百度安全OTA:构筑智能终端“生命防线”

近日,AIoT技术前沿论坛·OASES联盟行业技术交流会在京举行。百度安全专家代表、泰尔实验室专家、业界安全专家、OASES联盟成员代表,齐聚一堂,围绕AIoT行业安全挑战、现状、发展趋势,安全生态建设等话题,进行了深度交流。

交流会现场,百度AI安全技术总监聂科峰发表了主题为“安全OTA:构筑智能终端生命防线”的演讲。他指出,OTA服务帮助智能设备完成对系统、应用及数据的管理升级,肩负着系统漏洞修复的重任,是智能设备系统安全的“生命防线”。但当前的OTA服务中,升级包的来源、认证、数据、通信等方面,均存在不可小视的安全隐患,急需提升安全性。百度安全OTA基于以上生态缺口应运而生,它为智能设备厂商提供专业、高效的OTA升级服务同时,强化安全能力的输出,为智能设备终端的“生命防线”加一道锁。

OTA安全风险频发,急需提升安全性

据介绍,智能设备中,OTA有重要的用途,包括能够帮助系统修复BUG和安全漏洞,实现系统升级,ABTest功能验证,实现本地内容、资源运营等。但目前由于安全能力不足,OTA已成为黑客入侵设备的首要目标之一。百度AI安全团队对超过40款智能终端进行了OTA安全评估,数据显示:95%设备未能保护OTA升级包的数据内容,90%设备无法抵御通信过程中的中间人攻击,61%设备可强制将系统/APP版本降级至低版本。

聂科峰表示,OTA服务目前存在一系列安全风险,包括通信劫持、降级攻击、嗅探分析、内容替换等。“提升OTA的安全性,需要聚焦‘谁给的数据’、‘给谁的数据’、‘数据保护’、‘通信保护’等四大核心场景,有针对性地接入先进的安全防护技术。目前可以通过签名校验、双向认证、升级包加密、通讯安全防护等技术手段提升安全能力。”

百度安全打造安全、专业、高效的OTA升级服务

针对OTA安全问题,百度安全依托多年互联网安全实战经验和深厚的技术实力,打造了一套安全、专业、高效的OTA升级解决方案,可为智能设备提供从云端安全、数据传输到设备端安全的一体化安全防护。

该方案为智能设备OTA提供了六大安全保障,覆盖安全审计、传输安全、升级策略、升级防护、云端防护、KMS密钥管理等方面。安全审计能够覆盖管理平台的下发服务及所有平台SDK;传输安全能够实现全流量TLS;升级策略可帮助设备防降级,实现签名校验,完整性校验,权限校验等;升级防护提供安装包加密,设备认证,安装包安全检测等能力;云端防护提供DDOS防护,WAF防护和OpenRASP防护;KMS密钥管理则能进一步提升系统密钥安全。

目前,百度安全OTA已经向智能家居、智能可穿戴、智慧驾驶、工业物联网等多个领域开放,为厂商提供安全现状可监控、安全问题可解决的系统升级和修复方案,目前已为美的空调、搭载百度DuerOS的小青AI音箱等智能终端提供服务及保障,近期还将有更多品牌设备陆续接入。

OASES联盟倡导开放共享的安全生态

在智能终端产品激烈竞争、易陷入同质化困局的今天,伴随着用户安全意识的觉醒,安全能力的角逐已成为智能终端产品突围的重要突破口之一。然而,进入AIoT时代,智能终端面对着全新的攻防问题,厂商面临的将是更复杂、更多维度、更深层次的生态系统级别的安全挑战,传统上各自为战、独善其身的安全方案已难满足升级的安全需求,迫切需要更加专业、可靠的安全合作伙伴共筑智能家居安全新长城。

基于此,百度安全凭借18年安全技术能力的积累与实践,联合华为、中国信息通信研究院发起成立了OASES联盟,由安全厂商、设备厂商、高校科研机构、政府机构共同组成,旨在用技术让智能终端生态更安全,通过技术赋能、标准驱动、生态共建、产业共赢的理念,与联盟合作伙伴共同推动安全技术与服务的应用落地,推进智能终端产业的快速、健康发展,共建安全的AI 时代。OASES联盟的生态开放性,吸引了一批企业和高校专家加入。发展至今,联盟成员已达30余家,包含安全厂商犇众信息、Keen/GeekPwn、NewSky Security、腾御安(TYA)、安天和TrustKernel,终端企业华为、中兴、创维、长虹、康佳、暴风TV、TCL、极米、蓝港、Mstar、浪潮、海尔优家、全志等,以及来自清华大学、复旦大学、中国科学院、上海交通大学、佛罗里达州立大学等中外顶尖院校的专家学者。

免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与极客网无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2018-11-16
百度安全OTA:构筑智能终端“生命防线”
交流会现场,百度AI安全技术总监聂科峰发表了主题为“安全OTA:构筑智能终端生命防线”的演讲。

长按扫码 阅读全文