4月16日，OpenHarmony城市技術論壇（以下簡稱為“技術論壇”）【第1站】——上海站于上海黃大年茶思屋圓滿舉辦。本次技術論壇從“終端操作系統十大技術挑戰”出發，將主題聚焦在“操作系統安全與可靠”，從學術界和工業界的多個維度，討論全棧協同的操作系統安全增強、隱私保護和可靠性提升的方法，以更好地應對物聯網時代設備、網絡和應用安全面臨的巨大挑戰。

本次技術論壇由OpenHarmony技術指導委員會主辦，上海交通大學OpenHarmony技術俱樂部承辦，上海黃大年茶思屋支持。上海交通大學OpenHarmony技術俱樂部主任夏虞斌教授擔任本次技術論壇出品人，并邀請到多位技術專家來到上海黃大年茶思屋現場進行技術報告，包括OpenHarmony技術指導委員會主席、IEEE Fellow、上海交通大學特聘教授陳海波，中科院軟件所副所長、OpenHarmony技術指導委員會委員武延軍，華為可信領域副首席科學家、OpenHarmony技術指導委員會安全及機密計算TSG負責人付天福，華東師范大學教授石亮，復旦大學高級工程師蔣金虎，南京大學副教授蔣炎巖，復旦大學副教授楊哲慜，浙江大學百人計劃研究員申文博，OpenHarmony安全及機密計算TSG成員、華為中央軟件院OS內核實驗室iTrustee安全OS團隊SEG Leader王季，上海交通大學助理研究員糜澤羽，上海交通大學助理研究員華志超。

合影留念

論壇出品人&主持人上海交通大學夏虞斌教授

OpenHarmony技術指導委員會主席，IEEE Fellow，上海交通大學特聘教授陳海波從“操作系統安全的橫向與縱向”這兩個維度與我們分享了系統安全的方法論，探討了當前我們面臨的主要挑戰。操作系統伴隨著產業浪潮誕生與發展，如今已經到了萬物智聯的時代。OpenHarmony朝著萬物智聯的場景化和生態化邁進，需要解決來自終端操作系統的三類技術挑戰，分別是極致體驗、純凈安全、極簡開發。為了解決純凈安全這一挑戰，系統安全設計人員需要設定合理的安全目標，并設定對應的威脅模型，比如預料可能的攻擊者、評估攻擊的經濟成本等。陳海波教授討論了兩個系統安全增強的方法，其一是減少可信基的大小，提升可信基安全性，比如微內核架構的模塊化隔離設計；另一個是提供更有效的安全隔離方法，如利用領域特定的軟硬件協同，形成縱深防御，以及借助異構硬件的安全互助，構成更強的聯防聯控網絡。

OpenHarmony技術指導委員會主席，IEEE Fellow，上海交通大學特聘教授陳海波

在“操作系統安全：開源軟件供應鏈的視角”中，中科院軟件所副所長、OpenHarmony技術指導委員會委員武延軍分享了開源模式下操作系統構建的本質：一個成熟的商業操作系統（以安卓為例）需要對數以萬計的軟件包進行嚴格的供應鏈管控。他強調，開源模式下構建操作系統的本質是對開源軟件的供應鏈整合優化，即“選取好用的、優化可用的、補齊缺失”的，根據相互依賴關系、按照層次和順序進行編譯構建。因此，操作系統安全首先要解決供應鏈安全問題。目前開源軟件供應鏈面臨著“漏洞傳播快”、“供應鏈投毒”、“上游斷檔或者任性升級甚至跑路”，以及“發展過快、規模過大、難以管理”等多維度的嚴峻挑戰。武延軍副所長介紹了2019年在中科院先導專項支持下開展的開源軟件基礎設施——“源圖”平臺的建設情況。“源圖”目前已經服務了openEuler漏洞感知、OpenHarmony供應鏈關鍵環節評級、RISC-V 軟件生態“卡位”支撐等重要領域。他展望道，隨著供應鏈整合的成功，操作系統的安全問題也會逐漸收斂。

中科院軟件所副所長、OpenHarmony技術指導委員會委員武延軍

隨著移動IoT設備的快速發展，特別是隨著鴻蒙操作系統的廣泛部署，基于消費終端的跨設備管理變得越來越普遍。基于此，華東師范大學教授石亮給我們帶來了“消費操作系統跨設備場景的安全與可靠性初探”的技術報告。他介紹到，通過跨設備能夠在處理更多任務的同時實現設備間協同訪問和管理的能力，然而，現有的跨設備管理依然存在諸多問題，特別是當網絡環境不穩定的場景下，如何保障跨設備訪問的可靠與安全變得至關重要。為了解決以上問題，石亮教授及他的團隊從文件系統、內存管理和進程管理三個角度展開研究，設計了跨設備的分布式文件系統、跨設備的內存協同以及跨設備的進程調度技術，探索從跨設備的角度研究操作系統安全與可靠性的解決方案，從而保障數據訪問的可靠性。未來，他們將展開更多關于安全性的相關技術研究。

華東師范大學教授石亮

南京大學副教授蔣炎巖分享了“Mosaic操作系統模型和檢查器”。他談到，長久以來，《操作系統》課程由于其貫穿計算機軟硬件系統棧的特點，被普遍認為是一門概念松散、重視實踐經驗的課程。“如何構建正確的系統軟件”這一操作系統研究領域的重要問題往往在課堂中被忽略。蔣炎巖副教授在報告中介紹了一個功能完整的精簡操作系統模型和檢查器的設計與實現，即Mosaic。該報告拆解了其建模進程、線程、持久存儲的過程，并描述了它的9個系統調用。最后，他還演示了如何把“非形式”的形式化方法貫穿到操作系統教學中，為更多老師提供了教學方法借鑒。

南京大學副教授蔣炎巖

上海交通大學助理研究員糜澤羽老師在“DuVisor：軟硬協同的用戶態Hypervisor”報告中介紹到，目前主流的系統虛擬化系統由兩部分組成：使用硬件虛擬化的內核駐留程序，和提供虛擬機管理和I/O虛擬化的用戶態進程。這種虛擬化架構在安全性和性能方面都存在問題。先前工作將內核功能卸載到用戶態以最小化內核部分，盡管更多的卸載可以減少內核的攻擊面，但卻增加了內核態與用戶態之間的模式切換，增加了虛擬化系統的性能開銷，因此這種設計面臨著安全與性能的權衡。糜澤羽老師在報告中介紹了一種軟硬件結合的新型虛擬化系統設計，它將內核駐留程序參與的控制平面與用戶態進程的數據平面完全分開，從而消除了內核在虛擬機運行時的干預。基于這種設計而實現的用戶態虛擬機監控器DuVisor，可以直接在用戶態處理幾乎所有的虛擬機下陷，包括在用戶態配置虛擬機寄存器，管理第二階段頁表并實現高效的I/O虛擬化。目前，糜老師的團隊已經在一個開源的RISC-V CPU上實現了硬件擴展，并構建了基于Rust的虛擬機監控器，據FireSim平臺的評估數據顯示，DuVisor給應用帶來的開銷低于5%。

上海交通大學助理研究員糜澤羽

在“基于分級安全的OpenHarmony架構設計”報告中，華為可信領域副首席科學家、OpenHarmony技術指導委員會安全及機密計算TSG負責人付天福提出，“分級安全理論是OpenHarmony安全架構的核心邏輯，即確保正確的人（主體），用正確的設備（環境），正確地使用數據（客體）。”基于此，他向大家展開介紹了程序分級管理的實現邏輯、OpenHarmony系統中的數據分級安全架構和防泄漏機制及其應用場景，其中，他重點分享了對于絕密數據如何保證不泄密的分布式門限密碼架構。

華為可信領域副首席科學家付天福

隨著計算范圍邊界的拓展，未來邊緣計算、云邊端協同計算、泛在計算等成為趨勢。這些計算具有硬件屬性多、服務需求多和低安全性的特點，需要操作系統具有多場景、高可靠和高安全機制。然而，當前主流操作系統無法為這些應用提供有效的支撐。基于此背景，復旦大學高級工程師蔣金虎老師分享了“面向多場景、高可靠和高安全的多內核操作系統研究”報告。該報告圍繞研究多屬性內核、多內核架構、資源虛擬化以實現對多樣化硬件的高效適配以及復雜場景的高可靠支持、研究核間通信和共識機制以實現操作系統內生安全屬性支持的部分案例及成果展開。蔣金虎老師希望，他們的研究能夠對未來操作系統發展貢獻力量。

復旦大學高級工程師蔣金虎

在“iTrustee安全OS的發展與演進”中，OpenHarmony技術指導委員會安全及機密計算TSG成員、華為中央軟件院OS內核實驗室iTrustee安全OS團隊SEG Leader王季分享了華為iTrustee自研安全OS從0到1的構建和發展路徑、目前拓展機密計算領域的思路以及未來擺脫硬件約束，從封閉走向開放，解決數據流轉安全的新形態安全OS規劃。

OpenHarmony技術指導委員會安全及機密計算TSG成員、華為中央軟件院OS內核實驗室iTrustee安全OS團隊SEG Leader王季

復旦大學楊哲慜副教授在“移動平臺跨用戶隱私數據分享的安全問題”報告中介紹到，數據信息時代下，“個人信息收集”現象廣泛存在于各個應用程序內，伴隨移動平臺的業務延展，大量應用選擇將用戶數據推薦、共享給其他用戶，形成個人信息傳播鏈的新環節：跨用戶個人信息分享。為了識別移動應用過度分享用戶個人信息，造成用戶隱私泄露隱患等一系列安全缺陷，楊哲慜副教授及他的團隊提出了一種基于靜態程序分析，結合機器學習的跨用戶數據分享安全評估方法。具體而言，他們采用雙向程序切片技術定位用戶敏感數據，結合機器學習識別跨用戶信息，并通過應用程序的行為不一致性發現潛在安全漏洞。通過此方法，他們在13,820款受測移動應用中發現了1,902款應用(13.76%)存在隱私泄露風險，為移動平臺的進一步隱私安全治理提供了參考。

復旦大學副教授楊哲慜

以容器為核心的云原生技術具有效率高、啟動快、部署靈活等優勢，近年來獲得了大規模應用，已成為云計算的關鍵支撐技術。云原生系統主要依賴操作系統內核機制進行容器隔離和資源限制。然而，當前支撐云原生的關鍵內核機制缺乏系統性的安全分析，對資源的隔離和限制性不足。針對這些問題，浙江大學百人計劃研究員申文博老師介紹了他及他的團隊關于容器資源隔離和限制的兩項研究工作。在容器資源隔離方面，他們揭示了操作系統級虛擬化的固有問題——共享內核變量和數據結構。這些共享抽象資源可被用于攻擊操作系統所有主要功能，甚至直接攻擊所有主流操作系統。在容器資源限制方面，他們系統性地分析了Linux內核內存記賬缺失漏洞，找出了53個記賬缺失漏洞，修復了37個，獲得了兩個CVE編號：CVE-2021-3759和CVE-2022-0480。

浙江大學百人計劃研究員申文博

隔離是提高操作系統安全性的重要機制。上海交通大學助理研究員華志超老師在“面向操作系統細粒度隔離的權限管控架構”中介紹到，隔離機制通過控制對軟件和硬件資源的訪問權限，將單一龐大的操作系統內核解耦為多個相互隔離的組件，并實施最小權限原則。細粒度的隔離能夠精確管控操作系統不同模塊的權限，從而提升系統的整體安全性。然而，現有的操作系統隔離工作主要關注內存隔離，而忽略了指令與寄存器資源（即ISA資源），但相關工作表明濫用ISA資源會導致嚴重的安全問題。與之對應的，現有硬件僅對ISA資源提供基于特權級的粗粒度訪問控制，例如ARM Cortex A53有幾百條系統指令/寄存器，但只提供了四個異常級別（EL0到EL3），無法支撐操作系統的細粒度隔離需求。為此，ISA-Grid系統提出了一套面向指令與寄存器資源的細粒度權限管控硬件架構，能夠在內核態創建多個ISA隔離域，并賦予每個域對指令與寄存器資源的不同訪問權限。基于ISA-Grid能夠對內核態軟件實現比特粒度的ISA資源管控，補齊了現有內核隔離方法在ISA資源上的短板，支撐對內核實現細粒度的權限解耦。技術報告展示，ISA-Grid在RISC-V與X86兩個指令集架構上實現了硬件擴展，并基于Linux內核實現了功能隔離與系統安全服務隔離兩類操作系統隔離的樣例，ISA-Grid在支撐細粒度操作系統隔離的同時僅造成了平均1%以內的性能損失。

上海交通大學助理研究員華志超

面向萬物智聯時代，操作系統安全與可靠相關方面的研究將持續深入。安全是防線也是底線，守好安全，才能實現信息產業的長久發展。本次技術論壇的圓滿結束，是終點也是起點，期待未來城市技術論壇能從更多方面展開探討，為基礎軟件“自立自強”貢獻OpenHarmony力量。

E N D

關注我們，獲取更多精彩。