在搭载HarmonyOS的分布式终端上,通过“分布式多端协同身份认证”可以保证用户的合法身份。而对于“正确的设备”,我们采取了“在分布式终端上构筑可信运行环境”的方式进行保障。同时,针对“正确地使用数据”,我们实施了“分布式数据在跨终端流动的过程中,对数据进行分类分级管理”的措施。在分布式终端场景下,确保“正确的人”的前提是对数据访问者和业务操作者进行身份认证。这一认证过程基于零信任模型,通过对用户进行身份认证和对数据的访问控制实现。当用户需要跨设备访问数据资源或发起高安全等级的业务操作时(例如对安防设备的操作),HarmonyOS会对用户进行身份认证,确保其身份的可靠性。此外,多因素融合认证也是HarmonyOS采用的方法之一,它通过用户身份管理将不同设备上标识同一用户的认证凭据关联起来,提高了认证的准确度。
HarmonyOS通过解耦硬件和认证能力(即信息采集和认证可在不同设备上完成),实现了不同设备资源的汇聚和能力的协同互助与共享。这使得高安全等级的设备可以协助低安全等级的设备完成用户身份认证。
在分布式终端场景下,为了保证用户数据在虚拟终端上得到有效的保护,避免用户隐私泄露,重要的一点是确保用户所使用的设备是安全可靠的。
首先是安全启动,这是确保每个虚拟设备上运行的系统固件和应用程序完整且未经篡改的关键步骤。通过安全启动,可以有效防止各个设备厂商的镜像包被恶意程序非法替换,从而保护用户的数据和隐私安全。
其次是可信执行环境(TEE),这个基于硬件的环境为用户个人敏感数据的存储和处理提供了保护,有效防止数据泄露。由于分布式终端的硬件安全能力有所差异,对于用户的敏感个人数据,需要使用高安全等级的设备进行存储和处理。在HarmonyOS中,使用基于数学可证明的形式化开发和验证的TEE微内核,该内核获得了商用操作系统内核CC EAL5+的认证评级。
设备证书认证
支持为具备可信执行环境的设备预置设备证书,用于证明其安全能力给其他虚拟终端。对于拥有TEE环境的设备而言,通过预置PKI(Public Key Infrastructure)设备证书为设备身份提供确凿证据,以确保设备的合法制造。设备证书在生产线上进行预置,其私钥写入并安全保存在设备的TEE环境中,并仅在TEE内部使用。在必须传输用户的敏感数据(例如密钥、加密的生物特征等)时,通过使用设备证书进行安全环境验证,建立起从一个设备的TEE到另一个设备的TEE之间的安全通道,以实现安全传输。请参见图1。
为了确保用户能够正确使用数据,在分布式终端场景下,HarmonyOS采取一系列措施对数据的生成、存储、使用、传输和销毁过程进行全生命周期的保护,以保障个人数据、隐私以及系统的机密数据(如密钥)不会泄漏。
数据生成方面,根据数据所在国家或组织的法律法规和标准规范,将数据进行分类分级,并根据分类设定相应的保护等级。在数据生成后,每个保护等级的数据都需要在存储、使用和传输的整个生命周期中根据对应的安全策略提供不同强度的安全防护。虚拟超级终端的访问控制系统支持基于标签的访问控制策略,确保数据只能在能够提供足够安全防护的虚拟终端之间进行存储、使用和传输。
数据存储方面,HarmonyOS根据数据的安全等级将其存储在具备不同安全防护能力的分区中,并提供跨设备的密钥全生命周期无缝流动和跨设备密钥访问控制能力,从而支持分布式身份认证协同、分布式数据共享等业务。
数据使用方面,HarmonyOS通过硬件提供可信执行环境,仅在分布式虚拟终端的可信执行环境中使用用户的个人敏感数据,以确保用户数据的安全和隐私不会泄露。
数据传输:为了确保虚拟超级终端之间的数据安全流转,必须确保各设备的正确性和可信性,并建立信任关系。多个设备通过华为帐号进行配对,验证信任关系后可以建立安全的连接通道,按照数据流动规则安全地传输数据。在设备间通信时,需要对设备进行身份认证,并在此基础上建立安全的加密传输通道。
数据销毁:销毁密钥即可销毁数据。所有存储在虚拟终端中的数据都建立在密钥的基础之上。当需要销毁数据时,只需销毁相应的密钥即可完成数据销毁的过程。
