鴻蒙OS 系統(tǒng)安全

在搭載 HarmonyOS 的分布式終端上，可以保證“正確的人，通過正確的設備，正確地使用數(shù)據(jù)”。

• 通過“分布式多端協(xié)同身份認證”來保證“正確的人”。
• 通過“在分布式終端上構筑可信運行環(huán)境”來保證“正確的設備”。
• 通過“分布式數(shù)據(jù)在跨終端流動的過程中，對數(shù)據(jù)進行分類分級管理”來保證“正確地使用數(shù)據(jù)”。

正確的人

在分布式終端場景下，“正確的人”指通過身份認證的數(shù)據(jù)訪問者和業(yè)務操作者。“正確的人”是確保用戶數(shù)據(jù)不被非法訪問、用戶隱私不泄露的前提條件。HarmonyOS 通過以下三個方面來實現(xiàn)協(xié)同身份認證：

• 零信任模型：HarmonyOS 基于零信任模型，實現(xiàn)對用戶的認證和對數(shù)據(jù)的訪問控制。當用戶需要跨設備訪問數(shù)據(jù)資源或者發(fā)起高安全等級的業(yè)務操作（例如，對安防設備的操作）時，HarmonyOS 會對用戶進行身份認證，確保其身份的可靠性。
• 多因素融合認證：HarmonyOS 通過用戶身份管理，將不同設備上標識同一用戶的認證憑據(jù)關聯(lián)起來，用于標識一個用戶，來提高認證的準確度。
• 協(xié)同互助認證：HarmonyOS 通過將硬件和認證能力解耦（即信息采集和認證可以在不同的設備上完成），來實現(xiàn)不同設備的資源池化以及能力的互助與共享，讓高安全等級的設備協(xié)助低安全等級的設備完成用戶身份認證。

正確的設備

在分布式終端場景下，只有保證用戶使用的設備是安全可靠的，才能保證用戶數(shù)據(jù)在虛擬終端上得到有效保護，避免用戶隱私泄露。

• 安全啟動

確保源頭每個虛擬設備運行的系統(tǒng)固件和應用程序是完整的、未經(jīng)篡改的。通過安全啟動，各個設備廠商的鏡像包就不易被非法替換為惡意程序，從而保護用戶的數(shù)據(jù)和隱私安全。

• 可信執(zhí)行環(huán)境

提供了基于硬件的可信執(zhí)行環(huán)境（TEE，Trusted Execution Environment）來保護用戶的個人敏感數(shù)據(jù)的存儲和處理，確保數(shù)據(jù)不泄露。由于分布式終端硬件的安全能力不同，對于用戶的敏感個人數(shù)據(jù)，需要使用高安全等級的設備進行存儲和處理。HarmonyOS 使用基于數(shù)學可證明的形式化開發(fā)和驗證的 TEE 微內(nèi)核，獲得了商用 OS 內(nèi)核 CC EAL5+ 的認證評級。

• 設備證書認證

支持為具備可信執(zhí)行環(huán)境的設備預置設備證書，用于向其他虛擬終端證明自己的安全能力。對于有 TEE 環(huán)境的設備，通過預置 PKI（Public Key Infrastructure）設備證書給設備身份提供證明，確保設備是合法制造生產(chǎn)的。設備證書在產(chǎn)線進行預置，設備證書的私鑰寫入并安全保存在設備的 TEE 環(huán)境中，且只在 TEE 內(nèi)進行使用。在必須傳輸用戶的敏感數(shù)據(jù)（例如密鑰、加密的生物特征等信息）時，會在使用設備證書進行安全環(huán)境驗證后，建立從一個設備的 TEE 到另一設備的 TEE 之間的安全通道，實現(xiàn)安全傳輸。如[圖1]所示。

圖1 設備證書使用示意圖

正確地使用數(shù)據(jù)

在分布式終端場景下，需要確保用戶能夠正確地使用數(shù)據(jù)。HarmonyOS 圍繞數(shù)據(jù)的生成、存儲、使用、傳輸以及銷毀過程進行全生命周期的保護，從而保證個人數(shù)據(jù)與隱私、以及系統(tǒng)的機密數(shù)據(jù)（如密鑰）不泄漏。

• 數(shù)據(jù)生成：根據(jù)數(shù)據(jù)所在的國家或組織的法律法規(guī)與標準規(guī)范，對數(shù)據(jù)進行分類分級，并且根據(jù)分類設置相應的保護等級。每個保護等級的數(shù)據(jù)從生成開始，在其存儲、使用、傳輸?shù)恼麄€生命周期都需要根據(jù)對應的安全策略提供不同強度的安全防護。虛擬超級終端的訪問控制系統(tǒng)支持依據(jù)標簽的訪問控制策略，保證數(shù)據(jù)只能在可以提供足夠安全防護的虛擬終端之間存儲、使用和傳輸。

• 數(shù)據(jù)存儲：HarmonyOS 通過區(qū)分數(shù)據(jù)的安全等級，存儲到不同安全防護能力的分區(qū)，對數(shù)據(jù)進行安全保護，并提供密鑰全生命周期的跨設備無縫流動和跨設備密鑰訪問控制能力，支撐分布式身份認證協(xié)同、分布式數(shù)據(jù)共享等業(yè)務。

• 數(shù)據(jù)使用：HarmonyOS 通過硬件為設備提供可信執(zhí)行環(huán)境。用戶的個人敏感數(shù)據(jù)僅在分布式虛擬終端的可信執(zhí)行環(huán)境中進行使用，確保用戶數(shù)據(jù)的安全和隱私不泄露。

• 數(shù)據(jù)傳輸：為了保證數(shù)據(jù)在虛擬超級終端之間安全流轉，需要各設備是正確可信的，建立了信任關系（多個設備通過華為帳號建立配對關系），并能夠在驗證信任關系后，建立安全的連接通道，按照數(shù)據(jù)流動的規(guī)則，安全地傳輸數(shù)據(jù)。當設備之間進行通信時，需要基于設備的身份憑據(jù)對設備進行身份認證，并在此基礎上，建立安全的加密傳輸通道。

• 數(shù)據(jù)銷毀：銷毀密鑰即銷毀數(shù)據(jù)。數(shù)據(jù)在虛擬終端的存儲，都建立在密鑰的基礎上。當銷毀數(shù)據(jù)時，只需要銷毀對應的密鑰即完成了數(shù)據(jù)的銷毀。