器人進行劫持、誘騙和操控，所導致的危害不可估量。

（2）環(huán)境安全：對于巡檢、配送等公共服務機器人，環(huán)境安全是最主要的安全風險。

（3）業(yè)務安全：迎賓導引類服務機器人已不僅局限于接待功能，為了提高落地應用效果，它們已與銀行、稅務、海關(guān)、交易等多種業(yè)務系統(tǒng)進行了深度對接，實現(xiàn)業(yè)務辦理功能。一臺服務機器人的信息安全問題可能影響整條業(yè)務系統(tǒng)，反之信息安全防護的復雜性也制約了服務機器人與業(yè)務系統(tǒng)的進一步融合。

（4）個人隱私：個人隱私泄露是服務機器人信息安全問題中最容易爆發(fā)的安全風險問題，大量的數(shù)據(jù)交互所引發(fā)的個人隱私安全越來越受到人們的重視。

通過分析受侵害對象及服務場景，總結(jié)服務機器人可能存在的信息安全風險點，如表1所示。

1.2? 服務機器人信息安全故障樹生成

故障樹分析是一種自上而下的分析方法，通過對可能造成系統(tǒng)故障的軟件、硬件、人為因素、環(huán)境等進行分析，生成故障原因的各種可能的組合方式以及產(chǎn)生的概率，由總體至部分，按樹狀結(jié)構(gòu)逐層細化的一種分析方法[8]。故障樹分析法是信息安全領(lǐng)域的一種典型方法。相比于傳統(tǒng)信息系統(tǒng)，服務機器人復雜性更高，所面臨的攻擊手段和類型更多，因此故障樹分析法不僅可以反映各類安全事件的內(nèi)在邏輯關(guān)系，而且可以綜合反映服務機器人存在的安全隱患。

生成故障樹的過程是以服務機器人的信息安全需求為目標，研究系統(tǒng)故障和導致故障的諸多因素之間的邏輯關(guān)系的過程。服務機器人信息安全風險點可看作是故障樹的重大風險事件，稱之為“頂事件”，頂事件的發(fā)生是由若干“中間事件”的邏輯組合所導致的，“中間事件”是各個“底事件”邏輯組成所導致的。頂事件表示結(jié)果，頂事件的發(fā)生意味著服務機器人極有可能被攻擊;底事件表示原因，可能包含各類漏洞、版本缺陷、誤操作、正常操作等;中間事件既是下一層事件的結(jié)果，也是上一層事件的原因。服務機器人故障樹典型結(jié)構(gòu)如圖1所示。

考慮到服務機器人系統(tǒng)的復雜性，以及各類安全攻擊手段的不確定性，對于當前階段的服務機器人信息安全測評，應更多采用定性分析，具備一定經(jīng)驗積累后，再進行定量分析。

2? 服務機器人信息安全測評系統(tǒng)模型設(shè)計

2.1? 服務機器人典型架構(gòu)分析

2.1.1? 服務機器人本體系統(tǒng)架構(gòu)

常見的服務機器人本體系統(tǒng)架構(gòu)如圖2所示，控制系統(tǒng)、通信接口、執(zhí)行模塊、各類傳感器、外設(shè)部件及應用軟件是其核心組成部分?？刂葡到y(tǒng)一般分為主控制模塊和底盤控制模塊，其中主控制模塊作為服務器端，主要實現(xiàn)與底盤控制模塊的通信，并對其所完成的任務進行管理和控制;底盤控制模塊主要實現(xiàn)傳感器信息的采集分析、機器人運動控制等。目前控制系統(tǒng)搭載的主流機器人操作系統(tǒng)是Ubuntu、Android和ROS，其中ROS是專門為機器人設(shè)計的一套開源操作系統(tǒng)[9]，充當通信中間件的角色。通信接口通常包括串口、USB、LAN、無線通信接口等。執(zhí)行模塊主要是驅(qū)動器、電機，實現(xiàn)機器人的運動。服務機器人集成了激光雷達、深度相機、超聲波傳感器等各類傳感器，以及語音模塊、攝像頭、顯示屏等外設(shè)部件，實現(xiàn)環(huán)境感知與信息交互。應用軟件部署在服務機器人本體及遠程操作終端，支持人機交互功能與操作。

2.1.2? 服務機器人云網(wǎng)系統(tǒng)架構(gòu)

隨著云計算、無線網(wǎng)絡技術(shù)的發(fā)展，機器人逐漸與云網(wǎng)系統(tǒng)實現(xiàn)互連，一方面給服務機器人提供了“遠程大腦”，增強了機器人自我學習能力，降低了本體的運算消耗;另一方面給服務機器人的多機協(xié)同和物聯(lián)網(wǎng)接入提供了更多的便利。本文以目前應用較多的RSI（Robot Service Initiative）模型為研究對象，該模型包括機器人、服務提供商、用戶和環(huán)境。通過該模型，可以實現(xiàn)控制機器人、咨詢服務提供商、與環(huán)境互動并提供機器人服務[10]?；谠频姆諜C器人系統(tǒng)架構(gòu)如圖3所示。

2.2? 服務機器人信息安全測評系統(tǒng)模型

2.2.1? 信息安全測評系統(tǒng)物理架構(gòu)設(shè)計

根據(jù)應用場景和企業(yè)產(chǎn)品技術(shù)路線的不同，服務機器人可能工作在離線狀態(tài)或在線狀態(tài)，同時考慮到信息安全測評內(nèi)容繁多，無法僅僅在離線或在線狀態(tài)下單獨完成測評，因此系統(tǒng)需滿足在線和離線兩種情況下交替工作。基于此，本文設(shè)計一種兼具在線與離線信息安全測評功能的系統(tǒng)模型，測評系統(tǒng)物理架構(gòu)如圖4所示。

信息安全測評系統(tǒng)基本符合傳統(tǒng)C/S架構(gòu)系統(tǒng)，并可滿足分布式和實時在線的特點，能夠在網(wǎng)絡環(huán)境下完成全局數(shù)據(jù)同步和版本控制。系統(tǒng)由一個中心服務器和若干個測評系統(tǒng)節(jié)點組成，在離線環(huán)境下，測評人員可以在測評實施過程中離線記錄數(shù)據(jù)，可以對節(jié)點形成的數(shù)據(jù)集進行維護，并將其更新至節(jié)點數(shù)據(jù)庫，完成離線數(shù)據(jù)和版本控制操作。通過創(chuàng)建相同版本的測評數(shù)據(jù)，采用數(shù)據(jù)協(xié)同存儲的思路，將數(shù)據(jù)同步至中心服務器。中心服務器也可將版本下發(fā)至各個測評系統(tǒng)節(jié)點，完成全局數(shù)據(jù)同步和版本管理。

2.2.2? 信息安全測評系統(tǒng)模型接口設(shè)計

服務機器人信息安全測評系統(tǒng)需要與目標機器人進行數(shù)據(jù)交互，該模型在設(shè)計階段需充分考慮接口的豐富性和可操作性，系統(tǒng)支持數(shù)據(jù)通信接口類型包括串口、USB、Wi-Fi和有線網(wǎng)口，能夠滿足大部分服務機器人信息安全測評需求。

（1）串口接口：串口是嵌入式系統(tǒng)中最常見的調(diào)試接口，由于接口類型和電平不同，該接口無法與測評系統(tǒng)直接相連，需要進行接口轉(zhuǎn)換。測評系統(tǒng)側(cè)使用USB轉(zhuǎn)串口模塊，支持TTL連接USB、RS-232連接USB、USB連接USB等串口連接。

（2）USB接口：面向消費級市場的服務機器人絕大多數(shù)采用Android操作系統(tǒng)，其調(diào)試接口ADB一般采用使用USB接口，所以USB接口屬于信息安全測評中的重要接口。測評系統(tǒng)可根據(jù)機器人側(cè)不同的USB接口類型，選擇匹配的連接線進行連接。

（3）Wi-Fi接口：服務機器人通過Wi-Fi連接互聯(lián)網(wǎng)與管理后臺進行通信，實現(xiàn)數(shù)據(jù)上報、指令下發(fā)等操作。通過定制路由設(shè)備提供Wi-Fi連接，使服務機器人接入，測評系統(tǒng)即可實現(xiàn)網(wǎng)絡數(shù)據(jù)流量捕獲、分析等操作。

（4）有線網(wǎng)絡接口：對于相對大型的機器人系統(tǒng)來說，經(jīng)常使用有線網(wǎng)絡進行控制和數(shù)據(jù)交互。定制路由接入設(shè)備提供RJ45接口，服務機器人和安全測評系統(tǒng)均可使用網(wǎng)線接入，繼而實現(xiàn)網(wǎng)絡連通、數(shù)據(jù)捕獲等操作。

2.2.3? 信息安全測評系統(tǒng)模型架構(gòu)設(shè)計

服務機器人信息安全測評系統(tǒng)模型架構(gòu)如圖5所示，分為硬件接入層、數(shù)據(jù)采集層、數(shù)據(jù)分析層和操作展示層四個層級。硬件接入層提供各硬件接入及轉(zhuǎn)換設(shè)備，連通測評系統(tǒng)和待測服務機器人。數(shù)據(jù)采集層實現(xiàn)安全測試模塊的定制開發(fā)與集成，并從機器人中提取所需的數(shù)據(jù)。數(shù)據(jù)分析層基于硬件接入和數(shù)據(jù)采集兩部分，執(zhí)行具體的安全檢測任務。操作展示層提供可視化的數(shù)據(jù)展示以及操作接口，可以直觀地對檢測過程進行查看和控制，并對檢測結(jié)果提供報表生成和預覽下載等功能。

測評系統(tǒng)模型覆蓋多種硬件接口，可根據(jù)實際情況與服務機器人相連接，后端通過測評系統(tǒng)執(zhí)行具體的檢測任務。此外，提供用戶界面展示后臺檢測任務狀態(tài)，用戶通過下發(fā)指令到測評系統(tǒng)，對具體的檢測過程進行控制。

表2給出了服務機器人信息安全測評系統(tǒng)所具備的核心功能，包含一級功能和二級功能。

3? 服務機器人信息安全測評系統(tǒng)模型驗證

以國內(nèi)某迎賓導引服務機器人系統(tǒng)產(chǎn)品為試驗環(huán)境，通過模擬各類攻擊手段，對該測評系統(tǒng)模型進行了技術(shù)驗證。模型驗證技術(shù)路線如圖6所示。

通過開展模型驗證的試驗工作，發(fā)現(xiàn)服務機器人產(chǎn)品存在部分安全隱患。考慮到數(shù)據(jù)涉及產(chǎn)品關(guān)鍵參數(shù)信息，本文只分析其中部分安全問題，如下：

（1）被測機器人在進行數(shù)據(jù)通信時采用了明文方式傳輸數(shù)據(jù)，沒有加密措施。攻擊者可以輕易獲得數(shù)據(jù)報文格式，偽造或篡改控制報文。

（2）被測機器人內(nèi)置無線AP用于手動控制。攻擊者利用其弱口令漏洞，可以獲得控制報文進而實現(xiàn)非法控制。

（3）被測機器人沒有身份校驗機制，通過其開放的端口可以獲取配置文件信息，包括機器人Wi-Fi用戶名、密碼、hostname等關(guān)鍵信息，并可直接訪問企業(yè)的管理后臺地址。

（4）被測機器人基于Windows平臺開發(fā)人機交互系統(tǒng)，攻擊者可直接通過未禁用的接口進入Windows系統(tǒng)，查看Web服務器配置信息。通過源代碼審計發(fā)現(xiàn)，產(chǎn)品未對機器人控制指令做代碼混淆，攻擊者能提取出控制指令，且產(chǎn)品缺乏身份校驗機制，攻擊者可以直接實現(xiàn)對機器人的劫持。

結(jié)合故障樹分析法，生成系統(tǒng)信息安全故障樹，如圖7所示。本次試驗以非法訪問和控制劫持為“頂事件”P3;以操作系統(tǒng)漏洞、身份校驗機制為“中間事件”P1和P2;以操作系統(tǒng)版本、內(nèi)核版本、接口狀態(tài)、用戶密碼、驗證機制為“底事件”V1、V2、V3、V4、V5，代表系統(tǒng)漏洞。根據(jù)事件發(fā)生的嚴重程度和概率估計，故障樹共存在2個與門和1個或門，則系統(tǒng)發(fā)生非法訪問和控制劫持的最小割集有（V1、V3、V4、V5）、（V2、V3、V4、V5）、（V1、V2、V3、V4、V5）。最小割集對應了攻擊者可選擇的攻擊路徑。由于底事件發(fā)生概率估值浮動較大，因此本文不做定量分析。

4? 結(jié)論與展望

本文對服務機器人的安全現(xiàn)狀、安全風險、信息安全風險點、典型架構(gòu)進行了闡述，提出了一種結(jié)合故障樹分析方法的測評系統(tǒng)模型，并進行了驗證，為后續(xù)服務機器人信息安全研究提供了參考。

服務機器人信息安全測評系統(tǒng)是集合多種安全技術(shù)、IT技術(shù)、互聯(lián)網(wǎng)技術(shù)于一體的綜合平臺系統(tǒng)，未來將會繼續(xù)向集成化、自動化、智能化趨勢發(fā)展，但是大而全的測評系統(tǒng)往往不具有較好的操作性。隨著我國服務機器人安全測評技術(shù)、測評體系的日趨完善，相應的測評系統(tǒng)應能夠滿足多數(shù)核心功能，從根本上保障服務機器人產(chǎn)品開發(fā)及應用安全。

參考文獻

[1] 馬良， 尹傳昊， 張佑輝， 等. 2019年中國機器人產(chǎn)業(yè)發(fā)展報告[R].

[2] Hacking Robots Before Skynet [OL]. （2017-03-01） [2020-04-14]. https：//ioactive.com/hacking-robots-before-skynet/.

[3] HomeHack： How Hackers Could Have Taken Control of LGs IoT Home Appliances [OL]. （2017-10-26） [2020-04-14]. https：//blog.checkpoint.com/2017/10/26/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/.

[4] 付煜茗. 機電設(shè)備可靠性理論研究與應用[D]. 北京： 北京郵電大學， 2014.

[5] Khalil A Y ， Anas A M ， Salah G ， et al. Analyzing Cyber-Physical Threats on Robotic Platforms[J]. Sensors， 2018， 18（5）：1643-.

[6] Dudek W， Szynkiewicz W. Cyber-security for Mobile Service Robots – Challenges for Cyber-physical System Safety[J]. Journal of Telecommunications and Information Technology， 2019， 2： 29-36.

[7] 李穎， 陳紀海， 劉昊. 變電站機器人巡檢系統(tǒng)信息安全問題的研究與探討[J]. 信息技術(shù)與信息化， 2017（1-2）： 147-150.

[8] 張濤， 胡銘曾， 云曉春. 基于故障樹的計算機安全性分析模型[J]. 高技術(shù)通訊， 2005， 15（7）： 18-23.

[9] 朱東晟. 基于ROS室內(nèi)服務機器人控制系統(tǒng)的設(shè)計與實現(xiàn)[D]. 南京： 南京郵電大學， 2019.

[10] 張恒， 劉艷麗， 劉大勇. 云機器人的研究進展[J]. 計算機應用研究， 2014， 31（9）： 2567-2574.