无需“暴力”破解设备、也无需反复搭建模拟环境,麒麟框架(Qiling Framework)的出现可谓解决了IoT(物联网)安全研究中的一大难题。
在谷歌公司日前公布的全球优质开源项目(注:开源项目指将软件开放源代码,允许其他使用者修改和应用)名单中,京东探索研究院信息安全实验室自主研发的麒麟框架入选,核心研发团队还被授予导师机构(Mentor)身份,为2022年Google Summer of Code(GSoC,谷歌编程之夏)活动提供专业技术指导。
就应用而言,麒麟框架致力于为无人配送、智能仓库等业务场景提供安全守护。此外,麒麟框架自2019年推出以来,还获得了包括中科院、复旦大学、腾讯、华为、苹果、谷歌、微软等的研究开发,并编写安全工具。
聚焦IoT安全
麒麟框架可能与你息息相关
小到智能音箱、智能门锁,大到汽车自动驾驶、工业机器人……伴随科技的快速发展,IoT的应用可谓无处不在。与此同时,IoT的信息安全风险也加速显现,黑客远程操控物联网场景的事件时有发生。
在IoT安全领域,“逆向分析”测试始终是困扰行业的一大难题。通俗的讲,若想对IoT硬件进行安全研究,技术人员要么“暴力”破解设备,要么反复搭建模拟环境,无论是研究效率还是学习成本上均有缺陷。
对此,麒麟框架正尝试给出更加完美的解决方案。据麒麟框架负责人、京东集团信息安全部高级研究员刘凯仁介绍,麒麟框架可以在无实物的情况下虚拟一个IoT环境,从而利用高性能的主机对低性能的硬件进行漏洞分析。此外,麒麟框架还具备强大的灵活开放性,允许工程师跨平台和CPU架构进行操作。
总的来说,麒麟框架改变了物联网安全研究、恶意软件分析和逆向工程困难的现状,为普通大众用户、工业产业的各类IoT和工控场景的安全保护,提供更为高效的安全保障。
守护IoT、工控互联网场景
麒麟框架应用前景广阔
据介绍,麒麟框架即将在在IoT、工业控制系统落地应用。例如在近年来大热的智能车联网领域,其便致力为京东以及行业内多款智能搬运机器人和无人配送设备提供安全保障。
此外,京东探索研究院信息安全实验室还在2019年将麒麟框架正式开源,以赋能行业技术发展。两年多来,麒麟框架不断吸引着来自全球各地的安全研究人员进行技术代码和文档编写,在业内产出了不少有价值的贡献成果。其中,腾讯、华为、苹果、谷歌、微软,以及复旦大学、中科院、上海交大等国内外技术公司和高等学术机构的安全团队,均在麒麟框架基础上开展各类研究或编写安全工具。
近年来,京东的“技术派”形象正深入人心。自2017年全面向技术转型以来,京东体系在基础科学和技术研发的投入近800亿元,在诸多前沿技术和应用技术领域均取得丰硕成果。以麒麟框架探索破解IoT安全分析困境,便是京东信息安全技术带来的价值沉淀,力争为自身业务发展提供安全守护的同时,对外输出安全能力,提升行业安全水位。