В статье описаны основные свойства операционной системы (OC) нового поколения Huawei HarmonyOS 2.0. На основе моделей безопасности Белла – ЛаПадулы (BLP) и Биба (Biba), моделей «Доверенные пользователи», «Доверенные устройства» и «Санкционированный доступ» приведена архитектура безопасности ОС, изложены методы и особенности аутентификации пользователей, а также дана классификация пяти уровней безопасности устройств, использующих ОС HarmonyOS 2.0, и описана безопасность приложений.
Александр Васильевич Зубарев, кандидат технических наук, старший научный сотрудник, директор по информационной безопасности ООО «Техкомпания Хуавэй»
zubarev.alexander@huawei.com
Дмитрий Владимирович Качан, ведущий менеджер ООО «Техкомпания Хуавэй»
kachan.dmitry@huawei.com
Введение
Современное общество стремительно развивается в направлении полностью подключенного интеллектуального мира, и такие тенденции выдвигают беспрецедентные требования к надежности и безопасности потребительских товаров.
Распределенная операционная система нового поколенияHuaweiHarmonyOS 2.0 – это новая единая платформа, обеспечивающая бесшовное, надежное и безопасное взаимодействие между различными категориями интеллектуальных устройств (от датчика умного дома до смартфона или head-юнита автомобиля) и позволяющая им действовать как единое «суперустройство».
Такой инновационный подход, при котором все распределенные устройства взаимосвязаны, требует высокого уровня безопасности и защиты информации пользователей. Для комплексной оценки безопасности ОС HarmonyOS 2.0 и удобства ее использования с учетом накопленного многолетнего пользовательского опыта в качестве целевого уровня в архитектуре безопасности был выбран класс безопасности B2 по стандартуTCSEC Министерства обороны США (так называемая «Оранжевая книга»), при котором обеспечивается детальная защита интеллектуальных устройств пользователей и их данных от кибератак.
В настоящее время система HarmonyOS 2.0 соответствует классу B2 безопасности по стандарту TCSEC, использует микросхемы и процессоры, соответствующие классу B3 стандарта для хранения и обработки такой ключевой информации, как биометрические данные пользователей и идентификаторы, а также применяет формальные методы для проверки реализованных в системе средств защиты в соответствии с требованиями класса А1 указанного стандарта.
К концу 2021 года запланировано полностью открыть код ОС, сделав ее свободным программным обеспечением (open source, аналогично ОСLinux).Это позволит российским и зарубежным разработчикам создавать и развивать программное обеспечение для различных приложений.
Модели безопасности HarmonyOS 2.0
Операционная система HarmonyOS 2.0 обладает уникальными особенностями:
- распределенной виртуальной шиной;
- распределенной виртуализацией устройств;
- распределенным управлением данными;
- распределенным планировщиком задач.
Эти характеристики ОС, с точки зрения обеспечения безопасности, позволяют реализовать на глубинном уровне предоставление или закрытие доступа к любой информации, процессу или устройству по следующим признакам:
- тип запрашивающего устройства (модель «Доверенные устройства»);
- авторизация конкретного пользователя (модель «Доверенные пользователи»);
- тип запрашиваемых данных (модель «Санкционированный доступ»).
Структура безопасности по таким признакам нереализуема на аналогичных ОС типа Android.
Безопасность HarmonyOS 2.0 основана на следующих пяти моделях.
- В качестве модели разграничения доступа к защищаемой информации вHarmonyOS 2.0 применяется классическая модель Белла – ЛаПадулы (BLP), основанная на мандатной модели управления доступом, при которой передача защищаемых данных от устройств с более высоким уровнем доступа к устройствам с более низким уровнем возможна только с согласия пользователя, а устройства с более низким уровнем доступа не могут получить данные с более высоким уровнем безопасности.
- Для обеспечения целостности данных применяется модель Биба (Biba), при которой приложения, программное обеспечение и пакеты с обновлениями из недоверенных источников не могут быть установлены на устройства с высоким уровнем безопасности. В ОС может быть загружено только подписанное цифровым сертификатом программное обеспечение, официально признанное HarmonyOS 2.0. Кроме того, устройству с меньшим уровнем безопасности запрещено отправлять управляющие команды на устройство с более высоким уровнем: например, спортивные часы не могут управлять смартфоном для совершения крупных платежей.
- HarmonyOS 2.0 использует структурированную модель безопасности и присваивает метки безопасности пользователям, устройствам и данным, чтобы «разрешить доверенным пользователям получать санкционированный доступ к нужным данным с помощью доверенных устройств».
3.1. Модель «Доверенные пользователи» предназначена для подтверждения надежности пользователей, разработчиков и приложений и использует соответствующие методы аутентификации для каждого из них.
3.2. Модель «Доверенные устройства» применяется для подтверждения надежности устройств, на которых работает HarmonyOS 2.0, для чего используются аутентификация и сертификаты безопасности HarmonyOS 2.0, а также применяется принцип соответствия между уровнями безопасности устройств и требованиями к конфиденциальности данных, устройствам с низким уровнем безопасности запрещающий обрабатывать конфиденциальные данные более высокого уровня.
3.3. Модель «Санкционированный доступ» служит для управления данными в соответствии с уровнями и метками безопасности, обеспечивая необходимый уровень конфиденциальности и целостности данных.
HarmonyOS 2.0 использует международные стандарты, лучшие практики и корпоративные стандарты Huawei для определения и классификации данных по следующим категориям: критическая, высокая, средняя, низкая и публичная. Благодаря классификации данных по уровню безопасности, доступ к ним строго контролируется на протяжении всего их жизненного цикла.
Таким образом, на основе классификации и категорирования пользователей, устройств, сервисов и данных HarmonyOS 2.0 реализует распределенный контроль доступа, схема которого приведена на рис. 1.
Методы и особенности аутентификации
В модели «Доверенные пользователи» в дополнение к традиционным методам аутентификации пользователей, включающим числовые и графические пароли, HarmonyOS 2.0 также предоставляет методы биометрической аутентификации, такие как аутентификация по отпечатку пальца и геометрии лица. Эти методы могут применяться в различных сценариях, например, для проведения мобильной оплаты, блокирования устройства или приложений.
На сегодняшний день HarmonyOS 2.0 поддерживает 3 вида аутентификации с емкостными, оптическими и ультразвуковыми датчиками отпечатка пальца на устройствах. А для аутентификации по геометрии лица используются решения как в обычном2D-измерении, так и в 3D. Причем, если 2D-аутентификация реализуется с помощью обычной фронтальной камеры, то для 3D-аутентификации необходима специальная камера глубины. Стоит отметить, что 3D-аутентификация намного безопаснее и может применяться, например, при проведении платежных операций.
Данные об отпечатках пальцев и геометрии лица хранятся на устройстве в TrustZone в безопасном виртуальном хранилище iTrustee, где реализованы шифрование и защита целостности с использованием стойких криптографических алгоритмов по международным стандартам, и ни одно стороннее приложение не может получить их или передать за пределы iTrustee. HarmonyOS 2.0 не создает резервных копий с данными об отпечатках пальцев и геометрии лица и не отправляет их на внешние хранилища данных, в том числе облачные. После сохранения информации об указанных биометрических характеристиках их изображения из системы удаляются.
Следует отметить, что вероятность прохождения аутентификации незарегистрированным пользователем при применении на устройстве аутентификации по отпечатку пальца составляет 1 к 50 000, при 2D-геометрии лица – в диапазоне от 1 к 50 000 до 1 к 100 000, а при 3D – 1 к 1 млн. Дополнительно аутентификация в HarmonyOS 2.0 поддерживает механизмы защиты от атак методом «полного перебора». Не исключено, что злоумышленник решит воспользоваться хорошо сделанной моделью головы пользователя или его фотографией для обхода аутентификации. В таких случаях, если пользователи обеспокоены возможными рисками, они могут использовать аутентификацию по паролю.
В HarmonyOS 2.0 также предусмотрена возможность распределенной совместной аутентификации, что в буквальном смысле стирает границы между устройствами, предоставляя гибкие возможности пользователям в сценариях с распределенными услугами. При работе с несколькими доверенными устройствами пользователь для аутентификации может применить наиболее удобное из них с тем же уровнем безопасности, что и портал доступа и аутентификации личности.
Архитектура безопасности HarmonyOS 2.0
HarmonyOS 2.0 объединяет технологии безопасности, которые направлены на защиту целостности устройств, конфиденциальности данных и защиту от атак. На рис. 2 приведена типовая архитектура безопасности отдельных устройств под управлением описываемой операционной системы.
Реализация архитектуры безопасности варьируется в зависимости от результатов анализа угроз (уровней риска) и ресурсов (как программных, так и аппаратных) различных устройств c HarmonyOS 2.0.Так, в соответствии с требованиями «Оранжевой книги» (TCSEC), реальными сценариями использования и типами устройств, их безопасность классифицируется HarmonyOS 2.0 по пяти уровням (от SL1 до SL5, каждый уровень включает все возможности предыдущего уровня), представленным на рис. 3.
SL1 является самым низким уровнем безопасности. Устройства HarmonyOS 2.0 на этом уровне, как правило, используют легкую операционную систему и недорогие микро процессоры, предоставляют простые услуги и не обрабатывают конфиденциальные данные. Такие устройства не содержат распространенных ошибок и поддерживают защиту целостности программного обеспечения. Устройства, которые не отвечают требованиям SL1, могут функционировать только в качестве аксессуаров под контролем HarmonyOS 2.0.
На уровне SL2 используется дискреционное управление доступом (DAC). Устройства на этом уровне обеспечивают базовые возможности защиты от атак и поддерживают легкую изолированную среду, в которой могут быть развернуты некоторые необходимые службы безопасности.
Устройства на SL3-уровне предоставляют широкие возможности обеспечения безопасности. Операционная система может быть разделена на критические и некритические элементы защиты с четко определенной моделью политики безопасности, используемой для защиты критических элементов. Устройства на этом уровне защищены от распространенных уязвимостей. Также устройства с HarmonyOS 2.0 на SL3 предоставляют аппаратные механизмы для шифрования/дешифрования данных, получения ключей и поддерживают следующие алгоритмы:
- симметричные алгоритмы типа AES-256;
- алгоритмы хэширования типа SHA2 256, HMAC-SHA 512;
- алгоритмы с открытым ключом типа RSA 4096.
Устройства на SL4-уровне поддерживают доверенную вычислительную базу (TCB), которая может предотвращать несанкционированное вмешательство и выполнять надлежащую аутентификацию к критически важным объектам доступа; используется мандатное управление доступом (MAC). Устройства на SL4 могут защищаться от большинства программных атак. Устройства с HarmonyOS 2.0 на SL4 поддерживают также шифрование на уровне файлов криптопровайдером ОС.
SL5 является самым высоким уровнем безопасности. Устройства HarmonyOS 2.0 здесь используют как формальные методы для проверки реализованных в системе средств защиты, так и защищенные от несанкционированного доступа аппаратные модули безопасности (например, специальные чипы безопасности), которые способны обеспечить защиту и от физических атак.
Таким образом, когда устройства с HarmonyOS 2.0 взаимодействуют между собой, сначала они должны оценить уровень безопасности друг друга и передавать данные только тем устройствам, которые отвечают необходимым требованиям. Например, если данные пользователя или какая-либо услуга требуют передачи по каналам связи только устройствам, обеспечивающим уровень безопасности SL2, то перед передачей таких данных какому-либо устройству необходимо сначала подтвердить его соответствие требованиям этого уровня. Так Huawei реализует иерархический механизм управления устройствами.
Для обеспечения безопасности потоков пользовательских данных между устройствами в распределенном сценарии перед созданием безопасного канала они должны установить доверенные отношения, которые могут быть организованы между устройствами с одинаковым идентификатором HUAWEIID (учетная запись) или между устройствами с доверенным отношением «точка – точка» (P2P), например, путем сканирования QR-кода или ввода случайного PIN-кода, отображаемого на другом устройстве.
Отметим, что данные в канале защищены также криптопровайдером ОС, и даже если в соединении Bluetooth или Wi-Fi существуют уязвимости, эти данные при распределенном сценарии останутся в безопасности.
Безопасность приложений в HarmonyOS 2.0
Одной из важных составляющих в комплексной безопасности HarmonyOS 2.0 является система управления жизненным циклом приложений, включая их разработку, выпуск, установку, использование и удаление. Она гарантирует, что приложения разрабатываются в соответствии с требованиями к безопасности и конфиденциальности и защищены от несанкционированного доступа на протяжении всего жизненного цикла, а также то, что приложения заслуживают доверия и обеспечивают надежную защиту конфиденциальных данных пользователя.
Во время разработки приложения проверяется реальное имя разработчика, а перед публикацией приложения система проводит его всеобъемлющую проверку, включая сканирование на наличие вирусов и уязвимостей. Только после этого приложение подписывается цифровым сертификатом и размещается вAppGallery. Во время установки приложения на устройство HarmonyOS 2.0 проводит проверку безопасности. Стоит отдельно подчеркнуть, что во время работы приложений технологии искусственного интеллекта сканируют всю систему на наличие неизвестных угроз, что позволяет быстро идентифицировать вредоносные приложения и изолировать угрозы и риски.
Также HarmonyOS 2.0 использует новый механизм защиты безопасности и конфиденциальности для приложений. Например, разрешения на SMS-сообщения, телефонные звонки и записи вызовов, которые могут включать персональные данные пользователя, закрыты для приложений экосистемы, а разрешения на контакты и многое другое строго контролируются с помощью специальных сертификатов. Кроме того, в операционной системе реализована изолированная среда хранения (storage sandbox), при которой приложения экосистемы не имеют доступа к памяти устройства, что обеспечивает безопасность данных приложений экосистемы.
Приведем несколько примеров приложений Huawei, использующих возможности комплексной безопасности HarmonyOS 2.0 для максимальной защиты конфиденциальности и данных пользователей:
- Huawei Pay позволяет совершать безопасные удобные платежи поднесением телефона с поддержкой NFC к терминалу бесконтактных платежей (приложение получило
международную сертификацию PCI-DSS, а также сертификаты безопасности VISAPCI-CP и CDCVM и соответствует стандартам безопасности в платежной индустрии); - Car Key позволяет использовать смартфоны Huawei в качестве ключей и брелока для автомобилей, предоставляя владельцу возможность блокировать и разблокировать двери, заводить и глушить двигатель своего автомобиля; пользователи также смогут с помощью приложения производителя автомобиля делиться ключом от последнего с родственниками и друзьями.
Подводя итог
В заключение хотелось бы отметить, что комплексная безопасность HarmonyOS 2.0 была признана известными международными сертификационными органами по всему миру. Например, ядро безопасности TEE операционной системы получило сертификатCommonCriteria (CC) EAL5+ (выдан NSCIB, Нидерланды), который является самым высоким рейтингом для коммерческого ядра ОС. Сама HarmonyOS 2.0 получила сертификат EAL4+ от Китайского центра анализа технологий и сертификации в области кибербезопасности, который в настоящее время является самым высоким рейтингом для операционных систем в Китае. Программное обеспечение устройств Huawei сертифицировано Британским институтом стандартов (BSI) по стандарту ISO/IEC27701 («Методы и средства безопасности. Расширение ISO/IEC 27001 и ISO/IEC 27002 в отношении менеджмента персональных данных»).
Кибербезопасность и защита конфиденциальности были и всегда будут главными приоритетамиHuawei. Компания создала «Центр реагирования на инциденты безопасности» (SRC) для быстрого разрешения вопросов безопасности операционной системы HarmonyOS 2.0, который в работе с уязвимостями опирается на международные стандарты ISO/IEC 30111 («Информационные технологии. Методы обеспечения безопасности. Процессы управления уязвимостями») и ISO/IEC 29147 («Информационная технология. Методы и средства обеспечения безопасности. Раскрытие уязвимостей»). Все потенциальные уязвимости обрабатываются в соответствии с процессом реагирования на уязвимости.
Huawei сохраняет приверженность открытости к обсуждению проблемных вопросов в области кибербезопасности и готовности работать со всеми заинтересованными сторонами для общего успеха, стремится делиться своими передовыми практиками в области конфиденциальности и безопасности с другими представителями отрасли. Компанией разработано более 25 национальных и отраслевых стандартов, а также более 10международных стандартов безопасности совместно с организациями по стандартизации, такими как GSMA и ETSI. Huawei стремится к разработке безопасной экосистемы приложений и лучших методов защиты конфиденциальных данных совместно с партнерами, экспертами, индустрией и регуляторами.
Журнал «Защита информации. INSIDE» № 5’2021