崔寶秋，宋文寬，王寶林，潘雙全，張曉芳，趙彤彤，呂瑩楠

小米集團(tuán)，北京 100085

0 引言

據(jù)統(tǒng)計(jì)，2020年聯(lián)網(wǎng)設(shè)備數(shù)量突破217億［1］，并預(yù)計(jì)在2025年聯(lián)網(wǎng)設(shè)備達(dá)到412億。隨著互聯(lián)設(shè)備的增加，安全和隱私風(fēng)險(xiǎn)也在不斷擴(kuò)大，安全事件（比如數(shù)據(jù)泄漏，服務(wù)不可用等）造成的影響也在逐年增加。2021年4月，CyberNews報(bào)道職業(yè)社交網(wǎng)站領(lǐng)英發(fā)生了5億個(gè)人數(shù)據(jù)泄漏［2］；2021年10月，F(xiàn)acebook又爆出了15億個(gè)人數(shù)據(jù)泄漏的事件［3］。據(jù)卡巴斯基報(bào)告［4］，僅2021年上半年，就有超過(guò)15.1億IoT設(shè)備遭到網(wǎng)絡(luò)攻擊。這些安全事件的發(fā)生，對(duì)用戶，對(duì)企業(yè)，甚至對(duì)國(guó)家危害都是非常巨大的。萬(wàn)物互聯(lián)時(shí)代，用戶在享用著科技帶來(lái)的便捷的同時(shí)，也越來(lái)越擔(dān)心科技帶來(lái)的其他問(wèn)題。近幾年，安全和隱私問(wèn)題更是成為了用戶關(guān)注的熱點(diǎn)，用戶的安全隱私意識(shí)在逐步增強(qiáng)，全球多個(gè)國(guó)家和地區(qū)也紛紛加速對(duì)安全隱私相關(guān)立法和標(biāo)準(zhǔn)的發(fā)布，更加關(guān)注智能化、數(shù)字化可能引起的安全隱私問(wèn)題。歐盟的《通用數(shù)據(jù)保護(hù)條例》（general data protection regulation，GDPR），美國(guó)加州的《加州消費(fèi)者隱私保護(hù)法案》（California consumer privacy act，CCPA），以及國(guó)內(nèi)2021年出臺(tái)的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)和指導(dǎo)文件，對(duì)企業(yè)和產(chǎn)品提出了基本的安全隱私要求。快速擴(kuò)大的安全風(fēng)險(xiǎn)，逐步增強(qiáng)的用戶安全隱私意識(shí)，以及日趨嚴(yán)格的法律法規(guī)要求，使得信息安全與隱私保護(hù)成為了每個(gè)企業(yè)的生命線。

1 小米的安全隱私保護(hù)概述

1.1 小米的安全隱私保護(hù)發(fā)展歷史

小米是一家以智能手機(jī)、智能硬件和IoT平臺(tái)為核心的消費(fèi)電子及智能制造公司，“手機(jī)×AIoT”是小米的核心戰(zhàn)略。小米一直以來(lái)都很重視信息安全和隱私保護(hù)，早在2012年就創(chuàng)建了信息安全團(tuán)隊(duì)；2014年，隨著集團(tuán)國(guó)際化布局的開啟，成立了安全與隱私委員會(huì)，開始與國(guó)際知名隱私認(rèn)證公司TrustArc合作，整體提升集團(tuán)的隱私保護(hù)水平；2016年，小米網(wǎng)和小米手機(jī)操作系統(tǒng)MIUI全面拿到了TRUSTe隱私認(rèn)證；2018年，歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）開始生效，由于小米很早開始布局，在安全和隱私策略及技術(shù)方面的積累使得小米可以很好地應(yīng)對(duì)GDPR，業(yè)務(wù)與國(guó)際化步伐未受到影響。過(guò)去幾年來(lái)，圍繞組織保障與隱私意識(shí)、管理體系與流程、信息安全與隱私保護(hù)權(quán)威認(rèn)證，小米打造了一套比較成熟的隱私合規(guī)體系，也沉淀了小米的隱私保護(hù)五大基本原則：公開透明（transparency）、用戶可控（control）、企業(yè)責(zé)任（accountability）、安全保障（secure）、合法合規(guī)（com?pliance）。目前小米已獲得的安全與隱私認(rèn)證包括TrustArc隱私認(rèn)證、ISO/IEC 27001信息安全管理體系、IOSO/IEC 27018公有云個(gè)人數(shù)據(jù)保護(hù)指南、ISO/IEC 27701隱私管理體系以及中國(guó)信息通信研究院泰爾實(shí)驗(yàn)室頒發(fā)的手機(jī)系統(tǒng)隱私保護(hù)認(rèn)證等。

1.2 小米的“手機(jī)×AIoT”安全隱私保護(hù)技術(shù)

這些年，很多人對(duì)于安全和隱私治理的看法還停留在“七分靠管理，三分靠技術(shù)”，但隨著互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)和人工智能的發(fā)展，當(dāng)我們站在當(dāng)下展望未來(lái)，安全和隱私治理應(yīng)當(dāng)是“三分靠管理，七分靠技術(shù)”，信息安全與隱私保護(hù)技術(shù)在當(dāng)下顯得愈發(fā)重要。小米的“手機(jī)×AIoT”安全隱私保護(hù)技術(shù)可以分為以下三個(gè)部分：1）手機(jī)全鏈路安全隱私技術(shù)，2）IoT平臺(tái)化安全隱私技術(shù)，以及3）AI算法應(yīng)用中的安全隱私技術(shù)。

2 手機(jī)全鏈路安全隱私技術(shù)

2.1 MiTEE小米可信執(zhí)行環(huán)境

“安全和隱私是一對(duì)雙胞胎”，如果數(shù)據(jù)的安全性得不到有效保護(hù)，用戶隱私權(quán)益的保障也就無(wú)從談起。Android系統(tǒng)是目前應(yīng)用最廣泛的手機(jī)操作系統(tǒng)，擁有非常開放的生態(tài)環(huán)境，由此它的安全性也備受大家關(guān)注。在Android系統(tǒng)中，Root用戶對(duì)所有的應(yīng)用和應(yīng)用數(shù)據(jù)擁有完整訪問(wèn)權(quán)限。設(shè)備上某些惡意應(yīng)用利用內(nèi)核錯(cuò)誤或安全漏洞獲得Root權(quán)限，就可對(duì)系統(tǒng)和應(yīng)用的安全保護(hù)帶來(lái)嚴(yán)重的威脅。為了更好地解決這類安全問(wèn)題，一種新的基于硬件隔離的解決方案——獨(dú)立于Android系統(tǒng)之外的可信執(zhí)行環(huán)境（trusted execution environment，TEE）——就應(yīng)運(yùn)而生了。與可信執(zhí)行環(huán)境（TEE）相對(duì)應(yīng)的是運(yùn)行普通操作系統(tǒng)和應(yīng)用程序的REE（rich execution environment）。相比于運(yùn)行在REE的Android系統(tǒng)，TEE擁有更高的權(quán)限，它運(yùn)行于Android無(wú)法訪問(wèn)的獨(dú)立執(zhí)行內(nèi)存中，應(yīng)用程序可以把關(guān)鍵處理和敏感數(shù)據(jù)放在TEE中執(zhí)行或加密存儲(chǔ)，這樣即便是有攻擊者獲得了Android系統(tǒng)的Root權(quán)限，也無(wú)法進(jìn)一步竊取或攻擊TEE中的處理或數(shù)據(jù)。

芯片是手機(jī)中最核心的組成部分，通過(guò)TEE構(gòu)建設(shè)備的安全能力需要從芯片出發(fā)。小米手機(jī)主要采用高通或聯(lián)發(fā)科生產(chǎn)的ARM芯片。因此小米主要基于ARM硬件總線隔離技術(shù)（也被稱為ARM TrustZone隔離技術(shù)［5］）來(lái)構(gòu)建小米可信執(zhí)行環(huán)境，這個(gè)環(huán)境稱之為MiTEE（Mi trusted execution envi?ronment）。MiTEE是小米基于開源技術(shù)打造的基于微內(nèi)核的TEE（如圖1）。MiTEE主要包含五個(gè)組成部分：

圖1 MiTEE架構(gòu)Fig.1 MiTEE architecture

1）面向CA（client APP）的GP API框架接口層，主要用于和安全應(yīng)用進(jìn)行交互；

2）MiTEE驅(qū)動(dòng)，主要用于實(shí)現(xiàn)Linux內(nèi)核和TEE OS的直接通訊；

3）MiTEE SPD，主要用于接收和響應(yīng)TEE和REE的異常命令，并實(shí)現(xiàn)兩個(gè)環(huán)境之間的切換；

4）TEE OS，包括可以有效減小可信基并加強(qiáng)權(quán)限管控的微內(nèi)核和TEE框架層，TEE框架層包含安全應(yīng)用管理、應(yīng)用權(quán)限管理、密鑰算法（基于安全硬件的真隨機(jī)數(shù)）、安全存儲(chǔ)、安全硬件驅(qū)動(dòng)和時(shí)間系統(tǒng)（基于安全硬件的時(shí)鐘），主要負(fù)責(zé)對(duì)安全應(yīng)用進(jìn)行管理，并為上層安全應(yīng)用提供服務(wù)；

5）運(yùn)行于TEE可信應(yīng)用（trusted applications，TA），主要用于提供關(guān)鍵服務(wù)給普通應(yīng)用使用，如隱私計(jì)算、金融支付、生物識(shí)別和密鑰保護(hù)等功能。

MiTEE除了上面提到的隔離，即對(duì)執(zhí)行環(huán)境及數(shù)據(jù)處理進(jìn)行隔離保護(hù)之外，另一個(gè)重要的功能是安全數(shù)據(jù)存儲(chǔ)，即安全文件系統(tǒng)。

MiTEE的安全文件系統(tǒng)采用“一機(jī)一密”，不同安全應(yīng)用加密密鑰不同。安全應(yīng)用進(jìn)行安全文件存儲(chǔ)時(shí)，首先會(huì)基于硬件HUK（hardware unique key）以及安全應(yīng)用信息派生出一把應(yīng)用唯一密鑰（該密鑰不會(huì)流出于MiTEE之外），然后對(duì)數(shù)據(jù)進(jìn)行加密并計(jì)算HMAC（Hash-based message authen?tication code）信息，最后存儲(chǔ)到存儲(chǔ)設(shè)備上。安全文件具有機(jī)密性、完整性的特點(diǎn)。同時(shí)MiTEE也有 支 持RPMB（replay protected memory block）存儲(chǔ)，如果數(shù)據(jù)選擇存放到RPMB，還可以防重放攻擊。

MiTEE為小米手機(jī)的安全性提供了根本、堅(jiān)實(shí)的保障，它不僅可以對(duì)執(zhí)行環(huán)境的數(shù)據(jù)處理進(jìn)行有效的隔離保護(hù)，還可以在金融支付、用戶身份識(shí)別、數(shù)據(jù)安全存儲(chǔ)等方面起到關(guān)鍵性作用。

2.2 差分隱私技術(shù)

差分隱私（differential privacy）是密碼學(xué)中的一種手段，也是近些年來(lái)逐步興起的一種新型的隱私保護(hù)技術(shù)。利用差分隱私技術(shù)，可以在保留統(tǒng)計(jì)學(xué)特征的前提下最大程度地避免個(gè)體特征的暴露，以達(dá)到保護(hù)用戶隱私的目的。例如，當(dāng)有人嘗試在一個(gè)學(xué)校的數(shù)據(jù)庫(kù)中查詢學(xué)號(hào)排名在前9個(gè)的學(xué)生的院系分布，會(huì)得到統(tǒng)計(jì)結(jié)果A，第二次查詢前10個(gè)學(xué)生的院系分布，會(huì)得到統(tǒng)計(jì)結(jié)果B。通過(guò)比對(duì)結(jié)果A和B，就可以輕易知道第10個(gè)學(xué)生的院系信息。為了在進(jìn)行數(shù)據(jù)分析時(shí)盡量減少此類單個(gè)用戶被識(shí)別的可能性，我們可以在每次結(jié)果輸出時(shí)添加一個(gè)隨機(jī)噪聲，這樣在兩次查詢后，就無(wú)法準(zhǔn)確判斷第10個(gè)學(xué)生的院系情況了。在實(shí)際應(yīng)用差分隱私技術(shù)時(shí)，常向查詢結(jié)果中加入服從拉普拉斯分布的噪聲，這種方法也被稱為“拉普拉斯機(jī)制”。

我們不僅在數(shù)據(jù)查詢端廣泛地使用差分隱私，在原始數(shù)據(jù)采集端也會(huì)適當(dāng)?shù)靥砑釉肼晹?shù)據(jù)。產(chǎn)品質(zhì)量和用戶體驗(yàn)是小米非常關(guān)注的問(wèn)題，想要做好這些改進(jìn)工作離不開大數(shù)據(jù)，離不開數(shù)據(jù)驅(qū)動(dòng)。我們需要了解和分析終端設(shè)備上的相關(guān)性能數(shù)據(jù)，比如啟動(dòng)速度、元器件溫度、耗電量、內(nèi)存使用情況和系統(tǒng)崩潰情況等數(shù)據(jù)，這些數(shù)據(jù)匯總后將對(duì)小米開展質(zhì)量和體驗(yàn)改進(jìn)工作提供極大的技術(shù)支持。在這些場(chǎng)景下，設(shè)備或應(yīng)用并不需要關(guān)心具體某一個(gè)用戶的情況，因此如何在快速、高效地獲取端上數(shù)據(jù)的同時(shí)，盡量降低對(duì)用戶隱私數(shù)據(jù)的過(guò)度收集，就成了亟須解決的隱私問(wèn)題。

差分隱私在解決這個(gè)問(wèn)題上扮演了重要的角色。如圖2所示，在進(jìn)行手機(jī)設(shè)備的性能優(yōu)化時(shí)，需要采集和分析設(shè)備上的硬件狀態(tài)、存儲(chǔ)占用和電池溫度等相關(guān)信息。為了最大程度地保護(hù)用戶隱私，避免識(shí)別出單個(gè)用戶的原始數(shù)據(jù)，小米手機(jī)在相關(guān)數(shù)據(jù)產(chǎn)生后就在端側(cè)添加了噪聲數(shù)據(jù)。這些摻雜了噪聲的設(shè)備性能數(shù)據(jù)在上傳至小米的服務(wù)器時(shí)，便在最大程度上失去了被準(zhǔn)確識(shí)別出單個(gè)用戶的可能性。經(jīng)過(guò)實(shí)際驗(yàn)證，這些噪聲數(shù)據(jù)并不會(huì)對(duì)后續(xù)的數(shù)據(jù)分析產(chǎn)生實(shí)質(zhì)影響。

圖2 差分隱私技術(shù)應(yīng)用于性能數(shù)據(jù)統(tǒng)計(jì)Fig.2 Differential privacy technology apply on data statistic

2.3 MIUI操作系統(tǒng)中的安全隱私保護(hù)

MIUI是小米基于Android深度定制的移動(dòng)操作系統(tǒng)。在操作系統(tǒng)層面，MIUI一直致力于用戶安全與隱私保護(hù)。過(guò)去十年中，MIUI每年都會(huì)向用戶提供更加領(lǐng)先的安全與隱私保護(hù)能力。2020年發(fā)布的MIUI12/12.5版本，就為用戶提供了三大隱私保護(hù)功能：照明彈、攔截網(wǎng)和隱匿面具。

照明彈功能針對(duì)APP的不規(guī)范行為對(duì)用戶做了各種提醒，為用戶提供了應(yīng)用行為記錄、敏感行為提醒、剪切板隱私保護(hù)和相冊(cè)圖片防誤刪等功能。攔截網(wǎng)功能給用戶提供了更多的控制權(quán)，使其能夠禁止后臺(tái)相機(jī)的喚醒和使用，而且當(dāng)一個(gè)APP申請(qǐng)一些權(quán)限時(shí)，攔截網(wǎng)可以幫用戶控制權(quán)限使用的范圍，對(duì)沒(méi)有說(shuō)清權(quán)限用途的APP，將不提供“始終允許”的選項(xiàng)；攔截網(wǎng)也可以讓用戶在分享照片時(shí)擦除敏感信息，做到分享生活但不分享隱私。隱匿面具功能給用戶提供了更加靈活的隱私保護(hù)措施，包括空白通行證、虛擬身份ID、模糊定位和上網(wǎng)防追蹤功能，讓用戶在不影響使用各種APP的正常功能的同時(shí)，最大限度地保護(hù)自己的隱私。

在這三款隱私保護(hù)功能發(fā)布后，各種APP敏感權(quán)限調(diào)用次數(shù)大幅度降低，不必要的權(quán)限調(diào)用大大減少。例如，地理位置權(quán)限調(diào)用降低了98%，聯(lián)系人權(quán)限調(diào)用降低了93%，本地存儲(chǔ)權(quán)限調(diào)用降低了92%，剪切板權(quán)限調(diào)用降低了86%。這些大幅度敏感權(quán)限調(diào)用次數(shù)的降低體現(xiàn)了這三款隱私保護(hù)功能的威力，體現(xiàn)了它們對(duì)整個(gè)Android生態(tài)的安全隱私保護(hù)起到的凈化作用，更體現(xiàn)了小米對(duì)隱私保護(hù)的極致追求。MIUI的照明彈等功能將被列入中國(guó)智能手機(jī)入網(wǎng)標(biāo)準(zhǔn)，這也代表了小米在行業(yè)上的貢獻(xiàn)。

3 IoT平臺(tái)化安全隱私技術(shù)

小米自2014年開始打造物聯(lián)網(wǎng)生態(tài)系統(tǒng)，如今小米的IoT平臺(tái)已成為全球最大的消費(fèi)級(jí)IoT平臺(tái)，截至2021年11月（Q3財(cái)報(bào)數(shù)據(jù)［6］）小米物聯(lián)網(wǎng)平臺(tái)聯(lián)網(wǎng)設(shè)備數(shù)量超過(guò)4億，有超過(guò)800萬(wàn)米粉擁有5件以上的IoT設(shè)備。隨著物聯(lián)網(wǎng)生態(tài)的迅猛發(fā)展，小米的安全邊界隨之?dāng)U大，物聯(lián)網(wǎng)安全存在的問(wèn)題和挑戰(zhàn)日漸凸顯。以綠盟《2020物聯(lián)網(wǎng)安全年報(bào)數(shù)據(jù)》［7］中對(duì)物聯(lián)網(wǎng)安全事件及物聯(lián)網(wǎng)相關(guān)漏洞利用分析為參考，物聯(lián)網(wǎng)安全面臨的問(wèn)題主要體現(xiàn)在設(shè)備硬件層防護(hù)能力不足、軟件存在安全漏洞、碎片化的物聯(lián)網(wǎng)生態(tài)成為建立攻擊鏈的突破口。

面對(duì)消費(fèi)級(jí)物聯(lián)網(wǎng)市場(chǎng)的高度碎片化和極具差異性的現(xiàn)狀，小米IoT平臺(tái)本著從設(shè)計(jì)著手的隱私保護(hù)（privacy by design）和默認(rèn)安全（security by default）兩大原則，構(gòu)造統(tǒng)一的硬件架構(gòu)、軟件架構(gòu)及安全解決方案，通過(guò)將技術(shù)實(shí)現(xiàn)和平臺(tái)管控的能力結(jié)合，為開發(fā)者提供統(tǒng)一的平臺(tái)化安全隱私保護(hù)能力及技術(shù)支撐。

3.1 統(tǒng)一IoT硬件架構(gòu)筑牢物聯(lián)網(wǎng)設(shè)備安全基石

小米IoT平臺(tái)推出米家安全芯片，支持“一芯一密”、ECC256安全加密算法等，為產(chǎn)品提供硬件級(jí)的安全防護(hù)。同時(shí)平臺(tái)推出了統(tǒng)一的通信模組（包括BLE模組、WIFI模組、Mesh模組、ZigBee3.0模組），從而統(tǒng)一了認(rèn)證、簽名、加密方案，實(shí)現(xiàn)了統(tǒng)一的安全加固能力。

3.2 統(tǒng)一IoT軟件框架鞏固物聯(lián)網(wǎng)設(shè)備安全圍墻

IoT與人工智能、大數(shù)據(jù)、5G、邊緣計(jì)算等技術(shù)結(jié)合，開啟了萬(wàn)物智能互聯(lián)時(shí)代，也使AIoT（人工智能物聯(lián)網(wǎng)）成了一個(gè)新的行業(yè)熱詞。在AIoT生態(tài)中，為了給用戶提供智能服務(wù)，就不可避免地要對(duì)用戶智能終端上的一些數(shù)據(jù)進(jìn)行采集和使用。為最大程度降低用戶信息的安全與隱私風(fēng)險(xiǎn)，小米推出了自主研制的移動(dòng)端深度學(xué)習(xí)框架MACE（mobile AI compute engine），將更多的AI推理和模型訓(xùn)練留在智能終端上。另外，為了解決AIoT生態(tài)中的碎片化問(wèn)題及對(duì)不同設(shè)備提供統(tǒng)一的安全和隱私保護(hù)平臺(tái)，小米基于開源的RTOS系統(tǒng)NuttX打造了自己的IoT軟件開發(fā)平臺(tái)Xiaomi Vela系統(tǒng)。

3.2.1 統(tǒng)一的移動(dòng)端深度學(xué)習(xí)框架MACE

2017年，小米AI團(tuán)隊(duì)開啟了MACE研發(fā)項(xiàng)目，并在2018年正式對(duì)外開源。MACE是一種面向手機(jī)和AIoT移動(dòng)端的深度學(xué)習(xí)框架，在提高端上的AI計(jì)算能力的同時(shí)，為用戶提供安全隱私保護(hù)。MACE支持TensorFlow、Caffe、Pytorch、MegEngine和ONNX等模型。同時(shí)，相較于其他移動(dòng)端開源深度學(xué)習(xí)框架對(duì)異構(gòu)計(jì)算支持的不足，MACE作為一個(gè)真正可用的支持異構(gòu)計(jì)算的移動(dòng)端深度學(xué)習(xí)框架，已 實(shí) 現(xiàn)對(duì)CPU、GPU、DSP（digital signal pro?cessor）、APU（accelerated processing unit）異構(gòu)計(jì)算的支持。MACE的架構(gòu)如圖3。

圖3 MACE技術(shù)架構(gòu)Fig.3 MACE framework

2020年4月，MACE推出微控制器引擎MACE Micro，MACE Micro是針對(duì)微控制器推出的AI框架。全面支持手機(jī)與AIoT設(shè)備超低功耗推理場(chǎng)景，并在小米低功耗DSP上落地了人體行為識(shí)別應(yīng)用。在國(guó)內(nèi)其他開源端側(cè)深度學(xué)習(xí)推理框架均面向手機(jī)芯片的情況下，MACE率先實(shí)現(xiàn)了面向AIoT微控制器芯片的支持。

比如，在運(yùn)動(dòng)健康領(lǐng)域，如何在超低功耗的場(chǎng)景下7×24小時(shí)地智能感知用戶運(yùn)動(dòng)行為并給出合理的健康建議，是智能手機(jī)、智能手表等設(shè)備廠商一直關(guān)注的難題。而其中的關(guān)鍵，就是獲取用戶設(shè)備端的數(shù)據(jù)并評(píng)估用戶狀況。所以各大廠商始終從硬件、軟件、算法等各個(gè)層面不斷迭代優(yōu)化，以獲取更多、更準(zhǔn)確的用戶運(yùn)動(dòng)健康數(shù)據(jù)。

小米手機(jī)上的小米健康這一系統(tǒng)APP基于MACE Micro實(shí)現(xiàn)了靈弦算法——AI運(yùn)動(dòng)行為感知技術(shù)。用戶只需要將手機(jī)攜帶在身上，即可自動(dòng)記錄一整天的步行、跑步、騎行和爬樓梯等運(yùn)動(dòng)行為。而該功能24小時(shí)的耗電量不超過(guò)手機(jī)電量的1%。經(jīng)泰爾實(shí)驗(yàn)室測(cè)試認(rèn)證，靈弦算法的準(zhǔn)確率為94.3%，召回率為80.9%，均超過(guò)Google的表現(xiàn)。當(dāng)前，國(guó)內(nèi)其他開源端側(cè)深度學(xué)習(xí)推理框架均面向手機(jī)芯片，但沒(méi)有針對(duì)AIoT設(shè)備的微控制器芯片進(jìn)行研發(fā)，MACE Micro的推出和開源，對(duì)開發(fā)者具有重要的意義。作為運(yùn)動(dòng)健康算法的核心，MACE Micro在功耗、性能、存儲(chǔ)等方面都處于業(yè)界領(lǐng)先地位，表1是小米運(yùn)動(dòng)健康算法的核心指標(biāo)。

表1 小米運(yùn)動(dòng)健康算法核心指標(biāo)Table 1 Core indicators of Xiaomisports health algor ithm

MACE Micro具備高性能、低能耗、易移植、易使用的特點(diǎn)，已在小米的AIoT設(shè)備（手表、音箱、耳機(jī)等）上落地，從端側(cè)為用戶的安全隱私保駕護(hù)航。3.2.2 統(tǒng)一開發(fā)平臺(tái)Xiaomi Vela

2019年，小米與開源的RTOS系統(tǒng)NuttX［8］展開了戰(zhàn)略合作，基于NuttX打造了小米的IoT軟件開發(fā)平臺(tái)Xiaomi Vela。Xiaomi Vela提供統(tǒng)一的軟件平臺(tái)，通過(guò)豐富的組件和標(biāo)準(zhǔn)化的軟件框架，打通了碎片化的物聯(lián)網(wǎng)應(yīng)用場(chǎng)景，為AIoT設(shè)備提供了統(tǒng)一軟件層安全保護(hù)措施，降低了IoT應(yīng)用的安全和隱私風(fēng)險(xiǎn)。Xiaomi Vela系統(tǒng)架構(gòu)圖如4。

Xiaomi Vela的架構(gòu)主要分為三個(gè)部分：NuttX內(nèi)核（NuttX kernel）、應(yīng)用框架（application frame?work）和工具集（tools）。

1）NuttX內(nèi)核

Xiaomi Vela和NuttX的內(nèi)核關(guān)系可以類比為Android和Linux內(nèi)核的關(guān)系，NuttX提供基礎(chǔ)的內(nèi)核功能，包括任務(wù)調(diào)度、文件系統(tǒng)、TCP/IP協(xié)議棧、設(shè)備驅(qū)動(dòng)和電源管理等，對(duì)上提供標(biāo)準(zhǔn)的POSIX接口。

2）應(yīng)用框架

為解決物聯(lián)網(wǎng)應(yīng)用碎片化問(wèn)題，其中最重要的途徑是讓Xiaomi Vela像NuttX一樣，模塊化，可伸縮、可裁剪，實(shí)現(xiàn)支持從簡(jiǎn)單到復(fù)雜，從低端到高端的各種產(chǎn)品形態(tài)，讓開發(fā)者可根據(jù)實(shí)際需求對(duì)系統(tǒng)進(jìn)行定制。

圖4 Xiaomi Vela系統(tǒng)架構(gòu)Fig.4 Xiaomi Vela framework

Xiaomi Vela的應(yīng)用框架可以看作一個(gè)軟件中間件，它是各種軟件庫(kù)、實(shí)用程序（如cloud SDK，GUI等）和框架的集合，用于支持各種不同的物聯(lián)網(wǎng)應(yīng)用。針對(duì)不同的應(yīng)用形態(tài)，我們開發(fā)了不同的應(yīng)用框架，包括多媒體應(yīng)用框架、傳感器應(yīng)用框架、藍(lán)牙互聯(lián)互通框架、云服務(wù)開發(fā)框架等。

3）工具集

Xiaomi Vela的工具集除了提供嵌入式開發(fā)環(huán)境和仿真器外，還提供一套完整的自動(dòng)化測(cè)試框架，以保證OS和上層應(yīng)用都可以通過(guò)一套CI/CD流程確保高質(zhì)量的交付。另外，我們也投入了大量的人力開發(fā)新的日志和調(diào)試工具。

3.3 統(tǒng)一IoT解決方案加固物聯(lián)網(wǎng)設(shè)備安全紐帶

小米IoT平臺(tái)為開發(fā)者提供統(tǒng)一的安全方案（如固件云驗(yàn)簽、傳輸加密、存儲(chǔ)加密、業(yè)務(wù)邏輯等），并打造了自動(dòng)化AIoT安全測(cè)試平臺(tái)，平臺(tái)通過(guò)手機(jī)、樹莓派、電視三大安全評(píng)估引擎，與日常工作通知系統(tǒng)相結(jié)合，實(shí)現(xiàn)了自動(dòng)化安全檢測(cè)、漏洞告警、數(shù)據(jù)跨境檢測(cè)、7×24小時(shí)安全監(jiān)控等功能。在應(yīng)用中能夠幫助開發(fā)者快速便捷地發(fā)現(xiàn)問(wèn)題、定位問(wèn)題、持續(xù)監(jiān)控、告警同步。

4 AI算法應(yīng)用中的安全隱私技術(shù)

小米在2016年開始實(shí)施“All in AI”的長(zhǎng)期戰(zhàn)略。小米秉承技術(shù)為本的鐵律，自主研發(fā)占據(jù)主導(dǎo)，全面賦能小米各業(yè)務(wù)線——從軟件到硬件，從手機(jī)到生態(tài)鏈。幾乎所有的AI技術(shù)在小米都有用武之地，而幾乎所有的小米產(chǎn)品都需要AI來(lái)賦能。今天的AI是大數(shù)據(jù)和深度學(xué)習(xí)引領(lǐng)的AI，而提到大數(shù)據(jù)就避免不了信息安全和隱私保護(hù)的問(wèn)題。

4.1 小米可信賴AI四原則

小米作為全球領(lǐng)先的智能手機(jī)制造商，致力于開發(fā)可信賴的人工智能技術(shù)（以下稱為“可信賴AI”），造福并賦能于每一個(gè)用戶。小米在AI技術(shù)的開發(fā)和應(yīng)用過(guò)程中遵守國(guó)際公認(rèn)的道德標(biāo)準(zhǔn)，參照歐盟關(guān)于可信賴AI的道德準(zhǔn)則［9］，并結(jié)合小米的隱私保護(hù)實(shí)踐，建立了小米可信賴AI的四項(xiàng)基本原則：安全性（security and safety）、隱私保護(hù)（privacy）、公平性（fairness）、可解釋性（explainability）。這些原則在小米人工智能技術(shù)的研究、開發(fā)和應(yīng)用的整個(gè)過(guò)程中得到貫徹。

4.2 小米AI應(yīng)用中的安全隱私保護(hù)實(shí)踐

技術(shù)措施層面，小米通過(guò)建立安全架構(gòu)保護(hù)算法操作環(huán)境和用戶信息的安全。AI模型被深度集成到設(shè)備中且只在本地運(yùn)行，通過(guò)AI算法處理的數(shù)據(jù)不會(huì)備份或傳輸?shù)饺魏纹渌胤?。端?cè)的AI算法只有在用戶授權(quán)的情況下才會(huì)被調(diào)用，并且根據(jù)數(shù)據(jù)最小化的原則，僅處理服務(wù)運(yùn)行所必需的數(shù)據(jù)。

非技術(shù)層面，小米建立了包括AI倫理委員會(huì)和安全與隱私委員會(huì)在內(nèi)的完整管理體系，監(jiān)督小米的AI處理流程并實(shí)現(xiàn)最佳實(shí)踐。其中，小米人工智能倫理委員會(huì)承擔(dān)以下工作：

?統(tǒng)一職責(zé)，制定和監(jiān)督落地企業(yè)內(nèi)AI標(biāo)準(zhǔn)及規(guī)范；

?支撐業(yè)務(wù)，探索行業(yè)內(nèi)最佳AI技術(shù)實(shí)踐；

?風(fēng)險(xiǎn)掌控，識(shí)別AI面臨的倫理風(fēng)險(xiǎn)、安全與隱私風(fēng)險(xiǎn)，通過(guò)風(fēng)險(xiǎn)評(píng)估模型降低風(fēng)險(xiǎn)的發(fā)生；

?引導(dǎo)標(biāo)準(zhǔn)，推動(dòng)AI倫理標(biāo)準(zhǔn)規(guī)范、法律法規(guī)。

2021年5月，小米對(duì)外發(fā)布了《小米可信AI白皮書》［10］，白皮書中對(duì)小米可信AI治理進(jìn)行了介紹，并結(jié)合小米在人臉識(shí)別、通信降噪等領(lǐng)域的AI方面研究，描述了通話降噪、圖像優(yōu)化、人臉解鎖和指紋解鎖四個(gè)重要的AI應(yīng)用在安全隱私保護(hù)的具體實(shí)踐。

5 結(jié)語(yǔ)

小米安全隱私體系由小米安全隱私組織架構(gòu)保證，以手機(jī)、IoT、AI算法的技術(shù)能力為支撐。手機(jī)和IoT從芯片等硬件到操作系統(tǒng)再到上層應(yīng)用甚至最后的產(chǎn)品層面、人機(jī)交互，需要大量的技術(shù)投入，在未來(lái)這也是小米重點(diǎn)的投入領(lǐng)域。

小米的使命是：要堅(jiān)持做感動(dòng)人心、價(jià)格厚道的好產(chǎn)品，讓全球每一個(gè)人都能享受科技帶來(lái)的美好生活?！翱萍肌备嗟氖侨斯ぶ悄芗夹g(shù)和未來(lái)的手機(jī)×AIoT技術(shù)，作為安全和隱私技術(shù)的引領(lǐng)者，小米希望安全和隱私技術(shù)能為人們美好生活保駕護(hù)航，這也是小米一直以來(lái)努力的方向——構(gòu)建一個(gè)保護(hù)用戶隱私的強(qiáng)大生態(tài)。