第二屆大會(huì)回顧第11期 | 面向萬(wàn)物智聯(lián)的可信連接關(guān)鍵技術(shù)研究

演講嘉賓 | 張立強(qiáng)

回顧整理 | 廖 濤

排版校對(duì) | 李萍萍

嘉賓介紹

OpenHarmony技術(shù)俱樂(lè)部分論壇

張立強(qiáng)，武漢大學(xué)副教授、國(guó)家網(wǎng)絡(luò)安全學(xué)院信息安全系副主任，武漢大學(xué)OpenHarmony技術(shù)俱樂(lè)部主任，中國(guó)計(jì)算機(jī)學(xué)會(huì)高級(jí)會(huì)員。研究方向?yàn)榭尚庞?jì)算、信息系統(tǒng)安全、安全測(cè)評(píng)等。主持國(guó)家自然科學(xué)基金項(xiàng)目、華為鯤鵬眾智項(xiàng)目等項(xiàng)目10余項(xiàng)，在國(guó)內(nèi)外期刊及會(huì)議上發(fā)表學(xué)術(shù)論文50余篇，翻譯出版譯著2部，參與學(xué)術(shù)著作6部。

視頻回顧

打開(kāi)嗶哩嗶哩APP，觀看更清晰視頻

正文內(nèi)容

隨著5G網(wǎng)絡(luò)、人工智能以及云計(jì)算與容器化等技術(shù)的快速進(jìn)步，物聯(lián)網(wǎng)的能力與邊界已經(jīng)大大地被拓展，“萬(wàn)物智聯(lián)”時(shí)代正在開(kāi)啟。萬(wàn)物智聯(lián)在提高生產(chǎn)力的同時(shí)，承受的安全與可信風(fēng)險(xiǎn)也越大。在萬(wàn)物智聯(lián)場(chǎng)景下，如何通過(guò)可信鏈接保障系統(tǒng)安全？武漢大學(xué)國(guó)家網(wǎng)絡(luò)安全學(xué)院信息安全系副主任、OpenHarmony技術(shù)俱樂(lè)部主任張立強(qiáng)在第二屆OpenHarmony技術(shù)大會(huì)上進(jìn)行了精彩分享。

01

萬(wàn)物智聯(lián)的安全性需求分析

萬(wàn)物智聯(lián)是在萬(wàn)物互聯(lián)的基礎(chǔ)上引出的概念，是具備一定智能的廣泛物聯(lián)網(wǎng)。構(gòu)建萬(wàn)物智聯(lián)存在泛在千兆、確定性體驗(yàn)以及超自動(dòng)化等多維度需求。OpenHarmony是由開(kāi)放原子開(kāi)源基金會(huì)孵化及運(yùn)營(yíng)的開(kāi)源項(xiàng)目，目標(biāo)是面向全場(chǎng)景、全連接、全智能時(shí)代，基于開(kāi)源的方式，搭建一個(gè)智能終端設(shè)備操作系統(tǒng)的框架和平臺(tái)，促進(jìn)萬(wàn)物互聯(lián)產(chǎn)業(yè)的繁榮發(fā)展。基于OpenHarmony的分布式軟總線、分布式數(shù)據(jù)管理、分布式任務(wù)調(diào)度以及設(shè)備虛擬化等關(guān)鍵技術(shù)特性，構(gòu)建“超級(jí)終端”，能夠根據(jù)用戶期望，通過(guò)分布式技術(shù)將多個(gè)設(shè)備組合起來(lái)，使設(shè)備間的硬件資源共享，實(shí)現(xiàn)硬件的“自由”擴(kuò)展。

OpenHarmony的分布式軟總線設(shè)計(jì)是實(shí)現(xiàn)萬(wàn)物智聯(lián)的關(guān)鍵基礎(chǔ)能力之一。分布式軟總線旨在為OpenHarmony系統(tǒng)提供跨進(jìn)程或跨設(shè)備的通信能力，主要包含軟總線和進(jìn)程間通信兩部分：軟總線為應(yīng)用和系統(tǒng)提供近場(chǎng)設(shè)備間分布式通信的能力，提供不區(qū)分通信方式的設(shè)備發(fā)現(xiàn)，連接，組網(wǎng)和傳輸功能；進(jìn)程間通信則提供了對(duì)設(shè)備內(nèi)或設(shè)備間無(wú)差別的進(jìn)程間通信能力。

目前，萬(wàn)物智聯(lián)場(chǎng)景面臨的主要安全威脅有：（1）身份認(rèn)證相關(guān)：密碼破解、令牌竊取、生物識(shí)別攻擊等；（2）設(shè)備認(rèn)證相關(guān)：設(shè)備假冒、物理攻擊、惡意固件攻擊等；（3）網(wǎng)絡(luò)連接相關(guān)：攔截竊聽(tīng)、中間人攻擊、拒絕服務(wù)攻擊等。此外，終端設(shè)備安全能力不均，現(xiàn)有信任模型易出現(xiàn)“木桶效應(yīng)”；分布式數(shù)據(jù)管理使得數(shù)據(jù)安全問(wèn)題更加復(fù)雜，更難防護(hù)；跨設(shè)備調(diào)度為權(quán)限控制、沙箱隔離帶來(lái)了新的挑戰(zhàn)。這些終端設(shè)備安全現(xiàn)狀，使得萬(wàn)物智聯(lián)場(chǎng)景的安全威脅更加突出。

02

可信連接技術(shù)的發(fā)展

什么是可信網(wǎng)絡(luò)連接？萬(wàn)物智聯(lián)場(chǎng)景中，超級(jí)終端通過(guò)網(wǎng)絡(luò)連接不同設(shè)備，但僅靠設(shè)備各自的可信環(huán)境，不足以保護(hù)超級(jí)終端整體，需要引入新的可信機(jī)制。可信網(wǎng)絡(luò)連接（Trusted Network Connection, TNC）既是對(duì)可信平臺(tái)應(yīng)用的擴(kuò)展，又是可信計(jì)算機(jī)制與網(wǎng)絡(luò)接入控制機(jī)制的結(jié)合，旨在將終端的可信延伸到網(wǎng)絡(luò)中，從而確保網(wǎng)絡(luò)連接的可信。自2004年5月TCG建立TNC-SG工作組起，截止2020年，TNC最新的架構(gòu)標(biāo)準(zhǔn)已發(fā)布了v2.0版本，包含近20項(xiàng)細(xì)化的協(xié)議標(biāo)準(zhǔn)。

TNC架構(gòu)主要包括三個(gè)主體、三個(gè)層次以及若干接口控件。三個(gè)主體包括：訪問(wèn)請(qǐng)求者、策略執(zhí)行者、策略定義者；三個(gè)層次包括：完整性度量層、完整性評(píng)估層、網(wǎng)絡(luò)訪問(wèn)層。

針對(duì)物聯(lián)網(wǎng)設(shè)備資源有限、性能低下、規(guī)模龐大等現(xiàn)實(shí)痛點(diǎn)，TNC-SG工作組提出了一種輕量級(jí)可信解決方案——設(shè)備標(biāo)識(shí)符組合引擎DICE。該方案提供了身份保護(hù)、數(shù)據(jù)加密、身份認(rèn)證、可信啟動(dòng)、更新恢復(fù)等功能，并基于UDS鏈?zhǔn)絼?chuàng)建安全啟動(dòng)中每個(gè)層獨(dú)有的機(jī)密信息，各層從上級(jí)接收自身的機(jī)密信息，并安全存儲(chǔ)，各自保密。如果某層出現(xiàn)漏洞、導(dǎo)致機(jī)密信息泄露，可以通過(guò)補(bǔ)丁升級(jí)，系統(tǒng)自動(dòng)為該層生成新的機(jī)密信息，重新保護(hù)。DICE引擎具有以下優(yōu)點(diǎn)：（1）為終端設(shè)備提供了統(tǒng)一的設(shè)備標(biāo)識(shí)機(jī)制，支持設(shè)備證明、安全啟動(dòng)、數(shù)據(jù)保護(hù)等業(yè)務(wù)安全場(chǎng)景，具有良好的安全性、魯棒性、可擴(kuò)展性；（2）兼容現(xiàn)有的安全啟動(dòng)機(jī)制、OTA升級(jí)機(jī)制，靈活度較高；（3）支持基于CDI派生對(duì)稱密鑰實(shí)現(xiàn)快速啟動(dòng)，適用于能力有限的IoT終端設(shè)備。

現(xiàn)有TCP/IP協(xié)議和互聯(lián)網(wǎng)是為互聯(lián)互通而設(shè)計(jì)，沒(méi)有考慮太多的安全控制。任何主機(jī)之間可以相互通信，黑客可以探測(cè)互聯(lián)網(wǎng)絡(luò)中的任意目標(biāo)。隨著數(shù)字化轉(zhuǎn)型的不斷加速，新興技術(shù)與創(chuàng)新業(yè)務(wù)不斷打破企業(yè)原有安全邊界，傳統(tǒng)安全模型“一次驗(yàn)證+靜態(tài)授權(quán)”的風(fēng)險(xiǎn)評(píng)估模式所面臨的安全風(fēng)險(xiǎn)加劇。零信任是一種新的安全模型，區(qū)別于傳統(tǒng)安全模型，零信任基于訪問(wèn)主體身份、網(wǎng)絡(luò)環(huán)境、終端狀態(tài)等信任要素進(jìn)行持續(xù)驗(yàn)證和動(dòng)態(tài)授權(quán)。采用零信任方案，可以統(tǒng)一身份管理，明確身份邊界，實(shí)現(xiàn)動(dòng)態(tài)和細(xì)粒度的安全管控。

在零信任中，有以下3個(gè)關(guān)鍵技術(shù)：（1）軟件定義邊界：軟件定義邊界是一種基于連接的體系架構(gòu)，按需布置邊界，通過(guò)分離訪問(wèn)控制和數(shù)據(jù)通道來(lái)保護(hù)核心資產(chǎn)；（2）訪問(wèn)控制技術(shù)：訪問(wèn)控制技術(shù)是零信任安全模型的重要組成部分，對(duì)身份和權(quán)限進(jìn)行靈活管理，是IT運(yùn)營(yíng)策略的核心；（3）微隔離：在邏輯上劃分為各個(gè)工作負(fù)載級(jí)別的不同安全段，然后定義安全控制并為每個(gè)唯一段提供服務(wù)，支持安全策略的靈活部署。然而，現(xiàn)有零信任技術(shù)仍存在以下不足：

復(fù)雜性和成本：實(shí)施可信連接技術(shù)通常需要額外的硬件、軟件和網(wǎng)絡(luò)配置，這可能會(huì)增加系統(tǒng)的復(fù)雜性和成本。

互操作性問(wèn)題：不同的設(shè)備和系統(tǒng)可能使用不同的可信連接標(biāo)準(zhǔn)和協(xié)議，這可能導(dǎo)致互操作性問(wèn)題。確保不同設(shè)備之間能夠進(jìn)行安全通信可能需要復(fù)雜的集成工作。

依賴于硬件模塊：許多可信連接技術(shù)依賴于硬件安全模塊（如TPM），這可能會(huì)限制其可用性。設(shè)備必須具備這些硬件模塊才能支持可信連接，這對(duì)于一些老舊設(shè)備或低成本設(shè)備來(lái)說(shuō)可能不切實(shí)際。

性能開(kāi)銷：使用可信連接技術(shù)可能引入性能開(kāi)銷，包括增加的計(jì)算和通信開(kāi)銷。這可能對(duì)某些應(yīng)用程序和系統(tǒng)造成影響，尤其是在資源有限的嵌入式設(shè)備上。

03

面向萬(wàn)物智聯(lián)的可信連接關(guān)鍵技術(shù)

面向萬(wàn)物智聯(lián)的可信連接需要解決以下2個(gè)關(guān)鍵問(wèn)題：

身份認(rèn)證問(wèn)題：確保用戶身份的真實(shí)性、合法性和有效性

狀態(tài)認(rèn)證問(wèn)題：確保設(shè)備、應(yīng)用程序或系統(tǒng)的狀態(tài)和完整性

基于可信計(jì)算的證書體系能夠?qū)崿F(xiàn)可信的身份認(rèn)證。將背書密鑰（EK）作為TPM唯一的密碼身份標(biāo)識(shí)。通過(guò)用戶使用的終端中TPM產(chǎn)生的平臺(tái)身份密鑰AIK，基于AIK實(shí)現(xiàn)身份認(rèn)證，然后將背板證書、平臺(tái)證書、一致性證書集中在一起，在可信的第三方PCA進(jìn)行驗(yàn)證后生成AIK證書。

遠(yuǎn)程證明+動(dòng)態(tài)度量的認(rèn)證方案可以實(shí)現(xiàn)可信的狀態(tài)認(rèn)證。遠(yuǎn)程證明是一個(gè)綜合完整性校驗(yàn)和身份鑒別的過(guò)程，向驗(yàn)證者提供了一份可信的平臺(tái)狀態(tài)報(bào)告?？尚哦攘考夹g(shù)為上層可信控制、可信證明、可信網(wǎng)絡(luò)連接的實(shí)現(xiàn)提供基礎(chǔ)支撐。動(dòng)態(tài)度量是指在系統(tǒng)運(yùn)行態(tài)中，對(duì)實(shí)體狀態(tài)及行為進(jìn)行度量。

于OpenHarmony底座，結(jié)合遠(yuǎn)程證明和動(dòng)態(tài)度量技術(shù)，可構(gòu)建全方位可信的連接框架，進(jìn)而實(shí)現(xiàn)設(shè)備身份安全、設(shè)備狀態(tài)可信以及設(shè)備運(yùn)行時(shí)安全。遠(yuǎn)程證明技術(shù)能夠在設(shè)備接入時(shí)，驗(yàn)證設(shè)備是否合法和是否可信；動(dòng)態(tài)度量技術(shù)能夠在設(shè)備接入后對(duì)設(shè)備動(dòng)態(tài)監(jiān)控，保證其在運(yùn)行時(shí)不受攻擊。在具體的設(shè)備認(rèn)證模塊：網(wǎng)絡(luò)訪問(wèn)層需要對(duì)網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者和網(wǎng)絡(luò)訪問(wèn)控制者的用戶身份進(jìn)行鑒別；可信平臺(tái)評(píng)估層需要對(duì)訪問(wèn)請(qǐng)求者和訪問(wèn)控制器的平臺(tái)身份鑒別和平臺(tái)完整性進(jìn)行評(píng)估；完整性度量層需要收集并度量訪問(wèn)請(qǐng)求者和訪問(wèn)控制器平臺(tái)的完整性。

該框架可以應(yīng)用在典型接入場(chǎng)景的應(yīng)用中，如：（1）服務(wù)器下發(fā)臨時(shí)訪問(wèn)密鑰，用臨時(shí)密鑰加密藍(lán)牙連接,并開(kāi)啟可信會(huì)話。服務(wù)器監(jiān)控會(huì)話通信；（2）連接WiFi熱點(diǎn)前,需要驗(yàn)證證明獲得臨時(shí)訪問(wèn)證書。用證書創(chuàng)建安全TLS通道連接WiFi；（3）在NFC感應(yīng)范圍內(nèi),讀取對(duì)方設(shè)備證明,互相驗(yàn)證。驗(yàn)證通過(guò)后連接，自動(dòng)獲取顯示信息并建立會(huì)話密鑰。

可信驗(yàn)證是搭載OpenHarmony的設(shè)備進(jìn)行可信互聯(lián)的基礎(chǔ)平臺(tái)能力，也是保障萬(wàn)物智聯(lián)場(chǎng)景安全的關(guān)鍵。如何基于OpenHarmony底座構(gòu)建全方位可信的連接框架，期待與各位共同學(xué)習(xí)和探討。

「嘉賓材料暫不分享」

E N D

關(guān)注我們，獲取更多精彩。

審核編輯 黃宇