物联网安全不容忽视 嵌入式系统亟需优化

　　安全技术专家布鲁斯-施奈尔(bruce schneier)在《连线》上撰文称，嵌入式系统是物联网的核心技术。物联网在将计算技术带入与人类生活密切相关领域的同时，也向外界敞开了大门，增加了外部攻击的风险。

　　全文如下：

　　安全隐患

　　嵌入式系统是物联网的核心技术。所谓嵌入式系统，就是被嵌入硬件之中的计算技术，从广义上来说就是计算机系统。

　　与PC这样的通用计算机系统不同，嵌入式系统通常只针对某一特殊任务，其核心是由一个或几个预先编程好用来执行少数几项任务的微处理器或单片机组成。因此，设计人员能够对其进行优化，减小尺寸或降低成本，厂家也通常进行大量生产。

　　但问题是，当物联网将计算技术带入与人类生活密切相关的领域，嵌入式系统在提供便利和效益的同时，也向外界敞开了大门，从而增加了来自外部攻击的风险。

　　嵌入式计算系统布满了漏洞，并且没有任何有效的补丁能对其进行修复。毫不夸张的说，嵌入式系统正面临“安全危机”。

　　上世纪90年代，PC产业也曾遭遇类似“危机”。当时的PC行业软件充斥着各种安全漏洞，软件厂商集中精力“隐瞒”事实，错失最佳修复良机。当安全更新发布的时候，如何说服用户去安装，又是另外一个难题。

　　PC产业在过去二十几年里发生了巨大变化。一方面，用户反馈敦促软件商加快安全更新的发布速度。另一方面，自动更新-自动在用户电脑上安装安全更新的功能-也逐渐成为主流。当然，结果也许并不十分完美，但比起90年代时已好上太多。

　　与90年代相比，现下的情况要复杂得多，因为计算机技术较当时已是天差地别。现在，所有设备都是联网的，路由器和调制解调器里的计算机比90年代中期的PC性能还要强大，物联网将所有这些都计算机都变成了消费电子设备。但相比之下，消费电子企业在处理安全问题的能力上远不如PC及软件公司。

　　黑客曾证实，路由器比PC更易被攻破。在全球知名的Def Con大会上，某黑客成功侵入了30款家用路由器中的15款，其中不乏来自知名品牌的知名产品。

　　所以，如果安全问题得不到解决，“灾难”一定会降临。

　　嵌入式系统

　　要更好地理解所谓安全问题，需先了解嵌入式系统市场。

　　一般来说，嵌入式系统的核心是博通、高通、Marvell等公司提供的专用计算机芯片。这些芯片价格低廉，利润空间也很小。除了价格，制造商只能通过功能和带宽来实现差异化，因此常在芯片中“植入”Linux系统，其它开源或专用组件和驱动程序。

　　受控于成本及大批量生产的要求，在出货前，制造商总是尽量精简制造。因此除非真的有必要，否则厂家不会更新BSP(板级支持包)。

　　嵌入式系统制造商-通常是原始设备制造商(ODMs)-根据价格和功能选择芯片，然后制作成路由器、服务器等设备。同样，ODMs也不会做过多设计，有些品牌公司也许会在其中加入用户界面或其它一些功能。