百度安全OTA：構(gòu)筑智能終端“生命防線”

近日，AIoT技術(shù)前沿論壇·OASES聯(lián)盟行業(yè)技術(shù)交流會(huì)在京舉行。百度安全專家代表、泰爾實(shí)驗(yàn)室專家、業(yè)界安全專家、OASES聯(lián)盟成員代表，齊聚一堂，圍繞AIoT行業(yè)安全挑戰(zhàn)、現(xiàn)狀、發(fā)展趨勢(shì)，安全生態(tài)建設(shè)等話題，進(jìn)行了深度交流。

交流會(huì)現(xiàn)場(chǎng)，百度AI安全技術(shù)總監(jiān)聶科峰發(fā)表了主題為“安全OTA：構(gòu)筑智能終端生命防線”的演講。他指出，OTA服務(wù)幫助智能設(shè)備完成對(duì)系統(tǒng)、應(yīng)用及數(shù)據(jù)的管理升級(jí)，肩負(fù)著系統(tǒng)漏洞修復(fù)的重任，是智能設(shè)備系統(tǒng)安全的“生命防線”。但當(dāng)前的OTA服務(wù)中，升級(jí)包的來(lái)源、認(rèn)證、數(shù)據(jù)、通信等方面，均存在不可小視的安全隱患，急需提升安全性。百度安全OTA基于以上生態(tài)缺口應(yīng)運(yùn)而生，它為智能設(shè)備廠商提供專業(yè)、高效的OTA升級(jí)服務(wù)同時(shí)，強(qiáng)化安全能力的輸出，為智能設(shè)備終端的“生命防線”加一道鎖。

OTA安全風(fēng)險(xiǎn)頻發(fā)，急需提升安全性

據(jù)介紹，智能設(shè)備中，OTA有重要的用途，包括能夠幫助系統(tǒng)修復(fù)BUG和安全漏洞，實(shí)現(xiàn)系統(tǒng)升級(jí)，ABTest功能驗(yàn)證，實(shí)現(xiàn)本地內(nèi)容、資源運(yùn)營(yíng)等。但目前由于安全能力不足，OTA已成為黑客入侵設(shè)備的首要目標(biāo)之一。百度AI安全團(tuán)隊(duì)對(duì)超過(guò)40款智能終端進(jìn)行了OTA安全評(píng)估，數(shù)據(jù)顯示：95%設(shè)備未能保護(hù)OTA升級(jí)包的數(shù)據(jù)內(nèi)容，90%設(shè)備無(wú)法抵御通信過(guò)程中的中間人攻擊，61%設(shè)備可強(qiáng)制將系統(tǒng)/APP版本降級(jí)至低版本。

聶科峰表示，OTA服務(wù)目前存在一系列安全風(fēng)險(xiǎn)，包括通信劫持、降級(jí)攻擊、嗅探分析、內(nèi)容替換等?！疤嵘齇TA的安全性，需要聚焦‘誰(shuí)給的數(shù)據(jù)’、‘給誰(shuí)的數(shù)據(jù)’、‘?dāng)?shù)據(jù)保護(hù)’、‘通信保護(hù)’等四大核心場(chǎng)景，有針對(duì)性地接入先進(jìn)的安全防護(hù)技術(shù)。目前可以通過(guò)簽名校驗(yàn)、雙向認(rèn)證、升級(jí)包加密、通訊安全防護(hù)等技術(shù)手段提升安全能力?！?

百度安全打造安全、專業(yè)、高效的OTA升級(jí)服務(wù)

針對(duì)OTA安全問(wèn)題，百度安全依托多年互聯(lián)網(wǎng)安全實(shí)戰(zhàn)經(jīng)驗(yàn)和深厚的技術(shù)實(shí)力，打造了一套安全、專業(yè)、高效的OTA升級(jí)解決方案，可為智能設(shè)備提供從云端安全、數(shù)據(jù)傳輸?shù)皆O(shè)備端安全的一體化安全防護(hù)。

該方案為智能設(shè)備OTA提供了六大安全保障，覆蓋安全審計(jì)、傳輸安全、升級(jí)策略、升級(jí)防護(hù)、云端防護(hù)、KMS密鑰管理等方面。安全審計(jì)能夠覆蓋管理平臺(tái)的下發(fā)服務(wù)及所有平臺(tái)SDK；傳輸安全能夠?qū)崿F(xiàn)全流量TLS；升級(jí)策略可幫助設(shè)備防降級(jí)，實(shí)現(xiàn)簽名校驗(yàn)，完整性校驗(yàn)，權(quán)限校驗(yàn)等；升級(jí)防護(hù)提供安裝包加密，設(shè)備認(rèn)證，安裝包安全檢測(cè)等能力；云端防護(hù)提供DDOS防護(hù)，WAF防護(hù)和OpenRASP防護(hù)；KMS密鑰管理則能進(jìn)一步提升系統(tǒng)密鑰安全。

目前，百度安全OTA已經(jīng)向智能家居、智能可穿戴、智慧駕駛、工業(yè)物聯(lián)網(wǎng)等多個(gè)領(lǐng)域開(kāi)放，為廠商提供安全現(xiàn)狀可監(jiān)控、安全問(wèn)題可解決的系統(tǒng)升級(jí)和修復(fù)方案，目前已為美的空調(diào)、搭載百度DuerOS的小青AI音箱等智能終端提供服務(wù)及保障，近期還將有更多品牌設(shè)備陸續(xù)接入。

OASES聯(lián)盟倡導(dǎo)開(kāi)放共享的安全生態(tài)

在智能終端產(chǎn)品激烈競(jìng)爭(zhēng)、易陷入同質(zhì)化困局的今天,伴隨著用戶安全意識(shí)的覺(jué)醒,安全能力的角逐已成為智能終端產(chǎn)品突圍的重要突破口之一。然而,進(jìn)入AIoT時(shí)代,智能終端面對(duì)著全新的攻防問(wèn)題,廠商面臨的將是更復(fù)雜、更多維度、更深層次的生態(tài)系統(tǒng)級(jí)別的安全挑戰(zhàn),傳統(tǒng)上各自為戰(zhàn)、獨(dú)善其身的安全方案已難滿足升級(jí)的安全需求,迫切需要更加專業(yè)、可靠的安全合作伙伴共筑智能家居安全新長(zhǎng)城。

基于此，百度安全憑借18年安全技術(shù)能力的積累與實(shí)踐，聯(lián)合華為、中國(guó)信息通信研究院發(fā)起成立了OASES聯(lián)盟，由安全廠商、設(shè)備廠商、高?？蒲袡C(jī)構(gòu)、政府機(jī)構(gòu)共同組成，旨在用技術(shù)讓智能終端生態(tài)更安全，通過(guò)技術(shù)賦能、標(biāo)準(zhǔn)驅(qū)動(dòng)、生態(tài)共建、產(chǎn)業(yè)共贏的理念，與聯(lián)盟合作伙伴共同推動(dòng)安全技術(shù)與服務(wù)的應(yīng)用落地，推進(jìn)智能終端產(chǎn)業(yè)的快速、健康發(fā)展，共建安全的AI 時(shí)代。OASES聯(lián)盟的生態(tài)開(kāi)放性，吸引了一批企業(yè)和高校專家加入。發(fā)展至今，聯(lián)盟成員已達(dá)30余家，包含安全廠商犇眾信息、Keen/GeekPwn、NewSky Security、騰御安（TYA）、安天和TrustKernel，終端企業(yè)華為、中興、創(chuàng)維、長(zhǎng)虹、康佳、暴風(fēng)TV、TCL、極米、藍(lán)港、Mstar、浪潮、海爾優(yōu)家、全志等，以及來(lái)自清華大學(xué)、復(fù)旦大學(xué)、中國(guó)科學(xué)院、上海交通大學(xué)、佛羅里達(dá)州立大學(xué)等中外頂尖院校的專家學(xué)者。

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。