演講嘉賓 | 張立強

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓介紹

OpenHarmony技術俱樂部分論壇

張立強，武漢大學副教授、國家網絡安全學院信息安全系副主任，武漢大學OpenHarmony技術俱樂部主任，中國計算機學會高級會員。研究方向為可信計算、信息系統安全、安全測評等。主持國家自然科學基金項目、華為鯤鵬眾智項目等項目10余項，在國內外期刊及會議上發表學術論文50余篇，翻譯出版譯著2部，參與學術著作6部。

視頻回顧

打開嗶哩嗶哩APP，觀看更清晰視頻

正文內容

隨著5G網絡、人工智能以及云計算與容器化等技術的快速進步，物聯網的能力與邊界已經大大地被拓展，“萬物智聯”時代正在開啟。萬物智聯在提高生產力的同時，承受的安全與可信風險也越大。在萬物智聯場景下，如何通過可信鏈接保障系統安全？武漢大學國家網絡安全學院信息安全系副主任、OpenHarmony技術俱樂部主任張立強在第二屆OpenHarmony技術大會上進行了精彩分享。

01

萬物智聯的安全性需求分析

萬物智聯是在萬物互聯的基礎上引出的概念，是具備一定智能的廣泛物聯網。構建萬物智聯存在泛在千兆、確定性體驗以及超自動化等多維度需求。OpenHarmony是由開放原子開源基金會孵化及運營的開源項目，目標是面向全場景、全連接、全智能時代，基于開源的方式，搭建一個智能終端設備操作系統的框架和平臺，促進萬物互聯產業的繁榮發展。基于OpenHarmony的分布式軟總線、分布式數據管理、分布式任務調度以及設備虛擬化等關鍵技術特性，構建“超級終端”，能夠根據用戶期望，通過分布式技術將多個設備組合起來，使設備間的硬件資源共享，實現硬件的“自由”擴展。

OpenHarmony的分布式軟總線設計是實現萬物智聯的關鍵基礎能力之一。分布式軟總線旨在為OpenHarmony系統提供跨進程或跨設備的通信能力，主要包含軟總線和進程間通信兩部分：軟總線為應用和系統提供近場設備間分布式通信的能力，提供不區分通信方式的設備發現，連接，組網和傳輸功能；進程間通信則提供了對設備內或設備間無差別的進程間通信能力。

目前，萬物智聯場景面臨的主要安全威脅有：（1）身份認證相關：密碼破解、令牌竊取、生物識別攻擊等；（2）設備認證相關：設備假冒、物理攻擊、惡意固件攻擊等；（3）網絡連接相關：攔截竊聽、中間人攻擊、拒絕服務攻擊等。此外，終端設備安全能力不均，現有信任模型易出現“木桶效應”；分布式數據管理使得數據安全問題更加復雜，更難防護；跨設備調度為權限控制、沙箱隔離帶來了新的挑戰。這些終端設備安全現狀，使得萬物智聯場景的安全威脅更加突出。

02

可信連接技術的發展

什么是可信網絡連接？萬物智聯場景中，超級終端通過網絡連接不同設備，但僅靠設備各自的可信環境，不足以保護超級終端整體，需要引入新的可信機制。可信網絡連接（Trusted Network Connection, TNC）既是對可信平臺應用的擴展，又是可信計算機制與網絡接入控制機制的結合，旨在將終端的可信延伸到網絡中，從而確保網絡連接的可信。自2004年5月TCG建立TNC-SG工作組起，截止2020年，TNC最新的架構標準已發布了v2.0版本，包含近20項細化的協議標準。

TNC架構主要包括三個主體、三個層次以及若干接口控件。三個主體包括：訪問請求者、策略執行者、策略定義者；三個層次包括：完整性度量層、完整性評估層、網絡訪問層。

針對物聯網設備資源有限、性能低下、規模龐大等現實痛點，TNC-SG工作組提出了一種輕量級可信解決方案——設備標識符組合引擎DICE。該方案提供了身份保護、數據加密、身份認證、可信啟動、更新恢復等功能，并基于UDS鏈式創建安全啟動中每個層獨有的機密信息，各層從上級接收自身的機密信息，并安全存儲，各自保密。如果某層出現漏洞、導致機密信息泄露，可以通過補丁升級，系統自動為該層生成新的機密信息，重新保護。DICE引擎具有以下優點：（1）為終端設備提供了統一的設備標識機制，支持設備證明、安全啟動、數據保護等業務安全場景，具有良好的安全性、魯棒性、可擴展性；（2）兼容現有的安全啟動機制、OTA升級機制，靈活度較高；（3）支持基于CDI派生對稱密鑰實現快速啟動，適用于能力有限的IoT終端設備。

現有TCP/IP協議和互聯網是為互聯互通而設計，沒有考慮太多的安全控制。任何主機之間可以相互通信，黑客可以探測互聯網絡中的任意目標。隨著數字化轉型的不斷加速，新興技術與創新業務不斷打破企業原有安全邊界，傳統安全模型“一次驗證+靜態授權”的風險評估模式所面臨的安全風險加劇。零信任是一種新的安全模型，區別于傳統安全模型，零信任基于訪問主體身份、網絡環境、終端狀態等信任要素進行持續驗證和動態授權。采用零信任方案，可以統一身份管理，明確身份邊界，實現動態和細粒度的安全管控。

在零信任中，有以下3個關鍵技術：（1）軟件定義邊界：軟件定義邊界是一種基于連接的體系架構，按需布置邊界，通過分離訪問控制和數據通道來保護核心資產；（2）訪問控制技術：訪問控制技術是零信任安全模型的重要組成部分，對身份和權限進行靈活管理，是IT運營策略的核心；（3）微隔離：在邏輯上劃分為各個工作負載級別的不同安全段，然后定義安全控制并為每個唯一段提供服務，支持安全策略的靈活部署。然而，現有零信任技術仍存在以下不足：

復雜性和成本：實施可信連接技術通常需要額外的硬件、軟件和網絡配置，這可能會增加系統的復雜性和成本。

互操作性問題：不同的設備和系統可能使用不同的可信連接標準和協議，這可能導致互操作性問題。確保不同設備之間能夠進行安全通信可能需要復雜的集成工作。

依賴于硬件模塊：許多可信連接技術依賴于硬件安全模塊（如TPM），這可能會限制其可用性。設備必須具備這些硬件模塊才能支持可信連接，這對于一些老舊設備或低成本設備來說可能不切實際。

性能開銷：使用可信連接技術可能引入性能開銷，包括增加的計算和通信開銷。這可能對某些應用程序和系統造成影響，尤其是在資源有限的嵌入式設備上。

03

面向萬物智聯的可信連接關鍵技術

面向萬物智聯的可信連接需要解決以下2個關鍵問題：

身份認證問題：確保用戶身份的真實性、合法性和有效性

狀態認證問題：確保設備、應用程序或系統的狀態和完整性

基于可信計算的證書體系能夠實現可信的身份認證。將背書密鑰（EK）作為TPM唯一的密碼身份標識。通過用戶使用的終端中TPM產生的平臺身份密鑰AIK，基于AIK實現身份認證，然后將背板證書、平臺證書、一致性證書集中在一起，在可信的第三方PCA進行驗證后生成AIK證書。

遠程證明+動態度量的認證方案可以實現可信的狀態認證。遠程證明是一個綜合完整性校驗和身份鑒別的過程，向驗證者提供了一份可信的平臺狀態報告。可信度量技術為上層可信控制、可信證明、可信網絡連接的實現提供基礎支撐。動態度量是指在系統運行態中，對實體狀態及行為進行度量。

于OpenHarmony底座，結合遠程證明和動態度量技術，可構建全方位可信的連接框架，進而實現設備身份安全、設備狀態可信以及設備運行時安全。遠程證明技術能夠在設備接入時，驗證設備是否合法和是否可信；動態度量技術能夠在設備接入后對設備動態監控，保證其在運行時不受攻擊。在具體的設備認證模塊：網絡訪問層需要對網絡訪問請求者和網絡訪問控制者的用戶身份進行鑒別；可信平臺評估層需要對訪問請求者和訪問控制器的平臺身份鑒別和平臺完整性進行評估；完整性度量層需要收集并度量訪問請求者和訪問控制器平臺的完整性。

該框架可以應用在典型接入場景的應用中，如：（1）服務器下發臨時訪問密鑰，用臨時密鑰加密藍牙連接,并開啟可信會話。服務器監控會話通信；（2）連接WiFi熱點前,需要驗證證明獲得臨時訪問證書。用證書創建安全TLS通道連接WiFi；（3）在NFC感應范圍內,讀取對方設備證明,互相驗證。驗證通過后連接，自動獲取顯示信息并建立會話密鑰。

可信驗證是搭載OpenHarmony的設備進行可信互聯的基礎平臺能力，也是保障萬物智聯場景安全的關鍵。如何基于OpenHarmony底座構建全方位可信的連接框架，期待與各位共同學習和探討。

「嘉賓材料暫不分享」

E N D

關注我們，獲取更多精彩。

審核編輯 黃宇