在搭載 HarmonyOS 的分布式終端上，可以保證“正確的人，通過正確的設備，正確地使用數據”。

• 通過“分布式多端協(xié)同身份認證”來保證“正確的人”。
• 通過“在分布式終端上構筑可信運行環(huán)境”來保證“正確的設備”。
• 通過“分布式數據在跨終端流動的過程中，對數據進行分類分級管理”來保證“正確地使用數據”。

正確的人

在分布式終端場景下，“正確的人”指通過身份認證的數據訪問者和業(yè)務操作者?！罢_的人”是確保用戶數據不被非法訪問、用戶隱私不泄露的前提條件。HarmonyOS 通過以下三個方面來實現(xiàn)協(xié)同身份認證：

• 零信任模型：HarmonyOS 基于零信任模型，實現(xiàn)對用戶的認證和對數據的訪問控制。當用戶需要跨設備訪問數據資源或者發(fā)起高安全等級的業(yè)務操作（例如，對安防設備的操作）時，HarmonyOS 會對用戶進行身份認證，確保其身份的可靠性。
• 多因素融合認證：HarmonyOS 通過用戶身份管理，將不同設備上標識同一用戶的認證憑據關聯(lián)起來，用于標識一個用戶，來提高認證的準確度。
• 協(xié)同互助認證：HarmonyOS 通過將硬件和認證能力解耦（即信息采集和認證可以在不同的設備上完成），來實現(xiàn)不同設備的資源池化以及能力的互助與共享，讓高安全等級的設備協(xié)助低安全等級的設備完成用戶身份認證。

正確的設備

在分布式終端場景下，只有保證用戶使用的設備是安全可靠的，才能保證用戶數據在虛擬終端上得到有效保護，避免用戶隱私泄露。

安全啟動
確保源頭每個虛擬設備運行的系統(tǒng)固件和應用程序是完整的、未經篡改的。通過安全啟動，各個設備廠商的鏡像包就不易被非法替換為惡意程序，從而保護用戶的數據和隱私安全。

可信執(zhí)行環(huán)境
提供了基于硬件的可信執(zhí)行環(huán)境（TEE，Trusted Execution Environment）來保護用戶的個人敏感數據的存儲和處理，確保數據不泄露。由于分布式終端硬件的安全能力不同，對于用戶的敏感個人數據，需要使用高安全等級的設備進行存儲和處理。HarmonyOS 使用基于數學可證明的形式化開發(fā)和驗證的 TEE 微內核，獲得了商用 OS 內核 CC EAL5+ 的認證評級。

設備證書認證
支持為具備可信執(zhí)行環(huán)境的設備預置設備證書，用于向其他虛擬終端證明自己的安全能力。對于有 TEE 環(huán)境的設備，通過預置 PKI（Public Key Infrastructure）設備證書給設備身份提供證明，確保設備是合法制造生產的。設備證書在產線進行預置，設備證書的私鑰寫入并安全保存在設備的 TEE 環(huán)境中，且只在 TEE 內進行使用。在必須傳輸用戶的敏感數據（例如密鑰、加密的生物特征等信息）時，會在使用設備證書進行安全環(huán)境驗證后，建立從一個設備的 TEE 到另一設備的 TEE 之間的安全通道，實現(xiàn)安全傳輸。如[圖1]所示。

圖1 設備證書使用示意圖

正確地使用數據

在分布式終端場景下，需要確保用戶能夠正確地使用數據。HarmonyOS 圍繞數據的生成、存儲、使用、傳輸以及銷毀過程進行全生命周期的保護，從而保證個人數據與隱私、以及系統(tǒng)的機密數據（如密鑰）不泄漏。

• 數據生成：根據數據所在的國家或組織的法律法規(guī)與標準規(guī)范，對數據進行分類分級，并且根據分類設置相應的保護等級。每個保護等級的數據從生成開始，在其存儲、使用、傳輸的整個生命周期都需要根據對應的安全策略提供不同強度的安全防護。虛擬超級終端的訪問控制系統(tǒng)支持依據標簽的訪問控制策略，保證數據只能在可以提供足夠安全防護的虛擬終端之間存儲、使用和傳輸。
• 數據存儲：HarmonyOS 通過區(qū)分數據的安全等級，存儲到不同安全防護能力的分區(qū)，對數據進行安全保護，并提供密鑰全生命周期的跨設備無縫流動和跨設備密鑰訪問控制能力，支撐分布式身份認證協(xié)同、分布式數據共享等業(yè)務。
• 數據使用：HarmonyOS 通過硬件為設備提供可信執(zhí)行環(huán)境。用戶的個人敏感數據僅在分布式虛擬終端的可信執(zhí)行環(huán)境中進行使用，確保用戶數據的安全和隱私不泄露。
• 數據傳輸：為了保證數據在虛擬超級終端之間安全流轉，需要各設備是正確可信的，建立了信任關系（多個設備通過華為帳號建立配對關系），并能夠在驗證信任關系后，建立安全的連接通道，按照* 數據流動的規(guī)則，安全地傳輸數據。當設備之間進行通信時，需要基于設備的身份憑據對設備進行身份認證，并在此基礎上，建立安全的加密傳輸通道。
• 數據銷毀：銷毀密鑰即銷毀數據。數據在虛擬終端的存儲，都建立在密鑰的基礎上。當銷毀數據時，只需要銷毀對應的密鑰即完成了數據的銷毀。