浙江大學任奎教授：AIoT系統如何進行全生命周期保護？ | CCF-GAIR 2020

雷鋒網按：2020 年 8 月 7 日至 9 日，全球人工智能和機器人峰會（CCF-GAIR 2020）在深圳隆重舉行；CCF-GAIR 2020 峰會由中國計算機學會（CCF）主辦，香港中文大學（深圳）、雷鋒網聯合承辦，鵬城實驗室、深圳市人工智能與機器人研究院協辦。從 2016 年的學產結合，2017 年的產業落地，2018 年的垂直細分，2019 年的人工智能 40 周年，CCF-GAIR 一直致力于打造國內人工智能和機器人領域規模最大、規格最高、跨界最廣的學術、工業和投資平臺。

經歷了互聯網時代、移動互聯網時代，在當下物聯網時代，萬物互聯、萬物上云成趨勢，我們也更加注重網絡安全問題，如何為物聯網裝上一個獨屬于你自己的密碼，成了我們期待的事情。

2019年統計數據顯示，物聯網設備已經有50億，智能物聯網已成為未來趨勢。與此同時，“智能物聯網的攻擊面變得更加巨大（包括硬件層、系統層、網絡層、應用層、傳感器層），安全挑戰更為復雜，更加難以解決。”浙江大學網絡空間安全學院院長、求是講席教授、IEEE Fellow任奎教授在「AIoT專場」論壇上介紹稱。

任奎教授在論壇上分享了浙大網安團隊在智能物聯網系統安全方面的研究成果，主要包括兩個方面：一是全生命周期保護；二是全技術棧保護。

針對全生命周期保護包括，任奎教授進一步解釋稱：

全生命周期保護包括三方面：運行前驗證、運行時保護、運行后分析。

運行前驗證是開發過程中采用形式化方法的驗證工具，我們都知道形式化方法的安全性很高，但是技術門檻高，所以一直不能大量應用。我覺得現在形式化方法和工具逐步成熟，到了進一步推廣落地應用的時候了。

我們團隊在過去幾年里有很多這方面的探索，我們從理論研究和技術難點突破一直做到工具研制。

研發形式化驗證工具，支持需求、設計、代碼的形式化驗證，符合CC信息安全和DO178功能安全等認證結果，我們實際上已經開展了10余個國產和國外操作系統驗證工作，發現了許多安全缺陷，取得了很好的結果，下一步的重點是開展國產操作系統的形式化驗證與認證。

以下為任奎教授在CCF-GAIR 2020「AIoT專場」論壇上的演講原文，雷鋒網做了不改變原意的整理：

大家下午好！

剛剛譚院士給了一個AIoT的全局報告，前面百度、華為、TCL的朋友講的場景、業務都非常好，接下來轉換一下方向，講講和技術相關的東西。

智能物聯網安全問題分層解析

2019年的統計數據顯示，物聯網設備已經有50億臺，這些聯網設備產生大量數據，這些數據被收集上來后要如何應用呢？

人工智能技術發展迅速，從算法的發展、算力的發展、應用的增長，都有非常明顯的進步，我們拿到大量數據對模型進行訓練，得到智能感知能力，把數據和人工智能模型結合，自然而然就實現了物聯網設備的智能化，這是我們未來的愿景和戰略。

智能物聯網的應用場景也非常多樣，剛才很多工業界的朋友講得很好，很明顯的應用場景都能觀察到，自動駕駛、智能制造、智能家居、智慧醫療等等，很多企業都進行了戰略部署。

從安全角度我們怎么看待這個問題？

總體觀察，智能物聯網的攻擊面變得更加巨大（包括硬件層、系統層、網絡層、應用層、傳感器層），安全挑戰更為復雜，更加難以解決。

我們把智能物聯網的安全問題進行了分層。

傳感器層，由于傳感器層特別重要單獨分了一層，智能物聯網環境下有更多樣的傳感器，激光雷達、攝像頭、溫度傳感器、濕度傳感器、紅外傳感器等，這些傳感器會采集數據，從安全角度看，數據是不是完整、是不是可靠、有沒有被欺騙，這些數據被應用在AI模型訓練的過程中，模型本身會不會有安全問題？這是從傳感器的角度看。

硬件層，傳感器和硬件結合在一起，在智能制造和各種場景中，例如汽車的轉向剎車控制器、家用電器的開關、醫療設備的操控，這些硬件的安全問題都需要考慮到。

系統層，上述硬件需要用軟件調度、控制，形成基本的系統。例如嵌入式系統，從最簡單的設備到復雜、智能設備，自動駕駛系統等，這些軟件系統有各種各樣的漏洞。

網絡層，把這些傳感器和制動器的數據感知到以后要進行傳遞，首先有各種各樣無線接入協議，4G、5G、Wi-Fi等，通過公共網絡或者專用網絡把數據傳導到云端，通過云端進行智能決策，然后再把數據傳回來。在這個過程中，有很多存在安全問題的可能性，可以看到各種各樣的報告，對于各種各樣的無線通訊協議進行攻擊，包括WiFi、4G、5G都有可能受到攻擊。傳統的安全問題包括有惡意流量、惡意軟件，在網絡層還是沒有解決這些問題。

應用層，我們拿到的數據，在不同垂直場景下有各種各樣的應用，比如傳統的瀏覽器、導航軟件，現在在諸如醫療、家電、智能制造等不同垂直應用場景中，應用本身的邏輯是不是正確？可不可以被利用？

可以看到，在所有層面上，對智能物聯網的攻擊廣泛存在。

自動駕駛、智能家居、智慧醫療的物聯網安全案例剖析

第一，自動駕駛案例。

以特斯拉受到的攻擊為例，攻擊者對車內的傳感器進行攻擊，欺騙傳感器的讀數，Autopilot（自動駕駛系統）會因此出現混亂，導致特斯拉車輛會出現突然加速、減速、轉向等，非常危險。

特斯拉也可能會受到遠程攻擊，當特斯拉的內置瀏覽器瀏覽惡意網站后，被黑客拿到Wi-Fi的IP地址，可以控制網關，繞過系統控制，從而實現對特斯拉的遠程惡意操控。我們也看到過一個錄像，一個人在家里睡覺，把特斯拉停在家里車位上，車鑰匙在臥室里，有一個竊賊拿有線設備把無線鑰匙的信號以一種中繼的方式導到車旁邊，把車啟動開走了，這一幕剛好被監控設備拍了下來。

另一個比較有名的案例是對吉普切諾基的遠程攻擊，右邊圖片的例子是通過攻擊車載娛樂系統實現對遠程汽車的惡意操控，最后讓汽車開出路面，導致了克萊斯勒召回140萬輛車，損失巨大。

此前我們也看到過一些新聞，比如自動駕駛系統中有一個限速標志的圖片，在上面貼幾張貼紙，人肉眼看不出變化，但是自動駕駛系統會認錯，很有可能出現車禍。

第二，智能家居案例。

不管是人臉還是指紋識別都有很多漏洞，例如杭州某個廠商的快遞柜，初中生拿打印出來的人臉就把人臉識別系統給欺騙過去了；

另外，有統計表明，現在很多智能門鎖都可以輕易被攻擊成功；

在卡巴斯基的例子中，對Smart Home Hub的攻擊，先是通過網絡嗅探得到泄露的序列號，用序列號偽造惡意的系統更新，用更新后的軟件控制系統，從而控制所有與系統相連的智能家居。

第三，智慧醫療案例。

醫療系統是相對封閉的，但是它的安全性其實是很差的。據Palo Alto Networks統計數據顯示，83%的醫療智能物聯設備的軟件都無法獲得技術支持，很多時候都是過時。

很多醫療設備存在致命漏洞。這里我們給出一個例子，一個攻擊者通過連接CT機445端口，利用永恒之藍（勒索病毒）感染CT機，把CT機上的數據加密，進行勒索。現在勒索病毒比以前更智能，可以通過比特幣匿名支付形式進行勒索。更可怕的是，攻擊者可以控制CT機，發布惡意指令，造成病人人身安全。

第四，舉一個我們團隊自己的例子-AI模型攻擊。

現在很流行在社交網絡上通過人工智能模型制作AI Model，比如左下方的圖片，表面上看到的是AR增強之后的動態圖片或者Animoji，實際上我們可以通過它反向推出你真正臉的照片。

我們團隊實現了世界上首個針對Amazon商用人臉識別服務的攻擊。在這個商用系統中輸入一張圖片后，系統會對圖片進行分析，我們自己從網絡上找一些照片拿來做訓練，做反向推導，從而逆向出輸入的人臉圖片。如果原始輸入是比較清晰的圖片，在攻擊情況下可以看到逆向攻擊的結果非常逼真。

前陣子我們做了另外一項攻擊研究，比如在手機上不用任何授權，用加速度計就可以竊聽、還原你通話的聲音。在智能物聯網的環境下，通過傳感器的數據、深度學習的能力等交互應用，可以做很多各種各樣的攻擊。

智能物聯網安全研究成果一：全生命周期保護

今天我主要想講浙大網安團隊在智能物聯網系統安全方面自己的研究成果，可以概括為兩方面：

第一，全生命周期保護；第二，全技術棧保護。

全生命周期保護包括三方面：運行前驗證、運行時保護、運行后分析。

第一，運行前驗證。

運行前驗證是開發過程中采用形式化方法的驗證工具，我們都知道形式化方法的安全性很高，但是技術門檻高，所以一直不能大量應用。我覺得現在形式化方法和工具逐步成熟，到了進一步推廣落地應用的時候了。

這里需要提到形式化方法。

形式化方法是基于嚴格的數據邏輯，對計算機軟硬件系統進行描述、開發和驗證的技術。首先要對開發的系統進行形式化描述，根據描述進行開發，然后使用形式化的工具進行驗證。

往往由于工作量的關系，我們只能對系統最關鍵的部分做驗證是否有漏洞。

形式化方法非常重要，基于經驗的開發模式，你很難保證它的高安全可靠性。因而，不管是A級安全、IEC 61508，還是CC認證，各行業的安全驗證都強烈推薦或者使用形式化驗證。如果你要說我的系統非常安全，要去做第三方的安全軟件評估，一定要經過形式化這條路徑。

我們團隊在過去幾年里有很多這方面的探索，我們從理論研究和技術難點突破一直做到工具研制。我們希望在航空航天、物聯網、無人車以及工業控制、金融安全做一些事情。我們對標的是國外重大研究計劃，包括DARPA HACMS計劃、NSF計算機探險重大計劃和歐盟REMS重大項目。

我們團隊在過去幾年里有很多這方面的探索，我們從理論研究和技術難點突破一直做到工具研制。

研發形式化驗證工具，支持需求、設計、代碼的形式化驗證，符合CC信息安全和DO178功能安全等認證結果，我們實際上已經開展了10余個國產和國外操作系統驗證工作，發現了許多安全缺陷，取得了很好的結果，下一步的重點是開展國產操作系統的形式化驗證與認證。

這其實是一個策略，不是具體的方法。不論你如何開發嵌入式系統或者智能系統，都需要考慮如何運用這個策略來管理一整套從開發到驗證到部署的流程。

第二，運行時防護。

我們想推的是軟硬件一體化防護。我們知道系統保護往往植根于硬件的安全機制，比如說在代碼保護方面，X86上的DEP，在ARM上的XN，在隔離環境硬件實現有ARM TrustZone、Intel SGX等。

相較于軟件實現的保護，硬件安全性更強，硬件安全可以作為一個基礎，是安全的堡點。但是它成本很高，而且不靈活，部署后沒有辦法更改。例如MPX、英特爾花巨資研發的邊界檢查硬件機制，2015年被部署之后遭到棄用，2019年就從Linux內核中被移出了。硬件實現，優點是高安全性和高性能，缺點是成本高、靈活性差。

為了解決硬件防護的問題，我們提出軟硬一體化防護。

現在我們的一個新機遇是RISC-V開源架構，其開放指令集為我們提供了自主可控硬件設計的新機遇。阿里、華為都在進行積極部署。RISC-V的優勢是硬件上降低了成本，可以重用工具鏈。現在流片費用可以從千萬降至十萬量級，現在在大學實驗室已經可以流片，而且不會覺得負擔特別重。

從另一方面講，AIoT市場高度碎片化，而RISC-V適合定制，給小公司、高校、科研院所提供了新機遇。另外RISC-V本身的安全機制比較缺乏，欠缺如ARM TrustZone 、Intel SGX、AMD SME/SEV等安全機制，這本身就是機會。

前面提到硬件安全設計具有成本高、不靈活的兩個缺點。而RISCV可以把成本降下來，解決成本高的問題。我們團隊的工作是提出了解決硬件靈活性的新思想。

基本思路是兩個：

• 第一是硬件安全機制模塊化，抽象系統的安全需求分解為基本模塊，用硬件來實現基本模塊，保證高安全性和高性能。

• 第二是軟硬實現一體化，首先使用軟件實現保護原型，進行長期驗證，保證其有效性。另外使用軟件來組合、重用硬件實現的基本模塊，靈活地實現多種系統保護機制。

總結來說，硬件實現基本操作，保證安全性和高效性，軟件組合、重用硬件操作保證靈活性。

具體我為大家介紹一下我們現在正在做的兩件事。

第一，寄存器加密，我們可以直接加密寄存器，為寄存器提供完整性和機密性的保護，這樣不僅可以加密代碼、控制流、數據流，還可以實現數據的防泄漏、地址的防泄漏，對代碼、控制流和數據流完整性保護。

第二，我們還設計了一個內存標簽，我們擴展了寄存器和內存，并加上一個標簽位，這樣我們可以區分、設計敏感數據的保護，甚至隔離。

這兩個都是基于硬件設計的，又是比較底層的功能，在上層用軟件利用這些硬件設計，實現更完整的保護體系，進而實現全生命周期控制流、數據流防護，實現威脅追蹤和感知。我們認為這是未來的方向。

這兩件事兒是我們正在做的，預計明年流片，我們希望將這些硬件和軟件結合起來，能夠有新的一體化的保護機制。

第三，運行后分析。

除了運行前驗證，運行時保護，現有的軟硬件可以收集IoT設備運行數據，同時也可以利用新型的硬件，比如剛剛提到的內存標簽來收集更細密度的運行數據，有了更廣泛、層面更多的數據后，我們可以進行數據分析，比如采用傳統的異常檢測，根據大量的正常行為標記出異常行為。

同時我們也可以使用人工智能算法使用大量數據訓練AI模型，進行攻擊行為的檢測。 

這是全生命周期的保護，事前，要用形式化方法介入；事中，我們希望能夠有軟硬件一體化的新型安全方案；事后，我們希望有數據驅動的安全來更有效、更著重解決這些問題。

智能物聯網安全研究成果二：全技術棧保護

全技術棧保護，簡單可以劃分為多層次防護和多維度防護。

第一，多層次防護。

我們知道，攻防不斷演進，傳感器、網絡、系統、硬件，每個層次上都可以部署不同的防護方案，做到多層次防護。

傳感器層面，針對感知欺騙與邊信道信息竊取進行防護，人工智能對抗性模型的防護；

硬件層，利用已有的硬件設計新的軟件安全機制，同時在條件允許情況下設計基于新型硬件的安全機制；

系統層，基于靜態的分析、動態的防護，做到系統層保護。

以及在網絡層、應用層，我們都有我們自己的思考。

第二，多維度防護。

我們知道，每一層都可能遇到針對代碼、控制流、數據流三個維度的攻擊。

針對于智能物聯網的各個層次，我們提出了多維度防護。在每個層次中我們均需要保護代碼，控制流和數據流等三個維度。

最原始也是最強的攻擊是代碼注入攻擊。通過漏洞向系統注入代碼，使用注入代碼完成各種惡意操作。

在這個方面我們的工研究工作提出使用隔離環境保護代碼段，保護已有代碼不被惡意篡改；同時使用PXN（Privileged Execute Never, 特權級別不可執行）以及SMEP（Supervisor Mode Execution Prevention,管理模式執行保護），杜絕注入新的代碼，從而徹底的防護了代碼注入攻擊。

在代碼注入攻擊被防護之后，攻擊者不能注入新的代碼，自然而然的想到重用已有的代碼，通過劫持控制流，重用已有的代碼片段，構造新的攻擊函數，導致控制流劫持攻擊。針對控制流劫持攻擊，我們提出使用ARM指令驗證硬件機制，保護控制流，同時我們也基于riscv設計了新型的硬件保護機制，能夠更高效、更安全的保護控制流。

在攻擊的演化過程中，攻擊者提出了不改變控制流，通過篡改系統關鍵數據，拿到系統權限，泄漏系統密鑰，被稱為數據攻擊。針對于數據攻擊，我們設計了軟件保護，同時也在基于設計支持word粒度的內存保護新型硬件。

所以我們的研究工作覆蓋各個維度，做到多維度防護。

總結一下，我們提出兩個智能物聯網系統安全防護的概念：一是全生命周期保護，二是全技術棧保護。

智能物聯網硬件碎片化，功能多樣化，攻擊面更大，導致我們的防護難度更大。我覺得新的需求或者新的技術也帶來了新的機遇，

我們提出使用形式化驗證、軟硬一體化防護、數據驅動安全做到全生命周期保護，通過多層次、多維度防護做到全技術棧保護。

通過全生命周期保護和全技術棧保護，來為智能物聯網設備系統安全保駕護航。

這些是我們浙大網安團隊的一些研究成果和觀點，謝謝大家。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。