OpenHarmony城市技术论坛【第1站】——上海站圆满举办

4月16日，OpenHarmony城市技术论坛（以下简称为“技术论坛”）【第1站】——上海站于上海黄大年茶思屋圆满举办。本次技术论坛从“终端操作系统十大技术挑战”出发，将主题聚焦在“操作系统安全与可靠”，从学术界和工业界的多个维度，讨论全栈协同的操作系统安全增强、隐私保护和可靠性提升的方法，以更好地应对物联网时代设备、网络和应用安全面临的巨大挑战。

本次技术论坛由OpenHarmony技术指导委员会主办，上海交通大学OpenHarmony技术俱乐部承办，上海黄大年茶思屋支持。上海交通大学OpenHarmony技术俱乐部主任夏虞斌教授担任本次技术论坛出品人，并邀请到多位技术专家来到上海黄大年茶思屋现场进行技术报告，包括OpenHarmony技术指导委员会主席、IEEE Fellow、上海交通大学特聘教授陈海波，中科院软件所副所长、OpenHarmony技术指导委员会委员武延军，华为可信领域副首席科学家、OpenHarmony技术指导委员会安全及机密计算TSG负责人付天福，华东师范大学教授石亮，复旦大学高级工程师蒋金虎，南京大学副教授蒋炎岩，复旦大学副教授杨哲慜，浙江大学百人计划研究员申文博，OpenHarmony安全及机密计算TSG成员、华为中央软件院OS内核实验室iTrustee安全OS团队SEG Leader王季，上海交通大学助理研究员糜泽羽，上海交通大学助理研究员华志超。

合影留念

论坛出品人&主持人上海交通大学夏虞斌教授

OpenHarmony技术指导委员会主席，IEEE Fellow，上海交通大学特聘教授陈海波从“操作系统安全的横向与纵向”这两个维度与我们分享了系统安全的方法论，探讨了当前我们面临的主要挑战。操作系统伴随着产业浪潮诞生与发展，如今已经到了万物智联的时代。OpenHarmony朝着万物智联的场景化和生态化迈进，需要解决来自终端操作系统的三类技术挑战，分别是极致体验、纯净安全、极简开发。为了解决纯净安全这一挑战，系统安全设计人员需要设定合理的安全目标，并设定对应的威胁模型，比如预料可能的攻击者、评估攻击的经济成本等。陈海波教授讨论了两个系统安全增强的方法，其一是减少可信基的大小，提升可信基安全性，比如微内核架构的模块化隔离设计；另一个是提供更有效的安全隔离方法，如利用领域特定的软硬件协同，形成纵深防御，以及借助异构硬件的安全互助，构成更强的联防联控网络。

OpenHarmony技术指导委员会主席，IEEE Fellow，上海交通大学特聘教授陈海波

在“操作系统安全：开源软件供应链的视角”中，中科院软件所副所长、OpenHarmony技术指导委员会委员武延军分享了开源模式下操作系统构建的本质：一个成熟的商业操作系统（以安卓为例）需要对数以万计的软件包进行严格的供应链管控。他强调，开源模式下构建操作系统的本质是对开源软件的供应链整合优化，即“选取好用的、优化可用的、补齐缺失”的，根据相互依赖关系、按照层次和顺序进行编译构建。因此，操作系统安全首先要解决供应链安全问题。目前开源软件供应链面临着“漏洞传播快”、“供应链投毒”、“上游断档或者任性升级甚至跑路”，以及“发展过快、规模过大、难以管理”等多维度的严峻挑战。武延军副所长介绍了2019年在中科院先导专项支持下开展的开源软件基础设施——“源图”平台的建设情况。“源图”目前已经服务了openEuler漏洞感知、OpenHarmony供应链关键环节评级、RISC-V 软件生态“卡位”支撑等重要领域。他展望道，随着供应链整合的成功，操作系统的安全问题也会逐渐收敛。

中科院软件所副所长、OpenHarmony技术指导委员会委员武延军

随着移动IoT设备的快速发展，特别是随着鸿蒙操作系统的广泛部署，基于消费终端的跨设备管理变得越来越普遍。基于此，华东师范大学教授石亮给我们带来了“消费操作系统跨设备场景的安全与可靠性初探”的技术报告。他介绍到，通过跨设备能够在处理更多任务的同时实现设备间协同访问和管理的能力，然而，现有的跨设备管理依然存在诸多问题，特别是当网络环境不稳定的场景下，如何保障跨设备访问的可靠与安全变得至关重要。为了解决以上问题，石亮教授及他的团队从文件系统、内存管理和进程管理三个角度展开研究，设计了跨设备的分布式文件系统、跨设备的内存协同以及跨设备的进程调度技术，探索从跨设备的角度研究操作系统安全与可靠性的解决方案，从而保障数据访问的可靠性。未来，他们将展开更多关于安全性的相关技术研究。

华东师范大学教授石亮

南京大学副教授蒋炎岩分享了“Mosaic操作系统模型和检查器”。他谈到，长久以来，《操作系统》课程由于其贯穿计算机软硬件系统栈的特点，被普遍认为是一门概念松散、重视实践经验的课程。“如何构建正确的系统软件”这一操作系统研究领域的重要问题往往在课堂中被忽略。蒋炎岩副教授在报告中介绍了一个功能完整的精简操作系统模型和检查器的设计与实现，即Mosaic。该报告拆解了其建模进程、线程、持久存储的过程，并描述了它的9个系统调用。最后，他还演示了如何把“非形式”的形式化方法贯穿到操作系统教学中，为更多老师提供了教学方法借鉴。

南京大学副教授蒋炎岩

上海交通大学助理研究员糜泽羽老师在“DuVisor：软硬协同的用户态Hypervisor”报告中介绍到，目前主流的系统虚拟化系统由两部分组成：使用硬件虚拟化的内核驻留程序，和提供虚拟机管理和I/O虚拟化的用户态进程。这种虚拟化架构在安全性和性能方面都存在问题。先前工作将内核功能卸载到用户态以最小化内核部分，尽管更多的卸载可以减少内核的攻击面，但却增加了内核态与用户态之间的模式切换，增加了虚拟化系统的性能开销，因此这种设计面临着安全与性能的权衡。糜泽羽老师在报告中介绍了一种软硬件结合的新型虚拟化系统设计，它将内核驻留程序参与的控制平面与用户态进程的数据平面完全分开，从而消除了内核在虚拟机运行时的干预。基于这种设计而实现的用户态虚拟机监控器DuVisor，可以直接在用户态处理几乎所有的虚拟机下陷，包括在用户态配置虚拟机寄存器，管理第二阶段页表并实现高效的I/O虚拟化。目前，糜老师的团队已经在一个开源的RISC-V CPU上实现了硬件扩展，并构建了基于Rust的虚拟机监控器，据FireSim平台的评估数据显示，DuVisor给应用带来的开销低于5%。

上海交通大学助理研究员糜泽羽

在“基于分级安全的OpenHarmony架构设计”报告中，华为可信领域副首席科学家、OpenHarmony技术指导委员会安全及机密计算TSG负责人付天福提出，“分级安全理论是OpenHarmony安全架构的核心逻辑，即确保正确的人（主体），用正确的设备（环境），正确地使用数据（客体）。”基于此，他向大家展开介绍了程序分级管理的实现逻辑、OpenHarmony系统中的数据分级安全架构和防泄漏机制及其应用场景，其中，他重点分享了对于绝密数据如何保证不泄密的分布式门限密码架构。

华为可信领域副首席科学家付天福

随着计算范围边界的拓展，未来边缘计算、云边端协同计算、泛在计算等成为趋势。这些计算具有硬件属性多、服务需求多和低安全性的特点，需要操作系统具有多场景、高可靠和高安全机制。然而，当前主流操作系统无法为这些应用提供有效的支撑。基于此背景，复旦大学高级工程师蒋金虎老师分享了“面向多场景、高可靠和高安全的多内核操作系统研究”报告。该报告围绕研究多属性内核、多内核架构、资源虚拟化以实现对多样化硬件的高效适配以及复杂场景的高可靠支持、研究核间通信和共识机制以实现操作系统内生安全属性支持的部分案例及成果展开。蒋金虎老师希望，他们的研究能够对未来操作系统发展贡献力量。

复旦大学高级工程师蒋金虎

在“iTrustee安全OS的发展与演进”中，OpenHarmony技术指导委员会安全及机密计算TSG成员、华为中央软件院OS内核实验室iTrustee安全OS团队SEG Leader王季分享了华为iTrustee自研安全OS从0到1的构建和发展路径、目前拓展机密计算领域的思路以及未来摆脱硬件约束，从封闭走向开放，解决数据流转安全的新形态安全OS规划。

OpenHarmony技术指导委员会安全及机密计算TSG成员、华为中央软件院OS内核实验室iTrustee安全OS团队SEG Leader王季

复旦大学杨哲慜副教授在“移动平台跨用户隐私数据分享的安全问题”报告中介绍到，数据信息时代下，“个人信息收集”现象广泛存在于各个应用程序内，伴随移动平台的业务延展，大量应用选择将用户数据推荐、共享给其他用户，形成个人信息传播链的新环节：跨用户个人信息分享。为了识别移动应用过度分享用户个人信息，造成用户隐私泄露隐患等一系列安全缺陷，杨哲慜副教授及他的团队提出了一种基于静态程序分析，结合机器学习的跨用户数据分享安全评估方法。具体而言，他们采用双向程序切片技术定位用户敏感数据，结合机器学习识别跨用户信息，并通过应用程序的行为不一致性发现潜在安全漏洞。通过此方法，他们在13,820款受测移动应用中发现了1,902款应用(13.76%)存在隐私泄露风险，为移动平台的进一步隐私安全治理提供了参考。

复旦大学副教授杨哲慜

以容器为核心的云原生技术具有效率高、启动快、部署灵活等优势，近年来获得了大规模应用，已成为云计算的关键支撑技术。云原生系统主要依赖操作系统内核机制进行容器隔离和资源限制。然而，当前支撑云原生的关键内核机制缺乏系统性的安全分析，对资源的隔离和限制性不足。针对这些问题，浙江大学百人计划研究员申文博老师介绍了他及他的团队关于容器资源隔离和限制的两项研究工作。在容器资源隔离方面，他们揭示了操作系统级虚拟化的固有问题——共享内核变量和数据结构。这些共享抽象资源可被用于攻击操作系统所有主要功能，甚至直接攻击所有主流操作系统。在容器资源限制方面，他们系统性地分析了Linux内核内存记账缺失漏洞，找出了53个记账缺失漏洞，修复了37个，获得了两个CVE编号：CVE-2021-3759和CVE-2022-0480。

浙江大学百人计划研究员申文博

隔离是提高操作系统安全性的重要机制。上海交通大学助理研究员华志超老师在“面向操作系统细粒度隔离的权限管控架构”中介绍到，隔离机制通过控制对软件和硬件资源的访问权限，将单一庞大的操作系统内核解耦为多个相互隔离的组件，并实施最小权限原则。细粒度的隔离能够精确管控操作系统不同模块的权限，从而提升系统的整体安全性。然而，现有的操作系统隔离工作主要关注内存隔离，而忽略了指令与寄存器资源（即ISA资源），但相关工作表明滥用ISA资源会导致严重的安全问题。与之对应的，现有硬件仅对ISA资源提供基于特权级的粗粒度访问控制，例如ARM Cortex A53有几百条系统指令/寄存器，但只提供了四个异常级别（EL0到EL3），无法支撑操作系统的细粒度隔离需求。为此，ISA-Grid系统提出了一套面向指令与寄存器资源的细粒度权限管控硬件架构，能够在内核态创建多个ISA隔离域，并赋予每个域对指令与寄存器资源的不同访问权限。基于ISA-Grid能够对内核态软件实现比特粒度的ISA资源管控，补齐了现有内核隔离方法在ISA资源上的短板，支撑对内核实现细粒度的权限解耦。技术报告展示，ISA-Grid在RISC-V与X86两个指令集架构上实现了硬件扩展，并基于Linux内核实现了功能隔离与系统安全服务隔离两类操作系统隔离的样例，ISA-Grid在支撑细粒度操作系统隔离的同时仅造成了平均1%以内的性能损失。

上海交通大学助理研究员华志超

面向万物智联时代，操作系统安全与可靠相关方面的研究将持续深入。安全是防线也是底线，守好安全，才能实现信息产业的长久发展。本次技术论坛的圆满结束，是终点也是起点，期待未来城市技术论坛能从更多方面展开探讨，为基础软件“自立自强”贡献OpenHarmony力量。

E N D

关注我们，获取更多精彩。