4月16日，OpenHarmony城市技術(shù)論壇（以下簡(jiǎn)稱為“技術(shù)論壇”）【第1站】——上海站于上海黃大年茶思屋圓滿舉辦。本次技術(shù)論壇從“終端操作系統(tǒng)十大技術(shù)挑戰(zhàn)”出發(fā)，將主題聚焦在“操作系統(tǒng)安全與可靠”，從學(xué)術(shù)界和工業(yè)界的多個(gè)維度，討論全棧協(xié)同的操作系統(tǒng)安全增強(qiáng)、隱私保護(hù)和可靠性提升的方法，以更好地應(yīng)對(duì)物聯(lián)網(wǎng)時(shí)代設(shè)備、網(wǎng)絡(luò)和應(yīng)用安全面臨的巨大挑戰(zhàn)。

本次技術(shù)論壇由OpenHarmony技術(shù)指導(dǎo)委員會(huì)主辦，上海交通大學(xué)OpenHarmony技術(shù)俱樂部承辦，上海黃大年茶思屋支持。上海交通大學(xué)OpenHarmony技術(shù)俱樂部主任夏虞斌教授擔(dān)任本次技術(shù)論壇出品人，并邀請(qǐng)到多位技術(shù)專家來到上海黃大年茶思屋現(xiàn)場(chǎng)進(jìn)行技術(shù)報(bào)告，包括OpenHarmony技術(shù)指導(dǎo)委員會(huì)主席、IEEE Fellow、上海交通大學(xué)特聘教授陳海波，中科院軟件所副所長(zhǎng)、OpenHarmony技術(shù)指導(dǎo)委員會(huì)委員武延軍，華為可信領(lǐng)域副首席科學(xué)家、OpenHarmony技術(shù)指導(dǎo)委員會(huì)安全及機(jī)密計(jì)算TSG負(fù)責(zé)人付天福，華東師范大學(xué)教授石亮，復(fù)旦大學(xué)高級(jí)工程師蔣金虎，南京大學(xué)副教授蔣炎巖，復(fù)旦大學(xué)副教授楊哲慜，浙江大學(xué)百人計(jì)劃研究員申文博，OpenHarmony安全及機(jī)密計(jì)算TSG成員、華為中央軟件院OS內(nèi)核實(shí)驗(yàn)室iTrustee安全OS團(tuán)隊(duì)SEG Leader王季，上海交通大學(xué)助理研究員糜澤羽，上海交通大學(xué)助理研究員華志超。

合影留念

論壇出品人&主持人上海交通大學(xué)夏虞斌教授

OpenHarmony技術(shù)指導(dǎo)委員會(huì)主席，IEEE Fellow，上海交通大學(xué)特聘教授陳海波從“操作系統(tǒng)安全的橫向與縱向”這兩個(gè)維度與我們分享了系統(tǒng)安全的方法論，探討了當(dāng)前我們面臨的主要挑戰(zhàn)。操作系統(tǒng)伴隨著產(chǎn)業(yè)浪潮誕生與發(fā)展，如今已經(jīng)到了萬物智聯(lián)的時(shí)代。OpenHarmony朝著萬物智聯(lián)的場(chǎng)景化和生態(tài)化邁進(jìn)，需要解決來自終端操作系統(tǒng)的三類技術(shù)挑戰(zhàn)，分別是極致體驗(yàn)、純凈安全、極簡(jiǎn)開發(fā)。為了解決純凈安全這一挑戰(zhàn)，系統(tǒng)安全設(shè)計(jì)人員需要設(shè)定合理的安全目標(biāo)，并設(shè)定對(duì)應(yīng)的威脅模型，比如預(yù)料可能的攻擊者、評(píng)估攻擊的經(jīng)濟(jì)成本等。陳海波教授討論了兩個(gè)系統(tǒng)安全增強(qiáng)的方法，其一是減少可信基的大小，提升可信基安全性，比如微內(nèi)核架構(gòu)的模塊化隔離設(shè)計(jì)；另一個(gè)是提供更有效的安全隔離方法，如利用領(lǐng)域特定的軟硬件協(xié)同，形成縱深防御，以及借助異構(gòu)硬件的安全互助，構(gòu)成更強(qiáng)的聯(lián)防聯(lián)控網(wǎng)絡(luò)。

OpenHarmony技術(shù)指導(dǎo)委員會(huì)主席，IEEE Fellow，上海交通大學(xué)特聘教授陳海波

在“操作系統(tǒng)安全：開源軟件供應(yīng)鏈的視角”中，中科院軟件所副所長(zhǎng)、OpenHarmony技術(shù)指導(dǎo)委員會(huì)委員武延軍分享了開源模式下操作系統(tǒng)構(gòu)建的本質(zhì)：一個(gè)成熟的商業(yè)操作系統(tǒng)（以安卓為例）需要對(duì)數(shù)以萬計(jì)的軟件包進(jìn)行嚴(yán)格的供應(yīng)鏈管控。他強(qiáng)調(diào)，開源模式下構(gòu)建操作系統(tǒng)的本質(zhì)是對(duì)開源軟件的供應(yīng)鏈整合優(yōu)化，即“選取好用的、優(yōu)化可用的、補(bǔ)齊缺失”的，根據(jù)相互依賴關(guān)系、按照層次和順序進(jìn)行編譯構(gòu)建。因此，操作系統(tǒng)安全首先要解決供應(yīng)鏈安全問題。目前開源軟件供應(yīng)鏈面臨著“漏洞傳播快”、“供應(yīng)鏈投毒”、“上游斷檔或者任性升級(jí)甚至跑路”，以及“發(fā)展過快、規(guī)模過大、難以管理”等多維度的嚴(yán)峻挑戰(zhàn)。武延軍副所長(zhǎng)介紹了2019年在中科院先導(dǎo)專項(xiàng)支持下開展的開源軟件基礎(chǔ)設(shè)施——“源圖”平臺(tái)的建設(shè)情況。“源圖”目前已經(jīng)服務(wù)了openEuler漏洞感知、OpenHarmony供應(yīng)鏈關(guān)鍵環(huán)節(jié)評(píng)級(jí)、RISC-V 軟件生態(tài)“卡位”支撐等重要領(lǐng)域。他展望道，隨著供應(yīng)鏈整合的成功，操作系統(tǒng)的安全問題也會(huì)逐漸收斂。

中科院軟件所副所長(zhǎng)、OpenHarmony技術(shù)指導(dǎo)委員會(huì)委員武延軍

隨著移動(dòng)IoT設(shè)備的快速發(fā)展，特別是隨著鴻蒙操作系統(tǒng)的廣泛部署，基于消費(fèi)終端的跨設(shè)備管理變得越來越普遍。基于此，華東師范大學(xué)教授石亮給我們帶來了“消費(fèi)操作系統(tǒng)跨設(shè)備場(chǎng)景的安全與可靠性初探”的技術(shù)報(bào)告。他介紹到，通過跨設(shè)備能夠在處理更多任務(wù)的同時(shí)實(shí)現(xiàn)設(shè)備間協(xié)同訪問和管理的能力，然而，現(xiàn)有的跨設(shè)備管理依然存在諸多問題，特別是當(dāng)網(wǎng)絡(luò)環(huán)境不穩(wěn)定的場(chǎng)景下，如何保障跨設(shè)備訪問的可靠與安全變得至關(guān)重要。為了解決以上問題，石亮教授及他的團(tuán)隊(duì)從文件系統(tǒng)、內(nèi)存管理和進(jìn)程管理三個(gè)角度展開研究，設(shè)計(jì)了跨設(shè)備的分布式文件系統(tǒng)、跨設(shè)備的內(nèi)存協(xié)同以及跨設(shè)備的進(jìn)程調(diào)度技術(shù)，探索從跨設(shè)備的角度研究操作系統(tǒng)安全與可靠性的解決方案，從而保障數(shù)據(jù)訪問的可靠性。未來，他們將展開更多關(guān)于安全性的相關(guān)技術(shù)研究。

華東師范大學(xué)教授石亮

南京大學(xué)副教授蔣炎巖分享了“Mosaic操作系統(tǒng)模型和檢查器”。他談到，長(zhǎng)久以來，《操作系統(tǒng)》課程由于其貫穿計(jì)算機(jī)軟硬件系統(tǒng)棧的特點(diǎn)，被普遍認(rèn)為是一門概念松散、重視實(shí)踐經(jīng)驗(yàn)的課程。“如何構(gòu)建正確的系統(tǒng)軟件”這一操作系統(tǒng)研究領(lǐng)域的重要問題往往在課堂中被忽略。蔣炎巖副教授在報(bào)告中介紹了一個(gè)功能完整的精簡(jiǎn)操作系統(tǒng)模型和檢查器的設(shè)計(jì)與實(shí)現(xiàn)，即Mosaic。該報(bào)告拆解了其建模進(jìn)程、線程、持久存儲(chǔ)的過程，并描述了它的9個(gè)系統(tǒng)調(diào)用。最后，他還演示了如何把“非形式”的形式化方法貫穿到操作系統(tǒng)教學(xué)中，為更多老師提供了教學(xué)方法借鑒。

南京大學(xué)副教授蔣炎巖

上海交通大學(xué)助理研究員糜澤羽老師在“DuVisor：軟硬協(xié)同的用戶態(tài)Hypervisor”報(bào)告中介紹到，目前主流的系統(tǒng)虛擬化系統(tǒng)由兩部分組成：使用硬件虛擬化的內(nèi)核駐留程序，和提供虛擬機(jī)管理和I/O虛擬化的用戶態(tài)進(jìn)程。這種虛擬化架構(gòu)在安全性和性能方面都存在問題。先前工作將內(nèi)核功能卸載到用戶態(tài)以最小化內(nèi)核部分，盡管更多的卸載可以減少內(nèi)核的攻擊面，但卻增加了內(nèi)核態(tài)與用戶態(tài)之間的模式切換，增加了虛擬化系統(tǒng)的性能開銷，因此這種設(shè)計(jì)面臨著安全與性能的權(quán)衡。糜澤羽老師在報(bào)告中介紹了一種軟硬件結(jié)合的新型虛擬化系統(tǒng)設(shè)計(jì)，它將內(nèi)核駐留程序參與的控制平面與用戶態(tài)進(jìn)程的數(shù)據(jù)平面完全分開，從而消除了內(nèi)核在虛擬機(jī)運(yùn)行時(shí)的干預(yù)。基于這種設(shè)計(jì)而實(shí)現(xiàn)的用戶態(tài)虛擬機(jī)監(jiān)控器DuVisor，可以直接在用戶態(tài)處理幾乎所有的虛擬機(jī)下陷，包括在用戶態(tài)配置虛擬機(jī)寄存器，管理第二階段頁表并實(shí)現(xiàn)高效的I/O虛擬化。目前，糜老師的團(tuán)隊(duì)已經(jīng)在一個(gè)開源的RISC-V CPU上實(shí)現(xiàn)了硬件擴(kuò)展，并構(gòu)建了基于Rust的虛擬機(jī)監(jiān)控器，據(jù)FireSim平臺(tái)的評(píng)估數(shù)據(jù)顯示，DuVisor給應(yīng)用帶來的開銷低于5%。

上海交通大學(xué)助理研究員糜澤羽

在“基于分級(jí)安全的OpenHarmony架構(gòu)設(shè)計(jì)”報(bào)告中，華為可信領(lǐng)域副首席科學(xué)家、OpenHarmony技術(shù)指導(dǎo)委員會(huì)安全及機(jī)密計(jì)算TSG負(fù)責(zé)人付天福提出，“分級(jí)安全理論是OpenHarmony安全架構(gòu)的核心邏輯，即確保正確的人（主體），用正確的設(shè)備（環(huán)境），正確地使用數(shù)據(jù)（客體）。”基于此，他向大家展開介紹了程序分級(jí)管理的實(shí)現(xiàn)邏輯、OpenHarmony系統(tǒng)中的數(shù)據(jù)分級(jí)安全架構(gòu)和防泄漏機(jī)制及其應(yīng)用場(chǎng)景，其中，他重點(diǎn)分享了對(duì)于絕密數(shù)據(jù)如何保證不泄密的分布式門限密碼架構(gòu)。

華為可信領(lǐng)域副首席科學(xué)家付天福

隨著計(jì)算范圍邊界的拓展，未來邊緣計(jì)算、云邊端協(xié)同計(jì)算、泛在計(jì)算等成為趨勢(shì)。這些計(jì)算具有硬件屬性多、服務(wù)需求多和低安全性的特點(diǎn)，需要操作系統(tǒng)具有多場(chǎng)景、高可靠和高安全機(jī)制。然而，當(dāng)前主流操作系統(tǒng)無法為這些應(yīng)用提供有效的支撐。基于此背景，復(fù)旦大學(xué)高級(jí)工程師蔣金虎老師分享了“面向多場(chǎng)景、高可靠和高安全的多內(nèi)核操作系統(tǒng)研究”報(bào)告。該報(bào)告圍繞研究多屬性內(nèi)核、多內(nèi)核架構(gòu)、資源虛擬化以實(shí)現(xiàn)對(duì)多樣化硬件的高效適配以及復(fù)雜場(chǎng)景的高可靠支持、研究核間通信和共識(shí)機(jī)制以實(shí)現(xiàn)操作系統(tǒng)內(nèi)生安全屬性支持的部分案例及成果展開。蔣金虎老師希望，他們的研究能夠?qū)ξ磥聿僮飨到y(tǒng)發(fā)展貢獻(xiàn)力量。

復(fù)旦大學(xué)高級(jí)工程師蔣金虎

在“iTrustee安全OS的發(fā)展與演進(jìn)”中，OpenHarmony技術(shù)指導(dǎo)委員會(huì)安全及機(jī)密計(jì)算TSG成員、華為中央軟件院OS內(nèi)核實(shí)驗(yàn)室iTrustee安全OS團(tuán)隊(duì)SEG Leader王季分享了華為iTrustee自研安全OS從0到1的構(gòu)建和發(fā)展路徑、目前拓展機(jī)密計(jì)算領(lǐng)域的思路以及未來擺脫硬件約束，從封閉走向開放，解決數(shù)據(jù)流轉(zhuǎn)安全的新形態(tài)安全OS規(guī)劃。

OpenHarmony技術(shù)指導(dǎo)委員會(huì)安全及機(jī)密計(jì)算TSG成員、華為中央軟件院OS內(nèi)核實(shí)驗(yàn)室iTrustee安全OS團(tuán)隊(duì)SEG Leader王季

復(fù)旦大學(xué)楊哲慜副教授在“移動(dòng)平臺(tái)跨用戶隱私數(shù)據(jù)分享的安全問題”報(bào)告中介紹到，數(shù)據(jù)信息時(shí)代下，“個(gè)人信息收集”現(xiàn)象廣泛存在于各個(gè)應(yīng)用程序內(nèi)，伴隨移動(dòng)平臺(tái)的業(yè)務(wù)延展，大量應(yīng)用選擇將用戶數(shù)據(jù)推薦、共享給其他用戶，形成個(gè)人信息傳播鏈的新環(huán)節(jié)：跨用戶個(gè)人信息分享。為了識(shí)別移動(dòng)應(yīng)用過度分享用戶個(gè)人信息，造成用戶隱私泄露隱患等一系列安全缺陷，楊哲慜副教授及他的團(tuán)隊(duì)提出了一種基于靜態(tài)程序分析，結(jié)合機(jī)器學(xué)習(xí)的跨用戶數(shù)據(jù)分享安全評(píng)估方法。具體而言，他們采用雙向程序切片技術(shù)定位用戶敏感數(shù)據(jù)，結(jié)合機(jī)器學(xué)習(xí)識(shí)別跨用戶信息，并通過應(yīng)用程序的行為不一致性發(fā)現(xiàn)潛在安全漏洞。通過此方法，他們?cè)?3,820款受測(cè)移動(dòng)應(yīng)用中發(fā)現(xiàn)了1,902款應(yīng)用(13.76%)存在隱私泄露風(fēng)險(xiǎn)，為移動(dòng)平臺(tái)的進(jìn)一步隱私安全治理提供了參考。

復(fù)旦大學(xué)副教授楊哲慜

以容器為核心的云原生技術(shù)具有效率高、啟動(dòng)快、部署靈活等優(yōu)勢(shì)，近年來獲得了大規(guī)模應(yīng)用，已成為云計(jì)算的關(guān)鍵支撐技術(shù)。云原生系統(tǒng)主要依賴操作系統(tǒng)內(nèi)核機(jī)制進(jìn)行容器隔離和資源限制。然而，當(dāng)前支撐云原生的關(guān)鍵內(nèi)核機(jī)制缺乏系統(tǒng)性的安全分析，對(duì)資源的隔離和限制性不足。針對(duì)這些問題，浙江大學(xué)百人計(jì)劃研究員申文博老師介紹了他及他的團(tuán)隊(duì)關(guān)于容器資源隔離和限制的兩項(xiàng)研究工作。在容器資源隔離方面，他們揭示了操作系統(tǒng)級(jí)虛擬化的固有問題——共享內(nèi)核變量和數(shù)據(jù)結(jié)構(gòu)。這些共享抽象資源可被用于攻擊操作系統(tǒng)所有主要功能，甚至直接攻擊所有主流操作系統(tǒng)。在容器資源限制方面，他們系統(tǒng)性地分析了Linux內(nèi)核內(nèi)存記賬缺失漏洞，找出了53個(gè)記賬缺失漏洞，修復(fù)了37個(gè)，獲得了兩個(gè)CVE編號(hào)：CVE-2021-3759和CVE-2022-0480。

浙江大學(xué)百人計(jì)劃研究員申文博

隔離是提高操作系統(tǒng)安全性的重要機(jī)制。上海交通大學(xué)助理研究員華志超老師在“面向操作系統(tǒng)細(xì)粒度隔離的權(quán)限管控架構(gòu)”中介紹到，隔離機(jī)制通過控制對(duì)軟件和硬件資源的訪問權(quán)限，將單一龐大的操作系統(tǒng)內(nèi)核解耦為多個(gè)相互隔離的組件，并實(shí)施最小權(quán)限原則。細(xì)粒度的隔離能夠精確管控操作系統(tǒng)不同模塊的權(quán)限，從而提升系統(tǒng)的整體安全性。然而，現(xiàn)有的操作系統(tǒng)隔離工作主要關(guān)注內(nèi)存隔離，而忽略了指令與寄存器資源（即ISA資源），但相關(guān)工作表明濫用ISA資源會(huì)導(dǎo)致嚴(yán)重的安全問題。與之對(duì)應(yīng)的，現(xiàn)有硬件僅對(duì)ISA資源提供基于特權(quán)級(jí)的粗粒度訪問控制，例如ARM Cortex A53有幾百條系統(tǒng)指令/寄存器，但只提供了四個(gè)異常級(jí)別（EL0到EL3），無法支撐操作系統(tǒng)的細(xì)粒度隔離需求。為此，ISA-Grid系統(tǒng)提出了一套面向指令與寄存器資源的細(xì)粒度權(quán)限管控硬件架構(gòu)，能夠在內(nèi)核態(tài)創(chuàng)建多個(gè)ISA隔離域，并賦予每個(gè)域?qū)χ噶钆c寄存器資源的不同訪問權(quán)限。基于ISA-Grid能夠?qū)?nèi)核態(tài)軟件實(shí)現(xiàn)比特粒度的ISA資源管控，補(bǔ)齊了現(xiàn)有內(nèi)核隔離方法在ISA資源上的短板，支撐對(duì)內(nèi)核實(shí)現(xiàn)細(xì)粒度的權(quán)限解耦。技術(shù)報(bào)告展示，ISA-Grid在RISC-V與X86兩個(gè)指令集架構(gòu)上實(shí)現(xiàn)了硬件擴(kuò)展，并基于Linux內(nèi)核實(shí)現(xiàn)了功能隔離與系統(tǒng)安全服務(wù)隔離兩類操作系統(tǒng)隔離的樣例，ISA-Grid在支撐細(xì)粒度操作系統(tǒng)隔離的同時(shí)僅造成了平均1%以內(nèi)的性能損失。

上海交通大學(xué)助理研究員華志超

面向萬物智聯(lián)時(shí)代，操作系統(tǒng)安全與可靠相關(guān)方面的研究將持續(xù)深入。安全是防線也是底線，守好安全，才能實(shí)現(xiàn)信息產(chǎn)業(yè)的長(zhǎng)久發(fā)展。本次技術(shù)論壇的圓滿結(jié)束，是終點(diǎn)也是起點(diǎn)，期待未來城市技術(shù)論壇能從更多方面展開探討，為基礎(chǔ)軟件“自立自強(qiáng)”貢獻(xiàn)OpenHarmony力量。

E N D

關(guān)注我們，獲取更多精彩。