基于故障樹的服務機器人信息安全測評系統模型

李夢瑋 趙曉飛 鞏瀟

摘? ?要： 為了有效開展服務機器人的信息安全測評工作，從受侵害對象、應用場景出發，總結服務機器人信息安全問題所帶來的應用風險，提出一種基于故障樹的服務機器人信息安全分析方法。對服務機器人本體系統、云網系統架構進行分析，應用故障樹分析法，構造服務機器人信息安全測評系統模型架構，對硬件接入、數據采集、數據分析和操作展示進行詳細設計，以兼具在線與離線信息安全測評功能。以某迎賓導引服務機器人為例，模擬各類攻擊手段，對測評系統模型進行了驗證實現，發現了服務機器人通信數據未加密、弱口令漏洞等信息安全問題，為后續服務機器人安全應用研究奠定了基礎。

關鍵詞： 服務機器人;信息安全;故障樹分析法;測評系統模型;云網系統

引言

當前，我國服務機器人市場規模快速擴大[1]，服務機器人新興應用場景拓展迅速，產品體系逐漸豐富，在家庭生活、物品配送、健康服務等領域得以快速落地，越來越多地滲入到人們的日常生活中。

服務機器人接入到網絡環境中，不可避免地帶來了許多安全問題。據相關研究機構披露，在服務機器人、工業機器人等領域數十款機器人中，已發現近50個安全漏洞，利用這些漏洞，攻擊者可以實現對用戶的監聽及對機器人安全運動范圍的篡改，以竊取用戶隱私、商業機密或對用戶實施身體攻擊[2]。某安全軟件公司發現某一款掃地機器人存在的安全漏洞“HomeHack”可以獲得機器人控制權以及內置攝像頭的訪問權，偷錄用戶家中視頻[3]。可見，服務機器人信息安全問題所帶來的安全風險涉及到多個方面。

區別于傳統IT系統，服務機器人結構更為復雜，傳統的信息收集、漏洞掃描、漏洞利用、提升權限等信息安全測評方法雖然已較為成熟，但很難完全適用。

本文提出了一種基于故障樹的服務機器人信息安全測評系統模型架構，采用信息安全故障樹分析法，設計了一種兼具在線與離線信息安全測評功能的系統模型，并在服務機器人上進行了驗證實現。

1? 服務機器人信息安全風險分析

由于服務機器人存在的安全漏洞可能會被攻擊者利用，而造成人員傷害、隱私泄露等問題，因此確保服務機器人的安全性和隱私性至關重要。目前，已有許多科研機構和學者陸續參與到機器人安全性研究工作中。例如，采用影響及危害性分析方法，基于機器人元器件的故障模式、故障影響及故障原因進行安全性評估[4]。Khalil等對一種機器人攻擊工具進行了研究，采用面向結果導向的分析方法來評估攻擊結果[5]。Wojciech等從網絡物理系統層面出發，分析了移動服務機器人可能面臨的攻擊來源、威脅及后果[6]。李穎等從網絡安全、主機安全、終端安全等方面探討了變電站機器人巡檢系統的信息安全隱患[7]。隨著服務機器人的普及應用，其安全性問題必將成為今后的研究重點。

1.1? 服務機器人安全問題

根據受侵害對象的不同，服務機器人信息安全問題所導致的危害可以分為人身安全、環境安全、業務安全和個人隱私，貫穿服務機器人全生命周期。以下結合不同危害層面對服務機器人安全性進行分析。

（1）人身安全：使用者通過人機交互的方式使服務機器人執行相應工作。由于使用者大部分為非專業人員，因此誤操作、信號干擾等問題可能導致服務機器人發生誤動作，對人身安全造成直接的危害。如果少數不法分子通過技術手段對機器人進行劫持、誘騙和操控，所導致的危害不可估量。

（2）環境安全：對于巡檢、配送等公共服務機器人，環境安全是最主要的安全風險。

（3）業務安全：迎賓導引類服務機器人已不僅局限于接待功能，為了提高落地應用效果，它們已與銀行、稅務、海關、交易等多種業務系統進行了深度對接，實現業務辦理功能。一臺服務機器人的信息安全問題可能影響整條業務系統，反之信息安全防護的復雜性也制約了服務機器人與業務系統的進一步融合。

（4）個人隱私：個人隱私泄露是服務機器人信息安全問題中最容易爆發的安全風險問題，大量的數據交互所引發的個人隱私安全越來越受到人們的重視。

通過分析受侵害對象及服務場景，總結服務機器人可能存在的信息安全風險點，如表1所示。

1.2? 服務機器人信息安全故障樹生成

故障樹分析是一種自上而下的分析方法，通過對可能造成系統故障的軟件、硬件、人為因素、環境等進行分析，生成故障原因的各種可能的組合方式以及產生的概率，由總體至部分，按樹狀結構逐層細化的一種分析方法[8]。故障樹分析法是信息安全領域的一種典型方法。相比于傳統信息系統，服務機器人復雜性更高，所面臨的攻擊手段和類型更多，因此故障樹分析法不僅可以反映各類安全事件的內在邏輯關系，而且可以綜合反映服務機器人存在的安全隱患。

生成故障樹的過程是以服務機器人的信息安全需求為目標，研究系統故障和導致故障的諸多因素之間的邏輯關系的過程。服務機器人信息安全風險點可看作是故障樹的重大風險事件，稱之為“頂事件”，頂事件的發生是由若干“中間事件”的邏輯組合所導致的，“中間事件”是各個“底事件”邏輯組成所導致的。頂事件表示結果，頂事件的發生意味著服務機器人極有可能被攻擊;底事件表示原因，可能包含各類漏洞、版本缺陷、誤操作、正常操作等;中間事件既是下一層事件的結果，也是上一層事件的原因。服務機器人故障樹典型結構如圖1所示。

考慮到服務機器人系統的復雜性，以及各類安全攻擊手段的不確定性，對于當前階段的服務機器人信息安全測評，應更多采用定性分析，具備一定經驗積累后，再進行定量分析。

2? 服務機器人信息安全測評系統模型設計

2.1? 服務機器人典型架構分析

2.1.1? 服務機器人本體系統架構

常見的服務機器人本體系統架構如圖2所示，控制系統、通信接口、執行模塊、各類傳感器、外設部件及應用軟件是其核心組成部分。控制系統一般分為主控制模塊和底盤控制模塊，其中主控制模塊作為服務器端，主要實現與底盤控制模塊的通信，并對其所完成的任務進行管理和控制;底盤控制模塊主要實現傳感器信息的采集分析、機器人運動控制等。目前控制系統搭載的主流機器人操作系統是Ubuntu、Android和ROS，其中ROS是專門為機器人設計的一套開源操作系統[9]，充當通信中間件的角色。通信接口通常包括串口、USB、LAN、無線通信接口等。執行模塊主要是驅動器、電機，實現機器人的運動。服務機器人集成了激光雷達、深度相機、超聲波傳感器等各類傳感器，以及語音模塊、攝像頭、顯示屏等外設部件，實現環境感知與信息交互。應用軟件部署在服務機器人本體及遠程操作終端，支持人機交互功能與操作。

2.1.2? 服務機器人云網系統架構

隨著云計算、無線網絡技術的發展，機器人逐漸與云網系統實現互連，一方面給服務機器人提供了“遠程大腦”，增強了機器人自我學習能力，降低了本體的運算消耗;另一方面給服務機器人的多機協同和物聯網接入提供了更多的便利。本文以目前應用較多的RSI（Robot Service Initiative）模型為研究對象，該模型包括機器人、服務提供商、用戶和環境。通過該模型，可以實現控制機器人、咨詢服務提供商、與環境互動并提供機器人服務[10]。基于云的服務機器人系統架構如圖3所示。

2.2? 服務機器人信息安全測評系統模型

2.2.1? 信息安全測評系統物理架構設計

根據應用場景和企業產品技術路線的不同，服務機器人可能工作在離線狀態或在線狀態，同時考慮到信息安全測評內容繁多，無法僅僅在離線或在線狀態下單獨完成測評，因此系統需滿足在線和離線兩種情況下交替工作。基于此，本文設計一種兼具在線與離線信息安全測評功能的系統模型，測評系統物理架構如圖4所示。

信息安全測評系統基本符合傳統C/S架構系統，并可滿足分布式和實時在線的特點，能夠在網絡環境下完成全局數據同步和版本控制。系統由一個中心服務器和若干個測評系統節點組成，在離線環境下，測評人員可以在測評實施過程中離線記錄數據，可以對節點形成的數據集進行維護，并將其更新至節點數據庫，完成離線數據和版本控制操作。通過創建相同版本的測評數據，采用數據協同存儲的思路，將數據同步至中心服務器。中心服務器也可將版本下發至各個測評系統節點，完成全局數據同步和版本管理。

2.2.2? 信息安全測評系統模型接口設計

服務機器人信息安全測評系統需要與目標機器人進行數據交互，該模型在設計階段需充分考慮接口的豐富性和可操作性，系統支持數據通信接口類型包括串口、USB、Wi-Fi和有線網口，能夠滿足大部分服務機器人信息安全測評需求。

（1）串口接口：串口是嵌入式系統中最常見的調試接口，由于接口類型和電平不同，該接口無法與測評系統直接相連，需要進行接口轉換。測評系統側使用USB轉串口模塊，支持TTL連接USB、RS-232連接USB、USB連接USB等串口連接。

（2）USB接口：面向消費級市場的服務機器人絕大多數采用Android操作系統，其調試接口ADB一般采用使用USB接口，所以USB接口屬于信息安全測評中的重要接口。測評系統可根據機器人側不同的USB接口類型，選擇匹配的連接線進行連接。

（3）Wi-Fi接口：服務機器人通過Wi-Fi連接互聯網與管理后臺進行通信，實現數據上報、指令下發等操作。通過定制路由設備提供Wi-Fi連接，使服務機器人接入，測評系統即可實現網絡數據流量捕獲、分析等操作。

（4）有線網絡接口：對于相對大型的機器人系統來說，經常使用有線網絡進行控制和數據交互。定制路由接入設備提供RJ45接口，服務機器人和安全測評系統均可使用網線接入，繼而實現網絡連通、數據捕獲等操作。

2.2.3? 信息安全測評系統模型架構設計

服務機器人信息安全測評系統模型架構如圖5所示，分為硬件接入層、數據采集層、數據分析層和操作展示層四個層級。硬件接入層提供各硬件接入及轉換設備，連通測評系統和待測服務機器人。數據采集層實現安全測試模塊的定制開發與集成，并從機器人中提取所需的數據。數據分析層基于硬件接入和數據采集兩部分，執行具體的安全檢測任務。操作展示層提供可視化的數據展示以及操作接口，可以直觀地對檢測過程進行查看和控制，并對檢測結果提供報表生成和預覽下載等功能。

測評系統模型覆蓋多種硬件接口，可根據實際情況與服務機器人相連接，后端通過測評系統執行具體的檢測任務。此外，提供用戶界面展示后臺檢測任務狀態，用戶通過下發指令到測評系統，對具體的檢測過程進行控制。

表2給出了服務機器人信息安全測評系統所具備的核心功能，包含一級功能和二級功能。

3? 服務機器人信息安全測評系統模型驗證

以國內某迎賓導引服務機器人系統產品為試驗環境，通過模擬各類攻擊手段，對該測評系統模型進行了技術驗證。模型驗證技術路線如圖6所示。

通過開展模型驗證的試驗工作，發現服務機器人產品存在部分安全隱患。考慮到數據涉及產品關鍵參數信息，本文只分析其中部分安全問題，如下：

（1）被測機器人在進行數據通信時采用了明文方式傳輸數據，沒有加密措施。攻擊者可以輕易獲得數據報文格式，偽造或篡改控制報文。

（2）被測機器人內置無線AP用于手動控制。攻擊者利用其弱口令漏洞，可以獲得控制報文進而實現非法控制。

（3）被測機器人沒有身份校驗機制，通過其開放的端口可以獲取配置文件信息，包括機器人Wi-Fi用戶名、密碼、hostname等關鍵信息，并可直接訪問企業的管理后臺地址。

（4）被測機器人基于Windows平臺開發人機交互系統，攻擊者可直接通過未禁用的接口進入Windows系統，查看Web服務器配置信息。通過源代碼審計發現，產品未對機器人控制指令做代碼混淆，攻擊者能提取出控制指令，且產品缺乏身份校驗機制，攻擊者可以直接實現對機器人的劫持。

結合故障樹分析法，生成系統信息安全故障樹，如圖7所示。本次試驗以非法訪問和控制劫持為“頂事件”P3;以操作系統漏洞、身份校驗機制為“中間事件”P1和P2;以操作系統版本、內核版本、接口狀態、用戶密碼、驗證機制為“底事件”V1、V2、V3、V4、V5，代表系統漏洞。根據事件發生的嚴重程度和概率估計，故障樹共存在2個與門和1個或門，則系統發生非法訪問和控制劫持的最小割集有（V1、V3、V4、V5）、（V2、V3、V4、V5）、（V1、V2、V3、V4、V5）。最小割集對應了攻擊者可選擇的攻擊路徑。由于底事件發生概率估值浮動較大，因此本文不做定量分析。

4? 結論與展望

本文對服務機器人的安全現狀、安全風險、信息安全風險點、典型架構進行了闡述，提出了一種結合故障樹分析方法的測評系統模型，并進行了驗證，為后續服務機器人信息安全研究提供了參考。

服務機器人信息安全測評系統是集合多種安全技術、IT技術、互聯網技術于一體的綜合平臺系統，未來將會繼續向集成化、自動化、智能化趨勢發展，但是大而全的測評系統往往不具有較好的操作性。隨著我國服務機器人安全測評技術、測評體系的日趨完善，相應的測評系統應能夠滿足多數核心功能，從根本上保障服務機器人產品開發及應用安全。

參考文獻

[1] 馬良， 尹傳昊， 張佑輝， 等. 2019年中國機器人產業發展報告[R].

[2] Hacking Robots Before Skynet [OL]. （2017-03-01） [2020-04-14]. https：//ioactive.com/hacking-robots-before-skynet/.

[3] HomeHack： How Hackers Could Have Taken Control of LGs IoT Home Appliances [OL]. （2017-10-26） [2020-04-14]. https：//blog.checkpoint.com/2017/10/26/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances/.

[4] 付煜茗. 機電設備可靠性理論研究與應用[D]. 北京： 北京郵電大學， 2014.

[5] Khalil A Y ， Anas A M ， Salah G ， et al. Analyzing Cyber-Physical Threats on Robotic Platforms[J]. Sensors， 2018， 18（5）：1643-.

[6] Dudek W， Szynkiewicz W. Cyber-security for Mobile Service Robots – Challenges for Cyber-physical System Safety[J]. Journal of Telecommunications and Information Technology， 2019， 2： 29-36.

[7] 李穎， 陳紀海， 劉昊. 變電站機器人巡檢系統信息安全問題的研究與探討[J]. 信息技術與信息化， 2017（1-2）： 147-150.

[8] 張濤， 胡銘曾， 云曉春. 基于故障樹的計算機安全性分析模型[J]. 高技術通訊， 2005， 15（7）： 18-23.

[9] 朱東晟. 基于ROS室內服務機器人控制系統的設計與實現[D]. 南京： 南京郵電大學， 2019.

[10] 張恒， 劉艷麗， 劉大勇. 云機器人的研究進展[J]. 計算機應用研究， 2014， 31（9）： 2567-2574.