# 4.2 系统安全
系统安全防护的目标是保护设备自身组件的安全,通过调试权限管理严格限制设备的调试授权,使用可靠的更新服务进行安全和功能的迭代升级,系统集成的热修复能力能够对线上安全问题进行紧急止损。异常监测能力,能够对设备入侵风险进行感知和响应。
设备调试 小度允许开发者申请设备的调试密钥,但制定了严格的设备调试管理方案,能够保障设备调试权限被正确的授予、管理及回收。
- 调试申请:用户需在开发者平台上进行注册,并申请设备调试,用户只能申请其百度账号绑定的设备进行调试。
- 调试授权:开发者平台会针对用户及设备生成调试密钥,并设置密钥过期时间,确保只有在过期时间内的调试密钥才有效,该密钥在每个调试周期内均保证一机一密。
- 权限回收:当设备调试密钥过期后,开发者需重新申请调试密钥。一旦发现设备存在严重安全风险,小度能够随时撤销设备的调试权限,并禁用设备相关服务。
访问控制 SELinux(安全增强型Linux)能够对设备上的进程采取强访问控制措施,小度设备支持SElinux能力,并针对进程间通信,文件访问等建立了严格的访问控制模型,可以更好地保护系统组件,降低恶意软件的影响。
设备更新 小度会定期对设备进行更新,为了保障更新过程安全与稳定,小度采用定制化的更新方案。主要体现在如下三方面:
- 更新源安全:针对设备的更新包原始文件进行加密,设备端进行解密,且采用一机一密。即使更新包被外部获取也无法解密获得其中的信息。
- 更新过程保护:更新过程采用独立的签名校验方案,并验证升级版本,无法对设备进行降级更新。
- 更新链路安全:更新过程采用双向认证,且采用HTTPS进行传输,无法通过中间人劫持的方式获得更新内容。
热修复
当设备处于紧急状态,如面临大规模攻击风险或数据泄露场景等,小度集成的系统热修复能力便可发挥作用。该能力能够在系统不重启的条件下,实时下发安全补丁,完成紧急止损。
异常监测 当设备发生异常状态时如设备破解、恶意ROOT、自定义证书安装等,小度会进行感知,当判断发生危害用户个人信息安全的情形时,小度会通知用户,并对设备的隐私相关功能进行禁用。