鴻蒙OS 系統(tǒng)安全

在搭載 HarmonyOS 的分布式終端上，可以保證“正確的人，通過正確的設(shè)備，正確地使用數(shù)據(jù)”。

• 通過“分布式多端協(xié)同身份認證”來保證“正確的人”。
• 通過“在分布式終端上構(gòu)筑可信運行環(huán)境”來保證“正確的設(shè)備”。
• 通過“分布式數(shù)據(jù)在跨終端流動的過程中，對數(shù)據(jù)進行分類分級管理”來保證“正確地使用數(shù)據(jù)”。

正確的人

在分布式終端場景下，“正確的人”指通過身份認證的數(shù)據(jù)訪問者和業(yè)務(wù)操作者?！罢_的人”是確保用戶數(shù)據(jù)不被非法訪問、用戶隱私不泄露的前提條件。HarmonyOS 通過以下三個方面來實現(xiàn)協(xié)同身份認證：

• 零信任模型：HarmonyOS 基于零信任模型，實現(xiàn)對用戶的認證和對數(shù)據(jù)的訪問控制。當(dāng)用戶需要跨設(shè)備訪問數(shù)據(jù)資源或者發(fā)起高安全等級的業(yè)務(wù)操作（例如，對安防設(shè)備的操作）時，HarmonyOS 會對用戶進行身份認證，確保其身份的可靠性。
• 多因素融合認證：HarmonyOS 通過用戶身份管理，將不同設(shè)備上標識同一用戶的認證憑據(jù)關(guān)聯(lián)起來，用于標識一個用戶，來提高認證的準確度。
• 協(xié)同互助認證：HarmonyOS 通過將硬件和認證能力解耦（即信息采集和認證可以在不同的設(shè)備上完成），來實現(xiàn)不同設(shè)備的資源池化以及能力的互助與共享，讓高安全等級的設(shè)備協(xié)助低安全等級的設(shè)備完成用戶身份認證。

正確的設(shè)備

在分布式終端場景下，只有保證用戶使用的設(shè)備是安全可靠的，才能保證用戶數(shù)據(jù)在虛擬終端上得到有效保護，避免用戶隱私泄露。

• 安全啟動

確保源頭每個虛擬設(shè)備運行的系統(tǒng)固件和應(yīng)用程序是完整的、未經(jīng)篡改的。通過安全啟動，各個設(shè)備廠商的鏡像包就不易被非法替換為惡意程序，從而保護用戶的數(shù)據(jù)和隱私安全。

• 可信執(zhí)行環(huán)境

提供了基于硬件的可信執(zhí)行環(huán)境（TEE，Trusted Execution Environment）來保護用戶的個人敏感數(shù)據(jù)的存儲和處理，確保數(shù)據(jù)不泄露。由于分布式終端硬件的安全能力不同，對于用戶的敏感個人數(shù)據(jù)，需要使用高安全等級的設(shè)備進行存儲和處理。HarmonyOS 使用基于數(shù)學(xué)可證明的形式化開發(fā)和驗證的 TEE 微內(nèi)核，獲得了商用 OS 內(nèi)核 CC EAL5+ 的認證評級。

• 設(shè)備證書認證

支持為具備可信執(zhí)行環(huán)境的設(shè)備預(yù)置設(shè)備證書，用于向其他虛擬終端證明自己的安全能力。對于有 TEE 環(huán)境的設(shè)備，通過預(yù)置 PKI（Public Key Infrastructure）設(shè)備證書給設(shè)備身份提供證明，確保設(shè)備是合法制造生產(chǎn)的。設(shè)備證書在產(chǎn)線進行預(yù)置，設(shè)備證書的私鑰寫入并安全保存在設(shè)備的 TEE 環(huán)境中，且只在 TEE 內(nèi)進行使用。在必須傳輸用戶的敏感數(shù)據(jù)（例如密鑰、加密的生物特征等信息）時，會在使用設(shè)備證書進行安全環(huán)境驗證后，建立從一個設(shè)備的 TEE 到另一設(shè)備的 TEE 之間的安全通道，實現(xiàn)安全傳輸。如[圖1]所示。

圖1 設(shè)備證書使用示意圖

正確地使用數(shù)據(jù)

在分布式終端場景下，需要確保用戶能夠正確地使用數(shù)據(jù)。HarmonyOS 圍繞數(shù)據(jù)的生成、存儲、使用、傳輸以及銷毀過程進行全生命周期的保護，從而保證個人數(shù)據(jù)與隱私、以及系統(tǒng)的機密數(shù)據(jù)（如密鑰）不泄漏。

• 數(shù)據(jù)生成：根據(jù)數(shù)據(jù)所在的國家或組織的法律法規(guī)與標準規(guī)范，對數(shù)據(jù)進行分類分級，并且根據(jù)分類設(shè)置相應(yīng)的保護等級。每個保護等級的數(shù)據(jù)從生成開始，在其存儲、使用、傳輸?shù)恼麄€生命周期都需要根據(jù)對應(yīng)的安全策略提供不同強度的安全防護。虛擬超級終端的訪問控制系統(tǒng)支持依據(jù)標簽的訪問控制策略，保證數(shù)據(jù)只能在可以提供足夠安全防護的虛擬終端之間存儲、使用和傳輸。

• 數(shù)據(jù)存儲：HarmonyOS 通過區(qū)分數(shù)據(jù)的安全等級，存儲到不同安全防護能力的分區(qū)，對數(shù)據(jù)進行安全保護，并提供密鑰全生命周期的跨設(shè)備無縫流動和跨設(shè)備密鑰訪問控制能力，支撐分布式身份認證協(xié)同、分布式數(shù)據(jù)共享等業(yè)務(wù)。

• 數(shù)據(jù)使用：HarmonyOS 通過硬件為設(shè)備提供可信執(zhí)行環(huán)境。用戶的個人敏感數(shù)據(jù)僅在分布式虛擬終端的可信執(zhí)行環(huán)境中進行使用，確保用戶數(shù)據(jù)的安全和隱私不泄露。

• 數(shù)據(jù)傳輸：為了保證數(shù)據(jù)在虛擬超級終端之間安全流轉(zhuǎn)，需要各設(shè)備是正確可信的，建立了信任關(guān)系（多個設(shè)備通過華為帳號建立配對關(guān)系），并能夠在驗證信任關(guān)系后，建立安全的連接通道，按照數(shù)據(jù)流動的規(guī)則，安全地傳輸數(shù)據(jù)。當(dāng)設(shè)備之間進行通信時，需要基于設(shè)備的身份憑據(jù)對設(shè)備進行身份認證，并在此基礎(chǔ)上，建立安全的加密傳輸通道。

• 數(shù)據(jù)銷毀：銷毀密鑰即銷毀數(shù)據(jù)。數(shù)據(jù)在虛擬終端的存儲，都建立在密鑰的基礎(chǔ)上。當(dāng)銷毀數(shù)據(jù)時，只需要銷毀對應(yīng)的密鑰即完成了數(shù)據(jù)的銷毀。