演講嘉賓 | 張立強(qiáng)

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓介紹

OpenHarmony技術(shù)俱樂部分論壇

張立強(qiáng)，武漢大學(xué)副教授、國家網(wǎng)絡(luò)安全學(xué)院信息安全系副主任，武漢大學(xué)OpenHarmony技術(shù)俱樂部主任，中國計算機(jī)學(xué)會高級會員。研究方向為可信計算、信息系統(tǒng)安全、安全測評等。主持國家自然科學(xué)基金項目、華為鯤鵬眾智項目等項目10余項，在國內(nèi)外期刊及會議上發(fā)表學(xué)術(shù)論文50余篇，翻譯出版譯著2部，參與學(xué)術(shù)著作6部。

視頻回顧

打開嗶哩嗶哩APP，觀看更清晰視頻

正文內(nèi)容

隨著5G網(wǎng)絡(luò)、人工智能以及云計算與容器化等技術(shù)的快速進(jìn)步，物聯(lián)網(wǎng)的能力與邊界已經(jīng)大大地被拓展，“萬物智聯(lián)”時代正在開啟。萬物智聯(lián)在提高生產(chǎn)力的同時，承受的安全與可信風(fēng)險也越大。在萬物智聯(lián)場景下，如何通過可信鏈接保障系統(tǒng)安全？武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院信息安全系副主任、OpenHarmony技術(shù)俱樂部主任張立強(qiáng)在第二屆OpenHarmony技術(shù)大會上進(jìn)行了精彩分享。

01

萬物智聯(lián)的安全性需求分析

萬物智聯(lián)是在萬物互聯(lián)的基礎(chǔ)上引出的概念，是具備一定智能的廣泛物聯(lián)網(wǎng)。構(gòu)建萬物智聯(lián)存在泛在千兆、確定性體驗以及超自動化等多維度需求。OpenHarmony是由開放原子開源基金會孵化及運營的開源項目，目標(biāo)是面向全場景、全連接、全智能時代，基于開源的方式，搭建一個智能終端設(shè)備操作系統(tǒng)的框架和平臺，促進(jìn)萬物互聯(lián)產(chǎn)業(yè)的繁榮發(fā)展?；贠penHarmony的分布式軟總線、分布式數(shù)據(jù)管理、分布式任務(wù)調(diào)度以及設(shè)備虛擬化等關(guān)鍵技術(shù)特性，構(gòu)建“超級終端”，能夠根據(jù)用戶期望，通過分布式技術(shù)將多個設(shè)備組合起來，使設(shè)備間的硬件資源共享，實現(xiàn)硬件的“自由”擴(kuò)展。

OpenHarmony的分布式軟總線設(shè)計是實現(xiàn)萬物智聯(lián)的關(guān)鍵基礎(chǔ)能力之一。分布式軟總線旨在為OpenHarmony系統(tǒng)提供跨進(jìn)程或跨設(shè)備的通信能力，主要包含軟總線和進(jìn)程間通信兩部分：軟總線為應(yīng)用和系統(tǒng)提供近場設(shè)備間分布式通信的能力，提供不區(qū)分通信方式的設(shè)備發(fā)現(xiàn)，連接，組網(wǎng)和傳輸功能；進(jìn)程間通信則提供了對設(shè)備內(nèi)或設(shè)備間無差別的進(jìn)程間通信能力。

目前，萬物智聯(lián)場景面臨的主要安全威脅有：（1）身份認(rèn)證相關(guān)：密碼破解、令牌竊取、生物識別攻擊等；（2）設(shè)備認(rèn)證相關(guān)：設(shè)備假冒、物理攻擊、惡意固件攻擊等；（3）網(wǎng)絡(luò)連接相關(guān)：攔截竊聽、中間人攻擊、拒絕服務(wù)攻擊等。此外，終端設(shè)備安全能力不均，現(xiàn)有信任模型易出現(xiàn)“木桶效應(yīng)”；分布式數(shù)據(jù)管理使得數(shù)據(jù)安全問題更加復(fù)雜，更難防護(hù)；跨設(shè)備調(diào)度為權(quán)限控制、沙箱隔離帶來了新的挑戰(zhàn)。這些終端設(shè)備安全現(xiàn)狀，使得萬物智聯(lián)場景的安全威脅更加突出。

02

可信連接技術(shù)的發(fā)展

什么是可信網(wǎng)絡(luò)連接？萬物智聯(lián)場景中，超級終端通過網(wǎng)絡(luò)連接不同設(shè)備，但僅靠設(shè)備各自的可信環(huán)境，不足以保護(hù)超級終端整體，需要引入新的可信機(jī)制。可信網(wǎng)絡(luò)連接（Trusted Network Connection, TNC）既是對可信平臺應(yīng)用的擴(kuò)展，又是可信計算機(jī)制與網(wǎng)絡(luò)接入控制機(jī)制的結(jié)合，旨在將終端的可信延伸到網(wǎng)絡(luò)中，從而確保網(wǎng)絡(luò)連接的可信。自2004年5月TCG建立TNC-SG工作組起，截止2020年，TNC最新的架構(gòu)標(biāo)準(zhǔn)已發(fā)布了v2.0版本，包含近20項細(xì)化的協(xié)議標(biāo)準(zhǔn)。

TNC架構(gòu)主要包括三個主體、三個層次以及若干接口控件。三個主體包括：訪問請求者、策略執(zhí)行者、策略定義者；三個層次包括：完整性度量層、完整性評估層、網(wǎng)絡(luò)訪問層。

針對物聯(lián)網(wǎng)設(shè)備資源有限、性能低下、規(guī)模龐大等現(xiàn)實痛點，TNC-SG工作組提出了一種輕量級可信解決方案——設(shè)備標(biāo)識符組合引擎DICE。該方案提供了身份保護(hù)、數(shù)據(jù)加密、身份認(rèn)證、可信啟動、更新恢復(fù)等功能，并基于UDS鏈?zhǔn)絼?chuàng)建安全啟動中每個層獨有的機(jī)密信息，各層從上級接收自身的機(jī)密信息，并安全存儲，各自保密。如果某層出現(xiàn)漏洞、導(dǎo)致機(jī)密信息泄露，可以通過補(bǔ)丁升級，系統(tǒng)自動為該層生成新的機(jī)密信息，重新保護(hù)。DICE引擎具有以下優(yōu)點：（1）為終端設(shè)備提供了統(tǒng)一的設(shè)備標(biāo)識機(jī)制，支持設(shè)備證明、安全啟動、數(shù)據(jù)保護(hù)等業(yè)務(wù)安全場景，具有良好的安全性、魯棒性、可擴(kuò)展性；（2）兼容現(xiàn)有的安全啟動機(jī)制、OTA升級機(jī)制，靈活度較高；（3）支持基于CDI派生對稱密鑰實現(xiàn)快速啟動，適用于能力有限的IoT終端設(shè)備。

現(xiàn)有TCP/IP協(xié)議和互聯(lián)網(wǎng)是為互聯(lián)互通而設(shè)計，沒有考慮太多的安全控制。任何主機(jī)之間可以相互通信，黑客可以探測互聯(lián)網(wǎng)絡(luò)中的任意目標(biāo)。隨著數(shù)字化轉(zhuǎn)型的不斷加速，新興技術(shù)與創(chuàng)新業(yè)務(wù)不斷打破企業(yè)原有安全邊界，傳統(tǒng)安全模型“一次驗證+靜態(tài)授權(quán)”的風(fēng)險評估模式所面臨的安全風(fēng)險加劇。零信任是一種新的安全模型，區(qū)別于傳統(tǒng)安全模型，零信任基于訪問主體身份、網(wǎng)絡(luò)環(huán)境、終端狀態(tài)等信任要素進(jìn)行持續(xù)驗證和動態(tài)授權(quán)。采用零信任方案，可以統(tǒng)一身份管理，明確身份邊界，實現(xiàn)動態(tài)和細(xì)粒度的安全管控。

在零信任中，有以下3個關(guān)鍵技術(shù)：（1）軟件定義邊界：軟件定義邊界是一種基于連接的體系架構(gòu)，按需布置邊界，通過分離訪問控制和數(shù)據(jù)通道來保護(hù)核心資產(chǎn)；（2）訪問控制技術(shù)：訪問控制技術(shù)是零信任安全模型的重要組成部分，對身份和權(quán)限進(jìn)行靈活管理，是IT運營策略的核心；（3）微隔離：在邏輯上劃分為各個工作負(fù)載級別的不同安全段，然后定義安全控制并為每個唯一段提供服務(wù)，支持安全策略的靈活部署。然而，現(xiàn)有零信任技術(shù)仍存在以下不足：

復(fù)雜性和成本：實施可信連接技術(shù)通常需要額外的硬件、軟件和網(wǎng)絡(luò)配置，這可能會增加系統(tǒng)的復(fù)雜性和成本。

互操作性問題：不同的設(shè)備和系統(tǒng)可能使用不同的可信連接標(biāo)準(zhǔn)和協(xié)議，這可能導(dǎo)致互操作性問題。確保不同設(shè)備之間能夠進(jìn)行安全通信可能需要復(fù)雜的集成工作。

依賴于硬件模塊：許多可信連接技術(shù)依賴于硬件安全模塊（如TPM），這可能會限制其可用性。設(shè)備必須具備這些硬件模塊才能支持可信連接，這對于一些老舊設(shè)備或低成本設(shè)備來說可能不切實際。

性能開銷：使用可信連接技術(shù)可能引入性能開銷，包括增加的計算和通信開銷。這可能對某些應(yīng)用程序和系統(tǒng)造成影響，尤其是在資源有限的嵌入式設(shè)備上。

03

面向萬物智聯(lián)的可信連接關(guān)鍵技術(shù)

面向萬物智聯(lián)的可信連接需要解決以下2個關(guān)鍵問題：

身份認(rèn)證問題：確保用戶身份的真實性、合法性和有效性

狀態(tài)認(rèn)證問題：確保設(shè)備、應(yīng)用程序或系統(tǒng)的狀態(tài)和完整性

基于可信計算的證書體系能夠?qū)崿F(xiàn)可信的身份認(rèn)證。將背書密鑰（EK）作為TPM唯一的密碼身份標(biāo)識。通過用戶使用的終端中TPM產(chǎn)生的平臺身份密鑰AIK，基于AIK實現(xiàn)身份認(rèn)證，然后將背板證書、平臺證書、一致性證書集中在一起，在可信的第三方PCA進(jìn)行驗證后生成AIK證書。

遠(yuǎn)程證明+動態(tài)度量的認(rèn)證方案可以實現(xiàn)可信的狀態(tài)認(rèn)證。遠(yuǎn)程證明是一個綜合完整性校驗和身份鑒別的過程，向驗證者提供了一份可信的平臺狀態(tài)報告?？尚哦攘考夹g(shù)為上層可信控制、可信證明、可信網(wǎng)絡(luò)連接的實現(xiàn)提供基礎(chǔ)支撐。動態(tài)度量是指在系統(tǒng)運行態(tài)中，對實體狀態(tài)及行為進(jìn)行度量。

于OpenHarmony底座，結(jié)合遠(yuǎn)程證明和動態(tài)度量技術(shù)，可構(gòu)建全方位可信的連接框架，進(jìn)而實現(xiàn)設(shè)備身份安全、設(shè)備狀態(tài)可信以及設(shè)備運行時安全。遠(yuǎn)程證明技術(shù)能夠在設(shè)備接入時，驗證設(shè)備是否合法和是否可信；動態(tài)度量技術(shù)能夠在設(shè)備接入后對設(shè)備動態(tài)監(jiān)控，保證其在運行時不受攻擊。在具體的設(shè)備認(rèn)證模塊：網(wǎng)絡(luò)訪問層需要對網(wǎng)絡(luò)訪問請求者和網(wǎng)絡(luò)訪問控制者的用戶身份進(jìn)行鑒別；可信平臺評估層需要對訪問請求者和訪問控制器的平臺身份鑒別和平臺完整性進(jìn)行評估；完整性度量層需要收集并度量訪問請求者和訪問控制器平臺的完整性。

該框架可以應(yīng)用在典型接入場景的應(yīng)用中，如：（1）服務(wù)器下發(fā)臨時訪問密鑰，用臨時密鑰加密藍(lán)牙連接,并開啟可信會話。服務(wù)器監(jiān)控會話通信；（2）連接WiFi熱點前,需要驗證證明獲得臨時訪問證書。用證書創(chuàng)建安全TLS通道連接WiFi；（3）在NFC感應(yīng)范圍內(nèi),讀取對方設(shè)備證明,互相驗證。驗證通過后連接，自動獲取顯示信息并建立會話密鑰。

可信驗證是搭載OpenHarmony的設(shè)備進(jìn)行可信互聯(lián)的基礎(chǔ)平臺能力，也是保障萬物智聯(lián)場景安全的關(guān)鍵。如何基于OpenHarmony底座構(gòu)建全方位可信的連接框架，期待與各位共同學(xué)習(xí)和探討。

「嘉賓材料暫不分享」

E N D

關(guān)注我們，獲取更多精彩。

審核編輯 黃宇