分布式軟總線可信互聯(lián)

OpenHarmony

Web3TSG分布式軟總線可信互聯(lián)方案分布式TEE業(yè)務(wù)場景端端互助：中控大屏無SE器件，如需大額支付功能時(shí)，可借用主機(jī)的SE能力進(jìn)行金融支付；強(qiáng)幫弱：者對(duì)于沒有TEE的設(shè)備，可以利用強(qiáng)設(shè)備中的TEE安全能力，進(jìn)行安全存儲(chǔ)，提升數(shù)據(jù)安全性；大屏TEE

大額支付TA分布式TEESE大屏手表低端手機(jī)安全存儲(chǔ)大屏TEE

分布式TEESE主機(jī)平板手機(jī)家居設(shè)備大屏應(yīng)用輕量物聯(lián)網(wǎng)設(shè)備大屏TEE

分布式TEE安全存儲(chǔ)平板手機(jī)家居設(shè)備TA無TEE分布式TEE整體示意圖設(shè)備證書(KDS)分布式密鑰(HUKS)分布式數(shù)據(jù)安全設(shè)備證書(KDS)分布式密鑰（HUKS）分布式數(shù)據(jù)安全TEE池化能力管理TEE能力池TEE池化能力管理TrustedApplication分布式安全設(shè)備服務(wù)TEETEEREE設(shè)備A設(shè)備B分布式安全設(shè)備服務(wù)應(yīng)用應(yīng)用TEE能力池TrustedApplication分布式軟總線：OpenHarmony基礎(chǔ)能力，提供設(shè)備發(fā)現(xiàn)、鏈接、組網(wǎng)、傳輸?shù)幕灸芰Γ瑸榉植际絋EE提供底層通信能力。分布式數(shù)據(jù)安全：出TEE數(shù)據(jù)全部加密，通過底層通信能力，將兩個(gè)設(shè)備的TEE互聯(lián)。分布式認(rèn)證：連接前，對(duì)兩邊的身份進(jìn)行認(rèn)證分布式軟總線加密+認(rèn)證=可信互聯(lián)當(dāng)前采用集中式方案，希望通過分布式方案進(jìn)行互聯(lián)未來基于可信任互聯(lián)協(xié)議，將分布式TEE擴(kuò)展到全場景端云/邊openEuleropenEuleropenEuleropenEuler可信任互聯(lián)協(xié)議可信任互聯(lián)協(xié)議可信任互聯(lián)協(xié)議分布式TEE分布式TEE分布式TEE分布式TEE分布式TEE分布式TEEOpenHarmonyOpenHarmony歐拉鴻蒙分布式安全底座挑戰(zhàn)集中式PKI管理成本高，不適合大規(guī)模使用集中式的認(rèn)證，不利于跨信任域場景需要利用分布式方法，解決相關(guān)挑戰(zhàn)。Holder用戶Verifier驗(yàn)證者手機(jī)向平板用戶證明是華為的TEE場景：手機(jī)向平板用戶證明是華為的TEE根據(jù)我的理解，嘗試梳理一下過程，請(qǐng)wenjing老師指正假設(shè)平板電腦不是華為產(chǎn)品、或不同OS帶來不可信、或APP、或用戶未有可信性確證等，網(wǎng)絡(luò)完全不可信可信互聯(lián)協(xié)議TSPVID

+

TSP

+

OIDC-JWT｜VC

=》結(jié)合三塊技術(shù)VID：可驗(yàn)證標(biāo)識(shí)符、可以是分布式DID也可以是基于X509證書TSP：VID之間的高真實(shí)、高保密、高隱私通訊協(xié)議OIDC-JWT｜VC｜或其他格式：OIDC

JWT、X509基于CA的證書、或分布式的可驗(yàn)證聲明/證書、其他信任任務(wù)等等可信互聯(lián)協(xié)議TSP層次VID1VID2TSP協(xié)議（互聯(lián)標(biāo)準(zhǔn)）TEE-ATEE-B各種聲明驗(yàn)證和其他任務(wù)協(xié)議（JWT、VC、等）網(wǎng)絡(luò)2～4層協(xié)議可信互聯(lián)層信任任務(wù)層TEE可以抽象為數(shù)字錢包TEE可以抽象為數(shù)字錢包現(xiàn)有設(shè)施和網(wǎng)絡(luò)層應(yīng)用層實(shí)際具體應(yīng)用其他設(shè)備TSPHWBUSL2-4TSPTSP提供信任級(jí)兼容互聯(lián)能力實(shí)例一假設(shè)手機(jī)出廠時(shí)TEE-A設(shè)制不改，含iTrustee發(fā)的CA證書：錢包可自生成VID1,基于CA，驗(yàn)證方式與傳統(tǒng)X509一樣（V5X協(xié)議）平板電腦那一方也一樣、基于CA證書生成VID2手機(jī)和平板接觸傳遞VID：NFC、BlueTooth、WI-FI、Internet、QR…TSP協(xié)議建立VID1與VID2之間的真實(shí)保密隱私通訊，雙方建立長期通訊關(guān)系，以后的聯(lián)系使用VID即可。實(shí)例二假設(shè)我們更多采用分布式設(shè)計(jì)的優(yōu)點(diǎn)：錢包可自生成VID1,不一定各方都基于CA（或根不同），驗(yàn)證方式各異（比如V5X和DID:WEBS）平板電腦那一方也一樣、但可以其他方式自生成VID2，不需與VID1統(tǒng)一手機(jī)和平板接觸傳遞VID：NFC、BlueTooth、WI-FI、Internet、QR…TSP協(xié)議建立VID1與VID2之間的真實(shí)保密隱私通訊，雙方確認(rèn)VID的信任根機(jī)制并建立長期通訊關(guān)系，以后的聯(lián)系使用VID即可錢包或應(yīng)用層若需要其他證書，比如實(shí)名或法律牌照，則可接受VC或JWT證書發(fā)證方、持證方、驗(yàn)證方TEE信任軟總線基于TSP的設(shè)計(jì)思路圖（1）選擇一個(gè)合適的VID機(jī)制（2）使用TSP

Rust（2024上半年）-移植到OpenHarmonyOS界面（3）移栽TSP到軟總線上（4）選擇一些顯現(xiàn)特別功能的案例作為示范Issuer（發(fā)證方）：可以是iTrustee（我們團(tuán)隊(duì)）作為CA，也可以是其他廠家Holder（持證方）：手機(jī)TEE-A情況一：所有iTrustee共用一個(gè)DID情況二：所有iTrustee出廠都有一個(gè)DID先考慮不同TEE不同DID場景Verifier（驗(yàn)證方）:平板TEE-B用于驗(yàn)證對(duì)方的身份待討論-沒有驗(yàn)證Step1：手機(jī)出廠時(shí)，手機(jī)（TEE-A）需要?jiǎng)?chuàng)建自己的DID標(biāo)識(shí)與DID文檔，私鑰灌裝在TEE中，公鑰存儲(chǔ)在區(qū)塊鏈上。Step2：iTrustee作為Issuer，要確認(rèn)DID關(guān)聯(lián)的TEE是華為的TEE，然后頒發(fā)VC可驗(yàn)證聲明，表明是華為的TEE。Step3：將可驗(yàn)證聲明存儲(chǔ)于TEE中。待討論-沒有驗(yàn)證Holder用戶Verifier驗(yàn)證者blockchainiTrusteeDID用戶DID發(fā)送VCStep1：手機(jī)上的TEE用自己的私鑰，將華為頒發(fā)的VC進(jìn)行簽名，發(fā)送給驗(yàn)證者Step2：驗(yàn)證者在區(qū)塊鏈上通過用戶的DID獲取公鑰信息，驗(yàn)證發(fā)過來消息確實(shí)是這個(gè)DID發(fā)送的消息。Step3：用華為的DID獲取華為的公鑰信息，驗(yàn)證VC信息最終確認(rèn)是華為的TEE待討論-沒有驗(yàn)證是否一定要用區(qū)塊鏈？如果不用區(qū)塊鏈，公鑰存儲(chǔ)采用什么方法？是否還需要新建一個(gè)基礎(chǔ)設(shè)施不一定需要。公鑰是非保密信息，可以儲(chǔ)存到任何方便的系統(tǒng)上，比如：D