0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

峰会回顾第22期 | OpenHarmony等开源软件在安全关键领域中的应用——以Linux的安全项目为例

OpenHarmony TSC 来源:OpenHarmony TSC 作者:OpenHarmony TSC 2023-07-27 16:21 次阅读

演讲嘉宾 | 周庆国

回顾整理 | 廖 涛

排版校对 | 李萍萍

963ce75a-2c56-11ee-b9c7-dac502259ad0.png

嘉宾简介

周庆国,理学博士,教授,博士生导师,IET Fellow,教育部新世纪人才基金获得者,现为兰州大学开源软件与实时系统教育部工程研究中心主任,兰州大学分布式与嵌入式系统实验室主任,兰州大学OpenHarmony技术俱乐部主任。目前主要从事安全关键系统、嵌入式系统、智能驾驶、虚拟化技术的研究,2018年荣获甘肃省科技进步奖二等奖,荣获2021年甘肃省教学成果特等奖。

内容来源

第一届开放原子开源基金会OpenHarmony技术峰会——OpenHarmony高校技术俱乐部分论坛

视频回顾

正 文 内 容

现代操作系统在其技术复杂度、软件规模、机电部件不断增加的同时,也引入了额外的系统性失效和硬件随机失效风险。有什么理论和方法能够将软件失效及其导致的风险控制在可接受的范围内呢?兰州大学OpenHarmony技术俱乐部主任周庆国教授在第一届OpenHarmony技术峰会上分享了几点思路。

96aedcc0-2c56-11ee-b9c7-dac502259ad0.png

01►

安全与安全关键

“安全”对应的英文释义有Safety和Security,两者存在很大的区别。Safety-IEC 61508 Part 2 中将Safety定义为:将能够造成人员伤亡或财产损失以及严重破坏环境的危险降低到可以接受范围;Security-IEC17799 Part 1 中将Security定义为:保护外来伤害的能力,适用于脆弱和有价值的资产,如人、组织、住房、国家等。Safety的关键因素在于:(1)可预测性(Predictability):系统中可能会出现的风险情况应该均可以被考虑到;(2)确定性(Certainty):系统的行为可以被预测,且风险均在可控范围内;(3)确信度(Degree of certainty):系统提供方对目标系统的可预测性和功能确定性是有效的,并提供相关证明。

功能安全也称为安全关键,关注的是系统发生故障之后的行为,通常应用于系统失效会对人和财产及环境造成重大伤害和损失的场景,如核电站、航天航空、军工、医疗等领域,乃至当下热度极高的自动驾驶领域。在国际电工委员会发布的IEC61508功能安全标准中,以安全完整性 (Safety integrity)来评估安全相关系统成功实现所要求的安全功能的概率,并规定了四个安全完整性等级,第四级(SIL4)表示最高的完整性程度,第一级(SIL1)表示最低,不同的等级由每小时发生的危险失效概率决定。

971f0afe-2c56-11ee-b9c7-dac502259ad0.png

97497c26-2c56-11ee-b9c7-dac502259ad0.png

安全标准-IEC61508与安全完整性等级划分

在IEC61508中定义了Type-A和Type-B两种类型的系统,其中Type-A系统的判定标准为:(1)所有组件的故障模式都已定义;(2)可以确定故障条件下的组件的行为模式;(3)对于系统声称的故障率有足够可靠的故障数据。只要满足以上任意一点的就是Type-A系统;而Type-B系统则正好与之相反。

在传统的安全系统设计中,人们更多处理的是Type-A系统,因为传统的系统大都是低复杂度的系统,人们对其的理解至少符合上述三种标准之一,因而可以处理系统中潜在的风险所导致的系统失效。而自动驾驶为例的安全关键系统在要求系统高安全高可靠的同时,还对系统的功能丰富度以及系统性能方面有较高的要求,因此在系统中将大量使用高度复杂的Type-B类型组件(如Linux内核、人工智能模型等)。对于这类高度复杂的组件,传统的安全分析与验证无法对其失效模式与失效行为进行有效管理与缓解,为系统的安全关键验证带来巨大的挑战。

02►

Linux在安全关键领域应用

Linux作为一个性能稳定的多用户网络操作系统,拥有几大比较突出的优点:(1)迭代频率高:拥有千万行级别代码和百万行级别文档;每个版本提交频率达数百次/天;开发人员众多,社区活跃;Linux已经是现存最大、最活跃的开源开放软件生态之一。(2)开发质量高:Linux内核采取开源社区开发,开发过程高度透明,且具有严格的项目管理流程;它的开发过程使用规范的设计、测试和版本维护方法;每天都会有大量的修改提交以保证Linux内核版本的稳定。

9769ea74-2c56-11ee-b9c7-dac502259ad0.png

97870226-2c56-11ee-b9c7-dac502259ad0.png

Linux开源项目

然而,目前并没有一套明确的方法对Linux进行安全验证,Linux作为一个高度复杂、有着超两千万行代码量的庞然大物,其验证的工作量更是巨大。一个面向安全关键场景的系统需要采取一些方法提供足够的证据来验证系统是安全的、符合安全标准规范的,还需要满足一系列的功能安全要求来提供当系统遇到操作失误、系统内部故障时的应对策略。Linux并没有贯彻IEC 61508标准中要求的安全开发生命周期。目前,基于Linux的安全关键系统的安全认证工作中,最大的挑战在于缺乏完善的文档和工具来证明基于Linux的Safety-critical系统的安全性。

2015年由宝马、西门子以及德国开源软件实验室OSADL等出资合作的SIL2LinuxMP项目,旨在为工业界提供一套验证基于Linux Kernel的Safety-critical系统安全性的方法。项目基于IEC61508标准的要求,提出对Linux内核验证的关键是利用系统开发的上下文将庞大的Linux内核限制在一个相对小的验证范围,并尝试利用Linux内核的复杂性与不确定性进行系统的安全加固。

2019年Linux基金会启动了ELISA开源项目,该项目在SIL2LinuxMP项目的研究基础上进行。其目的是为了协助相关公司对基于Linux的Safety-critical系统实现一系列工具,以避免其系统运行失败造成的人身伤害,重大财产损失或环境污染。该项目定义和维护一组用于Linux安全关键验证工作的通用的元素、流程和工具,为期望将Linux应用于安全关键系统的企业和机构提供支持。

03►

SIL2LinuxMP项目

SIL2LinuxMP项目选择内核元素与非内核元素作为预先存在的组件,提出对Linux开发过程持续的监测,并通过相关工具的认证、预先存在组件的认证等一系列协同认证等方法对Linux内核评估认证以满足系统安全规范的要求,在这一过程中,Linux内核的认证数据和认证方案为认证评估提供重要依据。

97cdd5c0-2c56-11ee-b9c7-dac502259ad0.png

SIL2LinuxMP项目总览

在SIL2LinuxMP项目研究过程中发现,Linux内核的容器技术提供了足够的隔离能力,避免了虚拟机监控程序带来的运行开销和验证成本以及对硬件虚拟化的依赖,因此基于Linux内核容器技术提出了分区隔离架构:SIL2LinuxMP Architecture,简称SIL2Arch。SIL2Arch组合了Linux内核原生提供的Namespace、Cgroup和Seccomp等容器技术,将系统资源以容器的形式进行分区与隔离,可以用于对Linux内核中不同安全完整性等级的任务进行分区隔离。

97e59570-2c56-11ee-b9c7-dac502259ad0.png

SIL2Arch的实现

目前,SIL2LinuxMP项目的研究缺少对动态执行路径不确定性的原理讨论,而且分区隔离架构的部署也可能会对动态执行路径造成影响。针对该情况,周庆国教授所在团队研究了以下3部分内容:(1)部署对照实验环境,并设计开发了自动化执行路径采集工具SIL2Trace;(2)构建执行路径调用关系的有向图,分析Linux内核动态执行路径不确定性的原理;(3)采用自相关检验和泊松回归模型,评估容器分区隔离架构对于执行路径种类数量的影响。具体如下:

动态执行路径测试范围选择:Linux内核是一个庞大且复杂的软件,进行全面的测试覆盖难度较大,可以选择在固定输入参数下,特定用户应用程序所主动请求系统调用执行的Linux内核执行路径作为主要测试范围。

自动化采集工具SIL2Trace设计:为了记录实验中目标测试程序的内核函数执行路径,基于Ftrace内核函数跟踪框架设计实现了自动化采集工具SIL2Trace。SIL2Trace分为客户端程序和服务端程序,客户端程序将多次重复触发执行目标测试程序,借助Ftrace进行执行路径采集,并将数据通过网络传输给服务端程序。由于Ftrace所采集的数据中会包含一些无关的执行路径, 因此服务端程序将对执行路径中的无关路径进行过滤处理。

9814c340-2c56-11ee-b9c7-dac502259ad0.png

无关路径过滤

动态执行路径不确定性原理分析:导致路径不确定性的主要原因是在执行主干之外的函数调用时产生的调用分支。这些分支是由于与输入参数无关的全局状态变量引起的,它们会影响Linux内核的全局运行状态,从而导致动态执行路径的不确定性。

动态执行路径种类数量估计:首先需要验证执行路径之间的相关性,若执行路径之间存在相关性,将影响对动态执行路径种类数量的估计。利用统计学中的自相关检验方法计算路径之间的自相关系数,检验结果显示执行路径之间具有独立性。

04►

OpenHarmony与安全

OpenHarmony目前在活跃开发之中,厂商开发的产品不仅可能引入经典的开源项目,还可能包含具有OpenHarmony特色的组件,这对厂商的软件供应链安全管理能力提出了更高的要求。

985b2e34-2c56-11ee-b9c7-dac502259ad0.png

开源软件供应链

以安全漏洞为抓手,实现函数级跨架构漏洞检测驱动的软件成分分析,从而有效帮助社区中的企业构建低成本的软件供应链安全管理方案。目前,周庆国教授所在团队已经为基于Linux的物联网设备设计了高精度的跨架构函数级漏洞检测技术方案。在实验室场景下,平均检测准确率已经超过 99%,可以有效地为不具备精细三方件管理能力的中小型开发者提供面向最终产品的软件供应链漏洞检测。

9873c5d4-2c56-11ee-b9c7-dac502259ad0.png

函数级漏洞检测技术方案

此外,OpenHarmony在安全关键领域还有以下等方向可以进一步讨论和研究:

根据功能安全标准对OpenHarmony开发过程中的开发流程、技术文档、风险管理、安全分析等方面进分析与扩展。

对OpenHarmony的开发生命周期进行系统的和持续的研究,试图建立度量开源软件系统的稳定性或发展趋势的指标体系。

尝试应用数学模型结合统计测试对OpenHarmony可靠性等进行研究,试图建立相关本质特征反应的可应用评测体系。

针对风险空间中严重性等问题进行深入研究,结合Machine Learning/Deep Learning等技术对其进行分类,试图结合具体功能安全标准进行风险分段及风险缓解。

基于新型图表示和图学习技术,研究面向OpenHarmony的跨架构函数级漏洞检测技术,试图为社区提供新型软件供应链安全管理方案。

目前,兰州大学OpenHarmony技术俱乐部已经正式成立。后续,俱乐部将结合操作系统与软件安全等研究内容开展相关工作,欢迎大家的持续关注和监督,也希望大家能够共同为OpenHarmony技术生态的繁荣贡献力量。

E N D

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Linux
    +关注

    关注

    87

    文章

    11296

    浏览量

    209360
  • 开源
    +关注

    关注

    3

    文章

    3323

    浏览量

    42475
  • OpenHarmony
    +关注

    关注

    25

    文章

    3716

    浏览量

    16273
收藏 人收藏

    评论

    相关推荐

    凌蒙派OpenHarmony开源项目荣获本期Gitee官方推荐

    近日,我司凌蒙派OpenHarmony开源项目荣获本期Gitee官方推荐。本期Gitee官方推荐不仅是对凌蒙派OpenHarmony开源
    的头像 发表于 11-20 01:04 256次阅读
    凌蒙派<b class='flag-5'>OpenHarmony</b><b class='flag-5'>开源</b><b class='flag-5'>项目</b>荣获本期Gitee官方推荐

    第三届OpenHarmony技术大会在上海成功举办

    本次大会还特别设置了一场圆桌论坛,OpenHarmony项目群技术专家、学术界大咖、开源领域布道师嘉宾齐聚一堂,
    发表于 10-13 11:14

    名单公布!【书籍评测活动NO.38】OpenHarmony开发与实践 | 基于红莓RK2206开发板

    ,中国开放原子校源行开源大使。研究方向智能机器人与物联网、导航定位技术、人工智能。先后主持和负责科研项目40余项;发表学术论文60余篇;授权发明专利18项,获授权实用新型专利8项、
    发表于 07-19 10:57

    第二届大会回顾20 OHPM:建设安全可靠的OpenHarmony生态软件仓库

    演讲嘉宾 | 杨牧天 回顾整理 | 廖   涛 排版校对 | 宋夕明 嘉宾介绍 OS安全分论坛  杨牧天, 北京中科微澜科技有限公司CEO,中国科学院软件研究所高级工程师,开放原子开源
    的头像 发表于 07-04 18:25 782次阅读
    第二届大会<b class='flag-5'>回顾</b><b class='flag-5'>第</b>20<b class='flag-5'>期</b>  OHPM:建设<b class='flag-5'>安全</b>可靠的<b class='flag-5'>OpenHarmony</b>生态<b class='flag-5'>软件</b>仓库

    论述RISC-CIOT领域的发展机会

    带来更多的机会和挑战。 综上所述,RISC-VIoT领域具有巨大的发展机会。其高度开源、低功耗、低成本和安全优势使得RISC-V成为I
    发表于 06-27 08:43

    第二届大会回顾22 软件缺陷漏洞分析

    演讲嘉宾 | 梁洪亮 回顾整理 | 廖   涛 排版校对 | 宋夕明 嘉宾介绍 OS安全分论坛  梁洪亮, 博士,北京邮电大学副教授,博士生导师。研究兴趣可信软件与智能系统。 视频
    的头像 发表于 06-27 08:42 339次阅读
    第二届大会<b class='flag-5'>回顾</b><b class='flag-5'>第</b><b class='flag-5'>22</b><b class='flag-5'>期</b>  <b class='flag-5'>软件</b>缺陷漏洞分析

    第二届大会回顾21 | 开源操作系统中API误用缺陷自动化检测方法

    演讲嘉宾 | 凌    祥 回顾整理 | 廖    涛 排版校对 | 宋夕明 嘉宾介绍 OS安全分论坛  凌祥, 中国科学院软件研究所助理研究员,主要研究领域
    的头像 发表于 06-23 15:44 455次阅读
    第二届大会<b class='flag-5'>回顾</b><b class='flag-5'>第</b>21<b class='flag-5'>期</b> | <b class='flag-5'>开源</b>操作系统中API误用缺陷自动化检测方法

    OpenHarmony城市技术论坛8——厦门站圆满落幕

    2024年4月20日上午,OpenHarmony城市技术论坛(以下简称“技术论坛”)8——厦门站,厦门大学翔安校区信息学院圆满落幕。此次论坛从“终端操作系统十大技术挑战”出发,
    的头像 发表于 04-22 10:38 362次阅读
    <b class='flag-5'>OpenHarmony</b>城市技术论坛<b class='flag-5'>第</b>8<b class='flag-5'>期</b>——厦门站圆满落幕

    OpenHarmony城市技术论坛8——厦门站圆满举办

    协同”为主题,从车联网、文件系统、大数据存储、存储器设计、数据删减和游戏引擎适配等方面开展技术交流,OpenHarmony的数据存储研究领域提供新启发和新思路。 本次技术论坛由
    的头像 发表于 04-21 08:40 452次阅读
    <b class='flag-5'>OpenHarmony</b>城市技术论坛<b class='flag-5'>第</b>8<b class='flag-5'>期</b>——厦门站圆满举办

    第二届大会回顾15 | OpenHarmony性能调优工具介绍

    与适配,润和软件芯片业务创立人,润和芯片全栈解决方案平台HiHope发起人,带领公司进军国际芯片领域并成为ARM生态圈Linaro重要合作伙伴。OpenHarmony项目群工作委员会成
    的头像 发表于 03-05 08:40 663次阅读
    第二届大会<b class='flag-5'>回顾</b><b class='flag-5'>第</b>15<b class='flag-5'>期</b> | <b class='flag-5'>OpenHarmony</b>性能调优工具介绍

    第二届大会回顾11 | 面向万物智联的可信连接关键技术研究

    OpenHarmony技术俱乐部主任,中国计算机学会高级会员。研究方向可信计算、信息系统安全安全测评等。主持国家自然科学基金项目、华为鲲
    的头像 发表于 02-25 17:55 768次阅读
    第二届大会<b class='flag-5'>回顾</b><b class='flag-5'>第</b>11<b class='flag-5'>期</b> | 面向万物智联的可信连接<b class='flag-5'>关键</b>技术研究

    OpenHarmony城市技术论坛——7(大连站)圆满举办

    点击蓝字 ╳ 关注我们 开源项目 OpenHarmony 是每个人的 OpenHarmony 2024年1月13日下午,OpenHarmony
    的头像 发表于 01-16 21:15 827次阅读
    <b class='flag-5'>OpenHarmony</b>城市技术论坛——<b class='flag-5'>第</b>7<b class='flag-5'>期</b>(大连站)圆满举办

    OpenHarmony社区运营报告(2023年12月)

    系统软件基础设施、边缘智能系统、大模型安全、智能化系统软件分析技术,探索终端操作系统领域 AI 大模型创新趋势。华中科技大学教授、
    发表于 01-10 15:44

    OpenHarmony城市技术论坛——6(武汉站)圆满举办

    点击蓝字 ╳ 关注我们 开源项目 OpenHarmony 是每个人的 OpenHarmony 2023年12月23日下午,OpenHarmony
    的头像 发表于 12-26 21:20 790次阅读
    <b class='flag-5'>OpenHarmony</b>城市技术论坛——<b class='flag-5'>第</b>6<b class='flag-5'>期</b>(武汉站)圆满举办

    OpenHarmony城市技术论坛——6(武汉站)圆满举办

    ”出发,将主题聚焦“大模型时代的系统软件”,从学术界和工业界交叉融合的维度,讨论AI系统软件基础设施、边缘智能系统、大模型安全、智能化系统软件
    的头像 发表于 12-25 08:42 784次阅读
    <b class='flag-5'>OpenHarmony</b>城市技术论坛——<b class='flag-5'>第</b>6<b class='flag-5'>期</b>(武汉站)圆满举办