华为IoT大门上的鲁班锁：华为所铸的分布式安全一段时间以来

图片
一段时间以来，我们不断看到华为在软件与移动生态上“进”的一面。
今年年初，华为正式推出了华为终端云服务核心服务框架HMS Core 4.0 ，宣布要给全球用户以移动生态上的第三个选择。与此同时，华为继续推动1+8+N全场景智慧生活战略；在软件侧， EMUI持续推动应对多终端迭代的分布式技术和分布式体验。
如果说要给此前一年的终端产业和移动生态总结中心思想。 “华为带来变化” ，绝对是参考答案上的采分点之一。
而与“进”相辅相成，互为依存的是“守”的一面。也就是说在带来变化的同时，华为也必须回答另一个问题：如何向消费者与开发者证明，华为带来的变化是绝对安全的。如何在进击的产业战略下，保护用户隐私与软硬件体系的绝对安全。

图片
在信息技术发展史上，安全是永远的B面，却也是永远的必答题。尤其华为目前阶段的安全构建，其实还蕴藏着更大的产业意义：在移动中心走向分布式IoT、万物互联的时代交替中，设备和数据安全如何度过挑战？
这一系列问题，华为已经在陆续给出自己的答案。 5月19日，在华为第17届全球分析师大会上，华为消费者BG 软件部总裁王成录博士、华为消费者业务云服务副总裁谭东晖博士分享了华为在分布式技术、全场景体验、HMS生态上的最新进展。我们将其中关于用户隐私保护与系统安全的阐述整理下来，以此来透视在走向分布式与全场景时，华为在安全战线上的独特布局。
如果要给华为在IoT时代的分布式安全打个比方，我会联想到能称为“国粹”的鲁班锁。为了确保多终端、多场景、端云一体化这种复杂环境下的用户安全，华为搭建了层层相叠、环环相扣的分布式安全体系。
一道道“锁”互为支撑，犄角相抵，最终确保接下来要上演的，是一个“正确”发生的万物互联世界。
多终端时代的爱与愁
我们正在，并且将不可避免地持续生活在一个多终端时代。相信今天大家都有了这种共识。随便搜查一个钢铁直男的双肩包，里面没有十个八个电子设备都是不可能的。
毫无疑问，想要让多终端世界变得和谐美好，最佳方式就是将它们统一起来，建立在一个帐号、一套系统、无缝联接的软件环境上。这种相互打通城门的多终端体系虽然令人愉悦，但随之而来的安全问题却令人发愁。

图片
在PC时代和移动时代，我们的设备数量相对稀少，应对的安全问题也相对单一。比如PC时期有杀毒软件来应对病毒和木马，移动时代有各种安全软件和封闭的支付与应用分发系统来应对安全威胁。但在多终端时代，我们的设备将不再是独立个体，而是一个军团。队伍大了就不好带，设备多了安全问题自然也会相对复杂。比如说：
1、错误的用户识别和鉴权，可能让生物识别伪装者侵入我们的用户体系。
2、山寨设备接入，会导致整个设备群被植入木马，盗取信息，泄露数据。
3、弱安全设备可能发生木桶效应，导致一个点被攻克，全盘数据泄露。
4、不法者攻克云端帐号和数据库，可能顺藤摸瓜获取用户全部重要数据。
可以看到的是，这些挑战发生于端侧、云端、连接侧、用户侧等不同领域，可谓防不胜防。而华为在全场景时代所构建的分布式安全，核心思路就是各个要塞都要严防死守，并且还要搭建环环相扣、互为攻守的防御体系。
底层之锁：建立在芯片中的端侧安全
在确保多设备安全这件事上，有一个先决条件就是确保每一部设备都足够安全。
而在我们的多设备矩阵中，手机毫无疑问是安全系数最高、安全技术最完善的一种。所以华为执行的分布式安全第一道锁，就是把手机中的安全技术解决方案分享到其他设备中，共同构建芯片级别的端侧安全体系。分页标题
【华为IoT大门上的鲁班锁：华为所铸的分布式安全】举例来说，华为手机中有一个非常重要的安全技术，就是基于麒麟芯片构建的硬件隔离可信执行环境——TEE(Trusted Execution Environment) OS 。这一基于底层芯片建立的隔离环境，在安卓开放环境以外，构建了一个单独的空间，将用户敏感数据的管理、加密、验证、存储全流程隔离保护运行。

图片
而在华为推出1+8+N全场景生态的过程中，华为将TEE技术分享到了“8” ，即华为自有产品体系中。通过微内核技术和形式化验证，华为可以将TEE移植到非常小的设备上，甚至RAM只有128K的设备也能安装TEE 。这让底层安全技术融合到了华为全场景设备的底层，确保了设备自身的安全。
以芯片级技术达成的安全等级提升，让华为在去年第四季度获得了CC EAL5+安全认证，这是全世界首家终端操作系统的内核拿到这一认证。其安全等级甚至超越了Oracle数据库和Windows系统。而下一步，华为还会将TEE开放给生态伙伴，增强“N”也就是全场景生态的底层安全能力。
底层之锁，最大限度解决了山寨设备和弱设备的安全问题。也为各种安全措施环环相扣打下了基础。在芯片的底座上，华为的安全鲁班锁还是一层层的咬合。
用户之锁：IoT时代的“识别馈赠”
其实在移动时代，生物识别就已经带来了众多问题。比如AI爱好者用对抗生成噪音解锁人脸识别，神笔马良们画出了别人的人脸面具，各种层出不穷的“用户欺诈”新闻长期吸引着我们的眼球。
那么在多终端时代，更多设备需要识别用户，事情会不会更加麻烦？王成录博士认为，事情刚好相反。多终端体系让他看到了非常令人兴奋的未来方向。因为单设备单维度识别用户的局限性，恰好可以被多终端多维度认证弥补。

图片
假如多设备可以从不同的维度来识别用户不同的生物特征，那么手机识别的问题将迎刃而解。比如说、心电图规律、声纹特征、指纹、人脸、虹膜，这些生物特征从不同方向，可以被不同设备识别和校验，它的可靠性也就随之提升。在华为手机中，目前已经部署了创新的生物识别模块，实现了3D结构光人脸识别+屏下指纹识别双安全保障；而在未来的分布式系统中，华为智慧全场景会从不同维度构建用户的认证资源池，这个资源池将根据操作级别和设备级别来决定互证方式。在用户需要高等级认证，完成诸如支付等重要任务时，分布式系统会尽可能多地调集多维度识别，确保用户信息正确有效。而在低安全需求场景，用户可以通过诸如指纹识别快速通过。
这样的能力，未来也可以带给第三方应用以丰富多元的安全验证机制，确保多设备时代应用与用户的价值最贴近。
IoT时代来了，多维度识别，是万物互联的馈赠。
连接之锁：凭据双认证与家庭中枢
设备之锁的完善，与用户之锁的迭代，可以说给分布式安全建立了两侧的保障。那么下一个问题显然是，我们如何保障中间地带的安全。
事实上，在IoT设备之间，以及设备与手机间的连接上，存在着复杂多元的挑战。比如说大量连接方式的共存、不同IoT协议的互认，以及简单设备的连接安全问题等等。当然，也包括云端数据库和云端控制体系、远程系统的安全问题。

图片
华为为了解决这个问题，提出了核心的云帐号+设备访问凭据双认证解决方案。即用户在连接上新的设备时，这一华为设备会与华为手机之间产生一个密钥对。这个密钥对只在用户手机和配对设备中存在。在每次连接发生时，除了要验证云帐号之外，系统还要核实密钥对，双重保险之后用户才能控制设备。如此可以最大限度保障IoT设备之间，以及端侧设备群与云端账户的连接安全。分页标题
此外，华为还在全场景设备中设置了家庭中枢设备的概念，在全屋智能设备上叠加一个中枢层，所有对家庭设备的访问都先经过中枢处理，以此在此提升了连接的安全等级。
确保连接安全的方式，是尽可能丰富的互认体系与确认过程。而如何让丰富的确认不会影响连接的质量呢？那就是分布式技术的另一个故事了。
数据之锁：标签存储与分级别调用
最后，我们来讨论一下数据。
在多设备时代，数据将在不同的设备间流动和发生价值，那么如何确保数据被正确应用也就成为了问题。结合芯片级的安全系统，华为的思路是将数据进行标签化，按照重要等级分布存储到不同的区域。
从数据的产生、存储到使用，全生命周期中数据都处在明文规定存储模式和安全等级的情况下。重要数据彻底执行隔离式保存和严格识别后的调用，以此来确认用户隐私得到了最完善、体系化的保护。
银行不会把所有保管品都胡乱堆在一起，而是分门别类、体系化、等级化的保存——华为对待数据也是如此。
门与锁的辩证
在分布式技术HMS、1+8+N全场景声名鹊起的日子里，华为其实还默默完成了IoT安全矩阵的构建。结合终端云的安全机制，以及开发者端的安全保证，最终构筑了层层勾连，环环相扣的安全互证和隐私保护机制。
可以看到，在这套分布式安全机制里，华为思考了多设备必然存在的问题，并一一给出了安全应对方案。其中既有华为独属的芯片级安全能力、IoT连接能力，也有对多终端特性的巧妙利用和安全思路的更新。

图片
围绕着分布式安全的一系列行动，其实华为的思路非常明确。用王成录博士的总结，就是让正确的人，正确的设备，调用正确的数据。三个“正确”交叠， IoT就是一扇可以迅速洞开的全场景大门，而一旦出现偏差， IoT世界就是一把无解的鲁班锁。
门与锁的辩证，关键在于对人的理解。人需要什么样的体验，以及渴望着怎样的认证、识别与数据安全。在用户期待的平衡点上，华为围绕着一系列技术节点开始了安全体系的建造。
IoT当然是安全的挑战，但有挑战的地方，往往是华为乐此不疲的所在。本文首发于微信公众号：脑极体。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。
（责任编辑：王治强 HF013）