雷鋒網(wǎng)按：2020 年 8 月 7 日至 9 日，全球人工智能和機器人峰會（CCF-GAIR 2020）在深圳隆重舉行；CCF-GAIR 2020 峰會由中國計算機學(xué)會（CCF）主辦，香港中文大學(xué)（深圳）、雷鋒網(wǎng)聯(lián)合承辦，鵬城實驗室、深圳市人工智能與機器人研究院協(xié)辦。從 2016 年的學(xué)產(chǎn)結(jié)合，2017 年的產(chǎn)業(yè)落地，2018 年的垂直細(xì)分，2019 年的人工智能 40 周年，CCF-GAIR 一直致力于打造國內(nèi)人工智能和機器人領(lǐng)域規(guī)模最大、規(guī)格最高、跨界最廣的學(xué)術(shù)、工業(yè)和投資平臺。

經(jīng)歷了互聯(lián)網(wǎng)時代、移動互聯(lián)網(wǎng)時代，在當(dāng)下物聯(lián)網(wǎng)時代，萬物互聯(lián)、萬物上云成趨勢，我們也更加注重網(wǎng)絡(luò)安全問題，如何為物聯(lián)網(wǎng)裝上一個獨屬于你自己的密碼，成了我們期待的事情。

2019年統(tǒng)計數(shù)據(jù)顯示，物聯(lián)網(wǎng)設(shè)備已經(jīng)有50億，智能物聯(lián)網(wǎng)已成為未來趨勢。與此同時，“智能物聯(lián)網(wǎng)的攻擊面變得更加巨大（包括硬件層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層、傳感器層），安全挑戰(zhàn)更為復(fù)雜，更加難以解決。”浙江大學(xué)網(wǎng)絡(luò)空間安全學(xué)院院長、求是講席教授、IEEE Fellow任奎教授在「AIoT專場」論壇上介紹稱。

任奎教授在論壇上分享了浙大網(wǎng)安團(tuán)隊在智能物聯(lián)網(wǎng)系統(tǒng)安全方面的研究成果，主要包括兩個方面：一是全生命周期保護(hù)；二是全技術(shù)棧保護(hù)。

針對全生命周期保護(hù)包括，任奎教授進(jìn)一步解釋稱：

全生命周期保護(hù)包括三方面：運行前驗證、運行時保護(hù)、運行后分析。

運行前驗證是開發(fā)過程中采用形式化方法的驗證工具，我們都知道形式化方法的安全性很高，但是技術(shù)門檻高，所以一直不能大量應(yīng)用。我覺得現(xiàn)在形式化方法和工具逐步成熟，到了進(jìn)一步推廣落地應(yīng)用的時候了。

我們團(tuán)隊在過去幾年里有很多這方面的探索，我們從理論研究和技術(shù)難點突破一直做到工具研制。

研發(fā)形式化驗證工具，支持需求、設(shè)計、代碼的形式化驗證，符合CC信息安全和DO178功能安全等認(rèn)證結(jié)果，我們實際上已經(jīng)開展了10余個國產(chǎn)和國外操作系統(tǒng)驗證工作，發(fā)現(xiàn)了許多安全缺陷，取得了很好的結(jié)果，下一步的重點是開展國產(chǎn)操作系統(tǒng)的形式化驗證與認(rèn)證。

以下為任奎教授在CCF-GAIR 2020「AIoT專場」論壇上的演講原文，雷鋒網(wǎng)做了不改變原意的整理：

大家下午好！

剛剛譚院士給了一個AIoT的全局報告，前面百度、華為、TCL的朋友講的場景、業(yè)務(wù)都非常好，接下來轉(zhuǎn)換一下方向，講講和技術(shù)相關(guān)的東西。

智能物聯(lián)網(wǎng)安全問題分層解析

2019年的統(tǒng)計數(shù)據(jù)顯示，物聯(lián)網(wǎng)設(shè)備已經(jīng)有50億臺，這些聯(lián)網(wǎng)設(shè)備產(chǎn)生大量數(shù)據(jù)，這些數(shù)據(jù)被收集上來后要如何應(yīng)用呢？

人工智能技術(shù)發(fā)展迅速，從算法的發(fā)展、算力的發(fā)展、應(yīng)用的增長，都有非常明顯的進(jìn)步，我們拿到大量數(shù)據(jù)對模型進(jìn)行訓(xùn)練，得到智能感知能力，把數(shù)據(jù)和人工智能模型結(jié)合，自然而然就實現(xiàn)了物聯(lián)網(wǎng)設(shè)備的智能化，這是我們未來的愿景和戰(zhàn)略。

智能物聯(lián)網(wǎng)的應(yīng)用場景也非常多樣，剛才很多工業(yè)界的朋友講得很好，很明顯的應(yīng)用場景都能觀察到，自動駕駛、智能制造、智能家居、智慧醫(yī)療等等，很多企業(yè)都進(jìn)行了戰(zhàn)略部署。

從安全角度我們怎么看待這個問題？

總體觀察，智能物聯(lián)網(wǎng)的攻擊面變得更加巨大（包括硬件層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層、傳感器層），安全挑戰(zhàn)更為復(fù)雜，更加難以解決。

我們把智能物聯(lián)網(wǎng)的安全問題進(jìn)行了分層。

傳感器層，由于傳感器層特別重要單獨分了一層，智能物聯(lián)網(wǎng)環(huán)境下有更多樣的傳感器，激光雷達(dá)、攝像頭、溫度傳感器、濕度傳感器、紅外傳感器等，這些傳感器會采集數(shù)據(jù)，從安全角度看，數(shù)據(jù)是不是完整、是不是可靠、有沒有被欺騙，這些數(shù)據(jù)被應(yīng)用在AI模型訓(xùn)練的過程中，模型本身會不會有安全問題？這是從傳感器的角度看。

硬件層，傳感器和硬件結(jié)合在一起，在智能制造和各種場景中，例如汽車的轉(zhuǎn)向剎車控制器、家用電器的開關(guān)、醫(yī)療設(shè)備的操控，這些硬件的安全問題都需要考慮到。

系統(tǒng)層，上述硬件需要用軟件調(diào)度、控制，形成基本的系統(tǒng)。例如嵌入式系統(tǒng)，從最簡單的設(shè)備到復(fù)雜、智能設(shè)備，自動駕駛系統(tǒng)等，這些軟件系統(tǒng)有各種各樣的漏洞。

網(wǎng)絡(luò)層，把這些傳感器和制動器的數(shù)據(jù)感知到以后要進(jìn)行傳遞，首先有各種各樣無線接入?yún)f(xié)議，4G、5G、Wi-Fi等，通過公共網(wǎng)絡(luò)或者專用網(wǎng)絡(luò)把數(shù)據(jù)傳導(dǎo)到云端，通過云端進(jìn)行智能決策，然后再把數(shù)據(jù)傳回來。在這個過程中，有很多存在安全問題的可能性，可以看到各種各樣的報告，對于各種各樣的無線通訊協(xié)議進(jìn)行攻擊，包括WiFi、4G、5G都有可能受到攻擊。傳統(tǒng)的安全問題包括有惡意流量、惡意軟件，在網(wǎng)絡(luò)層還是沒有解決這些問題。

應(yīng)用層，我們拿到的數(shù)據(jù)，在不同垂直場景下有各種各樣的應(yīng)用，比如傳統(tǒng)的瀏覽器、導(dǎo)航軟件，現(xiàn)在在諸如醫(yī)療、家電、智能制造等不同垂直應(yīng)用場景中，應(yīng)用本身的邏輯是不是正確？可不可以被利用？

可以看到，在所有層面上，對智能物聯(lián)網(wǎng)的攻擊廣泛存在。

自動駕駛、智能家居、智慧醫(yī)療的物聯(lián)網(wǎng)安全案例剖析

第一，自動駕駛案例。

以特斯拉受到的攻擊為例，攻擊者對車內(nèi)的傳感器進(jìn)行攻擊，欺騙傳感器的讀數(shù)，Autopilot（自動駕駛系統(tǒng)）會因此出現(xiàn)混亂，導(dǎo)致特斯拉車輛會出現(xiàn)突然加速、減速、轉(zhuǎn)向等，非常危險。

特斯拉也可能會受到遠(yuǎn)程攻擊，當(dāng)特斯拉的內(nèi)置瀏覽器瀏覽惡意網(wǎng)站后，被黑客拿到Wi-Fi的IP地址，可以控制網(wǎng)關(guān)，繞過系統(tǒng)控制，從而實現(xiàn)對特斯拉的遠(yuǎn)程惡意操控。我們也看到過一個錄像，一個人在家里睡覺，把特斯拉停在家里車位上，車鑰匙在臥室里，有一個竊賊拿有線設(shè)備把無線鑰匙的信號以一種中繼的方式導(dǎo)到車旁邊，把車啟動開走了，這一幕剛好被監(jiān)控設(shè)備拍了下來。

另一個比較有名的案例是對吉普切諾基的遠(yuǎn)程攻擊，右邊圖片的例子是通過攻擊車載娛樂系統(tǒng)實現(xiàn)對遠(yuǎn)程汽車的惡意操控，最后讓汽車開出路面，導(dǎo)致了克萊斯勒召回140萬輛車，損失巨大。

此前我們也看到過一些新聞，比如自動駕駛系統(tǒng)中有一個限速標(biāo)志的圖片，在上面貼幾張貼紙，人肉眼看不出變化，但是自動駕駛系統(tǒng)會認(rèn)錯，很有可能出現(xiàn)車禍。

第二，智能家居案例。

不管是人臉還是指紋識別都有很多漏洞，例如杭州某個廠商的快遞柜，初中生拿打印出來的人臉就把人臉識別系統(tǒng)給欺騙過去了；

另外，有統(tǒng)計表明，現(xiàn)在很多智能門鎖都可以輕易被攻擊成功；

在卡巴斯基的例子中，對Smart Home Hub的攻擊，先是通過網(wǎng)絡(luò)嗅探得到泄露的序列號，用序列號偽造惡意的系統(tǒng)更新，用更新后的軟件控制系統(tǒng)，從而控制所有與系統(tǒng)相連的智能家居。

第三，智慧醫(yī)療案例。

醫(yī)療系統(tǒng)是相對封閉的，但是它的安全性其實是很差的。據(jù)Palo Alto Networks統(tǒng)計數(shù)據(jù)顯示，83%的醫(yī)療智能物聯(lián)設(shè)備的軟件都無法獲得技術(shù)支持，很多時候都是過時。

很多醫(yī)療設(shè)備存在致命漏洞。這里我們給出一個例子，一個攻擊者通過連接CT機445端口，利用永恒之藍(lán)（勒索病毒）感染CT機，把CT機上的數(shù)據(jù)加密，進(jìn)行勒索?，F(xiàn)在勒索病毒比以前更智能，可以通過比特幣匿名支付形式進(jìn)行勒索。更可怕的是，攻擊者可以控制CT機，發(fā)布惡意指令，造成病人人身安全。

第四，舉一個我們團(tuán)隊自己的例子-AI模型攻擊。

現(xiàn)在很流行在社交網(wǎng)絡(luò)上通過人工智能模型制作AI Model，比如左下方的圖片，表面上看到的是AR增強之后的動態(tài)圖片或者Animoji，實際上我們可以通過它反向推出你真正臉的照片。

我們團(tuán)隊實現(xiàn)了世界上首個針對Amazon商用人臉識別服務(wù)的攻擊。在這個商用系統(tǒng)中輸入一張圖片后，系統(tǒng)會對圖片進(jìn)行分析，我們自己從網(wǎng)絡(luò)上找一些照片拿來做訓(xùn)練，做反向推導(dǎo)，從而逆向出輸入的人臉圖片。如果原始輸入是比較清晰的圖片，在攻擊情況下可以看到逆向攻擊的結(jié)果非常逼真。

前陣子我們做了另外一項攻擊研究，比如在手機上不用任何授權(quán)，用加速度計就可以竊聽、還原你通話的聲音。在智能物聯(lián)網(wǎng)的環(huán)境下，通過傳感器的數(shù)據(jù)、深度學(xué)習(xí)的能力等交互應(yīng)用，可以做很多各種各樣的攻擊。

智能物聯(lián)網(wǎng)安全研究成果一：全生命周期保護(hù)

今天我主要想講浙大網(wǎng)安團(tuán)隊在智能物聯(lián)網(wǎng)系統(tǒng)安全方面自己的研究成果，可以概括為兩方面：

第一，全生命周期保護(hù)；第二，全技術(shù)棧保護(hù)。

全生命周期保護(hù)包括三方面：運行前驗證、運行時保護(hù)、運行后分析。

第一，運行前驗證。

運行前驗證是開發(fā)過程中采用形式化方法的驗證工具，我們都知道形式化方法的安全性很高，但是技術(shù)門檻高，所以一直不能大量應(yīng)用。我覺得現(xiàn)在形式化方法和工具逐步成熟，到了進(jìn)一步推廣落地應(yīng)用的時候了。

這里需要提到形式化方法。

形式化方法是基于嚴(yán)格的數(shù)據(jù)邏輯，對計算機軟硬件系統(tǒng)進(jìn)行描述、開發(fā)和驗證的技術(shù)。首先要對開發(fā)的系統(tǒng)進(jìn)行形式化描述，根據(jù)描述進(jìn)行開發(fā)，然后使用形式化的工具進(jìn)行驗證。

往往由于工作量的關(guān)系，我們只能對系統(tǒng)最關(guān)鍵的部分做驗證是否有漏洞。

形式化方法非常重要，基于經(jīng)驗的開發(fā)模式，你很難保證它的高安全可靠性。因而，不管是A級安全、IEC 61508，還是CC認(rèn)證，各行業(yè)的安全驗證都強烈推薦或者使用形式化驗證。如果你要說我的系統(tǒng)非常安全，要去做第三方的安全軟件評估，一定要經(jīng)過形式化這條路徑。

我們團(tuán)隊在過去幾年里有很多這方面的探索，我們從理論研究和技術(shù)難點突破一直做到工具研制。我們希望在航空航天、物聯(lián)網(wǎng)、無人車以及工業(yè)控制、金融安全做一些事情。我們對標(biāo)的是國外重大研究計劃，包括DARPA HACMS計劃、NSF計算機探險重大計劃和歐盟REMS重大項目。

我們團(tuán)隊在過去幾年里有很多這方面的探索，我們從理論研究和技術(shù)難點突破一直做到工具研制。

研發(fā)形式化驗證工具，支持需求、設(shè)計、代碼的形式化驗證，符合CC信息安全和DO178功能安全等認(rèn)證結(jié)果，我們實際上已經(jīng)開展了10余個國產(chǎn)和國外操作系統(tǒng)驗證工作，發(fā)現(xiàn)了許多安全缺陷，取得了很好的結(jié)果，下一步的重點是開展國產(chǎn)操作系統(tǒng)的形式化驗證與認(rèn)證。

這其實是一個策略，不是具體的方法。不論你如何開發(fā)嵌入式系統(tǒng)或者智能系統(tǒng)，都需要考慮如何運用這個策略來管理一整套從開發(fā)到驗證到部署的流程。

第二，運行時防護(hù)。

我們想推的是軟硬件一體化防護(hù)。我們知道系統(tǒng)保護(hù)往往植根于硬件的安全機制，比如說在代碼保護(hù)方面，X86上的DEP，在ARM上的XN，在隔離環(huán)境硬件實現(xiàn)有ARM TrustZone、Intel SGX等。

相較于軟件實現(xiàn)的保護(hù)，硬件安全性更強，硬件安全可以作為一個基礎(chǔ)，是安全的堡點。但是它成本很高，而且不靈活，部署后沒有辦法更改。例如MPX、英特爾花巨資研發(fā)的邊界檢查硬件機制，2015年被部署之后遭到棄用，2019年就從Linux內(nèi)核中被移出了。硬件實現(xiàn)，優(yōu)點是高安全性和高性能，缺點是成本高、靈活性差。

為了解決硬件防護(hù)的問題，我們提出軟硬一體化防護(hù)。

現(xiàn)在我們的一個新機遇是RISC-V開源架構(gòu)，其開放指令集為我們提供了自主可控硬件設(shè)計的新機遇。阿里、華為都在進(jìn)行積極部署。RISC-V的優(yōu)勢是硬件上降低了成本，可以重用工具鏈?，F(xiàn)在流片費用可以從千萬降至十萬量級，現(xiàn)在在大學(xué)實驗室已經(jīng)可以流片，而且不會覺得負(fù)擔(dān)特別重。

從另一方面講，AIoT市場高度碎片化，而RISC-V適合定制，給小公司、高校、科研院所提供了新機遇。另外RISC-V本身的安全機制比較缺乏，欠缺如ARM TrustZone 、Intel SGX、AMD SME/SEV等安全機制，這本身就是機會。

前面提到硬件安全設(shè)計具有成本高、不靈活的兩個缺點。而RISCV可以把成本降下來，解決成本高的問題。我們團(tuán)隊的工作是提出了解決硬件靈活性的新思想。

基本思路是兩個：

• 第一是硬件安全機制模塊化，抽象系統(tǒng)的安全需求分解為基本模塊，用硬件來實現(xiàn)基本模塊，保證高安全性和高性能。

• 第二是軟硬實現(xiàn)一體化，首先使用軟件實現(xiàn)保護(hù)原型，進(jìn)行長期驗證，保證其有效性。另外使用軟件來組合、重用硬件實現(xiàn)的基本模塊，靈活地實現(xiàn)多種系統(tǒng)保護(hù)機制。

總結(jié)來說，硬件實現(xiàn)基本操作，保證安全性和高效性，軟件組合、重用硬件操作保證靈活性。

具體我為大家介紹一下我們現(xiàn)在正在做的兩件事。

第一，寄存器加密，我們可以直接加密寄存器，為寄存器提供完整性和機密性的保護(hù)，這樣不僅可以加密代碼、控制流、數(shù)據(jù)流，還可以實現(xiàn)數(shù)據(jù)的防泄漏、地址的防泄漏，對代碼、控制流和數(shù)據(jù)流完整性保護(hù)。

第二，我們還設(shè)計了一個內(nèi)存標(biāo)簽，我們擴展了寄存器和內(nèi)存，并加上一個標(biāo)簽位，這樣我們可以區(qū)分、設(shè)計敏感數(shù)據(jù)的保護(hù)，甚至隔離。

這兩個都是基于硬件設(shè)計的，又是比較底層的功能，在上層用軟件利用這些硬件設(shè)計，實現(xiàn)更完整的保護(hù)體系，進(jìn)而實現(xiàn)全生命周期控制流、數(shù)據(jù)流防護(hù)，實現(xiàn)威脅追蹤和感知。我們認(rèn)為這是未來的方向。

這兩件事兒是我們正在做的，預(yù)計明年流片，我們希望將這些硬件和軟件結(jié)合起來，能夠有新的一體化的保護(hù)機制。

第三，運行后分析。

除了運行前驗證，運行時保護(hù)，現(xiàn)有的軟硬件可以收集IoT設(shè)備運行數(shù)據(jù)，同時也可以利用新型的硬件，比如剛剛提到的內(nèi)存標(biāo)簽來收集更細(xì)密度的運行數(shù)據(jù)，有了更廣泛、層面更多的數(shù)據(jù)后，我們可以進(jìn)行數(shù)據(jù)分析，比如采用傳統(tǒng)的異常檢測，根據(jù)大量的正常行為標(biāo)記出異常行為。

同時我們也可以使用人工智能算法使用大量數(shù)據(jù)訓(xùn)練AI模型，進(jìn)行攻擊行為的檢測。 

這是全生命周期的保護(hù)，事前，要用形式化方法介入；事中，我們希望能夠有軟硬件一體化的新型安全方案；事后，我們希望有數(shù)據(jù)驅(qū)動的安全來更有效、更著重解決這些問題。

智能物聯(lián)網(wǎng)安全研究成果二：全技術(shù)棧保護(hù)

全技術(shù)棧保護(hù)，簡單可以劃分為多層次防護(hù)和多維度防護(hù)。

第一，多層次防護(hù)。

我們知道，攻防不斷演進(jìn)，傳感器、網(wǎng)絡(luò)、系統(tǒng)、硬件，每個層次上都可以部署不同的防護(hù)方案，做到多層次防護(hù)。

傳感器層面，針對感知欺騙與邊信道信息竊取進(jìn)行防護(hù)，人工智能對抗性模型的防護(hù)；

硬件層，利用已有的硬件設(shè)計新的軟件安全機制，同時在條件允許情況下設(shè)計基于新型硬件的安全機制；

系統(tǒng)層，基于靜態(tài)的分析、動態(tài)的防護(hù)，做到系統(tǒng)層保護(hù)。

以及在網(wǎng)絡(luò)層、應(yīng)用層，我們都有我們自己的思考。

第二，多維度防護(hù)。

我們知道，每一層都可能遇到針對代碼、控制流、數(shù)據(jù)流三個維度的攻擊。

針對于智能物聯(lián)網(wǎng)的各個層次，我們提出了多維度防護(hù)。在每個層次中我們均需要保護(hù)代碼，控制流和數(shù)據(jù)流等三個維度。

最原始也是最強的攻擊是代碼注入攻擊。通過漏洞向系統(tǒng)注入代碼，使用注入代碼完成各種惡意操作。

在這個方面我們的工研究工作提出使用隔離環(huán)境保護(hù)代碼段，保護(hù)已有代碼不被惡意篡改；同時使用PXN（Privileged Execute Never, 特權(quán)級別不可執(zhí)行）以及SMEP（Supervisor Mode Execution Prevention,管理模式執(zhí)行保護(hù)），杜絕注入新的代碼，從而徹底的防護(hù)了代碼注入攻擊。

在代碼注入攻擊被防護(hù)之后，攻擊者不能注入新的代碼，自然而然的想到重用已有的代碼，通過劫持控制流，重用已有的代碼片段，構(gòu)造新的攻擊函數(shù)，導(dǎo)致控制流劫持攻擊。針對控制流劫持攻擊，我們提出使用ARM指令驗證硬件機制，保護(hù)控制流，同時我們也基于riscv設(shè)計了新型的硬件保護(hù)機制，能夠更高效、更安全的保護(hù)控制流。

在攻擊的演化過程中，攻擊者提出了不改變控制流，通過篡改系統(tǒng)關(guān)鍵數(shù)據(jù)，拿到系統(tǒng)權(quán)限，泄漏系統(tǒng)密鑰，被稱為數(shù)據(jù)攻擊。針對于數(shù)據(jù)攻擊，我們設(shè)計了軟件保護(hù)，同時也在基于設(shè)計支持word粒度的內(nèi)存保護(hù)新型硬件。

所以我們的研究工作覆蓋各個維度，做到多維度防護(hù)。

總結(jié)一下，我們提出兩個智能物聯(lián)網(wǎng)系統(tǒng)安全防護(hù)的概念：一是全生命周期保護(hù)，二是全技術(shù)棧保護(hù)。

智能物聯(lián)網(wǎng)硬件碎片化，功能多樣化，攻擊面更大，導(dǎo)致我們的防護(hù)難度更大。我覺得新的需求或者新的技術(shù)也帶來了新的機遇，

我們提出使用形式化驗證、軟硬一體化防護(hù)、數(shù)據(jù)驅(qū)動安全做到全生命周期保護(hù)，通過多層次、多維度防護(hù)做到全技術(shù)棧保護(hù)。

通過全生命周期保護(hù)和全技術(shù)棧保護(hù)，來為智能物聯(lián)網(wǎng)設(shè)備系統(tǒng)安全保駕護(hù)航。

這些是我們浙大網(wǎng)安團(tuán)隊的一些研究成果和觀點，謝謝大家。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。