李夢瑋 趙曉飛 鞏瀟

摘? ?要： 為了有效開展服務(wù)機(jī)器人的信息安全測評工作，從受侵害對象、應(yīng)用場景出發(fā)，總結(jié)服務(wù)機(jī)器人信息安全問題所帶來的應(yīng)用風(fēng)險(xiǎn)，提出一種基于故障樹的服務(wù)機(jī)器人信息安全分析方法。對服務(wù)機(jī)器人本體系統(tǒng)、云網(wǎng)系統(tǒng)架構(gòu)進(jìn)行分析，應(yīng)用故障樹分析法，構(gòu)造服務(wù)機(jī)器人信息安全測評系統(tǒng)模型架構(gòu)，對硬件接入、數(shù)據(jù)采集、數(shù)據(jù)分析和操作展示進(jìn)行詳細(xì)設(shè)計(jì)，以兼具在線與離線信息安全測評功能。以某迎賓導(dǎo)引服務(wù)機(jī)器人為例，模擬各類攻擊手段，對測評系統(tǒng)模型進(jìn)行了驗(yàn)證實(shí)現(xiàn)，發(fā)現(xiàn)了服務(wù)機(jī)器人通信數(shù)據(jù)未加密、弱口令漏洞等信息安全問題，為后續(xù)服務(wù)機(jī)器人安全應(yīng)用研究奠定了基礎(chǔ)。

關(guān)鍵詞： 服務(wù)機(jī)器人;信息安全;故障樹分析法;測評系統(tǒng)模型;云網(wǎng)系統(tǒng)

引言

當(dāng)前，我國服務(wù)機(jī)器人市場規(guī)?？焖贁U(kuò)大[1]，服務(wù)機(jī)器人新興應(yīng)用場景拓展迅速，產(chǎn)品體系逐漸豐富，在家庭生活、物品配送、健康服務(wù)等領(lǐng)域得以快速落地，越來越多地滲入到人們的日常生活中。

服務(wù)機(jī)器人接入到網(wǎng)絡(luò)環(huán)境中，不可避免地帶來了許多安全問題。據(jù)相關(guān)研究機(jī)構(gòu)披露，在服務(wù)機(jī)器人、工業(yè)機(jī)器人等領(lǐng)域數(shù)十款機(jī)器人中，已發(fā)現(xiàn)近50個安全漏洞，利用這些漏洞，攻擊者可以實(shí)現(xiàn)對用戶的監(jiān)聽及對機(jī)器人安全運(yùn)動范圍的篡改，以竊取用戶隱私、商業(yè)機(jī)密或?qū)τ脩魧?shí)施身體攻擊[2]。某安全軟件公司發(fā)現(xiàn)某一款掃地機(jī)器人存在的安全漏洞“HomeHack”可以獲得機(jī)器人控制權(quán)以及內(nèi)置攝像頭的訪問權(quán)，偷錄用戶家中視頻[3]。可見，服務(wù)機(jī)器人信息安全問題所帶來的安全風(fēng)險(xiǎn)涉及到多個方面。

區(qū)別于傳統(tǒng)IT系統(tǒng)，服務(wù)機(jī)器人結(jié)構(gòu)更為復(fù)雜，傳統(tǒng)的信息收集、漏洞掃描、漏洞利用、提升權(quán)限等信息安全測評方法雖然已較為成熟，但很難完全適用。

本文提出了一種基于故障樹的服務(wù)機(jī)器人信息安全測評系統(tǒng)模型架構(gòu)，采用信息安全故障樹分析法，設(shè)計(jì)了一種兼具在線與離線信息安全測評功能的系統(tǒng)模型，并在服務(wù)機(jī)器人上進(jìn)行了驗(yàn)證實(shí)現(xiàn)。

1? 服務(wù)機(jī)器人信息安全風(fēng)險(xiǎn)分析

由于服務(wù)機(jī)器人存在的安全漏洞可能會被攻擊者利用，而造成人員傷害、隱私泄露等問題，因此確保服務(wù)機(jī)器人的安全性和隱私性至關(guān)重要。目前，已有許多科研機(jī)構(gòu)和學(xué)者陸續(xù)參與到機(jī)器人安全性研究工作中。例如，采用影響及危害性分析方法，基于機(jī)器人元器件的故障模式、故障影響及故障原因進(jìn)行安全性評估[4]。Khalil等對一種機(jī)器人攻擊工具進(jìn)行了研究，采用面向結(jié)果導(dǎo)向的分析方法來評估攻擊結(jié)果[5]。Wojciech等從網(wǎng)絡(luò)物理系統(tǒng)層面出發(fā)，分析了移動服務(wù)機(jī)器人可能面臨的攻擊來源、威脅及后果[6]。李穎等從網(wǎng)絡(luò)安全、主機(jī)安全、終端安全等方面探討了變電站機(jī)器人巡檢系統(tǒng)的信息安全隱患[7]。隨著服務(wù)機(jī)器人的普及應(yīng)用，其安全性問題必將成為今后的研究重點(diǎn)。

1.1? 服務(wù)機(jī)器人安全問題

根據(jù)受侵害對象的不同，服務(wù)機(jī)器人信息安全問題所導(dǎo)致的危害可以分為人身安全、環(huán)境安全、業(yè)務(wù)安全和個人隱私，貫穿服務(wù)機(jī)器人全生命周期。以下結(jié)合不同危害層面對服務(wù)機(jī)器人安全性進(jìn)行分析。

（1）人身安全：使用者通過人機(jī)交互的方式使服務(wù)機(jī)器人執(zhí)行相應(yīng)工作。由于使用者大部分為非專業(yè)人員，因此誤操作、信號干擾等問題可能導(dǎo)致服務(wù)機(jī)器人發(fā)生誤動作，對人身安全造成直接的危害。如果少數(shù)不法分子通過技術(shù)手段對機(jī)器人進(jìn)行劫持、誘騙和操控，所導(dǎo)致的危害不可估量。

（2）環(huán)境安全：對于巡檢、配送等公共服務(wù)機(jī)器人，環(huán)境安全是最主要的安全風(fēng)險(xiǎn)。

（3）業(yè)務(wù)安全：迎賓導(dǎo)引類服務(wù)機(jī)器人已不僅局限于接待功能，為了提高落地應(yīng)用效果，它們已與銀行、稅務(wù)、海關(guān)、交易等多種業(yè)務(wù)系統(tǒng)進(jìn)行了深度對接，實(shí)現(xiàn)業(yè)務(wù)辦理功能。一臺服務(wù)機(jī)器人的信息安全問題可能影響整條業(yè)務(wù)系統(tǒng)，反之信息安全防護(hù)的復(fù)雜性也制約了服務(wù)機(jī)器人與業(yè)務(wù)系統(tǒng)的進(jìn)一步融合。

（4）個人隱私：個人隱私泄露是服務(wù)機(jī)器人信息安全問題中最容易爆發(fā)的安全風(fēng)險(xiǎn)問題，大量的數(shù)據(jù)交互所引發(fā)的個人隱私安全越來越受到人們的重視。

通過分析受侵害對象及服務(wù)場景，總結(jié)服務(wù)機(jī)器人可能存在的信息安全風(fēng)險(xiǎn)點(diǎn)，如表1所示。

1.2? 服務(wù)機(jī)器人信息安全故障樹生成

故障樹分析是一種自上而下的分析方法，通過對可能造成系統(tǒng)故障的軟件、硬件、人為因素、環(huán)境等進(jìn)行分析，生成故障原因的各種可能的組合方式以及產(chǎn)生的概率，由總體至部分，按樹狀結(jié)構(gòu)逐層細(xì)化的一種分析方法[8]。故障樹分析法是信息安全領(lǐng)域的一種典型方法。相比于傳統(tǒng)信息系統(tǒng)，服務(wù)機(jī)器人復(fù)雜性更高，所面臨的攻擊手段和類型更多，因此故障樹分析法不僅可以反映各類安全事件的內(nèi)在邏輯關(guān)系，而且可以綜合反映服務(wù)機(jī)器人存在的安全隱患。

生成故障樹的過程是以服務(wù)機(jī)器人的信息安全需求為目標(biāo)，研究系統(tǒng)故障和導(dǎo)致故障的諸多因素之間的邏輯關(guān)系的過程。服務(wù)機(jī)器人信息安全風(fēng)險(xiǎn)點(diǎn)可看作是故障樹的重大風(fēng)險(xiǎn)事件，稱之為“頂事件”，頂事件的發(fā)生是由若干“中間事件”的邏輯組合所導(dǎo)致的，“中間事件”是各個“底事件”邏輯組成所導(dǎo)致的。頂事件表示結(jié)果，頂事件的發(fā)生意味著服務(wù)機(jī)器人極有可能被攻擊;底事件表示原因，可能包含各類漏洞、版本缺陷、誤操作、正常操作等;中間事件既是下一層事件的結(jié)果，也是上一層事件的原因。服務(wù)機(jī)器人故障樹典型結(jié)構(gòu)如圖1所示。

考慮到服務(wù)機(jī)器人系統(tǒng)的復(fù)雜性，以及各類安全攻擊手段的不確定性，對于當(dāng)前階段的服務(wù)機(jī)器人信息安全測評，應(yīng)更多采用定性分析，具備一定經(jīng)驗(yàn)積累后，再進(jìn)行定量分析。

2? 服務(wù)機(jī)器人信息安全測評系統(tǒng)模型設(shè)計(jì)

2.1? 服務(wù)機(jī)器人典型架構(gòu)分析

2.1.1? 服務(wù)機(jī)器人本體系統(tǒng)架構(gòu)

常見的服務(wù)機(jī)器人本體系統(tǒng)架構(gòu)如圖2所示，控制系統(tǒng)、通信接口、執(zhí)行模塊、各類傳感器、外設(shè)部件及應(yīng)用軟件是其核心組成部分。控制系統(tǒng)一般分為主控制模塊和底盤控制模塊，其中主控制模塊作為服務(wù)器端，主要實(shí)現(xiàn)與底盤控制模塊的通信，并對其所完成的任務(wù)進(jìn)行管理和控制;底盤控制模塊主要實(shí)現(xiàn)傳感器信息的采集分析、機(jī)器人運(yùn)動控制等。目前控制系統(tǒng)搭載的主流機(jī)器人操作系統(tǒng)是Ubuntu、Android和ROS，其中ROS是專門為機(jī)器人設(shè)計(jì)的一套開源操作系統(tǒng)[9]，充當(dāng)通信中間件的角色。通信接口通常包括串口、USB、LAN、無線通信接口等。執(zhí)行模塊主要是驅(qū)動器、電機(jī)，實(shí)現(xiàn)機(jī)器人的運(yùn)動。服務(wù)機(jī)器人集成了激光雷達(dá)、深度相機(jī)、超聲波傳感器等各類傳感器，以及語音模塊、攝像頭、顯示屏等外設(shè)部件，實(shí)現(xiàn)環(huán)境感知與信息交互。應(yīng)用軟件部署在服務(wù)機(jī)器人本體及遠(yuǎn)程操作終端，支持人機(jī)交互功能與操作。

2.1.2? 服務(wù)機(jī)器人云網(wǎng)系統(tǒng)架構(gòu)

隨著云計(jì)算、無線網(wǎng)絡(luò)技術(shù)的發(fā)展，機(jī)器人逐漸與云網(wǎng)系統(tǒng)實(shí)現(xiàn)互連，一方面給服務(wù)機(jī)器人提供了“遠(yuǎn)程大腦”，增強(qiáng)了機(jī)器人自我學(xué)習(xí)能力，降低了本體的運(yùn)算消耗;另一方面給服務(wù)機(jī)器人的多機(jī)協(xié)同和物聯(lián)網(wǎng)接入提供了更多的便利。本文以目前應(yīng)用較多的RSI（Robot Service Initiative）模型為研究對象，該模型包括機(jī)器人、服務(wù)提供商、用戶和環(huán)境。通過該模型，可以實(shí)現(xiàn)控制機(jī)器人、咨詢服務(wù)提供商、與環(huán)境互動并提供機(jī)器人服務(wù)[10]?；谠频姆?wù)機(jī)器人系統(tǒng)架構(gòu)如圖3所示。

2.2? 服務(wù)機(jī)器人信息安全測評系統(tǒng)模型

2.2.1? 信息安全測評系統(tǒng)物理架構(gòu)設(shè)計(jì)

根據(jù)應(yīng)用場景和企業(yè)產(chǎn)品技術(shù)路線的不同，服務(wù)機(jī)器人可能工作在離線狀態(tài)或在線狀態(tài)，同時(shí)考慮到信息安全測評內(nèi)容繁多，無法僅僅在離線或在線狀態(tài)下單獨(dú)完成測評，因此系統(tǒng)需滿足在線和離線兩種情況下交替工作?；诖耍疚脑O(shè)計(jì)一種兼具在線與離線信息安全測評功能的系統(tǒng)模型，測評系統(tǒng)物理架構(gòu)如圖4所示。

信息安全測評系統(tǒng)基本符合傳統(tǒng)C/S架構(gòu)系統(tǒng)，并可滿足分布式和實(shí)時(shí)在線的特點(diǎn)，能夠在網(wǎng)絡(luò)環(huán)境下完成全局?jǐn)?shù)據(jù)同步和版本控制。系統(tǒng)由一個中心服務(wù)器和若干個測評系統(tǒng)節(jié)點(diǎn)組成，在離線環(huán)境下，測評人員可以在測評實(shí)施過程中離線記錄數(shù)據(jù)，可以對節(jié)點(diǎn)形成的數(shù)據(jù)集進(jìn)行維護(hù)，并將其更新至節(jié)點(diǎn)數(shù)據(jù)庫，完成離線數(shù)據(jù)和版本控制操作。通過創(chuàng)建相同版本的測評數(shù)據(jù)，采用數(shù)據(jù)協(xié)同存儲的思路，將數(shù)據(jù)同步至中心服務(wù)器。中心服務(wù)器也可將版本下發(fā)至各個測評系統(tǒng)節(jié)點(diǎn)，完成全局?jǐn)?shù)據(jù)同步和版本管理。

2.2.2? 信息安全測評系統(tǒng)模型接口設(shè)計(jì)

服務(wù)機(jī)器人信息安全測評系統(tǒng)需要與目標(biāo)機(jī)器人進(jìn)行數(shù)據(jù)交互，該模型在設(shè)計(jì)階段需充分考慮接口的豐富性和可操作性，系統(tǒng)支持?jǐn)?shù)據(jù)通信接口類型包括串口、USB、Wi-Fi和有線網(wǎng)口，能夠滿足大部分服務(wù)機(jī)器人信息安全測評需求。

（1）串口接口：串口是嵌入式系統(tǒng)中最常見的調(diào)試接口，由于接口類型和電平不同，該接口無法與測評系統(tǒng)直接相連，需要進(jìn)行接口轉(zhuǎn)換。測評系統(tǒng)側(cè)使用USB轉(zhuǎn)串口模塊，支持TTL連接USB、RS-232連接USB、USB連接USB等串口連接。

（2）USB接口：面向消費(fèi)級市場的服務(wù)機(jī)器人絕大多數(shù)采用Android操作系統(tǒng)，其調(diào)試接口ADB一般采用使用USB接口，所以USB接口屬于信息安全測評中的重要接口。測評系統(tǒng)可根據(jù)機(jī)器人側(cè)不同的USB接口類型，選擇匹配的連接線進(jìn)行連接。

（3）Wi-Fi接口：服務(wù)機(jī)器人通過Wi-Fi連接互聯(lián)網(wǎng)與管理后臺進(jìn)行通信，實(shí)現(xiàn)數(shù)據(jù)上報(bào)、指令下發(fā)等操作。通過定制路由設(shè)備提供Wi-Fi連接，使服務(wù)機(jī)器人接入，測評系統(tǒng)即可實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量捕獲、分析等操作。

（4）有線網(wǎng)絡(luò)接口：對于相對大型的機(jī)器人系統(tǒng)來說，經(jīng)常使用有線網(wǎng)絡(luò)進(jìn)行控制和數(shù)據(jù)交互。定制路由接入設(shè)備提供RJ45接口，服務(wù)機(jī)器人和安全測評系統(tǒng)均可使用網(wǎng)線接入，繼而實(shí)現(xiàn)網(wǎng)絡(luò)連通、數(shù)據(jù)捕獲等操作。

2.2.3? 信息安全測評系統(tǒng)模型架構(gòu)設(shè)計(jì)

服務(wù)機(jī)器人信息安全測評系統(tǒng)模型架構(gòu)如圖5所示，分為硬件接入層、數(shù)據(jù)采集層、數(shù)據(jù)分析層和操作展示層四個層級。硬件接入層提供各硬件接入及轉(zhuǎn)換設(shè)備，連通測評系統(tǒng)和待測服務(wù)機(jī)器人。數(shù)據(jù)采集層實(shí)現(xiàn)安全測試模塊的定制開發(fā)與集成，并從機(jī)器人中提取所需的數(shù)據(jù)。數(shù)據(jù)分析層基于硬件接入和數(shù)據(jù)采集兩部分，執(zhí)行具體的安全檢測任務(wù)。操作展示層提供可視化的數(shù)據(jù)展示以及操作接口，可以直觀地對檢測過程進(jìn)行查看和控制，并對檢測結(jié)果提供報(bào)表生成和預(yù)覽下載等功能。

測評系統(tǒng)模型覆蓋多種硬件接口，可根據(jù)實(shí)際情況與服務(wù)機(jī)器人相連接，后端通過測評系統(tǒng)執(zhí)行具體的檢測任務(wù)。此外，提供用戶界面展示后臺檢測任務(wù)狀態(tài)，用戶通過下發(fā)指令到測評系統(tǒng)，對具體的檢測過程進(jìn)行控制。

表2給出了服務(wù)機(jī)器人信息安全測評系統(tǒng)所具備的核心功能，包含一級功能和二級功能。

3? 服務(wù)機(jī)器人信息安全測評系統(tǒng)模型驗(yàn)證

以國內(nèi)某迎賓導(dǎo)引服務(wù)機(jī)器人系統(tǒng)產(chǎn)品為試驗(yàn)環(huán)境，通過模擬各類攻擊手段，對該測評系統(tǒng)模型進(jìn)行了技術(shù)驗(yàn)證。模型驗(yàn)證技術(shù)路線如圖6所示。

通過開展模型驗(yàn)證的試驗(yàn)工作，發(fā)現(xiàn)服務(wù)機(jī)器人產(chǎn)品存在部分安全隱患?？紤]到數(shù)據(jù)涉及產(chǎn)品關(guān)鍵參數(shù)信息，本文只分析其中部分安全問題，如下：

（1）被測機(jī)器人在進(jìn)行數(shù)據(jù)通信時(shí)采用了明文方式傳輸數(shù)據(jù)，沒有加密措施。攻擊者可以輕易獲得數(shù)據(jù)報(bào)文格式，偽造或篡改控制報(bào)文。

（2）被測機(jī)器人內(nèi)置無線AP用于手動控制。攻擊者利用其弱口令漏洞，可以獲得控制報(bào)文進(jìn)而實(shí)現(xiàn)非法控制。

（3）被測機(jī)器人沒有身份校驗(yàn)機(jī)制，通過其開放的端口可以獲取配置文件信息，包括機(jī)器人Wi-Fi用戶名、密碼、hostname等關(guān)鍵信息，并可直接訪問企業(yè)的管理后臺地址。

（4）被測機(jī)器人基于Windows平臺開發(fā)人機(jī)交互系統(tǒng)，攻擊者可直接通過未禁用的接口進(jìn)入Windows系統(tǒng)，查看Web服務(wù)器配置信息。通過源代碼審計(jì)發(fā)現(xiàn)，產(chǎn)品未對機(jī)器人控制指令做代碼混淆，攻擊者能提取出控制指令，且產(chǎn)品缺乏身份校驗(yàn)機(jī)制，攻擊者可以直接實(shí)現(xiàn)對機(jī)器人的劫持。

結(jié)合故障樹分析法，生成系統(tǒng)信息安全故障樹，如圖7所示。本次試驗(yàn)以非法訪問和控制劫持為“頂事件”P3;以操作系統(tǒng)漏洞、身份校驗(yàn)機(jī)制為“中間事件”P1和P2;以操作系統(tǒng)版本、內(nèi)核版本、接口狀態(tài)、用戶密碼、驗(yàn)證機(jī)制為“底事件”V1、V2、V3、V4、V5，代表系統(tǒng)漏洞。根據(jù)事件發(fā)生的嚴(yán)重程度和概率估計(jì)，故障樹共存在2個與門和1個或門，則系統(tǒng)發(fā)生非法訪問和控制劫持的最小割集有（V1、V3、V4、V5）、（V2、V3、V4、V5）、（V1、V2、V3、V4、V5）。最小割集對應(yīng)了攻擊者可選擇的攻擊路徑。由于底事件發(fā)生概率估值浮動較大，因此本文不做定量分析。

4? 結(jié)論與展望

本文對服務(wù)機(jī)器人的安全現(xiàn)狀、安全風(fēng)險(xiǎn)、信息安全風(fēng)險(xiǎn)點(diǎn)、典型架構(gòu)進(jìn)行了闡述，提出了一種結(jié)合故障樹分析方法的測評系統(tǒng)模型，并進(jìn)行了驗(yàn)證，為后續(xù)服務(wù)機(jī)器人信息安全研究提供了參考。

服務(wù)機(jī)器人信息安全測評系統(tǒng)是集合多種安全技術(shù)、IT技術(shù)、互聯(lián)網(wǎng)技術(shù)于一體的綜合平臺系統(tǒng)，未來將會繼續(xù)向集成化、自動化、智能化趨勢發(fā)展，但是大而全的測評系統(tǒng)往往不具有較好的操作性。隨著我國服務(wù)機(jī)器人安全測評技術(shù)、測評體系的日趨完善，相應(yīng)的測評系統(tǒng)應(yīng)能夠滿足多數(shù)核心功能，從根本上保障服務(wù)機(jī)器人產(chǎn)品開發(fā)及應(yīng)用安全。

參考文獻(xiàn)

[1] 馬良， 尹傳昊， 張佑輝， 等. 2019年中國機(jī)器人產(chǎn)業(yè)發(fā)展報(bào)告[R].

[2] Hacking Robots Before Skynet [OL]. （2017-03-01） [2020-04-14]. https：//ioactive.com/hacking-robots-before-skynet/.

[3] HomeHack： How Hackers Could Have Taken Control of LGs IoT Home Appliances [OL]. （2017-10-26） [2020-04-14]. https：//blog.checkpoint.com/2017/10/26/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/.

[4] 付煜茗. 機(jī)電設(shè)備可靠性理論研究與應(yīng)用[D]. 北京： 北京郵電大學(xué)， 2014.

[5] Khalil A Y ， Anas A M ， Salah G ， et al. Analyzing Cyber-Physical Threats on Robotic Platforms[J]. Sensors， 2018， 18（5）：1643-.

[6] Dudek W， Szynkiewicz W. Cyber-security for Mobile Service Robots – Challenges for Cyber-physical System Safety[J]. Journal of Telecommunications and Information Technology， 2019， 2： 29-36.

[7] 李穎， 陳紀(jì)海， 劉昊. 變電站機(jī)器人巡檢系統(tǒng)信息安全問題的研究與探討[J]. 信息技術(shù)與信息化， 2017（1-2）： 147-150.

[8] 張濤， 胡銘曾， 云曉春. 基于故障樹的計(jì)算機(jī)安全性分析模型[J]. 高技術(shù)通訊， 2005， 15（7）： 18-23.

[9] 朱東晟. 基于ROS室內(nèi)服務(wù)機(jī)器人控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 南京： 南京郵電大學(xué)， 2019.

[10] 張恒， 劉艷麗， 劉大勇. 云機(jī)器人的研究進(jìn)展[J]. 計(jì)算機(jī)應(yīng)用研究， 2014， 31（9）： 2567-2574.