百度安全OTA：構(gòu)筑智能終端“生命防線”

近日，AIoT技術(shù)前沿論壇·OASES聯(lián)盟行業(yè)技術(shù)交流會在京舉行。百度安全專家代表、泰爾實驗室專家、業(yè)界安全專家、OASES聯(lián)盟成員代表，齊聚一堂，圍繞AIoT行業(yè)安全挑戰(zhàn)、現(xiàn)狀、發(fā)展趨勢，安全生態(tài)建設(shè)等話題，進(jìn)行了深度交流。

交流會現(xiàn)場，百度AI安全技術(shù)總監(jiān)聶科峰發(fā)表了主題為“安全OTA：構(gòu)筑智能終端生命防線”的演講。他指出，OTA服務(wù)幫助智能設(shè)備完成對系統(tǒng)、應(yīng)用及數(shù)據(jù)的管理升級，肩負(fù)著系統(tǒng)漏洞修復(fù)的重任，是智能設(shè)備系統(tǒng)安全的“生命防線”。但當(dāng)前的OTA服務(wù)中，升級包的來源、認(rèn)證、數(shù)據(jù)、通信等方面，均存在不可小視的安全隱患，急需提升安全性。百度安全OTA基于以上生態(tài)缺口應(yīng)運(yùn)而生，它為智能設(shè)備廠商提供專業(yè)、高效的OTA升級服務(wù)同時，強(qiáng)化安全能力的輸出，為智能設(shè)備終端的“生命防線”加一道鎖。

OTA安全風(fēng)險頻發(fā)，急需提升安全性

據(jù)介紹，智能設(shè)備中，OTA有重要的用途，包括能夠幫助系統(tǒng)修復(fù)BUG和安全漏洞，實現(xiàn)系統(tǒng)升級，ABTest功能驗證，實現(xiàn)本地內(nèi)容、資源運(yùn)營等。但目前由于安全能力不足，OTA已成為黑客入侵設(shè)備的首要目標(biāo)之一。百度AI安全團(tuán)隊對超過40款智能終端進(jìn)行了OTA安全評估，數(shù)據(jù)顯示：95%設(shè)備未能保護(hù)OTA升級包的數(shù)據(jù)內(nèi)容，90%設(shè)備無法抵御通信過程中的中間人攻擊，61%設(shè)備可強(qiáng)制將系統(tǒng)/APP版本降級至低版本。

聶科峰表示，OTA服務(wù)目前存在一系列安全風(fēng)險，包括通信劫持、降級攻擊、嗅探分析、內(nèi)容替換等?！疤嵘齇TA的安全性，需要聚焦‘誰給的數(shù)據(jù)’、‘給誰的數(shù)據(jù)’、‘?dāng)?shù)據(jù)保護(hù)’、‘通信保護(hù)’等四大核心場景，有針對性地接入先進(jìn)的安全防護(hù)技術(shù)。目前可以通過簽名校驗、雙向認(rèn)證、升級包加密、通訊安全防護(hù)等技術(shù)手段提升安全能力?！?

百度安全打造安全、專業(yè)、高效的OTA升級服務(wù)

針對OTA安全問題，百度安全依托多年互聯(lián)網(wǎng)安全實戰(zhàn)經(jīng)驗和深厚的技術(shù)實力，打造了一套安全、專業(yè)、高效的OTA升級解決方案，可為智能設(shè)備提供從云端安全、數(shù)據(jù)傳輸?shù)皆O(shè)備端安全的一體化安全防護(hù)。

該方案為智能設(shè)備OTA提供了六大安全保障，覆蓋安全審計、傳輸安全、升級策略、升級防護(hù)、云端防護(hù)、KMS密鑰管理等方面。安全審計能夠覆蓋管理平臺的下發(fā)服務(wù)及所有平臺SDK；傳輸安全能夠?qū)崿F(xiàn)全流量TLS；升級策略可幫助設(shè)備防降級，實現(xiàn)簽名校驗，完整性校驗，權(quán)限校驗等；升級防護(hù)提供安裝包加密，設(shè)備認(rèn)證，安裝包安全檢測等能力；云端防護(hù)提供DDOS防護(hù)，WAF防護(hù)和OpenRASP防護(hù)；KMS密鑰管理則能進(jìn)一步提升系統(tǒng)密鑰安全。

目前，百度安全OTA已經(jīng)向智能家居、智能可穿戴、智慧駕駛、工業(yè)物聯(lián)網(wǎng)等多個領(lǐng)域開放，為廠商提供安全現(xiàn)狀可監(jiān)控、安全問題可解決的系統(tǒng)升級和修復(fù)方案，目前已為美的空調(diào)、搭載百度DuerOS的小青AI音箱等智能終端提供服務(wù)及保障，近期還將有更多品牌設(shè)備陸續(xù)接入。

OASES聯(lián)盟倡導(dǎo)開放共享的安全生態(tài)

在智能終端產(chǎn)品激烈競爭、易陷入同質(zhì)化困局的今天,伴隨著用戶安全意識的覺醒,安全能力的角逐已成為智能終端產(chǎn)品突圍的重要突破口之一。然而,進(jìn)入AIoT時代,智能終端面對著全新的攻防問題,廠商面臨的將是更復(fù)雜、更多維度、更深層次的生態(tài)系統(tǒng)級別的安全挑戰(zhàn),傳統(tǒng)上各自為戰(zhàn)、獨(dú)善其身的安全方案已難滿足升級的安全需求,迫切需要更加專業(yè)、可靠的安全合作伙伴共筑智能家居安全新長城。

基于此，百度安全憑借18年安全技術(shù)能力的積累與實踐，聯(lián)合華為、中國信息通信研究院發(fā)起成立了OASES聯(lián)盟，由安全廠商、設(shè)備廠商、高?？蒲袡C(jī)構(gòu)、政府機(jī)構(gòu)共同組成，旨在用技術(shù)讓智能終端生態(tài)更安全，通過技術(shù)賦能、標(biāo)準(zhǔn)驅(qū)動、生態(tài)共建、產(chǎn)業(yè)共贏的理念，與聯(lián)盟合作伙伴共同推動安全技術(shù)與服務(wù)的應(yīng)用落地，推進(jìn)智能終端產(chǎn)業(yè)的快速、健康發(fā)展，共建安全的AI 時代。OASES聯(lián)盟的生態(tài)開放性，吸引了一批企業(yè)和高校專家加入。發(fā)展至今，聯(lián)盟成員已達(dá)30余家，包含安全廠商犇眾信息、Keen/GeekPwn、NewSky Security、騰御安（TYA）、安天和TrustKernel，終端企業(yè)華為、中興、創(chuàng)維、長虹、康佳、暴風(fēng)TV、TCL、極米、藍(lán)港、Mstar、浪潮、海爾優(yōu)家、全志等，以及來自清華大學(xué)、復(fù)旦大學(xué)、中國科學(xué)院、上海交通大學(xué)、佛羅里達(dá)州立大學(xué)等中外頂尖院校的專家學(xué)者。

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。