鴻蒙OS 系統(tǒng)安全概述

在搭載 HarmonyOS 的分布式終端上，可以保證“正確的人，通過(guò)正確的設(shè)備，正確地使用數(shù)據(jù)”。

• 通過(guò)“分布式多端協(xié)同身份認(rèn)證”來(lái)保證“正確的人”。
• 通過(guò)“在分布式終端上構(gòu)筑可信運(yùn)行環(huán)境”來(lái)保證“正確的設(shè)備”。
• 通過(guò)“分布式數(shù)據(jù)在跨終端流動(dòng)的過(guò)程中，對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)管理”來(lái)保證“正確地使用數(shù)據(jù)”。

正確的人

在分布式終端場(chǎng)景下，“正確的人”指通過(guò)身份認(rèn)證的數(shù)據(jù)訪問(wèn)者和業(yè)務(wù)操作者?！罢_的人”是確保用戶數(shù)據(jù)不被非法訪問(wèn)、用戶隱私不泄露的前提條件。HarmonyOS 通過(guò)以下三個(gè)方面來(lái)實(shí)現(xiàn)協(xié)同身份認(rèn)證：

• 零信任模型：HarmonyOS 基于零信任模型，實(shí)現(xiàn)對(duì)用戶的認(rèn)證和對(duì)數(shù)據(jù)的訪問(wèn)控制。當(dāng)用戶需要跨設(shè)備訪問(wèn)數(shù)據(jù)資源或者發(fā)起高安全等級(jí)的業(yè)務(wù)操作（例如，對(duì)安防設(shè)備的操作）時(shí)，HarmonyOS 會(huì)對(duì)用戶進(jìn)行身份認(rèn)證，確保其身份的可靠性。
• 多因素融合認(rèn)證：HarmonyOS 通過(guò)用戶身份管理，將不同設(shè)備上標(biāo)識(shí)同一用戶的認(rèn)證憑據(jù)關(guān)聯(lián)起來(lái)，用于標(biāo)識(shí)一個(gè)用戶，來(lái)提高認(rèn)證的準(zhǔn)確度。
• 協(xié)同互助認(rèn)證：HarmonyOS 通過(guò)將硬件和認(rèn)證能力解耦（即信息采集和認(rèn)證可以在不同的設(shè)備上完成），來(lái)實(shí)現(xiàn)不同設(shè)備的資源池化以及能力的互助與共享，讓高安全等級(jí)的設(shè)備協(xié)助低安全等級(jí)的設(shè)備完成用戶身份認(rèn)證。

正確的設(shè)備

在分布式終端場(chǎng)景下，只有保證用戶使用的設(shè)備是安全可靠的，才能保證用戶數(shù)據(jù)在虛擬終端上得到有效保護(hù)，避免用戶隱私泄露。

安全啟動(dòng)
確保源頭每個(gè)虛擬設(shè)備運(yùn)行的系統(tǒng)固件和應(yīng)用程序是完整的、未經(jīng)篡改的。通過(guò)安全啟動(dòng)，各個(gè)設(shè)備廠商的鏡像包就不易被非法替換為惡意程序，從而保護(hù)用戶的數(shù)據(jù)和隱私安全。

可信執(zhí)行環(huán)境
提供了基于硬件的可信執(zhí)行環(huán)境（TEE，Trusted Execution Environment）來(lái)保護(hù)用戶的個(gè)人敏感數(shù)據(jù)的存儲(chǔ)和處理，確保數(shù)據(jù)不泄露。由于分布式終端硬件的安全能力不同，對(duì)于用戶的敏感個(gè)人數(shù)據(jù)，需要使用高安全等級(jí)的設(shè)備進(jìn)行存儲(chǔ)和處理。HarmonyOS 使用基于數(shù)學(xué)可證明的形式化開(kāi)發(fā)和驗(yàn)證的 TEE 微內(nèi)核，獲得了商用 OS 內(nèi)核 CC EAL5+ 的認(rèn)證評(píng)級(jí)。

設(shè)備證書(shū)認(rèn)證
支持為具備可信執(zhí)行環(huán)境的設(shè)備預(yù)置設(shè)備證書(shū)，用于向其他虛擬終端證明自己的安全能力。對(duì)于有 TEE 環(huán)境的設(shè)備，通過(guò)預(yù)置 PKI（Public Key Infrastructure）設(shè)備證書(shū)給設(shè)備身份提供證明，確保設(shè)備是合法制造生產(chǎn)的。設(shè)備證書(shū)在產(chǎn)線進(jìn)行預(yù)置，設(shè)備證書(shū)的私鑰寫(xiě)入并安全保存在設(shè)備的 TEE 環(huán)境中，且只在 TEE 內(nèi)進(jìn)行使用。在必須傳輸用戶的敏感數(shù)據(jù)（例如密鑰、加密的生物特征等信息）時(shí)，會(huì)在使用設(shè)備證書(shū)進(jìn)行安全環(huán)境驗(yàn)證后，建立從一個(gè)設(shè)備的 TEE 到另一設(shè)備的 TEE 之間的安全通道，實(shí)現(xiàn)安全傳輸。如[圖1]所示。

圖1 設(shè)備證書(shū)使用示意圖

正確地使用數(shù)據(jù)

在分布式終端場(chǎng)景下，需要確保用戶能夠正確地使用數(shù)據(jù)。HarmonyOS 圍繞數(shù)據(jù)的生成、存儲(chǔ)、使用、傳輸以及銷(xiāo)毀過(guò)程進(jìn)行全生命周期的保護(hù)，從而保證個(gè)人數(shù)據(jù)與隱私、以及系統(tǒng)的機(jī)密數(shù)據(jù)（如密鑰）不泄漏。

• 數(shù)據(jù)生成：根據(jù)數(shù)據(jù)所在的國(guó)家或組織的法律法規(guī)與標(biāo)準(zhǔn)規(guī)范，對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，并且根據(jù)分類(lèi)設(shè)置相應(yīng)的保護(hù)等級(jí)。每個(gè)保護(hù)等級(jí)的數(shù)據(jù)從生成開(kāi)始，在其存儲(chǔ)、使用、傳輸?shù)恼麄€(gè)生命周期都需要根據(jù)對(duì)應(yīng)的安全策略提供不同強(qiáng)度的安全防護(hù)。虛擬超級(jí)終端的訪問(wèn)控制系統(tǒng)支持依據(jù)標(biāo)簽的訪問(wèn)控制策略，保證數(shù)據(jù)只能在可以提供足夠安全防護(hù)的虛擬終端之間存儲(chǔ)、使用和傳輸。
• 數(shù)據(jù)存儲(chǔ)：HarmonyOS 通過(guò)區(qū)分?jǐn)?shù)據(jù)的安全等級(jí)，存儲(chǔ)到不同安全防護(hù)能力的分區(qū)，對(duì)數(shù)據(jù)進(jìn)行安全保護(hù)，并提供密鑰全生命周期的跨設(shè)備無(wú)縫流動(dòng)和跨設(shè)備密鑰訪問(wèn)控制能力，支撐分布式身份認(rèn)證協(xié)同、分布式數(shù)據(jù)共享等業(yè)務(wù)。
• 數(shù)據(jù)使用：HarmonyOS 通過(guò)硬件為設(shè)備提供可信執(zhí)行環(huán)境。用戶的個(gè)人敏感數(shù)據(jù)僅在分布式虛擬終端的可信執(zhí)行環(huán)境中進(jìn)行使用，確保用戶數(shù)據(jù)的安全和隱私不泄露。
• 數(shù)據(jù)傳輸：為了保證數(shù)據(jù)在虛擬超級(jí)終端之間安全流轉(zhuǎn)，需要各設(shè)備是正確可信的，建立了信任關(guān)系（多個(gè)設(shè)備通過(guò)華為帳號(hào)建立配對(duì)關(guān)系），并能夠在驗(yàn)證信任關(guān)系后，建立安全的連接通道，按照* 數(shù)據(jù)流動(dòng)的規(guī)則，安全地傳輸數(shù)據(jù)。當(dāng)設(shè)備之間進(jìn)行通信時(shí)，需要基于設(shè)備的身份憑據(jù)對(duì)設(shè)備進(jìn)行身份認(rèn)證，并在此基礎(chǔ)上，建立安全的加密傳輸通道。
• 數(shù)據(jù)銷(xiāo)毀：銷(xiāo)毀密鑰即銷(xiāo)毀數(shù)據(jù)。數(shù)據(jù)在虛擬終端的存儲(chǔ)，都建立在密鑰的基礎(chǔ)上。當(dāng)銷(xiāo)毀數(shù)據(jù)時(shí)，只需要銷(xiāo)毀對(duì)應(yīng)的密鑰即完成了數(shù)據(jù)的銷(xiāo)毀。