本次技術(shù)論壇由OpenHarmony項目群技術(shù)指導(dǎo)委員會主辦，武漢大學(xué)OpenHarmony技術(shù)俱樂部承辦，華中科技大學(xué)OpenHarmony技術(shù)俱樂部協(xié)辦。武漢大學(xué)副教授、武漢大學(xué)OpenHarmony技術(shù)俱樂部主任張立強擔(dān)任本次技術(shù)論壇出品人，并邀請到學(xué)術(shù)界以及工業(yè)界的多位專家學(xué)者來到活動現(xiàn)場進行技術(shù)報告，包括OpenHarmony項目群技術(shù)指導(dǎo)委員會主席、IEEE Fellow、上海交通大學(xué)特聘教授陳海波，OpenHarmony項目群技術(shù)指導(dǎo)委員會安全及機密計算TSG負責(zé)人、華為公司科學(xué)家委員會副首席科學(xué)家付天福，武漢大學(xué)計算機學(xué)院副院長玄躋峰，華中科技大學(xué)網(wǎng)安學(xué)院常務(wù)副院長鄒德清，武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院黨委書記趙波，上海交通大學(xué)教授夏虞斌，浙江大學(xué)研究員紀(jì)守領(lǐng)，華中科技大學(xué)副教授慕冬亮，武漢大學(xué)教授趙磊，中科院信工所副研究員王文浩，以及OpenHarmony項目群技術(shù)指導(dǎo)委員會委員、中軟國際智能物聯(lián)網(wǎng)軍團CTO張兆生。本次技術(shù)論壇分成上午和下午兩個部分，上午由武漢大學(xué)OpenHarmony技術(shù)俱樂部主任張立強主持，下午由武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院信息安全系主任王鵑教授主持。

合影留念

論壇出品人&上午主持人武漢大學(xué)張立強副教授

論壇下午主持人武漢大學(xué)王鵑教授

OpenHarmony項目群技術(shù)指導(dǎo)委員會主席、IEEE Fellow、上海交通大學(xué)特聘教授陳海波在“萬物智聯(lián)時代軟硬件協(xié)同的操作系統(tǒng)安全與OpenHarmony思考”的報告中指出，操作系統(tǒng)是萬物智聯(lián)時代系統(tǒng)安全的基座，隨著接入設(shè)備數(shù)量的增加以及各種安全漏洞的威脅，萬物智聯(lián)時代的操作系統(tǒng)需要從單設(shè)備安全走向分布式全生命周期的安全。在報告中，陳海波教授回顧了萬物智聯(lián)時代操作系統(tǒng)所面臨的安全挑戰(zhàn)，并分析了當(dāng)前硬件的安全擴展以及帶來的安全提升機會，介紹當(dāng)前國際學(xué)術(shù)界以及上海交大IPADS團隊在軟硬件協(xié)同安全提升方面的一系列工作，最后展望了面向OpenHarmony未來的研究機遇與挑戰(zhàn)。

OpenHarmony TSC 主席、IEEE Fellow、上海交通大學(xué)特聘教授陳海波

OpenHarmony項目群技術(shù)指導(dǎo)委員會安全及機密計算TSG負責(zé)人、華為公司科學(xué)家委員會副首席科學(xué)家付天福由于時間沖突，線上與會進行技術(shù)分享。付天福在“基于分級安全的OpenHarmony架構(gòu)設(shè)計”的報告中提到，分級安全理論是OpenHarmony安全架構(gòu)的核心邏輯，即確保正確的人（主體），用正確的設(shè)備（環(huán)境），正確地使用數(shù)據(jù)（客體），并以此為基礎(chǔ)，展開介紹了程序分級管理的實現(xiàn)邏輯、OpenHarmony系統(tǒng)中的數(shù)據(jù)分級安全架構(gòu)和防泄漏機制及其應(yīng)用場景，重點分享了對于絕密數(shù)據(jù)如何保證不泄密的分布式門限密碼架構(gòu)。

OpenHarmony TSC 安全及機密計算TSG負責(zé)人、華為公司科學(xué)家委員會副首席科學(xué)家付天福

武漢大學(xué)計算機學(xué)院副院長玄躋峰教授在“測試驅(qū)動的軟件系統(tǒng)質(zhì)量保障：實踐與思考”的報告中提到，軟件質(zhì)量問題難以預(yù)知，軟件質(zhì)量保障技術(shù)，包括測試、調(diào)試、定位、重現(xiàn)等，可以有效降低人力消耗，提升軟件生產(chǎn)效率。玄躋峰教授圍繞現(xiàn)代軟件工程中軟件開發(fā)及質(zhì)量保障的智能化，介紹了測試驅(qū)動的軟件質(zhì)量保障的實踐基礎(chǔ)，并分享了近期對該領(lǐng)域研究的幾點思考。

武漢大學(xué)計算機學(xué)院副院長玄躋峰

華中科技大學(xué)網(wǎng)安學(xué)院常務(wù)副院長鄒德清教授在“軟件漏洞智能檢測”的報告中提到，開源社區(qū)目前已成為現(xiàn)代軟件業(yè)發(fā)展的關(guān)鍵部分，但開源軟件漏洞帶來的威脅也越來越嚴(yán)重。針對目前開源代碼工作普遍存在漏報誤報嚴(yán)重問題的痛點，鄒德清教授介紹了一種檢測效果明顯優(yōu)于傳統(tǒng)檢測方法的開源代碼的智能檢測手段。

華中科技大學(xué)網(wǎng)安學(xué)院常務(wù)副院長鄒德清

武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院黨委書記趙波教授在“可信的機密計算環(huán)境構(gòu)造的思考”的報告中提到，機密環(huán)境是目前形勢下一種有效的系統(tǒng)安全保障方法，但在目前的機密環(huán)境形成過程中，由于依賴CPU并有不開源等各種各樣的原因，其自身的安全性受到了影響和質(zhì)疑。基于此，趙波教授所帶領(lǐng)的學(xué)術(shù)團隊正在研究利用可信計算的方法，構(gòu)造一種開源的、不依賴于CPU的第三方、可信的機密計算環(huán)境，解決目前安全操作系統(tǒng)工作中的困境，以適應(yīng)當(dāng)前的安全需求。

武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院黨委書記趙波

上海交通大學(xué)夏虞斌教授在“操作系統(tǒng)安全與性能”的報告中提到，操作系統(tǒng)安全帶來的性能損失已經(jīng)越來越不可忽視，稱為系統(tǒng)“安全稅”。近年來主流芯片廠商不斷推出安全與隔離相關(guān)的硬件擴展，為操作系統(tǒng)安全稅的降低帶來了機遇。在報告中，夏虞斌教授介紹了系統(tǒng)安全稅的組成，并重點分享了目前利用軟硬件協(xié)同方法降低安全稅的一些研究成果。

上海交通大學(xué)教授夏虞斌

浙江大學(xué)紀(jì)守領(lǐng)研究員在“Detecting Missed Security Operations Through Differential Checking of Object-based Similar Paths”的報告中提到，缺乏安全操作已經(jīng)成為導(dǎo)致安全關(guān)鍵錯誤的主要原因，通過自動檢測手段判斷項目代碼是否缺乏安全操作是至關(guān)重要的，同時也具有較大挑戰(zhàn)。在報告中，紀(jì)守領(lǐng)研究員介紹了一個用于安全缺陷檢測的靜態(tài)分析框架IPPO（Inconsistent Path Pairs as a bug Oracle），該框架基于差分檢驗，相較于傳統(tǒng)方法具有更高的精度，且已經(jīng)在Linux kernel、OpenSSL library、FreeBSD kernel以及PHP等目前最受歡迎的開源項目上進行了評估并取得了不錯的效果。

浙江大學(xué)研究員紀(jì)守領(lǐng)

華中科技大學(xué)慕冬亮副教授在“OpenHarmony之內(nèi)核軟件供應(yīng)鏈安全威脅探討”的報告中提到，作為國產(chǎn)操作系統(tǒng)的代表之一，OpenHarmony系統(tǒng)構(gòu)建依賴于Linux內(nèi)核與其他第三方開源軟件。因此，OpenHarmony系統(tǒng)中存在一定的開源軟件供應(yīng)鏈安全威脅。軟件供應(yīng)鏈“投毒”攻擊將直接導(dǎo)致人為制造的軟件漏洞或惡意代碼傳播到供應(yīng)鏈下游廠商，如OpenHarmony。一旦Linux內(nèi)核被惡意攻擊者注入安全漏洞，同時漏洞經(jīng)過供應(yīng)鏈傳播到下游基于Linux的國產(chǎn)開源操作系統(tǒng)，那么后果將不堪設(shè)想。在報告中，慕冬亮副教授重點探討了OpenHarmony中存在的內(nèi)核軟件供應(yīng)鏈安全威脅，并介紹了目前其團隊針對內(nèi)核軟件供應(yīng)鏈安全威脅的一些研究成果。

華中科技大學(xué)副教授慕冬亮

武漢大學(xué)趙磊教授在“基于代碼和文檔規(guī)范挖掘的API誤用檢測”的報告中提到，在現(xiàn)代軟件開發(fā)中，API提供了預(yù)先構(gòu)建的功能，提高了軟件開發(fā)效率。然而，API的誤用不僅會導(dǎo)致功能受損，還有可能帶來安全影響。在報告中，趙磊教授介紹了團隊在該方向的一些研究成果，通過觀察代碼和文檔所攜帶的信息可以在一定程度上相互補充的現(xiàn)象，設(shè)計提出了APICAD，通過結(jié)合從代碼和文檔中挖掘的規(guī)范來檢測C/C++的API誤用缺陷。實驗表明，APICAD可以有效識別不同的API使用語義，并支持對不同類型的API誤用缺陷進行檢測。

武漢大學(xué)教授趙磊

中科院信工所王文浩副研究員在“芯片安全計算架構(gòu)”的報告中提到，系統(tǒng)安全的研究目標(biāo)之一是通過軟硬件協(xié)作的隔離機制實現(xiàn)安全計算環(huán)境。隔離機制影響安全計算環(huán)境的可信計算基和攻擊面，決定了與其它組件的交互和協(xié)作方式，進而影響安全計算環(huán)境的計算和通信效率。在報告中，王文浩副研究員總結(jié)了安全計算環(huán)境的資源共享導(dǎo)致的隔離不充分的問題，并以可信執(zhí)行環(huán)境這一新型安全計算環(huán)境為目標(biāo)，介紹了目前在側(cè)信道攻擊和防御以及新型可信執(zhí)行環(huán)境架構(gòu)方面的工作進展。

中科院信工所副研究員王文浩

OpenHarmony項目群技術(shù)指導(dǎo)委員會委員、中軟國際智能物聯(lián)網(wǎng)軍團CTO張兆生在“依托OpenHarmony安全底座，構(gòu)建萬物智聯(lián)行業(yè)應(yīng)用”的報告中提到，智能物聯(lián)網(wǎng)需要多種設(shè)備的廣泛接入，并與人工智能，大數(shù)據(jù)等技術(shù)深度融合，在帶來便利的同時，也對信息安全帶來了新的挑戰(zhàn)。OpenHarmony作為萬物智聯(lián)時代的數(shù)字底座，在實現(xiàn)設(shè)備互助、資源共享的同時，構(gòu)建了數(shù)據(jù)、設(shè)備、用戶等安全體系，為萬物智聯(lián)的行業(yè)應(yīng)用提供了安全保障。

OpenHarmony TSC 委員、中軟國際智能物聯(lián)網(wǎng)軍團CTO張兆生

E N D