数字时代浪潮奔涌,万物智联加速推进。随着数字经济蓬勃发展,操作系统作为数字基础设施的关键组成部分,其安全性关系到千行百业数字化转型的顺利进行。
9月27日,开源鸿蒙技术大会2025 OS安全分论坛在湖南长沙国际会议中心圆满举行。本次分论坛聚焦开源操作系统安全领域的前沿技术与实践成果,主题内容涵盖了开源鸿蒙TEE系统、供应链安全、数据安全、开源软件成分分析、AI for Security等多个层面,旨在号召更多行业力量持续推动开源操作系统安全性提升,为开源鸿蒙生态安全建设注入新动能。
OS安全分论坛成功举办
开源鸿蒙安全及机密计算TSG主任、华为终端BG首席安全架构师付天福担任本次分论坛的出品人,华为终端BG软件可信使能与IT装备部部长杨开封,中国科学院计算技术研究所研究员武成岗,上海交通大学副教授华志超,北京邮电大学开源鸿蒙技术俱乐部主任、副教授邹仕洪,华中科技大学开源鸿蒙技术俱乐部负责人、网络空间安全学院副教授慕冬亮,湖南大学副教授崔津华,东北大学开源鸿蒙技术俱乐部主任、副教授王莹,浙江大学长聘副教授申文博、安全厂商伙伴等嘉宾出席论坛并发表演讲。
开源鸿蒙安全及机密计算TSG主任、华为终端BG首席安全架构师付天福作为论坛出品人致辞。他表示,操作系统作为数字基础设施的坚实底座,其安全性直接关系到国家数字经济的发展韧性。安全,已然成为操作系统生存与发展的生命线,是开源鸿蒙生态繁荣不可或缺的基石。现如今,开源鸿蒙操作系统的安全工具链已基本搭建完成,从实战看,可以有效应对常规攻击。未来将重点探索前沿安全架构在开源鸿蒙系统中的实践、端到端供应链的可信任安全以及软硬结合的安全性、AI安全的应用。相信通过产学研的共同探讨,凝聚更多共识,激发更多创新,为开源鸿蒙的安全底座注入新的力量。
开源鸿蒙安全及机密计算TSG主任、华为终端BG首席安全架构师付天福
华为OS内核实验室安全专家王季作为本场论坛主持人,介绍了论坛主旨,并向议题分享嘉宾表示欢迎与感谢。
华为OS内核实验室安全专家王季
操作系统是所有软件的基础,其安全性至关重要。然而,随着操作系统代码量的不断增加,安全漏洞的数量也呈逐渐上升的趋势。单靠被动的“挖洞补洞”防御措施已难以满足操作系统安全的需求。中国科学院计算技术研究所研究员武成岗首先以《安全增强的Linux复式内核HAOC》为主题,介绍了一种新型的操作系统安全架构,详细阐述了该架构如何对操作系统内容进行划分和隔离,从而构建出了由中枢核心、普通模块和高风险模块组成的复式内核架构,为计算系统提供了强有力的安全基础。
中国科学院计算技术研究所研究员武成岗
可信执行环境(TEE)被广泛用以进行安全敏感应用的防护,其能够保护应用免受不可信特权软件的攻击。传统TEE主要面向CPU进行构建,难以保护运行在GPU等异构算力设备上的AI应用。上海交通大学副教授华志超在《轻量级异构可信执行环境研究》为主题的报告中提出了一种轻量级异构TEE的构建方法,通过轻量级虚拟化技术构建可扩展异构TEE,支持以极低开销同时运行多个异构安全计算任务。之后,进一步讨论通过异构任务校验机制,减少异构TEE的内部可信计算基,提升异构任务安全性。
上海交通大学副教授华志超
浙江大学长聘副教授申文博以《操作系统攻防演化和展望》为主题,围绕操作系统内核攻防的演化展开分享,首先对常见的内核攻击进行分类,涵盖代码注入、代码重用和数据攻击,并梳理其技术演变路径。随后介绍针对不同攻击类型的核心防护机制,分析从基本内存访问控制到实时防护体系的发展过程,指出现有防护在覆盖范围与性能开销等方面的不足。最后,结合AI与异构算力(XPU)快速发展的趋势,探讨在多核异构架构下内核面临的新型安全威胁及其防御思路。
浙江大学长聘副教授申文博
大型语言模型(LLM)的快速发展为漏洞自动修复技术带来极大突破,然而,现有工具因缺乏有效故障定位和补丁验证,难以应对现实世界的端到端应用场景。基于此,华中科技大学开源鸿蒙技术俱乐部负责人、网络空间安全学院副教授慕冬亮以《开源鸿蒙第三方软件的智能化漏洞修复与正确性检测》为主题,分享了基于 LLM的自动化漏洞修复工具—PatchAgent,在单个自主智能体中无缝集成了故障定位、补丁生成和自动验证,并采用语言服务器、补丁验证器和交互优化技术,以在漏洞修复过程中模仿类似人类的推理。
华中科技大学开源鸿蒙技术俱乐部负责人、网络空间安全学院副教授慕冬亮
可信执行环境(TEE)依赖内存、指令和寄存器等软硬件资源构建隔离区域(Enclave),其访问控制对系统安全至关重要。湖南大学副教授崔津华以《可信执行环境软硬件敏感资源细粒度隔离架构》为主题展开分享,提出面向TEE的软硬件敏感资源细粒度隔离架构,实现最小权限控制与可扩展内存隔离,为高效、安全、可信的下一代计算平台提供关键支撑。
湖南大学副教授崔津华
OHPM开源软件仓库提供开源鸿蒙应用开发的软件供应链,社区安全治理决定未来开源鸿蒙应用生态的质量保障,然而,开源鸿蒙生态软件供应链安全风险识别是一项复杂且极具挑战的工作。东北大学开源鸿蒙技术俱乐部主任、副教授王莹以《开源鸿蒙软件供应链安全技术》为主题,针对OHPM开源软件仓库存在的问题,介绍了开源鸿蒙软件供应链安全治理技术研究,实现鸿蒙三方库的漏洞感知,为开源生态提供了重要参考。
东北大学开源鸿蒙技术俱乐部主任、副教授王莹
流量作为网络数据承载基本形态,是网络空间安全的基本检测对象。据 Gartner 调查,五年内密文流量攻击将增加 260%。一方面,攻击者普遍使用流量加密,实现特征伪装、数据遮蔽;另一方面,广泛利用非规范加密协议架设隐蔽隧道,从而隐匿恶意软件通信行为,严重威胁网络安全。北京邮电大学开源鸿蒙技术俱乐部主任、副教授邹仕洪以《恶意软件隐蔽通信行为检测与识别》为主题,分享了所在团队依托相关国家重点研发计划项目,在恶意软件的隐蔽通信行为检测与识别上的工作与成果。
北京邮电大学开源鸿蒙技术俱乐部主任、副教授邹仕洪
最后,安全公司高级专家殷伟以《基于开源鸿蒙的SDP方案实践》为主题,围绕SDP的市场客户需求、实际应用场景,以及产品的隧道接入、数据保护等关键能力展开分享,详细阐述了SDP的隧道接入、数据保护等关键能力对移动端、PC端系统的技术依赖,以及这些技术依赖在开源鸿蒙系统上遇到的挑战、方案和系统优势,并基于适配经验,对于开源鸿蒙系统的开放性、安全性建议展开分享。
“安全建设永远在路上”。论坛期间,与会嘉宾针对操作系统的多个关键领域进行拆解、讨论,共话开源鸿蒙系统安全技术的最新进展。未来,随着开源鸿蒙安全生态的不断完善,千行百业的数字化转型将获得更加坚实的安全保障,为数字中国建设贡献开源力量。
