0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

峰会回顾第20期 | 操作系统形式验证与安全认证

OpenHarmony TSC 来源:OpenHarmony TSC 作者:OpenHarmony TSC 2023-07-27 16:21 次阅读

演讲嘉宾 | 赵永望

回顾整理 | 廖 涛

排版校对 | 李萍萍

a2635f50-2c56-11ee-b9c7-dac502259ad0.png

嘉宾简介

赵永望,浙江大学教授/博士生导师。担任移动终端安全技术浙江省工程研究中心主任、ARINC653国际操作系统标准委员会委员(国内唯一委员)、国际信息技术安全评估标准(Common Criteria,CC)操作系统内核技术委员会委员、中国计算机学会(CCF)高级会员、CCF系统软件专委会和形式化方法专委会委员。任国际标准化组织 ISO/IEC JTC1 SOA研究组组长、国家信标委分委会委员,起草4项ISO国际标准、12项国家标准。曾任新加坡南洋理工大学高级研究员。主要研究方向包括操作系统安全、形式验证、编程语言原理等。主持和参与国家自然基金、核高基重大专项、重点研发计划、载人航天工程重点项目、工信部物联网创新项目等10余项,2011和2017年分别获得中国电子学会和山东省科技进步一等奖。相关研究成果得到美国波音、法国空客和国际知名实时操作系统厂商的认可,被纳入国际标准,并在开源实时操作系统社区产生影响力。

内容来源

第一届开放原子开源基金会OpenHarmony技术峰会——OpenHarmony高校技术俱乐部分论坛

正 文 内 容

形式验证根据某个或某些形式规范或属性,使用数学的方法证明其正确性或非正确性,对保障操作系统安全起到重要作用。OpenHarmony形式验证与安全认证面临哪些挑战,又有哪些技术方法和思路呢?浙江大学教授、移动终端安全技术浙江省工程研究中心主任赵永望在第一届OpenHarmony技术峰会上分享了精彩观点。

a2c4bdb8-2c56-11ee-b9c7-dac502259ad0.png

01►

为什么需要形式验证与安全认证?

随着计算机技术创新与行业发展,操作系统与软件层出不穷,在航空航天、手机、车机、物联网、医疗以及金融等领域应用广泛。在各行各业综合化、网络化、智能化以及软件化转型的关键阶段,操作系统安全的重要性日益凸显,同时面临新的安全挑战。操作系统形式验证与安全认证,是保障操作系统安全的关键手段之一。

目前,操作系统仍潜在较多安全风险。例如,VxWorks 6.5版本被发现存在11个漏洞,影响2亿台关键设备;seL4的8900行C代码中,通过形式验证发现了160多个新问题;Zephyr RTOS中也存在多个内存管理错误。其中,seL4作为演变了多年的成熟开源微内核,仍存在较多代码层的安全漏洞和问题。OpenHarmony作为一个开源社区,包含了几千万甚至上亿行代码,潜在的风险和问题不容忽视。

为什么操作系统会潜在如此多的问题呢?客观上,现在的软件越来越复杂,很难摸透运行规律和质量特征。主观上,开源社区、互联网公司等大都采用敏捷式开发或者瀑布式开发,这种主流软件开发方法难以满足高安全可靠要求。

a3df90f6-2c56-11ee-b9c7-dac502259ad0.png

操作系统安全问题

安全认证通过严格的过程和证据解决软件的安全问题,对证据链的要求很高。其证据链由非形式化、半形式化以及形式化的数据组成,包括文档、数据、模型等。目前,证据链在很多场合通过文档和人工评审的方式来形成,但对于安全等级非常高的场景仍难以满足相关要求。因此,在该场景下可通过形式化方法,完成准确且完备的软件建模和认证。

a438971e-2c56-11ee-b9c7-dac502259ad0.png

形式化方法

形式化方法基于严格数学基础对计算机软硬件系统进行描述、开发和验证的技术,具有精确、严格以及完备的特点。在高级别安全认证中,强烈推荐或强制使用形式化方法。目前,与国外相比,国内开源操作系统在关键的DO-178 A和CC EAL 6/7等高安全等级的形式验证与安全认证方法相关研究基本处于空白状态。

a468eb30-2c56-11ee-b9c7-dac502259ad0.png

安全认证及相关标准

02►

如何实现操作系统形式验证?

浙江大学提出的操作系统形式验证框架涉及操作系统各个不同层面,兼顾功能安全和信息安全,符合EAL7/SIL4等安全级别和ARINC653等工业标准,且支持多核/可抢占并发内核,覆盖需求到C代码的形式验证,并具有统一的开发与验证环境。

a4af4a58-2c56-11ee-b9c7-dac502259ad0.png

浙江大学操作系统形式验证的理论与技术框架

在该框架中,操作系统领域知识层面包括信息流安全/功能安全、ARINC 653标准、操作系统设计以及操作系统C代码等;操作系统模型与证明层面包括安全需求、功能规约、高层设计规约、低层设计规约以及实现模型等。此外,还包含形式规约语言及编译器、规约求精框架、并发验证方法、安全性验证方法、系统级执行模型、自动化验证方法、源代码形式语义以及逻辑证明内核等形式语义和支撑工具。此外,赵永望所在团队基于Isabelle定理证明器自研了操作系统形式验证工具:Isabelle/Cloud云平台,通过云化和开源的方式,让社区的开发者和高校师生都能够在该平台上做相应的验证和建模等工作。

该框架具有以下特征:(1)采用逐步求精方法,覆盖安全、需求、设计、源码全部层面;(2)提供完整的形式化模型;(3)提供完整的自顶向下证据链,最终保障内核代码的安全性和正确性;(4)模型和验证可扩展;(5)采用自研工具;(6)整体框架和采用的技术符合CC最高安全级EAL7。目前,该框架在某国产安全微内核操作系统的形式验证中,获得了国内评测机构颁发的首个软件领域的EAL5+的证书,且正在实施国内最早的一批软件EAL5+形式验证与评估项目。

03►

未来挑战与建议

操作系统形式验证与安全认证技术在进一步的发展中仍在面临诸多挑战和困难。在技术方面,需要考虑多核并发、执行抢占、C语言自身复杂性、ISA耦合、操作系统数据结构与算法复杂以及代码规模大等因素;在工程方面,存在领域知识专业门槛高、没有针对性的验证工具、模型编写难、验证难度高、工作量大、代码规模大以及操作系统版本迭代等问题。其中,针对操作系统资料/文档的形式化建模效率低、源码验证代码规模大、结构复杂、语言类型多、验证难度大以及成本高等问题,可以考虑自动形式模型生成和源码自动形式验证等方法。

a5379930-2c56-11ee-b9c7-dac502259ad0.png

操作系统形式验证部分痛点

OpenHarmony是一个面向全场景智能终端的开源操作系统,覆盖全场景应用,同时也支持多样性设备。对于OpenHarmony来说,形式验证与安全认证有以下5个关键点:(1)重要性:OpenHarmony作为信息基础设施底座,如果缺少形式验证与安全认证,潜在风险程度很高;(2)必要性:OpenHarmony赋能千行百业,其中囊括了许多安全关键产业,形式验证与安全认证是安全关键行业所必须的。此外,一个安全可靠的操作系统将具有更高数量级的产业价值;(3)OpenHarmony这样大规模操作系统的形式验证与安全认证技术国产化的成功,符合目前操作系统国产化替代和发展的策略;(4)挑战性:OpenHarmony这样大规模软件系统的自动化形式验证难度较高,高效率安全认证面临挑战;(5)可行性:目前,国内已积累一定的形式验证与安全认证基础,且国内外形式化技术快速发展,OpenHarmony开源社区同样发展迅速,能够提供助力,进一步发展OpenHarmony形式验证与安全认证具备可行性。

形式验证与安全认证是保障OpenHarmony操作系统安全的重要一环,期待后续能够有更多的开发者与高校师生加入到相关领域的研究中来,共同促进OpenHarmony开源社区繁荣发展。

E N D

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 操作系统
    +关注

    关注

    37

    文章

    6658

    浏览量

    123111
  • OpenHarmony
    +关注

    关注

    25

    文章

    3629

    浏览量

    16030
收藏 人收藏

    评论

    相关推荐

    峰会回顾19 | 多内核操作系统研究

    演讲嘉宾 | 蒋金虎 回顾整理 | 廖   涛 排版校对 | 李萍萍 嘉宾简介 蒋金虎,复旦大学大数据研究院高级工程师,曾任江南计算技术研究所操作系统室主任。研究方向为高性能计算、操作系统和并行存储
    的头像 发表于 07-27 16:22 1087次阅读
    <b class='flag-5'>峰会</b><b class='flag-5'>回顾</b><b class='flag-5'>第</b>19<b class='flag-5'>期</b> | 多内核<b class='flag-5'>操作系统</b>研究

    关于安全操作系统

    可以绑定使用的计算机,有效防止了涉密单位移动办公数据的安全威胁。  产品功能  1、自启动前身份认证  需要验证用户身份才能进行自启动,加载安全操作
    发表于 05-23 15:28

    如何在 RT-Thread 操作系统上运行 Mnist Demo

    上期回顾:(点此跳转上一)本期将介绍如何在 RT-Thread 操作系统上运行 Mnist Demo(手写数字识别),可支持自己手写数字验证。准备
    发表于 12-14 06:12

    TSC峰会回顾01 | 基于分级安全的OpenHarmony架构设计

    原子开源基金会OpenHarmony技术峰会——安全及机密计算分论坛正 文 内 容OpenHarmony是一个使能千行百业的操作系统,它是如何在数据的全生命周期里,基于分类分级的方式保护消费者
    发表于 04-19 15:09

    linux操作系统安全

    linux操作系统安全性 计算机系统安全性的内涵 操作系统安全性功能 操作系统
    发表于 04-28 15:05 0次下载

    操作系统汇编级形式化设计和验证方法

    由于系统的巨大规模,操作系统设计和实现的正确性很难用传统的方法进行描述和验证.在汇编层形式化地对系统模块的功能语义进行建模,提出一种汇编级的
    发表于 01-05 14:45 1次下载
    <b class='flag-5'>操作系统</b>汇编级<b class='flag-5'>形式</b>化设计和<b class='flag-5'>验证</b>方法

    杉岩安全存储率先完成国产操作系统互兼容双认证

    近日,杉岩数据与麒麟软件、统信软件完成产品兼容性认证,是国内首家完成这两项认证的软件定义存储厂商。经测试,杉岩分布式安全存储系统能够在银河麒麟高级服务器
    发表于 11-30 15:22 519次阅读

    操作系统产业峰会2021:操作系统立根铸魂产业宣言

     欧拉开源操作系统产业峰会2021上,欧拉负责人带头领读操作系统立根铸魂产业宣言。
    的头像 发表于 11-09 11:15 1353次阅读
    <b class='flag-5'>操作系统</b>产业<b class='flag-5'>峰会</b>2021:<b class='flag-5'>操作系统</b>立根铸魂产业宣言

    操作系统产业峰会2021 欧拉系统出世

    关于openEuler欧拉的操作系统产业峰会2021直播地址。
    的头像 发表于 11-09 11:35 1808次阅读

    操作系统产业峰会:数据交换平台应用案例

     操作系统产业峰会2021上,统信阐述了数据交换平台应用案例。
    的头像 发表于 11-09 16:34 1559次阅读
    <b class='flag-5'>操作系统</b>产业<b class='flag-5'>峰会</b>:数据交换平台应用案例

    欧拉开源操作系统产业峰会统信专场:打造安全高效的地理信息系统

    欧拉开源操作系统产业峰会2021的统信专场上,重点介绍了安全高效的地理信息系统理念。
    的头像 发表于 11-09 16:37 1596次阅读
    欧拉开源<b class='flag-5'>操作系统</b>产业<b class='flag-5'>峰会</b>统信专场:打造<b class='flag-5'>安全</b>高效的地理信息<b class='flag-5'>系统</b>

    嵌入式实时操作系统形式化验证

    操作系统内核是软件系统的核心,操作系统内核可靠性直接影响着整个软件系统的运行。然而操作系统验证
    的头像 发表于 02-01 15:14 1683次阅读

    峰会回顾11 | OpenHarmony兼容性设计与实践

    测试框架,兼容性测试设计等。   内容来源 第一届开放原子开源基金会OpenHarmony技术峰会——生态与互联分论坛   正 文 内 容   兼容,指硬件之间、软件之间、软硬件之间相互配合的程度。兼容性测试能够验证一个软件在特定的硬件平台上、不同的应用软件之间、不同的
    的头像 发表于 06-02 08:41 807次阅读
    <b class='flag-5'>峰会</b><b class='flag-5'>回顾</b><b class='flag-5'>第</b>11<b class='flag-5'>期</b> | OpenHarmony兼容性设计与实践

    峰会回顾28 | openBrain开源漏洞感知系统

    OpenX开源研究项目开源漏洞治理、开源软件知识图谱等多个专题组专家。曾参与国家重点研发、自然科学基金等多个国家及省部级重大项目,担任多个安全项目负责人,在开源操作系统安全方向具有丰富研究和实践经验。拥有多项发明专利及软著,相关研究成果在包
    的头像 发表于 09-04 16:06 813次阅读
    <b class='flag-5'>峰会</b><b class='flag-5'>回顾</b><b class='flag-5'>第</b>28<b class='flag-5'>期</b> | openBrain开源漏洞感知<b class='flag-5'>系统</b>

    第二届大会回顾9 | 从操作系统视角看大模型数据安全挑战

    化证明、超低时延软件建模与开发等。目前主要参与的工作包括:自研自动形式化证明平台(支撑鸿蒙内核获得CC EAL 6+高等级安全认证)、基于操作系统内核层面构建的数据
    的头像 发表于 02-22 10:36 484次阅读
    第二届大会<b class='flag-5'>回顾</b><b class='flag-5'>第</b>9<b class='flag-5'>期</b> | 从<b class='flag-5'>操作系统</b>视角看大模型数据<b class='flag-5'>安全</b>挑战