鸿蒙:应用开发安全

by zhuzhenPosted on

安全设计理念-以硬件TCB作为安全信任基础,软硬结合的安全设计

安全三要素

  • 机密性
  • 完整性
  • 可用性

HarmonyO系统安全设计基础:

基于最小的可信计算基础TCB; 硬件主密钥,加解密引擎

关键安全组件基于TEE可信运行环境;

基于强安全模块传递信任链到弱安全模块(TCB->TEE->OS Kernel->User Process)

基于PKI基础设施保护关键模块的完整性保护

分布式基于B.L.& Biba分级安全模型

鸿蒙是分布式操作系统,在设计之初以橘皮书 B2 级、CC EAL5 级为目标的安全架构,OH的核心安全理论模型是分级安全理论,通过结构化的保护机制,主体在访问客体的时候,需要遵循业界权威的安全模型主要是两个:

机密性模型:Bell-Lapadula 模型
完整性模型:Biba 模型

根据TCSEC计算机安全橘皮书,计算机安全被分成了以下七级,为了与TCSEC的等级模型匹配,对应CC定义了EAL1~EAL7 7级评测模型:


系统安全-软硬件结合安全加固,防护系统被改或利用

为了保护应用能够运行在安全、可靠的系统上,保证其自身业务的安全可靠(例如安全支付、安全登录、安全聊天等)。HarmonyOS通过完整性保护漏洞防利用、安全可信环境等安全防护技术,从架构上支持了应用的安全运行。

设备防破解提权刷机洗白

  • 系统完整性保护:防止恶意代码的植入系统代码;基于EL2加固HKIP能力;
  • 漏洞防利用:基于系统的代码内存保护等防止被漏洞利用
  • 系统访问控制:基于系统的访问控制实现进程间隔离、强制访问控制或自主访问控制等。

设备安全状态查询

  • 系统ROOT状态查询
  • 设备真机查询

数据分级保护-保护用户的数据安全加密

数据分类分级保护的法理基础

  • 欧盟GDPR等法律法规从保护个人隐私出发,明确了对个人数据实施分类保护的原则
  • 欧盟《非个人数据自由流动条例》在GDPR的基础上,对分类做出了更细致的分类
  • 美国《HIPPA》等法律法规总体于GDPR保持一致

分级加密系统能力

数据风险等级设定与文件分级加密

  • 提供四级文件分级加密保护能力,业务数据根据敏感度可获得不同级别的保护,
  • 提供数据风险等级标签设定能力,当业务为数据设定数据风险等级时,系统自动关联对应的文件分级加密保护;

关键资产数据保护

  • 针对敏感短数据(帐号密码/信用卡号/..)等,在文件保护的基础上进行二次加密;
  • 增加应用身份强制隔离、二次访问控制机制。即使系统沙箱隔离机制失效,数据也不会泄空

应用权限访问控制分级-“洋葱”模型划分的分级权限管控

基于洋葱模型,按照APL维度,严格定义三层等级:OS核心APL3,系统增强服务APL2,应用程序APL1,实现严格的分层保护,外部的应用如果需要访问内部的权限,默认无法访问。通过严格的分层权限保护模型,可以有效抵御恶意攻击,确保系统安全可靠

权限分级分配原则

操作系统核心能力APL=3

  • 属于最小系统:系统正常运转核心,如AMS、BMS、软总线
  • TCB最小化:作为整个应用程序的TCB,拥有较高特权,
  • 禁止系统无关业务申请:禁止应用、业务类程序申请
  • 减少攻击面:禁止应用申请联网能力

系统扩展的系统功能服务APL=2

  • 属于系统扩展基础服务:在OS核心能力基础上扩展的系统服务,如情景感知
  • 查找设备
  • 不对外开放的增强服务:不对外开放的增强服务,如语音助手应用拉起,服务中心安装等

普通应用程序APL=1

  • 一切应用程序都是APL=1
  • 禁止应用程序直接申请高等级特权
  • 如果需要特殊权限,以ACL的权限申请审核方式授予

访问控制原则

  • 以系统分配的Access Token作为应用标识符,不以UID作为标识
  • 当访问的主体应用APL大于等于客体APL时,只要在配置文件中声明即可允许访问
  • 当访问的主体应用APL低于客体APL时,如需使用高权限则使用必须通过HarmonyAppProvison的ACL字段进行授权(需审核)

生态安全生命周期管理-生态纯净可控,携手开发者为用户打造高质量社区

标题3

对于来自生态的应用大多数为正常的的应用,也存在恶意利用进行牟利的黑产、诈骗、恶意营销推广等风,险应用,为了生态应用安全纯净可控HarmonyOS将以端到端的安全可控的生态模式进行构建。

  • 开发者实名:颁发开发者证书,只有合法的开发者才具备开发合法的应用资格;
  • 设备受限调试:只有申请调试的设备UDID在开发者平台注册后才能调试
  • 上架检测与审核:应用上架经过对应的合规检测和合规审核才能进行上架
  • 应用代码签名与加密:审核通过的应用,会帮助开发者应用进行签名和加密,安装时进行校验
  • 应用更新:应用更新与应用开发重新上架类似,需要上架审核并签名才能发布

HarmonyOS安全能力全景图

面向业务场景,以分级安全为架构思想的基础安全底座,构建HarmonyOS安全的应用生态

♦  标题2

◆ 标题3

段落

段落

段落